WordPress Plugin: Hash Comment IP

Am Wochenende war ich ja einigermaßen baff war angesichts des Falles, in dem Stefan Niggemeier vom Berliner Datenschutzbeauftragten eine Geldbuße in Höhe von 50.000 Euro angedroht wurde, da er in seinem Blog die IP- und Mailadressen der Kommentatoren speichert.

In meinen Kommentaren verwies dann jemand auf das WordPress Plugin 123 AntiVDS 0.10, welches verhindert, dass eMail-Adresse, Name und IP-Adresse eines Kommentators gespeichert werden. Es wird einfach ein leerer String in die Datenbank geschrieben und gut ist. Schon mal nicht schlecht.

Stefan verweist in seinem Beitrag aber auch auf die Notwendigkeit, gewisse Störer erkennen zu können und schnell sämtliche Beiträge dieser Leute zu finden, wenn sie beispielsweise nachts aus Langweile das Blog vollmüllen. Ohne gespeicherte IP-Adresse in dieser Form unmöglich.

Ein Kompromiss wurde in Stefans Kommentaren auch vorgschlagen: Statt der IP-Adresse einfach einen Hash-Wert speichern. Es befindet sich dann keine IP-Adresse mehr in der Datenbank und der Blogger hat dennoch die Möglichkeit, Kommentare (bei gleichbleibender IP-Adresse) einem Kommentator zuzuordnen. Was für den Fall, den Stefan beschreibt, ausreichen sollte.

Genau das mach nun mein Mini-Plugin Hash Comment IP, welches ich mir gestern mal fix gestrickt habe und das seitdem hier Verwendung findet. Es hat keinerlei Einstellungsmöglichkeiten, einfach nur den entpackten Ordner in Euer WordPress Plugin-Verzeichnis kopieren, das Plugin aktivieren und fertig. Für sämtliche Kommentare wird dann ab sofort nur noch ein Hash-Wert statt der IP-Adresse gespeichert.

Hinweis: Bereits in der Datenbank gespeicherte IP-Adressen bleiben davon ausgenommen, sie werden (noch) nicht nachträglich durch einen Hash-Wert ersetzt!

Download Version 0.1

Tags: , , ,

  • anonym

    Die Idee hatte ich vor ein paar Jahren als das zum ersten mal aufkam auch (oder wahrscheinlicher irgendwo gelesen).
    Das Problem ist allerdings, dass der Raum aller MD5s (128bit) deutlich größer ist als der aller IP-Adressen (32Bit – x ungenutzte)

    Man kann also mehr oder weniger schmerzfrei eine Rainbow-Table erstellen (geschätzte zwei Tage auf einem Single-Core mit einem unoptimierten Programm. Da kann man mit mehr Power und optimierten Code sicher noch einiges rausholen. Salten bringt also auch nicht viel) und jederzeit die IP-Adressen zurückmappen.
    Man hat im Prinzip ein vdL-Stoppschild vor die IP-Adresse gestellt an die man immer noch einfach rankommt. 😉

    Für die Zwecke, die im anderen Blog beschrieben werden, reicht es aber auch 1/8 oder sogar nur 1/16 der MD5 zu speichern und auszusperren oder zu moderieren.

    Für Statistikzwecke habe ich damals sogar nur 3 Zeichen der MD5 gespeichert. Reichte immer noch um Besucher zu unterscheiden aber nicht identifizieren können.

  • anonym

    Vergessen: Viele Leute kann man sicher trotzdem mit so einer MD5-Summe überzeugen, mit etwas Glück auch Datenschützer oder Richter 😉

    Wenn in den Webserver logs noch die IP steht ist der ganze Aufwand bei low-traffic Seiten eh überflüssig. Man kann ja leicht nachvollziehen welche IP um diese Uhrzeit die Kommentar-url gePOSTed hat.

    Ist also alles Mist und nur Workaround um eine bescheuerte Rechtslage :-/

  • Letztlich gilt das zuletzt gesagte für jede Lösung. Es ist immer nur ein Workaround. Zumindest wenn man sich tatsächlich ein paar grundlegende Steuermechanismen erhalten will.

    Spielt das jedoch keine Rolle, dann klar das andere Plugin nehmen, da steht dann nix in der Datenbank. Zusätzlich den Apache (oder was auch immer) so konfigurieren, dass keine IP-Adressen in den Logs gespeichert werden, ist ja kein Problem. Allerdings nur, wenn man selbst Kontrolle über den Webserver hat. Wer bei irgendeinem Hoster ein Standard-Paket kauft, hat da keine Chance.

  • Der Commentator

    Es gibt schon einige Hoster, die auch, per Konfiguration einstellbar, anonymisierte Logs speichern. Zumindest das, was dann der Kunde als Logdatei runterladen kann. Als Beispiel kann ich Host-Europe nennen.

    Interessanter Ansatz mit dem Hashwert. Ich hatte das mal für die E-Mail-Adresse probiert, um somit zumindest die Option „muss der Autor bereits einen zugelassenen Kommentar geschrieben haben“ zu erhalten. Es gab dann allerdings Probleme mit den Cookies, die ja die Felder Name und eMail im Kommentarformular vorbelegen.

    Vielleicht erweitere ich das AntiVDS-Plugin noch um Hash-Werte für IP und E-Mail, ist schon eine Weile her. Möglicherweise bekomme ich das mit den E-Mail-Adressen ja irgendwie hin.

  • Ich stelle mir in dem Zusammenhang die Frage der Nachweisbarkeit. Also wie will derjeniger, der mich abmahnt, nachweisen, dass ich IP-Adressen speichere.

  • Pingback: Putzlowitscher Zeitung()

  • Niggermeier

    Ach der Niggemeier hat doch immer was zum Rummeckern und Rummosern. Zahlen soll er – schluss aus basta.

  • Kaum taucht der Name Niggemeier auf, kommen auch schon die Trolle…