Moin,

wenn ich einen Post2Host ermöglichen will, benötige ich auf dem Zielhost einen Responder. Der Post wird über HTTPs und einen Key abgesichert.

Wenn nun unberechtigte Posts eintreffen, mit welchem Status sollte man antworten? Ich schwanke zwischen 500 und 404, mit starker Tendenz zu 404. Man will ja möglichst wenig offenlegen.

öhm, ich wäre jetzt spontan auf 403 Forbidden gesprungen. Die beiden von dir genannten passen von der Semantik her nicht so recht zur Situation.
404 Not Found? Okay, um Suchmaschinen abzuwimmeln. Aber die Aussage stimmt nicht so wirklich, da wurde ja doch etwas gefunden.
500 Server Error? So wie ein Schild mit der Aufschrift "Heute wegen Todesfall geschlossen" an der Ladentür? Mich würde das animieren, den Zugriff irgendwann später nochmal zu probieren.

Für die Sicherheit werden Fehlzugriffe nun aber logged und durch Fail2Ban ausgewertet. Sind die Intruder ermittelbar, wird nach ca. 4x6 Versuchen abgemahnt bzw. Anzeige erstattet.

Wie denn das? Wie kriegst du als Otto Normalverbraucher raus, wer das war?

Da ja im Normalbetrieb nur ein 404 gesendet wird, ist üblicherweise auch kein Hinweis auf die Dateschutzbestimmungen und das Logging laut DSGVO vorhanden.

Richtig, bei anderen Fehlermeldungen in der Regel auch nicht. Aber dass Fehler im Protokoll eines Webservers gespeichert werden, würde ich als "allgemein bekannt" und "üblich" einschätzen. Und was wird geloggt, was auch nur im Entferntesten unter die DSGVO fallen könnte? Die IP-Adresse des Clients. Und aus der bekommst du meines Wissens als Normalsterblicher ohne die Unterstützung durch Polizei und/oder Staatsanwaltschaft allenfalls den Zugangsprovider des anfragenden Clients raus.

| Sollte man die Amtwortseite für 404 entsprechend ergänzen und was sollte dann in den Hinweisen drinstehen? |

Meine Meinung: Nein, wozu?

Schönen Sonntag noch,
 Martin