Maexotic

It's a maexotic world ...

Sinnlose und gefährliche Security-Siegel - SiteAnalytics360

Kürzlich bin ich bei einer Recherche über radabg.com / SiteAnalytics360 gestolpert. Die in Kiev (UA) beheimatete Firma schreibt über sich selbst:

The easiest way to learn more about safety of websites
Radabg.com offers free Security Advisory Widget. Widget tells visitors when website is safe and when it's not. If webmaster submit website sitemap widget will also check safety of outgoing links (especially usefull for websites with user generated content (UGC) - forums, blog comments, etc.)

Alexa sagt über radabg.com:

Radabg.com is ranked #23,825 in the world according to the three-month Alexa traffic rankings. [...]

SiteAnalytics360 fail Das "Widget" ist natürlich wieder eines dieser unsäglichen Bilder, die man von der Site einbindet - zumindest kein Javascript.

Die Adressen der Bilder haben alle die Form
http://www.radabg.com/url/<host_domainname>/
also habe ich ein paar Sites ausprobiert um zu sehen, was der jeweilige Status ist. Und dann wurde es etwas skuril.

Das Erste, was mir aufgefallen war ist, dass alle Bilder den gleichen Zeitstempel tragen. In den Bildern steht neben dem Namen der Website "Last check: datum, uhrzeit" und diese Zeitangabe war für alle gleich. Ok, dachte ich mir, sie sammeln die Infos und dann gibt es einen job, der die Bilder anhand der gesammelten Daten rendert und da schreiben sie eben überall den gleichen Zeitstempel rein. Das ist natürlich sehr unsauber, weil niemand weiß, wann der letzte Check wirklich war. Zudem fehlt jegliche Angabe einer Zeitzone. Diese beiden Punkte machen die Zeitangabe komplett wertlos.

Bei weiterem rumprobieren bin ich dann auf eine Website einer Bekannten gestossen (siehe Bild rechts). Wie man sehen kann, haben sie diese Website (für meine Zeitzone ca. 2 Stunden) in der Zukunft überprüft und für vollkommen sicher befunden. Das eigentlich Tragische daran ist aber, dass es diese Website gar nicht (und zwar Wochen und Monate nicht mehr) gibt. Das hindert aber SiteAnalytics360 nicht daran, sie regelmäßig zu überprüfen und für sicher zu befinden.

Die Bewertung, was so eine Security Analysis und das zugehörige Site Seal wert sind, dürfte nun jeder selbst vornehmen können.

Doch das Problem ist viel breiter aufgehängt:

Site Seals

Soweit ich mich erinnere, haben die SSL-Zertifikatsverkäufer mit diesen sogenannten site seals angefangen. Die Anbieter verschaukeln damit ihre Kunden, indem sie ihnen suggerieren, dass damit die Website des Kunden "vertrauenswürdiger" wird. In Wahrheit ist es aber nur eine Marketingaktion, um kostenlos Werbung für ihren Firmennamen auf Websites von Kunden zu bekommen.

Eine Anfrage bei der Suchmaschine der Wahl fördert dann auch schnell eine (abgekürzte) Liste zu Tage:

Thawte:
Das thawte Siegel für vertrauenswürdige Websites ist ein dynamisches, auf Ihrer Website erscheinendes Bild, das Besuchern auf den ersten Blick zeigt, dass Ihre Website vertrauenswürdig ist, validiert ist und mit Ihnen absolut sichere Transaktionen möglich sind.
DigiCert:
DigiCert® SSL Site Seal Means TRUST
GeoTrust:
Ein sichtbares Zeichen von Sicherheit
RapidSSL:
Display your "Secured by RapidSSL" site seal prominently to ensure your customers are instantly assured that their details will be secured by the SSL provided by your RapidSSL certificate.
InstantSSL:
Promoting your secure site is the ideal way to help customers feel safe and confident in using your secure online services.

und viele mehr ...

Warum das so ist erklärt keiner der Anbieter. Außer Marketinggefasel findet sich dazu nichts substanzielles, und das hat auch seinen Grund: Solange diese Siegel nicht vom Browser selbst kommen sind sie vollkommen wertlos.
Dabei hat jeder Browser solche "Siegel". Als Beispiel liefert der Mozilla Firefox bei einem Klick auf den grün (starkes Zertifikat) oder blau (schwaches Zertifikat) hinterlegten Zertifikatsnamen in der Adreßleiste:

Mozialla Firefox SSL Information

Natürlich hat jeder Zertifikatsverkäufer in irgendwelchen Klauseln stehen, dass man das Site Seal nicht mißbräuchlich verwenden darf, aber:

  • wer von denen, die extrem anfällig für solche Angriffe sind, weil sie keine Ahnung haben, klickt schon auf das Siegel und vor allem, wer von denen kann dann bewerten, was er an Information erhält?
  • wann haben solche Einschränkungen Kriminelle jemals abgehalten?

Was also passiert ist genau das Gegenteil von dem, was die SSL-Zertifikatsverkäufer suggerieren wollen:

Durch die Site Seals werden die Besucher in eine trügerische Sicherheit gewiegt. Sie werden davon abgehalten sich selbst anhand der Informationen, die ihnen ihr Browser liefert, ein reales Bild zu machen und im Zweifelsfall wird der Benutzer einem gefälschten Site Seal mehr Glauben schenken als der Warnung seines Browsers.

Hört also bitte - sowohl SSL-Zertifikatsverkäufer als auch Website-Betreiber - mit diesem Blödsinn auf.

★ Einmal mit Profis! ★

Kein Phönix aus dem Eis

Phoenix's Solar Panel and Robotic Arm
Phoenix's Solar Panel and Robotic Arm
Image credit: NASA/JPL-Caltech/University of Arizona/Texas A&M University
Mit seiner Hilfe wurde Schnee auf dem Mars entdeckt und er lieferte eine Menge Daten, die die Wissenschaftler noch Monate, wenn nicht Jahre beschäftigen werden. Auch wenn der Phoenix Mars Lander nicht für den dunklen, kalten und extremen Winter auf dem Mars konzipiert war, bestand doch eine kleine Chance, dass er überleben könnte.

Nachdem die Experten der NASA nach dem harschen Marswinter keinen Kontakt herstellen konnten, bestätigen jetzt Bilder der HiRISE Kamera an Bord des Mars Reconnaissance Orbiter schwere Schäden. Dies veranlasste die NASA den Mars Lander offiziell für tot zu erklären. Wahrscheinlich haben die hunderte Kilogramm gefrorenen Kohldendioxyds, die im Winter auf dem Lander lagen, seine Solarpanels zu stark in Mitleidenschaft gezogen. Der Phoenix hat die Wiedererstehung aus dem Eis also leider nicht geschafft.

Unter dem Titel "Phoenix: A Tribute" würdigt die NASA den Phoenix mit einem Video über die Highlights der Mission.


Dieser Tage hat Microsoft® Research das WorldWide Telescope mit Daten des Mars erweitert, die von verschiedenen Marssonden stammen. Neben Landkarten der Marsoberfläche in Echtfarben, gibt es auch 3-D Berechnungen, die einen virtuellen Überflug des Victoria Crater und Olympus Mons ermöglichen.

Summertime ...

... and the living is ... strawberry:

Erdbeerkuchen Erdbeerbowle

Handgepflückte, superreife, aber trotzdem noch feste Erdbeeren, von einem Feld bei Wallersdorf, fernab jeder Straße und zum absoluten Horrorpreis von € 4,90 für 3,5 kg.

Spass mit Webspiders III

webspider FAIL Manche Schreiber von Webspiders stellen sich genauso dämlich an, wie die Schreiber von Spambots, was dazu führt (bei mir), dass sie auch genauso behandelt werden.

Ein richtiger Bot meldet sich auch so im User-Agent, mit einer eindeutigen Kennung und Infos, und nicht als Browser. Dann kann ich auch in der robots.txt Datei definieren, ob ich will, dass er meine Seiten abläuft oder nicht.
Und der grösste Schwachsinn ist es wohl heutzutage, da alle den Microsoft Internet Explorer Version 6.x loswerden wollen, sich als solcher auszugeben.

Gleiches gilt für das Referer-Feld. Das Feld is optional. Wenn man keine Referrer-Info mitschicken will, lässt man das Feld einfach weg. Stattdessen aber Referer: - zu schicken ist einfach nur kompletter Blödsinn.

Ich kann es noch ansatzweise verstehen, wenn Google, Microsoft, Yahoo und Co ab und zu mit Browserkennung aufschlagen, um zu sehen, ob die SEOs eine Spezialbehandlung für ihre Bots machen. Aber dann sollten sie auch nicht erkennbar von delegierten IP-Bereichen kommen - wie blöde glauben die eigentlich, dass professionelle SEOs sind?

Ich war der Präsident

Sehr geehrte Damen und Herren, liebe Neger,

ich bin der Präsident, schöne Grüße aus Bellevue. Da ist ja auch mein Heli, mit dem flieg' ich gleich davon. Ich werde heute Reden halten, ich hab' die Macht der wahren Worte. Sie halten sich für überflüssig, es geht mir da ganz ähnlich.

Rainald Grebe singt "Ich bin der Präsident"
Rainald Grebe singt und spielt "Ich bin der Präsident" (via youtube.com)

Ich bin extrem erschöpft, ich hab' alles gegeben. Ich mach' jetzt Bubu, vor Gott sind alle gleich. Ich binwar der Präsident ...


Ich finde es toll, dass die ganzen Mimosen in der Politik gleich alles hinwerfen, wenn es mal nicht so läuft. Sollten noch viel mehr von denen machen. Kritisieren? Den Bundespräsidenten? Wie respektlos! Tschüß, Horst Köhler ... Mimimi!

Der Pirat Tauss geht über die Planke - und die Piraten?

Flaute bei der PiratenparteiJörg Tauss wurde wegen Besitzes von Kinderpornographie verurteilt: 15 Monate Freiheitsstrafe auf Bewährung.

Eine schöne Zusammenfassung und Bewertung des Urteils (zumindest dessen was bisher bekannt ist) findet man bei Telemedicus: "Tauss - Rechtsirrtum oder Pädophiler". Das Gericht sah keine Anhaltspunkte dafür, dass er in "Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten" handelte.

In der Pressemitteilung des LG Karlsruhe "Ehemaliger Bundestagsabgeordneter Jörg Tauss wegen Besitzes von kinderpornographischen Schriften u. a. verurteilt" steht dann auch:

... Nach Auffassung der Kammer war die Vorschrift des § 184b Abs. 5 StGB, die zur Straflosigkeit von Verhaltensweisen wie den angeklagten führt, wenn die Handlungen der Erfüllung dienstlicher oder beruflicher Pflichten dienen, im vorliegenden Fall schon deshalb nicht anwendbar, weil ein Bundestagsabgeordneter nicht zu dem durch die Vorschrift privilegierten Personenkreis zu zählen ist und es ihm schon gar nicht obliegt, - so die anfängliche Einlassung des Angeklagten - einen Kinderpornoring zu „sprengen“. ...

