Shit hits Fan bei Debian?
Wenn Joey die Brocken hinschmeisst - und das auch noch öffentlich - dann muss die Geschichte wirklich heftig in den Wicken sein. Denn normalerweise versackt er einfach nur still und leise ...
sysadmin - 4.1.2006 - 9.3.2006
Mac OS X Security Challenge
Die Mac OS X Security Challenge der University of Wisconsin ist eine wesentlich realisitischere Variante des doch eher zweifelhaften "30 Minuten Hacks", der derzeit durch die Presse und Blogs geistert. Denn auf der in 30 Minuten gehackten Kiste hatten die Angreifer einen Benutzeraccount - es handelte sich also um eine einfache Priviledge Escalation, nicht um einen Remote Hack. Letzterer ist deutlich anders anzulegen, da man ja überhaupt erstmal einen Zugriff auf die Maschine bekommen muss.
Trotzdem sollte Apple natürlich auch Priviledge Escalations ernst nehmen - denn z.B. auf allgemein zugänglichen Rechnern gibts schon einige Angriffsszenarien, die durchaus problematisch sind - gerade auch bei angeblichen Sicherheitsfeatures. Zum Beispiel das verschlüsselte Homeverzeichnis wird zur Farce, wenn auf dem Rechner mehrere Benutzer gleichzeitig eingeloggt sein können - das Homeverzeichnis wird beim Login des ersten Benutzers geöffnet und gemounted, der zweite Benutzer kann dann einfach reingucken. Apple sollte schon an solchen Stellen nachbessern, natürlich auch an den Stellen, an denen ein unpriviligierter Benutzer Root-Rechte kriegen kann - denn das sind Angriffsvektoren für Viren und Trojaner.
Hey, ich hab keinen Bock drauf auf Dauer ähnlichen Murks wie unter Windows zu habne, also seht zu, das ihr bei Apple die Löcher dicht kriegt!
Netzneutralität und die Realität
Gute Punkte von Doc Searls in "[Net Neutrality vs. Net Neutering[0]":
The carriers' plan from the beginning has been to convert the Net into a paid content delivery system--of some kind. That's all they were ever able to imagine. That's why they've screwed Net Neutrality from the beginning, offering crippled asymmetrical service to customers whom they expected only would consume, never producing much more than clicks that brought down more to consume. Most of us have never known anything but an asymmetrical relationship with the Net, which is why so many of us barely can imagine what it means to be a producer as well as a consumer in the Net's end-to-end world. A couple of days ago, a woman I know--middle class, white collar--told me she doesn't like the Net because "I don't like mass media in general".
ADSL, Modems mit beschränktem Upstream, dynamische IPs bei Einwählern ohne auch nur den Versuch die gleiche IP neu zu vergeben, Zwangsdisconnects mit IP-Wechsel bei DSL Flatrates - die Netzneutralität existiert für viele Benutzer nicht. Klar, man kann sich irgendwo ein kostenloses Blog besorgen - aber bleibt immer Netzteilnehmer zweiter Klasse. Das einfachste - auf dem heimischen Rechner die eigene Site zu betreiben - steht kaum einem Netznutzer zur Verfügung.
Die Kehrseite der Medaille: würden wir (wir = Sysadmins) es wollen, das all die Leute zu Hause Server betreiben, die schon nicht in der Lage sind, ihr Windows rudimentär gegen Angriffe zu schützen? Wie würde ein Netz aussehen, in dem jeder Benutzer auch Produzent ist und die dafür nötige Software betreiben würde - wären die Angriffe und Einbrüche Anreiz genug für Hersteller die Software DAU-tauglich zu machen, so das der Sicherheitslevel höher wäre, oder wäre jetzt das Chaos noch grösser, mit ein paar Millionen Zombie-Rechnern mehr?
Ist es eine Alternative die Leute dazu aufzufordern sich Root-Server zu mieten oder mit Freunden zusammenzulegen und gemeinsam einen zu mieten - wohl wissend, das die meisten von denen keine Ahnung von Administration haben und beim derzeitigen Zustand der Serversoftware sich eher zusätzliche Löcher einfangen, nicht stopfen und damit an Spamverteilung, DOS und anderen Netz-Schweinereien unwissend mitmachen? Würden Serverhoster die Systeme besser pflegen und absichern, wenn sie mehr davon an unwissende User vermieten?
Oder wäre das nur ein weiterer September der nie endet?
SharedAppVNC - interessante VNC-Variante, die nur Anwendungsfenster repliziert, nicht den ganzen Desktop. Auch mit spezieller OS X Unterstützung.
