X-Git-Url: http://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/cdebf19f0166a5b78b0bb4b5d299f80c558b914e..1875e852d5398d59aabbe994836353fc40c639c9:/blog/index.html diff --git a/blog/index.html b/blog/index.html index 0768ca3445..9c70a143c7 100644 --- a/blog/index.html +++ b/blog/index.html @@ -19,6 +19,647 @@ +
+
Appstream just learned how to map hardware to packages too!
+
23rd December 2016
+

I received a very nice Christmas present today. As my regular +readers probably know, I have been working on the +the Isenkram +system for many years. The goal of the Isenkram system is to make +it easier for users to figure out what to install to get a given piece +of hardware to work in Debian, and a key part of this system is a way +to map hardware to packages. Isenkram have its own mapping database, +and also uses data provided by each package using the AppStream +metadata format. And today, +AppStream in +Debian learned to look up hardware the same way Isenkram is doing it, +ie using fnmatch():

+ +

+% appstreamcli what-provides modalias \
+  usb:v1130p0202d0100dc00dsc00dp00ic03isc00ip00in00
+Identifier: pymissile [generic]
+Name: pymissile
+Summary: Control original Striker USB Missile Launcher
+Package: pymissile
+% appstreamcli what-provides modalias usb:v0694p0002d0000
+Identifier: libnxt [generic]
+Name: libnxt
+Summary: utility library for talking to the LEGO Mindstorms NXT brick
+Package: libnxt
+---
+Identifier: t2n [generic]
+Name: t2n
+Summary: Simple command-line tool for Lego NXT
+Package: t2n
+---
+Identifier: python-nxt [generic]
+Name: python-nxt
+Summary: Python driver/interface/wrapper for the Lego Mindstorms NXT robot
+Package: python-nxt
+---
+Identifier: nbc [generic]
+Name: nbc
+Summary: C compiler for LEGO Mindstorms NXT bricks
+Package: nbc
+%
+

+ +

A similar query can be done using the combined AppStream and +Isenkram databases using the isenkram-lookup tool:

+ +

+% isenkram-lookup usb:v1130p0202d0100dc00dsc00dp00ic03isc00ip00in00
+pymissile
+% isenkram-lookup usb:v0694p0002d0000
+libnxt
+nbc
+python-nxt
+t2n
+%
+

+ +

You can find modalias values relevant for your machine using +cat $(find /sys/devices/ -name modalias). + +

If you want to make this system a success and help Debian users +make the most of the hardware they have, please +helpadd +AppStream metadata for your package following the guidelines +documented in the wiki. So far only 11 packages provide such +information, among the several hundred hardware specific packages in +Debian. The Isenkram database on the other hand contain 101 packages, +mostly related to USB dongles. Most of the packages with hardware +mapping in AppStream are LEGO Mindstorms related, because I have, as +part of my involvement in +the Debian LEGO +team given priority to making sure LEGO users get proposed the +complete set of packages in Debian for that particular hardware. The +team also got a nice Christmas present today. The +nxt-firmware +package made it into Debian. With this package in place, it is +now possible to use the LEGO Mindstorms NXT unit with only free +software, as the nxt-firmware package contain the source and firmware +binaries for the NXT brick.

+ +

As usual, if you use Bitcoin and want to show your support of my +activities, please send Bitcoin donations to my address +15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.

+
+
+ + + Tags: debian, english, isenkram. + + +
+
+
+ +
+
Isenkram updated with a lot more hardware-package mappings
+
20th December 2016
+

The Isenkram +system I wrote two years ago to make it easier in Debian to find +and install packages to get your hardware dongles to work, is still +going strong. It is a system to look up the hardware present on or +connected to the current system, and map the hardware to Debian +packages. It can either be done using the tools in isenkram-cli or +using the user space daemon in the isenkram package. The latter will +notify you, when inserting new hardware, about what packages to +install to get the dongle working. It will even provide a button to +click on to ask packagekit to install the packages.

+ +

Here is an command line example from my Thinkpad laptop:

+ +

+% isenkram-lookup  
+bluez
+cheese
+ethtool
+fprintd
+fprintd-demo
+gkrellm-thinkbat
+hdapsd
+libpam-fprintd
+pidgin-blinklight
+thinkfan
+tlp
+tp-smapi-dkms
+tp-smapi-source
+tpb
+%
+

+ +

It can also list the firware package providing firmware requested +by the load kernel modules, which in my case is an empty list because +I have all the firmware my machine need: + +

+% /usr/sbin/isenkram-autoinstall-firmware -l
+info: did not find any firmware files requested by loaded kernel modules.  exiting
+%
+

+ +

The last few days I had a look at several of the around 250 +packages in Debian with udev rules. These seem like good candidates +to install when a given hardware dongle is inserted, and I found +several that should be proposed by isenkram. I have not had time to +check all of them, but am happy to report that now there are 97 +packages packages mapped to hardware by Isenkram. 11 of these +packages provide hardware mapping using AppStream, while the rest are +listed in the modaliases file provided in isenkram.

+ +

These are the packages with hardware mappings at the moment. The +marked packages are also announcing their hardware +support using AppStream, for everyone to use:

+ +

air-quality-sensor, alsa-firmware-loaders, argyll, +array-info, avarice, avrdude, b43-fwcutter, +bit-babbler, bluez, bluez-firmware, brltty, +broadcom-sta-dkms, calibre, cgminer, cheese, colord, +colorhug-client, dahdi-firmware-nonfree, dahdi-linux, +dfu-util, dolphin-emu, ekeyd, ethtool, firmware-ipw2x00, fprintd, +fprintd-demo, galileo, gkrellm-thinkbat, gphoto2, +gpsbabel, gpsbabel-gui, gpsman, gpstrans, gqrx-sdr, gr-fcdproplus, +gr-osmosdr, gtkpod, hackrf, hdapsd, hdmi2usb-udev, hpijs-ppds, hplip, +ipw3945-source, ipw3945d, kde-config-tablet, kinect-audio-setup, +libnxt, libpam-fprintd, lomoco, +madwimax, minidisc-utils, mkgmap, msi-keyboard, mtkbabel, +nbc, nqc, nut-hal-drivers, ola, +open-vm-toolbox, open-vm-tools, openambit, pcgminer, pcmciautils, +pcscd, pidgin-blinklight, printer-driver-splix, +pymissile, python-nxt, qlandkartegt, +qlandkartegt-garmin, rosegarden, rt2x00-source, sispmctl, +soapysdr-module-hackrf, solaar, squeak-plugins-scratch, sunxi-tools, +t2n, thinkfan, thinkfinger-tools, tlp, tp-smapi-dkms, +tp-smapi-source, tpb, tucnak, uhd-host, usbmuxd, viking, +virtualbox-ose-guest-x11, w1retap, xawtv, xserver-xorg-input-vmmouse, +xserver-xorg-input-wacom, xserver-xorg-video-qxl, +xserver-xorg-video-vmware, yubikey-personalization and +zd1211-firmware

+ +

If you know of other packages, please let me know with a wishlist +bug report against the isenkram-cli package, and ask the package +maintainer to +add AppStream +metadata according to the guidelines to provide the information +for everyone. In time, I hope to get rid of the isenkram specific +hardware mapping and depend exclusively on AppStream.

+ +

Note, the AppStream metadata for broadcom-sta-dkms is matching too +much hardware, and suggest that the package with with any ethernet +card. See bug #838735 for +the details. I hope the maintainer find time to address it soon. In +the mean time I provide an override in isenkram.

+
+
+ + + Tags: debian, english, isenkram. + + +
+
+
+ +
+
Oolite, a life in space as vagabond and mercenary - nice free software
+
11th December 2016
+

+ +

In my early years, I played +the epic game +Elite on my PC. I spent many months trading and fighting in +space, and reached the 'elite' fighting status before I moved on. The +original Elite game was available on Commodore 64 and the IBM PC +edition I played had a 64 KB executable. I am still impressed today +that the authors managed to squeeze both a 3D engine and details about +more than 2000 planet systems across 7 galaxies into a binary so +small.

+ +

I have known about the free +software game Oolite inspired by Elite for a while, but did not +really have time to test it properly until a few days ago. It was +great to discover that my old knowledge about trading routes were +still valid. But my fighting and flying abilities were gone, so I had +to retrain to be able to dock on a space station. And I am still not +able to make much resistance when I am attacked by pirates, so I +bougth and mounted the most powerful laser in the rear to be able to +put up at least some resistance while fleeing for my life. :)

+ +

When playing Elite in the late eighties, I had to discover +everything on my own, and I had long lists of prices seen on different +planets to be able to decide where to trade what. This time I had the +advantages of the +Elite wiki, +where information about each planet is easily available with common +price ranges and suggested trading routes. This improved my ability +to earn money and I have been able to earn enough to buy a lot of +useful equipent in a few days. I believe I originally played for +months before I could get a docking computer, while now I could get it +after less then a week.

+ +

If you like science fiction and dreamed of a life as a vagabond in +space, you should try out Oolite. It is available for Linux, MacOSX +and Windows, and is included in Debian and derivatives since 2011.

+ +

As usual, if you use Bitcoin and want to show your support of my +activities, please send Bitcoin donations to my address +15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.

