[PhoenixAT]

Guten Tag
Ich habe manchmal auf meiner Homepage Besucher, die ich nicht unbedingt oben haben möchte.
Kann mir jemand Helfen, wie ich alle IP's safen kann, die auf meiner HP waren?
Habe MySQL, PHP, alles oben auf meinem Server
Und womöglich auch gleich, wie ich diese IP's dann sperren kann.


Danke
PhoenixAT

[MNG]

Also, mit PHP und mySQL ist das simpel: Via

$_SERVER['REMOTE_ADDR']

kommst du an die IP-Adresse des Besuchers, die kannst du dann in eine Datenbank einfügen. Sperren kannst du eine IP dann, indem du beim Aufruf deiner Seite prüfst, ob die Besucher-IP schon in der Datenbank ist (und du sie als gesperrt markiert hast, oder wie auch immer du das realisieren willst).
Aaaaaaaber: Eine gute Idee ist das ganze nicht, aus mehreren Gründen. Erstens haben die meisten Besucher dynamische IPs, die sich bei jeder Einwahl ändern. Eine Sperrung ist hier also quasi sinnfrei. Zweitens handelst du dir ein Datenschutz-Problem ein, da du die IPs fremder Leute speicherst. Das kann Ärger geben, du brauchst dann eine Datenschutz-Erklärung. Das lässt sich umgehen, indem nur die Hashes der IP-Adressen speicherst und vergleichst. Schlußendlich könnten Besucher aber auch einfach über Proxys ihre IP vor dir verschleiern und die Seite trotz Sperrung dennoch besuchen. Das Ganze ist mMn. eher sinnlos. Hast du mit den Besuchern denn ein bestimmtes Problem, vielleicht lässt sich das auch anders lösen?

[PhoenixAT]

Also es ist ein Forum. phpbb.
Und es gibt Leute, die ich gerne davon fernhalten würde =)

[MNG]

Erfordert das Schreiben in deinem Forum die vorherige Registrierung? Dann solltest du dort ansetzen, bei einem kleinen Forum ist es bspw. praktikabel zu fordern, dass die Benutzer ihre ISP-Emailadresse angeben (also @t-online.de, @aol.de usw.) und keine Freemailer (gmx, hotmail usw.). Da die meisten Nutzer nur eine solche Adresse haben, kannst du die Störenfriede leicht anhand der Emailadresse wiedererkennen und die Registrierung ablehnen.
IP-Filter, Cookies, Captcha etc. sind gegen menschliche Störenfriede im Allgemeinen wenig bis gar nicht wirksam.

[Gitarremann]

Zitat (MNG: 09.07.2007, 21:04)

Also, mit PHP und mySQL ist das simpel: Via

$_SERVER['REMOTE_ADDR']

kommst du an die IP-Adresse des Besuchers, die kannst du dann in eine Datenbank einfügen. Sperren kannst du eine IP dann, indem du beim Aufruf deiner Seite prüfst, ob die Besucher-IP schon in der Datenbank ist (und du sie als gesperrt markiert hast, oder wie auch immer du das realisieren willst).
Aaaaaaaber: Eine gute Idee ist das ganze nicht, aus mehreren Gründen. Erstens haben die meisten Besucher dynamische IPs, die sich bei jeder Einwahl ändern. Eine Sperrung ist hier also quasi sinnfrei. Zweitens handelst du dir ein Datenschutz-Problem ein, da du die IPs fremder Leute speicherst. Das kann Ärger geben, du brauchst dann eine Datenschutz-Erklärung. Das lässt sich umgehen, indem nur die Hashes der IP-Adressen speicherst und vergleichst. Schlußendlich könnten Besucher aber auch einfach über Proxys ihre IP vor dir verschleiern und die Seite trotz Sperrung dennoch besuchen. Das Ganze ist mMn. eher sinnlos. Hast du mit den Besuchern denn ein bestimmtes Problem, vielleicht lässt sich das auch anders lösen?

Das kann nicht so ganz stimmen. So ziemlich jeder Counter mit ein bißchen Statistikfunktion speichert die IP-Adresse. Sind die alle am Rande der Legalität? Na dann "Sport frei" für die nächste Abmahnwelle.

