Hanno's blog

Der Volksmund weiss zu berichten, dass »die da oben sowieso alle lügen«.

Heute schreibt bundestag.de zur Abstimmung über die Vorratsdatenspeicherung:
Telekommunikationsdienste sind ab 2008 verpflichtet, die Daten ihrer Kunden sechs Monate lang zu speichern. Festgehalten werden sollen Rufnummer sowie Beginn und Ende der Verbindung, Datum und Uhrzeit, bei Handy-Telefonaten und SMS auch der Standort des Benutzers.
Voraussetzung ist, dass die Behörden den Verdacht haben, dass jemand als Täter einer schweren Straftat in Frage kommt und die Erforschung der Tat auf andere Weise nur sehr schwer oder gar nicht möglich ist.

Versehen oder bewußte Irreführung, falsch ist es in jedem Fall. Wäre es so, man müsste sich viel weniger aufregen, besagt dieser Abschnitt doch, dass nur Menschen, die als Täter einer schweren Straftat in Frage kommen, von der Datenspeicherung betroffen seien.

Gerade das ist ja der größte Kritikpunkt: Die Vorratsdatenspeicherung betrifft eben alle. Dass die Öffentlichkeitsabteliung des Bundestages bei einem so brisanten Thema Falschinformationen verbreitet, die den Sachverhalt verharmlosen, das muss man sich schon auf der Zunge zergehen lassen.

Spontan erfuhr man gestern, dass die gesamte Prominenz der Berliner Politik (das komplette Bundeskabinett) sich in Karlsruhe im Verfassungsgericht aufhält. Angesichts der Mobilisierungsdauer (eMail der Form »kommt alle JETZT SOFORT«) waren wir immerhin doch zu viert.

Bilder inklusive denen vom Dienstag und Kurzvideo.

Update: nh24.de hat ein Video.

Da ich dies mit anderen Angelegenheiten verbinden konnte, nahm ich heute an der Aktion gegen die Vorratsdatenspeicherung in Stuttgart teil. Die Organisation war etwas chaotisch, aber alles in allem doch ne nette Aktion. Etwas ärgerlich: Ich sagte einem Menschen von DPA 180 Menschen, was ich gerade tatsächlich gezählt hatte, am Ende waren's dann aber wohl doch noch ein gutes Stück mehr.

Da sich sonst niemand fand, erklärte ich mich gestern noch spontan zu einem Redebeitrag bereit. Text gibt's unten. Falls ihn jemand für andere Anlässe raubkopieren will, feel free.

Presseschau:
SWR: Stuttgart/Ulm Demonstrationen gegen Datenspeicherung (die haben die 180 prompt zitiert)

Ich bin ja im Moment ganz froh, dass mein Laptop den Eindruck macht als würde er trotz ein paar Macken und Schrammen noch das ein- oder andere Jährchen überstehen. Ich plane in absehbarer Zeit also keinen Laptopkauf, dennoch bin ich immer neugierig und schau ab und an, was in den Läden so rumsteht.

Müsste ich im Moment einen Laptop kaufen, ich wüsste nicht was tun. Es scheint, als hat sich die gesammelte Welt der Laptophersteller darauf geeinigt, nur noch Widescreen-Laptops zu produzieren. In den allermeisten Fällen auch noch mit Auflösungen, mit denen ich nicht ernsthaft arbeiten will (1200x800 scheint so die Norm zu sein).

Liebe Laptop-Hersteller, wenn ihr das lest: Ich plane in vielleicht ein bis zwei Jahren mir ein neues Laptop anzuschaffen. Wenn Eure Produktpaletten weiterhin so schlecht sind, vielleicht auch erst in drei Jahren. Ich glaub Euch ja, dass es viele Menschen gibt, die gerne Widescreen-Laptops benutzen. Vielleicht sogar die Mehrheit. Ich glaub aber beim besten Willen nicht, dass ich der einzige Mensch auf der Welt bin, der das nicht mag. Ich bin mir ziemlich sicher, für qualitativ hochwertige Laptops mit 15"-Display und brauchbarer 4:3-Auflösung (1400x1050 hat mein momentanes und das finde ich ganz ok) gibt es einen Markt da draußen.

Achja, ceterum censeo vollständige Linux-Kompatibilität und ohne Microsoft-Steuer wär natürlich auch nett.

Nächste Woche soll der Bundestag über die Vorratsdatenspeicherung abstimmen. Am Dienstag finden deshalb bundesweit dezentrale Kundgebungen statt, z. B. 17:00 Marktplatz/Stuttgart, ab 16:30 ein Infostand in der Karlsruher Fußgängerzone, weiterhin im Südwesten Aktionen in Freiburg, Tübingen, Ludwigsburg und Ulm. Dürfte für jeden was in der Nähe dabei sein.

Eine Übersicht der Termine beim AK Vorratsdatenspeicherung.

I have a small collection of classic Nintendo Game and Watch devices, I once promised to put images online. I may add further old videogaming stuff I have.

