Planet Entropia (CCC Karlsruhe)

It is still kind of hard for someone who is okay at writing code, but has no idea about the Nintendo DS, to get started writing DS code. As you might or might not know, I’ve written a demo and other small things for the NDS before, so here is a bunch of random things that are really useful when writing DS code, and enough to get you started, as compressed as I can manage, somewhat geared towards wanting to write demos. (Yes, bullet points. So sue me.)

• http://nocash.emubase.de/gbatek.htm <- This is gbatek. gbatek is the most complete inofficial reference of the NDSs hardware (Yes, even though it’s called “GBAtek”) and reading it or at least skimming it, and having it open for reference, is probably a good idea. Other than the official docs, this is the best documentation about the NDS you can get. It is mostly accurate, the only thing I’ve discovered to be wrong is the documentation of the MASTER_BRIGHT register, but eh. See below for that.
• http://dev-scene.com/images/3/3d/Dov_DS_MemoryMap.png Also, here is a picture of the NDSs memory layout, which can be very useful when you’re playing with the VRAM banks. It is kind of fancy.
• FYI: The DS has TWO CPUs. Two different CPUs. One ARM9 (Main CPU at 66mhz) and one ARM7 (Usually used for sound and/or wifi). It also has a fixed point math coprocessor and sine tables. Also, on the DS, a circle is made out of 512 degrees, for obvious reasons. You’ll get used to it.
• The DS has dedicated 2D hardware for sprite display that can display 128 rotated, scaled sprites (This is a whole fuckton) on up to four layers. You have two engines, one “main” engine and one “sub” engine, which you can map to one screen each. The engines run at 60fps. You get an vblank interrupt, which is neat for timing (Wait for it after each frame => 60fps) and an hblank interrupt which is neat for stupid tricks. The limit here is mostly the available VRAM. You need to map VRAM to the engines. See the memory map and libnds docs, and http://dev-scene.com/NDS/DOCgraphicmodes#VRAM here for what you can map where.
• The DS has dedicated 3D hardware. It works like you would expect 3D hardware to work. You can render to a transparent background if you turn antialiasing off.
• There is a library for doing NDS homebrew things, “libnds”. It’s okay. Documentation is at http://www.devkitpro.org/libnds/ (Kind of terrible to navigate, fuck yeah doxygen). The 3D functions are a little terrible. WAHa wrote a replacement for that, which is IMO nicer to use: DS3D.c / DS3D.h
• There is a higher-level library building on libnds, called “PALib”. I don’t particularily like it, and it’s IMO a little too high level to do cool things. That said, it does allow for making small things real fast (I used PALib to make this little game in like 2 hours). I just don’t think it’s worth it.
• There is a library for playing module audio on the DS, called maxmod. It works okay. It works best with modules in .mod format made in modplug. You need to preconvert modules using an app that comes with the library. It supports the sync effect. Documentation: http://www.maxmod.org/ref/
• To access more data than one can fit into RAM, it is probably a good idea to use nitroFS. It’s probably a good idea to use it for most data, really. http://blea.ch/wiki/index.php/Nitrofs (Also, it is a good idea to convert data such as images to NDS native formats before use. There are tools for this which come with the toolchain.)
• The toolchain you’ll want to use is devkitARM, which you can get http://www.devkitpro.org/ here for windows, lunix and OS X. Their makefiles are kind of a mess, but it’s not hard to write your own, slimmed down one. To test shit without having to get out the actual hardware, which is annoying and takes time, you might want to download an NDS emulator. The best emulator to use for this is no$gba. A working version is here: http://halcy.de/share-p/nocash.zip. (I am linking that here because the author is impossible to contact these days. If you are the author, talk to me, I’ll take it down. Also, I’ll buy a debug copy of no$gba off you.) It is not 100% accurate. It is good with timings, but the 2D emulation could need work. Mostly, it sometimes lets you map VRAM that you do not have, or acts strange with VRAM mapping in other fun ways. You’ll need it a lot probably, so a make rule to start it is a good idea, like so: “/usr/bin/wine /home/halcyon/Desktop/src/DS/devkitpro/nocash/NOCASH.EXE $(NAME).nds” (You get the idea.)
• Another emulator that is nice to have is the official Nintendo emulator “Ensata” (Sadly not supported by Nintendo anymore). It’s a little more accurate sometimes, but also much, much slower. Generally, use no$gba over this.
• If you can get a debug version of no$gba then things would be a lot easier. This is probably impossible since the developer is MIA. If you find one: I want that, badly. What the official devs use to debug (As far as I know) is CodeWarrior attached to the official emulator. This is most likely a pain to set up though. (They use that, or Nintendos in-hardware debugger, but I reckon no one reading this is an official licensed Nintendo dev…)
• To run code on the actual hardware, you’ll need a flash cart. They are available for cheap from sites like http://dealextreme.com/. There’s no soldering required, you just copy your ROM onto one of these via your computers card reader, put it in the DS and run things. Even though it is cheaper, the best one for development is probably the CycloDS. The “rerun last ROM by holding shoulder buttons during boot” function and generally very usable design (No spring loader that fires your microSD card to the stratosphere) make it very useful. You might want to make a rule in your makefile that compiles a ROM, mounts the microSD, copies the rom over and unmounts / ejects the microSD again to make it easier to play around.
• If you happen to have a copy of the official Nintendo DS technical manual, that is super useful. It really is a lot nicer than gbatek, but not readily available, for obvious reasons.
• If you know other interesting things or links or think/know I am wrong about stuff, tell me. Comment or mail to lorenzd@gmail.com.

PS: About the master bright register: Here is everything you should need to know.

// LOVE COLORED MASTER BRIGHT <3 mode flags:
// 0 0000 fail, nothing
// 1 0001 fail, nothing
// 2 0010 fail, nothing
// 3 0011 fail, nothing
// 4 0100 brightens
// 5 0101 fail, all white
// 6 0110 brightens
// 7 0111 fail, all white
// 8 1000 darkens
// 9 1001 fail, all black
// A 1010 darkens
// B 1011 fail, all black
// C 1100 darkens
// D 1101 fail, all black
// E 1110 darkens
// F 1111 fail, all black

u16* master_bright = (u16*)(0x400006C);
u16* master_bright_sub = (u16*)(0x400106C);
void fade( s16 fade_val ) {
   memset( master_bright, (1<<7) | fade_val, 2 );
   memset( master_bright_sub, (1<<7) | fade_val, 2 );
}
void fadew( s16 fade_val ) {
   memset( master_bright, (1<<6) | fade_val, 2 );
   memset( master_bright_sub, (1<<6) | fade_val, 2 );
}

PPS: Excuse the conversational tone, this was originally written for a private forum. I’ve cleaned it a little, but not much. The DS is a fun plattform to write stuff for. Go have fun and make a kickass demo. :3

Why lisp can be sooooo sweet. A clojure class extending java.

compile it

(set! *compile-path* "build")
(compile 'net.experimentalworks.clojure.outdegree)

Ah yeah and hsv2rgb transformation:

So, Lena ist heute morgen Richtung Deutschland abgeflogen :'(
Und nach ein wenig Rumgerenne bin ich nun im Besitz des richtigen Visums fuer Vietnam und damit steht dem Trip, der in 25 Minuten mit einem ersten Meeting beginnt, nichts mehr im Weg.

Aber zuerst noch ein wenig zu Bali : Das auffaelligste (neben der wunderschoenen Natur, die man schon bald fuer selbstverstaendlich haelt) ist die Religiositaet der Leute. Jeden Morgen und jeden Abend hat der Familienvater unseres Homestays in Tirtagangga (selbstredend mit Blick von der Terrasse auf den Sonnenaufgang ueber den Reisfeldern beim Fruehstueck) an den drei Schreinen (Minitempeln?) Opfergaben dargebracht und auch auf den Boden vor unserem Haus wurden Gaben abgelegt um die im Boden befindlichen Daemonen abzulenken. Das war nicht etwa ein Einzelfall, auch in den touristischeren Orten sieht man staendig die Menschen ihre Religion ausueben, im Gegensatz zu uns auch nicht vorwiegend die aelteren oder konservativeren Menschen, sondern einfach alle. Haustempel, Dorftempel (pro Dorf mindestens 3 Stueck mit verschiedenen Funktionen), inselweite Tempel... alles ist voll davon, und aktiv benutzt und gepflegt.
Von unseren Aktivitaeten sind wahrscheinlich vor allem zwei erwaehnenswert: Erstens Schnorcheln im Nationalpark, mit fantastischen Korallen und zehntausenden von Fischen aller Groesse und Farbe. Die Tauch- und Schnorchelortie hier sind beruehmt, aber uns fehlt natuerlich der Vergleich... viel bunter kann es aber nicht mehr werden. Fotos gibts davon natuerlich leider keine.
Zweitens unsere Besteigung des Gunung Agung, des hoechsten Berges der Insel (ein Vulkan, wie alle groesseren Berge auf Bali). Aufstehen um 1 Uhr nachts, Fahrt zu einem einsamen Bergtempel auf 900m Hoehe, von da aus ab 2 Uhr mit Taschenlampe und oertlichem Fuehrer in 4 Stunden 2000 Hoehenmeter Aufstieg, um den Sonnenaufgang als erste zu sehen. Und nebenbei ganz Suedbali, morgens noch wolkenlos. Vom Muskelkater fang ich garnicht erst an zu erzaehlen :)

Hier ein Dschungeltempel der nur bei Vollmond benutzt wird und einige Merus (Pagoden) in Besakih, dem Muttertempel:

Und der Blick vom Gunung Agung um 6 Uhr morgens:

It’s kind of a no-brainer to visualize the Earth, any other planet, or moon on a spherical display. But besides rotation, the multi-touch interface allows us to do even more. We are thinking about games and new forms of interactive visualizations to be more precise. We are very busy right now as Johann is exploring Asia, New Zealand, and Australia, whereas I’m working two jobs, so it’s all taking us a little longer. Nonetheless, bear with us and stay tuned for more.

Return-Path: info at packstation.de
X-Spam-Status: No, score=0.0 required=5.0 tests=none autolearn=disabled
Received: from s153*****.onlinehome-server.info (EHLO s153*****.onlinehome-server.info) [87.106.*****]
by mx0.gmx.net (mx087) with SMTP; 22 Jan 2010 00:39:08 +0100
Date: 18 Jan 2010 03:31:47 +0100
Message-ID: 20100118023147.2224.qmail at s153*****.onlinehome-server.info
To: meineemailadresse_neinnichtwirklich at gmx.de
Subject: PACKSTATION Systemupdate
From: DHL AG info at packstation.de
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam);

Content-type: text/html;

Sehr geehrte(r) Sebastian Raible.


Da wir in den letzten Wochen unser Serversystem auf den neusten Stand gebracht haben, bitten wir Sie, aktiv bei unserem umfassenden Systemcheck mitzuwirken.

Dieser dient dazu, eventuelle Fehler zu beseitigen. Wir bitten Sie daher darum, sich auf der DHL-Seite einzuloggen um Ihre PACKSTATION-Daten zu überprüfen.

http:// PACKSTATI 0 N.6x. to/index.php?id=***************

Schlägt der Loginversuch fehl, bitten wir Sie, sich unter folgender Nummer zu melden:

0800 343 *** ** (0 ct/Min*)

Viel Spaß weiterhin mit Ihrer PACKSTATION wünscht Ihnen


Ihr PACKSTATION Team

*) Aus dem deutschen Festnetz
-----------------------------------------------------------
DHL Vertriebs GmbH Co. OHG
Rathausplatz 1
10234 Berlin

Für mein Wohnzimmer wünschte ich mir aus zwei Gründen eine etwas besondere Heizung. Durch die vormalige Nutzung als Pferdestall und des dabei abgesekten Fussbodens sind alle Wände mit einem ziemlich unpraktischen Betonsockel versehen. Vor diesen Sockel jetzt noch einen dicken Heizkörper zu schrauben würde meiner Meinung nach einfach nicht gut aussehen. Am liebsten wäre mir da ja eine Wandheizung gewesen, doch graute mir vor dem damit verbundenen Aufwand. Da entdeckte ich das Prinzip der  Heizleisten. Heizleisten bestehen aus kleinen Konvektoren die sich an allen Außenwänden befinden. Durch die grosseflächige Verteilung der Heizleistung soll weniger Staub als bei einem herkömlichen Heizkörper aufgewirbelt werden und durch die gleichmässige Erwärmung aller kalten Aussenwände stellt sich die Wohnfühltemperatur bei deutlich niedrigeren Temperaturen ein. Man kann das im Winter sehr deutlich vor großen Glasflächen spüren. Trotz warmer Luft im Raum, fühlt man immer die Kälte.

Heizleisten gibt es von verschiedenen Herstellern, die alle Ihre Vor- und Nachteile haben. Fest mit den Rohrleitungen verlötet Konvektoren haben natürlich einen deutlich besseren Wärmeübergang, worauf die Hersteller auch immer hinweisen und versuchen damit die anderen Systeme abzuwerten. Ein schlechterer Wärmeübergang bedeutet aber nun nicht das da Wärme verloren geht (Physik: Energierhaltung) sondern nur das man etwas mehr Konvektorenfläche oder eine leicht höhere Vorlauftemperatur benötigt um auf die gleiche Leistung zu kommen. So schlecht kann der Wärmeübergang bei den gestekten Konvektoren auch nicht sein, auf ein heisses Rohr gesteckt vergingen nur wenige Sekunden bis der Konvektor überall heiss geworden war.

Ein großer Vorteil aller Stecksysteme ist das man beliebige Rohrlängen verbauen kann und gerade im Altbau macht sich diese Freiheit schnell bezahlt.

Normalerweise gehört zu diesen Heizleisten auch immer eine Abdeckung aus Holz oder Metal. Um die unschönen Betonsockel zu verstecken entschied ich mich aber für eine andere Lösung. Mit der Oberfräse entstand aus Kiefernleisten und Kiefersperrholz eine passende Wandverkleidung. Die Ablageplatten sind aus geöltem Birkenholz, welches der örtliche Baumarkt zu einem günstigen Preis verkauft.

Wie man auf den anderen Bildern sehen kann, werden diese “Fensterbänke” bereits ausgiebig genutzt

Scala is a fascinating language. Running on the Java VM, Scala offers a powerful mixture from both the imperative Java world and functional programming including modern techniques like Actors. Personally I prefer to not just learn programming languages, but also try them out while reading through the book.

As I wanted to have nice a build system for my PHP subversion checkout, I used this need as a project to start coding Scala. So what do I exactly need? I want to build multiple versions of PHP from the same branch without checking out the code twice. I also want to configure these builds somewhere without always typing in the parameter list or so. For further versions I want to be able to configure these in a file that can easily be distributed to other machines.

I set down and wrote a parser for a configuration file that can configured build targets which is then build by
the program. The configuration file I used is specialized for this purpose, which is why I didn’t used something like ant or so. The result is called bauaffe-3.0.0a1.jar.

I’ll just show a few things done in the project, but mainly focus on what the nice script can do. Further blog posts will be about the actual implementation.

The configuration looks like this

$ cat ~/.buildmaker
begin default configuration
    define source "/Users/dsp/dev/c/php-src"
    define build "/Users/dsp/dev/c/php-src/build"
    define defaults as
        with "iconv=/opt/local"
    build trunk as
        "php60" using defaults
        "php60-debug" using defaults
            enable "debug"
    build branch "PHP_5_3" as
        "php53" using defaults
            environment PHP_AUTOCONF="autoconf213"
        "php53-debug" using defaults
            enable "debug"
            environment PHP_AUTOCONF="autoconf213"

.
Proper indention is not necessary (as e.g in python).

Did I mention that the actual parser is 170 lines of code with usual indention and formatting?

Configuration
The configuration file is searched in ~/.buildmaker, or if ~/.builmaker doesn’t exists, buildmaker.conf in the current directory. How do you configure the tool? First of all you can specify a configuration. It is usually called “default”. It is not yet supported to name it differently, although the parser is able to parse it. In further versions multiple configurations per file are allowed.

Variables
Variables are set using the define syntax. At the moment you can set the build and source variable as well the defaults variable, which is usually a block of statements that can be used in the branch configurations.

