Mitternachtshacking

Spannender Artikel bei Zscaler Research (ja, das sind die mit dem komischen Cloud Scanning). Jeff Forristal liefert einen Überblick, welche Möglichkeiten es inzwischen gibt das Surfverhalten der Nutzer auszuspähen. Da kommen Ideen zum Vorschein, auf die ich bisher gar nicht gekommen bin aber die durchaus nicht völlig aus der Luft gegriffen sind, wenn man die Historie beteiligter Unternehmen wie Verisign berücksichtigt:

• Toolbars (Alexa, Google, Yahoo und Co), aber das ist Opt-In, die installiert sich jeder selbst
• Phorm und andere Sachen die beim Provider laufen, lassen wir aber auch außer acht
• Interne Firmenproxys die alles auswerten sind anscheinend bei Post und Bahn und den meisten anderen Großkonzernen sowieso üblich

Nun aber zu den spannenden Sachen:

Startseite: Die meisten Startseiten werden nur beim Starten des Browsers oder öffnen eines Fensters aufgerufen weil kaum jemand auf „Home“ klickt. Zusammen mit den dort vergebenen Cookies lässt sich recht genau tracken, wann eine Person üblicherweise beginnt, im Internet zu surfen. Zusammen mit der IP-Adresse (Geolocation und Firmenzuordnung) kann man recht zuverlässig sagen, ob die Person von Zuhause oder aus der Firma surft. Apple leitet auch noch zu einer Omniture-Seite weiter (gehört zu Google), die Privatspäre geht damit komplett flöten.

HTTPS: Die meisten Browser unterstützen irgendeine Art von Zertifikatsverifizierung, entweder mit CRLs oder OCSP. Insbesondere bei OCSP wird die Seriennummer des Zertifikats einer Webseite (z.B. der Commerzbank) an die Zertifizierungsstelle (z.B. Verisign) geschickt (ja, die Commerzbank hat ein TC Trustcenter-Zertifikat, mir geht’s aber um das Prinzip und Verisign ist böse!). Folglich weiß Verisign, wann auf bestimmte Webseiten mit HTTPS zugegriffen wurde. Und Verisign und ihre Tochterfirmen habe etwa 57% aller Zertifikate ausgestellt.

Anti-Phishing: Praktisch jeder Browser bietet die Möglichkeit, eine Webseite vor dem Zugriff darauf prüfen zu lassen, ob es sich um eine Phishing-Seite handelt. Einige Implementierungen verwenden eine lokal heruntergeladene Datenbank, vergleichbar Antivirus-Signaturen, andere schicken einen Hash der Seite an eine zentrale Datenbank. Opera mit SiteCheck lässt sich jeden kompletten Rechnernamen schicken, der angesurft wird. Ganz toll!

Eigentlich kann man nur noch zwischen zwei unerwünschten Situationen wählen. Verzichtet man auf Privatspäre  und bekommt mehr Sicherheit oder will man mehr Privacy auf kosten der Sicherheit.

Hier der komplette Artikel: Those who know where and when you surf

Noch ein paar kommentierte RFCs, weil mir gerade langweilig ist:

• RFC 503: Socket Number List

Nur wegen dem Datum 🙂

• RFC 527: ARPAWOCKY

Der RFC 527 ist der Vorgänger aller 1. April RFCs. Der erste echte April Fool’s Day RFC ist übrigens RFC 748 vom 1. April 1978. Beim Besten bin ich mir nicht sicher. Kandidaten sind natürlich RFC 1149 aber auch RFC 2550 oder RFC 3093.

• RFC 561: Standardizing Network Mail Headers

In den Urzeiten des Internets wurden E-Mails noch nicht per SMTP sondern mittels FTP übertragen. Der RFC 561 definiert erstmals Teile eines E-Mail Headers mit FROM:, DATE: und SUBJECT:. Interessant, der Empfänger (TO:) fehlt. RFC 221 (Mail Box Protocol) legt eine Standardmailbox 0 fest, die dann automatisch verwendet wird, wenn nichts anderes angegeben ist.

• RFC 602: „The Stockings Were Hung by the Chimney with Care“

Harhar, das Arpanet hatte 1973 schon lustige Sicherheitsprobleme: „The ARPA Computer Network is susceptible to security violations for at least the three following reasons: (1) many people still use passwords which are easy to guess; (2) The TIP (=Telefoneinwahl) required no user identification before giving service; (3) There is lingering affection for the challenge of breaking someone’s system.  This affection lingers despite the fact that everyone knows that it’s easy to break systems.“ Hach, es hat sich seither eigentlich nichts geändert.

• RFC 644: On the Problem of Signature Authentication for Network Mail

Wieder eine Baustelle, die uns seit 1974 bis heute verfolgt und die (PGP/GPG mal außen vor, das verwenden leider viel zu wenig Leute) faktisch immer noch ungelöst ist. „The existence of a mechanism which RP, the receiving process, can use to distinguish mail authenticated with respect to the sending host from mail that has not been authenticated by the sending host.“ Klingt für mich verdächtig nach Protokollen wie Sender-ID, dem eigentlich vielversprechenden Ansatz, den Microsoft im September 2004 vorsätzlich gegen die Wand gefahren hat aus dem alleinigen niederen Motiv, Open Source Software zu schaden.

• RFC 706: On the Junk Mail Problem

Passt hervorragend zum vorherigen RFC. „It would be useful for a Host to be able to decline messages from sources it believes are misbehaving or are simply annoying.“ Mir war gar nicht bewusst, dass das Spam-Problem schon 1975 aktuell war. Interessant, dass Wikipedia behauptet die erste Spam-Mail wurde am 3. Mai 1978 also erst drei Jahre später verschickt.

• RFC 760: Internet Protocol (aktualisiert durch RFC 791)
• RFC 761: Transmission Control Protocol (aktualisiert durch RFC 793)
• RFC 768: User Datagram Protocol
• RFC 777: Internet Control Message Protocol (aktualisiert durch RFC 792)

Zu diesen Standards brauche ich nichts mehr schreiben, denke ich.

• RFC 772: MAIL TRANSFER PROTOCOL

Der RFC 772 beschreibt den Vorläufer des Simple Mail Transfer Protocol (SMTP), der erst in RFC 821 beschrieben wird. Insbesondere führt RFC 772 die Fehlercode-Gruppen ein (1xx, 2xx, 3xx, 4xx, 5xx), die uns bis heute auch in HTTP verfolgen. 404 war damals allerdings noch nicht spezifiziert.

• RFC 799: Internet Name Domains

Jetzt geht es also los mit DNS. Das Protokoll fehlt zwar noch aber die Grundüberlegungen und Funktionen (Hierarchie, Aliases, Multihomed) sind schon beschrieben. Die Details beschreiben dann RFC 881 und RFC 882, das Protokoll DNS erscheint erstmals in RFC 883.

• RFC 801: NCP/TCP transition plan

Ab Mitte 1981 beginnt die Umstellung des Arpanets auf TCP/IP also die Internet-Struktur wie wir sie heute kennen. Interessant finde ich, woraus das Internet praktisch besteht: „The principal services are: Telnet, File Transfer, and Mail.“ Man ersetzte Telnet durch SSH, File Transfer durch HTTP und Mail … nunja, ist weiterhin Mail. Eigentlich hat sich seither nicht viel verändert.

• RFC 896: Congestion control in IP/TP internetworks

Das ist einer der unscheinbaren RFCs, die massiven Einfluss auf das interaktive Verhalten im Internet und damit auch die Akzeptanz vieler Protokolle hatte. In diesem RFC wird erstmals der Nagle Algorithmus beschrieben. Erstaunlich einfach und doch so wirkungsvoll. In diesem Zusammenhang kann man feststellen, dass sehr viele der frühen RFCs sich mit Ergänzungen und Optionen zu Telnet beschäftigen. Telnet dient und diente für fast alle Protokolle der Anfangstage des Internets als Grundlage und Basis,

• RFC 913: Simple File Transfer Protocol
• RFC 916: Reliable Asynchronous Transfer Protocol (RATP)

Zwei RFCs, die heute nur noch historischen Wert haben aber im Grunde vollständige Protokollspezifikationen für Anwendungen haben die damals als wichtig angesehen wurden. „We are witnessing today an explosive growth in the small or personal computer market.  Such inexpensive computers are not normally connected to a computer network. But virtually all of them have an RS-232 interface. They also usually have a modem.“ Und wir reden von 1984. Mein erstes Modem an einem PC hatte ich 1992.

