Nextcloud Private Cloud Security Scanner ist veröffentlicht

7 März 2017 Kein Kommentar Autor: Jürgen (jdo)

Dass Daten in einer Public Cloud zu Bauchschmerzen führen können, ist bekannt. Immer wieder gibt es massive Datenlecks bei großen Namen. Dropbox und Yahoo! waren 2016 deswegen in den Schlagzeilen. Wer sich selbst helfen kann, der legt seine Daten lieber in eine Private Cloud wie zum Beispiel Nextcloud oder ownCloud. Aber da drin sind die Daten auch nur so sicher wie die Wartung des Systems. Die Entwickler von Nextcloud wollen den Betreibern mit dem Nextcloud Private Cloud Security Scanner unter die Arme greifen. Der macht Folgendes:

Nextcloud Private Cloud Security Scanner

Ein Server ist eine wunderbare Sache, wenn er auf dem neueste Stand gehalten wird. Das Einspielen von Security-Updates, Bugfixes und so weiter gehören einfach zum Betreiben eines Servers dazu.

Beim Nextcloud Private Cloud Security Scanner musst Du einfach die URL Deiner Nextcloud- oder ownCloud-Instanz eingeben und der Server wird von außen auf bekannte Security-Probleme geprüft. Bekannte Security-Probleme können falsche Konfiguration, veraltete Software, bekannte Security-Lücken und so weiter sein.

Der Nextcloud Private Cloud Security Scanner versucht dabei nicht, Dein System zu hacken. Es ist ein recht einfacher Check, um auf Probleme hinzuweisen. Oftmals reicht es aber schon, damit der Betreiber die Probleme beheben kann. Häufig lassen sie sich auch sehr einfach aus der Welt schaffen.

Die Entwickler weisen auch ausdrücklich darauf hin, dass ein Server weit mehr Probleme oder Security-Lücken aufweisen kann, die dieser einfache Scan nicht findet.

Nextcloud Private Cloud Security Scanner

Willst Du den Scanner selbst ausprobieren, dann hüpfe zu https://scan.nextcloud.com/. Dort gibst Du die URL Deiner ownCloud- oder Nextcloud-Instanz ein und wartest ein paar Sekunden.

Nextcloud Private Cloud Security Scanner

Nextcloud Private Cloud Security Scanner

Ich deute die Statistik mal so: Die ownCloud ist nicht weniger sicher als die Nextcloud. Allerdings gibt es das Projekt schon länger und ich vermute sehr stark, dass es sich um veraltete ownCloud-Versionen und weniger um unsichere Server handelt. Irgendwann werden ownCloud- oder Nextcloud-Versionen nicht mehr gewartet. In diesem Fall muss der jeweilige Administrator eben reagieren und auf eine neue Version aktualisieren.

Es ist aber trotzdem nicht sehr beruhigend, dass lediglich 36 Prozent als sicher eingestuft wurden. Teilweise ist das Problem, dass die Leute den Aufwand unterschätzen, einen Server zu betreiben. Wenn Dir Deine Daten lieb sind und Du eine eigene ownCloud- oder Nextcloud-Instanz betreiben willst, dann musst Du das Ding auch pflegen. Dabei ist es egal, ob Du einen dedizierten Server im Internet hast oder die Private Cloud auf einem Raspberry Pi betreibst. Regelmäßige Updates sind Pflicht. Sollte Deine Private Cloud nicht aus dem Internet erreichbar sein, dann kannst Du das Intervall für die Updates wahrscheinlich etwas strecken. Dennoch gehören Systeme in gewissen Abständen aktualisiert.

Ein A habe ich bei meinem Check bekommen

Ich habe ein A bekommen und bei mir wird lediglich bemängelt, dass __Host prefix nicht zum Einsatz kommt. Die genaue Meldung dazu ist:

The __Host prefix mitigates cookie injection vulnerabilities within potential third-party software sharing the same second level domain. It is an additional hardening on top of ’normal‘ same-site cookies.

__Host-Prefix passt nicht

__Host-Prefix passt nicht

Danach musste ich erst einmal suchen und bin auf diesen Thread gestoßen. Zunächst einmal ist das kein Security-Problem, sondern eine Hardening-Maßnahme.__Host prefix sollte automatisch angewendet werden, wenn folgende Konditionen zutreffen:

  • Nextcloud ist via HTTPS erreichbar <- ist bei mir der Fall
  • Nextcloud ist NICHT in einem Unterordner installiert (zum Beispiel cloud.foo.com und nicht cloud.foo.com/nextcloud/) <- ist bei mir nicht der Fall

Alles andere passt und deswegen bin ich mit meinem A doch ziemlich zufrieden. Wer noch weitere Tipps zum Hardening oder zur Abhärtung von Nextcloud oder ownCloud lesen möchte, kann sich hier schlau machen.

Mein Scan hat zu einem A geführt und ein A+ ist wegen des Unterordners nicht möglich

Mein Scan hat zu einem A geführt und ein A+ ist wegen des Unterordners nicht möglich

Auf jeden Fall kostet der Scan nichts, er dauert nicht lange und schaden kann er auf keinen Fall.

Nette Pi-Konstellation

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
)
oder

Bitcoin-Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK

Ethereum-Adresse: 0x9cc684575721dc07b629ad5d81b43ab4b992e76e

Verge-Adresse: DJaJtZeW494xhnRJJt19Lnt2R5pz7zRp5A

Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!

 
 Alle Kommentare als Feed abonnieren

Antworten