Branches
A branch is configured using the build syntax. You first have to specify which branch to build. Every branch can then configured to have build target with a given set of options. Branch options are:

• with string: Builds the target with the given extension
• enable string: Builds the target with the given extension
• environment string=string: Builds the target with environment variable

. You can specify using defaults which will cause the runner to use the options specified in the defaults define.

At the moment the parser will not do a good job in notifying you what you are allowed to do and what not, although pure parse error will be emitted. You can also not set any other variable than the described once.

Building
Calling

$ java -jar bauaffe-3.0.0a1.jar list
TARGET                         LAST BUILD
php60                          None
php60-debug                    None
php53                          Sat Jan 09 16:55:12 CET 2010
php53-debug                    Sat Jan 09 16:59:37 CET 2010

gives you a list of parsed targets and their last build date. You can build a target using

$ java -jar bauaffe-3.0.0a1.jar 

or build all using

$ java -jar bauaffe-3.0.0a1.jar all

Please notice that the current version requires that you now what you are doing. You might miss some error messages or find them not useful. I’ll change this before the first release, if I’ll do a final version of it. I hope you like the little tool.

Download It!

Scala (pronounced /ˈskɑːlə, ˈskeɪlə/) is a multi-paradigm programming language designed to integrate features of object-oriented programming and functional programming.[1] The name Scala stands for “scalable language”, signifying that it is designed to grow with the demands of its users.

A new page is created:

Releases, on which demoy things I made a part of are linked.

(Also, a picture that stares into your soul.)

Following up on last year's "algorithmic music in a box", here is the video of wesen's 2009 talk at the CCC congress: "advanced microcontroller programming". A big shoutout to the video crew that managed to put all the videos online in a matter of days (wow!). This talk is not about music or MIDI at all (although the subject is used as an example), but about the development "discoveries" that were made during this intense year of programming. Put your geek hat on, download the slides and notes and enjoy some nerdy programming fun!.

oh, wenn Aufräumen nur immer so schnell gehen würde…

Since we have been back from Piksel09 in Bergen, Norway, Johann was working very hard to get the visualization right which turned out to be not that easy and involved some serious math. In theory it should be easy, but with hardware and software involved, the devil is in the details.

Much kudos to Johann for pulling it off!

This is getting old, isn’t it?

Well, a happy new year to you. May you have a great 2010.

(If the video does not work yet, check back later, or try the video at http://aka-san.halcy.de/happynewyear.mp4 )

• Executable (Linux, x64)

Recordings of all the presentations and live events at Piksel Festival 2009 are available online in the Piksel09 Distributed Multimedia Data Base.

Embedding our talk didn’t really work, so I put it on Vimeo after it was rejected on YouTube because of this ridiculous time limit they have.

We recently participated in the Piksel Festival in Bergen, Norway. Besides Bergen being a very rainy but lovely place, Piksel09 was very inspiring, and we met lots of interesting people. Our talk was scheduled for Sunday, November 22, at Bergen Kunstmuseum, and I suppose that, according to the audience response, our presentation went quite well.

Here are some pictures of our hemispherical multi-touch installation we took for the presentation. Unfortunately, WordPress doesn’t really like images with a resolution of 16:10, so you have to make just another click.

Last but not least, we would like to thank the Karlsruhe Institute of Technology and Prof. A. Schmitt for supporting us.

OH, and we even got free T-shirts!!11!einself!

We are currently very busy, so to keep you waiting, the video of wesen's talk "algorithmic music in a box" at last year's 25c3 in berlin. This video is actually pretty interesting cause it showcases the very few steps along the current opensource vision of the minicommand. Wesen will hold another talk at this year's 26c3, this time focusing on straight-on technical facts about developing for microcontroller architectures.

Merry Christmas / Hannukah / Kwanzaa / Festivus / Winter Solstice / Whichever you prefer from halcy and Nobuyuki. :D

• Linux x64 binary [Needs the .it from the source code zipfile]
• Source code

blubb.

Naja, das ist mal ein test. Bald ist hier alles voll mit tollen Fotos.

So können nur Kinderaugen leuchten, ein grosser Berg Geschenke und die kleinsten können zum erstenmal selber auspacken und gleich mit allem spielen.

Wer braucht da schon teures Spielzeug, ein Brett auf die Fensterbank und fertig ist die Hüpfburg. Unglaublich, auch nach mehreren Stunden ist noch keine Müdigkeit festzustellen.

satf turns two years old today!

Happy birthday!

For current lack of DEER EXPORT:

ccccccccaccaccceeeeecccc
ccccccccaccacceeeeeeeccc
cccccccccaacceeeccceeecc
ccccccccaaacceeccccceeec
cccccccccaacccccccceeecc
ccaaaaaaaaaccccccceeeccc
caaaaaaaaaacccccceeecccc
caaaaaaaaaaccccceeeccccc
cacaccccacacccceeecccccc
cacaccccacaccceeeeeeeecc
cacaccccacacceeeeeeeeeec

(deeritor link)

Pünklich mit dem ersten Schnee dieses Jahr haben wir unseren Kachelofen mit köstlichen Bratäpfeln eingeweiht.

It’s UNIQLOCK, customized for Karlsruhe, running on a panel hanging on my wall! WALLQLOCK!

The construction of the frame is pretty terrible, but the end result is kind of cool. There is actually a whole notebook computer in that thing.

Nachdem ich gerade auf zwei Blogeinträge von Jesse gestoßen bin, fühlte ich mich doch stark an meine Erlebnisse erinnert.

Ich habe diesen Dezember seit 2 Jahren DSL 16000 von 1&1, aber dummerweise versäumt die Kündigung rechtzeitig abzuschicken, so dass der gesamte Vertrag nun noch mindestens ein weiteres Jahr läuft. Gut, zweimal hatte ich einen minor fuckup im VoIP-System, welcher aber jedes mal behoben wurde, insgesamt hätte ich mir aber vorstellen können das ganze upzugraden. Gerade, da es derzeit VDSL50k für 39.90 im Monat gibt, also genau den Betrag, den ich für mein klassisches ADSL2+ zahle.

Aber Nein, unter Vertragsverlängerung bietet man mir nur an, mein Tarif um ich glaube 5 Euro in der Grundgebühr zu reduzieren, wenn ich mich für weitere 2 Jahre verpflichte. Ohne irgendwelche weiteren Zugaben.

Auf entsprechende Nachfragen per Mail wurde mir nur mitgeteilt, ich könne in Q1/2010 auf VDSL wechseln, aber ob sie dann noch diesen Preis halten können oder ob sie dann nicht doch 10.- mehr im Monat haben wollen konnte man mir nicht sagen. Dabei wäre gerade ersters das, was mich locken würde, denn mehr möchte ich definitv nicht ausgeben.

Da scheint ein zufriedener Kunde für 2 Jahre weniger Wert zu sein als ein unzufriedener für ein Jahr.

Wie einige vielleicht schon mitbekommen haben gibt es eine neue Version von Piwik. Piwik ist ein Stück Code zur Analyse von Besuchern auf Webseiten, ähnlich beispielsweise Google Analytics. Mein Kollege Stefan Esser hat ein schweres Sicherheitsproblem gefunden und ein Advisory dazu veröffentlicht, das im Bereich von PHP-Sicherheit wieder einmal eine Reihe wichtiger neuer Einsichten gebracht hat. Der entsprechende Exploit dazu ermöglicht das Ausführen von PHP Code aus der Entfernung oder das Anlegen beliebiger Dateien, also die vollständige Kontrolle eines Angreifers über einen Server, auf dem dieser Code gehostet wird.

Da ich nicht in fremden Seiten ohne Auftrag herumfingere weiss ich nicht, ob und wie die betroffenen Server bzw. PHP-Installationen gehärtet sind und ob sich die entsprechenden Seiten auch wirklich angreifen lassen (ich gehe aber davon aus). Was ich allerdings ahne ist, dass Piwik auf tausenden Seiten gehostet wird. Ich vermute aber sehr stark, dass dieser Exploit in Zukunft für den einen oder anderen Hack eingesetzt wird, weswegen ein Update auf die neue Version ein absolutes Muss ist. Ausserdem ist es angezeigt, Server, auf denen Piwik gehostet wird, nach Spuren von Einbrüchen zu untersuchen.

Eigentlich könnte man sagen, es ist soweit ganz normal — Bugs kommen immer wieder vor, auch Bugs, die das Ausführen von Code ermöglichen. Das ist auch richtig. Aber wenn man mal einen Augenblick inne hält und guckt, wo denn dieser Code überall zu finden ist, dann kommt man doch etwas ins Grübeln.

Webseiten werden oft als sogenannte virtuelle Server gehostet. Das bedeutet, dass sich auf einem physikalischen Server mehrere gehostete Domains befinden. So ist das auch auf den Seiten der Parteien wie gruene.de, spd.de oder liberale.de. Dort finden sich neben den eigentlichen Hauptseiten auch verschiedene Projekte und persönliche Seiten von Politikern der entsprechenden Parteien.

Man kann sich eine Reihe von Sachen vorstellen, wie Angreifer diesen Exploit nutzen können, angefangen von eher lustige Sachen wie subtile oder weniger subtile Verlautbarungen bis hin zu weniger lustigen Sachen wie Mitlesen von Mails, Servieren von Malware oder Angriffe auf weitere Server.

Die CDU nutzt auf ihren Hauptseiten übrigens dieses Tracking nicht, aber es gibt eine Reihe von CDU-Politikern und lokale Gruppen der Partei, bei denen es doch eingesetzt wird oder wo dieser Code auf einer anderen Domain auf demselben Server gehostet wird. Bei den Piraten gibt es diesen Code nur auf der Seite musik.klarmachen-zum-aendern.de, die keine weitere Verbindung zu anderen Servern der Piraten hat.

In der Liste der Seiten, die gegen so einen Exploit verwundbar sind (oder waren), finden sich aber noch eine Reihe anderer interessanter Bekannte: attac.de, proasyl.de aber auch jungefreiheit.de, die Seiten des Landes Rheinland Pfalz, des Umweltbundesamtes, des Asta der Uni Bonn oder die der Dampfplauderer von fixmbr.

Am interessantesten ist aber aus meiner Sicht eine völlig andere Seite, nämlich safer-shopping.de. Hinter Safer Shopping verbirgt sich ein Prüfsiegel des TÜV Süd, also genau etwas in der Art, das als eine der Maßnahmen im Rahmen der “Stiftung Datenschutz” grade im Gespräch ist. Dieses Beispiel zeigt einmal mehr, wie wenig diese Idee wert ist, denn auch andere Dienstleister, die solche Siegel anbieten, werden kaum in der Lage sein, diese Art von Angriffen zu verhindern, die das Vertrauen in Webseiten erheblich beeinträchtigen und dieses Siegel lächerlich erscheinen lassen.

Selbstverständlich ist auch bei einigen zertifizierten Seiten Piwik im Einsatz, denn was für Safer Shopping recht ist, ist für Anbieter von E-Shops natürlich nur billig.

Update: Kann übrigens sein, dass ich mich beim Einsatz von Piwik auf Safer Shopping-zertizierte Seiten geirrt habe. Waren jedenfalls irgendwelche Seiten mit Siegeln, die Sicherheit suggerieren sollen. Von daher ist es eigentlich auch egal, was das nun genau für welche waren.

Update 2: Zum Testen, ob man verwundbar ist, kann man die beiden Scripte nutzen, die Stefan in seinem Blog veröffentlicht hat. In beiden Fällen kommt dabei ein Cookie raus, der in den Browser kopiert werden muss: Datei schreiben und Code Execution.

Wo ich gerade eigentlich dabei bin, meinen Schreibtisch aufzuräumen und das all(eher zwei-)monatliche Papierwegheften hinter mich zu bringen, fiel mir beim initialen Themenstapel bilden doch noch eine kleine Geschichte zum Thema Bahncard ein:

Wie dem aufmerksamen Leser nicht entgangen sein dürfte, führte ich bis vor 1,5 Jahren eine Fernbeziehung. Und wie es sich nunmal bei häufigem Bahnfahren lohnt, besorgte ich mir hierfür eine Bahncard. Nachdem das Zusammenziehen dann doch recht plötzlich geschah, konnte ich die Bahncard erst zum September diesen Jahres kündigen. Also, Kündigungsschreiben aufgesetzt, hingefaxt, dafür gesorgt dass das Faxgerät einen sogenannten qualifizierten Sendebericht ausspuckt, das ganze abgeheftet und als erledigt betrachtet. Da ich aus mehreren Quellen gehört hatte, dass seitens der Bahn trotz entsprechender Bitte grundsätzlich keine Kündigungsbestätigungen verschickt werden, machte ich mir über die Nichtankunft eines solchen auch keine weiteren Gedanken.

Pustekuchen, Ende August kam ein Brief mit einer neuen Bahncard. Also schnell eine Mail geschrieben was das solle, ich habe doch gekündigt, könne dieses auch gerne entsprechend Nachweisen. Bei der ersten Antwort schien mir wieder jemand ziemlich flott im Zusammenklicken von Textbausteinen zu sein, und mir wurde die Kündigung zum September nächsten Jahres bestätigt. Also nochmal, wenn auch in deutlich bestimmterem Ton, geantwortet, dass ich fristgerecht gekündigt habe, hierüber auch einen qualifizierten Sendebericht besäße, welche ich ihnen gerne zukommen lassen könne, und sie mir doch bitte mitteilen mögen, wie ich mit der unangefordert zugesendeten Bahncard verfahren möge.

Daraufhin forderten sie eine Kopie der Kündigung an, worauf sie diese natürlich sofort in eingescannter Form erhielten. Einige Tage später lag dann auch ein klassischer Brief im Briefkasten in welchem ich darum gebeten wurde, zur abschließenden Bearbeitung ihnen die Bahncard zuzusenden. Da ich zwischendurch eher viel um die Ohren hatte kam ich dazu aber erst, nachdem die erste Mahnung für die getrennt laufende Rechnung eingetroffen war, worauf ich sie Ihnen natürlich sofort schickte. Wie im Titel schon angedeutete war es damit aber immer noch nicht erledigt!

Denn auf die erste Mahnung folgte die zweite, diesmal schon kostenpflichtig. Ich dachte noch, die brauchen wohl etwas zum bearbeiten, eventuell hat die geschätzte eine Woche, seit der sie die BC in der Hand halten sollten, nicht gereicht. Der nächste Brief zu diesem Thema kam dann etwas später, dieses mal aber in einer weniger freundlichen Form von Universum Inkasso, verbunden mit der Aufforderung einen Text, dass ich die Forderung anerkenne und meine Seele verkaufe^W^W^Wunterschrieben zurückzusenden.

Daraufhin wurde ich dann doch etwas deutlicher, bat die Bahn doch Ihre Prozesse etwas zu überarbeiten und in Zukunft dafür zu sorgen, dass nicht Mahnverfahren parallel zu sonstigen Bearbeitungen bei Ihnen im Hause weiterlaufen, insbesondere wenn in diesen festgestellt ist dass die Forderung unberechtigt ist, da das Abo schon längst nicht mehr bestand. Ebenfalls bat ich sie darum, mir schriftlich zu bestätigen, dass sie kapiert haben, dass das Abo vorbei ist, sowie dass mir gegenüber keine Forderungen mehr bestehen. Als erstes kam der Brief vom Inkassounternehmen, dass die Forderung seitens der DB zurückgezogen wurde, ein paar Tage später schrieb mir dann auch die Bahn

Sie haben uns gebeten, Ihr BahnCard-Abonnement vorzeitig zu beenden. Selbstverständlich sind wir Ihrem Wunsch bereits nachgekommen[...]

Insgesamt bin ich aber heilfroh, in diesem Fall den Weg per Fax und Sendebericht gewählt zu haben. Schon alleine bei einem Brief hätte ich wohl ein deutlich größeres Problem gehabt, den Versand nachzuweisen.

We recently stumbled over the problem that we want to know the exit status of the last command that was executed in our ZSH. Well the obvious thing is echoing $?, but as we need this quite often we want to have it in our right prompt. Googling around a little bit, we found the solution:

In your .zshrc add the following line

RPROMPT='[%?]'

This will give you the last exit status on the right site of your shell.

My zsh now looks like this (with the additional stuff)

buenosaires:~/dev/c/git.git/>                                         (next)[1]