A seguito del nostro attacco alla sicurezza, abbiamo deciso di realizzare un update interamente incentrato sulla sicurezza. Speriamo di rilasciare questo aggiornamento alla QA nei prossimi giorni. Rilasceremo ora una versione Alfa, la Beta la prossima settimana e la versione finale la settimana successiva. Ecco cosa include:

Un pannello BLF nel dialer della “App” PWA

La PWA ora aggiunge il annello BLF

Questa funzione simula un telefono fisso e mostra BLF simili a quelli di un telefono fisso. I BLF mostreranno lo stato di un utente e consentiranno un facile trasferimento con un solo clic. Gli amministratori possono configurare i BLF per tutti gli utenti andando su “Amministrazione > Utenti > Aggiungi / Modifica utente” e poi sulla scheda BLF. Gli utenti possono configurare i propri BLF da “Impostazioni > BLF”.

Hash di tutte le password

Con questo aggiornamento tutte le password web vengono sottoposte ad un hashing nel sistema. Ciò non significa che prima fossero completamente insicure, ma facendo così avranno un ulteriore grado di sicurezza. Per accedervi era comunque necessario disporre dei diritti di amministratore. Ma non è una buona pratica ed è stata oggetto di CVE-2021-45491. Questo problema è stato risolto nell’Update 7A.

Dopo l’aggiornamento, il servizio di sistema esegue una conversione per ottenere tutte le password correnti e le sottopone a hashing. Gli utenti possono accedere con la loro password attuale, ma si consiglia di cambiarla.

L’hashing delle password si applica solo al login del web client. Per motivi di retrocompatibilità, non verranno sottoposti a hashing l’ID e la password di autenticazione SIP, le password del trunk e del gateway SIP o le password del tunnel. Se violate, queste credenziali possono essere utilizzate solo per ottenere l’accesso alla chiamate del centralino, ma non possono essere utilizzate per accedere al centralino stesso. Nelle versioni future, anche su queste password verrà effettuato l’hash.

Rimozione della password e del file di configurazione dall’email di benvenuto

L’email di benvenuto conteneva la password del web client e il file di configurazione per la vecchia configurazione dell’app. Ora li stiamo rimuovendo dall’email di benvenuto. Ciò significa che:

  1. Prima di accedere, gli utenti devono impostare una password.
  2. Le app per Android e iOS devono essere configurate utilizzando il codice QR.
  3. Se si desidera utilizzare l’app desktop legacy, è necessario eseguire il provisioning tramite PNP.
    • Collegare il client legacy alla rete
    • Approvare dalla console di gestione
  4. La nuova email di benvenuto riflette questa situazione. Chi ha implementato un testo personalizzato per l’email di benvenuto dovrà aggiornarlo.

Limitare l’accesso alla sezione amministrativa del web client

È già possibile limitare l’accesso in base all’IP per la console di gestione. Ora è possibile farlo anche per gli amministratori di sistema che hanno accesso alla sezione amministrativa del web client.

L’uso dell’App Web PWA è consigliato

Anche se presto verrà rilasciata una nuova versione della DesktopApp, per motivi di gestione della rete riteniamo che sia opportuno utilizzare l’app PWA quando possibile. Tutti gli utenti che utilizzano un telefono fisso o un’app Android/iOS per le chiamate effettive dovrebbero utilizzare il client PWA. La combinazione dell’app per smartphone con quella web PWA è eccellente: è possibile rispondere alle chiamate ovunque, dentro o fuori dall’ufficio, senza bisogno di costose cuffie DECT!

Nell’Update 7A ora promuoviamo la web app PWA esclusivamente nella notifica a sinistra.

La PWA richiede un FQDN appropriato che funzioni ovunque. Qualsiasi sistema nel cloud (StartUP/3CX in hosting/Cloud privato) lo avrà. I sistemi on-premise devono implementare lo split DNS, ma questo sarà comunque un requisito per tutti i sistemi, prima o poi.

Le app desktop per Windows o Mac si trovano ora solo nella pagina delle applicazioni visualizzata in basso a sinistra.

Rimanete informati

Seguiteci su Twitter e LinkedIn per ricevere sempre le ultime novità e gli aggiornamenti. Rimanete aggiornati sulle indagini in corso tramite il nostro feed RSS. Inoltre partecipate al nostro forum dedicato.