|
|
| (Der Versionsvergleich bezieht 269 dazwischen liegende Versionen mit ein.) |
| Zeile 1: |
Zeile 1: |
| - | == Name == | + | {| class="toccolours" style="float:right; margin-left:1em; margin-top:0.5em; width:20em; font-size:90%;" |
| - | No-IP-Retention ist der Arbeitstitel. der endgültige Titel sollte ohne das Kürzel 'IP' auskommen (wegen der Verwechselungsgefhr) und auch in Deutsch verfügbar sein.
| + | | '''Projekt:''' |
| - | | + | | '''[http://www.wir-speichern-nicht.de/index.php Wir speichern nicht!]''' |
| - | Ideen für Namen der Kampagne:
| + | |- style="vertical-align: top;" |
| - | *IP - nie
| + | | '''Kurzbe-<br>schreibung:''' |
| - | *Ich achte Ihre Privatsphäre
| + | | Aufbau eines Netzwerks gegen die Speicherung von IP-Adressen beim Aufruf von Webseiten. |
| - | *Privates Surfen
| + | |- style="vertical-align: top;" |
| - | *Hier surfen Sie privat
| + | | '''Ansprechpartner:''' |
| - | *Das Logo kann ja 2 Teile haben: "No IP-Retention" als graphisches Element und "Ich achte Ihre Privatsphäre" als Claim - so wäre die Aktion auch irgendwann nicht mehr auf den deutschsprachigen Raum beschränkt, sondern könnte "exportiert" werden!
| + | | [[Benutzer:Patrick|pab]] |
| - | *Frei von Datenspeicherung
| + | |- style="vertical-align: top;" |
| - | *Ihr Besuch wurde nicht vermerkt!
| + | | '''Status:''' |
| - | *Ohne Adressspeicherung (nahe Übersetzung von no-ip-retention)
| + | | Das Projekt ist gestartet. |
| - | | + | |- style="vertical-align: top;" |
| - | Anfang März gibt es möglicherweise einen aktuellen Anlass (Gerichtsurteil), um die Kampagne zu starten.
| + | | '''Mithilfe:''' |
| | + | | Übersetzte die unten verlinkte, englischsprachige Anleitung ins Deutsche und stelle sie hier ins Wiki ein. |
| | + | |} |
| | + | '''Wir speichern nicht!''' wird ein Netzwerk von Webseiten, deren Benutzung nicht personenbezogen nachvollzogen werden kann, weil sie insbesondere keine IP-Adressen der Benutzer speichern. Es werden Anleitungen angeboten, um die Speicherung abzustellen, und es gibt eine Liste von speicherfreien Angeboten.<br> |
| | + | Zu finden ist das Projekt unter [http://www.wir-speichern-nicht.de/index.php www.wir-speichern-nicht.de]. |
| | | | |
| | == Logo == | | == Logo == |
| - | Die Entwürfe des Logos sollten nach Findung eines endgültigen Titels angepasst/erstellt werden. | |
| - | | |
| | Der folgende Entwurf stammt von [https://wiki.piratenpartei.de/index.php/Benutzer:Musikdieb3 Bernhard Schillo]. | | Der folgende Entwurf stammt von [https://wiki.piratenpartei.de/index.php/Benutzer:Musikdieb3 Bernhard Schillo]. |
| - | Zusätzlich soll noch ein kleines 'Band-Logo' à la RSS entstehen. Referenzen auf die 3 Entwürfe bitte mit a),b),c) angeben.
| + | Referenzen auf die 3 Entwürfe bitte mit a),b),c) angeben. |
| | + | |
| | + | SVG-Version der Siegel: [[image:wirspeichernnicht.zip]] |
| | | | |
| | [[image:No_ip_retention.png]] | | [[image:No_ip_retention.png]] |
| | | | |
| - | == Hosting ==
| + | [[image:Wirspeichernnicht.png]] |
| - | Liste der konformen Hoster sollte erstellt werden. Ggf. selbst ein vorbildliches Hosting anbieten.
| + | |
| - | Würde ich, morphium, machen.
