Ankündigung

Einklappen
Keine Ankündigung bisher.

IP-Adresse anonymisieren (DSGVO)

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • IP-Adresse anonymisieren (DSGVO)

    Um weiterhin statische Auswertungen machen zu können, wollte ich die IP-Adresse in der DB nicht mehr als IP-Adresse hinterlegen, sondern in irgendeiner Form anonym ablegen.

    Nach ein wenig Recherche bin ich über diese Variante gestolpert
    PHP-Code:
    $anonymUser md5($_SERVER['HTTP_ACCEPT_LANGUAGE'] . $_SERVER['HTTP_USER_AGENT'] . $_SERVER['REMOTE_ADDR']); 
    Kennt einer noch weitere oder schnellere resp. bessere Möglichkeiten?


  • #2
    Also bei Piwik wird das so gelöst, dass die letzten beiden Oktette der IP Adresse auf 0.0 gesetzt werden. So ist eine genaue Zuordnung zu einem Besucher zwar nicht mehr gegeben, aber für die Auswertung an sich, sollte dies keine große Auswirkung haben. Bei deinem Vorschlag mit dem Hash, hast du das selbe Problem wie wenn du die IP Adresse direkt speicherst. Du kannst den Hash zu einem Besucher zurückverfolgen.

    Kommentar


    • #3
      Zitat von Zeichen32 Beitrag anzeigen
      Bei deinem Vorschlag mit dem Hash, hast du das selbe Problem wie wenn du die IP Adresse direkt speicherst. Du kannst den Hash zu einem Besucher zurückverfolgen.
      In wie fern - von Rainbow Tables mal abgesehen - soll das zurückverfolgbar sein? Du weißt doch nicht, welcher Hash von welchem User ausgeht.
      Competence-Center -> Enjoy the Informatrix
      PHProcks!Einsteiger freundliche Tutorials

      Kommentar


      • #4
        Zitat von Arne Drews Beitrag anzeigen
        In wie fern - von Rainbow Tables mal abgesehen - soll das zurückverfolgbar sein? Du weißt doch nicht, welcher Hash von welchem User ausgeht.
        Doch, denn der Hash lässt sich ja generieren sobald der User wieder kommt und somit lässt er sich zurückverfolgen.

        Kommentar


        • #5
          Das Einzige was ich dann weiss, ist, dass ein User der schon mal da war wiedergekommen ist.
          Ich kenne aber weder seinen Namen noch seine IP noch weiss ich aus welchem Land er kommt. Er ist also individuell verfolgbar(Weg durch meine Seite) aber eben anonym.

          Kommentar


          • #6
            Zitat von Arne Drews Beitrag anzeigen
            In wie fern - von Rainbow Tables mal abgesehen - soll das zurückverfolgbar sein? Du weißt doch nicht, welcher Hash von welchem User ausgeht.
            Ein Hash kannst du ja wie ein Hash von einem PWD wieder herstellen durch ausprobieren. Eine anonymisierte IP Adresse nicht, da die letzen 1-2 Oktette ja gar nicht erst mit gespeichert werden.
            Wenn man mit einem Hash arbeiten möchte, könnte man das Problem mit einem Random Salt umgehen.

            Kommentar


            • #7
              Zitat von Zeichen32 Beitrag anzeigen

              Ein Hash kannst du ja wie ein Hash von einem PWD wieder herstellen durch ausprobieren. Eine anonymisierte IP Adresse nicht, da die letzen 1-2 Oktette ja gar nicht erst mit gespeichert werden.
              Wenn man mit einem Hash arbeiten möchte, könnte man das Problem mit einem Random Salt umgehen.
              Nein, kann man nicht.
              Ein cryptographisch sauberer Hash ist vollkommen ausreichend für das, was der Gesetzgeber fordert. MD5 lässt sich zu leicht wieder in klarform bringen. Damit wäre ich vorsichtig. Ebenso SHA1. Mit einer IP-Adresse, wo die letzten 2 Oktette entfernt wurden, kann kein Mensch irgendwas anfangen. Dann kann man es auch gleich lassen
              Standards - Best Practices - AwesomePHP - Guideline für WebApps

              Kommentar


              • #8
                Zitat von rkr Beitrag anzeigen
                Mit einer IP-Adresse, wo die letzten 2 Oktette entfernt wurden, kann kein Mensch irgendwas anfangen. Dann kann man es auch gleich lassen
                Warum nutzen Piwik und Google Analytics das dann zum anonymisieren von IP Adressen?

                Kommentar


                • #9
                  Zitat von Zeichen32 Beitrag anzeigen

                  Warum nutzen Piwik und Google Analytics das dann zum anonymisieren von IP Adressen?
                  Darüber habe ich mich auch schon immer gewundert,
                  es gibt und gab schon immer die beiden Ansätze mit löschen:

                  ganz hart:
                  http://www.wirspeichernnicht.de/content/view/14/24/
                  gemäsigt:
                  https://github.com/mstarostik/mod_anonip
                  functionel:
                  https://github.com/mmitch/httpd-log-anon-filter

                  letztere lässt sich zwar sehr einfach bei Apache in eine Pipe jaxgen, ist aber kein mod_*.
                  möglicherweise deswegen.

                  Kommentar


                  • #10
                    Zitat von protestix Beitrag anzeigen
                    Das Einzige was ich dann weiss, ist, dass ein User der schon mal da war wiedergekommen ist.
                    Ich kenne aber weder seinen Namen noch seine IP noch weiss ich aus welchem Land er kommt. Er ist also individuell verfolgbar(Weg durch meine Seite) aber eben anonym.
                    In dem Moment, wo der User da ist, hast du seine IP und den Hash. Du kannst die IP also zurückverfolgen.

                    Kommentar


                    • #11
                      Ja klar könnte ich das, wenn ich denn die Ip noch speichern würde, dann könnte ich aber auch alles so lassen wie gehabt.
                      Darum geht es mir aber nicht, sondern um eine DSGVO konforme Speicherung ohne Rückschluss auf die Identität.
                      Der von mir verlinkte Artikel beschäftigt sich ja genau mit dieser Frage.

                      Wenn keine besseren Verschläge kommen, als mein eingebrachter, werde ich das so umsetzen.

                      Kommentar


                      • #12
                        Dein anonIp Ist nicht dumm, hab den artikel erst jetzt gesehen
                        Um das näher an den User zu binden., wären mE. reine Userdaten besser, Ob dadurch bei einer guten Hashfunction, must it be md5 , besser errechenbar ist, wage anhand der staistischen
                        Browserverteilung bezweifeln.

                        Kommentar


                        • #13
                          tomBuilder
                          Warum nicht MD5?
                          Ist schließlich sehr schnell.
                          Es geht hier auch nicht um den Schutz von Daten, oder welche Angriffsszenarien vorstellbar wären, sondern lediglich um die Speicherung von Trackinginformationen auf meiner Seite.
                          Ich will halt nach wie vor die Infos haben über welche Seite kam jemand rein, Verweildauer, wo hat er das letzte mal eine Seite betrachtet.

                          Mich interessiert dabei weder Browserauflösung noch wie derjenige seine Schuhe zuschnürt. Bis jetzt habe ich die IP in der DB und das wollte ich halt ändern.

                          Kommentar


                          • #14
                            Zitat von protestix Beitrag anzeigen
                            Ich will halt nach wie vor die Infos haben über welche Seite kam jemand rein, Verweildauer, wo hat er das letzte mal eine Seite betrachtet.
                            Cookie?

                            Sowas kannst du mit IP und User Agent eh nicht tracken. z.B. bei uns in der Firma gehen tausende Leute über die gleiche IP ins Internet und alle verwenden den gleichen Browser mit der gleichen Auflösung und den gleichen Einstellungen (da sie ja gar keine Rechte haben um einen anderen zu installieren oder die Einstellungen zu veränden).

                            Kommentar


                            • #15
                              Problem bei Cookie ist, dass man da wieder die Einwilligung braucht.und die Einwilligung in nachprüfbarer Form gespeichert werden muss.

                              Über die Unzulänglichkeiten meines Trackings bin ich mir voll im Klaren und mit einer gewissen Fehlerqoute muss man halt leben.


                              Kommentar

                              Lädt...
                              X