Von Bussen und Taxis - Netzneutralität erklärt

"Das ist mir alles zu hoch. Die machen das schon." - Diese Sätze hört man immer wieder, gerade wenn es um das Neuland Internet geht. Und das ist verständlich. Das Internet ist kompliziert, existiert vergleichsweise seit einer sehr kurzen Zeit und ist immer noch in der Entwicklungsphase, in der sich sehr schnell sehr viel ändert.

Da ist es nur normal, wenn sich der Durchschnittsbürger zurückzieht. Mehr als E-Mail, ein bisschen Surfen und Netflix macht er ja sowieso nicht. Ich würde genau so handeln. Es gibt sehr viele Bereiche, für die ich mich nicht interessiere und mit denen ich mich nicht beschäftige. Schließlich kann ich auch nicht alles wissen und überall auf dem aktuellen Stand bleiben. Das ist für eine Person einfach nicht möglich. Als professioneller Nerd ist mir allerdings gleichzeitig auch wichtig, dass sich der normale Mensch mit dem Internet auseinandersetzt. Es ist mittlerweile keine Trenderscheinung, die bald wieder Geschichte ist und auch nicht mehr nur eine Randgeschichte. Das Internet ist überall und ohne würde nichts mehr funktionieren. In den folgenden Zeilen möchte ich daher die Vor- und Nachteile der Netzneutralität und des neuen EU-Entschlusses verständlich erklären, da es in Zukunft jeden treffen wird.

Nicht umsonst wird das Internet oft mit einer Daten-Autobahn verglichen. Vorstellen kann man sich das als ein großes Netz aus vielen Straßen und Abzweigungen. Jeder Computer ist mit jedem verbunden. Der eine kann schneller erreicht werden, der andere ist etwas weiter entfernt. Zur Veranschaulichung existieren aktuell, im neutralen Netz nur Busse, die jede Person gleich schnell an das Ziel bringen. Ganz egal, ob diese Person nun wenig Geld für den Internetanschluss zahlt, oder viel. Natürlich ist die Anzahl der verfügbaren Busse je nach Anbindung unterschiedlich. So stehen einem Heim-Anschluss mit 16 Mbit/s weniger Busse gleichzeitig zur Verfügung als einem Firmen-Anschluss mit 1000 Mbit/s.

Mit dem neuen Entschluss des EU-Parlaments, welcher vor ein paar Tagen etabliert wurde, kommen zu unserem Modell nun auch Taxis hinzu. Diese haben selbstverständlich den Vorteil schneller an das Ziel zu kommen, ganz unabhängig von der Quantität. Im Internet wird das durch eine Priorisierung erzielt. Sind die Autobahnen zu Stoßzeiten, zum Beispiel abends, wenn alle von der Arbeit heim kommen, voll, kommt es zu einem Stau. Fährt nun ein Taxi vor, so müssen die Busse rechts ranfahren und das Taxi durchlassen, bevor sie weiterfahren dürfen. Dadurch verzögert sich die Ankunftszeit des Busses selbstverständlich.

Durch dieses Konstrukt haben wir nun die aktuelle und zukünftige Lage des Internets aufgebaut. Nun betrachten wir einmal die Vor- und Nachteile der jeweiligen Situationen. Der erste Unterschied dürfte ganz klar sein. Mit dem ersten Konstrukt ist jeder gleichberechtigt. Egal, ob es eine kleine Firma ist, oder ein großes Unternehmen. Jeder kommt gleich schnell an sein Ziel. Im zweiten Modell ist das schon anders. Wer mehr Geld hat, kann sich mehr Taxis kaufen, die er dem Nutzer, der seinen Dienst besuchen möchte, vorbeischicken kann. Dadurch kommt dieser dann schneller an sein Ziel. Andersrum funktioniert das natürlich auch: Mit einem Aufpreis kann der Nutzer selbst Taxis bestellen, welche ihn ebenfalls schneller an das Ziel bringen.

Hier scheiden sich die Geister. Während die eine Gruppe einen Vorteil in den Taxis sieht, ist die andere gegen eine Bevorzugung der Besserbezahler. Gerade bei kleinen Unternehmen könnte das zu einem Problem werden: Angenommen ein relativ kleiner Dienst, wie zum Beispiel Watchever, möchte sich gegen Netflix etablieren. Aktuell bekommt jeder Nutzer die Videos gleich schnell zugestellt. Egal, ob man nun auf Netflix einen Film ansieht, oder sich auf Watchever eine Serie anguckt, beide Filme werden gleichschnell geladen. Zu Stoßzeiten kann es nun zu Staus kommen, was bedeutet, dass das Video bei beiden Anbietern ruckelt und immer wieder pausiert wird. Mit der Abschaffung der Netzneutralität könnte nun zum Beispiel Netflix reihenweise Taxis für seine Nutzer kaufen, welche ein ruckelfreies Video auch zu Stoßzeiten garantieren, während Watchever sich das vielleicht nicht leisten kann. Andersrum könnte Watchever aber auch einen Deal mit dem Internet-Anbieter vereinbaren, welcher für den Nutzer gegen einen Aufpreis Taxis garantiert, während Netflix keine Taxis bekommt und die Nutzer weiter per Bus angekarrt werden müssen. Das schafft je nach Geschäftslage ein Ungleichgewicht im Markt.

Aktuell ist dies sogar schon teilweise der Fall. So hat Spotify zum Beispiel einen Vertrag mit der Telekom geschlossen. Wer einen Aufpreis zahlt, bekommt das durch Spotify verbrauchte Datenvolumen nicht berechnet, während andere dafür bezahlen müssen. Da das neue Gesetz diese Taktik befürwortet, könnte dies allerdings nun die Regel werden. Selbstverständlich kann es nun auch sein, dass die Bus-Strecken absichtlich verkleinert werden, sodass Taxis noch schneller ankommen und Busse absichtlich lange warten müssen.

