Mike Kuketz
16. April 2018 | 09:10 Uhr

Datenschutzerklärung: Ein Blick hinter die Kulissen

Aktuell werden die bestehenden Datenschutzhinweise für die anstehende Datenschutz-Grundverordnung (DSGVO) überarbeitet.

Im Zuge dieser Überarbeitung möchte ich euch einen kleinen Einblick hinter die Kulissen (und Sicherheitsmaßnahmen) eines Webservers gewähren, weil ich den Eindruck habe, dass die dahinterliegende Technik für einige von Interesse ist – insbesondere im Zusammenhang mit einer Datenschutzerklärung.

Sobald ihr den Kuketz-Blog oder das Forum im Browser aufruft, wird zunächst eine TLS-verschlüsselte Verbindung zwischen dem Webserver und eurem Browser ausgehandelt. Systembedingt überträgt euer Browser dabei ein paar Informationen. Unter anderem:

Der Webserver (nginx) nimmt den HTTP-Request eures Browsers anschließend entgegen und verabeitet dabei folgende Daten:

www.kuketz-blog.de 217.110.34.132 - - [16/Apr/2018:08:32:33 +0200] "GET /ublock-origin-schutz-gegen-tracker-und-werbung/ HTTP/2.0" 200 23876 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2900.1 Iron Safari/537.36"

Aufgeschlüsselt im Detail verarbeitet nginx folgende Informationen:

  • Der Host, der aufgerufen wird: www.kuketz-blog.de
  • Von welcher IP-Adresse der Aufruf stammt: 217.110.34.132
  • Datum / Uhrzeit des Aufrufs: 16/Apr/2018:08:32:33
  • Um welche Art von HTTP-Request es sich handelt: GET
  • Die URL, die aufgerufen wird: /ublock-origin-schutz-gegen-tracker-und-werbung/
  • Der HTTP-Statuscode: 200
  • Der User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2900.1 Iron Safari/537.36

Serverseitig werden diese Informationen temporär von unterschiedlichen Diensten verarbeitet und ausgewertet:

  • Der Webserver nginx hat unter anderem folgende Schutzmechanismen konfiguriert:
    • Eine Blacklist mit User-Agents (Bad Bot Blocker), die keine HTTP-Requests absetzen dürfen und blockiert werden.
    • Eine Blacklist (auf Basis von Spamhaus) mit IP-Adressen, die keine HTTP-Requests absetzen dürfen und blockiert werden.
    • Eine Blacklist mit HTTP-Referern, die keine HTTP-Requests absetzen dürfen und blockiert werden.
    • Es sind nur bestimmte HTTP-Requests erlaubt (GET, HEAD & POST).
    • Ein Schutz vor Denial-of-Service Angriffen.
    • Ein Rate Limit für POST-Requests.
    • […]
  • Die Web-Application-Firewall (WAF) NAXSI schützt unter anderem vor XSS- und SQL-Injection Versuchen.
  • Das Host-Intrusion-Detection-System OSSEC reagiert auf Systemebene unter anderem auf Port-Scans, SSH-Probing und andere Vorläufer eines Angriffs.

Damit diese Schutzmechanismen zuverlässig und effizient funktionieren werden die nginx Log-Files für einen Zeitraum von 24 Stunden vorgehalten und anschließend automatisiert gelöscht. Die Log-Files werden also nicht gespeichert, sondern nach 24 Stunden dann verworfen. Die übermittelten Informationen werden – entsprechend der Gesetzesintention -, also nur zum Zweck der Aufrechterhaltung meiner Webservices verwendet.

Zu Analyse-, Werbezwecken oder Ähnlichem werden die Informationen grundsätzlich nicht verwendet.

Hinweis

Gestern Abend habe ich die Datenschutzhinweise noch ergänzt. Es fehlte der Hinweis, dass das Forum Cookies setzt.
Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
Elektroauto-Ladeapp-Test
10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.
Chrome
16. November 2021

Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21

Der Google Chrome Browser: Schnell und sicher, aber garantiert ein Fehlgriff für datenschutzsensible Nutzer.
Opera
29. Juni 2021

Opera: Datensendeverhalten Desktop-Version – Browser-Check Teil13

Die Voreinstellungen des Browsers sind eine Katastrophe – insgesamt hinterlässt Opera einen geradezu datenschutzfeindlichen Gesamteindruck. Am besten schützt man seine Privatsphäre und Sicherheit mit der Deinstallation von Opera.
Microsoft Edge
17. Mai 2021

Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4

Der Browser Microsoft Edge ist ein schwerer Datenschutzunfall. Selbst im privaten Modus wird die komplette URL in die Microsoft-Cloud übermittelt.
eBay Kleinanzeigen
24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.