Nextcloud: nasazení HTTP Strict-Transport-Security

Nextcloud: nasazení HTTP Strict-Transport-Security
« kdy: 16. 08. 2018, 23:25:31 »
Ahojte

mám nahodený NextCloud + Ubuntu 18.04 + Apache2 + PHP 7.2

V bezpečnostných upozorneniach NC v setupe je toto:

Hlavička HTTP "Strict-Transport-Security" nie je nakonfigurovaná aspoň na "15552000" sekúnd. Pre zvýšenie bezpečnosti odporúčame povoliť HSTS tak, ako je to popísané v našich bezpečnostných tipoch.

Nič mi to nehovorí a AJ moc neviem takže s ich dokumentácie moc nevičítam.

Môžete mi prosím poradiť ako to "implementovať"

Ďakujem
« Poslední změna: 17. 08. 2018, 08:22:46 od Petr Krčmář »


Lol Phirae

Re:nextcloud - HTTP "Strict-Transport-Security"
« Odpověď #1 kdy: 16. 08. 2018, 23:54:09 »
Nič mi to nehovorí a AJ moc neviem takže s ich dokumentácie moc nevičítam.

Môžete mi prosím poradiť ako to "implementovať"

V tom případě nejlépe nijak, nebo se budeš za chvíli minut ptát, jak se tam máš přihlásit, když tě tam prohlížeč nepustí.

MikyM

  • ***
  • 124
    • Zobrazit profil
Re:nextcloud - HTTP "Strict-Transport-Security"
« Odpověď #2 kdy: 17. 08. 2018, 01:33:22 »
Ahojte

mám nahodený NextCloud + Ubuntu 18.04 + Apache2 + PHP 7.2

V bezpečnostných upozorneniach NC v setupe je toto:

Hlavička HTTP "Strict-Transport-Security" nie je nakonfigurovaná aspoň na "15552000" sekúnd. Pre zvýšenie bezpečnosti odporúčame povoliť HSTS tak, ako je to popísané v našich bezpečnostných tipoch.

Nič mi to nehovorí a AJ moc neviem takže s ich dokumentácie moc nevičítam.

Môžete mi prosím poradiť ako to "implementovať"

Ďakujem

Ahoj,
HSTS je zkracene receno zvyseni zabezpeceni, ktere pri prvnim pripojeni prohlizeci rekne at pri kazdem dalsim spojeni vzdy pouziva https.
Delsi obecny popis https://cs.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Nastavis to v Apache
"<VirtualHost *:443>
  ServerName cloud.nextcloud.com
    <IfModule mod_headers.c>
      Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
    </IfModule>
 </VirtualHost>"

odkaz na dokumentaci: https://docs.nextcloud.com/server/12/admin_manual/configuration_server/harden_server.html#enable-hsts-label  k prelozeni muzes pouzit google translator.

Bez znalosti AJ nenastudujes dokumentaci,diskusni fora apod.  Videotutorialy mohou trochu pomoci.
Pokud mas v planu to otevrit pro pristup z venku a je to jen na hrani takove test prostredi pro seznameni se pak OK.

Jestlize mas ale v planu to otevrit a ukladat tam hned data na kterych Ti zalezi pak si to jeste poradne promysli...
« Poslední změna: 17. 08. 2018, 01:37:24 od MikyM »

Re:Nextcloud: nasazení HTTP Strict-Transport-Security
« Odpověď #3 kdy: 23. 08. 2018, 14:01:56 »
Ďakujem za vysvetlenie. Tento setup radšej nechám bez zásahu. Nextcloud používam už dlhšie. Teraz mi to nedalo a začal som skúmať tie odporúčania na zvýšenie výkonu a  bezpečnosti čo ukazuje priamo v admin rozhraní.