Die Gegenseite der Argumentationskette vertritt aktuell die Telekom. Dort schreibt man, dass es wichtig ist, kleine Unternehmen zu stärken. Und auch diese Seite hat selbstverständlich nicht ganz unrecht. Große Unternehmen können sich in jedem Land einen Standort leisten, um die Entfernung zum Nutzer, der mit Bussen fährt, zu verringern. Kleine Firmen jedoch haben nicht das nötige Kleingeld um sich diesen Luxus zu gönnen und müssen oft lange Strecken zum Nutzer in Kauf nehmen. Gegen einen kleinen Anteil am Umsatz des Unternehmens möchte Telekom daher für kleine Firmen Taxis anbieten, welche die lange Strecke durch erhöhte Priorität ausgleichen sollen.

Meiner Meinung nach ist die Aufhebung der Neutralität trotzdem ein sehr heikles Thema. Die Vergangenheit hat oft genug gezeigt, dass im Endeffekt immer die großen Firmen gewinnen und somit am meisten aus den Taxis profitieren werden, während kleine Unternehmen weiter mit den langsamen Bussen auskommen müssen. Im Einzelfall kommt es nun also darauf an, wie die Gerichte entscheiden. Vorausgesetzt die kleinen Firmen können sich große Anwälte leisten.

Titelbild: CC by Backbone Campaign @Flickr

Warum ich einen AdBlocker verwende

Kennt ihr The Verge? The Verge ist ein in den USA relativ bekanntes Technikportal und seit Neustem auf meiner persönlichen Blockliste. Grund dafür? Ein Tweet von Kamal.

CN_on8pWsAA9rKPNein, The Verge ist kein Web-Shop, auf dem man das neue HUAWEI Mate S kaufen kann, auch wenn es den Anschein erweckt, da etwa 80% der Seite mit diesem Bild besetzt ist. Als Nutzer eines AdBlockers merkt man das erst gar nicht. Da glaubt man fälschlicherweise, dass das ein Nachrichtenportal ist. Als ich den AdBlocker dann aber aufgrund des Tweets deaktiviert habe, musste ich feststellen, dass der Tweet nicht gephotoshoppt war.

Und damit dient The Verge als wunderbarer Grund, warum ich eine Blockliste besitze, und warum ich einen AdBlocker besitze. Auf letzteres möchte ich hier eingehen: Ich weiß, dass mich die Verwendung eines Werbeblockers beim täglichen Surfen zu einem Arschloch macht. Schließlich verlange ich kostenlose Inhalt vom Internet und gebe nicht einmal Werbung, welche mich nichts kostet, zurück. Aber ich habe Gründe:

CBBZ_t7UQAEcPMz

Das ist Spiegel Online. Dürfte jedem ein Begriff sein. Interessant ist, dass nur drei Zeilen des Artikels zu sehen sind, sofern man nicht scrollt. Ich habe diese Seite geöffnet, um den Artikel zu lesen. Stattdessen sehe ich als erstes drei große Werbebanner. Ich habe kein Problem damit, wenn zwischen, unter, oder neben den Artikeln Werbung gezeigt wird, solang sie nicht ablenkt. Aber da Werbung im oberen Bereich der Seite am meisten Einnahmen bringt, ist es fast schon zur Regel geworden, dass erst ein Werbebanner erscheint, und dann der eigentliche Website-Inhalt.

Ein weiteres Problem ist, dass Werbung länger zum Laden braucht. Das hat zur Folge, dass die Seite anfängt zu hüpfen, wenn sie mit dem Aufbauen noch nicht fertig ist. Und nicht nur das: Ein AdBlocker verringert auch die Ladezeiten der Seiten ungemein, genau wie die Größe. Schließlich muss nicht immer extra per JavaScript der Werbeblock nachgeladen werden. Nicht selten ist dieser dann auch noch animiert, was uns zum nächsten Problem bringt. Wenn Werbung bunt ist und permanent vorm Auge rumspringt, kann man sich nicht auf den Inhalt der Seite konzentrieren.

All das hat zur Folge, dass ich für mich entschieden habe, einen AdBlocker zu verwenden. Wer die eigenen Besucher so mit den Füßen tritt, hat es nicht anders verdient. Dass ehrliche Seiten, die Werbung schalten, die nicht nervt, darunter leiden, ist aber auch nicht optimal. Sollte dann aber ein AdBlocker versuchen, dem entgegenzuwirken, indem er Nicht-Nervige Werbung erlaubt, fangen natürlich die Leute, die nicht verstehen, dass Werbung nervig sein kann, an, sich darüber aufzuregen.

Die Lösung? Entweder, man einigt sich darauf, keine nervige Werbung zu schalten, was nicht passieren wird, oder man sorgt dafür, dass das Geld anders an die Betreiber geschafft wird. Ein für mich schöner Lösungsweg wäre ein Konzept ähnlich Flattr. Bei Flattr zahlt man monatlich einen beliebigen Betrag, und kann anschließend Seiten oder Projekte flattrn. Am Ende des Monats wird der eingezahlte Betrag dann fair zwischen allen geflattrten Seiten aufgeteilt. Flattrt man viel, bekommen viele wenig, flattrt man wenig, bekommen wenige viel. Dieses Konzept ließe sich auch auf das allgemeine Internet übertragen. So könnte man per Browser-Add-On und monatlich 20 Euro jede Seite, die diesem Netzwerk beigetreten ist, bei Besuch "flattrn" und so ein paar Cent da lassen. Besucht man eine Seite oft, bekommt diese auch mehr Geld.

