Posts on tag: unfassbar
Table of contents
Legitime Vergewaltigung
Das hier ist Rep. Todd Akin, Missouri:
Der Mann glaubt (sic!), dass Frauen von einer "legitimen Vergewaltigung" nicht schwanger werden könnten.
Es ist ja schon unerträglich genug, diese ganzen Vollpfosten der Teaparty, die religiösen Fundamentalisten, die Holocaustleugner, Wissenschaftsgegner und Menschenfeinde ertragen zu müssen, die in den USA immer lauter werden. Ich betone lauter, denn mehr werden sie nicht, sondern weniger. Aber die immer wenigeren Extremisten, die in den US Medien eine Bühne geboten bekommen, werden eben immer lauter.
Aber was dieser Typ von sich gibt, übertrifft alles. Er ist ein Abtreibungsgegner, d.h. ein Frauenhasser. Er gibt offen zu, recht wenig von dem zu verstehen, was Ärzte so sagen. Aber er glaubt, dass Frauen einen körpereigenen Mechanismus hätten, mit dem sie ungewollte Schwangerschaften verhindern können. Sozusagen eine Art "Biologische Pille". Und wenn eine Frau vergewaltigt wurde und trotzdem schwanger wird, was nach seinem Glauben unwahrscheinlich ist, dann "wollte" sie quasi schwanger werden. Und das würde die Vergewaltigung dann legitimieren. Oder so. Man weiss es nicht.
Man kann gar nicht so viel essen, wie man kotzen mag bei solchen Bastarden. Ich frage mich, wie solche Leute überhaupt auch nur eine einzige Wählerstimme bekommen können. So unvorstellbar merkbefreit kann doch keiner sein! Aber anscheinend doch. Es wählen ihn genug Leute. Diese Leute, die so Jemanden wählen, sind eigentlich noch unerträglicher.
Im Prinzip ist dieses Zeitalter, das da auf uns zukommen will (ob es das schafft, wissen wir nicht, ich hoffe nicht!), schlimmer als das sogenannte "finstere Mittelalter". Damals wussten die Leute es nicht besser. Es gab keine erwähnenswerte Bildung und die einzige "Wissensquelle" war im Mittelalter die Kirche. Heute haben wir eine vergleichsweise umfangreiche Allgemeinbildung. Und üblicherweise haben Kirchen bei Bildung nichts mehr mitzureden. Zum Glück. Umso übelkeitserregender ist es, wenn Menschen, die an sich über genügend Wissen verfügen sollten, sich von solchen lügenden, menschenfeindlichen und rückständigen Extremisten angezogen fühlen.
Da regen sich alle über die Pussy Riot Verurteilung auf und jeder fragt sich, wie konnte es in Russland nur zu solch einer menschenverachtenden Diktatur kommen. Nun, Rep. Todd Akin ist die Antwort. Politiker wie er sind es, die das System kaputt machen. Wenn er könnte, wie er wollte, würde er auch Leute ins KZ schicken weil sie in einer Kirche getanzt haben. Und für Abtreibung würde es bei Todd die Todesstrafe geben. Folter wäre bei ihm Standard. Frauen würden nicht arbeiten dürfen, ausser im Bordell. Das Internet würde er abschaffen. Und auf Demonstranten würde er scharf schiessen lassen. Und Millionen würden ihm laut brüllend folgen. Wie gesagt, wenn er könnte, wie er wollte. Zum Glück hat die USA immer noch die beste Verfassung der Welt. Und Akin ist auch nicht der erste Spacken, der so drauf ist, es gab Dutzende, wenn nicht Hunderte vor ihm. Keiner von denen war letztlich erfolgreich. Auch er wird es nicht werden.
Aber darüber aufregen muss ich mich trotzdem.
