X-Git-Url: http://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/576e8be428a68066ae35913f959bc287f0bd59ff..da7d3d80e19995058ec649feb04b33a21e3a70d6:/blog/index.html?ds=sidebyside diff --git a/blog/index.html b/blog/index.html index 5a9702779a..3ee3281c86 100644 --- a/blog/index.html +++ b/blog/index.html @@ -20,154 +20,198 @@
-
Using NVD and CPE to track CVEs in locally maintained software
-
2011-01-28 15:40
+
1000 problemer rapportert via FiksGataMi på litt over to dager
+
2011-03-09 23:45
-

The last few days I have looked at ways to track open security -issues here at my work with the University of Oslo. My idea is that -it should be possible to use the information about security issues -available on the Internet, and check our locally -maintained/distributed software against this information. It should -allow us to verify that no known security issues are forgotten. The -CVE database listing vulnerabilities seem like a great central point, -and by using the package lists from Debian mapped to CVEs provided by -the testing security team, I believed it should be possible to figure -out which security holes were present in our free software -collection.

- -

After reading up on the topic, it became obvious that the first -building block is to be able to name software packages in a unique and -consistent way across data sources. I considered several ways to do -this, for example coming up with my own naming scheme like using URLs -to project home pages or URLs to the Freshmeat entries, or using some -existing naming scheme. And it seem like I am not the first one to -come across this problem, as MITRE already proposed and implemented a -solution. Enter the Common -Platform Enumeration dictionary, a vocabulary for referring to -software, hardware and other platform components. The CPE ids are -mapped to CVEs in the National -Vulnerability Database, allowing me to look up know security -issues for any CPE name. With this in place, all I need to do is to -locate the CPE id for the software packages we use at the university. -This is fairly trivial (I google for 'cve cpe $package' and check the -NVD entry if a CVE for the package exist).

- -

To give you an example. The GNU gzip source package have the CPE -name cpe:/a:gnu:gzip. If the old version 1.3.3 was the package to -check out, one could look up -cpe:/a:gnu:gzip:1.3.3 -in NVD and get a list of 6 security holes with public CVE entries. -The most recent one is -CVE-2010-0001, -and at the bottom of the NVD page for this vulnerability the complete -list of affected versions is provided.

- -

The NVD database of CVEs is also available as a XML dump, allowing -for offline processing of issues. Using this dump, I've written a -small script taking a list of CPEs as input and list all CVEs -affecting the packages represented by these CPEs. One give it CPEs -with version numbers as specified above and get a list of open -security issues out.

- -

Of course for this approach to be useful, the quality of the NVD -information need to be high. For that to happen, I believe as many as -possible need to use and contribute to the NVD database. I notice -RHEL is providing -a -map from CVE to CPE, indicating that they are using the CPE -information. I'm not aware of Debian and Ubuntu doing the same.

- -

To get an idea about the quality for free software, I spent some -time making it possible to compare the CVE database from Debian with -the CVE database in NVD. The result look fairly good, but there are -some inconsistencies in NVD (same software package having several -CPEs), and some inaccuracies (NVD not mentioning buggy packages that -Debian believe are affected by a CVE). Hope to find time to improve -the quality of NVD, but that require being able to get in touch with -someone maintaining it. So far my three emails with questions and -corrections have not seen any reply, but I hope contact can be -established soon.

+

Etter mandagens lansering av +FiksGataMi har responsen vært +enorm, og de første 1000 problemene er allerede rapportert. Noen +saker er allerede løst, og responstiden til +Bø i Nordland og +Melhus imponerer +stort. Slikt burde gjøre innbyggerne der stolte. :)

+ +

En utfordring for FiksGataMi er håndtering av fylkes- og riksveier +som ikke skal til kommunen men til fylket eller staten. Problemet er +at vi mangler en datakilde som kan brukes til å identifisere hvilket +geografisk område som administreres av fylket og staten (dvs. vei, +grøfter, gjerder og slikt). Det vi trenger er maskinlesbare +georefererte eiendomsgrenser over eiendommene som hører til fylkes- og +riksveier. Når vi har det, kan vi videreutvikle fiksgatami til å +håndtere eiendomsgrenser i tillegg til dagens kommune- og +fylkesgrenser. Så vi trenger datakilder uten bruksbegrensninger og +litt finansiering for å ta dem i bruk.

+ +

Men noen kommuner håndterer denne utfordringen elegant likevel og +til det beste for innsender ved å sende saken videre til riktig +instans og notere dette i FiksGataMi. De første som gjorde dette var +så vidt jeg kan se +Lørenskog. All kudos +til dem!

+ +

I morgen tidlig skal Christer på NRK Østlandssendingen og snakke om +FiksGataMi. Jeg gleder meg til å høre opptaket og se hvilken respons +det fører til på innrapporteringen. Jeg forsøker å holde +oversikt over omtalen +NUUG og FiksGataMi på NUUGs websider, og responsen så langt har vært +veldig god. De fleste kommunene er veldig positive til tjenesten. De +som hadde lignende løsninger er ikke så fornøyde, noe jeg kan forstå. +På den positive siden får innbyggerne i disse kommunene nå et valg om +hvilken løsning de vil benytte seg av, og konkurranse er en fin ting +for å dyrke frem de beste løsningene. :)

+
+
+ -

An interesting application for CPEs is cross platform package -mapping. It would be useful to know which packages in for example -RHEL, OpenSuSe and Mandriva are missing from Debian and Ubuntu, and -this would be trivial if all linux distributions provided CPE entries -for their packages.

+ + Tags: fiksgatami, kart, norsk. + +
+
+
+ +
+
FiksGataMi lansert, og responsen har vært overveldende
+
2011-03-08 15:30
+
+

I går lanserte vi i foreningen NUUG +FiksGataMi, med +pressemelding +på epost til alle NUUGs annonseringsliste, medlemmene, alle +landets redaksjoner og alle landets kommuner og fylkeskommuner. +Responsen har vært formidabel, og vi har en enorm baklogg av +henvendelser å følge opp. Vi jobber oss sakte men sikkert igjennom +stabelen. Alt sendes til NUUGs RT-instans slik at ingen blir glemt. +Hvis du har kommentarer og spørsmål, bruk +kontaktfeltet på +FiksGatami, eller send epost til adressen som er oppgitt der.

+ +

Pr nå er det kommet inn over 600 problemer som er rapportert videre +til kommuner og fylker. Jeg hentet ut fordelingen på kategorier nå +nettopp, for å se hva som opptar innbyggerne rundt om i det ganske +land. Det er mest aktivitet i Trondheim, fulgt av Oslo og Bergen, men +godt over 100 kommuner og fylker har fått meldinger fra innbyggerne +via FiksGatami så langt.

+ + + + + + + + + + + + + + + + + + + + + + + + + +
countcategory
398Hull i vei
83Gater/Veier
65Snøbrøyting
54Gatelys
46Annet
30Fortau/gangstier
17Tette avløpsrister
10Trafikkskilter
7Parkering
7Forlatte kjøretøy
4Trafikklys
4Sykkelveier
4Forsøpling
3Buss- og togstopp
3Vannforsyning
3Universell utforming
3Trær
2Graffiti/tagging
2Dumpet skrot
1Park/landskap
1Ulovlige oppslag
1Offentlige toaletter
+ +

Det gjenstår endel jobb med skalering før vi er fornøyd med +ytelsen, og så må vi få skrevet litt mer informasjon til kommunene om +hvordan systemet fungerer, slik at de vet mer hvordan de kan bidra til +å gjøre brukeropplevelsen for innbyggerne enda bedre.

+ +

Til de som synes sitt lokalområde har dårlig kart, så er det bare +en ting å si. Bidra til å gjør OpenStreetmap bedre ved +å tegne inn ditt lokalområde! Eller få det offentlige til å gi ut +bedre kartdata uten bruksbegrensninger. :)

+ +

Jeg vil presentere FiksGataMi under +Go Open 2011, så vi +ses kanskje der?

- Tags: debian, english, sikkerhet. + Tags: fiksgatami, kart, norsk.
-
Skolelinux-intervju: Morten Amundsen
-
2011-01-23 12:00
+
Skolelinux-intervju: Astri Sletteng
+
2011-02-27 12:50
-

Denne gangen er det Tromsøkontoret til Friprog-senteret, og nyvalgt -styremedlem i foreningen -FRISK jeg har fått i tale i min intervjuserie med -Skolelinux-folk.

+

En dame som har bidratt lenge til fri programvare i skoleverket og +i foreningen som organiserer skolelinux-utviklersamlinger, +FRISK, er neste +intervjuoffer. Det er en glede å her presentere en lærer fra Håkvik.

Hvem er du, og hva driver du med til daglig?

-

Jeg heter Morten Amundsen og jobber i -Friprog.no, men er for tiden leid -ut til Bredbåndsfylket -Troms der jeg jobber med ett prosjekt som heter -"Skolefjøla" -Vi ser på en åpen løsning som integrerer eksisterende lukkete -løsninger sammen med fri programvare. Målet er å gi elever og lærere -en plattform som de kan tilpasse utfra behov.

+

Jeg heter Astri Sletteng. Jeg er lærer og IKT veileder ved Håkvik +skole i Narvik kommune. Min bakgrunn når det gjelder IKT: Av formell +utdannelse har jeg lærerutdanning, Master i skoleledelse og IKT for +lærere. Har jobba som IKT veileder siden 2002.

-

Hvordan kom du i kontakt med Skolelinux-prosjektet?

+

Det viktigste for meg som IKT veileder er å få fundamentert den +5. basisferdigheten, digital kompetanse ved skolen min på en god måte +slik at hele skolesamfunnet tar i bruk IKT i alle fag. Dette arbeidet +gjøres i nært samarbeid med skolens ledelse.

-

Skolelinux har jeg møtt ved flere anledninger opp gjennom åra, både gjennom -entusiastiske skolelinuxbrukere og skeptiske "forståsegpåere" :-)

+

Min viktigste jobb som IKT veileder er å være motivator og pådriver +i IKT arbeidet ved skolen.

-

Jeg husker en leverandør av et stort OS for noen år siden mente at -Skolelinux var kun for hackere og nerder og at ingen seriøse skoler -kunne ta dette i bruk. Heldigvis er kunnskapen større nå og -skikkelige "IT-folk" søker alltid å utvide sin kunnskap. +

Hvordan kom du i kontakt med Skolelinux-prosjektet?

+ +

Jobber i en kommune hvor vi satser på Fri programvare. I 2004 ble +det gjort et politisk vedtak om at vi skulle innføre Skolelinux ved +alle skolene i kommunen. Jeg har dermed en god del erfaring med +Skolelinux, samt annen fri programvare som Open Office, Joomla, Moodle +etc.

Hva er fordelene med Skolelinux slik du ser det?

-

Ja det er mange fordeler. Uavhengighet, stabilitet, åpenhet, standarder -osv. Tror det er viktig at man ikke begrenser mulighetene på den plattformen -elevene skal jobbe.

+

Siden vi jobber med åpen kildekode kan vi få programmene og +produktene tilpasset vår bruk. Det er jo heller ikke en ulempe at +skolen kommer bedre ut økonomisk, men først og fremst er det viktig +for oss at vi har digitale systemer som gjør at vi kan følge +læreplanen i alle fag. Det syns jeg at vi kan gjøre gjennom +Skolelinux.

Hva er ulempene med Skolelinux slik du ser det?

-

Det største hinderet er det vi opplever på andre områder rundt -fri programvare, nemlig kunnskap. For mange er det trygt å velge det vi -alltid har valgt. Fordi leverandørene rundt oss sitter på den kunnskapen og -de vi støtter oss på har den samme. Hvis vi klarer å riste løs litt og -glemme gamle kriger mellom operativsystemer og leverandører, men sette ned -hva som er viktig og velge ut fra det, så hadde man kanskje kommet ut med -litt andre resultat. Jeg tror IT-folk er konservative og velger tradisjonelt -og det er synd.

+

Skolen er avhengige av å ha folk på IT avdelinga i kommunen som kan +drive support, og være tilgjengelige når vi trenger hjelp. Det er en +ulempe at ikke alle på denne avdelingen nødvendigvis er god på +Linux.

+ +

Vi har også noen utfordringer når det kommer til spesielle +programmer som enkelte elever er avhengige av ? og som ikke er +plattform uavhengige. Her har vi i Friprog-verden, men også +departement en jobb å gjøre.

Hvilken fri programvare bruker du til daglig?

-

Jeg bruker Ubuntu, Android, Jolicloud, Open Office, Zimbra, Picasa -og Firefox samt en bråte med tjenester som er webbasert. Det eneste -som er betalingslisens for er OSX. Ser at jeg jobber mer og mer i -skyen og setter pris på alt jeg slipper egen klient til. Derfor er -jeg veldig sjarmert av små kjappe operativsystemer som krever minimalt -av maskinvaren.

+

Skolen vår bruker Skolelinux, Open Office, Iceweazel (Mozilla), +VLC, Tux paint, Scribus, FreeMind, GIMP, digiKam, Ksnapshot, GeoGebra, +Moodle (innført på alle klassetrinn + som et administrativt verktøy) +og Joomla som hjemmeside.

+ +

Det er de jeg kommer på i farten. I tillegg har vi Smartboard +installert på server, men det regnes vel ikke som fri programvare?

Hvilken strategi tror du er den rette å bruke for å få skoler til å ta i bruk fri programvare?

-

Tror en blanding av krav og informasjon er veien å gå. Krav om -sikkerhet, oppetid og åpne standarder. Informasjon om muligheter og -alternativer. Her har leverandører, IT-avdelinger og pedagoger en vei -å gå sammen. Det er til slutt LÆRING det dreier seg om, og da må man -få mest mulig læring for pengene man har.

+

Først og fremst trenger skolen oppetider på sine datasystemer. Syns +også at det at vi kan få tilpasset plattform og systemer til vår bruk +er en god strategi å bruke.

@@ -180,375 +224,220 @@ få mest mulig læring for pengene man har.

-
Which module is loaded for a given PCI and USB device?
-
2011-01-23 00:20
-
-

In the -discover-data -package in Debian, there is a script to report useful information -about the running hardware for use when people report missing -information. One part of this script that I find very useful when -debugging hardware problems, is the part mapping loaded kernel module -to the PCI device it claims. It allow me to quickly see if the kernel -module I expect is driving the hardware I am struggling with. To see -the output, make sure discover-data is installed and run -/usr/share/bug/discover-data 3>&1. The relevant output on -one of my machines like this:

- -
-loaded modules:
-10de:03eb i2c_nforce2
-10de:03f1 ohci_hcd
-10de:03f2 ehci_hcd
-10de:03f0 snd_hda_intel
-10de:03ec pata_amd
-10de:03f6 sata_nv
-1022:1103 k8temp
-109e:036e bttv
-109e:0878 snd_bt87x
-11ab:4364 sky2
-
- -

The code in question look like this, slightly modified for -readability and to drop the output to file descriptor 3:

- -
-if [ -d /sys/bus/pci/devices/ ] ; then
-    echo loaded pci modules:
-    (
-        cd /sys/bus/pci/devices/
-        for address in * ; do
-            if [ -d "$address/driver/module" ] ; then
-                module=`cd $address/driver/module ; pwd -P | xargs basename`
-                if grep -q "^$module " /proc/modules ; then
-                    address=$(echo $address |sed s/0000://)
-                    id=`lspci -n -s $address | tail -n 1 | awk '{print $3}'`
-                    echo "$id $module"
-                fi
-            fi
-        done
-    )
-    echo
-fi
-
- -

Similar code could be used to extract USB device module -mappings:

- -
-if [ -d /sys/bus/usb/devices/ ] ; then
-    echo loaded usb modules:
-    (
-        cd /sys/bus/usb/devices/
-        for address in * ; do
-            if [ -d "$address/driver/module" ] ; then
-                module=`cd $address/driver/module ; pwd -P | xargs basename`
-                if grep -q "^$module " /proc/modules ; then
-                    address=$(echo $address |sed s/0000://)
-                    id=$(lsusb -s $address | tail -n 1 | awk '{print $6}')
-                    if [ "$id" ] ; then
-                        echo "$id $module"
-                    fi
-                fi
-            fi
-        done
-    )
-    echo
-fi
-
- -

This might perhaps be something to include in other tools as -well.

-
-
- - - - Tags: debian, english. - -
-
-
- -
-
Skolelinux-intervju: Sturle Sunde
-
2011-01-19 12:00
+
Kategorisering av problemer på FiksGatami
+
2011-02-27 10:15
-

Denne gang har jeg fått tak i en mangeårig unix-mann som etter -mange år ved Universitetet i Oslo, der jeg først traff ham, har -flyttet tilbake til vestlandet, og der bidratt til å revitalisere -Skolelinux-oppsettet i -Florø.

- -

Hvem er du, og hva driver du med til daglig?

- -

Sturle Sunde, ansvarleg for skulenettet i Flora kommune. Eg driv, -vidareutviklar og er andrelinje brukarstøtte for datanettet ved -skulane i Flora kommune. 10 skular og meir enn 700 maskiner med -Linux, medrekna tynnklientar. Tidlegare jobba eg i mange år med -unix-drift ved Universitetets senter for informasjonsteknologi ved -Universitetet i Oslo.

- -

Hvordan kom du i kontakt med Skolelinux-prosjektet?

- -

Det er vanskeleg å svare konkret på. Eg har drive med Unix og Linux i -alle år, og Skulelinux er eit godt kjent prosjekt i miljøet. Det var -først i 2008, då eg tok til i min noverande jobb, at eg fekk bruk for -Skulelinux for alvor.

- -

Jobben min skulle vere drift av eit nytt skulenett i Flora kommune, -levert av eit firma eg ikkje vil reklamere for. Systemet skulle vere -ferdig levert i september året før. Dette viste seg å ta mykje lenger -tid, og i haustferien 2008 hadde dei endå ikkje klart å få opp ei -fungerande løysing. Situasjonen var prekær for den største skulen i -kommunen med meir enn 500 elevar på ungdomssteget. Skulen hadde brukt -Skulelinux før, og var tilfredse med det. No hadde dei vore utan -fungerande datasystem i nesten eit år. Difor fekk eg opp ein ny tenar -utanfor prosjektet og installerte Skulelinux på den. Etter litt -justering av konfigurasjonen med god hjelp av #skolelinux på IRC, var -den nye tenaren oppe og gjekk med både tynne og halv-tjukke klientar. -Autentisering gjekk mot det nye systemet, slik at elevar og lærarar -framleis har same brukarnamn og passord over alt. Dette berre -fungerte, og vi bestemte oss for å erstatte delar av løysinga vi -skulle få levert med Skulelinux.

- -

Det høyrer med til historia at det nye systemet eg skulle drive frå -januar 2008 endå ikkje er ferdig levert. Dei jobbar med saka, seier -dei, og har von om å fullføre leveransen i løpet av 2011.

- -

Hva er fordelene med Skolelinux slik du ser det?

- -

Det er veldig mange. Eg skal ta nokre få.

- -

Den viktigaste fordelen er at det igrunn berre er ei maskin å passe -på, og det er tenaren. Med andre løysingar har ein gjerne programvare -og anna som skal vedlikehaldast på kvar enkelt maskin. Med Skulelinux -kan alle feil rettast og alle program oppgraderast på alle maskiner -samstundes ved å gjere endringa som må til på tenaren. Eg kan sitje -på kontoret og passe på alle tenarane i kommunen derifrå.

+

Det nærmer seg lansering av NUUGs +Fiksgatami-tjeneste, og siste +finpuss på kategorisering gjøres i disse dager. Jeg har konkludert +med at ideen om +å +ta utgangspunkt i eksisterende kommunale tjenesters kategorisering +er en dårlig ide da det er viktigere å kategorisere fra et +brukersynspunkt enn å kategorisere ut fra hvordan kommunene er +organisert internt. Måtte dermed starte på nytt med +kategoriarbeidet.

+ +

Nå har jeg kommet opp med følgende forslag til kategorier, basert +på de som er i bruk på den britiske originalen, innspill på +IRC-kanalen til NUUG og folk rundt meg. Tar gjerne imot innspill på +kategoriene til epostlisten for prosjektet, +fiksgatami +(at) nuug.no.

+ +

Av tekniske årsaker kan kun bokmålsoversettelsen av det engelske +ordet 'Other' brukes som fellesbetegnelse for andre kategorier, +dvs. at også nynorsk-kommuner ender opp med 'Annet' som samlekategori. +Oversettelse av applikasjonen til nynorsk og nordsamisk får vente til +noen sponser den utviklingen som trengs for å få det til.

+ +

Her er så lista med kategorier jeg tror vi går i produksjon +med:

    -
  • Tynne klientar gjer det mogleg Ã¥ bruke eldre utstyr lenge, so lenge -tenaren er sterk nok. Ein liten tenar med eit par halv-moderne CPUar -og 2 GiB RAM held lenge for eit typisk klasserom med 30 tynnklientar, -og det er lett Ã¥ utvide med fleire. - -
  • Halvtjukke klientar gjer det mogleg Ã¥ utnytte kapasiteten i litt -nyare maskiner betre, og avlaste tenaren. Ingenting vert installert -lokalt pÃ¥ desse heller, og harddisken kan gjerne koblast frÃ¥. Gode -halvtjukke klientar kan kjøpast brukt for under 1000-lappen, og det er -heile kostnaden. Ingen lisensar eller anna pÃ¥ toppen, og det er ikkje -krav til kraftigare tenar heller. - -
  • Det er Linux. Vi har ikkje noko kluss med drivarar, dei berre er -der. Heller ikkje med virus, dei finst i realiteten ikkje. Eller med -elevar som klussar med installert programvare, for dei klarar ikkje Ã¥ -øydeleggje for nokon andre enn seg sjølve. +
  • Hull i veien
    • +
  • Gater/Veier
    • +
  • Fortau/gangstier
    • +
  • Veinavn-skilt
    • +
  • Sykkelvei
    • +
  • Glatt vei
    • +
  • Snøbrøyting
    • +
  • Gatelys
    • +
  • Dumpet skrot
    • +
  • Forsøpling
    • +
  • Parkering
    • +
  • Grafitti/tagging
    • +
  • Hundedritt
    • +
  • Gaterydding
    • +
  • Trafikkskilter
    • +
  • Forlatte kjøretøy
    • +
  • Trær
    • +
  • Trafikklys
    • +
  • Park/landskap
    • +
  • Ulovlige oppslag
    • +
  • Buss- og togstopp
    • +
  • Offentlige toalett
    • +
  • Vannforsyning
    • +
  • Tett avløpsrist
    • +
  • Oljesøl
    • +
  • Annet
-

Skulelinux er lagt opp til å vere veldig lett å installere rett ut -av boksen på ein heil skule av ein interessert lærar. Det er ofte ei -god løysing for skulen. Å ha nokon til stades som kjenner systemet og -kan forklare enkle ting eller løyse problem der og då, er uvurderleg -viktig for ein stressa lærar fem minutt før det ringer inn.

+

Er disse forståelige? Er det noen uforståelige overlapp? Noen +kategorier vi mangler som burde skilles ut fra 'Annet'? Er det noen +av disse kategoriene som ikke skal varsles til offentlig myndighet? +Gi tilbakemelding innen midten av kommende uke hvis du vil ha et ord +med i laget når det gjelder kategorisering.

-

Hva er ulempene med Skolelinux slik du ser det?

- -

All den ferdige konfigurasjonen gjer det tungvint å tilpasse -Skulelinux til eit system som skal fungere saman med mange andre -installasjonar i eit felles datanett for skulane i ein kommune. Det -heile er prekonfigurert for ein skule, og utviding til mange skular -med eigne tenarar er ikkje berre enkelt.

- -

Hvilken fri programvare bruker du til daglig?

- -

Eg brukar mest alle små hjelpeprogram som føl med operativsystemet, -samt scriptspråket perl. Elles er Firefox/Iceweasel, Gnome-terminal -og ssh i kontinuerleg bruk. Av Linux-distribusjonar brukar eg både -Debian, Ubuntu, SuSE og RedHat dagleg. Eg prøvar å finne det verktyet -som passar best til kvar del av jobben.

