/ Features

Release Enginsight v0.0.7

Mit dem Release v0.0.7 wurden die Bereiche SSL/TLS und HTTP-Header Analyse wesentlich erweitert. Weiterhin wurde das User-Interface weiter ausgebaut.

Features

Die Sicherheitsanalysen wurden um die folgenden Scans erweitert.
Offizielle Common Vulnerabilities and Exposures (CVE):

  • Drown CVE-2016-0800
  • Crime CVE-2012-4929
  • Heartbleed CVE-2014-0160
  • OpenSSL CCS Injection CVE-2014-0224

Weitere sicherheitsrelevante Konfigurationen und Schwachstellen, die überprüft werden:

  • Prüfung ob SSLv2 vom Server unterstützt wird.
  • Prüfung ob TLS Session Resumption vom Server unterstützt wird, um DoS-Attacken durch Session-Neuverhandlungen zu vermeiden.
  • Prüfung ob Client-Initiated Renegotiation vom Server unterstützt wird, um DoS-Attacken durch Neuverhandlung von Verschlüsselungsparametern zu vermeiden.
  • Es wird geprüft ob ein Server TLS FALLBACK SCSV unterstützt um protocol-downgrade Attacken abwehren zu können.
  • Evaluierung des verwendeten Diffie-Hellman Parameters.
  • Es wird geprüft, ob es sich bei dem verwendeten Zertifikat um ein Extended-Validation-SSL-Zertifikat handelt. Diese gelten als besonders sicher.

Für jedes Mandat werden aus den erfassten Daten nun Security-Scores erfasst.
Der Score gibt Auskunft über die sicherheitstechnische Einstufung des Mandats.

Die HTTP-Header Analyse zeigt nun Empfehlungen, welche Werte für die jeweiligen Header gesetzt werden sollten.

Auf dem Mandats-Dashboard werden Tickets nun in einem neuen Grafen visualisiert.

Die Enginsight Plattform wird nun geo-redundant betrieben, sodass wir weltweit Antwortzeiten von unter 1s garantieren können.

Fixes
  • Kleinerer Speicherfehler in Observern behoben.
  • Die Konsistenz der Datenerfassung der Observe wurde wesentlich erhöht, sodass Verfälschungen der Daten nahezu ausgeschlossen werden können.
  • Kleinere Fixes und Verbesserungen