... Die Kammer hat allerdings nicht festgestellt, dass der Angeklagte die Taten aufgrund eines sexuellen Interesses begangen hat; dies war für die Tatbestandsverwirklichung auch nicht erforderlich. ...

Dass Tauss ein "böser Pädophiler" ist, dürften die wenigsten glauben. Dass er das Zeugs besessen hat, hat er nie geleugnet. Dass der Besitz illegal ist, ist auch jedem klar. Es ging in dem Verfahren also nur darum festzustellen,

  • ob er als MdB "recherchiert" hat oder als Privatperson
  • falls Ersteres, ob er als recherchierender MdB durch StGB § 184b Abs. 5 gedeckt ist.

Die Piratenpartei

Tauss ist bei Rot über die Ampel gefahren und auch das "☑ send pix or it didn't happen" hatte schon lange den Haken dran. Es ging vor Gericht nur noch darum, wird er dafür bestraft oder nicht. Nicht jedoch "hat er es getan oder nicht", das war schon geklärt und das hatte er auch nicht geleugnet.

Dennoch feierte die Piratenpartei den Eintritt von Jörg Tauss als "Erster Pirat im Bundestag", manche, möchte ich sagen, fast geradezu frenetisch.

Prinzipiell geändert hat sich an der Sachlage durch das Urteil gegen Tauss nichts. Es sind keine neuen Tatsachen ans Licht gekommen, es gab keine Überraschungen in der Verhandlung. Das Gericht hat entschieden: er hat nicht als MdB gehandelt, sondern als Privatperson. Und nun?

Pressemitteilung der Piratenpartei - veröffentlicht am 28. Mai 2010 - "Zum Urteil im Strafverfahren gegen Jörg Tauss":

... »Wir Piraten haben Jörg Tauss stets als entschlossenen Bürger- und Freiheitsrechtler kennengelernt. Er hat seine große politische Erfahrung genau so bescheiden und zurückhaltend wie praktisch in unsere Partei eingebracht«, erklärt Wolfgang Dudda, Beisitzer im Bundesvorstand: »Deshalb haben wir allen Grund, darauf vertrauen zu können, dass Jörg Tauss nun auch die richtige Entscheidung für sich und die Piratenpartei treffen wird, soweit es um seine weitere politische Zukunft geht.« ...

Kleine typographische Anmerkung: guillemotleft: "«" und guillemotright "»" heissen so,
weil sie «so» verwendet werden und nicht andersherum, also »so« wie oben.
Nur weil das penetrant und permanent in allen Pressemitteilungen falsch ist.

siehe Kommentar dazu

Obige Pressemitteilung hat das erste WTF? bei mir ausgelöst. Das nächste folgte dann ziemlich bald danach, als ich in "Tauss-Urteil - die mündliche Begründung" lesen musste:

Nach der Urteilsverkündung hatte eine Abordnung der Piraten-Partei Baden-Württemberg die Erwartung geäußert, dass Jörg Tauss jetzt von sich aus die notwendigen Konsequenzen zieht, sprich, die Piratenpartei verlässt. „Er hat bei uns gute Freunde, die werden ihm bleiben", aber er hat selbst angedeutet, bei einer Verurteilung die Partei zu verlassen. An diese Zusage wurde er noch im Gerichtssaal erinnert.

Zwar hat jemand versucht das in den Kommentaren zu relativieren:

Ich möchte darauf hinweisen, dass die erhebliche Mehrheit der Mitglieder der Piratenpartei der Meinung ist, dass Jörg Tauss der Partei keinen Schaden zufügt und es überhaupt keinen Grund gibt, ihn rauszuwerfen oder ihn auch nur aufzufordern, die Partei zu verlassen.

Die im Artikel genannte "Abordnung der Piratenpartei" ist weder in irgend einer Form offiziell geschickt worden, noch spiegelt ihre Aussagen die Meinung der Mehrheit wieder. Wie so oft im Leben, handelt es sich auch hier um Einzelne, die besonders laut brüllen.

Der kannte aber offensichtlich noch nicht die offizielle Pressemitteilung (zu dem Zeitpunkt immerhin fast 12 Stunden alt) und es war ihm wohl nicht bewusst, dass der Beisitzer des Vorstands Herrn Tauss schon zum Gehen aufgefordert hatte.

Hier offenbart sich IMHO ein großer Schwachpunkt der "Piraten". Da sie das Image des "lockeren Haufens" pflegen und das "fühl' Dich als Pirat" glauben halt alle, nur weil sie sich als Pirat fühlen, auch im Namen der Piraten zu handeln. Das sind nicht - wie bei den renommierten Parteien - irgendwelche Funktionäre, die einen anderen Flügel der Partei vertreten, sondern das ist Basis-Bodensatz. Erinnert mich irgendwie spontan an Crocodile Management: auftauchen - Maul aufreissen - abtauchen". Der Ärger darüber bleibt aber (hängen).

Heute hat Jörg Tauss nun seinen Austritt aus der Piratenpartei erklärt. Begründet hat er ihn damit, dass er "der Sache" nicht schaden wolle. Auch dazu gibt es eine Pressemeldung der Piratenpartei - veröffentlicht am 30. Mai 2010 - "Jörg Tauss erklärt seinen Austritt aus der Piratenpartei":

Am heutigen Sonntag hat Jörg Tauss seinen Austritt aus der Piratenpartei Deutschland erklärt. Die Piraten respektieren seine Entscheidung, da er die Partei damit ausdrücklich unterstützen will und bedanken sich für die bisherige Zusammenarbeit.

