Login Deutsch

February 21, 2012

10 comments

Securing mite with HTTPS-only

When accessing mite on the web, we offered optional HTTPS from very early on. Today, we switched to HTTPS-only. Thus, the connection between your browser and our servers will always be encrypted. Just like in online banking.

HTTPS is especially helpful when you access mite over an unsecured Internet connection like a public wi-fi network. There are no disadvantages to HTTPS for you. Therefore, HTTPS is always activated.

Besides switching to HTTPS-only, we launched some more updates to improve the security of mite. For example, if you forgot your password, mite will now e-mail you a link to change your password yourself. We introduced the same process to inviting new team members to your account. Several updates in the background accompany these changes, e.g. stronger algorithms for password encryption.

While we work hard to secure your data, you can help, too. The best point to start is to choose a secure password which you only use in mite. A secure password cannot be found in a dictionary. It consists of at least eight characters, and it mixes letters, numbers, and special characters.

API developers, listen up please!

We will switch our API to HTTPS-only, too. If you do not access the API via HTTPS yet, please update your code. Starting March 30th, the mite.api won’t accept HTTP requests anymore. Hopefully, five weeks will be more than enough time to change your code unhurriedly. Please support this update and help make mite more secure!


Comments

Matthias on Feb 22, 2012 at 9:55

Top! <3

Carsten on Feb 24, 2012 at 13:41

Vielen Dank und weiter so!

Julia on Feb 24, 2012 at 14:04

@Matthias & Carsten: Vielen lieben Dank euch für das nette Feedback!

Michael on Feb 25, 2012 at 17:19

Hallo,

ist das Mantis2mite v1.2.4-Plugin von der API-Umstellung auch betroffen?
Wisst ihr, ob es ggf. ein Update dafür geben wird?

MfG,
Michael

Sebastian on Feb 27, 2012 at 9:27

Hallo Michael,

danke für deine Nachfrage. Mantis2mite in der Version 1.2.4 benutzt bereits von Haus aus nur verschlüsselte Verbindungen. Es sollte daher – soweit ich das sehe – kein Update nötig sein.

Liebe Grüsse,
Sebastian.

Tim on Feb 29, 2012 at 6:35

Kurze Frage: Werden alle Daten (Zeiteinträge, Rechnungsdaten, Rechnungen) verschlüsselt bei euch abgelegt?

Julia on Feb 29, 2012 at 10:41

@Tim: Nein, das ist nicht der Fall und wäre unserer Einschätzung nach auch nicht sinnvoll. Passwörter sichern wir ausschließlich verschlüsselt, Zahlungsdaten (Bank, KK) auf den zertifizierten Sicherheitsservern unserer Zahlungspartner.

Dave on Mar 21, 2012 at 11:44

Sicherheit ist gut, aber die API-Entwickler so schnell zur Umstellung zu zwingen…bin ich gespannt wie die reagieren…

Julia on Mar 21, 2012 at 11:52

@Dave: Der Großteil der API-Requests erfolgte bereits vor dieser Ankündigung via HTTPS. Bisher hoffen wir, dass der gesteckte Zeitrahmen klappen wird, die Rückmeldungen waren größtenteils positiv.

Tim on Mar 23, 2012 at 16:36

@ Dave: Aus meiner Sicht war die Umstellung keine große Sache. Die PHP Bibliothek von Thomas Klein z.B. hatte den Aufruf schon immer verschlüsselt eingebaut (und ich denke die anderen haben das genauso getan). Das einzige was ich tun musste, war dies nochmal zu verifizieren.

Got something to add?