- -

Hvilken strategi tror du er den rette å bruke for å få -skoler til å ta i bruk fri programvare?

- -

Det er to målgrupper ein må sikte mot. Det eine er alle skulane som -manglar eller har eit lite tilfredsstillande opplegg i dag, og ikkje -har råd til å kjøpe noko nytt og blankpussa opplegg. Der er det om å -gjere å gjere det enkelt for skulane å finne Skulelinux, og gjere det -enkelt for dei å få hjelp til installasjon på skulen. Gjerne med -lokale kontaktpersonar. Her er det dugnadsinnsats som må til, for -desse skulane har ikkje råd til å betale for dette.

- -

Den andre og kanskje viktigare målgruppa er dei meir eller mindre -profesjonelle kundane. Alle store offentlege innkjøp, inkludert -innkjøp av nytt datasystem for skular, må ut på offentleg anbod. -Offentlege anbod er mykje meir lukka enn dei gjev inntrykk av, og både -regelboka og boka med triks for å sminke tilbodet er tjukk. Det er -vanskeleg å komme inn utan eit solid salsapparat i ryggen. Kanskje -Skulelinux skulle prøve aktivt å få seg eit partnarskap med eit av dei -store som gjerne vil sterkare inn på den offentlege IT-marknaden? -Nokon som kjenner triksa og har krefter til å ta opp kampen mot både -dårlege anbod og Rudolf Blostrupmoen IT AS. Leveranse til skulane i -ein kommune er ein god måte å få ein fot inn døra som leverandør til -ein lukrativ kommunemarknad som kjøper alle tenester. Ta kontakt med -nokon som er passeleg store og ikkje er Microsoft-partnar, og fortell: -«Vi har eit ferdig produkt som du kan selje. Nei vi skal ikkje ha for -det. Du kan gjerne gjere kva du vil med det, berre vi får lov til å -hjelpe deg. Målgruppa er alle kommunar, og det er noko dei vil ha. -Det er eit godt produkt, brukt av mange og godt likt.»

- Tags: debian edu, intervju, norsk. + Tags: fiksgatami, kart, norsk.
-
Masteroppgave fra UiO om RFID-sikkerhet
-
2011-01-18 15:10
+
Konsekvenser av unøyaktige kommunesgrenser for FiksGataMi
+
2011-02-22 14:00
-

Mens jeg forsetter famlingen rundt i RFID-verden, kom jeg over en -masteroppgave fra Institutt for Informatikk ved Universitetet i Oslo -med tittelen -"Investigation -of security features in Near-field communication (NFC)" og følgende -oppsummering:

- -
-

With the increasing use of NFC and RFID technology it is important -to look at the security, both for the user and for the system owner to -see that the system is reliable. NFC is a standard inheriting some of -the RFID standards and it is important to see how the old standards -have handled security and how it is handled in NFC. There are certain -RFID systems that are already in use, which is especially close to -NFC. For example is -Mifare a system used -in many public transportation systems as ticket and in contactless -access cards. Another example is -electronic -passports which uses a standard which is included in -NFC. Examining the security in these and also investigate the use of -NFC tags to make secure use of them is the focus in this thesis.

-
- -

Rapportens analyse av MiFare Classic, som tilfeldigvis er systemet -som brukes Universitetet i Oslos nye student- og ansattkort, er -spesielt interessant for meg som jobber her. Sikkerheten i MiFare -Classic ble reversutviklet og problemene i sikkerheten presentert for -CCC -i 2007. Det er i dag mulig å klone slike kort.

+

Arbeidet med å få på plass NUUGs +Fiksgatami-tjeneste går videre +uten stans. Den vil som tidligere nevnt bruke de beste +kommunegrensene vi har klart å få tak i, fra OpenStreetmap.org. Ofte +vil unøyaktighetene ikke har mye konsekvenser, da kommunegrenser ofte +går lagt fra der det bor mye folk, men av og til vil det påvirke +flere. Kom over et eksempel i dag, der grensestreken går midt i +tettbygd strøk og henvendelser via FiksGataMi nok vil bli feilsendt +pga. at det offentlige nekter å fortelle oss på maskinlesbart format +hvor kommunegrensa går.

+ +

Grensa mellom Tønsberg og Nøtterøy er +i +dag tegnet opp slik at den går midt igjennom Ollebukta marina og +lar Ørsnes ligge i en kommune mens Ørsnesalleen går over to kommuner. +Min erfaring med kommuneoppdeling får meg til å tro at dette neppe +stemmer.

Vi får bare håpe at noen med lokalkunnskap går inn og korrigerer +grensestreken i OpenStreetmap.org slik at den blir mer nøyaktig, eller +at det offentlige snur og publiserer i hvert fall +kommunegrenseinformasjonen på maskinlesbart format uten +bruksbegresninger, slik at FiksGataMi har større sjanse til å sende +informasjon til riktig kommune.

+ +

Det går mot at det settes hardt mot hardt og en rettsak om temaet, +og +i +går ble det kjent at NUUG +Foundation støtter Fri Geo +Norge-prosjektet med deler av kostnadene forbundet med en rettsak +for å få tilgang til kommunegrensene fra kartverket. Jeg gleder meg til +fortsettelsen.

- Tags: norsk, personvern, rfid. + Tags: fiksgatami, kart, norsk.
-
Skolelinux-intervju: Embrik Kaslegard
-
2011-01-16 12:00
+
Skolelinux-intervju: Rubén Romero y Cordero
+
2011-02-16 12:00
-

Neste ut i min intervjuserie med folk i -Skolelinuxprosjektet er -lærer, mangeårig bidragsyter på epostlistene og tidligere -Skolelinux-administrator på en skole i Hemsedal.

+

Styret i foreningen som organiserer skolelinux-utviklersamlinger, +FRISK, er fullt av +flinke folk. Denne gangen har jeg fått et ferskt styremedlem som +kommer fra Ubuntu-miljøet i tale.

Hvem er du, og hva driver du med til daglig?

-

Embrik Kaslegard, 1964-modell, fire barn (7-20 år). Begynte som -lærer i 1989 - har hatt IKT-ansvar siden første året i jobb. Har -jobbet som lærer/IKT-ansvarlig uavbrutt siden 1989. Jobbet med -Skolelinux fra 2004 til 2010. Nå har jeg fått ny arbeidsplass og er -40% lærer og 60% IKT med Windows XP, Win2003 server og et regionalt -IKT-regime som legger premissene og begrensingene for hva vi kan gjøre -på skolen.

+

Rubén Romero y Cordero, 81-modell, deltidspappa (50%) for en jente +på 6 år. Jobber i Oslo som Global Sales Executive hos Varnish Software +og til daglig har jeg kontakt med kunder fra hele verden. Min +forkjærlighet for fri programvare har gjort at jeg har nå flere års +erfaring med salg av slike løsninger (bl.a. fra Redpill Linpro og +Freecode) og mye innsikt og kunnskap om det globale IT-markedet. +Ellers er jeg involvert i flere prosjekter bl.a. er jeg Ubuntu +Community medlem, kontaktpersonen for Ubuntu Norge og driveren av +SpreadUbuntu marketing prosjektet og nå fersk styremedlem i FRISK. Jeg +har brukt GNU/Linux siden 1997.

Hvordan kom du i kontakt med Skolelinux-prosjektet?

-

Jeg leste en artikkel om en dugnadsinstallasjon av Skolelinux på en -skole på Jæren et sted. Tanken om dugnad og frihet appellerte til -meg. Da vi skulle bygge ny skole var det en del vi måtte spare på, -fordi vi beveget oss mot en kostnadssprekk. Kabling og investering i -PC-er var en av tingene vi sparte på. Derfor kjøpe vi 72 pc-er for 390 -pr stk. En filtjener og en applikasjonsserver.

+

Som Debian bruker siden slutten av 90-tallet var det uunngåelig å +ikke komme bort i Skolelinux. Dette var vel i slutten av 2001 når jeg +var student ved UiO. Flere år senere fikk jeg lastet og testet Venus +(Skolelinux 1.0) på release dagen.

