Leserforum

Gilt auch für andere Dienste

Virenscan-Dienste: Vertrauliche Dokumente der Nutzer öffentlich abrufbar, c’t 10/2022, S. 12

Computermagazine empfehlen seit Jahren, verdächtige Dateianhänge auf Multiscandiensten wie VirusTotal hochzuladen. Die c’t ist da keine Ausnahme. Alles, was in einer Eingabemaske landet oder in einer Webanwendung bearbeitet wird, kann unter Umständen auch anderen Parteien zugänglich sein. Ähnlich gelagerte Probleme:

1) Maschinelle Übersetzungen. Auch da gab es Dienste, die hochgeladene Dokumente nicht nur übersetzen, sondern Teile des Quellmaterials für andere Nutzer einsehbar speichern.

2) Webseiten, die Aktivitäten anderer Nutzer anzeigen. Wenn da zum Beispiel „<Nutzer> hat gerade <Objekt> zur Wunschliste hinzugefügt“ angezeigt wird, dann erlaubt das unter Umständen (unerwünschte) Rückschlüsse auf die Vorlieben einer Person.

3) Online-Konverter für Dateiformate. Normalerweise sieht zumindest der Server des Anbieters die hochgeladene Datei. Wo der Server physisch steht, das kann man nicht leicht herausfinden/verifizieren. Und selbst wenn der Server in Deutschland steht – wer weiß schon, ob nicht ein Systemverwalter aus Amerika oder Russland Zugriff auf die Dateien hat?

h-p

Hash statt Datei

Man hätte erwähnen können, dass es zumindest bei VirusTotal die Möglichkeit gibt, nicht die gesamte Datei zum Scan hochzuladen, sondern stattdessen nur den Hash der Datei. Da bleibt die Datei auf dem eigenen Rechner und man bekommt einen ersten Anhaltspunkt. Zugegeben, bei der individuellen (echten) Rechnung im Mailanhang meines Dienstleisters hilft das leider nicht.

Olaf Hopp

Ladesäulen katastrophal

Worauf Sie beim E-Auto-Kauf achten müssen, c’t 10/2022, S. 20

Die Ladesäulenthematik ist leider ein aus meiner Sicht eher katastrophales Thema. Mal wird in der Ladesäulenkarte der Ausfall einer Ladesäule nicht angezeigt, mal wird eine Ladesäule als frei angezeigt, obwohl beide Ladepunkte besetzt sind (Hotline: Ladesäule habe leider keine Netzverbindung). Mal beginnt die Ladesäule den Ladevorgang, um nach einigen Minuten wieder abzubrechen (Hotline: Ladesäule braucht ein Software-Update).

Mal konnte eine Ladesäule nicht dazu bewegt werden, die Klappe über der Steckdose zu öffnen, obwohl sie als funktionsfähig und frei gemeldet wurde. Mal findet man eine freie Ladesäule im Untergeschoss einer Tiefgarage; dort ist leider kein Handynetz verfügbar, deshalb kann der Ladevorgang mit der App nicht gestartet werden.

Die Ladekosten sind teilweise sehr undurchsichtig, es gibt Ladesäulen von kostenlos über normale kWh-Preise (derzeit 40 bis 50 ct/kWh) bis zu 7 Euro Grundgebühr plus Kosten pro kWh.

Ulrich Krieghoff

Jammern auf hohem Niveau

Technik von E-Autos erklärt, c’t 10/2022, S. 28

Die diversen Umwandlungsverluste sind wohl korrekt und für ein ehrliches Bild unabdingbar. In meinen Augen ist dies jedoch ein Jammern auf hohem Niveau, wenn wir die Effizienz der E-Motoren (80 %) mit denen der Verbrenner vergleichen (20 %).

Dominik Pfoster

Bereitschaft zu zahlen

Interview: Der IT-Leiter der Stadt Schwäbisch Hall über Open Source in der Verwaltung, c’t 10/2022, S. 58

Bei dem Satz „Da muss die Open-Source-Community echt mal Gas geben“ kann ich mir eine Bemerkung nicht verkneifen. Wenn die Stadt Schwäbisch Hall – so wie es andere Interessenten auch machen – einen Entwickler bezahlt, dann wird der sicherlich „echt mal Gas geben.“

Die Open-Source-Community besteht überwiegend aus Menschen, die in ihrer Freizeit Projekte pflegen. Wer solche Forderungen aufstellt, muss auch bereit sein, dafür zu bezahlen.

Michael Brucker

Einfach nicht annehmen

Eine neue Masche beim Warenbetrug bringt arglose Menschen in Schwierigkeiten, c’t 10/2022, S. 62

Am besten ist aber immer, keine Pakete anzunehmen, wenn man nichts bestellt hat.

vinoradi

RSS-Reader-Alternative

Sechs News-Aggregatoren im Vergleich, c’t 10/2022, S. 70

Ich verwende seit Jahren Tiny Tiny RSS. Natürlich muss man zum Betrieb einen Webserver laufen haben, aber der läuft heutzutage zur Not auch lokal auf dem Client. Vorteil: Open Source, Datenschutz, keine Kosten.

fatzgenfatz

Geht nur ums Geld

Web3 und das Metaverse: dem Internet der Zukunft auf der Spur, c’t 10/2022, S. 144

Was mir nach dem Schlusswort als erster Gedanke durch den Kopf ging: Ich bin zu alt für diesen Scheiß. Ich sehe keinen individuellen Mehrwert, keinen Nutzen für den Einzelnen. Außer dass die ganze Sache augenscheinlich dazu verführen soll, noch mehr Zeit vor der Glotze zu verbringen.

Der zweite Gedanke: Ein paar Idealisten träumen einen Traum von einem „neuen Internet“. Das ist nicht neu. Die Schwierigkeit, die die neuen Idealisten haben und die ursprünglichen Pioniere nicht: Es gibt das alles schon. Man kann es bunt und 3D anmalen, man kann noch mehr komplexe und fehlerträchtige Software dahinterpacken, man kann Cloud, Blockchain und weitere Buzzwords dranflanschen. Und scheitern, wenn sich erweist, dass die Anwender kein Interesse haben und das Bestehende gut genug ist.

Der dritte Gedanke: Es geht doch immer nur ums Geld. Nix anderes. Die großen Firmen wittern einen weiteren Absatzmarkt. Wenn (oder besser, falls) ein gewisser Populationsschwellwert aus Neugierigen und überzeugten Mitmachern überschritten ist, werden wir die gleiche Sache wie im „konventionellen“ Web erleben: Die finanzstarken Onlinekonzerne investieren, was auch immer notwendig ist, um möglichst gewichtig präsent zu sein. Wir werden wiederum ausspioniert und mit personalisierter Werbung terrorisiert werden, weil da die Kohle herkommt. Und wenn Adidas & Co. ein paar mehr Schuhe oder sonstige Dinge verkaufen können, nehmen die das auch mit.

Patrik Schindler

Anmerkungen zu JUnit-Tests

Webentwicklung mit Kotlin und Spring: HTTP-Antworten, c’t 10/2022, S. 164

Ich möchte Sie auf zwei Aspekte im JUnit-Test hinweisen

1) Sie verwenden die Annotation @Transactional an der Testklasse, damit die Datenbank-Transaktion nach Beendigung des Tests zurückgerollt wird. Das ist zwar eine schnelle und bequeme Möglichkeit, allerdings sollte man sie nur mit Bedacht einsetzen oder von vornherein einen anderen Ansatz wählen.

Hintergrund: Spring bietet die Möglichkeit, die Repository-Transaktionen —anders zu konfigurieren, zum Beispiel @Transactional(propagation = Propagation.REQUIRES_NEW). Die Annotation an der Testklasse oder -methode würde dann aber auch die Anwendungslogik in dieser Transaktion kapseln und dadurch gegebenenfalls unerwünschte Seiteneffekte verursachen. Ein Test sollte so geschrieben sein, dass er möglichst deterministisch arbeitet.

2) Im Test verwenden Sie die writeValueAsString()-Methode des ObjectMapper. Hier bietet es sich an, nicht mit den existierenden Datentransferobjekten zu arbeiten, sondern mit tatsächlichen Strings, die die JSON-Payload darstellen. Die sind zwar etwas umständlicher zu generieren, haben aber den Vorteil, dass der Test nicht mit der eigenen Implementierung arbeitet, sondern unabhängig davon.

Robert Strauch

Alt = doof?

Lüfterloser Mini-Barebone Zotac Zbox CI331 Nano, c’t 10/2022, S. 80

Als Älterer fühle ich mich von folgender Aussage diskriminiert: „Für die Surfstation, etwa für die Großeltern, reicht die Leistung.“ Dieser Satz impliziert, dass Ältere sowieso keine Ahnung von IT haben. Insofern reicht für die Alten auch ein derart leistungsschwacher PC, den „normale“ Menschen einfach nicht gebrauchen können. Noch weiter abstrahiert: Alt = doof.

Manfred Feige

Ergänzungen & Berichtigungen

Infoschreiben der Stadt Baden

Wie Baden in Österreich 33.000 Meldedatensätze ins Netz stellte, c’t 9/2022, S. 52

Nach unserem Bericht über ein Datenleck in der Stadt Baden in Österreich meldete uns ein Leser, dass er am 14. April ein Infoschreiben über den Datenvorfall erhalten hat. In dem Schreiben, das uns vorliegt, bestätigt die Stadt, dass die Meldedaten von 33.400 Wohnsitzdatensätzen, 14.400 Datensätze der Baden Card sowie Zahlungsvorgänge von etwa 750 Personen von einem „Datenvorfall“ betroffen waren.

Mitschnitt nur unter iOS

Mitschnitt-Mikrofon, c’t 10/2022, S. 89

Google erlaubt seit Android 10 grundsätzlich keine Telefonmitschnitte über Mikrofone und will ab dem 11. Mai alle verbleibenden Apps im Play Store sperren, die Gespräche über das Accessibility-API zur Aufzeichnung nutzen. Im Test konnten wir nur Gespräche über die iOS-App auf einem iPhone aufzeichnen.

Rechnung falsch, Ergebnis richtig

Wie superschnelle Schnittstellen die Server-Architektur verändern, c’t 10/2022, S. 132

Im Artikel steht, 1 Picojoule (1 pJ) entspreche 1 Milliardstel Joule; tatsächlich ist es ein Billionstel Joule. Da aber auch die folgende Aussage falsch ist, 1 Terabyte entspreche 1 Milliarde Byte (in Wahrheit sind es 1 Billion Byte), stimmt die Abschätzung am Ende trotzdem, dass der Transfer von 1 TByte/s bei 1 pJ/Bit rund 8 Watt Leistung benötigt.

Silicon Power, nicht Motion

13 SSDs mit PCIe 3.0 und 4.0 im Test, c’t 10/2022, S. 100

Im Testkasten auf Seite 106 ist der Name des Herstellers falsch geschrieben. Er heißt Silicon Power, nicht Silicon Motion.