| + | |
| - | | + | |
| - | == Ziel und bisherige Erkenntnisse ==
| + | |
| - | Das Ziel der Kampagne ist es, (neben der Auszeichnung mit dem Siegel) den Webanbieteren Anleitungen zur Verfügung zu stellen, wie sie ihre System so konfigurieren können, dass keine Adressen unnötig gespeichert werden.
| + | |
| - | (s. auch http://www.daten-speicherung.de/index.php/zehn-forderungen-fuer-eine-datenschutzfreundlichere-informationstechnik/)
| + | |
| - | | + | |
| - | Wir suchen Leute, die für Standardsoftware Anleitungen schreiben, wie man dort die IP-Protokollierung abschaltet. Gefragt: Leichtverständliche Anleitung für Webmaster, wie bei Websites die Protokollierung ausgeschaltet werden kann.
| + | |
| - | | + | |
| - | === Wordpress ===
| + | |
| - | http://www.daten-speicherung.de/index.php/mediawiki-und-wordpress-ohne-protokollierung-von-ip-adressen/
| + | |
| - | | + | |
| - | === Mediawiki ===
| + | |
| - | http://www.daten-speicherung.de/index.php/mediawiki-und-wordpress-ohne-protokollierung-von-ip-adressen/
| + | |
| - | | + | |
| - | === punbb ===
| + | |
| - | http://www.daten-speicherung.de/index.php/mediawiki-und-wordpress-ohne-protokollierung-von-ip-adressen/
| + | |
| - | | + | |
| - | === Joomla ===
| + | |
| - | Zitat von Benjamin Erhart (Mailingliste AK):
| + | |
| - | | + | |
| - | So ich hab den Joomla Quellcode genauer analysiert und einen Weg gefunden, wie man Cookies für normalsterbliche Seitenbesucher abschaltet, aber trotzdem einen Frontend Login zur Verfügung stellen kann, bei dem dann auch ein Cookie gesetzt wird.
| + | |
| - | | + | |
| - | Es ist eigentlich ganz einfach:
| + | |
| - | | + | |
| - | /index.php Zeile 107 wieder entkommentieren (s.u.)!
| + | |
| - | | + | |
| - | /includes/joomla.php Zeile 697 auskommentieren:
| + | |
| - | | + | |
| - | // setcookie( $sessionCookieName, '-', false, '/' );
| + | |
| - | | + | |
| - | -> Das wars schon.
| + | |
| - | Wird ein Loginversuch unternommen, wird durch ein gesetztes "force_session" im POST Header weiter unten im Code doch noch ein Session Cookie erzeugt.
| + | |
| - | | + | |
| - | Es ist etwas merkwürdig, daß es keine Konfigurationsoption gibt, die Cookie Abschaltung auch für Dummies ermöglicht, da der gesammte Code eigentlich so geschrieben ist, daß das ganz leicht einzubauen wäre.
| + | |
| - | | + | |
| - | Es gibt allerdings noch ein paar Stolpersteine:
| + | |
| - | Ich bastle momentan mit der "Fabrik" Komponente. Die startet interessanterweise eine PHP Session auf eigene Faust. Da gibts also doch wieder ein Cookie. Ich werd versuchen, auch diesem Komponentchen das noch auszutreiben. Kann gut sein, daß noch andere Komponenten sich solche Späße erlauben.
| + | |
| - | | + | |
| - | Außerdem muß man natürlich noch dran denken, die Statistikfunktionen abzuschalten, sonst gibts ein "mosvisitor" Cookie. (Aber das ist ja bereits hinlänglich bekannt hier! :-) )
| + | |
| - | | + | |
| - | Zuguterletzt hat Joomla noch ein "jos_user_template" Cookie. Das wird verwendet bei dem TemplateChooser Modul.
| + | |
| - | Von diesem Modul sollte man also die Finger lassen!
