Exif-Touch

Oft sind es die kleinen Dinge, die einem das Leben einfach machen. So auch das kleine Perlscript exif-touch von Chris Adams. Damit ändert man das Dateierstellungsdatum von Bildern in das im Exif-Tag des Bildes stehende Aufnahmedatum. Praktisch, wenn man z.B. eine Korrektur der Exif-Tags machen musste, weil die Kamerauhr falsch ging. Continue reading Exif-Touch

Systeminhärente Schwäche von Nummernschlössern

Ich habe mir ein neues Notebookschloss zugelegt und zwar eines mit einem Nummernschloss anstatt eines Schlüssels.Beim Einstellen der Nummernkombination kam mir der Gedanke, dass Nummernschlösser eine systeminhärente Sicherheitslücke haben. Continue reading Systeminhärente Schwäche von Nummernschlössern

Schaltbare Chatkonten für das Messaging Menu von Ubuntu

Kennt ihr das? Ihr wollt mit jemand ganz bestimmtem chatten, habt aber keine Lust in anderen Netzwerken auch angemeldet zu sein. Jetzt kann man natürlich manuell jedes Netzwerk auf “Unsichtbar” stellen, aber das ist etwas umständlich. Viel praktischer wäre es, könnte man im Messaging Menu von Ubuntu wählen, welche Netzwerke gerade aktiv sind und welche nicht. Ich habe dafür mal einen kleinen Mockup erstellt, der zeigt wie ich mir das vorstelle. Continue reading Schaltbare Chatkonten für das Messaging Menu von Ubuntu

Firefox und der RSS-Button

Und ich hab mich schon gewundert, wo der RSS-Feed Button hingekommen ist. Leider meinte Mozilla wohl, RSS sei total 2010 und hat den Button standardmäßig aus der Oberfläche von Firefox ab Version 4 verbannt.
Glücklicherweise kann man sich den Button ziemlich simpel wieder herbei holen:
Rechtsklick irgendwo in die Werkzeugleiste -> “Anpassen” wählen. Jetzt öffnet sich ein Fenster mit jeder Menge mehr oder weniger sinnvoller Knöpfchen, die man in die Werkzeugleiste ziehen kann. Unter anderem auch der RSS-Button. Firefox erkennt automatisch ob in den <meta>-Tags der jeweils aktiven Website RSS-Feeds hinterlegt sind und bietet an diese zu abonnieren.
Wenn man jetzt einen externen Feedreader statt den Dynamischen Lesezeichen von Firefox verwenden möchte – unter Linux z.B. Liferea oder Akregator – dann kopiert man einfach nur noch die Adresszeile des Feeds und fügt ihn im Reader seiner Wahl ein.

Ausprobieren kann man das z.B. mit den Feeds von Bens kleinem Blog. 🙂

MathJax

Heute bin ich über die JavaScript-Bibliothek MathJax gestolpert. Und Hölle, ist das ein geiles Stück Software. Ok, das ist ein wenig nerdig, aber wie scharf ist das denn, wenn man LaTeX-Mathecode in HTML einbauen kann und das auch noch hübsch gerendert wird? Ja ich weiß, dass es auch MathML gibt, aber das wird von vielen Browsern noch nicht unterstützt. MathJax schon.
Der Worte sind genug gewechselt, lasst mich auch endlich Taten sehen. (Goethe – Faust, Vorspiel auf dem Theater.)
Als Einstieg mal was simples, die altbekannte pq-Formel
[x_{1,2}=-frac{p}{2}pmsqrt{(frac{p}{2})^{2}-q}]
Oder eine einfache intertemporale Eulerbedingung:
[frac{partial u}{partial C_{t}}=betacdot(1+r)cdotfrac{partial u}{partial C_{t+1}}]
Das war einfach. Jetzt nehmen wir doch mal die intertemporale Budgetbeschränkung des RC in einem Infinite-Horizon-Model mit endogener Produktion:
[overset{infty}{underset{s=1}{sum}}left(frac{1}{1+r}right)^{s-t}C_{s}=(1+r)B_{t}+overset{infty}{underset{s=1}{sum}}left(frac{1}{1+r}right)^{s-t}left(Y_{s}-I_{s}right)+underset{=0,textrm{ Keine Ponzi-Spiele}}{underbrace{underset{Trightarrowinfty}{lim}left(frac{1}{1+r}right)B_{t+T+1}}}]
Coole Sache, oder? Achja… MathJax steht unter der GPL bzw. LGPL und ist somit Freie Software 🙂

Die AusweisApp – Oder der erbärmliche Versuch hip zu sein

Ich hab ja prinzipiell wenig gegen den Neuen Personalausweis (nPA). Gut, die RFIDs da drin müssten wirklich nicht sein. Aber dafür gibt’s ja mehr oder weniger rabiate Lösungsansätze.
Die Idee jedem Bürger die Möglichkeit zu geben sichere Internetgeschäfte mit einer persönlichen Signatur machen zu können und eGovernment-Dienstleistungen in Anspruch zu nehmen finde ich klasse. Man könnte drüber streiten, ob denn eine CA-Architektur mit einem Single Point of Failure besonders praktisch ist und ob eine dezentrale Architektur wie GnuPG nicht sinnvoller wäre, aber naja… Details.
Aber was sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der neumodisch AusweisApp genannten Software für den nPA geleistet hat ist bestenfalls erbärmlich. Treffender wäre allerdings fahrlässig und dumm.
Jetzt mal völlig abgesehen von der Tatsache, dass der Quellcode nicht offenliegt und die “Linux”-Variante mit fast einem Jahr Verspätung erschien: Welcher Kasper im BSI hat denn zu verantworten, dass dieses Ding in Java auf einer eingebetteten JRE läuft? Noch dazu einer veralteten mit mindestens 17 bekannten Sicherheitslücken? Jeder Linuxnutzer, der die AusweisApp verwendet installiert damit auch bekanntermaßen unsichere Software. Und jetzt nochmal kurz überlegen, wofür das S in BSI steht.
Der Quellcode, die API-Spezifikation und sämtliche weiteren Daten (mit Ausnahme der geheimen Schlüssel der CA) über den nPA müssen unverzüglich offengelegt und unter eine freie Lizenz gestellt werden.
Passiert das nicht, dann ist zu vermuten, dass das BSI etwas in der AusweisApp zu verbergen hat. Und damit ist die Software und auch der nPA keinen Pfifferling mehr wert. Auch erwarte ich von Software, die von einem Bundesamt programmiert wird generell, dass sie mindestens unter eine freie Lizenz gestellt wird, besser noch in die Public Domain gegeben wird. Immerhin ist der gesamte Entwicklungsprozess steuerfinanziert.

SSL-HTTP (https) für Facebook und Twitter

Heute bin ich in über folgenden Artikel gestolpert: http://thenextweb.com/apps/2011/06/02/faceniff-takes-firesheep-mobile-hacks-facebook-and-twitter-accounts-in-seconds/?awesm=tnw.to_18lML&utm_content=spreadus_master&utm_medium=tnw.to-other&utm_source=direct-tnw.to (Danke an @suka_hiroaki fürs twittern).

Um Facebook und Twitter zumindest ein bisschen sicherer zu machen, wird vorgeschlagen jeweils die https-Option einzuschalten. Schimpf und Schande über Facebook und Twitter, dass diese Option nicht standardmäßig aktiviert ist.

In Facebook auf “Konto” -> “Kontoeinstellungen” klicken. Bei “Kontosicherheit” auf “ändern” klicken und einen Haken bei “Sicheres Durchstöbern (https)” setzen. 



In Twitter (davon ausgehend, dass Du #newtwitter verwendest) rechts oben auf deinen Benutzernamen klicken und “Einstellungen” wählen. Ganz nach unten scrollen und einen Haken bei “Nutze immer HTTPS” setzen.

Leicht zugänglich, simpel zu aktivieren, aber vermutlich von wenigen genutzt. Schade Facebook und Twitter. Ihr hättet die Chance das Netz sicherer zu machen, indem diese Funktionen von Anfang an aktiviert sind.

Von Dropbox zu SpiderOak

Nachdem Dropbox verkündet hat, seine AGBs so zu verändern, dass im Falle des Falles auch Daten an US-Ermittlungsbehörden weitergegeben werden können, habe ich für mich entschieden, auch im Lichte der miesen Authentifikationsverfahren, Dropbox den Rücken zu kehren und mich nach einer Alternative umzusehen

Ich habe absolut nichts zu verbergen. Alle meine wirklich privaten Daten liegen nicht in der Cloud und sind sowieso verschlüsselt. Aber nichts desto weniger ist es ein Vertrauensbruch, den Dropbox hier begangen hat. Ich vertraue denen meine Daten an. Da steckt das Wort vertrauen schon drin. Wenn Dropbox schon in die AGBs reinschreibt, meine Daten ggf. an US-Behörden weiterzugeben, wer weiß dann schon, was noch alles mit meinen Daten angestellt wird. Geht gar nicht. Gerade, weil ich so ein langweiliges Leben führe, verbitte ich mir, dass in meinen Daten herumgeschnüffelt wird. Oder auch nur die Möglichkeit besteht rumzuschnüffeln. Das hat weder etwas mit Paranoia noch mit übertriebener Empfindlichkeit zu tun, sondern geht mir prinzipiell gegen den Strich. Ich behandle Dropbox hier wie jeden anderen Menschen und jedes andere Unternehmen auch. Ich vertraue gerne und gebe meinen Mitmenschen gerne eine Vertrauensvorschuss. Zugegeben, das geht manchmal in die Hose, aber die meisten Menschen vergelten es mir ebenfalls mit Vertrauen und einem guten Verhältnis. Gleichermaßen wie ich gerne vertraue, bin ich umso strikter, was Vertrauensbrüche betrifft. Damit meine ich das Ausplaudern von Vertraulichkeiten genauso wie Intrigen hinter meinem Rücken und eben das nachträgliche Ändern einer Vertrauensbasis.

Genau das hat Dropbox gemacht. Und damit hat es mein Vertrauen vollständig und vermutlich dauerhaft verloren. Daher brauche ich eine Alternative um Daten in der Cloud zu lagern. Am besten etwas, bei dem es technisch unmöglich ist, meine Daten weiterzugeben.

Auftritt SpiderOak.

Prinzipiell ist das Konzept von SpiderOak sehr ähnlich zu dem von Dropbox (wenn auch der Name nicht so cool ist). Man wählt Ordner aus, die als Kopie in der Cloud leben und auf allen meinen Rechnern synchronisiert werden. Sehr praktisch für mich, da ich meine Uni-Daten sowohl auf meinem Laptop, als auch auf dem Uni-Account sowie im Netz zur Verfügung habe. Ich speichere eine Datei in einem synchronisierten Ordner und voilá erscheint die Datei auch auf allen anderen Rechnern. SpiderOak ist genau wie Dropbox für Linux, Windows, Mac und einige Smartphonebetriebssysteme verfügbar. Soweit so gut.

SpiderOak hat eine Zero-Knowledge-Policy, d.h. alle Daten werden auf meinem Rechner verschlüsselt und entschlüsselt. Soweit ich weiß, ist es der einzige Cloud-Storage Service, der das so handhabt. In der Cloud liegt nur verschlüsselter Datensalat, mit dem auch SpiderOak nichts anfangen kann, weil auch die Schlüssel nur auf meinen Rechnern vorhanden sind. Praktisch, da man SpiderOak mit allem möglichen drohen kann. Sie können die Daten nicht rausgeben, selbst wenn sie wollten. Das Problem ergibt sich jetzt dahingehend, dass kollaborative Ordner nicht möglich sind, weil dazu mein Mitarbeiter ebenfalls meinen Schlüssel kennen müsste, um in meine SpiderOak hochzuladen. Was natürlich Quatsch wäre. Vielleicht kommt da in Zukunft ein besseres Verfahren, dass Daten z.B. für zwei oder mehrere Personen gleichzeitig verschlüsselt werden, wie es GnuPG auch kann.

Prinzipiell kann man eine solche Lösung aber auch mit einem Git-Repository und einer Handvoll GnuPG-Schlüssel realisieren, auch wenn das natürlich nix für den normalen Benutzer ist, sondern eher für den Geek/Nerd. Für mich ist diese Funktion aber eher zweitrangig, nicht nur, weil ich auch die Nerd-Lösung aufsetzen könnte, sondern weil ich generelle eher wenig kollaborativ mit Dropbox gearbeitet habe.

Auch den Einsatz eines TrueCrypt-Containers erscheint mir nicht zielführend, da das funktionieren desselben voraussetzt, dass der Dropbox-Client weiterhin fähig ist nur ein Delta des Containers abzugleichen und nicht den ganzen Container bei jeder Änderung hochzuladen. Auch wenn es im Moment möglich ist, ich vertraue Dropbox nicht, dass sie diese Funktion auch in Zukunft noch anbieten. Mal abgesehen davon, dass der Einsatz von TrueCrypt in der Dropbox auch wieder Kollaborationsprobleme mit sich bringt und sei es nur dem Kollegen zu erklären, was TrueCrypt ist, was es macht, wie man es installiert und wie man es mit Dropbox einsetzt. Da kannste auch gleich SpiderOak nehmen.

Ein letzter Punkt, der mich noch nervt. Vor nicht allzu langer Zeit habe ich Dropbox noch einem Kumpel und meiner Freundin schmackhaft gemacht. Auf die Frage, ob das denn sicher sei und ob Dropbox vertrauenswürdig sei, antwortete ich: “Klar sind die das. Wenn die es nicht wäre, platzt ihr Geschäftsmodell und sie sind weg vom Fenster.”
Schade, dass Dropbox mein Vertrauen so leichtfertig verspielt hat. Ich hoffe, dass Dropbox seine AGBs und seine Technik entsprechend ändert, um Vertrauen zurückzugewinnen. Oder aber vom Markt verschwindet.

Behringer BCD-2000 und Linux

Ich dachte mir, ich komme mit dem Jahreswechsel auch DJ-mäßig endlich im 21. Jahrhundert an und steige von Timecode-Platten auf volldigitales Auflegen mit einem USB-DJ-Controller um. Gesagt, getan, ich investierte ein Teil des Weihnachtsgeldes in den Behringer BCD-2000. Dies ist die Geschichte.

3.1.2011, 17:48
Ich bestelle den Behringer BCD-2000 beim Musik-Hardwarehändler meines Vertrauens.

8.1.2011, 11:34
Der Postbote bringt mein letztes Weihnachtsgeschenk. Yippie gleich kann’s scheppern. Ich packe aus und schließe an.

