David Souter, einer der Richter die das absurde Enteignungsentscheidung des obersten Gerichtshofs mitgetragen hat, kriegt jetzt vielleicht seine eigene Medizin zu schlucken:
In der Kleinstadt Weare in New Hampshire will eine Investitionsfirma ein Hotel an der Adresse 34 Cilley Hill Road bauen. Nur stehe ausgerechnet an dieser Adresse noch ein Haus. Zufällig das von Bundesrichter David Souter. Ja, das ist einer der Richter, der das Urteil mit unterschrieben hat. Woanders würde das "Lost Liberty Hotel" leider keinen Sinn ergeben, da es ein Museum über Bürgerrecht enthalten soll. Und schließlich Außerdem würde ja die gesamte Bürgerschaft von den Steuereinnahmen und so weiter..
In dem Urteil ging es darum, das Enteignung auch dann legal ist, wenn nicht höheres Wohl der Gesellschaft sondern reiner Profit die Motivation für den Bau ist - wer Geld hat, bekommt danach dann das Recht auf Grundstücke, auch wenn diese schon bewohnt sind. Hoffen wir, das der Bauausschuss der Stadt Rückgrat hat und den Richter nach seinem eigenen Urteil behandelt.
Die Dänische Regierung plädiert für gravierende Änderungen an der Softwarepatent-Richtlinie:
Die darin [der Zusatzbemerkung zum EU-Ratsvorschlag] zum Ausdruck gebrachten Ziele Dänemarks, keine Patente auf reine Software und auf Geschäftsmethoden zuzulassen sowie die Interoperabilität zu sichern, präzisiert der Däne nun in dem Brief.
Wobei das ganze mir nicht wirklich verlässlich erscheint - Dänemark ist auf die Ratslinie eingeschwenkt und hat nur eine Zusatzanmerkung hinterlassen. Ob sie jetzt tatsächlich zu ihren Forderungen stehen oder ob das ganze nur Show fürs eigene Parlament ist, wird sich erst noch zeigen müssen. Aber immerhin machen sie wenigstens eine Show draus - im Gegensatz zu unserer Justizministerin, die sich offen gegen den Bundestagsbeschluss verhält.
Schon etwas älter, aber ein interessanter Bericht über die Abwirtschaftung eines gut gehenden Unternehmens durch Turbokapitalismus und Geldgier.
Interessant daran nicht nur wie durch die reine finanzielle Ausbeutung das Unternehmen selber massiv geschädigt wurde, so das am Ende tatsächlich keine gute Lage mehr bleibt - auch die Auswirkungen auf die Umgebung wie z.B. die geringeren Gewerbesteuereinnahmen der Stadt sind interessant. Eine Bewegung die wir an vielen Stellen im Moment beobachten können - Unternehmen werden wegen des kurzfristigen Gewinnes verkauft und gehen dann den Bach runter, weil die neuen Eigentümer kein Interesse an der Firma oder den Mitarbeitern haben, sondern allein an der Rendite ihrer Investition. Parallel dazu geht die jeweilige Region gleich mit den Bach runter - weil die Investoren auch kein Interesse an den gewachsenen Strukturen haben. Heuschrecken haben eben keine wirkliche Heimat.
Gleichzeitig ein gutes Beispiel dafür, das dieses dumme Geschwätz von Förderung der Investitionen in der Wirtschaft nur genau das ist - dummes Geschwätz. Davon werden unsere Probleme nicht kleiner, davon wird das Sozialsystem nicht gerettet. Das Gegenteil wird der Fall sein - denn die Investoren, die einsteigen, sind eben immer häufiger Hedge-Fonds oder Private-Equity-Fonds oder andere Finanzinvestoren die eben nur einen schnellen Euro machen wollen - und sich bei den Plänen der Regierung und Opposition (so die denn die nächste Regierung stellen) die Hände reiben.
Heuschrecken haben nunmal kein Interesse an Ausbildungsförderung, Mitarbeiterschulung, Mindestlöhnen und Inlandsproduktion. Sie haben auch kein Interesse an unserer Gesellschaft oder unserem Sozialsystem.
Fehler im Internet Explorer mit ungewissen Folgen:
Microsoft kann laut Bernhard Müller von SEC Consult zwar ebenfalls die Abstürze nachvollziehen, sieht aber keine Gefahr, dass fremder Code zur Ausführung kommen könnte. Deshalb wolle Microsoft zwar demnächst die Behandlung von COM-Objekten robuster gestalten, aber kein Sicherheits-Update herausgeben.
Es geht um einen Crash der harten Art - in direktem Maschinencode. Jeder der nur rudimentäre Ahnung von sowas hat weiss, das es sich dabei um ein potentielles Einfallstor für Schadcode handelt - passend gesetzte Daten für den Crash und man hat unter Umständen einen Durchmarsch in das System. Aber Microsoft sieht keine Gefahr ...
Schon etwas älter, aber trotzdem interessant: Biometrie/BSI-Vortragsprogramm auf der CeBIT 2005. Speziell interessant die Aussagen zur Authorisierung der Lesegeräte am Pass-Chip:
Der ICAO-Standard schlägt gegen nicht authorisiertes Auslesen optional einen passiven Authentifikationsmechanismus vor (Basic Access Control). Kügler schätzte dessen Effektivität als nur gering ein. Für das Gesichtsbild sei Basic Access Control insofern jedoch geeignet, da es sich hier um nur schwach sensitive Daten handeln würde.
Das ist der Teil, um den es derzeit geht beim Pass - das Authentifizieren des Lesegerätes beim Pass über die Daten der maschinenlesbaren Zone. Dieser Weg ist gegen Kopieren des Schlüssels nicht geschützt - wenn der einmal ermittelt ist, kann er benutzt werden um einen Pass zu erkennen. Auch aus grösserer Entfernung.
Der kontaktlose Chip im Paß nach ISO 14443 wird (natürlich) maschinenlesbar und digital signiert sein sowie die biometrischen Daten enthalten. Als Auslesedistanz gab Kügler einige Zentimenter an, wies jedoch darauf hin, daß mit heutiger Technik ein Auslesen auf mehrere Meter Entfernung möglich sei. Um einen Kopierschutz zu gewährleisten, soll sich der RFID-Chip mittels eines individuellen Schlüsselpaars, das ebenfalls signiert wird, aktiv authentisieren.
Wichtig hier: der Kopierschutz wird durch eine aktive Zweiseitige Authentifizierung erledigt. Ein Pass könnte also auch mit gespeichertem Schlüssel nur dann ausgelesen werden, wenn er aktiv beteiligt ist. Die dann übermittelten Schlüssel sind sozusagen auf die jeweilige Kommunikation gebunden - denn sowohl Pass als auch Lesegerät hätten ein jeweils eigenes Schlüsselpaar. Dadurch sind auch Angriffe über Sniffing der Authentifizierung wesentlich komplizierter, da man zwei Schlüsselpaare knacken muss um mit den Daten etwas anfangen zu können. Leider ist aber derzeit eben nur das Basic Verfahren angedacht, also nur die Schlüssel pro Lesegerät. Und es kommt noch schlimmer:
Den Fingerabdruck hingegen schätzte Kügler als stark sensitives Merkmal ein. Daher müsse der Zugriffsschutz durch einen aktiven Authentifikationsmechanismus (Extended Access Control) gewährleistet werden. Im ICAO-Standard wurde dieser nicht definiert, ist damit also nur für nationale Zwecke oder auf bilateraler Ebene verwendbar.
Otto Orwell träumt also davon Fingerabdrücke zu speichern - das Verfahren, wie diese aber gesichert werden müssten, ist noch garnicht definiert und standardisiert. Eine solche Speicherung wäre also auch nicht übergreifend Nutzbar. Ebenfalls wichtig ist die Sicherstellung, das nur authorisierte Geräte lesen dürfen. Dazu bekämen alle Lesegeräte ein Schlüsselpaar, welches von einer Zentralstelle signiert sein muss. Jeder der schom mal mit einer Zertifizierungsstelle zu tun hatte weiss, das es zwingend eine Sperrliste geben muss - einen Weg, wie man Zertifikate zurückziehen kann. Gerade auch bei Pass-Lesegeräten wäre das wichtig, wenn diese z.B. entwendet würden (nicht lachen, auch an Grenzeinrichtungen verschwinden Geräte - hey, es sind schon ganze Röntgenschleusen aus Flughäfen geklaut worden). Dummerweise sehen das die Experten anders: >n der nachfolgenden kurzen Diskussion wurde die Frage gestellt, ob ein Mechanismus vorgesehen sei, die Schlüssel der Lesegeräte zurückzuziehen (Revokation). Kügler gab an, daß dies bisher nicht der Fall sei. Es sei jedoch momentan in der Diskussion, die Gültigkeit der Schlüssel zeitlich zu begrenzen, dies wäre aber noch nicht entschieden.
Hallo? Also es gibt keine Möglichkeit einen Schlüssel eines Gerätes zurückzuziehen. Und es gibt - derzeit - keinen Ablauf eines Schlüssels. Wenn jemand also an ein Lesegerät herankommt, hat er den Schlüssel des Gerätes und dessen Technik zur Verfügung um jeden Pass in der Nähe auszulesen. Ohne Möglichkeit ein missbräuchlich eingesetztes Gerät wieder los zu werden. Das ist wie ein Computersystem, bei dem man keine Möglichkeit der Passwortänderung hat und keine Möglichkeit einen User - selbst bei nachweislichem Fehlverhalten - zu löschen.
Und nochmal, die erweiterte Prüfung (und nur für die ist wohl diese Schlüsseltechnik plus Zertifikat im Lesegerät gedacht) ist nur ein Vorschlag (der möglicherweise wegen des mangelnden Interesses der Amerikaner an der ganzen Sache garnicht umgesetzt wird):
Den Vorschlag des BSI bezüglich der Extended Access Control beschrieb Kügler im Anschluß. Demnach wird für jedes Lesegerät ein asymmetrisches Schlüsselpaar mit einem korrespondierenden, verifizierbaren Zertifikat erzeugt (Berechtigung nur pro Lesegerät). Daher muß der Chip für die Extended Access Control Rechenleistungen erbringen können. [...] Innerhalb der EU ist der Zugriffsschutz durch die Extended Access Control derzeit nur als Vorschlag zu sehen, sagte Kügler. Ein weiterer (namentlich unbekannter) BSI-Kollege pflichtete ihm bei und fügte hinzu, daß von seiten der US-Amerikaner ohnehin kein Fingerabdruck als biometrisches Merkmal auf dem Chip gefordert werde, ihnen würde vielmehr das digitale Gesichtsbild genügen. Lediglich inneramerikanisch sei eine digitale Aufnahme des Fingerabdrucks geplant. Aus diesem Grund sei also die technische Umsetzung der Extended Access Control nicht dringlich.
Nur in diesem Vorschlag ist es überhaupt vorgesehen das die Geräte eindeutige Schlüsselpaare und darauf beruhende Zertifikate erhalten. Warum das ganze jetzt so kritisch ist? Nunja, die Diskussion konzentriert sich ständig nur auf die Daten und das Auslesen der Daten - aber die sind garnicht mal so kritisch. Denn selbst die gespeicherten Fingerabdrücke sind ja nicht die kompletten Fingerabdrücke zwecks Rekonstruktion, sondern nur die relevanten Kenndaten zwecks Wiedererkennung (wobei auch da noch die Diskussion aussteht ob diese gespeicherten Kenndaten wirklich eindeutig sind - gerade in dem globalen Rahmen von dem wir reden - oder ob da nicht deutlich mehr Daten gespeichert werden müssen als bei einem rein nationalen Ansatz).
Was aber immer möglich ist, wenn wir von solchen Pässen reden: die Authentifizierung und Identifikation einer Person. Eine Zweiwegeauthentifizierung kann alleine als Authentifizierung schon sagen wer in meiner Nähe ist. Habe ich z.B. für das vereinfachte Verfahren einen Key eines Passes gespeichert, kann ich mit diesem Key dann jederzeit berührungslos feststellen, ob dieser Pass in der Nähe ist - natürlich nur im Rahmen der Sicherheit der kryptografischen Algorithmen, aber das wäre schon eine ziemlich sichere Bestätigung, denn das zwei Pässe auf den gleichen Key eine Authentifizierung erlauben wäre schon eine ziemliche Pleite des ganzen Verfahrens und ist hoffentlich von den Entwicklern ausgeschlossen worden.
Ich kann also mir die Keys von Personen besorgen - für das vereinfachte Verfahren reicht dazu das was in der maschinenlesbaren Zeile des Passes steht - zum Beispiel einfach durch simple mechanische Wege wie Einbruch, Taschendiebstahl, Social Engineering, etc. - und die speichern. Dann kann ich ein Lesegerät damit füttern das z.B. an einem definierten Bereich einfach mehrere Passdaten die mich interessieren bei Durchschreiten einer Schleuse - z.B. eine Drehtür mit vorgegebener Drehzahl ist da sehr praktisch - prüfen. Nur der Pass mit den entsprechenden Daten in der maschinenlesbaren Zone wird seine Daten darauf rausrücken, bzw. eine Bestätigung der Authentifizierung geben.
Ich könnte also zum Beispiel ermitteln wann eine Person ein Gebäude betritt und verlässt - ohne das Wissen dieser Person und vollautomatisch. Bei einer Authentifizierungszeit von 5 Sekunden kann man da schon mehrere Keys durchprüfen wärend jemand durch die Drehtür geht.
Natürlich ist das weiterhin keine Identifikation der Person - sondern nur des Passes. Aber gerade wenn die so überwachte Person nichts von der Überwachung weiss wird der Pass eben an der Person getragen. Es gibt ja keinen Grund den Pass nicht dabei zu haben. Und im Ausland ist es oft eine schlechte Idee seinen Pass nicht dabei zu haben - also ist er in den Fällen zwangsweise in der Nähe der Person.
Nunja, aber das ist ja laut Otto Orwell alles nur Angstmacherei und sowieso nicht wahr und völlig falsch. Basiert nur dummerweise auf Aussagen von Mitarbeitern des BSI - die im Prinzip seine Leute sind.
Zum Beispiel bei solchen Firmen, die gegen ALT-Attribute an IMG-Tags wettern und die dann auch noch fälschlicherweise ALT-Tags nennen. Naja, Inkompetenz ist deren Konzept:
Just exactly what text can a person read or see in a 1 x 1 pixel gif? Zippo. Thus, the text or line reader, JAWS, cynthia, etc, should be smart enough to see that the image size of Height="1" and Width="1" and automatically know it's a spacer and then make a if-then condition to NOT PRONOUNCE alt tag in the spacer.gif.
Ich hab ja selber eine ganze Menge Table-Layouts schon bearbeitet - unter anderem weil sie einfach nunmal da waren - und ich kann mich nicht daran erinnern wann die Spacer tatsächlich in 1x1-Pixel ausgegeben wurden. Klar, das Bild selber war nur 1x1 Pixel gross, aber die width und height Angaben an den IMG-Tags natürlich entsprechend der Grösse die aufgespannt werden sollten. Ausserdem waren noch jede Menge andere Layout-Elemente als IMG-Tags im Source, alle Kandidaten für ALT="" - aus gutem Grund, Layout-Grafiken sollen von Screen-Readern korrekt umgangen werden. Nach deren Vorstellung aber soll wohl der Screeenreader erst das für ihn völlig unnütze Grafikelement laden und draufgucken wie gross es ist. Nur weil die Trolle zu faul sind ALT="" an IMG-Tags zu schreiben.
Oh, und sie verlangen von Screenreadern auch noch mehr Intelligenz:
HERE IS SIMPLE SOLUTION so EVERYONE WILL NOT HAVE TO RE-WRITE THEIR PAGES just for you.
READ THE BIG TEXT FIRST, either font tags with say 3 to 7, or CSS styles with the biggest fonts sizes.
Next, read the 2nd largest fonts second, and so on. This is JUST LIKE WHAT HUMAN WOULD DO ANYWAY.....So, look for Font tags with a setting 7 or 6 or 5 or 4 and down and in that order and then start reading it. Same with CSS, PIXELS sizes of say 24px should be read FIRST, NOT LAST!! How hard can this be? This what the browsers do anyway, so why can't you do it?
Genau. Sollen doch die Screenreader sich aus der Tagsoup raussuchen was sie brauchen (inklusive Analyse von font-Tags und solchem Müll), anstelle das der Designer sich mal überlegt was er produziert und eine einigermaßen logische Struktur für textonly-Browser liefert. Hey, wozu gibt es wohl seit HTML 1 die h-Tags und ihre Freunde? Ach watt, ist sicherlich alles nur Einbildung ...
Aber bei denen findet man eh noch mehr Perlen, wie zum Beispiel die Diskussion über CSS vs. Tabellen-Layouts, in denen CSS natürlich so richtig schlecht gemacht wird. Weil sie so ganz und gar garnix kapiert haben was CSS ausmacht und warum man HTML und CSS trennt und was daran die gute Idee ist. Weil sie vermutlich in ihrem ganzen traurigen Designerleben keine einzige gute Idee hatten und sie deshalb nicht mal erkennen würden wenn sie ihnen mit nem dicken Knüppel auf die Rübe haut, die gute Idee.
Achja, zum Ende noch ein Wort der Warnung an aktuellere Designer: guckt euch lieber nicht deren Sourcecode an, denn der wird euch Haarausfall, aufgerollte Fussnägel und faulige Zähne verursachen
