Anonimiseren webapp
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hoi,
Dit is een beetje of-topic, want het is niet debian specifiek, maar ik
hoop dat hier voldoende kennis / netwerk aanwezig is om mij verder te
helpen. Sorry voor het ietwat lange verhaal, maar ik denk dat het het
beste is om de hele context weer te geven.
Een van de gebruikers van HelpIM (een webapp voor hulpverlening per
chat, ik ben daar de beheerder van, zie www.helpim.org), vroeg of het
mogelijk is om de ip-nummers van de mensen die ervan gebruik maken niet
te loggen. Ik ben altijd wel in voor zulke set-ups, dus ik ben nu aan
het kijken hoe dat het beste gedaan kan worden (en wat het dan zou gaan
kosten).
Tegelijkertijd moet het voor het beheer, iets voor de statistieken en
voor het kunnen blokkeren by abuse, wel gebruikers van elkaar
onderscheiden kunnen worden. Werken met een hash van een ip-nummer zou
daar een oplossing voor kunnen zijn, maar: De ip-space is niet zo groot
dat een eventuele aanvaller (lees in dit geval 'opsporingsdienst') zo
een hash niet kan brute-forcen. De hash moet dus salted worden en ik
moet er zeker van zijn dat het 'zout' niet in handen van de
opsporingsdienst valt. Roteren en alleen in het RAM dus.
Tot zo ver dus.
Nu zie ik twee manieren om dit voor elkaar te krijgen:
1)
Apache geen ip-nummers laten loggen en zelf de webapp zo verbouwwen dat
'ie van een salted hash gebruikt maakt bij het opslaan van de gegevens.
Daarvoor moet ik wel een systeem maken waarmee het salt alleen in het
RAM zit (en het moet gelijk zijn voor meerdere simultane mod_python
processen). Waarschijnlijk betekent dat een 'hash-daemon' schrijven. Dat
zou ik best kunnen (in python), maar ik weet niet hoe ik kan zorgen dat
'ie nooit geswapt wordt. Deze oplossing heeft als groot nadeel dat als
apache zelf in de swap terecht komt, de ip-nummers alsnog op disk kunnen
staan.
2)
Op het niveau van apache2 iets schrijven. Wat de ip-nummers herschrijft
in de logs. Ik ben het volgende: http://bug.st/mod_anonstats
tegengekomen wat al veel van wat ik wil doet. Alleen:
- - Als ik dit heb draaien en ik doe een killall -9 apache2, dan kan ik
daarna apache2 een tijd lang niet meer opstarten.
- - Ik heb het vermoeden dat het salt in de swap terecht kan komen.
- - Het gebruikt md5, waar sha-2 mij een veiliger keuze lijkt.
- - Het maakt een nep ip-adres, waar het mij logischer (en
overzichtelijker voor het beheer lijkt) als het ip-adres omgezet wordt
in iets wat overduidelijk een hash is. Ik weet echter niet of apache dat
slikt. (Overigens zet het ook ipv6 adressen om in nep ipv4 adressen, om
het extra verwarrend te maken).
- - Ik wil de mogelijkheid hebben om het anonimiseren per virtual host aan
of uit te zetten en niet alleen voor de hele server.
Helaas is mijn kennis van zowel C als van de internals van apache2 te
slecht om te kunnen beoordelen of ik niet te veel wil en hoe dat dan
aangepakt kan worden.
Hebben jullie hier nog gedachten over?
Weten jullie iemand die me met het anonimiseren van apache2 verder kan
helpen? Ik kan het nog niet met zekerheid zeggen, maar er is een kans
dat dat niet pro-deo wordt.
alvast bedankt
&
groet,
Winfried
- --
http://www.tilanus.com
xmpp:winfried@jabber.xs4all.nl
tel. 015-3613996 / 06-23303960
fax. 015-3614406
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
iJwEAQECAAYFAkqowzwACgkQyTDICGuX0S2qZgP8DB/EO2l0hNrw/zYJ4YttFMjS
TL2K1cn+dj1NlhL9LokWliWhgl1Ffbarqca2s5JftEfXsLaQeTa97wGK3QmIleeU
fU+xP0YLGWQDMLbLEbasr7x3kmQledGhTWaiIJj4BXJmdX52/PWh3lWbeBXhyjOv
XaiRo/0S21UqujvNmo4=
=eJAS
-----END PGP SIGNATURE-----
Reply to: