Jump to content
Abschaltung der Forum zum 03.01.2024 ×

Was hat Reiner SCT mit "Sicherheit" zu tun?


Empfohlene Beiträge

Ich möchte mich als erstes gleich mal entschuldigen, ich muss mich jetzt mal auskotzen.

Wir sind Reiner SCT TimeCard 6 Kunde und haben jetzt migriert auf TC 10. Wir hatten bei TC 6 schon festgestellt, dass der Apache Tomcat in einer uralten Version installiert wurde und nie aktualisiert wird. Es gibt zwar grundsätzlich die Möglichkeit den Tomcat händisch zu aktualisieren, das wurde uns aber von unserem Händler nicht empfohlen, da es mit neuen Versionen zu Problemen i.V.m. TC kommen kann. Außerdem ist die Aktualisierung nicht ganz ohne, um nicht zu sagen sehr kompliziert und gerade für kleine Betriebe faktisch nicht durchführbar. D.h. ein möglicher Angreifer muss nur versuchen herauszufinden, welche Tomcat Version da läuft und findet dann alle Exploits in sauber strukturierten Datenbanken und kann quasi aus den vollen schöpfen. 

Jetzt, mit TC10 wurde auf den IIS umgestiegen. Punkt 1: Leider wird kein automatischer redirect von http auf https eingerichtet. Warum nicht? Das wäre nur die Nachinstallation eines kleinen Moduls und die Erweiterung der Web.config. Weiterhin habe ich eben mal spaßeshalber OWASP ZAP auf meinen eigenen Server laufen lassen. Die erste Meldung verzaubert mich dann doch in eine Schockstarre. "SQL injection may be possible". Ich könnte über meine Firewall mögliche SQL injections aufspüren. Leider musste ich diese Funktion ausschalten, da sonst die Apps meiner Außendienstmitarbeiter nicht mehr funktionierte. Außerdem wirft mir das Programm insgesamt 10 (!) Warnungen aus, die den Webserver angreifbar machen können.

Nochmal Sorry, dass ich mich hier so aufrege. Wir sprechen aber hier von einem Unternehmen, dass sich "Sicherheit" auf die Fahnen geschrieben hat. "Produkte der Firma Reiner SCT erhalten jährlich Auszeichnungen für Sicherheit..." ist auf der Homepage zu lesen. Das klingt für mich nach einem schlechten Witz.

Viele Grüße

Michael

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo!

 

vor einer Stunde schrieb Beck2oldschool:

dass der Apache Tomcat in einer uralten Version installiert wurde und nie aktualisiert wird

Habt ihr einen Softwarewartungsvertrag abgeschlossen? Wenn ihr das nicht habt und Reiner-SCT die aktuelle Version nicht zugesagt hat (in der Prdouktbeschreibung also die aktuelle Apache-Version nicht explizit genannt wird), wäre Deine Beschwerde m.E. unberechtigt. Wenn ich mir einen Server kaufen würde müsste ich mich auch selber um Aktualisierungen kümmern. Ein Händler muss immer nur das erledigen was auch vereinbart ist. Daher in Zukunft bei Vertragsabschluß explizit auf die aktuellste Apache-Version bestehen und die regelmäßigen Updates per Softwarewartungsvertrag dazukaufen. Soviel zum Rechtlichen. ;)

 

vor einer Stunde schrieb Beck2oldschool:

Das wäre nur die Nachinstallation eines kleinen Moduls und die Erweiterung der Web.config

Eigentlich genügen vier Zeilen in der .htaccess, sofern der Server die Nutzung von htaccess erlaubt. Das kann jeder machen.

RewriteCond %{HTTP_HOST} ^[^.]+\.[^.]+$
RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]

RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Gruß, René

Link zu diesem Kommentar
Auf anderen Seiten teilen

Im Prinzip gebe ich dir zu Punkt eins Recht. Aber... 😉 Der Tomcat wird von Reiner bei der Erstinstallation installiert. Warum wird der nicht mit einem Update der eigenen Software ebenfalls auf einen aktuellen Stand gebracht. Das lässt sich doch in das Setup locker mit einbauen. Klar kommt eine aktuelle TC Version nicht unbedingt zeitgleich zum neuen Apache raus. Aber besser spät aktualisiert, als jahrelang auf der uralten Version rumgerutscht. Ich kann mir auch vorstellen, dass man das Update des Webservers deutlich vereinfachen kann - unabhängig von einem Versionsupdate der TC Software. 

Aber TC 6 hat sich ja wohl ohnehin bald erledigt...

Zum zweiten Punkt. Ich bin da nicht so tief drin, aber .htacces bei IIS? Geht glaub ich, aber mit verbiegen oder? Wie gesagt, das weiß ich nicht. 

Ich weiß nicht, wie der Kundenkreis von TC aussieht. Aber in der Arztpraxis meiner Schwester rührt den IIS mit Sicherheit niemand an. Muss man ja auch nicht, wenn sowas doch gleich mit eingebaut wäre. Das sind 10 Minuten Arbeit für den Programmierer mehr. Einmalig! Warum muss ich denn als Kunde da noch rumbasteln. ...an einer Software eines Herstellers von Sicherheitsprodukten! Zumal 99% der Kunden ihre eigenen Systeme wohl gar nicht auf Sicherheit hin überprüfen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

BTW:

Weshalb wird TC überhaupt ans Internet angeschlossen? Zeitmanagment- und Zutrittssysteme mit Internetanbindung? Käme bei mir nicht infrage. Sowas würde ich strikt vom Internet trennen. Und wenn Internetanbindung dann nicht per Webanbindung (Browser, Browser-App), sondern mit einer speziellen Software.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 36 Minuten schrieb Beck2oldschool:

Mit welcher spezielle Software würdest du denn TC anbinden, wenn nicht per Browser?

Die würde ich beauftragen, damit sie auch wirklich nur ich habe. Das habe ich bei meiner Homepage so gemacht, die Templates sind speziell an meine Bedürfnisse angepasst (Nur muss ich jede neue Seite manuell einpflegen. Dafür ist es kein Standard wie Joomla & Co. Weshalb auch kein Hacker eine Chance hat, weil die Templates nicht per Browserzeile zugänglich sind). Also keine "Software von der Stange".

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 1 month later...

Wir haben die von Ihnen aufgeführten Issues welche OWAS ZAP meldet eingehend untersucht.

Die Meldung über eine mögliche SQL Injektion bezieht sich darauf, dass das Password auch ein SQL Befehl sein kann. Da jedoch von timeCard das Password sowohl beim Setzen als auch beim Abfragen sofort in einen Hash umgewandelt wird besteht hier kein Problem. Der SQL Befehl im Password wird natürlich nie so in der Datenbank gespeichert und natürlich auch nicht das Password selbst.

Selbstverständlich werden natürlich alle SQL Befehle nicht direkt über einen String zusammengebaut sondern gekapselt über entsprechende Bibliotheken. Dies ist auch das von OWAS ZAP vorgeschlagene Verfahren. Somit ist timeCard 10 abgesichert gegenüber SQl Injektions.

Link zu diesem Kommentar
Auf anderen Seiten teilen

×
×
  • Neu erstellen...

Wichtige Information

Diese Website verwendet Cookies – nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung am Ende der Seite. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können.