Archiv der Kategorie: Allgemein

pain in the ass

Ich habe seit einer Woche eine Art Auseinandersetzung mit web.de. Diese schreiben – zumindest, wenn der Absender die Webmail-Oberfläche und E-Mails im HTML Format nutzt – URLs in den E-Mails um und leiten diese über einen eigenen Server.

Phishingwarnung des Thunderbird bei einer Mail von web.de

Also war ich so frei, und hab mal den LFD in Baden-Württemberg und das Datenschutzzentrum (mit web.de auf CC) darüber informiert, dass ich dieses Vorgehen für nicht statthaft halte. Die Antwort von web.de kam recht zügig – allerdings ging dieser Mailprovider mit keinem Wort auf den Umstand ein, dass sie Mails verändern, sondern biss sich mit Textbausteinen am Wort Phishing fest. Mein Fehler. Das hätte ich gleich anders formulieren müssen.

Heute habe ich also ein follow-up formuliert, in dem ich noch einmal ausführlicher meine Position darstelle:

Sehr geehrte Damen und Herren,

ich habe inzwischen eine Antwort von Frau XXX von web.de erhalten
(als EML im Anhang), in der diese mir mit vielen Textbausteinen zum
Thema Phishing antwortet. Nur die wenigsten dieser Textbausteine passen
zum von mir geschilderten Problem ... dafür erschöpft sich die Mail in
allgemeinen Ratschlägen zum Thema Phishing.

Richtig merkt web.de an, dass es sich bei der Phishing-Warnung von
Thunderbird nicht um Phishing im eigentlichen Sinn handelt, da web.de
nicht versucht, die Empfänger von E-Mails zur Eingabe von Benutzernamen
und Passwörtern auf gefälschten Seiten ... zu überreden.

Thunderbird erkennt aber richtig die auch von web.de genutzte
Phishing-Technik, einen Link als solchen anzuzeigen, aber "dahinter" (im
HTML versteckt), eine andere URL aufzurufen. Der für den Empfänger
angezeigte Link ist ungleich der aufgerufenen URL. Das ist der Punkt.

Leider geht web.de mit keinem Wort auf den Umstand ein, dass web.de
E-Mails seiner Nutzer verändert, indem es URLs durch Verweise auf einen
eigenen Server ersetzt, der dann die eigentliche URL aufruft oder auf
diese weiterleitet (Referrer).

Ich halte diese Veränderung von Benutzer-E-Mails aus den folgenden
Gründen weiterhin für sehr kritisch:

Erstens: Ein solches Umschreiben von E-Mails durch web.de wird von den
Anwendern nicht erwartet. Es ist überraschend, so dass aus meiner Sicht
zumindest der Grundsatz von Treu und Glauben tangiert ist.

Zweitens stellt dies einen Eingriff in den Inhalt einer E-Mail dar
(Inhaltskontrolle).
Es kann aus meiner Sicht nicht Aufgabe des "Postboten" sein, Nachrichten
zu verändern - auch wenn er selbst dies als "Verbesserung" wahrnehmen will.
Der Inhalt einer Nachricht steht unter dem Schutz des Grundgesetzes.
Eingriffe könnten deswegen lediglich auf Grund eines Gesetzes
vorgenommen werden - und ein solches Gesetz zur Re-Formulierung von URLs
ist mir nicht bekannt.

Drittens: Ich vermute, web.de handelt wie beschrieben, um Nutzerdaten
einzusammeln. Das kann ja noch angehen, wenn web.de dies für die eigenen
Nutzer macht (diese können evtl. rechtlich bindend einer derartigen
Verwendung ihrer Daten zugestimmt haben, als sie sich zu Freemail
anmeldeten - quasi als Bezahlung mit Daten für die Bereitstellung des
Maildienstes) - aber dass auch die Empfänger von E-Mails, die nicht
Kunden von web.de sein mögen, ebenso abgeschöpft oder mit URL-Rewriting
"beglückt" werden ... das geht schlicht zu weit.

