Planet Murrhardt

Wir (OpenStreetMap-Lokalteam Murrhardt/Sulzbach) hatten gestern Besuch vom Spiegel. Zwei sehr engagierte Journalisten begleiteten uns bei einer Mapping-Tour.

Um den Mapper-Erfolgseffekt möglichst gut darzustellen, suchten wir uns einen Ort, in dem noch fast nichts gemappt war (Kaisersbach). Das Ergebnis kann man dann hier bewundern.

Ich hab ein recht gutes Gefühl, Interesse und Kompetenz schien vorhanden, es wurden nicht die üblichen »dummen« Fragen gestellt (»Warum macht ihr das, Google Maps ist doch auch kostenlos?«) und es war eine sehr angenehme Atmosphäre. Wann der Artikel erscheint wissen wir noch nicht, werde ich dann rechtzeitig mitteilen.

Heute durfte ich die jüngste schwiegerelterliche Investition ausprobieren, das neue Navigationsgerät Medion GoPal 4425.

Erster Eindruck: So ein langsames Gerät habe ich schon lange nicht mehr gesehen. Knopf drücken ... sofort ein unüberhörbar lautes klacker ... warten ... nach belieben noch ein paar mal auf den Touchscreen hacken, es klackert jedes Mal ganz doll ... noch ein bisschen warten ... irgendwann tut sich was.

Zweiter Eindruck: Dennoch kann man damit leben.

Ich würde mir deutlich mehr Einstellmöglichkeiten wünschen. Z.B. gibt es beim "Tastenton" (das nervige klackern) nur die Entscheidung: aus, laut oder ganz laut. Man will den Ton nicht ausschalten, weil man dann gar nicht mehr weiß ob das Navi jetzt noch nachdenkt oder ob der Touchscreen den Finger oder Stift nicht bemerkt hat.

Zum Routing an sich kann ich wenig sagen, da ich nirgends hin gefahren bin wo es Kreuzungen gibt.

Die Linux-Kompatibilität ist schlecht. Eigentlich sogar unerwartet schlecht. Dank Windows-CE meldet sich das Gerät als undefinierbares irgendwas beim Linux-Kernel. Der weiß damit nichts anzufangen. In meinem Test hat das Gerät auch gleich alle 3 Sekunden neu verbunden, was im dmesg eine etwas unschöne Liste an Meldungen erzeugt.


Erfreulich in diesem Zusammenhang: Aufgezeichnete Tracks werden als GPX auf der SD-Card gespeichert. Die zu erhalten ist also sehr unproblematisch.
Ebenso mit den Kartendaten. Also ja, es sind schon alle auf der SD-Card installiert, aber die Installation besteht auch nur darin, normale Dateien auf eine normale SD-Card zu kopieren. Das ist erfreulich einfach und funktioniert unter jedem OS.

I just read an article about the recent wordpress vulnerability (if you're running wordpress, please update to 2.5.1 NOW), one point raised my attention: The attack uses MD5-collisions.

I wrote some articles about hash collisions a while back. Short introduction: A cryptographic hash-function is a function where you can put in any data and you'll get a unique, fixed-size value. »unique« in this case scenario means that it's very hard to calculate two different strings matching to the same hash value. If you can do that, the function should be considered broken.

The MD5 function got broken some years back (2004) and it's more or less a question of time when the same will happen to SHA1. There have been scientific results claiming that an attacker with enough money could easily create a supercomputer able to create collisions on SHA1. The evil thing is: Due to the design of both functions, if you have one collision, you can create many more easily.

Although those facts are well known, SHA1 is still widely used (just have a look at your SSL connections or at the way the PGP web of trust works) and MD5 isn't dead either. The fact that a well-known piece of software got issues depending on hash collisions should raise attention. Pretty much all security considerations on cryptographic protocols rely on the collision resistance of hash functions.

The NIST plans to define new hash functions until 2012, until then it's probably a safe choice to stick with SHA256 or SHA512.

Heute habe ich einen weiteren Linux-PC an eine Kundin ausgeliefert. Hier wurde ich letzte Woche gerufen, da der PC beim hochfahren immer Scandisk angeworfen hatte und das sich in einer Endlosschleife festgefressen hatte.

Ergebnis einer schnellen Diagnose mit der System-Rescue-CD: Auch hier war die Festplatte schlicht und einfach kaputt. Die Geräuschkulisse war zwar nicht besonders beängstigend, aber deutet auch in diese Richtung.

Da nach Austausch der Festplatte sowieso eine Neuinstallation ins Haus stand, habe ich auch hier die obligatorische Frage gestellt: "Für was brauchst du denn den Computer alles?" Da sich auch da schnell abzeichnete, dass die offensichtlichen Vorteile eines Linux-Systems (Kinder machen nicht versehentlich das System kaputt, keine ernsthaften Viren-Probleme) durch kein haltbares Argument zu entkräften waren, konnte ich auch hier deutlich machen, dass die Kundin mit einem Linux-System besser beraten ist.


"Schnellmigration" vollständig lesen

Vor einigen Tagen wurde ich zu einem Kunden gerufen, der Probleme mit seinem "Server" hatte. In anführungszeichen deshalb, weil es sich um einen Arbeitsplatz-Rechner handelte, der in der Ecke stand und ein paar Freigaben im Netz publiziert hat.

Die Probleme des Servers waren schnell erkennbar, die ersten Sektoren der Festplatte waren komplett hinüber. Da sowieso eine neue Festplatte und damit eine Neuinstallation nötig war, habe ich gleich vorgeschlagen, das bisher eingesetzte Windows durch einen einfachen Linux-Server zu ersetzen. Windows-Dateifreigaben sind damit auch kein Problem und die Backups auf den im "Server" verbauten DVD-Brenner zu sichern dürfte mit K3B keine Probleme bereiten.

Ich entschied mich für Ubuntu 6.06 LTS. Das ist zwar schon etwas älter, wird aber noch eine Weile supported. Ich denke mal, in einigen Tagen kann ich dann gleich auf die neue 8.04 LTS aktualisieren. ich warte noch, weil ich denke dass es bestimmt noch Migrations-Probleme geben kann.

Dort arbeitet jetzt also seit etwa einer Woche ein Ubuntu-Server mit Samba und KDE/K3B zum Brennen von DVDs. Die Festplatte wurde durch einen Software-RAID-1-Verbund ersetzt, damit ein Platten-Ausfall erstens schneller bemerkt werden kann und zweitens vielleicht reparabel bleibt.

Der Kunde hat jetzt noch ein wenig Spaß, die knapp 40.000 Dateien, die von der Datenrettungs-Software des PC-Fachhändlers knallhart durchnummeriert zurück kamen inhaltlich zu bewerten und zu sortieren.

Mit dem Linux-PC ist der Kunde allerdings zufrieden, auch wenn es in seinem Tagesablauf keinen nennenswerten Unterschied zu vorher gibt.

Heute fiel mir eine sehr unschöne Sache bei .org-Domains auf. Registriert man eine solche Domain und setzt Nameserver-Einträge, die ebenfalls unter .org laufen, dann ruft die .org-Registry die IP-Adressen dieser Nameserver ab und speichert die. Diese werden dann zusammen mit der NS-Antwort als "Additional Section" an den anfragenden Client übertragen.

Das Ganze ist eine eigentlich nette Service-Leistung und klingt auf den ersten Blick plausibel.

Das Problem beginnt allerdings dann, wenn sich die IP-Adressen der Nameserver ändern. Bei uns wurde einer der drei Name-Server vor über einem halben Jahr entfernt und ein zweiter letzte Woche. Die .org-nameserver liefern aber noch immer unbeeindruckt die alten Adressen aus. Das führt dazu, dass unsere .org-Domains ohne unser Wissen jetzt nicht mehr nur schlecht sondern sogar sehr schlecht erreichbar waren.
Durch eine Änderung der Nameserver kann man erreichen, dass diese IP-Adressen neu angefragt werden. Wie man diesen Vorgang für die einmal irgendwann eingetragenen DNS-Server-Namen macht, ist mir schleierhaft.

Ich hatte mir heute den Tag über Gedanken über ein mögliches DoS-Angriffs-Szenario gemacht, aber kein wirkliches gefunden. Ich hab aber immer noch das Gefühl, dass man das DoS'en kann.

I own this Canon IXUS 50 camera for more than two years now. It's a fine device, but it has some small lacking features where I often asked myself if this could be enhanced with a new firmware.

Until recently, when I read about the CHDK project: It's a kind of firmware enhancements for Canon cameras. It doesn't fully replace the real firmware, but adds additional stuff (I must say I don't fully understand what they do). And now they have an experimental port for the SD400, which is built into my cam.

The first big killerfeature one will notice is that the cam now has a battery monitor, which is the most obvious lacking feature of the original firmware.

One more thing I always would've liked for my cam is a better video compression. The video quality is quite good, but the cam just can do mjpeg, which leads to big files and limits your maximum video size to about 20 minutes. It seems CHDK has some better compression video mode, but I'll have to dig deeper into it. Beside, I can now record raw images. So there's lot's of cool stuff to play with.

In the instant messaging world, encryption is a bit of a problem. There is no single standard that all clients share, mostly two methods of encryption are out there: pgp over jabber (as defined in the xmpp standard) and otr.

Most clients only support either otr (pidgin, adium) or pgp (gajim, psi), for a long time I was looking for a solution where both methods work. psi has otr-patches, but they didn't work when I tried them. kopete also has an otr-plugin, but I've not tested that yet.

Today I found that there is an otr-branch of gajim, which is my everyday client, so this would be great. As you can see on the picture, it seems to work on a connection with an ICQ user using pidgin.

I've created some ebuilds in my overlay (the code is stored in bazaar, I've copied the bzr eclass from the desktop effects overlay):

svn co https://svn.hboeck.de/overlay

Normalerweise versuche ich aus Datenschutzgründen, nach Möglichkeit mit Bargeld und nicht mit EC-Karte zu bezahlen. Gestern jedoch merkte ich erst im Laden, dass ich viel zu wenig Bargeld bei mir hatte. Also doch mit Karte.

Beim rausgehen warf ich ein Stück überflüssige Verpackung gleich in den Müll und wollte schon mit dem Kassenzettel ebenso verfahren, hielt jedoch kurz inne. Steht da was möglicherweise sensibles drauf? Geschaut, tatsächlich, BLZ, Kontonummer (kein Name, sonst wär's noch problematischer). Ich weiss nicht ob das üblich ist, werde aber in Zukunft darauf achten.

Welche möglicherweise spannenden Datensätze man generieren könnte, durch schlichtes Wühlen in den Papierkörben vor großen Geschäften, das überlasse ich der Phantasie meiner Leser.

Today I asked myself if I can ping an IDN host.

My default ping (iputils on linux) couldn't do it, but I found some patches out there, e.g. from Fedora. Thanks to SpanKY, we now also have IDN-enabled ping in Gentoo (he used a modified patch).

Ich hatte ja schonmal alternative Biobrausen angetestet, habe in jüngster Zeit ein paar weitere Exemplare einer Geschmacksprobe unterzogen.

