IP-Adressen verschlüsseln, deaktivieren oder Speicherung einschränken

Dieses Thema im Forum "Diskussionen rund um XenForo" wurde erstellt von MFT, 17. Mai 2018.

  1. MFT

    MFT Mitglied Lizenzinhaber

    Hallo allerseits,

    wir basteln an unserem Forum auch noch wegen der DSGVO. Wie kann man bei XenForo die Speicherung von IP-Adresse deaktivieren bzw. den Speicherzeitraum einschränken? Gibt es hierzu eine Möglichkeit?

    Bislang kann ich ja jeden Benutzer aufrufen und sehe dann die IP-Adresse, die er vor 5 Jahren hatte, falls er nicht mehr aktiv war, gleiches gilt für die jeweiligen Beiträge.

    Wie wurde das hier und auf euren Boards z.B. gemacht?

    Beste Grüße
     
  2. Kirby

    Kirby Aktives Mitglied Lizenzinhaber

    XenForo 1.5 speichert IP-Adressen für
    • Nutzungsdaten (Einstellungen / Protokollierung / Für IP-Informationen verwendeten Daten nach X Tagen löschen)
    • Moderatorlog ( Eintellungen / Protokollierung / Aufbewahrungsdauer des Logs der Moderatoren (in Tagen))
    • Adminlog (Einstellmöglichkeit per config.php, Default 60 Tage)
    • Fehlerprotokoll (keine Einstellmöglichkeit)
    • Fehlgeschlagene Logins (keine Einstellmöglichkeit, 1 Tag)
    • Session (Einstellmöglichkeit per config.php, Default 1 h)
    • Spam-Trigger-Log (keine Einstellmöglichkeit, 30 Tage)
    Ganz deaktivieren lässt sich die Speicherung von Haus aus nicht und per Add-on nur mit einigen Verrenkungen.
     
    Hoffi, hcmagix, otto und einer weiteren Person gefällt das.
  3. MFT

    MFT Mitglied Lizenzinhaber

    Danke! Das sollte erst einmal helfen, anders wäre das Forum für nix mehr zu gebrauchen...
     
  4. V0RT3X

    V0RT3X Bekanntes Mitglied Lizenzinhaber

    so ist es, um das ip logging ganz rauszunehmen musst du core files bearbeiten, nach jedem update aufs neue versteht sich.

    viele boards, die die ips ihrer nutzer aus was für gründen auch immer nicht speichern möchten, verwenden deshalb dieses addon

    XF IP-Killer
     
  5. toffee

    toffee Neues Mitglied Lizenzinhaber

    Oder Du schreibst in die index.php gleich nach dem php Tag

    Code:
    $_SERVER['REMOTE_ADDR'] = '127.0.0.1';
    
    Damit bekommt jeder User diese IP
     
    V0RT3X gefällt das.
  6. V0RT3X

    V0RT3X Bekanntes Mitglied Lizenzinhaber

    ist aber auch jedes mal manuelle änderung. einmal vergessen und ausgerechnet dann wird man erwischt... :D
     
    Maestro2k5 gefällt das.
  7. Kirby

    Kirby Aktives Mitglied Lizenzinhaber

    Das ist ehrlich gesagt keine gute Idee, denn damit kann theoretisch auch jeder User die Session eines anderen Users kapern wenn es ihm gelingt an die Session-ID zu gelangen.
    Normalerweise unterbindet XenForo dies (ein Stück weit) indem eine Session an an einen bestimmten IP-Adressbereich gebunden ist, wenn aber alle die gleiche Adresse haben funktioniert dies nicht mehr.

    Weitaus kritischer ist jedoch dass auch Login-Strikes somit für alle User gelten, d.h. wenn da einer eine Sperre auslöst greift diese für alle.
     
    otto und V0RT3X gefällt das.
  8. Heffalump

    Heffalump Bekanntes Mitglied Lizenzinhaber

    Ist das speichern von IP Adressen wirklich so kritisch?

    Dass sie personenbezogene Daten sind ist klar. Allerdings doch nur solange der Provider sie gespeichert hat (6 Wochen). Nach 6 Wochen wäre die IP-Adresse demnach nicht mehr personenbezogen, da man auch per Staatsanwaltschaft nicht mehr den User zuordnen kann.

    Denke ich falsch?
     
  9. Kirby

    Kirby Aktives Mitglied Lizenzinhaber

    IMHO & IANAL Ja. Du siehst einer IP-Adresse nichts zwangsläufig an ob die dynamisch vergeben ist oder nicht.
    Und wenn Sie es nicht ist, dann ist der personenbezug ggf. auch nach Jahren noch vorhanden.
     
    otto gefällt das.
  10. Heffalump

    Heffalump Bekanntes Mitglied Lizenzinhaber

    Stimmt auch wieder....

    Bis jetzt war ich auf dem Standpunkt, dass ich in den Nutzungsbedingungen folgendes angebe:

    .... um damit auf der sicheren Seite zu sein. Dachte ich zumindest.
     
  11. MFT

    MFT Mitglied Lizenzinhaber

    So ganz werde ich aus dem Gesetzgeber nicht schlau.

    Wenn bei keinem Kommentar und keiner Aktion mehr IPs gespeichert werden dürfen, dann kann niemand mehr ermittelt werden, der Angriffe auf Server, Webseiten oder Rufschädigung betreibt. Ich finde es vor allem für Foren existenziell IPs schon alleine wegen Spam u.s.w zu kurzzeitig zu speichern. Durch das eine wäre dem anderen dann die Tür komplett geöffnet, was ja auch nicht Sinn der Sache ist.

