Februar 2014

SSL-Sicherheitslücke in OSX und iOS

apple osx ios

Es gibt bei Apple einen derben sicherheitsrelevanten Bug in SSL/TLS. Apple hat für iOS schon ein Update heraus gegeben, bei OSX wartet man noch drauf. Betroffen sind wohl nur Anwendungen die OSX' SSL-Implementation benutzen, Browser wie Chrome oder Firefox aber nicht. Es gibt eine Site im Netz auf der man den eigenen Browser überprüfen kann.

Die ganzen Umstände dieser Sicherheitslücke bilden natürlich einen »Nährboden« für Verschwörungstheorien: »On the Timing of iOS’s SSL Vulnerability and Apple’s ‘Addition’ to the NSA’s PRISM Program«.

Ein neuer Versuch

uninformat weblogs

Also mal wieder Weblog. Die letzten Jahre schrieben wir alle nur noch die Social-Networks voll und füllten die Datensilos mit all unseren schönen Sachen. Die »sie« dann mit verkaufen, für Summen die das Bruttoinlandprodukt afrikanischer Staaten übertreffen. Und eines Tages ist alles weg. Muss ja nicht sein!

Das bestehende Weblog war zwar sehr hübsch, schrie aber von seiner ganzen Anmutung nur »fülle mich mit langen schlauen Artikeln« in die Nacht hinaus. Manchmal soll es aber auch nur etwas kurzes Dummes sein.

Darum versuchen wir es also mal wieder mit dem Wald- und Wiesenbloggen in veränderter Form. Unbeeindruckt vom grassierenden Relevanz-Getue. Wie einst im Mai.

Dieses Ding hier ersetzt auch den alten Tumblr unter uninformat.io. Wir wollen ja weg von den Datensilos in »ihren« Händen…

Mache es statisch

uninformat jekyll

Übrigens läuft hier jetzt, wie auch bei anderen »Altblogger-Legenden«, ein statischer Blogseiten-Generator, nämlich Jekyll. Das funktioniert hervorragend und fällt mir als Ruby-Entwickler auch nicht sonderlich schwer im Umgang.

Aber wie bei allen statischen Blog-Generatoren besteht auch hier das Problem mit den Kommentaren, die ein »ordentliches« Blog eigentlich haben muss. Es wird schwierig eine Lösung ohne »Datensilo« zu finden die das Prinzip »statisch« nicht ad absurdum führt, aber ich arbeite dran…

Kommentare ohne Datensilo mit Isso

uninformat jekyll isso

Ein kleiner Blick durch Google in unserem die Legenden der Blogosphäre ;-) bewegenden Problemfall »Kommentare in einem statischen Blog« ergab als Lösung meistens den Griff zu Disqus und Co. Das wollen wir aber nicht, die Daten liegen bei einem Dienst irgendwo da draußen mit einer Schnorchelleitung zur NSA (oder so). Oder Spezial-Lösungen wie das emailbasierende Kommentarsystem beim Schockwellenreiters.

Und »Isso – Ich schrei sonst«. Isso wird auf dem eigenen Server installiert und dann ähnlich Disqus per JavaScript eingebunden. Die Kommentare werden in einer SQLite-Datenbank abgelegt. Es hat nur einen Haken: Es ist Python-Gefrickel, und ich hasse Python-Gefrickel.

Einen Versuch sollte es wert sein, so habe ich es mit der (für Python-Gefrickel erstaunlich gut funktionierenden) Installation auf den Server geworfen und flugs in das Jekyll-Blog eingebaut. Nun schauen wir mal ob das benutzbar ist.

»Seitenmanipulierende Add-ons«

adblocker werbung fud

Nach den Verlagen starten nun auch die Portale für das Internet-Proletariat aus dem Hause 1&1 eine kleine Kampagne gegen Adblock und Co. Nach der »wir armen Verlage haben nix und du bist schuld«-Schiene der selbsternannten Garanten der Pressefreiheit setzen die Portale auf FUD in Form von »dein Ad-Blocker ist ein Sicherheitsrisiko«, indem sie Ad-Blocker als »seitenmanipulierende Add-ons« bezeichnen und auf der Seite eine Fehlermeldung anzeigen.

Sehr schön dazu ist diese Einschätzung von Kris Köhntopp auf Google-Plus, die das Problem genau anders herum sieht (Zitat):

»Während jedoch Adblock niemals Quelle eines Sicherheitsproblems war, sind mehrere Fälle bekannt, in denen Adserver verwendet wurden, um großflächig Malware zu streuen und Rechner zu übernehmen.«

Adblock Plus ist unabhängig davon durchaus umstritten. Unter OSX empfiehlt der kleine Wald- und Wiesen-Blogger Ihres Vertrauens daher Glimmerblocker. Glimmerblocker ist kein Browser-Add-On, sondern ein lokal laufender Proxy-Server der neben der Filterung des kulturellen Feinstaubs der Überflußgesellschaft (aka »Werbung«) auch weitere vielfältige Möglichkeiten der Seitenmanipulation (wie CSS-Anpassungen »on demand«) bereit hält.

Denn was auf Deinem Bildschirm erscheint bestimmst immer noch Du, es gibt kein Menschenrecht auf »meine Werbung muss gesehen werden«. Das werden unsere Freunde von der Anbieter-Seite auch noch lernen, das dauert halt seine Zeit…