Beck2oldschool

Ich brauch leider die Erreichbarkeit übers Internet. Ich habe bei mir aber auch noch einen Reverseproxy / DMZ dazwischen... Mit welcher spezielle Software würdest du denn TC anbinden, wenn nicht per Browser?

Im Prinzip gebe ich dir zu Punkt eins Recht. Aber... 😉 Der Tomcat wird von Reiner bei der Erstinstallation installiert. Warum wird der nicht mit einem Update der eigenen Software ebenfalls auf einen aktuellen Stand gebracht. Das lässt sich doch in das Setup locker mit einbauen. Klar kommt eine aktuelle TC Version nicht unbedingt zeitgleich zum neuen Apache raus. Aber besser spät aktualisiert, als jahrelang auf der uralten Version rumgerutscht. Ich kann mir auch vorstellen, dass man das Update des Webservers deutlich vereinfachen kann - unabhängig von einem Versionsupdate der TC Software. Aber TC 6 hat sich ja wohl ohnehin bald erledigt... Zum zweiten Punkt. Ich bin da nicht so tief drin, aber .htacces bei IIS? Geht glaub ich, aber mit verbiegen oder? Wie gesagt, das weiß ich nicht. Ich weiß nicht, wie der Kundenkreis von TC aussieht. Aber in der Arztpraxis meiner Schwester rührt den IIS mit Sicherheit niemand an. Muss man ja auch nicht, wenn sowas doch gleich mit eingebaut wäre. Das sind 10 Minuten Arbeit für den Programmierer mehr. Einmalig! Warum muss ich denn als Kunde da noch rumbasteln. ...an einer Software eines Herstellers von Sicherheitsprodukten! Zumal 99% der Kunden ihre eigenen Systeme wohl gar nicht auf Sicherheit hin überprüfen.

Ich möchte mich als erstes gleich mal entschuldigen, ich muss mich jetzt mal auskotzen. Wir sind Reiner SCT TimeCard 6 Kunde und haben jetzt migriert auf TC 10. Wir hatten bei TC 6 schon festgestellt, dass der Apache Tomcat in einer uralten Version installiert wurde und nie aktualisiert wird. Es gibt zwar grundsätzlich die Möglichkeit den Tomcat händisch zu aktualisieren, das wurde uns aber von unserem Händler nicht empfohlen, da es mit neuen Versionen zu Problemen i.V.m. TC kommen kann. Außerdem ist die Aktualisierung nicht ganz ohne, um nicht zu sagen sehr kompliziert und gerade für kleine Betriebe faktisch nicht durchführbar. D.h. ein möglicher Angreifer muss nur versuchen herauszufinden, welche Tomcat Version da läuft und findet dann alle Exploits in sauber strukturierten Datenbanken und kann quasi aus den vollen schöpfen. Jetzt, mit TC10 wurde auf den IIS umgestiegen. Punkt 1: Leider wird kein automatischer redirect von http auf https eingerichtet. Warum nicht? Das wäre nur die Nachinstallation eines kleinen Moduls und die Erweiterung der Web.config. Weiterhin habe ich eben mal spaßeshalber OWASP ZAP auf meinen eigenen Server laufen lassen. Die erste Meldung verzaubert mich dann doch in eine Schockstarre. "SQL injection may be possible". Ich könnte über meine Firewall mögliche SQL injections aufspüren. Leider musste ich diese Funktion ausschalten, da sonst die Apps meiner Außendienstmitarbeiter nicht mehr funktionierte. Außerdem wirft mir das Programm insgesamt 10 (!) Warnungen aus, die den Webserver angreifbar machen können. Nochmal Sorry, dass ich mich hier so aufrege. Wir sprechen aber hier von einem Unternehmen, dass sich "Sicherheit" auf die Fahnen geschrieben hat. "Produkte der Firma Reiner SCT erhalten jährlich Auszeichnungen für Sicherheit..." ist auf der Homepage zu lesen. Das klingt für mich nach einem schlechten Witz. Viele Grüße Michael

Bei mir hier exakt das Gleiche wie bei ThomasBa. Auch mit dem o.g. Mail relay geht aus Reiner SCT keine Mail raus. Über ein SMTP Testtool auf dem gleichen Server jedoch schon. Sowohl direkt auf meinem MXer als auch über E-MailRelay und dann auf den MX. Hat hier schon jemand eine Idee oder gar eine Lösung?