Forum: PC-Programmierung Wie mit PHP eine geheime Datenerfassung machen?

Du lässt eine Anzahl von x Token generieren und schickst jedem 
Teilnehmer einen zu. In einer Liste schreibst du dir dann nur auf, 
welche du herausgegeben hast und das Verfallsdatum. Dann markierst du 
einfach die Token, die schon benutzt wurden.

Persönliche Erinnerungsmails sind so natürlich nicht möglich, aber die 
Auslieferung der neuen Token ist ja dann quasi die Erinnerung.

Ist der Token lag genug (z.b. 30+ Zeichen) brauchst du auch kein Login.

PS: Pass auf, denn dein Server und der Provider loggen natürlich. Du 
solltest daher entsprechend auch das logging dort prüfen und abschalten, 
wen du viel Wert auf Privatsphäre legst.

der begriff ist "anonym" und nicht "geheim".

und nein, das geht nicht, weil zurückverfolgbare daten immer da sind, 
und logging immer wieder eingeschaltet werden kann - also streng 
"anonym" aus sicht der datenlieferanten.

das problem ist schon, dass du nicht willst das ein hansel dir 50000 
datensätze unterschiebt - also brauchst du eine freigeschaltete ID.
und genau so wird uns das hier im büro verkauft wenn wieder mal die 
zufriedenheitsumfrage gemacht wird.
da heißts dann "ist anonym", und die URL die man per mail zugeschickt 
bekommt ist dann:

http://server/dieUmfrage?userid=a78d6a6

Peter schrieb:
> Hat dazu einer von Euch eine Idee wie man das machen könnte?

Man trnnt im Moment des Empfangs Daten vom Absender,
vermerkt nur für den Absender daß er was beigetragen hat mit Datum,
und speichert die Daten in der Datenbank anonymisiert.

Das setzt natürlich voraus, daß in den Daten kein Rückschluss auf den 
Absender möglich ist, z.B. Adresse nicht Bestandteil der Daten ist.

Dann kann nur im Moment des Empfangs durch Abfangen der eMail ein 
Rückschluss auf einen einzelenn Datensatz gezogen werden, aber später 
nicht mehr.

Da viele Datenbanken ihre Transaktionen in einem LOG vermerken, und man 
an Hand der Zeitstempel sehen könnte, weann ein Eintrag in die 
"Empfangs" Datei und ein Eintrag in die "Statistik" Datei gemacht wurde, 
und bei gleichem Zeitstempel die Daten wohl zusammengehören, müsste man 
diese Zeitstempel und LOG Dateien abschalten oder verfälschen.

Das mit den Token ist glaube ich der richtige Ansatz.

Ich hatte auch schon an eine Art TAN-Liste gedacht.

Wenn ich das jetzt mal beschreibe was ich aus Euren Antworten und meiner 
1. Idee zusammen basteln würde:

- Ich habe von jedem die Mail-Adresse!
- Jeder bekommt einen speziellen Start Token aus dem System per Mail
- Das System generiert eine extra lange Token Liste und bedient sich 
daraus
- Ausserdem wir die Datenbank mit Dubletten voll gepackt
- Mit dem Start Token kann man sich einlogen, kann keine Daten eingeben 
und bekommt einen neuen Token aus der Liste
- Das System Markiert willkürlich weitere als vergeben
- Damit kann man sich einlogen, Daten eingeben die ersetzen die Dublette

Die Zuordnung Dublette und neue Daten, wie könnte man das machen?
Eignetlich müsste der Token doch dafür herhalten können.

Jetzt gibt es nur noch die Zeitstempel Probleme und so weiter.


Personen Daten sind nur in der Mail-Liste drin!
Aber die Daten sind sensiebel und sollten darum nicht zugänlich und 
zugeordnet werden können.
Als Beispiel:
Wer sagt schon gerne öffentlich was er Verdient, Schwarzgeld bekommt und 
wofür er es ausgibt.
Darum geht es bei mir zwar nicht aber ich glaube Ihr versteht was ich 
meine.

Viele Güße
Peter

"sensible" oder gar strafrechtlich relevante Daten würde ich NIEMALS in 
egal wie sichere Programme oder gar im Webformular eingeben.
Am Ende merkt sich der Browser die Eingaben und die Gestapo braucht nur 
im Browser nachschauen ...

Wenn Du so sensible Daten abfragst kannst Du davon ausgehen, das Du die 
Statistische Auswertung glatt vergessen kannst weil realitätsfern.

Frag mal die Leute wer andere schwarz für sich arbeiten ließe, dann sagt 
Dir >90% "niemals" ... Aber beim Elektriker fragen was "geht" wenns 
keine Rechnung braucht.

Peter schrieb:
> Aber die Daten sind sensiebel und sollten darum nicht zugänlich und
> zugeordnet werden können.
> Als Beispiel:
> Wer sagt schon gerne öffentlich was er Verdient, Schwarzgeld bekommt und
> wofür er es ausgibt.
> Darum geht es bei mir zwar nicht aber ich glaube Ihr versteht was ich
> meine.

Also wenn sie die Daten wirklich auf dem Level bewegen sollte man den 
Teilnehmern a) empfehlen eine neue wegwerf-email zu machen und b) Tor 
oder ähnliches zu benutzen. Aber der Aufwand ist dann sehr hoch.

Du muss immer damit rechnen das jemand mit liest und protokolliert. 
Besonders wenn es nicht dein Server ist, sondern nur gemieteter 
Webspace. Im Zweifel hängt auf jeden Fall immer noch ein switch, router 
oder die NSA dazwischen.

waflija schrieb:
> Im Zweifel hängt auf jeden Fall immer noch ein switch, router
> oder die NSA dazwischen.

Daß man so eine Umfrage nur über https und nicht über http macht, sollte 
doch selbstverständlich sein.

Nop schrieb:
> waflija schrieb:
>> Im Zweifel hängt auf jeden Fall immer noch ein switch, router
>> oder die NSA dazwischen.
>
> Daß man so eine Umfrage nur über https und nicht über http macht, sollte
> doch selbstverständlich sein.

Das HTTPS nicht gegen alles schützt sollte dir bewusst sein. Vor allem 
wenn du keinen physischen Zugriff auf den Server hast und die 
Infrastruktur davor. - Was nützt https z.B. wenn die Daten danach 
unverschlüsselt zum NAS / EVA laufen?
- Wer sagt dir, dass der Webhoster nicht standardmäßig ein MITM macht im 
Firewall?

waflija schrieb:
> Also wenn sie die Daten wirklich auf dem Level bewegen sollte man den
> Teilnehmern a) empfehlen eine neue wegwerf-email zu machen und b) Tor
> oder ähnliches zu benutzen. Aber der Aufwand ist dann sehr hoch.

Tor ist nur eine sichere Alternative (z.B. für Whistleblowing) wenn der 
der Tippnehmer einen Server innerhalb des Tornetzes betreibt.
Bei Tor sollte man einem Exitserver nur bedingt bis gar nicht vertrauen.

waflija schrieb:

> Das HTTPS nicht gegen alles schützt sollte dir bewusst sein.

Gegen die erwähnten Abgriffe auf Routern und Switchen schon, das ist der 
Sinn von https. Wobei ich schon voraussetze, daß das auch vernünftig 
konfiguriert ist, weil ansonsten z.B. Downgrade-Attacken möglich sind, 
aber das kriegt man ja mit ssllabs.com leicht raus.

An sowas wie mitlesen uns soweiter habe ich noch nicht gedacht.
Wäre mir aber bestimmt noch eingefallen. Https sollte aber für das 
meiste schon reichen.

Tja die Datenbank steht nun auch auf dem Server und kann jeder Zeit 
abgefragt werden. Das muss dann irgendwie sichergesetllt sein das da 
niemand was sehen kann oder halt zuordnen kann.

Sensible sind die Daten schon aber nicht Strafbar.
Sind Geschäftsdaten von etlichen Firmen die logischerweise nicht wollen 
das die Mitbewerber die bekommen.
Es geht am Ende halt um einen Trent der Verkaufszahlen.

