Forum » Pomoč in nasveti » Shranjevanje IP naslovov obiskovalcev spletne strani
Shranjevanje IP naslovov obiskovalcev spletne strani
mrTwelveTrees ::
Čisto splošno, me zanima, zdaj si bom izmisli:
Ali lahko naredi nekdo spletno stran, recimo forum, v katerega NE moreš brez registracije.
V pravilih pa se MORA nov uporabnik strinjat, da se IP naslovi hranijo v primeru kakršnikoli zlorab.
Če se ne strinja, registracija ni možna.
Je to protizakonito?
Pa prosim brez debat o skrivanju pravega ip naslova, oz. uporabe VPN, ker tema ni o tem. Hvala
Ali lahko naredi nekdo spletno stran, recimo forum, v katerega NE moreš brez registracije.
V pravilih pa se MORA nov uporabnik strinjat, da se IP naslovi hranijo v primeru kakršnikoli zlorab.
Če se ne strinja, registracija ni možna.
Je to protizakonito?
Pa prosim brez debat o skrivanju pravega ip naslova, oz. uporabe VPN, ker tema ni o tem. Hvala
- spremenil: mrTwelveTrees ()
Lamoo ::
Slo-Tech ločeno od vseh ostalih podatkov zbira naslednje podatke o prometu na strežniku: IP naslov, različica brskalnika (user agent), čas, naslov obiskane strani (URL), stran s katere je obiskovalec prišel na obiskano stran (referrer) -- če je ta podatek posredovan;
Ales ::
Če prav razumem, je želja po korelaciji prijavnih podatkov z IP-ji prijavljenih obiskovalcev?
IP-ji bi torej bili povezani z drugimi osebnimi podatki, ne bi se zbirali anonimizirano?
IP-ji bi torej bili povezani z drugimi osebnimi podatki, ne bi se zbirali anonimizirano?
Ales ::
Sklepam, da bi te podatke tudi hranil dlje kot le do odjave člana foruma. Teden dni? Mesec?
Hm, ne vem. To je dosti specifična situacija. Vidim več potencialnih problemov, en je preprečevanje dostopa do vsebin, v kolikor se član ne strinja z beleženjem IP-ja. Drug problem je dolgotrajnejše hranjenje tega povečanega nabora osebnih podatkov.
Po drugi strani, če imaš izkazan lastni interes, podkrepljen z varnostnimi zahtevami, ter hkrati člane jasno obveščaš o vsem, kar se shranjuje, kako dolgo se shranjuje, itd. ... bi rekel, da bi to moralo biti sprejemljivo.
Ampak to je le moje mnenje. Kak pravnik bi tu znal povedati kaj bolj konkretnega.
Hm, ne vem. To je dosti specifična situacija. Vidim več potencialnih problemov, en je preprečevanje dostopa do vsebin, v kolikor se član ne strinja z beleženjem IP-ja. Drug problem je dolgotrajnejše hranjenje tega povečanega nabora osebnih podatkov.
Po drugi strani, če imaš izkazan lastni interes, podkrepljen z varnostnimi zahtevami, ter hkrati člane jasno obveščaš o vsem, kar se shranjuje, kako dolgo se shranjuje, itd. ... bi rekel, da bi to moralo biti sprejemljivo.
Ampak to je le moje mnenje. Kak pravnik bi tu znal povedati kaj bolj konkretnega.
blackbfm ::
Ali lahko naredi nekdo spletno stran, recimo forum, v katerega NE moreš brez registracije.
V pravilih pa se MORA nov uporabnik strinjat, da se IP naslovi hranijo v primeru kakršnikoli zlorab.
Če se ne strinja, registracija ni možna.
Je to protizakonito?
zakaj bi bilo protizakonito?
Drug problem je dolgotrajnejše hranjenje tega povečanega nabora osebnih podatkov.
kje vidiš kakšen povečan nabor osebnih podatkov, op govori o nujno potrebnih podatkih za delovanje spletne aplikacije
Ales ::
Drug problem je dolgotrajnejše hranjenje tega povečanega nabora osebnih podatkov.
kje vidiš kakšen povečan nabor osebnih podatkov, op govori o nujno potrebnih podatkih za delovanje spletne aplikacije
IP ni nujno potreben podatek za delovanje spletne aplikacije.
Še za varovanje seje ni nujna uporaba IP-ja, sejo se da varovati na druge načine. Da se jo varovati tudi kadar se npr. IP spreminja. S tehničnega vidika torej niti za trenutno aktivne uporabnike ni potrebno hraniti njihov IP, še manj pa je potrebna daljša hramba, ko je seja že zaključena.
Edino argument, da se IP hrani zaradi ugotavljanja zlorab oz. za zagotavljanje dokazov v morebitnem pravnem ali policijskem postopku, "opravičuje" hrambo IP naslova. Glede tega se bo moral kak pravnik oglasit.
Lamoo ::
Razen tega je session neumno varovati preko IPja, ker je lahko uporabnik za NATom, skupaj s se nekaj sto tisoc uporabniki, en tak primer so telefoni.
Pač zgeneriraš eno random številko, mu jo vtakneš v cookie in to je to. Jebeš IP.
Pač zgeneriraš eno random številko, mu jo vtakneš v cookie in to je to. Jebeš IP.
Zgodovina sprememb…
- spremenilo: Lamoo ()
HotBurek ::
Ampak, če session vežeš na public IP, je tako hijack-an session mogoče uporabit samo preko istega public IP-ja, kar verjetno zmanjša možnosti takšnih vdorov.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
blackbfm ::
IP ni nujno potreben podatek za delovanje spletne aplikacije.
Ja je
Op pravi
V pravilih pa se MORA nov uporabnik strinjat, da se IP naslovi hranijo v primeru kakršnikoli zlorab.
Torej obdelava ip je nujno potreben podatek saj registracija in uporaba aplikacije brez njega ni možna.. Problem bi bila obdelava ip brez strinjanja in vednosti uporabnika
Še za varovanje seje ni nujna uporaba IP-ja, sejo se da varovati na druge načine. Da se jo varovati tudi kadar se npr. IP spreminja. S tehničnega vidika torej niti za trenutno aktivne uporabnike ni potrebno hraniti njihov IP, še manj pa je potrebna daljša hramba, ko je seja že zaključena.
nihče ne govori o varovanju seje..
Zgodovina sprememb…
- spremenilo: blackbfm ()
Tidule ::
Tocno tako. Ce je uporabnik ustrezno seznanjen in da izrecno soglasje, potem se seveda lahko njegove osebne podatke hrani in obdeluje v obsegu, ki ga je podal v soglasju.
Zgodovina sprememb…
- spremenilo: Tidule ()
Ales ::
IP ni nujno potreben podatek za delovanje spletne aplikacije.
Ja je
Op pravi
V pravilih pa se MORA nov uporabnik strinjat, da se IP naslovi hranijo v primeru kakršnikoli zlorab.
Torej obdelava ip je nujno potreben podatek saj registracija in uporaba aplikacije brez njega ni možna..
Seveda bi lahko bila možna. Ne moreš si kar na pamet izmisliti, kateri podatki so nujni za delovanje aplikacije.
To je isto, kot da bi v pogojih navedel, da za delovanje aplikacije res, res rabi EMŠO starih staršev... pa itak, da aplikacija za delovanje dejansko ne rabi nič podobnega. In beleženje IP tudi ne.
Povsem drugo je to, kar pravi Tidule, ker gre tu za drugačno podlago za zbiranje osebnih podatkov.
Ampak še tu ne vem, če bi se kar strinjal z njim, da je navajanje v pogojih uporabe dovolj za zbiranje praktično česarkoli, od IP-ja, do EMŠO do številke noge. Heh, zgleda da bom moral še enkrat brati zakon.
Tidule ::
Pomembno je, da je posameznik eksplicitno seznanjen s tem kateri podatki se zbirajo, kako se obdelujejo in zakaj. Ter da poda izrecno soglasje za to. Pri tem je pomembno, da mora med podatkom in namenom obstajat povezava.
Če vzamem tvoj primer zbiranja številke čevlje in prijava v spletni portal, to bi to težko pilo vodo, če bi bi bil kot namen zbiranja tega podatka navedeno, da je potreben zaradi delovanja aplikacije. Drugo pa je, če je jasno navedeno, da se tak podatek zbira za namene oglaševanja na čevljarskem forumu.
GDPR omejuje zbiranje podatkov na zalogo (5 člen uredbe - načela) in zato mora bit jasno ob zbiranju podatkov zakaj so potrebni.
Če vzamem tvoj primer zbiranja številke čevlje in prijava v spletni portal, to bi to težko pilo vodo, če bi bi bil kot namen zbiranja tega podatka navedeno, da je potreben zaradi delovanja aplikacije. Drugo pa je, če je jasno navedeno, da se tak podatek zbira za namene oglaševanja na čevljarskem forumu.
GDPR omejuje zbiranje podatkov na zalogo (5 člen uredbe - načela) in zato mora bit jasno ob zbiranju podatkov zakaj so potrebni.
gaoZjQP ::
so konsistentno anonimizirani podatki/ipji sporni, če omogočajo distinkcijo podatkov ne pa tudi preslikave v realnost?
blackbfm ::
Seveda bi lahko bila možna. Ne moreš si kar na pamet izmisliti, kateri podatki so nujni za delovanje aplikacije.
To je isto, kot da bi v pogojih navedel, da za delovanje aplikacije res, res rabi EMŠO starih staršev... pa itak, da aplikacija za delovanje dejansko ne rabi nič podobnega. In beleženje IP tudi ne.
ti kot zunanji opazovalec, uporabnik boš težko bolj vedel kaj aplikacija potrebuje kot tisti ki jo razvija. sploh nevem kaj te moti, uporabnik se ITAK predhodno strinja s takšno obdelavo
so konsistentno anonimizirani podatki/ipji sporni, če omogočajo distinkcijo podatkov ne pa tudi preslikave v realnost?
resnično anonimizirani podatki ne morejo biti sporni
gaoZjQP ::
Ales ::
Seveda bi lahko bila možna. Ne moreš si kar na pamet izmisliti, kateri podatki so nujni za delovanje aplikacije.
To je isto, kot da bi v pogojih navedel, da za delovanje aplikacije res, res rabi EMŠO starih staršev... pa itak, da aplikacija za delovanje dejansko ne rabi nič podobnega. In beleženje IP tudi ne.
ti kot zunanji opazovalec, uporabnik boš težko bolj vedel kaj aplikacija potrebuje kot tisti ki jo razvija. sploh nevem kaj te moti, uporabnik se ITAK predhodno strinja s takšno obdelavo
Mene čisto nič ne moti, tole nima osebno z mano nobene veze.
Ampak kot zunanji opazovalec, ki se sicer profesionalno ukvarja z IT-jem, prav dobro vem, kaj iz tehničnega vidika aplikacija dejansko potrebuje za delovanje in kaj ne.
Komot si predstavljam tudi, da bi si kak razvijalec lahko izmislil kako sicer nepotrebno programsko funkcijo, ki od uporabnika zahteva nek podatek, potem bi pa trdil, da je ta podatek nujen za delovanje aplikacije, ker je pač ta funkcija postala del aplikacije. "Brez tega vnosa prijava ne dela!!" No ja, good luck with that, če pride do presoje...
Če pa želi OP zbirati IP-je z ne striktno tehničnim namenom in bo ta namen jasno navedel v pogojih uporabe... na to pa je Tidule po moje odgovoril.
Point je, da se ne delat neumne glede tega, za kaj je kateri podatek potreben. Odkrito napišite v pogoje.
Tidule ::
Seveda bi lahko bila možna. Ne moreš si kar na pamet izmisliti, kateri podatki so nujni za delovanje aplikacije.
To je isto, kot da bi v pogojih navedel, da za delovanje aplikacije res, res rabi EMŠO starih staršev... pa itak, da aplikacija za delovanje dejansko ne rabi nič podobnega. In beleženje IP tudi ne.
ti kot zunanji opazovalec, uporabnik boš težko bolj vedel kaj aplikacija potrebuje kot tisti ki jo razvija. sploh nevem kaj te moti, uporabnik se ITAK predhodno strinja s takšno obdelavo
Kot zunanji opazovalec pa predlagaš IP, da preveri ali so podatki res potrebni ali ne. In kot že rečeno, bianko strinjanje v nekem drobnem tisku, ne pije vode. Ravno tako ne pije vode to, da med namenom zbiranja in dejansko uporabo ni korelacije.
blackbfm ::
Ampak kot zunanji opazovalec, ki se sicer profesionalno ukvarja z IT-jem, prav dobro vem, kaj iz tehničnega vidika aplikacija dejansko potrebuje za delovanje in kaj ne.
vsaka večja aplikacija, platforma, beleži ip za vpisane seje.. če varnostne službe zahtevajo podatke ker je tvoj uporabnik delil sumljivo pornografijo jim boš dal njegov ip, ne nek random piškot, jaz tu ne vidim druge alternative.. zdaj sta dve možnosti, ali je celotna IT industrija v zmoti, ali pa en slotech strokovnjak
Ravno tako ne pije vode to, da med namenom zbiranja in dejansko uporabo ni korelacije.
potem uporabnik ne more uporabljat aplikacije, problem rešen..
je zamenjava 'vseh obstoječih pojavitev' vrednosti '1.2.3.4' z ireverzibilno in navidez nesmiselno vrednostjo a la 'wshc' 'resnična' anonimizacija?
če gre zgolj za zgoščeno vrednost potem to ni prava anonimizacija.. mora vsebovat nek naključen "element"
Zgodovina sprememb…
- spremenilo: blackbfm ()
Ales ::
Ampak kot zunanji opazovalec, ki se sicer profesionalno ukvarja z IT-jem, prav dobro vem, kaj iz tehničnega vidika aplikacija dejansko potrebuje za delovanje in kaj ne.
vsaka večja aplikacija, platforma, beleži ip za vpisane seje.. če varnostne službe zahtevajo podatke ker je tvoj uporabnik delil sumljivo pornografijo jim boš dal njegov ip, ne nek random piškot, jaz tu ne vidim druge alternative..
Varnostne službe...
A se pogovarjamo zdaj o retenciji prometnih podatkov? Ker to je nekaj čisto drugega.
zdaj sta dve možnosti, ali je celotna IT industrija v zmoti, ali pa en slotech strokovnjak
Nisem "Slo-tech strokovnjak", sem strokovnjak. Del te famozne celotne IT industrije, ki jo omenjaš, kot da je to neka živeča Godzilla.
Obstaja še tretja možnost tu - da si v vsej tej kompleksnosti, ki smo jo skvačkali, stvari malo pomešal med sabo. Ne bi bilo nič čudnega.
blackbfm ::
A se pogovarjamo zdaj o retenciji prometnih podatkov? Ker to je nekaj čisto drugega.
nop
Nisem "Slo-tech strokovnjak", sem strokovnjak. Del te famozne celotne IT industrije, ki jo omenjaš, kot da je to neka živeča Godzilla.
kje se skrivaš da te google ne zaposli.. newbi še vedno beležijo ipje pri prijavi v gmail
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | OstaniZdrav - slovenska aplikacija za sledenje stikom (strani: 1 2 3 )Oddelek: Novice / Varnost | 27749 (16034) | DeeJay |
| » | Pripravite vašo spletno stran na nov zakon o piškotkih (strani: 1 2 3 4 … 12 13 14 15 )Oddelek: Izdelava spletišč | 216189 (167755) | Tydek |
| » | ZEKom-1 po dveh tednih (strani: 1 2 )Oddelek: Novice / Zasebnost | 20861 (15798) | jype |
| » | Sledenje uporabnika preko IP (strani: 1 2 )Oddelek: Omrežja in internet | 8982 (8006) | kunigunda |
| » | UNPIS: Ni časti med tatovi (strani: 1 2 )Oddelek: Novice / Zasebnost | 27997 (25344) | poweroff |