11:35
Nix passiert. Scheiße.
11:36  
Ich begebe mich auf die Netzsuche nach Problemlösungen und stolpere relativ schnell auf einen Bugreport bei Launchpad, der BCD2000 arbeite nicht unter Maverick. Und da das ein Kernel-Problem ist, wohl auch unter keiner anderen Distribution. Man sagt, der BCD2000 wäre nicht USB-compliant. Danke Behringer für’s ignorieren sinnvoller internationaler Standards.
13:00 
Ich beginne damit alles für meinen Blog zu protokollieren.
13:03 
Mein nächstes Ziel ist behringer.de auf der Suche nach technischen Daten, wie dem verbauten Chip, damit ich vielleicht ein generisches Kernelmodul nachladen kann, um den BCD-2000 so zum laufen zu bringen.
13:12 
Behringer will’s nicht rausrücken. Allgemein ist die Information über technische Daten sehr dünn. Dass das Teil ein USB-Chip ist, weiß ich…
13:22 
Versuche wenigstens die MIDI-Fähigkeiten des BCD2000 zu bekommen. Auch hier kein Erfolg, da kein MIDI-Gerät erkannt wird.
13:30 
Ich gebe auf. Behringer hat gerade einen Kunden verloren. Schade für Behringer, ich hatte überlegt mir einen kleines Studiomischpult von denen zu kaufen.
Ich werde Behringer einen netten kleinen Brief schreiben und mich über deren Produktpolitik beschweren. Ich kann ja einigermaßen nachvollziehen, dass Behringer kein Bock hat, für die paar Linux-Benutzer da draußen einen Treiber zu schreiben. Aber warum halten Sie sich dann nicht an die Standards, so dass es ohne zutun läuft? Aber wie kann man denn als Musiktechnikunternehmen so dämlich sein, und auch Mac OSX nicht unterstützen? Nicht das OSX jetzt ein besonders herausragendes Betriebssystem wäre, aber viele DJs und Musikproduzenten haben nunmal Macs. Nimmt man jetzt noch die Tatsache hinzu, dass die Behringer-Hardware unter Windows 7 nur im Kompatibiltätsmodus läuft und unter Windows 7 64bit gar nicht, zeigt das nur, dass Behringer was die Produktpolitik und den Support immer noch etwa im Jahre 1997 festhängt. Ein solches Unternehmen hat es verdient vom Markt zu fliegen.

 

Der geschützte Wahnsinn

Ich habe ja prinzipiell nichts gegen Patente. Ganz im Gegenteil, viele makroökonomische Wachstumsmodelle basieren auf der Möglichkeit, dass der Staat ein zeitlich begrenztes Monopol erlaubt, indem er Patente auf Neuentwicklungen gewährt. Dadurch können die Unternehmen Gewinne machen, Forschungskosten wieder hereinholen und alle freuen sich über den technischen Fortschritt und das endogene Wachstum. So weit, so gut, aber was sich einige Unternehmen, insbesondere der Elektronikbranche leisten, hat mit Kurzzeitmonopolen zur Entwicklung nichts mehr zu tun. Die Streitigkeiten zwischen Apple und Motorola, SCO und Novell, usw. erinnern mich eher an Kindergarten.
Die Schuld liegt weniger bei den Unternehmen, die ihre Patentansprüche durchsetzen wollen, auch wenn man bei einigen, durchaus renommierten Firmen wohl auch von “Patenttrollen” reden könnte. Ich sehe die eigentliche Verantwortung bei den US-Patentbehörden, die offensichtlich jeden Mist patentieren. Ob das im Sinne des Wachstums ist, wenn Patente, die eigentlich eine Entwicklung profitabel machen sollen, dazu verwendet werden, den Fortschritt anderer Unternehmen zu torpedieren? Die einzigen, die sich freuen sind die Patentanwälte.
Ich frage mich, warum noch keiner auf die Idee gekommen ist, das Pflügen von Feldern patentieren zu lassen. Und dann fröhlich jeden anderen Bauern zu verklagen, der seine Felder auch pflügt.
Die Patentbehörden sollten in Zukunft besser mal drüber nachdenken, welche Erfindungen tatsächlich im Sinne der Fortschrittsentwicklung sinnvoll sind und welche nur dazu dienen, andere Unternehmen aus dem Markt zu drängen und somit den Wettbewerb zu behindern.
Vielleicht ist es an dieser Stelle auch bedenkenswert, die Patenterteilung den Wettbewerbs- und Kartellbehörden zu überlassen. Immerhin geht es bei Patenten auch um Wettbewerbs- und Marktstrukturen. Das können wohl Wettbewerbshüter besser entscheiden, wo ein Patent sein muss und wo nicht.