FS158 Da fällt dem Hacker die Mate aus der Hand

Camp — rad1o — Haushaltshilfen und Spielzeuge — Pluto — Bücher lesen — El Capitan — TLS Kryptokalypse — iTunes https Fail — Bitcoin — GPG Keys — Mindmapping — IPv6 — Flash

In kleiner Runde — hukl und Clemens sind abwesend — schaffen wir trotzdem die 4 Stunden und liefern zunächst praktische Shoppingtips für den Haushalt und die Kinderbespassung bevor wir uns mit zahlreichen Kryptokalypsen und sonstigen Erschwernissen beim Umstieg auf HTTPS befassen und wir reden auch mal wieder über Macs. Die nächste Sendung kommt erst in einem Monat, dann aber live vom Chaos Communication Camp.

Dauer: 3:55:23

avatar
Tim Pritlove
avatar
Denis Ahrens
avatar
roddi
avatar
David Scribane
avatar
Xenim Streaming Network
Shownotes

129 Gedanken zu „FS158 Da fällt dem Hacker die Mate aus der Hand

  1. Komm, ich mach mich mal zum Affen, häng mich bei der Freakshow mal zum Fenster raus und sag mal was zu Flash:

    Wer von euch hat mal AS3 gecoded? Die Sprache ist ECMA-262, kennt das DOM als DisplayList, geht mit Javascript ins Bett und bumst an cross plattform GUI Runtime das meißte an anderen sprachen was sonst noch da draussen so seit ebenfalls 20 Jahren an Sprachen seine Bahnen zieht. Bäm. Im ernst: Die Sprache war eine starke inspiration für JS und Swift, da mag Roddi seinen Kopf schütteln, aber letzlich muss er nicken.

    Flash Security ist ja das allerliebste Thema an Flash für ALLE; Weil da kann halt jeder was zu sagen, jeder hat ne Geschichte mit Flash. Was etwas untergeht ist jedesmal: Jedes Stück Software, was am Netz hängt, ist const static im status security vulnerability bitch. Alles. OS, API, CMS, Browser, Email und was habt ihr noch so an der Leitung angeknipst? Dropbox? Custom Shell? Webserver? Hier ist eine Analyse der bekannten Browser Bugtraces:
    https://twitter.com/greggman/status/618640193122385920

    Seht ihr diese dicken Balken. Dass ist der status quo von Software am Netz. Jeder Software. Auch Flash. Adobe haut mindestens wöchentlich am patch tuesday ein push ihrer neuen codebase raus mit einem trackrecord bei dem einige große Git-Repos pipi in den Augen haben vor neid. Dass dieser dämliche Flash Updater von einem einarmigen Delphi Programmierer entwickelt wurde ist wirklich unsäglich. Das Update sollte einfach nur durchgehen. Mein Chrome aktualisiert sich gefühl zweimal täglich (version teihundertfünf oder so). Updates sind per se erstmal gut. Bei iOS muss das update sogar OTA sein, sonst könnt ihr es garnicht schnell genug bekommen. Wieso diese Moral nicht auch bei euren anderen Softwares anwenden? Muss ich erst die olle Türen&Fenster Analoge aus dem Schuppen holen?

    Programme funtkionieren besonders gut, wenn sie besonders gut programmiert sind. Eine derart benutzerfreundliche Scriptsprache wie ECMAScript läd vorallem neulinge dazu ein mit ihr zu programmieren (siehe auch JS). as führt wie in jeder Sprache dazu dass ziemlich beschissener code bei rumkommt zu beginn. Flash erfuhr sehr früh sehr viel zuneigung von Grafikern und tut dies heute noch. Freunde animieren heute noch wunderschöne Wimmelbilder oder kurze filme. Die ActionScript VM ist eine der Leistungsstärksten Render-Aggregate die auf Internets Straßen unterwegs ist. Die Möglichkeiten an Processing-Scripten und low level BitmapData handlings bis hoch zum DisplayObject was ein einfach Sprite/Bitmap sein kann, skaliert AS3 heute besser denn je. Canvas weint sich nachts in den Schlaf wenn es sieht was Flash schon for 10 Jahren konnte mit Filter, Blending, Stage3D, etc.

    Seit 7 Jahren reden wir von seinem Tot. Seit 10 Jahren wünschen wir es wäre tot. Woher dieser hass? Ich glaube er gebährt sich aus der Enttäuschung einer Erwartung von HTML5. Als im Jahr 2007 das iPhone kam, sagte Steve Jobs er wolle Webapps sehen. Es gab keine Apps. Das kam erst später. Webapps waren das Thema. Steve wollte Webentwicklung sehen, so sagte er selbst. Und wie. Jetzt würde endlich alles anders werden, wohooo… acht Jahre später. Das Videotag funktioniert ganz ok. Rendert auch wie Flash seit 2009 ebenfalls auf der GPU. Es gibt hier und da bestrebungen sockets mal langsam zu nem quasi-standard zu machen, ja wirklich, tatsächlich auch schaun erste ideen wie man Animationen in HTML5 mitttels einer Flash-Ähnlichen IDE machen könnte, weil es eben sehr sehr praktisch ist wenn man sehen kann, wenn man mit grafik arbeitet. Habt ihr gesehen wie wunderschön die Verlaufe in CSS3 mitlerweile sind. Wow…
    Das ist ganz schön mau für 8 Jahre. Meine Herren. Ich kann verstehen dass manche sich wünschen Flash würde endlich sterben. Denn dann… ohh, dann, mei… dann ginge es richtig ab. Dann würde HTML5 plötzlich rattenscharf werden… Nicht. Es ist einfach fucking schwer alle diese Fähigkeiten mit IO, am Internet, in webkit oder den browser selbst einzubinden, OHNE EINE EINZIGE Sicherheitslücke zu übersehen. Ich würde gar sagen unmöglich. Aber Erlanger werden wir wiedersprechen wollen.

    Ich habe gute Freunde die teilweise lange Jahre die Animationsfähigkeiten der Software zu schätzen wussten und teilweise noch wissen. Gute Leute mit eigenen Stilen im Zeichnen und Entwerfen. Ihr würdet sie mögen. Semesterlang entstanden wundervolle kleinwerke an Animationen, Filmen, Interkativen Anwendungen, Spielen und Software GUI. Nun muss man einem Cro-Magnon-Menschen wie einem CLI Poweruser erklären was das ist, mit diesen Künsten und diesen Farben und dass man nicht gelb und cyan einfach mischen kann und wieso ein Sprite mit einer outline für manche ebenso wichtig ist wie das sprite mapping der render engine selbst. Denn hier kamen Kreative und Programmierer zusammen. Teils waren manche beides. Absonderliche Hybrid-Menschen aus Design und Code. Sie schrieben code UND zeichneten oder konstruirten grafische benutzerschnittstellen. Einige besser, andere schlechter. Unterm Strich aber immer eine Antwort von Gestaltung auf die gegenwartsfrage nach: Wie sieht sowas eigentlich aus. Wie muss sowas gestaltet sein, damit dem Benutzer klarer wird, was er gerade tut. Heute sehen Apps ja eher so aus: Oben links der Knopf, oben rechts der Knopf. Oben der Titel und da links kann man noch klicken wenn man dieses Tab aufmachen will. Ich las zuletzt das eine Anwendung von drei Icons in seiner Apps zu einem Hamburger Menu wechselte und daraufhin die interaction rate der user um die hälfte einbrach. Denn darum geht es heute: Wieviele Interactionen können Apps aus einem user rausdrücken. Demnach sind anwendungen heute alle „erwartbar“ (ich sage abgeschmackt) gestaltet um ihre CRUD-eske Routine laufen zu lassen. Darum geht es oder? Twitter war anfänglich sehr spannend mit seinen Kacheln. Flipbook übertrieb es etwas. Da wurde viel gebaut. Die sprache dieser Anwendungen war spannend und Fortschreitend, Gewagt und manchmal auch überzogen. Heute werden anwendungen ja mit Frameworks gebaut die einfach in einen Wrapper gehangen werden und, oho, wie wunderschön praktisch, eine website als app. Mit dem Stiefelschnürsenkel gebootstrapt, weil dann die Buttons so schöne runde ecken haben. Das letzte mal als ein Grafiker mal gefragt wurde war bei 99cents design; Tut mir leid – da muss ich kotzen (vgl. a. Fishmob – Fickpisse).

    Ihr tut Flash einfach unrecht und es ist Hip darüber zu lachen. Ich weiss dass es immer diesen Drücker nach unten gibt von High Level Programming Language zu Scriptsprachen. PHP ist ne Programmiersprache, ne? LOL. Ernsthaft? Wir diffamieren unsere eignen coding brüder aufgrund von so oberflächlichkeiten wie Programmiersprachen-Evangelismus (das Wort gehört zum ersten abgeschafft und dem Erfinder auf die Finger gehauen, wenn wir von evangelismus sprechen meinen wir bornierte Meinungen). Ich geb sowas von keinen deut darauf ob du JS, SCSS, JADE, JAVA, C#, Ruby, BATCH, Python, Perl, C++, HAXE, Haskell, NET, Brainfuck oder deine Mutter programmierst. Wenn du die gleiche sprache wie ich schreibst, dann ist das cool und wir könen uns austauschen. Aber wenn du eine andere sprache sprichst, dann werde ich mich doch nicht wie ein dick verhalten und dich aufgrund dessen ausgrenzen (Ich entschuldige mich bei dem einarmigen Delphi Coder von oben daher mit empfehlung). Hört auf Leute aufgrund der Sprache die sie schreiben oder gar benutzen in Schubladen zu stecken. Lasst es doch einfach den armen gestörten Designern die für eure Kinder diese wundervollen Kidner-Apps malen. Das ist eine sehr gute Software mit der man vieles gutes machen kann. Und das hat Apple auch gecheckt und hat, tada, in der letzten version eine Timeline eingebaut:
    https://twitter.com/aral/status/608054620263485440

    We went full circle. Aber weil Tim fragte ob er noch mal ein paar Bulletspoints zum Thema Flash kriegen könnte, hier meine Sicht der Dinge:

    – Videos laufen in AVM seit über 6 Jahren schon standardmäßig auf der GPU und entlastet die CPU. FLV ist
    – Flash im Browser ist heute quatsch. Das muss schon HTML5 die zukunft sein. Im Web lebt Flash heute bevorzugt noch als einfaches Video-Plugin (es ist leicht nen codeblock zu adden, als verschiedene Dateien mittels script in seinem html code zu verwalten).
    – Mittels RTMFP/RTMP gibt es gute Streaminglösungen für plain Data. Nicht Video alleine, mittels einem FMS kann man wie NodeJS shared Objects in realtime auf seinen clients syncen. Das fetzt schon arg Timme.
    – Als Content Delivery Service hat Flash immernoch einen hohen Stellenwert, da DRM möglich ist (Netflix war Silverlight meine ich, da geht es auch) und das HTML5 Video DRM noch im draft steckt. Da stecken halt shareholder hinter, die keinen Vertrag unterschreiben, wenn da nicht drin steht, dass deren „digitale Inhalte geschützt“ werden. Die haben keine Ahnung.
    – Flash lebt ausserhalb des Netztes in Bereichen wie Messe-Anwendungen, Visual Interaction Concept, Mobile Applikationen (als gemeine App) die cross plattform für die beiden größten Platformen deployen kann. ANE supporten sonderbare Grenzfälle und exposen native Schnittstellen in seinen classen.
    – Es ist ein beliebtes Animationstool. Thats all. Es sind aber durch das stigmata „Flääsh?“ wirklich weniger Studenten geworden die noch Animationskurse belegen. Da sind einige gute Illustratoren in der Werbewirtschaft abgerutscht. Sehr schade. Da waren gute Ideen bei.
    – Flash wird genutzt von 1-4 Mann Teams or im lone wolf mode im Game-Dev Bereich, wo man cross mobile für iOS _und_ Android entwickeln möchte (Adobe Air SDK, latest stable v18). Kleine Teams können sich nicht leisten für zwei Codebasen zu schreiben. Das mag man finden wie man will. Ich sag: You go Glenn Coco!
    – Der Workflow einer Air Anwendung ist beeindruckend nah verbunden zwichen GUI und Logic code. Man kann das GUI mit allen Details in der IDE bauen und diese als library pre compilen und dann in seiner OOP Struktur ansprechen. Es ist das pendant zu CSS vs. HTML und man hat hohe turnaround zeiten nicht nur für grafische korrekturen.
    – Ich habe für ein Robotik-Projekt eine GUI entwickelt die mittels COM port zu einem ATMega sprach und ich konnte so visuelle Informationen über Temperaturen, radstände und A* Pathfindings visualisieren. Das geht natürlich auch in Ruby, aber nicht mit dieser Schnelligkeit. Stabil ebenfalls. Denn nochmal: Code ist dann gute wenn er gut programmiert ist. Ich habe schon nicht compilenden Swift code gesehen, man wird es mir nicht glauben. Aber coding ist kniffelig (https://twitter.com/jimmydivvy/status/621123472324866048)

    Ach es gäb soviel was man über Flash gutes sagen könnte, aber wie erklärt man blinden was von form und farbe? Ich verstehe dass es Menschen die Apple Produkte für den Aluminiumgewordene Design-Katechismus halten und sich verwirrt mit Stands, Docks und dem neusten Mitmach-Gadget versuchen für alle sichtbar laut zu sagen: JA, Ich habe geschmack und beweise es durch meinen kauf… alleine, es ist nur selten der Fall. Es ist schwer Gestaltung zu lesen. Glücklicherweise gibt es mit Apples Styleguides, Googles Material Design und den ganzen Frameworks jetzt alles nurnoch in flach flach flach. Herrlich. Wir sind endlich angekommen.

    Traue nicht dem Schein wenn dich der Schatten verfolgt.

    • Flash mag noch so viele schöne Features haben – solange das Ding aus so haarsträubend vielen schwerwiegenden Sicherheitslücken besteht (das sind ja schon seit Jahren so viele, dass offenbar überhaupt nur noch Remote Code Execution-Lücken überhaupt als erwähnenswert empfunden werden), hat es schlicht nichts im Browser verloren. Wenn die Leute über Flash lachen, dann tun sie das völlig zurecht – Das Ding fällt seit Jahren nicht durch Features, sondern nur durch Sicherheitslücken auf. Übrigens ist die indiskutable Softwarequalität von Flash ja kein singuläres Phänomen, sondern ist offensichtlich Standard im Hause Adobe (weswegen ich dem Laden auch nur wünschen kann, besser heute als Morgen pleite zu gehen). Der Adobe Reader fällt ebenso wie Flash durch regelmäßige Lücken auf (wenn auch nicht ganz so krass wie Flash), und selbst bei Photoshop und dem ganzen anderen Geraffel aus der Creative Suite ist auch Jahre nach dem Erscheinen (in meinem Fall: CS6) alle paar Wochen ein Update fällig. A propos Updates: Ich bin für einige Dutzend Rechner an einer Universität zuständig, und da ist kaum eine Software so nervig wie die Creative Suite. Selbst Mozilla hat es geschafft, nen Updater zu schreiben, mit dem man auch ohne Adminrechte Softwareupdates einspielen kann – von sowas kann man bei sämtlichen Adobe-Produkten nur träumen. Den Adobe Reader und Flash kann man immerhin noch per MSI-GPO verteilen, installieren und updaten (und zum Glück auch wieder deinstallieren) – bei der Creative Suite 6 schaut das allerdings subtil anders aus. Es gibt da zwar so ein obskures Deployment-Tool von Adobe, das angeblich sogar fertig voraktivierte MSI-Installer für den CS6-Kram erstellen kann – nur funktionieren tun diese Installer in der Praxis freilich nicht. CS6 ist die *einzige* Software auf unseren Rechnern, wegen der ich ca alle 2 Wochen einmal alle Rechner ablatschen und den Scheiß von Hand updaten muss. Solange diese Firma nicht einmal in der Lage ist, auch nur nen funktionierenden Updater zu shippen, ist es vollkommen egal, wie schön man mit ihrer Software mundgeblasene, rundgelutschte und wundgekratzte Animationen zusammenklicken kann.
      Die Zeit ist schon seit Jahren reif, diese ganze Firma in eine große Glaskoquille zu zu packen und vorläufig im Mariannengraben zwischenzulagern, bis unsere Raumfahrttechnologie weit genug entwickelt ist, dass wir sie gefahrlos nach Ceti Alpha VI befördern können.

      Übrigens, was Updates angeht, da weicht deine Wahrnehmung doch leicht von der Realität ab: Es gibt für Chrome (Stable Channel) eher so 1x/Woche ein Update, für Flash im Schnitt 1-2x/Monat.
      http://googlechromereleases.blogspot.de/search/label/Stable%20updates
      https://helpx.adobe.com/flash-player/flash-player-releasenotes.html

      • Da trifft wohl eine rosa Welt auf die andere.

        Vermutlich hast du recht mit deinem Argument der Sicherheitslücken. Und Steve Jobs hat auch nur für HTML5 geworden, weil er ein Problem mit dem Energiehunger unter MacBooks und fremder Software unter iOS hat. Das Apple auf offene Standards setzt ist hingegen ein Witz. HLS hat man wohl mal als draft eingereicht und seitdem vergammeln lassen, die Apple-Webseite kann Streaming nur im Safari, obwohl auch andere HLS könnten und es auch alternativen gibt und mit bisschen Glück findet man dort immernoch QuickTime-Videos. AirPlay hätte genauso ein offener Standard sein können wie iBeacons, aber seit Google zum Konkurrenten und Erzfeind aufgestiegen ist, macht man lieber einen auf IE vs. Netscape.

        Aber da liegt auch schon das Problem. Flashplayer ist eben nicht so toll wie du behauptest und zieht Strom und ob Videobeschleunigung auf einer Plattform abseits Windows XP mal unterstützt wird, liegt allein in Adobes hand. Bei offenen Standards wie HTML5 Video kann das im Zweifel jeder Hersteller selber bauen. Und mal ehrlich, für bisschen Animation und Videos brauch ich wirklich kein externes Framework, zumal JavaScript und AS beide ja sehr ähnlich und mächtig sind. Wieso nicht das HTML5-Tag und bisschen Styling mit JS/CSS nehmen und stattdessen auf eine zweifelhaft unterstützte Flash-Lösung setzen, wo jeder seinen eigenen Player baut? Wieso den Overhead für ein Video?

        Als es losging war Flash sicherlich überlegen, aber seit performanten JavaScript, Video/Audio-Support und SVG/Canvas sind doch 90% der Fälle abgedeckt. Vor 6 Jahren konnte Flash unter Linux nichtmal 64bit, geschweige denn Hardwarebeschleunigung.

        Dein DRM-Argument ist auch tote Hose. Das DRM auf Kundenseite nicht funktionieren kann ist doch klar? Das ist nur Obfuscation, letztendlich lasst sich der Code immer abgreifen. Erst recht wenn das Modul in einen quelloffenen Browser geladen wird. Stattdessen muss ich jetzt Binärcode von wildfremden DRM-Nazis ausführen.

        Der Rest ist dann nur noch „aber Flash war früher da“-Gehäule. Trotzdem spricht halt nichts mehr für den Einsatz als Webplayer oder UI abseits von irgendwelchen Trickfilmen und krassen UIs. OepnGL, kann sowas Flash überhaupt oder muss ich da auf Adobe PDF zurückgreifen?

        • Ich nehme an du meinst WebGL, welches bis vor iOS8 nicht on mobile Safari unterstüzt wurde?

          Insgesammt scheinst du meinen Beitrag nicht richtig gelesen/verstanden zu haben:
          – Dein Argument bzgl DRM habe ich selber aufgemacht („Die haben keine Ahnung“)
          – Du sagst es hat im Browser nichts verloren, was sagte ich denn anderes diesbezüglich? („Flash im Browser ist heute quatsch“)

          Ich bin lediglich gegen das hirnlose bashen von creative authoring tools von Leuten aus dem Lager die „nur“ Code erzeugen. Ich habe die erfahrung gemacht, dass so manch ein Designer einem Git-Repo ziemlich gut tun würde. Ist ja wunderschön, dass jeder Coder mitlerweile seinen Code ohne ein bisschen UI raushauen kann, aber diese bornierte Haltung, dass es kein Tool bedarf um die Schnittstelle zwichen UI und Code zu bilden, finde ich doch reichlich fraglich. Ich wette jeder Grafiker liebt es dir seine Animationen in Sprites rein zu reichen die du dir dann in 3 Sprachen (HTML+CSS+JS) zu einer duften (und sicherlich super fluiden) Anwendung zurechtbiegst, wo man früher einfach mal eine Sprache nutzen konnte. Das sind schon ganz besondere Zeiten in denen wir leben wo Menschen die gerademal HTML schreiben gelernt haben, mitjohlen wenn es um den hass auf Flash geht.

          Zum Glück ist Flash jetzt weg und diese Leute können beweisen wie auf Augenhöhe sie mit AVM performance sind. Nettes Template haste dir da geklickt Einäugiger.

          • Sorry, hab ich dein Kommentar wohl nicht ganz gelesen. Ist ja auch nur schwer erträglich.

            Beispiele:
            – „Ich nehme an du meinst WebGL, welches bis vor iOS8 nicht on mobile Safari unterstüzt wurde?“ So what? Flash wurde auch nie auf iOS unterstützt und unter Android war es auch ein Witz. Aber danke für die Antwort. Also irgendwie kann es das dann wohl.
            – „Schnittstelle zwichen UI und Code zu bilden“ Wieso? Es gibt doch genug Frameworks und keiner beschwert sich, wenn du dein Flash-Krams zu HTML5/JavaScript exportierst. Eine native UI (normal gerenderter Text, Formulare, Links mit normalen Rechtsklick) hast du da aber eh noch nie hinbekommen.
            – Sprites? „3 Sprachen (HTML+CSS+JS)“, ernsthaft? Zwei gehören ohnehin zusammen, der letzte ergänzt sich wunderbar. Bei Flash hast du doch auch AS1/2 und AS3 und was noch alles.
            – „mitjohlen wenn es um den hass auf Flash geht.“ Gerade aus Nutzersicht ist Flash eben durchaus gerne mal eine Zumutung. Der Updater? Inhalte lassen sich nicht durchsuchen, auf schwacher Hardware stößt Flash noch vor HTML5-Video an seine Grenzen, Copy&Paste geht selten, Scrolling meint jeder selbst basteln zu müssen, …“ Für Inhalte abseits von Spielen oder Infotainment total unbrauchbar.

            „Nettes Template haste dir da geklickt Einäugiger.“ Häh?

            Du wirkst eher wie jemand, der mit dem Wandel nicht umgehen kann. Statt dass du deine Vorteile siehst und die guten Argumente verwirbelst, vermischt du des mit Nostalgie und aggression und vielen Pseudoargumenten.

            • Ich habe wirklich überlegt ob ich antworten soll. Dein Kommentar ist ein paradebeispiel dafür wogegen die AIR-Scene argumentieren muss, da es sich nie um Inhalte dreht sondern immer nur um gfühltes halbwissen.

              Ich möchte allerdings gerne deine Punkte aufgreifen. Ich weiss, dass ich dich nicht meinem Standpunkt überzeugen kann, dass Flash ein Einmaliges Animationstool für viele Kreative da draussen ist, aber vielleicht erwächst noch etwas empathie̱ für das Problem:

              Deine Punkte gliederten sich wie folgt:

              WebGL:
              AS3 unterstüzt seit Jahren Stage3D; Einen hardware-beschleunigten layer der auf ähnliche weise wie OpenGL texturen und polygon mesh rendern kann. Es performt sehr gut in der AVM und fügt sich gut in den Display Tree ein: Moneyquote Gamedev:
              „Using Stage3D, Antihero runs at an easy 60 frames-per-second on desktops, iPads, and iPhones – it’s no showcase of graphics wizardry, but it’s pleasantly animated and styled. An indie game, in other words.“

              UI+Code:
              Ich überspringe den Punkt, da hier keine Diskussion mit dir möglich zu sein scheint („hast du da aber eh noch nie hinbekommen.“) – das ist halt das niveau der Flash-Hater. Ziemlich stark getrieben von feindlichkeit.

              3 Sprachen:
              AS3 ist der defacto standard in Flash. AS1 ist schon seit über 12 Jahren nichtmehr existent (ich meine die IDE kann sogar schon seit über 10 Jahren kein AS1 mehr rauskompilieren) und AS2 wird ausschliesslich von Ad-Netzwerken benutzt bzw, beginner nutzen gerne AS2, weil es Flash noch am nächsten kommt (AS3 brachte OOP mit class und strong typed vars, weswegen niemand mit einer ernsten codebase mehr auf AS2 arbeitet).
              Ich finde nicht dass die Frameworks sich in HTML5 derzeit gut ergänzen. Angular nahme z.B. jQuery auf und hat es in seinem core integriert (wer jQuery extern zu Angular zuläd, hat Angular nicht verstanden). Sowas ist sehr hilfreich. Denn das Ideal ist gegen ein Framework zu arbeiten. Eines was alles kann. Total utopisch in HTML da man selbst für Tooltips sich gerne gedankenlos ein eigenes Plugin reinzieht. Willst du deine Anwendung auf mobile portieren muss das ganzen nochmal auf erster Ebene in einen Wrapper (Phonegap e.g) gepackt werden etc. Ich schreibe HTML seit 18 Jahren mitlerweile und habe CSS gerne damals aufgenommen (vorher war ja alles inline) und JS kam mir auch wie gerufen. Aber mit steigender komplexität vom Projekten wird es sehr unübersichtlich. Wer nicht Gulp/Bower/etc. mitlaufen lässt hat eigentlich keine chance mehr dependency collisions zu entgehen.

              Aus Nutzersicht eine Zumutung:
              Schau, hier ist wieder ein Punkt wie ich dir wunderschön in allem wiedersprechen kann. Flash ist Ecma. Google durchsucht seit Jahren problemlos SWF. Jeder kann SWF öffnen und decompilen wenn er mag. Es ist nicht das was WebAssembly vorhat und pre-compiled blobs auszuliefern.
              Du sagst dass auf schwachter hardware Flash vor HTML5 kapituliert. Dazu würde ich gerne auch nur eine einzige Quelle sehen. Jeder Benchmark, den ich in den letzten 8 Jahren von Flash auf mobilen Geräten sah (oftmals Partikel-Tests) ging zugunsten für Flash aus. Canvas ist z.B. nicht so leistungsstark wie du denkst. NAtürlich, wenn du nur text und forms hast, dann wird die seite schneller rendern als mit Flash (aber dann sage ich dir auch gibt es keinen Grund Flash zu nutzen, Text und Forms benötigen kein Flash, Animationen schon). Auch hier wieder: Ich glaube nicht dass du weiss wie die AVM arbeitet und mit welcher Performance. Dass Canvas nach 5 Jahren nicht dort ist wo Flash mit seiner stage vor 10 Jahren war verwundert mich halt garnicht. Canvas wird an performance zulegen, ohne frage, aber aktuell ist es doch eher einer Trauerspiel.
              „Copy&Paste“ schriebst du. Wieso ist das ein Punkt gegen Flash? Das ist doch wieder nur dass jemand schlechten Code schrieb und du das nun auf global beziehst. Wenn jemand den Input in ein Textfield zu verhunzt, dass das XMLHttpRequest zur autocompletion verbockt, sagst du dann auch das JS daran schuld sei? Siehst du gegen welche Wand man hier diskutieren muss? die Flash IDE hat seit über 16 Jahren einen eigenen Knopf für „Selektierbar“ bei Textfields.
              „Scrolling meint jeder selbst basteln zu müssen“ – einige meinen das, ja. Das kann man von haus aus aber auch einfach einschalten. Anderseits führten custom scrollings schon zu so schönen Ideen wie dem debouncing am seitenende oder dem pull-to-refresh. Davon mag man halten was man will, aber IMO sind das wundervolle UI Erfindungen die mit static scrolling halt nie möglich gewesen wären. Ich finde es gut wenn Leute selbst über sowas nochmal nachdenken. Dass einige es verbocken, ja mei, daran ist doch nicht die Sprache schuld (again).

              Deinen Abschliessenden Satz möchte ich einfach zitiert wissen, da er prädestiniert ist für eine Diskussion mit Menschen die über Flash sprechen ohne es jemals benutzt zu haben (was bei dir anscheinend der Fall ist wenn man meine wiederlegungen von oben liest)
              „Du wirkst eher wie jemand, der mit dem Wandel nicht umgehen kann. Statt dass du deine Vorteile siehst und die guten Argumente verwirbelst, vermischt du des mit Nostalgie und aggression und vielen Pseudoargumenten.“

              Wenn ich fragen würde, ob wir IPv4 wirklich komplett abschalten sollten, würde ich warscheinlich den gleichen satz bekommen, dass ich mit dem Wandel nicht umgehen kann. Wenn ich frage ob wir jemals eine Welt haben werden ohne Verbrennungsmotor würde ich das ebenfalls zu hören bekommen. Alleine es geht am Thema vorbei und ist ein letztes Mittel deinerseits meine Ausführungen zu diskreditieren. Du hast kein Argument gegen Flash geliefert (vor allem nicht im letzten absatz) und hingegen den Author persöhnlich angegriffen. Merke dir: Despektierlichkeit in Diskussionen war noch nie ein gutes Stilmittel um fehlende Punkte aufzuwiegen.

              • Das Flash für Animationen wie klassische Animationsfilme gut ist, geschenkt. Und das du lieber eine festes Framework hast, okay. Dann sag das auch bitte so. Bei JavaScript ist das ja alles bisschen primitiver, aber auch flexibel aufgebaut. Das erfordert dann wohl auch ein bisschen mehr „Gefrickel“. WebGL/OpenGL war eigentlich nur eine Nachfrage, aber cool, dass da was geht.

                Schade, dass du das du die UI-Kritik nicht aufgreifst. Sicherlich ebenso wie fehlendes Copy&Paste ein Ausreißer, aber bei Flash denkt man eben auch an irgendwelche Formulare, bei denen Sonderzeichen nicht richtig auf einer deutschen Tastatur eingeben werden können und auch sonst alles schlimm ist. Formulare, Videoplayer oder ganze Webseiten gehören für mich nicht in Flash gemacht. Wie gesagt, dein Animationszeugs vielleicht schon, aber selbst da sehe ich ein Problem bei der Wiedergabe mit dann doch einer relevanten Anzahl an Geräten ohne Flash.

                Ich glaube ich habe noch nie einen Inhalt in Flash gesehen, der so scrollt wie ein normales Element (z.B. Webseite) im OS. Ich finde Scroll-Hijacking schon mit JavaScript eine Zumutung. Ich will von der Bewegung am Scrollrad/Touchpad aus wissen können, wo ich lande und nicht das Gefühl haben, eine Rakete steuern zu müssen. Animationen, die von der Scrollposition abhängig sind, klappen auch so wunderbar. Bei Flash aber scheint Scrolling sich einfach immer abnormal zu verhalten.

                90% der Fälle, in denen Flash eingesetzt wird, lassen sich kein bisschen mit einem Partikel-Benchmark vergleichen. Nehmen wir doch mal die ZDF Mediathek. Eine irrsinnig langsame Vollbild-Flashapplikation mit komplizierten Scrolling (das Touchpad wird nur in Stufen erkannt). Spätestens wenn ich ein Video auch wiedergeben will, schießt ein Kern auf 100% Auslastung und entsprechend wirkt sich das auch auf die Energiebilanz aus. Da brauche ich kein Benchmark, um subjektiv Flash und objektiv diese Flash-App im speziellen, als Dreck zu bezeichnen. Ähnlich geht es mir mit anderen Videoseiten, die nicht wie das Erste oder YouTube Flash, wenn möglich, gleich ganz verzichten oder auf das mindeste (ein Layer für den Stream/Player) reduzieren wie bei der BR-Mediathek (yay, nur noch 75% CPU). Ich weiß nicht, wieso du da immer Benchmarks forderst. Bei YouTube ist durch das ganze HD-Zeugs die CPU-Last auch nicht so toll, aber zumindest Gerät aus welchen Gründe auch immer nicht alles ins Stocken. Vielleicht ist HTML5-Video einfach besser entkoppelt.

                Das Google jetzt Flash decompilieren und die Textstrings extrahieren kann und hoffen muss, dass diese thematisch überhaupt in der richtigen Reihenfolge im Code abgelegt sind, ist auch Wahrlich kein Vorzeigebeispiel.

                Adobe AIR wäre ja das, was vielleicht noch sinnvoll ist. Aber das wurde für Linux auch eingestellt und z.B. TweetDeck hat sich da auch lieber abgewandt. Mit einer reinen Text/Bilder/Video-UI ist man sicherlich mit HTML5/CSS/JS besser dran.

                Wie gesagt, Animationen schön und gut, aber das ist eben nicht, was der Nutzer als hauptsächlich bei Flash zu sehen bekommt.

    • Ich erweitere Deine Liste noch um die Nutzung der Flash-Technologie als UI-Entwicklungsumgebung und Anzeigeframework für moderne Game-Engines, wie Unreal oder CryEngine3.
      Das mache ich mittlerweile seit mehr als 2 Jahren nun und kann damit einerseits ne Menge Spass haben (und meiner Kreativität freien Lauf lassen) und auch gut Geld verdienen. (mache ich als Teil meiner Freelancer-Angebote)

      Hier kann die gesamte Bandbreite der kreativen Tools genutzt werden. Man schreibt leider noch AS2 (Javascript inklusive Functionscope usw lässt grüssen, zumindest in der CryEngine3-Implementation) aber wenn man sich drauf einlässt, und die Sprachfeatures von ECMA-Script annimmt und vor allem nutzt, kann man gut strukturierten und schlanken Code schreiben. Gleiches gilt ja auch für Javascript in der Web-Welt.
      Der fertige Flash-Film wird dann in ein eigenes Kontainerformat für Scaleform gewandelt und innerhalb der Engine kontrolliert, im Renderloop eingebettet, als Textur gerendert und kann auf jeder 3D-Fläche entsprechend genutzt werden. Die Performance stimmt. Du kommunizierst mit dem eingebetteten Flash-Film über Proxy-Calls und hast somit alles unter Kontrolle.

      • Dann widerspreche ich hier einfach mal: Ich hab auch AS3 Game UI entwickelt (Inhouse Framework), und kann im Vergleich zu Unreal Engine 4 Slate UI (C++ Subset) oder UMG (quasi Flash für Slate) nur sagen: pfui.
        Mit beidem habe ich über längere Zeit gearbeitet, und gerade was Fehlervermeidung, Intuitive Bedienung und allg. Usability angeht, sind sie Flash/AS3 um Lichtjahre voraus. Ich weiß, keine wirkliche Alternative für Webanwendungen, trotz mittlerweile gutem HTML5 Support. Dafür C++ und ziemlich schnell, mit aktuellen UI Design Pattern.
        Mal abgesehen davon, dass man oft auf spezielle Flash/AS Versionen angewiesen ist, und dann natürlich alte Lücken im Spiel liegen.

      • Same. Der Workflow UI in SWC to kompilieren und in eine DocumentClass einfach einzuhängen ist etwas was ich aus keinem anderen SDK so kenne.

    • ich hab as3 gecodet, 2-3 spiele gebaut

      das hautproblem was ich seh nachdem ich deinen kommentar gelesen hab ist dass es halt einfach so ein proprietärer adobe kram ist wo man irgendwie für zuviel geld ein absolut bloatetes und schlechtes IDE kaufen muss welches man nicht anständig customizen kann und so weiter

      nee danke, nie wieder :)

      und ja, du hast schon recht, man kann auch heute noch z.b. spiele in irgendwie adobe air bauen und dann ne exe rauskompilieren und verglichen mit anderen möglichkeiten (z.b. unity) ist es nicht signifikant schlechter, aber ich seh den sinn nicht wirklich weil webtechnologien einfach in vielen bereichen überlegen sind:
      – adobe hat nicht die hand drauf
      – andere browser runtimes auf die man ausweichen kann falls bugs
      – neu lernende können auch wirklich was damit anfangen anstatt dass die nacher dumm dastehen weil sie *nur* flash gelernt hane
      – man kann selber grafiklibraries schreiben oder bugs in bestehenden fixen
      – viele verschiedene interessante möglichkeiten irgendwie dinge zu rendern die alle z.b. in threejs drin und benutzbar sind

      • Hallo,

        Deinen Frust beim Programmieren in Flash kann ich verstehen – mich nervte das auch immer.
        (überholter) Tipp: zum programmieren benutzte ich FlashDevelop, tolle Oberfläche zum coden und kostenlos.

        Ich (Grafik-Designer & Programmierer) benutzt heute Flash auch noch als Animationstool, ist einfach und schnell. Leider hat Adobe den HTML5 exporter wieder verworfen.?. Es gab wohl mal ein Pluigin für Flash das auch rudimentär funktionierte. Wenn man sich mal den Aufbau von Flash anguckt, ist es ansich „einfach“ das auf HTML5 zu exportieren (SVG,…) – ich habe aber die Entwicklung nicht weiter verfolgt. Was mir als Designer fehlt ich ein gutes Animationstool für HTML5 was auch sauberen code auswirft – bei CSS3-Animationen muß man schon etwas mehr nachdenken als wenn man das per WYSIWYG macht (Zeit ist Geld und so…).

        Man sollte immer daran denken für wen Flash gebaut wurde: für Grafiker & Designer! Das hat „Daten-Dandy der Medialen Körperpflege“ super zusammengeschrieben, danke!

        Was ich mir wünsche, das sich die Kunden endlich auf aktuelle Browser umstellen – das ist momentan das größte Problem in der Wirtschaft. Denn mit aktuellen Browser könnte man schlankes HTML5/CSS machen – aber wenn die noch auf IE8/9 (oder im Kompatibilitätsmodus) rumkrepeln – gute Nacht.

        salü

      • ja, heutzutage kann ich auch nicht empfehlen Flash für Webanwendungen zu lernen. Allein als Animationstool ist es zu gebrauchen (hab in den letzten Jahrzehnten auch keine brauchbare Alternative gefunden)

    • Researchers use HTML5/JS API for attacks drive-by-download.
      http://www.developpez.com/actu/87808/Des-chercheurs-utilisent-HTML5-pour-mener-des-attaques-drive-by-download-grace-a-de-nouvelles-techniques-d-obscurcissement/

      (Quelle französisch)

      Moneyquote:
      For cons, the phases distribution and dice malicious code-obfuscation going on typical and well known models that are used by hackers. They were executed using HTML 5 based JavaScript API.

      Und:
      „The goal of researchers through their demonstration is to attract the attention of developers of malicious code detection systems on the need to adapt to deal with new threats fueled by Web technologies.“

      Hoffentlich sterben bald die Browser aufgrund der vielen Sicherheitslücken. Als könnte ich Markup Code nicht selber beim lesen parsen.

  2. Die Doku für keybase pull liest sich für mich anders:

    pull pull your public (& private, if possible) key(s) from
    the server

    Das updated also nicht alle Keys der User die man tracked. Ich habe leider keine Möglichkeit gefunden, wie das machbar ist. Bin dankbar für Tipps. Habe auch mal direkt bei Keybase nachgefragt: https://github.com/keybase/keybase-issues/issues/1679

    Ich habe außerdem noch Invites, falls jemand Interesse hat. Auf Twitter bei @funkenstrahlen melden.

  3. Zu Nerfguns muss ich dringend die Serie Halt and Catch Fire empfehlen. Sie spielt in der Computerindustrie der 80er und auch dort ist schon historisch korrekt ;) zu bewundern, wie Nerds sich mit Nerfguns abballern (Staffel 2). Gibt es übrigens zum Streamen bei einem grossen Versandhändler.

  4. Das Syncing von iBooks ist wirklich ein Drama, vor allem wenn man nur zum Vergleich mal die Kindle App benutzt und merkt wie es wirklich geht. Bei kindle hat mich das noch nie im Stich gelassen, wieso Apple das nicht hinbekommt ist mir auch ein absolutes Rätsel.

    Auf welchem Device man am besten Bücher liest frage ich mich auch vor jedem neuen Buch wieder. Fachliteratur möchte ich eigentlich lieber auf iBooks lesen weil das Quellcode nicht so kaputt formatiert, aber sobald die Sonne raus kommt kann man quasi draußen nicht mehr vernünftig mit dem iPad lesen, das geht mit dem kindle Paperwhite super und ist für Romane auch meine erste Wahl, aber sobald Quellcode im Spiel ist wird das Ergebnis fürchterlich.

    • Syncing bei Apple war immer schon ein Pain. Seit 15 Jahren. Aber alle sind ok damit. Ein Gerät anzustecken und einfach die Bücher, Bilder und Musik drauf zu schieben, wie es in klassischer manier jeder USB-Stick kann und eine technik ist, die sogar mein oppa beherschte, ja sowas gibt es nur ausserhalb von iOS (Android, etc). Ein Buch, MP3 oder Photo auf ein iphone zu bekommen… das kann mein oppa nicht. Aber ich schätze daran ist mein oppa schuld, denn Apple macht es einmal ja immer nur leicht und legt einem niemals usibility stämme in den weg um eigene wirtschaftsinteressen zu schützen. Ich bin froh dass Android keine Musik verkauft und es daher dort kein Ding ist.

  5. Voyager vs New Horizons:

    „Even though it was launched far faster than any outward probe before it, New Horizons will never overtake either Voyager 1 or Voyager 2 as the most distant human-made object from Earth. Close flybys of Saturn and Titan gave Voyager 1 an advantage with their gravity assist. When New Horizons reaches the distance of 100 AU, it will be travelling at about 13 km/s (29,000 mph), around 4 km/s (8,900 mph) slower than Voyager 1 at that distance.“

    https://en.wikipedia.org/wiki/New_Horizons
    http://pluto.jhuapl.edu/news_center/news/081706.php

  6. Meines Wissens nach müsste es btw. auch möglich sein, dass man mit einem Zertifikat mehrere Domains betreibt.

    Das Stichwort lautet hier subjectAltName.

  7. epubs in iBooks: Ich schmeiss die alle in Dropbox oder Google Drive.

    Das Sharing zu iBooks funktioniert mit ALLEN meinen epubs problemlos (in der iOS 9 Beta hakt das, aber in den Stable Versions funktioniert das bei mir seit Jahren).

  8. —–BEGIN PGP SIGNED MESSAGE—–
    Hash: SHA512

    Zu PGP:
    Bei den GPG Tools geht es nicht mehr als 4096 Bit-Schlüssel zu erzeugen. Gibt man andere als die vorgegebenen Zahlen an, ändert die Software es automatisch auf 4096 Bit. 4096 Bit sind für normale Rechner kein Problem zu erzeugen; bzw. zu lesen. Ein altes weißes MacBook hatte mit 4096 Bit allerdings große Probleme und hat mehrere Minuten zum Erzeugen eines Keys gebraucht. Die Verschlüsselung der Mails selbst ging dann aber relativ fix mit diesem alten Teil von Statten.

    Abgelaufenen Schlüssel kann man einfach verlängern. Dazu einfach im Keychain auf den eigenen Key gehen und ⌘I drücken. Dann kann man das Ablaufdatum ändern.

    SubKeys braucht man in der Regel nicht, Benutzer ID reichen dafür und werden auf den Keyservern gefunden.
    Man kann natürlich seine Key ID jederzeit auf allen Plattformen teilen, man kann also z. B. in der Twitter-Beschreibung die ID eintragen, genau so bei Facebook und auf Websites. Wer will kann die IDs und / oder Fingerprints ja vergleichen. So kann man schon jetzt die Aussagekraft seiner Social Media Accounts nutzen.
    —–BEGIN PGP SIGNATURE—–

    iQIcBAEBCgAGBQJVp/LTAAoJEETvkUlpZY41J50P/1ShGwUD9uAUTbcwZLea0JdJ
    nL5/qeB/ehwUmw/a9asqJzlvv7LGCPIwkFzp3bNFL2m6w09osjY6GmwlXS26mioy
    YCdd2OscCuf2bkG5+ILVnIqslwgS7wOOSacame4C9Pf/K7h7T2V+dJMvtP7LMvBi
    Xw6gZYHER4jqVWdD2OOJ14xu/NethIm5PfpBAwaGBDoMZSzj12LFhGiOfW2NEqV/
    9nOUOmeKMXSC12QWmgP4ZxKoQoB857jKK+KC26h7IaGc0/QioL00+Tdk/dYRvhH5
    8E8N0vFM7DWnrfRFlzE8ayCpfM/fS/4JsK4kIux+3Ko9LUgNCwd4KbeQm4cibYWJ
    j89Uh0TfnB6n683jm4gaEWL9zwfaHW7xb2bulgMED/tISlYwWP/z58+jn5qurR7G
    cRjezByFv7y27gHOqOk53++esplTnwyfahBsa27iz5lEmKsU18NN0nvovir73Ltf
    RiLrLr0+n+gFKfFygP4l85yDp5NeK6eMQmFxwDLf4/g/nBTdOID4gyMrsgoRf9Qx
    /B6Boawa9irAAQDv1zMbFCVwMT65PBUpWDNTFBQtgCYBAui/1xhcD5dW9PXfHcDw
    0V0zKAql5lRJYkAo837dlIUoaeNLO/kHA9cck7udCS0BpxFd6jELze9xTl9mUmDP
    pUqn1tRXnNZ2Azbk6lMS
    =phW2
    —–END PGP SIGNATURE—–

    • Ich glaube du hast das Konzept von Subkeys nicht ganz verstanden. Ein Subkey ist nicht dafür da verschiedene Identitäten zu unterscheiden, sondern wird dazu verwendet verschiedene Devices zu trennen. Also wenn man n Geräte (Desktop, Laptop, Smartfon, …) hat kann man für jedes gerät einen Subkey erzeugen. Dadurch mus man nicht den Ganzen Key revoken wenn eins der Geräte weg kommt oder als nichtmehr sicher anzusehen ist.
      Wenn man sich seine PGP-Keys mal genau anschaut wird man feststellen das schon der Encryption-Key nen Subkey ist.
      Mehrere Subkeys werden werden im Monet nur zum Signieren verwendet. Zum Verschlüsseln kann man sie auch benutzen. Daraus folgt aber auch, dass die Nachricht nur da gelesen werden kann wo der ensprechende Subkey auch vorhanden ist. Für welche Subkeys verschlüsselt wird ist dabei die Entscheidung des Senders. Bisher habe ich noch keine Dokumentation gefunden die beschreibt welcher Client das wie macht, am besten wäre es warscheinlich die Nachricht für jeden Subkey zu verschlüsseln.

      Philipp

  9. Ich hab gerade den TLS-Teil gehört … vielleicht sollte Tim sich darüber nochmal mit Clemens unterhalten. Teilweise war das hanebüchener Blödsinn, was er erzählt hat. Z.B. ist der Sinn von SNI, dass man NICHT alle Domains in einem Zertifikat haben muss, sondern für jede Domain ein anderes Zertifikat (und damit private key!) benutzen kann. WENN man ein Zertifikat hat, in dem alle Domains drin stehen, dann braucht man eben KEIN SNI. Diese Zertifikate sind von Trusted CAs schwerer zu bekommen oder teuer (oder beides), aber mit Let’s Encrypt ändert sich das hoffentlich.

    RC4 (dazu kamen auch fragwürdige Aussagen, von wegen „Zertifikat mit RC4“ – hä?) braucht man für Java 1.6 auch nicht, da wird z.B. auch TLS_DHE_RSA_WITH_AES_128_CBC_SHA unterstützt.

    Also: Bitte in der nächsten Folge noch einmal mit Clemens darüber reden …

  10. Frage an Tim:

    In einem Nebensatz hast du ja mal Go erwähnt, zu der Sprache gibt es ja die verschiedensten positive wie negativen Meinungen. Mich würde mal interessieren, wie „my favorite Fakeprogrammierer“™ Go einschätzt.

    Ansonsten super Sendung, selbst zu dritt war’s wieder mal ein großes Vergnügen :D

    • Wichtig bei der Betrachtung ist immer, ob und wie die Sprache Tims Lieblingsbeispielfunktion „makeSex()“ abbildet. Ist in LISP z.B. prinzipiell möglich. :D

  11. Tim, bei dem SSL Thema bringst du einiges durcheinander. Du vermischt da Zertifikatseigenschaften mit Webserverkonfiguration.
    Z.b:
    Es gibt nicht nur SNI sondern auch SNA (subject alternative namens wenn ich mich nicht irre) bei SNI hast du mehrere Zertifikate und der Webserver schickt dem Client das passende. Bei einem Zertifikat mit SAN kannst du *ein* Zertifikat haben dass für alle deine Domains gilt. Kostet dann halt mehr. Sollte auch mit Java 6 funktionieren.

    RC4 hat auch nichts mit dem Zertifikat zu tun. Das ist reine Webserver Konfiguration.
    Wenn du möchtest kann ich das später nochmal genauer aufschreiben.

  12. Zu https-Podcasts: Wir hatten die Problematik im Resonator-Podcast auch. Wir mussten dann wegen der Unverträglichkeit vieler Android-Clients mit dem SNI-Mechanismus auf einen dedizierten Server umziehen. Ich habe das im Gespräch mit Stefan im Mai mal hier dargestellt: https://podcast.funkenstrahlen.de/2015/05/28/fs065-https-fuer-podcasts/ Die einzige Lösung, die ich aus der von Tim erklärten Problematik, für den Resonator gesehen habe, ist weiterhin beides ohne Weiterleitungen anzubieten: http und https. Und bei iTunes muss man halt http eingereicht haben. Auch nicht schön die Doppelung (wie Tim es ja auch dargestellt hat), aber eben zur Zeit nicht anders zu machen. Wichtig ist halt auch, dass man für den Downloadserver dann in jedem Fall auch ein SSL-Zertifikat benötigt, wenn die Mediendateien auf einem anderen Server liegen. Sonst meckern die Clients, wenn man von https auf http weitergeleitet wird.

  13. *Klugscheißmodus an*

    In der Sendung klang es so als würde SNI ermöglichen, dass man mehrere Namen im Zertifikat hat. Das kann aber SSL schon viel länger mit SNA (Subject Alternative Name). SNI sorgt tatsächlich dafür, dass man verschiedene Zertifikate auf der gleichen IP anbieten kann.

    Das Metaebene-Problem lässt sich in der Theorie auch lösen, wenn du dir von lets’encrypt ein Zertifikat mit allen Domains als SNA erstellen lässt. Ob Java 6 das kann habe ich allerdings mit einer kleinen Recherche nicht raus gefunden (und zum Glück hab ich auch kein Java 6 installiert).

    Auf jeden Fall werden Zertifikate mit SNA durch lets’encrypt wieder besser managebar, und die haben auch ein Ticket um einfach immer beides zu konfigurieren (https://github.com/letsencrypt/letsencrypt/issues/369)

    *Klugscheißmodus aus*

    Super Sendung und das ganz ohne dazwischen Quatschen ;)

    • Tim hat tatsächlich SNI und SNA durcheinander gebracht.

      Zumindest OpenJDK 6 b35 versteht laut Quelltext SANs. Tim sollte sich daher ein Zertifikat mit mehreren SANs ausstellen lassen können.

  14. Wenn sie sehr gut gefüllt sind, haben sowohl outline als auch mind map die fraktale Dimension 1.5, und bei gleichem Inhalt sind sie kongruent im Sinne der Metrik und Graphentheorie. Ubd mathematisch gesehen fürchterlich langweilig -.-

    Die geometrische Form als Teil der Darstellung im UI ist tatsächlich das einzig Interessante an beiden – DIESES Problem, also das ganze UI von Lesen über Bearbeiten bis zur Kollaboration ist tatsächlich fürchterlich schwierig :)

    • Oh, das mit der Reihenfolge ist natürlich doch ein gravierender Unterschied :)

      Graphentheoretisch und metrisch ist der Unterschied natürlich egal, aber vom UI klingts spannend…

      Ich werd einmal probieren, ob sich eins von beiden neben den fetten Tools sinnvoll in der Software-Entwicklung eibsetzen lässt – hat da wer Erfahrungen? :)

  15. Einfach noch, weil es in der Diskussion um HTTPS so oft kam und niemand was gesagt hat: was für Cipher der Server anbietet und ob da RC4 dabei ist hat mit dem Zertifikat nichts zu tun. Das ist die lokale TLS Konfiguration und die dort erlaubten Cipher.
    Das Zertifikat ‚beweist‘ ja nur nachvollziehbar, dass Du du bist.

  16. Hallo FreakShow-Team,
    war ja mal wieder ’ne tolle Sendung.
    Obwohl ich als Windoof-User von den speziellen Mac-Problemchen
    recht wenig verstehe.

    Leider sind die Shownotes nicht mehr so logbuchartig wie früher.
    Noch nicht einmal eure Links aus dem Chat; deshalb ohne Gewähr für Vollständigkeit
    als Kommentar (meine Selektoren: >metaebeneroddidenisx[20:26] http://www.amazon.de/gp/product/B006HDV062/ref=ox_sc_sfl_title_1?ie=UTF8&psc=1&smid=A3JWKAKR8XB7XF
    >[20:27] http://www.amazon.co.uk/Scotch-Brite-480CH-Washing-Up-Scrubber-Replaceable/dp/B006HDV062
    >[20:29] http://www.amazon.com/Hape-Sand-Sun-Grabber-Green/dp/B0078FBMEI/ref=sr_1_3?ie=UTF8&qid=1436984825&sr=8-3&keywords=sand+grabber
    >[20:50] https://de.wikipedia.org/wiki/Pluto#/media/File:Pluto_by_LORRI_and_Ralph,_13_July_2015.jpg
    >[20:54] http://www.abc.net.au/news/2015-07-15/pluto-planet-dog-before-after/6620914
    >[22:27] https://www.cryptocoinsnews.com/checklocktimeverify-means-bitcoin-escrow-refunds-fork/
    >[22:46] https://help.riseup.net/en/security/message-security/openpgp/best-practices
    >[23:32] https://www.google.com/intl/en/ipv6/statistics.html
    >[23:54] mein lieblingsflashgame: http://old.casualcollective.com/#games/Desktop_TD_Pro

    Okay, dann noch viel Spass aufm Camp

  17. Welche Seite meinte Denis als er sagte man könnte die Abhängigkeiten bzw. Verhältnisse zwischen PGP-keys sehen, wenn man einen dort eingibt?

  18. zu GPG Keys:

    In den ersten Minuten zu diesem Thema musste ich bei Tims Worten und seiner Betonung irgendwie an die Sendung mit der Maus denken :-)
    Allerdings hat man an der Diskussion und den Fragestellungen von Tim wieder gesehen, dass das alles für Normalsterbliche niemlas durchschaubar ist. Daher wird sich Verschlüsselung bzw. Signierung in dieser Form leider nicht großflächig durchsetzen :-(

  19. zu iPod Touch

    Aus meiner Sicht hat der iPod Touch immer noch seine Daseinsberchtigung gerade als ziemlich günstiger Einstieg in die Apple Welt. Gerade mit der Einführung von Apple Music und die Unterstützung von Metal sind zwei weitere Punkte hinzugekommen, die für den iPod Touch sprechen. Und auch für Kinder in meinen Augen eine sinnvolle Option.

  20. Wir haben als Kinder mit Steinschleudern im Wald gespielt, tat aber doch oft sehr weh. Wie sieht es mit Augenverletzungen bei NERF aus? Tragt ihr Schutzbrille? Sind ja doch eher klein diese Darts.

  21. Also zu TLS/SSL:

    Die Verwechslung SNI/SAN ist klar. SNI verwendet man ja gerade eben, weil man aus Gründen (Kosten oder Verwaltung) nicht alle Domains in ein Zertifikat packen will. Ebenso, dass bei ein Cert die gehashten Daten asymmetrisch verschlüsselt und somit die symmetrische Cipher RC4 nichts damit zu tun hat.

    Was immer bei dem ganzen SSL-Benchmarking vergessen wird: Die verwendeten Cipher handeln Client und Server gemeinsam aus. Beide geben eine nach Präferenz sortierte Liste an Ciphers vor, die sie gewillt sind, zu benutzen. Also selbst bei einem sehr großzügigen Server kann mit einem modernen Client eine sehr sichere Verbindung eingehen. Vorausgesetzt der Server kann auch moderne Ciphers und verbietet SSL 3.0. Erst ab dem Nachfolger TLS 1.0 wird diese Cipher-Aushandlung im Nachhinein nochmal verifiziert und verhindert hier Man-in-the-Middle und Downgrades auf angreifbare Cipher. Ein Beispiel für Downgrade-Attacken ist auch WP: POODLE. Hier gibt es aber oft fixes, die zumindest bei modernem Client und Server helfen.

    Man kann natürlich auch den Client bevormunden und explizit unsichere Cipher verbieten. Das macht bestimmt auch Sinn, wenn man ein Mindeststandard an Datensicherheit erzwingen will. Bei einem Podcast-CDN, naja. Ich sehe hier TLS eher als nice-to-have. Und wieso kein HTTP? Weil ein Upgrade von HTTP auf HTTPS Benutzerinteraktion erfordert, während bei TLS das der Client schön im Hintergrund macht. Und TLS 1.0 kann sogar Java 6 (siehe Qualys SSL Labs – User Agent Capabilities: Java 6u45). Ich schätze das Problem beim iTunes Podcast Directory ist vor allem der fehlende SNI-Support in Java 6 oder etwas arg moderne Cipher-Listen.

    Ein schöner Artikel ist auch Server Side TLS im Mozilla-Wiki, wo die aktuell empfohlenen und von Mozilla verwendeten und reviewten Ciphers aufgelistet werden.

  22. Bin gerade auf den ARD Livestream der Tour de France gestoßen und da gibt’s einen Co-Kommentator -Uwe Peschel-, der klingt wirklich exakt wie Denis. Tempo, Sprachmelodie, Dialekt. Das ist äußerst amüsant. Ich erwarte jeden Moment den Themenwechsel vom Berg zum Bitcoin..

  23. Ich habe auch dict.cc in der Dictionary.app, aber manchmal braucht der Dreifingertipp ewig bis das Wörterbuch geladen ist. Da beachballed er gerne mal ne halbe Minute bei SSD und aktuellem OS und akzeptabler Hardware. Bei dir auch so, Tim?

    Auch und manchmal akzeptiert er eine vorher angelegte Markierung über z.B. ein Wortpaar (z.B. school bus) oder Wortteil, manchmal nicht.

    Der ganze Wörterbuch-Markt ist aber gefühlt mittlerweile deutlich schlimmer als Kalender. Bei dict.cc fallen wenigstens Daten raus, aber die GPL-Lizenz wurde da auch wieder entzogen und man darf es höchstens Privat verwenden. Und das obwohl hauptsächlich durch die Community gebaut. Bei dict.leo.org gibt es gar keine Offline-Daten und Wiktionary ist mit seinen Artikeln auch kein klassisches Wörterbuch, kann dafür aber konjugieren. Integriert ist aber fast gar nix.

  24. Zu zwei Themen:
    1. Nerf – wir nutzen das im Büro – und ich kann nur sagen: die Dinger tun verdammt weh, wenn man mit den „manuellen“ Waffen schiesst. Haben dann natürlich keine Schutzbrillen – aber sollte irgendwann mal ein Unfallbereicht erstellt werden müssen, wegen eines NERF Krieges…oha. Dann gute Nacht ;) Wir haben schon Waffen getuned mit härteren Federn ;) – danach kommen nur noch Softair – Waffen. Aber Nerfs sind sicherlich nicht so „gefährlich“ wie Steinschleudern.

    2. Mindmapping – ich nutze nur noch FREEMIND – da ich kein MAC user bin und das sowohl unter Windows als auch Linux nutzen kann. Warum? weil, dass mein Tool ist um ganz frühe Softwareideen festzuhalten. Hat vor allem den Vorteil, dass ich gruppieren und priorisieren kann. Mehr geht aber auch schon kaum mehr. Selbst in der ersten Spezifikationsphase einer Software nutze ich es – dann aber nur als „Unterstützungs“tool für die schon vorhandenen Spezifikationsdokumente. Geht halt schnell – man nutzt kein Papier. Hat aber natürlich den Nachteil, dass es nur Minmapping User nutzen können. Die Exportfunktionen sind relativ gut. Ich sag mal so – für Teams >5 würde ich es nicht mehr nutzen. Aber für Entwicklergruppen bis 3-5 Coder ist es nett. So wie Roddi es schon ganz gut erklärt hat. In allen größeren Projektverzeichnissen liegt somit auch fast immer eine MM.
    Bei XMind hatte ich immer den Effekt, dass total viel Systemressourcen eingenommen wurden. Das war aber mein Eindruck vor drei Jahren. Mag mitlerweile besser geworden sein.

  25. Also bei mir ist das Synching in iBooks kein Problem. Selbst bei Büchern aus anderen Quellen werden die Lesestände ohne Probleme zwischen Mac, iPad und iPhone synchronisiert. Bei Konflikten (sehr selten) gibt es Dialoge, die mich fragen, wo es weitergehen soll.

    Oder war das Problem ein anderes Synchingproblem?

    • Ich hab seit über einem Jahr (vorher hab ich iBooks nie benutzt) das Problem, daß ich für das einzige Buch (embeddedXcode) im iBooks-Format keine Updates von dem Buch bekommen kann. Erst wenn alle Programmdaten wegferfe kann ich die aktuelle Version laden. Alleine die Vorstellung, daß ich noch mehr von solchen Büchern habe…

      Die vom Apple-Support konnten mir da auch nicht helfen. Das ist wieder ein wunderbares Beispiel dafür, daß man sich nicht an einen Hersteller bzw. eine Software binden will.

  26. Wahrscheinlich habe ich die letzten 2 Jahre wirklich hinter dem Mond gelebt und das hier ist wirklich kein Trollversuch.

    Worin besteht der Sinn von HTTPS für einen Podcast? Vielleicht bin ich nicht „freakig“ genug, aber so richtig verstehe ich es nicht.

    • Warum man immer HTTPS verwenden will ist tatsächlich gar nicht nicht so einfach und eindeutig zu beantworten. Natürlich ist es auch immer ein technisches Können und Nerdtum. SSL hat sowohl seine Nachteile in der Zertifikat-Infrastuktur, wo Zertifizierungsstellen immer mal wieder gehackt oder unseriös sind. Dann ist da natürlich noch die Kompatibilität und evtl. Kosten. Auch die Geschwindigkeit kann unter SSL leiden oder aber durch Komprimierung und offenhalten der Verbindung sich verbessern.

      Aber es bringt auch Vorteile, auch wenn der Inhalt von Content wie Podcasts weder geheim ist noch Passwörter übertragen werden.

      – SSL wird in der breiten Masse getestet. Außerdem erzeugt es ein gewisses Grundrauschen. Wenn eine verschlüsselte Verbindung nicht zu Google oder deiner Bank geht, ist das nicht per-se verdächtig und die NSA hat viel zu tun, weil sie einfach ganz viel potentiell interessantes zu entschlüsseln hat.
      – Integrität: Du weißt, dass der Inhalt bei der Übertragung nicht verändert wurde. Das kann auch praktische Vorteile haben, kein Zwangsproxy, der dir die Bilder oder JavaScript kaputt komprimiert, keine Werbung vom Hotspotbetreiber, keine versteckten Änderungen durch deinen ISP. Und nochmal ein Layer, dass Übertragungsfehler erkennt.
      – Authentizität: Spielt mit Integrität stark zusammen, du weißt eben von wem der Inhalt kommt. Und du erkennst, wenn sich irgendwas in dein Netzwerk einmischen will.
      – Geschwindigkeit: Komprimierung, eine Verbindung für alle Requests, … sieht man ja auch alles an SPDY/HTTP2 Bei Podcast-Dateien ist das natürlich weniger sinnvoll, beim Feed könnte es etwas bringen, hier wäre aber Caching vorrangig.

      Beim Thema Grundrauschen ist ein Podcast CDN aber denkbar langweilig. Denn aus technischen Gründen sieht man trotzdem noch immer zu welcher IP und Hostname/Domain man sich verbindet. Was dann wiederum bedeutet, dass man sich da sehr wohl sieht, welche Seite man abruft (in dem Fall Freakshow), aber nicht was. Bzw. lässt sich durch die Dateigrößen der Podcasts sicherlich auch darauf Rückschlüsse ziehen. Bei einer Seite mit unterschiedlich spannendem Inhalt, z.B. Wikipedia, könnte man nicht sehen, ob du die Bombenbauanleitung, die Kamasutra-Liste oder in der Botanikabteilung liest.

      Deine Frage ist also gar nicht so dämlich und auch bei der IETF gab es zu HTTP2 längere Diskussionen und letztendlich ist Verschlüsselung dort doch nicht verpflichtend, aber kaum ein Client/Browser kann mit fehlender Verschlüsselung umgehen. (WP)

      Argumente gerne ergänzen. :)

      • Der Grund „Integrität“ ist mir in der Tat der Wichtige. Ich habe schon zu oft gesehen, wie der Inhalt meiner Website durch Provider und andere Männer in der Mitte modifiziert wurde. Da möchte ich nicht warten, bis das beim Zugriff auf Audio in der Regel ist.

        Und ich denke es ist auch mehr als legitim wenn man damit hilft das konkrete Tracking von Download-Zugriffen mindestens zu erschweren.

        Die Frage ist für meinen Geschmack auch falsch gestellt. Nicht der Sinn von HTTPS muss hinterfragt werden, sondern der von HTTP.

        Ein ideales Netz ist vollverschlüsselt. Das ganze Netz muss schlicht grundverschlüsselt sein. Da sind wir noch lange nicht, aber der Weg dahin muss aktiv mit beschritten werden.

        • @Tim

          Integrität ist genau der Fakt, auf den ich nicht so einfach gekommen wäre. Nach deiner Aussage im Podcast, war ich mir eben nicht sicher, was genau gemeint war. Auch wenn ich nicht unterm Stein lebe. Mit dem Wissen hätte ich vielleicht auch die Frage anders gestellt ;)

          Deshalb vielen Dank für die Erläuterung an euch beide. In meinem beruflichen Alltag sieht man eher die Probleme, die beim Einsatz von SSL entstehen. Wahrscheinlich höchste Zeit, hier umzudenken. Jetzt habe ich ja Argumente.

  27. Zum Thema SSL/TLS in der englischen Uni:
    – Das war sicher ein transparenter Proxy mit SSL/TSL decrypt. In vielen Firmen mittlerweile Standard. Soll z.B. den Virenscan in https Downloads ermöglichen und/oder „Command-and-Control“ Kommunikation auffindbar machen und vieles mehr ( https://www.bluecoat.com/products/ssl-decryption-visibility-and-management ). Kann man finden wie man will. Das Zertifikat wird den internen Clients dann über GPO oder ähnliches aufgedrückt, die merken den Bruch dann gar nicht.
    Was eher verwundet ist, dass Tim als Gast in dieses Netzt kommt. Wer so einen Aufwand treibt hat eigentlich auch ein extra Gäste Netzt.

    Zum Thema BitCode/ByteCode der Apps:
    – Ich bin thematisch zu weit von Compilern und vom kompilieren entfernt, als das ich wirklich Ahnung davon hätte. Ich habe aber vor kurzem nen Podcast gehört in dem es um die zukünftige Optimierung von Smartphone Prozessoren ging. Vielleicht schließt sich hier der Kreis? -> http://www.deutschlandfunk.de/smartphone-technik-lernen-fuer-mehr-leistung.684.de.html?dram:article_id=324523

    • Ist halt trotzdem daneben, erst Recht wenn da auch Gäste und/oder eigene Clients sind oder Mitarbeiter privat nutzen dürfen.

      Aber GB scheint eh ein sehr komisches Verhältnis zu Sicherheit und Datenschutz zu haben, wenn man ohne Ausweisdatenbank nicht mehr in den Club kommt: http://www.br.de/radio/bayern2/sendungen/zuendfunk/politik-gesellschaft/club-scan-england-100.html Und ich war da mal auf einer Uni, wo abseits von :80 und :443 nichts ging (z:B. kein SSH) und man froh sein konnte, das meine Heimatuni über AnyConnect auf Port :443 ein ungefiltertes Netz bietet.

      • Na ja, wenn man in Firmen privat surfen darf unterschreibt man für gewöhnlich auch eine entsprechende Vereinbarung oder Regelung. Da steht dann (mehr oder weniger deutlich) drin was mit den Daten alles passiert oder passieren kann.

      • Ja klar, will das ja auch nicht verteidigen sondern nur erwähnen, dass ein aufbrechen von SLL/TLS in Firmennetzen mittlerweile gängige Praxis ist.
        Dass dort (in der Uni) nicht alle SSL Verbindungen aufgebrochen werden ist in der Tat ungewöhnlich.

  28. Thema Mindmap :
    Mindmaps habe ich bisher nicht als Brainstorming Tool kennengelernt. Im eigentlichen wurde mir diese Technik als effiziente Möglichkeit der Mitschrift näher gebracht. Einfaches Beispiel: Man schaut sich eine Dokumentation an, ohne im Thema zu sein. Währendessen zeichnet man seine Mindmap. Durch die Bilder (es gibt ja deutlich mehr Symbole als nur Wolken) und die ergänzenden Wörter bildet das Gehirn ein Zusammenhang zwischen dem gesehen und den Notizen. Wenn man die Map nun weg packt und sie nach Wochen wieder hervorholt, ist man aus dem Stand in der Lage einen Vortrag/Referat zum Thema der gesehen Doku zu halten. Klingt ein wenig komisch, funktioniert aber….
    Ansonsten wie immer eine schicke Sendung….

  29. Hallo zum Backup:

    dd sollte doch immer funktionieren, also auch mit Berechtigungen. Ich mache dd mit gzip auf ein NAS und kann dann zur Not das Abbild entweder auf ne neue Platte zurückschreiben oder eben mounten.

    Wie sieht es denn mit rsync aus? Das kann doch auch Berechtigungen. Geht das von OSX nach Backup (bei 10.9 funktioniert es, mache damit stündlich Backups aufs NAS, cron)? Und wenn nicht, kann man mit einem Linux und rsync eine OSX-Installation backuppen (mit Berechtgungen)?

  30. Apropos dd: ich benutze zur Zeit dc3dd, weil es um einiges schneller ist und auch den Fortschritt anzeigt. Mich macht nur stutzig, das das so wenige zu nutzen scheinen. Gibt es darüber etwas, was man wissen sollte? :-)

  31. Mindmap

    also ich habe mal gelernt, dass ich eine Mindmap nutzen kann um meine beiden Gehirnhälften besser zu vernetzen und damit auszunutzen. Wenn ich anfange Kreise und Linien und was weiß ich noch zu zeichnen und gleichzeitig strukturiert Text aufzuschreiben aktiviere ich meine rechte Gehirnhälfte zusätzlich zur linken. Was soll das bringen? Kreative andere vielleicht neue Ideen zu einem Thema.

    Wenn ich das bedenke, ist also ein Computerprogramm was mir eine Mindmap zeichnet total am Thema vorbei. Das muss ich selber mit Bleistift und oder Buntstift machen.

  32. Danke! dc3dd kannte ich noch nicht, sieht gut aus!

    Ja wieso wird dd so selten benutzt? Keine Ahnung, ich finde es super, vor allem um Platten oder Partitionsabbilder zu schreiben.
    Auch der Fall von Tim wird damit abgedeckt, er will ja eine Notfallplatte von der er gleich booten kann. Dazu ab und an Notfallplatte an Rechner, mit dd clonen und Notfallplatte wieder in den Schrank.

    dd arbeitet auch prima mit pipe zusammen und lässt sich so zusammen mit gzip schön verwenden.

    • Nee, ich meinze, warum dc3dd gegenüber dd so wenig Verbreitung hat. Das hatte mich nir stutzig gemacht. Nach ein paar mal benutzen macht es einen besseren Eindruck. Nun such ich den Haken. :)

  33. Hier noch ein paar Infos zu IPv6 im Mobilfunknetz der Telekom:

    – IPv6 ist heute schon aktiv, allerdings nicht überall
    – Bis August soll IPv6 deutschlandweit aktiviert sein
    – Für IPv6 muss in den APN-Einstellungen des Mobiltelefons von IPv4 auf IPv4/v6 (DualStack) umgestellt werden.
    – Bei Android soll das von jedem per APN-Menü sofort umgestellt werden können
    – Beim iPhone geht das nur über das Netzbetreiberprofil (signiert)
    – Im Profil „Telekom 20.2“ ist IPv6 derzeit noch deaktiviert. Hier der Auszug:

    Enable IPv6

    Dual APN

    – Jeder Kunde erhält (leider nur) ein /64-Netz.
    – Um Tethering trotzdem ordentlich zu ermöglichen, wird ausnahmsweise statt Prefix-Delegation, das /64-Netz an die getetherten Rechner weiter gegeben (64share)
    – Das gesamte /64-Netz wird von der Telekom wohl gefirewalled, d.h. eingehende Verbindungen sind so nicht möglich.
    – Die Telekom verwendet im Gegensatz zu vielen US-Netzen DualStack (allerdings weiterhin mit CGNAT-IPv4-Adresse)
    – In den USA wird wohl z.B. von T-Mobile US IPv6-only genutzt.
    – In Zukunft soll wegen IPv4-Adressmangels natürlich ebenfalls auf IPv6-only umgestellt werden
    – Dazu soll DNS64/NAT64 zum Einsatz kommen
    – Apps, die kein NAT64/DNS64 können, weil sie z.B. low-level auf einen IPv4-Socket zugreifen, sollen per 464XLAT ins Internet gelangen
    – Dazu muss auf dem Smartphone ein „Daemon“, der so genannte CLAT laufen, der den gesamten IPv4-Traffic abfängt und in ein IPv6-Paket für NAT64 einpackt.
    – Apple möchte die Nutzung von 464XLAT und somit einem CLAT-„Daemon“ mit den neuen iOS9/AppStore-Regeln entgegenwirken. (Gute Idee!)
    – Dazu muss ab Herbst jede App DNS64/NAT64-kompatibel sein.

    Quellen:
    ftp://ftp.ix.de/pub/konferenzen/ipv6-2014/Freitag_23052014/Basics/Metschulat_Bertram_DT_IPv6@Heise_2014-05-02.ppt
    https://developer.apple.com/videos/wwdc/2015/?id=719

    • Die XML-Tags vom Netzbetreiberprofil sind leider verschütt gegangen. Hier die Inhalt ohne XML-Tags:

      Enable IPv6: false
      Dual APN: true

  34. Ich hab mir Samstag abend nun doch „The Martian“ gekauft (wurde ja schon öfter angepriesen), Sonntag nachmittag angefangen… der Sonntag wurde länger… Montag abend den Rest und durch (also vielleicht 12h Lesezeit) – sehr geniales Buch. Hoffentlich wird der Film nicht verkackt.
    Gravity und Interstellar sind nicht wirklich Perlen….

  35. Tim, der größte Mond des Pluto heißt Charon (mit K und Betonung auf der ersten Silbe). Scharon war mal der israelische Ministerpräsident. ;-)

  36. Zum Thema Streaming: YouTube verwendet DASH wohl schon seit Jahren und Chrome kann das wohl auch auf der Client Seite. Ansonsten kann man auch den Support in JavaScript implementieren, wohl alles nicht so schwer. Wenn man youtube-dl verwendet, sieht man auch, dass mittlerweile Videos in mkv-Dateien zusammengebaut werden, weil eben Video und Ton getrennt abgespeichert sind und youtube-dl da die jeweils besten Optionen zusammenbaut.

  37. Zum Thema DRM-freie Epubs lesen und synchronisieren ist überraschenderweise Google Play Books gut, denn dort kann man seine eigenen Epubs hochladen und in iOS und Android Apps lesen und dabei wird der Lesefortschritt synchronisiert.

  38. Zu Mindmaps und Outlinern kurz:
    Nach meinem Verständnis kann man mit Outlinern „nur“ many-to-one-Beziehungen darstellen. Mehrere Unterpunkte gehören zu einem Überpunkt. Natürlich durchaus kaskadiert (eben als Baum), aber eben gerichtet. Mit einer Mindmap kann man many-to-many-Beziehungen darstellen, gegenseitige und kreuz-Abhängigkeiten und auch Dinge wie Prozesse lassen sich damit eher entwickeln. Es gibt nicht nowendigerweise eine Wurzel, sondern eher Zusammenhänge, so flach oder so verschachtelt, wie nötig.
    Wie immer halt: verschiedene Jobs, verschiedene Tools.

  39. Bzgl. der https-Sache würde ich einfach vorschlagen, alles automatisch von http auf https umzuleiten, bis auf den Feed selbst. Der muss ja auch nirgendwo mit http verlinkt sein, aber die URL kannst du bei Apple und anderen Crawlern dann angeben. Das sollte das Problem ziemlich einfach lösen. Dann kann man auch seine supi-dupi SSL-Config fahren. (Zur Not könnte man auch noch den User-Agent testen und nur darauf basierend Apple nicht weiterleiten.)

    Und bzgl. duplicate Content (mit http/https), dafür wurde (zumindest für html-Seiten) das meta-tag „canocial“ eingefügt, mit dem man sagen kann, welches die „allgemeingültige“, also im Index aufgenommene, Adresse der Webseite ist.

    • Naja, wenn nur der Feed auch über http läuft und darin die Dateien nach https verlinkt sind, wird das alle Clients mit Problemen genauso wenig freuen.

      • Nunja, aber Tims größtes Problem war nun mal das Apple Podcast-Verzeichnis und mit einem http-Feed (wo natürlich https verlinkt wird) sollte das mit allen System und (hoffentlich) fast allen gängigen Apps funktionieren.

  40. Hallo Tim und alle,

    danke für eure genaue Auseinandersetzung mit GPG Suite (und GPG Keychain).

    Für neue Benutzer ist es am besten sich an unserem „Getting started“ Tutorial zu orientieren:
    Deutsch: https://gpgtools.tenderapp.com/kb/how-to/erste-schritte-gpgtools-einrichten-einen-schlssel-erstellen-deine-erste-verschlsselte-mail
    Englisch: http://gpgtools.tenderapp.com/kb/how-to/first-steps-where-do-i-start-where-do-i-begin-setup-gpgtools-create-a-new-key-your-first-encrypted-mail

    Dort ist in möglichst einfacher Form erklärt, was ein PGP Schlüssel ist und wozu es diesen braucht. Zusätzlich wird man durch das gesamte Prozedere geführt, wie man seinen ersten Schlüssel erstellt und wie man schlussendlich sein Mail Programm einrichten kann um diesen zu verwenden, E-Mails zu signieren und zu verschlüsseln.

    Danke auch für eure Verbesserungsvorschläge. Für viele davon haben wir bereits Tickets in unserem Bug Tracker.
    Wir sind uns sehr bewusst, dass die Benutzerfreundlichkeit vom Prozess der Schlüsselerstellung einigen Nachholbedarf hat und weitere Teile der GPG Keychain App überarbeitet werden müssen.

    Wir sind für Vorschläge sehr empfänglich und freuen uns über sämtliche, welche über unsere Support-Plattform https://gpgtools.tenderapp.com reinkommen.

    Beste Grüße,
    steve (@gpgtools)

  41. Mindmap vs Outliner ist so ähnlich wie die Frage ‚Ketchup oder Mayo?‘: es ist eine Typfrage und abhängig von den eigenen Vorlieben. Es gibt Menschen die können eine der beiden Möglichkeiten einfach nicht ausstehen, es gibt Menschen den gibt beides nix, und es gibt Menschen, die die Kombination von beiden am Besten finden.

    Ich finde beide Konzepte großartig um (z.B. auch über längere Zeit – täglich 10 min für eine Woche) Ideen zu einem Thema zu sammeln. Dabei sprechen die verschiedenen Darstellungen einfach unterschiedliches Denken und somit Ideen an. Normalerweise macht man irgendwann im Prozess den Schritt von Mindmap zu Outline, weil das Endprodukt meist eine definierte Reihenfolge hat.

    Die MacPowerUsers haben dazu eine interessante Folge gemacht (http://www.relay.fm/mpu/82). David wechselt zum Beispiel häufig zwischen beiden Repräsentationen in der Ideenphase von Talks, Büchern, …

  42. Das war mal ne gute Folge – strukturiert, jeder durfte ausreden und hat sich die Zeit genommen Themen im Detail zu erläutern. Wäre schön, wenn das öfter so klappen würde :)

  43. Wie ist denn das Geschäftsmodell von Keybase? Ich verstehe nicht wie die damit Geld verdienen wollen. Es müsste ja wenigstens so viel reinkommen, dass sie ihre Infrastuktur und die Entwickler zahlen können.

    Ich finde den Ansatz interessant, auch wenn mich wieder ein zentraler Dienst mehr eher abschreckt (und noch mehr schreckt ab, dass die in den NS..äh..USA sitzen). Trotzdem wäre ich an mehr Informationen zu dem Dienst interessiert, die Info auf der Website erschöpft sich leider schon bei „Is it free? It is.“ wenn ich nichts übersehen habe.

    Kann hier jemand mehr dazu sagen? Oder gerne auch in einer der nächsten Freakshows :)

  44. Hallo und vielen Dank für unendliche Stunden Podcastunterhaltung.

    Aber ich habe eine Frage.

    Warum zeigt mir Itunes nur die letzten 10 Folgen an. Dies ist auf dem Mac und Iphone in der der App ( Folgen begrenzen steht auf aus) sowie im iTunes Store so. Bei Instacast funktioniert es jedoch einwandfrei da kann ich alle Folgen sehen. Liegt das an mir an Apple oder am Podcast?

  45. @Tim: Apropos Flash: Ist eigentlich der Flash-Fallback Code im Podlove-Player noch drin? Wenn ja, dann wäre doch jetzt der Zeitpunkt…

  46. Ich hab zum Thema Nerf 2 Dämpfer anzubringen:

    1. Wir haben die Erfahrung gemacht, dass gerade die etwas ausgefalleneren Guns (z.B. 3 Läufe etc) dazu neigen schnell kaputt zu gehen. Vor 2 Tagen erst kauften wir ein neues Gewehr das nach wenigen Minuten im Einsatz die 1. Ladehemmung hatte und dass jetzt nur noch Patronen verschluckt und nichts mehr verschießt. Bei dem Preis sind wir mit der Qualität unzufrieden. YMMV.

    2. Leider macht Hasbro auch diesen Jungs/Mädchen-Mist. Alle Nerf-Blaster sind nur für Jungs und für Mädchen gibt es eine Extra-Produktserie (Nerf Rebelle) in lila. Das kann man ignorieren, ich finde es aber ziemlich ätzend.

  47. Noch ein (iTunes) Problem wenn Tim HTTPS aktiviert:
    Aktuell gibt’s zum iTunes-Abo-URL-Scheme (itpc://) kein TLS-Pendant (quasi itpcs://). Das heißt, für den Subscribe-Button muss auch (iTunes-)Client-seitig HTTP akzeptiert und dann zum HTTPS-Feed redirected werden. ;)

      • Ja schon, ich wollte damit auch nur aufzeigen, dass iTunes auch clientseitig in der Abo-URL überhaupt kein TLS vorsieht. (Fast?) alle andern Apple URLs wie macappstore:// haben immer ein macappstoreS:// Pendant.

  48. Zum Thema zusätzliche Subkeys in GPG finde ich diese Anleitung sehr interessant und hilfreich: https://alexcabal.com/creating-the-perfect-gpg-keypair/. Der Vorteil ist, dass selbst wenn ein z.B. nach keybase.io hochgeladener Private Subkey kompromitiert würde, dieser zurückgezogen und ein neuer erstellt werden kann, ohne dass der Master Key neu signiert werden muss. Die Vertrauensstellungen gehen also nicht verloren. Natürlich ist ein sorgsamer Umgang mit den Master Keys das A und O.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.