[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Anonimiseren webapp

On 09/11/2009 08:03 AM, Matijs van Zuijlen wrote:

Hoi,

> Misschien wil je gebruikers niet op IP-nummer onderscheiden ivm NAT? Ik neem aan
> dat men een sessie krijgt toegewezen. Mogelijk wordt deze met een GUID
> geidentificeerd. Deze zou je dan kunnen loggen. Uniek maar niet aan wat dan ook
> gerelateerd. Dan raak je wel de harde blokkeermogelijkheid op IP-adres kwijt,
> maar ...

Bij HelpIM zijn we zo spaarzaam mogelijk met sessies / cookies en
gebruik maken van iets als GUID zou bij HelpIM helemaal uit de boze
zijn. Terugvallen op het blokkeren per ip is een soort laatste
noodmaatregel, waarbij je inderdaad het risico loopt bijvoorbeeld een
hele school of bibliotheek te blokkeren.

Gelukkig is het maar *zeer* zeldzaam dat er geblokkeerd wordt omdat een
hulpvrager zich in sociaal opzicht misdraagt. Eigenlijk is er maar 1
gebruiker van HelpIM die er regelmatig gebruik van heeft gemaakt.

En mensen die zich technologisch misdragen gaan in de firewall een
blacklist in. Die 100.000 mislukte inlog pogingen van een scriptkiddie
hoef ik niet in de logs van de webapp te hebben.

> ... met een roterend ook voor jou geheim zout wordt blokkeren van IPs ook erg
> lastig :-).

Inderdaad. De praktijk bij die ene blokkerende gebruiker leert echter
dat de blokkade aan het eind van de dag weer probleemloos opgeheven kan
worden. Een niet te snel roterend salt hoeft dus geen probleem te zijn.

groet,

Winfried
Reply to: