<div dir="ltr">Hey all,<div><br></div><div>I just released a custom <a href="https://modsecurity.org/">mod_security</a> ruleset for ownCloud 5.0. - I've rewritten the whole set yesterday which means that it most probably still has some bugs inside ;-)</div>

<div style><br></div><div style>The ruleset is written following a positive security model, this means all request and parameters have been manually whitelisted. (e.g. an parameter called ID only allows ^[0-9]+$) - This has the advantage that it can prevent a lot of potential security bugs and also would have "prevented" nearly all of the past security issues.</div>

<div style><br></div><div style>If you're a brave person that wants to harden your installation, <a href="https://github.com/owncloud/mod_security/tree/stable5">check it out</a> and <a href="https://github.com/owncloud/mod_security/issues">report bugs</a>. - The installation should be straight forward, just clone the stable5 branch somewhere and include it as it is done in the README.</div>

<div style><br></div><div style>Please notice:</div><div style>- Compatible with the current stable5 Git version of ownCloud (aka the upcoming 5.0.6)</div><div style>- At the moment only tested with mod_security 2.6</div>

<div style>- Most probably only compatible with Apache since it uses <LocationMatch></div><div style>- The kiddy_blocker rules are not yet compatible with reverse proxies, if you have a reverse proxy in place: Don't include them.</div>

<div style>- This is only compatible with the packaged apps of ownCloud - if you need another one: Please write the ruleset yourself and make a pull request. (I'll write some rules for some apps I use soon - e.g. the awesome news app by Bernhard)</div>

<div><br></div>
<div>Cheers,</div><div>Lukas</div><div><div><br></div>-- <br><div dir="ltr">ownCloud<br>Your Cloud, Your Data, Your Way!<br><div><br></div><div><div>GPG: 0xEB32B77BA406BE99</div></div></div>
</div></div>