Hanno's blog

I live in a dormitory where I get cheap and fast internet access, but http only through a proxy. It's a pity to set this up in all apps every time I come here and disable it again when I wanna get online somewhere else, cause there's no centralized point to do so (there are many apps out there that just ignore http_proxy env var).
Now, it wasn't possible to directly forward http requests to the dormitory proxy, because it misses some options required for that. Maybe it's possible with more iptables skills, would require http-header rewriting.

My solution was setting up a local squid, forward requests via iptables to that and configure the dormitory proxy as a parent. I found that there's a lot of documentation out there, but also lot's of outdated stuff (squid configuration options significantly changed) and stuff you won't understand if you are no proxy-guru.

Now, some lines in my squid.conf:
http_port 7777 transparent
visible_hostname 127.0.0.1
acl local src [myip]/255.255.255.255
http_access allow local
cache_peer proxy.mynetwork.com parent 3128 3130 proxy-only

First line enables all Options required to allow transparent http and sets the port to 7777 (can be anything, just shouldn't collide with any service you might run). visible_hostname is required, something that resolves to localhost. The acl and http_access lines will deny any requests from other hosts, and finally, cache_peer sets the upstream proxy (just replace proxy.mynetwork.com with whatever your network proxy is).
Beside, there's some line starting with hierarchy_stoplist, you need to comment that out, else it won't allow you to use urls with GET variables.

Now, for the iptables-part, it's pretty simple:
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to 127.0.0.1:7777

I've now added squid to my default runlevel, it doesn't take that long to start. My network setup scripts contain above iptables-line for the dormitory and the squid is just ignored elsewhere. One problem though I haven't debugged enough to know the cause is that sometimes it seems to be unable to deliver POST vars, e. g. the function search of php.net doesn't work.

For your info, my system is Gentoo Linux with squid 2.6.9, iptables 1.3.7 and kernel 2.6.20.

We got a huge trackback spam DDoS the last days that caused our servers to be unavailable for some hours. Most probably caused by some botnet. That's really a pain, you're so defenseless against that kind of threat. Filtering them is like trying to stop ants from entering your house by closing their entrance holes.
But anyway, I decided to write some abuse-mails to the contacts of some of the source IPs. I even got ONE reply (from Neighbourhood Cable, if you're looking for an ISP in australia, have a look at them, they must be good). I also got this:

<k55k559@bora.net|/webmail/mbox5/bora.net/961/k55k559|2|204800|209715200|99999999|99999999|>:
Recipient's maiilbox is full, message returned to sender, (#5.2.2) [7mallot:(209715200), usage:(209874944) [0m

<saehym@bora.net|/webmail/mbox0/bora.net/865/saehym|2|51200|58454016|99999999|99999999|>:
Recipient's maiilbox is full, message returned to sender, (#5.2.2) [7mallot:(52428800), usage:(58474496) [0m

Now, who in the world gives IPs out to people who aren't able to configure their mailboxes? Boranet, the source of that, seems to belong to the company LG, also producing Hardware. Maybe an interesting fact when you buy your next CD burner.

Heut gab's mal wieder fröhliches Linux-Installieren bei der LUG Backnang. Zum Schwitzen brachte uns heute ein aufgemotzter Gamerrechner (64bit Dualcore, Radeon X1900 etc.), der unreproduzierbares Fehlverhalten zeigte, sowie eine Fritz! USB WLAN in der Revision 1.1 (anderer Chipsatz wie 1.0, aber das kennt man ja bei WLAN-Karten), die Bernd dank ndiswrapper zum Funktionieren überredete. Meine Kernelpatchversuche schlugen fehl, sahen aber erstmal vielversprechend aus.

Nicht nur die elektronische Inbox ersäuft im Spam, auch »klassische« Methoden wie Cold Calls und die Schneckenpost werden zunehmend zur Verbreitung von Werbung genutzt.

Kürzlich nahm ich mir den Plan vor, der Herkunft meiner Werbeanschreiben nachzugehen. Da das Bundesdatenschutzgesetz entsprechende Anfragen vorsieht (§34, Auskunft an den Betroffenen), ist jedes Unternehmen verpflichtet, mir Auskunft über Art und Herkunft meiner Daten zu geben.

