Maexotic

Ich erhalte über die Mailserver von vodafone Spam; dummen primitiven Nigerian 419 scam, nur dass diesmal zeitgemäß ein UN-Chemiewaffen-Inspektor, der 38 Millionen USD in Syrien gefunden hat, diese mit mir teilen will.

Schlimm genug, dass deren Systeme sowas durchlassen, aber es kommt noch schlimmer. Schaut man in den Mail-Header sieht man im Klartext die Telefonnummer und damit offensichtlich den Login, der missbraucht wurde:

Received: from outgoing.email.vodafone.de (139.7.28.128)
        by deleted.thinkof.de with SMTP; 20 Oct 2013 18:16:14 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed; d=vodafone.de;
        h=from:to:date:message-id:subject:mime-version:content-transfer-encoding:content-type;
        s=out; bh=6Y1OxxaAELiO+eIBLoYkf8l3mGc1YlXTNXB847equys=;
        b=lbluI7zZ3agomkvkIOQ2ZS+iC01icymN5NgWo9pEcEiTPO52Nni6R13/uf0nofpE2eFeTt
        tfcYjx80Pv9pj7bR9vhPprrfU+fCyBGG4ANXh2/6215zTQjOtv32DKOHQI2bOVaKXqbi/cuiS4ulQBIj
        w+OyBgmXm7O/yXUDiEIVs=
X-Authentication-Info: Sender authenticated as 016243xxxxx@vodafone.de (using Trusted Webmail)
Received: from smtp-05.services.internal.um.d2-net.de ([41.190.2.47]
        helo=Vodafone WebMail envelope-sender=<016243xxxxx@vodafone.de>)
        by SMTPIN-05.smtp.email.vodafone.de with SMTPA
        id 52641DA4.10796.797798; Sun, 20 Oct 2013 20:15:00 +0200
From: 016243xxxxx@vodafone.de

Ob ich da mal anrufe und ihn frage wie das läuft mit Kohle und so?

Begeisterte Piraten haben heute ein Blog-Posting von Andi Popp, Platz 3 auf der Landesliste zur Bundestagswahl beim Landesverband Bayern der Piratenpartei auf twitter verbreitet. Und wieder einmal muss ich mich fragen: "Wovon reden die?"

Unter dem Titiel "Das Recht auf Vergessen werden" lässt Andi Popp sich über das - seiner Meinung nach - "Märchen vom digitalen Radiergummi" aus und dann denkt er wohl er schreibt, was man denn so tun sollte.

Ich habe mir einige Passagen herausgegriffen:

Ich kann mich schon fast überall mit meinem Facebook- oder Google-Account anmelden und wer weiß schon noch, auf wie vielen Seiten er damit erscheint?

Was will er uns damit sagen? Abgesehen davon, dass der Satz an sich für mich schon keinen Sinn macht.
Dass man - ähnlich OpenID oder OAuth - einen der Dienste als Identitätsprovider verwenden kann ist prinzipiell ersteinmal kein Problem. Alles was passiert ist dass man sich über ein Verfahren - ohne dass man ein weiteres Passwort braucht - auf einer Website anmelden kann. Der Anbieter der Website sagt "Wenn Du Dich bei Facebook oder Google oder Twitter erfolgreich anmelden kannst und mir Deine ID (nicht das Passwort!!) gibst, dann kann ich Dich eindeutig identifizieren und dann vertraue ich Dir in gewisser Weise". Da ist noch nicht viel passiert, außer dass man selbst nicht noch ein weiteres Passwort verwalten muss.
Wenn dabei OAuth im Spiel ist, man also eine App authorisiert auf bestimmte Daten beim Identitätsprovider zuzugreifen, geht die Rechtevergabe etwas weiter. Aber genau deswegen gibt es OAuth, um das zu steuern. Darüberhinaus kann man jederzeit einsehen welche Apps man autorisiert hat und das jederzeit abstellen:

• bei Facebook macht man das unter App Settings
• bei Google macht man das auf dem Dashboard spezieller unter Autorisierter Zugriff auf Ihr Google-Konto
• bei Twitter macht man das unter Applications

Schaltet man dort eine "App" ab, hat sie keinen Zugriff mehr auf die Accountdaten.
So einfach ist das und man hat jederzeit den kompletten Überblick, weil die App beim Identitätsprovider registriert sein muss, damit das überhaupt funktioniert. Man hat also immer eine vollständige Liste. Also ich finde das super übersichtlich.

