Projects Photographs Notes
Blog Books Movies Internet Nerd Photography Outdoor Personal Miscellaneous Updates
Contact

Blog

RandR 1.3 - Power to the Netbooks
[May 3, 2009; Nerd, German]

By replacing xandros on my Eee PC with Ubuntu, I lost the function which would allow to emulate a 1024x768 screen either by panning or down-scaling to 1024x600. It didn't really hurt while using it by myself, because Ubuntu is doing fine with 1024x600. But it got really painful when doing presentations with a connected projector. After some fiddling with mirror mode it would typically end up with a 640x480 resolution. While this is enough for Powerpoint, it fails badly for demos. So there had to be a fix for the netbook.

Just after I learned that Randr 1.3 would be the answer to my problems, I got lucky. The newly released Ubuntu 9.04 finally comes with an X server having the latest Randr extension. This version of the "X Resize, Rotate and Reflect Extension" supports arbitrary scaling of the virtual desktop for each connected monitor, plus it brings back good old panning. In other words, it allows the 1024x600 display of my Eee PC to view larger virtual screens (like 1024x768) either using panning or down-scaling.

"xrandr" is a nice command line tool for accessing the extension directly. I used it in a script which forces a 1024x768 mode line on the VGA output and also provides panning or scaling (1x1.28) for the netbook display. (Forcing the mode line helps with older projectors which cannot communicate properly with the system.) Toss in acpid and using external displays becomes as simple again as pressing a button.

I am not aware of any GUI tools supporting the new 1.3 features yet. (GNOME display settings don't even support all which 1.2 has to offer)

The X Resize, Rotate and Reflect Extension

Comments
Leave a comment
 

25C3 Selection
[Jan 29, 2009; Nerd, German]

Talks which I remember as being especially interesting.

Locating cell phones world wide - including insight in the SS7 routing process
Reverse engineering micro chips by sanding them down
Security of payment terminals (or lack of)
Dealing with risks of autonomous systems
Professionally growing weed (interesting watering techniques)
Creating music based on simple algorithms (second half has "funky" examples)

Comments
Leave a comment
 

WordPress Wettlauf der x-te
[Apr 27, 2008; Nerd]

Da ich immer wieder belächelt werde, weil ich lieber auf meine eigene Blog-Software setze, anstatt WordPress zu verwenden, konnte ich mir eine gewisse Schadenfreude nicht verkneifen, als heute auf heise.de mal wieder eine neue WordPress-Lücke gemeldet wurde.

Entgegen der Behauptung von Heise, Details zu der Sicherheitslücke seien noch nicht veröffentlich worden, findet sich auf BugTraq bereits seit zwei Tagen eine genaue Beschreibung des Problems, die jedem einigermaßen technisch versierten Nutzer erlaubt, in verwundbaren Blogs Admin-Rechte zu erlangen. Oder in anderen Worten: The race is on.

Damit keiner behaupten kann, das wäre ein unglücklicher Einzelfall, hier noch eine Statistik für WordPress + Plugins aus meinem BugTraq-Archiv:

JahrSicherheitslücken
2008 (bis heute)15
200732
200613
20056
20046

Meldung bei heise.de
BugTraq: Wordpress 2.5 Cookie Integrity Protection Vulnerability (Englisch)

Comments
Sebastian (Sun, 27 Apr 2008):
Wow, es gibt jetzt eine Kommentarfuntkion hier ;-) Nagut, zum Thema: Nicht jeder Nutzer dieser Welt hat leider die Fähigkeit sich selbst einen Blog zu programmieren. Auch wäre es irgendwie ziemliche Verschwendung, wenn jeder immer das Rad wieder neu erfinden würde, oder?
Micha (Sun, 27 Apr 2008):
Ja, und nicht nur hier. Bis auf die Übersichtsseiten kann man jetzt alles kommentieren. Mal schauen, wie lange das ohne explizite Freigabe gut geht.

Mein Eintrag bezieht sich nur auf mein Blog und die Kopfschüttler. Nichts läge mir ferner als irgendwem WordPress zu verbieten.

Nochmal mein Standpunkt: Es ist keineswegs absurd, eine eigene Lösung zu haben. Besonders wenn man nur wenige Funktionen braucht, kommt man mit bedeutend weniger Angriffsfläche aus. Aus meinem Bauchgefühl heraus würde ich schätzen, dass sich durch WordPress die Anfälligkeit meines Servers mindestens um Faktor 10 erhöhen würde. Um das zu vermeiden investiere ich gern mal 1-2 Tage.

Wer natürlich einen ganzen Haufen Funktionen braucht, muss eben in den sauren Apfel beißen, seinen Server als latent gehackt betrachten, regelmäßig updaten, backupen und hoffen.

Außerdem rate ich natürlich jedem Anfänger davon ab, ein eigene Blog-Software zu schreiben. Neben einem Gästebuch dürfte ein Blog die kleinstmögliche Anwendung sein, um alle webtypischen Sicherheitsfehler das 1000. mal zu machen und den Leuten in die Falle zu laufen, die genau darauf gewartet haben.
Sebastian (Sun, 27 Apr 2008):
Ja, es bringt ja auch nichts SAP einzuführen, wenn man nur ein kleines Buchführungsprogramm braucht. Ich persönlich nutze Wordpress, weil es eine breite Community hat und man deshalb nicht wegen jeder Änderung selbst coden muss, sondern die meisten Sachen über ein Plugin erledigen kann. Ich bin einfach zu faul ;-)
Micha (Sun, 27 Apr 2008):
Ich sehe das genau entgegengesetzt: Ich bin zu faul für Plugins und 3rd-Party-Programme. Wie oft schaust du denn auf den diversen Websites nach, ob deine ganzen Plugins noch aktiv entwickelt werden und ob es eine neue Version davon gibt?

Bei mir kommt nix drauf, was nicht zur Standarddistribution gehört. Da brauch ich nur genau ein Update-Tool zu starten. Das erledigt alles für mich. Das nenne ich bequem.

(Meinem eigenen Paranoia-Code vertraue ich ja. ;)
Sebastian (Thu, 1 May 2008):
Das mit den Updates ist bei Wordpress elegant gelöst. Du loggst dich ein und siehst sofort, ob es für irgendwelche Teile neue Versionen gibt. In der aktuellen Version von Wordpress kannst du sogar durch einen Mausklick die Plugins aktualisieren lassen. Mehr Komfort geht kaum.
Torsten (Thu, 1 May 2008):
Ich hätte nie gedacht, dass man ausgelacht wird, wenn man NICHT Wordpress nutzt. Wenn ich die Zeit und Muse hätte, mir ein eigenes Blog-System zu schreiben, würde ich das sofort tun und wäre sicherlich zufriedener. Dann entspricht nämlich alles meinen Anforderungen.

Wordpress kann vieles, was mich nicht im geringsten interessiert, und hat dafür Probleme und Einschränkungen, die mich immer wieder nerven. Wenn man dann mit den Plugins und Themes anfängt, sucht und frickelt man schon wieder so lange rum, dass man in der Zeit auch schon fast wieder ein eigenes kleines System, welches einem die Grundbedürfnisse erfüllt, erstellt hat - vor allem wenn man so fit ist wie Du, Micha. Mich wundert, dass Du Dich da so beeindrucken lässt :)

Ich hole mir Wordpress und passenden Kram aus dem SVN-Repository. Das macht die Updates schnell, und meistens einfach und schmerzlos. Der Umgang mit eventuellen Modifikationen, die leider manchmal nötig, wird dadurch auch vereinfacht. Wenn die Jungs noch Branches oder Tags anbieten würden, die die Datenbankstruktur garantiert nicht ändern, könnte man sogar alles automatisch aktuell halten.

