Idee: Webdienst für Benutzerverwaltung

German
Brummi
Member
 
Posts: 39
Joined: Fri Mar 25, 2016 07:21
Location: de

Re: Idee: Webdienst für Benutzerverwaltung

by Brummi » Sat Jun 02, 2018 09:30

Bei dem Einsatz von xban braucht man sich eigentlich keine Gedanken machen. Artikel 6 der DSGVO regelt genau das. Bei berechtigtem Interesse darf man Daten auch ohne Einwilligung verarbeiten. Man muss nur darüber informieren, da greift dann auch das Verbot der Koppelung nicht.
https://www.projekt29.de/eu-dsgvo-verar ... willigung/

Problematisch ist aber die Weitergabe von Daten ohne vorliegende Einwilligung, das wird wohl auf öffentlichen Servern nicht ohne weiteres erlaubt sein. Ein Webdienst mit Nutzerdaten geht wohl nur auf freiwilliger Basis oder man betreibt gleich einen geschlossenen Server, dann ist das reines Privatvergnügen und man ist in der Entscheidung, wer auf den Server darf, absolut frei. Bei geschlossenen Servern ist dann auch der angesprochene Webdienst eigentlich kein Problem, ob der dann noch nötig ist ist eine andere Frage.

Wenn man das mit dem Webdienst machen will, stellt sich auch die Frage nach dem Wie. Vor allem der Schutz der Daten nach aussen ist da problematisch. Ob das mit LUA in Form eines Mods sicher hinzubekommen ist wäre schon interessant. Was sagen da die LUA-Profis dazu? Problemlos bei der Sicherheit wäre ein für diesen Zweck eingerichtetes Forum oder ein extra geschützer Bereich in einem bereits existierenden Forum. Da stellt sich aber auch wieder die Frage nach dem Abgleich per Mod, das ist dann vielleicht zu viel Aufwand.
 

User avatar
joe7575
Member
 
Posts: 167
Joined: Mon Apr 24, 2017 20:38
Location: Germany, in the deep south
GitHub: joe7575
In-game: JoSto

Re: Idee: Webdienst für Benutzerverwaltung

by joe7575 » Sat Jun 02, 2018 10:55

Vielen Dank für die vielen interessanten Beiträge zum Thema. Ich versuche mal eine Zusammenfassung und wenn daraus ein Konsens entsteht, werde ich diesen im Thread Opener noch einmal zusammenfassen, so dass nicht jeder den ganzen Thread lesen muss.

Um unerwünschte Spieler vom Server abzuhalten, gibt es grob 3 Varianten:
  1. Geschlossener Server, also Passwort geschützt, oder Server nicht öffentlich sichtbar, oder interact privs nur auf Nachfrage beim Admin (email, ingame oder wie auch immer)
  2. Server mit Einschränkungen für neue Spieler (privs oder dergleichen), so dass sich neue Spieler erst "hocharbeiten" müssen und nicht sofort Schaden anrichten können
  3. Server mit irgend einer Art von Benutzeridentifizierung zur Aufteilung in gut/böse, ggf. mit zentralem Datenabgleich

Fall 1) ist natürlich keine Antwort auf den ursprünglichen Problemfall. Neue, auch unbekannte Spieler sollen aufgenommen werden
Fall 2) führt zu Sanktionierungen auch der guten Spieler und dürfte den ein oder die andere davon abhalten, auf dem Server Fuß zu fassen
Fall 3) Hier kommt auf alle Fälle die DSGVO ins Spiel. Was hier erlaubt ist und was nicht, ist zu klären, aber:
- Spieler müssen informiert, bzw. gegebenenfalls ihre Einwilligung geben, bevor personenbezogene Daten gespeichert werden dürfen
- es muss eine "Datenverarbeitungsrichtlinie" existieren, die beschreibt, welche Daten für welche Zwecke erfasst und wie gespeichert bzw. weitergegeben werden

Die Idee mit dem Webdienst war, bevor Spieler auf den Server gelassen werden, diese zuvor eindeutig zu identifizieren. ,Damit wären Vielfach-Accounts unmöglich oder zumindest aufwändig geworden.
Da dies aber über Handy-Nummer bzw. Email-Adresse sowieso nicht möglich ist, ein "Post-ID-System" aber zu
aufwändig ist und ich mir nicht die DSGVO an die Backe binden möchte, werde ich mich wohl für Fall 2 entscheiden.

Da stellt sich jetzt die Frage: Gibt es da schon passende Mods, oder besteht Bedarf an einer neuen Lösung?
Dann würde ich mich nämlich ans Programmieren machen?
Sent from my Commodore 64. My Mods: TechPack, Hyperloop, Tower Crane, Lumberjack, Iron Age.
 

Brummi
Member
 
Posts: 39
Joined: Fri Mar 25, 2016 07:21
Location: de

Re: Idee: Webdienst für Benutzerverwaltung

by Brummi » Sat Jun 02, 2018 12:52

Um unerwünschte Spieler vom Server abzuhalten, gibt es grob 3 Varianten:
  1. Geschlossener Server, also Passwort geschützt, oder Server nicht öffentlich sichtbar, oder interact privs nur auf Nachfrage beim Admin (email, ingame oder wie auch immer)
  2. Server mit Einschränkungen für neue Spieler (privs oder dergleichen), so dass sich neue Spieler erst "hocharbeiten" müssen und nicht sofort Schaden anrichten können
  3. Server mit irgend einer Art von Benutzeridentifizierung zur Aufteilung in gut/böse, ggf. mit zentralem Datenabgleich

Vielleicht noch
    4. als eine Mischung von 1. und 3. jedoch nicht als geschlossener Server
Dazu vielleicht eine kleine Webseite bzw. ein Forum wo sich jeder anmelden muss um volle Privs bekommen zu können. Dort könnte durch alle teilnehmenden Admins ein Punktekonto geführt werden. Bei entsprechendem Anlaß kann durch einen Admin ein Punkt dazugegeben oder abgezogen werden. Jeder teilnehmende Admin könnte schauen und selbst entscheiden welche Privs der jeweilige Spieler bekommt. Der Vorteil dabei ist, dass die Entscheidung auf der menschlichen Seite bleibt.

Fall 1) ist natürlich keine Antwort auf den ursprünglichen Problemfall. Neue, auch unbekannte Spieler sollen aufgenommen werden
Fall 2) führt zu Sanktionierungen auch der guten Spieler und dürfte den ein oder die andere davon abhalten, auf dem Server Fuß zu fassen
Fall 3) Hier kommt auf alle Fälle die DSGVO ins Spiel. Was hier erlaubt ist und was nicht, ist zu klären, aber:
- Spieler müssen informiert, bzw. gegebenenfalls ihre Einwilligung geben, bevor personenbezogene Daten gespeichert werden dürfen
- es muss eine "Datenverarbeitungsrichtlinie" existieren, die beschreibt, welche Daten für welche Zwecke erfasst und wie gespeichert bzw. weitergegeben werden

Fall 4) würde Fall1) und 2) berücksichtigen und Fall 3) sehr vereinfachen
Spieler die eine Datenspeicherung nebst Punkteliste nicht möchten können trotz dem mit Basic-Privs mitspielen. Da weiterhin die Entscheidung auf der menschlichen Seite bleibt kann der Admin dennoch erweiterte Privs gewähren.

Die Idee mit dem Webdienst war, bevor Spieler auf den Server gelassen werden, diese zuvor eindeutig zu identifizieren. ,Damit wären Vielfach-Accounts unmöglich oder zumindest aufwändig geworden.
Da dies aber über Handy-Nummer bzw. Email-Adresse sowieso nicht möglich ist, ein "Post-ID-System" aber zu
aufwändig ist und ich mir nicht die DSGVO an die Backe binden möchte, werde ich mich wohl für Fall 2 entscheiden.

Fall 4) würde auch dem Rechnung tragen. Das wäre zwar nicht wirklich sicher, würde die Hürde für Mehrfachaccounts aber ein wenig höher legen.
Meine Entscheidung war Fall1, da mein Server primär für meine Kids existiert.

Da stellt sich jetzt die Frage: Gibt es da schon passende Mods, oder besteht Bedarf an einer neuen Lösung?
Dann würde ich mich nämlich ans Programmieren machen?

Mir sind keine Mods in dieser Richtung bekannt.
Egal was man macht, es ist immer ein Mehraufwand für den Admin. Völlige Sicherheit ist jedoch nicht machbar.
 

User avatar
joe7575
Member
 
Posts: 167
Joined: Mon Apr 24, 2017 20:38
Location: Germany, in the deep south
GitHub: joe7575
In-game: JoSto

Re: Idee: Webdienst für Benutzerverwaltung

by joe7575 » Sun Jun 03, 2018 07:59

Brummi wrote:Vielleicht noch
    4. als eine Mischung von 1. und 3. jedoch nicht als geschlossener Server
Dazu vielleicht eine kleine Webseite bzw. ein Forum wo sich jeder anmelden muss um volle Privs bekommen zu können. Dort könnte durch alle teilnehmenden Admins ein Punktekonto geführt werden. Bei entsprechendem Anlaß kann durch einen Admin ein Punkt dazugegeben oder abgezogen werden.


Bedeutet das, dass der Server öffentlich sichtbar sein soll (sonst findet ihn ja keiner), neue Spieler aber keine Interact privs haben, sondern auf das Forum verwiesen werden, wo sie sich einen Account anlegen müssen?

Die ganze Verwaltung der Spieler zentral in einem Forum ist dann doch wieder ein Fall für die DSGVO?

Fall 2 habe ich ein bisschen weitergedacht und auch schon angefangen, zu codieren:
  • Neue Spieler haben nach dem spawn keine interact und keine shout privs. Sie können nur durch die Gegend laufen und sich alles ansehen
  • Sie bekommen aber zyklisch eine Seite eingeblendet, wo ein Hinweis steht, dass sie erst eine Aufnahmeprüfung machen müssen, bevor sie hier normale Rechte erlangen
  • Stimmen sie dem zu, werden sie in eine grüne 48x48 Fläche sehr sehr weit draußen gebeamt (ich dachte an 4 Positionen in den 4 Ecken der Karte), welche sie nicht verlassen können und müssen dort mit den mitgegebenen Items starten.
  • Ziel ist des, einen Altar zu bauen und dort eine Opferschale zu plazieren und diese mit den geforderten Dingen zu füllen
  • Wenn das Ziel erreicht ist, erhält der Spieler Standard Rechte und wird zurück zu seinem Ausgangspunkt teleportiert
  • Verlässt der Spieler das Spiel, ist die Prüfung abgebrochen. Der Spieler kann aber jederzeit eine neue Prüfung starten
  • In beiden Fällen wird die Area wieder gelöscht, so dass der nächste die gleichen Bedingungen vorfindet
  • Da der Spieler dieses Feld nicht verlassen kann, muss er mit dem klar kommen, was er dort vorfindet bzw. craften kann
  • Die Prüfung kann man beliebig zeitlich ausdehnen, in dem man bspw. ein paar Setzlinge oder Saatgut mit gibt, woraus man Äpfel oder Brot farmen/craften muss für die Opferschale
  • Der Spieler kann jederzeit eine Hilfeseite abrufen mit Tips und dem erwartetet Prüfungsergebnis

Wenn die Prüfung so 30 min bis 2 Std dauert, sollte das eine ausreichende Hürde für Griefer sein. Die Vielfach-Accounts mit Standard Rechten sollten dadurch abnehmen.
Der Altar mit der Opferschale könnte so ausssehen:
Image
Was haltet ihr davon?
Irgendwelche Verbesserungsvorschläge?
Attachments
altar.png
Altar
(801 KiB) Not downloaded yet
Sent from my Commodore 64. My Mods: TechPack, Hyperloop, Tower Crane, Lumberjack, Iron Age.
 

Brummi
Member
 
Posts: 39
Joined: Fri Mar 25, 2016 07:21
Location: de

Re: Idee: Webdienst für Benutzerverwaltung

by Brummi » Sun Jun 03, 2018 10:06

Bedeutet das, dass der Server öffentlich sichtbar sein soll (sonst findet ihn ja keiner), neue Spieler aber keine Interact privs haben, sondern auf das Forum verwiesen werden, wo sie sich einen Account anlegen müssen?

Das war mein Grundgedanke dabei, jedoch würde ich das weiterdenken wollen.
Mal weitergedacht was man machen könnte:
Ein neuer Spieler kommt zunächst auf den Server und hat kein keinen Punktestand und dadurch kein interact. Registriert er sich auf der Seite würde er einen minimalen Punktestand von 1 bekommen und hätte interact. Durch vernüftiges Verhalten kann er sich Punkte dazuverdienen und bekäme in Abhängigkeit davon weitere privs, z.B. ab einem Punktestnad von 10 könnte er TNT nutzen, ab 5 dürfte er Schwerter benutzen. Umgekehrt verliert der Spieler diese privs wenn ihm Punkte abgezogen werden, kommt er bei -1 an könnte das dann z.B. freeze bedeuten.
Das wär ein Thema für ein Mod und müsste fertiggedacht werden. Statt einer Anmeldung auf einer Webseite könnte der Punktestand auch einfach im Mod selbst geführt werden, sobald der Admin den Punktestand erstmalig von 0 auf 1 setzt gehts los und der Spieler kann sich die privs verdienen und wieder verlieren.

<edit> Noch eine Idee dazu:
Jeder normale Spieler könnte das Recht bekommen anderen Spielern einen Punkt abzuziehen oder gutzuschreiben. Wenn denn jemand Amok läuft und es sind genug Spieler da um den Amokläufer auf -1 zu bringen, hat man so eine wirkungsvolle Schadensbegrenzung.
</edit>
Die ganze Verwaltung der Spieler zentral in einem Forum ist dann doch wieder ein Fall für die DSGVO?

Das Papiermonster aus Brüssel ist eigentlich eher der sprichwörtliche Schuss ins eigene Knie. Tatsächlich lässt die DSGVO für die Verarbeitung von Daten mehr Raum als man vorher hatte. Beispielsweise nutzt Facebook das zur Zeit intensivst für den Datenabgleich zwischen Wahtsap und der Facebook-Plattform selbst, die DSGVO legalisert das mit Artikel 6. Was tatsächlich dazugekommen ist, ist die Pflicht die Nutzer aufzuklären, für manche Sachen ist auch eine Zustimmung notwendig. Unterm Strich bedeutet das alles nur einen einmaligen Mehraufwand um die Informationspflicht zu erfüllen. Das ist zwar irgendwie lästig, macht man aber nur einmal.
Fall 2 habe ich ein bisschen weitergedacht und auch schon angefangen, zu codieren: .....

Gefällt mir sehr gut, die Schmerzgrenze der meisten Griefer ist meist deutlich niedriger als 30 Min. - 2Std. und es wär eine gute Einführung für Neulinge bei Minetest.
 

User avatar
joe7575
Member
 
Posts: 167
Joined: Mon Apr 24, 2017 20:38
Location: Germany, in the deep south
GitHub: joe7575
In-game: JoSto

Re: Idee: Webdienst für Benutzerverwaltung

by joe7575 » Thu Jun 07, 2018 17:35

Die Mod "Entrance" ist fertig:
GitHub: https://github.com/joe7575/entrance

Kann auch direkt auf meinem Server "Joes Miniwelt" ausprobiert werden :D
Rekordzeit ist bisher 25 min.
Sent from my Commodore 64. My Mods: TechPack, Hyperloop, Tower Crane, Lumberjack, Iron Age.
 

User avatar
Festus1965
Member
 
Posts: 194
Joined: Sun Jan 03, 2016 11:58
Location: Thailand - Chiang Mai (+5-6h to MEZ)
In-game: Thomas Explorer

Re: Idee: Webdienst für Benutzerverwaltung

by Festus1965 » Mon Jun 11, 2018 10:14

joe7575 wrote:Mir scheint, die Praxis passt nicht immer zur Theorie. Hier meine zuletzt genutzten ersten 3 Octets:

Code: Select all
84.179.32
84.179.33
84.179.34
84.179.35
84.179.37
84.179.39
84.179.41
84.179.43
84.179.44
84.179.45
84.179.46
84.179.47
87.155.16
87.155.17
87.155.21
87.155.22
87.155.23
87.155.27
87.155.29
87.155.30
87.155.31
212.62.213
217.252.112
217.252.116
217.252.117
217.252.119
217.252.122
217.252.123
217.252.124
217.252.125
217.252.126
217.252.127

Davon sind nur wenige mehrmals erschienen.
Durch die Begrenzung der verfügbaren IP-Adressen scheint mir, wird genutzt, was verfügbar ist.


Der Provider KANN nicht einfach wahllos Blöcke austauschen !
Je nach seinen Regeln hat er für seine Kunden und lokalen Bereiche diese mit weniger oder mehr Bereichen genutzt, ABER weil das generelle Routing ja funktionieren muss, werden diese Blöcke sicher nicht täglich ausgetauscht.
Ich habe nur einen /24 Block, Du halt dort etwas mehr, aber nach einiger Zeit werden alle sicher vermerkt sein und so bleiben, bis der Betreiber, Provider aus internen Gründen eben umsortieren müsste.

Ich bin gespannt ...
 

Previous

Return to Deutsch



Who is online

Users browsing this forum: No registered users and 1 guest