Bitbucket – Ein Schnelleinstieg mit Mercurial unter Linux

25 05 2013

Versucht man sich an etwas größeren Programmier-Projekten, bietet es sich irgendwann an, dieses mit einer Versionsverwaltung auszustatten. Denn überschreibt man sich beispielsweise einmal  seine Dateien mit einer alten Version oder findet man partout einen Fehler nicht, kann es äußerst sinnvoll sein, die Änderungen der letzten Tage nachvollziehen zu können. Freie Software findet man unter anderem mit Git oder Mercurial, aber wohin dann mit den Dateien? Man könnte diese auf eigenem Webspace einrichten, schneller und mit weiteren Funktionen geht das mit dem Service von Bitbucket. Hier kann man sich kostenlos eigene Repositories einrichten, auf die bis zu fünf Entwickler gleichzeitig zugreifen dürfen. Wollen mehr Entwickler an dem Projekt arbeiten, lässt sich diese Anzahl gegen Gebühr in verschiedenen Abstufungen erhöhen.

Wir möchten uns doch zunächst nur ein kleines Repository für uns selbst einrichten. Dazu legen wir zuallererst einen Bitbucket Account an. Die Webseite steht in deutscher Sprache zur Verfügung, diese können wir in unserem Benutzerkonto einstellen. Hier bietet es sich auch gleich an, einen SSH Schlüssel zur Kommunikation mit der Seite ohne Passwort zu hinterlegen. Haben wir das noch nicht getan, erzeugen wir via ssh-keygen ein Schlüsselpaar, dessen Public-Key Inhalt wir in Bitbucket unter der Option „SSH Schlüssel“ -> „Schlüssel hinzufügen“ einfügen.

$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/aaaaa/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/aaaaa/.ssh/id_rsa.
Your public key has been saved in /home/aaaaa/.ssh/id_rsa.pub.

$ ls -l ~/.ssh
insgesamt 36
-rw------- 1 aaaaa aaaaa 1679 Mai 14 22:55 id_rsa
-rw-r--r-- 1 aaaaa aaaaa  398 Mai 14 22:55 id_rsa.pub

$ cat ~/.ssh/id_rsa.pub

Jetzt erzeugen wir unser Repository, in dem wir unseren Code halten möchten. Hierzu navigieren wir über „Repositorys“ -> „Repository erstellen“ und geben einen Projekt-Namen an. Legen wir fest, dass es sich um ein privates Repository handelt, kann niemand außer den definierten Entwicklern den Code einsehen, ansonsten ist dieser öffentlich verfügbar. Als Repository-Typ nutze ich Mercury, aber das muss jeder nach den eigenen Vorlieben entscheiden. Git bietet mehr Optionen, Mercury lässt sich dafür einfacher handhaben. Hinter „Ticket-Verfolgung“ versteckt sich ein Bugtracker, der auch bei privaten Code-Projekten für die Öffentlichkeit frei geschaltet werden. Selbiges gilt für das Wiki, in dem man eine Dokumentation erstellen kann. Haben wir die Programmiersprache gewählt, können wir das „Repository erstellen“.

bitbucket05

Natürlich benötigen wir noch die entsprechende Software zur Versionskontrolle. Mercurial installieren wir uns in Ubuntu über die Paketverwaltung.

$ sudo apt-get install mercurial

Damit könnten wir auf Befehlszeile direkt loslegen. Wünschen wir uns eine komfortable GUI, können wir zusätzlich auch noch EasyMercurial installieren, das zwar kaum Optionen mitbringt, dafür aber absolut simpel zu bedienen ist. Mehr Funktionen bietet TortoiseHg, Eine Einführung zu diesem Programm findet man bei Draketo, weshalb ich mir das hier spare. Auch für Eclipse finden sich mit EGit und MercurialEclipse zwei gute Plugins, welche bei heise kurz vorgestellt werden.

Beim ersten Start von EasyMercurial kümmern wir uns zunächst um die Einstellungen im Menü „File“ -> „Settings“. Im Tab „User details“ geben wir unseren Namen und die E-Mail Adresse ein. Unter „Remote“ -> „Set Push and Pull Location…“ tragen wir das gerade erstellte Bitbucket Repository ein. Die genaue Bezeichnung finden wir, wenn wir den Link „Ich habe ein bestehendes Projekt zum hoch pushen“ aufrufen.

bitbucket01 bitbucket07  bitbucket08

Mit einem Klick auf „Open“ laden wir nun unser Projekt-Verzeichnis als lokales Repository.

bitbucket02 bitbucket03

Im sich öffnenden erscheinenden Fenster wählen wir alle Dateien, die für unser Projekt notwendig sind. Diese selektieren wir und klicken auf den „Add“ Button, Cache oder sonstige temporäre Dateien bleiben außen vor.

bitbucket04  bitbucket06

Um diese Dateien zu übernehmen, bedarf es noch eines Commits. Hier tragen wir normalerweise einen Kommentar ein, was sich seit dem letzten Stand geändert hat. In unserem Fall ist dies die erste Version, weshalb wir dies auch so angeben. Ist das getan, senden wir die Dateien per „Push“ an das Remote Repository auf unserem Bitbucket Account. Je nach Anzahl und Größe der Dateien kann das einen Moment dauern. Dass sich etwas tut erkennen wir an dem psychedelischen Balken, der sich am unteren Bildrand hektisch hin- und herbewegt.

