Skip to content

Spamschutz bei S9Y

Im Hintergrund tut Serendipity oder kurz S9Y seinen Dienst. Vor mehr als sieben Jahren stieg ich von Wordpress auf die Software um. Die Software tut im wesentlichen ihren Dienst. Außer, wenn wie heute, ein Plugin merkwürdige Sachen macht.

Ich hatte bis heute abend das Autosave-Plugin installiert. Das speichert die Einträge zwischen und soll eigentlich vor Datenverlust schützen. Bei mir sorgte es dafür, dass die Rezension mehrfach verschwand. Der Grund war, dass ich auf Speichern im Artikelfenster drückte und das Fenster offen liess. Das Plugin wollte einfach alte Werte speichern und löschte so den Beitrag.

Seit dem Jahreswechsel bereitet mir nicht die Blogsoftware Kopfschmerzen, sondern der Spam der eintrudelt. Anfangs hatte ich den Spamschutz aktiviert, den S9Y von Haus aus mitbringt. Dazu setzte ich ein paar Worte auf die Blacklist. Das reichte aus. Nebenan im Datenkanal habe ich noch das Bayes-Plugin im Einsatz. Das wurde von Beginn an angelernt und verrichtet gute Dienste.

Das S9Y Infocamp hat sich nun dem Thema Spamschutz bei S9Y angenommen. In dem Podcast besprechen sie verschiedene Mechanismen. Dabei kommt die Rede auf die SpamBee. Die arbeitet unter anderem mit versteckten CAPTCHAs. Die vier Podcaster sind voll das Lobes. Ich habe den Podcast glücklicherweise zur rechten Zeit gehört. Denn direkt nachdem ich die Biene hier installierte, traf das Blog eine Spamwelle. Von den Lesern hat das vermutlich niemand bemerkt. Die Spambiene hat den Spam wirklich sehr gut abgefangen. Wer also da draußen mit Spam bei S9Y zu kämpfen hat, sollte unbedingt SpamBee probieren. Vermutlich bringt das Plugin Linderung.

Firefox Add-On Ant Video Downloader spioniert Nutzer aus

Ein Add-On für den Firefox, welches 4 von 5 Sternen hat und von mehr als sieben Millionen Nutzer installiert wurde, sollte doch halbwegs vertrauenswürdig sein. Zumindest legt Linus’ Law diese Erkenntnis nahe. Das Add-On Ant Video Downloader straft diese Annahme nun Lügen.

Der Ant Video Downloader soll Videos von Youtube, Facebook und vielen anderen Seiten auf einfache Weise herunterladen. Daneben hat die Software noch einen anderen Zweck. Sie sammelt Daten über jede Seite, die der Benutzer besucht. Dazu wird eine eindeutige Nummer, die so genannte Ant-UID, angelegt. Wenn eine Webseite aufgerufen wird, sendet Ant eine zweite Anfrage mit eben dieser Nummer, der URL der aufgerufenen Seite sowie der Browserkennung an die Adresse rpc.ant.com.  Somit kommt dort jeder Seitenaufruf (also auch interne URLs im privaten Netzwerk) an, den ihr jemals gemacht habt. Damit aber noch nicht genug. Bei der Deinstallation der Software wird die Informationen mit der eindeutigen Nummer, der Ant-UID, behalten. Wenn ihr die Software später neu installiert, wird genau dieselbe Nummer wieder verwendet. Das ist also eine massive Verletzung der Privatsphäre der Nutzer.

Wie ein Witz klingt da die Privacy Policy von Ant.com:

As a responsible member of the community of website owners, Ant.com solutions (Here in after Ant.com) takes the privacy and security of its users with the highest regard.

Insgesamt finde ich in der Policy keinen Hinweis auf diese Spionagemaßnahme. Glücklicherweise haben die Betreiber der Add-On-Seite die Notbremse gezogen. Zunächst wurde der Download der Software komplett deaktiviert und jetzt ist diese als experimentell gekennzeichnet. Damit sollten nur erfahrenere Nutzer diese installieren können.

Das Beispiel zeigt mal wieder, das man sich offensichtlich auf keine Software verlassen kann und insbesondere das die Warnungen bezüglich der Add-Ons sehr ernst zu nehmen sind.

via InterWeb Task Force und The Register

Start des Wintersemesters

Heute startete das Wintersemester an der Uni. Für mich ist es das erste Mal, dass ich keine Vorlesungen höre, sondern selbst eine halte. Das Thema ist IT-Sicherheit. Dort bespreche ich die üblichen Schwerpunkte (Kryptografie, Sicherheitsmodelle, CC etc.). Zur ersten Veranstaltung kamen etwa 40 Personen. Ich bin gespannt, wie die Zahl am Ende des Semesters ist.

Heute habe ich als Einführungsbeispiel etwas zu Stuxnet erzählt. Der Wurm ist wegen seiner Komplexität sehr interessant. Es schien so, als ob der Großteil der Teilnehmer meinen Ausführungen folgen konnte. Immerhin gab es am Ende einige Fragen und zur Freude der Studenten war auch einige Minuten eher Schluss.

Am letzten Freitag des Monats startet dann ein Seminar zu Wikileaks. Hier erstaunt mich die Zahl der Teilnehmer. Im Friedolin steht nur der Titel des Seminars und es haben sich etwa 50 Personen angemeldet. Ich würde mich freuen, wenn sich alle für das Seminar entscheiden. Dann können wir vielleicht wirklich etwas auf die Beine stellen.

Natürlich will ich mich in die eine oder andere Vorlesung reinsetzen. In der Mathematik finde ich algebraische Zahlentheorie recht interessant und das passt bei mir gut rein. Andere Vorlesungen sind entweder zu lang oder ich schaffe es zu den Terminen nicht. Dann habe ich mir einige Jura-Veranstaltungen herausgesucht. Eine davon sollte heute beginnen. Als ich die Tür öffnete, stand ich vor einer Wand Menschen und habe den Saal gleich wieder verlassen. Mal sehen, ob die anderen Veranstaltungen genauso sind.

Ich wünsche allen Studenten ein erfolgreiches Semester. :-)

Mammutaufgabe Nummer 2 für 2010

Vor einer Woche tagte das letzte Gremium und auch hier gab es einen eindeutigen Beschluss: Mein Lehrauftrag für das Wintersemester 2010/11 wird genehmigt. Also startet bald mein nächstes Großprojekt, die eigene Vorlesung. Ich werde zusammen mit einem weiteren Professor des Lehrstuhls für Informatik die Vorlesung IT-Sicherheit halten und bin sehr auf diese neue Erfahrung gespannt.

Die ursprüngliche Idee für diese Vorlesung kam aus der Studentenschaft. Während der Proteste anfangs des letzten Semesters monierten Studenten das fehlende Thema. Über diverse Iterationsstufen kam der Vorschlag schließlich bei mir an und der Stein ins Rollen. Ich halte schon seit vielen Jahren Seminare. Zu Beginn waren es hauptsächlich Finanzthemen, genauer Devisen- und Wertpapierhandel. Später schwenkte ich auf den Softwaresektor um. Anfangs war Java der Hauptinhalt, später erweiterte ich mein Angebot auf GNU/Linux (Zertifizierung, Administration etc.), IT-Sicherheit (BSI Grundschutz) und Datenschutzthemen. Die letzteren Felder beackere ich auch in praktischer Tätigkeit. Daher wurde mir das nötige Wissen und die Fähigkeit zur Schulung anerkannt. Die diversen zuständigen Gremien gaben ihre Zustimmung und nun kann es losgehen.

Wenn es soweit ist, berichte ich über die Inhalte und eventuell interessante Begebenheiten aus der Vorlesung. Seit gespannt!

Unterlagen zum Vortrag über AES

Heute hielt ich im Rahmen der Vorlesung Kryptologie einen Vortrag zu AES. Wie erwähnt, gibt es dazu eine Ausarbeitung. Diese und den Vortrag selbst könnt ihr unter den folgenden URLs runterladen.

Die Animation liegt bei http://www.formaestudio.com/rijndaelinspector/archivos/Rijndael_Animation_v4_eng.swf.

Tag zwei und drei der PETS

Trotz guter Netzanbindung habe ich es während der PETS nicht mehr geschafft, meine Erlebnisse zu bloggen. Daher hole ich das hier nach.

Der zweite Tag begann mit einem Vortrag über einen automatischen Beweis: Formalized Information-Theoretic Proofs of Privacy Using the HOL4 Theorem-Prover. Der Vortragende benutzte das Problem der zusammen Mittag essenden Kryptografen¹ (Dining cryptographers problem) für seine Software und versuchte zu beweisen, wie sicher das ist und wieviele Informationen unerkannt fließen.

Es folgte eine recht interessante Abhandlung zu Minx. Minx ist ein Format für anonyme Nachrichten und wurde 2004 von George Danezis und Ben Laurie entworfen. Bisher gab es über die Sicherheit nur Annahmen. Die Vortragenden fanden aufgrund einer neueren Veröffentlichung eine Möglichkeit, ein so genanntes Bitorakel zu konstruieren. Dieses ist dann in der Lage, Minx zu brechen. Die Forscher machten gleichzeitig Vorschläge, wie das Format von Minx geändert werden kann und bewiesen auch, dass dies dann sicher ist. Die Arbeit war aus meiner Sicht sehr anspruchsvoll und hier muss man wirklich erst die Originalarbeit verstanden haben, um sich dann deren Arbeit genauer anzusehen.

Den Abschluss des Vormittags bildete ein Vortrag von Steven Murdoch zu Metrics for security and performance in low-latency anonymity systems. Er forschte, wie sicher die Auswahl der Pfade bei Tor ist und kam zu dem Ergebnis, dass sowohl die existierende wie auch vorgeschlagene Auswahlmethoden sehr unterschiedliche Sicherheitsniveaus bieten. Eine allgemein gültige Aussage kann nicht getroffen werden.

Beim Mittagessen landete ich zufälligerweise am Tisch von Steven Bellovin. Wir hatten eine sehr angeregte Diskussion zu der DNS-Lücke und DNSSEC. Er philosophierte auch ein wenig darüber, wie lange es wohl dauern würde, bis .com auf DNSSEC umgestellt ist (Die Antwort liegt in der Nähe von unendlich. ;-)). Die weiteren Vorträge nach dem Mittagessen habe ich im wesentlichen verpasst. Erst zur Rump Session hielt ich mein Ohr wieder in die Runde. Die Rump Session ist eine Reihe von fünfminütigen Vorträgen. Es sollen jeweils Ideen präsentiert werden. Es kam dort ein sehr breites Spektrum an das Rednerpult. Professoren machten Werbung für ihre Lehrstühle (Kanada scheint gerade auf viel Geld zu sitzen und es freimütig an Unis zu verteilen.), einige der Tor Google Summer of Coders präsentierten ihre Projekte und einige andere Sachen wurden präsentiert.

Abends begaben wir uns auf einen Stadtrundgang. In zwei Stunden erzählte uns ein Stadtführer sehr interessante Details zu Leuven. Irgendwann standen wir im großer Beginenhof und der Führer erwähnte eine Zwiebel auf dem Dach eines Gebäudes. Wir schauten auf Roger Dingledine, der sein Tor-T-Shirt und mussten alle lachen. Einzig der Stadtführer schaute etwas komisch und wusste nicht so recht, worum es ging. ;-) Aber auch er wurde aufgeklärt.

Der dritte und letzte Tag begann mit Vorträgen zu Reputation und Bezahlung in anonymen Netzen. Später gab es einige Kurzvorträge. Der erste, für mich interessante hieß Unlinkability without Infrastructure: Protecting Privacy with Protocol Stack Virtualization. Die Idee hier ist, eine Virtualisierung zu nutzen, um für Außenstehende die Identifizierung des eigenen Rechners zu erschweren. Jede Anwendung (oder Protokoll) gaukelt eine eigene Mac-Adresse vor, bekommt eine eigene IP-Adresse und macht Anfragen. Für einen Beobachter stehen dann vielleicht zehn Rechner im Netzwerk und er tut sich schwer, die Datenströme einer Person zuzuordnen. Bei dem Ansatz tauchen diverse, noch ungelöste Probleme auf. Es wird da noch einiges an Arbeit zu investieren sein, bis das wirklich funktioniert.

Die letzten beiden Vorträge des Tages drehten sich wieder um Tor. Einmal wird versucht, UDP für Tor zu nutzen. Der Forscher erklärte seinen Ansatz und den aktuellen Entwicklungsstand. Im Grunde genommen wird dabei, das aktuelle Design über den Haufen geworfen. Dort sah ich auch das Hauptproblem. Denn wenn man umstellen wöllte, heißt das, dass alle Nutzer auf einmal umstellen müssen bzw. es wird in der Umstellungszeit massive Probleme geben. Ian Goldberg merkte in der Diskussion an, dass seine Uni an einem ähnlichen Ansatz arbeitet. Sie könnten es hinbekommen, dass ihre Software mit dem bestehenden Protokoll funktioniert. Ganz zuletzt erzählte Karsten Loesing noch von seinen Verbesserungen zu Hidden Services. Es kam dabei zu einer lebhaften Diskussion. Am Ende standen sechs oder sieben Leute vor und kritzelten ihre Ideen fleißig an die Tafel. Ein lustiger Anblick.

Damit war die Konferenz zu Ende. In der Abschlussveranstaltung gaben die Organisatoren bekannt, dass die nächste PETS in Seattle stattfinden wird. Der Gastgeber dort ist Microsoft. Des Weiteren gab es eine lebhafte Diskussion über den zukünftigen Weg der Konferenz.

Mir hat die Veranstaltung sehr gut gefallen. Es gab sehr viele hochklassige Beiträge und Diskussionen. Natürlich war es auch eine gute Möglichkeit, mit einigen Leuten direkt ins Gespräch zu kommen. Ich habe ein paar Ideen ausgetauscht und neue mitgenommen und hoffe, dass ich die demnächst auch umsetzen kann.

¹

Das hat nicht mit dem ähnlich klingenden Philosophenproblem zu tun. Hier geht es darum, dass drei Kryptografen zusammen essen und der Kellner alle informiert, dass das Essen bereits bezahlt wurde. Sie wollen herausfinden, ob das einer von ihnen oder ein Geheimdienst war, ohne alle zu fragen. Eine genaue Beschreibung hat der Originalartikel von Chaum.

tweetbackcheck