Aus dem Mailarchiv - Richard Morrell: You are a twat

Richard Morrell, Redhat "Security Evangelist" (wtf soll das eigentlich für eine Jobbeschreibung sein?) hat mir vor 11 Jahren mal eine Mail geschrieben. Ich weiss nicht mehr, was ich ihm damals womöglich angetan hatte.

Vermutlich eine Diskussion auf der Smoothwall Mailingliste über OpenBSD oder sowas (damit war ich zu der Zeit beschäftigt).

Der Inhalt der Mail war:

You are a twat. Just wanted to let you know.

Hier die ganze Mail:

Schöne Zeiten waren das damals :)  Ich glaub von Theo de Radt (OpenBSD) hatte ich auch mal sowas ähnliches an den Kopf geworfen bekommen. Wobei letzterer ja dafür bekannt war.








Königsberger Klopse im Baumarkt

Ich muss ja mehr oder weniger regelmäßig die Insel verlassen, um weiter südlich in Dunkeldeutschland meinem Broterwerb nachzugehen. Da ich kein junger Hüpfer mehr bin und über die Jahre diverse Eigenheiten und Marotten entwickelt habe, gönne ich mir den Luxus einer eigenen Unterkunft in Form einer formidablen Mietwohnung in einem kleineren Ort unweit meiner Arbeitsstelle, die ich nur etwa ein dutzend Wochen im Jahr mit meiner Anwesendheit beehre, was ich jetzt schon seit knapp drei Jahren so handhabe.

Bereits beim Einzug war meine erste Frage gewesen, wo man hier denn einkaufen könne. Einhellig verkündeten Vermieter und Vormieterin, dass der Ort mit einem Aldi gesegnet sei. Obwohl unerfreulich, denn ich mag den Aldi nicht, nahm ich das als gegeben hin, fügte mich in mein jammervolles Schicksal und kaufte fortan, so es die Umstände erforderten, dort ein. Ich muss erwähnen, dass die Entfernung von meiner Behausung bis zum erwähnten Aldi recht erheblich ist, so dass ich mir extra ein gebrauchtes Fahrrad kaufen musste, um dorthin zu gelangen.

Und so kommt es, dass ich alle paar Wochen das Fahrrad, welches übrigens gar furchtbar ist, aufpumpe, die Treppen runterbugsiere und zum Einkaufen fahre. Dies tat ich auch letzten Samstag. Meine Spezivorräte waren aufgebraucht. Der Aldi befindet sich in einem Gewerbegebiet. Gegenüber befindet sich ein Baumarkt mit Getränkemarkt. Dachte ich zumindest. Denn der Name des Marktes lautet "toom Markt". "toom" kenne ich aus meiner Zeit in Bayern. Sofern mich meine Erinnerung nicht trügt, handelt es sich dort um einen Baumarkt. Daher ging ich davon aus, es auch hier mit einem solchen zu tun zu haben. Dass es dort auch Getränke geben musste, ergab sich aus der Tatsache, dass ich hin und wieder Leute mit Bierkästen und ähnlichem den Markt verlassend beobachten konnte.

Just in dem Moment, in dem ich auf den Parkplatz des Aldis einbiegen wollte, ereilte mich ein Geistesblitz. Wozu im Aldi billge Pansche kaufen, wenn man doch ein vermutlich gescheites Spezi im Getränkebaumarkt kaufen könnte? Richtung geändert und vor "toom" das Fahrrad abgeschlossen.

Mir kam es unterschwellig schon immer ein wenig eigenartig vor, aus welchem Grund man in einem Baumarkt Getränke verkaufen sollte. Ich habe dieses leise Grummeln aber immer unter der Kategorie "Du bist hier in Dunkeldeutschland, da mag das anders sein" abgelegt und ignoriert. Mit der gesicherten Erwartung, auf Schrauben, Bohrmaschinen und Bierkästen zu stossen, betrat ich den Markt. Und war schockiert.

Schockiert!

Denn es handelte sich um einen Supermarkt. Einen echten Supermarkt. Mit Käsetheke, Schokoladeabteilung, Gefrierpizzakühltruhen und was eben so dazu gehört. Riesig. Schön. Supermodern. Eine wahnsinnige Auswahl. Ich staunte Bauklötzer. Und grinste von einem Ohr zum anderen. Das Gefühl lässt sich am besten nachvollziehen, wenn man sich vorstellt, zwanzig Jahre in der DDR gelebt zu haben und einen Tag nach dem Fall der Mauer Westberlin bereist und dort zum ersten Mal einen Supermarkt betritt:

"Wie im Westen!"

Freilich kann das kein "Wessi" nachvollziehen, ich gebe es zu. Aber das Gefühl war überwältigend. Der Gipfel des Luxus. Nie wieder Aldi! Gütiger! Da ich in meiner Unterkunft nicht kochen, sondern nur aufwärmen kann (die Herdplatte ist kaputt und Dank Pizzaservice hat sich eine Reparatur nie ergeben), habe ich mich umgehend eingedeckt: frisches Brot, Käse (von der Käsetheke. Teuer. Scheisse, Ja!), Schoki und ein Fertiggericht: Königsberger Klopse. Von REWE.

Und die schmecken vielleicht. Wunderbar. Und das sagt einer, der vom Fach ist (früher mal, jedenfalls). Eine Ära des Darbens und Leidens ist zu Ende. Schön. Wobei mir - alte Meckertante wie ich nun mal bin - dabei in den Sinn kommt, doch Kritik anzumelden: Wie kann man einen Supermarkt nur mit "toom Markt" beschriften? Der Markt hat auch keine Fenster nach vorne so dass man von aussen sehen könnte, um was es sich handelt. Diese Schnösel, man verzeihe mir die Verbitterung, haben mich fast drei Jahre lang leiden lassen. Ich musste Aldinahrung zu mir nehmen und Pizza bestellen. Gar schröcklich.

Die Freude überwiegt jedoch und ich kann daher zum Schluss nur eins sagen: "toom Markt" ist super. Wäre ich bei Facebook und wüsste ich, ob die dort eine Seite haben, ich täte "like" klicken. Nein wirklich!








Wehrmachtssoldaten, Google und ein Bär

Vor ein paar Tagen hatte Google ja seinen 15jährigen Geburtstag. Was auch immer man von Google halten mag, es ist doch schon erstaunlich, was Google leistet. Hier ein Beispiel von heute:

Auf Pleated Jeans bin ich auf dieses Bild gestossen, das dort unter der Rubrik "Pictures that have a lot of Explaining to do" gepostet wurde:

 

 

Und da ich gerade eh nichts besseres zu tun hatte, habe ich die mit Abstand skurrilste Google Suchanfrage abgesetzt, die ich dort je eingegeben habe Wehrmachtssoldaten mit verkleidetem Bär:

 

 

 

 

Und so skurril das ganze auch sein mag, direkt der erste Link war ein Volltreffer:

 

 

 

 

Die Antwort:

Der Bär hat sich wahrscheinlich während der Jagd ergeben und musste mit den Wehrmachtssoldaten daraufhin dieses Siegerbild machen! Es könnte aber auch symbolisch gemeint sein, heißt zum Beispiel dass es für den russischen Bären stehen könnte. Ich tippe allerdings auf einen Brauch. Ort und Datum wären hier sehr hilfreich zur Beantwortung deiner Frage. Ich schätze, dass diese Bilder während des Russlandfeldzugs entstanden sind, und der Bär auf einen Frührjahrskult hindeuten könnte. Wikipedia bestätigt das:

 

Ein ländlicher oberschlesischer Faschingsbrauch ist das Winteraustreiben bzw. Bärenführen. Symbolisiert wird  der Winter durch eine als Bär verkleidete Person. Dieser wird durch eine als Polizist verkleidete Person festgenommen. Gefolgt von weiteren verkleideten Leuten wird der Bär aus dem Ort verwiesen, wobei vorher von Haus zu Haus gezogen wird. Der Bär soll auch für das Böse stehen, das aus dem Ort herausgebracht wird. In manchen Orten besteht das Bärenkostüm traditionell aus Stroh. In der Fastnachtszeit wird auch der „Babski Comber“ bzw. „Comber“ (aus dem Deutschen: Zampern) gefeiert. Ein Faschingsfest das den Frauen vorbehalten ist, jedoch gewährt man auch den als Frauen verkleideten Männern den Eintritt.

