Nutzt hier jemand „ghostery“…

Nutzt hier etwa noch jemand „ghostery“ als brauser-addon, um seine privatsfäre zu schützen? Das war schon lange eine schlechte idee, aber jetzt gehört es „cliqz“ und damit dem burda-verlag, die gerade erst erfolgreich darauf hingearbeitet haben, dass der beliebte feierfox-brauser zur distribuzjonsplattform für schadsoftwäjhr gemacht wird. Passt also gut auf, dass euch bei künftigen aktualisierungen keine grenzkriminellen trojaner mit in den brauser gemacht werden, und von eurer privatsfäre könnt ihr euch auch mal gepflegt verabschieden. Presseverleger in der BRD bedeutet: legalisierter datenhandel, der keinerlei zustimmung durch die davon betroffenen menschen braucht und damit legalisiertes zusammentragen von deanonymisierbaren nutzungsprofilen aus diversen kwellen. Einmal ganz davon abgesehen, dass nichts in der BRD das internetz so richtig übel und nachhaltig kaputtgemacht hat wie die nach scheiße stinkenden scheißpresseverleger: durch das lobbyistisch errungene, so genannte „leistungsschutzrecht für presseverleger“ und durch die lobbyistisch in den dunkelkammern des reichstages durchgesetze löschpflicht für längst teuer bezahlte gebührenfinanzierte inhalte von ARD und ZDF.

Meine dringende empfehlung: ghostery sofort deinstallieren! Wer eine vergleichbar einfach zu verwendende alternative braucht oder haben möchte, nehme einfach den privacy badger! Aber auf keinen fall den kohd von leuten, die aus beliebten webbrausern schadsoftwäjhr-schleudern machen!

Stirb, scheißpresse, stirb! Verrecke, verleger, verrecke!

DE-mäjhl-nachfolger fertiggestellt!

E-Mail-Verschlüsselung für jedermann:
Volksverschlüsselung steht bereit

Einmal ganz davon abgesehen, dass sichere kryptografie für jedermann in form von PGP und thunderbird-addons wie enigmail schon lange bereit steht, ohne dass sich ein kwasistaatsbetrieb des überwachungsstaates DD… ähm… BRD unserer erbarmt: vor dem verschlüsseln muss man erstmal schön datenmäßig die hosen runterlassen! Juchu! Endlich ein internetzausweis! Wäre ja auch voll kacke, wenn man in die „verschlüsselung“ nicht eine überwachungstechnik einbauen würde. In diesem zusammenhang bitte ich auch um nochmalige beachtung dessen, was ich schon im märz über diese krüpplografie geschrieben habe. Auch diesmal gilt die gleiche anmerkung:

Der private Schlüssel verbleibt dem Fraunhofer SIT zufolge zu jedem Zeitpunkt in den Händen des Nutzers

Entscheidend ist, dass der private schlüssel exklusiv in den händen des nutzers bleibt — und gut wäre es, wenn man dafür nicht einer zusicherung eines BRD-kwasistaatsbetriebes glauben müsste.

Danke @skynet@quitter.is!

„Volxverschlüsselung“ und krüpplografie des tages

Könnt ihr euch noch an diesen bullschitt von fraunhofer, an diese geradezu bildzeitungsmäßig angepriesene „volxverschlüsselung“ mit dem ganz besonders windigen verfahren zur schlüsselerzeugung, erinnern?

Das dingens ist jetzt „open source“. Jedenfalls behaupten die PR-lügner vom fraunhofer-institut das, obwohl das dingens eben nicht offen und schon gar nicht frei ist, aber deshalb sind PR-lügner ja auch PR-lügner:

In einer E-Mail erklärt das SIT darüber hinaus: „Es gibt noch keine Entscheidung zur genauen Lizenzart.“ Da die Volksverschlüsselung bereits seit mehr als einem Jahr in Entwicklung ist und damit beworben wird, künftig als Open Source zur Verfügung zu stehen, wirkt dies eher irritierend

Lasst euch nicht verarschen, leute! Die so genannte „volxverschlüsselung“ ist DE-mäjhl 2.0 und enthält mit an sicherheit grenzender wahrscheinlichkeit eine eingebaute hintertür für den staatlichen lauschangriff und noch schlimmere attacken.

Krüpplografie des tages

Fraunhofer beginnt Registrierung für Volksverschlüsselung

Klingt ja fast schon, als ob die bildzeitung kryptografie anböte.

Na ja, wenn wir jetzt schon völkische parteien in diversen landtagen haben, warum nicht auch ein bisschen völkische krüpplografie? :mrgreen:

Dabei können sich Privat-Anwender gegen Vorlage eines Personalausweises oder Reisepasses eine Karte mit einer zwölfstelligen Nummer abholen. Mit dieser Kennung soll sich der kryptografisches Schlüssel aus der Volksverschlüsselungs-Anwendung generieren lassen, wenn der Dienst angeboten wird

Juchu! Endlich ein internetzausweis! Und hej, da wird ein krüpplografischer schlüssel aus einer anwendung heraus generiert, wenn man eine nummer für seinen personaljenausweis gezogen hat? Und zwar aus einer anwendung, die nur unter meikrosoft windohs läuft und mutmaßlich nicht kwelloffen ist? Das klingt ja nach einem total sicheren verfahren!!ölf!!!1!

Ich verrate euch jetzt mal ein großes geheimnis der kryptografie: die ist immer so sicher, wie ihr den schlüssel exklusiv besitzt. Sobald jemand anders ebenfalls den schlüssel besitzt — zum beispiel der korrupte polizeibeamte, der euch aus hinterfotzigkeit gerichtsfest ein verbrechen unterjubeln will oder der braune inlandsgeheimdienstler, der ein vorgeschobenen anderen täter für seine taten zur förderung des neuen nazjonalsozjalismus in der BRD braucht — kann dieser andere eure mäjhl lesen und in eurem namen kryptografisch signiert mäjhl verfassen, die bei forensischer untersuchung dann so aussieht, als wäre sie jenseits jedes vernünftigen zweifels von euch verfasst worden und euch in den knast oder (bei so erwecktem terrorverdacht) auch mal vor das mündungsfeuer einer GSG-9-einheit bringen kann. Und was passiert, wenn sich verbrecher des verfahrens bemächtigen können und in eurem namen bankkonten eröffnen oder verträge schließen, könnt ihr euch hoffentlich vorstellen. Es ist scheißegal, ob so etwas an sich sicheres wie PGP oder S/MIME genommen wird, wenn jemand anders an euren schlüssel kommen kann, ists mit der sicherheit vorbei.

Um euch noch ein bisschen sand in die augen zu streuen, haben die professjonellen lügner auch einen tollen blendsatz in ihre PResseerklärung geschrieben:

Der private Schlüssel soll dem Fraunhofer SIT zufolge zu jedem Zeitpunkt in den Händen des Nutzers bleiben

Warum „blendsatz“? Weil ein wichtiges wort fehlt, so dass ein zwar toll klingender satz, aber leider auch einer ohne wirklich aussage übriggeblieben ist. Welches wort ist es, das da fehlt? Das wort „exklusiv“ ist es, was da fehlt. Kryptografie ist nur sicher, wenn ihr den schüssel nicht nur in den händen habt, sondern wenn ihr die einzigen seid, die den schlüssel in den händen haben. Alles andere ist krüpplografie und höchst gefährlich. Die tatsache, dass die tolle volxkrüpplografie-anwendung nicht einfach im kwelltext veröffentlicht wird, so dass sich interessierte dransetzen können und eine versjon für andere betrübssysteme draus machen können, belegt in meinen augen, dass es sich um die höchst gefährliche variante handelt, gefördert vom gleichen scheißstaat BRD, der euch auch in eurer gesamten internetz- und telefonkommunikazjon anlasslos totalüberwacht (und das in einem akt der intelligenzverachtung gegenüber seinen bewohnern als „vorratsdatenspeicherung“ bezeichnet).

