Neben der – verhältnismäßig häufiger aktualisierten – Businesslogik gibt es noch den so­ge­nannten Applikationsserver. Der mercaware-Applikationsserver befindet sich technisch betrachtet zwischen der PostgreSQL-Datenbank und der Businesslogik (welche die Geschäfts­prozesse abbildet). Für die meisten Benutzer ist der Applikationsserver aufgrund der maß­geblichen technischen Rolle bei der täglichen Benutzung des Java-Applets unsichtbar. In dieses Release sind verschiedene Verbesserungen und Korrekturen eingeflossen:

• Von der Thawte-Zertifizierungsstelle signiertes Java-Applet
• Maßgebliche Verbesserung der SSL-verschlüsselten Verbindungen
• Erhöhte Passwortsicherheit und kryptographische Verbesserungen
• Vollständige Unterstützung von Barcodes (z.B. in Artikeln)
• Ausgabe von technischen Feldinformationen mittels Strg+T
• Gezieltere Hilfe bei der Verwendung mittels Strg+H
• Integration von Desktop-Verknüpfungen über Java Web Start
• Automatische Erkennung bzw. Installation von Java im Webstart
• Update der PostgreSQL-Datenbank von Version 9.1 auf 9.3
• Zusätzliche Unterstützung von Java 6 (neben von Java 7)
• Gleiche optische Darstellung unter allen Betriebssystemen
• Beseitigung einer entfernt ausnutzbaren Schwachstelle

VON DER THAWTE-ZERTIFIZIERUNGSSTELLE SIGNIERTES JAVA-APPLET

Nachdem Oracle Java 6 und 7 im letzten Herbst und Winter leider so einige Schwachstellen hatten, hat Oracle mit Java 7 Update 51 (1.7.0_51-b13) die standardmäßigen Sicherheitseinstellungen erhöht: Absofort müssen Java-Applets mit einem offiziellen Zertifikat signiert sein damit sie nicht standardmäßig blockiert werden. Nachdem wir den mercaware-Benutzern das Herabsetzen der Sicherheitseinstellungen nicht zumuten möchten, ist das Java-Applet von mercaware nun mit einem Zertifikat von Thawte signiert. Thawte (eine Tochterfirma von VeriSign) ist eine der ältesten und bekanntesten Zertifizierungsstellen für digitale Zertifikate und sollte daher zu keinerlei Akzeptanzproblemen auf den Rechnern führen.

MASSGEBLICHE VERBESSERUNG DER SSL-VERSCHLÜSSELTEN VERBINDUNGE

Die Verbindung zwischen dem Java-Applet und dem mercaware-Applikationsserver ist schon immer SSL-verschlüsselt gewesen. Bei SSL/TLS-Verschlüsselung handelt es sich um die gleiche Verschlüsselungsart wie sie auch bei Online-Shops oder beim Online-Banking im Webbrowser zum Einsatz kommt. Nachdem uns die Sicherheit am Herzen liegt und seit den Enthüllungen von Edward Snowden auch das allgemeine Sicherheitsbewusstsein gestiegen ist, haben wir die bisher verwendete SSL-Verschlüsselung auf den Prüfstand gestellt:

Standardmäßig waren die Verbindungen bislang SSLv3-verschlüsselt, bei älteren Java-Versionen oder lokalen abweichenden Java-Ein­stel­lungen des Benutzers konnte in seltenen Fällen auch das schwächere SSLv2 zum Einsatz kommen.

Um unseren hohen Sicherheitsansprüchen gerecht zu werden, wird absofort eine TLSv1.2-verschlüsselte Verbindung erwartet welche maximal auf eine TLSv1-verschlüsselte Verbindung herabgesetzt wird. Bei TLSv1.2 handelt es sich um die derzeit beste Transport­verschlüsselung welche auch vom Bundesamt für Sicherheit in der Informations­technik (BSI) empfohlen wird. Da zur Zeit jedoch nur ein geringer Teil der verfügbaren Webdienste überhaupt TLSv1.2 unterstützt sind Sie hier mit mercaware auf der sicheren Seite.

Da manche unserer Kunden leider noch Java 6 im Einsatz haben und aus verschiedenen Gründen nicht auf Java 7 aktualisieren können, lassen wir auch TLSv1-verschlüsselte Verbindungen zu. Dies ist übrigens auch für manche Java 7-Installationen erforderlich wenn TLSv1.2 deaktiviert ist. Bei TLSv1.2 handelt es sich um den Nachfolger von TLSv1 welches wiederum der Nachfolger von SSLv3 ist.

