Maexotic

RITTER SPORT hatte eine ganz tolle Idee, sie veranstalten einen Fotowettbewerb:

Wir suchen die schönsten, witzigsten oder spektakulärsten Reisebilder mit unserem beliebtem Schoko-Quadrat. Präsentiert euch und RITTER SPORT an den bemerkenswertesten Ecken dieser Welt und gewinnt 1 Jahr Schokolade frei Haus! (Und zwar mindestens 10 aktuelle Tafeln pro Monat.)

Das "mindestens" war schon das Erste, was mich hat stutzig werden lassen. Also habe ich mir die Teilnahmebedingungen heruntergeladen (PDF; 100KB) und den von Schreib- und Grammatikfehlern nur so strotzenden, sechsseitigen(!) Text durchgelesen, was wohl die wenigsten Teilnehmer machen dürften.

Neben den durchaus nachvollziehbaren Klauseln über die Anforderungen an die Bilder (keine Pornographie, kein Hass, kein Rassismus, keine Volksverhetzung) und den üblichen Einschränkungen zugunsten des Veranstalters (freie Wahl der Gewinner, freie Entscheidung über Zulässigkeit von Einsendungen) findet sich die gleiche unspezifische Aussage zum Gewinn:

c. Der gewählte Gewinner erhält folgenden Preis

Für 12 Monate wird ihm jeden Monat kostenlos ein Schokoladen-Paket mit insgesamt mind. 10 Tafeln Schokolade des aktuellen RITTER SPORT Sortiments übersand.

(Anm. d. Red.: Es handelt sich nicht um einen Fehler durch cut & paste.)

Aha, "insgesamt mindestens"" also. Was auch immer das bedeuten soll ...

In den Abschnitten "10. Datenschutzerklärung" und "11. Rechteeinräumung" geht es dann ordentlich zur Sache.

Im Wesentlichen willigt man durch die Einsendung eines Fotos ein, dass RITTER SPORT sämtliche mit der Teilnahme verbundenen persönlichen Daten verwenden, und auch an beliebige Dritte weitergeben darf (speziell genannt sind Zeitungen, Fernseh- und Radiosender) und man tritt sämtliche Verwertungsrechte am einsandten Foto - nicht exklusiv - an RITTER SPORT ab.
Das bedeutet aber, dass man - egal ob man der einzige Gewinner ist oder nicht - alle Verwertungsrechte an seinem Bild abgibt und zwar nicht nur an RITTER SPORT, sondern auch an beliebige Dritte, an die RITTER SPORT die Bilder weitergeben darf. Genau genommen darf RITTER SPORT sogar die Bilder an Dritte zur Weiterverwendung verkaufen.

Das alles für 120 Tafeln Schokolade im Gegenwert von weniger als 120 € (bei einem Ladenpreis von ca. 0.95 € pro Tafel)? Und dann ist das noch nicht einmal eine Tafel pro Tag!
Doch die Schokolade erhält ja nur der (eine) Gewinner, alle anderen geben alle Rechte ab und kriegen gar nichts dafür. Und was der Gewinner nun genau erhält wird auch nicht festgelegt. Vielleicht kriegt er ja auch pro Monat eine Packung mit 10 x Minis, dann liegt der Wert des Preises bei ca. 30 €.

Auch wenn das vielleicht so klingt, ich bin keineswegs raffgierig. Dennoch bin ich der Meinung, dass die Teilnehmer an diesem Fotowettbewerb massivst ausgebeutet werden:

• für ein Foto weniger als 120 € (oder sogar weniger 30 €) hinzulegen ist nicht viel, dafür dass sie die unbeschränkte und übertragbare Nutzungserlaubnis erhalten, aber gut, das ist der Spaß ja vielleicht wert.
• dass das aber nicht nur für das (eine!) Gewinnerfoto gilt, sondern für alle eingesandten, da hört der Spaß schon auf.
• sämtliche Teilnehmer (nicht nur der Gewinner) willigen ein, dass ihre persönlichen Daten beliebig verwendet und an Dritte weitergegeben werden dürfen.

