Windows Script Host Super-Deaktivator!

Falls Sie das noch nicht getan haben, deaktivieren Sie noch heute den Windows Script Host auf Ihrem PC. Sie brauchen dieses Teil höchstwahrscheinlich nicht, und es wartet nur darauf, Ihnen ins Bein beissen zu können.

Sie wissen es vielleicht schon: Die meisten Trojaner kommen heutzutage nicht mehr direkt als Anhang einer Mail zu Ihnen; als Anhänge würden sie wahrscheinlich zu oft als Malware erkannt, und die Mails würden auch auffällig gross. Was Sie meistens bekommen, sind kleine Programme, sogenannte Skripte, geschrieben entweder in JavaScript oder in VBScript, die vom Windows Script Host (abgekürzt WSH) ausgeführt werden, wenn Sie sie doppelklicken, und es sind dann diese Skripte, welche erst den Trojaner aus dem Internet nachladen.

Könnte man nicht diese Gefahr eliminieren, indem man diesen WSH deaktiviert? Doch, könnte man. Hätte das Nebenwirkungen oder Nachteile? Nun ja, es könnte sein, dass danach gewisse Programme nicht mehr laufen, weil sie den WSH verwenden. Ist das wahrscheinlich? Wohl eher nicht: Ich z.B. habe als Programmierer auf meinem PC (mit WSH deaktiviert) jede Menge Software am Laufen, und keine davon hat sich je beschwert.

Es ist für mich eines der vielen Geheimnisse von Microsoft, wieso selbst bei Windows 10 der WSH immer noch standardmässig aktiviert ist.

Also die gute Tat für heute: Deaktivieren Sie den WSH auf Ihrem PC, falls Sie das noch nicht gemacht haben.

Es gibt schon eine Menge Anleitungen im Netz, wie man das macht, z.B. hier, hier und hier, aber irgendwie lustig: Während es sonst für jeden Unsinn eine kleine App gibt, schicken Sie diese Anleitungen los und lassen Sie mit RegEdit hantieren, was nicht ganz ungefährlich ist.

Ich habe mir gedacht, hier kann ich etwas beitragen. Sie finden in diesem ZIP hier meinen Windows Script Host Super-Deaktivator!, eigentlich nur ein sogenanntes .reg-File, mit dem man das Setzen der beiden Werte in der Registry für das Lahmlegen des WSH automatisieren kann: Einfach dieses .reg-File doppelklicken und die Sicherheitsabfragen beantworten, ob man wirklich einer Änderung der Registry zustimmt.

Windows Registry Editor Version 5.00

; Windows Script Host deaktivieren
; Megos AG, BR, 25.04.2017
; Siehe https://megosec.wordpress.com/2017/04/25/windows-script-host-super-deaktivator

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"="0"

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
"Enabled"="0"

Wenn Sie damit nicht durchkommen, weil irgendein Antiviren-Programm zwar mit Schwung die viel gefährlicheren .js und .vbs durchwinkt, aber bei .reg bockt, oder wenn Sie diesem Brunner da nicht einfach so trauen wollen, gibt es ein Tool namens NoScript von Symantec (direkter Download-Link), welches ebenso dafür sorgt, dass bei einem Klick auf ein Skript-File dieses nicht startet. Zudem kann man damit bei Bedarf WSH auch wieder aktivieren.

Aber Vorsicht: Das Tool, das bereits viele Jahre auf dem Buckel hat, läuft auf einem modernen Windows nur mit Elevation, d.h. wenn Sie es als Administrator ausführen. Alternativ können Sie es als kleinen Trick auch unter einem Filenamen wie NoScriptSetup.exe statt NoScript.exe abspeichern, denn dann wird es Windows als Installationsprogramm taxieren und selbst nach erweiterten Rechten fragen beim Start (ist Windows nicht herrlich?).

Zu guter Letzt als Bonus noch eine kurze Anleitung, wie Sie überprüfen können, ob das Deaktivieren geklappt hat: Speichern Sie folgende Zeile z.B. mit Hilfe von Notepad als Textfile mit der Endung .vbs ab, also z.B als WSH_Testen.vbs, und versuchen Sie, das File auszuführen: Wenn das wider Erwarten klappt und eine Dialogbox mit der entsprechenden Meldung erscheint, ist noch nicht gut:

WScript.Echo "Windows Script Host ist momentan aktiv"

Android-Sicherheitslücken: Der Himmel stürzt nicht ein

Kaum ein Tag vergeht, ohne dass ganz aufgeregt von irgendwelchen neuen Sicherheitslücken in Hunderten Millionen von Android-Smartphones berichtet wird. Bleiben Sie cool – die meisten Kriminellen haben offenbar anderes zu tun, als solche Lücken auszunutzen – und kümmern Sie sich mehr um dringende IT-Sicherheits-Probleme.


