![[CITSC] IT-Security & Datenschutz](https://citsc.de/wp-content/uploads/2021/10/cropped-citsc_logo.png){kind=logo}
Es ist immer sehr schwierig eine treffsichere Aussage über die It–Sicherheit einer Anwendung zu treffen. Da nur ein ausführlicher Test von einem Experten eine qualifizierte Aussage treffen kann. Aber gerade bei Open-Source-Projekten, die im Fokus der Öffentlichkeit stehen, kann sehr häufig davon ausgegangen werden, dass die Angriffsflächen minimiert werden. Und bei dem aktuellen Hype um Jitsi Meet beschäftigen sich sehr viele Personen mit dieser Software. Zusätzlich geht das Projekt sehr offen mit dem Thema Sicherheit um, wie der Artikel „Jitsi Meet Security & Privacy“ zeigt.
Da es keinen Bereich für die Administration gibt, der abgesichert werden muss, ist die Sicherheitsarchitektur relativ flach gehalten. Als Grundlage wird ein sicheres Betriebssystem wie z.B. Debian oder andere Linux Deriwate vorausgesetzt und der Zugriff auf die Online-Meetings wird über die URLs und gegebenenfalls über das Raumpasswort gesteuert.
Es gibt keine Parameter, die gesetzt werden können, um die Sicherheit von Jitsi Meet zu erhöhen. Um einen potentiellen Missbrauch auf fremden Seiten zu verhindern, kann allerdings die Einbindung als Frame auf anderen Seiten deaktiviert werden. Das ist als Standard nicht gesetzt, da Jitsi Meet eine API besitzt, die mit der iFrame Technologie arbeitet. Bei einer normalen Installation und Betrieb unter der Hauptdomain wird allerdings kein Frame verwendet.
Soll das Einbinden blockiert werden, muss im Webserver NGINX der HTTP-Header X-Frame-Options gesetzt werden. Dazu muss die Konfigurationsdatei der verwendeten Domain bearbeitet werden und vor der letzten schließenden geschweiften Klammer der folgende Eintrag hinzugefügt werden:
// /etc/nginx/sites-available/meet.example.com.conf
add_header X-Frame-Options "DENY";