Blogarchiv 2011

Die Tage ging You have downloaded durch die Presse. Die Seite tut das, was die Handlanger der Rechteverwerter schon seit langem tun: Sie überwachen den Verkehr auf Torrenttrackern und speichern, welche IP-Adresse sich an welcher Datei bedient - nur daß sie mit diesen Daten keine Auskunftsersuchen an die Behörden stellen, sondern das ganze als durchsuchbare Datenbank im Web präsentieren. Eine andere Nachricht, die die letzten Tage für Aufsehen gesorgt hat, war ein Urteil des europäischen Gerichtshofs, laut dem IP-Adressen personenbezogene Daten seien. Gerade letzteres ist Gegenstand vieler Diskussionen. Warum ich beides zusammen in ein Blogpost packe? Weiterlesen :-)

Bezüglich Youhavedownloaded war ich anfangs skeptisch. Die Macher behaupten auf der Seite, sie würden ca. 20% der Torrents beobachten und die Daten in ihre Datenbank aufnehmen. Wieso machen die das? Sind die Daten, die man auf der Webseite abrufen kann, echt? Ist das eine groß angelegte FUD-Kampagne der Rechteverwerter? Oder erlaubt sich da jemand einen Scherz und trollt mal im Handstreich das ganze Internet? Einige Bekannte haben nach ihrer (statischen) IP-Adresse gesucht, und einer fand tatsächlich einen Torrent, den er tatsächlich geladen hatte; falsche Angaben fanden sich nicht. Deshalb gehe ich im Moment davon aus, daß die Behauptungen der Webseite korrekt sind.

Eine naheliegende Spielvariante war es natürlich, einmal nachzusehen, was die "Vorbesitzer" der heimischen (dynamischen) IP-Adresse so getrieben hatten - da fanden sich unter anderem so delikate Dinge wie "My Sexy Kittens #62"... wegen der dynamischen Adressvergabe und dem großen Adresspool der dynamischen Adressen konnte daran natürlich keine Person (und noch nicht einmal eine grobe Region) festgemacht werden; allerdings waren wir vom Spieltrieb beflügelt und sahen uns die nächstliegenden "Kandidaten" an - die IP-Adressen der Studentenwohnheime waren ein naheliegendes Ziel, insbesondere da ein Wohnheim in dem (Ver)Ruf stand, ihre Anbindung nahezu konstant mit P2P-Traffic zu sättigen. Und in der Tat fand sich auch hier der eine oder andere Treffer - im Gegensatz zum vorigen Fall kann der Ortskundige aber nun eine Person eindeutig zuordnen.

Das macht deutlich, wie sensibel die Information der IP-Adresse sein kann. Gegenüber dem alten Zustand, in dem nur die Rechtevertreter die Tracker überwacht haben, hat sich zwar technisch nichts geändert, dennoch gewinnt das ganze durch die Öffentlichkeit der Suchmöglichkeit eine neue Qualität.

In sofern kann man nachvollziehen, weshalb das EU-Gericht die IP-Adressen als personenbezogene und damit schützenswerte Daten bezeichnete. Man darf gespannt sein, wie sich die Diskussion in Bezug auf IPv6 weiterentwickelt - da gibt es gute Argumente Pro (jedes Gerät weltweit eindeutig?) und Contra (Schutz durch die Privacy Extensions nach RFC 4941).

Das Buch The Power of Open beschreibt zunächst kurz die verschiedenen Creative-Commons-Lizenzen; anschließend berichtet es über die Geschichten verschiedener Leute, die aus ganz unterschiedlichen Motivationen auf Creative Commons gestoßen sind: Die Spannweite reicht vom Idealismus bis zum Marketing-Instrument. Das schön gestaltete Buch (das selbstverständlich auch unter einer CC-Lizenz steht) wurde nun auch auf Deutsch übersetzt und kann nun hier heruntergeladen werden (lokaler Mirror hier).

Was passiert ist: Charlie Miller, ein bekannter Entwickler und Security-Experte der iOS-Plattform hat (nicht zum ersten Mal) ein Sicherheitsproblem entdeckt. Diesmal konnte er nicht weniger als beliebigen, nicht-signierten Code in einer Anwendung des Appstores zur Ausführung bringen, wie er in einem Video demonstriert. Daraufhin hat Apple nicht nur seine Testanwendung aus dem Appstore entfernt, sondern ihm auch seinen Developer Key entzogen - damit ist es ihm nicht mehr möglich, Anwendungen für das iPad oder iPhone zu entwickeln.

Hintergrund

Apples Security-Konzept basiert auf Codesigning und einem Reviewprozess. Eine Anwendung, die in den Appstore soll (die einzige Quelle für Software im iOS-Universum), wird zunächst von Apple in einem Reviewprozeß untersucht. Die Details dieses Reviewprozesses sind unbekannt, es wird dabei jedoch auf Designkriterien (muß dem Styleguide entsprechen), Inhalt (Jugendschutz, nackte Haut, volksverhetzende Aussagen, etc.) und Sicherheit (böswillige, versteckte "Zusatzfunktionen") geachtet. Hierzu wird jedoch nicht der Sourcecode, sondern nur das fertige Binärpaket herangezogen. Ist der Test zur Zufriedenheit von Apple, erhält die Anwendung eine digitale Signatur und wird in den Appstore gestellt.

Fail 1: "Professioneller" Umgang mit Sicherheitslücken

Charlie Miller hat nun - wieder einmal - ein Problem entdeckt und dies öffentlich gemacht. Leute mit ausreichend krimineller Energie hätten solche Schwächen für sich behalten, selbst ausgenutzt oder verkauft (es gibt für Zero-Day Exploits inzwischen wohl einen durchaus lukrativen Markt). Er entschied sich aber, die Öffentlichkeit zu informieren und so Apple die Möglichkeit zu geben, das Problem zu beheben.

Fail 2: Der Review-Ansatz

Apples Security-Konzept fußt darauf, daß während des Reviews böswillige Programme erkannt werden. Nach der Installation gibt es (im Gegensatz zu Androids Privileges) keine weiteren Maßnahmen, welche den Schaden in irgendeiner Weise einschränken; so hat beispielsweise jede Anwendung Zugriff auf das Internet - egal, ob sie es für ihren (offiziellen) Zweck bräuchte oder nicht. Eine sehr ähnliche Debatte erlebten wir gerade beim Staatstrojaner: Auch hier ging es darum zu beweisen, daß das Programm eine bestimmte Funktionalität nicht hat. Aus Sicht der theoretischen Informatik ist das nicht möglich - das besagt das Halteproblem. Aber auch in der Praxis kann man Funktionalität beliebig kompliziert verschleiern, so daß die Reviewer bei Apple (welche ja tausende Einreichungen pro Tag reviewen müssen) hier kaum eine realistische Chance haben dürften. Offenbar gelang es Charlie Miller, solche Zusatzfunktionen am Reviewprozeß von Apple vorbeizuschmuggeln - und demonstrierte so die Unsicherheit und Unvollständigkeit des Prozesses, und rüttelte damit quasi an den Grundfesten des iOS-Security-Konzeptes.

Fail 2b: Die Artikelüberschrift bei t3n

Der Bericht bei t3n hierzu ist betitelt mit Fehler in Apples Codesigning reduziert Sicherheit auf Android-Niveau. Das ist - wie man aus der vorigen Beschreibung sehen kann - schlicht falsch. Der Fehler reduzierte die Sicherheit unter Android-Niveau... genauer Gesagt in Richtung null. Eine Anwendung unter Android kann (egal, ob böswillig oder offiziell) nur die Funktionen nutzen, welche der Benutzer bei der Installation abgenickt hat. Dafür sorgt das Konzept der Privilegien. Natürlich setzt das eine gewisse Aufmerksamkeit des Users voraus ("Wieso braucht ein Tetris-Clone Zugriff auf meine aktuelle Position und das Internet? Nein, das installiere ich lieber nicht"), und auch an der Granularität der Privilegien gibt es berechtigte Kritik... aber das ist immer noch deutlich besser als der Schutz unter iOS.

Edit: Mehr Details...

Dieser Artikel bei Heise erläutert ein paar technische Details mehr. Ich hatte zunächst vermutet, daß Miller einen Fehler in der Review-Methodik (und damit eine Möglichkeit, Code am Reviewprozeß "vorbeizuschmuggeln") ausfindig gemacht hat; dem Artikel nach liegt das Problem aber in der neuen JavaScript-Engine Nitro; nach einer JIT-Kompilierung von Javascripts hat das Kompilat wohl alle Kompetenzen einer (signierten) Anwendung. Normalerweise sollte nur der Browser Zugriff auf Nitro haben - irgendwo hier dürfte die von Miller entdeckte Lücke stecken.

Unter dem Schlagwort "Datenschutz aktuell" organisiert das vhs Bürgerfoyer am Mittwoch, den 16. November um 18 Uhr im Glasfoyer des TREFFPUNKT Rotebühlplatz eine Podiumsdiskussion. In dem Gespräch wird es um Stichworte wie "informationelle Selbstbestimmung", "Nutzung sozialer Netzwerke im Internet", aber auch "Notwendigkeit von Datensammlung und -speicherung" gehen.

Die Diskussionen im Bürgerforum sollen auf der einen Seite in Expertengesprächen über aktuelle Probleme informieren, gleichzeitig dienen sie aber auch als Möglichkeit für die Zuhörer, Fragen zu stellen und mitzudiskutieren. Interaktion ist also ausdrücklich erwünscht!

Folgende (sicher nicht untypische) Aufgabenstellung purzelte bei mir die Tage über den Schreibtisch: Auf dem Team-Webserver soll webdav eingerichtet werden, um mit Projektpartnern Dateien austauschen zu können. Die Teammitglieder (welche alle auch einen Shellaccount haben) sollen vollständigen Zugriff haben und sich auch mit ihrem normalen Username und Passwort anmelden können. Die Projektpartner sollen nur auf einzelne Verzeichnisse zugreifen können; natürlich haben sie auch keinen Unix-Account.

Letzte Woche wurde die neue Stadtbibliothek in Stuttgart eröffnet; am (Familien-)Samstag war der CCC Stuttgart eingeladen, zwei Vorträge zu halten. Unter dem Titel "Legal, illegal, ganz egal - Gefühltes und reales Urheberrecht im Internet" versuchte ich, einen Überblick über die Urheberrechtssituation zu geben. Mir ging es dabei zunächst darum zu zeigen, was nach aktueller Gesetzeslage tatsächlich erlaubt ist und was nicht - abseits vom Lamentieren über die Situation und teils im Gegensatz zur Haltung vieler Leute (insbesondere Jugendlicher). Natürlich war da Filesharing ein Schwerpunkt, aber es ging auch um Dinge wie das "Ausleihen" von Bildern von anderen Webseiten. Zum Schluß gab es noch einen kritischen Blick auf den aktuellen Zustand - der sich ja sehr unbalanciert zum Vorteil der Rechteverwerter entwickelt hat und weiterzuentwickeln droht - und dessen Auswirkung auf Kultur und Gesellschaft. Natürlich durfte da eine Vorstellung der Creative Commons Lizenzen nicht fehlen.

Auch wenn der Raum nicht rappelvoll war, entspann sich doch eine nette Diskussion mit interessanten Fragen im Nachhinein. Die Vortragsfolien habe ich hier hochgeladen; über Kommentare oder noch Post-Vortrags-Feedback freue ich mich natürlich :-) Abschließend noch die Liste der erwähnten Webseiten und Links:

Vor einem Jahr hatte ich ja einen Beitrag über den Shootout zwischen meiner alten und meiner neuen Tastatur gepostet (zur Erinnerung: Meine altehrwürdige Knick-Tastatur von Cherry gegen "Das Keyboard"). Daraufhin bekam ich mehrere Mails rings um Knicktastaturen - von der Frage nach Bezugsquellen (leider nicht mehr in Produktion) bis hin zu konkreten Kaufangeboten :-) Ergonomisch geformte Tastaturen scheinen momentan out zu sein, und beliebig knickbare gab es wohl überhaupt nicht mehr auf dem Markt.

(Bildquelle: Fujitsu Mediaportal)

...gibt es eigentlich nicht viel zu ergänzen. Schon als er seinen CEO-Posten niederlegte, mutmaßten viele Leute, daß es ihm wohl gesundheitlich so schlecht gehen müsse, immerhin sei Apple quasi sein Lebenswerk - man könne fast meinen, er sei dabei, seine verbleibenden Dinge zu regeln. Dementsprechend klangen viele Kommentare schon fast wie Nachrufe (zugegebenermaßen ließ sich der Unterton auch bei mir nicht gänzlich vermeiden). Offenbar hatten sie recht.

Nach der Vorankündigung habe ich mir vor einigen Wochen das E-Book "Metasploit - The penetration tester's guide" gekauft - und inzwischen durchgelesen. Ich wollte mich schon längst mal ein wenig detaillierter mit Metasploit auseinandersetzen - da war das der gefundene Anlaß :-)

In den ersten Kapiteln stellt das Buch kurz den Penetration Testing Execution Standard sowie einen Überblick über Tools und Terminologien des Metasploit Frameworks.

An allen Ecken - vom Morgenmagazin über die Startseite der Wikipedia bis hin zu den diversen Webseiten und Blogs - ist es zu hören: Der Chaos Computer Club feiert heute sein 30jähriges Bestehen - herzlichen Glückwunsch!

Ich habe mir erfolgreich meinen Laptop verkonfiguriert. Anfangs war da nur eine Windows-Installation (*cough*) 'drauf, dann kam ein provisorisches Linux hinzu. Inzwischen arbeite ich fast ausschließlich unter Linux, deshalb habe ich die Windows-Partition deutlich verkleinert. Zwei Probleme gab es zu lösen: Der freie Platz mußte LVM zugeschlagen werden, und die darin befindlichen (mit LUKS verschlüsselten) Partitionen mußten vergrößert werden.

Gestern abend habe ich noch mit einem Freund über Apple, dessen Klagen gegen Samsung und das kommende iPhone diskutiert. Heute früh der überraschende Paukenschlag: Steve Jobs gibt seinen Posten als CEO von Apple auf. Die Nachricht ist auf allen Kanälen, Apples Aktienkurs sackt mal eben um über 7% herunter. Ich habe mehr als einmal über Apple und Steve Jobs' Habitus gelästert (und wenn ich die Titel so überfliege, stehe ich immer noch zu meiner Meinung) - trotzdem stelle ich etwas melancholisch fest, daß da wohl eine Ära zu Ende geht.

Das Gepäck am Flughafen am Schalter abgeben ist immer wieder ein "leap of faith". Das Problem: Richtiges absperren sorgt im Falle einer Gepäckkontrolle dafür, daß der Koffer womöglich beschädigt wird. Also gehen viele Leute dazu über, den Reißverschluß mit einem kleinen Kofferschloß und/oder einem Kabelbinder zu verschließen. Sollte die Flughafensicherheit den Koffer kontrollieren, können sie beides problemlos entfernen - der Schaden hält sich in engen Grenzen, und man erkennt sofort, daß sich jemand am Koffer zu schaffen gemacht hat.

Heute ist der Anlaß, mal an seine Admins zu denken, die im Hintergrund dafür werkeln, daß man selbst reibungslos arbeiten kann... und die (hoffentlich) im Falle eines Falles mit Rat und Tat zur Seite stehen.

Ok, die letzte Existenzberechtiung für Windows auf meinem Laptop war: PPT-Präsentationen abspielen. Die getrennte Anzeige von Vollbild-Folie auf dem Beamer und den Sprecher-Notizen auf dem Laptopmonitor ist (oder besser: war) einfach Gold. Nach dem Technik-Desaster beim Java-Forum habe ich eben versucht, etwas Äquivalentes für Open-/LibreOffice hinzubekommen. Und ich muß sagen: Piece of Cake!

Letzte Woche war ich auf dem Java Forum Stuttgart, einer der prominentesten Java-Konferenzen in Süddeutschland, als Speaker eingeladen. Die mit 1200 Besuchern ausgebuchte Veranstaltung versprach etliche interessante Themen. In sechs parallelen Tracks gab es insgesamt 42 (wieviele auch sonst ;-) Vorträge zu hören - hier meine Auswahl:

Nerdkultur pur

Das letzte verlängerte Wochenende war ich auf der GPN 11 in Karlsruhe. Allmählich bin ich wieder soweit im normalen Tag-Nacht-Rhythmus, daß ich ein paar Zeilen dazu schreiben kann ;-)

Allein schon die Treppe im Eingangsbereich ließ keinen Zweifel daran, daß hier ausreichend viele Nerds am Werk waren ;-)


Am Stand der Lockpicker sah ich, wie sich jemand an einem großen grauen Kasten zu schaffen machte. Zunächst dachte ich, daß es irgendein Tresor wäre, aber beim näheren Hinsehen entpuppte es sich als Schloß an einer Maschine im 60er-Jahre-Look:


Für gediegene Nerd-Unterhaltung sorgten die "Gulasch-Bytes", ein wildes Bilderrätsel rund um Nerd-Begriffe.

So, habe den Vortrag gut überstanden - und ich denke, es hat dem Publikum gefallen! Sowohl vom Alter als auch vom technischen Kenntnisstand war's eine gute Durchmischung, ich hoffe nur, daß ich die Nichttechniker mit den technischen Abschnitten nicht zu sehr gelangweilt habe. Daß alle bis zum Schluß nach knapp 90 Minuten durchgehalten haben werte ich als gutes Zeichen ;-) Für alle Interessenten habe ich die Folien hier hochgeladen, die zugehörigen LaTeX-Quellen liegen bei Github; der angefertigte Audiomitschnitt wird in Bälde bei der Stadtbücherei online gestellt.

Heute abend halte ich beim CCC Stuttgart einen Vortrag über E-Books. Es wird ein Diagonal-Überflug über alle möglichen Themen werden - angefangen bei der Geschichte der E-Books (Trivia fact: Wer wußte, daß das "Projekt Gutenberg" bereits 1972 gestartet wurde?), Technologien bei Readern bis hin zu Dateiformaten, einem detaillierteren Blick aufs ePub-Format und einem unvermeidlichen Rant über DRM :-)

Ich bin mal sehr gespannt, wie das Publikum zusammengesetzt sein wird; bei den Chaosseminaren in Ulm habe ich ja schon mehrere Vorträge gehalten und kannte die "üblichen Verdächtigen" - Stuttgart ist da Neuland. Ich hoffe trotzdem, daß es ankommt; wer schon vorab in die Folien spicken möchte: Sie liegen als LaTeX-Beamer-Sourcen bei Github.

Grandioser PR-Fail von Tomtom: In Holland hat Tomtom Verkehrsstatistiken an den Staat verkauft. Ursprünglich war angedacht, damit das Straßennetz zu optimieren - immerhin kann man damit analysieren, wo sich regelmäßig Staus bilden und kann daran ableiten, welche Straßenverbreiterungen den meisten Effekt bringen drüften. Der Staat hat aber auch nachgesehen, auf welchen Streckenabschnitten regelmäßig zu schnell gefahren wird - und wird dort nun vermehrt Radarfallen aufstellen.

Sowohl Tomtom als auch die Tomtom-Kunden spüren deutlich, daß gesammelte Daten ein zweischneidiges Schwert sein können. Die ursprüngliche Absicht (Erbringung des HD-Traffic-Dienstes zur zeitnahen Erkennung von Staus, die Optimierung des Straßennetzes) war ja zum Vorteil der Autofahrer. Aber plötzlich werden dieselben Daten (gefühlt) gegen sie verwendet. Die Tatsache, daß die Daten anonymisiert und keine Rückschlüsse auf einzelne Fahrer möglich sind, hilft da wenig. Tomtom beteuert, daß man in Zukunft verindern will, daß die Daten so genutzt werden - was aber schwierig wird, da zum einen die sinnvollen Stauanalysen vermutlich schwerer durchzuführen werden und zum anderen das Kind bereits in den Brunnen gefallen ist.

Quelle: Engadget

Nach einer gefühlten Ewigkeit meldet mein Oyo ein neues Firmwareupdate - auf die Version r4758. Zugegebenermaßen überfällig, hatte doch das letzte Update einiges verschlimmbessert: Die PDF-Anzeige war vollends unbrauchbar, und das Gerät wachte ohne ersichtlichen Grund aus dem Standby-Modus auf und saugte den Akku leer.

Ein Mini-Projekt, aus dem unmittelbaren Bedarf geboren: Ein Downloadtool für flickr, das auch die Metadaten mitspeichert. Es ist unglaublich lästig, wenn man für einen Vortrag Bilder sucht und ständig damit beschäftigt ist, in einer separaten Textdatei Quelle, Autor und Bildlizenz mitzunotieren. Wer mit mir mitleidet (bzw. das Leiden beenden will): FlickrDL gibt es hier auf github.

Die rasche Entwicklung des Internets in all seinen Facetten hat die gesellschaftliche und politische Entwicklung längst überholt. Langsam rückt nun die breite Masse nach, entdeckte zunächst die Vorzüge des Netzes - doch nun folgen auch Kritik und skeptische Gedanken. Gerade das Thema Datenschutz und Privatsphäre manifestiert sich hier besonders heikel - Daten lassen sich leicht austauschen, ein Verlust der Privatsphäre ist erst mit großer Verzögerung spürbar (typischerweise dann, wenn es zu spät ist und man negative Auswirkungen zu fühlen bekommt). Wie mit diesen Werten in Zukunft in einer vernetzten Gesellschaft umzugehen sei, streiten sich die Geister.

Für alle, denen noch nicht klar war, was man mit den Daten der Vorratsdatenspeicherung anstellen kann: Der Grünen-Abgeordnete Malte Spitz ist zum Selbstversuch geschritten - die Zeit präsentiert das Ergebnis auf ihrer Webseite. In einer interaktiven Aufbereitung kann man für den Zeitraum vom August 2009 bis zum Februar 2010 beobachten, zu welchem Tageszeitpunkt er sich wo aufhielt, wann und wo er telefonierte bzw. SMS empfing oder versandte. Schon beim flüchtigen Abspielen des so entstandenen "Films" entsteht ein klares Bild über den durchschnittlichen Tagesablauf: Wann verläßt er sein Zuhause, von wann bis wann arbeitet er, wann geht er üblicherweise zum Essen und in welchem Cafe oder Biergarten spannt er nach Feierabend ab.

Dabei beschränkte er sich sogar nur auf einen Teil der Daten, die bei der Vorratsdatenspeicherung gespeichert werden sollen: Das Beispiel beschränkt sich ausschließlich auf Malte Spitz' Handyanschluß - Daten über seinen Festnetzanschluß wurden nicht mit abgeglichen. Außerdem ist in den Daten der Webseite nicht enthalten, mit wem er telefonierte. Auch die Dauer der einzelnen Telefonate ist nicht verzeichnet. Wenn man diese Informationen noch hinzunimmt, ergäbe sich ein noch detaillierteres Bild: Mit wem kommuniziert er besonders häufig - und das zu welchen Uhrzeiten und mit welcher Gesprächslänge.

Ginge man nun weiter her und würde die Bewegungsspuren der Gesprächspartner mit den eigenen überlagern - rasch würde man herausfinden, mit wem er sich auch persönlich trifft.

Die Auswertung, welche Orte häufig bzw. regelmäßig aufgesucht werden, kann im übrigen sehr einfach automatisiert geschehen. Ordnet man nun bestimmte Orte und Gegenden bestimmten Milieus zu (prädestiniert wären sicher Orte wie Moscheen oder Vereinshäuser politischer Gruppierungen), ergibt sich sehr schnell ein detailliertes Persönlichkeitsprofil. Der Detailgrad, den man erreicht, wenn man diesen mit seinen Gesprächspartnern (oder gar den Gesprächspartnern, mit denen er sich regelmäßig persönlich traf) abgleicht, kann man fast nur noch erahnen. Früher wäre für eine solch detaillierte Beobachtung eine Hundertschaft an Observateuren nötig gewesen - heute wollen die Befürworter der Vorratsdatenspeicherung genau diese Informationen für jeden Bundesbürger 6 Monate lang vorhalten.

Schon der Selbstversuch von Malte Spitz macht deutlich, wie weitreichend und detailreich diese Daten sind. Ich hoffe, daß das viele Leute, die immer wieder die VDS klein- oder schönreden, eines besseren belehrt.

Viele Leute kennen die Zwei-Faktor-Authentisierung (etwa wissen und etwas besitzen) von den RSA-Tokens: Auf diesen Geräten erscheint in regelmäßigen Abständen eine neue Zahlenfolge, welche man bei der Anmeldung zusammen mit seinem Benutzername und seinem Kennwort eingeben muß. Ein gestohlenes Kennwort alleine genügt also für einen Angreifer nicht mehr, er muß auch im Besitz des RSA-Tokens sein, um stets eine frische gültige Nummer greifbar zu haben. Der Vorteil gegenüber einem SSH-Key ist: Wenn man in die Verlegenheit gerät, sich dringend von einem nicht vertrauenswürdigen Rechner aus einloggen zu müssen, so kann ein Angreifer darauf maximal für diese Sitzung als Trittbrettfahrer "mitschwimmen"; ein erneutes Einloggen ist nicht möglich (beim Verwenden eines SSH-Keys könnte er diesen kopieren und das Passwort abhören).

Wieso soll man eigentlich an der Haustür zwei Mal absperren? Klar, wenn jemand das Schloß mit Lockpicks knacken will, muß er das Schloß 2x "picken", weil es nach der ersten Umdrehung zurückspringt; allerdings halte ich einen solchen Einbruch in der eigenen Wohnung für ziemlich unwahrscheinlich, dem gewöhnlichen Dieb geht es nicht um zerstörungsfreie Ästhetik, er wird mit großer Wahrscheinlichkeit ein Brecheisen oder ähnliches verwenden.

Ich habe ein paar meiner Projekte auf github gelegt; allerdings hätte ich doch gerne die Daten der Repositories auf meinem Server - da bin ich irgendwie eigen :-) Die Sache sieht so aus, daß ich in einem Verzeichnis eine Reihe .git-Verzeichnisse (also bare Repositories) liegen habe; einige davon sind die Mirrors von github, andere sind eigenständige Repositories. Die Mirrors wollte ich per Cronjob täglich aktualisieren. Wie's geht, habe ich hier kurz zusammengeschrieben:

Zu Weihnachten wurde ein schon lange gehegter Wunsch erfüllt: Ein E-Book-Reader. Ich hatte mich für einen Oyo entschieden - zwar sind die aktuellen Sony-Geräte dem Oyo deutlich überlegen (schnelleres und kontrastreicheres Display, schnellere Reaktion, längere Akku-Lebensdauer, ausgereiftere Bedienung), aber da ich annehme, daß die Entwicklung der E-Book-Reader in den nächsten Jahren noch rasch voranschreiten wird, war ich nicht gewillt, den fast doppelten Betrag zu investieren. Ich habe das "Begrüßungsgeschenk" - einen Roman aus einer gewissen Auswahl - inzwischen durchgelesen und bin sehr angetan. Für Prosa eignet sich der Oyo prima. Die Eignung für Fachbücher (ich habe inzwischen etliche O'Reilly-E-Books gekauft) wird er die kommenden Wochen unter Beweis stellen müssen.