Fehler Security Transport Header

🌐 International support đŸ‡©đŸ‡Ș Deutsch (german)
, , , , ,
1

Hallo,
NC lĂ€uft bei mir lokal und ist ĂŒbers Netz via Dynamische IP-Adresse erreichbar.
Sie lÀuft auf einem Proxmox System unter Ubuntu.
NC Version ist 30.0.4
PHP Version ist 8.3

Seit dem Update auf Version 29 habe ich folgende Fehlermeldung:

Einige Header sind in deiner Instanz nicht richtig eingestellt - Der `Strict-Transport-Security`-HTTP-Header ist nicht gesetzt (er sollte mindestens `15552000` Sekunden betragen). FĂŒr erhöhte Sicherheit wird empfohlen, HSTS zu aktivieren.

Der Security Header ist definiert in der Apache VirtualHost Datei:

VirtualHost
VirtualHost875×606 63.4 KB

Ein Scan der Seite unter securityheaders.com ergibt folgendes Bild:

Nextcloud_Security_Header
Nextcloud_Security_Header1197×307 27.1 KB

Demnach mĂŒsste alles richtig konfiguriert sein.
Jemand ne Idee?
Viele GrĂŒĂŸe
Kimchi

2

das Thema wurde bereits hÀufig diskutiert, bitte schaue dir Topics mit dem Tag setup_warning an

3

Problem gelöst. Danke!

4

sehr gern, fĂŒr die “Nachwelt” gern auch die korrekte Lösung verlinken :wink:

5

es gibt nichts zu verlinken, da eine Lösung in keinem der von dir vorgeschlagenen Topics zu finden war.

6

na dann schreib doch bitte in eigenen Worten, was die Lösung fĂŒr dich war. Einfach nur “Problem gelöst” hilft niemandem, der eine Ă€hnliche Frage hat


1 Like
7

Ich nehme an er hat entweder Permissions Headers gesetzt, was man tun kann, ich allerdings nicht sicher bin wieviel Sinn das ĂŒberhaupt macht. Zumal z.B. Firefox die immer noch nicht zu untertĂŒtzen scheint: Permissions Policy - HTTP | MDN

Oder er hat von jemandem gelernt, dass man rote Meldungen auf Testseiten auch ignorieren kann, wenn man weiss was sie bedeuten :wink:

@Kimchi Jimmy hat hier recht imho. Ein Community Forum sollte keine Einbahnstrasse sein, und es wĂ€re nett, wenn du kurz erklĂ€ren könntest wie du dein “Problem” gelöst hast.

1 Like
8

OK. Nein, ich hatte keine Permission Headers gesetzt. Und ignoriert hatte ich es tatsÀchlich lange(seit dem Update auf V. 29).
Mir ließ es aber zuletzt keine Ruhe, weil ja der Scan, wie oben beschrieben, belegte, dass der Security Header beim Zugriff aus dem Internet richtig gesetzt war.
Das Problem war eigentlich recht einfach:
Ich hatte, um auch aus dem lokalen Netz Zugriff zu haben, die lokale IP unter Trusted Domains der nextcloud.conf eingetragen.
Nachdem ich versuchsweise den Security Header auch in der 000-default.conf fĂŒr Port 80 des Apaches eingetragen habe, war die Fehlermeldung weg.
Ich hÀtte vermutlich auch die IP mit https bei den trustet domains eintragen können. Habe es aber erstmal jetzt so gelassen, wie es ist.
Ich hoffe, ich habe das jetzt einigermaßen verstĂ€ndlich erklĂ€rt.

1 Like
9

This topic was automatically closed 8 days after the last reply. New replies are no longer allowed.