Linux-Handys

Laut heise wollen die Handyhersteller eine Linux-Distribution für Handys machen.

Für die Handyhersteller ist das natürlich praktisch. Bisher wird die Betriebssoftware für jede neue Handygeneration von Grund auf neu geschrieben, in Zukunft brauchen sie nur noch Gerätetreiber zu schreiben.

Für die Nutzer ist es auch praktisch. Ein Klingelton, Spiel, Adressbuch, …, das auf Handy A läuft, lässt sich dann unverändert auf Handy B übertragen.

Für die Virenschreiber ist es allerdings auch praktisch. Handyviren gibt es ja schon, aber sie sind bisher relativ wenig verbreitet, weil jedes Handelmodell ein bisschen anders tickt und die Infektion oft fehlschlägt. Ein einheitliches Linux räumt auch hier Hürden aus dem Weg.

Die Handyhersteller werden also höllisch darauf achten müssen, ihr mobiles Linux gegen Sicherheitslücken abzudichten. Dabei müssen sie aber die Möglichkeit erhalten, Klingeltöne, Spiele usw. herunterzuladen, der WAP-Browser muss funktionieren, usw., außerdem werden etliche Anwender auch ihre eigene Software installieren wollen.
Dieser Zielkonflikt ist sehr schwer zu lösen. Auf dem PC haben im Moment die Viren gewonnen, Millionen von Zombie-PCs in Botnetzen sprechen da eine klare Sprache. Mal schauen, ob wir in fünf Jahren Milliarden von Zombie-Handies haben.

Wider Javascript

Zunächst mal: Javascript ist eine feine Sache. Man kann damit die Bedienung von Webseiten unendlich vereinfachen.

Der Haken: Javascript ist seit Jahren immer wieder Einfallstor für Malware gewesen. Eigentlich sollte das nicht sein, die scriptfähigen Browser bemühen sich alle darum, dass Javascript gar nicht erst aus dem Browser ausbrechen kann – nur bietet Javascript derart viele Möglichkeiten an, dass es kompliziert ist, Komplexität bedeutet Programmfehler, und Programmfehler in der Absicherung bedeuten ein Sicherheitsleck.

Nun gibt es Möglichkeiten, Javascript nur bestimmten Websites zugänglich zu machen. Auf meinem Standardbrowser (Firefox) nutze ich NoScript, das wirklich sehr bequem zu nutzen ist. Man könnte also nur den Websites, denen man vertraut, Javascript erlauben und allen anderen nicht.

Auch das hat einen Haken. Gesetzt den Fall, ich vertraue 20 Sites, und in einem Fall war das Vertrauen dann doch ungerechtfertigt: dann habe ich trotzdem einen Trojaner auf der Platte.
Selbst bei perfekter Menschenkenntnis würde ich auf diese Weise hereinfallen: Wenn ich einer Website vertrauen, dann vertraue ich ja nicht nur dem Betreiber, dass er schon nichts Böses mit meiner Website anstellt. Ich vertraue auch seiner technischen Kompetenz, dass er seine Website gegen Hacker absichern kann. Und seinem Zeitplan, dass er diese Absicherung auch tatsächlich durchgeführt hat.

JavaScript ist da fast wie Sex: nur mit Leuten, die man gut kennt und denen man vertraut. Und auf den Zeitpunkt gefasst sein, an dem es doch mal schiefgeht.

Die neueste Sicherheitslücke

… heißt AIR und kommt von Adobe.

Eigentlich eine hübsche Sache: AIR-Programme können, ohne dass der Programmierer großartige Verrenkungen macht, zwischen Online- und Offline-Betrieb umschalten.
Das ist z.B. für Texteditoren praktisch. Ist man online, steht die Hilfefunktion aus dem Netz zur Verfügung, man kann Google-Ergebnisse einarbeiten, oder wasauchimmer; ist man offline, muss man eben mit dem auskommen, was auf dem eigenen Rechner liegt.

So richtig erschließt sich mir der Sinn aber trotzdem nicht. Auch in Word kann man Ergebnisse aus dem Internet einbinden, zum Beispiel.

Dann soll so ein AIR-Programm auf jedem Rechner gleich aussehen und gleich funktionieren.
Das kann man aber eigentlich schon mit Java.

Dafür haben solche Programme, die ganz leicht ins Internet kommen, natürlich auch ganz schnell ein Informationsleck. Bisher kann man ja seinen Firewall aktivieren, und wann immer der mir meldet, dass Word mal wieder nach Hause telefonieren will, sag ich Nein.
Bei einer AIR-Anwendung hieße es dann: „Das Programm air.exe will eine Verbindung mit dem Server 123.234.213.241 aufbauen. Verbindung zulassen?“ Und ich wüsste nicht, welches AIR-Programm das jetzt eigentlich auslöst – nicht gut.

Und Programme, die ganz leicht ins Internet kommen, kann man auch ganz leicht aus dem Internet heraus ansprechen. (Es soll ja „Cloud Computing“ heißen.)
Und Programme, die aus dem Internet heraus ansprechbar sind, sind natürlich Primärziele für alle, die Schadcode auf meinem PC installieren wollen.

Auch das ist nichts Neues – das haben wir schon lange in Form von Javascript in den Browsern.

Na, mal schauen. Vielleicht hat Adobe auf alle diese Fragen eine überzeugende Antwort.
Man darf aber skeptisch bleiben 😉

Gute Passwörter

Immer wieder neu, immer wieder schön: man braucht auf die Schnelle ein Passwort. Und gute Passwörter kriegt man nicht hin, Menschen sind nun mal nicht für den Zufall gebaut.

Dabei braucht man nur einen Würfel, einen Stift und ein Blatt Papier.
Auf dem Papier schreibt man sich dieses Schema hin:

1 2 3 4 5 6
1 a b c d e f
2 g h i j k l
3 m n o p q r
4 s t u v w x
5 y z 0 1 2 3
6 4 5 6 7 8 9

Und dann heißt es, immer abwechselnd eine Zeile und eine Spalte auswürfeln und das Zeichen aus der Tabelle für das Passwort verwenden.Mit ein bisschen Übung kann man sich auch solche ausgewürfelten Passwörter ganz gut merken. Einfach erstmal aufschreiben und bei jedem Eingeben erstmal versuchen, so viele Zeichen wie möglich aus dem Gedächtnis zu tippen. Wenn man sein Passwort einmal täglich eingibt, hat man es nach spätestens zwei Wochen „intus“.Und wer sich Sorgen macht, weil keine Großbuchstaben im Passwort sind: Ein weiteres Zeichen dranhängen ist so gut wie Groß-/Kleinschreibung in sechs Zeichen. Statt acht Zeichen mit Groß-/Kleinschreibung nimmt man also einfach zehn Zeichen und hat dann sogar eine etwas bessere Sicherheit.