Author Topic: ObfuscateIp  (Read 472 times)

Offline Vasiliy

  • Posts: 35
  • Gender: Male
ObfuscateIp
« on: September 28, 2018, 09:27:12 AM »
Hello!

It is not clear why to reset the last digit in the IP address?
It's not informative!
In the old version WebsiteBaker, a complete IP address is written to the database.
I've changed file Login.php:
Quote
// Update the users table with current ip and timestamp
                    //$sRemoteAddress = self::ObfuscateIp();
                    $sRemoteAddress = self::get_client_ip();
                   
                    $sql = 'UPDATE `'.TABLE_PREFIX.'users` '
                         . 'SET `login_when`='.time().', '
                         .     '`login_ip`=\''.$sRemoteAddress.'\' '
                         . 'WHERE `user_id`=\''.$user_id.'\'';
                    $this->oDb->query($sql);

Offline jacobi22

  • Posts: 5201
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: ObfuscateIp
« Reply #1 on: September 28, 2018, 01:29:14 PM »
Quote
It is not clear why to reset the last digit in the IP address?

keyword is: EU data protection
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline Vasiliy

  • Posts: 35
  • Gender: Male
Re: ObfuscateIp
« Reply #2 on: September 28, 2018, 05:59:03 PM »
Thank you!

Offline evaki

  • Posts: 2220
Re: ObfuscateIp
« Reply #3 on: September 28, 2018, 10:26:11 PM »
Is WebsiteBaker a European project?

From my internationally active users: "I don't give a damn about the EU."

Reg./Mfg. Evaki

German -unter Vorbehalt-:
Aus einem Forum.
Frage: "Muss die für die Protokollierung gespeicherte IP-Adresse maskiert werden?
Nein, davon ist sogar abzuraten. Zu Nachweiszwecken ist gerade die Protokollierung einer nicht anonymisierten IP-Adresse erforderlich, weil anderenfalls deren Zuweisung zum konkret Einwilligenden nicht gelingen kann."

Die Notwendigkeit (wenn rechtmäßig) ist in der Datenschutzerklärun g anzugeben. Die IP zu loggen ist also kein ein Verstoß im Sinne der DSGVO, sondern der fehlende Hinweis auf diese Verfahrensweise. Bei der fehlenden oder begrenzten Vorratsdatenspeiche rung gerät man bei einem Verfahren in Beweisnot. Auf Institutione wie Richter, Staatsanwalt oder BKA ist diesbezüglich kein Verlaß!
Die Aufzeichnung ist aber auf Prozesse, die z.B. Einwilligungen betreffen,,zu beschränken.
« Last Edit: September 28, 2018, 10:43:17 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline Luisehahne

  • WebsiteBaker Org e.V.
  • **
  • Posts: 4156
  • Gender: Male
    • Webdesign und Entwicklung WebsiteBaker
Re: ObfuscateIp
« Reply #4 on: September 29, 2018, 08:39:21 AM »
Ich bin anderer Meinung.

Quote
  • Der Europäische Gerichtshof (EuGH) hat entschieden, dass sowohl statische als auch dynamische IP-Adressen in Sachen Datenschutz als personenbezogene Daten gelten. Das bedeutet, dass sie besonders geschützt werden müssen.
  • Websitebetreiber dürfen die IP-Adresse eines Nutzers nur dann speichern, wenn dies zur Nutzung ihres Angebotes notwendig ist oder dessen Funktionsfähigkeit gewährleistet.
  • Die Speicherung der IP-Adresse eines Seitenbesuchers ist jedoch nach wie vor dann möglich, wenn ein „berechtigtes Interesse“ seitens des Websitebetreibers vorliegt.
  • Im Zuge der geplanten Vorratsdatenspeiche rung – welche 2017 temporär ausgesetzt wurde – sind Internet-Provider dazu verpflichtet, die Zuweisung einer IP-Adresse zu einem Kunden zehn Wochen lang zu speichern.
Quelle: https://www.datenschutz.org/ip-adresse-datenschutz/

Mag sein, daß jeder etwas anderes schreibt. Es wird immer verrückter. Bald kannst du ohne einen Rechtsanwalt nichts mehr entwickeln  :roll: Im Moment haben wir Feature Stop. Das neue WB Paket 2.13 (2.12.1) ist in der Final Testphase. Werde mir aber für einer der nächsten Verionen überlegen, ob solche wichtige Parameter einstellbar sein sollten.

Dietmar
Immer nur von der Zukunft reden, die Gegenwart vergessen und auf die Vergangenheit schimpfen
Neues Unwort: Schnappatmung

Offline jacobi22

  • Posts: 5201
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: ObfuscateIp
« Reply #5 on: September 29, 2018, 10:31:48 AM »
Quote
Die Notwendigkeit (wenn rechtmäßig) ist in der Datenschutzerklärun g anzugeben.

Für eine private Website wird es kaum rechtssicher nachzuweisen sein, das dort ein "berechtigtes Interesse" oder gar eine "funktionelle (und wirtschaftliche) Notwendigkeit" zum Loggen der Voll-IP besteht. Unterschieden wird auch bei dem, was der Server speichert (Stichwort "Vorratsdatenspeiche rung") und dem, was auf der Seite selbst eingesetzt wird, wie z.b. ein Gästebuch, eine Kommentarfunktion, eine Map, die mein Standort und damit auch die IP übermittelt.
So lang ein Input von außen möglich ist, z.b. in diesem Forum, besteht mit Sicherheit ein berechtigtes Interesse, denn nur so können Rechtsverstöße auch vom Seitenbetreiber verfolgt werden. Voraussetzung (wie angemerkt) eine vorherige Zustimmung zur Nutzung solcher Daten.

Doch zurück zu WB. Die angesprochene Funktion ObfuscateIp() wird lediglich beim Login eines angemeldeten Users benutzt und die damit gespeicherte (verschleierte) IP-Adresse WB-intern auch nicht an anderer Stelle irgendwo weiter verwendet, z.b. zum Einsatz in anderen Modulen wie Guestbook, News-Comment etc. Sollte es irgendwo zu einem Rechtsverstoß kommen, der zu verfolgen wäre, ließe sich auch mit den vorhandenen Daten in Verbindung mit den Vorratsdaten des Servers ermitteln, wer da am Ende etwas geschrieben hat. Die Verschleierung der Login-IP stellt also keinerlei Nachteil vor den Betrieb der Webseite dar

(google Translate (incl submitted IP)
For a private website, it will hardly be legally secure to prove that there is a "legitimate interest" or even a "functional (and economic) necessity" to log the full IP. There is also a difference between what the server saves (keyword "data retention") and what is used on the page itself, such as: a guestbook, a comment function, a map, which transmits my location and thus also the IP.
As long as external input is possible, eg. in this forum, there is certainly a legitimate interest, because only then can violations of law also be tracked by the site operator. Prerequisite (as noted) prior consent to the use of such data.

But back to WB. The mentioned function ObfuscateIp () is only used when a logged in user logs in and the stored (obfuscated) IP address WB internally is not used anywhere else, eg. for use in other modules such as Guestbook, News-Comment etc. Should it come anywhere to a legal offense, which would be to pursue, one could determine also with the existing data in connection with the data of the server, who wrote there at the end something. The obfuscation of the login IP thus represents no disadvantage before the operation of the website


Quote
Das neue WB Paket 2.13 (2.12.1) ist in der Final Testphase.
Tip: ab und an mal einen frischen Neuinstall wagen. Das war zumindest in der Version, die am letzten Wochenende vor lag, nicht möglich. Upgrades gehen ohne Probleme
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline evaki

  • Posts: 2220
Re: ObfuscateIp
« Reply #6 on: September 29, 2018, 10:48:52 AM »
@Luisehahne
>>Zitat:
Die Speicherung der IP-Adresse eines Seitenbesuchers ist jedoch nach wie vor dann möglich, wenn ein „berechtigtes Interesse“ seitens des Websitebetreibers vorliegt.

Das ist eine Bestätigung des Vorgebrachten, keine gegenteilige Meinung.

Stichwort ist ""berechtigtes Interesse".
Wenn sich jemand unbefugt, und das dann noch eine dafür separat eingerichteten Zugang, in ein CMS einloggen will, stellt dies alleine nach deutschem Recht schon eine Straftat dar.

MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline jacobi22

  • Posts: 5201
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: ObfuscateIp
« Reply #7 on: September 29, 2018, 11:21:26 AM »
Quote from: Luisehahne
Werde mir aber für einer der nächsten Verionen überlegen, ob solche wichtige Parameter einstellbar sein sollten.

keine Ahnung, ob das technisch machbar wäre, alle Feautures die DVSGO betreffend in ein Addon zu packen, das global auf das WB-Paket wirkt und (von mir aus gern) Bestandteil des WB-Paketes ist, aber bei Nicht-Interesse auch deinstalliert werden kann.
Als Beispiel der Handhabung vielleicht die frühen Versionen des MultiLingual-Switcher, dessen Nutzung schon lang im Core verankert war, aber nur in Verbindung mit dem Addon auch in Betracht kam. Darin vereinen könnte man die bereits jetzt schon vorhandenen Funktionen in Verbindung mit der DVSGO (WB-Settings, News, Form usw), aber auch die Möglichkeit, z.b. im Form wieder die Funktion einer Bestätigungsmail zu versenden, wenn das Addon deaktiviert wurde. Wie man das bedient, müßte man diskutieren. Aus meiner persönlichen Sicht wäre es z.b. unlogisch, auf der einen Seite der DVSGO zu folgen, andererseits aber auch eine Mail ohne verheriges Einverständnis an XY senden zu wollen. Ein Anderer möchte möglicherweise diese Freiheit zur Selbstbestimmung.

Die Antwort ""I don't give a damn about the EU."" habe ich so ähnlich auch von Kunden bekommen und nach langer Diskussion am Ende das Form wieder zurück gebaut, allerdings mit Bauchschmerzen, da er in Italien noch dem EU-Recht unterliegt. Aktuell hat er eine WB 2.11 zu laufen und mindestens zwei Jahre rennt die noch ohne Probleme.
Ich habe aber auch Kunden aus Südasien oder Südamerika und die verstehen garnicht, was wir mit dieser DVSGO überhaupt wollen, warum das überall integriert wird.
Das aber nur als Vorschlag - muß man nicht drüber diskutieren
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline evaki

  • Posts: 2220
Re: ObfuscateIp
« Reply #8 on: September 29, 2018, 01:40:13 PM »
 (Y)
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline Luisehahne

  • WebsiteBaker Org e.V.
  • **
  • Posts: 4156
  • Gender: Male
    • Webdesign und Entwicklung WebsiteBaker
Re: ObfuscateIp
« Reply #9 on: September 30, 2018, 04:00:19 PM »
OK
i made a fallback fix and don't reset the last digit in the IP address.
Full IP adress will save again.

Dietmar
Immer nur von der Zukunft reden, die Gegenwart vergessen und auf die Vergangenheit schimpfen
Neues Unwort: Schnappatmung