Schon eine bewegende Sache, oder? "Respektieren" tun sie es also, aber nur weil er die Partei damit unterstützen will. Dann bedankt man sich noch schnell für die "bisherige Zusammenarbeit" und jetzt verpiss' Dich endlich Alter, ey Du nervst jetzt. Und all das, obwohl Tauss das absolute Zugpferd gewesen sein dürfte. Keiner der anderen Parteimitglieder erreicht auch nur annähernd seine Medienpräsenz (na ja, außer vielleicht noch Aaron König, aber das ist eher wenig hilfreich).

Meine unmassgebliche Meinung

Meine Einstellung zu den Piraten hat sich im Laufe des letzten Jahres massiv geändert, was wohl auch daran liegt, dass die Piraten sich nicht (für mich erkennbar) geändert haben.

Ich habe jede Menge Freunde und Bekannte, die sich bei den Piraten engagieren und Mitglieder oder auch nur Sympathisanten sind. Das bringt einfach das Umfeld mit sich. Ich habe aber der Verlockung selbst Mitglied zu werden widerstanden, in bester USENET Manier: "erst mal drüber schlafen, dann antworten". Vorgehensweisen, die 30 Jahre gut waren, werden eben nicht über Nacht schlecht. Heute bin ich froh darüber.

Dennoch habe ich die Ziele der Piratenpartei unterstützt, propagiert, für sie argumentiert und diskutiert und nicht zuletzt die Piraten gewählt. Das war gut und wichtig, es hat zu Veränderungen geführt und ich bedauere es nicht.

Nach der anfänglichen Euphorie, zeigen sich aber jetzt die Schwachstellen allzu deutlich und eine Lösung ist für mich nicht in Sicht:

  • Geschlossenheit: So behandelt man keine verdienten Mitglieder. Tauss hat nichts verschwiegen und er hat sich um die Piraten verdient gemacht. Die Aktionen jetzt zeigen einfach ein für mich unerträgliches Maß an Borniertheit und Opportunismus. Wo ist denn hier der oft propagierte 2.0 Gedanke? Ist das die Vorstellung der Piraten von einer Community?
    Nehmt euch mal ein Beispiel an der CSU: Otto Wiesheu hat 1983 unter Einfluss von 1.75 Promille Alkohol einen Rentner getötet(!) und dessen Beifahrerin schwer verletzt. Grob ähnliche Strafe wie für Jörg Tauss - und? Keine alte Sau interessiert's. Schluß also mit dem Gefasel über irgendwelche fiktive Schäden.

  • Management: die Piratenpartei funktioniert wie 99% der OSS, nämlich ziemlich beschissen. Es gibt tausende von Projekten für X auf Sourceforge, 50% davon sind leer, 40% sind nie über das Stadium "ich implementiere Skins und Themes" hinausgekommen, weitere 9.9% sind seit über einem Jahr tot. Wenn man Glück hat existiert ein verbleibenes Projekt, das ansatzweise funktioniert. Es ist aber immer noch ziemlicher Müll, weil niemand das Projekt koordiniert, die Hälfte der Leute, die an dem Projekt arbeiten, nicht wissen was sie tun, und sie sich überhaupt andauernd streiten, was nun zu tun ist. Lesenswert dazu: "linux video" von jwz.

    Die Piraten haben eine eigene Site zum Thema Bundesparteitag angelegt. Dort findet man ein paar Vorabinformationen und ein paar "News". Ansonsten gibt es Verweise auf das Piraten-Wiki. Dort finden sich dann weitere/andere/ergänzende Informationen. Warum? Und wieso sehen die Wahlergebnisse so aus wie sie aussehen? Wiki schön und nett, aber ein Wiki kann auch Tabellen. Echt jetzt! Eine Geek-Partei und das Informationmanagement ist grausamer, als bei den letzten Hinterwäldlern.
    Und dann torpedieren sie sich auch noch selbst (ich bitte das piratige Wortspiel zu beachten): Piratenschiff auf dem BPT. Täusche ich mich, oder ist die Organisation dilettantischer, als die jeder IRC-RP, auf der ich je war?

    Manche Geeks sind gute Coder oder können gut mit elektronischen Geräten. Viele Geeks können beides nicht und finden sich trotzdem toll. Die allerwenigsten Geeks sind aber tolle Autoren, Manager, Firmenchefs oder sonstwas. Nicht umsonst lautet ein Ratschlag für alle Coder, die eine Firma gründen wollen:

    "Do what you can best: code. For everything else hire someone, who knows how to do it.

    Genau das ist auch für die Piratenpartei überlebensnotwenig: die Geek-Basis reicht prozentual zu gar nichts. Also tut das, was ihr könnt, redet über Technik. Versucht es Leuten zu erklären, die es dann transportieren können und so aufbreiten, dass auch die Joe Losers der Welt es verstehen.

    Lasst die Politik dazu von Leuten machen, die wissen wie es funktioniert, Leuten wie Jörg Tauss.

  • Glaubwürdigkeit: Für eine Meldung zum ersten April sind Sachen wie "Project Piratesatellite" ja vielleicht ganz lustig. Aber ansonsten? Auf einer offiziellen Seite der Piratenpartei? Ja, ich kann noch die feine Linie zwischen "voll offiziell" und "Privatseite eines Wiki-Benutzers" ziehen, aber wer sonst noch? Und ich halte den Typen aufgrund dessen, was er schreibt, schon für vollkommen durchgeknallt und realitätsfremd.
    Das Internet ist nicht mehr unser Medium, mittlerweile ist die un-geekige Joe Loser-Bevölkerung (die n00bs, und DAUs) angekommen.

    Die Piraten müssen die Geeks nicht mehr einfangen, sie müssen die Bevölkerung überzeugen. Dazu muß aber ein gehöriges Mass an Glaubwürdigkeit und ein Image vermittelt werden, das eher auf Vertrauen abzielt als auf Internet-Chaoten. Die Verlinkung von Fotos, auf den offiziellen Webseiten des Bundesparteitags, mit mehr prominent platzierten Biergläsern als Leuten drauf und andere Peinlichkeiten, dient diesem IMHO nicht.
    Nur damit das nicht mißverstanden wird: es geht nicht darum, ob ich das toll finde oder nicht. Es geht primär darum, wie das Wahlvieh es wahrnimmt. Ohne deren Stimmen geht nichts.

  • Integration: Warum findet Joe User Linux unbrauchbar? Es ist (war?) ein geekiges System, von Geeks für Geeks. Windows und vor allem Apple hat immer daraufhingearbeitet einen einfach zu bedienenden Allrounder zu haben. Was nützt einem Joe User ein ganz tolles OSS Programm, wenn er mit der Bedienung des Systems nicht klarkommt?

    Und was nützt Joe User eine tolle Partei, mit einer Mission, die er toll findet, wenn er sonst nichts mit ihr anfangen kann. Eine Wahl ist nicht wie ein Dual-Boot System, bei dem ich halt dann mal eben ein anderes OS boote, wenn irgendwas dort praktischer läuft. Bei einer Wahl muß ich mich entscheiden - für ein System.

    Man kann sich nun wie Kris Köhntopp im Artikel "Einthemenpartei" viel Arbeit machen und zeigen, dass selbst nur ein Thema wie "Urheberrecht" in viele andere Themen direkt und indirekt mit hineinspielt. Aber eben nur hineinspielt, einen Aspekt beleuchtet und nicht alle.

    Die Wähler wollen nicht selbst eine Transferleistung von "Urheberrecht" zu "Jugendschutz" oder "Grundversorgung" erbingen, sie wollen, dass Parteien klare Aussagen dazu treffen. Bildung ist nicht nur Urheberrecht. Sie wollen Aussagen auch zum Krieg in Afghanistan, zur Ölpest vor Amerika, zum Abschlachten von Walen, zur Krise in Nord-/Südkorea, zu Wirtschaftsbeziehungen zu China, zur Fußball WM ... .

    Ohne klares und vor allem umfassendes Programm werden die Piraten wie die grauen Panther enden.

Es ist übrigens absolut egal, ob es nun wirklich so ist oder gaaaaanz anders (natürlich!). Es kommt darauf an wie es rüberkommt und darüber, wie es für mich rüberkommt, habe ich geschrieben. Und so wie es rüberkommt haben für mich die Piraten ihre Glaubwürdigkeit als Partei, nicht zuletzt dadurch, wie sie jetzt mit Tauss umgehen, verloren. Als Lobbygruppe mag es noch eine Zeit gehen.

Totenflaute. Nichts von wegen "Klar zum Entern", eher "Alle Mann in die Rettungsboote".

Google experimentiert mit SSL für die Suchmaschine, die SEOs weinen

Google SSL Search beta Das offizielle Google-Blog hat letzte Woche unter dem Titel "Search more securely with encrypted Google web search" angekündigt, dass man ab sofort "sicher" bei Google (vorerst allerdings nur google.com) suchen kann. Google unterstützt nun Suchanfragen über SSL, also mit https:// vorne dran: Google Suche via SSL.

Für die Anwender hat das drei direkte Auswirkungen:

  • die Suchanfrage wird über eine verschlüsselte Verbindung übertragen und kann von Dritten nicht nur schwer mitgelesen werden. Die verwendeten Suchbegriffe bleiben damit quasi eine Sache zwischen dem Benutzer und Google.
  • es geht ein ganz kleines bisschen langsamer. Zuerst muss eine Verschlüsselung zwischen Browser und Server ausgehandelt werden und danach werden die Daten verschlüsselt und übertragen und das braucht Zeit.
  • da Dienste wie die Bildersuche, Maps und andere noch kein SSL unterstützen, gibt es momentan dazu auch keine Links auf den Ergebnisseiten.

Bye bye Suchbegriffe im Referrer

Ein weitere Auswirkung, die die Privatsphäre des Benutzers schützt, ist jedoch den Anbietern und hier vor allem den SEO-Leuten ein riesengrosser Dorn im Auge:

Klickt ein Benutzer auf einen Link und ruft damit eine neue Seite auf, so überträgt der Browser beim Abruf der neuen Seite, die Adresse (URL) der Seite, von der der Benutzer kommt. Dies ist der sogenannte Referrer. Kommt nun der Benutzer über eine Google Suche, sieht dieser Referrer zB. so aus:

http://www.google.de/search?q=telefonabzocke+gewinn+sofort

Der Anbieter der Seite kann also sehen, aufgrund welcher Suchbegriffe die Benutzer auf seinen Seiten landen und anhand dieser Informationen kann er (oder die SEO-Leute) versuchen die Seite zu optimieren, so dass noch mehr Leute durch eine Suche bei Google (oder anderen Suchmaschinen) auf der Seite landen.

