Planet Entropia (CCC Karlsruhe)

The Turkey Curse: Hunde und Katzen essen‎

2013-05-19T12:19:00+02:00

Letzte Woche war ich seit langer Zeit mal wieder unterwegs im Rheinland (z.B. zur Vorbereitung der SIGINT, verschiedene Treffen im Kontext des Transparenzgesetzes NRW, HV der Drosselkom u.a.), und es gab dabei eine Reihe seltsamer Eindrücke, über die sich gar nicht so einfach schreiben lässt. Einige Sachen muss ich dennoch loswerden, auch wenn sie missverständlich oder gar als Angriff ankommen mögen, als das sie nicht gemeint sind.

Im NRW-Landtag in Düsseldorf fand auf Einladung der Landesregierung die Veranstaltung Zukunftsforum “Digitale Bürgerbeteiligung” - Open Government und Open Parliament in NRW statt. Um es gleich klar machen: Ich fand die Veranstaltung im Kern ganz gut und weiss durchaus sehr zu schätzen, was die Landtagsverwaltung NRW auf die Beine gestellt hat. Allerdings hoffe ich, dass bei weiteren Veranstaltungen dieser oder ähnlicher Art die Organisatoren im Detail etwas mehr Fingerspitzengefühl, Humor und Mut entwickeln. Meines Erachtens entspräche das Format wohl eher einem klassischen Barcamp, das etwas mehr Spontanität zugelassen hätte. Trotzdem muss ich sagen, dass ich es als sehr viel offener empfunden habe als erwartet.

Aber wie schon angedeutet gibt es einige Anmerkungen, die ich mir einfach nicht verkneifen kann.

Das Programm startete mit den Eröffnungsreden von Landtagspräsidentin Carina Gödecke und Ministerpräsidentin Hannelore Kraft. Danach ging es direkt weiter mit dem ersten Panel — und was für einem: Dort standen 10 (in Worten zehn) Männer in gleichem Aufzug einer (in Worten: einer) Frau gegenüber. Diese Frau wurde zudem mit den Worten begrüßt: “Nun kommen wir zu unserer einzigen Frau in der Runde. Dafür hat sie aber einen schönen Namen”. Hier ein Screenshot von diesem Teil der Veranstaltung, der durchaus etwas ikonenhaftes hat wie ich finde.

Anmerkung: Der Screenshot ist von dem Video des Panels. Ein anderes Foto besserer Qualität, dass ich auf Grund der Lizenz nicht einbinden kann, findet sich bei Flickr.

SRSLY? Im Jahre 2013 findet ein Event zum Thema “Digitale Bürgerbeteiligung” statt und die Veranstalter stellen dort allen Ernstes 10 Kerle und eine Frau auf die Bühne? Das ist irgendwie etwas zuviel Postgender für meinen Geschmack, und überhaupt: Dass eine Veranstaltung zu so einem Thema sogar einen geringeren Frauenanteil aufweist als die üblichen Nerdkonferenzen oder ein durchschnittlicher Parteitag der Piratenpartei, sollte sehr zu denken geben.

Bemerkenswert war auf dem Panel übrigens Innenminister Jäger (dritter von links auf obigem Bild) mit dem Spruch “Ich finde, Open Government hat nichts damit zu tun, dem Bürger terabyteweise Daten zuzuschieben”. Doch, lieber Herr Jäger, genau das hat es. Dass der zuletzt durch seinen besonderen Einsatz für die Bestandsdatenauskunft und auch sonst nicht grade als Freund bürgerrechtsfreundlicher Politik bekannte SPD-Minister solche Sachen auf einem Event dieser Art von sich gibt ist schon irgendwie bitter, zeigt es doch, wie wenig ihn das Thema ganz offensichtlich interessiert, sonst hätte er mitbekommen, worum es geht. Sehr schräg war dann auch, dass auf dem Panel über Mails von Mitarbeitern diskutiert wurde, die echt niemanden interessieren, denn darum geht es in der Debatte um Offene Daten nicht und ging es auch nie, aber total vom Wesentlichen ablenken.

Im Vorfeld der Veranstaltung wurde der Hashtag #opennrw für Twitter öffentlich auf den entsprechenden Seite verkündet und sogar Broschüren damit gedruckt, woraufhin jemand ein kleines Script geschrieben hat, das Katzenbilder von Google geholt und mit dem entsprechenden Hashtag versehen konstant auf Twitter postete.

Auf dem Event wurde zur Eröffnung verkündet, der Hashtag werde nun auf #opennrw13 geändert und sogleich bekam ich hinter mir ein Telefonat mit, in dem die Worte fielen “Hey, die haben den Hashtag geändert. Hol die Katzen raus!” - wohl in Anlehnung an “Bring out the KRAKEN”.

Symbolbild: Anhaltender Cyberangriff von Katz3n auf #opennrw und #opennrw13

Es gab auf dem Event natürlich auch wenig überraschend “Twitterwalls”, bei denen irgendwann “katzen” und “katz3n” gefiltert wurden:

OpenNRW nur ohne Katzen: Im Landtag NRW gibt es offensichtlich eine gewisse Katzenfeindlichkeit

Für mich bringt das prinzipielle Defizite im Umgang mit digitaler Öffentlichkeit sehr gut auf den Punkt, und nicht zuletzt das war ja wohl auch Sinn der Übung wie ich das einschätze. Zumindest aber die Landeszentrale für politische Bildung NRW scheint es mit Humor genommen zu haben und twitterte “Kann einer mal die katze füttern!”. Es sollte tatsächlich einfach als das betrachtet werden, was es ist: Ein vielleicht etwas schräges, aber durchaus herzliches und freundliches Willkommen, ein “wir werden noch viel Spass haben, wenn ihr ein wenig den Stock aus dem Hintern nehmt” und eine Einladung, weiter auf Augenhöhe miteinander zu reden (ja, auch auf Augenhöhe der Katzen, aber den Witz kann keiner kapieren, der nicht in einer konkreten Situation dabei war ^^).

Aber ehrlich: Ich vermute, dass daraus die falschen Schlüsse gezogen werden — was sich ja schon daran zeigt, dass Urheber dieser Aktion anwesend waren (nein, ich war das nicht!), aber weder IRL noch auf Twitter wirklich eine direkte Ansprache stattfand, auf die diese ganz sicher reagiert hätten. Denn das war (und ist) kein anonymer Porno-, Malware- oder Linkspam, sondern freundlich dreinblickende Katzen (und, zugegeben, das eine oder andere Pony, das sich dort eingeschlichen zu haben scheint).

Zum Abschluss gab es — Tusch — ein weiteres Panel, dieses Mal mit nur fünf Männern und einer Frau. Schade eigentlich, waren die Workshops im Laufe des Tages doch meist von gutem Niveau, und dieses Panel war für den Abschluss zu schwach.

Auch wenn das jetzt etwas merkwürdig rüberkommen mag, dass ich eine Kritik ausgerechnet an der einzigen Frau in der Gruppe richte, muss ich sie dennoch loswerden.

Einmal mehr irritierte mich das Gov2.0-Netzwerk: Deren Vertreterin auf dem Panel ist nicht nur im Vorstand des Vereins, sondern auch Mitarbeiterin bei Dataport, dem Dienstleister der Verwaltungen in den Nordländern. Sie betonte zwar in der Vergangenheit mir gegenüber schon öfter, dort nur als Pressesprecherin zu arbeiten und bezeichnet sich als Journalistin (ich definiere das Wesen dieses Begriff anders, aber das nur am Rande). Angaben zu diesem Engagement findet sich aber weder auf der Webseite der Veranstaltung, noch wurde darauf bei dem Panel hingewiesen. Das wirkt ähnlich wie bei dem Blogpost Die GovData-Entrüstung…ein Bärendienst? damals, bei der der Autor der Kritik an der unabhängige Open Data/Open Government-Szene ebenfalls “vergaß” klarzustellen, was sein persönlicher Kontext ist und wie es in solchen Fällen üblich sein sollte: Er ist NTO (National Technology Officer) bei Microsoft und war ehemals bei CSC, die — Funfact am Rande und totally unrelated — jetzt grade einen Funktionstest des Staatstrojaner durchführen soll. Einen NGO als einzige Referenz zu benutzen, während man gleichzeitig in Unternehmen arbeitet, die in dem Bereich tätig sind, den man vertritt, ist mehr nur ein bisschen bemerkenswert und hatte ich auch schon während meines re:publica-Vortrages mit Lorenz thematisiert.

Grade innerhalb dieser Szenerie, die sich der Öffnung politischer und verfahrenstechnischer Prozesse verschrieben hat, ist Transparenz von ganz besonderer Bedeutung — auch wenn das die Beteiligten ganz anders sehen und sich z.B. bei Facebook im Nachgang des erwähnten Blogposts darüber mokieren, diese Klarstellungen empfänden sie als störend (Sorry, ich habe keinen Facebook-Account mehr um darauf zu verlinken). Die Entscheidung und Bewertung darüber obliegt ihnen meiner Ansicht nach aber gar nicht (was ich auch schon öfter betont habe). Wenn sie also über den vielbeschworenen “Kulturwandel” reden wollen, ist das eben auch ein Teil dieser neuen Kultur: Klare Ansagen bei möglichen Interessenskonflikten, wie sie ganz offensichtlich existieren. Die ergeben sich automatisch durch Arbeitsverträge, und schränken die Kritikfähigkeit und -möglichkeit ganz erheblich ein. Das zeigt sich dann ja auch in eher nichtssagenden Statements auf diesem Panel, wo es durchaus noch einiges zu sagen gegeben hätte. Es sei aber auch noch einmal klar gestellt, dass es nicht als fachliche Kritik gemeint ist, und ich halte die Personen durchaus für kompetent.

Im Chaosdorf wurde der Abend beendet mit “Freitagsfoo” genannten Kurzvorträgen zu ZFS (passend im Zusammenhang der “terabyteweisen Daten”), Arbeitsschutz, DNS, Ideen für eigene Verschlüsselung sowie anschliessendem Konsum von Barbarella und Sachen wie Smells Like Humppa von Eläkeläiset, was speziell an diesem Tag ganz besonders gut zum Ausdruck gebracht hat, wie ich einiges an diesem Tag empfunden habe.

Als ich dann irgendwann spät nachts nach “opennrw” bei Google gesucht habe, bekam ich als Antwort folgende Seite, dessen Werbeblock an Ende der Seite mich zu dem Titel des Textes inspirierte und mich praktisch dazu zwang, das Ganze kurz niederzuschreiben. Es ist meines Erachtens wichtig sich klar zu machen, was öffentlicher Raum im Netz momentan bedeutet und wie weit das von dem entfernt ist, was es sein sollte. Oder wie ich in meiner Kirchentagsrede sagte: “Der öffentliche Raum, über den wir hier reden, ist eher mit einem Kaufhaus zu vergleichen, in dem wir uns treffen und austauschen. Niemand würde das in der Realität ernsthaft als öffentlichen Raum in dem Sinne begreifen, wie wir ihn sonst ganz selbstverständlich wahrnehmen, sondern als das was es ist: Ein privater Raum mit öffentlicher Begängnis”. So verwundert es eben auch nicht, womit der Begriff “OpenNRW” aus Sicht der Werbenden zusammenhängt.

Mal davon abgesehen, dass ich gelernt habe, in Schweiz sei es völlig normal, Hunde und Katzen zu essen: Erlebnisse an Tagen wie diesen sind es, warum ich dieses Internet einfach von ganzem Herzen liebe!

The Turkey Curse: Adblocking ist ein Sicherheitsthema

2013-05-14T11:11:00+02:00

Lieber Stefan,

ich schreibe dir, weil ich eine Sache klarstellen möchte: Ich blocke Werbung nicht, weil mich Werbung nervt (ich sehe die nicht mehr) oder euch um eure Einnahmen zu bringen will, sondern weil die Werbung über JavaScript von für mich alles andere als vertrauenswürdige Drittanbieter ausgeliefert wird. Ich weiss durchaus guten Journalismus zu schätzen, weiss, dass dieser nicht umsonst zu haben ist und habe vermutlich mehr Verständnis für die Probleme der Verlage als viele andere denke ich.

Trotzdem kann ich nicht zulassen, dass irgendwelche Buden, die sich regelmässig pwnen lassen, meinen Rechner fernsteuern - denn das und nur das ist JavaScript: Remote Control eines Browsers durch den Server. Dieses Blocking ist also in erster Linie reiner Selbstschutz und ist auch jedem Nutzer sehr zu empfehlen.

Die Historie schädlicher Werbebanner auf Medienseiten ist lang und hat so ziemlich viele schon einmal irgendwann getroffen, sei es Zeit, Spon, Heise oder Handelsblatt um nur mal ein paar zu nennen, über die Schadcode verteilt wurde. Ein Problem ist dabei auch nicht zuletzt, dass es in so einem Falle ausser einer Entschuldigung keinerlei Entschädigung für die Opfer dieser Angriffe gab und gibt (sofern die Leute überhaupt merken, dass die gehackt wurden).

Ich bin nicht die Person, die tolle Ideen für Geschäftsmodelle hat, die funktionieren. Ich würde mir etwas wünschen, das für eure Branche nicht in Frage zu kommen scheint: Sowas wie eine Pauschale für alle Publikationen - in etwa nach dem Modell der GEZ für die Öffentlich-Rechtlichen. Ich nutze die Angebote eher sporadisch (meist auf Grund von Links), “blättere” aber praktisch auf den Seiten nie rum, womit ein Abo für mich keinen Sinn ergibt. Diese Art der Zahlung würde mir in meinem Nutzungsverhalten entgegen kommen.

Micropayment ist leider in den letzten Jahren nicht wirklich weiter gekommen und ausser Flattr sehe ich momentan wenig. Ich verstehe aber auch, dass sich damit kein Journalismus auf hohem Niveau lange finanzieren lässt.

Wie auch immer: Die Verantwortung für meine Sicherheit kann nur ich übernehmen - kein Staat, kein Verlag, kein Journalist und keine guten Worte. Die Konsequenz ist also, dass die Werbung, so auf die nicht verzichtet werden kann, entweder so eingebunden wird, dass sie ohne JavaScript auskommt oder sie wird schlicht geblockt. Denn mir ist Information zwar äusserst wichtig, aber nicht wichtiger als meine Sicherheit.

Mit freundlichen Grüßen, fukami

nomeata’s mind shares: How to play Rock-Paper-Scissors online?

2013-05-11T10:26:00+02:00

There was an interesting question by ‘Fool’ recently on the StackExchange site for Boardgames: How do you play a game like Rock-Paper-Scissors with friends online? Or any other game where players have to simultaneously submit their moves (e.g. Diplomacy, or Rock-Paper-Scissors-Lizzard-Spock), which, as I just learned, are simultaneous action selection games. While there are websites dedicated to playing specific games, such as webdiplomacy.net, we could not find a generic one that you can use if you, for example, invent your own variants of a game.

So I created one: At you-say-first.nomeata.de you can enter rooms and share the URL with your friends. On the one hand, you have a regular chat room there. But there is also the possibility to enter moves (whatever a move may be to you) and only when all players have done that and marked the move as final, it is shown to everyone. If you want to try it out: There is an integrated, not very fancy Rock-Paper-Scissors-playing bot. Just enter a room, join and say „I want to play!“

Note that this site can be used for more than just for games. Have you ever observed that persons would often want other to express their preference (e.g. where to dine) first to not reveal their own preference, so that they can (or pretend to) change their mind if they would contradict? In such situations simultaneous action selection can be a fairer method.

A technical note: I created this web app using meteor (a JavaScript framework building on node.js and MongoDB that allows for reactive programming), and it is also hosted on meteor.com. I chose Meteor after someone mentioned Firebase to me, which looked very slick, but was not Free Software, so I looked for alternatives. I did not do any cross-browser-testing, and the UI design could be improved, so if you want to help out (or just complain), please use the GitHub code repository and issue tracker.

Hanno's blog: In eigener Sache - Umbau

2013-05-09T13:44:00+02:00

Seit 2004 existiert nun dieses Blog von mir. Zeitweise viel genutzt, zeitweise weniger und in letzter Zeit kaum noch. Ein privates Projekt, ein Ort, an dem ich schreiben konnte was ich wollte.

Zwischenzeitlich hat sich bei mir einiges geändert. Ich schreibe weiterhin viel und gern, aber selten hier. Ich bin inzwischen primär als freier Journalist tätig und meine Texte können unter anderem bei der taz, bei Golem, bei Telepolis und gelegentlich sogar bei Zeit online gelesen werden. Mein Blog entwickelte sich zum unpassenden Relikt, gleichzeitig habe ich das Gefühl, dass ich endlich eine Selbstdarstellungsseite für meine journalistische Arbeit benötige und mein Blog dafür in seiner aktuellen Form denkbar ungeeignet ist.

Deshalb wird jetzt hier umgebaut. Mein Blog soll weiter existieren, zum einen natürlich als Archiv und zum anderen soll es nicht ganz sterben. Es wird immer wieder Anlässe geben, die für einen Blogeintrag besser geeignet sind als für einen journalistischen Text. Und wer weiß, je nach Laune wird es vielleicht auch wieder lebendiger.

Das Blog wird künftig unter blog.hboeck.de beheimatet. Abgesehen von der Startseite werden alle alten Links umgeleitet. Probleme bereiten könnte das für manche Feedreader und Aggregatoren. Alles, was HTTP-Redirects versteht, sollte weiter seine Inhalte finden.

Unter der Hauptdomain hboeck.de soll dann irgendwann ein Überblick über meine journalistische Arbeit zu finden sein. Vorerst gibt's hier auch schon eine notdürftige Übersicht über von mir verfasste Beiträge in anderen Medien.

nomeata’s mind shares: The carbondioxide footprint of Debian's Haskell packages

2013-04-24T11:36:00+02:00

By now, Debian ships quite a lot of Haskell packages (~600). Because of GHC's ABI volatility, whenever we upload a new version of a library, we have to rebuild all libraries that depend on that. In particular, if we upload a new version of the compiler itself, we have to rebuild all Haskell library packages. So we have to rebuild stuff a lot. Luckily, Debian has a decent autobuilding setup so that I just need to tell it what to rebuild, and the rest happens automatically (including figuring out the actual order to build things).

I was curious how much we use the buildd system compared to other packages, and also how long the builders are busy building Haskell packages. All the data is in a postgresql database on buildd.debian.org, so with some python and javascript code, I can visualize this. The graphs show the number of all uploads by autobuilder on the amd64 architecture, with haskell uploads specially marked, and the second graph does the same for the build time. You can select time ranges and get aggregate statistics for that time span.

During the last four days a complete rebuild was happening, due to the upload of GHC 7.6.3. During these 2 days and 18 hours building 537 packages took 48 hours of build time and produced 15kg of CO₂. That is 94% of all uploads and 91% the total build time_{. The numbers are lower for the whole of last year: 52% of uploads, 31% of build time and 57kg of CO₂. (The CO₂ numbers are very rough estimates.)}

Note that amd64 is a bit special, as most packages are uploaded on this architecture by the developers, so no automatic builds are happening. On other architectures have, every upload of a (arch:any) package is built, so the share of Haskell packages will be lower. Unfortunately, at the moment the database does not provide me with a table across all architectures (and I was too lazy to make it configurable yet).

NervengiftLabs: API der Karlsruher Verkehrsbetriebe

2013-03-25T13:01:00+01:00

Dieser Beitrag interessiert wahrscheinlich hauptsächlich die Karlsruher Leser…

Die Karlsruher Verkehrsbetriebe (KVV) stellten vor kurzem ihre für Smartphones optimierte Web-App vor, mit der man u.a. live Abfahrtsdaten für alle Haltestellen bekommen kann.

Aber eigentlich will man ja eine API haben, um selbst mit den Daten zu spielen…

Da das ganze natürlich mit AJAX funktioniert kann man schön mitlauschen, wen man was fragen muss, um selbst an diese Daten zu kommen. Es stellte sich sogar raus, dass mein erster Versuch, nämlich die Kommunikation via Wireshark mitzuschneiden, schon Overkill war, denn es handelt sich um reine GET-Anfragen, der API-Key wird als Parameter übergeben. Steht alles im Quellcode der Seite

Ich hab mich dann gleich mal drangemacht, die API ein bisschen zu dokumentieren und Python-Bindings zu schreiben. Gibt’s beides auf meinem Github.

Wenn jemand Bindings für andere Sprachen oder coole Statistik-Tools baut, darf er mir die gerne verlinken

Wenger Online#Blog: Reise nach Anshan, Liaoning, China

2013-03-23T18:33:42+01:00

Ich war eine Woche geschäftlich in Anshan in der Provinz Liaoning in China. Anshan ist für chinesische Verhältnisse eine kleine Stadt mit *nur* etwas mehr als 3 Millionen Einwohnern. Der nächste international erreichbare Flughafen ist in Shenyang von wo aus es noch etwas mehr als eine Stunde mit dem Auto bis Anshan ist.

Für eine Reise nach China benötigt man ein Visum welches man nicht zu knapp vor der Reise besorgen sollte, die eigentliche Einreise geht dann recht unspektakulär über die Runde, man füllt noch im Flugzeug einen Einreisezettel mit der Hoteladresse aus und wird nach einem kurzen Blick in den Ausweis durch den Zoll gewunken.

Als ich in Anshan angekommen war, fehlten mir und noch drei weiteren Reisenden aus Deutschland das Gepäck. Trotz der sehr hilfsbereiten Flughafenmitarbeiter war es nicht gerade einfach die notwendigen Anträge zur Gepäcksuche auszufüllen, da niemand im ganzen Flughafen mehr als 2 Worte englisch sprechen konnte. Im laufe des Abends wurde das Gepäck irgendwo wiedergefunden und am darauffolgenden Tag direkt in das Hotel geliefert.

Ich übernachtete, wie schon bei früheren Besuchen, im Wu Huan Hotel. Die Eingangshalle strotzt China typisch nur so von Marmor, Gold und Glitzer. Der Rest vom Hotel ist im gleichen Stil gebaut, doch vielen Ecken sieht man deutlich an das seit dem Bau wohl noch nie etwas renoviert wurde.

Ganz oben im 27ten Stock gibt es morgens immer das Frühstück und wenn man Glück hat die aufgehende Sonne über der Stadt. Leider ist es schwierig schöne Bilder von hier oben zu machen, da die Fenster wohl länger nicht mehr geputzt wurden.

Trotz der ganzen Arbeit war es mir möglich an einem Tag die größte Jade Buddha Statue der Welt zu besuchen. Der Tempel liegt direkt am Rande der Stadt neben einem riesigen Park.

Wenger Online#Blog: CNC Sticken II

2013-03-15T17:00:46+01:00

Trauriger Roboter für ein T-Shirt. Vorlage, von Hand reduziert auf wenige Farben und komplizierte Details vereinfacht. Beim ersten Sticken habe ich vergessen zusätzlich dieses Stickfließ unterzulegen und es hat mir ganz viele Löcher in den Stoff gestickt. Leider war das T-Shirt dann nicht mehr zu retten, der zweite Versuch hat dann schon besser geklappt.

Hanno's blog: Questioning copyright treaties

2013-03-05T20:44:00+01:00

Yesterday, I read a news about the green party's proposals for a copyright reform (strictly speaking, there's no copyright in Germany, it's called "Urheberrecht", but I'll stick with the term copyright, because it's commonly understood). One point was that they claimed they don't see any perspectives for a so-called cultural flatrate due to EU law. The basic idea of a cultural flatrate is that it would legalize private filesharing while putting a fee on internet access.

My point is more the reasoning than the issue itself. Because that's a repeating pattern. Whenever someone makes a proposal to change something relevant in copyright or patent law, this is pretty much always the conclusion: It's not possible due to one or another international law or treaty. The discussion ends before anyone can make any real argument why some copyright change might be a good idea or not.

The EU directive that, according to the green party, forbids a cultural flatrate is the EU Copyright Directive from 2001. This directive is itself an implementaiton of the WIPO Copyright Treaty from 1996.

Other treaties that are often relevant are the Berne Convention and the TRIPS Agreement of the WTO from 1994.

What all of those treaties have in common and what I find - in its combination - very troubling:

They've been created at a time where many people affected by it today weren't allowed to vote or even weren't born.
They were created in a time where the Internet as we know it today and the issues related to it simply didn't exist.
It's hard to impossible to change those treaties.
There has never been a wide public discussion about any of those treaties, the terms TRIPS, Berne Convention or WIPO copyright treaty are mostly unknown to the general public.

To put it simply: There's something terribly wrong. In so many ways. As I already said above, this is not about the question whether the cultural flatrate is a good idea. It's about the fact that it's almost impossible to make any proposal for a change in the way copyright works. That can't be good, no matter how you feel about copyright issues in general.

halcy.de v4: There is no Cyberwar

2013-02-19T20:11:00+01:00

Recently, there has been widespread hysteria about the Chinese government, like the governments of the United States of America and Israel and Russia before it, possibly endorsing or supporting people breaking into other peoples computer systems. In the light of the panic being spread by people for whom a general state of fear about foreign people breaking into your computers might be advantageous, it is important to remember one thing:

There is no Cyberwar. Cyberwar is not a thing that is happening anywhere or at any time, nor is it a thing that has ever happened. It is not a thing that is likely to happen in the near future.

Lets break the word “Cyberwar” down into parts. It is made from the word “Cyber”, a prefix used by people who are not competent with computers to mean “Computer things we do not understand”, and “War”, which is generally understood to mean “violent conflict between nations”, or at least “violent, armed conflict”. The kind of conflict where destruction is widespread and people die.

You might have noticed that we haven’t really seen anyone dying from supposed “Cyberwarfare” - at best, there has been economic damage from IP violations, and some breakage of Iranian centrifuges - arguably the most war-like “act of cyberwarfare” to date, and funnily enough perpetrated by the people who are now crying the loudest about it.

That there is no cyberwar does not, by any means, mean that there is no computer crime. There is stealing of industrial secrets, there is mass spamming and scamming, there is all around virus writing and breaking into computer systems by criminal organizations.

Which brings us to the actual, important point: Computer crime is a real, existing, hard to solve problem. Which is exactly why the panic about “Cyberwar” is so harmful - it distracts from the problems we actually have, in lieu of problems that are for the most part made up or actually created by the measures that are supposedly taken to prevent them.

There is no Cyberwar, but if a general and a bunch of politicians on a power trip create a “Cyberwarfare Division”, there suddenly is a whole lot more people writing malware and doing things that destabilize the internet and hurt the network as well as society as a whole. There suddenly is pressure on security professionals to let some malware slide and to build backdoors into their systems, which invariably get abused or introduce new security vulnerabilities. There suddenly are people selling “security consulting” to scared companies, making sure they are protected against a threat that for the most part just doesn’t exist while leaving their systems open to the more everyday, less sexy security problems that cannot be solved by applying quickfixes at 90USD/hr.

It is 2013, computer security is not a thing that is solved or can be solved easily, and the “Cyberwar” hysteria is making it worse. So please: Stop. Stop panicing about Cyberwar. There is no Cyberwar, and the panic about Cyberwar is harmful and in the way of making actual progress towards getting more in control of problems we actually have.

nomeata’s mind shares: Evaluation-State Assertions in Haskell

2013-02-06T09:33:00+01:00

I have just uploaded a new version of ghc-heap-view to Hackage that provides “Evaluation state assertions” in the module GHC.AssertNF.

Imagine you are writing a web application in Haskell that sports a global number-of-visitors counter in an IORef Int. For every request, you call modifyIORef (+1). Eventually, you notice your very popular web site to hog more and more memory. So you browse to the internal page that shows the counter, and you have to wait for a long time until you eventually see the result (or get a stack overflow). The reason: The applications of (+1) were not performed until you looked at the number; instead, a long chain of such computation first filled your heap and then your stack.

So you have learned the hard way that you might want to avoid space leaks, and want calculations to be done during the request that caused them, and want the IORef to always contain fully evaluated data. So you stumble about modifyIORef' in Data.IORef and indeed, this fixes your problem.

Later, you notice that you want to count POST and GET requests separately. You change the type to IORef (Int, Int) and call modifyIORef' (first (+1)) or modifyIORef' (second (+1)). And suddenly, the space leak is back (which you only notice after the next push to the real site, because your local tests never caused enough requests to make it noticeable). So you not only want to fix it, you also want to ensure that it does not break again.

In other words, you want to ensure the policy that values stored in an IORef are always in normal form. You achieve this with the following alternative to modifyIORef':

modifyIORef'Assert :: IORef a -> (a -> a) -> IO ()
modifyIORef'Assert ref f = do
    x <- readIORef ref
    let x' = f x
    x' `seq` return ()
    assertNF x'
    writeIORef ref x'

Using this instead of modifyIORef' will print this warning to standard error output right the first time you call modifyIORef'Assert (first (+1)):

Parameter not in normal form: 2 thunks found:
let x1 = (S# 1,S# 1)
in _bh (_thunk x1 (_bco (S# 1)),_sel x1)

(Otherwise, the program runs as usual.) So obviously, you need to use a strict variant of first (or strict pairs):

first' :: (a -> b) -> (a, c) -> (b, c)
first' f (x,y) = let { x' = f x; r = (x', y) } in x' `seq` r `seq` r

With this, the warning goes away. Whenever you now change the type of the IORef or modify it in a too-lazy-way, you can be sure that you’ll be warned about it, before the space leak itself becomes noticeable.

In the production code, you might want to disable the check. For that, simply put disableAssertNF somewhere in your main function.

Why is this better than just calling deepseq in modifyIORef'Assert? Because this way, the code still creates unwanted thunks that are then evaluated before storing them in the IORef, whereas with assertNF you are told about the thunks and can prevent them from being created in the first place. Also, assertNF does not add a type class constraint.

This is just one example application for assertNF (and its variants assertNFNamed, which includes a name in the warning to better spot the cause, and $assertNFHere, which uses Template Haskell to include the current source code position in the warning), and I hope that there are more. If you happen to make use of it, I’d like to hear your story.

Wenger Online#Blog: CNC-Sticken

2013-02-03T21:32:18+01:00

Zu Weihnachten habe ich mir eine Stickmaschine geschenkt. Eine Brother Innovis 900. Mit einem XY-Tischchen kann diese bis zu 10x10cm, mit einem Trick auch bis zu 10x20cm, große Bereiche besticken. Über einen USB Anschluß auf der Seite kann man eigene Bilder in die Maschine laden.

Der Geburtstagswunsch unseres Sohnes war nun der Anlaß diese Funktion endlich mal genauer unter die Lupe zu nehmen.

Davor kommt aber erst der beschwerliche Weg das gewünschte Bild ins passende Format zu bringen. Da wir beim Sticken nicht 300 mal die Fadenfarbe wechseln wollen ist es wichtig sich auf möglichst wenige Farben zu beschränken. Die meisten Bilder, auch wenn sie auf den ersten Blick so aussehen als ob sie nur aus wenigen Farben bestehen, haben an den Übergängen ganz viele zwischen Farben.

Für dieses Bild (weil es Comicartige schwarze Ränder um jeden Farbbereich hat) war es die beste Methode das Bild zuerst in Scharz-Weiss zu wandeln und dann die Flächen wieder mit dem Floodfill werkzeug zu füllen.

Normale Bilder und Zeichnungen sind als sogenannte Bitmaps gespeichert. Das heisst für jeden Bildpunkt ist gespeichert welche Farbe er hat, aber es gibt keine Information darüber welche Bildpunkte zum Beispiel eine Linie oder Fläche bilden. Damit ein Bild gestickt werden kann muss diese Information zuerst wieder gewonnen werden, das nennt man vektorisieren. Die meisten Stickprogramme haben dazu eine entsprechende Funktion, hier können dann noch Details eingestellt werden. Zum Beispiel wie genau die Vektoren sich an kleine Zipfel annähern sollen und welche Farben gestickt werden sollen.

Da das Motiv auf einen dunklen Stoff gestickt werden soll, habe ich die äußeren schwarzen Ränder teilweise entfernt, besonders zwischen den Haarsträhnen. Bei einem Test war der schwarze Rand da viel zu dominant. An vielen Stellen können gleichfarbige Flächen allein durch eine Änderung der Stickrichtung sichtbar gemacht werden.

Das Resultat sieht ganz gut gelungen aus, nur die gefüllten Flächen sind leider etwas zu klein geworden, so daß zwischen Umrandung und Rand etwas der unbestickte Stoff zu sehen ist. Das kommt daher das der Orginalstoff weicher ist als der den ich für die Tests verwendet habe. In der Sticksoftware gäbe dafür einen Korrektionsparamater, der die Stiche dann ein paar Prozente größer macht.

Wenger Online#Blog: Näharbeiten

2013-02-03T20:26:25+01:00

unsere Kleinen brauchten neue Mützen für Schnee, gewünscht war was “Drachiges”. Durch den verlängerten Halsteil bleibt es auch bei eisigem Wind schön warm an den Ohren. Wenn gewünsch kann ich gerne ein Schnittmuster hochladen. Passende Handschuhe mit Drachenzacken gabs auch noch dazu.

nomeata’s mind shares: Going to FOSDEM after all

2013-01-31T20:03:00+01:00

Earlier this week, things were looking different, and I did have to cancel a Haskell talk in Freiburg on Monday due to illness. But I’m back on track and will be travelling to Brussels tomorrow.

I’ll be holding a talk on how we package Haskell in Debian, on Suday at 15:30. I hope it will be useful to Debian users (who will better understand the packaging), other Debian Developers (who’ll learn about the peculiarities of Haskell and the implications for the Debian infrastructure), other distro’s maintainers (to compare best practices) and Haskell developers (to learn about the needs and worries of downstream packages). The talk will be based on my DebConf 11 talk on the same topic. I’m also happy to answer questions about Haskell, Haskell in Debian or any other topic that you want to hear my opinion about, so just talk to me during FOSDEM.

In related news: GHC 7.6.2 was uploaded to Debian experimental the day it was released; the rebuilding of all libraries is still in progress (~370 of ~570 done).

Hanno's blog: Explain hard stuff with the 1000 most common words #UPGOERFIVE

2013-01-26T10:51:00+01:00

Based on the XKCD comic "Up Goer Five", someone made a nice little tool: An online text editor that lets you only use the 1000 most common words in English. And ask you to explain a hard idea with it.

Nice idea. I gave it a try. The most obvious example to use was my diploma thesis (on RSA-PSS and provable security), where I always had a hard time to explain to anyone what it was all about.

Well, obviously math, proof, algorithm, encryption etc. all are forbidden, but I had a hard time with the fact that even words like "message" (or anything equivalent) don't seem to be in the top 1000.

Here we go:

When you talk to a friend, she or he knows you are the person in question. But when you do this a friend far away through computers, you can not be sure.
That's why computers have ways to let you know if the person you are talking to is really the right person.

The ways we use today have one problem: We are not sure that they work. It may be that a bad person knows a way to be able to tell you that he is in fact your friend. We do not think that there are such ways for bad persons, but we are not completely sure.

This is why some people try to find ways that are better. Where we can be sure that no bad person is able to tell you that he is your friend. With the known ways today this is not completely possible. But it is possible in parts.

I have looked at those better ways. And I have worked on bringing these better ways to your computer.

So - do you now have an idea what I was taking about?

I found this nice tool through Ben Goldacre, who tried to explain randomized trials, blinding, systematic review and publication bias - go there and read it. Knowing what publication bias and systematic reviews are is much more important for you than knowing what RSA-PSS is. You can leave cryptography to the experts, but you should care about your health. And for the record, I recently tried myself to explain publication bias (german only).

Hanno's blog: How to configure your HTTPS server

2013-01-19T10:45:00+01:00

Yesterday, we had a meeting at CAcert Berlin where I had a little talk about how to almost-perfectly configure your HTTPS server. Motivation for that was the very nice Qualys SSL Server test, which can remote-check your SSL configuration and tell you a bunch of things about it.

While playing with that, I created a test setup which passes with 100 points in the Qualys test. However, you will hardly be able to access that page, which is mainly due to it's exclusive support for TLS 1.2. All major browsers fail. Someone from the audience told me that the iPhone browser was successfully able to access the page. To safe the reputation of free software, someone else found out that the Midori browser is also capable of accessing it. I've described what I did there on the page itself and you may also read it here via http.

Here are my slides "SSL, X.509, HTTPS - How to configure your HTTPS server" as ODP, as PDF and on Slideshare.

And some links mentioned in the slides:
Check SSL and SSH weak keys due to broken random numbers
EFF SSL Observatory
Sovereign Keys proect

Some great talks on the mentioned topics by others:
Facthacks Talk 29c3
MD5 considered harmful today - Creating a rogue CA Certificate
Is the SSLiverse a safe place?

Update: As people seem to find these browser issue interesting: It's been pointed out that the iPad Browser also works. Opera with TLS 1.2 enabled seems to work for some people, but not for me (maybe Windows-only). luakit and epiphany also work, but they don't check certificates at all, so that kind of doesn't count.

nomeata’s mind shares: “Haskell Bytes” again

2013-01-10T22:24:00+01:00

Janis Voigtländer has invited me again to give a lecture in his Advanced Functional Programming course at the University of Bonn. Like last time, when I talked about performance analysis in Haskell, I chose a topic that is more on implementationishy side to contrast the theoretic content of the rest of the course. I recycled my talk on the memory representation of GHC that I have held at last year’s Meta Main-Rhein Chaos Days. As usual I provide a transcript of the talk as intended (not as held). It is slightly revised over the old version and I have added a section on unboxed values in constructors, which I have nevertheless skipped today.

nomeata’s mind shares: Brief an den KVV

2013-01-05T19:55:00+01:00

Schlagzeile auf kvv.de: KVV führt probeweise ganztägigen kontrollierten Busverkehr in Karlsruhe ein. Das gefällt mir nicht, daher hab ich folgenden „Brief“ dem KVV über deren Kontakt-Formular zukommen lassen. Vielleicht hilft es ja was.

Sehr geehrter KVV,
vor meiner Zeit in Karlsruhe lebte ich im Bereich des VVS; seit 8 Jahren jetzt in Karlsruhe. Ich habe mich, gerade im Vergleich, stets darüber gefreut, in Karsruhe auch hinten in den Bus einsteigen zu dürfen. Aus mehreren Gründen macht es mir die Teilnahme am ÖPNV attraktiver:

Es geht schneller. Gerade wenn man sich um Anschlüsse sorgen machen muss schont es die Nerven doch sehr wenn sich nicht an jeder Haltestelle alle neuen Fahrgäste erst eine Schlange bilden und einzeln am Fahrer vorbeitrotten, nachdem sie ihre Karte hervorgeholt haben.

Ich muss meine Dauerkarte nicht dauernd griffbereit haben. Es genügt, sie bei Bedarf, also bei einer Kontrolle, herauszukramen.

Ich fühle mich wohler wenn mir als Fahrgast ein Grundvertrauen entgegen gebracht wird, nämlich dass erst einmal davon ausgegangen wird dass ich ein ehrlicher Fahrgast bin. Die stichprobenhaften Kontrollen sind mir dann natürlich willkommen. Wird dagegen bei jeder Busfahrt erstmal angenommen, dass ich ein Schwarzfahrer bin, bis ich dem kritisch-prüfenden Blick des Fahrers das Gegenteil bewiesen habe, kann davon nicht mehr die Rede sein.

Ich hoffe daher sehr dass der „kontrollierte Fronteinstieg“ im KVV nur ein kurzer Test bleibt und ab April wieder eingestellt wird.

Vielen Dank,
Joachim Breitner

The Turkey Curse: Entschuldigt bitte, Flauscheria!

2013-01-03T11:58:00+01:00

An Tag 3 des 29C3 bin ich ausgeflippt und habe Euch heftig angeschrien. Anlass für diesen Ausbruch war, dass ich erstmals den Text auf den roten Creeper Cards gelesen hatte (die ich als Idee bekanntermaßen schon vorher schwierig fand) - und das leider direkt nach dem Aufstehen, mit wenig Schlaf, ohne Kaffee oder Frühstück, nach irrsinnig arbeitsreichen und weihnachtsfreien Wochen, stressigen Tagen und einigen Geschichten, die sich auf der Veranstaltung hochgeschaukelt haben. Die Androhung von Gewalt auf diesen Karten hat mich in dem Moment unverhältnismäßig wütend gemacht und die Situation ist heftig eskaliert. Auf die genauen Hintergründe und die Vorgeschichte gehe ich vielleicht noch an gesonderter Stelle ein.

Aber vollkommen egal, was da im Vorfeld abgelaufen sein mag und wo die sachlichen und emotionalen Hintergründe meines Verhaltens lagen: Ich habe mich sowohl im Ton als auch in der Lautstärke und Form erheblich vergriffen. Das geht so nicht, und ich möchte bei Euch in aller Form um Entschuldigung bitten. Ich bereue diesen Ausbruch sehr, es tut mir wirklich leid.

fukami

nomeata’s mind shares: GHCi integration for GHC.HeapView

2012-12-20T13:09:00+01:00

Given the very positive feedback for Dennis Felsing’s tool ghc-vis, which visualizes the heap representation of a Haskell value, including all the gory details such as thunks, values retained by thunks indirections, sharing etc, I saw the need to provide this information also directly in GHCi, without having to load a graphics library or opening extra libraries. So I added the required features (traversing the heap and pretty-printing the results) to my ghc-heap-view package and, also following ghc-vis’s lead, added a ghci file that, when loaded, provides you with a :printHeap command. Here you can see it in action:

A plain value

Prelude> :script /home/jojo/.cabal/share/ghc-heap-view-0.4.0.0/ghci
Prelude> let x = [1..10]
Prelude> x
[1,2,3,4,5,6,7,8,9,10]
Prelude> :printHeap x
_bh [S# 1,S# 2,S# 3,S# 4,S# 5,S# 6,S# 7,S# 8,S# 9,S# 10]

Note that the tools shows us that the list is a list of S# constructors, and also that it is still hidden behind a blackhole. After running System.Mem.performGC, this disappears.

A thunk

Prelude> let x = Just (1 + 1)
Prelude> :printHeap x
Just _bco
Prelude> x
Just 2
Prelude> System.Mem.performGC
Prelude> :printHeap x
Just (S# 2)

Here, we see how the calculation was deferred until forced by showing the value of x. The name _bco stands for a bytecode object as used by the interpreter. Getting useful information from them is a bit harder than for compiled thunks, so for more accurate results put the code in a Haskell source file, compile it and use the GHC.HeapView API to print the interesting parts.

A partial application

Prelude> let a = "hi"
Prelude> let partial = (a ++)
Prelude> partial ""
"hi"
Prelude> System.Mem.performGC
Prelude> let x = (a, partial)
Prelude> :printHeap x
let x1 = "hi"
in (x1,_fun x1)

The information which function is called there (++ in this case) is lost at runtime, but we still see that the second element of the tuple is a partial application of some value to the first element.

A cyclic structure

Prelude> let s = "ho"
Prelude> let x = cycle s
Prelude> length (take 100 (show x))
100
Prelude> System.Mem.performGC
Prelude> :printHeap x
let x0 = C# 'h' : C# 'o' : x0
in x0
Prelude> let y = map Data.Char.toUpper x
Prelude> length (take 100 (show y))
100
Prelude> :printHeap y
C# 'H' : C# 'O' : C# 'H' : C# 'O' : C# 'H' : C# 'O' : C# 'H' : C# 'O' : C# 'H' : C# 'O' : _bh (C# 'H' : C# 'O' : C# 'H' : C# 'O' : C# 'H' : C# 'O' : C# 'H' : C# 'O' : ... : ...)

The cyclic, tying-the-knot structure of cycle is very visible. But can also see how easily it is broken, in this case by mapping a function over the list.

Mutual recursion

Prelude> let {x = 'H' : y ; y = 'o' : x }
Prelude> length (show (take 10 x, take 10 y)) `seq` return ()
Prelude> System.Mem.performGC
Prelude> :printHeap (x,y)
let x1 = C# 'H' : x3
    x3 = C# 'o' : x1
in (x1,x3)

If you want to look at multiple variables at once, just pass a tuple to printHeap

In the hope that this will be a useful tool for you, I uploaded version 0.4.0.0 of ghc-heap-view to hackage.

nomeata’s mind shares: Circle Packing

2012-12-16T18:04:00+01:00

For an upcoming introductory Haskell talk of mine (next Tuesday in Karlsruhe – please come and join if you will) I was looking into data visualization as a example application. With libraries like gloss, getting some nice vector graphics up and running within one talk is quite possible.

For some reason, I want to arrange multiple circles of varying size so that they do not overlap and use as little space as possible. My first approach was to use general purpose optimizers such as cmaes, Numeric.GSL.Minimization from the hmatrix package and force-layout. I especially liked the interface of cmaes, which is able to minimize a function of, say, type [(String, Double, Double)] -> Double by automatically finding the values of type Double in the input, as described by Takayuki Muranushi. That would have looked great in the talk. Unfortunately, none of these libraries gave sufficient good results in a reasonable amount of time for this problem.

I then reviewed some of the academic literature on the circle packing problem and there were some algorithms proposed, but no simple one and none of the papers had a concise pseudo-code description that I could transfer to Haskell.

So eventually I set out to implement a relatively dump and slow greedy algorithm myself: I place one circle after another, starting with the largest, and among the valid positions where a new circle touches two already placed circles, I choose the positions closest to the center of mass. The result, available in the circle-packing package, looks surprisingly well, here visualized using the diagrams library (See the documentation of Optimisation.CirclePacking for the code used to generate that image):

Now showing just this image is not a very good way to demonstrate my code. A few years ago, I might have created a CGI script that would dynamically generate images based on your input. But not in 2012: Since my code is pure Haskell without fancy features like type classes, I can use the fay compiler to generate JavaScript code from it. Add a little Haskell code to interact with the HTML5 canvas and now you can interactively try out circle-packing in your browser.

Oh, and while I am talking about neat tricks: You can put vector graphics in your haddock documentation, as I have done for Optimisation.CirclePacking, using the syntax <<<data:image/svg+xml;base64,PD94bWwgdmV...c3ZnPg==>>.

nomeata’s mind shares: Plätzchentetris

2012-12-14T18:07:00+01:00

What happens if the same person (in this case, my girlfriend) is both a bit geeky and likes to bake? She has ideas leading to this:

And what is the obvious thing to do with such biscuit (or are they cookies?). Play tetris:

Your browser does not support the video tag. Try youtube instead!

(Also on YouTube if your browser does not play the video above.)

Oh, and to refute common stereotypes about me: The baking was done by me, but she helped me glazing the biscuits.

nomeata’s mind shares: Calculating the internal rate of return with hledger

2012-12-07T22:22:00+01:00

For more than ten years now, I am a regular and happy user of GnuCash, the free accountancy program. Especially the integrated online banking support for HBCI that allows me not only to fetch my transactions, but also to transfer money using a cryptographic makes it a great tool. Nevertheless, it has shortcomings, especially when it comes to reports. And for some reason I never felt the urge to hack on that C/Guile code (although I recently hacked a bit on the UI).

Joey Hess’ blog post about Simon Michael’s hledger made me look at that command line based accountancy tool. It certainly won’t replace Gnucash for me, but luckily ledger, of which hledger is a re-implementation, can read GnuCash’s file format and convert it to a ledger file that hledger can read as well. So now I can do analysis on my financial data in Haskell – what would you want more?

One report that I was missing was the internal rate of investment of some account. This is the annual rate of a hypothetical fixed interest-bearing savings account that would, given the same deposits and payouts, result in the same final value. I now implemented this as the hledger-irr command and – as you would expect – you can find it on hackage. See the package description for documentation and example output.

It is very fresh, hardly tested code, so don’t base important decisions on it yet. Also, it needs work to work correctly with multiple currencies or things with varying prices, and I am not yet sure what to do there.

Update: Simon asked me to elaborate the difference to hledger-interest by Peter Simons (on which my code was initial based, but eventually I rewrote everything but the option parsing code). The difference is that hledger-interest answers the question „I have this investment with this yearly interest rate (which may even change), how large are the interest payments going to be.“ I imagine a usecase is that you have borrowed some money to a friend at a certain (surely amicable) rate and need to figure out what he owes you, even when you gave him the money mid year and he payed you some back shortly after easter. hledger-irr serves a different purpose: Here you already know your investment payments, gains and losses and you want to have a number describing “how good” your investment was. One usecase might be that, at the end of a live of paying into a pension fund, you ask yourself: “Given all the feeds and commissions, was this a good idea or should I just have invested the money myself?” Then the internal rate of investment tells you how lucrative an alternative fixed-rate investment would have had to been to match your pension fund investment. (Or course this is not the only aspect that you should look at when comparing investments, as it totally ignores risk and possible insurance elements of the investment.)