News-Splitter zum Mittwoch

Apple und Microsoft haben ihre Quartalszahlen vorgelegt, Surfer werden ohne Cookies getrackt, Tor und Tail sind unsicher, Websperren, ein Fitness Armband Xiaomi Mi für unter 10 Euro und mehr. Im heutigen Beitrag möchte ich ein paar Nachrichten zusammenfassen.


Anzeige

Apples und Microsofts Quartalszahlen

Momentan legen die großen US-Konzerne mal wieder Quartalszahlen vor und die Branche starrt auf diese Werte. Bei Apple sind es die Zahlen für das dritte Quartal des Finanzjahrs (April bis Juni), und die sehen – trotz fehlender neuer Produkte – solide aus. Im 2.Q. wurden 37,4 Milliarden US-Dollar (27,8 Milliarden Euro) eingenommen – gegenüber dem vorherigen Quartal eine Steigerung von  fast 6 Prozent. Der um mehr als 10 % gestiegene Gewinn beläuft sich auf 7,7 Milliarden US-Dollar (5,7 Milliarden Euro). Solide Ergebnisse, wer mehr wissen will, findet im Apple-Bericht und hier bei heise.de ein wenig Lesefutter.

Und wie geht’s Microsoft? Die sollten doch bald bankrott sein? Irgendwo habe ich heute gelesen, dass Microsoft zum größten Handy-Verkäufer aufgestiegen sei – dank des Zukaufs von Nokio. Aber die Zahlen sprechen eine deutliche Sprache: Die Nokia-Übernahme wirft eine Delle auf die Microsoft-Einnahmen. Der Umsatz im letzten Quartal lag bei 23,38 Milliarden US $ (17,36 Milliarden Euro) – eine Steigerung um 3 Milliarden zum vorherigen Quartal und 5 Milliarden mehr als im Vorjahresquartal. Aber beim Gewinn hapert es, ging dieser doch um 7 % auf 3,3 Milliarden Euro (4,61 Milliarden $) zurück – möchte ich aber immer noch gerne tauschen. Im Geschäftsjahr 2014 (endet am 1. Juli) verdoppelte sich der Cloud-Umsatz auf 4,4 Milliarden $. Und die Xbox One-Verkäufe des Quartals lagen bei 1,1 Millionen Einheiten. Mehr Details findet ihr im Microsoft Geschäftsbericht oder hier und hier. Ach ja, MVP Kollege Martin Geuß hat sich durch die Analysten-Konferenz gekämpft und hier einen Artikel veröffentlicht. Er weist auch auf die Bestätigung durch Microsoft hin, dass das Surface Mini von Microsoft “beerdigt worden sei”.

Canvas-Fingerprinting trackt Surfer

Normalerweise geht man ja davon aus, dass Cookies und der Browserverlauf einem Website-Betreiber Auskunft über das Surfverhalten geben. Jeder, der mal bei Amazon.de vorbei gesurft ist, kennt den Effekt, dass plötzlich in anderen Webseiten “passende§ Amazon-Angebote angezeigt werden. Mich nervt es, wenn ich mal wieder bei Amazon etwas zum Ranking meiner Bücher oder zur Recherche etwas gesucht habe und dann die betreffenden Werbeeinblendungen in Werbeanzeigen anderer Site gezeigt bekomme. Ich hätte doch viel lieber Werbung, die ich nicht kenne. Also Browser wechseln oder Cookies löschen bzw. den Privatmodus verwenden?

Mitnichten – ging gestern durch die Presse: Forscher der Unis von Princeton und Löwen haben einen Bericht zum “Canvas Tracking” veröffentlicht. Das Prinzip des Trackings durch ermitteln eines “Fingerabdrucks” des Browsers und des verwendeten Systems ist seit längerem bekannt. Nun haben die Forscher nachgewiesen, dass dieses Canvas-Fingerprinting auf tausenden von Websites eingesetzt wird – größtenteils ohne Wissen der betreffenden Website-Betreiber. So war wohl auch t-online.de dabei. Die Firma AddThis testet wohl dieses Feature seit Anfang des Jahres als Cookie-Ersatz. Wen es interessiert, Spiegel Online hat einen ganz lesenswerten Artikel verfasst.

Update: Mehr in die Details geht dieser heise.de-Artikel. So findet sich dort die Info, dass der Werbedienstleister Ligatus ein Skriptprogramm zum Tracken per Canvas Fingerprinting einsetzt (beachtet aber den Update-Abschnitt im heise.de-Artikel mit der Stellungnahme von Ligatus und diese Info in Faz.net und in der NZZ). Auch AddThis verwendet ein Script. Noch ein paar Gedanken, die mir beim morgendlichen Nordic Walking bezüglich der Thematik gekommen sind. Nachdem offenbar die Werbenetzwerke Skriptprogramme einsetzen, um den Fingerabdruck zu ermitteln, würde ein einfaches “NoScript”-Plugin zum Blocken reichen. Da man aber davon ausgehen kann, dass auch andere Techniken zum Einsatz gelangen (Stichwort Evercookies etc.) wäre ein Ansatz, den Datensammlern das Leben so schwer als möglich zu machen. Erster denkbarer Ansatz: Mehrere virtuellen Maschinen mit unterschiedlichen Betriebssystemen und mehreren Browsern, die über Anonymisierungssoftware ins Netz gehen und abwechselnd zum Surfen genutzt werden. Bei genügend Teilnehmern dürfte die Schwierigkeit zum Tracken exponentiell zunehmen. Allerdings ist die Frage, wie komfortabel dies am Ende des Tages ist. An diesem Punkt sind die Browserentwickler gefragt. Eine Zufalls-Komponente in den Rendering-Engines gängiger Browser, der sowohl die Browserkennung als auch die Charakteristik nach einem Zufallsprinzip aus einem Profilspeicher verwendet, sollte (in Verbindung mit den täglich wechselnden IP-Adressen der gängigen Provider) die Probleme zum Tracken ebenfalls exponentiell anwachsen lassen (oder übersehe ich etwas was?). Ein paar Ansätze nennt auch Mashable in diesem Artikel.

Und als letzter Punkt: Werbeanbieter wie Ligatus oder AddThis laufen rechtlich über sehr dünnes Eis. Wenn AddThis angibt, dass der Benutzer ein AddIn zum “Do not track” seiner Technik installieren soll, ist denen die Brisanz des Ansatzes nach meinem Verständnis bekannt. AddThis gibt in diesem Artikel zwar an, auf der rechtlich sicheren Seite zu sein und die Daten nur für Forschungszwecke verwendet zu haben. Andererseits gibt es ja Ansätze, das vom Benutzer nicht gewollte Tracking des Benutzers über Cookies rechtlich zu verbieten (EU-Cookie-Richtlinie etc.). Solche Ansätze sind Wasser auf die Mühlen der Befürworter, die da Regularien fordern. Bleibt abzuwarten, bis der erste dieser Werbeanbieter mit einer Sammelklage da in die Knie gezwungen wird. Ich habe jedenfalls das Ganze zum Anlasse genommen, AddThis in Google Adsense für dieses Blog zu sperren.

Mayday-Taste funktioniert bei Amazon-Deutschland

Dümpelt seit gestern als Pressemitteilung in meinem Postfach und ging gestern durchs Web. Bei Amazons Kindle Fire Tablet-PCs gibt es eine “Mayday”-Funktion, mit der sich Kunden per Fingerdruck mit dem technischen Service von Amazon verbinden lassen können. Wird in den USA häufig genutzt (man liest immer wieder von Reaktionszeiten weit unterhalb dessen, was Rettungsdienste und Feuerwehr leisten können). Hatte nur den Schönheitsfehler, dass die Taste in Deutschland tot war. Hat sich geändert, Amazon.de ist nun per Mayday-Taste erreichbar. Mehr lest ihr z.B. bei heise.de – ich habe kein Kindle Fire.

Tor und Tails kompromittierbar, Achtung bei Handy-Sprachsteuerung


Anzeige

Zum Abschluss noch zwei etwas irritierende Sicherheitsmeldungen. Das Anonymisierungsnetzwerk Tor ist unsicher und Nutzer lassen sich vermutlich mit wenig Aufwand enttarnen. Zwei Forscher der Carnegie Mellon Uni wollten die Details auf der Black-Hat-Konferenz vorstellen, wurden aber von Anwälten daran gehindert. Details findet ihr z.B. hier.

Das Tails-Betriebssystem wurde von Edward Snowden zur verschlüsselten Kommunikation mit Journalisten genutzt. Jetzt bringt The Verge hier eine Warnung, dass das die Sicherheitsfirma Exodus Intelligence eine Lücke, die zu Angriffen benutzt werden könne, gefunden habe. Details sind da ebenfalls unbekannt. [Update: Laut diesem heise.de Artikel liegt die angreifbare Sicherheitslücke im Anonymisierungsteil I2P.]

Und zum Abschluss: Wer Apples Siri, Google Now oder Microsofts Cortana begeistert zur Sprachsteuerung nutzt, sollte Vorsicht walten lassen. Laut diesem Bericht haben chinesische Forscher einen Ansatz entwickelt, um mittels Sprachsteuerung Befehle auf Android-Geräten ausführen zu lassen (es könnte z.B. eine Premium-Rufnummer gewählt werden). Es reicht, eine Audiodatei auf das Phone zu bringen und wiederzugeben.

Web-Sperren-Splitter aus dem Skurrilitäten-Kabinett

Und als Nachtrag noch zwei Infosplitter, die zumindest mich recht sprachlos zurücklassen. Die erste Nachricht betrifft meine österreichischen Blog-Leser bzw. deren Provider. Der österreichische oberste Gerichtshof (OGH) hat wohl über die Sperre von Webseiten durch Provider entschieden. Ursprünglich ging es nach meiner Lesart wohl um eine Sperre von Kino.to. Laut vorläufigen Infos auf der Webseite des OGH kann die Websperre bei behaupteten Urheberrechtsverletzungen angeordnet werden.

Aufgrund dieser Entscheidung bestätigte der Oberste Gerichthof nun eine entsprechende Anordnung des Oberlandesgerichts Wien. Access-Providern kann demnach untersagt werden, ihren Kunden den Zugang zu einer Website zu vermitteln, auf der Schutzgegenstände ohne Zustimmung der Rechteinhaber zugänglich gemacht werden. Das gilt aber nicht, wenn dadurch auch der rechtmäßige Zugang zu Informationen verhindert würde. Bestimmte technische Maßnahmen kann das Gericht nicht anordnen; die Auswahl obliegt dem Provider.

Ich kann die Umsetzung zur Zeit nicht beurteilen. Laut diesem heise.de-Artikel lässt die Entscheidung des OGH die Internet-Provider Österreichs ziemlich ratlos zurück. Laut dem Branchenverband der Internet Service Providers Austria fürchtet man dort einen Missbrauch (Zensur) der Sperr-Infrastruktur, da offenbar keine Überprüfung der Rechtmäßigkeit der Sperrforderungen erfolgt bzw. vorgesehen ist. Der Provider ist der Doofe.

Seit GEMA und YouTube im Rechtsstreit über die Vergütung urheberrechtlich geschützter Musikstücke liegen, sperrt YouTube häufig Videos für deutschsprachige Nutzer. Bei Musikvideos kann ich das ja versehen. Aber jetzt hat die Sperre in Deutschland mal wieder bei gänzlich unverdächtigen Videos zugeschlagen. Getroffen hat es die IETF bzw. deren Live-Videos, wie heise.de hier meldet. Die Live Videos der Internet Engineering Task Force werden nämlich bei YouTube – angeblich wegen der GEMA – gesperrt. Da diese Videos aber keine Musik enthalten, wäre diese Sperre nicht nachvollziehbar. Im heise-Artikel findet sich daher auch der Hinweis, dass die GEMA, laut deren Sprecherin, nicht für die Sperre von Musikvideos oder Live-Streams auf YouTube verantwortlich sei.

Laut GEMA-Aussage sperrt “YouTube wohl nach eigenem Belieben und ohne konkreten Anlass, um öffentlich Druck auf die GEMA auszuüben.”

Scheint wohl auch ganz gut zu klappen – denn mein erster Reflex war “Hat GEMA mal wieder zugeschlagen”.

Eine Google-Sprecherin erklärt dagegen: “Da YouTube der Inhalt eines Live-Streams nicht bekannt ist, sind Live-Streams für DE gesperrt, um sicherzustellen, dass keine Musikinhalte, an denen die GEMA Rechte haben könnte, in Deutschland gestreamt werden.”

Interessant ist da auch die rechtliche Einschätzung im heise.de-Artikel. Firmen wie Apple, Microsoft und Co. setzen nach meinen Beobachtungen übrigens bei Live-Streaming längst auf eigene Lösungen, so dass YouTube außen vor bleibt.

Fitness-Armband für 10 Euro – wann kommt’s

Und noch etwas: Gestern hat der chinesische Hersteller Xiaomi (heißt wörtlich” kleiner Reis” oder “roter Reis”) neben einem Smartphone der Oberklasse zum kleinen Preis auch ein Fitness Armband Xiaomi Mi für unter 10 Euro angekündigt.

Xiaomi Mi(Quelle: Xiaomi)

Da ist das von Pearl für knapp 40 Euro vertriebene Fitness-Armband FBT-50 V4 richtig teuer. Aber noch ist das Xiaomi Mi nicht erhältlich. Wer sich für das Thema interessiert, findet hier ein paar Infos.


Anzeige


Dieser Beitrag wurde unter Allgemein abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu News-Splitter zum Mittwoch


  1. Anzeige
  2. Günter Born sagt:

    Update: Mittlerweile ist Tails 1.1 erschienen und die Lücke wohl an die Entwickler gemeldet (siehe).

  3. Pingback: News-Splitter zum Mittwoch - TechBloggers

  4. Anzeige

  5. Nobody sagt:

    Ausgerechnet borncity.com ist eine der wenigen deutschen Seiten, die das Canvas Tracking benutzen. Das ist gelinde gesagt erstaunlich.

    • Muss ich mir anschauen – auf dem Server wird da imho nichts gesetzt/getrackt – das kommt möglicherweise über Google Adsense/Analytics hinzu. Einiges habe ich an Werbenetzwerken bereits ausgeblendet. Vielleicht lässt sich da was entschärfen – aber irgendwo muss ich messen, was wo wie abgerufen wird. Darauf wird im Impressum auch hingewiesen.

      PS: Wie stellst Du das eigentlich fest? Zudem wird hier erklärt, wie Nutzer bei Google personalisierte Werbung abschalten können. Nachtrag: Ich habe mir mal die Sache im Privacy Badger angesehen. Es sind definitiv Google Tracker – und abhängig von den Privacy Einstellungen, die der Nutzer setzt, ändert sich die Geschichte. Google erklärt in seinen Nutzungsbedingungen, das keine nutzerbezogenen Daten erfasst werden – Tracking dient zur Schaltung von Werbung. Ohne Werbung bzw. die generierten Einnahmen wird der Blog hier verschwinden.

      Was auftreten dürfte:

      *.doubleclick.net
      *.googlesyndication.com

      Diese finde ich aber auf weiteren Webseiten.

      Kommando zurück – lest meinen Kommentar weiter unten. War ein “false positive” Alarm …

      • Nobody sagt:

        “Wie stellst Du das eigentlich fest?”
        Bei Nutzung des Firefox Addons “CanvasBlocker” wird eine Benachrichtigung angezeigt.

        • Ok, ich habe es im FF auch getestet – da kommt der canvas-Dialog – ohne viel Info, was hinter steckt. Er kommt aber auch bei vielen anderen Webseiten. Werde bei Gelegenheit mal forschen, was dahinter steckt und ob ich da was abstellen kann.

      • Ok, ich habe mich jetzt mit dem Thema 2 Stunden herumgeschlagen, das Plug-In CanvasBlocker 0.3.0-Release im Firefox geladen und den Code debuggt.

        Es werden canvas verwendet – aber wie so oft im Leben: Wenn da irgendwelche Tools ohne Sinn und Verstand zwischenfunken und dem Nutzer “oh pöse” vorgaukeln, muss das schief gehen. Die Plugins schauen nur, ob das HTML5 canvas-Element irgendwo im Code vorkommt (selten doof) und schlagen Alarm – und die vielen Websites, die sich über canvas fingerprinting auslassen, haben sich auch nicht wirklich mit dem Thema auseinander gesetzt. Das canvas Element wird imho zukünftig häufiger in Websites auftreten, die mit modernen CMS in HTML5 gehostet werden.

        Die Codezeile wo das HTML5-Element canvas vorkommt, lautet:

        <link rel="alternate" type="application/rss+xml" title="Borns IT- und Windows-Blog » Kommentar-Feed" href="https://www.borncity.com/blog/comments/feed/" />
            <script type="text/javascript">
            window._wpemojiSettings =
             {"baseUrl":"https:\/\/s.w.org\/images\/core\/emoji\/72x72\/",
             "ext":".png","source":{"concatemoji":
             "https:\/\/www.borncity.com\/blog\/wp-includes\/js\/wp-emoji-release.min.js?
             ver=de0cdabe5b57c8b60651868e965e8b82"}};
        	!function(a,b,c){function d(a)
                {var c,d,e,f=b.<strong>
                  createElement("canvas")</strong>
                  ,g=f.getContext&&f.getContext("2d"),
                       h=String.fromCharCode;if(!g||!g.fillText)return!1;
                      switch(g.textBaseline="top",g.font="600 32px Arial",a)
                      {case"flag":return 
                      g.fillText(h(55356,56806,55356,56826),0,0),
                      f.toDataURL().length>...</script>

        Geht man auf die Suche nach der Code-Stelle wird man bei WordPress auf dieser Seite fündig. Die Funktion wurde in WordPress 4.2 hinzugefügt, um die Emoji-Behandlung und Darstellung zu regeln. Also nix canvas fingerprinting, sondern sinnvoller Einsatz des canvas HTML5 Elements.

        Unterm Strich: Ich finde es gut, wenn Leser Sachen kritisch hinterfragen. Daher gehe ich solchen Fragen auch nach, um sie selbst zu verstehen. Und mit Google Adsense unternehme ich auch Klimmzüge hinter den Kulissen, um bestimmte Werbenetzwerke auszuschließen.

        Aber: Ich bin irgendwann mal angetreten, ein wenig zu bloggen – stelle nun aber fest, dass ich hinter den Kulissen ein größeres Rad drehe (die WP-Sicherheit muss sichergestellt sein, das Zeugs soll lesbar sein, gelegentlich bekomme ich “false positives” zu Virenbefall des Blogs von den allgefälligen Security Suites, die bei den Leuten so laufen und die dann hier mit “Alarm” einschlagen und und). Ich verbrate auch eine Menge Zeit, um von Benutzern als vermeintlichen Witz (URL “habe keine”) eingetragene URLs auf Webseiten als ungültig zu löschen. Wer das Feld leer lässt, erspart mir Arbeit. Jede gebrochene URL im Blog führt bei Google zur Abwertung. Da geht bereits viel Zeit mit Admin-Aufgaben für den Blog drauf.

        Schade finde ich, dass man mit solchen “false positives” wertvolle Zeit verliert (die 2 Stunden, die ich nun verbraten habe, wollte ich eigentlich was sinnvolles bloggen). Hat sich nun erledigt.

        Soll keine Fundamentalkritik sein – aber ich finde es auch wichtig, transparent zu kommunizieren, wie es im “Maschinenraum des Blogs” ausschaut.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.