Bernds Blog

Ich bin recht früh aufgewacht. Beim morgendlichen Konsum meiner RSS-Feeds fiel unangenehm auf, das heise down ist. Nachdem ich einige Zeit damit zugebracht habe mein Netzwerk-Setup zu prüfen kam ich doch auf die Idee, dass es an denen liegen könnte. ;-)

Bei der Suche nach aktuellen Infos über den Status quo fiel mir dieses Blog-Posting von Fefe in die Hände. Und er hat ja so recht. :)

Nein, ich weiß auch nicht, wieso Heise seit Stunden down ist. Ist mitten in der Nacht, da updated sich da eh nichts. Geht mal schlafen oder feiern oder was weiß ich, Nerds. Nicht zu fassen, sitzen da alle vor ihren Kisten und klicken reload im Browser.

Peter Pramberger hat gestern Abend auf der SKS-Devel-Mailingliste angekündigt, seinen PGP-Keyserver unter keyserver.pramberger.at abzuschalten:

Several weeks ago I got a complaint from a user getting his old PGP key
removed from my keyserver. He got the usual answer in such cases, but
unfortunately wasn't accepting it. Instead he insisted on his right to get the
key removed, in accordence to the Austrian Data Protection Act (DSG 2000).

Ohne das Österreichische Datenschutzgesetz im Detail zu kennen, gehe ich stark davon aus, dass es sich zu den anderen in Europa gebräuchlichen Datenschutzgesetzen nicht all zu sehr unterscheidet. Der Fall ist also im Grunde portabel.

Nach anfänglicher Empörung stelle ich mir allerdings schon die Frage, was an der Begründung eigentlich dran ist. PGP-Keyserver funktionieren nach dem Prinzip, dass man nur öffentliche Keys hoch lädt und diese Keys dann für immer öffentlich abrufbar sein sollen. So gibt es mehrere Keyserver-Netzwerke, die ständig die Keys unter einander austauschen. Löscht man einen Key auf einem Server, wird er umgehend von einem anderen Server wieder kopiert. Eine nachhaltige Löschung ist also nicht vorgesehen und in der Praxis auch nicht möglich.

Auch wenn es sich dabei um öffentliche Schlüssel handelt, stimmt es natürlich, dass der Eigentümer beim Hochladen nicht in rechtlich brauchbarer Weise über den Umstand aufgeklärt wird, dass das eine unwiderrufliche Veröffentlichung seines Namens, seiner E-Mail-Adresse und ggf. seines Fotos ist.

Ohne dass dies irgend jemand mal zu mindest zu einem erfahrenen Anwalt trägt oder gar eine Gerichtsentscheidung provoziert, bleibt der Betrieb eines PGP-Keyservers also vermutlich eine höchst gefährliche Sache, deren juristische Konsequenzen der einfache Admin nicht abschätzen kann.

Mit großem Tam-Tam hat sich am Montag das Hamburger Abendblatt zum heiligen Samariter der Old-School-Journalisten empor geschwungen und verkündet, dass man zukünftig für einen Teil der Inhalte Geld haben möchte. Wenn man sich im HA-Online-angebot umschaut, sieht man dass quasi alle Artikel nur noch gegen Gebühr angeboten werden sollen.

Ob das eine gute Idee ist? Ich möchte darauf nicht eingehen. Es ist zu abstrus.

Warum ich den Artikel schreibe, hat einen anderen Grund. Und zwar die Offenbarung vor Google, die das Abendblatt hier abliefert.
Es ist noch nicht allzu lange her, da ging durch sämtliche Online-Medien eine Welle der Entrüstung. Man sah sich konfrontiert mit einer Ausgeburt des Bösen, nämlich Google News. Google scannt selbstständig eine gigantische Menge an Artikeln auf allerlei Nachrichten-Seiten und gruppiert diese anhand von Schlagwörtern.
Beim HA habe ich zugegebener maßen nichts finden können was diese Aufregung formuliert, aber z.B. beim Spiegel gibt es einen Artikel dazu: Wie Google News Redaktionen ausbeutet.

Man mag also Google nicht. Google ist böse. Denn Google bringt einem nur noch mehr Klicks von noch mehr Kostenlosfanatikern.

Kern meines Spotts: Man nehme einen UserAgent-Switcher (z.B. als Firefox-Extension) und schalte auf eine Kennung des Google-Bot um. Et voilà, die Website des Hamburger Abendblattes steht wieder sperrangelweit offen wie gehabt und man kann alle Artikel ohne Einschränkung lesen.

Was sagt uns das? Ich glaube nicht, dass hier die Programmierer der Website einen gravierenden Fehler gemacht haben. Es ist bestimmt kein Faux-pas, dass hier der Google-Bot die Nachrichten lesen kann, die man eigentlich nur im Abonnement erhalten sollte.
Aber warum? Wäre das jetzt nicht die längt herbeigesehnte Situation, dass man dem bösen Google News (der mit einem Seiten-Login nicht wirklich umgehen kann) endlich einen Riegel vorschieben kann. Dass endlich nicht mehr mühsam geschriebene Artikel in der Kostenloskultur verpuffen.

Aber nein, es ist recht klar, dass hier einfach die Werbe-Wirkung, der Klickzahlengenerator Google nicht geschädigt werden soll.

Das muss man sich mal auf der Zunge zergehen lassen: Da ist ein Unternehmen, das eigentlich nichts weiter macht als kostenlose Dinge aufwändig zu sortieren und wiederum kostenlos abzugeben. Dieses Unternehmen wird mit dieser Tätigkeit stinkend reich. Dann ärgern sich die Kostenlos-Content-Anbieter, dass das mit dem Kostenlos-Content ja gar nicht so gedacht sei, dass man das auslesen und sortieren soll. Man soll das nur lesen (im humanen Sinne) und nicht woanders speichern. Nun wird aber anders herum, genau der eigentlich nicht kostenlose Content zufälligerweise eben doch kostenlos nur in dieses böse Unternehmen gepumpt. Da stimmt doch irgendwas nicht an der Argumentationskette, oder?


Der Hohn auf dem ganzen ist ja, dass Google aus den mittlerweile lizenzierten Agenturmeldungen auch keine schlechteren Artikel produziert als die Journalisten. Im Gegenteil, die stupide Technik von Google schafft es im Zweifel sogar, verschieden tendenziöse Beiträge über das selbe Thema nebeneinander anzuzeigen. Eine Redaktion wird mindestens die für ihre Ausrichtung am besten passende Agenturmeldung publizieren, wenn nicht sogar noch das ein oder andere "unwichtige" Detail weglassen um einen vorher festgelegten Eindruck zu vermitteln. Objektiver (Endkunden-)Journalismus kann heutzutage von einer Maschine mindestens genauso gut erledigt werden wie von einer Redaktion. Na dann, Prost Mahlzeit an die Internet-Ausdrucker.

Seit einer Weile hatten wir vor, anstelle von Bildern fürs Fotoalbum auch mal ein Fotobuch drucken zu lassen. Das scheiterte bisher immer daran, dass die üblichen Verdächtigen eine reine Windows-Software anbieten, die noch nicht mal unter Wine zum Laufen zu bewegen ist.

Vor etwa 2 Wochen fand ich allerdings einen Anbieter, der explizit mit der Unterstützung von Linux wirbt. Das hat mich gleich fasziniert und ich beschloss, dieses Angebot wahrzunehmen. Am Montag kam dann das fertige Buch an.

Da ich sehr zufrieden war, nenne ich gerne Namen: Es handelt sich um die Firma fotobuch-profi.de, die das Java-Programm Photux benutzt.

