kostenloser Webspace werbefrei: lima-city


IP-Speicherung, rechtliches und Alternative?

lima-cityForumlima-city Allgemeinlima-city Allgemein

  1. Autor dieses Themas

    pc0tweak

    Kostenloser Webspace von pc0tweak

    pc0tweak hat kostenlosen Webspace.

    Hallo,
    1. Frage
    Da Lima ja ein deutsches Unternehmen ist denke ich mal stark dass es sich auch an die deutschen Datenschutzgesetze hält
    aber da man anscheinend selber als betreiber einer homepage für das ip-logging seitens des webspace-betreibers haftbar gemacht werden kann, frage ich lieber mal nach
    macht lima ein ip-logging?
    http://www.daten-speicherung.de/index.php/speicherung-von-ip-adressen-ist-unzulaessig-auch-auf-websites/

    2. jeder wp user kennt es ja dass man seinen login-bereich schützen muss und will
    manche plugins bieten ja an nach ... fehlerhaften veruchen den login zu sperren dabei wird aber die ip gespeichert
    da man keine ip-adressen ohne zustimmung speichern darf würde es da ausreichen über dem login-button einen text hinzuklaptschen mit einem warnhinweiß: zum eigenen schutz muss ich deine ip-adresse für ...min/h speichern falls du gebannt wirst, damit kein unbefugter zugang zum cms erlangen kann (blablabla kann man schöner schreiben ihr wisst was ich mein)

    3. damit stellt sich trotzdem wieder ein problem - nämlich man braucht auch ein datenbank backup - meist wird das ja über ein wp-plugin automatisch erstellt und dann schön übers internet unverschlüsselt an den eigenen email account weitergegeben und somit auch in fremde hände - sprich email provider und bekanntlich ggf auch dem bnd und der nsa - gegeben
    daher 3. gibt es eine andere möglichkeit seinen loginbereich zu schützen?
    z.b. ein captcha wo wenigstens das automatische hacken vorgebeugt wird? kennt da jmd ein plugin das nicht durch hackern automatisch ausgelesen werden kann und somit schützt? oder gibt es auch noch etwas besseres als dann ein captcha zu verwenden?

    zwar schließen sich 2 und 3 aus aber bitte trotzdem mal auf 2. antworten

    Beitrag zuletzt geändert: 4.12.2013 2:35:57 von pc0tweak
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. c*****y

    Ohne es jetzt einmal genau zu wissen, gilt die Unzulässigkeit für das Speichern von IP-Adressen,
    weil sie mit einem User direkt in Verbindung gebracht werden können.
    (Da der Provider ja weiß an welchen Kunden er welche IP vergeben hat.)

    Soweit ich weiß reicht es sie unkenntlich zu machen, dass heißt:
    Du kannst die IPs nach wie vor für diverse Funktionen zur Useridentifikation nutzen,
    kannst bzw. musst diese aber mit einer Hashfunktion, beispielweise md5 oder sha1, hashen.

    Die resultierende Zeichenkette ist damit, genau wie die IP zu diesem Zeitpunkt,
    einmalig und die IP unkenntlich.

    Die Hashfunktionen (oben) sing eig. leicht zu knacken bzw. zurückzurechnen,
    ich denke aber nicht, dass sie dadurch nicht für diese Regelung in Frage kommen würden.

  4. m******e

    Hallo,

    zu 2)
    Das WP-Login lässt sich mit der zusätzlichen Authentifizierungsmethode über .htaccess wunderbar absichern.
    Dort wird es recht anschaulich erklärt, aber auch auf anderen Seiten.
    Die Zugangsdaten lassen sich auch automatisiert z.B. wöchentlich über Cronjobs ändern, und bsw. per eMail zusenden.
    Durch eine zusätzliche Authentifizierung als Hürde werden in den meisten Fällen fehlerhafte Login-Versuche durch unbefugte Dritte verhindert, da sie erst gar nicht so weit kommen.

    zu 3)
    - Wird das Wordpress für andere Personen mit Zugang zum Admin-Bereich eingerichtet?
    Dann bietet sich ein Captcha an.

    - Benutzt nur Du es selbst? Dann gibt es weitere Möglichkeiten.
    Ein kleines Beispiel für besonders Paranoide wäre ein modifiziertes WP-Login.
    Es werden zwei gehaschte Werte generiert: Zum einen die ip, zum zweiten der Timestamp.
    Entweder werden die Werte untereinander aufgelistet (plus 8 weitere, zufällig generierte Werte zur Verwirrung?), oder eine versteckte PHP-Datei generiert sie erst bei Aufruf.

    Zusätzlich werden die Browserdaten des User-Agents ausgelesen.
    Browserdaten und Hash-Werte werden in einem geschützten Bereich in eine *.txt -Datei in eine Zeile zwischengespeichert.
    (Deine eigene ip zu speichern, wirst Du Dir ja wohl selbst erlauben. ;)

    Beispiel:
    Aus
    Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/533.21.1 (KHTML, like Gecko) Version/5.0.5 Safari/533.21.1
    wird
    Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/533.21.1 (KHTML, like Gecko) Version/5.0.5 Safari/533.21.1 uid/[gehashte user ip] uts/[gehashter user timestamp]

    oder aus
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.21 (KHTML, like Gecko) Chrome/19.0.1042.0 Safari/535.21
    wird
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.21 (KHTML, like Gecko) Chrome/19.0.1042.0 Safari/535.21 uid/[gehashte user ip] uts/[gehashter user timestamp]

    Mit z.B. (Addons für FireFox) Modify Headers oder PrefBar nun lässt sich der User-Agent modifizieren; die beiden Hash-Werte werden mit Leerstelle dazwischen einfach angehangen.

    F5.
    Die Werte (aus der abgespeicherten *.txt -Datei und dem neu gesendeten User-Agent) werden nun verglichen.
    Solange die *.txt -Datei einen Inhalt aufweist, wird keine neuer Timestamp gesetzt.

    Weichen die Werte der User-Agents voneinander ab, oder fehlen die zusätzlichen Angaben der Hash-Werte im User-Agent, wird das eigentliche Login im WP-Login erst gar nicht angezeigt, und zusätzlich geblockt.

    Nach Logout den Inhalt der *.txt -Datei einfach wieder löschen.

    Anhang
    - Auch andere, und/oder zusätzliche Werte sind möglich.
    - Für das Addon Prefbar lassen sich eigene Module, Klick-Buttons, whatever, basteln. Auch speziell für solche Zwecke.
    - Die *.txt -Datei, und zusätzliche oder modifizierte *.php -Dateien sind im Datenbank-Backup nicht enthalten, was den Zugriff "gewisser Dienste" erschwert.

    Sollte das ein wenig zu paranoid erscheinen, einfach die .htaccess -Variante in Verbindung mit Captcha nutzen. ;)

    Beitrag zuletzt geändert: 4.12.2013 15:38:13 von menschle
  5. Autor dieses Themas

    pc0tweak

    Kostenloser Webspace von pc0tweak

    pc0tweak hat kostenlosen Webspace.

    danke
    ich hatte mehrere captcha plugins einfach mal ausprobiert aber die setzen alle session cookies und das selbst wenn man die startseite aufruft und nicht den adminbereich

    von demher habe ich das über die htaccess mal abgesichert

    nun fehlt noch eine antwort auf 1. ;) liebes lima team wie handhabt ihr das?
  6. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!