+
+
+ + + Tags: debian, english, nice free software. + + +
+
+
+ +
+
Er lover brutt når personvernpolicy ikke stemmer med praksis?
+
9th December 2016
+

Når jeg bruker Ghostery, +uBlock, +uMatrix, +ScriptSafe og andre +nettleserverktøy (de passer på hverandre) for å holde styr på hvordan +nettsteder sprer informasjon om hvilke nettsider jeg leser blir det +veldig synlig hvilke nettsteder som er satt opp til å utveksle +informasjon med utlandet og tredjeparter. For en stund siden la jeg +merke til at det virker å være avvik mellom personvernpolicy og +praksis endel steder, og tok tak i et par konkrete eksempler og sendte +spørsmål til Datatilsynets kontaktpunkt for veiledning:

+ +
+ +

«Jeg har et spørsmål når det gjelder bruken av Google Analytics og +personvernpolicy. Er det lovlig for et nettsted å si en ting i +personvernpolicy og gjøre noe annet i virkeligheten? Spesifikt lurer +jeg på hvilket lov som er brutt hvis nettstedet i HTML-koden til +nettsidene ber lesernes nettleser om å kontakte Google Analytics og +slik overleverer sitt IP-nummer til Google, samtidig som +personvernpolicien hevder at Google Analytics kun får anonymiserte +data. Google får jo i slike tilfeller alltid overført fullt +IP-nummer, og nettstedet kan i URL-en som brukes be Google om å ikke +lagre deler av IP-adressen (omtalt som anonymisering av Google +Analytics)

+ +

Et eksempel er Nettavisen digi.no. +Deres +personvernpolicy sier følgende:

+ +
+ «Tredjeparter (som Google Analytics, Cxense, TNS Gallup) får kun + anonymiserte data.» +
+ +

Men når en leser artikler der så blir maskiner i Norge, USA, +Tyskland, Danmark, Storbritannia, Irland og Nederland varslet om +besøket og får dermed overlevert full IP-adresse, som datatilsynet har +uttalt er en personopplysning. Nettsidene er satt opp til be +nettleseren å kontakte 29 ulike maskiner rundt om i verden. Fire av +dem er er under DNS-domenene digi.no og tek.no som tilhører samme +eier. I tillegg ber nettsidene ikke +Google +Analytics om å fjerne siste oktett i IP-adressen ved lagring, +dvs. flagget «aip=1» er ikke satt i URL-en som brukes for å kontakte +Google Analytics.

+ +

Tilsvarende er også tilfelle for andre nettsteder, så digi.no er +ikke spesiell i så måte (dagbladet.no er et annet eksempel, det +gjelder flere).»

+ +
+ +

Etter noen dager kunne juridisk rådgiver Elisabeth Krauss Amundsen +hos Datatilsynet fortelle det følgende:

+ +
+«Hei, og takk for din e-post.

+ +

Vår svartjeneste gir deg kortfattet rådgivning. Vi vil derfor ikke konkludere +i saken din, men gi deg råd og veiledning.

+ +

Ut ifra det du skriver er det antakelig flere bestemmelser i +personopplysingsloven som brytes dersom virksomhetens personvernpolicy +sier noe annet om behandlingen av personopplysninger enn det som +faktisk skjer. Antakelig vil det være et brudd på informasjonsplikten +i personopplysingsloven §§ 18 og +19<https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18> +dersom det gis feilinformasjon om at opplysningene utleveres. Det kan +også stilles spørsmål om grunnkravene for behandling av +personopplysninger vil være oppfylt ved en utlevering av +personopplysninger til en tredjepart, dersom dette ikke er inkludert +behandlingsgrunnlaget og formålet med behandlingen, se +personopplysingsloven § 11, jf. +8.<https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11>» +

+ + + +

Oppdatert med kunnskap om lover og regler tok jeg så kontakt med +Dagbladet på epostadressen de annonserer på sine +personvernpolicysider:

+ +

+ +

«Jeg lurte litt i forbindelse med en bloggpost jeg skriver på, og lurer +på om dere hjelpe meg med å finne ut av følgende. Først litt +bakgrunnsinformasjon. +Dagbladets +personvernpolicy forteller følgende:

+ +
+

«3. Automatisk innhentet informasjon

+ +

For eksempel IP-adressen din (ikke synlig for andre) samt + statistisk, automatisk produsert informasjon, som når du sist var + innlogget på tjenesten. Dette er informasjon vi samler for å gjøre + tjenesten best mulig.»

+ +
+ + +

Men når en besøker nettsidene til Dagbladet, +f.eks. forsiden, så er nettsidene +satt opp til å kontakte mange tredjeparter som slik får tilgang til +både fullt IP-nummer og i de fleste tilfeller nøyaktig hvilken +artikkel en leser hos Dagbladet ved at Referer-feltet fylles og legges +ved. Dette gjelder Google Analytics, Cxense, INS Gallup, Doubleclick +med flere. Totalt ber forsiden nettleseren om å koble seg opp til 60 +nettsteder med 149 separate oppkoblinger. I hver av disse +oppkoblingene oversendes IP-adressen til leseren, og i følge +Datatilsynet er +«en +IP-adresse definert som en personopplysning fordi den kan spores +tilbake til en bestemt maskinvare og dermed til en enkeltperson».

+ +

Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18 +og 19 skal informasjonen som gis om bruk og utlevering av +personopplysninger være korrekt. De forteller videre at det er endel +grunnkrav som må være oppfylt ved utlevering av personopplysninger til +tredjeparter, nærmere forklart i personopplysingsloven § 11 som +henviser til § 8.

+ +

Mitt spørsmål er dermed som følger:

+ +
+ +

Hva mener dere i personpolicyen når dere skriver at IP-adressen ikke + er synlig for andre?»

+ +
+ +
+ +

Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt +spørsmål, så neste steg er antagelig å høre om Datatilsynet er +interessert i å se på saken.

+ +

Men Dagbladet er ikke det eneste nettstedet som forteller at de +ikke deler personopplysninger med andre mens observerbar praksis +dokumenterer noe annet. Jeg sendte derfor også et spørsmål til +kontaktadressen til nettavisen Digi.no, og der var responsen mye +bedre:

+ +
+ +

«Jeg lurte på en ting i forbindelse med en bloggpost jeg skriver på, +og lurer på om dere hjelpe meg. Først litt bakgrunnsinformasjon. +Digi.nos +personvernpolicy forteller følgende:

+ +
+ «All personlig informasjon blir lagret i våre systemer, disse er ikke + tilgjengelig for tredjeparter, og blir ikke lagret i + informasjonskapsler. Tredjeparter (som Google Analytics, Cxense, + TNS Gallup) får kun anonymiserte data.» +
+ +

Men når en besøker nettsidene til nettavisen, f.eks. +forsiden, så er nettsidene satt opp +til å kontakte mange tredjeparter som slik får tilgang til både fullt +IP-nummer og i de fleste tilfeller nøyaktig hvilken artikkel en leser +hos Digi.no ved at Referer-feltet fylles og legges ved. Dette gjelder +både Google Analytics, Cxense blant og INS Gallum. Totalt ber +forsiden nettleseren om å koble seg opp til 29 nettsteder med 44 +separate oppkoblinger. I hver av disse oppkoblingene sendes +IP-adressen til leseren over, og i følge Datatilsynet er +«en +IP-adresse definert som en personopplysning fordi den kan spores +tilbake til en bestemt maskinvare og dermed til en enkeltperson». +Det jeg ser virker ikke å være i tråd med personvernpolicyen.

+ +

Når en besøker Digi.nos nettsider gjøres det to oppkoblinger til +Google Analytics, en for å hente ned programkoden som samler +informasjon fra nettleseren og sender over til Google (analytics.js), +og en for å overføre det som ble samlet inn. I den siste oppkoblingen +er det mulig å be Google om å ikke ta vare på hele IP-adressen, men i +stedet fjerne siste oktett i IP-adressen. Dette omtales ofte litt +misvisende for «anonymisert» bruk av Google Analytics, i og med at +fullt IP-nummer blir sendt til Google og det er opp til Google om de +vil bry seg om ønsket fra de som har laget nettsiden. Ut fra det som +står i personvernpolicyen ville jeg tro at Digi.no ba google om å ikke +ta vare på hele IP-nummeret, men når en ser på den andre oppkoblingen +kan en se at flagget «aio=1» ikke er satt, og at Digi.no ikke ber +Google om å la være å lagre hele IP-adressen. Dette virker heller +ikke å være i tråd med personvernpolicyen.

+ +

Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18 +og 19 skal informasjonen som gis om bruk og utlevering av +personopplysninger være korrekt. De forteller videre at det er endel +grunnkrav som må være oppfylt ved utlevering av personopplysninger til +tredjeparter, nærmere forklart i personopplysingsloven § 11 som +henviser til § 8. Det er uklart for meg om disse kravene er oppfylt +når IP-adresse og informasjon om hvilke websider som besøkes til +tredjeparter.

+ +

Mitt spørsmål er dermed som følger:

+ +
+ +

Hva mener dere i personpolicyen når dere skriver at «Tredjeparter + får kun anonymiserte data»?»

+ +
+ +
+ +

Redaksjonssjef Kurt Lekanger svarte samme dag og forklarte at han +måtte komme tilbake til meg når han hadde med utviklingsavdelingen. +Seks dager senere lurte jeg på hva han fant ut, og etter noen timer +fikk jeg så følgende svar fra direktøren for teknologi og +forretningsutvikling Øystein W. Høie i Teknisk Ukeblad Media:

+ +
+ +

«Takk for godt tips! Det er helt riktig at IP og referrer-adresse +potensielt kan leses ut av tredjepart.

+ +

Retningslinjene våre har vært uklare på dette tidspunktet, og vi +oppdaterer nå disse så dette kommer tydeligere frem. Ny tekst blir som +følger:

+ +
+

3. Dette bruker vi ikke informasjonen til Informasjon du oppgir til +oss blir lagret i våre systemer, er ikke tilgjengelig for +tredjeparter, og blir ikke lagret i informasjonskapsler. +Informasjonen vil kun benyttes til å gi deg som bruker mer relevant +informasjon og bedre tjenester.

+ +

Tredjeparter (som Google Analytics, Cxense, TNS Gallup) vil kunne +hente ut IP-adresse og data basert på dine surfemønstre. TU Media AS +er pliktig å påse at disse tredjepartene behandler data i tråd med +norsk regelverk.

+
+ +

Ellers har vi nå aktivert anonymisering i Google Analytics +(aip=1). Kan også nevne at Tek.no-brukere som har kjøpt Tek Ekstra har +mulighet til å skru av all tracking i kontrollpanelet sitt. Dette er +noe vi vurderer å rulle ut på alle sidene i vårt nettverk.»

+ +
+ +

Det var nyttig å vite at vi er enige om at formuleringen i +personvernpolicyen er misvisende. Derimot var det nedslående at i +stedet for å endre praksis for å følge det personvernpolicyen sier om +å ikke dele personinformasjon med tredjeparter, så velger Digi.no å +fortsette praksis og i stedet endre personvernpolicyen slik at den å +dokumentere dagens praksis med spredning av personopplysninger.

+ +

Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy +spurte jeg hvordan Digi.no kom til å håndtere endringen:

+ +
+ +

«Tusen takk for beskjed om endring av personvernpolicy for digi.no. +Gjelder endringen også andre nettsteder?

+ +

Vil tidligere håndteringen av IP-adresser og lesemønster i strid +med dokumentert personvernpolicy bli varslet til Datatilsynet i tråd +med +personopplysningsforskriften +§ 2-6? Vil leserne bli varslet på en prominent og synlig måte om +at lesernes IP-adresser og lesemønster har vært utlevert til +tredjeparter i stid med tidligere formulering om at tredjeparter kun +får anonymiserte data, og at utleveringen fortsetter etter at +personvernpolicy er endret for å dokumentere praksis?

+ +

Appropos ekstra tilbud til betalende lesere, tilbyr dere en +mulighet for å betale for å lese som ikke innebærer at en må gjøre det +mulig å la sine lesevaner blir registeret av tek.no? Betaler gjerne +for å lese nyheter, men ikke med en bit av privatlivet mitt. :)»

+
+ +

Jeg fikk raskt svar tilbake fra direktøren Høie:

+ +
+

«Tydeliggjøringen i personvernpolicy gjelder alle våre nettsteder.

+ +

Vi kommer til å ta en runde og gå over vår policy i forbindelse med +dette, og vil i de tilfeller det er påkrevd selvsagt være tydelig +overfor brukere og tilsyn. Vil samtidig understreke at vår bruk av +tredjeparts analyseverktøy og annonsetracking er helt på linje med det +som er normalt for norske kommersielle nettsteder.

+ +

Angående spørsmålet ditt: +
Du vil fortsatt vises i våre interne systemer om du blir Ekstra-bruker, +vi skrur bare av tredjeparts tracking.»

+
+ +

Det høres jo ikke bra ut at det er normalt for norske kommersielle +nettsteder å utlevere lesernes personopplysninger til utlandet. Men +som en kan lese fra gårdagens oppslag fra NRK gjelder +det også norske kommuner og andre offentlige aktører, og +jeg +skrev om omfanget av problemet i fjor. Det er uansett ikke en +praksis jeg tror er i tråd med kravene i personopplysningsloven, og +heller ikke en praksis jeg som leser synes er greit. Jeg manglet dog +fortsatt svar på om Digi.no kom til å varsle lesere og Datatilsynet om +avviket mellom praksis og policy, så jeg forsøkte meg med en ny epost +i går kveld:

+ +
+ +

«Kan du fortelle meg om dere anser det å være påkrevd å varsle +tilsyn og brukere nå, når dere har oppdaget at praksis ikke har vært i +tråd med personvernpolicy?»

+ +
+ +

Det spørsmålet vet jeg så langt ikke svaret på, men antagelig kan +Datatilsynet svare på om det er påkrevd å varsle tilsyn og lesere om +dette. Jeg planlegger å oppdatere denne bloggposten med svaret når +det kommer.

+ +

Jeg synes jo det er spesielt ille når barn får sine +personopplysninger spredt til utlandet, noe jeg +tok +opp med NRK i fjor. De to eksemplene jeg nevner er som dere +forstår ikke unike, men jeg har ikke full oversikt over hvor mange +nettsteder dette gjelder. Jeg har ikke kapasitet til eller glede av å +lese alle personvernpolicyer i landet. Kanskje mine lesere kan sende +meg tips på epost om andre nettsteder med avvik mellom policy og +praksis? Hvis vi alle går sammen og kontakter de ansvarlige, kanskje +noen til slutt endrer praksis og slutter å dele lesernes +personopplysninger med tredjeparter?

+ +

Apropos bruken av Google Analytics kan jeg forresten nevne at +Universitetet i Oslo også har tatt i bruk Google Analytics, men der +lagres programkoden som overføres til nettleserne lokalt og deler av +IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy +(tilgjengelig via +github) før informasjon sendes over til Google Analytics. Dermed +er det mulig for ansvarlige for nettstedet å vite at Google +ikke har tilgang til komplett IP-adresse. Årsaken til at denne +metoden brukes er at juristene ved universitetet har konkludert med at +det er eneste måten en kunne vurdere å bruke Google Analytics uten å +bryte loven. Risikoen for gjenidentifisering og +identifisering ved hjelp av +nettleserinformasjon er fortsatt tilstede, så det er ingen optimal +løsning, men det er bedre enn å håpe at f.eks. Google og alle som +lytter på veien skal prioritere norsk lov over sin lokale +lovgivning.

+ +

Oppdatering 2016-12-09: Fikk svar fra direktøren Høie på mitt +spørsmål litt etter at jeg hadde publisert denne artikkelen:

+ +
+ +

Vi kommer til å annonsere en oppdatert policy, og skal undersøke om +vi er pliktig å varsle Datatilsynet.

+ +

Det vi uansett ønsker å gjøre først, er å gå gjennom hele policy +sammen med utviklerne og advokat, så vi er sikre på at vi går frem +riktig og at det ikke er flere tvetydigheter som skjuler seg i +teksten.

+ +

Har du andre idéer eller konkrete innspill til hva som kan gjøre +policy tydeligere, tar vi gjerne imot det. Dette er et felt vi ønsker +å være ryddige på.

+ +
+ +

Vi får se om de liker mine innspill, som i grunnen er å ikke pusse +på personvernpolicyen men i stedet slutte å spre lesernes +personopplysninger til eksterne aktører.

+
+
+ + + Tags: norsk, personvern, surveillance. + + +
+
+
+
Fri programvare-tilbakeblikk for 2015 og 2016
1st December 2016
@@ -616,451 +1257,6 @@ working.

-
-
How to talk with your loved ones in private
-
7th November 2016
-

A few days ago I ran a very biased and informal survey to get an -idea about what options are being used to communicate with end to end -encryption with friends and family. I explicitly asked people not to -list options only used in a work setting. The background is the -uneasy feeling I get when using Signal, a feeling shared by others as -a blog post from Sander Venima about -why -he do not recommend Signal anymore (with -feedback from -the Signal author available from ycombinator). I wanted an -overview of the options being used, and hope to include those options -in a less biased survey later on. So far I have not taken the time to -look into the individual proposed systems. They range from text -sharing web pages, via file sharing and email to instant messaging, -VOIP and video conferencing. For those considering which system to -use, it is also useful to have a look at -the EFF Secure -messaging scorecard which is slightly out of date but still -provide valuable information.

- -

So, on to the list. There were some used by many, some used by a -few, some rarely used ones and a few mentioned but without anyone -claiming to use them. Notice the grouping is in reality quite random -given the biased self selected set of participants. First the ones -used by many:

- - - -

Then the ones used by a few.

- - - -

Then the ones used by even fewer people

- - - -

And finally the ones mentioned by not marked as used by -anyone. This might be a mistake, perhaps the person adding the entry -forgot to flag it as used?

- - - -

Given the network effect it seem obvious to me that we as a society -have been divided and conquered by those interested in keeping -encrypted and secure communication away from the masses. The -finishing remarks from Aral Balkan -in his talk "Free is a lie" about the usability of free software -really come into effect when you want to communicate in private with -your friends and family. We can not expect them to allow the -usability of communication tool to block their ability to talk to -their loved ones.

- -

Note for example the option IRC w/OTR. Most IRC clients do not -have OTR support, so in most cases OTR would not be an option, even if -you wanted to. In my personal experience, about 1 in 20 I talk to -have a IRC client with OTR. For private communication to really be -available, most people to talk to must have the option in their -currently used client. I can not simply ask my family to install an -IRC client. I need to guide them through a technical multi-step -process of adding extensions to the client to get them going. This is -a non-starter for most.

- -

I would like to be able to do video phone calls, audio phone calls, -exchange instant messages and share files with my loved ones, without -being forced to share with people I do not know. I do not want to -share the content of the conversations, and I do not want to share who -I communicate with or the fact that I communicate with someone. -Without all these factors in place, my private life is being more or -less invaded.

-
-
- - - Tags: english, personvern, sikkerhet, surveillance. - - -
-
-
- -
-
My own self balancing Lego Segway
-
4th November 2016
-

A while back I received a Gyro sensor for the NXT -Mindstorms controller as a birthday -present. It had been on my wishlist for a while, because I wanted to -build a Segway like balancing lego robot. I had already built -a simple balancing -robot with the kids, using the light/color sensor included in the -NXT kit as the balance sensor, but it was not working very well. It -could balance for a while, but was very sensitive to the light -condition in the room and the reflective properties of the surface and -would fall over after a short while. I wanted something more robust, -and had -the -gyro sensor from HiTechnic I believed would solve it on my -wishlist for some years before it suddenly showed up as a gift from my -loved ones. :)

- -

Unfortunately I have not had time to sit down and play with it -since then. But that changed some days ago, when I was searching for -lego segway information and came across a recipe from HiTechnic for -building -the -HTWay, a segway like balancing robot. Build instructions and -source -code was included, so it was just a question of putting it all -together. And thanks to the great work of many Debian developers, the -compiler needed to build the source for the NXT is already included in -Debian, so I was read to go in less than an hour. The resulting robot -do not look very impressive in its simplicity:

- -

- -

Because I lack the infrared sensor used to control the robot in the -design from HiTechnic, I had to comment out the last task -(taskControl). I simply placed /* and */ around it get the program -working without that sensor present. Now it balances just fine until -the battery status run low:

- -

- -

Now we would like to teach it how to follow a line and take remote -control instructions using the included Bluetooth receiver in the NXT.

- -

If you, like me, love LEGO and want to make sure we find the tools -they need to work with LEGO in Debian and all our derivative -distributions like Ubuntu, check out -the LEGO designers -project page and join the Debian LEGO team. Personally I own a -RCX and NXT controller (no EV3), and would like to make sure the -Debian tools needed to program the systems I own work as they -should.

-
-
- - - Tags: debian, english, robot. - - -
-
-
- -
-
Aktivitetsbånd som beskytter privatsfæren
-
3rd November 2016
-

Jeg ble så imponert over -dagens -gladnyhet på NRK, om at Forbrukerrådet klager inn vilkårene for -bruk av aktivitetsbånd fra Fitbit, Garmin, Jawbone og Mio til -Datatilsynet og forbrukerombudet, at jeg sendte følgende brev til -forbrukerrådet for å uttrykke min støtte: - -

- -

Jeg ble veldig glad over å lese at Forbrukerrådet -klager -inn flere aktivitetsbånd til Datatilsynet for dårlige vilkår. Jeg -har ønsket meg et aktivitetsbånd som kan måle puls, bevegelse og -gjerne også andre helserelaterte indikatorer en stund nå. De eneste -jeg har funnet i salg gjør, som dere også har oppdaget, graverende -inngrep i privatsfæren og sender informasjonen ut av huset til folk og -organisasjoner jeg ikke ønsker å dele aktivitets- og helseinformasjon -med. Jeg ønsker et alternativ som ikke sender informasjon til -skyen, men derimot bruker -en -fritt og åpent standardisert protokoll (eller i det minste en -dokumentert protokoll uten patent- og opphavsrettslige -bruksbegrensinger) til å kommunisere med datautstyr jeg kontrollerer. -Er jo ikke interessert i å betale noen for å tilrøve seg -personopplysninger fra meg. Desverre har jeg ikke funnet noe -alternativ så langt.

- -

Det holder ikke å endre på bruksvilkårene for enhetene, slik -Datatilsynet ofte legger opp til i sin behandling, når de gjør slik -f.eks. Fitbit (den jeg har sett mest på). Fitbit krypterer -informasjonen på enheten og sender den kryptert til leverandøren. Det -gjør det i praksis umulig både å sjekke hva slags informasjon som -sendes over, og umulig å ta imot informasjonen selv i stedet for -Fitbit. Uansett hva slags historie som forteller i bruksvilkårene er -en jo både prisgitt leverandørens godvilje og at de ikke tvinges av -sitt lands myndigheter til å lyve til sine kunder om hvorvidt -personopplysninger spres ut over det bruksvilkårene sier. Det er -veldokumentert hvordan f.eks. USA tvinger selskaper vha. såkalte -National security letters til å utlevere personopplysninger samtidig -som de ikke får lov til å fortelle dette til kundene sine.

- -

Stå på, jeg er veldig glade for at dere har sett på saken. Vet -dere om aktivitetsbånd i salg i dag som ikke tvinger en til å utlevere -aktivitets- og helseopplysninger med leverandøren?

- -
- -

Jeg håper en konkurrent som respekterer kundenes privatliv klarer å -nå opp i markedet, slik at det finnes et reelt alternativ for oss som -har full tillit til at skyleverandører vil prioritere egen inntjening -og myndighetspålegg langt foran kundenes rett til privatliv. Jeg har -ingen tiltro til at Datatilsynet vil kreve noe mer enn at vilkårene -endres slik at de forklarer eksplisitt i hvor stor grad bruk av -produktene utraderer privatsfæren til kundene. Det vil nok gjøre de -innklagede armbåndene «lovlige», men fortsatt tvinge kundene til å -dele sine personopplysninger med leverandøren.

-
-
- - - Tags: norsk, personvern, sikkerhet, surveillance. - - -
-
-
- -
-
Experience and updated recipe for using the Signal app without a mobile phone
-
10th October 2016
-

In July -I -wrote how to get the Signal Chrome/Chromium app working without -the ability to receive SMS messages (aka without a cell phone). It is -time to share some experiences and provide an updated setup.

