售前咨询: 400-820-8720
主页 > 服务支持 > 服务动态 >

致远V5.6SP1 2016年3月修复包弱口令安全问题解决方案

本修复包重点解决了两方面的安全问题:从产品角度解决弱口令登录密码问题及二次开发安全设置。请在升级3月修复包前仔细阅读。
一、解决弱口令登录密码
1、增加密码强度验证功能。如果设置的密码不符合密码强度,则系统要求强制修改。
注意:此补丁包只适用于解决用户名+密码登录验证弱口令问题,不适用其他登录方式(AD/LDAP,身份认证狗等)
(1)登录系统管理员账号,在“启动密码强度验证”中设置密码强度,默认是“中等”
 

(2)在用户登录时会验证用户当前登录密码的强度,当密码强度小于系统设定的密码强度时,会提示用户修改密码,提示界面如下图所示

 
 
 

 
 
 

 
 
 


 
 
 

 
 
 
高危操作:如果客户做了大量基于弱口令的二次开发且不愿改变的话,临时可以通过配置“插件参数设置”的webservice.weakpassword.enabled设置为1(允许)保持访问,但建议修改二开中的口令,否则需自行承担所引起的安全风险。
 
(2)点击“确定”按钮进入密码修改界面
二、二次开发安全设置
1、没有做二次开发的,打上补丁不需要做其他操作;
2、使用了Webservice进行二次开发,打上补丁,请使用SeeyonConfig配置工具,将“插件参数设置”:
              webservice.enabled 设置为1(启用)
              webservice.password 设置密码(不要使用弱口令)
3、客开的代码必须按照新的密码进行访问,否则无法调用
4、不能使用123456和空密码等弱口令,否则仍无法调用
5、如果需要更高的安全性,请将调用SOAP Webservice和单点登录的服务器IP地址加到“外部信任地址”中,并勾选“是否启用信任地址功能”,只允许指定IP调用。
 
请参照下图进行设置
 
2、增加密码过期时,密码是否需强制修改功能。
(1)登录系统管理员账号,设置“密码过期强制修改”,当选择为“是”时,密码过期以后,将提示用户“密码已过期,请及时修改”
 
(4)当用户所修改的密码不符合当前系统设定的密码强度时,则不允许保存
 
(3)此时用户需进入密码修改页面进行密码修改

 

上一篇:2016年V5产品线相关版本停止维护通知 下一篇:致远V5.6支持流程表单智能归档


关于致远

上海企通数字科技有限公司(曾用名上海企通软件有限公司),成立于2003年1月,企通成立17年来始终专注国内企业数字化服务,是一家以管理软件和互联网应用的开发、咨询、营销、培训、实施、服务于一体的管理数字化服务公司。以“推动客户实现行业领先”为己任,以帮助客户“增加收入、提升效率、降低成本、控制风险”为目标,为国内企业提供数字财务、智能供应链、数字营销、智能制造、员工赋能、智慧协同等领域数字化转型培训、咨询、工具、运营。

400-820-8720
在线服务


扫一扫关注公众号
版权所有:上海致远软件有限公司 | 地址:上海浦东新区浦东南路2250号B座4楼 | 沪ICP备:11016311号-6 

在线体验

X

借助协同管理软件,我们的客户成功实现了管理价值。他们的分享希望能给您帮助。如果您想进一步了解致远协同管理软件,请真是填写如下表格,我们的工作人员会尽快与您联系,为您答疑解惑。

选择产品:
姓名: *
单位名称: *
所属行业: *
联系电话: *
联系手机: *
电子邮件: *
您的需求: *