[Eisfair_dev] owncloud v1.3.0 stable
Juergen Edner
juergen at eisfair.org
Sa Jan 30 12:19:33 CET 2016
Hallo Marcus,
> Prinzipiell kein Problem bei der Einrichtung, aber trotz Setzen von
> FORCE_SSL ist ein Aufruf der owncloud-Webseite mit https möglich.
>
> Idee?
vermutlich wolltest Du sagen, dass trotz gesetztem FORCE_SSL noch ein
Zugriff über eine ungesicherte Verbindung möglich ist. Dies ist wirklich
ein interessanter Punkt, den ich bis dato so gar nicht auf dem Radar hatte.
Laut folgenden Issue-Ticket hat man diese Funktion wohl aus dem
owncloud-Paket entfernt und überlässt es jetzt dem Administrator dies
in der apache2-Konfiguration selbst vorzunehmen:
https://github.com/owncloud/core/issues/17567
https://statuscode.ch/2015/05/security-and-owncloud-8.1/#security-related-headers-can-now-be-sent-by-the-web-server
https://doc.owncloud.org/server/8.1/admin_manual/configuration_server/harden_server.html#redirect-all-unencrypted-traffic-to-https
Mal schauen wie ich den Sachverhalt zukünftig in ownCloud
berücksichtigen kann.
Gruß Jürgen
--
Mail: juergen at eisfair.org
Mehr Informationen über die Mailingliste Eisfair_dev