Sicherheitserwägungen zu Elster

Auf dem Linuxwiki lese ich, dass die Steuerbehörde ursprünglich freie Software möglichst von der Elster-Schnittstelle fernhalten wollte. Aus Sicherheitserwägungen.

Ich hoffe, angesichts der Diskussion um Vorratsdatenspeicherung und sonstige staatliche Überwachungsmaßnahmen hat die Behörde Verständnis dafür, dass ich keine Closed-Source-Software auf meinem PC installieren möchte. Ganz besonders keine, die von einer Behörde stammt – Behörden haben das Geld, die Fachleute und die Motive, einen wirklich kaum zu entdeckenden Trojaner zu bauen,siehe Stuxnet.
Und wenn es von der Steuerbehörde kommt, weiß ich ja nicht, ob die nicht vom Innenministerium irgendwelche Aufträge erhalten haben. Oder vom Arbeitsamt. Oder sonstwem.
Und ich hab weder Zeit noch Lust, irgendwelchen uneingeladenen Herren erklären zu müssen, warum irgendwelche angeblichen Verdachtsmomente keine sind.

Ich hab diesem Staat mal vertraut.
(Vielleicht war ich ja auch einfach nur naiv.)

Danke, Herr Sarrazin

Dafür, mal so richtig vorzuführen, wie dämlich genetische Begründungen für Rassismus eigentlich sind.

So z.B. das hier: dass es „natürlich“ genetische Folgen habe, wenn den Ägyptern und Kurden jahrhundertelang das Lesen und Schreiben verboten worden sei.
Soso. Dem einfachen Volk in Westeuropa wurde das sogar anderthalb Jahrtausende lang vorenthalten, das Monopol dafür lag bei der Priesterschaft. Und während die Türken in Ägypten und Kurdistan geherrscht haben und Nachkommen zeugen durften, die (angeblichen) Lesebefähigungsgene also im Genpool geblieben sind, durften die Priester das nicht.
Wenn man das Ägypten-Argument ernstnimmt, müssten die genetischen Voraussetzungen fürs Lesen und Schreiben in Westeuropa ausgerottet sein.

Was natürlich Blödsinn ist, wie ein Blick an den Zeitschriftenstand zeigt.
Und das Argument stammt auch nicht von Sarrazin, sondern von Necla Kelek, die es aber unterstützend zu Sarrazins Thesen gebracht hat.

Nutzen von De-Mail?

Für eine rechtssichere Kommunikation zwischen Bürgern und Behörden? Das können sie vergessen, solange der heimische PC der Spielplatz der diversen Malware bleibt. Es ist schon jetzt abzusehen, dass Kriminelle auf die Idee kommen, im Namen irgendwelcher Bürger allerlei unsinnige Anträge einzureichen.
Beispielsweise könnte man einen missliebigen Menschen im Sekundentakt verklagen, und damit’s nicht sofort auffällt, die Klageanträge über ein Botnetz zu streuen. Das Ganze wird natürlich irgendwann bemerkt und zurückgeholt, aber bis das geregelt ist, hat das Opfer eine Menge Ärger an der Backe.
Oder man stellt Förderanträge. Zahlbar bitte auf das Konto XYZ der Räuberbank.

Damit die Behörde sich nicht mehr damit rumärgern muss, dass die Briefzustellung unzuverlässig war? Sinnlos – es entfällt nur die Postlaufzeit, alle anderen Verzögerungsgründe wie Urlaub, Krankheit usw. werden von den Gerichten weiterhin anerkannt werden. Und wegen zwei Tagen braucht man den Kram nicht.

Verschlüsselte Mailübertragung? Geht heute schon mit S/MIME. Wird kaum genutzt, obgleich es sehr einfach wäre, wenn man denn ein Zertifikat hätte.

Ich glaub, da wird einfach nur eine Sau durchs Dorf getrieben, weil das moderne Kommunikation ist.

Passwortunsinn

Das Ei des Kolumbus: Man soll endlich leicht zu merkende Passwörter verwenden dürfen. Damit Wörterbuchangriffe nicht mehr lohnen, soll (erstens) beim dritten Fehlversuch der Zugriff gesperrt werden und (zweitens) ein Passwort nur dann zulässig sein, wenn es nicht allzuoft vorkommt.

Macht alles nur keinen Sinn.

Erstens: Die Zugangssperre nach dem dritten Fehlversuch ist uralt und wurde schon vor dem Aufkommen automatisierter Wörterbuchangriffe umgesetzt.

Zweitens: Das Grundproblem mit Passwörtern aus dem Duden ist, dass es viel zuwenige gibt. Der Duden enthält ca. 135.000 Stichwörter, das sind ungefähr 17 Bits Entropie.(Zur Erinnerung: bei Zufallspasswörtern ist die Entropie die Anzahl der Bits, die man benötigt, um alle Möglichkeiten durchzuzählen.) Da man ja eben auch beliebte Wörter verwenden können soll, sinkt die Entropie weiter – 10 Bit vielleicht?
Die übliche Empfehlung heutzutage sind mindestens 50 Bits. Man bräuchte also 50 / 17 = ca. 2,9 Wörter. Wenn wir realistischere 10 Bit pro Wort annehmen, dann sind das fünf Wörter. Bei so vielen Wörtern fangen die Menschen an, ganze Sätze zu bilden, das heißt, die Wörter sind noch weniger zufällig – vielleicht sollte man doch mindestens 10 Wörter verlangen.
Hilfe! Wir verlieren grad aus den Augen, dass das Passwort leicht zu merken sein soll…

Seltsames Politikverständnis

Frisch aus dem Heise-Ticker: Unser aller Bundeskanzlerin findet das Web unübersichtlich, weil es viel zu viele Teilgruppen gäbe, die man alle anders ansprechen müsse. Und es würden gleichzeitig viel zuviele Themen hochkochen, als dass man sich um alle kümmern könnte.

Seltsam. Ich dachte immer, die ureigenste Aufgabe der Parteien sei es, ähnlich laufende Interessen zu bündeln und in konkrete Politik umzusetzen. Wenn sie jetzt anhand des Internets entdeckt, dass es viel mehr Interessen gibt als gedacht, ist das nicht ein Indiz, dass die Parteien bei der Erkundung der vorhandenen Interessen versagt haben?
Es würd ja auch die Politikverdrossenheit erklären. Wer ständig an den Problemen vorbeiregiert, die die Leute gar nicht interessieren, braucht sich nicht zu wundern.
Die öffentliche Meinung besteht eben nicht nur aus dem Inhalt von Bild, ARD und ZDF. Auch wenn das im Raumschiff Berlin anders aussehen mag.

Verplapperter Nachwuchs

Da gab es ein sehr lesenswertes Interview.

  1. Er sagt offen, dass er weder Sexualexperte noch Informatiker ist. So weit, so ehrlich.
  2. Er regt an, dass man drüber reden soll, um im Internet einen Jugendschutz hinzukriegen. So weit, so sinnvoll, auch wenn diese Diskussion ja schon länger geführt wird und er vielleicht ein bisschen spät dran ist… aber gut, nicht jeder ist immer über alles sofort informiert.
  3. Da sagt er über BDSM, dass es selbstverständlich nicht frauenfeindlich ist, wenn keine Frau im Porno vorkommt. Das ist schon ziemlich megapeinlich, selbst als Nichtexperte weiß ich, dass menschliche Sexualität so variabel ist, dass jede, aber auch wirkliche jede Variante von Sexualität existiert. Sogar Frauenfeindliches kann – auch von Frauen – genossen werden, solange es gelebtes Spiel bleibt und nicht den Alltag beeinflusst. Wenn er schon weiß, dass er kein Sexualexperte ist, sollte er sich mit Ansichten zur Details einer Pornografie besser zurückhalten.
  4. Aber dann werden schon technische Details befürwortet. Netzsperren und so.
    Und nööö, das ist niemals nicht Zensur, wir sind hier in einem Rechtsstaat.
    (Selbstverständlich ist es auch in einem Rechtsstaat Zensur. Und harmlos wäre Zensur nur dann, wenn wir einen gerechten Staat haben… ein Rechtsstaat reicht nicht.)

Fazit zum Mitnehmen: Da überschreitet einer die Grenzen dessen, wo er noch kompetent ist, merkt es nicht einmal, hat aber schon Beschlüsse im Hinterkopf.
Als Entscheider egal wo eine Katastrophe.

Noch peinlicher, dass er offenbar versucht hat, das Interview zurückziehen zu lassen.
Statt zurückziehen wäre eine Ergänzung angebracht gewesen. Tenor ungefähr des Inhalts: okay, ich hab mich zu Festlegung über Positionen hinreißen lassen, wo mir noch Hintergrundwissen für eine vernünftige Entscheidung fehlte. Fundiertere Aussage folgt.

Aber wetten, dafür reicht die persönliche Souveränität nicht? 😉

Abgesang auf einen Traum

Es gab mal Zeiten, da war Apple für rabiates Vorgehen gegen Konkurrenten bekannt, aber eben auch für gute technische Qualität. Es hat schon seinen Grund, warum Apple immer eine treue, in Teilen sogar unvernünftig fanatische Anhängerschaft hatte.
Dann kam das Iphone, und sie haben angefangen, ihre Kunden rabiat zu melken. Exklusivverträge mit Mobilfunkprovidern, extrem lange Vertragsbindungen, Überregulierung im Appstore. Da wurde es schon weniger schön.
Immerhin konnte man noch sagen, dass sie wenigstens gute Technik liefern und nichts versprechen, von dem sie wissen, dass es nicht stimmt.

Vorbei. Sie haben Unsinn über das Antennenproblem erzählt, und das Problem ist für den Hersteller so offensichtlich, dass sie es gewusst haben müssen.
Was den Tatbestand der dreisten Lüge gegenüber der Kundschaft erfüllt.

