Archiv für die Kategorie ‘Nerdkrams’.

Hier geht’s um Software – je nerdiger, desto besser.

Nerdkrams
Der Tor fällt nicht weit vom Appelbaum

Alter Hut: Knallbunte Websites mit eigener Domain und Logo für Sicherheitslücken in Software.
Das neue große Ding: Knallbunte Websites mit eigener Domain (ob da wohl noch ein Logo kommt?) für private Fehden unter Open-Source-Entwicklern. Das muss dieser Geist des Open Source sein, von dem immer die Rede ist.

Worum es geht? Ein mittlerweile ehemaliges, allerdings recht engagiertes Mitglied der Tor-Kernentwicklergruppe hat blöderweise einen Nachnamen, der recht weit vorn im Alphabet steht, weshalb es seine Teamkollegen natürlich ganz besonders stört, wenn er, um niemandes Arbeit wichtiger erscheinen zu lassen als die eines Anderen, bei der Verschriftlichung um eine alphabetische Reihenfolge der Verantwortlichen bittet. „Der da hat einen Namen, der vor meinem erscheinen würde, das belästigt mich!“

Ach, nein – eigentlich geht es ja tatsächlich um Belästigung. Bei Tor scheint Homo- oder wenigstens Bisexualität ein wichtiges Thema zu sein, was auch schon die einzig nennenswerte Erkenntnis aus dem ganzen Bohei ist; ein Rosenkrieg zwischen Menschen, die verglichen damit, dass sie sich aufführen wie eine Horde pubertierender Teenager, zuvor offensichtlich für erschreckend erwachsen gehalten wurden.

Ein Opfer des Beschuldigten gibt etwa zu Protokoll:

I didn’t know until very recently that nonconsensual sex, by a friend, is rape. It is for this reason that I am writing this account.

Mit anderen Worten: Eigentlich hielt das Opfer einen offenbar sexuell motivierten Zwischenfall für nicht sonderlich schlimm oder auch nur bedeutsam, bis jemand ihm mitteilte, dass es unangemessen sei, sich darüber nicht zu viele Gedanken zu machen. Wer Kompromat sucht, ist über jeden, den er dazu überreden kann, glücklich.

Das Gros der Erfahrungsberichte allerdings befasst sich damit, dass der Täter ungefragt in kleinem Kreis über die Sexualität der Opfer sprach; darüber beklagen sich Letztere auf der Website, indem sie selbst darüber und über die seine sprechen, und zwar in einem weit größeren Rahmen als es zuvor je geschehen wäre. Auge um Auge, Zahn um Zahn.

Schnell, schieß mir ins Gesicht!

(via @andreasdotorg)

In den NachrichtenMir wird geschlechtNerdkramsPolitik
Kurz verlinkt: Gewalt, Google, Schokolade und Quoten

Die klare Ansage des Tages kam gestern von „der Antifa“, deren Mitideologe Horst Schöppner medial klarstellen zu müssen meinte:

Gewalt wirkt. Egal, ob es einem gefällt oder nicht. Gewalt wirkt auch gegen Nazis. Vielleicht wirkt sogar nur Gewalt gegen Nazis.

Und zwar, weil:

Wenn Sie kein Rassist, Islamhasser oder Nazis sind, wenn Sie also die Parolen von PEGIDA oder AfD nicht gut finden, dann sind Sie für Ihr Gegenüber vermutlich automatisch: dumm, Antifa, Gutmensch, Neger, Lügenpresse, Schwuchtel, Staatsbüttel oder alles zusammen.

Erst mal davon ausgehen, dass der Gegenüber einen für dumm oder – eine offensichtlich noch weit schlimmere Beleidigung – Antifa (sic!) hält, um ihm präventiv auf’s Maul hauen zu dürfen, ist eine überaus elegante Lösung. Nie habe ich mir so sehr gewünscht, auch einmal für dumm gehalten zu werden. Herr Schöppner, wie wär’s?


Google findet, Passwörter seien keine für Android zukunftstaugliche Sicherheitsvorkehrung, und möchte stattdessen eure biometrischen Daten in der cloud (also auf den Rechnern überdies US-amerikanischer Fremder) speichern.

