Der Lacher des Tages kommt von Facebook. Die haben sich bei Heise.de beschwert, weil die wiederum eine Möglichkeit präsentiert haben, den Facebook-Sharebutton datenschutzfreundlich als “2-Klick-Lösung” in die eigene Seite einzubauen. Heise dazu: Facebook beschwert sich über datenschutzfreundlichen 2-Klick-Button. “Die Art und Weise wie Heise.de den Like Button eingebaut haben, verstößt gegen unsere Platform Policies” erklärte Tina Kulow von Facebook gegenüber heise online. In diesen Policies heißt es: 8. You must not use or make derivative use of Facebook icons, or use terms for Facebook features and functionality, if such use could confuse users into thinking that the reference is to Facebook features or functionality. Frei übersetzt darf man man also Facebook-Icons nur für Facebook-Funktionen verwenden. Genau das ist bei der 2-Klick-Lösung jedoch der Fall. Und nun lehnen wir uns mal zurück und sind gespannt, was Facebook unternehmen wird. Meine Wette ist: Da wird nichts kommen. Anstatt selber datenschutzfreundliche Lösungen anzubieten, will Facebook jetzt gegen Alternativen vorgehen. Heise hat in einem Update nochmal erklärt, womit Facebook alles droht: u.a. damit, dass sie Heise.de auf eine Blacklist setzen würden, damit keine Links mehr über Facebook verteilt werden. Abgesehen davon, dass ich nicht daran glaube, dass Facebook das tatsächlich machen wird, ist diese Drohung schon ganz schön erschreckend. Damit zeigt Facebook zumindest als Drohung, dass man notfalls seine Marktmacht einsetzen will, um gegen Kritiker vorzugehen. Bei DRadioWissen gibt es ein Gespräch mit Jürgen Kuri von der Computerzeitschrift c’t: “Gefällt mir” gefällt nicht allen.
-
Posted to google.com
Heise.de verletzt Facebook-AGB
http://netzpolitik.org/2011/heise-de-verletzt-facebook-agb/
- Tags:
- Deutschland
- Datenschutz
- heise
September 2 2011, 1:34pm | Comments »
-
Posted to google.com
UNESCO stellte Bewerbungsunterlagen ins Netz
http://www.netzpolitik.org/2011/unesco-stellte-bewerbungsunterlagen-ins-netz/
Beim politischen Ziel als UN-Organisation, den Zugang zu Wissen zu verbessern, ist die UNESCO etwas übers Ziel hinaus geschossen. Seit Jahren stehen wohl hunderttausende Bewerbungsunterlagen im Netz herum, wenn man sich im Bewerbungs-System auf der UNESCO-Webseite registriert hatte. Spiegel-Online berichtet über das Datenleck: Unesco entblößt Hunderttausende Bewerber im Web. Die Datensätze enthalten neben Handynummern, Anschriften, E-Mail-Adressen und Namen auch genaue Auskünfte zu bisherigen Arbeitgebern, zum Bildungsweg, zu Sprachkenntnissen, zum Teil auch Namen und Anschriften von Verwandten der Kandidaten. Aus den Bewerbungen erfährt man zum Beispiel exakt, wie viel ein leitender Mitarbeiter im diplomatischen Dienst Pakistans verdient (einen sechsstelligen Dollar-Betrag) und welche Angestellten der Weltbank zur Unesco wechseln wollen. Die Bewerber stammen aus aller Herren Länder, manche bekleiden derzeit durchaus hohe Positionen. Die SpOn-Redaktion konnte bis ins Jahr 2006 zurück Bewerbungen finden. Beliebter Fehler: Anscheinend musste man nur eine Zahl in der URL verändern, um auf andere Bewerbungen zu kommen, sofern man eingeloggt war- Update: Die Praktikanten-Bewerbungen stehen wohl immer noch im Netz und man muss nicht eingeloggt sein, um darauf zuzugreifen, sondern lediglich die richtige URL kennen und dann Zahlen verändern. Update: Jetzt scheinen beide Datenbanken wohl mal offline zu sein. Tweet
April 28 2011, 5:21pm | Comments »
-
Posted to google.com
Hidden Feature in iOS4: Peilsender
http://www.netzpolitik.org/2011/neues-hidden-feature-in-ios-4-peilsender/
Für alle, die bei Latitude Engagement vermissen lassen, machen iPhone & iPad(3g) regelmäßige Backups von den Orten, an denen man sich aufhält – und den Zeitpunkten. Die auf dem Gerät gespeicherte Datenbank wird bei Backups auch auf den Rechner übertragen, damit die kostbaren Daten nicht verloren gehen. Wer sich zwischendurch ein neues Gerät kauft, dem wird die Datenbank freundlicherweise auch auf sein neues Gerät migriert. Im Sinne des freien Zugangs sind die Daten natürlich auch unverschlüsselt. Die zugehörige “Wann war ich nochmal da?“-App gibt es aber bisher nur für den Mac und noch nicht fürs iPhone. In diesem Video erklären Pete Warden und Alasdair Allan die Funktion im Detail. Die beiden haben die Datenbank vor kurzen “entdeckt” – wetter liest mir aber gerade schon den Auszug aus den iOS-AGBs vor, in denen die üblichen Phrasen vorkommen: “Apple, seine Partner & Lizenznehmer… Ortungsdaten… zu übertragen, zu sammeln, zu verwalten, zu verarbeiten und zu verwenden… anonymisiert…” Man kann jetzt also nicht von einer großen Überraschung reden. Update: Die Apple AGBs wurden vor kurzem mit dem Big Brother Award ausgezeichnet, wie ich vergaß zu erwähnen. Update: In den Kommentaren hat Phoenix den Quickfix für Jailbreaker empfohlen: Löschung & Linkung von /private/var/root/Library/Caches/locationd/consolidated.db auf /dev/null (siehe auch Kommentar von Olaf). Wer das nicht über eine Terminal-App aus Cydia, sondern wie vorgeschlagen über ssh machen will, der vergesse bitte nicht die Änderung des root- & user-Passwords. Inzwischen gibt es wohl auch schon eine Cydia-App, die das übernimmt. Tweet
- Tags:
- Datenschutz
April 20 2011, 5:17pm | Comments »
-
Posted to google.com
Neues Feature bei Dropbox: Backdoor für US-Behörden
http://www.netzpolitik.org/2011/neues-feature-bei-dropbox-backdoor-fur-us-behorden/
Für alle, die nicht zum Beispiel per SSHFS ihre eigene Cloud betreiben, ist Dropbox ein genialer Service: Dateien werden über mehrere Rechner automatisch synchronisiert, es gibt eine eingebaute Backup- & Restore-Funktion, und wenn man mal keinen Rechner dabei hat, sind alle Dateien auch per Webinterface zugänglich. Natürlich kann man auch Ordner & Dateien mit anderen teilen: Daraus hat man sich sogar schon ein “dezentrales(?)” soziales Netzwerk gebastelt. Besonders mutige synchronisieren sogar ihre Passwörter darüber. Da kommt natürlich auf den Festplatten der Dropbox-Server einiges zusammen, an dem Ermittlungsbehörden Interesse haben. Und bei Dropbox ist man natürlich hilfsbereit: Die AGBs wurden dahingehend angepasst, dass man einwilligt, dass die US-Behörden auf Anfrage Zugriff auf die Daten bekommen. Man hat ja nichts zu verbergen. Vor einigen Tagen wurde zudem auf die Sicherheitslücke hingewiesen, dass der auf der Festplatte eines Dropbox-Clients gesicherte Authentifizierungs-Token sich problemlos auf andere Rechner kopieren, und dort nutzen lässt. (Die gleiche Möglichkeit bieten vermutlich auch Programme wie Echofon, die Twitter OAuth nutzen, das ist aber nur meine Vermutung). Das ist natürlich bei zentralen Cloud-Diensten nichts neues: Wir kennen das von Twitter-Subpoenas, Skype-Backdoors und anderen Fällen, die zu den wenigen gehören, die öffentlich wurden. Somit sind auch bei Dropbox die jetzt zur Wahl stehenden Strategien die gleichen: Entweder, man boykottiert den Dienst (1), nutzt eine dezentrale Alternative wie z.B. Tahoe lafs (2) (Update: Mir wurde auch Wuala & Tarsnap empfohlen, habe ich aber nicht getestet) oder man nutzt ihn nur verschlüsselt (3). Der Dropbox-Client ist m. W. nicht Open Source, also wäre es viel Arbeit, einen eigenen mit Verschlüsselung zu bauen. Einfach nur einen TrueCrypt-Container hineinzulegen halte ich wegen der Dateigröße nicht für zielführend, denn der Dropbox-Daemon scheint mir nicht so schlau wie rsync zu sein, sondern jedes Mal die ganze Datei zu übertragen, wenn sie sich ändert (Update: in den Kommentaren wird mir gesagt, dass das zwar nicht so ist, aber zugestimmt, dass der Dropbox-Sync sehr langsam ist). Denkbar wäre aber zum Beispiel eine FUSE-pipe, die dafür sorgt, dass jede Datei vor dem Speichern in die Dropbox verschlüsselt, und beim Lesen aus der Dropbox automatisch entschlüsselt wird. So etwas wird hier zum Beispiel per gpg symmetric encryption beschrieben. Symmetric encryption bietet sich an, wenn man von unterwegs drauf zugreifen möchte, ohne seinen secret key mit sich herumzutragen oder ihn gar auf fremden Rechnern zu nutzen. Für ernstes Geschäft wäre man natürlich mit asymmetrischer Key-basierter Verschlüsselung besser beraten, müsste aber wohl auf den Allzeit-Zugriff verzichten. Ich schreibe gerade an so einem fremden Rechner, kann daher das vorgeschlagene encfs nicht ausprobieren. Hat jemand von euch schon Erfahrungen damit gemacht? For the record: Tahoe-lafs scheint die beste Alternative zu sein, aber es gilt ja erstmal, die Dropbox-Freunde zu schützen. Tweet
- Tags:
- Datenschutz
April 19 2011, 4:24pm | Comments »
-
Posted to google.com
Hans-Peter Friedrich will nicht mehr über Vorratsdatenspeicherung sprechen
Auf dem 23. Bundeskongress der Deutschen Polizeigewerkschaft hat unser neuer Bundesinnenminister Hans-Peter Friedrich (CSU) erklärt, warum er nicht mehr über die Vorratsdatenspeicherung sprechen will: Auch Friedrich will lieber von Mindestdatenspeicherung sprechen: “Dieser Begriff ist besser, denn bei Vorratsdatenspeicherung wird man merkwürdig angeschaut.” Bei der Mindestdatenspeicherung sollen laut Friedrich die Daten mindestens sechs Monate aufgehoben werden. “85 Prozent aller Anfragen bei Providern sind nicht mehr beantwortet worden, weil sie die Daten schlicht nicht haben”, erklärte Friedrich unter großem Applaus der Kongressteilnehmer. “Ohne Speicherung entsteht im Internet ein rechtsfreier Raum.” Da Vorratsdatenspeicherung mittlerweile durch das Urteil des Bundesverfassungsrecht und damit der Verletzung unserer Grundrechte negativ assoziiert wird, soll also Neusprech her. Interessant ist natürlich auch die Formulierung, dass diese Daten mindestens sechs Monate aufgehoben werden sollen. Bisher bemühte sich die Bundesregierung immer den Verhandlungserfolg auf europäischer Ebene hervorzuheben, dass wir in Deutschland nur sechs Monate speichern brauchen. Unsere Befürchtung war immer, dass diese sechs Monate später mal schnell ausgeweitet werden. Das klingt hier rhetorisch an. Tweet
April 4 2011, 8:55pm | Comments »
-
Posted to google.com
4. Mai 2011: Internationaler Anti-DRM-Tag
http://www.netzpolitik.org/2011/4-mai-2011-internationaler-anti-drm-tag/
“Defective by Design” heißt die Kampagne der Free Software Foundation, welche auch dieses Jahr wieder einen internationalen Tag gegen DRM-Techniken ankündigt, welche uns als Nutzer entmündigen und nicht mehr die Kontrolle über den eigenen Computer ermöglichen. Ihr könnt Euch tolle Aktionen on- wie offline ausdenken und diese in einem Wiki dokumentieren oder auf einer Mailingliste diskutieren (beide englisch-sprachig). Tweet
- Tags:
- Datenschutz
- Urheberrecht
- drm
- FSF
April 1 2011, 9:37pm | Comments »
-
Posted to google.com
Microsoft spart https im arabischen Raum
http://www.netzpolitik.org/2011/microsoft-spart-https-im-arabischen-raum/
Aus bisher nicht kommunizierten Gründen hat Microsoft für den eigenen eMail-Dienst Hotmail Nutzern in arabischen Ländern einfach mal das https entzogen. Jillian C. York hat heute Morgen erste Hinweise darauf bekommen und im Laufe des Tages die Meldung verifiziert und verbloggt: Microsoft Hotmail: No HTTPS for Arab, Iranian Users. Nutzer in Ländern wie Iran, Syrien, Bahrain, Marocco, etc. können die https-Funktion nicht nutzen, Nutzer in allen anderen Ländern wie Deutschland, USA, etc. können sicherer mailen. Man kann das auch verifizieren (sofern man einen Hotmail-Account besitzt), wenn man dort in den Einstellungen einfach mal das Land wechselt. Ein Klick in ein anderes Land und plötzlich ist etwas mehr Sicherheit da. Damit sind gerade durch den Wegfall von https genau die Länder betroffen, wo Menschen gerade erst recht https bräuchten, um ihre Leben nicht zu gefährden, wenn sie sich dort politisch engagieren und ihre Meinung frei äußern. Jillian C. York empfiehlt deshalb auch allen Nutzern in diesen Ländern, entweder in den Einstellungen das Land oder besser gleich ganz den Service zu wechseln.
March 25 2011, 8:06pm | Comments »
-
Posted to google.com
Überraschung: StreetView ist legal.
http://www.netzpolitik.org/2011/uberraschung-streetview-ist-legal/
Zur Streetview-Debatte habe ich mich damals zurückgehalten. Ohne Frage ist und muss es legal sein, Häuser zu fotografieren. Es mag auch eine Frage der Höflichkeit sein, Leuten trotzdem eine Widerspruchsmöglichkeit einzuräumen. Thema eigentlich erledigt. Bedauerlich war die Hysterie, die mit Streetview einherging, und die von der Bundesregierung gezielt kanalisiert wurde, während die Bevölkerung mit RFID- & Biometrie-Ausweisen ausgestattet und einer zentralen Arbeitnehmerdatenbank unterworfen würde, und man von der Idee der Vollüberwachung immer noch nicht lassen konnte. Eine Viertelmillion absichtlich aufgescheuchter, beängstigter Bürger ließ seine Häuser panisch entfernen. Das Ergebnis ist das sinnlos zerstörte Streetview Deutschland, über das sich die Welt beömmelt. Wie dem auch sei, in Berlin hat das Kammergericht im Beschluss vom 25. Oktober 2010(Az.: 10 W 127/10) bestätigt, dass Google Häuserfassaden fotografieren darf. Surprise, surprise!
- Tags:
- streetview
- Datenschutz
March 16 2011, 11:51am | Comments »
-
Posted to google.com
US-Gericht: Twitter muss Wikileaks-Daten an US-Behörden geben
http://www.netzpolitik.org/2011/us-gericht-twitter-muss-wikileaks-daten-an-us-behorden-geben/
Wir hatten hier und hier darüber berichtet, dass die USA ganz gerne “einmal alles” von Twitter über @rop_g, @birgittaj, @ioerror, @wikileaks, Bradley Manning und allen Followern derer Accounts haben wollen. Twitter hat die Account-Inhaber informiert, und die hatten sich – unterstützt von allen möglichen Organisationen mit allen rechtlichen Kräften dagegen gewehrt. Vergebens. Gegen die Entscheidung des US-Bundesgerichts kann und wird Berufung eingelegt werden. Die Sache ist also noch nicht vom Tisch.
March 12 2011, 9:29pm | Comments »