(via)
Update 2012-11-08:
Das hat er davon: LSecurity by obscurity
Einem Gizmodo-Mitarbeiter ist etwas schlimmes passiert: seine komplette Onlineidentität ist kaputt. Hacker sind in seinen Amazonaccount eingedrungen, wozu sie nur eine Rechnungsanschrift, die sie aus dem Whois hatten, die Mailadresse, die auf seiner Website stand sowie den Benutzernamen, der öffentlich ist. Neue Emailadresse hinterlegt, Passwort resettet - schwupps waren sie drin. Dort wurden die letzten 4 Ziffern der Kreditkarte angezeigt. Dann sind sie auf den Googleaccount gegangen, Password Recovery (die sie gar nicht erst durchgeführt haben), dort wird zum Teil die hinterlegte Emailadresse angezeigt, die auf @me.com endete - eine AppleID also. Ein Anruf bei Apple, dort die o.g. letzten 4 Stellen der Kreditkarte plus die Apple Emailadresse (das Prefix vor dem @ war bei Google und me.com identisch) und schon hatten sie den AppleID Account. Damit sind sie in die iCloud reingekommen und in den Googlemailaccount. Schaden: Telefon, Tablet, Notebook - alles remote gelöscht. Googlemail - gelöscht. Twitter - gelöscht. Und der gute Mann hatte kein Backup.
Ich werde mich hier nicht über die diversen Fehler des Mannes auslassen, die hat er korrekt selber erkannt und auf dem o.g. Link auch dokumentiert. Kurz zusammengefasst: Backups und Accountverlinkung. Auf letzteres will ich hier mal näher eingehen.
Unter "Accountverlinkung" verstehe ich hier die Verknüpfung diverser Onlineaccounts. Im o.g. Fall war z.b. die AppleID die hinterlegte Notfall-Emailadresse des Googleaccounts. Und die Google Mailadresse wiederum wurde bei Twitter verwendet. Und so weiter. Um ein solches Desaster zu vermeiden, wird empfohlen, die Zweifaktorauthentisierung beim Google zu aktivieren. Den letzteren Link hab ich von wirres.net, worüber ich auch auf die Geschichte gestossen bin. Und das hat mich stutzig gemacht. Wirres.net hat diverse Male davon berichtet, wie er auf DDG umgestiegen ist, um der Verfolgung durch Google zu entkommen (u.a.). Die Zweifaktorauthentisierung bei Google verschlimmert das Problem aber noch einmal expotentiell.
Das Problem mit Google ist, dass man eine Session hat, sobald man es aufruft (also die reine Suchmaschine). Diese Session ist - theoretisch - unendlich lange haltbar. Und Google hat so einen "User", der mit den Suchanfragen verknüpft ist, selbst wenn man gar nicht eingeloggt ist. Das wäre für sich betrachtet nicht weiter dramatisch, aber Google hat einen Algorithmus, der zum Ziel hat, die Suche für einen Benutzer stetig zu verbessern. Dadurch verändern sich im Lauf der Zeit die Suchergebnisse. Nehmen wir ein einfaches Beispiel: jemand sucht regelmässig nach politischen Themen, folgt dann aber immer nur Links, die auf rechtskonservative Seiten führen. Google wird derartige Seiten mehr und mehr präferieren, davon ausgehend, dass das dem Willen des Benutzers entspricht. Aber dadurch entgehen dem Benutzer nach einer Weile andere Seiten, auf denen womöglich Sachverhalte völlig anders dargestellt werden. Die Suchergebnisse sind also nicht mehr neutral, sondern eingefärbt. Allerdings nicht vom Willen und der Meinung des Benutzers, sondern von dem was ein Roboter meint, was der Willen des Benutzers sei. Was nicht notwendig den Tatsachen entsprechen muss, es könnte ja ein recherchierender Journalist eines kommunistischen Wochenblattes sein.
Dieses Verhalten ist schon lange bekannt und es ist einer der Gründe dafür, warum man seinen Browser üblicherweise so einstellen sollte, dass er Cookies beim Beenden löscht. Das Löschen der Cookies hat ausserdem den Vorteil, dass die diversen tausend anderen Trackingdienste im Internet nicht funktionieren. Denn das Usertracking ist das zweite Problem, etwas, das natürlich auch Google tut. Wenn man nun aber die erwähnte Zweifaktorauthentisierung bei einem Googleaccount benutzen möchte, darf man die Googlecookies nicht löschen. Das heisst, man dürfte schon, aber dann müsste man sich jedes mal wenn man sich einloggen will, so einen bekloppten Code aufs Handy schicken lassen. Niemand will das, weil es nervt. Das wusste Goolge aber schon vorher und genau das ist die Idee dahinter. Die Leute wollen mehr Sicherheit, die Zweifaktorauthentisierung klingt nach mehr Sicherheit (ist es nicht, siehe weiter unten) also machen sie es. Und gleichzeitig soll es aber nicht nerven, also lassen sie die Cookies drin, jedenfalls zumindest die von Google.
Und schon kann Google den Benutzer nicht nur tracken, auch die Suchergebnisse bleiben nicht mehr neutral sondern werden im Lauf der Zeit eingefärbt. Genau, was Google will. Und nebenbei hat Google auch noch die Handynummer des Benutzers.
An der Stelle kommt meine paranoide Persönlichkeit zum Vorschein und fragt: cui bono? Tatsächlich ist es doch so: Wenn jemand einen Googleaccount hat und dort nicht seinen Realname angegeben hat, dann weiss Google im Grunde nicht wirklich, welcher konkrete Mensch dahinter steckt. Google könnte es sich zusammenreimen, zum Beispiel anhand von Mailinhalten oder Suchanfragen. Aber definitiv 100%ig sicher würden sie es wissen, wenn sie die Handynummer haben. Denn - jedenfalls in Deutschland - eine Handynummer ist nicht anonym. Über die Handynummer lässt sich ein echter Mensch mit Adresse ermitteln. Nicht, dass Google das tun würde, der Staat aber ganz sicher. Entweder bei einer Rasterfahndung, die ja immer mehr in Mode kommen, auch wenn sie strikt verboten ist (oder gerade deswegen) oder einfach nur, weil man wegen irgendeiner bescheuerten Äusserung irgendwo jemandem auf die Füsse getreten ist, oder weil man eine unangenehme Meinung vertritt.
Schon aus diesem Grund ist diese Zweifaktorauthentisierung kein Sicherheitsgewinn sondern eine Risikoerhöhung, eine Gefahr - im Worstcase - für Leib und Leben. Die Frage ist also, wie kriegt man das hin, dass die ganzen Onlineidentitäten möglichst sicher, möglichst wenig oder gar nicht miteinander verknüpft sind und möglichst wenig davon mit meiner echten Person verbunden ist? Letzteres ist das wichtigste.
Regel Nummer eins ist klar: nicht verknüpfen. Mehrere Emailaccounts verwenden. Wegwerfaccounts für den Login in irgendwelchen Diensten benutzen. Das heisst konkret: die Email, die bei Twitter hinterlegt ist, wird nur dafür benutzt, für sonst nichts. Die Email, die bei Facebook hinterlegt ist, wird auch nur für Facebook benutzt. Und so weiter. Ja, das führt dazu, dass man eine Menge Emailaccounts am Hals hat, zusätzlich zu den ohnehin schon vielen Accounts auf irgendwelchen Seiten. Aber dadurch sind die alle nicht miteinander verbunden. Das ist es definitiv wert. Ich persönlich verwende für solche Zwecke Aliases auf meinem eigenen Mailserver. Das macht es natürlich am komfortabelsten. Und freilich habe ich eine eigene Domain für solche Accounts, meine eigentliche Emailadresse zum Mailen befindet sich in einer anderen Domain. Aber nicht jeder hat diese Möglichkeit (Wissen und Geld um einen eigenen Server zu betreiben, heisst das). So jemand würde ich zum Beispiel hush.com empfehlen. Ist sehr einfach, man kann sogar verschlüsselte Mails senden und empfangen und der Kram lässt sich mit Pop3 oder sowas auch abholen. Es gib noch diverse andere Anbieter für solches Zeugs.
Eine andere Variante - für weniger wichtige Dinge - wäre Mailinator. Hier braucht man nicht mal einen Account. Und die Emailadresse, die man hier "erstellt" kann one-way encoded werden. Beispiel: M8R-h4j5qg@mailinator.com. Anhand des Prefix M8R-h4j5gg kann man nicht die echte Emailadresse ermitteln, die dahinter stand, das war nämlich eigentlich test@mailinator.com. Man erstellt dort also eine Adresse, sagen wir test@mailinator.com und dann wird dort oben diese "alternate address" angezeigt. Diese wiederum verwendet man, um sich irgendwo einen Account zu erstellen. As easy as possible. Freilich muss die ursprüngliche Emailadresse etwas schwer erratbares oder seltenes sein. Ich für meinen Teil verwende MD5 Checksummen der aktuellen Uhrzeit. Auf diese Weise komme nur ich an die Emails ran, die da landen mögen und sonst keiner. Und das muss ich auch nur, wenn ich das Passwort von dem Account resetten muss.
Ansonsten: keine persönlichen Daten angeben. Keinen Real Name, keine Telefonnummer, nicht den Wohnort, nicht den Mädchennamen der Mutter. Und bei Twitter auch nicht auf die eigene Webseite verlinken. Oder umgekehrt. Fast jeder macht das so. Aber wozu? Muss nicht sein, meiner Meinung nach. Weiters überalle verschiedene Passwörter benutzen. Und zwar nicht möglichst komplizierte, sondern Diceware Passwörter. Es gibt auch einen Webcomic, der das Problem schön veranschaulicht. Das Prinzip ist recht einfach: man verwendet einfach mehrere Wörter als Passwort. Nicht diesen Kram mit Zahlen und Sonderzeichen. Sondern etwas wie "ticket gleise verspätung ankunft" und hat damit die maximale Sicherheit. So etwas kann niemand erraten, keine Bruteforceattacke wird je darauf kommen und so ein Passwort wird auch nie in irgendeinem Dictionary stehen. Und man kann es sich merken.
Wenn man sich an diese paar einfachen Regeln hält, ist man weitgehend sicher vor solchen alptraumhaften Hacks, wie der oben genannte. Und man muss sich bei solchen Vorkehrungen immer vor Augen halten, wovor man sich schützen muss:
- geleakte Datenbanken, die Passworthashes enthalten
- gezielte Hackerangriffe
- Verfolgung durch Behörden oder andere Organisationen
Insbesondere letzteres werden viele Leute als paranoid belächeln. Was hab ich schon verbrochen, weswegen mich ein Ermittler verfolgen wollen würde? Aber das geht ganz schnell. Der Sohn lädt über ein P2P Netz einen Film hoch, man wird auf einer Demo fotografiert, an der man nur vorbeiging, oder man kennt jemand, der auf einmal in irgendein Raster fällt. Ich empfehle dazu die Lektüre des Falles von Andrej Holm (hier die Webseite seiner Frau, die darüber ausführlich berichtet hat). Ein an sich völlig harmloser Wissenschaftler, der plötzlich ins Visier der Polizei geriet weil irgendwelche Verrückten bei Brandanschlägen Pamphlete verbreitet haben, die einen (EINEN!) Begriff enthielten, über die der Mann veröffentlicht hatte. Und sämtliche Bekannten dieses Mannes und seiner Frau sind über Jahre überwacht worden. Und viele davon waren vollkommen harmlose Menschen, die vorher mit Sicherheit genau das gesagt hätten: ach, das ist doch paranoid. Aber unser Staat entwickelt sich nun mal zusehends zum Polizeistaat und der geht mit solchen Ungerechtigkeiten einher.
Und angesichts dessen ist es ratsam, sein Onlineleben möglichst so zu gestalten, dass man im Fall der Fälle in Deckung ist und bleiben kann. Das ist nicht paranoid, sondern vernünftig. Also "Security By Obscurity" - was hier das Verbergen von Verbindungen meint - kann ein Baustein persönlicher Sicherheit sein.
Scripting Wahnsinn
Ich wollte mir bei Wired einen Artikel über Jäger anschauen. Da gab es Photos. Um ehrlich zu sein, hat mich der Artikel gar nicht interessiert, ich wollte nur die Fotos angucken.
Geht nicht:
Wie man sieht, wird kein Foto angezeigt. Es sollte eigentlich innerhalb dieser schwarzen Box da erscheinen.
Ich verwende seit Jahren das Firefoxplugin NoScript und bin damit mehr als zufrieden. Vor allem ist das Teil praktisch, um zu sehen, von wo so die Inhalte einer Webseite kommen. Der Trend ist klar: das werden immer mehr externe Quellen, von denen mit Javascript Code nachgezogen wird. Wired.com ist nur ein Beispiel von vielen, aber schaut Euch das an:
Das ist die vollständige Liste, von wo Wired.com Code nachlädt. Ich habe alles ausser Facebook und Disqus erlaubt. Zum einen weil ich nicht will, dass Facebook mich tracked und zum anderen weil ich weiss, dass Disqus ein Kommentarprovider ist. Diese beiden werden also todsicher nicht für die Anzeige des Bildes gebraucht.
Das Bild erscheint trotzdem nicht. Wie kann man so einen Dünnschiss fabrizieren?! Und warum muss man bei einem Dutzend anderer (mir meist unbekannter!) Seiten irgendwelchen fucking Code nachladen?! Es geht mir nicht in den Kopf.
Ich hab mir also den Source der Seite geschnappt, den Kram mit sed und awk verwursted und mir die Bilderlinks rausgeholt. Hier sind sie:
DC-young-hunter-I-south-africa-from-the-series-hunters.jpg
DC-untitled-professional-hunter-with-trophy-lion-kalahari-northern-cape-south-africa..jpg
DC-untitled-bow-huntress-II-with-nyala-eastern-cape-south-africa-from-the-series-hunters-7897.48-001-Final.jpg
DC-untitled-professional-hunter-and-son-eastern-cape-south-africa-7899.52-001-Final.jpg
DC-leopard-hunter-II-namibia-from-the-series-hunters.jpg
DC-xhosa-huntsman-with-lynx-I-south-africa-from-the-series-hunters.jpg
DC-untitled-novice-hunter-cell-phone-and-blesbok-eastern-cape-south-africa.jpg
DC-bloodied-hunter-with-white-springbok-I-south-africa.jpg
DC-hunter-with-giraffe-ladysmith-south-africa-from-the-series-hunters.jpg
DC-hunting-party-zimbabwe.jpg
DC-kill-shot-untitled-huntress-eastern-cape-south-africa.jpg
DC-bloodied-hunter-IV-with-buck-south-africa.jpg
DC-hunters-at-old-farm-I-south-africa-from-the-series-hunters.jpg
DC-leopard-hunting-II-namibia.jpg
DC-untitled-hunter-and-wife-game-farm-eastern-cape-south-africa.jpg
DC-untitled-bow-hunter-with-springbok-I-eastern-cape-south-africa-from-the-series-hunters-7867.46-001-Final.jpg
DC-father-and-son-hunters-I-south-africa.jpg
DC-huntress-with-wildebeest-namibia-from-the-series-hunters.jpg
DC-bloodied-hunter-V-south-africa.jpg
Unglaublich.
Amateur Wetter Seite?
Ich hatte neulich mal so eine Seite gefunden, die von Funkamateuren betrieben wurde mit umfangreichen Wetterdaten. Da gab es Regenprognosen und vieles mehr, mit Quelldaten direkt vor Ort.
Ich finde die Seite aber nicht mehr. Nun hab ich mich tot gegoogelt und geschaut, was mir andere Suchmaschinen zu dem Thema sagen. Also hab ich mal bei Blekko nach "Amateur Wetter Seite" gesucht (ein zugegeben infantiler Suchbegriff, aber was solls). Und was finde ich?
Sex Seiten! Ist das zu fassen? Wahrscheinlich, weil die Defaultsprache noch auf englisch stand und im englischen "wetter" feuchter bedeutet. Ganz grosses Kino.
Ach - und die Seite hab ich natürlich nicht wiedergefunden :(
2012-07-20 - amateur wetter seiten: