Ob sich Google und seine Anwälte darüber freuen, dass T-Online seit neuestem Google-Subdomains bei ihren Kunden kapert und mit Yahoo-Werbung bestückt? Bemerkenswert ist das neue Geschäftsmodell der T-Online auf alle Mal:

• Ein unbedarfter T-Online-Kunde gibt webmail.google.com in seinen Browser ein.
• Er bekommt keine Fehlermeldung, sonder eine Seite von T-Online unter der URL “http://webmail.google.com/” zu sehen.
• Auf der von T-Online übermittelten Seite wird einerseits darüber informiert, dass die eingegebene Internet-Adresse nicht gefunden werden konnte. Darüber hinaus hat sich T-Online erlaubt, die eingegebene URL zu analysieren und nach Schlagworten zu durchsuchen. Passend zu diesen Schlagwörtern werden vom Yahoo-Werbeservice Overture.com Werbeanzeigen bzw. Suchergebnisse präsentiert und die Klicks der Nutzer auf Suchergebnisse und Werbeanzeigen getrackt.
• Hätte der Nutzer nur mail.google.com eingegeben, dann wäre er beim gewünschten Service von Google und nicht bei T-Online gelandet …

Das Verfahren, das T-Online für die Realisierung ihrer so genannten “Navigationshilfe” verwendet, wird auch als DNS-Hijacking bezeichnet: Statt eine korrekte Fehlermeldung bei einem vertippten Domain-Namen zurückzugeben, leitet T-Online diese Anfrage einfach auf ihre Server um und analysiert die Anfrage zu Werbezwecken. Das Verfahren von T-Online ist in vielerlei Hinsicht mehr als bedenklich:

