Hanno's blog

Das Bundesverfassungsgericht hat zur Vorratsdatenspeicherung gesprochen. Leider alles andere als positiv. Was ich befürchtet habe, ist eingetreten, wie schon bei der Onlinedurchsuchung oder der Kennzeichenerfassung sprach das höchste Gericht einen faulen Formelkompromiss. Allerdings ist dieser noch deutlich fauler als die bisherigen.

Auch wenn der AK Vorrat selbst dies als Sieg verkaufen will, ich sehe das deutlich anders und versuche darzulegen wieso.

Kurz gesprochen lautet die Entscheidung: Gespeichert wird weiterhin, einzig der Abruf bleibt auf schwere Straftaten beschränkt. Eine endgültige Entscheidung gab es noch nicht, diese wird erstmal auf die lange Bank geschoben, insofern ist natürlich jede Einschätzung nicht endgültig und ich widerrufe alles hier gesagte, sollte das BVerfG. in absehbarer Zeit weiteres entscheiden.

Das Kern des Problems: Das BVerfG. sieht einen schwerwiegenden Grundrechtseingriff erst beim Abrufen der Daten, insofern beschränkt es diese auf schwere Verbrechen. So interpretiert etwa ein ARD-Rechtsexperte:

»Dass die Verbindungsdaten bis auf weiteres sechs Monate lang gespeichert - allerdings nicht ausgewertet - werden. Es sei denn, der Bürger gerät in Verdacht, eine schwere Straftat begangen zu haben. Dann muss ein Richter anordnen, dass die Verbindungsdaten den Ermittlern zugänglich gemacht werden.«

Das ist nun aber, gelinge gesagt, völliger Blödsinn. Es macht nur dann Sinn, wenn man davon ausgeht, dass ein Mißbrauch der Daten prinzipiell auszuschließen ist. Angesichts der Häufigkeit, in der gehackte Foren, größere Kundendaten von Unternehmen etc. immer mal wieder auftauchen, kann das nur glauben, wer die Realität vollkommen ausblendet.

Genau aus diesem Grund spricht man bei sinnvollem Datenschutz vom Konzept der Datensparsamkeit: Daten, die nicht erhoben werden, können auch nicht mißbraucht werden. Wenn sensible Daten erhoben werden, werden sie genutzt, mit hoher Warscheinlichkeit auch außerhalb ihrer ursprünglichen Zweckbestimmung. Dass das BVerfG. den Grundsatz der Datensparsamkeit mit seiner Entscheidung offensichtlich nicht beachtet, das ist das traurige an der heutigen Entscheidung.

Für die »Datenschutzbewegung«, den AK Vorrat und andere, stellt sich hier natürlich eine nicht unkritische Strategiefrage. Bislang galt das BVerfG. immer als letzte Hoffnung für den Datenschutz (was ja in mehreren Fällen der Vergangenheit durchaus berechtigt war). Meiner Ansicht nach täte nach dieser Entscheidung eine kritischere Haltung dem höchsten Gericht gegenüber Not. Das dies nicht einfach ist, als gesellschaftlich zwar wachsende aber immer noch schwache Strömung, die die große Mehrheit beider Volksparteien gegen sich hat, versteht sich.

(Hier stand noch ein Satz mit Link zu dieser Meldung, wo ich aber zugegebenermaßen unsauber recherchiert habe: Die Meldung ist zwei Jahre alt und wurde längst dementiert.)

Update: Bei den Piraten sieht man das Urteil ähnlich kritisch, lesenswert.

Well, I usually don't tend to blog the content of my spam inbox, but hey, this time I make an exception. It's worth the fun.

There's a campaign that wants the UN to start a military action to shoot down an Unidentified Flying Object to know if there are extraterrestrians:
http://www.ufocampaign.org/

Yeah, that's really something worth making a petition. Tell those politicians you want their military to shoot down aliens. I wonder if this is a well-made hoax or not.

Unter dem Motto Für ein Morgen in Freiheit gingen gestern circa 2000 Menschen für Datenschutz und gegen Überwachung in Köln auf die Straße.