Larrys verzerrte Realität
Ich frag mich manchmal wirklich, wie das Kraut heisst, das Larry Ellison raucht, um solchen Stuss zu labern:
"Open source becomes successful when major industrial corporations invest heavily in that open source project," Ellison said at a Tokyo news conference. "Every open source product that has become tremendously successful became successful because of huge dollar investments from commercial IT operations like IBM and Intel and Oracle and others," he said.
Ja, finanzielle Unterstützung durch Firmen hat durchaus dem einen oder anderen Open Source Projekt gut getan. Aber daraus den Schluss zu ziehen, ohne die Finanzierung wären die Projekte nicht erfolgreich, ist komplett gaga. Im Gegenteil: viele Firmen investieren erst in Projekte, die schon ohne externe Hilfe erfolgreich geworden sind. Gerade kleinere Projekte mit geringerer Bekanntheit haben bei den grossen IT-Unternehmen keine Chance Geld zu bekommen - diese werden zwar auch manchmal von Firmen unterstützt, aber dann in der Regel von Firmen die direkt dieses Projekt auch gestartet haben, oder direkte Produkte darauf basierend vermarkten.
Aber klar, bei den Erfolgen die eine ganze Reihe von Open Source Datenbanksystemen haben, muss er natürlich ordentlich laut rasseln und Stuss reden, damit keiner mitbekommt wie armselig Oracle nach heutigem Stand der Technik in Wirklichkeit ist
Warum ich PHP-Software nicht mag
Wordpress ist ja nun eines der besseren in PHP geschriebenen Systeme. Und was ist? Es finden sich eine Reihe unsauberer Programmierungen da drin. Ja, ich weiss, das tritt auch in andren Sprachen auf. Der Punkt ist: die Wordpress-Programmierer sind relativ gut qualifiziert und relativ sorgfältig in ihrer Arbeit - und trotzdem treten solche Probleme auf. Unter andrem eben weil bei PHP die Sourcen innerhalb der Server-Root liegen, also Files die eigentlich nur intern genutzt werden über HTTP erreichbar sind. Und weil PHP-Lösungen eben nicht von Hause aus schon eine Eingangsprüfung und ein brauchbares Quoting von Texten vornehmen. Nö, sorry, aber ich mag solch ein Kuddelmuddel einfach nicht.
Disk Inventory X - liefert auch Übersichten wo der Plattenplatz verloren geht, allerdings mit einer sehr pfiffigen grafischen Anzeige.
id-design, inc. | WhatSize - liefert eine gute Übersicht darüber, wo Plattenplatz verbraten wird.
Monolingual - beseitigt Sprachversionen von OS X, die man sowieso nie benutzt. Bringt ne Menge Plattenplatz zurück.
Tor GUI Competition
Die GUI Competition für tor - ein gutes Werkzeug zur Sicherung der Privatsphäre des Internet-Benutzers - kannte ich noch garnicht. Tor selber benutze ich ja schon eine Weile - und eine Zeit lang habe ich auch einen tor Router betrieben - aber die Nutzung, speziell bei dynamischer Netzanbindung, ist immer noch etwas hakelig für normale Endbenutzer. Natürlich vertrete ich auch die Meinung das Endbenutzer ruhig etwas mehr über ihren Rechner lernen sollten und deshalb die Installation und Nutzung von tor auch für diese Leute machbar wäre - aber wenn wir wirklich wollen das tor ein Zeichen gegen die Datenspionage des Staates setzen kann, dann brauchen wir definitiv grafische Oberflächen zur Aktivierung, Nutzung und Konfiguration. Denn nur dann werden auch normale Benutzer darüber nachdenken ob sie es nicht doch einsetzen sollten.
Aus diesem Grund freut es mich auch ganz besonders, das die COmpetition jetzt in die nächste Phase - die tatsächliche Programmierung der GUIs - gegangen ist. Und als blöder Mac-Maus-Schubser wünsch ich mir natürlich auch eine OS X Oberfläche dafür
Übrigens gibt es eine sehr praktische - und meiner Meinung nach einleuchtende - Anwendung von tor: öffentliche WLAN Hotspots. Auf denen läuft die Kommunikation in der Regel unverschlüsselt ab. Damit sind alle Zugriffe direkt für andere sichtbar - unbrauchbar zum Zugriff auf Sites bei denen man ein Passwort hat, wenn diese nicht auch gleich SSL anbieten. Und ganz besonders problematisch mit all den anderen unverschlüsselten Diensten, mit denen man gerne im Internet rumspielt - IRC zum Beispiel (ein privat chat ist nicht mehr allzu privat, wenn man ihn über einen öffentlichen WLAN Hotspot führt ...). Tor kann hier sehr einfach helfen - eine lokale tor-Installation auf den Rechner und die Client-Software passend konfigurieren und schon hat man eine Art Über-VPN.
