Neue Funktionen und Verbesserungen – Wiederherstellung und Erstellung von Passwörtern
Wir haben den Prozess der Benutzerregistrierung und Passwortwiederherstellung vollständig überarbeitet, indem wir den Versand von Passwörtern per E-Mail abgeschafft haben. Diese Änderung basiert auf Kundenanfragen und bewährten Sicherheitspraktiken, um die Verwendung von Klartext-Passwörtern zu vermeiden und den Schutz der Konten zu stärken.
Die Benutzerregistrierung und Passwortwiederherstellung, die von Administratoren über Einstellungen durchgeführt werden, senden nun eine E-Mail mit einem sicheren Link, der 5 Tage gültig ist, damit der Benutzer sein Passwort festlegen kann.
Ebenso sendet die Option „Ich habe mein Passwort vergessen“ eine E-Mail mit einem sicheren Link, der 30 Minuten gültig ist, sodass der Wiederherstellungsprozess eigenständig abgeschlossen werden kann.
Alle generierten Links zur Passwortzurücksetzung sind einzigartig, signiert und nur einmal verwendbar und werden nach der ersten Nutzung automatisch ungültig. Außerdem wird ein neues Passwortänderungsfenster eingeführt, über das der Benutzer sein neues Passwort festlegen kann, sobald der erhaltene Link validiert wurde.
Nach einer erfolgreichen Passwortänderung schließt das System vorherige aktive Sitzungen, protokolliert das Ereignis und sendet eine Bestätigungsbenachrichtigung an den Benutzer.
Falls der Link abgelaufen ist, zeigt das System beim Zugriff darauf eine Informationsmeldung an und bietet die Möglichkeit, die E-Mail erneut zu senden, um direkt vom Bildschirm aus einen neuen Zurücksetzungslink zu generieren.
Diese Verbesserungen gelten für Benutzer mit lokaler Authentifizierung von GlobalSuite. Benutzer, die über AD, LDAP, ADFS oder Single Sign-On mit SAML zugreifen, arbeiten weiterhin wie bisher.
GlobalSuite API: Sicherheitsupdate bei der Authentifizierung
Um die Sicherheitsstandards zu erhöhen und die Integrität der Kommunikation mit GlobalSuite zu gewährleisten, werden wir die zulässigen Mechanismen für die Übermittlung des API-Key anpassen.
Ab der nächsten Version wird die Verwendung des API-Key als Parameter in der URL (GET) veraltet und nicht mehr funktionsfähig. Die einzige gültige Methode zur Authentifizierung von Anfragen wird über die HTTP-Header erfolgen.
Warum führen wir diese Änderung durch?
Die Übermittlung von Anmeldedaten über die URL (Query Strings) stellt ein Sicherheitsrisiko dar, da die Schlüssel in folgenden Bereichen gespeichert werden können:
-
Browser-Verlauf.
-
Server-Logs und Zwischen-Proxies.
-
Referrer-Header beim Navigieren zu anderen Seiten.
Durch die Einschränkung der Nutzung auf den Header richten wir uns nach den besten Praktiken der Branche (OWASP) und stellen sicher, dass die Verbindung robuster und privater ist.
Technische Details
So funktioniert es derzeit (unterstützt bis zur aktuellen Version):
Die Übermittlung des Schlüssels ist sowohl in der URL als auch im Header erlaubt: https://demo-eu.globalsuitesolutions.com/v1/categories?api_key=API-KEY
So wird es funktionieren (einzige verfügbare Methode in der nächsten Version):
Der Schlüssel muss ausschließlich im Header der Anfrage übermittelt werden:
HTTP
GET /v1/globalsuite/data HTTP/1.1
Host: demo-eu.globalsuitesolutions.com
X-API-KEY: TU_CLAVE_AQUI
Content-Type: application/json
Erforderliche Aktion
Wenn Sie derzeit Integrationen mit GlobalSuite® unter Verwendung des API-Key als Parameter in der URL durchführen, muss die Verbindung vor dem 18. Januar aktualisiert werden, um eine Dienstunterbrechung zu vermeiden.
-
Lokalisieren Sie die API-Aufrufe von GlobalSuite in Ihrem Code.
-
Entfernen Sie den Parameter api_key aus der URL-Zeichenkette.
-
Fügen Sie den Schlüssel im Header der HTTP-Anfrage unter dem Namen apikey hinzu.
Mehr Infos
Weitere Informationen zur GlobalSuite-API finden Sie unter folgendem Link:
https://help.globalsuitesolutions.com/es/globalsuite/v1/globalsuite-api