Ich könnte nun über die übliche Promifixierung rumnörgeln (ein »Ordner« wies mich an, ich solle doch bitte nicht vor den Promis laufen, damit die Presse die besser ablichten kann), die Tatsache, dass Volker Beck zwar die Doppelzüngigkeit der FDP anprangerte (deren Innenminister in NRW für das kürzlich gekippte Gesetz verantwortlich war, was ich bislang auch nicht wusste), aber wohl die Historie rot-grüner Bürgerrechtspolitik vergaß (Biometriepass, Anti-Terror-Pakete). Aber das nur am Rande.

Erwähnenswert scheint mir noch, dass eine Gruppierung, die sich Anti-Genozid-Bewegung nennt, dort massiv aufschlug (Link erscheint mir der Nachvollziehbarkeit halber notwendig, auch wenn mir bewußt ist, dass ich deren PR dadurch erhöhe). Ich zitiere einfach mal eines ihrer in großer Anzahl vorhandenen Pamphlete:
Seit 2000 Jahren weiß alle Welt, dass es jedem Menschen, der an den Gott der Bibel glaubt, strikt untersagt ist, irgendein Kontrollsystem, ein Charagma oder ein Erkennungs-Merkmal an seinem Leib anzunehmen, weder in Form einer sicht- oder unsichtbaren Tätowierung, noch eines unter die Haut gestochenen Chips. Wider dieses Wissen wird dennoch zielstrebig an der Entwicklung eines RFID-Chip (Radio Frequenz Identifikation) bzw. RFID-Tintendrucks gearbeitet, der in absehbarer Zeit als Kontrollorgan auf den Körper bzw. auf die rechte Hand oder Stirn aller Erdenbürger angebracht werden soll.(1) Allen Protesten zum Trotz zeichnet sich klar ab, dass vor allem christlich Denkende schon im Vorfeld mit brachialer Gewalt öffentlich niedergemacht, als Rebellen, als Verschwörungstheoretiker oder Fundamentalisten gebrandmarkt und diskriminiert werden.(2) Ist es statthaft, im Zeitalter der Anti-Diskriminierungsgesetze, eine Gleichschaltung aller Erdbewohner mit Mitteln voranzutreiben, die die Glaubensfreiheit kreuzigen und voraussehbar zu Ausgrenzungen und Sanktionen auf allen Ebenen des Menschseins führen? Soll ein unausweichlicher Holocaust an Bibelgläubigen verhindert werden, müssen Gesellschaft und Politik rechtzeitig jede weitere Entwicklung des RFID- bzw. VeriChips oder Tintendrucks etc. entsprechend unterbinden.(3) Jede rücksichtslose Weiterentwicklung wider besseres Wissen um diesen Tatbestand aber muss dringend als potentiell terroristische Zurüstung und Zeugung eines vorsätzlichen Genozids erkannt und behandelt werden.
So weit, so durchgeknallt. Ich denke im Detail darauf einzugehen lohnt kaum, sämtliche Texte strotzen vor inhaltlichen Fehlern und grammatikalischen Unzulänglichkeiten (zumindest fand ich bisher Tindendruck eher wenig bedrohlich).

Selbige Gruppe tauchte übrigens schon auf der Demo am 6.11.2007 in Stuttgart, allerdings waren die dort irrelevant (1-2 flyerverteilende Menschen) und erschienen mir nicht weiter beachtenswert. Im Unterschied dazu tauchte selbige Gruppierung gestern massiv (geschätzt mehrere hundert Menschen, also durchaus ein relevanter Anteil der Demo) auf. Erschreckend, dass eine Gruppierung, die derart offensichtlich durchgeknallt ist, derartige Mobilisierungskraft entfaltet. Der durch Religiosität mobilisierbare Wahn kann einen jedesmal erneut erschrecken.

nouveau, the project for creating a free 3D linux driver for nvidia cards, recently got first support for real 3D applications with gallium on some NV4X cards (see Nouveau Companion 36). Today I got it working on a friends machine.

Here you can see an openarena benchmark (also uploaded on youtube). It got 55 fps, which is far away from the nvidia binary driver yet (178 fps), but at least more than my r200 setup (32 fps).