| + | |
| - | | + | |
| - | Wenn man außerdem noch ganz mega-sicher gehen will, daß dem Benutzer ja keine bösen Cookies über den Weg laufen, sollte man noch eine Stelle in der Datei
| + | |
| - | | + | |
| - | /offline.php Zeile 25: // session_start();
| + | |
| - | | + | |
| - | auskommentieren. Diese Datei wird angezeigt, wenn man in der Konfiguration "Seite offline" auswählt oder wenn die Datenbank nicht mehr zu erreichen ist.
| + | |
| - | | + | |
| - | Aus mir völlig rätselhaften Gründen wird hier eine PHP Session gestartet obwohl das absolut null Sinn macht, da Joomla im Frontend keine PHP Session benutzt, sondern seine eigene baut, und wenn das Admin Backend nicht mehr zu erreichen ist, ist eh alles zu spät, da braucht man auch keine Session mehr. Ist wohl ein Überbleibsel aus alten Mambo Tagen...
| + | |
| - | | + | |
| - | === Apache ===
| + | |
| - | http://www.daten-speicherung.de/index.php/echtzeit-anonymisierung-von-server-logfiles/
| + | |
| - | | + | |
| - | === phpBB ===
| + | |
| - | | + | |
| - | Hintergrund: phpBB ist ein weit verbreitetes Forumsystem,
| + | |
| - | zweifelhafter Integrität ;). Das System verwendet die IP Adresse des
| + | |
| - | jeweiligen Benutzers und speichert dieses mit - zur Nachverfolgung von
| + | |
| - | Forenaktivitäten.
| + | |
| - | | + | |
| - | Ziel: Wir können phpBB dauerhaft abändern, sodass die Software nur die
| + | |
| - | Harmlose IP Adresse "127.0.0.1" speichert. Die Adresse "127.0.0.1"
| + | |
| - | bezeichnet stets den Servercomputer, auf dem sie Software läuft.
| + | |
| - | | + | |
| - | Zu Beachten: Generell ist es weniger empfehlenswert eine Software zu
| + | |
| - | ändern. Dadurch erlöschen etwaige Hilfsbereitschaft der
| + | |
| - | Entwicklergemeinde oder Garantieansprüche gegenüber dem Hersteller.
| + | |
| - | Zudem können ungewollte und unvorhersehbare Auswirkungen in der
| + | |
| - | Zuverlässigkeit, Sicherheit oder Funktionalität der Software oft
| + | |
| - | eintreten. Besser ist es, wenn die Forenbenutzer selbst die
| + | |
| - | Verantwortung in die Hand nehmen und Anonymisierungssoftware wie TOR
| + | |
| - | einsetzen. Dennoch ist hier die Notwendige Veränderung beschrieben.
| + | |
| - | | + | |
| - | Versionen: Es gibt derzeit zwei interessante Versionen von PHP BB, die
| + | |
| - | aktuelle "Stable release" - phpBB 2.0.22 und die sich noch in der
| + | |
| - | Entwicklung befindlichen phpBB 3.0.Beta5.
| + | |
| - | | + | |
| - | phpBB 2.0.22
| + | |
| - | Anleitungen für Webmaster mit Root Zugriff.
| + | |
| - | 1) Du machst ein Backup deiner Webseiten und Datenbanken.
| + | |
| - | 2) Du wechselst in das Verzeichnis, in dem die Software auf dem
| + | |
| - | Webserver sich befindet.
| + | |
| - | 3) Du lädst die Patch-Datei noip_patch_phpbb-2.0.22.txt in das
| + | |
| - | Verzeichnis herunter.
| + | |
| - | 4) Mit "patch common.php noip_patch_phpbb-2.0.22.txt" wendet man die
| + | |
| - | Patch-Datei an. Wenn du die Anwendung namens "patch" auf deinem System
| + | |
| - | nicht hast...WTF? Unter Windows gibt es die Anwendung hier:
| + | |
| - | http://gnuwin32.sourceforge.net/packages/patch.htm
| + | |
| - | 5) Jetzt überprüfst du, dass dein Forum noch korrekt funktioniert.
| + | |
| - | Andernfalls spielst du dein Datei-Backup wieder ein.
| + | |
| - | | + | |
| - | Anleitungen für Webmaster mit FTP Zugriff.
| + | |
| - | 1) Du machst ein Backup deiner Webseiten und Datenbanken.
| + | |
| - | 2) Mit deinem FTP-Client verbindest du dich mit deinem Web-Hoster.
| + | |
| - | 3) Du wechselst in das Verzeichnis in dem du phpBB gespeichert hast.
| + | |
| - | 4) Du lädst diese Datei hier "common.php" hoch, dabei überschreibst du
| + | |
| - | der vorhandenen Datei mit demselben Namen.
| + | |
| - | 5) Jetzt überprüfst du, dass dein Forum noch korrekt funktioniert.
| + | |
| - | Andernfalls spielst du dein Datei-Backup wieder ein.
| + | |
| - | | + | |
| - | | + | |
| - | phpBB 3.0.Beta5
| + | |
| - | Anleitungen für Webmaster mit Root Zugriff.
| + | |
| - | 1) Du machst ein Backup deiner Webseiten und Datenbanken.
| + | |
| - | 2) Du wechselst in das Verzeichnis, in dem die Software auf dem
| + | |
| - | Webserver sich befindet.
| + | |
| - | 3) Du wechselst in das Unterverzeichnis "includes".
| + | |
| - | 4) Du lädst die Patch-Datei noip_patch_phpbb-3.0.b5.txt in das
| + | |
| - | Verzeichnis herunter.
| + | |
| - | 5) Mit "patch common.php noip_patch_phpbb-3.0.b5.txt" wendet man die
| + | |
| - | Patch-Datei an. Wenn du die Anwendung namens "patch" auf deinem System
| + | |
| - | nicht hast...WTF? Unter Windows gibt es die Anwendung hier:
| + | |
| - | http://gnuwin32.sourceforge.net/packages/patch.htm
| + | |
| - | 6) Jetzt überprüfst du, dass dein Forum noch korrekt funktioniert.
| + | |
| - | Andernfalls spielst du dein Datei-Backup wieder ein.
| + | |
| - | | + | |
| - | Anleitungen für Webmaster mit FTP Zugriff.
| + | |
| - | 1) Du machst ein Backup deiner Webseiten und Datenbanken.
| + | |
| - | 2) Mit deinem FTP-Client verbindest du dich mit deinem Web-Hoster.
| + | |
| - | 3) Du wechselst in das Verzeichnis in dem du phpBB gespeichert hast.
| + | |
| - | 4) Du wechselst in das Unterverzeichnis "includes".
| + | |
| - | 5) Du lädst diese Datei hier "session.php" hoch, dabei überschreibst
| + | |
| - | du der vorhandenen Datei mit demselben Namen.
| + | |
| - | 6) Jetzt überprüfst du, dass dein Forum noch korrekt funktioniert.
| + | |
| - | Andernfalls spielst du dein Datei-Backup wieder ein.
| + | |
| - | | + | |
| - | Anmerkung: Wenn du Root-Zugriff hast, kannst du natürlich die
| + | |
| - | FTP-Variante verwenden. Das Patchen ist aber viel cooler :)
| + | |
| - | | + | |
| - | ZIP-Archiv mit den erwähnten Dateien: [http://wiki.vorratsdatenspeicherung.de/images/NoIP_PHPBB.zip noIP_PHPBB.zip]
| + | |
| - | | + | |
| - | ==Kriterien==
| + | |
| - | Das Siegel garantiert, dass die Benutzung der Webseite nicht personenbezogen nachvollzogen werden kann. Wie beim Lesen eines Buches oder beim Versenden eines Briefes ist sicher gestellt, dass dem Nutzer auch im Internet niemand über die Schulter blickt.
| + | |
| - | | + | |
| - | Im Einzelnen erfüllen die registrierten Webseiten die folgenden Anforderungen:
| + | |
| - | | + | |
| - | #Die Webseite kann frei von jeder personenbeziehbaren Protokollierung genutzt werden.
| + | |
| - | #Die Protokollierungsfreiheit gilt für die gesamte Benutzung der Webseite, einschließlich dem Surfen, der Eingabe von Texten und Suchwörtern, dem Absenden oder Veröffentlichen von Nachrichten, dem Hoch- und Herunterladen von Dateien, der Benutzung von Kontaktformularen, Foren und Wikis.
