10. Dezember 2007
Es gibt offensichtlich ein paar Hersteller die ihre Produkte so bewusst und vorsätzlich am Kundenbedarf vorbei entwickeln, bei denen darf man ja gleich gar nichts mehr kaufen. Bis vor einiger Zeit habe ich Dell dazu gezählt aber inzwischen haben zumindest die gelernt, dass man Server und Notebooks auch mit alternativen Betriebssystemen wie Linux verkaufen sollte.
Statt dessen gibt es ein paar andere krass schwarze Schafe für die es meiner Meinung nach nur den „Finger weg!“-Hinweis geben kann.
Western Digital
Western Digital verkauft ein NAS (Network Attached Storage), das eine große Anzahl von Multimedia-Dateitypen einfach nicht ausliefert, wenn der Zugreifende mit anderen Logindaten angemeldet ist als der Speichernde. Dazu gehören u.a. AVI, DVI, MP3, MPG, MOV, OGG, WMA und WMV. Wenn ich also mit meiner eigenen Digitalkamera ein Video der letzten Geburtstagsfeier aufnehme, dann kann mein Bruder die vom NAS nicht abrufen. Die fadenscheinige Begründung von Western Digital: Die Lizenzrechte dieser Dateitypen seine unüberprüfbar. Wer akzeptiert und richtet denn solche Beschränkungen ein? Hallo Western Digital, hier meine klare Ansage: Western Digital kommt mir nicht mehr in die nähere Produktauswahl. Meine Meinung: Finger weg!
Seagate
Seagate verkauft USB-Festplatten, die mit NTFS formatiert sind (ok, eine kleinere Hürde für Linux-Anwender die mit mkfs umgehen können) aber leider eine Stromsparoption haben, die nur mit Windows funktioniert. Sowohl Linux als auch MacOS X (und dann vermutlich auch xBSD) kommen mit dem Abschalten und Wiederanschalten von USB nicht zurecht, weil die Platte sich dann als USB 1.1 anstatt USB 2.0 meldet. Und die lapidare Aussage des Seagate Supports ist, die Platte unterstützt halt kein Linux. Hallo Seagate, hier auch für Euch meine klare Ansage: Seagate kommt mir nicht mehr in die nähere Produktauswahl. Meine Meinung: Finger weg!
Weitere Hersteller mit Produkten von denen man besser die Finger weg lässt folgen in unregelmäßiger Folge.
9. Dezember 2007
Ich habe inzwischen alle Beiträge auf diesem Blog mit Tags versehen. Die Tags werden unterhalb jedes Artikels eingeblendet und sind einfach nur Schlagwörter zu den Artikeln. Sie können praktisch wie Kategorien verwendet werden. Vielleicht findet so der eine oder andere leichter zu den Themen die ihn interessieren. Die Kategorien sind dafür nicht umfangreich und detailliert genug.
Aber keine Sorge, ich möchte so schnell keine Tag Cloud einblenden. Das ist ja sowas von 2006 😉
8. Dezember 2007
Ich habe neulich bei der Durchsicht des neuen Telepolis-Hefts schon Prof. Beyerer vom Fraunhofer IITB kritisiert, der glaubt alles wäre gut, sicher und toll und bemängelt, es gäbe generell von Fraunhofer praktisch keine relevanten und brauchbaren Veröffentlichungen zur IT-Sicherheit in kritischen Infrastrukturen.
Jetzt durfte sich Prof. Beyerer bei Spiegel Online (der Link fliegt wieder raus, sobald der Artikel Geld kostet!) auslassen:
„Der Informatiker Jürgen Beyerer plädiert dafür, so manche Ergebnisse geheim zu halten.“
Ich nehme an, er meint da insbesondere seine eigenen. Die sind so gut, so toll und so fortschrittlich, die müssen geheimgehalten werden weil wenn die Bösen(TM) seine Forschung in die Finger bekommen würden, dann würde natürlich die Welt untergehen.
Und dann seine Kernaussage:
„Sicherlich muss man für Sicherheitsforschung an besonders sensiblen Themen, deren Ergebnisse man einer breiten Öffentlichkeit nicht im Detail zugänglich machen möchte, Kontrollmechanismen festlegen, die wissenschaftliche Qualität und prinzipiell gesellschaftliche Akzeptanz sichern. Die Beteiligten bei der Sicherheitsforschung für kritische Infrastrukturen – Wissenschaftler, Betreiber kritischer Infrastrukturen, Bedarfsträger, Fördermittelgeber, öffentliche Auftraggeber und Politik – bilden auch selbst schon eine recht große Community, in der meines Erachtens sehr verantwortungsbewusst auch kritische Fragen, insbesondere Fragen der gesellschaftlichen Akzeptanz, diskutiert werden. Man sollte daher die Kontrollmechanismen innerhalb dieser Community nicht unterschätzen und auch darauf vertrauen.“
Den Absatz sagt eigentlich alles über das Verständnis von Prof. Beyerer aus. Der Staat soll seine Arbeit finanzieren (das sind die öffentlichen Auftraggeber, also der Steuerzahler) und ein möglichst kleines Konsortium kontrolliert die Geldvergabe (an sich selbst) und die Veröffentlichung der Ergebnisse. Unternehmen aus der freien Wirtschaft kommen in seinem staatlich gelenkten Weltbild schon gar nicht mehr vor. So wird jedem Dritten die Möglichkeit genommen, die Verwendung der Gelder zu kontrollieren aber dafür ist die Welt von Hr. Beyerer ein wenig sicherer.
