Der Blog wird für kurze Zeit offline sein, da er auf einen neuen Server umgezogen wird.

Update: Und wir sind wieder online

Google hat erstmals Gebrauch von der Möglichkeit gemacht, aus der Ferner auf Android-Smartphones installierte Applikationen zu zugreifen und diese auch zu ändern.

Wie auch bei Apple wird der Android Market von Google überwacht. Dabei kommt es hin und wieder vor, dass Anwendungen gelöscht werden, da diese gegen Richtlinen verstoßen. Diesen Schritt ging Google nun das erste Mal und löschte 2 Apps aus seinem Store. Allerdings dem nicht genug: Google löschte die Anwendungen auch gleich auf den Smartphones auf denen die Apps installiert waren.

Die beiden betreffenden Anwendungen waren von Sicherheitsforschern zu Testzwecken veröffentlicht worden um zu demonstrieren wie einfach sich Schadsoftware über solche Stores verbreiten ließe. Beim Download wurde der Nutzer mit falschen Versprechen zu einem Download weitergeleitet, bei dem dann Schadsoftware lauern könnte. Die Anwendungen selbst richteten keinen Schaden an und wurden von den meisten Benutzern ohnehin wieder entfernt.

Google entschied sich allerdings die Anwendungen über die Fernwartungsfunktion von den Geräten zu entfernen. Diese Möglichkeit ist eine Sicherheitsmaßnahme und dient dazu Anwendungen im Notfall zu entfernen.

Für mich als Nutzer beschleicht sich nun aber das etwas mulmige Gefühl, was Google mit dieser Fernwartungssoftware noch so alles machen kann. Da das Smartphone hauptsächlich zuhause an der WLAN Leitung hängt, würde man es gar nicht erst bemerken, wenn klammheimlich Daten übermittelt werden, die über eine Fernwartung hinausgehen.

Gerade wegen des kürzlichen WLAN Datenskandals bei Google sollte man sich hier doch die ein oder andere Überlegung machen wie man das Gerät in Zukunft besser schützen kann.

“Twitter verpflichtet sich zu besserem Datenschutz”, titelten die Süddeutsche und Heise kürzlich. Ein Titel, der meiner Meinung nach nicht stimmt. Hier würde sich als Titel wohl eher “Twitter wurde zu besserem Datenschutz verdonnert” eignen, denn Twitter wurde von der Federal Trade Commission -immerhin eine US Behörde- zu schärferen Sicherheitsmaßnahmen verdonnert. “Wenn ein Unternehmen seinen Nutzern verspricht, dass ihre persönlichen Daten sicher sind, dann muss es dieses Versprechen auch einhalten”, so David Vladeck, der die Verbraucherschutzbehörde vertritt.

Insbesondere die zu simplen Administrator Passwörter von Twitter wurden von der Behörde bemängelt, durch welche es nach Festellung der Behörde gelungen war, Anfang 2009 die Kontrolle über die komplette Webseite zu übernehmen.

Der eindringling, der sich Zugriff zu Obama’s Twitter Account verschafft hatte, ist in einer Donnerstag endenden Verhandlung zu einer Bewährungsstrafe verurteilt worden. Er gab an, persönliche Daten über Mitarbeiter von Twitter gesammelt zu haben und daraus auf deren Passwörter geschlossen zu haben – erfolgreich, in einem Fall.

Die Behörde will die Umsetzung zu der Sie Twitter verdonnert hat überwachen, wobei Twitter betont, die meisten Dinge bereits schon vorher umgesetzt zu haben.

Ich habe Chrome für meine Verhältnisse lang genutzt, da ich auch sehr zufrieden war. schneller Seitenaufbau, gute Kompatibilität zu Frontpage Quellcode und schlankes Design. Da ich allerdings seit langem gegen die Internetwerbeflut einen Privoxy im Einsatz habe, der mir einige Vorteile bringt, anstatt den üblichen AdBlockern, war es mir auch für Chrome wichtig diesen dort unterbringen zu können.

Und da wartet bereits der erste Nachteil. Chrome nutzt die Windows Interneteinstellungen (erreichbar über Internet Explorer). Sobald man dort einen Proxyserver einträgt gilt dieser für das gesamte System. Als Plugin zur einfacheren Verwaltung, auch zum Whitelisting einzelner Domains habe ich mir Proxy Switchy näher angesehen, das einen recht soliden Eindruck macht.

Proxy Switchy arbeitet mit einem automatisch generierten PAC File das als Konfigurationsscript in den Windows Einstellungen hinterlegt wird. Und damit beginnen auch die Probleme: Selbst wenn man die Domains die der Rechner über andere Programme und Dienste aufruft im Proxy Switchy einstellt, reagiert der Rechner nicht mehr so wie man es erwartet; nicht alle Dienste funktionieren mit einem Proxy und es kommt zu unerwartetem Fehlverhalten.

Auch beschlich sich mir das Gefühl, dass nach einer gewissen Zeit Windows Probleme mit dem ständigen Wechsel zwischen Proxy und Direct Connection bekam und der Seitenaufruf irgendwann doppelt so lang dauerte wie bisher. Auch Tweetdeck brachte öfters Fehlermeldungen dass die Twitter Api nicht erreichbar oder gar überlastet wäre; ohne Proxyeinstellungen funktionierte alles tadellos.

Die Entwickler von Chrome wurden auf diese Probleme bereits von anderen Usern hingewiesen, gar ein Bug wurde eröffnet, der schnell wieder geschlossen wurde mit dem Hinweis, dass dies nicht behoben wird. Die Entwickler setzen wohl auf eine einfache Konfiguration, bzw. sehen es als nicht notwendig an, eigene LAN Einstellungen im Chrome zu verbauen. Schade dass man da nicht mehr Bereitschaft erwarten konnte.

Nachdem ich die Nase gestrichen von Google Chrome und dem Addon Proxy Switchy habe, bin ich wieder zum guten alten Firefox heimgekehrt. Da ich mittlerweile auf 3 Geräte meine Bookmarks etc. syncen muss, war ich nun bei Firefox auf der Suche nach einem passenden Synctool.

Es bot sich daher an, Mozilla Weave genauer unter die Lupe zu nehmen. Auf der Wikiseite wird empfohlen den Mimimal zu installieren, da die Vollversion wohl zu kompliziert wäre.

Ja genau, ich installier auch ne Minimal Version. Nix da, Vollversion gezogen und rein ins Getummel. Nach rnd. 4 Stunden, bin ich nun um die Erkenntnis reicher, dass die Version einen Bug im Authentifizierungsmodul hat, man sich deswegen am Server nicht anmelden kann. Super So sind die Daten sicher, man kann sich gar nicht erst anmelden um welche hochzuladen.

Der Minimal Server, den ich mir danach angesehen habe, arbeitet mit einer schlichten SQLite Datenbank, in der per md5 Hash die Daten eingespeist werden. Die SHA256 Funktion, sowie die salted Passwörter fehlen gänzlich. Schade, denn ich verstehe nicht, warum man diese Funktionen rausgeräumt hat, da die Minimalversion auch nur abgespeckt ist.

Alles in Allem ist der Weave Server in der Vollversion noch verbuggt und muss noch einmal auf die Werkbank um überarbeitet zu werden. Die Minimalversion empfehle ich ebenfalls nicht, da die md5 Hashfunktion aus meiner Sicht lange ausgedient hat und ich nicht nachvollziehen kann, warum man beim Abspecken der Voll- auf die Minimalversion dieses Feature gleich mit entfernt hat.

Doch Mozilla bietet auch eigene Server an auf die man die Daten hochladen kann. Ich habe mir dazu die Spezifikation angesehen und bin der Meinung dass es sicher genug ist, die Daten dort zu parken. Man muss allerdings bedenken, dass sicherlich Statistiken aus den Daten gezogen werden, auch wenn diese nach dem Schema von GPG verschlüsselt sind. Ob man diese Daten preisgeben möchte ist jedem selbst überlassen.