10 Jun, 09
Bitte, sprecht so viele Leute wie möglich persönlich an, die Petition zu unterzeichnen!
Die technischen Möglichkeiten zu Web-Blockaden würden durch die großen Zugangsanbieter “auf jeden Fall aufgebaut”, verwies der Sozialdemokrat auf die entsprechenden Verträge mit dem BKA. Es sei zwar zweifelhaft, ob diese auf Drängen von Bundesfamilienministerin Ursula von der Leyen (CDU) zustande gekommenen Vereinbarungen den rechtsstaatlichen Anforderungen genügen. Doch eine mögliche gerichtliche Überprüfung könne Jahre in Anspruch nehmen. Daher sei das Gesetz nötig, um die Sperren zumindest in geordnete rechtliche Bahnen zu bringen.
So zitiert der Heise Newsticker Martin Dörmann, SPD. Und man möchte kotzen.
So führe das Familienministerium derzeit etwa Gespräche mit den Initiatoren der bereits von über 113.000 Surfern unterzeichneten Bundestagspetition gegen das Sperrvorhaben, erläuterte Hoofe gegenüber heise online. Diese würden freilich nichts mehr daran ändern, dass der Gesetzesentwurf schon kommende Woche vom Bundestag beschlossen werden solle. (Quelle)
Erst nötigt man die Internet-Provider dazu, Verträge ohne Rechtsgrundlage mit dem BKA abzuschließen, was diese “unter Bauchschmerzen” und größtem politischen Druck auch tun. Und jetzt hilft die SPD, ein Gesetz durchzuprügeln, was von fast 120.000 Bürgern, einigen Organisationen, einem Haufen Sachverständiger, und den meisten Experten für falsch, schädlich, gefährlich gehalten wird?
Auf die schweren weiteren verfassungsrechtlichen Bedenken, die Experten bei einer Anhörung im Bundestag vorgebracht hatten, wollen CDU/CSU und SPD demnach offenbar nicht eingehen. (Quelle)
Die Verträge wurden u.a. mit dem Versprechen erwirkt, dass bald ein Gesetz folge. Jetzt wird umgekehrt das Gesetz durchgeboxt, weil man ja schon Verträge habe, und die doch bitte legitimiert werden müssen. Nachträglich!
Mit dem Reizzentrum muss ich fragen:
- Funktioniert die Selbstkontrolle des Parlaments noch?
- Gibt es in diesem Staat noch eine rechtsstaatliche Instanz außerhalb des Bundesverfassungsgerichts?
- Wie kann man bei Politikern diesen Schlages überhaupt noch irgendwen wählen?
Es ist widerlich.
16 May, 09
Dass das ePetitionssystem des Bundestages, sagen wir: nicht so wirklich prima ist, war ja schon hinlänglich bekannt: Unbenutzbar, nicht performant, überhaupt eine ziemlich blöde Lösung, die von den Anforderungen der Ausschreibung nicht all zu viele erfüllt.
Nun ist es außerdem unsicher. Die Mitzeichnung bzw. Entfernung der Mitzeichnung einer Petition geschieht nämlich über einen GET-Request. GET-Requests sind eigentlich nur zum Abruf von Informationen gedacht, sollen aber keine Daten verändern. Wenn sie das doch tun, und die Aufrufe nicht zusätzlich geschützt sind, dann kann jeder mittels sogenanntem Cross-Site Request Forgery (XSRF) Aktionen im Namen anderer auslösen, wenn der Angreifer nur die entsprechende URL als Bild oder unsichtbaren Frame in eine Seite einbindet.
Wie das im konkreten Fall aussieht, hat Bernd Eckenfels anschaulich zusammengefasst: XSRF-Schwachstelle auf dem ePetitions-Server auf itblog.eckenfels.net. Danke für die anschauliche Ausarbeitung an @eckes.
Lieber Bundestag, ich kenne da so ein paar “Internetexperten”, die so ein Petitionssystem ganz gut und ganz gerne mal richtig umsetzen würden. So mit “an die Ausschreibung halten” und so. Ihr dürft uns auch gerne Geld dafür in den Rachen werfen.
