Wischofon des tages

Die Galaxy-Smartphones laden Updates über eine ungesicherte HTTP-Verbindung

Und zur steigerung des genusses: das geschieht automatisch. Es gibt keine möglichkeit, das zu vermeiden. Das kann jederzeit passieren, wenn man irgendein irgendwo verfügbares WLAN nimmt. Und weil so ein wischofon „smart“ ist und seinen besitzer gängelt und enteignet, kann man die softwäjhr, die für diese scheiße verantwortlich ist, auch nicht einfach deinstallieren. Wo kämen wir da auch hin, wenn menschen auf kompjutern nur die softwäjhr laufen lassen würden, die sie dort laufen lassen wollen… das wäre ja fast würdevoll… nee, das geht aus wirtschaftlich-p’litischen gründen nicht.

Und richtige kompjutersicherheit… ach, das war samsung zu teuer, dafür jemanden zu fragen (und zu bezahlen), der sich damit auch auskennt:

Zwar überprüft die Keyboard-Software den SHA1-Hash der heruntergeladenen Datei; die Information, welcher Hash zu erwarten ist, holt sie sich vor dem Download allerdings ebenfalls im Klartext aus dem Netz

Bwahahahaha!

Ich wünsche euch auch weiterhin viel spaß mit euren smartdingern, in denen sich die kompjutersicherheits-blauäugigkeit der neunziger jahre mit der technisch versierten und in der metodik gnadenlosen internetz-kriminalität der zehner jahre verbindet!

Stell dir mal vor…

Stell dir mal vor, du bietest den leuten einen webbrauser an, der kein HTTP mehr kann… tja, ähm, wisst schon, wegen der sicherheit:

So sei es denkbar, unsicheren Webseiten weiterhin CSS und andere Rendering-Funktionen zu erlauben, aber den Zugriff auf neue Hardwarefunktionen zu beschränken

Hej, mozilla-projekt: ihr habt schon mitbekommen, dass sogar irgendwelche 08/15-spämmer, die sich ihr adressmaterial für identitätsmissbräuche beschaffen, dafür seit über einem jahr auch TLS-zertifikate verwenden. Weil auch ihr den leuten immer sagt, dieses schlösschen da im brauser, das sagt nicht „verschlüsselte verbindung, die kein dritter aus dem internetz mitlesen kann“, sondern „sicherheit“ und „du kannst dieser webseit eines völlig unbekannten, der sich mithilfe einer missbrauchten identität ein TLS-zertifikat besorgt hat, vertrauen, ja, so sehr vertrauen, dass diese webseit direkt auf teile der hardwäjhr deines kompjuter zugreifen darf“.

Mozilla-projekt: auch ihr arbeitet den kriminellen mit solchen scheißideen zu und ihr verschafft der organisierten kriminalität ihre einkünfte. Das ist dumm. Und TLS ist schon lange hoffnungslos kaputt.

Firefox (und TLS) des tages

Das Sicherheits-Feature „opportunistic encryption“ kann missbraucht werden, um die Sicherheit von SSL/TLS-Verbindungen zu untergraben und wurde wieder entfernt

Übrigens, was heise nicht schreibt: diese OE-scheiße (opportunistic encryption, lest euch einfach mal drüber schlau) wurde verbaut, um die verkomplizierung des HTT-protokolls namens HTTP2 vorzubereiten. Bei HTTP2 haben sie ja nicht den kopfdatenapparat verschlankt, obwohl das eine gute gelegenheit gewesen wäre, sondern sogar noch ein bisschen aufgepolstert, und dabei kann ein websörver dem client in einer HTTP-headerzeile mitteilen, dass es eine angeforderte resuhrße auch TLS-verschlüsselt gibt — und dieser teil von HTTP2 wurde (von meikrosoft, guhgell und vergleichbaren schergen und analstöpseln der weltüberwacher) mit voller absicht so entworfen, dass es keine autentifizierung gibt; es können also einfach selbstsignierte zertifikate genutzt werden, weil sie vom brauser nicht überprüft werden. Der große „vorteil“ dieser tollen idee: endlich kann man irgendwann ein blinke blinke schlösschen für eine „sichere verbindung“ bei bestimmten inhalten anzeigen, obwohl eine man-in-the-middle-attacke (also vor allem etwas auf der ebene der proweider und damit der polizeien und geheimdienste) möglich ist. Tja, und wenn der feierfox diesen security-müll für „normales“ TLS nimmt, dann fliegt den leuten halt die ganze TLS-scheinsicherheit um die ohren.

Auch weiterhin viel spaß mit dem feierfox!

TLS (das, was läuft, wenns in der adresszeile des brausers mit https: anfängt) ist übrigens gefickt. Lange schon. Und es wird schlimmer. Schaut aufs schlösschen, fühlt euch sicher, guckt die bilder, werdet doof!

„Do-Not-Track“ des tages

Könnt ihr euch noch dran erinnern, dass sie ins HTT-protokoll eine neue kopfzeile „Do not track“ eingefügt haben, mit der der brauser mitteilen kann, dass nicht geträckt werden soll? Und an den ganzen sturm im wasserglas, der daran hing, als auf einmal einige brauserprojekte dieses dings standardmäßig aktivierten, also das träcking und die pseudonymisierte oder personalisierte datensammelei zu etwas machten, dem ein mensch explizit und bewusst zustimmen muss, statt irgendwo in den einstellungen seines brauser ein häkchen zu suchen, dass der brauser sagt, dass es unerwünscht ist. Und daran, dass der ganz scheiß auch noch nutzlos war, weil sich ja niemand dran halten muss, was der brauser da an wünschen übermittelt. Das war ganz großes kino im vorstellungssaal „gefühlter datenschutz“…

Echter datenschutz sieht übrigens so aus, dass man javascript abstellt¹ und keine site-übergreifenden cookies annimmt. Letzteres dient wirklich nur zur nutzerüberwachung durch reklame-klitschen und kann global abgestellt werden — hallo feierfox, das wäre mal eine gute standardeinstellung! Ach, das mit banknoten wedelnde guhgell will das nicht, ich verstehe… 😦 — ersteres erleichtert man sich mit einem addon wie „no script“, um schnell seine zwanzig ausnahmen setzen zu können. Wer noch fauler ist oder einfach mal sehen möchte, wie schlimm der seit-überspannende träcking- und überwachungswahnsinn durch irgendwelche klitschen ohne seriöses geschäftsmodell mittlerweile geworden ist, installiere sich das addon „ghostery“.

Warum ich das alles nochmal schreibe? Wegen „Yahoo“. Wenn der brauser zu irgendwas von „Yahoo“ sagt, dass nicht geträckt werden soll, dann antwortet „Yahoo“ auf diesen wunsch mit einem klaren FUCK YOU in richtung seiner nutzer. Oder, um Yahoo zu zitieren:

Die Privatsphäre unserer User ist und bleibt von hoher Priorität für uns.

*göbel!*

Mit den träckern und datensammlern — und ich sage, dass das nicht nur für Yahoo gilt, sondern für alle diese widerlichen und letztlich menschenfeindlichen unternehmen, die kein seriöses geschäftsmodell haben und deshalb ans geld durch reklame auf grundlage einer datensammlung glauben — ist kein frieden möglich. Da helfen keine standards. Da hilft nur das abschalten der träckingmöglichkeiten. Je öfter, desto besser!

(Und nein, ich habe nichts dagegen, wenn menschen explizit und aufgeklärt zustimmen, dass sie geträckt werden. Dies geschieht meiner meinung nach nicht durch die häufigste lüge im gesamten internet: das häkchen im kästchen vor „ich habe die nutzungsbedingungen gelesen und bin damit einverstanden“. Ich habe was gegen das heimliche, unsichtbare ausspähen durch unternehmen ohne seriöses geschäftsmodell. Und etwas gegen ihre pseudoverträge, deren 30 kilobyte 8-punkt-augenpulver in abstoßender, unerfreulicher juraprosa niemals jemand liest geschweige denn auf anhieb versteht. Wer mit solchen mitteln vorgeht, ist eigentlich nur noch ein arschloch.)

¹Javascript wird ausgiebig zum träcking verwendet, gerade in der scheiß-reklame, die überall eingebettet ist. Es ist mit javascript möglich, informazjonen über die installierten addons, die auf dem rechner verfügbaren schriftarten und dergleichen zu bekommen, was eine spätere wiedererkennung des brausers — und damit des nutzers — auch oft dann möglich macht, wenn die cookies nach jeder sitzung gelöscht werden. Eine demonstrazjon, wie weit das geht, hat die EFF ins web gestellt. Inwieweit die persistenten speichermöglichkeiten von HTML5 schon zum träcking eingesetzt werden, hab ich mir noch nicht angeschaut, aber auch hier hilft die abschaltung von javascript. Eine etwas fernliegende träcking-möglichkeit ist der brauser-cache. Beim abruf einer datei, die schon in diesem zwischenspeicher ist, übermittelt der brauser den zeitpunkt, zu dem er die datei empfangen hat, und erhält darauf meistens die antwort, dass die datei noch aktuell ist. Sörverseitig könnten die von einer IP-adresse übermittelten zeitpunkte zu einem pseudonymen profil zusammengesetzt werden, das wiedererkennung ermöglicht. Ich weiß nicht, ob jemand diesen aufwand treibt, aber den datensammlern traue ich alles zu. Regelmäßiges leeren des cache schließt auch dieses kleine türchen. Ach ja, und den fettesten träcker, datensammler und werber des web, guhgell, sollte man nicht gerade als suchmaschine nutzen…

Konqueror!

KDE-Brauser 'Konqueror' mit einer fehlermeldung: 'Die Aktion lässt sich nicht ausführen. Das Protokoll http kann nicht initialisiert werden. Technische Ursache: Prozess kann nicht gestartet werden.'

Früher, als ich noch ein bisschen jünger war, da konnten die brauser einfach so HTTP. Das muss daran liegen, dass es ihre grundfunkzjon war, das protokoll des webs zu „sprechen“. Heute ist alles besser und alles wird viel besser und sehr modular programmiert… und ich schüttle immer wieder einmal den kopf und ziehe dabei eine grimasse zwischen schmerz und grinsen; und wenn meine mischen aus lachen und grunzen dabei ein wörtlein formen will, ist es nur eines: „Warum?!“

Gut, dass es noch brauser gibt, die im web brausen können. 😀