Eine weitere Alternative wäre ein Werbeblocker, der nervige Werbung filtert und sie durch Nicht-Nervige Werbung ersetzt. Die dadurch generierten Einnahmen werden dann gerecht unter allen teilnehmenden Websites basierend auf der Surfdauer aufgeteilt. Dadurch müsste der Nutzer nichts zahlen. Auch eine Paywall wäre unter Umständen eine Alternative, oder die Verwendung von Portalen wie YouTube und Facebook. Aber das wird in Zukunft sowieso kommen.

Werbung ist nicht die Lösung für alles. Und Nutzer, die keinen AdBlocker verwenden, zu bestrafen, indem man sie mit Werbung bombardiert, ist ebenfalls nicht der richtige Weg. Erinnert mich ein bisschen an den Kauf einer DVD, verglichen mit dem illegalen Download. Die ehrlichen Leute werden bestraft, die unehrlichen haben ein einfaches Leben. Was lernen wir daraus?

ifurapirate

Yandex - Browsing Made Sexy

Wie der aufmerksame Leser bereits weiß, bin ich mit der Gesamtsituation per se unzufrieden. So auch mit meinen Browsern. Firefox ist zu träge, Chrome zu voll, Opera zu hip, Safari zu unbekannt und Internet Explorer bzw. Edge zu egoistisch um auf einer anderen Plattform zu laufen.

Als Kompromiss verwendete ich daher seit ein paar Jahren Google Chrome. Meine benötigten Erweiterungen sind alle vorhanden, die Seiten bauen vergleichsweise schnell auf, die Darstellung ist korrekt, einzig das Design stört mich ein bisschen. Das liegt vermutlich größtenteils daran, dass ich es nun schon mehrere Jahre täglich sehe. Als ich mir dann gestern das Design des Browsers genauer ansah, überlegte ich, ob es nicht möglich wäre, die gesamte Adresszeile inklusive aller Buttons zu entfernen und nur das Nötigste anzuzeigen. Alles in der Tab-Bar. Schien aus meiner Sicht möglich.

Heute habe ich mehr aus Langeweile das Internet nach einem neuen Browser durchsucht. Mir war eigentlich schon klar, dass ich nichts finde, da man (ich) bei Browsern immer das Problem mit den Erweiterungen hat. Doch ich wurde positiv überrascht. Die neuste Alpha-Version des Yandex-Browsers (dem russischen Google-Konkurrenten) sah sehr vielversprechend aus.

Download, Installation, Staunen. Yandex hat automatisch Bookmarks, Verlauf, Erweiterungen und dessen Einstellungen von Google Chrome übernommen und diese auf Anhieb fehlerfrei implementiert. Noch dazu sieht der Browser absolut umwerfend aus. Man hat die Bedienelemente auf ein Minimum reduziert und sie so gut es nur geht in die eigentliche Website integriert: Die Tabs nehmen die Farbe der Seite an, die Toolbars übernehmen ähnlich Ambilight die Farben der Website, sehen beim Scrollen umwerfend aus und heben sich kaum hervor.

An Elementen gibt es oben, in der Fensterleiste, nur den Namen der aktuellen Website, ausgewählte Erweiterungen und das Menü. Bei einem Mouseover über den Titel erscheint der Reload-Button. Der Zurück- bzw. Vorwärts-Button existiert nur, wenn die entsprechende Aktion verfügbar ist.

Screen Shot 2015-05-15 at 23.46.27

Klickt man auf den Titel, so erscheint die URL zusammen mit ein paar hilfreichen Optionen, sowie den am häufigsten geöffneten Seiten. Diese erscheinen übrigens auch beim Öffnen eines neuen Tabs. Sinnlos zu erwähnen, dass die URL-Leiste mit der Google-Suche kombiniert wurde.

Screen Shot 2015-05-15 at 23.48.40

Neben der Titelleiste gibt es nur noch die Tabbar, welche sich allerdings unterhalb der Seite befindet. Sie ist ähnlich simpel aufgebaut wie der Rest des Interfaces. Der aktive Tab wird mit einer leider etwas unschönen Leiste markiert und bekommt ein X zum Schließen spendiert. Daneben befinden sich weitere Tabs, immer im Design des Icons. Rechts und Links ist wieder der Blur-Effekt angewendet.

Screen Shot 2015-05-15 at 23.53.43

Mehr gibt es über den Browser nicht zu sagen. Er ist schlicht, schön, basierend auf Chrome und hat alle für mich benötigten Features sauber verpackt unter einem ablenkungsfreien UI. Nur ein Feature fehlt, aber das wird garantiert nicht lange auf sich warten lassen:

Die Tabs lassen sich nicht verschieben.

Hier geht's zum Download

E-POST - Security made in Germany

E-POST ist ein Service der Deutschen Post. Er sorgt dafür, dass wir Bürger nun endlich auch online Briefe verschicken können, welche rechtlich gesehen als Briefe anerkannt werden. Das bedeutet, wir können zum Beispiel Mietverträge oder Kündigungen online verschicken.

Zwar kostet ein Brief, welcher digital versandt wird, 62 Cent, aber hey, was tut man nicht alles für Sicherheit im Netz? Selbstverständlich können E-POST-Mails nur innerhalb des E-POST-Netzwerkes versandt werden. Versucht man eine unsichere, normale Mail an eine E-POST-Adresse zu senden, bekommt man folgende Meldung:

Screenshot from 2015-05-06 15:16:48

Mails können ausschließlich über die sichere Website der Post versandt werden. Unter https://portal.epost.de ist dieses zu finden. Überprüft man das ganze dann mal mit einem SSL-Server-Test, stellt man jedoch erschreckendes fest. Die ach so sichere Website verwendet RC4 als Verschlüsselungstechnik, welche seit Februar ganz offiziell als knackbar gilt, da sie schlicht veraltet ist. Im RFC wird sogar ausdrücklich verboten, diese für gesicherte Verbindungen über TLS zu verwenden.