Android weist mittlerweile eine lange Geschichte von Sicherheitslücken auf, die zum Teil sogar lustige Namen wie Stagefright (Lampenfieber) oder QuadRooter (Vier-Wurzler?) haben. Eine Gesamt-Liste mit über 800 Einträgen findet man hier.

Selbst wenn man aus den Berichten über diese Lücken die Übertreibungen von Leuten „herausrechnet“, die etwas davon haben, Leuten Angst zu machen, bleibt Beunruhigendes übrig: Die Lücken sind real, die Android-Smartphones tatsächlich verwundbar, und zum Teil buchstäblich Hunderte von Millionen von Geräten betroffen.

Kommt noch dazu, dass viele davon bis an ihr „Lebensende“ verwundbar bleiben, weil die Hersteller längst nicht immer Updates liefern, welche die Lücken schliessen.

Wenn das bei PCs so wäre, hätten wir wohl längst chaotische Zustände, wo man gehackt würde, kaum hätte man sich mit dem Internet verbunden, Zustände schlimmer noch als damals mit der ersten Version von Windows XP (Infected in 20 Minutes).

Was passiert bei Android? Nun, ich verfolge News zu diesem Thema schon eine ganze Weile ziemlich aufmerksam, und ich kann mich nur an ganz wenige Fälle erinnern, wo Kriminelle in the wild tatsächlich versucht haben, solche Sicherheits-Lücken auszunutzen. Dinge wie das hier sind die absolute Ausnahme (technische Details dazu hier).

Sie müssen mir das nicht mal glauben. Nehmen Sie Ihre eigenen Erfahrungen: Sie kennen, das ist gar nicht zu vermeiden, eine Reihe von Leuten mit Android-Smartphones; Sie haben vielleicht selbst eines. Wurde irgendjemand davon je Opfer einer Hacker-Attacke? Eben.

Ich weiss nicht, wie es Ihnen geht, aber mich fasziniert es immer, wenn Dinge derart krass nicht zusammen zu passen scheinen. Da hat hierzulande wahrscheinlich mehr als jeder zweite ständig ein Gerät dabei, das man „hacken“ könnte, und es passiert … fast gar nichts?

Ich will diese Sicherheitslücken nicht verharmlosen: In dieser Zahl sind sie ein Skandal, und ich denke, für Spione und andere „Staats-Akteure“ sind sie ein gefundenes Fressen, wenn schon die normalen Kriminellen kaum etwas damit anfangen.

Und ja, ich finde, dass endlich etwas geschehen müsste, damit die Hersteller von Android-Geräten zeitnah Updates liefern, um Sicherheitslücken zu schliessen; Monthly Android Patchday oder so, und zwar für alle Geräte, unabhängig von Marke oder Alter.

Aber man sollte meiner Meinung nach auch aufhören, diesen Dingen soviel Aufmerksamkeit zu schenken. Android-Sicherheitslücken sind für Otto Normalverbraucher kein akutes Problem (auch wenn gar nicht so klar ist, warum eigentlich nicht). Kümmern wir uns um die vielen echten und dringenden Probleme auf dem Gebiet der IT-Sicherheit!

Aber haben Sie schon gehört: In Kürze wird man Hunderte Millionen Smartphones kapern können, in dem man ihnen einfach ein paar präparierte Datenpakete über WLAN zuschickt? Na, zittern Sie schon? Dieses Mal wird der Android-Himmel einstürzen. Ganz sicher.

Betrugs-Psychologie

Haben Sie sich auch schon gefragt, warum seit Jahren immer und immer wieder Gaddafis Witwe Ihre Hilfe beim Transfer eines Millionen-Vermögens braucht? Die Betrüger hinter diesen Mails haben gute Gründe, stets dieselben dummen Geschichten aufzutischen – zum Glück für uns.


Ich betreibe für mich privat einen eigenen Mail-Server, für eine ziemlich alte Mail-Adresse, die weit in der Welt herumgekommen ist, und auf der deshalb jede Menge Spam hereinkommt. Darunter sind natürlich auch viele Nigeria-Spams – Sie kennen das sicher, Millionenvermögen, Mithilfe beim Retten bzw. Überweisen gesucht, grosszügiger Anteil als Lohn, und so weiter.

Mit der Zeit fiel mir auf, dass die Betrüger hinter diesen Mail stets dieselbe kleine Handvoll Geschichten verwendeten, über Jahre hinweg, mit nur wenig Abwandlungen. Häufig hiess sogar die betreffende Person wie etwa der Rechtsanwalt oder der Bankmitarbeiter, der mir da schrieb, immer wieder exakt gleich.

Etwas Kreatives wie der im All zurückgebliebene nigerianische Astronaut ist die absolute Ausnahme; meistens ist es doch nur zum x-ten Mal Gaddafis Witwe, die noch irgendwo ein paar Milliönchen rumliegen hat.

Für mich war das ein grosses Rätsel: Mit immer wieder denselben ollen Geschichten legt man doch am Schluss niemanden mehr herein! Noch dazu mit solch haarsträubend unwahrscheinlichen und darum leicht zu durchschauenden Geschichten. Diese Betrüger können doch unmöglich so dumm sein und das nicht wissen! Warum nur geben sie sich beim Verfassen der Mails nicht mehr Mühe und tischen mit der Zeit raffiniertere Märchen auf, um den Nachschub an Opfern sicherzustellen?

Auf die eigentlich naheliegende Antwort bin ich selbst nicht gekommen, aber als ich sie vor einiger Zeit irgendwo im Internet las, fiel es mir wie Schuppen von den Augen: Ist ja klar!

Die Betrüger haben nichts gewonnen, wenn sie es schaffen, Sie mit einer kreativ und perfekt gestalteten ersten Mail so neugierig bzw. so unsicher zu machen, dass Sie antworten und genauer nachfragen, was denn zu tun sei. Erfolg ist erst, wenn Sie ganz am Schluss tatsächlich ohne jegliche Leistung der Betrüger denen einen brauchbar grossen Geld-Betrag rüberschieben.

So „blöd“ sind nur wenige Leute. Und die sind eben auch so blöd, dass sie praktisch jeden Quatsch glauben, den man ihnen per Mail auftischt.

Oder anders herum: Ist die Geschichte zu gut, fallen zwar eine Menge Leute zunächst darauf rein, aber wenn es dann am Schluss hart auf hart kommt und man einfach mal so 1000 Euro nach Afrika überweisen soll, klappt es nicht mehr. Was ist das Resultat für die Betrüger? Nichts ausser einer Menge Arbeit, mit zahlreichen Leuten hin und her zu mailen, die man am Schluss doch nicht dazu bringt, etwas lockerzumachen. Ökonomisch gesehen also völliger Unsinn!

Ich finde das ausgesprochen befriedigend. Zugegeben, sie sind lästig, diese Nigeria-Spammer, und ja, es kommen Leute zu Schaden, aber nur wenige, und die Sache hat quasi die Bremse gleicht mit eingebaut, die ziemlich zuverlässig verhindert, dass es allzu sehr ausartet.

Was sagt mir das in Bezug auf IT-Sicherheit? Dass manches Horrorszenario, das technisch gesehen durchaus möglich ist, eben genau das bleibt – nur ein Szenario – weil niemand da ist, der genügend davon profitieren würde, es zu realisieren.

Übrigens, betreffend nigerianischem Astronaut: Vielleicht glauben Sie mir nicht, aber Nigeria hat tatsächlich eine eigene Weltraum-Agentur

Erpressungs-Trojaner: Erst am Anfang der Evolution

Heute aktuelle Ransomware steht offenbar erst ziemlich am Anfang ihrer technischen Entwicklung, mit viel Potential einer Evolution hin zu noch „fieseren“ Programmen. Hoffen Sie deshalb nicht auf ein baldiges Abflauen der Erpressungs-Trojaner-Welle, sondern schützen Sie sich.


Ich habe in den letzten Tagen etwas mit einer aktuellen Variante des Cerber-Trojaners herumgespielt, einer sogenannten Ransomware, die Ihre Dateien verschlüsselt und erst gegen Zahlung eines Lösegelds wieder freigibt – natürlich mit der nötigen Vorsicht d.h. in einer entsprechend abgesicherten virtuellen Maschine und unter Beobachtung durch Tools wie Wireshark und ProcMon.

