Sie sind hier: Startseite Blog

Blog

Kurzanalyse disconnect.me

Noch ein Add-on, das verspricht, Werbung und Tracking zu blockieren. Leider durchgefallen.

disconnect.me ist eines der vielen Tools, die Werbung und Tracking blockieren. Für eine Vortrag habe ich untersucht, wie es im Vergleich zu anderen Tools abschneidet. Aber auch ohne Vergleich ist es bereits durchgefallen. Ich kann nur davon abraten. Hier die Kurzanalyse:

  1. Die GUI ist m.E. nicht intuitiv: Oben gibt es eine Liste mit den Logos von "Common Tracking sites" Facebook, google und twitter. Daneben ein Zahl - wahrscheinlich die Zahl der blockierten Elemente. Ob das wirklich blockiert ist, kann man nur ahnen.
  2. Weshalb man diese drei "common tracking sites" besonders hervorheben muss, ist mir schleierhaft. Das macht sie nur noch bekannter.
  3. Sobald man auf dies Logos klickt, bekommt man keine Infos, sondern das Blockieren wird ausgeschaltet. Hmpf.
  4. "google-analytics" wird nicht unter "analyics" als blockiert gelistet, sondern hinter diesen Logos.
  5. Es gibt ein Checkbox "Secure Wifi" -- was völlig irreführend ist un in falsche Sicherheit wiegt. Laut Beschreibung "erzwingt es Verschlüsselung wo möglich", entspricht also HTTPS-Everywhere. Aber mit dieser Beschriftung macht man unbedarften weiß, dass ihr Wifi "sicher" ist - was schlicht und einfach nicht stimmt.
  6. Außerdem prahlt das Tools damit, um wieviel schneller die Seite geladen würde -- darum geht es nicht.

Achso, und der Werbefilter könnte auch besser sein :-)

 

12.02.2014 10:04

1. Platz bei Google - ganz ohne SEO :-)

Für mich beginnt das neue Jahr mit einer netten Überraschung

Heute hat mir jemand eine Mail geschickt, nachdem er mich über die Google-Suche nach "IT-Security Experte" an erster Stelle gefunden hat (siehe Screenshot). Wow, das haut mich um und muss es gleich los werden :-) Dabei mache ich noch nicht einmal SEO. (Mein Trick ist allerdings, in vielen Mailinglisten zu schreiben und in der Signatur auf meine Blogposts zu verlinken.)

03.01.2014 00:00

Kritik an change.org: Datensammler

Die Petitionsplattform change.org nimmt es mit dem Datenschutz nicht so genau.

Eine Plattform, um Petitionen zu erstellen, ist was Tolles – sollte man meinen. Irgendwie verbinde ich damit "Bürgerrechte", und damit auch Informationelles Selbstbestimmungsrecht, keine Datensammlung, etc.

Bei change.org war mir schon aufgestoßen, da die google-analytics verwenden. Sie liefern ihre Besucher als der Profil-Sammel-Krake Google aus – obwohl es mit piwik eine gute Alternative gibt.

Nun hat sich Michael Ebeling mal die Datenschutzbedingungen angeschaut: http://www.devianzen.de/2013/08/30/warum-ich-change-org-nicht-mag/. Mein Resümee daraus: Finger weg, Datensammler!

06.12.2013 16:11

NSA-Advent vom AK Vorratsdatenspeicherung

Jeden Tag ein neues Zitat rund um den NSA-Skandal

Die Adresse lautet: http://nsa-advent.de/

02.12.2013 09:28

Passwort-Richtlinien bei DHL vergrätzen User

Ein richtig schlechtes Beispiel für Passwort-Richtlinien für Endkunden gibt es bei den Packstationen. Und die deuten auf Sicherheitsprobleme im Hintergrund hin und behindern Sicherheitsbewusste.

Ja, Passwort-Richtlinien solle dafür sorgen, dass die Passwörter sicher sind. Und ja, es ist gut, wenn ein Unternehmen nur "sichere" Passwörter zulässt.

Ein Beispiel, wie man es nicht machen soll, liefert dagegen die Deutsche Post mit ihrer Marke DHL und der Packstation. Wer sich unter paket.de anmelden will, wird mit folgender Passwort-Richtlinie drangsaliert (siehe Bild):

  • Mindestens 8 Zeichen
  • Maximal 13 Zeichen
  • Gültige Zeichen (Buchstaben, Zahlen, !§&/()=?*+-_)
  • Mindestens einen Groß und Kleinbuchstaben
  • Mindestens eine Zahl (nicht am Anfang)

Das klingt erst einmal gut, treibt aber diejenigen in den Wahnsinn, die einen Passwort-Manager verwenden und sich damit Passwörter erzeugen lassen:

  • Weshalb maximal 13 Zeichen? Längere Passwörter sind bekanntermaßen sicherer. Und wenn das Passwort als Hash gespeichert wird – wie es Stand der Technik ist –, dann ist die Eingabelänge ziemlich egal. Bei mir entsteht so der Eindruck, dass das Passwort womöglich nicht als Hash gespeichert wird, sondern nur verschleiert oder gar im Klartext. das wäre peinlich!
  • Weshalb sind so wenige Sonderzeichen zulässig? Wenn nur Umlaute verboten währen, könnten ich das noch einigermaßen verstehen (aber auch nicht wirklich), denn damit könnte es Encoding-Probleme geben. Aber dass noch nicht einmal der Zeichenvorrat von ASCII erlaubt ist, ist eine unnötige Einschränkung. Hier habe ich den Eindruck, dass die Entwickler ihrer Software nicht trauen.
  • Weshalb darf die Zahl nicht an Anfang stehen? Das verhindert zwar simple Passwörter wie "7Zwerge", aber nicht das ebenso simple "Zwerge7". Meine Einschätzung dazu: ziemlich unsinnig.

Fazit: Sicherheitsvorgaben sind sinnvoll, keine Frage. Allerdings dürfen sie den Benutzern nicht über Gebühr im Wege stehen. Wenn man sich – wie bei dieser DHL-Seite – wegen der schrägen Passwortvorgaben zig-mal ein neues Passwort überlegen muss, bis es endlich akzeptiert wird, verlieren Viele die Lust und wählen dann halt eine simplere und unsicherere Variante. "Zwerge7x" wäre eine.

P.S.: keepass kommt bei dieser Passwort-Regel auf gerade mal 81 Bit Entropie.

21.11.2013 15:04

I found a severe parsing error in nanoxml

nanoxml is a well know and widespread XML parser. Eleven years after the last release I fixed a severe parsing error.

17.11.2013 14:57

Universal Surveillance Justification Generator

Erzeugt Begründungen, egal für welche Überwachungsmasche

15.11.2013 15:32

PGP für Mails nutzen

Nachdem ich nun schon ein paar mal gefragt wurde, wie man denn einen PGP-Key erzeugt und wie man das für Outlook bzw. Thunderbird installiert, hier der Versuch einer Antwort.

Thunderbird unter Linux:

  1. Über die Paketverwaltung der Distribution das Paket "thunderbird-enigmail" installieren (der Name ist evtl. ein anderer, wichtig ist "enigmail"). Die benötigte Software (insb. gnupg) wird automatisch mit installiert.
  2. Thunderbird starten und nach dieser Anleitung ein Schlüsselpaar erzeugen, innerhalb Thunderbird.. Wer GUI-Tools außerhalb Thunderbird nutzen will: Ich kenne kgpg und kleopatra.
  3. Schlüssel auf einem Key-Server veröffentlichen: Per Rechtsklick auf den Schlüssel und dann "Auf Schlüsselserver hochladen ..."
  4. Weiter Tipps unter http://www.thunderbird-mail.de/wiki/Enigmail_OpenPGP


Thunderbird unter Windows:

  1. http://www.gpg4win.org/ manuell installieren. Wer eine schlanke Installation möchte: es wird nur die Hauptkomponente benötigt.
  2. Enigmail in Thunderbird über den Add-ons-Manager installieren.
  3. Nach dieser Anleitung ein Schlüsselpaar erzeugen, innerhalb Thunderbird.
  4. Schlüssel auf einem Key-Server veröffentlichen: Per Rechtsklick auf den Schlüssel und dann "Auf Schlüsselserver hochladen ..."
  5. Weiter Tipps unter https://www.enigmail.net/documentation/quickstart-ch1.php#id2532629 und http://www.thunderbird-mail.de/wiki/Enigmail_OpenPGP


Outlook unter Windows

  1. http://www.gpg4win.org/ manuell installieren. Das Outlook-Plugin GpgOL muss mit installiert werden.
  2. Nach dieser Anleitung ein Schlüsselpaar erzeugen, mit dem Tool "Kleopatra".
  3. Schlüssel auf einem Key-Server veröffentlichen: http://gpg4win.de/handbuecher/einsteiger_9.html
  4. "Das mitgelieferte Outlook-Plugin GpgOL ermöglicht E-Mails direkt in Microsoft Outlook zu signieren und zu verschlüsseln." Wie genau möge bitte jemand anderes ergänzen.

Wem diese Stichpunkte nicht genügen, dem hilft vielleicht http://digitalcourage.de/support/digitale-selbstverteidigung weiter.

14.11.2013 21:25

Unternehmer gegen Vorratsdatenspeicherung

CDU/CSU und SPD verhandeln über eine Große Koalition. Da musste ich als Unternehmer Stellung beziehen – vor Ort, mit den Freunden von digitalcourage.

31.10.2013 21:00

Quelltext für Tolino Shine

Beinahe hätte ich eine Kampagne gegen den deutschen Buchhandel lostreten müssen. Aber nach zwei Monaten habe ich den Kernel für den e-Book-Reader "tolino shine" doch noch offiziell bekommen.

Den Slogan hatte ich mir schon ausgedacht: "Deutscher Buchhandel missachtet Urheberrecht".

Nun brauche ich den doch nicht, denn der Source wurde inzwischen veröffentlicht – allerdings gut versteckt unter "Technische Daten".

23.10.2013 19:35

(0) Kommentare