Konzertheld.de

Umwege verbessern die Ortskenntnis

Zufällige Artikel

Ausgewählte Infos

Seit eben benutzt Konzertheld.de, ebenso wie mein Portfolio christian-gredig.de und unsere Projektwebsite tensing-rheinruhr.de, ein Zertifikat von Let's encrypt. Die sind die ersten, die kostenlos valide, von jedem Browser akzeptierte Zertifikate für jede Domain verteilen. Damit sollte es hier nie wieder Meldungen über abgelaufene oder nicht für sicher gehaltenene Zertifikate geben - der Besuch dieser Websites läuft jetzt immer über eine mit einem gültigen Zertifikat gesicherte Verbindung.

Gleichzeitig habe ich das Problem mit dem "www" gelöst (hätte ja mal jemand sagen können, dass www.konzertheld.de seit ewigen Zeiten nicht mehr auf die richtige Datenbank zeigt). Außerdem verwendet mein Server jetzt HSTS.

Für den gemeinen Leser ist das alles herzlich wurscht, denn sicherheitsrelevante Informationen werden hier wohl kaum geteilt. Aber auch die sind nun immerhin verschlüsselt und jetzt kann keiner mehr mitlesen, ob ihr sicherheitsrelevante Dinge lest, geschweige denn welche. ;)

Seit ein paar Tagen bin ich WhatsApp-Nutzer. Wie immer, wenn ich einen meiner Grundsätze umwerfe, ringe ich ein bisschen mit mir selbst, ob das wohl so gut war, daher werde ich meine Gedanken mal ordnen. Ich war einer der letzten in meinem Freundeskreis, der einen Internetanschluss bekam, ich habe erst seit 2004 ein Handy und erst seit 2014 ein Smartphone. Das mag seltsam erscheinen, schließlich begann ich, Programmieren zu lernen, als ich 9 war, und zerlegte unseren PC im Wohnzimmer, bevor mein Vater verstanden hatte, in welcher Reihenfolge man die SCART-Kabel am Videorekorder anschließen musste (ich bin mir nicht sicher, ob er es je verstanden hat). Aber es war bei allen drei einfach kein Bedarf da - vielleicht fühlt sich die Entscheidung für WhatsApp deswegen etwas anders an.

Denn Bedarf besteht da nach wie vor nicht. Es war diesmal vielmehr das Wegfallen von Gründen für meinen Widerstand.

  • Kommunikation per E-Mail kann ich schon lange nicht mehr durchsetzen und schlimmer als Facebook sind SMS und Threema1 nun auch nicht. Und anders erreicht man heutzutage einfach niemanden mehr.
  • Sicherheit? Mit vielen Personen, die ich nun per WhatsApp erreichen kann, kommunizierte ich bislang per SMS. Die sind nichtmal während der Übertragung verschlüsselt.
  • Datenschutz? Dass ich mich nicht von Facebook abmelden werde, habe ich schon vor längerem entschieden. Seit ich ein Smartphone nutze, lagern meine Kontakte auch wieder bei Google. Da WhatsApp nun zu Facebook gehört, ist es einfach irrational, es aus Misstrauen nicht zu nutzen.
  • Sicherheit, zum zweiten? WhatsApp fordert irrsinnig viele Berechtigungen auf meinem Telefon. Seit Android 4.3 kann man darüber aber die Kontrolle erlangen. In der Tat versucht WhatsApp gelegentlich ohne Anlass, meinen Standort abzufragen oder meine Kontakte zu ändern - das habe ich ihm nun schlicht verboten.
  • Sicherheit, zum dritten? WhatsApp ist bekannt dafür, Sicherheitslücken nur langsam zu schließen. Das passt mir gar nicht. Vielleicht ein Grund, warum ich noch ein seltsames Gefühl dabei habe.

Bei den drei vorhergehenden Kommunikationserweiterungen - Internet, Handy, Smartphone - war einfach irgendwann die Zeit reif. Ich habe vorher ohne überlebt, nun möchte ich keins mehr abgeben. Vermutlich wird auch WhatsApp schon bald normal sein - es zwingt mich ja auch niemand, es ständig zu nutzen, und auch Fotos und Sprachnachrichten sind verzichtbar.

An rationalen, schlagkräftigen Argumenten bleibt jedenfalls nur eins: WhatsApp ist nur verfügbar, wenn Internet verfügbar ist - im Gegensatz zu SMS, die quasi immer zugestellt werden können. Da mit dem Smartphone aber auch das mobile Internet bei mir Einzug gehalten hat und ich sowieso noch nie ein Fan von wirklich ständiger Erreichbarkeit war, ist das kein Problem (und SMS sind ja nicht abgeschafft). Ich werde mich also vermutlich in einer Weile daran gewöhnt haben, dass meine Standard-Kommunikations-App auf dem Handy nun etwas anders aussieht. Bevorzugt sind sowieso immer noch Telefon und persönliches Treffen - aber mit den Gründen dafür könnte man einen weiteren Blogeintrag füllen.

  1. Als sicherer und vertrauenswürdiger geltende WhatsApp-Alternative

Dank des Perl-Skripts von MySQLDumper laufen Datenbank-Backups bei mir vollautomatisch. Mit der Funktion des regelmäßigen Aufräumens war ich aber nicht ganz zufrieden. Ich wollte gerne, dass immer die zehn neuesten Backups behalten werden und von den älteren nur noch eins pro Woche. Das geht mit folgendem Bash-Skript:

  1. #!/bin/bash
  2. # Get all konzertheld backup files reverse ordered (konzertheld_yyyy_mm_dd_hh_mm.sql.gz)
  3. FILES=`ls konzertheld_* -r`
  4. # Initiate
  5. i=0
  6. LWNR=0
  7. # Go
  8. for f in $FILES
  9. do
  10.   i=`expr $i + 1`
  11.   # skip first 10 backups
  12.   if [ $i -gt 10 ]
  13.   then
  14.     # Get the database name by extracting the substring before the position of the first _
  15.     # echo ${f:0:`expr index "$f" _`-1}
  16.     # Get the date part by extracting a 10 long substring from the position after the first _
  17.     DATUM=${f:`expr index "$f" _`:10}
  18.     DATUM=${DATUM//_/-}
  19.     # Get week number
  20.     WNR=`date +%V -d $DATUM`
  21.     # If we already had that week number this is an older backup from that week. Delete it!
  22.     if [ $LWNR -eq $WNR ]
  23.     then
  24.       echo $f
  25.     fi
  26.     # Set the last week number to the current one. So if the next backup is from a different week it will be kept, if not, deleted.
  27.     LWNR=$WNR
  28.   fi
  29. done

So werden von den älteren immer alle bis auf eines aus einer Woche gelöscht. Wenn man nur automatisiert backupt, kann man das natürlich auch ohne die Wochennummer machen und einfach jedes siebte Ei jede siebte Datei löschen, aber mit der obigen Methode werden auch alte Backups gelöscht, die man mal manuell angelegt hat. So wie ich an Tagen, an denen alle zehn Minuten die Datenbank explodieren könnte, so dass ich ständig Backups anstoße...

Jeder Website-Programmierer weiß, dass es ätzend ist, mit alten Browsern arbeiten zu müssen. Außerdem haben veraltete Browser Sicherheitslücken, die nicht mehr geschlossen werden, weil der Aufwand der Pflege alter Versionen auch für den Herausgeber zu groß ist. Trotzdem verwenden viele Menschen veraltete Browser. Vor allem beim auf Windows vorinstallierten Internet Explorer ist das verbreitet, da dieser trotz Windows-Updates nicht automatisch aktualisiert wird und auch nicht auf Updates hinweist.

Für CMS- und Blogbetreiber gibt es da eine nette Hilfestellung. Auf browser-update.org gibt es ein kleines Javascript, welches einen dezenten und doch unübersehbaren Hinweis einblendet, falls der Besucher der Seite einen veralteten Browser benutzt. Wie genau "veraltet" definiert wird, kann man dabei dem Herausgeber überlassen (dann ist es immer dann soweit, wenn der Herausgeber den Support einstellt) oder selber bestimmen.

Für Habari, die Plattform, auf der Konzertheld.de läuft, habe ich selbst ein passendes Plugin geschrieben. Damit lässt sich das Javascript automatisch einbinden und wahlweise über die Plugin-Konfiguration selbst Browserversionen festlegen. Das Plugin ist öffentlich verfügbar und über Git bearbeitbar auf GitHub unter habari-extras.

Eines dieser Projekte, die ich wirklich nicht ernst nehmen kann: De-Mail. E-Mails, über eine gesicherte Verbindung (nicht Ende-zu-Ende) verschlüsselt übertragen werden. Da stellen sich mir zwei grundlegende Fragen.

Was ist daran neu?

Anmeldeverfahren über gesicherte Verbindungen gibt es schon lange und verschlüsseln kann auch jeder. Jetzt ist es (vielleicht) ein bisschen bequemer geworden, kostet dafür aber teilweise Geld. Auch dieses Konzept ist nicht neu. Behördengänge und anderen wichtigen Kram online erledigen: Das ist keine Erfindung der De-Mail, sondern die lange überfällig Feststellung, dass auch die deutschen Behörden dieses "Internet" kennen lernen sollten. Rechnungen von Firmen werden schon lange online zugestellt, bei vielen Firmen automatisch oder auf Wunsch mit Signatur.

Was ist an der bisherigen E-Mail anders als an Papierpost?

Ganz im Ernst: Mein E-Mail-Postfach hat ein unglaublich sicheres Passwort, mein Briefkasten gar keins. Da ist 'ne Klappe dran, die kann man hochmachen und meine Post rausklauen. Das würde ich nichtmal merken. Geht sogar schon bevor der Postbote die Post aus dem Kasten holt. An meine Mailadresse kann man mir Spam schicken - per Post in den Briefkasten ist das sogar legal (nur nicht so umweltfreundlich). Und Phishing - schonmal jemanden beerdigt? Na? Gesehen, was da für Post kommt und wer plötzlich Geld will? Da ist die Erfolgschance ja sogar viel höher, denn die Aufklärungsrate für Online-Betrug ist hoch, aber was "schwarz auf weiß" kommt, gilt immer noch als seriös.

Und Verschlüsselung gegen Manipulation - was, nur weil die meisten Postbeamten vertrauenswürdig sind, ist das Papiermedium sicherer? Ich habe kürzlich ein amtliches Schreiben bekommen, indem mit Kuli korrigiert wurde, die Stadt muss wirklich arm sein, wenn sie das Dokument nichtmal neu ausdruckt, wenn es Fehler enthält. Das war von Hand verklebt, überhaupt kein Problem, das zu öffnen und zu manipulieren und wieder zu verschließen. Was, ich spinne, das macht doch keiner? Und, wurde schonmal eine deiner Mails manipuliert?

Ich sehe so schon keinen Bedarf für ein solches Produkt. Und dann kommt noch die Deutsche Post mit ihrem Konkurrenten E-Postbrief. Das sind E-Mails, die wie Briefe sind, nur teurer. Eine normale E-Mail (Maximalgröße 20MB) kostet soviel wie ein Standardbrief. Empfangsbestätigung (Einschreiben) kostet 1,60€ extra. Ein absolut irrsinniger Preis, wenn man die FAQ gelesen hat und daher weiß, dass diese Funktion nichts weiter bewirkt, als dass der Empfänger einen weiteren Klick ausführen muss, um die Nachricht zu lesen. Er bestätigt damit die Kenntnisnahme der Nachricht. Die Preise der De-Mail stehen leider immer noch nicht fest, aber der E-Postbrief ist schonmal keinen Cent billiger als die klassische Post.

Ehrlich gesagt fühle ich mich ziemlich verarscht von diesem Konzept. Bei der Telekom, die Anbieter der De-Mail ist, heißt es im Werbe-Flash: "Meine Freunde vertrauen mir per E-Mail. Warum meine Versicherung nicht?" Das ist genau die richtige Frage. Warum nicht? Beziehungsweise: Warum nicht alle? Meine Fotoversicherung zum Beispiel vertraut mir per Mail. Alle Dokumente habe ich online eingereicht. Die Versicherungspapiere habe ich allerdings trotzdem per Post erhalten. Aber wie eingangs erwähnt, sind andere Firmen da schon vollständig digital.

Die einzigen, die noch fehlen, sind die staatlichen Behörden. Und ganz im Ernst: Dass die immer am langsamsten sind und eine Extrawurst brauchen, ist auch nicht neu.

 1 2 3 Älter »

Icons by http://www.famfamfam.com/lab/icons/silk/

Photo copyright by me unless noted