10. Juni 2010
Auf Golem.de gibt es gerade einen sehr schönen Artikel über eine Studie, die die Passwortsicherheit auf Webseiten untersucht hat:
„Das Ergebnis ihrer Untersuchungen zeigt, dass Webseiten im Umgang mit Passwörtern große Schwachstellen haben. So unterlassen es beispielsweise 57 Prozent der untersuchten Websites, Passwörter per TLS verschlüsselt zu übertragen. Knapp ein Drittel der Websites verschickte Passwörter im Klartext per E-Mail und über 80 Prozent der Websites setzten einem Brute-Force-Angriff praktisch keinen Widerstand entgegen.“
Dabei scheinen größere Webseiten prinzipiell besser zu sein als kleine und Webseiten mit Zahlungsfunktion besser als sonstige.
Ich persönlich sehe das größte Risiko ja immer noch darin, dass die Nutzer auf allen Webseiten das gleiche Passwort verwenden. Wenn dann eine Webseite kompromittiert wird und die Kombination aus Login/Passwort/E-Mail einem Angreifer bekannt geworden ist, kann sich der Angreifer oft direkt auf vielen verschiedenen anderen Seiten anmelden.
Aber das ist nichts neues. Ich empfehle mal wieder die OSCON 2005 Keynote von Dick Hardt. Schade, dass es immer noch keine vertrauenswürdige und verlässliche Identity 2.0 gibt.
8. Juni 2010
Problem exists between Keyboard and Chair. Auch in Deutschland, stellt völlig überraschend Bitkom fest, wie Heise notiert. 37 Prozent der Deutschen geben angeblich Passwörter weiter, häufig um sie nicht zu vergessen. Ich stelle mir das mal so vor:
Frau Maier: Grüß Gott, Frau Huber.
Frau Huber: Grüß Gott, wie geht’s ihnen denn so?
Frau Maier: Ja gut. Aber ich hab eine große Bitte an sie.
Frau Huber: Was kann ich denn tun?
Frau Maier: Sie passen ja schon auf unseren Haustürschlüssel auf und gießen Blumen wenn wir im Urlaub sind.
Frau Huber: Ja, schon. Und?
Frau Maier: Können sie bitte auch auf mein Facebook-Passwort aufpassen und für mich Status-Updates machen?
Frau Huber: Klar geht das.
Frau Maier: Und bei GMX die Post reinholen. Und bei Twitter die Tweet aktualisieren. Und bei MeinVZ den Rasen mähen. Aber nur einmal die Woche!
Frau Huber: Ja Herrgott, wie viele Passwörter soll ich mir den merken?
Frau Maier: Na nur eines natürlich. Josef, wie mein Mann heißt.
Frau Huber: Ach so, na dann kann ich das natürlich machen.
5. Juni 2010
Sehr schön. Für das angeblich so versehentliche und durch einen dummen Programmierfehler erfolgte umfangreiche Mitsniffen von Paketen hat Google sogar eine Patentanmeldung eingereicht, berichtet The Register.
Man beachte insbesondere Claim 10-13:
- 10. A computer-implemented method of estimating confidence in a status of a wireless device, the method comprising:obtaining one or more packets of data transmitted from a first wireless device to a second wireless device;evaluating the one or more transmitted data packets to identify a frame type for each respective data packet;identifying the first wireless device or the second wireless device as a wireless access point based upon the identified frame type for at least one of the data packets; andassigning a confidence value to the identification of the wireless access point.
- 11. The method of claim 10, wherein:if the frame type of at least one of the respective data packets is a management frame, then identifying the first wireless device as a wireless access point; andsetting the confidence value for the identification of the wireless access point to a maximum confidence value.
- 12. The method of claim 11, wherein:if the frame type of at least one of the respective data packets is not the management frame, then evaluating whether the frame type of any of the respective data packets is a control frame;if the frame type of at least one of the respective data packets is the control frame, then identifying the first wireless device as the wireless access point; andsetting the confidence value for the identification of the wireless access point to a value between the maximum confidence value and a minimum confidence value.