 

Und wenn man dem nachgeht, findet man den Brauch tatsächlich bei Wikipedia beschrieben: Bärenführen.

 

Ich könnte nicht sagen, wie ich das ohne Google hätte herausfinden können. Insofern: Alles Gute zum Geburtstag, Google!

 

PS: Somit konnte ich denn auch die Frage dort bei Pleated Jeans beantworten:

 

About the last one: This is part of an quasi-religous ritual in Upper Slesia which is still practised today. Someone dresses up as a bear and some other people dressed up as police officers or something like that “arrest” the bear and lead him out of the village. It’s part of a carnival ceremony called Bärenführen (page only in german, sorry). Probably the Wehrmacht soldiers on the image were somewhere in the east (now poland) when the ceremony were upheld and participated.

 

 



29.09.2013 10:23 CC0 fun google Gefunden Null Kommentar






Yes we scan? Fail, OCB!

Eben mach ich eine neue Packung OCB Papers auf und sehe das:

Bild: Yes we scan!
Yes we scan! (Sept. 21, 2013, 2:24 p.m.)
[Tags: foto ] [Album: shots ]

21.09.2013 14:23 CC0 Gefunden Null Kommentar






Twitter Spam - Updated 22.09.2013 10:48

Ich betreibe ja für meine Schwiegereltern für deren Ferienwohnung einen Twitteraccount. Ich weiss gar nicht, warum. Irgendwie dachte ich mal, das sei eine gute Idee. Ich poste da schon seit langem nichts mehr und war eigentlich bisher nur zu faul, den zu löschen.

Hin und wieder kommt jedenfalls eine Mail von Twitter mit irgendwelchen Aufforderungen. "Finde neue Freunde!", "Diese neuesten Tweets könnten Dich auch interessieren!", "Geh Wählen!". Ja, "Geh Wählen". Nein, wirklich!

Ich frage mich.

Einmal ganz davon abgesehen, dass Wählen heutzutage ohnehin nahezu sinnlos ist, weil sich alle Parteien, die zur Wahl stehen, präzise identisch verhalten, sobald sie in den Bundestag eingezogen sind, finde ich diese Aufforderung von Twitter anmaßend.

Nichts dagegen einzuwenden, die Wahlbeteiligung erhöhen zu wollen. Aber wenn, dann sollte es dabei um echte Inhalte und nicht um leere Hülsen gehen. Nur "Geh wählen!" reicht da nicht ganz. Das ist so hohl wie die ganzen Wahlplakate, die man überall sieht: nur Gesicht, Name und Partei. Sonst nix, keine Aussage, keine Angabe, warum man diese Person wählen sollte. Nichts.

Mit dieser Art Wahlwerbung unterstreichen die Parteien selber, wie sinnlos das ganze mittlerweile ist. Inhalte sind so uninteressant geworden, dass darauf sogar auf Wahlplakaten verzichtet wird. Und Twitter bläst ins selbe Horn.

*kopfschüttel*

Hinzu kommt, dass Wählen ein Recht des Bürgers ist. Ich wüsste nicht, was ein US-Unternehmen mit meinen Bürgerrechten zu tun hätte. Schon gar nicht möchte ich von einem solchen Unternehmen auf diese Weise daran "erinnert" werden. Der Bürger, der eine solche Erinnerung nötig hat, ist kein guter Staatsbürger, denn als solcher sollte man um seine Rechte wissen. Das ist umso beleidigender wenn man bedenkt, dass das Thema Datenschutz bei Unternehmen wie Twitter überhaupt nicht vorhanden ist. Da wird alles gespeichert und an alle möglichen Behörden herausgegeben.

Und wie gesagt, von der Aufmachung und dem Text her ist es eher eine Aufforderung. Das klingt wie: "Geh wählen, sonst ...". Ja, sonst was?! Sonst darf ich mich nach der Wahl nicht über die Regierung beklagen oder was?

