Erich sieht

Wer könnte solch einer Einladung widerstehen?

Ich nicht, und der Klick aufs Werbebanner führte erwartungsgemäß zu einer nur beschränkt seriösen, aber wohl legalen Website.

Warum zwei Stunden vor dem Fernseher verplempern, wenn man die wesentlichen Informationen auch übersichtlich zusammengefasst erhält? So sieht ein Fußballspiel auf elpais.com aus:

… Geben Sie der Dienerschaft unverzügliche Warnung oder bedienen Sie sich des nächsten Feuerlärms (…)«

(Charmhotellet)

Und noch eine Wortmeldung zum Thema, diesmal von Jeff Atwood, der die Sache differenziert betrachtet und sich dabei auf Bruce Tognazzini stützt. Eigentlich taugt Usability nämlich nicht für Glaubenskriege, nur die Experimente sind manchmal zu aufwändig, um sich ad hoc ein Bild zu machen. Deswegen gibt es Gurus und denen glaubt man. Weil sie Ahnung haben.

Marcus Hammerschmitt ist nicht Don Norman, deshalb wird er nicht interviewt, sondern er schreibt selbst. Und was herauskommt, ist gut: Lob der Härte heißt sein Telepolis-Artikel und er liest sich so:

»Die Jungexperten hingegen schnitzen sich ihren Distinktionsgewinn aus der Obskurität. Je abseitiger die gewählten Betriebssystemoptionen sind, desto besser. Linux-Distributionen, die außer ihnen nur der Distributor kennt, oder BSD-Basteleien strikt experimenteller Natur rangieren hoch auf der Beliebtheitsskala. Betriebssystemgefrickel ist ihr A und O. Wenn sie nicht sechzehn sind, dann verhalten sie sich doch auffällig oft so.«

Was er schreibt, ist alles, alles richtig, und wer sich davon provoziert fühlt, der ist wohl auch gemeint.

Don Norman im Interview auf Spiegel Online. Lest!

»Having been involved for years with free speech activism, I run into a lot of people in the same circles who are strong Linux advocates, apparently because the concept of “freedom of speech” is closely aligned with “making every file search as simple and stress-free as a Hamas hostage negotiation”.«

(Bennett Haselton)

Burkhard Schröder schreibt in Telepolis über »Ahnungslosigkeit, Versagen und S/Mime«: Seine Versuche, mit Abgeordneten Schlüssel für den E-Mail-Verkehr zu tauschen erweisen sich als weitgehend fruchtlos. Er beklagt:

»Dass ein Abgeordneter des Bundestages keinen technischen Sachverstand besitzt, ist verzeihlich. Dass sie oder er auf auf den Sachverstand verzichtet, der ihm innerhalb des Hauses gratis angeboten wird, ist einfach nur ignorant.«

Das ist eine typische Nerd-Beschwerde. Sie impliziert zweierlei, nämlich dass verschlüsselte E-Mail im richtigen Leben irrsinnig wichtig sei, und dass das jedem spätestens dann klar werden müsse, wenn einer danach fragte. Beides ist falsch, wenn man die Wahrnehmung und Gedankenwelt eines Nichtnerds zugrunde legt.

Read the rest of this entry »

Vor dem Frühstück spontan bei einer unbekannten Website drei T-Shirts bestellt und mit Kreditkarte bezahlt. Lasst mich doch in Ruhe mit Eurer blöden Sicherheit, Fortschritt ist mir lieber. Was Ihr auch baut, ich will es nicht sehen und nicht spüren und nicht darüber nachdenken. Ich will nackig im Bett shoppen und mit Kreditkarte bezahlen. Kennt übrigens jemand einen Online-Shop, der gute persische Pistazien verkauft?

PS: Vor PayPal hatte ich dann doch ein wenig Angst. Die waren zu blöd, Dollar in Euro umzurechnen und ich weiß nicht, wieviele Bestellungen ich jetzt abgeschickt habe.

[Notice for our international readers]

A few days ago the W3C published the first draft of HTML 5. One of the many new features struck me as a possible amplifier for insecure programming: HTML 5 extends the type attribute of the input element to support URLs, e-mail addresses, date, time, and other types. The rationale for the new types reads (emphasis by me):

»The idea of these new types is that the user agent can provide the user interface, such as a calendar date picker or integration with the user’s address book and submit a defined format to the server. It gives the user a better experience as his input is checked before sending it to the server meaning there is less time to wait for feedback.«

Now this is a really old theme in Web (in)security. The Web as a platform for programming invites errors in input validation and sanitation by giving the programmer equally powerful tools for two different domains of trust, the client and the server. Furthermore, client-side input validation does make sense and is desirable under usability considerations but cannot replace server-side enforcement.

Consequently, one all too common mistake in Web application programming is to validate or sanitize data on the client side but not on the server side where one must not rely on any assumptions regarding client behavior. At the first glance abovementioned extensions seem to provoke even more of these mistakes by improving on the client-side features, thus making them more attractive.

The new feature makes generating code easier, though, which means it may become easier to develop and use frameworks instead of hand-coding. This would be good, security-wise, as one framework usually makes fewer errors than hundreds or thousands of programmers.

At this time, both theories seem equally plausible to me. Empirical studies, anyone?

Manche Vertreter mancher Berufe haben manchmal Dateien, die man gar nicht haben möchte. Und wenn man sie doch hat, dann möchte man sehr gut kontrollieren, was mit ihnen passiert. Jene unter unseren Leserinnen und Lesern, die sich darunter nicht sofort etwas vorstellen können, denken bitte an eine Dekompressionsbombe als vergleichsweise harmloses Beispiel. Wer damit nichts anzufangen weiß, braucht gar nicht weiterzulesen.

So eine Dekompressionsbombe in Dateiform möchte man auf gar keinen Fall aus Versehen doppelklicken. Zwar macht sie selten richtig was kaputt, aber sie nervt ganz gewaltig, wenn sie erst mal vor sich hin explodiert. Und es gibt noch andere Dinge, die man nicht versehentlich doppelklicken, andererseits aber auch nicht aus seinem Labor verbannen möchte. An die denken wir auch.

Read the rest of this entry »

Sicherheitshinweise müssen nicht dröge und belehrend sein. Wie man Kindern beibringt, dass Bahnanlagen kein Spielplatz sind, zeigt der Kurzfilm Olis Chance. Leider lässt er sich nicht einbetten, man kann ihn aber dennoch auf YouTube anschauen.
(gefunden auf bahn-spass.de)

Color schemes generator 2

Social Software ist eines der Schlagworte im sogenannten Web 2.0, und seit das handliche Nullwort mit Versionsnummer am Markt ist, wird kopiert und abgeschrieben was das Zeug hält. Nach Sinn und Unsinn fragt keiner. Das Ergebnis sind Bildchenleisten wie diese unter allem und jedem:

Sie sollen dem Leser erleichtern, den Inhalt dem Social Bookmarking zuzuführen. Social Bookmarking liefert so etwas wie eine Hitparade der URLs. Hitparaden sind beschränkt unterhaltsam und kein bisschen nützlich. Daran ändert sich wenig, wenn man sie mit neumodischen Begriffen wie Social Bookmarking und Web 2.0 belegt. Josef Meixner bringt es in einem Kommentar in der Blogbar auf den Punkt:

Read the rest of this entry »

Wer sich für ein Betriebssystem entscheidet, darf wohl zurecht damit rechnen, dass bei der Installation auch die Systemtreiber ihren Weg auf die Festplatte finden. Äußerst merkwürdig wäre es zumindest, wenn das Betriebssystem voraussetzen würde, dass diese Treiber bereits vorhanden sind. Genau dies ist jedoch laut Microsoft bei der 64-bit-Version von Windows Vista der Fall - zumindest wenn man deren Webseite glaubt. Dort heißt es nämlich:

The 64-bit editions of Windows Vista are not for everyone, and require a system with a 64-bit processor and 64-bit system drivers.