Die Java-Software läuft auf vielen Plattformen, ich konnte und wollte nur Linux/x86 und Linux/amd64 testen. :) Für den einfachen Anwender gibt es zwei Stolpersteine, die der Hersteller noch ausräumen sollte.

1. Die Speicher-Beschränkung von Java. Normalerweise hat unter Linux jedes Java-Programm nur 64 MB RAM zur Verfügung. Das mag im letzten Jahrtausend bei der Erfindung von Java eine sinnige Idee gewesen sein, heute ich das zumindest für eine Bildbearbeitung wesentlich zu knapp. Das Programm selbst kann das Limit logischerweise nicht verändern, man muss dies in der Start-Kommandozeile machen. Der Händler nennt zwar die passende Kommandozeile, liefert für Linux aber eine blanke JAR-Datei aus. Ein einfaches Script zum Starten der Anwendung mit den richtigen Parametern könnte hier echt weiter helfen.

2. Das Programm erlaubt die Verwendung diverser Bildformate. Bindet man jedoch ein PNG mit indizierten Farben ein (PNG kann beides, indizierte Farben und RGB), so schlägt die Übertragung zur Druckerei fehl ohne eine eindeutige Fehlermeldung. Es hat mich einige Stunden experimentieren gekostet um diesen Umstand herauszufinden. Wandelt man das PNG in RGB um, klappt es.

Abgesehen davon lief alles reibungslos, die Designer-Software ist akzeptabel in der Bedienung (was nicht heißt, dass ich nicht Verbesserungsvorschläge hätte) und das Druck-Ergebnis exzellent (im Gegensatz zu meinem Display sind die Bilder etwas dunkler gedruckt worden. Das macht aber mein Farblaser hier auch, vermutlich ist mein LCD einfach etwas zu hell eingestellt).

Der Preis ist zwar nicht grade Dumping, aber die Qualität des Buches stimmt. Die Produktionszeit von etwa einer Woche (zzgl. Versand) ist auf der Internetseite gut dokumentiert und stört mich nicht.

Nachdem wir seit ein paar Wochen mehrmals täglich mit einem bestimmt ganz interessanten, nur leider total unerwünschten Newsletter beglückt wurden, habe ich heute mal den Abmelden-Link betätigt. Ich möchte nicht sagen, um welchen Anbieter es dabei geht.

Der Link besteht an personenbezogenen Daten nur aus einem Hash, also eine zufälligen Zeichenkette. Üblicherweise legt man in einer Datenbank diesen Hash als einseitiges Identifizierungsmerkmal bei den Kundendaten ab. Eine löbliche Praxis, so wird keine E-Mail-Adresse übertragen.

Durch Aufruf der URL wurde mir meine E-Mail-Adresse angezeigt, zusammen mit der Meldung

Abmeldung

Ihre Abmeldung war erfolgreich. Wir bedauern sehr, Sie als Leser unseres geld.de-Newsletters verabschieden zu müssen.

Empfängerdaten gelöscht. IIhre persönlichen Daten und Einstellungen wurden erfolgreich aus unserem System gelöscht. Sie nehmen zukünftig nicht mehr am Empfang des geld.de Newsletters teil.

Klingt gut? Ja, tut es.

Aber es verliert seine Glaubwürdigkeit, wenn die selbe Meldung mit der selben Klartext-E-Mail-Adresse (die, wie wir wissen, nicht von mir in der URL übertragen wurde) nach einem Reload der Seite immer wieder gezeigt wird.
Noch immer weiß die Datenbank meine E-Mail-Adresse. Das sollte aber nicht so sein, wenn (wie geschrieben wurde) der Löschvorgang wirklich funktioniert hat.
Ein Löschvorgang auf die selben Daten, der wiederholt "erfolgreich" verläuft, ist keine gute Idee!

Übrigens erhält man die Abmelde-Bestätigung nur, wenn man AdBlock Plus abschaltet. ;-)

Heute bzw. gestern Abend kamen mal wieder ein paar Artikel zum geplanten E-Mail-Dienst des Innenministeriums namens »DE-Mail« in der Onlinepresse.

