Maexotic

It's a maexotic world ...

Vodafon und kein Ende

Ich erhalte über die Mailserver von vodafone Spam; dummen primitiven Nigerian 419 scam, nur dass diesmal zeitgemäß ein UN-Chemiewaffen-Inspektor, der 38 Millionen USD in Syrien gefunden hat, diese mit mir teilen will.

Schlimm genug, dass deren Systeme sowas durchlassen, aber es kommt noch schlimmer. Schaut man in den Mail-Header sieht man im Klartext die Telefonnummer und damit offensichtlich den Login, der missbraucht wurde:

Received: from outgoing.email.vodafone.de (139.7.28.128)
        by deleted.thinkof.de with SMTP; 20 Oct 2013 18:16:14 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed; d=vodafone.de;
        h=from:to:date:message-id:subject:mime-version:content-transfer-encoding:content-type;
        s=out; bh=6Y1OxxaAELiO+eIBLoYkf8l3mGc1YlXTNXB847equys=;
        b=lbluI7zZ3agomkvkIOQ2ZS+iC01icymN5NgWo9pEcEiTPO52Nni6R13/uf0nofpE2eFeTt
        tfcYjx80Pv9pj7bR9vhPprrfU+fCyBGG4ANXh2/6215zTQjOtv32DKOHQI2bOVaKXqbi/cuiS4ulQBIj
        w+OyBgmXm7O/yXUDiEIVs=
X-Authentication-Info: Sender authenticated as 016243xxxxx@vodafone.de (using Trusted Webmail)
Received: from smtp-05.services.internal.um.d2-net.de ([41.190.2.47]
        helo=Vodafone WebMail envelope-sender=<016243xxxxx@vodafone.de>)
        by SMTPIN-05.smtp.email.vodafone.de with SMTPA
        id 52641DA4.10796.797798; Sun, 20 Oct 2013 20:15:00 +0200
From: 016243xxxxx@vodafone.de

Ob ich da mal anrufe und ihn frage wie das läuft mit Kohle und so?

Germany's next Topmodel

Normalerweise versuche ich solchen Shows wie Germany's next Topmodel oder Deutschland sucht den Superstar und wie sie alle heißen aus dem Weg zu gehen, primär weil ich sie menschenverachtend finde. Heute hat Pro7 aber Teaser für GNTM in die Werbung von The Big Bang Theory geschnitten, so kam ich in den unfreiwilligen "Genuß".

Die Szenerie ist, dass wohl eines der Möchtegern-Topmodels auf einer Fashion Show mit einem roten Kleid rumlaufen muss und sie es nicht mag, weil es nicht zu ihr passt. Insofern muss ich ihr sogar recht geben, wenn man eine Hautfarbe hat wie eine Weißwurst und zudem rotblonde lange Haare, ist so ein knalliges Rot in meinen Augen auch nicht die beste Wahl für die Farbe eines bodenlangen Kleides.

Heidi Klum sagt nun sinngemäß:

Ich bin schon länger in dem Geschäft, ich weiß wohl besser als sie darüber Bescheid.
Das mag wohl stimmen. Aber darum geht es in der Sendung doch gar nicht. Es geht darum irgendwelche Tussen mit hochtrabenden Träumen möglichst publikumswirksam und ohne dass es zu offensichtlich menschenverachtend ist fertig zu machen und Reaktionen zu provozieren. Heulen und Tränen sind immer gut, Anzicken der Mädels untereinander auch. Also ist es nur lächerlich, wenn uns' Heidi so tut, als hätte das, was sie den Mädels in der Show antut, irgendetwas mit dem Modelgeschäft zu tun. Es geht um die Show und Einschaltquoten. Deshalb ist in allen Teasern immer zu sehen wie dämlich sie sich anstellen, wie sie heulen und rumzicken und nur extremst selten, dass sie etwas auf die Reihe kriegen und halbwegs gut dabei aussehen. Schadenfreude sells.

Na ja, ein bißchen was hat es vielleicht doch mit dem Modelgeschäft zu tun:
Liebes Möchtegern-Topmodel mit der Hautfarbe einer Weißwurst und rotblonden langen Haaren, von dem ich den Namen nicht weiß und der mich auch nicht interessiert. Du willst ein Model werden. Das ist, um es einmal auf das Wesentliche runterzubrechen, eine Schaufensterpuppe, die auf einem Laufsteg rumstaksen kann, statt nur im Schaufenster zu stehen. Genausowenig wie sich eine Schaufensterpuppe aussuchen kann was sie zum Anziehen kriegt, kann sich ein Model das aussuchen. Die Jobdescription ist im Großen und Ganzen: nimm diese Klamotten, ziehe sie an und laufe halbwegs ansehnlich und ohne hinzufallen bis ans Ende des Laufstegs und wieder zurück und versuche dabei gut auszusehen, damit sich die Klamotten verkaufen. Dafür kriegst Du Geld.
Wenn das ein Problem für Dich ist, ist es der falsche Job und Du solltest Dir einen anderen suchen.

Die Piratenpartei und der Datenschutz - ein weiteres Kapitel im Buch "Planlos"

Datenschutz

Begeisterte Piraten haben heute ein Blog-Posting von Andi Popp, Platz 3 auf der Landesliste zur Bundestagswahl beim Landesverband Bayern der Piratenpartei auf twitter verbreitet. Und wieder einmal muss ich mich fragen: "Wovon reden die?"

Unter dem Titiel "Das Recht auf Vergessen werden" lässt Andi Popp sich über das - seiner Meinung nach - "Märchen vom digitalen Radiergummi" aus und dann denkt er wohl er schreibt, was man denn so tun sollte.

Ich habe mir einige Passagen herausgegriffen:

Ich kann mich schon fast überall mit meinem Facebook- oder Google-Account anmelden und wer weiß schon noch, auf wie vielen Seiten er damit erscheint?

Was will er uns damit sagen? Abgesehen davon, dass der Satz an sich für mich schon keinen Sinn macht.
Dass man - ähnlich OpenID oder OAuth - einen der Dienste als Identitätsprovider verwenden kann ist prinzipiell ersteinmal kein Problem. Alles was passiert ist dass man sich über ein Verfahren - ohne dass man ein weiteres Passwort braucht - auf einer Website anmelden kann. Der Anbieter der Website sagt "Wenn Du Dich bei Facebook oder Google oder Twitter erfolgreich anmelden kannst und mir Deine ID (nicht das Passwort!!) gibst, dann kann ich Dich eindeutig identifizieren und dann vertraue ich Dir in gewisser Weise". Da ist noch nicht viel passiert, außer dass man selbst nicht noch ein weiteres Passwort verwalten muss.
Wenn dabei OAuth im Spiel ist, man also eine App authorisiert auf bestimmte Daten beim Identitätsprovider zuzugreifen, geht die Rechtevergabe etwas weiter. Aber genau deswegen gibt es OAuth, um das zu steuern. Darüberhinaus kann man jederzeit einsehen welche Apps man autorisiert hat und das jederzeit abstellen:

Schaltet man dort eine "App" ab, hat sie keinen Zugriff mehr auf die Accountdaten.
So einfach ist das und man hat jederzeit den kompletten Überblick, weil die App beim Identitätsprovider registriert sein muss, damit das überhaupt funktioniert. Man hat also immer eine vollständige Liste. Also ich finde das super übersichtlich.

Sollte er mit seiner Aussage meinen, dass durch die ganzen unsäglichen Social Buttons, wie von Facebook, G+, Twitter, reddit, ... die Benutzer transparent für die Dienste werden, weil die Dienste durch den permanenten Abruf ihrer Code-Schnipsel bei anderen Sites die Spur der ohnehin permanent angemeldeten Benutzer verfolgen können, so ist das genau einer der Punkte, den die Datenschützer massiv kritisieren und der ganz klar nicht konform zum BSDG ist. Hier liegt das Vergehen aber primär an den Betreiber der Sites, die diese Code-Schnipsel einbinden, denn sobald die Seite geladen wird, ist das Kind schon in den Brunnen gefallen. Dann hat der Website-Betreiber nämlich den Webbrowser veranlasst, die Daten unerlaubt an Dritte weiterzugeben.

Doch weiter im Text:

Ein vernünftiger Ansatz muss daher darauf abzielen, den Menschen die Möglichkeiten zu geben, die Veröffentlichung sensibler Daten von vornherein zu verhindern.

Das BSDG, das TKG und auch das TMG sind voll von Vorschriften um genau das zu erreichen.
Dazu kommen wir gleich im Detail.

Das beginnt bei einer gesetzlich gebotenen Datensparsamkeit. Es dürfen tatsächlich nur die Daten verlangt werden, die für einen Dienst wirklich benötigt werden. Wenn ein Webshop etwa das Geburtsdatum einer Person verlangt, dann ist das nicht in Ordnung.

Aha, er will also dass Datensparsamkeit im Gesetz verankert wird. Das ist eine gute Idee und weil es eine gute Idee ist:

BDSG § 3a Datenvermeidung und Datensparsamkeit
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.
TMG § 14 Bestandsdaten
(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten).

Wenn also ein Betreiber "Daten sammelt" und jemand meint, das sei unverhältnismässig, darf er sich gerne an die zuständige Datenschutzbehörde wenden. In Bayern ist das für den nicht-öffentlichen Bereich das Bayerische Landesamt für Datenschutzaufsicht.

Zu der seiner Meinung nach unverhältnismässigen Erhebung von Geburtsdaten bei einem Webshop ist zu sagen, dass es nicht unverhältnismässig ist. Zum einen gibt es Artikel, die nur Personen bestimmter Altersgruppen zugänglich gemacht werden dürfen. Zum anderen ergeben sich für den Betreiber des Webshops aufgrund von beschränkter Geschäftsfähigkeit Risiken, die er durchaus mindern darf. Niemand wird einem 10jährigen Kind in einem Geschäft für Unterhaltungselektronik einen Fernseher für 500 € verkaufen, selbst wenn das Kind das Geld bar dabei hat. Wenn allerdings der Jupiter-Markt meinen Familienstand wissen will, dann geht ihn das wirklich nichts an, aber dafür gibt es eine gesetzliche Regelung (siehe oben).

Aber man muss diese Idee weiter ausbauen, zu einem gesetzlich garantierten Recht auf Anonymität.

Es gibt einen Beschluss des Ersten Senats des Bunderverfassungsgerichts vom 24. Januar 2012 - 1 BvR 1299/05. Das Ergebnis ist, es gibt kein Recht auf anonyme Kommunikation, denn
"Die hiermit erstrebte Verbesserung staatlicher Aufgabenwahrnehmung insbesondere im Bereich der Strafverfolgung, der Gefahrenabwehr und der nachrichtendienstlichen Tätigkeiten ist ein legitimer Zweck, der einen Eingriff in das Recht auf informationelle Selbstbestimmung grundsätzlich rechtfertigen kann."
Das Urteil ist auf einige Punkte des TKG zugeschnitten. Andre Meister schreibt dazu bei netzpolitik.org "Bundesverfassungsgericht urteilt: Es gibt kein Recht auf anonyme Kommunikation".

Abgesehen davon legt der Gesetzgeber durchaus Wert darauf, dass Dienste anonym oder zumindest pseudonym genutzt werden können:

TMG § 13 Pflichten des Diensteanbieters
(6) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat am 14. Dezember 2012 eine Anordnung gegen Facebook mit Androhung eines Zwangsgeldes in Höhe von 20.000 Euro erlassen, weil Facebook genau dieser gesetzlichen Regelung nicht nachkommt und im Gegenteil seine Benutzer zwingen will Anonymität oder Pseudonymität aufzugeben.

Völlig egal, welche Regeln wir für Datenschutz im Netz und kommerzielle Webdienste etablieren, sie helfen alle nichts, wenn der Staat seine Datensammelwut nicht einschränkt. Es nützt nichts Facebook das Datensammeln zu verbieten, wenn bei jedem aufgeregten Kommentar sofort der Anschlussinhaber der IP-Adresse ermittelt wird.

Jetzt bin ich vollends verwirrt.

Der Staat sammelt IP-Adressen bei Kommentaren irgendwo, um den Anschlusssinhaber zu ermitteln? Wie er das wohl zB. bei meinem Blog macht?
Eben! Das macht er gar nicht. Was für ein Stuss.

Also nicht der Staat sammelt, sondern die Website-Betreiber oder besser gesagt die Anbieter von Telemediendiensten. Müssen sie aber nicht. Wenn sie jedoch anderen Menschen ein Forum bieten und diese Beleidigungen einstellen (also das was Andi Popp als "aufgeregte Kommentare" bezeichnet), dann kommen bei einer Anzeige klarerweise die Ermittlungsbehörden und wollen wissen wer das war. Das ist meiner Meinung nach völlig legitim. Das bedeutet auch nicht, dass der Staat speichert oder gar wütend sammelt, sondern dass der Staat seiner Aufgabe nachkommt bei Straftaten zu ermitteln und für Recht zu sorgen.

Sollte er auf die Massenabmahnungen wegen illegaler Verwendung von Tauschbörsen abzielen, so muss klar sein, dass kein Anbieter von Telemediendiensten die IP-Adressen speichert, sondern diese für jeden anderen Teilnehmer an der Tauschbörse sichtbar ist, denn er will ja kommunizieren. Hier ist das Problem aber nicht die Speicherung, sondern die Illegalität der Handlung, wofür eine Lösung gefunden werden muss.

Und jetzt kommt mein Lieblingssatz:

Auch hier muss es ein Recht auf Anonymität geben, wenn auch natürlich kein absolutes.

Aha, ein Recht auf Anonymität also, aber kein absolutes. Was ist denn ein un-absolutes Recht auf Anonymität?
Die Antwort auf diese Frage lässt Andi Popp aber offen, wahrscheinlich weiss er selbst keine. Dabei wäre das doch gerade der interessanteste Punkt an dem ganzen Artikel. Welche Gründe hält er für legitim genug die Anonymität zu beenden?

Fazit

Ich habe vor vier Jahren die Piraten gewählt, weil ich die Themen, die sie ansprachen, wichtig fand. Es war an der Zeit diese Themen ins Licht zu zerren, sie zu diskutieren und Weichen für die Zukunft zu stellen.

Ich werde die Piraten nicht wieder wählen, weil sie ein Haufen planloser Chaoten sind und das Blog-Posting von Andi Popp belegt das ein weiteres Mal sehr eindrucksvoll.

Installing Java7 on Debian Servers

Today I wanted to install Java7 JDK on a server with a very minimal Debian base installtion.

First of all add the WebUpd8 teams repository: (Thanks guys!)

$ sudo bash
# cd /etc/apt/sources.list.d/
# cat > webupd8team-java.list <<__EOF__
deb http://ppa.launchpad.net/webupd8team/java/ubuntu precise main
deb-src http://ppa.launchpad.net/webupd8team/java/ubuntu precise main
__EOF__
# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys EEA14886
# aptitude update
# aptitude install oracle-java7-installer

This is where the trouble started.

aptitude should install a package called oracle-java7-installer. The package starts a download from oracle.com. However wget fails, because of certificate validation errors:

Connecting to edelivery.oracle.com|23.57.114.174|:443... connected.
ERROR: cannot verify edelivery.oracle.com’s certificate, issued by
    “/C=US/O=Akamai Technologies Inc/CN=Akamai Subordinate CA 3”:
    Unable to locally verify the issuer’s authority.
To connect to edelivery.oracle.com insecurely, use ‘--no-check-certificate’.
download failed
Oracle JDK 7 is NOT installed.

Google'ing for the reason I found a lot of people having that problem, but all the "solutions" where oviously wrong like

  • delete apt caches and start from scratch
  • get it from somewhere else
  • ...
The problem is clearly a certificate error and has nothing to do with the package or caches or anything else.

I had another machine where a wget https://edelivery.oracle.com/ had no certificate problems. So, where did wget on that machine get the certificate from?

$ cd /tmp
$ strace wget https://edelivery.oracle.com/ 2>&1 | fgrep open
  [ ... ]
open("/usr/lib/ssl/certs/4d654d1d.0", O_RDONLY) = 4
  [ ... ]

There we are, a hashed file that contains the certificate.

$ ls -l /usr/lib/ssl/certs/4d654d1d.0
lrwxrwxrwx 1 root root 30 Aug 3 17:28 /usr/lib/ssl/certs/4d654d1d.0 -> GTE_CyberTrust_Global_Root.pem
$ ls -l /usr/lib/ssl/certs/GTE_CyberTrust_Global_Root.pem
lrwxrwxrwx 1 root root 65 May 12  2011 /usr/lib/ssl/certs/GTE_CyberTrust_Global_Root.pem ->
        /usr/share/ca-certificates/mozilla/GTE_CyberTrust_Global_Root.crt

Ok, one step closer, but where is that file from? Let's see:

$ dpkg -S /usr/share/ca-certificates/mozilla/GTE_CyberTrust_Global_Root.crt
ca-certificates: /usr/share/ca-certificates/mozilla/GTE_CyberTrust_Global_Root.crt

So back to the other Debian box:

# sudo aptitude install ca-certificates

That still didn't fix the problem as the directory still did not exist and the links weren't in there and the hashes neither. A bit more google'ing and I have learned about c_rehash which is in the openssl package that is installed as a dependency of the ca-certificates package. And here are the final commands:

# mkdir /usr/lib/ssl/certs
# cd /usr/lib/ssl/certs
# chmod 755 .
# ln -s /usr/share/ca-certificates/mozilla/* .
# /usr/bin/c_rehash /usr/lib/ssl/certs
# aptitude install oracle-java7-installer

Et voila! Hope that helps!

Facebook zeigt mir japanische Werbung

Facebook Ad Fail

Anscheinend war am Sonntag etwas mit den Ad-Servern von Facebook nicht so ganz in Ordnung, denn sie haben mir, trotz GeoIP in Deutschland und einer Systemsprache Englisch, stundenlang ausschließlich japanische Werbung eingeblendet.

Dabei kann ich das nicht einmal lesen!

私は理解していない ... oder so ähnlich.

Und da diesmal auf dieser Seite der Seite noch soviel weißer Raum ist, hat auch noch ein Link zum Comic GeoIP von xkcd Platz.