10.4.7 telefoniert nach Hause

maceis schrieb:
Da würde ich mir über Software-Aktualisierung mehr Sorgen machen - komischerweise juckt es da aber offensichtlich niemanden.

Also ich bin es gewohnt das MacUser bei Kleinigkeiten am lautesten schreien, du nicht? :D

Darüber meckern, aber es nicht erwarten können sich Windows und Half-Life2 (daraus resultierend Steam) zu installieren. Beides Software die laut EULA nach Hause telefoniert und Nutzerdaten raus schickt. ;)

Oder damals das mit dem iTunes MiniStore. Alle meckerten das dieser den aktuellen Titel sendet, um den Store abzufragen. "Apple spioniert". ;) Witzigerweise hat aber irgendwie kaum einer was gegen "Aktuellen iTunes-Titel" als iChat-Status... naja... wie gesagt. Ich finde es nur noch witzig. ;)

Nur weil irgendetwas eine Verbindung zum Internet haben will, heißt das noch lange nicht das gleich das der ganze Festplatteninhalt ins Netz gesendet wird. ;)

Und wer halt immer noch meint alles von ihm würde ins Netz gehen der macht halt das Terminal auf und tippt:

sudo ipfw 65535 deny ip from any to any

ein und "sicher" ist er. ;)
 
-Nuke- schrieb:
...
Und wer halt immer noch meint alles von ihm würde ins Netz gehen der macht halt das Terminal auf und tippt:

sudo ipfw 65535 deny ip from any to any

ein und "sicher" ist er. ;)
Also da muss ich leider mehrfach widersprechen, denn
  1. ist die Syntax falsch,
  2. kann man keine rule 65535 eintragen, und
  3. müsste die rule ohnehin ganz an den Anfang um sicher zu greifen.
Müsste also etwa so aussehen:
'sudo ipfw 1 add deny ip from any to any'
oder noch sicherer (könnte ja schon eine rule 00001 geben):
'sudo ipfw flush
sudo ipfw 1 add deny ip from any to any'

:D :D ich mein ja nur
 
-Nuke- schrieb:
Oder damals das mit dem iTunes MiniStore. Alle meckerten das dieser den aktuellen Titel sendet, um den Store abzufragen. "Apple spioniert". ;)
Diese Funktion wurde in den Medien auch total falsch geschrieben. Es wurde so dargestellt als würde iTunes den aktuell abgespielten Song an Apple schicken und Apple könnte dadurch die Musikgewohnheiten der Nutzer analysieren.

Der Ministore überträgt aber nicht den aktuell gespielten Song, sondern den aktuell angewählten Song. Der Ministore zeigt dann eine kompakte Übersicht mit Songs und Alben dieses Interpreten und Musik die andere Kunden gekauft haben.

Diese Funktion hat also nicht – wie in den Medien dargestellt – während der Wiedergabe kontinuierlich mit dem Music Store kommuniziert, sondern nur beim stöbern in der eigenen Musiksammlung und auch nur bis man den Ministore abgeschaltet hat.

Es war von Apple allerdings etwas unglücklich den Ministore gleich als Voreinstellung zu aktivieren, was aber glücklicherweise in einer späteren Version korrigiert wurde.

Wir sollten daraus aber erstmal lernen, das in der Berichterstattung über solche Funktionen oft Tatsachen verdreht oder falsch dargestellt werden. Das gilt zwar vor allem für Magazine wie der Spiegel, die Themen immer gerne reißerisch verfassen, sondern leider oft auch für Fachzeitschriften/-webseiten.

Bevor man zur Hexenjagd bläst, sollte man also erstmal vorsichtig hinterfragen was eine solche Funktion in welchem Umfang und zu welchem Zweck macht. Denn auch bei Microsofts Software wurde nach meinem Wissen noch nie nachgewiesen das diese systematisch persönliche Daten des Nutzers an Microsoft überträgt, aber ich lasse mich da gerne eines besseren belehren.
 
Naja, des sind mir immer die richtigen, sich über so was aufregen und nebenbei unverschlüsselt Geschäfte per Mail abwickeln.
Und kritisch zu hinterfragen heißt nicht:"OMG Apple durchsucht bestimmt meinen Festplatteninhalt um mich wegen Kinderraubpornokopieterrorismus anzuzeigen!!11elfelf"
 
maceis schrieb:
Punkt 2 in Deinem Beitrag halte ich übrigens für sich allein gesehen als ziemlich schwach. Die Tatsache, dass ich irgendwo klicken kann, klärt mich noch nicht über den Inhalt der gesendeten Daten auf geschweige denn, dass ich dies prüfen könnte. Das läuft dann letztendlich auf "Friss oder Stirb" hinaus.

Das ist auch als "und" zu lesen, nicht als "oder".

Eine Freigabe per Dialog durch den Anwender steht im Kontext mit den anderen Punkten. Nicht "stattdessen".
Damit dem User klar ist, dass hier was passiert, was er selbst entscheiden sollte. Er ist dann nicht "sicher", sondern "informiert" und kann dann die Verantwortung übernehmen - oder sie in den Wind schiessen.

Gruß,
Jörg
 
maceis schrieb:

Scherzkeks. ;)

@Magicq99

Meinen herzlichen Glückwunsch, du hast es verstanden. ;) ^^ Genau deinen Text kannst du auch auf das jetzige "Problem" beziehen.

Beim Windows Media Player steht (oder stand, kA) in der EULA drinnen das dieser Daten an M$ zur Auswertung sendet. Also das was du gerade an Musik hörst oder welche Filme du guckst. Ich glaube das ist jetzt eine Option, die man bei der Installation anhaken kann bzw. standardmäßig angehakt ist.
 
Schon klar, ratti.
Aber sind wir doch einmal realistisch.

  1. Jeder Datenaustausch über Internet birgt die potentielle Gefahr, dass ohne Kenntniss des Benutzers auch unbemerkt Daten übermittelt werden.
    Das können technisch sinnvolle, aber auch "Spionage"-Daten sein.
  2. Es ist wenig realistisch, erwünschten, aber nicht offensichtlichen Datenverkehr so zu dokumentieren, dass ein Großteil der Benutzer damit echt was anfangen kann.
  3. Es ist auch wenig sinnvoll, bei jeder Information, die übertragen wird, ein Fenster aufpoppen zu lassen á la "Achtung. Ihr Browser übermittelt gerade seine Versionsnummer, damit die Website, die sie im Begriff sind abzurufen optimal dargestellt werden kann. Wollen Sie das unterbinden?".
  4. Werkzeuge wie "Little Snitch" könne zwar eine Hilfe sein, aber letztendlich auch nicht sicher garantieren, dass nicht am Benutzer vorbei Informationen an Dritte übermittelt werden.

Ganz besonders viel Zugriff auf den von Dir produzierten Datenverkehr haben außerdem die ISP. Hat man da etwa schon mal drüber diskutiert?

Das ganze setzt sich fort im "wirklichen" Leben.
Niemand kann garantieren, dass
- Deine Telefonate nicht mitgehört werden
- Deine Kontobewegung nicht irgendwo analysiert werden
- Deine Post nicht dokumentiert wird,
- der Müllmann nicht heimlich mitschreibt, wieviel Essen bei dir in der Tonne landet

... usw.

Aber wegen so einem kleinen Daemon, der die Dashboardwidgets überprüft, da wird Wind gemacht ohne Ende :hamma:.
 
Zuletzt bearbeitet:
Das ist definitiv falsch und zwar in zweierlei Hinsicht.
1. Es ist sehr wohl möglich, das Ganze abzuschalten.
2. Das achtstündige Intervall gilt nur für Rechner die ununterbrochen laufen und nie im Ruhezustand sind.

Mich würde mal noch was anderes Interessieren:
Hat mal jemand ausprobiert, was passiert, wenn man ein widget herunterläd und selbst verändert?
Müsste ja eigentlich einen Alarm auslösen o.ä.
 
Ich glaube dieser Dienst ist serverseitig noch nicht in Betrieb. Zumindest hat man doch bisher noch nirgendwo eine Meldung über eine angezeigte Warnung oder ein Updatehinweis gesehen.
 
Das würde mich wundern.
Es werden doch schon Signaturdaten übermittelt.
Code:
telnet www.apple.com 80
Trying 17.254.0.91...
Connected to www.apple.com.akadns.net.
Escape character is '^]'.
GET /widgets/widgetadvisory HTTP/1.1
User-Agent: CFNetwork/129.16
Connection: close
Host: www.apple.com

HTTP/1.1 200 OK
Age: 6586
X-Cache-TTL: 79814
Accept-Ranges: bytes
Date: Mon, 10 Jul 2006 15:30:26 GMT
Content-Length: 2095
Content-Type: text/plain
Expires: Tue, 11 Jul 2006 15:30:26 GMT
Cache-Control: max-age=86400
Server: Apache/1.3.33 (Darwin) PHP/4.3.10
Last-Modified: Thu, 08 Jun 2006 22:08:55 GMT
ETag: "82f-44889ff7"
X-Cached-Time: Sun, 09 Jul 2006 16:00:58 GMT

----- BEGIN SIGNATURE -----
MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGCSqGSIb3DQEHAaCAJIAEOi+qB
bNkDp0nAQAAAAAAAAAAAAAuAAAAAAAAACYAAAAAAAAAAABIOEHzTnY9yhcFfWh/8KSqN7WlRX
UAAAAAAACgggO2MIIDsjCCApqgAwIBAgIBAjANBgkqhkiG9w0BAQUFADBgMQswCQYDVQQGEwJ
VUzEdMBsGA1UEChMUQXBwbGUgQ29tcHV0ZXIsIEluYy4xEjAQBgNVBAsTCURhc2hib2FyZDEe
MBwGA1UEAxMVRGFzaGJvYXJkIEFkdmlzb3J5IENBMB4XDTA2MDUxNzE4MDkxN1oXDTM2MDQyO
TE4MDkxN1owXTELMAkGA1UEBhMCVVMxHTAbBgNVBAoTFEFwcGxlIENvbXB1dGVyLCBJbmMuMR
IwEAYDVQQLEwlEYXNoYm9hcmQxGzAZBgNVBAMTEkRhc2hib2FyZCBBZHZpc29yeTCCASIwDQY
JKoZIhvcNAQEBBQADggEPADCCAQoCggEBANJkOc7PdgTrpeDvBwZ59e7CDdWiTauUxSDwm8SA
4JgrQ+Gwj7c/T1KgJI57F8Eq8fju+Ckq0/p+uVLUQJ2beCYPydyKJpH5Je5g9iB9iUUoO8uam
SloFOJMFOYOPn8kPKjtKvYEs2NSf8+LK+S8tOTO0ng8jfPmcTDpiTVFh3rmukoypZJ722iBXJ
S5MOjXwGeMd8eib3mbPrHi4kFhQzuG48d7f7LrPdQ+mIfMk69yAymGtyQf7Uubi8wXGgKxUBX
kS3EE8l8Pd6mybz5Yz/42RPfEG2FrinaggJE/TaW4Kb9Di5S4jt/j8csA+6YYMR7GxGuC/hoo
+gHimG+kD1UCAwEAAaN6MHgwDgYDVR0PAQH/BAQDAgeAMA8GA1UdEwEB/wQFMAMCAQAwFQYDV
R0lBA4wDAYKKoZIhvdjZAQBBDAdBgNVHQ4EFgQUlxwKOog1HQ1DbOELsmm3KEMOVuYwHwYDVR
----- END SIGNATURE -----
BEGIN;
INSERT OR REPLACE INTO meta VALUES ('serial-number', 1);
COMMIT;
Connection closed by foreign host.
 
Aber kommt auch schon etwas vom Server zurück und reagiert das Dashboard darauf? Bisher gibt es doch nur Berichte das dieser Dienst etwas an den Server überträgt, aber noch keine das das Dashboard bisher bei jemandem in irgendeiner Weise darauf reagiert hat. Oder ist mir da was entgangen?

Daher denke ich das dieser Dienst auf dem Apple Server noch nicht aktiv ist bzw. noch keine wirkliche Funktion durchführt.
 
Magicq99 schrieb:
Aber kommt auch schon etwas vom Server zurück
...
Die Signatur kommt doch vom Apple-Server - woher sonst?
Magicq99 schrieb:
...
und reagiert das Dashboard darauf?
...
Darauf zielte meine Frage ab.
Magicq99 schrieb:
Bisher gibt es doch nur Berichte das dieser Dienst etwas an den Server überträgt,
...
"Berichte" würde ich das nicht nennen - eher "wilde unreflektierte Gerüchte". Außer einer normalen Webabfrage, die man auch mit jedem Browser durchführen kann, passiert in der Richtung doch nichts.
Zum Testen bitte klicken
Magicq99 schrieb:
...
Daher denke ich das dieser Dienst auf dem Apple Server noch nicht aktiv ist bzw. noch keine wirkliche Funktion durchführt.
Und wieder ein Gerücht (mal ganz abgesehen davon, das der Apple-Webserver nur die Signatur-Daten liefert. Die Überprüfung muss schon am lokalen Rechner durchgeführt werden.)
Ich denke, ich muss es doch wieder sebst ausprobieren ;).
 
Ich habe ja geschrieben das ich das denke, aber ich kann ja falsch liegen. War eben nur eine Vermutung.

Und Du weisst ja, wenn man es nicht selbst macht wird es nie was ;)
 
maceis schrieb:
Schon klar, ratti.
Aber sind wir doch einmal realistisch.

Na gut. :)

maceis schrieb:
Jeder Datenaustausch über Internet birgt die potentielle Gefahr, dass ohne Kenntniss des Benutzers auch unbemerkt Daten übermittelt werden.

Ja. Aber Gefahren sollten nach ihrem Grad und "Realismus" sortiert behandelt werden.
Es ist relativ wahrscheinlich, das ein OS-Hersteller auf dem Rechner seiner Kunden rumschüffeln möchte, weil die gefundenen Daten für ihn bares Geld wert sind: Lizenzen, Kundenprofilierung, etc...

...auf der anderen Seite ist es relativ unwahrscheinlich, das sagenwirmal ein freier FTP-Client dasselbe macht. Was sollte der Programmierer mit den Daten? (Wenn wir mal hochgradig illegale Aktivitäten ausklammern wie das ausspionieren von Hombanking-TANs)

Ein gewisser OS-Hersteller macht das ja bereits, da liegt es nahe, dem anderen zu misstrauen.

maceis schrieb:
Das können technisch sinnvolle, aber auch "Spionage"-Daten sein.

Es ergibt wenig Sinn, das zu unterscheiden. Ein "unerwünschter" Datentransfer, wenn er zugunsten einer Firma läuft, wird immer zu deren Vorteil sein - im besten Fall ist es AUCH zu meinem Vorteil. Ich möchte das mit entscheiden.


maceis schrieb:
Es ist wenig realistisch, erwünschten, aber nicht offensichtlichen Datenverkehr so zu dokumentieren, dass ein Großteil der Benutzer damit echt was anfangen kann.

Da isses wie mit Freier Software, Patches und kompilieren: Es muss gar nicht jeder selbst können. Es reicht, wenn kompetente Leute sich das angucken und dazu eine Meinung haben - so wie bei Stiftung Warentest.
Wenn also sagenwirmal morgen bei Heise ein Artikel stünde, Apple hätte sein "Widget-Test-Tool" als OpenSource veröffentlicht, und die fink- oder GnuDarwin-Leute haben sich das mal angeguckt und es sei "sauber", dann würde ich das einfach mal glauben. Natürlich könnten die alle gekauft sein... aber das wäre m.E. dann echt Paranoia.


maceis schrieb:
Es ist auch wenig sinnvoll, bei jeder Information, die übertragen wird, ein Fenster aufpoppen zu lassen á la "Achtung. Ihr Browser übermittelt gerade seine Versionsnummer, damit die Website, die sie im Begriff sind abzurufen optimal dargestellt werden kann. Wollen Sie das unterbinden?".

Ne, so nicht.
Viele Programme bieten ja inzwischen das Feature eines Online-Updates, und die besseren fragen einmal bei der Installation, ob dieses Feature aktiviert werden soll oder nicht.
Das ist für mcih der richtige Weg.


maceis schrieb:
Werkzeuge wie "Little Snitch" könne zwar eine Hilfe sein, aber letztendlich auch nicht sicher garantieren, dass nicht am Benutzer vorbei Informationen an Dritte übermittelt werden.

LittleSnitch ist eine nette Hilfe - man muss sich nur darüber klar sein, dass jede als Admin installierte Software die Netzwerkkomponenten des Systems veränder, erweitern oder ersetzen kann und somit solche Tools nur bedingt Sicherheit bieten.
Es ist durchaus fraglich - weil Otto Normaluser denkt, wenn Little Snitch nix anzeigt, dann könne da nix sein. Und das ist falsch.

maceis schrieb:
Ganz besonders viel Zugriff auf den von Dir produzierten Datenverkehr haben außerdem die ISP. Hat man da etwa schon mal drüber diskutiert?

Vollkommen richtig - deswegen signiere ich alle Mails mit GnuPG, um so der Gegenstelle von Anfang an klarzumachen, dass wir gern verschlüsseln können.

Aber man muss sich mal klar machen: Mails sind Postkarten. Websites sind öffentliche Aushänge. Homebanking etc. läuft über SSL, also nix mitsniffen. Was der ISP da abfangen kann, ist in der Regel belanglos - und sogar strafbar.

Wenn der Hersteller einer Software das in eine AGB schreibt (Die wir, ehrlich gesagt, doch alle ungelesen bestätigen), dann kann man davon ausgehen, dass die Daten "interessant" sind. Er wird ja kaum das Icon unserer Festplatte sehen wollen. :)


maceis schrieb:
Das ganze setzt sich fort im "wirklichen" Leben.
Niemand kann garantieren, dass
- Deine Telefonate nicht mitgehört werden
- Deine Kontobewegung nicht irgendwo analysiert werden
- Deine Post nicht dokumentiert wird,
- der Müllmann nicht heimlich mitschreibt, wieviel Essen bei dir in der Tonne landet

Nein, es kann keiner garantieren - aber wenn man den Müllmann, Briefträger, Bankangestellten etc. dabei ERWISCHT, dann ist er fällig.

Wir reden hier ja nicht über "illegales" abhören - das ist noch mal was anderes. Wir reden darüber, dass das eine Firma, von der man abhängig ist, in die Lizenz reinschreibt, und man muss das legal mitmachen - sonst kriegt man kein Update und ist gemeiert.
Also, irgendwie saugt sowas doch.



maceis schrieb:
Aber wegen so einem kleinen Daemon, der die Dashboardwidgets überprüft, da wird Wind gemacht ohne Ende :hamma:.

Weil binnen 5 Jahren aus dem kleinen Prüftool ein "Persönlicher Sicherheitsmanager" wird, der "Ihnen hilft, ihre Lizenzen immer im Blick zu haben", indem er als "kostenlose Dienstleistung" direkt mit der Buchhaltung von $BIG_COMPANY Seriennummern abgleicht, und gleich noch mal eine Liste von angesurften URLs mitschickt. Wahrscheinlich sogar freiwillig, weil man Bonuspunkte sammeln kann. Dafür kann man dann einen Kugelschreiber gewinnen... HACH!

Ne, lieber zuviel Wind als zuwenig. Soll'n sie's nächstesmal schlauer anfangen. Dann würde man es vielleicht sogar freiwillig anschalten.

Gruß,
Jörg
 
ratti schrieb:
....
Ne, lieber zuviel Wind als zuwenig. Soll'n sie's nächstesmal schlauer anfangen. Dann würde man es vielleicht sogar freiwillig anschalten.
...
... und endlich sind wir auf den Punkt gekommen.

Ich hatte weiter oben das Beispiel Software-Aktualisierung nicht ohne Grund genannt.
SW-A sendet aktiv Daten an den Apple Server. Diese sind (zumindest z.T.) so kodiert, dass man
a) nicht genau wissen kann, was das für Informationen sind und
b) in dem Datenverkehr jede Menge Informationen "versteckt" werden können.
Es gibt zwar (wie von Dir gewünscht) die Möglichkeit das abzuschalten, trotzdem wird es von sehr vielen Benutzern verwendet ohne dass hier eine intensive Sicherheitsdikussion stattfindet.

Die "dashboardadvisor"-Funktion macht dagegen nichts anderes, als die Inhalte einer Website abzurufen, im Prinzip genauso, wie es auch ein Webbrowser macht, wenn man den o.g. Link anklickt. Da werden noch nicht einmal Formulardaten übertragen.
Das ist IMHO noch so weit von der Schreckensvison eines "persönlichen Sicherheitsmanagers" entfernt, dass diesbezügliche Befürchtungen ein wenig überzogen scheinen. Wenn sich die Funktionsweise in Zukunft ändern sollte, ist es immer noch Zeit sich aufzuregen.
Problematisch finde ich dabei vor allem, dass man jetzt so wahnsinnig viel Wind macht, ohne auch nur annähernd realistische Fakten zu nennen.

Nebenbei bemerkt machen die Widgest selbst in vielen Fällen auch nichts anderes, als ohne detailierte Information des Benutzers die Inhalte von Webdiensten abzurufen und darzustellen. Sollen die jetzt auch alle mit Pop-UP-Fenstern ausgestattet werden?

Noch ein Wort zu Deinen Auführungen über OpenSource.
Das ist ja grundsätzlich alles richtig, bezieht sich aber auf das komplette System aus Soft- und Hardware. Mit der Entscheidung für ein Closed-Source Betriebssystem habe ich die Möglichkeit der Revision durch ein Heer von kompetenten Fachleuten bereits an so vielen Stellen abgetreten, dass es IMO lächerlich anmutet, sich wegen des Abrufs einer einzigen winzigen Website noch mal so aufzubäumen.
 
ratti schrieb:
Es ist relativ wahrscheinlich, das ein OS-Hersteller auf dem Rechner seiner Kunden rumschüffeln möchte, weil die gefundenen Daten für ihn bares Geld wert sind: Lizenzen, Kundenprofilierung, etc...
Ehrlich gesagt bin ich da anderer Meinung und halte das für ziemlich unwahrscheinlich. Für einen OS-Hersteller ist es ziemlich riskant das Vertrauen der Kunden zu missbrauchen. Da gibt es viele legale Methoden (Marktforschungsinstitutionen, usw.) die ohne Risiko die gleichen Ergebnisse liefern.

Außerdem denke ich das auch die Supportanfragen beim Hersteller ein sehr gutes Bild über den Kundenstamm und die Verwendung der Software geben. Ich kann mir nicht vorstellen das ein Softwarehersteller durch Spyware irgendwelche Informationen über seine Kunden bekommt die sie nicht auch so schon haben.

Spyware hat ja in der Regel eher kriminelle Hintergründe, z.B. das Ausspähen von Kreditkartendaten oder Passwörtern. Ich denke nicht das eine Firma wie Apple oder Microsoft es nötig hat seine Kunden heimlich auszuspionieren. Die haben doch so viele Informationen durch Anfragen der Kunden, Vertriebspartner usw. das dadurch nichts gewonnen wäre (außer negativer Presse).
 
Wozu müssen gerade die Widgets gegen eine Signatur vom Apple-Server überprüft werden?

Jeder kann doch selbst installierte Programme ausführen...

Ich finde diesen Schritt von Apple sehr überzogen.
 
little snitch (soviel wie kleine petze) kontrolliert den ausgehenden datenverkehr. die apple eigne firewall schützt dich ja nur vor angriffen von außen
 
odins schrieb:
...
die apple eigne firewall schützt dich ja nur vor angriffen von außen
Wie kommast Du zu dieser Behauptung.
Die Firewall kann genauso dazu eingesetzt werden, den Datenverkehr von innen nach außen zu beschränken.

Der wesentliche Unterschied zwischem LS und der Firewall ist der, dass LS den Datenverkehr (auch) auf der Basis des kommunizierenden Programms filtert, während die Firewall hauptsächlich auf der Basis von IP-Adressen und Ports arbeitet.
 
Zurück
Oben Unten