Forum: PC-Programmierung Wie mit PHP eine geheime Datenerfassung machen?


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Peter (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hallo.

Ich möchte eine PHP Anwendung machen die von vielen Personen Daten 
regelmässig (2-12 mal pro Jahr) erfassen soll. Diese Daten werden von 
den Personen freiwillig eingegeben und dann Ausgewertet. Der Teil ist 
fast fertig.

Es wird zwar passieren das mal einige keine Daten eintragen, aber das 
ist dann wohl mehr Statistik und wie man sie verfälscht.
Wobei ich hier gerne eine Erinnerungs Mail senden würde, die ich nie 
zusehen bekomme. Das wäre später noch eine nette Erweiterung und muss 
jetzt nicht laufen.

So nun sollen diese Daten aber anonym bleiben, weder mir noch jemand 
anders soll jemals Daten den Personen zuordnen können.
Auch soll nie rauskommen wer Daten geliefert hat und wer nicht.

Das System muss wohl per Login abgesichert werden, aber auch das sollte 
nicht nachvollziehbar sein. Alle Log Files und IP Adressen Auswertungen 
sind logischerweise aus, bzw dürfen keinen Bezug zu den Daten haben!

Hat dazu einer von Euch eine Idee wie man das machen könnte?

Viele Grüße
Peter

von waflija (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Du lässt eine Anzahl von x Token generieren und schickst jedem 
Teilnehmer einen zu. In einer Liste schreibst du dir dann nur auf, 
welche du herausgegeben hast und das Verfallsdatum. Dann markierst du 
einfach die Token, die schon benutzt wurden.

Persönliche Erinnerungsmails sind so natürlich nicht möglich, aber die 
Auslieferung der neuen Token ist ja dann quasi die Erinnerung.

Ist der Token lag genug (z.b. 30+ Zeichen) brauchst du auch kein Login.

PS: Pass auf, denn dein Server und der Provider loggen natürlich. Du 
solltest daher entsprechend auch das logging dort prüfen und abschalten, 
wen du viel Wert auf Privatsphäre legst.

von c.m. (Gast)


Bewertung
0 lesenswert
nicht lesenswert
der begriff ist "anonym" und nicht "geheim".

und nein, das geht nicht, weil zurückverfolgbare daten immer da sind, 
und logging immer wieder eingeschaltet werden kann - also streng 
"anonym" aus sicht der datenlieferanten.

das problem ist schon, dass du nicht willst das ein hansel dir 50000 
datensätze unterschiebt - also brauchst du eine freigeschaltete ID.
und genau so wird uns das hier im büro verkauft wenn wieder mal die 
zufriedenheitsumfrage gemacht wird.
da heißts dann "ist anonym", und die URL die man per mail zugeschickt 
bekommt ist dann:

http://server/dieUmfrage?userid=a78d6a6

von MaWin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Peter schrieb:
> Hat dazu einer von Euch eine Idee wie man das machen könnte?

Man trnnt im Moment des Empfangs Daten vom Absender,
vermerkt nur für den Absender daß er was beigetragen hat mit Datum,
und speichert die Daten in der Datenbank anonymisiert.

Das setzt natürlich voraus, daß in den Daten kein Rückschluss auf den 
Absender möglich ist, z.B. Adresse nicht Bestandteil der Daten ist.

Dann kann nur im Moment des Empfangs durch Abfangen der eMail ein 
Rückschluss auf einen einzelenn Datensatz gezogen werden, aber später 
nicht mehr.

Da viele Datenbanken ihre Transaktionen in einem LOG vermerken, und man 
an Hand der Zeitstempel sehen könnte, weann ein Eintrag in die 
"Empfangs" Datei und ein Eintrag in die "Statistik" Datei gemacht wurde, 
und bei gleichem Zeitstempel die Daten wohl zusammengehören, müsste man 
diese Zeitstempel und LOG Dateien abschalten oder verfälschen.

von Peter (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Das mit den Token ist glaube ich der richtige Ansatz.

Ich hatte auch schon an eine Art TAN-Liste gedacht.

Wenn ich das jetzt mal beschreibe was ich aus Euren Antworten und meiner 
1. Idee zusammen basteln würde:

- Ich habe von jedem die Mail-Adresse!
- Jeder bekommt einen speziellen Start Token aus dem System per Mail
- Das System generiert eine extra lange Token Liste und bedient sich 
daraus
- Ausserdem wir die Datenbank mit Dubletten voll gepackt
- Mit dem Start Token kann man sich einlogen, kann keine Daten eingeben 
und bekommt einen neuen Token aus der Liste
- Das System Markiert willkürlich weitere als vergeben
- Damit kann man sich einlogen, Daten eingeben die ersetzen die Dublette

Die Zuordnung Dublette und neue Daten, wie könnte man das machen?
Eignetlich müsste der Token doch dafür herhalten können.

Jetzt gibt es nur noch die Zeitstempel Probleme und so weiter.


Personen Daten sind nur in der Mail-Liste drin!
Aber die Daten sind sensiebel und sollten darum nicht zugänlich und 
zugeordnet werden können.
Als Beispiel:
Wer sagt schon gerne öffentlich was er Verdient, Schwarzgeld bekommt und 
wofür er es ausgibt.
Darum geht es bei mir zwar nicht aber ich glaube Ihr versteht was ich 
meine.

Viele Güße
Peter

von Weinbauer (Gast)


Bewertung
0 lesenswert
nicht lesenswert
"sensible" oder gar strafrechtlich relevante Daten würde ich NIEMALS in 
egal wie sichere Programme oder gar im Webformular eingeben.
Am Ende merkt sich der Browser die Eingaben und die Gestapo braucht nur 
im Browser nachschauen ...

Wenn Du so sensible Daten abfragst kannst Du davon ausgehen, das Du die 
Statistische Auswertung glatt vergessen kannst weil realitätsfern.

Frag mal die Leute wer andere schwarz für sich arbeiten ließe, dann sagt 
Dir >90% "niemals" ... Aber beim Elektriker fragen was "geht" wenns 
keine Rechnung braucht.

von waflija (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Peter schrieb:
> Aber die Daten sind sensiebel und sollten darum nicht zugänlich und
> zugeordnet werden können.
> Als Beispiel:
> Wer sagt schon gerne öffentlich was er Verdient, Schwarzgeld bekommt und
> wofür er es ausgibt.
> Darum geht es bei mir zwar nicht aber ich glaube Ihr versteht was ich
> meine.

Also wenn sie die Daten wirklich auf dem Level bewegen sollte man den 
Teilnehmern a) empfehlen eine neue wegwerf-email zu machen und b) Tor 
oder ähnliches zu benutzen. Aber der Aufwand ist dann sehr hoch.

Du muss immer damit rechnen das jemand mit liest und protokolliert. 
Besonders wenn es nicht dein Server ist, sondern nur gemieteter 
Webspace. Im Zweifel hängt auf jeden Fall immer noch ein switch, router 
oder die NSA dazwischen.

von Nop (Gast)


Bewertung
0 lesenswert
nicht lesenswert
waflija schrieb:
> Im Zweifel hängt auf jeden Fall immer noch ein switch, router
> oder die NSA dazwischen.

Daß man so eine Umfrage nur über https und nicht über http macht, sollte 
doch selbstverständlich sein.

von waflija (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Nop schrieb:
> waflija schrieb:
>> Im Zweifel hängt auf jeden Fall immer noch ein switch, router
>> oder die NSA dazwischen.
>
> Daß man so eine Umfrage nur über https und nicht über http macht, sollte
> doch selbstverständlich sein.

Das HTTPS nicht gegen alles schützt sollte dir bewusst sein. Vor allem 
wenn du keinen physischen Zugriff auf den Server hast und die 
Infrastruktur davor. - Was nützt https z.B. wenn die Daten danach 
unverschlüsselt zum NAS / EVA laufen?
- Wer sagt dir, dass der Webhoster nicht standardmäßig ein MITM macht im 
Firewall?

von Alexander J. (Gast)


Bewertung
0 lesenswert
nicht lesenswert
waflija schrieb:
> Also wenn sie die Daten wirklich auf dem Level bewegen sollte man den
> Teilnehmern a) empfehlen eine neue wegwerf-email zu machen und b) Tor
> oder ähnliches zu benutzen. Aber der Aufwand ist dann sehr hoch.

Tor ist nur eine sichere Alternative (z.B. für Whistleblowing) wenn der 
der Tippnehmer einen Server innerhalb des Tornetzes betreibt.
Bei Tor sollte man einem Exitserver nur bedingt bis gar nicht vertrauen.

von Nop (Gast)


Bewertung
0 lesenswert
nicht lesenswert
waflija schrieb:

> Das HTTPS nicht gegen alles schützt sollte dir bewusst sein.

Gegen die erwähnten Abgriffe auf Routern und Switchen schon, das ist der 
Sinn von https. Wobei ich schon voraussetze, daß das auch vernünftig 
konfiguriert ist, weil ansonsten z.B. Downgrade-Attacken möglich sind, 
aber das kriegt man ja mit ssllabs.com leicht raus.

von Peter (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
An sowas wie mitlesen uns soweiter habe ich noch nicht gedacht.
Wäre mir aber bestimmt noch eingefallen. Https sollte aber für das 
meiste schon reichen.

