ich selbst bin vorhin auch darüber gestolpert und es kam mir dann von anfang an spanisch vor.

worum geht’s?

irgendwann tauchte bei einem follower ein tweet auf:

“Don’t click [tinyurl]“^[1]

im grunde sollte mensch diesen tweet tatsächlich ernst nehmen, denn es passierte folgendes:

hat der twitterer — im eingeloggten zustand — auf den link geklickt, öffnete sich eine spartanisch eingerichtete seite.

zu sehen war ein knöpfchen mit selbiger aufschrift: “Don’t Click!”

sowie ein paar leere zeilen und ein paar punkten zwischendrin.

wer jetzt auf den knopf gedrückt hatte, durfte sich “freuen” … damit wurde ungefragt und unbemerkt ein tweet abgesetzt. optisch passierte nix weiter. nur beim neuladen in twitter sah mensch das ergebnis.

interessant dabei war: dies funktionierte bei mir nur mit dem opera! denn der firefox war wirklich nett und hat mich auf eine XSS-attacke^[2] hingewiesen.^[3]

twitter selbst hat dabei bemerkenswert schnell reagiert, wie ich finde. es hat nur stunden gedauert, bis das gefixt wurde.

(meldung auf dem twitter-blog)

das ganze nennt sich, der arbeitsweise entsprechend, clickjacking und ist dem allgemein bekannten hijacking verwandt.

wie kann so etwas passieren?

mal ganz salopp und einfach erklärt: hier spielen zwei dinge eine rolle.

1) dein browser hat mitschuld! wer einen benutzt, der nicht solch ein sicherheitsfeature hat wie der aktuelle firefox, ist selbst schuld. darum, auf aktualisierungen und die sicherheit achten. meine mobile opera-version ist jedenfalls nicht mehr so vertrauenswürdig.

2) mangelnde oder gar nicht existierende sicherheitsmechanismen auf der betroffenen seite. bei twitter vermute ich einfach mal, dass da jemand eine lücke in der API gefunden hat, die prima das absetzen eines tweets bei eingeloggten usern erlaubte. die genaue funktionsweise kann und will ich gar nicht weiter erklären.^[4][5]

wer gar nicht eingeloggt war oder gar keinen twitter-account besaß, war ohnehin nicht betroffen. denn wohin sollte das script schon twittern, wenn kein ziel da ist.

das fazit daraus ist ebenfalls zweigeteilt: für surfer im www bedeutet es, stets nach einem sicheren browser ausschau zu halten. firefox schien jedenfalls gut gerüstet zu sein.^[3] auf der anderen seite sind die dienstebetreiber gefordert, solche angriffe erst gar nicht zu ermöglichen, in dem die jeweilige anwendung — wie zB twitter — ebenso sicher und zuverlässig programmiert wird.

da sicherheitslücken nicht zwangsläufig immer von anfang an da sein müssen, ist zudem ein gutes reaktionsvermögen gefordert, besonders auf der entwicklerseite, da der gemeine benutzer immer erst einmal als saudumm und naiv eingestuft werden muss!

schlussbemerkung:

wenn schon irgendwo steht, dass mensch doch nicht darauf klicken solle, dann tue dies auch nicht!

DON’T CLICK!

1. zur sicherheit kein link; wäre aber bereits durch twitter gefixt
2. cross-site-scripting, zu deutsch also seitenübergreifende skript-ausführung
3. UPDATE/HINWEIS! ich wurde durch ein ein firefox-plugin geschützt, nicht durch den browser selbst! das plugin nennt sich No Script und wehrt die angriffe sogar ab (bzw. warnt den benutzer), selbst wenn mensch das blockieren von javascript deaktiviert hat.
4. wer eine gute exploit-seite kennt, in der auch dieser hack technisch gut erklärt wird: her damit!
5. eine englische erklärung zum hack.

schon recht früh in der zeit von twitter sind auch erweiterungen für blogsysteme entstanden, die zumindest in die eine richtung funktionierten. so wurden viele plugins (gerade für wordpress) geschrieben, die zB das melden von neuen beiträgen in twitter beitrugen. sinn und unsinn solcherlei aktionen sei mal außen vor gelassen; wobei ich durchaus auch die meinung vertrete, dass twitter nicht als feed-ersatz herhalten sollte, viele fühlen sich wohl tatsächlich gestört, wenn jeder zweite tweet nur eine beitragsmeldung ist. klar, wozu hat mensch denn eigentlich den feedreader?!

wesentlich interessanter sind die entwicklungen der letzten tage: wordpress und twitter interagieren nun auch in die blogrichtung. sprich: wer nun einen beitrag referenziert, kann glück haben, dass dieser tweet auch als kommentar dort erscheint. das ganze nennt sich in anlehnung an track-/pingbacks ganz schlicht tweetbacks. leider wird dadurch das abkürzen problematisch, weil ja nun niemand weiß, ob mit “TB” das track- oder das tweetbacken gemeint ist. ;o)

wann erscheint denn nun so ein tweetback?

erstens muss das referenzierte blog diese funktionalität unterstützen. dafür gibt es für wordpress mittlerweile mehr als ein plugin. der artikel von pl0g.de stellt drei davon vor.

ich habe mich für jenes von yoast entschieden, da ich auch mit einigen anderen plugins von denen gute erfahrung gemacht habe (zB headspace). herunterladen kann mensch es hier, und dort gibt es eine gute (englische) anleitung zur nutzung.

ich hab es auch schon ein wenig getestet, es arbeitet recht gut und schnell^[1]. für meine bedürfnisse musste ich jedoch einige kleine anpassungen am skript vornehmen, da ich zB den ausführlichen twitternamen etwas unschön fand^[2].

zweitens muss das plugin ausreichend oder zumindest die häufigst genutzten URL-verkürzer unterstützen.

das yoast-plugin ist wohl deswegen zu empfehlen, weil es sehr viele kurzurl-dienste analysiert, aber sicherlich werden die anderen plugin-entwickler nachziehen und am ende wird nur der persönliche geschmack und der komfort entscheiden, welches plugin einjeder einsetzen wird.

was jetzt noch fehlt ist eine nahtlose integration für das direkte antworten auf den tweet im blog. so kann mensch hier nämlich zwei fliegen mit einer klappe schlagen: kommentare im blog und die @replies werden zeitgleich generiert. hier sind natürlich die entwickler und blogbetreiber gefragt, dass zB die login-daten der twitterer nicht missbraucht werden können, sonst wird wohl niemand auf einem fremden blog die reply-funktion nutzen wollen. gerade anfang des jahres gab es ja bei twitter schon das problem, dass accounts gehackt worden sind, als auch eine suspekte seite, die login-informationen gesammelt und sehr wahrscheinlich auch missbraucht hat. jetzt ist der verlust eines twitter-accounts zwar sicherlich nicht lebensbedrohlich, kann aber sehr wohl der eigenen (web-)reputation abträglich sein.

ich werde in kürze eine @reply-url einbauen. damit kann jeder, der ohnehin schon bei twitter eingeloggt ist, zumindest sich einiges an tipparbeit ersparen. wer sich einmal den link hinter dem jeweiligen reply-icon angeschaut hat, sieht recht schnell, dass das zusammenbasteln ziemlich einfach ist.

so kann zwar schon einmal auf den twitterer geantwortet werden, aber im blog taucht das dann nicht mehr auf.

um wieder zum eigentlichen thema zurückzukehren: ich finde diese entwicklung — blogging meets microblogging — echt nicht verkehrt, da beide seiten zugewinnen. für welche hauptsächliche oder alleinige publikationsart mensch sich auch entscheidet, der schritt zur anderen seite der kommunikation ist nun näher als zuvor. ich wünsche euch jedenfalls viel spaß beim tweetbacken!

1. geschwindigkeit ist hierbei relativ. die tweets müssen ja irgendwie erstmal analysiert und gesammelt werden.
2. twitterkurzname und in klammern der ausführliche; hängt damit zusammen, dass das yoast-plugin die entsprechenden tweets aus dem atom-feed der suchergebnisse filtert. dieser feed hat jedoch immer den kompletten twitter-namensblock. andere plugins nutzen die JSON-ausgabe der twitter-suche, welche wesentlich besser und sauberer die erforderlichen daten anbietet. vielleicht verändert yoast das noch im laufe der zeit.

mittlerweile gibt es noch eine weitere laconica-installation, ningo.de — und wenn ich das projekt richtig verstanden habe, müssten identi.ca und ningo.de untereinander daten austauschen können.

und heute lese ich von einem weiteren, neuen projekt: openmicroblogger. gefunden via webmaster blog. und da wohl laconica und openmicroblogger sich an den openmicroblogging-standard halten, dürften die jeweiligen implementationen auch untereinander agieren können.

dies dürften dann also die ersten schritte richtung dezentraler organisation sein. immerhin wäre es ja nicht mehr so wichtig, bei wem die daten liegen, wenn alle miteinander kommunizieren können. wenn es dann noch simple “mini-server” zum selbsthosten gibt, wär’s klasse.

meine idee dahinter: jeder hat die möglichkeit, sein profil bei sich “zuhause”, also auf seinem eigenen server zu hosten. vorzugsweise wäre dann der umgang mit dem eigenen microblogging-profil ähnlich der emailadresse. und da openID ja so gefragt ist, wäre die adresse auch gleichzeitig für diesen dienst nutzbar.

woran noch gearbeitet werden muss, ist die einfach installation wie zB bei wordpress (geht eigentlich wirklich easy von der hand). bei laconica bin ich beim ersten versuch verzweifelt, zumal irgendwie sehr krude anforderungen gestellt wurden. ich denke, dass muss nicht sein.

und da ich ja gern teste, worüber ich schreibe, werde ich mir gleich mal das openmicroblogger-teil mal anschauen und guggn, ob das einfacher zu installieren ist als laconica.

bin ja auch mal gespannt, was da noch so für entwicklungen auftauchen werden. das bestreben scheint ja jedenfalls da zu sein. und gut ist es allemal. twitter ist ja ohnehin gern mal ausgelastet und strandet wie ein wal auf der sandbank …

video via hobnox

aber auch so ist es spannend und unterhaltsam, was da so in die weiten des großen digitalen klos abgesondert wird.

nachfolgend nochmals der link zur stoffwechselendproduktswiederaufbereitungsanlage der vogelscheiße. der war jetzt derb. gern geschehen.

video: http://tv.hobnox.com/#de/CLTR-CTRL/…and-more/76a08aedfe273693bc8963011ea31e38

seite: http://www.twitterlesung.de

mittlerweile dürfte ja vielen twitter ein begriff sein, selbst die klassischen printmedien haben schon davon berichtet, und manchmal twittern sie sogar selbst.

aber es gibt auch schattenseiten: häufige ausfallzeiten. scheinbar sind die server bei twitter gelegentlich überfordert mit der masse an kurzen nachrichten, die da so über die leitungen gehen.

und nun gibt es eine alternative, die es schaffen könnte, twitter den rang abzulaufen. und damit meine ich nicht plurk und auch nicht mein “das leben in fünf wörtern”-miniblog (das ist ja eh nur für mich an euch und überhaupt nur ein experiment).

die konkurrenz kommt ganz anders daher, und zwar als opensource-paket, welches der geübte webmaster auch auf seinem server installieren kann (sofern die nötigen systemvoraussetzungen erfüllt werden^[1]). und wie heisst es denn nun, das neue twitter?

identi.ca

so zumindest der dienst, welcher mit der software laconi.ca läuft, und alles unter CC by 3.0 (die software hat eine andere lizenz! siehe fußbereich der identi.ca-seite).

wer eine twitter-alternative haben will, meldet sich bei identi.ca an, wer selbst mal testen will, läd es sich auf der laconi.ca-seite herunter und tüftelt^[2].

überhaupt scheint das gerade ein “geheim”tipp unter deutschen microbloggern zu sein, obwohl in meinem feedreader schon so einiges aufgelaufen ist. zB berichtet auch das webmaster blog davon. übrigens soll damit auch der grundstein für denzentrale strukturen gelegt werden, aber das erläuter ich mal zu gegebener zeit im wµrzelwerk.

ps: gut finde ich, dass identi.ca openID unterstützt. damit hat mensch auch eine alternative anmeldungsmöglichkeit.

notiz an mich: mir den artikel, verlinkt von kosmar via identi.ca, auch noch durchlesen. (grad beim screenshot erstellen gesehen… ;o)

zukunftsblick?

ich glaube, wenn sich das vernünftig entwickelt, wird es auf der re:publica 09 nicht friendfeed sein, worüber alle reden, sondern identi.ca und klone. zumindest dürfte es auf einem open-source-panel erwähnt und vorgestellt werden. bin ich mir ziemlich sicher! wetten nehme ich aber nicht an.

1. ich habs getestet; PEAR sollte auf dem server sein, am besten man hat einen VPS, bei dem man selbst nachinstallieren kann, was fehlt, die doku ist noch nicht verfügbarunvollständig.
2. siehe fußnote 1; EDIT: vor kurzem wurde wohl eine anleitung auf dem wiki verlinkt, schau ich mir auch noch mal an.

@m_project followen und schon gibt es für euch auch da die aktualisierungen.

ist jetzt twitter eine konkurrenz zum herkömlichen rss/atom-feed? who knows …