Am beleidigendsten ist das Duzen. Wir sind ja hier in Deutschland und da gibt es durchaus eine Unterscheidung zwischen Du und Sie. Nur weil ich bei Twitter bin heisst das nicht, dass ich und diese Leute dort Kumpels wären. Ein Du bietet man an, sonst ist es eine Frechheit wenn man von wildfremden Erwachsenen als Erwachsener geduzt wird. In diesem Fall ist das der Account meiner Schwiegereltern. Sagen wir, die würden den selber betreiben. Dann hätte Twitter einen 76-jährigen Rentner geduzt. Ja, mir ist klar was der Sinn dieses Duzens ist: es soll den Benutzer vom kritischen Abstand fernhalten, den er womöglich einnehmen könnte, würde er respektvoll gesiezt werden.

Wie dem auch sei. Ich empfinde es als nervig. Klar ist es freiwillig und klar bin ich dort nicht Kunde, sondern Produkt und muss als solches irgendwelche Produktmanagementmaßnahmen (muhaha) hinnehmen oder da nicht mitmachen. Aber man kann vernunftbegabte "Produkte" auch respektvoll und höflich behandeln.

Woanders wird auch geradezu gegen Nichtwähler gehetzt. Am Ende dieses Artikels sind noch weitere Beispiele. Echt merkwürdig. Wo soll das hinführen?


Update 22.09.2013 10:48:

Sogar Google nervt mit Wahlwerbung. Mann.

Bild: Google Wahlwerbung
Google Wahlwerbung (Sept. 22, 2013, 10:48 a.m.)
[Tags: google ] [Album: Screencaps ]







3 Beinand

Bild: Augen Links!
Augen Links! (Sept. 16, 2013, 7:54 p.m.)
[Tags: barties ] [Album: Terrarium ]
Bild: Augen Rechts!
Augen Rechts! (Sept. 16, 2013, 7:54 p.m.)
[Tags: barties ] [Album: Terrarium ]

16.09.2013 19:54 CC0 barties Terrarium Null Kommentar






Humanity!

Bruce Schneier meint, er wäre momentan etwas zu geladen:

Did I Actually Say That?

I'm quoted (also here) as using this analogy to explain how IT companies will be damaged by the news that they've been collaborating with the NSA:

"How would it be if your doctor put rat poison in your medicine? Highly damaging," said Bruce Schneier, a US computer security expert.

Not the most eloquent I've been recently. Clearly I need to relax.

Worauf ihm ein Kevin antwortet:

@Bruce:

Good Sir;

As a man married to a (now) clinical psychologist since we were both undergrads, I urge you to consider your emotive "outburst" a symptom of your sanity responding to an ethical outrage.

Humans, and all their motives are not reduced to code, nor to the sterile language of academia.

Sincerely,

Kevin

Und darauf Buck meint:

@Kevin

Seconded! (Not the personal bits, but about the trials & tribulations of being sane in a world ruled by the truly insane ;-)

"The point is, you see," said Ford, "that there is no point in driving yourself mad trying to stop yourself going mad. You might just as well give in and save your sanity for later."
- Douglas Adams, "Life, the Universe and Everything" (1982)


So ist es nämlich.


13.09.2013 18:24 CC0 nsa Gefunden Null Kommentar






DigiProof: Digitales Testament

Ich hatte mir zu dem Thema digitales Erbe ja schon mal vor einiger Zeit Gedanken gemacht. Inzwischen hatte ich die glorreiche Idee, dafür eine Software zu schreiben, mit der man so ein Testament komfortabel anlegen und verwalten kann. Das "glorreich" klingt etwas ironisch, was (leider) Absicht ist.

Am Anfang hatte ich mich gefragt, wie man so eine Software am besten schreiben kann, so dass sie von möglichst vielen Leuten benutzt werden kann. Es gäbe da diverse Varianten, die mir eingefallen sind:

