Kreuvfs Allerweltsblog

Ich habe in den letzten Tagen ein wenig Zeit gefunden das SimCity für den SNES zu zocken. Entstanden ist dabei eine Stadt mit rund 340.000 Einwohnern mit Namen „Lacum“.

Ich habe mir auch die Arbeit gemacht und aus 27 Einzelscreenshots die gesamte Karte fotografiert wie sie aktuell, im Jahre 2253, aussieht. Ich bin ein wenig stolz auf diese Stadt, weil ich es bisher nicht geschafft habe mich von einem festen Bauschema zu trennen und die Stadt einfach nach und nach wachsen zu lassen. Ich denke, dass Lacum da aber einen sehr realistischen Eindruck macht, auch wenn typisch für SimCity keinerlei Straßen vorhanden sind, weil die nur Nachteile bringen. Die 500.000er-Marke habe ich aber auch dieses Mal wieder nicht erreicht.

Die größten Probleme sind die hohe Luftverschmutzung, hohe Mietpreise, hohe Verbrechensrate und zu hohe Steuern. Die hohe Luftverschmutzung resultiert aus der Landknappheit, die es mir nicht ermöglicht die Industriegebiete auseinanderzuziehen und die Zwischenräume mit Parkanlagen aufzufüllen. Dies ging nur etwa bis zu 150.000-Einwohnergrenze. Die hohen Mietpreise waren mein Ziel, denn ich hatte mir verschiedene Zufallskarten angeschaut unter dem Aspekt der möglichst großen Küstenlinie und 443 hat reichlich davon. Auf der anderen Seite gibt es genug wertlose Wohngrundstücke, einige davon sogar noch unbewohnt, von daher weiß ich nicht, was es da zu meckern gibt.

Die hohe Verbrechensrate ist ausschließlich auf die Industriegebiete bezogen. Ich baue in Industriegebieten so gut wie nie Polizeistationen, denn

• die Kriminalität ohnehin schwierig in den Griff zu bekommen,
• Industriegebiete wachsen auch bei höchster Kriminalitätsrate,
• für ein akzeptables Steuerniveau muss ich eben an der Polizei sparen und
• Polizeistationen würden nur wertvolle Fläche für Industriegebiete belegen.

Feuerwehren habe ich nur eine einzige, weil die Bevölkerung das mal verlangt hat, genauso wie ein Stadion und einen Hafen.

Das Boot hat sich irgendwie zwischen den beiden Schienen im Wasser verfangen, crasht aber nirgends rein. Da Flugzeuge nur dauernd abstürzen, habe ich mir den Flughafen im Nordwesten mit einem gezielt herbeigeführten Flugzeugabsturz kaputtgeglitcht, sodass wir zwar einen Flughafen haben, der aber kein Strom hat. Dadurch können keine Flugzeuge starten, die ja mindestens ein Mal pro Jahr abstürzen würden. Darauf habe ich einfach keine Lust. Bei der Menge an Flugzeugen sollte das vielleicht alle 25 Jahre bis 50 Jahre passieren. Zudem muss ich mich dann auch nicht um meine Geschenke oder flächendeckende Feuerwehr sorgen.

Die Steuern liegen bei 4 %, wodurch ich pro Jahr rund 2.000 $ Gewinn mache. Bei 3 % kriege ich einen zweistelligen negativen Betrag, sodass ich die Steuern nicht senken kann.

Im Süden gibt es ein Krankenhaus- und Schulviertel. Ich hatte ursprünglich vor wertloses Land für diese zufällig entstehenden Einrichtungen zu nutzen. Im Nachhinein hätte ich dafür lieber die nordwestlich gelegenen Wohngebiete nehmen sollen. Warum ich eine zweite Windmühle geschenkt bekommen habe, weiß ich nicht. Außer die bereits beschriebenen Tricks und Glitches habe ich keine Cheats oder den Debugmodus verwendet.

Mit den Parkanlagen hatte ich mir etwas Zeit genommen: Grünflächen stehen für Parkanlagen, die zum Zwecke der Luftreinigung gebaut wurden, während Bäume für Parkanlagen stehen, die zum Zwecke der Landpreissteigung gebaut wurden.

Die Platzierung der Geschenke habe ich nicht immer so platziert, dass der Effekt möglichst positiv ist. Schade ist vor allem, dass man abgerissene Geschenke nicht erneut erhalten kann. Ebenfalls wäre es toll, wenn man mehr als nur 7 Mal Landgewinnung erhalten könnte, da ich so noch mindestens 2 Inseln in die großen Wasserflächen gebaut hätte, auf denen die Landpreise explodiert wären. Hohe Landpreise bedeuten schließlich auch Wolkenkratzer und die beherbergen sehr viel mehr Einwohner als die Billighütten im Nordwesten. So hätte ich diesen Platz entweder für neue Industriegebiete oder für größere Abstände zwischen einzelnen Industriegebieten nutzen können.

Datenschutz ist spätestens mit der immer weitreichenderen Verfügbarkeit des Internets zu einem sehr wichtigen Thema geworden. Die meisten Menschen sind sich dessen zwar nicht bewusst, aber beim Surfen durch das Internet ist es mit den Standardeinstellungen der meisten Browser für Webseitenbetreiber ein Leichtes die Leute quer durchs Internet zu verfolgen. Das Paradebeispiel dafür stellt das von der Electronic Frontier Foundation ins Leben gerufene Projekt Panopticlick (Englisch) dar.

Identifikation durch die Browserkennung

Aber wie können die einen identifizieren? Jedes Mal, wenn man mit dem Browser eine Internetseite aufruft, werden schon standardmäßig und ohne, dass die Seite überhaupt geladen wurde, zahlreiche Informationen übertragen. Der Browser fragt dabei einen Server nach einer bestimmten Seite und schickt dabei tonnenweise identifizierende Informationen mit. Bei mir werden aktuell unter anderem die folgenden Informationen automatisch übertragen, nur damit die Seite weiß, welchen Browser ich habe:
Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.15) Gecko/20110303 Ubuntu/10.10 (maverick) Firefox/3.6.15

Nutzung der Daten durch Tracking-Dienste

Das sind laut Panopticlick bereits 15,25 Bits identifizierender Information. Einer von knapp 39.000 Browsern hat diese Kennung. Was heißt das? Das heißt, dass Tracking-Dienste — das sind zumeist kommerzielle Angebote, die sich auf die Nutzerverfolgung im Internet und damit auch deren Identifizierung spezialisiert haben — aus ihrer Datenbank schon über 99,997% aller Nutzer per se ausschließen können, weil deren Browser nicht diese Kennung hat. Umgekehrt heißt dies, dass man sich selbst in den verbliebenen weniger als 0,003% der Nutzer wiederfindet. Das heißt, dass die mich allein nur aus den paar Informationen schon auf einen sehr kleinen Nutzerkreis einschränken können. Noch ein bisschen mehr Information und ich bin eindeutig identifizierbar! Und all das ohne auch nur eine E-Mail-Adresse, meinen Namen, Spitznamen oder Geburtsdatum irgendwo eingegeben zu haben!

Und so geht das noch weiter. Akzeptiere ich Cookies und ist JavaScript in vollem Umfang aktiviert, dann komme ich zum erschreckenden Ergebnis, dass ich in der Panopticlick-Datenbank mit knapp 1,5 Millionen Einträgen eindeutig identifizierbar bin!

Do-Not-Track als „Lösung“

Das ist natürlich genug Leuten bekannt und die haben sich da was ausgedacht: Wir verschicken noch mehr Informationen an die Server! m(

Wie soll das funktionieren? Wenn man nicht quer durch das Internet von den bösen Tracking-Diensten verfolgt werden will, muss man laut deren Idee einfach nur ein „Do-Not-Track“ (verfolge mich nicht) mitschicken und dann hören die Tracking-Dienste auch auf damit. Das funktioniert ja auch in der Wirklichkeit immer hervorragend, wenn man dem Messerstecher oder dem Vergewaltiger sagt, dass der das doch bitte lassen soll. Deswegen werden solche Delikte ja schon seit Jahren nicht mehr in der Kriminalstatistik aufgeführt…

Es ist in Worten kaum auszudrücken wie hirnrissig diese Scheißidee ist! Erstens werden Tracking-Dienste diese zusätzliche Information nutzen können, um verschiedene Nutzer zu identifizieren. Auch wenn das nur ein Bit ist. Dies kann den Unterschied machen zwischen einem Nutzerkreis aus 10 Nutzern und 1 Nutzer!