Die wichtigste Erkenntnis, die ich für mich bei der Analyse dieses Erpressungs-Trojaners gewonnen habe: Wenn man sich das Teil einfängt, ist man ohne Backups seiner Daten tatsächlich komplett „am Arsch“, aber technisch gesehen ist Cerber ein bemerkenswert harmloses und einfaches Programm.

Wenn ich das mit anderer, hochgerüsteter Malware vergleiche, die etwa Leute ausspionieren oder Botnets aufspannen soll, fällt vor allem auf, was das Programm in der aktuellen Version März 2017 alles nicht kann bzw. was es nicht tut:

  • Soweit ich gesehen habe, werden keine Windows-Sicherheitslücken ausgenutzt, um etwas zu tun, was eigentlich nicht zulässig sein dürfte.
  • Das Programm wendet bei mir keine psychologischen Tricks an wie z.B. als System-Meldungen getarnte Aufforderungen, um mich dazu zu bringen, ihm mehr Rechte einzuräumen.
  • Das Programm scheint keine Rootkit-ähnlichen Eigenschaften zu haben; es ist z.B. während der Verschlüsselung im Task Manager mit einem relativ auffälligen Namen sichtbar.
  • Es wehrt sich nicht dagegen, in einer virtuellen Maschine zu laufen, und lässt sich so relativ einfach analysieren.
  • Nach Ende der Verschlüsselung scheint es sich selbst vom PC zu entfernen; danach neu hingelegte Dokumente bleiben bei mir völlig unbehelligt.
  • Das EXE ist nur schlecht und recht geschützt gegen die Erkennung durch Viren-Scanner: Auf VirusTotal erkannten vorgestern 26 von 61 Analyse-Programme meine Datei-Variante als Malware und hätten sie wohl auf einem PC geblockt.
  • Ein von mir als „Köder“ hingelegter Backup im Windows Backup-Format bleibt komplett unbehelligt; offenbar reicht es als Schutz für Dateien gegen Cerber im Moment bereits, nicht zugreifbar zu sein mit den Rechten des aktiven Windows-Users.

Was ich damit sagen will: Technisch gesehen ist da noch jede Menge „Luft nach oben“, um das Programm aggressiver, schwerer zu entdecken und schwerer zu bekämpfen zu machen.

Daraus ziehe ich folgenden Schluss: Sollte Ransomware in Zukunft unter Druck kommen, so dass die Gewinne der Betreiber einzubrechen drohen, z.B. weil die PC-Anwender vermehrt dazu übergehen, Backups zu machen, dürfte es kein grosses Problem sein, die Programme entsprechend weiterzuentwickeln.

Das Ende der Fahnenstange ist in der Evolution der Erpressungs-Trojaner noch lange nicht erreicht: Cerber ist kein digitales Äquivalent eines multiresistenten Superbakteriums, sondern eher ein Tierchen, das schon mit ein wenig Penicillin tot umfällt (auch wenn es die Presse auch mal anders darstellt, siehe etwa Focus hier).

Das sagt mir, dass uns die Ransomware-Plage noch lange, lange Zeit erhalten bleiben wird. Die geht nicht einfach so wieder weg!

Also: Haben Sie Ihr Backup schon eingerichtet?

Ghostery geistert jetzt für Burda

Ausgerechnet Burda hat jetzt bei der Firma Ghostery das Sagen. Deshalb eine Überprüfung, ob deren Android-App Ghostery Privacy Browser, die ich vor etwa 3 Monaten empfohlen habe, immer noch die Privatsphäre schützt. Resultat: Vermutlich ja. Noch.


Ich habe in einem Blog-Eintrag vor etwa 3 Monaten für Android den Ghostery Privacy Browser empfohlen, um wildgewordene Werbung unter Kontrolle zu bekommen, und auch um dem schon fast allgegenwärtigen User Tracking im Internet möglichst zu entkommen.

Vor etwa 2 Wochen habe ich dann irgendwo aufgeschnappt, dass der Burda-Medien-Konzern die Firma Ghostery gekauft habe. Ach nö, muss das wirklich sein, dachte ich mir, die werden ihr Geld mit Werbung und Verkauf von Informationen über Anwender der Ghostery-Tools verdienen wollen und damit die ganze Sache über kurz oder lang kaputtmachen, und ich werde wohl meiner Empfehlung im Blog eine entsprechende Warnung hinterherschicken müssen.

Als ich mir heute die Geschichte genauer anschaute, war ich allerdings überrascht, wie kompliziert sie ist. Es haben nicht einfach jetzt die „Bösen“ den „Guten“ etwas abgekauft, und man braucht nur noch Eins und Eins zusammenzählen, um deren wahre Absichten zu erkennen. Nein, da durchzublicken ist gar nicht so einfach, wie man erkennt, wenn man z.B. diesen „Zeit“-Artikel liest.

Was ist dieser Cliqz-Browser genau, der da mit Ghostery-Technologie angereichert werden soll? Was will die gleichnamige Firma Cliqz dahinter, eine Tochter des Burda-Konzerns und neuer Besitzer von Ghostery? Was will die Konzern-Mutter? Und schlägt das zurück auf ein Produkt wie den vor mir empfohlenen Android-Browser?

Ich habe die Sache als Gelegenheit verstanden, meinen Lernprozess in Sachen Security voranzubringen, habe auf einem Kali Linux einen WLAN-Hotspot eingerichtet, mein Android-Smartphone damit verbunden und dann mit Wireshark mal angeschaut, was der Ghostery Privacy Browser so für Netzwerk-Zugriffe generiert.

Es geht hier wie gesagt ausschliesslich um den Ghostery Privacy Browser, auf Android, und in der momentan (März 2017) aktuellen Version 1.3.3. Also keine Aussage darüber, was andere Ghostery-Software treibt.

Es geht im wesentlich darum: Respektiert der Browser die Ghostrank™-Option, mit der man unterbinden können soll, dass er die aufgerufenen Seiten an Ghostery meldet, und gibt es keine weiteren Informationen, die übermittelt werden, die man nicht mittels Optionen steuern kann?

Ghostery-Optionen

Ghostery-Optionen

Das Resultat meiner Analyse: Mit Option an sah ich klar Transfers von Daten zu einer Site namens nodecollectorext-1054271745.us-east-1.elb.amazonaws.com, die mit Option aus verschwanden. Mit Option aus sah ich auch keine anderen verdächtigen Datenübermittlungen zusätzlich zu denjenigen, die direkt mit der von mir angewählten Website zu tun hatten.

Das ist natürlich kein Beweis, denn ich bin nicht soweit gegangen, den Datenverkehr zu entschlüsseln, um genau zu sehen, was übermittelt wird, und einzelne Zugriffe z.B. 1 Minute nach Aufruf einer Website würde ich wohl nicht mehr bemerken, aber ich komme für mich trotzdem zum Schluss: Wahrscheinlich ist der Ghostery Privacy Browser für Android in der aktuellen Version 1.3.3 (noch) sauber betreffend Privacy, wenn man die besagte Ghostrank-Option richtig einstellt, nämlich aus.

Passwort-Manager? Open Source! Ja, aber…

Ist Open Source immer noch die beste Wahl bezüglich erzielbarer Sicherheit, wenn ich statt einer kommerziellen „unfreien“ Software gleich fünf Open-Source-Programme einsetzen muss, um auf die Funktionalität zu kommen, die ich brauche? Sicher scheint mir hier nur eines zu sein: Das ist keine einfache Entscheidung.


Vor einiger Zeit begann ich für die Verwaltung meiner Passwörter einen Passwort-Manager zu suchen: Meine neue berufliche Ausrichtung auf IT-Sicherheit hatte mir endlich den nötigen „Schupf“ gegeben, einfache Passwörter identisch verwendet auf jeweils mehreren Websites sind uncool und müssen jetzt weg.

Namhafte Experten wie z.B. Bruce Schneier raten bei Software rund um Security schon sehr lange zu Open-Source-Lösungen, wie z.B. in diesem Artikel zitiert, weil Offenheit im allgemeinen mehr Sicherheit bieten kann.

Mit den Stichworten „Passwort-Manager“ und „Open Source“ landet man schnell einmal bei KeePass. Die Applikation gefiel mir, insbesondere als langfristig denkendem Programmierer: Ich fand es beruhigend, dass das File-Format für die Passwort-Datenbanken dokumentiert ist, und dass nicht nur KeePass selbst, sondern eine ganze Reihe weiterer Programme das Format unterstützen.

Kommerzielle Firmen haben es ja so an sich, dass sie manchmal Pleite gehen oder von jemandem gekauft werden, den man nicht mag, und man dann mit deren Software quasi strandet; solche Probleme sind bei KeePass kaum zu befürchten.

Ok, also Windows-Programm KeePass 2 installiert; nicht unbedingt Hochglanz, aber brauchbar.

Nur: Passwörter braucht man heutzutage natürlich vor allem im Browser, und als verwöhnter Anwender will man es da etwas bequemer haben, als es das Windows-Programm im Zusammenspiel mit einem Browser bieten kann.

Gut, kein Problem, CKP – KeePass integration for Chrome™ unterstützt KeePass-Files, ist ebenfalls Open Source, und funktioniert mit meinem Chrome-Browser.

Kommerzielle Passwort-Manager kümmern sich um das Synchronisieren von Datenbanken über mehrere Geräte hinweg. KeePass hingegen kümmert sich nur um lokale Files. Also liegt es an mir, sofern ich das will, dafür zu sorgen, dass ich z.B. sowohl zuhause wie auch im Geschäft an meine Passwörter komme.

Auch kein Drama, ich habe schon einige Zeit eine Dropbox im Einsatz, da drin hat ein File mehr auch noch Platz. Zugegeben, Dropbox ist zwar eine Firma, und deren Lösung natürlich nicht Open Source, aber will wollen mal nicht kleinlich sein.

Nächste Station: Mein Android-Smartphone. Es hilft nichts, auch da muss eine App her, das Eintippen der 20 Stellen langen, von KeePass generierten Passwörter von Hand will ich mir gerade darauf wirklich nicht antun. Ich lande bei der Open-Source-App Keepass2Android Password Safe.

Hmmm, und was ist mit dem iPad meiner Frau? Selbes grundsätzliches Problem. Also gut, MiniKeePass auch noch installiert. Das bisher schwächste Stück Software in der Sammlung, aber funktionieren tut’s, und Open Source ist es auch.

Jetzt noch der Härtefall, das Notfall-Szenario: Wie greife ich z.B. in den Ferien von einem beliebigen wildfremden PC aus auf meine Passwörter zu? Hier würde ich, aus Sicherheitsgründen natürlich wirklich nur im Notfall, auf KeeWeb zurückgreifen, eine Open Source Web-Applikation mit Dropbox-Anschluss, die auf jedem vernünftigen Browser läuft.

Wo hat mich nun meine Reise, die mit einem einzelnen einfachen Windows-Programm begann, hingeführt? Zu folgendem „Zoo“ an Software-Komponenten:

  • Windows: KeePass 2
  • Chrome-Browser auf Windows: CKP
  • Synchronisation zwischen Geräten: Dropbox
  • Android: Keepass2Android
  • iOS auf iPad: MiniKeePass
  • Web-Applikation: KeeWeb

Hier, an diesem Punkt meiner Reise, kommen mir Zweifel: Open Source ist ja schön und gut, aber will ich wirklich all den Leuten hinter fünf verschiedenen Open-Source-Lösungen vertrauen? Dazu noch all den Leuten hinter den Websites, welche diese Lösungen zum Download anbieten? Werden alle fünf weiterentwickelt, genügend schnell, und in eine „gesunde“ Richtung? Und Dropbox als Firma hängt auch noch mit drin?

Setze ich nämlich ein kommerzielles Produkt ein, z.B. 1Password, sieht die Sache so aus:

  • Windows: 1Password
  • Chrome-Browser auf Windows: 1Password
  • Synchronisation zwischen Geräten: 1Password
  • Android: 1Password
  • iOS auf iPad: 1Password
  • Web-Applikation: 1Password

Ich habe einige Zeit gezögert, weil ich einfach keine „harten“ Kriterien fand, um abzuschätzen, ob nun das Vertrauen in genau eine kommerzielle kanadische Firma names AgileBits besser ist, oder eben doch das Vertrauen in eine ganze Truppe von Open-Source-Autoren und Webmastern, verteilt über die halbe Welt.

Das ganze erinnerte mich sehr an eine frühere Erkenntnis meinerseits: In diesem Universum ist irgendwie nichts gratis, irgendein Haken ist immer.

Am Schluss kippte ich auf die Seite des KeePass-„Ökosystems“, hauptsächlich aus folgenden Gründen:

Trotz besagtem Zoo von Programmen und Apps ist das Grundprinzip einfach und damit grundsolide: Hier ist mein Passwort-File, es ist fast unknackbar verschlüsselt und damit praktisch wertlos für andere. Ich bestimme, was damit läuft, ich kann es problemlos kopieren, sichern, in verschiedenen Versionen aufbewahren, zu zwei oder auch zu zehn Files aufspalten, es jemand anderem auch zur Verfügung stellen, wenn es sein muss, usw.

Aber natürlich ist mir durchaus bewusst, dass solches Hantieren mit Files nicht jedermanns Sache ist. Und hübscher sehen die 1Password-Apps auch aus…

Kann aus XMPP überhaupt noch was werden?

Sicher, Conversations ist ein schönes Stück Software, und der zugrundeliegende Standard XMPP frei, offen und dezentral, wie man es sich wünschen würde, aber im Grossen und Ganzen scheint es mir trotzdem momentan zappenduster auszusehen bei dieser Alternative zu WhatsApp und Co.


Ich hatte bisher in zwei Blog-Einträgen im wesentlichen nur Gutes zu sagen über den Android-Messenger Conversations und den zugrundeliegenden, offenen Standard XMPP. Jetzt wechsle ich quasi mal die Seite, spiele „Advocatus Diaboli“ und konzentriere mich auf Dinge, die nicht gut sind bei dieser ganzen Geschichte:

Es gibt zwar eine erfreuliche Anzahl Programme, die den XMPP-Standard unterstützen, aber von der Anzahl User her gesehen, die damit unterwegs sind, scheint die Sache nirgendwohin zu kommen. Man hat den Eindruck, dass bei XMPP-basiertem Chat die „Nerds“ mehr oder weniger unter sich sind.

Das müsste nicht so sein. Immerhin wurde das Kern-Protokoll bereits 2004 als offizieller IETF-Standard verabschiedet; die Wurzeln gehen sogar unter dem Namen Jabber bis ins Jahr 1999 zurück. Man kann also nicht behaupten, es sei einfach noch keine Zeit gewesen, um zu wachsen und zu gedeihen.

Auch interessant: Sogar Internet-Giganten wie Google und Facebook haben zeitweise in gewissen Programmen XMPP unterstützt, dann aber fallengelassen, oder unterstützen immer noch, aber auf nicht standardkonforme Weise. Wieso lässt man denen das durchgehen? Warum scheint es der XMPP-Gemeinde nicht zu gelingen, genügend Protest zu mobilisieren, um diese Firmen zu einer Unterstützung des Standards zu drängen?

Der ursprüngliche XMPP-Standard umfasste nicht mehr als das reine Hin- und Her-Schicken von Text. Heute erwartet man natürlich von einem guten Messenger einiges mehr. An sich kein Problem, es gibt dazu eine ganze Menge Erweiterungen des Standards. Wenn man sich dann aber ansieht, welche öffentlichen Server welche Standards auch wirklich unterstützen, sieht es nicht so toll aus: Ziemlich viel Rot in dieser Tabelle.

Und jetzt noch das absolut Traurigste, dass ich bisher bezüglich XMPP gesehen habe: Es geht im Moment unter anderem um eine möglichst schnelle Implementation des relativ neuen OMEMO-Protokolls in den diversen Programmen. Dafür sind zum Teil Belohnungen ausgesetzt, um die Implementation etwas zu befördern. Hier ein Screenshot einer Seite, welche solche Belohnungen auflistet:

Belohnung für OMEMO

Belohnung für OMEMO

Nichts gegen die Privatleute, die hier etwas gespendet haben, damit ein XMPP-kompatibles Programm namens jitsi Support für OMEMO bekommt, aber mal ehrlich, was soll das denn mit 60 Dollars? Das ist doch ein schlechter Witz. Findet sich da wirklich niemand, EFF, Mozilla Foundation, was weiss ich, der für so etwas wenigstens ein paar Hunderter springen lässt?

Mir scheint jedenfalls, für XMPP sieht es im Moment ziemlich düster aus.

Ist nun mit diesem Blog-Eintrag irgendetwas gewonnen, ausser dass ich Gelegenheit hatte, zu meckern? Ich denke, dass etwas sehr wichtig ist, wenn die Dinge so schlecht stehen wie bei XMPP: eine realistische Einschätzung der momentanen Situation. Und ich hoffe, dass ich hierzu einen kleinen Beitrag leiste.