Kategorien
Blog

Gefälschter GoogleBot auf der 64.20.43.134

Es sieht ganz so aus als hätte ich Google zu unrecht beschimpft: Bei genauerer Betrachtung stellte ich fest, daß alle unsinnigen GoogleBot-Anfragen von derselben IP-Adresse kamen. Im Gegensatz zu den normalen GoogleBot-Adressen, die alle schön den Eigentümer ausweisen:

dentaku@charon:~$ host 66.249.65.110
Name: crawl-66-249-65-110.googlebot.com
Address: 66.249.65.110

dentaku@charon:~$ whois 66.249.65.110
OrgName:    Google Inc.
OrgID:      GOGL
Address:    1600 Amphitheatre Parkway
City:       Mountain View
StateProv:  CA
PostalCode: 94043
Country:    US
[...]

…scheint diese Adresse jemand ganz anderem zu gehören:

dentaku@charon:~$ host 64.20.43.134
64.20.43.134 does not exist, try again

dentaku@charon:~$ whois 64.20.43.134
OrgName:    Interserver, Inc
OrgID:      INTER-83
Address:    PO Box 244
City:       Fort Lee
StateProv:  NJ
PostalCode: 07024
Country:    US
[...]

Und tatsächlich: wenn man nach dieser Adresse sucht findet man Hinweise, daß sie sich öfter danebenbenimmt — z.B. eine unbegrenzte Sperre in der Wikipedia. Trotz exakt identischen User-Agent-Eintrags gehe ich mal davon aus, daß die Adresse nichts mit Google zu tun hat und sperre sie ebenfalls aus:

root@charon:~$ iptables -I INPUT -s 64.20.43.134 -j DROP
Kategorien
Blog

301: Google-Terror

Die Google scheint die Umstellung für no-www. nicht zu verstehen und ihr GoogleBot irrt auf meinem Server im Kreis. Schon über 10000 Zugriffe auf dieselben 3 Seiten (und pro Sekunde kommen 5-10 dazu).

He Leute! HTTP-Status 301 heißt „moved permanently“, das ist jetzt woanders, das läd man nicht gleich nochmal (und nochmal und nochmal)!

Nachtrag:

40000 Hits

Kategorien
Blog

Wii-llkommen

Ich freue mich über jeden Gast, der nicht mit einer Standardkombination an Betriebssystem und Browser vorbeischaut. Das gibt mir das beruhigende Gefühl, daß die „Großen“ noch nicht das ganze Netz erobert haben. Bisher interessant im November:

         Hits      User Agent
----------------  ----------------------
...
546        0.79%  Mozilla Thunderbird 2.0 (Windows XP)
...
58         0.08%  Netscape 7.1 (Windows 95)
...
37         0.05%  Mozilla 1.4 (FreeBSD)
...
34         0.05%  Mozilla 1.7 (Solaris)
...
30         0.04%  Konqueror 3.5
...
19         0.03%  Opera 9 (Nintendo Wii)
Kategorien
Blog

Das Fernmeldegeheimnis ist unverletztlich (noch)

Ich hatte mich ja vor kurzem mit der technischen Durchführbarkeit der Vorratsdatenspeicherung beschäftigt. Die Probleme, die ich dort kurz beleuchtet habe stellen natürlich nicht den einzigen (und nicht einmal den wichtigsten) Grund dar, um gegen das ganze Ansinnen zu sein. Hier kommen all die juristischen Bedenken und dystopischen Schreckensszenarien ins Spiel, die ich in dem oben erwähnten Artikel absichtlich ausgeklammert habe.

Bevor das neue Gesetz morgen im Bundestag (vermutlich) durchgewunken wird sollten daher möglichst viele Bürger nochmal klarstellen, daß sie damit nicht einverstanden sind (Demokratie!), und wenn ich schon nicht an der physischen Demonstration teilnehmen konnte (hey Leute, Stuttgart 17:00-19:00? Da bin ich noch im Büro) , so kann ich wenigstens diese Seite „Trauer tragen“ lassen:

Stoppt die Vorratsdatenspeicherung!

(Todesanzeige vom Arbeitskreis Vorratsdatenspeicherung)

Ich les‘ jetzt nochmal 1984…

Kategorien
Blog

Vorratsdatenspeicherung. Wie geht das eigentlich?

Über die juristischen Aspekte der Vorratsdatenspeicherung wurde ja schon regelmäßig an verschiedenen Stellen geschrieben. Wer da noch irgendwelche Informationen braucht, der soll mal da nachlesen.

Ich bin aber nun einmal kein Jurist sondern Techniker, und ich mache mir deshalb ganz andere Gedanken. Deshalb blende ich mal die Frage des Sinns und der Rechtmäßigkeit aus und beschäftige mich nur mit der technischen Machbarkeit.

Welche Daten sollen wir Sammeln:

Nachdem erst Horrormeldungen über die Protokollierung jeder TCP/IP-Verbindung (oder sogar jedes Pakets) kursierten, hat man sich inzwischen auf eine Interpretation geeinigt, in der die gesammelten Daten sehr den ohnehin vorhandenen Logfiles ähneln. Von den Protokollpflichtigen Diensten betreibe ich auf meinem Server nur eMail. Da entstehen bei Versand und Empfang etwa diese Daten (die Mail geht von diesem WordPress-Blog an mich selbst):

Nov  2 17:00:52 charon postfix/pickup[12229]: DEDF9FC443A: uid=33 from=<www-data>
Nov  2 17:00:52 charon postfix/cleanup[14398]: DEDF9FC443A:
   message-id=<1e8ccd8056aded93f095b735e2d1373f@wazong.de>
Nov  2 17:00:52 charon postfix/qmgr[30704]: DEDF9FC443A:
   from=<www-data@wazong.de>, size=1154, nrcpt=1 (queue active)
Nov  2 17:00:52 charon postfix/local[14502]: DEDF9FC443A:
   to=<dentaku@wazong.de>, relay=local, delay=0,
   status=sent (delivered to command: procmail -a "$EXTENSION")
Nov  2 17:00:52 charon postfix/qmgr[30704]: DEDF9FC443A: removed

Beim Abruf diese:

Nov  2 16:08:54 charon imaplogin: LOGIN, user=dentaku, 
   ip=[::ffff:90.186.88.15], protocol=IMAP
[...]
Nov  2 16:45:17 charon imaplogin: LOGOUT, user=dentaku, 
   ip=[::ffff:90.186.88.15], headers=20200, body=2439620

Vergleichen wir das mal mit dem Gesetzesentwurf, wie er auf vorratsdatenspeicherung.de steht:

Anbieter von Diensten der elektronischen Post (E-Mail) speichern

  1. bei Versendung einer Nachricht die Kennung des elektronischen Postfachs und die Internetprotokoll-Adresse des Absenders sowie die Kennung des elektronischen Postfachs jedes Empfängers der Nachricht,
  2. bei Eingang einer Nachricht in einem elektronischen Postfach die Kennung des elektronischen Postfachs des Absenders und des Empfängers der Nachricht sowie die Internetprotokoll-Adresse der absendenden Telekommunikationsanlage,
  3. bei Zugriff auf das elektronische Postfach dessen Kennung und die Internetprotokoll-Adresse des Abrufenden,
  4. die Zeitpunkte der in den Nummern 1 bis 3 genannten Nutzungen des Dienstes nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone.

Ja, alles da.

Die Schwierigkeit wäre also eher entweder ein einheitliches Logformat einzuführen (lustig in diesem Zusammenhang, daß ausgerechnet der Webtraffic, für den es mit CLF einen Quasistandard gäbe, nicht bevorratsspeichert werden soll) oder für jedes Logformat einen Parser zu schreiben, der die gewünschten Daten extrahiert.

Platz:

Diverse Artikel haben ja schon größere Bedenken über die Menge der gespeicherten Daten geäußert. Diese Bedenken teile ich nur bedingt: natürlich kostet das alles Geld, die Preise für Speichermedien fallen aber so schnell, daß das keinen Provider in die Pleite treiben wird (kommt schon Leute, wohin speichert denn flickr die ganzen Bilder, selbst für unbezahlte Accounts?). Außerdem speichern die meisten Dienste die Daten ohnehin schon durch die ganz normalen Logfiles (siehe oben). Problematisch wird die Datenmenge erst bei der Auswertung (immer wieder lesenswert dazu: dieses Interview).

