Re: Big Brother Award: Apache und der Telepolis-Artikel

[kraxel@bytesex.org (Gerd Knorr)]

> > Software und Referer sind entscheidung des benutzers.  ansonsten
> > werden es erst personenbezogene daten, wenn sie mit einer person in
> > verbindung zu bringen sind, weshalb mW logs interner (d.h. der
> > betreiber des proxies kann die IP einem benutzer zuordnen)
> > web-proxies von der datenschutzregelung erfasst werden.
> 
> Numerische IP-Adressen eines am Internet angeschlossenen Computers können
> personenbezogene Daten sein, weil sich ihnen mit Hilfe des DNS-Dienstes
> ein Name zuweisen läßt. Dieser Name kann - insbesondere bei sog. "festen"  
> IP-Adressen - identisch sein mit dem Namen des Nutzers.

Oh Mann.  Ich kann es nicht mehr hören.  Es ist schlicht und ergreifend
völliger Blödsinn daß ein Webserver die IP Adresse einer Person zuordnen
kann.  Das funkioniert in > 95% aller Fälle nämlich schlicht und
ergreifend nicht, weswegen es ein völlig alberner Gedanke ist, mit Hilfe
von IP-Adressen Personenprofile erstellen zu wollen.

Die meisten Leute surfen von zu Hause aus mit ISDN/Modem oder von der
Firma/UNI über die Standleitung derselben.  Im ersteren Fall hast du
in der Regel dynamische IP-Adressen.  Reverse DNS lookup liefert meistens
sowas wie p<ip-addresse-in-hex>.dip.t-online.de.  Wie bitte willst du
das mal eben einer Person zuordnen?  Wer über die Firma surft hat sitzt
der Regel hinter einer Firewall und kommt nur einen Proxy raus.  Was der
Webserver sieht ist nur die IP-Adresse des Proxies.  Auch damit kannst
du herzlich wenig anfangen.  Studenten die die Rechner-Pools der UNI's
benutzen sitzen meistens auch jedesmal an einem anderen Rechner, auch
da hast du einfach keine feste Zuordnung zwischen IP-Adresse und Person.

Und selbst bei Leuten die statische IP-Adressen haben:  Ok, man bekommt
den Hostnamen raus.  192.109.21.142 => goldbach.in-berlin.de.  Und?
Wie bitte kommst du damit jetzt auf meinen Namen[1]?  Meiner Erfahrung
nach sind Rechnernamen eher selten identisch mit dem Namen der Nase die
davor sitzt.

Wenn die Jungs einen proxy a'la squid ausgezeichnet hätten würde ich das
ja zumindest noch ein wenig verstehen.  Wenn man das Logfile eines Firmen-
proxies auswertet kann man schon ein nettes Profil der Mitarbeiter
basteln.  Die Netzwerker die den Proxy betreiben wissen (bzw. können
vergleichsweise einfach ermitteln) welche IP-Adresse welcher Rechner
ist und welcher Mitarbeiter da dran arbeitet.

Aber selbst dann wäre die Auszeichnung etwas an den Haaren herbeigezogen.
Leute die sowas machen wollen lassen sich sicherlich nicht einfach dadurch
davon abhalten, daß die IP-Adresse per default nicht mitgeloggt wird.

  Gerd

[1] Ich weiß daß es in diesem konkreten Fall geht weil ich genug
    Fußstapfen im Web hinterlassen habe daß man zum Ziel kommen sollte
    wenn man 'ne Suchmaschine mit dem hostnamen füttert.

-- 
Protecting the children is a good way to get a lot of adults who cant
stand up for themselves.		-- seen in some sig on /.