Ärgerlich für die SEO-Leute ist nun, dass aus Sicherheitsgründen die Browser bei einem Wechsel von einer Seite über SSL auf eine ohne SSL keine Referrer-Information mitschicken. Das bedeutet, dass bei einer Suche bei Google über SSL und einem Klick auf ein Suchergebnis, das Ergebnis nicht mehr erfährt, welche Suchbegriffe verwendet wurden.

Gut für die Privatsphäre der Nutzer, blöd für die Seitenbetreiber, die natürlich auch prompt schon dicke Krokodilstränen vergiessen.

Noch ein paar erklärende Details

SSL Verschlüsselung:
Bei einer https-Verbindung handelt es sich um eine Ende-zu-Ende Verschlüsselung. Der Browser und der in der URL genannte Server handeln zuerst eine verschlüsselte Verbindung aus. Über diese läuft anschliessend die gesamte Kommunikation, also auch das Absenden der eigentlichen (Such-)Anfrage und die Antwort. Damit wird auch der URL nicht im Klartext übermittelt.
Click Tracking
Auch wenn der Betreiber der in den Sucherergebnissen angeklickten Seite keinen Referrer mehr sieht und damit keinen Hinweis auf die Suchbegriffe hat oder gar woher der Benutzer kommt, so weiss Google das natürlich immer noch!
Google verwendet Cookies, sieht die Suchbegriffe und verwendet teilweise Javascript, das ausgeführt wird, wenn ein Link in der Ergebnisliste angeklickt wird. Google weiss also trotzdem noch soviel wie vorher.
Verschwörungstheoretiker mutmassen, dass Google das nützen könnte, um seinen eigenen Analysedienst zu fördern.

Kontrolle im Browser

Im Mozilla Firefox kann man das Senden von Referrer-Information ganz leicht unterbinden. In der URL-Zeile about:config aufrufen und dann nach network.http.sendRefererHeader suchen. Der voreingestellte Wert ist 2. Dies bedeutet, dass Referrer-Information sowohl durch einen Klick auf einen Link, als auch für alle Elemente einer Seite gesendet werden. Setzt man den Wert auf 0, wird gar keine Referrer-Information mehr gesendet, setzt man den Wert auf 1 wird nur beim Klick auf einen Link, jedoch nicht für die Elemente einer Seite der Referrer mitgeschickt.
Ist der Wert 1 oder 2 wird für SSL-Zugriffe die Variable network.http.sendSecureXSiteReferrer konsultiert. Der voreingestellte Wert true bedeutet, dass bei einem Wechsel von einer https-Webseite zu einer anderen https-Webseite der Referrer mitgeschickt wird. Setzt man den Wert auf false wird dies unterbunden.
Da nicht auszuschliessen ist, dass manche Sites in einem Anflug von fehlgeleiteter (weil sinnloser) Sicherheitsprüfung einen Referrer haben wollen, sei der Vollständigkeit halber auf das AddOn RefControl verwiesen, das eine feinere Einstellung als generelles an/aus erlaubt.

Die Vertraulichkeit unserer Daten

Datenvertraulichkeit

"Datenschutz" ist wieder in aller Munde. Ein böser "Hacker" hat einmal mehr Daten von StudiVZ "geklaut". Na ja, nicht wirklich, er hat nur automatisiert die Daten der Benutzer abgegriffen, die diese bereit waren ihm, einem Mitglied von StudiVZ, zu geben. Getan hat er das mit einem sogenannten Crawler, also einem Programm, das sich von Webseite zu Webseite hangelt, so wie zB. Suchmaschinen das auch tun.

Es gibt eine ganze Reihe von sogenannten Personensuchmaschinen, die machen nichts anderes. Sie haben einen Crawler, der Webseiten abruft und sie haben ein data mining Programm, das diese Seiten analysiert, versucht Personeninformationen zu finden und zu extrahieren und danach werden diese Informationen - mehr oder weniger intelligent - gruppiert. Dies passiert mit den zusammengetragenen Benutzerdaten von tausenden von Webseiten. Manche dieser Suchmaschinen bieten ihre Daten öffentlich an (yasni.de, 123people, myONID.de, wink.com, spock.com), andere verkaufen diese Information für viel Geld an Personalabteilungen, die so ihre Bewerber abklopfen.

"Normale" Suchmaschinen können das auch ... vielleicht sogar noch besser. Ein Beispiel dafür ist der Social Circle von Google. Dadurch, dass sich Menschen auf verschiedenen Plattformen (XING, Twitter, Facebook, FriendFeed usw.) vernetzen und diese Informationen teilweise öffentlich sind (Friends, Followers), können Suchmaschinen diese Beziehungsinformationen auswerten, Profile erstellen und Verknüpfungsgeflechte generieren. Anhand weiterer Daten (semantisch gekennzeichnete Verweise auf Homepage, Blog, XYZ-Profil) lassen sich derartige plattformübergreifenden Profile sehr gut befüllen und so ist es dann auch nicht verwunderlich, dass, wenn ich bei Google angemeldet bin und eine Suchanfrage mache, mir Google ganz nebenbei mitteilt, dass einer meiner "sozialen Kontakte" gerade einen neuen Artikel in seinem Blog veröffentlicht hat.

