zwischendrin.net

Ich wollte mich gerade beim Social Bookmarking-Dienst Mister Wong anmelden. Und ich nun mal die Paranoikerin bin, die ich bin, lese ich mir vorsichtshalber erst mal die AGBs und die Datenschutzrichtlinie durch:

Mister Wong - Allgemeine Geschäftsbedingungen:

Die nachstehenden allgemeinen Nutzungsbedingungen gelten im Verhältnis zwischen der construktiv GmbH [...] 28357 Bremen, als Anbieterin [...]

Aha. Eine deutsche Firma also. Fein. Müssen sich also auch an deutsche Datenschutzbestimmungen halten. Und tatsächlich:

Mister Wong - Datenschutz:

Die Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten erfolgt nach den strengen Vorgaben des deutschen Datenschutzrechts unter dem Grundsatz der Datenvermeidung, Datentransparenz und Datensicherheit. Die erhobenen Daten werden von Mister Wong und ihren Kooperationspartnern nur insoweit verarbeitet und genutzt, wie dies für die Durchführung der mit Ihnen abgeschlossenen Verträge und die Pflege der daraus resultierenden Kundenbeziehung erforderlich, gesetzlich zulässig und von Ihnen gewünscht ist.

Hört sich ja sehr gut an. Mal weiter lesen:

[...] Bei jedem Seitenaufruf werden zudem Zugriffsdaten in einer Protokolldatei (Log-Files) gespeichert. Diese Log-Files geben Aufschluss über Ihre IP-Adresse, den Remote Host, die Uhrzeit, den Status, ggf. die übertragene Datenmenge sowie die Internetseite, von der aus der User zum Internetangebot von Mister Wong gekommen ist und die Produkt- bzw. Versionsinformationen über den verwendeten Browser.

Und ich dachte, daß genau das verboten sei?

Aber mal ganz abgesehen davon daß ich also so meine Zweifel daran habe ob es “gesetzlich zulässig” ist:

Ich kann nicht sehen inwiefern die Speicherung meiner IP-Adresse “für die Durchführung der mit mir abgeschlossenen Verträge und die Pflege der daraus resultierenden Kundenbeziehung erforderlich” sein sollte,  oder gar “von mir gewünscht”. Ich wünsche eine derartige Aufzeichnung keinesfalls!

Auf jeden Fall hat mich das davon abgeschreckt diesen Dienst zu benutzen. Es wäre schön wenn jemand eine qualifiziertere Meinung dazu angeben könnte als ich, denn IANAL, und so.

Google hat’s echt mal wieder geschafft: Meine beiden Lieblingsnerds sitzen neben mir, gucken in ihre Notebooks und schwärmen… Und selbst ich als alte Google-Skeptikerin kann mich der Ansteckung nicht ganz erwehren:

“Schuld” daran ist die erste βeta-Version von Chrome, Googles nagelneuem, eigenen Web-Browser.

Coole Features:

• ein eigener Prozess für jedes Tab — und sogar für jede Medienform (JavaScript, Flash, HTML-Rendering) innerhalb des Tabs — mit je eingeschränkten Rechten. Der HTML-Renderer darf zum Beispiel selber quasi gar nichts und kommuniziert nur durch den zentralen Browser-Prozess mit dem Betriebssytem, der sozusagen als Firewall dient. Das kann vielen potentiellen Sicheheitslecks vorbeugen, aber auch der Stabilität zugute kommen: Stürzt ein Teilprozess ab läuft der Rest des Browsers einfach weiter.
• Man kann sich anzeigen lassen welche Seiten und Plugins je wie viel Speicherplatz verbrauchen, um sie dann gezielt abschießen zu können.
• auch Plugins haben je eigene Prozesse
• Der eignene JavaScript-Interpreter ist gar keiner, sondern ein JavaScript-Compiler, und der ist auf Multicore-Prozessoren ausgelegt!!eins!elf! — Rasend schnell! (Ein guter Test ist der JavaScript-Raytracer: Gefühlter Faktor sechs bis zehn! :)
• Als HTML-Renderer wird das Qt-Webkit verwendet. Wie bei meinem geliebten Konqueror und Apples Safari. Vielleicht gibt es dann in Zukunft auch mal mehr Konqui-/Safari-optimierte Seiten.
• Tabs lassen sich sahneweich verschieben :)
• Open Source

Dieses nett gemachte Comic erklärt Handhabung und Features.