Apropos Modifikationen, der Wordpress-Code ist in großen Bereichen grauenhaft, von daher sind die ganzen Sicherheitslücken und seltsamen Fehler, die ständig beseitigt werden müssen, wahrlich keine Überraschung. Wer es benutzt, sollte sich wirklich ständig auf dem laufenden halten und hätte dann sicherlich auch keine Nerven mehr, über Eigenbaulösungen zu lachen, solange die professionell wirken ;)
Rainer (Mon, 5 May 2008):
Da kann ich doch meinen Senf nicht halten ;-)
Erstens mut Du dann bei Deinem Anspruch schon die gesamte Kette betrachten. Apache 2.2.3 hat einige bekannte Lcken - jedenfalls wenn die fraglichen Module verwendet werden. Suse macht m.W. keine Backports.
Zweitens gibt es bei Wordpress mit Spamkarma eine Lsung, die das Kommentieren den Besucher nicht gngelt, so wie Du es tun mut (Textcaptcha)
Zweifellos - die Updatefrequenz bei Wordpress ist gruselig hoch; und jedes Update hnelt einer Operation am offenen Herzen. Das hat Grnde: zum Einen php, was es jedem Dilettanten leicht macht, Anfngerfehler einzubauen. Und zum Anderen Wordpress selbst: Dahinter steht die Firma Wordpress, die ihr Geld durch Hosting verdient - und das eben nicht mit dem gemeinen Wordpress, sondern mit Wordpress-, ind das zwar nderungen aus Wordpress einflieen, aber kaum umgekehrt. Schade.
Schlielich ist frden Normalo, der Bloggen aber nicht Programmieren will/kann, eine selbstgebaute Lsung schlicht unmglich.
UND: TATATAA: der validator mag meine Wordpress-Seite, Dein Blog hingegen nicht ;-P
Rainer (Mon, 5 May 2008):
Und an den Umlauts musst Du noch arbeiten.
Ich verwende gerade: Mozilla/5.0 (X11; U; Linux i686; de; rv:1.8.1.14) Gecko/20080410 SUSE/2.0.0.14-2.1 Firefox/2.0.0.14
Micha (Tue, 6 May 2008):
SuSE macht keine Backports? Aber Hallo. Erinnerst du dich nicht mehr, wie viele Leute
seinerzeit Blut gespuckt haben, weil Features des 2.6er Kernels bei SuSE schon
in der 2.4 drin waren?
Aber zurück zum Thema: Diese "2.2.3" hat natürlich die ganzen Fixes. SuSE Online Updates ändern eigentlich nie die Versionsnummer. Will man nicht nur wichtige Patches haben, sondern neue Versionen mit allen neuen Features (und Bugs), muss man gesonderte Repositories nutzen.

Abgesehen davon sage ich auch nicht, dass mein Computer völlig sicher ist, sondern nur (wie bereits oben geschrieben), dass sich das Risiko durch WordPress in meinen Augen mindestens um Faktor 10 erhöht.

Du findest Spam Karma toll, andere nicht (mehr):

http://www.darcynorman.net/2008/02/17/switching-from-spam-karma-2-to-akismet/

(Das alte Monokultur-Problem. Bei genug Verbreitung lohnt sich fast jeder Aufwand, ein System auszuhebeln - was wieder für mehr Diversity bei Blog-Software spricht.)

Was PHP angeht, stimme ich dir zu. Aber die armen PHP-Jungs können da auch nichts dran ändern, weil ja sonst tolle Programme wie WordPress nicht mehr laufen.

Die Validität habe ich dem lustigen Video unten geopfert, weil das Internet ja jetzt erwachsen ist, und sich nichts mehr vom W3C vorschreiben lassen muss.

Und nein, die Umlaute hat auch nicht das Blog auf dem Gewissen, sondern ein Editor, der unbedingt utf-8 machen wollte.

Schöne Grüße nach Jena
Rainer (Tue, 6 May 2008):
Backports: Da trügte mich offensichtlich meine Erinnerung. Generell finde ich das Konzept von Backports doof: wo Version x draufsteht, soll nicht x+n drin sein.
Spamkarma: Jedenfalls für mich hat es bisher absolut schmerzfrei funktioniert. Akismet muß man registrieren - sowas vermeide ich nach Möglichkeit.
PHP-(Programmierer): Ich hatte neulich das "Vergnügen", ein wenig Code Review zu treiben. Da kamen so Sachen wie (sorry für die Formatierung - magst Du ein Code-Tag einbauen? ;-)):

