Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 14 2012

Facebook – Milliardengeschäft Freundschaft

In der ARD lief gestern die groß angekündigte 45 Minuten lange Dokumentation “Facebook – Milliardengeschäft Freundschaft“. Ich bin nach rund 20 Minuten Facebook-Werbeclip eingeschlafen, was aber eher mit der späten Sendezeit zu tun hatte. Der letzte Teil soll etwas kritischer sein. Auf jeden Fall gibt es den Clip auf Youtube (Kleine Ironie der Geschichte):

February 08 2012

Das gebrochene Datenschutz-Versprechen bei Path.com

Path.com ist ein Soziales Netzwerk, das nur mobil auf iOS und Android-Smartphones funktioniert. Die Idee ist relativ einfach: Man hat nur höchstens 150 Freunde, mit denen man Fotos, Videos, Musik und Statusmeldungen tauschen kann. Vor allem zu Facebook mit seinen komplexen und unverständlichen Datenschutzeinstellungen wollte man sich abgrenzen: Path sei einfach, komfortabel und datenschutzfreundlich. Die Einfachheit von Path war wohl ausschlaggebend, warum der Dienst bisher, nach eigenen Angaben, mehr als eine Million Nutzer sammeln konnte.

Dumm, dass jetzt jemand rausfand, dass bei einer Anmeldung bei Path.com erstmal das iPhone im Hintergrund das komplette Adressbuch nach Hause telefoniert. Was man als Friendfinder vielleicht von Facebook kennt (Abgleich des Adressbuches mit einer Onlinedatenbank) ist wohl bei iOS problemlos durch wenige Zeilen Code möglich. Aus Nutzersicht ist es inakzeptabel, dass Apple sowas überhaupt ohne Rückmeldung und Opt-In zulässt. Und natürlich ist es eine Frechheit, dass Path dies einfach so macht ohne nachzufragen und um Erlaubnis zu bitten. Path versucht jetzt zu retten, was zu retten ist und verweist darauf, dass das ausspionieren so nicht geplant war und man auch eher ein Feature anbieten wollte.

Was bleibt: Ein Dienst, der heimlich im Hintergrund meine Daten ausspioniert, lasse ich nicht mehr auf mein Smartphone. Abmelden geht über ein Webformular, wenn man auf path.com eingeloggt ist.

Reposted bymondkroetecoloredgrayscalepascalmh

January 23 2012

Dradio Wissen: Dezentrale Soziale Netzwerke

Soziale Netzwerke wie Facebook, StudiVZ oder Google+ haben eines gemeinsam: Sie sind zentral organisiert und werden jeweils von einer einzigen Firma beherrscht. Bei Deutschlandradio Wissen sprach Torsten Grote von der Free Software Foundation Europe heute (MP3) über sinnvolle Alternativen in Form von dezentralen sozialen Netzwerken. Im Gegensatz zu ihren zentralisierten Pendants laufen diese mit Freier Software auf vielen verschiedenen Servern, die auf Basis Offener Standards ein gemeinsames Netzwerk bilden. Damit hat kein Server-Betreiber die alleinige Macht über die sozialen Interaktionen und die Daten aller Teilnehmer, sondern lediglich über die Daten auf seinem Server. In Kombination mit Freier Software und Ende-zu-Ende Verschlüsselung wird diese Macht weiter reduziert.

Bei Netzwerken wie Facebook hat eine Firma alle Macht über die Plattform. Das gesamte Erscheinungsbild sowie auch die Nutzungsbedingungen können nach Belieben der Firma jederzeit geändert werden. Inhalte können zensiert und Menschen von der Teilnahme ausgeschlossen werden. Wer nicht mitmachen will, wird zunehmend sozial isoliert. Auf alternative soziale Netzwerke wechseln und trotzdem die sozialen Kontakte mitnehmen ist unerwünscht und deswegen sehr schwer. Facebook bestimmt also was möglich ist und was nicht. Neben dem vendor lock-in tritt hier noch social lock-in auf, der noch viel gefährlicher ist.

Initiativen wie Diaspora und Friendica haben es sich zum Ziel gesetzt, derartige Plattform-Monokulturen aufzubrechen und soziale Interaktion soweit zu öffnen, dass sie nicht an Plattformen gebunden ist, sondern frei vernetzt stattfinden kann. Das wichtigste dabei ist ein Offener Standard, der technisch definiert, wie die Kommunikation zwischen verschiedenen sozialen Knoten ablaufen muss. Für Statusnachrichten gibt es bereits OStatus , aber für alles andere wie Fotos und Veranstaltungen muss sich noch ein Standard durchsetzen. Dabei möchte die vom FoeBuD gestartete Initiative Social Swarm helfen. Nachdem ein Standard gefunden und die Technologie gereift ist, soll eine Kampagne Bewusstsein schaffen und Benutzer zum Umstieg motivieren.

Wirklichen Erfolg in der ganzen Gesellschaft wird solch ein dezentrales soziales Netzwerk aber wahrscheinlich nur haben, wenn die heutigen Platzhirsche ihre Plattformen für andere soziale Knoten öffnen und sich mit ihnen über gemeinsame Offenen Standards verbinden. Ob sie das freiwillig tun werden, darf bezweifelt werden. Vielleicht wird es am Ende auch eine Frage der Politik sein, das Facebook-Monopol zu brechen. Eine Möglichkeit wäre es, Facebook zu verpflichten, sich anderen soziale Knoten zu öffnen. Alle anderen sozialen Netzwerke wie Xing, Google+ oder LinkedIn müssten sich dann ebenfalls anschließen. In einer solchen Entwicklung wären die Benutzer wieder frei, selbst zu entscheiden, mit welcher Software sie auf welchen sozialen Knoten zugreifen und wie sie ihre verschiedenen Identitäten dort mit anderen verknüpfen.

Das wir ein dezentrales soziales Netzwerk als globalen Standard brauchen, steht außer Frage. Die Frage ist nur, wann wir es bekommen werden. Hilf mit bei SocialSwarm oder den anderen Initiativen, damit es schneller geht.

Der Artikel ist von Torsten Grote (FSFE) übernommen.

December 18 2011

Wikileaks startet Soziales Netzwerk “Friends of WikiLeaks”

Wikileaks hat mit wlfriends.org ein Soziales Netzwerk namens “Friends of WikiLeaks (FoWL)” gestartet, um Unterstützer zu sammeln und zu vernetzen. Ein Manifest beschreibt den Sinn und Zweck:

Die Veröffentlichung von Informationen die die Interessen von korrupten Organisationen aufdecken wird immer aggresive Reaktionen verursachen. Diejenigen, die solche Informationen der Welt übermitteln oder ihre Verbreitung gegen Zensurversuche unterstützen sind Angriffen ausgesetzt. Öffentliche Unterstützung schützt Organisationen wie Wikileaks durch die Anerkennung ihres moralisch legitimen Anliegens als Grundlage ihrer Aktivitäten. Dies zu unterstützen ist der Ansatz von FoWL.

FoWL wurde aufgebaut um Unterstützung (sei er materieller Form, durch Öffentlichkeitsarbeit oder in anderer Form von Solidarität) jedem zukommen zu lassen, der sich aufgrund der Veröffentlichung von Informationen zur Erwirkung einer gerechteren Gesellschaft in Gefahr befindet.

Seit seiner Gründung sind viele kleine Gruppen zur Unterstützung von Wikileaks entstanden. Sie haben sich ohne globalen Zusammenhang geformt und nur eine kleine Fraktion der Leute, die Wikileaks unterstützen haben einen Weg gefunden gemeinsam die Organisation praktisch zu verteidigen. FoWL wird diese Leute, Gruppen und Organisationen vernetzen, so dass sich Synergien ergeben können und wir gemeinsam produktiv und effizient arbeiten können. Wir wollen, dass die existierenden dezentralen Wikileaks Unterstützungs-Organisationen voll autonom, autark und unabhänging bleiben und weiterhin ihre Arbeit machen – gleichzeitig möchten wir sie vernetzen um gemeinsam an der Verwirklichung der Ziele zu arbeiten.

Die Mitglieder von FoWL können sich sammeln wenn Wikileaks oder seine Verbündeten angegriffen werden. Das Netzwerk kann diverse Wege für Aktionen und Maßnahmen aufbringen: juristische oder finanzielle Unterstützung für Aktivisten, Veröffentlichungen gegen Desinformation und Diskreditierungen, Koordination öffentlicher Demonstrationen. Was auch immer die Situation sein mag, es gibt für jeden etwas zu tun.

Eine Upload-Funktion für Whistleblower gibt es aber immer noch nicht.

April 01 2011

Der Tag: Ich poste, also bin ich – Das Ich im Netz

“Der Tag” auf hr2 berichtete vorgestern über “Ich poste, also bin ich – Das Ich im Netz”:

Freundschaften schließen, Anerkennung finden, in der Gruppe Spaß haben und alle, die nicht dazugehören, so richtig gemein fertig machen. Diese alten Lieblingsbeschäftigungen der Menschheit bereiten noch einmal so viel Vergnügen im Internet. Denn das ist für viele längst nicht mehr nur Lexikon, Dienstleister und Kommunikationsmittel, sondern ein sozialer Raum: ein Ort, an dem wir eine private und berufliche Existenz führen. Vor allem in sozialen Netzwerken hat unser digitales Ich erfreuliche Möglichkeiten, sich auszubreiten, seinen Marktwert zu testen und zu steigern und sich zu vernetzen. Es wird aber auch verwundbarer: durch Tratsch und anonymes Mobbing.

Hier ist die MP3.

(via)

flattr this!

March 07 2011

Weltkarte der Sozialen Netzwerke 2011

Eine schöne Infokarte zum aktuellen Stand der Ausbreitung von Sozialen Netzwerken in verschiedenen Regionen der Welt hat RIA Novosti veröffentlicht: The world map of social networks.

Während die Dominanz von Facebook und die Dominanz einzelner uns eher unbekannter Netzwerke in China, Brasilien und Russland klar sind, wundert mich zumindest die kleine Auflistung für Deutschland. Dort werden lediglich Facebook, Twitter und Xing aufgelistet, während SchülerVZ, StudiVZ und Wer kennt wen fehlen. Vor allem die ersten beiden dürften noch mehr Nutzer als Twitter in Deutschland haben. Aber das weiß man wohl in Russland nicht.

(via)

flattr this!

Reposted bypenpen penpen

February 21 2011

20 Sicherheitslücken in Social Networks

Vorgestern ging socialnetworksecurity.org an den Start. Die Autoren haben dort 20 Sicherheitslücken in verschiedenen Social Network Sites dokumentiert, von denen bisher nur eine als “gefixt” markiert ist. Unter anderem sind XING, Facebook und Wer-kennt-wen betroffen. Meistens handelt es sich um XSS-Lücken, aber bei Wiealt.de gibt es zum Beispiel auch eine (m. E. noch peinlichere) SQL-Injection-Möglichkeit. Ganz interessant dürften auch die Möglichkeiten zum Passwort-phishing über Einbinden von Access-geschützten Ressourcen sein.

Alle Lücken sind mit einer Erklärung und einem Proof-of-Concept-Request dokumentiert. Die anonymen Betreiber schreiben:

Die Hauptziele dieses Projektes sind, den Benutzern von sozialen Netzwerken aktuell vorhandene Sicherheitsluecken aufzuzeigen und ihnen Tipps mit auf den Weg zu geben, wie sie sich selbst schuetzen koennen – auf der anderen Seite sollen aber auch die Betreiber der sozialen Netzwerke hiermit aufgefordert werden, sich deren Gefahren endlich bewusst zu werden und proaktiv die Gesamtsicherheit ihrer Portale und somit auch die Sicherheit der Benutzerdaten zu steigern.

und rufen dazu auf, weitere Sicherheitslücken einzureichen, um Druck auf die Betreiber sozialer Netzwerke auszuüben:

Jetzt seid ihr an der Reihe proaktiv zu reagieren und euch mit vollem Engagement um die Sicherheit eurer Plattform und somit auch der Benutzerdaten zu kümmern.

Disclaimer: Ich habe keine Accounts bei den betroffenen Netzwerken und konnte die vermeintlichen Lücken daher auch nicht prüfen. Ich möchte auch nicht dazu aufrufen, sie zu missbrauchen – aber falls jemand die Proofs-of-Concept schon kurz getestet hat, freue ich mich über Bestätigung in den Kommentaren, dass die Seite kein Hoax ist.

flattr this!

Reposted byreturn13 return13

October 14 2010

Wie die amerikanische Regierung soziale Netzwerke überwacht

Als im letzten Jahr die Anzahl der Zuschauer im Internet bei Obamas Amtseinführung in Rekordhöhe stiegen, wurde der US-Regierung klar, dass sich hier eine Tür öffnete, um das Netz nach Gefahren für die nationale Sicherheit zu durchforsten. Es wurde daraufhin zum Amtsantritt Obamas im Department of Homeland Security’s (Heimatschutzministerium der Vereinigten Staaten, kurz DHS) die Abteilung „Social Networking Monitoring Center“ ins Leben gerufen, um Daten aus der öffentlichen Online-Kommunikation zu erheben und auszuwerten.

Die Electronic Frontier Foundation erhielt während eines Gerichtsverfahrens über die Kontrolle sozialer Netzwerke dank des Freedom of Information Acts (Informationsfreiheitsgesetz, kurz FOIA) bisher geheim gehaltene Dokumente, die zwei Arten der Online-Überwachung durch die amerikanische Regierung aufdecken:
Einerseits geschieht dies im Bereich der Staatsbürgerschaft und Einwanderung durch die Durchsuchung sozialer Netzwerke aller Anträge zum Erwerb von Staatsbürgerschaften. Andererseits werden soziale Netzwerke von dem speziell hierfür geschaffenen „Social Networking Monitoring Center“ überwacht. Das Center durchkämmte angeblich bereits eine Woche vor Obama’s Amtsantritt soziale Netzwerke nach Inhalten, die besondere Aufmerksamkeit erhalten. Populäre Inhalte wurden identifiziert und archiviert. Es wurde nach Trends gesucht, die eventuell eine Bedrohung für die nationale Sicherheit darstellen könnten.

Zu den Dokumenten, die gestern von der EFF hierzu veröffentlicht wurden, gehört ein Papier zur Überwachung der sozialen Netzwerke zum Amtsantritt Obamas:

DHS SNMC Inauguration Monitoring

Zudem veröffentlichte die EFF ein Memo der US-Einwanderungsbehörde (USCIS) mit dem Titel „Social Networking Sites and Their Importance to FDNS (Office of Fraud Detection and National Security)“ (pdf), in dem es heißt :

Narzisstische Tendenzen mancher Personen können den Wunsch entstehen lassen, dass eine große Gruppe „Freunde“ auf ihre Seiten verlinkt und sie virtuelle Freundschaftsanfragen von Personen annehmen, die sie nicht kennen. Dies ist ein exzellenter Vorteil für das FDNS, um den Alltag derjenigen zu überwachen, die die Staatsbürgerschaft erhalten oder erbitten und sich des Betrugs verdächtig gemacht haben.(…) Wenn ein Internetnutzer Inhalte online stellt, entsteht eine öffentliche Aufzeichnung und Zeitleiste ihrer Aktivitäten. Im Wesentlichen ist die Nutzung von Myspace oder anderen Seiten ähnlicher eines unangekündigten virtuellen „Seiten-Besuchs“ bei Empfängern oder Antragstellern.

Die beiden Artikel der EFF zu dem Thema sind hier und dort.

(Crossposting von vasistas?)

September 16 2010

Diaspora: die ‘gute’ Alternative zu Facebook

Der Quellcode des Open-Source Social Networks Diaspora wurde heute Nacht veröffentlicht.

Diaspora soll das privatsphären-sensible, persönlich kontrollierte, einmal alles, bitte!, open source Social Network (SN) werden. Damit berührt Diaspora alle hauptsächlich vorgetragenen Kritikpunkte an SN-Riesen wie Facebook.

Während Nutzer von Facebook per default einer groß angelegten kommerziellen Nutzung ihrer Daten zustimmen, und in ständiger Sorge sein müssen, dass sie irgendwelche zufällig über die Seite verteilten Häkchen zum Schutze ihrer Privatsphäre übersehen haben, sollen Diaspora-Nutzer eine zentrale Kontrolle über Ihre Daten bekommen, und die Daten selbst dezentral verteilt werden (daher der Name).

Ähnlich wie beim freien Blog-System WordPress sollen eigene Installationen, aber auch das Wahrnehmen von Hosting-Angeboten wie WordPress.com möglich sein. Der privatsphären-sensible Nutzer setzt also kurzerhand seine eigene Diaspora-Installation auf und hat dann über ihre Funktionen volle Kontrolle. Die Daten liegen auf dem eigenen Server, und der Quellcode ist vollständig bekannt.

Häh, was soll ich denn mit meinem eigenen Social Network? Die ‘eigene’ Installation wird in keiner Form abgeschnitten sein von allen anderen: Wie in jedem Social Network stehen alle Nutzer als potenzielle Freunde zur Verfügung. Das notification-Konzept kann man sich ähnlich vorstellen wie das der Trackbacks bei Blogs, oder XMPP bei jabber, die auch unabhängig vom jeweiligen Server sind. Selbstverständlich soll bei Diaspora alle Kommunikation verschlüsselt stattfinden.

Der Funktionsumfang von Diaspora soll außerdem beliebig durch Module erweiterbar sein. Das lässt auf viele sinnvolle, aber auch sinnlose zukünftige Features hoffen. Hier wird der Nutzer aber die Wahl haben.

Entwickelt (übrigens in Ruby) wurde Diaspora von Daniel Grippi, Maxwell Salzberg, Raphael Sofaer und Ilya Zhitomirskiy. Die vier wollten sich 3 Monate ihrer Vollzeitarbeit über die crowdfunding-Plattform Kickstarter finanzieren lassen. Dafür strebten sie sparsame $10.000 an, und bekamen sage und schreibe $200.641. Diese hohe Nachfrage lässt auch auf die zukünftig zu erwartende Nutzerbasis schließen, die bei Social Networks der alles entscheidende Punkt ist.

Glücklicherweise liegt dieser wichtige Aspekt zumindest teilweise in unserer Hand. Das Argument, dass man bei Facebook oder einem anderen kommerziellen Anbieter sei, weil es eben keine Alternative gebe, gilt nicht mehr wenn Diaspora an den Start geht.

So weit ist es aber leider noch nicht: Heute wurde nur der Quellcode offengelegt. Interessierte können über github die Entwicklung verfolgen oder daran teilhaben. Ein “richtiger” Alpha-Release ist für Oktober geplant. Bis dahin möchte man die Funktionen “Facebook Integration”, Internationalization und Data Portability eingebaut haben. Diaspora steht unter der GNU AGPL-Lizenz.

Reposted bymondkroetebrightbytecoloredgrayscalekrekkchrstnklb02mydafsoup-01mikeybertsofias

September 08 2010

Web 2.0 Selbstmord Maschine

Die Web 2.0 Suicide Machine war mir aus der legendären South-Park Episode “You have 0 friends” bekannt. Dass es sie aber wirklich gibt war bisher an mir vorbeigegangen.

Die Effizienz der Maschine ist atemberaubend: Die Zeitersparnis bewegt sich im Bereich mehrerer Stunden, und Facebook, Twitter, LinkedIn und Myspace werden abgedeckt.

Facebook hat schon eine Unterlassungsaufforderung geschrieben und mit rechtlichen Schritten gedroht, doch die Maschine selbstmordet unaufhaltsam weiter. Bis zum heutigen Tag hat sie 1,2 Mio Freunde entfolgt, eine halbe Million Tweets gelöscht, und über 4.000 digitale Identitäten um die Ecke gebracht.

Wer ist bereit, sie für uns zu testen? Nur Mut!

web 2.0 suicide machine promotion from moddr_ on Vimeo.

Reposted bymondkroetecliffordastridmaywrestler

August 24 2010

Arbeitnehmerdatenschutz: Lex Facebook mit Whistleblower-Rasterfahndung?

Der Referentenentwurf zum “Gesetz zur Regelung des Beschäftigtendatenschutzes“, aka Arbeitnehmerdatenschutzgesetz liegt nun in einer dritten Version vor. Thomas Stadler verweist auf eine Synapse (PDF) des Beck-Blogs, wo man die Weiterentwicklungen zwischen den Entwürfen betrachten kann.

Interessant ist im aktuellen Entwurf ein Punkt, der soziale Netzwerke betrifft:

„Bei Daten aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, überwiegt das schutzwürdige Interesse des Beschäftigten [gegen eine Datenerhebung]; dies gilt nicht für soziale Netzwerke, die der Darstellung der beruflichen Qualifikation dienen.“

In der Gesetzesbegründung heißt es: „Die dort [in sozialen Netzwerken] eingestellten Daten dürfen vom Arbeitgeber grundsätzlich nicht erhoben werden; eine Ausnahme gilt nur für soziale Netzwerke im Internet, die gerade zur eigenen Präsentation gegenüber potentiellen Arbeitgebern genutzt werden.“

Das wird natürlich in der Praxis spannend sein zu beobachten und Gerichte entscheiden zu lassen, wo da genau die Grenze ist. Irgendwo hab ich gelesen, dass Arbeitgeber aber bei Google schauen dürfen, was sie finden. Was ist dann aber mit Facebook-Nutzern, die ihr Profil für die Google-Suche freigeschaltet haben und ist Twitter ein Social-Network, was beruflich oder privat genutzt wird? Und wie überprüft man eigentlich, ob Arbeitgeber bei Facebook nachgeschaut haben? Mal schauen, ob das noch konkretisiert wird. Im Beck-Blog wird vermutet, dass dieser Punkt vor allem dazu da ist, dem Gesetz als “Lex Facebook” ein mediales Image zu verschaffen.

Vielleicht wird das ja gebraucht, um von anderen Dingen abzulenken, wie die Badische Zeitung berichtet: Neuen Regeln zum Datenschutz nützen teils den Firmen.

Im Interesse der Arbeitgeber ist auch die Zulassung verdachtloser betrieblicher Rasterfahndungen. Sie sollen etwa möglich sein zur Verhütung von Straftaten wie Korruption und Untreue. Dabei kann zum Beispiel ins Blaue hinein abgeglichen werden, ob Beschäftigte die gleiche Anschrift oder Kontonummer wie Zulieferer haben. Auch schwere Pflichtverstöße, wie die Weitergabe von Unternehmens-Interna an die Presse, sollen so aufgeklärt werden können, etwa indem geprüft wird, welche Arbeitnehmer im Dienst mit gut informierten Journalisten telefoniert oder Mails gewechselt haben. Bisher illegale Praktiken von Konzernen wie der Bahn wären künftig also zulässig.

Wie wäre es stattdessen mal mit einem besseren Whistleblower-Schutz, liebe Bundesregierung?

Reposted byurfinkrekkmondkroete

August 19 2010

Facebook-Places ausschalten

Facebook hat mal wieder einen neuen Service rausgebracht. Und Ihr könnt es schon ahnen: Das bedeutet wieder, dass man die Datenschutzeinstellungen erneut verbessern muss. Denn mit Facebook-Places kann man Allen mitteilen, wo man gerade ist und zusätzlich können Alle den Anderen mitteilen, dass man gerade irgendwo ist. Wer es braucht, wird damit vielleicht glücklich, alle anderen sollten unter Konto / Privatsphäre-Einstellungen die folgenden Einstellungen vornehmen:

Toller Service von Facebook, dass man darüber nicht informiert wird und den Service abschalten muss, anstatt danach gefragt zu werden, ob man denn den Service nutzen möchte.

Reposted bytookmondkroetecoloredgrayscale

June 03 2010

Montag: Unterausschuss Neue Medien tagt zu Social Networks und Ubiquitäres Computing

Am kommenden Montag, den 7.6., tagt der Unterausschuss Neue Medien des Deutschen Bundestages zu den Themen Social Networks und “Ubiquitäres Computing”*. Als Experten zum Thema “Social Networks” sind Clemens Riedl von StudiVZ und der Berline Landesdatenschutzbeauftragter Alexander Dix geladen. Als Vertreter des Büros für Technikfolgenabschätzung beim Deutschen Bundestag wird Peter Zoche vom Fraunhofer-Institut für System- und Innovationsforschung in Karlsruhe den Zukunftsreport „Ubiquitäres Computing“ (Bundestagsdrucksache 17/405) vorstellen.

Die Tagesordnung findet sich hier als PDF.

Bis zum 4. Juni 2010 kann man sich mit Namen und Geburtsdatum beim Sekretariat des Aus­schusses anzumelden (kulturausschuss@bundestag.de). Die Sitzung beginnt um 13 Uhr im Sitzungssaal 4.400 im Paul-Löbe-Haus. Bevor Fragen kommen: Ich hab keine Ahnung, ob es einen Live-Stream geben wird)

*Vielleicht sollte man sich entscheiden, beides englisch oder deutsch zu schreiben? Der Mischmasch klingt etwas komisch.

May 19 2010

EFF: A Bill of Privacy Rights for Social Network Users

Die Electronic Frontier Foundation diskutiert im Moment eine “Bill of Privacy Rights for Social Network Users“. Bisher gibt es wohl drei Punkte, die essentiell sind:

#1: The Right to Informed Decision-Making

Users should have the right to a clear user interface that allows them to make informed choices about who sees their data and how it is used. Users should be able to see readily who is entitled to access any particular piece of information about them, including other people, government officials, websites, applications, advertisers and advertising networks and services. Whenever possible, a social network service should give users notice when the government or a private party uses legal or administrative processes to seek information about them, so that users have a meaningful opportunity to respond.

#2: The Right to Control

Social network services must ensure that users retain control over the use and disclosure of their data. A social network service should take only a limited license to use data for the purpose for which it was originally given to the provider. When the service wants to make a secondary use of the data, it must obtain explicit opt-in permission from the user. The right to control includes users’ right to decide whether their friends may authorize the service to disclose their personal information to third-party websites and applications.

Social network services must ask their users’ permission before making any change that could share new data about users, share users’ data with new categories of people, or use that data in a new way. Changes like this should be “opt-in” by default, not “opt-out,” meaning that users’ data is not shared unless a user makes an informed decision to share it. If a social network service is adding some functionality that its users really want, then it should not have to resort to unclear or misleading interfaces to get people to use it.

#3: The Right to Leave

Users giveth, and users should have the right to taketh away.

One of the most basic ways that users can protect their privacy is by leaving a social network service that does not sufficiently protect it. Therefore, a user should have the right to delete data or her entire account from a social network service. And we mean really delete. It is not enough for a service to disable access to data while continuing to store or use it. It should be permanently eliminated from the service’s servers.

Furthermore, if users decide to leave a social network service, they should be able to easily, efficiently and freely take their uploaded information away from that service and move it to a different one in a usable format. This concept, known as “data portability” or “data liberation,” is fundamental to promote competition and ensure that users truly maintains control over their information, even if they sever their relationship with a particular service.

May 04 2010

VZ-Sicherheit: Keiner zuhause?

Es kann sicherlich viele Gründe haben, warum SchülerVZ auf die Hinweise von Florian Strankowski bezüglich der Möglichkeit eines massenhaften-maschinellen Auslesens nicht reagiert hat: Man hat die Mails übersehen, man hat bloß vergessen zu antworten (Beste Ausrede des Tages!) oder man dachte, dass man das Problem einfach aussitzen kann. Es könnte aber noch einen anderen Grund geben: Da ist gerade niemand für IT-Sicherheit zuständig. Wie uns zu Ohren kam, war dafür ein freies Team zuständig und das ist nun nicht mehr im Haus. Und eine Stelle für die IT-Sicherheit ist ausgeschrieben und noch unbesetzt. (Klingt für viele fitte Menschen vielleicht auch zu sehr nach Himmelfahrtskommando)

Welcher der Gründe nun zutrifft, ist unklar. Traurig ist aber, dass die VZ-Gruppe erst auf unsere Hinweise und den zu erwartenden öffentlichen Druck reagiert und neue Maßnahmen zur Erhöhung der Datensicherheit ankündigt. Wir wünschen viel Erfolg.

Netzpolitik-Interview: Hintergründe zum SchülerVZ-Datenleck

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

netzpolitik.org: Was war Deine Motivation, die Daten zu crawlen?

Florian Strankowski: Die Motivation bestand darin, nach den zig Interviews und Statements von Seiten VZ zu zeigen, dass im Endeffekt nichts unternommen worden ist, um die Daten der Nutzer effektiv zu schützen. Auch wollte ich aufzeigen, dass der TÜV in diesem Fall ein Zertifikat ausgestellt hat, das zwar schön aussieht, aber im Endeffekt etwas bestätigt, was so nicht der Fall ist. Die Daten der Nutzer waren nie sicher und sind derzeit nicht sicher vor Crawlern.

Ebenfalls haben sich einige meiner Kommilitonen amüsiert, als ich Ihnen meinen Vorschlag für den zu erbringenden Leistungsnachweis vorgestellt habe, einen Crawler zu schreiben. Ich muss hinzufügen, dass das Schreiben von Crawlern, egal für welchen Zweck, eine große Leidenschaft für mich ist, da ich es faszinierend finde, wie man Daten am effektivsten sammelt, verarbeitet und aufbereitet.

netzpolitik.org: Hast Du SchülerVZ kontaktiert?

Florian Strankowski: Ja. In zwei Mails habe ich in den vergangenen Wochen die VZ-Gruppe auf Sicherheitslücken hingewiesen und meine Hilfe angeboten. Auf beide Mails habe ich keine Reaktion erhalten

netzpolitik.org: Was war Deine Motivation, mit netzpolitik.org Kontakt aufzunehmen?

Florian Strankowski: Meine Motivation mit netzpolitik.org in Kontakt zu treten war es, ein Sprachrohr zu finden, welchem auch Gehör geschenkt wird. Auf meine Mails, welche ich im Rahmen der Responsible Disclosure zwei Mal an VZ geschickt habe, wurde ja nicht geantwortet. Bereits mit meinem Professor habe ich versucht, eine Lösung für den Weg der Veröffentlichung zu finden. netzpolitik.org ist und war für mich immer eine gute Anlaufstelle für aktuelle netzpolitische Thematiken (vor allem als es mit den Zensurplänen anfing). Auch wusste ich, dass Du in Deiner Funktion als Journalist die Möglichkeit hat, in diesem Fall zwischen den zwei Fronten zu vermitteln. Denn einerseits wollte ich den VZ-Netzwerken helfen, andererseits mich selbst aber keinem rechtlichen Risiko aussetzen.

Es wäre zu wünschen, wenn VZ sich mehr um seine Nutzer kümmern würde, vor allem um Mails die Problematiken aufzeigen, welche aber ignoriert werden. Es geht hier schließlich auch um den Ruf der VZ-Netzwerke.

netzpolitik.org: Wie bist Du vorgegangen?

Florian Strankowski: Kurz und Knapp: Jeden Schritt protokolliert (Live-HTTP-Header/ Firefox Addon), Sourcecode der Seiten analysiert, Login-, Logout-, Profilaufrufprozeduren analysiert und alles aufgeschrieben. Dann auf dem guten alten Blatt Papier (ich glaube es waren am Ende 10 Seiten) die Vorgehensweise in Form eines PAP (Programmablauf Plans) aufgeschrieben und letztendlich programmiert. Wie im Paper beschrieben, musste ich mich halt immer neu ein- und ausloggen. Das Erstellen der Accounts hat einige Zeit in Anspruch genommen (Habe hier jetzt knapp 800 Accounts). Dann nur noch Programm anschmeißen und abwarten.

netzpolitik.org: War das crawlen der Daten einfach?

Florian Strankowski: Jein. Da der Sourcecode von den VZ-Seiten recht unsauber ist, war es Anfangs eine Qual alle Regular Expressions zu schreiben, denn auch wenn man vermutet, dass der Aufbau einer Profilseite dem einer Anderen gleicht, ist dies leider nicht der Fall. Auch das letztendliche Crawlen war kinderleicht, nicht einer meiner 800 Accounts wurde gesperrt.

netzpolitik.org: SchülerVZ hat im letzten halben Jahr nach eigenen Angaben viel für eine bessere Sicherheit gemacht. War das ausreichend, bzw. was hat SchülerVZ Deiner Meinung nach falsch gemacht?

Florian Strankowski: Ich frage mich, ob das ein PR-Gag war. Es gab vielleicht mehr Informationen wie man die Privatsphäre seines Profils ändern kann (Tutorials & Co), jedoch wurden die temporär eingesetzten Captchas (reCaptcha) wieder entfernt, was ein großer Rückschritt war. Wie man in diesem Fall gut sieht, bringt die Limitierung von Aktionen pro Account nichts, denn man kann sich selbst ja immer wieder neu Einladen und somit unbegrenzt viele Accounts erstellen -> und somit Aktionen durchführen. Somit ist die derzeitige Lösung ungenügend. Warum der TÜV dies nicht bemerkt hat, verstehe ich jedoch nicht.

Falsch ist einfach die Herangehensweise an die Thematik. Wie ich Dir bereits geschildert habe, sind Profile in Gruppen sichtbar, obwohl sie privat sind, auf Bildverlinkungen stehen die Namen von Profilen, welche auch privat sind. Man kann doch einfach überprüfen, wie das Nutzerverhalten ist. Wenn man merkt, dass ein Nutzer am Tag und damit meine ich über Tage immer die knapp 2000 Aktionen damit verschwendet Profile aufzurufen, müssen die Alarmglocken doch mal klingeln.

netzpolitik.org: Warum hast Du nur 1,6 Mio Datensätze gesammelt?

Florian Strankowski: Ich hatte zwischenzeitlich weit über 2 Millionen Datensätze. Nach einer Optimierung des Codes habe ich jedoch einige Verworfen und habe bei einer Million wieder angefangen. Da mein Crawler jetzt “perfekt” ist und rundläuft, habe ich es dabei belassen. Wenn ich mit der Veröffentlichung eine Woche länger gewartet hätte, so hätte ich dann knappe 4-5 Millionen Datensätze – davon keiner doppelt. Eigentlich gab es noch eine Intention, mehr Datensätze zu sammeln als mein Vorgänger, aber nach der Optimierung habe ich das dann wieder verworfen, ich hatte ja schon > 2 Mio.

netzpolitik.org: Betrifft das Problem auch StudiVZ und MeinVZ, bzw. warum hast Du nur SchülerVZ genommen?

Florian Strankowski: Das Problem betrifft alle Netzwerke von VZ – denn alle basieren auf dem gleichen Code. Dies sieht man auch sehr schön im Quelltext! Daher war es so einfach einen Crawler für alle Netzwerke zu schreiben. Auf SchülerVZ traf meine Wahl, weil es hier besonders wichtig ist, die Daten der minderjährigen Nutzer zu schützen. Ich wage es kaum auszusprechen, aber wenn Millionen Daten von Minderjährigen in die falschen Hände geraten, kann schnell man etwas passieren und später will keiner die Schuld haben, auch nicht der TÜV.

Als Hintergrund zum aktuellen Datenleck bei SchülerVZ haben wir ein Interview mit Florian Strankowski von der Leuphana-Universität Lüneburg gemacht, der die Sicherheitslücken entdeckt hat.

Hier ist noch ein Video, was den Crawler bei der Arbeit zeigt (Nicht so spektakulär wie ein Hollywood-Film):

SchülerVZ-Crawler from netzpolitik on Vimeo.

Reposted byurfinmondkroete

March 25 2010

Stiftung Warentest testet Social Networks

Die Stiftung Warentest hat zehn Social Networks untersucht. Die Ergebnisse sind: Keines der untersuchten Social Networks ist ohne Mängel. Einen ausführlichen Testbericht gibt es auf der Webseite zu sehen: Datenschutz oft mangelhaft. Da finden sich auch die kompakten Ergebnisse.


Bei Jappy hat es nur eine Woche gedauert, den Passwortschutz zu umgehen – mit einfachen Mitteln: einem Computer und einer simplen, selbstentwickelten Software. Die Tester hätten jedes beliebige Nutzerkonto übernehmen und auf die gespeicherten Daten zugreifen können. Bei Stayfriends wäre es mit etwas mehr Aufwand ebenfalls möglich gewesen. Bei lokalisten und wer-kennt-wen.de hätten die Tester vor allem die Konten übernehmen können, die von den Nutzern mit einem zu einfachen Passwort versehen wurden. Auffällig ist der ungeschützte Zugang für mobile Endgeräte wie Handys bei allen geprüften Netzwerken, die dies bieten. Und das, obwohl hier dieselben Daten geschützt werden müssen.

Beim Datenschutz haben die meisten Netzwerke Mängel. So schränken Facebook, Myspace und LinkedIn die Rechte der Nutzer stark ein, genehmigen sich selbst aber weitreichende Rechte, vor allem bei der Weitergabe der Daten an Dritte. Zu welchem Zweck, sagen sie nicht. Bei Facebook zum Beispiel heißt es: „Du gibst uns eine nicht-exklusive, übertragbare, unterlizenzierbare, unentgeltliche, weltweite Lizenz für die Nutzung jeglicher IP-Inhalte, die du auf oder im Zusammenhang mit Facebook postest“. Unter IP-Inhalte ist das geistige Eigentum beispielsweise an Texten und Bildern gemeint.

March 18 2010

Vorsicht, Freund hört mit!

Die FAZ hat einen Artikel des Internet-Forschers Evgeny Morozov übersetzt: Vorsicht, Freund hört mit!

Sollten wir also die Finanzierung von Projekten der Demokratieförderung mittels Internet einstellen? Natürlich nicht. Selbst für einen Skeptiker wie mich sind die Vorteile unübersehbar. Nur sollten die Bemühungen um digitale Demokratie verbessert werden. Eine Möglichkeit bestünde darin, den Plattformen des digitalen Aktivismus – Twitter, Facebook und so weiter – ihre neuen globalen Verpflichtungen bewusstzumachen, zu denen die Notwendigkeit zählt, die ihnen von Regimegegnern anvertrauten Daten zu schützen. Andernfalls werden Cyberangriffe auf NGOs zunehmen. Wir im Westen sollten darauf vorbereitet sein, uns in solchen Fällen einzuschalten und die kritischen Stimmen zu unterstützen, indem wir ihnen unentgeltlich helfen, so schnell und sicher wie möglich wieder online zu sein.

Evgeny Morozov wird auch eine der Keynotes auf der re:publica 2010 halten. Das Thema lautet dafür: “A Twitter Revolution without revoluationaries? What we know and what we don’t know about the impact of the Internet on authoritarian states.”

Reposted bylydschi02mydafsoup-01

March 14 2010

Making Sense of Privacy and Publicity

Die Internetforscherin Danah Boyd hat auf der SXSW einen interessanten Vortrag über “Making Sense of Privacy and Publicity” gehalten und das Transcript ihrer Rede online gestellt. Hat jemand vielleicht einen Link zum Audio- oder Video-Mitschnitt der Rede?

February 09 2010

Millionen Nutzerdaten von Facebook vor Veröffentlichung

ReadWriteWeb berichtet in einem ausführlichen, aber ausgesprochen unkritischen Artikel über die Pläne von Pete Warden, große Mengen an Nutzerdaten “für wissenschaftliche Arbeiten” zugänglich zu machen:

This Wednesday, Warden will make Friend, Fan page and name data from hundreds of millions of Facebook users available to the academic research community. It’s a move that Facebook has to have seen coming, a move that many in the data-centric community have been calling on the company itself to do for years, and an event that’s been complicated by Facebook’s recent privacy policy changes, which have muddied the waters of right and wrong but rendered even more data available for outside analysis.

Wardens Projekt erinnert stark an den Skandal um SchülerVZ, bei dem ebenfalls massiv Nutzerdaten gecrawlt wurden, was eigentlich nicht hätte passieren dürfen. Dem wissenschaftlichen Interesse müssen hier starke Datenschutzbedenken entgegengebracht werden.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl