nicht angemeldet
Einsicht in die Webalizer-Benutzerstatistik eines ganzen Servers
Hallo,
durch Zufall habe ich bemerkt, dass ich auf alle Statistiken der Webseiten, die auf dem gleichen Server liegen wie die meine, Zugriff habe. Ich muss nur die Ziffer 123 entsprechend verändern.
http://mail.meine_domain.de/webalizer/xyz123/
Auch für meine eigene Statistik brauche ich kein Kennwort mehr (früher war das anders).
Ist das normal oder eine wirkliche Sicherheitslücke. Eigentlich gehen mich anderer Leute Statistik ja nichts an. Meinem Provider habe ich das schon vor Tagen gemeldet. Außer einer automatischen Eingangsbestätigung bisher ohne weitere Reaktion.
mfg
Bodo
-
Ist das normal oder eine wirkliche Sicherheitslücke.
Wenn die Sicherheit deiner Webseit von der Unkenntnis von URLs abhängt, dann ist es eine Sicherheitslücke.
Da aber auch IPs, wenn auch nur pauschal, in unauthorisierte Hände geraten, ist das rechtlich schon mal problematisch.Eigentlich gehen mich anderer Leute Statistik ja nichts an. Meinem Provider habe ich das schon vor Tagen gemeldet. Außer einer automatischen Eingangsbestätigung bisher ohne weitere Reaktion.
Ich würde sie darauf aufmerksam machen, dass sie wieder http-authentication erfordern.
mfg Beat
--
><o(((°> ><o(((°>
<°)))o>< ><o(((°>o
Der Valigator leibt diese Fische-
Ist das normal oder eine wirkliche Sicherheitslücke.
Nachtrag.
Genauer sagst du damit, dass Stats über http Requests öffentlich zugänglich sind. Dadurch wird Refererspam Tür und Tor geöffnet.
Dass htaccess nicht mehr angewendet wird, kann das Resultat eines Server-Einbruchs sein.
Das Problem muss behoben werden, andernfalls würde ich den Provider wechseln.Teste, ob die deine Statistik Seite in Google findest.
mfg Beat
--
><o(((°> ><o(((°>
<°)))o>< ><o(((°>o
Der Valigator leibt diese Fische-
Ich würde sie darauf aufmerksam machen, dass sie wieder http-authentication erfordern.
"http-authentication" klingt gut. So kann ich bei der nächsten Mail den Eindruck erwecken, ich sei vom Fach. ;-)
Teste, ob die deine Statistik Seite in Google findest.
Nein, das ist nicht der Fall. Mir ist es im Augenblick relativ egal, da es keine Inhalte von Belang gibt, doch wenn ich mir vorstelle, jemand kann bei wichtigeren Seiten meine Statistik lesen ... nö, der Gedanke bereitet mir doch Ungehagen.
mfg B.
-
doch wenn ich mir vorstelle, jemand kann bei wichtigeren Seiten meine Statistik lesen ... nö, der Gedanke bereitet mir doch Ungehagen.
Stell dir vor. Jemand codedt ein Login Feld, verwendet Method Post und Name und Passwort landen im Querystring. Webalizer parst den Querystring und gibt das an die Öffentlichkeit.
Das war jetzt eine mehrfach dummer Verkettung. aber das könnte passieren.mfg Beat
--
><o(((°> ><o(((°>
<°)))o>< ><o(((°>o
Der Valigator leibt diese Fische-
Stell dir vor. Jemand codedt ein Login Feld, verwendet Method Post und Name und Passwort landen im Querystring. Webalizer parst den Querystring und gibt das an die Öffentlichkeit.
Das war jetzt eine mehrfach dummer Verkettung. aber das könnte passieren.Das kann ich zwar mangels Programmierkenntnissen nicht nachvollziehen, doch werde ich die nächsten Tage meinem Provider schon noch mal auf den Zahn fühlen. Jetzt bin ich mir wenigstens sicher, dass es so wie es ist nicht sein darf. Es gab vor einigen Wochen neue Server in der Firma und anscheinend sind die noch nicht auf dem neuesten Stand. Vielen Dank.
mfg B.
-
-
-
-