Skip to content

Firefox-Einstellungen für Sicherheit und Privatsphäre

^ v M ><
Neulich hat Debian (endlich...) ein Upgrade von Firefox ESR 52 auf Firefox ESR 60 durchgeführt. Das hat wie so viele Updates gute und schlechte Seiten. Positiv ist, dass ein aktueller und flotter Browser installiert wird. Negativ ist, dass nun fast alle meine Addons nicht mehr verfügbar sind.

Während das Update auf dem Laptop problemlos funktionierte, hat es mir auf dem Desktop das Browserprofil so zerschossen, dass sich Firefox partout nicht mehr dazu bewegen liess, eine Website aufzurufen (nicht mal von 127.0.0.1). Eine gute Gelegenheit, frisch anzufangen und die Einstellungen nochmals zu prüfen - und die Modifikationen hier zu notieren, damit ich sie beim nächsten Mal wieder finde und jemand dies für irgendjemanden von Nutzen ist.

Firefox modifiziere ich aus drei Gründen: Für bessere Benutzbarkeit, Performance und Sicherheit/Privatsphäre. Hierzu installiere ich ein paar (hoffentlich vertrauenswürdige) Plugins und passe einige Einstellungen in der about:config an.

Als Addons unverzichtbar sind NoScript und uBlock Origin (eigentlich wäre mir Request Policy lieber, aber das wurde ja von Firefox durch das Update getötet). Mir geht es weniger darum, lästige Werbung auszublenden. Ich habe nichts gegen Werbung, wenn sie direkt vom Website-Betreiber gehostet wird (kein Tracking) und nicht aufdringlich ist (ergo: statische Bilder). Aber Werbenetzwerke wurden auch schon von Bösewichten dazu missbraucht, Schadsoftware auf an sich vertrauenswürdigen Webseiten zu verbreiten (siehe z.B. hier... Link geht bewusst zum Verursacher). Es ist somit reine Selbstverteidigung.
Nach wie vor auf der Suche bin ich nach einem Addon zur Verwaltung von Cookies, da auch Cookie Controller nicht mehr funktioniert.

Die Benutzbarkeit optimiere ich durch folgende Einträge in der about:config:
accessibility.typeaheadfind.flashBar;0
browser.bookmarks.showMobileBookmarks;true
browser.feeds.handlers.application;/usr/bin/akregator
browser.tabs.closeWindowWithLastTab;false
browser.tabs.loadBookmarksInTabs;true
browser.urlbar.formatting.enabled;false
browser.urlbar.suggest.openpage;false
browser.urlbar.trimURLs;false
dom.disable_window_open_feature.toolbar;true
network.proxy.autoconfig_url;http://xxx/wpad.dat # nur auf Desktop
network.proxy.type;2 # nur auf Desktop
pdfjs.disabled;true

Für die Performance wird der Disk-Cache in eine RAM-Disk verschoben, das schont auch die SSD. Da mein /tmp eh schon in einer RAM-Disk liegt, bietet sich das an. Das ist zwar eine leichte Schwächung der Systemsicherheit, da /tmp per se allen Nutzern einsehbar ist. Da ich aber keinen shared Unix-Mainframe sondern eine Workstation nur für mich selbst habe, bleibt die Auswirkung in überschaubahrem Rahmen:
browser.cache.disk.parent_directory;/tmp
Als winziger Bonus wird auch die Privatsphäre minimal gesteigert, da der Disk-Cache somit nach einem Neustart des Computers definitiv gelöscht ist. Somit lassen sich Cache-Timing-Trackings reduzieren - eine eh schon eher esoterische Schnüffelmethode. Alternativ kann der Disk-Cache natürlich auch ganz deaktiviert werden.