Dieses data mining ist nicht nur auf Personendaten beschränkt. Manche Firmen haben sich auf Urheberrechtsverletzungen spezialisiert (PicScout), andere überwachen Markennamen (Brandwatch). Allen gemein ist, sie scannen permanent das gesamte Internet (oder versuchen es zumindest) und generieren und speichern verschiedene Arten von Profilen.

Social Networks

Der Begriff "Social Networks", wie er im Deutschen gemeinhin verwendet wird, ist falsch. "Social Networking Sites" trifft es schon viel besser und macht den organisatorischen Bezug zu den Mailboxsystemen früherer Zeiten deutlich.

Bei einer Social Networking Site handelt es sich um ein mehr oder eher weniger abgeschlossenes System.

  • mehr, weil man für manches Mitglied sein muß.
  • weniger, weil die Geschlossenheit keine wirkliche ist, sondern primär der Authentifizierung der Benutzer und der Generierung neuer Mitglieder dient. Jeder kann Mitglied werden, somit ist die Geschlossenheit nur formal.

Die Vertraulichkeits-Voreinstellungen solcher Systeme sind natürlich immer systemfreundlich: das ganze Internet darf nicht, alle Benutzer des Systems dürfen schon. Klar, soll ja neue Mitglieder anlocken und intern so viel wie möglich bieten. Dass der vorgegaukelte Unterschied zwischen "alle im System" und "das ganze Internet" nur formal existiert (jeder kann Mitglied werden) und gar keinen wirklichen Sinn macht, ist ein Mißverständnis, das sich für viele Teilnehmer nicht oder nur sehr spät (zu spät?) auflöst. Die Voreinstellung sollte immer so eng wie möglich sein, damit der Benutzer bewusst Rechte einräumen muß, widerspricht so aber dem Vernetzungsgedanken.

Zudem sollten solche Systeme vom Benutzer frei konfigurierbare Zugriffsbeschränkungen implementieren. Daran scheitern schon sehr viele, die meist nur drei oder vier vordefinierte Gruppen anbieten. Ein weiteres Manko ist oft die Granularität zur Vergabe der Rechte. So kann man ein Bilderalbum (thematische Gruppierung von Bildern) zwar einer Rechtegruppe zuordnen, nicht aber die einzelnen Bilder darin (nocheinmal gesondert).
Warum man das will? Beispiel: Fete. Alle Bilder des Albums "Fete" sollen für Mitglieder der Gruppe "Fete" sichtbar sein, nicht jedoch das Bild "Joe peinlich", das nur für "Joe" sichtbar sein soll.

Ein weiteres Problem tritt mit obigem Beispiel ebenfalls zutage: alle müssen Mitglieder dieses Systems sein, da sonst das System sie nicht identifizieren und authentifizieren kann. Ein "Ich habe die Bilder der Fete unter dem URL ... abgelegt. Benutzername/Passwort zum Anschauen sind ..." funktioniert nicht. Fetenteilnehmer, die nicht im System registriert sind können die Bilder nicht ansehen.

Dies führt direkt zu einem weiteren Problem dieser Systeme und der Vertraulichkeit von Daten.

Vertrauen

Daten sind immer nur so vertraulich, wie man der Person/Organisation vertrauen kann, an die man sie weitergibt.

Was nützt es Daten in einem geschlossenen und geschütztem System zu haben, wenn die Personen, die Zugriff darauf haben, (absichtlich oder nicht absichtlich) nicht vertrauenswürdig sind.

  • bei "absichtlich nicht vertrauenswürdig" sollte klar sein, was es bedeutet.
  • bei "unabsichtlich nicht vertrauenswürdig" besteht vielleicht Erklärungsbedarf.
    Betrachtet man obiges Besipiel der Fotos des Festes wird auffallen, dass es ziemlich unwahrscheinlich ist, dass alle Teilnehmer der Fete auch Mitglieder des Systems sind, in welchem die Fotos veröffentlicht wurden. Dies führt dann zu dem Fall, in dem ein Mitglied mit Zugriff darauf diese Fotos aus dem System "entfernt" und einem Fetenteilnehmer, der kein Mitglied ist, zB. per E-Mail zuschickt. Dem Mitglied wird in diesem Moment sicher nicht klar, dass er einen Vertrauensmißbrauch begeht, denn "die Fotos waren doch für die Teilnehmer der Fete".
    Diese Annahme ist aber falsch, denn es war für "die Teilnehmer der Fete, die Mitglieder der Gruppe "Fete" des Benutzers des Systems sind, der die Bilder eingebracht hat". Eventuell hätte dieser ja das eine oder andere Bild nicht eingestellt, wenn die externe Person ebenfalls Mitglied gewesen wäre oder er hätte die Zugriffsberechtigungen (einiger Bilder) anders gesetzt.

Durch die Entnahme der Bilder aus dem Schutz des Systems wurde die Vertraulichkeit der Daten ausgehebelt.

Ein weitergehender Verlust der Vertraulichkeit der Daten erfolgt in dem Moment, in dem die externe Person diese per E-Mail erhaltenen Bilder an eigene Freunde weiterschickt, die vielleicht gar nicht auf der Fete waren: "das sind Bilder der tollen Fete, auf der ich am Wochenende war". Der Totalverlust tritt ein, wenn die Bilder ungeschützt in zB. einer Foto-Community veröffentlicht werden.

