Für eingefleischte Facebook-Junkies (also für einen Großteil der Menschheit…) wäre das sicher das digitale Armageddon gewesen: Morgens eingeloggt – alle Fotos weg. Bei den Freunden nachgeschaut – auch dort alle Fotos weg. In ganz Facebook – alle Fotos weg. Die Horror-Vision war prinzipiell denkbar, denn durch einen „kaum-zu-glauben-wie-einfach-das-ist“-Fehler in einer Programmierschnittstelle, einer API von Facebook hätte ein böswilliger Mensch tatsächlich mit einer gezielten oder globalen Löschaktion beginnen können. Zugegebenerweise wäre die Sache dann irgendwann bemerkt worden, bevor wirklich die ganzen Fantastilliarden Fotos auf Facebook im digitalen Orkus verschwunden wären – aber Laxman Muthiyah, ein Software-Entwickler aus Indien ist sowieso ein „good guy“ und hat seine Entdeckung an Facebook gemeldet. Wie gravierend und zugleich simpel das Problem war, ersieht man aus der Reaktionszeit von Facebook – nach zwei Stunden war der Bug „gefixt“. Der ehrliche Entdecker der Sicherheitslücke freut sich über 12.500 Dollar; alle Leute, die ihre Bilder direkt bei Facebook hochladen und kein anderweitiges Backup haben, freuen sich über Laxman Muthiyah – und die paar Facebook-Hasser auf dem Planeten ärgern sich: Das wäre doch mal DIE Gelegenheit gewesen. Für Tabula Rasa mit Cat- und sonstigem Schwachsinns-Content 🙂
Die Wissenschaft gibt Auskunft, und zwar in einer nicht ganz zufällig am Vorabend des Valentinstags veröffentlichten Meta-Studie im British Medical Journal. An die 4000 Fundstellen aus Fachpublikations-Datenbanken haben die Autoren gesammelt und verdichtet, immerhin noch 86 Studien aus Medizin, Psychologie und Soziologie dann systematisch ausgewertet – und hochinteressante Dinge herausgefunden. So ist es etwa ratsam, ein Pseudonym mit einem Anfangsbuchstaben aus der ersten Hälfte des Alphabets zu wählen; solchen Namen schreibt man nämlich unbewusst ein höheres Einkommen und eine höhere Bildung zu – außerdem erscheinen sie halt bei der Suche als erste. Auf die meisten anderen Erkenntnisse bzw. Tipps wäre man wahrscheinlich auch selbst gekommen, von der Auswahl eines geeigneten Fotos (mit geneigtem Kopf und Lachfalten um die Augen…) über das richtige Profil-Texten (70% Selbstdarstellung, 30% Wünsche an einen potentiellen Partner) bis hin zum erfolgverheißenden Chat- oder Mailverhalten (immer positiv aufhören!) – Captain Obvious lässt grüßen. Aber von Prof. Dr. Obvious erforscht und bestätigt klingt das alles eben doch noch einen Tick fundierter.
Wobei die Studie auch einen kleinen eigentherapeutischen Zweck hatte, wie aus der Danksagung am Schluss des Artikels hervorgeht: „Die Autoren möchten den potentiellen Dates ihren Dank aussprechen, die einen von uns wiederholt haben abblitzen lassen und uns so dazu ermuntert haben, über Effektivität beim Online-Dating nachzudenken.“
Bei einer Umfrage unter Deutschen, welche Institution seriös und vertrauenswürdig ist, landet die Stiftung Warentest sicher in den Top Ten. Weil sie finanziell unabhängig ist, braucht sie bei ihren Tests keine Rücksicht auf eventuell ausbleibende Anzeigenschaltungen oder ähnliches zu nehmen – und trotzdem: Natürlich können auch die Verbraucherschützer aus Berlin mal daneben liegen. Ein prominenter Fall mit juristischem Nachklapp war ja kürzlich die Diskussion um künstliche oder nicht-künstliche Aromastoffe bei Ritter-Sport-Schokolade.
Jetzt gibt es wieder einen Lapsus, der eigentlich von der Verbaselungs-Fallhöhe her sogar gravierender ist: (der Schokoladen-Fall war ja zumindest diskussionswürdig bzw. strittig. Der aktuelle nicht.)
Im Februar-Heft hat Stiftung Warentest Email-Anbieter getestet, bzw. von einem beauftragten Dienstleister testen lassen. Und diesen Dienstleister sollte man vielleicht nicht mehr beauftragen – denn irgendwie haben es die Prüfer geschafft, diverse technische Details nicht zu verstehen, obwohl man sie sogar auf feine Unterschiede hingewiesen hatte. Wenn man sich nämlich anschaut, was der im Februar-Heft neben vielen Mainstream-Playern geprüfte Email-Anbieter Posteo in seinem Firmen-Blog an dem Warentest auszusetzen hat, dann kann man nur sagen: Stimmt.
Die Möchtegern-Experten des Prüf-Dienstleisters haben zum einen die Verschlüsselung, die Email-Nutzer individuell einrichten können (aber dies in den allermeisten Fällen nicht tun) mit einer generellen Verschlüsselung aller Emails auf dem Dienstleister-Server verwechselt – und einem Testteilnehmer irrtümlich ein Alleinstellungsmerkmal diagnostiziert, das aber gar nicht existiert – und die übrigen Anbieter abgewertet. Auch das Verfahren, wie Posteo eine Zwei-Wege-Authentifizierung durchführt und eine anonyme Nutzung des Email-Dienstes konzipiert hat, haben die Tester schlichtweg nicht verstanden.
Die Sache ist dennoch reichlich suboptimal behandelt worden: Der jetzt erst bekannt gewordene Auslieferungsstopp des Februar-Heftes betrifft nur noch ein paar tausend Exemplare; der Rest ist längst an die Abonnenten versendet worden. Die angebliche aufklärende Pressemitteilung in dem Fall ist wohl irgendwie nicht besonders offensiv verteilt worden – auf der Website der Stiftung Warentest ist sie z.B. (Stand 12.2.2015) nicht zu sehen, auch in den Nachrichtenagenturen taucht das Problem erst seit einem Bericht bei welt.de vom 11.2. auf. Und nicht alle Fehler des ursprünglichen Testberichts sind auch transparent als solche korrigert worden.
Insofern ist also eine gewisse Verärgerung bei Posteo nachvollziehbar – und ganz ehrlich gesagt: So sehr ich die Stiftung Warentest grundsätzlich schätze (und auch die Magazine Test und Finanztest abonniert habe…) – bei Tech-Themen sind die Berliner nicht die allererste Adresse 😉
Es ist ja fast schon etwas abgedroschen, die ewige Warnung vor dem allzu unbedachten Herumposten auf Social Networks. Und trotzdem stimmt sie – wobei das Interesse auch an etwas älteren Netz-Verlautbarungen umso größer ausfällt, je prominenter ein Job ist. Da googelt dann nicht nur der Chef, sondern die gesamte Netz- und Presse-Meute.
Der Selbstouting-Zwang geht übrigens auch noch gravierender und tragischer – in einem dritten Fall überführt sich ein 16jähriger als Mörder – mit einem Selfie zusammen mit der Leiche, verschickt per Snapchat.
Studieren macht immer am meisten Spaß, wenn man nicht nur Theorie paukt. Sondern in seinem Fachgebiet ganz praktisch unterwegs ist – und vielleicht sogar etwas aufdeckt, das andere Leute ganz happig verbaselt haben.
Das Datenbanksystem MongoDB ist frei erhältlich, bietet vielfältige Möglichkeiten und ist entsprechend beliebt – in der Standardkonfiguration ist es allerdings für den lokalen Einsatz auf einem Computer konzipiert. Wenn man dann Online-Funktionalität einschaltet oder die Datenbank in einen Cloudspeicher auslagert, ohne einen Benutzernamen und ein Passwort einzurichten, dann hat man das berühmte Scheunentor aufgemacht bzw. serviert seine Daten auf dem Präsentierteller – wie die Saarbrücker Studenten entdeckten, findet man jede Menge offener MongoDBs im Netz, darunter auch z.B. die Kundendatenbank eines großen französischen Mobilfunkbetreibers.
Im nächsten Release des Datenbanksystems sollen die Anwender zu ihrem Passwort-Glück gezwungen werden, einstweilen sollten betroffene Admins ganz schnell die Schotten dicht machen und sich gegebenenfalls schon mal auf ein happiges Knöllchen von den Datenschutzbehörden einstellen.
Schummeln und Spicken bei Prüfungen kann ja als uralte Kulturtechnik gelten – wobei in der analogen Ära die Informationsmenge begrenzt war, die man auf einer Handinnenfläche oder einem Zettel im Schuh unterbringen konnte. Aber ein Smartphone und die Wikipedia im Hintergrund machen auch hoffnungslose Fälle zu Universalgelehrten – kein Wunder also, dass eingeschaltete Handies bei Uni-Klausuren ein absolutes Tabu sind und beim Auffliegen zur sofortigen Disqualifikation führen. Mittlerweile sind auch schon viele Uhren smarter als ihre Träger geworden und müssen also abgegebenoder eingeschlossen werden – noch ein paar Jahre Gadget-Miniaturisierung, und vor jedem Aula-Eingang steht ein Körperscanner zur Intensiv-Leibesvisitation…
Bis zur Mitte der vergangenen Woche sah es so aus, als müsste Werner Koch, der Programmierer der freien Verschlüsselungssoftware GnuPG das Handtuch werfen – nach der Einstellung von staatlichen Fördermitteln und einer mau angelaufenen Crowdfunding-Kampagne hatte das Entwicklerteam in der g10code-GmbH die Nase voll davon, trotz bescheidener Eigengehälter in einer Dauer-Finanzmisere dahinzuwerkeln. Erst ein Hilferuf bei ProPublica öffnete dann plötzlich die Geldschleusen der Community und auch einiger Big Player – was zum einen das prinzipielle Good-Will-Potential für wichtige freie Softwareprojekte zeigt, andererseits aber auch die Trägheit der Masse.
Getrübt wurde die Freude durch zweiRants des Bloggers Fefe, der selbst Programmierer und IT-Sicherheitsdienstleister ist. Seine Kernthesen: Software erst gratis verteilen und im Nachhinein „herumheulen“ sei nicht in Ordnung – und vor allem sei der Code von GnuPG schlecht gewartet, Kritik und Verbesserungsvorschläge aus der Community würden von Werner Koch abgeblockt. In einem Artikel bei ArsTechnica kritisiert auch ein US-Kryptografieprofessor die Softwarequalität und hält ein externes Code-Auditing für dringend notwendig.
Von außen lässt sich schwer sagen, wie berechtigt diese Kritik ist. Aber gewisse Zirkelschlüsse sind natürlich nicht zu übersehen: Erst lässt man es sehr entspannt und ohne allzu großen Spenden-Enthusiasmus zu, dass fundamentale und höchst sicherheitskritische Softwarekomponenten von Einzelpersonen oder Kleinst-Teams entwickelt und gepflegt werden. Und dann wundert man sich, dass dabei möglicherweile Fehler gemacht werden.
Das Sprichwort „There is no free lunch“ gilt offensichtlich auch für freie Software.