Idee: Webdienst für Benutzerverwaltung

German
User avatar
joe7575
Member
 
Posts: 242
Joined: Mon Apr 24, 2017 20:38
Location: Germany, in the deep south
GitHub: joe7575
In-game: JoSto

Idee: Webdienst für Benutzerverwaltung

by joe7575 » Mon May 28, 2018 10:42

Um die Flut der User Accounts einzelner Spieler auf einem public Minetest Server einzudämmen, kam mir die Idee einer zentralen Benutzerverwaltung.
Die Idee:
  • Alle Minetest Spieler registrieren sich zentral mit einer SMS und ihrem Nickname bei einem Service Provider.
  • Als Antwort-SMS kommt das Passwort zurück, mit dem sich der Spieler bei jeder Server anmelden kann
  • Jeder Minetest Server überprüft den Nickname mit Hilfe des Service Providers, alles andere nur lokal
  • Weitere vordefinierte oder vom Admin vergebene Accoint für einen Minetest Server sind nach wie vor möglich
  • Jeder Spieler kann sich auch weitere Accounts zulegen. Der Service Provider muss dazu zu jeder Telefonnummer die vergebenen Nicknames speichern
  • Wird ein Spieler auf einem Server gesperrt, sind alle seine Accounts für diesen Server gesperrt. Andere Server sind hiervon aber nicht betroffen. Damit keine unnötige, zentrale Datenhaltung

Gibt es sowas schon?
Ist sowas machbar?
Sollte die Minetest Community sowas aufsetzen/unterhalten?

/Joe
Sent from my Commodore 64. My Mods: TechPack, Hyperloop, Tower Crane, Lumberjack, Iron Age, Entrance.
 

User avatar
Wolfshippie
Member
 
Posts: 104
Joined: Mon Jul 24, 2017 12:37
Location: Franconia, Bavaria, Germany
GitHub: Wolfshippie
IRC: wolfshippie
In-game: wolfshippie minehippie

Re: Idee: Webdienst für Benutzerverwaltung

by Wolfshippie » Mon May 28, 2018 10:52

Bis auf den anfänglichen Verwaltungs- und Einrichtungsaufwand sehe ich hier nur Vorteile.
Wäre eine klasse Sache.

Ein großes Problem könnte allerdings sicherlich die Datenspeicherung sein (Stichwort: Personenbezogene Daten, was Handynummern und evtl. Usernamen ja eindeutig sind). Allerdings hab ich mich da noch nicht wirklich tief in die Materie eingearbeitet und weiß nicht, inwiefern das evtl. doch umsetzbar und lösbar wäre.

LG Wolfshippie
Very inactive at the moment, I'm sorry.
 

User avatar
orwell
Member
 
Posts: 707
Joined: Wed Jun 24, 2015 18:45
Location: Raxacoricofallapatorius
In-game: orwell

Re: Idee: Webdienst für Benutzerverwaltung

by orwell » Mon May 28, 2018 14:53

Also abgesehen vom Datenschutzaspekt ist sowas sicher möglich, und ein paar Server haben meines Wissens nach so ein System schon.
Vielleicht könnte man auch die Forum-Logins mit einbeziehen. Ich weiß nicht ob das Forum so ein Oauth-System hat, aber so könnte man verhindern, dass bekannten Community-Mitgliedern ihr Name gestohlen wird

Was Datenschutz angeht, ich denke es reicht dann wenn gegen den Forum-Login authentifiziert wird. Keine Handynummer bitte.
Lua is great!
List of my mods
I like singing. I like dancing. I like ... niyummm...
 

User avatar
cx384
Member
 
Posts: 492
Joined: Wed Apr 23, 2014 09:38
GitHub: cx384
IRC: cx384

Re: Idee: Webdienst für Benutzerverwaltung

by cx384 » Mon May 28, 2018 16:19

orwell wrote:Was Datenschutz angeht, ich denke es reicht dann wenn gegen den Forum-Login authentifiziert wird. Keine Handynummer bitte.

Oder einfach per email account.
Can your read this?
 

User avatar
Linuxdirk
Member
 
Posts: 1629
Joined: Wed Sep 17, 2014 11:21
Location: Germany
In-game: Linuxdirk

Re: Idee: Webdienst für Benutzerverwaltung

by Linuxdirk » Mon May 28, 2018 17:19

joe7575 wrote:Gibt es sowas schon?
Ist sowas machbar?
Sollte die Minetest Community sowas aufsetzen/unterhalten?

Nein.
Ja, außerhalb der EU.
Nein.
 

User avatar
joe7575
Member
 
Posts: 242
Joined: Mon Apr 24, 2017 20:38
Location: Germany, in the deep south
GitHub: joe7575
In-game: JoSto

Re: Idee: Webdienst für Benutzerverwaltung

by joe7575 » Mon May 28, 2018 21:54

cx384 wrote:
orwell wrote:Was Datenschutz angeht, ich denke es reicht dann wenn gegen den Forum-Login authentifiziert wird. Keine Handynummer bitte.

Oder einfach per email account.


Handynummer hätte den Charme, dass Mehrfach-Accounts aufwändig wären bzw. in der Anzahl überschaubar blieben.
Per Email geht natürlich auch, wäre auch deutlich einfacher zu realisieren. Nur wie einfach ist es heutzutage, an eine Email-Adresse zu kommen?
Sent from my Commodore 64. My Mods: TechPack, Hyperloop, Tower Crane, Lumberjack, Iron Age, Entrance.
 

User avatar
Linuxdirk
Member
 
Posts: 1629
Joined: Wed Sep 17, 2014 11:21
Location: Germany
In-game: Linuxdirk

Re: Idee: Webdienst für Benutzerverwaltung

by Linuxdirk » Tue May 29, 2018 08:02

joe7575 wrote:Handynummer hätte den Charme, dass Mehrfach-Accounts aufwändig wären bzw. in der Anzahl überschaubar blieben.

Nicht im geringsten würde das helfen.

joe7575 wrote:Nur wie einfach ist es heutzutage, an eine Email-Adresse zu kommen?

Genau so einfach, wie eine Nummer für den SMS-Empfang zu bekommen: Man ruft einfach eine Internetseite auf und zack hat man, was man will. Halbwegs zuverlässig wäre allenfalls persönliche Authentifizierung vor der Webcam mit dem Personalausweis und der Beantwortung von ein, zwei individuellen Fragen.
 

User avatar
Wolfshippie
Member
 
Posts: 104
Joined: Mon Jul 24, 2017 12:37
Location: Franconia, Bavaria, Germany
GitHub: Wolfshippie
IRC: wolfshippie
In-game: wolfshippie minehippie

Re: Idee: Webdienst für Benutzerverwaltung

by Wolfshippie » Tue May 29, 2018 12:31

Linuxdirk wrote:
joe7575 wrote:Nur wie einfach ist es heutzutage, an eine Email-Adresse zu kommen?
Genau so einfach, wie eine Nummer für den SMS-Empfang zu bekommen: Man ruft einfach eine Internetseite auf und zack hat man, was man will. Halbwegs zuverlässig wäre allenfalls persönliche Authentifizierung vor der Webcam mit dem Personalausweis und der Beantwortung von ein, zwei individuellen Fragen.

Ganz schön umständlich für einen Minetest-Account. Sowas ist vielleicht beim Post-ID-System in DE sinnvoll aber für einen Spiel-Account... naja. Eine Registrierung per E-Mail mit Zusendung eines Bestätigungslinks würde es meiner Meinung nach auch tun. Einen Aktivierungscode per SMS und eine Identifizierung per Handy-/Telefonnummer halte ich für überflüssige Datenspeicherung, auf die wieder Acht gegeben werden müsste usw.
Last edited by Wolfshippie on Tue May 29, 2018 12:36, edited 1 time in total.
Very inactive at the moment, I'm sorry.
 

User avatar
Wolfshippie
Member
 
Posts: 104
Joined: Mon Jul 24, 2017 12:37
Location: Franconia, Bavaria, Germany
GitHub: Wolfshippie
IRC: wolfshippie
In-game: wolfshippie minehippie

Re: Idee: Webdienst für Benutzerverwaltung

by Wolfshippie » Tue May 29, 2018 12:35

--- deleted bc double post ---
Very inactive at the moment, I'm sorry.
 

User avatar
Linuxdirk
Member
 
Posts: 1629
Joined: Wed Sep 17, 2014 11:21
Location: Germany
In-game: Linuxdirk

Re: Idee: Webdienst für Benutzerverwaltung

by Linuxdirk » Tue May 29, 2018 13:38

Wolfshippie wrote:Ganz schön umständlich für einen Minetest-Account. Sowas ist vielleicht beim Post-ID-System in DE sinnvoll aber für einen Spiel-Account...

Man muss halt gucken, was man will: Wenn man es wirklich sicher will, und sicherstellen möchte, dass eine Person nur einen Account hat, dann kommt man um eine persönliche Verifizierung nicht herum. Alles andere erlaubt manipulation. Heutzutage sind Fake-Mailadressen und -SMS-Empfangsnummern nur einen Mausklick entfernt.
 

User avatar
solars
Member
 
Posts: 567
Joined: Sat Jul 20, 2013 15:16

Re: Idee: Webdienst für Benutzerverwaltung

by solars » Tue May 29, 2018 17:09

Du willst alle ohne Handy von den Servern aussperren?
Keine gute Idee.

Du willst das ein zentraler Server die Daten sammelt und u.a. weiß wann wer online geht?
Keine gute Idee.

Du willst ehrliche Leute abschrecken, aber unehrliche werden wie schon in vorherigen Posts erwähnt, umgehungen finden.
Auch keine gute Idee.

Wenn Du Deine Server absichern willst, dann stelle Deine eigenen Regeln auf. Sobald Du persönliche Daten wie die Telefonnummer und andere persönliche Daten sammelst, musst Du aber alle den Datenschutz betreffenden Gesetze einhalten. (Das ist nicht immer einfach...)

Aber das einen zentralen Server übernehmen zu lassen ist keine gute Idee.
My big Minetest map Karsthafen: English thread / German thread / Youtube
 

User avatar
Linuxdirk
Member
 
Posts: 1629
Joined: Wed Sep 17, 2014 11:21
Location: Germany
In-game: Linuxdirk

Re: Idee: Webdienst für Benutzerverwaltung

by Linuxdirk » Tue May 29, 2018 17:23

solars wrote:Sobald Du persönliche Daten wie die Telefonnummer und andere persönliche Daten sammelst, musst Du aber alle den Datenschutz betreffenden Gesetze einhalten. (Das ist nicht immer einfach...)

Dank der völlig realitätsfernen DSGVO ist es für Einzelpersonen oder kleine Firmen sowieso nicht mehr möglich, Dienste innerhalb der EU anzubieten.
 

User avatar
joe7575
Member
 
Posts: 242
Joined: Mon Apr 24, 2017 20:38
Location: Germany, in the deep south
GitHub: joe7575
In-game: JoSto

Re: Idee: Webdienst für Benutzerverwaltung

by joe7575 » Tue May 29, 2018 18:16

Vielen Dank für eure Antworten.
Es war leider nur wenig konstruktives dabei :)

Vielleicht gibt es eine bessere Lösung, um unerwünschte Spieler (Vandalismus, Pöpeleien, Phallus Künstler) daran zu hindern, immer wieder unter neuen Accounts auf dem Server zu erscheinen.

Es sollte aber:
- nicht abschreckend für neue Spieler sein (keine aufwändigen Aufnahmerituale)
- keinen/wenig zusätzlichen Aufwand für den Admin erzeugen (keine manuellen Email Anmeldungen)

Jeder Spieler sollte sofort alle Rechte und Möglichkeiten haben. Hält er/sie sich aber nicht an die Regeln, gibt es eine Zeitsperre.
xban2 habe ich am Start, aber in DE mit den ständig wechselnden IP-Adressen ist das leider keine Lösung.
Sent from my Commodore 64. My Mods: TechPack, Hyperloop, Tower Crane, Lumberjack, Iron Age, Entrance.
 

User avatar
Linuxdirk
Member
 
Posts: 1629
Joined: Wed Sep 17, 2014 11:21
Location: Germany
In-game: Linuxdirk

Re: Idee: Webdienst für Benutzerverwaltung

by Linuxdirk » Tue May 29, 2018 18:38

joe7575 wrote:Es war leider nur wenig konstruktives dabei :)

Es gibt einfach keine Lösung. Es gibt nur die Variante, einen Server nur für Freunde/Bekannte zu betreiben, oder eben einen offenen Server auf dem Automatisiert oder durch Moderatoren/Administratoren Fehlverhalten sanktioniert wird.

Jegliche Blockiermaßnahmen sind allerdings mit einer neuen IP und einem anderen Accountnamen automatisch umgangen, und effektiv wirkungslos. Jegliche Authentifizierungsmaßnahmen, die nicht auf persönlichem visuellem Kontakt mit visueller Übermittlung eines persönlichen Datums (Name, Nick, Geburtstag, etc.) basieren, sind ebenfalls wirkungslos, da ohne großen Aufwand fälschbar.

Das einzige was gehen könnte, ist eine regionsbasierende Berechtigung. Also insgesamt darf niemand irgendwo irgendwas (ab)bauen, außer er befindet sich innerhalb einer vorher manuell gesetzten/zugewiesenen Region.
 

User avatar
orwell
Member
 
Posts: 707
Joined: Wed Jun 24, 2015 18:45
Location: Raxacoricofallapatorius
In-game: orwell

Re: Idee: Webdienst für Benutzerverwaltung

by orwell » Wed May 30, 2018 09:37

Eine Möglichkeit, der sich viele Server bedienen, um Griefer abzuhalten, ist, irgendwo in den Regeln eine Information zu verstecken, wie man an interact-Rechte kommt (Privileg um etwas in der Welt bauen zu dürfen).
Das kann sein, dass man etwas bestimmtes in den Chat schreiben muss, oder dass man einen Moderator kontaktieren soll, oder ähnliches.
Die meisten Griefer lesen die Regeln nicht, und verlassen den Server nach kurzer Zeit wieder. Die, die es doch tun, halten sich in Grenzen, sodass man deren Schaden als Moderator meist wieder reparieren kann.
Lua is great!
List of my mods
I like singing. I like dancing. I like ... niyummm...
 

User avatar
Wolfshippie
Member
 
Posts: 104
Joined: Mon Jul 24, 2017 12:37
Location: Franconia, Bavaria, Germany
GitHub: Wolfshippie
IRC: wolfshippie
In-game: wolfshippie minehippie

Re: Idee: Webdienst für Benutzerverwaltung

by Wolfshippie » Wed May 30, 2018 09:53

orwell wrote:Eine Möglichkeit, der sich viele Server bedienen, um Griefer abzuhalten, ist, irgendwo in den Regeln eine Information zu verstecken, wie man an interact-Rechte kommt (Privileg um etwas in der Welt bauen zu dürfen).
Das kann sein, dass man etwas bestimmtes in den Chat schreiben muss, oder dass man einen Moderator kontaktieren soll, oder ähnliches.
Die meisten Griefer lesen die Regeln nicht, und verlassen den Server nach kurzer Zeit wieder. Die, die es doch tun, halten sich in Grenzen, sodass man deren Schaden als Moderator meist wieder reparieren kann.

