Archiv für den Monat: Februar 2023

Armutszeugnis: DNS bei Alfahosting 2023 und wie man doch IPv6 nutzen kann

Kürzlich erneuerte ich die Internetpräsenz für einen Sportverein. Nach erfolgtem Update wollte ich das Paket durch Aktivierung von IPv6 abrunden. Dies scheiterte in den letzten Jahren jedoch immer daran, dass die Domains des Vereins bei Alfahosting als Teil eines Web- und Mailhostings für 3,99€ im Monat gebucht sind, Alfahosting in seinen DNS-Einstellungen jedoch keine Quad-A-Records (AAAA-Records) unterstützt.

IPv6 als 1998 standardisiertes Protokoll ist 25 Jahre später noch immer nicht ganz angekommen. Zumindest in meiner Heimatstadt, aus der auch Alfahosting stammt?

Ganz so leicht wollte ich hier nicht aufgeben. Folgend zeige ich meine drei Versuche, IPv6 mit einer bei Alfahosting registrierten Domain zu unterstützen.

Armutszeugnis: DNS bei Alfahosting 2023 und wie man doch IPv6 nutzen kann weiterlesen

Nextcloud: Der HTTP-Header „X-Frame-Options“ ist nicht als „SAMEORIGIN“ konfiguriert (obwohl er konfiguriert ist)

Eine interessante Anekdote aus meiner Arbeit mit Nextcloud. Im Backend wird ein „Sicherheits- und Konfigurationscheck“ angeboten, der einige Tipps und Empfehlungen für die Nextcloud-Serverinstanz vorschlägt.

Nachdem ich alle aufgeführten Aufgaben erledigt hatte, blieb eine bestehen:

Der HTTP-Header „X-Frame-Options“ ist nicht als „SAMEORIGIN“ konfiguriert. Dies stellt ein potenzielles Sicherheits- oder Datenschutzrisiko dar, und wir empfehlen, diese Einstellung zu ändern.

NEXTCLOUD ADMIN BACKEND -> OVERVIEW

Da dies eine einfache Überprüfung ist, habe ich die Entwicklerkonsole meines Browsers geöffnet und überprüft, ob der Header gesetzt war. Und das war er. Seltsam? Zu diesem Zeitpunkt war ich mir ziemlich sicher, dass etwas mit der Erkennung dieses Headers nicht stimmte, aber ich konnte nicht sofort erkennen wo und wie genau.

Nachdem ich im Internet recherchiert und mindestens eine Stunde lang damit herumgespielt hatte, entschied ich mich, den Sicherheitsscanner scan.nextcloud.com zu verwenden, um sicherzustellen, dass die Warnung auch dort angezeigt wird. Jetzt kommt der lustige Teil: Der Scanner zeigte die Warnung ebenfalls an, allerdings mit zwischengespeicherten Daten vom letzten Jahr. Nach einem erneuten Scan und einem A+ auf dem Scanresultat, verschwand die Warnung auch im Nextcloud-Backend.

Wahrscheinlich stützt sich die Nextcloud-Backend-Prüfung auf denselben Datensatz, den scan.nextcloud.com verwendet, und indem ich die Sicherheitsprüfung auf scan.nextcloud.com manuell wiederholte, verschwand die Warnung. Es ist nicht nötig, an irgendwelchen Webserver-Konfigurationen herumzufummeln, da Nextcloud in allen neueren Versionen den X-Frame-Options-Header von sich aus korrekt setzt.