Update 2009-05-20: Die Antwort kommt “als Anlage” in einem Word-PDF per Mail. Darin wird gesagt:
Der Datenschutzbeauftragte des Deutschen Bundestages hat unser System geprüft
und für gut befunden.
Zurzeit werden alle Hinweise in einer „Mängel- bzw. Anregungsliste“ aufgenommen,
zu gegebener Zeit ausgewertet und soweit wie möglich in das Verfahren des
Petitionsausschusses mit öffentlichen Petitionen eingebracht.
Das macht mir nicht wirklich Mut.
Update 2009-06-14: Die XSRF-Schwachstelle wurde irgendwann stillschweigend beseitigt. Zum einen wurden zufällige Keys eingeführt, zum anderen erhält man nun Mails, wenn sich der Mitzeichnungsstatus ändert. Nicht perfekt, vor allem nicht transparent kommuniziert, aber immerhin. Es bewegt sich was.
15 May, 09
Eine Application Shell ähnlich XULrunner oder AIR, aber auf Chromium basierend: Der Browser kann ja jetzt schon Application Shortcuts. Diese werden allerdings noch in einem Chromium-Fenster dargestellt und teilen sich die Datastores mit anderen Webapps.
Nur ein kleiner Schritt wäre es davon zu einer Flex-ähnlichen Umgebung. Mit Google Gears bzw. den offenen LocalStorage APIs kann man schon sehr viel erreichen, z.B. einen vollwertigen Twitterclient als “Offline”-Gears-App bauen. Erweitert man die APIs um Dateizugriffe u.ä. und baut eine kleine Abstraktionsschicht ein - à la AIR - könnte man bald Anwendungen in HTML + JS schreiben. Die Hürde zur Anwendungsentwicklung würde nochmal ein Stück fallen.
Könnte das mal jemand…?
20 Apr, 09
Sofern der Deal von den üblichen Kontrollinstanzen genehmigt wird, wird Oracle Corp. die Sun Microsystems für $9.50 pro Aktie, also knapp 7,4 Milliarden US-Dollar (in cash) übernehmen.
Damit bekommt Oracle nicht nur den “Rest von” MySQL (InnoDB und Sleepycat gehörten schon Oracle), sondern eben auch Java, Suns Hardwaregeschäft - große “Big Iron” Server - und Solaris. Aus dem Hardware- bzw. Systemhaus Sun und dem Softwarehaus Oracle wird ein kompletter Systemintegrator, der alle Aspekte von großen (vornehmlich, aber nicht nur Datenbank-)Servern abdecken kann. Oracle wird vertikal.
Die Folgen der Übernahme kann ich noch nicht absehen - es bleibt abzuwarten, wie Oracle v.a. im Open Source-Bereich agiert. Interessant wird das Konstrukt jedoch allemal.
Mehr zum Thema (2009-04-21 09:00): Kristian Köhntopp (arbeitet für MySQL), Michael “Monty” Widenius (MySQL-Gründer), Netzwertig, Om Malik / GigaOm, CNET
Noch mehr zum Thema von Tim Bray.
13 Apr, 09
Bei Amazon haben über Ostern eine ganze Menge an Produkten ihren Verkaufsrang verloren und sind in der Suche nicht mehr auffindbar. Da das Problem vornehmlich Literatur betrifft, das von der heterosexuellen, monogamen Norm abweicht - Gay/Lesbian/Bi/Transgender, Queer, Polyamory, etc. - lag für viele der Schluss nahe, dass Amazon hier absichtlich ihnen ungenehmen Inhalte zensiert, vielleicht gar absichtlich zu Ostern.
Sinnvolle offizielle Statements von Amazon gibt es nicht. Die Support-Dronen, stets bemüht, aber unbedarft gegenüber dem #amazonfail Shitstorm, der sich draußen zusammenbraute, haben es nicht zu mehr als zu “diese Bücher wurden als ‘Adult Product’ eingestuft, und ‘Adult Products’ werden aus dem Verkaufsrank und der Suche genommen”. Das ist allerdings keine neue Policy von Amazon, die nur bisher wenig Wellen geschlagen hat, weil die meisten ‘Adult’-Produkte nie als ‘Adult’ markiert wurden.
Sehen wir uns doch mal Amazon, die Firma, an: Sie sitzen in Seattle, einem Staat, der bisher nicht für religiösen Fanatismus bekannt ist. Das Team ist ein Haufen liberaler Kommunisten-Hippies, und die Firma hat eine mustergültige Gleichstellungspolitik, die sich nicht nur auf biologisches Geschlecht, sondern auch auf sexuelle Orientierung usw. erstreckt. Klingt nicht nach der Art Organisation, die im Handstreich mal schnell eine Menge Bücher verbrenntzensiert.
Betrachten wir Amazon, die Webseite bzw. den Dienst: Amazon ist längst nicht mehr nur der Online-Buchhandel. Man verwaltet bei Amazon eine gigantische Datenbank von Produkten. Diesen Bestand zu pflegen, würde einen unglaublichen Aufwand bedeuten - und deshalb pflegt Amazon ihren Bestand kaum mehr als z.B. Google ihren Index von Hand durchkämmen. Wenn Fehler und Inkonsistenzen gemeldet werden, schaut man sich die Sache mal an, ansonsten legt man die ganze Arbeit in die Hände von Algorithmen. Und so werden auch die Listen von ‘Adult Products’ höchstwahrscheinlich erzeugt: Wenn sich genug Leute beschweren, wird das Produkt erst mal geflaggt, und dann auf Anfrage - manuell, und damit langsam - wieder freigeschaltet.
Normalerweise ist das kein Problem - dank der guten Suche und der Empfehlungs-Engine bekommt man bei Amazon nur selten Dinge zu sehen, die man nicht sehen möchte. Noch seltener Dinge, über die man sich auch noch beschweren möchte. Das heißt aber eben auch, dass der Schwellwert für eine Aktion relativ gering ist. Alles, was es also braucht, um unerwünschte Inhalte aus Amazon rauszubekommen, ist eine konzertierte Aktion, wie sie entweder (religiöse o.ä.) Interessensgruppen starten können, oder eben Internet-Trolle.
Dabei spricht einiges für die Bantown-Theorie von tehdely. Entsprechend versierte Trolle könnten bei Amazon recht schnell automatisiert eine ganze Gruppe von Produkten flaggen lassen. Dabei wählt man Produkte, die sich an eine Minderheit richten, die sich sowieso schon sehr unterdrückt vorkommt und daher schnell und laut zurückschlägt. Und, mit etwas Glück, kommt dann auch noch ein “Glitch” hinzu, z.B. falls Amazon aus vielen Beschwerden automatisch Schlüsse zieht und zum Beispiel vorsorglich auch alle ähnlichen Produkte entfernen würde.
Bonuspunkte gibt es für die Wahl des Zeitpunktes - über Ostern werden die Büros auch bei Amazon nicht voll besetzt sein, und diejenigen, von denen man sich Stellungnahmen erhoffen würde, sind ebenso schwerer erreichbar wie die Medien, in denen die Stellungnahmen auftauchen würden.
Ohne aber irgendein Feedback von Amazon zu haben, finde ich die aktuellen Reaktionen - so sehr mir auch die Causa Rede-, Meinungs- und Sexualitätsfreiheit am Herzen liegt - übertrieben.
Update (2009-04-13 23:17 CEST): Über zwei Ecken habe ich nun aus Amazon gehört, dass die Glitch-Theorie doch wahrscheinlicher ist. So sollen knapp 60.000 Bücher versehentlich falsch kategorisiert worden sein, und die Automatik hat dann den Rest erledigt und die Bücher aus Sales Rank und Suche entfernt. Man arbeitet wohl mit Hochdruck an der Behebung der Sache und ärgert sich über die schlechte Außenkommunikation.
Update (2009-04-14 10:57 CEST): Seattle PI scheint die Glitch-Theorie zu bestätigen.
Update (2009-04-14 16:30 CEST): Wieso behauptet jeder, der Kundenservice habe eine “neue Policy bestätigt”? Die Policy, Adult-Produkte zu filtern, gibt es schon lange, und mit keinem Wort wird vom Support eine “neue” Policy erwähnt! Anyway, hier gibt es dann einen Inside Look eines Amazon-Mitarbeiters. Und #SorryAmazon. Wie gesagt.
