htaccess von Nextcloud ignoriert?

  • Wir betreiben eine Nextcloud, aktuell noch in v17.0.3 Im dortigen admin Menü werden folgender Fehler/Warnungen ausgeworfen:

    • Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert, dass er „nosniff“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
    • Der „X-Robots-Tag“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
    • Der „X-Download-Options“-HTTP-Header ist nicht so konfiguriert, dass er „noopen“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
    • Der „X-Permitted-Cross-Domain-Policies“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
    • Es wurde kein PHP-Memory-Cache konfiguriert. Zur Erhöhung der Leistungsfähigkeit kann ein Memory-Cache konfiguriert werden. Weitere Informationen findest Du in der Dokumentation.
    • Der "Referrer-Policy" HTTP-Header ist nicht gesetzt auf "no-referrer", "no-referrer-when-downgrade", "strict-origin", "strict-origin-when-cross-origin" oder "same-origin". Dadurch können Verweis-Informationen preisgegeben werden. Siehe die W3C-Empfehlung.

    Die Meldung mit dem PHP-Memory-Cache bekomme ich wohl aufgrund des Shared Hostings und den entsprechenden Voreinstellungen nicht weg. Was aber ist mit den anderen Meldungen? Die .htaccess hat gleich im zweiten Block u.a. das hier stehen:


    Wird die Datei ignoriert?


    HSTS läuft ja auch, wobei ich dieses in Plesk über die zusätzlichen Apache Header aktiviert habe:
    pasted-from-clipboard.png


    Für die anderen o.g. Fehler klappt das leider nicht :(


    Hat jemand eine Idee, wo ich noch etwas beeinflussen kann?

    Webhosting 8000, mehrere Wollmilchsäue

  • Hat jemand eine Idee, wo ich noch etwas beeinflussen kann?

    Benutzt du denn Apache? Bei nginx werden die htaccess wohl ignoriert ;)

    Du kannst mal versuchen die Seite im Inkognitomodus aufzurufen? Manchmal werden neue Änderungen nicht gleich angezeigt weil irgendwo noch was gecached ist.

  • Deaktiviere mal die intelligente Bearbeitung.

    Hat leider nichts gebracht.

    Wie siehts hier aus?

    Ich war schon bei PHP 7.3.15 und dort gibt es nur FastCGI. Ein Downgrade auf 7.2.28 und Umstellung auf FPM führte bei mir dazu:

    Webhosting 8000, mehrere Wollmilchsäue

  • Also meine Nextcloud (mittlerweile Version 18.0.2.2) läuft noch und schon seit Beginn mit eingestellter PHP-Version PHP 7.2, FPM-Anwendung von Apache bedient (momentan bekomme ich damit PHP 7.2.28). Vielleicht muss man da irgendeinen Cache löschen oder was auch immer, wenn man die PHP-Version nachträglich ändert, keine Ahnung. Der Sicherheitsscanner sagt jedenfalls A+ und hat nichts zu bemängeln. Intern sollte ich jetzt irgendwann mal die angemeckerten Indices in der Datenbank anlegen lassen. Da ich die Cloud sowieso kaum nutze und außer mir keiner Zugang hat, habe ich mir das bisher geschenkt.


    Edit: Ich habe nur einen zusätzlichen Header in den Eiinstellungen für Apache und nginx eingetragen3:

    Code
    Strict-Transport-Security: max-age=15552000;

    Proxymodus und intelligente Bearbeitung statischer Dateien aktiviert.

  • Ich bin auf PHP 7.3.15 mit FastCGI über Apache. Mehr auswählen kann ich ohnehin nicht. innerhalb des 7.3er Zweigs.

    Ansonsten:


  • Naja, wenn ich mir im Nextcloud Admin Manual mal die Systemvoraussetzungen für den Server anschaue, dann stelle ich fest, dass es hier im Webhosting eigentlich keine Möglichkeit gibt

    1. mit einem von Nextcloud als Option aufgeführten OS zu arbeiten
    2. Einen dort empfohlenen Webserver zu nutzen
    3. Eine dort empfohlene PHP-Version und Variante zu nutzen.

    PHP 7.3.oder 7.4 sind empfohlen, aber eben nur mit FPM oder mod_php. Gibt es hier nicht, nur FastCGI ohne FPM. Wir haben 7.2 mit FPM, 7.2 ist zwar nicht empfohlen, aber wenigstens aufgeführt, deswegen nutze ich das auch immer noch, weil es hier nichts Neueres mit FPM gibt. Ich werde jetzt auch sicher nicht hergehen und auf die nicht empfohlenen Varianten von PHP 7.3 und 7.4 umstellen. Dass PHP 7.2 mit FPM und Apache funktioniert mit Nextcloud, das sehe ich an meiner Nextcloud. Vielleicht versuche ich morgen mal die Indizes zu erzeugen, die da angemeckert werden. Einfach um zu sehen, ob das dann auch für meine Verwendung von Nextcloud einen signifikanten Fortschritt bei der Performance bringt.