Mit einem Werbeanschreiben der Bank ING-DiBa fing ich an. Ich erhielt die freundliche Auskunft, dass es sich bei den Werbeanschreiben um einmalige Aktionen handle, dass die Adressen extern eingekauft werden und dass ING-DiBa selbst keine Daten von mir gespeichert hat. Desweiteren verwies man mich an die Global Direct GmbH / Global Group, von der meine Adresse stammt.

Ok, nächstes Anschreiben, an die Global Group. Hier erhielt ich die Information, dass man lediglich meine Adressdaten und keine weiteren Personendaten speichere. Meine Aufforderung zur Löschung der Daten beantwortete man wie folgt:
Daraufhin werden wir selbstverständlich Ihre Adressdaten vom Einsatz durch unser Haus ausnehmen und mit einem Sperrvermerk versehen. Bei jeder Werbeaktion, die wir für unsere Kunden durchführen, werden die Adresslisten, die zum Einsatz kommen, mit den gesperrten Daten verglichen. Nur so kann sichergestellt werden, dass Sie keine Werbung mehr durch uns erhalten. Die Löschung Ihrer Adresse würde verhindern, dass ein solcher Abgleich durchgeführt werden kann. Wir können dann nicht mehr garantieren, dass Sie aus unserem Haus keine Werbung mehr erhalten.

Das finde ich ja nun spannend. Das heißt ja ungefähr, wir könnten ihre Adresse zwar löschen, aber da vermutlich sowieso die Daten jedes Menschen in einem Industrieland überall verfügbar sind, nützt es mehr, die Daten beizubehalten und zu sperren. Denn, dass die Adresse wieder eingekauft wird, ist so gut wie sicher. Desweiteren gab's noch einen Hinweis auf die Robinson-Liste und die Information, dass meine Daten von der Firma Palette Adressen eingekauft wurde. (Wie groß ist die Branche eigentlich, die nur mit Datamining handelt, inzwischen?)

Also nächstes Anschreiben (übrigens alle per eMail). Von Palette Adressen erhielt ich die Auskunft, dass ebenso nur meine Adresse gespeichert sei, desweiteren ein dem oben zitierten ähnlicher Hinweis, dass meine Adresse gesperrt würde.

Gekauft wurde meine Adresse angeblich von einem Lotterie-Händler in Herford. Dieser sei jedoch inzwischen verstorben und meine Adresse sei dort auch nicht mehr gespeichert. Beruhigend, wenigstens bekomme ich keine Werbung aus dem Jenseits.

Damit endet diese Kurze Geschichte meiner Adressdaten. Wo sie ursprünglich herkamen, ließ sich nicht rekonstruieren und ein weiteres Nachforschen scheint sinnlos. Ich werd's nächstes Mal wieder versuchen. Und zu einem in jüngerer Zeit aufgeschlagenen Cold Call bin ich auch noch am Recherchieren, gibt's vielleicht bald weiteres.

... dürfen hier bewundert werden.

Erreicht werden kann das im Moment nicht über's normale Interface, sondern nur, wenn man hier rechts oben auf »osmarender« stellt.

Ramon zu Telefon: »Hanno ist da«
Telefon zu Ramon: »Wie lange schon?«
Ramon zu Hanno: »Hanno, wie lange bist Du schon da?«
Hanno: »Öh, mal uptime fragen...«
hanno@laverne /mnt/data $ uptime
23:25:57 up 28 min, 1 user, load average: 1.98, 1.11, 0.58

Now, if you've been on the internet a bit longer, you may remember those sites at the end of the 90s telling you that they're »best viewed with a resolution of 1024x768 and the Microsoft Internet Explorer version 6.0". Luckily, most of those pages disappeared with the upcoming success of Mozilla Firefox and others (oh, there are still some, e. g. the cinema in my home town, but ie6 runs on wine).