For the brave ones, here's a quick and dirty howto for Gentoo:
a) Get the nouveau overlay with svn co https://svn.hboeck.de/nouveau-overlay and add it to PORTDIR_OVERLAY in make.conf.
b) The nouveau-overlay won't install the nouveau/gallium-branch of mesa. Get my overlay with svn co https://svn.hboeck.de/overlay and also add that to your PORTDIR_OVERLAY (I'll try to contact the nouveau-overlay developer if we can merge this).
b) Add media-libs/mesa, x11-base/x11-drm, x11-libs/libdrm and x11-drivers/xf86-video-nouveau to /etc/portage/package.keywords and merge them.
c) If you've been running the nvidia binary driver, eselect opengl set xorg-x11, change the graphics driver in xorg.conf to nouveau, rmmod nvidia (if you've been running the binary driver), modprobe nouveau and start X.
d) Have fun!

Note: The nouveau developers consider gallium completely unsupported at the moment and don't want to get end-user bugs. If it runs, fine, if not, don't nag them with it.

Ich bewerbe ja eher selten Flash-Spiele, aber heute gibt's ne Ausnahme: Faith Fighter, die ultimative Alternative zu Religionskriegen. Im Style von alten Street Fighter-Spielen kann man zwischen verschiedenen religiösen Führern wählen (Gott, Jesus, Buddha, Mohammed, ...) und sich im Straßenkampf messen, natürlich mit den für das Genre üblichen Special Moves.

Das ganze stammt von einer italienischen Gruppe mit Namen »La Molleindustria«, die Computerspiele als politische Ausdrucksform begreift. Operation: Pedopriest von der selben Gruppe hat's schon bis zu einem im Parlament verhandelten Skandal geschafft.

We believe that the explosive slogan that spread quickly after the Anti-WTO demostrations in Seattle, »Don't hate the media, become the media,« applies to this medium.

Leider funktionierte das Spiel im moment weder in gnash noch swfdec (freie Flash-Player), jedoch wies mich ein swfdec-Entwickler darauf hin, dass die EXE-Version des Spiels problemlos mit WINE läuft.

(via telepolis)

Ich verrate Euch heute ein Geheimnis: Ich bin Kinofan. Musikindustrieboykott, ja, das kann ich mir noch vorstellen. Filmindustrieboykott, dafür wär ich nicht zu haben. Den gelegentlichen Kinoabend, darauf möchte ich nicht verzichten.

Nun, gelegentlich habe ich ein Auge auf diverse Filmportale im Netz. Ein Film wie »No Country for old Men«, auf cinema.de mit »Tipp« bewertet, auf filmstarts.de 9/10 Punkte und momentan Platz 1 der Lesercharts, käme durchaus in die engere Auswahl für einen Kinoabend.

Da ich mich gerade in Murrhardt aufhielt, kamen tendenziell zwei Kinobetriebe in Frage, eben das Murrhardter und die verschiedenen Backnanger. Zunächst, wiewohl cinema.de vollmundig einen Kinotimer für »Alle Kinos in allen Orten Deutschlands!« betreibt, scheint dort die Nachricht, dass es auch in Murrhardt ein Kino gibt, noch nicht angekommen zu sein. Es gestaltete sich als durchaus schwieriger, das Programm ausfindig zu machen. Zwar habe ich dort einen Newsletter abonniert, der jedoch in jüngerer Zeit nicht kam. Die Webseite verschließt sich seit jeher allem, was nicht Internet Explorer heißt. Aber selbst diese Hürde lässt mich ja nicht verzweifeln. Dort fand ich auch die Antwort, weswegen der Newsletter ausblieb (»leider ist unser Newsletter-Verteiler einem Festplattencrash zum Opfer gefallen«), woraufhin ich mich erneut für den Newsletter anmeldete und gleich (bei beiden Seiten) nachfragte, warum auf cinema.de kein Murrhardter Kinoprogramm zu finden ist. Das Programm auf der Webseite hörte jedoch am 27.2. auf, weswegen mir das nicht viel weiterhalf.

Nun, da das Kino in Murrhardt tendenziell eher spärlich mit aktuellen Filmen ausgestattet ist, hielt ich es für eine plausible Annahme, dass der Film dort nicht lief. Etwas mehr überraschte mich schon, dass keines der Backnanger Kinos den Film zeigen wollte. Ich war schon drauf und dran, den ländlichen Kulturbanausen die Schuld dafür in die Schuhe zu schieben, jedoch lag ich damit falsch, wie eine Anfrage beim Backnanger Kino ergab:
Leider hat der Verleih aber zu wenige Kopien gezogen, um alle interessierten Orte beliefern zu können. "Normale" Starts haben eine Kopienzahl von ca. 500-600 Kopien. Backnang ist bereits ab 300 Kopien dabei. Vom gewünschten Film wurden aber gerade Mal 129 Kopien gezogen.