Natürlich habe ich daraufhin die Post per Mail kontaktiert, um sie darauf hinzuweisen. Folgenden Text habe ich versendet:

Sehr geehrte Damen und Herren,

während der Verwendung Ihres E-Post-Dienstes stellte ich fest, dass die Übertragung zwischen portal.epost.de und mir über ein veraltetes, mittlerweile unsicheres Verschlüsselungssystem erfolgt.

Im Februar diesen Jahres wurde das von Ihnen verwendete RC4 offiziell durch RFC 7465 ( https://tools.ietf.org/html/rfc7465 ) als unsicher erklärt und die Verwendung im Zusammenspiel mit TLS verboten.

Ich würde mich über eine Stellungnahme zu dem Thema von einem Ihrer Sicherheitsbeauftragten sehr freuen.

Mit freundlichen Grüßen

Karim Geiger

Die Antwort der E-POST kam dann am Folgetag:
Sehr geehrter Herr Geiger,
vielen Dank für Ihre Nachricht. Sie haben Fragen zum Verschlüsselungssystem von E-POST.
Transport Layer Security (kurz TLS) bietet nach dem aktuellen Stand der Technik ein Höchstmaß an Sicherheit. Damit entspricht es den hohen technischen Anforderungen der Deutschen Post an ein Kommunikationsportal.
Renommierte Sicherheitsexperten haben die TLS-Spezifikation entwickelt. Sie gilt derzeit als Standard für sichere Kommunikation im Internet. Auch Onlinebanking-Transaktionen werden gewöhnlich mit TLS geschützt, denn es ist das einzige Verfahren, das von allen marktüblichen Web-Browsern unterstützt wird.
Sie haben gehört, dass TLS-Verbindungen mithilfe von gefälschten Zertifikaten von Dritten mitgelesen werden können? Das ist nur ein Gerücht! Es ist bis heute kein einziger konkreter Fall bekannt.
Wir freuen uns, wenn Ihnen diese Informationen weiterhelfen.
Mit freundlichen Grüßen
Ich lass das jetzt mal unkommentiert so stehen. Update 8. Mai 2015: Ich habe noch einmal nachgefragt und erneut betont, dass man die Frage doch an einen zuständigen Mitarbeiter weiterleiten solle, was man dann auch tat. Daraufhin kam folgende Antwort zurück. Immerhin haben sie mein Anliegen verstanden... naja.
Im Bezug auf Ihre Anfrage haben wir weitergehende Informationen von unserem IT-Sicherheitsbeauftragten erhalten:
Der geschilderte Sachverhalt ist zutreffend: Das E-POST Portal ermöglicht derzeit noch Verbindungen auf Basis von RC4. Dies dient der Unterstützung von Browsern, die noch kein TLS 1.2 nutzen. Um gegen BEAST-Angriffe zu schützen haben unsere Experten die Verwendung von RC4 für TLS 1.0 und 1.1 ausgewählt. RC4 bietet gegenüber der Verwendung von Block-Ciphern im CBC-Modus (TLS 1.0 und 1.1 unterstützen keine anderen Modi) einen besseren Schutz.
Der Browser gibt beim Verbindungsaufbau die TLS-Version vor. Aktuelle Browser verwenden automatisch TLS 1.2. Ein TLS-Downgrading wird serverseitig verhindert. Somit ist sichergestellt, dass immer das höchstmögliche Sicherheitsniveau für HTTPS-Verbindungen genutzt wird.
Wir führen kontinuierliche Auswertungen über die eingesetzten Ciphersuites durch und passen unsere serverseitige Ciphersuite-Konfiguration entsprechend an. Das Nutzerverhalten im Bezug auf die eingesetzten Browser muss für die Umsetzung des RFC 7465 aber berücksichtigt werden.

Ketchup

Ist der Typ jetzt komplett durchgedreht, oder warum bloggt er mittlerweile über Ketchup?

Berechtigte Frage. Aber nein, ich würde nicht behaupten, dass ich komplett auf die rote Seite abgedriftet bin. Ich möchte mich heute mal nur über das Wort an sich und die allgemeine deutsche Rechtschreibung unterhalten. Den Ursprung des Themas stellte eine Unterhaltung über das Synonym des Gegenwortes zu Synonym - dem Antonym. Über ein paar Ecken kamen wir dann zum Wort Ketchup, welches laut Duden nicht nur Ketchup, sondern auch Ketschup geschrieben werden kann.

Doch das ist nur der Anfang. Alternative Schreibweisen sind ja nichts Neues und haben auch durchaus ihre Berechtigung. Was ich allerdings traurig finde, ist die Adaption des Dudens an die Verdummung der Menschen. Natürlich ist das ganze übertrieben ausgedrückt, aber man findet doch immer wieder Beispiele, durch welche klar erkennbar ist, dass einige Schreibweisen nur deswegen existieren, weil sie plötzlich jeder so schreibt.

Doch die Seite des Dudens, welche Ketchup behandelt, birgt weitere skurrile Dinge. So kann man nicht nur "der Ketchup" sagen, sondern auch "das Ketchup". Da fragt man sich, warum man nicht einfach einen Artikel als richtig und einen als falsch deklarieren kann. Bei dem Paprika haben sie es ja auch geschafft.

But wait, there's more! Nicht nur die lockere Schreibweise sowie die freie Wahl des Artikels ist gegeben, auch die Trennung des Wortes ist relativ willkürlich. Sinnvoll wäre natürlich Ket|chup, was auch richtig ist. Unlogischerweise ist aber auch Ket|ch|up richtig, Ketch|up jedoch nicht.

Allgemein finde ich die (deutsche) Sprache sehr grausam, wenngleich auch sehr schön. Ich könnte Stundenlang über komische Plurale oder Pluraletantums sinnieren, aber ich denke die allgemeine Botschaft ist angekommen: Ich finde es einerseits schade, dass die Sprache vereinfacht wird, finde es auf der anderen Seite aber auch gut, dass versucht wird sie zu standardisieren.