Here they are, not much, but at least from all generations. Especially the wrist watches from end 80s / beginning 90s are quite rare. If you see some devices somewhere and wanna donate something to me, that'd be a very good idea :-)

Wikipedia page about Gamen and Watch is quite good, if you're looking for more info.

A big problem with web security in the past was that it was impossible to have https-hosts with more than one certificate per IP. This is due to the protocol design of https, which needs to establish an ssl-connection with the certificate before the hostname is transferred.

There is a solution though, called Server Name Indication (SNI) and part of TLS. Strange enough, client compatibility isn't that much of a problem. Firefox, Opera and IE already support it in their current versions, konqueror will with kde4, I've no information when it'll hit safari. Oh, and I haven't testet w3m, lynx, links and wget yet, but if you want, feel free to add your experiences to the comments :-)

The problem was that until some weeks ago, openssl didn't support SNI, apachen mod_ssl didn't, lighttpd didn't. Only GnuTLS, but mod_gnutls is considered unstable by it's authors. With OpenSSL 0.9.8f, TLS Extensions and with them SNI landet in openssl, apache still needs patches.

We've now implemented SNI on schokokeks.org, which you can test:
https://www.schokokeks.org/
https://www.hboeck.de/
https://www.fabian-fingerle.de/

If your browser supports SNI, you should see different certificates, all on the same IP. All certs are cacert-signed, they also have a Wiki page from the VhostTaskForce for SNI and alternative solutions.

I know you've been waiting far too long for that. Now that Compiz and Compiz Fusion 0.6 are out, I've added them to portage.

The background: Compiz and Beryl, the two famous 3D-composite/windowmanagers for Linux, have merged forces. Main Compiz still resides in the package x11-wm/compiz, many additional plugins and tools are fetched in by the x11-wm/compiz-fusion metapackage.

The ebuilds are all based on the xeffects overlay, with some cleanup by me.

Happy window-wobbling!

As you know, I'm using a planet (several blogs aggregated to one feed) as a kind of link list for my sidebar. I just bumped harvester to the latest svn, corrected some feed urls and added gulli as another source for the sidebar news (sometimes quite interesting news). Beside I wrote some blog authors to look for their invalid feeds. So you're gonna see some more blogs aggregated again.
The planet uses harvester by astro.

Short tip (although I mentioned this before): You can check if your feed is valid by executing

wget -O - -q http://hboeck.de/feeds/atom10.xml | xmllint --noout -

One of the biggest threats in computer security today are web applications. There's a vast number of issues found in popular web apps, mostly cross site scripting, cross site request forgery and sql injection. For a long time I had the idea of a tool scanning through webroots and looking for popular web applications, comparing them with a database of their latest security issues. In the past weeks, I finaly managed to get some code done.

It's a quite simple python-script (don't cry about the source quality, I haven't done real coding for ages), together with a database of some popular applications. I'm looking forward to hear feedback. The usage is simple, just do something like this:
freewvs /home/joe/websites/foo /home/guest/websites/bar
Typical output looks like this:
WebsiteBaker 2.4.3 (2.6.5) CVE-2007-0527 /home/hanno/freewvs/test/websitebaker
Drupal 5.1 (5.3) CVE-2007-5416 /home/hanno/freewvs/test/drupal
PhpWebGallery 1.5.1 () CVE-2007-5012 /home/hanno/freewvs/test/phpwebgallery
Mostly self explaining. The found app at the beginning, the version where the issue was fixed in brackets, the CVE-ID (or some other vulnerability id, in doubt an URL) and the path.

The biggest work to do is probably to get more applications added to the database and to keep the database updated. It's format is pretty self-explaining, so I'm waiting for your patches.

Get it here: http://source.schokokeks.org/freewvs/

Eine Tagung der Deutschen Gesellschaft für Kriminalistik endet mit folgender bahnbrechender Erkenntnis:
»Die Tagungsergebnisse führten zu der erschreckenden Erkenntnis, dass die Internetkriminalität in ihren vielen Facetten inzwischen alle gesellschaftlichen und privaten Bereiche durchdringt.«
Kleiner Tipp von mir: Für diese Erkenntnis hätte ich jetzt keine Tagung gebraucht. Im Übrigen könnte ich dem noch weitere erschreckende Erkenntnisse hinzufügen. Etwa dass auch die Telefonkriminalität (also alle Straftaten, bei denen die Täter irgendwann mal per Telefon kommuniziert haben) alle gesellschaftlichen und privaten Bereiche durchdringt. Ebenso wie die Sprachkriminalität (also alle Straftaten, bei denen die Täter miteinander mit Hilfe von Sprache kommunizieren). Am besten alles verbieten.

Paniq probiert neuartige Geschäftsmodelle, die so aussehen, dass sein kommendes Album erst 250 mal kostenpflichtig heruntergeladen werden soll und danach wie gehabt unter einer Creative Commons-Lizenz verfügbar ist. Ähnelt dem Modell von copycan und ist für mich einer der interessantesten Ansätze für die Frage nach dem Geldverdienen im Zeitalter des Filesharings.

Microsoft'sche Korruptionsversuche legen ISO-Komitee lahm. Hab mich köstlich amüsiert.

Presserat kritisiert Vorratsdatenspeicherung, vergisst aber, sich an der eigenen Nase zu fassen und die Verantwortung der Presse für die aufgeheizte Anti-Terror-Stimmung zu analysieren. Als vor einigen Wochen 15000 gegen die Vorratsdatenspeicherung demonstrierten (für eine Demonstration in Deutschland ist das richtig viel), war dies den meisten Pressevertretern nichtmal eine Erwähnung wert. Klar, »Die Terroristen werfen morgen Atombomben« klingt natürlich spannender als "15000 gegen die Vorratsdatenspeicherung«.

I sometimes wonder how success and market share in the internet works. While I really find it interesting that video plattforms become more and more popular, I wonder how in the world youtube is still leading the market.

Yesterday I thought ok, can't hurt if I upload some stuff to youtube which is in parallel already available as a real download in this blog (youtube still doesn't support downloads without external tools, that's one of their strange limitations). First was my froscon-talk about openstreetmap. And then I read this: »Rejected (length of video is too long)«

This talk is about 20 minutes! That's »too long« for the leading video plattform of the internet.

Nachdem ich gerade feststellen musste, dass zu wenige Leute Projekt Gutenberg kennen, hielt ich das für einen guten Anlass, ein bißchen was darüber zu schreiben.

Projekt Gutenberg sammelt Bücher online, in erster Linie Public Domain-Bücher, die von Freiwilligen eingescannt oder abgetippt werden. Dabei macht man sich zu nutze, dass das Copyright zwar lange, aber auch nicht ewig währt. Alle Bücher vor 1923 sind in den USA gemeinfrei, d. h. man kann damit tun und lassen was man will. In Deutschland gelten etwas andere Regelungen (komplizierter, da Abhängig vom Todestag des Autors), aber für Gutenberg ist das erstmal relevant, weil sie in den USA hosten. Für sehr viele alte Bücher gilt damit jedoch, dass sie praktisch überall gemeinfrei sind.

Bedauerlicherweise gibt es dort noch viel zu wenig nicht englische Bücher. Ich werde wohl in nächster Zeit versuchen, das ein oder andere beizusteuern.

Bei der Suche nach freiem Content ist der Public Domain-Bereich sowieso eine riesige Fundgrube. Public Domain Torrents oder archive.org haben sehr viele alte Filme.
Das musikalische Pendant zu Gutenberg ist Mutopia, hier gibt es historische Musikwerke als Noten. LibriVox ist auch interessant, hier gibt es Hörbücher von freien Büchern.

Today I found a note about the movie The Codebreakers. It's a free-licensed (cc-by-sa) documentary about free software in development countries.

It brings up different examples about successful usage of free software in different parts of the world. Worth watching.

Warum ist es eigentlich scheinbar ein Naturgesetz, dass man als internationales Publikum von der Medienindustrie immer wieder als Trottel behandelt wird?
Zum Hintergrund: Die beiden Regisseure Robert Rodriguez und Quentin Tarantino schufen das Projekt »Grindhouse«. Unter einem Grindhouse-Kino verstand man in den USA kleine, schmuddelige Kinos, die meist trashige Splatter- oder Sexfilme zeigten, vor allem in den 70ern. Üblich waren auch »Double-Features«, also zwei Filme zum Preis von einem.
»Grindhouse« versucht nun in selbstironischer Weise, dieser Tradition nachzueifern. Zwei Filme, künstlich auf Trash getrimmt, dazu einige Fake-Trailer, wobei Rodriguez wohl überlegt, einen der dort beworbenen Filme Realität werden zu lassen.

Für den internationalen Verleih sieht das dann so aus: Grindhouse-Kinos gab's nur in den USA, also braucht man das Gesamtkunstwerk auch nicht als solches exportieren. Beide Filme kamen mit einigen Monaten Abstand separat in deutsche (und die meisten anderen internationalen) Kinos. Von den fünf Trailern überlebte nur einer.
Zum Kotzen sowas.

Zu den Filmen ist zu sagen: Sicher keine Meisterwerke, aber allemal solide Unterhaltung. Im Gegensatz zu den meisten anderen Rezensionen gefiel mir Planet Terror besser. Um dem Gesamtkunstwerk gerecht zu werden, sollte man sich beide reinziehen.

Planet Terror: Eine gasförmige Substanz verwandelt Menschen in Zombies, selbiges ist gleichzeitig auch ansteckend. Der Film zeigt den Überlebenskampf der nicht Betroffenen, welche jeweils ihre eigenen, teils sehr morbiden Hintergrundgeschichten haben. Es spritzt viel künstliches Blut und die Selbstironie wird auf die Spitze getrieben, als in einer erotisch zu werdenden Szene eine Meldung über eine fehlende Filmrolle eingeblendet wird.

Death Proof: Zwei Geschichten, jeweils vier attraktive Mädels und »Stuntman Mike«. Viel mehr kann man eigentlich kaum erzählen ohne zu spoilern. Insgesamt etwas zu langatmig. Mehr Inhalt oder weniger Spieldauer wären angebracht gewesen.