Seit längerem gab es heute wieder mal Advisories des TYPO3 Security Teams: Betroffen ist zunächst die “Visitor Tracking System” Extension (VTS, Extension-Schlüssel “de_phpot”).
Als negatives Novum muss gelten, dass der Extension-Autor nicht zur Behebung erreicht werden konnte – Konsequenz: Die Extension ist nun aus dem Repository verbannt. Der Verlust dürfte verschmerzbar sein, da das performanceintensive VTS (internes Protokollieren jedes Mausklicks) schon seit langem als ungünstige Lösung gilt.
Die verschiedenen Probleme – SQL Injection, Information Disclosure, Denial of Service – die von Henning Pingel aufgedeckt wurden, sind als schwerwiegend eingestuft. Details finden sich wie immer im offiziellen Security Bulletin.Insbesondere wird darauf hingewiesen, dass die Extension nicht nur deaktiviert, sondern auch deinstalliert werden sollte.
Gibts irgendeine valable Alternative dazu, um die Aufrufe der einzelnen Seiten zu dokumentieren? Weder awstats noch webalizer können meines Wissens unterscheiden, wenn index.php?id=xxx aufgerufen wird.
Hi!
Für das Visitor Tracking:
http://www.fi-ausbilden.de/blog/2007/11/25/typo3-visitor-tracking-mit-ke_stats/
SOnst hilft z.B. Google Analytics und in TYPO3 SimulateStatic oder RealURL
Thomas, danke für den Tipp. Ich hab ke_stats mal installiert.
Gerne…
Also ich habe die Extension auch am Laufen und war eigentlich von den Möglichkeiten ganz begeistert. Was mich eher stört, ist die eigentlich nicht sehr komfortable Auswertung.
Ich hatte mich damals schon gewundert, warum die Extension aus dem TER entfernt wurde. Nun weiß ich es