Das Argument „Aber das dürfen die doch dann gar nicht, wenn es dann auch entsprechende Gesetze gibt! Das ist dann doch verboten! D:“ ist ungültig. Verbote halten niemanden davon ab etwas zu tun. Wäre das so, hätten wir keine Morde, Körperverletzungen, Erpressungen, Vergewaltigungen und keine Korruption mehr. Und genau so wird es auch bei den Tracking-Diensten laufen. Die freuen sich doch wie blöde, wenn sie da noch mehr identifizierende Information frei Haus geliefert bekommen und nicht mal JavaScript und Cookies bemühen muss, um daran zu kommen, ja der Browser das sogar freiwillig und unaufgefordert sendet! Klar, die ehrlichen Tracking-Dienste werden sich wahrscheinlich daran halten, aber das wird über kurz oder lang zu einem Wettbewerbsnachteil führen, da andere die Nutzer besser identifizieren können. Dem könnte man zwar wieder mit einem Gesetz entgegenwirken, das dafür sorgt, dass auch diejenigen bestraft werden, die Dienste nutzen, die gegen das Gesetz verstoßen, aber auch das wird dem einzelnen Nutzer im Zweifelsfall, also: immer, nur ein leeres Versprechen sein.

Und falls da draußen noch wer an die heile Welt glaubt, für den zitiere ich donottrack.us, die Seite zu Do-Not-Track:

No advertising network or other tracking service has yet announced plans to honor the Do Not Track header. From a technical perspective, recognizing the Do Not Track header is easy; we have listed several implementations on the right.

Deutsche Übersetzung von mir:

Bislang hat noch kein Werbenetzwerk oder anderer Tracking-Dienst Pläne angekündigt den Do-Not-Track-Header zu beachten. Von einem technischen Standpunkt her ist es einfach den Do-Not-Track-Header zu erkennen; wir haben mehrere Implementationen auf der rechten Seite aufgelistet.

Es wundert mich an dieser Stelle ja, dass keiner der Beteiligten den nötigen Blick für die Realität zu haben scheint, um einzusehen, dass Do-Not-Track der falsche Weg ist.

Ein weiteres Zitat aus einer auf donottrack.us verlinkten PDF:

IV. Do Not Track is verifiable.
We envision two technical approaches to verifying Do Not Track compliance. First, most tracking at the application layer²⁰ can be detected by modifying a browser to report tracking-related activity.²¹ If after receiving a Do Not Track header third-party embedded content sets a unique cookie or lists the browser’s plug-ins, the third party may be violating Do Not Track. Second, behavioral advertising can be identified by monitoring ads for interest targeting.²²

Deutsche Übersetzung von mir, Link zu Wikipedia von mir:

IV: Do Not Track ist überprüfbar
Wir stellen uns zwei technische Wege vor die Befolgung von Do Not Track zu prüfen. Erstens kann ein Großteil der Verfolgung auf der Anwendungsschicht²⁰ durch Veränderungen am Browser festgestellt werden, die darauf abzielen mit der Verfolgung in Zusammenhang stehende Vorgänge zu melden.²¹ Wenn eingebettete Inhalte Dritter nach dem Empfang des Do-Not-Track-Headers ein unique Cookie setzen oder die Browserplugins auflisten, dann könnte es sein, dass dieser Dritte Do Not Track verletzt. Zweitens kann behavioral advertising entdeckt werden, indem Werbung daraufhin überwacht wird, ob gezielt Interessen bedient werden.²²

Der erste Ansatz, um zu bestätigen, dass Do-Not-Track befolgt wird, beinhaltet die Veränderung des Browsers so, dass der Aktivitäten, die mit der Verfolgung in Zusammenhang stehen, meldet. Das gilt grundsätzlich aber nur für Dinge, die eine geladene Internetseite tut. Wenn diese zum Beispiel einen dieser rottigen Facebook-Gefällt-mir-Knöpfe einbindet, wird Müll von Facebook nachgeladen. Aber Facebook hat dann sowieso schon unsere Browserkennung etc. erhalten und kann damit genug anfangen, denn durch die Einbindung des Facebookdrecks auf der Seite wird der Browser ohne Zutun des Nutzers automatisch angewiesen diesen Kram auch zu laden. Anders gesagt: dieser Ansatz verfehlt sein Ziel, da die identifizierenden Informationen zu diesem Zeitpunkt schon gesendet sind und man höchstens feststellen kann, ob die Seite versucht weitere Informationen zu holen. Der zweite Ansatz ist noch absurder: man solle sich doch bitte anschauen, ob die eingeblendete Werbung den persönlichen Interessen entspricht und, sollte das der Fall sein, muss man wohl identifiziert worden sein. Das heißt nichts weiter, als dass hier das Kind bereits in den Brunnen gefallen ist. Und zusätzlich dazu soll ich mir diesen Werbemüll reinziehen.

Gegenvorschlag

Tracking-Dienste sollten standardmäßig annehmen, dass niemand quer durch’s Internet verfolgt werden will. Die, die das wollen, können dann ja ein „Do-Track“ mitsenden, der Rest vom Internet sollte von diesem Abschaum aber verschont bleiben. Anders ausgedrückt: Die Lösung lautet Do-Not-Track nicht einzusetzen. Viel eher sollten alle Browserhersteller und auch Hersteller von Browserplugins etc. sehr stark darauf achten, dass nur eine minimal nötige Menge Informationen standardmäßig an Server gesendet wird. Den Tracking-Diensten müssen von Browserseite her schon möglichst viele Steine in den Weg gelegt werden den Nutzer zu identifizieren.

Fazit

Die bereits vorhandenen Möglichkeiten zur Nutzerverfolgung im Internet sind bereits gravierend genug. Da brauchen wir den Tracking-Diensten nicht noch mehr Möglichkeiten zur Verfügung stellen. Interessanterweise steht das auch in der englischen PDF der EFF zum Thema „How unique is your browser?“:

The Paradox of Fingerprintable Privacy Enhancing Technologies
Sometimes, technologies intended to enhance user privacy turn out to make fingerprinting easier. Extreme examples include many forms of User Agent spoofing (see note 3) and Flash blocking browser extensions, as discussed in Section 3.1. The paradox, essentially, is that many kinds of measures to make a device harder to fingerprint are themselves distinctive unless a lot of other people also take them.

Deutsche Übersetzung von mir:

Das Paradoxon der zur Identifikation nutzbaren Datenschutztechnologien
Manchmal zeigt es sich, dass Technologien, die eigentlich dazu gedacht waren die Privatsphäre des Nutzers besser zu schützen, die Identifikation erleichtern. Extreme Beispiele sind viele Formen der Veränderung der Browserkennung (siehe Anmerkung 3) und Browsererweiterungen zum Blockieren von Flash wie in Abschnitt 3.1 beschrieben. Das Paradoxon, im Kern, lautet, dass viele Maßnahmen, die die Geräteidentifikation erschweren sollen, letztendlich selbst Unterscheidungsmerkmal sind, sofern nicht selbst viele andere Leute diese Maßnahmen auch einsetzen.

Es stehen noch weitere interessante Methoden zur Verringerung der Informationsmenge in dieser PDF, daher geht dafür eine ausdrückliche Leseempfehlung an alle raus. Und ich bleibe dabei: Do-Not-Track ist Dreck. Es ist gefährlich, kontraproduktiv, zusätzliche Datenlast, die durch’s Internet geschickt wird, und hat für sich genommen absolut gar keinen Einfluss darauf, ob wir nun verfolgt werden oder nicht. Zusätzlich dazu gibt es dem Durchschnittsnutzer, der das entdeckt und nur eine Kurzbeschreibung dazu im Browser liest, ein falsches Gefühl von Sicherheit. Das Übel muss an der Wurzel gepackt werden und das geht nur, indem man von Vornherein verhindert, dass man überhaupt derart einfach verfolgt werden kann.

Laut heise.de wird die Porno-TLD .xxx eingeführt.

Ich wäre ja trotzdem für .cum gewesen, weil man dann von Dotcum-Firmen und -Inhalten und Dotcum-Blasen hätte reden können.

So bleibt mir nur die Hoffnung, dass DAUs auf der Suche nach dem Aufbau einer IPv4-Adresse auf „xxx.xxx.xxx.xxx“ stoßen und das in den Browser eingeben xD

Bild steht nicht unter der sonst in diesem Blog verwendeten Lizenz.

Update 2011-04-13 19:10 Uhr

Habe das Bild bei lolpics.se unter dem Titel „Problem Japan?“ hochgeladen, damit es weitere Verbreitung findet.

Im Deutschen werden Zitate von doppelten und einfachen Anführungszeichen oben und unten kenntlich gemacht. Dies lässt sich auch in HTML einsetzen und da ich Wert lege auf eine halbwegs saubere Typografie, verwende ich das auch. Da es mir zu mühselig ist die einzelnen Zeichen immer aus Zeichentabellen herauszukopieren, verwende ich dazu die HTML-Entitäten „ und “ für das öffnende Anführungszeichen (unten) und das schließende Anführungszeichen (oben). Für einzelne Anführungszeichen nehme ich entsprechend ‚ und ‘.

Und die Welt könnte so schön sein. Gäbe es da nicht Microsoft. Microsoft hat ja einige Schriftarten im Angebot, unter anderem auch die Microsoft Core Fonts, die man überall im Internet benutzen können soll. Darunter befindet sich auch die extra für die Bildschirmausgabe entworfene Schriftart Verdana. Ich mochte Verdana immer sehr und momentan steht die sogar auch noch im Stylesheet für den Blog als erste und einzige zu benutzende Schriftart. Noch.

Mir ist schon vor einiger Zeit aufgefallen, dass ich an Computer 1 die Anführungszeichen korrekt dargestellt sehe. Auf diesem Computer lief zum damaligen Zeitpunkt Ubuntu 8.04 LTS und ich verwendete den Firefox 2. Auf Computer 2 jedoch mit einem aktuelleren Ubuntu und Firefox 3.x sahen in Anführungszeichen gefasste Abschnitte beschissen aus:

Zuerst dachte ich, dass der Firefox hier in einer aktuelleren Version einen Bug bekommen hat, der eben die falschen Zeichen aussucht. Nachdem ich aber in der Bug-Datenbank nicht fündig geworden bin, habe ich das Zeichen mal kopiert und in der Zeichentabelle gesucht und dort auch das korrekte Zeichen gefunden. Der Fehler muss also beim Rendern im Firefox geschehen.

Ich habe dann mal in den Quelltext geschaut und wurde mit der negativen Firefoxeigenschaft konfrontiert, dass HTML-Entitäten direkt in das entsprechende Zeichen umgewandelt werden. Das heißt im Quelltext ist nicht “ sondern das entsprechende Zeichen. Hier hätte mir schon auffallen müssen, dass die Zeichen in der Quelltextdarstellung richtig sind. Ich habe aber auch so herausgefunden, dass der entscheidende Unterschied zwischen beiden Computern ist, dass ich auf Computer 2 die Microsoft Core Fonts installiert habe und daher auch die im Stylesheet angegebene Verdana nutzen kann. Und damit war ich fast am Ziel. Im Firefox 3.x auf „Kein Stil“ gesetzt und schon waren die Anführungszeichen korrekt:

Es muss also an Verdana liegen. Und tatsächlich finden sich in der Zeichentabelle bei Verdana diese Zeichen falsch!

Um das deutlich zu sagen: VERDANA IST VERBUGGT! Ich muss daher jedem von der Benutzung dieser Schriftart abraten, auch wenn dieser und weitere Fehler von Verdana bereits dokumentiert sind. Und am allerschlimmsten daran ist, dass dieser Fehler selbst in der aktuell mit Windows 7 ausgelieferten Version von Verdana (5.02) noch nicht behoben ist. Über die Gründe kann ich nur spekulieren, tippe aber auf die Microsoft’sche Standardausrede „Kompatibilität“.

Ich werde das auf dem Blog auch in absehbarer Zeit noch ändern.