Nextcloud/Sicherheitsscanner: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „[[Kategorie:/“ durch „[[Kategorie:“
K Textersetzung - „angewendet“ durch „angewandt“
 
(31 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Der '''Nextcloud Sicherheitsscanner''' prüft die Sicherheit eines Nextcloud-Servers
'''Nextcloud Sicherheitsscanner''' - Sicherheit eines Nextcloud-Servers prüfen


== Beschreibung ==
== Beschreibung ==
* Sicherheitsanalyse eines Nextcloud-Servers
; Sicherheitsanalyse eines Nextcloud-Servers
* Verbesserungsvorschläge
* Verbesserungsvorschläge
** Updates
** Updates
** Konfiguration
** Konfiguration


=== Haftungsausschluss ===
; Haftungsausschluss
* Dieser Sicherheitscheck gilt nur für Nextcloud-Cloud-Server.
* Dieser Sicherheitscheck gilt nur für Nextcloud-Cloud-Server
* Nextcloud kann keine exakten und/oder korrekten Ergebnisse mit anderen Cloud-Servern als Nextcloud garantieren
* Nextcloud kann keine exakten und/oder korrekten Ergebnisse mit anderen Cloud-Servern als Nextcloud garantieren


=== Hinweise ===
; Hinweise
; Dieser Scan basiert ausschließlich auf öffentlich zugänglichen Informationen
Dieser Scan basiert ausschließlich auf öffentlich zugänglichen Informationen
* Liste bekannter Schwachstellen
* Liste bekannter Schwachstellen
* angewandten Härtungen/Einstellungen, die wir scannen können
* angewandten Härtungen/Einstellungen, die wir scannen können
* ohne Zugriff auf den Server zu haben
* ohne Zugriff auf den Server zu haben


; Finden Sie weitere Tipps zum Härten [https://docs.nextcloud.com/server/latest/admin_manual/installation/harden_server.html in unserem Härtungsleitfaden] und halten Sie Ihr System auf dem neuesten Stand.
; Weitere Tipps zur Härtung
* [https://docs.nextcloud.com/server/latest/admin_manual/installation/harden_server.html in unserem Härtungsleitfaden] und halten Sie Ihr System auf dem neuesten Stand.
* Dies ist nicht mehr als eine Momentaufnahme.  
* Dies ist nicht mehr als eine Momentaufnahme.  
* Sicherheit ist ein fortlaufender Prozess, und neue Erkenntnisse und Updates müssen angewendet werden, um sicher zu bleiben.
* Sicherheit ist ein fortlaufender Prozess, und neue Erkenntnisse und Updates müssen angewandt werden, um sicher zu bleiben.
* Kein kompliziertes System kann jemals vollständig sicher sein, und selbst ein mit A+ bewertetes System kann anfällig für unbekannte Probleme und entschlossene (staatliche) Angreifer sein.
* Kein kompliziertes System kann jemals vollständig sicher sein, und selbst ein mit A+ bewertetes System kann anfällig für unbekannte Probleme und entschlossene (staatliche) Angreifer sein.
* Die Einstufung wird automatisch auf der Grundlage der Liste der geltenden Sicherheitshinweise erstellt.  
* Die Einstufung wird automatisch auf der Grundlage der Liste der geltenden Sicherheitshinweise erstellt.  
* Das tatsächliche Risiko hängt von Ihrer Umgebung ab und kann abweichen.
* Das tatsächliche Risiko hängt von Ihrer Umgebung ab und kann abweichen.


==== Rating ====
== Anwendungen ==
[[File:nextcloudSecScanner01.png|mini|border|400px|https://scan.nextcloud.com/]]
https://scan.nextcloud.com/
[[File:nexclouldScan01.png|mini|border|400px|trigger re-scan]]
 
=== Re-Scan ===
[[File:nexclouldScan02.png|mini|border|400px|trigger re-scan]]
; Aktualisierung der Ergebnisse
: "trigger re-scan"
 
=== Bewertung ===
{| class="wikitable sortable options"
{| class="wikitable sortable options"
|-
|-
! Bewertung !! Beschreibung
! Bewertung !! Beschreibung
|-
|-
| F || This server version is end of life and has no security fixes anymore. It is likely trivial to break in and steal all the data or even take over the entire server.
| F || Diese Serverversion ist nicht mehr aktuell und hat keine Sicherheitskorrekturen mehr. Es ist wahrscheinlich trivial, einzubrechen und alle Daten zu stehlen oder sogar den gesamten Server zu übernehmen.
|-
|-
| E || This server is vulnerable to at least one vulnerability rated "high". It is likely quite easy to break in and steal data or even take over the server.
| E || Dieser Server ist für mindestens eine als "hoch" eingestufte Sicherheitslücke anfällig. Es ist wahrscheinlich recht einfach, einzubrechen und Daten zu stehlen oder sogar den Server zu übernehmen.
|-
|-
| D || This server is vulnerable to at least one vulnerability rated "medium". With bit of effort, like creating a specially crafted URL and luring a user there, an attacker can likely steal data or even take over the server.
| D || Dieser Server ist für mindestens eine als "mittel" eingestufte Schwachstelle verwundbar. Mit ein wenig Aufwand, z. B. durch das Erstellen einer speziell gestalteten URL und das Anlocken eines Benutzers, kann ein Angreifer wahrscheinlich Daten stehlen oder sogar den Server übernehmen.
|-
|-
| C || This server is vulnerable to at least one vulnerability rated "low". This might or might not provide a way in for an attacker and will likely need some additional vulnerabilities to be exploited.
| C || Dieser Server ist für mindestens eine als "niedrig" eingestufte Sicherheitslücke anfällig. Dies kann einem Angreifer einen Weg in den Server bieten, muss aber nicht, um ihn auszunutzen.
|-
|-
| A || This server has no known vulnerabilities but there are additional hardening capabilities available in newer versions making it harder for an attacker to exploit unknown vulnerabilities to break in.
| A || Dieser Server hat keine bekannten Schwachstellen, aber es gibt zusätzliche Härtungsfunktionen in neueren Versionen, die es einem Angreifer erschweren, unbekannte Schwachstellen zum Einbruch auszunutzen.
|-
|-
| A+ || This server is up to date, well configured and has industry leading hardening features applied, making it harder for an attacker to exploit unknown vulnerabilities to break in. [https://nextcloud.com/blog/nextcloud-11-delivers-verified-security-improvements Learn more about these preventive hardening features.]
| A+ || Dieser Server ist auf dem neuesten Stand, gut konfiguriert und verfügt über branchenführende Schutzfunktionen, die es einem Angreifer erschweren, unbekannte Schwachstellen auszunutzen. [https://nextcloud.com/blog/nextcloud-11-delivers-verified-security-improvements Erfahren Sie mehr über diese präventiven Härtungsfunktionen].
|}
|}


== Anwendungen ==
== Härtungen ==
; https://scan.nextcloud.com/
Eine Sicherheitshärtung ist eine Funktion, die Software vor Angriffen schützt, auch wenn sie von einer bestimmten Schwachstelle betroffen ist.
[[File:nextcloudSecScanner01.png|border|600px]]
* Einen Überblick über die von uns entwickelten Sicherheitshärtungsfunktionen finden Sie unter [https://nextcloud.com/secure our website].


Im Folgenden finden Sie eine Liste der Härtungsfunktionen, die Ihr Server aktiviert hat.


[[File:nexclouldScan01.png|border|600px]]


