Archiv

Archive for the ‘Microsoft’ Category

Kostenlose SSL-Zertifikate, auch für IE

2009-11-22 14 Kommentare

Um verschlüsselte Verbindungen über SSL bzw. HTTPS zu ermöglichen, benötigt man als Server-Betreiber ein SSL-Zertifikat. Diese werden von Zertifizierungsstellen, sogenannten CAs, ausgegeben. Die CA überprüft, ob der Bestellende wirklich berechtigt (also Inhaber der Domain) ist, und stellt dann meist gegen viel Geld das Zertifikat aus. Damit kann sich die Website gegenüber einem Browser „ausweisen“ und eine sichere, verschlüsste Verbindung wird möglich. Details gibt es in meinem ausführlichen SSL-Artikel, wo auch noch ein paar Worte über die Sicherheit von SSL stehen.

Nur Zertifikate von CAs, die der Browserhersteller als vertrauenswürdig in den Browser eingebaut hat, werden als gültig erkannt. Deswegen ist es schwierig, eine neue CA aufzubauen, denn die Kriterien für eine Aufnahme sind streng und es gibt viele Browserhersteller, die man zur Aufnahme bewegen muss. Aus diesem Grund gab es bis vor kurzem keine CA, die kostenlos Zertifikate ausgegeben hat und von allen gängigen Browsern akzeptiert wurde. CAcert und StartCom/StartSSL vergeben seit langem kostenlose Zertifikate. CAcert ist jedoch weder in Firefox noch im Internet Explorer als vertrauenswürdig enthalten. Somit kann man CAcert nicht für Seiten benutzen, die von Normalnutzern besucht werden, denn diese würden eine hässliche Sicherheitswarnung erhalten. StartSSL war schon länger in Firefox enthalten, jedoch nicht im Internet Explorer, und war für ernsthafte Nutzung mit unerfahrenen Nutzern daher auch ungeeignet.

StartSSL hat es jetzt aber endlich geschafft, in den Internet Explorer aufgenommen zu werden. Der Internet Explorer akzeptiert die kostenlosen StartSSL-Zertifikate somit seit kurzem als gültig. Dank einer eingebauten Auto-Update-Funktion funktioniert das auch mit veralteten Versionen des IE! Ein IE 6.0 aus meiner Sandbox-VM, Stand Anfang 2008, hat das Zertifikat anstandslos akzeptiert. Mozilla Firefox, Apple Safari (inkl. dem iPhone-Browser), Opera, Google Chrome und einige andere akzeptieren StartSSL schon länger, damit sind alle gängigen Browser abgedeckt. (Lediglich Konqueror unter einer aktuellen (K)Ubuntu-Version hatte Probleme damit.) StartSSL ist somit endlich eine voll einsetzbare CA geworden, und somit gibt es endlich kostenlose SSL-Zertifikate für alle! (StartSSL bietet übrigens auch EV-Zertifikate zu relativ humanen Preisen an.) Edit: Opera (etwa 5% Marktanteil) unterstützt StartSSL scheinbar leider doch noch nicht.

Als Serverbetreiber muss man übrigens der CA nicht besonders vertrauen (solange man nicht irgendwelche sehr besonderen Sachen macht wie Client-Zertifikate, aber das weiß man dann), wichtig ist nur, dass die Browser die CA akzeptieren. Eine bösartige, aber in Browsern als vertrauenswürdig eingetragene CA kann sich jederzeit für jede Website ein Zertifikat ausstellen lassen, unabhängig davon, ob der Websitebetreiber dort Kunde ist oder nicht. Die eigene CA könnte höchstens das eigene Zertifikat widerrufen und somit ungültig machen, aber mehr auch nicht. Darüber hinaus hat die CA noch ein paar persönliche Angaben, die aber bei einfachen Zertifikaten nicht über das hinausgehen, was die meisten Online-Shops auch wissen. Insbesondere den privaten Schlüssel des Zertifikats hat die CA normalerweise nicht! Es gibt zwar oft die Möglichkeit, die CA diesen Schlüssel generieren zu lassen, aber man kann es auch richtig machen und das selbst tun und den eigenen Schlüssel zertifizieren lassen. Selbst wenn man der CA also aus welchem Grund auch immer nicht vollständig vertrauen sollte, kann man sie als Serverbetreiber dennoch nutzen.

Ich erhalte für diesen Artikel keine Vergütung o.ä. von StartSSL/StartCom. Diesen Artikel habe ich geschrieben, weil es mich ankotzt, dass Firmen für das simple Ausstellen eines einfachen domain-validierten Zertifikats horrende Preise (oft sogar dreistellig!) verlangen, und weil ich froh bin, das es endlich eine kostenlose Alternative gibt und ich auf diese hinweisen möchte. Ich selbst habe von der Aufnahme in den IE auch erst heute erfahren. Nutzt diese kostenlose Möglichkeit, um die Datenübertragung zu euren Webseiten zu sichern! Macht diese Möglichkeit bekannt, damit die kommerziellen CAs ihre überzogenen Preise endlich etwas realistischer machen müssen.

Werbeanzeigen

Mischmasch 5 – Sicherheitswahn ohne Ende

Ich war ne Woche weg und weiß nicht, wie viel Unsinn von Schäuble und Co ich dabei verpasst hab. Aber das, was ich danach noch zu Gesicht bekommen hab, reicht, um in meinem Firefox sieben Zeilen offener Tabs und 50% CPU-Last zu haben. Und für zwei Tage Schreibarbeit. Zunächst einmal kurz drei nicht-Sicherheitswahn-Dinge:

Im Blog „Besitzstandwahrer“ findet sich eine zwar ein wenig polemische, aber dennoch gute und zum Nachdenken anregende Auflistung, welche Änderungen im Bereich Wirtschafts- und Sozialpolitik es gab. Dabei wird gegenübergestellt, wie Arbeitnehmer zunehmend be- und die Wirtschaft zunehmend entlastet wurde.

Einige Unternehmen und Verbände der US-Contentindustrie haben sich zu einer sogeannten „Copyright Alliance“ zusammengeschlossen. Diese soll natürlich dazu dienen, die Interessen der Contentindustrie durchzusetzen und in Gesetze zu gießen. Zusätzlich sollen leicht beeinflussbare Jugendliche mit Propagandamaterial versorgt werden, vermutlich um sie dann als Informanten oder zumindest Unterstützer zu gewinnen, da inzwischen wohl auch die Contentindustrie gemerkt hat, dass sie ganz alleine nicht gegen die gesamte Bevölkerung ankommt. Hoffentlich wird genung Gegenöffentlichkeit entstehen, um auf das Problem aufmerksam zu machen, die Verbreitung des Propagandamaterials zu verhindern und dafür zu sorgen, dass Politiker den Willen der Bevölkerung und nicht den von Lobbyisten vertreten. Es ist zwar unwahrscheinlich, aber ich wünsche den Amis viel Glück, und falls sie es nicht schaffen, viel Spaß…

Der CDU-Politiker Geißler wird von Parteikollegen unter Druck gesetzt, weil er aus Protest gegen die Repression beim G8-Gipfel attac beigetreten ist. Hier sieht man schön, wie es innerhalb der CDU akzeptiert wird, wenn ein Politiker wirklich nach seinem eigenen Gewissen entscheidet. Sehr demokratisch. Die Begründung, dass das freie Demonstrationsrecht vom Grundgesetz garantiert werde und dafür attac nicht nötig sei, ist blanker Hohn: Genau dieses Demonstrationsrecht wird zurzeit – nicht gerade gegen den Willen der CDU – beschränkt, wo es nur geht – selbst wenn es gegen das Grundgesetz verstößt.

Im Lawblog gibt es ein Video zu sehen, auf dem Merkel eine Totalüberwachung fordert, insbesondere, um Kleindelikte wie Falschparken etc. zu verfolgen – und zwar fordert sie, dass es ohne Diskussionen eingeführt wird. Das Video soll echt sein. Ich frage mich echt, was sie sich dabei gedacht hat bzw. ob sie sich etwas dabei gedacht hat, aber ich denke der Begriff „Freiheitlich-demokratische Grundordnung“ sind ihr wohl dabei nicht eingefallen.

Der in den USA kritisierte Fluggastdatenzugriff ist jetzt offenbar in Deutschland geplant. Der unzureichend ausgestattete Zoll soll auf die Passagierdaten der Fluggesellschaften zugreifen dürfen – was genau damit gemeint ist, ist unklar, aber datenschutztechnisch korrekt wird es wohl nicht sein. Denn wenn heutzutage auf Daten zugegriffen wird, dann richtig.

Die biometischen Daten in Personalausweisen und Pässen sind nur dafür gedacht gewesen, um Fälschungen und Betrügereien zu verhindern – und nur deswegen sind sie auch durchgekommen. In der üblichen Salamitaktik wird nun versucht, sie zu einer Fahnungsmethode zu machen, indem sie zentral zu Fahndungszwecken gespeichert werden sollen. Dazu die taz und ein Kommentar von Der Große Bruder. Hier sieht man, dass aufgrund der Salamitaktik-Gefahr sämtliche missbrauchbare Maßnahmen, so sinnvoll sie sein mögen, abgelehnt werden müssen.

Der in Großbritannien ohnehin schon extrem ausgeprägte Wahn geht noch viel weiter: Inzwischen will die Polizei Drohnen einsetzen. Dabei handelt es sich um kleine Fluggeräte, die selbstständig oder ferngesteuert irgendwo hinfliegen und Fotos oder Videos machen – fliegende Überwachungskameras. So etwas war bisher nur Dystopien wie der Welt von Half-Life 2 (ob der Rest auch bald kommt?) vorbehalten. Auf dem letzten CCC-Kongress wurden die Drohnen jedenfalls vorgestellt, hier gibt es ein Video (sehr empfehlenswert, aber lang. Zum Abspielen am Besten mplayer nehmen, der kann es dann in 1.5-fach-Geschwindigkeit abspielen, Tastenkombi ALTGR+9.). Angeblich sollen die Leute sogar noch dankbar für die Überwachung sein, weil sie ja sooo viel mehr Sicherheit bietet. Sollte das wirklich stimmen, tun mir diese Menschen leid – und noch mehr leid tun mir die vernünftigen Menschen, die dafür fertig gemacht werden, dass sie auf die Frage „Wollt ihr die totale Überwachung“ nicht ein lautes „JAA!“ von sich geben.

Weiterhin sollen in Großbritannien auch von Ärzten und sonstigen Vertrauenspersonen Daten darüber gesammelt werden, wie groß die Gefahr ist, dass jemand „kriminell“ wird (in Großbritannien zählt ja inzwischen auch das Wegwerfen von Müll auf der Straße als schwere Straftat – dummerweise gibt es in London keine Mülleimer mehr, weil da Terroristen Bomben reinwerfen könnten. Da habe sogar ich meinen Müll – nachdem ich ihn eine Viertelstunde mit mir herumgetragen habe – auf die einfache Art und Weise entsorgt). Menschen sollen offenbar quasi Verbrechens-„Scorewerte“ zugewiesen werden, auf deren Basis wohl früher oder später auch präventiv gehandelt wird. Minority Report lässt grüßen. Jedenfalls würde ich inzwischen lieber in die USA oder nach Russland (da trifft es einen wenigstens „nur“ wenn man sich politisch engagiert) reisen als nach Großbritannien.

