Seit HSTS & Co. wird nichts mehr gezählt

Hallo,

letzte Woche habe ich ein paar Sicherheitsverbesserungen an meiner Website durchgeführt, damit ich auf Seiten wie z.B. Analysiere | Webbkoll - dataskydd.net oder https://observatory.mozilla.org/ bessere Noten kriege. Im einzelnen das hier:

Content-Security-Policy: default-src 'self' und-die-Website-wo-Matomo-läuft
Strict-Transport-Security: max-age=31536000
X-Content-Type-Options: nosniff
X-Frame-Options: deny

aber seitdem behauptet Matomo, ich hätte 0 Besucher auf meiner Website (oder ab und zu mal 1 oder 2 - aber vor diesen Maßnahmen waren’s jeden Tag ca. 35 bis 50 Besucher). Ist also gelogen :wink: (und awstats zeigt eh - nach wie vor - ca. 2.000 Seitenabrufe pro Tag an).

Der Matomo-Opt-Out-IFrame wird angezeigt; eine grundsätzliche Verhinderung des Zugriffs auf den Matomo-Server scheint also nicht vorzuliegen.

Wo kann ich noch suchen?

Danke schon mal im Voraus…

Hallo,

Das hat nichts mit HSTS und den X- headern zu tun, sondern nur mit Content-Security-Policy.

Die CSP muss relativ präzise definiert werden, da sie genau angibt, was ein Browser machen darf und was nicht.

In deinem Fall steht im CSP nirgendst, dass der Browser Javascript in einem tag ausführen darf, weshalb der Tracking Code-Block ignoriert wird.

Du kannst Laboratory (Content Security Policy / CSP Toolkit) – Holen Sie sich diese Erweiterung für 🦊 Firefox (de) und Is the Piwik JavaScript Tracker CSP (Content Security Policy) compatible and how do I set it up? FAQ - Analytics Platform - Matomo verwenden um eine CSP zu bauen, welche für deine Seite passt.

Danke für den Tipp - scheint wieder zu gehen. Dafür habe ich bemerkt, dass parallel dazu viele andere Dinge (Scripts, Styles…) durch die CSP auch nicht mehr richtig funktioniert haben. Da bin ich noch bei der Aufräumarbeit - aber das ist eine andere (Nicht-Matomo-)Baustelle…

Vielen Dank jedenfalls nochmal, das hat mir geholfen!

1 Like