As you may know, I'm a happy KDE user and have been using Konqueror as my everyday browser for some time now. Recently, I discovered more and more pages I couldn't use any more. I had to start this thing called Firefox. I don't like it, but that is not the point here.
I even noticed today that ebay has a new interface that konqueror doens't like.

This is a result of the more and more upcoming AJAX/JavaScript-stuff, which is often nice, I saw a lot of well designed web applications lately (ok, I saw a lot of crap, too). I'm not enough into JavaScript to know if it's the lack of support by Konqueror or the pages. I just hope that people will come together and find solutions for that. I remember that there was some discussion about using webcore (the khtml-fork used by apples safari) for konqueror, don't know if that would make it better, maybe some users of this drm-crippled system could comment on that.

Heute kam mein kürzlich günstig auf ebay erstandener Garmin Quest mit der Post an. Nachdem er mich bereits zuverlässig zum LUG-Treffen navigierte, versuche ich gerade, mich mit diverser Software (josm, gpsbabel) vertraut zu machen.

Nebst der Bekämpfung meiner notorischen Orientierungsschwäche und dem sicherlich gelegentlich folgenden Einsatz zum Geocaching plane ich, tatkräftig das Projekt OpenStreetMap zu unterstützen. Worum es geht? Analog zur Idee freier Software und freier Inhalte sollen frei verfügbare Kartendaten entstehen.

Angesichts der Probleme, die jüngst ein Entwickler eines freien Google Earth-Frontends bekam und der immer wieder auftauchenden Abmahnwellen gegen private Webseitenbetreiber, die Kartenausschnitte als Wegbeschreibung publizieren, ein sicherlich lohnenswertes Unterfangen. Dabei kann ich gleich ankündigen, dass es am 29.3./1.4. eine Mapping Party in Karlsruhe geben soll. Man trifft sich zum Erfassen noch fehlender Gebiete (übrigens gehört Karlsruhe momentan zu den wenigen recht gut erfassten Städten).

Der Klimawandel wird uns massive Kosten aufbürden, so eine neue Studie. Heiße Sommer werden die Zahl der Hitzetoten emporschnellen schnellen lassen. Auf die Krankenhäuser kommen enorme Kosten zu. Aber auch die Leistungsfähigkeit der Menschen wird sinken und dadurch die Volkswirtschaft belasten. (von tagesschau.de)

Wie wahnwitzig muss eine Gesellschaft eigentlich sein, in der solche Meldungen publiziert werden?

Die Diskussion zum Bundestrojaner schlägt ja grad ziemliche Wellen. Ich versuch mir grad vorzustellen, wie das eigentlich in der Praxis aussieht.

Ich meine, wir ham ja gewisse Unterschiede zu »normalen« Hausdurchsuchungen. Physikalische Sicherheitsmechanismen (Türen, Schlösser) haben ja qua Design immer gewisse umgehungsmöglichkeiten, im Zweifel rohe Gewalt. Bei elektronischen verhält sich's da ja ein bißchen anders. Zwar ist es bekanntermaßen so, dass wir's bei allen real existierenden Betriebssystemen mit so vielen Sicherheitslücken zu tun haben, dass ein »echter Hacker« (tm) immer sagen würde, wenn man unbedingt rein will, geht irgendwas, aber vorgesehen ist das ja nicht unbedingt so.

Ich stell mir da zum Beispiel folgende Fragen:
- Kriegen Antiviren-Firmen dann Post vom BKA mit einer Liste von Schadsoftware, die sie bitte unbehelligt lassen sollen? Wann gibt's die erste Klage gegen einen Hersteller von Security-Software wegen Behinderung von Strafverfolgung?
- Kriegt Microsoft Post vom BKA, welche Sicherheitslücken einen Patchday länger überleben sollen?
- Steigt die Bundesregierung in den Handel mit 0-day-Exploits ein? (Ohne mich da genauer auszukennen, aber ich würde ja vermuten, dass man es da ziemlich schnell mit eher mafiosen Strukturen zu tun hat)

Ich vermute ja stark, die Antwort ist im Moment vor allem, dass die Leute, die sich das ausgedacht haben, einfach keine Ahnung von der Sache haben (wer sich davon überzeugen mag, Wolfgang Schäuble im taz-Interview). Aber da tun sich schon spannende Fragen auf.

Kleine Erklärung vorneweg: Ich habe die Angewohnheit, bei Computer- und Videospielen immer einige Jahre hinterher zu sein (5 ist übrigens vergleichsweise wenig). Nachdem ich kürzlich unerwartet Besitzer eines GameCube geworden bin (Julian hat mir den freundlicherweise nach dem Ausmisten überlassen) und feststellen musste, dass Linux installieren oder sonstige geekige Späße damit eher umständlich wären, entschied ich mich, mir ganz profan ein gebrauchtes Spiel (für imho überteuerte 25 EUR, aber das scheint bei GC-Spielen normal zu sein) zu kaufen.

Mit Mario-Spielen verbindet mich eine längere Tradition, von Super Mario Land über die Super Mario Bros.-Serie, sämtliche 92 Spielstufen von Super Mario World, die 100% für alle Levels in Yoshi's Island nahmen eine nicht unrelevante Zeit meiner Zivildienstdauer aus. Vor nicht allzu langer Zeit traute ich mich dann, trotz gewisser Vorbehalte, in die 3D-Welt mit Super Mario 64 und war angenehm überrascht - es war tatsächlich gelungen, den Flair eines Mario-Spiels mitzunehmen.

Nun also Super Mario Sunshine, das bislang jüngste große Mario-Abendteuer (auf dem GC gab's noch Luigi's Mansion, was wohl mein nächster Spielekauf wird). Kommen wir erstmal zu den Kritikpunkten: Das Szenario passt nicht. Sunshine erzählt eine Story, in der Mario und Umfeld in Urlaub fliegen, anschließend wird Mario verdächtigt, für Graffiti verantwortlich zu sein. Mario gehört in Zauberschlösser mit bösen Schildrköten, nicht auf eine Ferieninsel.
Als neues Element im Spiel dient der »Dreckweg 08/17«, eine Wasserspritze, mit der Mario Graffitis wegspritzen und für kurze Strecken schweben kann. Ich fand die Steuerung eher nicht so attraktiv, weswegen die kurzen Abschnitte, in denen man ohne dieses Gerät spielt, als nette Abwechslung wirken. Andersrum wär's imho besser gewesen.
Sehr unschön sind immer wieder auftauchende Mängel wie Clipping-Fehler, Stellen, an denen man ohne ersichtlichen Grund nicht weiterlaufen (oder schwimmen) kann, plausibel erscheinende Aktionen, die nicht durchführbar sind etc. Da scheint das ganze doch deutlich unausgereift.

Jedoch, man gewinnt auch dieses Spiel lieben. Sieht man vom unpassenden Ambiente ab, ist es fast ein vollwertiges Mario-Spiel. Als ich das Rummelplatz-Level erreicht hatte, war ich für alle bisherigen Mängel fast entschädigt. Die Force-Feedback-Funktionen des Joypads werden zwar sehr sporadisch, aber dafür sehr effektvoll eingesetzt.

Fazit: Dem Vergleich mit dem Vorgänger Super Mario 64 kann Sunshine nicht standhalten. Dennoch ein nettes Spiel. Da ich der Fairness halber sagen muss, erst bei 12 Insignien angekommen zu sein, gibt's möglicherweise noch einen Bericht wenn ich durch bin. Super Mario Galaxy (dann auf dem Wii) werde ich mir sicher in 10 Jahren oder so auch ansehen ;-)

Kürzlich bat ich ja alle Spammer um Mails. Um das Experiment auch meine Leser weiter verfolgen zu lassen, gestern, also am 1.2., traf die erste Mail ein. Die Ehre gebührt Anton le Roux, welcher mir anbietet, ein Konto bei einer afrikanischen Bank zu übernehmen, auf welchem 14 Millionen liegen. Selbstverständlich ist diese Information streng geheim.

Prinzipiell hat das eher länger als erwartet gedauert.