Dienstag, 16. Februar 2010

Operas neue Browserversion: Die Chrome Saat geht auf

Am 11. Februar veröffentlichte die norwegische Browserschmiede Opera Software ASA die neue Version 10.50 Beta ihres Opera Webbrowsers. Und während noch in der Pressemittelung nur davon die Rede war, dass die neue Version viel schneller sei als die vorherigen, wird inzwischen auf der Downloadseite vom ‘schnellsten Browser der Welt’ gesprochen. Unabhängige Seiten wie Computerworld bestätigen diese Behauptung durch Vergleiche mit dem SunSpider Javascript Benchmark. Aber was hat das Ganze mit dem Google Browser ‘Chrome’ zu tun?

Die Quantensprünge der alternativen Browser

Zunächst: Was sind die alternativen Browser? Dies sind all die Webbrowser, die nicht der Microsoft Internetexplorer sind. Denn der MSIE, wie er im Folgenden abgekürzt wird, ist weiterhin der unangefochtene Platzhirsch im Browsergeschäft. Und alle anderen sind damit nur ‘Alternativen’, selbst wenn der Marktanteil des MSIE offenbar stetig bröckelt.

Seit dem Jahr 2008 haben alle ‘alternativen Browser’ enorme Performancesprünge vollzogen, insbesondere im Bereich der Javascript Leistung. Hier die entsprechenden Meldungen:

  • Firefox: Die Pressemitteilung zur Version 3.5 vom 30.06.2009 spricht davon, dass die neue Version ‘zweimal schneller als die Version 3’ sei und eine ‘stark gesteigerte JavaScript-Performance’ aufweise. Mit der Version 3.5 wurde die Tracemonkey Engine eingeführt
  • Safari: Apple behauptet heute weiterhin, dass Safari mit seiner Nitro Engine der schnellste Webbrowser sei. Diese neu entwickelte Engine wurde mit der Version 4 eingeführt, laut PCTipp soll sie ’Javascript bis zu 4.5 Mal schneller ausführen’ als die Version 3. Die Meldung datiert aus dem Juni 2009.
  • Opera: Der Vollständigkeit halber noch einmal die Pressemitteilung zur Version 10.50 Beta: ‘more than eight times faster than its predecessor’ soll der Browser durch die neue Carakan Engine sein

Woher kommen plötzlich diese enormen Geschwindigkeitssteigerungen, die nicht nur behauptet, sondern real sind? Den Anstoß dazu hat mit Sicherheit Google mit der überraschenden Veröffentlichung des eigenen Chrome Browsers im September 2008 geben. Hier ein Video von Google zur Einführung:

Der Chrome Browser brachte ebenfalls seine eigene Javascript Engine mit, die V8 genannt wird. In der englischen Wikipedia ist nachzulesen, dass Chrome mit der Version 1.0 sofort an die Performancespitze vorstieß und quasi unmittelbar zu Reaktionen der anderen Browserhersteller führte. Die nächsten Versionssprünge brachten dann jeweils noch weitere Geschwindigkeitssteigerungen. Mit Chrome begann daher das Rennen um die Krone bei der Javascript Performance, welches noch heute anhält.

Googles Ziele werden in jedem Fall erreicht

Angesichts der Behauptungen mindestens von Apple und Opera die jeweils schnellsten Browser der Welt im Angebot zu haben, und dem immer noch besseren Abschneiden von Chrome bei bestimmten Tests wie der V8 Benchmark Suite: welche Rolle spielt es eigentlich, wer wirklich den schnellsten Webbrowser  anbietet? Für Google spielt es vermutlich keine Rolle!

Selbst wenn Chrome nie der Browser werden wird, für den sich die Mehrheit der Internetnutzer entscheidet, so hat Google durch Chrome doch den behäbig gewordenen Anbietern der alternativen Browser, die sich immer nur mit den vorsintflutlichen Produkten Microsofts verglichen hatten, einen ordentlichen Tritt gegeben. Wann hat es in den Jahren zuvor jemals eine so intensive Phase von Innovationen in diesem Bereich gegeben?

Und all diese Innovationen sorgen nur dafür, dass webbasierte Anwendungen wie die Google Apps noch besser nutzbar werden, noch mehr Funktionen erhalten können und damit die Idee noch mehr Überzeugungskraft gewinnt, alle Dienste und Anwendungen ins Web zu verlagern. Und das Web ist nun mal die Stelle, an der Google sein Geld verdient.

Es geht Google daher mit Chrome vermutlich nicht wirklich darum mittel- oder langfristig, schon gar nicht kurzfristig, zum Marktführer unter den Browseranbietern zu werden. Die Häme, die über Google nach dem langsamen Start von Chrome immer mal wieder ergossen wurde, war daher viel zu kurzsichtig: Chrome ist im wesentlichen die Saat, die bei den anderen Browserherstellern ausgesät wurde, und schon nach eineinhalb Jahren hat sie überall gekeimt und die erwarteten Früchte getragen. Nur noch nicht beim Marktführer:

Und was macht der Marktführer?

Microsoft, als vermutlich sowohl ungeliebtester wie auch größter Browseranbieter, hat sich bisher nicht dem großen Rennen angeschlossen und steht heute in Bezug auf Performance, Funktionalität und Standardkonformität ganz am Ende. Hat die Chrome Saat hier noch keine Wurzeln schlagen können?

Die Vermutung liegt nahe, dass Microsoft in webbasierten und womöglich auch noch kostenlosen Diensten wie den Google Apps oder Zoho eine Bedrohung seiner Geldkühe wie dem Office Paket gesehen hat und diese Entwicklung auf keinen Fall durch einen zu performanten und schon mit Windows mitgelieferten Webbrowser fördern wollte. Möglicherweise hat man in Redmond auch die Dynamik dieser neuen Dienste unterschätzt, insbesondere wenn sie von mächtigen Gegenspielern wie Google forciert werden, die gar nicht darauf angewiesen zu sein scheinen, von ihren Nutzern für mit jedem Tag leistungsfähiger werdende Dienste Geld zu verlangen.

Doch selbst Microsoft geht inzwischen mit Produkten wie Sharepoint oder Office Live den Weg ins Web und dabei wird es allmählich peinlich, wenn man den Kunden für eine optimale Performance empfehlen muss irgendeinen Webbrowser zu nehmen, aber auf keinen Fall den, der vom eigenen Haus angeboten wird. Ein Übriges wird vermutlich die Auflage der EU tun, die Microsoft dazu zwingen wird den Nutzern von MS Windows eine Möglichkeit zur Wahl des Webbrowsers einzurichten.

Und in der Tat scheint Microsoft mit der kommenden Version 9 des MSIE wieder zur Konkurrenz aufschließen zu wollen: In dem IEBlog findet sich ein Artikel, der Charts mit Performancevergleichen zu früheren IE Versionen und zu den Konkurrenten enthält. Demnach ist der IE9 immer noch langsamer als die Alternativen, aber nicht mehr viel. Und er ist ja noch in einem frühen Stadium.

Was weiter

Wie es aussieht scheint die Chrome Saat tatsächlich an allen Stellen aufzugehen. In jedem Fall wird der wieder intensivierte Browserkrieg noch weiter gehen und diese schön illustrierte History of Web Browsers noch lange fortgeführt werden können.

Donnerstag, 11. Februar 2010

Die Schwierigkeit einer guten Sicherheitsabfrage im Zeitalter sozialer Netzwerke

Während man sich, so nach und nach, bei allen erdenklichen sozialen Netzwerken, Internetshops, Finanzdienstleistern und bald auch beim Friseur nebenan digitale Identitäten zusammen klickt, steht man am Anfang immer wieder vor den gleichen Fragen:

  1. Welchen Benutzernamen soll ich mir geben?
  2. Welches Passwort ist in diesem Fall sicher genug?
  3. Was passiert, wenn ich Benutzername oder Passwort (oder beides) vergessen habe?

Frage 1 ist heute meist leicht zu beantworten, da als Benutzername in vielen Webseiten Schlüssel einfach die eMailadresse verwendet wird (wer mehr als eine eMailadresse hat: selbst Schuld:). Frage 2 ist potentiell kompliziert und wird daher von den meisten wohl mit ‘Ich verwende überall das gleiche Passwort’ beantwortet, vielleicht noch mit einer Variation zwischen einem Passwort für ganz wichtige Seiten und einem für den Rest.

Frage 3 hingegen bietet den meisten Spielraum: Hier finden sich alle möglichen Verfahren, die sich im Kern darum drehen, dass man als armer, vergesslicher Tropf einer anonymen, auf anderen Seite der Erdkugel beheimateten Webseite beweisen muss, dass man ICH ist. Wobei man mit dieser Webseite nie mehr Verkehr hatte als über ein paar Mausklicks und die Eingabe einiger Angaben (Name, Adresse, Konto), die diese Webseite vielleicht nie geprüft hat.

Da man nicht bei allen Seiten nach dem Verfahren ‘Passwort vergessen? Ist mir egal, ich lege mir einfach ein neues Login zu…’ verfahren kann muss man sich zwangläufig mit dieser Frage beschäftigen. Und ein Verfahren, welches einem dabei immer wieder begegnet, ist die Sicherheitsfrage.

Was ist die Idee der Sicherheitsfrage?

Bei der Sicherheitsabfrage geht es darum, dass die betreffende Webseite dem Passwortvergesser eine Frage präsentiert, die sie oder er beantworten soll. Nun stellt die Webseite ja schon vorher eine Frage, nämlich ‘Parole!’ (oder genauer: ‘Benutzername und das Passwort!’), die man aber nicht beantworten konnte.

Bei der Sicherheitsabfrage ist aber die Idee, dass hier eine Frage gestellt wird, die voll aus dem Leben des Passwortvergessers gegriffen ist. Also z. B. ‘Wie ist der Name Deiner Mutter?’, weitere Beispiele unten. Die Art von Frage also, die man auch dann noch beantworten kann, wenn man nach einer einhändigen Weltumsegelung nun wirklich alles andere vergessen hat.

An dieser Stelle ist es wichtig noch einmal zu betonen, welche Relevanz die Sicherheitsfrage hat: Wer sie richtig beantworten kann, kann das entsprechende Konto übernehmen und danach wird es dann richtig schwierig wieder an seine digitale Identität zu kommen. Die Wahl der Sicherheitsfrage muss also genauso ernst genommen werden wie die des Passwortes.  Und hier beginnt das Problem…

Was ist heute eigentlich noch eine gute Sicherheitsfrage, wo wir doch alles über uns bei Facebook, Twitter, Buzz und Co. bekannt geben?

Bei den Sicherheitsabfragen gibt es Internetseiten, die eine fixe Auswahl von Fragenvorschlägen anbieten, und Seiten, bei denen man eine eigene Frage formulieren kann, und Seiten mit beiden Optionen. Schwer zu beurteilen, welche Möglichkeit die bessere ist: in jedem Fall geht es ja darum eine Frage zu finden, die man selbst zwar noch beantworten kann nachdem man alles andere vergessen hat, die aber für Fremde und vielleicht auch für weniger Fremde eine harte Nuss darstellt.

Naheliegend waren daher bisher Fragen nach den privaten Verhältnissen, eben weil in der alten Zeit privat = geheim galt. Bei der Registrierung bei einem weiteren Internetdienst stand ich nun zum ersten Mal ernsthaft vor der Frage, welche der vorgegebenen Fragen wohl wirklich als Sicherheitsfrage in Frage kommen würde, gerade angesichts meiner Nutzung von verschiedenen sozialen Netzen, Blogs, etc. Ein guter Ausgangspunkt für einen Überblick, auch für einen Angreifer, ist hier mein Google Profil.

Auch wenn die dabei angestellten Überlegungen individuell sind sollen sie hier an etwas verallgemeinerten Fragestellungen nachvollzogen werden. Vielleicht überlegt die Leserin/der Leser parallel dazu, wie die Antwort aus ihrer/seiner Sicht ausfallen würde?

Fragen nach der Familie

Zu dieser Gruppe gehören Fragen wie diese:

  • Wie lautet der Mädchenname Ihrer Mutter? (Eine Frage, die auf der Annahme beruht, dass Mütter auch immer verheiratet sind und bei der Heirat ihren Namen ändern)
  • Wie lautet der zweite Vorname Ihres Vaters?
  • In welchem Jahr haben Ihre Eltern geheiratet?

Diese Art von Fragen erscheint mir in mehrfacher Hinsicht unsicher: Den Namen meiner Mutter kann man spätestens in unserem Caféblog finden, vermutlich findet sich in den dort von ihr veröffentlichten Geschichten auch ein Hinweis auf ihren Geburtsort. In diesem winzigen Ort kann man die wenigen Gehöfte an einer Hand abzählen und die Namen herausfinden. Auch der vollständige Name des Vaters sollte kein wirklich ernsthaftes Problem sein.

Das Hochzeitsdatum ist auf den ersten Blick vielleicht etwas sicherer, da wir bisher nicht auf die Idee gekommen sind irgendwelche Bilder von Familienfeiern mit Titeln wie Silberhochzeit 19XX oder so ins Netz zu stellen. Auf der anderen Seite lässt sich über mein Alter halbwegs sicher auf das Hochzeitsjahr schließen und mein Alter wiederum kann grob über die Daten zu meinem Bildungsgang (z. B. Hochschulabschluss) eruiert werden. Oder direkt aus meinem Facebook Account.

Bei allen Fragen zur Familie muss man dann auch noch berücksichtigen, dass nahe Anverwandte auch Repräsentanzen in Sozialen Netzen haben und dort vielleicht genau die Antwort auf die eigene Sicherheitsfrage ausplaudern. Daher mein Fazit: Eher keine Sicherheitsfrage mit Bezug zur Familie.

Fragen nach Haustieren

Die nächste Gruppe von Fragen ist irgendwie ähnlich zur vorherigen, nur dass sie sich nicht um menschliche Familienmitglieder drehen, sondern um tierische:

  • Wie lautet der Name ihres ersten Haustieres?
  • Wie lautet der Name Ihres Hundes/Ihrer Katze/Ihres Pferds?

Auch diese Fragenkategorie kann u. U. mit Hilfe der sozialen Netze leicht beantwortet werden. Bei mir wäre es nicht schwer herauszufinden, wie unser aktuelles Haustier heißt und welche Art von Haustier es ist. Insbesondere Fotoalben sind hier vielleicht besonders verräterisch, wenn sich irgendwo DAS TIER ins Bild schleicht und dann vielleicht sogar noch im Untertitel erwähnt wird.

Und dann habe ich noch das speziellen Problem, dass ich mich nicht mehr an meine Haustiere von gaaanz früher erinnern kann (waren einfach zu viele auf dem Bauernhof).

Fragen nach Bildungsgang oder Beruf

In diese Kategorie möchte ich Fragen der folgenden Art einsortieren:

  • Wie lautet der Name Ihrer ersten Schule?
  • Wer war in der Schule Ihr Lieblingslehrer?
  • Wie hieß Ihr erster Chef?

Die Frage nach alle Schulen, Hochschulen, KiTas und sonstigen Bildungseinrichtungen ist ja eine, die einem in Facebook gleich anspringt, und der man nur schwer ausweichen kann (sonst macht es ja keinen Spaß). Und zur Beantwortung der Frage, welche Lehrer es an welcher Schule gibt kann man Seiten nutzen a la spickmich.de. Ok, dass klappt jetzt nicht falls man die LehrerInnen meiner alten Grundschule ermitteln will, aber für die heute in Schule und Ausbildung befindliche Generation sollte man damit schon sehr weit kommen.

Auch den beruflichen Lebenslauf soll/will man natürlich möglichst umfangreich darstellen, hier nicht nur in Facebook, sondern auch im plain old Curriculum Vitae, welches natürlich im Netz steht. Die Frage nach dem ersten Chef könnte in einem Unternehmen trotzdem für Außenstehende vielleicht schwierig zu beantworten sein, falls sich auf der Firmenwebseite nicht umfangreiche Darstellungen der eigenen Führungsstrukturen im historischen Kontext finden.

In meinem Fall ist diese Frage aber sehr leicht zu beantworten, es reicht dazu das CV zu lesen.

Fragen nach Besitztümern

Zur Abrundung der kleinen Aufstellung nun noch eine vierte Sorte von Fragen und damit Schluss:

  • Von welchem Typ und welcher Farbe war Ihr erstes Auto?
  • Wie lautet Ihr erste Vielfliegernummer?
  • Welche Nummer hat Ihr Bibliotheksauswweis?

Diese Fragenkategorie hat aus meiner Sicht ein wesentliches Problem: in den meisten Fällen kann man sie nicht verwenden, weil man kein Auto besitzt, kein Vielflieger ist und seinen alten Ausweis aus der Stadtbibliothek schon vor Jahren verloren hat.

Bei der Frage nach dem ersten Auto und seiner Farbe, die ich tatsächlich in Erwägung gezogen hatte, stellte ich dann für mich zwei individuelle Probleme fest:

  1. Was ist für mich eigentlich das erste Auto? Die Familienkutsche, die man sich schon mal ausleihen durfte, oder der Kleinwagen, den man tatsächlich selbst bezahlt hatte? Und:
  2. Wie soll ich meine Antwort formulieren? ‘Opel, grün’ oder ‘Ein grüner Opel Corsa’ oder, oder…

An dieser Stelle wird ein weiteres Problem der Sicherheitsabfrage sichtbar: Wie sicher bin ich, dass ich die gleiche Frage in einigen Jahren wieder in der gleichen Weise, sowohl inhaltlich als auch in der Form, beantworten werde? Oder würde schon ein Leerzeichen mehr oder weniger reichen, damit die Webseite mit abweist?

Sicherheitsfrage: Quo vadis?

Nach den ganzen Zweifeln an der Sicherheit der Sicherheitsfragen: was ist zu tun? Letztlich hängt es wie bei allen Sicherheitsdingen stark von der eigenen Paranoia ab, insbesondere in Bezug auf das reale soziale Umfeld: will ich schon jetzt antizipieren, dass mein Freund Schlüsselvielleicht irgendwann mal mein Ex ist und mir dann möglicherweise ganz übel mitspielen will? Wie unromantisch. Oder will ich die Option eines in der netten WG Mitbewohnerin schlummernden Rachedämons berücksichtigen, der nach einmal Vergessen des Abspülens zu viel zur elektronischer Erpressung greifen würde?

Einfacher ist vermutlich ein je nach Wichtigkeit der Anwendungen unterschiedliches Vorgehen: Bei einer Internetseite, auf der es einem egal ist, kann man natürlich irgendeine Frage nehmen und sie richtig oder auch völlig beliebig beantworten.

Das Eintragen einer beliebigen (= zufälligen) Antwort kann aber auch eine Strategie für die ganz wichtigen Seiten sein: falls man sich die zufällige Antwort merkt oder besser aufschreibt und irgendwo sicher hinterlegt (am besten bei den Passworten;) hat man so einen sicheren und kaum zu knackenden Weg zur Wiederherstellung seines Kontozugangs.

Oder man merkt sich die zufällige Antwort nicht! In diesem Fall ist der Hintertür Sicherheitsfrage ein Riegel vorgeschoben und sie kann nicht mehr vom bösen Fremden genutzt werden (aber auch nicht von einem selbst). Dann muss man eben nur das Passwort aufschreiben und sicher verwahren. Und wenn das Problem des Das-Passwort-nie-mehr-verlieren gelöst ist besteht auch eigentlich gar kein Bedarf mehr an einer Sicherheitsabfrage:)