Eine interessante Anekdote aus meiner Arbeit mit Nextcloud. Im Backend wird ein „Sicherheits- und Konfigurationscheck“ angeboten, der einige Tipps und Empfehlungen für die Nextcloud-Serverinstanz vorschlägt.

Nachdem ich alle aufgeführten Aufgaben erledigt hatte, blieb eine bestehen:

Der HTTP-Header „X-Frame-Options“ ist nicht als „SAMEORIGIN“ konfiguriert. Dies stellt ein potenzielles Sicherheits- oder Datenschutzrisiko dar, und wir empfehlen, diese Einstellung zu ändern.

NEXTCLOUD ADMIN BACKEND -> OVERVIEW

Da dies eine einfache Überprüfung ist, habe ich die Entwicklerkonsole meines Browsers geöffnet und überprüft, ob der Header gesetzt war. Und das war er. Seltsam? Zu diesem Zeitpunkt war ich mir ziemlich sicher, dass etwas mit der Erkennung dieses Headers nicht stimmte, aber ich konnte nicht sofort erkennen wo und wie genau.

Nachdem ich im Internet recherchiert und mindestens eine Stunde lang damit herumgespielt hatte, entschied ich mich, den Sicherheitsscanner scan.nextcloud.com zu verwenden, um sicherzustellen, dass die Warnung auch dort angezeigt wird. Jetzt kommt der lustige Teil: Der Scanner zeigte die Warnung ebenfalls an, allerdings mit zwischengespeicherten Daten vom letzten Jahr. Nach einem erneuten Scan und einem A+ auf dem Scanresultat, verschwand die Warnung auch im Nextcloud-Backend.

Wahrscheinlich stützt sich die Nextcloud-Backend-Prüfung auf denselben Datensatz, den scan.nextcloud.com verwendet, und indem ich die Sicherheitsprüfung auf scan.nextcloud.com manuell wiederholte, verschwand die Warnung. Es ist nicht nötig, an irgendwelchen Webserver-Konfigurationen herumzufummeln, da Nextcloud in allen neueren Versionen den X-Frame-Options-Header von sich aus korrekt setzt.