HTTP Header Fehlermeldung Nextcloud [solved]

🌐 Non-english support 🇩🇪 Deutsch (german)
1

Hey, Ich habe seit kuzem diese Fehlermeldungen in Nextcloud. Aber ich weiß nicht mehr wie ich sie beheben soll.

Hier die Fehlermeldung:

  • Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert, dass er „nosniff“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Robots-Tag“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Download-Options“-HTTP-Header ist nicht so konfiguriert, dass er „noopen“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-Permitted-Cross-Domain-Policies“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
  • Der „X-XSS-Protection“-HTTP-Header ist nicht so konfiguriert, dass er „1; mode=block“ enthält. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
2

Einfach die folgen Zeilen an die “/etc/apache2/conf-available/security.conf” anhängen:

#ssl-params.conf
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security “max-age=63072000; includeSubdomains”
Header always set X-Content-Security-Policy “allow ‘self’;”
header always set x-xss-protection “1; mode=block”
Header always set X-Robots-Tag “none”
Header always set X-Download-Options “noopen”
Header always set X-Permitted-Cross-Domain-Policies “none”
Header set X-Content-Type-Options: “nosniff”
Header set X-Frame-Options: “sameorigin”
SSLCompression off
SSLSessionTickets Off
SSLUseStapling on
SSLStaplingCache “shmcb:logs/stapling-cache(150000)”

3

Wenn ich das genannte am Ende der besagte Konfigurationsdatei hinein einfüge startet der Nextcloud Dienst nicht. Somit kann ich mich nicht via Web an meiner Nextcloud anmelden. Kannst du mir da aushelfen?

Zudem habe ich es bereits hier eingebettet

2020-03-01%2012_16_28-Window
2020-03-01%2012_16_28-Window874×262 8.44 KB

Dennoch habe ich diese Warnhinweise:

2020-03-01%2012_17_59-Einstellungen%20-%20Nextcloud
2020-03-01%2012_17_59-Einstellungen%20-%20Nextcloud1557×303 20.8 KB

4

Unter Umständen werden diese Header doppelt gesendet.

Screenshot 2020-03-17 at 18.51.27
Screenshot 2020-03-17 at 18.51.271280×445 74.6 KB

Mithilfe des Webentwicklertools eines Browsers (alle haben das) kann man sehen, welche Header gesendet werden, und sobald dort die dort doppelt auftauchen, werden die in der NC-Oberfläche als nicht gesendet angezeigt.

Ich editiere in solchen Fällen die .htaccess Datei im Nextcloud-Verzeichnis, weil ich die Servereinstellungen nicht verändern darf und kann.

5

Was genau änderst du denn an der .htaccess-Datei? Kommentierst du einfach die betreffenden Einträge aus?

6

Puh, gute Frage; das ist jetzt 3 Jahre her und ich bin inzwischen auf einen VPS umgezogen.
Aber an und für sich klingt das Auskommentieren plausibel, ja.

[EDIT] Oder: vielleicht hatte ich auch die korrekten Zeilen nochmals angehängt…
…leider sind meine Backups vom damals inzwischen nicht mehr da…