bitbucket09 bitbucket10 bitbucket11

Sind die Dateien auf dem Bitbucket Server angekommen, können wir diese nun in unserem Account unter dem Punkt „Quellcode“ sehen.

bitbucket12

Ändern wir unsere Dateien auf der heimischen Platte, erkennt das EasyMercurial automatisch und zeigt uns die modifizierten Dateien an. Möchten wir diese synchronisieren, gehen wir wie zuvor mit einem Commit und anschließendem Push vor. Aussagekräftige Beschreibungen beim Commit helfen uns später dabei, zu erkennen welche Modifikationen wir vorgenommen haben. In der History sehen wir die verschiedenen Commit-Punkte grafisch dargestellt.

bitbucket13





Anonymes Webhosting

11 03 2013

Heutzutage ist es leider so, dass man kaum mehr eine Webseite ins Netz stellen kann, ohne ständig Gefahr zu laufen, von schmierigen Anwälten wegen irgend einer Nichtigkeit auf Unsummen verklagt zu werden. Dabei muss man gar keine verbotenen Inhalte auf seiner Seite hosten. Es gibt genügend nette Zeitgenossen, die inzwischen ihr Geld damit verdienen, arglosen Webmastern wegen irgendwelcher Nichtigkeiten den letzten Groschen aus der Tasche zu ziehen. So zog beispielsweise der Westdeutsche Rundfunk den Journalisten Wolf-Dieter Roth vor Gericht, weil dieser wie bei Journalisten häufig so üblich seine Initialen verwendet, die dummerweise denen der Sendeanstalt gleichen.

Was also tun, möchte man nicht tausende von Euro für ein unachtsam eingebundenes Foto hinblättern? Am Besten überhaupt nichts? Das wäre eine Möglichkeit, doch die Internetlandschaft sähe trostlos aus, wenn nur noch große Firmen mit eigener Rechtsabteilung im Netz aktiv sein könnten. Also müssen sich kleine Seitenbetreiber nach Alternativen umsehen. Beispielsweise nach Anonymen.

Nicht nur ist man hierzulande eigentlich verpflichtet, ein vollständiges Impressum in seiner Seite einzupflegen, registriert man sich eine Domain wird gleichzeitig der komplette Name inklusive Adresse öffentlich ins Netz gestellt. Diese Informationen können Betrüger, Spammer und Rechtsanwälte für ihre zwielichtigen Geschäfte nutzen. Glücklicherweise gibt es auch Anbieter, die einen Whois-Schutz offerieren. Für ein paar Euro mehr wird statt des Namens des Besitzers einer Domain ein Strohmann irgendwo im fernen Ausland eingetragen. Der wahre Eigentümer ist somit kaum mehr auffindbar.

Platzhirsch in diesem Umfeld war lange Jahre Mediaon, die in der Türkei ein Rechenzentrum mit eigenen Servern betrieben. Ordern konnte man dort nur eine Domain mit Whos-Schutz oder gleich noch den passenden Webspace dazu. Ein Name wurde für die Bestellung nicht verlangt, anonyme Bezahlmethoden gab es bis hin zur Möglichkeit, Bargeld in einen Briefumschlag zu stecken und diesen ohne Absender zu versenden.

Klar, dass ein solches Angebot auch für allerlei Zwielichtiges, häufig sogar Illegales genutzt wird. Das wurde nun dem Anbieter scheinbar zum Verhängnis. Über Nacht schaltete man sämtliche Server ab und lies die laut eigener Aussagen 15.000 Kunden im Regen stehen. Lediglich die geschützten Domains bietet man weiter an, Webspace gibt es nicht mehr.

Doch es gibt noch Alternativen, die keine Daten ihrer Kunden verlangen. Wichtig ist hierbei immer, dass es auch möglich ist, anonym zu bezahlen. Denn wenn die Kontoinformationen erst gespeichert sind, ist eine Rückverfolgung einfach. Auch die Server sollten im Ausland stehen, so dass die Gefahr nicht zu groß ist, dass die Behörden diese einfach einpacken und die darauf liegenden Logs genauer unter die Lupe nehmen.

Als Beispiel sei myhost.to erwähnt, ein kleiner Reseller der Voxility Srl in Rumänien. Auf der Homepage finden sich mehrere Angebote vom Standard-Hosting über vServer bis hin zu Domains mit Whois Schutz. Der deutschsprachige Support reagiert schnell und kompetent auf Anfragen. Was auch positiv zu bewerten ist, es muss nicht gleich im Voraus auf Jahre hinweg gezahlt werden. Denn wie lange sich so ein Anbieter halten kann ist unter den schwierigen Bedingungen, denen er sich aussetzt fraglich. Außerdem verweist auch das Impressum auf einen Strohmann in der Türkei, weshalb man hier nicht unbedingt große Geldbeträge anlegen sollte. Denn ist der Anbieter einmal weg, wird man dieses kaum mehr zurück fordern können.