Kotz


2005: Dunkelhäutige Schokoladenmaskottchen sind rassistisch.
2016: Sich über dunkelhäutige Schokoladenmaskottchen aufzuregen ist rassistisch.

Langweilig wird es mit diesen Leuten zum Glück nie.


Der Feminismus hat uns nun jahrelang gelehrt, dass es nicht etwa ausbildungs- oder lebensstilbedingt, sondern allein eine Diskriminierungsfolge ist, als Frau nicht auf eine Führungsposition erhoben zu werden. Folglich gibt es für die Nachricht, dass hauptsächlich Westdeutsche ostdeutsche Führungspositionen innehaben, nur einen möglichen Grund. Ich erwarte Oben-ohne-Demonstrationen beschrifteter ostdeutscher Manager in allen größeren deutschen Städten.

NerdkramsProjekte
In eigener Sache: Der blödeste Projektname der Weltgeschichte.

Was hat der Welt denn noch gefehlt? Richtig: Ein weiterer statischer Bloggenerator, und zwar von mir. Verehrtes Publikum, ich präsentiere: BlogC++. Das passiert, wenn man mich mal mit einer Tastatur allein lässt.

Weiterlesen ‘In eigener Sache: Der blödeste Projektname der Weltgeschichte.’ »

NerdkramsNetzfundstücke
💩

Das hatte ich völlig übersehen: Irgendwo in einem kleinen Raum mit, hoffentlich, Wänden aus Gummi arbeiten Forscher am nächsten großen Ding.

Emojis mit anpassbarem Geschlecht und änderbarer Haarfarbe.
Die nächste Generation der Emojis.

Falls noch jemand versehentlich den Menschen für die intelligenteste Spezies hielt: Tschuldigung!

In den NachrichtenNerdkramsSonstiges
Recht und Gesetz gegen Canonical und VG Wort

Die vermutlich Kriminellen des Tages sind die Herrschaften hinter Canonical, deren heute veröffentlichtes Ubuntu 16.04 (Symbolbild) mal eben absichtlich die GPL verletzt und somit qua Gesetz illegale Software ist. Welche Worte Linuxer dafür fänden, würde zum Beispiel Microsoft beim Lizenzbruch erwischt, möge sich der geneigte Leser an dieser Stelle selbst ausmalen.

Dicht gefolgt wird Canonical in der Rangliste von den in der VG Wort organisierten Verlegern, die offensichtlich jahrelang unrechtmäßig Geld, das Autoren zustand, in die eigene Tasche gesteckt haben. Schon liest man erste Kommentare, dass die nun zu erwartenden Rückforderungen das Ende des Verlagswesens besiegelten; und noch einige Jahre nach dem Beschluss des Leistungsschutzrechts wird mein Bedauern darüber überschattet von einer unbändigen Freude. Ich stelle schon mal den Whisky warm.


Nur im übertragenen Sinne kriminell ist bekanntlich die Doofheit gerade jugendlicher Smartphonenutzer; selbst mir passiert es immer häufiger, dass ich öde blondierten Mädchen begegne, die vor lauter Freude am Herumwischen auf ihrer Wanze für unterwegs ganze Grünphasen von Fußgängerampeln verpassen. Ich lache dann immer ein bisschen. Die Stadt Augsburg möchte mir den Spaß jetzt aber nehmen:

Die Stadtwerke Augsburg testen derzeit in Augsburg an zwei Straßenbahn-Haltestellen LED-Boden-Ampeln, die Handy-Nutzer vor Unfällen schützen sollen.

Gemeinheit.

In den NachrichtenNerdkramsNetzfundstücke
Liegengebliebenes vom 15. April 2016

Es war geradezu skandalös:

Beim diesjährigen Linz-Marathon, der am Wochenende über die Bühne ging, sorgten übermotivierte Eltern für ein empörendes Bild: Es zeigt, wie sie ihre heulenden Kinder an den Händen über die Ziellinie zerrten.

Aber keine Sorge – die Eltern haben daraus gelernt:

Die Eltern, die ihre weinenden Kinder beim Linzer Junior-Marathon ins Ziel gezerrt hatten, überraschten sie jetzt mit einem Ausflug ins Disneyland Paris als Wiedergutmachung. Vor Ort entbrannte jedoch ein Konkurrenzkampf unter den Eltern. Sie zerrten ihre weinenden Kinder stundenlang durch das Disneyland, um vor den anderen fertig zu sein.

(Rantnotiz, absichtlich mit „t“ geschrieben: Eltern, die ihr Kind an seinen Leistungen messen und ihm bei besseren oder schlechteren Sportergebnissen, Schulnoten oder Modelplatzierungen mehr oder weniger Zuneigung und Fürsorge entgegenbringen, haben es nicht verdient, Eltern genannt zu werden. Das Kind als Trophäe aufzuziehen, weil man in seinem eigenen Leben jämmerlich beim Versuch versagt hat, stolz auf sich selbst sein zu können, ist einer der erbärmlichsten Triebe, die die heutige Gesellschaft noch nicht generell zu einer Ächtung des Versagenden verleiten.)


Aus der beliebten Reihe „ich ernähre mich vegan, denn vegan ist gesund“:

Das „Veganz Hanfprotein-Pulver Rohkostqualität“ enthalte so viel Delta-9-Tetrahydrocannabinol (THC), dass bei Kleinkindern die maximal empfohlene tägliche Aufnahme überschritten werden könne[.]

Die „Ernaehrungs Umschau“ (sic!) rät in ihrer aktuellen Ausgabe ja prinzipiell dazu, dass Veganer ihre Mangelernährung gelegentlich mal überprüfen lassen. Womöglich sollte außerdem ein Drogenberater anwesend sein.


Problem: Debian Linux liefert zu alte Software aus. Die offensichtliche Lösung: Den nervigen Hinweis darauf, dass es eine neuere Version gibt, einfach entfernen.


Als ich mich unlängst über Raser aufregte, hatte ich gar nicht bedacht, dass es für Leute, die wie Arschlöcher fahren, auch freundlichere Begriffe geben könnte. „SPIEGEL ONLINE“ schlägt „Temposünder“ vor, denn wenn jemand irgendwen totfährt, weil er zum Beispiel in einer verkehrsberuhigten Zone dringend auf’s Gas treten musste, dann reichen vier Vaterunsers und sieben Avemarias und dann ist alles wieder in bester Ordnung, denn im Gegensatz zu einer asozialen Straftat verzeiht der liebe Kreuzfahrergott kleine Sünden sofort. Lobet den Herrn.

In den NachrichtenNerdkrams
Warum „Ubuntu für Windows“ den plötzlichen Jubel nicht verdient

Nun, da die erste große Welle der Begeisterung abgeflacht ist und die beiden verfeindeten Lager sich nach Abertausenden von Kommentaren erschöpft zurückgezogen haben, um neue Kraft für das weitere Geschehen zu sammeln, möchte ich diese Meldung an dieser Stelle auch nicht unkommentiert lassen:

Microsoft hat ein Linux-Subsystem für Windows 10 entwickelt, mit dem sich Linux-Programme für die Kommandozeile direkt unter Windows ausführen lassen.

Was einen „Journalisten“ von „heise online“ geradezu vor Begeisterung auf die Tastatur speicheln lässt, ist für erfahrene Computernutzer ein alter Hut: Eine solche Abstraktionsschicht kennt man aus Systemen wie FreeBSD – dort heißt sie „Linuxulator“ – schon seit Jahren. Darum wurde aber merkwürdigerweise nie so ein Gewese gemacht wie um die faszinierende Neuigkeit, dass Microsofts anfangs noch für das Betriebssystem OS/2 geplanter NT-Kernel schon immer in der Lage war, verschiedene Subsysteme zu nutzen. Windows NT 3.1, die erste „NT-Version“ von Windows, wurde von vornherein neben dem Win32- auch mit einem POSIX- und einem OS/2-Subsystem ausgeliefert, es war also, wie man bei „heise online“ heutzutage wohl schreiben würde, drei Betriebssysteme in einem.