=== Re-Scan ===
{| class="wikitable sortable options"
; Aktualisierung der Ergebnisse durch "trigger re-scan"
|-
! Option !! Beschreibung
|-
| Bruteforce-Schutz || Der Bruteforce-Schutz verlangsamt die Geschwindigkeit, mit der Passwörter ausprobiert werden können, und schützt so vor Angreifern, die versuchen, ein Passwort zu erraten.
* Es gab bereits Bruteforce-Angriffe auf ownCloud/Nextcloud-Systeme.
|-
| CSPv3 || CSP ist eine HTTP-Funktion, die es dem Server ermöglicht, bestimmte Einschränkungen für eine Ressource festzulegen, wenn diese in einem Browser geöffnet wird.
* So kann z.B. nur das Laden von Bildern oder JavaScript von bestimmten Zielen erlaubt werden.
* Durch die Verwendung von CSP ist es für Angreifer wesentlich schwieriger, eine Cross-Site-Scripting-Schwachstelle auszunutzen.
* Dies liegt daran, dass die von einem Angreifer eingefügten Ressourcen nicht in der Whitelist der Richtlinie enthalten sind und der Browser daher eine Injektion bemerken und die Ausführung verweigern kann.
CSP v3.0 ermöglicht es, eine noch strengere Richtlinie zu haben.
* Anstatt die JavaScript-Einbindungsrichtlinie auf "self" zu beschränken, können Sie Nonces verwenden, was auch "Mime-Verwechslungsangriffe" verhindert.
* Siehe den [https://csp-evaluator.withgoogle.com/ CSP evaluator], um die CSP-Richtlinie einer Anwendung zu bewerten.
|-
| Same-Site-Cookies || Same-Site-Cookies sind eine von modernen Browsern unterstützte Sicherheitsmaßnahme, die CSRF-Schwachstellen verhindern und Ihre Privatsphäre weiter schützen.
Browser, die Same-Site-Cookies unterstützen, können so instruiert werden, dass sie nur dann ein Cookie senden, wenn die Anfrage von der ursprünglichen Domäne ausgeht.
* Dadurch wird das Ausnutzen von CSRF-Schwachstellen von anderen Domänen aus zum Kinderspiel.
* Auch Timing-Angriffe, wie z.B. die Aufzählung, ob eine bestimmte Datei oder ein bestimmter Ordner existiert, sind nicht mehr möglich.
* Nextcloud erzwingt das Vorhandensein von Same-Site-Cookies bei jeder Anfrage, indem es dies innerhalb der Anfrage-Middleware erzwingt.
|-
| Passwortbestätigung || Wenn ein Administrator oder ein normaler Benutzer versucht, eine potenziell sensible Einstellung zu ändern (z. B. die Berechtigungen eines Benutzers), muss er sein Passwort ein zweites Mal eingeben, um die Aktion zu bestätigen.
* Die Passwortüberprüfung ist nur einmal alle 30 Minuten erforderlich.
* Nachdem 30 Minuten nach der letzten Überprüfung vergangen sind, muss der Benutzer seine Identität erneut bestätigen, wenn er eine sicherheitsrelevante Änderung vornimmt.
|-
| Prüft Passwörter gegen HaveIBeenPwned Datenbank || In Nextcloud 13.0.1 haben wir [https://nextcloud.com/blog/nextcloud-will-check-passwords-against-database-of-haveibeenpwned/ eine Prüfung] gegen die HaveIBeenPwned-Datenbank des Sicherheitsforschers Troy Hunt hinzugefügt.
* Dies stellt sicher, dass Benutzer keine Passwörter wählen können, die bekanntermaßen unsicher sind.
|-
| __Host-Präfix || Das __Host-Präfix entschärft Schwachstellen bei der Cookie-Injektion in Software von Drittanbietern, die dieselbe Domäne zweiter Ebene nutzen.
* Es handelt sich um eine zusätzliche Absicherung zusätzlich zu den "normalen" Cookies derselben Website.
|-
| App-Passwörter können eingeschränkt werden || Wenn die Zwei-Faktor-Authentifizierung verwendet wird, können Nextcloud-Benutzer Token anstelle ihres Passworts verwenden.
* Sie werden für Apps verwendet, die noch keine 2FA unterstützen.
* Durch spezifische Beschränkungen des Zugriffs auf Dinge wie das Dateisystem für Apps, die dies nicht benötigen, können Benutzer ihre potenziell weniger vertrauenswürdigen Drittanbieter-Clients (z. B. eine Kalender-App auf dem Mobiltelefon) verbinden, ohne den Zugriff auf alle ihre Daten preiszugeben.
|}


[[File:nexclouldScan02.png|border|600px]]
== Einrichtung ==
Neben den Funktionen der Private Cloud Software selbst, kann man seinen Apache oder NGINX Server mehr oder weniger sicher konfigurieren.
* Bitte beachten Sie, dass viele der verfügbaren Sicherheitseinstellungen nicht von außen überprüft werden können!
* Wir empfehlen Ihnen dringend, unseren [https://docs.nextcloud.com/server/latest/admin_manual/installation/harden_server.html Security Hardening Guide] zu lesen und die dortigen Anweisungen zu befolgen.


== Hardenings ==
Hier sind die Ergebnisse einer Reihe von Überprüfungen Ihres Servers
A security hardening is a feature which protects software from attacks even if it is affected by a certain vulnerability.
* For an overview of security hardening capabilities we've developed, see [https://nextcloud.com/secure our website.]


Below is a list of hardening features your server has enabled.
{| class="wikitable sortable options"
 
|-
=== Bruteforce protection ===
! Option !! Beschreibung
Bruteforce protection slows down the speed at which passwords can be tried, protecting against an attacker trying to guess a password.  
|-
* There have been bruteforce attacks against ownCloud/Nextcloud systems.
|-
| X-Frame-Options || Der <tt>X-Frame-Options</tt>-Antwort-Header gibt an, ob eine Seite von anderen Seiten gerahmt werden kann.
* Eine falsche Einstellung kann so genannte "Clickjacking"-Angriffe ermöglichen.
|-
| X-Content-Type-Options || Der <tt>X-Content-Type-Options</tt> Response Header verbietet es Browsern, den Content-Type einer Datei zu erraten, dies verhindert so genannte "MIME confusion attacks".
|-
| X-XSS-Schutz || Der Response-Header <tt>X-XSS-Protection</tt> verhindert, dass Browser eine Seite laden, wenn sie einen reflektierten Cross-Site-Scripting-Angriff erkennen.
* Obwohl er für aktuelle Browser nicht mehr unbedingt erforderlich ist, stellt er für ältere Browser eine sinnvolle Sicherheitsmaßnahme dar.
|-
| X-Download-Options || Der Antwort-Header <tt>X-Download-Options</tt> weist den Internet Explorer an, die Datei nicht direkt zu öffnen, sondern sie zunächst zum Download anzubieten.  
* Dies entschärft einige potenzielle Social Engineering-Angriffe.
|-
| X-Permitted-Cross-Domain-Policies || Der Antwort-Header <tt>X-Permitted-Cross-Domain-Policies</tt> weist die Adobe-Software an, wie sie mit domänenübergreifenden Richtlinien umgehen soll.  
* Dies stellt eine angemessene Sicherheitsabhärtung dar, da es den Zugriff von Adobe Flash Player auf Daten einschränkt.
|}


=== CSPv3 ===
== Empfehlung ==
CSP is a HTTP feature that allows the server to set specific restrictions on a resource when opened in a browser.  
; Wir empfehlen dringend, einen Private-Cloud-Server ständig auf dem neuesten Stand zu halten.  
* Such as only allowing to load images or JavaScript from specific targets.  
* Server, auf denen nicht das neueste Sicherheitsupdate einer unterstützten Versionsreihe läuft, sind oft verwundbar.  
* Using CSP makes it much harder for attackers to exploit a Cross-Site Scripting vulnerability.  
* Neue Versionen finden Sie [https://nextcloud.com/changelog hier für Nextcloud] und [http://owncloud.org/changelog hier für ownCloud].
* This is the fact because resources inserted by an attacker are not in the whitelist of the policy and thus the browser can notice an injection and refuse execution.
* Nextcloud ist bestrebt, die Aktualisierung zu einem sicheren, einfachen und schmerzlosen Verfahren zu machen.  
* Als Ergebnis dieser Bemühungen müssen Benutzer, die PHP 7.x und eine aktuelle Version von Nextcloud verwenden, die Anwendungen bei einem Upgrade nicht erneut aktivieren und werden auch über neue Versionen von Anwendungen informiert.  


CSP v3.0 makes it possible to have an even stricter policy.  
; Weitere Verbesserungen sind in Vorbereitung
* Instead of restricting the JavaScript inclusion policy to 'self' you can use nonces, which prevents also "mime confusion attacks".  
* In unserem früheren Blog [https://nextcloud.com/blog/protect-your-privacy-time-to-upgrade-to-nextcloud-11./ erfahren Sie, warum und wie Sie auf die neueste Version von Nextcloud upgraden sollten].
* See the [https://csp-evaluator.withgoogle.com/ CSP evaluator] to evaluate the CSP policy of an application.
* Wir empfehlen Ihnen außerdem, unseren [https://docs.nextcloud.com/server/latest/admin_manual/installation/harden_server.html Security Hardening Guide] zu lesen und die dortigen Anweisungen zu befolgen.


=== Same-Site-Cookies ===
<noinclude>
Same-Site cookies are a security measure supported by modern browsers that prevent CSRF vulnerabilities and protect your privacy further.


Browsers that support same-site cookies can be instructed in a way to only send a cookie if the request is originating from the original domain.
== Anhang ==
* This makes exploiting CSRF vulnerabilities from other domains a non-issue.
=== Siehe auch ===
* Also timing attacks, such as enumerating whether a specific file or folder exists, are not feasible anymore.
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
* Nextcloud enforces the same-site cookies to be present on every request by enforcing this within the request middle ware.
==== Dokumentation ====
 
==== Links ====
=== Password confirmation ===
===== Projekt =====
If an administrator or regular user is trying to change a potential sensitive setting (such as changing the permissions of an user) they will have to provide their password a second time to verify the action.
===== Weblinks =====
* Password verification is only required once every 30 minutes.
* After 30 minutes have been passed after the last verification the user will have to re-verify their identity if they make a security-sensitive change.
 
=== Checks passwords against HaveIBeenPwned database ===
In Nextcloud 13.0.1 we [https://nextcloud.com/blog/nextcloud-will-check-passwords-against-database-of-haveibeenpwned/ added a check] against the HaveIBeenPwned database of security researcher Troy Hunt.
* This ensures users can't pick passwords which are known insecure.
 
=== __Host-Prefix ===
The __Host prefix mitigates cookie injection vulnerabilities within potential third-party software sharing the same second level domain.
* It is an additional hardening on top of 'normal' same-site cookies.
 
=== App passwords can be restricted ===
; When two-factor authentication is used, Nextcloud users can use tokens instead of their password
* They are used for apps which don't support 2FA yet
* By putting specific limitations on things like file system access for apps that don't need it, users can connect their potentially less trusted third-party clients (for example a mobile phone calendar app) without exposing access to all their data.
 
== Setup ==
Besides features of the private cloud software itself, one can configure their Apache or NGINX server more or less securely.
* Please note that many security settings available cannot be checked from the outside!
* We strongly recommend you read our [https://docs.nextcloud.com/server/latest/admin_manual/installation/harden_server.html Security Hardening Guide] and follow the instructions there.
 
; Here are the results of a number of checks against your server
 
=== Headers ===
=== X-Frame-Options ===
The <tt>X-Frame-Options</tt> response header indicates whether a page can be iframed by other pages.
* An incorrect setting may allow so called "Clickjacking" attacks.
 
=== X-Content-Type-Options ===
The <tt>X-Content-Type-Options</tt> response header forbids browsers to guess the Content-Type of a file, this prevents so called "MIME confusion attacks".
 
=== X-XSS-Protection ===
The <tt>X-XSS-Protection</tt> response header prevents browsers from loading a page when they detect a reflected Cross-Site Scripting attack.
* While not really required anymore for up-to-date browsers this is a decent security hardening for older browsers.
 
=== X-Download-Options ===
The <tt>X-Download-Options</tt> response header instructs Internet Explorer not to open the file directly but to offer it for download first.
* This mitigates some potential Social Engineering attacks.
 
=== X-Permitted-Cross-Domain-Policies ===
The <tt>X-Permitted-Cross-Domain-Policies</tt> response header instructs Adobe software on how to handle cross-domain policies.
* This provides a decent security hardening as it restricts Adobe Flash Player's access to data.
 
== Recommendation ==
We strongly recommend to keep a private cloud server constantly updated.
* Servers not running the latest security update in a supported release series are often vulnerable.
* You can find new versions [https://nextcloud.com/changelog here for Nextcloud] and [http://owncloud.org/changelog here for ownCloud.]
* Nextcloud strives to make upgrading a safe, easy and painless procedure.
* As a result of these efforts, for users running PHP 7.x and a current version of Nextcloud, there is no need to re-enable apps upon upgrade and users get notified of new versions of apps as well.
 
; More improvements are coming!
* You can learn [https://nextcloud.com/blog/protect-your-privacy-time-to-upgrade-to-nextcloud-11./ why and how to upgrade to the latest version of Nextcloud in our earlier blog.]
* We further recommend to read our [https://docs.nextcloud.com/server/latest/admin_manual/installation/harden_server.html Security Hardening Guide] and follow the instructions there.
 
== Dokumentation ==
 
== Siehe auch ==
== Links ==
=== Projekt ===
=== Weblinks ===
# Find out how you can [https://docs.nextcloud.com/server/latest/go.php?to=admin-update upgrade to Nextcloud to keep your data secure.]
# Find out how you can [https://docs.nextcloud.com/server/latest/go.php?to=admin-update upgrade to Nextcloud to keep your data secure.]
# Learn more about [https://nextcloud.com/secure our security efforts.]
# Learn more about [https://nextcloud.com/secure our security efforts.]


=== Einzelnachweise ===
[[Kategorie:Nextcloud/Sicherheit]]
<references />
</noinclude>
== Testfragen ==
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
 
 
[[Kategorie:Nextcloud/Verwaltung]]

Aktuelle Version vom 18. August 2023, 11:46 Uhr

Nextcloud Sicherheitsscanner - Sicherheit eines Nextcloud-Servers prüfen

Beschreibung

Sicherheitsanalyse eines Nextcloud-Servers
  • Verbesserungsvorschläge
    • Updates
    • Konfiguration
Haftungsausschluss
  • Dieser Sicherheitscheck gilt nur für Nextcloud-Cloud-Server
  • Nextcloud kann keine exakten und/oder korrekten Ergebnisse mit anderen Cloud-Servern als Nextcloud garantieren
Hinweise

Dieser Scan basiert ausschließlich auf öffentlich zugänglichen Informationen

  • Liste bekannter Schwachstellen
  • angewandten Härtungen/Einstellungen, die wir scannen können
  • ohne Zugriff auf den Server zu haben
Weitere Tipps zur Härtung
  • in unserem Härtungsleitfaden und halten Sie Ihr System auf dem neuesten Stand.
  • Dies ist nicht mehr als eine Momentaufnahme.
  • Sicherheit ist ein fortlaufender Prozess, und neue Erkenntnisse und Updates müssen angewandt werden, um sicher zu bleiben.
  • Kein kompliziertes System kann jemals vollständig sicher sein, und selbst ein mit A+ bewertetes System kann anfällig für unbekannte Probleme und entschlossene (staatliche) Angreifer sein.
  • Die Einstufung wird automatisch auf der Grundlage der Liste der geltenden Sicherheitshinweise erstellt.
  • Das tatsächliche Risiko hängt von Ihrer Umgebung ab und kann abweichen.

Anwendungen

https://scan.nextcloud.com/

https://scan.nextcloud.com/

trigger re-scan

Re-Scan

trigger re-scan
Aktualisierung der Ergebnisse
"trigger re-scan"

Bewertung

Bewertung Beschreibung
F Diese Serverversion ist nicht mehr aktuell und hat keine Sicherheitskorrekturen mehr. Es ist wahrscheinlich trivial, einzubrechen und alle Daten zu stehlen oder sogar den gesamten Server zu übernehmen.
E Dieser Server ist für mindestens eine als "hoch" eingestufte Sicherheitslücke anfällig. Es ist wahrscheinlich recht einfach, einzubrechen und Daten zu stehlen oder sogar den Server zu übernehmen.
D Dieser Server ist für mindestens eine als "mittel" eingestufte Schwachstelle verwundbar. Mit ein wenig Aufwand, z. B. durch das Erstellen einer speziell gestalteten URL und das Anlocken eines Benutzers, kann ein Angreifer wahrscheinlich Daten stehlen oder sogar den Server übernehmen.
C Dieser Server ist für mindestens eine als "niedrig" eingestufte Sicherheitslücke anfällig. Dies kann einem Angreifer einen Weg in den Server bieten, muss aber nicht, um ihn auszunutzen.
A Dieser Server hat keine bekannten Schwachstellen, aber es gibt zusätzliche Härtungsfunktionen in neueren Versionen, die es einem Angreifer erschweren, unbekannte Schwachstellen zum Einbruch auszunutzen.
A+ Dieser Server ist auf dem neuesten Stand, gut konfiguriert und verfügt über branchenführende Schutzfunktionen, die es einem Angreifer erschweren, unbekannte Schwachstellen auszunutzen. Erfahren Sie mehr über diese präventiven Härtungsfunktionen.

Härtungen

Eine Sicherheitshärtung ist eine Funktion, die Software vor Angriffen schützt, auch wenn sie von einer bestimmten Schwachstelle betroffen ist.

  • Einen Überblick über die von uns entwickelten Sicherheitshärtungsfunktionen finden Sie unter our website.

Im Folgenden finden Sie eine Liste der Härtungsfunktionen, die Ihr Server aktiviert hat.


Option Beschreibung
Bruteforce-Schutz Der Bruteforce-Schutz verlangsamt die Geschwindigkeit, mit der Passwörter ausprobiert werden können, und schützt so vor Angreifern, die versuchen, ein Passwort zu erraten.
  • Es gab bereits Bruteforce-Angriffe auf ownCloud/Nextcloud-Systeme.
CSPv3 CSP ist eine HTTP-Funktion, die es dem Server ermöglicht, bestimmte Einschränkungen für eine Ressource festzulegen, wenn diese in einem Browser geöffnet wird.
  • So kann z.B. nur das Laden von Bildern oder JavaScript von bestimmten Zielen erlaubt werden.
  • Durch die Verwendung von CSP ist es für Angreifer wesentlich schwieriger, eine Cross-Site-Scripting-Schwachstelle auszunutzen.
  • Dies liegt daran, dass die von einem Angreifer eingefügten Ressourcen nicht in der Whitelist der Richtlinie enthalten sind und der Browser daher eine Injektion bemerken und die Ausführung verweigern kann.

CSP v3.0 ermöglicht es, eine noch strengere Richtlinie zu haben.

  • Anstatt die JavaScript-Einbindungsrichtlinie auf "self" zu beschränken, können Sie Nonces verwenden, was auch "Mime-Verwechslungsangriffe" verhindert.
  • Siehe den CSP evaluator, um die CSP-Richtlinie einer Anwendung zu bewerten.
Same-Site-Cookies Same-Site-Cookies sind eine von modernen Browsern unterstützte Sicherheitsmaßnahme, die CSRF-Schwachstellen verhindern und Ihre Privatsphäre weiter schützen.

Browser, die Same-Site-Cookies unterstützen, können so instruiert werden, dass sie nur dann ein Cookie senden, wenn die Anfrage von der ursprünglichen Domäne ausgeht.

  • Dadurch wird das Ausnutzen von CSRF-Schwachstellen von anderen Domänen aus zum Kinderspiel.
  • Auch Timing-Angriffe, wie z.B. die Aufzählung, ob eine bestimmte Datei oder ein bestimmter Ordner existiert, sind nicht mehr möglich.
  • Nextcloud erzwingt das Vorhandensein von Same-Site-Cookies bei jeder Anfrage, indem es dies innerhalb der Anfrage-Middleware erzwingt.
Passwortbestätigung Wenn ein Administrator oder ein normaler Benutzer versucht, eine potenziell sensible Einstellung zu ändern (z. B. die Berechtigungen eines Benutzers), muss er sein Passwort ein zweites Mal eingeben, um die Aktion zu bestätigen.
  • Die Passwortüberprüfung ist nur einmal alle 30 Minuten erforderlich.
  • Nachdem 30 Minuten nach der letzten Überprüfung vergangen sind, muss der Benutzer seine Identität erneut bestätigen, wenn er eine sicherheitsrelevante Änderung vornimmt.
Prüft Passwörter gegen HaveIBeenPwned Datenbank In Nextcloud 13.0.1 haben wir eine Prüfung gegen die HaveIBeenPwned-Datenbank des Sicherheitsforschers Troy Hunt hinzugefügt.
  • Dies stellt sicher, dass Benutzer keine Passwörter wählen können, die bekanntermaßen unsicher sind.
__Host-Präfix Das __Host-Präfix entschärft Schwachstellen bei der Cookie-Injektion in Software von Drittanbietern, die dieselbe Domäne zweiter Ebene nutzen.
  • Es handelt sich um eine zusätzliche Absicherung zusätzlich zu den "normalen" Cookies derselben Website.
App-Passwörter können eingeschränkt werden Wenn die Zwei-Faktor-Authentifizierung verwendet wird, können Nextcloud-Benutzer Token anstelle ihres Passworts verwenden.
  • Sie werden für Apps verwendet, die noch keine 2FA unterstützen.
  • Durch spezifische Beschränkungen des Zugriffs auf Dinge wie das Dateisystem für Apps, die dies nicht benötigen, können Benutzer ihre potenziell weniger vertrauenswürdigen Drittanbieter-Clients (z. B. eine Kalender-App auf dem Mobiltelefon) verbinden, ohne den Zugriff auf alle ihre Daten preiszugeben.

Einrichtung

Neben den Funktionen der Private Cloud Software selbst, kann man seinen Apache oder NGINX Server mehr oder weniger sicher konfigurieren.

  • Bitte beachten Sie, dass viele der verfügbaren Sicherheitseinstellungen nicht von außen überprüft werden können!
  • Wir empfehlen Ihnen dringend, unseren Security Hardening Guide zu lesen und die dortigen Anweisungen zu befolgen.

Hier sind die Ergebnisse einer Reihe von Überprüfungen Ihres Servers

Option Beschreibung
X-Frame-Options Der X-Frame-Options-Antwort-Header gibt an, ob eine Seite von anderen Seiten gerahmt werden kann.
  • Eine falsche Einstellung kann so genannte "Clickjacking"-Angriffe ermöglichen.
X-Content-Type-Options Der X-Content-Type-Options Response Header verbietet es Browsern, den Content-Type einer Datei zu erraten, dies verhindert so genannte "MIME confusion attacks".
X-XSS-Schutz Der Response-Header X-XSS-Protection verhindert, dass Browser eine Seite laden, wenn sie einen reflektierten Cross-Site-Scripting-Angriff erkennen.
  • Obwohl er für aktuelle Browser nicht mehr unbedingt erforderlich ist, stellt er für ältere Browser eine sinnvolle Sicherheitsmaßnahme dar.
X-Download-Options Der Antwort-Header X-Download-Options weist den Internet Explorer an, die Datei nicht direkt zu öffnen, sondern sie zunächst zum Download anzubieten.
  • Dies entschärft einige potenzielle Social Engineering-Angriffe.
X-Permitted-Cross-Domain-Policies Der Antwort-Header X-Permitted-Cross-Domain-Policies weist die Adobe-Software an, wie sie mit domänenübergreifenden Richtlinien umgehen soll.
  • Dies stellt eine angemessene Sicherheitsabhärtung dar, da es den Zugriff von Adobe Flash Player auf Daten einschränkt.

Empfehlung

Wir empfehlen dringend, einen Private-Cloud-Server ständig auf dem neuesten Stand zu halten.
  • Server, auf denen nicht das neueste Sicherheitsupdate einer unterstützten Versionsreihe läuft, sind oft verwundbar.
  • Neue Versionen finden Sie hier für Nextcloud und hier für ownCloud.
  • Nextcloud ist bestrebt, die Aktualisierung zu einem sicheren, einfachen und schmerzlosen Verfahren zu machen.
  • Als Ergebnis dieser Bemühungen müssen Benutzer, die PHP 7.x und eine aktuelle Version von Nextcloud verwenden, die Anwendungen bei einem Upgrade nicht erneut aktivieren und werden auch über neue Versionen von Anwendungen informiert.
Weitere Verbesserungen sind in Vorbereitung


Anhang

Siehe auch

Dokumentation

Links

Projekt
Weblinks
  1. Find out how you can upgrade to Nextcloud to keep your data secure.
  2. Learn more about our security efforts.