Category Archives: Werkbank

Tools

Dreckstoolbenutzerhilfsdings

Wo normale Menschen eine Textverarbeitung einsetzen, schwören Nerds auf LaTeX. Das löst zwar nur wenige der Probleme, die man bei der Textproduktion für gewöhnlich hat, dafür aber erlaubt es dem Nerd, das Schreiben zur Programmieraufgabe zu machen. Die man sich dann wiederum mit Werkzeugen wie Springers LaTeX-Sandbox und LaTeX-Suche (via)  erleichtern kann. Diese Sandbox besteht aus einem LaTeX-Wörterbuch sowie einem Eingabefeld, in das man LaTeX-Ausdrücke schreiben kann. Was LaTeX aus dem eingegebenen Ausruck macht, bekommt man dann als Bild angezeigt.

Wenn die Nerds in diesem Tempo weitermachen, schaffen sie vielleicht noch vor Y2k38 so etwas wie WYSIWYG. Und suchen sich dann des Distinktionsgewinns wegen eine neue Programmierumgebung für Alltagstätigkeiten. Was genau spricht eigentlich dagegen, die ganze Frickelei endlich mal hinter einem gescheiten UI zu verstecken? Wenn mit Springers Hilfe sogar mein Browser die Formel zum LaTeX-Code direkt anzeigen kann, ist das ja wohl nicht so schwer.

Security Engineering vs. Targeted Attacks

In a followup blog post on Zalewski’s security engineering rant, Charles Smutz argues that security engineering cannot solve the problem of targeted attacks:

»Lastly, while it technically would be possible to engineer defenses that would be effective, very few people really want to live the resulting vault in fort knox, let alone pay for the construction.«

(SmuSec:
Security Engineering Is Not The Solution to Targeted Attacks)

So what can security engineering do for us—and what can we do if we want to take reasonable precautions against targeted attacks?

P.S.: This new paper by Cormac Herley might be losely related: The Plight of the Targeted Attacker in a World of Scale. I haven’t read it yet.

Keine Ahnung von der Sicherheit

Michal Zalewski rantet über Security Engineering und zieht dabei über formale Methoden, Risikomanagement und Fehlertaxonomien her. Das gefällt nicht allen, aber in allen drei Punkten halte ich Zweifel und Kritik für sehr berechtigt:

  • Reale Anwendungen sind für formale Methoden zu groß und zu kurzlebig. Aus der Forschung meldet man begeistert die erfolgreiche formale Verifikation des seL4-Mikrokernels (PDF). Er umfasst 8700 Zeilen C und 600 Zeilen Assembler. Vermutlich hat der JavaScript-Code schon mehr Zeilen, der mir hier den Editor ins Blog baut. Die Verifikation des Kernels war übrigens aufwändiger als seine Entwicklung.
  • Risikomanagement klingt erst einmal gut und vernünftig. Das tut es genau so lange, wie man sich mit der Floskel von Eintrittswahrscheinlichkeit mal Schadenshöhe begnügt. Fragt man aber nach Zahlen, so ist es mit dem Risikomanagement schnell vorbei. Wie hoch ist die Wahrscheinlichkeit eines Angriffs? Um wieviel reduziert eine Sicherheitsmaßnahme das Risiko? Wir wissen es nicht.
  • Taxonomien leiden, ähnlich wie Metriken, unter mangelnder Zweckorientierung. Die fein ausdifferenzierten Defektkatekorien der CWE zum Beispiel nützen vermutlich weder dem Entwickler noch dem Tester etwas: die Fehler sind nicht nach Teststrategien und nur indirekt nach Vermeidungsmöglichkeiten klassifiziert.

Dass wir eigentlich keine rechte Ahnung haben, wie das mit der Sicherheit so funktioniert, war schon im Februar auf dem Smartcard-Workshop meine These. Ich winke deshalb freundlich über den Atlantik, der Mann hat recht (d.h. ich teile seinen Glauben. :-))

Unterschätzte Risiken: Tresore

Kleine Geldbeträge gehören in die Schublade und nicht in einen teuren Tresor:

»In der Nacht zum Donnerstag sind Unbekannte in ein Freibad in Bad Hersfeld eingebrochen. Sie knackten den Tresor und verschwanden mit der Beute.

(…)

In dem Tresor befanden sich mehrere hundert Euro Bargeld. Die Täter entkamen mit der Beute. Der Sachschaden beträgt mindestens 6.500 Euro.«

(HR: Einbruch: Tresor in Schwimmbad ausgeräumt)

Das ist allerdings ein Einzelfall, den wir obendrein noch rückwirkend betrachten. Welches Risiko der ängstliche Tresorbenutzer und der unbekümmerte Schubladenverwender jeweils insgesamt eingehen, wäre noch zu überlegen.

