Leserforum

Abhängig von Google & Co.

Standpunkt: Passwort, Goodbye, c’t 14/2023, S. 3

Wir machen mit Passkeys unsere digitale Identität und die Geheimnisse des gesamten Internets von einigen wenigen Big-Tech-Unternehmen abhängig und von ein paar Ingenieuren dort, die Sicherheitschips und -Software implementieren. Das sind alles keine offenen Systeme, sondern zentrale, proprietäre Ketten von Soft- und Hardware, bei denen nur ein Glied kaputt zu sein braucht.

Cory Doctorows neuester Roman Red Team Blues konstruiert den Fall, dass diese Ingenieure „für alle Fälle“ doch Backdoors eingebaut haben, und dass plötzlich die Gefahr besteht, dass diese in die falschen Hände geraten sind.

o_sh

Ich bleibe beim Passwort

So hehr Ihr Ziel auch ist, die Benutzer vor Passwortdiebstahl zu schützen, so halte ich das Mittel über biometrische Erkennung für deutlich verfehlt. Biometrische Daten sind auch Daten, und wenn diese einmal in die falschen Hände gelangen, dann kann man sie nicht mal eben ändern wie ein Passwort. Aus diesem Grund nutze ich prinzipiell keine biometrischen Verfahren zum Einloggen.

Mit dem Passwort ist es wie mit Bargeld: Es ist eine Form der Demokratieerhaltung. Alles andere macht einen überwach- und steuerbar.

Michael Schauberger

Hürde Handy

Die Bundesregierung geht beim E-Perso in die Offensive, c’t 14/2023, S. 12

Ich habe den E-Perso immer mal wieder versucht einzurichten. Erst mit einem richtigen Kartenleser hat es dann geklappt. Meine Telefone haben einfach nicht genug Energie über die NFC-Schnittstelle gebracht, um die PIN zu ändern. Die Anzahl der Anwendungen ist gering, aber zeigt das Potenzial einer sicheren Identität. Z.B. Rentenkasse: mit Perso und PIN anmelden, alle meine Daten einsehen etc., ohne dass ich da noch ein Konto einrichten müsste oder irgendwas per E-Mail oder per Post abnicken muss. Also ohne die Hürde „PIN ändern am Smartphone geht nicht“ hätte ich das schon vor vielen Jahren mal benutzt und schätzen gelernt.

benjimaus

Alternative ROMs berücksichtigen

Die AusweisApp2 steht glücklicherweise im Gegensatz zu Apps anderer öffentlicher Stellen auch im F-Droid-Store zur Verfügung. Wenn sie dann nicht nur unter Stock-ROMs, sondern auch unter /e/OS, LineageOS und GrapheneOS zuverlässig funktionieren würde, wäre es schön. Bei meinem BQ Aquaris X läuft sie unter LineageOS 20 leider nicht.

Aus meiner Sicht muss man auf dem Schirm haben, dass Menschen für die Nutzung der eID wohl kaum ein neues Smartphone kaufen werden. Dementsprechend wäre es gut, wenn die an der AusweisApp2 und BundesIdent arbeitenden Stellen eine Lösung dafür fänden, die Apps auch unter alternativen ROMs und alten Android-Versionen zuverlässig zum Laufen zu bekommen. Ich hoffe, sie bekommen dafür ausreichend Mittel und Ressourcen.

Andreas Rein

Python wirklich besser?

Python: heiß geliebt, weil kurz und verständlich, c’t 14/2023, S. 20

Was genau macht Python besser? Kürzeren Code zu schreiben ist kein Qualitätsmerkmal. Mit Perl könnte man sicher noch kürzeren (und kryptischeren) Code schreiben. Deshalb ist er aber nicht lesbarer. Ich bevorzuge expliziten Code und dazu gehören auch explizite Typen. Als langjähriger C++-Entwickler ist das mein tägliches Brot. Oder genauer gesagt: war es, seit wir im Team auch mehr dynamisch (sprich: mit Skriptsprachen) arbeiten wollten. Da bietet sich eher TypeScript als Python an.

Natürlich ist das eine hochpersönliche Meinung, aber ich muss es laut aussprechen: Python ist ... nicht gut.

hotgolem

Nicht schon wieder Fibonacci

Fast 40 Jahre bin ich in der Informatik. Und immer noch wird Fibonacci als Beispiel für Rekursion genutzt. Ich fass es nicht. Nehmt Treewalk für was Nützliches, oder meinetwegen auch Fakultät fürs Prinzip.

Grouchig

Für Lehre geeignet

Wie Sie mit Java durchstarten – ein Leitfaden für Einsteiger, c’t 14/2023, S. 24

Ich möchte mich beim Autor des Artikels bedanken, dass er endlich mal mit dem Mythos aufgeräumt hat, Java sei für die Lehre ungeeignet – was ja 28 Jahre niemand ernsthaft behauptet hat, kein nachweisliches Problem war und nun plötzlich aber angeblich so sein soll.

Wir selbst haben in der lokalen Java User Group schon mehrfach erfolgreich eintägige Workshops mit Kindern und Jugendlichen durchgeführt; diese haben binnen weniger Stunden ohne jegliche Verständnisprobleme Programmieren in reinem Java gelernt – sogar ohne IDE, nur mit Texteditor und JDK.

Was mich allerdings wundert, ist, wieso in einem Artikel für absolute Einsteiger gleich wieder unnötige Komplexität reingebracht wurde. Ich hätte als Ausbilder auf die Klasse BigInteger in einem allerersten Java-Programm erst mal verzichtet, und diese erst dann ins Spiel gebracht, wenn es wirklich knallt, also wenn ein Schüler sich wegen der Fehlermeldung meldet. Das Verständnis für die Notwendigkeit verschiedener Typen und für das Thema Fehlerbehandlung und -vermeidung ist durch so einen Knalleffekt wesentlich stärker als jede theoretische Erklärung über 32 und 64 Bit, angesichts derer sich für Anfänger eher ein paar Fragezeichen auftun.

Genauso würde ich auf die Deklaration von linksseitigen Typen verzichten, zugunsten des Schlüsselworts var, denn wer in die Programmierung einsteigt, den juckt der Typ an dieser Stelle erst mal gar nicht. Wozu Gedanken machen über spätere, potenzielle Probleme, wenn ich erstmal wissen will, wie Java überhaupt funktioniert?

Markus Karg

Beinahe Opfer

Wie Schockanrufer ihre Opfer manipulieren, c’t 14/2023, S. 70

Ich bin vor sehr vielen Jahren in die USA gezogen, aber meine deutsche Telefonnummer kann man noch finden im Web beziehungsweise sie war bereits Teil von Datenklau.

Meine Mutter bekam nun SMS-Texte und einen Anruf von eben meiner alten Nummer! Und ich sei im Krankenhaus, könnte mir die Rechnung nicht leisten und ich bräuchte dringend Geld. Meine Mutter war so fertig, sie wollte zur Bank gehen und ihr ganzes Erspartes überweisen. Das Glück war, dass die Bankfiliale bereits geschlossen war und dass mein Vater die Idee hatte, mich zuerst mal anzurufen.

Emanym 

Ähnliches erlebt

Ich bin ein eher rationaler Mensch, aber als meine (vorgebliche) Tochter ins Telefon heulte, war ich auch verloren. Die Anrufer haben bei mir allerdings nicht viel erbeutet, aber vielleicht reicht es ihnen ja schon. Eine Frage nach Kontoinformationen kam bei mir nicht, sie haben „nur“ das Geburtsdatum von mir und meiner Tochter erbeutet. Ich glaube, die Adresse hatten sie schon – was immer sie dann am Ende damit genau anstellen wollen.

Ich habe umgehend noch am selben Tag Anzeige bei der Polizei erstattet. Der junge Beamte war sehr freundlich und kannte die Vorgehensweise schon. Bis jetzt ist anscheinend noch nichts weiter passiert, ich habe weder seltsame Kontobewegungen entdeckt noch irgendwelche Bestellungen und Rechnungen auf meinen Namen oder den meiner Tochter gesehen, auch keine Abos oder dergleichen. Vielleicht haben die Kriminellen die Info aber auch erst einmal auf Halde gelegt, bis (vermeintlich) keiner mehr dran denkt.

Der Rat der Polizei war, auf jeden Fall Anzeige wegen Betrugs zu erstatten, falls tatsächlich etwas Weiteres geschieht, und dann den Bezug zum Identitätsklau herzustellen.

Ich bin jetzt ein ganzes Stück wachsamer, was seltsame Aktivitäten angeht, und ich habe auch meine Familie sensibilisiert. Meine Tipps: Rational bleiben, sofort das Familienmitglied zurückrufen, Anzeige erstatten, Wachsamkeit erhöhen.

AllesSauber 

Datensammelei

Maus-Tracking entlarvt unehrliche Online-Angaben, c’t 14/2023, S. 118

Für mich stellt sich die Frage: Was ist mit der DSGVO? Selbstverständlich gebe ich mit dem Ausfüllen des Formulars meine Zustimmung, diese Daten im Rahmen des Geschäftsprozesses zu verarbeiten. Dass ich eine Einwilligung gegeben habe, psychologische Merkmale über mich zu sammeln, ist mir neu.

Und genau dies geschieht hier: Ich nehme teil an einem psychologischen Test. Es werden Informationen gesammelt, dann der Nutzer kognitiv überladen und dann erneut Daten gesammelt. Genauso funktionieren viele psychologische Online-Tests.

Von der Problematik, dass genau mit diesen Daten auch Erkrankungen (neurologischer, psychologischer sowie körperlicher Art) detektiert werden können, die dann zum Beispiel die Vertragszustimmung einer Versicherungsgesellschaft beeinflussen, will ich gar nicht reden.

Axel Nonnenmacher

Fokus auf Kernsoftware

Einstieg ins Desktop-Publishing mit Scribus, c’t 14/2023, S. 152

Tolles Programm! Für alles, für das Groff/LaTeX nicht ausreicht, nimmt man Scribus. Etwas traurig ist, dass viel freie Open-Source-Entwicklung den Fokus nicht auf solche Kernsoftware legt, sondern stattdessen lieber ständig irgendwelche überflüssigen Nischendistros, der drölfte Webbrowser oder der hundertste Terminal-Emulator erfunden werden.

User Buchkresse

Ergänzungen & Berichtigungen

Ein apt zu viel

Whisper wandelt Gesprochenes in Text um, c’t 14/2023, S. 140

Im Listing und im Kasten zum Einrichten unter Windows war ein apt in einem Befehl überflüssig, korrekt lautet er: sudo add-apt-repository ppa:deadsnakes/ppa. Wir haben das Listing zum Download korrigiert.

Patchwork kann mehr

Fünf Programme für Autoren und Vielschreiber im Vergleich, c’t 11/2023, S. 112

Die Anwendung Patchwork exportiert nicht nur RTF-Dateien, sondern auch DOCX und PDF, zudem prüft sie anders als in der Tabelle angegeben Texte auch auf ihre Lesbarkeit.