Schonmal bei Joey’s Pizza in Ulm bestellt?
Fast so schlimm wie bei Payback:
Fehlt eigentlich nur noch, dass die Checkbox per Default aktiviert ist 
Posts Tagged ‘Datenschutz’
Joey’s Pizza: Got ad?
GPG und die Bürokratie
Neulich hat der BCW in der Datenschutzvorlesung erwähnt, dass PGP-Unterschriften aus irgendeinem Grund nicht eine reale Unterschrift ersetzen können/dürfen. Irgendwie kam mir das eigenartig vor, da PGP ja eigentlich ein relativ sicheres Verfahren zur digitalen Signierung von Dokumenten darstellt. Jetzt habe ich also mal etwas nachgeforscht und siehe da: Der Grund für dieses Misstrauen in PGP liegt in der Tatsache, dass OpenPGP/GnuPG eine quelloffenene (bzw. OpenSource-) Technologie darstellt und es bisher noch nicht gelang, Vater Staat diese schmackhaft zu machen, denn eben dieser stellt die Forderung, dass Sofware, die eine digitale Unterschrift realisiert, eine nach SigG (Signaturgesetz) “qualifizierte” sein muss (Was immer das jetzt heissen mag). Eine solche Qualifizierung gelang bisher nur proprietären Systemen und das auch nur mit hohem Aufwand, da dieser Prozess eine Überprüfung und Zertifizierung der Software beinhaltet und nicht gerade billig ist.
Ist schon irgendwie interessant, wie die Bürokratie ausgereifte und sichere Technik ihrem eigentlichen Zweck vorbehalten kann und den Bürgern somit die Möglichkeiten der Vorteile eben dieser verwährt. Wie oft musste ich schon sinnlos irgendwelche Dokumente unterschreiben (um mich z.B. bei Payback abzumelden), in ein Kuvert packen, frankieren und warten, bis sich was tut, obwohl grade solche Dinge mit PGP sehr einfach zu realisieren wäre.
Datenschutz & Medienrecht: Gar nicht mal so übel
So, das Semester ist jetzt schon ein paar Wochen alt und es wird Zeit für ein Fazit (imho):
- Datenschutz (B. C. Witt)
Nachdem ich bereits vor einem Jahr diese Veranstaltung besuchen wollte (allerdings nach ca. 2 Vorlesungen nicht mehr hinging), versuchte ich es dieses Mal erneut, da mich das Thema durchaus interessiert. Das Problem letztes Jahr lag sicherlich auch an ein paar Studenten, die mit in der Veranstaltung saßen und meinten, ständig irgendwelche dumme Fragen á la “Meine Oma hat nen Internetanschluss und verbreitet Nazipropaganda – Darf die das?” stellen zu müssen. Das ist dieses Jahr zum Glück nicht so und selbst die Übungen in denen erstmal das komplette Bundesdatenschutzgesetz durchgearbeitet werden muss schrecken mich nicht mehr ab, denn hat man erstmal einen Überblick über den gesamten Text, so sind die Übungsaufgaben relativ schnell (maximal 2 Stunden) erledigt.
Möchte man einen Übungsschein, so muss man dieses Mal vor jeder Übung für Punkte votieren. Wer dies tut, muss damit rechnen, in der Übungsstunde nach vorne gerufen zu werden und dann eine Aufgabe vorzutragen, was aber echt nicht schlimm ist, wenn man sich mal etwas Zeit genommen hat und ernsthaft die Aufgaben bearbeitet hat. Hat man keine Lösung parat, so gibt es selbst für LösungsIDEEN Punkte.
Die Vorlesung an sich ist zumindest für mich relativ interessant. Der BCW teilt in der ersten Vorlesung Zettel aus in denen man ankreuzen kann, welches Themengebiet einen interessiert und das Thema, das die meisten Stimmen erhält wird besonders intensiv behandelt.
