Kategorien
Blog

Heimat?

„Aber Du kommst nicht von da.“
„Nö.“
„Und woher?“
„…“

Diesen oder einen ähnlichen Dialog führe ich in den Büros dieser Gegend immer mal wieder. Ich stamme nicht aus Stuttgart. Aber woher denn dann?

Geboren wurde ich in Neumünster in Schleswig-Holstein, und da habe ich auch meine ersten fünf Jahre verbracht. Aber schon meine Eltern waren nur wegen der Arbeit dorthin gezogen und zogen aus demselben Grund auch wieder da weg, drum habe ich heute keine emotionale Beziehung mehr dorthin.

Dann habe ich zwei Jahre in Warburg in Südostwestfalen gewohnt. Aus der Gegend stammen meine Eltern, und wir haben dort auch einige Verwandte. Ich ging da in die erste Klasse, aber es war schon von vornherein klar, dass wir nicht auf Dauer bleiben würden. Trotzdem habe ich dahin schon eine engere Verbindung.

Ab der zweiten Klasse bis zu meinem dreißigsten Lebensjahr wohnte ich dann in Oberbayern — erst in Grafing bei München (ja, das heißt wirklich so), dann in Aßling im Landkreis Ebersberg und schließlich in München. Die Gewöhnung war anfangs schwierig: bei den Kindern der bayerischen Provinz ist man als „Saupreiß“ nicht besonders willkommen. Durch fortgesetzten Aufenthalt in Bayern habe ich mich aber ganz gut eingelebt. So weit und so lang, dass es sogar meine Sprachfärbung deutlich beeinflusst hat (aber nicht genug, um das, was ich spreche, „Bairisch“ zu nennen). Richtig Heimat ist mir aber auch Bayern nie geworden, immerhin habe ich auf dem kleinen Dorf bei Aßling festgestellt, dass ich kein Dorfbewohner bin sondern eher Stadtmensch.

Als mein Arbeitgeber in München sich vor neun Jahren auflöste, verschlug es mich durch Kontakte aus den Projekten nach Stuttgart. Dadurch bin ich auf direktem Wege vom „Zuagroaßten“ zum „Neigschmeckten“ geworden. Bayern und Schwaben haben gemeinsam, dass sie Neuankömmlingen gegenüber nicht eben aufgeschlossen sind. Deshalb habe ich hier hauptsächlich Kontakt mit ebenfalls Zugereisten. Schwabe werde ich also wohl auch nicht mehr werden. Unsere beiden Kinder hingegen sind hier geboren und wachsen auch hier auf und bringen aus Kindergarten und Schule schwäbische Ausdrücke mit nach hause. Wenn wir lang genug da bleiben, dann wird es für sie vielleicht zur Heimat.

Meine Eltern sind nach der Pensionierung meines Vaters wieder nach Warburg gezogen — zurück in ihre Heimat.

Aber wo ist dann meine Heimat? Ehrlich gesagt: ich weiß es nicht. Eigentlich habe ich so etwas gar nicht, und die meiste Zeit vermisse ich das auch nicht. Nur manchmal, wenn ich nach meinen Ursprüngen gefragt werde, oder wenn ich mich selbst frage, wohin ich eigentlich ohne all die anderen Zwänge des Lebens gehen würde, dann kann ich darauf keine richtige Antwort geben.

(Dies ist mein Beitrag zur Blogparade „Was ist Eure Heimat?“ von Katja Wenk (@katjazwitschert).)

Kategorien
Blog

Wir wollen von Rivva gelesen werden

Diese Woche tritt das unselige Leistungsschutzrecht für Presserverlage in Kraft. Es verbietet Suchmaschinen und Aggregatoren, (auch kleine) Ausschnitte aus Presseerzeugnissen ohne Genehmigung der Verlage wiederzugeben. Die Verlage hatten gehofft, damit von den großen Suchmaschinen Geld bekommen zu können. Doch Google hat es sich einfach gemacht, und lässt sich von den Verlagen eine zukünftige kostenlose Nutzung bestätigen — andernfalls würden ihre Webseiten nicht mehr in den Suchergebnissen auf Google News erscheinen. Ich gehe im Moment davon aus, dass kein Verlag — auch keiner der Befürworter des Leistungsschutzrechts — darauf verzichten möchte und dass daher alle zähneknirschend eingewilligt haben werden. Leider haben die anderen Aggregatoren keine so große Marktmacht, und so trifft das Gesetz jetzt den, für den es sich die Verlage gewünscht hatten am wenigsten.

Rivva lässt konsequenterweise die Snippets verschwinden. In den Kommentaren zu dem entsprechenden Artikel erklären jetzt massenweise Blogger und andere Seitenbetreiber ein explizites Opt-In. Das ist nett (und der Zuspruch wird Frank Westphal vermutlich auch freuen), aber wirklich nützlich ist es nur, wenn der Rivva-Bot ein solches Opt-In beim Lesen der Seite sehen kann. Auch auf den Gedanken bin ich natürlich nicht allein gekommen, und so tauchen — ebenfalls in den Kommentaren — bereits zwei unterschiedliche Implementierungen auf.

Felix Schwenzel (@diplix) schlägt


<meta name="rivva" content="Allow: *"/>

in der Seite vor, @herzi schlägt eine Erweiterung der robots.txt vor:


User-agent: Rivva
X-allow-snippets: true

Das ganze kann nur wirklich funktionieren, wenn wir uns einigen, drum habe ich mir die Spezifikationen der beiden Methoden kurz angesehen und mache auf dieser Basis hier einen dritten Vorschlag. 😉

Vorschlag:

In Anlehnung an Googles nosnippet-Direktive würde ich in robots.txt und in den Robots-Meta-Tags eine snippet-Direktive einbauen. Das würde keinen der aktuellen Parser verwirren, denn sowohl in HTML-Meta-Tags als auch in robots.txt soll der Parser laut Spezifikation unbekannte Direktiven ignorieren. Das würde dann so aussehen:

<meta name="rivva" content="index,follow,snippet"/>

bzw.


user-agent: rivva
allow: /
snippet: /

Snippets könnten damit natürlich auch für weitere (oder alle) Crawler freigegeben werden. Was meint Ihr?

Und wichtiger: kann der Rivva-Bot so etwas (in absehbarer Zukunft) berücksichtigen?

Kategorien
Blog

ironblogger.de und Leetchi

In dieser Woche bin ich hier noch nicht zum Bloggen gekommen, dafür habe ich drüben auf ironblogger.de einige neue Seiten angelegt. Dabei ist insbesondere eine Erklärung dazugekommen, was Leetchi uns Iron Bloggern anbietet. Der Text dieser Seite kam dankenswerterweise direkt von Leetchi (und das Artikelbild hier stammt auch von Leetchi). Dank geht an Kathrin, die sich um den Kontakt gekümmert hat.

Jetzt muss ich diese Bezahlmethode nur noch für Stuttgart an den Start kriegen.

Kategorien
Blog

Aktion: Zeig mir Deinen Key Fingerprint

Das ist jetzt erstmal der letzte Artikel zur Mailverschlüsselung, dann kümmere ich mich wieder um was anderes. Versprochen!

In dem Erklärbärartikel letzte Woche schrieb ich über die Identitätsprüfung im Web Of Trust:

Dazu muss über einen zweiten Kanal (der so sicher wie möglich nicht unter der Kontrolle des MITM [„Man in the Middle“] steht, am besten also ein persönliches Treffen) der sogenannte Fingerabdruck des Schlüssels miteinander verglichen werden.

Persönliche Treffen sind leider selten. Trotzdem weiß ich bei vielen von Euch, wie ihr ausseht. Ich schlage daher vor, dass wir als „zweiten Kanal“ uns alle mal mit unseren PGP-Key-Fingerprints fotografieren, und die Bilder an möglichst vielen Stellen veröffentlichen.

7383 4d64 1725 fb40  f474 5cd7 78e6 a8fa e80d

Das sieht dann ein wenig so aus wie die Bilder von Entführten mit aktueller Tageszeitung und verleiht der Verschlüsselungssache auch gleich einen leichten Guerillatouch. 😉

An je mehr unterschiedlichen Stellen derselbe Fingerabdruck zu sehen ist — am besten noch auf verschiedenen Bildern, desto unwahrscheinlicher ist, dass der „Man in the Middle“ die Bilder verfälscht hat. Mein Bild gibt es daher auch auf instagram und flickr.

Schickt mir weiter Eure PGP-Schlüssel, zeigt mir Eure Fingerprints und taggt sie mit „KeyFingerprint“!

Kategorien
Blog

Kryptographie ist schwierig

In den letzten Tagen ist viel über die Arroganz derer geschrieben worden, die jetzt Verschlüsselung empfehlen. Das gipfelte in Artikeln wie diesem von Friedemann Karig, der sich dazu versteigt, die Verschlüsselung zu einer der Ursachen der Überwachung zu erklären:

Die Hackerkaste, die jetzt auf Cryptopartys den DJ gibt und sich ganz avantgardistisch und clever vorkommt, leistet der Überwachung indirekt Vorschub, indem sie sich ihr publikumswirksam entzieht. Es ist die ewige Dialektik des Informationswettrennens. Und wenn wir mithecheln, statt “Stopp!” zu rufen, sind wir mit dafür verantwortlich.

Das, mit Verlaub, ist Quark. Verschlüsselung ist, wie Frank Rieger sagt, eher „[…] wie Wohnungstür abschließen. Wäre schön wenn unnötig, leider meistenorts notwendig“

Es waren aber auch vernünftige Argumente zu lesen wie z.B. bei Martin Pittenauer (aka @map):

Das eigentliche Problem: Niemand will die wirklich harte Arbeit machen. Sichere Kommunikation, die intuitiv benutzbar ist. Angefangen bei den Konzepten, bis hin zur UI. Vielleicht sogar transparent. Stattdessen machen wir Vorträge zu GPG, die nur uns helfen uns prometheisch zu fühlen.

Damit hat er mindestens teilweise recht. Und weil irgendwer irgendwo ja mal anfangen muss, versuche ich jetzt mal, die Konzepte hinter der gängigen Mailverschlüsselung zu erklären.

Wie? Was?

