Privacy - Wat niemand over je mag weten

IP-adres opslaan

03-03-2020, 12:18 door Meneer van Beheer, 8 reacties
Laatst bijgewerkt: 03-03-2020, 12:51
Toevallig zie ik bij een crash op een website het SQL-statement wat misgaat (er zitten quotes (') in de in te voeren tekst en het zijn ook de delimiters voor de velden) en waarbij mijn IP-adres wordt ingevoerd in hun database. Mag dat? Het staat niet in hun privacy-statement.
Reacties (8)
03-03-2020, 13:18 door Anoniem
Toevallig zie ik bij een crash op een website het SQL-statement wat misgaat (er zitten quotes (') in de in te voeren tekst en het zijn ook de delimiters voor de velden) en waarbij mijn IP-adres wordt ingevoerd in hun database. Mag dat? Het staat niet in hun privacy-statement.

Lastig communiceren met de database, zonder je IP bekend te maken. Dat dat in hun logging zit, spreekt voor zich. Wat is het probleem ?
03-03-2020, 13:30 door Anoniem
IP-adres wordt gezien als PII. Dus hier zou toestemming voor gevraagd moeten worden.
03-03-2020, 13:34 door Anoniem
Die website klinkt zo lek als een mandje. Ongeacht of het mag of niet, zou ik die website aan de schandpaal nagelen en verder mijden.

Overigens lijkt dit me niet helemaal conform AVG. Ik zou een berichtje doen naar AP.
03-03-2020, 13:34 door Anoniem
Dan zou ik de website erop aanspreken dat ze dit moeten vermelden. Zie ook: https://blog.iusmentis.com/2018/02/06/waarom-is-ip-adres-persoonsgegeven-en-kenteken/

En laat ze ook de SQL-injectie even fixxen.
03-03-2020, 13:35 door Anoniem
Meen ik hier te lezen dat die website kwetsbaar is voor SQL-injecties trouwens? Dat lijkt me ook relevant om te melden.
03-03-2020, 13:57 door Anoniem
Ik zou niks met die website doen tot het gewoon mogelijk is die quotes in te voeren zonder zo'n melding...
Kennelijk is er een prutser aan het werk geweest en het zal niet lang duren of "een hacker heeft onze gegevens gedownload".
(of gewist)
03-03-2020, 16:12 door Anoniem
Door Anoniem: Lastig communiceren met de database, zonder je IP bekend te maken. Dat dat in hun logging zit, spreekt voor zich. Wat is het probleem ?
Alsof je webbrowser rechtstreeks met een database-server praat. Het is de webapplicatie, vanuit de webserver of de applicatieserver daarachter, die met het DBMS praat, en daarvoor is het IP-adres van de client niet nodig. Dus wat je schrijft klopt niet.

IP-adressen van clients verschijnen wel in logbestanden van de webserver, maar daar komen geen SQL-queries aan te pas en dat levert dus ook geen SQL-foutmeldingen bij de client op. Het is heel goed mogelijk dat vanuit de webapplicatie wel IP-adressen gelogd worden en dat die erg nuttig zijn voor foutopsporing en niet voor sinistere privacyschendingen gebruikt worden. Maar dan is het wel de bedoeling dat dat netjes in de privacyverklaring wordt uitgelegd. Dat doet die website, afgaande op wat TS meldt, niet goed. En dit soort fouten aan de client laten zien deugt ook niet vanuit beveiligingsperspectief.
03-03-2020, 16:47 door Anoniem
Jij communiceert met een webserver, de daarop draaiende applicatie heeft een verbinding met de database.
Die applicatie is stuk en dat veroorzaakt een foutmelding: meestal zie je in de traceback op een webserver dan ook je ip adres.

Op webservers mag je ip adres in de log opgeslagen worden, er moet echter wel worden vastgelegd ( intern in die toko ) wat ze met die data doen, hoelang ze die bewaren en wie erbij kunnen en mogen.
Daar hoeven ze jou niet van op de hoogte te stellen.

Pas als ze je ip adres opslaan voor doeleinden anders als 'tijdelijke' logging en het niet functioneel noodzakelijk is voor de applicatie moet dat expliciet gemeld worden naar jou in de algemene voorwaarden of disclaimers of wat dan ook.

NB: vele CMS applicatie's gebruiken oa je IP tbv het bijhouden van session data en gooien die weer weg als je X tijd idle bent geweest( cache ). En dat mag gewoon (zelfs van het AP).
Zolang die gegevens niet bewaard worden bij jou account gegevens, is er niets aan het handje.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.