Blog-iT mein persönlicher Blog

Matomo 4.0.0, das nächste Major Release ist da. Nach 10 Monaten arbeit des Matomo Teams wurde die Finale Fassung der neuen Version veröffentlicht.

Was ist neu?

Matomo 4.0.0 ist seit Januar 2020 in Arbeit.

Es gibt viele Änderungen, darunter Verbesserungen der Sicherheit und des Datenschutzes und andere wichtige Änderungen, vor allem:

• Matomo 4.0.0 benötigt PHP 7.2.5 (bessere Sicherheit und Leistung)
• Der Log-Importer benötigt jetzt Python 3.x (Log-Analytik)
• Auth-Tokens, die zur Authentifizierung von API-Aufrufen verwendet werden, müssen nun generiert werden und können widerrufen werden. Alle bestehenden token_auth in Matomo 3.x werden migriert, so dass alle token_auth, die Sie bereits verwenden, weiterhin funktionieren
• Die Metriken für die Seitengenerierungszeit sind nun veraltet und werden durch neue Seitenleistungsberichte ersetzt
• Unterstützung für Offline-Tracking in JS Tracker (beta)
• Das LoginHttpAuth-Plugin wird nicht mehr unterstützt (Matomo würde sich freuen, wenn jemand das Plugin in Zukunft weiterführt und pflegt)
• Seitentitel, Ereignisnamen, Ereigniskategorien, Seiten-URLs usw. werden jetzt nach 4096 Zeichen abgeschnitten (weitere Informationen) und Referrer-Urls auf 1500 Zeichen begrenzt
• Sicherheit: Sicherere Speicherung von Token: Die `token_auth` und die Session-ID werden nicht mehr im Klartext in der Datenbank gespeichert.
• Sicherheit: Beim Einbetten von Berichten (Widgets) in eine andere Site ist es nicht mehr möglich, Authentifizierungs-Token von Benutzern mit mindestens Schreibrechten zu verwenden (mehr Info)
• Segmente: "Not contains" und "Not equals" Segmentvergleiche verhalten sich jetzt anders
• PHP-Tracker-Client: Ausnahmen werden jetzt bei Fehlern ausgelöst
• Wenn Sie die JavaScript-API oder die Reporting-API verwenden, oder wenn Sie Plugins für Matomo erstellen, lesen Sie bitte das Changelog für Entwickler, um eine vollständige Liste der Änderungen in der Plattform zu erhalten, die Sie betreffen könnten.
• Datenbanktabellen verwenden jetzt UTF8-Kodierung (utf8mb4), was zum Beispiel bedeutet, dass Emojis jetzt korrekt in URLs verfolgt werden. Bestehende Matomo 3.x Datenbanken müssen manuell auf utf8 umgestellt werden.
• Der JS-Tracker trackt nun standardmässig mit "navigator.sendBeacon". Wenn Sie einen Content-Security-Policy-Header verwenden, passen Sie diesen bitte so an, dass er auch "connect-src" zulässt, siehe das Beispiel in unserer FAQ. Alternativ können Sie "sendBeacon" auch mit der JS-Tracker-Methode _paq.push(["disableAlwaysUseSendBeacon"]); deaktivieren.
• Ältere Browser wie IE6 oder IE7 werden vom JS Tracker nicht mehr getrackt (Browser, die JSON API nicht unterstützen)
• Der Browser IE 10 wird in der Benutzeroberfläche der Matomo App nicht mehr unterstützt (IE 10 wird weiterhin unterstützt und im JS-Tracking verfolgt)

Sicherheit

Diese Version ist als kritisch eingestuft.

Es wurden zwei mögliche Schwachstellen (Stored XSS und Reflected XSS) behoben, die von den Sicherheitsforschern dhbd (Hung Dao) und lboy mitgeteilt wurden.

Download

• https://builds.matomo.org/piwik-4.0.0.zip
• https://builds.matomo.org/matomo-latest.zip