Das ist auch ein Grund, warum ich mir eine tor-Portierung auf das kleine Nokia 770 Tablet wünsche
Ich selber benutze tor nicht bei allen Diensten - habe aber generell auf dem Mac eine Netzwerkkonfiguration parat, bei der tor und privoxy durch Auswahl aktiviert werden (ich würd mir wünschen das ich den socks-forward bei privoxy per privoxy-GUI toggeln könnte - dann könnte ich nämlich die Privoxy-Umgebung generell aktiv halten und nur bei Bedarf den tor zuschalten). Dadurch kann ich unterwegs schnell und einfach tor zuschalten. Für Jabber benutze ich Psi, bei dem ich den tor-Dienst generell aktiviert habe. Bei IRC bentze ich XChat-Aqua, welches recht einfach mit verschiedenen Serverkonfigurationen bestückt werden kann, so das ich tor aktivieren oder deaktivieren kann (viele IRC-Netze erlauben keine IRC-Nutzung über tor).
Ein GUI auf dem Mac sollte sich meiner Meinung nach in die Netzwerkumgebungen beim Mac einklinken, also über die Aktivierung dann entsprechende Änderungen vornehmen, genauso wie es der Umgebungswechsel macht. Und man sollte wie früher bei den alten Mac Locations recht leicht anderen Programmen neue Configs unterschieben können, für die Programme bei denen der Proxy manuell eingetragen werden muss.
Wasabi Systems hat eine recht brauchbare Betrachtung was die GPL eigentlich wirklich für Firmen bedeutet. Desweiteren ist dort auch ein Kapitel, das sich mit binären Kernelmodulen beschäftigt - und wieso diese eine GPL-Verletzung darstellen.
An die Content-Diebe
Da mal wieder wie an der Blogbar beschrieben Contentdiebe unterwegs sind, mal präventiv für diese eine Erklärung, was eine CC-Lizenz mit Share-Alike-Bedingung und Non-Commercial bedeutet: keine Ads auf den Seiten. Keine kommerzielle Site - also z.B. bezahlte Accounts oder ähnliches. Und ja, ich meine das mit den Non-Commercial ernst. Share-Alike hat auch eine einfache Erklärung: eine Site, die meine Inhalte wiedergibt, muss unter der gleichen Lizenz stehen, wie meine Site.
Wer die beiden Bedingungen (über die Erklärung von Attribution reden wir mal nicht) nicht erfüllen kann, muss wohl oder übel nachfragen. Und das bedeutet nicht, das eine Nicht-Reaktion eine stillschweigende Zustimmung wäre - wer keine explizite Erlaubnis von mir hat und sich nicht an die CC-Lizenz halten kann, muss eben die Griffel von meinen Inhalten lassen.
Und wer meint, das ich ihm nix kann: wer so blöd ist sich Inhalte aus RSS-Feeds automatisch zu ziehen, sollte darüber nachdenken, das die ziehende Maschine erkennbar ist (ganz besonders bei "stationären" Diensten) - und man durchaus passende Feeds für einzelne Server bereitstellen kann, wenn man seine Software so wie ich selber programmiert. Und glaubt mir, liebe Content-Diebe: die Inhalte, die ihr dann ziehen würdet, würden euch garantiert nicht gefallen.
Jetzt kommt IBM in Fahrt
Erinnert sich noch jemand an diesen Dauergerichtstermin zwischen SCO und IBM? GROKLAW bringt eine Reihe von Dokumenten mit Anforderungen von IBM an diverse Firmen. Microsoft, Sun, HP, Baystar - mit sehr vielen, sehr interessanten Fragen. Hey, das Verfahren könnte so langsam wieder etwas interessanter werden
Netz-Neutralität gefährdet
Telekom fordert Geld von Content-Anbietern - und stösst dabei ins gleiche Horn wie die US-Telecoms:
Telekom-Chef Kai-Uwe Ricke hat angekündigt, die Telekom wolle künftig Geld von Anbietern wie Google, Yahoo, Amazon und eBay verlangen. Es könne nicht sein, sagte er der «Wirtschaftswoche», dass der Kunde für das Breitband-Netz allein zahle.
Und wer garantiert, das es nur die grossen Content-Anbieter betrifft? Und wer garantiert, das demnächst kleine Kunden, private Sites etc. noch die gleiche Leistung erhalten wie die Grossen? Denn genau das bedeutet die Netz-Neutralität: das die Leistung für alle Beteiligten gleich ist. Auch wenn Ricke so tut als würde er sich da zum Anwalt der Kunden machen, es geht doch nur darum, das die Backbone-Betreiber mehr verdienen wollen, ganz besonders die aus dem Telekommunikationssektor.
Etwas deutlicher wirds bei Heise, was diese Forderung der Telekoms bedeutet: letzendlich zahlen die Anbieter dann mehrfach für die gleiche Leistung. Erstmal bezahlen sie bei ihrem Hoster oder Provider für die Connectivity. Dann zahlen sie nochmal für die gleichen Bytes an die Backbones. Und dann zahlt der Besucher auch noch für dieselben Bytes an seinen Provider. Das ist klassische Telekoms-Abzocke (und ich meine damit durchaus mehr als nur die Deutsche Telekom).
Die Backbones haben eigentlich ihre Finanzierung über die Peering-Abschlüsse mit anderen Backbones (sofern dort asymmetrische Lastverteilung vorliegt) und durch eigene, direkte Anschlüsse von Anbietern und Nutzern. Jetzt wollen sie Geld von Beteiligten, die mit ihnen gar keine Verträge haben - sondern nur über Verträge Dritter die Leistungen der Telekoms nutzen. Und das ist schlicht Beutelschneiderei.
Phollowing the Phlopping Phish
Wer mehr über die peinliche Panne bei Geotrust wissen will: Phollow the Phlopping Phish beschreibt die Phishing-Attacke mal aus Sicht eines Benutzers. Mit Screenshots und Dokumentation wie gut die Site gefälscht war und wie wenig ein normaler Benutzer das durchschauen konnte.
The Linux Kernel Driver Interface - warum der Linux Kernel seine internen Kernel Interfaces nicht als "stable binary interface" (oder überhaupt als "stable interface") ausgelegt hat.
Browser sind eben keine Programmstarter
Apples Safari führt Shell-Skripte automatisch aus - genauer gesagt kommen eine ganze Reihe von Techniken zusammen zu Einsatz. Der Auslöser ist aber die blöde Eigenheit von Safari bei bestimmten Dateitypen automatisch den passenden Viewer zu starten - und manche Dateitypen dann falsch zuzuordnen. Generell ist es eben schlicht und einfach eine blöde Idee, wenn ein Browser Downloads als sicher oder unsicher versucht einzustufen und dann an ein externes Programm weitergibt - denn meistens ist dieses externe Programm in keinster Weise darauf vorbereitet, unsichere Inhalte zu erhalten. Sobald dann der Browser sich verschätzt, ist der Trojaner funktionsfähig.
Also Leute: schaltet die "Ausführung sicherer Dateitypen" im Safari aus. Und Apple könnte das gleich mal als Anlass nehmen diese Funktion endlich mal aus Safari auszubauen. Der paar Klicks mehr werden den Benutzer nicht umbringen ...
Update: und hier der Grund, warum ich über solche Bugs leicht angepisst bin - sorry, aber das ist Microsoft-World, nicht Unix-World. Bitte mal am Riemen reissen und nicht solchen Unfug treiben
Know Your Enemy: Learning with VMware - wie man mit VMWare ein virtuelles Honey-Net baut und sich anguckt, was und wie geknackt wird.
OpenVPN on Maemo - Portierung von OpenVPN auf das Nokia Pad. Könnte recht interessant sein, da man über freie WLAN Hotspots ja nun ein bischen zu sichtbar für andere ist.
Firewall-Anbieter, spitzt die Füller!
Denn Basel II wird Gesetz - und damit kann es sein, das die Banken eure Kunden nach Dokumentation der IT-Sicherheit fragt, bevor ein Kredit erteilt wird (da die IT-Sicherheit zu den Risikobewertungen bei der Bonitätsprüfung gehört):
Zu den operationellen Risiken eines Unternehmens zählen auch die Risiken, die sich aus dem Einsatz von Informationstechnologie in den Unternehmensprozessen ergeben. Gefordert ist ein aktives IT-Risiko-Management, das sich mit allen Aspekten der IT-Sicherheit für das jeweilige Unternehmen befasst. Wichtige IT-Systeme müssen redundant vorhanden, Verfügbarkeiten gesichert sein, Angriffe auf die IT-Systeme von innen und außen wirksam abgewehrt werden, Notfallpläne sollten erarbeitet sein und so weiter.
Und da ja Kunden in der Regel keine eigene Dokumentation erstellen (was mich immer wieder fasziniert, denn eigentlich müsen die ja selber für die Sicherheit sorgen, daher sollten sie auch selber Dokumentation pflegen), fordern sie sowas dann vom Dienstleister. Üblicherweise einen Tag nachdem sie von jemandem nach dem Thema gefragt wurden (z.B. wenn der Prüfer schon drauf und dran ist, ihnen das Prüfsiegel zu verweigern, weil die Dokumentation fehlt).