Weiterhin ist die Vorlesung sehr praxisnah und der Dozent reitet nicht sehr viel auf Paragraphen rum und verdeutlicht kompilizierte juristische Probleme durch simple Beispiele.Alles in allem eine Vorlesung, die besser ist als ihr Ruf, die allerdings etwas unter den vielen juristischen Texten leidet, daher:
Vorlesung: Note 2-
Übungs: Note 2-
- Multimediasysteme (Prof. Weber)
Was wäre eine Vorlesung ohne meinen Lieblingscomedian Prof. Weber? Auch dieses Jahr gibt es wieder eine Vorlesung von ihm und zwar Multimediasysteme, was im Prinzip nahtlos an die Webervorlesungen aus dem Grundstudium (Interaktive Systeme, Mediale Informatik) anknüpft. Wie gewohnt gibt es hier eine solide Vorlesung mit guten Vorlesungsfolien. Der Inhalt überschneidet sich teilweise mit dem was Medieninformatiker bereits kennen (JPEG Kompression, MPEG…), aber so ne Wiederholung ist ja jetzt auch nicht so schlimm…
Die Übung wird wieder mal von Boto Baka geleitet und scheint mir im gegensatz zu Webengineering etwas intensiver zu sein, denn auf dem ersten Übungsblatt muss man mal eben schnell einen Videoplayer mit Direct Show in C++ programmieren. Ich weiss noch nicht, wieviel Aufwand das ist, aber wenig kann’s ja wohl nicht sein. Und wer kann eigentlich noch in Zeiten von JAVA C++ programmieren?
Die Übung selber ist wie gewohnt langweilig. Boto bleibt seiner monotonen Stimmlage treu und fühlt sich auch nicht genötigt, mal zur Ruhe zu rufen, wenn es im Hörsaal mal wieder zu laut wird. Das sind so die Übungsstunden, in denen ich manchmal aus dem Fenster springen könnte.Alles in allem aber trotzdem wieder eine solide Weber-Vorlesung mit unangenehmen Übungen:
Vorlesung: Note 2
Übung: Note 3- - Medienrecht (Prof. Gass)
Von dieser Vorlesung hat bestimmt jeder schonmal etwas gehört. Sprüche von “Da lernst du ne Woche drauf und schreibst ne 1!” oder “Das war im letzten Jahr die am schlechtesten evaluierte Vorlesung” sind ganz normal. Trotzdem habe ich mich mal getraut mich reinzusetzen. Trotz des etwas unglücklichen Termins (Freitag 14 Uhr bis 18 und Übung manchmal Samstags (wtf?)) wollte ich der Vorlesung mal eine Chance geben und das Risiko eingehen von all meinen Kommilitonen für diesen Frevel geächtet zu werden
Nachdem die Vorlesung in den ersten beiden Wochen ausgefallen war hatte ich heute meinen ersten Block Medienrecht und siehe da: So übel war’s gar nicht. Prof. Gass ist ein ziemlich gemütlicher, eigenartiker, Fisherment Friend’s kauender Typ, der eigentlich gar keine Vorlesung macht, sondern nur vorne sitzt und fragen stellt (lol). Das sieht dann ungefährt so aus: “Mhh… jaaa… was ist denn eine OHG?”… Keiner bis auf zwei Nachtkappen, die wohl schon Vorerfahrung auf dem Gebiet haben, wissen es und so artet die Vorlesung zu einem Monolog zwischen diesen zwei Gestalten und dem Dozenten aus. Ziemlich langweilig aber immer wieder kommen doch spannende Themen (z.B. Domain-Grabbing, Urheberrecht usw.) auf oder Gass reisst mal nen lustigen Spruch: “Jetzt stellen Sie sich mal vor, Sie uns Ihre anderen 2 Geschäftspartner wollen Klopapier bestellen (…)”.
Die Übung sollte ursprünglich Samstag stattfinden, aber Gass lies sich erbarmen, die Übungsblätter per e-Mail rumzuschicken, damit die von uns bearbeitet werden und uns dieser doch etwas eklige Termin erspart wird. Mal sehen.Alles in allem habe ich bisher nur einen kleinen Einblick bekommen und bin mir noch etwas unschlüssig, was ich davon halten soll. Daher:
Vorlesung: Vorläufig keine Note
Übung: s.o. - AF Interaktive Systeme (Prof. Reinke, Roger Walk)
Zu guter letzt noch was zu meinem Start in mein neues Anwendungsfach, nachdem ich von Ubicomp gewechselt war:
Im Prinzip ist alles so, wie ich es erwartet habe: Keine Vorlesung, aber jede Menge Gruppenarbeit. Es geht um das Designen von guten Userinterfaces in kleinen Gruppen.
Roger macht in den Besprechungen immer gut deutlich, was er verlang und hat immer ein paar gute Tips parat. Die Aufagben halten sich in überschaubarem Rahmen (Hier ein kurzer Vortrag, da mal ein neues Konzept für ein UI überlegen). Leider kenne ich aus diesem Semester (noch) kaum Leute, aber das wird sich noch legen, denke ich.Wie erwartet, das was man von IS kennt, daher:
Anwendungsfach IS: Note 2
md5-Hashes und schwache Passwörter
Ich werde oft von Computer-Einsteigern gefragt, warum man sich denn immer ein besonders kompliziertes Passwort merken bzw. ausdenken sollte. Bisher konnte ich das nie so richtig gut erklären (Mal abgesehen davon, zu versuchen, eine Dictionary-Attack zu erklären), aber heute in der Webengineering-Vorlesung war ein Techniker von team-ulm.de da und hat einen kleinen Vortrag über die Servertechnik dort gehalten und da kam mir die Erleuchtung
Unter anderem wurde in der Vorlesung gezeigt, dass md5-gehashte Passwörter nur dann sicher sind, wenn das gewählte Geheimwort nicht zu einfach ist.
Nehmen wir zum Beispiel als Passwort “berlin”. Das ist sehr einfach, denn die Phrase ist kurz, besteht nur aus Buchstaben und ist komplett klein geschrieben. Außerdem handelt es sich hierbei um ein “sinnvolles” Wort. Damit meine ich, dass es sich um ein tatsächlich existentes “Ding” handelt. In diesem Fall die Hauptstadt Deutschlands.
Da dieses Passwort nun so einfach ist, kann es durchaus sein, dass viele Leute dies zur Authentisierung benutzen, weil sie es sich einfach gut merken können, zum Beispiel weil es ihr Geburtsort ist oder ein guter Freund dort wohnt und genau das ist das Problem:
Im Internet gibt es inzwischen Datenbanken, die alle möglichen Wörter mit ihrem zugehörigem md5-hash speichern. So zum Beispiel http://www.md5decrypter.com.
Gibt man hier nun einen md5-hash ein, der aus einem sehr einfach Passwort gebildet wurde, ist die Wahrscheinlichkeit sehr hoch, einen Treffer zu landen.
Wenn wir nun unser Beispielpasswort “berlin” hashen, erhalten wir: d35a02eb49149450fb2fffc6e467eb37
Wer möchte, kann diesen hash nun im decryptor eingeben und erhält wieder das ursprüngliche Wort. Dabei wird kein einziges Mal gerechnet, um das ursprüngliche Passwort rauszukriegen. Es wird lediglich nach einem Treffer in der Datenbank gefahndet.
Dies funktioniert deswegen so gut, weil md5 kaum Kollisionen erzeugt und somit die Hashwerte nahezu eindeutig sind. Und selbst wenn zwei Werte mal den gleichen Hashwert besitzen, wäre es kein Thema, beide Passwörter bei eBay auszuprobieren.
Da md5 ansonsten ein relativ sicheres Verfahren darstellt, ist es sehr schade, dass der Algorithmus durch die Wahl schwacher Passwörter praktisch ad absurdum gestellt wird. Dabei ist es so einfach, sich ein gutes auszudenken und vor allem zu merken:
Bleiben wir beim Beispiel Berlin. Nehmen wir an, wir haben einen Freund oder Freundin in Berlin. Diese Person stinkt aber sehr. Also könnte man daraus einen Satz bilden:
Paul
aus
Berlin
stinkt
unglaublich
stark
am
Fuß !
Das neue Passwort bildet sich nun aus den Anfangsbuchstaben des Satzes, der ja durchaus einprägsam ist: PaBsusaF
Obwohl das Passwort allerdings 8 Zeichen besitzt (Was ausreichend ist) und sowohl Groß- als auch Kleinschreibung beinhaltet fehlen noch Sonderzeichen und Zahlen.
Diese können aber sehr einfach eingebaut werden, indem man Buchstaben durch andere Zeichen ersetzt, die ähnlich aussehen und daher leicht zu merken sind.
Zum Beispiel könnte aus einem I einfach eine 1 werden. Oder ein !
Der Bustabe O könnte durch eine 0 ersetzt werden usw. …
Bei unserem Beispiel könnte man also folgendes (endgültig sicheres) Passwort bilden:
Pa85u5aF!
Das Ausrufezeichen habe ich am Ende noch eingefügt, da mir kein gutes Sonderzeichen eingefallen ist
Blog + Datenschutz = ?
Heute ist Prof. Weber in der Webengineering-Vorlesung etwas über Blogs hergezogen, was mich dazu angeregt hat, mir über die ganze Sache ein wenig Gedanken zu machen. Seiner Meinung nach ist gibt es wohl eine Diskrepanz zwischen dem Thema Datenschutz und dem Publizieren von persönlichen Informationen im WWW über Blogs. Weiterhin sagte er, dass interessanterweise gerade Leute, die sich dem Datenschutz verschrieben haben zum Beispiel irgendwelche Urlaubsfotos in’s Netz stellen, die man dann wohl so “nie mehr wieder weg kriegt”.
Besonders letzter Punkt hat mich dazu gebracht, etwas nachzudenken, denn so Unrecht hat der gute Mann natürlich nicht. Auf der einen Seite bemühe ich mich, dass das StudiVZ nicht so einfach an meine Daten kommt, auf der anderen Seite hab ich hier in diesem Blog tonnenweise Bildergalerien, die mir später bei der Suche nach einem Job Probleme machen können.
Allerdings muss ich auch sagen, dass ich, gerade wenn es um private Fotos geht, zu diesen stehe. Ich habe kein Problem damit, wenn mein zukünftiger Chef sieht, wie ich als Student betrunken unter’m Tisch lag. Ist ja kein Geheimnis, dass Studenten gerne feiern.
Außerdem gebe ich mir sehr viel Mühe, dass zum Beispiel Spambots nicht so einfach über meinen Blog “drübercrawlen” können und zum Beispiel meine e-Mail Adresse abgrasen, obwohl ich diese unter “Kontakt” angegeben habe. Zumindest der Google Bot soll nicht in der Lage sein, diesen “Sicherheitsmechanismus”, bestehend aus etwas Javascript und einem CSS-Hack, auszulesen.
Sucht man auch zum Beispiel bei Google nach “Timo Ernst” findet man nicht viel, da ich alles, was ich dort gefunden habe und mir nicht passte, von Google habe entfernen lassen. Das geht übrigens relativ schnell und einfach, indem man einfach nur ein Formular bei den Brüdern ausfüllt und das war’s. Ob dadurch die Daten wirklich aus den Datenbanken von Google gelöscht werden oder ob sie einfach nicht mehr in den Suchergebnissen angezeigt werden, wage ich allerdings zu bezweifeln.
Trotzdem bleibt irgendwie ein fader Beigeschmack, den mir Onkel Weber nun bereitet hat und den ich wohl so schnell nicht loswerde.
My name is Timo Ernst and I am an expert for UI design and web technologies.
Recent Comments