Matomo 是一套基于 PHP + MySQL 技术构建的开源网站访问统计系统,能够提供详细的统计信息,比如网页浏览人数、访问最多的页面、搜索引擎关键词等等流量分析功能。
Matomo 4.12 正式发布,这是一个维护版本,改善了 Matomo 的可靠性和稳定性,同时也包括一些重要的功能和改进。Matomo 4.12 具体更新内容如下:
安全版本
这是一个主要的安全版本。在这个版本中包含了几个中等和低影响的安全修复。中度影响的修复包括防止在使用 Widgetize 插件时出现 XSS 漏洞 —— 有可能通过 angular 模板注入 javascript 代码,还有一个问题是匿名用户可以导出 CSV 报告,当导入 Microsoft Excel 或类似的应用程序时,可以在报告中注入命令。
低影响的安全改进包括使用 token_auth
检查当前会话的 API 请求的双因素认证(2FA)状态,以及在 Overlay 模块中的额外转义以防止可能的 XSS 攻击。
平台变化
突破性的变化
当通过 UsersManager.deleteUser API 使用会话认证删除一个用户时,一个新的参数 passwordConfirmation 需要和请求一起发送,包含发出 API 请求的用户的当前密码。
当通过 UsersManager.addUser API 使用会话认证添加一个用户时,一个新的参 passwordConfirmation 需要与包含发出 API 请求的用户的当前密码的请求一起发送。
当通过 UsersManager.invertUser API 使用会话认证邀请一个用户时,一个新的参数 passwordConfirmation 需要与包含发出 API 请求的用户的当前密码的请求一起发送。
新的 PHP 事件
增加了新事件 Login.userRequiresPasswordConfirmation,可用于登录插件,以规避用户界面中的密码确认和某些 API 方法
当通过 SitesManager.deleteSite API 使用会话认证删除一个站点时,一个新的参数 passwordConfirmation 需要和请求一起发送,包含发出 API 请求的用户的当前密码。
新的隐私退出选项
隐私管理器的 iframe 选择退出用户界面已被替换为生成使用 Matomo 跟踪器的JavaScript 选择退出代码,现有的 iframe 退出仍然有效,但 iframe 退出代码将不再由用户界面生成,因为大多数主要浏览器正在停止支持 iframe 中的第三方 cookies。
新的和更新的 SDK
Matomo 团队提供官方 SDK(Tracking API Clients),用于监测你的移动应用程序和任何其他类型的应用程序。