Kurz gefasst denke ich, dass dieses Projekt das Potenzial hat, sich in eine Reihe unrühmlicher Geldgräber einzugliedern.

Besonders gefallen hat mir der Heise-Artikel dazu. Ich möchte mal etwas pedantisch auf ein paar Abschnitten herumreiten:

Schallbruch teilte auch die Kritik aus dem Bereich der kommunalen Anwender des OSCI-Standards (Online Services Computer Interface) nicht, wonach auf dieser Basis bereits Möglichkeiten zum verschlüsselten E-Mail- und Dokumentenversand über gängige Mail-Adressen bestünden. Dafür bräuchte es bei allen Kommunikationspartnern komplizierte Verschlüsselungsarchitekturen. Beide Seiten müssten auf ihrem eigenen PC einen OSCI-Client installieren, wobei keiner für die Systemsicherheit bürgen könne.

Der neue Dient wird also »sicher«. Absolut sicher. Schließlich verbürgt sich da jemand dafür. Ich frage mich nur: Wer? Wenn ich den Dienst nutze und ein Sicherheits-Problem auftritt. Wer zahlt mir dann eine Entschädigung? Der Bund? Die beteiligten Firmen? Der Vorstandsvorsitzende der verantwortlichen Firma? Oder ist diese Art des Verbürgens vielleicht eher sowas wie: »Wenn es ein Problem gibt, werden wir aber ganz energisch mit dem Zeigefinger fuchteln bis jemand sagt, dass wir das in Zukunft besser machen«?

Zugleich verwies der IT-Direktor auf hohe Kostensenkungseffekte. Wenn allein acht Prozent des derzeitigen Postverkehrs über das neue Verfahren abgewickelt würden, könnten die Absender eine Milliarde Euro Porto sparen. Dieser Summe stünden Aufwendungen für den Aufbau der Kommunikationsinfrastrukturen gegenüber.

Okay, auch wenn wir mal annehmen, dass mit dieser vorsichtigen Formulierung nicht ausgeschlossen werden soll, dass die Milliarde sofort wieder in die Kommunikationsinfrastruktur gepumpt wird, dann verliert die Post also eine Milliarde (in einem nicht genannten Zeitraum, möglicherweise pro Jahr). Diese Milliarde wird dann also als Finanzhilfe wieder investiert weil es dem Konzern dann plötzlich schlecht geht wenn keiner mehr Briefe verschickt. Ergo: Milchmädchenrechnung.

Aber das sind ja Details. Richtig schlecht wird mir dann bei sowas:

Die ganzen Sicherheitsmechanismen sollten beim Provider im Hintergrund ablaufen, um die Nutzung so einfach wie möglich zu machen. So sei dort etwa eine Kontrolle auf Schadsoftware und eine Versandberechtigung, die Integritätssicherung über eine Prüfsumme, die Verschlüsselung über S/MIME und eine Ergänzung von Metadaten durchzuführen.

Bitte nochmal langsam lesen.
Ja, die begründen ihre Sicherheit wirklich damit, dass beim Provider die Daten verschlüsselt werden. Damit der seine Daten dort eintragen kann wird dann vermutlich eine normale end-to-end-Verschlüsellung nicht vorgesehen werden oder wie? Zudem: Schadsoftware? Hieß es nicht eben noch, der Dienst sei spamfrei? Ist er vielleicht nur ein bisschen spamfrei?

Gestern und heute bekam ich zwei Kommentare auf recht alte Posts in mein Blog.

Der erste Kommentar klang erstmal ganz normal. Etwas sinnlos, aber nicht nach Werbung. Mit dem zweiten heute aber, kam mir dabei was merkwürdig vor.

Also, zuerstmal der erste Kommentar, zu meinem Posting Kurztipp: obexftp mit Nokia 6230i und herstellerfremder MMC:

Super Post! Aber warum geht das nicht einfach auch mit der Nokia Software?! Das 6230i gabs letztens auch bei sms-puls.de zu gewinnen aber bei den ganzen free sms junkies hat man da wohl keine Chance.

Soweit erstmal ein möglicherweise normaler Kommentar. Ich hatte mir sogar überlegt, darauf ne Antwort zu schreiben. :)

Heute dann ein Kommentar zum Posting Einmalpasswörter mit S/Key

Hm naja gefährliche Sache, aber kann man sicher auch fiese Sachen mti machen hehe :D Habe dazu letztens erst ein Artikel auf sms-puls.de gelesen, angeblich kann man wohgl auch free sms mit Virus versenden der PIN und sowas ausliest. Inwieweit das nun wirklich funktioniert ,kA, aber beängstigend!

Okay, mit SMS und Handy hat der Artikel zu S/Key eigentlich gar nicht viel zu tun. Und der zweite Verweis auf eine ominöse SMS-Spam-Seite von unterschiedlichen Autoren zu Artikeln, die so ein bisschen was mit Handy zu tun haben.

Also ich habe die entsprechenden Kommentare jetzt mal gesperrt und warte ab, ob noch mehr davon ankommen.

Ab und an hat man eine Idee, welche Anwendung der Menschheit noch gefehlt hat und will dieses Manko umgehend selbst beheben. Oft kommen dabei gute Ideen bzw. Anwendungen heraus.

Schlecht ist allerdings, wenn die Umsetzung dann doch genau das nicht macht was sie verspricht.

So gesehen beim einfachen Web-Service DownForEveryoneOrJustMe. Gibt man dort eine Adresse ein, die erreichbar ist, ist das eine nette Bestätigung, dass es funktioniert.

Gibt man aber eine Adresse ein, die einen Timeout verursacht (was ja ab und an vorkommt, wenn eine Seite wirklich down ist), dann erhält man nach einer entsprechenden Wartezeit einen Fehler von Google, dass auf der Website ein Fehler aufgetreten sei. Also der Timeout des bei Google betriebenen PHP-Scripts kommt früher als der HTTP-Timeout beim Versuch die Seite zu testen. :)

Ich komme mir grade vor als hätte ich ein paar Jahre hinterm Mond gelebt. Und zwar war mir die Existenz von CSS »block formatting contexts« völlig fremd.

Für meine Leser, von denen ich erwarte, dass es ihnen genauso geht, kurz ein Abriss:
Wenn man ein Element mittels float: left links ran kleben will, ist das einfach. Will man aber dieses float mittels clear: left wieder aufheben, dann fängt der nachfolgende Text erst unter der meistens vorhandenen linken Sidebar an. Zudem macht Internet-Explorer (< 7) gerne mal sehr komische Dinge bei einem traditionellen Sidebar-Layout.

Auf der Suche nach einer Lösung bin ich heute darauf gestoßen, dass man ein div auch in einen eigenen Formatierungs-Kontext setzen kann, innerhalb dessen beliebige clear-Statements möglich sind ohne das ganze Layout zu zerstören.

So einfach geht's: Dem Inhalts-div einfach overflow: hidden mit auf den Weg geben. Natürlich kann diese Eigenschaft Nebenwirkungen haben. Z.B. wenn man ein Element hat, das potenziell breiter ist als das Browser-Fenster. Sofern man aber die Größe des div nicht festlegt, sollte man oftmals gar keine Nebenwirkungen bekommen.
Der Internet-Explorer möchte (mittels conditional comments) noch zusätzlich ein float: left bekommen, damit das so funktioniert. Aber dann spielt auch der mit.

Die Lösung habe ich auf zahlreichen CSS-Hilfe-Seiten gefunden, eine Seite die es so hinbekommen hatte, dass ich es verstanden hab ist z.B. diese hier.