HTTP-Header für den Betrieb von ownCloud auf Webhostingpaketen von DomainFactory korrekt konfigurieren
ownCloud (oder auch der Ableger nextcloud) lässt sich ohne große Probleme auch auf Hostingpaketen von DomainFactory einrichten und betreiben.
ownCloud bringt bereits eine perfekt vorkonfigurierte .htaccess-Datei zur Konfiguration der Redirects und vor allem der Serverparameter mit. DomainFactory erlaubt allerdings nicht alle darin verwendeten Direktiven, was wiederum im Administrationsbereich von ownCloud zu Warnungen in Bezug auf die Sicherheit führt:
Der „X-XSS-Protection“-HTTP-Header ist nicht so konfiguriert, dass er „1; mode=block“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert, dass er „nosniff“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
Der „X-Robots-Tag“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
Der „X-Download-Options“-HTTP-Header ist nicht so konfiguriert, dass er „noopen“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
Der „X-Permitted-Cross-Domain-Policies“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
Lösung
Mit einer kleinen Anpassung der Regeln in der .htaccess-Datei funktionieren diese auch auf Webhostingpaketen von DomainFactory korrekt und die Sicherheit der eigenen ownCloud-Installation ist gewährleistet.
Passen Sie den folgenden Abschnitt
<IfModule mod_env.c>
# Add security and privacy related headers
Header set X-Content-Type-Options "nosniff"
Header set X-XSS-Protection "1; mode=block"
Header set X-Robots-Tag "none"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-Download-Options "noopen"
Header set X-Permitted-Cross-Domain-Policies "none"
SetEnv modHeadersAvailable true
</IfModule>
wie unten angegeben an. Danach sollten die Fehlermeldungen im Administrationsbereich sofort verschwinden.
<IfModule mod_env.c>
# Add security and privacy related headers
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Robots-Tag "none"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Download-Options "noopen"
Header always set X-Permitted-Cross-Domain-Policies "none"
SetEnv modHeadersAvailable true
</IfModule> 
Vielen Dank.
Hat mir auch noch 2019 weitergeholfen.
Gruß aus Hamburg.
Jan