Eine Möglichkeit, ja. Aber auch nicht hundertprozentig zuverlässig, da diese Methode unter Vielen auch schon allgemein bekannt ist und schnell die Regeln nach diesem Stichwort durchsucht werden. Trotzdem immer noch eine der besseren Lösungen, klar.

Linuxdirk wrote:Das einzige was gehen könnte, ist eine regionsbasierende Berechtigung. Also insgesamt darf niemand irgendwo irgendwas (ab)bauen, außer er befindet sich innerhalb einer vorher manuell gesetzten/zugewiesenen Region.

Hört sich nach dem Citybuild-System an, dessen sich viele Minecr*ft-Server bedienen und das TalkLounge letztens in eine MT-Mod umgesetzt hat (viewtopic.php?f=9&t=19915&hilit=citybuild). Jeder hat seine eigene Fläche zum Bebauen. Lässt sich natürlich auch gestaltungsreicher und mit den nötigen Ressourcen umsetzen, als einfach nur eine Grasfläche.
Very inactive at the moment, I'm sorry.
 

User avatar
Festus1965
Member
 
Posts: 309
Joined: Sun Jan 03, 2016 11:58
Location: Thailand - Chiang Mai (+5-6h to MEZ)
In-game: Thomas Explorer

Re: Webdienst für Benutzerverwaltung

by Festus1965 » Wed May 30, 2018 10:02

Hallo zusammen,

ähnliches hatte ich ja schon mal "angedacht", finde aber den Post jetzt nicht.

Kernfragen:
Was wird wohl einfacher zu Registrieren sein ? - Die bösen oder die guten?
Das ist eine Frage der Menge an möglichen Einträgen beider Gruppen, und welche Seite eher, schneller Sinn macht. Die Bösen haben sich meist schon "registriert", indem sie aufgefallen sind und dann in der xban wohl als gebannt markiert sind.
und genau diese Leute wollen wir ja "los werden" - warum also nicht darauf konzentrieren, und nicht den zukünftigen neuen Spielern den Weg zu sehr verbauen.


Welchen Zweck soll es haben? und ist es maßvoll ?
(eben um 300 Spieler von max 2500 aktiv auf 200 von 500 Servern max )
Es gibt ganz sicher mehr gute, Regel konforme Spieler als die negativ auffallenden!
Es erscheint mir sinnvoller, einfach die negativ aufgefallenen zentral zu speichern, mit Grund und Herkunft.



Dass man durch Wechsel der IP UND Name das anfangs umgehen kann, ist schon richtig, aber je mehr Serverbetreiber hier zusammen arbeiten, desto schneller hat der keine Lust mehr ständig neue Ideen und Kombinationen zu laden.


Die Datenspeicherung:
Jedes Forum wie dieses hier speichert Daten - was hat das Forum hier für Auflagen diesbezüglich ?
Die Verordnung betrifft die Speicherung in Europa, ich wohne in Thailand, falls man Hilfe braucht.
Wie will man dann die Brücke von einem Forum, zu dann "anerkannten", "bestätigen" Nutzern und deren verwendeten Namen in die MT Welt schaffen ?


Wie soll das am Ende funktionieren ?
Mein Gedanke so vor 2 Monaten waren unterschiedliche files, die in die xban importiert ? werden könnten, so das die Admins entscheiden können, welche Auffälligkeiten sie durch die Übernahme von zusammengefassten Namen/IP der negativ Auffallenden "laden" wollen.
(Das sind eher keine Daten nach der Verordnung, da kein Realname und keine weitere Verknüpfung zu Realnamen, Mails etc.)
... und erscheint mir am einfachsten in Bezug auf Aufwand, Zielgruppe, Aufwand und Wirkung.


Pflege und Vertrauensstellung:
Wie pflegt man gemeldete "Abuser" iin die Liste ein ?, bzgl. Suche oder Ausschluss nach Verwechslungen mit Spielernamen ... oder konzentriert man sich auf die IP, IP-Bereiche, ... mit Vermerk zu
    Datum, Uhrzeit ?
    IP
    genutzter Name (ab hier nur als Vermerkt, eher Such- aber nicht Sperrkriterium)
    Vorfall (evtl. standardisierte Liste von "Vergehen")
    Server / Admin, Herkunft der Meldung
Nach wie vielen und auch welchen Auffälligkeiten übernimmt man Gemeldete in die Liste, oder wollen andere Server diese Leute bei sich auch sperren ? ... könnte man diese Liste also dann aus einer DB nach Auswahl der Kriterien generieren ? zB
    Häufigkeit der Auffälligkeit
    Art der Auffälligkeit (ChatSpam, unnötig help, Beleidigung, Jammern, Zerstörung, )
    Meldeglaubwürdigkeit
    ...