  • Als native Binary. Das heisst, z.b. in C++ geschrieben und für diverse Plattformen native übersetzt, also als Linux ELF Binary, Windows Exe oder MacOSX App. Die Schwierigkeit - für mich jedenfalls - dabei ist, ein portables GUI Programm zu schreiben. Ich habe mit native GUIs wenig Erfahrung, am ehesten noch mit Perl-TK, was aber für so ein Projekt nicht in Frage käme. Hinzu kommt, dass es für die diversen Systeme die verschiedensten Installationsmethoden gibt. Da ist man jahrelang am rumfrickeln, bis man wirklich die wichtigsten Plattformen untersützt. Also so eher nicht.
  • Als ausfüllbares Dokument. Hier müsste man sich nicht mit irgendwelchen Softwareinstallationen und Portabilität herumschlagen. Allerdings gibt es kein Dokumentenformat, das Formularfelder über alle Plattformen zuverlässig unterstützt. PDF käme dem noch am nähesten, aber unter Unixsystemen ist der Support eher bescheiden. Viel Ahnung hab ich davon auch nicht. Und die Datenpflege in so einem ausgefüllten Formular stelle ich mir auch eher eklig vor. Auch gestrichen.
  • Als Webservice. Das klingt zunächst charmant und in dem Bereich habe ich das meiste Knowhow. Charmant ist das aber nur auf den ersten Blick. Denn ein Webservice bedeutet, dass die Zugangsdaten der Accounts, die man da einträgt, auf einem Server im Netz liegen würden. Und da der Benutzer da immer rankommen können muss, muss es am Server entschlüsselbar sein. Das ist alles der reinste Alptraum und gar nicht machbar. Vom NSA Problem mal ganz abgesehen.
  • Als lokale Javascript App. Ich verwende ja nach wie vor TiddlyWiki, das ist so eine App. Das ist einfach eine HTML Datei, die man sich auf die lokale Platte packt, lokal via file:/// im Browser öffnet und dort Notizen einträgt. Das funktioniert wunderbar, ist portabel und erfordert beim Benutzer keine grossen Aktionen mit Softwaresetups etc. Das klang für mich nach DER tollen Idee.

Die letze Variante habe ich dann umgesetzt. Ich habe unter Verwendung von ember.js eine Javascript App erstellt, mit der man ein digitales Testament erstellen und ausdrucken kann. Die App funktioniert ganz hervorragend, ich hab sie sogar im IE zum Laufen gekriegt.

Im Lauf der Entwicklung hat sich dann jedoch herausgestellt, dass ich da wohl etwas vorschnell und unüberlegt entschieden hatte. Ein Bekannter hatte die Problematik gut auf den Punkt gebracht: Was? Javascript? Und DA soll ich meine ganzen Zugangsdaten eintragen? NEVER EVER! Und er hatte Recht: klar, lokal im Browser geöffnet kann das Teil theoretisch nicht aufs Internet zugreifen und selbstverständlich habe ich auch nicht so eine Funktionalität eingebaut. Nur wer soll mir das glauben? Angesichts der aktuellen Ereignisse um die NSA ist ja vor allem eines sonnenklar: Vertrauen war einmal. Denn ich hatte eigentlich ursprünglich vor, die Idee zu Geld zu machen, sprich: die Software zu verkaufen oder sowas.

Aus dem Vertrauensproblem ergibt sich zwangsweise, dass ich die Software als OpenSource veröffentlichen muss. Dazu gibt es keine Alternative. Unbeteiligte müssen in der Lage sein, anhand des Source zu beurteilen, ob meine Aussagen über die Software stimmen. Ich kann die Software freilich unter die GPL stellen UND trotzdem dafür Geld verlangen. Ich vermute aber mal ganz vorsichtig, dass das wahrscheinlich kein erwähnenswertes Geschäft werden wird, da sich ja jedermann den Source auch einfach ziehen kann. Und da es Javascript ist, muss man da auch nichts compilieren oder so. Runterladen, im Browser aufmachen, gut ist.

So. Das ist der Stand der Dinge. Ich habe nun also die Ehre, die Software hier an dieser Stelle als BETA zu veröffentlichen. Man kann die vorerst testweise benutzen und ausprobieren, bis ich mir überlegt habe, wie es damit letztlich weitergeht.

Hier ein paar Screenshots von dem Tool:

So sieht der Hauptscreen aus:

Man muss einige persönliche Angaben machen:

Hier wird ein Erbe eingegeben:

Und hier die Eingabe der Daten für einen Account, den zuständigen Erben und was der damit machen soll:

So sieht es nach der Eingabe aus:

Das ist das fertig generierte und ausgedruckte Testament:

Hier auch nochmal als PDF: Beispiel Testament Ausdruck (PDF)

 

Man kann die Daten verschlüsselt exportieren:

 

Und natürlich später wieder importieren:

Der Export sieht so aus:

Den Source der aktuellen BETA 2013-09-11-232202 gibt es bei Github.

