Abbildung 1: Gar kein lästiges Unkraut – das Crabgrass-Dashboard bietet schnellen Zugriff auf das integrierte Wiki, Benutzer und Gruppen.

Subversive soziale Netzwerke gründen leicht gemacht – Crabgrass sagt Facebook & Co. den Kampf an und Clipperz verwahrt die dabei anfallenden Passwörter. So viel Aktivität muss belohnt werden, daher gibt\’s zum Frühstück Thunfisch-Rillettes .

Facebook okkupiert das ganze Internet. Das ganze Internet? Nein, ein kleines, von unbeugsamen Programmierern bevölkertes Dorf leistet den kontrollierten “sozialen” Netzwerken Widerstand und tritt an, um die Privatsphäre zurückzugewinnen. Ihre Geheimwaffe hört auf den Namen Crabgrass [1].

Crab grass (Fingerhirse auf Deutsch) ist eine harte, zähe Grassorte, die Gartenliebhabern immer wieder Kopfschmerzen bereitet. Sie verdrängt ordentlichen Rasen sowie Nutzpflanzen. Ihr ist nur mit harten Pestiziden beizukommen – keine unpassende Namenswahl für das 2009 gegründete Projekt.

So wie die Grassorte den Gärtner eines makellosen englischen Rasens ärgert, wollen die mit Crabgrass verwalteten Initiativen hartnäckig im Web-2.0-Vorgarten jener sozialen Netze wuchern, die sich eine tragende Rolle im Zusammenleben und -arbeiten mit unseren Mitmenschen erschlichen haben. Studenten eines Fachbereichs kommunizieren über Studi VZ [2], ein Flashmob organisiert sich über Facebook [3] und die Anmeldung zur Firmenparty läuft über Xing [4].

Und das, obwohl Netzwerke in der heutigen Form ein Unsicherheitsfaktor sind. Nicht nur, dass die Anbieter alle zwei Wochen die Einstellungen zur Privatsphäre grundlegend überarbeiten – und verschlechtern. Außerdem weiß niemand so genau, wem überhaupt die Daten der Anwender gehören oder ob der Dienst in drei Monaten noch am Markt ist.

Was Facebook kann …

… können wir schon lange, mögen sich die Crabgrass-Entwickler gedacht haben. Was nach einem vermessenen Vorhaben klingt, ist in der Realität gar nicht mal so weit vom Ziel entfernt. Das in Ruby on Rails implementierte System bietet alles, was das Web-2.0-Herz begehrt, und stellt Werkzeuge zur Vernetzung, Organisation und Zusammenarbeit bereit.

Crabgrass offenbart seine Stärken vor allem in Hinblick auf die Zusatzfeatures. Unter der Haube arbeiten Groupware-Tools, zum Beispiel ein integriertes Wiki (siehe Abbildung 1), Diskussionsforen, die Aufgabenverwaltung für Personen, Gruppen und Teilgruppen, eine Abstimmungsplattform und eine kleine, aber feine Dokumentenverwaltung. Dazu kommen Tasklisten, Blogs, Bildergalerien, Privatchats und vieles mehr.

Abbildung 1: Gar kein lästiges Unkraut – das Crabgrass-Dashboard bietet schnellen Zugriff auf das integrierte Wiki, Benutzer und Gruppen.

In einer der kommenden Versionen planen die Entwickler außerdem, Crabgrass um eine dringend notwendige Terminverwaltung zu ergänzen. Im Gegensatz zu den meisten Groupware-Suites schafft Crabgrass das Kunststück, weitgehend intuitiv bedienbar zu bleiben. Eigentlich ist Crabgrass weder eine klassische Groupware noch ein reines soziales Netzwerk – eigentlich trifft die Bezeichnung Social Groupware am besten.

Verflixte Verwaltung

Wo Crabgrass bei der Bedienung punktet, hakt es bei der Administration. Die ist wirklich gewöhnungsbedürftig und die Installation ist nur lückenhaft dokumentiert. Kommt die Software auf einem anderen System als Debian zum Einsatz, sollte der Admin einen ausreichend großen zeitlichen Spielraum einplanen, um auftretende Probleme in Ruhe ausbügeln zu können. Wer Lust hat, bei der Crabgrass-Anleitung zu helfen, findet entsprechende Hinweise im Bereich »Documentation« auf der Projekt-Webseite.

Auch wenn Crabgrass Facebook & Co. sicherlich nie ersetzen wird, bietet es kleineren und mittleren Organisationen doch eine Möglichkeit, die interne Kommunikation in der eigenen Hand zu behalten und Mitglieder sowie deren Daten zu schützen.

Logindaten in der Cloud

Apropos soziale Netzwerke: Regelmäßig flattern neue Einladungen in viele Mailboxen – der Kollege lockt mit Linkedin [5], der beste Freund mit Facebook und die Familie nutzt inzwischen beinahe geschlossen die Plattform “Wer-kennt-wen” [6]. Meist siegt die Vernunft und man schafft es, sich nicht auf einen weiteren Zeitfresser einzulassen.

Aber es gibt auch schwache Tage, und schon ist der nächste Account angelegt – mit dem bewährten und leicht zu merkenden Passwort, das möglicherweise auch andere Zugänge und Webapplikationen “schützt”. Ideal wären freilich verschiedene Kennwörter, aber selbst das merkfähigste Geek-Hirn gibt irgendwann auf und verheddert sich in der Passwortflut von Pins, Puks und Tans. So bleibt dem Nutzer die Wahl zwischen Pest (eine Handvoll einfacher Kennwörter für mehrere Logins), Typhus (auf Zetteln notierte Passwörter) oder Cholera (regelmäßige, meist unverschlüsselte Zusendung vergessener Kennwörter) – oder? Eine bessere Lösung sind Passwortsafes.

Der Gedanke an einen zentralen Speicherort für Zugangsdaten erscheint verlockend und ein Account bei Flickr [7] oder Dropbox [8] existiert schon, aber wer vertraut allen Ernstes seine Passwörter einem fremden Server an?

Dank der Clipperz Community Edition [9] können Anwender darauf getrost verzichten. Bei dem Online-Passwortmanager handelt es sich um die Open-Source-Version des von Marco Barulli und Giulio Cesare Solaroli aufgebauten Hosted-Password-Safe-Service Clipperz.

Verschlüsselung im Browser

Die unter der AGPL stehende Software baut auf der Javascript Crypto Library auf, die die beiden Italiener ebenfalls entwickelt haben. Diese Bibliothek setzt auf bewährte Algorithmen wie SRP, AES-256, SHA-256 und Fortuna. Die Verschlüsselung der Daten findet auf dem Client und ohne Beteiligung des Servers statt, sodass nur vollständig chiffrierte Informationen übers Netz wandern.

Server-seitig setzt Clipperz lediglich MySQL und PHP voraus und benötigt dazu die Module BC Math, Json und PDO. Den Server mit SSL zu betreiben ist nicht zwingend notwendig, steigert aber die gefühlte Sicherheit. Als Client dient ein gewöhnlicher Javascript-fähiger Webbrowser. Zuverlässig arbeiten beispielsweise Firefox, Opera, Chrome, Konqueror und Safari. Es überrascht nicht, dass das komplexe Javascript sich im Internet Explorer nicht immer hundertprozentig wie gewünscht verhält. Ein Scriptblocker ist ebenfalls hinderlich, diesen deaktiviert der Benutzer am besten vor dem Clipperz-Einsatz. Ein bekanntes Problem verursacht zudem das beliebte Firefox-Addon “It\’s all text” [10]. Es blockiert den Clipperz-Login, wenn der »Edit«-Button aktiviert ist.

Auf einem Android-Smartphone kann mindestens der Dolphin-Browser erfolgreich mit Clipperz umgehen. Beim I-Phone dagegen läuft ohne Jailbreak gar nichts. Erst dann lässt sich Safari dazu herab, dem Javascript die benötigten Ressourcen zur Verfügung zu stellen.

Sicherheit und Bequemlichkeit

Clipperz verwaltet nicht nur einfache Passwörter, sondern bietet zusätzlich Templates, um Konto- und Kreditkartendaten gesichert abzulegen (siehe Abbildung 2). Der Passwortmanager stellt Anwendern, die offline auf die Informationen zugreifen möchten, außerdem eine Read-only-Kopie der Daten zur Verfügung. Die Kopie steht im Clipperz-Menü unter »data« zum Download bereit. Es handelt sich um eine einzige HTML-Datei, die umkompliziert, ohne zusätzliche Software und unabhängig von einer Internetverbindung Zugriff auf die Kennwörter ermöglicht.

Abbildung 2: Clipperz bringt verschiedene Templates für besondere Szenarien mit. Dazu gehören unter anderem Bank- und Kreditkartendaten.

Die Achillesferse bei allen Passwortsafes ist und bleibt die Passphrase des Benutzers. Wer regelmäßig an fremden Computern oder in Internetcafés arbeitet, sichert sein Hauptkennwort gegen Keylogger ab, indem er Clipperz damit beauftragt, Einmalpasswörter zu generieren. Der Passwortmanager bietet mit der Quick-Login-Funktion zudem Schutz vor Copy&Paste-Unfällen und am Bildschirm ausgespähten Passwörtern im Klartext. Mit Hilfe eines Bookmarklets erstellt der sicherheitsbewusste Anwender Quick-Logins für Webseiten, die Login-Formulare enthalten. Ein Klick – und Clipperz übergibt die Zugangsdaten direkt ans Formular und meldet den Nutzer an.

Ein Passwortgenerator gehört zu jedem guten Kennwortsafe dazu. Clipperz platziert diese Funktion beim Anlegen einer neuen Karte direkt neben dem Passwortfeld und erstellt für den Durchschnittsnutzer vollkommen unmerkbare Kennwörter (siehe Abbildung 3).

Abbildung 3: Entscheidet sich der Nutzer im Clipperz-Passwortgenerator gegen die Verwendung von Sonderzeichen, verlängert der Generator das Kennwort automatisch und gewährleistet damit gleichbleibend sichere Passwörter.

Die Clipperz-Entwicklung verläuft eher schleppend. Als nächste große Neuerung wollen die Projektmitarbeiter mit Sharing die Möglichkeit schaffen, in Clipperz gespeicherte Informationen selektiv anderen Clipperz-Nutzern zugänglich zu machen. Einen Ausblick auf kommende Veränderungen in der Community Edition bietet die Gamma-Testversion [11].

Thunfisch-Rillettes

Zutaten: eine Dose Thunfisch in Olivenöl, eine Schalotte, zwei Löffel Frischkäse, ein Teelöffel Zitronensaft, Kräutersalz, Salz, Pfeffer. Für die Dekoration: Schnittlauchröllchen, rote Paprikawürfel, Tomatenwürfel, Petersilie, Dill, geviertelte Zitronenscheibe.

Das Öl vom Thunfisch abtropfen lassen und auffangen. Schalotte schälen und in grobe Stücke schneiden. Thunfisch, Schalotte, Frischkäse und Zitronensaft in einen Mixer geben und zerkleinern. Alternativ in einen hohen Becher geben und einen Pürierstab benutzen.

Mit den Gewürzen abschmecken. Stangenweißbrot in Scheiben schneiden, Thunfisch-Rillettes auftragen und – je nach Geschmack – mit frischen Kräutern, Tomaten-, Paprikawürfeln und Zitronenscheibchen garnieren. (hej)