Wer mehr zum Thema Sprache von mir lesen will: Ist denn dass so schwer?

LBB - Können Sie mein Limit erhöhen?

Wer eine Amazon Kreditkarte hat, wird automatisch Kunde bei der Landesbank Berlin. Diese Bank bietet nämlich besagte Kreditkarte an.

Ich denke das Kreditkartensystem ist jedem bekannt. Man bekommt ein Limit, welches man ausschöpfen kann, und am Ende des Monats wird dann ein Teilbetrag oder der gesamte (je nach Einstellung) vom Girokonto abgebucht.

Interessant wird es nun, wenn man bei der LBB mal lieb nachfragt, ob sie nicht das Limit (welches nebenbei bemerkt lächerlich niedrig ist, obwohl mein SCHUFA-Score recht gut ist) erhöhen könnten, kommt als Antwort ein "Nein" zurück.

Nicht weiter tragisch. Interessant ist nun aber was darauf folgt. Normalerweise hat das Webinterface der LBB einen Button, mit dem man konfigurieren kann, welcher Teilbetrag abgebucht werden soll: 100%, 75%, 50%, immer 500 Euro, immer 250 Euro, etc.

Besagter Button verschwindet urplötzlich und klammheimlich aus dem Interface, nachdem die Supportfrage gestellt und beantwortet wurde. Ich habe natürlich dort angerufen und nachgefragt, woran es liegen kann, dass der Button nicht mehr da ist. Der nette Herr am Telefon konnte mir nur sagen "die IT entscheidet das. Der taucht dann irgendwann wieder auf. Einen Grund, warum der verschwunden ist, kann ich Ihnen nicht nennen".

Schön und gut, muss ich halt damit leben. Aber wie wäre es, wenn man mich darüber informiert? Fehlanzeige: "Die Konfiguration über das Webinterface ist eine Zusatzleistung, welche nicht vertraglich geregelt ist. Daher kann sie nach Belieben aktiviert und deaktiviert werden, ohne Sie darüber zu informieren. Sie haben aber immer die Möglichkeit Ihre Rate per Telefon zu bestimmen."

Ich möchte jetzt nicht davon anfangen, dass ich zur Verifizierung meiner Selbst lediglich die Kartennummer und meinen Wohnsitz angeben musste, was vermutlich jeder, der meinen Geldbeutel klaut, herausfinden kann. Das ist ein anderes Thema. Ich möchte nur sagen: Geht's noch?

Ich wollte Ghost installieren

Kennt ihr Ghost? Die wohl meistgehypte Blogging-Plattform seit WordPress. Ghost, die Lösung für alles. Verpackt in einer simplen Oberfläche, ganz einfach zu installieren mit npm. Quasi.

npm ist der Dependency-Manager von Node.JS - dem serverseitigen JavaScript. Ich mag JavaScript sowieso nicht, da will ich es nicht auch noch auf dem Server haben. Aber was tut man nicht alles um eine schöne Bloggingplattform zu bekommen?

In der Theorie ist die Installation Ghosts relativ einfach. npm und node installieren, Ghost-Zip runterladen, entpacken, npm install --production, starten.

Unter Ubuntu läuft das dann so ab, dass man sich erst einmal eine veraltete npm-Version installiert, welche Probleme mit so ziemlich allem und jedem hat. Abhilfe schafft dann ein npm install npm -g, damit aktualisiert man npm. Warum sollte man denn auch npm update dafür verwenden?

Plötzlich bekommt man einen seltsamen Stack-Trace, wenn man npm starten will. os.tmpDir() wird nicht gefunden. Nach einer halben Stunde mit Onkel Google findet man dann irgendwann heraus, dass die node-Version zu alt ist. Hätte man im Nachhinein auch einfach als Fehlermeldung ausgeben können..

Aber gut, dann updaten wir mal unsere node-Version. Diesen Schritt finde ich besonders schön:

npm i n -g n latest

Kein Scheiß, so geht das. Kurz erklärt: i steht für install, n ist ein Versionsmanager für node. Mal abgesehen von dem beschissenen nicht so tollen Namen fällt außerdem auf, dass man ihn nur installieren kann, wenn man eine funktionierende npm/node-Umgebung hat. Man kann im aktuellen Stand, den wir jetzt haben, also entweder npm downgraden oder node manuell upgraden. Ich entschied mich für letzteres.

So, nachdem also npm und node also endlich problemlos zusammenarbeiten, kanns ja endlich mit Ghost losgehen. Paket runtergeladen, npm install --production ausgeführt und wusch - der nächste Fehler. Natürlich genau so nichtssagend wie der erste. npm ist einfach super in dieser Hinsicht. Wie sich herausstellte, hat Debian diesmal Mist gebaut. Naja, gut. Es läuft. Immerhin.

Ach ja.. und zum Thema Migration: RSS-Feeds parsen wär ja zu einfach. Ghost kann das besser.

Hostnamen ändern - Oder: Warum Linux peinlich ist

BqgDBGPCIAI7OGS

Wie ändere ich den Hostnamen temporär unter Linux? Geht ganz einfach.

hostname new-hostname
Fertig! Und wie ändere ich den Hostnamen nun rebootsafe? Denn sind wir mal ehrlich.. warum will ich einen Hostnamen temporär setzen? Das geht - sofern kein systemd vorhanden ist - relativ kompliziert.

SLES: # echo new-hostname > /etc/HOSTNAME
RHEL: # echo new-hostname > /proc/sys/kernel/hostname
Ubuntu: # echo new-hostname > /etc/hostname
Und nicht vergessen den Hostnamen unter /etc/hosts zu ändern. Es gibt Distributionen, welche ein eigenes Management-Tool anbieten (openSUSE bzw. SLES z.B. mit YaST), welches das dann ganz einfach macht. Oder man macht es über die GUI. Aber mal ehrlich. Linux ist jetzt über 20 Jahre alt und erst kürzlich wurde ein Weg gefunden, mit welchem man mehr oder weniger einheitlich Systemeinstellungen setzen kann.

Ich will mich nicht schon wieder über Betriebssysteme oder dergleichen aufregen. Ich wollte nur mal anmerken, dass mich diese tausend Distributionen ziemlich ankotzen. Man nennt es zwar immer GNU/Linux, im Endeffekt ist der Unterschied zwischen Fedora, Ubuntu und openSUSE aber so groß wie der Unterschied zwischen "GNU/Linux" und OS X. Ich finde, man könnte einiges wesentlich schöner gestalten. Angefangen bei Desktopumgebungen über Netzwerkmanager und Schriftarten bis hin zu sinnvollen Defaults, durchdachtem User Interface-Design oder.. GIMP.

HTTPS - Overhyped since 2014

Seit Google im August beschlossen hat (man achte bitte darauf, dass Blogspot kein HTTPS verwendet) HTTPS als Ranking-Kriterium mit einzuberechnen, läuft das halbe Internet amok.

Jeder noch so kleine Blog stellt plötzlich auf HTTPS um (hust), jeder wird zum Sicherheitsexperten und alle denken sie hätten ihre Website endlich final gegen Hacker, MITM, DDoS und was nicht noch alles gesichert, nur weil man nun ein s mehr in der URL hat. Da dementsprechend oft das Thema aufkommt und mich mittlerweile schon einige Leute gefragt haben, was ich davon halte, gibt es nun meine Antwort dazu:

Kommt mal runter. Nein, HTTPS ist nicht das Penicillin des Webs, es ist keine Wunderwaffe, die einen plötzlich immun gegen alles und jeden macht. Ganz im Gegenteil sogar. Doch ja, HTTPS hat ganz klar eine Daseinsberechtigung: Der Inhalt einer Seite kann nur zwischen den zwei Parteien gesehen werden und die Herkunft der Seite ist gesichert, was oftmals und bei vielen Websites ein absolutes Must-Have ist. Doch eben nicht immer.

Verwendet man diese Technologie also auf seiner Website, ist man zumindest theoretisch sehr gut gegen sogenannte Man-in-the-Middle-Angriffe geschützt. Es ist also nicht einfach möglich sich als Angreifer zwischen den Client und den Server zu hängen und den Inhalt der Website auszulesen oder zu verändern. Das hat enorme Vorteile, da man so gerade in öffentlichen Netzen vor Schadsoftware und Sessiondiebstahl gut geschützt ist.

Allerdings nur theoretisch. Besucht man eine Website beispielsweise das erste mal, sieht das im Browser folgendermaßen aus: Man tippt facebook.com ein und wird auf http://facebook.com weitergeleitet. Der Server gibt nun zurück, dass man doch bitte HTTPS verwenden solle und verweist auf https://facebook.com. Der Browser lädt die Seite und die sichere Verbindung wird aufgebaut. Erst ab hier kann die Verbindung normalerweise nicht mehr durch einen Angreifer in der Mitte abgeschnorchelt werden. Doch das reicht oft schon aus. Denn gibt der Angreifer an http://facebook.com zu sein - was, da dort kein HTTPS verwendet wird, ganz einfach möglich ist, so kann er wieder ganz entspannt den Datenverkehr mitschneiden und manipulieren.

Klar, es gibt Add-Ons, welche den Nutzer automatisch auf die sichere Seite weiterleiten, sofern diese existiert. Es gibt aber auch alternative und bessere Möglichkeiten um sich in öffentlichen Netzen vor entsprechenden Angriffen zu schützen, ganz ohne HTTPS. Die Rede ist von VPNs oder dem Tor-Netzwerk.

Nur am Rande: Ein weiteres Missverständnis beim Thema HTTPS ist, dass man nicht zurückverfolgen kann, wann welche Seite besucht wurde. Das ist quatsch, da der Verbindungsaufbau genau wie bei HTTP vom ISP protokolliert wird. Gegen eine eventuelle Vorratsdatenspeicherung hilft das also auch nicht.

Und was ist so schlimm daran HTTPS zu verwenden? Schließlich gibt es doch keine Nachteile. Doch, die gibt es. Die Verbindung ist gerade bei langsamen Anbindungen wie z.B. EDGE träger, da das Austauschen des Schlüssels eine gewisse Zeit in Anspruch nimmt und die verschlüsselten Inhalte (minimal) größer sind. Auch bedeutet es für den Server sowie für den Client einen Mehraufwand, da jede Datei ver- und danach wieder entschlüsselt werden muss.

Außerdem kosten Zertifikate in der Regel Geld. Zwar bekommt man bei einigen Anbietern ein kostenloses Zertifikat für die TLD (z.B. karim-geiger.de) sowie eine Subdomain (z.B. www.karim-geiger.de), hat man nun aber mehrere Subdomains um z.B. Traffic auszulagern, weitere Dienste anzubieten oder warum auch immer, kommt man um einen Aufpreis nicht herum. Ganz abgesehen davon verlangen einige Webspaces einen Aufpreis für die Konfiguration, welche nebenbei bemerkt gerade bei komplexeren Strukturen mit Proxys und co. einen erheblichen Mehraufwand bedeutet.

Auch gibt es technische Einschränkungen, welche natürlich durchaus Sinn machen, für Blogs* oder ähnliche Websites aber sehr nervig sind: Werden Nicht-HTTPS-Inhalte auf einer verschlüsselten Seite eingebunden, so werden sie ignoriert. Das hat zur Folge, dass viele Blogs, welche Bilder/Videos/CSS/JavaScript von Dritten einbinden, nicht mehr ordnungsgemäß funktionieren.