Für mich ist das ganz klar Abzocke vom Feinsten.

Die Durchführung der gesamten Kampagne und auch des Blogs läuft über die 2008 gegründete Agentur elbkind und deren Mitarbeiter Ben, der die Beiträge schreibt und der Empfänger der Einsendungen ist. Ich hoffe ja, dass er die Schokolade für den Wettbewerb nicht aus der eigenen Tasche bezahlen muss, aber das würde immerhin Einiges erklären.

Ein Tweet von Mario Sixtus, in dem es darum geht, dass das Urheberrecht mißbraucht wird, um Informationen zu unterdrücken, hat mich auf den Artikel "Loveparade-Gutachten: Die Sache mit den Fluchtwegen" verwiesen. Es scheint darum zu gehen, dass die Stadt Duisburg, unter Berufung auf das Urheberrecht, den Machern von xtranews.de verbietet irgendwelche Dokumente offenzulegen. Richtig, scheint, denn lesen kann ich es leider nicht:

Richtig ist:

Javascript ist abgeschaltet. NoScript muss einfach sein.

Falsch ist:

Mein Browser ist Mobile Safari. Ich verwende Mozilla Firefox und ich habe die Browserkennung weder unterdrückt noch modifiziert.

Und:

nein, ich werde ganz sicher Javascript nicht anschalten, um einen einfachen Artikel lesen zu können. Für niemanden.

Über die Gründe, Besucher zu zwingen zum Lesen eines Artikels Javascript anzuschalten, könnte ich bestenfalls spekulieren. Aber durch eine blödsinnige technische Maßnahme den Zugriff zu einem Artikel zu sperren, in dem man sich wohl über eine juristische Maßnahme einen anderen Artikel zu sperren echauffiert, ist einfach nur FAIL, und zwar sowas von.

★ Einmal mit Profis! ★

Anmerkungen zum Datenschutz

Der Abruf obiger Seite von xtranews.de bindet folgende externe Elemente ein und übermittelt damit den jeweiligen Anbietern Zugriffsdaten - wenn keine zusätzlichen Vorkehrungen getroffen wurden. Diese Daten sind die IP-Adresse, die Browserkennung, der URL obiger Seite im Referer, Datum und Uhrzeit und eventuell Cookies, die diese Sites vorher schon gesetzt haben.

Diese externen Anbieter sind (kein Anspruch auf Vollständigkeit):

• ajax.googleapis.com
• www.google-analytics.com
• pagead2.googlesyndication.com
• api.flattr.com
• www.gravatar.com
• www.adobe.com
• www.contaxe.com
• api.tweetmeme.com

"Rotten Apple"
© 2010 Steff Hoehne

Ich wundere mich seit einiger Zeit, dass ich immer wieder Zugriffe auf nicht existierende Bilder auf meinem Blog habe. Es handelt sich dabei um
/apple-touch-icon.png
/apple-touch-icon-precomposed.png

Nachdem ich heute nun im Quellcode einer Website über die Anweisung
<link rel="apple-touch-icon" href="/images/apple-touch-icon.png" />
gestolpert bin, habe ich etwas recherchiert und folgende Seiten gefunden:

• iPhone Human Interface Guidelines for Web Applications: Metrics, Layout Guidelines, and Tips
• Safari Web Content Guide: Configuring Web Applications
• Safari HTML Reference: Supported Meta Tags

Dort erfährt man interessante Dinge:

1. Die ohnehin vorhandenen Anweisungen
   <link rel="shortcut icon" href="..." />
   <link rel="icon" href="..." />
   die Browser wie Firefox, Internet Explorer, Chrome und Opera verwenden, reichen natürlich für tolle Gadgets wie das iPhone nicht. Apple muss dafür eigene einführen, schließlich sind deren Icons unstandardmässig 57x57 Pixels groß.
   Wenn man das Attribut rel="apple-touch-icon" verwendet, werden die Ecken abgerundet und es wird ein tolles Schattenspiel darübergelegt.
   Will man das nicht, verwendet man rel="apple-touch-icon-precomposed" und signalisiert, dass man nicht will, dass Apple das Icon modifiziert.

   Unverständlicherweise machen das nicht alle Browser-Hersteller so, am besten auch noch gleich für jede Version ein eigenes Bild. Und sicher werden wir jetzt dann noch die Variante für das iPhone 4 mit höherer Auflösung und für das iPad kriegen, weil da sehen die 57x57 Pixel großen Popelicons sicher häßlich aus. Vielleicht verwendet Apple ja bald ein Multi-Image Format ähnlich ICO nur mit anderer Spezifikation?

2. Man kann noch viel mehr verwurschteln, mit:
   <meta name="apple-mobile-web-app-capable" content="yes" />
   kann man dem Safari das User-Interface ausblenden und ihn in den Vollbildschirm-Modus schalten.

3. Hat man obigen Fullscreen-Modus aktiviert, kann man sich noch über die Statusleiste her machen und sie mit
   <meta name="apple-mobile-web-app-status-bar-style" content="black-translucent" />
   halbdurchsichtig unterlegen, statt das Textfenster unterhalb davon beginnen zu lassen.

Na dann ...

The GNOME desktop caches thumbnails of images in a directory hierarchy in $HOME/.thumbnails. However, if the original image is deleted, the thumbnail remains in the cache directory. This can lead to a massive waste of a lot of disk space:
$ du -sm ~/.thumbnails
506 ~/.thumbnails
even more if you frequently use CDROMs with images on them or create, delete and move around images a lot.

Existing solutions found on the web are based on a rather dumb "find -mtime +n" run that deletes all thumbnails older than n days and even the GNOME solution is based on age and cache size, configurable with gconf-editor:

While this saves disk space it is annoying, as thumbnails of existing images are deleted in favor of younger thumbnails of no longer existing images. This is especially annoying if you have a large archive of images (from a digital camera) and browse directories you haven't viewed quite some time, as all the thumbnails have been deleted and are now recreated.

However, the thumbnails contain the original location of the image they were created from in the comment block. So my script cleanthumbs.py retrieves the location of the original image from all thumbnails and checks for their existance. If the original image is not found, the thumbnail is deleted.

Setting the value of /desktop/gnome/thumbnail_cache/maximum_age to -1 in gconf-editor disables deleting thumbnails by age and if you have quite some disk space and want fast image browsing, also set /desktop/gnome/thumbnail_cache/maximum_size to -1 and run cleanthumbs.py from time to time.

Hope this is helpful.

Telegraph.co.uk berichtet "Hundreds of laptops owned by Whitehall departments lost or stolen in two years". Im Rahmen des britischen "Freedom of Information" Act hat ein Auskunftsersuchen ergeben, dass

Between June 2008 and the end of May this year [2010], more than 500 laptops were lost or stolen from 11 departments.

Freedom of Information disclosures showed that 518 laptops, 131 BlackBerrys or iPhones, 104 mobile devices and 932 electronic storage devices went missing over the past two years

Da ist es nicht verwunderlich, dass Großbritannien laufend von Datenschutzskandalen erschüttert wird.

Doch wir in Deutschland sollten nicht zu hämisch in Richtung Insel schielen. In einem Bericht titelte das Hamburger Abendblatt im April 2008 "Hunderte Computer beim Bund gestohlen"

Von 2005 bis 2007 sind in den Bundesbehörden 189 Computer, 326 Laptops, 38 Speicher-Sticks und 271 Handys samt sensibler Daten verschwunden.

Berühmtestes deutsches Opfer mit gleich zwei Laptops war die damalige Justizminsterin Brigitte Zypries "Mysteriöser Einbruch bei Zypries" (Quelle: Focus Online). Auch Deutschland hat ein Informationsfreiheitsgesetz (Gesetz zur Regelung des Zugangs zu Informationen des Bundes). Interessierte können sich also jederzeit aktuelle Daten besorgen, leider ist die Auskunft aber mit bis zu € 500 an Kosten verbunden.

Und auch im Nachbarland Österreich werden Politiker anscheinend gezielt bestohlen "Laptops führender Beamter im Umweltministerium gestohlen" und auch sonst geht einiges verloren "Notebook-Schwund in den Ministerien" (Quelle: ORF Futurezone, 2008).

Gemäß den Antworten auf die Anfrage Maiers waren es in Summe 82 Notebooks und 14 PCs, die in den letzten drei Jahren [2005-2008] aus der Obhut der heimischen Ministerien verschwanden.

Neben den enormen Kosten, die sich alleine in Deutschland auf ca. eine halbe Million Euro beliefen, enthielten die Geräte auch jede Menge an teilweise vertraulichen Daten. Natürlich betonen alle Ministerien, dass alle Daten geschützt sind, weil sie mit Hardware oder Software verschlüsselt und gesichert sind. Eine Gefahr bestünde daher nicht.

Mein Lieblingscomic trifft es ganz präzise:

xkcd.com - Security

Kürzlich bin ich bei einer Recherche über radabg.com / SiteAnalytics360 gestolpert. Die in Kiev (UA) beheimatete Firma schreibt über sich selbst:

The easiest way to learn more about safety of websites
Radabg.com offers free Security Advisory Widget. Widget tells visitors when website is safe and when it's not. If webmaster submit website sitemap widget will also check safety of outgoing links (especially usefull for websites with user generated content (UGC) - forums, blog comments, etc.)

Alexa sagt über radabg.com:

Radabg.com is ranked #23,825 in the world according to the three-month Alexa traffic rankings. [...]

Das "Widget" ist natürlich wieder eines dieser unsäglichen Bilder, die man von der Site einbindet - zumindest kein Javascript.

Die Adressen der Bilder haben alle die Form
http://www.radabg.com/url/<host_domainname>/
also habe ich ein paar Sites ausprobiert um zu sehen, was der jeweilige Status ist. Und dann wurde es etwas skuril.

Das Erste, was mir aufgefallen war ist, dass alle Bilder den gleichen Zeitstempel tragen. In den Bildern steht neben dem Namen der Website "Last check: datum, uhrzeit" und diese Zeitangabe war für alle gleich. Ok, dachte ich mir, sie sammeln die Infos und dann gibt es einen job, der die Bilder anhand der gesammelten Daten rendert und da schreiben sie eben überall den gleichen Zeitstempel rein. Das ist natürlich sehr unsauber, weil niemand weiß, wann der letzte Check wirklich war. Zudem fehlt jegliche Angabe einer Zeitzone. Diese beiden Punkte machen die Zeitangabe komplett wertlos.

Bei weiterem rumprobieren bin ich dann auf eine Website einer Bekannten gestossen (siehe Bild rechts). Wie man sehen kann, haben sie diese Website (für meine Zeitzone ca. 2 Stunden) in der Zukunft überprüft und für vollkommen sicher befunden. Das eigentlich Tragische daran ist aber, dass es diese Website gar nicht (und zwar Wochen und Monate nicht mehr) gibt. Das hindert aber SiteAnalytics360 nicht daran, sie regelmäßig zu überprüfen und für sicher zu befinden.

Die Bewertung, was so eine Security Analysis und das zugehörige Site Seal wert sind, dürfte nun jeder selbst vornehmen können.

Doch das Problem ist viel breiter aufgehängt:

Site Seals

Soweit ich mich erinnere, haben die SSL-Zertifikatsverkäufer mit diesen sogenannten site seals angefangen. Die Anbieter verschaukeln damit ihre Kunden, indem sie ihnen suggerieren, dass damit die Website des Kunden "vertrauenswürdiger" wird. In Wahrheit ist es aber nur eine Marketingaktion, um kostenlos Werbung für ihren Firmennamen auf Websites von Kunden zu bekommen.

Eine Anfrage bei der Suchmaschine der Wahl fördert dann auch schnell eine (abgekürzte) Liste zu Tage:

Thawte:

Das thawte Siegel für vertrauenswürdige Websites ist ein dynamisches, auf Ihrer Website erscheinendes Bild, das Besuchern auf den ersten Blick zeigt, dass Ihre Website vertrauenswürdig ist, validiert ist und mit Ihnen absolut sichere Transaktionen möglich sind.

DigiCert:

DigiCert® SSL Site Seal Means TRUST

GeoTrust:

Ein sichtbares Zeichen von Sicherheit

RapidSSL:

Display your "Secured by RapidSSL" site seal prominently to ensure your customers are instantly assured that their details will be secured by the SSL provided by your RapidSSL certificate.

InstantSSL:

Promoting your secure site is the ideal way to help customers feel safe and confident in using your secure online services.

und viele mehr ...

Warum das so ist erklärt keiner der Anbieter. Außer Marketinggefasel findet sich dazu nichts substanzielles, und das hat auch seinen Grund: Solange diese Siegel nicht vom Browser selbst kommen sind sie vollkommen wertlos.
Dabei hat jeder Browser solche "Siegel". Als Beispiel liefert der Mozilla Firefox bei einem Klick auf den grün (starkes Zertifikat) oder blau (schwaches Zertifikat) hinterlegten Zertifikatsnamen in der Adreßleiste:

Natürlich hat jeder Zertifikatsverkäufer in irgendwelchen Klauseln stehen, dass man das Site Seal nicht mißbräuchlich verwenden darf, aber:

• wer von denen, die extrem anfällig für solche Angriffe sind, weil sie keine Ahnung haben, klickt schon auf das Siegel und vor allem, wer von denen kann dann bewerten, was er an Information erhält?
• wann haben solche Einschränkungen Kriminelle jemals abgehalten?

Was also passiert ist genau das Gegenteil von dem, was die SSL-Zertifikatsverkäufer suggerieren wollen:

Durch die Site Seals werden die Besucher in eine trügerische Sicherheit gewiegt. Sie werden davon abgehalten sich selbst anhand der Informationen, die ihnen ihr Browser liefert, ein reales Bild zu machen und im Zweifelsfall wird der Benutzer einem gefälschten Site Seal mehr Glauben schenken als der Warnung seines Browsers.

Hört also bitte - sowohl SSL-Zertifikatsverkäufer als auch Website-Betreiber - mit diesem Blödsinn auf.

★ Einmal mit Profis! ★

Phoenix's Solar Panel and Robotic Arm
Image credit: NASA/JPL-Caltech/University of Arizona/Texas A&M University

Nachdem die Experten der NASA nach dem harschen Marswinter keinen Kontakt herstellen konnten, bestätigen jetzt Bilder der HiRISE Kamera an Bord des Mars Reconnaissance Orbiter schwere Schäden. Dies veranlasste die NASA den Mars Lander offiziell für tot zu erklären. Wahrscheinlich haben die hunderte Kilogramm gefrorenen Kohldendioxyds, die im Winter auf dem Lander lagen, seine Solarpanels zu stark in Mitleidenschaft gezogen. Der Phoenix hat die Wiedererstehung aus dem Eis also leider nicht geschafft.

Unter dem Titel "Phoenix: A Tribute" würdigt die NASA den Phoenix mit einem Video über die Highlights der Mission.

Dieser Tage hat Microsoft® Research das WorldWide Telescope mit Daten des Mars erweitert, die von verschiedenen Marssonden stammen. Neben Landkarten der Marsoberfläche in Echtfarben, gibt es auch 3-D Berechnungen, die einen virtuellen Überflug des Victoria Crater und Olympus Mons ermöglichen.

... and the living is ... strawberry:

Handgepflückte, superreife, aber trotzdem noch feste Erdbeeren, von einem Feld bei Wallersdorf, fernab jeder Straße und zum absoluten Horrorpreis von € 4,90 für 3,5 kg.