Sollte er mit seiner Aussage meinen, dass durch die ganzen unsäglichen Social Buttons, wie von Facebook, G+, Twitter, reddit, ... die Benutzer transparent für die Dienste werden, weil die Dienste durch den permanenten Abruf ihrer Code-Schnipsel bei anderen Sites die Spur der ohnehin permanent angemeldeten Benutzer verfolgen können, so ist das genau einer der Punkte, den die Datenschützer massiv kritisieren und der ganz klar nicht konform zum BSDG ist. Hier liegt das Vergehen aber primär an den Betreiber der Sites, die diese Code-Schnipsel einbinden, denn sobald die Seite geladen wird, ist das Kind schon in den Brunnen gefallen. Dann hat der Website-Betreiber nämlich den Webbrowser veranlasst, die Daten unerlaubt an Dritte weiterzugeben.

Doch weiter im Text:

Ein vernünftiger Ansatz muss daher darauf abzielen, den Menschen die Möglichkeiten zu geben, die Veröffentlichung sensibler Daten von vornherein zu verhindern.

Das BSDG, das TKG und auch das TMG sind voll von Vorschriften um genau das zu erreichen.
Dazu kommen wir gleich im Detail.

Das beginnt bei einer gesetzlich gebotenen Datensparsamkeit. Es dürfen tatsächlich nur die Daten verlangt werden, die für einen Dienst wirklich benötigt werden. Wenn ein Webshop etwa das Geburtsdatum einer Person verlangt, dann ist das nicht in Ordnung.

Aha, er will also dass Datensparsamkeit im Gesetz verankert wird. Das ist eine gute Idee und weil es eine gute Idee ist:

BDSG § 3a Datenvermeidung und Datensparsamkeit
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

TMG § 14 Bestandsdaten
(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten).

Wenn also ein Betreiber "Daten sammelt" und jemand meint, das sei unverhältnismässig, darf er sich gerne an die zuständige Datenschutzbehörde wenden. In Bayern ist das für den nicht-öffentlichen Bereich das Bayerische Landesamt für Datenschutzaufsicht.

Zu der seiner Meinung nach unverhältnismässigen Erhebung von Geburtsdaten bei einem Webshop ist zu sagen, dass es nicht unverhältnismässig ist. Zum einen gibt es Artikel, die nur Personen bestimmter Altersgruppen zugänglich gemacht werden dürfen. Zum anderen ergeben sich für den Betreiber des Webshops aufgrund von beschränkter Geschäftsfähigkeit Risiken, die er durchaus mindern darf. Niemand wird einem 10jährigen Kind in einem Geschäft für Unterhaltungselektronik einen Fernseher für 500 € verkaufen, selbst wenn das Kind das Geld bar dabei hat. Wenn allerdings der Jupiter-Markt meinen Familienstand wissen will, dann geht ihn das wirklich nichts an, aber dafür gibt es eine gesetzliche Regelung (siehe oben).

Aber man muss diese Idee weiter ausbauen, zu einem gesetzlich garantierten Recht auf Anonymität.

Es gibt einen Beschluss des Ersten Senats des Bunderverfassungsgerichts vom 24. Januar 2012 - 1 BvR 1299/05. Das Ergebnis ist, es gibt kein Recht auf anonyme Kommunikation, denn
"Die hiermit erstrebte Verbesserung staatlicher Aufgabenwahrnehmung insbesondere im Bereich der Strafverfolgung, der Gefahrenabwehr und der nachrichtendienstlichen Tätigkeiten ist ein legitimer Zweck, der einen Eingriff in das Recht auf informationelle Selbstbestimmung grundsätzlich rechtfertigen kann."
Das Urteil ist auf einige Punkte des TKG zugeschnitten. Andre Meister schreibt dazu bei netzpolitik.org "Bundesverfassungsgericht urteilt: Es gibt kein Recht auf anonyme Kommunikation".

Abgesehen davon legt der Gesetzgeber durchaus Wert darauf, dass Dienste anonym oder zumindest pseudonym genutzt werden können:

TMG § 13 Pflichten des Diensteanbieters
(6) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat am 14. Dezember 2012 eine Anordnung gegen Facebook mit Androhung eines Zwangsgeldes in Höhe von 20.000 Euro erlassen, weil Facebook genau dieser gesetzlichen Regelung nicht nachkommt und im Gegenteil seine Benutzer zwingen will Anonymität oder Pseudonymität aufzugeben.

Völlig egal, welche Regeln wir für Datenschutz im Netz und kommerzielle Webdienste etablieren, sie helfen alle nichts, wenn der Staat seine Datensammelwut nicht einschränkt. Es nützt nichts Facebook das Datensammeln zu verbieten, wenn bei jedem aufgeregten Kommentar sofort der Anschlussinhaber der IP-Adresse ermittelt wird.

Jetzt bin ich vollends verwirrt.

Der Staat sammelt IP-Adressen bei Kommentaren irgendwo, um den Anschlusssinhaber zu ermitteln? Wie er das wohl zB. bei meinem Blog macht?
Eben! Das macht er gar nicht. Was für ein Stuss.

Also nicht der Staat sammelt, sondern die Website-Betreiber oder besser gesagt die Anbieter von Telemediendiensten. Müssen sie aber nicht. Wenn sie jedoch anderen Menschen ein Forum bieten und diese Beleidigungen einstellen (also das was Andi Popp als "aufgeregte Kommentare" bezeichnet), dann kommen bei einer Anzeige klarerweise die Ermittlungsbehörden und wollen wissen wer das war. Das ist meiner Meinung nach völlig legitim. Das bedeutet auch nicht, dass der Staat speichert oder gar wütend sammelt, sondern dass der Staat seiner Aufgabe nachkommt bei Straftaten zu ermitteln und für Recht zu sorgen.

Sollte er auf die Massenabmahnungen wegen illegaler Verwendung von Tauschbörsen abzielen, so muss klar sein, dass kein Anbieter von Telemediendiensten die IP-Adressen speichert, sondern diese für jeden anderen Teilnehmer an der Tauschbörse sichtbar ist, denn er will ja kommunizieren. Hier ist das Problem aber nicht die Speicherung, sondern die Illegalität der Handlung, wofür eine Lösung gefunden werden muss.

Und jetzt kommt mein Lieblingssatz:

Auch hier muss es ein Recht auf Anonymität geben, wenn auch natürlich kein absolutes.

Aha, ein Recht auf Anonymität also, aber kein absolutes. Was ist denn ein un-absolutes Recht auf Anonymität?
Die Antwort auf diese Frage lässt Andi Popp aber offen, wahrscheinlich weiss er selbst keine. Dabei wäre das doch gerade der interessanteste Punkt an dem ganzen Artikel. Welche Gründe hält er für legitim genug die Anonymität zu beenden?

Fazit

Ich habe vor vier Jahren die Piraten gewählt, weil ich die Themen, die sie ansprachen, wichtig fand. Es war an der Zeit diese Themen ins Licht zu zerren, sie zu diskutieren und Weichen für die Zukunft zu stellen.

Ich werde die Piraten nicht wieder wählen, weil sie ein Haufen planloser Chaoten sind und das Blog-Posting von Andi Popp belegt das ein weiteres Mal sehr eindrucksvoll.

Heute hat mir Facebook mitgeteilt, dass sie glauben mein Account wäre nicht gut genug geschützt und ich sollte doch meinen Account sicherer machen. Das fand ich so spannend, dass ich mir einmal angesehen habe, was sie denn denken, wie ich ihn sicherer machen könnte.

Nachdem ich erneut mein Passwort eingeben musste (immerhin!), erwartete mich diese Seite
(rechts oben kann man sehen, dass mein Account sowas von dermassen unsicher ist, klar!):

Contact Email

Als nächstes zeigen sie mir, welche E-Mail-Adressen mit dem Account verknüpft sind. Da diese Adressen - neben dem Passwort - zugleich ein Teil der Zugangsinformation sind, habe ich sie anonymisiert. (Das in der dritten Zeile ist nicht vorname.nachname@maexotic.de, das für alle Spielkinder vorneweg.)
Facebook hat insofern recht, dass da zwar drei E-Mail-Adressen stehen, aber nur zwei davon würden helfen (die dritte ist ja die Facebook Adresse) und die beiden anderen sind in einer Domain. Wenn also die Domain weg wäre und ich mein Passwort vergessen hätte, dann hätte ich ein Problem, aber nur dann.
Eine weitere Adresse hinzuzufügen, die nicht @maexotic.de wäre, wäre also für den Fall dass ich mein Passwort vergessen habe hilfreich. Zugegeben. Aber: warum soll ich ein Passwort vergessen, dass ich beinahe täglich eingebe? Nun ja ...

Mobile Phone

Klar, sie wollen, dass ich die (IMHO total kaputte) Mobile Phone App benutze. Da man einwilligt, dass die App auf so ziemlich alles zugreifen kann, was das Telefon so bietet, ist das ein ganz tolles Ding.
Sicherheit? Die App auf dem Telefon speichert natürlich auch das Passwort, wäre ja unbequem, das jedesmal eingeben zu müssen. Also wenn ich mein Passwort vergessen hätte, könnte ich trotzdem über die Mobile Phone App noch auf Facebook zugreifen. Da sie dann auch die Mobile Nummer kennen, könnten sie mir sogar eine SMS schicken.
Aber was, wenn ich das Telefon verliere oder verloren werde? Tja, dann ist Facebook offen. Dann kann derjenige, der mein Telefon hat, auf alle meine Facebook Informationen zugreifen und die aller meiner Freunde. Der kann dann meine Zugangsdaten und die E-Mail-Adressen ändern. Und wenn es echt blöd läuft steht sogar dass Passwort dechiffrierbar auf dem Telefon. Zugegeben, das habe ich jetzt nicht kontrolliert, aber alles andere würde mich wirklich verwundern, selbst wenn sie mit OAuth2 für die App rumhantieren würden.
Erhöht meine Sicherheit also echt voll. Vor allem, weil viele Leute ihr Passwort nicht nur für einen Zugang verwenden.
Andernfalls müsste man sich ja tatsächlich mehr als ein Passwort merken. Zusätzlich zur EC-Karten-Pin wohlgemerkt. Ach!? Echt das gleiche?

Security Question

Das ist in allen "Sicherheitssystemen" immer mein absoluter Liebling!
Alleine daran, dass sie die Sicherheitsfragen vorgeben, erkennt man, dass sie keinen Peil haben. Ein Challenge-Response Verfahren funktioniert in so einem Kontext nur, wenn ich mir beides selbst ausdenken kann, die Frage und die Antwort.. Mir ist natürlich klar, warum sie das machen: sie wollen verhindern, dass Leute sich so tolle Sicherheitsfragen ausdenken wie:

Frage: Wie heisst Justin Bieber mit Vornamen?
Antwort: Justin

So, jetzt haben wir alle einmal gelacht (auch wenn sowas traurigerweise in dieser Qualität vorkommt) - und jetzt schauen wir uns die Fragen an, die Facebook bereithält. Davor müssen wir uns aber über eines im Klaren sein:

Facebook ist ein System ist, in dem ich alle meine Freunde, die Familie, Klassenkameraden usw.
unterbringen und verknüpfen soll.