Hey, das ist eine ganz neue Form der Firmenerpressung: sei kooperativ, oder deine nächste IT-Sicherheitsprüfung für den neuen Kredit geht in die Hose
Druck auf Hardware-Hersteller
Suse Linux in Zukunft ohne proprietäre Treiber - gute Sache, wie ich finde. Je mehr Druck auf die Hardware-Hersteller ausgeübt wird, desto eher kommt da wirklich mal bessere OpenSource-Treiber oder Schnittstellen-Offenlegungen.
Mobil? 870 MB sind Mobil?
Mobile Offline-Variante der Wikipedia massiv erweitert - sie ist jetzt 870 MB gross. Irgendwie erschreckt mich das, wenn man in Mobiles schon mit der 1 GB Speicherkarte so langsam an die Grenze stößt. Hey, für mein Nokia Tablet hab ich nur 512 MB auf der Speicherkarte! (naja, mit dem kann ich ja jederzeit online suchen)
Peinliche SSL-Panne bei GeoTrust
In den USA gibt es einen Fall von Phishing mit gültigen SSL-Zertifikaten. Dort wurde über GeoTrust - die Jungs, die auch Trustcenter in Hamburg gekauft haben, nachdem die Pleite gingen - hat ein Zertifikat an jemanden ausgestellt, der dann damit eine Banken-Site gefälscht hat. Und zwar so gut, das es einem Kunden nicht mehr ohne weiteres möglich ist, die Echtheit zu bestimmen.
SSL ist eben keine Garantie - es ist nur ein Beleg dafür, das jemand ein Zertifikat ausgestellt bekommen hat. Dazu muss man aber wissen, ob man dem Zertifikatsaussteller traut - und anders als bei Web-of-Trust-Ansätzen gibt es in der Regel eben genau einen einzigen Zertifikatsaussteller, nicht eine Gruppe oder gar eine ganzes Netzwerk.
Wenn die Schwachstelle in der Zertifizierung der Aussteller des Zertifikates ist, ist es wurscht mit wie viel oder wenig Bits der Schlüssel arbeitet ...
Klar, ich pack Daten zu Google ...
Datenschützer sind nicht begeistert von Google Desktop Search 3:
Am gestrigen 9. Februar 2006 wurde eine Beta-Version von Google Desktop Search veröffentlicht, mit der sich Dokumente finden lassen, die auf verschiedenen Rechnern abgelegt sind. Dies wird dadurch realisiert, dass die betreffenden Dateien auf dem Google-Server abgelegt werden, so dass man zur Nutzung dieser Funktion ein Google-Konto besitzen und verwenden muss.
Super Idee. Klar, ich pack Daten auf meinem Arbeitsplatz auf einen Google-Server. Wo er griffbereit für jeden rumliegt, der Zugriff auf die Kisten erlangt. Ganz grosse Idee. Google mag ja den Grundsatz "don't do evil" haben - aber sie sollten auch mal über den Grundsatz "don't be stupid" nachdenken ...
Powerful Remote X Displays with FreeNX - interessant für Remote-Server, da es deutlich bessere Responses und niedrigere Bandbreitenforderungen hat als X oder VNC.
VMware Server jetzt Freibier
VMware Server ist jetzt frei wie Freibier - und soll es wohl auch nach der Beta sein. Klasse Sache, denn VMWare ist nunmal immer noch der uneingeschränkte König unter den Virtualisierern - auch unter Linux. Die Open-Source-Projekte müssen da noch einiges auflegen, um an das ranzukommen was VMWare Server bietet.
Wer das ganze aber auf einem eigenen Host ausprobieren möchte (was aufgrund der recht einfachen Installation recht fix geht): unbedingt aufpassen, das der Host nicht weitere User-Accounts hat. Denn VMWare Server benutzt gnadenlos alle Accounts die auf dem System selber eingerichtet sind. Jeder Benutzer, mit dem man sich anmelden kann - und das kann dann durchaus auch ein popeliger Mailbenutzer sein - kann dann virtuelle Maschinen anlegen und öffentliche virtuelle Maschinen (was im Prinzip alle als root angelegten sind) kontrollieren. Und löschen.
Das ganze Permission-Management ist generell ein etwas haariges Thema bei VMWare Server - es wird anhand der Systemberechtigungen auf das Config-File für die virtuelle Maschine entschieden. Das ist komfortabel - man braucht halt nur die bekannten Tools - aber auch recht unintuitiv bei einer Erstinstallation. Und z.B. das Permission-Management für die Maschinenanlage hab ich garnicht aktiviert bekommen (dafür wird ein spezielles Check-File angelegt, dessen Berechtigungen dann sagen, ob ein Benutzer eine neue Maschine anlegen darf oder nicht).