Oder die Pflege einer "gute" Spieler Liste ginge auch ohne deren aktive Registrierung:
Die "alten" beständigen Serverbetreiber kennen doch ihre Pappenheimer. Also ich fände es sogar noch leichter, meine bekannten, guten, dauerhaften Spieler in eine DB ein zu bringen. Hierzu müsste man überlegen, ob man diese "downloaden" dürfen soll, oder ob die registrierten Serverbetreiber einfach nur Kombinationsbestätigungen abfragen dürfen, wie Name, IP (ersten 3 Stellen), um eine Antwort " Ist in der Kombination enthalten" oder "Kombination ist nicht vorhanden. zu erhalten.
Beispiel:
Thomas, Explorer, Celine - Range: 124.120.242.
(bei mir werden die Spielernamen lang sein, da oft die Kinder bei mir an den 3 Kinder-Rechnern sind, meist aber eh intern auf dem Server - aber um Mehrnutzer zu bedenken)
dann gibt es da noch einen Thomas mit anderen IP Range, und da wohl so bekannt, also getrennte Einträge ...


Soweit eben meine Gedanken dazu, ehemaliger Berufsprogrammierer, Datenbankmanager, etc ...
Last edited by Festus1965 on Wed May 30, 2018 10:33, edited 2 times in total.
 

User avatar
Festus1965
Member
 
Posts: 309
Joined: Sun Jan 03, 2016 11:58
Location: Thailand - Chiang Mai (+5-6h to MEZ)
In-game: Thomas Explorer

Re: Idee: Webdienst für Benutzerverwaltung

by Festus1965 » Wed May 30, 2018 10:06

orwell wrote:Eine Möglichkeit, der sich viele Server bedienen, um Griefer abzuhalten,


war bei mir die no_guests MOD, die alle mit 2 oder 3 und mehr Nummern am Ende ablehnt. Die Ruhe danach was erstaunlich.
Wenn man auch diese Regeln dort etwas besser pflegt und zusammen anpasst und abgleicht, sind wir schon eine Menge Ärger von Spieltestern los.
 

User avatar
orwell
Member
 
Posts: 707
Joined: Wed Jun 24, 2015 18:45
Location: Raxacoricofallapatorius
In-game: orwell

Re: Idee: Webdienst für Benutzerverwaltung

by orwell » Wed May 30, 2018 12:05

den hab ich etwas erweitert auch bei mir laufen, stimmt, das macht was aus.
Was deine gute-spieler-liste angeht, müsste sich jeder alteingesessene Spieler, wenn er sich an einem neuen Server anmelden will, aus seinem Heimnetz anmelden... doof.
Dann wäre doch wohl ein zentrales Passwort notwendig.

und dann ist ja noch das problem, dass 2 leute, ein Griefer und ein guter Spieler, sich eine IP teilen (z.B. Geschwister). Man bräuchte also beides: Ein Name-Passwort-Storage für bekannte "gute" Spieler, sodass auf neuen Servern diese accounts nicht einfach von hackern übernommen werden können, und eine Datenbank mit gemeldeten IP's und zugehörigen Hackernamen (damit, wenn nur Name oder nur IP wechselt, dies getrackt werden kann.).

Mir ist noch eine andere Idee gekommen, eine Art Score-system:
1. jeder kann globale Accounts auf einer Website erstellen. Namen, für die Forumlogins existieren, können nur gewählt werden, wenn gegen das Forum nochmal gegenauthentifiziert wird (siehe rubenwardy's System mit github und der contentdb)
2. Serveradmins / Moderatoren können Spielern vertrauen, sprich einen trust-Wert bei dem Spieler erhöhen (score-system)
3. Spieler können von Moderatoren gemeldet werden, ggf mit Banns. Dies hat einen negativen Einfluss auf den trust-Wert. Banns bleiben aber per-server. Solche Meldungen haben dann auch Einfluss auf andere Accounts, die die selbe IP/range verwenden.
4. Server können die Fähigkeit, zu joinen oder interact zu haben, vom trust-Wert abhängig machen. Da sind verschiedene Abstufungen denkbar.

Spieler starten mit einem trust-Wert von 0, bei existierendem Forum-Login 5 oder so (proportional zu Post-Anzahl?).
Jeder server kann diesen trust-wert um bis zu 10 erhöhen oder verringern, je nach Vertrauen oder Schwere des Vergehens.
In dem Geschwister-Fall: Sollte dem bösen Spieler Vertrauen -10 gegeben werden, würde sich das mit meinetwegen -8 auf den guten Spieler auswirken, wegen selber IP. Dies kann man als Serverbesitzer dann aber wieder korrigieren, indem man diesem guten Spieler ein Vertrauen von 10 gibt.
Lua is great!
List of my mods
I like singing. I like dancing. I like ... niyummm...
 

User avatar
Festus1965
Member
 
Posts: 309
Joined: Sun Jan 03, 2016 11:58
Location: Thailand - Chiang Mai (+5-6h to MEZ)
In-game: Thomas Explorer

Re: Idee: Webdienst für Benutzerverwaltung

by Festus1965 » Wed May 30, 2018 12:28

orwell wrote:..., müsste sich jeder alteingesessene Spieler, wenn er sich an einem neuen Server anmelden will, aus seinem Heimnetz anmelden... .

