kleine "wie ist meine IP" Seite

  • Unabhängig jetzt von den schon genannten formalen Hinweisen/Vorschlägen hier mal eine inhaltliche Idee: Wenn du Lust und Zeit hast, baue doch noch anonymisierte, statistische Auswertungen mit ein und stelle eine Liste mit den Top Ländern / Providern / User Agents zur Verfügung, basierend auf den gespeicherten Informationen in der Datenbank.

  • Unabhängig jetzt von den schon genannten formalen Hinweisen/Vorschlägen hier mal eine inhaltliche Idee: Wenn du Lust und Zeit hast, baue doch noch anonymisierte, statistische Auswertungen mit ein und stelle eine Liste mit den Top Ländern / Providern / User Agents zur Verfügung, basierend auf den gespeicherten Informationen in der Datenbank.

    Zur Zeit wäre das ganze nicht sonderlich spannend. Wenn es aber mal mehr AUfrufe werden, könnte man sich wirklich überlegen dahingehend eine kleine Auswertung zu machen.



    Das wunderschöne an deiner Seite ist, dass du kein Java Script mti eingebunden hast und sie schlicht gehalten ist ohne schnick schnack :)


    [Blockierte Grafik: https://i.imgur.com/2iJgdVn.png]

    Danke für das Lob! Ja, ich habe versucht soweit es geht ohne Fremde Quellen auszukommen. Das ganze hat bisher auch ziemlich gut funktioniert, bis auf die google Fonts. Im Grunde besteht so die Seite nur aus PHP und HTML.


    Der Footer verhindert bei mir auf dem iPhone/Safari leider das Ganz-nach-unten-scrollen:

    13585898-B67D-4C9E-9D1D-D205D2D4AF0C.png

    Vielen Dank für den Hinweis! Ich werde demnächst mal versuchen das ganze zu fixen. Das Problem ist nur, ich habe von CSS eigentlich absolut keine Ahnung. Aber sollte trotzdem machbar sein.

  • Ich bin mir da zwar selbst gerade unsicher, aber ich würde sagen, durch die ID sind die Daten öffentlich zugänglich. Es ist ja schließlich möglich (unwahrscheinlich, aber möglich), dass zwei beinahe identische IDS generiert werden und der User sich vertippt und auf die "fremde" ID kommt. Oder durch ausprobieren (automatisiert, nicht händisch).


    Auf der anderen Seite denke ich mir dann aber auch, ob eine Seite, auf der ich mich einlogge, dann nicht auch öffentlich zugänglich ist, da ja theoretisch jemand meinen Username und Password erraten kann bzw. per Brüte Force herausfinden...


    Bin sehr gespannt, was andere hier dazu denken!

  • Der Footer verhindert bei mir auf dem iPhone/Safari leider das Ganz-nach-unten-scrollen:

    13585898-B67D-4C9E-9D1D-D205D2D4AF0C.png

    Sollte jetzt angepasst sein und funktionieren. Habe leider selbst kein iPhone um das ganze in echt zu testen. Laut Emulator gebt es.



    Ich bin mir da zwar selbst gerade unsicher, aber ich würde sagen, durch die ID sind die Daten öffentlich zugänglich. Es ist ja schließlich möglich (unwahrscheinlich, aber möglich), dass zwei beinahe identische IDS generiert werden und der User sich vertippt und auf die "fremde" ID kommt. Oder durch ausprobieren (automatisiert, nicht händisch).


    Auf der anderen Seite denke ich mir dann aber auch, ob eine Seite, auf der ich mich einlogge, dann nicht auch öffentlich zugänglich ist, da ja theoretisch jemand meinen Username und Password erraten kann bzw. per Brüte Force herausfinden...


    Bin sehr gespannt, was andere hier dazu denken!

    Ich habe mich jetzt mit dem Thema genauer beschäftigt.

    Erstmal vorweg:


    Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten von personenbezogenen Daten ist mithin nur unter Zustimmung des Betroffenen zulässig.

    Durch die ID ist es kein öffentlich zugänglich machen. Öffentlich zugänglich bedeutet daß es im Internet einfach auffindbar ist.

    Die Wahrscheinlichkeit bei einem 32 Bit String (md5) die richtige Kombination zu finden ist quasi ausgeschlossen. Und bei Google werden diese Strings auch nicht auffindbar sein.

    Dann wären, wie du schon sagst, Daten die durch einen Login mit Passwort geschützt sind, ebenfalls öffentlich zugänglich.


