Wir speichern nicht!

Entsprechend der Aktion „Wir speichern nicht!“ habe ich heute dafür Sorge getragen, dass die IP Adressen unserer Leser nicht in den Error- und Accesslogs von Apache 2 gespeichert werden. Dies bedeutet, dass nicht ohne weiteres Rückschlüsse auf die Besucher dieser Webseite getroffen werden können.

Fast jeder private Internetnutzer bzw. an das Internet angebundene Haushalt in Deutschland besitzt während er mit dem Internet verbunden ist eine weltweit einmalige IP Adresse, welche ihm kurz- oder längerfristig von seinem Provider zugewiesen wurde. In der Regel sind nur die Provider in der Lage die IP Adressen rückwärts aufzulösen und den Anschlussinhaber zu ermitteln, da nur sie für die Verteilung von IP Adressen an Kunden in ihrem Netz zuständig sind. Dank der Entscheidung des Bundesverfassungsgerichtes die Vorratsdatenspeicherung zu kippen, ist auch diese Auflösung nur sehr zeitnah nach der Beendigung einer Verbindung möglich, da die Provider die Verbindungsdaten oft nur kurzfristig vorhalten. Unter Umständen reicht diese Zeitspanne den Behörden oder anderen jedoch aus, um aus der IP Adresse den eigentlichen Anschlussinhaber zu ermitteln. Nun ist es mehr oder weniger eine Prinzipssache schon auf Seiten der Webseitenbetreiber keine IP Adressen zu speichern. Weitere Informationen zu dem Thema unter wirspeichernnicht.de und vorratsdatenspeicherung.de.
Es folgt nun ein etwas technischerer Teil über die Umsetzung:
Da wir jedoch zu mindestens ein wenig über die Besucherzahlen auf der Webseite erfahren möchten, habe ich nicht einfach das Modul „removeip“ installiert. Stattdessen habe ich, basierend auf der Idee der Zentralen Datenschutzstelle der baden-württembergischen Universitäten (kurz ZENDAS) die IP Adressen mit Hilfe eines Perl Skriptes auf /16er-Netze zu reduzieren, ein Python Skript geschrieben, welches die IP Adressen durch ihren Hash ersetzt. Dieser Hash setzt sich aus Gründen des längerfristigen Schutzes der IP Adresse aber nicht nur aus dieser selbst zusammen, sondern beinhaltet auch noch einen sogenannten Salt, so dass es zur Erstellung einer Rainbowtable nicht ausreicht, einmalig alle möglichen IP Adressen durchzugehen. Ansonsten könnte eine einmal erstellte Rainbowtable dazu genutzt werden anhand des Hashes die eigentliche IP Adresse zu ermitteln.
Hier folgt nun eine kleine Anleitung zur Verwendung dieses Skriptes mit Apache. Voraussetzung ist Python 2.5 oder neuer.
1. Die Datei anon-apache2-log herunterladen und z.B. als /usr/bin/anon-apache2-log speichern.
2. In der Datei den SALT Wert nach eigenen Vorstellungen anpassen, so dass er möglichst einmalig und nicht all zu kurz ist.
3. Der Datei die Rechte zur Ausführung geben mit chmod +x /usr/bin/anon-apache2-log.
4. In der Apache Konfiguration (z.B. /etc/apache2/httpd.conf oder dem entsprechenden Virtual Host) die ErrorLog und CustomLog Zeilen entsprechend anpassen:

ErrorLog "|/usr/bin/anon-apache2-log /var/log/apache2/error.log"
CustomLog "|/usr/bin/anon-apache2-log /var/log/apache2/access.log" combined

5. Apache neustarten, z.B. unter Debian mit /etc/init.d/apache2 restart.
Das ist es schon gewesen. Von nun an werden alle IP Adressen nicht mehr im Klartext gespeichert. Wir nutzen momentan zur Auswertung der Logs das relativ alte, aber bewerte Statistik Tool Webalizer. Dies funktioniert auch nach der Verschleierung der IP Adressen weiterhin einwandfrei.

2 Gedanken zu „Wir speichern nicht!“

  1. War doch klar, dass Du das direkt technisch umsetzen wirst. *g*
    Ich meine: Einerseits finde ich es sehr gut zu wissen, wie das hier gehandhabt wird und noch besser finde ich, dass Du deine persönliche Überzeugung realisiert hast.
    Andererseits ist das für diese Seite doch kaum relevant, oder?

    1. Du hast die Frage im Prinzip selbst beantwortet. Ich habe den Artikel hier veröffentlicht um zu zeigen, wie es hier gehandhabt wird, wie es eigentlich überall gehandhabt werden sollte und gleichzeitig auch noch eine kleine technische Anleitung zu geben. Deshalb bin ich der persönlich der Meinung, dass dies auch für diese Seite relevant ist.

Schreibe einen Kommentar