Im Sommer diesen Jahres habe ich begonnen, mir Gedanken um den WordPress-eigenen Kommentarbereich zu machen im Bezug auf den Datenschutz. Standardmäßig wird beispielsweise die IP-Adresse des Kommentierenden in der WordPress-Datenbank gespeichert. So kann bei Rechtsverletzungen zurückverfolgt werden, wer genau der Autor ist. Bei gut moderierten Blogs ist das aber nicht unbedingt notwendig. Zum einen hat man die Option, Kommentare erst nach einer Durchsicht freizuschalten … oder man kontrolliert jeden Kommentar zeitnah, nachdem er geschrieben wurde und nimmt ihn ggf. heraus.
Eine zweite Standardeinstellung hat mir ebenfalls nicht gefallen: Die Gravatare. Dabei handelt es sich um zentrale Profilbilder, die bei dem kostenlosen WordPress-Dienst „Gravatar“ hinterlegt werden. Die Bilder sind mit einer oder mehreren Mailadressen verknüpft. Wenn ein Besucher eine dieser E-Mail Adressen bei einem Blogkommentar angibt, kann das zugeordnete Profilbild von den Gravatar-Servern geholt werden und wird neben dem Kommentar angezeigt. Das ist sehr praktisch – keine Frage. Dennoch ist mir nicht ganz gut bei dem Gedanken, dass geschätzt 90% der Blogs diese Funktion ohne weiteres aktiviert haben. Der Grund ist folgender:
Jeder Besucher des Blogs lädt automatisch die Gravatare von den Gravatar-Servern. Ganz egal ob er einen Kommentar hinterlassen hat oder nicht. Sobald ein Benutzer Daten von einem Gravatar-Server lädt, kann Gravatar einige Informationen zu seinem Browser abfragen und die IP-Adresse protokollieren. Das ermöglicht es Gravatar theoretisch, Benutzerprofile zu erstellen und Besucher sehr genau zu tracken. Bewegungen über verschiedene Blogs hinweg und Aktionen können mitgeschrieben und analysiert werden. Das ähnlich wie beim Facebook Like-Button. Natürlich kann man davon ausgehen, dass Gravatar sorgsam mit den erhaltenen Daten umgeht und sie nicht missbraucht – das wird ja auch in den Datenschutzbestimmungen versprochen. Dennoch traue ich der Sache nicht so ganz. Der Dienst ist sehr mächtig, groß und attraktiv für alle, die gerne Benutzerprofile erstellen. Werbeunternehmen, Geheimdienste, … ?
Es gibt also zwei Probleme, für die ich jeweils eine Lösung entwickelt habe: IP-Adressen sollen nicht in der WordPress-Datenbank protokolliert werden und Gravatar soll nicht feststellen können, welcher Benutzer auf welcher Seite gerade einen Gravatar lädt.
Remove-comment-ip
Remove-comment-IP ist das erste, extrem einfach gestrickte Plugin für WordPress. Sobald es installiert und aktiviert ist, überschreibt es sämtliche IP-Adressen neuer Kommentare durch „127.0.0.1“. Alte Kommentare werden nicht verändert – diese Funktion wird in Zukunft evtl nachgerüstet, sodass man auch rückwirkend IP-Adressen aus seiner Datenbank löschen kann.
Ein ganz ähnliches Plugin gibt es bereits für WordPress. Mein Problem war nur: Es hat zuletzt nicht mehr funktioniert. Obwohl es aktiv war, wurden die IP-Adressen nicht ersetzt. Der Fehler lag darin, dass ein anderes Plugin „Antispam-Bee“ ebenfalls IP-Adressen veränderte bzw verändern konnte, aber die höhere Priorität in der WordPress-internen Verarbeitung hatte. Meine Verbesserte Version eines „Remove IP“-Plugins funktioniert auch zusammen mit Antispam-Bee und ersetzt die IP-Adressen zuverlässig.
