ich hoste meine NextCloud bei 1und1 und habe nun ein Wildcars-Zertifikat drauf gebunden. Die Cloud lässt sich auch über https erreichen - die Meldung unter Einstellungen das man auf SSL umstellen soll ist auch weg, jedoch habe ich nun eine neue:
Der "Strict-Transport-Security“-HTTP-Header ist nicht auf mindestens "15552000“ Sekunden eingestellt. Für mehr Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in den [Sicherheitshinweisen] erläutert ist.
Alles was ich im Web gefunden habe beschreibt einen weg etwas auf dem Webserver (den ich selber nicht betreibe) zu ändern, gibt es trotzdem eine Möglichkeit?
Mit Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
in der .htaccess habe ich schon versucht … leider ohne positive Auswirkungen.
Vor längerer Zeit (OC8) hatte ich lib/private/response.php gefunden und dort hinzugefügt:
--- cloud/lib/private/response.php~ 2015-12-21 13:46:53.000000000 +0100
+++ cloud/lib/private/response.php 2016-02-04 11:42:11.375935603 +0100
@@ -256,6 +256,7 @@
// Send fallback headers for installations that don't have the possibility to send
// custom headers on the webserver side
if(getenv('modHeadersAvailable') !== 'true') {
+ header('Strict-Transport-Security: max-age=15768000; includeSubDomains; preload');
header('X-XSS-Protection: 1; mode=block'); // Enforce browser based XSS filters
header('X-Content-Type-Options: nosniff'); // Disable sniffing the content type for IE
header('X-Frame-Options: Sameorigin'); // Disallow iFraming from other domains
Das funktionierte, war mir aber nie sicher, ob es somit HSTS komplett einschaltet. Jetzt bin ich bei NC13 und das File ist nun unter lib/private/legacy/response.php, die Änderung dort scheint unter Basis settings zumindest den gleichen Effekt zu haben wie bisher bei OC. Mal sehen, vermute nun wird sich die Code Integrity beschweren… aber ich habe mir die Mühe gemacht und im FF die mitgeschickten Header für ein paar Seiten verifiziert, überall ist nun Strict-Transport-Security gesetzt. Ob es einen grundsätzlichen Effekt hat oder nur bei ganz wenigen Requests geht, weiß ich nicht.
Hi bin auch bei 1und1 jetzt IONOS Webspace ( kein Serverzugriff?)
NC 17 gerade installiert
selbes Problem
lib/private/response.php gibt es da nicht!
da:
lib/private/legacy/response.php
ist es aber ich habe keine Ahnung wo ich was einfügen soll!
Dann wirst du wohl nichts machen können. Es sei denn man kann irgendwo für jede Nextcloud-Seite die Änderungen (vielleicht im Header?) durchführen. Vielleicht musst du damit leben.