Sicherheitslücke? *update*
2
Ich stieß heute bei der Durchsicht der Statistiken dieses Blogs auf einen Referrer eines Anbieters von Websitestatistiken.
Einfach mal das Ding angeklickt und ich landete dann auf den Statistiken dieses Nutzers (glücklicherweise eine befreundete Website deren Betreiber ich auch kenne).
Außerdem war das ganze so konstruiert, dass man einfach beliebige Benutzernamen des Anbieters eingeben konnte und schon war man in den Statistiken des anderen Nutzers. Kein Passwortschutz, nichts.
Wenigstens waren die IP-Adressen nicht vollständig einzusehen, aber trotzdem sah ich es als eine Art Missstand an, dass die Statistiken einfach über das Web abrufbar sind.
Mal sehen, was auf meinen freundlichen gemailten Hinweis hin passiert.
Update: Hier die Antwort, direkt kopiert, vollquote
“Das ist kein Fehler, sondern ist so gewollt. Es gibt eine Reihe
statsitikserices mit öffebtlichen statistiken. Die beutzer können selbst
entscheiden ob ihre statistik öffentlich sein soll.”
Mal ehrlich: Für eine geschäftliche Email ist das vielleicht doch etwas wenig, mindestens von der Form her.
Aber ich stell schon wieder Ansprüche….
Aber ich frage gern nochmal nach, ob die Option mit dem Verheimlichen von Statistiken existiert.
Die Statistik lässt sich doch im Admin einfachst mit einem Passwort versehen. Viele Webmaster möchten die eigenen Statistiken jedoch öffentlich zugänglich machen.
Ich hab diverse Benutzernamen schlichtweg in die URL eingesetzt und schon war ich in deren Statistiken.
Nicht nur fünf oder zehn, sondern viele.
Das gab mir zu denken und war der Anstoß.