Ungeschützte Statistik bei All-Inkl

Heute habe ich etwas entdeckt, bei dem ich fast aus allen Wolken gefallen bin. Nachdem ich weiß, dass einige von Euch auch bei All-Inkl sind, möchte ich es Euch nicht vorenthalten.

Ungeschützte Statistik bei All-Inkl

Als Statistiktool verwende ich schon seit Jahr und Tag Semmelstatz in meinen Blogs. Als ich seinerzeit von 1 & 1 zu All-Inkl umzog, habe ich mich daher auch gar nicht weiter dafür interessiert, welche Tools mein neuer Provider so anbietet. Im KAS-Menü (die Konfigoberfläche von all-inkl) bin ich zwar schon über eine Statistik gestolpert, aber darin gibt es nur Daten zu Webspace, Traffic und Größe der MySQL-Datenbank. In meinem FTP-Programm habe ich auch mal das Verzeichnis logs registriert, aber da der Zugriff über Browser verweigert wird, dachte ich, es passt alles.

Heute bin ich dann zufällig darauf gekommen das unter http://[domainname]/usage/ diese Logs zu einer sauberen Statistik ausgewertet werden und jetzt kommts: Diese ist für jeden offen zugänglich! Ich mein, bei privaten Seiten ist es relativ egal, ob Fremde Einblick kriegen, welche Bilder von Fischen angesehen werden oder nicht. Viele Blogger veröffentlichen ihre Zugriffszahlen auch regelmäßig. Bei mir kann jeder auf der Startseite sehen, was die häufigsten Suchanfragen sind.

Bei Firmenseiten sieht es da ganz anders aus. Wenn ich von meinem Mitbewerber meinetwegen weiß, dass viele Besucher mit dem Suchbegriff „XYZ“ auf seine Seite kommen, dann kann ich entsprechend reagieren.

Was mir am meisten stinkt ist, dass All-Inkl einen Hinweis dazu tief in der FAQ versteckt hat:

Durch Aufruf der URL http://www.ihredomain.de/usage (anstelle „ihredomain.de“ tragen Sie bitte Ihren Domainnamen ein) erhalten Sie die Webalizer-Statistik mit weiteren statistischen Informationen.

Wir empfehlen Ihnen, dieses Verzeichnis mit einem Passwortschutz (siehe Tools) zu versehen.

Wer soll das bitte finden? Warum gibt es keine Voreinstellung, die das erst einmal dicht macht? Wer also kein Interesse hat, seine Webstatistik zu publizieren, sollte sich das im KAS-Menü mal ansehen.

38 Gedanken zu „Ungeschützte Statistik bei All-Inkl“

  1. Pingback: Wieder einmal ein statistisches Loch - Ansichtssachen
  2. Ach kommt, das ist euch jetzt erst aufgefallen? Tsss … 😉
    Einfach mal mit den Produkten für eine Stunde auseinandersetzen, die man so erwirbt – dazu gehören nunmal auch die automatisch generierten Inhalte des FTP-Verzeichnisses. Und da hätte man das recht fix erkennen können. Und ein Verzeichnisschutz ist schnell erstellt.

    Bescheuert seitens All-Inkl ist es jedenfalls allemal.

  3. Pingback: MAIN-Blog.de » Blog Archive » Datenleck
  4. @Datenkind: Klar könnte man das merken. Früher waren auch mal viele SMTP-Server offen. Da war es noch keinem Admin bewußt, was das bedeutet, bis es dann die Spammer gemerkt haben. Heute sollte man eigentlich sensibler sein. Die Voreinstellung von All-Inkl ist also mehr als fragwürdig. Wenn man wenigstens offensichtlich darauf hingewiesen werden würde.

  5. Ich denke auch, das ist alles andere als schlimm und wild und böse: Eine kurze Auseinandersetzung mit dem Produkt, was man sich da gerade gekauft hat, und schon weiß man bescheid, dass man seine Statistiken öffentlich zugänglich hat. Im Menü „Verzeichnisschutz“ im KAS sind standardmäßig auch keine Einträge vorhanden, zusätzlich zu der FAQ also noch ein Hinweis, dass hier freier Zugang besteht.
    Die Voreinstellung von All-Inkl ist so, wie sie ist, völlig ok.

  6. @Andi:
    Die Telekom hat lange ihre Router ohne Passwort ausgeliefert, aber ins Handbuch reingeschrieben, dass man es ändern soll.
    Wieviel ungeschützte WLANs gibt es in Deutschland, obwohl überall drinsteht, dass man Verschlüsselung benutzen soll?

    Jetzt bin ich bestimmt niemand, der technikfremd ist, aber ich hab das bei All-Inkl auch grad erst geschnallt. Wo wäre das Problem, wenn All-Inkl da ein wenig mehr Aufklärung betreiben würde? Den Hinweis, dass es die Statistik überhaupt gibt, findet man auch nicht gerade leicht.

  7. Dadurch, dass bei den meisten (jedoch nicht bei allen) das Verzeichnis nicht geschützt war, konnte man abchecken, was die anderen Kunden auf dem eigenen Server (hab ein Webhostingpaket) so für ein Datenaufkommen haben, und eventuell um Serverumzug bitten 🙂

  8. Das ganze ist ja nun wirklich schon ein ganz alter Hut. Hatte das ganze auch hin und wieder genutzt um bei anderen mal zu sehen, was dort so los ist in Sachen traffic…

  9. Beim logs-Verzeichnis ist es ja richtig, da stehen die Rechte auf „750“. Wenn man die Statistik sowieso nicht nutzen will, reicht es auch per FTP die Rechte für das usage-Verzeichnis ebenfalls auf „750“ zu setzen.

  10. Mir ist das access.log aus dem Apache eh lieber. Wie man es richtig macht, zeigt u.a. Nearlyfreespeech.

  11. Ich bin langjähriger all-inkl oder richtig Neue Medien Muenich Kunde und muss feststellen, dass bei mir das Verzeichnis usage von Haus aus einen htaccess Schutz hat. Anscheinend wurde das irgendwann geändert?

  12. Ich bin seit 2004 bei all-inkl und ich habe dieseb transparente Art der Statistik immer geschätzt. Ich persönlich habe auch ehrlöich gesagt überhaupt kein Problem damit, wenn andere sehen können, wie wenige oder viele Besucher meine Seiten haben. Nur gestern, als ich das relativ entsetzte Blog bei der Blogabfertigung gesehen habe, bin ich etwas ins Grübeln gekommen, ob sich z.B. Besitzer einer statischen IP-Adresse zwingend freuen, wenn diese mehr oder weniger offen durchs Netz geistern, nur weil sie mal ein Blog gelesen habe. Mein Wunsch an all-inkl wäre halt, dass man z.B. individuell die TOP 20 IP-Adressen o.ä. bannen könnte…
    Sonst habe ich damit aber wirklich kein Leiden, so ehrgeizig bin ich auch wieder nicht…

  13. … also ich seh es schon als ein Datenschutzproblem, vielleicht sogar mit Abmahnpotenzial … immerhin werden hier sehr persönliche Informationen des Nutzers offen gelegt und das auch noch ohne Disclaimer im Impressum … ojeojeojeoje

  14. Ein Datenschutzproblem sehe ich nun wieder gar nicht. Es werden keinerlei personenbezogenen Daten veröffentlicht, selbst bei festen IPs kann nicht erkannt werden, wer es ist. Außerdem kann kein Zusammenhang zwischen IP und der angesurften Seite oder einem Suchbegriff gezogen werden.

  15. Allein die Erfassung und Speicherung der IPs ist schon ein Datenschutzproblem. Und natürlich gibt es einen Zusammenhang, wenn bspw. auf einem Bewerberportal eine feste IP in den Stats auftaucht, ist das für den Besucher in ungünstiger Konstellation ein Problem.

  16. Die Speicherung der IPs ist mit und ohne Statistik ein Problem. Daher haben wir ja seit einiger Zeit alle so tolle Datenschutzerklärungen auf der Seite. Und eine feste IP einem bestimmten Menschen zuzuordnen kann ein Chef viel einfacher mit Proxylogs. Aber klar, wenn viele ungünstige Umstände zusammenkommen, ist es ein Problem. Aber allein mit der Statistik von einer Seite … sehe ich eher unproblematisch.

  17. Das All-Inkl. diese Statistiken nicht von vornherein nur über das Kundencenter freigibt ist nicht nachvollziehbar und da besteht meiner Ansicht nach dringender Bedarf an Verbesserung der Sicherheitseinstellungen hinsichtlich des Datenschutzes.
    Abgesehen davon ist es ohnehin für Webseitenbetreiber ratsam, die Sicherheitseinstellungen und Zugriffsberechtigungen regelmäßig selbst zu prüfen.
    Danke für Eure Hinweise.

  18. Ich will jetzt mal nicht auf die ich-habe-nichts-zu-verbergen-Trolle eindreschen. Aber die Lösung ist im Grunde sehr einfach (z.B. eine .htaccess) und somit sehe ich nicht, warum die nicht implementiert wurde. Ich meine, selbst die in Montabaur bekommen die logs versteckt.
    Ich bin aus anderen Gründen (primär finanzielle) von all-inkl weggegangen.

  19. Pingback: Webseitenstatistik bei All-Inkl ungeschützt « hep-cat.de
  20. @Stoibaer: Sorry, aber von jemanden, der Firmenauftritte administriert, sollte man bitteschön erwarten können, dass er sich mit den Details eines angemieteten Webpakets auseinandersetzt. Genau das ist nämlich sein Job.

    Für mich ist das ein Sturm im Wasserglas. Völlig unabhängig von der zweifelsfrei suboptimalen Voreinstellung bei All-Inkl.

  21. Pingback: Protokoll vom 31. Januar 2009beiTrackback
  22. Das ist echt der Wahnsinn. Bin durch Zufall von einem Bekannten darauf angesprochen worden und habe nun den Passwortschutz aktiviert. Verstehe nicht, warum all-inkl das nicht standardmäßig schützt.

Kommentare sind geschlossen.