Der Dropbox-Überfall

Als Internet-Poweruser (auch so ein Wort aus den gefühlten Achtzigern) fühlt man sich allgemein hin gegen Phishing-Attacken gewappnet und glaubt nicht so schnell auf irgendwelche Tricks reinzufallen. Wenn die Attacke allerdings von einem Kollegen zusammen mit einem bekannten Dienst zur Datenspeicherung in der Cloud ausgeführt wird, dann kann man schon mal in Wanken geraten…

Also… ein Kollege meint, wäre doch cool mal das Dropbox Team Feature im Team auszuprobieren, schaltet die Option ein und verschickt Einladungen an seine Tischnachbarn. Ich denke, na prima, das probierste mal aus: Team ist ja an sich schon mal eine super Sache (so als Teamleiter).

Klick… komme ich also auf eine Seite bei Dropbox, die mir stolz verkündet, dass ich nun mit meinem (privaten!) Dropbox-Account dem Team beitreten könne, dass es aber so sei, dass wenn ich das täte jederzeit eines der Teammitglieder den Dropbox-Business-Tarif einschalten könne und dann würde dieses Mitglied zum Administrator und der könne dann alle meine Dateien in meiner (privaten!!) Dropbox ansehen. Nein, das will ich nicht.

Hat man sich bei Dropbox auch gedacht: das will doch keiner. Deswegen kann man als Alternative auswählen, einen neuen Dropbox-Account anzulegen. Und hier kommt es zum Missverständnis…

Interlude: ich möchte an dieser Stelle anmerken, dass alle anderen Eingeladenen an dieser Stelle direkt zugestimmt haben, ohne den Text zu lesen, insofern… jedenfalls habe ich auch nicht richtig geschaut…

…ich dachte nämlich, man lege einen neuen Account an, der dann Mitglied in dem Team wird. Folglich habe ich dazu auch gleich die Firmenmail verwendet, eben passend zum Team. Dropbox meint aber etwas anderes: Dropbox mappt alles von alten privaten Account auf den neuen Account, leert den alten Account und dieser wird dann Mitglied im Team. Oder anders formuliert: am Ende des Prozesses stehe ich da, mit all meinen Dropbox-Daten in einem neuen Account mit Firmenadresse und mein private Dropbox-Account ist leer und Mitglied im neuen Dropbox-Team.

Super. Aber falsch. Perfider Weise wurde alles mitkopiert: Tokens, Anmeldungen, Appverdongelungen und Two-Factor-Authentication, alles unter der neuen Email-Addi. Das war nicht das was ich wollte!

Um das wieder zurück zu switchen bedurfte es einen weiteren Email-Adresse, die ich Dropbox in den Rachen schmeissen musste, denn zurückändern von einer Email auf eine schon benutzte Email geht natürlich nicht. Glücklicherweise kann man ansonsten relativ leicht Emails ändern in Dropbox. Siehe oben.

Mal in Kürze: Dropbox ihr habt sie doch nicht alle!

Schnelles mobiles, eingezäuntes Internetdings…

Kürzlich fragte ich mich wieder einmal: »Du Nico, das was wir da machen, machen wir das eigentlich richtig?«, und sah mich ein wenig säuerlich im Spiegel an. »Immerhin kann ich dich noch ansehen und wir reden noch miteinander«, habe ich meinem Spiegelbild geantwortet, aber zum Nachdenken hat es mich schon gebracht. Ich mache jetzt seit, ich weiss nicht, gefühlten hundert Jahren Webentwicklung, seit genau 10 Jahren im größeren Verlagsumfeld. In dieser Zeit hatten wir Webentwickler auf so ziemlich jede Herausforderung irgendwie immer die richtige Antwort, meine waren zumeist Webstandards gepaart mit moderner und möglichst minimalistischer Umsetzung der heiligen Dreifaltigkeit der Webentwicklung, HTML, CSS und ein wenig Javascript. Doing the right things hat eigentlich immer ausgereicht. Und das soll nun heute nicht mehr stimmen?

»Wann ist Webentwicklung eigentlich so kompliziert geworden«, hat mich ein entnervter Kollege jüngst gefragt, wahrscheinlich gerade mit einer Konfig oder schlimmer noch, Abhängigkeit unserer inziwschen gigantomanischen Entwicklungsumgebung kämpfend. Update auf El Capitan? Lieber nicht. War das nicht gerade erst gestern? Als wir die Tür aufstiessen in das gelobte Land der Präprozessoren und task runner und serverseitigem Javascript. Ich weiss ja, das damit viel Scheiss gebaut wird, aber wir kämpfen damit, all diese neuen Waffen so gewinnbringend und geschickt einzusetzen, wie es eben möglich ist, für den User und für uns. Aber es bleiben eben Waffen und da draussen™ wird damit viel Unsinn angestellt, wie im richtigen Leben.

