支持:按文件类型限制附件
回答亚博Zendesk Support提供了限制客户添加附件或启用所有附件的功能:
https://support.亚博zendesk.com/hc/en-us/articles/204265396-Enabling-attachments-in-tickets
然而,这是一个全局设置,没有粒度控制。许多企业会发现,按类型过滤允许的附件的功能大大增强了它们的安全状况。例如,一些企业可能会发现图像和PDF附件很有用,但需要阻止某些其他文档类型和ZIP文件。
请考虑通过允许管理员按类型设置允许的附件,从而授权管理员对最终用户可以向Zendesk Ticket添加哪些电子邮件附件进行更大的控制。亚博这已经可以与聊天服务:https://support.亚博zendesk.com/hc/en-us/articles/360022183834-Managing-file-sending-options
-
官方的评论
你好!
我们将于2022年6月27日开始在支持中推出恶意软件扫描功能。2022年6月27日,帮助中心将正式发布公告。到目前为止,这里是文档这个特性将带来什么。
这个特性不会有文件附件的限制,但是我们知道拥有这个功能有多重要,并将在未来继续研究
-
我同意这一点。我们必须限制我们的代理使用第三方进行文件传输,这样我们就可以控制什么类型的文件被来回传递。考虑到这是聊天中的一个选项,这似乎是不需要动脑筋的。
-
第二,这个的必要性。如果没有这个,恶意文件就可以下载,如果我们无法删除敏感信息,这也是一个GDPR风险。
-
嗨!
我询问了我们产品团队的一些成员,他们表示他们在开发路线图中有附件控制。然而,不幸的是,我不能给出确切的预计时间。
安全性对Zendesk来说是非常重要的,我个人认为这也是一个亚博很好的功能。
Alexandra,你也提到想要删除已添加到票中的附件,这给了我一个想法。如果你以前没听说过这个,我们的票务审查应用程序允许删除附件一旦他们到达你的帐户。如果您有任何进一步的GDPR问题,请务必与我们联系privacy@亚博zendesk.com!
我希望这对你有帮助。
-
是否有进一步进展?这使得我们的用户和代理的生活变得非常困难,因为我们的安全团队不允许我们在当前设置中允许附件。
谢谢。
-
嗨SDS
目前我们没有进一步的消息。
-
这真是太可怕了。不知道为什么不是。说明在创建产品时,安全性并不是首要考虑的问题。我们已经有许多勒索软件的尝试,被允许通过票务系统。50美元的家庭防火墙就有这些选项。
-
嗨@……,
这个产品路线图有什么更新吗?
谢谢
-
我还想知道这是否在路线图上,什么时候可以使用?
-
你好,
亚博Zendesk有一个应用程序,由他们自己制作,而不是第三方-它是免费的!它具有通过扩展阻止/允许的功能,还允许一些其他有用的功能。
它叫做“附件管理器”
-
就像查理提到的,你可以使用这个来自市场的免费应用程序,它有一个允许/阻止列表。
市场链接:https://www.亚博zendesk.com/apps/support/attachment-manager/
描述:
附件管理器是一个应用程序的集合,允许您使用和管理票据附件。它结合了附件库、附件限制、附件标记器(以前的附件查找器)和编辑附件应用程序。附件管理器将这些应用程序的功能结合到一个侧边栏体验中。它允许代理使用手风琴风格的界面打开和关闭各种应用程序。 -
+1为附件控制。您可以在Zopim聊天中完成,只是不是主要工具。如果关闭此功能,则不具备此功能将带来安全风险或功能限制。
如果这是在路线图上,应该可以共享一个预计到达时间吗?
-
我确实安装了这个插件,但是它并没有阻止用户上传限制文件类型。
该票异常打开,并且从支持仍然可以看到附件(尽管受到限制,但也可以通过代理绕过)。
我们需要一个选项来拒绝或阻止上传某些文件类型
-
我想取消这个请求。
我们使用Zen亚博desk为我们的DMCA/滥用票,和一些用户将提交附件非常图形的内容。
我们需要我们的客户附加文件,但我们看到的问题是缩略图出现在票务提要。如果我们得到一个jpg,我们的员工可能会暴露在一些不愉快的景象。
我们希望能够防止预览这些缩略图。
------------------------------------------------------------------------------->>>>>>>>>>
-
我赞成什么?@……说。这个应用程序不会阻止用户上传不想要的附件,它只是给代理管理它们的能力。从我们的角度来看,这完全没有用。整个要点是防止用户上传不需要的文件类型。如果他们能上传,他们就会认为我们能看到。例如,EML文件。我们不能轻易打开这些邮件,阅读别人认为他们发给我们的邮件。我们希望用户在附加它的那一刻就知道我们不接受特定的文件类型。同样适用于安全风险文件类型,如zip和exe。
-
因此,自从这个非常重要的问题被提出以来,已经过去了两年……这方面有什么改进吗?
如何实现DMARC工具,使传入的电子邮件更加安全? -
你好,安全团队也联系了我,要求我限制文件的上传,因为我收到了一个漏洞赏金猎人关于这个漏洞的消息。
Zendesk提出了什么解决方案来限制某些类型文件亚博的上传?
-
你好,
我们也有同样的问题,终端用户添加的附件限制在聊天中可用。但是当客户进入Help Center -> My Activities门户时,他可以上传任何类型的附件。这是有风险的,因为用户可以上传任何东西,我们的安全人员联系了我们,因为他们发现这是一个漏洞。
有什么解决这个bug的办法吗?
谢谢
-
这一点也已提请我们注意。我们有编辑应用程序,但是我们的大多数代理没有删除权限,所以它对他们来说是无用的。
我们需要阻止附件传到Zendesk的能力。亚博这是一个具有一级优先级的安全问题。
-
嘿,所有的,
我只是想感谢您抽出时间与我们分享您的反馈!在这个时候,这不是我们能够适应我们的路线图。我们将资源集中在编写器稳定性和其他一些高亚博电脑端要求的功能上。关于编写器稳定性方面的努力,我们正在努力将所有编写器迁移到使用相同的技术,以便我们可以更容易、更快地修复和管理报告的任何错误。
虽然我们无法在未来6-12个月内对此进行调查,但我们已将您的反馈添加到我们的积压中,以供将来审查。 -
在我们的内部漏洞赏金计划中,我们也向Zendesk强调了这是一个安亚博全问题。恶意行为者可以通过支持票上传附件。我们的代理有收到这些文件的风险,但该文件也可以通过从Zendesk的CDN抓取文件并进行热链接提供给任何人。亚博请参阅我们报告的复制步骤:
1)访问example.zen亚博desk.com。
2)导航到提交请求->在文件上传部分输入详细信息&作为攻击者,我可以上传执行文件,如。php,。aspx文件
3)进一步说,我删除了这些文件,当检查这些文件仍然可以访问并存储在后端。
4)这导致帮助中心可以用作临时驱动器。
现在,我不希望我公司的子域名被用作提供恶意文件的文件存储,我相信没有其他客户也这样做。这个问题需要作为安全问题尽快回到路线图中。
至少,传入的附件应该被Zendesk扫描并删除。亚博相应的支持票可以通过Zendesk通知此操作。亚博 -
你好,加雷斯,谢谢你的反馈——我看到了你所指的机票,已经升级到我们的安全团队去查看了。
-
你好,
我们确实理解这种安全风险带来的沮丧和担忧。这个特殊的文件类型限制问题是我们将来非常感兴趣的问题。
然而,我确实想指出Zendesk目前扫描电子邮件门票附件。亚博这可能不能完全解决这个问题,但想让你知道我们确实有保护措施。
与此同时,我们目前正在开发一个恶意软件扫描工具,该工具将在2022年第一季度发布的第一个版本中扫描跨平台区域的文件附件。
更多细节将陆续公布。
感谢大家花时间发表你们的反馈和关注。
-
你好!
关于恶意软件扫描功能的简要更新。我们将于2022年6月发布支持产品。我们将在帮助中心发布发布日期和更多细节。
-
你好!关于Zendesk附件启用安全特性的更新了吗?亚博根据这条线索,该项目将于2022年6月完成。
-
恶意软件扫描器是一个很好的补充,但不是答案。组织应该能够规定哪些文件类型他们将允许上传到他们的控制台。许多(如果不是大多数的话)其他票务解决方案都提供了这种粒度级别的控制,这表明它们目光短浅,缺乏对安全性和风险规避的关注
-
我们的恶意软件扫描检测恶意文件,并防止他们被毫无戒心的用户访问。然而,在您提到的情况下,这些事件似乎在客户的Zendesk平台上使用了合法但受到损害的凭据。亚博Ze亚博ndesk管理员能够覆盖我们的恶意软件检测,这就是为什么用其他防御机制(多因素身份验证,强密码和尽量减少帐户管理员数量)保护您的帐户如此重要。外部恶意行为者不应该能够上传恶意软件到您的系统并传播它,因为我们的恶意软件扫描应该阻止对文件的访问。我们很乐意通过其他渠道跟进您的具体需求,也很乐意与您的安全团队沟通。
-
我们最近看到大量的恶意附件能够绕过Gmail和Zendesk文件扫描器。亚博
虽然病毒扫描器确实有帮助,但防止这些的最佳方法是能够控制允许的文件类型。Zendes亚博k会考虑实现这个关键的安全特性吗?
-
我最近做的一个应用程序它扩展了Zendesk的触发器/自亚博动化,并自动从票据中删除附件。它最初的构建目的是在解决票据时帮助编辑任务,但我可以轻松地将其配置为根据包含或排除标准从新票据或更新中删除某些附件。
它也在应用程序的市场上列出:。点击这里查看并注册:https://www.亚博zendesk.com/marketplace/apps/support/867529/auto-remove-attachments/
请登录留下评论。
37个评论