Aber wenn es denn erstmal rund läuft (ich hatte grösseren Stress mit dem X11 auf dem Mac - ssh -Y statt ssh -X ist da die Antwort), ist das schon eine feine Sache. Debian-Guests nutzen durch die VMWare-Tools nur minimalen Speicher, jedenfalls wenn sie nicht gerade aktiv sind - und das Management mit der grafischen Konsole oder der Weboberfläche ist auch ganz nett. Ich glaub mit einer neuen Maschine könnte mir das ganz gut gefallen - zumal man dann eine solche Maschine von vornherein nur mit minimalen Usern einrichtet und alle Dienste in die virtuellen Maschinen schiebt.
Allerdings hab ich schon gemerkt, das mein simon etwas unterdimensioniert ist, wenn man damit Virtualisierung machen will. Aber so ein Hetzner DS 5000 oder 7000 mit extra Speicher könnte da schon ganz gut passen
.eu Domain Debakel - über die schmutzigen Tricks, mit denen die Sunrise-Period unterwandert wurde.
HolisTech Limited Free Software, pwsafe - Passwort-Safe für das Nokia Tablet.
Password Safe - von Bruce Schneier. Die Java-Version 0.5 ist mit der Maemo-Version kompatibel.
pwsafe password database - Kommandozeilentool für Password Safe Datenbanken.
Löcher im Java-Sandkasten
Unerlaubter Dateizugriff durch Java-Lücken - autsch. Eine Sandbox ist eben leider nur so gut wie ihre Programmierer. Fairerweise muss man allerdings zugeben, das die Sandbox relativ selten mit Löchern auffällt. Aber gerade durch die mitlerweile weitere Verbreitung von Java auch auf Mobiles und andere Geräte wird sowas natürlich immer interessanter.
AVM könnte ja einfach Treiber unter GPL schreiben
AVM warnt vor Einschränkungen für proprietäre Kernel-Module:
Die Konsequenz wäre für AVM, die Unterstützung für Linux einzustellen. Eine Reaktion auf die Email liegt noch nicht vor. Die Kernel-Entwickler dürfte die Drohung von AVM wenig stören, denn aufgrund der gemischten Erfahrungen mit proprietären Treibern scheint für sie das Ziel, den Kernel und sein ganzes Umfeld frei zu halten, Vorrang zu haben. Alternativen zu AVM existieren und GPL-Treiber für die AVM-Hardware sind nicht ausgeschlossen, selbst wenn sie nicht von AVM kommen.
Genau das: Alternativen existieren. Wird Zeit, das sich für die Alternativen die bessere Linux-Unterstützung auszahlt - dann wird vielleicht auch AVM mal vernünftig. Die binären Module ohne Source machen eh mehr Ärger als Freude.
Nennt mich einen Pessimisten ...
... aber mir ist bei solchen Ideen unwohl:
Unternehmen sollen in Zukunft das elektronische Äquivalent einer Briefmarke erwerben, wenn sie sicher sein wollen, dass ihre E-Mail die Empfänger auch erreicht. Gegen Gebühren von bis zu einem Cent pro Nachricht sollen die über den Dienstleister Goodmail Systems verschickten Mails ohne Spam-Filterung weitergeleitet und empfangsbestätigt werden.
Ab wann werden Mails von Privatpersonen nicht mehr zugestellt, ausser sie laufen über einen der grossen Provider, die sich an dem Bezahlsystem beteiligen? Ab wann werden Bürgernetze oder privat betriebene Provider ausgegrenzt, weil sie nicht zum Club der Bezahlenden gehören können?
Die möglicherweise kommende Argumentation ist doch simpel: nur wer für seine Website an eine zentrale Stelle zahlt, wird für den HTTP-Zugriff im Zwangsproxy der grossen Provider freigeschaltet - weil er sonst im Verdacht steht, eine Phishing-Site zu sein. Und schon wäre auch ausserhalb der eMail manche Site einfach nicht mehr existent. Passt doch auch prima zu den Bestrebungen der Telcos und Kabelanbieter in den USA, die ja auch bezahlte Inhalte (also den Telcos bezahlte Inhalte) vorrangig ausliefern wollen.
Abgesehen davon, daß ich definitiv eher meinen eigenen Filtern traue, als Filtern, die gegen Bezahlung von irgendeiner Firma im Netz betrieben wird. Wann wird es den ersten Skandal geben, das sich ein Spammer Zugang gekauft hat? Mein statistischer Spamfilter bei mir auf dem Server ist nicht bestechlich - zwar nicht perfekt, aber eben auch nicht bestechlich.
Im Aufbau von weiteren zentralen Filtern und Kontrollstellen jedenfalls sehe ich eine echte Gefahr für die Struktur des Internet - wie schnell Firmen gekauft werden, konnte man ja in der letzten Zeit sehen. Und selbst wenn eine Firma Yahoo heute möglicherweise - aufgrund der für sie nötigen Positionierung gegen Google - ein bischen auf Schmusekurs mit dem Benutzer macht, wer garantiert, das sich kein Mediengigant das ganze unter den Nagel reisst? Nicht jeder ist so unfähig wie Time Warner ...
Console Password Manager - sehr interessantes Teil, speichert Passwörter GPG verschlüsselt und nutzt bestehende GPG-Keyrings. Dadurch kann man auch Passwort-Files für andere mitverschlüsseln (z.B. shared passwords in der Firma für mehrere Admins). Und es läuft auf der Konsole.
Book Review -- The Debian System: Concepts and Techniques | Linux Journal - interessant klingendes Buch über die Konzepte in Debian.
twill: a simple scripting language for Web browsing - in Python scriptfähiger Web-Client. Interessant für automatisierte Seitenabrufe und für spezialisierte Robots. Möglicherweise auch für das Testen von Webanwendungen.
Spiele-Protokolle und Firewalls
Wenn sich mal jemand Second Life angucken will:
Second Life needs to connect to ports 443/TCP, 12035/UDP, 12036/UDP, and 13000-13050/UDP. You should configure your firewall to allow outbound traffic on those ports, and related inbound traffic.
Ok, also TCP ist mit NAT-Firewalls unproblematisch - aber scheinbar will das auch die ganzen UDP-Ports inbound haben. Und wozu braucht ein Gameclient 51 UDP-Ports in einem Block? Und wieso überhaupt so viele UDP-Ports? Denken Spieledesigner eigentlich manchmal auch über das nach, was sie da veranstalten? Im Fall von Second Life wohl nicht ...
Torvalds: insert foot into mouth
Linus meint mal wieder Ahnung zu haben - diesmal Lizenzen:
So fordert die neue Lizenz, dass mit der Software auch alle Schlüssel geliefert werden müssen, um die Software zum Laufen zu bringen, z.B. im Hinblick auf Trusted-Computing-Systeme, die eine Signatur der Programme verlangen können. Nach Ansicht von Torvalds erfasst die Regelung auch die privaten Schlüssel von Linux-Entwicklern und er sei nicht bereit, seinen privaten Schlüssel zu veröffentlichen.
Jo, klar, wenn ich eine Lizenz auf die absurdest mögliche Weise interpretiere, kann ich vielleicht bei genügend Idiotie auf eine derartig abwegige Idee kommen. Wenn er mir jetzt nur noch belegt, das sein privater Schlüssel nötig ist, um den Kernel lauffähig zu machen (denn genau darum gehts in dem entsprechenden Abschnit der GPL v3), dann würde ich ihm ja zustimmen. Wird allerdings schwer, denn ich hab bis jetzt immer alle Linux-Kernel zum Laufen bekommen, ohne das ich je irgendeinen Schlüssel gebraucht hätte.
Man kann gegen die Umstellung auf GPL v3 sein - es gibt im Kernel mit den extrem vielen Beiträgen und Autoren definitiv ein Problem einer Lizenzumstellung - aber der obige "Grund" ist schlicht und einfach hirnrissig.
Windows-Source offenlegen?
Microsoft gibt im Kartellstreit mit EU nach:
Im Kartellstreit mit der EU-Kommission hat der Softwarehersteller Microsoft nun doch eingelenkt und will den Quellcode des Computer-Betriebssystems Windows offenlegen.
Abwarten wie dieses Offenlegen denn dann aussehen wird. Ob tatsächlich jeder Windows-Lizenzinhaber sich die Sourcen angucken können wird? Und ob die Sourcen auch zum System passen? Und welche Teile vom Source ausgelassen werden? Wird die EU-Kommission in der Lage sein, solche Mogelpackungen zu erkennen?
Microsoft macht die Schotten gegen OSS dicht
Erstmal sollen nur noch signierte Treiber akzeptiert werden:
Was Microsoft in seiner Dokumentation als Sicherheitsgewinn und als für Digital Rights Management (DRM) unverzichtbares Feature verkauft, hat einen schalen Beigeschmack: Eine solche Signatur kann bislang nur erstellen, wer sich bei Verisign mit entsprechenden Zertifikaten eindeckt und dafür pro Jahr rund 500 US-Dollar berappt.
Aber von den signierten Treibern (mit denen Open-Source-Treiber schon ein echtes Problem kriegen werden) zu den signierten Anwendungen ist es nicht weit. Und für Open Source Projekte ist es in der Regel nicht so einfach, das Geld für Zertifikate zu bekommen.
Wann entdecken Devs endlich Notebooks?
Ich mein, wann entdecken sie endlich, das Notebook-Benutzer was anderes sind als Desktop-Benutzer? Das zum Beispiel bei einem Notebook-Benutzer die Umgebung ständig wechselt? Das die Netzwerkkonfiguration eben nicht statisch ist, sondern dynamisch? Und das der Web-Proxy eine dynamische Einstellung ist - es also hochgradig schwachsinnig ist, diese in Programmkonfigurationsdateien zu packen, anstelle sie aus Environment-Settings zu lesen? Wegen meiner darf es ja ruhig eine Stelle dafür in den Configs geben - aber dann sollte es auch eine Möglichkeit geben, diese Einstellung zu überschreiben aus dem Environment.
Wo mir das gerade ganz aktuell aufgefallen ist:
- subversion: die Konfiguration des Proxies ist nur in ~/.subversion/server möglich. Selten dämlich, man kann auch nicht auf eine Environment-Variable Bezug nehmen (jedenfalls find ich dazu nix)
- x-chat: die Konfiguration passiert nur über das GUI. Der systemweite Proxy in den Environment-Variablen sollte jede lokale Einstellung im GUI überschreiben und dort angezeigt werden, es gibt einen Grund, warum der Benutzer außerhalb einen Proxy gesetzt hat.
Besonders nervig ist das dann bei Unix-Anwendungen, die nach OS X Aqua portiert werden (z.B. X-Chat Aqua ist so ein Fall): bei echten OS X Anwendungen wird ja für Proxies und ähnliches auf die Netzwerkeinstellungen zurückgegriffen, so dass diese Anwendungen dann den richtigen Proxy benutzen, wenn die Netzwerkumgebung umgeschaltet wird. Bei portierten Anwendungen fehlt dieser Zugriff auf die Netzwerkeinstellunge - aber weil es GUI-Anwendungen sind, werden eventuelle Settings aus den Shell-Startscripten nicht ausgewertet. Denn die sind bei GUI-Anwendungen eventuell garnicht aktiv. Statt dessen wird eine eigene spezielle Property-Datei gelesen - was selten dämlich ist, denn die ist statisch und kein Shell-Script. Ja, den Patzer hat Apple verbockt.
Bei Programmen, die von der Shell gestartet werden, kann man ja mittels scutil und ein paar Zeilen Python sich recht leicht die Proxy-Settings auslesen und in das Environment packen - aber bei GUI-Anwendungen und selbst manchen CLI-Programmen scheitert man dann an den ignoranten Entwicklern. Bah. Humbug.
Unberechtigter Zugriff auf E-Mail ist halt unberechtigt
Ja, als Admin sollte man sich über die rechtlichen Konsequenzen bei Vertrauensverletzung im klaren sein:
Nach einer Entscheidung des Arbeitsgerichts Aachen vom 16. August 2005 rechtfertigt der unbefugte Zugriff auf fremde E-Mails durch einen Systemadministrator dessen fristlose Kündigung (Az. 7 Ca 5514/04).
Macht (hier im Sinne von Zugriff auf Daten, die anderen nicht zugänglich sind) bedeutet immer auch Verantwortung. Übrigens ist das vielen Sysadmins schon lange klar. Wäre aber schön, wenn das auch Politikern (deren Macht oftmals viel grösser ist) klar wäre ...
runit - a UNIX init scheme with service supervision - alternative zum sysv-init mit mehr Möglichkeiten und integrierten Features ala supervise (aus den daemontools).
/sandbox/spam-filter - The Trac Project - Trac - Trac-Branch der einen Spamfilter enthält, der über verschiedene Module Spam an allen möglichen Stellen erkennen kann. Die bisherigen Trac-Versionen habe ja leider keine Spamfilter.
Efficient Editing With vim - Jonathan McPherson - nette Referenz von mehr advanced Tastenbefehlen in vi. Ich benutz auch nicht mal alle davon - sollte mir da auch mal den einen oder anderen angewöhnen.
Polaris: OpenSolaris für den PowerPC - nicht das ich da unbedingt hin will, aber zum Rumspielen allemal interessant.
FUDMachine SCO
Man sollte meinen, SCO kapiert irgendwann die Zeichen der Zeit - aber dem ist nicht so.
PuTTY for Symbian OS - ssh client für Symbian Geräte - auch Nokia Zeugs.
Crossroads 0.23 - Load-Balancer für TCP. Mit Switching auf Load-Basis und Verfügbarkeit.