Weiterlesen ‘Warum „Ubuntu für Windows“ den plötzlichen Jubel nicht verdient’ »

NerdkramsProjekte
Mit Common Lisp gegen Webmüll

Im November 2015 schrieb ich, der kostenlose Webdienst feed43 sei zum Entmüllen von Websites mittels RSS prinzipiell geeignet, verschlucke sich aber gelegentlich. Das ist auf Dauer ganz schön anstrengend. Außerdem besteht wie bei allen kostenlosen Webdiensten die Gefahr, dass ich eines Tages ohne ihn auskommen muss. Ich habe mir also selbst eine Alternative entwickelt, die auf einem meiner Server läuft und deren korrekte Funktionsweise ich im Zweifelsfall also selbst sicherstellen kann.

Weiterlesen ‘Mit Common Lisp gegen Webmüll’ »

NerdkramsNetzfundstücke
Nope.js

(Vorbemerkung: Meine persönlichen Erfahrungen mit Node.js beschränken sich außer der testweisen Installation von Etherpad Lite auf den zumindest erfolgreichen Versuch, eine Desktopanwendung mit Electron zu schreiben. Diese Anwendung wird allerdings zunächst in einer anständigen Sprache neu implementiert, bevor ich sie für hier veröffentlichungstauglich halte; auch, weil Node.js eine schlicht unbrauchbare Programmierumgebung ist.)

Dieser Tage geht das NPM-Debakel durch deutsche Technikmedien, das sich etwa folgendermaßen zusammenfassen lässt: Der Entwickler einer bekannten und viel genutzten JavaScript-Bibliothek, die aus einem Zufall heraus genau so heißt wie einer der zahlreichen ICQ-Klone, wird von den Machern dieses ICQ-Klons darum gebeten, den Namen zur eigenen Verwendung freizugeben; er bietet ihnen kulant an, dass sie ihm den Namen abkaufen können, sie lehnen ab und drohen stattdessen den Machern von „npm“, einem großen Verzeichnis von JavaScript-Bibliotheken, mit rechtlichen Schritten, wenn sie den Namen für ihre geplante Bibliothek nicht freigegeben bekommen. Der Entwickler der eingangs erwähnten Bibliothek bekommt also „seinen“ Namen von Dritten entzogen und zieht daraufhin verständlicherweise erbost all seine Projekte aus dem Verzeichnis zurück, woraufhin offensichtlich ein bedeutsamer Teil der dort aufgeführten Projekte, darunter große Frameworks wie React.js, plötzlich nicht mehr funktionierte, weil sie ihrerseits für triviale Aufgaben (dazu komme ich gleich) auf seinen Code zurückgegriffen haben.

Nun könnte man darüber spekulieren, wer hier eigentlich „die Schuld“ trägt und ob der Kapitalismus nicht dringend abgeschafft werden sollte, um solche Streitigkeiten um Markenrechte künftig nicht mehr zu lukrativen Nebeneinnahmen machen zu können. Dabei liegt das Problem viel näher – das Problem heißt Node.js.

Weiterlesen ‘Nope.js’ »

In den NachrichtenNerdkrams
Smartes Gucken (Nachtrag): Kopf aus, Licht an

Was übrigens auch dringend smart gemacht werden muss, indem man Android drauf installiert:

Lichtschalter.

Was kann schon schiefgehen?

Nerdkrams
„Sicherer als Windows“ des Tages (1)

(Vorbemerkung: Dies ist der Auftakt zu einer losen Reihe, die wieder einmal nur meinem kindischen Vergnügen dient.)

Na, auch Linux statt Windows zu Hause?

Dann patcht mal schön eure glibc!

In den NachrichtenNerdkramsWirtschaft
Tweetwachstum / Schrödingers Boolean

Und dann war da noch Twitter.

Das damalige Nebenprodukt einer eigentlich ganz anderen Software, das 2006 als eine Art „SMS fürs Web“ entwickelt wurde, fand mit seinem simplen Konzept sehr schnell Abnehmer, also Nutzer; dies wohl auch, weil es ein einigermaßen eigenständiges Ziel verfolgte und nicht versuchte, ein besseres MySpace, StudiVZ, Friendster oder mittlerweile Facebook zu sein. Offene APIs sorgten für eine ungeahnte Vielzahl an „alternativen“ Twitterclients (zum Beispiel für meinen), das Echtzeitmodell ließ Twitter mitunter zu einem wichtigeren Nachrichtenportal werden als Nachrichtenportale selbst.

Ärgerlich am „Wachstum“ eines solchen Dienstes aber sind, von den Folgen für potenzielle Konkurrenz wie GNU Social – Kennt ihr nicht? Seht ihr! – einmal abgesehen, für ihn selbst zwei Faktoren: Zum Einen ist exponenzieller Zuwachs an Benutzern irgendwann unrealistisch bis unmöglich, was ein Problem ist, das sich Twitter immerhin mit den Herstellern von Mobiltelefonen teilt, es hat eben kaum ein Mensch mehr als nur zwei Ohren; zum Anderen kann ein Unternehmen mit solchem Personal und solcher technischer Infrastruktur nicht beliebig lange damit rechnen, dass man von gutgläubigen Investoren leben kann. Gerade, wenn man wie Twitter ohne ein funktionierendes Geschäftsmodell den Börsengang wagt, wird die Lage mit der Zeit selten entspannter.

Nun hätte Twitter einfach den logischen Schritt vollziehen und bezahlte Konten einführen können, die dann zum Beispiel animierte Avatare oder sonstige für die meisten Menschen völlig egale Extras als Belohnung bekommen hätten. Stattdessen hat man sich bei Twitter angesehen, was (erster Fehler) der Marktführer Facebook so anders macht als man selbst, und (zweiter Fehler) beschlossen, dass einiges dort genau das ist, was Twitter, das überhaupt nicht versucht hatte, ein „soziales Netzwerk“ zu sein, dringend brauche. Anstupsen war es bedauerlicherweise nicht.

Twitter bekam also ein neues Aussehen, geschwätzigere Benutzerprofile, die Möglichkeit, sich in Direktnachrichten ohne die übliche Begrenzung auf 140 Zeichen auszudrücken, und nun endlich auch die Funktion, kein Echtzeitmedium mehr zu sein: Man kann Tweets jetzt nach Relevanz sortieren, wohlgemerkt: nach der von Twitter geschätzten Relevanz, was ungefähr „je mehr Leute einem Benutzer folgen, desto relevanter ist sein Sermon“ bedeutet. Dass diese Option nicht nur abschaltbar, sondern auch standardmäßig deaktiviert ist, sich für bestehende Nutzer also bis auf Weiteres nichts ändert, milderte die Protestwelle kaum ab. Wieder einmal ist Twitter „endgültig“ gestorben, wieder einmal werden obskure Alternativen als die künftige Heimat ganz Twitters angepriesen; beginnend mit nächster Woche werden diese Alternativen dann allesamt wieder Staub ansetzen, weil ein Nichttwitter eben keinen Spaß macht, wenn man dort ganz allein lustig ist.

Worauf ich aber eigentlich hinaus wollte: Die Nutzerzahl von Twitter stagniert, und das hat durchaus Gründe, die nichts damit zu tun haben, dass Twitternutzer eigentlich lieber bei Facebook wären.

Warum führt Twitter nicht endlich auch Glücksnüsse ein? :motz:


Apropos :motz::

Computer sind prima, weil sie binär funktionieren und es nur richtig und falsch gibt, richtig?

Falsch!

Ein Programm hat, grob zusammengefasst, zwei mögliche Zustände beim Beenden, nämlich true (alles hat funktioniert) oder false (irgendwas lief beim Ausführen schief), dabei entspricht der Rückgabewert 0 oder „gar nichts“ in der Regel true und jede größere Zahl false. Das true-Programm (true.c) aus dem GNU-Projekt – das ist das, mit dem sich Linuxnutzer angeblich herumärgern müssen – lässt das aber offen:

true ist unter handelsüblichem Linux also entweder true oder false, das ist Definitionssache. :mrgreen: Dass für eine derartige Aufgabe 80 Zeilen nötig sind, erklärt sich überwiegend daraus, dass ja Versions- und Hilfeausgaben nötig sind, falls der Benutzer mal nicht weiß, welche Version von „gib 0 zurück“ er nun eigentlich verwendet.

Falls sich das mal ändert oder so.

