CLOSED: [2009-08-05 Wed 23:37] :PROPERTIES: :NUMBER_OF_COMMENTS: 3 :PUBDATE: Wed, 05 Aug 2009 23:37:00 +0200 :ID: M-DotDNA-considered-useless :CREATED: [2009-08-05 Wed 23:37] :END: :LOGBOOK: - State "DONE" from "NEXT" [2009-08-05 Wed 23:37] :END: Heute bin ich über ein interessantes Konzept bzw. Produkt gestolpert: [[http://www.m-dotdna.at/][M-DotDNA Mikropunkte]]. Die Webseite verspricht Sicherung gegen Diebstahl für portable Dinge ([[http://www.m-dotdna.at/anwendungsgebiete/kraftfahrzeuge.html][Auto]], Handys, ...) als auch Dinge, die daheim in der [[http://www.m-dotdna.at/anwendungsgebiete/haushalt.html][Wohung]] herumstehen (Fernseher, Möbel, ...). Sogar die [[http://www.m-dotdna.at/anwendungsgebiete/gewerbe-industrie.html][Industrie wird angesprochen]]. Auch die Polizei bedient sich dieser Technologie. Soweit mal die Werbung. --------------- [[http://karl-voit.at/temp/suderei/2009-08-05_MDot_Logo.jpg"]] Das Prinzip ist eigentlich recht simpel: jede Menge 1mm kleiner Aufkleber werden auf die jeweiligen Dinge aufgeklebt und sollen nach Aushärtung des Klebers durchsichtig sein. Mit speziellen Lesegeräten kann man dann die Kennung der Aufkleber auslesen. Diese ist in der Datenbank von der Firma mit dem Käufer und damit auch Besitzer des Dings verbunden. Nun frage ich mich aber, wie man damit Diebstähle *verhindern* kann. Meines Erachtens ist das eine *grob fahrlässige Täuschung* von Kunden. Nur das Wiederzuordnen von Dingen bei gefundenen Diebsgut wird erleichtert. Der Diebstahl an sich wird nicht verhindert. Nicht einmal annähernd, da der Dieb diese Markierungen ja nicht sehen soll/kann. Weiters existiert auf der Webseite der Firma eine [[http://www.m-dotdna.at/login.html][Einwahlseite für die Polizei]]. Die gesamte Website ist übrigens mit Typo3 realisiert - hier mal ein [[http://www.google.com/search?q=typo3 vulnerabilities&hl=de&esrch=BetaShortcuts&lr=][Link zur Liste von bekannten Sicherheitsproblemen]] davon. Auf dem gesicherten Einwahlbereich können die sensiblen Informationen der Kunden und deren Zuordnung zu den Aufklebern abgefragt werden. Doch auch hier wird ein Problem sichtbar: diese Seiten sind nicht einmal per https (also halbwegs sichere und abhörsichere Datenübertragung) erreichbar. Ein schmerzlicher Schwachpunkt, der nicht sein darf. Versucht man nun, diese Einlogseite statt mit http mit [[http://de.wikipedia.org/wiki/Https][https]] zu erreichen, so sieht man, dass der Webserver sehr wohl auch [[https://www.m-dotdna.at/login.html][eine authentifizierte und abgesicherte Version]] ausliefern kann. Gleich der nächste Schwachpunkt: das Sicherheitszertifikat ist nicht für /diese/ Webseite ausgestellt und verursacht daher eine (berechtigte) Sicherheitswarnung im Browser. Oje. Auf der Website sieht man, dass sehr viele Unternehmen und Organisationen [[http://www.m-dotdna.at/referenzen.html][dieses Produkt empfehlen]]. Ich bin gespannt, ab wann ein jeder Exekutivbeamte mit einem speziellen Lesegerät ausgestattet in den Außendienst geschickt wird. Bis dahin erachte ich dieses Prinzip als marketingtechnisch gut gemachtes Beispiel zum Geldmachen aber ziemlich wirkungslos gegen Diebstahl und nur wenig hilfreich für das Wiederfinden. Ich denke nicht, daß das größte Problem der Exekutive darin besteht, das zahlreich wiedergefundene Diebsgut nicht den Besitzern zuordnen zu können. So wie die Statistika aussehen besteht deutlicher Verbesserungsbedarf beim Finden des Diebsgutes und nicht der Besitzer. Doch mit der Gutgläubigkeit von Menschen darf man nicht spielen. Leider wird das Ganze noch von Organisationen und Firmen unterstützt. Ein Schelm, wer dabei nicht an "Eine Hand wäscht die andere" denkt. So kann man behaupten, dass man etwas gegen die steigende Anzahl von Diebstahlsdelikten unternimmt. Eigentlich erleichtert es nur den Exekutivbeamten das Durchkämmen der Liste der gestohlenen Dinge im Falle eines Aushebens eines Lagers von Diebsgut. Ob /dafür/ der Preis und der Aufwand gerechtfertigt ist? Fazit: Wie so oft gilt: bitte nicht alles unreflektiert abkaufen sondern mal drüber nachdenken, was es /wirklich/ bringt. Und wem. ------------------------- Note: this blog entry was originally authored using [[https://en.wikipedia.org/wiki/Serendipity_%28software%29][Serendipity]] and converted to Org-mode format for publicvoit via a dumb script. This may result in bad format or even lost content. Please write a comment if you want to get in touch with me so that I can try to fix things.