Automatisch erzeugt

Touch&Travel ist ein Dienst der Bahn, mit dem man einfach per Smartphone Tickets für Züge der Bahn sowie ausgewählte Nahverkehrsverbünde kaufen kann. Es ist bequem: Man startet die App am Ausgangspunkt der Reise, wählt die Starthaltestelle, und beendet am Fahrtziel das Tracking durch Auswahl der Zielhaltestelle. Man erfährt sofort den Preis für die Fahrt, und mehrere Einzelfahrten werden wo möglich z.B. zu Tageskarten zusammengefasst. Man muss sich weder mit Automaten noch mit Kleingeld befassen und nicht für jede Stadt eine eigene Handyticket-App suchen – sehr praktisch also.

Ich nutze es seit geraumer Zeit im Tarifgebiet der BVG und für Fahrten zwischen Hamburg und Berlin und bin bisher recht zufrieden gewesen. Mit dem letzten Update sieht die App auch nicht mehr ganz so arg nach Prototyp aus. Wie es sich aber für eigentlich coole Projekte in eher bürokratischen Corporates gehört, kommt hinter der dünnen Firnis der Innovation dann doch gelegentlich der seelenlose Kern zum Vorschein.

So schreibt mir Touch&Travel zu einer Fahrt von Berlin nach Hamburg:

Sehr geehrter Herr Bauer,

während Ihrer Fahrt mit Touch&Travel am … (Fahrt-ID: …) war Ihr Mobiltelefon (zeitweise) nicht sende- und/oder empfangsbereit. Dies ist der Fall, wenn das Gerät während der Fahrt ausgeschaltet wurde, der Akku leer war oder der Flugzeugmodus aktiviert wurde.

Wir möchten Sie darauf aufmerksam machen, dass ein sende- und empfangsbereites Mobiltelefon Voraussetzung für die Nutzung von Touch&Travel ist.

Bitte berücksichtigen Sie dies für Ihre zukünftigen Fahrten.

Um es nochmal klar zu sagen: Ein Unternehmen der Deutschen Bahn sendet mir eine Mail zu einer Fahrt mit einem Fernverkehrszug der Deutschen Bahn, der mit metallbedampften Scheiben und ohne funktionierenden Datenfunkrepeater ohne weiteren Halt von Berlin nach Hamburg fährt – weil mein Smartphone zwischenzeitlich keinen Empfang hatte?

Das ist doch albern.

Nicht, dass der Gedanke komplett bescheuert wäre – theoretisch gibt es eine Möglichkeit zum Missbrauch des Dienstes, wenn ich das Tracking meines Standortes durch Abschalten meines Telefons oder durch den Flugzeugmodus verhindere. Aber wie bei allen Arten von Kundenkommunikation, besonders bei solchen „Ermahnungen“, sollte Augenmaß gelten.

So wusste die Bahn bei dieser Fahrt, wann ich von wo abgefahren bin und wie schnell ich mich auf welcher Strecke bewegt habe. Selbst wenn ich zwischendurch eine Stunde offline gewesen wäre, hätte ich das System nicht gamen können, die Mail ist also unnötig.

Wenn ich in der Stadt eine Weile offline bin, könnte ich vielleicht eine Rund- oder Rückfahrt verstecken, der Schaden wäre dann z.B. in Berlin im Bereich von ein paar Euro anzusiedeln. Auch das wäre meiner Ansicht nach keine solche Mail wert, denn sie beschädigt das Verhältnis zum Kunden.

Alleine, wenn solche Probleme gehäuft festgestellt werden, sollte der Anbieter aktiv werden. Und selbst dann ist es viel besser, die Mail konstruktiv zu formulieren: „Es scheint, als haben Sie Verbindungsprobleme. Können wir Ihnen helfen?“ statt „Vielleicht wollten Sie schummeln. Hier ist die bürokratendeutsche Aufforderung, das zukünftig zu unterlassen.“

Liebe Bahn, überlegt euch doch nochmal den Sinn dieser Mails.

PS: Und installiert doch mal bessere Repeater in den ICEs.

In ur browser, hijacking ur privacy

Werbung und Privatsphäre gehen nicht gut zusammen. Nicht nur in der offensichtlichen Lesart. Wie der Fall der Window Resizer Chrome Extension zeigt, können Angriffe auf die Privatsphäre auch indirekt durch Werbung zustande kommen.

Die Chrome-Erweiterung erlaubt Webentwicklern, sehr einfach die Größe von Browserfenstern zu verändern, um Seiten mit verschiedenen Layouts auszuprobieren. Seit einem Update Mitte Dezember 2013 hat diese Erweiterung allerdings noch eine versteckte Zusatzfunktion: Sie biegt alle Links auf Google-Suchergebnisseiten um und leitet sie durch Ecosia EcoLinks um – ein Werbeunternehmen, das die so gewonnenen Daten auswertet und verkauft, aber nach eigenen Angaben immerhin 80% der Profite für ökologische Zwecke einsetzt.

Der einzige Hinweis auf diese Änderung war eine kleine „NEW“-Badge im Icon der Erweiterung, und die Voreinstellung für dieses Verhalten war natürlich aktiv, man hätte also nicht nur die Badge sehen müssen, sondern auch die Optionen aufrufen und dort den Hinweis sehen und die Checkbox entfernen.

Ich schätze, dass für etwa eine Woche alle meine Google-Ergebnislinks erst mal über Ecosia weitergeleitet wurden. Da war nichts kritisches dabei, aber es zeigt wieder einmal, wem man wie sehr vertrauen kann. Der Beobachtung durch Google zu entgehen, ist extrem aufwendig und für mich meist ein akzeptabler Trade-off, aber irgendwelche Dritten sind riskanter. Immerhin hat Google die Extension schnell gesperrt, aber nicht aus den Browsern der User entfernt (und keinen Hinweis gegeben). Dennoch: Großer Mist, so was.

Für sichere(re) Kommunikation empfehle ich daher einen Open-Source-Browser mit so wenigen Add-ons wie möglich, z.B. Firefox. Generell ist von Extensions und Programmen abzuraten, bei nicht klar ist, wie sich die Entwicklung finanziert: Zahlt man für den Dienst, gibt es Spendenaufrufe, einen Mäzen oder eine unterstützende Gruppe, oder sind da vielleicht versteckte Monetarisierungsmodelle? Und sind automatische Updates wünschenswert? Über all diese Dinge sollte man nachdenken und seine Paranoia entsprechend justieren. Sicherheit ist nicht immer einfach.

30c3+1

Another year, another Chaos Communication Congress.

First thought going out: I missed so much stuff. Not just lectures, but also workshops, hacker groups, toys and other cool hacks. I didn’t even make it to the 30c3 Lounge until the third day of congress. There were halls I hadn’t entered even after five days on site.

Second thought: Wow. That was pretty incredible. Mostly thanks to our amazing team of translators who did a fantastic job again, translating all German talks into English and quite a number of English talks into German, even when talks were rescheduled with short notice or just appeared in the Fahrplan at 9am in the morning! This year, the translations were even widely known and announced before the session! Many thanks also to the VOC team who made the entire thing possible, routing signals here and there, providing different language streams, and getting the translated audio into the phone network; thanks to POC who provided the phone infrastructure and the group call number; thanks to the NOC for the 100Gbit/s network uplink (that is probably more than most residential internet connections in Hamburg, combined); thanks to the content team and the heralds for putting us in touch with speakers and for announcing the translations, and of course thanks to everybody listening to our live interpretation and giving us valuable feedback via Twitter, mail, phone or even in person. Much love, y’all!

And now it’s over for another year. I left the afterparty in the lounge at around 8am, and I’m writing this in the early afternoon. I haven’t slept in a while, but I feel great. And I will need to watch so many of the recordings that the streaming team is already putting online. Also, there were a number of new revelations at or during congress which are now making waves in the public sphere. Watching the responses in media and politics will be very interesting. There’s a lot of bad actors out there and almost all of the paranoia turned out to have been appropriate, but there’s also a strong community of hackers fighting for the good cause and not falling for corporate sponsorship or promises of “lawful” surveillance.

Very congress. So amaze. Much love. Wow.

30c3 – the bad parts

Update 2: The people responsible came forward, paid up, and apologized profusely. My faith in humanity is restored. A number of other people also chipped in with monies, so I’m gonna think about something sensible to do with the money – if you have any suggestions for worthy causes that could use some cash, let me know.

On day 3 of 30c3, we went to Germany’s best cocktail bar, Le Lion. That is not the bad part.

Good times were had by all. That, too, is not the bad part.

One of the congress visitors stealing, that is the bad part. It doesn’t really matter so much who stole, what they stole or from whom, except that we’re talking about a luxury item and about people who visit a high class bar and paid for some of their drinks – so clearly, there was no distress driving them to steal.

First and foremost, it’s about values. I am immensely disappointed. Julian and I invited a bunch of friends to enjoy a great bar. I did not expect that any c3 visitor would stoop so low as to steal a bottle of champagne from a bar during a semi-official congress-related event. I feel personally responsible for bringing these thieves into a friendly place.

I believe in some old-fashioned values, like honesty and integrity. I also feel that community management is important, no matter what community we’re talking about: As soon as people form a group, they have social interactions within and outside the group. When a member of this group breaks the rules – and I feel that stealing does, usually – the group needs to show that this behavior is not acceptable.

To the guys who stole the champagne: Shame on you. Contact me before the 31st of December at moeffju@moeffju.net so we can resolve this amicably.

Update: I received comments about the “phantom image” and mentioning details of their behavior for possible identification. I feel that it was okay to post the crappy pixelated image and quote people publicly if they very loudly discuss their drug habits in a bar, but I decided to remove the identifying details because they do not matter for the message I’m trying to convey. To the people who think that it’s totally fine to steal, as long as you’re stealing from a high class bar: Thanks for outing yourselves.

30c3!

Wir übersetzen den 30c3 – siehe https://events.ccc.de/congress/2013/wiki/Translation. Whee.

Mehr später, muss jetzt engeln.

NSA-Backdoor in RSA Bsafe?

Documents leaked by former NSA contractor Edward Snowden show that the NSA created and promulgated a flawed formula for generating random numbers to create a “back door” in encryption products, the New York Times reported in September. Reuters later reported that RSA became the most important distributor of that formula by rolling it into a software tool called Bsafe that is used to enhance security in personal computers and many other products.

Wenn das stimmt, heißt das wohl „Tschüss, RSA“.

Quelle: Reuters Exclusive: Secret contract tied NSA and security industry pioneer

Sag zum Abschied leise Poke

Deactivating your account will disable your profile and remove your name and picture from most things you’ve shared on Facebook. Some information may still be visible to others, such as your name in their friends list and messages you sent.

Nach einigen Komplikationen habe ich heute vormittag um 11:08 Uhr meinen Facebook-Account stillgelegt. Vorher musste ich für alle möglichen Facebook-Gruppen, die ich schon lange vergessen hatte, neue Admins bestimmen, und meine entwickelten Facebook Apps transferieren oder löschen. Außerdem musste ich mich natürlich über die Chuzpe von Facebook wundern, die mir bei jedem Laden der Seite fünf Bilder von Freunden mit der Überschrift „… will miss you“ zeigen und sich auch nicht zu schade für die Behauptung sind, dass meine „1,253 friends will no longer be able to keep in touch“, oder dafür, von mir eine Begründung für die Deaktivierung („No.“) zu verlangen.

Ein wenig erinnert es an die passiv-aggressive Maschinenintelligenz GlaDoS aus dem Spiel „Portal“, nur subtiler. Du möchtest deinen Facebook-Account deaktivieren? Denk doch nur an all die schönen Zeiten mit deinen Freunden. Du möchtest wirklich deinen Facebook-Account deaktivieren? Niemand wird mehr mit dir kommunizieren! Du möchtest immer noch deinen Facebook-Account deaktivieren? Was ist mit diesen Fotoalben, die du hochgeladen hast, willst du die wirklich der Welt vorenthalten? Und die ganzen Bilder, in denen deine Freunde dich mühevoll markiert haben? Du möchtest deinen Facebook-Account deaktivieren? Geh doch. Du wirst schon sehen, was du davon hast. Freunde jedenfalls nicht mehr!

Facebook ist ein Werkzeug, aber es ist auch eine Ablenkung. Tausend Dinge buhlen um Aufmerksamkeit, und um irgendwas relevantes im Stream zu finden, kämpft man gegen die Strömung – Milliarden von Buzzfeed-Links, „Inspirational Graphics“, Hervorgewürgtes aus den Circle-Jerk-Kanälen des Internets. Gelegentlich dann mal persönliche Informationen, meaningful interaction. Aber so nützlich Facebook gelegentlich ist, hat es immer auch den Nebeneffekt, dass Menschen, die Inhalte auf Facebook teilen, diese meist nicht noch auf offenen Kanälen teilen. Selbst als passiver Konsument auf Facebook bestärke ich den Netzwerkeffekt des Walled Gardens.

Ein Freund sagte, Facebook sei eine Kneipe, ein kommunaler Ort der plätschernden Kommunikation – man bekommt mit, was die anderen so tun. Aber Facebook ist keine Kneipe und kein kommunaler Ort, Facebook ist ein exklusiver Club mit Spiegelfolie an den Glasfronten und fiesen Türstehern, vor denen man sich erst mal ausziehen muss, und drinnen bekommt man dann freie Getränke, wird dafür aber dauernd von irgendwelchen Leuten genervt oder befummelt.

Meine neuen alten Kneipen sind öffentlich zugänglich, im Sinne von offenen Protokollen und Servern: Mail, Jabber, IRC.

Per Mail und per Jabber/XMPP erreicht ihr mich unter moeffju@moeffju.net, meine GPG-Key-ID ist 0x79ACF996. Im IRC bin ich als moeffju auf irc.freenode.net, irc.hackint.org, irc.ubermutant.net und im IRCnet zu finden. SMS laufen über TextSecure. Außerdem probiere ich grade Threema aus, meine ID ist A2ZTKH3Z. So lange die aber nicht ihren Code offenlegen und eine Desktop-Version bauen, sehe ich da keine große Zukunft für. Schließlich spiele ich grade mit Telegram rum, aber deren Idee von Kryptographie ist komplett hanebüchen (wenn auch besser als WhatsApp), deshalb auch nicht verlinkt. Noch bin ich auch auf Hangouts, Skype, WhatsApp, und Co. zu finden, werde diese Dienste aber nach und nach verlassen und durch offene Alternativen ersetzen.

Your 1,253 friends will no longer be able to keep in touch with you.

Nein, Facebook, meine Freunde sind klüger und besser als das.

In diesem Sinne: Poke.

Gude Laune mit Word

Wenn ihr mal so richtig gut gelaunt seid und euch das irgendwie Sorgen macht, hier ein einfaches Mittel, diesen Zustand zu ändern:

Erstellt ein Word-Dokument mit ~80 Seiten. Lorem ipsum genügt.
Legt ein Inhaltsverzeichnis an.
Dann fügt Seitenzahlen in die Fußzeile hinzu.
Fügt Zeilennummern zu verschiedenen Abschnitten hinzu. Die Nummerierung soll für jeden Teil neu bei 1 anfangen.
Ändert die Ausrichtung beliebiger, einzelner Seiten zu Querformat.

Die Hölle, das sind Word-Sections.

(Weshalb nochmal wird Word für irgendwelche ernsthafte Arbeit genutzt? Weshalb verlangen Bildungsinstitutionen die Verwendung von Office? Verdammte Schande.)

Nicht mein Netz

Twitter haben die Funktionsweise von Blocks verändert. Von nun an, „blocking a user does not prevent that user from following you, interacting with your Tweets, or receiving your updates in their timeline“. Warum das für Opfer von Harassment noch schlimmer ist als vorher, kann man sich – hoffentlich – denken. (Update: Die Änderung wurde rückgängig gemacht. Ändert aber nichts am Argument.) Und auch in ihrer App sind mittlerweile zwei Drittel der Funktionalität irgendwelcher Discovery-Kram, während die Interaktionsmöglichkeiten immer mehr in den Hintergrund treten.

Das ist nicht mehr mein Internet. Es ist nicht mehr unser Internet. Dieses Netz der Walled Gardens war auch nie unser Netz – wir haben es uns nur von den Ausbeutern Anbietern geliehen. Und so kann Twitter halt mal für ein paar Monate keine Links in Direktnachrichten verschickbar machen, und wir schreiben halt Leerzeichen hinter „http:“, haha, das iPhone hat ja jetzt auch Copy & Paste, nicht wahr? Und dann ändert Facebook die Privacy-Einstellungen, Google sperrt wegen falscher Namen bei Google+ gleich mal ganze Nutzerkonten, LinkedIn verliert ein paar Millionen Passwörter, die NSA hackt halt ein paar RZs statt Hunderttausende Switche und Server anzugehen, und aus Protest ändern ein paar User dann mal für ein paar Tage ihre Profilbilder, denen haben wir’s aber so richtig gegeben.

Unser Netz war im IRC, im Usenet, in unseren selbst gehosteten Blogs, vielleicht sogar in Gopher, unser Netz war in Mailboxen, im Fidonet, im Z-Netz, unser Netz war Notepad und HoTMetaL, Joe’s Own Editor und blosxom, CGI.pm und Webrings. Da war die Chance, dass jede gleichberechtigt teilnehmen konnte, und die Herausforderung, dass auch jeder zu ermöglichen. Und statt die freien, selbstverwalteten Tools und Mittel besser zugänglich und einfacher bedienbar zu machen, haben wir Plattformen gebaut statt interoperabler Systeme. Und dann – und ich bin unsicher, ob die Plattformen schon der Sündenfall waren, oder dies: – kam die Werbung, kamen die ganzen alten Geschäftsmodelle, die schon in der Offline-Welt scheiße waren, wo sich alles dieser Maschinerie unterordnete: Menschen, Beziehungen, Inhalte. Alles ist nur so viel wert, wie man in Bannern und Sponsorings herum bauen kann. Die Utopie ist vorbei, bevor sie angefangen hat.

Das Netz, ein Fall von: die Idee ist gut, aber die Welt ist nicht bereit.
Das Netz ist – leider – nur ein Abbild der Gesellschaft.

Misstrauensbasis

Ein Freund erzählte mir neulich von einem Erlebnis in Berlin. Er arbeitet als Freelancer und verbringt gerade etwa die Hälfte seiner Zeit dort. Einmal wollte er sich was zu essen holen, bemerkte aber erst beim Bezahlen, dass er sein Portemonnaie nicht dabei hatte. „Kein Problem”, sagte der Mensch hinter dem Tresen, „zahl’s einfach nächste Woche“.

Ein anderes Mal passierte eine ähnliche Situation bei einem Friseurbesuch: Kein Bargeld dabei. Direkt um die Ecke wäre ein Geldautomat gewesen, trotzdem wurde ein Pfand gefordert und sich Personalausweisnummern etc. notiert.

Der erste Fall ist offensichtlich eine deutlich bessere Erfahrung für alle Beteiligten: Obwohl es keine vorige längere Kundenbeziehung gab – er war kein Stammgast, und der Imbiss hat einen sehr hohen „Durchsatz“ – gab es einen Vertrauensvorschuss und die ganze Sache war schnell geregelt. Die meisten Menschen wollen ein solches Vertrauen auch nicht enttäuschen: Unehrlichkeit und Ausnutzung „des Systems“ geschieht fast immer nur dann, wenn die Beteiligten sich nicht wertgeschätzt fühlen. Aber selbst, wenn mein Bekannter nicht irgendwann in den nächsten Tagen gezahlt hätte, wäre der Verlust für den Verkäufer verschmerzbar gewesen. Die Abwägung war also: Aufwand für den Verkäufer, schlechte Erfahrung für den Kunden, Unterstellung von Misstrauen/Unehrlichkeit auf der einen Seite, versus einen Verlust von ein paar Euro Wareneinsatz auf der anderen Seite, davon ausgehend, dass das Risiko für einen Ausfall eher gering ist.

Im anderen Fall wäre die Abwägung genau die gleiche gewesen: Mit einem Kunden, dem die ganze Sache eh schon peinlich ist, über ein Pfand zu diskutieren, ist aufwändig und für beide Seiten unangenehm. Auch der potentielle Verlust ist eher niedrig, und auch im Ausfallrisiko unterscheiden sich die Fälle nicht. Hinzu kommt, dass in dem Fall bereits eine längerfristige Kundenbeziehung bestand. Trotzdem wurde der Weg des Misstrauens gewählt.

Meiner Erfahrung nach ist Vertrauen und guter Wille die beste Basis für Beziehungen mit anderen Menschen, gleich welcher Art. Es erfordert viel weniger kognitiven Aufwand, sich Warnungen für die paar Menschen zu merken, die Vertrauen enttäuscht haben, als sich für alle Menschen zu merken, was man ihnen wann weshalb gegeben hat. Ich erwarte auch keine Gegenleistungen für die meisten Dinge, und wenn, dann kommuniziere ich das so offen wie möglich. Für die meisten Interaktionen ist es schädlich, sie als Tit-for-tat-Transaktionen zu betrachten: Menschen sind soziale Wesen; Markttransaktionen außerhalb von klaren Märkten unnatürlich. Enttäuschte Erwartungen machen ebenso unglücklich wie das andauernde Gefühl, den meisten Menschen nicht trauen zu können.

Versucht das doch mal.