(teilweise via @ixception)

In den NachrichtenNerdkrams
Datenschutz unter Fuchsfeuer

Im Forum von „heise online“ vermeldete heute ein pseudonymer Nutzer, es brauche eine Alternative zur Suchmaschine von Google, denn „wir“ könnten nicht „unser“ gesamtes Wissen durch Google „vorfiltern“ lassen. Wenn doch nur jemand eine zweite Suchmaschine und ein unabhängiges Nachschlagewerk erfände!

Einen zweiten Browser könnten „wir“ übrigens auch mal brauchen. Bei Mozilla, einem der früher offensichtlichen Werbekunden von Google, hat man schon seit längerer Zeit ein gespaltenes Verhältnis zu Privatsphäre und Datenschutz; bei der Entscheidung zwischen letzteren Dingen und einer möglichst deppensicheren user experience fallen diese Kriterien mitunter auch völlig aus der Planung.

Ein häufiges Problem von Webnutzern ist es, sich all die komplizierten Kombinationen aus Benutzernamen und Passwörtern zu merken. Nicht jeder möchte eine separate Passwortverwaltung nutzen. Hierfür gibt es zum Beispiel den etablierten Dienst OpenID, der von vielen Websites unterstützt wird; viele Menschen besitzen bereits eine OpenID-Kennung, ohne es zu wissen. Mozilla aber fand, es sei den Benutzern nicht zuzumuten, Anmeldedaten über einen Server ihrer Wahl verifizieren zu lassen, und ersann Mozilla Persona, dessen einziger nennenswerter Unterschied zu OpenID darin besteht, dass es die Passwörter für 24 Stunden im Browser speichert, was für den Datenschutz sicherlich prinzipiell sehr hilfreich ist.

Nachdem Mozilla bekanntgegeben hatte, Persona wegen mangelnden Zuspruchs im November dieses Jahres einzustellen, musste natürlich eine selbstgestrickte Alternative her, deren schnelle Verbreitung von vornherein sichergestellt sein sollte. Das neue große Dingsbums nennt sich Firefox-Accounts, es wurde bisher vorrangig für den Dienst „Firefox Sync“ verwendet und soll künftig die einzige Anmeldemethode für alles sein, was mit Mozilla zu tun hat. Verhindert wird damit die Trennung zwischen mehreren Pseudonymen (ein einzelner Benutzer von Mozilla-Produkten wird damit leichter identifizierbar), ebenso wird es nicht mehr möglich sein, sich mit einer beliebigen, nicht eindeutig zuordenbaren E-Mail-Adresse zum Beispiel auf der Addons-Seite anzumelden.

Demnächst wird dann ein Mozilla-Entscheider vielleicht diese neue, hippe Funktion „Anmelden mit Facebook“ entdecken. Das würde das Problem ja ein für allemal…

:irre:

In den NachrichtenNerdkrams
Medienkritik XCIV: Wie Dennis Schirrmacher einmal SSL nicht verstand

Manchmal, wenn bei „heise online“ keinem Redakteur mehr etwas zu irgendwelchen Kinoseifenopern einfällt (siehe hier, hier, hier u.a.), wagt einer von ihnen den geradezu frechen Vorschlag zu machen, man könne ja stattdessen etwas über diese komische Technik, von der gerade alle reden, berichten; hppt, Internett und wie das alles heißt. Dann kommt ein lustiger Artikel wie dieser hier heraus, dessen Autor Dennis Schirrmacher („Medienwissenschaftler“, zuvor bei der auch nicht viel besseren Zeitschrift „AUDIO TEST“ als Chefredakteur beschäftigt) schon in der Einleitung von einem Publikum ausgeht, das eigentlich auch viel lieber etwas über irgendwelche Filme lesen würde:

HTTPS-Webseiten wecken Vertrauen.

Da auch diese Webpräsenz hier, auf der ihr diesen Text lesen könnt, via https ausgeliefert wird (und damit wahrscheinlich eine „HTTPS-Webseite“ ist), bedeutet das, ihr könnt mir vertrauen. Ich habe mir nämlich ein Zertifikat installiert, mit dem ich nachgewiesen habe, dass ich Schreibrechte auf dem Webserver habe, und das dafür sorgt, dass die Übertragung mancher Daten zwischen euch und meiner Webpräsenz verschlüsselt wird. Damit weise ich weder nach, dass ich keine böswillige Software auf eurem Rechner installieren möchte (na – JavaScript noch aktiviert?), noch, dass ich identisch mit dem Kasper im Impressum bin.