Exemplar 1: Bio Drink, käuflich erworben bei ALDI Süd. Das Flaschendesign sieht stark nach Discouter aus, aber ich will hier ja das Getränk testen und nicht das Design. Holunder-Cranberry ist auf dem Foto abgebildet, es gab noch zwei andere Sorten, aber die Flaschen sind schon entsorgt, deswegen weiss ich nicht welche.

Schmeckt ganz passabel und nicht zu süß. Empfehlenswert.

Exemplar 2: REWE Bio Erfrischungsgetränk, Cranberry getestet, Ananas steht noch im Kühlschrank. Zunächst hier ein Blick auf die Zutatenliste, welche Milchsäure enthält. Das dürfte das Getränk für einen Großteil der potentiellen Kundschaft (vegane Ökos) uninteressant machen.
Zum Geschmack: Es schmeckte nichtmal so schlecht, aber irgendwie nicht nach Bio. Süßer als das Original und Geschmack eher künstlich.

Mein Fazit: ALDI bislang Testsieger der Discouter-Brausen, REWE dahinter, Maltonade weiterhin Schlusslicht.

Disclaimer: Ich werde (leider) nicht von Bionade bezahlt, auch wenn mir das in oben verlinktem Blogeintrag vorgeworfen wurde.

Auf telepolis findet man heute einen lesenswerten Artikel zum Thema »Richtervorbehalt«. Aufgegriffen wird darin unter anderem ein Fall, über den gulli vor einiger Zeit schon berichtete, der aber sonst trotz seiner Brisanz kaum Medienpräsenz erhielt: Ein Mensch wurde mit einer Hausdurchsuchung bedacht, weil unter Angabe seiner eMail-Adresse Leistungen genutzt und nicht bezahlt wurden. Es lag nicht der geringste technische Hinweis vor, dass der Inhaber der Mailadresse auch tatsächlich der Schuldige sei. Trotzdem unterschrieb ein Richter den Hausdurchsuchungsbefehl, der Begriff »Rechtsbeugung«, den telepolis hier verwendet, ist wohl treffend.

Das Problem ist nun, dass man in solchen Fällen zwar eigentlich Recht hat, aber dies einem eigentlich nichts nützt. Denn weder der Richter, noch die durchführenden Organe haben in solchen Fällen irgendetwas zu befürchten (»Eine Krähe hackt der anderen kein Auge aus«). Ähnlich ja auch geschehen bei den Massenhausdurchsuchungen im Vorfeld des G8-Gipfels, die zwar anschließend für rechtswidrig erklärt wurden, was jedoch für niemanden Konsequenzen hatte.

Desweiteren macht der oben genannte Fall auf eine Problematik aufmerksam, die sich in Zukunft noch verschärfen dürfte (Stichwort »Urheberrechtsnovelle«): Ein Richter wird mit einem Fall betraut, der eigentlich eines gewissen technischen Sachverstandes bedarf, um überhaupt eine adäquate Einschätzung zu geben. Es ist vermutlich zu erwarten, dass die Sensibilität hierfür nicht gerade steigt, wenn es »nur« um den massenhaften Abruf von Verkehrsdaten beim Provider geht, der ja durch die kürzlich verabschiedete Urheberrechtsnovelle ermöglicht werden soll.

Bei der Debatte um die diversen Verschärfungen von Sicherheitsgesetzen wird der Richtervorbehalt oft genug als Allheilmittel gegen Mißbrauch angesehen - warum eigentlich?

Today heise security brought a news that a growing number of old wordpress installations get's misused by spammers to improve their pagerank. I've more or less waited for something like that, because it's quite obvious: If you have an automated mechanism to use security holes in a popular web application, you can search for them with a search engine (google, the mighty hacktool) and usually it's quite trivial to detect both application and version.

This isn't a wordpress-thing only, this can happen to pretty much every widespread web application. Wordpress had a lot of security issues recently and is very widespread, so it's an obvious choice. But other incidents like this will follow and future ones probably will affect more different web applications.

The conclusion is quite simple: If you're installing a web application yourself, you are responsible for it! You need to look for security updates and you need to install them, else you might be responsible for spammers actions. And there's no »nobody is interested in my little blog«-excuse, as these are not attacks against an individual page, but mass attacks.

For administrators, I wrote a little tool a while back, where I had such incidents in mind: freewvs, it checks locally on the filesystem for web applications and knows about vulnerabilities, so it'll tell you which web applications need updates. It already detects a whole bunch of apps, while more is always better and if you'd like to help, I'd gladly accept patches for more applications (the format is quite simple).

With it, server administrators can check the webroots of thier users and nag them if they have outdated cruft laying around.

Ich komme mir grade vor als hätte ich ein paar Jahre hinterm Mond gelebt. Und zwar war mir die Existenz von CSS »block formatting contexts« völlig fremd.

Für meine Leser, von denen ich erwarte, dass es ihnen genauso geht, kurz ein Abriss:
Wenn man ein Element mittels float: left links ran kleben will, ist das einfach. Will man aber dieses float mittels clear: left wieder aufheben, dann fängt der nachfolgende Text erst unter der meistens vorhandenen linken Sidebar an. Zudem macht Internet-Explorer (< 7) gerne mal sehr komische Dinge bei einem traditionellen Sidebar-Layout.

Auf der Suche nach einer Lösung bin ich heute darauf gestoßen, dass man ein div auch in einen eigenen Formatierungs-Kontext setzen kann, innerhalb dessen beliebige clear-Statements möglich sind ohne das ganze Layout zu zerstören.

So einfach geht's: Dem Inhalts-div einfach overflow: hidden mit auf den Weg geben. Natürlich kann diese Eigenschaft Nebenwirkungen haben. Z.B. wenn man ein Element hat, das potenziell breiter ist als das Browser-Fenster. Sofern man aber die Größe des div nicht festlegt, sollte man oftmals gar keine Nebenwirkungen bekommen.
Der Internet-Explorer möchte (mittels conditional comments) noch zusätzlich ein float: left bekommen, damit das so funktioniert. Aber dann spielt auch der mit.

Die Lösung habe ich auf zahlreichen CSS-Hilfe-Seiten gefunden, eine Seite die es so hinbekommen hatte, dass ich es verstanden hab ist z.B. diese hier.

Und erwähnt mich. Zitat:
Hanno Böck, der die freie Geodatenbank Openstreetmap vorstellte, war extra nach Augsburg gereist, da es »hier noch besonders viel zu tun gibt«. Ein Blick auf eine Augsburger Stadtkarte zeigte, was er meint: Einige Straßen sind schon drin, Bahnlinie und Hauptbahnhof auch, sogar Sträßchen wie Kappelberg, Milchberg, Bäckergasse und Hallstraße sind eingezeichnet. Aber wo ist die Maximilianstraße? Der Rathausplatz? Da sieht es doch recht leer aus.

Augsburger Allgemeine: Damit der PC mit seinem Nutzer rechnen kann

Die Webhostlist (ja, ohne Link. Jeder kann .de dahinter setzen, wenn er will) ist ein Web-Portal, auf dem Angebote von Providern und Gesuche von zukünftigen Kunden zusammen finden sollen. Ein ganz normaler Preisvergleich bzw. Kleinanzeigenmarkt.

Dafür gibt es zwei Kanäle: Das Angebotlisting, in dem jeder Provider seine Angebote einstellt und Kunden nach diversen Kriterien suchen können auf der einen Seite und das Forum auf der anderen Seite. Im Forum stellt ein Kunde seine Anforderungen ein und Provider können mit einem Angebot antworten. nicht selten führt das zu skurrilen Dingen wie "Suche Webspace mit Feature foobar." mit der Antwort "biete das zwar nicht an, aber vielleicht ja was anderes was dich interessiert".

Als wichtige Bemerkung sei noch eingeführt, dass Provider bei Webhostlist unterschiedlichen Status haben können. Ungeprüft ist man immer als erstes. Wenn man dann viel Geld zahlt (ich weiß viel ist relativ), wird man Geprüfter Provider. Dazu muss man eigentlich nichts weiter machen als Geld zu zahlen. Zahlt man dann noch mehr Geld, wird man sogar Premium-Provider. Bisher war der Mehrwert darauf begrenzt, dass neben den Angeboten ein hübsches goldenes Emblem gezeigt wurde, das dem Kunden versichert, dass der Provider auch wirklich Geld an Webhostlist gezahlt hat.

Die zahlenden Provider haben sich (mittlerweile erfolgreich) beschwert, dass das Geldausgeben nur für ein hübsches Bildchen vielleicht nicht ganz gerechtfertigt ist.

Daraufhin wurde folgendes Umgestellt:
Wer ein Gesuch in das Forum einstellt, muss Daten-Striptease betreiben. Webhostlist fordert eine vollständige Adressangabe, anfangs sogar zwingend mit Telefonnummer. Gleichzeitig kann der Suchende auswählen, welcher Provider-Typus seine Daten und sein Gesuch sehen kann. Standardeinstellung ist (*Tusch*) zahlender Geprüfter Provider.
Die Webhostlist begründet das unter dem Applaus einiger zahlender Provider damit, dass man ja auf seriöse Geschäftsbeziehungen setze und daher die Angabe einer Identität verlangt werden könne. Zudem möchten Anbieter auch wissen, wem sie eventuell kein Angebot mehr machen möchten, wenn die den Namen schon kennen. Nun ja.
Ein Foren-Teilnehmer hat das treffend umschrieben mit der Pflicht, bei jedem Geschäft einer Einkaufspassage immer vor jedem Betrachten des Schaufensters eine Visitenkarte abgeben zu müssen.

Klar, so schlägt man zwei Fliegen mit einer Klappe: Es wird für alle Datenkraken-Provider sehr interessant, viel oder sehr viel Geld an Webhostlist zu zahlen, denn dafür bekommt man jetzt zuverlässig neue Adressen für seine Verbraucherinformationen. Webhostlist bekommt also mehr zahlende Kunden. Auf der anderen Seite werden die Adressen ja gespeichert und somit reiht sich Webhostlist nahtlos in die Liste der in den letzten Jahren stark an Wert gestiegenen Unternehmen mit vielen "Benutzerprofilen", in welcher Form auch immer.

Die vielen Forums-Beiträge, die diese Regelung als kompletten Unsinn bezeichnet haben, wurden konsequent ignoriert, was natürlich auch irgendwie aussagt, dass diese Regelung wohl nicht mit guten Argumenten belegt werden kann.

Die komplett sinnbefreite Kompromisslösung, die jetzt angestrebt wird (oder schon implementiert ist), sieht vor, dass der Anbieter erst nach Abgabe eines Angebots die Kontaktdaten des Interessenden sieht. Wie man das überhaupt irgendwie begründen kann, ist mir noch nicht eingefallen.



Als weitere Veränderung (da weiß ich aber nicht seit wann) gibt es bei der Suche nach Webhosting-Tarifen jetzt auch keine Möglichkeit, die nicht-zahlenden Provider überhaupt anzuzeigen. Erst nach Erhalt der Ergebnis-Liste kann man die Suchergebnisse auf nicht-zahlende Provider ausdehnen. Und diese Einstellung springt meiner Erfahrung nach manchmal etwas willkürlich wieder auf die Standardeinstellung zurück.

