ownCloud bzw. nextCloud zeigt einige Warnungen oder Hinweise an, auf die wir hier genauer eingehen möchten:

HSTS

"Der "Strict-Transport-Security“-HTTP-Header ist nicht auf mindestens "15552000“ Sekunden eingestellt."

Diese Warnung bezieht sich auf HSTS. Es ist durchaus empfehlenswert, HSTS zu aktivieren. Lege dazu eine .htaccess-Datei wie in unserer Anleitung "HSTS aktivieren" beschrieben, in der ownCloud-/nextCloud-Installation an.

PHP Memory Cache

"Es wurde kein PHP Memory Cache konfiguriert. Zur Erhöhung der Leistungsfähigkeit kann ein Memory-Cache konfiguriert werden."

Die Installation von Memcached (sofern im Webhosting-Paket enthalten) ist hier beschrieben: Hosted Memcached Installation

Opcache

"Der PHP-OPcache ist nicht richtig konfiguriert. Für eine bessere Leistung empfiehlt es sich folgende Einstellungen in der php.ini vorzunehmen:"

Es ist von uns ein OpCache aktiviert und konfiguriert, die Einstellungen wurden absichtlich von uns so konfiguriert. ownCloud geht schlicht von einer anderen Situation aus. Die Warnung hat also keine Bedeutung, da der OpCache aktiv ist, aber einige Limits anders eingestellt sind.

Referer-Policy

Der "Referrer-Policy" HTTP-Header ist nicht gesetzt auf "no-referrer", "no-referrer-when-downgrade", "strict-origin" oder "strict-origin-when-cross-origin". Dadurch können Verweis-Informationen preisgegeben werden. Siehe die W3C-Empfehlung.

Diese Warnung bezieht sich auf die HTTP "Referer Policy". Bitte wähle selber, welche Stufe der Referer-Policy Du wählen möchtest:

  • no-referrer überträgt niemals einen Referer
  • no-referrer-when-downgrade überträgt den Referer nur an Seiten, die das das gleiche Protokoll (HTTPS -> HTTPS, HTTP -> HTTP) nutzen, nicht aber beim Wechsel des Protokoll, auch wenn von HTTP auf HTTPS gewechselt wird
  • strict-origin, überträgt den Referer nur an Seiten, die ebenfalls das HTTPS-Protokoll nutzen, aber nicht an Seiten mit HTTP
  • *strict-origin-when-cross-origin *, überträgt den Referer nur an Seiten, die ebenfalls das HTTPS-Protokoll nutzen und die Origin gleich bleibt, aber nicht an Seiten mit HTTP

Weuitere Informationen zu den verfügbaren Policies findest Du in der Header-Dokumentation zu "Referrer-Policy" (MDN).

Lege dazu analog zu den HSTS-Einstellungen eine .htaccess-Datei wie in unserer Anleitung "HSTS aktivieren" beschrieben, in der ownCloud-/nextCloud-Installation an.