Man muss es diesen Google-Leuten echt lassen: Wenn sie etwas releasen, dann machen sie es gleich richtig. Wie wir ja bei anderen Anwendungen schon gesehen haben: Es hat auch schon vor Google Maps Routenplanungsdienste gegeben. - Aber benutzt die heute wirklich noch jemand?

Da bin ich doch mal ausnahmsweise froh, daß wir hier im Haus doch noch eine letzte Windows-Installation haben. Eigentlich nur weil halt Kunden unsere Software auch auf Windows benutzen wollen… Aber jetzt kann das olle XP-Notebook als Testplattform dienen. :-)

Kritik

• Natürlich haben jetzt einige Leute ihre Wiresharks angeworfen, und die erste Meldung über einen angeblichen Privacy-Breach* kommt auch schon im Forum des heise-Tickers: Angeblich hat jemand mitgekriegt daß seine E-Mail-Adresse unbefugt an Google gesendet wurde. Zwei andere können das aber nicht bestätigen.
• Und daß Google Chrome bei der Installation ungefragt einen Autostart-Dienst installiert ist auch nicht gerade die feine Art.
• Ach ja: Open Source mag es ja sein, aber nach freier Software sieht mir das hier auf den ersten Blick mal nicht aus.
• Vorerst nur für Windows. :(

*unautorisierte Weitergabe von persönlichen Informationen

Update

So ist das also mit der Quelloffenheit von Chrome.

Scheint ja nun doch in Ordnung zu sein: Ist wohl so gut wie alles fein BSD-lizensiert. Das höre ich gerne! — Wahrscheinlich bis auf Webkit?

Auch interessant:

Die vorhandene Chrome-Installation hat eine eindeutige Seriennummer, so dass sie individualisiert werden kann. [...] Jeder muss entscheiden, ob ihm das schmeckt - ich mag es naturgemäß nicht. Beispiel: Sobald ich mich einmal mit einem Google-Account einlogge, wird dann meine Chrome-ID zugeordnet, so dass später jeder Zugriff mit Chrome mir als Nutzer zugeordnet werden kann - auch wenn ich nicht eingeloggt bin und keine Cookies habe? Technisch möglich ist es jedenfalls.

[...] Und, ebenfalls interessant: Wenn Google diese eindeutige ID auslesen kann, kann es dann nicht auch jede andere Webseite? Bietet sich hier erneut eine Möglichkeit an, Rückschlüsse auf User zu ziehen - Analog zur Speicherung von Kamera-Seriennummern in EXIF-Informationen von Fotos, wie heute schon regelmäßig vorgenommen?

Zwei Punkte aus dem oben verlinkten Datenschutz-Blog-Postings möchte ich hier kommentieren, da dort gerade die Kommentarfunktion abgeschaltet ist:

Womit aber dann die Chrome EULA gegen die Chromium BDS-Lizenz verstoßen müsste - oder?

Nein, denn die BSD-Lizenz gibt mir die Freiheit den Code jedezeit in Closed Source umzuwandeln. Und dann kann ich damit machen was ich will, auch ihn unter einer ganz anderen Lizenz veröffentlichen. — Siehe die Verwendung von BSD-Netzwerk-Code in Windows NT 4, oder von Teilen des FreeBSD-Kernels in Mac OS X.

FireFox und Linux bieten Alternativen

Ja. – Nur daß das Mozilla-Projekt - das Firefox entwickelt - zehn Elftel ihres Budgets von Google bekommen. :-/

Wow!

Der Computer-Sicherheits-Forscher Dan Kaminsky zeigt in seinem jüngsten Blog-Eintrag “The Emergence Of A Theme” sehr anschaulich auf wie sich eine knappe Handvoll eigentlich bekannter Schwachstellen in Internet-Protokollen und Software (wie z.B. im debian [not so] random number generator) kombinieren lassen. Und was dabei herauskommt ist ein kleines aber äußerst effektives Werkzeugköfferchen, mit dem sich Verheerungen im ganz großen Stil anrichten lassen.

[Dan Kaminsky - My Big Pwnie!]

Fragt sich nur ob erst eine ganz grosse Katastrophe passieren muß, bevor genug Admins – und genug Admins an den wichtigen Stellen – aufwachen; Zum Beispiel die Kompromittierung eines großen OpenID-Providers. Und leider reicht es diesmal nicht, seine eigenen Systeme zu patchen. :-(

Hier gibt es die deutsche Übersetzung (bzw. Internationalisierung) “meines” Wordpress-Theme Black Letterhead v1.5. Dieses Theme wurde von Ulysses Ronquillo geschrieben und von mir übersetzt.

