2.0 - SECURITY

[mtnstar]

Folgende Security Features sollen mit Hitobito 2.0 realisiert werden:

1. Content Security Policy (CSP)

• Basis Konfiguration mit Reporting Level Content Security Policy #1017 refine!
• Tuning und enforcen von CSP

https://guides.rubyonrails.org/security.html#default-headers

2. Clean-up Devise

Vor der Einführung von 2FA soll der Code rund um Devise aufgeräumt werden.

• Refactor/Clean up devise code, adjust wagon code TECH: Devise Authenticable Clean-Up #1083

3. Second Factor Auth (2FA)

• TOTP fertigstellen 2FA: TOTP fertigstellen #1303
• Festlegen wie 2FA eingesetzt wird: Admin-Zugänge, Defaults, Zugang Integration, Root User?
• Konfiguration Rollen Wagons (enforce 2fa auf Rolle), Testphase auf Integration
• Älteres Ticket: Zwei Faktor Authentifizierung 2FA (1d) #361 schliessen
• Einführen von 2FA/TOTP in Produktion

https://en.wikipedia.org/wiki/Time-based_One-Time_Password

4. Sichere Passwörter für alle Integrationsumgebungen

Da auf Integrationsumgebungen die Nutzenden wenig Security-sensitiv sind und daher auch immer wieder reale Daten auf den Integrationsumgebungen landen, werden komplexere Passwörter benötigt um den Zugriff auf diese Daten zu schützen. Dabei soll ein sehr komplexes Passwort für alle Benutzer pro Umgebung gesetzt werden.

• Rake Task um die Passwörter sämtlicher Benutzer einer Umgebung zu setzen, Komplexes Passwort wird Random generiert und auf der Konsole ausgegeben beim Aufruf des Tasks, Dokumentation
• Anleitung für sichere Übertragung des Passworts an die Benutzer der Integrationsumgebungen
• Setzen der Passwörter auf allen Integrationsumgebungen