Obst ist nicht genug

Anti-Vorratsdatenspeicherung 2.0

Blog-KommentareDie Werbezappelecken zappeln immer noch und Blogs stecken, sofern man in diesen kommentieren darf, in einem Dilemma. Angeregt durch ein kleines, aber feines Plugin habe ich mein altes „123 AntiVDS„-Plugin hervorgekramt und überarbeitet.

Die Version 0.10 meines Plugins ist radikal. IP-Adresse, E-Mail-Adresse und Browser des Kommentators wurden einfach mit einem Leerstring belegt und somit nicht in der Datenbank gespeichert. Das ist zwar schön Datenschutzkonform, bringt aber leider einige Einschränkungen mit sich. So funktioniert z.B. die Option [x] muss der Autor bereits einen zugelassenen Kommentar geschrieben haben nicht, auch die kleinen Bildchen von Gravatar könne nicht angezeigt werden.

Die neue Version 0.2x (nicht 2.0! :-) erlaubt nun optional die Speicherung der IP-Adresse und der E-Mail-Adresse in „anonymisierter“ Form. „Anonymisiert“ schreibe ich deshalb in Anführungszeichen, weil ich nicht sicher bin, ob diese Form der Anonymisierung überhaupt eine echte Anonymisierung im Sinne des Datenschutzes ist. Letztendlich muß jeder selbst entscheiden und verantworten, wie er mit den Daten der Kommentatoren verfahren will. Am sichersten ist man wohl doch mit der alten 0.10er Version des Plugins, bei dem keine Daten gespeichert werden.

So funktionierts

Das Plugin funktioniert mit WordPress Version 2.5 bis 2.8.

Download: 123 AntiVDS 0.21

Die Version 0.10 bitte gegebenenfalls aus dem Pluginverzeichnis löschen.
Das Plugin einfach runterladen, entpacken und das Verzeichnis plw123_antivds mit allen drei Dateien in das Pluginverzeichnis auf dem Server kopieren. Dann im Adminbereich aktivieren und schon tut es seine Arbeit ganz bescheiden im Hintergrund. Folgende Optionen findet man bei den Einstellungen:

Werte als MD5-Hash "anonymisiert" speichern
 [ ] IP-Adresse
 [ ] E-Mail-Adresse

Per Voreinstellung sind beide Optionen deaktiviert, so daß sich das Plugin wie die alte Version verhält, also weder IP- noch E-Mail-Adresse gespeichert werden.

Technischer Hintergrund

Aktiviert man eine der Optionen führt das dazu, daß der jeweilige Wert als MD5-Haschwert in der Datenbank gespeichert wird. Damit kann man z.B. erkennen, ob Kommentare von derselben IP-Adresse reinkommen, ohne die konkrete IP-Adresse zu sehen. Es läßt sich also ein Zusammenhang herstellen.

Weitaus interessanter ist das Speichern des Hashwertes für die E-Mail-Adresse. Dadurch funktioniert nun die Option bei den WP-Diskussionseinstellungen wieder, daß ein bereits einmal freigegebener Kommentator (selber Name und E-Mail-Adresse) beim nächsten Kommentar nicht mehr freigeschaltet werden muß.

Und auch die Anzeige der Gravatare von gravatar.com funktioniert nun wieder, sofern man die wordpresseigene Funktion get_avatar verwendet. Die Gravatare werden über den md5-Wert der E-Mail-Adresse zugeordnet und dieser wird ja sowieso schon in der Datenbank gespeichert.

Genau hier liegt aber auch ein Datenschutzproblem, denn bei gravatar.com meldet man sich mit einer E-Mail-Adresse an und verknüpft mit dieser ein Bild. Damit der Dienst nun mein Bildchen anzeigen kann, ist da natürlich die die Zuordnung von E-Mail-Adresse zu MD5-Wert gespeichert. Also kann zumindest Gravatar die „anonymisierte“ E-Mail-Adresse einfach auflösen.

Andererseits hat man sich bei Gravatar ja bewußt angemeldet, damit eben eine Zuordnung der Kommentar-E-Mail-Adresse zu einem Bildchen möglich ist. Praktisch willigt man indirekt damit auch in die Speicherung der E-Mail-Adresse in Blog-Kommentaren ein, sonst wäre die Sache ja witzlos.

Weitere Artikel mit Bezug zu diesem:
18 Kommentare »

Auf der sicheren Seite

Im Dezember hatte ich mir ja kurz darüber Gedanken gemacht, wie schön es doch ist, eine funktionierende Datenbanksicherung zu haben. Die ganze Geschichte habe ich jetzt drüben bei Schnurpsel aufgeschrieben, hier nur kurz mein Fazit.

Erstmal muß ich mir an die eigene Nase fassen, denn ich hätte besser überprüfen sollen, ob die Datenbanksicherung auch tatsächlich funktionert hat und die Datei lesbar ist.

Außerdem kann ich den Nutzern von Shared-Webhosting-Paketen bei Strato und 1und1 derzeit nur davon abraten, die vorinstallierten Datenbanktools zu benutzen. Die im Moment dort laufenden phpMyAdmin-Installationen (Version 2.6.4-pl3) sind mehr als drei Jahre alt und führen reproduzierbar zu Fehlern, die zu Datenverlusten führen können. Man sollte sich entweder selbst eine aktuelle phpMyAdmin-Version installieren oder auch andere Werkzeuge zur Datenbanksicherung, wie mySQLDumper, verwenden.

3 Kommentare »

MySQL-Datenbank erstellen

Bei vielen Webhosting-Paketen gehört wenigstens eine Datenbank (meist MySQL) zur Ausstattung. Die hier laufende Software WordPress benötigt z.B. unbedingt eine MySQL-Datenbank zum Speichern der Artikel, Kommentare, Seiten, Kategorien, Tags und Optionen.

In der Regel muß man vor Benutzung einer Datenbank diese zunächst im Kundenbereich des Webhosters anlegen. Bei 1&1 meldet man sich im Control-Center an, wechselt in den Bereich „Homepage/Anwendungen“ und dort zu „MySQL-Datenbank“. Hier kann man nun mit Klick auf den Button [Neue Datenbank] eine neue Datenbank erstellen, sofern man nicht schon die Anzahl der im Paket enthaltenen Datenbanken erreicht hat.

Zur Auswahl stehen MySQL Version 4.0 und 5.0, außerdem kann man eine kurze Beschreibung für die Datenbank eingeben. Aber was macht man nun als unerfahrener Webneuling, nimmt man 4.0 oder 5.0, Aus dem Bauch heraus würde ich zu 5.0 tendieren, scheint schließlich die neuere und modernere Version zu sein. Aber hier wird man von 1&1 nicht allein gelassen. Ein gut gemeinter Hinweis gibt eine kleine Entscheidungshilfe:

Wichtiger Hinweis: Die Version 5.0 von MySQL befindet sich momentan noch im Entwicklungsstadium und kann daher unter bestimmten Bedingungen ein instabiles Verhalten aufweisen. Wenn Sie beim Programmieren Ihrer Datenbank-Anwendungen nicht unbedingt auf die Neuerungen in der Version 5.0 zugreifen, sollten Sie daher die Version 4.0 verwenden.

Doch das ist leider kein wirklich guter Tip. Vor vielleicht 3 oder 4 Jahren mag das zutreffend gewesen sein, heute ist es allerdings anders herum. Von der Verwendung von MySQL 4 ist eher abzuraten, denn diese Version wird nicht mehr weiterentwickelt bzw. unterstützt:

End of Product Lifecycle
Active development and support for MySQL database server versions 3.23, 4.0, and 4.1 has ended. However, for MySQL 4.0 and 4.1, there is still extended support available.

Und auch der verlängerte Support für die Version 4.0 endet am 31. Dezember dieses Jahres.

Also liebes 1&1-Team, denkt mal drüber nach.

Nachtrag am 19.06.2009: Das 1&1 Team hat wohl tatsächlich drüber nachgedacht, mittlerweile findet man an der Stelle folgenden Text:

Hinweis: Wir empfehlen aus Sicherheitsgründen die Verwendung der MySQL Version 5, da die Weiterentwicklung der Version 4 eingestellt wurde.

Allerdings wäre es jetzt noch ganz prima, wenn auch die Auswahl für MySQL 5 voreingestellt wäre, und nicht die für MySQL 4.

Keine Kommentare »

Werbezappelecken

ZappeleckeIch will nicht lange drumrum reden. Diese Zappel-Wabbel-Ecken finde ich ziemlich nervig. Ob es nun einfach schnöde Produktwerbung ist, oder eben wie hier eine Bürgerinitiative, ist mir dabei egal. Überboten wird das nur noch durch die Layerwerbung, also diese Fenster, welche sich kurz nach dem Aufruf einer Webseite bildschirmfüllend über den Inhalt schieben und nur durch Anklicken wegzubekommen sind.

Gut, bei der Schäuble-Ecke mag ja das Anliegen durchaus ehrenhaft sein. Ich bin mir aber nicht sicher, ob es in dieser Form nicht eher abschreckend ist. Hätte es ein normales Banner nicht auch getan? Ich jedenfalls schließe die Seiten, wo solche Ecken rumzappeln, meistens gleich wieder.

Andererseits habe ich den Verdacht, das viele, bei denen diese Ecke auf der Seite zu finden ist, noch nicht mal wissen, worum es im Detail geht. Denn die meisten, wenn nicht gar alle Blogs, betreiben auch eine Vorratsdatenspeicherung. Mit jedem Kommentar werden Informationen gespeichert, die für die eigentliche Erbringung der Leistung, um es mal so hochtrabend zu formulieren, nicht notwendig sind. So wird meist die Angabe einer E-Mail-Adresse verlangt, obwohl diese nicht angezeigt wird. Wozu ist das dann gut? Außerdem landen auch noch die IP-Adresse und der sogenannten Useragent, also die Information, mit welchem Programm der Kommentar gesendet wurde, in der Datenbank. Bei Trackbacks und Pingbacks gibt es zwar keine E-Mail-Adresse, aber auch hier werden IP und Useragent gespeichert.

Nun werden einige sagen, da kann man nichts machen, daß wird ja von der Blogsoftware so gespeichert. Zumindest für WordPress ab Version 2 kann man jetzt doch was machen, die Ausrede zählt nun nicht mehr :-)
Ich habe weder Kosten noch Mühe gescheut und in langer, schwerer Programmierarbeit das Anti-Vorratsdatenspeicherung-Plugin, kurz „123 AntiVDS“ entwickelt und stelle es hier der Öffentlichkeit vor.
Es funktioniert in WordPress bis einschließlich der neuen Version 2.8.

Download: 123 AntiVDS 0.10

Eine Neue Version 0.2x ist verfügbar.

Das Plugin einfach runterladen, entpacken und in das Pluginverzeichnis auf dem Server kopieren. Dann im Adminbereich aktivieren und schon tut es seine Arbeit ganz bescheiden im Hintergrund, Optionen und Einstellungen gibt es nicht.
Mangels umfangreicher Tests kann ich leider noch nichts zu Risiken und Nebenwirkungen sagen, die Benutzung erfolgt also auf eigene Gefahr. Ich kann aber versichern, das die Speicherung der E-Mail-Adresse, der IP-Adresse und des Useragenten bei Kommentaren, Track- und Pingbacks wirksam verhindert wird.

Nachtrag: Bekannte Nebenwirkungen

  1. Da keine E-Mail Adresse gespeichert wird, funktioniert die Option
    [x] muss der Autor bereits einen zugelassenen Kommentar geschrieben haben“
    nicht mehr, da anhand des Namens und der E-Mailadresse nach bereits zugelassenen Kommentaren gesucht wird. Es muß also jeder Kommentar aufs Neue freigeschaltet werde.
  2. Da keine E-Mail Adresse gespeichert wird, können natürlich auch keine Gravatare oder andere bunte Bildchen zu einem Kommentator angezeigt werden.
20 Kommentare »