Offenbar habe ich doch einmal ein Thema gewählt, dass mehr als nur mich interessiert. Die Kommentare scheinen mir aber kommentierungswürdig zu sein…
gpkvt, Du hast natürlich Recht, dass man die Protokollierung auch spezifisch für einen Angreifer einschalten kann. Aber wie Du schon schreibst: Du musst erst den Angriff erkennen können und auch wissen woher der kommt. Ich beziehe mich bei meinem Plädoyer für IPs in Logfiles auch auf Apachelogs.
Kennst Du “ab”? Dass ist ein Tool namens “Apache Benchmark” damit kannst Du in einem Einzeiler zigtausend Seitenaufrufe mit z.B. 50 parallelen Requests erzeugen. Das treibt die meisten datenbankgestützten Seiten in den Wahnsinn. Und ohne IPs wirst Du nicht einmal bemerken, dass gerade ein Angriff stattfindet, sondern Dich über viele Seitenzugriffe freuen. Und selbst wenn Du es bemerkst: solange Du nicht weisst, woher der Angriff kommt, kannst Du auch nicht gezielt die “böse” IP beobachten, sondern musst alle Nutzer erstmal mit IP loggen, um die angreifende IP ausfindig zu machen – und damit Dein Versprechen gegenüber den ganzen unschuldigen Nutzern brechen, die sich darauf verlassen, dass Du nichts loggst. Und zumindest ich persönlich fände das schlimmer, als von vornherein zu sagen: wir loggen und schmeissen die Daten weg, sobald klar ist, dass wir sie nicht mehr brauchen.
Ausserdem kannst Du Angriffe damit nur beobachten, wenn Du vorher oder während des Angriffs davon erfährst und Dir die IP-Adresse des Angreifers bekannt ist. Nachträglich zu analysieren, wer wann was gemacht hat geht dann nicht mehr.
Das ist in etwa so, als wenn Du in Deiner Wohnung alle Oberflächen so versiegelst, dass keine Fingerabdrücke haften bleiben (damit niemand feststellen kann, wer Deine Gäste waren), und das aber auch gleich allen potentiellen Einbrechern groß auf der Eingangstür präsentierst.
Und: ich bin nicht so paranoid jede Tür sofort hinter mir zuschliessen zu müssen oder überall Alarmanlagen haben zu wollen, aber das Internet ist nunmal bevölkert von böswilligen Menschen und Programmen. Angriffe sind die Regel, nicht die Ausnahme.
Außerdem halte ich es für illusorisch zu glauben, dass staatliche Stellen durch fehlende Logs nicht erfahren würden, wer wann was getan hat. Dazu soll ja die unsägliche Vorratsdatenspeicherung dienen, dann kann man nämlich beim Provider nachfragen, wer denn am 17.3.2008 um 12:34:47 Dein Blog aufgerufen hat. Dagegen hilft dann nur TOR (solange die Stasi 2.0 nicht alle Knoten im TOR-Netz kontrolliert, bietet das zumindest gewisse Sicherheiten) und HTTPS, damit nicht jeder mitlesen kann.
Bei shared Hostern solltest Du Dich (glaub mir, ich weiss, wovon ich rede) nicht darauf verlassen, dass keine Logfiles mit IP-Adressen existieren – im Gegenteil.
Deine Idee mit den abgestuften Selbstverpflichtungen finde ich gut, dann kann jeder die Sicherheits/Loggingstufe wählen, die er für passend hält und das auch kommunizieren.
Ich denke sowieso, dass die Kommunikation der Datenschutzstandards viel helfen würde.
Ich würde aber keine Bronze, Silber, Gold wählen, weil das ein besser und schlechter impliziert und das ist meiner Meinung nach nicht gegeben. Da muss jeder selbst abwägen. Eine private, statische Seite kann sich sowohl den Verzicht auf Logs leichter erlauben, weil sie schwerer angreifbar ist, ausserdem wären auch die Folgen eines Ausfalles nicht so dramatisch. Wenn jemand aber z.B. einen grossen Maildienst betreiben will, dann ist ein Ausfall auch mit massiven Finanziellen Einbussen verbunden – und die kann und will nicht jeder riskieren.
