Kontakte Immun-Addressbuch Konten

Servus zusammen,

Ich habe gestern auf Nectcloud 27 geupgradet und musste schockierenderweise feststellen, dass die App Kontakte folgende Kategorie hat: Konten …

Da sind alle Nextcloud Accounts aufgelistet mit deren E-Mailadresse … Diese Kategorie ist für jeden Benutzer frei zugänglich und finde dies absolut gefährlich … Wie kann ich diese Immuntable Kategorie ins jenseits befördern, finde eigentlich schon dass die App fragen sollte ob man dies will …

Ist da wirklich nur möglich die App auf eine Benutzergruppe zu begrenzen? O.o

Mit freundlichen Grüßen
SnowBerryZ

Schockierend ist das keinesfalls , sondern eine sehr gute Funktion - mich hat das bisher fehlende interne Adressbuch gestört…

Dein Problem kannst du lösen indem man “sensitive” Profil Attribute entsprechend konfiguriert:

Contact information in the system address book is taken from users’ profile information. Profile properties are only written to the system contact if the scope is set to Local or higher.

das würde auch als Admin mit occ funktionieren… ich habe aber gerade aber kein Beispiel…

https://docs.nextcloud.com/server/latest/admin_manual/groupware/contacts.html

Hallo

Ich muss das Thema auch aufgreifen weil mir dieses Adressbuch auch eben auf meinem iOS Geräten aufgefallen ist. Man kann dieses Adressbuch auch nicht löschen aber wie kann ich genau verhindern das dieses generiert bzw. am iOS erscheint?
Ich will doch nicht die Konten deaktivieren da haben meine Frau und andere ihre Kontakte.

Es muss aber weiterhin möglich sein das ich bei einer Freigabe die lokalen Benutzer angeboten bekomme.

Ich werde aus dem hier nicht schlau was ich einstellen müsste.
https://docs.nextcloud.com/server/latest/admin_manual/configuration_user/profile_configuration.html#profile

MfG Paul

Du musst die Konten nicht deaktivieren sondern in den Einstellungen der Konten das “Profil” deaktivieren bzw die gewünschten Werte konfigurieren. Die Doku ist eigentlich klar und deutlich…

Hier gibt es zu dem Thema bereits einige Beiträge und auch bereits einen Bug-Report. (Fragt jetzt bitte nicht wo, habe ich bereits alle gelesen.)

Fakt ist: unter diesen Bedingungen, dass jeder Benutzer die Eintragungen der anderen global sehen kann, ist die Nextcloud sofort zu deinstallieren, weil dies ein Verstoß gegen die Richtlinien ist.
Ein globales Adressbuch (Konten/Accounts) kann zwar sehr hilfreich sein, insbesondere wäre es gut, wenn man es exportieren könnte und wieder in eine neue Cloud einspielen könnte. Es ist auch klar, dass bei den Eintragungen auf die Datenbankeintragungen der Konten geguckt wird, es ist daher auch klar, dass es nicht löschbar ist (weil ja eigentlich über die Account verwaltet und nicht über die App Contacts). Damit aber auch klar, dass per Default so ein globales Adressbuch immer ausgeschaltet sein muss. Auch die Deflault-Setzung, dass bei jedem Benutzer die Attribute auf private stehen müssen. Das ist nicht der Fall und da eine neue Funktion in NC 27 fällt das auch niemandem erst einmal auf.

Dies könnte der Admin in der config.php so eintragen:
‘account_manager.default_property_scope’ => [
\OCP\Accounts\IAccountManager::PROPERTY_DISPLAYNAME => \OCP\Accounts\IAccountManager::SCOPE_PRIVATE,
\OCP\Accounts\IAccountManager::PROPERTY_ADDRESS => \OCP\Accounts\IAccountManager::SCOPE_PRIVATE,
\OCP\Accounts\IAccountManager::PROPERTY_WEBSITE => \OCP\Accounts\IAccountManager::SCOPE_PRIVATE,
\OCP\Accounts\IAccountManager::PROPERTY_EMAIL => \OCP\Accounts\IAccountManager::SCOPE_PRIVATE,
\OCP\Accounts\IAccountManager::PROPERTY_AVATAR => \OCP\Accounts\IAccountManager::SCOPE_PRIVATE,
\OCP\Accounts\IAccountManager::PROPERTY_PHONE => \OCP\Accounts\IAccountManager::SCOPE_PRIVATE,
\OCP\Accounts\IAccountManager::PROPERTY_TWITTER => \OCP\Accounts\IAccountManager::SCOPE_PRIVATE,
\OCP\Accounts\IAccountManager::PROPERTY_ORGANISATION => \OCP\Accounts\IAccountManager::SCOPE_PRIVATE,
\OCP\Accounts\IAccountManager::PROPERTY_ROLE => \OCP\Accounts\IAccountManager::SCOPE_PRIVATE,
\OCP\Accounts\IAccountManager::PROPERTY_HEADLINE => \OCP\Accounts\IAccountManager::SCOPE_PRIVATE,
\OCP\Accounts\IAccountManager::PROPERTY_BIOGRAPHY => \OCP\Accounts\IAccountManager::SCOPE_PRIVATE
]
Jeder neue Account würde dann diesen “scope” bekommen.
Allerdings wenn man bei jedem User diese Attribute (so oder manuell) setzt, ändert sich rein gar nichts. Das Adressbuch mit allen Eintragungen ist immer noch jedem Benutzer offen zugänglich und zeigt auch jede Eintragung.
Also ist entweder ein Schalter notwendig, der generell das Anzeigen der Accounts ausschaltet, oder die Attribute müssen schlicht funktionieren.

Das zu tun, ist also mit höchster Prio anzusetzen.

Gegen welche Richtlinien?

Wenn du kein Anbieter von Hosted Nextcloud Accounts bist, und Accounts für wildfremde Leute auf deinem Server hostest, ist das überhaupt kein Problem. Jede grössere Firma, für die ich bis jetzt gearbeitet habe, hatte ein globales Adressbuch auf dem Exchange Server, über das man jeden Mitarbeiter bis zum Direktor finden konnte. Zusätzlich gab es meistens auch noch ein Verzeichnis im Intranet inkl. Fotos aller Mitarbeiter.

Wenn du, wie du ja selbst sagst, alle Issues und Forenbeträge dazu bereits gelesen hast, weisst du ja dass a) ein Schalter (occ command oder config.php Option, bin nicht mehr sicher) kommen wird, um es global zu deaktivieren, und b) weisst du auch, dass man die Nextcloud bereits jetzt so konfigurieren kann, dass sich die Benutzer gegeneseitig nicht mehr finden können, und ihnen auch kein globales Adressbuch mehr angezeigt wird. Ich selbst habe bereits meherere Posts dazu gemacht hier im Forum.

Hier nochmal die entsprechenden Einstellungen:

User Profile deaktivieren:

https://docs.nextcloud.com/server/latest/admin_manual/configuration_user/profile_configuration.html#profile

Benutzern den Zugriff auf das Globale Adressbuch verwehren / einschränken:

Unter “Verwaltungseinstellungen → Verwaltung → Teilen” folgende Haken rausnehmen:

Bildschirmfoto vom 2023-08-25 14-16-23928×107 8.49 KB

Wenn Du es verschiedenen Gruppen anbietest, die miteinander nichts zu tun haben, auch wenn es im privaten Bereich und nicht kommerziell gehostet ist, muss Du als Admin die Privatsphäre der Benutzer so schützen, dass sie keine persönlichen Daten unfreiwillig preisgeben. Da ein globales Adressbuch global ist und somit nicht die Möglichkeit besteht gegeneinander abzugrenzen, würde man sich als Anbieter nach DSGVO sogar strafbar machen.
Aber gern habe ich wohl doch etwas übersehen, obwohl ich schon lange suche, wie man das Konten-Adressbuch global deaktivieren kann, oder wie sich die Benutzer gegenseitig nicht mehr finden können. Bitte gern hier den Hinweis darauf setzen, damit man das schnell findet.

Ein kleiner Unterschied besteht natürlich auch in einem Firmen-Mitarbeiter-Adressbuch und privaten persönlichen Informationen, denn bei Firmen werden ja solche normalerweise nicht festgehalten. Wenn zufällig Benutzer und Organisationseinheit auf einer NC miteinander übereinstimmen, dann ist das ggf. praktisch. Wenn nicht, muss jeder Benutzer selbst für die Freischaltung sorgen. Freischalten bedeutet aber öffnen, wenn erst einmal geschlossen/verborgen und nicht per Default offen. Und funktionieren muss das dann auch noch.
Habe ich gelesen, dass es einen Schalter zukünftig geben soll, wo man das Konten-Adressbuch unsichtbar schalten können soll. Bis dahin hoffen wir, das wir keine Probleme mit unseren Usern bekommen.

Naja wo kein Kläger kein Richter …aber ja “Kein Problem” ist wohl von meiner Seite auch etwas zu kurz gegriffen. Ich habe nur Familie auf meiner Nextcloud, die dürfen und sollen sich sogar finden.

Naja bis es soweit ist, nimm einfach die Haken in meinem Screenshot raus, und das Problem ist gelöst. Und vielleicht willst du es ja doch mal für eine bestimmte Gruppe von Usern nutzen, was du dann natürlich nicht mehr kannst, wenn es komplett deaktiviert ist.

@ bb77
… nimm einfach die Haken in meinem Screenshot raus…

Ja, naja das ist zum Teilen gedacht. Teilen habe ich hier bei mir aus nachvollziehbaren Gründen verboten (hier sind die Gemeinschaften Vereine/Vorstände) und die dürfen auf ebenfalls geschützte Daten zugreifen.
Nimmt man Nextcloud als Schulcloud, dann kann man sich ebenfalls vorstellen wie aufwändig eine Zugriffs-/Userverwaltung aussieht oder aussehen kann und wer mit wem etwas teilen darf oder nicht. Es gibt also haufenweise Szenarien, die auch ausdrücklich von der Nextcloud bedient werden sollen. Daher bin ich also so erstaunt/erzürnt wie man auf so eine Idee kommen kann. Wohlwissend wie sehr wir uns vielleicht alle solche globalen Adressbücher vielleicht wünschen und welchen nützlichen Zweck die sonst noch erfüllen könnten. Aber gern verzichte ich auf derlei Funktionen noch bis zum nächsten Release und vollständigem Test, statt hier als Opfer herumzurennen. Derlei Erfahrungen kann ich leider seit Owncloud nur zu häufig teilen. In produktiven Umgebungen hat so etwas aber eher nichts zu suchen, bis das nicht bombenfest ausentwickelt und durchdacht ist.

Ich möchte ja auch in Zukunft eher begeistert von der Nextcloud, als enttäuscht davon herumlaufen. Wer weiß wieviel Aufwand und Verantwortung nicht nur in der Programmierung, sondern auch in der Installation, Einrichtung und Pflege steckt, der kann verstehen, dass jede kleinste Veränderung nicht nur immer Vorteile bringen kann und wieviel mit einer “kleinen Arschbewegung” angerichtet werden kann, der weiß auch, das Qualitätskontrolle vor dem Release der wichtigste Schritt ist und nicht nur der Verkauf von tollen neuen Features - und selbst dann geht immer noch genug daneben.

Man wird mit der Zeit sehr, sehr bescheiden. Selbst wenn es nur ein Hobbie ist und nicht mehr Beruf.

Warum fragst du nicht einfach, wenn du nicht verstanden hast was die beiden Haken genau machen, anstatt eine Grundsatzdiskussion loszubrechen, die bei Adam und Eva beginnt Ja über den “Default” kann man sich meiner Meinung nach streiten, aber ansonsten, kannst du es wie gesagt jetzt schon deaktivieren.

Ich habe es gerade nochmal getestet:

• Der erste Haken erlaubt / verbietet allen Benutzern grundsätzlich den Zugriff auf das Systemadressbuch.

  • Wenn aktiv: Andere Benutzer werden in den Kontakten angezeigt und die Benuzter können sich gegenseitig über die Suche finden (letzteres ging btw. schon vorher, wenn dieser Haken aktiv war).

  • Wenn deaktiviert: Es werden keine anderen Benutzer im Adressbuch angezeigt und niemand findet niemanden über die Suche.

• Der zweite Haken (Unteroption des ersten Hakens) schränkt, wenn aktiv, das Systemadressbuch auf Benutzer der selben Gruppen ein, sprich es werden nur Benutzer in den Kontakten angezeigt, die sich in der selben Gruppe befinden wie man selbst, und man findet auch nur diese über die Suche.

Also einfach den ersten Haken rausnehmen, was automatisch auch die Unteroption deaktiviert und du hast das globale Adressbuch faktisch deaktiviert.

@bb77
Warum fragst du nicht einfach, wenn du nicht verstanden hast was die beiden Haken genau machen

Tja, habe es nun auch nochmals ausprobiert und tatsächlich wird das Adressbuch nicht mehr unmittelbar angezeigt.
Aaaaber: es geht hier in erster Linie um automatische Vervollständigung - die ist, sagten wir eher gewünscht, hat auch mit diesem Thema eigentlich wenig zu tun, auch wenn dadurch auch nicht verhindert wird, dass man ggf. Mailadressen sieht, die eigentlich auch dann nicht sichtbar sein sollten, wenn man das nicht will - daran schauen wir mal geflissentlich vorbei - es geht ja hier ums Teilen.
Ja die unmittelbare Anzeige des Konten-Adressbuchs ist dann ausgeblendet, gehe ich dann aber auf “Kontakte Einstellungen” (unten links) und dann auf das vorhandene globale Konten-Adressbuch und exportiere mir die Daten. Darin sind dann enthalten nicht die Benutzer der Gruppe, sondern nur der Benutzer selbst - das ist schon mal gut.
ACHTUNG: Das sage ich nicht um mir auf die Schenken zu klopfen und nur Recht gehabt zu haben. Hier geht es um konstruktive Kritik und nichts anderes. Das ist auch alles OK, aber die Einführung eines neuen Features muss eben wirklich durchdacht sein. Sicherheit, Vertraulichkeit, Datenschutz ist Vertrauenssache. Wie bringe ich also meinen Usern bei, dass sie hier nicht vollständig sicher sein können?

Darüber streite ich auch nicht, ich setze mich damit auseinander - allerdings hat man gelegentlich auch mal Schmerzen
Daher hier die Community - vielleicht hilft es. Ich möchte niemandem gern auf die Füße steigen, wenn das nicht nötig ist.

Es wird überhaupt nicht mehr angezeigt bzw. es werden keine Benutzer mehr irgendwo angezeigt, und keine mehr gefunden über die Suche.

Na die Autovervollständigung geht dann natürlich auch nicht mehr, denn wie soll etwas autom. vervollständigt werden, auf das kein Zugriff besteht. Entweder hat man Zugriff auf die anderen Benutzer oder halt nicht. Welche Informationen angezeigt werden, wenn sich die User gegenseitig finden können, ist ein separates Thema und dazu hat @wwe ja schon etwas geschrieben.

Btw. Diese Haken gibt es schon ewig. Bisher haben haben sie halt nur die Autovervollständigung und die globale Suche geregelt, weil es noch keine globalen Adressbücher gab, logisch oder? Über die Teilendialoge und die globale Suche konntest du aber die Infos zu den anderen Benutzern schon immer finden (wenn dieser Haken nicht deaktiviert war). Die globalen Adressbücher haben es nur sichtbarer, oder wie man auf Englisch so schön sagt, “more visible” gemacht.

Wenn du die Haken raus nimmst sind sie sicher, ausser diese Benutzer haben schon miteinander interagiert, bevor du es deaktiviert hast, z.B. via Talk, dann können gewisse Infos natürlich auch nachher noch gefunden werden, weil sich ja so eine Talk Konversation dann bereits im Account des jeweils anderen Users befindet. Ansonsten findet man keine anderen User und keine Infos zu anderen Usern mehr. Sicherer geht es kaum.

Siehst du, es funktioniert doch!

Noch eine kleine Ergänzug.

Ich will damit nicht sagen, dass das globale Adressbuch nicht separat deaktivierbar sein soll. Faktisch hat aber dieser Haken den gleichen Effekt, und er ist, unabhängig davon, zwingend raus zunehmen, wenn du die User komplett voneinander trennen willst, ansonsten können sich die User, wie bereits gesagt, trotzdem noch über die Suche und über die Teilen Dialoge finden.

Falls aber gewisse User miteinander agieren können sollen, und andere nicht, könntest du erstere in eine gemeinsame Gruppe stecken, und alle anderen in eigene Gruppen.

User - Gruppe

Thomas - gemeinsame Gruppe
Frank - gemeinsame Gruppe
Thorsten - gemeinsame Gruppe

Manfred - Manfred
Hans - Hans
Rudolf - Rudolf

etc.

Dann kannst du den Haken drinnlassen und wenn du dann den zweiten Haken auch noch setzt, sehen Thomas, Frank und Thorsten einander, während Manfred, Hans und Rudolf nur sich selbst sehen.

EDIT:

Und ja, wenn du 120% Sicherheit willst, im Sinne von, dass kein User unter keinen Umständen, jemals auch nur erahnen darf, was für Benutzer sich noch auf der selben Instanz befinden könnten, und damit meine ich, dass ja theoretisch ein Bug oder eine schlecht programmierte App Infos leaken könnte (oder Fehlkonfiguration durch den Admin ), wird es wohl nur mit komplett separaten Instanzen gehen.

So fetich für heute. Wünsch dir ein schönes Wochende

Ja, So läuft das alles schon lange bei mir und ich hatte auch schon mit den Einschränkungen über den Teilen-Dialog in der Verwaltung früher experimentiert.
Plötzlich existiert da ein neues Adressbuch, dessen Einträge irgendwie in eine App übernommen werden, oder aus dem Userverzeichnis gelesen werden - ich habe nun keine Zeit hier reverses Engineering zu betreiben. Formate passen derzeit gar nicht wirklich zusammen. Würde gern wissen was das mal werden soll - also welches Ziel damit verfolgt wird.
Solange das Adressbuch eine Option bleibt, die man einschalten kann ist das OK. Dann muss man noch den Eingabedialog mit den Feldern füllen, die es auch im Adressbuch gibt, damit man es in die vorhandenen Adressbücher eingliedern kann, ohne Doppeleinträge zu haben. Wird eine Kopie der Daten aus der Benutzerverwaltung erzeugt, dann könnte man es auch als Admin ungestraft löschen. Sind dort direkt die Daten der Benutzerverwaltung angezeigt (kann dann nicht gelöscht werden), dann bestünde die Möglichkeit sie nicht nur auszulesen, sondern auch zu speichern und damit eine frische, neue, ggf. sogar eine Nextcloud anderer Version mit Benutzern zu befüllen. Das wäre sehr mein Wunsch.
Ansonsten dienen Gruppen und Benutzer ja hauptsächlich dazu die Rechte für Dateiverwaltung sowie Termine und auch Adressbücher für das Teilen zu regeln. (Habe ich was vergessen?)
Das geht auch richtig fein granuliert. Und wenn man das prüft, dann funktioniert das auch 100% sicher. Das reicht!

