Matomo 是一套基于 PHP + MySQL 技术构建的开源网站访问统计系统,能够提供详细的统计信息,比如网页浏览人数、访问最多的页面、搜索引擎关键词等等流量分析功能。
Matomo 4.12 正式发布,这是一个维护版本,改善了 Matomo 的可靠性和稳定性,同时也包括一些重要的功能和改进。Matomo 4.12 具体更新内容如下:
安全版本
这是一个主要的安全版本。在这个版本中包含了几个中等和低影响的安全修复。中度影响的修复包括防止在使用 Widgetize 插件时出现 XSS 漏洞 —— 有可能通过 angular 模板注入 javascript 代码,还有一个问题是匿名用户可以导出 CSV 报告,当导入 Microsoft Excel 或类似的应用程序时,可以在报告中注入命令。
低影响的安全改进包括使用token_auth
检查当前会话的 API 请求的双因素认证(2FA)状态,以及在 Overlay 模块中的额外转义以防止可能的 XSS 攻击。
平台变化
- 突破性的变化
- 当通过
UsersManager.deleteUser
API 使用会话认证删除一个用户时,一个新的参数passwordConfirmation
需要和请求一起发送,包含发出 API 请求的用户的当前密码。 - 当通过
UsersManager.addUser
API 使用会话认证添加一个用户时,一个新的参数passwordConfirmation
需要与包含发出 API 请求的用户的当前密码的请求一起发送。 - 当通过
UsersManager.invertUser
API 使用会话认证邀请一个用户时,一个新的参数passwordConfirmation
需要与包含发出 API 请求的用户的当前密码的请求一起发送。
- 当通过
- 新的 PHP 事件
- 增加了新事件
Login.userRequiresPasswordConfirmation
,可用于登录插件,以规避用户界面中的密码确认和某些 API 方法 - 当通过
SitesManager.deleteSite
API 使用会话认证删除一个站点时,一个新的参数passwordConfirmation
需要和请求一起发送,包含发出 API 请求的用户的当前密码。
- 增加了新事件
- 新的隐私退出选项
- 隐私管理器的 iframe 选择退出用户界面已被替换为生成使用 Matomo 跟踪器的 JavaScript 选择退出代码,现有的 iframe 退出仍然有效,但 iframe 退出代码将不再由用户界面生成,因为大多数主要浏览器正在停止支持 iframe 中的第三方 cookies。
新的和更新的 SDK
Matomo 团队提供官方 SDK(Tracking API Clients),用于监测你的移动应用程序和任何其他类型的应用程序。
- iOS SDK
- Android SDK
更多详情可查看:https://matomo.org/changelog/matomo-4-12-0/