Zum Selbststudium sei hier auf ein paar Hoster hingewiesen, die anonymes Webhosting anbieten. Damit ist nicht zwingend auch ein Whois-Schutz gemeint, sondern zunächst die Möglichkeit, Webspace zu bestellen ohne seine Adresse angeben bzw. verifizieren zu müssen. Die genauen Bedingungen sind normalerweise auf der Homepage zu finden, bei Fragen bietet es sich an gleich den Support zu testen und einfach nachzufragen. Mehr Anbieter finden sich über den Suchbegriff „Offshore Hosting„.

2×4.ru
AltusHost
CINIPAC IPC
Coolhousing.net
EasySpeedy
HostingPanama
Hub.org
InfiumHost
InterNOC24
JustHost.in.ua
Katz global Media
LargeServer
MalaysiaHoster
myhost.to
OffShoreHosting24
PIPNI s.r.o.
PRQ
RSAWEB
santrex.net
Shinjiru
TORQhost
UnderHost
WRZHost





IP-Adresse – was ist das eigentlich?

22 01 2013

Den Begriff der IP-Adresse hat vermutlich schon jeder einmal irgendwo aufgeschnappt, der sich hin und wieder im Internet bewegt. Doch was ist das eigentlich und wozu soll das gut sein? Und warum ist es eine ganz schlechte Idee für Webseitenbetreiber, Störenfriede anhand ihrer IP-Adresse zu blocken? Im Folgenden wird die Materie nur ganz oberflächlich angekratzt und vieles zur besseren Übersicht einfach weg gelassen oder vereinfacht dargestellt.

Zunächst steht das Kürzel „IP“ für das Internet Protocol. Dieses Netzwerkprotokoll ist für den Austausch von Daten zwischen Computern im Internet zuständig. Die IP-Adresse stellt jetzt eine eindeutige Nummer für die Identifikation jedes einzelnen Computer dieses Netzwerks dar.

Schauen wir uns die Erklärung der Wikipedia zur IP-Adresse http://de.wikipedia.org/wiki/IP-Adresse an, finden wir einen Vergleich mit einer Postadresse. Wenn ich bei Amazon eine Schrankwand bestelle, packt der Händler diese in kleine Pakete und schreibt meine Adresse darauf, damit mir die Post diese zustellen kann. Sehr ähnlich verhält sich das Verfahren im Internet. Rufe ich auf einer Seite ein Video auf, verpackt der Server dieses in kleine Datenpakete und schickt mir selbige an meine IP-Adresse. Statt Heinz Müller, Lindenstraße 99, 12345 Unterammergau steht da stattdessen beispielsweise 217.143.43.1 geschrieben.

Die heute gebräuchliche IPv4 Adresse setzt sich immer aus vier Gliedern zusammen, getrennt durch einen Punkt. Jedes Glied kann im Bereich zwischen 0 und 255 liegen. Damit ergeben sich 255*255*255*255 Möglichkeiten für eine eindeutige IP Adresse, also grob 4,3 Milliarden. Nun bekommt nicht nur jeder Surfer mit seinem PC eine solche Nummer zugewiesen, sondern auch jeder Server. Noch schlimmer, liegen auf einem großen Server 100 unterschiedliche Webhosting Accounts verschiedener Kunden, die alle ihre private Homepage veröffentlichen möchten, könnte theoretisch jedem einzelnen Account auf diesem einen Server eine IP zugewiesen werden. So kommen wir also durch das rasante Wachstum des Internets allmählich in die Bredouille, dass uns der zur Verfügung stehende Nummernbereich allmählich ausgeht. Hierfür wurde die aktuellere IPv6 erschaffen, die 2 hoch 128, also etwa 340 Sextillionen Möglichkeiten für eine eindeutige IP-Adresse bietet. Diese neue Generation des Protokolls hat sich allerdings bislang nicht durchgesetzt, weshalb wir vorerst weitgehend noch mit der IPv4 leben müssen.

Eine der wohl bekanntesten Adressen ist die 127.0.0.1, die im Normalfall auf den localhost, also den eigenen Computer zeigt. Installiere ich mir einen Webserver auf meinen heimischen Computer, kann ich diesen durch Angabe der Adresse http://127.0.0.1/ im Browser ansteuern. Auch einige Anwendungen wie pyLoad nutzen Webserverfunktionalitäten, weshalb diese auf den eigenen PC mit dem localhost zugreifen.

Sende ich ein Echo-Request Paket an meinen localhost, meldet mir dieser tatsächlich die 127.0.0.1:

ping -a localhost
PING localhost (127.0.0.1) 56(84) bytes of data.

Nutze ich einen Router, um meine internetfähigen Geräte wie Computer, Receiver, Fernseher, Spielkonsole usw. zu verbinden, vergibt dieser eine weitere Adresse, mit der ich im heimischen Netzwerk auf meine Geräte zugreifen kann. Diese privaten IP-Adressen bewegen sich im Bereich von 192.168.0.0 bis 192.168.255.255, bzw. kurz gesagt 192.168.0.0/16. Meinen PC finde ich dann im Netzwerk beispielsweise unter der 192.168.0.1, den Receiver unter der 192.168.0.2. Im Internet sind auch diese Adressen wie schon der localhost nicht zu sehen.

