Holodeck: Mit Smartphones in der Lagerhalle in die virtuelle Realität

Das Holodeck ermöglichte im Fernseh-Kontinuum von Star Trek den spielenden Wechsel in vergangene Zeite oder außergewöhnliche Situationen. Mithilfe von Smartphones und einer Lagerhalle gehen nun Wissenschaftler in Nürnberg einen weiteren Schritt in die virtuelle Realität.

In einer Forschungshalle kann man sich auf 1400 Quadratmetern frei durch die virtuelle Realität bewegen. Während die Holodeck-Besucher günstige Smartphone-Virtual-Reality-Gestelle auf dem Kopf tragen, werden alle Bewegungen in der echten Welt in die virtuelle Welt umgesetzt.

14 Antennen erfassen dabei die Position der Person, die sich durch die Halle bewegt. Details finden sich bei heise.

Die Unsicherheit biometrischer Authentifizierungssysteme

Den Fingerabdruck oder die Iris als Sicherung etwa für das Smartphone oder den Computer zu nutzen ist offenbar eine eher schlechte Idee.

Beim ChaosCommunicationCongress Ende Dezember 2014 sprach starbug vom CCC über biometrische Authentifizierungssysteme und wie leicht diese, insbesondere mit Hilfe von Kameras zu überwinden sind. Der Hacker hatte bereits 2008 mit dem Hack des Fingerabdrucks von Bundesminister Wolfgang Schäuble für einen kritischen Umgang mit solchen Systemen geworben.

Besonders nützlich seien dabei die Kameras vieler Mobiltelefone, deren Qualität mittlerweile vielfältige Szenarien ermöglichen. So lassen sich beispielsweise über die Reflexion im Auge oder in einer Brille PINs oder Passwörter in Erfahrung bringen. Den Zugriff auf die Handykamera gestatten viele Nutzer bereits wenn sie zum Beispiel eine Taschenlampen-App installieren.

Auch Iriserkennungssysteme, wie sie etwa in Banken eingesetzt werden, lassen sich durch Ausdrucke auf handelsüblichen Druckern überwinden. Dabei ist nicht unbedingt ein Zugriff auf ein Smartphone nötig. Selbst mit Fotoaufnahmen aus mehreren Metern Entfernung oder abfotografierten Wahlplaketen sind die Forscher erfolgreich. Gleichsam lassen sich Fingerabdruck-Erkennungssysteme austricksen. Ein damals neues System dieser Art auf dem iphone 5S wurde von den CCC-Hackern bereits im September 2013 innerhalb von zwei Tagen geknackt.

Prominente Beispiele im Vortrag sind übrigens die Iris von Bundeskanzlerin Angela Merkel und der Fingerabdruck von Bundeministerin Ursula von der Leyen. Der Vortrag mit dem Titel „Ich sehe, also bin ich … Du“ ist als Aufzeichnung verfügbar.

Internetrecht: Verwendung von Captchas im Impressum

Manchmal sind rechtliche Einschätzungen im Internetrecht da, wo sie nicht unbedingt erwartet werden. In der c’t vom 26. November 2014 antwortet der Professor für Öffentliches Recht, Medien- und Informationsrecht Dr. Kai von Lewinski mit einem Leserbrief auf einen Leserbrief aus der vorhergehende Ausgabe. Dort hatte ein Rechtsanwalt vom Einsatz von sogennanten Privacy Captchas abgeraten. Auch The Digital Native und Digitalcourage e.V. sprechen in ihrem FAQ davon, dass durch den Einsatz rechtliche Probleme entstehen können. Professor von Lewinski sieht das offenbar anders. Die leichte Identifizierung von Verantwortlichen wird aus seiner Sicht durch den Einsatz von Captchas „nicht erschwert“.

Entsprechend stellen die relevanten Gesetzeskommentare zu dem […] §5 Telemediengesetz (TMG) auch nur auf die die „optische Wahrnehmbarkeit“ ab, erklären also die Mensch-Maschine-Schnittstelle zur maßgeblichen. Soweit im älteren Schrifttum bis 2007 das Impressum als Grafikdatei für kritisch gehalten wurde, hing das mit der damals nicht flächendeckend gewährleisteten Darstellbarkeit aller Grafikformate in allen Browsern zusammen. Maschine-Maschine-Schnittstellen […] müssten erst dann vorgeschrieben werden, wenn auch elektronisch, also maschinengestützt, abgemahnt werden können soll. Eine vollautomatisierte Abmahnindustrie ist aber vom Gesetz erkennbar nicht gewollt, sodass der Medienbruch nicht nur wettbewerbsrechtlich unbedenklich ist, sondern Sinn und Zweck des Gesetztes gerade entspricht.

Fotografische Gegenüberstellungen: Berlin in den 1990ern und heute

Vor gut drei Monaten war Michael Lange zu Gast im Küchenradio und sprach rund zwei Stunden über Berlin in den 1990er Jahren. Er hat einen Bildband mit dem Titel „Rückblende – Berlin in den 90ern und heute“ veröffentlicht. Wer auf visuelle Tour durch das Berlin der Nachwendezeit mit Gegenüberstellungen aus den 2000ern gehen will, ist in seinem Fotoblog gut aufgehoben. Dort werden seit Juni letzten Jahres und fortlaufend neue Fotos veröffentlicht, die die heutige gesamtdeutsche Hauptstadt in schwarz und weiß zeigen. Das Archiv gibt dabei einen interessanten Überblick.

OpenSource-Film: „Der Geist der Biker“ unter CreativeCommons-Lizenz veröffentlicht

Das Leipziger Kreativkollektiv VEB Film rund um den Filmemacher Stefan Kluge hat heute seinen dritten Film unter CreativeCommons-Lizenz veröffentlicht. Diesmal hat es nicht weniger als fünf Jahre von der Ankündigung zum OpenSource-Release gedauert. Das 63minütige Roadmovie führt nach Russland.

Die abenteuerliche Reise des Dresdner Motorradclubs Metern durch das religiöse Herz Russlands, auf der Mission, ihre Maschinen vom legendären Motorrad-Priester des Black Bears Yaroslavl Motorradclubs segnen zu lassen. Sächsischer Humor und russische Gastfreundschaft vor der Kulisse der schönsten orthodoxen Klöster Russlands. Ein 63 Minuten-Gonzo-Dokumentarfilm über den universellen Geist der Biker.

Der Geist der Biker“ kann gestreamt oder heruntergeladen werden. Ebenso stehen Quelldateien bei archive.org bereit.

WordPress: Sicherheitslücke in Slider-Plugin weiter problematisch

Unter dem Titel „Schadcode nutzt Monate alte WordPress-Lücke aus“ wird bei heise eine lange bekannte und bereits behobene Sicherheitslücke in einem WordPress-Plugin besprochen. Wer nur die Überschriften überfliegt, wird sich Probleme bei WordPress Sicherheit merken. Im Text wird deutlich, worum es eigentlich geht:

Sicherheitsforscher warnen erneut vor einer seit Monaten bekannten Sicherheitslücke im beliebten WordPress-Plug-in Slider Revolution. Die Lücke wird mittlerweile aktiv ausgenutzt, um die Webseiten mit dem sogenannten SoakSoak-Schadcode zu infizieren.

Ein „Plugin“ zwischen WordPress und Lücke hätte der Überschrift gut getan. WordPress hat es als derzeit meistgenutztes CMS in punkto Sicherheit gewiss nicht leicht. Doch die Überschrift verkürzt und erweckt den Eindruck in diesem Fall handele es sich um ein WordPress-eigenes Problem ganz so als ob eine unsichere Android-App dem Betriebssystem zur Last gelegt würde. Das Plugin ist aber nicht einmal über das offizielle Pluginverzeichnis verfügbar.

Auch ist nicht ersichtlich warum bei heise von einem beliebten Plugin gesprochen wird. Kennt die Redaktion die Verkaufszahlen des kostenpflichtigen Plugins? Nebenan bei WordPress Doc gibt es übrigens eine Sammlung zum Thema Sicherheit für das WordPress-System.

WhatsApp: Auch bei Offline-Status online

heise berichtet über eine Studie Nürnberger Forscher die auf Basis der Daten von 1.000 WhatsApp-Nutzern umfangreiche Analysen erstellen konnten.

Selbst wenn man der App sagt, sie soll den eigenen Status und wann man zuletzt online war nicht anzeigen, können andere Nutzer noch sehen, wann man online ist – und dazu müssen sie lediglich die richtige Telefonnummer wissen. […] Obwohl eine begrenzte Anzahl von Endgeräten Statusinformationen von tausenden von Nutzern über Monate hinweg sammelte, machte WhatsApp keine Anstalten, dieses Verhalten zu unterbinden. Und dabei unterschied sich die Netzwerk-Nutzung der Forscher eindeutig vom normalen Verhalten eines WhatsApp-Clients. […]

Im ersten Moment erscheint das Datenleck als nebensächlich. Führt man sich allerdings vor Augen, dass der Chef, Arbeitskollegen oder der Lebenspartner jederzeit sehen können, wenn man die App öffnet, wird das Problem deutlicher. […] So werden zum Beispiel in vierzig Prozent aller Scheidungsprozesse in Italien, denen Ehebruch zugrunde liegt, WhatsApp-Nachrichten als Beweis für Untreue angeführt. [Hervorh. d. Autor]

Auf der Website der Forscher finden sich Hintergrundinformationen, sowie die Möglichkeit einzelne Nutzerprofile anonymisiert zu betrachten.

Webkrauts Adventskalender: 24 Türchen rund um Webstandards

Heute geht es los: Der Webkrauts Adventskalender öffnet wieder täglich seine Türe und präsentiert Know How und Ideen rund um Webstandards und Webentwicklung. Zum Start dekliniert Nils Pooker einen „Projektverlauf aus dem Bilderbuch“ durch.

Durch moderne Browser auf unzähligen, immer wieder neuen Ausgabegeräten mit unterschiedlichen Bildschirmgrößen haben sich auch die Anforderungen an das Projektmanagement responsiver Webseiten drastisch verändert. Wir geben euch Tipps, wie ihr ein Web-Projekt plant, konzipiert, gestaltet, entwickelt und betreibt, so dass dabei weder Zeit oder Budget überschritten werden noch die Qualität leidet.

Die einzelnen Türchen lassen sich ab sofort auf der Startseite der Webkrauts öffnen.

ODF vs. XML: Die Nutzung von Microsofts Dokumenten-Format ist ein Eigentor

Marcus Dapp, Dozent an der ETH Zürich und aktiv in der Open Knowledge Foundation, erklärt in einem Gastartikel bei netzpolitik.org, warum die Nutzung des XML-Formats nicht nur aus ideellen, sondern auch aus wirtschaftlichen Gründen nicht zu empfehlen ist. Der Autor fokussiert dabei deutsche Verwaltungen, die denen in europäischen Nachländern hinterherhinken würden. Kurz zusammengefasst gibt es derzeit vier Standards bei Bürodokumenten:

  • ODF, das OpenDocumentFormat, das „herstellerneutral, rechtlich und technisch offen zugänglich und öffentlich erarbeitet ist“ (Dapp)
  • OOXML, Office Open XML, von Microsoft entwickelt und nicht grenzenlos zugänglich in drei Varianten, „ECMA“, „Transitional“ und „Strict“

Das Problem der OOXML-Varianten ist laut Dapp, dass sie untereinander inkompatibel sind. Er fasst das wie folgt zusammen:

Office 2007 liest und schreibt in “ECMA”
Office 2010 und neuer schreiben “Transitional”
Office 2013 liest und schreibt – nicht “Strict”, jedenfalls nicht gemäss ISO/IEC 29500

Das kuriose daran sei, dass nicht einmal Microsoft selbst die Strict-Variante vollständig einsetzt. Probleme mit Dateien aus verschiedenen Microsoft Office-Generationen sind vorprogrammiert. Eingebettete Objekte können verloren gehen oder Fehler bei Grafiken auftauchen. Für öffentliche Verwaltungen kann das zu handfesten Schwierigkeiten führen: So muss entweder veraltete Büro-Software weiterhin betrieben werden, damit Dateien im Rahmen von Aufbewahrungsfristen noch problemlos geöffnet werden können. Oder Dateien müssen umgewandelt werden. Marcus Dapp stellt dazu berechtigte Fragen:

Welche Stadtkämmerei kann in solch einem Umfeld dem Budget-Spreadsheet von 2007 noch trauen, wenn es nicht mehr mit Office 2007 geöffnet wird, weil Microsoft den Support eingestellt hat? Wer kann der Verwaltung Garantien geben, wenn es auch der Hersteller nicht tut, z.B. durch eine Office-Version, die alle Formatvarianten sicher und verlustfrei verarbeiten kann? […] Warum sollte die Kunden diese Kosten [einer Dateiumwandlung] tragen, wenn sie sie gar nicht verursacht haben?

Auch wenn sich der Autor in seinem Artikel auf staatliche Einrichtungen konzentriert. Diese Fragen stellen sich gleichermaßen oder ähnlich auch für Selbständige, Unternehmen oder Privatpersonen. Wenn etwa der Briefverkehr mit Kunden eine Aufbewahrungsfrist von sechs Jahren hat, dann sollte überlegt werden, ob das abspeichern in einem der OOXML-Formate die effizienteste Lösung ist. Dabei kann nicht nur freie Software wie LibreOffice die Alternative, das OpenDocumentFormat, speichern, sondern auch das Pendant von Microsoft.

ownCloud 7.0.3 veröffentlicht

Soeben wurde die Version 7.0.3 von ownCloud veröffentlicht. Neben verschiedenen Sicherheitsfixes und Fehlerbehebungen in der Zusammenarbeit mit OS X-Servern, gibt es nun bessere Beschreibungen der ownCloud-Apps. Die Konfiguration des Datenverzeichnisses wurde verbessert. Alle Änderungen können im Changelog nachvollzogen werden.

Die Aktualisierung kann mit der integrierten Updatefunktion oder mit der Datei unter https://download.owncloud.org/community/owncloud-7.0.3.tar.bz2 durchgeführt werden.