Ich hoffe die Haltung von Prof. Beyerer ist nicht repräsentativ für die gesamte Fraunhofer Gesellschaft.
zumindest die klassischen Spiele … wie schön 😉
Und Commander Keen spiele ich immer noch gerne. Das läuft sogar auf meinem XP. Erinnert sich eigentlich noch jemand an den Dopefish?
Ich brauche noch eine Kategorie „Nostalgie“ glaube ich. Oder ich werde alt.
Das MIT stellt schon seit geraumer Zeit diverse Vorlesungen und Kurse für Studenten unter dem Titel MITOpenCourseware online. Weil ich den Link immer wieder verliere stelle ich ihn hier erstmal rein 🙂
Die Kurse decken wirklich alle Bereiche ab, auch wenn die am häufigsten gesehenen Kurse aus den Bereichen Physik und Chemie kommen. Ein paar echte IT-Perlen sind jedoch auch dabei:
- Den Kurs 6.857 Network and Computer Security finde ich beispielsweise recht interessant. Alleine das Einstiegsbild mit dem SSL-Handshake schreckt bestimmt schon ein paar Verzagte ab. Andererseits finde ich diese Grafiken immer recht hilfreich um zu zeigen, wie kompliziert IT-Security insgesamt und SSL im speziellen sein kann.
- 6.875 Cryptography and Cryptanalysis kommt auch nicht schlecht aber da wird es schon richtig kompliziert. Das ist dann nur noch für Profis und solche die es werden wollen. Ich glaube, wenn ich die Hälfte davon verstehe bin ich schon zufrieden.
- Und eine Vorlesung die ich auch gerne empfehle ist diese: 6.171 Software Engineering for Web Applications. Es treten so viele Sicherheitslücken in Webapplikationen auf, da braucht es definitiv etwas mehr Software Engineering.
Einziger Nachteil: man braucht sehr viel Zeit, das alles zu Lesen.
Und wem das alles nicht taugt, der findet vielleicht hier etwas. Gödel, Escher, Bach irgendwer? Oder lieber The Anthropology of Computing?
7. Dezember 2007
Ich weiß gar nicht, ob ich einen Artikel über Paypal schreiben will. Ich weiß einfach viel zu wenig über diesen Dienst und das wenige, das ich weiß ist so, dass ich Paypal vermutlich niemals verwenden werden.
Paypal Phishing
Phishing bei Paypal ist viel zu einfach.
Daran ist Paypal indirekt mit Schuld. Das Login mit einem selbst gewählten Login und Passwort ohne TANs macht es Hackern einfach viel zu leicht, notwendige Daten abzufangen. Jede normale Bank wäre dadurch längst in die Haftung geraten aber die AGB von Paypal scheinen jeden Schmu abzudecken. Mir persönlich wäre es viel zu gefährlich, da in irgendetwas unerwünschtes hinein zugeraten.
Paypal Zwang
Der Ebay-Konzern zu dem Paypal gehört versucht mit Gewalt, Nutzer an seinen hauseigenen teuren Zahlungsdienst zu binden. Heise schreibt dazu:
„eBay nutzt offenbar den Hype um Apples iPhone, um Verkäufer zu zwingen, sich beim Bezahldienst Paypal zu registrieren und diesen als Bezahlweise anzubieten: Bei der Online-Auktion dürfen nur PayPal-Mitglieder Apples iPhone in einer Versteigerung anbieten. Paypal ist ein Tochterunternehmen des Online-Marktplatzes und trägt nicht unerheblich zu dessen Umsatz bei. Bislang war es Verkäufern freigestellt, ob sie den Bezahldienst nutzen, bei dem außer Einstellungsgebühr und Verkaufsprovision noch zusätzliche Transaktionskosten anfallen.“
Eine einfache Überweisung in Deutschland kostet mich (ein geeignetes Konto vorausgesetzt) gerade mal gar nichts, bei Paypal ich weiß gar nicht wie viel der Überweisung. Im Hinblick auf die real anfallenden Kosten empfinde ich das persönlich schon nahe an der Wucher, egal wie legal das alles noch ist.
