Dat iemand (of iets) via een specifiek IP-adres jouw website benadert, ook als je weet dat dit IP-adres op dat moment in land X geregistreerd staat, zegt niet betrouwbaar iets over waar ter wereld die persoon (of bot) zich bevindt.

Als zo'n situatie ernstige gevolgen kan hebben, baseer je jouw aanpak op verkeerde aannames.

Helaas en gelukkig bestaat er (nog) geen universele en betrouwbare online authenticatiemethode. On the internet, nobody knows you're a dog (laat staan dat je betrouwbaar weet waar een internetter zich bevindt).

Dit alles nog even los van schepen, vliegtuigen, ISS en ruimtetourisme.

Eens met Erik.
Er is geen enkele reden waarom ik prijs zou moeten geven waar ik vandaan kom. Een IP adres wordt gezien als een 'tot een persoon herleidbaar gegeven' [1] en moet als zodanig behandeld worden. Hoe ga jij met VPN's om, ik kom nu uit Estland en over 1 minuut uit Taiwan?


[1]
https://www.security.nl/posting/740847/Duitse+website+veroordeeld+voor+doorgeven+ip-adres+bezoeker+via+Google+Fonts

Tja je kan zoveel vinden als de wetgeving het niet toelaat wordt het wat lastig om ISP's af te dwingen.

Daarin tegen zijn er natuurlijk ook gewoon commercieele databases met zo ver mogelijk up to date records.
Weet jouw werkwijze niet maar wij deployen via MaxMind GeoIP2 en koppelen dit aan host access control en recht tot uitsturen van mailtransport. Uiteraard zijn er ook wel eens false positives maar mag aannemen dat als iets extreem belangrijk is dat er extra beveiliging opzit zoals secret keys, OTP check via telefoonnummer noem maar op.

Hou wel rekening ermee dat je de niet hier gespecificeerde ernstige gevolgen goed documenteerd voor jezelf want je mag niet zomaar aan geoblocking doen daar moet je wel gegronde redenen voor hebben onder GDPR en als je klachten krijgt beter er op voorbereid zijn.

Weet alleen niet wat IPv6 hier mee te maken heeft gezien je altijd nog ranges hebt en je ook nog steeds gebonden zit aan ASN's Het is niet alsof iemand met IPv6 hun locatie ineens onzichtbaar wordt je kunt ook kijken naar de hops.

Je eigen voorgestelde methode werkt niet met hoe DNS in elkaar zit je maakt eigenlijk een subdomein namelijk aan en wees daar maar ook blij om want je overziet niet de tekortkomingen van het systeem dan je zojuist bedacht hebt. Bedoel hoe ga je om met VPN aanbieders? Wat als die hun carrierhotel hebben in KPN datacenter bijvoorbeeld en andere in laten we zeggen OVH? moet het dan 123.123.123.123.vpnprovider.kpn.nl worden? En hoe ga je om met afscherming van privacy in zo een constructie laat staan beheer.

Je zou daarvoor een complete nieuwe standaard, RFC moeten opstellen met een nieuwe type DNS record maar ik zie niet hoe dit ooit werkbaar wordt zonder de basis van DNS om te leggen en nog wat de voordelen eraan zullen zijn. Daarnaast zal dit altijd op vrijwillige basis zijn.

Over het algemeen klopt het redelijk goed met welke ranges in welke landen toebedeeld zijn. Al is dit de laatste jaren wel wat minder betrouwbaar aan het worden nu we al heel wat jaartjes her en der de gaatjes opvullen voor het tekort aan ipv4 adressen.

Voor IPv6 zijn er wel regels, of eerder richtlijnen. Ik heb me er zelf nog niet in verdiept, maar je zou de provider terug moeten zien in de routering prefix.

Als het zo belangrijk is, zou je jezelf het beste kunnen houden aan de strengste schakel (waarschijnlijk Duitse GDPR).

Ik denk niet dat een post op security.nl veel zoden aan de dijk gaat zetten bij deze queeste. Misschien is het een beter idee om het technisch uit te werken tot een concreet voorstel, en dan een RFC in te dien?



Privacy redenen om te beperken tot een land, met mogelijk ernstige gevolgen? Uit nieuwsgierigheid, wat zijn die redenen? Wat zijn de mogelijke gevolgen als een bezoeker uit, zeg, Belgie komt in plaats van uit Singapore?


