Kritik wegen IP-Speicherung

Sebijk

B1G-Software-Kunde
#1
Seit b1gMail 7.1 rausgekommen ist, werden nun auch die IP-Adressen der versendeten Nachrichten mitgeloggt. Es geht aber nach meine Meinung aber viel zu weit mit IP-Logging, auch wenn man nur die EU-Richtlinien umsetzen möchte. Daher fordere ich in den nächsten Versionen eine Möglichkeit, das IP-Logging komplett oder wahlweise deaktivieren zu können. Nicht jeder Anbieter braucht das (in Nicht-EU-Ausland) oder will das unbedingt umsetzen.
 

Sebijk

B1G-Software-Kunde
#3
Sicherlich kann es manuell in den php-Dateien ändern. Ich verstehe es aber dennoch nicht, warum B1G das IP Logging ausweitet, daher wünsche ich mir dort Einstellmöglichkeiten. Das sollte doch nicht so schwierig sein, es umzusetzen.
 

informant

B1G-Software-Kunde
#4
weil man dadurch mehr kontrolle hat und mehr nachweise bringen kann, falls das system mal missbraucht werden sollte. ist schon ok so wie es ist, denn die mehrzahlt wünscht es so ;)
 

michach

B1G-Software-Kunde
#5
finde ja lustig mit der aussage "zu viel kontrolle" :D
du kannst sehen mit welcher ip adresse sich der user bei dir einloggt, wenn er kurz danach eine e-mail verschickt, was meinste mit welcher ip adresse er das tut :p
 

Sebijk

B1G-Software-Kunde
#6
Allgemein wünsche ich weniger IP-Logging. Die Vorratsdatenspeicherung verlangt die IP-Speicherung folgender Sachen:

Anbieter von Diensten der elektronischen Post (E-Mail) speichern

1. bei Versendung einer Nachricht die Kennung des elektronischen Postfachs und die Internetprotokoll-Adresse des Absenders sowie die Kennung des elektronischen Postfachs jedes Empfängers der Nachricht,
2. bei Eingang einer Nachricht in einem elektronischen Postfach die Kennung des elektronischen Postfachs des Absenders und des Empfängers der Nachricht sowie die Internetprotokoll-Adresse der absendenden Telekommunikationsanlage,
3. bei Zugriff auf das elektronische Postfach dessen Kennung und die Internetprotokoll-Adresse des Abrufenden,
4. die Zeitpunkte der in den Nummern 1 bis 3 genannten Nutzungen des Dienstes nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone.
Alles andere wäre somit unnötig und die umfangreiche IP-Logging von b1gMail könnte in Deutschland sogar gegen die Datenschutzgesetze verstoßen, siehe auch http://bundesrecht.juris.de/tmg/__15.html.

Auch ein guter Artikel: http://www.wirspeichernnicht.de/index.php?option=com_content&task=view&id=4&Itemid=21
 

informant

B1G-Software-Kunde
#7
nur mal so am rande, der gesetzensauszug wird derzeit neu verfasst, von daher kann man sowieso nichts darauf geben ;)

von mir aus kannst du ja als verbesserungsvorschlag bringen, dass man das logging für x, y, und z manuell anwählen kann, was jedoch nie so doll wäre.

jedem so wie er es braucht und lieber zuviel als zuwenig.


ps: die gespeicherten daten sind vertraulich zu behandeln, somit wird das, was du im link kopiert hast eh nur eintreten, wenn du nicht vertraulich damit umgehst oder daten weitergibst, ohne das der user dies zustimmt ;)

zusammengefasst ist meinerseits also zu sagen, lass erst mal so wies ist und warte ab, bis das gesetz endgültig vertig ist :]
 

Sebijk

B1G-Software-Kunde
#8
ps: die gespeicherten daten sind vertraulich zu behandeln, somit wird das, was du im link kopiert hast eh nur eintreten, wenn du nicht vertraulich damit umgehst oder daten weitergibst, ohne das der user dies zustimmt ;)

zusammengefasst ist meinerseits also zu sagen, lass erst mal so wies ist und warte ab, bis das gesetz endgültig vertig ist :]
Benutzer müssen informiert werden, dass ihre IP-Adresse gespeichert werden, wenn man unbedingt IP-Logging haben möchte. Jedoch weißt b1gMail darauf zuwenig hin, nur bei der Registrierung steht es, dass ihre IP-Adresse zur Betrugsprävention gespeichert wird, was aber nicht aussagekräftig ist. Hier fehlt z.B. noch, dass die IP-Adresse bei jedem Login und beim Versenden mitgeloggt werden, was in der Standard-AGB in der Regel nicht steht.

Natürlich sind Daten vertraulich zu behandeln, aber was nützt mir eine IP-Adresse? Eher wenig, da die meisten Benutzer, die wirklich Schaden hinzufügen möchten, auf ausländische Anonymisierungsdienste ausweichen. Und Benutzer, die falsche Daten eingeben? Naja, dazu habe ich nicht die Zeit, jedem Benutzer aufzuspüren und jedem wegen AGB-Verstoß zu verklagen.

Außerdem ist Strafverfolgung nicht die Aufgabe eines Webmasters. Der Webmaster kann keinerlei personenbezug herstellen mit einer IP-Adresse, es sei denn es handelt sich um eine statische IP-Adresse. Wenn IP-Adressen in Serverlogs gespeichert werden und diese vielleicht für 7 Tage aufbewahrt werden, reicht das für eine Strafverfolgung vollkommen aus.
 

informant

B1G-Software-Kunde
#9
nur mal zur korrekten rechtssprechung:
du schreibst
Benutzer müssen informiert werden, dass ihre IP-Adresse gespeichert werden, wenn man unbedingt IP-Logging haben möchte. Jedoch weißt b1gMail darauf zuwenig hin, nur bei der Registrierung steht es, dass ihre IP-Adresse zur Betrugsprävention gespeichert wird, was aber nicht aussagekräftig ist. Hier fehlt z.B. noch, dass die IP-Adresse bei jedem Login und beim Versenden mitgeloggt werden, was in der Standard-AGB in der Regel nicht steht.
agb bedeutet allgemeine geschäfts bedingungen wie dir bekannt sein dürfte, dies bedeutet, dass dein gewerbe/dienst oder was auch immer von dir korrekte agb´s bekommen muss oder du eine entsprechende rechtsperson, wenn du es nicht selber generieren kannst, diese erstellen muss. dies wird dir bereits bei der gewerbeantragstellung o.ä. mitgeteilt. keine standard agb´s treffen auf jeden dienst/gewerbe zu und somit werden die agb´s im standardsystem auf minimal gehalten. die verpflichtung liegt hier bei dem betreiber lt. deutschem gesetz des datenschutzen und der rechtsprechung ;)

b1g stellt lediglich die software zur verfügung, welche du käuflich erworben hast und was du dann damit machst, liegt ganz bei dir.

ich denke das thema brauchen wir nicht weiter auszudehnen, sonst sitzen wir noch in 10 jahren dran.


mfg :]
 

Sebijk

B1G-Software-Kunde
#10
schon klar, dass jede Person/Firma die AGB selber definiert. Nur weil B1G eine Softwarelösung anbietet, heißt es nicht, dass B1G aus dem Schneider ist, die bieten ja schließlich IP-Logging an. Und nur weil die Vorratsdatenspeicherung zusätzlich IP-Logging bei E-Mail senden und empfangen umsetzen muss, heißt es nicht, dass andere Länder es auch machen müssen und B1G meint, IP-Logging nur durch umständlichen PHP-Dateiänderungen zu deaktivieren. Datenschutz sollte eben nicht an der letzten Stelle stehen und ich denke, dass es für Nutzer irgendwann ein großes Thema sein wird.
 

postmaster

B1G-Software-Kunde
#11
moin moin,

mim will ich mich mal mit reinhängen. ich finde es gut so wie es jetzt ist. wenn das ip-logging nicht gewesen wäre - hätte ich manchmal keine handhabe gehabt. in der version 7.0.0 war es so das man halt nur gesehen hat mit welcher ip sich der kunde eingeloggt hat. nun sieht man auch von welcher ip er gesendet hat.

von daher finde ich es so völlig ok.

LG

Steffen
 

patrick

Staff member
B1G-Software-Kunde
#12
Dein Webserver loggt auch alle IPs mit standardmäßig, ohne dass der Besucher der Webserver darüber explizit informiert wird. Es dürfte aber jedem Surfer klar sein, dass er Spuren hinterlässt.

Ich bin persönlich auch gegen zu extreme Speicherung, sehe hier aber kein Problem, da die IP i.d.R. schon vom Webserver in den jeweiligen Logs gespeichert wird.
 

Sebijk

B1G-Software-Kunde
#13
Dein Webserver loggt auch alle IPs mit standardmäßig, ohne dass der Besucher der Webserver darüber explizit informiert wird. Es dürfte aber jedem Surfer klar sein, dass er Spuren hinterlässt.
Was aber mit dem Apache Server leicht mit dem Modul mod_removeip entfernt werden kann und das ohne Codeänderungen. Bei b1gMail ist es eben nicht der Fall.

Und solange die Gesetzeslage nicht ganz klar ist, sollte es eben auch eine Möglichkeit geben, das IP-Logging ausschalten zu können.

moin moin,

mim will ich mich mal mit reinhängen. ich finde es gut so wie es jetzt ist. wenn das ip-logging nicht gewesen wäre - hätte ich manchmal keine handhabe gehabt. in der version 7.0.0 war es so das man halt nur gesehen hat mit welcher ip sich der kunde eingeloggt hat. nun sieht man auch von welcher ip er gesendet hat.

von daher finde ich es so völlig ok.
Und was hat man davon? Nichts als unnötiger Müll, der natürlich auch Speicherplatz frisst. Natürlich werden die meisten jetzt sagen, dass deren Speicherplatz groß geng ist. Nur wenn ich mich einlogge und E-Mails versende, brauche ich es nicht doppelt, da es ja eh die gleiche IP ist.
 
Last edited:

postmaster

B1G-Software-Kunde
#16
Und was hat man davon? Nichts als unnötiger Müll, der natürlich auch Speicherplatz frisst. Natürlich werden die meisten jetzt sagen, dass deren Speicherplatz groß geng ist. Nur wenn ich mich einlogge und E-Mails versende, brauche ich es nicht doppelt, da es ja eh die gleiche IP ist.
da hast du recht. aber wenn man diese session ip sperre rausnimmt, hat ein user die möglichkeit über proxy reinzugehen die ständig ihre ip adressen wechseln. da hat er sich zwar mit xxx.xx.xxx.10 angemeldet, aber sendet seine mail zum beispiel über xx.xxx.xxx.145. Die betreiber der proxys rücken eh nicht die realen ips der user raus - aber ich finde es ist schon korrekt so.

P.S. hat aber nix mit meinem avatar zu tun - und nein ich bin nicht der wolfgang :))

LG

Steffen
 

patrick

Staff member
B1G-Software-Kunde
#17
Im Apache brauchst du ein Modul, um das Logging zu deaktivieren. Genausogut kannst du für b1gMail ein entsprechendes Plugin bauen, das ist in weniger als 30 Zeilen erledigt - ohne Modifikation von b1gMail-Code.

Ich hab's mal schnell gemacht: http://my.b1gmail.com/details/56/
 

Sebijk

B1G-Software-Kunde
#18
da hast du recht. aber wenn man diese session ip sperre rausnimmt, hat ein user die möglichkeit über proxy reinzugehen die ständig ihre ip adressen wechseln. da hat er sich zwar mit xxx.xx.xxx.10 angemeldet, aber sendet seine mail zum beispiel über xx.xxx.xxx.145. Die betreiber der proxys rücken eh nicht die realen ips der user raus - aber ich finde es ist schon korrekt so.
Tja, es müssen ja nicht zwangsläufig Proxy IP-Adressen sein, es kann auch am Provider liegen. Bei einfachen Proxys ist es aber dennoch möglich, die reale IP-Adresse zu ermitteln, ein gutes Beispiel, dass Add-on für vBulletin: http://www.vbulletin.org/forum/showthread.php?t=201211 . Nur mit VPN-Verbindung ist man dagegen bestens gesichert.

Im Apache brauchst du ein Modul, um das Logging zu deaktivieren. Genausogut kannst du für b1gMail ein entsprechendes Plugin bauen, das ist in weniger als 30 Zeilen erledigt - ohne Modifikation von b1gMail-Code.

Ich hab's mal schnell gemacht: http://my.b1gmail.com/details/56/
Danke dir, aber noch ein Verbesserungsvorschlag, die IP-Sessionsperre sollte ebenfalls automatisch deaktiviert sein, da diese Funkion ebenfalls danach sinnlos ist.

Wenn es sowas noch fürs b1gMailServer geben würde, wäre ich noch glücklicher.
 

Sebijk

B1G-Software-Kunde
#20
Ich möchte nocheinmal auf den Ursprung des Thema zurückkommen.

Das Problem bei "X-Sender-IP" ist für mich hauptsächlich, dass der Empfänger die IP des Absenders mit dem Blick in den Quelltext einsehen kann. Ich entferne dies beim Update der Software beim email.compose.php stets manuell (es passiert aber auch, dass ich es mal vergesse).

E-Mail-Anbieter wie web.de oder Google Mail speichern die IP-Adresse des Absenders jedoch nicht in den Header. Ich persönlich kenne auch keinen anderen Dienst, der eine IP öffentlich andere sichtbar (außer es ist notwendig, z.B. Torrent) macht. Da in der kommenden b1gMailServer-Version erlaubt wird, eigene E-Mail-Header hinzuzufügen, sollte man auch evtl. auch überlegen die bestehenden Header wie das "X-Sender-IP" deaktivieren zu können, die nicht erforderlich sind.
 
Top