“Streusand” gegen X-Pire! ?
Plagiieren die an der Uni jetzt immer öfter oder was?
Ein Leser schickt mir gerade einen Link (Danke!), da haut’s mich wieder vom Stuhl.
Auf Golem wird berichtet, daß Forscher der Uni Regensburg unter Professor Hannes Federrath jetzt zeigen wollen, daß X-Pire! nicht nur nutzlos, sondern sogar schädlich ist.
Schon die Schema-Graphik dort erinnert mich verblüffend an meinen eigenen Blog-Artikel zu X-Pire! vom Anfang Januar. Irgendwie kommt mir das alles so ziemlich genau wie das vor, was ich damals beschrieben habe, nur daß es statt „Piratenserver” nun „Streusandserver” heißt. Golem verweist dazu auf die PDF-Ankündigung, die nun wieder auf die Webseite des Projekts verweist.
Dabei verweist die Gruppe Regensburg am Rand darauf, daß die scip AG schon einen ersten Angriff vorgestellt hätte, ohne näher darauf einzugehen. Sie müssen das aber gelesen haben, sonst würden sie nicht auf deren Webseite verlinken. Und scip schreibt auf deren Webseite explizit, daß sie einen der von mir angesprochenen Kritikpunkte implementiert haben. Also mußten die Regensburger meinen Blogartikel kennen. Die Erklärung der Regensburger deckt sich auch frappierend mit meinem Blog-Artikel:
Ruft ein Nutzer des Streusand-Plugins eine Webseite mit einem durch X-pire! geschützten Bild auf (Schritt 1), wird dieses, wie auch im Fall des Original-Plugins, aus dem Dokumentbaum des Browsers geladen (Schritt 2). Die wesentliche Erweiterung zeigt sich in Schritt 3: Anstatt mit dem X-pire!-Schlüsselserver Kontakt aufzunehmen, wird die Anfrage nach dem Schlüssel zunächst an den “Streusand-Server” geschickt. Kennt dieser den angeforderten Schlüssel, gibt er ihn direkt und unabhängig vom Verfallsdatum an das Streusand-Plugin weiter, wo der Schlüssel zur Entschlüsselung des scheinbar geschützten Bildes verwendet wird (Schritt 6). Kennt der Streusand-Server den passenden Schlüssel hingegen nicht und ist das Verfallsdatum des Bildes noch nicht überschritten, bezieht das Streusand-Plug-in den Schlüssel über den X-pire!-Schlüsselserver (Schritt 4), entschlüsselt das Bild und lädt es zusammen mit dem Schlüssel auf den Streusand-Server (Schritt 5) hoch. Ab diesem Zeitpunkt ist das Bild in der öffentlich einsehbaren Streusand-Galerie frei verfügbar und der Schlüssel kann anderen Nutzern ohne jegliche zeitliche Restriktionen zur Verfügung gestellt werden.
Einziger Unterschied ist, daß ich vorgeschlagen habe, nur den Schlüssel hochzuladen um zu zeigen, daß das System durch den törichten Einsatz von Kryptographie sogar noch geschwächt wird, weil der Angreifer nur den kurzen Schlüssel und nicht das ganze Bild speichern muß, also schon ein normal dimensionierter PC für sowas reicht.
Und sogar die Argumentation, daß nicht nur böswillige Angreifer, sondern auch ehrliche Nutzer wegen der Bequemlichkeit auf das Plugin zurückgreifen werden, kommt bei den Regensburgern vor:
Da beim Einsatz des Streusand-Plugins im Vergleich zu X-pire! die von vielen Nutzern als störend empfundenen CAPTCHAs viel seltener angezeigt werden – nämlich nur beim allerersten Betrachten durch irgendeinen Nutzer – entsteht zudem ein Anreiz zur Nutzung von Streusand anstelle des X-pire!-Plugins. Der “Nutzwert” von Streusand steigt also direkt proportional mit seiner Verbreitung.
Und dann hat dieser Professor Hannes Federrath dazu noch die Vortragsfolien von einer Sitzung der Datenschutzbeauftragten des Bundes und der Länder auf der Webseite.
Eine Quellenangabe auf mein Blog findet sich dort aber nirgends.
8 Kommentare (RSS-Feed)
@hanna: Stimmt, das Netz vergißt Bilder nie. Vorschläge wie X-Pire! vergißt es aber auch nicht.
Von meiner Seite aus wär’s mit einer deftigen Kritik dann auch gewesen. Eine Menge Leute beschäftigen sich in Deutschland aber damit, ein totes Pferd weiter zu reiten.
Solange das Streusand-Plugin mit einem zentralen Server arbeitet, ist das ganze rechtlich angreifbar. Wenn das Plugin eine gewisse Verbreitung erreicht hat, dann wird der zentrale Server höchstwahrscheinlich früher oder später abgeschaltet werden. Vielleicht werden die Schlüssel in einer kommenden Version ja dezentral per DHT gespeichert.
Bayreuth, Regensburg, Bayern –> Plagiat q.e.d. 😉
Vorletzter Satz kein Verb.
Ja, das ist so eine alte stilistische Krankheit von mir, daß ich gerne mal den Gedanken eines Satzes dadurch fortführe, daß ich weitere Satzoide ohne Verb oder mit Infinitiven anfüge. Mache ich aber gerne so. Nur hier hat wohl eher doch was gefehlt. Danke.
Naja, vielleicht liegts auch einfach daran dass der “Angriff” offensichtlich und ueberhaupt nicht originell ist. Das ist ein modifizierter http-proxy.
Ueberhaupt weiss ich nicht ob man das als Angriff bezeichnen soll, weil man das Schema ja auch einfach mit Screenshots aushebeln kann. Dieses Proxy-Ding ist nur etwas aufgeblasener und skalierbarer, fuegt aber in der Sache nichts hinzu.
Damit geht es am Ende wohl einfach darum, dass irgendwer, der halbwegs glaubwuerdig und strukturiert vortragen kann, dem “Arbeitskreis Technik” mal erklaeren wollte was das Problem mit diesem X-Pire ist. Und das Resultat bewirbt er dann auf seiner Website, dagegen ist nichts einzuwenden.
Es reicht naemlich nicht wenn irgendwelche Blogs was dazu erzaehlen. Ein Entscheider braucht entweder selbst Kompentenz oder, wenn die nicht vorhanden ist, eine TTP die das Problem verstaendlich darstellen kann. Da unsere Regierung grundsaetzlich nicht kompetent ist, hoeren sie natuerlich (und zum Glueck) nicht auf irgendwelche Blogs sondern fragen jemanden, der wenigstens dem Anschein nach vertrauenswuerdig ist. Da eine detailierte Analyse eher laecherlich als hilfreich waere, ist so ein Vortrag und eine genauer Erklaerung des Problems fuer Laien doch genau das richtige.
Das hast Du schön gesagt…
Na dann kann kann bei dem Wikipedia-Artikel ja jetzt der renommierte Professor anstelle des umstrittenen Informatikers als Kritiker genannt werden 😉
Ts …
Werft den misslungenen “Radiergummi” endlich dahin wo er hingehört, nämlich in die Mülltonne!
Der User hat überhaupt nix von dem Mist, und Ihr fördert nur 2 Datenkraken mehr im Netz, den Original X-Pie Server und den Sandstreuserver.
X-pie ist ein totgeborenes Kind, überlegt vorher, was Ihr ins Netz stellt, so ist euch am Besten geholfen!
😉 😉 Das Netz vergisst nie! 🙂 😉