Kopieren verboten

Mit dem Slogan "Kopieren verboten" hat eine Firma auf einem Sicherheitskongress vor ein paar Jahren ihr Produkt angepriesen und wollte damit "die Vertraulichkeit Ihrer Dokumente schützen". Sie haben damals meinen Kommentar dazu "was ich sehe gehört mir" nicht verstanden. Das Produkt hat auf Betriebssystembasis verhindert, dass man zB. PDF-Dokumente kopieren kann und sollte damit eine Vertraulichkeit des Dokuments erreichen. Das ist aber zu kurz gedacht. Niemand hat verhindert, dass

  • Screenshots von jeder Seite des Dokuments gemacht werden können
  • das Dokument seitenweise vom Bildschirm abfotografiert werden kann
  • das Dokument per Hand auf Papier übertragen werden kann
  • und nicht zuletzt: der Inhalt des Dokuments mündlich weitergegeben werden kann

What has been seen cannot be unseen.

Ein weiteres Beispiel dafür, wie schnell man die Kontrolle über "vertrauliche Daten" verlieren kann, zeigt sich beim Sexting. Damit wird das "sex texting" erotischer Fotos vom eigenen Körper bezeichnet, aufgenommen mit der Fotofunktion des Mobiltelefons und anschließend per MMS direkt verschickt.
Mag das eine Laune gewesen, als anregende Unterstützung für Cyber-/Telefonsex gedacht oder auch nur ein Vertrauensbeweis gewesen sein, kann dies schnell aus dem Ruder laufen, wenn der Empfänger diese Bilder im (meist gleichgeschlechtlichen) Freundeskreis quasi als Trophäe präsentiert oder wenn nach dem Ende einer Beziehung der/die Verlassene glaubt sich rächen zu müssen, indem er/sie die Bilder veröffentlicht.

Tolle neue Social Networks

Nach all der Kritik an den bestehenden Social Networks hat vor allem diaspora* in den letzten Tagen den vollen Medienhype erlebt. Es ist nicht das einzige Projekt, das mit dem Anspruch an den Start geht mehr Datenschutz zu gewährleisten. Eine Liste solcher Projekte wird von der Free Software Foundation (FSF) als Gegenüberstellung verwaltet.

Ein paar der Systeme habe ich mir angeschaut. Ich brainstorme selbst seit etwa 3 Jahren an so einem System, denke also ich kann mir hierzu einen Kommentar erlauben :-). All diese Systeme verfehlen ihre Ziele. Es ist nicht die Herausforderung ein paar hundert oder tausend Zeilen in PHP runterzuhacken und man hat was Tolles.
Die Herausforderung ist ein prinzipielles System zu entwerfen

  • das verteilt ist (gib' nicht einem Anbieter alle Deine Daten)
  • das trotz der Verteilung auch bei Millionen von Benutzern noch skaliert
  • das Sicherheit in Form von Identifizierung und Authentifizierung enthält ("signed messages")
  • das ein Reputationssystem (ala "web of trust") integriert
  • das eine "Schaltzentrale" bietet, auf die man von überall her (steuernd) zugreifen kann und alle Funktionalität, die man haben will, integrieren kann (soetwas wie IMAP4 für E-Mails, das aber E-Mails, Microblogging, Bookmarks, Chat, RSS/ATOM Feeds, Blogs, Bilderalben und und und ... integriert; raindrop aus den Mozilla Labs ist schon einmal ein Stück in die richtige Richtung)
  • das problemlos erweiterbar und integrierbar ist
  • das plattformunabhängig ist

So ein verteiltes System muß also primär Schemata, Protokolle und Abläufe definieren, so dass die verschiedenen Knoten sauber und effizient interagieren können. Dies ist die Herausforderung - danach den Code (egal in welcher Sprache oder welchem Framework) runterzuhacken ist es nicht. Sicher kann man dazu auf bereits bestehende Dinge zurückgreifen, wie OpenID, OAuth, pubsub, ... integrieren muß man es trotzdem sauber und vieles von Grund auf neu machen.

Eingangs beschriebene Probleme mit der Vertraulichkeit oder dem Schutz der Daten werden aber auch diese Systeme alle nicht lösen, weil diese Probleme weder systemimmanent sind noch programmatisch gelöst werden können.

So, we're doomed

You can't take something off the Internet, that's like trying to take pee out of a swimming pool.
Once it's in there, it's in there.
-- NewsRadio clip, episode 2x17 "Physical Graffiti" [via YouTube]

Nein, bei weitem nicht!

So wie vor zehn oder zwanzig Jahren die wenigsten von uns damals darüber nachgedacht haben dürften, dass Artikel, die sie im USENET veröffentlicht haben und die regelmässig auf den lokalen Newsservern expired und damit veschwunden waren, plötzlich wieder auftauchen und durchsuchbar sind, so waren und sind viele im Moment noch etwas leichtsinnig, was ihren digitalen Footprint angeht. Da sowohl Soziale Netzwerke als auch für viele das Internet und nicht nur das Konsumieren in Form von Surfen, sondern gerade auch das Publizieren Neuland ist, ist dies auch keineswegs verwunderlich.

Das sind Schäden, die nicht wieder gutzumachen sind, aber solange wir alle aus diesen Schäden lernen und ein entsprechendes Bewusstsein entsteht, das anderen Neulingen hilft, diese Fehler erst gar nicht zu begehen, denke ich, ist nicht alles verloren.

Man muß sich jedoch immer vor Augen halten:

Das Internet vergisst nichts!

... und Aussagen wie "The photograph has now been removed from the internet" sind und bleiben nichts als fromme Wünsche von Leuten ohne Realitätsbewusstsein.