Aus gegebenem Anlass: #CryptPad ist zwar ein #ZeroKnowledge-Dienst (weil Dokumente nur #E2E-verschlüsselt gespeichert werden), aber wenn man ihn hinter einem Webserver betreibt, der #Metadaten wie die IP-Adresse loggt, sind die Nutzenden nicht wirklich anonym.
Bekanntlich sagte der frühere NSA- und CIA-Direktor Michael Hayden: “We kill people based on metadata”
Wir haben eben nochmal nachgesehen, um sicher zu gehen, dass https://cryptpad.digitalcourage.de keine #AccessLogs schreibt. In /etc/nginx/nginx.conf steht deshalb folgendes:
http {
…
access_log /dev/null;
error_log /dev/null;
…
}
Bei https://digitalcourage.social und https://nuudel.digitalcourage.de ist das genauso konfiguriert.
Damit sind unsere User auf der sicheren Seite.
@digitalcourage Laut GDPR muss der Webserver doch eh so eingestellt sein, dass die IPs nicht Personen zugeordnet werden können, oder?
Das ist aber bei den üblichen Webservern immer noch nicht die Voreinstellung, obwohl es dafür anno 2000 einen der ersten #BigBrotherAwards gab und die #DSGVO auch #PrivacyByDefault vorschreibt.
https://bigbrotherawards.de/2000/sonderpreis-szene-apache
/c
Hartmut Goebel @ArneBab Daher suche ich (zugegeben nicht sehr intensiv) seit Jahren #Apache- und #nginx-Entwickler, um diese IP- Anonymisierung in der Kern zu bringen.
https://nerdculture.de/@kirschwipfel/102175428061092040
@digitalcourage
@kirschwipfel @digitalcourage Ich habe das grade hierdurch eingestellt: https://adminforge.de/webserver/ip-adressen-in-apache2-und-nginx-anonymisieren/
@ArneBab Oh, das Modul gibt es bereit für Apache?! Sehr schön, sehr schön. Muss es nur noch default werden. Und nginx braucht auch eines. @digitalcourage
@kirschwipfel @digitalcourage Im Leitfaden steht nginx auch — das brauchte nur eine bessere default config.
@digitalcourage Das ist nicht die Voreinstellung? … yikes!
https://dryads-wake.1w6.org/ hat jetzt GDPR-konformes Logging …
Danke für die Warnung!