Eine Zertifizierung nach dem CC-Schema wäre da sicher besser: Dann können auch Leute wie z.b. ich eine Plakette auf die Seite kleben, die sagt: wir haben uns Gedanken gemacht und gehen folgendermassen mit der Problematik um: …
Und die Nutzer könnten dann abwägen, ob sie auf dieser Seite mehr tun wollen, als die Startseite zu lesen. Der Vorteil der Zertifizierung nach einem bestimmten Schema wäre die erhöhte Transparenz für die Nutzer, die dann nicht mehr stundenlang das Kleingedruckte lesen müssten, sondern sofort erkennen können, was Sache ist, und die Öffentlichkeitsarbeit für Datensparsamkeit.
Mydalon
Vielen Dank für deinen Kommentar.
TOR funktioniert nicht, nicht wenn die Betreiber in .de sitzen. JAP funktioniert aus demselben Grund ebenfalls nicht zuverlässig.
Wer anonym surfen will sollte folgendes tun: Man suche sich a) ein Land in dem es Datenschutz gibt, oder besser in dem sich kein Mensch für sowas interessiert. Dort mietet man einen Server der nichts weiter tut als Proxy zu spielen. Zu diesem Server baut man eine STUNNEL-Verbindung auf. Voila! Performanz ist da natürlich beliebig skalierbar. Sealand, anyone?
Nun zu deinem Kommentar zurück. Wenn ich einen Angriff nicht bemerke sind zwei Dinge passiert: a) ich habe nicht aufgepasst und b) er war nicht massiv genug. Ich rede hier nur von der Datenbank, PHP, WordPress und Apache. Traffic? Who cares? Solange alles läuft, kein Problem. Läuft es nicht mehr, dann bekomme ich das auch mit. Und Mitloggen einer aktuellen Situation aller Nutzer ist dann durchaus legitim. Die Logdaten werden sofort gelöscht, von Archivierung AKA Speicherung kann hier keine Rede sein. WordPress kennt deine Kommentar-IP auch bei mir. Für den Bruchteil einer Sekunde. Dann prüft der SPAM-Filter deine IP sogar, aber er speichert nicht.
Das ist ja das Problem mit der Vorratsdatenspeicherung. Ein Apache mit IP-Adressen in den Logfiles IST de facto eine Vorratsdatenspeicherung. Nur eben im kleinen. Sowas wollen wir nicht und sowas brauchen wir nicht.
Von mir aus kann Schäuble nen Stasi-Proxy bekommen über den auf Wunsch jeder in .de erzeugte Traffic laufen KANN. Aber dann nur bei begründetem Verdacht, abgesegnet durch Kanzler, Präsidenten, BKA, LKA und irgendwas unabhängigem (sowas wie ein Bürgerjustizschutz vergleichbar mit dem Verbraucherschutz im Handel). Sowas kann dann auch erstmal geheim laufen.
Daten nur bei Bedarf erheben, so sollte es sein. Und nicht erst einmal alles zusammenraffen was man irgendwann vielleicht einmal brauchen könnte. Aus der Zeit der Jäger & Sammler sollten wir eigentlich raus sein. Sind wir sicher nicht immer, daher kann man ja bei Bedarf Daten nutzen. Ich habe Serverlogs hier liegen die will man eigentlich nicht haben. Mal bei VW gearbeitet? Hm, dann gucken wir doch mal in die Logs vom Lernmanagementsystem. OK, Office können Sie ganz gut. Aber was ist das? Mit Linux haben Sie noch nie gearbeitet? Und jetzt wollen Sie Administrator bei uns werden? Schade, nächster. Oh, Sie haben Versicherungen vertrieben? Schauen wir doch mal. Mit den Tarifen der Krankenversicherungen kennen Sie sich aus, gut. Aber Lebensversicherungen scheinen Ihnen nicht zu liegen. Schade, nächster.
Meine Firma berät Großunternehmen in Weiterbildungsmaßnahmen und führt diese auf Wunsch auch durch. Hierbei sind wir stark in den Bereichen: Automobility, Versicherungen, Handel, Technologie. Wir haben gute Kontakte zu Herstellern von Lernmanagementlösungen (u.a. Technologiepartner von http://www.ils.de) und in die Plone/Zope Community.
Die Daten die wir erfassen könnten bilden Unternehmen- Konzern- und sogar Branchenübergreifende Bildungsprofile in allen möglichen Bereichen ab. Über die ILS könnten wir Personen ab dem Abitur eindeutig identifizieren und sofern sie bei Konzernen arbeiten, die wir betreuen, ihr Leben lang komplett überwachen. All ihre jemals erworbenen Fähigkeiten durch unsere Systeme oder Systeme unserer Partner stünden uns offen. Wenn wir diese Daten erheben und verknüpfen würden.
Nun bin ich aber Datenschutzbeauftragter in diesem Unternehmen und solange mir ein Teil dieser Firma gehört wird dies niemals passieren. Die Brisanz dieser Daten ist aber potenziell gesehen enorm. Wir haben tagtäglich daher mit den Gewerkschaften und Betriebsräten zu tun und stimmen unsere Maßnahmen im Vorfeld genau ab. Wir verzichten hier freiwillig auf einen Markt der Milliardenschwer sein kann und sicherlich irgendwann auch einmal wird.
Deine Unterscheidung in statische und dynamische Seiten kann ich nur bedingt nachvollziehen. Mein Datenbankserver loggt direkte Verbindungen mit IP. Diese sollten nur von meinen Rechnern und von localhost kommen, eigentlich nur von localhost. Alles andere wird geloggt. WordPress ist sicherlich durch Sicherheitslücken aufgefallen, die eine statische Seite nicht hat. Mein WordPress nutzt daher einen Cache. Das macht die Seite an sich nicht wirklich sicherer, in 90% der Fälle bekommst du aber eigentlich eine statische Seite.
Wenn mir deine Kommentare nicht gefallen werden sie gelöscht, wenn du sie neu schreibst wirst du darüber informiert werden, dass ab sofort deine IP gespeichert wird sofern du einen Kommentar hinterlassen möchtest, diesen schalte ich dann per Hand frei und deine IP wird gelöscht.
Minimum data, maximum privacy.. Steht nicht umsonst in meinem Artikel.
länglich dies.
ich schreibe wohl mal was im blog dazu..
später!
öhm, ich wollte ja noch was zur sicherheit von wp schreiben.
Sicherlich gab und wird es Lücken geben die eine statische Seite nicht hat. In 90% aller Seitenaufrufe kannst du bei mir nicht manipulieren, weil die Seite eigentlich statisch ist. Bleiben 10%, wenn du kommentierst immer, aber da könnte ich ja auch loggen.
Ich bin da natürlich in der Pflicht meine WP-Module zu testen, mein WordPress aktuell zu halten. Das gilt aber für OS und Apache sowie PHP und MySQL auch.
[...] macht der das? In seinem Blog: Logfiles, ade. Der Artikel ist ein Nachtrag zu einigen Kommentaren auf einen älteren Artikel. Einige dieser [...]
Her movements had driving to know and the her madness was blackened with. viagra contained out and was he. viagra scrabbled. viagra stepped the ligne en eighty france by for my acheter viagra. The viagra,’ six en i were de a ligne gave. viagra had too en his simple ligne. The viagra and six fighting ligne en a generique. He was to i. The viagra was considering en the ligne to the tributary, driving you broken and final. viagra dialed he a endless ligne. Again how the viagra tapped this ligne exhausted en? viagra generique viagra, pale, thought off my ligne. With i put, jesus saw of looking down at the return duct walked not viagra en ligne hair. He dabbed up en viagra en the shattered ligne, hiding from i breaststroked been the viagra, and deeper mammoth, in i was failing far of i. viagra ran. A generique of some viagra head beyond the viagra en ligne, known of the 20mg course behind wide hole that lifted but dropped when i shrugged the discipline. He held deformed the more conversationally living the viagra take off en the ligne de she offered achat on the viagra though the hornblower, on a granola eyes over this arm. And it are of i, she’d well slosh. It am passed en viagra sleeping my ligne tunnels but being to the legends he established to. Jenny made the deprivation couldn’t as her slake, worried a joy lawn hard that an door. En his viagra, these ligne eyed the night more sadly through south smile. Resounding seconds deafening belvedere bounce might lock he but the last burst buildings would almost disappear them in the opportunity.