Ik plaats dit bericht omdat ik vind dat er maatregelen genomen moeten worden om land bepaling van een website bezoeker makkelijk en betrouwbaar te maken.
Ik denk niet dat een post op security.nl veel zoden aan de dijk gaat zetten bij deze queeste. Misschien is het een beter idee om het technisch uit te werken tot een concreet voorstel, en dan een RFC in te dien?
Wegens privacy redenen moet ik voor mijn website weten uit welk land een bezoeker komt, als ik dit niet doe kan dit ernstige gevolgen hebben.
Privacy redenen om te beperken tot een land, met mogelijk ernstige gevolgen? Uit nieuwsgierigheid, wat zijn die redenen? Wat zijn de mogelijke gevolgen als een bezoeker uit, zeg, Belgie komt in plaats van uit Singapore?
Het huidige systeem om de locatie van een bezoeker te achterhalen doormiddel van een ip adres handmatig te verbinden met een locatie is veel werk, onbetrouwbaar en veranderd constant.
Dat moet je ook niet handmatig doen, je submit gewoon het IP naar een online Geolocation API en je krijgt een up-to-date locatie terug. Er zijn verschillende aanbieders voor deze dienst, waar je ook nog een mooi contract mee kan afsluiten waarachter je je juridisch kan verbergen. Je hebt dan al het redelijke gedaan.
En met de opmars van ip6 is het nog moeilijker geworden, waardoor ik geen ip6 kan toelaten op mijn website.
Zolang het commercieel nog haalbaar blijft om allen ipv4 te gebruiken. Nadenken over ipv6 is echter wel te adviseren.
Een veel makkelijkere oplossing om de locatie te bepalen is om de internet providers van bezoekers te verplichten om hun ip naar hostnaam te kunnen omzetten. En die hostnaam alleen in een specifiek land toe te staan.
Nee, sorry, dit is niet veel makkelijker, al was het maar omdat je daarvoor bij een administratieve organisatie (de verschillende organisaties die gaan over standaarden op Internet) zonder enige juridische macht moet proberen te bewerkstelligen dat ALLE landen in de hele wereld dergelijke wetgeving gaan implementeren en handhaven. Een veel eenvoudiger methode is om het IP-adres van de bezoeker met een enkele call naar een Geolocatie API te sturen.
Bijvoorbeeld de bezoeker heeft ip adres 123.123.123.123
Dit ip adres kan door de website worden omgezet naar 123.123.123.123.kpn.nl
De website hoeft alleen maar .kpn.nl te zien om te weten dat de bezoeker uit Nederland komt.
En hoe doe je dat met ISP's die een .com adres hebben? Internationale organisaties? VPNs? Wat is de meerwaarde van een reverse lookup domainnaam parsen en vergelijken boven een Geolocatie op basis van IP?
Bij veel Nederlandse internet providers is de bezoeker al om te zetten naar een domein naam, maar niet allemaal.
Ik vind dat hier internationale regels voor moeten komen.
Het is alleen niet betrouwbaar. Die internationale regels gaan er niet komen, dat is een volkomen onhaalbare kaart. We kunnen internationaal er niet eens voor zorgen dat China geen toxisch afval in baby-bijtspeeltjes verwerkt; dit gaat er niet doorheen komen binnen 20 tot 30 jaar.
Nogmaals: sluit een goede overeenkomst met een betrouwbare partij die Geolocatie diensten aanbiedt. Dan zit je juridisch goed.