Und dann sind da die Apps. Ist das eigentlich erst drei oder schon vier Jahre her, dass wir alle Apps machen wollten? Vielleicht half mir ein frühes Scheitern, aber um mich herum scheint sich daran noch nichts geändert zu haben. Keiner will mehr Webseiten bauen, sondern es soll appig aussehen, sich appig anfühlen und natürlich genauso funktionieren. Und man kann nicht alle Zähne ziehen, nicht alle Anforderungen zerreden und nicht alle Aufträge wegdiskutieren. Natürlich nicht. Und ich sehe auch nicht die direkte Verbindung zwischen app-a-like und imperformant, wie ich es immer wieder lese. Vielleicht bin ich da zu naiv, aber solange man Webstandards nutzt und möglichst minimalistisch… siehe oben.

Wo ich wirklich wirklich wirklich ein Problem sehe ist, dass zwar alles Aussehen soll wie eine App, sich aber finanzieren soll wie eine Website. Mit Werbung aus dem tiefsten Mittelalter des Netzes, nur noch langsamer und schwerer als jemals zuvor. Inzwischen zwar auch HTML, CSS und Javascript, nur der Minimalismus fehlt. Eine ganze Industrie, die sich konsequent in die falsche Richtung entwickelt hat, seit Anbeginn, weil kaltes Profitmaximieren sinnvollem Codeminimieren sowas von im Wege steht. Während sich die ganze Welt über responsive Webseiten freut, ist DACH fest ausgerichtet auf zwei Formate: mobile und desktop, nichts daziwschen, und letzteres bitte immer hübsch aussen rum und natürlich above the fold. Und sie kommen nicht hinterher… Und tracken, alle wollen tracken. Der Websitebetreiber nutzt zwei bis vier Tracker, der (oder die) Addienstleister bringen ein Handvoll Tracker mit, und jedes Ad, das wahnsinnigerweise von irgendeinem Pentiumrechner, der in irgendeiner Agentur unter dem Schreibtisch steht, ausgeliefert wird, bringt auch noch ein paar Tracker mit. Weil ja keiner mehr Ads sehen will.

Und da kommt nun Apple mit seiner Message: wir machen das werbefinanzierte Web platt, wie wir die Musikindustrie platt gemacht haben, um es danach zu retten, zu unseren Bedingungen versteht sich. Und sie haben Recht, denn Webseiten laden langsam, kosten Akkulaufzeit und verballern das teuer eingekaufte Kontingent an Daten im mobilen Netz. Nur die Bedingungen sind nicht so toll: Apps bauen, walled garden, Fleischfarbenfilter, Abhängigkeit. Und alle kommen mit der gleichen Erpressung: willst Du mitspielen, brauchst Du schnelle Seiten, entweder bei Facebook (für den Traffic sorgt der Algorithmus, oder eben nicht), oder bei Google (für Traffic sorgt die Suche, oder eben nicht). Gebt all euren Content für ein schnelles mobiles, aber eingezäuntes Internet. Man könnte sich direkt selbst in den Fuß schießen, oder die Chance verpassen, bei dem Versuch einen Elch zu erlegen, kann ja sein.

Aber was mich gleichzeitig freut und schmerzt ist dieses: Keiner macht dort irgendetwas, was nicht jeder Websitebetreiber selbst hätte machen können, mit Webstandards und der minimalistischen Anwendung der heiligen Dreifaltigkeit der Webentwicklung: HTML, CSS und Javascript.

Landesverrat

Gestern hat Bundesstaatsanwalt Range ein Strafverfahren gegen zwei Journalisten (und ihre Quellen) von netzpolitik.org (die Seite ist derzeit regelmäßig überlastet) eingeleitet. Der Vorwurf lautet Landesverrat § 94 StGB und bezieht sich auf die Veröffentlichung geheimer Dokumente, die belegten, dass der Verfassungsschutz 2,75 Mio. Euro aus geheimen Haushaltsfonds für die Erweiterung der Massendatenerfassung einsetzen will bzw. einsetzt. Anzeige hat der Präsident des des Bundesamtes für Verfassungsschutz Hans Georg Maaßen gestellt. Das Echo in den Medien und in den sozialen Netzwerken ist ohrenbetäubend.

Aber, was ist das denn eigentlich Landesverrat? Der § 94 des Strafgesetzbuches bildet die Kerntätigkeit der Spionage ab. Er stellt den Verrat eines Staatsgeheimnisses, welches in § 93 StGB definiert wird, unter Strafe. Ein solches Staatsgeheimnis sind Tatsachen, Gegenstände oder Erkenntnisse, die nur einem begrenzten Personenkreis zugänglich sind und vor einer fremden Macht geheim gehalten werden müssen, um die Gefahr eines schweren Nachteils für die äußere Sicherheit der Bundesrepublik Deutschland abzuwenden. Damit es ein Landesverrat wird, muss man ein solches Geheimnis einer fremden Macht oder deren Mittelsmännern mitteilen (die klassische Spionage), oder es sonst an Unbefugte gelangen lassen oder öffentlich machen (whistleblowing im heutigen Sinne), allerdings um die Bundesrepublik Deutschland zu benachteiligen oder eine fremde Macht zu begünstigen. Weiterhin muss dadurch noch die äußere Sicherheit der Bundesrepublik in Gefahr geraten. Die Strafandrohung ist Freiheitsstrafe nicht unter einem Jahr (womit es sich um ein echtes Verbrechen handelt).

Trotz allem Juristendeutsch ist § 94 doch recht eingängig formuliert. So ist die klassische Spionage zum Beispiel eher zu bestrafen, als das Veröffentlichen eines Geheimnisses, da bei letzteren noch die Absicht vorliegen muss, die Bundesrepublik zu benachteiligen oder eine fremde Macht zu begünstigen. Und bei allem muss auch noch die äußere Sicherheit des Republik in Gefahr sein. Man braucht nicht viel Fantasie, um allein schon diese Punkte im Falle von Netzpolitik eindeutig zu verneinen. Aber das ist natürlich auch eine politische Frage und eine Frage der Auslegung.

Wenn wir davon ausgehen, dass dem BfV-Präsidenten die Idee, Netzpolitik anzuklagen nicht gerade auf dem Klo oder nach einem Besäufnis in der Kantine des Bundesamtes eingefallen ist, können wir aber annehmen, dass er in seiner Anzeige sehr genau ausgeführt hat, worin er die Gefahr für die äußere Sicherheit der Bundesrepublik sieht. Und auch die Bundesanwaltschaft wird dazu etwas zu sagen haben, denn sonst wäre die Einleitung des Verfahrens an sich schon lächerlich. Ich weiss natürlich nicht, ob der Bundesstaatsanwalt nicht per se Lust daran verspürt, sich und seine Behörde lächerlich zu machen. Kann ja sein.

Leider sind die Herren nicht so dumm, wie sie sich in der Öffentlichkeit darstellen, insofern muss noch etwas mehr dahinterstecken, einen derartig vorhersehbaren Mediensturm zu entfachen. Die Hoffnung oder Berechnung könnte sein, dass sich im Laufen eines (wenn auch sinnlosen) Verfahrens, Zugriff auf die Quellen von Netzpolitik erlangen lässt, dies könnte sogar das Hauptziel des Verfassungsschutzes sein: das Leck offen zu legen. In dem Fall liesse sich der Bundesstaatsanwalt vor den Karren spannen. Eine Diskreditierung von Netzpolitik, wie sie seinerzeit Franz-Josef Strauss beim Spiegel im Sinn gehabt haben mag, kann es wohl nicht sein, denn es ist offensichtlich, dass man in der heutigen Zeit mit einer solchen Anklage das genaue Gegenteil erreicht. Wohl aber kann das Verfahren eine teure Sache für die Kollegen von Netzpolitik werden, vielleicht erhofft man sie so zu beschäftigen, um weitere Berichterstattung zu verhindern. Und zu guter Letzt ist es natürlich ein Zeichen an alle anderen Whistleblower, dass die Geheimdienste bereit sind, die Mittel auszuschöpfen, um weitere Öffentlichkeit zu vermeiden.

Das ist also die Situation in diesem Land, Stand 2015: während sich die Verfassungsschützer damit beschäftigen, das Volk auszuhorchen und zu überwachen, und sich Politik und Bundesstaatsanwalt außer Stande sehen, gegen die Massenüberwachung durch die amerikanische NSA etwas zu tun, welche vom Bundesnachrichtendienst noch unterstützt wird, werden gleichzeitig Blogger, Journalisten und Whistleblower, die sich an der Öffentlichmachung all dieser Dinge beteiligten, mit Verfahren überzogen, um sie mundtot zu machen. Es wird immer eindeutiger, dass Politik, Geheimdienste, Exekutive und Justiz gemeinsam handeln, um eine lückenlose Überwachung des Volkes zu installieren, oder schon installierte Überwachungsinstrumente zu schützen. Dabei ist man sich nicht zu schade, politisches Porzellan tonnenweise zu zerbrechen, um jene abzuschrecken, die sich mit Transparenz gegen diese Ziele stellen und aktiv werden.

Wer killt hier eigentlich wen?

Performance, performance, performance. Als Webentwickler mit Verantwortungsbewusstsein reisst man sich ja seit Jahren den Arsch auf, um hier und da noch ein paar Bytes einzusparen, die Requests zu reduzieren, die Downloads zu beschleunigen und wenn alles nichts hilft, das Rendering so zu optimieren, dass wenigstens die gefühlte Geschwindigkeit stimmt. Ich habe kiloweise Artikel dazu gelesen, Vorträge gesehen, verlinkt, selbst gehalten, wie alle meine Kollegen. Und das alles stecken wir in die tägliche Entwicklung, reviewen uns gegenseitig und treten gegenüber Designern, PO und Stakeholdern permanent als die Warner und Mahner auf, Bedenkenträger by profession, alles um am Ende ein paar Millisekunden Speed herauszuholen.

Eigentlich können wir uns das aber auch schenken. Vergessen. Unsere Lebenszeit besser einsetzen. Denn es bringt alles nichts. Ist nutzlos, vergebene Liebesmüh. Auf die Idee könnte man zumindest kommen.

Denn wenn die möglicherweise hochperformante Website dann live ist, wird sie zugeballert von eine ganzen Phalanx von Trackingskripten, Werbeeinbindungen und Bannerwerbungen, die alle das Erstladerecht für sich beanspruchen und gefühlt von Leuten programmiert werden, die wahlweise keine Ahnung haben oder auf Performance täglich ihre Notdurft verrichten, einfach nur so, weil sie es können. Lese ich auch beim Guardian, Ad tech is killing the online experience, dessen Website natürlich ebenso mit Werbung zugekleistert ist:

[R]eally it’s not the website’s fault, since to a very large degree the owner of the website you’re visiting doesn’t actually control what you see, when you see it, how you see it, or even whether you see it. Instead, there are dozens of links in the advertising-technology chain, and every single one of them is optimising for financial value, rather than low-bandwidth user experience.

Da ist viel dran: denn neben dem Betreiber weiss natürlich auch der Techniker einer Website nicht, was werbemäßig passiert. Ist eine Website erstmal vermarktet, gibt es dort Bereiche, auf die deren Betreiber nur in sehr kleinem Maße noch Einfluss hat. So ist die Technik. Aber auch der Betreiber des Adservers von dem die Werbung eingespielt wird, zuckt regelmäßig mit den Schultern. Denn dort sind schon lange keine echten Ads mehr eingebucht, sondern wieder nur Links und Weiterleitungen zu anderen Adservern, Agenturservern, irgendwelchen Servern, die zumeist auch selbst wieder irgendwohin weiterleiten. Und jeder bringt noch schnell seinen eigenen Tracker mit. Deswegen kann man beispielsweise gar nicht sagen: wir haben drei/vier/fünf Tracker auf der Seite, da man nicht wissen kann, was noch dazu kommt, je nach ausgespielter Werbung. Nochmal der Guardian:

Web-based articles, these days, are increasingly an exercise in pain and frustration. In many ways, the experience of reading such things is worse today than it was in the early days of dial-up internet. Because at least back then web pages were designed with dial-up users in mind. […] Today, by contrast, everything is built for a world where everybody has a high-bandwidth supercomputer in their pocket.

Obwohl wir natürlich alle tatsächlich einen Supercomputer in Hosentasche mit uns herum tragen. Ein iPhone6 beispielsweise ist heute genauso leistungsstark, wie ein 11 Zoll MacBook Air von vor ein paar Jahren. Nur, warum funktionieren Webseiten dann darauf nicht besser? Bei The Verge hat man dafür die Hersteller von mobilen Browsern als Schuldigen ausgemacht, The mobile web sucks:

But man, the web browsers on phones are terrible. They are an abomination of bad user experience, poor performance, and overall disdain for the open web that kicked off the modern tech revolution.

Wobei lustig ist, dass die Website von The Verge nicht gerade eine Performance aus dem Bilderbuch abliefert. Auf der Seite meldet Ghostery 26 (!) Tracker, sie zu laden hat bei mir eben lange acht Sekunden gedauert. Am Desktoprechner wohlgemerkt. Wie alle werbefinanzierten Seiten eben.

And yes, most commercial web pages are overstuffed with extremely complex ad tech, but it’s a two-sided argument: we should expect browser vendors to look at the state of the web and push their browsers to perform better, just as we should expect web developers to look at browser performance and trim the fat. But right now, the conversation appears to be going in just one direction.

Hervorhebung von mir. Naja. Ob das so stimmt? Also zumindest im Falle Apple muss man sich schon fragen, warum es mit der Entwicklung des Safaris nicht so richtig voran geht, ob vielleicht sogar die Aussagen zutirfft Safari is the new IE.

They never send anyone to web conferences, their Surfin’ Safari blog is a shadow of its former self, and nobody knows what the next version of Safari will contain until that year’s WWDC. In a sense, Apple is like Santa Claus, descending yearly to give us some much-anticipated presents, with no forewarning about which of our wishes he’ll grant this year. And frankly, the presents have been getting smaller and smaller lately.

Auffällig allerdings, dass Apple zuletzt sowohl ein Adblocking für iOS9 ankündigte, als auch den Start einer eigenen Newsapp. Für letztere stellen sie sogar Journalisten ein. In die gleiche Kerbe schlägt Facebook mit seinen Instant Articles, auch wenn diese immer noch nicht in ernstzunehmender Zahl stattgefunden haben. Fakt ist: Apple und Facebook wollen in Zukunft immer mehr Newskonsumenten in ihre walled gardens locken.

Ich will ja nicht schon wieder The End Of The World As We Know It verkünden, mache mir aber doch Sorgen, ob es nun mit dem Umbruch weg von adfinanzierten Modellen zu noch in den Sternen stehenden Finanzierungsmöglichkeiten nicht etwas schnell geht. Zumal da doch noch einiges drin wäre, würde sich nur mal jemand bewegen. Die Webwerbebranche müsste sich gehörig ändern, um Strukturen zu entwickeln, die in dieser Gemengelage konkurrenzfähig wären. Ist ja nicht so, dass man an den völlig veralteten Bannereinbindungen nicht noch viel an Performance raus zu holen ist. An responsive webdesign will ich dabei noch gar nicht denken, obwohl das natürlich auch Pflicht wäre. Ein kleines Beispiel gefällig?

Gleichzeitig muss man natürlich immer und immer wieder die Frage nach den Alternativen stellen. Denn, angenommen, man will seine werbefinanzierte Website weiterbetreiben, was sollten man denn verkaufen, wenn es mit Werbung nicht geht und mit Bezahlschranken nicht klappt? Ja, was?

Reinhold Gall und die Freiheitsrechte

Ich weiss inzwischen nicht mehr, was eigentlich schlimmer ist, das völlig erwartbare scheitern der SPD an der Vorratsdatenspeicherung, oder dass sie im Nachlauf dazu offen legt, das die vermeindlichen Gewinner der Abstimmung einen politischen Intelligenzquotienten knapp über Raumtemperatur an den Tag legen.

Das ist einfach unglaublich. Reinhold Gall, der in der SPD eine vom Tellerwäscher-zum-Millionär-Karriere gemacht hat, nämlich vom Kommunalpolitiker bis zum baden-württembergischen Innenminister, präsentiert uns hier in aller Deutlichkeit, dass er weder vom Thema etwas versteht, noch sich jemals mit den Argumenten der Gegenpartei auseinandergesetzt hat. Sascha Lobo führt das in aller Länge aus. Ein kommunikationspolitisches Eigentor möchte man meinen, aber nicht doch… den Herrn Innenminister ficht das nicht an, da hat er sich eben nur etwas falsch ausgedrückt, schnell ein Korrekturtweet, mit zwei Tagen Latenz hinterher geschickt:

Man möchte es fast als ewiges Menetekel so stehen lassen. Gall kann Grundgesetz nicht, wie man in spezialdemokratisch wohl sagen würde, und hat auch keine Ahnung, was er da mit seinen Parteifreunden am Wochenende durchgesetzt hat. Ich freue mich schon auf den nächsten Tweet…

Wenn die Nacht am tiefsten

factorycrowd-960x350

Hannes Waders „Trotz alledem“ gehört zu meinen Arbeiterliederevergreens (sic!) seit den ersten Jugendzeltlagern mit den Falken. Ich mag das Lied und Hannes Wader noch mehr. Matthias Richels Aufruf an die Genossen den kleinen Parteitag am 20. Juni allerdings offenbart nicht nur die letale Krankheit der SPD, sondern im Grunde der ganze Demokratie. Wer hat uns an diesen Abgrund manövriert, an dem es tausend Kilomter steil bergab geht Richtung 1984 und alles was zwischen uns und dem Beginn des endgültigen Verlusts der Freiheit steht, ist ein Parteikonvent der SPD und vielleicht das Bundesverfassungsgericht? Wie erbärmlich ist das alles?

Der alte Text von „Trotz alledem“ handelt ja davon, dass am Ende die Gerechtigkeit siegen wird. Und so auch Waders Version von 77. Es war ja viele viele Jahre guter Glauben, in linken Kreisen, dass am Ende, quasi unausweichlich, wenn man nur brav seine Arbeiterlieder singt und sich am ersten Mai die Kante gibt, die Revolution auf jeden Fall kommen wird und dann siegt, trotz alledem. Das mag sein, es mag aber auch sein, dass wir zum jetzigen Zeitpunkt, im hier und jetzt, weiter von diesem Zeitpunkt enfernt sind, als jemals zuvor. Heute singt Wader das anders:

Wenn das System auch fault und stinkt
Weiss doch kein Mensch – trotz alledem
Wann es in sich zusammensinkt
Mächtig und zäh – trotz alledem
Kann es noch eine Weile fortbesteh’n
Doch sollte es zu lang so weiter geh’n
Könnte, was danach kommt, sogar
Noch schlimmer sein – trotz alledem

Ich habe das Netz lange als Möglichkeit gesehen, dem Volk gegenüber der Macht den entscheidenen Vorteil zu geben, weil wir wussten es zu nutzen, uns darin zu artikulieren und dort zu verstecken. Doch wir haben unseren zeitlichen Vorsprung nicht genutzt, haben es versäumt, die Pflöcke einzuschlagen, das dem Netz seine Freiheit garantiert hätte, stattdessen haben wir Katzenbilder verschickt. Nun schlägt die oben kursivte Macht mit aller Gewalt zurück, hat gelernt, wie das Netz funktioniert und nutzt es für seine Zwecke. Wie geht es weiter, trotz alledem?

Es gibt Leute die sagen, das Netz sei eben genauso, würde immer einen Weg zur Freiheit finden, ob Umweg oder Abkürzung ist egal, aber am Ende wird es siegen. Und ich bin bereit, das zu glauben, wenn man den Gedanken mit dem Verve aus „Trotz alledem“ kombiniert, denn: nur im Netz siegen wird nicht reichen. Aber dann kann es vielleicht irgendwie klappen. Trotz #vds und alledem, trotz SPD unf alledem.

Hierzu sei ein anderer meiner Agitprop-Helden zitiert:

Manchmal bin ich kalt und schwer wie ein Sack mit Steinen.
Kann nicht lachen und auch nicht weinen.
Seh keine Sonne, seh keine Sterne,
und das Land, das wir suchen, liegt in weiter Ferne.
Doch ich will diesen Weg zu Ende geh’n,
und ich weiß, wir werden die Sonne seh’n!
Wenn die Nacht am tiefsten ist, ist der Tag am nächsten.
[Rio Reiser, Ton Steine Scherben]

Dies ist inzwischen der fünfte Artikel meines Benblogging-Projektes.

Instant Articles

Klingt wie Instantkaffee.

instantarticles

Ich würde dem Guardian, oder der New York Times eigentlich nicht unterstellen, hinsichtlich ihrer Vertriebsstrategien im Netz dumm zu handeln, zu oft in den letzten Jahren hatte gerade sie die Nase vorn. Spiegel und Bild traue ich da wesentlich weniger zu. Was nun aber alle gemeinsam haben ist, dass sie Launchpartner bei Facebooks sogenannten instant articles sind, in Zukunft also Inhalte direkt auf Facebook veröffentlichen, ohne Link zur Mutterseite, komplett, ohne Netz und doppelten Boden also. Wie man weiss, performt original content auf Facebook besonders gut. Ebenso weiss man, dass sich schlappe 30 Millionen Nutzer dort herumtreiben und man kann annehmen, dass der Facebook-Algorithmus dafür sorgen wird, dass alle instant articles zu sehen bekommen. Das Werbeumfeld dürfen noch dazu die Anbieter selbst vermarkten.

Das alles verwundert mich auf so vielen Ebenen, man findet kaum Worte dafür. Speziell für Bild ist damit die Ära paid content wieder zu Ende, obwohl man natürlich auch in Facebook Bezahlmodelle für Content entwickeln möchte. Im Grunde ist das die Wiederholung des alten Modells aus der Anfangszeit des Netzes: Content raushauen, hoffen das die Werbung geklickt wird. Als Zugabe gibt’s Nutzerdaten und den Traum von Farmvilledollarmillionen. Halte ich ehrlich gesagt für eine Scheissidee.

Andererseits könnte das natürlich auch alles hochinnovativ sein. Ich meine Sätze wie „Facebook wird sich eh‘ nicht durchsetzen“ oder „das ist nur eine Modeerscheinung“ schwirren mir durch den Kopf und es klingelt dabei ganz seltsam. Vielleicht ist das Internet as we know it tatsächlich schon am Ende und war nur der Geburtshelfer für… Gottchen, da wird einem ja schlecht. Tatsächlich ist es ja ziemlich schlecht bestellt um das open web, das kann man nicht von der Hand weisen. Und was wir in den letzten Wochen sehen, ist sowas wie eine erste Lagerbildung für das Endgame, wir gehen mit Google, die anderen eben mit Facebook. Oder so.

Einzig Mark Zuckerberg kann sich ganz ohne schlechten Geschmack auf der Zunge freuen, dass er es geschafft hat, mit es einer billigen Steve-Jobs-frisst-die-Musikindustrie-Imitation geschafft hat… ja, was eigentlich? Stay hungry Mark!

Update: Natürlich sind instant articles auch nicht wirklich zugänglich, ein grundsätzliches Problem, wie Eric Eggert anmerkt:

We need to be really cautious that we don’t lose HTML/CSS as the primary, open, accessible, linkable, syndicatable solution for web content. If we are not, this might be a turning point.

Oettinger, die Taliban und Netzneutralität

Das ist der EU-Komissar für Digitales, aus Deutschland. Ein Konservativer, kein Bauer, auch wenn er aus dem tiefsten Ländle kommt, sondern Rechtsanwalt und Steuerberater.

Hier zeigt er uns, wie man reaktionär argumentiert. Erfinde einfach ein paar Lügen, die so wahnwitzig erscheinen, dass niemand bei voller geistiger Gesundheit es für nötig hält zu widersprechen. Denn während unsereins sich kopfschüttelnd abwendet, glauben das leider noch massenhaft Leute. So läuft es ja auch gerne bei der Diskussion um Klimawandel. Günther Oettinger gibt eben den Jim Inhofe für bzw. gegen Netzneutralität. Ich hege hohe Anerkennung für jeden, der bereit ist, sich mit einem solchem Gestammel noch ernsthaft politisch auseinander zu setzen, obwohl das natürlich die einzig richtige Reaktion ist.