• RFC 918: Post Office Protocol
• RFC 937: Post Office Protocol – Version 2

Jetzt geht es los mit Mailabrufen. In diesem RFC werden viele Fehler gemacht, die uns heute noch verfolgen. Beispielsweise, dass POP, POP2 und heute noch POP3 das Passwort im Klartext überträgt und nicht etwa ein Challenge Response Verfahren verwendet. Aber damals hat man sich noch nicht wirklich Gedanken um das Abhören des Datenverkehrs gemacht. War eh alles vom US Verteidigungsministerium bezahlt. Seltsamerweise verwendet POP „+OK“ und „-ERR“ als Fehlermeldungen und nicht wie SMTP und andere bereits etablierte Protokolle Nummern (1xx, 2xx, 3xx, 4xx, 5xx). Aber damals waren Eigenbrötler charakterisierend für die Entwicklung.

• RFC 950: Internet Standard Subnetting Procedure

Subnetting. Argh.

Im Bereich ab 900 gibt es übrigens noch eine große Zahl weiterer spannender RFCs zu Standarddiensten die immer noch gebräuchlich sind. Beispielsweise RFC 958 (NTP), RFC 977 (NNTP), aber auch sehr sehr obskure Protokolle wie in RFC 972 (Password Generator Protocol) oder RFC 978 (Voice File Interchange Protocol). Einfach selbst mal gucken!

Dieser Beitrag über verbesserte Angriffe gegen SHA-1 bei Heise sollte dem einen oder anderen Verantwortlichen von Webservern für Zahlungsverkehr (also Internetbanking oder Paypal) Schweißperlen auf die Stirn treiben.

Unsere gesamte kommerzielle Zertifikatsinfrastruktur hatte ja schon zu kämpfen, MD5 loszuwerden und die im Zertifikatsspeicher hinterlegten RootCA-Zertifikate zu aktualisieren. Wenn SHA-1 fällt dann wird es erst recht spannend. Klar, SHA-256, SHA-512 etc. sind längst definiert und standardisiert, basieren aber auf dem gleichen Algorithmus wie SHA-1 und verwenden eigentlich nur eine größere Hashlänge. Die Angriffe gegen SHA-1 sollten sich daher durchaus anpassen lassen.

Klar, das NIST führt gerade eine Hash Competition durch, um wie bei AES einen neuen Hash-Algorithmus zu finden. Die Timeline ist jedoch ausreichend großzügig dimensioniert. Erst Ende 2012 soll der neue Algorithmus als Standard verabschiedet werden. Ich bin mir (a) nicht sicher, ob noch so viel Zeit bleibt und (b) ob überhaupt ausreichend sichere Algorithmen übrig bleiben. Man beachte, wie viel der Verfahren schon wieder gebrochen sind.

Webbugs

Ich spiele seit einiger Zeit mit dem Firefox-Addon Ghostery herum und es ist echt erschreckend, wie viele Bugs manche Webseiten implementieren. Bisher habe ich da mit meinen eigenen Filtern herumgebastelt aber das nimmt langsam echt überhand. Hier meine aktuelle Sperrliste im Adblock Plus:

• .ivwbox.de/cgi-bin/* (Infoline SZM)
• */ivw-bin/ivw/* (Infoline SZM)
• */cgi-bin/igare/CP/* (Infoline SZM ??)
• /ivw.* (Infoline SZM)
• .etracker.com/nscnt.php?* (eTracker)
• .etracker.com/cnt.php?* (eTracker)
• .etracker.com/t.js?* (eTracker)
• .nuggad.net/bk?* (nugg.ad)
• .sitestat.com/* (Nedstat)
• quantserv.com/* (Quantcast)
• 2o7.net/* (Omniture)
• .hitbox.com/* (Omniture)
• .extreme-dm.com/c.g?* (Extremetracking)
• .lijit.com/res/images/wijitTrack.gif?* (Lijit)
• .lijit.com/res/images/empty.gif?* (Lijit)
• .google-analytics.com/* (Google Analytics)
• /botd.wordpress.com/botd.gif?* (WordPress Botd)
• .webtrekk.net/* (Webtrekk)
• /track.webtrekk.de/* (Webtrekk)
• /c*.statcounter.com/* (StatCounter)
• /*.doubleclick.net/ad/* (DoubleClick)
• /stats.blogoscoop.net/* (Blogoscoop)
• .yahoo.com/b?P* (Yahoo)
• /stats.big-boards.com/* (Big Boards)
• /static.getclicky.com/* (Clicky)
• /www.browser-statistik.de/browser.png?* (browser-statistik.de)
• /statse.webtrendslive.com/* (Webtrends)
• /dcstest.wtlive.com/*  (Webtrends)
• /anormal-tracker.de/countv2.php?* (Anormal Media, immerhin zeigt dieser Tracker nicht die kompletten IP-Adressen an, Datenschutz positiv umgesetzt)
• /wikia-ads.wikia.com/onedot.php?* (Wikia Inc.)

Kennt jemand einen Trick, wie man mit Adblock Plus zuverlässig Webbugs, d.h. die 1×1-Pixel Grafiken die gerne in Seiten eingebettet werden, blockieren kann? Leider gibt es halt neben den Webbugs auch 1×1-Pixel Grafiken, die als Platzhalter für das Layout eingesetzt werden. Deshalb dürfen nur 1×1-Pixel von fremden Domains blockiert werden, nicht aber von der Domain (oder von Subdomains) von der die eigentliche Seite geladen wird.

Urchin

Noch schlimmer sind die diversen Varianten von JavaScript, die ständig irgendwo eingebettet werden. Selbst Mozilla.org lässt einen damit nicht mehr in Ruhe. Ich habe inzwischen gesperrt:

• */__utm.js (das Original Urchin Tracker Modul, Urchin 5)
• */__utm.gif?* (Urchin Tracker Modul ??)
• */urchin.js (das um Google Analytics erweiterte Modul, Urchin 6)
• */ga.js (das neue Google Analytics Javascript)
• */__ga.js (das neue Google Analytics Javascript)

Es gibt sogar Google Autorisierte Urchin Consultants. Was sollte man denn effizienterweise noch alles blockieren? Kann man Javascript blockieren, das die Zeichenfolge „Urchin“ enthält?

Ach ja, so global gesehen sind die Adblock Plus Filter richtig gut. Ich habe bisher erst eine einzige Ausnahmeregel benötigt:

•  @@*/imagedb/*

weil der Adblock Plus Ares ABP + Easylist zu viel blockiert hat.

Ich persönlich hasse ja Podcasts, Webcasts und sonstige *casts. Einladungen von Herstellern oder Distributoren wandern eigentlich generell in die Ablage P. Aber auch wenn ich mir die Podcasts des CERT vermutlich nie anhören werden, hier trotzdem der Link:

CERT’s Podcast Series: Security for Business Leaders

Unterteilt sind die Podcasts in folgende Kategorien:

• Governing for Enterprise Security
• Measuring Security
• Privacy
• Risk Management and Resilience
• Security Education and Training
• Software Security
• Threat
• Trends and Lessons Learned
• Tips from the Trenches: Areas of Practice

Eventuell ist das ja von allgemeinerem Interesse.

Wenn ich mal etwas Zeit habe, finde ich es recht spannend, uralte RFCs durchzublättern um zu sehen, wie sich die Netzwerkprotokolle entwickelt haben und welche Gedanken man sich ursprünglich zu verschiedenen Diensten gemacht hat. Ich möchte daraus eine sehr unregelmäßige Reihe machen, in der ich für mich RFCs festhalten kann, die mir aus verschiedenen Gründen aufgefallen sind.

• RFC 128: Bytes

Das ist aus heutiger Sicht ein recht lustiger RFC. Praktisch jeder ist der Meinung, ein Byte besteht natürlich aus 8 Bit. Ich glaube mich daran erinnern zu können, dass einer meiner Azubis so etwas sogar in der Fachinformatiker-Prüfung hatte. 1971 war das noch etwas anders: „Crocker implies in RFC 123 that control of this parameter is given to the 3rd level programs and that both sender and receiver may specify values of the byte size to the NCP.“ Auf Deutsch: Die beteiligten Kommunikationsendpunkte legen die Größe ihres Bytes fest. Und dann folgt ein nettes Beispiel mit Bytes von 3 und 5 Bit. Kann sich heute keiner mehr vorstellen, so etwas. Erklärt aber, warum die ISO-Einheit „Oktett“ und nicht „Byte“ ist.

• RFC 204: Sockets in Use

Klar, HTTP ist Port 80, SSH ist Port 22, POP3 ist Port 110 usw. Aber wie fing das mit den Portnummern eigentlich an? „I would like to collect information on the use of socket numbers for „standard“ service programs. For example Loggers (telnet servers) Listen on socket 1. Recently Dick Watson suggested assigning socket 5 for use by a mail-box protocol (RFC196).“ Sehr schön. Daraus hat sich erst diese und dann diese Liste entwickelt. Warum ist eigentlich Telnet von 1 auf 23 gewandert?

• RFC 221: A Mail Box Protocol, Version-2

Auch so ein Schmankerl. Vor allem wegen der Vorstellung, dass Nachrichten auf Papier direkt digital abgebildet werden sollen: „It is the sender’s responsibility to control the length of the print line and page. If more than 72 characters per line are sent, or if more than 66 lines are sent without a form feed, then the receiving site can handle these situations as appropriate for them.“ Eine Seite besteht also aus 66 Zeilen mit je 72 Anschlägen. Und genau so müssen digitale Mails auch aufgebaut werden. Könnte direkt von den Internetausdruckern kommen, dieser RFC.

• RFC 229: Standard Host Names

Das waren noch Zeiten, als die UCLA einen Rechner ungestraft „SEX“ nennen konnte. Das hat sich dann aber auch innerhalb einer Woche geändert!

• RFC 346: Satellite Considerations

Auch nicht unspannend, wie früh und konkret sich das Militär immer wieder in die Entwicklung eingemischt hat. Datenübertragung zwischen zwei Computern mittels Satellit konnte sich 1972 sonst niemand leisten.

• RFC 373: Arbitrary Character Sets

Da hat sich doch tatsächlich jemand Gedanken über erweiterte Zeichensätze gemacht. Man muss sich das mal vorstellen, 96 Character in ASCII war damals schon innovativ, viele haben noch mit 64 Zeichen (ohne Kleinbuchstaben) gearbeitet. „Anyone can register a new character. Each character has a unique number, 17 bits should be enough even to include Chinese. Finally, the character has a design which is a picture on a 50 by 50 dot matrix.“ 17 Bit … sowas.

• RFC 412: User FTP Documentation

An der Qualität der Handbücher und Dokumentation hat sich seither auch nichts geändert. Meiner Mutter bräuchte ich mit dieser Doku FTP jedenfalls nicht erklären.

• RFC 468: FTP Data Compression

FTP ist sowieso eines der Protokolle die mich mit dem ursprünglich geplanten aber oft nur teilweise implementierten Funktionsumfang immer wieder überraschen. Beispielsweise die Übertragung von einem FTP-Server direkt zu einem anderen FTP-Server mit einer Kombination aus Active und Passive FTP. Ich kenne kaum einen FTP-Client der das kann, inzwischen verbieten das aber auch die meisten FTP-Server wegen Bounce und ähnlichen Angriffen. Gibt es eigentlich irgendeinen FTP-Server oder Client, der den HASP-Mode implementiert?