• Der Service zeigt, dass die T-Online nicht als neutraler Internet-Service-Provider agiert und den Nutzer mit dem gewünschten Server verbindet – oder eben auch nicht verbindet, wenn der Server nicht verfügbar ist.
• T-Online bemächtigt sich in den Augen der Nutzer gegebenenfalls der Domains und präsentiert unter der Vorspiegelung des angeforderten Domain-Names andere Inhalte: Der Nutzer muss ja davon ausgehen, dass die Infos, die ihm unter “webmail.google.com” (Screenshot via T-Online) gezeigt werden auch von Google.com kommen. Das Vorgehen von T-Online deckt sich dabei auf perfide Weise mit Phishing-Angriffen auf Banken zum Identitätsdiebstahl – nicht umsonst verwenden die Phishing-Angreifer mit Rogue-DNS-Servern ein ähnliches Prinzip wie die T-Online mit ihrer “Navigationshilfe”.
• Interessant ist die “Navigationshilfe” natürlich besonders für die Konkurrenten von besucherstarken Webseiten: Microsoft freut sich sicher über die Platzierung ihres Links auf http://webmail.google.com – und auch die Direktbank Comdirekt ist sicher nicht unglücklich über die prominente Platzierung ihrer Werbung für ein kostenloses Girokonto unter http://online.deutschebank.com (Screenshot via T-Online). T-Online kapert also mit der Navigationshilfe bestehende Domains falls ein Nutzer sich bei der Subdomain verschreibt und schaltet darauf Suchergebnisse und ggf. Werbung von Konkurrenten – über die Schadensersatzforderungen an die Deutsche Telekom AG machen sich hoffentlich bald die Rechtsabteilungen von Google, Deutsche Bank und anderen Gedanken. Auch die Wettbewerbshüter der EU könnten sich zu dem Thema so ihre Gedanken machen.
• Auch ein Teil der falsch geschriebene oder nicht registrierte Domains werden von T-Online abgefangen und kommerziell verwertet. Das ist natürlich weitaus weniger mühsam als interessante Domains für teures Geld zu registrieren und dann, wie z.B. über Sedo.com zu parken und darauf Werbung zu schalten. Auch diese Vorteilsnahme von T-Online ist sicher voll im Sinne der Wettbewerbshüter.
• Wie in den FAQs der “Navigationshilfe” beschrieben, behält sich die Deutsche Telekom AG alle Abfragen mit falscher Subdomain oder nicht vorhandener Domain zu speichern. Großzügigerweise verzichtet die Telekom auf eine personenbezogene Speicherung. Allerdings frag man sich schon, wofür T-Online dann trotzdem ein Cookie mit einer Verfallszeit von einem Jahr auf dem Rechner der Nutzer speichert. Übrigens werden auch die Klicks auf die präsentierten Suchergebnisse und Werbeanzeigen von der Yahoo-Tochter Overture.com getrackt. Sicher eine Goldgrube für Data-Mining-Experten … und ein Alptraum für Datenschützer.
• Als T-Online-Kunde ist es besonders verwunderlich, dass dieser “Service” einem ungefragt untergeschoben wird. Kein Double-Opt-In-Verfahren, sondern eine komplizierte Abmeldeprozedur. Die T-Online hätte ihre Kunden ja auch fragen können, ob sie einen manipulierten DNS-Server haben wollen, der ihre Anfragen gegebenenfalls zu Werbezwecken weiterverarbeitet. Dann hätte sich der Service aber sicher nicht so schnell durchgesetzt.
• Die T-Online verstößt mit dem DNS-Hijacking möglicherweise auch gegen die RFC-Standards zur Implementierung von DNS-Servern der Internet Engeneering Task Force – IETF die Grundlage für eine reibungslos funktionierende Internet-Infrastruktur sind. Spamfilter und andere Webservices sind ggf. auf standardkonforme Antworten des DNS-Servers angewiesen um beispielsweise zu erkennen, dass es eine Domain überhaupt nicht gibt. All diese Services funktionieren nicht mehr, wenn sie über T-Online und deren Navigationshilfe mit dem Internet verbunden sind. Vielleicht sollte die ICANN auch die T-Online in die Schranken weisen, wie sie es mit VeriSign 2003 erfolgreich gemacht hatten.
• Mit dem Anzeigen von Werbung und Suchergebnisses auf gekaperten Domains ergeben sich auch eine Reihe von Sicherheitsrisiken – Ryan Singel’s Artikel in der Wired finden sich dazu noch mehr Hintergrundinformationen. Auch im Bericht der ICANN zum VeriSigh Site-Finder-Projekt finden sich weitere Informationen über mögliche Sicherheitsrisiken durch den Navigationshilfe-Service der T-Online.
• Möglicherweise verstößt die Deutsche Telekom AG mit der Einführung der Navigationshilfe auch gegen das Grundrechte der Informationsfreiheit (Art. 5 Abs. 1 GG) und gegen das Fernmeldegeheimnis (Art. 10 Abs. 1 GG). Dazu könnte die DNS-Manipulation durchaus auch den Straftatbestand der Datenveränderung (§ 303a StGB) erfüllen – dann wäre die Staatsanwaltschaft gefordert. Doch darüber sollten die Rechtsanwälte unter euch diskutieren.

Hintergrund: VeriSign musste auf Druck der ICANN 2003 seinen Site-Finder-Projekt einstellen
VeriSign hatte als Registrierungsstelle aller .com und .net Domains im Jahr 2003 mit dem “Site Finder” Projekt einen ähnlichen Service wie die T-Online Navigationshilfe aufgesetzt. Nach heftigsten Protesten stellte VeriSign unter dem Druck der ICANN den Service nach wenigen Wochen wieder ein. Die ICANN hat über diesen Fall einen Bericht verfasst, der die Gefahren und Problem einer solchen Lösung nochmals klar und deutlich machen. Weitere Hintergründe zu VeriSign Site Finder und zu ähnlichen DNS-Mißbräuchen finden sich in Ryan Singel’s Artikel in der Wired.

Hintergrund: DNS-Server
Das WWW funktioniert nach dem einfachen Prinzip, dass jeder Domain-Name in einer URL wie “http://webmail.google.com” erstmal in einem dicken “Telefonbuch” nachgeschalgen werden muss – im sogenannten Domain Name System, kurz DNS. Auf den DNS-Servern ist zu jeder registrierten Domain – und gegebenenfalls auch zu den registrierten Subdomains – eine IP-Adresse hinterlegt, unter der der Server erreicht werden kann. Ist für die gewünschte Domain oder Subdomain kein Eintrag vorhanden, so muss der DNS-Server eine Fehlernachricht zurückschicken (für die Nerds unter Euch: eine NXDOMAIN-Response).

Seit heute ist die Registierung zur – wohl wieder größten – Ruby-on-Rails-Konferenz in den USA möglich: RailsConf 2009. Wie in den vorigen Jahren organisiert O’Reilly wieder das Event. Dieses Mal findet die Konferenz allerdings nicht in Portland sondern in Las Vegas statt – nicht nur das Glücksspiel- und Vergnügungszentrum der USA sondern auch ein begehrter Konferenzstandort
Für die Schnellentschlossenen bis zum 16. März winkt ein Early-Bird-Bonus mit dem sich 200 USD sparen lassen.
Für alle die auf der Konferenz einen Vortrag halten wollen, wurde das Abgabedatum für einen Call for Participation bis zum 17. Februar 2009 verlängert. Da heißt es also schnell sein!
Die Konferenz selbst findet dann vom 4. bis 7. Mai 2009 im Las Vegas Hilton statt.

Viva Las Vegas!

Quellen: rubyonrails.com, RailsConf.com

Klasse, seit heute gibt es auch von deutschen Hochschulen kostenlose Lehrinhalte, Skripte, Podcasts und Videos über “iTunes U”. Bisher sind folgende Universitäten aus Deutschland vertreten:

• Hasso Plattner Institut / IT Systems Engineering / Universität Potsdam
• RWTH Aachen University
• Ludwig-Maximilians-Universität München
• Universität Freiburg

Sehr gut! Besonders Abiturienten können sich so einen ersten Eindruck über die Angebote an den jeweiligen Hochschulen machen. Am Ende kommt man zwar sicher nicht um einen Besucht der gewünschten Hochschule herum – aber es gibt einen ersten Eindruck.
Für Studenten, Postgraduates und Alumnis findet sich unter den vielen Angeboten aber durchaus auch das eine oder andere Schmankerl

Quelle: Macnews.de

Die Statistiken zu den Browser- / Betriebsystem-Marktanteilen von Net Applications sind immer wieder spannend: Danach hat sich bei der Internet-Nutzung der Marktanteil von Apple Mac OS X Computern in den letzten 12 Monaten von 6,38% im Februar 2007 auf 7,57% im Januar 2008 erhöht – eine Steigerungsrate von etwa 19%. Das sind gute Nachrichten für die Mac Community. Doch was wirklich erstaunt, ist der beachtliche Marktanteil von iPhone-Surfern in den letzten Monaten. Das iPhone wurde erst am 29. Juni 2007 in den USA in den Markt eingeführt – und im Januar 2008 hat es, laut Net Applications, schon einen weltweiten Marktanteil von 0,13%. Betrachtet man nur den amerikanischen Markt liegt der Anteil mit 0,20% sogar noch höher!

Es sieht so aus also würde das iPhone das schon tot geglaubte mobile Internet Flügel verleihen.

Quelle: Net Applications

Hier nur eine kurze Meldung an alle WordPress-Blogger: Das Sicherheitsupdate auf die Version 2.3.3 ist dringend zu empfehlen. Hier bei codedifferent hat es ohne Probleme geklappt.
Bei dieser Gelegenheit wurde auch gleich noch das Anti-Spam-Plugin ausgetauscht: In Zukunft muss sich jeder Kommentator bei codedifferent als menschliches, und mustererkennendes Wesen beweisen. Mit dem reCAPCHA-Plugin tut man sogar noch etwas Gutes. Denn die CAPCHA-Codes sind nicht einfach künstlich erzeugte Grafiken, sondern vielmehr Wörter, die beim Digitalisieren von Büchern durch OCR-Software nicht erkannt werden. reCAPCHA wurde von der Carnegie Mellow University ins Leben gerufen und unterstützt mit reCAPCHA derzeit das Projekt Internet Archive.