Hallo. Ich möchte eine PHP Anwendung machen die von vielen Personen Daten regelmässig (2-12 mal pro Jahr) erfassen soll. Diese Daten werden von den Personen freiwillig eingegeben und dann Ausgewertet. Der Teil ist fast fertig. Es wird zwar passieren das mal einige keine Daten eintragen, aber das ist dann wohl mehr Statistik und wie man sie verfälscht. Wobei ich hier gerne eine Erinnerungs Mail senden würde, die ich nie zusehen bekomme. Das wäre später noch eine nette Erweiterung und muss jetzt nicht laufen. So nun sollen diese Daten aber anonym bleiben, weder mir noch jemand anders soll jemals Daten den Personen zuordnen können. Auch soll nie rauskommen wer Daten geliefert hat und wer nicht. Das System muss wohl per Login abgesichert werden, aber auch das sollte nicht nachvollziehbar sein. Alle Log Files und IP Adressen Auswertungen sind logischerweise aus, bzw dürfen keinen Bezug zu den Daten haben! Hat dazu einer von Euch eine Idee wie man das machen könnte? Viele Grüße Peter
Du lässt eine Anzahl von x Token generieren und schickst jedem Teilnehmer einen zu. In einer Liste schreibst du dir dann nur auf, welche du herausgegeben hast und das Verfallsdatum. Dann markierst du einfach die Token, die schon benutzt wurden. Persönliche Erinnerungsmails sind so natürlich nicht möglich, aber die Auslieferung der neuen Token ist ja dann quasi die Erinnerung. Ist der Token lag genug (z.b. 30+ Zeichen) brauchst du auch kein Login. PS: Pass auf, denn dein Server und der Provider loggen natürlich. Du solltest daher entsprechend auch das logging dort prüfen und abschalten, wen du viel Wert auf Privatsphäre legst.
der begriff ist "anonym" und nicht "geheim". und nein, das geht nicht, weil zurückverfolgbare daten immer da sind, und logging immer wieder eingeschaltet werden kann - also streng "anonym" aus sicht der datenlieferanten. das problem ist schon, dass du nicht willst das ein hansel dir 50000 datensätze unterschiebt - also brauchst du eine freigeschaltete ID. und genau so wird uns das hier im büro verkauft wenn wieder mal die zufriedenheitsumfrage gemacht wird. da heißts dann "ist anonym", und die URL die man per mail zugeschickt bekommt ist dann: http://server/dieUmfrage?userid=a78d6a6
Peter schrieb: > Hat dazu einer von Euch eine Idee wie man das machen könnte? Man trnnt im Moment des Empfangs Daten vom Absender, vermerkt nur für den Absender daß er was beigetragen hat mit Datum, und speichert die Daten in der Datenbank anonymisiert. Das setzt natürlich voraus, daß in den Daten kein Rückschluss auf den Absender möglich ist, z.B. Adresse nicht Bestandteil der Daten ist. Dann kann nur im Moment des Empfangs durch Abfangen der eMail ein Rückschluss auf einen einzelenn Datensatz gezogen werden, aber später nicht mehr. Da viele Datenbanken ihre Transaktionen in einem LOG vermerken, und man an Hand der Zeitstempel sehen könnte, weann ein Eintrag in die "Empfangs" Datei und ein Eintrag in die "Statistik" Datei gemacht wurde, und bei gleichem Zeitstempel die Daten wohl zusammengehören, müsste man diese Zeitstempel und LOG Dateien abschalten oder verfälschen.