- 13. The method of claim 10, wherein identifying the first wireless device or the second wireless device as the wireless access point further includes analyzing a number of frames transmitted or received by each device.
Auf Deutsch: wir hören Datenpakete ab, analysieren die Inhalte und bestimmen damit wer Client und wer Access Point ist. Yup, hört sich für mich völlig illegal an. In den USA und in Europa sind auch schon diverse Klagen anhängig.
Aber das passiert halt, wenn man völlig amoralische Techniker an so eine Thematik heranlässt. Gemacht wird, was technisch machbar ist. Ob das legal oder moralisch in Ordnung ist, wird nicht mehr hinterfragt. Und irgendein naiver Fanboy findet sich garantiert auch, der so ein Verhalten verteidigt.
2. Juni 2010
Ich habe meine persönliche Filterliste im Adblock Plus mal überarbeitet und neu strukturiert. Ich bin sicher, man kann die Filter noch optimieren für meine Zwecke sind sie jedoch schnell und effizient genug.
Filterliste allgemeine Webbugs
Filterliste Google Analytics / Urchin
- .google-analytics.com/* (Google Analytics)
- */__utm.js (das Original Urchin Tracker Modul, Urchin 5)
- */__utm.gif?* (Urchin Tracker Modul ??)
- */urchin.js (das um Google Analytics erweiterte Modul, Urchin 6)
- */ga.js (das neue Google Analytics Javascript)
- */__ga.js (das neue Google Analytics Javascript)
- ||ajax.googleapis.com/ajax/libs/jquery/*
- ||ajax.googleapis.com/ajax/libs/jqueryui/*
Filterliste IVW / SZM
Filterliste Facebook / Like und andere Social Networks
- ||facebook.com/plugins/like.php
- ||facebook.com/plugins/likebox.php
- ||facebook.com/connect.php
- ||facebook.com/connect/connect.php
- ||facebook.com/widgets/recommendations.php
- ||static.ak.fbcdn.net/rsrc.php
- ||static.ak.fbcdn.net/connect.php
- ||badge.facebook.com/badge/
- ||api.tweetmeme.com/button.js
Filterliste Yahoo Web Analytics Tracking
Filterliste Flattr (vermutlich mache ich mich damit unbeliebt)
Spezialfilter für nervende Social Network Bookmark Links
- sueddeutsche.de##div[class^=“articlefooter“]
- sueddeutsche.de##div[id^=“bookmarking“]
- sueddeutsche.de##li[class^=“social“]
- welt.de##div[class^=“advertising“]
- welt.de##div[id^=“footerContainer“]
- welt.de##div[id^=“stickySocialBookmarks“]
- spiegel.de##div[id^=“spSocialBookmark“]
- 20min.ch##div[class^=“social_bookmarks“]
Anmerkung am Rande
Die einzige mir bekannte Webseite eines Medienunternehmens auf dem meine Filter nichts, aber auch gar nichts blockieren ist die Webseite des Titanic Magazins.
Nachtrag:
Und ja, ich habe ein (bezahltes) Titanic Abo. Das hat mir mein Bruder zu Weihnachten geschenkt 😉
Nachtrag 2:
Ich habe noch ein paar Facebook-Blockierregeln ergänzt. Das entwickelt sich echt zur Seuche. Ich denke ich werde die Liste mal komplett überarbeiten und optimieren müssen. Dann kann ich die auch als Import-Filter zur Verfügung stellen, wenn das jemand interessiert.
24. Mai 2010
Heute mit Links von den Inseln …
Komplettausschluss aller Haftungsregeln in Software-Lizenzen ist unfair
In Großbritannien hat der High Court (also keine kleine Amtsgerichtsklitsche) entschieden, dass bestimmte Klauseln in Software Lizenzen unfair und damit unwirksam sind. Im speziellen Fall ging es um eine Hotelsoftware, die wohl nicht ganz den Vorgaben entsprochen hat. In den Lizenzbedingungen stand jedoch, der Kunde könne bei Problemen nur auf den Supportvertrag zurückgreifen und keine Rückerstattung verlangen, egal wie schlecht die Software ist. Diese Klausel hat das Gericht als unwirksam verworfen. Ich hoffe ja, dass wir in Deutschland auch irgendwann stärker entweder Produkthaftungsregeln für Software anwenden oder, wenn das nicht möglich oder praktikabel ist, Lizenzbedingungen zumindest wie AGB einer Inhaltskontrolle unterliegen. Naja, abwarten.
Large-Scale Cyber-Attacks
Ebenfalls in Großbritannien wurde vom House of Lords der 5. Bericht zum Schutz der EU vor Large-Scale Cyber-Attacks veröffentlicht. Dabei wurden insbesondere die (vermutlich aus Russland durchgeführten) Angriffe gegen Estland im April/Mai 2007 und die chinesischen Angriffe gegen Systeme des Dalai Lama vor den olympischen Spielen im August 2008 als Beispiele herausgegriffen. Und die ENISA bei der sich Udo Helmbrecht auf seine Pension vorbereitet hat auch einen Seitenhieb bekommen, da sie in Kreta in der Sonne weit ab vom Schuss ist.
UK will Big Brother (ein wenig) zurückfahren
Schreibt Heise. Also, eigentlich ja nicht, aber es ist einfach nicht mehr genug Geld für alles da. Vorratsdatenspeicherung kostet den Staat erst mal Geld und ob es was bringt, weiß eigentlich keiner. Ein paar Überwachungskameras (CCTV) werden vielleicht abgeschaltet. Ein klein wenig weniger DNA- und Fingerabdruckdatenbanken (an Stellen an denen der EUGH schon hinschauen wollte). Und das Auskunftsrecht bei Behörden „wie in Deutschland“ klingt eher wie eine Drohung als eine Verheißung. Auf Deutsch, ich bin extrem pessimistisch. Das hört sich an wie das Dialogangebot von Herrn de Maiziere und in Folge wird dann eben auch getrickst, getäuscht und verarscht.
Three Strikes in Irland
Die irren Iren sind da schon einen Schritt weiter. Der (noch) größte irische Provider Eircom hat inzwischen auf Druck der Contentmafia ein System der „abgestuften Erwiderung“ eingerichtet. Die IRMA droht schon mal, Eircom „jede Woche mit tausenden IP-Adressen von Copyright-Sündern versorgen zu können“. Wenn das stimmt, hat Eircom in einem Jahr nicht mehr 750.000 Kunden sondern nur noch die Hälfte. Und zu wünschen ist es dem Laden ja auch.
Eric Schmidt, der Evil Overlord CEO von Google findet, dass das Abfangen von WLAN-Daten straffrei sein muss mit der Begründung, es wurde ja niemandem (der nennbar wäre) Schaden zugefügt. Die offizielle Meinung von Google laut Eric Schmidt ist:
„If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place.“
Auf deutsch: Wenn ihr nicht wollt, dass wir euer WLAN ausspionieren, dann nutzt einfach keines. Ausser, es betrifft ihn selbst.
Jens Ferner hat dazu auf Datenschutzbeauftragter-Online einen interessanten Kommentar (eine der wenigen Webseiten die ich ständig verlinke) veröffentlich.
15. Mai 2010
Drucker sind auch so ein gerne unterschätztes Sicherheitsrisiko. Darum mal ein paar mehr oder weniger aktuelle Links zum Nachdenken:
Ausdrucke rückverfolgen
Die meisten Farbdrucker drucken auf eine Seite automatisch kaum sichtbare Codes die unterschiedliche Informationen wie z.B. die Seriennummer des Druckers kodieren. Mit diesen Informationen wird es Strafverfolgungsbehörden beispielsweise ermöglicht, gefälschte Geldscheine zurückzuverfolgen. Ich persönlich halte das jedoch für ein Scheinargument denn Geldscheine haben heute so viele Sicherheitsmerkmale. Das was aus einem Farbdrucker herauskommt ist mit einem echten Geldschein nicht vergleichbar. Insbesondere weil praktisch alle Farbdrucker weitere Sicherheitsverfahren implementieren um keine Geldscheine auszudrucken. Man kann jedoch sehr schön damit auch veröffentlichte Geheimpapiere zurückverfolgen und Whistleblower einschüchtern. Und das liegt garantiert im Staatsinteresse. Die EFF hat schon seit ewigen Zeiten eine Liste mit Druckern, die Codes auf jedem Ausdruck hinterlassen.
Festplatten in Drucker und Kopierer
In Drucker und Kopierer eingebaute Festplatten sind ebenso ein Thema. Seit ewigen Zeiten bekannt und trotzdem sind immer wieder Leute überrascht, wenn deren persönliche Daten beim Kopieren auf dem Drucker gespeichert bleiben. Insbesondere die großen Geräte die alles können sind da recht gefährlich. Aber ich kenne kaum ein Unternehmen, das eine passende Datenschutzpolitik für Drucker und Kopierer hat. Obwohl das Thema immer mal wieder hochkommt.
(Danke Nikola)
Druckerregionalisierung
Noch lustiger (oder unlustiger für den Kunden) ist die Gängelei die sich HP mal wieder einfallen hat lassen. Nicht nur, dass HP die teuerste Tinte aller Zeiten verkauft und die Kunden damit so über den Tisch zieht, dass sie die Reibungshitze als Nestwärme empfinden, nein, jetzt werden die Drucker auch noch so regionalisiert, dass man für einen in Australien gekauften Drucker in Europa keine Patronen mehr kaufen kann. Pech für Leute die ab und an umziehen. Denen kann man nur empfehlen auf HP zu verzichten. Inzwischen scheint HP aber auch zu erkennen, dass das eine ganz dumme Idee ist und gibt Anleitungen heraus um den Regionalcode des Druckers zurückzusetzen.
Bei so etwas frage ich mich ja immer, welcher hirnamputierte Idiot da bei den großen Konzernen im Product Marketing sitzt und solche Entscheidungen trifft. Für vielleicht drei oder vier tatsächlich mehr verkaufte Geräte (der Graumarkt lässt sich dadurch nicht eindämmen) nimmt man einen erheblichen Imageschaden für das Unternehmen im Kauf. Aber das sind die klassischen Management-Söldner heute. Wenn der Karren an die Wand gefahren ist, verlässt man das Unternehmen mit einer hohen Abfindung und zieht weiter wie die Wanderheuschrecken. Middlehoff lässt grüßen.
6. April 2010
Satire
Die Bundesregierung zieht laut Heise ein positives Fazit des De-Mail-Test in Friedrichshafen. Insgesamt 812 Einwohner der Testregion haben sich für eine völlig nutzlose und teure De-Mail-Adresse registriert und dafür vermutlich sogar Geld ausgegeben. Das alles nur um später ihren Kindern und Enkelkindern erzählen zu können: „Ja, wir waren dabei!“. Diese 812 Einwohner entsprechen 2,75% der mögliche Nutzer der Testregion. Das sind deutlich mehr als die 2% sich anmeldenden Deppen mit den die Bundesregierung gerechnet hat aber immer noch weniger als die Hartz4-Quote der Region.
Auch andere Gruppen und Organisationen ziehen ein positives Fazit. Gieter Horny, der Chef des Bundesverbands irgendeiner Industrie erklärte, dass De-Mail seinen Unternehmen endlich eine Möglichkeit gibt, unschuldige Internetnutzer kostengünstig abzumahnen und so die Gewinne der Abmahnanwälte zu steigern. Allen 812 Testnutzern würde in den nächsten Tagen eine solche Abmahnung zugehen. Ähnliche Kommentare waren von diversen Betreibern von Abzockseiten zu erfahren.