Jetzt nehmen wir mal einen ehemaligen Klassenkameraden, den (früher) besten Freund/beste Freundin, ein etwas entfernteres Familienmitglied (Cousin, Cousine), irgendjemand, mit dem man sich gerade gezofft hat und die jetzt richtig sauer sind - oder sich auch nur einen Spaß machen wollen. Sind für diese die Fragen unlösbar oder sehr schwierig oder eher einfach bis gar kein Problem?. Und dann müssen wir die Frage stellen:

Für wieviele von Deinen Freunden auf Facebook wäre es ein Problem
alle oder zumindest die meisten der Fragen richtig zu beantworten?

Das Problem ist aber noch viel weitreichender als man denkt. Ich habe oben immer "Facebook" als Einschränkung verwendet. Aber warum eigentlich?
Ist es nicht egal ob derjenige auf Facebook ist?

• Facebook Accounts (die meisten) lassen sich über Google auffinden. Damit ist schon klar, wer ich sein will.
• Bist Du bei Stayfriends oder hast Du Deine Schulgeschichte irgendwo anders hinterlegt? Vielen Dank, das macht das mit den Lehrern schon einmal sehr viel leichter.
  Nicht dass die Beantwortung dieser Fragen für einen Mitschüler jemals ein Problem gewesen wäre.
• Genealogie (Ahnenforschung) ist ja sowas von toll. Auch mitgemacht? Daten hinterlegt (oder jemand anders) über Vater, Mutter, Großeltern? Deren Geburts-/Sterbedaten, Geburts-/Sterbeorte, Berufe?
  Autsch! Habe ich schon gesagt, dass das Internet toll ist?

Sichererer? [*]

Tja, liebes Gesichtsbuch, da denke ich fahre ich mit meinen momentan bei euch hinterlegten Daten (einer E-Mail-Adresse nur für Facebook und ein ziemlich langes Passwort) dann doch am sichersten. Auch wenn ihr das offensichtlich anders seht.

Post Scriptum

Der Hinweis von @ruebezahl - Danke dafür! - hat mich dann noch zu dem Blog-Artikel "Your Facebook Account has Three Passwords" gebracht. Der Workaround den Facebook macht, um die Supportkosten für Benutzer zu eliminieren, die CAPS LOCK anhaben, führt dazu, dass sie den Pool möglicher Passwörter halbiern. Ein Geschenk an die Cracker. Dabei gibt Facebook selbst an, dass täglich ca 600.000 Logins über kompromittierte Accounts erfolgen. Graham Cluely von Sophos schreibt darüber in "600,000+ compromised account logins every day on Facebook, official figures reveal".
Und wir wissen nun woher das kommt. Zumindest zum Teil.

Stickers, like the one in the image to the right, can be seen in windows of branch offices of a bank here in Munich throughout the city.

In case you don't know, this is a QR-code (Quick Response code), a 2-dimensional bar code, which can store an amazing amount of information.
Despite the fact that the code was invented in 1994 already, it became widely used since about 2007. As most mobile phones have a camera it was obvious to have a code to encode information like URLs in and a program that scans the code from the camera and hands it over to a web browser. This mobile tagging is quite popular and so the marketing department of the bank probably decided to use it to "go mobile". So it isn't much astonishing that the QR-code links to a mobile website of that bank.

QR-codes are also very fault tolerant, so one can turn it into very nice badges, which are still functional. The article »SnapTags: Will they kill QR codes?« of the folks over at webdesignerspot.com has some nice examples for this.

The problem however is that QR-codes aren't human readable at all. As the sticker of the bank is on the outside of the window it can be very easily replaced or modified and the link will lead one to a totally different site.

Above are three examples of QR-codes of websites. Do you think you can memorize one of the codes in a way that you can locate it again by heart from a larger set or even notice changes? I for sure cannot.

So what will happen if you replace or modify the QR-code of the bank in some highly frequented public locations to point to a website with critics about that bank or to a sex website? Will they notice? How long will it take them to notice? How big will the damage be?

How about if the link leads to a website installing some virus, trojan horse or key logger app on the mobile phones. It must be save, the bank has it on their window, so they guarantee for the security, right? Maybe this is some fancy banking promo app, so yes, people will install it.
Will the bank be held liable for damage?

The primary goal of any Social Network like Facebook is of course: to connect people. So, if you upload images of you and your friends to Facebook, needless to say there is a possibility to mark your friends in the photos and add their names. And of course this information is spread to your friends that got tagged and - depending on their privacy settings - also to their friends: "Bob was tagged in Alice's album" [1].

A few weeks ago I noticed a large increase of those messages regarding friends that are pretty active photographers and have a large network of photographers on Facebook. The strange thing about those messages was, however, that my friends didn't show up on those images.

With the increasing number of those messages I first thought this was some Facebook group game, but then noticed that it was a kind of clever way to spread one's own images to a larger group, usually to all friends of friends. This is an enormous multiplier. Facebook limits the number of friends one can tag in an image to 30. If everyone of those 30 friends has 100 friends, you spread your image to about 3000 people's walls. Wow!

This is a feature with a potential too high for spammers not to notice. So it didn't take too long for a message like the following to appear on my wall:

Going to the image page I could see it was indeed an event poster and 30 people were tagged. Looking at the images's album revealed this album contained that same image about 60 times and each of the images had another 30 people tagged.

Using the same assumption as above (100 friends per user) means that 60 * 30 * 100 = 180.000 messages were posted to people's walls. Even given the fact that probably a lot of those tagged "friends" share friends and thus the spammers did not reach 180.000 different people, even 10% ie. 18.000 different people is a really wide distribution. They didn't have to hijack computers or pay anything for that. Facebook provides the whole infrastructure.

Solutions

The only real solution to this problem has to come from Facebook. They have to change the way these messages are spread. Instead of having a global distribution setting for all those kinds of messages, there should be a setup similar to messages from other people's walls: if someone tags you in an image in their album the message is sent to your wall. The message should then have a "Share" option, which would allow you to spread those message to your (selected) friends.

Until then I would recommend to

1. go to the page of the image and untag yourself. You can always remove tags of yourself from every image.
2. terminate your friendship with that person or unlike the page if it is an event page or a fan page.
3. report them to Facebook for being spammers.

If you don't want these kinds of messages ever to be spread to your friends go to
Account > Privacy Settings > Customize settings
Scroll down to "Things others share" and edit the setting of "Photos and videos you're tagged in" to "Only me".

DNS is a core technology of the Internet since 1987, when P. Mockapetris published RFC 1024: "Domain Names - Concepts and Facilities". DNS-Servers all over the Internet translate names to addresses, serve Mail eXchanger information, LOCation data and - amongst others - since 2000 there is RFC 2782: "A DNS RR for specifying the location of services (DNS SRV)".

In February 2010 Facebook opened up their WebChat via XMPP so you can have it in your instant messaging client. XMPP uses DNS SRV RRs to find servers. If your XMPP account is joe@im.example.com (yes, it looks like an email address) clients would query the DNS for a SRV RR of

_xmpp-client._tcp.im.example.com

and the answer would either be NXDOMAIN, if no such service / resource record exists or something like

_xmpp-client._tcp.im.example.com.  300  IN  SRV  100  100  5222  chatserver.example.com.

The client would then connect to the host chatserver.example.com on port 5222. If no SRV records exists the client would try im.example.com as a host and the default port 5222.
Zillions of XMPP servers all over the Internet work that way.

Now let's take a look at Facebook. All chat addresses have the form user@chat.facebook.com (as mentioned on "Facebook Chat. Everywhere"). So, clients do a DNS SRV lookup for chat.facebook.com:

$ dig _xmpp-client._tcp.chat.facebook.com. srv
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34540
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; ANSWER SECTION:
_xmpp-client._tcp.chat.facebook.com. 30	IN CNAME chat.facebook.com.

Woopsie! A NOERROR response with an answer type (CNAME) undefined for a SRV query. And it doesn't even make sense, either.
Using a different DNS cache server (BIND instead of djbdns) even gives:

;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 50544

I guess most clients can handle that, at least pidgin can. Nevertheless it is another example how Facebook is messing up their DNS and also their chat. And I thought it couldn't get worse as their XMPP server don't support SSL/TLS for secure communication.

