Nextcloud et la sécurité 1/N

Après ma série d'articles Yunohost et plusieurs instances de Nextcloud, je pense initier une série d'articles "Nextcloud et la sécurité" dans lesquels j'aborderai différents aspects de la sécurité axé sur Nextcloud.

Dans ce premier billet, deux sujets,

Scan.nextcloud.com

Sur le principe du SSL Server Test SSL Server Test qui indique via une notation le niveau de configuration d'un certificat TLS sur un serveur web, Nextcloud propose un scanner en ligne disponible à l'adresse https://scan.nextcloud.com.

Comme indiqué sur le site, l'analyse est strictement basée sur des informations accessibles au public, c'est-à-dire la liste des vulnérabilités connues pertinentes pour les versions d'ownCloud / Nextcloud ainsi que les durcissements / paramètres appliqués qu'il est possible d'analyser sans avoir accès au serveur.

Suite au scan, on a différentes information : une note, des conseils sur le durcissement du système : validation de ce qui est fait, préconisation ce qu'il y a à faire.

Bug bounty

La sécurité c'est aussi se faire auditer et pentester. Pour ce, Nextcloud a lancé un bug bounty à l'adresse suivante :
https://hackerone.com/nextcloud et publié quelques billets d'annonces et de mise à jour sur le sujet :
* Introducing the Nextcloud bug bounty program en juin 2016
* Updates about the Nextcloud Bug Bounty Program en mai 2017
* Nextcloud Conference News : Nextcloud GmbH doubling HackerOne security bug bounties ! en septembre 2019

Pour moi, cela montre une volonté d'être toujours plus sécurisé en toute transparence.

Vus : 300
Publié par genma : 387