Kreuvfs Allerweltsblog

Vor einiger Zeit hatte ich bereits einen Workaround für den standardmäßig installierten Flash Player unter Ubuntu 10.10 geschrieben. Ich vermute mittlerweile, dass das Problem im Zusammenspiel mit dem binären nVidia-Treiber auftritt, was aber im Endeffekt sowieso egal ist, weil Nutzer dieses Treibers ganz sicher nicht wegen Flash – die Einschätzung im oben verlinkten Artikel, dass es sich bei Flash um rottigen Sondermüll handelt, ist unverändert – auf ihre Hardware-3D-Beschleunigung verzichten werden.

Mit dem aktuellen Ubuntu 11.04 (immer noch 32 Bit) besteht dieses Problem bei mir nicht mehr. Rottiger Sondermüll bleibt natürlich auch mit einem Problem weniger immer noch rottiger Sondermüll, weshalb ich stattdessen eine andere Beobachtung gemacht habe: mit dem standardmäßig installierten Flash Player zeigt sich beim Abspielen eines Youtube-Videos (Manu Chao – Bongo Bong) in 360p-Qualität eine Prozessorauslastung von etwa 77% eines Kerns. Das ist so deutlich zu viel, dass es meinen alltäglichen Betrieb stört.

Ich habe mir also gedacht: „Na, kannst es ja mal versuchen und gucken, ob der Flash Player aus Google Chrome das Problem auch hat.“ Ich habe daraufhin wie im oben verlinkten Artikel beschrieben die libflashplayer.so durch die aus Google Chrome ersetzt, Firefox 5 neugestartet und das Video erneut abgespielt. Ergebnis: Prozessorauslastung runter auf etwa 27% eines Kerns.

Aus irgendeinem Grund ist Googles libflashplayer.so also in der Lage den Flash-Bloat mit Faktor 2 bis 3 geringeren CPU-Ressourcen zu verarbeiten. Danke, Google.

Technology Review hat mich über den Artikel „Das Problem mit dem Rebound“ auf das Phänomen des Rebound aufmerksam gemacht. Eine neue Entwicklung führt dazu, dass zum Beispiel für dieselbe Lichtmenge weniger Strom aufgewendet werden muss. Ein aktuelles Beispiel stellen LED-Lampen dar, deren Stromverbrauch gegenüber Glühlampen deutlich reduziert ist. Die „Ressource“ Licht ist durch den geringeren Stromverbrauch also billiger geworden. Es wäre daher zu erwarten, dass bei einer angenommenen Stromeinsparung von 50 % auch der Stromverbrauch um 50 % sinkt. Als „Rebound“ wird nun aber ein Effekt bezeichnet, der dafür sorgt, dass durch die geringeren Beleuchtungskosten mehr Licht und damit mehr Strom verbraucht wird. Dies frisst einen Teil der Einsparungen auf. Liegt der erhöhte Stromverbrauch bei über 100 % der Einsparung, das heißt es wird insgesamt sogar noch mehr Strom verbraucht als vorher, so spricht man von „Backfire“. Eine Technologie, die eigentlich zu einem Minderverbrauch von Strom führt, sorgt also in letzter Konsequenz sogar für einen Mehrverbrauch.

Aber wieso mache ich mir die Mühe und versuche den TR-Artikel auszugsweise zusammenzufassen? Aus zwei aktuellen Anlässen: zum einen haben es diese unsäglichen Grünen dank der aktuellen Atomprobleme in Japan ja trotz absolut widerlichem Verhalten geschafft in Rheinland-Pfalz und Baden-Württemberg sehr gute Wahlergebnisse zu erzielen. Zum anderen ist mir ein Artikel auf EurekAlert.org zum ersten angeblich praktisch nutzbaren „künstlichen Blatt“ aufgefallen.

In diesem Newsartikel wird genau das beschrieben, was auch in der Technology Review bereits stand:

[...] Placed in a single gallon of water in a bright sunlight, the device could produce enough electricity to supply a house in a developing country with electricity for a day, Nocera said. [...]

Deutsche Übersetzung von mir:

[...] „In einer einzigen Gallone Wasser in grellem Sonnenlicht könnte dieses Gerät genug Strom produzieren, um ein Haus in einem Entwicklungsland für einen Tag mit Strom zu versorgen“, sagte Nocera. [...]

Und genau das deutet schon wieder auf Rebound hin. Nicht, dass Menschen in Entwicklungsländern keinen Strom haben sollten — jeder sollte ausreichend Strom zur Verfügung haben — , aber hier wird deutlich, dass eine neue Technologie Strom so günstig erzeugen kann, dass selbst Haushalte in Entwicklungsländern sich diese Technologie zulegen könnten. Und ist erst mal Strom da, wird dieser auch verbraucht. Das heißt, dass der Gesamtstromverbrauch auf Erden ansteigt.

Inwiefern das undifferenzierte Grünengequatsche von wegen „Effizienzsteigerung“ vor diesem Hintergrund für die Umwelt sinnvoll ist, sollte sich jeder selbst überlegen.

Datenschutz ist spätestens mit der immer weitreichenderen Verfügbarkeit des Internets zu einem sehr wichtigen Thema geworden. Die meisten Menschen sind sich dessen zwar nicht bewusst, aber beim Surfen durch das Internet ist es mit den Standardeinstellungen der meisten Browser für Webseitenbetreiber ein Leichtes die Leute quer durchs Internet zu verfolgen. Das Paradebeispiel dafür stellt das von der Electronic Freedom Foundation ins Leben gerufene Projekt Panopticlick (Englisch) dar.

Identifikation durch die Browserkennung

Aber wie können die einen identifizieren? Jedes Mal, wenn man mit dem Browser eine Internetseite aufruft, werden schon standardmäßig und ohne, dass die Seite überhaupt geladen wurde, zahlreiche Informationen übertragen. Der Browser fragt dabei einen Server nach einer bestimmten Seite und schickt dabei tonnenweise identifizierende Informationen mit. Bei mir werden aktuell unter anderem die folgenden Informationen automatisch übertragen, nur damit die Seite weiß, welchen Browser ich habe:
Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.15) Gecko/20110303 Ubuntu/10.10 (maverick) Firefox/3.6.15

Nutzung der Daten durch Tracking-Dienste

Das sind laut Panopticlick bereits 15,25 Bits identifizierender Information. Einer von knapp 39.000 Browsern hat diese Kennung. Was heißt das? Das heißt, dass Tracking-Dienste — das sind zumeist kommerzielle Angebote, die sich auf die Nutzerverfolgung im Internet und damit auch deren Identifizierung spezialisiert haben — aus ihrer Datenbank schon über 99,997% aller Nutzer per se ausschließen können, weil deren Browser nicht diese Kennung hat. Umgekehrt heißt dies, dass man sich selbst in den verbliebenen weniger als 0,003% der Nutzer wiederfindet. Das heißt, dass die mich allein nur aus den paar Informationen schon auf einen sehr kleinen Nutzerkreis einschränken können. Noch ein bisschen mehr Information und ich bin eindeutig identifizierbar! Und all das ohne auch nur eine E-Mail-Adresse, meinen Namen, Spitznamen oder Geburtsdatum irgendwo eingegeben zu haben!

Und so geht das noch weiter. Akzeptiere ich Cookies und ist JavaScript in vollem Umfang aktiviert, dann komme ich zum erschreckenden Ergebnis, dass ich in der Panopticlick-Datenbank mit knapp 1,5 Millionen Einträgen eindeutig identifizierbar bin!

Do-Not-Track als „Lösung“

Das ist natürlich genug Leuten bekannt und die haben sich da was ausgedacht: Wir verschicken noch mehr Informationen an die Server! m(

Wie soll das funktionieren? Wenn man nicht quer durch das Internet von den bösen Tracking-Diensten verfolgt werden will, muss man laut deren Idee einfach nur ein „Do-Not-Track“ (verfolge mich nicht) mitschicken und dann hören die Tracking-Dienste auch auf damit. Das funktioniert ja auch in der Wirklichkeit immer hervorragend, wenn man dem Messerstecher oder dem Vergewaltiger sagt, dass der das doch bitte lassen soll. Deswegen werden solche Delikte ja schon seit Jahren nicht mehr in der Kriminalstatistik aufgeführt…

Es ist in Worten kaum auszudrücken wie hirnrissig diese Scheißidee ist! Erstens werden Tracking-Dienste diese zusätzliche Information nutzen können, um verschiedene Nutzer zu identifizieren. Auch wenn das nur ein Bit ist. Dies kann den Unterschied machen zwischen einem Nutzerkreis aus 10 Nutzern und 1 Nutzer!

Das Argument „Aber das dürfen die doch dann gar nicht, wenn es dann auch entsprechende Gesetze gibt! Das ist dann doch verboten! D:“ ist ungültig. Verbote halten niemanden davon ab etwas zu tun. Wäre das so, hätten wir keine Morde, Körperverletzungen, Erpressungen, Vergewaltigungen und keine Korruption mehr. Und genau so wird es auch bei den Tracking-Diensten laufen. Die freuen sich doch wie blöde, wenn sie da noch mehr identifizierende Information frei Haus geliefert bekommen und nicht mal JavaScript und Cookies bemühen muss, um daran zu kommen, ja der Browser das sogar freiwillig und unaufgefordert sendet! Klar, die ehrlichen Tracking-Dienste werden sich wahrscheinlich daran halten, aber das wird über kurz oder lang zu einem Wettbewerbsnachteil führen, da andere die Nutzer besser identifizieren können. Dem könnte man zwar wieder mit einem Gesetz entgegenwirken, das dafür sorgt, dass auch diejenigen bestraft werden, die Dienste nutzen, die gegen das Gesetz verstoßen, aber auch das wird dem einzelnen Nutzer im Zweifelsfall, also: immer, nur ein leeres Versprechen sein.

Und falls da draußen noch wer an die heile Welt glaubt, für den zitiere ich donottrack.us, die Seite zu Do-Not-Track:

No advertising network or other tracking service has yet announced plans to honor the Do Not Track header. From a technical perspective, recognizing the Do Not Track header is easy; we have listed several implementations on the right.

Deutsche Übersetzung von mir:

Bislang hat noch kein Werbenetzwerk oder anderer Tracking-Dienst Pläne angekündigt den Do-Not-Track-Header zu beachten. Von einem technischen Standpunkt her ist es einfach den Do-Not-Track-Header zu erkennen; wir haben mehrere Implementationen auf der rechten Seite aufgelistet.

Es wundert mich an dieser Stelle ja, dass keiner der Beteiligten den nötigen Blick für die Realität zu haben scheint, um einzusehen, dass Do-Not-Track der falsche Weg ist.

Ein weiteres Zitat aus einer auf donottrack.us verlinkten PDF:

IV. Do Not Track is verifiable.
We envision two technical approaches to verifying Do Not Track compliance. First, most tracking at the application layer²⁰ can be detected by modifying a browser to report tracking-related activity.²¹ If after receiving a Do Not Track header third-party embedded content sets a unique cookie or lists the browser’s plug-ins, the third party may be violating Do Not Track. Second, behavioral advertising can be identified by monitoring ads for interest targeting.²²

Deutsche Übersetzung von mir, Link zu Wikipedia von mir:

IV: Do Not Track ist überprüfbar
Wir stellen uns zwei technische Wege vor die Befolgung von Do Not Track zu prüfen. Erstens kann ein Großteil der Verfolgung auf der Anwendungsschicht²⁰ durch Veränderungen am Browser festgestellt werden, die darauf abzielen mit der Verfolgung in Zusammenhang stehende Vorgänge zu melden.²¹ Wenn eingebettete Inhalte Dritter nach dem Empfang des Do-Not-Track-Headers ein unique Cookie setzen oder die Browserplugins auflisten, dann könnte es sein, dass dieser Dritte Do Not Track verletzt. Zweitens kann behavioral advertising entdeckt werden, indem Werbung daraufhin überwacht wird, ob gezielt Interessen bedient werden.²²

Der erste Ansatz, um zu bestätigen, dass Do-Not-Track befolgt wird, beinhaltet die Veränderung des Browsers so, dass der Aktivitäten, die mit der Verfolgung in Zusammenhang stehen, meldet. Das gilt grundsätzlich aber nur für Dinge, die eine geladene Internetseite tut. Wenn diese zum Beispiel einen dieser rottigen Facebook-Gefällt-mir-Knöpfe einbindet, wird Müll von Facebook nachgeladen. Aber Facebook hat dann sowieso schon unsere Browserkennung etc. erhalten und kann damit genug anfangen, denn durch die Einbindung des Facebookdrecks auf der Seite wird der Browser ohne Zutun des Nutzers automatisch angewiesen diesen Kram auch zu laden. Anders gesagt: dieser Ansatz verfehlt sein Ziel, da die identifizierenden Informationen zu diesem Zeitpunkt schon gesendet sind und man höchstens feststellen kann, ob die Seite versucht weitere Informationen zu holen. Der zweite Ansatz ist noch absurder: man solle sich doch bitte anschauen, ob die eingeblendete Werbung den persönlichen Interessen entspricht und, sollte das der Fall sein, muss man wohl identifiziert worden sein. Das heißt nichts weiter, als dass hier das Kind bereits in den Brunnen gefallen ist. Und zusätzlich dazu soll ich mir diesen Werbemüll reinziehen.

Gegenvorschlag

Tracking-Dienste sollten standardmäßig annehmen, dass niemand quer durch’s Internet verfolgt werden will. Die, die das wollen, können dann ja ein „Do-Track“ mitsenden, der Rest vom Internet sollte von diesem Abschaum aber verschont bleiben. Anders ausgedrückt: Die Lösung lautet Do-Not-Track nicht einzusetzen. Viel eher sollten alle Browserhersteller und auch Hersteller von Browserplugins etc. sehr stark darauf achten, dass nur eine minimal nötige Menge Informationen standardmäßig an Server gesendet wird. Den Tracking-Diensten müssen von Browserseite her schon möglichst viele Steine in den Weg gelegt werden den Nutzer zu identifizieren.

Fazit

Die bereits vorhandenen Möglichkeiten zur Nutzerverfolgung im Internet sind bereits gravierend genug. Da brauchen wir den Tracking-Diensten nicht noch mehr Möglichkeiten zur Verfügung stellen. Interessanterweise steht das auch in der englischen PDF der EFF zum Thema „How unique is your browser?“:

The Paradox of Fingerprintable Privacy Enhancing Technologies
Sometimes, technologies intended to enhance user privacy turn out to make fingerprinting easier. Extreme examples include many forms of User Agent spoofing (see note 3) and Flash blocking browser extensions, as discussed in Section 3.1. The paradox, essentially, is that many kinds of measures to make a device harder to fingerprint are themselves distinctive unless a lot of other people also take them.

Deutsche Übersetzung von mir:

Das Paradoxon der zur Identifikation nutzbaren Datenschutztechnologien
Manchmal zeigt es sich, dass Technologien, die eigentlich dazu gedacht waren die Privatsphäre des Nutzers besser zu schützen, die Identifikation erleichtern. Extreme Beispiele sind viele Formen der Veränderung der Browserkennung (siehe Anmerkung 3) und Browsererweiterungen zum Blockieren von Flash wie in Abschnitt 3.1 beschrieben. Das Paradoxon, im Kern, lautet, dass viele Maßnahmen, die die Geräteidentifikation erschweren sollen, letztendlich selbst Unterscheidungsmerkmal sind, sofern nicht selbst viele andere Leute diese Maßnahmen auch einsetzen.

Es stehen noch weitere interessante Methoden zur Verringerung der Informationsmenge in dieser PDF, daher geht dafür eine ausdrückliche Leseempfehlung an alle raus. Und ich bleibe dabei: Do-Not-Track ist Dreck. Es ist gefährlich, kontraproduktiv, zusätzliche Datenlast, die durch’s Internet geschickt wird, und hat für sich genommen absolut gar keinen Einfluss darauf, ob wir nun verfolgt werden oder nicht. Zusätzlich dazu gibt es dem Durchschnittsnutzer, der das entdeckt und nur eine Kurzbeschreibung dazu im Browser liest, ein falsches Gefühl von Sicherheit. Das Übel muss an der Wurzel gepackt werden und das geht nur, indem man von Vornherein verhindert, dass man überhaupt derart einfach verfolgt werden kann.

Laut heise.de wird die Porno-TLD .xxx eingeführt.

Ich wäre ja trotzdem für .cum gewesen, weil man dann von Dotcum-Firmen und -Inhalten und Dotcum-Blasen hätte reden können.

So bleibt mir nur die Hoffnung, dass DAUs auf der Suche nach dem Aufbau einer IPv4-Adresse auf „xxx.xxx.xxx.xxx“ stoßen und das in den Browser eingeben xD

Im Deutschen werden Zitate von doppelten und einfachen Anführungszeichen oben und unten kenntlich gemacht. Dies lässt sich auch in HTML einsetzen und da ich Wert lege auf eine halbwegs saubere Typografie, verwende ich das auch. Da es mir zu mühselig ist die einzelnen Zeichen immer aus Zeichentabellen herauszukopieren, verwende ich dazu die HTML-Entitäten „ und “ für das öffnende Anführungszeichen (unten) und das schließende Anführungszeichen (oben). Für einzelne Anführungszeichen nehme ich entsprechend ‚ und ‘.

Und die Welt könnte so schön sein. Gäbe es da nicht Microsoft. Microsoft hat ja einige Schriftarten im Angebot, unter anderem auch die Microsoft Core Fonts, die man überall im Internet benutzen können soll. Darunter befindet sich auch die extra für die Bildschirmausgabe entworfene Schriftart Verdana. Ich mochte Verdana immer sehr und momentan steht die sogar auch noch im Stylesheet für den Blog als erste und einzige zu benutzende Schriftart. Noch.

Mir ist schon vor einiger Zeit aufgefallen, dass ich an Computer 1 die Anführungszeichen korrekt dargestellt sehe. Auf diesem Computer lief zum damaligen Zeitpunkt Ubuntu 8.04 LTS und ich verwendete den Firefox 2. Auf Computer 2 jedoch mit einem aktuelleren Ubuntu und Firefox 3.x sahen in Anführungszeichen gefasste Abschnitte beschissen aus:

Zuerst dachte ich, dass der Firefox hier in einer aktuelleren Version einen Bug bekommen hat, der eben die falschen Zeichen aussucht. Nachdem ich aber in der Bug-Datenbank nicht fündig geworden bin, habe ich das Zeichen mal kopiert und in der Zeichentabelle gesucht und dort auch das korrekte Zeichen gefunden. Der Fehler muss also beim Rendern im Firefox geschehen.

Ich habe dann mal in den Quelltext geschaut und wurde mit der negativen Firefoxeigenschaft konfrontiert, dass HTML-Entitäten direkt in das entsprechende Zeichen umgewandelt werden. Das heißt im Quelltext ist nicht “ sondern das entsprechende Zeichen. Hier hätte mir schon auffallen müssen, dass die Zeichen in der Quelltextdarstellung richtig sind. Ich habe aber auch so herausgefunden, dass der entscheidende Unterschied zwischen beiden Computern ist, dass ich auf Computer 2 die Microsoft Core Fonts installiert habe und daher auch die im Stylesheet angegebene Verdana nutzen kann. Und damit war ich fast am Ziel. Im Firefox 3.x auf „Kein Stil“ gesetzt und schon waren die Anführungszeichen korrekt:

Es muss also an Verdana liegen. Und tatsächlich finden sich in der Zeichentabelle bei Verdana diese Zeichen falsch!

Um das deutlich zu sagen: VERDANA IST VERBUGGT! Ich muss daher jedem von der Benutzung dieser Schriftart abraten, auch wenn dieser und weitere Fehler von Verdana bereits dokumentiert sind. Und am allerschlimmsten daran ist, dass dieser Fehler selbst in der aktuell mit Windows 7 ausgelieferten Version von Verdana (5.02) noch nicht behoben ist. Über die Gründe kann ich nur spekulieren, tippe aber auf die Microsoft’sche Standardausrede „Kompatibilität“.

Ich werde das auf dem Blog auch in absehbarer Zeit noch ändern.