Die erzwungene Mindestverschlüsselung mit TLSv1 bedeutet, dass z.B. absichtlich geschwächte Java-Einstellungen, die für eine schwächere Transportverschlüsselung sorgen sollen, zu einer Fehlermeldung führen. Somit können Sie sich absofort immer sicher sein, eine wirklich sichere Verbindung zu haben.

Vertrauen ist gut – Kontrolle ist besser: Im Java-Applet unter „Programm“ beim Menüpunkt „Info“ können Sie bei den Punkten „Encryption“ und „Cipher“ die aktuell verwendete Verschlüsselung jederzeit selbst einsehen.

Im Zuge dieser Verbesserung haben wir auch die sogenannte „Chiper Suite“, eine standardisierte Sammlung kryptographischer Algorithmen, konfigurierbar gemacht. Damit lassen sich die Algorithmen zum Aufbau einer Datenverbindung auf Wunsch kunden­spezifisch noch weiter härten.

ERHÖHTE PASSWORTSICHERHEIT UND KRYPTOGRAPHISCHE VERBESSERUNGEN

Zusätzlich wird eine höhere Kennwort-Sicherheit erzwungen: Ein Passwort muss absofort mindestens 8 Zeichen lang sein und muss mindestens eine Zahl, ein Sonderzeichen und einen Groß­buchstaben enthalten. Dies folgt ebenfalls einer Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Darüber hinaus werden die Kennwörter absofort mit der krypto­graphischen Hashfunktion SHA-512 verschleiert bzw. „ver­schlüsselt“ bevor sie in der PostgreSQL-Datenbank abgespeichert werden. Da dies jedoch nur für neue Passwörter greift, sollten Sie Ihr mercaware-Passwort kurzerhand ändern. Als regulärer mercaware-Benutzer (ohne Administrator-Rechte) ist das von der „Homepage“ aus möglich, wenn Sie auf den Button „Sonstiges“ und danach auf „Benutzereinstellungen“ klicken. Danach können Sie in der Maskenauswahl bzw. im Masken­baum den Punkt „Passwort ändern“ auswählen und die Änderung vornehmen.

VOLLSTÄNDIGE UNTERSTÜTZUNG VON BARCODES (Z.B. IN ARTIKELN)

Die vollständige Barcode-Unterstützung bedeutet, dass z.B. in jedem Artikel ein Barcode hinterlegt werden kann. Je nach Druckdokument ist natürlich auch eine Ausgabe des Barcodes für die Weiterverwendung mit einem Barcode-Scanner z.B. im Lager möglich.

Folgende Barcode-Typen werden von mercaware unterstützt:

• Codabar
• Code 128, 128-B und 128-C
• Code 39
• Code 93
• EAN-8 und EAN-13
• Interleaved 2 of 5
• ISBN-10 und ISBN-13
• MSI
• Plessey

AUSGABE VON TECHNISCHEN FELDINFORMATIONEN MITTELS STRG+T

„Ein Bild sagt mehr als tausend Worte“ – wir lösen es mit einer Tasten­kombination. Beim telefonischen Support ist uns immer wieder auf­ge­fallen, dass es hilfreich wäre den eindeutigen Namen eines Felds in einer Maske zu sehen bzw. wissen um Ihnen gezielter und schneller weiter­helfen zu können.

Dafür haben wir nun die Tasten­kombination Strg+T eingeführt: Wenn Sie in ein beliebiges merca­ware-Feld klicken und Strg+T drücken, öffnet sich ein Fenster das den technischen Namen des Felds anzeigt. Beim telefonischen Support können wir Ihnen damit sofort sagen ob wir über das gleiche Feld sprechen.

GEZIELTERE HILFE BEI DER VERWENDUNG MITTELS STRG+H

Um das umfangreiche mercaware-Handbuch noch besser mit dem Java-Applet zu verknüpfen haben wir technische Verbesserungen vorgenommen, so dass die Tastenkombination Strg+H auf der z.B. Auftragsmaske direkt im richtigen Bereich des mercaware-Handbuchs landet. Da es sich hierbei um einen fortschreitenden Prozess handelt, werden Sie hier auch in der Zukunft immer mehr Verbesserungen erfahren.

INTEGRATION VON DESKTOP-VERKNÜPFUNGEN ÜBER JAVA WEB START

In einer mobilen Welt kommt mercaware auch auf mobilen Geräten zum Einsatz – beispielsweise auf dem Laptop. Da manchmal den Benutzern nur eine dünnbandige Anbindung wie GPRS oder HSDPA zur Verfügung steht, kann über den Button „Desktop-Starter“ eine mercaware-Verknüpfung auf dem Desktop abgelegt werden. Im Hintergrund wird beim ersten Start dann das Java-Applet heruntergeladen und auf dem Rechner lokal zwischengespeichert. Bei weiteren Startvorgängen wird dann lediglich geprüft ob auf dem Server ein neueres Java-Applet vorhanden ist. Das beschleunigt den Start von mercaware gerade bei Außen­dienst­mit­ar­bei­tern und ersetzt frühere lokale Lösungen mit selbst herunter­ge­lad­en­en JAR-Dateien.

Natürlich können die Desktop-Verknüpfungen, welche technisch über den sogenannten Java Web Start realisiert sind, auch im Büro verwendet werden. So lässt sich mercaware direkt vom Desktop und ganz ohne den Webbrowser starten!

AUTOMATISCHE ERKENNUNG BZW. INSTALLATION VON JAVA IM WEBSTART

Da gerade bei neuen Rechnern oftmals noch kein Oracle Java installiert ist und der Start von mercaware ohne Java nicht funktioniert, wird absofort beim Start von mercaware geprüft ob Java auf dem Rechner bereits installiert ist und ob die vorhandene Version neu genug ist. Ist eines von beidem nicht der Fall, so werden Sie direkt darauf hingewiesen und können mit nur wenigen Mausklicks die passende Java-Version direkt installieren.

UPDATE DER POSTGRESQL-DATENBANK VON VERSION 9.1 AUF 9.3

Unter dem mercaware-Applikationsserver liegt die leistungsstarke PostgreSQL-Datenbank. In dieser werden sämtliche Daten gespeichert, die Sie in mercaware eingeben. Mit dem Wechsel auf die neue Version 9.3 von PostgreSQL ergeben sich viele technische Detailverbesserungen für unsere Entwickler um mercaware noch besser und leistungsfähiger zu machen. Aber auch für Sie ergibt sich ein direkter Vorteil: Die neue Datenbank-Version ist noch schneller…

ZUSÄTZLICHE UNTERSTÜTZUNG VON JAVA 6 (NEBEN VON JAVA 7)

Da leider einige unserer Kunden weiterhin aus verschiedenen Gründen auf Java 6 angewiesen sind, haben wir die bisherige Mindest­anforderung von Java 7 auf Java 6 gesenkt.

Falls Sie noch Java 6 einsetzen aber nicht zwingend darauf angewiesen sind, so empfehlen wir Ihnen ein Update auf Java 7, denn Java 6 wurde bereits vor einiger Zeit vom Hersteller Oracle abgekündigt und sollte nicht mehr eingesetzt werden.

GLEICHE OPTISCHE DARSTELLUNG UNTER ALLEN BETRIEBSSYSTEMEN

Bisher wurde das Java-Applet von mercaware je nach Betriebssystem unterschiedlich dargestellt und hat sich auch leicht unterschiedlich verhalten. Dies haben wir nun angepasst so dass Sie überall ein gleich aussehendes und vor allem gleich verhaltendes mercaware haben – ganz egal ob Sie Microsoft Windows, Linux oder Mac OS X einsetzen.

Darüber hinaus haben wir noch einige optische Anpassungen vorgenommen und gemeldete Darstellungsfehler korrigiert.

BESEITIGUNG EINER ENTFERNT AUSNUTZBAREN SCHWACHSTELLE

Bei unserer umfangreichen Sicherheitsüberprüfung von mercaware haben wir leider auch eine Schwachstelle entdeckt: Diese Schwach­stelle hat es erlaubt mercaware aus der Ferne nur über eine IP-Verbindung mit einer speziell präparierten Zeichenkette herunter­zufahren. Da uns von unseren Kunden keine Berichte diesbezüglich vorliegen, gehen wir davon aus, dass dass die Schwachstelle nicht miss­bräuchlich ausgenutzt wurde.

Bei eventueller Ausnutzung der Schwachstelle war jedoch in keinem Fall ein Zugriff auf irgendwelche Daten möglich, lediglich das Herunter­fahren von mercaware. Selbstverständlich haben wir sofort reagiert und bereits kurz nach der Entdeckung die Firewall-Kon­fi­gu­ra­tion unserer Kunden angepasst und somit sichergestellt, dass die Schwachstelle nicht ausgenutzt werden kann.

Dieses Update des mercaware-Applikationsservers schließt die Schwachstelle nun direkt im betroffenen Dienst so dass keine separate Firewall-Konfiguration hierfür mehr erforderlich ist.