Das mit den Token ist glaube ich der richtige Ansatz. Ich hatte auch schon an eine Art TAN-Liste gedacht. Wenn ich das jetzt mal beschreibe was ich aus Euren Antworten und meiner 1. Idee zusammen basteln würde: - Ich habe von jedem die Mail-Adresse! - Jeder bekommt einen speziellen Start Token aus dem System per Mail - Das System generiert eine extra lange Token Liste und bedient sich daraus - Ausserdem wir die Datenbank mit Dubletten voll gepackt - Mit dem Start Token kann man sich einlogen, kann keine Daten eingeben und bekommt einen neuen Token aus der Liste - Das System Markiert willkürlich weitere als vergeben - Damit kann man sich einlogen, Daten eingeben die ersetzen die Dublette Die Zuordnung Dublette und neue Daten, wie könnte man das machen? Eignetlich müsste der Token doch dafür herhalten können. Jetzt gibt es nur noch die Zeitstempel Probleme und so weiter. Personen Daten sind nur in der Mail-Liste drin! Aber die Daten sind sensiebel und sollten darum nicht zugänlich und zugeordnet werden können. Als Beispiel: Wer sagt schon gerne öffentlich was er Verdient, Schwarzgeld bekommt und wofür er es ausgibt. Darum geht es bei mir zwar nicht aber ich glaube Ihr versteht was ich meine. Viele Güße Peter
"sensible" oder gar strafrechtlich relevante Daten würde ich NIEMALS in egal wie sichere Programme oder gar im Webformular eingeben. Am Ende merkt sich der Browser die Eingaben und die Gestapo braucht nur im Browser nachschauen ... Wenn Du so sensible Daten abfragst kannst Du davon ausgehen, das Du die Statistische Auswertung glatt vergessen kannst weil realitätsfern. Frag mal die Leute wer andere schwarz für sich arbeiten ließe, dann sagt Dir >90% "niemals" ... Aber beim Elektriker fragen was "geht" wenns keine Rechnung braucht.
Peter schrieb: > Aber die Daten sind sensiebel und sollten darum nicht zugänlich und > zugeordnet werden können. > Als Beispiel: > Wer sagt schon gerne öffentlich was er Verdient, Schwarzgeld bekommt und > wofür er es ausgibt. > Darum geht es bei mir zwar nicht aber ich glaube Ihr versteht was ich > meine. Also wenn sie die Daten wirklich auf dem Level bewegen sollte man den Teilnehmern a) empfehlen eine neue wegwerf-email zu machen und b) Tor oder ähnliches zu benutzen. Aber der Aufwand ist dann sehr hoch. Du muss immer damit rechnen das jemand mit liest und protokolliert. Besonders wenn es nicht dein Server ist, sondern nur gemieteter Webspace. Im Zweifel hängt auf jeden Fall immer noch ein switch, router oder die NSA dazwischen.
waflija schrieb: > Im Zweifel hängt auf jeden Fall immer noch ein switch, router > oder die NSA dazwischen. Daß man so eine Umfrage nur über https und nicht über http macht, sollte doch selbstverständlich sein.
Nop schrieb: > waflija schrieb: >> Im Zweifel hängt auf jeden Fall immer noch ein switch, router >> oder die NSA dazwischen. > > Daß man so eine Umfrage nur über https und nicht über http macht, sollte > doch selbstverständlich sein. Das HTTPS nicht gegen alles schützt sollte dir bewusst sein. Vor allem wenn du keinen physischen Zugriff auf den Server hast und die Infrastruktur davor. - Was nützt https z.B. wenn die Daten danach unverschlüsselt zum NAS / EVA laufen? - Wer sagt dir, dass der Webhoster nicht standardmäßig ein MITM macht im Firewall?
waflija schrieb: > Also wenn sie die Daten wirklich auf dem Level bewegen sollte man den > Teilnehmern a) empfehlen eine neue wegwerf-email zu machen und b) Tor > oder ähnliches zu benutzen. Aber der Aufwand ist dann sehr hoch. Tor ist nur eine sichere Alternative (z.B. für Whistleblowing) wenn der der Tippnehmer einen Server innerhalb des Tornetzes betreibt. Bei Tor sollte man einem Exitserver nur bedingt bis gar nicht vertrauen.
waflija schrieb: > Das HTTPS nicht gegen alles schützt sollte dir bewusst sein. Gegen die erwähnten Abgriffe auf Routern und Switchen schon, das ist der Sinn von https. Wobei ich schon voraussetze, daß das auch vernünftig konfiguriert ist, weil ansonsten z.B. Downgrade-Attacken möglich sind, aber das kriegt man ja mit ssllabs.com leicht raus.
An sowas wie mitlesen uns soweiter habe ich noch nicht gedacht. Wäre mir aber bestimmt noch eingefallen. Https sollte aber für das meiste schon reichen. Tja die Datenbank steht nun auch auf dem Server und kann jeder Zeit abgefragt werden. Das muss dann irgendwie sichergesetllt sein das da niemand was sehen kann oder halt zuordnen kann. Sensible sind die Daten schon aber nicht Strafbar. Sind Geschäftsdaten von etlichen Firmen die logischerweise nicht wollen das die Mitbewerber die bekommen. Es geht am Ende halt um einen Trent der Verkaufszahlen. Also so was wie: Wasserkocher <20€ +10% ; 20€-40€ +2%; >40€ -7% WEEE nur sauber aufgeschlüsslt und für die Firmen zugänglich. Den Server bei einem Notar hin zustellen um das vertrauen zum Notar zu haben macht wohl keinen Sinn. Da kann man gleich einen Brief an den Notar senden und der erstellt die Statistik, was ich auch blöd finde. Wobei wenn ich hier schon einen Notar ins Spiel bringe dann könnte der ja die ganzen Token erzeugen und per Post versenden, auch blöd. Am Ende kann man das halt für alles nutzen was man will. Das Projekt wird dann wenn es fertig ist als opensource freigegeben. Wenn es dann noch jemand nutzt bringt es vielleicht noch einige Sicherheits Pluspunkte. Viele Grüße Peter
Peter schrieb: > Wobei wenn ich hier schon einen Notar ins Spiel bringe dann könnte der > ja die ganzen Token erzeugen und per Post versenden, auch blöd. Damit liegst du aber gar nicht so daneben, bei unseren Mitarbeiterumfragen kriegt einfach der ganze Standort einen Haufen Tokens auf Papier und jeder zieht einen. Die Anonymität scheitert dann nur daran, dass es gerade Mal 5 Leute aus meiner Abteilung am Standort gibt, damit bleibt die identifizierbarkeit über die Daten: Beschwerde über Vorgesetzten XYZ + Standort ABC
Hallo, die Frage ist, was überhaupt mit so einer Software zu erreichen ist: du könntest ja einfach sagen "ich verspreche euch, dass ich eure Daten vertraulich behandle", das müssen die Leute dir halt glauben. Statt dessen sagst du "ich verspreche euch, dass ich eine Software geschrieben habe, die eure Daten anonym behandelt". Das müssen dir die Leute auch einfach glauben. Wo ist der Mehrwert? Der Aufwand kann ja schon erheblich sein. Das ist übrigens bei Umfragen usw. auch nicht anders, die üblichen Privacy-Erklärungen kann man glauben oder auch nicht, niemand kann das nachprüfen, und manchmal wird auch frech gelogen, wie bei Facebook/Whatsapp. Der einfachste und billigste Weg wäre, du erklärst, dass die Daten durch ein sicheres System anonym bleiben, machst aber garnichts. (/Zynismus) Georg
Nun ja auch einem Notar muss man vertrauen, besonders wenn der die Daten einsammeln würde. Dann hätte der sogar die perfekte Zuordnung. Da wäre jede Art von Elektronischem einsammeln schon mit mehr Aufwand wieder zuzuordnen. Ich baue an dem System weiter und stelle es dann den beleidigten vor. Wenn es dann von denen als sicher genug eingestuft wird sammeln wir mal unsere Erfahrung damit. Parallel mache ich dann eine neutrale Version die ich als Opensource irgendwo ablegen werde. Mal sehen vielleicht nutzt das dann noch jemand oder noch besser es fließen Verbesserungen in das Projekt. Viele Grüße Peter
Achso! Das Beispiel mit den 5 Personen ist so ähnlich wie bei meinem Beispiel mit dem Wasserkocher. Wenn es nur 5 Firmen gibt die überhaupt so was herstellen dann ist es auch irgendwie leichter die Daten denen zu zuordnen. Dabei fällt mir ein, ich sollte die Datensätze nicht einzeln ablegen sondern nun die Summe der Eingaben. Dann gibt es keine Daten außer dem 1. Datensatz den man zuordnen kann. Fehleingaben können dann zwar das Ergebnis verfälschen , aber dagegen kann man kaum was machen wenn es Automatisch abläuft. Viele Grüße Peter
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.