[3.2] DSGVO: Welche personenbezogenen werden wann und wo in phpBB erhoben?

[tas2580]

Man könnte den eindeutigen nicht zu erratenden Wert einfach Würfeln und das Spiel umdrehen. Also nicht Browser kommt zum Server und sagt "hier ist meine IP" sondern Server würfelt einen String und setzt dem Browser ein Cookie. Das Problem ist nur, dass sich ein Cookie leichter fälschen lässt wie eine IP Adresse. Es ist also gar nicht so schlecht die IP zur Session zu speichern, leider nicht unbedingt DSGVO konform.
Deshalb:

Code: Alles auswählen

$_SERVER['REMOTE_ADDR'] = implode(':', str_split(md5($_SERVER['HTTP_ACCEPT_LANGUAGE'] . $_SERVER['HTTP_USER_AGENT'] . $_SERVER['REMOTE_ADDR']), 4));

Gruß Tobi

[ZNC]

@tas2580,
herzlichen Dank für Deine Informationen. Woher hast Du all Dein Wissen, beruflich oder aus Interesse?

Ich bin php noch am Lernen, aber es hat mich interessiert, was Du mit dem Code meinst:

Code: Alles auswählen

$_SERVER['REMOTE_ADDR'] = 
	implode(
		':' 
		, str_split(
			md5(
				$_SERVER['HTTP_ACCEPT_LANGUAGE'] . $_SERVER['HTTP_USER_AGENT'] . $_SERVER['REMOTE_ADDR']
			)
			, 4
		)
	);

1. Du wandelst einen aus der Sprachvariable, dem Browsertyp und der Client-IP-Adresse zusammengesetzten Inhalt in einen MD5-Hash-Wert um.
2. Diesen brichst Du jeweils in Blöcke von einer Größe von 4 Zeichen auf.
3. Anschließend setzt Du diese Blöcke zu einer Zeichenkette zusammen, die durch ein ":" getrennt sind.

Wer lesen kann ist klar im Vorteil, deshalb hat sich diese Frage erübrigt: Warum wandelst Du die $_SERVER['REMOTE_ADDR'] nicht direkt in einen MD5-Hash-Wert um? Aber, jedoch nur interessehalber: Ist der Vorgang implode und str_split nicht reversibel? Könnte man dann unter der Prämisse, man hat eine Tabelle aller IPv4-MD5-Hashwerte, nicht doch an die IP-Adresse gelangen?

[tas2580]

Woher hast Du all Dein Wissen, beruflich oder aus Interesse?

Rein privates Interesse.

Wenn man den Hash nur aus $_SERVER['REMOTE_ADDR'] erstellen würde könnte man zumindest für IPv4 eine Tabelle mit 4 Milliarden Einträgen erstellen und so vom Hash auf die IP schließen. Dadurch das auch noch Sprache und Useragent verwendet werden brauchst du eine Tabelle die alle Kombinationen aus IP, Sprache und Useragent enthält. Das ist dann doch etwas viel.

Ist der Vorgang implode und str_split nicht reversibel?

Doch, implode und str_split wird nur gemacht um den MD5 Hash in das Format einer IPv6 zu bringen.

Gruß Tobi

[ZNC]

Vielen Dank

[Crizzo]

Hi,

ich glaube es wurde noch ein Cookie vergessen:
phpbb_XXXX_track

Damit können Gäste auch Themen/Foren als gelesen markieren, sofern die Funktion im ACP aktiviert wurde.

Grüße

[ZNC]

@Crizzo, derartiges habe ich zwar nicht im ACP aktiviert und deshalb auch nicht notiert. Aber es wäre für diejenigen, die es einsetzen doch interessant, zu wissen, welche Informationen im Cookie gespeichert werden? Weiß das jemand?

[Crizzo]

Also bei mir war jetzt testweise das hier drin: f%3A%288%3A2ntnme%3B7%3A2ntnn6%3B%29%3B

öh, ja.

[Scanialady]

In irgendeinem der 1200 Beiträge zur DSGVO hat das mal jemand identifiziert als

phpbb_XXXX_track = gelesen-Markierung für Gäste (falls aktiviert)

[Crizzo]

In irgendeinem der 1200 Beiträge zur DSGVO hat das mal jemand identifiziert als

phpbb_XXXX_track = gelesen-Markierung für Gäste (falls aktiviert)

Ich weiß. So haben wir es auch bei uns deklariert: ucp.php?mode=privacy

[mikephp]

Hi all,


ich wünsche mir, dass im nächsten Release die Anforderungen der Datenschutz Grundverordnung umgesetzt werden und dass dieses Release bald kommt.

Solange habe ich mein Forum mit 3.2. vorübergehend stillgelegt (einfach ein leeres Verzeichnis "install" anlegen, dann erscheint die Meldung, dass das Forum vorübergehend nicht verfügbar ist).


Bei heise.de kann man lesen, dass bereits die ersten Abmahnwellen angelaufen sein sollen. Ich finde es schlimm, dass ein Gesetz, welches etwas schützen soll, bereits zu solchen Geldmachereien führt. Und noch schlimmer, wenn dies nur wegen formalen Mängeln der Fall wäre.


ciao,
Mike