Hier in Kurzform eine Featureliste:

  • in Javascript/HTML/CSS geschrieben, plattformunabhängig
  • Daten werden nur temporär und nur lokal gespeichert, es wird nichts irgendwo hochgeladen
  • man kann beliebige Accounts anlegen, pro Account die Zugangsdaten, den Erben und was damit zu tun ist
  • man kann ausserdem beliebig viele Erben anlegen, pro Erben auch einen Vertreter/Ersatz
  • das Anlegen von Erben ist optional, per Default würden dann die normalen Erben Rechtsnachfolger (also die, die durch Testament oder gesetzliche Erbfolge erben)
  • das Testament kann man ausdrucken, pro Erbe wird extra ausgegeben, so dass ein Notar jedem Erben getrennte Dokumente aushändigen kann
  • man kann die Daten verschlüsselt exportieren (Verschlüsselt mit einem 32fach mit SHA256 Hash aus einem Passwort mit AES256 im CBC Mode, mit einem Authentication MAC SHA512) und später wieder importieren.
  • Unterstützung für Mehrsprachigkeit, derzeit deutsch und englisch (orientiert sich nach den Browsereinstellungen), hier mal ein Screenshot mit deutscher Sprache.

Zu guter Letzt ein Hinweis: Benutzung auf eigene Gefahr! Ich übernehme keine Gewähr für entstandene Schäden!








Warum man WhatsApp nicht nutzen sollte

  • Telefonnummer unverschlüsselt übertragen: Die Telefonnummer wird unverschlüsselt auf einen Server in den USA übertragen. Immer.
  • Das komplette Telefonbuch wird auf den Whatapp Server übertragen: Bei der Erstanmeldung (und auch später) wird das vollständige Telefonbuch des Handys zum Whatsapp Server übertragen. Enthalten sind die Telefonnummern und Namen aller Kontakte. Als Antwort erhält die App vom Server eine Liste aller Kontakte, die bei Whatsapp teilnehmen. Die Kontakte wiederum werden von ihrer App über den neuen Teilnehmer informiert.
  • Authentisierung ist hochgradig unsicher: Als Benutzername wird die Telefonnummer verwendet. Als Passwort auf dem iPhone die MAC-Adresse des WLAN-Interfaces und auf Android die IMEI (Hardware-ID). Jeder, der diese Daten hat, kann Nachrichten fälschen.
  • Die Verschlüsselung von Nachrichten ist unsicher: Erst im August 2012 hat Whatsapp angefangen, übertragene Nachrichten zu verschlüsseln. Die implementierte Methode ist unsicher, funktioniert nicht und ist mit zumutbarem Aufwand knackbar.
  • Bezahlsystem unsicher: Bei der Abobezahlung wird HTTPS nicht erzwungen. Ein Angreifer kann einen Benutzer umleiten und so an seine Bankdaten (Kreditkarte) gelangen. Die Angriffsmethode ist seit etwa 10 Jahren bekannt.
  • Datenbankverschlüsselung ist unsicher: Es handelt sich nicht um Verschlüsselung im eigentlichen Sinne, sondern eher um eine Art Verbergen. Gelangt ein Angreifer in den Besitz eines Telefons mit installiertem Whatsapp, kann er ohne viel Aufwand die Datenbank öffnen und auslesen.
  • Inkompetente Entwickler: Die Whatsappentwickler sind bekanntermaßen inkompetent was Themen wie Kryptographie, Netzsicherheit oder Privatsphäre anbelangt. Die oben aufgelisteten Probleme sind zum Teil seit Jahren bekannt und wurden bisher noch nicht erfolgreich behoben. Entweder weil die Entwickler die Sache noch schlimmer gemacht haben oder weil sie die Problematik ignoriert haben. Das Unternehmen verklagt regelmäßig Sicherheitsexperten, die Fehler in der App bekannt machen.

Quellen:








2 meiner Garnelen

Heute nicht viel, nur ein Foto:

Bild: Garnelen
Garnelen (Sept. 8, 2013, 8:20 p.m.)
[Tags: aquarium2013 ] [Album: Aquarium ]