Speicherung von IP Adressen, trotz deaktiviertem Modul

  • Das WCF 2.1.22 speichert im ACP die IP Adressen der Admin Sitzungen und der fehlgeschlagenen Anmeldungen der Benutzer, obwohl das Modul zur Speicherung von IP Adressen deaktiviert ist.


    Mir ist bewusst, dass diese Daten nach einem Monat automatisch gelöscht werden, dennoch bezüglich der DSGVO sollte das nicht sein.

  • Naja, das würde ich jetzt mal nicht so eng sehen:


    ACP Sitzungen: Sind Deine IP's und die von denjenigen die Zugriff auf das ACP haben.

    Hier könnte man argumentieren, dass man prüfen möchte, ob sich nicht jemand fremdes Zugriff auf das ACP verschafft hat, was ja voller Datenzugriff heißen würde.

    Letzteres gilt dann auch für die fehlgeschlagenen Anmeldungen. Probiert ggf. ein Angreifer mit einem fremden Nutzernamen ins Board zu kommen.


    Just my 2 Cents

  • Eben nach §6 Abs. 1 lit. f darfst Du IP-Adresse durchaus speichern... Stichwort: Dienstoptimierung und Gefahrenabwehr.

  • Eben nach §6 Abs. 1 lit. f darfst Du IP-Adresse durchaus speichern... Stichwort: Dienstoptimierung und Gefahrenabwehr.

    Das mag sein, ist aber nicht das (potenzielle) Problem.

    Das Problem (auch in der Suite) ist, das Benutzer-IPs gespeichert werden, obwohl die IP-Speicherung ausgeschaltet ist. Das kann dem Betreiber, der nicht jede Zeile Code des WCF/WSC durchforsten kann und sich mangels Dokumentation auf die Aussagen im ACP verlässt, erhebliche DSGVO- und Glaubwürdigkeitsprobleme einbringen. DSE: hier werden keine IP-Adressen gespeichert. Realität: es werden doch welche gespeichert, was ja dieser neue maschinenlesbare Datenexport an den Tag bringt.

  • Das wußte der aufmerksame Leser (ich vergaß, sowas gibt es heute nicht mehr!) schon vorher, schließlich heißt es bei der ACP-Option: "Aktiviert die dauerhafte Speicherung von IP-Adressen der Benutzer in z.B. Benutzerprofilen und Forenbeiträgen."


    Da steht also nicht, schaltet Ihr "Forum" in einen IP-Speicherungslosen Modus... in den Session-Tabellen, den Failed Logins, den ACP-Sessions werden weiterhin temporär IPs gespeichert.


    Auch hat nie jemand behauptet, das durch Umstellen dieses Schalters alle IP-Speicherungen abgeschafft werden.

  • Wann lernen die Leute, dass die Speicherung durch die DSGVO nicht verboten wird?

    Komischerweise lese ich ständig auf den Websites von irgendwelchen Anwälten, dass die DSGVO die Erfassung und Verarbeitung von personenbezogenen Daten grundsätzlich komplett verbietet und lediglich Ausnahmen definiert.

  • Du kennst aber schon die juristische Bedeutung des Wortes "grundsätzlich"?

    Ich zitiere mal Wikipedia:

    Grundsätzlich bedeutet juristisch gesehen vom Grundsatz her in der Bedeutung von im Prinzip, in der Regel (Ausnahmen sind möglich), während es in der Umgangssprache eher in der Bedeutung immer, aus Prinzip (keine Ausnahmen) verwendet wird.

    Ich überspitze mal... etwas "grundsätzliches" kann morgen schon was anderes sein für einen Juristen. ;)

  • Wann lernen die Leute, dass die Speicherung durch die DSGVO nicht verboten wird?

    Darum geht es nicht, sondern darum, das eine Standardfunktion des WCFs IP-Adressen speichert und WoltLab das in ihrer Standard-Datenschutzerklärung nicht erwähnt.

    WoltLab sollte daher diese Speicherung entweder unterbinden oder ihre Datenschutzerklärung vervollständigen.

  • Kann es sein das hier wieder 2 linke Paar Schuhe getragen werden?


    Habe es gerade mal getestet bei keinem User wird die IP ausgegeben da abgeschaltet, aber beim Admin ja weil er sich im ACP eingelogt und irgendwo stand das dies immer geloggt wird?


    Ah hier:

    Nochmal: Alles, was im ACP von einem User gemacht wird, wird mitsamt IP-Adresse protokolliert. Diese IP-Adressen wiederum stehen dann in der Daten-Datei desjenigen, dessen IPs gespeichert wurden.

  • Es dürfte aber auch User treffen, die Ihr Passwort falsch eingegeben haben; weil auch hier wird die IP geloggt. Kann ich gerade nur nicht testen, weil meine User Ihre Passwörter eingeben können. ;)

  • Nee, tun sie nicht. Ich hab es gerade dann extra mal ausprobiert... Dazu habe ich bewusst versucht mich mit dem Benutzernamen von zwei Usern und einem falschen PW anzumelden. Es wurden sofort zwei Einträge in den "Fehlgeschlagenen Anmeldungen" geniert, die auch den jeweiligen UserIDs zugeordnet waren. Ein DSGVO-Datenexport für diese beiden User hat die IP der falschen Anmeldung jedoch nicht enthalten. Die IP wird also gespeichert ("verarbeitet"), aber nicht exportiert.


    Das deckt sich auch mit der Aussage: DSGVO-Export enthält fremde IP-Adressen

  • Ein DSGVO-Datenexport für diese beiden User hat die IP der falschen Anmeldung jedoch nicht enthalten.

    Wurde der Export aus dem ACP oder von den Usern selbst über das Frontend von SoftCreatR gemacht?

    Gruß aus Südhessen

  • Ich hatte den Export mit dem Frontend von Sascha gemacht. Ich zitiere mich hier mal aus Saschas Forum selbst:


    Quote

    Ich wünschte WoltLab hätte die IP-Adressen in dem JSON differenzierter benannt. Womöglich ist die gespeicherte IP dann doch wieder die Session-IP, des erfolgreichen Logins des Demo-Users in dem Moment wo ich dann mit dem Demo-User per Frontend den Export gemacht habe, um diesen auf die IPs der vorherigen Fehlversuche zu untersuchen.

    Gruß aus Südhessen

  • Wurde der Export aus dem ACP oder von den Usern selbst über das Frontend von SoftCreatR gemacht?


    Unsere Erweiterung erzeugt denselben Report, wie der, den man im ACP erzeugen kann. Oder anders: In dem Report, den sich die User mit Hilfe unserer Erweiterung generieren können, kann nie etwas anderes bzw. mehr stehen, als in dem Report, den der Admin erzeugen kann, Zumindest so lange kein Drittanbieter einen groben Fehler macht, wenn er sich mit seiner Erweiterung einhängt.

  • Dann wird auch die Quelle der IPs benannt, zumindest das "Modul" das sie erfasst hat.

    Falls das eine Anmerkung zu meinem Wunsch nach differenzierter Benennung der IP-Quellen ist, dann muss ich sagen: Jedes Modul kann/könnte zig unterschiedliche IP-Adressen-Quellen haben. Für mich ist/war nicht erkennbar, dass es sich um die IP-Adresse der letzten Session handelt - ich konnte es nur im Nachhinein ableiten, aber eben nicht klar erkennen.

    Gruß aus Südhessen

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!