WebGang/CityGang

CCC

35C3
27. bis 30. Dezember 2018
Leipzig, Messe

5 zalen streaming? Maak je keuze op hun agenda in FRAP.

FRAP

FRAP: conference management systeem.
Ook de CCC gebruikt dit systeem, zij noemen het hun fahrplan:

https://fahrplan.events.ccc.de

Toekomst uit de geschiedenis
We hoorden ook een stukje van https://www.youtube.com/watch?v=M5PgQS3ZBWA, met experimentele muziek in de achter/voorgrond (van..?)

Schutting
En we lezen voor uit de broncode van een stukje JDK, die volgens een maandag-rapport teveel schuttingtaal zou bevatten…
Don' fuck with it!

Asus verandert

Asus verandert van richting, en daar hoort een verandering van CEO bij. De oude, Jerry Shen is vorige donderdag afgetreden. Hij was de man die de Eee pc lanceerde, het kleine laptopje dat populair werd als netbook met Linux.

Het merk gaat zich meer richten op de gamers en op de zware gebruikers.

Domotica-stop

Begin december kwam er een update van Logitech beschikbaar voor hun Harmony Hub toestellen, die voor sommige gebruikers een stille Harmony werd.

Gebruikers van de Logitech Harmony Hub die het apparaat voor meer gebruikten dan de bijgeleverde luidsprekers, en hem bv gebruikten voor Domotica toepassingen, kunnen daar mogelijk problemen mee krijgen, want met die update worden sommige verbindingen onmogelijk gemaakt.

De Homeseer and Home Assistant APIs waren de veelgebruikte uitbreidingen voor het besturen van de TV, stereo-installaties, en andere systemen.

De update gebeurde uit veiligheidsoverwegingen, en volgt op een waarschuwing die Logitech kreeg van een externe beveiligingsfirma.

Er zal voor de creatieve gebruikers dus niets anders opzitten dan hun domoticasysteem aan te passen, en eventueel een andere hub te installeren.

De officiële mededeling staat hier:

https://support.myharmony.com/en-de/release-notes

Toekomstvoorspelling toen

Douglas Engelbart deed in 1968 een gewaagde, maar achteraf verrassend correcte Toekomstvoorspelling over ons computergebruik, waaronder de grafische desktop en
voorspelde hij een soort internet
Een paar jaar voordien had hij al een paper geschreven over dat onderwerp. Daarin beschrijft hij een denkbeeldige toekomstige architect. Die werkt niet als zijn soortgenoten uit de jaren 60 met potlood, pen, gradenboog en T-lat.
Nee, die werkt op een scherm, bestuurt de computer met de muis, geeft met een toetsenbord waarden in, en bekijkt het opbouwend beeld op zijn scherm. Hij bekijkt doorsneden, plaatst het object in een omgeving, enz

En hij wist dat niet alleen architecten verregaand gebruik zouden maken van de mogelijkheden van de computer, hij schreef:
“Every person who does his thinking with symbolized concepts (whether in the form of the English language, pictographs, formal logic, or mathematics) should be able to benefit significantly.”

Hij geeft een voorbeeld van de versnelling van de mens bij het schrijven met een typmachine in vergelijking met geschreven tekst. Op een typmachine van toen duurde het 7 seconden om een bepaalde zin neer te zetten, terwijl het met de hand geschreven twintig seconden duurt.

https://www.youtube.com/watch?v=M5PgQS3ZBWA

Augmenting Human Intellect: A Conceptual Framework:

http://dougengelbart.org/content/view/138/000/

Een Bug verdomme!

In het systeem om fouten de melden in de OpenJDK software, dook onlangs een opvallende bugmelding op: de aanwezigheid van een vloek in de broncode. Eigenlijk de aanwezigheid van meer vloekwoorden, de melder telde er een twaalftal.

OpenJDK source has too many swear words:

https://bugs.openjdk.java.net/browse/JDK-8215217

Aangezien OpenJDK veel gebruikt wordt in een werkomgeving, is het ongepast om de gevonden 12 termen in de broncode te laten bestaan.

Bugs zijn normaal fouten in een programma, die te maken hebben met de werking van het programma, de teksten die verschijnen tijdens het draaien van een programma, of andere onvolkomenheden die de goede werking van een programma kunnen aantasten. Dat is hier niet het geval, de woorden komen enkel voor in de broncode, en een eindgebruiker van de gemaakte software krijgt die nooit te zien. Zelfs programmeurs moeten al moeite doen om ze op te sporen.

De klager ontdekte de foute woordenschat ondermeer in stukjes tekst die dienen om iets te testen. Op een andere plaats ergert hij zich aan de naam die een programmeur gegeven heeft aan een type in de code, namelijk het Common Region for Access Protection type.
Niets mis mee denkt u?
Hebt u zich al eens afgevraagd hoe de afkorting hiervan er uit zou zien? Inderdaad, CRAP. En elders in de broncode wordt al eens met de afkorting verwezen naar het type.

Je zou denken dat met zo’n bugmelding enkel eens smakelijk gelachen wordt, of hoogstens eens schouderophalend geglimlacht, maar nee, de fout kreeg een nummer toegewezen: JDK-8215217, werd opgevolgd en op 4 dagen tijd opgelost.

De programmeur die zich bezighield met de opvolging, bracht verslag uit als volgt: Na overleg in de community werden drie overeenkomsten bereikt:
- ten eerste zijn Crap en Damn geen vloekwoorden.
- drie van de vier f-woorden zitten in jszip.js, wat code is die buiten dit project gemaakt wordt, en daar dus moet opgelost worden.
- twee overblijvende gevallen, waarvan 1 een f-woord, moeten wel verwijderd worden.

Ps: de bug werd gemeld op een maandag. Door dezelfde programmeur die de bug daarna opvolgde, mogelijk werd hij aangsproken door derden.

Hieronder een stukje uit de broncode waar het misschien over gaat (en zoniet een voorbeeld van hoe het kan voorkomen elders):

http://www.docjar.com/html/api/org/apache/xalan/xsltc/dom/BitArray.java.html

/**
130 * This method returns the Nth bit that is set in the bit array. The
131 * current position is cached in the following 4 variables and will
132 * help speed up a sequence of next() call in an index iterator. This
133 * method is a mess, but it is fast and it works, so don’t fuck with it.
134 */
135 private int _pos = Integer.MAX_VALUE;
136 private int _node = 0;
137 private int _int = 0;
138 private int _bit = 0;
139
140 public final int getBitNumber(int pos) {
…

compiled by BCP v.0.3.6

De gegevens van deze uitzending zijn verloren gegaan.

Als ik me niet vergis hebben we ondermeer enkele artikels uit een Duitstalig IT magazine gelezen.

Goed verstopt

Digitale kaarten op internet, zoals Google Maps, hebben bezorgdheid gewekt ivm de veiligheid, en daarom worden ze verondersteld niet te veel informatie te verstrekken over gevoelige locaties. Voorbeelden daarvan zijn militaire installaties, die op satellietfoto’s herkenbaar kunnen zijn. Dus moeten op de kaarten de installaties verborgen worden, en dat loopt niet altijd van een leien dakje. De Russische Yandex.com kaarten bv, deden dat door militaire gebouwen en installaties wazig te maken. Maar omdat ze geen groot gebied wazig maken, wordt de locatie juist heel precies aangegeven, en valt ze meer op dan op een gewone foto.

Marthe heeft het wifi bereik van haar laptop uitgebreid (foto) met een kleine usb-stick…
Hackerspace Antwerpen gaat naar CCC congres

Hackerspace Brussel gaat naar CityGate.
hsbxl.be laat de wiki achter en gaat git (met Hugo?).

Mechelen? Gent? Hasselt? …

Muziek
Jacobus – The Hallucination Celebration
reaman – djinn wheels

GitGebruiken

Australië lijkt van plan om zijn politiediensten toegang te geven tot versleutelde berichten op WhatsApp en gelijkaardige diensten. Er werd een overeen komst gesloten tussen regering en oppositie om een wet goed te keuren in die richting. De internetbedrijven kunnen verplicht worden te helpen met het ontsleutelen, of achterdeurtjes in te bouwen voor de politie.

De eerste minister van Australië zegt dat de nieuwe wetgeving nodig is om terrorisme en georganiseerde misdaad te bestrijden.

Tegenstanders zeggen dat de veiligheid van het internet hiermee ondermijnd wordt, en de privacy in het gevaar komt.

Hoe encrypted?

Het project van Node.js module met de naam event-stream had te maken met infiltratie, die leidde tot binnengesmokkelde malware code. De event-stream module is miljoenen keren gedownload, en het was de bedoeling van de infiltrant om bitcoins te stelen van de cmoputers van eindgebruikers waar de module zou terechtkomen.

In een eerste stap werd versie 3.3.6 aangevuld met een oorspronkelijk onschuldig stukje code met de naam “flatmap-stream”.
In een tweede stap, een paar maanden later, werd dit onderdeel geupdate met kwaadaardige code om bitcoins te stelen van computers die een wallet van Copay gebruiken. De gestolen bitcoins werden naar Kuala Lumpur gestuurd, in Maleisië.

Het bedrijf van de wallet geeft aan dat gebruikers met versies tussen 5.0.2 en 5.1.0 moeten upgraden naar 5.2.0.

Programmeurs die in hun programma de event-stream module gebruiken, hadden zelf geen last van de aanval, want die was niet tegen hen gericht. Wel tegen de code die deze programmeurs afleverden, daar werd de malware onmerkbaar voor de programmeur, in ingebouwd.

Dit systeem wordt een supply chain attack genoemd. Een ander voorbeeld deed zich voor in het python ecosysteem. Er werden maar liefst 12 besmette libraries aangetroffen.

De makers van de malware gebruikten een aantal bekende en veelgebruikte modules. Die kopieerden ze en registreerden ze onder een andere naam, maar wel één die dicht bij de originele naam ligt, bv colour met ou en color met o. Een programmeur die dan de originele librarie aanroept vanuit zijn programma, maar zich mistikt heeft in zijn code, kan dus eigenlijk de malware code importeren. Die werkt exact als de originele, zodat niemand wat merkt, maar heeft ook nog wat extra functies ingebouwd.
Dit systeem wordt typo-squatting genoemd.

Infiltratie

Een paar computermisdaadzaken in de VS vertoonden een opvallende gelijkenis. De eerste is een afpersingszaak, waarbij militairen werden geviseerd. Die werden benaderd via datingsites, en er werd contact opgebouwd met verzonnen personen. Na het uitwisselen van foto’s werden ze dan afgeperst omdat het over minderjarigen zou gaan. De apersers maakten zo minstens een half miljoen dollar buit.

De tweede zaak gaat over het gebruiken van gestolen creditcard gegevens om via mobiele applicaties geld af te halen. Het geld werd doorgesluisd naar derden om er aankopen mee te doen.

In beide gevallen had de politie niet veel moeite om de daders achter de tralies te krijgen. Ze bleken te werken vanuit de gevangenis.

Niet vergezocht

In Brazilië kwam persoonlijke informatie van klanten van de telecom Sky Brasil beschikbaar op internet. Een beveiligingsonderzoeker vond gegevens van meer dan dertig miljoen klanten. De gegevens bevatten: naam, voornaam, straat, e-mail adres, login wachtwoord, ip adres, telefoonnummer , enz. De onderzoeker is zelf ook klant bij dat bedrijf en verwittigde het bedrijf, en dat stelde een wachtwoord in, waardoor de gegevens niet meer op te vragen waren. Maar ze waren al redelijk lang beschikbaar, en het zou dus kunnen dat ze al werden gekopieerd.

Persoonlijke informatie

RISC-V en Linux slaan de handen in elkaar. De Linux Foundation werkt daarvoor samen met de RISC-V Foundation. RISC-V Instruction Set Architecture is een pupulaire processor architectuur voor toepassing in IOT, embedded devices, enz.

Fabrikanten van apparaten houden van de open source RISC-V, die hen meer garanties geeft op onafhankelijkheid van processorfabrikanten, en die niet dichtgetimmerd is met patenten.
Bovendien moeten ze niet zoals bij andere commmercieel verkrijgbare RISC produkten bang zijn dat het specifieke model dat ze gebruiken door de fabrikant uit de handel wordt genomen en hen met het probleem achterlaat. Van de open architectuur kunnen verschillende fabrikanten hun uitvoering maken. NVIDIA en Western Digital zouden bv geïnteresseerd zijn om RISC-V te gaan gebruiken in hun produkten.

https://github.com/riscv/riscv-linux

RISC-V en Linux

RISC-V en Linux slaan de handen in elkaar. De Linux Foundation werkt daarvoor samen met de RISC-V Foundation. RISC-V Instruction Set Architecture is een pupulaire processor architectuur voor toepassing in IOT, embedded devices, enz.

Fabrikanten van apparaten houden van de open source RISC-V, die hen meer garanties geeft op onafhankelijkheid van processorfabrikanten, en die niet dichtgetimmerd is met patenten.
Bovendien moeten ze niet zoals bij andere commmercieel verkrijgbare RISC produkten bang zijn dat het specifieke model dat ze gebruiken door de fabrikant uit de handel wordt genomen en hen met het probleem achterlaat. Van de open architectuur kunnen verschillende fabrikanten hun uitvoering maken. NVIDIA en Western Digital zouden bv geïnteresseerd zijn om RISC-V te gaan gebruiken in hun produkten.

https://github.com/riscv/riscv-linux

Hoe encrypted?

Australië lijkt van plan om zijn politiediensten toegang te geven tot versleutelde berichten op WhatsApp en gelijkaardige diensten. Er werd een overeen komst gesloten tussen regering en oppositie om een wet goed te keuren in die richting. De internetbedrijven kunnen verplicht worden te helpen met het ontsleutelen, of achterdeurtjes in te bouwen voor de politie.

De eerste minister van Australië zegt dat de nieuwe wetgeving nodig is om terrorisme en georganiseerde misdaad te bestrijden.

Tegenstanders zeggen dat de veiligheid van het internet hiermee ondermijnd wordt, en de privacy in het gevaar komt.

Infiltratie

Het project van Node.js module met de naam event-stream had te maken met infiltratie, die leidde tot binnengesmokkelde malware code. De event-stream module is miljoenen keren gedownload, en het was de bedoeling van de infiltrant om bitcoins te stelen van de cmoputers van eindgebruikers waar de module zou terechtkomen.

In een eerste stap werd versie 3.3.6 aangevuld met een oorspronkelijk onschuldig stukje code met de naam “flatmap-stream”.
In een tweede stap, een paar maanden later, werd dit onderdeel geupdate met kwaadaardige code om bitcoins te stelen van computers die een wallet van Copay gebruiken. De gestolen bitcoins werden naar Kuala Lumpur gestuurd, in Maleisië.

Het bedrijf van de wallet geeft aan dat gebruikers met versies tussen 5.0.2 en 5.1.0 moeten upgraden naar 5.2.0.

Programmeurs die in hun programma de event-stream module gebruiken, hadden zelf geen last van de aanval, want die was niet tegen hen gericht. Wel tegen de code die deze programmeurs afleverden, daar werd de malware onmerkbaar voor de programmeur, in ingebouwd.

Dit systeem wordt een supply chain attack genoemd. Een ander voorbeeld deed zich voor in het python ecosysteem. Er werden maar liefst 12 besmette libraries aangetroffen.

De makers van de malware gebruikten een aantal bekende en veelgebruikte modules. Die kopieerden ze en registreerden ze onder een andere naam, maar wel één die dicht bij de originele naam ligt, bv colour met ou en color met o. Een programmeur die dan de originele librarie aanroept vanuit zijn programma, maar zich mistikt heeft in zijn code, kan dus eigenlijk de malware code importeren. Die werkt exact als de originele, zodat niemand wat merkt, maar heeft ook nog wat extra functies ingebouwd.
Dit systeem wordt typo-squatting genoemd.

Persoonlijke informatie

In Brazilië kwam persoonlijke informatie van klanten van de telecom Sky Brasil beschikbaar op internet. Een beveiligingsonderzoeker vond gegevens van meer dan dertig miljoen klanten. De gegevens bevatten: naam, voornaam, straat, e-mail adres, login wachtwoord, ip adres, telefoonnummer , enz. De onderzoeker is zelf ook klant bij dat bedrijf en verwittigde het bedrijf, en dat stelde een wachtwoord in, waardoor de gegevens niet meer op te vragen waren. Maar ze waren al redelijk lang beschikbaar, en het zou dus kunnen dat ze al werden gekopieerd.

Niet vergezocht

Een paar computermisdaadzaken in de VS vertoonden een opvallende gelijkenis. De eerste is een afpersingszaak, waarbij militairen werden geviseerd. Die werden benaderd via datingsites, en er werd contact opgebouwd met verzonnen personen. Na het uitwisselen van foto’s werden ze dan afgeperst omdat het over minderjarigen zou gaan. De apersers maakten zo minstens een half miljoen dollar buit.

De tweede zaak gaat over het gebruiken van gestolen creditcard gegevens om via mobiele applicaties geld af te halen. Het geld werd doorgesluisd naar derden om er aankopen mee te doen.

In beide gevallen had de politie niet veel moeite om de daders achter de tralies te krijgen. Ze bleken te werken vanuit de gevangenis.

compiled by BCP v.0.3.6

Wat heb je nodig voor frambozentaart? Een Raspberry Pi en een temperatuursensor…

Deze is echter niet zo geschikt voor de raspberry pi, want hij is te “analoog”; hij heeft twee draden en daarop kan je de weerstand meten; bij andere temperatuur heb je een andere weerstandswaarde; met een berekening kan je daar de temperatuur uit afleiden. Dit soort sonde is eerder geschikt voor gebruik met het Arduino bord.

Handiger voor de Raspberry Pi zijn de temperatuurmeters die zelf de waarde klaarzetten op een data-draad; deze derde draad bestaat dan naast de plus en ground. Meer over de 18×20 sensoren (Nederlandstalig)

De Browser schrijft

Als het van Google en Mozilla afhangt, zal het in de toekomst mogelijk moeten zijn dat webapps echte “schrijf” toegang krijgen tot bestanden lokaal opgeslagen bij de gebruiker.
Op dit moment werken de apps met het opslaan van de gegevens op de server. Maar voor sommige apps zou het handig zijn om bestanden te kunnen bewaren op het toestel van de gebruiker zelf. Nu kan de browser wel kleine stukjes tekst in zogenaamde cookies bewaren bij de gebruiker, maar geen volledige documenten.
Volgens Tech Republic willen de ontwikkelaars af van het complexe model dat nu gebruikt wordt: met de browser eerst een bestand kiezen uit het bestandssysteem, zodat dat naar de server kan uploaden, om het daar te wijzigen met de webapp, in je browser. Dat kan dan enkel terug naar het toestel van de gebruiker doordat die het als een download krijgt, waarbij hij zelf de locatie moet kiezen en de vorige versie overschrijven. Te complex. Er wordt dus gewerkt aan een nieuwe “Writable Files API”, dus een programmeermiddel dat toelaat dat vanuit de browser een bestand bij de gebruiker kan geopend worden, gewijzigd, en terug bewaard kan worden.

Wat kan er nu foutgaan?

Alles.
De browser was altijd bedoeld als afgebakend gebied, omdat je contact hebt met het web, en je daar binnen en buiten uit elkaar wil houden. Het was een grote revolutie dat je dingen op het web kon wijzigen, en dat was ook een goed idee omdat dat het web meer maakte waar het voor bedoeld was: publiceren binnen ieders handbereik. Maar systemen als blogs maakten het gevaar snel duidelijk: vanop het web laten schrijven op een server houdt risico’s in. Zou het ook een risico in houden om vanuit het web te laten wijzigen of schrijven naar de harde schijf van de gebruiker? Zijn gebruikers beter beveiligd dan servers? Zijn webapps altijd betrouwbaar? En als een app iets vraagt aan de gebruiker, is die dan kritisch en antwoordt die met volle kennis van zaken?

Zelfs de groep die het voorstel doet beseft dat het gevaarlijk is: ze weten dat ze moeten vermijden dat privacy gevoelige gegevens van computers gepikt worden, dat virussen worden neergepoot, en dat bestanden worden onleesbaar gemaakt om een gebruiker af te persen.

Het is ook niet zo dat morgen een app aan je bestanden zit te knagen. Het project vraagt op dit moment naar commentaar (op https://discourse.wicg.io/t/writable-file-api/1433 ), en die commentaar komt er ook.

Al tien jaar geleden werd gevraagd of het mogelijk en/of wenselijk was om te schrijven buiten de sandbox. Uit veiligheidsoverwegingen werd dat nooit gedaan. Anderzijds zou het al wel een beetje binnengeslopen zijn in Android, dat een app toegang kan hebben tot een bepaalde folder.

Bovendien komen er vragen over hoe ver de API kan gaan. Kan die bv ook een nieuw bestand maken op het toestel van de gebruiker. Eender waar? Kan de app de hele directory structuur zien bij het maken van de keuze waar het bestand moet staan? Wat mag vanuit een extra geopend iFrame? Kunnen er ook mappen gemaakt worden? Is er toegang tot alle aangesloten apparaten? … What could possibly go wrong?

Onschuldig spelletje of gok

België is drie spelletjes armer Er blijven er nog genoeg over …

De anti-gok wetgeving heeft ertoe geleid dat een uitgeverij van computerspelen een drietal spelen weghaalt uit België. De officiële uitleg is dat de wet teveel juridische onzekerheid creëert rond bepaalde elementen met geluksfactor in het spel (waar tussen haakjes extra voor betaald wordt). Hoewel het op het eerste zicht misschien lijkt dat België zich vergallopeert met regelneverij, zitten die loterij-achtige elementen niet zomaar in het spel. Die elementen werken verslavend, en daarom zitten ze er ook in.
Dus misschien is het gewoon goede wetgeving, en begint ze nu ook te werken. Het mengen van spelen en gokken is zeker op jonge leeftijd gevaarlijk voor de toekomst van de jongere, stelt België. En niet alleen België; ook Nederland stelde in april dit jaar nog dat populaire spelletjes de regels over het gokken overtreden (zie NOS). Eén van de elementen in deze zaak is de mogelijkheid om de digitale lotjes door te geven of te verkopen. En natuurlijk verdienen de oorspronkelijke verkopers eraan: volgens Juniper Research verdienen grote bedrijven meer dan 20 miljard aan de virtuele schatten.

Routerbeveiliging in Duitsland “Sicherheit”

De Duitse overheid bemoeit zich met de markt van de routers, de apparaten die de internetverbinding voorzien thuis en in kleine bedrijven, en daarboven meestal nog een aantal andere functies voorzien voor het netwerk, zoals een firewall.
Ze hebben in februari regels opgesteld waarvan ze vinden dat een router eraan moet voldoen. Als dat zo is mag de fabrikant een conformiteitslogo aanbrengen. Een paar interessante regels zijn:
- de gast toegang mag geen toegang geven tot het controlepaneel van het apparaat
- de ESSID mag geen informatie geven over merk, model enz.
- de veiligere WPA2 draadloze verbinding moet standaard gebruikte worden in plaats van onveiligere verbindingen.
- het wifi wachtwoord mag geen verwijzingen bevatten naar het apparaat, merk, model
- wifi wachtwoorden moeten minstens 20 tekens lang zijn
- het wachtwoord voor de instelingen (admin, ..) moet minstens 8 tekens lang zijn, en moet een sterke combinatie van verschillende tekens bevatten (2 hoofdletters, 2 kleine, speciale tekens, cijfers).
- het moet voor de juist aangemeldde gebruiker mogelijk zijn om het root wachtwoord te veranderen

- de router moet standaard uitgeleverd worden met gesloten toegang voor het controlepaneel langs de kant van het internet (wan), en als die geaktiveerd wordt, moet de poort voor de buitentoegang in te stellen zijn.
En de beste:
- er mogen geen ongedocumenteerde achterdeurtjes in de routers zitten!

In november werden ze gepubliceerd. Er kwamen heel wat reakties op, ondermeer van de CCC. Het valt de CCC op dat er een aantal richtlijnen zijn binnengeslopen die de belangen van de fabrikanten verdedigen tegen nieuwsgierige en creatieve gebruikers. Zo zou deze richtljn tot gevolg hebben dat er geen eigen gekozen alternatief systeem of software kan geïnstalleerd worden, zoals openWRT.

Een week na publicatie reageerde het ministerie van digitale veiligheid op de kritiek.

Meer op de site van het Bundesamt für Sicherheit in der Informationstechnik:

Mehr Sicherheit im Smart Home: BSI veröffentlicht Technische Richtlinie für Breitband-Router

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/TR-Router_16112018.html

en

Stellungnahme zur Kritik an der Technischen Richtlinie für Breitband-Router

https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/Reaktion_Router_21112018.html

De CCC maakt een aantal interassante punten op gebied van voorwaarden voor veilige routers, en legt ook bloot hoe de telecombedrijven en fabrikanten mee zaten de lobbyen bij het tot stand komen van de nieuwe richtlijn.

https://www.ccc.de/de/updates/2018/risikorouter

Zwarte vrijdag

Een nieuwe traditie van koopjes is dit jaar volledig doorgebroken: zwarte vrijdag. Eigenlijk “black friday”, want het komt uit de VS, waar het ontstond als koopjesdag na Thanksgiving. De dag is ondertussen uitgegroeid tot een weekend of meer bij sommige bedrijven, en met Thanksgiving kan het bij ons ook al weinig te maken hebben. Pure platte koopjes dus, buzz creëren, verkoop oppompen. Het ministerie van Economische Zaken zal zijn handen volhebben aan het controleren aan de aangekondigde kortingen, die mogelijk voorafgegaan werden door prijsstijgingen.

Voor sommige van de deelnemende bedrijven werd het inderdaad een black friday, want hun website bezweek onder de plotse opstoot van aandacht. Niet zomaar onvoorbereide familiebedrijfjes of kmo’s, wel onze NMBS, de site was uren overbelast, en de aktie was niet geldig aan loketten of automaten in stations. De NMBS maakte zich er met een verontschuldiging vanaf, maar de onvrede onder de klanten is niet zo snel gaan liggen; het wordt als bedrieglijke reklame ervaren. Test Aankoop opende een klacht.

Bij andere bedrijven werd het een “black friday” omdat de mensen het werk neerlegden, zoals bij Amazon. Dergelijke spectaculaire koopjesakties veroorzaken veel extra druk op de mensen die achter de schermen voor de bestellingen moeten zorgen; er wordt meer gewerkt met tijdelijke arbeid, en de extra uren op die dagen worden niet altijd even billijk vergoed, bv door het ontbreken van CAO’s voor de werknemers.

In Nederland hadden ze vorig jaar al te kampen met zo’n black friday problemen; bij een grote speelgoedketen geraakte de hele organisatie overbelast door een black friday, en een electro-keten had een probleem met de weergave van de voorraad; de teller van het aantal beschikbare apparaten bleef positief staan terwijl de voorraad al lang uitverkocht was. Er werden meer dan duizend spelcomputer-bundels verkocht nadat de voorraad al lang uitgeput was.

Voor Netwerk Bewust Verbruiken is het vooral een black friday voor het milieu. spectaculaire koopjes verlagen de drempel voor nutteloze aankopen, de afvalberg stijgt, en al die koopjes moeten geproduceerd en vervoerd worden, dus de impact op het milieu is bijzonder negatief. Zo’n 62 procent van de CO2 uitstoot zou gelinkt kunnen worden aan inefficiënt materiaalgebruik. De prijzen dalen, en tevens de levensduur en de mogelijkheden tot reparatie, en dikwijls ook de arbeidsomstandigheden in de productie.

Een neerwaartse spiraal die ze doorbroken willen zien door het organiseren van een “Niet-winkeldag”. In 1992 ontstond al protest tegen de koopjes, in de vorm van een “Buy Nothing Day” op diezelde koopjesdag Black Friday.

En volgend jaar is het waarschijnlijk de uit China overwaaiende “singles day” die de koopjesrecords zal breken…

compiled by BCP v.0.3.6

GitLab – Inrichten – teksten schrijven – samenvoegen – programma – opkuisen

Na de uitzending

• In het BCP kies de knop “compile done news”
  Dat maakt de html code om in de blog te plakken; ctrl-A (alles selecteren) en ctrl-c (copy)
• Open de blog, ctrl-v; de eerste lijn moet je er uit snijden om als titel te plakken.
• Kies de knop “Archive”; je krijgt een melding dat de teksten naar .. map (met datum in naam) geschreven zijn.

(ps BCP versie is 0.3.6)

Opkuisen

mijn lokale (niet master) repository leegmaken na het programma:
git status (controleren in welke branch ik zit)
ls -lFA (controleren van de lijst van bestanden)
Ik zie dat alle .txt bestanden wegmogen (anders één voor één).
git rm *.txt (bijna zoals het gewone rm)
git status (terug checken; de .txt bestanden worden getoond als “deleted”)
git commit -am "opkuis na programma 22-11" (bewaart de wijzigingen)
git push (stuurt deze versie online; webinterface toont lege)
git status (terug checken; de branch is klaar om nieuwe teksten in te maken)

Inrichten

Maak een directory klaar voor git gebruik:
git init

Maak ssh keys aan voor gebruik met bv gitlab
(zie online documentatie elders)

Haal een repo af
bv master (waar de compilatie in terechtkomt net voor programma) of die waar laatst in gewekt is (zie webinterface).
git clone …

Maak een eigen branche:
git checkout MyLaptopBranch (eens die bestaat ga je er zo naartoe)
(Maak een online repo voor die branch)
(..)

Todo Marthe:

Maak eigen branch, bv ooooo
haal teksten af = merge een branche die teksten bevat, bv littleblue.
Corrigeer een tekst, voeg een tekst toe.
Add, Commit, Push

Vervolg op Git: wat met ons archief

Steal Copy this book

Vriendelijke Communicatie

De GNU organisatie heeft een nieuwe gids voor vriendelijkere omgang met elkaar, de GNU Kind Communications Guidelines, geschreven door Richard Stallman.

Daarin stelt hij dat het GNU Project iedereen aanmoedigt om bij te dragen aan het GNU project, los van geslacht, ras, religie, culturele achtergrond of andere verschillen (niet te vergeten: politieke).

Mensen worden soms ontmoedigd om mee te werken door bepaalde patronen van Communicatie die hen overkomen als onvriendelijk, afstotend of grof. Vooral minderheidsgroepen worden daardoor getroffen, maar niet alleen zij. Daarom vragen we alle medewerkers om bewust inspanningen te doen om in descussies ervoor te zorgen dat het niet in die richting gaat.

Met deze richtlijn worden bepaalde manieren voorgesteld om dat doel te bereiken.

Ga er van uit dat de deelnemers in een discussie handelen vanuit goede trouw, zelfs als je het oneens bent met wat ze zeggen.
Als mensen bijdragen aanbieden, aanvaard die dan als hun eigen werk. Lever geen kritiek op fouten waarvan je enkel veronderstelt dat zij die gemaakt hebben.

Behandel de anderen altijd met respect, vooral op het moment dat je het niet eens bent.

Spreek deelnemers aan met de namen die ze zelf gebruiken, bv als die de genderidentiteit bepaalt.

Begin geen ruwe toon aan te slaan tegen andere deelnemers en speel niet op de man; maak altijd duidelijk dat kritiek slaat op de code en niet op de persoon.
Als iemand zich zelf ruw tegen je gedraagt, sla niet terug, want dat kan een spiraal van (verbaal) geweld op gang brengen. Stuur een prive bericht om te zeggen dat je je niet goed voelt bij die vorm en vraag om een vredelievende omgang. Wacht altijd even voor je zoeiets verstuur, en haal er altijd de woede uit.

Vermijd het benoemen van kenmerken van bepaalde demografische groepen; dat soort dingen valt in ieder geval buiten de discussie in een GNU project.

Wees vooral hoffelijk als je iemand zegt dat hij een fout heeft gemaakt; programmeren is altijd een kringloop van fouten maken en verbeteren.
Daarom zijn testen zo belangrijk. Toon dat fouten maken normaal is, en dat we altijd hun bijdrage waarderen, en hopen dat ze mogelijke fouten ook opvolgen en oplossen.

Je moet evenzeer opletten op de manier waarop je iemand aanzet om bepaalde niet-vrije software niet meer te gebruiken. Natuurlijk is het beter voor henzelf om zich te bevrijden van niet-vrije software, maar als ze dat niet doen zijn hun bijdragen nog altijd welkom. Daarentegen, het aanzetten van mensen om niet-vrije software te gebruiken beantwoord niet aan de doelen van het GNU project, en is niet toegestaan binnen de discussie van een GNU project.

Beantwoord argumenten steeds op basis van wat mensen zeiden, niet op een extrapollatie ervan.

Als iemand in een discussie afwijkt, probeer de discussie dan bij het onderwerp te houden. Splits desnoods de zijtak af tot een eigen discussie, liefst als deze afgesloten is.

In plaats van te proberen het laatste woord te hebben, probeer soms eens rust in te bouwen. Eens een beslissing gevallen is, blijf er dan niet over doorbomen want dat remt enkel maar af.

Als iemand anders klaagt over je manier van uitdrukken, hou er dan rekenning mee, zodat anderen niet afgeleid worden van de inhoud van wat je zegt.

Begin niet over onderwerpen die niets te maken hebben met het project, zeker politiek. De enige politieke stellingname die het GNU Project doet heeft te maken met het gebruik van vrije software en de controle over de computer. Daarnaast is er de basis van de mensenrechten binnen de toepassing van computeren. Je hoeft als medewerker het niet eens te zijn met deze stellingen, maar je moet aanvaarden dat ze ons uitgangspunt zijn voor beslissingen.

Door moeite te doen om deze richtlijnen te volgen zullen we de bijdragen aan onze projecten stimuleren en onze discussies zullen vriendelijker zijn en gemakkelijker tot conclusies leiden.

Stallman kondigde de Vriendelijke Communicatie Richtlijn aan op de info-gnu pagina. Hij beschrijf hoe in augustus een discussie ontstond over het probleem dat de ontwikkeling van GNU niet vrouwvriendelijk was. Sommige medewerkers stelden voor om een gedragslijn op te stellen, met strikte regels. Dat is in sommige vrije softwareprojecten geprobeerd, maar stootte op weerstand wegens te regelneverij-achtig. Sommige tegenstanders dreigden onmiddellijk op te stappen als zoiets ingevoerd zou worden, waarschijnlijk omdat het absoluut plezierdodend is om met sancties te werken. Dat vond Stallman ook en hij zocht een andere weg.

https://www.gnu.org/philosophy/kind-communication.html

Stallman geeft toelichting:

http://lists.gnu.org/archive/html/info-gnu/2018-10/msg00001.html