[Eisfair_dev] APACHE <--> Nexcloud --> Strict-Transport-Security

Dirk Alberti Howy-1 at gmx.de
So Nov 18 13:38:03 CET 2018 

Moinmoin,

Am 09.09.18 um 10:29 schrieb Peter Bäumer:
> Glück Auf! Newsgroup,
> meine Nextcloud (Hand)Installation ist am meckern das ich 
> "Strict-Transport-Security" nicht auf "15552000" Sekunden eingestellt 
> habe.
>
> In der Doku von Nextcloud steht:
>
> This can be achieved by setting the following settings within the 
> Apache VirtualHost file:
>
> <VirtualHost *:443>
>   ServerName cloud.nextcloud.com
>     <IfModule mod_headers.c>
>       Header always set Strict-Transport-Security "max-age=15552000; 
> includeSubDomains"
>     </IfModule>
>  </VirtualHost>
>
> https://docs.nextcloud.com/server/13/admin_manual/configuration_server/harden_server.html 
>
>
> Da ich keinen VHost eingerichtet habe würde ich eine htst.conf Datei 
> unter /etc/apache2/mods-available anlegen und zu 
> /etc/apache2/mods-enabled Verlinken, mit dem Inhalt:
>
> <IfModule mod_headers.c>
>     Header always set Strict-Transport-Security "max-age=15552000; 
> includeSubDomains"
> </IfModule>
>
> Wäre das vorgehen soweit ok?
> Bei dem Nextcloud Eisfair-Paket habe ich zu HSTS nichts in den 
> Skripten gefunden, gibt es da eventuell Probleme mit HSTS?
>
>
> Siehe auch:
> https://www.mgm-sp.com/wp-content/uploads/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf 
>
>
>
>
>

genau das würde mich auch mal interessieren.

Wie ist das denn beim Eisfair-Nexcloud-Paket gelöst?  Mittels Eintrag in 
der .htaccess ?

In meiner jetzt aktuellen 14er Nextcloud (auch Direktinstallation, kein 
Eisfair-Paket) steht da bei den Empfehlingen sogar noch einiges mehr:

Zitat:

  * Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert,
    dass er „nosniff“ entspricht. Dies ist ein potentielles
    Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  * Der "Strict-Transport-Security" HTTP-Header ist nicht auf mindestens
    "15552000" Sekunden eingestellt. Für mehr Sicherheit wird das
    Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen
    <https://docs.nextcloud.com/server/14/go.php?to=admin-security>
    erläutert ist.

  * Dein Web-Server ist nicht richtig eingerichtet um
    "/.well-known/caldav" aufzulösen. Weitere Informationen findest Du
    in der Dokumentation
    <https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
  * Dein Web-Server ist nicht richtig eingerichtet um
    "/.well-known/carddav" aufzulösen. Weitere Informationen findest Du
    in der Dokumentation
    <https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
  * Das PHP-OPcache-Modul ist nicht geladen. Für eine bessere Leistung
    empfiehlt es sich
    <https://docs.nextcloud.com/server/14/go.php?to=admin-php-opcache>
    das Modul in Deiner PHP-Installation zu laden.
  * Der "Referrer-Policy" HTTP-Header ist nicht gesetzt auf
    "no-referrer", "no-referrer-when-downgrade", "strict-origin" oder
    "strict-origin-when-cross-origin". Dadurch können
    Verweis-Informationen preisgegeben werden.

Zitat Ende



Gruß Dirk

Mehr Informationen über die Mailingliste Eisfair_dev