| + | |
| - | #Der Webserver ist protokollierungsfrei. Es werden keine personenbeziehbaren Logdaten gespeichert.
| + | |
| - | #Sämtliche unter der angemeldeten Domain zugänglichen Dienste sind protokollierungsfrei, auch eingebundene externe Dienste (z.B. Werbung, Statistiktools).
| + | |
| - | #Eine personenbeziehbare Protokollierung des Nutzungsverhaltens erfolgt auch nicht bei anderen Personen oder Unternehmen (z.B. Webhoster).
| + | |
| - | #Zulässig ist die anonyme Protokollierung des Nutzungsverhaltens, solange eine Identifizierung des Nutzers durch den Anbieter oder Dritte (z.B. Behörden) ausgeschlossen ist. Auch mithilfe weiterer Daten (z.B. von Zugangsprovidern) darf eine Identifizierung des Nutzers nicht möglich sein. In anonymen Protokollen dürfen keinerlei Benutzernamen, E-Mail-Adressen, Kundennummern oder ungekürzte IP-Adressen enthalten sein. Auch Hashwerte dieser Daten dürfen nicht gespeichert werden.
| + | |
| - | #Das Siegel verbietet nicht, vom Nutzer die Eingabe personenbezogener Daten oder die Anmeldung zu bestimmten Diensten zu verlangen.
| + | |
| - | #Eine gezielte Aktivierung der Protokollierung ist zulässig, wenn sie im Einzelfall erforderlich ist, um die Funktionsfähigkeit der Webseite wiederherzustellen (z.B. DDoS-Angriffe) oder um die Erschleichung kostenpflichtiger Dienste durch bestimmte Nutzer zu unterbinden. Der Normalbetrieb erfolgt in jedem Fall protokollierungsfrei.
| + | |
| - | | + | |
| - | Gesetze dazu:
| + | |
| - | | + | |
| - | § 6 Abs. 8 Teledienste-Datenschutzgesetz: ''"Liegen dem Diensteanbieter zu dokumentierende tatsächliche Anhaltspunkte vor, dass seine Dienste von bestimmten Nutzern in der Absicht in Anspruch genommen werden, das Entgelt nicht oder nicht vollständig zu entrichten, darf er die personenbezogenen Daten dieser Nutzer über das Ende des Nutzungsvorgangs sowie die in Absatz 7 genannte Speicherfrist hinaus nur verarbeiten und nutzen, soweit dies zur Durchsetzung seiner Ansprüche gegenüber dem Nutzer erforderlich ist. Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist."''
| + | |
| - | | + | |
| - | § 100 Telekommunikationsgesetz (für Serverbetreiber):
| + | |
| | | | |
| - | ''(1) Soweit erforderlich, darf der Diensteanbieter zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden. ...
| + | ===Bandlogo=== |
| | + | Hier zwei Entwürfe für Bandlogo von Stefan |
| | + | *[[image:NO-IP.gif]] |
| | + | *[[image:Wir speichern nicht_Entwurf_1.png]] |
| | | | |
| - | ''(3) Soweit erforderlich, darf der Diensteanbieter bei Vorliegen zu dokumentierender tatsächlicher Anhaltspunkte die Bestandsdaten und Verkehrsdaten erheben und verwenden, die zum Aufdecken sowie Unterbinden von Leistungserschleichungen und sonstigen rechtswidrigen Inanspruchnahmen der Telekommunikationsnetze und -dienste erforderlich sind. Zu dem in Satz 1 genannten Zweck darf der Diensteanbieter die erhobenen Verkehrsdaten in der Weise verwenden, dass aus dem Gesamtbestand aller Verkehrsdaten, die nicht älter als sechs Monate sind, die Daten derjenigen Verbindungen des Netzes ermittelt werden, für die tatsächliche Anhaltspunkte den Verdacht der rechtswidrigen Inanspruchnahme von Telekommunikationsnetzen und -diensten begründen. Insbesondere darf der Diensteanbieter aus den nach Satz 1 erhobenen Verkehrsdaten und den Bestandsdaten einen pseudonymisierten Gesamtdatenbestand bilden, der Aufschluss über die von den einzelnen Teilnehmern erzielten Umsätze gibt und unter Zugrundelegung geeigneter Missbrauchskriterien das Auffinden solcher Verbindungen des Netzes ermöglicht, bei denen der Verdacht einer Leistungserschleichung besteht. Die Daten der anderen Verbindungen sind unverzüglich zu löschen. Die Regulierungsbehörde und der oder die Bundesbeauftragte für den Datenschutz sind über Einführung und Änderung eines Verfahrens nach Satz 1 unverzüglich in Kenntnis zu setzen.
| + | Hier ein statisches und ein animiertes Bandlogo von Jens: |
| | + | *[[image:wirspeichernnicht_bandlogo.gif]] |
| | | | |
| - | Zum Verständnis des § 100 TKG das [http://www.jurpc.de/rechtspr/20060052.htm Urteil] des Landgerichts Darmstadt: "Auch die von der Beklagten angeführten Regelungen in § 100 Abs. 1 und Abs. 3 TKG bieten keine rechtliche Grundlage für die von ihr durchgeführte generelle Speicherung der IP-Adresse. Nach § 100 Abs. 1 TKG darf der Diensteanbieter, soweit erforderlich, zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden. Nach Abs. 3 kann der Diensteanbieter bei Vorliegen zu dokumentierender tatsächlicher Anhaltspunkte die Bestandsdaten und Verkehrsdaten erheben und verwenden, die zum Aufdecken sowie Unterbinden von Leistungserschleichungen und sonstigen rechtswidrigen Inanspruchnahmen der Telekommunikationsnetze und -dienste erforderlich sind. ''Es handelt sich bereits nach dem Wortlaut der Regelungen um vorfallsbezogene Maßnahmen, die die von der Beklagten durchgeführte generelle Speicherung aller Verkehrsdaten aller Kunden nicht erlaubt.''"
| + | *[[image:wirspeichernnicht_ani2.gif]] |
| | | | |
| - | Momentan können wir das Logo leider selbst noch nicht benutzen. ;-) Werner arbeitet noch daran, die IP-Protokollierung zu deaktivieren.
| + | ==Das Siegel== |
| | + | Auf der [http://www.wir-speichern-nicht.de/index.php?option=com_content&task=view&id=10&Itemid=22 Webseite]. |
| | | | |
| - | ==Argumentation== | + | ==Fragen und Antworten== |
| - | Techniker loggen IP-Adressen schon immer und finden das nützlich. Wir müssen sie überzeugen, diese Praxis zu ändern. Also Webmaster überzeugen, warum sie auf eine Protokollierung verzichten sollten und warum das keine sicherheitsrelevanten Auswirkungen hat. Mögliche Argumente:
| + | Auf der [http://www.wir-speichern-nicht.de/index.php?option=com_content&task=view&id=4&Itemid=21 Webseite]. |
| | | | |
| - | Polizei, "Rechteinhaber" und Internetprovider können die Daten zuordnen. Dadurch droht Strafverfolgung, Abmahnungen usw. Deswegen sind die Daten personenbezogen und dürfen nicht gespeichert werden. Es drohen Abmahnungen. Große Internetprotale wie www.datenschutzzentrum.de oder www.bmj.bund.de kommen explizit ohne Logging von IP-Adressen aus, ohne dadurch Probleme zu haben.
| + | ==Bearbeitung von Anfragen== |
| | | | |
| - | [http://www.heise.de/newsticker/foren/go.shtml?read=1&msg_id=12303164&forum_id=113294&showthread=1 Heise-Diskussion zum Thema] | + | Für Helfer wird auf [[intern:Wir speichern nicht!/HowTo]] beschrieben, wie Anfragen in der Mailbox von Wir speichern nicht! am besten bearbeitet werden. |
| | | | |
| - | [[Kategorie:Kampagnen]] | + | [[Kategorie:Wir speichern nicht!| ]] |