Wie kommen die Daten jetzt zu den Strafverfolgern:

Jetzt sind die Daten also vorgehalten, wie kommen die berechtigten Behörden denn jetzt dran? Dafür muß eine neue Serversoftware erstellt werden, an die auf alle Fälle hohe Sicherheitsanforderungen bestehen:

Einerseits darf natürlich nicht irgendein unberechtigter die Daten abrufen, es wird also eine X509/TLS-artige Schlüsselinfrastruktur benötigt. Damit kann sich die Behörde gegenüber dem Logfilesammler (auf Wunsch auch umgekehrt) ausweisen, und die Möglichkeit zur verschlüsselten Übertragung gibt’s bei vielen Implementationen auch gleich noch dazu.

Andererseits soll der Serverbetreiber natürlich möglichst auch nicht merken, daß die Daten eingesehen werden (denn er steckt ja vielleicht mit den bösen Buben unter einer Decke). An dieser Stelle wird es kompliziert, denn wenn auf der Vorratsdatenspeicherungsschnittstelle sonst nie was passiert, dann sieht der Administrator den Zugriff allein schon an den Datenvolumenauswertungen (insbesondere dann, wenn diese auf IP-Port-Basis aufgebrochen sind):

MRTG

Da hilft es nur, die Daten ganz langsam herunterzuladen — aber was ist „langsam“ genau?

Besser ist es, ständig (oder unregelmäßig) auf allen (oder zufälligen) angebundenen Servern Datenverkehr erzeugen, so wie es z.B. TOR macht, das ist aber durch hohe Übertragungskosten recht teuer.

Software:

Was wäre sonst noch zu wünschen?

Da die Logfiles doch eine beträchtliche Datenmenge beinhalten, die in dieser Form nur aufwendig durchsucht werden kann sollten die gewonnenen Daten in einer relationalen Datenbank mit guter Indexmöglichkeit abgelegt werden (sonst sieht der Betreiber die Abfrage an der Prozessorlast statt am Datenverkehr). Das erleichtert auch die Löschunggenau der Daten, deren Aufbewahrungspflicht abgelaufen ist.

Damit die neue Schnittstelle zur Abfrage nicht mit anderen Diensten kollidiert, sollte ihr am besten von der IANA offiziell einen Port zugewiesen werden (vgl. OpenVPN, die früher einfach Port 5000 benutzt haben — jetzt gehört ihnen „hochoffiziell“ Port 1194).

Aus den Problemen mit ELSTER sollte unser Land gelernt haben, daß es nicht gut ist, (Pflicht-)Software nur für ein Betriebssystem bereitzustellen. Wo man einer (achtung, Klischee) Werbeagentur mit reiner Maclandschaft vielleicht noch zumuten kann, sich für die elektronische Umsatzsteuervoranmeldung halt doch einen Windows-PC anzuschaffen, da ist die gesetzliche Zwangsumstellung aller Mail-, RADIUS-, VoIP- und …-Server auf eine einheitliche Plattform (z.B. Windows Server 2008, nur 64bit?) schlicht nicht durchführbar (wobei ich keine Prognosen darüber wage, ob es nicht trotzdem versucht wird). Anderenfalls würden sich die Provider der bösen Buben vielleicht durch möglichst exotische Betriebssysteme aus der Vorratsdatenspeicherungspflicht herausstehlen (z.B. MPE/iX?).

Abhilfe schafft hier nur der Vertrieb im Sourcecode (die Unterstützung von POSIX- und win32-API sollte hier fas alles abdecken) oder ein offengelegtes Protokoll, so daß verschiedene Implementationen von dritten erstellt werden können. In diesen beiden Fällen läßt es sich aber kaum zu verhindern, daß der behördliche Zugriff in der einen oder anderen Version aufgezeichnet wird — ein Dilemma, für das es keinen Ausweg gibt…

Die technisch saubere Lösung:

Es sei denn man dreht die Zugriffsrichtung um und überträgt die Daten ständig sobald sie anfallen. Dieser Trick löst elegant sowohl die Probleme des Speicherplatzes als auch des Mitlesens bei Zugriffen durch die Strafverfolgungsbehörden. Diese Variante fordert allerding uneingeschränktes Vertrauen in die Behörde, die sich dann im Besitz der Daten befindet (wobei der Unterschied zwischen Daten, die sich schon dort befinden und Daten, die bei Bedarf jederzeit abgerufen werden können eigentlich in der Praxis kaum ins Gewicht fällt).

