Hanno's blog

I recently wrote about geo-tagged images. This makes use of the fact that different devices collect data and you can associate the data by the timestamp. It's most probably interesting for much more than gps/images.

While it's possible to get accurate timesetting by hand, it's usually not what you want. Preferably one wants to sync all devices with an internal clock automatically from the computer or some kind of network connection.

As a first step, we want to get our computer's time accurate. There are tons of tools out there, some linux distributions (and also windows xp) do this automatically on boot. I'm usually using rdate, it's small and simple:

rdate -s [any public timeserver]

There's a list of public time servers here. Other tools like netdate, ntpdate etc. will do it as well.

Now, my digital camera is a Canon Ixus 50. It uses PTP (picture transfer protocol) for data communication. If you have a PTP camera, most likely it supports time syncing. Syncing the camera time to the system time was recently added to libgphoto svn, but it's not yet available in a release. It also doesn't support any timezone management yet, so I'll get GMT time (while I live in the CET zone). The command to do it is:

gphoto2 --set-config synctime=on

If you don't have PTP, you're not completely lost. There's support for a lot of proprietary cameras in gphoto, some of them also support time syncing. Give it a try. I don't have information about usb storage devices (many cameras are just storage devices), links welcome.

Next device is my mobile phone, Nokia 6230i. As a mobile phone is permanently connected to the GSM-network, the obvious option would be time syncing over gsm. This protocol exists and most phones (including mine) support that. But bad luck, many mobile providers don't support it. So I'm out of luck here (vodafone, pointers to information about different provider support that are welcome).

Now, this device also speaks bluetooth, so timesetting via the computer should be possible. Both gammu and gnokii (the common applications to talk with all those proprietary mobiles out there) have a timesetting-option, but it rounds down the time to zero seconds, thus making it useless for exact time. I'm not yet sure if this is a limitation of the hardware or a bug in the software. An option would be to send the timesync-signal at the moment seconds turn to zero, but that would require application support, as there's a relevant diff between the application call and the moment the time get's set (because you have to ack the connection on the phone).
Though at the moment my phone needs manual timesetting, but the only data I'm collecting with it is gps-data, which get's it's timestamp via gps, so this is fine.

Over two years ago, it was announced that the security scanner nessus will no longer be free software starting with version 3.0. Soon after that, several forks were announced. For a long time, none of these fork-projekts produced any output.

openvas was one of that forks and from my knowledge the only one that ever produced any releases. It recently had 1.0-releases for all packages, I just added ebuilds to gentoo.

While openvas isn't perfect yet (many of the old plugins fail, because some files had to be removed due to unclear licensing), it's nice to see that we have a free, maintained security scanner again that will fill the gap left by nessus.

Recently geotagging of images became some popularity due to some articles on popular newspages. I'm already using geotagged images regularly for my work on openstreetmap.

Geotagging images means that you add some metadata in the EXIF-header (part of JPEG-files) where the image was taken. Future cameras probably will include a gps module and will be able to do this automatically, but with today's hardware we need some extra work. Beside manually adding the coordinates, e. g. by clicking on a map, we can synchronize gpx tracks (a common format for recorded gps data) with our images.

I'm usually recording gpx tracks on my mobile phone with Mobile Trail Explorer (a Java/J2ME-software) and an external bluetooth gps device. Before starting, you should accurately set the clock of both devices (the camera and whatever you use to get gpx data). For my hardware I have to do this manually. The mobile phone (Nokia 6230i) supports timesetting via gsm, but my german mobile phone provider doesn't transport that signal. It's also possible to set the time via bluetooth, but then it's rounded down to minutes (at least with gnokii and gammu, I'm not sure if this is an application bug or a hardware limitation), so this is useless, too.
My camera (Canon IXUS 50) seems to have no way of automatically setting the time.

Now, considering you were out somewhere, made some photos while you had another device recording gpx data. There's a small skript called gpsPhoto that will give your images GPS data:

gpsPhoto.pl --dir [directory of your images] --gpsdir [directory of your gpx files] --timeoffset 0

Now you have images that contain data where they were made. JOSM (an openstreetmap tool to create map data) supports showing the geotagged images, which makes editing openstreetmap much easier (you don't have to write down/remember street names, you can take photos of postboxes, bus stops etc. instead of writing down/setting waypoints with your device).

Beside that, this brings up the question if openstreetmap should get a database of geotagged free images together with tools to show them on the map. While this brings up some privacy issues (if the photos contain private buildings, people, car numbers), even the ones without any privacy implications (nature, public buildings) would be a nice feature: Having a map and always being able to say »show me some photos of that location«.
At the moment, this is probably far beyond of the computer ressources available for a project like osm, but it's worth a thought for the future.

Update: Bernd just told me that MTE doesn't use the phone's timestamp, but the one from the GPS device. This means this method doesn't work if your gps doesn't send a correct timestamp signal.

(Achtung Spoiler)

Hab jetzt mit Luigi alle 120 Sterne gesammelt. Danach kann man in einem finalen Leven (wobei es kein wirkliches Level ist, man läuft nur durch) noch einen 121. Stern einsammeln. Selbigen ebenso mit Mario.

Nach mehreren berichten im Internet passiert noch etwas wenn man 9999 Sternenteile hat, es sollen sich alle Melonen in Kokosnüsse verwandeln. Hab ich probiert, aber ich seh keinen Unterschied. Vielleicht nur ein Fake, sachdienliche Hinweise (evtl. Howto mit Fotos/Videos) können gerne in den Kommentaren hinterlassen werden.

Savegame zum Download

Ich habe heute unseren uralten DSL-Router (Netgear RO318) gegen ein aktuelles, WLAN-fähiges Modell (Buffalo WHR-HP-G54 mit DD-WRT) ausgetauscht.

Interessehalber habe ich mal ein Strommeßgerät davor gehängt. Der alte (ohne WLAN) brauchte zwischen 7 und 8 Watt Leerlaufleistung, der neue (mit WLAN aktiviert) circa 4. Da ein Router in der Regel permanent läuft schon eine spürbare Ersparnis.

Wie schon im Vorjahr haben wir Ende 2007 als Linux User Group Backnang die tuXmas-DVD herausgebracht, von der Idee her: Wir packen eine DVD voll mit freien, bzw. zumindest frei kopierbaren Inhalten.

Wie das bei solchen Projekten so ist, »eigentlich« war man schon lange fast fertig, aber der Unterschied zwischen fast fertig und fertig ist eben manchmal größer als man glaubt. Und so gestaltete es sich, dass die Endversion in einer ungeplanten Nachtschicht über's Knie gebrochen wurde und natürlich manches, was man mal vorhatte, nicht zur Umsetzung kam.
Die Ursprungsversion war dann auch prompt nicht unter Windows lesbar (hey, woher soll ich sowas wissen?), aber inzwischen gibt's für alle, die das tatsächlich benötigen sollten, ein re-release (r2).

Gefühlt fand ich diesmal deutlich mehr Erwähnungen auf Nachrichtenseiten und in Blogs (könnte aber auch an einer gestiegenen Zahl von Bloggern liegen), Downloadstatistiken hab ich keine, da wir die Verbindungen zu Mirrors von letztem Jahr nutzen konnten, liefen alle Downloads außerhalb meiner administrativen Reichweite. Die Newsmeldungsliste darf gern ergänzt werden, einfach kurze Mail an mich.

Und alle, die bestellt haben, kriegen heute oder morgen eine Nachricht, aber das war ja eh nur als Notlösung gedacht. Schließlich wollen wir der materiell manifestierten Form doch nicht allzu viel Tribut zollen.

Bewerbungen für das nächste DVD-Projekt werden gerne jederzeit entgegengenommen.

Endlich! Eben 120 Sterne abgeholt in Super Mario Galaxy. Und ein guter Anlaß, einen kleinen Rückblick auf das Spiel zu wagen.

Das Spiel wird vielfach mit Recht als legitimer Nachfolger von Super Mario 64 bezeichnet. Ich war ja nach kurzer Zeit schon etwas ungehalten und wollte das Spiel als viel zu leicht abqualifizieren, weil ich nach einer knappen Woche 60 Sterne und das erste Mal den End-Bowser erreichte. Aber wie bei Mario-Spielen üblich gibt es einen Unterschied von »zu Ende gespielt« und »richtig zu Ende gespielt« und bei Galaxy ist der besonders ausgeprägt. Nach 120 Sternen erhält man noch die Möglichkeit, das komplette Spiel mit Luigi erneut zu spielen, der eine leicht veränderte Steuerung hat (allein beeindruckend alle Levels bei aller Detailgetreue so zu gestalten, dass sie mit verschiedenen Figuren spielbar sind). Damit hat das Spiel eine Art Hard-Modus und knüpft an ganz alte Traditionen (Super Mario Bros) an.

(Sidenote: Hat Prinzessin Peach eigentlich mit beiden Brüdern was? Hat sich das schonmal jemand gefragt? Eine heimliche Propagandistin der Polyamorie?)

Überhaupt ist das ganze Spiel eine große Hommage an die Geschichte der Mario-Games. Unzählige Anspielungen, Neuauflagen und Abwandlungen alter Gegner, auch ein Pixel-Mario begegnet einem (und ein Pixel-Luigi, wohl das schwerste Level im ganzen Spiel). Die Schwerkraft-Spielchen machen Spaß, obwohl das ganze ein 3D-Spiel ist, gibt es nette 2D-artige Einlagen.

Naja, ich bin ja sonst furchtbar skeptisch was neumodische Spiele angeht (Cranky aus Donkey Kong Country hat sowieso Recht), aber Super Mario Galaxy konnte auch mich als jemanden, der sämtliche Klassiker durchgespielt hat, überzeugen.

P. S.: Ich melde es wenn mein Luigi die 120 Sterne erreicht hat.

About one year ago, Sam Hocevar posted some results on tests with his fuzzing tool zzuf, which showed a large number of crashes in various applications, especially multimedia apps.
Crash bugs on invalid input very often lead to security issues, thus this should be taken seriously.

Now, I took the freedom to have a look how many of the issues found back then were fixed. I used the most current versions in gentoo linux (testing/~x86-system), which tend to be quite up-to-date. I also cross-checked the crashes for other apps, as they often use the same or similar code.
Seems only vlc devs did their homework (Sam Hocevar is part of the vlc team). Interesting enough, even firefox seems to have a gif-crasher since a year.

gstreamer crash by lol-ffplay.mpg lol-gstreamer.m2v lol-mplayer.m2v lol-mplayer.mpg lol-vlc.m2v lol-vlc.mpg
endless loop by lol-ffplay.m2v lol-xine.mpg

mplayer hang by lol-mplayer.wmv,
crash by lol-ffplay.flac lol-mplayer.aac lol-mplayer.mpg lol-mplayer.ogg lol-ogg123.flac lol-vlc.aac lol-xine.aac

xine crash by lol-mplayer.wmv lol-ffplay.m2v lol-ffplay.ogg lol-ffplay.wmv lol-gstreamer.avi lol-ogg123.flac lol-vlc.aac lol-xine.mpg

firefox crash by lol-firefox.gif

I noted that my personal homepage on int21.de basically contained nothing relevant any more and was horribly outdated. Thus I decided that the time of personal homepages is over and I'll let it forward permanently to this blog (so my blog will get the fame and pagerank).

It still contains various subpages like howtos, cve advisories, they'll stay where they are.

Falls meine geneigten Leser mich schon vermissten, melde ich mich hiermit mal zurück. Ich verbrachte die Jahreswechselzeit wie üblich auf diesem und jenem Kongress (inklusive ausgelagerter, aus dem Kongressprogramm zensierter Events), wobei meine Blogmotivation diesmal eher gering und gegen Ende noch durch Erkältung beeinträchtigt war.

Zum ein- oder anderen 24C3-Talk gibt's vielleicht noch Nachbetrachtungen in den nächsten Tagen, da es aber diesmal tatsächlich zeitnah Videos gab, kann sich ja jeder selbst ein Bild davon machen. Ein paar Empfehlungen von mir: Freifunkerei (grob zusammengefasst: Staatskritik am Beispiel freier Funknetze aufgezogen), Die Wahrheit und was wirklich passierte (hab zwar inhaltlich einige Differenzen, aber kurzweilig war's allemal), Unusual Web Bugs (KEINE einführung, was eine XSS ist sollte man vorher wissen).

Auf dem Jukss konnte ich dank oben genannter Erkältung deutlich weniger umsetzen als geplant. Zu erwähnen ist vielleicht, dass der diesjährige Jukss eher ein Notprogramm war, während es starke Bestrebungen verschiedener Menschen gibt, nächstes Jahr Inhalte deutlich mehr in den Vordergrund zu stellen. Solidarische Grüße an die diversen Anti-Gentechnik-Aktivisten und kleine Erinnerung an mich, dass ich endlich mal ein paar Gedanken zu Gentechnikkritik, dem Vorwurf der Technikfeindlichkeit und Technologiekritik allgemein aufschreiben wollte.

