ownCloud 9 ist da!

[maalik]

Aber auch unter Systemsteuerung > Webdienste finde ich keine Möglichkeit um HSTS zu aktivieren... Oder sieht das bei Euch anders aus?

 

[Fusion]

Zumindest unter DSM 5.2 finde ich die Einstellungen dort, inklusive HSTS.
Wie das genau bei DSM 6 aussieht, wo die Webstation in ein Paket ausgegliedert wurde, keine Ahnung.

 

[maalik]

In DSM 6 gibt es leider nur folgende Möglichkeiten. Naja, mal abwarten was Synology so bringt...

 

[Frogman]

Da im DSM6 ja offenbar der Webserver auf nginx läuft, könnte man in dessen Konfiguration (dürfte wohl unter /etc/nginx/sites-enabled liegen) auf der Konsole ein

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";

ergänzen.

 

[maalik]

sites-enabled ist leider leer.

Unter /etc/nginx liegen folgende Sachen:

app.d           koi-utf     nginx.conf.default  sites-enabled_Jm7YO5
conf.d          koi-win     proxy.conf          uwsgi_params
fastcgi.conf    mime.types  scgi_params         win-utf
fastcgi_params  nginx.conf  sites-enabled

 

[Fusion]

Bei Reverse Proxy Nutzung (bei vHost, weiß ich es nicht) kann man Einstellungen wie HSTS auf Host-Basis einstellen. Ob dir das was bringt für deinen Zweck kann ich gerade nicht sagen.
Da wäre es eventuell vielleicht einfacher wie @frogman sagt direkt in der config zu ändern.

Anmerkung:
Die Auswahl http-backend greift glaube erst, wenn ein vHost angelegt wurde, andernfalls ist es nginx im Standard.

Edit:
Was findet sich den in sites-enabled_Jm7YO5 ?

 

[maalik]

sites-enabled_Jm7YO5 ist ebenfalls leer. Ich denke ich werde mal einen Fred über DSM 6 und HSTS aufmachen...

 

[nachon]

Gibt es auch das Verzeichnis /etc/nginx/sites-available?

 

[maalik]

Nein, nur die, die oben genannt sind

 

[nachon]

Ich habe unter nginx auf dem Raspberry PI Owncloud 9 (9.0.1) installiert und es läuft sehr gut.
Da gibt es aber beide genannten Ordner. Im Ordner "sites-available" werden die Konfigurationsdateien angelegt, die dann per symlink vom Verzeichnis "sites-enabled" auf den Ordner "sites-available" zeigt.
Aber vielleicht kann man die Konfigurationsdatei auch so in dem Verzeichnis anlegen.

Hast Du schonmal probiert eine Datei mit dem Inhalt von frogman anzulegen in dem Verzeichnis?

 

[maalik]

Wie müsste die Datei denn dann heißen? config.ini?

 

[nachon]

Ups, sorry für die späte nachricht.

Eine Endung braucht die Datei gar nicht. Einfach owncloud reicht z.B. zumindest auf dem PI.
Man kann in einer solchen Datei eine Menge einstellen.

NGINX arbeitet ja eigentlich nicht mit .htaccess Dateien und hier in dem Verzeichnis kann man dann meines Wissens die ganzen Einstellungen hierzu vornehmen.
(Also Zugriffe über über https und Port etc.) Ich habe hier wirklich eine sehr umfangreiche Einstellung vorgenommen. Ob Synology das so auch benötigt weiß ich aber nicht.

Konfiguration habe ich einfach mit:

nano /etc/nginx/sites-available/owncloud

eingefügt.
(Ich nutze den nano Editor.) Achte drauf das bei Dir dann wohl eher unter "sites-enabled" zu machen.

Hier den Text einfügen und dann speichern.



Aber mal so nebenbei:
Ich habe genau die von Frogman erwähnte Zeile ganz woanders eingefügt.
Und zwar hier:

diese Zeile am Schluss zu den anderen Headerangaben einfügen in /volume1/web/owncloud/lib/private/response.php

header('Strict-Transport-Security: max-age=15768000; env=HTTPS'); // HSTS

 

[Frogman]

...
Aber mal so nebenbei:
Ich habe genau die von Frogman erwähnte Zeile ganz woanders eingefügt.
Und zwar hier:

Das war ja genau der Punkt, der zur Fehlermeldung (erwähnt in diesem Post) geführt hatte.

 

[nachon]

Ah, sorry.

Jetzt bin ist es mir auch klar.

Ehrlich gesagt habe ich auch diese Security Check Hinweise, lebe aber damit, da ich weiß wo diese herkommen. Bei mir wird die fehlende .htaccess angemahnt, die ich aber nicht brauche, weil nginx anders läuft.
Merkwürdig aber, dass die response.php bei mir nicht aufgelistet ist. Die habe ich auch verändert.

 

[OdinsAuge]

So zum Thema 9.0.x über Updater app gibts endlich ein offizielles Statement. Da die Version 9.0.2 immer noch einige Bugs aufweist, vorallem einen der abhängig von der Konfiguration auftaucht (und die überwiegende Anzahl der User genau diese Config haben). Wollen sie diese noch nicht über die Updater App an alle ausliefern. Aber 9.0.3 ist in Arbeit und diese soll dann an alle ausgeliefert werden.

https://github.com/owncloud/appstore-issues/issues/4#issuecomment-218291464

 

[Andy+]

.....................Version 9.0.2 immer noch einige Bugs aufweist..............

Die habens aber richtig in sich. Ich bin froh, daß ich testen kann, sonst würde ich vlt. updaten und dann steh ich da. Vor 2-3 Tagen ist die neuste 8-er erschienen (v8.2.5) und das ist die bislang ausgereifteste oc-Version überhaupt, aber nur die wiederum eignet sich im Grunde für Produktivumgebungen, die v9.x.x jedoch m.E. nicht.

Die Frage ist nur, woher soll man das vorher wissen?

 

[OdinsAuge]

Ich hätte auch schon auf 9.0 upgedated, allerdings lief das Update nicht aufgrund des weiter oben schon geposteten Fehlers mit dem Datenbank Treiber.
Ich werd definitiv auf den Release für die App warten, Auch wenns heißt man solle das update manuell machen, ich bin bisher mit der App gut gefahren.
Und auch wenns dann draußen ist, werd ich noch auf Erfahrungsberichte warten.

Das Problem ist halt, dass die OC Entwickler stark auf das Feedback der User angewiesen sind. Wenn wir also nicht testen dann meldet auch niemand Fehler.

 

[maalik]

Ich habe hier inzwischen eine Lösung beschrieben zu dem Sicherheitshinweis

The “Strict-Transport-Security” HTTP header is not configured to least “15768000” seconds. For enhanced security we recommend enabling HSTS as described in our security tips.

http://www.synology-forum.de/showthread.html?76163-DSM-6-und-HSTS&p=631155&viewfull=1#post631155

 

[reizwolf]

Hallo maalik,

elegante Lösung! So muss man nicht nach jedem owncloud-Update die response.php editieren. Danke

 

[maalik]

Zudem würde ein Editieren der response.php dazu führen, dass der Code-Integrity-Check eine Fehlermeldung werfen würde.