[GTER] Enquete: Formato de Logs de Servidores Web

[Danton Nunes]

On Sun, 13 Mar 2011, Andre Gustavo de C. Albuquerque wrote:

> Quem provê serviço de telecomunicações está sujeito a receber ordem judicial
> para identificação de origem de acesso e só lhe resta cumprir a
> determinação.

até aí, tudo bem, mas a capacidade de rastreio tem limites.

> Para quem provê acesso à Internet, a disponibilidade de endereços IPv4
> públicos permitiu que essa identificação fosse feita com informações simples
> como as que o common log format pode prover.
>
> A realidade é diferente hoje, com a dificuldade crescente em se obter
> endereços IPv4 públicos, e a total inutilidade em prover endereços IPv6 para
> assinantes sem comunicação com a Internet IPv4, algum tipo de tradução terá
> que ser feita, seja NAT44, NAT64 ou ambos.

ok, mas tem que haer uma divisão de responsabilidades aí. Você disse em 
outro mail que você registra o X-forwarded-for, mas tem que se lembrar de 
que esse cabeçalho é colocado por um elemento não confiável e que pode ser 
totalmente falso, assim como o From: de um email. creio que o razoável é 
registrar somente os dados sobre os quais temos autoridade, e, caso 
interrogados, dizer: veio de tal IP, agora procure o dono desse IP que ele 
poderá refinar isso.

> Os provedores de serviço certamente devem fazer sua parte, gravando seus
> logs pelo período que a Lei determinar, mas, na medida em que eles estiverem
> fazendo seu papel, e não for possível realizar a identificação utilizando
> apenas as informações do common log format, a identificação do acesso, como
> pedida em ordem judicial, não será possível.

e daí? você vai completar o pedido com informação fornecida por um 
terceiro não confiável, por vezes o próprio suspeito? é mais razoável 
recolher e fornecer somente os dados em que você pode confiar, caso 
contrário pode se tornar em instrumento para atrapalhar uma investigação 
em vez de ajudá-la.

> Há sempre a opção por não armazenar logs de acessos, ou de traduções com
> NAT, mas esta vem acompanhada do risco de sofrer as penalidades que a
> justiça determinar, já que interpretações de Leis não são uniformes.

não é viável gravar as alocações de NAT no nível de conexão. No caso do 
uso de proxies, o log so squid é bem razoável, mas note, isso já está 
totalmente fora do teu controle.

> Duplo NAT é uma realidade, mas desconheço implementação dentro de um mesmo
> domínio administrativo, especialmente os com larga escala. É comum a
> implementação de NAT em residências ou empresas em acessos banda larga, mas,
> sob a perspectiva de um provedor de serviço, o que basta é a identificação
> da empresa ou residência de onde partiu o acesso sendo investigado pela
> justiça.

mas você é um servidor web, não o provedor do serviço. identificar o 
provedor do serviço para a justiça já está de bom tamanho.

resumindo: não dê informações sobre as quais você não tem qualquer 
garantia de veracidade.