Was ist neu im Vergleich zu v1.4?

Version 1.5 bringt jetzt eingebaute Unterstützung für Gravatare mit. Das neue Theme stellt nun jeweils neben den Kommentaren einen Gravatar (Globally recognized avatar, allgemein anerkannter Avatar) dar. Es wird kein Gravatar-Plugin mehr benötigt.

Das Problem mit der Formatierung der Kommentare, das bisher bei Benutzern des Internet Explorer auftrat, ist behoben. Nach Anpassungen am CSS- Stylesheet sollten sich Firefox und IE nun identisch verhalten.

Ulysses hat sich in Version 1.5 dazu entschieden das Theme Toolkit nicht mehr zu verwenden, um die Pflege verschiedener Codeversionen zu vereinfachen. Das bedeutet dass man bei dieser Version die Parameter, die man bisher im WordPress-”Backend” einstellen konnte (Breite 760px oder 960px, Seitenleiste links oder rechts, eigene Farben ), nur noch direkt im Quelltext anpasse kann. [Keine Angst, das ausgelieferte Theme ist nach wie vor orange! ;-)]

Wer das Theme Toolkit gerne weiter verwenden möchte kann Version 1.4 herunterladen und verwenden.

Lange Rede, kurzer Download. Hier sind die Files:

• black-letterhead-15-de.zip (ZIP-Archiv)
  
• black-letterhead-15-de.tgz (gzip-komprimiertes tar-Archiv)
• black-letterhead-15-de.tbz2 (bzip2-komprimiertes tar-Archiv)

Enjoy!

Heute habe ich mich mal hingesetzt, und mein Blog komplett eingedeutscht:

Nach dem Anpassen des Zeit- und Datumsformats in den WordPress- Einstellungen [die richtigen Einstellungen sind: "j. F Y" und "G:i"] und dem Einpflegen der deutschen Sprachdatei sah das Ergebnis aber noch nach einem üblen Sprach-Mischmasch aus. Es fehlte noch die Übersetzung “meines” Wordpress-Theme Black Letterhead v1.4 von Ulysses Ronquillo.

Gesagt – getan: Jetzt gibt es eine deutsche Übersetzung der Version 1.4 des Black Letterhead-Theme.

Ich habe mich entschieden die Plugin-Version mit Theme Toolkit- Unterstützung zu übersetzen. Das bedeutet dass man bei dieser Version im WordPress-”Backend” ein paar Parameter einstellen kann. Das sind:

• die Breite des Theme (760px oder 960px),
• ob man die Seitenleiste lieber links oder rechts hat,
• ob man Bilder im Kopf des Blog anzeigen lassen will und
• welche Farben man verwenden möchte.

Sowohl frühere Versionen des Theme als auch die neue Version 1.5 (englisch) sind da eher statisch, und lassen sich nur durch edieren der Quelldateien an die eigenen Bedürfnisse anpassen. Das ist auch der Grund warum ich Version 1.4 überhaupt noch übersetzt habe. (Ich werde wohl selbst bald auf Version 1.5 umsteigen, die Avatar-Support bietet.)

Ich habe mir dann noch die Mühe gemacht auch die legacy- Teile des Theme zu übersetzen, die für den Betrieb mit meinem WordPress 2.6 gar nicht notwendig sind. Somit sollte die deutsche Version des Theme mit allen WordPress-Versionen laufen, mit denen die englische auch funktioniert.

Lange Rede, kurzer Download. Hier sind die Files:

• black-letterhead-14-tk-de.zip (ZIP-Archiv)
  
• black-letterhead-14-tk-de.tgz (gzip-komprimiertes tar-Archiv)
• black-letterhead-14-tk-de.tbz2 (bzip2-komprimiertes tar-Archiv)

Kennst Du das?

Du hast nach bestem Wissen und Gewissen versucht eine Information im Internet zu finden. Oder in einem speziellen Forum. du hast die eine oder andere Suchmaschine befragt und die Suchfunktion des einen oder anderen Forums, und dabei die Suchbegriffe variiert. Du hast eigenäugig erfolglos eine Hand voll scheinbarer Treffer nach der gesuchten Information durchsucht…

Und schließlich traust Du Dich doch Deine Frage in einem Forum zum Thema zu posten. Und dann kommt erst mal:

“Benutz’ doch erst mal die Suchfunktion!”…

…denn die von Dir gesuchte Information wäre quasi überhaupt nicht zu übersehen. Es wird Dir ernsthaft übel genommen daß Du Dich erdreistest die Ruhe der Regulars mit so einer Lappalie zu stören.

Aber einen Zeiger auf die gesuchte Information geben einem diese Spezialisten natürlich nicht.

Ja wie denn auch? ;-)

Als auf ihre Privatsphäre bedachte Surferin greife ich ausschließlich per TOR-Netzwerk auf Google zu, und verbiete dem Dienst sowohl die Verwendung von Scriptsprachen (Java, JavaScript) als auch das Setzen von Cookies. Außerdem unterbindet Privoxy für mich die Angabe eines Referrers und verschleiert User-Agent und Betriebssystem. Vor Googles Datenkrakerei sollte ich so ziemlich sicher sein.

Soweit, so gut.

In letzter Zeit jedoch bekomme ich immer häufiger die folgende Meldung zu sehen, wenn ich etwas auf Google suche:

Es tut uns Leid,

… aber Ihre Abfrage kann momentan nicht verarbeitet werden. Ein Computervirus oder eine Spyware-Anwendung sendet uns automatische Abfragen zu und es scheint, dass Ihr Computer bzw. Ihr Netzwerk infiziert wurde.

Wir werden Ihren Zugriff schnellstmöglich wiederherstellen, also probieren Sie es bald noch einmal. In der Zwischenzeit empfehlen wir Ihnen, anhand eines Virenscanners oder Spyware-Entferners zu überprüfen, dass auf Ihrem Computer kein Virus oder andere Störsoftware vorhanden ist.

Wir entschuldigen uns für eventuell entstandene Unannehmlichkeiten und hoffen, dass Sie bald wieder bei Google vorbeischauen.

Bei anderen Suchmaschinen wie mamma (die Mutter aller Suchmaschinen), altavista (das war früher mal die beste, ein ehemaliges Prestige-Projekt von dec) oder MetaCrawler (benutzt andere Suchmaschinen) habe ich immer irgendwie den Eindruck dass die Suchergebnisse nicht so gut sind wie bei Google. – Oder sind das nur meine Vorurteile?

Was also tun? Scroogle bietet einen Proxy-Dienst für Google, den Scroogle Scraper. Über diese Krücke geht es dann wieder. Und es gibt sogar eine SSL-Version. Gut. So können nicht mal mehr irgendwelche Exit-Node-Betreiber mitschnüffeln. Ich frage mich an dieser Stelle bloß warum Google die Scroogle-Nodes nicht auch als Spyware rausfiltert.

Aber von dieser praktischen Frage ganz abgesehen: Warum tut Google das? Dass Google weiß was TOR ist und wie man an die Liste der Exit-Nodes kommt, kann man wohl ausgehen. Dass hier also ahnungslos einfach nur IPs geblockt werden über die ungewöhnlich viele Suchanfragen eingehen, kann mithin so gut wie ausgeschlossen werden. Außerdem gibt es ja auch große ge-firewall-te Firmennetzwerke wo tausend oder mehr Clients per NAT über eine einzige IP ins Internet gehen und Suchanfragen schicken. Auch hinter solchen Riesen-NATs hatte ich bisher nie Probleme Google zu erreichen. Ist es also wirklich so, dass Googles Netzwerke unter Attacken von Würmern und Spyware zusammenzubrechen drohen, und man daher den anonymen Zugang zu der Suchmaschine blockieren muß?

Oder wird hier einfach offenbar, was im Grunde jeder weiß, der sich schon mal mit dem googleschen Geschäftsmodell beschäftigt hat? — Dass nämlich die Benutzung der Suche gar nicht kostenlos ist, sondern wir mit unseren – oft sehr privaten – Daten dafür bezahlen. Bei jedem Besuch der Google-Homepage. Bei jeder Webseite auf der AdSense-Anzeigen geschaltet sind, oder die GoogleAnalytics verwendet, und so weiter… Und das sind immer mehr.

Vielleicht will man ja auf diese Art auf der geforderten Bezahlung bestehen, ohne jedoch sein Image als “gute” Company zu verlieren? (Google-Firmenmotto: “Don’t be evil!”) — Denn wer sich gegen böse Viren und noch viel bösere Spionage-Software schützen muß hat natürlich sofort unser Mitgefühl und unser Verständnis. Ein Spion jedoch, der so tut als ob er es ehrlich mit uns meint, uns jedoch flugs die Zusammenarbeit kündigt, sobald wir ihm nicht mehr nützlich sind, den würde man wohl anders ansehen.

Anregungen? Kommentare? Tipps?