Alertes Sécurités suite installation Nexcloud

Grobabs · February 20, 2023, 8:27am

Bonjour,

Suite à l’installation de Nextcloud, tout fonctionne parfaitement. Par contre j’ai des alertes de sécurités et je ne sais pas trop comment régler ça (je suis débutant dans le domaine)
voici ce que j’ai:

La configuration des entêtes du reverse proxy est incorrecte, ou vous accédez à Nextcloud depuis un proxy de confiance. Si ce n’est pas le cas, c’est un problème de sécurité, qui peut permettre à un attaquant d’usurper l’adresse IP affichée à Nextcloud. Plus d’information peuvent être trouvées dans la documentation .
L’en-tête HTTP “X-Frame-Options” n’est pas configurée pour être égale à “SAMEORIGIN”. Ceci constitue un risque potentiel relatif à la sécurité et à la vie privée étant donné qu’il est recommandé d’ajuster ce paramètre.
L’en-tête HTTP “Strict-Transport-Security” n’est pas configuré à au moins “15552000” secondes. Pour une sécurité renforcée, il est recommandé d’activer HSTS

Je suppose qu’il faille modifier la configuration HTTP, comment je peux déjà vous l’afficher?
Merci

quentingrap · April 21, 2023, 9:11am

Salut @Grobabs et bienvenue !

Dans mon fichier de configuration Nginx, voici la partie header :

    # Header
    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
    add_header X-Robots-Tag none;
    # Sur certaines instances Nextcloud, j'ai du changer avec ça :
    # add_header X-Robots-Tag "noindex, nofollow" always;
    add_header X-Download-Options noopen;
    add_header X-Permitted-Cross-Domain-Policies none;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header Referrer-Policy "no-referrer" always;
    add_header X-Frame-Options "SAMEORIGIN";

Ça devrait répondre à tes deux derniers points en tout cas
En tout cas si tu utilises Nginx (et pas Apache) comme reverse-proxy
Je suis en Nextcloud 25 pour info (certains paramètres n’étaient pas recommandés avant sur les versions précédentes)

bonne journée !

jclejalu · May 29, 2024, 2:17pm

Bonjour,
j’ai le problème d’entête http aussi sur mon nextcloud hub8 29.0.1, je crois que les pb sont apparus avec la version 25.
Je l’ai installé dans un docker compose en subdir (sous dossier).
J’utilise le riverse proxi swag et donc nginx. J’ai trouvé le réglage des entêtes HTTP dans :
nextcloud/config/nginx/site-confs/default.conf: # HTTP response headers borrowed from Nextcloud .htaccess
Tout semble bien paramétré, je ne comprends pas pourquoi les paramètres ne sont pas pris en compte.
Si quelqu’un a eu le même souci je suis prenneur…

Krinou3000 · January 27, 2025, 8:32am

Salut,
Dans le même cas que @jclejalu , une solution as été trouvée ?

jclejalu · April 14, 2025, 8:55pm

Bonjour,
avez vous trouvé une solution ?
J’ai résolu le problème en ajoutant ceci à fichier php de configuration de swag : ssl.conf

 # Header
    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
    add_header X-Robots-Tag none;
    # Sur certaines instances Nextcloud, j'ai du changer avec ça :
    # add_header X-Robots-Tag "noindex, nofollow" always;
    add_header X-Download-Options noopen;
    add_header X-Permitted-Cross-Domain-Policies none;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header Referrer-Policy "no-referrer" always;
    add_header X-Frame-Options "SAMEORIGIN";