Herzlichen glückwunsch

Ich gratuliere den machern von netzpolitik punkt org dazu, dass sie endlich im jahr 2019 mal entdeckt haben, was ein träckingpixel in einer mäjhl ist und dass sie ihren lesern praktische hinweise zum schutz ihrer privatsfäre geben. Nein, das ist nicht nur hämisch, das muss man den menschen leider immer und immer wieder sagen. Sonst werden sie von scheißwerbern und scheißspämmern geträckt.

Ich habe übrigens auch einen praktischen hinweis zum schutz der privatsfäre: die mäjhlsoftwäjhr ganz einfach keine HTML-mäjhls darstellen lassen. Denn HTML-mäjhl brauchen nur werber und spämmer; jeder denkende und fühlende mensch kann darauf verzichten. Wenn es einmal erforderlich ist, ein stärker strukturiertes dokument zu versenden, kann man es ja schließlich an die mäjhl anhängen. Die extreme zusätzliche komplexität mit einem voll aufgeplusterten HTML-parser und renderer (sogar CSS- und javascript-fähig), also mit einem webbrauser in der mäjhlsoftwäjhr, ist ein dummes sicherheitsrisiko für eine völlig entbehrliche funkzjonalität.

Ach, ihr könnt auf euren scheißhändis gar keine textmäjhls mehr absenden, nur noch HTML? Tja, fresst schön weiter scheiße mit euren scheißhändis! Eure scheißmäjhls sehe ich sowieso schon lange nicht mehr, weil ihr nicht einmal die einstellung findet, wie ihr die automatisch eingeblendeten reklamesprüche unter euren mäjhls wegmacht. Andere menschen mit reklamedreck belästigen, wenn man noch nicht mal geld dafür kriegt! Schön doof, dass ihr euch so einen dummen dreck habt andrehen lassen…

Wer eine einigermaßen vernünftige mäjhlsoftwäre für sein ändräut-wischofon sucht: einfach k-9 mäjhl nehmen!

Vereinfachte krüpplografie des tages

Seit den 90ern lassen sich E-Mails mit GPG verschlüsseln, doch nur wenige nutzen das System täglich. Zu kompliziert sagen Kritiker

Mit verlaub: bei leuten, die zu doof sind, sich klicki-klicki ein addon für ihre mäjhlsoftwäjhr zu installieren und es ebenso klicki-klicki schnell zu konfigurieren, und die dermaßen entschlossen sind, für immer doof zu bleiben, dass sie nichtmal dieses internetz durchsuchen und vielleicht mal fünf minuten lesen wollen, fehlt mir jedes mitleid. Viel spaß im kommenden faschismus, ihr hirnlosen idjoten! Der ist auch viel „benutzerfreundlicher“ als diese freiheit und selbstverantwortung und vielfalt!

Und für genau diese schul- und medienopfer gibt es jetzt also voll die vereinfachung. Und, wie viel einfacher macht die vereinfachung das eh schon einfache?

Als ich vor einigen Monaten das erste Mal eine verschlüsselte Mail von einem Freund bekam, in deren Betreff schlicht „p≡p“ stand, schwante mir bereits Böses. Der Freund hatte seinen Computer platt gemacht, dabei Thunderbird und Enigmail neu installiert und seine GPG-Schlüssel händisch über Enigmail wieder eingespielt. Da war es allerdings bereits zu spät: Enigmail lief im Junior-Modus und übernahm mit Pep die Kontrolle. Für die eingerichteten E-Mail-Konten wurden völlig automatisiert und ohne jegliche Nachfrage GPG-Schlüssel generiert – ohne Passwort, ohne Ablaufdatum, ohne alles. Nach dem Import des ursprünglichen und selbstgenerierten Schlüssels verwendete Enigmail einfach weiter den Pep-Schlüssel – und brachte den genannten Freund pretty easy zur Verzweiflung

Weia!

Und, ist es wenigstens sicherer?

Pep übernimmt auch das komplette Schlüsselmanagement. In einem Test konnte ich Pep beliebige Schlüssel unterjubeln […] Ich generiere GPG-Schlüssel für verschiedene E-Mail-Adressen mit unterschiedlichen Domainendungen und sende sie als E-Mail-Anhang an eine Thunderbird-Installation mit Enigmail im Junior-Modus. Dort öffne ich die E-Mails und sehe – nichts. Thunderbird zeigt mir ungewöhnlicherweise nicht einmal an, dass die E-Mails einen Anhang enthalten. Die Schlüssel werden förmlich vor dem Nutzer versteckt, tauchen aber anschließend – vollautomatisch – in der Schlüsselverwaltung von Enigmail und im Schlüsselspeicher von GPG auf

Also sicherer wird die trivialisierte sicherheit für vollidjoten auch nicht.

Tja, wie schon gesagt: das mitleid fehlt mir da einfach. Schade für euch, dass es gehirn nicht bei guhgell pläjh gibt, aber das kann man auch nicht ändern. Wenn euch verschlüsselte und vertrauenswürdige mäjhl zu kompliziert ist, solltet ihr mal etwas einfacheres machen. Bierdeckel sammeln zum beispiel. Oder wixen.

Datenschleuder des tages

Outlook.com, der mäjhldienst von meikrosoft, hat über einen zeitraum von drei monaten hinweg die daten und den mäjhlverkehr einer unbekannten anzahl von nutzern „veröffentlicht“. Davon können übrigens auch nutzer einer alten hotmail-adresse betroffen sein — und das waren ja doch eine ganze menge…

Auch weiterhin viel spaß beim festen glauben an den euch überall versprochenen schutz eurer persönlichen und intimen daten. (Ja, mäjhl ist manchmal auch intim.) Die liste wäxt und wäxt und wäxt.

Was hat uns denn noch dringend und schmerzhaft gefehlt?

Die antwort gibt scheißguhgell mit einer brandnigelnagelneuen lösung ohne problem — außer man findet, dass die darstellung in einer HTML-formatierten mäjhl viel zu eingeschränkt ist:

E-Mails sollen „dynamischer“ werden, findet Google und unterstützt ab sofort AMP in Gmail. Mails sollen sich dadurch eher wie interaktive Webseiten anfühlen, ohne aber den Nutzer in einen Browser zu schicken

Ich wills mal so sagen: die einzigen, die etwas davon haben werden, sind werber und kriminelle — und ich könnte zynisch ergänzen, dass diese ja auch die hauptsächlichen kunden von guhgell sind. Ja, auch und vor allem die kriminellen. Und nein, es lohnt sich nicht, eine für vorschussbetrug benutzte gmail-adresse in aller ausführlichkeit an guhgell zu melden. Ich habe immer einmal wieder zu meinem missvergnügen feststellen müssen, dass die auch ein halbes jahr später noch von den gleichen halunken benutzt wird.

Ich erlaube übrigens nicht einmal die darstellung HTML in mäjhl und empfehle das jedem menschen zur nachahmung. Wenn jemand wirklich einmal ein aufwändig formatiertes dokument mit einer mäjhl versenden will, gibt es dafür seit den neunziger jahren die schöne, gefährliche und viel genutzte möglichkeit, einen anhang zu machen. HTML-mäjhl wird beinahe nur von reklame und spämm genutzt (aber leider viel häufiger versendet, als sie genutzt wird, weil viele menschen nicht wissen, wie und warum man das mäjhlformat umschaltet oder rottige webmäjhler und wischofonäpps benutzen, die ihnen keine schangse lassen, das mäjhlformat umzustellen).

Übrigens: beinahe alle sicherheitsprobleme mit mäjhlsoftwäjhr in den letzten zehn jahren standen im zusammenhang mit HTML-mäjhl und waren nach abschaltung der HTML-darstellung von mäjhls nicht mehr ausbeutbar. In diesem sinne wünsche ich euch allen viel spaß mit guhgells scheißideen!

Warum HTML-mäjhl scheiße ist, teil 12122

Wie man als krimineller seine phishing-spämms an den spämmfiltern vorbeibringt? Indem man sie als HTML-mäjhl verfasst, die einen font aus dem web nachlädt, dessen glyphen jeweils anderen zeichen des alfabetes entsprechen, so dass der dargestellte text für die filterprogramme wie sinnlose zeichenfolgen aussieht [link auf einen englischsprachigen text]:

So funkzjoniert es: die seite lädt einen eigenen font, der beispielsweise das „A“ als „E“, „B“ als „H“ und so weiter darstellt. Auf diese weise wird eine primitive verschlüsselung durch ersetzung erzeugt, die sicherheitsprogramme umgeht, die nach bestimmten schlüsselwörtern suchen. Während der softwäjhr nur eine folge zufälliger zeichen vorliegt, sieht der anwender lesbaren text

Wer sich bei benutzung eines unter verbrechern hochbeliebten mediums von seinem kompjuter kein „X“ für ein „U“ vormachen lassen möchte, sollte vielleicht besser eine richtige mäjhlsoftwäjhr wie den thunderbird nehmen — denn dort werden grundsätzlich keine ressourcen ungefragt aus dem web nachgeladen. Und spätestens, wenn man so etwas wie „rvar nxghnyvfvrehat vuerf xbagbf vfg abgjraqvt trjbeqra, ovggr xyvpxra fvr uvre“ liest, ist völlig klar, dass hier jemand trickst und man die spämm einfach löschen kann. Denn das gehirn ist immer noch der beste spämmfilter.

Und der beste schutz gegen phishing bleibt, dass man niemals in eine mäjhl klickt, sondern immer ein lesezeichen seines brausers verwendet. So kann man nicht auf „liebevoll“ von kriminellen nachgemachte webseits gelockt werden.

Auch 2019…

…wird überkomplexe blähsoftwäjhr nicht sicher zu kriegen sein. Aber der tipp, niemals HTML-mäjhls im „thunderbird“ anzeigen zu lassen und damit beinahe alle sicherheitsprobleme zu umgehen, wird vermutlich auch 2019 noch helfen. Gut, dass die ausführung von javascript in mäjhls (noch) standardmäßig abgeschaltet ist!

Security des tages

Jetzt neu, toll und super: banken haben eine neue, gefühlt hochsichere metode gefunden, mäjhls zu verschlüsseln!

Aber keine getränke im mund!

(Wenn PGP nur mit einer frühe strokelsoftwäjhr im alfastadium ginge oder pro damit verschlüsselter und signierter mäjhl geld kosten würde, könnte ich die banken ja verstehen. Aber PGP kostet nix und es gibt Freie softwäjhr dafür.)

Gefühlte sicherheit des tages

Hej, es gibt so viel phishing, was kann man da mal gegen tun? Klar, man könnte seine eigenen mäjhls digital signieren, das kostet nichts und ist einfach. Aber hej, das ist doch viel zu neunziger jahre, wenn man kryptografische signaturen benutzt. Also machen wir es anders: wir plustern DMARC ein bisschen auf, dass die mäjhlsoftwäjhr angewisen wird, ein firmenlogo nachzuladen, das dem anwender dann außerhalb des mäjhltextes präsentiert wird. Natürlich mit einem TLS-ähnlichen verfahren, wisst schon, wegen der sicherheit. Dann wird mäjhl auf einmal und schlagartig viel viel sicherer, denn diese fiesen phisher können weder einfach eine grafik mit einem firmenlogo verwenden, noch werden sie unter missbrauch von punycode oder wasauchimmer ähnliche domäjhns verwenden, noch werden sie dazu imstande sein, das verfahren in ihrem mäjhlsörver zu implementieren…

Und dann erzählen wir unseren kunden, woran sich echte mäjhls von uns erkennen lassen, nämlich an unserem tollen unternehmenslogo. Und schon wird alles viel viel sicherer, oder fühlt sich zumindest so an, ohne dass wir digitale signaturen nach den standards der neunziger jahre verwenden müssen. Und hej, unseren werbern gefällt das auch, schließlich sorgen wir für die präsenz unseres logo innerhalb der desktopumgebungen unserer mäjhlempfänger. Und als dann dem scheißwerbern auch noch gesagt wurde, dass durch das nachladen externer inhalte statistiken darüber möglich sind, wie viele leute wann die legalisierte reklamespämm lesen, brach jubel in allen unternehmen aus.

Nein, das ist keine idee von rummsenden kompetenzgranaten mit einer spezjalexpertensonderkompetenz von mindestens neun Oettinger, das…

Die BIMI-Initiative mit den Mitgliedern Microsoft, Google, Oath (AOL, Yahoo), Comcast, Agari, RP, Valimail und PayPal setzt hier an. Das Ziel lautet schlicht, dass die Oberfläche der E-Mail-Clients authentifizierte Nachrichten mit Markenlogo anzeigt

…hat so viel gewicht, dass die phisher vor lauter vorfreude auf ihre kommenden milljardenabzocken schon ein paar kästen puffbrause¹ bestellt haben. Mann, mann, mann, die idiocracy wird wirklich jeden tag ein bisschen schlimmer.

Leute, benutzt digitale signaturen, wenn ihr euren mäjhlempfängern eine schangse geben wollt, dass sie den absender der mäjhl identifizieren können! Das kostet nichts. Das ist einfach. Softwäjhr ist kostenlos und frei verfügbar. Und außerdem ist verschlüsselung dann kein großer schritt mehr… oh, das ist für guhgell, meikrosoft und die ganzen üblichen verdächtigen ein problem? Ich verstehe.

¹Puffbrause: umgangssprachlich abwertend für schampanjer.

Mäjhlzensur des tages

Ist hier jemand bei web punkt de oder gmx punkt de? Mich überrascht bei den beiden ein gewissen überblockieren gar nicht — denn die haben mich auch schon als spämmer geführt. Aber hej, hauptsache die stinkenden reklamemäjhls von „united internet“ kommen zuverlässig an!

„Cyber cyber“ des tages

Alarm! Alarm! Der russe kommt!!1!

Hackerattacken
BSI warnt vor Angriffen auf Stromnetze

Und hej, wie perfide die „russenhäcker“ schon wieder vorgegangen sind. Die haben doch glatt mäjhl mit schadsoftwäjhranhang versendet!!!elf! Und irgendwelche idjoten, die zum hohn auch noch in ihrem lebenslauf reinschreiben, dass sie sich mit kompjuterzeugs, offißß und internetz auskennen, weils so im bewerbungsratgeber steht, die machen diese anhänge auch noch auf.

Und daraus wird dann ein „häckerangriff“. 😆

Wenn das der maßstab ist, dann wehre ich jeden tag mindestens zwanzig häckerangriffe auf meine persönliche „kritische infrastruktur“ ab, weil ich in mäjhls nicht reinklicke und keine anhänge von mäjhls aufmache. So kann keiner bei mir rumcybern. Dettelbach ist überall.

Anti-kryptografie-FUD des tages

Ich gebe mal weiter an Fefe…

Ich glaube, Fefe meint diesen leserverdummenden und an das „niewoh“ der kompjuterbild erinnernden „kommentar“ des werten herrn scheffredaktörs mit weiterer reklame für dieses „signal„… hej, kommuniziert nur noch unverschlüsselt per mäjhl, weil das sicherer ist, und „sicher“ per tschätt auf euren wischofonen, die oft scheunentorgroße sicherheitslöcher haben… 😦

Wie gründlich ein kopf hohlraumversiegelt sein muss, um so eine scheiße von sich zu geben, kann ich leider nur erahnen.

Übrigens: was wirklich ein problem ist, wird gar nicht benannt: HTML-mäjhl. Niemand braucht HTML in mäjhl. (Wenn der versand eines längeren, stark strukturierten, formatierten dokumentes benötigt wird, kann man es anhängen — es liegt im regelfall sowieso bereits vor.) Die durch HTML-mäjhl eingeführte, zusätzliche und unnütze komplexität hat die fehler erst ermöglicht. Kein wort wird über diese scheiße verloren. Stattdessen: nehmt „signal“, leute… man muss ja fast schon froh darüber sein, dass nicht gleich DE-mäjhl empfohlen wird. *kotz!*

Schade, dass heise immer noch ein bisschen unerträglicher wird.

Und schade, dass es immer noch nicht so weit ist, dass nur werber und spämmer HTML-formatierte mäjhls versenden, denn das würde mir das leben sehr vereinfachen.

Security des tages

Sicherheitslücke in Apple Mail erlaubte Mitlesen verschlüsselter Nachrichten

[…] zwei Lücken, die das Mitlesen und Übertragen der Inhalte von elektronischer Post erlauben, die nach dem S/MIME-Standard verschlüsselt sind

Gut, kann mal passieren. Und was ist passiert?

Ein Mitlesen von S/MIME-Mails war wiederum „aufgrund eines inkonsistenten Nutzerinterfaces“ denkbar, das der Konzern behoben hat, schreibt Apple

Was zum henker! Mittelschwere sicherheitslücken — also zugriff auf den inhalt verschlüsselter mäjhl innerhalb des lokalen netzwerkes — sind denkbar, weil die benutzerschnittstelle inkonsistent ist… kann man den äppelkäufern wirklich mit so einem bullschitt kommen?

Macht hier jemand seine mäjhl mit einem ändräut-wischofon?

Mail-Apps:
Zahlreiche Android-Apps übermitteln Login-Passwort

Natürlich nicht nur an den mäjhlsörver, sondern auch an den hersteller der äpp. Ihr wart ganz heiß auf trojanische äpps und konntet gar nicht genug davon kriegen, und jetzt habt ihr halt kriminelle trojanerfunkzjonen in jeder verdammten äpp auf euren scheißwischofonen. Geliefert wie bestellt!

Trojanische äpp des tages

Auf den wischofonen kann man das ja machen, da sind es die leute ja gewohnt, dass sie überall trojanifiziert, ausgespäht und überwacht werden. Da kann man den leuten eine mäjhlsoftwäjhr andrehen, die in wirklichkeit ein trojaner ist, der die zugangsdaten fürs mäjhlpostfach an den hersteller der äpp sendet. 😯

Ich wünsche euch allen auch weiterhin ganz viel spaß und orwellness mit der überwachungs- und trojanerkultur auf den scheißwischofonen! Habt ja alle nix zu verbergen! Also macht euch immer schön nackig! Die konzerne lieben euch doch alle…

Ich sage es ja immer wieder…

Das wichtigste für die kompjutersicherheit ist nicht irgendein antivirus-schlangenöl, sondern aktuelle softwäjhr und ein aktuelles betrübssystem (weil beseitigte fehler nicht mehr ausgenutzt werden können) und darüber hinaus die verwendung wirksamer adblocker im webbrauser (auch wenn die von stinkenden reklamelügnern bezahlten scheißjornalisten euch das regelmäßig verschweigen und euch stattdessen einen vom schlangenöl erzählen) sowie äußerste vorsicht beim täglichen umgang mit mäjhl.

Oder um es mit heise onlein zu sagen:

Die Schadsoftware Andromeda wird zum einen durch E-Mails verteilt, die schadhafte Links enthalten. Wenn Anwender auf den Link klicken, starten sie den Download eines infizierten Dokuments. Die Nutzer können ihren Rechner aber auch über sogenannte Drive-by-Exploits infizieren. Dabei setzen die Angreifer vor allem manipulierte Werbebanner oder Websites ein

Jene scheißwebseits, die von euch das abschalten von werbeblockern fordern, arbeiten damit der organisierten kriminalität zu und helfen irgendwelchen verbrechern dabei, eure kompjuter zu pwnen.

HTML-formatierte mäjhl ist scheiße

Reine textmäjhls sind besser, wesentlich weniger aufwändig in der erstellung und werden zudem von ihren empfängern häufiger gelesen und beklickt. Ich bin nicht besonders überrascht. Aber ein paar werbelügenheinis und ein paar schlipsträger, die sich nicht einmal die mäjhlsoftwäjhr selbstständig einrichten können, die könnten bei so einer betrachtung aus allen wolken fallen…

Mäjhladressenanbieter des tages

Benutzt hier vielleicht jemand eine mäjhladresse bei outlook (punkt) de oder outlook (punkt) com?

Geht bitte weg von solchen vollidjoten wie meikrosoft, wenn ihr eine mäjhladresse braucht! Es gibt alternativen, die keine solchen kopfschmerzen machen und bei denen an euch gesendete mäjhls nicht einfach ohne vom absender erkennbares anzeichen verschwinden.

Benutzt hier jemand den thunderbird?

[…] wurden neun Sicherheitslücken geschlossen, von denen fünf die höchste Gefahreneinstufung erhalten haben

Hui, speicherbereiche wurden nach der freigabe einfach weiterbenutzt… holt euch bloß schnell die aktuelle versjon, am besten genau jetzt! Die leute, die solche sicherheitslücken ausnutzen, um euch verschlüsselungstrojaner und dergleichen zu installieren, schlafen nämlich nicht.

Übrigens: alle wirklich üblen fehler scheinen in irgendeinem zusammenhang mit HTML-mäjhl und CSS zu stehen. Das ist der grund, weshalb man keine HTML-mäjhl verwendet. (Wenn man ein stark formatiertes dokument versenden will, kann man es auch anhängen.)