Wir verlassen an dieser Stelle allerdings auch wieder die technischen Aspekte, drum höre ich hier auf.

Kategorien
Blog

coComment is missing

Wo ist es denn plötzlich hin? Schon wieder ein Service verloren?
404

Wenigstens geht’s den Gravataren gut.

Update,  20.10.:

Jetzt ist es wieder da.

Kategorien
Blog

Senden Sie jetzt GO! an die 53333

Diese freundliche Kurzmitteilung traf soeben ein:

Es wurde ein Multimedia Telegramm hinterlegt.

„Antworten Sie mit GO!“? Jaja, schon klar 😉

Kategorien
Blog

Free Burma!

Free Burma

(Aktion „one Blogpost for Burma„)

Kategorien
Blog

no-www.

Das „www.“ in www.wazong.de ist eigentlich seit dem Umzug zu Hetzner gelogen. Es handelt sich nämlich nicht um eine große Organisation mit einem großen Netzwerk, in dem einem der vielen Server der Aliasname „www“ gegeben wurde, damit die Surfer ihn leichter finden kann (denn wer soll sich merken, daß IBM z.B. seine Webseite etwa auf einem Server namens „server53“ lagert, Sun aber z.B. auf einem Server namens „helios“). Die Apachekonfiguration war jetzt schon lange so eingestellt, daß unter wazong.de/… dieselben Inhalte ausgeliefert wurden wie unter www.wazong.de/…, aber das wars bisher auch.

Jetzt hat Gerrit van Aaken auf die Aktion (oder Organisation?) www. is deprecated hingewiesen, auf deren Seite ich ein sehr vernünftiges Argument fand:

[…]

Why then do many servers require their websites to communicate through the www subdomain? Mail servers do not require you to send emails to recipient@mail.domain.com. Likewise, web servers should allow access to their pages though the main domain unless a particular subdomain is required.

Das hat mich dazu veranlaßt, es www.praegnanz.de gleichzutun und den Servernamen(/alias) zwangsweise aus den URLs zu entfernen.

Kategorien
Blog

Blog Usability

(dies wollte ich erst bei Boje als Kommentar schreiben, aber es ist lang genug für einen eigenen Eintrag):

Christoph hat in seinem Bandscheibenblog festgestellt, daß sich viele Besucher darin nicht zurechtfinden, teilweise Fremdinhalte und Links nicht differenzieren können und sucht nach Auswegen aus dieser Misere.

Hmmm. Mehrere (nicht ganz konsistente) Teilantworten:

  • Ich bin es leid, daß es gesellschaftlich akzeptiert ist, eine technisch-naturwissenschaftliche Null zu sein. Das soll nicht überheblich klingen, aber jeder kann mal im Smalltalk den Unterschied zwischen den Reaktionen ausprobieren auf „Ich habe ja von Mathematik/Computern/… überhaupt keine Ahnung.“ und auf „Ich habe ja von Malerei/Oper/… keine Ahnung.“ — bei letzterem wird man in der Regel Entsetzen ernten.
  • Wo man kann, da sollte man versuchen, die Benutzerfreundlichkeit zu Erhöhen (z.B. an die Kategorienavigation dranschreiben, daß es sich um Kategorien handelt).
  • Ich mache diese Seite zuallererst für mich (das mag im Bandscheibenblog anders sein).
  • Allen anderen ist nicht zu helfen.

Trackback/Ping sind doch etwas feines…

Kategorien
Blog

Verstecktes gezwitscher

Twitter ist… äh, naja, Twitter eben (obwohl: vor kurzem habe ich irgendwo das innovative Wort „Microblogging“ dafür gelesen). Die Twittertools von Alex King sind eine sehr hübsche Möglichkeit, den dort eingegebenen Quatsch in sein Blog zu integrieren. Leider zerfällt damit die Struktur — zumindest dann, wenn man es nicht schafft auch noch mindestens einen Artikel pro Tag „von Hand“ zu schreiben. Wenn man Leser hat, dann beschweren die sich.

