Wischofon (und javascript) des tages

Wie kann man einen idjoten mit seinem überteuerten proll- und protz-eifohn richtig ärgern? Einfach einen link hinsenden, der nicht nur den brauser, sondern gleich das ganze telefon abkacken lässt [ich habe das bewusst nicht direkt verlinkt].

Übrigens kann ich diesen link ohne weiteres aufrufen — denn ich erlaube ja nicht jeder dahergelaufenen webseit das ausführen von javascript. Das würde ich auch jedem anderen menschen empfehlen, denn es ist ein wichtiger schutz vor destruktiven und kriminellen brauserhäcks — das addon „noscript“ ist schnell installiert. Das seite unter crashsafari (punkt) com benutzt einfach nur die history-API aus HTML5, um mal eben hunderttausend sinnlose einträge in die brauser-history zu machen.

Warum zum hackenden henker so etwas überhaupt möglich ist? Nun, „moderne“ webseits laden ja nicht einfach wie in der robusten vergangenheit eine neue seite, wenn man irgendwo hinklickt, sondern folgen der idjotischen idee einer „anwendung im brauser“ und laden deshalb über javascript bestimmte teile nach. (Das modewort dafür ist „dynamisch“, weil das ja besser klingt, als klar auszudrücken, dass man jedem dahergelaufenen anonymen gegenüber mit einer webseit im web das ausführen von kohd im brauser ermöglichen soll.) Und weil bei solcher spezjalexpertenprogrammierung natürlich die anzeige in der adressleiste nix mehr mit dem dargestellten inhalt zu tun hat, muss es eine API geben, mit der man beliebige URIs in die history einfügen kann. Wohlgemerkt: um mit dieser schnittstelle mit hohem aufwand genau das nachzubilden, was ein brauser seit zeiten des ollen mosaic mit klassischer herangehensweise ganz von allein gekonnt hätte. Damit der anwender wieder wie gewohnt diese praktischen pfeiltasten am brauser benutzen kann, um vor- und zurückzublättern. Alles andere wäre ja auch aus anwendersicht sehr ungewohnt. Solche kränklichen verrenkungen braucht man eben, wenn man den webbrauser als laufzeitumgebung für javascript-anwendungen benutzt. Das ist übrigens — ich sagte es ja schon — eine idjotische und komplett bescheuerte idee.

HTML5 ist ja so toll und modern und besser als alles andere¹, und ein inni-mini-klitzi-kleines bisschen javascript (nur fünf wohlformatierte zeilen), das diesen frickelscheiß mal eben destruktiv ausbeutet, ist so schnell geschrieben und so verheerend. Ändräut-wischofone werden hübsch heiß, bis man den brauser zumacht, und äppel-wischofone kacken gleich richtig ab und brauchen einen neustart. Wegen eines brauserproblems. Wenn ich das höre, muss ich über die „sicherheit“ von den dingern gar nicht weiter nachdenken.

¹Teilweise wirklich… vieles am markup ist besser geworden, weil man endlich semantische auszeichnungen als navigation, artikel, seitenkopfbereich etc. machen kann und weil ein bisschen entrümpelt wurde. Das war der wünschenswerte teil daran (der mit etwas älteren internetz-exploitern aus naheliegenden fiesheitsgründen natürlich nicht funkzjoniert, aber auch dafür gibt es hübsche, einfache häcks). Die APIs für mediendateien waren ebenfalls wünschenswert, und das DOM ist endlich vereinheitlicht. Vieles andere ist spielkram, gefährlicher spielkram und äußerst fragwürdig. Zum beispiel alles, was versucht, den brauser zu einer laufzeitumgebung für anwendungen zu machen. Ich erwarte wegen dieser ideen mehrere jahre mit kompjutersicherheits-horrormeldungen. Zum glück gibt es einen guten schutz: javascript nicht standardmäßig zulassen.

Träcking des tages

Auf fünfeinhalb prozent der meistbesuchten webseits in der BRD — darunter auch die webseit der deutschen drosselkom — werden die besucher vom betreiber so sehr verachtet, dass klandestin aufwändige träckingtechniken zur eindeutigen identifikazjon des brausers und damit zur seitübergreifenden überwachung des menschen am brauser eingesetzt werden:

Canvas-Fingerprinting macht sich zunutze, dass sich, wenn man die Canvas-API moderner Browser nutzt, subtile Unterschiede beim Rendering desselben Textes ergeben. Diese Unterschiede lassen sich messen und in einen Fingerabdruck umrechnen, mit dem sich der einzelne Browser identifizieren lassen soll

Ich wünsche euch auch weiterhin viel spaß mit eurem HTML5 und eurer datennacktheit vor der reklameindustrie. Wer nicht ganz so nackt sein will, verwendet mindestens noscript, was die meisten derartigen tricks unmöglich macht. Übrigens werden die meisten webseits viel genießbarer, wenn man die javascriptkacke ausgeschaltet hat — und die paar seits, die einem ohne javascript nix interessantes zu sagen haben, die haben auch mit javascript meist nix interessantes zu sagen.

Ach ja, übrigens: angsichts der technischen brutalität, mit der solche angriffe der reklameindustrie auf die privatsfäre vorgetragen werden, ist die verwendung eines adblockers mittlerweile ein reiner akt der selbstverteidigung. Wer keinen adblocker verwendet, der ist auch zu doof zum weglaufen, wenn ihm ein gäng brutaler schlägertypen nachstellt.

Nachtrag: Ich habe mal die kommentarfunkzjon bei heise onlein benutzt

Guhgell!

Ich finde das echt toll von dir, dass deine tolle suchseite mit opera 12.16 nicht mehr funkzjoniert. (Die akzjonsknöpfe zum starten der suche unter dem eingabefeld gehen nicht mehr.) Hey, wie zum henker bekommt man es hin, eine einfache HTML-FORM so mit 100 kibibyte geskripte zu verbasteln, dass sie mit einem brauser nicht meht benutzbar ist? Da muss einer deiner spezjalexperten wirklich lange dran geproggt haben, um diesen tollen, nutzerverachtenden effekt zu erzielen. Ist das jetzt gegen deine von der NSA diktierte firmenp’litik, wenn die leute den letzten brauser benutzen, dessen rendering-kohd nicht aus den USA kommt und der nicht so leicht von US-diensten kontrolliert werden kann? Gut, guhgell, dass es alternativen zu dir gibt. Selbst das ebenfalls stark verbastelte suchbingens von meikrosoft funkzjoniert problemlos, im gegensatz zu deiner rottigen, nach verwesung stinkenden HTML5-javascript-kackscheiße. Friss daten und erstick dran, und dann geh sterben, guhgell!

(Tipp für genervte, die nicht auf guhgell verzichten wollen: natürlich geht das schnellsuche-feld von opera noch.)

„Browser-Fingerprinting“

Ah, schau an! Es scheint, als würde inzwischen ein erklecklicher anteil der leute nicht mehr einfach jedes „cookie“ annehmen, also müssen sich die träcking- und reklamefritzen einen anderen weg einfallen lassen. Wer einen eindruck davon bekommen möchte, wie gut die erkennung des brausers auf diese weise funkzjoniert, kann sich zum beispiel einmal die demonstrazjon bei der EFF anschauen.

Abhilfe gegen diese techniken ist relativ einfach. Informazjonen, die über den referer, den user-agent des brausers (und damit versjon des brausers und des betriebssystems), die akzeptierten dokumentformate und die liste der bevorzugten sprachen hinausgehen, lassen sich beinahe nur mit javascript ermitteln, dies gilt insbesondere für die bildschirmauflösung, die installierten schriftarten und die installierten plackins. Wer javascript nur auf webseits erlaubt, auf denen er das für sinnvoll hält — beim „firefox“ zum beispiel mit dem NoScript-plackin, und bei opera durch generelles abschalten und explizites zulassen in den seitenspezifischen einstellungen — kann auf diese weise nicht mehr sicher identifiziert werden. Die jeden tag mit gewalt die tür zur privatsfäre einrennenden scheiß-reklameheinis kriegen es irgendwann doch noch hin, dass viele menschen für diese temen sensibilisiert werden! Und das ist sehr gut. Denn mit genau den gleichen vorgehensweisen, mit denen man seine privatsfähre schützt, erschwert man auch kriminellen kräckern das übernehmen des kompjuters durch ausnutzen von brauser-problemen — mit dem einzigen schaden, dass die feuchten kommerz- und unterhaltungsträume unter dem namen HTML5 nicht mehr möglich sind.

Noch sicherer gegen dieses träcking wäre das zwischenschalten eines lokal installierten proxy-sörvers, der HTML-header und angeforderte inhalte modifiziert, um träcking-kohd und verräterische informazjonen zu entfernen. Das ist aber zurzeit noch nicht trivial aufzusetzen. Relativ einfach lässt sich „privoxy“ ein bisschen anpassen, da schon vieles in richtung schutz der privatsfähre konfiguriert ist.

Wir können schon froh sein…

Wir können schon froh sein, dass wir die anfänge des internetzes mitbekommen haben, die nicht nur von der geldmacherei geprägt wurden. Wenn klitschen wie äppel, guhgell und meikrosoft ihre kwasimonopol-muskeln spielen lassen, kann man schon am horizont das kommende internetz sehen: lauter eingezäunte angebote, in die nur noch jemand reinschauen kann oder darf, der die richtige äpp auf dem richtigen bevormundenden und enteignenden wischodingsda verwendet — und niemand von den ganzen freiheitsamputierten zeitgenossen wird mehr etwas schlimmes daran finden, ist ja alles so schön bunt hier. Und dieses web, das wird wohl langsam ausgeknipst… (wegen des terrors, des geistigen eigentums oder sonstigem bullschitt).

Das waren noch zeiten, als inhalte an programme ausgeliefert wurden, die das verwendete protokoll beherrschten, weil es um inhalte ging und nicht ums geschäftemachen!