Login English

21. Februar 2012

10 Kommentare

Sichere Sache

HTTPS bietet mite schon lange optional an, heute stellen wir komplett um. Rufst du mite im Browser auf, wird die Verbindung zwischen dir und unseren Servern nun stets verschlüsselt. Wie beim Online-Banking.

HTTPS schützt deine Daten vor allem dann, wenn deine Internetverbindung über öffentliche Netzwerke zustandekommt. Da es keinerlei Nachteile für dich mit sich bringt, ist die sichere Verbindung ab heute immer für dich aktiviert.

Neben der Umstellung auf HTTPS haben wir an einigen anderen Punkten ebenfalls Hand angelegt, um die Sicherheit von mite weiter zu verbessern. Ist beispielsweise dein Passwort in Vergessenheit geraten, verschicken wir nun statt einem neuen Passwort nurmehr einen Link per E-Mail, über den du dein Passwort selbst ändern kannst. Ebendiesen Prozess haben wir auch für Begrüßungsmails an neue Teammitglieder eingeführt. Einher gehen einige zusätzliche Verbesserungen im Hintergrund, beispielsweise stärkere Verschlüsselungsalgorithmen.

Neben diesen softwareseitigen Schutzwällen kannst auch du viel dazu beitragen, deine Daten zu schützen. Aller Anfang ist ein nur dir bekanntes sicheres Passwort, das du ausschließlich für mite nutzt. Ein sicheres Passwort lässt sich in keinem Wörterbuch nachschlagen, besteht aus mindestens acht Zeichen und mischt Ziffern, Buchstaben und Sonderzeichen. Aber das wisst ihr ja sicher schon.

Liebe API-Entwickler, aufgemerkt!

Unsere API werden wir ebenfalls umstellen, sie wird bald nur noch über HTTPS erreichbar sein. Falls eure Entwicklungen noch nicht über HTTPS auf die mite.api zugreifen, ändert dies bitte. Ab dem 30. März werden wir keine HTTP-Requests mehr akzeptieren. Wir hoffen sehr, dass euch diese guten fünf Wochen genügend Luft für Umstellungen bieten. Bitte unterstützt dieses Update zugunsten eines sichereren mite!


Kommentare

Matthias am 22. Feb 2012 um 9:55

Top! <3

Carsten am 24. Feb 2012 um 13:41

Vielen Dank und weiter so!

Julia am 24. Feb 2012 um 14:04

@Matthias & Carsten: Vielen lieben Dank euch für das nette Feedback!

Michael am 25. Feb 2012 um 17:19

Hallo,

ist das Mantis2mite v1.2.4-Plugin von der API-Umstellung auch betroffen?
Wisst ihr, ob es ggf. ein Update dafür geben wird?

MfG,
Michael

Sebastian am 27. Feb 2012 um 9:27

Hallo Michael,

danke für deine Nachfrage. Mantis2mite in der Version 1.2.4 benutzt bereits von Haus aus nur verschlüsselte Verbindungen. Es sollte daher – soweit ich das sehe – kein Update nötig sein.

Liebe Grüsse,
Sebastian.

Tim am 29. Feb 2012 um 6:35

Kurze Frage: Werden alle Daten (Zeiteinträge, Rechnungsdaten, Rechnungen) verschlüsselt bei euch abgelegt?

Julia am 29. Feb 2012 um 10:41

@Tim: Nein, das ist nicht der Fall und wäre unserer Einschätzung nach auch nicht sinnvoll. Passwörter sichern wir ausschließlich verschlüsselt, Zahlungsdaten (Bank, KK) auf den zertifizierten Sicherheitsservern unserer Zahlungspartner.

Dave am 21. Mär 2012 um 11:44

Sicherheit ist gut, aber die API-Entwickler so schnell zur Umstellung zu zwingen…bin ich gespannt wie die reagieren…

Julia am 21. Mär 2012 um 11:52

@Dave: Der Großteil der API-Requests erfolgte bereits vor dieser Ankündigung via HTTPS. Bisher hoffen wir, dass der gesteckte Zeitrahmen klappen wird, die Rückmeldungen waren größtenteils positiv.

Tim am 23. Mär 2012 um 16:36

@ Dave: Aus meiner Sicht war die Umstellung keine große Sache. Die PHP Bibliothek von Thomas Klein z.B. hatte den Aufruf schon immer verschlüsselt eingebaut (und ich denke die anderen haben das genauso getan). Das einzige was ich tun musste, war dies nochmal zu verifizieren.

Selbst kommentieren?