    Gibt es irgendwo ein klares Statement wie es zur Speicherung von IPs für Foren und anderen Communitys im Zuge der DSVGO aussieht? Aktuell gehe ich davon aus, dass ein Hinweis in der Datenschutzerklärung bzw. Registrierung so wie @Heffalump schreibt, genügt.
     
  12. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Das Speichern von IPs is mMn. weiterhin erlaubt - allerdings in engerem Rahmen. Das heist man sollte eine Frist benennen, wie lange man IPs speichert und diese sollte kürzest möglich sein und ich meine auch gelesen zu haben, das es da erlaubt bleibt, wo technisch unabdingbar. Aber auch hier unter engen Grenzen.

    Aber gar nicht mehr, ist mMn. schlicht falsch.
     
  13. Kirby

    Kirby Aktives Mitglied Lizenzinhaber

    Nein. Auch nach fast 10 Jahren Rechtsstreit ist die Frage nicht geklärt.
    Letzter Wasserstand: https://www.it-recht-kanzlei.de/bgh-speicherung-dynamische-ip-adresse.html

    Wenn dann das LG Berlin den Fall entschieden hat (AFAIK hat es das noch nicht) sind wir wieder ein Stück schlauer.
     
    Musika gefällt das.
  14. Boothby

    Boothby Aktives Mitglied Lizenzinhaber

    Eigentlich ist die Frage entschieden. Dyn. IP-Adressen sind personenbezogene Daten und dürfen nur gespeichert werden, soweit dies zur Aufrechterhaltung des Dienstes erforderlich ist. Soweit das Grundsatzurteil. Die Vorinstanz muß nun prüfen, ob das Erfordernis im konkreten Fall besteht und dabei alle möglichen Sachen abwägen. Um das Urteil auf den Betrieb eines Forums anzuwenden, würde ich sagen: Hier besteht kein Erfordernis zur dauerhaften Speicherung von IP-Adressen (irgendwelcher Art), damit ein (unverändertes) Forum richtig funktioniert.

    Das Problem liegt wie immer im Detail, bzw. hier im Einzelfall. Bei jedem wird die Frage nach dem Erfordernis anders ausfallen und im Falle einer Bejahung durch den Betreiber wird dies aus meiner Sicht immer rechtlich angreifbar sein (vmtl. wie immer mit wechselnden Erfolgsaussichten).

    Auf der anderen Seite steht in §12 TMG:
    Sollte es wirklich so einfach sein?
     
  15. Kirby

    Kirby Aktives Mitglied Lizenzinhaber

    Das unterstrichene ist genau der Punkt an dem es derzeit IMHO noch keine Rechtssicherheit gibt.
    Wenn ich z.B. von Spam-Registrierungen überflutet werde dann hilft es mir ggf. festzustellen dass die alle aus Russland, China, etc. kommen - um dann ggf. für diese Länder besondere Anforderungen zu stellen.
    Sehe ich aber nicht woher die Registrierungen kommen habe ich da deutlich schlechtere Karten.

    Gleichs bei einem L7 DDoS-Angriff, da sind IP-Daten in den Logs ggf. sehr hilfreich bzw. man hat es ohne diese ggf. sehr schwer.

    Natürlich muss man da immer im Einzelfall abwägen, aber so eine Grundtendenz (X Tage sind für eine durchschnittliche, aktive Website im erforderlich, etc.), das wäre schon sehr hilfreich.
    Und ich denke wenn es mehr Urteile es in der Richtung gibt, wird man da schon eine Tendenz herauslesen können.
     
  16. Boothby

    Boothby Aktives Mitglied Lizenzinhaber

    Vmtl. bedarf es einer ganzen Menge an Fallbeispielen, um hier Rechtssicherheit zu bekommen. :(
     
  17. Heffalump

    Heffalump Bekanntes Mitglied Lizenzinhaber

    Und letztlich muss man aus Erfahrung auch sagen, dass Abmahnanwälte sich die totsicheren Dinge heraussuchen und keine, bei der die Rechtslage fallabhängig ist. Das widerspricht der Strategie des schnellen, sicheren Euro.
     
    Banky und mph gefällt das.
  18. André Daub

    André Daub Aktives Mitglied Lizenzinhaber

    Kleiner Tipp, gerade gesehen:

    Die Phrase: contact_email_body_html

    Die folgende Nachricht wurde dir von {user} (IP-Adresse: {ip}) durch das Kontaktformular von {board} zugesandt.

    ändern in :

    Die folgende Nachricht wurde dir von {user} durch das Kontaktformular von {board} zugesandt.

    Weil, wenn ihr sonst bei der email auf antworten klickt, könnte es ein böses Erwachen geben. ;)

    @Alluidh könntet ihr das im deutschen Sprachpaket evtl. direkt so einbauen, damit das beim Update der Sprachpakete nicht überschrieben wird?
     
    Alluidh gefällt das.
  19. spiderman

    spiderman Aktives Mitglied Lizenzinhaber


    die Phrase contact_email_body_text
    Code:
    The following message has been sent via the contact form at {board_title}.
    
    Name: {name} (ID: {user_id})
    IP: {ip}
    Email: {email}
    Subject: {subject}
    
    Message:
    ------
    {message}
    hat auch die Ip anzeige drin
     
  20. Alluidh

    Alluidh Übersetzer Lizenzinhaber

    Klar, ist ja identisch
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden