Letzer Login - Datenschutz? (German / Deutsch)

by hintersatz, Saturday, November 21, 2020, 16:01 (1249 days ago)

Liebe Entwickler,
im Rahmen einer in unserem Forum etwas ausufernden Duiskussion um rechtliche Zusammenhänge wurde ich von unserem Rechtsexperten darauf aufmerksam gemacht, daß die Möglichkeit für Benutzer, das letzte Login eines anderen Benutzers abzurufen, gegen die Datenschutzgrundverordnung verstößt, da der letzte Login eines Benutzers nunmal zu seinen schützenswerten Daten gehört.
Darüber hinaus sind die Angaben zum letzten Login nach meiner Beobachtung ohnehin zu relativieren, da das Script automatische Anmeldungen hier gar nicht registriert. Ich hatte schon mal den Extremfall eines Benutzers, der sich laut "letztem Login" das letze Mal vor 3 Jahren angemeldet hatte, de facto das Forum aber fast täglich benutzt.
Es wäre schön, wenn die Sichtbarkeit des "letzten Logins" eines anderen Benutzers abgeschaltet werden könnte, und wenn auch tatsächlich alle Anmeldungen, auch die automatischen, registriert würden.
Vielen Dank für eure Arbeit und liebe Grüße

Avatar

Letzer Login - Datenschutz?

by Micha ⌂, Saturday, November 21, 2020, 17:11 (1249 days ago) @ hintersatz

Hallo,

zumindest der relevante Teil ist tatsächlich bereits implementiert - mindestens in der 2.4.99er Version -, siehe nachfolgenden Screenshot:

[image]

Das der Login von Nutzern, die sich automatisch anmelden, nicht gezählt wird, ist mir neu und würde tatsächlich einen Fehler darstellen. Insbesondere habe ich im 2.5er Zweig eine Funktion eingebaut, die Karteileichen löschen soll, wenn diese lange nicht angemeldet waren.

Wie wird dies umsetzen/beheben, ist mir jedoch noch nicht ganz klar, da nicht ohne weiteres unterschieden werden kann ob ein Nutzer nur sehr lange etwas liest oder eben tatsächlich nicht mehr im Forum ist. Vielleicht hat Auge eine Idee.

Viele Grüße
Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

auto_login.php

by Taurec, Sunday, November 22, 2020, 09:30 (1248 days ago) @ Micha

Hallo!

Sollte der Wert "last_login" nicht in der auto_login.php aktualisiert werden, und zwar in Zeile 68?

@mysqli_query($connid, "UPDATE ". $db_settings['userdata_table'] ." SET logins=logins+1, last_login=NOW(), last_logout=NOW(), user_ip='". mysqli_real_escape_string($connid, $_SERVER['REMOTE_ADDR']) ."', pwf_code='', language='". mysqli_real_escape_string($connid, $language_update) ."', time_zone='". mysqli_real_escape_string($connid, $time_zone_update) ."', theme='". mysqli_real_escape_string($connid, $theme_update) ."' WHERE user_id=". intval($user_id));

Diese ist abhängig von einem gesetzten Cookie in Zeile 7:

if (empty($_SESSION[$settings['session_prefix'].'user_id']) && isset($_COOKIE[$settings['session_prefix'].'auto_login']) && isset($settings['autologin']) && $settings['autologin'] == 1) {
 

Dem entsprechend wird die Zeit der letzten Anmeldung im Nutzerprofil aktualisiert, wenn ich den Browser komplett neu starte (sei es nach Schließung aller Browserfenster oder nach Neustart des PCs) und mich im Forum per Autologin anmelde.
Die Zeit wird allerdings nicht aktualisiert, wenn ich lediglich alle Tabs schließe, in denen das Forum aufgerufen ist, den Browser aber nicht komplett schließe. Das selbe, wenn ich lediglich ein Forumstab aktualisiere. Dies zählt logischerweise noch zur selben Sitzung. (Gerade getestet.)
Vermutlich wären drei Jahre ohne neue Anmeldung nur möglich, wenn
1. in den Forumseinstellungen der Wert "cookie_validity_days" auf 0 gesetzt ist (Cookie verfällt nicht), vgl. hier.
2. man ständig nur den Rechner in den Ruhezustand versetzt und dabei stets das selbe Browserfenster offen läßt, was mir sehr unwahrscheinlich vorkommt.

Gruß
Taurec

Avatar

auto_login.php

by Micha ⌂, Sunday, November 22, 2020, 10:19 (1248 days ago) @ Taurec

Hallo,

Sollte der Wert "last_login" nicht in der auto_login.php aktualisiert werden, und zwar in Zeile 68?

Perfekt, Danke fürs nachsehen!

Du hast recht und ich konnte in meinem Forum gerade nachvollziehen, dass es sich so verhält, wie Du es beschrieben hast. Wenn man alles schließt und dann wieder öffnet, wird der login gezählt. (Ich war erst etwas irritiert, da ich das automatische einloggen bei mir nicht erlaube.)

Insofern scheint das bereits zu funktionieren.


Viele Grüße
Micha

--
applied-geodesy.org - OpenSource Least-Squares Adjustment Software for Geodetic Sciences

Avatar

auto_login.php

by Auge ⌂, Thursday, December 03, 2020, 08:11 (1237 days ago) @ Taurec

Hallo

Dem entsprechend wird die Zeit der letzten Anmeldung im Nutzerprofil aktualisiert, wenn ich den Browser komplett neu starte (sei es nach Schließung aller Browserfenster oder nach Neustart des PCs) und mich im Forum per Autologin anmelde.

Die Zeit wird allerdings nicht aktualisiert, wenn ich lediglich alle Tabs schließe, in denen das Forum aufgerufen ist, den Browser aber nicht komplett schließe. Das selbe, wenn ich lediglich ein Forumstab aktualisiere. Dies zählt logischerweise noch zur selben Sitzung. (Gerade getestet.)

Eben. Der per Cookie für den Browser ermittelbare Wert ist die Browsersitzung. Die endet dann, wenn das Programm beendet wird.

Vermutlich wären drei Jahre ohne neue Anmeldung nur möglich, wenn
1. in den Forumseinstellungen der Wert "cookie_validity_days" auf 0 gesetzt ist (Cookie verfällt nicht), vgl. hier.

Wenn man sich lange genug nicht mit dem Browser im Forum anmeldet (zum Beispiel drei Jahre lang) und das Angemeldet-bleiben-Cookie verfällt, wird auch ein neuer Login ausgelöst. Ist das nicht der Fall …

2. man ständig nur den Rechner in den Ruhezustand versetzt und dabei stets das selbe Browserfenster offen läßt, was mir sehr unwahrscheinlich vorkommt.

… wie zum Beispiel in dem soeben von dir beschriebenen Szenario, zählt alles, wie von dir konstatiert, zu einem Login.

Tschö, Auge

--
Trenne niemals Müll, denn er hat nur eine Silbe!

RSS Feed of thread