qrios

@lewispeckover hat offensichtlich entdeckt, dass O2 in UK einen transparenten Proxy* betreibt, der bei jedem Request** die Telefonnummer des Mobiltelefons an den aufzurufenden Server schickt.

If you’re on O2′s UK mobile network (not ADSL), you’ll (probably) see a line beginning with x-up-calling-line-id - followed by your mobile phone number in plain text. Other operators may use different headers, or hopefully none at all - let me know - I’m interested to know if other networks are doing it too.

Zu Testzwecken hat er ein Script geschrieben, das die Header-Informationen auf der Seite listet. Also wer von meinen Lesern zufällig auf der Insel ist und bei O2 einen Mobilvertrag hat kann ja mal draufgehen und nachsehen, ob dort die Telefonnummer steht.

Ich hatte ja auf dem Vortrag erzählt, dass das bei bestimmten mobilen White-Label-Paketen gängige Praxis ist. Dort wird diese Information allerdings nur an bestimmte vertragsrelevante Partner-Sites gesendet und nicht an jeden beliebigen Server.

Insofern vermute ich mal einen Konfigurationsfehler. Es könnte aber auch sein, dass O2 mit größeren Ad-Server-Betreibern Deals hat und die selektive Übermittlung dadurch nicht mehr ohne weiteres möglich wäre.

*) Ein transparenter Proxy routet die Requests und kann diese gegebenenfalls modifizieren. Wird eigentlich von fast allen Mobilfunkbetreibern verwendet um zum Beispiel das Caching zu optimieren.

**) Der Request-Header oder http-Request-Header wird von dem Browser an den WebServer gesendet und enthält alle wichtigen Informationen um eine Resource anzufordern. Die Response hat ebenfalls einen Header und informiert den Browser zum Beispiel über die Größe und das Verfallsdatum der Resource.

[Update] Collin Mulliner hat sich mit dem Thema ausführlicher beschäftigt und einige interessante Fakten zu Tage befördert. Darunter wird als Beispiel übrigens Bild mobil erwähnt, über die ja auch schon mal berichtete. [/Update]

Im Rahmen einer Recherche habe ich mich mal eingehender mit der Funktionsweise und Browser-Kompatibilität von Cookie-Replacements beschäftigt. Als einzig sicheres, performantes und valides Verfahren stellt sich Cached-Canvas-Image dar. Hier kurz die Funktionsweise:

Beim erstmaligen Besuch einer Site wird in ein Canvas-Element ein Bild mit einem Bitmuster geladen. Dieses Bild wird vom Server on the fly generiert und mit einem Cache-Stempel weit in der Zukunft an den Browser gesendet.

Ein Bitmuster mit der ID "aeaeaec9c9c94f4f4fc3c3c3ffffffcccccc1d1d1d919191ffffffaaaaaa"

Beim späteren Besuch lädt der Browser das Bitmuster-Bild aus dem Cache. Danach werden mittels JavaScript die Farbwerte für die Pixel des Bildes ermittelt und daraus zusammen mit einer eindeutigen ID, die der Server in die Seite geschrieben hat, an den Server gesendet, z.B. per weiteren Image-Load. Auf dem Server werden dann die eindeutige ID mit dem Profil der ID in dem Bitmuster-Bild verknüpft.

Eine Testimplementierung ergab, dass trotz der Verwendung von Canvas der ganze Prozess auf einem aktuellen Rechner nicht mehr als 1/10 Sekunde dauert und damit keine Hürde für den weitflächigen Einsatz darstellt. Interessant ist, dass dieses Verfahren auch Site-übergreifend funktioniert und damit die Beschränkung von Cookies bzgl. Domains aushebelt.

Eine Abwandlung dieses Verfahren würde auch ohne Canvas funktionieren müsste dann aber eine erhebliche Anzahl von Requests auf ungecachte Images durchführen.

In unseren Tests zeigen die Browser Safari, Chrome und Firefox alle unisono das gleiche Verhalten: die ID wird korrekt aus dem Bitmuster ermittelt und somit der Browser ohne Cookie identifizierbar.

Anti-Tracking-Tools wie Ghostery können ein solches Vorgehen auf einer Web-Seite nicht erkennen und damit auch nicht unterbinden. Es hilft einzig das regelmäßige Löschen des Browser-Caches oder das Abschalten von JavaScript.

Auf dem 28C3 werde ich unter dem Titel Daten-Fee oder Datenvieh einen Vortrag halten. Im Kern geht es darum, wie, wer, woran und wieviel Geld mit den Nutzungs- und Nutzerdaten im Web verdient. Ich schlüssele den Umsatz der Online-Werbebranche von derzeit mehr als 6 Mrd. € auf und zeige, welche technischen Mittel die Branche verwendet, um die User über den tatsächlichen Datenfluss im Unklaren lässt.

[Update] Der Vortrag ist sehr gut gelaufen. Der Saal 3 war voll und das Publikum sehr interessiert und hat im Anschluss gute Fragen gestellt. Auch wenn ich nicht alle zu meiner eigenen Zufriedenheit beantworten konnte – trotz Überzug – war das Feedback nach dem Talk vor Ort und auf twitter sehr gut. Hat mich auf jeden Fall ermuntert, weiter aufklärend zu agieren.

Auf Youtube gibt es den Vortrag (noch als prerelease, Update kommt dann) hier.

Über twitter wurde ich noch auf diesen Artikel bei vdsetal zu Do-Not-Track aufmerksam gemacht.

Das Interview des Deutschlandfunk mit mir findet man in voller Länge hier (mp3) auf der 28c3-Seite.

Korrektur: Ich hatte in meinem Vortrag gesagt, dass Webtrekk eine Tochter von Axel Springer sei. Das ist nicht der Fall. (Danke für den Hinweis!)

[/Update]

Der Datenschutz und besonders die deutschen Datenschützer sind einer kleinen aber wortgewaltigen Gruppe von Firmen und Selbständigen offensichtlich ein Dorn im Auge. Sie werden nicht müde, zu betonen, dass die Verantwortlichen den Bezug zur Realität verloren haben. Vollkommen weltfremde Forderungen würden gestellt. Es wird das Menetekel einer Online-Wüste Deutschland an die Wand gemalt.

Mit einem vollkommen absurden Rant hat sich Nico Lumma grade hervorgetan. Er zitiert dazu eine größere Passage des jüngsten Beschlusses der Datenschützer in der im Kern folgende Punkte stehen:

1. Der Betreiber einer WebSite ist für den Schutz der Daten seiner User verantwortlich.
2. Die Sozialen Netzwerke geben keine oder nur ungenügende Auskunft, welche Daten durch ihr PlugIn erhoben werden und was mit diesen Daten geschieht.
3. Der Betreiber einer WebSite muss seine Nutzer über diesen Umstand informieren und gegebenenfalls davor schützen.

Keiner dieser Punkte ist jedoch in irgendeiner Form anzuweifeln. Es ist geltendes Recht in Deutschland. Und wenn man sich die aktuellen Entwürfe aus Brüssel ansieht wird es auch demnächst geltendes Recht in Europa. Read the rest of this entry »

Google Analytics zählt weiter fleissig Browser, die den Do-Not-Track-Header senden.

“‘Wissen Sie, ich hab’s Ihnen ja gesagt’ trifft es nicht so ganz.” ist eines meiner Lieblingsfilmzitate. Und so verwende ich es gerne und oft. Jetzt gibt’s wieder die Möglichkeit dazu:

Google Analytics ist das mit Abstand verbreitetste Tracking-Tool im Netz. Und obwohl Google der Do-Not-Track-Initiative eine eigene entgegengestellt hat, sollte man erwarten, dass Google den Wunsch der User respektiert. User, die in ihrem Browser die Option eingeschaltet haben (z.B. in Firefox oder in Safari mit Hilfe der Developer-Tools) wägen sich unbeobachtet, sind es aber nicht.

Bei eingeschalteter Option sendet der Browser bei jedem Request einen Header mit dem Namen ‘dnt’ und dem Wert ’1′. Eigentlich dürfte ein Tracking-Tool oder ein Ad-Server dann die Session-Daten nicht speichern. Damit dürften sie in den Statistiken von zum Beispiel Google Analytics nicht auftauchen. Allerdings erscheinen sie dennoch.

Besonders interessant dabei ist, dass in der Hilfe zu Google Analytics das Do-Not-Track-Verfahren als eine Möglichkeit für Site-Betreiber genannt wird, die eigenen Besuche auszusparen.

Google schweigt derzeit noch dazu, wann sie planen das Feature vernünftig zu unterstützen. Und es hilft sicher nicht, die Partner vorzuschicken und den Usern Sand in die Augen zu streuen in dem man behauptet, bei Do-Not-Track ginge es doch gar nicht um die Daten für Web-Analytics.

Mit dem vorhergesagten Ende von Flash auf mobilen Geräten und dem damit ebenso vorhergesagten Ende von Flash auf den meisten anderen Geräten hat die Content-Industrie plötzlich ein Problem, das sie eigentlich als schon gelöst angesehen hatte:

Wie vertreiben wir unseren Content im Netz ohne jegliche Kopiermöglichkeit?

Die drei wichtigsten Distributionskanäle (Kino, Silberscheibe, TV) sind alle – trotz hartnäckiger Bemühungen – geknackt. Daher finden sich alle dort veröffentlichten Filme innerhalb kürzester Zeit auf allen Verbreitungsplattformen im Netz.

Ein sicherer Channel im Netz hätte die Chance geboten, wenigstens die Filme die es nicht ins Kino schaffen, weil sie dort keinen großen Erfolg versprechen, längere Zeit im Netz laufen zu lassen, ohne dass die Kunden andere als die kostenpflichtigen Quellen nutzen könnten. Das hätte eine schier unerschöpfliche Quelle ewigen Reichtums sein können.

Nun ist Flash tot und ausser Apple hat nur Microsoft ein qualitativ hochwertiges Video-Format wie H.264 im Bundle mit einem halbwegs sicheren DRM. Daher verwundert es nicht, wenn die Content-Leute auf die abstruse Idee kommen, von den Distributions-Plattformen zu verlangen, dass nun Silverlight verwendet wird. Nach Netflix wird auch Lovefilm Silverlight verwenden. Ob diese Entscheidung Microsoft wirklich freuen kann, darf ernsthaft bezweifelt werden. Denn eigentlich steht Silverlight bei MS schon länger auf der Abschussliste.

Die User von Lovefilm sind offensichtlich verärgert über diese Entscheidung und so hat es diese Dinosaurierindustrie mal wieder geschafft, an den Bedürfnissen der User vorbei Entscheidungen durchzusetzen und sich ins Abseits zu manövrieren.

Für 12,5 Mrd. Dollar hat Google heute die Mobilfunksparte von Motorola gekauft. In der Mitteilung von Larry Page himself auf dem Company-Blog findet sich auch direkt der Verweis auf den eigentlichen Hintergrund: zukünftige Patentkriege (siehe “Zurück in die Vergangenheit“).

We recently explained how companies including Microsoft and Apple are banding together in anti-competitive patent attacks on Android.

Mein erster Impuls war: sind die bescheuert?! Ähnlich reagieren offensichtlich auch die Investoren. Während der Nokia und RIM im Pre-market um bis zu 5% zulegen, verliert Google grade 2,5% (wobei an der Börse bei einem solchen Deal immer der Käufer leidet und der Verkäufer gewinnt). Die Anleger vermuten mit Sicherheit (und zu Recht), dass Google/Android nun Third-Party-Hersteller verliert. Ohne klare Absprachen mit Google über den Schutz von Märkten (Motorola in Amerika und HTC in Asien) werden sicher einige Hersteller die Plattform mittelfristig verlassen.

Ein Verlust, den Google offensichtlich billigend in Kauf nimmt. Welche darüber hinaus reichenden Verluste, Google dafür noch in Kauf nehmen muss ist derzeit natürlich nicht absehbar. Als offener Konkurrent zu Apple wird die Suchmaschine, die Videoplattform und die Map sicher nicht mehr lange Standardausrüstung von iOS sein.

Offensichtlich hat Google jedoch so viel in Android investiert, dass die zukünftigen Patentkriege das Investment derart bedrohen, dass sich Google nicht anders zu schützen weiss. Und tatsächlich ist Motorola natürlich ein Schwergewicht unter den Patentinhabern (Nokia und Apple je ~10k, Moto ~17k) im Bereich Mobilfunk.

Deutlich ist auch, dass Motorola in der letzten Dekade nicht in der Lage war, sein Potential auszuschöpfen. Bis auf das Razr kam nichts wirklich bewegendes auf den Markt. Der Umgang mit Android (Xoom, Dongle …) dürfte Google auch keine Freude gemacht haben.

Bei einem Marktanteil von inzwischen 50% der Smartphone-Verkäufe denkt sich Google offensichtlich:

Wenn Android trotz katastrophalem Herstellergebarens ALLER Lizenznehmer so erfolgreich ist, dann müssten wir das mit unserer Passion und unserem Wissen doch auch alleine genauso hinbekommen, wenn nicht sogar besser!

Das dürfte die riskanteste Managemententscheidung sein, die ich seit Nokia/MS gehört habe. Eine sehr, sehr große Wette. Oder mit anderen Worten:

… this is either the smartest thing Google has ever done, or the dumbest. There is no in-between.

Patentkriege, Netzneutralität, kaputte iPads, Kontrollverlust, Vorratsdatenspeicherung, Netzsperren, Content-Blocking …

Davon lese ich in letzter Zeit und denke “das kommt dir bekannt vor”, “du hast das schon mal gelesen”. Zum Beispiel bei J. G. Ballard und seinen bedrückenden Kurzgeschichten über eine nahe Zukunft. Die Erzählungen in dem Band “Das Katastrophengebiet” sind zum Teil über 50 Jahre alt. “Der unterbewußte Mann” erkennt zum Beispiel als einziger, dass seine gesamte Umwelt vollgestellt ist mit Werbetafeln, die ihre Botschaften direkt ins Unterbewusstsein einspeisen.

An diese Geschichte musste ich denken als ich heute den Artikel “US internet providers hijacking users’ search queries” las (Danke +Kristian Köhntopp). Einige amerikanische Provider haben danach Deals mit Vermarktern und leiten Suchanfragen der Provider-Kunden direkt auf Sites derer Kunden. Man stelle sich vor, die Gasag würde für meine Spülmaschine nur Strom ausliefern, der für Siemens-Geräte ist.

Aber halt! Das gab es doch schonmal. Die ersten Stromnetze hatten ja jeweils ihre eigenen Volts und Frequenzen. Und tatsächlich konnte man damals nicht einfach einen Motor kaufen und davon ausgehen, dass er mit dem gelieferten Strom auch laufen würde.

Und auch die lächerliche Reportage von Akte 2011 über defekte iPads, die die Bild-Online-Seiten nicht darstellen können, fällt unter die Kategorie “bewährte Verfahren der Vergangenheit”. “Broken by Design” war schon immer ein Mittel, zukünftige Märkte aufzubauen. Wenn man es schafft eine kritische Masse zu erreichen ist ein kontinuierlicher Gewinnstrom fast automatisch garantiert.

Aber nur fast. Denn man muss sich ja davor schützen, dass die Konkurrenten die gleiche Technik verwenden aber billiger produzieren oder mit geringerer Marge zufrieden sind. Oder vielleicht gar ein besseres Geschäftsmodell haben. Etwa wie bei Google vs. Microsoft. Dass Google nicht wirklich um den Patentpool von Nortel mitbieten wollte, konnte man ja schon an den abgegebenen Geboten sehen. Das letzte Angebot betrug 3,14. Nachdem sie zuvor verschiedene andere Konstanten abgeliefert haben.

Dabei ist eigentlich die Frage bei Patenten doch die: Warum sollte ein Verfahren schützenswert sein, wenn damit eine kritische Masse erreicht wird? Die kritische Masse, also der Erfolg im Markt sollte doch Belohnung genug sein. Das Verfahren selbst kann doch nur dann einem besonderen Schutz unterliegen, wenn die eindeutige Absicht besteht, sich den Marktmechanismen zu verwehren.

An diesem Punkt hat Google vollkommen Recht, wenn es die gängige Patentpraxis und insbesondere den Erwerb eines Patentpools durch ein Kartell als wettbewerbswidrig bezeichnet. Und John Gruber schiesst sich leider ausnahmsweise ins Abseits, wenn er Google Gejammer über das Verhalten der Konkurrenten unterstellt. (Dass er sich inzwischen auf formale Kritik zurückzieht, zeigt lediglich, dass er sich seines Irrtums bewusst wird.)

Google ist nach meiner Meinung der wichtigste Vertreter der Wirtschaft, der nicht die althergebrachte Art und Weise des Wirtschaftens vertritt. Offenheit ist Firmenpolitik. Wie andere Unternehmen schafft es selbstverständlich auch Google nicht, die eigene Firmenpolitik in allen Bereichen 100%ig umzusetzen. Aber was will man auch von einem 12-jährigen erwarten. Die Firma ist anscheinend auch für den Dialog offen, ob sie irgendwas falsch gemacht hat, wie zum Beispiel bei der Klarnamenrichtlinie von Google Plus. Vertreter des alten Wirtschaftens wie Apple oder Microsoft kann man solche Dialogbereitschaft nicht unterstellen.

Es ist sicher nicht mein Ziel, dass Google größer und größer wird, dass die Anleger sich einen goldenen Arsch mit Google-Aktien verdienen. Aber ich bin für die Beseitigung des Patent(un)wesens und ich bin für Netzneutralität. Und beides sind Ziele für die Google Lobbyarbeit macht. Sowohl in Washington als auch in Brüssel und in Peking. Aber auch auf technischer Ebene durch eigene DNS-Server oder https.

Je größer Google jedoch ist, desto mehr wird das Modell Offenheit Anklang bei anderen Firmen finden. Investoren werden sich vielleicht fragen, warum sie in jahrelange Rechtsstreitigkeiten investieren sollten, wenn man kurzfristiger mit Investments in offene Geschäftsmodelle mehr verdienen kann.

Oder Google kauft sich selbst ein riesiges Patentportfolio z.B. Motorola …

Alle Charts über den guten Start von Google Plus sagen eigentlich nur, dass viele Leute wissen möchten, wie das soziale Netzwerk von Google aussieht. Die Frage, die die veröffentlichten Zahlen (zum Beispiel von Comscore: mehr als 20 Mio User) nicht beantworten können, lautet: funktioniert die Mechanik von Google Plus? Es spricht nach meiner Meinung einiges dafür, dass sich Google verrechnet hat.

Die Spannweite der Meinungen zu Google Plus zeigen zwei Posts von zwei Heavy-Usern. +Kristian Köhntopp schreibt:

@isotopp(stillgelegt) auf Twitter hatte 2264 Follower. Das hat recht lange gedauert.
Die Plusteria gibt es erst ein paar Wochen, und da sind nun schon 3100 Follower hinter mir her.
Ich glaube wirklich, daß Twitter bald einpacken kann.

+Nicole Simon geht jedoch wieder zurück zu facebook und twitter:

The reason I am going back to Facebook and Twitter to ‘read’ updates?
Because they don’t scroll down the moment somebody new posts something. This instant update might work if you have like 5 friends in your circles.

Warum funktioniert die Mechanik nicht?

Kern der Mechanik ist die Circle-Lehre also der Mix aus twitter-Follower-Logik und facebook-Gruppen. Nicht mehr Teil der Mechanik, aber natürlich wesentlich für den Erfolg, sind die Funktionen des Interfaces. (Damit und mit der Klarnamenfrage hatte ich mich aber schon beschäftigt.)

Grundsätzlich wird die Circle-Lehre als zu kompliziert für die DAUs bezeichnet. Mails mit Betreffzeilen wie “Kannst Du meine Nachricht sehen?” gab’s von vielen meiner Eingeladenen. Vor dem Hintergrund der Datenlecks in den letzten Monaten und der Diskussionen über Personaler, die sich gerne Partyfotos ansehen ist verständlich, dass die Nutzer anfangs eher vorsichtig posten und den Kreis der Leser eher zu klein halten.

So ist es kein Wunder, dass sich +mspr0 – seines Zeichens Speerspitze der Postprivacy-Bewegung – als digitaler Robin Hood betätigt und Posts aus den Circeln befreit. Dass dies prinzipiell geht (obwohl man eine Warnung bekommt, man möge vorsichtig sein) stellt nach meiner Meinung einen Designfehler dar. Ganz abgesehen von dem absolut nervenden Umstand, der sich dadurch ewig wiederholenden animierten Gifs.

Im Prinzip handelt es sich bei Google Plus um eine dissipative Struktur. Ein Element einer Struktur wird angeregt/informiert, reagiert daraufhin und regt an/informiert andere Elemente. Das ursprüngliche Element erhält ein Feedback und konstruiert danach ein Abbild seiner Umgebung. Der beste Einstieg in das Thema dissipativer Systeme ist nach wie vor von Erich Jantsch mit dem recht bombastischen Titel “Die Selbstorganisation des Universums. Vom Urknall zum menschlichen Geist“.

Bei Google Plus funktioniert dieser “Mechanismus” nur sehr bedingt. Postet ein Nutzer eine Nachricht an einen bestimmten Kreis von Leuten, denen er folgt erhält er in den meisten Fällen kein Feedback darüber, wer von diesen Usern die Nachricht sehen kann (Kontrollverlust …). Selbst bei Nutzern, die ihm auch folgen, ist nicht gewährleistet, dass diese auch den kompletten Stream lesen oder den jeweiligen Circle-Stream. (Daran ändert auch das heutige Update nichts.)

Ein weiterer Effekt der inneren Mechanik ist für den notwendigen Schneeballeffekt wahrscheinlich noch katastrophaler. Da viele User nur in ihren Kreisen posten, erscheint auf ihrer Profilseite keine einzige Nachricht, wenn ich nicht in einem ihrer Circle bin. Warum aber sollte ich jemandem folgen, der nichts veröffentlicht. Besonders in der Anfangsphase stellt sich dies als echter Showstopper dar.

Geht man von einer 90/10-artigen Regel für die Verteilung von Voyeuren und Exhibitionisten auch bei Google Plus aus, führt dieser Mechanismus jedoch zu einem unidirektionalen Sender-Empfänger-Verhalten. Wenige Nutzer betätigen sich als Broadcaster und teilen permanent die Inhalte, die andere Broadcaster eingestellt haben. Die Eigenschaft des Webinterfaces, alte Nachrichten immer wieder hervorzukramen nur weil noch jemand seinen Senf dazu gegeben hat, verstärkt den Effekt noch. Und so überrascht es nicht, wenn meine Timeline mit 100+ Posts im Schnitt von maximal 10 Leuten gefüllt wird. Und ausnahmslos alle aus den G+-Charts in meinem Stream posten public. Demgegenüber sind die Nachrichten aus meinem weiteren sozialen Umfeld (welches man nicht als analog bezeichnen könnte) nur eingeschränkt zu lesen.

That sounds exactly like the thinking of a machine to me.

Von einem sozialen Netzwerk ist Google Plus damit weiter entfernt als fb und twitter. Besonders vor dem Hintergrund des momentanen Gamification-Hypes frage ich mich, warum dieser Effekt in den internen Tests nicht aufgefallen ist. Vermutlich erhofften sich die Mitarbeiter Vorteile in ihrem Arbeitskontext und waren daher fleissigere Nutzer als sie es ansonsten gewesen wären. In der aktuellen Form bietet Google Plus nur Belohnungen für die Exhibitionisten. Und wenn die Voyeure wegbleiben, dann gibt es auch keine Belohnung mehr für die Exhibitionisten. 

Bei der Kassenzone gibt es eine umfangreiche und gut geschriebene Analyse zu Zalando und der aktuellen Bewertung der Firma. Obwohl bei diesem Thema viel im Nebel gestochert werden muss hebt sich der Artikel wohltuend von Hype- und Bashing-Elaboraten andernorts ab.