Hva er fordelene med Skolelinux slik du ser det?

-

Fordelen er at så mye er satt opp fra starten. I tillegg er det -tydelig at pakka er laga for skoleverket. Brukerne har egne -skrivebord, tilgang på mange gode verktøyprogrammer. Vi slipper å -tenke på virus. Brukerne har ikke mulighet til å ødelegge -klientoppsett, men har gode muligheter til å endre eget oppsett. Dette -tror jeg er inspirerende og kjekt for mange brukere. Mappestrukturen -er ferdig og det er "enkelt" å designe lokale mappestrukturer via -skeleton. Noen av oss i skoleverket mener skolen skal være en -"mot-kultur". Da er Skolelinux et av valgene man kan ta. Et annet er å -spise på indisk restaurant i stedet for Mc Donald's når vi er på bytur -osv.. Ordene deling, frihet, dugnad osv er positive ord i -skoleverket. Det er viktig at elevene blir bevisst dette.

+

Fri programvare bygges sten for sten i det åpne, slik at koden og +prosessen den lages på kan gjennomskues av andre enn de som har laget +det. Det er et vitenskapelig og gjennomsiktig måte å lage programvare +på.

+ +

Skoler i vårt samfunn skal være steder hvor vitenskapelig kunnskap +deles til alle. I dag har vi ikke et vitenskapelig tilnærming til +hvordan programvaren som brukes på skolen lages. Skolelinux bringer +inn at slik tilnærming i skoleverkets klasserom, siden +operativsystemet er en åpent platform som gir skolene muligheten til å +dra nytte av programvare som er laget av tusenvis av mennesker verden +rundt og som gir elevene så vel som lærerne muligheten til å bruke, +dele, forandre og forbedre OSet sitt uten begrensninger. I den +forbindelsen representerer Skolelinux også konkrete resultater utfra +samhandling på tvers av grenser.

+ +

Når det gjelder de tekniske fordelene av Skolelinux er jeg sikker +på at andre enn meg har allerede beskrevet disse bedre enn det jeg +kan. Men jeg kan likevel tilføye noe: Skolelinux som sådan er en +community-drevet operativsystemplatform. Som i ethvert +community-prosjekt har alle Skolelinux brukere muligheten til å +påvirke retning av prosjektet og resultatet som gjenspeiles i +programvaren. Dette kommer sjeldent frem og jeg mener at det er noe +som burde fokuseres mer på.

Hva er ulempene med Skolelinux slik du ser det?

-

Kompabiliteten er selvsagt et problem, selv om det er mindre nå enn -før. For IKT-personer på skolene som skal drifte dette er det -problematisk med kommandoer i terminalen. I tillegg er det alt for -mange programmer i Skolelinux som ikke blir brukt. Jeg tror -Skolelinux er tjent med å tone ned begrepet pedagogisk programvare. -Slik jeg ser det finnes ikke denne kategorien programmer lengre slik -de gjorde før, som frittsående programmer som installeres på en -datamaskin eller på serveren. Det finnes en del spesialpedagogiske -programmer, som Textpilot, LingDys, LingRight, AskiRaski, Ny i Norge -osv. Men dette er programmer for enkelt-elever eller små grupper av -elever. Det som bør være fokus er at alle undervisningsressurser som -lages for nettet skal være nettleseruavhengig.

+

De største ulempene er:

+ +
    +
  • Mangel pÃ¥ kompetanse
    • +
  • Mangel av administrative verktøy som kunne hjelpe lokale IT + avdelinger Ã¥ bruke Skolelinux til mer enn bare en tjener for + terminalklienter. Et eksempel: Zentyal sin web-dashboard.
    • +
+ +

Bedre og mer intuitive administrative verktøy kunne løst deler av +problemet, men det er unektelig at ved bruk av Skolelinux må +IT-personalet vite hva de gjør for å få ting gjort riktig, eller i det +hele tatt. Med andre platformer er kompetansen enklere tilgjengelig og +løsningene kan fungere på en tilfredstillende, om ikke riktig +måte.

Hvilken fri programvare bruker du til daglig?

-

OpenOffice bruker jeg til vanlig kontorarbeide. VLC bruker jeg som -videoavspiller og av og til streaming av film. Gimp bruker jeg i -undervisningen til bildemanipulering. Firefox og Chrome er mine -favoritt-nettlesere. Firefox har lenge vært førstevalget mitt, nå -bruker jeg mest Chrome. Opplever den som raskere og smidigere enn -Firefox. Ubuntu bruker jeg som dualboot på jobb-maskinen min i -tillegg til at alle PCer hjemme har en eller annen Ubuntu-distribusjon -installert. Jeg bruker Clonezilla på Ubuntu 10.04 til kloning av -datamaskiner på jobb. Det er selvsagt en haug andre frie programmer -jeg bruker men jeg bruker dem ikke daglig. Jeg kan ramse opp: -recordmydesktop, cinelerra, acidrip, soundjuicer, audacity, NX -(no-machine), Kino, Rythmbox...

+

Har brukt GNU/Linux utelukkende sommitt skrivebord OS siden 2000. I +dag bruker jeg Ubuntu og gjør det meste med friprogramvare verktøyene +som er tilgjengelige der. Med over 20.000 programmer å velge mellom er +dette mer enn nok for de fleste brukerne.

Hvilken strategi tror du er den rette å bruke for å få skoler til å ta i bruk fri programvare?

-

Jeg tror oppsøkende virksomhet er den rette strategien. -Ressurspersoner gjør avtaler med rådmenn, skolesjefer, rektorer. Det -er slik konkurrentene gjør det. Fokuset i slike samtaler bør være -kost-nytte. Dersom personer med økonomisk ansvar ser at de kan få -like godt tilbud til mindre utgifter, tror jeg det er mulighet til å -få innpass. Dersom de også kan få konkrete tilbud på drift i slike -samtaler, vil de kanskje bli litt mer interesserte i hvor mye penger -som faktisk går til IKT i skolene. Det er også viktig at vi ikke -firer for mye på krav til datamaskiner. Det er flott at Skolelinux -går på "utrangert" utstyr, men dette bør bare presenteres som et -alternativ. Skolelinux-installasjoner med utrangert utstyr er ikke å -foretrekke dersom man kan unngå det. Det skaper ikke entusiasme hos -brukerne (elever og lærere) når de bruker gamle datamaskiner som går -tregt. Det er kjempefint med skoler som har kommet seg frem til -Skolelinux og fri programvare av seg selv, men de lever på nåde. -Slike valg må fundamenteres hos skoleeier.

- -

Oppdatering 2011-01-16 22:40: Oppdatert svarene for de tre siste -spørsmålene litt mer tekst fra Embrik.

+

Opplysning og pragmatikk. Vi prøver å løse problemer med bruk av +programvare. De fleste utfordringene skolene har på IKT-siden kan +løses ved hjelp av friprogramvareverktøy i dag. Det som trenges er +opplysning, kunnskap og kompetanse.

@@ -561,288 +450,312 @@ spørsmålene litt mer tekst fra Embrik.

-
Radiomerking med RFID
-
2011-01-16 11:40
+
Fiksgatami tar form - snart klar for test
+
2011-02-13 21:10
-

Bruken av RFID brer om seg. Klær, matvarer, borgere, elever, -studenter og ansatte blir radiomerket på en måte som gjør det enkelt å -følge med på hvor de beveger seg. -Historien -fra Enterprise Charter School i Buffalo, New York beskriver -drømmen om massiv overvåkning av bevegelsesmønsteret til elevene -vha. RFID. For de fleste får jeg inntrykk av at overgangen virker -ganske liten, da de allerede er radiomerket med GSM-telefoner som -rapporterer hvor de er til enhver tid. Personlig ser jeg på retten -til å ferdes anonymt og uten å bli overvåket som fundamental for å -beholde et demokratisk og fritt samfunn, og tror denne retten kun -overlever hvis den blir brukt av borgerne, og velger derfor å ikke gå -rundt med radiopeilesender på meg.

- -

RFID-merking av folk, det være seg med busskort fra Ruter, student- -og ansattkort for Universitetet i Oslo, nyere pass eller i klær som -folk går med er radiomerking av befolkningen.

- -

For å kunne sette meg inn i RFID-teknologi ser jeg etter en norsk -leverandør som kan selge meg en RFID leser/skriver med USB-tilkobling -som kan brukes til å se hva som er RFID-merket i dag. Jeg er fortalt -at Ruter sitt -Flexus-kort -bruker 13,56 MHz som kan leses og skrives til, mens andre dinger -typisk bruker 125 kHz som i utgangspunktet kun kan leses fra. Det -finnes også andre frekvenser i bruk. Vet ikke hva som finnes av -rimelig utstyr for lesing og skriving, men ble tipset om at -Robonor har -endel slike deler. Programvare på Linux for å lese og skrive mot RFID -er tilgjengelig fra blant andre Open -Proximity Coupling Devices-prosjektet og -RFDump-prosjektet.

- -

Blokkering av RFID-signaler ser ut til å være mulig ved å plassere -kort med RFID i en metallboks. Min kortmappe med metall-plate for å -stive av, lot i hvert fall til å blokkere for Ruters avlesning av -Flexus-kort. Er også blitt fortalt at det fungerer å bruke en liten -metall-boks. Er ikke sikker på om dette også blokkerer for mer -følsomme lesere som kan lese av RFID-signaler på mange meters -avstand.

- -

De nye norske biometriske passene kan enkelt leses av på avstand og -kopieres med RFID, slik at de som ønsker det kan å se bilde av -nordmenn i nærheten, og informasjon om fingeravtrykk, høyde, hårfarge -og det meste av informasjon om innehaveren. For meg virker det som en -massiv sikkerhetsrisko, og det er meg et komplett mysterium at -Stortinget og regjeringen har gått med på RFID-merking av pass. -wikipedia har -mer om de nye biometriske passene.

+

NUUGs Fiksgatami-tjeneste +tar sakte form, og den siste uka har vi betalt +mySociety i England for å +tilpasse kildekoden til deres tjeneste slik at den skal fungere for +Norge. I løpet av kommende uke regner jeg at vi skal i gang med +testing.

+ +

For å forberede testing, har jeg tatt en titt på hva slags +informasjon som samles inn av kommuner som har lignende tjeneste for +sin kommune allerede på plass. Jeg har tittet på tjenestene til +Tromsø, +Porsgrunn +og Kongsvinger. Jeg +tittet også på +Askers, +som er litt på siden at det jeg skriver om her

+ +

Om problemet samles alle tjenestene inn plassering, enten som +adresse eller som kartkoordinat. De samler også inn en +oppsummering/overskrift og en lengre beskrivelse, og noen av dem +tillater bilde og vedlegg lagt ved. Alle problemene tildeles en +kategori, og det er stort overlapp i kategoriseringen:

+ + + + + + + + + + + + + +
Tromsø Porsgrunn Kongsvinger
Vei Hull i veg Veg/Vegvedlikehold
Skilt/Trafikksikkerhet
Gatelys Gatelys virker ikke Gatelys
Vann og avløp Vann og avløp Vann/Avløp
Park Park Park/Grønt
Friluftsliv Friluft
Renovasjon Renovasjon Renovasjon/Avfall
Grafitti-Tagging Grafitti/Tagging
Forsøpling
Annet Annet Annet
+ +

Om de som rapporterer inn problemet, blir det samlet inn navn, +epostadresse, et eller to telefonnummer og for Asker postadresse. +Noen vil også vite hvordan tilbakemelding ønskes, dvs. epost, telefon +eller via post.

+ +

Fiksgatami skulle kunne håndtere innsending til disse kommunene +uten større problemer, tror jeg. Kategorier defineres per område, +slik at kommunene kan få meldinger inndelt i de kategoriene de +trenger. Fiksgatami samler i utgangspunktet kun inn navn og +epostadresse for innsender, og det tror jeg vi skal fortsette med.

- Tags: norsk, personvern, rfid. + Tags: fiksgatami, kart, norsk.
-
The video format most supported in web browsers?
-
2011-01-16 00:20
+
Bedre kommunegrense for Oslo i OpenStreetmap.org
+
2011-02-07 10:35
-

The video format struggle on the web continues, and the three -contenders seem to be Ogg Theora, H.264 and WebM. Most video sites -seem to use H.264, while others use Ogg Theora. Interestingly enough, -the comments I see give me the feeling that a lot of people believe -H.264 is the most supported video format in browsers, but according to -the Wikipedia article on -HTML5 video, -this is not true. Check out the nice table of supprted formats in -different browsers there. The format supported by most browsers is -Ogg Theora, supported by released versions of Mozilla Firefox, Google -Chrome, Chromium, Opera, Konqueror, Epiphany, Origyn Web Browser and -BOLT browser, while not supported by Internet Explorer nor Safari. -The runner up is WebM supported by released versions of Google Chrome -Chromium Opera and Origyn Web Browser, and test versions of Mozilla -Firefox. H.264 is supported by released versions of Safari, Origyn -Web Browser and BOLT browser, and the test version of Internet -Explorer. Those wanting Ogg Theora support in Internet Explorer and -Safari can install plugins to get it.

- -

To me, the simple conclusion from this is that to reach most users -without any extra software installed, one uses Ogg Theora with the -HTML5 video tag. Of course to reach all those without a browser -handling HTML5, one need fallback mechanisms. In -NUUG, we provide first fallback to a -plugin capable of playing MPEG1 video, and those without such support -we have a second fallback to the Cortado java applet playing Ogg -Theora. This seem to work quite well, as can be seen in an example -from last week.

- -

The reason Ogg Theora is the most supported format, and H.264 is -the least supported is simple. Implementing and using H.264 -require royalty payment to MPEG-LA, and the terms of use from MPEG-LA -are incompatible with free software licensing. If you believed H.264 -was without royalties and license terms, check out -"H.264 – Not The Kind Of -Free That Matters" by Simon Phipps.

- -

A incomplete list of sites providing video in Ogg Theora is -available from -the -Xiph.org wiki, if you want to have a look. I'm not aware of a -similar list for WebM nor H.264.

- -

Update 2011-01-16 09:40: A question from Tollef on IRC made me -realise that I failed to make it clear enough this text is about the -<video> tag support in browsers and not the video support -provided by external plugins like the Flash plugins.

+

Tidlig i januar oppdaget vi i +OpenStreetmap.org-prosjektet +at Oslo kommune har tatt i bruk OpenStreetmap.org for å vise frem +hvor +piggdekkavgiften gjelder, dvs. kommunegrensa. Årsaken til at +denne siden bruker OpenStreetmap.org og ikke kommunens eget +kartgrunnlag, er ganske absurd. Kommunens kart vedlikeholdes og +styres av Plan og Bygningsetaten, mens det er Samferdselsetaten som +styrer med piggdekkavgift og som har laget siden om piggdekkavgiften. +I avtalen mellom Samferdselsetatet og Plan og Bygningsetaten om bruk +av kommunens kart står det at kartet kun kan brukes internt, og dermed +ikke publiseres på Internet. Oslo kommune forbyr altså Oslo kommune å +publisere informasjon om sin kommunegrense på Internet. Ironien er +upåklagelig, og årsaken er som alltid penger.

+ +

Vi i OpenStreetmap.org-prosjektet synes det er veldig gledelig at +Oslo kommune vil bruke kartet vårt, men det var et lite problem rundt +bruken av kommunegrensen. Den kommer fra kartverkets N5000-kart, som +i følge kartverket har nøyaktighet på 2 km. Et kart over hvor +piggdekkavgiften gjelder bør ha høyere nøyaktighet enn det for å unngå +konflikter, så det var dermed viktig for oss å forbedre nøyaktigheten +for Oslogrensa.

+ +

For litt over 2 uker siden ringte jeg derfor til Kartverket, for å +høre om de kunne bidra. Jeg lurte på om de enten hadde noen +datakilder med kommunegrensen i Oslo som vi ikke kjente til, eller om +de kunne forklare hvordan vi kunne gjenskape kommunegrensen på bakken +ved å følge en beskrivelse av grensen eller finne grensepunkter +etc.

+ +

For å ta det siste først, så var det beste forslaget der å bruke +kartet tilgjengelig fra +norgeskart.no til å slå opp +gårds- og bruksnummer for eiendommer som grenset til kommunegrensa, og +så be om innsyn i matrikkelen for hver av disse eiendommene og gå opp +grensen basert på informasjon fra matrikkelen. Det fantes antagelig +også noen grensesteiner som var merket på bakken, men de kjente ikke +til noen offentlig kilde med informasjon om hvor disse steinene sto. +Dette er en ganske arbeidskrevende oppgave, som får vente til en annen +gang.

+ +

For alternative datakilder vi ikke kjente til, så var det ingen som +hadde gode forslag når det gjaldt datakilder fra kartverket. Men en +nevnte at det kunne være enklere å få ut data fra veidatabasen til +vegvesenet, f.eks. de punktene der veier inn og ut av Oslo byttet +kommune. Dette ble jeg forklart var trivielt å hente ut (mindre enn 1 +minutts jobb), men vedkommende jeg snakket med kunne ikke avgjøre om +vi kunne få disse punktene uten bruksbegrensninger.

+ +

Og tilgang uten bruksbegrensninger er viktig for OpenStreetmap.org, +da det skal være tillatt å bruke OpenStreetmap.org-data til å lage +kommersielle tjenester og kopiere, endre og distribuere +OpenStreetmap.org-data uten begrensninger. Jeg gjorde det derfor +klart for de jeg snakket med hos Kartverket at jeg kun var interessert +i å motta data som kunne legges inn i OpenStreetmap.org uten +bindinger. Fikk f.eks. tilbud om å få "test-data" av kommunegrensen +for Oslo til internt bruk og måtte takke nei.

+ +

Ideen om veidatabasen var interessant, og jeg fulgte den opp +videre. Ble satt videre til noen som kanskje kunne avgjøre om jeg +fikk disse punktene uten bruksbegresninger, og etter en kort og +interessant samtale fikk jeg ja til å få kopi av punktene der +Oslogrensa krysser vei. De ble +sendt +til kart-listen i SOSI-format, og i løpet av noen dager brukt til +å justere kommunegrensa for Oslo slik at den nå har nøyaktighet på +noen meter der den krysser vei. Har fått tilbakemelding fra noen som +har tilgang til Oslo kommunes kart at nøyaktigheten var blitt mye +bedre. :)

+ +

Det burde ikke være nødvendig å gjøre en slik innsats for å få vite +hvor kommunegrensene går. En skulle jo tro dette var offentlig +informasjon uten bruksbegrensing, og Gustav Fosseid og Magne Mæhre har +et prosjekt gående for å be om innsyn i nettopp denne informasjonen. +De har bedt om elektronisk kopi av kartkoordinatene for +kommunegrensene i endel kommuner på østlandet i sitt Fri Geo Norge-prosjekt, og har +fått avslag i første instans og klagesvar fra fylkesmannen i sin klage +på avslaget. Er spent på fortsettelsen, og gir dem all min hjelp og +støtte i arbeidet med å få frigjort det som burde vært offentlig +informasjon.

- Tags: english, nuug, standard, video. + Tags: kart, norsk, opphavsrett.
-
Chrome plan to drop H.264 support for HTML5 <video>
-
2011-01-12 22:10
+
Using NVD and CPE to track CVEs in locally maintained software
+
2011-01-28 15:40
-

Today I discovered -via -digi.no that the Chrome developers, in a surprising announcement, -yesterday -announced plans to drop H.264 support for HTML5 <video> in -the browser. The argument used is that H.264 is not a "completely -open" codec technology. If you believe H.264 was free for everyone -to use, I recommend having a look at the essay -"H.264 – Not The Kind Of -Free That Matters". It is not free of cost for creators of video -tools, nor those of us that want to publish on the Internet, and the -terms provided by MPEG-LA excludes free software projects from -licensing the patents needed for H.264. Some background information -on the Google announcement is available from -OSnews. -A good read. :)

- -

Personally, I believe it is great that Google is taking a stand to -promote equal terms for everyone when it comes to video publishing on -the Internet. This can only be done by publishing using free and open -standards, which is only possible if the web browsers provide support -for these free and open standards. At the moment there seem to be two -camps in the web browser world when it come to video support. Some -browsers support H.264, and others support -Ogg Theora and -WebM -(Dirac is not really an option -yet), forcing those of us that want to publish video on the Internet -and which can not accept the terms of use presented by MPEG-LA for -H.264 to not reach all potential viewers. -Wikipedia keep an -updated summary of the current browser support.

- -

Not surprising, several people would prefer Google to keep -promoting H.264, and John Gruber -presents -the mind set of these people quite well. His rhetorical questions -provoked a reply from Thom Holwerda with another set of questions -presenting -the issues with H.264. Both are worth a read.

- -

Some argue that if Google is dropping H.264 because it isn't free, -they should also drop support for the Adobe Flash plugin. This -argument was covered by Simon Phipps in -todays -blog post, which I find to put the issue in context. To me it -make perfect sense to drop native H.264 support for HTML5 in the -browser while still allowing plugins.

- -

I suspect the reason this announcement make so many people protest, -is that all the users and promoters of H.264 suddenly get an uneasy -feeling that they might be backing the wrong horse. A lot of TV -broadcasters have been moving to H.264 the last few years, and a lot -of money has been invested in hardware based on the belief that they -could use the same video format for both broadcasting and web -publishing. Suddenly this belief is shaken.

- -

An interesting question is why Google is doing this. While the -presented argument might be true enough, I believe Google would only -present the argument if the change make sense from a business -perspective. One reason might be that they are currently negotiating -with MPEG-LA over royalties or usage terms, and giving MPEG-LA the -feeling that dropping H.264 completely from Chroome, Youtube and -Google Video would improve the negotiation position of Google. -Another reason might be that Google want to save money by not having -to pay the video tax to MPEG-LA at all, and thus want to move to a -video format not requiring royalties at all. A third reason might be -that the Chrome development team simply want to avoid the -Chrome/Chromium split to get more help with the development of Chrome. -I guess time will tell.

- -

Update 2011-01-15: The Google Chrome team provided -more -background and information on the move it a blog post yesterday.

+

The last few days I have looked at ways to track open security +issues here at my work with the University of Oslo. My idea is that +it should be possible to use the information about security issues +available on the Internet, and check our locally +maintained/distributed software against this information. It should +allow us to verify that no known security issues are forgotten. The +CVE database listing vulnerabilities seem like a great central point, +and by using the package lists from Debian mapped to CVEs provided by +the testing security team, I believed it should be possible to figure +out which security holes were present in our free software +collection.

+ +

After reading up on the topic, it became obvious that the first +building block is to be able to name software packages in a unique and +consistent way across data sources. I considered several ways to do +this, for example coming up with my own naming scheme like using URLs +to project home pages or URLs to the Freshmeat entries, or using some +existing naming scheme. And it seem like I am not the first one to +come across this problem, as MITRE already proposed and implemented a +solution. Enter the Common +Platform Enumeration dictionary, a vocabulary for referring to +software, hardware and other platform components. The CPE ids are +mapped to CVEs in the National +Vulnerability Database, allowing me to look up know security +issues for any CPE name. With this in place, all I need to do is to +locate the CPE id for the software packages we use at the university. +This is fairly trivial (I google for 'cve cpe $package' and check the +NVD entry if a CVE for the package exist).

+ +

To give you an example. The GNU gzip source package have the CPE +name cpe:/a:gnu:gzip. If the old version 1.3.3 was the package to +check out, one could look up +cpe:/a:gnu:gzip:1.3.3 +in NVD and get a list of 6 security holes with public CVE entries. +The most recent one is +CVE-2010-0001, +and at the bottom of the NVD page for this vulnerability the complete +list of affected versions is provided.

+ +

The NVD database of CVEs is also available as a XML dump, allowing +for offline processing of issues. Using this dump, I've written a +small script taking a list of CPEs as input and list all CVEs +affecting the packages represented by these CPEs. One give it CPEs +with version numbers as specified above and get a list of open +security issues out.