Was ich damit sagen will: Jeder, der über Webhostlist einen Provider sucht, sollte sich darüber im Klaren sein, dass er immer erstmal nur Angebote von Firmen bekommt, die der Webhostlist Geld bezahlt haben. Auch wenn die Webhostlist sich nach außen als kostenlos für beide Seiten kommuniziert. Und dass im Forum nun die Angabe falscher Daten zur Regel wird, ist (denke ich) auch klar.

Für meine geneigten Leser, denen die Firma Burson Marsteller kein Begriff ist: Burson Marsteller bezeichnet sich selbst als »zu den führenden Public Relations Agenturen und Unternehmensberatungen für Kommunikation« gehörend. Burson Marsteller verkauft Image. Burson Marsteller hat eine illustre Liste von Kunden: Die für die Chemiekatastrophe in Bhopal zuständige Firma »Union Carbide«, den Betreiber des Katastrophen-Atomreaktors von Three Mile Island, die »Global Climate Coalition«, einst prominenteste Stimme der sogenannten Klimaskeptiker oder den nigerianische Diktator Yakubu Gowon [1].

In den 90er Jahren machte ein internes Papier von Burson Marsteller Furore [2], welches an die Öffentlichkeit gelangte. Darin wurden Strategievorschläge für die Durchsetzung der Gentechnologie gemacht. Auftraggeber war die Organisation »EuropaBio«, ein Zusammenschluss diverser Größen der Biotechnologie: Bayer, BASF, Syngenta, Monsanto.

Soviel als Hintergrundinformation zu Burson Marsteller.

Heute erhielt ich einen Anruf mit der Bitte, ich möge doch recherchieren, ob der »Wissenschaftlerkreis Grüne Gentechnik e. V.« direkt mit Monsanto in Verbindung steht. Es sei jemandem aufgefallen, dass die IP-Adressen ähnlich aussehen.

Tatsächlich unterschieden sich die beiden Adressen nur in einer Stelle, verantwortlich für beide: Eine Firma mit Namen »Interactive Dialog«. Besucht man deren Webseite, erscheint sie einem zunächst wie jede gewöhnliche Internetagentur. Erst die Liste der Referenzen bringt dann interessantes zu Tage: Den oben genannten Wissenschaftlerkreis erwähnt man nicht, Monsanto sehr wohl, daneben eine Reihe anderer Firmen im Bereich der sogenannten Biotechnologie. Und eben auch: Burson Marsteller. Zufall?

Der »Wissenschaftlerkreis Grüne Gentechnik e. V.« wird geleitet vom Karlsruher Professor Dr. Klaus-Dieter Jany, der als sehr aggressiver Befürworter der grünen Gentechnik gilt und selbst Freisetzungsversuche in Rheinstetten bei Karlsruhe betreibt, ebenso im Vorstand der Verantwortliche für die Freisetzungsversuche im schwäbischen Oberboihingen, Prof. Dr. Andreas Schier. Die Genforscher geben sich gerne als Menschen, die lediglich das beste wollen. Dass sie von ihren Auftraggebern und Unterstützern eher ungern sprechen, mag daran liegen, dass die Firma, die »Agent Orange« produziert hat, nicht in das Bild der falsch verstandenen Weltverbesserer passt. Dass eine Organisation wie der »Wissenschaftlerkreis Grüne Gentechnik e. V.« eine Industriegründung ist, überrascht wenig, mehr schon, dass es so plump geschieht, dass es mit ein bißchen Internetrecherche herauszufinden ist.

[1] http://vorort.bund.net/suedlicher-oberrhein/wyhl-vietnam-neue-akw.html
[2] http://www.aktionsbuendnis.net/Firmen/Burson%20Marsteller/empfehlu.htm

Vergangene Nacht wurde in Oberboihingen (nähe Stuttgart, zwischen Wendlingen und Nürtingen) ein Feld der FH Nürtingen besetzt, auf dem in den vergangenen Jahren MON810-Mais von Monsanto angebaut wurde.

Die Stimmung ist gut, die lokale Presse war heute früh gut vertreten. Einige Aktivisten wollen so lange wie notwendig ausharren. In Gießen wird bereits seit einer Woche ebenso ein Feld (dort geht es um Versuche mit Gerste) besetzt, es deutet sich an, dass der Versuch dort abgesagt wird.

Verstärkung ist natürlich erwünscht, vom Bahnhof Wendlingen ist das Feld gut zu Fuß erreichbar, heute abend gibt es Vorträge und ab 0:00 Uhr eine Goa-Party auf dem Feld.

Meldung mit Wegbeschreibung bei Gendreck Weg

Bilder von mir zur freien Verwendung mit Quellenangabe.

Heise Telepolis schreibt heute in einem Artikel über die Möglichkeiten des PIN-Abgriffs bei Lidl folgenden Absatz zur Biometrie:

Ob die von der ebenfalls im Videoüberwachungsskandal verwickelten Edeka-Kette als Lösung propagierten Fingerabdruckbezahlverfahren Abhilfe schaffen, ist mehr als fraglich. Tatsächlichen Sicherheitsgewinn brächte dagegen eine Umstellung auf die Erkennung des individuellen Venenmusters. In Japan wird dieses Verfahren bereits seit geraumer Zeit an Geldautomaten eingesetzt.

Ich sehe das aber sehr skeptisch. Vor der Zeit der elektronischen Datenbanken galten Fingerabdrücke als sehr sicher, ja es galt eigentlich sogar als ausgeschlossen, dass es da Verwechslungen gibt. Trotzdem denken wir heute, nach Beginn des allgemeinen Biometrie-Hype anders darüber. Die in immer größeren Stückzahlen hergestellten Fingerabdruck-Scanner erkennen nicht zuverlässig genug, Fingerabdrücke werden sowohl für die Aufklärung von mehr und weniger schweren Straftaten als auch für Lappalien wie Laptop-Zugangskontrolle verwendet.

Die Aussage von Heise Telepolis kann ich aber aus einem anderen Grund nicht wirklich unterstützen. Hier wird Biometrie empfohlen als Alternative zur anderer Biometrie. Meiner Ansicht nach, stellt sich momentan jede Biometrie als Passwort-Ersatz dar. Ob es gute Passwörter (Venenmuster, Iris-Scan) oder schlechte Passwörter (Fingerabdruck, Gesichtsmetriken) sind, spielt keine Rolle, es sind immer noch Passwörter.

Jedem Computer-Benutzer werden immer wieder 3 wichtige Grundregeln für die Verwendung von Passwörtern mit auf den Weg gegeben (zudem, dass man sich ein sicheres Passwort aussuchen soll):

1. Ändere dein Passwort gelegentlich
2. Sorge dafür, dass niemand dein Passwort herausfinden kann
3. Benutze für unterschiedliche Zugänge auch unterschiedliche Passwörter

Und diese drei Regeln lassen sich mit Biometrie nicht abbilden. Und zwar gleich welche Biometrie man nimmt. Man kann natürlich mehrere Merkmale unterschiedlich kombinieren, aber das ändert nichts am Problem.

Wir haben heute die Situation, dass jemand, der meinen Fingerabdruck reproduziert, damit bei Edeka einkaufen kann. Der CCC veröffentlichte jüngst den Bausatz mit Erklärung, wie man Fingerabdrücke sichert und reproduziert. Dass das ganze dann bei Edeka funktioniert ist ebenfalls bewiesen.

Es wird nicht lange dauern, bis es entsprechende Techniken gibt um Iris- oder Venenmuster zu reproduzieren. Wenn mein Bankkonto dann darüber geschützt ist, sehe ich wenig Handhabe über den Missbrauch, der damit möglich ist. Je sicherer eine Technologie in den Medien beschrieben wird, um so blinder ist das Vertrauen darin.

Die Frage, die ich den Verantwortlichen dabei gelegentlich mal stellen möchte ist: Wenn jemand mein Venenmuster reproduziert (und ich das merke), wie kann ich dann neue Zugangsdaten für mein Bankkonto erhalten?

Von der Genfeld-Besetzung habe ich ja gestern berichtet. Im Schwäbischen Tagblatt weiss man die Aktion mit einer Kurzmeldung zu würdigen, die mit den Worten endet:
Da die Aktivisten einen Polizeieinsatz befürchten, haben sie eine Konstruktion aus drei Fichtenstämmen aufgestellt, auf dessen Plattform zwei junge Männer Wache halten.

Nun halte ich persönlich die Frage, welchen Geschlechts die Menschen auf dem Tripod sind, für eher wenig relevant, jedoch ist dies schlicht und ergreifend falsch. Das mag das Weltbild der Schreiberlinge vom Schwäbischen Tagblatt überfordern, aber sämtliche Menschen, die den Turm »bewachten«, waren dem biologisch weiblichen Geschlecht zuzuordnen.

Gestern war ich auf dem Augsburger Linux-Infotag. Ein kleines, aber feines Linux-Event für den im Moment etwas unterrepräsentierten süddeutschen Raum.

Mein OpenStreetMap-Vortrag wurde von knapp 50 Menschen besucht und lief ganz passabel. Erste Spuren in der bislang etwas vernachlässigten Augsburger Innenstadt sind schon sichtbar (Slides wie üblich hier, aber kaum verändert zum letzten Mal).

Am CAcert-Stand war man optimistisch, dass noch (Zitat) »dieses Frühjahr« die Firefox-Integration klappt (aber das habe ich schon oft gehört...), die Freifunker in Augsburg sind nett, PacketRadio und Amateurfunk taugt nicht für Freifunk (due to Gesetz, welches den Content einschränkt) und insgesamt war es ein nettes Event. Ich denke nächstes Mal bin ich wieder dabei.

Bilder vom Linux-Infotag Augsburg gibt's hier.

Hatte neulich bei einem Desktop-PC versehentlich die Tastatur in den Maus-PS/2-Port eingesteckt. Dank USB-Maus hab ich das Versehen nicht bemerkt.

Linux bootete auch ganz normal und es hat alles funktioniert.

Dann ist mir aufgefallen, dass das BIOS vor dem boot recht lange wartet und dann sagt "No keyboard found".

Linux hat die Tastatur aber trotzdem benutzen können. Als ob nichts wäre. Das find ich mal cool. :)

I got some spam in the comment fields of my blog that raised my interest.

Some sample how they looked like:
http://www.unicef.org/voy/search/search.php?q=some+advertising%3Cscript%3Eparent%2elocation%2ereplace%28%22http%3A%2F%2Fgoogle%2ede22%29%3C%2Fscript%3E

I've replaced the forwarding URL and the advertising words (cause I don't want to raise interest on spammers pages). I got several similar spam comments the following days all with the same scheme. Using a Cross Site Scripting vulnerability, mostly on pages that might raise trust to forward to a medical selling page.

This is probably a good reason why XSS should be fixed, no matter what attack vectors there are. It can always be used by spammers to use your pages fame / authority to advertise their services. Same goes for redirectors or frame injections. Some where already reported at some public place (for the above see here). I've re-reported them all, but got just one reply by a webmaster who fixed it. True reality on the internet today, even webmasters of famous public organizations don't seem to care about internet security.

For the record, the others:
http://adventisthealth.org/utilities/search.asp?Yider=<script>alert(1)</script>
http://www.loc.gov/rr/ElectronicResources/search.php?search_term=<script>alert(1)</script>

And thanks to iconfactory, they fixed their XSS.

Das Bundesverfassungsgericht hat zur Vorratsdatenspeicherung gesprochen. Leider alles andere als positiv. Was ich befürchtet habe, ist eingetreten, wie schon bei der Onlinedurchsuchung oder der Kennzeichenerfassung sprach das höchste Gericht einen faulen Formelkompromiss. Allerdings ist dieser noch deutlich fauler als die bisherigen.

Auch wenn der AK Vorrat selbst dies als Sieg verkaufen will, ich sehe das deutlich anders und versuche darzulegen wieso.

Kurz gesprochen lautet die Entscheidung: Gespeichert wird weiterhin, einzig der Abruf bleibt auf schwere Straftaten beschränkt. Eine endgültige Entscheidung gab es noch nicht, diese wird erstmal auf die lange Bank geschoben, insofern ist natürlich jede Einschätzung nicht endgültig und ich widerrufe alles hier gesagte, sollte das BVerfG. in absehbarer Zeit weiteres entscheiden.

Das Kern des Problems: Das BVerfG. sieht einen schwerwiegenden Grundrechtseingriff erst beim Abrufen der Daten, insofern beschränkt es diese auf schwere Verbrechen. So interpretiert etwa ein ARD-Rechtsexperte:

»Dass die Verbindungsdaten bis auf weiteres sechs Monate lang gespeichert - allerdings nicht ausgewertet - werden. Es sei denn, der Bürger gerät in Verdacht, eine schwere Straftat begangen zu haben. Dann muss ein Richter anordnen, dass die Verbindungsdaten den Ermittlern zugänglich gemacht werden.«

Das ist nun aber, gelinge gesagt, völliger Blödsinn. Es macht nur dann Sinn, wenn man davon ausgeht, dass ein Mißbrauch der Daten prinzipiell auszuschließen ist. Angesichts der Häufigkeit, in der gehackte Foren, größere Kundendaten von Unternehmen etc. immer mal wieder auftauchen, kann das nur glauben, wer die Realität vollkommen ausblendet.

Genau aus diesem Grund spricht man bei sinnvollem Datenschutz vom Konzept der Datensparsamkeit: Daten, die nicht erhoben werden, können auch nicht mißbraucht werden. Wenn sensible Daten erhoben werden, werden sie genutzt, mit hoher Warscheinlichkeit auch außerhalb ihrer ursprünglichen Zweckbestimmung. Dass das BVerfG. den Grundsatz der Datensparsamkeit mit seiner Entscheidung offensichtlich nicht beachtet, das ist das traurige an der heutigen Entscheidung.

Für die »Datenschutzbewegung«, den AK Vorrat und andere, stellt sich hier natürlich eine nicht unkritische Strategiefrage. Bislang galt das BVerfG. immer als letzte Hoffnung für den Datenschutz (was ja in mehreren Fällen der Vergangenheit durchaus berechtigt war). Meiner Ansicht nach täte nach dieser Entscheidung eine kritischere Haltung dem höchsten Gericht gegenüber Not. Das dies nicht einfach ist, als gesellschaftlich zwar wachsende aber immer noch schwache Strömung, die die große Mehrheit beider Volksparteien gegen sich hat, versteht sich.

(Hier stand noch ein Satz mit Link zu dieser Meldung, wo ich aber zugegebenermaßen unsauber recherchiert habe: Die Meldung ist zwei Jahre alt und wurde längst dementiert.)

Update: Bei den Piraten sieht man das Urteil ähnlich kritisch, lesenswert.

Am Donnerstag war ich im Kino. Der Film: JUNO, klasse Film, aber darum geht's jetzterstmal nicht. ^* :)

Kurz zur Einstimmung, wir kennen ja alle diesen Kino-Spot, der dieses Neunziger-Jahre-mäßige MPEG-1-PC-Filmchen zeigt und klar machen möchte, dass heruntergeladene Filme viel schlechter sind als im Kino. Den Spot kennen natürlich nur die Leute, die im Kino waren, aber dieses Paradoxon möchten wir jetzt nicht weiter vertiefen.
"Erlebnis Kino" vollständig lesen

Well, I usually don't tend to blog the content of my spam inbox, but hey, this time I make an exception. It's worth the fun.

There's a campaign that wants the UN to start a military action to shoot down an Unidentified Flying Object to know if there are extraterrestrians:
http://www.ufocampaign.org/

Yeah, that's really something worth making a petition. Tell those politicians you want their military to shoot down aliens. I wonder if this is a well-made hoax or not.

Unter dem Motto Für ein Morgen in Freiheit gingen gestern circa 2000 Menschen für Datenschutz und gegen Überwachung in Köln auf die Straße.

Ich könnte nun über die übliche Promifixierung rumnörgeln (ein »Ordner« wies mich an, ich solle doch bitte nicht vor den Promis laufen, damit die Presse die besser ablichten kann), die Tatsache, dass Volker Beck zwar die Doppelzüngigkeit der FDP anprangerte (deren Innenminister in NRW für das kürzlich gekippte Gesetz verantwortlich war, was ich bislang auch nicht wusste), aber wohl die Historie rot-grüner Bürgerrechtspolitik vergaß (Biometriepass, Anti-Terror-Pakete). Aber das nur am Rande.

Erwähnenswert scheint mir noch, dass eine Gruppierung, die sich Anti-Genozid-Bewegung nennt, dort massiv aufschlug (Link erscheint mir der Nachvollziehbarkeit halber notwendig, auch wenn mir bewußt ist, dass ich deren PR dadurch erhöhe). Ich zitiere einfach mal eines ihrer in großer Anzahl vorhandenen Pamphlete:
Seit 2000 Jahren weiß alle Welt, dass es jedem Menschen, der an den Gott der Bibel glaubt, strikt untersagt ist, irgendein Kontrollsystem, ein Charagma oder ein Erkennungs-Merkmal an seinem Leib anzunehmen, weder in Form einer sicht- oder unsichtbaren Tätowierung, noch eines unter die Haut gestochenen Chips. Wider dieses Wissen wird dennoch zielstrebig an der Entwicklung eines RFID-Chip (Radio Frequenz Identifikation) bzw. RFID-Tintendrucks gearbeitet, der in absehbarer Zeit als Kontrollorgan auf den Körper bzw. auf die rechte Hand oder Stirn aller Erdenbürger angebracht werden soll.(1) Allen Protesten zum Trotz zeichnet sich klar ab, dass vor allem christlich Denkende schon im Vorfeld mit brachialer Gewalt öffentlich niedergemacht, als Rebellen, als Verschwörungstheoretiker oder Fundamentalisten gebrandmarkt und diskriminiert werden.(2) Ist es statthaft, im Zeitalter der Anti-Diskriminierungsgesetze, eine Gleichschaltung aller Erdbewohner mit Mitteln voranzutreiben, die die Glaubensfreiheit kreuzigen und voraussehbar zu Ausgrenzungen und Sanktionen auf allen Ebenen des Menschseins führen? Soll ein unausweichlicher Holocaust an Bibelgläubigen verhindert werden, müssen Gesellschaft und Politik rechtzeitig jede weitere Entwicklung des RFID- bzw. VeriChips oder Tintendrucks etc. entsprechend unterbinden.(3) Jede rücksichtslose Weiterentwicklung wider besseres Wissen um diesen Tatbestand aber muss dringend als potentiell terroristische Zurüstung und Zeugung eines vorsätzlichen Genozids erkannt und behandelt werden.
So weit, so durchgeknallt. Ich denke im Detail darauf einzugehen lohnt kaum, sämtliche Texte strotzen vor inhaltlichen Fehlern und grammatikalischen Unzulänglichkeiten (zumindest fand ich bisher Tindendruck eher wenig bedrohlich).

Selbige Gruppe tauchte übrigens schon auf der Demo am 6.11.2007 in Stuttgart, allerdings waren die dort irrelevant (1-2 flyerverteilende Menschen) und erschienen mir nicht weiter beachtenswert. Im Unterschied dazu tauchte selbige Gruppierung gestern massiv (geschätzt mehrere hundert Menschen, also durchaus ein relevanter Anteil der Demo) auf. Erschreckend, dass eine Gruppierung, die derart offensichtlich durchgeknallt ist, derartige Mobilisierungskraft entfaltet. Der durch Religiosität mobilisierbare Wahn kann einen jedesmal erneut erschrecken.

nouveau, the project for creating a free 3D linux driver for nvidia cards, recently got first support for real 3D applications with gallium on some NV4X cards (see Nouveau Companion 36). Today I got it working on a friends machine.

Here you can see an openarena benchmark (also uploaded on youtube). It got 55 fps, which is far away from the nvidia binary driver yet (178 fps), but at least more than my r200 setup (32 fps).

For the brave ones, here's a quick and dirty howto for Gentoo:
a) Get the nouveau overlay with svn co https://svn.hboeck.de/nouveau-overlay and add it to PORTDIR_OVERLAY in make.conf.
b) The nouveau-overlay won't install the nouveau/gallium-branch of mesa. Get my overlay with svn co https://svn.hboeck.de/overlay and also add that to your PORTDIR_OVERLAY (I'll try to contact the nouveau-overlay developer if we can merge this).
b) Add media-libs/mesa, x11-base/x11-drm, x11-libs/libdrm and x11-drivers/xf86-video-nouveau to /etc/portage/package.keywords and merge them.
c) If you've been running the nvidia binary driver, eselect opengl set xorg-x11, change the graphics driver in xorg.conf to nouveau, rmmod nvidia (if you've been running the binary driver), modprobe nouveau and start X.
d) Have fun!

Note: The nouveau developers consider gallium completely unsupported at the moment and don't want to get end-user bugs. If it runs, fine, if not, don't nag them with it.

Hier mal kurz eine Erfahrung von heute, auf dass dies vielleicht andere finden, die sich in der selben Situation wiederfinden.

Gestern Abend teilten mir meine Eltern mit, dass ihr Rechner keinen Login mehr macht. Egal welcher Benutzer sich anmeldet, es bleibt immer sofort nach Verschwinden der Login-Maske alles stehen.

Nach einigem Debugging habe ich erstmal aufgegeben (es war spät) und heute früh weiter gemacht. Im Netz habe ich auch nicht wirklich was gefunden was passend war.

Der Lösung näher kam ich als ich ein simples xterm (mittels xinit bzw. .xinitrc) gestartet habe und dort dann "strace kwin" aufgerufen habe. Damit zeigte sich, dass der Prozess beim Locking auf die ~/.qt/.qtrc.lock stehen blieb. Da das NFS-Homedir schon manchmal beim Locking Probleme hatte, habe ich also getippt, es kann daran liegen. Laut rpcinfo -p war aber der nfslockd aktiv.

Über einiges trial und error und den entscheidenden Fund im Netz, dass das Locking Probleme macht, wenn der Server die IP-Adresse des Clients nicht auflösen kann, bin ich dann darauf gestoßen, dass der bind auf dem Server aus mir unerklärlichen Gründen sich nicht für die lokale reverse-Zone zuständig gefühlt hat. Ein einfaches Restart des bind hat genau das behoben, ab dann waren auch lokale reverse-lookups wieder möglich.

Der NFS-Server hat die Situation aber nicht verkraftet, einen restart-Versuch hat er immer mit einem Segmentation fault verweigert. Als ich dann aber den Server-Rechner neu gestartet habe, hat wieder alles wunderbar funktioniert. ohne das ich irgend etwas ändern musste.

Ich bewerbe ja eher selten Flash-Spiele, aber heute gibt's ne Ausnahme: Faith Fighter, die ultimative Alternative zu Religionskriegen. Im Style von alten Street Fighter-Spielen kann man zwischen verschiedenen religiösen Führern wählen (Gott, Jesus, Buddha, Mohammed, ...) und sich im Straßenkampf messen, natürlich mit den für das Genre üblichen Special Moves.

Das ganze stammt von einer italienischen Gruppe mit Namen »La Molleindustria«, die Computerspiele als politische Ausdrucksform begreift. Operation: Pedopriest von der selben Gruppe hat's schon bis zu einem im Parlament verhandelten Skandal geschafft.

We believe that the explosive slogan that spread quickly after the Anti-WTO demostrations in Seattle, »Don't hate the media, become the media,« applies to this medium.

Leider funktionierte das Spiel im moment weder in gnash noch swfdec (freie Flash-Player), jedoch wies mich ein swfdec-Entwickler darauf hin, dass die EXE-Version des Spiels problemlos mit WINE läuft.

(via telepolis)

Ich verrate Euch heute ein Geheimnis: Ich bin Kinofan. Musikindustrieboykott, ja, das kann ich mir noch vorstellen. Filmindustrieboykott, dafür wär ich nicht zu haben. Den gelegentlichen Kinoabend, darauf möchte ich nicht verzichten.

Nun, gelegentlich habe ich ein Auge auf diverse Filmportale im Netz. Ein Film wie »No Country for old Men«, auf cinema.de mit »Tipp« bewertet, auf filmstarts.de 9/10 Punkte und momentan Platz 1 der Lesercharts, käme durchaus in die engere Auswahl für einen Kinoabend.

Da ich mich gerade in Murrhardt aufhielt, kamen tendenziell zwei Kinobetriebe in Frage, eben das Murrhardter und die verschiedenen Backnanger. Zunächst, wiewohl cinema.de vollmundig einen Kinotimer für »Alle Kinos in allen Orten Deutschlands!« betreibt, scheint dort die Nachricht, dass es auch in Murrhardt ein Kino gibt, noch nicht angekommen zu sein. Es gestaltete sich als durchaus schwieriger, das Programm ausfindig zu machen. Zwar habe ich dort einen Newsletter abonniert, der jedoch in jüngerer Zeit nicht kam. Die Webseite verschließt sich seit jeher allem, was nicht Internet Explorer heißt. Aber selbst diese Hürde lässt mich ja nicht verzweifeln. Dort fand ich auch die Antwort, weswegen der Newsletter ausblieb (»leider ist unser Newsletter-Verteiler einem Festplattencrash zum Opfer gefallen«), woraufhin ich mich erneut für den Newsletter anmeldete und gleich (bei beiden Seiten) nachfragte, warum auf cinema.de kein Murrhardter Kinoprogramm zu finden ist. Das Programm auf der Webseite hörte jedoch am 27.2. auf, weswegen mir das nicht viel weiterhalf.

Nun, da das Kino in Murrhardt tendenziell eher spärlich mit aktuellen Filmen ausgestattet ist, hielt ich es für eine plausible Annahme, dass der Film dort nicht lief. Etwas mehr überraschte mich schon, dass keines der Backnanger Kinos den Film zeigen wollte. Ich war schon drauf und dran, den ländlichen Kulturbanausen die Schuld dafür in die Schuhe zu schieben, jedoch lag ich damit falsch, wie eine Anfrage beim Backnanger Kino ergab:
Leider hat der Verleih aber zu wenige Kopien gezogen, um alle interessierten Orte beliefern zu können. "Normale" Starts haben eine Kopienzahl von ca. 500-600 Kopien. Backnang ist bereits ab 300 Kopien dabei. Vom gewünschten Film wurden aber gerade Mal 129 Kopien gezogen.

Also, werte Filmindustrie, das Konzept muss man mir nochmal erklären. Zunächst finde ich es ja schon etwas anachronistisch, dass Kinos scheinbar immer noch mit Kopien in endlichen Stückzahlen hantieren (Geheimtipp: Es gibt ultramoderne Technologien, die nennen sich bspw. Bittorrent, die umgehen solche Beschränkungen). Aber da ich vermute, dass es gerade keine Knappheit auf dem Weltmarkt der Rohfilmbänder gibt, nehme ich doch stark an, dass hier irgendein Konzept dahintersteckt. Nur welches, das erschließt sich mir jetzt nicht unbedingt.

Also, wie stellt ihr Euch das vor? Die armen Menschen in ländlichen Regionen sind sicher so geil auf den Film, dass sie lieber 50 Kilometer fahren, weil dadurch das Erlebnis deutlich aufregender wird? Oder eher dass das Warten das Erlebnis noch viel aufregender macht? Nur so als ganz dezenter Hinweis, aber wenn irgendwelche Menschen irgendwo über einen potentiellen Kinoabend beraten, die Tatsache, dass die Hälfte der Anwesenden den Film aus unerfindlichen Gründen schon kennt, trägt nicht unbedingt dazu bei, die Entscheidung zu gunsten des Kinoabends zu treffen. Und die Warscheinlichkeit hierfür steigt enorm, wenn der Film andernorts schon mehrere Wochen läuft.

Nachdem ich jetzt doch von einigen Leuten weiß, die meinen greylisting-Filter bei sich einsetzen, kann ich das auch grade mal hier announcen... ;-)

Es gibt davon eine neue Version. Es gibt einen ziemlichen Bruch, es wird jetzt MySQL anstelle von SQLite als Backend benutzt. Das liegt daran, dass ich vor habe, eine selektive Whitelist (»Mails an diese Adresse bitte in den nächsten 10 Minuten nicht greylisten«) für unsere Kunden zu ermöglichen. Dazu muss es eine gemeinsame Datenbank für das webinterface und das greylisting geben, was hiermit geschehen ist.

Die offizielle Release-Seite enthält auch ein detaillierteres Change-Log.

Peinlicherweise habe ich erst ein paar Minuten nach dem Release festgestellt, dass die neue Version von courier, für die ich grade ein ebuild erstellt habe, eine kleine API-Änderung hat. ich habe mit einem Bugfix-Release der Version 2.0.1 darauf reagiert.

Dass grüner Strom nicht immer so grün ist, wie er manchmal vorgibt, das hat sich inzwischen herumgesprochen. Zum ersten Mal begegnet ist mir das Phänomen, als Yellow Strom vor Jahren verkündete, plötzlich einen erklecklichen Wasserkraftanteil in seinem Strom zu haben. Recherchen stellten dann fest, dass dieser (virtuell) in Norwegen gekauft wurde (wo der Wasserkraftanteil sehr hoch ist und keine Atomkraftwerke stehen), wofür dann im Gegenzug Atomstrom nach Norwegen verkauft wurde.

Inzwischen ist dieses Verfahren in Europa institutionalisiert und nennt sich Renewable Energy Certificate System (RECS). Besser wird es dadurch natürlich auch nicht. Jedoch scheint es ein populärer Irrtum zu sein, was nicht RECS ist, ist dann automatisch irgendwie gut. So las ich auf telepolis:

Strato als größter Provider hierzulande stellte jetzt imagefördernd ebenfalls auf Grünstrom um und bezieht seinen Strom aus Wasserkraftwerken am Rhein. Der Umstieg auf regenerativ erzeugten Strom wird sich rechnen: Der Preisunterschied zwischen konventionell und regenerativ erzeugtem Strom ist minimal und der Imagegewinn groß. [...]
Medienwirksam stieg jetzt auch der weltgrößte Chiphersteller Intel auf den neuen Trend ein und verkündete den Umstieg auf Grünstrom, leider nur nominell per RECS-Zertifikate (frei handelbare Herkunftsnachweise), was dem neuen grünen Image aber keinen Abbruch tut. Denn kaum jemand wird genau nachfragen.

Liest man das, hört sich das ungefähr so an: Strato gut, Intel schlecht. Ist aber leider falsch. Ist beides Humbug.

Strato hat vor einigen Monaten medienwirksam seinen Wechsel zu Ökostrom von der Naturenergie AG bekannt gegeben, Hetzner zog kurze Zeit später nach (womit auch dieses Blog mit »Grünstrom« von der Naturenergie AG betrieben wird). Die Naturenergie AG ist im wesentliche eine Tochtergesellschaft der EnBW (für die Pedanten: Eine 100%ige Tochter der Energiedienst Holding AG, diese wiederum gehört zu 75% der EnBW). Die EnBW wiederum ist alles, aber sicher kein Öko-Unternehmen (auch wenn Al Gore das vielleicht glaubt).
Der Trick bei der Sache ist nun: Die Naturenergie AG braucht überhaupt keinen RECS-Zertifikatehandel. Das geht nämlich alles unternehmensintern. Kaufen mehr Kunden bei der Naturenergie AG teuren Ökostrom (der sowieso produziert wird), dann wird eben virtuell mehr Atom- und Kohlestrom an die gewöhnlichen EnBW-Kunden verkauft. Der Umwelt hilft das reichlich wenig. Der Knackpunkt ist letztendlich, wofür das eingenommene Geld und gemachter Gewinn reinvestiert wird.

Nun wird der ein- oder andere vielleicht die löblichen Investitionen der Naturenergie AG und EnBW erwähnen, etwa den Neubau des Wasserkraftwerks Rheinfelden (100 MW). Dem gegenüber steht der Neubau eines Kohlekraftwerksblocks in Karlsruhe (900 MW), am Neubau eines Kohlekraftwerks in Mannheim ist die EnBW mit 32% Anteil an der Großkraftwerk Mannheim AG (900 MW) ebenfalls beteiligt.
Man kann es drehen und wenden wie man will, will man ernsthaft etwas für die Umwelt und den Klimaschutz tun, man kann nur solche Angebote von Ökostrom ernst nehmen, die von Unternehmen ohne Verstrickungen mit der Kohle- und Atomwirtschaft angeboten werden. Meine größten Sympathien haben immer wieder die Energiewerke Schönau, deren Initiatoren ich schon persönlich kennenlernen durfte. Die EWS hat insbesondere eine Tarifstruktur, die für Kleinabnehmer günstig ist. Greenpeace Energy kann man ebenfalls wohl bedenkenlos vertrauen.

Heute früh hat das Bundesverfassungsgericht geurteilt, das ganze so, dass jeder sich ein bißchen als Sieger fühlen darf. Grob lautet das Urteil, dass Onlinedurchsuchungen zwar prinzipiell zulässig sind, aber nur unter extrem eingeschränkten Bedingungen und mit Richtervorbehalt. Letzterer wird leider allzu oft als Allheilmittel gegen Mißbrauch gesehen, was sich dummerweise mit der Realität äußerst selten deckt.

Das Problem, was ich bei Diskussionen über die sogenannte »Onlinedurchsuchung« erlebe, ist, dass meine Hauptbedenken erst da anfangen, wo das technische Verständnis der meisten anderen (insbesondere auch der entscheidenden Politiker) längst aufgehört hat. Ich gebe mich heute dem Versuch hin, selbige Bedenken auszuformulieren, ohne alle Nicht-Techies abzuhängen.

Zunächst mal muss man ungefähr begrifflich fassen, was »Onlinedurchsuchung« sein soll. Im Regelfall meint man damit, dass in ein fremdes Computersystem eingedrungen werden soll und dort Daten geholt oder manipuliert werden (Detailunterscheidungen in Datenbeschlagnahmung, Quellen-TKÜ o.ä. unterlasse ich jetzt mal). Nun ist der vielfach herzitierte Vergleich mit der Hausdurchsuchung ein problematischer, weil Computer üblicherweise keine virtuelle »Tür« haben. In der Realwelt wird eine Tür eben eingetreten oder das Schließsystem anderweitig umgangen (ja, es gibt elegantere Wege, die kenn ich auch). Sowas ist jetzt erstmal bei einem Computersystem nicht zwangsweise möglich, weil es nichts gibt, was man im Zweifel mit roher Gewalt (Türe) überwinden kann.

Um dennoch in ein System einzudringen, macht man sich üblicherweise Sicherheitslücken in Systemen zu Nutze. Und hier kommen wir meiner Ansicht nach zum Kern des Problems: Nämlich der Umgang mit dem Wissen über Sicherheitslücken. Im Hacker-Slang unterscheidet man manchmal zwischen Whitehats (»gute« Hacker) und Blackhats (»böse« Hacker). Whitehats sind solche, die ihr erlangtes Wissen über Sicherheitslücken lediglich dazu nutzen, diese zu beheben, indem sie etwa den Hersteller des Systems/der Software informieren und die Lücke anschließend publizieren. Blackhats sind solche, die die Kenntnis über Sicherheitslücken nutzen, um in fremde Systeme einzudringen.

Nun haben wir den etwas ungewohnten Fall, dass der Staat als Blackhat agieren will, sprich Sicherheitslücken NICHT publiziert, weil er sie für Onlinedurchsuchungen nutzen möchte. An diesem Punkt wird auch klar, dass das Thema eben nicht nur für die von einer Durchsuchung Betroffenen relevant ist, sondern für praktisch jeden. Woher der Staat diese Informationen bekommt, wäre eine eigene spannende Frage.

Nun ergeben sich daraus einige interessante Folgefragen. Ab und an kommt es ja vor, dass ein Computervirus mal eben das halbe Wirtschaftsleben lahmlegt (vor nicht allzu langer Zeit wurde ein Großteil der Rechner der Deutschen Post befallen). Bei zukünftigen derartigen Fällen wird man, nicht zu Unrecht, die Frage stellen, ob ein solcher Vorfall möglicherweise hätte verhindert werden können, hätte der Staat sein Wissen über Sicherheitsprobleme mit dem Rest der Menschheit geteilt. Was das für eventuelle Schadensersatzansprüche bedeutet, damit mag sich ein ambitionierter Jurist vielleicht einmal beschäftigen.

Ein weiterer, möglicherweise durchaus nicht unspannender Aspekt, der sich auftut: Der Staat begibt sich hier auf ein Gebiet, auf dem gewisse Regeln nicht unbedingt so gelten wie andernorts. Um oben genanntes Beispiel einer Hausdurchsuchung heranzuziehen, dürfte es in aller Regel so sein, dass ein Staat eine Hausdurchsuchung durchsetzen kann, egal in welcher Form sich die Hausinsassen wehren, aus dem simplen Grund, dass der Staat ein übermächtiges Repertoire an Gewaltmitteln zur Verfügung hat (zumindest gilt derartiges für westeuropäische Industrieländer).
Nun begibt sich der Staat in Außeinandersetzungen, wo dieser Vorteil plötzlich schwindet. Was der Staat hier tut, darauf hat er kein Monopol. »Onlinedurchsuchung«, das kann der Spammer, der Terrorist oder der Feierabendhacker möglicherweise genau so gut.

Gestern habe ich vom neuen CAcert Assurer Test gelesen:

To meet the increased demands on quality assurance due to the CAcert Systems Audit, which is needed to be included in Mozilla’s browsers, CAcert has decided to initiate a Challenge for all for Assurers.
To be an Assurer, you will need to reach 100 assurance points, and you will have to pass the Assurer Challenge. The assurer challenge and training system called CATS is so now avaliable. Under http://wiki.cacert.org/wiki/AssurerChallenge you can find the infos how to join and participate.

Natürlich war ich gleich neugierig und habe den Test absolviert. Da ich schon mehrfach auf Fachmessen für das CAcert-Projekt am Stand tätig war, war der Test inhaltlich machbar. Zeitbedarf: deutlich unter 10 Minuten.

Das Problem an der Sache begann danach. Um das Zertifikat »Certified CAcert Assurer« als PDF ausgestellt zu bekommen, muss man eine möglichst verschlüsselte und zwingend mit seinem X.509-Client-Zertifikat signierte E-Mail an CAcert senden.
Und eben das ist mit KMail zur Zeit eine völlige Katastrophe. Zeitbedarf für mich: 1 Tag. ;-)

Der Reihe nach:
KMail benutzt gpgsm zur Verarbeitung von S/MIME. Das Frontend Kleopatra erlaubt das halbwegs komfortable Einfügen meines Zertifikats in gpgsm. Damit gpgsm überhaupt irgendwelche Zertifikate benutzt, will es eine CRL konsultieren:

gpgsm[12626]: can't connect server: `ERR 50331917 can't exec `/usr/bin/dirmngr': Datei oder Verzeichnis nicht gefunden'
gpgsm: can't connect to the dirmngr: IPC "connect" Aufruf fehlgeschlagen
gpgsm: certificate #04BD1F/1.2.840.113549.1.9.1=#737570706F7274406361636572742E6F7267,CN=CA Cert Signing Authority,OU=http://www.cacert.org,O=Root CA
gpgsm: Die CRL konnte nicht geprüft werden: Kein Dirmngr
gpgsm: error creating signature: Kein Dirmngr <GPGSM>

CRLs sind eigentlich grundsätzlich sinnvoll, aber nicht bei gpgsm. Um nämlich bei gpgsm eine CRL zu benutzen, braucht man dirmngr. dirmngr braucht dazu aber auch OpenLDAP und man muss beide Kollegen manuell konfigurieren. Es gibt zumindest bei Gentoo keine dafür brauchbare Standard-Konfiguration.

Also will man bei gpgsm lieber auf eine CRL verzichten. Dazu muss man die Option disable-crl-checks in die Datei ~/.gnupg/gpgsm.conf eintragen.

Das nächste Problem sieht so aus:

gpgsm: Fingerprint=13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
gpgsm: DBG: BEGIN Certificate `issuer':
gpgsm: DBG: serial: 00
gpgsm: DBG: notBefore: 2003-03-30 12:29:49
gpgsm: DBG: notAfter: 2033-03-29 12:29:49
gpgsm: DBG: issuer: 1.2.840.113549.1.9.1=#737570706F7274406361636572742E6F7267,CN=CA Cert Signing Authority,OU=http://www.cacert.org,O=Root CA
gpgsm: DBG: subject: 1.2.840.113549.1.9.1=#737570706F7274406361636572742E6F7267,CN=CA Cert Signing Authority,OU=http://www.cacert.org,O=Root CA
gpgsm: DBG: hash algo: 1.2.840.113549.1.1.4
gpgsm: DBG: SHA1 Fingerprint: 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
gpgsm: DBG: END Certificate
gpgsm: after checking the fingerprint, you may want to add it manually to the list of trusted certificates.
gpgsm: Interaktives vertrauenswürdig-Markieren ist in gpg-agent ausgeschaltet
gpgsm: error creating signature: Nicht vertrauenswürdig <GPG Agent>

Der hervorgehobene Teil führt zum Ziel; man muss in der Datei ~/.gnupg/gpg-agent.conf die Zeile allow-mark-trusted eintragen.

Damit der gpg-agent das auch weiß, muss er neu gestartet werden. Überflüssig zu erwähnen, dass natürlich alle Programme, die den gpg-agent verwenden möchten auch neu gestartet werden sollten. Insbesondere gilt das bei KDE und KMail so, dass KDE neu gestartet werden muss.

Nach dieser Prozedur fragt gpg-agent bei Bedarf in kaputtem UTF-8 nach, ob das Zertifikat okay ist. Bestätigt man das, stürzt er erst einmal ab:

** glibc detected ** gpg-agent: free(): invalid next size (fast): 0x000000000065d190 ***
======= Backtrace: =========
/lib/libc.so.6[0x2ac27fb11b7d]
/lib/libc.so.6(cfree+0x76)[0x2ac27fb13896]
gpg-agent[0x415452]
gpg-agent[0x409649]
gpg-agent[0x428a38]
gpg-agent[0x40867c]
gpg-agent[0x407851]
/lib/libc.so.6(__libc_start_main+0xf4)[0x2ac27fac01f4]
gpg-agent(realloc+0x1e1)[0x4053c9]
======= Memory map: ========
[...]

Beim nächsten Versuch sollte aber alles soweit klappen.


Damit konnte ich dann eine X.509-signierte und -verschlüsselte E-Mail senden.

Am nächsten Morgen ...

Heute war dann die Antwort von CAcert da, eine E-Mail mit ~140 KB. KMail sagt dazu:

Verschlüsselte Nachricht (keine Entschlüsselung möglich)
Grund: Nicht unterstütztes Verfahren
smime.p7m
S/MIME Encrypted Message

Ende der verschlüsselten Nachricht

Um dieses Problem weiter einzugrenzen habe ich die Datei smime.p7m gespeichert und mit gpgsm auf der Konsole versucht, weitere Infos einzuholen:

$ gpgsm -v --decrypt smime.p7m
gpgsm: unsupported algorithm `1.2.840.113549.3.2'
gpgsm: (Dies ist der RC-2 Algorithmus)
gpgsm: message decryption failed: Nicht unterstütztes Verfahren <GPGSM>

Eine kleine Internet-Such-Aktion später war klar: gpgsm unterstützt den alten RC2-Algorthmus schlicht und einfach nicht mehr. Thunderbird meint aber leider viel zu oft, diesen benutzen zu müssen.

Einzige mir sinnvoll erscheinende Lösung: Ich habe Mozilla Thunderbird installiert, dort meinen IMAP-Zugang konfiguriert, mein X.509-Zertifikat importiert und mit diesem die E-Mail geöffnet und das angehängte PDF gespeichert.


Nach knapp 10 Minuten Assurer-Prüfung und etwa einem Tag Kampf mit S/MIME bin ich nun also offiziell Certified CAcert Assurer Nummer 78. ;-)

Schon im vollen Gange, aber da das vielleicht nicht jeder mitbekommt: Ausgehend von der Aktion Mensch laufen gerade in vielen Kinos Filme im Rahmen der Aktion »Die Gesellschafter«.

Das Konzept: In Kinos werden Filme gezeigt, die gesellschaftliche Themen anreißen, zum Großteil solche, die es ohne die Aktion wohl garnicht in die deutschen Kinos geschafft hätten. Dabei beteiligen sich lokale Gruppen, die zu diesen Themen aktiv sind, mit Infoständen und Diskussionen (ich persönlich hab's vor allem über den AK Vorrat mitbekommen).

»A Scanner Darkly« (zum Thema Überwachung) und »Jesus Camp« (über christlichen Fundamentalismus) kenne ich schon, sind beide auf jeden Fall extrem emfehlenswert (und ich bin froh, dass wohl nur durch diese Aktion beide eine deutsche Übersetzung bekommen), aber auch das restliche Programm klingt nicht uninteressant. So werd ich hoffentlich die nächsten Tage möglichst viele der Veranstaltungen besuchen, in Karlsruhe ging's vor wenigen Tagen los.

http://diegesellschafter.de/

Ich behaupte ja nicht, dass meine Geographiekenntnisse besonders ausgeprägt sind, aber »Käsespätzle Allgäuer« mit dem Label »Aus unserer Region« im REWE in Murrhardt zu sehen, das kam mir doch seltsam vor.

(sorry für's verwackelte Bild, war nur die Handycam)

Hatte gestern mal wieder einen OpenStreetMap-Einführungstalk gehalten, diesmal beim Entropia, dem Karlsruher CCC-Ableger.

Vortragstechnisch habe ich diesmal die Folien deutlich reduziert (Download hier als OpenDocument) und den Fokus auf das konkrete Zeigen von Software und Interfaces gelegt.

Für Karlsruher OSM und Geo-Interessierte: Auf der Mailingliste KA-Geo werden lokale Treffen und Aktivitäten koordiniert.

Hanno schrieb vor ein paar Tagen einen Artikel zum Thema Geotagging.

Hier noch kurz die Variante für spiessige Doku-Leser:

Man muss nicht erst die Bilder mit einem mehr oder weniger akkuraten Geotag versehen sondern kann auch JOSM diese Aufgabe on-the-fly erledigen lassen. Das geht so:

GPX-Track von der Platte öffnen (mit heruntergeladenen GPS-Punkten geht das nicht!). Dann im Kontextmenü (rechtsklick) dieses Tracks den Punkt »Bilder öffnen« wählen. Dort dann alle Bilddateien auswählen und öffnen. Durch Unterschiede bei den gespeicherten Zeitzonen oder Uhrzeit-Differenzen passt jetzt nicht wirklich alles zusammen.

Dann kann man jedoch beim Layer mit den Bildern den Punkt »Uhrzeit synchronisieren« auswählen. Dort öffnet man ein beliebiges Bild, von dem man genau weiß, welcher Uhrzeit das auf dem GPX-Track entspricht. Tipp: Display mit GPS-Zeitangabe fotografieren!
Die entsprechende Uhrzeit trägt man dort ein. Zeitzonen-Abweichung wird bei den meisten wohl »+1« sein, denn GPX-tracks werden normal mit UTC gespeichert, Fotos dagegen mit lokaler Zeit.

Wenn man ein Foto an einem markanten Punkt hat, kann man auch dieses benutzen und die Zeit so lange verschieben bis sich das Foto am richtigen Ort befindet.


Diese GPS-Bilder-Zuordnung ist dann natürlich nicht persistent, das kann man als Vor- oder Nachteil werten. Aber im Endeffekt geht es schneller und bequemer als vorher noch mehr oder weniger genau die GPS-Koordinaten einfügen zu lassen.

Diesen Tipp habe ich mir übrigens nicht selbst überlegt, der steht genau so in offiziellen Doku von JOSM.

Heute abend findet bei der PHP-Usergroup Stuttgart ein Vortrag über PHP-Security (u. a. XSS) statt. Das ist die Webseite des Vortragenden:

http://www.is-wagner.com/nc/suche.html?tx_indexedsearch[sword]="><script>alert(1)</script>

Stattfinden tut das in den Räumen der Wirtschaftsförderung Region Stuttgart.

http://competenzatlas.region-stuttgart.de/anmeldung.php?Firma="+onMouseOver=alert(1)+

Lange plagt mich (und einige in meinem Umfeld) schon das Problem, dass man bei Firefox nicht offensichtlich gespeicherte Formulardaten löschen kann.
Diese Speicherung ist ziemlich praktisch, aber beim Löschen der Daten gilt immer alles oder nichts.

Aber nicht so, es geht einfacher:

Wenn das Formularfeld »aufklappt«, einfach den zu löschenden Eintrag mit der Maus anvisieren (also nicht klicken) und Shift + Del drücken.

Diese Funktion ist verdammt gut versteckt und es hat jetzt mehrere Jahre halbherziges Suchen erfordert, das herauszufinden. Aber jetzt find ich es praktisch. ;-)

Over two years ago, it was announced that the security scanner nessus will no longer be free software starting with version 3.0. Soon after that, several forks were announced. For a long time, none of these fork-projekts produced any output.

openvas was one of that forks and from my knowledge the only one that ever produced any releases. It recently had 1.0-releases for all packages, I just added ebuilds to gentoo.

While openvas isn't perfect yet (many of the old plugins fail, because some files had to be removed due to unclear licensing), it's nice to see that we have a free, maintained security scanner again that will fill the gap left by nessus.

Recently geotagging of images became some popularity due to some articles on popular newspages. I'm already using geotagged images regularly for my work on openstreetmap.

Geotagging images means that you add some metadata in the EXIF-header (part of JPEG-files) where the image was taken. Future cameras probably will include a gps module and will be able to do this automatically, but with today's hardware we need some extra work. Beside manually adding the coordinates, e. g. by clicking on a map, we can synchronize gpx tracks (a common format for recorded gps data) with our images.

I'm usually recording gpx tracks on my mobile phone with Mobile Trail Explorer (a Java/J2ME-software) and an external bluetooth gps device. Before starting, you should accurately set the clock of both devices (the camera and whatever you use to get gpx data). For my hardware I have to do this manually. The mobile phone (Nokia 6230i) supports timesetting via gsm, but my german mobile phone provider doesn't transport that signal. It's also possible to set the time via bluetooth, but then it's rounded down to minutes (at least with gnokii and gammu, I'm not sure if this is an application bug or a hardware limitation), so this is useless, too.
My camera (Canon IXUS 50) seems to have no way of automatically setting the time.

Now, considering you were out somewhere, made some photos while you had another device recording gpx data. There's a small skript called gpsPhoto that will give your images GPS data:

gpsPhoto.pl --dir [directory of your images] --gpsdir [directory of your gpx files] --timeoffset 0

Now you have images that contain data where they were made. JOSM (an openstreetmap tool to create map data) supports showing the geotagged images, which makes editing openstreetmap much easier (you don't have to write down/remember street names, you can take photos of postboxes, bus stops etc. instead of writing down/setting waypoints with your device).

Beside that, this brings up the question if openstreetmap should get a database of geotagged free images together with tools to show them on the map. While this brings up some privacy issues (if the photos contain private buildings, people, car numbers), even the ones without any privacy implications (nature, public buildings) would be a nice feature: Having a map and always being able to say »show me some photos of that location«.
At the moment, this is probably far beyond of the computer ressources available for a project like osm, but it's worth a thought for the future.

Update: Bernd just told me that MTE doesn't use the phone's timestamp, but the one from the GPS device. This means this method doesn't work if your gps doesn't send a correct timestamp signal.

(Achtung Spoiler)

Hab jetzt mit Luigi alle 120 Sterne gesammelt. Danach kann man in einem finalen Leven (wobei es kein wirkliches Level ist, man läuft nur durch) noch einen 121. Stern einsammeln. Selbigen ebenso mit Mario.

Nach mehreren berichten im Internet passiert noch etwas wenn man 9999 Sternenteile hat, es sollen sich alle Melonen in Kokosnüsse verwandeln. Hab ich probiert, aber ich seh keinen Unterschied. Vielleicht nur ein Fake, sachdienliche Hinweise (evtl. Howto mit Fotos/Videos) können gerne in den Kommentaren hinterlassen werden.

Savegame zum Download

Ich habe heute unseren uralten DSL-Router (Netgear RO318) gegen ein aktuelles, WLAN-fähiges Modell (Buffalo WHR-HP-G54 mit DD-WRT) ausgetauscht.

Interessehalber habe ich mal ein Strommeßgerät davor gehängt. Der alte (ohne WLAN) brauchte zwischen 7 und 8 Watt Leerlaufleistung, der neue (mit WLAN aktiviert) circa 4. Da ein Router in der Regel permanent läuft schon eine spürbare Ersparnis.

Ich hätte einen penetranten Newsletter-Versender im Angebot, der kein Double-Opt-in macht.
Mit Ausnahme des "Erfolgreich eingetragen" auf der Website bekommt der glückliche Newsletter-Empfänger übrigens keine Mail (bis auf den nächsten Newsletter natürlich).

Zudem noch: Auf der Website oder im Newsletter wird keine Möglichkeit genannt, wie man den Newsletter abbestellen kann. Es gibt nur "Anmelden".

Irgendwie gar nicht gut, oder? ;-) Wenn man sowas macht, sollte man zumindest den Firmensitz nicht in D haben.

Wer einen Account auf einem Server hat, dem kommt ab und zu das Verlangen, sich in der Fremde einfach mal dort einzuloggen um eine vertraute Umgebung vorzufinden. Seit es um den perfekt konfigurierten »mutt« zu benutzen, schnell im »screen« dem laufenden »irssi« zu zu schauen oder einfach um eine vorher dort hinterlegte Datei zu lesen.

Praktisch ist es natürlich gefährlich, sich von einem nicht vertrauenswürdigen Rechner auf einem Server einzuloggen. Bei der Eingabe des Passwortes auf einem fremden Rechner besteht immer die Gefahr, dass ein böswilliger Admin, ein Schäuble oder die Werbeindustrie einfach alle Tastendrücke aufzeichnet und damit sehr einfach das Passwort für den sicher geglaubten Account erhält.

Um diesem Problem generisch, also für alle fremden Rechner brauchbar zu begegnen, gibt es Einmalpasswörter. Mit diesem Verfahren (das in etwa den TANs vom PIN/TAN-Onlinebanking nahe kommt), gibt es eine Liste von Passwörtern, die jeweils nur einmal gültig sind. Sind die verbraucht, sind sie ungültig.

Unter unixoiden Systemen hat sich dafür das S/Key-System einen Namen gemacht. Es läuft auf den meisten Plattformen und lässt sich sauber z.B. mit PAM einbinden. Das Verfahren ist sehr transparent und die Einmalpasswörter lassen sich mit dem challenge, das vom Server beim Login genannt wird auch extern berechnen. So braucht man keine Papier-Liste mitnehmen sondern kann z.B. mit einem Java-fähigen Handy die Einmalpasswörter (auf einem vertrauenwürdigen Gerät) errechnen lassen.

Sehr edel das ganze, daher haben wir das auch gleich auf schokokeks.org eingebaut. Als Anleitung verweise ich hier mal auf unseren Wiki-Artikel zu Einmalpasswörtern.

Sei noch erwähnt, dass es mehrere Möglichkeiten gibt, S/Key unter SSH zu benutzen. SSH bringt eine solche Funktionalität selbst mit (Gentoo-USE-Flag skey) und es gibt alternativ dazu das PAM-Modul pam_skey.

Wir haben uns für letztere Variante entschieden, da die SSH-Lösung für den Benutzer weniger transparent ist. Bei SSH wird erst nach dem normalen Passwort gefragt und wenn dies leer oder falsch ist, dann wird nach dem S/Key-Einmalpasswort gefragt.

Bei pam_skey dagegen wird, sofern der Benutzer skey für sich aktiviert hat, gleich nach »S/Key response or system password« gefragt. Ist skey für den Benutzer nicht aktiviert, wird das PAM-Modul einfach übergangen und das normale Passwort abgefragt.

Als ich von dem Fall » Jérôme Kerviel« gelesen hatte, hatte ich irgendwie eine spontane Assoziation mit diesem Film.

Da heute nicht der 1. April ist, nehm ich das mal ernst: Golem berichtet über einen AOL-Jabber-Server, der es erlaubt, sich mit einem Jabber-Client zum ICQ-Netzwerk zu verbinden.

Ersten Tests zu Folge gibt es aber noch kein Gateway zwischen den Netzen, sodass man weiterhin einen ICQ-Account braucht und im Messenger auch separat eintragen muss.

MSN denkt auch über GTalk-Kompatibilität nach (was ja auch Jabber bedeutet): liveside.net

Bald kann man hoffentlich die krüppeligen Transports abschaffen!

Wie schon im Vorjahr haben wir Ende 2007 als Linux User Group Backnang die tuXmas-DVD herausgebracht, von der Idee her: Wir packen eine DVD voll mit freien, bzw. zumindest frei kopierbaren Inhalten.

Wie das bei solchen Projekten so ist, »eigentlich« war man schon lange fast fertig, aber der Unterschied zwischen fast fertig und fertig ist eben manchmal größer als man glaubt. Und so gestaltete es sich, dass die Endversion in einer ungeplanten Nachtschicht über's Knie gebrochen wurde und natürlich manches, was man mal vorhatte, nicht zur Umsetzung kam.
Die Ursprungsversion war dann auch prompt nicht unter Windows lesbar (hey, woher soll ich sowas wissen?), aber inzwischen gibt's für alle, die das tatsächlich benötigen sollten, ein re-release (r2).

Gefühlt fand ich diesmal deutlich mehr Erwähnungen auf Nachrichtenseiten und in Blogs (könnte aber auch an einer gestiegenen Zahl von Bloggern liegen), Downloadstatistiken hab ich keine, da wir die Verbindungen zu Mirrors von letztem Jahr nutzen konnten, liefen alle Downloads außerhalb meiner administrativen Reichweite. Die Newsmeldungsliste darf gern ergänzt werden, einfach kurze Mail an mich.

Und alle, die bestellt haben, kriegen heute oder morgen eine Nachricht, aber das war ja eh nur als Notlösung gedacht. Schließlich wollen wir der materiell manifestierten Form doch nicht allzu viel Tribut zollen.

Bewerbungen für das nächste DVD-Projekt werden gerne jederzeit entgegengenommen.

About one year ago, Sam Hocevar posted some results on tests with his fuzzing tool zzuf, which showed a large number of crashes in various applications, especially multimedia apps.
Crash bugs on invalid input very often lead to security issues, thus this should be taken seriously.

Now, I took the freedom to have a look how many of the issues found back then were fixed. I used the most current versions in gentoo linux (testing/~x86-system), which tend to be quite up-to-date. I also cross-checked the crashes for other apps, as they often use the same or similar code.
Seems only vlc devs did their homework (Sam Hocevar is part of the vlc team). Interesting enough, even firefox seems to have a gif-crasher since a year.

gstreamer crash by lol-ffplay.mpg lol-gstreamer.m2v lol-mplayer.m2v lol-mplayer.mpg lol-vlc.m2v lol-vlc.mpg
endless loop by lol-ffplay.m2v lol-xine.mpg

mplayer hang by lol-mplayer.wmv,
crash by lol-ffplay.flac lol-mplayer.aac lol-mplayer.mpg lol-mplayer.ogg lol-ogg123.flac lol-vlc.aac lol-xine.aac

xine crash by lol-mplayer.wmv lol-ffplay.m2v lol-ffplay.ogg lol-ffplay.wmv lol-gstreamer.avi lol-ogg123.flac lol-vlc.aac lol-xine.mpg

firefox crash by lol-firefox.gif

Wie vor einer Weile schon einmal schrieb, hat mein Handy (oder obexftp, keine Ahnung wer schuld ist) leider besondere Anforderungen, wie man Dateien für den OBEx-transfer spezifizieren muss.

Da ich ein Freund der Konsole bin und daher meine GPX-tracks immer mittels obexftp auf meinen Rechner kopiere, ist das doch etwas lästig.

Aber jetzt gibt es Abhilfe. ;-)

Um mir diese Aufgabe zu erleichtern, habe ich ein kleines Python-Programm erstellt, das zuerst obexftp aufruft um ein Verzeichnis-Listing zu erhalten und dann alle Dateien mittels obexftp -G herunterläd (-G bedeutet, Dateien werden auf dem Handy gelöscht).

Zur Verwendung muss zuerst das Python-Modul »ElementTree« installiert werden. Danach müssen die Bluetooth-Hardware-Adresse des Gegenüber und der OBEX-Datei-Pfad im Script eingetragen werden.

Download: obexget
Lizenz: GPL >= 3

Gestern habe ich für die LUG Backnang einen Vortrag "Einführung in MySQL" gehalten.

Slides: PDF | ODP

I noted that my personal homepage on int21.de basically contained nothing relevant any more and was horribly outdated. Thus I decided that the time of personal homepages is over and I'll let it forward permanently to this blog (so my blog will get the fame and pagerank).

It still contains various subpages like howtos, cve advisories, they'll stay where they are.

Falls meine geneigten Leser mich schon vermissten, melde ich mich hiermit mal zurück. Ich verbrachte die Jahreswechselzeit wie üblich auf diesem und jenem Kongress (inklusive ausgelagerter, aus dem Kongressprogramm zensierter Events), wobei meine Blogmotivation diesmal eher gering und gegen Ende noch durch Erkältung beeinträchtigt war.

Zum ein- oder anderen 24C3-Talk gibt's vielleicht noch Nachbetrachtungen in den nächsten Tagen, da es aber diesmal tatsächlich zeitnah Videos gab, kann sich ja jeder selbst ein Bild davon machen. Ein paar Empfehlungen von mir: Freifunkerei (grob zusammengefasst: Staatskritik am Beispiel freier Funknetze aufgezogen), Die Wahrheit und was wirklich passierte (hab zwar inhaltlich einige Differenzen, aber kurzweilig war's allemal), Unusual Web Bugs (KEINE einführung, was eine XSS ist sollte man vorher wissen).

Auf dem Jukss konnte ich dank oben genannter Erkältung deutlich weniger umsetzen als geplant. Zu erwähnen ist vielleicht, dass der diesjährige Jukss eher ein Notprogramm war, während es starke Bestrebungen verschiedener Menschen gibt, nächstes Jahr Inhalte deutlich mehr in den Vordergrund zu stellen. Solidarische Grüße an die diversen Anti-Gentechnik-Aktivisten und kleine Erinnerung an mich, dass ich endlich mal ein paar Gedanken zu Gentechnikkritik, dem Vorwurf der Technikfeindlichkeit und Technologiekritik allgemein aufschreiben wollte.

Mit unserer Firma bin auch ich direkt von der Vorratsdatenspeicheurng betroffen. Bei allem Aktivismus und berechtigter Kritik an der ganzen Sache, darf man aber meines Erachtens trotzdem die geltenden Gesetze nicht einfach ignorieren sondern jetzt, da das alles gilt, muss man es auch erst einmal beachten. Natürlich in der Hoffnung, dass das Bundesverfassungsgericht das alles wieder kippt.

Ich habe heute ungelogen einen Tag damit verbracht, das "Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007" zu finden, zu lesen, die Bezüge zu recherchieren, herauszufunden was uns als E-Mail-Provider betrifft und das alles zu verstehen.

Ich möchte gerne die stellen aus den Gesetzen zitieren, die ich persönlich als einschlägig betrachte. ausdrücklich möchte ich darum bitten, dass jeder, der irgend etwas anders verstanden hat, also denkt, ich hätte etwas falsch aufgefasst oder übersehen, mir das bitte mitteilt. Zudem ist hoffentlich klar, dass von mir zu diesem Thema gegebene Kommentare jeglicher juristischer Sachkunde entbehren und die Gesetzes-Auszüge sich nicht eignen um sich darauf zu verlassen. das ist hier keine Rechtsberatung und so, klar.

ich verlinke an einigen Stellen zu www.gesetze-im-internet.de. Dort ist jetzt momentan noch die alte, nicht mehr gültige Version der Gesetze zu begutachten, das eignet sich aber gut um das Fließtext-Diff in oben verlinkter PDF-Datei darauf anzuwenden.


"Vorratsdatenspeicherung als E-Mail-Provider" vollständig lesen

Ich hatte in jüngster Zeit eine Kundenanfrage, die sich mit dem Betrieb eines Flash Media Streaming Servers außeinandersetzte. Nun finde ich ein Produkt ja schon dubios, wenn ich keinen Wikipedia-Eintrag dafür finde (wobei es verziehen sei, dass das möglicherweise an der Löschwut mancher Wikipedia-Admins in den vergangenen Monaten liegt).

Aber die Produktbeschreibung (von Adobe) ist echt göttlich, deswegen möchte ich Euch das nicht vorenthalten:

Flash Media Streaming Server 3 unterstützt RTMPE, eine erweiterte Version des RTMP-Protokolls (Real Time Messaging Protocol) von Adobe. Mit verbesserter Leistung und 128-Bit-Verschlüsselung bietet das neue Protokoll effektiven Schutz für per Streaming übertragene Medieninhalte. Eine neue Verifizierungsfunktion verhindert, dass SWF-Dateien von unbefugten Anwendern wiederverwendet, geändert oder gehostet werden.

Ich glaube für sowas wurde mal der Begriff Snakeoil oder Schlangenöl erfunden.

Seit einiger Zeit habe ich ein Nokia 6230i und kann das auch per Bluetooth nutzen. Seit wenigen Tagen merke ich, dass gammu mit der Konfigurationsdatei die ich hier geklaut habe elendig langsam funktioniert. Jede Aktion dauert erstmal 2 Minuten für den Verbindungsaufbau.

Anhand der Gammu-Doku habe ich jetzt gesehen, dass mittlerweile offenbar ganz andere Namen für die selben Optionen eingeführt wurden. Nach einigen ausprobieren kam ich auf folgende Konfiguration:

[gammu]
model=6230i
port=00:17:E3:8E:FA:BC
connection=bluerfphonet
synchronizetime=no
use_locking=no
startinfo=no

Ergebnis: Der Verbindungsaufbau dauert jetzt ca. 3-4 Sekunden. nicht vollkommen perfekt aber erträglich.

Für die besserwissenden Hacker: Das Einschalten von use_locking erzeugt als User einen »permission denied«-Fehler. Das Einschalten von synchronizetime verstellt jedes mal die Uhr, da es nur Stunden und Minuten synchronisiert, nicht aber die Sekunden. Sekunden werden immer auf Null gesetzt. Nein, ich habe den Bug nicht reported.

War heute mit Fabian beim CCC Stuttgart, um über OpenStreetMap zu reden.

Der Abend war recht gut besucht, aus diesem Anlaß gibt's natürlich auch wieder aktuelle Slides.