Mehr Sicherheit für b1gMail

In den letzten Monaten habe ich neben dem neuen Design auch an der Sicherheit von b1gMail gearbeitet.

Geplant sind moderne Cookie basierte Sessions anstelle von Session IDs in URLs, eine automatische Sperre bei Inaktivitaet sowie ein verbessertes Session Handling. Dadurch sollen vertrauliche Inhalte besser geschuetzt und abgelaufene Sitzungen sauber behandelt werden.

Auch der Administrationsbereich erhaelt zusaetzliche Sicherheitsfunktionen wie eine IP Whitelist und die Vorbereitung fuer Multi Faktor Authentifizierung.

Die Umstellung erfolgt schrittweise, damit bestehende Installationen und Plugins weiterhin moeglichst kompatibel bleiben.

Ein grosser Teil der Grundlagen ist bereits umgesetzt. Mein Ziel ist es, b1gMail technisch auf den aktuellen Stand zu bringen und die Sicherheit deutlich zu verbessern.

Kleines Update zur laufenden Sicherheitsmodernisierung von b1gMail:

Die Mehrfaktor-Authentifizierung für Benutzer ist mittlerweile nativ integriert.

Aktuell werden folgende Verfahren unterstützt:

• TOTP-Authenticator-Apps (z.B. Aegis, Google Authenticator oder Authy)
• Einmalcodes per E-Mail an eine hinterlegte alternative E-Mail-Adresse

Die MFA-Funktion kann vom Benutzer selbst eingerichtet und verwaltet werden. Weitere Sicherheitsverbesserungen rund um Sessions, Login und den Administrationsbereich befinden sich weiterhin in Arbeit.

Die Mehrfaktor-Authentifizierung steht nun auch im Administrationsbereich zur Verfügung und kann direkt über das ACP eingerichtet und verwaltet werden. Unterstützt werden sowohl TOTP-Apps als auch Einmalcodes per E-Mail.

Zusätzlich wurde für das ACP und das Login-Interface eine neue Sperrfunktion integriert. Sitzungen können entweder manuell gesperrt oder nach einer konfigurierbaren Zeit der Inaktivität automatisch gesperrt werden.

Im Gegensatz zu einem Logout bleibt die Sitzung dabei bestehen. Nach der Sperre genügt die erneute Eingabe des Passworts, um weiterzuarbeiten. Dadurch bleiben geöffnete Arbeiten erhalten, während unbefugte Zugriffe bei einem verlassenen Arbeitsplatz verhindert werden.

Ich habe soeben unser System auf die inoffizielle Version 7.5.0 aktualisiert. Ziel ist es, die neuen Sicherheitsfunktionen, Template-Anpassungen sowie die Kompatibilität und Funktion aller Plugins umfassend zu testen.

Wer die aktuelle Entwicklung bereits vor der offiziellen Veröffentlichung ausprobieren möchte, kann dies gerne über unseren Demo-Zugang tun und die neuen Funktionen selbst testen.

Url: https://mail.town

Benutzer: demo@mail.town

Passwort: It67*57kidHk!