[MNG]

@Gitarremann (feine Videos übrigens in deiner Signatur!):
Das ist wirklich nicht ganz ohne, siehe z.B.
https://www.datenschutzzentrum.de/wirtschaf...axis/120503.htm
Darum sicherheitshalber nur die Hashes von IP-Adressen speichern, das sollte rechtlich eindeutig gestattet sein, da ein Personenbezug nicht mehr herstellbar ist.

[mo]

MNG, lustigerweise gehen die gesetze zur zeit aber in die richtung (und ich glaube die sind schon quasie implementiert) dass man bald verdammt viel loggen muss das steht im krassen gegensatz zum datenschutz :/

zum loggen .. err... einfach die webserver funktionalität ausnutzen. apache und imho alle halbwegs ausgereiften (und wahrscheinlich auch die meisten unausgereiften server, wie der IIS *g*) können logfiles führen ... und idr auch direkt remote hosts sperren. es ist generell ne viel bessere idee, gegenstellen, die man abweisen möchte auf möglichst niedriger ebene abzuwehren... am besten wäre es natürlich gleich auf IP-ebene, sprich in der firewallkonfiguration (iptables zB) ... da kommt man aber auf das nächste problem, dass m an eigentlich auf keinen fall webscripten auch nur über umwege zugriff auf die firewall geben sollte (sei es auch nur über eine schnittstelle, im einfachsten fall eine datei, die dann von einem anderen skript mit rootpriviligien ausgelesen und umgesetzt wird). aber im webserver sehe ich da kein problem ... einfach in eine .htaccess beim apache die gegenstellen, die abgewiesen werden sollen auf DENY stellen und jut is. dann werden die skripte, die die gegenstelle aufrufen will nicht einmal gestartet, dann weist der webserver selber schon die anfragen ab (minimalisierung der angriffsfläche, in der firewallkonfiguration wäre es natürlich noch geschickter, aber das ist ja wie schon geschrieben problematisch wegen der erhöhten angriffsfläche, währen ein skript, dass die webserverkonfiguration erweitern (nicht grundlegend ändern!) kann im grunde nicht so schlimm wäre ... imho die bessere lösung ... )

bei jedem aufruf einer website eine relationale datenbank erst einmal fragen, ob der aufrufer das überhaupt darf ist schon heftig .. . keine ahnung was für einen load du erwartest, und wie viele gegenstellen du sperren möchtest. eine andere problematik kommt da aber auch sofort zum vorschein: die meisten ISPs vergeben dynamische ipaddressen. das heisst, dass eine gesperrte addresse gar nicht besonders lange (meistens insg. maximal 24 stunden) einer gegenstelle gehört... was machst du da? nach 24h die 'bans' wieder aufheben? scheint mir kein besonders guter schutz zu sein. ausser, du möchtest ein paar spastikern floodpostings zu wider machen ...

[Gitarremann]

Zitat (MNG: 09.07.2007, 22:10)

@Gitarremann (feine Videos übrigens in deiner Signatur!):

Und da sind die Holgers noch nichtmal dabei.

Zitat (MNG: 09.07.2007, 22:10)

Das ist wirklich nicht ganz ohne, siehe z.B.
https://www.datenschutzzentrum.de/wirtschaf...axis/120503.htm
Darum sicherheitshalber nur die Hashes von IP-Adressen speichern, das sollte rechtlich eindeutig gestattet sein, da ein Personenbezug nicht mehr herstellbar ist.

Hmm aber ich kann doch in Foren, also als Admin, User per IP sperren (auch wenn es bei dynamischen sinnlos ist, aber die Funktion ist ja zumindest da) oder ich kann mir als Moderator auch die IP von den Beitragsschreibern anzeigen lassen, also werden die Daten doch auch gespeichert und wenn die Forensoftware so eingestellt ist, dass ich auch als Gast schreiben kann und nicht angemeldet sein muß, dann gibts ja auch keine Einverständniserklärung, die zum Beispiel bei der Registrierung abgegeben werden könnte. Oder sämtliche Gästebücher speichern die IP-Adressen. Da muß ja auch Mißbrauch nachverfolgbar sein können. Schon komisch.