Beiträge von Andi K

Zitat von geekmonkey

War nicht unbedingt auf das Thread hier bezogen, sondern die ganze Panik um das Thema ??

Na dann ist gut.

Zitat von geekmonkey

Edit: oder was ist, wenn jemand das WordPress Backend hackt und die Seite nun nutzt um Warez anzubieten. Wer haftet in dem Fall? Irgen ne 3stellige IP aus Ostfriesland?

Soweit ich weiß, grundsätzlich erst einmal der Seitenbetreiber bzw dessen Versicherung, sofern er sein WP unzureichend abgesichert hat. Der kann dann versuchen die 3stellige IP haftbar zu machen. Oder eine 4stellige IP eines TOR-Knotens in Timbuktu und hoffen dass ihn nicht noch Irgendwer ein Strickt daraus dreht weil er sie noch hat.

Aber über sowas muss ich mir keine Gedanken machen, bin weder Jurist noch hab ich eine Pflicht zur Vorastdatenspeicherung. Von daher mach ich mir eben darüber Gedanken, was ich in den DSB behaupte und wie ich verhindere gehackt zu werden.

Na das klingt doch gut.

Zitat von geekmonkey

Ich wage einfach mal zu bezweifeln, dass viele der Menschen, die jetzt nach der DSGVO aufschreien, ein ausreichendes Verständnis des Internets haben.
...
Um in Deutschland ein Kraftfahrzeug bewegen zu dürfen benötigt man einen Führerschein, ... aber ins Internet kann jeder xxXXxx, ...

Entschuldigung, aber Sie haben schon verstanden dass es hier Niemand gefordert hat sämtliche IPs zu anonymisieren?

Zitat von geekmonkey

an muss ganz klar unterscheiden, um welche Logs es sich handelt. Und aus welchem Grund diese gespeichert werden.

Ganz, genau. Und hier geht es um die Logs die vom 08/15-Hosting-Kunden nur zur Generierung der AWStats genutzt werden.

Es geht also nicht um die Logs die zur Absicherung eines Servers genutzt werden. Das Problem ist nur, dass von Ihnen und NetCup gar nicht differenziert wird. "Ich brauch die IPs, also brauch die Jeder."

Zitat von VVV

Gehashte IP-Adressen wären eh schwachsinnig weil es nur eine endliche Anzahl davon gibt und man somit wunderbar Rainbow Tables davon erstellen könnte

Ja, wenn man immer noch Hashs ohne Salt / Pepper erstellt schon.

Zitat von [netcup] Felix

Welchen Unterschied macht es wenn im Kundenbereich IP-Adressen anonymisiert sind, beim Anbieter selber aber nicht?

Nun, der Unterschied liegt im eingeschränkten Zugriff auf die Daten. Meines Erachtens nach ist dies eine Forderung der DSGVo.

Sie, als Hosting-Anbieter, haben zweifelsfrei ein berechtigtes Interesse an den IP-Adressen.
Ich hingegen kann, als einfacher Betreiber größtenteils statischer Webseiten, mit den IPs im Grunde nichts anfangen; habe demnach eigentlich kein Recht dazu IPs grundsätzlich immer zu speichern/speichern zu lassen. Nur bei bedarf z.B. zur Absicherung des Backendes/Kontaktformulars, sehe ich die Speicherung als DSGVo-Konform an; geschieht dann aber nicht über die Logs. Die restlichen Daten aus den Logs brauche ich dennoch.

Von daher halte ich es für angebracht IPs standardmäßig in den Logs zu anonymisieren/pseudonymisieren ("Privacy by Design/Default") und für Ihre Pflichten gesondert zu speichern bzw. im RAM zuhalten.

Es ist dann auch keine Augenwischerei wenn man dann sagte "Mein Anbieter (der sich selbstverständlich an die DSGVo hält) muss die IP speichern und verarbeiten, ich mache dies aber nur unter sehr eingeschränkten Bedingungen und lösche schneller."

Meine private Meinung ist zwar "So lange die Daten aus den Logs nicht mit anderen Daten verknüpft werden, ist Alles OK",

halte aber die derzeitige Praxis für bedenklich.

Denn:

- IPs werden grundsätzlich als personenbeziehbares Datum eingestuft (bei IPv6 wohl auch zu Recht)

- Viele vertreten die Auffassung, IPs dürfen nur maximal 7 Tage gespeichert werden

- Netup speichert IPs standardmäßig in "meinen" Logs für 14 Tage
- die IP könnten versehentlich auch in eine Statistik übernommen und in einem (Cloud-)Backup landen

Ich würde es daher sehr Begrüßen, wenn IPs standardmäßig sofort verändert/ersetzt werden.

Zum Beispiel durch ein Hash mit einem täglich wechselnden "Pepper". Dann kann ich ruhigem Gewissens sagen "Ich kann die gespeicherten IP(-Hash)s nicht länger als 24h einer Person zuordnen."

Als Kompromiss finde ich es akzeptabel, wenn die Anonymisierung erst bei der automatischen täglichen Protokoll-Rotation stattfindet.

Mit freundlichen Grüßen

Andi

Zitat von [netcup] Felix

Guten Tag,

die Logdateien dienen auch zur Abwehr von Angriffen, z.B. DDoS. Aus diesem Grund werden wir die Logdateien nicht anonymisieren können und sie entsprechend den Möglichkeiten, welche die neue DSGVO dafür vorsieht, speichern.

Verstehe ich das richtig, die Logdateien, auf denen ich als Kunde zugriff habe, sind die selben Logs, die Sie zur Abwehr von DDoS verwenden?

Dann könnte man über die Protokoll-Rotation (Rotation bei 1 kb; eine Datei) ja praktisch den Schutz ausschalten oder?

Oder werden verschiedene Logs erstellt?

Zumindest für einen großen deutschen Hoster, der auch TV Werbung macht, scheint es kein Problem zu sein, grundsätzlich IPs in den Logdateien zu anonymiesieren.

Danke, dass Sie sich meinem Thema gewidmet haben.

Mit ihrer Vermutung könnten Sie recht haben, aber glauben heißt nicht wissen.

Erfahrungen aus dem Jahr 2013 sind nicht unbedingt noch 2018 gültig.

Immerhin werden ja 6 GB RAM von NetCup garantiert, kritisch sehe ich da mehr die CPU-usage zu der ich keine Infos finde.

Ich hab da auch leider keine Ahnung wie die im Verhältnis zu einer stärker genutzten WP-Installation und ähnlichem steht.

Das kann das wohl auch nur Netcup im Nachhinein beurteilen.

Meine eigentliche Frage, ob man grundsätzlich root-Zugriff für ein gem install braucht, ist weiterhin unbeantwortet.

Hallo!

Ist es möglich per SSH "gem install ..." auszuführen? Oder bräuchte man dafür root-Zugriff?

Mit Ruby hatte ich bisher noch nichts zu tun und versuche die Ruby on Rails App Diaspora auf meinen WH 4000 zu installieren.

Die Installation über WCP scheint eigentlich sehr einfach zu sein und kommt auch bei der Paketinstallation recht weit (+ 120 MB unter vendor/ ).

Die Installation des Pakets nio4r scheitert allerdings mit 2 Hinweisen:

1.Warning: the running version of Bundler (1.13.5) is older than the version that created the lockfile (1.16.1). We suggest you upgrade to the latest version of Bundler by running `gem install bundler`.

2. You have to install development tools first. [...]

Make sure that `gem install nio4r -v '2.1.0'` succeeds before bundling.

Nach etwas suche im web, lautet die Lösung des Problems gem install devtools .

Aber die Befehle ruby, gem und bundler sind der bash nicht bekannt. Fehlt da einfach nur eine Path Angabe? php -v funktioniert wie erwartet.

Ich glaube 1) kann man ignorieren, es wäre aber wohl noch nicht schlecht wenn ich gem install bundler ausführen könnte.

Bundler entspricht wohl dem php composer und führt lokale "gem install"s durch.

Ich hab in der gemfile mal testweise "gem 'devtools', '>= 0.1.16'" eingefügt aber das führt nur zu unlösbaren Abhängigkeiten.

Danke schonmal und ein schönes WE!