StoneQuest Userverwaltung Datenschutz 2018
Verfasst: 12.06.2018, 19:04
Wieder mal quält mich die Frage, die ich vernünftig eine Userverwaltung für StoneQuest aufbauen kann, samt Datenschutzkonformität usw. so das am Ende alle zufrieden sind.
Ich weiß, hier werde ich keine Rechtsberatung erlangen, aber sicher einige Denkanstöße.
Der aktuelle Stand sieht folgendermaßen aus:
Auf der Serverseite habe ich immer noch den Webserver von 1&1. Dort kann ich ja mit einer Datenbank arbeiten. Hier werden die Accounts, aber auch die Weltdaten verwaltet.
Ein Client erzeugt eine ClientID, welchen den User darstellt. Diese ClientID sollte eindeutig sein. Daher verwende ich einen CRC32 der MotherboardSerial, einen CRC16 des VolumeSerials und einen CRC16 des Clientpfades. Somit ist der Client relativ eindeutig und ich hoffe, das gleichzeitig keine persönlichen Daten vorhanden sind mit denen man anderen schaden kann.
Startet man SQ, so wird diese ClientID in die Datenbank aufgenommen. Außerdem wird die aktuelle IP gespeichert. Außerdem bekommt der Client eine Liste der anderen aktiven IP's. Somit können dann die Clients untereinander UDP Pakete versenden. Wird ein SQ Client beendet, so wird die IP wieder entfernt.
Damit man sich nun noch in einen globalen Player "einloggen" kann, erzeugt man über einen Name und Md5 gehashtem Passwort eine Identität. In der Datenbank wird zu der ClientID entsprechender Player gespeichert, so dass beim nächsten Ausführen kein erneutes einloggen nötig ist. Allerdings ist auch diese Verknüpfung temporär. Es wird nur der letzte Player zur ClientID gespeichert.
Gut wäre noch, wenn man irgendwie die Möglichkeit hätte, das Passwort auch zurückzusetzen. Gerne auch ohne EMail. Vielleicht könnte man beim erstmaligen einloggen ein Token vergeben, welches der User dann aufschreiben kann und bei bedarf damit das Passwort zurück setzen. Die Frage ist dann natürlich, wieso schreibt man sich dann nicht gleich Name und Passwort auf einen Zettel? :lol:
Aber wenn der Zettel verloren gehen würde, bringt das alles auch nichts. Also wäre eine EMailadresse wohl doch die bessere Variante.
Mir stellt sich nun die Frage, wie könnte man die ganze Verwaltung verbessern?
Vielleicht wäre gut, wenn man dann SQ startet, dass dann die Datenschutzerklärung angezeigt würde. Aber was kommt dann da hinein? Das gleiche, was ich hier geschrieben habe? Und es muss doch auch juristisch korrekt formuliert sein, oder? Brauche ich dann auch noch AGB's, Eula und was es sonst noch so gibt?
Eigentlich ist das ganze ja nach wie vor nur ein Hobbyprojekt. Ich fühl mich aktuell einfach überfordert...
Ich hoffe, ihr könnt mir weiter helfen
Ich weiß, hier werde ich keine Rechtsberatung erlangen, aber sicher einige Denkanstöße.
Der aktuelle Stand sieht folgendermaßen aus:
Auf der Serverseite habe ich immer noch den Webserver von 1&1. Dort kann ich ja mit einer Datenbank arbeiten. Hier werden die Accounts, aber auch die Weltdaten verwaltet.
Ein Client erzeugt eine ClientID, welchen den User darstellt. Diese ClientID sollte eindeutig sein. Daher verwende ich einen CRC32 der MotherboardSerial, einen CRC16 des VolumeSerials und einen CRC16 des Clientpfades. Somit ist der Client relativ eindeutig und ich hoffe, das gleichzeitig keine persönlichen Daten vorhanden sind mit denen man anderen schaden kann.
Startet man SQ, so wird diese ClientID in die Datenbank aufgenommen. Außerdem wird die aktuelle IP gespeichert. Außerdem bekommt der Client eine Liste der anderen aktiven IP's. Somit können dann die Clients untereinander UDP Pakete versenden. Wird ein SQ Client beendet, so wird die IP wieder entfernt.
Damit man sich nun noch in einen globalen Player "einloggen" kann, erzeugt man über einen Name und Md5 gehashtem Passwort eine Identität. In der Datenbank wird zu der ClientID entsprechender Player gespeichert, so dass beim nächsten Ausführen kein erneutes einloggen nötig ist. Allerdings ist auch diese Verknüpfung temporär. Es wird nur der letzte Player zur ClientID gespeichert.
Gut wäre noch, wenn man irgendwie die Möglichkeit hätte, das Passwort auch zurückzusetzen. Gerne auch ohne EMail. Vielleicht könnte man beim erstmaligen einloggen ein Token vergeben, welches der User dann aufschreiben kann und bei bedarf damit das Passwort zurück setzen. Die Frage ist dann natürlich, wieso schreibt man sich dann nicht gleich Name und Passwort auf einen Zettel? :lol:
Aber wenn der Zettel verloren gehen würde, bringt das alles auch nichts. Also wäre eine EMailadresse wohl doch die bessere Variante.
Mir stellt sich nun die Frage, wie könnte man die ganze Verwaltung verbessern?
Vielleicht wäre gut, wenn man dann SQ startet, dass dann die Datenschutzerklärung angezeigt würde. Aber was kommt dann da hinein? Das gleiche, was ich hier geschrieben habe? Und es muss doch auch juristisch korrekt formuliert sein, oder? Brauche ich dann auch noch AGB's, Eula und was es sonst noch so gibt?
Eigentlich ist das ganze ja nach wie vor nur ein Hobbyprojekt. Ich fühl mich aktuell einfach überfordert...
Ich hoffe, ihr könnt mir weiter helfen