Simon Koelsch coding software, using gadgets

19Jul/09Off

Do You Poken?

Immer oefters liest man im Netz den Begriff "Poken".
Mit diesem Blogpost will ich erklaeren, wozu Poken eigentlich da sind, welche Funktionen damit verfuegbar werden, wie der technische Hintergrund aussieht und was sich damit vielleicht in Zukunft anstellen laesst.

Ein Poken besteht aus einem USB-Stick der in einer Hand mit LED in der inneren Handflaeche endet. Die Huelle des Sticks ist mit einer Figur im Comicstil (Panda, Alien, Elvis, Tiger, etc.) bedruckt.

Panda Poken (Quelle: doyoupoken.com)

Panda Poken (Quelle: doyoupoken.com)

Es dient dazu, seine Kontaktdaten mit anderen Pokenbesitzern auszutauschen. Um diesen Austausch vorzunehmen muessen nur die Handflaechen beider Poken fuer 2-3 Sekunden aneinander gehalten werden. Nun werden ueber RF die Poken IDs ausgetauscht. Wenn alles funktioniert hat, leuchtet eine in die Handflaeche des Pokens integrierte LED kurz gruen auf. Leuchtet die LED rot auf, gab es einen Fehler und der Vorgang muss wiederholt werden.

Das eigene Profil in Form einer kleinen Visitenkarte pflegt man beim Hersteller doyoupoken.com direkt. Dort lassen sich auch die freigegebenen Daten der zuletzt getauschten Kontakte einsehen, nachdem man eine kleine HTML Datei auf seinem Pokenstick geoeffnet hat.

Features

Was auf der Pokenvisitenkarte angezeigt wird kann man selbst frei waehlen. Es stehen die VCard ueblichen Felder zur Auswahl, ausserdem lassen sich die meisten bekannten sozialen Netze hinzufuegen, ein Benutzerbild und ein eigener Hintergrund der Visitenkarte.

Poken Visitenkarte

Poken Visitenkarte

Hier koennen auch mehrere Identitaeten angelegt werden, zum Beispiel laesst sich so eine Identitiaet fuer Geschaeftspartner und eine fuer Freunde anlegen. Welche von diesen Identitaeten nun an andere Poken uebertragen wird, laesst sich durch mehrmaliges druecken der Handflaeche des Pokens bevor man diese aneinander haelt auswaehlen.

Auch kann man dabei in eine Art "Ghost"-Modus schalten. Hier wird nur eine blanke Visitenkarte getauscht, erst wenn der Kontakt online bestaetigt wurde, ist die eigentliche Visitenkarte sichtbar.
Ueber doyoupoken.com koennen ausserdem die Kontaktkarten auch direkt im VCard-Format heruntergeladen werden.

Technik

Technisch gesehen basieren Poken eigentlich nicht auf einem komplizierten Prinzip. Jedes Poken besitzt eine eindeutige ID. Diese wird beim aneinanderhalten zweier Poken getauscht. Auf dem Poken befindet sich eine Start_Poken Html-Datei welche die Domain http://p.poken.ch aufruft.

In der URI ist ausserdem noch die eigene Poken ID enthalten, ausserdem die IDs der anderen Poken mit denen eine Kontakt stattgefunden hat. Die Begrenzung das maximal 64 Kontakte gespeichert werden koennen, bevor ein Abgleich mit der Homepage stattfinden muss liegt uebrigends nicht am Speicherplatz des Pokens (scheinbar ~ 1 Gig read-only), sondern an der Begrenzung von URIs auf eine feste Laenge.

Nach einem Login auf der Pokenseite werden dann einfach die so hinzugefuegten Kontakte gespeichert.

Kritik

Etwas enttaeuscht bin ich von der Verarbeitung des Pokens. Etwas Metall haette sich bei der Verarbeitung des USB-Steckers sicher besser gemacht. Beim einstecken in den USB-Port habe ich irgendwie immer Angst ich koennte in den naechsten 5 Minuten unguenstig an den Kanten meines Laptops haengen bleiben und das Poken abbrechen. Auch graut mir ein wenig vor dem ersten Batteriewechsel. Hierzu muss das Gehaeuse an der Unterseite mit einem Schraubenzieher aufgehebelt werden.
Hier waere eine selbstladende Batterie sicherlich um einiges praktsicher gewesen.

Die Idee des Pokens stammt uebrigends auch nicht direkt von der Firma Poken S.A. und ihrem Gruender Stéphane Doutriaux sondern wurde schon 2007 als Abschlussarbeit von einem kleinen niederlaendischen StartUp mit dem Namen E vorgestellt. Ueberhaupt gefaellt mir das Poken, genannt Connector dann doch eigentlich wesentlich besser. Leider befinden wir uns dort dann aber doch in einem wesentlich anderem Preissegment. Ausserdem scheint hier der Focus bei "Businessusern" zu liegen.

Ein weiterer Kritikpunkt ist fuer mich, dass ich meine Zugangsdaten zu den sozialen Netzen die ich verlinken will angeben muss. Laut doyoupoken.com ist das noetig, um zu verifizieren, dass ich auch wirklich hinter diesem Profil stecke. In meinen Augen voellig ueberfluessig, da ich die Person zuvor im echten Leben getroffen habe. Auch werde ich nach einer Kontaktaufname ueber das soziale Netz wahrscheinlich ziemlich schnell feststellen, ob der Account nun zur betreffenden Person gehoert oder nicht. Da gibt es in Sachen Sicherheit durchaus andere Baustellen.

Sicherheit

Vorab: Das Problem was sonst bei RFID haeufig kritisiert wird, naemlich das unbemerkte Auslesen von Informationen ist bei Poken eigentlich nicht moeglich. Benoetigt wird zum Auslesen ein direkter Kontakt von Empfaenger und Sender.

Traurig ist allerdings, dass eine Firma die 2009 nach eigenen Angaben 60.000 Produkte herstellt es nicht schafft, die Verbindung zu ihrem Dienst ueber SSL herzustellen. Die Homepage unterstuetzt zwar den Zugang ueber https, allerdings muss ich die Adresse selbst direkt eingeben. Eine Weiterleitung nach einem Klick auf Login besteht nicht. Rufe ich die Datei Start_Poken.html auf um meine Kontaktdaten zu uebertragen oder mein Poken zum erstenmal zu initialisieren, wird die Verbindung ebenfalls ueber http und nicht ueber https hergestellt. In Zeiten von offenen WLANs in Cafes, Konferenznetzen und Proxys eigentlich schon grob fahrlaessig. Erst recht wenn man noch unvorsichtigerweise das Auto-Login Feature aktiviert hat.
Laut doyoupoken.com wurde da bereits nachgebessert, aber ein tatsaechliches Ergebnis laesst sich nicht erkennen.

Auch hat sich der belgische Sicherheitsexperte Didier Stevens das Poken naeher angesehen und festgestellt, dass neben der Poken ID im Klartext (Base64 ist keine Verschluesslung...) eine Verschluesslung mit maximal 64 Bit eingesetzt wird. "State-of-the-art" ist etwas anderes. Sollte diese Verschluesslung tatsaechlich geknackt werden, waere es wahrscheinlich moeglich beliebige Kontaktdaten die hinter Poken IDs stecken einzusehen. Natuerlich wird niemand mal eben 64 Bit brechen. Aber trotzdem, die Frage was da aber bei einer ernsthaften Traffic-Analyse waehrend des Pokens herauskommt, ist sicherlich berechtigt.

Ausblick

Kuerzlich wurde von Dave Brown der Poken Hub vorgestellt. Wer jetzt direkt an ein Stueck Hardware denkt hat eine falsche Vorstellung :-) . Der Poken Hub ist eine Software die ein Poken als Empfaenger benoetigt. Meldet sich jetzt jemand an diesem Poken an, wird die Software getriggert und kann verschiedene Aktionen ausloesen. Ein Beispiel waere zu twittern, dass Person xy jetzt eingetroffen ist. Der Hub ist ueber Plugins erweiterbar. So koennen Pokens also auch als Token benutzt werden. Wann es den Hub tatsaechlich zu kaufen gibt, ist noch unklar.

Auch wurde inzwischen angekuendigt doyoupoken.com um eine offene API zu erweitern. Damit liese sich wahrscheinlich der Poken Hub mit einer handvoll Zeilen Perl problemlos genauso erweiterbar nachbauen. Wie diese API aussehen soll, wann sie kommt und welche Features unterstuetzt werden ist noch nicht bekannt, allerdings gibt es ein Posting zur Philosophie dahinter.

Da die Abfrage der Zugangsdaten beim hinzufuegen von sozialen Netzen in der Kritik stand, wird hier inzwischen auch daran gearbeitet einen anderen Authentifizierungsmechanismus einzubinden. Ich nehme an, hier wird einfach die API des anderen Netzes benutzt, falls dieses verfuegbar ist.

Bleibt abzuwarten was die API hergibt.
Mein Poken sieht uebrigends so aus:

Mein Ninja Poken

Mein Ninja Poken

Weitere Informationen:

Hersteller DoYouPoken.com

Hersteller Blog

MyPoken.org

Erfahrungen mit Pokens im "Business" ;-)

Pokenonline Infoseite + Shop

Pokenshop Missionpoken.de

Ein anderer Pokenshop

Kommentare (3) Trackbacks (0)
  1. Guter Post. Kurz und knapp zusammengefasst für Menschen, die noch nie vorher was von Poken gehört haben.

  2. Er: http://www.cyber-junk.de/?s=Poken kennt sich bestens aus mit Businesspoken.

  3. Ah thx!
    Da hatte ich die Geschichte mit IBM und den Business Pokens gelesen.
    Hab den Link dem Artikel hinzugefuegt.


Trackbacks are disabled.