In den USA hat MySpace jetzt die Accounts von Sexualstraftätern gelöscht und die Daten den Ermittlungsbehörden gegeben. Wer einmal eine Sexualstraftat begangen hat, hat also offenbar kein Recht, MySpace zu nutzen, selbst wenn er sich gebessert hat und es nicht für weitere Straftaten nutzt. Es ist zwar die Entscheidung von MySpace, aber mal weitergedacht: Man könnte ja Sexualstraftätern den Zutritt zu Kaufhäusern verbieten. Oder zur U-Bahn. Oder man könnte sie gleich lebenslang unter Hausarrest und Totalüberwachung stellen. Oder sie gleich hinrichten. Es fängt immer im Kleinen an.

Bayern hat nun auch eine Datei für aus der Haft entlassene Sexualstraftäter. Dieses Vorhaben ist weit weniger verrückt und bedenklich als sonst: Es kommen nur rechtskräftig Verurteilte rein, eine Rückfallgefahr besteht durchaus und zudem soll der Zugriff sogar auf wenige Beamte beschränkt sein. Wünschenswert wäre eigentlich nur noch eine automatische Löschung der Daten nach einem bestimmten Zeitraum, sofern die nicht enthalten ist.

Der Bundesdatenschutzbeauftragte Peter Schaar setzt sich glücklicherweise gegen die Bemühungen der Contentindustrie ein, ohne Gerichtsbeschluss zu einer IP den Anschlussinhaber ermitteln zu können. Die Contentindustrie und inzwischen auch die CDU/CSU und die FDP vergleichen die IP mit einer Telefonnummer, was an sich schon falsch ist. Aber selbst ausgehend von diesem Vergleich kann man immer noch schön den Unsinn davon zeigen. Die Aussage „Die Abfrage der Bestandsdaten sei somit einer Telefonauskunft gleichzustellen“ würde nämlich bedeuten, dass die Zuordung einer IP zu einer Person genauso gehandhabt werden soll wie die Zuordnung einer Telefonnummer zu einer Person. Dies gibt es. Es heißt Rückwärtssuche und ist nur zulässig, wenn der betreffende Anschlussinhaber zugestimmt hat. Noch nicht mal, wenn man den unsinnigen Vergleich also akzeptieren würde, wäre also die Aussage richtig! Mal abgesehen davon habe ich eh die Lust, mir mein Frühstück nochmal durch den Kopf gehen zu lassen, wenn ich bedenke, dass die „Beweise“ (IP-Logs) von der Contentindustrie produziert werden und auf dieser Basis dann geklagt wird, bei eventuellen Hausdurchsuchungen von der Contentindustrie bezahlte „Experten“ die beschlagnahmten Festplatten durchsuchen – das Einzige, was fehlt, ist noch, dass sie gleich zum Gericht werden. Insbesondere bei der FDP überrascht es mich, dass sie sich eindeutig gegen Datenschutz engagiert. Das sowieso schon eher halbherzige Engagement in dem Bereich ist somit nicht wirklich ernst gemeint. Neben der Piratenparei sind wohl nur die Grünen und die Linkspartei Parteien, die den Datenschutz fördern, vieleicht noch die SPD, falls sie mal eigenständig entscheiden kann statt der CDU alles Recht machen zu wollen (wodurch sie mein Vertrauen auch verloren hat).

Die Polizei nimmt jetzt auch Geruchsproben von G8-Gegnern. Insbesondere da es sich dabei um potenzielle Opfer politisch motivierter Repressalien handelt, ist dies bedenklich. Das letzte Mal wurde diese Methode auf deutschem Gebiet in der DDR von der StaSi angewandt. Neben der beweistechnisch eher unbrauchbaren Benutzung, bei der ein Hund an einem Tatort schnüffelt und den Geruch dann mit einer Probe vergleicht, könnte man solche Proben sicher verwenden, um Hunde auf die Fährte einer Persona non grata setzen, die sich versteckt oder auch z. B. versucht, das Land zu verlassen. Wie bereits die biometrischen Daten in den Pässen gezeigt haben, sieht man, dass eine über den ursprünglichen Zweck hinausgehende Benutzung wohl stattfinden wird (Salamitaktik, siehe oben) und deswegen darf schon die Erfassung nicht stattfinden.

UPDATE: Diese Praxis wird nun breit kritisiert (außer von Herrn Schäuble und der CDU/CSU – die befürworten und verteidigen sie). Im Spiegel steht ein guter Artikel mit vielen Hintergründen (und Hinweis auf die StaSi). Für die Geruchsprobe gelten rechtlich die gleichen Vorschriften wie für Fingerabdrücke. Rechtswidrig ist sie also nicht, was allerdings nichts an meiner obigen Einschätzung ändert – die Missbrauchsgefahr bleibt! Das Lawblog schreibt auch über den wörtlich zu nehmenden „Schnüffel-staat“. Tagesschau und Spiegel schreiben darüber, dass viele Politiker diesen Unsinn ablehnen und die Polizeigewerkschaft und Schäuble und die CDU sie verteidigen. Die Welt schreibt, dass die Kritik unberechtigt sei und die Geruchsproben nur zum Vergleich mit Proben von einem Tatort dienen würden. Die Geruchsproben würden nicht archiviert. Wenn dies stimmt, wäre natürlich auch die obige Missbrauchsgefahr nicht gegeben (ob dies stimmt, stellt sich wohl nach dem G8-Gipfel heraus, ich bin gespannt…). Seltsam ist allerdings, dass diese an die Stasi erinnernden Methoden gerade gegen G8-Gegner eingesetzt werden – vieleicht zur Einschüchterung?

Wie schnell man Terrorverdächtiger wird und warum die Anti-Terror-Daten und ähnliche Datenbanken sofort abgeschaltet und gelöscht werden sollten, zeigt ein SZ-Artikel: Bei einem Dozenten kommt es zu einer Hausdurchsuchung (ergo: er steht unter Verdacht, ist aber nicht verurteilt!), dabei werden Seminarlisten beschlagnahmt. Die Studenten müssen nun befürchten, obwohl sie sich überhaupt nichts haben zu schulden kommen lassen, in einer der Anti-Terror-Datenbanken aufzutauchen, was in ihrem späteren Leben zu durchaus unangenehmen Problemen führen kann (Reisebeschränkungen, geraten leicht in Verdacht…) Dies wird von offizieller Seite zwar dementiert, aber inwieweit man sich darauf verlassen kann?

Eine andere Möglichkeit, Verdacht auf sich zu lenken, ist es, das Internet zu nutzen. Ein Telepolis-Artikel zeigt eindrucksvoll, wie bereits jetzt bloße Suchbegriffe dazu dienen können, Hausdurchsuchungen zu rechtfertigen. Wenn das bereits für einen hinreichenden Tatverdacht reicht, dann habe ich echt ein Problem – für meine Geschichte 2k vs. 0 suche ich recht häufig nach den genauen Daten von irgendwelchen Waffen oder Sprengstoffen. Für dieses Posting im Golem-Forum habe ich genau die Informationen gesucht, die auch ein Terrorist haben wollte: Sprengkraft von C4 (dazu habe ich nichts gefunden) und Gewicht und sonstige Infos über amerikanische M-67 Splittergranaten. Trotzdem bin ich kein Terrorist – dennoch könnten in Zukunft solche Begriffe reichen, um eine Hausdurchsuchung auszulösen. Allein schon diese Angst stellt meiner Meinung nach eine Bedrohung des Rechtsstaats dar – es gibt sicher einige, die aus der puren (und oft nicht unberechtigten!) Angst, sie könnten in irgendwelchen Listen landen, Äußerungen oder Handlungen unterlassen. Weiterhin könnte Ziel der Aktionen in letzter Zeit auch eine Einschüchterung politisch links orientierter Menschen sein – zur Zeit kann man davon allerdings noch nicht ausgehen.

Wie rechtsstaatliche Grundsätze bei Ermittlungen ignoriert werden, zeigen diese zwei Einträge im Lawblog. Im ersten Fall wird gezeigt, wie ein Zeuge ein Kennzeichen eines Autos nicht mehr richtig weiß (der Fahrer hat jemanden angegriffen) und deswegen der erstbeste Halter eines ähnlichen Fahrzeugs mit ähnlichem Kennzeichen vorgeladen wird – und auch noch gleich in der Datenbank landet. Bei der nächsten Verkehrskontrolle wird dann halt etwas gründlicher hingeschaut, und wenn er später einmal wegen irgendwas verdächtigt wird, sieht gleich jeder „Ah, der war schon mal verdächtig“ und assoziiert das gleich mit „Wiederholungstäter“. Im zweiten Fall wird einem Zeugen ein Foto eines Verdächtigten vorgelegt und einfach nur gefragt „War er das?“ statt mehrere ähnliche Fotos vorzulegen und zu fragen „war es einer von denen?“. Letztere Methode bietet die Sicherheit, dass der Zeuge sich nicht so leicht irren kann – er weiß nicht, welcher der Beschuldigte ist, und wenn er sich nicht sicher ist, merkt er es. Wenn nämlich der Verdächtige dem Täter einfach nur ähnlich sieht, ist die Gefahr recht groß, dass bei der ersten Methode der Zeuge „Ja“ sagt. Bei der zweiten Methode ist eher ein „Ich weiß nicht“ zu erwarten, wenn der Täter nicht in der Liste ist, und selbst wenn der Zeuge eines der Fotos für das vom Täter hält – es besteht eine Chance von 60-80% (je nach Anzahl der Fotos), dass es sich dabei um das falsche Foto (eines der Vergleichsbilder) handelt. Zum Glück hat in diesem Fall der Rechtsstaat funktioniert, der „Beweis“ war wertlos und es kam zum Freispruch.

Auch andere Medien bemerken die systematische Aufhebung von Grundrechten. Zudem hält sich die Polizei meist noch nicht einmal an geltende Gesetze (Ein Polizeibeamter sagte sinngemäß: „Es gibt keine datenschutzrelevanten Dinge“!) Um dem Einhalt zu gebieten, müssten inzwischen Beweisverwertungsverbote oder zumindest eine persönliche Strafbarkeit (in Theorie und Praxis) von Beamten, die Gesetze verletzen, eingeführt werden.

Weil Schäuble mit seinem Irrsinn in Deutschland für seine Ansprüche nicht gut genug (aber immer noch viel zu gut) vorankommt, setzt er seine kranken Ideen jetzt über die EU-Ebene um. Insbesondere will er den Einsatz von Streitkräften im Inneren durchsetzen (wenn er die Bundeswehr nicht in Deutschland einsetzen kann, schickt er sie eben nach Frankreich um dort Polizeiaufgaben zu übernehmen und leiht sich dafür im Gegenzug für deutsche  Polizeiaufgaben französische Streitkräfte) Insbesondere will er wie immer eine EU-weite Totalüberwachung einführen.

Langsam wirds zu viel

2007-03-31 6 Kommentare

Langsam wird es echt zu viel, was in der Welt an Unsinn abläuft. Ich kommentiere alles nur kurz, da ich nicht die Zeit und Lust habe, ausführliche Artikel zu verfassen und anderswo schon oft alles Wichtige gesagt wurde. Wer mehr wissen will, kann die verlinkten Artikel lesen. Wer Fragen an mich hat, mehr wissen will, etwas ergänzen möchte etc.: Unten ist ein anmeldefreies Kommentarfeld.

Schäuble hat die Anti-Terror-Datei aktiviert. Damit können alle Sicherheitsbehörden auf die Daten von „Terrorverdächtigen“ zugreifen. Dinge wie Persönlichkeitsrecht, Datenschutz und Privatsphäre interessieren Schäuble dabei natürlich nicht. Es würde mich interessieren, ob er wirklich mit guten Absichten handelt und denkt, für die Sicherheit in einem Rechtsstaat sei die langsame Abschaffung rechtsstaatlicher Grundsätze hilfreich, oder ob er plant, so früher oder später ihm unliebsame Meinungen mit Polizeistaatsmethoden auszuschalten. Zitat aus der oben verlinkten Heisemeldung:

In einem ersten Schritt sind in der […] Anti-Terrordatei die so genannten Grunddaten islamistischer Terrorverdächtiger enthalten. Dies sind Informationen wie Namen, Geschlecht, Geburtsdatum und ­ort, Staatsangehörigkeiten, besondere körperliche Merkmale, Lichtbilder oder die „Fallgruppe“. In letzterer ist auszuführen, ob es sich etwa um ein Mitglied oder einen Unterstützer einer terroristischen Vereinigung, extremistischen Gruppierung mit Hilfsleistung für eine solche, einen Ausübenden, Unterstützer, Vorbereiter oder Befürworter terroristischer Gewalt wie Hassprediger oder eine Kontaktperson handelt. Dabei müssten „tatsächliche Anhaltspunkte“ vorliegen, dass Berührungspunkte zum Terrorismus vorhanden seien, betonte BKA-Präsident Jörg Ziercke. Der Bäcker, bei dem sich ein Verdächtiger Brötchen hole, dürfe etwa nicht gespeichert werden.

In einem ersten Schritt? Aha, mehr ist also geplant. Unter „Hassprediger“ könnte man auch jeden auftauchen lassen, dessen Meinung Schäuble nicht passt. Der Bäcker darf vieleicht nicht gespeichert werden, aber ob das so funktionieren wird? In bereits existierenden Dateien (z. B. Gewalttäter Sport in Deutschland, No-Fly-List in den USA) stecken bereits ziemlich viele vollkommen Unschuldige ohne Bezug zu Terror und Gewalt – es würde mich wundern, wenn es hier anders sein wird. Außerdem könnte jeder, der drinsteht, nicht als „verdächtig“, sondern als „ziemlich sicher schuldig“ gelten – eine Aufhebung einer weiteren rechtsstaatlichen Grundlage, der Unschuldsvermutung. Insbesondere im Zusammenhang mit der Aufnahme von Leuten, die leichte Verdachtsmomente bieten (z. B. „Ist Muslim“) wird das wohl sehr unschöne Folgen haben. In den USA sieht man sie bereits: Viele Unschuldige werden in ihrem Leben eingeschränkt, weil wieder mal was schiefgelaufen ist.

ERGÄNZUNG: Ich hatte noch ein wichtiges Zitat vergessen. (Aus dem Heise-Artikel)

So betonte [Schäuble], dass „ein Höchstmaß an Datenschutz gesichert“ und der Datenschutz „kein Feigenblatt, sondern ein Maßanzug“ für die Anti-Terrordatei sei.

Den Eindruck habe ich zwar auch, nur verstehe ich „Maßanzug“ anders. Ich verstehe auch nicht ganz, wieso sich die Anti-Terror-Datei unter dem „Feigenblatt“ des Datenschutzes verstecken sollte, denn mit Datenschutz hat sie ja nicht wirklich was zu tun. Mit dem „Maßanzug“ kann ich aber zustimmen: Die Datenschutz-Gesetzgebung wurde wirklich „maßgeschneidert“: Wo sie störte, wurde eine Ausnahme für die Anti-Terror-Datei geschaffen. So hat Schäuble das wohl nicht gemeint. Ob er sich verplappert hat?

Das US-Department of Homeland Security (die Antiterrrorbehörde) fordert den Generalschlüssel für das Domain Name System und somit für das Internet. Dazu ist etwas Hintergrundwissen nötig. Gibt man z. B. „www.google.de“ in den Webbrowser ein, muss der Computer zuerst die IP-Adresse (vergleichbar mit einer Telefonnummer) des Servers, der die Website http://www.google.de beinhaltet, herausfinden. Dazu fragt er einen sogenannten DNS-Server „Welche IP hat http://www.google.de?“. Dieser Server holt sich die Antwort vom zentralen Server und beantwortet die Frage (stark vereinfacht) „Die IP ist 209.85.135.104“. Dann verbindet sich der eigene Rechner zu dieser IP und sendet den Befehl „Website schicken“, woraufhin der Google-Server die Website an den anfragenden Rechner schickt und dieser die Seite anzeigt. Wenn nun der DNS-Server eine andere IP liefern würde, würde der Computer nicht bei Google, sondern z. B. bei der US-Regierung nachfragen und könnte eine gefälschte Website geliefert bekommen. Um Manipulationen zu verhindern, sollen nun die DNS-Daten mit einem Schlüssel gesichert werden – und diesen Generalschlüssel will die US-Regierung, die somit zur Regierung des weltweiten Internets würde.

