Lizenz: Photo: nyki_m

Im ersten Text (“Fünf Irrtümer über die Piratenpartei”, futurezone.orf.at, via www.jensscholz.com) geht es (neben der Korrektur der erwähnten Fehleinschätzungen) auch um die Art und Weise, wie die Offline-Welt (im konkreten Fall “die Politiker”) versucht, die “Onliner” zu erreichen. Und dabei scheitert:

Bei der Diskussion über das Netzsperrengesetz in Deutschland hat sich beispielhaft gezeigt, dass Menschen, die es gewohnt sind, mit Computern und Code umzugehen, mit symbolischer Politik nicht zufriedenzustellen sind. Im Netz schafft der Code die Wirklichkeit, und wenn in ihm ein Zeichen nicht stimmt, dann funktioniert er nicht. Es ist daher nicht besonders klug, einer Klientel, die unter diesen Bedingungen lebt und arbeitet, einreden zu wollen, dass Stoppschilder im Internet etwas gegen Kinderpornografie ausrichten können. Es ist noch weniger intelligent, dieser Klientel mit Umfragen und Statistiken begegnen zu wollen, die diese mittels ihrer Kompetenz im Umgang mit informationstechnischen Systemen innerhalb weniger Sekunden demontieren kann. Und es muss Menschen, die es gewohnt sind, ihre eigenen Systeme zu administrieren, zynisch vorkommen, wenn eine Regierung eine zentral verwaltete geheime Sperrliste von Internet-Adressen ausgerechnet unter dem Vorwand der Kinderpornobekämpfung durchsetzt.

Im zweiten Text, dem Editorial “Das virtuelle Volk” der aktuellen c’t (s.a. www.heise.de), geht es um die andere Seite der Medaille – nämlich darum, dass all die Argumente und auch die Empörung der “Onliner” nicht in die Offline-Welt vordringen – sie bzw. wir finden einfach kein Gehör:

Währenddessen sitzen die Politikdinosaurer im Café, blättern durch die Zeitung und freuen sich, wie gut das neue Gesetz beim Volk ankommt. Die Bild hat sie gelobt; Mütterchen haben sich auf der Straße bedankt, dass endlich was gegen den bösen Kinderschänder von nebenan passiert.

Im Reich der Bits und Bytes wird das Murren derweil immer lauter. 134015 Leute haben mit Name und Adresse eine Online-Petition gegen das Gesetz unterschrieben. Es hat ein Zeichen gesetzt, aber nichts geholfen. Wir müssen gegen dieses Gesetz auf die Straße gehen! Tausende, Zehntausende rufen online zum Protest auf. Ein paar Hundert versammeln sich an Ort und Stelle; der Rest drückt daheim F5 – mal lesen, wie es gelaufen ist.

[...]

Derweil sitzt im Café neben dem Politiker ein Lobbyist, dessen Augen leuchten, wenn er an die Potenziale dieses Stoppschilds denkt. Der Lobbyist verwendet einfache Sätze und spricht ganz leise. Der Politiker hört ihn trotzdem – im Unterschied zu den Abertausenden, deren digitaler Aufschrei in seiner analogen Welt nie ankommt.

Für mich war selten so konkret greifbar wie in diesen beiden Texten, wie sehr in Sachen “Zensursula” aneinander vorbei geredet wird – und es dabei kaum noch gelingt, auch mal der Gegenseite zuzuhören.

Irgendwo in diesem Spannungsfeld zwischen diesen beiden Polen Positionen sitzt ein dickes Problem. Und es wird stetig weiter wachsen, wenn nicht beide Seiten dazulernen…

Popkomm-Ersatz: all2gethernow wird immer konkreter
Die Überlegungen und Planungen für einen “Ersatz” der im Juni abgesagte Popkomm (siehe auch heise.de) konkretisieren sich immer weiter, wie unter a-2-n.de zu lesen ist:

Neue Konzepte sollen auf den beiden all2gethernow – Teilen Barcamp und Konferenz entwickelt und vorgestellt werden. Am 16. und 17. September 2009 führen die Veranstalter ein Barcamp durch. [...]
Eine Zusammenfassung der Ergebnisse die im all2gethernow – Barcamp entstehen bilden auch das Fundament der all2gethernow – Konferenz am 18.09.09 im Radialsystem V.

Surfen unter falscher Flagge
Mir blieb es bislang erspart. Und man sollte immer vorsichtig sein. Ich bin aber leider “zuversichtlich”, dass ich in eine ähnliche Falle wie Franz Patzig hätte tappen können: Wie ich einmal Opfer eines Online-Betruges wurde

Neuronaler Dreiklang: Jeden Tag drei Links und / oder Themen
P.S. Das nenne ich einen Spitzenstart: Nach 2 Ausgaben schon einen Tag Unterbrechung wegen Krankheit

Long URL Please (Long URL Please bei Mozilla.org)
Replaces short urls with the originals so you can see where links actually link to.
So weiß man schon vorher, wohin einen die immer mehr anzutreffenden Kurz-Urls (siehe auch de.wikipedia.org) hinführen werden.

RefControl (RefControl bei Mozilla.org)
Control what gets sent as the HTTP Referer on a per-site basis.
Denn nicht jeder Seitenbetreiber soll / muss erfahren, welche Seite der Benutzer vorher aufgerufen hat.

NoScript (NoScript bei Mozilla.org)
NoScript erlaubt das Ausführen von JavaScript, Java (und anderen Plugins) nur bei vertrauenswürdigen Domains Ihrer Wahl (z.B. Ihrer Homebanking-Website). Der auf einer Positivliste basierende präventive Ansatz zum Blockieren von Skripten verhindert das Ausnutzen von (bekannten und unbekannten!) Sicherheitslücken ohne Verlust an Funktionalität.
Der Klassiker schlechthin. Führt allerdings bei manchen Seiten zu einer schlechteren Benutzbarkeit

Neuronaler Dreiklang: Jeden Tag drei Links und / oder Themen

Die rheinland-pfälzische Landesregierung ist bei der Suche nach privaten Investoren für den Freizeitpark “Nürburgring 2009″ offensichtlich auf einen großangelegten Schwindel hereingefallen.
[...]

Wegen der undurchsichtigen und am Ende gescheiterten Finanzierungspläne für das Großprojekt war Anfang dieser Woche bereits Becks Finanzminister Ingolf Deubel zurückgetreten. Er hatte über Monate hinweg den Ankündigungen eines Schweizer Kreditvermittlers vertraut, der einen vermögenden Geldgeber für den Freizeitpark aufgetan haben wollte. Deubel hatte sich sogar bereit erklärt, zunächst 80, dann sogar 95 Millionen Euro aus einem Landesfonds monatelang auf Sonderkonten einer Liechtensteinischen und einer Schweizer Bank zu lagern und dem Kreditvermittler ein Mitzeichnungsrecht für die Konten einzuräumen.

Natürlich weiß ich nicht, ob besagter Kreditvermittler etwas von den ebenfalls im Artikel erwähnten 2,5 Millionen Euro (“für Beraterhonorare und Anwälte”) abbekommen hat. Mein Bauch sagt mir jedenfalls, dass das nicht auszuschließen ist.

Sämtliche anderen – meines Erachtens durchaus “dubios” zu nennenden – Umstände weisen jedenfalls auf ein bestimmtes bekannteres Tatmuster hin. Und deshalb empfehle ich jetzt einfach mal Herrn Kurt Beck und seinen Mitarbeitern (und Ministern) die Lektüre des Wikipedia-Artikels zu “Vorschussbetrug” (und speziell den Abschnitt zu “Nigeria-Scam/ Nigeria-Connection”). Und ein Blick auf das “Peter-Prinzip” könnte sich wohl auch lohnen

Hinter den Kulissen basteln wir mit Hochdruck daran, ein tolles BarCampRuhr2 auf die Beine zu stellen – was es dank der Kooperationsbereitschaft der Sponsoren und der vielen kleinen Unterstützungen im Hintergrund mit Sicherheit auch werden wird.

Und wie ja Katti, Jens, Djure und die Ruhrbarone schon vermeldet haben, werden wir in einer Woche, d.h. am

Freitag, 13. Februar 2009

die Teilnehmerlisten öffnen. Die genaue Uhrzeit folgt dann spätestens am Mittwoch; Hinweise zum Anmeldeverfahren findet ihr im übrigen unter www.barcampruhr.de[2]. Und nun könnt ihr euch langsam schon warmmachen, damit ihr – mit ein klein wenig Glück – am Freitag eine der gelungenen Banner-Varianten von Sascha Aßbach (blog.assbach.de) ins Blog packen könnt:

Dabei war die riesige LED-Wand Twitterwall (36 Quadratmeter! siehe auch www.ict.de) ein durchaus elementarer Bestandteil der “kathedralen” Atmosphäre (Das folgende Bild stammt von kleine_zauberfrau und steht unter einer CC-Lizenz):

Weitere Impressionen finden sich übrigens bei Flickr (aktuell knapp 1.000 Fotos) sowie bei ipernity (knapp 600 Fotos).

Die Akustik mancher Sessionräume war dann doch der einzige kleine Wermutstropfen – einige Messewände können dann doch nicht den Schall bremsen, der sich zwischen den Wänden und der Decke durchmogelt. Von Samstag auf Sonntag wurde aber auch hier von fleißigen Händen “kalibriert” bzw. einige Leinwände, Beamer, etc. umgeräumt, so dass meines Erachtens die “Verständlichkeit” der Sessions deutlich verbessert werden konnte.

Sessions
Insgesamt beobachte ich bei mir eine stetig abnehmende Teilnahme an Sessions. Das hängt aber definitiv nicht mit der immer wieder unterstellten schlechten bzw. sinkenden Qualität der Themen und Sessions bei BarCamps zusammen (siehe auch z.B. die wohl “bekannteste” Kritik unter blogbar.de). Zwar gibt es hier sicher nicht nur Perlen, sondern manchmal auch “Konfektionsware” und gelegentlich auch Werbemüll. Aber zum einen stimmen die Teilnehmer in aller Regel mit den Füßen ab – und gehen fast immer in die richtige Richtung… Und zum anderen steht es jedem Teilnehmer frei, selber ein Thema bzw. eine Session vorzuschlagen. An dem Punkt hat sich meines Erachtens etwaige Kritik ohnehin erledigt. Oder um das Fazit von Mitorganisator Tobias Kaufmann im offiziellen BarCampBerlin3-Blog (englisch) zu zitieren: YOU ARE BARCAMP!

Der Grund für die abnehmende Zahl der besuchten Sessions liegt bei mir aber ohnehin in der Tatsache, dass ich auf BarCamps auf immer mehr bekannte, aber eben auch neue Gesichter stosse – und ich immer häufiger in spannenden Gesprächen und Diskussionen abseits der Sessions “hängen bleibe”. Letztendlich ist es sogar genau dieser “Networking”-Teil, der mich auch nach mittlerweile 8 BarCamps immer noch durchs halbe Land reisen lässt

Durchaus interessant war jedenfalls die Session der Telekom über das “Open Development Projekt” (developer.telekom.de), bei dem die “Öffnung einiger Sprach-, Messaging-, Authentifizierungsdienste” über eine Web-API erprobt werden soll (siehe auch developer.telekom.de[2] sowie www.basicthinking.de/blog).

Die Tatsache, dass ein so grosser und starrer Konzern den Kontakt zur (Entwickler-)”Basis” sucht, ist ja an sich schon vielversprechend. Und auch wenn der demonstrierte “ferngesteuerte” Verbindungsaufbau zwischen zwei Anschlüssen noch nicht allzu spektakulär ist, wird sich zeigen, welches Potential und welche weiteren Möglichkeiten die Web-API noch zu bieten hat. Ich bin jedenfalls gespannt

Über eine eher gruselige Anwendung stolperte ich dann noch in einer Session über “Symbian S60 / Nokia“, in der auch der “Mobile Web Server” von Nokia (mymobilesite.net) kurz erwähnt (und demonstriert) wurde. Dieser Server wird im Rahmen der “Nokia Beta Labs” zur Verfügung gestellt und ermöglicht den Zugriff übers Web auf das eigene Nokia-Handy (Voraussetzungen: Das Handy ist online und der “Mobile Web Server” ist installiert sowie aktiviert). Gruselig ist dabei die Möglichkeit, eine eingebaute Kamera “via Web” auszulösen und somit ein Foto zu machen, ohne dass der Benutzer des Handies hier noch selber Hand anlegen muss.

Sofort drängte sich mir die Frage auf, ob es auch möglich ist, das Mikrofon des Mobiltelefons aus der Ferne zu aktivieren – und somit das Handy als Abhöreinrichtung zu benutzen. Scheinbar ist dies aktuell nicht der Fall – aber was nicht ist, kann ja noch werden…

Natürlich kann man die Möglichkeit der Fernsteuerung auch anders einordnen (siehe auch www.scholt.org):

Ich meine aber schonmal irgendwo gelesen oder gehört zu haben das die Funktion zum ansteuern des Handymikrofons von allen Herstellern sowieso in der Handy Software eingebaut und auch teilweise von der Polizei schon genutzt wird. Dagegen ist der Webserver, den man erst installieren, starten und Benutzer mit Passwort anlegen muss ein tolles Feature.

Berichte und Ausblick
Grundsätzlich sei noch auf die beeindruckend lange (und immer noch wachsende) Liste von Berichten verwiesen; stellvertretend für viele lesenswerte Artikel seien aber zwei Texte hervorgehoben:

Jens Grochtdreis stellt unter grochtdreis.de/weblog fest, dass mit etwa 600 Teilnehmern offensichtlich die Schmerzgrenze erreicht wurde (so habe zumindest ich es wahrgenommen):

Die Anzahl der Teilnehmer war allerdings so enorm, daß man – unterstützt von der Wuchtigkeit des Gebäudes – keinen Überblick bekommen konnte. Ich fühlte mich das erste Mal auf einem Barcamp fast verloren.

Und die von Jens beschriebenen Nebenwirkungen der “Amtsprache” Englisch fand ich ebenfalls problematisch:

Natürlich ist es auch mal nett, einem Spanier oder Briten zuzuhören. Der hat möglicherweise eine andere Sichtweise auf das Medium. Aber der Austausch in einer fremden Sprache ist nicht jedermanns Sache. Das konnte man mal wieder beobachten. Einige Sessions wurden explizit als deutschsprachig angekündigt. Nur selten machte dies, wie bei rechtlichen Themen, Sinn. Und wenn dann die Existenz eines einzigen Zuhörers die anderen dreissig dazu nötigt, in Englisch radezubrechen, dann stört dies meist die Substanz der Session. Auf alle Fälle hemmt es Spontaneität.

Stefan Nitzsche wollte “nicht noch einen Bericht schreiben, der die Sessions lobt, die Akustik (zurecht) bemängelt oder das Catering als zu schmal bezeichnet.” (siehe auch blog.nitzsche.info). Damit hat er “inhaltlich” natürlich Recht, denn viele Aspekte sind bereits vielfach beschrieben und kommentiert worden. Andererseits ist meines Erachtens jeder Beitrag bzw. jedes Feedback ein weiterer kleiner Groschen in der virtuellen Lohntüte der OrganisatorInnen, die sich schließlich allesamt viele Stunden, Tage und Monate für die Veranstaltung engagiert haben – und das ehrenamtlich. Insofern war die im vorstehenden Artikel erkennbare Redundanz durchaus Absicht

Vorbehaltlos anschließen kann ich mich aber Stefans Forderung nach einer zukunftsfähigen Weiterentwicklung des Veranstaltungs-Konzeptes – auch im Hinblick auf die Skalierbarkeit:

Und ist jetzt das BarCamp Berlin 3 deshalb schlecht gewesen? Nein. [...] Nur weil es nicht mehr den Charme eines Garagen-Events besitzt, hat es nicht implizit an Qualität eingebüßt. [...]

Und auch die Klage, dass das BarCamp-Konzept immer mehr zum Mainstream wird, ist unangebracht. Es durchläuft einfach die Evolution eines jeden erfolgreichen Konzepts. Erst ist es ein Geheimtipp (Charme inklusive), dann wird es Mainstream, bis es schließlich zuerst bei den Kennern uncool wird, und schließlich bei der gesamten Zielgruppe. Das ist nunmal der Lauf der Dinge.

Der gewachsene und gelernte Aufbau aus Anmeldung im Wiki, Vorstellungsrunde und Session-Wand ist zwar charmant, stößt aber bereits bei Teilnehmerzahlen wie denen des BarCamp Berlin 3 an seine Grenzen. Wie auch schon beim BarCamp Munich 2008 müssen straffere Organisation und gute Planung bieten, was reine Selbstorganisation bei einer großen Menge Teilnehmer in einem so kurzen Zeitraum und im Rahmen des unveränderten BarCamp-Konzepts nicht geschafft hätte.

Ich muss gestehen, dass ich auch 10 Tage nach Berlin (und über 1 Jahr nach den ersten veröffentlichten Überlegungen zu einem SocialCamp) noch keine klare Vorstellung entwickeln konnte, wohin die konzeptionelle Reise für diese Veranstaltungsform gehen könnte und sollte – in jedem Fall glaube aber ich wie Stefan, dass hier noch Entwicklungsbedarf (und -potential) besteht.

Die weiter zunehmende Zahl an ThemenCamps (und der dahinter stehende Bedarf an einem Themen-Focus) könnte eine denkbare Richtung aufzeigen. Eine stärkere (Vor-)Strukturierung bzw. Moderation der BarCamps könnte ein anderer Ansatz sein. Und eine wesentlich stärkere Integration von BarCamp-Elementen in bestehende Konferenz- und Messe-Konzepte wäre sicherlich auch denkbar bzw. wünschenswert, um die Möglichkeiten zur Kommunikation und zum Wissensaustausch zu verbessern – auch wenn gerade hier Interessenskonflikte vorprogrammiert sein dürften (Stichwort: Vortragshonorare / Eintritt).

Aber eins bleibt abschließend festzuhalten: Das BarCampBerlin3 war gut – und auch “lehrreich”. Und wenn sich daraus neue, “verbesserte” (Un-)konferenz-Ansätze ergeben sollten (oder zumindest eine Diskussion über die Weiterentwicklung beginnt), dann macht es das sogar noch besser. Möge die Grundsatzdiskussion also beginnen

Tagging
Bisher war hier im Blog mit “Ultimate Tag Warrior” ein eigenes Plugin fürs Tagging (“Verschlagwortung”) der Artikel im Einsatz. Da WordPress ab dieser Version auch selber “taggen” kann (und es wohl auch zu Konflikten mit den “externen” Tagging-Plugins kam), war also eine Umstellung unvermeidlich. Der Import der vorhandenen Tags klappte problemlos (über “Verwaltung / Import”), bevor dann der wirklich spannende Teil kam: Die Integration ins Theme.

Während die Basis-Funktionalität (Anzeige der Tags je Artikel / Anzeige aller Tags in Form einer Tag-Cloud) ohne größere Probleme mit den neuen “Bordmitteln” von WordPress realisierbar war (siehe auch deutsche Dokumentation unter doku.wordpress-deutschland.org), fehlte mir ein komfortables Werkzeug für die Tag-Verwaltung beim Schreiben eines Artikels – und da rede ich noch gar nicht vom spannenden “Type ahead”-Feature des “Simple Tagging”-Plugins. Wesentlich wichtiger (und mein Hauptgrund für die Nutzung von Tags) war aber die Funktion (des bisherigen Tagging-Plugins), die anhand der vorhandenen Tags “Ähnliche Artikel” auflisten konnte – und leider gibt es bisher bei WordPress auch diese Funktion noch nicht.

Für die Nutzung der Tags “wie bisher” bin ich dann auf die folgenden Plugins gestossen, die die vorgenannten Probleme gelöst haben. Eine Funktion zur “Verwaltung” (und Löschung!) vorhandener Tags steht aber leider noch aus:

• Click Tags
  (Zeigt beim Schreiben alle vorhandenen Tags an und “aktiviert” sie per Klick)
• Related Posts für WordPress 2.3
  (Zeigt in der Einzelansicht des Artikels die “Ähnlichen Artikel” an)

Neue Quelle für eingehende Links (“Tellerrand”)
Stillschweigend hat man bei WordPress die bisherige Quelle für die Anzeige der “Eingehenden Links” gewechselt. Anstelle des bisher abgefragten (und gelegentlich etwas überlasteten) Dienstes Technorati greift man nun auf die Daten der Google-Blogsuche zurück. Die Google-Daten haben allerdings den kleinen Makel, dass sie gerne auch mal interne Links anzeigen und somit wenig hilfreich sind.

Wer nun wie bisher Technorati nutzen möchte, kann die Änderungen entweder per Hand vornehmen (Beschreibung unter www.fixmbr.de) oder aber das Plugin “Nusuni Technorati Links WordPress Plugin“verwenden (hier im Einsatz).

Update-Funktion
Die neu eingeführte Update-Funktion prüft, welche der Plugins mittlerweile in einer neueren Version vorliegen. Auch wenn der Abgleich nur mit der (wachsenden) Plugin-Datenbank auf wordpress.org stattfindet, erhält man so bei immer mehr Plugins schnell den Update-Hinweis, ohne jeweils einzeln nachsehen zu müssen. Ärgerlich ist dabei die Tatsache, dass hier zahlreiche Informationen übertragen werden, die für die Prüfung der Plugin-Versionen nicht erforderlich ist (z.B. Blog-URL und Versionsnummern nicht aktivierter Plugins; siehe auch www.tamagothi.de) – und das alles, ohne dass der jeweilige Blogbetreiber je das “Herausposaunen” dieser Daten veranlasst hätte.

Ich gebe zu, im Zuge des Updates war die Update-Option sehr hilfreich und die Zahl der veralteten Plugins erschreckend groß Aber das ändert nichts daran, dass ich die nicht erforderlichen Daten auch nicht preisgeben muss bzw. möchte.

Insofern dürfte für paranoide Datenschutz-interessierte WordPress-Nutzer das Plugin “Filosofo’s Tinfoil-Hat Plugin” interessant sein, das dieses Problem löst und die übertragenen Daten anonymisiert.

Fazit
Abgesehen von den drei genannten Problembereichen lief das Update übrigens problemlos – jedenfalls soweit mir bisher bekannt ist – und es gab auch keine nennenswerten Probleme mit älteren Plugins. Weiterhin habe ich den Eindruck, dass WordPress etwas schneller geworden ist – was aber auch am verabschiedeten “Monster” UTW liegen könnte

(Plugins gefunden u.a. via www.endl.de/weblog und www.silkester.de/blog)

Die G8-Staaten haben laut Angela Merkel (CDU) nach harten Verhandlungen einen Durchbruch beim Klimaschutz erzielt. Die G8-Staaten hätten sich dazu verpflichtet, die Beschlüsse der EU zur Halbierung der Emissionen bis 2050 “ernsthaft in Betracht“ zu ziehen.

Bei geschätzten iKosten des Gipfels von 100 Millionen Euro (siehe auch www.wiwo.de) kostet somit jedes der 21 Worte des fett hervorgehobenen Satzes lumpige 4,76 Millionen Euro. Und noch dazu hat in meinen Augen die Formulierung “ernsthaft in Betracht ziehen” die Verbindlichkeit einer Seifenblase.

Wo ist eigentlich der Bundesrechnungshof, wenn man ihn braucht

Ich habe allerdings nicht nachgezählt, ob der Satz “Ich soll nicht mit unsinnigen Trackbacks nerven!” dort auch genau 100mal wiederholt wurde

Die Seite ist übrigens zwischenzeitlich – ebenso wie punish-punisher – offline. Da dort laut Quelltext noch WordPress 2.0.5 im Einsatz war, nutzt man vermutlich die Gelegenheit, auf eine sicherere und neuere Version zu aktualisieren (Stand: 23:00 Uhr). Einen eindrucksvolleren Beleg für regelmäßige Software-Updates gibt es wohl kaum…

Update 02.02.07, 11:18 Uhr
Die beiden Blogs sind wieder online, wie ich gerade festgestellt habe – laut Quelltext nun mit WordPress 2.1 unter der Haube…

Das Wasser ist ein freundliches Element für den, der damit bekannt ist und es zu behandeln weiß.

Auch wenn ich mir ziemlich sicher bin, dass das Sporttauchen mit Pressluft zu Lebzeiten Goethes (1749-1832) noch nicht die heutige Popularität erreicht hat, muss ich doch uneingeschränkt feststellen: Er hat Recht behalten

Die erste, von Stefan Esser, der kürzlich resigniert das PHP-Security-Team verließ, beim Hardened-PHP Project beschriebene Sicherheitslücke nutzt die mbstring-Erweiterung von PHP, mit der es WordPress ermöglicht, bei so genannten Trackbacks zwischen verschiedenen Zeichensätzen zu konvertieren. [...] Ein Beispiel-Exploit schafft es so, zuerst die Warnmeldungen an den Andministrator abzuschalten, um dann die Hash-Werte der Passwörter auszulesen.

Der zweite Angriff gehört in die Rubrik Cross Site Scripting (XSS). Der eingebaute CSRF-Schutz (Cross Site Request Forgery) von WordPress hat einen Fehler, sodass ein Angreifer einem eingelogten Benutzer oder Administrator URLs so unterschieben kann, dass die darin enthaltenen Befehle mit seinen Rechten ausgeführt werden.

Weiterhin wurden kleine Verbesserungen vorgenommen (siehe auch wordpress.org, englisch):

Here’s what’s new:

• The aforementioned security fixes.
• HTML quicktags now work in Safari browsers.
• Comments are filtered to prevent them from messing up your blog layout.
• Compatibility with PHP/FastCGI setups.

For developers, there’s a new anti-XSS function called attribute_escape(), and a new filter called “query” which allows you filter any SQL at runtime. (Which is pretty powerful.) Thanks to Mark Jaquith for handling this release and Stefan Esser for responsibly reporting the security issue.

Die aktuelle (englischsprachige) Version steht als ZIP-Archiv unter wordpress.org[2] zum Download bereit. Auch die DE-Edition kann zwischenzeitlich als aktualisiertes Komplett-Paket sowie als Paket mit den geänderten Dateien heruntergeladen werden: blog.wordpress-deutschland.org

An einigen Stellen gab es Hinweise, dass es nach dem Update auf WordPress 2.0.6 Probleme mit den RSS-Feeds und dabei speziell mit den über Feedburner realisierten Feeds gab. Auch wenn hier im Blog bei der Umstellung alles glatt lief, finden sich jedenfalls weitere Informationen für Betroffene unter jowra.com sowie unter markjaquith.wordpress.com (englisch).

Und noch ein Hinweis – diesmal für die “Ressourcensparer”: Das Plugin WP-Cache 2.0 (mnm.uib.es/gallir) zur Zwischenspeicherung der Blog-Seiten gibt es mittlerweile in der Version 2.0.21 (siehe auch mnm.uib.es/gallir[2]). Das erinnert mich daran, dass ich wohl etwas häufiger auf Aktualisierungen bei den Plugins achten sollte…

(u.a. via www.perun.net, bueltge.de, www.golem.de)

Der norwegische Browser Opera ist in der Version 9.1 erschienen und wartet nun unter anderem mit einem datenbankbasierten Phishing-Schutz auf, der Nutzer in Echtzeit vor betrügerischen Webseiten schützen soll.

Und auch bei www.heise.de klang es harmlos:

Neben diversen Bugfixes enthält Opera 9.10 einen überarbeiteten Phishing-Schutz. Ist dieser aktiviert, sendet er die URLs der besuchten Sites an einen Opera-Server, der sie mit einer Datenbank von bekannten Phishing-Sites abgleicht. Ist die Site dort verzeichnet, blockiert Opera den Zugriff.

Allerdings hat offenbar Opera auch stillschweigend zwei durchaus heikle Fehler behoben (siehe auch www.golem.de[2]:

Wie erst jetzt bekannt wurde, korrigiert der aktuelle Browser zwei Sicherheitslücken. Beide Sicherheitslecks können von Angreifern zum Ausführen von Programmcode missbraucht werden. Während das eine Sicherheitsloch bei der Anzeige von jpeg-Bildern zuschlägt, tritt das andere bei der Darstellung von SVG-Daten auf.

Eine detailliertere Darstellung der Fehler findet sich unter www.heise.de[2], während leider im Changelog unter www.opera.com[2] (englisch) bis heute kein Hinweis auf die beiden durchaus kritischen Fehler zu finden ist.

Wer also Opera noch nicht aktualisiert hat, sollte dies zeitnah tun. Und es lohnt sich offenbar, den Browser regelmäßig nach Updates suchen zu lassen. Dies ist scheinbar auch deshalb nötig, da sich dies nicht automatisieren läßt – oder habe ich einfach die entsprechende Option nicht gefunden?

The latest in our venerable 2.0 series, which now counts over 1.2 million downloads, is available for download immediately, and we suggest everyone upgrade as this includes security fixes.[...]

What’s new? We have about 50 or so bugfixes, which you can review on our dev tracker here, mostly minor bug fixes around feeds, custom fields, and internationalization.

Die offizielle Liste enthält 56 behobene Fehler und ist unter trac.wordpress.org (englisch) abrufbar. Die aktuelle englischsprachige Fassung kann man unter wordpress.de herunterladen.

Und auch für Nutzer der (deutschsprachigen) WordPress.de-Edition wird es wohl nicht mehr lange dauern (siehe auch blog.wordpress-deutschland.org):

Weitere Infos und die DE-Edition werden wir so schnell wie möglich nachreichen.

Wie bisher werde ich die aktuelle DE-Edition abwarten, um dann zu aktualisieren. Wer es eilig hat, findet aber z.B. bei Robert unter www.basicthinking.de/blog eine Schnellanleitung für das empfehlenswerte Update.

(u.a. via www.heise.de, www.golem.de)

Update 02.11.06, 16:37 Uhr:
Nun gibt es auch die DE-Edition von WordPress in der Version 2.0.5 (siehe auch blog.wordpress-deutschland.org[2]):

• Die komplette DE-Edition herunterladen: wordpress.de[2]
• Zip-Archiv mit den gegenüber der Version 2.0.4 geänderten Dateien herunterladen: counter.wordpress-deutschland.org

Und das Update hat hier im Blog (bisher) auch ohne Probleme geklappt

Seit einiger Zeit verfolge ich daher mit wachsender Sorge die aktuelle Entwicklung in Sachen “Wahlcomputer” (eine lesenswerte Zusammenfassung findet sich übrigens bei DonDahlmann unter don.antville.org). Und auch die vom Chaos Computer Club vorgelegte, vernichtende Analyse der Wahlcomputer der Firma Nedap (siehe auch www.ccc.de) trug nicht zu meiner Beruhigung bei.

Insofern kann ich nur sehr nachdrücklich an alle Leser appellieren, sich an der aktuell stattfinden Petition zur “ersatzlose Streichung des § 35 Bundeswahlgesetz (Stimmabgabe mit Wählgeräten)” zu beteiligen – wenn euch euer Stimmrecht lieb ist:

Online-Petition: itc.napier.ac.uk

Und ja: Es handelt sich um die offizielle “Adresse” des Petitionsausschusses des Deutschen Bundestages…

Der Chaos Computer Club bring es abschließend unter www.ccc.de[2] auf den Punkt:

Die faktische Nichtüberprüfbarkeit der Auszählung einer Computerwahl durch den Bürger verletzt die fundamentalen Grundsätze der Demokratie in Deutschland und muss daher unterbunden werden. Einzig eine Wahl mit Zettel und Stift kann von normalen Bürgern mit einfachen Mitteln überprüft werden. Die DDR-Oppositionsbewegung hat dies im Mai 1989 eindrucksvoll bewiesen.

In den letzten 24 Stunden sind übrigens mehr als 2.000 neue Unterzeichner hinzugekommen (aktueller Stand 12:29 Uhr: 3.015 Personen), aber auch dort gilt: Jede Stimme zählt!

(u.a. via www.golem.de, www.golem.de[2])

Andreas war auf eine Sicherheitslücke des Dienstleisters gestossen, die wohl “34.000 Userdaten” offenbarte, und hatte den Betreiber über das Leck informiert. Mit der unter dittes.info/blog geschilderten Reaktion wird er aber wohl nicht gerechnet haben:

Probleme gab es am nächsten Tag dann auch, denn der Geschäftsführer von Unister, Thomas Wagner, hat mich angerufen und mich in einem alles andere als freundlichen Ton darauf aufmerksam gemacht, dass ich mich mehrfach strafbar gemacht hätte und man mich mit Klagen überschütten würde, sobald ich einen Beitrag über die Sicherheitslücke oder in irgendeiner Form negativ über Unister berichten würde.

Dabei meinte Herr Wagner in den eingangs genannten Beiträgen einige schwere Rechtsverletzungen erkannt zu haben. Man würde aber alle meiner 800+ Beiträge prüfen lassen, um auch dort Rechtsverletzungen aufgreifen zu können. Als Student kann ich mich ja eh nicht wehren, wenn eine Flut von Klagen mir die Augen öffnet.

Man gehe daher davon aus, dass man weder bei mir im Blog noch sonstwo im Web auf einen Beitrag zu der Sicherheitslücke von Unister stoßen wird. Ich könne mir ja überlegen, ob ich mich als kleiner Student auf eine Rechtsstreit einlassen wolle, bei dem ich eh keine Chance habe.

Die von Unister “bemängelten” Artikel scheinen aus meiner (im Zweifelsfall laienhaften) Sicht unproblematisch zu sein. Eine ähnliche Einschätzung von Udo Vetter (www.lawblog.de) gibt Andreas auch unter dittes.info/blog wieder:

Beim Überfliegen der Artikel konnte ich viele Tatsachenbehauptungen erkennen. Wenn die stimmen – ok. Ansonsten Meinung, die ist zulässig. Schmähkritik, die verboten wäre, habe ich nicht gefunden.

Über das Sicherheitsloch haben Sie noch nichts geschrieben, richtig? Selbst das wäre aber zulässig, wenn die dortigen Behauptungen belegbar sind.

Die angemessene Reaktion von Unister wäre sicherlich eine kleinlaute Rückmeldung a la “Oh Gott! Vielen Dank für den Hinweis, wir werden das schleunigst beheben” gewesen. Anscheinend legt aber der Betreiber Wert auf ein anderes Verständnis von Kommunikation.

Thomas Knüwer hat Anfang des Jahres in einem durchaus vergleichbaren Fall den Begriff der “Kollerkommunikation” geprägt (siehe auch blog.handelsblatt.de/indiskretion):

Kollerkommunikation, die; Zwang, seine Meinung öffentlich kundzutun mit der absehbaren Folge der eigenen Bloßstellung in der Öffentlichkeit; ausgelöst durch Frustration, Ärger oder/und Wut über eine Person, die eine andere Meinung äußert als der Kollerkommunizierende; K-K tritt in vielen Formen auf, besonders verbreitet ist sie mündlich und schriftlich.

So ganz greift diese Definition hier allerdings nicht, da sich die beschriebenen Aussagen nun wirklich nicht nur auf den Aspekt der Meinungsäußerung beschränken lassen. Insofern scheint sich hier eher ein neuer Begriff abzuzeichnen:

Kontrakommunikation, die; der kontraproduktive Versuch, andere durch einen drohenden Tonfall zum Stillschweigen bzw. zur Rücknahme getroffener Aussagen zu bringen mit der absehbaren Folge, das exakte Gegenteil der verfolgten Absicht zu erreichen; ausgelöst durch Frustration, Ärger oder/und fehlerhafte Einschätzung der Rechtslage und der Widerstandskraft der kontrakommunizierten Personen; K. tritt in vielen Formen auf, besonders verbreitet ist sie mündlich und schriftlich.

Aber vielleicht ist das ja alles auch ein Mißverständnis – Gedächtnisprotokolle können ja manchmal etwas ungenau sein. Ich würde mir jedenfalls wünschen, dass Robert mit seinen Überlegungen recht behält – und das Durchatmen doch noch stattfindet (siehe www.basicthinking.de/blog):

Wenn die Aussagen von Andreas den Tatsachen entsprechen, wovon ich ausgehe, kann ich die Reaktion des Chefs von Unister absolut nicht nachvollziehen. Erstens entzieht sich damit ein Web-Startups jeglicher Kundenunterstützung und zweitens muss man doch damit rechnen, dass sich das wie ein Lauffeuer ausbreiten wird. Jeder kann mal einen schlechten Tag haben und mehr als nur laut werden. Aber dann sollte man tief durchatmen, sich vor dem Kunden zehnmal wegen der Lautstärke, dem Tonfall und Drohaussagen verbeugen und hoffen, dass der die Entschuldigung akzeptiert. Alles andere wäre Selbstzerstörung. Ich verstehe das einfach nicht.

Ich auch nicht. Und ich hoffe für alle Beteiligten, dass ich hier bald ein entwarnendes Update bringen kann…

Update 03.10.06, 18:01 Uhr:
Wie Thomas Wagner per Kommentar mitteilt, gibt es nun eine “Gegendarstellung” (siehe unten bei Kommentaren):

“Um diese Diskussion wieder auf eine sachliche Ebene zu bringen, haben wir unter der folgender URL eine Gegendarstellung, inkl. vollständiger Emailkommunikation mit Herrn Dittes und genauer Beschreibung des Fehlers, veröffentlicht”

Ich bin nach einer ersten Lektüre skeptisch, ob die Gegendarstellung dem Anspruch gerecht wird, die Diskussion wieder auf eine “sachliche Ebene” zu bringen. Das hauptsächlich kritisierte – und offenbar sehr unterschiedlich wahrgenommene – Telefongespräch wird jedenfalls nur mit einer halben Seite (des sechsseitigen Dokuments) bedacht.

Offenbar geht es Unister darum, die Situation zu beruhigen – was ich nachvollziehen kann. Ob diese Gegendarstellung das geeignete Werkzeug darstellt, wage ich allerdings zu bezweifeln. Einige der Aussagen von Unister hinterlassen – zumindest bei mir – eher den Eindruck, dass Andreas Dittes diskreditiert werden soll. Und sofern andere dies ähnlich wahrnehmen, dürfte dies sicherlich nicht zur Deeskalation führen.

Aber letztendlich sollte jeder selbst die Gegendarstellung lesen und sich seine eigene Meinung bilden. Das oben von mir gewünschte “entwarnende Update” dürfte jedenfalls noch etwas auf sich warten lassen – und es ist auch nicht gerade wahrscheinlicher geworden. Schade eigentlich

Update 06.10.06, 23:10 Uhr:
Erfreut stosse ich gerade bei Andreas im Blog auf das erhoffte “entwarnende Update” (siehe auch dittes.info/blog[2]):

Ich habe mich am gestrigen Donnerstag mit Anja Kazda, Pressesprecherin von Unister, unterhalten. Es hat mich gefreut, dass Unister auf eigene Initiative nun das Gespräch gesucht hat. Ziel war es, unsere Kommunikationsschwierigkeiten zu analysieren.

Wir sind wirklich weit gekommen und der Streit ist somit beigelegt.

Gut, dass man gelegentlich Konflikte auch ohne Anwälte lösen kann