Kritische Töne waren lediglich von Datenschützern und der Deutschen Post zu erhalten. Datenschützer kritisieren, dass die Abhörschnittstelle des De-Mail-Dienstes noch nicht standardisiert sei und außerdem eine gesetzliche Regelung fehle, welcher der vielen Interessenten (LKAs, BKA, MAD, BND, Verfassungsschutz, NSA,CIA, Mossad, etc.) Zugriff auf welche Daten erhalten solle. So könne beispielsweise das Bayrische LKA bereits in De-Mail Postfächern virtuell Streife gehen und nach illegal verschickten Zensursula-Schablonen suchen während das Hamburger LKA noch auf die virtuellen Streifenwagen warte. Die Deutsche Post wiederum kritisierte, dass De-Mail im Gegensatz zu ihrem Briefdienst keine flächendeckende Versorgung der Bürger sicherstellen könne, da beispielsweise in der ehemaligen Ostzone keine schnellen Internetverbindungen existieren. Der mit überhöhter Geschwindigkeit durch die Ortschaften rasende und regelmäßig falsch parkende Postbote sei hier wesentlich zuverlässiger. Außerdem wären den Bürgern die Risiken der rasenden Postdienstleister durch die vielen Unfälle inzwischen vertraut.
Die Bundesregierung erklärte, sie könne die Kritik mangels Fachkenntnis nicht nachvollziehen, werde aber gegebenenfalls geeignete Stoppschilder aufstellen. Außerdem sei geplant, die Bevölkerung weiter zu verblöden um 4% Teilnahmequote zu erreichen.
29. März 2010
Weil wir gerade bei Google sind … die taz hat einen Artikel, wie das Remarketing von Google funktioniert. Dabei bekommt ein Nutzer (sofern über den Google-Cookie identifiziert) immer wieder Werbung vom gleichen Anbieter angezeigt, wenn er mal auf eine Webseite eines Anbieters gegangen ist.
„Die Idee: Der Werbetreibende baut in seiner Website einen Google-Code ein, der den Nutzer erkennt. Surft dieser dann irgendwo anders im Web, werden ihm ab sofort regelmäßig Botschaften von der einmal besuchten Seite gezeigt. „Über eine Million Partnerseiten“ lässt sich der User so gegebenenfalls verfolgen, nur weil er einmal die Website des Werbetreibenden angeklickt hat.“
Spannend. Das funktioniert natürlich nur, weil das riesige Werbenetzwerk von Google so viele Webseiten umfasst, auf denen Google-Werbung eingeblendet wird. Ein Mitbewerber der nur auf wenigen Seiten angezeigt wird, hat dazu gar keine Möglichkeit.
Genau das ist auch der Grund, warum ich so gut es geht versuche, Google Analytics (urchin.js, ga.js, etc.) zu blockieren. Nicht etwa, weil der einzelne Seitenanbieter dann nachvollziehen könnte, woher ich komme und welche Seiten ich in welcher Reihenfolge angeschaut habe. Das darf der gerne wissen und kann das anhand seiner Logfiles eh nachvollziehen. Das Problem ist, dass Google über viele Millionen Webseiten hinweg nachvollziehen kann, was ich angeschaut habe. Und ich finde, das geht Google wirklich nichts an.
10. März 2010
Patenttrolle? Bill Gates und Steve Jobs!
„Gates claimed right off that Microsoft „owned the office productivity market“ and Openoffice needed to pay the Vole lots of cash in royalties. Bill told Schwartz that he was happy to „get you under license“ so Sun would have to pay Microsoft for every download of Openoffice. However Schwartz was apparently ready for this and pointed out that .NET was clearly trampling all over a lot of Java patents.“
Die Rückkehr der Datenleichen
„Seit einigen Wochen geistert die Idee eines Datenbriefs durchs Internet und durch die Presse. Jeder Bürger soll einmal im Jahr von Behörden und Unternehmen informiert werden, welche Daten dort über ihn gespeichert sind.“ Und das kann unter Umständen interessante Folgen haben.
Der Bund der Deutschen Kriminalbeamten ist konsterniert
„Bemerkenswert an der Pressemeldung ist aber nicht nur die Schadenfreude, die sie erzeugt. Bemerkenswert ist die ehrliche Furcht ihres Autors, dass sich etwas ändert in Sachen Grundrechte, dass man der Polizei eben nicht mehr jeglichen erdenklichen Kredit schenkt. Es ist nicht nur Pressemeldungsbefindlichkeitsanzeige: Man ist wirklich konsterniert.„