Dat moet je ook niet handmatig doen, je submit gewoon het IP naar een online Geolocation API en je krijgt een up-to-date locatie terug. Er zijn verschillende aanbieders voor deze dienst, waar je ook nog een mooi contract mee kan afsluiten waarachter je je juridisch kan verbergen. Je hebt dan al het redelijke gedaan.

Zolang het commercieel nog haalbaar blijft om allen ipv4 te gebruiken. Nadenken over ipv6 is echter wel te adviseren.

Nee, sorry, dit is niet veel makkelijker, al was het maar omdat je daarvoor bij een administratieve organisatie (de verschillende organisaties die gaan over standaarden op Internet) zonder enige juridische macht moet proberen te bewerkstelligen dat ALLE landen in de hele wereld dergelijke wetgeving gaan implementeren en handhaven. Een veel eenvoudiger methode is om het IP-adres van de bezoeker met een enkele call naar een Geolocatie API te sturen.

En hoe doe je dat met ISP's die een .com adres hebben? Internationale organisaties? VPNs? Wat is de meerwaarde van een reverse lookup domainnaam parsen en vergelijken boven een Geolocatie op basis van IP?


Het is alleen niet betrouwbaar. Die internationale regels gaan er niet komen, dat is een volkomen onhaalbare kaart. We kunnen internationaal er niet eens voor zorgen dat China geen toxisch afval in baby-bijtspeeltjes verwerkt; dit gaat er niet doorheen komen binnen 20 tot 30 jaar.
Nogmaals: sluit een goede overeenkomst met een betrouwbare partij die Geolocatie diensten aanbiedt. Dan zit je juridisch goed.

Mij lijkt het eerder noodzakelijk, dat je nadenkt of wat je aanbied wel op deze manier mag. Als het van het land van herkomst afhankelijk is, of iemand iets mag zien, dan moet je zorgen dat dit altijd klopt. Eerdere reageerders hebben het al over VPN's gehad. En wat doe je met een in Nederland zittende medewerker van een Amerikaans bedrijf? Mag die wel of niet bij jouw data? Hoe stel je zeker dat het gaat op de manier die je wil? Er zijn nl. 2 mogelijke wegen. Als het niet mag, omdat data naar de VS kan lekken, hoe houd je die dan buiten, wanneer hij via een Nederlands IP-adres komt? En als het wel mag, wat doe je dan, wanneer dat bedrijf een in de VS gebaseerd class-A netwerk gebruikt?

Bedankt voor jullie inzicht, maar ik vind dat jullie het moeilijker maken dan het is.
En veel opmerkingen zijn simpele details die makkelijk verholpen kunnen worden dus daar ga ik niet mijn tijd aan verspillen.

Er zijn miljoenen ip adressen, die nu door partijen als Maxmind worden omgezet naar onbetrouwbare locatie informatie.
Als je dit een goede manier vind van locatie bepaling dan heb je weinig verstand in je hoofd. Partijen zoals Maxmind worden gebruikt omdat er geen beter alternatief is, en dat is gewoon triest.

Er zijn per land slechts een aantal internet providers, als deze allemaal hun ip adressen omzetbaar maken in domein namen. Dan is het slechts een kwestie van een allow list maken met betrouwbare internet provider domein namen. Dit is een simpele manier om ongewenste bezoekers buiten te houden.

Mensen die liever anoniem willen surfen dat is prima, maar ik als website eigenaar wil die niet op mijn site hebben.

Betreft mijn site het gaat om een erotische site waarop vrouwen zich bloot stellen. Deze vrouwen komen uit alle delen van de wereld. En deze vrouwen willen vaak geen bezoekers uit hun eigen land. De gevolgen als familie of vrienden hun naaktbeelden zien kunnen veel gevolgen hebben voor hun prive leven en ze zelfs tot zelfmoord brengen.

Bedankt voor jullie inzicht, maar ik vind dat jullie het moeilijker maken dan het is.
En veel opmerkingen zijn simpele details die makkelijk verholpen kunnen worden dus daar ga ik niet mijn tijd aan verspillen.

Er zijn miljoenen ip adressen, die nu door partijen als Maxmind worden omgezet naar onbetrouwbare locatie informatie.
Als je dit een goede manier vind van locatie bepaling dan heb je weinig verstand in je hoofd. Partijen zoals Maxmind worden gebruikt omdat er geen beter alternatief is, en dat is gewoon triest.

Er zijn per land slechts een aantal internet providers, als deze allemaal hun ip adressen omzetbaar maken in domein namen. Dan is het slechts een kwestie van een allow list maken met betrouwbare internet provider domein namen. Dit is een simpele manier om ongewenste bezoekers buiten te houden.

Mensen die liever anoniem willen surfen dat is prima, maar ik als website eigenaar wil die niet op mijn site hebben.

Betreft mijn site het gaat om een erotische site waarop vrouwen zich bloot stellen. Deze vrouwen komen uit alle delen van de wereld. En deze vrouwen willen vaak geen bezoekers uit hun eigen land. De gevolgen als familie of vrienden hun naaktbeelden zien kunnen veel gevolgen hebben voor hun prive leven en zelfs tot zelfmoord brengen.

Wat denk je te bereiken met een dergelijke sneer??
A. klopt het niet, de informatie die je van Maxmind krijgt is beter dan van een reverse DNS naam, om allerlei redenen die
al besproken zijn. En B. kun je het echt niet beter krijgendoor te roepen dat de hele wereld zich aan jou moet aanpassen.
Er zijn nu al talloze IP adressen die helemaal niet eens een reverse DNS naam hebben, laat staan een die voldoet aan
jouw eisen.
En dan zijn er ook nog eens providers die je zelf een DNS naam aan je IP laten hangen, en die hoeft dan helemaal niet
.nl te zijn. Dus dan heb je nog niks.

En als je denkt dat dit een beveiliging tegen Nederlandse bezoekers op een Nederlande site is, lees dan even de
reclame van een "VPN provider", die leveren allemaal de dienst "met een buitenlands IP internet op", juist om dit
soort restricties te omzeilen. Dat ze daar mee weg komen snap ik ook niet, maar het is een feit dat het gebeurt.

Dat is het mooie van internet, de wereld een dorp. Filteren per wijk is gewoon een achtelijke manier van denken. Als je een website hebt, ben je zichtbaar voor iedereen. "Privacy" op een (publieke) website slaat echt als een tang op een varken.

Ik ben het met je eens dat IP blocking niet echt helpt. Je kunt al snel een ander IP adres aannemen. Geldt dus ook voor diegene die toch naar je website willen en/of hackers.

Gut gut gut . En jij denk dat netjes geo-labelen voor DAT probleem wel een oplossing is ?

Heb jij, en de porno meisjes, al bedacht dat mensen uit al die achterlijke kutlanden nog wel eens elders op de wereld zitten en daar porno kijken ? (of dat off line delen met kennissen in het thuisland ) ?

Of een VPN gebruiken om de staatstelco die porno verbiedt te omzeilen ?

Al die azielzoekers hier surfen hier met een NL IP, en als dat perfect gelabeld is - is het nog steeds een NL IP, ook al is het Afghaan uit Ter Apel .

Je kunt het met geo-ip blocking "vrij redelijk" doen , maar 100% perfect op land-niveau ga je het toch niet krijgen - en gezien dat vrijwel ieder land (muv misschien van Noord-Korea) her en der gemeenschappen heeft buiten de landsgrenzen ga je het probleem "mensen uit mijn land _waar ze ook zitten_ zouden mij niet moeten kunnen zien" zo niet oplossen.

Ik snap eigenlijk ook niet waarom iemand die web hoe dingen werken op een ietwat obscuur forum komt emmeren dat "het internet perfect georganseerd zou moeten zijn en iedereen rDNS goed zo moeten invullen" en dan ook nog gelooft dat dat een oplossing is voor het probleem dat mensen niet gezien willenn worden door "mensen die ze mogelijk herkennen" .

Voor de auteursrechten/regio content owners kun je nog denken dat de exacte geografische plaats van het IP relevant is voor de rechten, en niet speciaal de nationaliteit/achtergrond van de kijker .

Maar voor het probleem van de porno meisjes is dat nu juist andersom - de achtergrond van de kijker is cruciaal, en de geografische locatie van het IP is daar alleen een hint voor .

Prima simpele uitleg? Wat je wilt kan niet wetgevelijk en technisch.
Wil je de gene die bepalen hoe het internet opereert overtuigen dan redt je het niet met simpele uitlegs daar gaat maanden en soms jaren aan overleg aan vooraf met boekwerken aan informatie en onderhandelingen.

