Hanno's blog

Dieses Plakat war mir schon öfters aufgefallen und ich fand es heute einen passenden Anlaß, einen Vorschlag für eine veränderte Version zu unterbreiten.

Zur Moorburg-Entscheidung erspare ich mir jeden Kommentar, weil das komplett für sich spricht. Ich erlaube mir aber, ein paar andere Kommentare zum Verhältnis Grüne / Kohlekraft zu verlinken:

• Wir Klimaretter: Grünes Licht für Moorburg
• telepolis: Grüne geben Klimaschutz auf
• Kommentar von Henrik Paulitz / IPPNW, nicht zur aktuellen Entscheidung, aber lesenswert

Recently, two publications raised awareness of a problem with ssl secured websites.

If a website is configured to always forward traffic to ssl, one would assume that all traffic is safe and nothing can be sniffed. Though, if one is able to sniff network traffic and also has the ability to forward the victim to a crafted site (which can, e. g., be just sending him some »hey, read this, interesting text« message), he can then force the victim to open a http-connection. If the cookie has not set the secured flag, the attacker can sniff the cookie and take over the session of the user (assuming it's using some kind of cookie-based session, which is pretty standard on today's webapps).

The solution to this is that a webapp should always check if the connection is ssl and set the secured flag accordingly. For PHP, this could be something like this:

if ($_SERVER['HTTPS']) session_set_cookie_params( 0, '/', '', true, true );

I've recently investigated all web applications I'm using myself and reported the issue (Mantis / CVE-2008-3102, Drupal / CVE-2008-3661, Gallery / CVE-2008-3662, Squirrelmail / CVE-2008-3663). I have some more pending I want to investigate further.

I call security researchers to add this issue to their list of common things one has to look after. I find the firefox-extension CookieMonster very useful for this.

The result of my reports was quite mixed. While the gallery team took the issue very serious (and even payed me a bounty for my report, many thanks for that), the drupal team thinks there is no issue and did nothing. The others have not released updates yet, but fixed the issue in their code.

And for a final word, I want to share a mail with you I got after posting the gallery issue to full disclosure:
for fuck's sake dude! half of the planet, military, government, financial sites suffer from this and the best you could come up with is a fucking photo album no one uses! do everybody a favor and die you lame fuck!

Vergangenen Samstag war ich auf einer Demonstration in Benken gegen das dortige Atommülllager. Auf Indymedia habe ich direkt danach schon kurz berichtet.

Für die, die es nicht wissen: Benken ist sozusagen das Schweizer Gorleben. Obwohl es (ebenso wie das französische Bure) aus meiner Sicht weit näher wie Gorleben ist, ist es doch deutlich weniger bekannt. Langfristig soll hier ein Atommüllendlager für die Schweiz entstehen.

Um die Situation zu erläutern, erstmal ein paar Dinge zur Schweizer Politiklandschaft, die doch grundsätzlich anders ist als in Deutschland. Einmal ist die Schweiz sehr stark von direktdemokratischen Mitteln geprägt (dazu später mehr), zum anderen gibt es in der Schweiz üblicherweise Regierungen, die aus allen großen Parteien bestehen und keine Koalitionen (Konkordanzdemokratie). Die Parteienlandschaft ist auch nicht mit der hiesigen vergleichbar.

Der Standort Benken ist vor allem aus politischen und nicht aus sachlichen Gründen der momentan einzige Standort für ein Atommülllager in der Schweiz. In Nidwalden wurde 2002 durch ein Volksbegehren ein geplantes Endlager verhindert. Aus der Befürchtung heraus, nun würden alle Kantone mit potentiellen Endlagerorten sofort ähnliche Volksbegehren starten, wurden durch eine Gesetzesänderung derartige Volksentscheide verhindert. Relativ schnell legte man sich dann auf Benken fest, was einerseits in einer dünn besiedelten Region liegt und zum anderen an der Grenze zu Deutschland - und grenznahe Endlager sind sowieso international sehr beliebt (gilt auch für Gorleben, nur dass die Grenze eben heute nicht mehr existiert).

Neben diesen Volksbegehren auf lokaler Ebene gab es zwei Bemühungen, das Thema durch bundesweite Volksentscheide voranzubringen, die aber beide im Jahr 2003 scheiterten. Dazu ist noch zu sagen, dass Volksbegehren in der Schweiz eine sehr lange Vorlaufzeit haben - die Initiativen starteten nach einem größeren Störfall im AKW Mühleberg - der längst vergessen war, als es um die Abstimmung ging.

Nach den gescheiterten Volksbegehren gab es kaum noch eine Anti-Atom-Bewegung in der Schweiz - ein frühzeitiges Abschalten der bestehenden Reaktoren schien aussichtslos, an neue AKWs dachte niemand. Das änderte sich 2006, als Pläne bekannt wurden, die bestehenden AKWs durch neue zu ersetzen.

Aus oben genanntem ergibt sich, dass die Schweizer Anti-AKW-Bewegung schon deutlich anders konstituiert ist, als man das von Demos etwa in Deutschland oder auch Frankreich gewohnt ist. Deutlich bürgerlicher, deutlich Parteienlastiger.

Die Demonstration war geprägt von vielen PolitikerInnen am Redepult - im weitesten Sinne der Anti-Atom-Bewegung sind in der Schweiz wohl die SP, die Grünen und die sogenannten Grün-Liberalen zuzuordnen. Die SP ist politisch wohl am ehesten zwischen der hiesigen SPD und Linkspartei anzusiedeln, die Grünen sind tendenziell etwas bunter als hier und bestehen in den meisten größeren Städten aus mind. 3 Untergruppierungen (da es lange Zeit keine bundesweite grüne Partei in der Schweiz gab) und die Grün-Liberalen sind eine Art Mischung aus FDP und Grünen. Aus Deutschland flog (!) Rebecca Harms von den Grünen extra ein.

Die Essensversorgung bestand aus einer Würstchenbude und einem Stand mit Süßgebäck - für Vegetarier schon anstrengend, für Veganer komplett unbrauchbar. Die Schweizer Linke scheint sich kaum für das Thema zu interessieren - mein Bericht auf Indymedia brachte mir dann gleich auch ein paar abfällige Kommentare ein.

Insgesamt eine durchaus interessante Erfahrung - und allemal sollte man der Bewegung in der Schweiz viel Solidarität zukommen lassen - in den nächsten Jahren wird sich dort entscheiden, ob die bestehenden AKWs durch neue ersetzt werden, oder ob man verstärkt auf erneuerbare Energien setzt. Kohlekraftwerke - die ja im Moment der zentrale Konfliktgegenstand der Energiedebatte in Deutschland sind - gibt es in der Schweiz nicht, die Energieversorgung wird zu etwa gleichen Teilen durch Atom- und Wasserkraft geleistet. Wind- und Sonnenenergie sind noch kaum genutzt, zwar besitzt die Schweiz inzwischen wohl auch eine dem EEG vergleichbare Einspeisevergütung, diese ist jedoch von der Menge gedeckelt.

Im Nuclear Heritage Wiki habe ich eine Seite zu Benken angelegt - dort gibt's dann auch Links zu dort aktiven Gruppen und Presseberichten. Bilder gibt's hier.

If you didn't know it, today is Software Freedom Day.

Just noticed that, when you surf to http://cgi.softwarefreedomday.org/map.shtml to look if there's something happening around you on SFD, you'll get a proprietary google map.

It seems that the organizers of the SFD can't look beyond one's own nose. I often saw this behaviour in parts of the free software movement (being ignorant about proprietary stuff if it's not software), but found this example especially frightening, as we have a well working alternative.

Today my new IBM/Lenovo Thinkpad T61 8895WFJ laptop arrived. While my P30 did a good job, it really was time to replace it.

I'm currently in the phase of installing Gentoo and getting used to the device, but I think it was a very good choice.

Beside the fact that Lenovos are probably popular for a reason, the 1400x1050-resolution, the well Linux-supported Intel-graphics and a quite acceptable weight (2,4 kg) were reasons for this model. I'm still in favour of 4:3 screens, because if you wanna have a 16:10 one with a decent resolution (e. g. > 1000 pixels height) they become either very expensive or very heavy. I still wonder why no vendor seems to produce 4:3 screens any more (from my research, not a single Montevina laptop has 4:3).

Some time soon you'll probably find some documentation about Linux on the T61 8895WFJ at http://www.int21.de/t61/.

Ich überlegte heute, hier die bisherige DSL-Installation (Buffalo-Router mit DD-Wrt und uraltes Telekom-DSL-Modem) durch eine FritzBox zu ersetzen. Dabei versuchte ich insbesondere, den Stromverbrauch im Auge zu behalten.

Die FritzBox schluckt cirac 8 Watt Strom, was schon etwas mehr ist als der Buffalo (5 Watt), beide jeweils mit WLAN. Die FritzBox hat zudem nur zwei Netzwerkanschlüsse (zu wenig), weswegen noch ein Switch dazukommt. Der Switch verbraucht jedoch nur erfreulich wenig (2 Watt).

Erschrocken bin ich aber dann doch beim Messen des Verbrauchs des alten Telekom-DSL-Modems. Das dürfte noch eines aus der ersten Generation sein, als die noch nicht Pink waren. Es schlug allein mit ganzen 7 Watt zu Buche. Da die Fritzbox ein selbiges integriert hatte (was mir vermutlich auch etwas mehr Geschwindigkeit bringt, da inzwischen DSL 6000), schluckt die neue Kombination nun ca. 10 Watt, im Vergleich zu vorher 12.

Wohlgemerkt, das geht alles sicher noch deutlich besser, aber das hier war jetzt nur mit Hardware, die ich sowieso rumstehen hatte. Der Verbrauch hat doch häufig nicht ganz unerhebliche Unterschiede, besonders wenn man bedenkt, dass es sich bei DSL-Modems und Routern üblicherweise um Dauer-Stromverbraucher handelt. Die Ersparnis beträgt (mit Ökostrom aus Schönau) ungefähr 4 EUR im Jahr.

Kleiner Wehrmutstropfen: Für die FritzBox Fon WLAN 7050 gibt es aktuell wohl keine freie Alternativfirmware.

Im übrigen lohnt es sich, an dieser Stelle darauf hinzuweisen, dass das EU-Energielabel sich nebst anderer Probleme nur auf einen Bruchteil der im Handel befindlichen Gerätschaften bezieht - und IT-Spielzeug praktisch komplett ausgenommen ist. Was eigentlich angesichts der aktuellen Klimaschutzdebatte ein ziemlicher Skandal ist.

I recently played around with the possibilities of fuzzing. It's a simple way to find bugs in applications.

What you do: You have some application that parses some kind of file format. You create lots (thousands) of files which have small errors. The simplest approach is to just change random bits. If the app crashes, you've found a bug, it's quite likely that it's a security relevant one. This is especially crucial for apps like mail scanners (antivirus), but pretty much works for every app that parses foreign input. It works especially well on uncommon file formats, because their code is often not well maintained.

My fuzzing tool of choice is zzuf.

I am impressed and a bit shocked how easy it is to find crashers and potential overflows in common, security relevant applications. My last discovery was a crasher in the chm parser of clamav.

Vor ein paar Tagen las ich bei der Deutschen Welle einen Artikel, in dem es um grüne Gentechnik und das Rock for Nature-Festival ging. Der Artikel wurde eingeleitet mit:
In ganz Deutschland gibt es Bauern, die Gentechnik nutzen. In ganz Deutschland? Nein, in Hohenlohe lebt eine kleine Gruppe Rebellen.

Ich schrieb daraufhin eine eher unfreundliche Nachricht, dass das kompletter Blödsinn ist, sondern im Gegenteil in vielen Bundesländern sich überhaupt keine Bauern finden, die grüne Gentechnik nutzen. So etwa in Baden-Württemberg, Hessen, Rheinland-Pfalz, Saarland, Schleswig-Holstein, Nordrhein-Westfahlen (zwar existieren in einigen dieser Bundesländer Genfelder, diese sind jedoch alle entweder staatliche oder firmeneigene Forschungseinrichtungen).

Ich hatte ja nicht ernsthaft damit gerechnet, überhaupt irgendeine Reaktion zu erhalten. Aber ich wurde positiv überrascht: Heute erhielt ich eine Mail einer zuständigen Redakteurin, in der mir mitgeteilt wurde, dass der entsprechende Artikel diese fehlerhafte Aussage nun nicht mehr enthält.

Seit August trudeln sie ein, die Mitteilungsschreiben vom Bundeszentralamt für Steuern, die uns unsere lebenslang gültige Steuernummer zuteilen.

Die Steuernummer ist im Vergleich zu Vorratsdatenspeicherung und Co. sicher nicht das schlimmste Überwachungsvorhaben, aber eines mit hoher Symbolkraft.

Die juristischen Details sind wohl etwas komplizierter, weshalb man als Privatmensch erstmal wenig Handlungsoptionen hat. Die Humanistische Union hat die wichtigsten Informationen zur Steuer-ID zusammengefasst und bietet auch ein vorgefertigtes Protestschreiben. Zumindest das habe ich heute abgeschickt. Darin beruft man sich auf eine Musterklage der HU, sollte diese erfolgreich sein, kann man sich später auf das Schreiben berufen.