spackblog

Ha, na sowas. Da kommt jemand mit einer relativ eleganten Möglichkeit um die Ecke, dem IE die neuen HTML5-Elemente auch ohne JavaScript bekannt zu machen. Er benutzt dafür einen XML-Namespace und benutzt dann so Sachen wie html5:section statt section. Das ist geradezu genial und funktioniert angeblich sogar zuverlässig, validiert aber in erster Linie nicht, wenn man sich nicht mit XHTML5 ganz anderen Ärger ins Haus holen will. Daneben ist es auch komisch, wenn der Autor so ein HTML schreiben muss, nur um auf den IE Rücksicht zu nehmen. Wie ließe sich das also noch verbessern?

Mir kam sofort die naheliegende Idee, das mit einem serverseitigen Ausgabefilter nur an die IEs auszuliefern. Die Voraussetzung wird nicht jedes CMS einfach so mitmachen, aber falls doch, ermöglicht einem das, die HTML5-Elemente jetzt zu benutzen. Wie genau soll das funktionieren? Wenn man einen serverseitigen DOM/HTML-Parser benutzt, ist es relativ leicht, aber das sollte in der CMS-Landschaft die große Ausnahme sein. Also braucht man ein paar simple RegExes:

• <html muss im HTML-Output durch <html xmlns="http://www.w3.org/1999/xhtml" xmlns:html5="http://www.w3.org/1999/xhtml" ersetzt werden. Wenn man gründlich arbeitet, prüft man vorher, ob das HTML-Element nicht schon die passenden Namespaces trägt.
• <(/?)(abbr|article|aside|audio|canvas|details|figcaption|figure|footer|header|hgroup|mark|meter|nav|output|progress|section|summary|time|video) muss im HTML-Code durch <$1html5:$2 ersetzt werden, das sind die öffnenden und schließenden Tags.
• (abbr|article|aside|audio|canvas|details|figcaption|figure|footer|header|hgroup|mark|meter|nav|output|progress|section|summary|time|video) muss im CSS durch html5\:$1 ersetzt werden.

Das schöne an dieser Lösung ist, dass man Serverseitig recht einfach einen IE erkennen kann und ihm die gefilterten Quellen anbietet. Dass der Code für den IE nicht validiert, halte ich für verschmerzbar. Falls man versehentlich einen Browser erwischt, der sich nur als IE ausgibt, klappt zudem trotzdem alles. Und das wichtigste in meinen Augen ist, dass man die CSS Spezifität nicht verändert und sich auf diesem Weg keine Seiteneffekte ins Boot holt. Gut so.

Der einzige Nachteil, den ich momentan sehe, ist die Voraussetzung eines finalen Output-Filters. Viele CMSe buffern den HTML-Output sowieso und bieten einen Hook an, an den man sich einfach dranhängt, in dem Fall hat man natürlich leichtes Spiel. Etwas schwieriger ist das bei CMSen, die sowas nicht haben und vor allem bei statischen CSS-Dateien, in dem Fall muss man irgendwie einen Filter in den Workflow frickeln, was stark von der eingesetzen Serverumgebung abhängt und nicht einfach generalisiert lösbar sein wird. Wenn man aber sowieso schon ein CSS-Framework wie Turbine einsetzt, lässt sich das prima dort lösen, vielleicht gar mit einem HTML5-Enabler Plugin. Ansonsten wäre das mal ein guter Anlass, so ein Framework einzusetzen.

Damit löst man aber noch immer nicht das Cache-Problem: Man muss externe Proxy-Caches aushebeln und benötigt zudem plötzlich zwei lokale Caches, die von der Cache-Logik unterschieden werden müssen. Da wird es dann diffizil und man verzichtet vielleicht lieber auf eine Browser-Unterscheidung, macht den Output-Filter immer an und scheißt auf den Validator. Ist ja auch eine Lösung und man muss weiterhin nicht selbst mit den Namespaces hantieren.

Kürzlich wurde ich gerufen, um einen Rechner mit Windows 7 von einem Trojaner zu befreien, der eine lustige TAN-Abfrage in das Online-Banking der Postbank injiziert ("Geben Sie 20 TANs ein" direkt nach der Eingabe von Kotonummer und PIN). Schnell war klar, dass ich es mit einem ordentlichen Stück Software zu tun hatte, weil alleine die organische Einbindung der injizierten Abfrage mittels jQuery UI wirklich sauber ausgeführt wurde. So gehört sich das. Der Virenscanner hat zwar etwas gefunden, aber das verriet lediglich den Weg der Infektion über ein veraltetes Java-Plugin (Update 17, aktuell ist Update 23). Ein Autostart war auch schnell auffindbar, aber ebenfalls eine Sackgasse: Die Exe hatte 0 Byte und war zusammen mit dem Autostart-Eintrag nach jedem Löschen plus Neustart wieder da. Klingt ziemlich nach Rootkit, also Rechner mitnehmen und genauer ansehen.

Also habe ich als nächstes die Desinfec't DVD von der c't 02/2010 gebootet und einige Stunden Bitdefender, Kaspersky und Avira mit aktuellen Signaturen laufen lassen. Für sowas braucht man viel Zeit, weil alleine die Akualisierung der Scanner sich bei mir im Stundenbereich bewegt hat. Verwunderliches Ergebnis: Nichts, keine einzige verdächtige Datei, die Avira nicht schon aus dem laufenden System heraus in Quarantäne verschoben hatte. Nanu? Irgendwo her muss der Scheiß doch kommen und so neu oder unbekannt wird so ein Virus auch nicht sein. Bleibt also als letzte Möglichkeit der MBR. Also schnell mal mit fixmbr.exe hantiert und von einer Boot-CD aus den Autostart und die immer wieder neu angelegte 0-Byte-Exe gelöscht, und zack, das war es. Keine TAN-Abfrage mehr beim Banking. Die hatte übrigens den Firefox und den Internet Explorer betroffen, nicht aber einen testweise heruntergeladenen Protable Chrome. Scheinbar injiziert sich das Ding als geheime DLL in ihm bekannte Browser, um sein Unwesen zu treiben.

So muss das. Diese Scriptkiddie-Virusbaukasten-Kinderkacke langweilt doch nur. Ich warte schon lange auf solche Schadsoftware, die mal ein echter Gegner ist; die auch mal von Leuten lanciert wird, die nicht mit ihren scheiß Botnetzen und adoleszent geprägten Allmachtsfantasien irgendwelche Seiten DDoSen, weil man dort ihren Account wegen Missbrauchs geblockt hat. Von sowas hat mir gerade gestern noch jemand erzählt, der eine Matchmaker/Liga-Seite für ein beliebtes Computerspiel betreibt. Stattdessen gibt es ordentlich gestaltete Software, die ihren Zweck erfüllt und mal wieder zeigt, wie angreifbar Online-Banking mit TAN-Liste doch ist. Mit Browser-basiertem Banking hat man da besonders als Angreifer leichtes Spiel, aber wenn jemand so weit ist, dass er sich mit einem MBR-Rootkit tarnen und unauffällig den ganzen Browser manipulieren kann, sollte auch ein Angriff auf StarMoney oder andere Banksoftware kein prinzipielles Problem sein.

Dass man hier sehr auffällig direkt 20 iTANs haben will, ist wohl dem Umstand geschuldet, dass man diese nur verkauft und eben nicht direkt selber nutzt. Sollte sich jemand finden, der bereit ist, das zu tun, ist es natürlich viel erfolgsversprechender, eine legitime TAN-Abfrage abzuwarten und nur die Überweisungsdaten zu manipulieren. Dagegen helfen einige neuere TAN-Verfahren, die neben der TAN auch immer Ziel und Betrag der Überweisung anzeigen. Wenn man dem überhaupt Beachtung schenkt. mTAN oder die neueren TAN-Generatoren tun da gute Dienste, weil sie die TAN-Generierung an die angezeigten Überweisungsdaten binden. Nutzt sowas, wenn ihr das noch nicht macht. Oder eben HBCI-Chipkarten-Banking mit (teurem) Kartenleser mit Display und eigenem Pinpad, aber das ist wirklich sehr unkomfortabel, vor allem wenn man mehr als eine Bank hat.

Insgesamt muss man sagen: Haltet um Gottes Willen Eure Software aktuell! Ein Java Update 17 ist einfach mal sechs Versionen alt und enthält etliche Sicherheitslücken, die sich ohne Zutun des Anwenders bequem im Browser ausnutzen lassen. Was aus sowas werden kann, hat dieser Fall mal wieder eindrucksvoll bewiesen. Auf dem betroffenen Rechner habe ich jetzt Java einfach deinstalliert, denn bezeichnend an der Sache ist, dass der Besitzer von Java eben noch nie etwas gehört hatte; kein Wunder also, dass er dessen Update-Anfragen offensichtlich ignoriert hat. Weg damit. Überhaupt: Alle Browser-Plugins sind tickende Zeitbomben, das gilt genau so für Flash und den Adobe Reader (oder Shockwave oder Quicktime oder Windows Media). Die Browser sind heutzutage echt ziemlich sicher geworden, vor allem Google Chrome mit seinen ungefragten Hintergrund-Updates geht da den richtigen Weg. Aber wenn man sich diese Sicherheit mit Sandboxen und allem durch veraltete Plugins direkt wieder kaputt macht, ist das ein Fehler im Prinzip. Also: Plugins vermeiden oder zumindest nicht ungefragt ausführbar machen, ein Flashblocker ist heutzutage sicherheitstechnisch wirklich Gold wert, NoScript kann das sogar mit allen Plugins. Ansonsten muss Java eben ganz gehen, aber das hatten wir ja schon neulich.

In meinem Elternhause existierte eine mysteriöse blaue Musik-Kassette scheinbar ostdeutscher Herstellung, von der niemand wusste, wie sie ihren Weg in unser trautes Heim gefunden hatte. Eine rote oder orangefarbene Schwesterkassete gab es auch, aber an deren Inhalt kann ich mich nicht erinnern. Auf der blauen Kassette waren ein paar geniale Lieder zu hören deren Interpret ebenfalls niemandem bekannt war. Ich sage ja, mysteriös. Die Kassette habe ich als Kind bestimmt 300 mal gehört und mich ob der genialen Texte köstlich amüsiert. Das Internet war dann 15 Jahre später so freundlich, mir anhand einiger memorierter Textfetzen Interpret und Titel eines der Lieder zu nennen: Ulrich Roski heißt der Mann, und der hat noch viel mehr gute Lieder mit feinen Texten gemacht. Das Lied, an das ich mich am besten erinnern kann heißt Des Pudels Kern und ist es sicher wert, ihm ein paar Minuten Gehör zu schenken. Großartig das. Das andere Lied heißt Die ungemeine Prominenz und ist ähnlich gut. Leider kann man das nirgendwo als MP3 kaufen oder bei YouTube anhören.

Hier noch ein paar erheiternde Zeilen aus dem Lied Das macht mein athletischer Körperbau (leider auch ohne Link):

Ich kam aus Marokko, die Taschen voll Hasch
Das entdeckte der Zöllner dann auch ziemlich rasch
Dann stellt er sich blöde und schnüffelt am Gras
Und fragt scheinheilig: „Na, was ist denn das?“

Ich würde es twittern (identi.caen?), aber das würde nur unter gehen, also ein hochoffizieller Lesehinweis für euch Vögel, die ihr meinen Blog lest: Malte Welding, dessen meist großartige Schreibe für mich der Auslöser für mein Spreeblick-RSS-Abo war, schreibt nicht mehr für Spreeblick. Warum, kann nur vermutet werden; aber es klingt in der Art, wie darüber geschwiegen wird, irgendwie nach Streit. Naja, wie auch immer. Jedenfalls schreibt der Gute neben Twitter auch ein eigenes Blog und dort gibt es großartige Geschichten über Paul. Diese Geschichten gefallen mir derart gut, dass ich sie gesammelt als Buch sofort kaufen würde, egal ob sie nun autobiographisch, semi-autobiographisch oder frei erfunden sind. Ein gutes Beispiel ist diese Geschichte hier. Eine kurze Leseprobe daraus (Paul ist alleine im Zoo):

Ein grauhaariger Mann mit Taxifahrergesicht macht Nude-in-Public-Aufnahmen von einer hennafarbenen Swingerfresse. Immer, wenn niemand hinschaut, lüftet sie ihr Mini-Jeans-Röckchen und er fotografiert ihre lieblos rasierte Möse. Da ich allein bin und damit Niemand, sehe ich alles. Die Rasierpickel und die ausgefransten Schamlippen sehen aus wie ein Schaschlikteller oder Beweisfotos in einem Kriegsverbrecherprozess.

Wo ich sowas lese, bleibe ich.

YouTube ist ja ein stetiger Quell von Liedinterpretationen aus aller Herren Länder. Das ist manchmal wirklich ernüchternd, wenn man auf der Suche nach den Perlen über einen großen Haufen schlimmer Scheiße steigen muss. Immer wieder aber gibt es Liedgut, das seine Strahlkraft auch in der amateurhaftesten, kitschigsten, mit der Handykamera gefilmten oder von Hund und Katze gesungen Version nicht verlieren und mich selbst dann noch zu Tränen rühren können, wenn vom eigentlichen Text kaum noch etwas übrig bleibt.

Die "Ode an die Freude" (oder "Ode To Joy", "Freude schöner Götterfunken", "letzter Satz der 9. Sinfonie von Ludwig van Beethoven", "Europahymne") ist so ein Lied. Nicht mal eine wirklich entrüstend unpassende Live-Version von Xavier Naidoo und Band, die inzwischen gottlob von YouTube verschwunden ist, konnte dem Kern des Liedes wirklich etwas anhaben. Auch die eher seltsame koreanische Swing-Version nicht.

Scheinbar sind Lieder, bei denen Text und Vertonung weder von der gleichen Person noch aus der gleichen Zeit stammen, besonders gute Kandidaten für diese Eigenschaft. Noch ein Beispiel?

Das Gedicht "Von guten Mächten" von Dietrich Bonhoeffer auf die Melodie von Siegfried Fietz ist ein noch besseres Beispiel. Hier eine Auswahl verschiedener Versionen auf YouTube:

• Eine auf Japanisch gesungene und auf Wandergitarre gespielte Version
• Eine weichgespülte poppige Version vom Laki Pop-Chor, klingt so fast wie ein 80er Werbesong
• Eine Version, die wie auf dem Abschlussgottesdienst einer evangelischen Jugendfreizeit klingt (das soll mal keine Kritik sein)
• Eine etwas träge und nicht immer ganz korrekt gespielte Klavierversion
• Eine klassische Gitarrensolo-Version
• Eine "Klassischer YouTube Stil" Version (also alleine mit Instrument vor der Webcam entstanden)
• Eine "Jugendband" Version mit Kinderchor im Hintergrund
• Noch eine Jugendfreizeit-Abschlussgottesdienst-Version
• Und zum Schluss noch eine in einem beliebigen Gottesdienst mitgeschnittene Version

Ich hoffe, damit konnte ich klarstellen, was ich meine.

Im passwortgeschützten erweiterten Beitrag finden sich noch einige persönliche Anmerkungen dazu. Nichts sexuelles zur Abwechslung, sondern nur Gefühlsduselei. Das Passwort sollte bekannt sein.

Genau, simple Lösung: Kauft einfach DRM-freie Musik (in den USA bei Amazon, demnächst auch hier, solange muss man etwas suchen oder einfach CDs kaufen). Wal-Mart schaltet seine Lizenzierungsserver jetzt übrigens doch noch nicht ab, so dass man seine in den letzten drei Jahren dort bezahlte Musik noch eine Weile auf andere Geräte umlizenzieren kann und noch nicht mit dem Computer, auf dem sie gespeichert ist, ins Grab schicken muss.

Checkt das mal aus: Wario schüttelt Youtube kaputt. Was für eine geniale Anzeige. Anzeige? Werbung? Viral? Was auch immer, es ist witzig, neu und genial. Da geht die Werbung hin. Was Nintendo dafür wohl hinblättert? (via Spreeblick)

Gerade bin ich auf prokrastination.com gestoßen (Lesebefehl!), das Blog zum demnächst erscheinenden Buch mit dem schönen Titel "Dinge geregelt kriegen - ohne einen Funken Selbstdisziplin". Schon vom Titel fühle ich mich zu 120% angesprochen, also habe ich das Buch kurzerhand vorbestellt, noch bevor ich den dazugehörigen Blog abonniert habe. Von Kathrin Passig und Sascha Lobo habe ich ja bereits Bücher im Regal, wobei ich das ganz bestimmt ganz grandiose "Lexikon des Unwissens" ganz bestimmt später mal irgendwann lese, wenn ich Zeit und(!) Muße finde. "Wir nennen es Arbeit" ist ja sowieso Pflichtlektüre für Typen wie mich. Was spricht also dagegen, dieses Buch zu kaufen, ohne den Klappentext gelesen zu haben oder diesen Schönen, kompakten Textauszug mit 6 einfachen Übungen?

Das beste aber ist, dass ich nur ein einziges Buch, das ich im letzten Jahr erworben habe, komplett oder auch nur angelesen habe. Sollte mir das zu denken geben? Warum kaufe ich eigentlich regelmäßig Bücher, die ich dann doch nicht (aus)lese? Nur Stefan Kuzmanys "Gute Marken, böse Marken", das mit übrigens geschenkt wurde, habe ich ganz gelesen; das war zwar nicht so gut wie andere Bücher in meinem Regal, aber dafür schön kurz und schneller durch als eine normale c't. Ich habe sogar schwersten Herzens mein Brand Eins Abo gekündigt, weil ich schon fünf ungeöffnete Ausgaben im Queue hatte. Dafür bekomme ich seitdem ungefragt jeden Monat die H.O.M.E., eine Designerzeitschrift "aus der Designstadt Berlin": Die Leute vom Axel-Springer Aboservice haben mich offenbar echt verstanden, da gibt es nämlich nicht viel zu lesen, sondern nur ganz schöne Fotos von feiner Architektur und unfassbar teuren Möbeln zu gucken. Damit kann ich prima anstinken gegen den Stapel "Art"-Magazine im schicken Designerbadezimmer eines Bekannten, der immer meine oberflächlich durchgeblätterten H.O.M.E. Ausgaben bekommt und diese sicher mehr zu schätzen weiß als ich. Zielgruppe und so, ihr wisst schon…

Apropos Zielgruppe, aber das ist ein anderer Beitrag.

Manchmal bereichern Wortspiele diese Welt, die einfach nur genial sind. Das Wiki-System Wiki in a jar zum Beispiel trägt einen derat schönen und prägnanten Namen, dass man es kaum noch steigern kann. Für Uneingeweihte: JAR ist das Containerformat, in dem Java-Programme ausgeliefert werden (muss ich zusätzlich noch auf das Lied hinweisen?). Ich bin sprachlos, danke an denjenige, der sich diesen Namen ausgedacht hat.

Gut gefällt mir übrigens auch der Programmname Cuttermaran für ein Videoschnittprogramm.

Ist es verwerflich, von Dritten aufgeladene Emotionen für die eigene Werbung zu nutzen? So wie es die Telekom aktuell mit dem unglaublich unter die Haut gehenden Paul Potts macht? Ganz großes Gefühlskino schreibt off the record zu diesem Telekom-Spot und bemängelt gleichzeitig, dass der Spot zwar große Gefühle weckt, aber eben nicht für die Marke Telekom. Zustimmung meinerseits: Der Funke springt einfach nicht über und es bleibt bei mir der faule Beigeschmack des Missbrauchs eines solch wunderschönen Internet-Märchens für werbliche Zwecke einer Marke, die mit damit nicht wirklich etwas zu tun hat. Das ist (großartige) Werbung für das Internet an sich und die Telekom ist ein Zugangsprovider, nicht mehr (die Inhaltelieferei überlässt man ja inzwischen weitgehend anderen). Aber ist das nun verwerflich oder nicht? Eigentlich nicht, man bringt nur mit einen schönen emotionalen Spot ein großartiges Video ins Gedächnis und versucht (begrenzt erfolgreich) seine Markenbotschaft mitzuliefern, warum sollte das nicht legitim sein? Vor allem, wenn man mit diesem Agenda Setting Leute neu erfreuen kann, denen das Video bisher entgangen war.

Mich zum Beispiel. Irgendwie ist dieses bemerkenswerte Video bisher völlig an meiner Wahrnehmung vorbei gegangen. Gut also, dass die Telekom das jetzt wieder auf den Tisch gelegt hat, denn dieser Paul Potts singt auch ohne die rührselige Story drumrum derart herzerwärmend, dass mir die Rührungstränen auf die gänsegehäuteten Arme rinnen. Noch nie hat Operngesang solch euphorische Ausbrüche bei mir verursacht. Kein Wunder, dass sowohl das Publikum, als auch die Jury bei Britain's Got Talent schon nach zwei Takten total abgehen und dieser dickliche Typ, der so unscheinbar und fast schon bemitleidenswert da antanzt, am Ende die ganze Show gewinnt. Wirklich magisch. So magisch sogar, dass ich wie in Trance direkt mal seine CD gekauft habe. Verzauberungs-Marketing und direkte Bestellmöglichkeiten sind eine gefährliche Kombination.

Schnell noch der Telekom-Spot, der erste Auftritt bei BGT (angucken und Ton laut, es lohnt sich, versprochen) und ein Artikel im Spiegel Online dazu. Ist zwar alles schon in den anderen verlinkten Quellen verlinkt, aber ihr guckt da ja eh nicht rein, gelle?

P.S. Ich habe gerade keinen Laden gefunden, wo ich die CD 1. jetzt, 2. legal und 3. als MP3 kaufen kann. Ist das nicht bescheuert? Muss ich jetzt ernsthaft bis zum Versand der CD am 12. Juli warten und mich in der Zwischenzeit aus illegalen Quellen bedienen (was keine 10 Minuten dauert)? Wo bleiben nur das versprochene DRM-freie Amazon-Downloadangebot und seine dadurch an den Markt gezwungenen NachahmerMitzieher? Und sollte ich ein schlechtes Gewissen beim Download aus illegalen Quellen haben, wenn ich die CD besitze oder bestellt habe?