Wir wollen eMails verschlüsseln. Das tun wir, weil die sonst in jedem Zwischenschritt vom Betreiber des Servers mitgelesen und auch an andere Leute weitergegeben werden können. Diese Form von Angriffen heißt Man-in-the-middle-attack (aber es gibt noch einige andere Varianten davon), und damit hat der Bösewicht in unserem Szenario einen Namen: MITM.

Zeichensalat

Mailverschlüsselung ist üblicherweise sogenannte asymmetrische Kryptographie. Das bedeutet, dass der Schlüssel aus zwei Komponenten besteht, einen öffentlichen und einen privaten Teil. Die sind jeweils Blöcke von Zeichensalat, mit denen mathematische Operationen durchgeführt werden können (irgendwas mit Primzahlen, aber darum geht es jetzt gar nicht), auf deren Basis zwei Hauptfunktionen zur Verfügung stehen:

  • Daten mit dem öffentlichen Schlüssel so verschlüsseln, dass sie mit dem privaten Schlüssel wieder entschlüsselt werden können.
  • Mit Daten und dem privaten Schlüssel eine Prüfsumme erzeugen, die mit dem öffentlichen Schlüssel überprüft werden kann, so dass garantiert ist, dass die Daten nicht mehr verändert worden sind. Das ist die sogenannte kryptographische Signatur.

Mit passender Software in meinem Mailprogramm kann ich jetzt, wenn ich den öffentlichen Schlüssel des Empfängers habe, eine Mail schicken, in der der MITM nur Zeichensalat sieht. Außerdem kann ich Mails (verschlüsselte und unverschlüsselte) so verschicken, dass ihr Inhalt nachweislich nicht mehr verändert worden ist, seit sie mit meinem privaten Schlüssel unterschrieben wurden. Wenn der Empfänger auch meinen öffentlichen Schlüssel hat, dann kann er das überprüfen. So weit, so einfach.

Vertrauen und Kontrolle

Einen größeren Knoten im Kopf erzeugt schon der zweite Aspekt: das Vertrauen in die Echtheit der Schlüssel. Die ganze Verschlüsselung ist nämlich komplett nutzlos, wenn es dem MITM gelingt, mir für meinen Kommunikationspartner einen anderen öffentlichen Schlüssel unterzuschieben. Dann kann er nämlich die Nachrichten bei sich entschlüsseln, lesen und mit dem echten Schlüssel wieder verschlüsseln. Das ist dann nur noch so sicher wie De-Mail (SCNR — 😉 ).

Gut, dass wir ja eine Möglichkeit haben, Daten zu unterschreiben. Der öffentliche Schlüssel wird also zur Bestätigung seiner Echtheit einfach mit einem anderen privaten Schlüssel unterschrieben. Dabei gibt es zwei verschiedene Ansätze,  wem dieser private Schlüssel denn gehört. Jedes mit seinen eigenen Vor- und Nachteilen.

Der Zentralistisch-Hierarchischer Ansatz

Die erste Variante arbeitet mit einer Liste von vertrauenswürdigen Zertifizierungsstellen (CA). Die öffentlichen Schlüssel der Zertifizierungsstellen sind auf Euren Rechnern schon hinterlegt, so dass die Identität des Zertifikats sofort überprüft werden kann. Wer (initial) auf die Liste der „Vertrauenswürdigen“ kommt, entscheiden Betriebssystem- und/oder Browserhersteller.

Und genau da liegt auch das Problem: nicht jede dieser Zertifizierungsstellen hat das in sie gesetzte Vertrauen tatsächlich verdient; immer wieder sind besorgniserregende Geschichten zu lesen, und wer mal einen Blick in die Liste wirft, wie sie im Moment z.B. mit Windows ausgeliefert wird, sieht dort Verisign, Microsoft und die Deutsche Telekom (überhaupt die großen Telekommunikationsunternehmen der meisten Technologieländer) friedlich neben Behörden wie dem Finnischen Personenregister (VRK).

Vertrauenswürdig, soso.

Es gibt also allen Grund zu der Annahme, dass staatliche Stellen der verschiedensten Länder keine Probleme hätten, sich für jeden von uns auszugeben.

Zusätzlich verlangen die meisten der CAs eine  jährliche Gebühr dafür, dass sie die Identität überprüfen und bestätigen (es geht aber auch kostenlos).

Diesen Ansatz verfolgt X.509, das für TLS (also z.B. https) und S/MIME verwendet wird. Das ist wiederum sein großer Vorteil, denn S/MIME beherrschen die meisten Mailprogramme, sogar auf Telefonen, ohne Zusatzsoftware.

Das Web Of Trust

Bei der zweiten Variante wird auf zentrale Stellen verzichtet. Stattdessen kann jeder Schlüsselinhaber den Schlüssel eines anderen Schlüsselinhabers unterschreiben, wenn er hinreichend davon überzeugt ist, dass Schlüssel und Identität zusammengehören. Dazu muss über einen zweiten Kanal (der so sicher wie möglich nicht unter der Kontrolle des MITM steht, am besten also ein persönliches Treffen) der sogenannte Fingerabdruck des Schlüssels miteinander verglichen werden. Ist alles in Ordnung, so kann auch ich den Schlüssel unterschreiben und mit meiner Unterschrift öffentlich zur Verfügung stellen.

Sind erst einmal einige der Schlüssel im eigenen Schlüsselbund verifiziert, erlaubt ein einstellbares „Vertrauen“ mit einem Punktesystem, zukünftig auch Schlüssel ohne persönlichen Kontakt automatisch als echt anzuerkennen, wenn sie von genügend vertrauenswürdigen Benutzern verifiziert worden sind.

dentaku@nyx:~$ gpg --list-sigs --fingerprint A8FAE80D
pub   4096R/A8FAE80D 2013-02-17 [expires: 2018-02-16]
      Key fingerprint = 7383 4D64 1725 FB40 B119  F474 5CD7 78E6 A8FA E80D
uid                  Thomas Renger (Dentaku) <dentaku@wazong.de>
sig 3        A8FAE80D 2013-02-17  Thomas Renger (Dentaku) <dentaku@wazong.de>
sig 3        6752A51F 2013-07-11  Sven Schoengarth <sven.schoengarth@gmx.net>
sub   4096R/A0CFC2A5 2013-02-17 [expires: 2018-02-16]
sig          A8FAE80D 2013-02-17  Thomas Renger (Dentaku) <dentaku@wazong.de>

Das ist so kompliziert, wie es klingt, befreit aber von der Pflicht, irgendwelchen unkontrollierbaren Unternehmen und Behörden zu vertrauen (siehe oben).

Diesen Ansatz verfolgt PGP / GnuPG, und er ist auch der Grund für die im Moment zahlreich stattfindenden CryptoPartys.

Und was ist jetzt das Problem?

So, und jetzt ist die Aufgabe, für diese Operationen ein benutzbares User Interface zu bauen. Alles, was mit Kryptographie zu tun hat, ist im Moment nämlich hässlich und benutzerfeindlich. Zum Beweis habe ich hier ein Bild von gestern, auf dem zwei gestandene Nerds ratlos vor GPGTools sitzen (Foto: @baranek):

Das muss doch, warum geht das, ach...

Da ich aber ein „typischer“ Entwickler bin, muss ich an der Stelle passen. Denn uns darf man das User Interface nie machen lassen, wenn normale Leute damit klar kommen sollen (zur Verdeutlichung: das oben abgebildete Problem habe ich schließlich gelöst, indem ich auf die Kommandozeile ausgewichen bin).

Kategorien
Blog

keygen

Ich muss Abbitte leisten, denn ich habe Unsinn erzählt. Da und da.

Ich habe gemutmaßt, günstige CAs wie StartSSL würden bei der Erzeugung der X.509-Client-Zertifikate sowohl den öffentlichen als auch den privaten Teil des Schlüssels auf ihrem Server erzeugen und dann dem Benutzer zur Verfügung stellen. Das hätte bedeutet, dass sie selbst — oder irgendwelche Strafverfolgungsbehörden, die sich den privaten Schlüssel  mit irgendwelchen Gerichtsbeschlüssen besorgt hätten — später meine verschlüsselten Mails hätten entschlüsseln können.

In Wirklichkeit funktioniert das ganz anders: das schöne HTML5-Tag <keygen> weist den Browser an, den Schlüssel lokal zu erzeugen und nur den CSR zur Zertifizierungsstelle zu schicken — so, wie es gedacht ist. Außer natürlich beim Internet Explorer, der kann das nicht.

Ich revidiere also meine Meinung: lasst Euch bei StartSSL (oder einem ähnlichen Anbieter) ein X.509-Zertifikat ausstellen, dann könnt Ihr Eure Mails mit S/MIME verschlüsseln und signieren.

Kategorien
Blog

Neun!

Seit neun Jahren schreibe ich jetzt hier rein.

In der Zeit habe ich 767 Artikel geschrieben, 1792 Fotos veröffentlicht und 26694 Statusmeldungen, 578 Mugshots und 486 Linkempfehlungen automatisch importiert. Ihr habt 530 Kommentare abgegeben (und ich 334).

Einmal habe ich in der Zeit den Server gewechselt und alles umgezogen. Vier mal habe ich das Design der Seite umgekrempelt, und eine neue Version wäre schon lang mal wieder fällig — aber man kommt ja zu nichts.

So, das war’s mit den internen Mitteilungen, weiter im Programm.

Kategorien
Blog

Schlüsseldings

Letztes Jahr hatte ich das Jahr der Computersicherheit ausgerufen. Viel ist daraus nicht geworden. Die Ereignisse der letzten Tage und Wochen aber haben die guten Absichten zurück ins Gedächtnis gerufen. Wir müssen es den Diensten ja nicht leichter als nötig machen. Mails verschlüsseln wäre mal ein erster Schritt. Eigentlich wissen wir ja alle mehr oder weniger, wie das geht, nur machen müssten wir es halt — oder wie Holgi treffend sagt:

Klar haben wir die Mittel, uns gegen den Überwachungsstaat zu schützen. Wir haben ja auch die Mittel, Masern auszurotten. #

Es ist viel zu viel Bequemlichkeit eingezogen, deshalb ziehe ich mal wieder PGP aus der Tasche. Mal wieder, denn auch das Thema hatten wir vor Jahren schon einmal (aus der letzten Aktion stammt auch das Artikelbild von Bulo).

