Leserforum

Zu kurz gegriffen

Editorial: The Good, the Bad and the Ugly, c’t 5/2019 S. 3

Ostasiaten stehen immer schon im Ruf, Techniken günstiger nachzumachen und dann zu verbessern und sich so Marktanteile zu sichern. Dabei wird auch technischer Fortschritt verkauft. Die ursprünglichen Entwickler bekommen oft nichts von dieser Wertschöpfung ab – nicht nur in Komponenten für Netzwerk und Kommunikation. Davor war es zum Beispiel der Transrapid und der ICE 3, die neben Pkw und Pkw-Teilen zu erwähnen sind. Früher war es die Spiegelreflexkamera.

Das Spionieren, das laut unserer Kanzlerin unter Freunden gar nicht geht, war doch, soweit ich mich erinnere, auch bei den befreundeten Staaten direkt oder indirekt im Nachgang zu Edward Snowdens Veröffentlichungen ein wesentliches Thema. Wer sagt denn, dass dort nicht auch weiter fleißig gehorcht wird? Allein einer chinesischen Firma das Spionieren vorzuwerfen ist etwas kurz gegriffen.

Uwe-H. Lange B

Open Source einfordern

Welche Rolle Huawei im Handelskrieg der USA gegen China spielt, c’t 5/2019, S. 16

Wenn ein Land wie Deutschland – mit etwas Vorlauf – verlangt, dass ab Datum xy jede Software vom Treiber, übers OS bis hin zur Anwendung offen zu sein hat, damit sie in der Verwaltung eingesetzt werden darf, dann ist das eine Marktmacht, die man auch nutzen kann. Ich wette, es finden sich genug Firmen, die von diesem Finanzkuchen in der Software-Beschaffung gerne mit abbeißen, wenn die großen sich zieren. Es geht hier immerhin um Milliarden.

Ich würde sogar so weit gehen, dass man das auch für Hardware fordern sollte. Wenn die Bundes-, Landes- und Kommunalverwaltungen eine abgestimmte oder gar gemeinschaftliche Ausschreibung auf Open-Hardware-IT machen, dann finden sich auch Anbieter, die dafür eine Umsetzung entwickeln. Auch dieser Markt entspricht Milliarden Euro, und diese IT wird regelmäßig erneuert. Da winken sogar Support- und Folgeaufträge …

M76 F

E-Mail-Vielfalt

Wie Sie Ihre digitale Identität schützen, c’t 5/2019, S. 32

Eine Anmerkung zum Thema „have i been pwned“. Ich habe schon seit vielen, vielen Jahren eine eigene Domain und nutze dort eine Catch-All-E-Mail-Adresse, sodass alle E-Mails, egal an welchen User diese geschickt werden, bei mir ankommen. Das heißt, ich verwende bei jedem Webdienst und jeder Webseite eine eigene E-Mail-Adresse, jeweils mit dem Domain-Namen im Lokalteil, etwa ebay.de@meinedomain.de oder amazon.de@meinedomain.de.

Der große Vorteil: Wenn ein Dienst mal wieder seine User-Datenbank „verliert“, dann kann ich das direkt nachvollziehen, wenn ich plötzlich angebliche PayPal-Sicherheitschecks an die E-Mail-Adresse gehackte-domain.de@meinedomain.de erhalte. Ich weiß also gleich, wo ich mal dringend nachsehen sollte oder bei welchem Dienst ich besser die Zusammenarbeit kündigen sollte.

Vorteil 2: Wenn ich mal wieder unerwünschte Werbung bekomme, kann ich gezielt durch einen Forwarder die Werbung stoppen oder in den Papierkorb umleiten.

Aber der große Nachteil in Zusammenhang mit „have i been pwned“: Ich habe keinerlei Möglichkeit, diesen Dienst zu nutzen, da ich unmöglich jede einzelne jemals verwendete E-Mail-Adresse prüfen kann, ob einer der Accounts gehackt wurde. Ich kann nur darauf vertrauen, dass ich damals auch wirklich jeweils sichere Kennwörter verwendet habe, die nun irgendwo in den Tiefen des Password-Safes gespeichert sind …

Matthias Kahlert B

Kryptisch antworten

So erkennen Sie, welche Online-Dienste mit Ihren Daten schludern, c’t 5/2019, S. 38

Bei den Sicherheitsabfragen ist es ganz einfach: Man bedient sie eben nicht mit der richtigen Antwort, sondern setzt stattdessen ein kryptisches und sicheres zweites Passwort. Verwaltet man dieses in einem Passwortmanager, hat man es zur Hand, auch wenn es lange nicht gebraucht wurde. Da kann sich ein Angreifer einen Wolf nach dem Mädchennamen meiner Mutter suchen.

Dr. Hans Gerd Heusert B

Skript-Alternative

25 Gigabyte Passwortlisten von HaveIBeenPwned schnell lokal durchsuchen, c’t 5/2019, S. 42

Vor circa vier Wochen hatte ich die gleiche Idee wie Sie! Über Nacht ließ ich aus Energiespargründen die gigantische Passwortliste auf meinem Raspberry Pi herunterladen und dekomprimieren. Natürlich wäre die lineare Suche hoffnungslos langsam gewesen. Ich hatte es gar nicht erst probiert, sondern sofort ein Python-Programm mit binärer Suche geschrieben, welches Ihrem Programm ziemlich ähnlich ist!

Da ich die Integrität des JavaScript-Programms von HIBP nicht sicherstellen kann, habe ich für den Online-Check meiner Passwörter ein weiteres Python-Script geschrieben:

#!/usr/bin/env python3

import getpass

import hashlib

import requests

while True:

test_password = getpass.\

getpass('Passwort:')

if not test_password:

break

test_hash = hashlib.sha1(

test_password.encode())\

.hexdigest().upper()

test_prefix =test_hash[:5]

print('Ueber das Internet '

'uebertragen wird: {}'

.format(test_prefix))

result = requests.get(

'https://api.pwnedpasswords.com'

'/range/{}'.format(test_prefix))

num_hits = 0

for line in result.text\

.split('\r\n'):

partial_hash, count = \

line.split(':')

if test_hash[5:] == partial_hash:

num_hits = count

break

print('Das Passwort wurde '

'{}-mal gefunden.\n'

.format(num_hits))

Es benötigt Python 3 sowie das requests-Paket (pip install requests).

Herbert Vonhoegen B

Lightroom CC und Classic synchronisieren

Zum besseren Bild, Acht nichtdestruktive Foto-Entwickler für schnellen Workflow, c’t 5/2019, S. 114

Sie schreiben zu Lightroom CC auf S. 118: „Leider lassen sich die Bibliotheken der beiden Lightroom-Varianten nicht sinnvoll in einem Workflow vereinen“. Diese Aussage ist falsch. Es ist ja gerade Sinn der Cloud-Integration, Verarbeitungsschritte auf angeschlossenen Rechnern zu synchronisieren und das funktioniert auch mit Lightroom Classic CC wunderbar. Erforderlich ist in Lightroom Classic CC in den Voreinstellungen im Reiter „Lightroom synchronisieren“ ein Eintrag des Speicherorts, der synchronisiert werden soll. In meinem Workflow sind ein PC, ein Laptop, zwei iPads und ein iPhone beteiligt. Egal welches Gerät ein Foto hinzufügt oder ändert oder löscht, auf allen anderen ist immer automatisch der gleiche Stand. Es wird also auch der lokale Katalog auf dem PC (Lightroom Classic) mit der Cloud-Datenbank (Lightroom CC) in beiden Richtungen abgeglichen.

Helmut Gross B

In dieser Richtung funktioniert das, die Lightroom-Classic-Bibliothek bekommen Sie aber umgekehrt nicht in die Cloud.

OCR ohne Wörterbuchtrick

Zwei Apps für die digitale Aktenablage, c’t 5/2019, S. 110

Leider sind alle kommerziell verfügbaren OCR-Programme nur gut, wenn sie echte Sprache übersetzen können. Bei Digitalisierung von elektronischen Bauteilen und beispielsweise deren Seriennummern oder technischen Beschreibungen wird es richtig dünn. Je nach Schrifttyp und Bildqualität kommen sogar die großen Programme nur auf circa 70 Prozent sicher erkannte Zeichen, während gleichzeitig 100 Prozent gefordert werden. Das zeigt, wie schlecht OCR eigentlich funktioniert ohne Wörterbuchtrick.

neinhein F

Ergänzungen & Berichtigungen

Kein Dual-SIM

Superphones, High-End-Smartphones mit Dual-SIM und Mehrfachkameras im Vergleich, c’t 5/19, S. 78

Anders als im Artikel angegeben lässt sich das Google Pixel 3 XL nicht mit eSIM und physischer SIM-Karte parallel betreiben.

Maskierungswerkzeuge

Acht nichtdestruktive Foto-Entwickler für schnellen Workflow, c’t 5/2019, S. 114

Die Tabelle weist aus, dass Darktable keine Maskierungswerkzeuge besitzt. Diese sind allerdings in jeder Palette unter dem Punkt „Überblenden“ vorhanden. Dort kann man die Einstellungen über Pinselwerkzeug, Ellipse, Pfad oder Verlauf maskieren.