Het noemen van reageerders hier dat ze niet goed bij hun hoofd zijn is een hele goede manier om geen gratis consult meer te krijgen. Wij hebben ook vroeger erotische content (escort) gehost voor high profile klanten en je werkt simpelweg *niet* met locatie beperkende middelen als geoblocking hiervoor period. Nog dommer is het als je bedenkt dat je zelf zegt dat er geen beter alternatief is waardoor je dus eigenlijk zegt dat de mensen die de beste *huidige* methodiek toepassen geen verstand van zaken hebben.

Je schermt de dames, heren af door foto's te blurren op een wijze dat deze niet te herstellen zijn met A.I Je zorgt dat volledige profielen enkel inzichtelijk zijn na controle van betaling middels 1 cent betaling voor verifieren van de potentiele afnemer. Je beveiligd de werkelijke foto's separaat van de rest van de omgeving en zorgt dat ze voorzien zijn van watermarks en tracking pixel voorgeval. Je laat NDA's opstellen naar ontwerp bureau's en verwerkers en je hebt een afgeschermd noodnummer waar meteen een verzoek tot profiel takedown geregeld kan worden.

Er zijn niet een paar ISP per land er zijn in Amerika alleen al 7000+ service providers even los gezien van de resellers.
Dat in combi met 4.3 biljoen IP's en je hebt een database die gemiddelde ISP laat staan klant echt niet wil gaan gebruiken zeker niet als het ook nog elke minuut geupdate moet worden.

Laten we even realistisch zijn je bent een bedrijf met 1 site die eist dat bedrijven met miljoenen klanten hun werkwijze gaan aanpassen? Zelfs Pornh*bs invloed zou nog niet genoeg zijn om een DNS framework change request erdoor te krijgen.

Ik heb het simpel uitgelegd en hoe ik het voorstel werkt, maar het lijkt erop dat jullie het niet willen begrijpen of jullie zijn te dom om het te begrijpen.

En ik had wel wat weerstand verwacht, maar door zoveel weerstand lijkt het erop dat ik hier te maken heb met mensen die liever zien dat internet onveilig blijft. Het valt mij ook op dat het vooral anonieme mensen zijn die er zo over denken, en met allerlei smoesjes aankomen om de huidige internet chaos in stand te houden.

Ik snap dat verandering moeilijk is voor autistische mensen, maar ga er maar alvast aan wennen dat Internet toegang gereguleerd gaat worden en van mij mogen VPN diensten verboden worden. En dit zal waarschijnlijk ook gebeuren aangezien ze voornamelijk voor fraude gebruikt worden.

En ik zit niet op gratis advies te wachten, en had ik het maar of 1 persoon het voor het zeggen.
Dan ging er geen 20 tot 30 jaar verloren voordat het internet veilig werd.

Wat zal het toch heerlijk zijn om Poetin te wezen.
Geen eindeloze discussies met halve garen, maar gewoon 1 iemand die 1 richting kiest.
Dat bespaart een hoop tijd.

“ Ik denk niet dat een post op security.nl veel zoden aan de dijk gaat zetten bij deze queeste. Misschien is het een beter idee om het technisch uit te werken tot een concreet voorstel, en dan een RFC in te dien?”

Reinder bedankt voor je gratis advies.

Men had het toch over een three strikes out beleid.
Direct blokkeren een adres dat zit te brute forcen etc.
Rammel je aan deuren en ramen moet je ook opgepakt als je geen goed verhaal hebt waarom. Handhaving zonder onderscheid zowel voor de grootste als kleinste cybercrimineel.
luntrus

P.S. Geldt ook voor geplande evidente controlled opposition.

Je hebt inderdaad een redelijke uitleg gegeven, of wij het daar mee eens zijn of niet, is aan ons. Maar ik wil je wel iets te denken geven. Je stelt vrouwen te willen beschermen tegen reacties vanuit het eigen land, op het feit dat ze op een erotische site zitten. Wil je ze echt beschermen, dan haal je de site uit de lucht! Wanneer iets op het internet verschijnt, dan is daarmee alleen geregeld dat het op het internet staat. Maar wat op jouw site te zien is, kan (en zal) via omwegen door deze of gene ook elders zichtbaar gemaakt worden. Dan komen de beelden mogelijk toch bij mensen die ze niet mogen zien via jouw site. Dus de dreiging die jij zegt te willen voorkomen, blijft indirect bestaan. En echt, wil je dat mensen iets niet zien, zet het niet op internet, of op een plek die via het internet te bereiken is. Dus ook geen foto's in boekjes, geen filmpjes op DVD o.i.d., door scannen/rippen kunnen die ook op iemand zijn pc of nas komen. En dus door ongewenste toegang op het internet.