Zu guter letzt wird noch die Privatsphäre gegenüber Mozilla und Google gesteigert. Dazu werden jede Menge unnötige Cloud-Dienste von Mozilla deaktiviert. Ebenfalls wird Google Safebrowsing ausgeschaltet. Dies weniger wegen Privatsphärebedenken, denn unter Berücksichtigung der Funktionsweise dieser Datenbank ist diese trotz Google-Herkunft tatsächlich relativ wenig bedenklich. Aber ich stelle den Nutzen in Frage. Ein aktuell gehaltenes Linux und ein Bisschen Vorsicht beim wild herumklicken bringt mehr Sicherheit als (potentiell veraltete und unvollständige) URL-Listen. Ausserdem spart dies Bandbreite und Festplattenplatz, da die Safebrowsing-Datenbank doch mehrere Gigabyte gross ist.
beacon.enabled;false
browser.pagethumbnails.capturing_disabled;true # neu zu erstellen
browser.safebrowsing.blockedURIs.enabled;false
browser.safebrowsing.downloads.enabled;false
browser.safebrowsing.downloads.remote.block_dangerous;false
browser.safebrowsing.downloads.remote.block_dangerous_host;false
browser.safebrowsing.downloads.remote.block_potentially_unwanted;false
browser.safebrowsing.downloads.remote.block_uncommon;false
browser.safebrowsing.downloads.remote.enabled;false
browser.safebrowsing.malware.enabled;false
browser.safebrowsing.phishing.enabled;false
browser.search.suggest.enabled;false
captivedetect.canonicalURL;http://xxx/success.txt # nur auf Laptop
datareporting.healthreport.service.enabled;false
extensions.blocklist.enabled;false
extensions.getAddons.cache.enabled;false
extensions.screenshots.disabled;true
extensions.screenshots.upload-disabled;true
geo.enabled;false
network.captive-portal-service.enabled;false # nur auf Desktop
startup.homepage_welcome_url;
toolkit.telemetry.unified;false
toolkit.telemetry.coverage.opt-out;true # neu zu erstellen
Eine gute Beschreibung vieler dieser Punkte sowie einige weitere Einstellmöglichkeiten finden sich in dieser grossartigen Anleitung.

Als weiteren Punkt in der Privatsphäre passe ich meine Cookie-Speicherdauer an und aktiviere den Do-Not-Track-Header:
network.cookie.lifetimePolicy;2
network.cookie.cookieBehavior;1
privacy.donottrackheader.enabled;true
Diese drei Anpassungen sind auch komfortabel per Maus über die Einstellungen erreichbar. Cookies werden akzeptiert, jedoch nicht von von dritten. Beim Schliessen des Browsers werden alle Cookies gelöscht. Dies ist ein guter Kompromiss zwischen Verfolgbarkeit einschränken und Webseiten benutzbar erhalten, ohne übermässig lange Ausnahmelisten führen zu müssen.

LineageOS auf Galaxy S2 (i9100) installieren

^ v M ><
Mir ist ein altes Samsung Galaxy S2 in die Hände gekommen, das für einen potentiellen Empfänger tauglich gemacht werden sollte. Bislang war bereits ein etwas in die Jahre (oder doch nur Monate?) gekommenes Cyanogenmod installiert. Aber Cyanogenmod ist tot, darum soll auf jeden Fall aktuellste Software installiert werden. Da kommt fast nur LineageOS in Frage (v.a. auch da ich damit gute Erfahrungen auf S3 und S5 gemacht habe). Da der Empfänger noch empfindlicher auf seine Privatsphäre achtet als ich, habe ich die Google-Apps weggelassen. Diese zu installieren benötigt aber nur einen weiteren Befehl und zwei Klicks mehr in der Recovery.

Leider war die Installation nicht ganz einfach, da die /system-Partition erstens nur 500MB gross ist (das ist zu klein, LineageOS verlangt mindestens 600MB), zweitens einen Defekt hat und drittens alle im Internet gefundenen Anleitungen zur Installation und Repartitionierung falsch sind, insbesondere die offizielle Anleitung von LineageOS. Ausserdem sind die meisten Anleitungen von Windows-Schafen geschrieben und nutzen Odin, während mir unter Linux Heimdall zur Verfügung steht.

Als Voraussetzung für diese Anleitung setze ich voraus, dass der Leser mit TWRP bereits vertraut ist. Ausserdem gilt ganz klar: Anwendung auf eigene Gefahr!

Beim i9100 sind ein paar Spezialitäten zu beachten, so ist das Recovery-Image in das Kernel-Image integriert.

So hat's bei mir funktioniert:
Erst sichergehen, dass auf dem Computer die aktuellsten Versionen von heimdall und adb installiert sind.
Download von PIT-Dateien (eine Art Partitionstabelle für Samsung-Geräte) von hier
Download von TWRP (Custom Recovery) von hier
Download des aktuellsten LineageOS-Build von hier
Ggf Download des su-addons und/oder gapps, wenn benötigt.
Aus lineage-14.1-*-nightly-i9100-signed.zip muss die Datei boot.img extrahiert werden.
Aus Pit_files.rar muss die gewünschte PIT-Datei extrahiert werden, ich habe I91001GB_4GB.pit (1GB /system, 4GB /data) verwendet.

Boot des Telefons in den Download-Modus mittels VolDown-Home-Power (Bestätigen mit VolUp). Anschliessend das USB-Kabel anschliessen.
Upload des neuen PIT-Files und flashen der Recovery mittels:
heimdall flash --repartition --pit I91001GB_4GB.pit --RECOVERY twrp-3.1.0-0-i9100.img --KERNEL boot.img --no-reboot

Danach das Telefon ausschalten, das USB-Kabel ausziehen, kurz die Batterie entfernen (ansonsten liess es sich bei mir nicht wieder booten), Batterie wieder einfügen.
Start des Telefons in den Recovery-Modus mittels VolUp-Home-Power
TWRP sollte nun starten. In TWRP den Menüpunkt "Wipe" -> "Advanced Wipe" -> "System" -> "Repair or Change File System" -> "Resize File System". Bei Erfolg auf "back" klicken und in der Übersicht auf "Change File System" -> "ext4". In der Übersicht wird die Dateisystemgrösse falsch angezeigt, evtl sogar als 0 Byte. Dies ignorieren. Nach erfolgter Reformatierung auf "back" klicken. In der Übersicht sollte jetzt korrekt 1007MB als Dateisystemgrösse angezeigt werden. Dasselbe Spiel für "Data" und "Internal Storage" wiederholen. Es können dabei viele rote Fehler angezeigt werden, dass Partitionen nicht eingebunden werden können. Dies kann (hier) ignoriert werden.
Nun das Telefon wieder ausschalten, Batterie raus und wieder rein, und erneut in den Recovery-Modus booten.
in TWRP erneut auf "Wipe" -> "Advanced Wipe" und einen gleichzeitigen Wipe von Dalvik, Cache, System, Data und Internal Storage durchführen. Wenn keine roten Fehlermeldungen erscheinen, kann der Flash-Vorgang beginnen. Ansonsten muss so lange mit der Reformatierung herumgespielt werden, bis es klappt.

Nun das USB-Kabel wieder anschliessen und mittels adb die zu installierenden zip-Dateien hochladen:
adb push lineage-14.1-*-nightly-i9100-signed.zip /sdcard0/
Wichtig! Der interne Speicher heisst /sdcard0/, nicht /sdcard/, wie in vielen Anleitungen behauptet!

In TWRP nun auf Install gehen und die zip-Dateien gemäss handelsüblicher Anleitungen flashen. That's it. Uff. Ja, ist kompliziert und viel unnötiger Aufwand.

Update: Ein Leser weist mich auf diese hervorragende Anleitung hin... für Windows :-P

Update: Ein weiterer Leser gibt noch zwei Tipps mit:
1. Wenn es mit dem Download der PIT-Datei nicht funktioniert, anderes USB-Kabel, bzw. anderen USB Port benutzen. Den Tipp gab's an verschiedenen Stellen und hat mir geholfen.

2. Ich habe es dann ums verrecken nicht geschafft, per "adb" etwas auf's Handy zu schieben. Ich habe es dann letztendlich auf eine Micro-SD karte kopiert, die ins Handy gesteckt und von dort installiert.

Line Messenger unter (Debian) Linux mit Pidgin

^ v M ><
Um Kontakt nach Fernost zu halten, bestand die Notwendigkeit einer Messenger-Lösung, die auf Mobilgeräten und Desktops (und zwar idealerweise als Plugin für Pidgin) läuft, Videotelefonie beherrscht und nicht von Microsoft stammt. Somit fällt Skype weg, da unterdessen zum Evil Empire aus Redmond zugehörig. WhatsCrap fällt auch weg, da nicht (legal) abseits eines einzelnen Mobilgeräts nutzbar. Viber fällt auch weg, da von keiner der bestehenden Parteien genutzt. XMPP hat seine lieben Probleme mit der Videotelefonie (und wird ausserdem nur von mir, nicht aber den Gegenparteien genutzt... seufz...).

Die Desktop-Anforderung ist für mich ein zwingendes Argument, da mir die Fummelei auf dem Telefon einfach zu mühsam ist. Ausserdem will ich nicht alle paar Sekunden die Hände von der Tastatur nehmen und das Gerät wechseln. Der Wechsel zwischen produktiver Arbeitsumgebung und Messenger ist gerade noch akzeptabel.

Die Notlösung hierfür heisst "Line Messenger" aus Korea, ist in Japan super populär und die Verwendung unter Linux selbstverständlich ein Gefrickel ohne offizielle Absegnung. Aber immerhin gibt es ein inoffizielles Plugin für Pidgin. Dessen Installation funktioniert relativ gut gemäss Anleitung auf der verlinkten Seite (code_name bei Debian ist stable, testing oder unstable, bei Ubuntu der jeweilige Release-Name, d.h. trusty, vivid oder wily). Ein paar Worte zur Einrichtung wären aber nicht verkehrt gewesen...

Zuerst muss man Line auf einem Mobilgerät installieren, ein Konto erstellen und damit Online gehen. Als nächstes muss eine Email-Adresse verknüpft werden, das macht man durch Klick auf das Icon [...] rechts oben, dann die Einstellungen (das Zahnradsymbol gleich unter [...]), "Account" und "Email Account Registration". Dort trägt man eine eigene Email-Adresse ein und vergibt ein Passwort dafür. Wichtig: Keinesfalls das Passwort des Email-Kontos angeben! Man erhält nun eine Email mit einem Verifikationscode, welchen man in der App eingeben muss.
Zuletzt muss man auf Privatsphäre verzichten und unter "Chats & Voice Calls" die Option "Letter Sealing" deaktivieren. Dies ist die Ende-zu-Ende-Verschlüsselungsoption von Line, die purple-line leider noch nicht unterstützt. Andererseits handelt es sich bei Line um eine rein proprietäre Anwendung, daher gilt eh jede dort implementierte Verschlüsselung bestenfalls als "Security By Obscurity" ohne nachweisbaren Wert!

Nun startet man Pidgin mit installiertem Line-Plugin. Unter Accounts -> Manage Account -> Add... muss folgendes eingetragen werden:
Protocol: Line
Username: Die mit dem Line-Konto verknüpfte Email-Adresse
Password: Das in der App gesetzte Passwort zu dieser Email-Adresse
[x] Remember password
Nach Klick auf Add wird das Konto hinzugefügt und verbunden. Beim ersten Verbindungsversuch poppt ein Fenster mit einem Verifikationscode auf, der innert drei Minuten in der App eingetragen werden muss. Es dauerte bei mir jedoch rund eine Minute, bis das entsprechende Popup auf dem Mobilgerät erschien.

