Hi,
ich habe mit WMS allgemein bisher wenig bis gar nichts zu tun. Aber ein Kunde von mir ist gestern mit seiner im Netz gehosteten Wawi DB auf einen anderen managed Server umgezogen, also mußte ich mir das im Rahmen der Nachbetreuung des Umzugs mit anschauen.
Der WMS Mobile Server lief bisher zusammen mit dem SQL Server auf einem VServer, der aus dem Netz erreichbar ist. Das ganze wurde durch eine durchaus renomierte Agentur so eingerichtet.
Während für die SQL Verbindung einer Wawi neben IP und Port des Servers das sa Passwort bekannt sein muß und die JTL POS Kasse eine gegeseitige Authentifizierung per Token vornimmt, reichte bei WMS Mobile die IP, der Port und ein Wawi Benutzer samt Passwort.
Das scheint mit nicht besonders sicher, zumal viele Benutzer zur Anmeldung in der Praxis bei admin/pass oder etwas Einfachem bleiben.
Im Guide (der veraltet erscheint) wird nicht explizit auf ein Sicherheitsrisiko bei öffentlichem Betrieb hingewiesen.
https://guide.jtl-software.de/jtl-wms/jtl-wms-mobile/jtl-wms-mobile-einrichten/
Übersehe ich da einen relevante Sicherheitsmaßnahme, weil ich das System beim Kunden nur umkonfiguriert und nicht neu eingerichtet habe? Oder ist WMS Mobile Server für Betrieb im Internet ein no-go?
Vielen Dank für Eure Einschätzung...
John
ich habe mit WMS allgemein bisher wenig bis gar nichts zu tun. Aber ein Kunde von mir ist gestern mit seiner im Netz gehosteten Wawi DB auf einen anderen managed Server umgezogen, also mußte ich mir das im Rahmen der Nachbetreuung des Umzugs mit anschauen.
Der WMS Mobile Server lief bisher zusammen mit dem SQL Server auf einem VServer, der aus dem Netz erreichbar ist. Das ganze wurde durch eine durchaus renomierte Agentur so eingerichtet.
Während für die SQL Verbindung einer Wawi neben IP und Port des Servers das sa Passwort bekannt sein muß und die JTL POS Kasse eine gegeseitige Authentifizierung per Token vornimmt, reichte bei WMS Mobile die IP, der Port und ein Wawi Benutzer samt Passwort.
Das scheint mit nicht besonders sicher, zumal viele Benutzer zur Anmeldung in der Praxis bei admin/pass oder etwas Einfachem bleiben.
Im Guide (der veraltet erscheint) wird nicht explizit auf ein Sicherheitsrisiko bei öffentlichem Betrieb hingewiesen.
https://guide.jtl-software.de/jtl-wms/jtl-wms-mobile/jtl-wms-mobile-einrichten/
Übersehe ich da einen relevante Sicherheitsmaßnahme, weil ich das System beim Kunden nur umkonfiguriert und nicht neu eingerichtet habe? Oder ist WMS Mobile Server für Betrieb im Internet ein no-go?
Vielen Dank für Eure Einschätzung...
John