Ich hatte in jüngster Zeit eine Kundenanfrage, die sich mit dem Betrieb eines Flash Media Streaming Servers außeinandersetzte. Nun finde ich ein Produkt ja schon dubios, wenn ich keinen Wikipedia-Eintrag dafür finde (wobei es verziehen sei, dass das möglicherweise an der Löschwut mancher Wikipedia-Admins in den vergangenen Monaten liegt).

Aber die Produktbeschreibung (von Adobe) ist echt göttlich, deswegen möchte ich Euch das nicht vorenthalten:

Flash Media Streaming Server 3 unterstützt RTMPE, eine erweiterte Version des RTMP-Protokolls (Real Time Messaging Protocol) von Adobe. Mit verbesserter Leistung und 128-Bit-Verschlüsselung bietet das neue Protokoll effektiven Schutz für per Streaming übertragene Medieninhalte. Eine neue Verifizierungsfunktion verhindert, dass SWF-Dateien von unbefugten Anwendern wiederverwendet, geändert oder gehostet werden.

Ich glaube für sowas wurde mal der Begriff Snakeoil oder Schlangenöl erfunden.

Recently I had a discussion with someone about the security of various linux distributions where he claimed Debian stable to be very secure and that they use old versions where they backport all occurances of security issues. This is a common assumption, too bad that it's wrong.
I want to document this to demonstrate the dangerousness of opinions like »stay with the old software«, »never touch a running system« and alike that are not limited but often found in the Debian community.

I had a look at the security policy on a package recently very popular for it's vast number of issues, namely php. Their last php-update on php5 was in july. They have a heavily patched version of php 5.2.0 and according to their changelog the last thing they patched was CVE-2007-1864.

Now that probably means that CVE-2007-3996, CVE-2007-3378, CVE-2007-3997, CVE-2007-4652, CVE-2007-4658, CVE-2007-4659, CVE-2007-4670, CVE-2007-4657, CVE-2007-4662, CVE-2007-3998, CVE-2007-5898, CVE-2007-5899, CVE-2007-5900 are unfixed. Oh, and before you ask: This list certainly is incomplete, it's just what I found without much hassle.

Not only looking at php5, php4 is still officially distributed by many vendors, some hosters still use it. You can't really blame them, as php.net announced it to be supported until 2007-12-31. But that's theory, in fact, nobody looks if the various recent issues also apply to php 4, most recent advisories don't mention it. Fact is, at least CVE-2007-3378, CVE-2007-3997, CVE-2007-4657, CVE-2007-3998 also apply to php 4 and are unfixed in their latest release 4.4.7 (not neccessary to mention that they're not fixed in the debian stable php4 package).

If someone prefers to stay with old software, it's up to them. But be serious. It's probably a hell-job to get all the recent security issues in an app like php backported to some ancient version. A quick check showed me that debian isn't able to do that. If you can't do that, don't claim it's in any way »supported«. Because doing that put's other people in dangerous situations.

War heute mit Fabian beim CCC Stuttgart, um über OpenStreetMap zu reden.

Der Abend war recht gut besucht, aus diesem Anlaß gibt's natürlich auch wieder aktuelle Slides.

I recently stepped upon some XSS issues in Serendipity.

The first is in the remoterss-plugin, which can be used to display the content of an RSS feed in the sidebar of a blog. It didn't escape links, so JavaScript-Code could be injected by malicious RSS feeds. This plugin is shipped with the base version of S9Y. They've released 1.2.1 this weekend which has the fix.
If you're using the remoterss plugin, you should upgrade to 1.2.1 as soon as possible. This issue is named CVE-2007-6205.

The other one is in the external mycalendar-plugin. It also allows unescaped content inside links. This wouldn't be a real issue, as this form should only be accessible by the blog administrator. But the form had no CSRF (Cross-Site-Request-Forgery) protection, so an attacker could trigger this form and thus inject javascript on the blog-page. This has been fixed within version 0.13 of the plugin, so if you're using it, please upgrade. CVE-2007-6390 now assigned.

Beside I'd like to note that I got fast replies to my reports and the s9y devs fixed them quite quickly. Thanks for that!

Da ich mich sowieso im Umkreis befand, beteiligte ich mich heute an der Demonstration gegen die Baustelle von europas größter CO2-Schleuder, dem Kohlekraftwerk Neurath.