Anschliessend ist Line auch vom Desktop-Computer aus chatbereit. Es gibt jedoch einige Einschränkungen des sich in in sehr langsamer Entwicklung befindlichen Plugins: neben der fehlenden E2E-Verschlüsselung ist ausschliesslich Text-Chat möglich, d.h. keine Audio- oder Videotelefonate. Für diese muss weiterhin auf die mobile App zurückgegriffen werden. Abbrüche der Internetverbindung werden nicht erkannt und man bleibt scheinbar verbunden. Als Presence-Status gibt es ausschliesslich die Wahl zwischen Online/Available oder Offline (kein Away). Bilder können nicht verschickt, sondern nur empfangen werden. Diese werden dann auch nur angezeigt, wenn sie einzeln empfangen werden. In Text eingearbeitete Icons werden nicht korrekt dargestellt.

Let's Encrypt

^ v M ><
Heute habe ich auf dem Server neue SSL-Zertifikate von Let's Encrypt installiert. Bislang habe ich selbstsignierte Zertifikate genutzt, um sichere Übertragung zu ermöglichen ohne dafür unverschämte Mengen Geld an dubiose Certificate Authorities zum Fenster hinauswerfen zu müssen. Let's Encrypt bietet kostenlose Zertifikate an und wird von den wichtigsten Browserherstellern unterstützt. Somit sollte nichts mehr dagegen sprechen, mein Blog über https aufzurufen.

Vorteil: Die NSA kann nicht mehr wissen, was genau gelesen wird :-)

Erste Schritte in Bitcoin?

^ v M ><
Es ist zu kompliziert. Wenn sogar ich das sage, ist das Produkt gescheitert. Punkt.

Die Installation und Konfiguration eines Wallet ist nun wirklich keine grosse Übung. So weit war ich schnell. Damit das was nutzt, brauche ich aber ein paar Bitcoins.

Es folgte also mein erster Versuch, einige Micro-Bitcoins käuflich zu erwerben. Folgende Kriterien habe ich angewandt:
- Es muss schnell und einfach möglich sein. (Ich nehme an dieser Stelle das Fazit vorneweg: Tja, leider geht das schon mal gar nicht).
- Ich will eine vollständig elektronische Abwicklung übers Internet. Keine Zustellung per Briefpost, die Wochen dauert und zuletzt noch von der Schweizer Post verschlampt wird.
- Ich will mit Kreditkarte bezahlen können und mir kein Gefummel mit SEPA-Überweisungen antun. Das reduziert die Auswahl an Bitcoin-Börsen schon mal massiv.
- Ich will einen Kleinstbetrag (max 10 Franken/Euro/US Dollar) in Bitcoin umwandeln.

Dennoch gibt es im Prinzip ja genug Handelsplätze

Nun gut, einige habe ich getestet.
- bittylicious.com: Um Bitcoins im Wert von 5GBP zu erwerben, muss ich in einem umständlich zu bedienenden Formular nicht nur Name, Wohnort, Geburtsdatum und Nationalität angeben, sondern auch eine Telefonnummer. Danach kann ich anfangen, Kopien meiner Identitätsdokumente hochzuladen. Nein Leute, so weit vertraue ich euch leider nicht. Da braucht ihr als erstes ein EV-SSL Zertifikat (das sind die im Browser grün angezeigten).
- bitcoininsanity.com: Mir springt auf der Anmeldeseite ein seit Mai abgelaufenes SSL-Zertifikat entgegen. Nein danke.
- coinmama.com: Signup nicht möglich, es gibt eine Fehlermeldung. Irgendwie wurde zwar ein Konto registriert, beim zweiten Versuch erscheint nämlich die Meldung, dass das Konto bereits existiere. Auf das Email, das mir bei der "Passwort vergessen" Anfrage zugestellt werden soll, warte ich noch immer. Und tschüss.
- coin.mx: Das Bestätigungsmail enthält verborkte Links, die man nicht anklicken kann, sondern per copy/paste in den Browser übertragen muss. Nach Anmeldung wird einem erst mal vorgehalten, dass man 10$ Mitgliedschaftsgebühr bezahlen soll. Und tschüss.

