<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Nilay,</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Your recommendations on "security checks" is more towards deployment and hosting than product itself.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Vtiger product as such does open unauthenticated access from Web / API - please confirm if it does so.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><span style="font-family:Arial,Helvetica,sans-serif">--</span><br></div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><span style="border-collapse:collapse;font-family:arial,sans-serif;font-size:13px"><a href="http://www.facebook.com/vtiger" style="color:rgb(0,0,204)" target="_blank">FB</a> I </span><a href="http://twitter.com/vtigercrm" style="color:rgb(0,0,204)" target="_blank">Twit</a> I <a href="https://www.linkedin.com/company/1270573?trk=tyah" style="color:rgb(0,0,204)" target="_blank">LIn</a> I <a href="https://blogs.vtiger.com" style="color:rgb(0,0,204)" target="_blank">Blog</a> I <a href="https://www.vtiger.com/" style="color:rgb(0,0,204)" target="_blank">Website</a></div></div></div></div></div></div></div></div></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jun 28, 2019 at 4:37 PM nilay khatri <<a href="mailto:nilay.spartan@gmail.com">nilay.spartan@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi Chris,<div><br></div><div>no it is not secure enough if you use it as it is.</div><div><br></div><div>As I had sent an email warning everyone about hacks going on related to <a href="http://vtigersupport.com" target="_blank">vtigersupport.com</a> here are few things:</div><div><br></div><div>1. if you are using SMS integration, which I guess would be the case for the insurance industry, the passwords are stored in plain text. We need to have a salt-based encryption</div><div><br></div><div>2. Database credentials are stored in plain text, so if the file system is compromised the attacker would gain access to the database as well easily. Use some encryption system to encrypt the whole config file or store the database credentials in a separate file outside the document root and include that file in config.inc.php</div><div><br></div><div>3. Make sure you apply the change to normalize the web service error for invalud username or password</div><div><br></div><div>4. Disable import from zip files if not required</div><div><br></div><div>5. Define the .htaccess rules properly such that it allows access to only the files which should have direct access such as index.php, capture.php, .png jpeg etc. files in storage, etc.. Everything rest should be forbidden</div><div><br></div><div>6. There is no rule to set a secure password, even if you tel the users to always use a secure password, you can not be sure that users will do that. Quite possible the can set a password just 1 character long :)</div><div><br></div><div>7. Review the custom extension thoroughly, such as VGS Document Manager(it is all good unless you set the file permissions properly)</div><div><br></div><div>8. Make sure no 2 CRM systems on the same server have same application key. This normally happens if you use a Dump of already installed CRM to setup a new CRM</div><div><br></div><div><br></div><div>These are a must "security checks" you should consider.</div><div><br></div><div>To make it more secure you can consider few more things:</div><div><br></div><div>1. Keep the CRM behind Cloudflare. There are some issues which occur if you use Cloudflare, such captcha validation while sending an Email.</div><div><br></div><div>2. Have 2FA, we are working on this and will soon have an Open Source patch for this</div><div><br></div><div>Hope this helps.</div><div><br></div><div>I guess Blazej will have more comments :)</div><div>.</div><div> </div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jun 28, 2019 at 1:22 PM socialboostdk <<a href="mailto:socialboostdk@gmail.com" target="_blank">socialboostdk@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi there,<br><div><br></div><div>I have a client who needs very high security (think "insurance" category). They're asking if Vtiger 7 open source can actually be made secure enough? Ie. assuming we apply all patches, collect all known bugs/holes etc., and try to fix those.</div><div><br></div><div>I would like to give them a honest answer.</div><div><br></div><div>What do you think?</div><div><br></div><div>Thanks,<br>Chris</div></div>
_______________________________________________<br>
<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a></blockquote></div>
_______________________________________________<br>
<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a></blockquote></div>