Nenne deine Gegner einfach in einem Satz mit Terroristen. Ist der zweite Teil der hohen Kunst der reaktionären Diskussionsstrategie. Wobei Oettinger lustigerweise die Piraten in den Vordergrund stellt. Ich nehme an, dass er von seiner europäischen Sicht auf die Heimat zurück schließt. Oder er subsumiert absichtlich alle Gegner unter diesem für ihn mit kriminell gleichlautenden Begriff. Wie er sich freut, über die Bombe, die er gerade hat Platzen lassen, man sieht es im Video. Später wiederholt er nochmal und weitet aus: Netzneutralität, dieses talibanartige Thema.

Will sagen: Günther Oettinger ist leider nicht der Vollidiot für den ich ihn bisher gehalten habe. Es ist alles viel viel schlimmer.

Artikelbild von Martin Kraft unter CC-Lizenz BY-SA 3.0.

keybase.io – Cryptoparty im Netz

keybase

Ich bin jüngst zur early alpha von keybase eingeladen worden und nach ein paar Tagen herumprobieren kann ich sagen: die Idee hat wirklich potential. Keybase ist sozusagen eine sehr große PGP-Cryptoparty und soll ermöglichen, mit Leuten, die man noch nicht persönlich getroffen hat (und vielleicht nie treffen wird) ein web of trust aufzubauen und so letztlich verschlüsselte Kommunikation zu ermöglichen. Zusätzlich gibt es noch einige Hilfsmittel, um bspw. über die Kommandozeile oder sogar über Twitter, verschlüsselt zu kommunizieren.

Get a public key, safely, starting just with someone’s social media username(s). From there, unbounded potential!

Meine Accounts sind mein Ausweis

Einer der Kernpunkte verschlüsselter Kommunikation mit PGP ist ja, dass man Leute findet, die man ihrem PGP-Schlüssel zuordnen kann und ihnen so vertraut. Bisher musste man sich dafür persönlich treffen und die Schlüssel austauschen und beglaubigen. Keybase will eben diese Beglaubigung herstellen, ohne dass man sich treffen muss. Dazu identifizieren sich die Nutzer gegenüber von Keybase auf möglichst vielfältige Weise. Ich habe zum Beispiel einen speziellen Tweet abgesetzt um mich mit meinem Twitteraccount auszuweisen. Und weil das noch nicht reicht (den Tweet könnte ja auch jemand veranlassen, der einen Twitteraccount gekapert hat), habe ich noch ein spezielles Gist erstellt, um meinen Github-Account identifizierbar zu machen. Und um es noch genau zu machen, habe ich den DNS-Text von nicobruenjes.de so angepasst, dass keybase jetzt weiss: ich bin der Besitzer der Domain. Das geht noch mit einer ganzen Reihe weiterer Accounts und Eigenschaften, bis hin zur Bitcoin-Adresse. Mit je mehr man sich ggü. Keybase ausweist, um so sicherer wird die Sache natürlich. Anhand dieser verbrieften Eigenschaften können mich nun andere Keybase-Nutzer finden und erkennen (ich zeige hier die Kommandozeile, weil das einfacher hierher zu kopieren ist, geht alles auch per Website):

› keybase id nicobruenjes
✔ public key fingerprint: 9DCF BD30 2843 0CBE 78E5 F1A8 B51E 2E22 55CF BFF6
✔ "nicobruenjes" on twitter: https://twitter.com/nicobruenjes/status/565440317495996417
✔ "codecandies" on github: https://gist.github.com/e2cb03903755b8d9ed72
✔ admin of the DNS zone for nicobruenjes.de

Man findet andere natürlich auch anhand der identifizierten Accounts:

› keybase id twitter://nicobruenjes
› keybase id web://nicobruenjes.de
› keybase id github://codecandies

Wer nun der Ansicht ist, das ich der Nico Brünjes bin, mit dem er gerne kommunizieren möchte, dann kann er mich tracken, so wie frienden oder followen, nur eben geekiger.

› keybase track nicobruenjes
✔ public key fingerprint: 9DCF BD30 2843 0CBE 78E5 F1A8 B51E 2E22 55CF BFF6
✔ "nicobruenjes" on twitter: https://twitter.com/nicobruenjes/status/565440317495996417
✔ "codecandies" on github: https://gist.github.com/e2cb03903755b8d9ed72
✔ admin of the DNS zone for nicobruenjes.de
› Is this the nicobruenjes you wanted? [y/N] y
› Permanently track this user, and write proof to server? [Y/n] Y

Copy & Paste Verschlüsselung für Twitter

Nun kann man schon Daten verschlüsseln:

