CCCS-Vortrag: Lightning Talks
Gestern abend war der Vortrag des CCCS - dieses Mal an einem anderen Ort; da das kommunale Kino in Stuttgart überraschend Insolvenz anmelden musste. Daher waren wir gezwungen einen neuen Vortragsort zu suchen. Die Hochschule der Medien haben wir angefragt, weil wir selbst dort schon Vorträge gehalten haben (Security Days) und wir kriegten tatsächlich die Chance, dort die Vorträge zu halten - vielen vielen Dank dafür an Moritz Seltmann, der das ermöglicht hat!
Dieses Mal wollten wir etwas ausprobieren - das Prinzip der Lightning Talks haben wir bei uns wiederholt, leicht abgeändert. Jeder Vortragende hat 15 Minuten Zeit für den Vortrag, darf einen Beamer nutzen und danach gibts ein wenig Diskussion. So wie bei wissenschaftlichen Konferenzen
Insgesamt gab es fünf Themen:
- Ein selbstgebastelter Mikroprozessor
- suckless.org
- DNS-Poisoning
- selbstgebaute LED-Modelle
- Abfangen von Session Cookies
Mir hat die Vielfalt sehr gefallen - von dem Mikroprozessor-Vortrag habe ich zwar nicht viel verstanden (ich habe von Assemblerprogrammierung keine Ahnung), aber es war gut strukturiert und verständlich so dass ich nachvollziehen konnte worum es gerade ging. Bei suckless finde ich es spannend dass die Programme maximal 10000 Zeilen Code sein sollen und daher nur sehr klein sein sollen - in meinen Augen ein gutes Ziel. Bei DNS-Poisoning war die (berechtigte) Frage zwischendurch warum das niemandem vorher aufgefallen ist - die Antwort war mehr oder weniger dass das vorher als theoretische Möglichkeit länger bekannt war, aber niemand daran dachte dass das (inzwischen) auch gut ausnutzbar ist.
Die LED-Modelle waren sehr interessant, insbesondere weil Sebastian dafür keine Vorlagen hatte sondern einfach selbst gebaut hat. Die konnte man im Aquarium (dem Vortragsraum) auch gut zeigen weil man dieses verdunkeln konnte - die Discokugel und das Ambilight waren schon witzig und mit Ikea auch gut realisierbar.
Das Abfangen von Session Cookies auch mit SSL-Verbindungen war mehr ein spontaner Vortrag, aber es konnte gut gezeigt werden was das Problem mit dem Session-Cookie Handling in vielen Webanwendungen ist (die Session-ID wird bei HTTP im Klartext übertragen; dieses kann abgefangen werden. Selbst wenn man einen Redirect im Webserver hat von http auf https wird beim ersten Request der Sessioncookie mitgeschickt.). Die Nutzung von Secure Cookies (bei denen gibt es die Einschrönkung dass die Cookies nur mit https übertragen werden dürfen) ist noch nicht weit verbreitet und sollte dringend benutzt werden.
Ab dem nächsten Vortrag sind wir in der Stadtbibliothek Stuttgart im Wilhelmpalais am Charlottenplatz. Eine Top-Adresse, weil das mitten in der Stadt und für jeden gut erreichbar ist.
So wie beim letzten Vortrag wurden einige Beiträge mit Mikrofon aufgezeichnet; die Aufnahmen können hier angehört werden.
Dieses Mal wollten wir etwas ausprobieren - das Prinzip der Lightning Talks haben wir bei uns wiederholt, leicht abgeändert. Jeder Vortragende hat 15 Minuten Zeit für den Vortrag, darf einen Beamer nutzen und danach gibts ein wenig Diskussion. So wie bei wissenschaftlichen Konferenzen
Insgesamt gab es fünf Themen:
- Ein selbstgebastelter Mikroprozessor
- suckless.org
- DNS-Poisoning
- selbstgebaute LED-Modelle
- Abfangen von Session Cookies
Mir hat die Vielfalt sehr gefallen - von dem Mikroprozessor-Vortrag habe ich zwar nicht viel verstanden (ich habe von Assemblerprogrammierung keine Ahnung), aber es war gut strukturiert und verständlich so dass ich nachvollziehen konnte worum es gerade ging. Bei suckless finde ich es spannend dass die Programme maximal 10000 Zeilen Code sein sollen und daher nur sehr klein sein sollen - in meinen Augen ein gutes Ziel. Bei DNS-Poisoning war die (berechtigte) Frage zwischendurch warum das niemandem vorher aufgefallen ist - die Antwort war mehr oder weniger dass das vorher als theoretische Möglichkeit länger bekannt war, aber niemand daran dachte dass das (inzwischen) auch gut ausnutzbar ist.
Die LED-Modelle waren sehr interessant, insbesondere weil Sebastian dafür keine Vorlagen hatte sondern einfach selbst gebaut hat. Die konnte man im Aquarium (dem Vortragsraum) auch gut zeigen weil man dieses verdunkeln konnte - die Discokugel und das Ambilight waren schon witzig und mit Ikea auch gut realisierbar.
Das Abfangen von Session Cookies auch mit SSL-Verbindungen war mehr ein spontaner Vortrag, aber es konnte gut gezeigt werden was das Problem mit dem Session-Cookie Handling in vielen Webanwendungen ist (die Session-ID wird bei HTTP im Klartext übertragen; dieses kann abgefangen werden. Selbst wenn man einen Redirect im Webserver hat von http auf https wird beim ersten Request der Sessioncookie mitgeschickt.). Die Nutzung von Secure Cookies (bei denen gibt es die Einschrönkung dass die Cookies nur mit https übertragen werden dürfen) ist noch nicht weit verbreitet und sollte dringend benutzt werden.
Ab dem nächsten Vortrag sind wir in der Stadtbibliothek Stuttgart im Wilhelmpalais am Charlottenplatz. Eine Top-Adresse, weil das mitten in der Stadt und für jeden gut erreichbar ist.
So wie beim letzten Vortrag wurden einige Beiträge mit Mikrofon aufgezeichnet; die Aufnahmen können hier angehört werden.
Die Financial Times und der Streit um Lizenzrecht
Die Financial Times Deutschland ist der deutschsprachige Ableger des berühmten (und oft gelesenen) Magazins Financial Times - gerade die Händler lesen diese Tageszeitung sehr interessiert und intensiv.
Die Online-Ausgabe hat in den letzten Tagen einen Artikel über Harald Welte geschrieben, der gegen GPL-Verletzungen vorgeht.
Harald ist der Meinung dass jeder der die GPL nutzt bzw. Software die unter GPL steht diese auch einhalten muss - das heisst nicht nur "Open Source" als "wir können die Software nutzen" sehen sondern auch die anderen Bedingungen unter der man die GPL-lizensierte Software nutzen darf: Den Sourcecode der eigenen Software freilegen. Seit einigen Jahren geht er auch gerichtlich gegen Firmen vor die in der Hinsicht gegen die GPL verstossen; die meisten Firmen sind da eher verschlossen und wollen das nicht zugeben; aber er kann da durchaus hartnäckig sein. Letzten Endes muss er hin und wieder vor Gericht ziehen, dort werden die Firmen dann darauf hingewiesen dass sie die Lizenz einzuhalten - oder die Software auszubauen - haben.
Was mich nun eher erschüttert ist die Konsquenz die die FTD daraus zieht: Harald nimmt den Firmen die Grundlage ihres Geschäfts. Ja, aber worauf baut das Geschäft auf? Darauf, anderer Leute Lizenzen mit Füssen zu treten?
Ausserdem haben schon viele Firmen gelernt: Nicht nur die Software selbst bringt Geld, der Support ist auch sinnvoll und die Betreuung der Kunden. Das kann man dann auch Kundenbindung nennen.
Aber für die FTD scheint das Geschäftsmodell (wie zB MySQL es fährt) uninteressant zu sein; lieber werden Unwahrheiten verbreitet. So wie jeder dafür bestraft werden sollte wenn er gegen das Gesetz verstößt (und auch Unwissen schützt vor Strafe nicht), so gilt das auch für Firmen.
(Wobei Harald ja gar nicht auf das Geld aus ist was es durch die Strafen geben kann; er will einfach nur dass die Leute sich an die GPL halten).
Nun ja, ich finde den Artikel eher seltsam und überlege ob er einen Leserbrief wert ist.
Die Online-Ausgabe hat in den letzten Tagen einen Artikel über Harald Welte geschrieben, der gegen GPL-Verletzungen vorgeht.
Harald ist der Meinung dass jeder der die GPL nutzt bzw. Software die unter GPL steht diese auch einhalten muss - das heisst nicht nur "Open Source" als "wir können die Software nutzen" sehen sondern auch die anderen Bedingungen unter der man die GPL-lizensierte Software nutzen darf: Den Sourcecode der eigenen Software freilegen. Seit einigen Jahren geht er auch gerichtlich gegen Firmen vor die in der Hinsicht gegen die GPL verstossen; die meisten Firmen sind da eher verschlossen und wollen das nicht zugeben; aber er kann da durchaus hartnäckig sein. Letzten Endes muss er hin und wieder vor Gericht ziehen, dort werden die Firmen dann darauf hingewiesen dass sie die Lizenz einzuhalten - oder die Software auszubauen - haben.
Was mich nun eher erschüttert ist die Konsquenz die die FTD daraus zieht: Harald nimmt den Firmen die Grundlage ihres Geschäfts. Ja, aber worauf baut das Geschäft auf? Darauf, anderer Leute Lizenzen mit Füssen zu treten?
Ausserdem haben schon viele Firmen gelernt: Nicht nur die Software selbst bringt Geld, der Support ist auch sinnvoll und die Betreuung der Kunden. Das kann man dann auch Kundenbindung nennen.
Aber für die FTD scheint das Geschäftsmodell (wie zB MySQL es fährt) uninteressant zu sein; lieber werden Unwahrheiten verbreitet. So wie jeder dafür bestraft werden sollte wenn er gegen das Gesetz verstößt (und auch Unwissen schützt vor Strafe nicht), so gilt das auch für Firmen.
(Wobei Harald ja gar nicht auf das Geld aus ist was es durch die Strafen geben kann; er will einfach nur dass die Leute sich an die GPL halten).
Nun ja, ich finde den Artikel eher seltsam und überlege ob er einen Leserbrief wert ist.
iPhone und Datenschutz
Nachdem gestern Steve Jobs zugeben musste dass die Firmware vom iPhone Funktionen hat, die - unabhängig davon was der Besitzer des iPhones möchte - Programme löschen können, werde ich wohl doch nicht wie geplant mich für das iPhone oder iPod Touch interessieren.
So schön die Oberfläche und das Design des iPhones sind; solche in meinen Augen Ungeheuerlichkeiten sind einfach ein No-No. Das Telefon gehört mir, ich habe es gekauft, ich kaufe auch die Applikationen. Zusätzlich gibt es ja schon eine Hürde; die Applikationen gibt es nur über den Apple Store. Und dort können sie sogar - je nachdem in welchem Land man ist - unterschiedlich angeboten werden; Dr. Horribles Sing-a-long-Blog gibt es zwar in den USA via iTunes, aber nicht in Deutschland.
Zusätzlich sollen Applikationen die ins Netz wollen eh immer nur über die Apple-Serverfarm gehen - ein transparenter Zwangsproxy oder so; angeblich zum Schutz der Laufleistung des Akkus.
Was hier aber im Endeffekt passiert ist dass Apple die totale Kontrolle über die Daten und das Handy hat. Während man sonst ein Handy kauft und (wenn es nicht gebrandet ist) der Hersteller dann aussen vor ist - das heisst es sind meine Daten, der Hersteller hat üblicherweise keine Möglichkeit das Handy anzusprechen; die hat nur der Provider - ist hier Apple an allem beteiligt und hat sogar mehr "Macht" auf dem Telefon als der Provider.
Ich möchte nicht erleben dass jemand Apple hackt und diverse Systemsoftware auf die Blacklist packt. Wie einfach mal MobileMe hacken kann hatte ich ja früher schon erwähnt - es reicht ein Telefonanruf um die Daten zu bekommen.
So schön die Oberfläche und das Design des iPhones sind; solche in meinen Augen Ungeheuerlichkeiten sind einfach ein No-No. Das Telefon gehört mir, ich habe es gekauft, ich kaufe auch die Applikationen. Zusätzlich gibt es ja schon eine Hürde; die Applikationen gibt es nur über den Apple Store. Und dort können sie sogar - je nachdem in welchem Land man ist - unterschiedlich angeboten werden; Dr. Horribles Sing-a-long-Blog gibt es zwar in den USA via iTunes, aber nicht in Deutschland.
Zusätzlich sollen Applikationen die ins Netz wollen eh immer nur über die Apple-Serverfarm gehen - ein transparenter Zwangsproxy oder so; angeblich zum Schutz der Laufleistung des Akkus.
Was hier aber im Endeffekt passiert ist dass Apple die totale Kontrolle über die Daten und das Handy hat. Während man sonst ein Handy kauft und (wenn es nicht gebrandet ist) der Hersteller dann aussen vor ist - das heisst es sind meine Daten, der Hersteller hat üblicherweise keine Möglichkeit das Handy anzusprechen; die hat nur der Provider - ist hier Apple an allem beteiligt und hat sogar mehr "Macht" auf dem Telefon als der Provider.
Ich möchte nicht erleben dass jemand Apple hackt und diverse Systemsoftware auf die Blacklist packt. Wie einfach mal MobileMe hacken kann hatte ich ja früher schon erwähnt - es reicht ein Telefonanruf um die Daten zu bekommen.