Of Ads and Signatures

Both advertisements and signatures have been with us in the analogue realm for ages, the society has learned about their usefulness and limits. We have learned that it’s (usually) hard to judge the impact of a single ad, and that the process of actually validating a contested signature is not trivial. There is a good reason why the law requires more than a single signature to authorize the transfer of real estate.

Both concepts have been translated to the digital, online world.

And in both cases, there were promises that the new, digital and online versions of ads/signatures can deliver features that their old, analogue counterparts could not do.

For ads, it was the promise of real-time tracking of their effectiveness. You could do “clickthrough rates” measuring how often the ad was clicked by a viewer. The holy grail of ad effectivity tracking is the fabled “conversion rate”: you can measure how many people actually bought your product after clicking an ad.

For signatures, it was the promise of automated validation. If you get a digitally signed document, you should be able to actually verify (and can have 100% trust in the result) whether it was really signed by the signatory. Remember: in the analogue world, almost nobody actually does this. The lay person can detect crude forgeries, but even that only if the recipient has access to samples of authentic signatures. In reality, a closer inspection of handwritten signatures is only done for important transactions, or in the case of a dispute.

So how did things work out after a few years of experience with digital ads and signatures?

Digital ads are in a midlife crisis. We’re in a death spiral of low clickthrough rates, more obnoxious formats, ad-blockers and ad-blocker-blockers. Just look at the emergence of Taboola and similar click-bait.
Digital signatures are at a cross-road as well: The take-up rates of solutions based on smart-card readers have been underwhelming so far. This applies to the German ePerso as well as to the Austrian citizen card. The usability just isn’t there. So there has been a push to increase the take-up rate by introducing alternatives to smart-card technology. That won’t make it more secure. Not at all.

So what’s the common lesson? In theory, both digital ads and signatures can offer features that their old, analogue counterparts just cannot deliver. In practice, they are killing themselves by over-promising. As long as click-through rates are the prime measurement of online ads, their death spiral will continue. And as long as digital signatures continue to promise instant, high-confidence validation, they will not achieve the take-up rates needed for broad acceptance.

Continuing the current trajectory will lead to a hard crash for both technologies. On one side it’s the ad-blocker, on the other side it’s malware.

The level of spam in the email ecosystem meant that no mail-service can exist in the market without a built-in spam-filtering solution. And given the early ad-excesses every browser includes a pop-up blocker these days. If the advertisers continue on their path of getting attention at all costs, ad-blocking will become a must-have feature in all browsers, and not just an optional ad-on (as right now).

Any digital security solution that protects actual money has been under vigorous attack. The cat and mouse game between online-banking defenders and attackers is a good lesson. The same will happen if digital signature solutions start to be actually relevant. And good luck if your “let’s make digital signatures more user-friendly” approach is actually less secure than what online-banking is using these days.

So what’s the solution?

In my opinion the right way to approach both topics is to reduce the promise. Make digital ads static images. No animation. No dynamic loading of js-code (which is its own security nightmare). Don’t overtax the visitor’s resources (bandwidth, browser-performance). No tracking. Tone it down. Don’t expect instant effects. Don’t promise clicktrough rate.

For digital signatures: Mass deployment is only possible for “non-qualified signatures”. Don’t promise “you can fully and solely rely on our solution”. Just sell “this is a good indication”, or “use this as one factor in your security design”. Prepare for it to be attacked and broken. Only use it when you have a pre-planned way to recover from such a breach. The real word is full of applications where signatures are used in a very low-security / low-impact settings. The state-sponsored digital identity solutions needs to think of those, too. For the high-impact, high-confidence settings I always have to think about the mantra we use at work: “You can’t mandate trust.”

Net Neutrality und Peering Disputes

Nachdem die FCC sich schon um Verkehr-Diskriminierung auf der Kundenleitung gekümmert hat, hat sich jetzt die Diskussion auf die Zusammenschaltung von IP-Netzen verlagert.

Siehe Ars Technica:

Network operators Level 3 and Cogent Communications today urged the Federal Communications Commission to prevent Internet service providers from charging what they deem to be excessive fees for interconnection.

Im Wesentlichen klingt das für mich wie eine Neuauflage der Interconnection im Telefonbereich, wo der Zielnetzbetreiber ja auch ein Monopol auf die Erreichbarkeit seiner Kunden hat.

Die Unterschiede sind meiner Meinung nach:

  • Beim Telefon ist die Erreichbarkeit binär: entweder es geht oder nicht. Hier geht es auch um die Qualität, damit Video-Streams auch wirklich gut funktionieren.
  • Beim Telefon haben wir ein klares “Anrufer zahlt den ganzen Weg”-Prinzip, beim Internet-Anschluss zahlt der Privatkunden auch seinem ISP ernsthaft Geld, damit er Daten vom Content-Anbieter abrufen kann.

Hier in Österreich ist das Thema noch nicht kritisch, da sowohl die A1, als auch UPC und Tele2 eine relativ offene Peering-Policy fahren. Das kann man so etwa in Deutschland von der dortigen Telekom nicht behaupten.

Meiner Meinung nach ist es nur eine Frage der Zeit, bevor wir hier die ersten echten Streitereien (und damit den Ruf nach Regulierung, und sei es nur durch das Kartellgericht) haben werden. In der Schweiz war es schon soweit.

Fundstücke …

Da suche ich heute was ganz harmloses auf Google (Postadresse eines BKA-Mitarbeiters), und dabei stoße ich auf folgende Perle der Geschichte:

Begutachtungsverfahren, Rationalisierung;
Nutzung der elektronischen Kommunikation, insbesondere auch bei Übersendungen an das Präsidium des Nationalrates

Das ganze stammt aus 1998, und enthält folgenden Text:

Grundsätzlich wurde in der Bundesverwaltung X.400 als die präferierte Mail-Basis vereinbart, die bereits weitgehend zum Einsatz kommt. Im Bereich der Landesverwaltung hat sich eher Internet-Mail durchgesetzt, was aber durch die möglichen Übergänge (sogenannte Gateways) zwischen X.400 und Internet keine Inkompatibilität bedeutet.

Probleme bestehen bei der Versendung über Internet insbesondere bezüglich der Bestätigung des Erhalts elektronischer Sendungen. Im Internet gibt es – von Standardisierungsansätzen abgesehen – noch keine flächendeckende Problemlösung, da die von Systemen gelieferten Empfangsnachrichten nichts über den Empfang durch den Anwender selbst aussagen; etwas Hilfe bieten einige Mail Clients mit Anwender – konfigurierbaren Respondern. Diese Problematik ist bei X.400 von Anfang an gelöst.

Aus Gründen der Übertragungsqualität und -sicherheit wäre im gegebenen Zusammenhang jedenfalls – dort wo bereits vorhanden – X.400 der Vorzug zu geben.

So kann man sich täuschen.

Das erinnert mich an einen Artikel in den DFN-News von ~1990, in denen das Internet im DFN als Zwischenlösung (bis sich OSI durchsetzt) bezeichnet wurde.

Imitation is the sincerest form of flattery

2007: https://tools.ietf.org/html/rfc5105#section-7

The concept of the validation token may be useful in other registry-type applications where the proof of an underlying right is a condition for a valid registration.

An example is a Top Level Domain (TLD) where registration is subject to proof of some precondition, like a trade mark or the right in a name. Such situations often arise during the introduction of a new TLD, e.g., during a “sunrise” phase.

2013: https://tools.ietf.org/html/draft-lozano-tmch-smd-02

I thought the IETF discouraged re-inventing the wheel?

Adobe Flash Updates

Today we’ve seen yet another Adobe Flash Player update due to serious problems. So be it.

One thing always sets my teeth on edge when doing/verifying it: The number of clicks it takes me to check the version of the currently running Flash plugin. It would be far too simple if the download page (which is prominently linked everywhere) would just tell me if I need to upgrade. No, I have to click on “Learn more about Flash Player”, then “Product Page”, then “FAQ”, then scroll down to “How can I tell if I have the latest version of Flash Player installed and whether it is working correctly?”, click to reveal the answer, then click “Testing page”.

And then I have to manually compare the version shown above with the latest version listed by operating system and browser beneath.

What the fscking hell is Adobe thinking? They’ve been a top reason for PC infections for the last years (Flash + Acrobat) and still they don’t tell their web-visitors as quickly and efficiently whether they need to update.

Can someone please administer the necessary clues with a suitable LART?

Link Dump

Once again, I have collected too many tabs in my browser session. This blog-post will collect them:

The Evolution of Conference Wireless

  • 2003: RIPE offers to rent out PCMCIA wifi cards to attendees of the RIPE conference.
  • 2007: Every attendee has a laptop with built-in wifi.
  • 2012: Every attendant brings a Laptop and at least one smartphone, some bring tablets as well.

We have ~500 attendees at #FIRSTCON this week; I wonder how many distinct clients the wifi net has seen.

IPv6 Usage

Ever since I enabled IPv6 for /dev/otmar, the logs show that

  • I’m not getting that much traffic anyway.
  • Hardly any of it is via IPv6.

My Cacti shows:

(blue is v4, and green is v6)

This widget from IPv6-test.com shows whether your connection is v6 enabled — and show statistics over all visitors here.

Kunst hat Rechte, aber nicht immer recht

Aktuell wird mal wieder viel über das Urheberrecht und die armen Künstler gesprochen. Die Piratenpartei feiert Wahlerfolge und die Gegenseite formiert sich auch.

Ich hab in einem Online-Forum Kommentare dazu geschrieben, hier die kurze Zusammenfassung:

Die Menschen fühlen sich aktuell von der Content / IP – Industrie massiv verarscht. Der kleine Schaffende, der jetzt unter die Räder kommt, ist nicht schuld dran.

Wenn man sich ein bisschen in die Thematik eingelesen hat, und die Exzesse der IP-Industrie sieht, dann ist es mit der Sympathie für diese Leute schlicht vorbei. Beispiele:

  • Software/Business-Patente. Das ist zu einem Kartell der Erpresser verkommen.
  • Verarschung der legitimen Kunden. Ich sag nur DVD mit Region-code, non-skippable Werbung/warnungen (kommt genial auf Kinder-DVDs)
  • Die Explosion des Wissens
  • RIAA Accounting
  • Wir kennen das Lied schon.
  • “Nein, du kannst das nicht in der Form kaufen, die du haben willst.” Beispiel: aktuelle US-Serien. Das ist ein relevanter Markt, der nicht bedient wird. No na wird da filesharing gemacht.

So ganz einseitig und einfach ist aber aber auch nicht, ich empfehle den Piraten mal die Lektüre von Charlie Stross’ Common Misconceptions About Publishing.


Der normale Bürger da draußen, der sich sein Brot in der freien Wirtschaft verdient, fühlt sich ernsthaft verarscht, wenn er von den Künstler ein “Ich brauche die Festplattenabgabe, weil sonst kann ich nicht mehr von meiner Kunst leben!” hört.

Das “ich kann nicht davon leben, was ich gern machen / gelernt habe” ist leider eine Sache, die viele trifft. Vom Greißler über den Cafe-Besitzer bis hin zur Historikerin. Ganze Scharen von arbeitslosen Akademikern haben genau das Problem.

Ja, Diebstahl ist ein Problem. Aber ein vorbeiproduzieren an dem, was (und wie) die Leute denn kaufen würden ist es ebenfalls. Und falls die Kunst meint, es kann ihr egal sein, ob sie was macht das der Markt haben will, dann ist das Liebhaberei und ein Hobby. Aber keine Berechtigung, davon Leben können zu müssen.

Die Gesellschaft als Ganze mag entscheiden, dass man sich Kunst leisten will. Dann sind wir wieder in der Subventions/Almosen/… Schiene, die manchen Künstlern so aufstößt.


Der Kern der Problems ist meiner Meinung nach was ziemlich Böses: Die Industrie hat sich daraus entwickelt, dass das Duplizieren von Information (inc. Musik und Filmen) ein technisch anspruchsvolles und daher teuer zu lösendes Problem war. Die Studios, Verlage, … haben eine Lösung für einen Mangel verkauft.

Das hat sich jetzt massiv verändert: Das technische Problem existiert nicht mehr. Der Mangel ist weg. Und es gibt in vielen Bereichen einen massiven Überfluss an Inhalten. Die alten Methoden können in diesem Szenario nicht mehr funktionieren. Ein Beharren darauf kann es nicht sein.

Ein “jeder kann alles und immer ohne jegliche Vergütung kopieren” wird auch kaum die Lösung sein.

Interesting Times. Ich seh keine simple Lösung für das Problem. (und ja, das ist eines)

Addendum (10.5.2012): Auch Meldungen wir diese erhöhen nicht das Verständnis der Bevölkerung für die Forderungen der Musikindustrie.