Die geplante EU-Verfassung soll Widersprüche zum Grundgesetz beinhalten (und könnte es eventuell so aushebeln). Insbesondere haben sich die Lobbyisten der Contentindustrie dort ausgetobt und wollen das geistige Eigentum eingetragen haben (d. h. das Urheberrecht soll in der Verfassung verankert werden) und vor allem dieses geistige Eigentum keiner Sozialbindung unterwerfen. Das Grundgesetz hingegen fordert, dass Eigentum im Sinne der Allgemeinheit genutzt wird. Weitere Elemente des Grundgesetzes stehen auch im Widerspruch mit der EU-Verfassung, die offenbar auch eine Schwächung der für die Demokratie wichtigen Gewaltenteilung enthält. Eventuell wird diese Verfassung dann von deutschen Politikern dazu missbraucht, das Grundgesetz außer Kraft zu setzen: Die EU-Verfassung steht ja darüber. Schlimmstenfalls könnte so das Bundesverfassungsgericht (im Moment meiner Meinung nach das einzige Organ, was den Rechtsstaat aufrecht erhält) entmachtet werden. Hoffentlich komme ich hier dann noch raus, bevor die Mauer gebaut wird. (Die Taktik, unvertretbare Dinge zunächst auf EU-Ebene durchzusetzen, wo sie nicht auffallen und somit niemand was dagegen unternimmt, scheint recht beliebt zu sein, siehe z. B. Vorratsdatenspeicherung und Urheberrecht)

Schäuble will dem BKA umfassende Überwachungsrechte einräumen – die Mautdaten sollen so nun zur Strafverfolgung genutzt werden (was im Mautgesetz explizit ausgeschlossen ist, um die Maut datenschutzkonform zu machen). Weiterhin sollen die Berechtigungen zum Abhören von Telekommunikation und Wohnungen ausgeweitet und eine Onlinedurchsuchung von privaten Computern (ohne Wissen des Besitzers – ein elementarer Widerspruch zu rechtsstaatlichen Grundsätzen!) erlaubt werden. Toll.

Wenigstens gegen die Herausgabe von eigentlich besonders geschützten Verbindungsdaten an Privatunternehmen – ohne Überprüfung durch einen Richter – und somit die teilweise Aufhebung des Fernmeldegeheimnisses protestiert jetzt wenigstens ein halbwegs einflussreicher Verband, nämlich der Verband der deutschen Internetwirtschaft eco. Für einen Rechtsstaat allerdings ist es eine Schande, dass solche Ideen überhaupt in Erwägung gezogen werden. Aber die Regierung legt wohl eh keinen großen Wert darauf, den Rechtsstaat aufrechtzuerhalten.

Die Tendenz zur Überwachungsgesellschaft wird auch von den Datenschützern kritisiert.

Ausnahmsweise nicht Deutschland betreffend, aber auch unschön, ist die Sperrung aller SMS-Dienste in Kambodscha. Ich kenne den genauen Hintergrund nicht, aber offiziell geschieht dies, um eine Beeinflussung der Wähler kurz vor der Wahl und das Organisieren von „Unruhen“ zu erschweren. Ob damit allerdings nicht eher auch demokratische Proteste gemeint sind, weiß ich nicht. Jedenfalls ist eine derartige Sperre meiner Meinung nach definitiv ein Zeichen dafür, dass etwas nicht stimmt.

Zypries will möglichst schnell das Patentsystem reformieren – das Drängen auf Schnelligkeit ist oft ein Hinweis, dass etwas nicht stimmt (nicht umsonst betonen Betrüger oft die Dringlichkeit des Geschäftes). Und auch hier gibt es (natürlich gerne unter den Teppich gekehrte) Bedenken: Eventuell könnten Softwarepatente so durch die Hintertür eingeführt werden. Was daran schlimm ist? Wenn es einen nicht stört, dass nur noch Microsoft-Produkte den Doppelklick benutzen könnten und jeder Softwareentwickler ständig von irgendwem verklagt werden würde, dann nichts.

Die CDU Sachsen will „Killerspiele“ verbieten – und dazu technische Filter einsetzen. Auf gut deutsch: Das Internet zensieren (ein bei der CDU und CSU sehr beliebtes Vorhaben). Natürlich im Namen des Jugendschutzes. Meiner Meinung nach müsste der Jugendschutz eher inzwischen abgeschafft werden – so sinnvoll und teilweise nötig er auch ist, das Missbrauchspotential ist einfach zu groß. Solche Filter haben übrigens den Nachteil, dass auch Erwachsene behindert werden und sofern sie automatisch arbeiten, sie ziemlich viele harmlose Inhalte filtern, um einen Teil der unerwünschten Inhalte zu erwischen. Beruhigend ist höchstens, dass solche Filter leicht zu umgehen sind. Dennoch hat in einer Demokratie nichts zensiert zu werden.

Kinder sind besonders anfällig für Beeinflussung. Daher muss insbesondere der Schulunterricht neutral sein. Die Musikindustrie weiß das allerdings und bemüht sich deshalb, allen Kindern zu erklären, warum Urheberrecht ganz toll sei und die Musikindustrie die Künster schützt und fördert etc. (In Wirklichkeit nimmt die Musikindustrie Künstler oft ziemlich aus.) Wie neutral die zu diesem Zweck verschickten Materialien sind, kann man sich vorstellen. FairSharing warnt zwar davor, aber bringen wird es wohl nichts. Falls jemand von einem Fall erfährt, wo Material von Lobbyisten in der Schule verwendet wird: Bitte Protestbriefe an Lehrer, Schulleiter und Kultusministerium schicken und den Fall öffentlich machen. Der Musikindustrie ist ihr Ansehen relativ egal, aber hoffentlich hilft es, wenn bekannt wird, mit was für schmutzigen Methoden solche Firmen arbeiten. Die Atomlobby hat übrigens auch „Infomaterialien“ zur Atomkraft herausgegeben. Als ich sie bekommen hab, was ich in der 13. Klasse, wurde auf die Quelle hingewiesen und war schon für solche Sachen sensibilisiert – dennoch fielen mir viele der versteckten Manipulationen beim ersten Hinsehen nicht auf. Scheinbar neutral versucht die Broschüre, Werbung für Atomkraft zu machen, und dürfte sehr gut manipulieren. (Hinweis: Ich bin nicht prinzipiell gegen Atomkraft. Alternative Energiequellen sind nötig, aber Atomkraft ist immer noch teilweise besser als fossile Brennstoffe.)

Zum Schluss noch ein paar Kleinigkeiten zum US-Urheberrecht und seinen Auswüchsen: US-Schüler verklagen einen Anti-Plagiats-Dienst, weil dieser ihre Arbeiten speichert, und nachdem Viacom Google wegen Urheberrechtsverletzungen auf Youtube verklagt hat, wirft der Anwalt von Google Viacom schon fast Terrorismus vor:

Viacoms Klage ist ein Angriff auf die Art, wie Menschen im Web kommunizieren – und auf die Plattformen, die es ihnen erlauben, sich das Internet zu Eigen zu machen.

Größenwahn pur

2006-06-14 2 Kommentare

Microsoft ist der Meinung, dass sie das Internet in der Hand haben: Wie Golem und ein Blog von Microsoft berichten, wird der Vista-Beta-Download deswegen nur so langsam ermöglicht, weil es sonst „ernste Konsequenzen“ für das Internet als solches hätte.

Das soll vermutlich bedeuten, dass nach Meinung Microsofts das Interesse so groß ist, dass die Bandbreite das Internet überlasten würde. Kommt mir ein wenig übertrieben vor. Das Internet ist SEHR robust, und ich denke, bevor irgendwelche Backbones in die Knie gehen, verabschiedet sich der Server von Microsoft. Vermutlich will Microsoft nur durch künstliche Verknappung und die Erweckung des Eindrucks, das Interesse wäre unvorstellbar gigantisch, Werbung für Vista machen.

Allerdings könnte Microsoft natürlich unter einem anderen Gesichtspunkt Recht haben: Je mehr von diesen Vista-Betas in Umlauf gelangen, desto größer wird die windowstypische Wurmwelle. Und DIE kann gefährlich werden…

Wenn Microsoft Angst hat, dass Leute sich die falsche Version holen, dann sollen sie doch einfach die MD5 und/oder SHA1-Hashes (Prüfsummen) veröffentlichen. Wenn ihr Server den Ansturm nicht aushält, können sie einen Bittorrent-Tracker aufsetzen. Die Argumente von Microsoft kommen mir daher nicht besonders ehrlich vor. Aber ich hab auch nichts anderes erwartet.

Andere teilen übrigens meine Meinung…

Update: Andere haben das mit dem Tracker für MS kostenlos übernommen. Wie zu erwarten war, hat Microsoft, statt sich für die kostenlose Promotion zu bedanken und eine Kooperation anzubieten, eine Abmahnung geschickt. Typisch für große Firmen, wenn es um den Umgang mit modernen Dingen geht…

UPDATE: Laut dieser Seite scheint MS klargestellt zu haben, dass die Abmahnung nicht bösartig gemeint war, sondern reine Routine, indem sie die Abmahnugn nochmal feierlich überreicht haben – diesmal aber eingerahmt und verbunden mit freundlichen Worten. Ich bin froh, dass MS doch vernünftig ist und auf einen gut gemeinten Versuch nicht wie auf richtige, böswillig verbreitete Raubkopien reagiert. Schade nur, dass es erst auf öffentlichen Druck und nicht direkt klargestellt wurde.

UPDATE 2: MS hat die Downloads nun eingestellt. (Golem berichtet)

MS macht dumme Fehler [UPDATE]

2006-06-08 3 Kommentare

Tja, Microsoft mag keine Raubkopierer. Zumindest keine gewerblichen, die die MS-Produkte fälschen und als Original verkaufen. So weit, so gut – im Gegensatz zu privaten Raubkopierern sind die professionellen Fälscher echte kriminelle und es sollte mit aller Härte dagegen vorgegangen werden. Das geht am Besten, indem man den Kunden darüber benachrichtigt, dass er kein Original gekauft hat. Also hat Microsoft die WGA-Prüfung eingeführt. Eigentlich ein ganz guter Service. Sie war freiwillig, hat also den privaten Raubkopierer nicht gestört (der vermutlich nicht wirklich Ziel von Microsoft ist, der einzige „Kopierschutz“ bei Microsoft-CDs war lange Zeit – auch als alle anderen schon möglichst starke technische Kopierschutzmaßnahmen einsetzten – eine Aufschrift „Sie sind nicht berechtigt, unrechtmäßige Kopien dieses Datenträgers herzustellen“). Eigentlich war die WGA-Prüfung ja ein nettes Feature.

Ein Feature wird aber oft mit einem Bug verwechselt bzw. ein Bug zum Feature umdeklariert. Meiner Meinung nach ist die Unterscheidung ganz einfach: Wenn der Anwender das „Feature“ einfach deaktivieren kann, ist es ein Feature, sonst ein Bug. Wenn sich aber die Prüfung leicht deaktivieren ließe, könnten Händler, die Raubkopien vorinstalliert verkaufen, dies tun. Also hat Microsoft dieses Feature nicht mehr so leicht deaktivierbar gemacht, außerdem nervt es jetzt anscheinend bei jedem Start und auch während des Betriebs in einer Art und Weise, die die Benutzung zumindest sehr unangenehm macht (Balloon-Popups können extrem nerven, zum Glück habe ich es nur mit erwünschten zu tun, und selbst die können zu unpassenden Zeitpunkten unangenehm sein). Auch kein großes Problem, Raubkopierer werden so auf ihre Missetat hingewiesen.

