Month: January 2011

nur zum probieren habe ich mir mal auf dem ipad einen spiegel gekauft. die abrechnung geschieht ueber den apple app store. etwas ueberarbeitungswuerdig ist die rechnung allerding noch. zumindest die ausgabe koennten sie draufschreiben…

facebook verkuendet mal eben nebenbei im eigenen developer blog, dass apps jetzt auch auf hochsensible daten wie telefonnummer und adresse zugreifen duerfen:

We are now making a user’s address and mobile phone number accessible as part of the User Graph object. Because this is sensitive information, we have created the new user_address and user_mobile_phone permissions. These permissions must be explicitly granted to your application by the user via our standard permissions dialogs.

aber das is ja nur halb so schlimm… sind ja diesmal nur die eigenen daten und nicht die aller kontakte:

Please note that these permissions only provide access to a user’s address and mobile phone number, not their friend’s addresses or mobile phone numbers.

obwohl es im developer blog geschrieben steht, ists quasi still und heimlich, da sich den scheiss bei den anwendungsberechtigungen sowieso niemand (mehr) durchliest. wenn man von farmville, gluecksnuessen, knuddels usw. irgendwann total betriebsblind ist und einfach auf akzeptieren klickt, hat man ruckzuck seine daten freigegeben. erstmal die eigenen, dann die der anderen. das ist naemlich das problem: “These permissions must be explicitly granted to your application by the user via our standard permissions dialogs“…. es merkt keiner. “explicitly granted”… was ne lachnummer.

marketingabteilungen, verfolgungsbehoerden, versicherungen und andere unliebsame haben bestimmt schon ein paar programmierer fuer facebook anwendungen eingestellt.

bei facebook angemeldet zu sein ist schlimm genug… da auch noch seine adresse und telefonnummer anzugeben grenzt an ******** (bitte ersetzen mit einem beliebigen synonym fuer bloedheit)… aber von den “anwendungen” sollte man wirklich die finger lassen. immer. unbedingt.

ich habe ein neues spielzeug gekauft… und im dunkeln fotografiert

das “Logitech Illuminated Keyboard“…. natuerlich nicht mal halb so schick wie die apple alu tastatur, aber die hat mir ja mehr probleme gemacht, als die schoenheit und die haptik wert war. das ganze layout umbiegen und so hat echt genervt. den schubser ueber den klippenrand hat sie bekommen, weil die leertaste nur noch mit dem linken daumen zuverlaessig funktioniert hat. mit dem rechten hats meistens nicht funktioniert.

Wer heute Informationen besitzt, die ein anderer geheim halten will, der kann diese auf einem USB-Stick in ein x-beliebiges Internet-Café an einem y-beliebiegen Ort tragen, sie dort zu einem kirgisischen One-Click-Hoster hochladen, danach den durch einen libyschen URL-Shortener gejagten Link mit Hilfe eines Mail.ru-Accounts an die internationalen Top-100-Twitterer schicken und dann gemütlich dabei zusehen, wie die Informationsbombe zündet. Und es gibt genau einen Weg, dieses Szenario aus dem Möglichkeitsraum auszusperren: das Internet abschalten.

bitte unbedingt diesen artikel lesen… alle. bis auf den letzten satz kann ich dem nur zustimmen.

mal wieder ein bischen bashing…

was muss ich da lesen? “Verbraucherschutzministerin will Verfallsdaten für Bilder durchsetzen”…. WTF? die internetausdrucker denken sich so einen quatsch wie den “digitalen radiergummi” aus und irgendein schlauer jungprofessor mit profilneurose (prof doc backes) will geld damit machen. fuer schlappe 10 euro im monat darf meine seine bilder vor dem upload mit einer (proprietaeren) software verschluesseln. wer sie anschauen will, braucht ein (proprietaeres) plugin fuer den firefox, welches den key zum entschluesseln von einem zentralen server holt. nach ablauf des verfallsdatum wird der key vom server geloescht.

ein kleiner auszug aus der eklaerung zu x-pire:

Wir betonen hier, dass X-pire! keinen Verfall garantieren kann, wenn der Angreifer den Schlüssel für eine bestimmte verschlüsselte Datei speichert, während das Bild noch nicht verfallen ist (oder äquivalent: das Bild in sichtbarer Form) – ein solches manuelles Kopieren sichtbarer Bilder liegt in der Natur der Sache und kann technologisch nicht verhindert werden; im Extremfall kann man ein Bild während seiner sichtbaren Zeit immer noch abfotographieren und erneut ins Netz einstellen, was durch keinen technologischen Schutz abgefangen werden kann. Was X-pire! hingegen verhindern soll (und verhindert) ist, dass im Nachhinein auf Daten, deren Schlüssel bereits abgelaufen sind, zugegriffen wird. In anderen Worten: Sofern ein Bild nicht vor seinem Verfallsdatum manuell kopiert und neu ins Internet eingestellt wurde, garantiert X-pire! den Verfall der Bilder. Dies ist das maximal Erreichbare.

der erste satz “Wir betonen hier, dass X-pire! keinen Verfall garantieren kann, wenn der Angreifer den Schlüssel für eine bestimmte verschlüsselte Datei speichert“… wird durch den folgenden relativiert: “Was X-pire! hingegen verhindern soll (und verhindert) ist, dass im Nachhinein auf Daten, deren Schlüssel bereits abgelaufen sind, zugegriffen wird”

wie jetzt? der vorletzte satz ist auch gut: “Sofern ein Bild nicht vor seinem Verfallsdatum manuell kopiert und neu ins Internet eingestellt wurde, garantiert X-pire! den Verfall der Bilder“… also solange niemand den schluessel gespeichert hat, was sie nicht garantieren koennen. denn “Dies ist das maximal Erreichbare”

eine einzige farce, was da steht. irgendein schlaues koepfchen wird sich schon finden, um das zu automatisieren.

die richtige aussage waere: “x-pire kann nicht garantieren, dass nach dem verfallsdatum irgendjemand auf deine bilder zugreifen kann, denn jeder kann sich entweder den schluessel oder das entschluesselte bild abspeichern. nur die leute, die es heute auch nicht schaffen einen brandneuen kinofilm aus dem internet zu laden, koennen deine bilder nach dem verfallsdatum nicht ansehen. aber jeder von denen kennt jemanden, der jemanden kennt, der das vielleicht koennte uns so. nur eins kann garantiert werden: ein gewisser prozentsatz der bevoelkerung wird sich deine bilder niemals anschauen koennen, weil sie immernoch einen AOL browser oder sowas nutzt oder einfach damit ueberfordert ist, ein plugin zu installieren”

noch ein zitat von der webseite:

So bereiten Bilder, die beispielsweise von Jugendlichen ohne weiteres Nachdenken online gestellt werden, zum Zeitpunkt des Einstellens keinerlei Probleme; Jahre später hingegen kann die öffentliche Verfügbarkeit dieser Bilder nachhaltig Probleme bei der Jobsuche etc. bereiten.

das problem wird eher sein, die zielgruppe dafuer zu begeistern, 10 euro im monat dafuer auszugeben. ich denke, dass die jugendlichen das (auch ohne weiteres nachdenken) lieber versaufen, verqualmen, ver-telefonieren, verzocken, klamotten kaufen oder wenns was sinnvolles sein soll, fuer kondome ausgeben. mal angenommen, die softwareloesung waere toll, funktionsfaehig und nicht manipulierbar: wenn man die kids soweit sensibilisiert bekaeme, dass sie dafuer 10 euro im monat zahlen… DANN ist ihnen nicht mehr zu helfen, wenn sie weiterhin so einen quatsch einstellen, der ihnen irgendwann zum verhaengnis wird. fuersorgliche eltern werden sicher bereitwillig die 10 takken fuer ihre kids latzen, aber die haben dann erst recht nichts verstanden.

ergo: abgelegt in der gleichen schublade wie de-mail, gesundheitskarte, e-pass, internet-not-aus-schalter und wie sie alle heissen.

na? wo bleibt mein blogtroll, der mich beschimpft, dass ich das alles ja nicht verstanden habe?

UPDATE: habe ich erst gesehen, nachdem ich das hier geschrieben hatte: heise security hats auch nochmal auf den punkt gebracht

UPDATE2. und noch ein schoener beitrag von real life

bei mir sind das immernoch 3 tage. oder hat mein paket einen tag nicht gewartet, sondern sich anderweitig beschaeftigt?

manchmal kann ich mich einfach kaputtlachen, wenn ich sowas lese. in diesem falle eine rein technische mailinliste der postfixbuch-users.

Diese Meldungen kriege ich in letzter Zeit relativ häufig:

: host 
    mx2.deppen.invalid[217.6.x.x] said: 550-5.0.0 This email was 
    rejected because it violates our security policy 550 5.0.0   
    Remotehost is listed in the following RBL lists: DNSWL.org (in
    reply to end of DATA command)
    
Mir ist nicht ganz klar, warum man eine Whitelist so einsetzen
wollte.

da hat doch tatsaechlich jemand eine whitelist als blacklist benutzt und wundert sich dann wahrscheinlich, warum nicht mehr so viele mails ankommen?

datum = windows?

immer wieder holen einem die gleichen probleme ein. gerade windows nutzer, die keine vernuenftigen editoren benutzen, machen dem rest das leben schwer. in 95% aller faelle ist es vollkommen schnurzegal, wie man seine dateien abspeichert. ein webserver unter linux nimmts halt etwas genauer (hat er ja auch recht). das passende shirt dazu (siehe bild) gibt bei getdigital

mal so als gedaechtnisstuetze fuer mich und falls jemand auch mal so ein problem hat. ich musste dateien einer webpraesenz auf einen neuen server umziehen. das problem dabei war, dass manche schon in utf-8 abgespeichert waren und der rest in iso-8859-1. abhilfe schafft ein kleines bash scriptchen, welches man als “convert.sh” abspeichert:

#!/bin/sh
if [ `file $1|grep UTF-8|wc -l` = "0" ]; then
    # datei ist kein utf-8 -> auflisten
    echo $1 >> "kein_utf8.txt"
    # konvertieren
    iconv -f ISO-8859-1 -t UTF-8 "$1" -o "$1"_conv
    # original loeschen
    rm "$1"
    # konvertierte datei umbenennen
    mv "$1"_conv "$1"
    # falls das charset angegeben ist, dann ersetzen
    sed -i 's/charset=iso-8859-1/charset=utf-8/g' "$1"
else
    # datei ist bereits utf-8 -> auflisten
    echo $1 >> "ist_utf8.txt"
fi

sicherlich nicht das non plus ultra und noch verbesserungsfaehig, aber fuer meinen zweck hat es das getan. in der datei “kein_utf8.txt” werden die aufgelistet, die umgewandelt wurden und in der “ist_utf8.txt” nur die, die schon utf-8 encoding hatten.

diese datei ruft man dann einfach in dem verzeichnis auf, von dem aus man abwaerts die z.b. html dateien konvertieren will:

find . -name "*.html" -print | xargs -i -t ./convert.sh '{}'