Neulich im Support ...

"Ich hab da einen FATAL ERROR"
"Und wo sind die anderern dreiviertel ?"

Anti-Terror mit der Stasi

Bei telepolis gefunden, anscheinend hat das BKA bei Ermittlungen systematisch und in größerem Umfang auf Daten der Stasi zurückgegriffen. Von beiden Seiten (BKA und Stasi-Unterlagen-Behörde) wurden diese Daten ohne Bedenken genutzt, das es sich hier um Daten handelt, die aus heutiger Sicht in einem Unrechtsstaat mit Unrechts-Mitteln erstellt wurden.

Mal ganz abgesehen davon, das man die Authentizität der Daten und die für einen Rechtsstaat "angemessene" Bewertung der aufgezeichneten Ereignisse gar nicht in Frage gestellt hat!

www.bahn.de, Bahn-Streik und DDoS

... wollte grade was bei der Deutschen Bahn nachsehen, aber die Seite lädt und lädt und lädt ... kein Wunder, die erste Information heisst "Streikinformation". Der Bahnstreik scheint da zu einem ungeplanten DDoS-Angriff zu führen ...

"Jede Website wird ständig einer Sicherheitsprüfung unterzogen"

... aus einem Interview mit Jeremiah Grossman, Gründer von WhiteHat Security ...

Everyone with a website gets a "vulnerability assessment", probably several per day. Whether you pay for the results or not is another matter.

heise.de: Wii-Spielekonsole sorgt für Quoteneinbrüche im japanischen Fernsehen

Bei heise.de wurde über eine (zumindest für Fernsehsender) beunruhigende neue Konkurrenz berichtet: in Japan sind die Nutzer am frühen Abend wohl immer weniger vor dem Fernseher, sondern vor der Spiele-Konsole:

Die Sendeanstalten in Japan verzeichnen seit einiger Zeit sehr schwache Einschaltquoten zur Hauptsendezeit. Sie machen dafür Nintendos Wii-Konsole verantwortlich, die sich im Land der aufgehenden Sonne konstant hoher Verkaufszahlen erfreut. Die Sender vermuten, dass die Japaner in den frühen Abendstunden lieber mit der Wii spielen und das Fernsehprogramm ignorieren.

Seit der ersten Juliwoche konnte keine Sendung mehr als 9 Prozent Marktanteil verbuchen.

Für Fernsehsender eine bisher völlig ungewohnte Situation:

Ein Vorstandsvorsitzender des japanischen Senders TBS meinte, dass dies eine ganz neue Situation für die Sender sei. Sonst würden die Sendeanstalten immer nur untereinander konkurrieren, nun stehe ihnen mit der Wii ein völlig neuer Gegner beim Kampf um die Aufmerksamkeit der Zuschauer gegenüber.

Das deckt sich mit einigen anderen Auswertungen, wonach gerade jüngere Zuschauer immer weniger fernsehen und mehr im Internet surfen. Auch bei mir ist der Fernsehkonsum deutlich zurückgegangen, der Fernseher läuft oft auch nur im Hintergrund, während meine wesentliche Aufmerksamkeit dem Internet gilt.

Noch ist dies erst der Anfang, aber die Tendenz wird sich sicher fortsetzen. Die Fernsehsender sollten sich gut überlegen, wie sie mit dieser neu entstandenen Konkurrenz umgehen: einfach ignorieren kann es nicht sein, sonst werden wir in 10 oder 20 Jahren ein Fernsehsender-Sterben erleben, wie es ja auch schon ein Kinosterben gegeben hat.

Web 2.0 in zwei Sätzen erklärt

Question: please describe web 2.0 to me in 2 sentences or less.
Answer: you make all the content. they keep all the revenue.

Was kostet Sicherheit ? Und was kostet keine Sicherheit ?

Sicherheit ist teuer. Keine Sicherheit ist teurer!

Wer's nicht glaubt, in diesem Artikel werden die Kosten eines Sicherheits-Vorfalls beim amerikanischen Handelskonzern TJX genannt. Demnach sind im ersten Quartal dieses Jahres bereits 20 Millionen Dollar an Kosten entstanden, nur für die Untersuchung des Sicherheitsvorfalls, die Beseitigung der Sicherheitslücken und die Kommunikation an die Betroffenen. Hinzu kommen Schadensersatzforderungen und verlorenes Vertrauen.

In its quarterly filing with the Securities and Exchange Commission, TJX acknowledged that the computer intrusion still under investigation has cost it $20 million during the first quarter alone, and that costs were expected to continue to mount in future quarters.

TJX stated in the filing that the $20 million in costs tied to the data breach was spent on investigating the security lapse, strengthening computer security and communicating with customers about the compromise of sensitive financial data.

Erfolg ?

In der CW gefunden, eigentlich über Outsourcing, passt aber auf vieles

Fast immer ist das erste Vorhaben von überwältigendem Erfolg gekrönt – vom Lernerfolg.

Versenden von News aus heise.de - Wo ist der Button ?

Ab und zu versende ich interessante Artikel aus verschiedenen Newslettern, unter anderem auch aus heise.de. Seit meiner letzen Nutzung der Versandfunktion hat heise.de ein CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) eingebaut.

Leider ist es so ungünstig platziert, das ich fast eine Minute den "Absenden"-Button gesucht habe: versteckt zwischen mehreren Eingabefeldern und dominiert von der deutlich 'schwereren' CAPTCHA-Grafik ist der Button nur noch schwer zu erkennen.

Google mit Tastatur-Bedienung

Gerade im Firmen-Blog gefunden: ein experimentelles Feature von Google Labs bietet die Tastaturbedienung für die Google Suche. Man kann das Feature aktivieren, indem man den Parameter esrch=BetaShortcuts in die Suchanfrage einbindet.

Wer die Google Suche in Firefox nutzt, kann auch das Such-Plugin entsprechend erweitern. Dazu bearbeite man die Datei

C:\Programme\Mozilla Firefox\searchplugins\google.xml

und fügt an geeigneter Stelle die folgende Zeile ein

<Param name="esrch" value="BetaShortcuts"/>

OpenProxies, Content Spammer und Blacklists

Aus gegebenem Anlass anbei ein paar nützliche Links, um IP-Adressen auf 'böses' Verhalten zu untersuchen. Gerade für WebMaster und Betriebsmanager manchmal ganz nützlich, um 'ihre' IP's auf ein eventuelles Hacking zu untersuchen.

Für die Überprüfung, ob eine IP als OpenProxy konfiguriert ist, habe ich bisher noch nichts gefunden. Um zu prüfen, eine bestimmte IP-Adresse auf OpenProxy-Listen auftaucht, ist Google aber eine gute Möglichkeit: einfach die IP-Adresse angeben (in Anführungszeichen), die Trefferliste kann man schnell 'durchscannen'. IP-Adressen tauchen normalerweise sehr selten als Text im WWW auf ... ausser eben auf diesen Listen.

ProjectHoneypot.org sammelt Informationen über Server, die als Harvester, Spam-Server, Content Spammer oder Dictionary Attackers agieren.

Bei www.dnsstuff.com können über "Spam Database Lookup" IP-Adressen gegen 277 Blacklists gecheckt werden.

Google Analytics mit neuer Oberfläche

Google Analytics hat seine Berichts-Oberfläche komplett neu gestaltet.

Im Announcement von Google sind viele tolle Neuerungen aufgeführt. Berichte können per eMail versendet oder als PDF exportiert werden, benutzerdefinierte Dashboard sollen das Wiederauffinden von angepassten Berichten vereinfachen, eine kontextbezogene Hilfe steht zur Verfügung, usw.

Warum man dafür die Oberfläche komplett umbauen musste, die Informationsarchitektur geändert hat und das Look-and-Feel geändert wurde, kann ich daraus aber noch nicht ableiten.

Was mich zumindest etwas versöhnt, ist die Darstellung in der Landkarten-Sicht, bisher war nur eine "Ganze Welt"-Sicht möglich, jetzt kann man in einzelne Kontinente und bis auf Länder-Ebene "hineinzoomen".

Ich warte ja noch darauf, das Google diese Sicht mit den Landkarten aus Google Maps kombiniert.

CW: 8 von 10 grossen Website sind angreifbar

aus einer Meldung der Computerwoche:

IT-Security - Die meisten großen Internet-Seiten haben Schwachstellen

Bekannte und oft besuchte Websites sind besonders anfällig für Attacken - in der Regel betrifft es acht von zehn Angeboten. Zu diesem Ergebnis kommt eine gestern vorgelegte Untersuchung des Sicherheitsdienstleiters WhiteHat Security. Das Unternehmen prüft regelmäßig Hunderte von beliebten und stark besuchten Websites.

Die gefundenen Angriffsmöglichkeiten sind die üblichen Verdächtigen:
Cross-Site-Scripting: zwei Drittel aller Sites
Abruf von Programmcode: ein Drittel aller Sites
Content-Spoofing: ein Viertel aller Sites

Aus meiner Erfahrung heraus weiss ich wie aufwendig es sein kann, Lücken in der Software nachträglich zu finden und zu beseitigen. Die Ursachen liegen tief bei Entwicklung von Web-Anwendungen verborgen, viele Entwickler kennen sich mit dem Thema "Web Application Security" kaum aus, und kennen die Angriffsmethoden nicht. Die Implementierung einer sicheren Web-Anwendung muss ganz früh in der Konzeptionsphase der Software beginnen. Der Lösungs-Ansatz zur Vermeidung vieler dieser Lücken nutzt normalerweise zentrale Klassen, z.B. Filterklassen, die alle Ein- und Ausgaben prüfen.

Die Berücksichtigung in der SW-Entwicklung ist einfach ... wenn man es von Anfang an richtig macht. Falls so etwas nicht direkt von Anfang an vorgesehen ist, kann man z.B. eine Umstellung der Parameter-bearbeitung auf einen zentralen Filter nur mit sehr viel Aufwand nachziehen. Das nachträgliche "Hineinprüfen" von Security kann nicht funktionieren, und findet immer nur die nächstbeste Schwachstelle.

"Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt"

seit einiger Tagen ist die neueste Trojaner-Mail unterwegs, gestern ist sie auch bei einem Kollegen aufgeschlagen:

Sehr geehrter Internetnutzer,

im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.

IP: 127.0.0.1

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Herbert Klein, Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 - 970738
Fax: 06131 - 970731
Mobil: 0171 - 7504699
Mail: Hcklein51 [at] aol.com

Wenn der geschockte Empfänger den Anhang öffnet, angeblich ja das Protokoll der Online-Durchsuchung, handelt er sich einen Trojaner ein.

Mal abgesehen von den ganzen Unstimmigkeiten, das LKA würde wohl kaum eine heimliche Durchsuchung zugeben, die aktuell sogar noch illegal ist, ich halte es für unwahrscheinlich, das das LKA Rheinland-Pfalz eMail-Adressen bei AOL hat, und die Polizei wird den Bundestrojaner wohl kaum Bundestrojaner nennen (ich frage mich immer, wie lange die Verfasser über solche Mails nachdenken, wenigstens sind diesmal keine haarsträubenden Rechtschreibfehler dabei) ... es dürfte doch noch genug Leute geben, denen diese Details nicht auffallen und die eher in Panik den Anhang aufmachen.

Ich vermute mal, bei den Bundestrojaner-Verantwortlichen in Berlin hat sich KEINER darüber Gedanken gemacht, das genau solche Mails in Umlauf kommen und den Botnetzen zusätzliche Ressourcen liefern ... und damit indirekt auch dem Terrorismus Vorschub leisten: die meisten Experten sind sich einig, das die Terror-Anschläge des 21. Jahrhunderts nicht mit Briefbomben sondern mit IP-Paketen erfolgen. Jede Terrorismus-Gruppe kann für wenig Geld ein grosses Botnetz mit einigen zehntausend Rechnern anmieten, die "moralische Barriere" der Botnetz-Betreiber ist bekanntlich niedrig.
Erfolgreiche Angriffe von Hackern haben schon mehrfach schwere Störungen ausgelöst. Und ein gezielter Angriff gegen wichtige zentrale Knoten oder die Internet-Infrastruktur könnten das Internet tagelang zusammenbrechen lassen ... die Kosten für die Weltwirtschaft wären enorm.

Stasi 2.0

... kein Kommentar

ecin: "Virtuelle Plätzchen liegen schwer im Magen" ... wohl nicht schwer genug

Bei Auswertungen des Besucher-Verhaltens werden oft langlebige Cookies genutzt, die Nutzer über verschiedene Visits hinweg identifizieren sollen.

Ein Artikel bei ecin listet die Probleme auf, die sich dabei ergeben, wenn Nutzer ihre Cookies löschen. Demnach löschen 30% der Internet-Nutzer ihre Cookies Internet-Nutzer. Wie stark die Auswirkung dieser 30% sind, wurde in einer Studie von comScore untersucht.

Das häufige Zurücksetzen der Cookies kann dazu führen, dass Publikumsgrößen um einen Faktor von bis zu 2,5 zu groß angegeben werden. Werbung von Drittanbietern würde falsch bemessen und zu teuer verkauft, Nutzungsdaten lieferten überhöhte Ergebnisse.

Die Studie lässt das aber so klingen, als wäre das die Schuld der Nutzer, die als „Serienzurücksetzer“ diffamiert werden.

Ich bin da ein wenig paranoid, weil ich durchaus weiss, WAS man mit solchen Cookies alles auswerten kann. Viele Sites (amazon ist da ein bekanntes Beispiel) nutzen das User-Verhalten zur Bestimmung von kontext-sensitiver Werbung, abhängig von meinem Surf-Verhalten. Dahinter steckt natürlich ein solches langlebiges Cookie, das über viele Besuche hinweg hilft, ein Profil aufzubauen, auch wenn ich mich gar nicht anmelde.

Noch "schlimmer" wird das, wenn die Werbung gar nicht direkt vom der Site kommt, sondern über den grossen Werbe-Anbieter angezeigt wird (nachdem Google DoubleClick übernommen hat, gibt es ja nur noch einen). Denn dann kann dasselbe Cookie für alle Auftritte genutzt werden, die diesen Werbe-Anbieter nutzen. Dieser kann so sehr genau verfolgen, auf welchem Auftritt ich mir was angesehen habe, und Site-übergreifende Profile erstellen, die meine Buch-Interessen mit meinen Google-Suchen, gelesenenen Zeitungs-Artikeln, eingekauften Nahrungsmitteln und vielen weiteren Informationen korrelliert.

Und wie es um das Datenschutz-Selbstverständnis großer amerikanischer Firmen bestellt ist, haben wir ja schon an einigen Beispielen erfahren.

30% der Nutzer löschen ihre Cookies regelmässig ... heisst aber auch, 70% machen das nicht! Ich kann jedem nur raten, das zu tun. Um die bewusste oder unbewusste "Sammelwut" etwas einzuschränken, hilft mir der Firefox sehr: mein Browser ist so eingestellt, das er Cookies mit Schliessen des Browsers löscht. Einstellbar unter Tools --> Options --> Privacy --> Cookies: Keep until --> "I close Firefox"

SecondLife und FirstLife

Bei dem ganzen Hype um SecondLife muss man sich nicht wundern, das auch die ein oder andere satirische Site sich des Thema's annimmt. Bei www.getafirstlife.com werden die Vorzüge des "First Life" gepriesen ... direkt angelehnt an die Startseite von SecondLife.

ecin: aktive Beteiligung an Web2.0 ist selten

ecin hat eine Studie von Hitwise zusammengefasst, in der die Beteiligung von Nutzern an Web2.0-Sites ausgewertet wurde. Demnach stellen lediglich ein Bruchteil der Nutzer einer typischen Web2.0-Site "user generated Content" zur Verfügung.

Bei YouTube etwa erfolgen nur 0,16 Prozent der Zugriffe durch Personen, die selbst Filme hochladen. Ganz ähnlich bei der Foto-Community Flickr, wo ebenfalls nur zwei Promille der Besucher selbst Bilder einstellen.

Das es auch anders geht, zeigt Wikipedia. Dort werden bei 4,6 Prozent aller Visits Artikel bearbeitet.

Bei mir selber kann ich da ein ähnliches Verhalten feststellen, auf Wikipedia ändere ich eigentlich recht viel ... und wenn es nur Schreibfehler sind. Andere Web2.0-Sites sind dagegen weniger im meinem Änderungs-Fokus. Das liegt auch daran, wie einfach Änderungen an der Wikipedia sind. Insbesondere das eine Anmeldung zur Änderung nicht notwendig ist. Wenn ich mich bei jedem kleinen Schreibfehler anmelden müsste, würde ich mir das wohl auch schenken.

Selbsterklärende Funktionsnamen in Excel ?

Ich bin gestern über die Excel-Funktionen SUCHEN und FINDEN gestolpert. Beide dienen dazu, eine Zeichenfolge in einem Text zu bestimmen ... aber was könnte nur der Unterschied zwischen SUCHEN und FINDEN sein ?

Die Excel-Hilfe schafft Klarheit:

• SUCHEN unterscheidet bei der Suche nach einer Zeichenfolge nicht zwischen Groß- und Kleinbuchstaben.
• SUCHEN ähnelt FINDEN , nur dass FINDEN die Schreibweise berücksichtigt, also zwischen Groß- und Kleinbuchstaben unterscheidet.

Ein perfektes Beispiel für "How to write unmaintainable Code"

User-Feedback und Web2.0

Das ärgert mich immer wieder: einige Web2.0-Anwendungen liefern kein passendes Feedback darüber, ob ich nun eine Aktion ausgelöst habe oder nicht.
Bei Web 1.0 war das noch deutlich einfacher: wenn man geklickt hatte, wurde der Bildschirm weiss. Wenn man nicht geklickt hatte, blieb der Inhalt stehen. Dieses Feedback war einfach und deutlich.
Bei einigen Web2.0-Anwendungen gibt es aber kein visuelles Feedback, ob nun eine Aktion ausgelöst wurde oder nicht. Meist trifft das mit weiteren schlechten Usability-Eigenschaften zusammen:

• extrem kleine Steuerelemente, die schwierig mit der Maus zu treffen sind
• Objekte, die wie Steuerelemente aussehen, aber keine sind
• langsame Reaktion auf User-Input

Zusammen führt das dazu, das man mehrere Sekunden warten muss, um dann festzustellen, ob eine Aktion eigentlich ausgelöst wurde oder nicht. Einfach nur ärgerlich!

Google übernimmt DoubleClick

Das Google DoubleClick übernimmt, das google dafür über 3 Millarden Dollar zahlt, das die anderen beiden Microsoft und Yahoo alarmiert sind ... das alles kann man in den aktuellen Berichten lesen.

Aber irgendwas hat mich daran gestört, irgend ein mentales Jucken. Also habe ich mir die Definiton von Web 2.0 bei O'Reilly angesehen:

Web 1.0: DoubleClick
Web 2.0: Google AdSense

... diese Übernahme ist also ziemlich Web1.0 von Google ...

Phishing, XSS und Banken

So ganz langsam scheinen einige Banken dem Thema "Phishing über Cross-Site-Scripting (XSS)" doch mehr Aufmerksamkeit zu schenken. Beim Einloggen in's Online-Banking meiner Bank erhalte ich seit neuestem die folgende Meldung

Bitte beachten Sie: AAAA-Bank erfragt bzw. überprüft Ihre TAN niemals in einem separaten, zweiten Fenster. Ihre TAN wird ausschließlich innerhalb der AAAA-Bank Online Seiten erfragt.

Zumindest ein erster kleiner Schritt in Richtung "Nutzer-Awareness". Wenn da plötzlich ein weiteres Fenster aufgeht, sollten Nutzer vorsichtig sein. jetzt muss die Bank nur noch das Popup-Fenster in den Griff bekommen, in dem die Meldung erscheint.

Übrigens: bei vorhandenen XSS-Lücken kann meistens auch ein iFrame eingebunden werden, da hilft der Warnhinweis mit dem eigenen Fenster auch nicht mehr viel (siehe auch "Phishmarkt" oder "Die Rückkehr des Prangers"). Ein iFrame ist aber selbst für Experten oft nur schwer zu erkennen.

Stadt Zürich veröffentlicht Baustellen auf Google Earth

Die Stadt Zürich nutzt Google Earth, um die Bewohner von Zürich über geplante Baustellen im Stadgebiet zu informieren. Monatlich aktualisiert, werden für die großen Baustellen die betroffenen Straßen farblich hervorgehoben, die voraussichtlichen Zeiten und teilweise Informationen über die geplanten Arbeiten angezeigt.

Neulich im Usability-Test

Just a quote.

Post-Test-Befragung: »Und haben Sie elementare Dinge, Funktionen oder anderes vermisst, das Sie von anderen Websites kennen oder schätzen?«

»Ja! Nackte Frauen!«

Web-Analytics für alle

gefunden über ECIN: bei IdealObserver gibt's ein Überblick über Web-Analytics-Software.

Die Lösungen können anhand mehrerer Kriterien eingeschränkt werden. Neben technischen Parametern der Umsetzung (z.B. LOG-File-basiert versus Pagedot-basiert) sind auch funktionale Auswahlen möglich (z.B. Unterstützung von Kampagnen, Clickstream-Analysen). Zu den einzelnen Produkten gibt es teilweise ausführliche Detail-Informationen

IdealObserver bietet zwei kostenpflichtige Varianten mit 73 bzw. 51 Lösungen an. Es gibt auch eine kostenfreie Übersicht mit 15 Lösungen, die wird dann aber schon etwas dünn, wenn man auf bestimmte Varianten einschränkt.

Microsoft, Google und Yahoo sind die besucherstärksten Sites im Dezember

Bei ecin gefunden: die Analysten von comScore haben die besucherstärksten Sites im Dezember 2006 (Unique-Visitors) untersucht. Die 'grossen Drei' sind auch hier ganz vorne, und erstaunlich nah beieinander:

Auf Platz eins liegen die Sites von Microsoft mir 508 Millionen .
Google ist mit halben Milliarde auf Platz 2 nur knapp dahinter.
Dritter ist Yahoo mit 476 Millionen Besuchern.

Platz vier geht an Time-Warner, auf Platz fünf landet eBay. Wikipedia mit allen Länderauftritten schafft es auf Platz 6 noch vor Amazon auf dem siebten Platz.

silicon.de: Rumänischer Präsident bedankt sich bei Gates für Windows-Raubkopien

Gefunden bei silicon.de: der rumänischer Präsident Trajan Basescu bedankt sich bei Bill Gates für Raubkopien von Microsoft Windows.

Im Rahmen der Einweihung des neues Microsoft-Technikzentrums in Bukarest fand Basescu folgende Erklärung:

Illegale Kopien von Microsoft seien es gewesen, die das Wachstum der IT-Industrie in Rumänien ermöglicht hätten. "Piraterie hat der jungen Generation dabei geholfen, Computer zu entdecken. Das hat die Entwicklung der IT-Industrie in Rumänien gefördert." Die Rumänen hätten dadurch ihre Kreativität erst richtig entfalten können. Microsoft habe sozusagen so in Rumänien investiert.

Kommentare von Bill Gates gab es nicht dazu.

Rumänien zählt zu den aufsteigenden IT-Ländern, wegen der guter Ausbildung und auch wegen den niedrigen Löhnen. Sicherlich auch ein Grund, warum das Microsoft-Technikzentrum dort gegründet wurde. Ob das Land OHNE die Windows-Raubkopien als Investitions-Standort für Microsoft so interessant wäre, wage ich zu bezweifeln ... vielleicht bringt das Bill Gates doch mal zum Nachdenken.

Auch eine Lösung....

Beruflich schlage ich mich grade mit einer zugekauften Software rum, die unter (geringer) Last einfach nur noch LANGSAM ist. Der Hersteller ist am Problem dran, seine heutige Rückmeldung war:

Wir arbeiten an Alternativen, die das (Last-) Verhalten verbessern sollen. Eine davon ist das Drosseln der Anfragen auf ein Maß, in dem (unsere Software) nicht in den Überlastungsbereich geht.

Ich muss da immer an diesen schlechten Arzt-Witz denken:

  Patient: "Herr Doktor, wenn ich  SO  mache, tut es immer weh"
  Arzt: "Dann machen Sie doch nicht mehr  SO"

heise.de: Sprechende Sicherheitslücke in Vista

Kaum ist Windows Vista verfügbar, schon taucht die erste richtig lustige Sicherheits-Lücke auf.

Das Spracherkennungssystem von Windows Vista lässt sich missbrauchen, um einem Rechner unauthorisierte Befehle übers Netz zu schicken. Wie Microsoft inzwischen bestätigte, könnte beispielsweise eine Webseite eine Audiodatei über die Systemlautsprecher abspielen, die eine aktivierte Spracherkennung als Befehl des Anwenders interpretiert.

Demo-Exploits gibt es schon, die offenbar problemlos die Steuerung eines Windows-Vista-Systems ermöglichen. Und einen Lösungsvorschlag von Microsoft ebenfalls:

Microsoft empfiehlt Nutzern der Sprachsteuerung, die Lautsprecher oder das Mikrofon auszustellen, wenn sie den Rechner unbeaufsichtigt lassen.

Da kann man eigentlich nur hoffen, das die Spracherkennung von Vista auf dem Niveau "Dear aunt, let's set so double the killer delete select all" bleibt (siehe z.B. http://video.google.com/videoplay?docid=-1123221217782777472)

... ich kann mir auch nicht helfen, ich muss immer an diesen Comic bei UserFriendly denken ...

Windows Vista ist da ... auch auf der Strasse

Kaum ist Windows Vista offiziell auch für Privat-Kunden zu erhalten, schon ist die Werbung draussen. Heute morgen auf dem Weg zur Arbeit kam ich an der folgenden Werbetafel vorbei ....


Hasta La Vista, Baby, ....

heise.de: Haftstrafen für holländische Bot-Netz-Betreiber

heise.de berichtet über die Verurteilung von zwei holländischen Bot-Netz-Betreibern. Im Artikel wird auch beschrieben, das diesen beiden schon einiges an Rechen-Power zur Verfügung stand:

Laut Strafurteil seien etwa 50.000 Infektionen nachgewiesen. Die Staatsanwaltschaft geht allerdings davon aus, Ende 2005 mehrere Millionen PCs von den Bot-Netz-Betreibern hätten gesteuert werden können.

Selbst wenn es 'nur' 50.000 Rechner gewesen wären: das muss man mal in Relation stellen. Für Google (als einer der Firmen mit der größten Rechen-Power) ist Ende 2004 in einem sehr schönen Artikel bei ZDNet beschrieben worden, das Google über 30 Cluster mit jeweils bis zu 2.000 Rechnern hat ... zusammen also ungefähr 60.000. Eine andere große Firma mit viel Power unter der Haube ist Akamai, mit denen ich auch schon beruflich zu tun hatte. Die haben 'grade mal' 15.000 Rechner. Wenn man dann sieht, was ein 21- und ein 29-jähriger Holländer unter Kontrolle hatten ...

In dem Artikel wird zwischen den Zeilen auch klar, wie viel kriminelle Energie und wie wenig Skrupel diese beiden hatten. Da taucht so ziemlich alles auf, was es an Bösem im Computer-Umfeld gibt:

Zwischen Juni und Oktober 2005 haben die beiden Täter mit ihren Bot-Netz per Keylogging Identitäten gestohlen und sodann mit den fremdem Namen im Web eingekauft. Außerdem haben sie Adware auf den infizierten PCs installiert und Adware-Hersteller unter Androhung von Bot-Netz-Attacken erpresst. In mindestens einem Fall kam es tatsächlich zu einer DDoS-Attacke, die die Infrastruktur eines der Hersteller für mehrere Stunden lahmlegte.

Naja, mit 50.000 Rechner ist es keine Kunst, so ziemlich jedes System in den Boden zu fahren. Die Strafen sind dennoch eher gering geblieben, durch Anrechnung der Untersuchungshaft sind beide sofort wieder auf freiem Fuß. Auch noch erwähnenswert:

Eine Entschädigung für die Opfer der Identitätsdiebstähle ist offenbar nicht vorgesehen.

Wie eine solche Entschädigung aussehen könnte, kann ich mir nur schwer vorstellen, ich bin ja auch kein Jurist. Das die Juristen da aber auch nichts vorgesehen haben, passt ins Bild: scheint irgendwie ein generelles Problem zu sein, das die Justiz sich mit dem Thema 'Internet' schwer tut. Wenn die beiden Ausweise per Trickbetrug erbeutet hätten ... _dafür_ gibt es wahrscheinlich eine Regelung.

Portal-Konsolidierung die 2.: Flickr bald nur noch mit Yahoo-Account

Google hat schon im November angefangen, den Zugang zu Blogger.com verstärkt nur mit einem Google-Account anzubieten. Jetzt ist Yahoo an der Reihe, der Zugang zu Flickr wird bald nur noch mit einem Yahoo-Account möglich sein. Heute bekam ich die folgende Mail:

Dear Old Skool Account-Holding Flickr Member,

On March 15th we'll be discontinuing the old email-based
Flickr sign in system. From that point on, everyone will
have to use a Yahoo! ID to sign in to Flickr.
...
95% of your fellow Flickrites already use this system and
their experience is just the same as yours is now, except
they sign in on a different page. It's easy to switch: it
takes about a minute if you already have a Yahoo! ID and
about five minutes if you don't.
...
Warmest regards,
- The Flickreenos

Internet im Flugzeug

Bei heise war jetzt ein Artikel, das der Flugzeughersteller Boeing in seinem neueste Modell 787 das geplante Funknetz durch eine herkömmliche Verkabelung ersetzen will. Grund waren wohl Probleme mit der Durchsatzrate des Funknetzes.

Die Verkabelung hätte ja auch zusätzlich als Absicherung dienen können. Denn als ich das gelesen habe, kam mir dieses Bild des Sicherheits-Ballets der Flugbegleiter nicht mehr aus dem Kopf:

Im unwahrscheinlichen Fall eines plötzlichen Wireless-Verlustes in der Kabine fallen automatisch Netzwerkkabel aus der Decke über Ihnen.
Ziehen Sie ein Netzwerkkabel zu sich heran, stecken es fest in ihr Notebook und und surfen sie normal weiter. Verkabeln Sie sich selbst, bevor sie anderen Passagieren helfen.

Usability von Fehlermeldungen

Gerade habe ich bei Technorati die folgende Fehlermeldung erhalten:

Eigentlich eine perfekte Fehlermeldung. Die meisten Nutzer können mit kryptischen Fehlermeldungen der Art 'seitenlanger Stacktrace' nichts anfangen. Und viel aussagekräftiger ist eine Standard 500-Internal-Server-Error Meldung auch nicht. Ausserdem gibt diese Fehlermeldung dem Nutzer nicht wieder das Gefühl, ER sei schuld am Fehler.

Heute habe ich noch das andere Extrem an nutzerfreundlichen Meldungen erhalten, leider aber keine Gelegenheit für einen Screenshot. Nach einem (wohl mal wieder notwendigen) Update von Windows kam eine Dialog-Box "Der Computer muss neu gestartet werden. Wollen Sie ihn jetzt neu starten?" ... mit deaktiviertem "Nein"-Button. Ich _hasse_ es, wenn man mich etwas fragt und dann gar nicht an einer Antwort interessiert ist.

Mylar - Bug-Tracking-Plugin für Eclipse

Unter dem Namen 'Task-Forced Development' bietet das Eclipse-Plugin Mylar eine Möglichkeit, diverse Bug-Tracking-Software in die Entwicklung eng einzubinden. Aktuell wird BugZilla, TRAC und JIRA unterstützt.

Star Trek und Second Life

Auf der Consumer Electronics Show hat Les Moonves von CBS die Pläne von CBS präsentiert, in Second Life ein ‘Star Trek Environment’ aufzubauen. Unter trekmovie.com wird gezeigt, wie das dann aussehen könnte: zwei Trekkies in Star Trek Kostümen lümmeln sich auf der Enterprise-Brücke ... lustig wegen den ganzen in-jokes.
Aber irgendwie passt das nicht so ganz zu den doch eher seriösen Versuchen der letzten Zeit, Second Life als realen Wirtschaftsraum, als Meeting-Bereich für große Firmen, als neue Werbe-Plattform zu etablieren.

Naja, frei nach William Shatner: "Get a second Life!"

Terroristen nutzen Google Earth

n-tv berichtet, das Terroristen im Irak anscheinend Google Earth zur Planung ihrer Angriffe nutzen. Bei der Durchsuchung verdächtiger Häuser habe die britische Armee entsprechende Ausdrucke mit Satelliten-Aufnahmen der Militär-Lager rund um Basra gefunden.

So überraschend ist es dann nun nicht, das nicht nur die allierten Truppen Satellitenaufklärung nutzen, sondern auch deren Gegner. Nicht umsonst haben die USA vor Beginn eines Krieges immer die (frei nutzbaren) GPS-Satelliten in der Genauigkeit eingeschränkt.

TechCrunch: Apple legt sich mit der Blogosphäre an

Apple legt sich gerade mit der Blogosphäre an.

Nach der Veröffentlichung des neuen iPhones hat natürlich prompt jemand das iPhone-Design per Skin auch für anderen Geräte (Windows Mobile oder Palm) kopiert.

Das Apple gegen den Ersteller dieser Skins vorgeht, kann man ja grade noch so nachvollziehen. Obwohl es ja eigentlich schon üblich ist, ein neues Design per Skin auch auf anderen Geräten zu haben. So gibt es Vista-Skins für XP schon seit Monaten.

Allerdings leisten es sich die Anwälte von Apple, nicht gegen der Ersteller vorzugehen, sondern gegen jeden Blogger, der nur über dieses Design BERICHTET ... und damit machen sie sich in der Blogosphäre gerade keine Freunde.

Die USA und die Datensammel-Wut

Gerade gehen so einige Nachrichten durch die Online-Presse, die sich kritisch mit der Datensammelwut der amerikanischen Behörden beschäftigen.
Gestern wurde bekannt (siehe heise), das das Department of Homeland Security sich nicht an seine eigenen Datenschutz-Bestimmungen und auch nicht an US-amerikanische Gesetze gehalten hat.

Neben den erfassten Flugdaten (immerhin 34 Informationen pro Passagier, unter anderem Namen, Anschrift, Zahlungsinformationen, besondere Essenswünsche, gebuchte Mietwagen und Hotels) wurden zusätzlich Daten von kommerziellen Adresshändlern hinzugefügt. Der Datenschutzbericht nennt dabei Name, Geburtsdatum, Geschlecht, Name des Ehepartners, zusätzliche Anschriften und Art der Anschrift (privat geschäftlich). Daten wie Längen- und Breitengrade der Anschrift und Sozialversicherungsnummern wurden zwar von den Adresshändlern geliefert, aber nicht genutzt. Es wurden keine Daten wie medizinische Daten, Einkommensverhältnisse usw. abgefragt ... obwohl diese natürlich auch zugänglich sind.

Was im Datenschutz-Bericht besonders irritiert: die Zusammenstellung dieser Daten wurde nicht etwa absichtlich durchgeführt, sondern ist wohl eher zufällig erfolgt. Das hinterlässt ein mulmiges Gefühl, was das Datenschutz-Selbstverständnis dieser Behörde betrifft.

Kurz darauf kam bei heise die nächste Meldung: der Justizausschuss des amerikanischen Senats hat eine bessere Kontrolle über die 199 Data-Mining-Programme bei den 52 verschiedenen Bundesbehörden gefordert. Experten wiesen dabei auf die völlige Nicht-Eignung solcher Rasterfahndungs-System zur Terroristenjagd hin

"Wir müssen nur auf die Terroristen-Beobachtungsliste der Regierung schauen, um die Ineffektivität von Data-Mining und Rasterfahndung zu sehen", erklärte (der demokratische Senator Patrick) Leahy. Auf der Liste würden derzeit 300.000 Namen geführt, darunter die von Kindern, Nonnen und sogar Kongressmitgliedern.

Apple streicht "Computer" aus dem Firmennamen

bei heise gefunden: Steve Jobs hat auf der MacWorld verkündet, das "Apple Computer, Inc." zukünftig nur noch "Apple, Inc." heisst. Das Unternehmen trage damit der Tatsache Rechnung, dass es bereits heute einen Großteil seines Umsatzes nicht mehr mit Computern, sondern mit dem Verkauf von iPods sowie Musik und Filmen im iTunes Store mache.

Nielsen: Usability in the Movies -- Top 10 Bloopers

Jakob Nielsen hat auf seiner Website einen schönen Artikel zu den 10 häufigsten Fehl-Annahmen in Kinofilmen zur Usability von Computer-Systemen geschrieben.

1. The Hero Can Immediately Use Any UI
2. Time Travelers Can Use Current Designs
3. The 3D UI: cool, aber schwer zu bedienen
4. Integration is Easy, Data Interoperates: sowas wie verschiedene Betriebssysteme oder Dateiformate scheint es in Filmen irgendwie nicht zu geben
5. Access Denied / Access Granted: ich kenne ja eine ganze Reihe von Computersystemen, aber auch ich habe noch nie einen "Access Granted" Dialog gesehen
6. Big Fonts
7. Star Trek's Talking Computer: genauso cool, aber für viele Aufgaben einfach zu umständlich
8. Remote Manipulators: Jakob Nielsen nennt Tomorrow Never Dies, aber in MIB 2 taucht's auch auf: Autos, die mit Gameboy-artigen Fernbedienungen gesteuert werden.
9. You've Got Mail is Always Good News
10. "This is Unix, It's Easy": das ist auch einer meiner liebsten Momente: in Jurassic Park rettet ein kleines Mädchen die Welt, weil sie Unix kennt ... ich brauche unbedingt die Telefonnummer!
    

Google sucht im All

Google beteiligt sich (zusammen mit einer ganzen Reihe von astronomischen Forschungsinstituten) am "Large Synoptic Survey Telescope", einem neuen optischen Teleskop. Das Teleskop soll ab 2013 Bilder aus dem Weltraum mit einer Auflösung von
3 Milliarden Pixeln liefern. Am Tag sollen bei 5.000 Bildern ca. 30 Terabyte an Daten zusammenkommen.

Und hier kommt Google ins Spiel, als KnowHow-Provider für die Speicherung und permanente Bearbeitung großer Datenmengen. Denn am nächsten Tag sind ja die nächsten 30 TB da ....

Was nicht dabei steht: wird Google dann seine Such-Algorithmen auf diese Daten ansetzen, um z.B. bestimmte Muster leichter zu finden? Um neue Asteroiden, Sonnen mit Planeten, unbekannte Pulsare zu erkennen?
Ganz so neu wäre das nicht: schon vor fünf Jahren hatte ich Kontakt zum Suchmaschinen-Anbieter Convera. Deren Suchmaschine wurde damals bei der Suche nach Erdöl eingesetzt: Um Erdöl zu finden, werden seismische Untersuchungen durchgeführt (schön beschrieben z.B. bei Quarks). Um in den Unmengen der aufgezeichneten geologischen Daten dann bekannte Muster zu finden, wurde eben diese Suchmaschine eingesetzt.

Wie lang muss ein Passwort sein ?

Das ist eine wirkliche Fehlermeldung von Windows, siehe auch http://support.microsoft.com/kb/276304

"Error Message: Your Password Must Be at Least 18.770 Characters and Cannot Repeat Any of Your Previous 30.689 Passwords"

Na wenn man sich da mal bloss nicht vertippt ...

Firefox Extension FireBug

Ein Freund hat mich auf die Extension FireBug hingewiesen.

Highlights:

• JavaScript debugger for stepping through code one line at a time
• Status bar icon shows you when there is an error in a web page
• A console that shows errors from JavaScript and CSS
• Log messages from JavaScript in your web page to the console (bye bye "alert debugging")
• An JavaScript command line (no more "javascript:" in the URL bar)
• Spy on XMLHttpRequest traffic
• Inspect HTML source, computed style, events, layout and the DOM