Hartholz

Das war jedenfalls mein Fazit nach dem Lesen eines Artikels von Adrian Kreye auf der Seite der SZ.

Warum?

Er sagt, Pirate Bay sei wie die Filmfigur Thomas Crown, der Tätern aus Langeweile Pläne für perfekt begangene Verbrechen liefert.

Das ist aber Unsinn. Mit Thomas Crown wäre Pirate Bay nur vergleichbar, wenn es ausschließlich illegalen Zwecken dienen würde. Es werden aber auch völlig legale Angebote vermittelt wie z.B. die Verteilung von Softwareupdates.

Pirate Bay ist damit eher mit jemandem vergleichbar, der Straßen baut. Ein erstaunlich hoher Anteil des Verkehrs auf den Straßen dient illegalen Zwecken (insbesondere der Wirtschaftskriminalität), und manche Straftaten werden dadurch erst möglich (Menschen überfahren, Fahrerflucht), trotzdem werden nicht die Straßen verboten, sondern nur die darüber möglichen illegalen Taten.

Straßen sind sogar schlimmer als Pirate Bay.
Die über Pirate Bay vermittelten illegalen Angebote schädigen meist nur Medienkonzerne, deren Verhalten in vielerlei Hinsicht ohnehin recht fragwürdig ist.
Im Straßenverkehr sterben Menschen, wird die Umwelt vergiftet.

Also: Straßen abschaffen!

Technology Review berichtet von einem Anbieter von Rootkit-Software. Das soll ausnahmsweise mal ein “gutes” Rootkit sein, das einen sicheren Bereich schafft, in dem die ganze Schadsoftware nicht hineinkommt.
Sowas ist für Banken interessant. Ein Kunde, dessen Online-Banking von Schadsoftware manipuliert wurde, ist ein unglücklicher Kunde, mit dem man sich rumstreitet und der Geld kostet.

Klingt wunderbar.

Aber nur bis zu dem Tag, an dem eine Bank selbst mit kriminellen Machenschaften anfängt.
Oder wenn der Sysadmin der Bank bestochen wird und die Malware der Virenschleudern gleich mit ausliefert.
Oder wenn die Malware-Programmierer das Rootkit selbst als Angriffsziel ausgucken.

Einen Nutzen hat das Rootkit trotzdem: dass jemand einen Markt dafür sieht, ist ein klarer Beleg, dass die Betriebssystemhersteller in punkto Sicherheit ihre Hausaufgaben nicht gemacht haben.

Die Franzosen haben mal wieder die Vorstellung, das Internet regulieren zu wollen.

Nur wird es immer Länder geben, die sich der Regulierung verschließen. Und sei es irgendein Inselstaat, der durch eine Nichtregulierung viel zu gewinnen hat (nämlich eine florierende Internetindustrie). Und den man auch nicht so ohne weiteres vom Internet abklemmen kann, weil wichtige transozeanische Kabel durchlaufen - Seychellen, Bahamas, Pazifikinseln, wasauchimmer.
Oder vielleicht einer richtig großen Staaten wie China oder Russland, die zwar intern gern zensieren, aber auch ein Herz für florierende Industrien haben.

Also wird man versuchen, das Äquivalent zur Großen Firewall zu bauen, nur diesmal halt und die Freie Welt vor den Raubpornografierern zu schützen.

Das ist ein gigantischer Anreiz zum Umstellen auf verschlüsselten Datenverkehr.
Und verschlüsseln wird man ohnehin. Schließlich ist die Wirtschaft auf Verschlüsselung angewiesen, um ihre Geschäftsgeheimnisse zu schützen. Und Privatleute, um ihre Privatsphäre zu schützen.

Also wird man im nächsten Schritt versuchen, der Spur der Werbung zu folgen. Wer für Illegales wirbt, wird bestraft (und schon haben alle Werbeagenturen ein Problem, weil ihnen die Konkurrenz erst unauffällig einen Kinderpornoauftrag unterschiebt und danach die Staatsanwaltschaft informiert).
Da das also wegen Missbrauchsgefahr nicht allzugut funktionieren wird, wird man versuchen, die Bestellseiten zu blockieren. Was die Illegalen dazu bewegen wird, mit wechselnden IP-Adressen zu arbeiten; entsprechende Protokolle sind zwar kompliziert herzustellen, aber dieses Tauziehen wird ja ein paar Jahrzehnte laufen, und die Bösen Buben haben genug Geld, um sich wirklich fähige Programmierer zu leisten.

Nebenbei wird natürlich jeder dieser Schritte die Internetkommunikation des Normalbürgers schärferen Regeln unterwerfen: Verschlüsselungsverbote, Blockade von IP-Adressen (egal ob man dort etwas Legitimes vorhat oder nicht), undsoweiter.

Und, natürlich, die dabei gewonnenen Daten werden zu mehr Zwecken als nur der Strafverfolgung genutzt werden. Auch die Mafia interessiert sich für die Datenberge, und ein bestechlicher Administrator findet sich. (Dass auch Polizisten bestechlich sein können, sollte seit den Tagen der Prohibition in den USA nun wirklich Allgemeingut sein…)

Es bleibt wieder das alte Fazit: Kommunikation verhindern bringt wenig und beschädigt nebenbei die Freiheiten derer, die sich nichts zuschulden kommen lassen.
Statt die Freiheiten zu beschränken wär es sinnvoller, mal die Mittel für die Polizeiarbeit aufzustocken, statt die ständig zu kürzen. Ein paar Sekretärsstellen für den ständig wachsenden Formularkram würden die Jungs gewaltig entlasten und ihnen erlauben, sich wieder auf die Arbeit zu konzentrieren, für die sie eigentlich ausgebildet sind: Verbrecher ausfindig machen und verhaften. (Zu teuer? Dann sollte vielleicht mal wer darüber nachdenken, wie viel von diesen ganzen Berichtspflichten mehr nützt als kostet…)

Wieder mal machen die Briten mit Datenverlusten bei den Behörden Schlagzeilen. Verlorene, verschwundene, gestohlene Daten über Patienten, Häftlinge, Berufsbewerber, und und und.
Und das sind nur die Datenlecks, die aufgefallen sind, Datendiebstahl hinterlässt ja keine auffälligen Lücken.
Ich kann mir kaum vorstellen, dass das nur bei den Briten passiert. Auch in Deutschland dürfte ein Gutteil der Daten, die irgendwer irgendwann über irgendwen erhoben hat, auf dem Schwarzmarkt verfügbar sein. Die meisten Daten werden ohnehin von Insidern geklaut…

Da findet man im Internet einen Tipp, wie man sehr einfach den Classpath für ein Java-Projekt mit Ant setzt:

<path id="class.path">
  <fileset dir="lib">
    <include name="**/*.jar" />
  </fileset>
</path>
<javac srcdir="${src.dir}" destdir="${build}">
  <classpath refid="class.path" />
</javac>

Und dann stellt man fest, dass der Umweg mit <path id=”…”> gar nicht nötig ist:

<javac srcdir="${src}" destdir="${build}">
  <classpath>
    <fileset dir="lib">
      <include name="**/*.jar" />
    </fileset>
  </classpath>
</javac>

Das mit der refid kann natürlich trotzdem sinnvoll sein, wenn man den Classpath noch woanders benötigt.

PHP 4 stirbt einen Tod auf Raten:

• Seit Anfang des Jahres wird die Sprache nicht mehr weiter verbessert.
• Seit heute gibt es auch keine Sicherheitsupdates mehr.
• Mit der nächsten bekanntwerdenden Sicherheitslücke wird der Einsatz von PHP 4 endgültig unverantwortlich.

Auf itsy.de werden wir PHP 4 deinstallieren müssen, wenn es soweit ist.

