This is an old version of the document!
Unencrypted HTTP access
With version Benno Web 2.10.2, logging into the web interface is only possible via HTTPS.
Falls die unverschlüsselte Anmeldung per HTTP weiterhin erlaubt werden soll, muss in der Konfigurationsdatei /etc/benno-web/benno.conf der Parameter
UNENCRYPTED_ACCESS = true
be entered.
ATTENTION - IMPORTANT NOTICE!
Das Aktivieren des Plaintext HTML Login macht Benno MailArchiv bzgl. einer kritischen XSS-Sicherheitslücke (siehe CVE-2023-38347) angreifbar!
The XSS vulnerability is closed from benno-web version 2.10.2 and benno-rest version 2.10.1 onwards.
Wird die Installation über diesen Weg auf Plaintext HTML Login umgestellt, bleibt die XSS-Sicherheitslücke weiter wirksam und der Server ist danach wieder über die Sicherheitslücke angreifbar!
All customers with a valid Software Maintenance Subscription have been informed by us about the security vulnerabilities and the possibility of fixing them (update).
Reverse proxy
If the Benno MailArchiv instance is operated behind a reverse proxy and is accessed via HTTP, the reverse proxy must send the original HTTP Host header to the downstream web server.
Zusätzlich muss sichergestellt sein, daß der Header X_FORWARDED_PROTO auf „https“ gesetzt ist.
For an Apache 2.4 reverse proxy, these settings are configured as follows:
ProxyPreserveHost on RequestHeader set X-Forwarded-Proto "https"
Page Tools