Bin dann auch mal wech!

Ich habe meine Benutzer auch schon sehr lange in verschiedene Gruppen aufgeteilt und es war schon immer über die Teilen-Funktion möglich, andere Benutzer derselben Gruppe zu finden und zu kontaktieren. Das war auch nicht schlimm, da es ja Kontakte derselben Gruppe waren.

Das Problem, welches @Diko hatte, ist tatsächlich nur bei den iOS-Systemen mit internem CardDAV aufgetreten. Dort sind plötzlich ALLE Kontakte der eigenen Gruppe im Adressbuch als nur lesend erschienen und waren teilweise doppelt vorhanden, wenn sich dieser Kontakt schon im Adressbuch befand. Das verursachte bei mir auch etliche Anfragen von Benutzern.

Bei den Android-Geräten ist dieses Problem bei der Umstellung auf Nextcloud 27 nicht entstanden, da der Benutzer dieses Systemadressbuch “Konten” explizit im DAVx⁵ einschalten müsste, um diese Kontakte im Adressbuch zu haben.
Leider ist bei neuen Benutzern und einer Neuanlage des Nextcloud-Kontos in DAVx⁵ auch bei Android dieses Systemadressbuch “Konten” aktiv und muss durch den Benutzer erst deaktiviert werden.

Optimal wäre tatsächlich, wenn die alte Funktion mit der Suche von Kontakten in der eigenen Gruppe noch funktionieren würde, jedoch nur das Systemadressbuch in den Kontakten zu deaktivieren ginge.

Ja aber das rechtfertigt imho nicht den Aufschrei von @Diko, von wegen die Nextcloud könne damit nicht mehr sicher betrieben werden usw…

Jup, mehr Optionen sind immer besser, und das wird ja auch kommen. Mehr Privatsphäre gibt einem das aber nicht. Wenn man so wie @Diko offenbar eine vollständige Trennung der User will, muss man trotzdem die die von mir genannten Optionen deaktivieren, was dann faktisch auch gleich das globale Adressbuch deaktiviert.

Ich habe natürlich auch schon für diesen Vorschlag gevotet.

Die vorgeschlagene Änderung wurde genehmigt und wartet darauf, dass jemand die Arbeit übernimmt.

Bei mir ist eher so, das meine Familie die ein Konto haben und Ihre Kontakte auf den Telefon mittels Cloud abgleiche nun auch die lokalen Konten angeboten bekommen und das irritiert so einige.
Es wird dann unter iOS teilweise angezeigt das Kontakte doppelt (Duplikate) vorliegen (Als Kontakt und dann auch ein lokales Konto).
Auf den iOS Geräte werden weiterhin die Konten angezeigt egal ob ich ich der config.php das hier “‘profile.enabled’ => false” setze oder die Profile pro Benutzer selbst deaktivieren lasse.
Muss ich jetzt hier noch was umstellen?

grafik971×469 11.9 KB

Ich will bzw. muss die Konten aus den Adressbüchern rausbekommen auch weil Systemkonten angezeigt werden also Benutzer die ich für bestimmte Task habe (Monitoring etc.).

MfG Paul

Du müsstest wenn schon diese Haken rausnehmen, allerdings sehen sich dann die Benutzer auch sonst nicht mehr, sprich können sich nicht mehr gegnseitig über die Suche finden und nichts mehr direkt miteinander teilen, und somit ist das warscheinlich keine Option für dich.

Ansonsten gibt es momentan nur die Möglichkeit, den Familienmitgliedern eine Anleitung zu schicken, wie sie den Abgleich des entsprechende Adressbuchs auf ihren Endgeräten deaktivieren können, so dass es dort nicht mehr angezeigt wird. Serverseitig kann man es momentan (noch) nicht deaktivieren.