Kritisk Firefox-bugg som påverkar Matomo och Piwik Pro
I slutet av augusti identifierade vi på Whitespace en bugg i Firefox som såg ut att påverka ett stort antal Matomo-installationer. Efter en fördjupad analys visade det sig att Matomo fungerar utmärkt, trots buggen.
Som en del av Whitespaces Matomo-tjänst har vi tagit fram en automatiserad och delvis AI-driven övervakningsfunktion, för att proaktivt upptäcka förändringar som kan påverka tjänstens säkerhet, stabilitet och tillförlitlighet. Via den här funktionen flaggades att nya versioner av webbläsaren Firefox uppvisade ett felmeddelande vid anrop till Matomo för att registrera besök och sidvisningar.
Problemet innebär att Firefox ger ett felmeddelande i samband med att filen matomo.php laddas. Vid inspektion av webbläsarkonsolen visas endast felmeddelandet: "NS_ERROR_FAILURE". Meddelandet indikerar att ett oväntat fel har inträffat, men ger minimal information för vidare felsökning.
Felet berör Matomo, Piwik Pro och Google
Vår övervakningsfunktion indikerade att felet påverkade ett stort antal – men inte alla – Matomo-installationer. När vi undersökte saken såg vi att Firefox-problematiken även påverkar aktörer som Google och Piwik Pro. Däremot uppstår felet enbart för de som använder senare versioner av Firefox – andra webbläsare fungerade som de skulle.
Utifrån detta kunde vi dra slutsatsen att felet hade inte är kopplat till Matomo-mjukvaran. Vår analys visade att problemet är relaterat till specifika konfigurationer av den webbserver som används. Den gemensamma nämnaren för de drabbade installationerna visade sig vara serverkonfigurationen.
En fördjupad analys visade att Matomo trots felmeddelandet registrerar trafik korrekt. För den som driver en Matomo-installation, och vill undvika felmeddelanden, så har vi tagit fram en lösning.
Teknik: så här åtgärdas felet
Vi identifierade två potentiella lösningar.
- Ange en explicit Content-type även för tomma svar.
- Avlägsna "nosniff"-headern i specifika situationer.
Övervaka förändringar proaktivt
Webben är ett komplicerat ekosystem där välmenande säkerhetsåtgärder ibland skapar oavsiktliga konsekvenser. Detta påminde mig återigen om vikten av att implementering av nya säkerhetsfunktioner övervägs noggrant och testas rigoröst. Och så klart om hur viktigt det är att vi alla samarbetar för att identifiera och åtgärda problem som kan ha bred påverkan.
Det här visar också värdet av att proaktivt övervaka förändringar, vilket vi ser som en central del i att tillhandahålla en stabil, säker och tillförlitlig webbstatistikplattform.
Byt till en säker och stabil webbstatistikplattform
Matomo från Whitespace är en webbstatistikplattform som används av fler än 50 verksamheter. Skatteverket, Region Skåne och Riksarkivet är några exempel. Vill du veta mer om tjänsten kan du läsa mer, titta på inspelade webbinarier och boka en demo via whitespace.se/matomo.