Wie oft kommt das vor, nicht von zu Hause einen neuen Server zu nutzen, und wenn nicht, welche Nachteile wären das dann ? Wenn er zudem nicht auf der Negativ Liste geführt wäre ?


orwell wrote:und dann ist ja noch das Problem, dass 2 Leute, ein Griefer und ein guter Spieler, sich eine IP teilen (z.B. Geschwister). Man bräuchte also beides: Ein Name-Passwort-Storage für bekannte "gute" Spieler, sodass auf neuen Servern diese accounts nicht einfach von Hackern übernommen werden können, und eine Datenbank mit gemeldeten IP's und zugehörigen Hackernamen (damit, wenn nur Name oder nur IP wechselt, dies getrackt werden kann.).

Das ganze "gute Spieler Namen" basiert schon auf dem Gedanken, das jeder Spielername eindeutig, einmalig ist - und dann auf allen Servern reserviert sein sollen ? (Das geht wohl nur, in dem man dort die relevanten doch schon genutzten Spielernamen in Player und auth checkt und Zufallsnutzungen löscht - und dem "Eigner" reserviert.)
. Das schon 2 Thomas existieren, deutet auf eher Zugriff auf IP hin, und die kann ein Hacker ja dann doch nicht so leicht "nach bauen", wenn er überhaupt wisse, welche die sind.
- 2 Spieler in einem Haus, einer Gut einer Böse, war das nicht Jekyl und Hyde - Wer bestätigt denn das es sein doofer Bruder (Imaginär) war oder wirklich existiert ?
- "Ein Name ein Passwort" ist gefährlich, da wenn auf einem Server gehackt, in alle anderen Server rein kommt, kämme - sofern seine IP nicht geblockt ist. (Ja ich merke mir einige Passwörter, geht mit einem Trick je Server - aber da ich selten und nur wenige Andere als Meinen Nutze, eher einfach)


orwell wrote:Mir ist noch eine andere Idee gekommen, eine Art Score-system:...


Ja der gefällt mir soweit, solange es kein Zwang ist, aber somit einiges vereint.
Und basierend auf Serverbesitzer, sind das schon mal nicht so viele, die da "arbeiten müssen" - außer es gibt dann plötzlich viele neue Server zum Zwecke der Ratingerhöhung.

?
Haben wir denn eher ein Problem mit
    den guten Spielern,
    den vielen neuen Spielern,
    den Versuchsspielern
    oder Deppen ? (um die geht es doch eher ?)
Und jede sonstige Registrierung, Bestätigung zielt irgendwie immer auf ALLE ab, das stört mich daran.

Frei nach der Regel, so viel wie nötig, so wenig wie möglich (speichern, arbeiten, beschränken), also eher Negative IPs und wegen der Bruder Problematik nur die Ausnahmen in eine Positiv Liste (aber auch das ist löchrig, die Brüder kennen meist die Passwörter, oder erspähen diese oder spielen eben in seiner Pinkelpause ohne sein Wissen, usw - alles schon gehölrt)
 

User avatar
Linuxdirk
Member
 
Posts: 1629
Joined: Wed Sep 17, 2014 11:21
Location: Germany
In-game: Linuxdirk

Re: Webdienst für Benutzerverwaltung

by Linuxdirk » Wed May 30, 2018 15:47

Festus1965 wrote:Was wird wohl einfacher zu Registrieren sein ? - Die bösen oder die guten?

20 Jahre in der IT haben mir gezeigt, dass eine Whitelist-Lösung IMMER besser ist, was Sicherheit, Wartbarkeit, und Zuverlässigkeit angeht. Blacklisting oder auf Spieleservern ganz allgemein eben „verbotene Aktionen hinterher sanktionieren“ führt zu vermeidbarem Aufwand. Außerdem mindert es den Spielspaß aller, da verbotene Aktionen meist nicht sofort unterbunden werden (ich erinnere mich da an einen Spieler auf einem Server, der Atombombenpfeile gebaut, und damit wild um sich geballert hat = riesige Krater und alles kaputt).

Festus1965 wrote:und dann in der xban wohl als gebannt markiert sind.

In einer idealen Welt in der alle eindeutig per fester IPv6-Adresse identifizierbar sind, oder auf allen Servern unveränderbar denselben Nick benutzen, mag xban sicher funktionieren.

Festus1965 wrote:Dass man durch Wechsel der IP UND Name das anfangs umgehen kann, ist schon richtig, aber je mehr Serverbetreiber hier zusammen arbeiten, desto schneller hat der keine Lust mehr ständig neue Ideen und Kombinationen zu laden.

Es braucht keine 10 Sekunden, und sich mit einem anderen Nick (oder je nach Identifizierungssystem wahlweise auch mit anderer Mailadresse oder Handynummer für SMS-Empfang) am selben Server anzumelden.

Sofern es keine Whitelist in Form einer zentralen Benutzerregistrierung gibt, ohne diese man nicht online spielen kann, und bei der man sich nicht einfach so nach belieben weitere neue Accounts erstellen kann, sind jegliche Versuche zur Etablierung irgendeiner Art von Bansystem hinfällig.

