Weder Fisch noch Fleisch

Die „Plattform” fisch+fleisch beschreibt sich selbst wie folgt:

fischundfleisch (f+f) ist eine interaktive Meinungsplattform und Casting-Bühne, wo jeder Leser Texte, Fotos, Zeichnungen, Videos und Hörproben online stellen kann.

Wir wollen sehr viel! Wir wollen verändern, aufrütteln, aufdecken, mutig sein, schnell sein, frech sein, stark sein, Neues schaffen, vernetzen, unterhalten, eine Community bilden und Spaß haben.

Mutig ist das Team von f+f auf jeden Fall. So gibt es weder für die Registrierung der User – die notwendig ist, um Kommentieren zu können und die nach Geburtsdatum und anderen persönlichen Daten fragt – noch auf der Administrationsseite des verwendeten Redaktionssystems Joomla 3 eine zeitgemäße TLS (früher: SSL) Verschlüsselung.
[Anm. 2014-12-01: Die URL wurde mittlerweile geändert, TLS gibts aber noch immer keins]

Nicht nur, dass laut § 14 DSG 2000 sicherzustellen ist, dass „die Daten Unbefugten nicht zugänglich sind”, sollte es gerade für das aus dem Journalsimus-Bereich kommenden Team von f+f in der post-Snowden Ära selbstverständlich sein, dass alle Daten nur verschlüsselt übertragen werden und nicht wie derzeit bei f+f unverschlüsselt im Klartext für alle zum Mitlesen.

Warum man zumindest die Registrierung und Anmeldung mit TLS absichern will, habe ich bereits (sogar mit Video) unter „Wie man WordPress unsicher installiert” und „Wordpress unsicher betreiben” geblogged. Das dort geschriebene ist 1:1 auch auf Joomla anwendbar.

tl;dr: Wenn keine TLS-basierte Verschlüsselung (das nette Schloß oben in der Adresszeile des Browsers) aktiviert ist, werden Dein Passwort, Geburtsdatum und alle anderen Daten, die Du im Browser eintippst unverschlüsselt zum Server von f+f übertragen. Auf dem Weg dazwischen (z.B. in WLAN vom Starbucks) kann jede Person diese Daten abgreifen.

Neben den „Top-Journalisten” hätte sich das Team rund um Silvia Jelincic (früher „Format”) auch einen Top-IT-Fuzzi leisten sollen, um zumindest ein gewisses Mindestmaß an IT-Sicherheit bei der Verarbeitung der personenbezogenen Daten sicherzustellen. Hier hätte es sich IMHO ausgezahlt, eines der Honorare, die für die prominenten Experten ausgegeben wurden, in eine nicht prominente, dafür aber kompetente IT-Fachperson zu investieren. In einer Stunde hätte diese Person bereits TLS halbwegs sauber hinstellen können (und ein TLS-Zertifikat gibts von StartSSL auch schon ab EUR 0,–).

Was mich auch sehr verwundert hat ist, dass dieses Sicherheitsproblem offensichtlich keine(r) der von f+f verpflichteten IT-ExpertInnen aufgefallen ist bzw. diese gestört hätte.
Neben IT-Journalismus Urgestein Helmut Spudich (jetzt T-Mobile, IIRC) und Social Media Queen Judith Denkmayr (digitalaffairs) finden sich hier auch Markus Höfinger (CEO und Gesellschafter Österreich der PXP Wundermann) sowie Oliver Holle (Founder of SpeedinvestIT) und Wieland Alge (IT Security veteran. Politischer Neuling als Neos Kandidat in Tirol.).
Also zumindest bei Hr. Höfinger und Hr. Alge hätte ich mir erwartet, dass die Alarmglocken schrillen.

Also nochmal in aller Deutlichkeit:

  1. Wer 2014 oder später eine neue Website/Projekt/Internetseite/… online stellt und nicht zumindest bei der Anmeldung/Registrierung zeitgemäße Verschlüsselung einsetzt, die dem gängigen Stand der Technik entspricht, handelt grob fahrlässig und kann froh sein, dass derartige Vergehen in Österreich von der zahnlosen Datenschutzbehörde nicht geahndet werden.
  2. „Kein Budget” ist keine Ausrede/Erklärung für das Weglassen der oben erwähnten Verschlüsselung. Die Server-Konfiguration macht ein erfahrener Admin/Consultant vermutlich in unter einer Stunde, die Zertifikate kann man selber rechnen oder z.B. von StartSSL kostenlos beziehen.
  3. Und wenn ihr Euch schon die TLS Verschlüsselung anseht, denkt auch mal drüber nach, ob die persönlichen Daten (Geburtsdatum, …) in der Datenbank hinter dem Joomla-Frontend auch ausrechend geschützt (also verschlüsselt) abgelegt wurden.

 

P.S.: Zur vorläufigen Ehrenrettung von f+f muss man erwähnen, dass die von Woman kommende „fischundfleisch-Social-Media-Queen” auf Twitter recht schnell reagiert hat und vom aktuellen Dienstleister zumindest mal die Joomla-Admin-URL ändern ließ. Mal schaun, wie schnell sie TLS implementieren (normalerweise dauert das max. eine Stunde).

Tagged as: , , , | Author:
[Sonntag, 20141130, 21:09 | permanent link | 0 Kommentar(e)


Links from 2014-11-29

William Gibson On the Apocalypse, America, and The Peripheral’s Ending (mild spoilers)

My greatest pleasure in reading science fiction is to experience that [cognitive dissonance] and be lost, completely unsure about what’s going on in the narrative. But by hanging in and analyzing the information that the author is giving me it starts to click. For me the pleasure is when it starts to make sense.

Tagged as: , | Author:
[Sonntag, 20141130, 04:00 | permanent link | 0 Kommentar(e)


What A Beautiful Noise

Wikipedia says about „White Noise”:

The effects of white noise upon cognitive function are mixed. Recently, a small study found that white noise background stimulation improves cognitive functioning among secondary students with attention deficit hyperactivity disorder (ADHD), while decreasing performance of non-ADHD students. Other work indicates it is effective in improving the mood and performance of workers by masking background office noise, but decreases cognitive performance in complex card sorting tasks.

I like it and there are a lot of days when I need some sound in the background, but music would be too distracting. So instead of going to a coffee shop, I can now turn on an app.

There are (amongst others):

And of course you can get that on Gnu/Linux from the command line:

sudo apt-get install sox
play -n synth 60:00 whitenoise

 

It’s a beautiful noise Made of joy and of strife Like a symphony played By the passing parade It’s the music of life

– Neil Diamond

Tagged as: , , , | Author:
[Samstag, 20141129, 16:44 | permanent link | 0 Kommentar(e)


Links from 2014-11-18

The Internet of Someone Else’s Things

“The Internet Of Things is coming. Rejoice! …Mostly. It will open our collective eyes to petabytes of real-time data, which we will turn into new insights and efficiencies. It will doubtless save lives. Oh, yes: and it will subtly redefine ownership as we know it. You will no longer own many of the most expensive and sophisticated items you possess. You may think you own them. But you’ll be wrong.

Tagged as: , | Author:
[Mittwoch, 20141119, 04:00 | permanent link | 0 Kommentar(e)


The new „Have you tried turning it off an on again?”

The new „Have you tried turning it off an on again” for the app age is:

Inspired by:

Tagged as: , , | Author:
[Montag, 20141103, 08:08 | permanent link | 0 Kommentar(e)


Zu den Nebenwirkungen vom Einsatz von Clouddiensten in Unternehmen ...

… befragen sie am Besten die TU Wien.

Die haben nämlich für die Terminplanung ihres Gesundheitstages 2014 auf den Cloud-Dienst „Doodle” gesetzt.

Und jetzt kann den entsprechenden Anmeldelinks ganz bequem entnommen werden, welche TU Mitarbeiter und Mitarbeiterinnen welche medizinischen Checks in Anspruch genommen haben.

Screenshot TU Wien Doodle

Aber mit ELGA wird das ja dann sowieso alles noch viel besser und zu verbergen haben wir ja auch alle nix, oder?

Tagged as: | Author:
[Sonntag, 20141102, 20:16 | permanent link | 2 Kommentar(e)


FHs - Ich bin (wieder mal) enttäuscht

Wer mich kennt weiß, dass ich kein großer Freund der Fachhochschulen (aka. ausgelagerte Aus- und Weiterbildungsabteilungen der Unternehmen) bin. Ein Ereignis in den letzten Wochen hat mich darin wieder bestätigt.

Ich hatte beruflich mit ein paar FH Studenten im ersten Studienabschnitt (jetzt nennt man das ja Bachelor) zu tun. Im Zuge des Gesprächs kamen wir dann zu der Frage, welche Programmiersprachen sie denn gelernt hätten.

Meine Erwartungshaltung war hier Python, Ruby, JavaScript ev. sogar ein bißchen was exotischeres wie Go oder Swift. Aber ich wurde herb enttäuscht. Lediglich Java und C# wurden von den Studenten genannt.

Mir tun die Kids leid. Mit dieser „Ausbildung” landen sie dem Programmiererequivalent einer Salzmine – den EDV Abteilungen von Versicherungen und Banken, um deren legacy codebase zu pflegen.

Ceterum censeo FH esse delendam.

Tagged as: , , , | Author:
[Sonntag, 20141102, 11:14 | permanent link | 3 Kommentar(e)


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Me, Elsewhere

Tag Cloud

2007, 2blog, 2do, 2read, a-trust, a.trust, a1, accessability, acta, advent, age, ai, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, basteln, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, coding, collection, command line, commandline, computer, computing, concert, conference, copyright, covid19, css, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, development, devops, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, downloads, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, education, Ein_Tag_im_Leben, elga, email, encryption, essen, EU, eu, event, events, exchange, Extensions, fail, fedora, feedback, film, firefox, flash, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, git, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, IBM, ibm, ical, iCalendar, image, innovation, intel, internet, internet explorer, iot, iphone, ipod, isp, it, IT, itfails, itfailsAT, itfailsDE, java, javascript, job, jobmarket, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, linux, Linux, linuxwochen, linuxwochenende, live, living, living, lol, london, lost+found, lotus, Lotus, lotus notes, Lotus Notes, lotusnotes, LotusNotes, lotusphere, Lotusphere, Lotusphere2006, lotusphere2007, lotusphere2008, Lotusphere2008, lustig, m3_bei_der_Arbeit, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, microsoft, Microsoft, mITtendrin, mITtendrin, mobile, mood, motivation, movie, mp3, multimedia, music, musik, männer, nasa, nerd, netwatcher, network, netzpolitik, news, nokia, Notes, notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, performance, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, press, presse, privacy, privatsphäre, productivity, programming, protest, public speaking, qtalk, quintessenz, quote, quotes, radio, rant, rant, recherche, recht, release, review, rezension, rezension, rip, rss, science, search, security, server, settings, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, smtp, SnTT, social media, software, sony, sound, space, spam, sprache, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, summerspecial, sun, surveillance, sysadmin, talk, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, thunderbird, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, ui, uk, unix, update, usa, usb, vds, video, video, videoüberwachung, vienna, Vim, vim, vintage, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, workshops, wow, writing, wtf, wunschzettel, Wunschzettel, www, xbox, xml, xp, zensur, zukunft, zukunft, zune, österreich, österreich, övp, übersetzung, überwachung

AFK Readinglist