Firefox 2.0 Tuning

Seit einigen Wochen bin ich auf den Firefox 2.0 umgestiegen ... und habe mich über einige der Änderungen geärgert. Jetzt habe ich die nervigsten Neuerungen wieder auf den 'alten' Stand gebracht:

Zum einen ärgert das 'Heraussrollen' der Tabs. Gerade bei Recherchen arbeite ich mit vielen gleichzeitg geöffneten Tabs, aber bei 10 bis 12 Tabs ist beim Firefox 2.0 Schluss, weitere Tabs verschwinden und lassen sich nur über langwieriges Scrollen finden.

Das liegt daran, das die Tab-Reiter mit einer gewissen Mindestbreite dargestellt werden. Diese ist default-mässig auf 100 Pixel, und dann passen eben (je nach Bildschirm-Auflösung nur 10 oder 12 Tabs auf dem Bildschirm.

Diese Default-Einstellung kann man ändern über
- about:config aufrufen
- den Eintrag "browser.tabs.tabMinWidth" von 100 auf 0 setzen
- den Browser neu starten
Schon werden die Tabs deutlich kleiner, zwar nicht bis auf 0 Pixel, denn ansteuern muss man sie ja noch können, aber zumindest bis auf knapp 40 Pixel runter, das Tab enthält dann nur noch das favicon. Das reicht dann für 25 bis 30 Tabs, erst dann scrollen weitere Tabs hinaus.

Was mich auch etwas nervt, ist der Schließen-Button auf jedem Tab. Eigentlich eine nette Idee. Wenn man aber mit vielen Tabs arbeitet und mal schnell 5 oder 6 schliessen will, sind die Schließen-Buttons aber jeweils an einer anderen Stelle, und man muss jedesmal mit der Maus hin-navigieren
Meistens nutze ich dann direkt die Tastatur (sechsmal CTRL-W tut's auch). Man kann's aber auch auf das alte Verhalten mit einem einzigen Schliessen-Button ändern.

Ähnliche Vorgehensweise:
- about:config aufrufen
- beim den Eintrag "browser.tabs.CloseButtons" von 1 auf 3 setzen
- den Browser neu starten

Das Ergebnis beider Aktionen sieht dann so aus:



Die dritte Änderung, die mich stört, ist die Minimierung der Steuermöglichkeiten in der unteren Symbolleiste bei der Find-As-You-Type-Funktion. In der Version 1.x gab es die VOR und ZURÜCK-Buttons und die HIGHLIGHT-Möglichkeit, diese sind im Firefox 2.0 jetzt nur noch in der Suchen-Funktion enthalten.

Durch folgenden Eintrag in die userChrome.css (unter Windows im Ordner C: \Dokumente und Einstellungen \<<account>> \Anwendungsdaten \Mozilla \Firefox \Profiles \<<profil>> \chrome) kann das 'alte' Verhalten wieder erstellt werden

#FindToolbar > * {display:-moz-box}

Schon sind bei Find-As-You-Type die gleichen Steuer-Möglichkeiten, die auch in der Suche enthalten sind:

CW: Reicher Russe zahlt drei Millionen Dollar für Vodka.com

gerade gefunden:

Reicher Russe zahlt drei Millionen Dollar für Vodka.com
Der russische Milliardär Roustam Tariko, der Mann hinter der Unternehmensgruppe Russian Standard, hat drei Millionen Dollar für die Web-Adresse Vodka.com hingeblättert.

Die teuerste Domain, mit der ich persönlich bisher in Kontakt gekommen bin, hat übrigens 'nur' 500.000 Mark gekostet.

Wozu brauche ich eine Informations-Architektur ?

Bei der Recherche für den vorigen Artikel habe ich etwas auf dem Auftritt eines großen Automobil-Herstellers gesurft, und schmerzlich eine durchgehende Informations-Architektur vermisst. Auf der Startseite werden alle verfügbaren Modelle aufgelistet. Allerdings verweist jedes Modell auf eine eigene Micro-Site, die leider alle komplett anders aufgebaut sind.

So öffnen drei der acht Microsite ein weiteres unverlangtes Popup-Fenster. Zwei haben zumindest einen Link "Sollte keine automatische Weiterleitung erfolgen, klicken Sie bitte hier", um bei vorhandenem Popup-Blocker dem Nutzer eine Chance zu geben, doch noch etwas über dieses Modell zu erfahren, bei der anderen Microsite sind Nutzer mit einem kleinen Firmenlogo allein im Browser.

Beim ersten Modell sind die Hauptkategorien links oben untereinander angeordnet:

Design&Erlebnis
Leistung&Technik
Kontrolle&Sicherheit
Komfort&Aussttatung
Q-Tronic

Das gleiche Modell als Kombi hat eine komplette andere Hauptnavigation und bietet unten links nebeneinander die Punkte

Design Technik Raum Komfort QTronic Probefahrt Mobile Entertainment

Das dritte Modell hat dann eine deutlich emotionalere Navigation, auch diese Navigation unten links nebeneinander

Freiheit Stil Mut Heritage Registrieren Magazin

Beim vierten Modell sind die Navigationspunkte wieder anders, diesmal oben rechts angeordnet

Design Technik Sicherheit Entertainment News

Anbei das Ganze mal visualisiert.




Ich habe mich ja schon dran gewöhnt, mich auf einer WebSite mancher Firmen in eine manchmal abenteuerliche Informations-Architektur einzudenken. Aber das für jedes PRODUKT dieser Firma zu machen ... da hatte ich irgendwie keine Lust zu.

Drücken Sie "START" um den Wagen auszuschalten

Vor einigen Jahren ging im Internet ein angeblich echter Mail-Verkehr zwischen Bill Gates von Microsoft und General Motors um. Auf die Aussage von Bill Gates

"If G.M. had kept up with technology like the computer industry has, we would all be driving twenty-five dollar cars that got one-thousand miles to the gallon."

gab es eine Reaktion von General Motors, in der einige Eigenarten von Computern und insbesondere des Windows-Betriebssystems auf Autos umgelegt wurden.

"If GM had developed technology like Microsoft, we would all be driving cars with the following characteristics:
...
13. You'd press the "start" button to shut off the engine.

Zumindest für den letzten Punkt ist es soweit, genau diesen Wagen hatte ich jetzt als Leihwagen:



Nachdem man das stylische Klötzchen, das den Schlüssel ersetzt, in den Schlitz neben dem Lenkrad eingesetzt hat, kann man den Wagen über den darunter befindlichen "Start"-Knopf anlassen ... und auch wieder ausschalten.
Zumindest steht auf dem Knopf noch unter "Start" (in klein) "stop"

Firefox 3.0 besteht Acid2-Test

gerade bei heise.de gefunden, die aktuellste Entwickler-Version der Firefox 3.0 ist jetzt endlich soweit, den ACID2-Test zu bestehen.

Google Answers gibt auf ... und Yahoo! legt nach

Vor einigen Tagen ging es ja schon durch die Presse: Google stellt seinen Dienst "Google Answers" ein.

Am Donnerstag und Freitag liefert UserFriendly den passende Strip dazu, in dem Yahoo! Answers als mögliche (wenn wohl auch nur wenig begeisternde) Alternative genannt wird.





Und heute sehe ich bei N24 eine Werbung für Yahoo! Answers.
Zufall ? Oder hat Yahoo! schnell die Lücke erkannt und reagiert ?

CW: Technik als Modeartikel

Frank Niemann schreibt im CW Notizblog über den Vortrag “The people problem” von Gartner. Dort wird eine Zukunft skizziert, in der die Teenager von heute, die “Digital Natives”, in der Wirtschaft 'angekommen' sind.

Diese “Digital Natives” wüchsen mit MP3-Playern, Handys und PDAs auf und nutzten sie wie einen Gebrauchsgegenstand, ohne sich Gedanken über die Funktionsweise zu machen.

...

Zudem würde dann nicht mehr der Betrieb IT-Lösungen wie Notebooks bereitstellen, sondern die Anwender brächten ihre eigenen Geräte mit, weil ihr mobiler PC cooler ist als das schnöde Gerät, welches die IT als Standard definiert hat.

Frank Niemann ist das skeptisch, ob sich das so entwickeln wird:

Nette Vorstellungen sind das schon. Ob aber beispielsweise Banken oder Behörden es zulassen, dass ihre Mitarbeiter ihre eigenen Gerätschaften ans Firmennetz anstöpseln, wage ich zu bezweifeln. Firmen versuchen ja, möglichst standardisierte IT-Umgebungen zu schaffen: Eine Hardware, ein Betriebssystem und möglichst viel Standard-Software.

Diesen Punkt haben wir aber bereits heute erreicht. In vielen Firmen sind die Hälfte aller Beschäftigten Externe, die natürlich ihre eigenen Geräre mitbringen. Aber auch die fest angestellten Mitarbeiter bringen Vielfalt in die technologische Landschaft. Bei einer Sicherheits-Konferenz vor knapp zwei Jahren berichteten mehrere Sicherheits-Verantwortliche von großen Firmen bereits über die Probleme mit Blackberry's, PDA's, Designer-Handy und sonstigen Geräte, die vom Management oft aus Prestige-Gründen angeschafft werden. Der Begriff "Manager-Tamagotchi's" hat sich dafür schon durchgesetzt.

Zum einen gibt es die technologischen Probleme: das höhere Management lässt Erklärungen wie "kein zertifizierter Treiber" kaum gelten. Dann die Vielfalt der Geräte: diese werden ja nicht unter dem Gesichtspunkt 'das was alle haben' angeschafft, sondern 'das was sonst keiner hat'. Dann die sich daraus ergebenden Sicherheits-Probleme: das Aktuell-Halten und Patchen einer Vielzahl heterogener mobiler Endgeräte, die fast nie im Firmengelände sind, ist ein logistischer Alptraum. Hinzu kommt die nicht zu unterschätzende Verlust-Quote von kleinen leichten Geräten mit sensitiven Informationen, die in Flughafen-Lounges und Taxis vergessen werden.

Willkommen in der Welt von morgen.

AJAX und Security

Bei SecurityFokus gerade einen interessanten Artikel zu AJAX und Sicherheit gefunden. Darin werden einige der neuen Lücken und Angriffsmöglichkeiten beschrieben, die sich durch den vermehrten Einsatz von AJAX Web-Anwendungen ergeben.
Wobei 'neu' übertrieben ist, keines dieser Themen ist wirklich neu, vieles nur allzu bekannt. Das läuft wieder auf dieselben Themen hinaus, die auch sonst immer die Problemkinder darstellen: saubere Session-Verwaltung und strenge Datenvalidierung.

• clientseitige Sicherheitsüberprüfung

Mit der Einführung einer starken clientseitigen Logik besteht oft die Versuchung, Funktionalitäten (nur) clientseitig zu implementieren, die (auch) serverseitig implementiert werden müssen. Angreifer können clientseitige Validierungen natürlich leicht umgehen.

• breitere Angriffsfläche

Mit AJAX werden viel mehr serverseitige Funktionen im Internet zur Verfügung gestellt. Statt einigen wenigen Funktionen werden plötzlich Nachlade-Funktionen, Auto-Vervollständigungen, Read-Ahead-Funktionen implementiert und auch von außen erreichbar gemacht. Damit gibt es viel mehr Punkte, bei denen Fehler gemacht werden können. Und der Aufwand, all diese Punkte auch zu testen, steigt erheblich.
Aus meiner bisherigen Erfahrung könnte ich drauf wetten, das für eine AJAX-Anwendung kein einziger Cent mehr für Sicherheitstests zur Verfügung gestellt wird.

• AJAX-Anwendungen als Frontend zu Enterprise SOA's

Das SOA-Paradigma ist zwischenzeitlich ja in vielen Firmen umgesetzt, und verspricht auch ganz viele und tolle Dinge ... vielleicht sogar zu Recht.

Leider habe ich bisher den Eindruck erhalten, das die großen Anbieter und viele Beratungs-Firmen das Thema 'Sicherheit' dabei sträflich vernachlässigen und das immer so ganz einfach darstellen, man muss sich gar nicht drum kümmern, "da gibt es zentrale Sicherheits-Funktionen zur Authentifizierung und Autorisierung" und gut. Im Hinblick auf interne Angreifer schon etwas optimistisch.

Die Versuchung, aus einem AJAX-Client direkt einen Enterprise-WebService aufzurufen, ist groß. Wenn dann solche unsicheren Enterprise-Services plötzlich direkt aus einem AJAX-Client aufgerufen werden (und damit 'frei' im Internet stehen), wird leicht ein ganzen Firmennetz kompromittiert.

• Neue Cross-Site Scripting (XSS) Möglichkeiten

Die Entkopplung der Nutzer-Interaktion von der Server-Interaktion bietet ganz neue Angriffs-Potenziale. Bei XSS-Angriffen auf klassische Web-Anwendungen kann der Nutzer oftmals ein ungewöhnliches Verhalten feststellen: die Applikation hängt oder reagiert langsam, merkwürdige Dinge werden angezeigt usw. Bei komplexen AJAX-Anwendungen kann dies aber für den Nutzer völlig unsichtbar im Hintergrund passieren. Während man völlig ungestört seine eMails in einer AJAX-Anwendung liest, wird im Hintergrund das Adressbuch ausgelesen.

Dazu kommt der Einsatz von relativ mächtigen AJAX-Frameworks (ich selber bin grade in einem solchen Auswahl-Prozess). Eine Lücke in einem solchen Framework kann Angreifern leicht Zugriff auf eine ganze Reihe von Sites geben .. ähnlich wie Lücken in Webservern, Betriebssystemen, Application Servern, ...

Für gefundene Lücken in Server-Software gibt es ausreichende Möglichkeiten: die Hersteller veröffentlichen Advisories, (mit einigen unrühmlichen Ausnahmen) relativ schnell Patches, und man kann leicht Betriebs-Prozesse zur Einbindung dieser Patches aufsetzen (habe ich selber schon gemacht).
Bei clientseitigen Bibliotheken ist das sicherlich deutlich schwieriger, ich hatte bisher nicht den Eindruck, das die Hersteller solcher Bibliotheken das Thema 'Security' so wichtig nehmen wie die Hersteller von Server-Software.

Wikipedia - das neue Google ?

Letztens ist es mir wieder deutlich geworden: wenn man etwas wissen will im Internet, ist Wikipedia die deutlich bessere Quelle als die Suchmaschine von Google. Die Informationen sind von hoher Qualitär und zielgerichtet, und es gibt eine normalerweise eine gut gepflegte Liste von weiterführenden Links, die deutlich tiefer in die Materie führen.

Google dagegen bringt oft sinn-lose Sammlungen von Werbung, die gleichen hundertfach kopierten Pressemitteilungen ohne wirklichen Inhalt, und oft genug tote Links.

In der Zwischenzeit versuche ich es meistens entweder parallel in Google und Wikipedia oer direkt nur mit Wikipedia. Das geht übrigens nicht nur mir so, sondern auch einigen Bekannten.

Computerwoche-Newsletter und Usability

Vor einiger Zeit habe ich mich für einige Newsletter der Computerwoche registriert. Das Abonnieren der Newsletter war ganz einfach: aus einer Übersichtliste einfach die passenden ausgewählt, Empfänger-eMail eingeben, einmal abspeichern und fertig.

Kurz darauf fand ich DAS in meinem Posteingang:

Ein Opt-In für Newsletter ist ja üblich und durchaus sinnvoll. Aber das für JEDEN der Newsletter (die über eine einzelne Aktion abonniert wurden) eine eigene Bestätigungs-Email versendet wurde, die dann auch noch JEDE EINZELN bestätigt werden musste ... aus Usability-Sicht etwas daneben.

Hornbach's Guerilla-Marketing

Seit einiger Zeit rege ich mich über den Werbespot von Hornbach auf. Dieser Pseudo-Doku-Stil, der direkt aus youtube zu stammen scheint: unscharf, schlechte Kamera-Führung, keine Schnitte, und die Stimmen aus dem Off "Nee, der lebt!" ist ja noch ganz lustig.

Aber dann habe ich mir das ganze mal etwas genauer angesehen. Ganz am Anfang und ziemlich versteckt wird die Domain des vermeintlichen Motorrad-Artisten www.ronhammer.com gezeigt. Und dieser Auftritt erweckt den Eindruck eines real existierenden Stuntman, dort wird mit keinem Wort mehr erwähnt, das es sich nur um eine Kunst-Figur handelt. Nun gut, selbst das könnte ich noch verkraften, sowas hat's ja auch schon früher gegeben, bei Zomtec war das aber deutlich lustiger.

Um den 'realen' Anstrich zu verstärken, hat aber jemand auch (erfolglos) versucht, einen entsprechenden Eintrag in die Wikipedia unter http://de.wikipedia.org/wiki/Ron_Hammer einzutragen. Glückerweise wurde das schnell entdeckt, und der Eintrag gesperrt.

An dieser Stelle habe ich dann einen gewissen ... Abscheu vor dieser Art des Guerilla-Marketings bekommen. Da kann ich nur sagen: Hornbach, schämt euch.

"Phishmarkt" oder "Die Rückkehr des Prangers"

Der "Phishmarkt" bietet eine erschreckend umfangreiche Liste von Websites, bei denen Cross Site Scripting (XSS) möglich ist. Entsprechende Demos zeigen, wie mit einem per XSS eingebundenen IFRAME Nutzern ein gefälschter Login-Dialog angezeigt werden kann ... die URL stimmt, das Zertifikat stimmt, alle die Dinge, die einem Nutzer die Unterscheidung zwischen realen und gefälschten Seiten ermöglichen sollen.

Was mich besonders erschreckt ist die lange Liste von Banken, die betroffen sind. Gerade dort sollten die Verantwortlichen doch wissen, was mit solchen Lücken angerichtet werden kann. Erste reale Angriffe unter Ausnutzung von XSS hat es ja bereits gegeben.

Das Anprangern klappt aber teilweise ganz gut: gerade die Banken sind (im Allgemeinen) recht schnell mit dem Beseitigen der XSS-Lücken sind. Mit einigen unrühmlichen Ausnahmen: einige Lücken sind seit einem Jahr gelistet ... und funktonieren immer noch.

Blogger.com jetzt (nur noch?) mit GMail-Account

Google konsolidiert seine Dienste: Blogger.com bietet seinen Nutzern jetzt eine Authentifizierung per GMail-Account. Die Umstiegs-Möglichkeit bietet unter beta.blogger.com ein paar nette zusätzliche Möglichkeiten (Drag&Drop für Template-Bearbeitung, Privacy-Einstellungen, ..) ... und keinen Rückweg. Wenn man einmal auf einen GMail-Account umgestellt hat, geht's nicht wieder zurück. Neue Nutzer werden zukünftig wohl nur noch mit einem GMail-Account mitmachen können.
Ähnliches hat Yahoo mit Flickr ja auch schon vorgemacht: bei flickr kann man sich auch nur noch mit seiner Yahoo!ID neu anmelden, und die Alt-Anmeldung ist zwischenzeitlich gut versteckt und nur nach mehreren Klicks erreichbar

"Second Life": virtuelles Leben wird realer

Einige Bekannte schwärmen seit einiger Zeit von Second Life. In der letzten Zeit geht ja einiges zu diesem Thema durch die Blogs und Online-Welt, und mehr und mehr große Firmen erscheinen in Second Life. Doch eine andere Gruppe ist in den letzten Tagen ebenfalls vermehrt in Erscheinung getreten: die 'bösen Jungs' sind da!

Am 15. stand bei heise.de ein Bericht über das Programm CopyBot:

Mit CopyBot können Nutzer der virtuellen Welt beliebige Kopien der Gegenstände von Second Life anlegen – und zwar ohne das Einverständnis ihrer Eigentümer.

Das unerwünschte Kopieren ist nicht nur ärgerlich für die Besitzer selbst erschaffener Güter, sondern könnte auch das Wirtschaftssystem des stetig wachsenden "Metaversums" durcheinander bringen: In Second Life lassen sich Waren und Dienstleistungen kaufen und verkaufen. Gezahlt wird mit einer eigenen Währung – den Linden-Dollar. Nutzer, die sich stattdessen ihre Habseligkeiten zusammenkopieren, dürften sich damit wenig virtuelle Freunde machen.

Nur zur Klarstellung: die virtuellen Linden-Dollars aus Second Life lassen sich auch in reale Währung umtauschen, der aktuelle Umtauschkurs ist (gerüchteweise) etwa 1 Linden-Dollar = 0,004 US-Dollar. Auch bei eBay finden sich diverse Angebote zum Kauf virtuellen Geldes. Ein kopierter Gegenstand kann weiterverkauft so einige US-Dollar wert sein. Im realen Leben nennt man das Diebstahl oder Betrug. Anscheinend lohnt sich das virtuelle Stehlen mittlerweile.

Die zweite Meldung von heute: "Wurm dringt in virtuelle Spielewelt 'Second Life' ein"

Die virtuelle Online-Welt "Second Life" ist von einem digitalen Wurm attackiert worden, wie der Betreiber Linden Labs in seinem Blog schreibt. Der Grey Goo genannte Wurm soll Nutzerberichten zufolge rotierende goldene Ringe in der Spielewelt platziert haben.

Grey Goo soll dabei eine erhebliche Last auf den Datenbanken der Spielewelt erzeugt haben, in dessen Folge sich sämtliche Aktivitäten in der virtuellen Realität verlangsamten. Linden Labs sperrte daraufhin für eine halbe Stunde alle Logins, um die Welt vom Wurm und den Ringen zu befreien.

Realer Schaden scheint da noch nicht entstanden zu sein. Aber Second Life scheint dann doch schon doch ein interessantes Ziel für's Defacement zu sein. Und Angriffs-Szenarien, bei denen solche Würmer Viren oder Keylogger über virtuelle Welten auf reale Computer transportieren, kann man sich schon ausdenken.
Stellt sich die Frage: wie sicher ist Second Life eigentlich gegenüber einem Buffer Overflow ?

CW: Internet für Neckermann wichtiger als Katalog

Aus der Computerwoche: für den Versandhändler Neckermann ist das Internet wichtiger als der klassische Katalog geworden. In der Zwischenzeit wird über den Internet-Shop mehr Umsatz erzielt als über den Katalog. Und 70% aller Neukunden werden über den Internet-Auftritt gewonnen.

Kaum zu glauben, das manche Firmen das Internet immer noch so stiefmütterlich behandeln, und das Potenzial anscheinend völlig verkennen.

Phishing leicht gemacht

Das stand in der WAZ vom 7. September ... die Phisher können sich auf die deutsche Presse verlassen ...

BVWD: "Web 2.0 löst lange existierende Hoffungen und Versprechen der Internetwirtschaft ein"

Der Bundesverband Digitale Wirtschaft BVDW hat mögliche Anwendungsmöglichkeiten von Web2.0 für Unternehmen untersucht.

BVDW-Experten ... sehen mit zunehmender Reichweite der verschiedenen Web2.0-Anwendungen lange existierende Hoffungen und Versprechen der Internetwirtschaft eingelöst. Weblogs, Videoblogs, RSS-Feeds & Co. - von vielen momentan noch als Phänomen unter Insidern und „Heavyusern“ abgetan, wird nach Meinung von BVDW-Gesamtvorstand Andrea Schulz und Jörg Rensmann ... nach und nach Einzug in die Kommunikationsstrategien der Unternehmen halten.

Besonders die Auswirkungen des "User generated Content" stellen aber erhebliche Anforderungen an die Unternehmen. Das klassische Content-Paradigma "Firmen stellen Content bereit und User lesen diesen" wird bereits heute durchbrochen. Über Wikis, Blogs, YouTube, usw. kann bereits heute jeder Nutzer eigenständig Content erstellen.

Unternehmen werden sich mittelfristig darauf einstellen müssen, dass sie die Kontrolle über ihr öffentliches Bild nicht behalten können. Sie können lediglich Plattformen anbieten, um den Überblick zu behalten und sich in die Kommunikation von Kunden, potentiellen Kunden oder Nicht-Kunden einzuklinken. Letztlich werden sie lernen müssen, transparent und ehrlich mit der Öffentlichkeit umzugehen.

Darauf sind aus meiner Erfahrung die meisten Firmen noch überhaupt nicht eingestellt. Hier ist immer noch die Vorstellung in den Köpfen "Der User kommt zu uns und liest, was wir ihm präsentieren". Das ist mehr und mehr vorbei, wenn Unternehmen den Nutzer noch erreichen wollen, müssen sie ihren Content dorthin bringen wo der User ist.

Darüber hinaus wird das Internet immer noch als ein weiterer Kommunikationskanal wie die anderen ("Fernseh-Werbung, Radio-Werbung, Print-Werbung, Internet") wahrgenommen. Ich habe auch noch in der letzten Zeit genug Werbekampagnen gesehen, die von der Print-Werbung 1:1 ins Internet übertragen worden sind. Das dies kein Einzelfall ist, können die Experten des BVDW bestätigen:

Wer angesichts dieser Tatsache immer noch auf Einbahnstraßenkommunikation setzt und seine Werbebotschaften aus TV- oder Printmedien eins zu eins ins Internet überträgt, der hat das Medium nicht verstanden und von dem fühlen sich die Internetnutzer, also letztlich seine Kunden, missverstanden.

Zum guten Schluß noch ein Zitat:

„Web 2.0 ist eine Haltung und keine Technologie“

Geldautomaten umprogrammiert

Gerade gefunden: in Amerika hat ein Hacker es geschafft, Geldautomaten umzuprogrammieren. Die Geldautomaten waren danach der Meinung, statt der 20-Dollar-Scheine nur 5-Dollar-Scheine zu haben. Ergebnis: die vierfache Auszahlung.

Wie kann man so etwas machen? Nun, die Manuals der betroffenen Geldautomaten mit den Programmier-Anleitungen sind im Internet zu finden. Mit genauen Anweisungen, wie man über eine spezielle Code-Eingabe auf der Tastatur in der Operator-Modus kommt. Dazu wird natürlich ein Passwort verlangt ... aber das werksseitige Default-Passwort steht natürlich auch im Handbuch, mit der dringenden Empfehlung, dieses Passwort möglichst zu ändern ... ich muß wohl nicht mehr erzählen.

Aufgefallen ist das Ganze nur, weil der Hacker es 'vergessen' hat, dieProgrammierung zurückzunehmen. Erst neun Tage später hat eine Kundin das großzügige Verhalten des Geldautomaten gemeldet. Wieviele Kunden in der Zwischenzeit zuviel Geld erhalten haben ....

Online-Musik-Shop für alle Player und ohne DRM

Akuma.de bietet einen Online-Musik-Shop mit einer interessanten Eigenschaft: die Songs gibt es als MP3, ohne DRM und sonstigen Kram ... damit also auch ohne Umwege lauffähig auf allen Playern. Momentan vor allem mit Independant-Titeln, aber ein paar große bekannte Interpreten wie Simply Red oder Deep Purple sind schon dabei.

Währenddessen verlieren sich Apple und die gesammelte Konkurrenz in proprietären Grabenkämpfen und schliessen die jeweils anderen Nutzer aus ihrem Online-Shop aus. Apples Musikformat AAC läuft nur auf iPods, die Songs der gesammelten Konkurrenz gibt es als WMA, was wiederum auf einem iPod nicht geht.
Eine Übertragung der in beiden System gekauften (!) Songs z.B. weitere Systeme für das Autoradio oder die heimische Stereo-Anlage ist nur mit erheblichen technischen Tricks (Brennen auf CD und erneutes Rippen) möglich: für die meisten Anwender viel zu kompliziert.

Die meisten Firmen, die in der Vergangenheit etwas ähnlich proprietäres versucht haben, gibt es in der Zwischenzeit nicht mehr ...

"Web 2.0 Companies für Dummies"

Habe grade bei emptybottle.org die einfache Anleitung gefunden, wie man erfolgreich eine Web2.0-Firma gründet:

1. Erzeuge mit dem Web 2.0 Bullshit Generator™ Web2.0-kompatiblen Bullshit
2. Der Buzzphrase Generator liefert passende "Catch-Phrases" dazu
3. Bei Andrew Woolridge's Web 2.0 Company Name Generator kann man den passenden Firmen-Namen und ein Geschäftsmodell erzeugen
   
4. Mit dem Web 2.0 Logo Generator noch ein schönes passendes Logo (natürlich mit BETA) erzeugen.
   

Dann nur noch warten, bis Yahoo oder Google die neue Firma übernimmt.
Klar, nur eine Satire ... oder ?

Writely nimmt neue User an

Writely hat nach langer Zeit wieder 'aufgemacht' und nimmt neue Reservierungen an. Ich war leider etwas zu spät, um mich noch vor der Übernahme durch Google anzumelden und habe die letzten Monate gespannt darauf gewartet, das wieder neue Nutzer angenommen werden.
Zusammen mit Google Spreadsheets und Google Calendar nimmt die 'Google Office Suite' langsam Gestalt an.

ZD-Net: Blog feeds may carry security risk

Bei ZDNet gefunden: erste Untersuchungen von News-Readern durch Bill Auger von der Sicherheitsfirma SPI Dynamics zeigen erhebliche Lücken vieler Programme. JavaScript in einem eingelesenen Newsfeed wird in vielen Readern anscheinend ungeprüft ausgeführt.

Attackers could insert malicious JavaScript in content that is transferred to subscribers of data feeds that use the popular RSS or Atom formats.

The problem doesn't affect only blogs--any kind of information feed using any kind of format could potentially be used to transmit malicious content to a subscriber. People, for example, subscribe to mailing lists and news Web sites via RSS.

SPI Dynamics examined a number of online and offline applications used to read RSS and Atom feeds. In many cases, any JavaScript code delivered on the feed would run on the user's PC, meaning it could be vulnerable to attack.

Die Ursachen dieser Issues sind auch klar: die Programme verarbeiten unerwartete Daten (also z.B. JavaScript) nicht richtig, ein Problem, das ich immer wieder bei allen möglichen Programmen feststellen kann.

Many of the popular feed reading applications are faulted because the designers have failed to add valuable security checks, Auger said. In particular, the applications should not allow JavaScript that is included in feeds to run. Instead, it should be filtered out, he said.

Der gleiche Design-Fehler, ungenügene Datenüberprüfung, ist Ursache für viele verschiedene Angriffsarten wie SQL Injection, Cross Site Scripting und einige der intelligenteren Phishing-Angriffe.

Bei den gefundenen Lücken in Feed-Readern sind natürlich insbesondere Browser-Plugins gefährdet, da hier über eingeschmuggeltes JavaScript auch der Browser angegriffen werden kann. Noch schlimmer: einige Reader nutzen die Funktionen des Internet Explorers, und umgehen dabei die Browser-internen Abschottungen:

Additionally, some reader software on Windows systems uses Internet Explorer to display feed content, but doesn't use basic security settings that isolate the content. Instead, the JavaScript is downloaded to the PC and has full access, which can fully expose a person's PC.

SPI Dynamics hat einige Möglichkeiten aufgeführt, wie Angreifer diese Lücken ausnutzen können:

Attackers could exploit the problem by setting up a malicious blog and enticing a user to subscribe to the RSS feed. More likely, however, they would add malicious JavaScript to the comments on a trusted blog, Auger said. "A lot of blogs will take user comments and stick them into their own RSS feeds," he said.

Also, attackers could send malicious code to mailing lists that offer RSS or Atom feeds and commandeer vulnerable systems that way, Auger said. Feeds are popular because they let people consolidate information streams from multiple sites, such as blogs, in one application, called a feed reader, removing the need to surf to multiple sites.

Ein weiteres Angriffsszenario kombiniert diese Lücken mit einem Problem, das gerade auf meinem Schreibtisch auf eine Lösung wartet: Injection-Lücken in den Server-Funktionen, die Feeds erzeugen. Wenn solche Feed-Provider-Funktionen XML-Injection-Lücken haben, können Angreifer diese Funktionen mit zusätzlichem XML aufrufen, dieses zusätzliche XML wird als Teil des Feeds wieder ausgegeben. So können selbst Feeds von vertrauenswürdigen Stellen plötzlich gefährliche Inhalte liefern.

Gerade Feed-Aggregatoren (so wie z.B. A9) können da als Angriffspunkt dienen: der Nutzer muss gar nicht mehr auf einen Link klicken, den er per Mail erhält. Er aggregiert (scheinbar) vertrauenswürdige Feeds, die sogar von der richtigen Stelle kommen. Das diese Feeds bei der Registrierung bei A9 eine gefährliche Payload erhalten haben, kann man nicht feststellen. Und wer kann den schon überprüfen, wer einen Feed bei einem solchen Aggregator anmeldet ?

heise.de: Online-Zeitungen bremsen den Zeitungsleserschwund

heise.de verweist auf eine interessante Studie des "Pew Research Center For The People And The Press", die den Informations-Konsum von Amerikanern über verschiedene Kanäle untersucht hat

Vor zehn Jahren haben etwa 2 Prozent der erwachsenen US-Amerikaner mit "gewisser Regelmäßigkeit" Nachrichten im Internet nachgelesen. Heute, zehn Jahre später, ist der Anteil ... auf 31 Prozent angewachsen.

Soweit keine Überraschung, vor 10 Jahren ist das Internet schließlich noch deutlich weg gewesen von dem, was heute machbar ist. Zum einen ist natürlich die Durchdringung des Internets in den letzten zehn Jahren deutlich gestiegen, von etwas außerhalb des Techie-Kreises kaum Bekanntem zu einem Massen-Phänomen.

Hinzu kommt die deutlich höhere Nutzbarkeit des Internets. Personalisierte Nachrichten bei Google, News-Feeds, WikiNews, Aggregatoren, letzlich auch Blogging, all das ist erst in den letzen Jahren gekommen und hat das Konsumieren von Nachrichten über das Medium 'Internet' deutlich einfacher und komfortabler gemacht.

Der Aufstieg des Internets hat ... aber nicht dazu geführt, dass die Nachrichtenrezeption der US-Bürger seit den 90er-Jahren insgesamt zugenommen hat – im Gegenteil: Im Mai 2006 haben 81 Prozent der 3024 Befragten gesagt, dass sie sich am Vortag mit Nachrichten aus dem Radio, Fernsehen, der Zeitung oder dem Internet versorgt haben, im Januar 1994 waren es noch 90 Prozent.

Auch das ist wenig überraschend. Das Nachrichten-Bedürfnis konnte bereits 1994 ausreichend gedeckt werden, Fernsehen, Zeitungen, Radio haben für die meisten Menschen ausreichende Möglichkeiten gegeben. Mit dem Hinzukommen des Internets haben die Menschen kein höheres Informations-Bedürfnis, sie versorgen es nur anderns: in einem 'gesättigten' Markt werden zusätzliche Kanäle immer die bereits bestehenden Kanäle 'kannibalisieren'.

Die wirkliche Überraschung ergibt sich gerade dort, wo man es eigentlich nicht erwarten würde

Online-Zeitungen helfen dabei, den Leserschwund aufzuhalten, ergab die Auswertung weiter, und zwar ausgerechnet in der Altersgruppe, die von jeher nicht für eine übermäßige Zeitungslektüre bekannt war. In der Gruppe der 18- bis 29-Jährigen ist der Anteil der Zeitungsleser mit 29 Prozent gegenüber 1996 stabil geblieben, während er in allen anderen drei Altersklassen um jeweils mindestens 9 Prozentpunkte zurückging. Zwar haben von den jüngsten nur 20 Prozent angegeben, eine Print-Zeitung gelesen zu haben, aber 7 Prozent haben eine Online-Ausgabe gelesen und 2 Prozent in beiden Versionen. Das hat zu dem Ergebnis geführt, dass heute mehr US-Amerikaner im Alter von 18 bis 24 Jahren Zeitung lesen als vor zehn Jahren.

Das gerade die junge Handy-Generation auf den klassischen Journalismus setzt, hat mich dann doch schon etwas überrascht. Die Empfehlung für jede Zeitung kann aber nur sein: kümmert euch um euer Online-Angebot...

Marvin Minsky: Computer müssen auch böse sein

Bei Technology Review ist ein interessantes Interview mit Marvin Minsky, einem der Ur-Väter der Künstlichen Intelligenz

Technology Review: Meinen Sie also, dass Computer böse werden sollten?

Minsky: Wenn ihnen jemand im Weg steht und sich einfach nicht wegbewegen will, muss man ihm womöglich Angst einjagen. Das ist ein völlig vernünftiger Weg, das Problem zu lösen, wenn man sich beeilen muss und etwas Schlimmes passieren würde, wenn man um diese Person nicht heil herumkommt.

Interessante Idee ... wie weit kann ein Computer das dann treiben? Kann ein Computer entscheiden "Das Wohl von vielen wiegt schwerer als das Wohl von wenigen oder einzelnen"? Dann ist es nicht mehr weit bis zu "Sorry Dave, ich kann das nicht zulassen"...

Artikel bei heise.de: was motiviert Open-Source-Entwickler ?

Bei heise.de ist unter http://www.heise.de/newsticker/meldung/75453 ein interessanter Artikel "Was motiviert Open-Source-Entwickler?". Eine Dissertation der Universität Zürich hat genauer untersucht, was die Motivations-Gründe für OpenSource-Entwickler sind.

Ein interessanter Aspekt ist die Bezahlung

Lediglich gut die Hälfte der Programmierarbeit erfolgt in der Freizeit der Entwickler, 42 Prozent des zeitlichen Engagements für Open Source werden bezahlt – ein erstaunlich hoher Anteil. Autor Benno Luthiger Stoll merkt dazu an, dass dieser Wert in Wahrheit noch höher liegen dürfte: Bezahlt würden Entwickler eher in großen Open-Source-Projekten, die häufig über eine eigene Projekt-Infrastruktur verfügen. Befragt wurden jedoch bei Sourceforge, Savannah und Berlios aktive Programmierer, wo überwiegend kleinere Projekte gehostet werden.

Ziemlich hoch, aber nicht wirklich überraschend im Hinblick auf die starke Einbindung auch großer IT-Unternehmen wie IBM oder Novell in die OpenSource Community .

Aus meiner Sicht viel interessanter ist der Unterschied in der Motivation zwischen OpenSource-Software und kommerzieller Software. Ich hätte erwartet, das die Rahmenbedingungen in kommerziellen Unternehmen, die Notwendigkeit, auch 'ungeliebte' Tätigkeiten wie Nutzerdokumentation erstellen, zur De-Motivation vieler Entwickler beiträgt.
Weit gefehlt:

Im Vergleich mit gut 110 Entwicklern aus Schweizer Software-Unternehmen zeigt sich, dass das Programmieren in Open-Source-Projekten mehr Spaß macht. Grund dafür sind jedoch nicht der höhere Druck oder die formalen Hierarchien in Firmenprojekten, sondern eine glaubwürdige Vision der Open-Source-Projekte und vor allem die größere Herausforderung an die Programmierkenntnisse.

Da stellt sich mir doch direkt die Frage, wieso es deutlich schlechter gelingt, 'Nicht-Open-Source'-Entwickler ebenso gut zu motivieren. Kann es etwa sein, das die glaubwürdige Vision bei kommerzieller Software fehlt ???

Vor einigen Tagen hatte ich in meiner Firma ein Gespräch zu dem Thema, einen Teil unserer eigenen Entwicklungen als Open Source zur Verfügung zu stellen. Das Ergebnis war (aus meiner Sicht) wenig überraschend: "Wieso sollten wir das tun?", "Was haben wir davon?", "Da kann ja die Konkurrenz von unseren Ideen profitieren".
Der Gegenvorschlag, doch lieber zu versuchen, unsere eigenen Entwickungen über Software-Patente zu schützen, stiess dagegen sofort auf Begeisterung.

No Comment ...

Kleiner grosser Stick

Ich habe mir am Freitag einen neuen USB-Stick zugelegt, nachdem es meinen alten 'zerlegt' hat. Direkt einen richtig schön großen mit 1 GB, dasselbe Modell gibt es aber auch schon mit 2 GB.

Ich habe aber schon etwas geguckt, wie klein dieses Teil ist.

Kleiner Nachteil: es gibt keine Führung mehr, die ein seitenverkehrtes Einstecken in den USB-Anschluss verhindert.

Großer Vorteil: DAMIT werde ich wohl kaum mehr Probleme haben, das der Stick nicht in den USB-Anschluss reinpasst, weil irgend ein Kabel, die Diebstahlsicherung vom Notebook oder ein anderes USB-Gerät im Weg ist.

Mal sehen wie (physikalisch) klein und wie (speichermäßig) groß diese Teile noch werden

Skype gehackt ?

Gerade bei TechCrunch gelesen: chinesche Hacker haben es wohl geschafft, das Skype-Protokol per Reverse Engineering zu entschlüsseln und haben einen eigenen Client für das Skype-Netz programmiert. Skype hat dies bisher dementiert

Es weihnachtet sehr …

Man ist es ja gewohnt, das die Weihnachts-Süssigkeiten jedes Jahr früher in den Regalen stehen. Mein Arbeitgeber hat jetzt aber den Vogel abgeschossen: gestern (13. Juli !!), bei knackigen 30°C vor dem Bürofenster und deutlich kühleren 28°C im Büro, kommt die Aufforderung, doch bitte die Bestellung von Weihnachts-Karten, adventlichen Tisch- oder Wandkalendern, usw zu tätigen. Letzter Termin zur Bestellung bis zum 30. Juli.

So richtig weihnachtliche Gefühle kommen dann doch noch nicht auf ....