Redio Blog

Gut, mag man sich jetzt denken. Kindergarten, das sind vielleicht die Foren-Trolle bei einer sehr großen IT-News-Seite. Aber weit gefehlt: Im folgenden Beispiel braucht es nur eine Journalistin der “taz” und ein Blogger. Achja: Und jemanden, der den Blogger abmahnt und viele, die das wirklich scheiße finden.

Aber mal ganz von vorne…
Phillipp, blogger bei nomnomnom.de, verfasst im Mai vergangen Jahres einen Artikel. Genauer gesagt einen Artikel über Amerika und Obama. Da er aber keine journalistischen Mittel hat, um ein wenig nachzurecherchieren, nutzt er das Internet und wird bei Zeit Online fündig. Er nimmt sich ein paar Text-Passagen aus dieser ZEIT-Kolumne, den die Journalistin Eva C. Schweitzer geschrieben hatte, und packte ihn samt seiner Meinung auf seinen Blog.

Die Abrechnung… sollte bald folgen, denn gestern tauchte bei Spreeblick dieser Blogeintrag auf, wonach Philipp der Journalistin 1.200 Euro bezahlen sollte, wegen Urheberrechtsverstößen (außerdem noch 955,00 Euro Anwaltskosten).

Der Blogger Markus Beckedahl von netzpolitik.org ging der Sache nochmal auf den Grund. Er beschreibt die Unverhältnismäßigkeit, mit der die Journalistin vorgeht. Sie schickt direkt ihren Anwalt los, ohne überhaupt mal auf das Blog zu gucken, ob denn da nicht eine E-Mail-Adresse wäre, um den Autor anzuschreiben. Aber das wäre einer Journalistin zu viel verlangt, außerdem will sie ja für ihre Texte Geld sehen. Da ist es ja ganz egal, ob der Blogger für sein 100-Besucher-Publikum oder für ein Millionen-Publikum schreibt.

Am Abend antworte Eva Schweitzer mit einer opskuren E-Mail dem Blogger Johnny Häusler auf seinen Blogeintrag. Diese veröffentlichte Johnny promt und kommentierte sie. Aus ihren Ausschnitten möchte ich auch einmal zitieren:

Ich habe eine Art digitale Schleppnetzfahndung veranlasst, um herauszufinden, wer alles meine Artikel nachdruckt. Das richtet sich vor allem gegen Zeitungen und kommerzielle Reiseportale. Das Kriterium ist, wurde ein ganzer (oder fast ganzer) Artikel abgedruckt, womöglich ohne Namensnennung.

Der Grund, warum das so teuer ist, ist folgendes: Dies ist ein ziemlich aufwendiger Abgleich, und den mache ich natürlich nicht selber, damit muss man Profis beauftragen, und dann befindet man sich bei den Preisen sozusagen in der Erwachsenenwelt. Verglichen mit dem, was ein New Yorker Anwalt nehmen würde, ist es übrigens noch billig.

So ein Ärger aber auch. Da muss die arme Frau direkt teure Leute bedienen, weil sie Google nicht bedienen kann. Oder wisst ihr noch nicht, dass man ganze Sätze mit einem ” und einem ” suchen kann? Zum Bleistift “Ich habe eine Art digitale Schleppnetzfahndung veranlasst, um herauszufinden, wer alles meine Artikel nachdruckt.”. Au weia aber auch, jetzt haben Sie jahrelang den Abzockern, die das Internet als Kommerzbude sehen, das Geld zum Rachen eingeworfen.

Wer nun ein politisches, nicht-kommerzielles Blog betreibt und das mit einem meiner Artikel aufgehübscht hat, kann sich gerne an mich wenden, [...] noch besser wäre es, mich [...] vorher zu fragen

Das wäre ja noch schöner. Die Blogger sollen also erstmal die E-Mail-Adresse einer Person in einer Redaktion herausfinden, um dann doch ein “nein” zu bekommen? Ich glaube ganz stark, dass die Frau Schweitzer das Internet nicht verstanden hat. Und Blogs erstrecht nicht. Auf Blogs wird nunmal nicht nachgefragt, ob man etwas verwenden darf, besonders auf privaten Blogs nicht, schon aus Unwissenheit nicht. Der Blogger wollte ja nur, dass man Ihren Artikel liest. Wo ist also das Problem, wenn Sie ihn einfach angeschrieben hätten? Die E-Mail-Adresse fande ich mit einen klick aufs Impressum. Okay, jetzt noch schwer aus dem “a-mitkringeldrumrum” ein @ zu machen, schon klar, soviel Spaß verkraften Sie nicht. Stattdessen schicken Sie lieben Ihren Anwalt los, der wie bekloppt Rechnungen an alle schickt und abmahnt. Nunja, dagegen wäre nichts vorzuwerfen, wenn die Leute, die er abmahnt, nicht private Blogs wären.

Dann kam heute gegen 16 Uhr diese weitere Stellungnahme von Frau Schweitzer auf das taz-Blog. Jetzt geht der Kindergarten erst richtig los.

Ja, manchmal kommt es anders, als man denkt. Da wollte ich schon Philipp vom Haken lassen, und jetzt schreiben mir seine Freunde dauernd emails. Nachdem ich aber unmöglich dem Druck eine Horde wutschnaubender Möchtegernpiraten nachgeben kann, die ihre Nächte im Schlafanzug vom dem Computer verbringen, habe ich mir nun ein neues Angebot überlegt: Ich lasse die ursprüngliche Forderung fallen, aber Philipp zahlt für jedes email, das ich bearbeiten muss, zehn Euro. Und zwar an eine gemeinnützige Organisation meiner Wahl. Noch kommt er damit billiger weg.

Hm, wie bitte? Denkt sich jetzt der taz-Blog-Leser und guckt darunter auf diese kopierte E-Mail, die sie veröffentlicht hatte. Aber erstmal den Text auseinander nehmen.

Da wollte ich schon Philipp vom Haken lassen, und jetzt schreiben mir seine Freunde dauernd emails.

Was Sie so schön “vom Haken lassen” nennen, ist echt eine Schande. Sie schießen mit Kanonen auf einen kleinen Blogger, der eigentlich nur positiv über Sie berichten wollte! Und à propos – “emails” schreibt man E-Mails.

Nachdem ich aber unmöglich dem Druck eine Horde wutschnaubender Möchtegernpiraten nachgeben kann, die ihre Nächte im Schlafanzug vom dem Computer verbringen …

Berechtigt! Es gab berechtigten Aufwind der Blogger-Szene. Es kann ja wohl nicht sein, dass ein Profi-Journalist, wie Sie es sind, auf Blogs losgeht, nur weil man ein paar Textstücke von Ihnen benutzt. Ist das ein stilles Signal von Schwäche, dass Sie merken, dass die Blogs der Zeitung einen Rang ablaufen? Dass Verlage im Web kein Finanzierungsmodell gefunden haben und deshalb jetzt auf die kleinen losgehen, weil die jetzt für Jedermann berichten?

Ihre Wortwahl ist dem eines Kindergartenalters ganz ähnlich. Auch im folgenden Text haben Sie nicht versucht, wie eine professionelle Redakteurin der taz zu argumentieren, sondern haben sich zum Gespött der Bloggosphäre gemacht! Aber da Sie in der E-Mail sowieso nur ihren Eingangstext zitiert haben, macht es ja nichts, wenn ich auch diese E-Mail mal zitiere. Auf dass Sie vielleicht erwachsener im Ausdruck werden:

Lieber Herr Häusler,

Vielen Dank für Ihre schnelle Antwort. Ich erkläre es Ihnen aber nochmal: Wenn Sie über jemanden etwas schreiben, insbesondere, wenn es etwas Kritisches ist, müssen Sie sich mit der Person vorher in Verbindung setzen. Dass Sie irgendwie dazu keinen Bock hatten, interessiert niemanden, wenn Sie sich deshalb juristisch in die Nesseln setzen.

Und ich kann mir unmöglich vorstellen, dass jemand nicht in der Lage ist, innerhalb einer Woche meine emailadresse herauszufinden. Wenn das die Recherchefähigkeiten der Bloggosphere sind, dann gute Nacht.

Eigentlich wollte ich ja Philipp vom Haken lassen, aber nach dem Theater habe ich keine Lust mehr. Was halten Sie von dem Vorschlag: Ich lasse die ursprüngliche Forderung fallen, Philipp zahlt aber zehn Euro pro email, das ich bearbeiten muss, an eine gemeinnützige Organisation meiner Wahl? Dann ist beiden Seiten gedient.

mfg, Eva Schweitzer

Zögern Sie nicht, auch das wieder zu posten.

Wenn das Ihre Art von Humor oder was das auch immer sein soll, dann gute Nacht, lieber Qualitätsjournalismus.

… ist da und das bringt neue Sicherheitsfunktionen mit. So wurde zum Beispiel eine DoS-Lücke gestopft, die via Trackbacks beliebigen Code über die Funktion eval() ausführen lassen kann.

Außerdem sollen die Administratoren jetzt auch nicht mehr jede Datei hochladen können, sondern nur die mit den Dateiendungen, die in der Whitelist stehen.

Der Download von WordPress 2.8.5 wird also dringend empfohlen, um mögliche Angriffe auszuschließen.

Als letztes empfehlen die Sicherheitsexperten von WordPress noch das WordPress Plugin “WordPress Exploit Scanner” zu installieren. Es soll helfen, Einbrecher zu entlarven und sucht anhand von Plugins, Blogeinträgen, Logins und Kommentaren nach verdächtigen Aktivitäten.

WordPress 2.9 soll dann Ende November bzw. Anfang Dezember erscheinen und bringt neue Features, wie z. B. eine PDF-Verwaltung oder die Möglichkeit Videos anhand der URL (“oEmbed”) einzubinden. Eine erste Beta-Version kommt am 31. Oktober 2009 auf die Seiten von WordPress.

Ich muss gerade unglaubliches lesen, als ich in meinem Reader auf Netzpolitik klickte. “Datenleck bei SchülerVZ”. Man kann sich schon vorstellen, dass es nicht der erste Fall solcher Art ist und vieles unter den Tisch gekehrt wird.

Konkret geht es darum, dass mehr als eine Millionen Datensätze (Name, Alter, Wohnort, Interessen, Geschlecht, Profilbild usw.) gephist wurden. Durch Löcher im SchülerVZ-CMS. Dass SchülerVZ nicht aus vergangenen Pannen, wie bei StudiVZ oder MeinVZ, gelernt hat, ist wirklich bedauerlich.

Zurück zum Artikel von netzpolitik.org. Markus hat in der Verbraucherzentrale um Rat gefragt und ein Interview erhalten:

Die Betreiber sozialer Netzwerke sind in der Pflicht, Daten ihrer Mitglieder gegen unbefugten Zugriff zu schützen. Das aktuelle Beispiel zeigt, dass Benutzer sich nicht in Sicherheit wiegen lassen sollten: Netzwerke sind ein Teil des Internets und nicht von ihm getrennt. [...]

Kurz nach der Veröffentlichung auf netzpolitik.org hatte sich SchülerVZ selbst zu Wort gemeldet und lässt verlauten, dass man “die Datenschutzbehörden umgehend informiert und [...] rechtliche Schritte gegen Unbekannt einleiten” wird.

Übrigens stammen die Löcher von so genannten “Cross Site Request Forgery”, kurz XSRF, eine Unterart der XSS, der Cross Site Scripting-Attacken, wie sie auch mal bei Redio vorkamen. Mit diesen Lücken, so Insiderinformationen, ließen sich auch Accounts übernehmen und andere tolle Dinge tun, wie Accounts löschen oder Inhalte hochladen. Desweiteren soll eine kleine Lücke darin bestehen, dass Bilder nicht vom Server gelöscht werden, sondern nur der Link zum Bild. SchülerVZ streitet dies aber ab.

Mittlerweile soll sich die unbekannten Eindringlinge schon bei SchülerVZ gemeldet haben, um die Lücke zu beheben. Von eine Anzeige möchte SchülerVZ bei voller Kooperation absehen.

Aus aktuellem Anlass ein Überblick über das, was hier bei Redio an (personenbezogenen) Daten anfällt.

Der Webserver führt ausschließlich ein Logbuch für Fehler, es werden also nicht alle Zugriffe protokolliert, sondern nur solche, die einen Status ungleich 200 zurücklieferten. Eine typische Zeile sieht so aus und enthält die Zeit, IP-Adresse, Datei, Referer und, je nach Fehlertyp, noch andere Informationen:
[Fri Oct 16 22:29:38 2009] [error] [client *] File does not exist: /home/www-data/htdocs/e/example/www/example.php, referer: http://www.example.com
Speicherdauer: 14 Tage.

Auch jeder Versand von Mails wird protokolliert. Gespeichert werden hier Skriptpfad plus Zeile des mail()-Aufrufs und alle E-Mail-Header:
mail() on [/home/www-data/htdocs/e/example/www/emailer.php:212]: To: ...
Speicherdauer: 14 Tage.

Der FTP-Server (das betrifft die wenigsten) speichert alle Verbindungsversuche und alle Aktionen mit Zeit, IP-Adresse und Benutzername:
Thu Oct 15 17:20:21 2009 [pid *] CONNECT: Client "*"
Thu Oct 15 17:20:23 2009 [pid *] [anonymous] FAIL LOGIN: Client "*"
Speicherdauer: 30 Tage.

Das HVS protokolliert diverse “wichtige” Aktionen wie zum Beispiel “Account erstellt”, “Account gelöscht”, “Neues Passwort angefordert”, diverse von Administratoren ausführbare Aktionen, sowie Meldungen von Verwaltungsskripten. Was genau gespeichert wird hängt recht stark vom Meldungstyp ab (Benutzername/-ID, E-Mail-Adresse, Datum des letzten Login, “Onetime-ID”, …), Zeit und Benutzername (falls angemeldet) werden aber immer gespeichert, nicht jedoch die IP-Adresse.
Speicherdauer: Zurzeit unbegrenzt. Es ist aber geplant die Daten nach etwas mehr als einem Monat zu löschen.

Außerdem wird nachts ein Backup der Redio-Datenbank (nicht der Benutzerdatenbanken!) erstellt. Darin befinden sich natürlich alle Daten, die das HVS erhebt (Nutzerdaten wie E-Mail-Adresse und Accountname, aber auch Domains und Datenbanknamen/-passwörter).
Speicherdauer: 14 Tage.

Mit Firefox 3.5 hat Mozilla schon ein Maßstab für Schnelligkeit im Web gesetzt. Doch kaum waren die ersten Benchmarks da, war Firefox neben Internet Explorer der deutliche Verlierer. Diesen Rückstand wollten die Community um Firefox nicht auf sich sitzen lassen und haben deswegen Firefox 3.6 ins Rennen geschickt, den wir direkt angetestet haben. Mehr…

… ist auf Redio gut, aber nicht überall.

Wenn mehrere Seitenbetreiber das selbe Verzeichnis benutzen, in dem sie Sessions speichern wird es problematisch. Zumindest wenn jeder auch noch Leserechte in dem Verzeichnis hat oder zumindest die Dateien auflisten darf.

Denn die heißen meistens sess_$sid  und wenn man $sid hat, hat man die Session, kann sie auslesen, verändern usw …

YouTube Direktbrowser

Nach dem kleinen Schock von gestern habe ich nochmal ein wenig genauer nachgesehen:

Es gibt im Moment 1980+2347 = 4327 Benutzer (jeweils lexu + azure). 522+430 = 952 (22,0%) davon haben 0(!) Bytes auf ihrem Webspace (der Webspace ist also leer). 567+499 = 1066 (24,6%) sind mit < 1KB dabei, 568+890 = 1458 (33,6%) haben weniger als 1 MB, 1382+1572 = 2954 (68,2%) weniger als 10 MB und 1947+2300 = 4247 (98,1%) weniger als 100 MB auf ihrem Webspace gepeichert. Datenbanken sind hier aber nicht eingerechnet.

Das heißt im Klartext: Jeder vierte im Moment existierende Account ist “unbenutzt”, wenn man unbenutzt als “weniger als 1 KB belegt” definiert.

…wäre ich fast vom Stuhl gefallen. Der Grund:

400(!) Nutzer weniger. Das ist an sich kein Fehler, denn es waren alles Nutzer, die sich — selbst nach Aufforderung per E-Mail — vor mehr als 6 Monaten eingeloggt hatten und damit als “inaktiv” markiert wurden. Aber ein bisschen viel ist es schon…