Von daher sage ich das gleiche, was ich auch für die krüpplografie-totgeburt mit hintertür, dieses DE-mäjhl, gesagt habe: finger weg! Wenn ihr richtige kryptografie braucht: GnuPG ist kwelloffen, Frei und steht unter jedem betrübssystem zur verfügung — und ist dabei so sicher, dass sich Edward Snowden mit seinen NSA-innenkenntnissen darauf verlassen hat.

Lasst euch kein krypto-schlangenöl andrehen! Schon gar nicht von solchen staatsnahen läden wie der scheiß-telekom und dem fraunhofer-institut. Die sind nämlich beidesamt nicht vertrauenswürdig, sondern ganz im gegenteil; und sie tun in dieser sache bislang nichts, was kontrollmöglichkeiten an die stelle von vertrauen setzen würde.

Dank auch an heise onlein, die so einen unkwalifizierten presseerklärungsrotz ohne die spur einer relativierung wiedergeben.

Firefox 37 erstmal nicht installieren: sicherheitswarnung!

Es ist möglich, dass der feierfox 37 (die aktuelle versjon), der mich gestern erst zu einem ganz langen und bitteren rant motiviert hat, ein relativ großes privatsfären- und sicherheitsproblem hat.

Wer sich — zur abwehr von träcking, als datenschutzmaßname bei gemeinsam genutzten rechnern oder klapprechnern, die verloren gehen können — seinen feierfox so eingestellt hat, dass die cookies nach dem beenden des feierfox gelöscht werden, sollte sich unbedingt davon vergewissern, dass das noch funkzjoniert.

Es gibt zurzeit mindestens einen bericht, dass der feierfox sich beim löschen der cookies nicht mehr wie eingestellt und angezeigt verhält, sondern die cookies behält.

Und das scheint nicht das einzige problem für privatsfäre und datensicherheit im aktuellen feierfox zu sein. Da es zurzeit noch kein schweres sicherheitsproblem für feierfox 36.x gibt, empfehle ich dringend, mit dem update so lange zu warten, bis derartige fehler behoben sind (oder bis sich geklärt hat, dass derartige fehler andere ursachen haben).

Übrigens wird lt. oben verlinktem text vom feierfox 37 auch eine wichtige einstellung gegen seit-übergreifendes träcking auf die gleiche weise ignoriert: wenn eingestellt wurde, dass keine cookies von drittanbietern akzeptiert werden sollen. Wenn das stimmt, werden menschen gegen ihren in brausereinstellungen geäußerten willen an eine reklamewirtschaft verhökert, die seit-übergreifendes und damit tief in die privatsfäre eindringendes träcking betreibt.

Bitte überprüft das selbst! (Ich will den feierfox 37 zurzeit nicht einmal in einer virtuellen maschine sehen.) Wenn ihrs verifizieren könnt, bitte an andere weitersagen. In meinen augen sind das schwerwiegende probleme, vor allem, weil anwendern über den einstellungsdialog eine sicherheit vorgegaukelt wird, die gar nicht besteht.

Windohs-pätschday: erstmal finger weg! (Oder ists panda?)

Wichtiger nachtrag: es war das antivirus-schlangenöl „panda“, nicht die pätsches für windohs. Der alte text bleibt hier rein aus archivgründen stehen…

Meikrosoft flickt mal wieder an seinem windohs herum und beseitigt ein paar üble fehler.

Aber vorsicht: ich habe es jetzt zweimal mit windows sieben erlebt, einmal mit einem „home premium“ und einmal mit „ultimate“, dass windohs zwar hochfuhr und einen anmeldebildschirm zeigte, so dass sich der nutzer anmelden kann. Danach gabs aber einen zerschossenen desktop (keine symbole, kein hintergrundbild, schönes, beruhigendes schwarz mit mauszeiger drauf) und ganz viele messageboxen mit fehlermeldungen von programmen, die im hintergrund gestartet werden sollten und DLLs nicht mehr laden konnten. Beim versuch, ein programm wie… sagen wir mal… den feierfox zu starten, um im internetz hilfe zu finden, gibts eine fehlermeldung, dass das programm nicht existiert und die frage, ob die verknüpfung gelöscht werden soll…

Oder kurz gesagt: das ding ist zumindest manchmal gefährlich. Die beiden zerschossenen rechner hatten „panda free antivirus“ als antivirus-schlangenöl, und es kann gut sein, dass es daran liegt, zumals dort auch im supportforum angemerkt wird, dass diese probleme nach einem start im abgesicherten modus und einer deinstallazjon behoben sind. Tja, so ist das eben mit gefährlichem schlangenöl, das (fast) nix nützt und manchmal den kompjuter unbrauchbar macht.

Wer gerade derartige probleme hat und sich nicht selbst zu helfen weiß: bitte nicht gleich den rechner neuaufsetzen, sondern jemanden um hilfe bitten, der mit den knappen worten im letzten absatz etwas anfangen kann — oder nach einer schritt-für-schritt-anleitung suchen, wie man solche probleme bewältigt.

Und ach ja: dass die stuxnet-„lücke“ nicht vollständig geschlossen wurde, sondern so lange offen blieb, bis meikrosoft seinen kumpels bei den horch- und morddiensten der USA eine andere hintertür aufgemacht hat, zeigt jedem, der das gras waxen hört, für wie vertrauenswürdig ein unter windohs laufender rechner gehalten werden muss.

Effektiv, zuverlässig, einfach zu nutzen

Wie gut, dass es so tolle sicherheitssoftwäre wie das wördpress-addon „WordPress BulletProof Security“ gibt. Einfach installieren, einmal klick klick durchkonfigurieren und gut, so das versprechen. Und da draußen laufen massenhaft leute rum, die an solche versprechungen glauben. Die werden sich demnächst vielleicht über den möglichen XSS-angriff, die SQL-injection und die möglichkeit, den websörver für abfragen externer datenbanken zu „benutzen“ freuen.

Aber jetzt die gute nachricht für nutzer: die fehler sind in der aktuellen versjon gefixt. Und das aktualisieren geht ja klick klick, also los! Eine gewisse skepsis gegen das versprechen einfach zu erzielender sörversicherheit zu entwickeln, wäre aber auch angebracht.

Adobe, hackts bei euch! (Sehr wichtiger hinweis!)

Was zum hackenden henker habt ihr euch bei dieser beglückungsidee in eurem „flash“ gedacht?

Bildschirmfoto 'peer-assisted networking panel' aus den einstellungen des 'flash-player' von adobe

Ihr macht es tatsächlich und ohne die spur einer kommunikazjon zu einer standardeinstellung, dass jede dahergelaufene seite im internetz ein kleines „flash“-element einbetten kann, das dann meinen (und nicht nur meinen) rechner dazu verwendet, ohne meine ausdrückliche kontrolle irgendwelche dateien anderer leute im internetz zu verteilen?

Wer hat euch ins gehirn gekackt?

Muss über euren tollen trojanischen mechanismus denn wirklich erst jemand… sagen wir mal: pornografische darstellungen sexuellen kindesmissbrauches… im internetz verbreiten; müssen wirklich erst einmal ein paar tausend alles in allem harmlose brauser-nutzer mit entsprechenden ermittlungen der staatsanwaltschaften konfrontiert werden, weil dieses material über ihre IP-adresse lief, bis euch auf einmal auffällt, dass das eine absolute scheißidee war? Oder auch mal nicht-lizenzierte kopien urheberrechtlich geschützter werke? Zum beispiel, indem manipulierte „flash“-reklame über einen gepwnten reklamesörver ausgeliefert wird? Oder indem ein winziges, unsichtbares „flash“-teil in eine gehäckte seite eingebettet wird? Muss es wirklich erst zu ein paar handvoll fehlurteilen irgendwelcher technisch unkundiger richter (der normalfall in der BRD) in solchen sachen kommen, die für die betroffenen entweder teuer sind oder gar mit einer verknastung für kinderpornografie enden, bis euch auffällt, dass ihr bei der herstellung eines ausgesprochen wichtigen plugins auch ein bisschen verantwortung habt? Oder macht ihr euch solche gedanken gar nicht mehr, weil euch eh alles scheißegal ist?

Nein, mich betrifft das von euch geschaffene problem nicht. Ich konfiguriere meine brauser so, dass ich erstmal reinklicken muss, bis ein „flash“-applikazjönchen überhaupt aktiv wird. Es betrifft ausschließlich die unkundigen und naiven, die nicht damit rechnen können, dass sie von euch, von Adobe, einen trojaner untergejubelt kriegen — den sie auf vielen, vor allem unterhaltsamen webseits brauchen. Denen sind natürlich auch die brausereinstellungen viel zu „kompliziert“ und sie haben angst, dass sie mit ein paar klicks ihre kompjuter kaputt machen.

Bislang habe ich „flash“ immer wertneutral als eine technik betrachtet, mit der sich allerhand anfangen lässt, sogar gutes, wenn man nicht gerade ein reklameheini ist. Aber mit dieser tollen idee habt ihr den „flash-player“ in einen trojaner verwandelt und auf milljonen kompjutern installiert. Das war wirklich saudoof und so gedankenlos, dass ich zweifel daran bekomme, ob man überhaupt noch softwäjhr von adobe benutzen sollte.

Wer keine lust hat, sich demnächst mit staatsanwälten wegen kriminellen missbrauchs seines internetzzugangs und mit anwaltsbüros wegen zivilrechtlicher ansprüche wegen kriminellen missbrauchs seines internetzzungangs auseinanderzusetzen, gehe bitte hier lang und klicke auf die tscheckbox vor „P2P-Uplink für alle deaktivieren“. Sollte sich die funkzjon als fehlerhaft erweisen und dennoch eine nutzung durch kriminelle möglich sein, hat man wenigstens seiner sorgfaltspflicht genüge getan.

Natürlich via Fefe, aber mein zorn über diese trojanifizierung von „flash“ durch adobe ist meiner…

-Wall -pedantic

Wie, was ist das denn für eine warnung?! Meint der kompeiler wirklich, dass eine stringkonstante in ISO-C maximal 509 zeichen haben darf?! 509! Eine krummere zahl könnte man sich kaum ausdenken…

(Ja, ich kann mir denken, dass es sich wohl um insgesamt 511 reservierte bytes handelt und dass irgendjemand gedacht hat, dass es hübsch wäre, wenn die ersten beiden bytes auch noch die länge der zeichenkette angeben. 511 ist schließlich eine „glattere“ zahl, eben einer weniger als 29, das, was man beim häcken als glatte zahl empfindet.)

Testeintrag

Dies ist nur ein testeintrag, ich plage mich gerade mit dem plackinn „ScribeFire“ für den bloatfox herum. Dabei will ich natürlich auch sehen, ob das hochladen von bildern klappt…

Technik, die funkzjoniert, kann so schön sein…

Wichtiger Nachtrag: Das plackinn ist grundsätzlich benutzbar, wenn es auch ein paar fröhliche javascript-fehlermeldungen beim veröffentlichen anzeigt. Aber ich werde es dennoch nicht benutzen, da es die folgende kleine hinzufügung…

<div class="zemanta-pixie">
<img class="zemanta-pixie-img"
src="http://img.zemanta.com/pixy.gif?x-id=24783458-63b5-83e1-adcf-16d064ce5ab2"
alt="" /></div>

…einfach und ungefragt an den blogeintrag dranklatscht. Es handelt sich um eine unsichtbare GIF-grafik, über die auf dem oben in der URL sichtbaren sörver die über „ScribeFire“ gemachten einträge geträckt werden, und dass einem so etwas einfach zusammen mit einer eindeutigen ID untergemogelt werden soll, finde ich schon ein bisschen frech.

Von daher ist meine empfehlung an andere: finger weg davon! Auch, wenn sich hinter einem solchen mechanismus nur die unendliche gier nach immer mehr statistik verbirgt, das stille unterjubeln einer versteckten träcking-funkzjon ist untragbar. Mir reichen die Schäubles dieser welt, da brauche ich nicht auch noch so einen mutmaßlich kommerziell orientierten träcker. Auch andere kann ich davor nur warnen.

Ende der mitteilung.