Da muss ich halt doch mal ins Kafi Schoffel. Ich hoffe nur, der Bitcoin-Automat steht noch immer dort. Und funktioniert dann auch...

Umbauen und rumschrauben

^ v M ><
Ich hab ein Bisschen am Server umgebaut und in letzter Zeit einiger Änderungen vorgenommen:

1. Courier durch Dovecot ersetzt.
Dovecot ist viel cooler als Courier und kann viel mehr. Statt einem grausamen Flickwerk und Gebastel hab ich mit Dovecot eine Lösung, die mir alles mögliche aus einer Hand bietet. Postfix kann SASL-Authentifizierung direkt über Dovecot-SASL machen statt über diesen grauenhaften Courier-SASL-Umweg, bei dem sich Courier-SASL erst am IMAP-Server anmelden muss, weil Courier-SASL ja nicht mit verschlüsselten Passwörtern umgehen kann. Ausserdem bietet Dovecot eine integrierte Mailfilterung an und über ein Roundcube-Plugin kann man die Filter sogar Klickibunti setzen :-)

2. Postfix-policyd durch Spamhaus ersetzt.
Bislang hab ich zur simplen, ressourcenschonenend Spam-Bekämpfung auf Greylisting gesetzt. Mein Server ist nämlich massiv zu schwachbrüstig, als dass ich überhaupt nur dran denken könnte, Spamassassin einzusetzen. Das funktioniert zwar relativ gut, hält aber letztendlich nur Botspam fern. Stattdessen nutze ich nun zen.spamhaus.org, um mir unerwünschte Mailhosts vom Leib zu halten. Der Erfolg lässt sich in meiner Inbox sehen. Statt 1-3 Spams pro Tag hab ich seit zwei Monaten kein einziges mehr bekommen. Die Konfiguration ist denkbar einfach. Einfach in der /etc/postfix/main.cf die Direktive smtpd_client_restrictions um den Eintrag reject_rbl_client zen.spamhaus.org ergänzen und Postfix neu laden.

3. Apaches mod_ssl durch mod_gnutls ersetzt.
Dies hat zwei Vorteile: Erstens weniger RAM-Verbrauch, da mod_gnutls minimal schlanker ist. Zweitens kann mod_gnutls Server Name Indication. Das heisst, dass ich für jeden Virtual Host ein eigenes SSL-Zertifikat verwenden kann. Das ist wichtig, weil ich nur eine IP habe, auf meinem Server aber mehrere Domänen mit SSL-Unterstützung laufen.

4. Das Blog hat zwei neue Plugins spendiert bekommen.
Schon seit einiger Zeit finden sich Buttons zu diversen Social Bookmark Seiten unter jedem Blog-Eintrag. Lediglich den Facebook-I-Like-Iframe hab ich aus Datenschutzgründen rauskommentiert. Facebook braucht nicht zu wissen, wer mein Blog besucht. Die restlichen Symbole werden von meinem Server ausgeliefert. Die Dienste bekommen folglich nur mit, dass jemand meine Seite besucht hat, wenn der Eintrag dort registriert wird.
Da ich mich bei Flattr angemeldet habe, um diverse meiner favorisierten News-Seiten und Blogs einfach und unbürokratisch finanziell unterstützen zu können, hab ich auch grad einen Flattr-Button bei mir eingebaut. Natürlich erwarte ich keine Einnahmen dadurch, dafür bin ich wirklich zu irrelevant. Mich stört auch, dass die Flattr-Buttons vom Flattr-Server geladen werden. Damit bekommt Flattr leider jedesmal mit, wer auf meine Seite zugreift. Ich muss mal schauen, ob es ein besseres Plugin gibt oder ob ich die Zeit finde, das Plugin mal zu hacken, so dass ein statisches Flattr-Symbol von meinem Server ausgeliefert wird. Denn wieso sollte ich Flattr anders behandeln als Facebook?

Zu blöd sich überwachen zu lassen...

^ v M ><
Ich finds ja unglaublich! Und es nervt mich ungemein! Wenn Leute an der Kasse noch um jeden Scheissdreck feilschen und damit die ganze Schlange dahinter blockeren. Und wie sollt's auch anders sein, steh ich natürlich genau in der entsprechenden Schlange drin.

Kundin: "Ich hab hier noch einen Gutschein, damit bekomm ich 20x Suppenpunkte und Rabatt."
Verkäuferin 1: "Nein, der ist hier nicht gültig."
Kundin: "Ja aber doch doch, daaaa sehen Sie doch!"
Verkäuferin 1: "Frau Meeeeier! Können Sie mal schauen? Ist der hier gültig?"
Verkäuferin 2: "Nein... hmmm... aaah doch, aber der gilt nur, wenn Sie Produkt XYZ gekauft haben."
Kundin: "Ja, das hab ich ja da."
Verkäuferin 2: "Na dann ist er gültig."
Verkäuferin 1: "Haben Sie noch Ihre Suppencard?"
Kundin: "Ne, die hab ich nicht dabei."
Ich: .oO("Aaaaaaargh! Mir ahnt schlimmes!")
Verkäuferin 1: "So, das macht dann 123 Franken und 45 Rappen."
Kundin: "Bitte sehr."
Verkäuferin 1: "Hier Ihr Kassenzettel."
Kundin: "Oh, da ist ja der Rabatt gar nicht drauf!!!"
Ich: .oO("Welch Wunder...")
Verkäuferin 1: "Frau Meeeeier, warum ist da der Rabatt nicht drauf???"
Verkäuferin 2: "Na den gibt's natürlich nur mit der Suppencard. Haben Sie die dabei?"
Kundin: "Nein, die hab ich im Auto vergessen. Kann ich die noch holen und anrechnen lassen?"
Verkäuferin 1: "Ja Frau Meier, geht das denn?"
Verkäuferin 2: "Nein, das geht nachträglich nicht."
Kundin: "Na dann warten Sie rasch..."
Ich: nach Luft schnapp um zwischenzureden
Verkäuferin 2: "Dann gehen Sie das bitte am Kundendienst regeln."
Ich: laaaangsam ausatmen, endlich darf ich...
Verkäuferin 1: "Grüezi, macht dann genau 42 Franken. Haben Sie eine Suppencard?"
Ich: "NEIN!!!"

Echt einfach nicht zu glauben! Zu blöd, um sich zu prostituieren und totalfichieren lassen oder was? Und dann noch den Coop mit einem türkischen Basar verwechseln???

Daten kann man nicht stehlen.

^ v M ><
Das sag nicht ich, das sagt... festhalten! ...die bayrische Justizministerin.

Damit also, liebe Raubmordkinderschändnaziterrorkopier-behaupter von der Musik-MAFIA wär's ja wohl ein für alle Mal geklärt: Der Download von Musik ist kein Diebstahl. Denn was für Schwarzgeldkontendaten gilt, gilt wohl auch für alle sonstigen Arten von Daten. Danke Frau Merk!

Man braucht gar keinen Facebook-Account mehr

^ v M ><
die Wissen schon so alles.

Das ist nun natürlich blöd, jetzt lohnt es sich auch nicht mehr rumzubrüllen, "hey, ich bin ja so cool, weil ich mich dem asocial-networking-Hype entziehe". Da hilft nur noch neuen Namen annehmen, alle Kommunikationsmittel abzuschalten und auf eine einsame Insel ziehen. Natürlich ohne seinen Freunden oder gar dem Staat Bescheid zu geben, wo man denn neu wohnt. Aber selbst dann gibt's ja noch Drohnen und Satelliten. Tja, da kann man nur noch resignieren.

Die SBB und der Datenschutz

^ v M ><
Gestern hatte ich mal wieder das Vergnügen, viel, viel, viel Geld für sehr, sehr, sehr wenig Service ausgeben zu dürfen. Ich hab nämlich mein ZVV-Abo verlängert. Dazu bin ich an den SBB-Schalter gegangen und hab mein Anliegen vorgebracht.

Ich: "Grüezi, mein Abo ist abgelaufen und ich würd das gern verlängern."
Angestellte: "Gerne doch, darf ich das alte Abo haben?"
Ich: "Bitte sehr."
Angestellte: \*tipp tipp* "Die Adresse ist immer noch Beispielsweg XY in Beispielsdorf?"
Ich: "äääh ja..." und in Gedanken: .o("Was heisst da 'immer noch'? Ich bin eben grad umgezogen, woher zum Teufel kennen die also schon meine neue Adresse???")
Angestellte: "Wieder mit Mobility für 25 Franken?"
Ich: "Ja gerne."
Angestellte: \*tipp tipp* "So, das macht dann 1345 Franken."
Ich: "äääh sicher? 1300irgendwas? Das kann nicht sein" .o("WTF!?!? Vorhin auf der Webseite waren das noch 1020 Stutz. Krasser Preisaufschlag innert 15 Minuten...")
Angestellte: "Tausenddreihundert und Fünfundvierzig! Doch, doch! Da ist noch Mobility für 25 Franken dabei."
Ich: "Nein, ich irr mich nicht um 25 sondern 300 Franken. Sind Sie sicher, dass das der Preis für 3 Zonen ist?"
Angestellte: "Ach, Sie haben recht. Ich hab aus Versehen die 4 Zonen Ihres Vormieters genommen."
Ich: "AAAAAAAAAAAAAAAAAAAARGH!!!" .o("WTF??? WTF??? WTF??? System Overload!!! Kernel Panic!!!")

Also fassen wir mal zusammen:
  • Die SBB hat in Ihrem System meine neue Adresse, obwohl ich diese niemals an die SBB gemeldet habe. Woher?
  • Die Schalterangestellte sieht auf ihrem Monitor das Abo meines Vormieters. Wozu?
  • Mal ganz abgesehen davon: Woher glaubt die SBB eigentlich so genau zu wissen, wer denn mein Vormieter war?
  • Die Abo-Verwaltungs-Applikation vermischtelt irgendwie die Daten von mir und meinem Vormieter. Was soll das?

An dieser Stelle wird wieder einmal ganz klar, wie gefährlich diese krankhafte Datensammelei und grundlose Fichiererei ist. Automatisierte Datenverwaltung und die sinnlose Kombination diverser Datenquellen ist schlicht fehlerhaft. Dieser Fehler war nun noch nicht besonders gravierend. Wäre ich aber unaufmerksam gewesen, hätte mir die SBB doch grad mal 325 Franken abgezogen. Ich möchte an dieser Stelle daran erinnern, dass die SBB eine Raubfahrerdatenbank führt, worin Personalien mindestens ein Jahr lang gespeichert werden. Wenn nun mein Vormieter wegen Raubfahrens bekannt wär, hätte ich dann zusätzlichen Ärger am Hals, wenn ich mal ohne Billet unterwegs sein sollte? Natürlich nur, weil sich die Software "in einem Einzelfall" (wie üblich) geirrt hat? Man stelle sich vor, die Polizei macht mit ihren lustigen Datenbanken (Hooligan-Datenbanken, Sexualverbrecherdatenbanken, DNA-Datenbanken, Geheimdienst-Fichen, Passfoto/-fingerabdruckdatenbanken) solche Fehler! Dann heissts: "ja aber der Computer sagt mir, dass Sie der Kerl sind, der letzte Woche in trotz Rayonverbot im Stadion war, dort Stühle rausgerissen und anschliessend den Goalie vergewaltigt hat, so dass sich der arme Kerl aus Scham vor den Zug gestürzt hat! Und der Computer irrt nie!!!"

Na ja, wenigstens eine gute Sache gibt's noch. 144 unserer Nationalräte haben zumindest noch einen Restposten Verstand.