Das Ende einer Ära

Ich nutze privat ein T61 und im Office ein T440s. Mit beiden Notebooks bin ich wirklich, wirklich, wirklich mehr als zufrieden, beeindruckende Hardware. Alles drin und dran, robust, performant, ausdauernd, kompakt. Doch eins zeichnete sich bei diesem Generationsverlauf bereits ab: konnte man am T61 noch schrauben wie ein Blöder (Stichwort “Frankenpad“), reduzierten sich die möglichen Eingriffe mit jeder nachfolgenden Thinkpad-Generation gradatim. Die Thinkpads von heute sind bei weitem nicht mehr die Thinkpads von gestern, keine Frage. Dennoch bekommt man nach wie vor solide Hardware, sofern Geld keine Rolle spielt und man gewillt ist abstruse Mondpreise zu zahlen.

Vor gut 10 Jahren verkaufte IBM die PC-Sparte an den chinesischen Hersteller Lenovo. Das bestreben der Kommunisten nach Zensur und Regulierung in puncto Meinungsfreiheit waren bereits damals weitgehend bekannt, dass dunkle Wolken am Horizont aufziehen würden nur eine Frage der Zeit…

Eure Dummheit kotzt mich an

Erst ein paar Tage ist es her, dass die Meldung Facebook würde Whatsapp kaufen wie eine Bombe einschlug. Was zum verdammten Henker ist so überraschend daran, dass ein Konzern mal wieder ein Startup für einen völlig unsinnig utopischen Betrag vom Markt nimmt?

Und jetzt kriegen alle Panik … „Whoohoo, unsere kostbaren Daten, wechselt schnell zu <foo>“

Es gibt zwei Grundregeln die so verdammt einfach sind, dass sogar ihr Facebook-Vollidioten sie kapieren könnt:

ad 1) never ever trust your fuckin smartphone!
ad 2) if you're not payin for it, you're not the customer, you're the product being sold!

Die Frage die man sich halt immer stellen muss: wieviel kostet der Versand einer Nachricht beim Dienst xy? Wenn das nichts kostet, wer bezahlt dann Server, Wartung, Personal? Richtich… immernoch wir, nur nicht mit Geld sondern die zum Einsatz kommende Währung nennt sich „Freiheit“. Und mit jeder Message büßen wir ein klein wenig mehr davon ein.

An all die Flachpfeifen die jetzt zu Threema, Line, Whistle.im, Telegram oder weiß der Geier was wechseln: ihr könnt im Grunde auch bei Whatsapp bleiben. Erstens reduziert das eure Aufwände und zweitens sind closed source Apps auf iPhone's per Definition unsecure. Selbst wenn die Apps vernünftig verschlüsseln schützt das maximal vor Script-Kiddies bei Starbucks, aber eben gerade nicht vorm Staat und schon gleich gar nicht vor detaillierter Auswertung eurer Kommunikation.

Wer wert auf Privatsphäre legt kommt beim instant messaging im Moment an Jabber mit OTR nicht vorbei, von mir aus mittels ChatSecure. Diese Lösung erfordert zeitgleiche uptime beider User, das ist doof, ja, aber so funktioniert halt OTR. Wem das zu kackiwurst ist muss eben auf heml.is warten.

Das Ende ist nah und euch allen ist nicht mehr zu helfen…

Update 22.04.2015:

Auf heml.is zu warten macht wohl doch keinen Sinn :)
https://netzpolitik.org/2015/burn-crowdfunding-money-burn-heml-is-wird-niemals-fertig/

Fightback

Als Wikipedia noch in den Kinderschuhen steckte ließ ich mich dazu hinreißen Inhalte zu pflegen und wenigstens jährlich eine Spende abzudrücken. Dann kamen die Exkludisten auf und verboten der Menschheit Wissen in einer freien Enzyklopädie zu sammeln. Seit dem bin ich nur noch lesender Nutzer. Unterdessen sammelt die Wikimedia Foundation tonnenweise Geld ein und ist dennoch gewillt mir maßlos auf die Eier zu gehen mit einem Spendenaufruf der nerviger kaum sein könnte. Gemeint ist der Banner on top, der erst verzögert eingeblendet wird und anschließend den eigentlichen Artikel nach unten scrollen lässt.

Durch die Blockade folgender beider Skripte mittels AdBlock Plus wird man diesen Nervkram los:

https://bits.wikimedia.org/geoiplookup
https://geoiplookup.wikimedia.org/

Das ist ein ugly Workaround, der schlicht schnell ging. Bleibt die Frage über was ein ausbleibender Banner mit fehlenden Geo-Daten zu tun hat. Und mal ganz abgesehen davon … was hat WP meine Location zu interessieren?

