Gerade noch ein kurzes Anschreiben an die MdBs aus meinem Wahlkreis verfasst und ich poste das mal hier zum Ideenklauen. Zeigt euren Politikern (ja, es sind eure Politiker), dass ihr mit den aktuellen Entwicklungen nicht einverstanden seid. Und nein, twittern reicht nicht für die Internetausdrucker…

Update: Hier gibt es die Liste von Abgeordneten nach Wahlkreis.

Sehr geehrte(r) Herr/Frau XXX,

ich bin ein Berliner Bürger und Bewohner Ihres Wahlkreises.
Mit großer Sorge betrachte ich die momentane Diskussion um die momentan noch freiwillige, bald aber wohl verpflichtende Zensur von Internetseiten im Zeichen der Bekämpfung von Kinderpornographie. Dieses Vorhaben hilft leider nicht gegen die Herstellung von Kinderpornographie, sondern ermöglicht es, diese auszublenden und im Verborgenen weiter zu gedeihen. Gleichzeitig aber führt die technische Sperrung von Webseiten dazu, dass nicht technisch versierte Benutzer nur noch einen zensierten Zugriff auf das World Wide Web haben werden.

Dass sich in der Sperrliste nur Seiten befinden werden, die direkt Kinderponrographie beinhalten kann wegen der mangelnden Kontrolle nicht garantiert werden und ist angesichts der aktuellen Änderung der Beschlussvorlage für das Gesetz, in dem nicht mehr davon die Rede ist, dass die Seite auch tatsächlich kinderpornographisches Material enthalten muss, unglaubwürdig. Hier besteht die Gefahr, dass weitere “unliebsame” Seiten unzugänglich werden, was mit meinen demokratischen Grundverständnis nicht vereinbar ist.

Problematischerweise werden gerade die Personen unter der Zensur leiden, die keine umfassenden technischen Kenntnisse haben um die Sperrmechanismen zu umgehen. Technisch versierte Benutzer und Menschen, die ein erhöhtes Interesse haben, diese Sperrmechanismen zu umgehen, können dies ohne Weiteres tun. Dadurch wird ein Informationsnachteil für Laien etabliert, der nicht mit demokratischen Prinzipien vereinbar ist.

Die Regelungen für eine effektive Strafverfolgung rechtswidriger Inhalte ist bisher schon gegeben und bedarf keiner Zensurmaßnahmen. Wenn man die Adressen der Seiten hat, die rechtswidriges Material zur Verfügung stellen, kann man dies durch eine Mitteilung an den Betreiber der Seite entfernen lassen und im Falle einer absichtlichen Bereitstellung Strafmaßnahmen einleiten.

Mich würde Ihre Position zum Thema interessieren und hoffe, dass Sie zum gegebenen Zeitpunkt der Gesetzesvorlage in der jetzigen Form nicht zustimmen werden, da diese die Informationsfreiheit gefährdet und nur Zeichen politischen Aktionismus ist und somit in keiner Weise geeignet ist, Verbrechen wie die Herstellung von Kinderpornographie zu bekämpfen.

Mit freundlichen Grüßen,
Florian Thiel

Thomas Stadler vom Internet-Law Blog schreibt, dass die Beschlussvorlage für den neuen §8 TMG (das ist der Paragraph, der Internet-Filterung mittels Sperrlisten zum Gesetz macht) eine kleine aber zu allerlei bösen Hintergedanken anregende Änderung enthält: Es müssen jetzt alle Seiten, die sich in der Sperrliste finden, blockiert werden. Bisher war noch zusätzliche Voraussetzung, dass die Seite tatsächlich Kinderpornographie beinhaltet.

Gleiches Muster wie immer, nur richtig plump. Versprechen, dass es ja “nur um Kinderpornographie” geht und dann Grundlagen schaffen, die eben nicht auf ebendies beschränkt sind.

Hat jemand eine Erklärung für diese Änderung, die nicht auf ein umfassendes Zensurvorhaben hinausläuft?

Zur Zurräsonrufung der Internetausdrucker waren heute morgen um 9 immerhin schon knapp 500 Leute erschienen. Vielleicht wird das ja wirklich noch was…

• Flickr: Mein Zensursula-Set
  • Zensursula-Tag bei Flickr
• SpOn mit Hintergründen (Gastbeitrag von c’t-Autoren)
  • SpOn über den Beschluss
• Der CCC zum Thema
• Vorbereitung bei Netzpolitik.org

Aus aktuellem Anlass können WikiLeaks und die Medienfreiheit in Deutschland ein bißchen Werbung gebrauchen. Besucht doch bitte rege die Alternativseite http://www.wikileaks.org, spendet, lest den Handelsblatt-Artikel zum Thema oder kommt am nächsten Freitag zur Mahnwache gegen wirkungslose Beschneidung der Freiheit (aka “Filterlisten”).

Danke, Ende der Durchsage!

Ich bin gestern über die neue Gesichtserkennungs und Tagging-Funktion in Googles Picasa gestolpert. Ich fasziniert, gleichzeitig ist mir unheimlich. Für diejenigen, die das noch nicht kennen: Googles Online-Foto-Album kann alle eigenen, online gestellten Bilder nach Gesichtern durchsuchen. Die kann man dann mit Namen und Mail-Adresse (Google-Mail-Adressbuch) verknüpfen. Dabei werden ähnliche Gesichter automatisch gruppiert, man kann sie also gemeinsam einer Identität zuweisen.

Die Bedienung ist komfortabel, es gibt automatische Vervollständigung der Adressbucheinträge und Vorschläge über Ähnlichkeiten in schon getaggten Bildern.

Big deal, Foto-Taggen kann Facebook auch? Falsch!

• Facebook benutzt (so weit ich weiss) keine Gesichtserkennung und die Markierung funktioniert nur mit von Hand gesetzten Quadraten. Es werden keine Bilderkennungsverfahren eingesetzt, es entsteht nicht mehr Information, als dass eine Person auf einem Bild ist. Man kann also nach Bildern mit bestimmten Personen (innerhalb von Facebook) suchen, mehr nicht.
• Google stellt durch die Gesichtserkennung eine Verbindung zwischen einem Muster (dem Gesicht) und einer Identität (Name+Mail bzw. Adressbucheintrag) her. Diese Information lässt sich prinzipiell dafür nutzen, ausreichend getaggte Personen (am Besten in verschiedenen Posen) in allen öffentlich zugänglichen Bildern zu finden. Die Muster, die Google sammelt, wären bestimmt auch nützlich, um automatische Personenerkennung für Überwachungskameras zu realisieren.
• Wenn man (zufällig) auf einem Bild ist (Google erkennt auch Bilder im Hintergrund und bietet diese zum Taggen an), muss man damit rechnen, getaggt zu werden. Man verliert die Kontrolle über die eigene Findbarkeit. (Auch wenn man die Personen, die zufällig im Hintergrund stehen nicht kennt und somit nicht taggt, sind diese möglicherweise von jemand anderem getaggt worden; es ist ein Leichtes für Google, die Bilder zu verknüpfen)

Google hat prinzipiell die Möglichkeit, die entstehenden Verknüpfungen zu nutzen, um auch alle Personen auf den Bildern zu erkennen, die Google sich im Web ercrawlt. Für mich stellt das eine neue Dimension des Privatspäreverlustes dar, weil selbst nicht-netzaffine Personen, die kein Material über sich selbst veröffentlichen, auf einmal im Netz per Bild auffindbar sind.

Ich glaube nicht, dass Google Böses mit den anfallenden, sehr wertvollen Daten vorhat. Aber alleine die Existenz dieser Daten birgt eine gewisses Risiko. Google sagt, dass es sich an geltendes Recht in den Staaten halten wird, in denen es operiert. Und wenn wir dann den nächsten Kinderschänderfall haben und “die Regierung” (oder der Volkszorn in Form der “Bild”) Google unter Druck setzt, Daten, die angeblich zur Verfolgung hilfreich sind, freizugeben…

Und jetzt? Alle Bekannten und Verwandten taggen? Weil das so praktisch ist. Oder lieber sein lassen? Die Verantwortung für seine Entscheidung muss jeder selber tragen.

The Computer Security department of TU Berlin kindly agreed to host a presentation about my diploma thesis on Tuesday, Dec 18th. I was able to talk to a very technically versed audience about my (not so) new technical approach to XSS and SQLIA (“let the framework take care of it”). Thanks a lot, guys!

Despite the fruitful discussion I’m still not sure about the feasibility of a “rich types in frameworks” solution. There’s not too much to be gained over a conservative approach used in e.g. Django (escape everything, use other markup languages than HTML).

Nevertheless, here’s the presentation…

Ausdrucksschwache Sprache

Ein Business-Model definiert man üblicherweise in einer Sprache, die ausdrucksfähig genug dazu ist. Wieso bildet die ActiveRecord Implementation bei Ruby on Rails dann ausgerechnet einfach das Datenbankschema ab? In SQL99 gibt es zwei numerische Typen, drei Datumstypen und Strings. Wie bitte schön kann ich ausdrücken, dass ein Attribut eine E-Mail Adresse ist? Oder eine Postleitzahl?

Überall, wo die Postleitzahl benutzt wird, muss der Entwickler aufpassen, dass diese auch ja wohlgeformt wird. Das ist eine klassische Aufgabe, die man dem Framework überlassen will. Aber das Modell ist hat keine ausreichende semantische Tiefe.

Das richtige Ende

Django benutzt ebenfalls ActiveRecord, allerdings andersrum. Die Modell-Definitionen sind Python-Code, aus denen das Datenbankschema generiert wird. Hier hat man die komplette Ausdrucksfähigkeit von Python. Man könnte Validierungslogik und komplexe Bedingungen (“dieses numerische Feld darf nur Primzahlen enthalten”) formulieren.

Leider werden diese Möglichkeiten in Django noch nicht ausreichend genutzt. Nur einfache Typen wie Email oder Längenbeschränkungen können ausgedrückt werden. Für alles Andere muss wieder jeder Entwickler eine eigene Lösung finden und dabei Fehler machen.

Wiederverwendung

Damit die armen Entwickler von Webanwendungen nicht dazu verdammt sind, die immer gleichen Fehler wieder und wieder zu machen, sollte ein Framework auch eine Bibliothek von vordefinierten Datentypen (Name, Telefonnummer, URL, TextMitHTML) haben, die dann “sicher” in einer Anwendung verwendet werden können. Filterung, Validierung und Konvertierung (z.B. nach (X)HTML, JSON usw.) wären dann zentral definiert, vergessene Escapes (die einen grossen Teil der Injektionsattacken ausmachen) wären dann Schnee von gestern.

Fazit

• In Web-Applikationen könnte man viel mehr Funktionalität in das Applikationsframework auslagern, wenn man mehr über die Typen wüsste.
• Modelliere in der ausdrucksstärkeren Sprache, nicht im kleinsten gemeinsamen Nenner.

Die wunderbaren Neuseeländer von Fat Freddy’s Drop waren gestern in der Columbiahalle. Und es hat sich gelohnt. Von pumpendem Elektro über Roots-Reggae bis zu sanften Klängen, dazu die grossartige Stimme von Joe Dukie. Alles hat gepasst.

Alle acht Musiker sind technisch gut, die Songs grooven ohne Ende. Und offensichtlich hat Fat Freddy’s Drop das schönste und sinnlichste Publikum der Welt. Großartig!

I’m in the process of writing my Diploma Thesis about how to prevent injection-related (XSS and SQLIA) vulnerabilities at the Software Engineering working group of the computer science department at Freie Universität Berlin.

For now, there’s not much to see here. Please have a look at the wiki page about my thesis and a concept presentation I gave at the department on 11/06/2008:

Check back soon, I’ll update the page with early draft versions of the thesis. There will also be articles about selected topics of my research in the blog.

Am letzten Wochenende war BarCampBerlin3 in der Telekom-Hauptstadtrepräsentanz. Kurzzusammenfassung:

• Im Web2.0 findet die Finanzkrise nicht statt
• Twitter!
• die Hauptstadtrepräsentanz ist toll
• T-Systems sucht über 200 qualifizierte Leute (Ingenieure, Projektmanager, Senior Developer)
• Macs sind out, der eeePC ist in
• Lebensmittelstartups sind das nächste große Ding (Müsli, Kaffee, Schokolade, Saft)
• Vorträge sind auf Englisch, auch wenn der Sprecher das nicht kann
• Man fragt nicht nach dem Namen sondern nach dem Twitter Handle
  • und dann nach dem Startup…
• viele nette und vor allem motivierte Leute