Dummerweise müssen sie dazu ein Programm installieren. Und da kommt der Fehler. MS will, dass möglichst viele Anwender ein Programm installieren, das sie eigentlich nicht wollen (eine Raubkopie kann man genauso wie das Orignal benutzen, wenn diese Software nicht installiert ist, und das Geld gibt es vom Straßenhändler eh nicht wieder). Was macht man also? Richtig, das Programm als Windowsupdate einspielen, frei nach der Art, wie sich Trojaner verbreiten. Und damit alles legal ist, stimmt der Benutzer zu. Nur wie? Ganz einfach – man macht den Linzenzvertrag so lang, dass ihn keiner liest, und versteckt das interessante mittendrin. Merkt ja keiner. Dummerweise hat sowas auch Starforce schon versucht – und viele Firmen wenden sich inzwischen vom Kopierschutz ab.

Das eine Hauptproblem an der Software ist, dass sie erstens private Raubkopien erschwert. Viele werden sich jetzt fragen, warum das ein Problem ist. Nun, mir ist es egal. Auf meinem Laptop ist ein XP Home vorinstalliert, ich brauch kein Pro und bin mit meiner legalen Version zufrieden. Aber Bill Gates (oder war es Steve Ballmer?) soll gesagt haben, dass ihm eine Windows-Raubkopie auf einem Rechner lieber als ein legales Linux ist. Damit wird deutlich, dass MS keinen wirklichen Wert darauf legt, private Raubkopierer an ihrer „Arbeit“ zu hindern. Im Gegenteil: Als einzige Firma hat Microsoft bisher erkannt, dass private Raubkopien oft sogar nützlich sind, weil sie die Verbreitung des Produkts steigern und somit die Monopolstellung sichern, wodurch Firmen bereit werden, das Produkt zu kaufen. Und die Raubkopierer würden sich das Produkt nicht kaufen, wenn sie es nicht kopieren könnten – weil es ihnen zwar die Mühe mit der Raubkopie, aber keine 200 EUR wert ist.

Ein noch schlimmeres Problem ist, dass die Software anscheinend manchmal ausrastet und einen falschen Alarm veranstaltet. Das kann nicht nur das Vertrauen in Microsoft, sondern auch den Ruf der legitimen OEM-Händler schaden. Und zumindest ich würde keine Geschäfte mit jemandem machen, der meinen Ruf zerstört – im Gegenteil, die OEM-Händler könnten sehr hässliche und vor allem teure Klagen anstrengen.

Und zum Abschluss der krönende Fehler: Laut Heise und Golem hat Microsoft wohl Angst, dass die Prüfung amoklaufen könnte. Und statt, wie andere Kopierschutz-Methoden (wie z. B. Starfoce) in dem Fall den zahlenden Kunden zu vergraulen, indem man false positives zulässt und in dem Fall der Kunde die Arschkarte gezogen hat, geht man auf Nummer sicher: Sollte die Prüfung Probleme machen, kann man sie – vermutlich abhängig vom BIOS – deaktivieren. Dazu holt laut Heise die Software diese XML-Datei per HTTP von einem Microsoft-Server. So weit, so gut – eigentlich ist dieses Vorgehen sehr lobenswert. Gut, man hätte den Verbraucher vieleicht mehr darüber informieren sollen als irgendwo, wo man davon ausgeht, dass es eh keiner liest. Aber seis drum. Das Hauptproblem, das ich sehe, ist, dass diese XML-Datei keine Spuren einer digitalen Signatur oder ähnliches zu sehen sind. Falls der Heise-Artikel also nichts ausgelassen hat und wirklich eine HTTP-Verbindung (statt https) aufgebaut wird, wird es vermutlich ein leichtes sein, dem Programm eine falsche Datei unterzuschieben. Ich werde hier nicht näher auf die Methoden eingehen, aber mir fallen auf Anhieb bereits einige ein. Nein, ich werde nicht ausprobieren, was passiert. Aber ich glaub nicht, dass ich der einzige bin, der auf diese Idee kommt. Ich bin gespannt.

UPDATE: Na, das hat aber lang gedauert ;-) Golem berichtet, dass es ein Tool gibt, was sich des „Problems“ WGA-Prüfung freundlicherweise annimmt.

UPDATE 2: Und jetzt hat MS die tägliche Prüfung am Server gelassen, nur noch bei Updates (oder alle 90 Tage, je nach Quelle) wird geprüft. Vermutlich hat es einige Kunden gestört, dass das Programm nach Hause telefoniert. (Oder MS hat gemerkt, dass man so zu leicht die Prüfung abstellen könnte.) Golem berichtet.

UPDATE 3: Und schon wieder hat Golem eine neue Nachricht – diesmal sehr erfreulich: MS wird wegen der Abfrage verklagt! Leider wird die Klage vermutlich keine großen Chancen haben, da der Benutzer es über den Lizenzvertrag erlaubt hat, aber ich hoffe, dass irgendwann beschlossen wird, dass bei derartigen Sachen ein kleiner, versteckter Hinweis nicht ausreicht. (Ja, Wunschdenken. Ich weiß. Leider.)

UPDATE 4: Entgegen der Erwartungen wird die Prüfung wohl freiwillig bleiben. (Golem berichtet)