Unterschätzte Risiken: Laborarbeit

Wir Informatiker haben es einfach. Ein Labor ist für uns meistens ein Stück Netz mit ein paar Rechnern dran, oder heute oft nur noch ein einziger Rechner mit ein paar virtuellen Maschinen drauf. Viel kann da nicht passieren.

In einem klassischen Labor ist das anders. Da gibt es Chemikalien,  Druckbehälter, Krankheitserreger, Strahlung, Elektrizität, Maschinen, Tiere und was man sonst noch braucht, wenn man sich um einen Darwin Award bewirbt.

Die American Industrial Hygiene Association (AIHA) hat einen Leitfaden mit vielen Beispielen zusammengestellt. Eine Kostprobe:

Don’t Store Dry Ice in Walk-in Refrigerators

Walk-in refrigerators (or “cold boxes”) typically recirculate the chilled air in their interiors, so storing volatile materials in them can pose special hazards—any gases or vapors may concentrate inside over time.

Recently on the X Campus, a walk-in refrigerator was used to store dry ice. (…)  The dry ice, of course, gave off carbon dioxide (CO2) gas as it sublimed, causing the refrigerator to build up CO2 levels of 12,000 parts per million (ppm)!

Zu einigen der beschriebenen Fälle gibt es auch Fotos.

10 Essential Website Checks

Yesterday I stumbled over a Smashing article about essential website checks that did actually manage to ignore security and compliance almost completely. So here’s my list – the 10 launching-commandments:

  1. Be compliant – be aware of national necessities
    In most countries there are regulations concerning copyright, data protection, etc.. In Germany for example you should have an imprint and if you process data a privacy policies. Some may want to use a generator.
  2. Be up to date – check for latest version
    If you have installed a content management system, configured a server, set up a data base or used some kind of framework, modules, etc., check for the latest version, that will have all the current security patches.
  3. Be reliable – check links
    Every link is a promise, don’t break it. The W3C link-checker helps you find any dead ends. Continue reading 10 Essential Website Checks

Medienkompetenz lernen: Wie man Diskussionsforen moderiert

Burdas ScienceBlogger haben gerade gemerkt, dass sie mit Nerd-Attitüde, Flames und der Löschtaste für Kommentare keine Diskussion übers Klima überleben. Jetzt sitzen sie im Stuhlkreis und analysieren sich selbst, ohne recht zu wissen, was dabei herauskommen soll. Wir geben mit ein paar Links Nachhilfe in Medienkompetenz:

  • Michael Tobis bezieht sich in seinem Blogeintrag Why truth is losing ground direkt auf Klimadebatten im Netz und gibt eine Kurzanleitung zum Umgang mit Skeptikern. Sein wichtigster Tipp: wenn man nicht in der Lage ist, effektiv zu kommunizieren, hält man am besten die Klappe. Er führt es auch gerne vor, wenn in seinen Kommentaren Trolle auftauchen, und erklärt auf Nachfrage, was er tut.
  • Wie effektive Kommunikation aussehen kann, hat Kristian Köhntopp untersucht, ganz wissenschaftlich mit Experiment. Er hat sich mit der inhaltlichen und kulturellen Steuerung von Foren beschäftigt und seine Ansätze in Usenet-Newsgroups und anderswo ausprobiert. Erkenntnis: es geht (wenn man es schafft, im Netz kontrolliert Statussignale zu übermitteln und außerdem ein wenig nachdenkt und organisiert.)
  • In den Kommentaren bei Isotopp  findet sich noch ein Link auf das Vortragsmanuskript A Group Is Its Own Worst Enemy von Clay Shirky. Das habe ich selbst bis jetzt nur überflogen und empfehle es deshalb hier halbblind.
  • Für Fortgeschrittene und Freelancer schließlich gibt es Arthur Schopenhauers Eristische Dialektik oder die Kunst, Recht zu behalten. Das war selbst Schopenhauer zu heikel und wurde erst nach seinem Tode veröffentlicht. Er beschäftigt sich darin mit dem sportlichen Teil des Debattierens, mit der Frage, wie man eine Diskussion gewinnt, ganz gleich, wer wirklich Recht hat. Diskussionen werden nicht unbedingt sachlicher und angenehmer, wenn sich Teilnehmer der Schopenhauerschen Kunstgriffe bedienen, aber es schadet nicht, sie zu kennen und notfalls auch zu beherrschen.
  • Update 2009-02-10: Eben bin ich noch über einen Text von Paul Graham gestolpert, How to Disagree. Den Abstract gibt’s hier. Im Vorbeigehen lernen wir noch Postman’s Third Law: »At any given time, the chief source of bullshit with which you have to contend is yourself,« und ergänzen unsere Blogroll um die Fundstelle.

Lehrreich ist auch, sich Diskussionsverläufe als Unbeteiligter anzuschauen und zu überlegen, wie die einzelnen Teilnehmer wirken und was die jeweilige Entsprechung im Real Life wäre. Das funktioniert aber wahrscheinlich nur, wenn man tatsächlich unbeteiligt ist und nicht heimlich Sympathien für die eine oder andere Ansicht oder Person hegt. Wer nicht gerade Computernerd ist, googelt sich am besten einen Editor War.

Publikationsrituale mit beschränkter Wirkung

Wer die Wissenschaft als Totschlagargument missbrauchen möchte, der stützt sich gerne auf wissenschaftliche Publikationsrituale. Der jeweilige Gegner möge doch bitte erst mal kollegenbegutachtete Studien vorweisen, heißt es dann, und alle anderen Betrachtungen seien unwissenschaftlich und wertlos. Umgekehrt kann man mit ebensolchen Studien wedeln, die, gleich welcher Qualität sie sein mögen, das veredelnde Siegel tragen.

Das ist in dieser Form nur leider Bullshit. Die wissenschaftlichen Publikationsrituale sind ohne Zweifel sinnvoll und nötig. Aber man darf ihre Wirkung nicht überschätzen. Es handelt sich nämlich bei der Kollegenbegutachtung nicht um eine Qualitätsprüfung, sondern um einen Spamfilter. Was durchkommt, ist noch lange nicht richtig. Das haben jüngst wieder einmal ein paar Spaßvögel gezeigt, indem sie ein Paper aus dem Paper-Generator zu einer Konferenz einreichten. Es wurde angenommen. Was es durch den Review-Prozess schafft, kann also trotzdem Unsinn sein.

Und bevor jetzt jemand nach Ausreden sucht, der Impact Factor einer Publikation ist auch kein zuverlässiges Qualitätsmerkmal, und in der Informatik sind Konferenzen so wichtig wie in anderen Wissenschaften die Journale.

Ergänzung: Michael Nielsen erklärt in seinem Blog drei Mythen über die Kollegenbegutachtung. In den Kommentaren dort findet man außerdem einen Link auf den Artikel: We Are Sorry to Inform You … (PDF), der uns die Gutachterkommentare zu berühmten und bedeutenden Aufsätzen aus der Informatik zeigt. So etwas ähnliches gibt es gibt es auch für die Wirtschaftswissenschaften.

(nach einem Hinweis von Reproducible Ideas, das sich damit einen Platz in der Blogroll verdient hat)

Spielkram

Gerade wiedergefunden: Fantastic Contraption, der perfekte Zeitvertreib für Nerds an Feiertagen. Das Spielprinzip ist simpel. Man muss einen Gegenstand aus einer Start- (blaues Rechteck) in die Zielzone (rotes Rechteck) bringen. Dazu baut man aus Rädern und Streben eine Maschine. Interessant wird es, weil der Computer die Physik simuliert. Was nicht befestigt ist, fällt nach unten; zu jeder Kraft gibt es eine Gegenkraft (oder einen unerwarteten Effekt); und so weiter. Aber was rede ich, probiert es einfach aus.

Fantastic Contraption

So funktioniert Zertifizierung

Ich hatte hier versprochen, gelegentlich zu erläutern, wie Zertifizierung und Prüfsiegel funktionieren. Jetzt bietet sich eine Gelegenheit. Frau Neudecker von der Zeit hat diesen unscheinbaren Gegenstand ausgegraben, der auf den schönen Namen Peloop hört. Die Leistungsbeschreibung liefert sie gleich mit:

»Im Peloop ist nämlich ein Magnet, der “ein magnetisches Feld rund um die Peniswurzel bildet, dort wo das Blut in den Penis fließt.”

Dann ist darin noch “Turmalin und Germanium” enthalten (öh, sagt der Hersteller), die “negative Ionen absondern”, und “ferne Infrarotstrahlen” gibt das Ding auch noch ab. Ja, klar.

Was all das bewirken soll? Es verbessert “das Blut im Inneren des Penis”.«

Das ist – im Zusammenhang – offensichtlicher Nonsens. Falls das Ding eine nennenswerte Wirkung hat, dann dürfte diese Wirkung allein auf mechanische Einflüsse  zurückzuführen sein und nicht auf die oben genannten Eigenschaften oder die leuchtend gelbe Farbe. Das versteht jedes Kind, so es denn mit solchen Sachen spielen darf. Dennoch bietet sich hier ein weites Feld für sorgfältige Prüfungen, die allesamt handfeste, unzweifelhafte Ergebnisse liefern, ohne je die entscheidenden Fragen zu stellen. Und das geht so. Continue reading So funktioniert Zertifizierung