Also, werte Filmindustrie, das Konzept muss man mir nochmal erklären. Zunächst finde ich es ja schon etwas anachronistisch, dass Kinos scheinbar immer noch mit Kopien in endlichen Stückzahlen hantieren (Geheimtipp: Es gibt ultramoderne Technologien, die nennen sich bspw. Bittorrent, die umgehen solche Beschränkungen). Aber da ich vermute, dass es gerade keine Knappheit auf dem Weltmarkt der Rohfilmbänder gibt, nehme ich doch stark an, dass hier irgendein Konzept dahintersteckt. Nur welches, das erschließt sich mir jetzt nicht unbedingt.

Also, wie stellt ihr Euch das vor? Die armen Menschen in ländlichen Regionen sind sicher so geil auf den Film, dass sie lieber 50 Kilometer fahren, weil dadurch das Erlebnis deutlich aufregender wird? Oder eher dass das Warten das Erlebnis noch viel aufregender macht? Nur so als ganz dezenter Hinweis, aber wenn irgendwelche Menschen irgendwo über einen potentiellen Kinoabend beraten, die Tatsache, dass die Hälfte der Anwesenden den Film aus unerfindlichen Gründen schon kennt, trägt nicht unbedingt dazu bei, die Entscheidung zu gunsten des Kinoabends zu treffen. Und die Warscheinlichkeit hierfür steigt enorm, wenn der Film andernorts schon mehrere Wochen läuft.

Dass grüner Strom nicht immer so grün ist, wie er manchmal vorgibt, das hat sich inzwischen herumgesprochen. Zum ersten Mal begegnet ist mir das Phänomen, als Yellow Strom vor Jahren verkündete, plötzlich einen erklecklichen Wasserkraftanteil in seinem Strom zu haben. Recherchen stellten dann fest, dass dieser (virtuell) in Norwegen gekauft wurde (wo der Wasserkraftanteil sehr hoch ist und keine Atomkraftwerke stehen), wofür dann im Gegenzug Atomstrom nach Norwegen verkauft wurde.

Inzwischen ist dieses Verfahren in Europa institutionalisiert und nennt sich Renewable Energy Certificate System (RECS). Besser wird es dadurch natürlich auch nicht. Jedoch scheint es ein populärer Irrtum zu sein, was nicht RECS ist, ist dann automatisch irgendwie gut. So las ich auf telepolis:

Strato als größter Provider hierzulande stellte jetzt imagefördernd ebenfalls auf Grünstrom um und bezieht seinen Strom aus Wasserkraftwerken am Rhein. Der Umstieg auf regenerativ erzeugten Strom wird sich rechnen: Der Preisunterschied zwischen konventionell und regenerativ erzeugtem Strom ist minimal und der Imagegewinn groß. [...]
Medienwirksam stieg jetzt auch der weltgrößte Chiphersteller Intel auf den neuen Trend ein und verkündete den Umstieg auf Grünstrom, leider nur nominell per RECS-Zertifikate (frei handelbare Herkunftsnachweise), was dem neuen grünen Image aber keinen Abbruch tut. Denn kaum jemand wird genau nachfragen.

Liest man das, hört sich das ungefähr so an: Strato gut, Intel schlecht. Ist aber leider falsch. Ist beides Humbug.

Strato hat vor einigen Monaten medienwirksam seinen Wechsel zu Ökostrom von der Naturenergie AG bekannt gegeben, Hetzner zog kurze Zeit später nach (womit auch dieses Blog mit »Grünstrom« von der Naturenergie AG betrieben wird). Die Naturenergie AG ist im wesentliche eine Tochtergesellschaft der EnBW (für die Pedanten: Eine 100%ige Tochter der Energiedienst Holding AG, diese wiederum gehört zu 75% der EnBW). Die EnBW wiederum ist alles, aber sicher kein Öko-Unternehmen (auch wenn Al Gore das vielleicht glaubt).
Der Trick bei der Sache ist nun: Die Naturenergie AG braucht überhaupt keinen RECS-Zertifikatehandel. Das geht nämlich alles unternehmensintern. Kaufen mehr Kunden bei der Naturenergie AG teuren Ökostrom (der sowieso produziert wird), dann wird eben virtuell mehr Atom- und Kohlestrom an die gewöhnlichen EnBW-Kunden verkauft. Der Umwelt hilft das reichlich wenig. Der Knackpunkt ist letztendlich, wofür das eingenommene Geld und gemachter Gewinn reinvestiert wird.

Nun wird der ein- oder andere vielleicht die löblichen Investitionen der Naturenergie AG und EnBW erwähnen, etwa den Neubau des Wasserkraftwerks Rheinfelden (100 MW). Dem gegenüber steht der Neubau eines Kohlekraftwerksblocks in Karlsruhe (900 MW), am Neubau eines Kohlekraftwerks in Mannheim ist die EnBW mit 32% Anteil an der Großkraftwerk Mannheim AG (900 MW) ebenfalls beteiligt.
Man kann es drehen und wenden wie man will, will man ernsthaft etwas für die Umwelt und den Klimaschutz tun, man kann nur solche Angebote von Ökostrom ernst nehmen, die von Unternehmen ohne Verstrickungen mit der Kohle- und Atomwirtschaft angeboten werden. Meine größten Sympathien haben immer wieder die Energiewerke Schönau, deren Initiatoren ich schon persönlich kennenlernen durfte. Die EWS hat insbesondere eine Tarifstruktur, die für Kleinabnehmer günstig ist. Greenpeace Energy kann man ebenfalls wohl bedenkenlos vertrauen.

Habe dieses Jahr wieder die Chemnitzer Linux-Tage besucht, die sich inzwischen zu einem der wichtigsten Events der Linux-Community hierzulande entwickelt haben.

Ich habe tendenziell wenige, dafür aber gute Vorträge besucht (einen zum Hackerparagraphen und einen über Spam). Videos gibt's wohl leider keine, aber Audioaufnahmen sollten demnächst kommen. Desweiteren war ich aktiv am OpenStreetMap-Stand beteiligt, wir bekamen freundlicherweise bei der Wikipedia ein bißchen Platz. Für die Zukunft sind aber dann eher eigenen OpenStreetMap-Stände angesagt (beispielsweise beim Linux-Infotag in Augsburg).
Auch den Organisatoren sollten wir OpenStreetMap noch näher bringen, so war auf der Seite für die Wegbeschreibung lediglich map24 verlinkt. Zumindest ein alternativer OSM-Link sollte doch obligatorisch sein.

After some more »out of memory«-messages by josm, I thought it's time to look out for alternatives.

For the openstreetmap-project, the two main editors are josm (java) and potlach (flash). I think using java probably wasn't a very wise decision (I still wonder how an app can get »out of memory« after loading about 5 MB of images, do they create a pixel class and store every pixel in an object?) and I don't like flash either.

There's another project called merkaartor and today I had a look. My first feeling is that it's promising. It has good performance, it does nice live-rendering and it supports the basic features (adding nodes and ways, up/downloading stuff to the osm-system).

Sure, comparing to the large list of plugin features josm has, it's limited. Maybe I'll try to hack in some bits I'm missing at the moment.

In my continuing effort to improve gentoo for geo-related stuff, I've just added a merkaartor package to portage.

Heute früh hat das Bundesverfassungsgericht geurteilt, das ganze so, dass jeder sich ein bißchen als Sieger fühlen darf. Grob lautet das Urteil, dass Onlinedurchsuchungen zwar prinzipiell zulässig sind, aber nur unter extrem eingeschränkten Bedingungen und mit Richtervorbehalt. Letzterer wird leider allzu oft als Allheilmittel gegen Mißbrauch gesehen, was sich dummerweise mit der Realität äußerst selten deckt.

Das Problem, was ich bei Diskussionen über die sogenannte »Onlinedurchsuchung« erlebe, ist, dass meine Hauptbedenken erst da anfangen, wo das technische Verständnis der meisten anderen (insbesondere auch der entscheidenden Politiker) längst aufgehört hat. Ich gebe mich heute dem Versuch hin, selbige Bedenken auszuformulieren, ohne alle Nicht-Techies abzuhängen.

Zunächst mal muss man ungefähr begrifflich fassen, was »Onlinedurchsuchung« sein soll. Im Regelfall meint man damit, dass in ein fremdes Computersystem eingedrungen werden soll und dort Daten geholt oder manipuliert werden (Detailunterscheidungen in Datenbeschlagnahmung, Quellen-TKÜ o.ä. unterlasse ich jetzt mal). Nun ist der vielfach herzitierte Vergleich mit der Hausdurchsuchung ein problematischer, weil Computer üblicherweise keine virtuelle »Tür« haben. In der Realwelt wird eine Tür eben eingetreten oder das Schließsystem anderweitig umgangen (ja, es gibt elegantere Wege, die kenn ich auch). Sowas ist jetzt erstmal bei einem Computersystem nicht zwangsweise möglich, weil es nichts gibt, was man im Zweifel mit roher Gewalt (Türe) überwinden kann.

Um dennoch in ein System einzudringen, macht man sich üblicherweise Sicherheitslücken in Systemen zu Nutze. Und hier kommen wir meiner Ansicht nach zum Kern des Problems: Nämlich der Umgang mit dem Wissen über Sicherheitslücken. Im Hacker-Slang unterscheidet man manchmal zwischen Whitehats (»gute« Hacker) und Blackhats (»böse« Hacker). Whitehats sind solche, die ihr erlangtes Wissen über Sicherheitslücken lediglich dazu nutzen, diese zu beheben, indem sie etwa den Hersteller des Systems/der Software informieren und die Lücke anschließend publizieren. Blackhats sind solche, die die Kenntnis über Sicherheitslücken nutzen, um in fremde Systeme einzudringen.

Nun haben wir den etwas ungewohnten Fall, dass der Staat als Blackhat agieren will, sprich Sicherheitslücken NICHT publiziert, weil er sie für Onlinedurchsuchungen nutzen möchte. An diesem Punkt wird auch klar, dass das Thema eben nicht nur für die von einer Durchsuchung Betroffenen relevant ist, sondern für praktisch jeden. Woher der Staat diese Informationen bekommt, wäre eine eigene spannende Frage.

Nun ergeben sich daraus einige interessante Folgefragen. Ab und an kommt es ja vor, dass ein Computervirus mal eben das halbe Wirtschaftsleben lahmlegt (vor nicht allzu langer Zeit wurde ein Großteil der Rechner der Deutschen Post befallen). Bei zukünftigen derartigen Fällen wird man, nicht zu Unrecht, die Frage stellen, ob ein solcher Vorfall möglicherweise hätte verhindert werden können, hätte der Staat sein Wissen über Sicherheitsprobleme mit dem Rest der Menschheit geteilt. Was das für eventuelle Schadensersatzansprüche bedeutet, damit mag sich ein ambitionierter Jurist vielleicht einmal beschäftigen.

Ein weiterer, möglicherweise durchaus nicht unspannender Aspekt, der sich auftut: Der Staat begibt sich hier auf ein Gebiet, auf dem gewisse Regeln nicht unbedingt so gelten wie andernorts. Um oben genanntes Beispiel einer Hausdurchsuchung heranzuziehen, dürfte es in aller Regel so sein, dass ein Staat eine Hausdurchsuchung durchsetzen kann, egal in welcher Form sich die Hausinsassen wehren, aus dem simplen Grund, dass der Staat ein übermächtiges Repertoire an Gewaltmitteln zur Verfügung hat (zumindest gilt derartiges für westeuropäische Industrieländer).
Nun begibt sich der Staat in Außeinandersetzungen, wo dieser Vorteil plötzlich schwindet. Was der Staat hier tut, darauf hat er kein Monopol. »Onlinedurchsuchung«, das kann der Spammer, der Terrorist oder der Feierabendhacker möglicherweise genau so gut.

I recently took the new CAcert assurer test. Afterwards, one has to send a S/MIME-signed mail to get a PDF-certificate.

Having the same problem like Bernd, the answer came in an RC2-encrypted S/MIME-mail. I'm using kmail, kmail uses gpgsm for S/MIME and that doesn't support RC2.

While this opens some obvious questions (Why is anyone in the world still using RC2? Why is anyone using S/MIME at all?), I was able to circumvent that without the hassle of installing thunderbird (which was Bernd's solution).

openssl supports RC2 and can handle S/MIME. And this did the trick:

openssl smime -decrypt -in [full mail] -inkey sslclientcert.key

It needed the full mail, which took me a while, because I first tried to only decrypt the attachment.

I want to give some thoughts about some more advanced XSS-issues based on two vulnerability announcements I recently made.

First is backend XSS. I think this hasn't been adressed very much, most probably all CMS have this issue. If you have a CMS-System (a blog is also a CMS system in this case) with multiple users, there are various ways where users can XSS each other. The most obvious one is that it's common practice that a CMS gives you some way to publish raw html content.

Assuming you have a blog where multiple users are allowed to write articles. Alice writes an article, Eve doesn't like the content of that article. Eve can now write another article with some JavaScript adjusted to steal Alice's cookie. As soon as Alice is logged in and watches the frontpage with Eve's article, her cookie get's stolen, Eve can hijack her account and manipulate her articles.

Solution is not that simple. To prevent the XSS, you'd have to make sure that there's absolutely no way to put raw html code on the page. Serendipity for example has a plugin called trustxss which should do exactly that, though there are many ways to circumvent that (at least all I found should be fixed in 1.3-beta1, see advisory here: CVE-2008-0124). All fields like username, user-information etc. need to be escaped and it should be the default that users aren't allowed to post html. If a superuser enables html-posting for another user, he should be warned about the security implications.

A quite different way would be separating front- and backend on different domains. I don't know of any popular CMS currently doing that, but it would prevent a lot of vulnerabilities: The website content is, e.g., located on www.mydomain.com, while the backend is on edit.mydomain.com. It would add complexity to the application setup, especially on shared hosting environments.


Second issue is XSS/CSRF in the installer. I'm not really sure how I should classify these, as an open installer most probably has more security implications than just XSS. I recently discovered an XSS in the installer of moodle (CVE-2008-0123) which made me think about this.

I thought of a (real) scenario where I was sitting in a room with a group, discussing that we need a webpage, we would take Domain somedomain.de and install some webapp (in this case MediaWiki, but there I found no such issues) there. I suddenly started implementing that with my laptop. Other people in the room hearing the discussion could send me links to trigger some kind of XSS/CSRF there. This probably isn't a very likely scenario, but still, I'd suggest to prevent XSS/CSRF also in the installer of web applications.

Schon im vollen Gange, aber da das vielleicht nicht jeder mitbekommt: Ausgehend von der Aktion Mensch laufen gerade in vielen Kinos Filme im Rahmen der Aktion »Die Gesellschafter«.

Das Konzept: In Kinos werden Filme gezeigt, die gesellschaftliche Themen anreißen, zum Großteil solche, die es ohne die Aktion wohl garnicht in die deutschen Kinos geschafft hätten. Dabei beteiligen sich lokale Gruppen, die zu diesen Themen aktiv sind, mit Infoständen und Diskussionen (ich persönlich hab's vor allem über den AK Vorrat mitbekommen).

»A Scanner Darkly« (zum Thema Überwachung) und »Jesus Camp« (über christlichen Fundamentalismus) kenne ich schon, sind beide auf jeden Fall extrem emfehlenswert (und ich bin froh, dass wohl nur durch diese Aktion beide eine deutsche Übersetzung bekommen), aber auch das restliche Programm klingt nicht uninteressant. So werd ich hoffentlich die nächsten Tage möglichst viele der Veranstaltungen besuchen, in Karlsruhe ging's vor wenigen Tagen los.

http://diegesellschafter.de/

Ich behaupte ja nicht, dass meine Geographiekenntnisse besonders ausgeprägt sind, aber »Käsespätzle Allgäuer« mit dem Label »Aus unserer Region« im REWE in Murrhardt zu sehen, das kam mir doch seltsam vor.

(sorry für's verwackelte Bild, war nur die Handycam)

Hatte gestern mal wieder einen OpenStreetMap-Einführungstalk gehalten, diesmal beim Entropia, dem Karlsruher CCC-Ableger.

Vortragstechnisch habe ich diesmal die Folien deutlich reduziert (Download hier als OpenDocument) und den Fokus auf das konkrete Zeigen von Software und Interfaces gelegt.

Für Karlsruher OSM und Geo-Interessierte: Auf der Mailingliste KA-Geo werden lokale Treffen und Aktivitäten koordiniert.