Modern world

Aber in eurem Browser ist möglicherweise ein Schloss vor der Adresse zu sehen. Deswegen könnt ihr mir vertrauen.

Doch auch Online-Gauner können sich oft über Umwege vertrauenswürdige Zertifikate ausstellen.

Und zwar, indem sie für ihre Gaunerwebsite ein Zertifikat beantragen. Könnt ihr vertrauen, ist ein Schloss dran.

Nun haben Kriminelle das erste Let’s-Encrypt-Zertifikat genutzt, um Vertrauenswürdigkeit vorzugaukeln.

Was Dennis Schirrmacher hier „vorgaukelt“, möchte ich gar nicht weiter bewerten, aber offenbar stellt es für zumindest ihn eine berichtenswerte Neuigkeit dar, dass eine Zertifizierungsstelle (CAcert, StartSSL, Let’s Encrypt, …) gar nicht wissen möchte, was der Empfänger mit dem Zertifikat vorhat, so lange seine Anfrage valide ist. Ob die Kriminellen damit „Vertrauenswürdigkeit vorgaukeln“ wollen, weiß ich nicht, aber wenn sie über ein ausreichend viel technisches Wissen verfügen, um sturzfrei eine Website einzurichten, dann ist davon auszugehen, dass das Unsinn ist.

Online-Gauner waren in der Lage, sich eine Subdomain für eine legitime Domain einzurichten und dafür erfolgreich ein Let’s-Encrypt-Zertifikat zu beantragen, warnt Trend Micro.

„Online-Gauner“ – puh, wenigstens ist noch nicht von „Cyber-Gaunern“ die Rede – haben also die DNS-Einträge für eine „legitime Domain“ (wie genau sieht denn eine „illegitime Domain“ aus?) ändern und für die unter ihrer Kontrolle stehende neue Subdomain ein Zertifikat beantragen können, da die Zertifizierungsstelle grundsätzlich davon ausgeht, dass dir eine Domain, die du verwaltest, auch gehören darf. Die eigentliche Meldung daran ist, dass eine Domain offensichtlich teilweise mit vollen Rechten gekapert werden konnte. Das passiert nicht übermäßig selten, hat aber mit Zertifikaten erst einmal nicht besonders viel zu tun. Das ist Dennis Schirrmacher aber vermutlich (zu Recht) nicht interessant genug, eben weil es recht häufig passiert, und so glaubt er einen ganz anderen Skandal gefunden zu haben: Let’s Encrypt verteilt wie bisher auch CAcert und StartSSL kostenlos Zertifikate an Leute, denen eine Domain zu gehören scheint. Kreisch!

Das Anlegen einer Subdomain ist nicht ohne weiteres möglich. Denkbar wäre, dass die Online-Gauner auf irgendeinem Weg an die Zugangsdaten für die Domain-Verwaltung gekommen sind.

Ja, denkbar ist sicherlich richtig, höchstwahrscheinlich bis beinahe als gesichert anzusehen ist für einen anständigen Redakteur von „heise online“, der sich mit der Materie, über die er berichten soll, nicht so recht auszukennen scheint, eben zu spezifisch. Unter der Überschrift „CA als Filter für gefährliche Inhalte?“ – Spoiler: nein – findet er dafür schließlich doch noch einen Schuldigen daran, dass Kriminelle sich einfach irgendwelche Domains aneignen können:

Let’s Encrypt sieht den Aufgabenbereich einer CA nicht darin, Inhalte zu filtern.

Das ist aber ganz schön nachlässig von Let’s Encrypt, dass sie als Zertifikatsstelle nicht darauf achten, dass auf der zertifizierten Website kein Übel passiert. Man stelle sich vor, die Zulassungsstelle würde bei der Vergabe von Kennzeichen nicht dafür Sorge tragen, dass der Fahrzeughalter kein Übles im Schilde führt!