Abhilfe schafft das Plugin Category Visibility: damit lasse ich jetzt das ganze getwitter in eine versteckte Kategorie laufen (naja, in der Kategorienliste links kann man immernoch draufklicken), und so taucht es nicht mehr zwischen den normalen Beiträgen auf, kann aber mit der Suchfunktion gefunden werden und ist im Feed drin.

Das gleiche mache ich jetzt mir der Kategorie Linkdump.

Kategorien
Blog

ich hab vergessen meinen neuen namen im führschein eintragen zu lassen

Tante Google, hilf!

frage

Halb so schlimm, das habe ich auch nicht gemacht. Da der Führerschein kein Personaldokument ist, ist das auch garnicht nötig. Das steht z.B. hier.

Kategorien
Blog

Groovy groovy jazzy funky pownce bounce…

Ich muß ja auch jeden Scheiß im Internet ausprobieren.

Technorati sei Dank habe ich vom Zwiebelflüsterer eine Einladung zu Pownce bekommen (und bin dadurch jetzt sein „Freund“). Jetzt habe ich selbst welche übrig, wer dort also mitspielen will, Mail oder Kommentar…

Kategorien
Blog

Technoratimonster

Doh!

Sehr hübsche Fehlermeldung.

Kategorien
Blog

Kompost

Ich habe das Gefühl, daß eMail-Adressen in den Adresslisten der Spammer verrotten, denn in letzter Zeit tauchen im Logfile ständig Mails an leicht angegammelte Adressen auf:

markus.schwaigernn@exolution.de, mas.kahabkax@exolution.de, miirdd@irsiegler.de

Keine davon funktioniert natürlich. Was bringt das?

Ich befürchte immernoch, daß wir unrettbar in einer Spamflut ersticken würden, wenn die Spammer technisch nicht so unbedarft (/ungeschickt?) wären…

Kategorien
Blog

If I were a Simpsons character

Dentaku@Simpsons

Hier gibt’s noch viele davon. Hier selbermachen!
Ich habe meine Brille nach einer Viertelstunde Suchens selber gemalt, Frau Gröner war erfolgreicher (oder geduldiger?).

Kategorien
Blog

Flickr Zwischenstand

Der Knopf kam zurück nach Deutschland:

Off

Er scheint aber noch nicht ganz den erwarteten Effekt zu haben:

Bzzzzzt

Irgendwas verstehe ich da noch nicht ganz…

Kategorien
Blog

Ignore 2

1 : [1163becd96cf27f4]
2 : [10899d7dae6fc5f4]
3 : [3c7b16e57f838ebe]
4 : [1d11bf0b59f890ad]

Mal wieder so ein Technikzeug

Kategorien
Blog

Censr?

Flickr macht sich in Deutschland im Moment keine Freunde: seit ein paar Tagen können Nutzer, die aus Deutschland, Hong Kong, Singapur und Korea kommen (diese Zusammenstellung der Länder wieder! aber das passiert Deutschland ja in letzter Zeit öfter — z.B. Länder in Europa ohne digitalen Behördenfunk: Deutschland und Albanien) keine Bilder mehr sehen, die nicht als „safe“ gekennzeichnet sind. Für die anderen Länder ist das ebenfalls die Voreinstellung, aber dort kann man den Filter abschalten und dann Bilder der Stufen „moderate“ und „restricted“ auch sehen.

Die Wellen schlagen deshalb so hoch, weil es vorher keine Ankündigung gab und es auch als die Benutzer sich zu beschweren anfingen noch über 24 Stunden bis zum ersten Statement gedauert hat. Dieses Statement war dann auch eher gummi- oder schwammartig und trug nur wenig zur Klärung des Sachverhalts bei:

We really apologize for the delay in responding to these threads. The whole Flickr team has been in ongoing discussions, trying to hammer out a solution.

We have absolutely no intention of censoring the content on the community’s behalf. It is always been our intention that Flickr members participate to whatever extent they want and are as free as possible create their own experience. Currently, switching the SafeSearch function off is not available for German members. It is a really complex situation — we have been in deliberation on this for a while, and we had to make the decision whether or not to leave Germany and the German language out of the international launch.

The decision came down to the wire, but we decided to include Germany. We’re still hoping that that was the right decision. It definitely was not a decision that was made lightly and there is no intention to annoy, frustrate or inconvenience Flickr members in Germany. Rest assured, we do hear you loud and clearly (painfully loud, even) and are doing our best. We hope to have more to say soon.

(was er mit „painfully loud“ meint, kann man hier verfolgen:

Think, flickr, think

)

Einige Leute, die sich ohnehin gern schnell aufregen (zugegeben: genau deshalb lese ich auch gern bei denen) haben sich sofort beleidigt verzogen, andere fanden Workarounds, lassen Flickr noch etwas Zeit das in Ordnung zu bringen oder witzeln noch.

(Anmerkung: der letzte Abschnitt ist nachträglich editiert, weil ich einen Link falsch kategorisiert hatte — siehe Kommentare)

Wir wissen nach wie vor nicht richtig, was für ein Vorgang hinter der Sache steckt. Es ist nicht völlig unwahrscheinlich, daß Deutsche Behörden Yahoo (und damit Flickr) zu irgendetwas bescheuertem angehalten haben (wir erinnern uns an die Sendezeiten fürs Internet…), und daß die aktuelle Situation eine Folge der halbherzigen Implementation ist. Genauer: es kann gut sein, daß Flickr dazu aufgefordert wurde, bestimmte Inhalte in Deutschland nicht zu zeigen — Nacktheit allein kann aber nicht das Problem sein (ich empfehle einen Blick auf die Bildzeitung oder ins Nachtprogramm bei 9Live), dafür sind Gewaltdarstellungen hier ungern gesehen (man denke an die Aufregung, die rotten.com schon regelmäßig hervorgerufen hat).

Bilder, die hier als unbedenklich gelten würden, sind woanders eben nicht „safe“ und daraufhin kann man sie hier nicht mehr sehen. Das ist das Hauptproblem. Was Flickr also fehlt, ist sowas wie eine Abstufungsmöglichkeit für den Grund der Einstufung des Bilds (z.B. „restricted because of nudity“ oder aber „restricted because of violence“).

Ich bleibe jedenfalls bei Flickr, ärgere mich ein wenig und hoffe auf Verbesserung.

Kategorien
Blog

Nigeria! (naja, Südafrika, aber wir sind ja nicht kleinlich)

Date: Mon, 11 Jun 2007 19:13:33 +0200
From: Edward Apati (edypati555_EA@web.de)
Subject: Lieber Freund,
To: start@alertbird.de

Lieber Freund,

Ich vermute das diese E-Mail eine Überraschung für Sie sein wird, aber es ist wahr.

Ich bin bei einer routinen Überprüfung in meiner Bank
(Standard Bank von Süd Afrika) wo ich arbeite, auf einem Konto
gestoßen, was nicht in anspruch genommen worden ist, wo derzeit $12,500,000
(zwölfmillionenfünfhundert US Dollar) gutgeschrieben sind.

Dieses Konto gehörte Herrn M_____ B_____*, der ein
Kunde in unsere Bank war, der leider verstorben ist. Herr B_____ war ein
gebürtiger Deutscher.

Damit es mir möglich ist dieses Geld $12,500,000
inanspruch zunehmen, benötige ich die zusammenarbeit eines Ausländischen
Partners wie Sie,den ich als Verwandter und Erbe des verstorbenen Herrn
B_____ vorstellen kann,damit wir das Geld inanspruch nehmen können.

Für diese Unterstützung erhalten Sie 30% der
Erbschaftsumme und die restlichen 70% teile ich mir
mit meinen zwei Arbeitskollegen, die mich bei dieser
Transaktion ebenfalls unterstützen.

Wenn Sie interessiert sind, können Sie mir bitte eine
E-Mail schicken, damit ich Ihnen mehr Details zukommen lassen kann.

Schicken Sie bitte Ihre Antwort auf diese E-Mail edwardapati@aim.com
Mit freundlichen Grüßen

EDWARD APATI

Daß sowas noch durch’s Netz fliegt. Da bekommt man ja ganz nostalgische Gefühle…

*) an dieser Stelle steht in der Originalmail tatsächlich der Name meines Vaters — den müssen sie zufällig getroffen haben, denn die Nachricht ging ja garnicht persönlich an mich, sondern an eine der allgemeinen Alertbird-Adressen (außerdem lebt mein Vater noch, und er war noch nie in Südafrika). Trotzdem ist die Mail dadurch durch den Spamfilter gerutscht.