Update (2009-04-16 16:27 CEST): Clay Shirky zum Thema. Die Kommentare sind ebenfalls interessant.
13 Apr, 09
Zu wikileaks: Überhaupt auf den “OMG! ZENSUR!”-Zug aufzuspringen, weil eine Seite im TRANSIT-Zustand gelandet ist, halte ich schon für bedenklich. Zum einen, weil TRANSIT eben ziemlich deutlich “nicht Sperrung” sagt: alles, was man tun muss, um eine Domain aus dem Transit-Zustand zu kriegen, ist, sie zu einem neuen Provider umzuziehen und das der DENIC mitzuteilen. Zum anderen, weil die Aussagen des Domaininhabers überhaupt keinen Sinn ergeben, denn:
Wenn - aus welchen Gründen auch immer - das DENIC-Mitglied die Verwaltung der Domain aufgibt, sucht die DENIC im Rahmen des TRANSIT-Verfahrens den direkten Kontakt mit dem Domaininhaber, um sicherzustellen, dass die Domain auch zukünftig durch ein vom Domaininhaber bestimmtes DENIC-Mitglied verwaltet wird.
(Quelle)
Selbst wenn also der bisherige Registrar eine Domain einfach hinschmeißt und freigibt, erhält der Domaininhaber dann ein Anschreiben der DENIC, das diese ganze Transit-Sache ausführlich erklärt. Und selbst, wenn man dieses Schreiben - aus welchen Gründen auch immer - nicht erhalten hat, ist die Transit-Informationsseite, die die DENIC dann aufschaltet, ebenfalls sehr deutlich und bietet alle nötigen Kontaktinformationen.
Leider hat wohl niemand den Besitzer von wikileaks.de gefragt, wie es denn sein kann, dass er einerseits von der “Sperrung” nichts wusste und andererseits offenbar nicht einmal die DENIC kontaktiert hat.
Was eine Gelegenheit gewesen wäre, bedacht, mit mehr technischem Verständnis als “die alten Medien” und die Vorteile des Mediums Internet/Blog nutzend zu berichten, wurde statt dessen ein Sturm im Wasserglas, mit viel Geschrei und viel Aufbauschen. Der Sache, nämlich dem Kampf für Freiheit und Offenheit bzw. der Etablierung von Blogs als seriöse Medien ist das aber nicht dienlich. Wenigstens wurden jetzt Klarstellungen nachgeschoben.
28 Mar, 09
Hier auf dem BarCamp Ruhr 2 gab es endlich Poken, der (nicht mehr ganz so) neue Visitenkarten- und Soziale-Kontakte-Ersatz aus der Schweiz. Als Early Adopter haben wir sie auch gleich mal ordentlich genutzt, und dann angefangen, sie zu hacken.
Kurz zur Funktion der Pokens: Ein Poken ist ein RFID/USB-Gerät. Hält man zwei Poken aneinander, wird (magnetisch?) ein RFID-Handshake ausgelöst, wobei die Poken-IDs ausgetauscht werden. Anschließend steckt man sein Poken an einen Rechner und ruft eine HTML-Seite auf, die auf die Poken-Webseite umleitet und Daten in der URL übergibt. Durch Tastendruck kann man außerdem einen “Discreet Mode” aktivieren, wodurch der Gegenüber keine persönlichen Daten erhält, bevor man sie explizit freigegeben hat. Auf einen Poken passen 64 Begegnungen, danach beginnt er, die ersten wieder zu überschreiben. Ich bin nicht sicher, was geschieht, wenn man Begegnungen schon übertragen hat, aber dann die 64 voll macht.
Erste Erkenntnisse:
- Die Verschlüsselung benutzt Blockgrößen von maximal 8 Byte (64 bit). “State of the art encryption” ist also etwas übertrieben.
- Nicht verschlüsselt sind die Poken IDs, weder die eigene noch die der Begegnungen.
- Jede Begegnung hinterlässt einen 16-Byte-Eintrag in der HTML-Datei
- Mehrfache Begegnungen werden auch mehrfach eingetragen
- Poken IDs haben 4 Byte
- Der Ghost Mode / Discreet Mode setzt lediglich ein Flag
- In der Begegnung ist ein Timestamp enthalten (3 Byte)
- Die restlichen drei Byte sehen zufällig aus (Checksumme?)
Scotty wies mich dann darauf hin, dass Didier Stevens in seinem “Poken Peek“-Artikel einiges davon schon beschrieben hat. Na gut, hatten wir halt Spaß beim Hacken.
Mehr morgen.
Update: Kathrin hat natürlich völlig Recht. Meine Formulierung war irreführend: Es ist Absicht, dass mehrfache Begegnungen geloggt werden, damit man eine Social Timeline bauen kann.
Update: Der Timestamp hat nur 3 Byte. Danke, Didier.
20 Mar, 09
Schon die Überschrift ist reißerisch: “Twitter-Community fällt auf Ente rein” titelt der SPIEGEL Online. Und sicher hätte man mit etwas gutem Willen noch stärker herausstellen können, dass eine Ente ja irgendwie auch ein Vogel ist, und Twitter, haha. Na gut.
Jedenfalls behauptet SPON, “das amerikanische Technik-Blog BBspot” habe behauptet, Twitter wolle neue Premium-Modelle einführen: Für $5 bis $250 pro Monat solle man Zusatzfeatures, mehr Tweet-Länge, und diverse Goodies bekommen können.
“Das amerikanische Technik-Blog BBspot”? Moment mal. Wir tun mal völlig ahnungslos und machen zwei Klicks von Spiegel Online weg, einen auf “BBspot”, und einen auf “About”. Und dort lesen wir, oh Wunder:
Called “the world’s greatest tech humour site” by The Register, BBspot creates entertainment for the geekier side of the world.
So so, “tech humour” also. Lesen wir weiter (Hervorhebung von mir):
BBspot produces a variety of features like fake news stories satirizing the tech and political worlds, […]
Das erwähnt SPON dann ein paar Absätze später. Und nur, weil SPON nicht versteht, dass die meisten Twitter-User die Satire wohl verstanden haben, und einige das “ihresgleichen” (Zitat SPON) auch explizit mitgeteilt haben, herauszufinden nämlich mit der von SPON selbst verlinkten Twitter Search, musste das Internet jetzt mit so einem Artikel zugemüllt werden.
Mit vielem Dank an Brian Briggs von BBspot und die Captains Obvious von SPON.
(Falls jemand bemerkt, dass meine Überschrift nicht weniger reißerisch ist, gratuliere ich schonmal: Ihr seid besser als der durchschnittliche Twitter-User in den Augen von SPON. Wer mag, darf sich aber die Überschrift “SPON versteht nicht, dass andere auch Satire verstehen können” denken, oder “SPON findet Twitter doof”. Das wären dann genau so wenig News, wie der Artikel bei SPON.)
Update: Etwas klarer formuliert.
17 Mar, 09
Chris Charabaruk writes in his blog:
Do you protect your updates on Twitter? Well, don’t bother. Thanks to the magic that is Twitter Search, the whole world can see what you tweet with little trouble, whether you protect your tweets or not.
Er, no.
When and while your account is unprotected, all tweets you post go out into the search index of Twitter Search, Google, and into FriendFeed at least. When you protect your account, these don’t get deleted - what’s out is out, there is no way to take it back.
Tweets sent while your account is protected will not be indexed in twitter search, they will not be visible to Google, and AFAIK they won’t be sent to FriendFeed either.
Keep in mind that if you unprotect your account later, all your tweets can potentially be indexed. Twitter Search does not currently do this, they only index new tweets. Google doesn’t normally crawl far back. But still, keep in mind it’s possible.
Unless you have a reproducible bug - which you should then report to Twitter, please - don’t make huge claims.
17 Mar, 09
Wenn das Gras auf der anderen Seite grüner scheint, kann man entweder neidisch sein, nachts heimlich über den Zaun steigen, oder einfach mal mit dem Nachbarn reden, ob man den Zaun nicht einfach abbaut. Glück kommt durch das Abbauen der Zäune und Wände, nicht durch heimliches Herübersteigen oder Neid.
Deutschland, Politik, Netzsperren, SPD, Petition, Verfassung and Parlament