Irgendwann mehr …

Microsoft nutzt die Early Adopter von Windows 7, um damit auch das Verteilen von automatischen Updates zu testen. Im Grunde ist dagegen nicht viel einzuwenden. Wer sich eine Windows 7 Beta installiert und die Lizenzbedingungen gelesen hat, weiß das. Außerdem weißt Microsoft im eigenen Blog darauf hin.

Interessant finde ich allerdings folgenden Satz:

„Many of the updates will install automatically, and a few will not.“

Zu deutsch: Die Updates installieren sich völlig automatisch, der Anwender wird gar nicht mehr gefragt, egal wie er Windows Update eingestellt hat. Und wenn das ein Test für das ist, was Microsoft mit den Updates in Zukunft vor hat, kann man damit rechnen, dass viele Anwender die Updates lieber wieder komplett deaktivieren oder gar blockieren.

Und da verstehe ich Hersteller wie Microsoft nicht mehr. Wie kann man eigentlich so doof sein, das Vertrauen in eine derart wichtige und kritische Infrastruktur durch solche Maßnahmen zu untergraben? Vor allem, wenn das nicht zum ersten Mal für Kritik sorgt.

(via The Inquirer)

Die Porno-Anbieter können das doch viel besser und haben auch schon Software dafür im Programm. Insbesondere die politisch subversiven Seiten bleiben dann außen vor.

Mehr bei F!XMBR, dem Spiegelfechter und Telepolis.

Die Illuminati? Völlig harmlos. Ganz Deutschland ist von Laien unterwandert. Dumm, dreist und ahnungslos bieten sie Lösungen zu Problemen an, die sie selbst geschaffen haben. Und schwingen sich dann zum Weltenretter, zumindest aber zur Familienministerin auf. Laien halt.

Heise wirft einen interessanten Gedanken in den Ring: Über Windows Updates sollten nicht nur Patches von Microsoft sondern auch von vielen anderen gängigen Programmen, z.B. Java, Adobe Reader, Quicktime, … etc. verteilt werden.

Eine nette Idee und aus Sicht der Anwender vielleicht sogar wünschenswert. Vielleicht.

Erst mal weiß ich nicht ob ich will, dass ausgerechnet Microsoft eine derart mächtige Infrastruktur für Updates von allem kontrolliert. Das bedeutet nämlich auch, dass Microsoft problemlos Daten zusammenführen kann, welcher Windows-Rechner welche andere Software installiert hat. Alleine dieses Wissen über den Marktanteil von Konkurrenzprodukten halte ich schon für gefährlich.

Dazu kommt, es gibt viel zu viele verschiedene Programme. Welche Grenze zieht man, was in Windows Updates reinkommen soll und was nicht? Das ist wie beim Browser. Klar könnte man die üblichen Regeln z.B. nach Marktanteil aufstellen (benachteiligt unfair kleinere Anbieter) oder Microsoft könnte sich die Patchauslieferung bezahlen lassen (benachteiligt unfair Open Source und Non-Profit Projekte). Ich fürchte aber, das führt ebenfalls zu einer massiven Verzerrung der Wettbewerbssituation zu Gunsten Microsoft.

Warum schafft es eigentlich die Open Source Community nicht, so etwas wie Windows Updates zu implementieren? Ich habe eine Vielzahl von Open Source Programmen auf meinem Rechner, angefangen von Firefox über Open Office zu Gimp und jedes Programm hat eigene Verfahren zum Update. Ich stelle mir gerade vor wie es wäre wenn es ein „Open Source Software Update“ gäbe. Alle Projekte hätten die Möglichkeit sich da einzuklinken und über eine definierte API ihre Updates anzubieten. Der User entscheidet dann, welche Updates von welchen Projekten er ziehen möchte. Das ganze offen implementiert, dann könnte ich mir vorstellen, dass auch kleinere kommerzielle Anbieter diese Infrastruktur nutzen würden.

Das wäre dann ein Software Update für alle. Und das wäre mein Wunsch für mehr Sicherheit.

Bing ist online. Soso. Mit Bing will Microsoft angeblich die Vormachtstellung von Google im Bereich der Internetsuche angreifen (schreibt Golem). Soso. In der Version für Deutschland bietet Bing aber keine Möglichkeit, den Jugenschutzfilter abzuschalten (schreibt Heise). Soso.

Ich hab dann mal ein wenig rumgespielt.

Tatsächlich, genau wie Heise schreibt kommt mir doch da der Jugendschutzfilter dazwischen und ich finde auch keinen Menüpunkt den abzuschalten (ok, ich habe mich jetzt nicht angemeldet aber wer würde das für eine simple Suche auch tun?).

Egal, Sex ist eh langweilig. Es geht schließlich auch konkreter:

Und schon kommen die Ergebnisse. Geiler Sex ist nämlich besser als langweiliger Blümchensex (der übrigens auch nicht gesperrt wird). Da fällt mir nur noch „Idioten“ ein:

„Sie suchen Idioten? Kaufen.eBay.de/jetzt-bestellen“. War mir aber eigentlich auch vorher klar, dass sich die Idioten bei Ebay rumtreiben. Schauen wir mal, was die Politik so macht:

„Suchen Sie Spd? www.Shopping.com“. Auch logisch. Die SPD hat sich ja schon unter Schröder verkauft. Mal sehen ob das die Piratenpartei besser macht:

Ich glaube, die Piratenpartei hat da noch ein Profilproblem. Jedenfalls zeigt die Werbung auf „Piratenparty“ und nicht auf die Partei. Ich hoffe zwar, dass die Piratenpartei nach der Europawahl einen Grund zur Piratenparty hat aber so war das nicht gedacht.

Spannende Frage: Wo kommen eigentlich die „falschen“ Werbebegriffe her? Passt Bing die automatisch an, um bei Tippfehlern mehr Werbung verkaufen zu können? Hier ein weiteres Indiz:

Bei der Suche nach „ebay“ wird in der zweiten Werbezeile auch Shopping.com mit dem Begriff „ebbay“ eingeblendet. Sehr clever. Weil Bing mehr Werbung einblenden will um mehr Werbung verkaufen zu können, werden auch ähnliche Begriffe verwendet und Shopping.com vermeidet es so, den geschützten Begriff ebay zu verwenden.

Allerdings geht mir das automatische korrigieren von Bing ein wenig zu weit. Wenn man beispielsweise nach „bsi“ sucht:

Dann wird aus dem zweiten Link „BSI für Bürger“ bei Bing ein „BSI für Bürgen“ und Bürger sind dann doch noch etwas anderes als Bürgen. Ich konnte übrigens nirgends auf der BSI-Seite den Begriff „Bürgen“ finden, den muss Bing da reingepfuscht haben.

Und jetzt wird es für mich schwierig. Eine Suchmaschine darf meinetwegen ihre Ergebnisse nach diversen undurchsichtigen Kriterien gewichten. Entweder sie zeigt an was ich suche oder nicht, dann suche ich woanders. Eine Suchmaschine darf meinetwegen auch noch bestimmte Ergebnisse filtern die nicht jugendfrei sind. Ich fühle mich dann zwar nicht mehr zur Zielgruppe gehörig aber das muss der Betreiber der Suchmaschine für sich entscheiden, ich suche dann halt woanders. Eine Suchmaschine darf meinetwegen auch Werbung mit falschen Stichwörtern einblenden. Das ist mir egal, wird eh meistens ausgeblendet. Oder ich suche eben woanders.

Wenn aber eine Suchmaschine anfängt, nicht mehr die Originalinhalte der Webseite auszugeben sondern intern irgendwas interpretiert und dann eindeutig fehlerhafte Ergebnisse rauskommen … dann ist das keine Suchmaschine mehr, noch nicht einmal Beta, das erinnert mich schon sehr an einen Zensurfilter.

Ich weiß nicht, was die Verantwortlichen bei Microsoft sich da gedacht oder zusammenprogrammiert haben, aber so wird’s nun wirklich nichts mit einer Suchmaschine!