Was macht man nun eigentlich als einfacher Websurfer mit der Information, dass ein grünes Schloss in der Adressleiste des Browsers zu Dennis Schirrmachers Überraschung gar nicht bedeutet, dass da keine Kriminellen unterwegs sind? Die Lösung steht da eigentlich nur implizit:

Die Subdomain soll auf einen Server verweisen, der unter Kontrolle der Kriminellen steht und Werbung mit Schadcode verteilt.

Das wesentliche Problem mit dem Geschilderten ist also weder, dass „Online-Gauner“ eine Subdomain eingerichtet haben, noch, dass eine fiese Zertifizierungsstelle einfach Domains validiert, sobald man nachweist, dass man sie administrieren kann; das wesentliche Problem ist es, dass schädliche Werbebanner von dieser zertifizierten Domain ausgeliefert werden. Dagegen indes gibt es wirksame Abhilfe: Einfach einen Werbeblocker wie Adguard oder uBlock installieren. Natürlich ist in Dennis Schirrmachers Artikel davon allerdings keine Rede, denn „heise online“ will ja auch von irgendwas leben.

Der Artikel auf „heise online“ ist übrigens nicht über https abrufbar. Was das wohl bedeutet?

Nerdkrams
Virtualisierungswahn

(Vorbemerkung: Ein Rant, keineswegs zur inhaltlichen Auseinandersetzung gedacht.)

Die Idiokratie schreitet voran. Seit in der Linuxwelt mit „Docker“ endlich ein werbetauglicher Name für das unter BSD schon längst nicht mehr bemerkenswerte Konzept der virtuellen „Container“ gefunden wurde, halten Entwickler es für ratsam, den Benutzern ihrer Produkte gar nicht mehr zumuten zu wollen, halbwegs zu wissen, was gerade passiert. Die scheußliche, praxisuntaugliche Forensoftware Discourse ließe sich wahrscheinlich auch manuell installieren, empfohlen wird aber eine Installation „per Docker“. Bloß nicht zu viel nachdenken lassen, das passiert alles automatisch. Automatisch ist gut. Noch etwas blöder sind eigentlich nur noch die Witzbolde von Let’s Encrypt, die für ihre prophezeite Zukunft des SSL-Verschlüsselns gern eine Python-VM, Docker und noch einige Wunderlichkeiten hätten. Is‘ ja Open Source, kannste ja reingucken, also muss dich gar nicht interessieren, was da gerade vor sich geht.

Wenn eine konzeptionell nicht furchtbar umfangreiche Software eine eigene Umgebung braucht, um unterstützenswert zu laufen, dann funktioniert sie nicht. Ein Administrator, der sich darauf verlässt, dass ein System, das sich sozusagen mit Sack und Pack selbst installiert, schon keinen Unfug anrichten wird, sollte niemals die Erlaubnis bekommen, ein Firmennetzwerk oder – noch schlimmer – einen Webserver zu warten. Ein verantwortungsvoller Umgang mit dem Internet sieht anders aus.

JavaScript, das irgendwelche Sicherheitslücken ausnutzt, lässt sich mittlerweile in Bildern verstecken. Hat euer Browser immer noch kein uMatrix? Ach so, ich verstehe: So viel klicken wollen wir ja alle nicht. Kann ja nichts passieren. Snowden hat seine Schuldigkeit getan, Snowden kann gehen. Diese Website sagt, ihr sollt kryptische, teilweise verschlüsselte Befehle in eure Kommandozeile eingeben, wenn ihr SSL auf eurer Website einsetzen wollt. Wovor sollte man sich auch Sorgen machen? Entpackt einfach diesen Container, startet diese virtuelle Umgebung, lasst unsere Software alles installieren, was sie braucht. Ihr müsst nicht wissen, was der Rechner, für den ihr rechtlich verantwortlich seid, gerade eigentlich rechnet. Wir wissen, was gut für euch ist. Is‘ ja Linux. Is‘ ja sicher.

Ich befürworte übrigens immer noch einen Pflichtführerschein für Internetnutzer. Wer nachweislich zu doof oder zu faul für wenigstens ein Mindestmaß an Verantwortungsbewusstsein in Netzwerken ist, der sollte das Recht auf Internet verwehrt bekommen. Im Straßenverkehr funktioniert das doch auch.