+ +

Of course for this approach to be useful, the quality of the NVD +information need to be high. For that to happen, I believe as many as +possible need to use and contribute to the NVD database. I notice +RHEL is providing +a +map from CVE to CPE, indicating that they are using the CPE +information. I'm not aware of Debian and Ubuntu doing the same.

+ +

To get an idea about the quality for free software, I spent some +time making it possible to compare the CVE database from Debian with +the CVE database in NVD. The result look fairly good, but there are +some inconsistencies in NVD (same software package having several +CPEs), and some inaccuracies (NVD not mentioning buggy packages that +Debian believe are affected by a CVE). Hope to find time to improve +the quality of NVD, but that require being able to get in touch with +someone maintaining it. So far my three emails with questions and +corrections have not seen any reply, but I hope contact can be +established soon.

+ +

An interesting application for CPEs is cross platform package +mapping. It would be useful to know which packages in for example +RHEL, OpenSuSe and Mandriva are missing from Debian and Ubuntu, and +this would be trivial if all linux distributions provided CPE entries +for their packages.

- Tags: english, standard, video. + Tags: debian, english, sikkerhet.
-
Skolelinux-intervju: Viggo Fedreheim
-
2011-01-12 12:00
+
Skolelinux-intervju: Morten Amundsen
+
2011-01-23 12:00
-

Jeg fortsetter min intervjuserie med folk i -Skolelinuxprosjektet. Denne -gang er det en av folkene som har vært med lenge og som har tatt i -bruk Skolelinux på alle skolene i Narvik kommune som skal i ilden. -Han er styremedlem i -foreningen -FRISK.

+

Denne gangen er det Tromsøkontoret til Friprog-senteret, og nyvalgt +styremedlem i foreningen +FRISK jeg har fått i tale i min intervjuserie med +Skolelinux-folk.

Hvem er du, og hva driver du med til daglig?

-

Mitt navn er Viggo Fedreheim, og jeg er pedagogisk og teknisk -IKT-veileder for alle skoler i Narvik kommune. Jeg drifter totalt 17 -servere basert på Skolelinux og Debian. Jeg holder i tillegg noen kurs -mellom all driftingen. For tiden arbeider jeg med en sentral -LDAP-tjener for alle skoleservere samt våre Moodle- og -Joomla-installasjoner.

+

Jeg heter Morten Amundsen og jobber i +Friprog.no, men er for tiden leid +ut til Bredbåndsfylket +Troms der jeg jobber med ett prosjekt som heter +"Skolefjøla" +Vi ser på en åpen løsning som integrerer eksisterende lukkete +løsninger sammen med fri programvare. Målet er å gi elever og lærere +en plattform som de kan tilpasse utfra behov.

Hvordan kom du i kontakt med Skolelinux-prosjektet?

-

Gjennom en eller annen nettavis i 2001 der var det skrevet om -Skolelinux. Artikkelen ga meg lyst til å prøve ut systemet.

- -

Det startet i 2002 ved at jeg installerte en av de første utgavene -av Skolelinux på en standard pc på Solneset skole i Tromsø. Denne var -oppe fram til desember 2003 da jeg sluttet på den skolen og begynte i -ny jobb i Narvik kommune.

- -

I Narvik kommune var det i 2004 kun 2 servere på da totalt 15 -skoler. Disse var Windows NT baserte. På disse to skolene var det lite -med maskiner. Jobben med å få Narvik Kommune opp på akseptabelt nivå -virket å være formidabel. Men med hjelp av gode kollegaer og leder -skrev jeg en IKT plan for Narvik kommune som ble vedtatt av politikere -i august 2004. I denne planen ble det bestemt at Narvik kommune skulle -bruke Skolelinux. Her ble det også satt av midler til kabling av god -infrastruktur på alle skoler samt innkjøp av nye datamaskiner. Så i -dag har vi 17 servere hvorav 13 er på Skolelinux, med ca 1500 klienter -basert på tynne, "halvtykke" og et stort antall bærbare pcer basert på -Kubuntu.

+

Skolelinux har jeg møtt ved flere anledninger opp gjennom åra, både gjennom +entusiastiske skolelinuxbrukere og skeptiske "forståsegpåere" :-)

+ +

Jeg husker en leverandør av et stort OS for noen år siden mente at +Skolelinux var kun for hackere og nerder og at ingen seriøse skoler +kunne ta dette i bruk. Heldigvis er kunnskapen større nå og +skikkelige "IT-folk" søker alltid å utvide sin kunnskap.

Hva er fordelene med Skolelinux slik du ser det?

-

Lisenskostnader, driftkostnader og hardwarekrav som er mye lavere -enn for andre systemer.

+

Ja det er mange fordeler. Uavhengighet, stabilitet, åpenhet, standarder +osv. Tror det er viktig at man ikke begrenser mulighetene på den plattformen +elevene skal jobbe.

Hva er ulempene med Skolelinux slik du ser det?

-

Pedagogiske programvare som ikke fungerer mot Linux. En Stoooor -flaskehals og som gjør at Linux kanskje ikke blir valgt andre -plasser.

+

Det største hinderet er det vi opplever på andre områder rundt +fri programvare, nemlig kunnskap. For mange er det trygt å velge det vi +alltid har valgt. Fordi leverandørene rundt oss sitter på den kunnskapen og +de vi støtter oss på har den samme. Hvis vi klarer å riste løs litt og +glemme gamle kriger mellom operativsystemer og leverandører, men sette ned +hva som er viktig og velge ut fra det, så hadde man kanskje kommet ut med +litt andre resultat. Jeg tror IT-folk er konservative og velger tradisjonelt +og det er synd.

-

Eksempler er Relemo, Lindys (lingit sine programmer), 5plus -(matematikk). Disse er programmer som ikke lar seg kjøre i Linux.

+

Hvilken fri programvare bruker du til daglig?

-

Men det ser ut for at mange leverandører går over til mer -nettbaserte programmer istedet for å installere lokalt. Dette med -enkelte leverandører som ikke kan levere programmer til Linux er et -lite problem og over tid tror jeg at denne barrieren er borte.

+

Jeg bruker Ubuntu, Android, Jolicloud, Open Office, Zimbra, Picasa +og Firefox samt en bråte med tjenester som er webbasert. Det eneste +som er betalingslisens for er OSX. Ser at jeg jobber mer og mer i +skyen og setter pris på alt jeg slipper egen klient til. Derfor er +jeg veldig sjarmert av små kjappe operativsystemer som krever minimalt +av maskinvaren.

-

Hvilken fri programvare bruker du til daglig?

+

Hvilken strategi tror du er den rette å bruke for å få +skoler til å ta i bruk fri programvare?

-

Kjører Kubuntu på laptoper, Debian squeeze på stasjonær -kontorpc. Ut over dette arbeder jeg svært mye via konsoll mot andre -servere.

+

Tror en blanding av krav og informasjon er veien å gå. Krav om +sikkerhet, oppetid og åpne standarder. Informasjon om muligheter og +alternativer. Her har leverandører, IT-avdelinger og pedagoger en vei +å gå sammen. Det er til slutt LÆRING det dreier seg om, og da må man +få mest mulig læring for pengene man har.

@@ -870,6 +783,10 @@ servere.

  • January (16)
    • +
  • February (6)
    • + +
  • March (2)
    • +
  • 2010 @@ -958,19 +875,19 @@ servere.

  • debian (48)
    • -
  • debian edu (59)
    • +
  • debian edu (61)
  • digistan (7)
  • english (86)
    • -
  • fiksgatami (1)
    • +
  • fiksgatami (6)
  • fildeling (11)
    • -
  • intervju (5)
    • +
  • intervju (7)
    • -
  • kart (5)
    • +
  • kart (11)
  • ldap (8)
    • @@ -980,11 +897,11 @@ servere.

  • multimedia (11)
    • -
  • norsk (106)
    • +
  • norsk (114)
  • nuug (116)
    • -
  • opphavsrett (18)
    • +
  • opphavsrett (19)
  • personvern (35)
    • @@ -1000,7 +917,7 @@ servere.

  • sitesummary (3)
    • -
  • standard (23)
    • +
  • standard (24)
  • stavekontroll (1)