3. September 2008
Der Google Chrome Browser hat ein paar interessante Eigentümlichkeiten, die uns die wahre Intention von Google deutlich zeigen:
- Klar ist natürlich, dass alle Suchanfragen immer automatisch bei Google landen. Irgendwoher müssen die Suchresultate ja kommen.
- Das gleiche gilt vermutlich auch für alle anderen aufgerufenen URLs, da ja sowas wie die Google Toolbar integriert ist.
Ok, das unterscheidet sich jetzt nicht von anderen Browsern, wenn ich so blöd bin, eine Toolbar zu installieren. Egal ob Google, Yahoo oder Ask.com. Aber jetzt kommt der spannende Teil.
Jede Google Chrome Installation hat lt. Datenschutzbeauftragter Online eine eindeutige ID, die bei jeder Anfrage an Google mitgeschickt wird. Dann genügt es einmalig, sich bei irgendeinem Google Dienst (iGoogle, Google Mail, …) anzumelden und Google hat eine eindeutige Zuordnung der Chrome ID zum User. Selbst wenn man nicht angemeldet ist, kann das gesamte Surfverhalten anhand der Chrome ID nachvollzogen werden und die Zuordnung zum realen Nutzer bleibt ja erhalten.
Oder anders ausgedrückt: Mit Google Chrome hat Google bessere Möglichkeiten zur individuellen Profilierung aller Nutzer als je zuvor. Und das ist 100% Evil.Ich weiß schon mal was definitiv nicht auf irgendeinen meiner Rechner kommt!
(via lawblog)
Nachtrag:
Das gilt sogar für jedes einzelne Zeichen(!) das man in die Chrome-Adresszeile eingibt. Jeder Tippfehler landet also auch bei Google. Andreas Krennmair von synflood.at hat das entdeckt und dokumentiert.
Software:
Google Chrome Browser 0.2.149.27
Tested:
Windows XP Professional SP3
Result:
Google Chrome Crashes with All Tabs
Problem:
An issue exists in how chrome behaves with undefined-handlers in chrome.dll version
0.2.149.27. A crash can result without user interaction. When a user is made to visit
a malicious link, which has an undefined handler followed by a ’special‘ character,
the chrome crashes with a Google Chrome message window „Whoa! Google Chrome has crashed. Restart now?“. It lies in dealing with the POP EBP instruction when pointed out by the EIP register at 0x01002FF4.
Proof of Concept:
http://evilfingers.com/advisory/google_chrome_poc.php
Credit:
Rishi Narang (psy.echo)
www.greyhat.in
www.evilfingers.com
(via Milw0rm)
2. September 2008
und soll Chrome heißen. Bei Blogoscoped gibt es die ersten Screenshots und sowohl Heise als auch Spiegel Online hat bereits einen ähnlichen Artikel aus dem ich gerne zwei Sätze zitieren möchte:
„Microsoft hatte erst vor wenigen Tagen die zweite Testversion seines neuen Internet Explorer 8 vorgestellt, der nach Einschätzung von Experten mit den aktuellen Ausgaben von Firefox und Safari mithalten kann. Einige Beobachteter merkten dazu an, neue Datenschutz-Optionen im Internet Explorer könnten Google das Geschäft mit sogenannter Kontext-bezogener Werbung erschweren.“
Google ist böse, der Konzern verschenkt nichts. Wann immer es etwas umsonst gibt, nimmt es sich Google an anderer Stelle wieder. Gmail gibt es nur mit dem Einverständnis, die dort erhaltenen Mails automatisch scannen und Werbung einblenden zu lassen. Das Versprechen Googles, die Mails nicht zu „lesen“ bedeutet außerdem nicht, die Kommunikationsbeziehungen (also wer schreibt wem) nicht zu analysieren. Ich wette, dass in Googles Browser die Google Toolbar integriert ist, die einerseits verhindert, dass andere Toolsbars (von Yahoo, Ask oder anderen Datenspionen) installiert werden können und andererseits das Surfverhalten noch detaillierter an Google zurückmeldet. Und bestimmt kann man die Google-Cookies nicht einfach löschen oder Google Adsense Werbung mit Adblock blockiere.
Wer, außer ein paar Fanboys braucht so einen Browser?
Beate Uhse ist neulich ein wenig schlampig mit ein paar Mailadressen umgegangen. Der Journalist Daniel Große hat es als erstes herausgefunden. Ich verweise daher nur auf sein Blog, da ist alles sorgfältig zusammengeschrieben.
Und jetzt erinnern wir uns an das, was ich vor kurzem hier geschrieben habe. Man findet soooo viel noch bei Google im Cache. Irgendwer muss ja das Arsch sein, warum also nicht ich. Hier ein Link zum Google Cache. Die anderen Dateien könnt ihr euch selber ziehen.
Kann gut sein, dass der Link in ein paar Stunden nicht mehr geht. 🙂
Nachtrag aus den Lawblog-Kommentaren:
„Beate Uhse schickt Werbekataloge nicht an IP-Adressen, sondern Postadressen. Wie an Minna Knallenfalls, Alte Freiheit, 42103 Wuppertal. (Keine Panik, das ist nur eine Bronzefigur in der Fußgängerzone.)“
1. September 2008
und ärgert die armen User, die iGoogle als Homepage verwenden.
Irgendein Schrumpfkopf hat die lustige Entscheidung getroffen, ein neues Webinterface einer ausgewählten Zahl von Nutzern aufs Auge zu drücken. Und vermutlich damit sie statistisch brauchbarere Daten sammeln können, gibt es kein opt-out. Die armen Schweine, die von Google zwangsmissbraucht werden, können nur noch ihre Homepage ändern. Das gibt schöne Kommentare:
- „All I ask is that you PLEASE CHANGE MY HOMEPAGE BACK. I did not ask for these features, and really do not like the changes you have made.“
- „Why can’t we opt out? Are you deliberately trying to annoy us? This is like something from Microsoft.“
- „This is crap, and I would like to opt out. GET ME OUT OF THIS!!!! I am trying to be PRODUCTIVE Google. Not piss around trying to cope with your stupid games.“
Nutzt eigentlich irgendwer freiwillig das iGoogle-Zeug? Ist der ganze Google-Laden wirklich so verrottet?
In USA Today ist ein Artikel erschienen, der zeigt, dass kurz vor der Nominierung der Running Mates Joe Biden (für Barack Obama) und Sarah Palin (für John McCain) massive Änderungen an den beiden Artikeln durchgeführt wurden. Man könnte jetzt darüber spekulieren, ob sich durch geschickte Beobachtung der Wikipedia-Änderung auch andere Nominierungen vorhersagen lassen. In den USA mag das vielleicht funktionieren, dort hat die Politik die Wichtigkeit des Internets erkannt. Ich fürchte jedoch, bei der nächsten Papstwahl versagt das Verfahren 🙂
Im Grunde ist eine solche Beobachtung vergleichbar mit einer klassischen Traffic Analyse. So kann man beispielsweise anhand der E-Mail-Profile wer mit wem kommuniziert in der Regel die Hierarchie eines Unternehmens ermitteln, ohne die tatsächlichen Inhalte der Mails auszuwerten. Ich verweise dazu auf die veröffentlichte E-Mail-Kommunikation des spektakulär pleite gegangenen Enron-Konzerns.
(via Gulli)
31. August 2008
Nun scheint es mit den Klagen der LHC Kritiker gelaufen zu sein … der Europäische Gerichtshof für Menschenrechte hat die Klage von Otto Rössler und Markus Goritschnig abgewiesen. Der Large Hadron Collider ist bereits auf Betriebstemperatur. Ich bin ja mal gespannt, was die Physiker an Erkenntnissen gewinnen.
Darauf ein Bier … Higgs.
30. August 2008
Von VMware gibt es mal wieder ein Advisoriy:
Updates to VMware Workstation, VMware Player, VMware ACE, VMware Server, VMware ESX address information disclosure, privilege escalation and other security issues.
Klingt harmlos, ist es aber nicht. Ein Angreifer in einem virtuellen System kann seine Rechte auf den Hypervisor ausdehnen und dadurch beliebigen Programmcode in jedem virtuellen System ausführen.
Je länger ich drüber nachdenke umso weniger sehe ich breite Anwendungszwecke für Virtualisierung. Alles, auf das Nutzer direkt zugreifen oder sich anmelden können scheidet praktisch automatisch aus. Und dann bleiben nur noch ein paar Server übrig. Kann mir mal irgendjemand den Hype um VMware und den aktuellen Börsenwert erklären?
Langsam sollte es eigentlich auch der letzte wissen:
In die Allgemeinen Geschäftsbedingungen eine Klausel reinzunehmen, dass Kunden in den Empfang von Werbe-SMS und -E-Mails einwilligen ist unzulässig. Das ist laut BGH eine „unzumutbare Belästigung“ der Verbraucher. Da hilft auch ein Kästchen „hier ankreuzen, falls die Einwilligung nicht erteilt wird“ nicht. Verloren haben übrigens die Datenkraken von Payback, die jedoch weiterhin munter alle Daten sammeln und auch an Werbepartner weitergeben dürfen.
Zusammenfassend:
Für normale Briefpost ist das Opt-out zulässig, notfalls muss man sich auf die Robinsonliste des DDV (Antrag, PDF) setzen lassen. Das ist angemessen, weil der Werbetreibende bereit ist gewisse Kosten für die Briefpost aufzuwenden. Alleine diese Kosten beugen einigem Missbrauch vor.
Für alle neuen Medien (Telefon, E-Mail, SMS) bei denen die Verbreitung von Nachrichten für den Werbetreibenden sehr günstig ist, ist das explizite Opt-in notwendig. Wenn (wie z.B. bei Newslettern) eine Anmeldung auch mit fremden Mailadressen möglich ist, bleibt nur das Double-Opt-in Verfahren.
Ach ja, auf die Frage an der Kasse: „Haben sie eine Payback-Karte?“ antworte ich immer mit „Sind sie völlig wahnsinnig? Dies Datenkraken! Da kann ich ja gleich meine Seele an den Teufel verkaufen!“. Das funktioniert recht gut hier in Bayern.
29. August 2008
Ok, ich kenne niemanden sehr viele Privatpersonen und Firmen die McAfee freiwillig auf ihrem Rechner installieren würden. Das ist wie mit Symantec, dessen Norton Antivirus auch mal als gelbe Gefahr bester Virenscanner der Welt bezeichnet wird und den unsere Systemadministratorin und Windows-Guru nicht mal geschenkt sehr gerne auf ihren Systemen installieren wollte. Der McAfee Virenscanner hat auch schon mal natürlich noch nie die Produktionsanlagensteuerungssoftware eines unserer Kunden als Virus eingestuft. Und der McAfee SiteAdvisor warnte lautstark vor irrt sich niemals auch nicht wegen dem Heise Browsercheck der Exploits simuliert.
Jedenfalls hat der Anbieter der gefährlichen Spyware nützlichen Browsertoolbar 7search.com McAfee wegen unfairen Geschäftspraktiken und Rufschädigung verklagt und verlangt Schadenersatz.
Ich finde das ein idiotisches prima Geschäftsmodell. Da könnte man ja auch Viren verbreiten, die sich nur nach Zustimmung einer EULA Endkundennutzungsvereinbarung installieren, die das Reverse Engineering verbietet. Und dann verklage ich die ganze Baggage alle Virenscannerhersteller wegen Verstoß gegen die Lizenzbedingungen.
Das habt ihr nun davon Vorsorglich distanziere ich mich von meiner eigenen Meinung. Ich steh eh heute 3 Meter neben mir.
