wie nutzer aus gleichem netzwerk unterscheiden?

5 Antworten

Kannst du vergessen.

  • Cookies und Sessions sind nutzlos, denn Cookies kann man löschen. Dann wäre der Account weg. Ausserdem wäre es dann Browser-Gebunden.
  • IPs sind nutzlos, denn sie ändern sich regelmäßig und identifizieren nur ein Netzwerk, keine einzelne Person

Mach am besten einfach ein typisches Nutzername/Email + Passwort Login-System.

Woher ich das weiß:Hobby – Erfahrener Programmierer und Informatik-Student

sowas will ich aus sicherheitsgründen eher vermeiden

0
@Mensch4

Das ist aus Sicherheitsgründen sogar das Beste - wenn man es richtig macht. Wie schon kommentiert: Insbesondere in Kombination mit WebTokens ist es gut.

1
@Mensch4

Dann mit Zertifikaten / OAuth oder JWT. Aber du glaubst doch nicht allen Ernstes, Login via IP wäre sicherer als username/passwort ?

1
@Mensch4

Ohne SSL-Zertifikat eine Webseite mit irgendeiner Art Login zu betreiben ist ohnehin fahrlässig und vermutlich noch nicht einmal DSGVO-konform. Wenn Du keines hast, dann kaufe eins. Wenn Du kein kostenloses mit LetsEncrypt nutzen kannst, dann wirst Du die 17$ für 5 (!!) Jahre ja wohl aufbringen können: https://www.ssls.com/cart

0
@ohwehohach

deshalb sage ich ja, besser kein login ;)

0
@ohwehohach

SSL Zertifikat seh ich generell als Pflicht an. In Zeiten von Let's Encrypt muss keiner mehr dafür bezahlen. Was ich eher meinte wäre ein zertifikatbasiertes Loginsystem.

0
@Mensch4

Was Du da machen willst, ist zum einen ebenso ein Login und sogar ebenso unsicher (wenn nicht sogar noch unsicherer).

2
@Mensch4

Du willst es aus sicherheitsgründen vermeiden? xD

Das was DU da machst, ist unsicher. Ein normaler Login ist da um einiges besser. Wenn man ihn richtig macht.

0
@ohwehohach

die accounts sollen weniger eine richtige user identät darstellen, mehr nur eine kleine unterstützung

0
@Mensch4

ok, ich steig an der Stelle aus. Die Frage ist viel zu unkonkret gestellt und wirft mehr Fragen auf, als es klar macht. Warum sollen denn zB Nutzer aus dem selben Netzwerk nicht unterschieden werden können? Bei deinem Ansatz hieße es eine IP, ein Nutzer. Da musst du gar nix mit Netzen rechnen. Schon gar nicht wenn die Webseite im Internet ist. Und wenn von einer konkreten IP (Endpunkt) mehrere Nutzer kommen können sollen, dann ist die IP einfach das falsche Erkennungsmerkmal. Punkt!

1

Du kannst anhand der SessionID versuchen (Die ist für jeden Browser einzigartig und generiert sich mit mit neu öffnen von dem Browser immer wieder neu) den Benutzer unterscheiden, gibt aber keinen Garant einen Benutzer im Netzwerk/Internet zu unterscheiden.

Quelle: https://stackoverflow.com/a/56301361

Woher ich das weiß:Beruf – > 15 Jahre

Was hast du denn für eine Webseite, dass da die Speicherung der IP zwingend notwendig ist?

Laut DSVGO brauchst da dafür nämlich schon eine gute Begründung.

nein, die ip soll mehr der identifikation des einzelnen users dienen, anstelle von einem account system

0
@Mensch4

Ändert aber nichts daran, dass du die nicht zu speichern hast, wenn es nicht zwingend notwendig ist.

Bei einem Login-System kann nicht von einer "zwingenden Notwendigkeit" die Rede sein, da du das Ganze ja auch anders lösen kannst.

Kann dann mal schnell teuer werden.

0
@BionicSix

okay, dann werd ich mir ne andere möglichkeit suchen, aber abgesehen von mir, was íst das datenschutzgestz schon wert wenn es keiner nachprüfen kann, ich mein, es geht keiner her und verlangt den code von facebook oder google, wer weiss was die so treiben

0
@Mensch4
ip soll mehr der identifikation des einzelnen users dienen,

Umso schlimmer! Das ist nämlich erst Recht nicht DSGVO-Konform.

0
@Mensch4
aber abgesehen von mir, was íst das datenschutzgestz schon wert wenn es keiner nachprüfen kann, ich mein, es geht keiner her und verlangt den code von facebook oder google

Hast Du eine Ahnung... Da muss nur ein User herkommen und klagen, dass Du seine persönlichen Daten missbrauchst. Und wie schon gesagt ist das eine datenschutzrechtliche Katastrophe, Deine Idee. Was passiert, wenn ich heute die IP-Adresse a.b.c.d habe und morgen jemand ganz anderes? Dann hat plötzlich jemand völlig Fremdes Zugriff auf meine persönlichen Daten. Fang schon mal an zu sparen...

0
@ohwehohach

nein, es werden ja niemals persönliche daten gespeichert werden, das ist ja das was ich meine,

aber willst du sagen dass irgendeine regierung den code von einem unternehmen verlangen darf???

0
@Mensch4

Das vermutlich nicht, aber entsprechende Nachweise. Und ja, das wird auch kontrolliert, wenn es entsprechende Anzeigen gibt.

0
@ohwehohach

aber wie soll man das kontrollieren können, die werden ja nicht hergehen und nen hackangriff starten :)

0
@Mensch4

Nein, die kommen dann schon bei Dir vorbei...

https://www.haufe.de/compliance/recht-politik/datenschutz-grundverordnung/dsgvo-aufsichtsbehoerden-und-sanktionen_230132_517860.html

So verfügen die Aufsichtsbehörden neben weitreichenden Untersuchungs- und Abhilfebefugnissen nach Art. 58 DSGVO auch über die Möglichkeit, Bußgelder zu verhängen.

Und was steht in Art 58 DSGVO? Unter anderem folgendes:

den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,
den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,
gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.

Fang schon mal an zu sparen :-)

0

mit Username und Passwort anmelden und dann ein Cookie mit langer Laufzeit setzen.

Du hast schon daran gedacht, dass sich IP-Adressen auch ändern können?

ja, das ist nicht so ein großes problem

0

Was möchtest Du wissen?