Wann macht HTTPS also Sinn? HTTPS macht immer dann Sinn, wenn kritische Nutzerdaten übertragen werden, darunter Benutzernamen, Passwörter, E-Mail-Adressen, etc. Da viele Websites dies allerdings so gut wie nie anbieten (Blogs*, Portfolios, Imageboards, ...), ist es in meinen Augen nur bedingt sinnvoll. Die Entscheidung Googles ist daher in meinen Augen nicht ganz nachvollziehbar, da man so den Nutzer in Sicherheit wägt, es aber keinesfalls vor schlechter Programmierung schützt.

 

* Ich seh's schon kommen, daher hier die Erklärung: Ja, Blogs haben ein Management-Backend, bei dem man sich einloggen muss und ja, Blogs bieten oft an Kommentare zu hinterlassen. Man kann also durchaus das Backend per HTTPS absichern. Deswegen aber den gesamten Blog mit HTTPS zu versehen, halte ich für oversized. Bezüglich der Kommentare halte ich es meistens nicht für sinnvoll. Nur die wenigsten bieten eigene Nutzeraccounts an, die meisten verwenden - wie ich - Tools von dritten, da sich niemand wegen einem Kommentar einen Account erstellt. Die Kommentarsysteme selbst sollten dann allerdings für eine sichere Übertragung sorgen.

Bildquelle

Satya Nadella goes Windows 10

Wenn man sich einmal die Geschichte Microsofts ansieht, kann man klar sehen, welch großen Unterschied die führende Kraft macht.

Als der Gründer Bill Gates noch die Oberhand hatte, machte die Firma große Fortschritte, bis dann 2000 Steve Ballmer der nächste CEO wurde. Kurz vor dem Start von Windows 7 verabschiedete sich Bill Gates dann komplett von Microsoft. Ballmer mag ein netter Mensch sein, als CEO hat er in meinen Augen aber komplett versagt. Wer bei einer Firma mit einer so beachtlichen Größe wie Microsoft eine Präsentation mit einer einminütigen Schrei-Session einleitet und dabei zeigt, wie wenig er sich selbst doch unter Kontrolle hat, ist vielleicht nicht der beste Kandidat um ein kritisches Unternehmen leiten zu können, welches sich im Laufe der Jahre sehr radikal anpassen muss.

Screen Shot 2015-01-24 at 13.42.51

Wie erfolgreich Steve war, lässt sich auch am Börsenkurs sehr gut ablesen. Wir erinnern uns: Von 2000 bis 2014 war er der Microsoft-Chef, bis ihn dann Satya Nadella ablöste, der erstaunlicherweise alles ganz genau richtig macht. Jetzt, mit der Präsentation vom neuen Windows 10 kommt dann der entscheidende Schachzug, der vermutlich Apple, Linux, Google, Sony und Steam ziemlich Sorge bereitet hat. Denn plötzlich nimmt es Microsoft mit all diesen Firmen auf und steht momentan auf bestem Wege das Spiel zu gewinnen. Grund dafür ist einmal die enorme Reichweite Microsofts, zum anderen das klare Konzept. Natürlich, die Reichweite hat in letzter Zeit nachgelassen, doch hat man trotzdem noch ein entscheidendes Eisen im Feuer: Den Desktop. Auch wenn die mobile Welt von Google und Apple dominiert wird, macht Windows auf dem Desktop so schnell keiner was vor. Nicht, weil Windows besonders gut war, sondern einfach weil es am meisten Software und Hardware dafür gibt.

Mit dem neuen Konzept wirft man alte und teilweise peinliche Aktionen über Bord und konzentriert sich endlich auf die wesentlichen Dinge. Eine große Firma kann auch viele Baustellen gleichzeitig bewerkstelligen, weswegen es am besten ist das ganze kategorisiert anzugehen:

Scroogled

29409_large_121129023313-scroogled-screenshot-story-top

Ich nenne sie gerne die Kleinkind-Kampagne. Es war ein Projekt um den einfachen Bürger gegen Google aufzuhetzen. Es gab Merchandise und unzählige Unterseiten auf denen man versuchte Google schlecht zu reden. "Google klaut eure Daten und verkauft sie an Werbetreibende" - "Google liest eure E-Mails". Nach diesem Motto war die Kampagne aufgebaut. Also ähnlich wie ein Kind, das in der Schule zu anderen hin geht und sagt "guck mal, der popelt in der Nase! Wie eklig". Oder anders gesagt: Für jemanden wie Microsoft einfach nur peinlich.

Jetzt vor ein paar Tagen stellte Nadella diese Kampagne endlich ein und konzentriert seine Kräfte auf wesentliche Baustellen.

Update-Policy

Doch auch jetzt gibt es noch einige Probleme zwischen Google und Microsoft. So entdeckte Google eine Sicherheitslücke in Windows, meldete diese und gab dem Konzern 90 Tage Zeit die Lücke zu patchen, bevor man sie veröffentlichte. Microsoft machte sich zwar an einen Patch, wartete aber auf den nächsten Patch-Day um das Sicherheitsupdate zu verteilen. Das dauerte Google zu lang, weswegen man zwei Tage vor dem Update die Lücke veröffentlichte. Zugegeben, ein ebenfalls eher kindliches Verhalten seitens Google, doch vielleicht ein sehr guter Hinweis für Microsoft um das Konzept des Patch-Days noch einmal zu überdenken.

Updates sind allgemein so eine Sache bei Microsoft. Während andere Betriebssysteme wie OS X und Linux es halbwegs schaffen Patches einzuspielen, ohne das System neustarten zu müssen (ja, manchmal ist es doch nötig), hängt Microsoft noch immer in alten Zeiten™ fest und muss fast permanent neustarten. Traurig dabei ist, dass das Anwenden des Patches nach dem Shutdown nicht erledigt ist. Jeder kennt die Meldung "Lassen Sie den PC zum Abschluss dieses Vorgangs eingeschaltet. Update x von 543 wird installiert...". Oft kommt es dann aber vor, dass nachdem man den Computer das nächste mal startet eine ähnliche Meldung kommt. Noch bevor man sich einloggen kann, muss das Update konfiguriert werden. Manchmal startet der PC davor sogar noch einmal neu. Sicherlich kein Beinbruch, aber ärgerlich ist es doch allemal, weswegen ich mir wünsche dass Microsoft mit Windows 10 diesem Verhalten ein Ende setzt. Dadurch sollten auch wichtige Sicherheitsupdates schneller von den Nutzern installiert werden, da sie den Updater so vielleicht nicht auf manuell setzen - wie ich das gemacht habe.

Bing

Bing-logo-orange-RGB

Mit Bing hat man eine direkte Konkurrenz zu Google geschaffen, was die Suche betrifft. Und auch wenn man Microsoft nicht mag, das Ergebnis ist nicht schlecht. Während die Websuche zwar noch nicht an die Qualitäten Googles herankommt, hat man bei der Bilder und Videosuche doch einiges umgesetzt, was Google schon seit Jahren nicht schafft bzw. aus rechtlichen Gründen nicht darf: Eine Slideshow sowie bei den Videos eine Mouseover-Preview.

Kurz: Die Suche ist nicht schlecht und wird mittlerweile bei immer mehr Browsern (aufgrund von großzügigen Spenden) als Default-Suchmaschine verwendet. Logisch, dass das bei Windows und dessen Browsern auch der Fall ist. Möglich ist daher, dass viele, die schon sehr eng in der Microsoft-Welt leben, auf kurz oder lang komplett auf Bing als Suchmaschine umsteigen würden. Das wäre der Super-GAU für Google, weil sie dadurch immer weiter von der Bildfläche verschwinden.

Internet Explorer/Spartan

Lange Zeit versuchte man den schlechten Ruf des Internet Explorers 6 wiederherzustellen. Das Problem war nur: Die Browser waren bis Version 11 immer wesentlich schlechter als die Konkurrenz, weswegen das einfach nicht klappte. Jetzt, seit zwei Versionen, hat man jedoch einen Browser geschaffen, welcher durchaus nutzbar ist. Nur bekommt das keiner mehr mit, da folgender Denkansatz im Kopf der meisten festgefahren ist: "Internet Explorer = schlecht"

Was hilft da? Ein neuer Name! Würde man jetzt aber den Internet Explorer einfach umbenennen, bekommt die Öffentlichkeit davon Wind und assoziiert damit "okay, Internet Explorer = neuer Name = schlecht". Ja, wir Menschen sind dumm. Aber so ist das nunmal. Deswegen könnte Microsoft's neue Strategie hinhauen: Man veröffentlicht neben dem Internet Explorer einen weiteren Browser mit dem Namen Spartan. Im Endeffekt ist es das selbe in lila, aber eben anders. Neugierig wie der Mensch ist, wird man das plötzlich neue Stück Software ausprobieren und es vermutlich gut finden. Wenn dann ein Großteil auf den neuen Browser umgestiegen ist, wird man ganz still und heimlich den alten Internet Explorer einstellen.

Kostenlos

terry_myerson_web

Das ist vermutlich der beste Schachzug, den Nadella mit Windows machen konnte: Es kostenlos als Upgrade anbieten. So kann jeder Microsoft Windows 7 oder höher-Nutzer ein Jahr lang kostenlos auf das neue Windows 10 aktualisieren - und läuft dabei in die Falle Microsofts mit Spartan, Bing und vielen neuen Features. Was auf kurze Sicht vielleicht ein finanzieller Nachteil für Microsoft sein mag, ist auf lange Sicht gesehen wahrscheinlich die Rettung. Schließlich gibt es genug Cloud-Services aus dem Hause Microsoft, welche man sich gut bezahlen lässt und erst durch Windows 10 wirklich integriert werden.

Im gleichen Schritt möchte man von den Versionsnummern wegkommen. Anwender nutzen also nicht mehr Windows 7, Windows 8 oder Windows 10, sondern einfach nur noch Windows. Am PC, am Tablet, am Fernseher, am Smartphone, auf der Uhr und am Kühlschrank.

Windows Phone

Und damit haben sie genau das umgesetzt, was man sich seit es Smartphones gibt wünscht: Die perfekte Integration wie man es aus jedem Science-Fiction-Film kennt. Die Anwendungen laufen überall (=Entwickler haben weniger Arbeit), die Daten werden synchronisiert und alles sieht gleich aus. Was Apple mit Yosemite und iOS 8 mäßig gut schaffte, Google mit Android komplett verpennt hat und Ubuntu schon seit zwei Jahren versucht, es aufgrund finanzieller Mittel aber nicht schafft, wird Microsoft mit Windows 10 endlich auf die Reihe bekommen.

Windows Phone wird abgeschafft und auf dem Smartphone läuft genau wie auf dem Tablet nur noch Windows. Ein Traum in blau.

Gaming/Xbox One

win10_xbox_devices_web

Doch damit nicht genug. Mit der neuen Konsole hat Microsoft ebenfalls eine schlaue Strategie gefahren: Da sie auf der x86-Architektur basiert, kann auch diese mit Windows 10 problemlos betrieben werden - und genau das wird passieren. So wird es keinen großen Unterschied zwischen einem PC und der Xbox geben, weswegen sie plötzlich nicht mehr nur eine Gaming-Konsole ist, sondern ein komplettes Home-Entertainment-System, welches perfekt in die Windows-Welt passt. Und damit greift man plötzlich auch Steam an, da man das Spielemanagement der Konsole auf dem heimischen Computer bringen kann und somit diesen ebenfalls zur Konsole umfunktioniert.

Fazit: TL;DR

Mein persönliches Fazit zu Windows 10 ist: Nice.