› keybase encrypt nicobruenjes -m 'Verschlüssel das mal'
-----BEGIN PGP MESSAGE-----
Comment: GPGTools - https://gpgtools.org

hQIMA9IkQTsc+mSQARAAoeIqoS7D+C3aWuymUomVJWU
e1FiqMNWJDyTzT4I5cRkiwKWLCLmPlYIO1oLhNl670l
tfp+Qof7CJDGIUx02vRydT5coUwt8MtEhJUPDGi3cAG
-some-extra-lines-omitted-here :-)
0LUvVNuYCvjR4Rt7fkfeVcSuakEpUfufGnFqow==
=4DrQ
-----END PGP MESSAGE----

Und entschlüsseln: keybase decrypt antwort.asc. So kann man, per copy und paste, bspw. über Twitter oder Slack oder anderen Diensten mit denen man planen Text versenden oder Dateien teilen kann verschlüsselt kommunizieren. Meist will man ja aber verschlüsselte Mails senden. Deswegen landen alle Leute die man (per Kommandozeile) trackt auch direkt in der GPG-Keychain, man kann ihnen also auch direkt verschlüsselte oder gesignte Mails schicken.

That’s it. It’s really pretty simple. We’re not reinventing any cryptography here – the goal is a simple way to look up and trust keys, based on known public identities.

Die Website ist übrigens weitestgehend ein Client für keybase, dort kann man alle Funktionen im Web abrufen. Das zeigt aber auch den Knackpunkt von Keybase: es ist ein open source Programm, das man wiederum beliebig in andere Programme einbauen kann. Oder Dienste nutzen das API. Da ist wirklich noch viel drin.

Einladungen zu vergeben

Wie schon erwähnt: keybase.io ist noch in einem sehr frühem Stadium, alle Features die da sind, scheinen aber meinen Tests nach tadellos zu funktionieren. Wer mittestesten will, ich habe noch einige Einladungen hier herumliegen… kommentiert hier einfach.

Verschlüsselungsregulierung

Dieses Gelände ist Videoüberwacht

Ich hatte es schon angedeutet, freier Zugang zu Verschlüsselungstechnologie gehört zu diesen Themen, die immer wieder und wieder auf- und vor allem angegriffen werden, von den gerade aktuell regierenden Nichtsverstehern dieser Welt. Im Fahrwasser des Charlie-Hebdo-Attentats ist nun gerade ein internationales Inkompetenzteam aus Barack Obama, David Cameron und Thomas de Maiziere dabei, wahlweise das Verbot oder doch wenigstens die Einschränkung verschlüsselter Kommunikation zu fordern.

Thomas de Maiziere hat sich dazu einen besonders feinen Vergleich ausgedacht, nämlich den von der Haustür, der Alarmanlage und der Polizei. Der Staat fordere seine Bürger natürlich auf, ihre Haustüren zu verschließen und ggf. eine Alarmanlage anzuschaffen, trotzdem behalte er sich aber das Recht vor, unter bestimmten rechtsstaatlichen Vorraussetzungen, in ein Haus einzudringen und es zu durchsuchen. Vergleichen hinken ja bekanntlich immer, dieser hinkt aber in eine besondere Richtung. Denn anders als der geforderte Zugriff auf verschlüsselte Kommunikation, findet eine Hausdurchsuchung nur sehr selten im Geheimen statt. Zusätzlich wird Kommunikation ja permanent überwacht, wie wir inzwischen wissen, eine Hausdurchsuchung dagegen ist eine sehr singuläre Maßnahme. Weniger ein Vergleich, mehr ein Schlag ins Gesicht der Öffentlichkeit.

Und das ist auch das, was mir am meisten Unbehagen bereitet: diese unglaubliche Borniertheit, mit der hier Agenda betrieben wird. Man bezieht sich auf die Anschläge in Paris, und lässt sich dabei von Fakten, die Pariser Attentäter haben bspw. gar keine verschlüsselte Kommunikation betrieben, nicht in seiner Meinung beirren. Eine Abschaffung von verschlüsselter Kommunikation wäre nebenbei gesagt, auch wirtschaftlich völliger Schwachsinn, das kann man doch nicht nicht wissen. Außerdem wird versucht, die Wirkung der Snowden-Enthüllungen ins komplette Gegenteil zu wenden. Nach dem Motto, »dass wir euch überwachen, das wisst ihr ja jetzt, nun müssen wir die letzte Bastion der freien Kommunikation auch noch nehmen, es gibt schließlich Terrorismus.« Live with it and by the way we want more.

Das ist alles so unglaublich, ich nehme ja an, dass genau diese repetitive und hirnverbrannte Art eben volle Absicht ist, damit man sich kopfschüttelnd abwendend und resigniert. Dann lieber Dschungelcamp schauen, wa?! Was hier aber letzten Endes langsam aber sicher wegreguliert wird, ist nichts anders als die gute alte Tante Demokratie. Nun, wir wollen ja jetzt aber lieber nicht warten, bis wir sie vermissen, das kommt nicht in Frage. Aber wir müssten halt wirklich mal damit anfangen unsere Kommunikation zu verschlüsseln. Wie das geht, erklärt Euch der Marco. Sonst gibt es ja gar nichts zu verbieten.

Das wäre ja auch schade.