Ich vermute, dass eine Zustimmung zur Veränderung von E-Mails von den
web.de Nutzern nicht rechtlich bindend abgegeben werden kann. Auf Grund
der Tiefe des Grundrechtseingriffs sehe ich hier und für diesen Fall ein
sittenwidriges Rechtsgeschäft vorliegen.

Insgesamt ergibt sich für mich hier ein Bild von web.de, das sich an den
großen US-"Datenkraken" orientiert und deren Verhalten zu kopieren
versucht, indem es grundlegende Rechte (Gewährleistung der
Vertraulichkeit und Integrität informationstechnischer Systeme hier:
Nachrichten) seiner Nutzer/innen ignoriert.

In Erwartung Ihrer Stellungnahme - mit freundlichen Grüßen
Dirk Weller

Jetzt bin ich mal gespannt, was passiert. Ich kann – als Laie – meine Vorwürfe sicherlich nicht juristisch wasserdicht formulieren und biete damit bestimmt viele Ansatzpunkte für die entsprechenden Experten, mit denen sie sich aus der Affäre winden können. Unversucht lassen wollte ich es aber auch nicht.

Uhl (CSU) und Wiefelspütz (SPD)

Ich weiß nicht, was mich heute geritten hat, hab ich doch tatsächlich Hans-Peter Uhl von der CSU und Dieter Wiefelspütz (SPD) über deren Webseiten auf Grund dieses Artikels bei Heise eine Nachricht zukommen lassen.

Dabei bin ich auch jetzt noch der Ansicht, dass gerade bei diesen jedes Wort zu viel ist. Eigentlich ist es hoffnungslos: Dass Datenschutz für sie ein Sonntagsthema ist, sieht man schon an den Kontaktformularen CSU / SPD, das die Inhalte zusammen mit den Kontaktdaten unverschlüsselt beim Anwender einsammelt. Gut – es könnte sein, dass die Übertragung verschlüsselt wird, aber selbst dann fehlt schlicht die Sensibilität, das dem Benutzer gegenüber auch so darzustellen.

Und dass gerade CSU und SPD nun Microsoft und Apple von den Rechnern schmeißt und auf Linux made in Germany (Univention?) setzt …

Ich vermute, da sahnt mal wieder ein Politiker ein paar Beiträge ab. Mehr nicht. Wer wegen PRISM so einen Wind macht, müsste auch gegen Vorratsdatenspeicherung sein.

Aber schaun wir mal. Jetzt ist es mir schon passiert. Und wenn am Ende sich wiedermal alles nur als die typische Heuchelei herausstellt – dann bin ich auch bestätigt.

LMDE sources.list

Linux Mint Debian Edition, so dachte ich mir bei der Installation, hält sich selbst aktuell und liefert mir ein System, das selten bricht und auf der Grund des ubuntu-losen Unterbaus performant auch auf alter Hardware reagiert. Die letzten zwei Jahre war das auch tatsächlich so. Was ich jetzt erst lerne ist, dass man wohl das LMDE Blog (und vor allem diesen Eintrag) im Blick haben sollte. Weder ich noch meine LMDE Installation bekamen nämlich mit, dass sich die Einträge in die sources.list hätten ändern sollen zu

deb http://packages.linuxmint.com/ debian main upstream import

deb http://debian.linuxmint.com/latest testing main contrib non-free

deb http://debian.linuxmint.com/latest/security testing/updates main contrib non-free

deb http://debian.linuxmint.com/latest/multimedia testing main non-free

und so sammelte sich hier plötzlich Fehlerchen an Fehlerchen bis heute dann nicht einmal das Gnome-Terminal mehr seinen Cursor fand.

Nach der Erneuerung der Repository-Liste und einem dist-upgrade finden sich dann die richtigen Updates und das System wird wieder benutzbar. Ich werde meine RSS Feed-Sammlung wohl um das LMDE Blog erweitern müssen.

Netzüberwachung

Quelle

37.000.000 überwachte Kommunikationen und hierbei dann 213 verwertbare Hinweise. Das sind 0,00058% der überwachten Kommunikationen oder, wie in den Schaubildern oben klar wird: Nichts, 0, zero, love, nought, nill!

Wen da nicht die Wut packt, ist schon tot.

Nachtrag 27.02.12: H. Prantl bringt es heute in der SZ mal wieder auf den Punkt:

[Das Fernmeldegeheimnis] steht noch unter Nummer 10 im Grundgesetz; aber es hat seinen Wert verloren. Quelle

Acta ad acta

Trotz der Kälte fanden sich selbst in Stuttgart rund 2.500 Menschen ein, um gegen ACTA zu demonstrieren. Dafür, dass am Abend vorher noch der Druck aus dem Kessel gelassen wurde, indem eine vorläufige Aussetzung der Unterzeichnung angekündigt wurde, keine schlechte Zahl. Oben einige Impressionen von der Kundgebung zu Beginn und von der Demo selbst.

Mein Lieblingsplakat? Das mit Braveheart: „They can touch our balls at the airport – but they will never take our internet“.

Googles Weg

Don’t be evil war über längere Zeit ein relativ glaubwürdiges Motto, mit dem Google in der Öffentlichkeit Punkte sammeln konnte, auch weil den Machnern der Suchmaschine ein wissenschaftliches Interesse, eine akademische Herangehensweise an die Lösung der Probleme in einem unübersichtlichen Netz unterstellt werden konnte: Google orientierte sich stark an Webstandards, stellte durchdachte Suchoperatoren und auch Spezialseiten (z.B. google.com/linux oder die hervorragende Codesuche) zur Verfügung, verbreitete große Teile seiner Software entweder unter freien Lizenzformen (z.B. Chrome, Etherpad und Android), beteiligte sich an deren Entwicklung (z.B. durch Googles Summer of Code) oder unterstützte diese finanziell direkt (z.B. Mozilla).

Die Dinge ändern sich nun und ich kann im Moment nur vermuten, warum:

Viele spezielle Suchseiten sind eingestellt worden, der Suchoperator + ist nicht mehr verwendbar und das Suchfeld am unteren Ende der Suchergebnisseite ist verschwunden. Einige Seiten auf der Domain von Google sind nur noch mit Chrome betrachtbar, die Entwicklung dieses Browser läuft mit so hohem Tempo, dass jede Community trotz Quelloffenheit nicht mehr folgen kann.

Wer seine Suche nicht mehr über Spezialseiten oder Operatoren wie + gleich zu Beginn schärfen und einschränken kann, findet viel Mist, in dem sich gut auch Werbung unterbringen lässt. Wenn ich am Ende der Suchergebnisseite kein Suchfeld mehr habe, muss ich nach oben Scrollen und darf die werbedurchtränkten Links gleich zwei mal ansehen. Der eine oder andere Klick mehr auf die Links der Google-Geschäftspartner wird hierbei schon hängen bleiben. Und wer schon den Zugang zu den Informationen im Netz kontrolliert, der kann noch einen drauf setzen mit seinem (zunehmend beliebten) Browser, der mehr und mehr die „Standards“ selber setzt, statt sich an diese zu halten.

Mir scheint: Es geht Google heute – wie Microsoft zu Beginn des Jahrtausends – um Macht, Kontrolle und Geld.

Die Zeit ist überreif, sich auf die Suche nach Alternativen zu machen und die Dienste eines Giganten zu meiden, der seine kulturellen Wurzeln vergisst.

Paranoia

Es war wohl eine Mischung aus schon lang bestehender Paranoia, dem anstehenden Update auf die aktuelle WP Version und ein paar Seiten in der aktuellen c’t, die dazu führte, dass ich mein Blog in einen Unterordner meiner Hauptdomain umgezogen habe: So steht mir ein Zertifikat für eine verschlüsselte Verbindung zur Verfügung und ich kann meinen Anmeldeprozess am Blog etwas ruhiger abwickeln.

Insgesamt betrachtet war der Umzug ein Klacks: Ein paar Anpassungen im Apache, eine rewrite rule für die alte Domain und ein kurzfristig installiertes Plugin für Anpassungen in der MySQL Datenbank selbst erledigten den Umzug in wenigen Minuten.