Piwik, das Open Source Tracking Tool, das neuerdings auch hier läuft (mit Anonymize-IP) und bis Ende des Jahres Google Analytics komplett ersetzen wird, hat ein nettes Feature: Das Plugin „SecurityInfo„.
Was macht das Plugin?
Es anaylsiert die PHP-Umgebung, und zeigt mögliche Schwachstellen auf. Auf meinem vServer läuft ein PHP-Suhosin, sowohl mit der Apache-Extension als auch mit dem PHP-Patch. Debian-Wertarbeit eben.
Meine Apache Config enthält nun unter anderem die Einstellungen:
# ServerTokens # This directive configures what you return as the Server HTTP response # Header. The default is 'Full' which sends information about the OS-Type # and compiled in modules. # Set to one of: Full | OS | Minimal | Minor | Major | Prod # where Full conveys the most information, and Prod the least. #ServerTokens Full #ServerTokens Minimal ServerTokens Prod # Optionally add a line containing the server version and virtual host # name to server-generated pages (internal error documents, FTP directory # listings, mod_status and mod_info output etc., but not CGI generated # documents or custom error documents). # Set to "EMail" to also include a mailto: link to the ServerAdmin. # Set to one of: On | Off | EMail #ServerSignature On ServerSignature Off # Allow TRACE method # Set to "extended" to also reflect the request body (only for testing and # diagnostic purposes). # Set to one of: On | Off | extended #TraceEnable On TraceEnable Off
Und Piwik PHPSecInfo sagt mir, dass zwar die Suhosin-Extension aktiviert ist, aber der Patch nicht eingespielt ist… Klingt etwas FAIL, oder?
Update
Wie Anton vom Piwik-Team schreibt, ist das kein Piwik-Fehler sondern ein bug in phpsecinfo, der mittlerweile in der SVN-Version gefixed sei.
Credit really belongs to the author of phpsecinfo.
The bug in Suhosin detection is fixed in svn.