X-Git-Url: http://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/136cbef6b43f4a212dc1803c2ccf3298d9e4970f..2e24ba5a2062153e581cfdbee5ffb39c11a512b7:/blog/archive/2011/01/01.rss
diff --git a/blog/archive/2011/01/01.rss b/blog/archive/2011/01/01.rss
index 51e1933a6d..dc639269e9 100644
--- a/blog/archive/2011/01/01.rss
+++ b/blog/archive/2011/01/01.rss
@@ -774,7 +774,7 @@ HTML5 video tag. Of course to reach all those without a browser
handling HTML5, one need fallback mechanisms. In
<a href="http://www.nuug.no/">NUUG</a>, we provide first fallback to a
plugin capable of playing MPEG1 video, and those without such support
-we have a second fallback to the Cartado java applet playing Ogg
+we have a second fallback to the Cortado java applet playing Ogg
Theora. This seem to work quite well, as can be seen in an <a
href="http://www.nuug.no/aktiviteter/20110111-semantic-web/">example
from last week</a>.</p>
@@ -792,6 +792,574 @@ available from
<a href="http://wiki.xiph.org/index.php/List_of_Theora_videos">the
Xiph.org wiki</a>, if you want to have a look. I'm not aware of a
similar list for WebM nor H.264.</p>
+
+<p>Update 2011-01-16 09:40: A question from Tollef on IRC made me
+realise that I failed to make it clear enough this text is about the
+<video> tag support in browsers and not the video support
+provided by external plugins like the Flash plugins.</p>
+
+
+
+
+ Radiomerking med RFID
+ http://people.skolelinux.org/pere/blog/Radiomerking_med_RFID.html
+ http://people.skolelinux.org/pere/blog/Radiomerking_med_RFID.html
+ Sun, 16 Jan 2011 11:40:00 +0100
+
+<p>Bruken av RFID brer om seg. Klær, matvarer, borgere, elever,
+studenter og ansatte blir radiomerket på en måte som gjør det enkelt å
+følge med på hvor de beveger seg.
+<a href="http://www.wired.com/science/discoveries/news/2003/10/60898">Historien
+fra Enterprise Charter School</A> i Buffalo, New York beskriver
+drømmen om massiv overvåkning av bevegelsesmønsteret til elevene
+vha. RFID. For de fleste får jeg inntrykk av at overgangen virker
+ganske liten, da de allerede er radiomerket med GSM-telefoner som
+rapporterer hvor de er til enhver tid. Personlig ser jeg på retten
+til å ferdes anonymt og uten å bli overvåket som fundamental for å
+beholde et demokratisk og fritt samfunn, og tror denne retten kun
+overlever hvis den blir brukt av borgerne, og velger derfor å ikke gå
+rundt med radiopeilesender på meg.</p>
+
+<p>RFID-merking av folk, det være seg med busskort fra Ruter, student-
+og ansattkort for Universitetet i Oslo, nyere pass eller i klær som
+folk går med er radiomerking av befolkningen.</p>
+
+<p>For å kunne sette meg inn i RFID-teknologi ser jeg etter en norsk
+leverandør som kan selge meg en RFID leser/skriver med USB-tilkobling
+som kan brukes til å se hva som er RFID-merket i dag. Jeg er fortalt
+at Ruter sitt
+<a href="http://www.kollektivanbud.no/dokumenter/20100928%20Travelcard%20Production%20Specification%20_2_.pdf">Flexus-kort</a>
+bruker 13,56 MHz som kan leses og skrives til, mens andre dinger
+typisk bruker 125 kHz som i utgangspunktet kun kan leses fra. Det
+finnes også andre frekvenser i bruk. Vet ikke hva som finnes av
+rimelig utstyr for lesing og skriving, men ble tipset om at
+<a href="http://www.robonor.no/mag/default/rfid-2.html">Robonor</a> har
+endel slike deler. Programvare på Linux for å lese og skrive mot RFID
+er tilgjengelig fra blant andre <a href="http://www.openpcd.org/">Open
+Proximity Coupling Devices</a>-prosjektet og
+<a href="http://www.rfdump.org/">RFDump</a>-prosjektet.</p>
+
+<p>Blokkering av RFID-signaler ser ut til å være mulig ved å plassere
+kort med RFID i en metallboks. Min kortmappe med metall-plate for å
+stive av, lot i hvert fall til å blokkere for Ruters avlesning av
+Flexus-kort. Er også blitt fortalt at det fungerer å bruke en liten
+metall-boks. Er ikke sikker på om dette også blokkerer for mer
+følsomme lesere som kan lese av RFID-signaler på mange meters
+avstand.</p>
+
+<p>De nye norske biometriske passene kan enkelt leses av på avstand og
+kopieres med RFID, slik at de som ønsker det kan å se bilde av
+nordmenn i nærheten, og informasjon om fingeravtrykk, høyde, hårfarge
+og det meste av informasjon om innehaveren. For meg virker det som en
+massiv sikkerhetsrisko, og det er meg et komplett mysterium at
+Stortinget og regjeringen har gått med på RFID-merking av pass.
+<a href="http://en.wikipedia.org/wiki/Biometric_passport">wikipedia har
+mer</a> om de nye biometriske passene.</p>
+
+
+
+
+ Skolelinux-intervju: Embrik Kaslegard
+ http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Embrik_Kaslegard.html
+ http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Embrik_Kaslegard.html
+ Sun, 16 Jan 2011 12:00:00 +0100
+
+<p>Neste ut i min intervjuserie med folk i
+<a href="http://www.skolelinux.org/">Skolelinuxprosjektet</a> er
+lærer, mangeårig bidragsyter på epostlistene og tidligere
+Skolelinux-administrator på en skole i Hemsedal.</p>
+
+<p><strong>Hvem er du, og hva driver du med til daglig?</strong></p>
+
+<p>Embrik Kaslegard, 1964-modell, fire barn (7-20 år). Begynte som
+lærer i 1989 - har hatt IKT-ansvar siden første året i jobb. Har
+jobbet som lærer/IKT-ansvarlig uavbrutt siden 1989. Jobbet med
+Skolelinux fra 2004 til 2010. Nå har jeg fått ny arbeidsplass og er
+40% lærer og 60% IKT med Windows XP, Win2003 server og et regionalt
+IKT-regime som legger premissene og begrensingene for hva vi kan gjøre
+på skolen.</p>
+
+<p><strong>Hvordan kom du i kontakt med Skolelinux-prosjektet?</strong></p>
+
+<p>Jeg leste en artikkel om en dugnadsinstallasjon av Skolelinux på en
+skole på Jæren et sted. Tanken om dugnad og frihet appellerte til
+meg. Da vi skulle bygge ny skole var det en del vi måtte spare på,
+fordi vi beveget oss mot en kostnadssprekk. Kabling og investering i
+PC-er var en av tingene vi sparte på. Derfor kjøpe vi 72 pc-er for 390
+pr stk. En filtjener og en applikasjonsserver.</p>
+
+<p><strong>Hva er fordelene med Skolelinux slik du ser det?</strong></p>
+
+<p>Fordelen er at så mye er satt opp fra starten. I tillegg er det
+tydelig at pakka er laga for skoleverket. Brukerne har egne
+skrivebord, tilgang på mange gode verktøyprogrammer. Vi slipper å
+tenke på virus. Brukerne har ikke mulighet til å ødelegge
+klientoppsett, men har gode muligheter til å endre eget oppsett. Dette
+tror jeg er inspirerende og kjekt for mange brukere. Mappestrukturen
+er ferdig og det er "enkelt" å designe lokale mappestrukturer via
+skeleton. Noen av oss i skoleverket mener skolen skal være en
+"mot-kultur". Da er Skolelinux et av valgene man kan ta. Et annet er å
+spise på indisk restaurant i stedet for Mc Donald's når vi er på bytur
+osv.. Ordene deling, frihet, dugnad osv er positive ord i
+skoleverket. Det er viktig at elevene blir bevisst dette.</p>
+
+<p><strong>Hva er ulempene med Skolelinux slik du ser det?</strong></p>
+
+<p>Kompabiliteten er selvsagt et problem, selv om det er mindre nå enn
+før. For IKT-personer på skolene som skal drifte dette er det
+problematisk med kommandoer i terminalen. I tillegg er det alt for
+mange programmer i Skolelinux som ikke blir brukt. Jeg tror
+Skolelinux er tjent med å tone ned begrepet pedagogisk programvare.
+Slik jeg ser det finnes ikke denne kategorien programmer lengre slik
+de gjorde før, som frittsående programmer som installeres på en
+datamaskin eller på serveren. Det finnes en del spesialpedagogiske
+programmer, som Textpilot, LingDys, LingRight, AskiRaski, Ny i Norge
+osv. Men dette er programmer for enkelt-elever eller små grupper av
+elever. Det som bør være fokus er at alle undervisningsressurser som
+lages for nettet skal være nettleseruavhengig.</p>
+
+<p><strong>Hvilken fri programvare bruker du til daglig?</strong></p>
+
+<p>OpenOffice bruker jeg til vanlig kontorarbeide. VLC bruker jeg som
+videoavspiller og av og til streaming av film. Gimp bruker jeg i
+undervisningen til bildemanipulering. Firefox og Chrome er mine
+favoritt-nettlesere. Firefox har lenge vært førstevalget mitt, nå
+bruker jeg mest Chrome. Opplever den som raskere og smidigere enn
+Firefox. Ubuntu bruker jeg som dualboot på jobb-maskinen min i
+tillegg til at alle PCer hjemme har en eller annen Ubuntu-distribusjon
+installert. Jeg bruker Clonezilla på Ubuntu 10.04 til kloning av
+datamaskiner på jobb. Det er selvsagt en haug andre frie programmer
+jeg bruker men jeg bruker dem ikke daglig. Jeg kan ramse opp:
+recordmydesktop, cinelerra, acidrip, soundjuicer, audacity, NX
+(no-machine), Kino, Rythmbox...</p>
+
+<p><strong>Hvilken strategi tror du er den rette å bruke for å få
+skoler til å ta i bruk fri programvare?</strong></p>
+
+<p>Jeg tror oppsøkende virksomhet er den rette strategien.
+Ressurspersoner gjør avtaler med rådmenn, skolesjefer, rektorer. Det
+er slik konkurrentene gjør det. Fokuset i slike samtaler bør være
+kost-nytte. Dersom personer med økonomisk ansvar ser at de kan få
+like godt tilbud til mindre utgifter, tror jeg det er mulighet til å
+få innpass. Dersom de også kan få konkrete tilbud på drift i slike
+samtaler, vil de kanskje bli litt mer interesserte i hvor mye penger
+som faktisk går til IKT i skolene. Det er også viktig at vi ikke
+firer for mye på krav til datamaskiner. Det er flott at Skolelinux
+går på "utrangert" utstyr, men dette bør bare presenteres som et
+alternativ. Skolelinux-installasjoner med utrangert utstyr er ikke å
+foretrekke dersom man kan unngå det. Det skaper ikke entusiasme hos
+brukerne (elever og lærere) når de bruker gamle datamaskiner som går
+tregt. Det er kjempefint med skoler som har kommet seg frem til
+Skolelinux og fri programvare av seg selv, men de lever på nåde.
+Slike valg må fundamenteres hos skoleeier.</p>
+
+<p>Oppdatering 2011-01-16 22:40: Oppdatert svarene for de tre siste
+spørsmålene litt mer tekst fra Embrik.</p>
+
+
+
+
+ Masteroppgave fra UiO om RFID-sikkerhet
+ http://people.skolelinux.org/pere/blog/Masteroppgave_fra_UiO_om_RFID_sikkerhet.html
+ http://people.skolelinux.org/pere/blog/Masteroppgave_fra_UiO_om_RFID_sikkerhet.html
+ Tue, 18 Jan 2011 15:10:00 +0100
+
+<p>Mens jeg forsetter famlingen rundt i RFID-verden, kom jeg over en
+masteroppgave fra Institutt for Informatikk ved Universitetet i Oslo
+med tittelen
+"<a href="http://www.duo.uio.no/sok/work.html?WORKID=86475">Investigation
+of security features in Near-field communication (NFC)</a>" og følgende
+oppsummering:</p>
+
+<blockquote>
+<p>With the increasing use of NFC and RFID technology it is important
+to look at the security, both for the user and for the system owner to
+see that the system is reliable. NFC is a standard inheriting some of
+the RFID standards and it is important to see how the old standards
+have handled security and how it is handled in NFC. There are certain
+RFID systems that are already in use, which is especially close to
+NFC. For example is
+<a href="http://en.wikipedia.org/wiki/MIFARE">Mifare</a> a system used
+in many public transportation systems as ticket and in contactless
+access cards. Another example is
+<a href="http://en.wikipedia.org/wiki/Biometric_passport">electronic
+passports</a> which uses a standard which is included in
+NFC. Examining the security in these and also investigate the use of
+NFC tags to make secure use of them is the focus in this thesis.</p>
+</blockquote>
+
+<p>Rapportens analyse av MiFare Classic, som tilfeldigvis er systemet
+som brukes Universitetet i Oslos nye student- og ansattkort, er
+spesielt interessant for meg som jobber her. Sikkerheten i MiFare
+Classic ble reversutviklet og problemene i sikkerheten presentert for
+<a href="http://events.ccc.de/congress/2007/Fahrplan/events/2378.en.html">CCC
+i 2007</a>. Det er i dag mulig å klone slike kort.</p>
+
+
+
+
+ Skolelinux-intervju: Sturle Sunde
+ http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Sturle_Sunde.html
+ http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Sturle_Sunde.html
+ Wed, 19 Jan 2011 12:00:00 +0100
+
+<p>Denne gang har jeg fått tak i en mangeårig unix-mann som etter
+mange år ved Universitetet i Oslo, der jeg først traff ham, har
+flyttet tilbake til vestlandet, og der bidratt til å revitalisere
+<a href="http://www.skolelinux.org/">Skolelinux</a>-oppsettet i
+Florø.</p>
+
+<p><strong>Hvem er du, og hva driver du med til daglig?</strong></p>
+
+<p>Sturle Sunde, ansvarleg for skulenettet i Flora kommune. Eg driv,
+vidareutviklar og er andrelinje brukarstøtte for datanettet ved
+skulane i Flora kommune. 10 skular og meir enn 700 maskiner med
+Linux, medrekna tynnklientar. Tidlegare jobba eg i mange år med
+unix-drift ved Universitetets senter for informasjonsteknologi ved
+Universitetet i Oslo.</p>
+
+<p><strong>Hvordan kom du i kontakt med Skolelinux-prosjektet?</strong></p>
+
+<p>Det er vanskeleg å svare konkret på. Eg har drive med Unix og Linux i
+alle år, og Skulelinux er eit godt kjent prosjekt i miljøet. Det var
+først i 2008, då eg tok til i min noverande jobb, at eg fekk bruk for
+Skulelinux for alvor.</p>
+
+<p>Jobben min skulle vere drift av eit nytt skulenett i Flora kommune,
+levert av eit firma eg ikkje vil reklamere for. Systemet skulle vere
+ferdig levert i september året før. Dette viste seg å ta mykje lenger
+tid, og i haustferien 2008 hadde dei endå ikkje klart å få opp ei
+fungerande løysing. Situasjonen var prekær for den største skulen i
+kommunen med meir enn 500 elevar på ungdomssteget. Skulen hadde brukt
+Skulelinux før, og var tilfredse med det. No hadde dei vore utan
+fungerande datasystem i nesten eit år. Difor fekk eg opp ein ny tenar
+utanfor prosjektet og installerte Skulelinux på den. Etter litt
+justering av konfigurasjonen med god hjelp av #skolelinux på IRC, var
+den nye tenaren oppe og gjekk med både tynne og halv-tjukke klientar.
+Autentisering gjekk mot det nye systemet, slik at elevar og lærarar
+framleis har same brukarnamn og passord over alt. Dette berre
+fungerte, og vi bestemte oss for å erstatte delar av løysinga vi
+skulle få levert med Skulelinux.</p>
+
+<p>Det høyrer med til historia at det nye systemet eg skulle drive frå
+januar 2008 endå ikkje er ferdig levert. Dei jobbar med saka, seier
+dei, og har von om å fullføre leveransen i løpet av 2011.</p>
+
+<p><strong>Hva er fordelene med Skolelinux slik du ser det?</strong></p>
+
+<p>Det er veldig mange. Eg skal ta nokre få.</p>
+
+<p>Den viktigaste fordelen er at det igrunn berre er ei maskin å passe
+på, og det er tenaren. Med andre løysingar har ein gjerne programvare
+og anna som skal vedlikehaldast på kvar enkelt maskin. Med Skulelinux
+kan alle feil rettast og alle program oppgraderast på alle maskiner
+samstundes ved å gjere endringa som må til på tenaren. Eg kan sitje
+på kontoret og passe på alle tenarane i kommunen derifrå.</p>
+
+<ul>
+
+<li>Tynne klientar gjer det mogleg å bruke eldre utstyr lenge, so lenge
+tenaren er sterk nok. Ein liten tenar med eit par halv-moderne CPUar
+og 2 GiB RAM held lenge for eit typisk klasserom med 30 tynnklientar,
+og det er lett å utvide med fleire.
+
+<li>Halvtjukke klientar gjer det mogleg å utnytte kapasiteten i litt
+nyare maskiner betre, og avlaste tenaren. Ingenting vert installert
+lokalt på desse heller, og harddisken kan gjerne koblast frå. Gode
+halvtjukke klientar kan kjøpast brukt for under 1000-lappen, og det er
+heile kostnaden. Ingen lisensar eller anna på toppen, og det er ikkje
+krav til kraftigare tenar heller.
+
+<li>Det er Linux. Vi har ikkje noko kluss med drivarar, dei berre er
+der. Heller ikkje med virus, dei finst i realiteten ikkje. Eller med
+elevar som klussar med installert programvare, for dei klarar ikkje å
+øydeleggje for nokon andre enn seg sjølve.
+
+</ul>
+
+<p>Skulelinux er lagt opp til å vere veldig lett å installere rett ut
+av boksen på ein heil skule av ein interessert lærar. Det er ofte ei
+god løysing for skulen. à ha nokon til stades som kjenner systemet og
+kan forklare enkle ting eller løyse problem der og då, er uvurderleg
+viktig for ein stressa lærar fem minutt før det ringer inn.</p>
+
+<p><strong>Hva er ulempene med Skolelinux slik du ser det?</strong></p>
+
+<p>All den ferdige konfigurasjonen gjer det tungvint å tilpasse
+Skulelinux til eit system som skal fungere saman med mange andre
+installasjonar i eit felles datanett for skulane i ein kommune. Det
+heile er prekonfigurert for ein skule, og utviding til mange skular
+med eigne tenarar er ikkje berre enkelt.</p>
+
+<p><strong>Hvilken fri programvare bruker du til daglig?</strong></p>
+
+<p>Eg brukar mest alle små hjelpeprogram som føl med operativsystemet,
+samt scriptspråket perl. Elles er Firefox/Iceweasel, Gnome-terminal
+og ssh i kontinuerleg bruk. Av Linux-distribusjonar brukar eg både
+Debian, Ubuntu, SuSE og RedHat dagleg. Eg prøvar å finne det verktyet
+som passar best til kvar del av jobben.</p>
+
+<p><strong>Hvilken strategi tror du er den rette å bruke for å få
+skoler til å ta i bruk fri programvare?</strong></p>
+
+<p>Det er to målgrupper ein må sikte mot. Det eine er alle skulane som
+manglar eller har eit lite tilfredsstillande opplegg i dag, og ikkje
+har råd til å kjøpe noko nytt og blankpussa opplegg. Der er det om å
+gjere å gjere det enkelt for skulane å finne Skulelinux, og gjere det
+enkelt for dei å få hjelp til installasjon på skulen. Gjerne med
+lokale kontaktpersonar. Her er det dugnadsinnsats som må til, for
+desse skulane har ikkje råd til å betale for dette.</p>
+
+<p>Den andre og kanskje viktigare målgruppa er dei meir eller mindre
+profesjonelle kundane. Alle store offentlege innkjøp, inkludert
+innkjøp av nytt datasystem for skular, må ut på offentleg anbod.
+Offentlege anbod er mykje meir lukka enn dei gjev inntrykk av, og både
+regelboka og boka med triks for å sminke tilbodet er tjukk. Det er
+vanskeleg å komme inn utan eit solid salsapparat i ryggen. Kanskje
+Skulelinux skulle prøve aktivt å få seg eit partnarskap med eit av dei
+store som gjerne vil sterkare inn på den offentlege IT-marknaden?
+Nokon som kjenner triksa og har krefter til å ta opp kampen mot både
+dårlege anbod og Rudolf Blostrupmoen IT AS. Leveranse til skulane i
+ein kommune er ein god måte å få ein fot inn døra som leverandør til
+ein lukrativ kommunemarknad som kjøper alle tenester. Ta kontakt med
+nokon som er passeleg store og ikkje er Microsoft-partnar, og fortell:
+«Vi har eit ferdig produkt som du kan selje. Nei vi skal ikkje ha for
+det. Du kan gjerne gjere kva du vil med det, berre vi får lov til å
+hjelpe deg. MÃ¥lgruppa er alle kommunar, og det er noko dei vil ha.
+Det er eit godt produkt, brukt av mange og godt likt.»</p>
+
+
+
+
+ Which module is loaded for a given PCI and USB device?
+ http://people.skolelinux.org/pere/blog/Which_module_is_loaded_for_a_given_PCI_and_USB_device_.html
+ http://people.skolelinux.org/pere/blog/Which_module_is_loaded_for_a_given_PCI_and_USB_device_.html
+ Sun, 23 Jan 2011 00:20:00 +0100
+
+<p>In the
+<a href="http://packages.qa.debian.org/discover-data">discover-data</a>
+package in Debian, there is a script to report useful information
+about the running hardware for use when people report missing
+information. One part of this script that I find very useful when
+debugging hardware problems, is the part mapping loaded kernel module
+to the PCI device it claims. It allow me to quickly see if the kernel
+module I expect is driving the hardware I am struggling with. To see
+the output, make sure discover-data is installed and run
+<tt>/usr/share/bug/discover-data 3>&1</tt>. The relevant output on
+one of my machines like this:</p>
+
+<pre>
+loaded modules:
+10de:03eb i2c_nforce2
+10de:03f1 ohci_hcd
+10de:03f2 ehci_hcd
+10de:03f0 snd_hda_intel
+10de:03ec pata_amd
+10de:03f6 sata_nv
+1022:1103 k8temp
+109e:036e bttv
+109e:0878 snd_bt87x
+11ab:4364 sky2
+</pre>
+
+<p>The code in question look like this, slightly modified for
+readability and to drop the output to file descriptor 3:</p>
+
+<pre>
+if [ -d /sys/bus/pci/devices/ ] ; then
+ echo loaded pci modules:
+ (
+ cd /sys/bus/pci/devices/
+ for address in * ; do
+ if [ -d "$address/driver/module" ] ; then
+ module=`cd $address/driver/module ; pwd -P | xargs basename`
+ if grep -q "^$module " /proc/modules ; then
+ address=$(echo $address |sed s/0000://)
+ id=`lspci -n -s $address | tail -n 1 | awk '{print $3}'`
+ echo "$id $module"
+ fi
+ fi
+ done
+ )
+ echo
+fi
+</pre>
+
+<p>Similar code could be used to extract USB device module
+mappings:</p>
+
+<pre>
+if [ -d /sys/bus/usb/devices/ ] ; then
+ echo loaded usb modules:
+ (
+ cd /sys/bus/usb/devices/
+ for address in * ; do
+ if [ -d "$address/driver/module" ] ; then
+ module=`cd $address/driver/module ; pwd -P | xargs basename`
+ if grep -q "^$module " /proc/modules ; then
+ address=$(echo $address |sed s/0000://)
+ id=$(lsusb -s $address | tail -n 1 | awk '{print $6}')
+ if [ "$id" ] ; then
+ echo "$id $module"
+ fi
+ fi
+ fi
+ done
+ )
+ echo
+fi
+</pre>
+
+<p>This might perhaps be something to include in other tools as
+well.</p>
+
+
+
+
+ Skolelinux-intervju: Morten Amundsen
+ http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Morten_Amundsen.html
+ http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Morten_Amundsen.html
+ Sun, 23 Jan 2011 12:00:00 +0100
+
+<p>Denne gangen er det Tromsøkontoret til Friprog-senteret, og nyvalgt
+styremedlem i <a href="http://www.friprogramvareiskolen.no/">foreningen
+FRISK</a> jeg har fått i tale i min intervjuserie med
+<a href="http://www.skolelinux.org/">Skolelinux</a>-folk.</p>
+
+<p><strong>Hvem er du, og hva driver du med til daglig?</strong></p>
+
+<p>Jeg heter Morten Amundsen og jobber i
+<a href="http://www.friprog.no/">Friprog.no</a>, men er for tiden leid
+ut til <a href="http://www.bredbandsfylket.no/">Bredbåndsfylket
+Troms</a> der jeg jobber med ett prosjekt som heter
+"<a href="http://www.bredbandsfylket.no/skolefjoela.157417.no.html">Skolefjøla</a>"
+Vi ser på en åpen løsning som integrerer eksisterende lukkete
+løsninger sammen med fri programvare. Målet er å gi elever og lærere
+en plattform som de kan tilpasse utfra behov.</p>
+
+<p><strong>Hvordan kom du i kontakt med Skolelinux-prosjektet?</strong></p>
+
+<p>Skolelinux har jeg møtt ved flere anledninger opp gjennom åra, både gjennom
+entusiastiske skolelinuxbrukere og skeptiske "forståsegpåere" :-)</p>
+
+<p>Jeg husker en leverandør av et stort OS for noen år siden mente at
+Skolelinux var kun for hackere og nerder og at ingen seriøse skoler
+kunne ta dette i bruk. Heldigvis er kunnskapen større nå og
+skikkelige "IT-folk" søker alltid å utvide sin kunnskap.
+
+<p><strong>Hva er fordelene med Skolelinux slik du ser det?</strong></p>
+
+<p>Ja det er mange fordeler. Uavhengighet, stabilitet, åpenhet, standarder
+osv. Tror det er viktig at man ikke begrenser mulighetene på den plattformen
+elevene skal jobbe.</p>
+
+<p><strong>Hva er ulempene med Skolelinux slik du ser det?</strong></p>
+
+<p>Det største hinderet er det vi opplever på andre områder rundt
+fri programvare, nemlig kunnskap. For mange er det trygt å velge det vi
+alltid har valgt. Fordi leverandørene rundt oss sitter på den kunnskapen og
+de vi støtter oss på har den samme. Hvis vi klarer å riste løs litt og
+glemme gamle kriger mellom operativsystemer og leverandører, men sette ned
+hva som er viktig og velge ut fra det, så hadde man kanskje kommet ut med
+litt andre resultat. Jeg tror IT-folk er konservative og velger tradisjonelt
+og det er synd.</p>
+
+<p><strong>Hvilken fri programvare bruker du til daglig?</strong></p>
+
+<p>Jeg bruker Ubuntu, Android, Jolicloud, Open Office, Zimbra, Picasa
+og Firefox samt en bråte med tjenester som er webbasert. Det eneste
+som er betalingslisens for er OSX. Ser at jeg jobber mer og mer i
+skyen og setter pris på alt jeg slipper egen klient til. Derfor er
+jeg veldig sjarmert av små kjappe operativsystemer som krever minimalt
+av maskinvaren.</p>
+
+<p><strong>Hvilken strategi tror du er den rette å bruke for å få
+skoler til å ta i bruk fri programvare?</strong></p>
+
+<p>Tror en blanding av krav og informasjon er veien å gå. Krav om
+sikkerhet, oppetid og åpne standarder. Informasjon om muligheter og
+alternativer. Her har leverandører, IT-avdelinger og pedagoger en vei
+Ã¥ gÃ¥ sammen. Det er til slutt LÃRING det dreier seg om, og da mÃ¥ man
+få mest mulig læring for pengene man har.</p>
+
+
+
+
+ Using NVD and CPE to track CVEs in locally maintained software
+ http://people.skolelinux.org/pere/blog/Using_NVD_and_CPE_to_track_CVEs_in_locally_maintained_software.html
+ http://people.skolelinux.org/pere/blog/Using_NVD_and_CPE_to_track_CVEs_in_locally_maintained_software.html
+ Fri, 28 Jan 2011 15:40:00 +0100
+
+<p>The last few days I have looked at ways to track open security
+issues here at my work with the University of Oslo. My idea is that
+it should be possible to use the information about security issues
+available on the Internet, and check our locally
+maintained/distributed software against this information. It should
+allow us to verify that no known security issues are forgotten. The
+CVE database listing vulnerabilities seem like a great central point,
+and by using the package lists from Debian mapped to CVEs provided by
+the testing security team, I believed it should be possible to figure
+out which security holes were present in our free software
+collection.</p>
+
+<p>After reading up on the topic, it became obvious that the first
+building block is to be able to name software packages in a unique and
+consistent way across data sources. I considered several ways to do
+this, for example coming up with my own naming scheme like using URLs
+to project home pages or URLs to the Freshmeat entries, or using some
+existing naming scheme. And it seem like I am not the first one to
+come across this problem, as MITRE already proposed and implemented a
+solution. Enter the <a href="http://cpe.mitre.org/index.html">Common
+Platform Enumeration</a> dictionary, a vocabulary for referring to
+software, hardware and other platform components. The CPE ids are
+mapped to CVEs in the <a href="http://web.nvd.nist.gov/">National
+Vulnerability Database</a>, allowing me to look up know security
+issues for any CPE name. With this in place, all I need to do is to
+locate the CPE id for the software packages we use at the university.
+This is fairly trivial (I google for 'cve cpe $package' and check the
+NVD entry if a CVE for the package exist).</p>
+
+<p>To give you an example. The GNU gzip source package have the CPE
+name cpe:/a:gnu:gzip. If the old version 1.3.3 was the package to
+check out, one could look up
+<a href="http://web.nvd.nist.gov/view/vuln/search?cpe=cpe%3A%2Fa%3Agnu%3Agzip:1.3.3">cpe:/a:gnu:gzip:1.3.3
+in NVD</a> and get a list of 6 security holes with public CVE entries.
+The most recent one is
+<a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0001">CVE-2010-0001</a>,
+and at the bottom of the NVD page for this vulnerability the complete
+list of affected versions is provided.</p>
+
+<p>The NVD database of CVEs is also available as a XML dump, allowing
+for offline processing of issues. Using this dump, I've written a
+small script taking a list of CPEs as input and list all CVEs
+affecting the packages represented by these CPEs. One give it CPEs
+with version numbers as specified above and get a list of open
+security issues out.</p>
+
+<p>Of course for this approach to be useful, the quality of the NVD
+information need to be high. For that to happen, I believe as many as
+possible need to use and contribute to the NVD database. I notice
+RHEL is providing
+<a href="https://www.redhat.com/security/data/metrics/rhsamapcpe.txt">a
+map from CVE to CPE</a>, indicating that they are using the CPE
+information. I'm not aware of Debian and Ubuntu doing the same.</p>
+
+<p>To get an idea about the quality for free software, I spent some
+time making it possible to compare the CVE database from Debian with
+the CVE database in NVD. The result look fairly good, but there are
+some inconsistencies in NVD (same software package having several
+CPEs), and some inaccuracies (NVD not mentioning buggy packages that
+Debian believe are affected by a CVE). Hope to find time to improve
+the quality of NVD, but that require being able to get in touch with
+someone maintaining it. So far my three emails with questions and
+corrections have not seen any reply, but I hope contact can be
+established soon.</p>
+
+<p>An interesting application for CPEs is cross platform package
+mapping. It would be useful to know which packages in for example
+RHEL, OpenSuSe and Mandriva are missing from Debian and Ubuntu, and
+this would be trivial if all linux distributions provided CPE entries
+for their packages.</p>