//create the awstats data dir what
mode is safe here??
mkdir ($this>
MCONF['awstatsdatadir'].t3libdiv::GPvar('config').'/', 0777);
} else {
chmod
($this>
MCONF['awstatsdatadir'].t3libdiv::GPvar('config').'/', 0777);
+ @chmod ($this>
MCONF['awstatsdatadir'].t3libdiv::GPvar('config').'/', 0777);
}
// I hope this works

Ich bin sicher, das hätte es bei Dir nicht gegeben. Die Welt ist schlecht und wird bald untergehen - und die Webagenturen sind schuld!
Würde ich heute eine Skriptsprache für Web verwenden, würde meine Wahl wohl auf Python fallen, Python ist schön konsequent im Gesamtaufbau - und (gezwungenermaßen) lesbar.
Validität: Ja, das sehe ich ähnlich. Im Browserkrieg haben sowohl Netscape als auch Microsoft Validität im Bewußtsein der Webdesigner zu einer Nebensache gemacht. Das muß man zwar nicht schön finden, kommt aber daran nicht vorbei. Insofern ist Validität ein nice to have - schön, wenn es da ist, und wenn nicht, geht die Welt auch nicht unter.
Micha (Wed, 7 May 2008):
Klar, Backports sind etwas unübersichtlich und eventuell kommen auch Fehler rein, die in der offiziellen Version nicht sind, aber dafür muss man keine Angst haben, nach einem kleinen Update plötzlich eine völlig andere Software vorzufinden. (Den Apachen möchte ich da mal ausklammern, die haben scheinbar ein gutes Release-Management)

Sehr hübsches Snippet. :)
Hatte erst nur die 0777 gesehen, weil ich Typo3 nicht kenne, aber nachdem Google mir verraten hat, was GPvar ist...

Vielleicht wäre es eine Lösung, Google für Exploit-Suchen noch effizienter zu machen. Wenn böse Bugs innerhalb eines Tages zum Defacing (oder tausenden seltsamen Verzeichnissen) führen, hätte die kaputte WebApp keine Chance mehr, sich zu verbreiten und würde dann (hoffentlich) nur noch den Entwickler selber treffen.
Leave a comment
 

Die Arithmetik des Diophantus
[Mar 2, 2008; Nerd]

So wurden mathematische Kenntnisse vor über 1600 Jahren vermittelt. Übersetzt ins Deutsche und eine zeitgemäße mathematische Darstellung. Diophantus' Schreibweise wird ebenfalls erläutert.

Scan: Die Arithmetik des Diophantus von Alexandria (Deutsch)

Comments
Leave a comment
 

Software vs. Hardware
[Feb 23, 2008; Nerd]

During the last weeks I barely had a working computer. My main machine slowly died on me during the last two years by crashing more and more often, until it would produce kernel panics whenever there was some load. Until recently I refused to buy a new computer because of a rule I always adhered to in the past: The new machine has to be at least twice as fast as the old one. But there seemed to be no such machine for four years now.

Yes, the benchmarks say that such devices exist, but only by means of multiple cores. Multiplying the computing power by two just because there are two cores seems like math for marketeers, but nothing that will happen with current software. Clock frequency has only gone up 50% in the last four years. It appears hardware engineers have given up on fighting with quantum mechanics for higher frequencies and instead resorted to copy&pasting cores into their designs. It certainly sounds a lot easier.

Anyhow, now I was forced to buy a new computer, and of course couldn't resist to do a little testing on my own. I went for encoding DVD images as mp4 using mencoder with lavc and the same single pass high quality settings in all tests: (The price for both CPUs was about the same at the time of purchase.)

  • Old machine (4 years old) - 50pfs
  • New machine, single threaded - 80fps
  • New machine, multi threaded - 105pfs
  • New machine, single threaded, two videos parallel - 150pfs

A single core is 60% faster, defining the worst case speed up of the new machine. Enabling multi-threading in the codec improved performance over the old system by 110%. On one side this is good news, because I was hoping for a 100% gain when ordering the computer. On the other side its sad when compared to the full CPU potential shown when encoding two videos in parallel in which case it is 200% faster than the old machine. There is quite some room for improvement in the codec. Before testing I was afraid the memory interface would be the bottleneck, but the software is the weak link here.

