„Low Tech“ gegen Phishing

Phishing, die Kunst vertrauliche Daten durch Täuschung zu ergaunern, ist nach meiner persönlichen E-Mail Stichprobe zu urteilen, stark verbreitet. Alle bekannten transaktionale Systeme wie Online-Banken oder Auktionsplattformen rüsten auf. Teilweise mit teurem High-Tech welcher mich als Nutzer belastet und andere Nutzer, beispielsweise Blinde, ausschliesst.

Ein eleganter Weg beim Login die Authentizität des System zu zeigen gibt es bei der guten alten Streichliste auf Papier.

Der Login-Prozess besteht auch zwei Schritten.

i-64491ed6ffbe3c32ab84902da5b91468-sgkb_login1-thumb.gif

Nach dem ersten Schritt sagt mit das System 1) den zuletzt von mir genutzten Code und 2) welche Position dran ist. Zwar könnte auch das (mit einem Proxy-Mechanismus) ausgetrickst werden aber der Schutz ist immer noch besser als bei den High-Tech Tokens. Mir gibt es ein gutes Sicherheitsgefühl!

i-ebaf1ffc79b80e2f137d4203084779ac-sgkb_login2-thumb.gif

Veröffentlicht unter Allgemein | Verschlagwortet mit

Blogging oder das Ende der PR Abteilung

Blogging als Massenbewegung wurde vielerorts schon thematisiert (z.B. bei uns schon vor einiger Zeit). Ein sicheres Zeichen, dass etwas den Sprung vom Insiderwissen in das Bewusstsein der breiten à–ffentlichkeit geschafft hat, ist ein Artikel im Economist: Der Blog von Robert Scoble, bekannt als „The Scobleizer„, ist ein Phänomen, nicht nur seit besagte Zeitschrift darüber geschrieben hat. Zuerst gewöhnlicher Blogger, ist er jetzt Chef-Blogger von Mircosoft. Und hat damit etwas erreicht, was ganze Armeen von hochbezahlten PR-Spezialisten nicht erreicht haben: Microsoft, die oft verteufelte Software-Schmiede, erscheint weniger teuflisch und das insbesondere bei unabhängigen Entwicklern. Wenn der Trend sich fortsetzt, werden ganze PR-Abteilungen überflüssig. Vielleicht keine schlechte Sache. Die Welt wäre vermutlich ein Stück ehrlicher.

The Awful German Language

Auch wenn die Anzahl an englischen Fremdwörtern (zu) hoch ist, habe ich es bin anhin geschafft auf Deutsch zu schreiben… Nun wird es für einmal englisch. Mark Twain sein Dank:

In the German it is true that by some oversight of the inventor of the language, a Woman is a female; but a Wife (Weib) is not — which is unfortunate. A Wife, here, has no sex; she is neuter; so, according to the grammar, a fish is he, his scales are she, but a fishwife is neither. To describe a wife as sexless may be called under-description; that is bad enough, but over-description is surely worse. A German speaks of an Englishman as the Engländer; to change the sex, he adds inn, and that stands for Englishwoman — Engländerinn. That seems descriptive enough, but still it is not exact enough for a German; so he precedes the word with that article which indicates that the creature to follow is feminine, and writes it down thus: „die Engländerinn,“ — which means „the she-Englishwoman.“ I consider that that person is over-described.

Den ganzen (wundervollen) Text, geschrieben 1880 als Anhang im Buch A Tramp Abroad finden Sie hier.

Veröffentlicht unter Allgemein | Verschlagwortet mit

IDN Spoofing (Punycode Homograf Angriff)

Kein Sicherheitsproblem von Firefox/Mozilla aber ein Designproblem der internationalen Domänennamen (mit mehr erlaubten Zeichen als 7-Bit ASCII) — Nota bene seit 2001 bekannt.

Bei den internationalen Domänennamen, so wie www.nestlé.ch (mit Akzent aigu) wurde ein Verfahren gesucht, bei welchen die DNS-Infrastruktur (Namensauflösung bspw. von namics.com zur IP-Adresse 193.141.193.209) nicht angepasst werden musste.

Die gewählte Lösung ist eine Codierung des Namens mit Sonderzeichen in einen Namen ohne Sonderzeichen. Um die zwei Arten zu trennen steht vor dem codierten Text der Präfix xn--. So wird aus www.jürg.com -> www.xn--jrg-hoa.com. Das Verfahren nennt sich Punycode und ist in RFC 3492 definiert.

Damit der Benutzer den hässlichen String www.xn--jrg-hoa.com nicht sieht, zeigt der Browser nur www.jürg.com an. Und nun die Sicherheit: Gewisse (unterschiedliche) Zeichen werden je nach Zeichensatz visuell identisch dargestellt. So beispielsweise das „a“ in lateinischen Alphabeth und das kyrillische „a“. So resultiert www.paypal.com und www.xn--pypal-4ve.com (mit kyrillsichen „a“ d.h. den Unicode Zeichen #1072) optisch auf derselben Site. Hier das Beispiel für Firefox/Mozilla und IE mit Versign-Plugin etc.: www.paypal.com. Schade, dass dasselbe auch mit https tadellos funktioniert (das Zertifikat prüft auf den angezeigten Namen). Da das Problem bekannt war, empfahl ICANN die Registration von homografen Domänennamen nicht zuzulassen. Aber möglicherweise war der Umsatz bei den Verkäufern höher gewichtet ;-)

Die erste Reaktion war — nach einer erneuten Publikation des Problems — den Ausbau der IDN-Funktionalität aus den Mozilla-Produkten (Bug ID 279099). Nach einer weiteren Diskussion soll die Unterstützung nun bleiben, doch die Information eines möglichen Angriffs (resp. der Punycode-Strong) soll angezeigt werden (Bug ID 282270). Natürlich gibt es schon eine Extension. Na ja, dann warten wir mal ab…

Bilder als Passworte

Wie viele Passworte müssen Sie sich merken und welche Taktik wenden Sie an? Geometrische Muster, immer neu gemischte Textteile oder die berühmten Eigennamen und Geburtsdaten. Wie schnell Passworte erraten werden können, ist schon an vielen Orten dokumentiert. Leider stehen gute Passworte und gute Usability auf Kriegsfuss: The Strong Password Dilemma.

i-bf58afb722d59e51005c978cb20ee9bf-pic_as_passwords-thumb.jpg

Ein interessanter Ansatz: Der Mensch kann sich offenbar Bildfolgen besser merken als Buchstaben- oder Zahlenfolgen. Zudem können Bildsequenzen nicht so einfach mit einem Post-It an den Bildschirm geklebt werden. Die Technologie gibt es schon sehr lange, beispielsweise mit Dà©jà  Vu oder so wie in der Studie Studie Are Passfaces more usable than passwords? A field trial investigation beschrieben.

Ein kommerzielles Produkt, welches den Ansatz umsetzt ist http://www.realuser.com/.

Keine schlechte Idee.

Internet Background Noise (IBN)

Eine kleine aber feine Idee als Abfallprodukt der Intrusion Detection. Man sammle sämtlichen Netzwerkverkehr der an ungültige (interne) IP-Adressen gerichtet ist und werte diesen aus. So bei Switch regelmässig gemacht.

Der Traffic stammt nicht (oder nur sehr selten) von normalem Netzwerkverkehr (weil das Ziel ja fehlen würde) und ist somit ein Resultat von Scanning, Probing oder gar Denial of Service-Angriffen etc.

Und was soll das Ganze? Neben Informationen über spannende Ports und netten Graphiken und taugliches Vorwarnsystem für junge Angriffe so wie im Paper [pdf, 230kb] Monitoring and Early Warning for Internet Worms beschrieben.

Skype rulez

Internet-Telefonie tönt kompliziert und Voice over IP (VoIP) noch schlimmer. Möglicherweise funktioniert das im Geschäftsbereich…

Nein, es ist einfach, massenmarkttauglich und sehr erfolgreich. Die Erfinder der Peer to Peer Technologie KAZAA (die so erfolgreiche Illegale bevor DRM sein musste), zeigen dass es einfach ist Skype. Eine Clientsoftware für Windows, Linux, Macintosh OS X oder Pocket PC und ein Computer mit Mikrofon sowie Lautsprecher (am einfachsten ein Notebook, da ist meist alles drin): Schon telefonier ich über Internet mit einem beliebiebigen Skype-Nutzer. In meinem Client sind zu deisem Zeitpunkt ca. 1,6 Mio. Nutzer online (Zahl steigend).

Die Qualität ist auch bei wenig Bardbreite einem herkömmlichen Telefon überlegen und Sachen wie „quality of service„, Latenz, „out of order“ und co. kann ich vergessen: Es funktioniert einfach so. Zusätzlich zu den Gratisfunktionen gibt es mit Skype-Out die Möglichkeit weltweit zu Lokaltarifen via Internet und Gateways auf das normale Telefonnetz anzurufen, Telefonkonferenzen durchzuführen u.a.

Als wir der Sache mal auf den Zahn fühlten und aus dem Zug via Swisscom UMTS und Skype telefoniert haben klappte alles vorzüglich. Na ja, alles mit Ausnahme der ultrateuren Volumentarifen für UMTS. Andere „Heldengeschichten“ finden sich überigen in einem Skype-Forum.

Um dies in einen betriebswirtschaftlichen Kontekt zu stellen, gibt es mit der Studie „[pdf, 246KB] Impact of Skype on Telecom Service Providers“ ein reales Szenario, dass der damit erzeugte Preisdruck und die einfache Möglichkeit zu „telephonieren“ den Telecom-Anbietern bis 2008 22-26% der Marge fressen wird… Na dann warten wir mal ab.

i-5d610aaa1c457ee0a72de4cfc82fde90-skype.gif

Auf jeden Fall ausprobieren und wenn ihr ein Versuchskaninchen braucht: „jstuker“.

Veröffentlicht unter Allgemein | Verschlagwortet mit

Bookmark-Manager

Ich weiss nicht, wie viele Programme ich schon gesehen habe die Browser Bookmarks speichern… Meine habe ich bis jetzt immer wieder verloren (ist möglicherweise gut als Gehirntraining).

So richtig gut finde ich aber http://del.icio.us/.

– Keine Installation aber Post mit einen normalen Browserrequest (resp. über Bookmarklets)
Nutzung über Web (für alle) und über RSS (besonders mit Live Bookmarks bei Firefox)
– Relevanzsschätzung durch Anzahl der Gesamtnennungen (Popularity).

Nutzt es doch einfach und schickt mir Eure View!

Veröffentlicht unter Allgemein | Verschlagwortet mit

Alle haben Desktop Search

Der Einsatz von Suchmaschinen-Technologie als Desktop-Werkzeug war absehbar und unter anderem von Microsoft mit „Stuff I’ve Seen (SIS)“ der breiten à–ffentlichkeit angekündigt.

Sehr früh auf dem Markt war X1, die sich nun mit einer OEM-Lizenz für Yahoo Desktop Search ein Stück des Marktes abgeschnitten haben. Das spannendste Feature hier ist sicherlich der Konverter von Stellent welcher rund 200 Dateiformate für die Indexierung in HTML umwandelt und zusätzlich einen Preview ermöglicht.

Somit wäre die „grosse Liga“ nun etwa wie folgt besetzt: Copernic, Google, HotBot, MSN, Ask Jeeves und Yahoo.

Zuerst mal zum Platzhirsch: Google

i-61068a099d3ceca311f01f0e6a12af02-desktop_google-thumb.gif

Zwei Sachen stechen sofort in die Augen: Ein eigener http-Server (alles browserbasiert) und das Default Ranking nach Datum. Das Erste verleitete uns gleich dazu die Desktop Search über einem http-Proxie erfolgreich auf einen Dateiserver zu installieren. Der Verzicht von Google auf ein inhaltsunabhängiges Ranking im Desktop (und Intranet)-Szenario ist zwar logisch doch für Google zuerst mal neu.

Das mit dem „browserbasiert“ hat sich dann ein bisschen relativiert, als Desktop Search nicht nur auf Windows als Dateierver läuft aber auch nur auf Windows untern dem Windows-Betriebssystem (bei der Proxy-Lösung mit Linux und MAC festgestellt)… Qualität, Geschwindigkeit und Indexgrösse sind Google-mässig gut und mit Ausnahme eines gelösten Sicherheitsproblems „alles im Grünen“.

Spannend war die Erkenntnis, dass sich Google nach einem initialen Crawling in’s Speicher-API von Windows reinhängt und sowohl den Index bei jedem Speichervorgang inkrementell nachführt wie auch einen Text-Cache der ersten 5000 Zeichen anlegt. Die 5000 Zeichen sind im Übrigen die maximale Textmenge die in den Index einfliesst.

Die Nutzung des Speicher-API ist insofern ein Problem dass auch passwortgeschützte Dokumente in den Index einfliessen und Änderungen die über Kopie auf den Rechner kommen nicht im Index sind (aber auf Datei-Server soll Desktop Search auch nicht laufen und die Leute sollen wohl eine Search Appliance kaufen ;-)

Die Installation ist erfrischend schlank und einfach und die Integration in die Websuche von Google (über einen Desktop-Link und einen Zitat-Cluster an der ersten Stelle in der Trefferliste) ist erstaunlich nett gemacht. Eine runde Sache mit den minimalen Funktionen gut umgesetzt.

Und dann zu Microsoft mit MSN

i-7be02208c839290976e8270edcbde2f3-desktop_msn-thumb.gif

Ich wäre fast versucht gewsesen bei Google zu bleiben, doch ich musste Microsoft (und andere) ausprobieren. Das Resultat ist, dass ich bei Microsoft geblieben bin. Die Nachteile gleich vorweg: Keine Browser- aber eine (nervige) Explorer-Integration mit ganz vielen Knöpfen die zu MSN, Hotmail und Co. führen.

Die übersichtliche Darstellung der Treffer inklusive Meta-Daten aus Dokumenten zusammen mit der Berücksichtigung von Dokument-Rechten belohnt aber mächtig. Dazu arbeitet Microsoft mit einem herkömmlichen Crawling-Mechanismus der (zumindest in meinem Einsatzszenario) die Vollständigkeit der Kollektion besser abdeckt als Google. Zudem habe ich wegen der guten Nutzungsschnittstelle die Technik plötzlich vergessen und arbeite plötzlich als Nutzer mit nützlichen Funktionen wie beispielsweise dem Kontextmenu der Maustaste 2

Und wenn wir bezüglich Plattform-Lockin ehrlich sind, läuft Google ja auch nur auf Windows (zumindest vorläufig).

Das Rennen um weitere Funktionen hat erst begonnen… und es bleibt sicher spannend.

Seite 219 von 223« Erste...102030...217218219220221...Letzte »