Firefox RC4-Tweak

https ist gut, das wissen wir. Zumindest ist es besser als http ohne SSL. Doch etliche Websites setzen auf RC4 als kryptografischen Algorithmus. Beispielsweise verwendet Amazon RC4 mit 128 Bit. Der Vorteil von RC4 liegt klar in dessen Geschwindigkeit (für den Endanwender allerdings kaum bis gar nicht spürbar), doch gleichermaßen gilt dieser Standard mittlerweile als veraltet und nicht mehr sicher, die klare Empfehlung: nach Möglichkeit vermeiden.

Um Firefox die Verwendung von RC4 zu untersagen öffnen wir about:config in einem neuen Tab, suchen nach RC4 und setzen die folgenden Einstellungen mittels Doppelklick von true auf false:

security.ssl3.ecdh_ecdsa_rc4_128_sha
security.ssl3.ecdh_rsa_rc4_128_sha
security.ssl3.ecdhe_ecdsa_rc4_128_sha
security.ssl3.ecdhe_rsa_rc4_128_sha
security.ssl3.rsa_rc4_128_md5
security.ssl3.rsa_rc4_128_sha

Anschließend ist es notwendig den Browser neu zu starten und siehe da, beim erneuten ansurfen von Amazon findet der SSL-Algorithmus AES-128 Verwendung.

Update 09.11.13:

Bietet ein Webserver ausschließlich RC4 an wird es durch oben angeführte Config unmöglich dessen Pages anzusurfen. Um zu prüfen welche Algorithmen von einem Anbieter bereitgestellt werden, empfiehlt sich folgendes:

bash$ sslscan --no-failed duckduckgo.com | grep Accepted
    Accepted  SSLv3  256 bits  AES256-SHA
    Accepted  SSLv3  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  SSLv3  128 bits  AES128-SHA
    Accepted  SSLv3  128 bits  CAMELLIA128-SHA
    Accepted  SSLv3  128 bits  ECDHE-RSA-RC4-SHA
    Accepted  SSLv3  128 bits  RC4-SHA
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  128 bits  ECDHE-RSA-AES128-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLSv1  128 bits  CAMELLIA128-SHA
    Accepted  TLSv1  128 bits  ECDHE-RSA-RC4-SHA
    Accepted  TLSv1  128 bits  RC4-SHA

Taucht hier nur RC4 auf … schlecht. Dann gibts da nur 2 Möglichkeiten: Entweder die Website meiden oder RC4 im Browser wieder aktivieren.

TOR ist tot

Als nonplusultra zum anonymen surfen im Web wurde bisweilen TOR auf Platz 1 genannt. Dieses Tool ist diese Woche allerdings zum dritten mal dabei, bitte nicht wiederwählen!

Rund 80% aller Tor-Nutzer ließen sich schon nach 6 Monaten Betrieb eines mittleren Tor-Relays deanonymsieren. Wenn ein Angreifer den kompletten Verkehr eines Teilbereichs des Internet – etwa in Form eines Autonomous Systems (AS) oder eines Internet Exchange Points (IXP) – kontrolliert, müssen Tor-Nutzer mit einer 95-prozentigen Gefahr rechnen, dass ihre Identität innerhalb von drei Monaten aufgedeckt wird. Mehr Ressourcen unter Kontrolle des Überwachers beschleunigen den Vorgang.

Source: http://heise.de/-1949449

Da die NSA ihre Technik zum monitoren & knacken nicht selbst bezahlt, sondern dies der amerikanische Steuerzahler übernimmt, spielt Geld wahrscheinlich keine Rolle. Wir dürfen also davon ausgehen, dass das bis dato gern genutzte Argument „Crypto so sehr aufblähen, dass Attacken zu aufwändig werden“ nur noch äußerst bedingt greift.

Die Haltung des Aggressors: wer TOR benutzt macht sich per se verdächtig, denn offensichtlich hat er etwas zu verbergen. Demnach würde es mich nicht verwundern, wenn die Cowboys da mal richtig investiert haben und etliche Nodes betreiben.

Fraglich inwiefern JAP der TU Dresden oder I2P die sinnvolleren Alternativen sind:

Was kann Mozilla eigentlich?

Was ich letztens noch als Feature im Firefox anpries, nämlich die Suchmaschine über die Adresszeile seinen persönlichen Bedürfnissen anzupassen, ist im kürzlich erschienenen Release v23 des Browsers nicht mehr möglich einzusetzen. Offenbar wurde die Verwendung der hidden preference keyword.URL in diesem Sinne seitens der Entwickler als Bug betrachtet. Dies geht zumindest aus folgenden beiden Links hervor:

Das führt zu dem sehr unschönen Verhalten, dass Firefox für die Suche in der Adresszeile ab sofort die Suchmaschine verwendet, welche in der Suchleiste eingestellt ist. Ein Dual-Use unterschiedlicher Maschinen ist nicht mehr umsetzbar, in meinen Augen verliert die Suchleiste damit komplett ihren Sinn, doch das tut hier nichts zur Sache. Die Frage ist, wie gehen wir damit um?


Except where otherwise noted, content on this blog is licensed under CreativeCommons BY SA 3.0