    Das zweite ist, die Daten werden auch nicht ohne Zustimmung gespeichert und verarbeitet. Durch den Klick auf "save my Data and ..." Stimmt man ja der Speicherung und Verarbeitung zu. Sollte man das nicht wollen, kann man die Webseite ja auch so, ohne Einschränkungen nutzen.

    Eine Erklärung was für Daten und zu welchem Zweck diese gespeichert werden, gibt es ja im Bereich Datenschutz. Desweiteren besteht auch vor dem Ablauf der 7 Tage die Möglichkeit die Daten zu löschen. Dazu reicht eine einfache Email mit der richtigen ID und die Daten werden gelöscht. :thumbup:



    Das Thema DSGVO ist einfach mühselig. Da wird man sich immer verklagen können. Geht ja auch so immer.

    Das Hauptproblem welches ich sehe, ist trotzdem immer, keine weiß was wirklich gespeichert wird. Und auf die Aussagen von google, Facebook und co kann man sich ja nicht verlassen.

  • Es scheint so als ob die Website aktuell über ipapi.de betrieben wird / zu erreichen ist. Eventuell war die im Eröffnungspost genannte Domain nur eine temporäre "Projekt"-Adresse und wurde noch nicht angepasst.

    Hallo,

    ja genau das ist der Sachverhalt.

    Ich kann leider meine Eingangspost nicht bearbeiten.

    Die andere Domain erhält demnächst aber auch wieder ein gültiges Zertifikat. Genutzt werden können dann beide.


    Das Zertifikat scheint ungültig zu sein.


    Für einfache Ermittlung der externen IP nehme ich: ipecho.net/plain

    Es gibt hunderte Alternativen.

    Genau solche Seiten habe ich dann meistens auch genutzt. Was mir aber dort schon in 90% der Fälle fehlt, ist die Möglichkeit den Standort der IP zu ermitteln und vor allem meine Daten zu speichern. Da ganze ist mir im Zusammenhang mit vpn's sehr wichtig um zu sehen ob der Standort stimmt.

    Das Arbeiten mit einer API ist darüber hinaus natürlich für Projekte auch schöner.

    Für Linux Systeme brauchst du ja so externe Seiten überhaupt nicht, Dank ifconfig etc bekommst du auch deine externe IP + noch mehr Infos.


    Das Projekt wird nun aber offiziell unter der Domain: https://ipapi.de geführt.


    Da sich das ganze auf eine gute Resonanz gestoßen ist, wird am System noch etwas gearbeitet. Mithilfe der API ist es nun möglich noch detaillierte Details zur geolocation zu finden (wobei hier zumindest das Bundesland relativ genau stimmen sollte).


    Das Design der Webseite wird sich demnächst auch noch ändern. Die API Dokumentation wird ebenfalls überarbeitet, um es hier Interessierten leichter zu machen, diese in ihr Projekt einzubinden.

    Außerdem sollte relativ zeitnah auch ipv6 unterstützt werden, allerdings bin ich dabei intern noch am testen.


    Das herausstechende Merkmale, gegenüber den anderen Seiten, wird aber die Möglichkeit bleiben seine Daten, auf Wunsch, zu speichern und später wieder abrufen zu können.

    Außerdem gibt es keine Limitierung in der Anzahl der requests. Das würde ich auch gern so lassen, sollte sich die Server Last auf einem vertretbaren Niveau halten.


    Die API im json Format ist unter https://ipapi.de/json/ erreichbar.

    Übrigens sollte demnächst die Möglichkeit geschaffen werden, die API auch mit anderen Formaten zu nutzen, geplant war dabei CSV und XML, als Ergänzung.


    Sollte es sonst noch Wünsche, Ideen, Vorschläge oder Fragen geben, immer her damit. Ich werden gern versuchen auf diese einzugehen, im Rahmen meiner Möglichkeiten.

  • Das Projekt wird nun aber offiziell unter der Domain: https://ipapi.de geführt.

    Dann solltest du noch alle alten Domain Angaben auf deiner Website durch die neue Domain austauschen (z.B. Privacy, API Documentation)


    Sollte es sonst noch Wünsche, Ideen, Vorschläge oder Fragen geben, immer her damit. Ich werden gern versuchen auf diese einzugehen, im Rahmen meiner Möglichkeiten.

    Eventuell könntest du den footer auch auf allen Unterseiten implementieren damit es einheitlich ausschaut. Zudem erachte ich das Attribute target="_self" bei internen Links als vorteilhafter (ist aber Geschmackssache..)



    [...] Genutzt werden können dann beide.

    Hier würde ich eine 301-Weiterleitung von der alten Domain auf die neue Domain empfehlen. Damit keine Verwirrung oder aber auch duplicate content aufkommt.

  • Das stimmt, das sollte ich machen. Kommt sobald ich wieder Zeit finde. :thumbup:


    Das Design der Webseite wird die nächsten Tage oder Wochen eh angepasst. Bis dahin wird sich allerdings nicht viel dran ändern.

    Ich beschränke mich zur Zeit etwa sauf die Technik und die API.

    Ein einheitlicher und übersichtlicher Look sollte dann für alle Seiten gegeben sein.


    Eine Weiterleitung wäre eine Idee, zumindest zeitweise. Da ich die Domain demnächst wieder für weitere Testzwecke verwenden werde, ist eine dauerhafte Weiterleitung nicht möglich.

    Aber sobald man die Seite aufruft, sieht man ja auch unter welchem meinen Projektnamen die Seite erreichbar ist. Augenscheinlich nutzt auch der größte Teil der Besucher bereits die neue Domain.

  • Ebenso auch eine 301-Weiterleitung von http://www.ipapi.de nach ipapi.de oder umgekehrt.

    Und bitte auch noch die HTML-Fehler korrigieren (Validator)


    Danke für die Information, an der Stelle würde sich natürlich eine Weiterleitung einrichten lassen, wenn man da so heutzutage macht. :)

    Prinzipiell können aber beide genutzt werden, da sie auf das gleiche Ziel zeigen. :thumbup:


    Die HTML Fehler werde ich aber nicht mehr korrigieren können. Bis ich damit fertig bin kommt aus der "Design" Abteilung hoffentlich schon das neue Design.

    Die Seite muss ich mir aber merken, ist natürlich so praktisch um Mal schnell den HTML Code zu checken.

  • Genau solche Seiten habe ich dann meistens auch genutzt. Was mir aber dort schon in 90% der Fälle fehlt, ist die Möglichkeit den Standort der IP zu ermitteln und vor allem meine Daten zu speichern. Da ganze ist mir im Zusammenhang mit vpn's sehr wichtig um zu sehen ob der Standort stimmt.

    Das Arbeiten mit einer API ist darüber hinaus natürlich für Projekte auch schöner.

    Für Linux Systeme brauchst du ja so externe Seiten überhaupt nicht, Dank ifconfig etc bekommst du auch deine externe IP + noch mehr Infos.

    Dabei muss ich anmerken, dass nur, weil die IP stimmt, das noch lange nicht bedeutet, dass man sicher ist.


    Gerade Browser können auf verschiedenste Arten leaken oder über die IP hinweg getrackt werden, weswegen man das eigentlich auch mit dem Browser überprüfen muss.

    Siehe zB ipleak.net.

    Für DNS gibt es zB www.dnsleaktest.com

    Browser tracking: panopticlick.eff.org oder amiunique.org


    Selbiges muss man auch für alle anderen Anwendungen prüfen, wenn man nicht identifiziert/verfolgt werden möchte.


    Die Frage ist auch, warum du überhaupt überprüfen musst, ob der Standort stimmt. Wenn dein System richtig eingerichtet ist, dann hat es auch nur Internetzugriff, wenn die VPN-Verbindung steht und dann auch nur über den Tunnel.
    Wenn der VPN-Provider dir dann Konfigurationen für Länder A, B, C gibt und du nach dem Verbinden verwundert feststellen msust, dass du stattdessen in den Ländern X, Y und Z gelandet bist, dann würde ich sofort den Provider wechseln.


    Denn das ist entweder grobe Inkompetenz oder aber der Provider wurde kompromittiert.

  • Einen leak Test sollte man natürlich machen. Aber eben nicht immer. Die dauern ja auch länger als eine einfache Standortanfrage.


    Mein System ist richtig eingerichtet. ;)

    Der VPN ist immer an, wenn ich ihn brauche. Man sollte niemals permanent alle seine Daten durch einen fremden VPN schicken. Das allein ist ein riesiges Sicherheitsrisiko, Mal abgesehen von den 10% Geschwindigkeitsverlust.


    Ich muss nicht überprüfen ob der Standort stimmt, es geht mir mehr darum schnell prüfen zu können ob der VPN an ist. Systeme wie mein FireTV sindeider echt langsam, mit der Zeit. Außerdem vertraue ich nicht so auf die interne Technik. Da ist es mir ganz lieb einfach schnell meine Seite aufzurufen und nur zu sehen, OK Standort ist nicht mehr Deutschland. Damit reicht mir das dann.


    Der Hauptgrund für die Seite war ja, dass ich einfach meine Daten speichern kann um so dann anderen mitzuteilen welches System ich nutze. Also Standardbeispiel, Oma weiß nicht welche Android Version sie hat. Dann brauche ich nur die ID und sehe selbst nach.

    Der Standort ist nur für mich dazugekommen, aus dem oben genannten Grund. ;)

    Da ich zur Zeit mehr oder weniger Zeit haben, ist die API und die Funktionen etwas zur Spielwiese für mich geworden. Und da es offensichtlich auf Recht positives Feedback gestoßen ist, habe ich es halt Public gemacht.


    Jeder weiß ja selbst am besten was er braucht. Wenn du lieber einen leaktest machst, ist das sicher auch sicherer.

    ipapi.de ist aber auf meine Anforderungen zugeschnitten, ist ja auch meine Seite.

    Ich wollte es nur anderen, die ähnliche Ansprüche haben, den Zugang nicht verweigern. Vielleicht gibt es ja noch mehr Leute die Kunden haben, welche nicht so begabt sind in Sachen IT.


    Wenn man ehrlich ist, gibt es auch genug Location API's, aber eben meist mit Einschränkungen. Durch meinen eigenen Service, habe ich natürlich keine Einschränkungen. :D

  • Für Linux Systeme brauchst du ja so externe Seiten überhaupt nicht, Dank ifconfig etc bekommst du auch deine externe IP + noch mehr Infos.

    Wie soll denn ifconig (veraltet übrigens) feststellen, welche IP Adresse die zweite Netzwerkkarte des nächsten Hops hat?

  • [...]

    Da vergeht einem ja direkt die Lust an der Sache. Früher war das nicht so aufwendig, da bestand immer nur die Frage "Impressum, ja oder nein?". Der Datenschutzwahn nimmt langsam überhand in der EU... Und an vielen Stellen kann man dem ganzen trotzdem nicht wiedersprechen.

    [..]


    Wenn du mit früher vor dem Internet meinst, dann ja. Ansonsten definitiv nein. Das deutsche Datenschutzschutzgesetz war schon immer streng. Die Neuerung beim der GDPR ist nur, dass es EU-weit gilt und dass man auch einfach und direkt rechtliche Schritte gegen Verstöße unternehmen kann. Technisch für dich als Betreiber hat sich eigentlich nichts geändert.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Wie soll denn ifconig (veraltet übrigens) feststellen, welche IP Adresse die zweite Netzwerkkarte des nächsten Hops hat?

    Jop, ifconfig ist oldschool ;)

    Keine Ahnung, verrate du es mir.

    So Probleme hatte ich noch nicht. ^^


    Wenn du mit früher vor dem Internet meinst, dann ja. Ansonsten definitiv nein. Das deutsche Datenschutzschutzgesetz war schon immer streng. Die Neuerung beim der GDPR ist nur, dass es EU-weit gilt und dass man auch einfach und direkt rechtliche Schritte gegen Verstöße unternehmen kann. Technisch für dich als Betreiber hat sich eigentlich nichts geändert.

    Die deutschen Datenschutzgesetze sind in den letzten Jahren deutlich strenger geworden, für mein Empfinden.

    Kann mich nicht daran erinnern vor 2010 mal eine Unterschrift leisten zu müssen in meiner KFZ Werkstatt, dass diese meine Personenbezogenen Daten speichern dürfen. Wie dem auch sein, das Thema an sich ist einfach nur mühselig und ich möchte hier ungern eine Grundsatzdiskussion lostreten.

    Das banale Halbwissen, welches ich auf Grund von Desinteresse am Thema Datenschutz habe, würde hier den Rahmen sprengen. :pinch:

  • Keine Ahnung, verrate du es mir.

    Für Linux Systeme brauchst du ja so externe Seiten überhaupt nicht, Dank ifconfig etc bekommst du auch deine externe IP + noch mehr Infos.

    Wieso soll ich dir das verraten? Diese Behauptung stellst du in die Welt.

    Wenn ich bei meinem Linux System mit ifconfig die Interfaces checke, leuchtet mich da eine RFC1918 Adresse an.


    Natürlich braucht man für Linux Systeme solche externen Seiten. Ich kann auch einen STUN Server fragen.