KeePass mit OTP über YubiKey betreiben

Friday, 29. June 2012 at 0:32 Uhr

“Was haben LinkedIn, eHarmony und Last.fm gemeinsam?”

So oder ähnlich könnte ein Witz über die drei Webplattformen beginnen, würde die Pointe nicht ein leeres Schlücken bei dem Zuhörer auslösen.

Um was geht es überhaupt? Den drei genannten Unternehmen wurden im grossen Umfang Passwörter Kunden entwendet, eine Tragödie für jedes Unternehmen und deren PR Abteilung. Was ich bei eHarmony und LinkedIn noch mit einem müden Lächeln quittierte, hat mich bei Last.fm schlagartig aufgeweckt – “Da habe ich ich doch auch einen Account!”. Warum ich aber keine E-Mail mit der Aufforderung zum Passwortwechsel von Last.fm erhielt, kann ich nicht verstehen. Wenn ich solche Dinge erst über die Medien erfahren muss, dann müssen nachher wieder die Jungs von der PR-Abteilung den Schaden begrenzen.

Das Passwörter in der Regel als Hash vorliegen ist normal, dies war bei den “verloren” gegangenen Passwörtern auch der Fall. Leider verwenden immer noch viele Firmen die inzwischen nicht mehr sichere MD5 Hashfunktion und was der Tragik noch eines daraufsetzt: Die Hashes sind häufig nicht mal “gesalzen” (Salt), also ohne zusätzliches Einfügen von einer unbekannten Anzahl Zeichen, was der Angriff über ein Wörterbuch oder einer Rainbow-Table zu einem Kinderspiel macht. Wer jetzt glaubt, Kennwörter werden immer als Hashes – mit oder ohne Salt – bei den Unternehmen gespeichert, muss ich enttäuschen. Ein wirklich trauriges Beispiel ist die Firma MobiWee!, welche die Passwörter im Klartext(!) in der Datenbank speichert. Dies lässt sich leicht auf der Homepage über den Link “Forgot your Password?” überprüfen, über diesen MobiWee! einem das ursprüngliche Passwort per E-Mail zusendet – Gruselig! In solchen Fällen hilft auch die Wahl eines noch so starken Passwortes nicht viel und wie wir alle wissen, sollten nur starke Passwörter eingesetzt werden und zwar für jeden Dienst ein anderes. Ach ja, merken sollte man sich die unterschiedlichen Passwörter auch noch können, denn aufschreiben ist hässlich.
Wer benutzt immer die gleichen 3-5 Passwörter im Internet? Es dürften die Mehrheit der Personen sein, kein Wunder bei der Fülle der Dienste, bei denen man heutzutage angemeldet ist.

Als ich meine Liste mit den Diensten, bei denen ich angemeldet bin hervor kramte, zählte ich 91 Eintragungen!
Nach dem Ereignis mit Last.fm wollte ich das Problem endlich mal bei den Wurzeln anpacken, zu lange habe ich mich davor gescheut für jeden einzelnen Dienst ein eigenes Passwort zu verwenden. Einerseits weil ich heute schon recht starke Passwörter verwende, andererseits weil ich die wenigen Passwörter sortiert nach Zugänge wie Foren, Newsletter, Webshops, E-Mail Accounts usw. benutze, was bei einer Kompromittierung eines Passwortes den Schaden eingrenzt. Der aber wichtigste Grund dafür, warum ich bis anhin keine “unique” Passwörter für jeden Dienst verwendete, war schlicht und einfach Faulheit!

Es gibt verschiedene Lösungen um Passwörter zu erstellen die relativ sicher sind und diese vor unbefugtem Zugriff zu schützen.

Passwortkarten

Bei Passwortkarten werden unterschiedliche Zahlen, Buchstaben und Sonderzeichen in einer Matrix dargestellt, die durch eine bestimmte Leserichtung – die nur dem Inhaber der Passwortkarte bekannt sein sollte – das Passwort ergibt. Solche Passwortkarten können z.B. hier erstellt und ausgedruckt werden.

Bild: Passwordkarte

Wie ein Passwort lautet bestimmt der Inhaber selber, merken muss er sich lediglich den Startwert, die Leserichtung und die Anzahl Felder welche das Passwort ergeben soll. So könnte ein Passwort aussehen, welches bei C1 anfängt und fünf Felder lang ist: M-geZi8iP0

Passwortkarten mögen auf den ersten Blick scheinbar die Lösung sein, um das Problem, sich viele Passwörter zu merken, organisieren zu können. Aber wer kann sich schon 30 oder 50 Startwerte, Leserichtungen und Anzahl Felder merken? Zudem: Wenn die Passwortkarte abhanden kommt, besteht das Risiko, dass mittels Brute-Force Methode, und Kombinatorik Passwörter herausgefunden werden können, da alle Informationen die ein Passwort ausmacht auf der Passwortkarte vorhanden sind. Eine Variante welche etwas mehr Sicherheit verspricht ist die Kombination der Passwortkarte mit einem Passwort, das sich nicht auf der Passwortkarte finden lässt und nur dem Inhaber bekannt ist. Dennoch kommt für mich diese Variante nicht in Frage.

LastPass – Passwort Manager

Bei LastPass kann der Benutzer seine Passwörter online abspeichern. Dabei braucht man nur noch ein Passwort um an seine Passwörter zu gelangen – das LastPass Passwort. LastPass ist für verschiedene Betriebssysteme wie Windows, Mac, Linux, aber auch für Android oder das iPhone, verfügbar. LastPass lässt sich daher auch unterwegs benutzen, was eine grosse Stärke dieser Lösung ist.

Bild: LastPass

Wie das Sprichwort so schön sagt: “Vertrauen ist gut, Kontrolle ist besser”, bei LastPass fehlt letzteres. Natürlich verspricht LastPass die Passwörter sicher, verschlüsselt und geschützt vor Fremdzugriff zu lagern. Überprüfen lässt sich dies nicht und da die Firma LastPass in den USA registriert ist, gilt amerikanisches Recht, auch für die Passwörter, die irgendwo in der Welt auf einem Server liegen können. Ob LastPass genug vertrauenswürdig ist um ihr die Verantwortung der eigenen Passwörter zu übertragen, muss jeder selbst entscheiden. Für mich kommt diese Lösung auf jeden Fall nicht in Frage.

KeePass – Passwort Manager

KeePass ist ein Open Source Passwort Manager für das Betriebssystem Windows, zudem gibt es Ports für Linux, Mac, Android, iPhone und BlackBerry.

Bild: KeePass

Da KeePass für den mobilen Gebrauch ausgelegt wurde, lässt sich dieses Programm auch ohne Installation betreiben, einfach die KeePass Daten auf den UBS Stick kopieren, fertig. KeePass gibt es als Version 1.x und 2.x. Während Version 1.x sich ohne das Microsoft .NET Framework begnügt, ist dies in der Version 2.x Pflicht, was aber heute auf jeden Windows Rechner installiert sein sollte. Die Version für Linux und Mac brauchen zudem noch Mono.

Was mir gleich sehr gefallen hat, war die Möglichkeit KeePass mittels One-Time-Password (OTP) betriben zu können. Das Plugin OptKeyProv bietet diese Möglichkeit.

Für mich kommt KeePass als Lösung in Frage. Es ist Open Source, lässt sich transportieren und bietet Unterstützung für OTP.

Die grosse Arbeit

An einem regnerischen Tag nahm ich die Aufgabe in Angriff, alle Benutzerdaten in KeePass zu übernehmen und gleichzeitig alle Passwörter zu ändern, ein Arbeit die gut sieben Stunden in Anspruch nahm. Man sollte sich die Zeit nehmen möglichst starke Passwörter auszuwählen. Da die einzelnen Passwörter nicht mehr einprägsam sein müssen, kann bei der Wahl der Passwortlänge und der Zahl der Zeichenklassen aus den Vollen geschöpft werden.

Der Passwort Generator in KeePass hilft bei der Auswahl von starken Passwörtern. Als starkes Passwort gilt, wenn dieses mindestens 8 Zeichen lang ist und folgende Zeichenklassen beinhaltet: Gross- und Kleinbuchstaben, Sonderzeichen und Zahlen. Weitere Informationen zu starken Passwörtern, finden sich hier.

Wie gut ein Passwort ist, lässt sich z.B. bei rumkin.com überprüfen. Bei Password Meter ist es interessant zu sehen, ob die Menge der Zeichenklassen und deren Häufigkeit einem sicheren Passwort genügen. Schlussendlich sieht man hier, wie lange ein handelsüblicher PC voraussichtlich braucht das eingegebene Passwort zu erraten.

Hinweis: Die getesteten Passwörter sollten nachher nicht mehr weiterverwendet werden.

Bild: KeePass Passwort Generator

Die Datenbank von KeePass beinhaltet nun alle Passwörter in verschlüsselter Form und muss nun selbst gegen unerlaubten Zugriff abgesichert werden. Wer hier test123 als Master Passwort nimmt hat schon verloren und hätte sich die Mühe sparen können. Für das Master-Passwort von KeePass sollte man sich ein schwer zu erratenes Passwort aussuchen, ohne es aufschreiben zu müssen.

Eine Möglichkeit wäre die Bildung von Wortgruppen wie: AchWieSchoen, was nicht sehr sicher ist und durch eine Wörterbuch-Attacke relativ schnell geknackt werden kann.

Schwieriger wird es das Passwort zu erraten, wenn gewisse Buchstaben durch Zahlen und Sonderzeichen ersetzt werden, die auf das Ursprungszeichen schliessen lässt. So wird aus einem “S” eine “5” oder ein “O” wird zu einem “0”: 4chW135ch03n
Dieses Passwort ist eigentlich ziemlich stark, aber das Benutzen von Leetspeak ist eine Methode die weit verbreitet ist und auch viele Wörterbuch-Attacken können solche Passwörter erraten.

Dennoch sollte man sich nicht davon abschrecken lassen Wortgruppen mit Zahlen und Sonderzeichen zu benutzen und intelligent zu kombinieren. Fünf zusätzliche Zeichen machen dieses Passwort schon sehr sicher: [4chW13-*-$ch03n]

Ich habe mich entschieden KeePass in Verbindung mit einem One-Time-Password (OTP) zu benutzen. Neben einem starken Passwort, muss zusätzlich noch ein OTP eingegeben werden, sonst bekommt man keinen Zugriff auf die Datenbank. Um OTP benutzen zu können gibt es spezielle USB OTP-Keys die am Computer wie Tastaturen funktionieren. OTP-Keys besitzen einen oder mehrere Buttons um gespeicherte Daten mittels Knopfdruck auszulösen. Mittels Konfigurationssoftware lassen sich die OTP-Keys konfigurieren. Ich habe mich für den YubiKey der Firma Yubico entschieden und gleich zwei YubiKey’s für 50 Dollar bestellt.
Obwohl auf der Webseite eine Lieferfrist von 7 – 14 Tagen angegeben wurde, hatte ich die beiden YubiKey’s schon nach vier Tagen im Briefkasten! Top Service!

Bild: YubiKey

Um den YubiKey zu konfigurieren gibt es zwei Programme, das Configuration Utility (Link angepasst am 19.06.2015) und das Personalization Tool. Ich habe die Konfiguration mit dem Configuration Utility durchgeführt, welches ich nachfolgend beschreiben werde.

Wir stecken den YubiKey in einen freien USB Anschluss und starten das Configuration Utility Programm.
Beim ersten Start des YubiKeys kann es durchaus einen Moment dauern bis das Betriebssystem den Key erkannt hat.

Bild: Startbildschirm

 

Bild: OATH-HOTP

Hier OATH-HOTP auswählen.

 

Bild: OTP Länge und Startposition

Die OTP Länge sollte man hier auf 8 Stellen setzen was die Sicherheit zusätzlich erhöht. Wichtig ist der Moving factor seed, dieser definiert nämlich ab welcher OTP-Nummer zu zählen begonnen wird. Hier den Wert Fixed zero auswählen.

 

Bild: Secret Key

Hier wird der Schlüssel definiert mit dem die OTP’s generiert werden. Über den Button Single rand können neue Schlüssel “zufällig” erzeugt werden. Hat man den Button ein paar mal gedrückt muss man den 160bit Schlüssel irgendwo zwischenspeichern, denn diesen brauchen wir später noch für KeePass. Dieser Schlüssel ist sehr wichtig, denn ohne diesen lässt sich die KeePass Datenbank nicht mehr öffnen, sollte irgendwann mal der YubiKey verloren gehen. Am besten schreibt man den Schlüssel auf und verwahrt diesen an einem sicheren(!) Ort.

 

Bild: Output Format Flags

Da YubiKey wie eine Tastatur funktioniert, können verschiedene Tastaturbefehle, wie Tabulator oder Zeilenumbruch mit übergeben werden. Dies ist praktisch, da bei der Eingabe eines OTP’s über mehrere Felder hinweg auf die normale Tastatur verzichtet werden kann. Wir lassen die Einstellungen hier alle leer, denn wir definieren die Tastaturbefehle später in KeePass.

 

Bild: YubiKey schützen

Hier kann der YubiKey gegen das Überschreiben seiner Konfigurationen geschützt werden. Vorläufig lassen wir den YubiKey ungeschützt.

 

Bild: Konfiguration schreiben

YubiKey besitzt zwei Speicherbänke um Bspw. ein Passwort und ein OTP Schlüssel abzuspeichern. Wir nehmen die Konfiguration 1 und betätigen den Run Button.

Hinweis: Um die Konfiguration der beiden Speicherbänke abrufen zu können, drückt man den Gold-Button auf dem YubiKey unterschiedlich lange.

KeePass mit OTP aktivieren

Um OTP in KeePass verwenden zu können, muss erst OptKeyProv heruntergeladen und seinen Inhalt in das Hauptverzeichnis von KeePass entpackt werden.

Wir öffnen nun KeePass und geben das Master Passwort ein.

Bild: Master Key

Danach gehen wir zu File -> Change Master Key und geben unseres Master Passwort ein oder definieren ein neues. Unter Key file / provider wählen wir One-Time Passwords (OATH-HOTP) aus und bestätigen mit OK.

 

Bild: OTP

Die Passwortlänge setzen wir auf 8 Zeichen fest, so wie wir dies im Configuration Utility Tool definiert haben. Unter Secret key kommt der zwischengespeicherte 160bit Schlüssel rein, der Counter ist der Moving factor seed aus dem Configuration Utility Tool, diesen lassen wir auf 0. Bei Number of OTPs required to open the database definieren wir, wie viele OTP’s es braucht um KeePass zu öffnen. In diesem Beispiel müsste sechs mal auf den YubiKey gedrückt werden, damit sich KeePass öffnet.

Den Loock-ahead count muss ich an dieser Stelle kurz erklären. Da der YubiKey und KeePass den identischen Secret Key haben und sich daraus alle nachfolgenden OTP-Nummern mathematisch ergeben, müssen beide synchron laufen. Nun ist es aber möglich den YubiKey auch unabhängig von KeePass zu benutzen, was sich mit einem Texteditor und dreimal auf den YubiKey drücken auch rasch überprüfen lässt. In diesem Fall wäre der YubiKey jetzt schon um drei OTP-Nummern weiter als KeyPass. Der Loock-ahead count ermöglicht es KeyPass einen Versatz zu definieren, um diese “Diskrepanz” auszugleichen. Genauer gesagt: KeePass erkennt anhand der eingegebenen OTP-Nummern wie weit der YubiKey voraus ist und passt die neue Startposition an. An der Reihenfolge der einzugebenden OTP-Nummern ändert sich nichts, diese müssen in jedem Fall immer die korrekte Abfolge besitzen, lediglich die Startposition wird angepasst. Dieser Look-ahead count lässt sich nicht unendlich nach Vorne verschieben und sollte zudem mit einem sinnvollen Wert gesetzt werden, denn je höher der Wert ist, desto grösser ist der mögliche Angriffsvektor. Würde man in diesem Beispiel mit dem YubiKey 13 mal in das Leere ein OTP erzeugen, so könnte KeePass nur noch mit dem – hoffentlich zuvor notierten – Secret Key geöffnet werden.

Wir speichern das Ganze und beenden KeePass.

Nach einem Restart von KeePass lässt sich unter Key File das One-Time Password auswählen.

 

Bild: Login mit OTP

Nun geben wir unser Master Password ein und drücken auf OK.

 

Bild: OPT

Als erstes gehen wir gleich mal in die Options und aktivieren Auto-Accept und Auto-Tab. Damit brauchen wir bei der Eingabe der OTP-Nummer nicht die Tabulator- und Zeilenumbruchtaste zu betätigen.

Nun ist KeePass bereit für das erste OTP Login, viel Spass!

Link des Tages – cheat-sheets.org

Wednesday, 2. May 2012 at 1:52 Uhr

Da braucht man kurz einen Linux Konsolen-Befehl oder ein Java Code Fragment und kennt die Schreibweise oder die verfügbaren Optionen nicht mehr auswendig. Handbücher, eingebaute Hilfen oder Google helfen einem in der Regel schnell und unkompliziert weiter.

Aber wäre es nicht schön all die wichtigsten Daten in kompakter Form verfügbar zu haben?

Unter cheat-sheets.org findet sich ein Sammelsurium der gängigsten Programmiersprachen, Systemen, Frameworks und Methoden als Schnellreferenz in HTML und PDF.

Von ActionScript bis Zen Coding deckt cheat-sheets.org so ziemlich alles im Bereich Kurzreferenz ab. Neben jQuery (die ich persönlich viel praktischer finde als die API Referenz auf der jQuery Webseite), VMware und AWK, gibt es sogar eine Kurzreferenz für World of Warcraft, oder eine Referenz zu MySQL im Posterformat.

Die Microsoft-Browser-Security-Check Lachnummer

Thursday, 13. October 2011 at 0:37 Uhr

Oder: Der Test, der keiner ist.

Microsoft versucht auf eine recht billige Art und Weise dem Internet Benutzer aufzuzeigen, wie sicher der Internet Explorer gegenüber den anderen Browsern ist.

Beim Aufruf der Seite yourbrowsermatters.org erscheint ein “Security Score”, der Aufschluss darüber geben soll, wie sicher der eingesetzte Browser ist.

Der Internet Explorer 9 glänzt mit der Bestnote 4 von 4 Punkte, der Firefox 7.0.1 mit traurigen 2 von 4 und Punkten und mein Opera Browser 11.51 gab gar nichts zurück. Dies machte mich ein wenig stutzig, sollten doch bei einem Test, Dinge wie XSS (Cross-Site-Scripting) oder CSRF-Angriffen (Cross-Site Request Forgery) unabhängig des Browsers durchgeführt werden können.

Ich habe mir dann mittels Firefox 7.0.1 den User Agent mal auf den Internet Explorer 9 gesetzt und siehe da: 4 von 4 Punkten!

Zudem suggeriert dieser Pseudotest immer eine hohe Sicherheit gegenüber dem eingesetzten Browser, unabhängig den effektiven Browser-Sicherheitseinstellungen. So gibt die Seite yourbrowsermatters.org für den Internet Explorer 9 immer noch ein Score 4 von 4 aus, obwohl die Sicherheit- und Datenschutzeinstellungen zwischenzeitlich auf die niedrigste Stufe gesetzt wurde.

Microsoft hätte auf der Seite noch eine Rubrik mit Scareware anbieten sollen. Wenn Warnung, dann aber auch richtig 😉

Firefox 7.0.1 mit Standard User Agent

Firefox 7.0.1 mit IE 9 User Agent

Link des Tages – smithsonmartin.com

Thursday, 15. September 2011 at 23:43 Uhr

Emulator Multi Touch Midi Controller By Smithson Martin

Doom und Doom II vom Index gestrichen

Thursday, 1. September 2011 at 0:43 Uhr

Quelle: golem.de

Mit Wirkung zum 31. August 2011 hat die Bundesprüfstelle für jugendgefährdende Medien die 1994 erfolgte Indizierung der Spiele Doom und Doom II aufgehoben. Aus heutiger Sicht seien die Titel nicht mehr jugendgefährdend.

Auf 17 Seiten (PDF) begründet die Bundesprüfstelle für jugendgefährdende Medien ausführlich, warum Doom und Doom II vom Index gestrichen wurden. Der entscheidende Punkt ist die technische Weiterentwicklung von Spielen, in deren Folge die Darstellungen der beiden Shooter-Klassiker heute nicht mehr als realistisch anzusehen sind.

Die BPjM dazu: “Der Spieler wird aufgrund der distanzierend wirkenden Grafik in das Kampfgeschehen nicht mehr emotional involviert. Es verbleibt sowohl auf der visuellen Ebene als auch auf der Tonebene der Eindruck von abstrakten und damit auch überdeutlich als fiktiv und als unrealistisch zu erkennenden Schilderungen. Das spielerische Erleben hinsichtlich der empathischen Beeinflussung der Rezipierenden ist demnach heute anders zu bewerten als noch vor 18 Jahren.”

War nicht die realistische Darstellung von Gewalt der Grund für die Indizierung dieser beiden Titeln?
Ich konnte damals schon den Entscheid einer Indizierung nicht nachvollziehen, eine Freigabe ab 18 Jahren wäre vertretbar gewesen. Die beiden Titel mit dieser Begründung wieder vom Index zu nehmen ist einfach nur lächerlich.

Offensichtlich wurde die Realität inzwischen noch realistischer 🙂

Offline im Auftrag des Herrn

Friday, 18. February 2011 at 22:37 Uhr

Quelle: golem.de

Ein evangelischer Medienverband ruft zum “Medienfasten” auf: Eine Woche lang sollen Spielkonsole, Computer und Fernseher aus bleiben – damit mehr Zeit für Freunde und Familie ist und Kopf und Seele frei bleiben.

Wenn ein evangelischer Medienverband so ein Aufruf macht, geht es in erster Linie nicht um Freunde und Familie.

Aus dem golem.de Forum:

Dieser theologische Aufruf soll eigentlich nur heißen:
“Tausche Deine virtuellen Freunde, gegen einen imaginären Freund”

Damit ist zu diesem Thema alles gesagt worden 😈

Link des Tages – Pickpic

Thursday, 10. February 2011 at 1:04 Uhr

Picpick, die kostenlose und umfangreiche Snagit Alternative.

Männer schreiben die Wikipedia voll

Friday, 4. February 2011 at 19:22 Uhr

Quelle: spiegel.de

Diese Frage hat jüngst auch die Geschäftsführerin der Wikimedia-Foundation gestellt. Sue Gardner erklärte der “New York Times”, ein wichtiges Ziel der Stiftung sei es, den Anteil weiblicher Freiwilliger bis 2015 auf 25 Prozent zu erhöhen.

Demnach ist heute weniger als ein Viertel der Wikipedianer weiblich. Aber wie viele sind es genau? Ist das Verhältnis in Deutschland ähnlich?

Nanu? Braucht Wikipedia tatsächlich eine Frauenquote für “freiwilliges” Mitmachen?

Die Recherche nach genaueren Angaben als “Männerüberschuss” führt erst mal vor Augen, wie miserabel die Datenqualität – im Hinblick auf einige Details – bei einem eigentlich doch so umfassend digital dokumentierten Projekt wie der Wikipedia ist.
[…]
* gut 68 Prozent der Befragten sagten, sie würden die Wikipedia nur lesen, nicht aktiv als Autoren mitwirken
* von diesen Lesern sind fast 69 Prozent Männer
* von den Autoren sind gut 87 Prozent Männer.

Vermutlich ist die Datenqualität so schlecht, weil 87 Prozent der Beiträge von Männer geschrieben wurden, was der wirre Zusammenhang zwischen “Männerüberschuss” und Datenqualität wohl suggerieren will. Vermutlich lässt sich die Datenqualität nur durch eine Erhöhung des Frauenanteils anheben, alles klar!

Vielleicht schreckt Frauen überdurchschnittlich stark ab, was viele Wikipedia-Nutzer auch von der Mitarbeit abhält: Der Einstieg ist kompliziert, es gibt viele Regeln, die Ansprüche an neue Artikel sind hoch, es gibt wenige Themen, die völlig unbeackert sind.
[…]
Liegt es an die vielen Regeln? Liegt es an der für Einsteiger manchmal unübersichtlichen Benutzeroberfläche? Liegt es am Umgangston? Mangels Studien ist es unmöglich, da einen Grund zu benennen. Soziologe Stegbauer spielt das an einem Beispiel durch: “Denkbar wäre ja, dass der bisweilen raue Umgangston Frauen abschreckt. Aber: Um davon abgeschreckt zu werden, müssen Frauen ja erst mal mitarbeiten – wir wissen nicht, ob das geschieht.”

Vielleicht hat es was damit zu tun, dass Männer “eher” eine höhere Technik-Affinität haben als Frauen. Möglicherweise hat es auch mit einer grösseren Ausprägung von Narzissmus, oder einem Mitteilungsbedürfnis seitens der Männer zu tun, warum diese häufiger bei Wikipedia schreiben. Es kann aber auch sein, dass die meisten Frauen einfach kein Interesse daran haben sich aktiv in der Wikipedia-Community zu engagieren.

Es gibt da nur Einzelfälle, die illustrieren, wo ein Problem liegen könnte. Zum Beispiel die Geschichte einer Jura-Studentin, die Comics sammelt und in der englischsprachigen Wikipedia eine Kategorie für weibliche Superhelden anlegen wollte. Sie registrierte sich, schuf die Kategorie und pflegte Artikel ein. Dann kam es zur Abstimmung über die Kategorie, sie wurde für unnötig befunden und gelöscht.

Die Gegner argumentierten, die Kategorie sei “zu weit” gefasst, die Befürworter hielten dagegen, sie sei enger gefasst als die bestehende “Superhelden”-Kategorie, zudem habe das Geschlecht der Comicfiguren eine kulturelle Bedeutung. Die Gegner gewannen die Abstimmung, Die Autorin erinnert sich in ihrem Blog: “Dass ich als ein Neuling eine gute Idee haben und mich dafür engagieren könnte, diese Möglichkeit existierte nicht.” Sie pflegt ihre Material-Sammlung zum Thema inzwischen beim offenen Wikipedia-Gegenstück Wikia.

Die Löschdebatte hat in diesem Fall ein besonderes Geschmäckle (Autorin verteidigt einen Beitrag über Sexismus in der Popkultur gegen die Löschanträge überwiegend männlicher Nutzer), aber diese Art von Lösch-Aktionen dürfte jeden neuen Nutzer verschrecken, unabhängig von Geschlecht und Thema.

Schaut man sich die Historien der Artikel und die Forumsbeiträge mal genauer an, so sieht man dort, dass häufig ganze Seiten oder einzelne Rubriken abgelehnt, verändert oder gar gelöscht wurden. Bei einem Männeranteil von 87 Prozent dürften Löschungen von Beiträgen auch dementsprechend mehr Männer tangieren und kann daher bestimmt nicht Geschlechtsspezifisch begründet werden.

Jede/r kann bei Wikipedia mitmachen, wollen muss man halt nur…

Link des Tages – abgabenterror.ch

Monday, 10. January 2011 at 18:49 Uhr

Und gleich die Petition unterschreiben, damit wir nicht dem SUISA-Monster eines Tages noch eine Abgabe auf jedes IPv6-Küchengerät entrichten müssen.

Android Market – Neue Rückgaberegelung verärgert Kunden

Tuesday, 28. December 2010 at 17:12 Uhr

Quelle: golem.de

Noch bis vor kurzem war es im Android Market möglich, eine bezahlte Software bei Nichtgefallen innerhalb eines Tages zurückzugeben. Der Käufer bekam dann den Kaufpreis erstattet. Eine Rückgabemöglichkeit bietet der Android Market weiterhin, allerdings wurde die Zeitspanne erheblich verringert: Statt 24 Stunden bleiben dem Käufer nun nur noch 15 Minuten für eine Reklamation.

Besonders bei umfangreichen Spielen ist das Produkt innerhalb von 15 Minuten noch nicht einmal heruntergeladen. Der Anwender kann das Produkt also nicht bis zum Ende der Rückgabefrist ausprobieren. Er merkt auch nicht rechtzeitig, wenn ein Spiel auf dem eigenen Android-Smartphone gar nicht läuft. Das verärgert viele Nutzer des neuen Android Market, denn es kommt immer wieder vor, dass vor allem Spiele nicht auf allen Android-Geräten einwandfrei laufen.

Das 24 Stunden mehr als ausreichend sind um die Funktionalität eines App’s zu testen leuchtet ein. Aber 15 Minuten sind schon arg kurz, da hätte man mit einer Rückgabefrist von 60 Minuten den ganzen Wirbel mit verärgerten Kunden bestimmt verhindern können.