• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Wichtige Infos über Client

D

djfabi

Mitglied
Hallo,

ich arbeite an einem Login, welcher auch in mehreren Browsern sicher gehen soll. (d.h. ein Account login über z.B. Handy, Browser A und Browser B geht)

ich inseriere also in die datenbank, mit welchem 'device' der User gerade eingeloggt ist.

Nur weiß ich nicht so genau, was genau ich alles speichern sollte.

Es ist wichtig, um den Nutzer anzuzeigen mit welchen 'devices' er gerade angemeldet ist, auch um die Sicherheit zu erhöhen, wenn zum Beispiel
ein unerwünschter eingeloggt ist (andere Person)

ich habe mir gedacht, das ich das hier eintrage:

-ip
-useragent
-sprache
-land (über geoip)
-stadt (so genau es geht, auch mit geoip)
-os
-browser
-gethostbyaddr()


mehr ist mir bis jetzt nicht eingefallen, gibt es noch mehr, was BESONDERS wichtig währe an Informationen zu speichern?
Oder ist auch einiges überflüssig?

Gruß djfabi
 
Werbung:
Wieso reicht dir dafür nicht der UserAgent? IPs zu speichern, gerade in Deutschland, halte ich für grenzwertig.
 
Werbung:
Was auch grenzwertig ist weshalb auf vielen Servern die IPs in den Logfiles anonymisiert werden.
 
zum thema IPs: die speichere ich natürlich Verschlüsselt ab (mit verschlüsseln/entschlüsseln) und habe somit ja dann auch keine Probleme.
Laut dem Gesetz (glaube ich) ist es untersagt die IPs länger als 7 Tage unverschlüsselt (frei hergeleitet) zu speichern.

naja es geht um die Identifikation des Users:
Es ist wichtig, um den Nutzer anzuzeigen mit welchen 'devices' er gerade angemeldet ist, auch um die Sicherheit zu erhöhen, wenn zum Beispiel
ein unerwünschter eingeloggt ist (andere Person)
Zum Vergrößern anklicken....

also wenn ein anderer zum Beispiel irgentwie an das Passwort gekommen ist, man sehen kann:
eingeloggt:
Handy (informationen zu Standort) Bsp: Berlin
Chrome (informationen zu Standort) Bsp: Berlin

Firefox (informationen zu Standort) Bsp: USA

jz könnte man schon mal misstrauischer werden (weit hergeholt)

es geht ums Grundprinzip: Sicherheit
 
Werbung:
dachte das thema wäre entlich durch, haben ja nun genügent schon zahlen dürfen.

IP Speichern ist grundsätzlich verboten
ausser:
ganze:
Kurzzeitig bis 24h: wegen firewall/DDOS und sowas
Länger: wichtigen Geschäftlichen dingen, ist auch die einzige Ausname wo auch ander User Daten gespeichert werden dürfen wie Benutzername oder andere Eingaben vom User (ob schop mit Vorkasse ist eher fraglich)

gekürtzt (letzter block gelöscht):
Für Statistiken, es darf aber kein anderen rückschlüsse auf ein bestimmten besucher geben wie Benutzername

Alles andere kostet Geld wenn das einer mit bekommt.
Falls einer fragt, sind Richterliche entscheidungen.
Nicht ohne grund muss man zb bei Analytics in Deutschland die IP extra kurzen lasen


Die Frage ist doch auch einfach, was möchtest/kannst du mit einer 7 Tage alten IP anstellen, nichts auser vielleicht das war ein Besucher über Provider XYZ.

Cheffchen

Bin kein Rechtsanwalt also keine rechtsberatung :O)
 
Cheffchen schrieb:
dachte das thema wäre entlich durch, haben ja nun genügent schon zahlen dürfen.

IP Speichern ist grundsätzlich verboten
ausser:
ganze:
Kurzzeitig bis 24h: wegen firewall/DDOS und sowas
Länger: wichtigen Geschäftlichen dingen, ist auch die einzige Ausname wo auch ander User Daten gespeichert werden dürfen wie Benutzername oder andere Eingaben vom User (ob schop mit Vorkasse ist eher fraglich)

gekürtzt (letzter block gelöscht):
Für Statistiken, es darf aber kein anderen rückschlüsse auf ein bestimmten besucher geben wie Benutzername

Alles andere kostet Geld wenn das einer mit bekommt.
Falls einer fragt, sind Richterliche entscheidungen.
Nicht ohne grund muss man zb bei Analytics in Deutschland die IP extra kurzen lasen


Die Frage ist doch auch einfach, was möchtest/kannst du mit einer 7 Tage alten IP anstellen, nichts auser vielleicht das war ein Besucher über Provider XYZ.

Cheffchen

Bin kein Rechtsanwalt also keine rechtsberatung :O)
Zum Vergrößern anklicken....


heißt das jetzt ich darf die IP garnicht (nicht länger als Zeit) speichern, auch wenn ich es verschlüsselt in der DB habe?

wenn nein, darf ich es bei der Ausgabe dann kürzen und darf ich es dann?

zu Analytics: ich habe Google Analytics und habe dort auch die Funktion anonimzeIp an.


Ich hoffe nicht, das ich jz alles ändern muss O:
 
Tronjer schrieb:
Du anonymisierst auf deinem eigenen Server die IPs?
Zum Vergrößern anklicken....

Natürlich.

djfabi schrieb:
heißt das jetzt ich darf die IP garnicht (nicht länger als Zeit) speichern, auch wenn ich es verschlüsselt in der DB habe?
Zum Vergrößern anklicken....

Wenn Du sie mit MD5 verschleierst wäre sie nicht (so einfach) wieder ermittelbar. Wenn Du dann noch den MD5-Wert salzt wäre es perfekt, und ist ja auch kein großer Akt eigentlich.

zu Analytics: ich habe Google Analytics und habe dort auch die Funktion anonimzeIp an.
Zum Vergrößern anklicken....

Sehr gut :)
 
Werbung:
Hallo,

@threadi genau

heißt das jetzt ich darf die IP garnicht (nicht länger als Zeit) speichern, auch wenn ich es verschlüsselt in der DB habe?

wenn nein, darf ich es bei der Ausgabe dann kürzen und darf ich es dann?
Zum Vergrößern anklicken....
nein: Verschlüsseln macht ja kein sinn, es geht nicht darum das die im klartext nicht speichern darfst, sondern das die nicht speichern darfst wie auch immer, ausser gekürzt bzw. anonymisierst.
Damit ist der zweite teil auch klar, wenn die nicht ganz speichern darfst brauchst die nicht kürzen bei der ausgabe :O)

Was haben alle immer mit der IP?
Was möchtest mit der anstellen, ausser die selber angreifbar machen?
Wenn kein Staatsanwalt bist kannst mit der so wie so nichts anfangen.

Ach so
Tronjer schrieb:
Du anonymisierst auf deinem eigenen Server die IPs?
Zum Vergrößern anklicken....
Natürlich. Lebe ja in Deutschland :O)

Cheffchen
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben