Links from 2024-02-21

Voyager 1: Death, Lonely Death

In December 2023, Voyager started sending back gibberish instead of data. A software glitch, though perhaps caused by an underlying hardware problem; a cosmic ray strike, or a side effect of the low temperatures, or just aging equipment randomly causing some bits to flip.

The problem was, the gibberish was coming from the flight direction software — the operating system, as it were. And no copy of that operating system remained in existence on Earth.

Tagged as: , , , | Author:
[Donnerstag, 20240222, 05:00 | permanent link | 0 Kommentar(e)


Links from 2024-02-18

Kriminelle Hacker greifen die NZZ an: das Protokoll der Krise

Die NZZ wurde im vergangenen Frühjahr Opfer eines solchen Angriffs und hat sich dazu entschieden, die Hintergründe publik zu machen. Dass die meisten angegriffenen Unternehmen schweigen, spielt den Erpressern in die Hände. Ein Angriff gilt als Versagen. Dabei kann es jeden treffen. Die NZZ ist überzeugt, dass die Lehren aus dem eigenen Cyberangriff anderen Firmen helfen können, sich vor Ransomware-Banden zu schützen.

Charles Proteus Steinmetz, the Wizard of Schenectady | History| Smithsonian Magazine

… he asked for a ladder, climbed up the generator and made a chalk mark on its side. Then he told Ford’s skeptical engineers to remove a plate at the mark and replace sixteen windings from the field coil. They did, and the generator performed to perfection.

Henry Ford was thrilled until he got an invoice from General Electric in the amount of $10,000. Ford acknowledged Steinmetz’s success but balked at the figure. He asked for an itemized bill.

Steinmetz, Scott wrote, responded personally to Ford’s request with the following:

  • Making chalk mark on generator $1.
  • Knowing where to make mark $9,999.

Ford paid the bill.

With the rise of AI, web crawlers are suddenly controversial

For decades, robots.txt governed the behavior of web crawlers. But as unscrupulous AI companies seek out more and more data, the basic social contract of the web is falling apart.

Tagged as: , , , , , , , | Author:
[Montag, 20240219, 05:00 | permanent link | 0 Kommentar(e)


Dark Patterns in der „Digitales Amt” App

Dieser Tage habe ich mir jetzt auch den Zugriff auf den bei der A minus Trust gespeicherten Private Key meiner so genannten „Handy-Signatur” auf die „ID Austria mit Vollfunktion” ändern („upgrade” würde ich das nicht nennen) lassen, nachdem ich schon im Herbst von der „Handy Signatur” auf die „ID Austria Basisfunktion” gewechselt bin (also von der alten A minus Trust Handy-Signatur App zur „Digitales Amt” App des BMI). Die „Freischaltung” der Vollfunktion habe ich bewusst nach hinten geschoben, da ich (a) die „eAusweise” App (ja, eAusweise gehen nicht mit der „Digitales Amt” App) nicht vorhabe zu nutzen und (b) wie erwartet am letzten Umstellungstag die Serverkapazitätten im Bundesrechenzentrum, dem IT-Dienstleister des Bundes, nicht ausgereicht haben:

Baghdad Bob Meme mit der Beschriftung: Das Bundesrechenzentrum verzeichne derzeit keine Überlastung

Das Bundesrechenzentrum verzeichne derzeit keine Überlastung, und die Systeme laufen stabil, hieß es am Vormittag. […] Am frühen Nachmittag folgte dann die Erklärung, dass es doch zu einer hohen Serverlast gekommen sei,…

Funktioniert hat das dann dieser Tage auch überraschend problemlos. Nicht zuletzt, da ich das Pseudo-Sicherheitsfeature „Biometrie” mit Fingerabdruck und nicht mit der Gesichtserkennung konfiguriert hatte. Damit konnte ich die Probleme des Möchtegern-Innsbruck-Bürgermeisters Staatssekretärs für Digitalisierung, Florian Tursky umgehen.

Nachdem ich nun stolzer Besitzer einer „ID Austria mit Vollfunktion” bin, hab ich mir auch die die Signaturkarte mit aktivierter Bürgerkartenfunktion / e-Card mit Bürgerkartenfunktion / Handy-Signatur / eIDAS / ID Austria / Digitale Amt App mal genauer angesehen.

Screenshot der 'Digitales Amt' App, mit Posteingangs-Notifikation, der geöffneten 'Sie sind noch nicht zu Mein Postkorb registriert' Nachricht.

Seht ihr das weiße Rufzeichzeichen in dem roten Kreis, das über dem Briefkuvert-Symbol angezeigt wird? Klickt eins auf dieses Symbol, wird „Mein Postkorb” angezeigt. Mit der Nachricht

Sie sind noch nicht zu „Mein Postkorb” registriert.

und einem großen „Registrieren” Knopf. Die Meldung kann eins nur über das „X” rechts oben schließen. Und die Notifikation – das Rufzeichen im roten Kreis – geht auch nicht weg, wenn eins die Meldung gelesen hat, die bleibt da.

In Fachkreisen bezeichnet eins so etwas als „Dark Pattern”. Wikipedia definiert dies wie folgt:

Ein Dark Pattern ist ein Benutzerschnittstellen-Design, das darauf ausgelegt ist, den Benutzer zu Handlungen zu verleiten, die dessen Interessen entgegenlaufen. […] Zudem lassen sich Dark Patterns auch aus Sicht der Verhaltensökonomie beschreiben: Danach handelt es sich um „Designs, die Verhaltensanomalien ausnutzen und den Nutzer so zu einem für ihn nachteiligen Verhalten steuern“

Konkret handelt es sich hier um „Fake Notifications”, „Notifications as a dark pattern” und Nagging. Darauf werden wir gleich noch genauer eingehen.

Screenshot der 'Digitales Amt' App Startseite, mit der 'Mein Postkorb - Jetzt registrieren' Meldung prominent plaziert.

Auch auf der Startseite der „Digitales Amt” App (siehe den Screenshot oben) versuchen BMI und BMF die BenutzerInnen dazu zu drängen, „Mein Postkorb” zu aktivieren, ohne dass auf die Konsequenzen, … verwiesen wird. „Mein Postkorb” wird mit dem „Jetzt registrieren” Button so prominent vor allen anderen „Services” plaziert, dass die Wahrscheinlichkeit einer „Fehlbedienung sehr hoch ist - ein klassisches „Dark Pattern”.

Screenshot der 'Digitales Amt' App Profilseite. Warum hat das Manderl einen grünen Haken?

Die „Dark Pattterns” gehen auf der Profilseite (siehe oben) weiter. Das „Personen-Icon” hat einen grünen Haken, der nicht weggeht, auch wenn eins auf die Profil-Seite geht. Das fällt unter „Confirmshaming” und impliziert darüber hinaus durch den Farbakzent, dass der/die UserIn etwas „Neues” unter Profil hat bzw. dort etwas durchzuführen wäre – ganz schlechte UX/UI.

Screenshot des Profil_icons der 'Digitales Amt' App

Warum das Icon für das BenutzerInnen-Profil unbedingt ein Mann mit Hitler-Seitenscheitel (oder ist das gar ein Schmiss?) sein muss, entzieht sich auch meinem Verständnis. Ich vermute einen „bedauerlichen Irrtum” und/oder „der Scheitel ist eh auf der anderen Seite”. Traurig ist das unter anderem auch deswegen, weil es mittlerweile zahlreiche Studien und Icon-Libraries gibt, die für solche Zwecke genderneutrale Symbole empfehlen und zur Verfügung stellen.

Aber zurück zu den „Dark Patterns”. Hier stellt sich die Frage, warum hier niemand im BMI und BMF die Verwendung dieser Dark Patterns unterbunden hat. Unter anderem auch im Lichte des vom Europäischen Datenschutzausschuss (European Data Protection Boards - EDPB) veröffentlichten Dokument „Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them”, welches in den Ministerien bekannt sein sollte. In den „Guidelines” heißt es unter anderem:

“deceptive design patterns” are considered as interfaces and user journeys implemented on social media platforms that attempt to influence users into making unintended, unwilling and potentially harmful decisions, often toward a decision that is against the users’ best interests and in favour of the social media platforms interests […]. Deceptive design patterns aim to influence users’ behaviour and can hinder their ability to effectively protect their personal data and make conscious choices

Ein Dark Pattern, das sich auch in den EDPB Guidelines wiederfindet, ist:

Stirring affects the choice users would make by appealing to their emotions or using visual nudges.

Using wording or visual elements (such as style, colours, pictures or others) in a way that confers the information to users in either a highly positive outlook, making users feel good, safe or rewarded, or in a highly negative one, making users feel scared, guilty or punished. Influencing the emotional state of users in such a way is likely to lead them to make an action that works against their data protection interests.

Ich denke, das beschreibt ziemlich genau, was BMI und BMF mit dem UI der Digitales Amt App machen. Die EDPB zählt auch auf, welche Artikel der DSGVO diese Dark Patterns verletzten:

  • Principles of transparency and fairness: Article 5 (1) a
  • Transparent information: Article 12 (1)
  • Exercise of rights: Article12 (2)
  • Informed consent: Article 7 in conjunction with Article 4 (11)

Ich mein, genug Zeit wäre ja gewesen. Im Dezember 2020 hieß es: 15.11.2021 - Tag X: Umstellung auf ID Austria Vollbetrieb.. Und im April 2021 gab es dann sogar noch einen temporären Entwicklungs-Stopp bestimmter Teilbereiche innerhalb Projekts:

Sobald wir geklärt haben, wann wir mit unseren Aufgaben wieder starten können, respektive ein Re-Planning durchgeführt wurde, werden wir Sie umgehend über den neuen Zeitplan mit den aktualisierten Meilensteinen informieren …

Ich mein, in so einem professionell gemanagedten Projekt (Go-Live war dann ja schlussendllich 2023-12-15) wäre doch genug Zeit gewesen, diese Dark Patterns zu vermeiden.

Ich werde die Tage auch mal BMI und BMF direkt anschreiben und mal nachfragen, was sie dazu meinen.

 

Und um auch gleich der Frage vorzugreifen, was ich denn für ein Problem mit „Mein Postkorb” hätte:
Prinzpiell keines. Du musst nur wissen, was das bedeutet. Hinter „Mein Postkorb” versteckt sich nämlich die elektronische Zustellung („eZustellung”). Prinzpiell ein nettes Konzept, welches das „Recht auf elektronischen Verkehr” für Bürgerinnen/Bürger technisch umsetzt. Natürlich mit allen Rechten und Pflichten. So sind alle NutzerInnen im Teilnehmerverzeichnis eingetragen, das von Behörden und Zustellsystemen (Unternehmen) abgefragt werden kann. Nachweisliche Nachrichten (entsprechen postalischen RSa-/RSb-Briefen) gelten am ersten Werktag nach Verständigung an die eigene E-Mail-Adresse/die eigenen E-Mail-Adressen als zugestellt. Das BMF warnt in diesem Zusammenhang:

Es empfiehlt sich, „Mein Postkorb” regelmäßig auf Zustellungen zu überprüfen. Dies für den Fall, dass die an die hinterlegte E-Mail-Adresse/hinterlegten E-Mail-Adressen verschickte Information über eine erfolgte Zustellung in den Spam-Ordner verschoben wird oder das E-Mail-Postfach voll ist und die E-Mail dadurch nicht eingeht.

Erinnerung: SMTP ist „best effort” und garantiert keine Zustellung (vor allem nicht, wenn eins sich die neuen Maßnahmen von Google ansieht).
Will ich mich für terminlich relevante Zustellungen wirklich auf Mail-Notifikationen verlassen, bzw. täglich/wöchentlich aktiv die eZustellung kontrollieren und in einem weiteren Teilnehmer(keine Innen)verzeichnis aufscheinen?

Das ergibt für gewissen Berufsgruppen bzw. in bestimmten Lebenssituationen eventuell Sinn (bezw. haben sie eh schon den elektronischen Rechtsverkehr, …), für einen Großteil der Bevölkerung führt das nur dazu, dass die Zustellung von wichtigen Schriftstücken im Spam-Ordner versandet (so bereits mehrfach beobachtet). Ich persönlich sehe nicht ein, warum ich ein derartiges persönliches Risiko eingehen soll, um Behörden Geld zu sparen – vor allem, wenn die Behörden diese Lösung mit zwielichtigen Methoden versuchen zu puschen.

Tagged as: , , , , , , , | Author:
[Dienstag, 20240213, 08:00 | permanent link | 0 Kommentar(e)


FlyNet? Eher Fly-Ned!

Ich hatte im letzten halben Jahr zweimal die Möglichkeit zu versuchen, das FlyNet Service von Lufthansa/Austrian zu nutzen. Aus der Produktbeschreibung:

Den FlyNet Internetzugang bieten wir Ihnen auf ausgewählten Kurz- und Mittelstrecke in Kooperation mit der Deutschen Telekom an.
FlyNet Messaging: Bleiben Sie mit Apps wie WhatsApp, Facebook Messenger oder iMessage mit Freunden und Familie in Kontakt.
FlyNet Premium: Besonders geeignet für Social-Media-Kanäle, zum Surfen im Internet, Audio- und Video-Streaming sowie VPN-Dienste

Die Nutzung soll laut Lufthansa/Austrian sehr einfach sein:

  • WLAN auswählen
  • FlyNet Portal öffnen
  • Service-Paket kaufen

Und dann ist da die Realität:

Connecting to Unsecure Wi-Fi: You are connecting to the unsecured (open) Wi-Fi network Austrian FlyNet. Information sent is not encrypted and may be visible to others. Do you still want to connect?

Könnt Ihr Euch noch an diese „ungesicherten Netzwerke” erinnern? Das war so in den 00er Jahren und einer der Gründe für Account-Entführungen bei Facebook und VPN Nutzung in Kaffeehäusern und Co. zu empfehlen. Und wie es aussieht, macht Lufthansa nicht mal Opportunistic Wireless Encryption (OWE).

Na gut, wir ignorieren das mal und verbinden uns mal mit dem WLAN. Ich wollte sowieso mal wieder die Passwörter in den von mir genutzten Diensten durchrotieren. Also mal mit WLAN verbinden und das (erwartete) „Captive Portal” überspringen.

Please follow these steps to access the FlyNet portal: 1 Tap on

Wir geben also „austrian-flynet.com” in den Browser ein und … OH! NOES !!!

Firefox: Address Not Found page Chrome: This site can't be reached - DNS_PROBE_FINISHED_NXDOMAIN

Ich kann nicht „mit Apps wie WhatsApp, Facebook Messenger oder iMessage mit Freunden und Familie in Kontakt [bleiben]” (nicht, dass ich eine dieser Apps auch nur installieren würde).

Damit konnte jetzt niemand rechnen !!!!!111elf1111!!!!!!!
Wie kann das nur sein?!

Naja, die Product Owner, Seller und Marketing-Menschen bei Lufthansa haben anscheinend „neue” Privacy-Trends wie DNS over HTTPS (DoH) oder DNS over TLS (DoT) nicht am Radar und sind/waren der Meinung, dass alle Geräte auch die DNS server nutzen, die sie im ungesicherten WLAN via DHCP zugewiesen bekommen. Tja, dem ist nicht so. Vor allem nicht mit Android Geräten.

Android settings screen Network & Internet; Select private DNS mode: Automatic

Google hat DoT Unterstützung mit Android 9 (2018!) eingeführt und per default aktiviert. Apple hat DoT und DoH Unterstützung mit iOS 14 (2020) eingeführt, allerdings – soweit ich weiß – immer noch optional.

Und was lernen wir daraus: Wer Technik nicht versteht, macht kein Geschäft.

 

P.S.: Außerhalb des FlyNet WLANs zeigt „austrian-flynet.com” auf die Austrian Homepage.
P.P.S.: Ich empfehle gerne die DNS privacy services der Foundation for Applied Privacy.
P.P.P.S.: So why bother encrypting DNS queries when HTTPS is widely in use?
P.P.P.P.S.: ned = nicht

Tagged as: , , , | Author:
[Montag, 20240212, 08:00 | permanent link | 0 Kommentar(e)


Links from 2024-02-10

Why Bloat Is Still Software’s Biggest Vulnerability - IEEE Spectrum

In what follows, I try to make the same case nearly 30 years later, updated for today’s computing horrors. A version of this post was originally published on my personal blog, Berthub.eu.

Tagged as: , , , , , | Author:
[Sonntag, 20240211, 05:00 | permanent link | 0 Kommentar(e)


Links from 2024-02-09

Österreichischer Verwaltungsgerichtshof - Arbeitsmarktchancen-Assistenzsystem (AMAS) des AMS: Keine ausreichende Prüfung des BVwG, ob die automatisch errechneten Arbeitsmarktchancen maßgeblich für das Beratungsergebnis sind

Der VwGH hielt fest, dass unzweifelhaft ist, dass es sich bei Errechnung der Arbeitsmarktchancen durch das AMAS um "Profiling" handelt. Damit kann diese Art der Datenverarbeitung eine automatisierte Einzelfallentscheidungen im Sinne des Art. 22 DSGVO darstellen, die ohne eine gesetzliche Grundlage verboten wären. Dabei kommt es entscheidend darauf an, ob die Entscheidung der MitarbeiterInnen des AMS über die Zuordnung der arbeitssuchenden Personen maßgeblich von den automatisiert errechneten Arbeitsmarktchancen bestimmt wird.

Die Frage der Maßgeblichkeit der automatisch errechneten Arbeitsmarktchancen auf das Vorgehen der MitarbeiterInnen hatte das BVwG jedoch nicht geprüft. Wäre das Vorliegen einer automatisierten Einzelfallentscheidung zu bejahen, sei ferner die Frage zu stellen, ob eine gesetzliche Rechtfertigung für die Anwendung der automatisierten Entscheidungsfindung besteht, was ebenfalls nicht geprüft wurde.

Tagged as: , , , , , | Author:
[Samstag, 20240210, 05:00 | permanent link | 0 Kommentar(e)


Links from 2024-02-08

Von Regierung angekündigte Vergleichsplattform für Lebensmittel kommt wohl nicht

Im Mai des Vorjahres erklärte Kocher, dass sein Haus eine "kleine Datenbank der wichtigsten Lebensmittel des täglichen Bedarfs" andenke. Weiterreichende Ideen wie eine Preiskommission kamen für Türkis-Grün zwar nicht infrage, aber eine Art staatliche Preis-App am Handy solle immerhin für eine "bessere Vergleichbarkeit" sorgen, so Kocher. Überdies war die Rede von besseren Rahmenbedingungen für private Programmiererinnen und Programmierer, damit diese ähnliche Datenbanken anbieten können. Es geht dabei vor allem darum, dass die Privaten an die Preisinformationen der Supermärkte kommen.

All dies solle "so rasch wie möglich" kommen, so Kocher im Mai 2023. Konkret: noch im Herbst desselben Jahres. Die Preis-App oder ähnliche Maßnahmen sollten also bereits seit Monaten umgesetzt sein – tatsächlich gibt es bisher keine Spur davon.

Tagged as: , , , , , | Author:
[Freitag, 20240209, 05:00 | permanent link | 0 Kommentar(e)


Links from 2024-02-04

Niklaus Wirth, "A Brief History of Software Engineering" (2008)

It is unfortunate that people dealing with computers often have little interest in the
history of their subject. As a result, many concepts and ideas are propagated and
advertised as being new, which existed decades ago, perhaps under a different
terminology. I believe it worth while to occasionally spend some time to consider the
past and to investigate how terms and concepts originated.

Tagged as: , , , , , , | Author:
[Montag, 20240205, 05:00 | permanent link | 0 Kommentar(e)


Links from 2024-01-31

Ask Microsoft: Are you using our personal data to train AI?

We had four lawyers, three privacy experts, and two campaigners look at Microsoft’s new Service Agreement, and none of our experts could tell if Microsoft plans on using your personal data – including audio, video, chat, and attachments from 130 products, including Office, Skype, Teams, and Xbox – to train its AI models.

If nine experts in privacy can’t understand what Microsoft does with your data, what chance does the average person have? That’s why we’re asking Microsoft to say if they’re going to use our personal data to train its AI.

Tagged as: , , , , , | Author:
[Donnerstag, 20240201, 05:00 | permanent link | 0 Kommentar(e)


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Me, Elsewhere

Tag Cloud

2007, 2blog, 2do, 2read, a-trust, a.trust, a1, accessability, acta, advent, age, ai, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, basteln, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, coding, collection, command line, commandline, computer, computing, concert, conference, copyright, covid19, css, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, development, devops, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, domino, Domino, Douglas Adams, download, downloads, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, education, Ein_Tag_im_Leben, elga, email, encryption, essen, eu, EU, event, events, exchange, Extensions, fail, fedora, feedback, film, firefox, flash, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, git, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, ibm, IBM, ical, iCalendar, image, innovation, intel, internet, internet explorer, iot, iphone, ipod, isp, IT, it, itfails, itfailsAT, itfailsDE, java, javascript, job, jobmarket, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, Linux, linux, linuxwochen, linuxwochenende, live, living, living, lol, london, lost+found, Lotus, lotus, lotus notes, Lotus Notes, lotusnotes, LotusNotes, lotusphere, Lotusphere, Lotusphere2006, lotusphere2007, lotusphere2008, Lotusphere2008, lustig, m3_bei_der_Arbeit, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, Microsoft, microsoft, mITtendrin, mITtendrin, mobile, mood, motivation, movie, mp3, multimedia, music, musik, männer, nasa, nerd, netwatcher, network, netzpolitik, news, nokia, notes, Notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, performance, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, press, presse, privacy, privatsphäre, productivity, programming, protest, public speaking, qtalk, quintessenz, quote, quotes, radio, rant, rant, recherche, recht, release, review, rezension, rezension, rip, rss, science, search, security, server, settings, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, smtp, SnTT, social media, software, sony, sound, space, spam, sprache, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, summerspecial, sun, surveillance, sysadmin, talk, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, thunderbird, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, ui, uk, unix, update, usa, usb, vds, video, video, videoüberwachung, vienna, Vim, vim, vintage, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, workshops, wow, writing, wtf, wunschzettel, Wunschzettel, www, xbox, xml, xp, zensur, zukunft, zukunft, zune, österreich, österreich, övp, übersetzung, überwachung

AFK Readinglist