Der Piwik-Security-Check (aka phpsecinfo)

Piwik, das Open Source Tracking Tool, das neuerdings auch hier läuft (mit Anonymize-IP) und bis Ende des Jahres Google Analytics komplett ersetzen wird, hat ein nettes Feature: Das Plugin „SecurityInfo„.

Was macht das Plugin?

Es anaylsiert die PHP-Umgebung, und zeigt mögliche Schwachstellen auf. Auf meinem vServer läuft ein PHP-Suhosin, sowohl mit der Apache-Extension als auch mit dem PHP-Patch. Debian-Wertarbeit eben.

Meine Apache Config enthält nun unter anderem die Einstellungen:

# ServerTokens
# This directive configures what you return as the Server HTTP response
# Header. The default is 'Full' which sends information about the OS-Type
# and compiled in modules.
# Set to one of:  Full | OS | Minimal | Minor | Major | Prod
# where Full conveys the most information, and Prod the least.
#ServerTokens Full
#ServerTokens Minimal
ServerTokens Prod

# Optionally add a line containing the server version and virtual host
# name to server-generated pages (internal error documents, FTP directory
# listings, mod_status and mod_info output etc., but not CGI generated
# documents or custom error documents).
# Set to "EMail" to also include a mailto: link to the ServerAdmin.
# Set to one of:  On | Off | EMail
#ServerSignature On
ServerSignature Off

# Allow TRACE method
# Set to "extended" to also reflect the request body (only for testing and
# diagnostic purposes).
# Set to one of:  On | Off | extended
#TraceEnable On
TraceEnable Off

Und Piwik PHPSecInfo sagt mir, dass zwar die Suhosin-Extension aktiviert ist, aber der Patch nicht eingespielt ist… Klingt etwas FAIL, oder?

Update
Wie Anton vom Piwik-Team schreibt, ist das kein Piwik-Fehler sondern ein bug in phpsecinfo, der mittlerweile in der SVN-Version gefixed sei.

Eine Antwort auf &‌#8222;Der Piwik-Security-Check (aka phpsecinfo)&‌#8220;

Kommentare sind geschlossen.