»Willkommen im Regionalzug von Bölpe nach Usseldahmen, über Schriekel, Hanebüch West, Sugen-Bratzdorf, Luhme, Groß Dekenstedt, Wriemingen und Karthorn-Teigling Ortsmitte.«

@formschub https://maps.app.goo.gl/JdBEoNRoNmoPwwpB8

Ein Ort ist nicht wie die anderen.

@netzwerkgoettin

Die Zukunft, bei Netzwerkgöttinnen's daheim:

"Ich habe jetzt eine zweites Keyboard, weil es einfach nicht anders ging.

Unglücklicherweise brauche ich jetzt acht Arme, damit ich alle Keyboards angemessen gedienen kann."

Nächster Halt: Ist Unixe Openclaw?

@jpmens

In general, I would never use system python or packaged python libraries for any Python project.

You want to use uv, with --managed-python and direct Pypi downloads.

Und natürlich holt sich der weltweit aufblühende Faschismus auf diese Entwicklung einen runter, gleich zusammen mit den Überwachungskapitalisten und Werbespammern, denen das sehr zupaß kommt.

Denn sie brauchen ja eine rechtlich wirksame und bindende Zustimmung von Euch, Euch aushorden, überwachen und verdaten zu können, damit sie Euch mit personenbezogener Werbung zuspammen können. Und nachdem da die Rechtslage auch immer enger wird ist eine Identität und ein bindender Vertrag mit Euch, in dem ihr ein für allemal Tracking zustimmt echt sexy.

Jugendschutz ist nur das Wrapping.

20 Jahre Vorratsdatenspeicherung

Am 15.03.2006 hat die EU die EU-Richtlinie 2006/24/EG verabschiedet, die in https://de.wikipedia.org/wiki/Richtlinie_2006/24/EG_%C3%BCber_die_Vorratsspeicherung_von_Daten diskutiert wird und die später für verfassungswidrig und nichtig erklärt wurde.

Sie begründete widerrechtlich die Pflicht zur Umsetzung einer Vorratsdatenspeicherung in den Mitgliedsstaaten.

Deutschland hat schon vorher - im Grunde seit der Telekom-Liberalisierung zehn Jahre vorher - versucht, national eine Vorratsdatenspeicherung zu etablieren, ist damit aber krachend gescheitert. Daher hatte man über Bande gespielt und versucht das mit "EU-Recht, kann man nix machen" zu bekommen.

Das war aber auch auf EU-Ebene rechtswidrig und nichtig.

Deutschland hatte in der Zeit von Anfang 2008 bis Anfang 2010 eine Vorratsdatenspeicherung in Kraft, aber sie hat keine meßbaren Auswirkungen auf die Aufklärungsquote oder sonst irgendwelche Behörden funktionen gehabt.

In der Folge gab es weitere Versuche zur Umsetzung einer Vorratsdatenspeicherung, die ebenfalls alle verfassungwidrig, EU-rechtwidrig und nichtig waren und schon im Ansatz gescheitert sind.

Inzwischen versucht man immer noch Vorratendatenspeicherung zu implementieren, will aber eigentlich eine dauerhafte User-Authentisierung mit der eIDAS 2.0 als elektronischer Online-Ausweis – das wäre auch zielgenauer als eine IP-basierende Identifizierung im Zeitalter von CGNAT.

Die Legitimierung von User-Kennzeichnung ist der Jugendschutz – alle User sind per Default Kinder und bekommen nur Zugriff auf ein Kindernet mit sinnlosen Kommunikationseinschränkungen und erst nach dem Anmelden mit eIDAS oder einem anderen Identitätsnachweis und der dazu gehörenden Attribution werden alle Funktionen frei geschaltet.

Das ist jetzt noch nicht klar erkennbar, aber es ist die Strategie.

Das ist auch einer der Gründe, warum eine anonyme, attributsbasiernede eIDAS nicht so richtig populär ist – man will ja eigentlich nicht wissen, ob der User über 18 oder Deutscher ist, sondern wer genau er ist, damit man Aktionen im Netz Identitäten zuordnen kann.

Das Ziel ist es mittelfristig alle interessanten Dienste mit Personenbindung zu haben.

@ljrk es ist ja am Ende egal warum es kaputt ist, es ist kaputt. Und schon die Option, dass es da es Wahlmöglichkeiten gibt und unterschiedliche Sorten Keys macht es kaputt. Was habe ich denn nun und welche Sorte Key ist die beste für mich?

Das Hauptproblem ist in der Tat das Management, und da gibt es halt keine Erzählung. Bevor es die nicht gibt, gibt es keine Passkeys:

Angenommen, ich habe unseligerweise für Passkeys auf so einem Fido-Stick entschieden. Dann brauche ich offensichtlich ein Backup, und ich brauche eine Methode, den Stick zusammen mit dem Browser am Telefon zu verwenden.

Was ist die Story hier? Werden gleich zwei Passkeys angelegt und brauche ich also zum Account machen beide Sticks am Gerät? Kann der Stick mit meinem Telefon kommunizieren? Wie? NFC?

(Bei ssh habe ich ja einen Key für alle Sites, bei denen ich mich anmelde, da kann ich mir vorstellen, einen Key auf Hardware zu haben und ein Backup zu haben. Bei Passkeys habe ich offenbar einen Passkey pro Site, brauche das Backup also laufend an der Person. Das ist offensichtlich eine komplette Quatschidee und nicht realisierbar – diese Tatsache alleine macht "Passkey auf Hardware-Token" systematisch komplett kaputt).

Der Stick geht verloren oder wird zerstört und das Backup geht nicht. Wie liste ich die Accounts auf, für die ich Recovery machen muß? Ist der Recovery Flow bei jedem Anbieter anders oder einheitlich, oder gibt es gar eine zentrale Stelle, die das für mich macht.

Angenommen, ich war schlau und habe mich für "Keys werden in Software realisiert". Wie mache ich hier ein Backup der Keys, und wichtiger, ein Restore auf einem zweiten Gerät ohne Zugriff auf das erste haben zu müssen?

In Apple zum Beispiel, sind Passkeys in Time Machine bzw in der Account Migration auf ein neues Telefon, oder ist das eine der vielen Sachen, die ein Restore aus der iCloud nicht restauriert und ich bin mit einem Telefon gefickt? Wie kann ich mir vorher sicher sein, daß das funktioniert, ohne es auszuprobieren und dann im Arsch zu sein?

Wie liste ich alle Passkeys auf, die mein System kennt?

Angenommen, ich verwende Passkeys und habe die mit Safari eingerichtet und jetzt verwende ich Firefox, oder Brave. Kann ich mich noch einloggen und will ich das ausprobieren und riskieren, daß ich durch eine Recovery laufen muß?

Bei 2FA mit TOTP kann ich die Secrets archivieren (die QR-Codes als Screenshots managen) und kann so restaurieren ohne mich mit unterschiedlichen Recovery Flows unterschiedlicher Implementierungen auseinander setzen zu müssen. Wie mache ich das mit Passkeys?

Das sind alles Stories, die erzählt werden müssen, damit Passkeys vertrauenswürdig und MANAGEBAR werden.

Das ist kein technisches Problem, und kein Sicherheitsproblem, das ist ein Problem von Vertrauen, Managebarkeit und Ergonomie.

Stattdessen lese ich hier und beim Kuketz, daß

• Passkeys für manche Leute in 1/3 der Fälle schlicht nicht funkionieren
• Paypal auch bei Passkey noch 2FA mit OTP machen will (WTF?)

und ähnliche Stories.

Nein, da gehe ich mit der Kneifzange nicht ran, also nicht einmal um den Management-Flow auszuprobieren.

Das ist alles unreife und unterstandardisierte Tech. Da müssen statt Security-Leuten dringend ein paar UX Designer und Tester ran, und es braucht eine Standardisierung der Flows auf der Anbieter- und Clientseite, damit das akzeptabel wird.

Ich bin am Ende der Arsch, der das Menschen mit Geburtsjahr 1942 erklären muß und die umstellen muß, und die Zusammenfassung der Migrationsanleitung ist basically "Nein."

RE: https://social.tchncs.de/@kuketzblog/116034644267703808

Heißer Flamewar und Hot Takes in den Kommentaren

In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.

In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.

Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.

Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.

Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.