Ich habe meine ersten Gehversuche mit GUIs auf dem Mac gemacht, und das war mal um Klassen besser als alles, was es anderswo gab.
Erst hat Apple den technischen Vorsprung zum größten Teil verloren.
Jetzt erodiert auch noch der Vertrauensvorsprung.
Sowas tut weh.

Open Core

Ich habe gerade eine interessante Kritik an „Open Core“ von Simon Phipps gelesen.

„Open Core“ heißt: eine kommerzielle Firma gibt eine Open-Source-Version ihrer Software heraus, bietet aber gleichzeitig nützliche Erweiterungen als klassische Closed-Source-Software an. (Häufig hinterlegen sie den Quellcode für die Erweiterungen, damit er im Fall einer Pleite an die Kunden übergeben wird.)

Der Kern der Kritik: Wer die Erweiterungen benötigt, hat vom Open-Source-Kern nichts. Phipps folgert daraus, dass Open Core eigentlich ein Missbrauch der Open-Source-Regeln ist, und dass die Regeln verschärft werden sollten, um Open Core schwieriger zu machen.

Er unterstützt allerdings den Kurs der Apache Foundation, die ebenfalls einem Open-Core-Modell folgt, allerdings den freien Kern bewusst so großzügig ausstattet, dass er für alle Anforderungen ausreicht.
Damit, so die Ansicht, sind die Kunden nicht an einen spezifischen Hersteller gebunden, sie können die Erweiterungen dann, wenn sie ihnen zu teuer werden, eben wieder abschalten.

Ich finde das ein wenig schwammig – „alle Anforderungen“ ist für jeden was anderes.
Außerdem glaub ich nicht, dass das so stimmt. Wenn einer Software kauft und installiert, tut er das nicht aus Jux und Dollerei, sondern, weil ein echter Bedarf da ist; die Erweiterung wieder zu deinstallieren ist fast nie eine brauchbare Option.

Vielleicht wäre es sinnvoller, ein Open-Core-Modell zu entwickeln, bei dem nichtoffene Erweiterungen nach einer bestimmten Zeit (zwei Jahre? oder wenn sich die Entwicklung amortisiert hat?) unter Open Source zu stellen.
Der Haken: einer der Hauptnutzen von Open Source entfällt. Die ganzen Freiwilligen, die das Entwicklungstempo von Open-Source-Software so beschleunigen, entfallen gerade in der kritischen Anfangsphase.

Gauck/Wulff: Interessante Reaktionen

Da ist mancherlei Unsouveränes hochgekommen.

C-Parteien, die hemmungslos ihre Kandidaten einpeitschen. Dass Grundgesetz gibt ja vor, dass die Delegierten nicht an Weisungen und Aufträge gebunden seien – derart offen dagegen aufzutreten, mag die politische Realität sein, aber stillos ist es allemal.
Eine verlässliche Regierungsmehrheit demonstriert man damit auch nicht.

So weit, so vorhersehbar. Nicht vorhersehbar war eine Pikanterie bei der Linkspartei.
Wird ein Abgeordneter gefragt, ob er Gauck wählen könne. Die Anwort: „Was würden Sie tun, wenn Sie die Wahl hätten zwischen Hitler und Stalin?“
Ich weiß nicht recht, soll ich es als Fortschritt werten, dass da ein hochrangiges Mitglied der Linken öffentlich anerkennt, dass Stalin so übel wie Hitler war, oder soll ich empört sein, dass er Wulff und Gauck mit zwei der übelsten Diktatoren des 20. Jahrhunderts in die gleiche Schublade wirft.

NACHTRAG: Dehms Missgriff stößt auch innerhalb seiner Partei auf Kritik. Hoffen wir, dass das dort Mehrheitsmeinung ist. Oder wird. Die Linke ist nun mal ein signifikanter Teil des politischen Spektrums, und wenn dieser Teil ernsthaft Politik macht statt Klamauk, tut das der Republik nur gut. Egal, ob man die ihre Ziele nun teilt oder nicht.

NACHTRAG 2: Im Gegensatz zu den Grünen finde ich seine Erklärung durchaus angemessen. Dass einem ein Vergleich entgleist, kann schon mal passieren.
Was die Wikipedia sonst von von ihm zitiert, klingt allerdings danach, als wären solche Entgleisungen bei ihm nichts Unübliches. Das finde ich allerdings kritikwürdig.

Warum ich Flickr nicht vertraue

Wer Dissidenten unter den eigenen Kunden ans Messer liefert, dabei hemmungslos lügt und dann auch noch so verkorkste Prioritäten setzt, dass er sich für die Lügen entschuldigt, aber nicht für das Schicksal der Betroffenen, kennt erst Recht keine Schranken, wenn es ums Ausspionieren der Besucher geht.

Aufgefallen beim Verfolgen eines zugeschickten Links, als sich rausstellte, dass die Flickr-Diashow Skripte von Yahoo verwendet (ich hab jetzt nicht kontrolliert, ob Flickr zu Yahoo gehört, aber es liegt natürlich nahe).
Und dann wollen die nicht nur Javascript, sondern auch noch Flash.

Nö.