★ Oh, for a pro! ★

Squid ist ein recht weit verbreiteter OpenSource Proxy/Cache Server. Im Falle eines Fehlers generiert der Server eigene Fehlermeldungen, die zB. so aussehen:

Das Unschöne an dieser Sache ist das Bild links oben. Das kommt nämlich nicht vom Proxy Server selbst (zB. per inline data) sondern es wird über einen Verweis auf http://www.squid-cache.org/Artwork/SN.png eingebunden. Das bedeutet, dass jeder Fehler einen Abruf des Bildes triggered und damit IP-Adressen, Browserversionen ua. preisgibt.
Auch wenn ich jetzt nicht glaube, dass squid-cache.org diese Daten missbräuchlich verwendet, ist es dennoch unschön und lässt sich recht leicht beheben.

In der Datei localprefix/etc/squid/errorpage.css findet sich die Anweisung

background: url('http://www.squid-cache.org/Artwork/SN.png') no-repeat left;

mit deren Hilfe das Bild eingeblendet wird. Kopiert man sich nun dieses Bild in einen Bereich auf dem lokalen (Intranet-)Webserver und ändert diese Anweisung entsprechend, zB.:

background: url('http://INTRANETSERV/www.squid-cache.org/Artwork/SN.png') no-repeat left;

hat man wieder etwas mehr Kontrolle über seine Daten zurückerlangt.

Telegraph.co.uk berichtet "Hundreds of laptops owned by Whitehall departments lost or stolen in two years". Im Rahmen des britischen "Freedom of Information" Act hat ein Auskunftsersuchen ergeben, dass

Between June 2008 and the end of May this year [2010], more than 500 laptops were lost or stolen from 11 departments.

Freedom of Information disclosures showed that 518 laptops, 131 BlackBerrys or iPhones, 104 mobile devices and 932 electronic storage devices went missing over the past two years

Da ist es nicht verwunderlich, dass Großbritannien laufend von Datenschutzskandalen erschüttert wird.

Doch wir in Deutschland sollten nicht zu hämisch in Richtung Insel schielen. In einem Bericht titelte das Hamburger Abendblatt im April 2008 "Hunderte Computer beim Bund gestohlen"

Von 2005 bis 2007 sind in den Bundesbehörden 189 Computer, 326 Laptops, 38 Speicher-Sticks und 271 Handys samt sensibler Daten verschwunden.

Berühmtestes deutsches Opfer mit gleich zwei Laptops war die damalige Justizminsterin Brigitte Zypries "Mysteriöser Einbruch bei Zypries" (Quelle: Focus Online). Auch Deutschland hat ein Informationsfreiheitsgesetz (Gesetz zur Regelung des Zugangs zu Informationen des Bundes). Interessierte können sich also jederzeit aktuelle Daten besorgen, leider ist die Auskunft aber mit bis zu € 500 an Kosten verbunden.

Und auch im Nachbarland Österreich werden Politiker anscheinend gezielt bestohlen "Laptops führender Beamter im Umweltministerium gestohlen" und auch sonst geht einiges verloren "Notebook-Schwund in den Ministerien" (Quelle: ORF Futurezone, 2008).

Gemäß den Antworten auf die Anfrage Maiers waren es in Summe 82 Notebooks und 14 PCs, die in den letzten drei Jahren [2005-2008] aus der Obhut der heimischen Ministerien verschwanden.

---

Neben den enormen Kosten, die sich alleine in Deutschland auf ca. eine halbe Million Euro beliefen, enthielten die Geräte auch jede Menge an teilweise vertraulichen Daten. Natürlich betonen alle Ministerien, dass alle Daten geschützt sind, weil sie mit Hardware oder Software verschlüsselt und gesichert sind. Eine Gefahr bestünde daher nicht.

Mein Lieblingscomic trifft es ganz präzise: