Leserforum

Provider-Fritzboxen

Was für Ihre nächste Fritzbox wichtig ist, c’t 11/2020, S. 20

In den Artikeln klingt es so, als wäre es egal, ob man die Fritzbox im freien Handel kauft oder ob man die Box beim Provider kauft oder mietet. Das ist aber ganz und gar nicht der Fall. Bei Provider-Fritzboxen wird „irgendwas“ gemuggelt. Mir bekannt ist: Die Software-Update-Funktion ist in der Regel wohl ausgeschaltet und es gibt Provider-Besonderheiten wie zum Beispiel abgeschaltetes DVB-C.

Es ist wichtig, selber neue Software mit Sicherheitsupdates laden zu können. Die Provider tun es entweder gar nicht oder verspätet. Bugfixes und neue Features wären auch nett.

Meine Fritzbox ist im Jahr 2014 zweimal (!) relativ kurz hintereinander wegen eines Fritzbox-Sicherheitsproblems gekapert worden. Es entstanden durch Auslandsgespräche nach 00 irgendwo Rechnungen von mehreren hundert Euro (für die nach längerem Hin und Her der Provider aufkam). Ich konnte die bereinigte Fritzbox-Software nicht selber aufspielen, da das Software-Update gesperrt war.

Ekkehard Pofahl (Mail)

Grobe Annahmen

Tracing-Apps zwischen Lebensretter und Über­wachungswerkzeug, c’t 11/2020, S. 16

Bei meinen Entwicklungsprojekten war es problematisch, wenn Annahmen unzutreffend, von nicht berücksichtigten Faktoren abhängig oder unbewusst eingeflossen waren. Ähnliches scheint mir auch bei den Annahmen zur Corona-App zuzutreffen. Der 2-Meter-Abstand berücksichtigt nicht, ob jemand nur atmet, spricht, hustet, eine Maske trägt, in einem geschlossenen Raum oder sich im Freien aufhält und was sich in dieser Distanz befindet. Entsprechend unsicher ist die Erkennungs- beziehungsweise die Fehlererkennungsrate.

Die Annahme, dass man 15 Minuten lang für eine Virus-Übertragung in unmittelbarer Nähe zu einer Kontaktperson sein muss, scheint mir unsicher zu sein. Die Corona-App kann vielleicht eine Unterstützung bei den Gesprächen zur Identifizierung von Ansteckungsketten sein, um sich an Kontakte zu erinnern. Die verheerenden Erkennungs- und Fehlerraten erlauben aber keine automatisch generierten Maßnahmen wie Quarantäne und so weiter.

Klaus Stampfer (Mail)

PSD2 benachteiligt

Banking und Bezahlen per App auf dem Smartphone, c’t 11/2020, S. 58

Mit der Einführung von PSD2 ist leider eine Personengruppe schwer benachteiligt worden: Menschen mit Handycap. Während sie früher noch mit leidlichem Aufwand ihre Bankgeschäfte am PC selbst erledigen konnten, sind sie durch die Zwei-Faktor-Authentifizierung auf Hilfe Dritter angewiesen.

Dies sind dann Angehörige, Assistenten oder Pflegekräfte. Im Schadensfall sind auf solche Hilfe angewiesene Menschen die Dummen, weil sie ihre Zugangsdaten an Dritte herausgegeben haben. Theoretisch könnten sie (mit entsprechenden Mehrkosten) ihre Bankgeschäfte am Schalter erledigen. Voraussetzung dafür ist jedoch, dass sie ihre Wohnung überhaupt verlassen können. Wie PSD2 mit der Behindertenrechtskonvention vereinbar ist, erschließt sich mir – und den Betroffenen – bis heute nicht.

Carsten Oschlies (Mail)

Code-Optimierung

Covid-19-Vorhersagen mit dem SEIR-Modell, c’t 11/2020, S. 124

Im Folgenden ein paar Kommentare zur Python-Implementierung.

In __init__() wird eine Liste als default-Wert gesetzt. Dies birgt eine hohe Maintenance-Gefahr, da die Immutability dieser Variable nun nicht am Aufruf der __init__()-Funktion hängt, sondern an der Definition der __init__()-Funktion. Auch wenn in dem hier dargestellten ­Code-Excerpt keine Mutation vorliegt, wird sich diese Implementierung in manchen Fällen sonderbar verhalten:

x = SEIR() 
x.intervention_times.append(444)
y = SEIR() 
assert x.intervention_times is not y.intervention_times, 'Mutable default value.' 

Da die Mutability der Liste ohnehin nicht verwendet wird, scheint mir ein Tupel geeigneter.

In __init__() wird p0 als Instanzvariable gesetzt und die Summe durch sum(self.p0) errechnet. Dies ist möglicherweise gefährlich, da der Iterator p0 exhausted werden kann:

assert(other_data := tuple(other_data)),  'The example does not work.' 
x = SEIR(intervention_times=(3*n for n in other_data)) 
assert sum(x.p0) == x.n, 'Iterator exhausted.'

Es wäre sicherer, p0 explizit zu einem Tupel zu konvertieren: self.p0 = tuple(p0)

In der dritten Zeile der dR-Definition ist in ]*len(self. kein Whitespace um den *-Operator gesetzt.

Es wird self.r_0 mit Unterstrich, alle anderen Indizes wie self.p0 jedoch ohne geschrieben.

Jonathan Frech (Mail)

Wir haben uns sehr über diese Code-Review gefreut und diese sowie weitere Anregungen von Herrn Frech umgehend umgesetzt. Auf GitHub befindet sich nun die verbesserte Version des Codes. Wir freuen uns stets über konstruktive Kritik dieser Art, auch bei anderen Programmierartikeln.

Camper-Office und Klima

Erfahrungsbericht: ein Campingbus als mobiles Büro, c’t 11/2020, S. 136

Auch wenn die technische Umsetzung des „Camper-Office“ interessant ist, hinterlässt der Artikel bei mir doch einen schalen Beigeschmack. Ist das nicht wieder ein Beispiel, in dem zugunsten der individuellen Vorteile und Annehmlichkeiten von umweltfreundlichen Transportmitteln (Zug, Öffis) auf (dieselgetriebene) Individualmobilität umgestiegen wird? Daneben schwingt noch Stolz mit, wenn auf die Unabhängigkeit von (im Vergleich zum Dieselmotor) meist sauberen Netzstrom hingewiesen wird.

Weder das Thema CO₂-Fußabdruck noch die Klimathematik werden angesprochen, vielmehr wird ein Verbrennerfahrzeug nicht nur beruflich, sondern „effizienterweise“ auch privat als Lebenszen­trum etabliert. Ein nachvollziehbarer individueller Bequemlichkeitsgewinn, aber eine (kurze) Reflexion zur aktuellen Klimaproblematik hätte mich gefreut.

I. Wilhelmy (Mail)

Schummeln geht trotzdem

Freies Computeralgebrasystem GeoGebra: Testlauf in Prüfungen, c’t 11/2020, S. 120

Sicherlich hat doch inzwischen eine pfiffige Informatik-AG nebenbei eine „alternative“ Version der App kompiliert, die nicht mehr prüft, ob sich das Smartphone im Flugmodus befindet und auch nicht mehr den Kiosk-Modus erzwingt, sodass auch SMS, Messenger sowie weitere in der Prüfungssituation von Schülern als „nützlich“ empfundene Apps nicht mehr blockiert werden.

Das Prüfungsprotokoll wird keinerlei Auffälligkeiten aufweisen. Die hierzu erforderlichen Änderungen im Quellcode dürften schnell erledigt sein, die modifizierte App sich schnell unter den Schülern verbreiten. Da müsste die Aufsicht schon auf jedem Smartphone in den Details prüfen, ob die App wirklich aus dem Play Store geladen wurde, um der Sache auf die Schliche zu kommen.

telyn (Forum)

Wetten mit Prepaid

Prepaid-Angebote fürs mobile Surfen und Telefonieren, c’t 11/2020, S. 104

Bei allem Respekt für die Telekom-Anbieter: Für mich sind das trotzdem Anbieter von Pferdewetten, welche es sich auf ihrer Rennbahn so richtig gemütlich eingerichtet haben. Nach anscheinend gottgegebenen 28 Tagen verfällt bei exakt allen Anbietern das bezahlte Paket, unabhängig von den bezogenen Leistungen. Das ist etwa so, als wenn der freundliche Tankwart im Cartoon des Artikels monatlich bei mir vorbeikommt und bei meinem Auto alles noch vorhandene Benzin aus dem Tank absaugt.

Der Tarif- und Optionsdschungel ist sogar innerhalb eines Anbieters so unübersichtlich, dass ich eigentlich eine App mit KI und täglicher Abfrage der heute geplanten Nutzung brauche, um mich für zubuchbare „Tarifverschönerungs- und Lifestyle-Pakete“ mit so kreativen Namen wie „Speed-Bucket“ und „Day-Flat“ zu entscheiden.

Reiner Ulrich (Mail)

Ransomware-Schutz

So sichern Sie Ihre Daten wirklich zuverlässig, c’t 10/2020, S. 16

Ich habe Ihre Anleitung für ein Emotet-sicheres Familien-Backup unter Verwendung von Resilio und Duplicati auf dem Backup-PC befolgt. Im Zielverzeichnis der Duplicati-Sicherung habe ich zusätzlich den Windows-10-Ransomware-Schutz aktiviert und nur für den Duplicati-Prozess eine Ausnahme hinzugefügt.

In meinen Augen sollte das zusätzlich Sicherheit bringen und die Backups auch dann schützen, wenn man sich – wie auch immer – auf dem Backup-PC einen Trojaner einfängt. Ist das ein sinnvoller Ansatz oder gibt es unter Umständen Gründe, das nicht zu tun?

Thomas Lachauer (Mail)

Wenn Sie den Backup-PC wie empfohlen mit Software Restriction Policies (SRPs) verriegeln, ist der zusätzliche Ramsonware-Schutz überflüssig – es kann dann ohnehin nichts mehr laufen, was er stoppen könnte. Sonst schadet es nichts, ihn zu aktivieren. SRPs sind aber deutlich sicherer – daher unsere Empfehlung dafür.

Ergänzungen und Berichtigungen

Medizinprodukt

BSI-Sicherheitsstandards für Gesundheits-Apps, c’t 11/2020, S. 36

Anders als in der ursprünglichen Fassung des Artikels angegeben ist die Gesundheits-App Ada nach Angaben des Herstellers bereits seit 2018 als Medizinprodukt klassifiziert.