Die Kunden, die PHP 4 noch einsetzen, werden dann ziemlich maulen, aber es hilft nun leider nichts: lassen wir es drauf, wird über kurz oder lang eine Kundenpräsenz gehackt und der Server wird zur Spamschleuder. Und dann maulen die anderen Kunden, weil ihre Mails nicht mehr akzeptiert werden oder weil ihr Server unter der Überlast ächzt.

Ich bin gespannt, wann die Massenhoster nachziehen. Wahrscheinlich dann, wenn die ersten Massenhacks auftreten… so lange möchten wir aber nicht warten.

Wie Heise meldet, gibt es jetzt den ersten Angriff, der einen Browser regelrecht infiziert. Solange der Browser aktiv bleibt, bleibt auch das von der Website eingefangene Skript aktiv und kann alles möglich anrichten: Alle Benutzereingaben mitprotokollieren, Benutzereingaben manipulieren, angezeigte Inhalte verändern, usw.

Die Hintergrundinformationen sind noch unvollständig, aber es scheint, dass wieder mal nur das Abschalten von Javascript hilft.

Immerhin kann man im Firefox per Noscript-Erweiterung für jede Website gesondert einstellen, ob man ihre Skripte  ausgeführt haben will oder nicht. (Für den Internet Explorer gibt es leider kein Noscript.)
Leider hilft Noscript auch nicht mehr viel, wenn man einer Website erlaubt, Skripte auszuführen, und diese Website wurde von jemandem gehackt.

Fazit: Das Zeitalter der Antivirus-Software für Browser ist angebrochen. Das Hase-und-Igel-Spiel, das die Virenbastler seit Jahren gegen die Antivirushersteller gewinnen, dämmert jetzt auch für Browser herauf.

Grad bei heise gelesen: Es gibt eine Testsuite für Hardware-Performance unter Linux.
Sowas ähnliches gibt es unter Windows auch, heißt (zum Beispiel) Spec und ist generell nur mäßig tauglich.  So ein Performancetest läuft ja so, dass man ein paar Programme laufen lässt und schaut, wie lange sie brauchen, nur erzeugen diese Programme nie die Last, die man im täglichen Gebrauch auf der eigenen Maschine tatsächlich hat, und damit sind die Zahlen immer nur sehr begrenzt aussagekräftig. Wirklich nützlich sind sie nur für die Marketingleute… und dann kommen so Sprüche auf wie: Lügen, dreiste Lügen und Benchmarks.

Phoronix läuft da ein bisschen anders.

Erstmal ist das Ding Open Source. Man kann es also - wenn es denn wirklich nötig ist - an die eigenen Bedürfnisse anpassen.

Zweitens gibt es eine zentrale Datenbank mit Testergebnissen. Und zwar ganz fein aufgeschlüsselt, man kann jeden Teiltest einzeln anschauen; wenn man also z.B. einen Datenbankserver kaufen will, ignoriert man einfach die Testergebnisse, die mit Grafikleistung und sonstigen uninteressanten Leistungsaspekten zu tun haben.

Drittens kann jeder, der mag, die Testsuite laufen lassen und die Ergebnisse einschicken. Es werden also nicht die sorgsam aus Premium-Komponenten aufgebauten Systeme getestet, sondern das, was grad billig auf dem Markt ist. Das dürfte den Hardwareherstellern nützen, die nicht nur auf billig machen, sondern auch ein bisschen Qualität verkaufen möchten. (Allerdings kann auch Phoronix nur Leistung testen. Sound- und Grafikqualität bleiben immer noch außen vor.)

Viertens kann jeder, der mag, einen neuen Teiltest einschicken. Ein Softwarehersteller, der wissen will, ob seine Software irgendwelche Performanceprobleme hat, macht dazu eine Testsuite und schaut, was für Benchmarks rauskommen. Ein Spielehersteller kann dann z.B. testen, ob seine Annahmen über die verfügbare Rechenleistung überhaupt sinnvoll sind, oder ob er doch lieber noch ein bisschen an der Performance feilt, bevor er das Spiel freigibt.