Welche interne IP Adresse mein Computer aktuell hat, kann ich mit ifconfig abfragen.

ifconfig -a
eth0      Link encap:Ethernet  Hardware Adresse 00:18:11:4c:43:a6  
          inet Adresse:192.168.0.100  Bcast:192.168.0.255  Maske:255.255.255.0

lo        Link encap:Lokale Schleife  
          inet Adresse:127.0.0.1  Maske:255.0.0.0

Dann gibt es noch die Adressen, die nach außen sichtbar sind. Surfe ich im Internet, muss mein Computer auch identifizierbar sein. Möchte nun also ein Internetprovider wie T-Online oder O2 seinen Kunden einen Internetzugang anbieten, benötigt er für jeden Kunden eine eigene IP-Adresse. Gerade haben wir gelernt, dass diese endlich sind (und außerdem nicht kostenlos), von daher halten die Provider natürlich nur so viele Adressen vor, wie unbedingt notwendig. Mit meinem Internet-Zugang erhalte ich somit in aller Regel keine feste eigene Nummer zugewiesen, sondern bekomme erst zu dem Zeitpunkt, zu dem ich mich im Internet anmelde eine Adresse dynamisch aus dem Pool des Providers zugewiesen. Zwar gibt es auch Provider, die eine feste, statische Adresse anbieten, das ist jedoch die Ausnahme, die auch bezahlt sein will. Melde ich mich also über meinen Provider im Internet an, weist mir dieser die Nummer 123.12.8.15 zu. Trenne ich die Verbindung und aktiviere sie kurz darauf erneut, erhalte ich wieder eine Nummer. Das kann durch Zufall die Selbe sein, meist wird sich diese aber unterscheiden. So lautet meine Adresse beim zweiten Login dann 123.12.47.11, beim Dritten 12.123.11.47 und so weiter.

Kommen wir zurück zum Anfangsbeispiel mit der Postadresse. Meine Anschrift lautet inzwischen also 12.123.11.47, ich gehe auf Vimeo, möchte mir ein Video von lustigen Häschen anschauen. Dazu sendet mein Computer an den Server von Vimeo die Anfrage, „hallo Server, bitte schicke mir die Pakete für das Video *xyz* an meine Adresse 12.123.11.47“. Komme ich morgen mit anderer Adresse zurück, wiederholt sich dieses Prozedere mit dem einzigen Unterschied, dass die Empfängeradresse inzwischen 123.12.47.11 lautet. Das macht nichts aus, denn ich sende ja bei jedem Schritt im Internet meine aktuelle Adresse mit, wie häufig sich diese ändert ist absolut irrelevant.

Auch heute noch gibt es genügend geistig hochtrabende Kapazitäten, die meinen, ihr Abstimmungs-Skript, ihren Downloadserver oder ihr schickes Forum schützen zu können, indem sie bestimmte IP Adressen sperren. Gut, das mag bei den technisch unbedarften Surfern noch bis zu deren nächstem Login funktionieren. Was aber geschieht morgen? Bösewicht Heinz hat heute im Forum „Tiefflieger Donaueschingen“ geschrieben „der Admin ist voll unklug, ey“, woraufhin der Admin, voll klug wie er nun einmal ist,  die IP Adresse von Heinz sperrt. Heinz legt sich schlafen, loggt sich vorher aus dem Internet aus und seine IP Adresse wandert zurück in den Pool seines Internet Providers. Jetzt meldet sich Ottmar beim selben Provider an, erhält exakt die eben frei gewordene Adresse und möchte gerne auch mal bei den Tieffliegern vorbei schauen. Doch was sieht er da, nichts mehr als die Meldung „dieses Forum ist für dich gesperrt, hau bloß ab!“. Was tut er? Genau wie ihm befohlen wurde, das Forum verliert einen potentiellen Besucher. Anders sieht das bei Heinz aus, der am nächsten Morgen frisch ausgeruht eine neue IP Adresse erhält und weiterhin ungestört seinen Schabernack in dem Forum treiben kann.

Schlimmer noch, wenn sich mehrere Personen einen Internetzugang teilen, beispielsweise an einem öffentlichen Hotspot oder mit mehreren PCs in einem Haushalt. Egal an wie vielen Computern sie sitzen, jeder Einzelne der ebendiesen Zugang nutzt, ist im Internet mit ein und der selben Adresse sichtbar. Durch die Blockade einer einzigen IP-Adresse kann ich also theoretisch zig verschiedene User aussperren.

Das Geschriebene lässt sich einfach beweisen. Hier kann man seine aktuelle öffentliche IP-Adresse einsehen. Wetten, dass die morgen schon wieder anders lautet? Und selbst falls nicht, oder wenn ich gerade irgendwo gesperrt wurde und keine Lust habe, meine Verbindung durchzustarten, dann nutze ich eben einen Proxy und bin sofort wieder unter fremder Adresse unterwegs – ganz unerkannt. Hier der Beweis mit Web-Proxy. Noch viele weitere Möglichkeiten und eine genauere Beschreibung zum Verstecken der realen IP-Adresse findet sich im Artikel „Anonymes Surfen im Internet„.

Das kann man sich wieder so vorstellen, dass ich meine Schrankwand bei Amazon bestelle, diese aber nur ungerne bezahlen möchte. Deshalb suche ich mir einen leerstehenden Briefkasten irgendwo in einem Hochhaus und gebe dessen Adresse bei meiner Bestellung an. Ich nutze also eine fremde Anschrift, um meine eigentliche Herkunft zu verschleiern. Nichts anderes ist das mit dem Proxies. Ich sage dem fremden Computer, hole dir das Video mit dem lustigen Häschen, dieser kommuniziert mit dem Server, auf dem das Video liegt. Ich selbst hole mir das Video dann von dem zwischengeschalteten Computer ab, ohne dass die Videoplattform sieht, woher die Anfrage real kommt.





Das neue Myspace anno 2013

2 12 2012

Myspace war einst der Big(gest) Player wenn es um die Vernetzung von Menschen, insbesondere solchen die Musik machen oder lieben, ging. Dann kam ein hässliches, datenhungriges Ungeheuer, das der zu dieser Zeit bereits an Medienmogul Murdoch veräußerten Plattform die Nutzer und damit das Leben aussog. Selbst das neue Design konnte am Ausbluten der einst äußerst aktiven Community  nichts mehr ändern. Im Gegenteil, viele Bugs und langsamer Seitenaufbau vertrieb die Menschen eher noch schneller, so dass die Firma Specific Media aus Kalfornien im Jahre 2011 für 35 Millionen neben dem Namen und ein paar Servern nur noch eine ansonsten ziemlich tote Umgebung einkaufte.

Nun soll eine weitere Neugestaltung alles Besser machen. Hierbei möchte man gar nicht mehr mit dem einstigen großen Rivalen konkurrieren sondern konzentriert sich speziell auf das Thema Musik. Damit gesteht man gleich ein, dass man selbst nicht mehr daran glaubt, an die großen alten Zeit als Marktführer der Community-Plattformen anknüpfen zu können. Doch ist der einstige Name nun Fluch oder Segen für Myspace und lohnt es sich, überhaupt wieder einen Blick auf die Seiten zu werfen?

Interessant ist es sicherlich, was die Entwickler hier gezaubert haben. Auf der Vorschau-Seite new.myspace.com erkennt man gleich, dass es sich nicht um ein reines Neugestalten ging, sondern das Konzept stark verändert wurde. Zunächst loggen wir uns mit unseren alten Myspace Daten ein, können aber ebensogut einen Twitter oder Facebook Account nutzen. Davon rate ich grundsätzlich ab, da hier beide Netzwerke zu viele Daten austauschen könnten.

Nach einer kleinen Fragerunde wer wir sind und wofür wir uns interessieren blickt uns eine moderne, aufgeräumt wirkende Web 2.0 Startseite an, die im ersten Moment sehr an die Gestaltung diverser Google Projekte erinnert. Interessant zunächst die Fußleiste, in der sich unsere Benachrichtigungen und das Mailing-System finden. Als wichtiges Merkmal ist hier sicherlich der Musik-Player zu nennen, wie man ihn sicherlich schon von der Konkurrenz wie Reverbnation kennt.

myspace01 myspace02 myspace03

Klicken wir hier auf „Discover“, können wir in einer Auswahl von Musikern, Menschen und Mutationen, ach nein, Mixes und Radios Unbekanntes kennen lernen. Ein interessanter Ansatz ist die horizontal scrollende Seite, von der ich befürchte, dass ein Großteil der eher unbedarften Nutzer damit zunächst nicht zurecht kommen dürfte. Denn wer kommt schon auf die Idee, statt nach unten nach rechts zu scrollen?

Die Suche, die durch ein kleines Lupen-Symbol im Footer symbolisiert wird, lässt uns zunächst ziemlich alleine. Einzig der Hinweis „Start typing…“ verlockt dazu, auf die Tasten zu hauen. Und siehe da, in Echtzeit bekommen wir Ergebnisse für das Getippte präsentiert.

myspace05 myspace04 myspace06

Was auffällt ist der Umstand, dass sämtliche Kontakte fehlen. Selbst wenn die Meisten davon inzwischen inaktiv sind wäre es doch ärgerlich, die häufig mit viel Aufwand gesammelten Verbindungen zu verlieren. Wollen wir hoffen, dass diese noch übernommen werden und wir nicht komplett neu von Null anfangen müssen. Sofern wir das überhaupt wollen. Denn mit Reverbnation, Bandcamp, Soundcloud und vielen Anderen hat sich längst eine starke Konkurrenz etabliert. Das Alleinstellungsmerkmal fehlt mir im Moment, mit dem Myspace es schaffen will, das Wichtigste für eine solche Plattform zu reaktivieren: die aktiven Nutzer.

Persönlich begrüße ich die Umgestaltung, auch wenn man sich wieder neu eingewöhnen muss. Doch lange hatte ich an der ursprünglichen Version herumgemeckert, bei der die unterschiedlichen Designs der Mitgliederseiten eben kein tolles Feature, sondern lediglich fehlerhafte Programmierung war, die hinterher, als es kein Zurück mehr gab den Fehler zu korrigieren, als gewollt dargestellt wurde. Die zweite Version war schlicht zu langsam und fehlerbehaftet. Alleine schon der Umstand, dass bei den Bulletins die Seitenschaltung bis heute fehlt macht diese für mich unbenutzbar. Grundsätzlich befürworte ich eine bunte Vielfalt an Webseiten, unter denen man auswählen kann und die dem großen Platzhirschen doch hoffentlich bald ordentlich Feuer unter dem fetten Hintern machen. Selbst wenn die Konkurrenz ähnliche kommerzielle Interessen verfolgt.

Wenn ihr schon angemeldet seid, dann schaut doch auch mal bei RamTatTa vorbei. Noch ist es dort karg und einsam, doch wir stehen ja auch erst ganz am Anfang. Vielleicht der Anfang eines großen … ach nein, ich glaube nicht so recht daran. Doch lassen wir uns einfach überraschen.





Anonyme Zahlungsmittel: Der Kauf von Bitcoins im Detail

27 11 2012

Heute darf ich einen Gastartikel zum Thema Bitcoins präsentieren. Meinen Artikel „Anonyme Bezahlmethoden im Internet“ hat Mira zum Anlass genommen, die Funktionsweise der Plattform bitcoin.de etwas näher zu beschreiben und von ihren eigenen Erfahrungen zu berichten. Natürlich stellt diese Plattform nur eine von mehreren Möglichkeit des Geldtransfers dar, wenngleich diese nicht unbedingt zu größter Anonymität beiträgt ist sie doch sehr einsteigerfreundlich. Nun übergebe ich das Wort auch gleich an Mira.

Am Beispiel der Plattform bitcoin.de soll gezeigt werden wie ein Kauf von Bitcoins genau abläuft. Zunächst muss man sich mit einer gültigen Emailadresse auf der Webseite registrieren. Das zu wählende Passwort muss Zahlen, Ziffern und Sonderzeichen enthalten und ist damit relativ sicher, die Verbindung zum Server erfolgt verschlüsselt. Insgesamt ist das Login-Verfahren damit vergleichbar mit den meisten deutschen Onlinebanken. Nach Registrierung erhält man eine Bestätigungsmail mit einem Link, über den sich der Account freischalten lässt. Um allerdings Bitcoins zu kaufen, muss dem Account ein Bankkonto hinzugefügt und dieses verifiziert werden. Das Konto muss entweder ein deutsches Bankkonto sein oder alternativ wird Liberty Reserve angeboten, ein online Payment System das gegen relativ hohe Gebühren anonyme Transfers ermöglicht. Für die meisten Nutzer wird Liberty Reserve aus Kosten- und Sicherheitsgründen nicht in Frage kommen, daher soll sich dieser Text mit dem Bitcoin-Kauf über ein standard Bankkonto beschäftigen.

Zunächst einmal zu der Einschränkung „deutsches“ Bankkonto: Das Bankgeheimnis in Deutschland ist eines der aufgeweichtesten Weltweit, zahlreiche Behörden inkl. Jobcenter (mit schlecht ausgebildeten Mitarbeitern) haben Zugriff auf Kontodaten. Schon die Möglichkeit der Nutzung eines EU-Bankkontos würde hier ein höheres Maß Anonymität bieten, da die deutschen Behörden im europäischen Ausland nur mit großem Aufwand Zugriff auf die Bankdaten der Kunden erhalten.

Weiter im Vorgang: Um das Bankkonto zu bestätigen überweist Bitcoin.de zunächst einen Betrag von 0,01 Euro auf das angegebene Konto zusammen mit einem Bestätigungscode. Dieser Code muss dann nach Zahlungserhalt auf der Bitcoin-Webseite in ein Freischaltfenster eingegeben werden. Ein Verfahren wie es auch bei anderen Anbietern (Paypal usw.) üblich ist. Auf diese Art und Weise ist dem Betreiber von Bitcoin nun die Identität des Nutzers bekannt und entsprechend der Gesetze auch ausreichend bestätigt.

Nachdem das Bankkonto und damit die Identität bestätigt wurde, kann der Kauf von Bitcoins beginnen. Auf dem „Marktplatz“ der Webseite sieht man, ähnlich wie beim Aktienhandel an der Börse, Käufer und Verkäufer gelistet, zusammen mit den aktuellen Kursen und der verfügbaren Menge an Bitcoins sowie der möglichen Zahlungsmethode. So kann man sich nun beispielsweise entscheiden, ob man vom deutschen User X einen Bitcoin zu 8,95 Euro kauft oder vom Franzosen Y einen Bitcoin zu 8,80. Der Vorteil des Kaufes beim deutschen User besteht nun darin, dass die Überweisung auf ein innländisches Bankkonto in der Regel nicht länger als 2 Tage dauert, oft sogar noch am selben Tag ausgeführt wird und der Verkäufer schon am Folgetag das Geld für seine Bitcoins erhält. Ins europäische Ausland hingegen kann das bis zu einer Woche dauern. Der Vorteil beim Kauf im Ausland besteht wiederum in einer größeren Intransparenz der Transaktion für staatliche Behörden (siehe oberer Absatz).

Nach Überweisung auf das Konto der Verkäufers muss man einen Link anklicken, womit man die vollzogene Überweisung bestätigt. Damit soll verhindert werden, dass der Verkäufer den oder die bezahlten Bitcoins anderweitig verkauft; die bezahlte Menge an Bitcoin ist nun durch Bitcoin.de beim Verkäufer reserviert.

Nun gilt es abzuwarten, denn erst wenn der Betrag auf dem Konto des Verkäufers verbucht wurde und dieser den Geldeingang auch tatsächlich registriert hat (wer loggt sich schon täglich bei seinem Bankkonto ein) kann der Verkäufer dem Bitcoin-Deal zustimmen und Bitcoin.de verbucht den Transfer. Sollte der Verkäufer dem Deal nicht zustimmen hat er Euro auf seinem Konto liegen, muss aber nichts dafür liefern und riskiert lediglich den Rausschmiss bei Bitcoin.de. Damit wären wir auch schon bei den Risiken dieser Transaktion angelangt, die natürlich bei Auslandsüberweisungen wesentlich höher liegen. Insbesondere bei größeren Summen sollte man das Risiko einer Überweisung an eine fremde Person, vor allem wenn die im Ausland sitzt, nicht eingehen. Dieser Nachteil ist allerdings kein Problem der Online-Währung Bitcoin, sondern der Handelsplattform Bitcoin.de. Um das Verfahren des Bitcoin-Kaufes durch Euro zu professionalisieren, sollten hier dringend Sicherheitsmechanismen eingebaut werden. Z.B. könnte die Bitcoin.de GmbH für die Käufe haften und Schadenersatz im Betrugsfalle anbieten, ähnlich wie Paypal das praktiziert.

Insgesamt hat der erste Testkauf von Bitcoin über die Plattform Bitcoin.de 3 Tage gedauert, also etwas länger als eine herkömmliche Banküberweisung und etwas schneller als eine durchschnittliche EU-Überweisung.

Gebühren: Für jede Transaktion verlangt Bitcoin.de pauschal 0,5% Provision, was im Vergleich zu allen anderen Anbietern günstig ist.





Anonyme Bezahlmethoden im Internet

4 11 2012

Mono für Alle! verkaufen Karten für ihre Konzerte im Internet, wo sie dankenswerterweise auch die Anonymität der Käufer ansprechen.

Das Ticket ist anonym. Auf dem Ticket ist nur eine individuelle Ticketnummer gespeichert damit ein Ticket nicht mehrmals benutzt wird. Die Ticketnummer ist in einer verschlüsselten Datenbank mit einer Emailadresse verknüpft […]
Gibt es keine Alternative zu PAYPAL?
A: Bisher leider nicht wirklich. Es wäre natürlich gut wenn es ein freies und anonymes Onlinezahlungssystem gäbe. […]

Gut, unabhängig davon, dass mir nicht klar ist, was eine verschlüsselte Datenbank ist (doch, Oracle Datenbanken kann man mittels Transparent Data Encryption so verschlüsseln, dass selbst der DBA die Inhalte nicht mehr lesen kann – doch das dürfte hier kaum gemeint sein), bemerken sie selbst, dass die Anonymität, die bei den Tickets noch gegeben ist, spätestens ab dem Punkt mit der Zahlung per Paypal ihr Ende findet. Diese Aussage habe ich zum Anlass genommen, hier ein paar mir bekannte anonyme Methoden zur Zahlung im Internet vorzustellen. Bitcoins und die Paysafecard habe ich selbst getestet, bei anderen verlasse ich mich auf Informationen der Anbieter selbst. Grundsätzlich sollte jeder selbst wissen, wem er sein Geld anvertraut.

Kreditkarten sind normalerweise mit allerlei persönlichen Daten des Besitzers verknüpft, anhand derer dieser problemlos zurück verfolgt werden kann. Es existieren allerdings auch Kreditkarten, die man gänzlich anonym erwerben kann. Dabei handelt es sich um Prepaid Kreditkarten, hier muss also der Betrag zunächst aufgezahlt werden, den man anschließend nutzen möchte. In Deutschland ist an solche Angebote im Handel nicht zu kommen, es besteht allerdings die Möglichkeit, sich im nächsten Skiurlaub in Österreich einzudecken oder sich eines der folgenden Angebote von einem Bekannten aus der Alpenrepublik schicken zu lassen.

cash4web Mastercard: Hierbei handelt es sich um keine Karte, sondern um einen Bon des Anbieters PayLife, die man überall dort verwenden kann, wo Mastercard akzeptiert wird. Natürlich kann man den Bon in keinen Automaten schieben. Der Bon ist in Beträgen von 25 bis 150 Euro erhältlich und logischerweise nicht wiederaufladbar.

PayLife MasterCard Geschenkkarte: Die Karte ist mit einem Guthaben von 50 bis zu 150 Euro in Österreichischen Trafiken von tobaccoland erhältlich, eine Ausweiskontrolle findet nach Angaben des Anbieters nicht statt. Auch diese Karte lässt sich nicht wieder aufladen.

In Deutschland findet man beispielsweise die mywirecard 2go Visa, die man als echte Karte zwar anonym an einer Tankstelle oder Kiosk erwerben und bis zu 150 Euro bar aufladen kann, für die Aktivierung muss man sich allerdings eine SMS senden lassen. Dazu wäre also zunächst einmal eine anonyme Handy-Karte vonnöten. Das gleiche Problem zeigt sich auch bei der rein virtuellen Mastercard des selben Anbieters.

Wenig vertrauenserweckend mutet der Webauftritt der Taurus Banque an. Wer den notwendigen Mut mitbringt, kann sich hier eine anonyme Visa oder MasterCard bestellen. Der Vertrieb soll über eine deutsche Firma erfolgen, Versand über einen Kurier. Für weitere Informationen sollte man die Bank idealerweise selbst kontaktieren, im Screenshot finden sich die anfallenden Gebühren.

Taurus Banque

Kommen wir zum virtuellen Geld. In diesem Bereich hat sich Bitcoin einen Namen gemacht. Bitcons sind eine Form von elektronischem Geld, das dezentral auf der Basis eines Computernetzwerks geschöpft wird. Hierzu muss man sich zunächst einen P2P Client herunterladen, der beim ersten Start eine Verbindung zu den anderen Nutzern sucht. Dieser Vorgang ist recht langwierig und kann bei langsameren Computern in der Zwischenzeit die CPU komplett in Beschlag nehmen. Auch sind das Programm und die Nutzungsweise nicht unbedingt selbsterklärend. Es geht aber auch einfacher, auf der Seite bitcoin.de kann man die Bitcoins ohne Verwendung des Programms von anderen Nutzern im Tausch gegen „reales“ Geld erhalten. Dieser Vorgang dauert in aller Regel mehrere Tage, da Geldtransaktionen häufig ins Ausland erfolgen.

Damit das funktioniert, muss man zunächst sein Konto bei bitcoin.de verifizieren lassen. Hier wären wir schon beim großen Nachteil des Systems, denn nach Eingabe der eigenen Bankdaten bekommt man einen Cent mit einem Verifikationscode überwiesen. Somit sind wir natürlich nicht mehr anonym. Nutzen wir den P2P Client, sind die Zahlungen zwar grundsätzlich ohne Angabe persönlicher Daten möglich, allerdings werden alle Transaktionen zwischen zwei Adressen öffentlich protokolliert und dauerhaft im gesamten Netzwerk gespeichert. Die Nutzer lassen sich mit entsprechendem Aufwand der Ermittlungsbehörden also durchaus ausfindig machen. Dieses System bietet von daher keine absolute Anonymität, weshalb von der Nutzung eher abzuraten ist. Außerdem unterliegt die virtuelle Währung gewissen Schwankungen, man kann durch den Einsatz dieses Systems zwar Geld verdienen, aber genauso gut auch verlieren.

Als tatsächlich anonyme Form der Zahlung bleibt nun nicht mehr viel. Zu nennen wären hier im Grunde nur noch die Prepaid-Karten, die ähnlich der Anfangs vorgestellten Prepaid Kreditkarten funktionieren. Die größten Anbieter für Deutschland sind Paysafecard und Ukash mit einem recht breit gefächerten Netz an Partnershops. Man spaziert hier mit Sonnenbrille, Schirmkapuze und Schal bis über die Nase in die Tankstelle bzw. den Kiosk, der möglichst keine Überwachungskameras an der Decke hängen hat und verlangt die entsprechende Karte. Den gewünschten Betrag reicht man dem Verkäufer bar über die Ladentheke und erhält dafür eine Quittung mit einem PIN-Code. Diesen Code kann man dann im Internet-Shop an, der das System natürlich unterstützen muss, und bekommt die zu zahlende Summe abgezogen. Das Restgeld verbleibt für weitere Einkäufe dem eigenen Code zugeordnet. Sind wir hierbei anonym im Internet unterwegs, lässt sich unsere Spur quasi nicht mehr zurückverfolgen.





Hacking – Was ist das eigentlich?

31 10 2012

Allzu oft stelle ich ein eklatantes Missverständnis fest, was es mit dem Begriff des „Hacking“ überhaupt auf sich hat. Da wird vom gehackten Facebook Profil gesprochen oder gefragt, kann man dies oder jenes nicht mal eben hacken? Ich tue mich ziemlich schwer, einem technischen Laien den Sachverhalt näher zu bringen. Heute bin ich über ein tolles Video eines Vortrags von Sebastian Schreiber, Geschäftsführer der SySS GmbH gestolpert. Diese Firma macht nichts anderes, als Sicherheitslücken diverser Software zu suchen, man könnte also behaupten, sie verdienen ihr Geld mit dem Hacken. Das ist sehr schön anschaulich erklärt, weshalb ich auch gleich das Video für sich sprechen lassen möchte.

Index:
03:13 Nokia-Handys als Abhör-Wanzen
08:00 Angriffe gegen Shop-Systeme
13:00 BIOS-Passwortschutz brechen
16:30 USB
25:00 Windows-Passwortschutz brechen / USB
34:26 Barcode-Anagriffe mittels manipulierten Barcodes
39:00 Hardwarespion
44:50 Angriff auf Zahlungssystem (iPayment)
49:15 Angriff auf Lock-Code eines Smartphones
55:40 Überwachungskamera
57:15 „Mogeln bei Moorhuhn“ – der andere Weg zum Highscore
1:01:40 Google-Hacking