News items for tag rant - Koos van den Hout

Weer een onhandigheid in de blijkbaar vernieuwde Eneco website : Als je op 'mijn eneco' klikt komt er een login scherm overheen maar zodra je muis weer daar vanaf beweegt (in mijn geval omdat ik de juiste gegevens in de password store ging zoeken) is het login scherm gelijk weer weg. De workaround is om naar de oudere versie van de mijn eneco inlogpagina te gaan.
En gelijk ergernisje 2: ook als ik ingelogd ben in de mijn eneco omgeving moet ik op het formulier om bovenstaand te melden alsnog al mijn gegevens invullen. Dus nu heb ik 2 problemen met de website gemeld.

Nedap stemcomputers zijn niet dood, ze ruiken alleen maar heel raar. Bij de gemeenteraadsverkiezingen morgen weer een oprisping: Toch elektronisch stemmen bij verkiezingen - nu.nl waarbij dus stemcomputers een 'schaduwverkiezing' draaien, men kan na het echte kiezen met het rode potlood ook nog stemmen via een stemcomputer die werkt met het bonnetjessysteem (stem wordt gelijk uitgedraaid op een bonnetje en in een stembus gedeponeerd). Het aantal 'echte' stemmen met potlood en het aantal stemmen op de stemcomputers hoeven dus niet overeen te komen, maar zou Nedap het aandurven dat een accountant de uitslagen van de computers en die van de computerbonnetjes natelt?

No license to rdesktop for me: I recently got a really weird error from rdesktop:

koos@leek:~$ rdesktop -M -g 1200x900 -d something terminalserver
Autoselected keyboard map en-us
disconnect: No valid license available.

Some searching found me: License to rdesktop. Indeed, setting a different hostname from my own hostname helps:

koos@leek:~$ rdesktop -M -g 1200x900 -d something -n leeks terminalserver
Autoselected keyboard map en-us
/users/koos/.rdesktop/licence.leeks.new: Permission denied
WARNING: Remote desktop does not support colour depth 24; falling back to 16

The license file error has to do with another workaround. But maybe the running out of licenses for 'leek' is because I never give licenses back. Why is all this software very busy with making sure money is made for its maker and not busy with helping the user.

The EFF has written an article Music Journalism is the New Piracy. The music industry seems to have the intention of thoroughly destroying itself, and that destruction will be celebrated by music fans worldwide. Found via Is There Any Way To Be A Music Blogger Without Risking Takedown? at Techdirt.
Or as Boingboing put it: Music industry to musicbloggers: there's no point in obeying the law.

Na een lezing van Arnoud Engelfriet op de recente surfnet cert (computer emergency response teams) / ibo (informatie beveiligers in het onderwijs) conferentie ben ik eens door Internetrecht aan het bladeren en hij merkt iets op waar ik me ook vreselijk aan erger: Houd eens op met dat “Bron: Youtube” of “Bron: Flickr.com”!. Het heeft dus ten eerste het aspect dat beide sites het platform zijn en dat de originele auteur prima te vinden is (mijn ergernis) maar ook dat de licentie het niet altijd zomaar toestaat (afhankelijk van de eventuele nieuwswaarde van filmpje / foto).
En prompt zie ik een voorbeeld hoe het wel moet: hln.be geeft bij de eerste foto's van het treinongeluk in België keurig aan: twitpic.com user xxxx. Alleen heb ik het toen niet bewaard en zijn de foto's nu blijkbaar wel vervangen door persfoto's.

Sometimes even I use that other 'operating system' which in this particular case had no acrobat pdf reader. So I went to find it.. and it is a 45 meg (!!!) download which installs its own download-manager in Firefox. This download manager advertises for more downloads from Adobe and related companies. All this while Firefox has a perfect download manager of its own and it is all the equivalent of wget $url. To put it mildly: whisky tango foxtrot.

Het winterweer houdt nog steeds strak vol, en dus kijk ik naar mijn vervoersmogelijkheden. Met de gladheid gebruik ik zowiezo maar de rechtopfiets en niet de ligfiets, rechtop voel ik me dan toch iets veiliger. Ik vroeg me eerst af waar alle meldingen over gladheid op fietspaden in Utrecht vandaan kwamen totdat ik van de week naar iets anders wilde fietsen dan naar mijn werk in de Uithof. In de gemeente Utrecht worden alleen de fietspaden goed schoongehouden. Op zich een prima actie. Maar, er zijn daarnaast nog veel meer fietsroutes waarlangs zich dagelijks grote aantallen fietsers voortbewegen. Als die fietsroute toevallig een achteraf straat is waar geen doorgaand autoverkeer hoort te zijn dan zit deze ook buiten de routes waar schoongemaakt zal worden. Een erg duidelijk voorbeeld is te zien rond het Salvador Allendeplein in Utrecht: de fietspaden daar, onder andere langs de Kardinaal de Jongweg zijn prima geveegd. Maar de Troelstralaan, wat voor veel fietsers de route is naar de binnenstad is een ijsbaan.
Ik had graag een kaartje uit openstreetmap toegevoegd maar daar ontbreken nogal wat fietspaden in dit gebied. Projectje voor wanneer het beter weer is.

Vanmorgen via het centrum met de bus, met de ov-chipkaart. Behalve het privacy aspect is het namenlijk verder een handig systeem, al zouden sommige dingen handiger kunnen voor de reiziger als een en ander vanuit het perspectief van de reiziger was ontworpen.
Maar op een bepaald moment vielen de ovchip kaartlezers in de bus uit. De chauffeur was naast het rijden bezig met een touchscreen waar een status op rood stond. Blijkbaar is er toch communicatie met de buitenwereld nodig voor werkende ovchip kaartlezers. Uit de originele verhalen begreep ik dat bussen genoeg hadden aan een gps ontvanger. Opvallend is ook dat de automatische halte-aankondigingen van de bus het toen niet meer deed. Toen kon ik dus ook niet meer uitchecken bij het uitstappen, of de kaartlezer van een andere gvu bus gebruiken om uit te checken, want ik zag overal rode ledjes. Bij een volgende busrit in een bus waar de ovchip automaat niet werkte zwaaide ik dus maar even met de ovchip kaart naar de chauffeur die me zo doorzwaaide.
Maar nu heb ik dus een uitcheck actie gemist. Kijken of de restitutie actie daar ook voor werkt.
Update 2010-01-13: Restitutie geprobeerd: volgens de ov chipkaart restitutieformulieren (afgrijselijke deeplink binnen een framesite) moet ik een bonnetje uitprinten met de laatste 10 transacties:

Let op: stuur uitdraai mee van laatste tien transacties. U kunt een overzicht van uw laatste tien transacties uitdraaien bij de oplaad- en verkoopautomaten op metrostations en bij Verkoop- en Informatiepunten.

Alleen: waar doe je dat. Op de ov-chipkaart adresvinder kan ik geen vinkje aanzetten 'transactie overzicht uitdraaien'. Die in de Uithof bij de bibliotheek kan het niet, de automaat bij de GVU klantenservice in het centrum kan het ook niet, dan maar in de rij voor het loket van de GVU klantenservice. Waar ze een stapje verder gingen: ze konden gelijk de mislukte transactie repareren, waardoor ik het hele formulier niet meer nodig had.

The year 2010 seems to be an unfathomable far future, I just found another Y2.01K problem. The zonecheck tool gives a warning which reads '2010 is not a valid year':

w> The format of the serial number is not YYYYMMDDnn
 | Ref: RFC1912 (p.3)
 |   The recommended syntax is YYYYMMDDnn (YYYY=year, MM=month, DD=day,
 | nn=revision number).
 `----- -- -- - -  -
 :   The serial 2010010502 doesn't seem to be in the YYYYMMDDnn format.
 `..... .. .. . .  .

And the code indeed shows:

    # DESC: recommanded format for serial is YYYYMMDDnn
    def chk_soa_serial_fmt_YYYYMMDDnn(ns, ip)
        serial = soa(ip).serial
        return true if (serial > 1999000000) && (serial < 2010000000)
        { 'serial' => serial }
    end

The far future is happening today.
Filed as Ubuntu bug #503501.

Nieuws maken kan ook prima in Nederland. Vanmorgen in het ontbijtnieuws en ook in de Volkskrant: 'Drankmerken redden imago met voorlichting’ met:

Producenten van alcoholische dranken die hameren op het verantwoord gebruik van alcohol, doen dat alleen om hun eigen imago op te vijzelen.
Dat stelt STAP, het Nederlands instituut voor alcoholbeleid

Nee, STAP is gewoon de "Stichting Alcohol Preventie". En dan is het ineens een stuk duidelijker waar deze mening vandaan komt. Een moderne uitvoering van de blauwe knoop dus. Maar als je jezelf een beetje neutraal benoemd als 'instituut voor alcoholbeleid' en mooie rapporten schrijft dan lijk je ineens geloofwaardiger en nemen het ANP en wat kranten je zwaar bevooroordeelde rapport over. Uit de categorie "wij van wc-eend adviseren wc-eend".

I like my SSL verification tools paranoid, and it seems openssl s_client -verify isn't paranoid enough. The man page reports:

BUGS

       The -verify option should really exit if the server verification
       fails.

I'd like added "the hostname in the certificate is not verified". I ran a little test server to test for the right way to configure the SSL certificates in openldap server and noticed I got the verification to work even when I was connecting to the wrong name.

Vanmorgen weer een compleet overbodige fietsers afstappen gezien. Wanneer komt er eens een bordje automobilisten uitstappen en duwen. Bijvoorbeeld op de A2N2 bij Eindhoven.

Na de verhuizing van HCC!net mail (met diverse mailtjes aangekondigd) blijf ik nu zien uit fetchmail:

fetchmail: Server CommonName mismatch: localhost.localdomain != pop.hccnet.nl
fetchmail: Server certificate verification error: self signed certificate

En daar is geen uitleg over in de Veel gestelde vragen over HCC!net mail. Workaround: sslproto ssl23 in de regel voor pop.hccnet.nl zodat er geen TLS gebruikt wordt (ontleend aan How can I tell fetchmail not to use TLS if the server advertises it? Why does fetchmail use SSL even though not configured? - The Fetchmail FAQ). Beter zou natuurlijk zijn als pop.hccnet.nl gewoon een echt certificaat zou hebben.
Opmerkelijk is trouwens de sterk ontbrekende optie om HCC!net support te bereiken via e-mail op de contact pagina. Ik ga geen 60 cent per minuut betalen om ze uit te leggen dat ze het stuk gemaakt hebben.

One mailing list hoster, ivillage.com, is still sending me loads of the unwanted mailing list spam and making it quite hard to get rid of it. They have 49 mailing lists, the retaliating spammer signed me up to about 41 of them, and to get rid of them I have to uncheck every one of them to unsubscribe. The 'support' link on the site let me fill in a form which got an autoreply pointing me to the unsubscribe form on the site. So more attempts to get through to them that they need to verify the addresses they get via the site and to get rid of all of their mail in one go. Reporting each and every one of their mails via spamcop has not made much of a difference yet. The acceptable use policy of their provider xo.com prohibits sending mail like this:

A communication may be unsolicited if: (1) recipients' email addresses were not obtained through a personal or customer relationship between recipient and sender, (2) recipients did not affirmatively consent to receive communications from sender, or (3) recipients have opted out of receiving communications from sender when given notice of the opportunity to do so.

I never confirmed receiving their mail, so they break rule 2.

Blijkbaar is 'verdacht zijn van het getuige geweest kunnen zijn' al voldoende om afgeluisterd te worden door justitie: Gegevens anonieme beller tiplijn op straat.