Ich gebe Euch also meinen öffentlichen PGP-Schlüssel:

Kategorien
Blog

Iron Blogger: Medienecho

Der Artikel im ZDF Hyperland-Blog ging ja schon vor einiger Zeit rum. Aber jetzt sind wir auch auf Spiegel Online vertreten. 🙂

(Nebenbei zum aktuellen Stand: im Moment laufen bei mir auf ironblogger.de die Auswertungen für den Bodensee, Bonn, Franken, Karlsruhe, Köln, MünchenMünster, Stuttgart und sogar für eine Gruppe außerhalb Deutschlands, nämlich die Schweiz — weitere Gruppen sind herzlich willkommen.)

Update:

Von den Bonnern erfahre ich gerade: Auch auf DW.de gab es einen Artikel.

Kategorien
Blog

Da, DaWanda

Ich tippe ja oft auf der Tastatur rum und nenne das dann „basteln“. Das ist natürlich geschwindelt, denn wenn hier im Haushalt jemand richtig bastelt, dann ist das meine Frau. All die kleinen Figuren und Kuscheltiere, die dabei entstehen, lagen bisher nur hier in unserer Wohnung herum und konnten vom Rest der Welt nur in ihrem Blog (lesen!) bewundert werden. Das sah dann zum Beispiel so aus:

Lila Dino einige kleine Hunde

Jetzt endlich können auch alle anderen Menschen diese Dinge bekommen, denn seit ein paar Tagen hat sie einen DaWanda-Shop (kaufen!). Juhuu!

(Bilder: Susanne Renger, alle Rechte vorbehalten)

Kategorien
Blog

IronBlogg(er(innen)?|ing)

Bei der Vorbereitung des Vortrags fiel es schon einmal kurz auf. Im Dialog mit Oliver Gassner, der die Gruppe am Bodensee organisiert, kam das Problem wieder auf:

Die Bezeichnung IronBlogger ist ja nicht so ganz das, was unter geschlechtergerechter Sprache zu verstehen ist.

Der Grund ist klar: die Benennung ist direkt vom englischsprachigen Original übernommen, und in der Sprache gibt es keine Unterscheidung zwischen Blogger und Bloggerin, und damit stellt sich die Frage überhaupt nicht.

Bezeichnungen wie IronBloggerInnen, IronBlogger_innen oder IronBlogger*innen können die Situation im geschriebenen Wort auf den Webseiten verbessern, versagen aber spätestens bei der Verwendung als Domain oder Hashtag an deren jeweiligen Zeichensatzbeschränkungen. Die einzige wirklich funktionierende Alternative ist IronBlogging.

Sollten wir unsere Gruppen jetzt alle umbenennen? Um ehrlich zu sein: ich weiß es nicht, aber ich habe jetzt auch die Domain ironblogging.de registriert, und kann somit allen einzelnen Gruppen die Wahl anbieten, sich IronBlogger Musterstadt oder IronBlogging Musterstadt zu nennen. Mit passender Domain.

Kategorien
Blog

Was ist denn da bei PayPal los? (+Updates)

Vorhin bekam ich diese Mail von PayPal, die ich beinahe sofort als Phishing-Spam gelöscht hätte:

Willste? Kriegste.

Aber die war echt gut gemacht und enthielt keine offensichtlichen Sprachfehler, drum habe ich mir die Links und den Header mal genauer angesehen. Seltsam: alle Links führen tatsächlich zu PayPal (und nicht etwa PayPaI), und die Header zeigen, dass die Mail von einem PayPal-Server in meinen Mailserver eingeliefert wurde:

Received: from outbound.emea.e.paypal.com (outbound.emea.e.paypal.com [96.47.30.229])
    by nyx.wazong.de (Postfix) with ESMTP id A602F1438001
    for *** PIEP ***; Fri, 7 Jun 2013 11:03:15 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha1; d=e.paypal.de; s=ED-DKIM-V3; c=simple/simple;
    q=dns/txt; i=@e.paypal.de; t=1370594592;
    h=From;
    bh=PlLWQWpTR6L1ofmCJjon7xZ/34s=;
    b=AFaOABQb22qAlhZUhF8V1CiCSJVTONnLHVbiTU7tNMBnc2JKH3cFu9eScXnqI7n5
    X8tdlXxLH5wUerxVTR8ugqsF7BjVxqcoqMO49FIo9gm/ZOXATBpZWmiVFmjG0wYT
    wfwAMagOMac0HXW6QMpunI2aCAg2jgg8bIFr7C74pSo=;

Außerdem ist die Mailadresse tatsächlich meine bei PayPal hinterlegte Adresse, und es gibt sogar eine gültige DKIM-Signatur. Die Mail scheint also echt zu sein. Was ist da los?

(Auf meinem PayPal-Konto sind übrigens auch keine 500 €, ich habe das von einem anderen Browser aus überprüft.)

Update 1:

Ich bin lang nicht der einzige.

Update 2:

Hotline sagt Fehler passiert, PayPal will offizielles statement abgeben.“  (@Dom_1984 via @scy)

Update 3:

Hallo Bernd, komm ruhig rein und sieh Dich um. Aber das Bild aus diesem Artikel hat ein anderer Bernd auf Krautchan gepostet, also keine Naktmachung, sorry.

