[RC] Privacy protection (DSGVO)

In diesem Forum können Extension-Autoren ihre Extensions vorstellen, die sich noch im Entwicklungsstatus befinden. Der Einbau in Foren im produktiven Betrieb wird nicht empfohlen.
uwe.ha
Mitglied
Beiträge: 825
Registriert: 18.05.2001 02:00

Re: [BETA] Privacy protection (DSGVO)

Beitragvon uwe.ha » 23.05.2018 15:48

Hallo zusammen,

da ich die Ext nun im produktiven Betrieb installieren will, hätte ich ein paar konkrete Fragen zu den Einstellungen der Ext:

Zu "Einstellungen":
https://github.com/tas2580/privacyprote ... stellungen

URL für die Ablehnung
Hier kann eine beliebige URL angegeben werden die aufgerufen wird wenn ein Benutzer die Datenschutzerklärung ablehnt. Wenn das Feld leer ist wird kein Button zum ablehnen angezeigt. Die Variable {SID} wird durch die Session-ID des Benutzers ersetzt, so kannst du den Benutzer mit https://example.com/ucp.php?mode=logout&sid={SID} abmelden.
"Hier KANN eine ..." und "Wenn das Feld leer ist ..."
Das bedeutet doch, dass wenn ich KEINE URL angebe, der User keine Möglichkeit hat abzulehnen, richtig?
Da ich ihm aber die Möglichkeit zum Ablehnen geben MUSS (?), MUSS ich auch eine URL angeben, richtig?
Welchen Sinn hätte es, KEINE URL anzugeben?

In Gruppe verschieben
Hier KANN eine Gruppe ausgewählt werden ...
Das verstehe ich noch nicht so ganz ...
Ich würde eine neue Gruppe "Registrierte Benutzer (DSE noch nicht akzeptiert)" anlegen.
Was soll ich als "Gruppentyp" auswählen?
Die Berechtigungen würde ich von "Gästen" kopieren, denn wer (noch) nicht akzeptiert (hat), kann das Forum auch nur mit Gastrechten nutzen, denn mehr würde ja wieder das Akzeptieren voraussetzen.
Oder würdet ihr den Usern, die noch nicht akzeptiert haben, mehr Rechte als einem Gast geben? ... bei zb Facebook kann ich ja auch nur akzeptieren ... oder ist raus.
Diese neue Gruppe würde ich dann auch unter "In Gruppe verschieben" auswählen.
Soweit ok?

Benutzer werden nach dem aktualisieren der Datenschutzerklärung bei ihrem nächsten Besuch in die ausgewählte Gruppe verschoben

Wenn ich jetzt eine "URL zu meiner DSE" eingebe, und in ACP > Erweiterungen > Privacy protection > DSE auf "Datenschutzerklärung wurde aktualisiert" klicke, werden Registrierte Benutzer (RegBen) - aber erst bei ihrem nächsten Besuch - in die neue Gruppe verschoben ... aber sobald sie die neue DSE akzeptiert haben, wieder zurück in die alte Gruppe RegBen, richtig?
Das bedeutet aber auch, dass in der Gruppe RegBen User drin sind, die entweder noch keinen Wiederbesuch hatten, oder aber bereits akzeptiert haben, richtig?

Zu IP-ADRESSEN:
Automatisch anonymisieren
Hier kann eine Zeit eingestellt werden nach der IP Adressen automatisch anonymisiert werden.
Kann ich auch festlegen WIE die IP-Adressen nach einer gewissen Zeit anonymisiert werden? ... also ob auf 127.0.0.1 oder mit Hash?

DANKE!
Uwe

Benutzeravatar
tas2580
Ehemaliger
Beiträge: 3009
Registriert: 01.07.2004 05:42
Wohnort: /home/tas2580
Kontaktdaten:

Re: [BETA] Privacy protection (DSGVO)

Beitragvon tas2580 » 23.05.2018 16:27

uwe.ha hat geschrieben:da ich die Ext nun im produktiven Betrieb installieren will
Schlechte Idee solange nicht RC.

uwe.ha hat geschrieben:Welchen Sinn hätte es, KEINE URL anzugeben?
Dann kann man eben nicht ablehnen. Ob man das anbieten muss oder nicht kann dir sicher dein Anwalt sagen.

uwe.ha hat geschrieben:Die Berechtigungen würde ich von "Gästen" kopieren
Solltest du nicht, du solltest eine Gruppe anlegen und für bestimmte Bereiche "Nie" als Recht vergeben. Wenn du nur Gastrechte kopierst bleiben die normalen Rechte erhalten.

uwe.ha hat geschrieben:aber sobald sie die neue DSE akzeptiert haben, wieder zurück in die alte Gruppe RegBen, richtig?
Die Benutzer werden aus keiner ihrer Gruppen entfernt. Sie werden nur beim nächsten Besuch in die Gruppe die bei den Einstellungen angegeben wurde verschoben und wenn sie akzeptieren daraus wieder entfernt.

uwe.ha hat geschrieben:Kann ich auch festlegen WIE die IP-Adressen nach einer gewissen Zeit anonymisiert werden?
Nein, die IPs werden dabei immer auf 127.0.0.1 gesetzt.

Ich werde am Wochenende nochmal ein letztes Update machen und alle auf Github gemeldeten Bugs fixen. Dann bekommt die Extension RC Status und wird auf phpbb.com eingereicht. Wer also noch Bugs findet oder Funktionen braucht sollte das bis spätestens Freitag Abend bei Github melden damit man die Extension dann zumindest noch diesen Monat im produktiven Betrieb einsetzen kann.

Gruß Tobi
Heute ist ein guter Tag um dein Forum zu testen.
Ehemaliger Benutzername: [BTK] Tobi

uwe.ha
Mitglied
Beiträge: 825
Registriert: 18.05.2001 02:00

Re: [BETA] Privacy protection (DSGVO)

Beitragvon uwe.ha » 23.05.2018 16:50

Hallo Tobi,
tas2580 hat geschrieben:
uwe.ha hat geschrieben:da ich die Ext nun im produktiven Betrieb installieren will
Schlechte Idee solange nicht RC.
hmmm ... aber am 25. MUSS ich was haben ... oder @all: Wie machen Ihr das?

tas2580 hat geschrieben:
uwe.ha hat geschrieben:Welchen Sinn hätte es, KEINE URL anzugeben?
Dann kann man eben nicht ablehnen. Ob man das anbieten muss oder nicht kann dir sicher dein Anwalt sagen.
Hmmm ... NICHt akzeptieren ist ja gleichbedeutend mit ablehnen. Wenn also jemand NICHT akzeptiert, bleibt er in der Gruppe mit eingeschrnkten (Gast)-Rechten. Sollte auf's gleiche hinauslaufen.

tas2580 hat geschrieben:
uwe.ha hat geschrieben:Die Berechtigungen würde ich von "Gästen" kopieren
Solltest du nicht, du solltest eine Gruppe anlegen und für bestimmte Bereiche "Nie" als Recht vergeben. Wenn du nur Gastrechte kopierst bleiben die normalen Rechte erhalten.
Wenn jemand Fremdes meine Seite besucht, kann er (als Gast ohne Schreibrechte) ganz normal Lesen. Warum sollte ein RegBen, der nicht akzeptiert nicht gaunauso viel/wenig dürfen, wie ein Gast?

tas2580 hat geschrieben:
uwe.ha hat geschrieben:aber sobald sie die neue DSE akzeptiert haben, wieder zurück in die alte Gruppe RegBen, richtig?
Die Benutzer werden aus keiner ihrer Gruppen entfernt. Sie werden nur beim nächsten Besuch in die Gruppe die bei den Einstellungen angegeben wurde verschoben und wenn sie akzeptieren daraus wieder entfernt.
Ja, ein RegBen besucht nach Aktualisierung der DSE das Forum. DANN wird er aus der alten Gruppe "RegBen" in die neue Gruppe "RegBen (DSE noch nicht akzeptiert)" verschoben. Wenn er dann sofort die DSE akzeptiert, wird er auch sofort wieder in die alte Gruppe "RegBen" zurück verschoben, richtig?

tas2580 hat geschrieben:
uwe.ha hat geschrieben:Kann ich auch festlegen WIE die IP-Adressen nach einer gewissen Zeit anonymisiert werden?
Nein, die IPs werden dabei immer auf 127.0.0.1 gesetzt.
ok ... könntest/willst Du hier noch die Wahl einbauen, ob nach x-Zeit mit 127.0.0.1 oder Hash anonymisiert wird?
Ich habe etwas bammel davon direkt alls der Hash zu anonymisieren Nicht dass wir in 2, 3 Monaten merken, dass das keine gute Lösung war, und dann kann ich es nicht mehr rückgängig machen :-?

DANKE Tobi!
Zuletzt geändert von uwe.ha am 23.05.2018 18:25, insgesamt 1-mal geändert.
Uwe

Benutzeravatar
Crizzo
Administrator
Administrator
Beiträge: 9730
Registriert: 19.05.2005 21:45
Kontaktdaten:

Re: [BETA] Privacy protection (DSGVO)

Beitragvon Crizzo » 23.05.2018 18:15

Ein hash ist ja nicht unbedingt anonym, man muss sich nur eine Datenbank machen und alle 256^4 Varianten darin ablegen und schon kann man rückwärts suchen. Ich denke daher einen einfachen md5 oder sha1 etc. kann man da nicht nur drüber laufen lassen. Da ist mir eine 127.0.0.1 schon lieber.
phpBB Translations & International Support Teams Manager

Knupps
Mitglied
Beiträge: 2
Registriert: 23.05.2018 18:25

Re: [BETA] Privacy protection (DSGVO)

Beitragvon Knupps » 23.05.2018 18:33

Tausend Dank für diese wichtige Extension!

Problemchen:

1. Ich wähle Hash-Anonymisierung für IP Adressen und klicke auf "Run now" (Screenshot: https://www.screencast.com/t/QWPMcp8M0qLk).

Leider werden die IP Adressen zum Beispiel in "user_ip" der Tabelle "MyCustomPrefix_users" oder "poster_ip" in "MyCustomPrefix_posts" nicht gehashed. Sie bleiben im Klartext stehen.

2. Schön wären verschiedene Datenschutzerklärungs-Links je Boardsprache.


Ein Tipp (falls Ihr das noch nicht macht): Piwik hasht die IP Adresse nicht nur, sondern schneidet vorher noch die letzten beiden Oktette weg.

Benutzeravatar
tas2580
Ehemaliger
Beiträge: 3009
Registriert: 01.07.2004 05:42
Wohnort: /home/tas2580
Kontaktdaten:

Re: [BETA] Privacy protection (DSGVO)

Beitragvon tas2580 » 23.05.2018 20:28

uwe.ha hat geschrieben:hmmm ... aber am 25. MUSS ich was haben ... oder @all: Wie machen Ihr das?
Einfach ignorieren bis die Ext fertig ist. Das ist immer noch besser wie mit einer unfertigen Ext das Forum abzuschießen.

uwe.ha hat geschrieben:Ja, ein RegBen besucht nach Aktualisierung der DSE das Forum. DANN wird er aus der alten Gruppe "RegBen" in die neue Gruppe "RegBen (DSE noch nicht akzeptiert)" verschoben. Wenn er dann sofort die DSE akzeptiert, wird er auch sofort wieder in die alte Gruppe "RegBen" zurück verschoben, richtig?
Nein, er wird nur in die Gruppe "RegBen (DSE noch nicht akzeptiert)" geschoben, bleibt aber weiterhin in "RegBen" daher müssen die Rechte von "RegBen (DSE noch nicht akzeptiert)" über "Nie" eingeschränkt werden.
Ich beschreibe das sobald ich dazu komme im Wiki nochmal ausführlich.

uwe.ha hat geschrieben:ok ... könntest/willst Du hier noch die Wahl einbauen, ob nach x-Zeit mit 127.0.0.1 oder Hash anonymisiert wird?
Könnte man machen, aber packt dein Server das ohne bei der hälfte abzuschmieren?

uwe.ha hat geschrieben:Ich habe etwas bammel davon direkt alls der Hash zu anonymisieren Nicht dass wir in 2, 3 Monaten merken, dass das keine gute Lösung war, und dann kann ich es nicht mehr rückgängig machen
Mach immer mal wieder ein Backup deiner DB ;)

Crizzo hat geschrieben:Ein hash ist ja nicht unbedingt anonym, man muss sich nur eine Datenbank machen und alle 256^4 Varianten darin ablegen und schon kann man rückwärts suchen.
Der Hash der hier verwendet wird ist anonym da nicht nur die IP sondern auch Useragent und Browsersprache verwendet werden. Eine DB mit allen möglichen Kombinationen ist dann doch etwas groß.

Knupps hat geschrieben:Ich wähle Hash-Anonymisierung für IP Adressen und klicke auf "Run now"
Du hast oben bei der Zeit "disable" ausgewählt, wahrscheinlich liet es daran, ich werde das nochmal prüfen. https://github.com/tas2580/privacyprotection/issues/59

Gruß Tobi
Heute ist ein guter Tag um dein Forum zu testen.
Ehemaliger Benutzername: [BTK] Tobi

uwe.ha
Mitglied
Beiträge: 825
Registriert: 18.05.2001 02:00

Re: [BETA] Privacy protection (DSGVO)

Beitragvon uwe.ha » 23.05.2018 22:02

tas2580 hat geschrieben:Nein, er wird nur in die Gruppe "RegBen (DSE noch nicht akzeptiert)" geschoben, bleibt aber weiterhin in "RegBen" daher müssen die Rechte von "RegBen (DSE noch nicht akzeptiert)" über "Nie" eingeschränkt werden.
Ich beschreibe das sobald ich dazu komme im Wiki nochmal ausführlich.
Ah der User ist also in 2 Gruppen gleichzeitig ... wusste nicht, dass das geht ;-)
Dann könnte ich - um es einfach zu machen - beim Erstellen der neuen Gruppe erstmal Gastrechte geben, und dann dieser neuen Gruppe unter "Berechtigungen > Gruppenrechte > Erweiterte Berechtigungen" überall dort, wo "Nein" steht, auf "Nie" setzen. Dann sollte es den Gastrechten gleich kommen, richtig?
Und wechen Gruppentyp soll ich auswählen? Offen, Moderiert, Geschlossen, Versteckt?

tas2580 hat geschrieben:Könnte man machen, aber packt dein Server das ohne bei der hälfte abzuschmieren?
Meiner - bei all-inkl - wohl schon, aber es muss ja für alle passen. Aber ALLE IPs durch Hash anonymisieren ist doch sicherlich "belastender" für einen Server, als jeden Tag nur die durch Hash zu anonymisieren, die älter als x Tage sind ... fragt ein Ahnungsloser ;-)
Uwe

Benutzeravatar
tas2580
Ehemaliger
Beiträge: 3009
Registriert: 01.07.2004 05:42
Wohnort: /home/tas2580
Kontaktdaten:

Re: [BETA] Privacy protection (DSGVO)

Beitragvon tas2580 » 23.05.2018 22:41

uwe.ha hat geschrieben:Und wechen Gruppentyp soll ich auswählen?
Ich würde "Versteckt" nehmen.

uwe.ha hat geschrieben:Aber ALLE IPs durch Hash anonymisieren ist doch sicherlich "belastender" für einen Server, als jeden Tag nur die durch Hash zu anonymisieren, die älter als x Tage sind
Nein.

Alle IPs anonymisieren = Überschreibe zur Laufzeit die Variable $_SERVER['REMOTE_ADDR'] mit dem Hash, so wird immer nur der Hash gespeichert.
Nach Zeit Anonymisieren = Hole alle Einträge seit X aus Tabelle, überschreibe den Wert mit Hash, speichere den Hash in der Tabelle. Das muss für jeden Eintrag und jede Tabelle wiederholt werden. Da kommen ruck zuck mehrere tausend SQL Querys zusammen, das packt ein normaler Webspace nicht. Außerdem braucht mein Hash nicht nur die IP sondern auch Useragent und Browsersprache.

Gruß Tobi
Heute ist ein guter Tag um dein Forum zu testen.
Ehemaliger Benutzername: [BTK] Tobi

uwe.ha
Mitglied
Beiträge: 825
Registriert: 18.05.2001 02:00

Re: [BETA] Privacy protection (DSGVO)

Beitragvon uwe.ha » 23.05.2018 23:07

Danke für die Erklärung mit der Serverlast.

tas2580 hat geschrieben:
uwe.ha hat geschrieben:Welchen Sinn hätte es, KEINE URL anzugeben?
Dann kann man eben nicht ablehnen. Ob man das anbieten muss oder nicht kann dir sicher dein Anwalt sagen.
Ich bekam gerade von chefkoch die Bitte, beim nächsten einloggen die neue DSE zu akzeptieren.
Da bekommt man dann nach dem Login die DSE gezeigt und die Buttons "Akzentieren" bzw. "Ablehnen". Bei "Ablehnen" wird man dann wieder ausgeloggt.
Was ich damit sagen will: Eine "URL für die Ablehnung" (wie https://example.com/ucp.php?mode=logout&sid={SID} ) würde ich schon machen/empfehlen, damit der User 1. eine Wahl hat, und 2. es weiter geht ... denn ... was ist wenn es keinen "Ablehnen"-Button gibt? Wie geht es dann für den User weiter, wenn er ablehnen will? ... muss er dann den Browser schließen?
Uwe

Benutzeravatar
couchpilot
Mitglied
Beiträge: 119
Registriert: 11.02.2017 18:11

Re: [BETA] Privacy protection (DSGVO)

Beitragvon couchpilot » 23.05.2018 23:25

tas2580 hat geschrieben:Ich werde am Wochenende nochmal ein letztes Update machen und alle auf Github gemeldeten Bugs fixen. Dann bekommt die Extension RC Status und wird auf phpbb.com eingereicht. Wer also noch Bugs findet oder Funktionen braucht sollte das bis spätestens Freitag Abend bei Github melden damit man die Extension dann zumindest noch diesen Monat im produktiven Betrieb einsetzen kann.
Gruß Tobi


Ich hab die Ext. ja ausgiebig getestet und war schon so mutig sie im live Forum einzusetzen. Da bin ich sicher nicht der Einzigste, auch wenns nicht richtig ist. Wenns die RC Version gibt, muß dann voll neu installiert werden, also muß man die Arbeitsdaten dann auch löschen ?


Zurück zu „Extensions in Entwicklung“