Heise meldet eine „Lücke“ im Open Source Webanalyse Tool Piwik, die aber offensichtlich keine ist. Der kurze Bericht beschreibt die Erkenntnisse eines Computersicherheitsberaters, der offen zugängliche Piwik-Daten abrufen konnte, zum Beispiel die Webanalysedaten der Piratenpartei.
Piwik erlaubt es, die Daten zugänglich zu machen. Die Grundeinstellung sieht dies aber nicht vor. Man müsste also – aus welchen Gründen auch immer – die Daten explizit freigeben. Ansonsten ist der Zugang mit einer Nutzername-/Passwort-Kombination geschützt.
Natürlich könnte Brute-Force-Attacke dafür sorgen, dass Einbrecher die Daten einsehen können, aber dies gilt grundsätzlich für alle so geschützten Systeme. Daher sollten Sie sichere Passwörter mit einer genügend hohen Zeichenlänge und der Verwendung von Sonderzeichen schützen.
Der zitierte Sicherheitsforscher hat Piwikinstallationen über die normale Websuche gefunden. Wenn Sie verhindern wollen, dass solche Pfade indiziert werden, nutzen Sie bitte entsprechende Anweisungen in der robots.txt-Datei.
Außerdem könnten Sie bei goneo einen weiteren Webserver anlegen (im Kundencenter) und die die Piwikinstallation dorthin vornehmen.
Außerdem sollten Sie die aktuellste Version verwenden, zur Zeit ist das die Version 2.13.1. Pwik lässt sich über das Backend (die Administrationssektion) updaten. Eventuell muss die Datenbank erweitert werden, was bei hochfrequentierten Seiten etwas dauern kann. In diesem Fall wird empfohlen, die Datenerfassung so lange abzuschalten bis alle Updateprozesse gelaufen sind.