Its funny how times change: After many years during which clever hardware engineers compensated for all the crappy software by creating better and faster hardware designs, they now need the help of the software people to make their hardware run faster.

While CPU development has slowed down, at least the fan size still doubles every two years. See the pictures on the right.

Comments
Leave a comment
 

ELF, SLF, ULF and VLF
[Dec 16, 2005; Nerd]

Those are the acronyms assigned by the ITU to the electromagnetic frequency spectrum from 3Hz to 30kHz. There is a lot more going on on those frequencies than most people would expect.

There is quite a few stations between 10kHz and 30kHz. Signals get more interesting with lower frequency. Russia and US are communicating with their submarines at 82Hz (ZEVS) and 76Hz (Seafarer). Finally the earth itself is broadcasting at 7.8Hz (Schumann Resonance) and its multiples.

What makes those frequencies so interesting is the fact that modern computers make them easy to receive for everyone. All that is needed is an antenna and a computer with sound card. All the decoding is done in software using FFT.

Radio Waves below 22kHz - good resource for antennas
Schumann Resonance
ZEVS, The Russian 82Hz ELF Transmitter
ELF Transmitter Site Clam Lake, Wisconsin (Seafarer) (PDF)
VLF transmitter DHO38 (German Navy, Rhauderfehn)
Baudline - nice FFT "waterfall" software for Linux

Comments
Leave a comment
 

Don't do WLAN
[Sep 7, 2004; Nerd]

(...unless you use a secure VPN on top of it for all communication)

Since DSL is not available in my house I thought about setting up a WLAN with somebody who has broad band Internet access. But beforehand I had to find out how (in)secure current WLAN hardware with WEP really is. It is a lot worse than I imagined. Cracking tools have been improved to no longer depend on the standard weak keys defined by the fms attack and can crack the key with as little as 200k sniffed packets.

For babbling about it is not very convincing, here is how you can check it out:

First of all: Get the permission from a friend who lives close by to hack his WEP protected network.

In case the distance is a little bigger (but you are in line of sight), try out a home made bi quad antenna as shown on the pictures to the right. The gain will be about 10dB which means about three times the original maximum distance can be achieved. In my case the reflector is made from a photo-sensitive circuit board, thus the dark protective film on top. It is mounted on a camera tripod for better aiming. For detailed building instructions check out Vallstedt Networks website.

Get Kismet installed and running in channel hopping mode. As soon as the network is found, lock to the channel and collect about 200-300 Megs of data. Kismet will store it in a .dump file. Afterwards just fire up aircrack, which will read the dump and likely find the key in a matter of 1-2 minutes.

Add a wepkey line in your kismet.conf file, activate the FIFO and install the patched driftnet tool. Start kismet and driftnet using the FIFO. Don't forget to lock to the channel. Kismet will now decrypt the traffic before sending it to the FIFO so driftnet can analyze the actual data.

Tell your buddy to browse the web and watch your screen. Scary, eh?
(The last picture shows what a sniffed visit to my website looks like.)

All you need apart from a WLAN card (duh!):

Vallstedt Networks - how to build quad antennas
Kismet - WLAN sniffer
Aircrack - WEP key cracker
Driftnet - display intercepted web traffic pictures
Patched Driftnet - works with Kismet FIFO
Patched Driftnet Sources - download seems broken on page above

Comments
Leave a comment
 

MySQLCC
[Aug 2, 2004; Nerd]

After installing SuSE Linux 9.1 I came across an nice GUI client for MySQL: MySQL Control Center. It is very similar to MSSQL Enterprise Manager, yet has some nice additions like a field editor for large text fields.

Combined with ssh forwarding this tool finally allows me to update my blog comfortably without having the risks and low performance of web based backends.

Don't know why I haven't come across this tool before. In case you haven't either, here is where you can get it:

MySQL Control Center Official Home

Comments
Leave a comment
 
© 2000-2009 Michael Poppitz - Last update: May 3rd, 2009