Tja die Datenbank steht nun auch auf dem Server und kann jeder Zeit 
abgefragt werden. Das muss dann irgendwie sichergesetllt sein das da 
niemand was sehen kann oder halt zuordnen kann.

Sensible sind die Daten schon aber nicht Strafbar.
Sind Geschäftsdaten von etlichen Firmen die logischerweise nicht wollen 
das die Mitbewerber die bekommen.
Es geht am Ende halt um einen Trent der Verkaufszahlen.

Also so was wie: Wasserkocher <20€ +10% ; 20€-40€ +2%; >40€ -7%

WEEE nur sauber aufgeschlüsslt und für die Firmen zugänglich.

Den Server bei einem Notar hin zustellen um das vertrauen zum Notar zu 
haben macht wohl keinen Sinn. Da kann man gleich einen Brief an den 
Notar senden und der erstellt die Statistik, was ich auch blöd finde.
Wobei wenn ich hier schon einen Notar ins Spiel bringe dann könnte der 
ja die ganzen Token erzeugen und per Post versenden, auch blöd.


Am Ende kann man das halt für alles nutzen was man will.
Das Projekt wird dann wenn es fertig ist als opensource freigegeben.
Wenn es dann noch jemand nutzt bringt es vielleicht noch einige 
Sicherheits Pluspunkte.

Viele Grüße
Peter

von Vn nn (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Peter schrieb:
> Wobei wenn ich hier schon einen Notar ins Spiel bringe dann könnte der
> ja die ganzen Token erzeugen und per Post versenden, auch blöd.

Damit liegst du aber gar nicht so daneben, bei unseren 
Mitarbeiterumfragen kriegt einfach der ganze Standort einen Haufen 
Tokens auf Papier und jeder zieht einen.
Die Anonymität scheitert dann nur daran, dass es gerade Mal 5 Leute aus 
meiner Abteilung am Standort gibt, damit bleibt die identifizierbarkeit 
über die Daten: Beschwerde über Vorgesetzten XYZ + Standort ABC

von Georg (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hallo,

die Frage ist, was überhaupt mit so einer Software zu erreichen ist: du 
könntest ja einfach sagen "ich verspreche euch, dass ich eure Daten 
vertraulich behandle", das müssen die Leute dir halt glauben. Statt 
dessen sagst du "ich verspreche euch, dass ich eine Software geschrieben 
habe, die eure Daten anonym behandelt". Das müssen dir die Leute auch 
einfach glauben. Wo ist der Mehrwert? Der Aufwand kann ja schon 
erheblich sein.

Das ist übrigens bei Umfragen usw. auch nicht anders, die üblichen 
Privacy-Erklärungen kann man glauben oder auch nicht, niemand kann das 
nachprüfen, und manchmal wird auch frech gelogen, wie bei 
Facebook/Whatsapp.

Der einfachste und billigste Weg wäre, du erklärst, dass die Daten durch 
ein sicheres System anonym bleiben, machst aber garnichts.

(/Zynismus)

Georg

von Peter (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Nun ja auch einem Notar muss man vertrauen, besonders wenn der die Daten 
einsammeln würde. Dann hätte der sogar die perfekte Zuordnung.
Da wäre jede Art von Elektronischem einsammeln schon mit mehr Aufwand 
wieder zuzuordnen.

Ich baue an dem System weiter und stelle es dann den beleidigten vor.
Wenn es dann von denen als sicher genug eingestuft wird sammeln wir mal 
unsere Erfahrung damit.

Parallel mache ich dann eine neutrale Version die ich als Opensource 
irgendwo ablegen werde. Mal sehen vielleicht nutzt das dann noch jemand 
oder noch besser es fließen Verbesserungen in das Projekt.

Viele Grüße
Peter

von Peter (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Achso!

Das Beispiel mit den 5 Personen ist so ähnlich wie bei meinem Beispiel 
mit dem Wasserkocher.

Wenn es nur 5 Firmen gibt die überhaupt so was herstellen dann ist es 
auch irgendwie leichter die Daten denen zu zuordnen.

Dabei fällt mir ein, ich sollte die Datensätze nicht einzeln ablegen 
sondern nun die Summe der Eingaben. Dann gibt es keine Daten außer dem 
1. Datensatz den man zuordnen kann. Fehleingaben können dann zwar das 
Ergebnis verfälschen , aber dagegen kann man kaum was machen wenn es 
Automatisch abläuft.

Viele Grüße
Peter

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.