Festus1965 wrote:Jedes Forum wie dieses hier speichert Daten - was hat das Forum hier für Auflagen diesbezüglich ?

Da Daten von Europäern gespeichert werden, gilt die DSGVO in soweit, wie Daten von Europäern verarbeitet werden.

Festus1965 wrote:Mein Gedanke so vor 2 Monaten waren unterschiedliche files, die in die xban importiert ? werden könnten, so das die Admins entscheiden können, welche Auffälligkeiten sie durch die Übernahme von zusammengefassten Namen/IP der negativ Auffallenden "laden" wollen.

In der Realität funktioniert xban außerhalb der USA praktisch nicht.
 

User avatar
joe7575
Member
 
Posts: 242
Joined: Mon Apr 24, 2017 20:38
Location: Germany, in the deep south
GitHub: joe7575
In-game: JoSto

Re: Idee: Webdienst für Benutzerverwaltung

by joe7575 » Wed May 30, 2018 16:57

Wie wäre eine Registierung nur mit "vertrauenswürdigen" Email-Adressen. Für die Emails gäbe es eine Whitelist der akzeptierten Provider wie gmail, gmx, yahoo, usw. Damit sollte sich die Anzahl der Email-Adressen pro Benutzer doch eindämmen lassen?

Bezüglich der Datenspeicherung (DSGVO) wäre ein mehr dezentraler Ansatz vorstellbar:
- Dezentral auf den Minetest Servern werden die "guten" Spieler gespeichert
- Zentral wird nur eine Black-List der "bösen" Spieler gespeichert

Speichern bedeutet hier, es wird nur der MD5-Hash der Emailadresse gespeichert, aus Datenschutzsicht unbedenklich.

Auf dem Minetest Server wird nach Eingang einer Email der MD5-Hash aus der Email-Adresse generiert und geprüft, ob der Spieler bereits existiert. Sofern dies der Fall ist, wird die Registierung abgelehnt.
Ist der MD5-Hash noch nicht vorhanden, wird zentral geprüft, ob dieser evtl. in der Black-List ist, auch dann wird die Registierung abgelehnt.

Ist der Spieler "sauber" wird der MD5-Hash gespeichert und der Spieler bekommt seine Zugangsdaten per Email. Danach kann die Email-Adresse gelöscht werden.
Sent from my Commodore 64. My Mods: TechPack, Hyperloop, Tower Crane, Lumberjack, Iron Age, Entrance.
 

User avatar
Linuxdirk
Member
 
Posts: 1629
Joined: Wed Sep 17, 2014 11:21
Location: Germany
In-game: Linuxdirk

Re: Idee: Webdienst für Benutzerverwaltung

by Linuxdirk » Wed May 30, 2018 17:12

joe7575 wrote:Wie wäre eine Registierung nur mit "vertrauenswürdigen" Email-Adressen. Für die Emails gäbe es eine Whitelist der akzeptierten Provider wie gmail, gmx, yahoo, usw. Damit sollte sich die Anzahl der Email-Adressen pro Benutzer doch eindämmen lassen?

Also den Usern vorschreiben, welchen Freemail-Dienst sie zu verwenden haben (bei denen zudem jeder User eine beliebige Anzahl an Mailadressen registrieren kann, teilweise sogar schon beim Anbieter integriert lassen sind darüber sogar „Wegwerfadressen“ generieren)? Nein, das funktioniert nicht.

joe7575 wrote:Speichern bedeutet hier, es wird nur der MD5-Hash der Emailadresse gespeichert, aus Datenschutzsicht unbedenklich.

Mit solchen Falschaussagen würde ich SEHR vorsichtig sein :) Die DSGVO ist weitaus komplexer und komplizierter.
 

User avatar
Festus1965
Member
 
Posts: 309
Joined: Sun Jan 03, 2016 11:58
Location: Thailand - Chiang Mai (+5-6h to MEZ)
In-game: Thomas Explorer

Re: Webdienst für Benutzerverwaltung

by Festus1965 » Wed May 30, 2018 22:14

Ok, ich nehme ja alles hin,

Linuxdirk wrote:...,
In der Realität funktioniert xban außerhalb der USA praktisch nicht.


aber hier sehe ich klar die Erfolge, weil ich nach einem Ban "lustig", also eher befriedigt, und befriedet am Server sehen kann wie gebannte geblockt werden, und auch der Wechsel des Namens nicht geht.


Na dann macht mal die Whitelist, und viel Spaß dabei - ich bin dann dabei, wenn ihr die Probleme der Registrierung und Datenschutzsachen erledigt habt. Vom Import zu MT noch ganz zu Schweigen.

und
Linuxdirk wrote:Wenn man es wirklich sicher will, und sicherstellen möchte, dass eine Person nur einen Account hat, dann kommt man um eine persönliche Verifizierung nicht herum. Alles andere erlaubt Manipulation.

Es geht doch eher darum, Accountnamen und zugehörige IP-Adressen (Bereiche wohl eher, siehe IP Wechsel und damit wohl nicht im Datenschutzbereich) zu Whitelisten. Und nur ein Name, viel Spass ... hier und meist bin ich "auch" Thomas, und wo Thomas schon blockiert ist, bin ich Explorer. Ob das mit den Bemühungen der Serveradmins gehen wird, dort Klarheit zu schaffen sehe ich auch so schnell nicht.

Also erst mal einer Erhebung, wer als Admin, als Spieler da mit macht und welche Spielernamen dann Registriert werden wollen ?



Der Witz an der Sache, xban ist schon da, ist meines Erachtens nicht ! gegen die Datenschutzverordnung, und geht meines Wissens.
Evtl. werde ich in der Richtung weiter agieren, und Serveradmins da eine Sammelliste bauen - bzw mal sehen, was der Eine oder Andere Admin mir da schicken mag, um mal die Inhalte und Sperrvermerke zu sammeln.

ABER:
Linuxdirk wrote:...
joe7575 wrote:Speichern bedeutet hier, es wird nur der MD5-Hash der Emailadresse gespeichert, aus Datenschutzsicht unbedenklich.

Mit solchen Falschaussagen würde ich SEHR vorsichtig sein :) Die DSGVO ist weitaus komplexer und komplizierter.



Wenn Du (Linuxdirk) das als Falschaussage deklarierst, müsste Du doch schon Wissen welche Artikel der Verordnung dann genau dieses aussagen, auf diese verweisen können.
Da ein Hash aber nicht "rückwärts" aus gewertet werden kann, wäre eine Zuordnung nur durch aufwändiges Suchen und Vergleichen möglich, also mit eine eben Liste an Mailadressen. Solange diese aber nicht zusammen gespeichert werden, sehe ich da kein Problem.
Und wenn man dann diese Bereiche trennt, also Verifizierung, Spielername und IP samt Hash, und letztlich die Whiteliste NUR mit der erlaubten Spielername und IP-Ranges, weiss ich derzeit nicht wo da das Problem ist.
In der xban stehen aber Spielernamen UND klar ip ... wäre dann xban nicht schon ein Verstoß gegen die Verordnung ? Wenn nicht, dann geht auch die Whitelist, wo ja nur der Range drin stehen müsste - wobei all diese Diskussionen nichts bringen, solange das Whitelist-Verfahren nicht genauer umfasst und beschrieben wird.


edit: 08.31/03:31 same day
Ich habe eben nochmal die xban Mod angesehen, diese bereitet auch Whitelist an und Import ... es wäre also alles da. Es ginge nur darum, das die Serveradmins sich zusammen raufen, und wir in einem evtl.geschützten Bereich nur für "adelige" (bestätigte autorisierte) Admins sammeln:
[list]Whiteliste Spieler
Blacklist Hinweise, evtl. getrennte Importe, siehe oben, Export nach der Asuwahl der Auswahl durch Admin ...
 

User avatar
Linuxdirk
Member
 
Posts: 1629
Joined: Wed Sep 17, 2014 11:21
Location: Germany
In-game: Linuxdirk

Re: Webdienst für Benutzerverwaltung

by Linuxdirk » Thu May 31, 2018 08:10

Festus1965 wrote:... und auch der Wechsel des Namens nicht geht.

Neue IP, neuer Name, fertig. Das ist keine Große Kunst. Wenn das dumme Kinder abhält, sicherlich toll, aber "Security by stupidity" kann keine ernsthafte Lösung sein.

Festus1965 wrote:Accountnamen und zugehörige IP-Adressen

So lange weder Acocuntnamen noch IPs eindeutig sind, gibt es keine Zuordnung. Auch Addressbereiche gehören nicht einem User, sondern einem Provider. Und außerhalb der USA dadurch monatlich tausenden von verschiedenen Usern.

Festus1965 wrote:Also erst mal einer Erhebung, wer als Admin, als Spieler da mit macht und welche Spielernamen dann Registriert werden wollen ?

Öffentliche Server sind grauenvoll. Einfach grauenvoll. Daher Whitelist wo es nur geht, und nicht einfach so jeden auf die Whitelist setzen der Bock hat, sondern gezielt.

Festus1965 wrote:Da ein Hash aber nicht "rückwärts" aus gewertet werden kann, wäre eine Zuordnung nur durch aufwändiges Suchen und Vergleichen möglich, also mit eine eben Liste an Mailadressen. Solange diese aber nicht zusammen gespeichert werden, sehe ich da kein Problem.

So funktioniert die DSGVO nicht. Es geht nicht um das FORMAT in dem die Daten gespeichert werden, oder ob ein Hash erzeugt wird. Es geht generell um die Verarbeitung von Daten.

Artikel 7: [Der Verantwortliche muss] nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. [...] Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. [...] Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Artikel 8, Absatz 1: [...] die Verarbeitung der personenbezogenen Daten des Kindes [ist] rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. [Ansonsten] ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.

Artikel 17: Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, [wenn] die personenbezogenen Daten [...] für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig [sind].

Artikel 19: Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung [mit, und] Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.

Artikel 22, Absatz 1: Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung [...] beruhenden Entscheidung unterworfen zu werden, die [sie] erheblich beeinträchtigt.

[tl;dr] xban ist derzeit nicht DSGVO-Konform.
 

Next

Return to Deutsch



Who is online

Users browsing this forum: No registered users and 0 guests