Als gevolg van de beveiligingskwestie hebben we besloten een update te maken die zich volledig richt op de beveiliging. We hopen deze update in de komende dagen te testen. Daarna brengen we volgende week een alfa en een bèta uit, gevolgd door de final in de week daarna. Dit kunt u verwachten:

Een BLF-paneel in de dialer van de PWA “App”

Het BLF-paneel in de dialer toont BLF's vergelijkbaar met die van een deskphone.

Deze functie imiteert een deskphone en toont BLF’s vergelijkbaar met die van een deskphone. BLF’s tonen de status van een gebruiker en zorgen dat u met één klik kunt doorverbinden. Beheerders kunnen BLF’s configureren voor alle gebruikers via “Beheer > Gebruikers > Gebruiker toevoegen/bewerken” en dan het tabblad BLF. Gebruikers kunnen eigen BLF’s configureren via “Instellingen > BLF”.

Hashing van wachtwoorden

In deze update worden alle webwachtwoorden gehashed in het systeem. Dat betekent niet dat ze voorheen volledig onbeveiligd waren; u had nog steeds beheerdersrechten nodig voor toegang tot de wachtwoorden. Maar het kon beter, en dat is ook het onderwerp van CVE-2021-45491. Deze kwestie hebben we aangepakt in Update 7A.

Na de update voert de systeemservice een conversie uit waarbij alle huidige wachtwoorden worden gehashed. Gebruikers kunnen zich aanmelden met hun huidige wachtwoord, maar we raden iedereen aan het wachtwoord te wijzigen.

Het hashen van wachtwoorden is alleen van toepassing voor aanmeldingen bij de Web Client. Omwille van achterwaartse compatibiliteit worden de ID’s en wachtwoorden voor SIP-authenticatie, wachtwoorden voor SIP-trunks en gateways, en tunnelwachtwoorden niet gehashed. In het geval van een hack kunnen deze gegevens alleen worden gebruikt voor beltoegang tot de telefooncentrale. De gegevens kunnen dus niet worden gebruikt voor aanmelding bij de telefooncentrale. In toekomstige builds zorgen we ervoor dat ook deze wachtwoorden worden gehashed.

Wachtwoord en configuratiebestand verwijderd uit welkomstmail

Voorheen bevatte de welkomstmail het wachtwoord voor de Web Client en het configuratiebestand voor de configuratie van de app. We verwijderen deze gegevens uit de welkomstmail. Dat betekent:

  1. Gebruikers moeten eerst een wachtwoord instellen voordat ze zich aanmelden.
  2. Apps voor Android en iOS moeten worden geprovisioneerd met de QR-code.
  3. Om de oude Windows-app te kunnen gebruiken (dus niet de nieuwe Desktop App op basis van Electron), moet u deze provisioneren via PNP
    • Verbind de oude client met het netwerk
    • Keur goed in de Beheerconsole
  4. In de nieuwe welkomstmail worden deze wijzigingen beschreven. Hebt u een eigen welkomstmail geschreven, werk de tekst ervan dan bij.

Beheerderstoegang tot Web Client beperkt op basis van IP

U kunt de toegang tot de Beheerconsole al beperken op basis van IP. Nu kunt u dit ook doen voor systeembeheerders die toegang hebben tot de sectie Beheer in de Web Client.

PWA Web App waar mogelijk

Hoewel we binnenkort een nieuwe versie van de Desktop App uitbrengen, raden we omwille van netwerkbeheer nog altijd aan de PWA App te gebruiken waar mogelijk. Alle gebruikers die bellen via een deskphone of een Android- of iOS-app, moeten de PWA-client gebruiken. De smartphone-app met de PWA Web App vormen een gouden combinatie: bel waar u maar wilt, zowel op kantoor als daarbuiten, zonder een dure DECT-headset! In Update 7A promoten we de PWA Web App exclusief in de notificatie aan de linkerzijde.

PWA vereist een gedegen FQDN dat overal werkt. Cloudsystemen (StartUP/3CX Hosted/Eigen cloud) beschikken hierover. Lokale systemen moeten split DNS implementeren, maar dit wordt op een bepaald moment sowieso een vereiste voor alle systemen.

De Desktop Apps voor Windows en Mac bevinden zich nu uitsluitend op de pagina Apps, linksonder.

Blijf op de hoogte

Volg ons op Twitter en LinkedIn om op de hoogte te blijven van aankondigingen en nieuwe blogs over Update 7A. Blijf op de hoogte van dit doorlopende onderzoek via onze RSS-feed. Neem deel aan het gesprek in ons speciale helpforum.