Also so was wie: Wasserkocher <20€ +10% ; 20€-40€ +2%; >40€ -7%

WEEE nur sauber aufgeschlüsslt und für die Firmen zugänglich.

Den Server bei einem Notar hin zustellen um das vertrauen zum Notar zu 
haben macht wohl keinen Sinn. Da kann man gleich einen Brief an den 
Notar senden und der erstellt die Statistik, was ich auch blöd finde.
Wobei wenn ich hier schon einen Notar ins Spiel bringe dann könnte der 
ja die ganzen Token erzeugen und per Post versenden, auch blöd.


Am Ende kann man das halt für alles nutzen was man will.
Das Projekt wird dann wenn es fertig ist als opensource freigegeben.
Wenn es dann noch jemand nutzt bringt es vielleicht noch einige 
Sicherheits Pluspunkte.

Viele Grüße
Peter

Peter schrieb:
> Wobei wenn ich hier schon einen Notar ins Spiel bringe dann könnte der
> ja die ganzen Token erzeugen und per Post versenden, auch blöd.

Damit liegst du aber gar nicht so daneben, bei unseren 
Mitarbeiterumfragen kriegt einfach der ganze Standort einen Haufen 
Tokens auf Papier und jeder zieht einen.
Die Anonymität scheitert dann nur daran, dass es gerade Mal 5 Leute aus 
meiner Abteilung am Standort gibt, damit bleibt die identifizierbarkeit 
über die Daten: Beschwerde über Vorgesetzten XYZ + Standort ABC

Hallo,

die Frage ist, was überhaupt mit so einer Software zu erreichen ist: du 
könntest ja einfach sagen "ich verspreche euch, dass ich eure Daten 
vertraulich behandle", das müssen die Leute dir halt glauben. Statt 
dessen sagst du "ich verspreche euch, dass ich eine Software geschrieben 
habe, die eure Daten anonym behandelt". Das müssen dir die Leute auch 
einfach glauben. Wo ist der Mehrwert? Der Aufwand kann ja schon 
erheblich sein.

Das ist übrigens bei Umfragen usw. auch nicht anders, die üblichen 
Privacy-Erklärungen kann man glauben oder auch nicht, niemand kann das 
nachprüfen, und manchmal wird auch frech gelogen, wie bei 
Facebook/Whatsapp.

Der einfachste und billigste Weg wäre, du erklärst, dass die Daten durch 
ein sicheres System anonym bleiben, machst aber garnichts.

(/Zynismus)

Georg

Nun ja auch einem Notar muss man vertrauen, besonders wenn der die Daten 
einsammeln würde. Dann hätte der sogar die perfekte Zuordnung.
Da wäre jede Art von Elektronischem einsammeln schon mit mehr Aufwand 
wieder zuzuordnen.

Ich baue an dem System weiter und stelle es dann den beleidigten vor.
Wenn es dann von denen als sicher genug eingestuft wird sammeln wir mal 
unsere Erfahrung damit.

Parallel mache ich dann eine neutrale Version die ich als Opensource 
irgendwo ablegen werde. Mal sehen vielleicht nutzt das dann noch jemand 
oder noch besser es fließen Verbesserungen in das Projekt.

Viele Grüße
Peter

Achso!

Das Beispiel mit den 5 Personen ist so ähnlich wie bei meinem Beispiel 
mit dem Wasserkocher.

Wenn es nur 5 Firmen gibt die überhaupt so was herstellen dann ist es 
auch irgendwie leichter die Daten denen zu zuordnen.

Dabei fällt mir ein, ich sollte die Datensätze nicht einzeln ablegen 
sondern nun die Summe der Eingaben. Dann gibt es keine Daten außer dem 
1. Datensatz den man zuordnen kann. Fehleingaben können dann zwar das 
Ergebnis verfälschen , aber dagegen kann man kaum was machen wenn es 
Automatisch abläuft.

Viele Grüße
Peter