Kategorien
Blog

Mehr IronBlogger

(oder: was ich so am Wochenende gemacht habe, ein Update zu IronBlogger Update: Bonn führt)

Während bei den IronBloggern in Bonn schon die ersten Wochenabrechnungen erscheinen startet heute das IronBlogging Bodensee. Direkt dahinter stehen Karlsruhe und München in den Startlöchern.

Für Gruppen in/an Köln, Saar, Ammersee und Nürnberg/Fürth bin ich mit den (möglichen) Organisatoren in Kontakt. Münster ist irgendwie verstummt.

Und dann hat sich noch ein Sonderfall bei mir gemeldet:

Hallöchen,

Ich würde gerne die Lazy Ironblogger gründen (lazy.ironblogger.de) – für diejenigen, nur 1x im Monat Zeit für einen Blogpost finden.
[…]

Tja, ääähm, dagegen ist technisch nichts einzuwenden, aber ob das noch genügend Druck aufbaut…

Ich hab‘ die Subdomain jedenfalls mal angelegt.

Kategorien
Blog

Lob des Selberhostens

Hoste das Einfachste! Für die,
Deren Zeit gekommen ist,
Ist es nie zu spät!
Hoste Diaspora, es genügt nicht, aber
Hoste es! Laß dich nicht verdrießen!
Fang an! Du mußt alles wissen!
Du mußt die Server übernehmen.

Hoste, Mann im Asyl!
Hoste, Mann im Gefängnis!
Hoste, Frau in der Küche!
Hoste, Sechzehnjährige!
Du mußt die Server übernehmen.
Suche Github auf, Obdachloser!
Verschaffe dir Adminzugang, Frierender!
Hungriger, greif nach der Shell: sie ist eine Waffe.
Du mußt die Server übernehmen.

Scheue dich nicht zu fragen, peer!
Laß dir nichts einreden,
Setz selber auf!
Was du nicht selber hostest,
Hast du nicht.
Prüfe die Checksumme
Du mußt sie ausrechnen.
Lege den Finger auf jeden Post,
Frage, wie kommt er hierher?
Du mußt die Server übernehmen.

(CC-BY-SA 3.0 DE Felix Neumann)

(hier zum gleichen Thema)

Kategorien
Blog

IronBlogger Update: Bonn führt

Hier mal ein kurzer Zwischenstand meiner aktuellen Bemühungen um den Aufbau des IronBlogger-Netzwerks:

Nach 144 Mails und unzähligen Tweets existieren jetzt auf diesem Server die Webseiten und Mailinglisten für Bodensee, Bonn und Köln. Mit Karlsruhe, Bern und Rhein/Main bin ich gerade in unterschiedlichen Stufen des Startprozesses. Am weitesten ist eindeutig Köln Bonn: dort steht sogar schon die Teilnehmerliste, die Proberunde startet morgen, und auf der Mailingliste wird schon über’s Logo diskutiert. Da könnten sich die anderen ruhig ein wenig ranhalten…

Auf komplett eigener Infrastruktur haben sich währenddessen noch die IronBlogger Leipzig gegründet.

Jetzt frage ich mich nur noch: was ist eigentlich mit München?

Kategorien
Blog

This is how I blog

(via alle: Kiki, Nuf, ix, Johannes, Anke Gröner, Jens Scholz, Anne Schüssler, jawl, …)

Es geht endlich mal wieder ein großes Stöckchen um. Der Ursprung scheint bei Isabella Donnerhall zu liegen. Das Grundthema hatten wir zwar schon mal, aber der spezifische Fragenkatalog macht die Sache interessant:

Blogger-Typ:
Chaotischer Allesaufschreiber ohne roten Faden. Ich bewundere die ein wenig, die es schaffen, immer zu einem bestimmten Thema zu bloggen. Dies hier ist mein Zettelkasten und meine Gehirnerweiterung, da kann ich mich nicht beschränken.

Gerät­schaf­ten digi­tal:
Ein MacBook Pro, ein iPhone 4, ein iPad 1 und eine etwas in die Jahre gekommene KonicaMinolta-Digitalkamera. Näheres siehe Das Setup.

Gerät­schaf­ten ana­log:
Was ich nicht digital notiert habe, das existiert nicht. Dieser sogenannten echten Welt fehlt es nämlich gehörig an Funktionen zur Wiederauffindung der einmal aufgeschriebenen Sachen. Ganz abgesehen davon habe ich meine Schreibschrift schon in der Mittelstufe abgeschafft (nachdem ich sie selbst nicht mehr lesen konnte), und so machen meine analogen Dokumente sowieso nicht so viel her.

Ein paar klassische Fotoapparate habe ich noch … mit denen könnte ich eigentlich tatsächlich mal wieder was machen.

Arbeits­weise:

Wel­che Tools nutzt du zum Blog­gen, Recher­chie­ren und Bookmark-Verwaltung?
Dieses Blog läuft auf WordPress, und die meisten Texte schreibe ich auch direkt auf dessen Backend. Längere Texte schreibe ich häufig auf dem iA Writer vor, denn der synchronisiert so schön zwischen allen Geräten hin und her, dass ich bei plötzlich auftretenden Ideen auch auf dem Telefon schnell einen Absatz schreiben kann.

Für Bookmarks hatte ich früher mal delicious, jetzt habe ich pinboard und quote.fm. Was ich wo speichere ist auch für mich eher unvorhersehbar, aber nach Möglichkeit importiere ich alles hierher. Wenn es klappt. Zum Glück kann ich mir Dinge auch gut merken.

Wo sam­melst du deine Blogideen?
Ich fange Artikel in den WordPress-Entwürfen an oder Texte im Writer, und manche Ideen stecken auch noch in der elektronischen ToDo-Liste. Wenn ich Glück habe, finde ich sie wieder bevor sie vergammeln. Hatte ich erwähnt, dass ich chaotisch bin?

Was ist dein bes­ter Zeitspar-Trick/Shortcut fürs Bloggen/im Internet?
Ich prokrastiniere hier. Wieso sollte ich da Zeit sparen wollen?

Benutzt du eine To-Do-List-App?
Ja, mit OmniFocus sogar eine sehr gute, aber ich verwende sie hauptsächlich um Dinge reinzuschreiben und dann zu vergessen. Um wirklichen Nutzen daraus ziehen zu können, müsste ich halt wenigstens ab und zu reinsehen und Dinge abarbeiten.

Gibt es neben Tele­fon und Com­pu­ter ein Gerät, ohne das du nicht leben kannst?
Gilt die Kaffeemaschine?

Gibt es etwas, das du bes­ser kannst als andere?
Ja, so ein paar Sachen: die meisten davon hängen mit meiner Fähigkeit zusammen, komplexe Zusammenhänge zu überblicken. Viele andere sachen kann ich dafür wahrscheinlich schlechter als andere.

Was beglei­tet dich musi­ka­lisch beim Bloggen?
Da bin ich nicht so festgelegt. Oft läuft im Hintergrund auch der Fernseher mit irgendetwas, das die anderen (meine Frau und/oder die Kinder) gerade anschauen. Fernseher ignorieren kann ich gut.

Wie ist dein Schlafrhyth­mus – Eule oder Nach­ti­gall Lerche?
Eine Eule, die zum täglichen Aufstehen spätestens um 06:00 gezwungen wird — durch die Termine, die mir vom Schulbeginn der Tochter und der Arbeit in meinem aktuellen Projekt aufgezwungen werden. Wenn ich abends gegen Mitternacht gerade mit dem Schreiben oder Programmieren in Schwung komme, muss ich mich deshalb dringend zwingen, trotzdem ins Bett zu gehen. seufz

Eher intro­ver­tiert oder extrovertiert?
Eher introvertiert: ich brauche regelmäßig meine Ruhe um Energie zu tanken. Ich treffe mich gern mit netten Leuten, aber lieber nicht mit zu vielen auf einmal. Und ich hasse telefonieren (das hat vielleicht auch gar nichts damit zu tun, passte hier aber gerade gut hin).

Wer sollte diese Fra­gen auch beantworten?
Ich glaub, jetzt haben wirklich alle.

Der beste Rat, den du je bekom­men hast?
Auf den warte ich noch.

Noch irgend­was wichtiges?
Hier, äääh, Dings!

Kategorien
Blog

An die neuen IronBlogger-Gruppen

Damit ich das jetzt nicht für jede Anfrage getrennt in Antwortmails schreibe:

Der Plan von ironblogger.de ist, den technischen Aspekt des Betriebs der Gruppen zu zentralisieren und sie von der Pflicht zu befreien, sich einen Hausnerd (m/w) zu halten.

Es soll Weboberflächen für die Verwaltung der teilnehmenden Blogs, für Urlaub, Entsperrung und die Erfassung von Einzahlungen geben. Aber noch ist nichts davon fertig.

Daher biete ich Euch an, mein bestehendes Setup mitzubenutzen. Das besteht aus einem Mailinglistenserver  und dem schon vielfach erwähnten Schwung an Python-Skripten, die die Feeds abgrasen und die Auswertungen erstellen. Die Auswertungen werden über die XML-RPC-Schnittstelle in ein WordPress-Blog gepostet (theoretisch müsste auch blogger/blogspot gehen, aber das habe ich noch nicht getestet). Das Blog könnt Ihr entweder direkt hier laufen lassen (als Beispiel heute angelegt: bodensee.ironblogger.de) oder, wenn Ihr denn darauf besteht, auf Eurem Server (oder auf wordpress.com), und es kann entweder eine Subdomain von ironblogger.de bekommen oder jede andere Domain, auch wenn ich es hier hoste.

Wenn ihr das also alles haben wollt, dann meldet Euch bei mir und schickt mir Euren Domainwunsch und eine Liste der Startbelegschaft jeweils mit:

  • Name
  • Mailadresse
  • Blogadresse (und RSS-Feed-Adresse, wenn vom Standard abweichend)
  • Twittername, soweit vorhanden

Nur wer unbedingt will, sollte sich die Skripte noch selbst neu aufsetzen.

Kategorien
Blog

Weitere Berichte über unseren IronBlogger-Vortrag

In den Blogs der Leute, die mit mir auf der Bühne standen:

Woanders gefunden:

(wird fortgeführt)

Kategorien
Blog

Blogs und Bier? Das lob‘ ich mir!

Manche von Euch haben wahrscheinlich schon mitbekommen, dass ich auf der re:publica 2013 einen Vortrag über Iron Blogging gehalten haben — und zwar nicht allein sondern zusammen mit Vertretern aus vier anderen ironbloggenden Städten: Nicole Ebber (Berlin), Johannes Schleimer (Ruhrpott), Kathrin Kaufmann  (Hamburg) und Steffen Voss (Kiel).

Darin haben wir zuerst die IronBlogger-Idee vorgestellt, dann unsere jeweiligen Städte und danach Ausblicke für zukünftige Entwicklungen. Da ist zum einen der Bezahldienst leetchi, der allen IronBlogger-Gruppen eine kostenlose Abrechnung ihrer Bierkassen angeboten hat, und zum anderen ironblogger.de, wo ich gerade eine Plattform aufbaue, die es auch Gruppen ohne „Hausnerd“ ermöglichen soll, mit dem eisernen Bloggen zu beginnen.

Meiner Ansicht nach war die Session ein voller Erfolg (wenn auch das von uns mitgebrachte Freibier bereits nach wenigen Sekunden vergriffen war), denn im Anschluss haben sich bei mir schon Interessenten für die Gründung weiterer Gruppen in Köln, Bonn und Bern gemeldet.

Hier jetzt also der Vortrag zum zeitsouveränen nachgucken:

(Video: CC BY-SA 3.0 DE re:publica, auch auf YouTube, Folien auch getrennt als PDF)

Kategorien
Blog

Entfernt endlich Java aus dem Browser!

Java ist eine mächtige Sprache mit vielen Vorteilen:

Eine ausgereifte Virtuelle Maschine mit robuster Unterstützung von Nebenläufigkeit, die in der Geschwindigkeit ohne den Einsatz maschinenspezifischen Codes schwer zu schlagen ist, und deren Verbreitung auf unzähligen Systemen das einst gegebene Versprechen „Write once, run anywhere.“ so gut wie möglich einlöst. Dazu gibt es einen bunten Strauß an APIs für alle möglichen Einsatzgebiete.

Alles könnte so schön sein. Seit einiger Zeit aber hört man alle paar Wochen bis Monate (gefühlt ist es alle drei Tage) Meldungen über Sicherheitslücken und Exploits. Die Lücken befinden sich praktisch immer in der Absicherung des Browserplugins, der sogenannten Sandbox, dabei wird das Plugin gar nicht mehr gebraucht.

Vor 10 Jahren ergab es durchaus Sinn, Java-Applets in Webseiten zu integrieren: während JavaScript (nicht zu verwechseln, merke: „Java verhält sich zu JavaScript wie Wal zu Walnuss.“) noch in einem echten Interpreter ausgeführt wurde und entsprechend langsam war, hatte Java bereits einen JIT-Compiler. Auf der damaligen Hardware war das ein echter Vorteil, zumal die verlängerten Startzeiten im Vergleich zur Downloaddauer über die damaligen Internetverbindungen kaum ins Gewicht fielen. Heute wird auch JavaScript vor der Ausführung kompiliert, und so bleiben nur die Nachteile:

Das Sandboxkonzept ist bei der gegebenen Sprachmächtigkeit nicht in den Griff zu bekommen. Die JVM hat volle Unterstützung für Datei- und Netzwerkoperationen sowie Möglichkeiten zur dynamischen Erzeugung von Klassen, die diese Funktionen benutzen.

Die JavaScript-API in Browsern hat dagegen keinen schreibenden Zugriff auf das Dateisystem und kann im Netzwerk nur http-Verbindungen aufbauen. Nur mit einer Sprache, deren Laufzeitumgebung keine Konzepte der verbotenen Operationen hat, lässt sich eine halbwegs sichere Sandbox implementieren.

Das bedeutet nicht, dass es völlig unmöglich ist, auch aus der JavaScript-Sandbox auszubrechen, aber in Java muss der Angreifer nur die virtuelle Maschine austricksen, während er bei einer JavaScript-Lücke den systemspezifischen Maschinencode selbst einschleusen müsste. Während also JavaScript zum Ausbruch aus seinem Sandkasten ein Schäufelchen zur Verfügung hat, handelt es sich bei Java eher um einen Radlader. „Write once, run anywhere“ gilt bei Java eben auch für Exploitcode.

Die Konsequenz muss sein, Java komplett aus dem Browser zu entfernen — und das sage ich als Java-Entwickler. Beliebte und benötigte Java-Anwendungen wie Wordle oder ELSTER können genau so gut lokal als Programme installiert werden. Die JVM an sich ist nämlich nicht unsicherer oder sicherer als andere Laufzeitumgebungen, und es schmerzt, dass nach Jahren des „Java? Das ist doch viel zu langsam.“ sich jetzt „Java? Das ist doch viel zu unsicher.“ im allgemeinen Bewusstsein festsetzt.

Die Überlegungen gelten genau so übrigens auch für Flash.