Schick

Gar nicht mal so sehr, dass MS offenkundig versucht hat, die Normungsgremien durch verfahrenstechnische Tricks zu beeinflussen. Das ist zwar unfein, hat aber nichts mit den Qualitäten von OOXML selbst zu tun.

Auch nicht mal, dass der Standard technisch Mist ist. Ich halte zwar die Kritiken für plausibel, aber eine schlechte Norm wäre ja immer noch besser als mehrere zwar gute, aber inkompatible Normen.

Das eigentliche Problem ist, dass da eine zweite Norm zu einer ersten hinzukommen soll.

Das ist ungefähr so sinnig wie die Vorstellung, zwei Normen für Schraubengewinde einzuführen. Wir haben den Mist ja schon. In meiner Bastelkiste mit PC-Ersatzteilen liegen Schrauben mit Millimetergewinde und Schrauben mit Zollgewinde. Die mit Zollgewinde braucht man für die meisten Festplatten, weil die Dinger in den USA hergestellt werden und dort nun mal Zollgewinde üblich sind.
Im Prinzip geben sich die beiden Gewindenormen nicht viel. Die Zollschrauben sind schneller und bequemer verschraubt, weil sie etwas steiler sind und deswegen mit jeder Umdrehung tiefer hineingedreht werden, aber in der Praxis ist dieser Unterschied nicht sehr gravierend; wichtiger ist, dass die Schrauben gut sitzen, und da ist es egal.
Aber wenn im Versehen eine Zollschraube in ein  Millimetergewinde eindreht oder umgekehrt, dann ist das Gewinde kaputt. Ziemlich blöd, wenn man dann die Festplatte nicht mehr sicher verschraubt kriegt.

Ähnliches ist bei Einführung von OOXML zu befürchten. Am Ende laufen in der Welt Dokumente in beiden Formaten herum. Will man Teile aus einem Text in einen anderen übernehmen, wird eine Konvertierung nötig - und nach 20 Jahren Erfahrung mit Konvertern brauche ich wohl nicht mehr zu erklären, wie fehlerträchtig die Dinger sind.

Microsoft mag das “offenen Wettbewerb der Normen” nennen. Ich nenne das “auf dem Rücken des Endanwenders ausgetragen”.

Mittlerweile installieren die Botnetzbetreiber offenbar nicht mehr nur Hintertüren ins System, sie manipulieren auch noch die Domainnamen-Mechanik in PCs. Wenn’s dumm läuft, ruft man dann sparkasse.de auf, landet aber auf dem namenlosen Server eines Bösen Buben, der nur so tut, als sei er die Sparkasse. (Schlimmer noch: er leitet alle Anfragen an den echten Sparkassenserver weiter, so dass der Benutzer nicht mal merkt, dass er auf der Website des Bösen Buben ist. Und der kann dann alle Informationen mitlesen oder auch verändern.)

Dieser Angriff trifft nur Leute, die mit Administratorrechten im Internet surfen. Die Malware benötigt das, um die DNS-Mechanik im PC zu “verbiegen”.

Wer also mit Linux, MacOS oder Solaris unterwegs ist, dürfte auf der sicheren Seite sein. Diese Systeme sind von Haus aus so konfiguriert, dass man nur selten etwas mit Administratorrechten machen muss.

Windows-Anwender müssen ein wenig aufpassen. Insbesondere Leute, die mit einer Home-Edition unterwegs sind, haben oft Administratorrechte.
Der einfachste Test ist, unter C:\Windows\system32\drivers\etc die Datei hosts zu öffnen, eine Leerzeile einzufügen und die Datei wieder abzuspeichern; klappt das, ist das System verwundbar.
Wenn die Windows-Version das erlaubt, richtet man sich am besten ein eingeschränktes Benutzerkonto zum Surfen ein. Wenn die Windows-Version keine Benutzerverwaltung hat, sollte man auf ein sichereres Betriebssystem umsteigen. (Ja, das ist teuer und kostet unheimlich viel Zeit. Beschweren Sie sich bei Microsoft, ich bin nur der Bote mit der schlechten Nachricht.)