Haar toestel werd op het moment dat ze naar de tiplijn belde afgeluisterd, omdat het Openbaar Ministerie haar zag als belangrijke getuige van de steekpartij.

Ik vraag me af waar we gegaan zijn van 'verdacht van een zwaar genoeg misdrijf' als reden om inbreuken op de privacy te plegen tot het excuus 'verdacht van getuige geweest te zijn'.

Het blijft heel moeilijk, omgaan met e-mail voor bedrijven. Ik had bij Eneco aangegeven wel via iDeal te willen betalen (vanwege de acceptgirokosten, en ik weiger automatische incasso categorisch tot dat een keer veiliger gaat worden).

Vandaag zie ik een mailtje wat misschien van Eneco is:

Subject: Uw nieuwe Eneco nota staat online                                      

U ontvangt deze email omdat u heeft gekozen voor de betaalwijze online betalen. 
                                                                                
Uw nieuwe Eneco nota staat online

Geachte mevrouw, heer,

Er staat een nieuwe nota voor u klaar op Mijn Eneco. U vindt deze nota          
bovenaan in het notaoverzicht. Door op de nota te klikken, krijgt u             
uitgebreide informatie over deze nota. U kunt de nota direct betalen            
door op de iDEAL-button achter de nota te klikken.

Direct mijn nota betalen
http://public.tripolis.com/r/9VZEywtA1Zi[...]

Geen idee wat tripolis.com is, maar ik ga niet zomaar op een 3e partij link klikken voor een betaling. Mensen proberen naar een hele andere site te sturen en dan geld te laten betalen heet 'phishing'.

Ook de headers van het mailtje geven geen vertrouwen:

Received: by outbound1.tripolis.com (PowerMTA(TM) v3.5r13) id hm7fqm0j2qks for  
        <xxxxx@yyyyyyyyyyyyy>; Thu, 17 Sep 2009 09:05:09 +0200 
        (envelope-from )                          

Geen Eneco server. Geen verwijzing naar een Eneco site. De 'echte' Eneco site gebruikt https met een EV certificaat.

Met wat zoeken in de 'mijn eneco' omgeving ontdek ik wel de openstaande betalingen. Ik verwachtte dat na het inloggen gelijk een 'u heeft een betaling openstaan' melding zichtbaar zou zijn, maar ik moest even zoeken.

Direct maar een melding achtergelaten op de Eneco site:

Ik heb aangegeven Eneco via iDeal te willen betalen, maar nu ontvang ik een mailtje wat pretendeert van Eneco te zijn voor de betaling, maar de link 'Direct mijn nota betalen' wijst naar een 3e partij - tripolis.com - waar ik niets mee te maken heb en die geen https met (EV) certificaat gebruiken. Ook blijkt uit de headers dat de mail niet afkomstig is van servers van Eneco. Elke phisher kan dit soort e-mails namaken en een mooie eigen fake-betaal site bouwen.

Gelukkig kan ik - na het nodige zoeken - ook in de wel-beveiligde omgeving van mijn eneco een verwijzing naar de betaling vinden, dus ik ben in staat om de rekening te betalen zonder de verdachte link te gebruiken.

Ik vraag Eneco om zo snel mogelijk de teksten in de e-mail berichten aan te passen zodat elke schijn van misleiding vermeden wordt en klanten uit te nodigen naar de eneco website te gaan om daar binnen de beveiligde omgeving de betaal-verwijzing te kunnen vinden. Hiervoor zou het ook handig zijn als de url https://mijn.eneco.nl/ werkt, mijn eerste gok van de 'mijn eneco' website.

Anders ben ik genoodzaakt weer terug te schakelen naar betaling per acceptgiro EN bezwaar te maken tegen eventuele acceptgiro-kosten, zie http://blog.iusmentis.com/2009/08/31/kosten-bij-acceptgiro-onredelijk-bezwarend/ .

Ik ben benieuwd naar de reactie.

Update 2009-09-17: Even opgezocht: tripols.com noemt zichzelf E-mail marketing software & delivery. Een van hun 'solutions' is dat ze zich specialiseren in 'deliverability' van business e-mails ondanks spam filters. Ruikt als een spammer, dus.

Het zou veel meer helpen als Eneco gewoon zelf deze e-mail berichten zou verzenden, zonder derde partij tracking link en met een geldige en verifieerbare digitale handtekening middels PGP of S/MIME.

Update 2009-10-06: Nog geen reactie van Eneco behalve de bevestiging van mijn bericht. Ik heb maar eens een reminder gestuurd.

Update 2009-10-08: Antwoord: ze begrijpen de verwarring met het gebruik van het domein tripolis.com en gaan er binnen Eneco naarkijken of het beter kan.

Bas Dekker kan naast heel mooi fotograferen ook heel goed schrijven over fietsen. In het snelfietspad kom ik een aantal beleidsvoorstellen tegen waar ik het riant mee eens ben. Een opmerking onderaan springt er voor mij uit:

Eerst maar eens al die levensgevaarlijk verzakte tegelfietspaden een beetje oplappen met dat geld. En een degelijke cursus uitwerken die uitgelubberde wegbeheerders leert dat je met een fiets harder kunt dan 15 kilometer per uur waaruit volgt dat hoeken van negentig graden in een fietspad op zijn zachtst gezegd een beetje hufterig zijn.

Ik ben helemaal voor! Zeker in iets wat een 'doorgaand fietspad' is is de zoveelste 90-graden hoek irritant. In 80-kilometer wegen zitten ze ook niet zomaar zonder waarschuwing.

Not too many years ago I only used floppies for starting a system installation and in those cases it was always going through the box with floppies in the hopes of finding one that would successfully format, get the data written and keep it there long enough to boot the target system and get the installation running.

This evening I wanted to do a 'quick ubuntu install' on a harddisk in the server we use for demos of the hcc!pcgg netwerkgroep.

It's now finally installing using the third cd-rom drive. The one in the system did not even want to boot from the ubuntu installation cd, the second one worked ok and then moved and bumped into something while in use and started giving read failures on the same place on the cd while the cd verified fine in another system. The third one I found required a scsi controller, but the Adaptec 2940uw I had around is new enough to offer the option 'bootable cd', is now at least getting through the ubuntu cd-rom self test... and the installation worked. Sheesh. Maybe a pxeboot setup at home is a good idea, with at least a pxeboot version of the PLD rescueCD. But that would need a default do-nothing boot option because at least one client system insists on pxebooting even when it is disabled in the setup.

Als je een aanbieding als World's Smallest Portable DVB-T Digital TV (2.4 Inch) ziet vraag je je af waarom KPN mobiele tv of Callmax / Mobiele TV Nederland uberhaupt nog zo moeilijk doen met een apart 'mobiel TV' aanbod via andere technische standaarden (KPN mobiel dvb-h, callmax en mobiele tv t-dmb). Mobiele TV is door internationale aanbieders van apparatuur allang gedefinieerd als kleine DVB-T ontvangers die FTA DVB-T kanalen ontvangen. Nu nog deze wijsheid bij de Nederlandse contentaanbieders en bij de frequentieverdelers.

So, who is this nobody user anyway? Porting account-management scripts from Centos linux to ubuntu made strange problems show. A short check found interesting differences. After asking around on irc and trying some things I found quite a choice:
Centos linux:

nobody:x:99:99:Nobody:/:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin

Ubuntu linux:

nobody:x:65534:65534:nobody:/nonexistent:/bin/sh

FreeBSD 6.1:

nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin

Solaris:

nobody:x:60001:60001:Nobody:/:

Interesting is that creating a file as root on a solaris nfs client will create it as 65534:0. Data Ontap:

pw_name = nobody
pw_passwd = 
pw_uid = 65535, pw_gid = 65535