Paypal Datenschutz
Der Datenschutz bei Paypal ist leider nicht wirklich existent. Statt dessen ist Paypal immer sehr schnell um persönliche Daten zu sammeln, die Paypal nun wirklich nichts angehen:
Um meine beiden Paypal Konten (werden gewerblich genutzt) mit 1000 Euro Guthaben nach einer vollkommen unverhofften Sperrung im Januar wieder freigeben zu können, musste ich PayPal folgende Sachen schicken: Telefonrechnung, Ausweiskopie, Gewerbeschein und Stromrechnung […]
Und was passiert mit diesen Daten? Nun, Paypal gehört Ebay und zu den Datenschutzbestimmungen von Ebay schreibt beispielsweise die Deutsche Vereinigung für Datenschutz, dass sie vollkommen unzureichend sind.
„Besonders unangenehm ist allerdings die Tatsache, dass Ebay sich erlaubt, sämtliche erhobenen Daten an Dritte weiterzugeben. Vor allem das Versatzstück „zur Abwehr von Gefahren für die staatliche (…) Sicherheit“ sollte bei jedem Datenschützer die Alarmglocken klingeln lassen“
Aha. Das begeistert mich.
Paypal Sicherheitslücken
Leider ist Paypal selbst nicht gerade der sicherste Dienst. Alle paar Ecken tauchen neue Probleme auf. Mal ist es der Security Key, der nicht funktioniert. Dann werden über Paypal die eBay-Kundendaten abgephischt (und wenn sogar das ZDF berichtet, dessen Zielgruppe ja bekanntlich der „Silver Surfer“ ist, der wenig mit Ebay zu tun hat, dann muss es wirklich dramatisch sein. Die Warner von Falle Internet decken regelmäßig Sicherheitsprobleme auf, die mit Ebay und Paypal zu tun haben. Beispielsweise hier:
„Dieser (teilweise unkenntlich gemachten) Codezeile ist zu entnehmen, dass hier ein Programmmodul (cgi-xxx/webscr) der US-amerikanischen Website von PayPal mit dem Befehl aufgerufen wurde, um Daten zu dem eBay-Mitgliedskonto der angegebenen Variable buyer zu liefern.“
Alleine diese extreme Verknüpfung der Datenbanken von Paypal mit der von Ebay macht mir schon Sorge. Wenn an einer Stelle ein Problem auftritt gibt es an allen Ecken ein Problem.
Paypal Schweinereien
So schnell wie Paypal Konten sperrt und dann das Geld einbehält wäre jede andere Bank pleite. Es lohnt sich, dazu den Wikipedia-Artikel zu Paypal und insbesondere die Kritik dazu zu lesen:
„Immer wieder treten im Internet in einschlägigen Foren und Zeitschriften Berichte darüber auf, dass Paypal die Konten seiner Nutzer sperrt, wenn nur der geringste Verdacht besteht, der Kunde gehe terroristischen Aktivitäten nach, oder auch beim behaupteten Verdacht betrügerischer Aktivitäten. Dies trifft auch viele unschuldige Personen, die dann vom Zugriff auf ihr Guthaben ausgeschlossen sind.“
Wenn meine Bank mein Konto sperren würde, alleine auf den vagen Verdacht oder die vage Anschuldigung, ich sei eventuell vielleicht möglicherweise aber doch nicht sicher ein Betrüger … zum Glück gibt es hier noch eine halbwegs funktionierende Bankenaufsicht. Auch wenn wir von ähnlichen Willkürentscheidungen in Deutschland nicht mehr weit entfernt sind.
Fazit
Ich glaube, das kann einfach und kurz ausfallen … Finger weg!
6. Dezember 2007
Wo immer mögliche Nutzer Informationen aufnehmen wollen, sind die Spammer nicht weit. Das betrifft neben E-Mail natürlich auch und im besonderen, Wikis (Wikipedia kann zu Linkspam ein spezielles Lied singen), Foren und natürlich auch Blogs. Ok, man kann zur Definition von Blogspam unterschiedlicher Meinung sein. Ganz eindeutig Spam sind jedoch die diversen Verlinkungen zu Webseiten die Viagra oder sonstigen gefälschten Unsinn verscherbeln wollen.
Akismet hat dazu eine nette Grafik veröffentlicht, die regelmäßig aktualisiert wird:
Ich finde das durchaus interessant, weil sich das so gar nicht mit meiner eigenen Erfahrung deckt. Dieses Blog hat seit Anfang April bei 369 Beiträgen gerade mal 215 Spamkommentare bekommen. Ok, vielleicht ist das hier alles so uninteressant aber ich denke, gegen den Spam helfen mir hauptsächlich zwei Einstellungen:
- Ich sperre bei Artikeln immer sofort die Kommentarfunktion, sobald ein erster Spameintrag erschienen ist. Bisher war es bei Spamkommentaren immer so, dass ein Beitrag (vermutlich über eine Suchmaschine) zufällig ausgewählt und dieser dann in kurzer Folge mit immer neuen Spameinträgen zugeballert wurde. Wenn das Kommentieren nicht mehr möglich ist, erscheint natürlich auch kein Spam mehr.
- Alle Links in den Kommentaren sind mit „nofollow“ gekennzeichnet, d.h. sie werden von Suchmaschinen nicht weiterverfolgt. Dadurch sinkt das Interesse an Linkspam, weil diese Links ignoriert werden und daher wertlos sind. Die Diskussion zu nofollow und Linkspam kann man im SEO-Lexikon schön verfolgen. Wenn da einer schon extra darauf hinweist, das sei nicht für Spammer gedacht …
- Ich verzichte komplett auf Trackbacks. Die sind einfach in keinem Artikel erlaubt. Das vermeidet den lästigen Trackback-Spam bei dem irgendein Leecher die Hälfte des Textes klaut und dann auch noch einen Link auf seine Seite einfordert. Wenn es sinnvoll ist, einen Link zu einem anderen Blog zu setzen, dann gerne als „(via x-blog)“ direkt im Text.
Alle Links im normalen Text sind natürlich ohne „nofollow“, das ist ja schließlich auch Sinn und Zweck von Links.
Ich stoße immer wieder auf eigentlich spannende oder interessante IT-Security Links, die ich aber entweder nicht kommentieren will oder zeitlich nicht schaffe. Bisher fallen diese Links komplett unter den Tisch, was ich schade finde. Besteht hier bei den Lesern ein Interesse an reinen Linkartikeln wie es sie z.B. im Lawblog gibt?
Antworten gerne in den Kommentaren.
5. Dezember 2007
Reverse Engineering ist eine der nützlichsten Techniken um zu verstehen, wie Programme in ihrem Inneren funktionieren. Im Allgemeinen ist Reverse Engineering daher in den Lizenzbedingungen untersagt. In den USA gibt es jedoch die Ausnahem des „fair use“, in Europa sind dafür die „Shrink Wrap Licenses“, die man vor der Installation der Software gar nicht zu Gesicht bekommt zumindest umstritten, wenn nicht gar automatisch unwirksam.
Eine Reihe von Dokumenten im Internet beschäftigen sich mit Reverse Engineering und ein paar Link über die ich in den letzten Tagen gestolpert bin, möchte ich hier kurz aufführen:
The Ethical Hacker Network
Wikibooks
Communities
Sonstige Quellen
Weitere Links, sobald ich noch was interessantes finde oder in den Kommentaren …
Es ist das Jahr 2010.
Erinnert sich noch irgendjemand an Arcor? Dieser Internetprovider, der irgendwann um die Jahrtausendwende versucht hat dem Magentariesen Konkurrenz zu machen? Nicht? Macht nichts. Ende 2007 begann Arcor ohne Not und sogar freiwillig Webseiten zu sperren. In kurzer Folge trudelten anschließend, nachdem ein paar ahnungslose Honks dieses Providers gezeigt hatten, dass Webseitensperrung wohl doch möglich wären, erste Verfügungen ein. Am Anfang traf es nur Porno-Seiten wie YouPorn für die sich natürlich niemand öffentlich einsetzen wollte. Außer ein paar Unverzagte, die bereits den Untergang der deutschen Internetanbindung kommen sahen. Und Arcor beteuerte, dass sie keine weiteren Seiten sperren wollten.
Heute, wir schreiben das Jahr 2010 existiert Arcor nicht mehr.
Während andere Provider sich weigerten, Webseiten zu sperren wurde Arcor in kurzer Folge von weiteren einstweiligen Verfügungen überzogen. Der „Huch„-Effekt kam, als die gleichnamige PornoMediengruppe eine einstweilige Verfügung gegen Arcor erwirkte, Google zu sperren, da in der Google Bildersuche nackte Brüste zu finden waren. Als Arcor damit anfing große Suchmaschinen zu sperren, denn Google war nur der Anfang, Yahoo und MSN folgten, wendeten sich die Nutzer in Scharen ab. Innerhalb von nur zwei Jahren sank die Kundenzahl von noch 2,43 Millionen im November 2007 auf weniger als 100.000 Ende 2009. Die hohen Betriebskosten konnten so nicht mehr finanziert werden und Arcor wurde zum 1. Januar 2010 von 1&1 übernommen.
Vielleicht wird es so kommen, vielleicht auch ganz anders.
Schön finde ich auch, wie die Heise-Leser das Thema im Forum auf den Punkte gebracht haben: „Tja Arcor, so ist das nunmal: einmal gef*ckt, nie wieder Jungfrau„
