Nach eifriger Überlegung habe ich mir meine erste 35 MM Festbrennweite zugelegt. Ich habe nun schon seit Jahren das Canon EF 50MM f/1,4 USM, habe aber irgendwann festgestellt das die Brennweite nicht wirklich optimal für mich ist und das Canon EF 50 MM f/1,4 USM gerade bei offener Blende mit Schwächen zu kämpfen hat. Ich habe schon einige Testaufnahmen gemacht und werde diese in den nächsten Tagen posten.

Nachdem einige Sicherheitsprobleme mit dem Dienst discoveryd in der Vergangenheit unter Mac OS X aufgetreten sind, ging Apple aber der Version 10.11 (El Capitan) von Mac OS X dazu über, den discoveryd Dienst durch den mDNSResponder Dienst zu ersetzen. Daher reicht der alte Befehl sudo dscacheutil -flushdns nicht mehr aus. Unter Mac OS X 10.11 (El Capitan) darf es dann ein etwas längerer Befehl sein. Der Befehl zum leeren des DNS Cache lautet:

sudo dscacheutil -flushcache;sudo killall -HUP mDNSResponder;say flushed

1. Ausgangssituation

Out-of-the-box liefert nginx und PHP die eingesetzte Softwareversion mit jedem HTTP Response aus. Das ist nicht sonderlich klug, da man so einem potentiellen Angreifer ungewollt eine Angriffsfläche bietet. Hier einmal ein normaler HTTP Response. Die zu deaktivierenden HTTP Header Werte habe ich rot gekennzeichnet.

$ curl -I http://192.168.1.1
HTTP/1.1 200 OK
Server: nginx/1.8.1
Date: SAT, 13 Feb 2016 08:20:36 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Vary: Accept-Encoding
X-Powered-By: PHP/5.3.3
...

2. Deaktivierung der NGINX Version

Die Deaktivierung der Nginx Version ist recht simpel.

Hierzu ist nur die nginx.conf zu öffnen und der Parameter server_tokens off in dem Bereich „http“ in der nginx.conf hinzuzufügen. (mehr …)

Je weniger Informationen einem potentiellen Angreifer zu Verfügung stehen desto besser. Wenn man möglichst wenige Informationen preis gibt, verringert man auch die Angriffsfläche.

Die Webseite ssllabs.com ist quasi schon ein Standard für die Überprüfung von TLS Einstellungen eines Webservers. Um die Security Header einer Webseite prüfen zu können, empfiehlt sich das Online-Tool securityheaders.io. Wer ssllabs.com bereits kennt wird sich auf securityheaders.io schnell zurecht finden.

 

screen_securityheaders.io

 

So sieht das Ergebnis für meine Owncloud Installation aus. Nur weil eine Webseite kein A+ erhält, heißt es noch lange nicht das sie unsicher ist. Der Test gibt aber einen Hinweis darauf, wie man die Sicherheit noch weiter erhöhen kann.

Es wird empfohlen bei SSL verschlüsselten Verbindungen HTTP Strict Transport Security (kurz: HSTS) zu aktivieren. Falls HSTS nicht aktiviert ist generiert owncloud im Administrationsmenü folgende Meldung:

Ich setze auf den Webserver nginx. Bei diesem ist die Behebung dieses Fehlers wirklich simpel. Zuerst ist die Konfigurationsdatei für die entsprechende Webseite zu öffnen:

sudo nano /etc/nginx/sites-enabled/datei

Dort ist in dem Abschnitt

server {
    listen 1.1.1.1 ssl;

folgender Eintrag hinzuzufügen

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";

In meiner Konfigurationsdatei sieht der Abschnitt dann so aus

server { 
    listen 1.1.1.1 ssl;
    server_name domainname.de;
    ssl_certificate /etc/nginx/cert/certificate.cer;
    ssl_certificate_key /etc/nginx/cert/certificate.key;
    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
    }

Jetzt nur noch die geänderten Konfigurationsdateien in nginx einlesen und fertig sind wir!

sudo /etc/init.d/nginx reload
Close