Gravatar Privacy Proxy
Mein zweites WordPress Plugin „Gravatar Privacy Proxy“ soll den Besucher vor Gravatar „schützen“. Wie der Name schon sagt, wird bei Anfragen nach dem Gravatar nicht der echte Gravatar Server genutzt, sondern ein zwischengeschalteter Proxyserver. Gravatar erfährt nur, dass ein bestimmter Server xyz einen Gravatar geladen hat – nicht aber, welcher Benutzer letztendlich den Gravatar vom Proxy erhalten hat. Der Proxyserver ist hier also Mittelsmann und sorgt für vollkommene Anonymität gegenüber Gravatar.
Unsprünglich war geplant, dass das Plugin einen eigenen kleinen Proxy in Form eines PHP Scripts mitbringt. Das hat jedoch nicht so funktioniert, wie ich mir das vorgestellt habe, sodass ich die Strategie geändert habe: Das Plugin bietet an, einen Proxyserver anzugeben, über den die Gravatare umgeleitet werden sollen. Gravatar Privacy Proxy selbst manipuliert dabei nur die URLs der Gravatare im Kommentarbereich. Die Einrichtung eines Reverse Proxys mit Apache oder Nginx ist für den Betrieb des Plugins also unentbehrlich. Wie man einen solchen Proxy mit Apache oder Nginx einrichten kann, ist im README des Plugins erklärt.
Der zu benutzende Proxyserver wird in den WordPress Einstellungen konfiguriert. Erst dann wird Gravatar Privacy Proxy aktiv und schreibt die Gravatar-Adressen im WordPress Kommentarbereich um.
Beide Plugins stehen unter einer freien Software-Lizenz, nämlich der MIT License. Ihr findet in meinen GitHub Repos. Viel Spaß damit!
Update: Installieren funktioniert übrigens so: Von GitHub als ZIP herunterladen… und in WordPress hochladen&installieren ;)
http://tuxproject.de/blog
Warum ausgerechnet 127.0.0.1? Der Nerd in mir macht’s so:
add_filter('pre_comment_user_ip', '__return_zero');https://firefoxosundich.wordpress.com
Moin, Thomas,
da es so nicht im Artikel vorkam: Wer betreibt den Proxy? Du verschiebst sonst ja nur den Protokollanten von Gravatar zum Proxy …
Gruß, André
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi,
den Proxy betreibt der Betreiber des Blogs ;)
LG Thomas
https://firefoxosundich.wordpress.com
Guten Morgen, Thomas,
übrigens auch passend zum Thema ist ein Blog-Artikel von Alvar Freude: Das ewige Geschrei um IP-Adressen. Hast du bereits den Artikel von musicchris gelesen? Es sieht so aus, als ob IP-Adressen wohl doch brauchbar sein könnten.
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Ist es nicht so, dass man IP-Adressen nur speichern darf, wenn dies unbedingt erforderlich ist? Ich bin mir da nicht ganz sicher, ob die rechtliche Lage es einem als Blogbetreiber erlaubt, IP-Adressen für einen unbegrenzen Zeitraum zu speichern :-/
LG Thomas
http://www.dietmarjanowski.de/wordpress/
Ob die IP ein personenbezogenes Datum ist oder nicht, ist in Rechtsprechung und Lehre umstritten. Teilweise wird dies bejaht, insbesondere von den Landesbeauftragten für Datenschutz: http://goo.gl/g1QRnV mit der Konsequenz, dass die Speicherung für Blogbetreiber grundsätzlich unzulässig und nur unter engen Voraussetzungen und nur zu bestimmten Zwecken erlaubt ist. Die Frage, ob die IP ein personenbezogenes Datum ist oder nicht, hat der BGH gerade dem EuGH vorgelegt.
Deine Zweifel sind also berechtigt.
http://blog.markus-mail.com
Interessant! Macht Neugierde das selbst umzusetzen. Werde mir das mal ansehen.
Das Gravatar vollständig über deinen Proxy zu Verfügung steht, würde mich jedoch nerven: https://gravatar.trashserver.net/
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Der Proxy ist eigentlich auch nur für mich gedacht… jeder andere soll bitte seinen eigenen aufsetzen und einstellen ;)
Müsste mir da noch irgendetwas einfallen lassen, damit der nicht von 100 anderen Leuten mitbenutzt wird… geht sonst auf Lasten meines Servers.
LG Thomas