Verwirrung um angebliche Lücke in Piwik

Bildschirmfoto das Piwik 2.13.1. Dashboard

Piwik stellt Nutzungsdaten der Website übersichtlich dar. Die aktuelle Version ist 2.13.1

Heise meldet eine „Lücke“ im Open Source Webanalyse Tool Piwik, die aber offensichtlich keine ist. Der kurze Bericht beschreibt die Erkenntnisse eines Computersicherheitsberaters, der offen zugängliche Piwik-Daten abrufen konnte, zum Beispiel die Webanalysedaten der Piratenpartei.

Piwik erlaubt es, die Daten zugänglich zu machen. Die Grundeinstellung sieht dies aber nicht vor. Man müsste also – aus welchen Gründen auch immer – die Daten explizit freigeben. Ansonsten ist der Zugang mit einer Nutzername-/Passwort-Kombination geschützt.

Unter Piwik > Einstellungen finden Sie die Optionen, wer Zugriff erhalten soll

Piwik erlaubt es, die Zugriffsmöglichkeiten zu verändern, so dass auch nichteingeloggte User Zugriff auf das Datenmaterial oder einen Teil haben können. Achten Sie darauf, dass die Werte nach Ihren Wünschen eingestellt sind.

Natürlich könnte Brute-Force-Attacke dafür sorgen, dass Einbrecher die Daten einsehen können, aber dies gilt grundsätzlich für alle so geschützten Systeme. Daher sollten Sie sichere Passwörter mit einer genügend hohen Zeichenlänge und der Verwendung von Sonderzeichen schützen.

Der zitierte Sicherheitsforscher hat Piwikinstallationen über die normale Websuche gefunden. Wenn Sie verhindern wollen, dass solche Pfade indiziert werden, nutzen Sie bitte entsprechende Anweisungen in der robots.txt-Datei.

Außerdem könnten Sie bei goneo einen weiteren Webserver anlegen (im Kundencenter) und die die Piwikinstallation dorthin vornehmen.

Außerdem sollten Sie die aktuellste Version verwenden, zur Zeit ist das die Version 2.13.1. Pwik lässt sich über das Backend (die Administrationssektion) updaten. Eventuell muss die Datenbank erweitert werden, was bei hochfrequentierten Seiten etwas dauern kann. In diesem Fall wird empfohlen, die Datenerfassung so lange abzuschalten bis alle Updateprozesse gelaufen sind.

Dieser Beitrag wurde unter clickStart, Sicherheit, Tools, Webbasierte Open Source Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.