Hallo liebe Piwik Tracker | Hacker | Spybots und Piwik-Hosters!
Ich benutze auf meiner, etwas spaßig gemeinten Webseite
Meine privates Sozial-Projekt
schon länger PIWIK und gucke ganz gerne was die Leute so interessiert!
Jetzt habe Ich unter Einstellungen > Diagnose > Sicherheit bemerkt
dass ein Feature oder eine bestimmte Einstellung
bei meiner Installation wohl sehr unsicher und mit " ROT " markiert ist.
Es handelt sich um:
upload_tmp_dir
mit der englischen Beschreibung:
unable to retrieve file permissions on upload_tmp_dir
Auch andere Einstellungen scheinen bei Mir
mit gelb gekennzeichnet als unsicher,
wie etwa:
expose_php
Mit der englischen Beschreibung:
expose_php is enabled. This adds the PHP “signature” to the web server header, including the PHP version number. This could attract attackers looking for vulnerable versions of PHP
ODER:
open_basedir
Mit der Beschreibung:
open_basedir is disabled. When this is enabled, only files that are in the given directory/directories and their subdirectories can be read by PHP scripts. You should consider turning this on. Keep in mind that other web applications not written in PHP will not be restricted by this setting.
Kann Mir Jemand von Euch Profis oder “Mehrwissenden” irgendwie
verständlich erklären wie Ich meine Piwik-Installation dahingehend sicherer mache
dass diese Features bei Mir auch mit grün und somit als Sicher angegeben sind?
Es wäre ja echt toll wenn es mir Jemand erklärt
(Ohne den üblichen und kindischen Großkotz und Stänkerei)
dass Ich es auch richtig verstehe worum es genau geht?
Guckt euch doch auch mal meinen Bandcontest an:
Der offene Bandcontest für Musiker und Songwriter des Jahres 2014
Danke im Voraus
(:DUwe MartinX(
Braunschweig
Hallo,
das was du da meinst sind eigentlich keine Sicherheitslücken in der PIWIK Installation, sondern bezieht sich auf die Konfiguration von PHP selbst.
Vorab: Das heißt damit aber auch du brauchst administrative Rechte auf dem Server, sonst geht nur wenig!
Also, um die Einstellungen zu ändern musst du zunächst wissen, wo sich die php.ini Konfigurationsdatei befindet. Wenn du nicht weißt, wie das geht, schreibe folgenden Code in ein eigenes PHP file und lade es im Browser:
<?php
phpinfo();
?>
Dort findest du ziemlich weit oben den Eintrag “Configuration File (php.ini) Path”. In diesem Verzeichnis befindet sich die php.ini.
In der php.ini suchst du dann die gelb markierten Einträge und änderst sie entsprechend (meist von on auf off und umgekehrt).
Beim rot markierten Eintrag hat PIWIK aus irgendwelchen Gründen keine Rechte die Einstellung zu lesen.
Falls die letzten Einträge (Suhosin) auch gelb sind hab ich dir hier noch ein Link zu deren Homepage (www.hardened-php.net/suhosin); habe aber noch nie mit der Extension gearbeitet.
Ich hoffe das war hilfreich.
Hallo lieber null-minus-null!
Danke für deine Antwort,
ausnahmsweise mal kein “Profi-Großkotz”!
Ich weiß zwar wo die php.ini-Datei sitzt
aber Mich hat etwas verunsichert:
Du meinstest doch sicher, dass Ich das selbsterstellte php-File
erst auf den Webserver hochladen soll
wo meine Piwik-Installation sitzt?
Und dass Ich DANN beim Aufruf dieser Datei
den “Sitz” der betreffenden php.ini angezeigt bekomme?
Das ist natürlich auch ein toller Trick
und für Mich absolut Neu!
Danke Dir!
Uwe Martin
http://prisodi.de/BRAUNSCHWEIG_NIEDERSACHSEN/LOVEPOWER.gif
Klar, das mit dem hochladen hatte ich vergessen zu schreiben, wie sollte dein PC denn auch wissen, was für ne Konfiguration der Server hat;) (und wie sollte er php ausführen)?