Fortsetzung: Digitales Debakel

Der Herr Comodohacker alias Ichsun behauptet, dass er GlobalSign und noch drei weitere CAs gehackt hat (Zitat). Wenn das stimmt, ist das möglicherweise der Anfang vom Ende von aktuell genutzten PKI-Strukturen. Das betrifft dann Homebanking genauso wie jede Menge elektronische Geschäftsanwendungen und staatliche Projekte.

Klassischer „Single Point of Failure“.

Ich hätte zudem erwartet, dass eine CA wie DigiNotar seine Systeme besser sichert, als das der Fall war. Die Zertifikate lagen wohl auf ungepatchten Windows-Systemen ohne Virenschutz, die Domäne war mit bruteforcebarem Passwort gesichert. Zudem konnte Herr Comodohacker anschließend die Logfiles löschen, wie es eben Hackertradition ist. Jetzt weiß man hat nicht so ganz genau, was er alles getrieben hat. Irgendwie kann ich kaum glauben, dass das alles wahr ist.

Digitales Debakel

Dank des DigiNotar-Debakels fällt nun so manchem auf, dass SSL/TLS am seidenen Faden einiger recht willkürlich gewählter CAs hängt. *Irgendjemand* war offenbar in der Lage, sich selbst für Domains u.a. von Twitter, Google, Mossad, CIA, MI6 aber auch so netten Dingen wie windowsupdate.com zu erstellen. Letzteres ist besonders delikat, wenn man das Codesigning noch hinbekommt.

*Irgendjemand* kann damit nun, sofern er einen MITM-Angriff schafft, den DNS oder die host-Liste manipuliert, die von/zu den in dieser Liste genannten Domains vermeintlich sicher übertragenen Daten mitlesen oder verändern.

CAs sind ein Single Point of Failure der Internetsicherheit. Und Browser vertrauen diesen CAs recht blind. Es ist höchste Zeit, über strukturelle Änderungen in diesem Bereich nachzudenken.

HTML5: “Feature-complete” ab Mitte 2011

Philippe Le Hegaret vom W3C sah sich nun offenbar gezwungen, in einem Infoworld-Interview klarzustellen, dass HTML5 noch nicht produktiv einsetzbar ist — was niemanden wundern dürfte, da es noch mitten in der Standardisierung steckt. Alle Features werden demnach erst Mitte 2011 fest definiert sein. Danach folgt noch die eigentliche Detailarbeit.

Trotzdem ist es klug, öffentlich noch einmal auf die Situation aufmerksam zu machen, denn eine breite Nutzung eines unfertigen Standards hat das Potenzial, eben diesen in seinem Ansehen und seiner Verbreitung schwer zu beschädigen.

Hinzu kommt, dass die Browser erhebliche Unterschiede in Qualität, Umfang und Performance der HTML5-Implementierung aufweisen. Einige teils sehr schöne Demos gibt es dennoch, z.B. hier bzw. ganze Sammlungen hier oder hier.

Weppy alias WebP

Kaum habe ich mich gestern (eher zufällig) ins Google-Imperium vorgewagt, rollt von dort aus schon wieder die nächste Sache an. Nachdem man vor einiger Zeit WebM vorgestellt hat — einen offenen, unter BSD-Lizenz stehenden Videocodec — hat man nun die statische Variante nachgeschoben. WebP stützt sich auf in WebM verwendetes Verfahren zur Kompression der Keyframes.

Ziel ist es, die Dateigröße von Bildern gegenüber JPEG noch einmal deutlich zu reduzieren, um Traffic zu reduzieren. Das soll natürlich ohne merklichen Qualitätsverlust von statten gehen. Das ist kein geringer Anspruch.

Nach einer Google-internen Untersuchung hat man bei gleicher Qualität in 1 Mio. Bildern durchschnittlich 39 % Volumen sparen können. Googles Beispielbildern nach macht WebP einen guten Eindruck. Unabhängige Untersuchungen kommen zu höchst unterschiedlichen Ergebnissen. Wahrscheinlich ist es noch zu früh, dies abschließend bewerten zu wollen, da die Entwicklung noch nicht abgeschlossen ist.

Interessanter ist die Frage, inwieweit sich ein von einem einzigen Player in den Markt geworfenes neues Format überhaupt durchsetzen kann, zumal man bislang praktisch nirgens Bedarf nach einer Innovation auf diesem Gebiet vernehmen konnte. Da hängt alles von den Browsern ab. Natürlich wird Chrome WebP in Kürze unterstützen und in WebKit dürfte es damit auch einfließen. Und damit in Apples Safari, Openmoko, Android, iPhone, Palm und bald auch Blackberry. Das ist der Weg über WebKit.

Aber es gibt einen zweiten: Da WebP die Bibliothek von WebM verwendet, dürften die Browser, die WebM unterstützen, bald auch das neue Grafikformat darstellen können. Dazu gehören dann Mozilla Firefox und Opera. Selbst für den Internet Explorer hat Microsoft angekündigt, ab Version 9 eine manuelle Nachinstallation zu ermöglichen. Ach ja, der Flashplayer wird das Format auch bald abspielen können.

Ich gehe davon aus, dass sich WebM auf breiter Front durchsetzen wird. Es ist technisch offenbar ausreichend, offen und YouTube wird darauf umgestellt. Mehr Argumente braucht man nicht. Damit und mit der Schützenhilfe über WebKit könnte WebP auf jeden Desktop und in jedes Smartphone kommen.

Es bleibt die Frage nach Googles Motivation. Sicher profitiert Google von eingesparter Bandbreite. Ich könnte mir vorstellen, dass Google sicher noch andere Funktionen einfallen, die man WebP angedeihen lässt wie z.B. für Suche, Indizierung und Tracking optimierte Metadaten und Ähnliches. Ich bin gespannt.

„Vielleicht wäre es einfacher, den Leuten erstmal zu erklären, dass sie ihre 12 Megapixel-JPEGs herunterrechnen sollen, bevor sie sie in 300 Pixel Breite in ihre Seite packen.“ (Autor vergessen, oder war ich es selbst?)

Chrome vs. Firefox vs. Safari vs. IE vs. Opera

Nicht, dass man es nicht hätte erwarten können, aber die Ergebnisse fallen überraschend deutlich aus: Lifehacker hat in einer Umfrage festgestellt, welcher Browser von seinen Lesern favorisiert wird.

Das kam dabei heraus:

Chrome hat offenbar im letzten Jahr stark zugelegt — Google hat jede Menge Nickeligkeiten und auch Bedenken bezüglich des Datenschutzes entschärft. Im Juni 2009 sah das Ergebnis der Umfrage noch so aus:

Tja, so kann’s gehen. Am erstaunlichsten finde ich allerdings den geringen IE-Anteil.

Nein, stimmt nicht.

Noch erstaunlicher finde ich nämlich, dass Lifehacker das mit einer Umfrage feststellen lässt anstatt einfach den User Agent der Visitors statistisch auszuwerten.

Vielleicht wäre das zu langweilig gewesen. Aber sicher hätte es da aussagekräftigere Daten gegeben.

© Copyright schulten.net