IP-Adresse von Benutzer meiner Website speichern?
Ich habe für meine Website einen Login-Bereich erstellt. Weil ich nicht auf Cookies zurückgreifen möchte habe ich die Anmeldedaten mit einer PHP Session gespeichert. Jetzt kann man sich zwar abmelden, wodurch die Session gelöscht wird. Allerdings habe ich gelesen, das wenn man auf einen geposteten Link klickt, die Session mit weitergegeben wird, und so jemand anderes auf das Profil des Users zugreifen kann.
Also habe ich zusätzlich die IP_Adresse des Users in der Session gespeichert, sodass man sich, wenn die IP-Adresse geändert hat, erneut anmelden muss.
Nun zu meiner Frage:
Darf man die IP-Adresse des Users in der Session speichern, wenn man sowas wie
Wenn sie sich anmelden, wird ihre IP-Adresse gespeichert. Durch das abmelden, wird diese wieder gelöscht. Der Websitebetreiber kann diese nicht einsehen.
In die Datenschutzerklärung schreibt?
Danke im Vorraus, habe echt Angst was falsch zu machen,
- Bohne47
5 Antworten
Weil ich nicht auf Cookies zurückgreifen möchte habe ich die Anmeldedaten mit einer PHP Session gespeichert.
Du weißt aber schon, dass dabei auch ein (Session-)Cookie gesetzt wird? Ohne Cookies geht das nicht.
Allerdings habe ich gelesen, das wenn man auf einen geposteten Link klickt, die Session mit weitergegeben wird, und so jemand anderes auf das Profil des Users zugreifen kann.
Das ist dann der Fall, wenn du in der php.ini session.use_trans_sid aktiviert hast. Standardmäßig ist das jedoch deaktiviert und so sollte es auch bleiben.
Also habe ich zusätzlich die IP_Adresse des Users in der Session gespeichert, sodass man sich, wenn die IP-Adresse geändert hat, erneut anmelden muss.
Das ist eine schlechte Idee. Erstens kann es Probleme machen, da die IP-Adresse bei manchen Zugängen durchaus mehrfach wechseln kann. Zweitens bringt es kaum Sicherheit, da eine gelöschte Session (sei es durch Ausloggen oder automatisch nach Inaktivität) auch nicht mehr wieder hergestellt werden kann.
Jetzt kann man sich zwar abmelden, wodurch die Session gelöscht wird. Allerdings habe ich gelesen, das wenn man auf einen geposteten Link klickt, die Session mit weitergegeben wird,
Aber doch nur dann, wenn du die session id im URL weitergibst. Das würde dann so aussehen:
https://www.example.org/konto/anzeigen.php?PHPSESSID=12345
Und das wirst du ja wohl kaum machen?
Alex
Ich hatte das in einem Beitrag gelesen, und sowas verwirrt mich immer.
Dann weißt du das jetzt besser und lässt diesen katastrophal schrecklichen Unsinn bleiben, bzw. machst das so schnell wie möglich wieder rückgängig.
Also habe ich zusätzlich die IP_Adresse des Users in der Session gespeichert, sodass man sich, wenn die IP-Adresse geändert hat, erneut anmelden muss.
Ja, war ja auch nur so eine Idee...
Ein unsinnige Idee, weil die IP Adresse kein fälschungssicheres Datum ist.
Datenschutzrechtlich ist das kein Problem. Meines Erachtens brauchst du das nicht mal ik die Datenschutzerklärung schreiben weil die IP Adresse zwingend verarbeitet werden muss wenn man eine Website besucht.
Aus technischer Sicht ist die Lösung allerdings murks. IP Adressen können sich so schnell ändern, insbesondere wenn jemand übers Smartphone die Seite besucht kann sich die IP Adresse ständig verändern. Daher würde ich eine technisch bessere Lösung implementieren.
Datenschutzrechtlich ist das kein Problem. Meines Erachtens brauchst du das nicht mal ik die Datenschutzerklärung schreiben weil die IP Adresse zwingend verarbeitet werden muss wenn man eine Website besucht.
Das Problem ist nicht das Verarbeiten, sondern das Speichern. Und darauf muss sehr wohl in der DSE hingewiesen werden. Davon abgesehen muss der Nutzer die Möglichkeit haben, das Speichern seiner IP-Adresse zu unterbinden (bevor es passiert). Gegebenen Falls mit dem Resultat, dass er sich nicht einloggen kann. Aber er muss die Möglichkeit haben.
Ist ja nur für die Session gespeichert und nicht dauerhaft. Also quasi eine temporäre Speicherung, die meines Erachtens einer Verarbeitung entspricht. Aber ja, ist in dieser Situation gar nicht so leicht zu sagen.
Aber Zustimmung braucht es imho nicht, es wird ja nicht von der Cookies Richtlinie umfasst (wird ja nicht am Endgerät gespeichert). Opt-Out Möglichkeit entspringt ja aus der Cookie Richtlinie und nicht aus der DSGVO. Wenn man so ein Login baut kann man mit "berechtigtes Interesse" die Verarbeitung argumentieren
Nur damit du Bescheid weißt, rechtlich spielt es für die DSGVO absolut keine Rolle, wie du die Nutzerdaten abspeicherst. Nur weil du keine Cookies benutzt, heißt das nicht, dass du für technisch nicht notwendige Datenspeicherung keine Einwilligung brauchst.
Ob die Daten, die du speicherst, technisch notwendig sind, ist eine andere Frage.
Login über IP ist aber keine sinnvolle Idee
Die IP kann auch jeder sehen, noch eher wie die Session ID.
Auserdem gibt es auch shared IPs - zum beispiel beim Handynetz. Wie willst du die unterscheiden können?
Warum keine Cookies ?
Das wären doch notwendige Cokkies und keine Marketing Cookies die Freigeschaltet werden müssen.
Und wenn du doch eh schon ein Session-Cookie setzt, warum nicht den einfachen Login Status merken
Verstehe das Problem nicht
Ok, danke. Ich hatte das in einem Beitrag gelesen, und sowas verwirrt mich immer.