Ich möchte mich als erstes gleich mal entschuldigen, ich muss mich jetzt mal auskotzen.
Wir sind Reiner SCT TimeCard 6 Kunde und haben jetzt migriert auf TC 10. Wir hatten bei TC 6 schon festgestellt, dass der Apache Tomcat in einer uralten Version installiert wurde und nie aktualisiert wird. Es gibt zwar grundsätzlich die Möglichkeit den Tomcat händisch zu aktualisieren, das wurde uns aber von unserem Händler nicht empfohlen, da es mit neuen Versionen zu Problemen i.V.m. TC kommen kann. Außerdem ist die Aktualisierung nicht ganz ohne, um nicht zu sagen sehr kompliziert und gerade für kleine Betriebe faktisch nicht durchführbar. D.h. ein möglicher Angreifer muss nur versuchen herauszufinden, welche Tomcat Version da läuft und findet dann alle Exploits in sauber strukturierten Datenbanken und kann quasi aus den vollen schöpfen.
Jetzt, mit TC10 wurde auf den IIS umgestiegen. Punkt 1: Leider wird kein automatischer redirect von http auf https eingerichtet. Warum nicht? Das wäre nur die Nachinstallation eines kleinen Moduls und die Erweiterung der Web.config. Weiterhin habe ich eben mal spaßeshalber OWASP ZAP auf meinen eigenen Server laufen lassen. Die erste Meldung verzaubert mich dann doch in eine Schockstarre. "SQL injection may be possible". Ich könnte über meine Firewall mögliche SQL injections aufspüren. Leider musste ich diese Funktion ausschalten, da sonst die Apps meiner Außendienstmitarbeiter nicht mehr funktionierte. Außerdem wirft mir das Programm insgesamt 10 (!) Warnungen aus, die den Webserver angreifbar machen können.
Nochmal Sorry, dass ich mich hier so aufrege. Wir sprechen aber hier von einem Unternehmen, dass sich "Sicherheit" auf die Fahnen geschrieben hat. "Produkte der Firma Reiner SCT erhalten jährlich Auszeichnungen für Sicherheit..." ist auf der Homepage zu lesen. Das klingt für mich nach einem schlechten Witz.
Viele Grüße
Michael