- -

The Signal app have worked fine for several months now, and I use -it regularly to chat with my loved ones. I had a major snag at the -end of my summer vacation, when the the app completely forgot my -setup, identity and keys. The reason behind this major mess was -running out of disk space. To avoid that ever happening again I have -started storing everything in userdata/ in git, to be able to -roll back to an earlier version if the files are wiped by mistake. I -had to use it once after introducing the git backup. When rolling -back to an earlier version, one need to use the 'reset session' option -in Signal to get going, and notify the people you talk with about the -problem. I assume there is some sequence number tracking in the -protocol to detect rollback attacks. The git repository is rather big -(674 MiB so far), but I have not tried to figure out if some of the -content can be added to a .gitignore file due to lack of spare -time.

- -

I've also hit the 90 days timeout blocking, and noticed that this -make it impossible to send messages using Signal. I could still -receive them, but had to patch the code with a new timestamp to send. -I believe the timeout is added by the developers to force people to -upgrade to the latest version of the app, even when there is no -protocol changes, to reduce the version skew among the user base and -thus try to keep the number of support requests down.

- -

Since my original recipe, the Signal source code changed slightly, -making the old patch fail to apply cleanly. Below is an updated -patch, including the shell wrapper I use to start Signal. The -original version required a new user to locate the JavaScript console -and call a function from there. I got help from a friend with more -JavaScript knowledge than me to modify the code to provide a GUI -button instead. This mean that to get started you just need to run -the wrapper and click the 'Register without mobile phone' to get going -now. I've also modified the timeout code to always set it to 90 days -in the future, to avoid having to patch the code regularly.

- -

So, the updated recipe for Debian Jessie:

- -
    - -
  1. First, install required packages to get the source code and the -browser you need. Signal only work with Chrome/Chromium, as far as I -know, so you need to install it. - -
    -apt install git tor chromium
-git clone https://github.com/WhisperSystems/Signal-Desktop.git
-
    2. - -
  2. Modify the source code using command listed in the the patch -block below.
    3. - -
  3. Start Signal using the run-signal-app wrapper (for example using -`pwd`/run-signal-app). - -
  4. Click on the 'Register without mobile phone', will in a phone -number you can receive calls to the next minute, receive the -verification code and enter it into the form field and press -'Register'. Note, the phone number you use will be user Signal -username, ie the way others can find you on Signal.
    5. - -
  5. You can now use Signal to contact others. Note, new contacts do -not show up in the contact list until you restart Signal, and there is -no way to assign names to Contacts. There is also no way to create or -update chat groups. I suspect this is because the web app do not have -a associated contact database.
    6. - -
- -

I am still a bit uneasy about using Signal, because of the way its -main author moxie0 reject federation and accept dependencies to major -corporations like Google (part of the code is fetched from Google) and -Amazon (the central coordination point is owned by Amazon). See for -example -the -LibreSignal issue tracker for a thread documenting the authors -view on these issues. But the network effect is strong in this case, -and several of the people I want to communicate with already use -Signal. Perhaps we can all move to Ring -once it work on my -laptop? It already work on Windows and Android, and is included -in Debian and -Ubuntu, but not -working on Debian Stable.

- -

Anyway, this is the patch I apply to the Signal code to get it -working. It switch to the production servers, disable to timeout, -make registration easier and add the shell wrapper:

- -
-cd Signal-Desktop; cat <<EOF | patch -p1
-diff --git a/js/background.js b/js/background.js
-index 24b4c1d..579345f 100644
---- a/js/background.js
-+++ b/js/background.js
-@@ -33,9 +33,9 @@
-         });
-     });
- 
--    var SERVER_URL = 'https://textsecure-service-staging.whispersystems.org';
-+    var SERVER_URL = 'https://textsecure-service-ca.whispersystems.org';
-     var SERVER_PORTS = [80, 4433, 8443];
--    var ATTACHMENT_SERVER_URL = 'https://whispersystems-textsecure-attachments-staging.s3.amazonaws.com';
-+    var ATTACHMENT_SERVER_URL = 'https://whispersystems-textsecure-attachments.s3.amazonaws.com';
-     var messageReceiver;
-     window.getSocketStatus = function() {
-         if (messageReceiver) {
-diff --git a/js/expire.js b/js/expire.js
-index 639aeae..beb91c3 100644
---- a/js/expire.js
-+++ b/js/expire.js
-@@ -1,6 +1,6 @@
- ;(function() {
-     'use strict';
--    var BUILD_EXPIRATION = 0;
-+    var BUILD_EXPIRATION = Date.now() + (90 * 24 * 60 * 60 * 1000);
- 
-     window.extension = window.extension || {};
- 
-diff --git a/js/views/install_view.js b/js/views/install_view.js
-index 7816f4f..1d6233b 100644
---- a/js/views/install_view.js
-+++ b/js/views/install_view.js
-@@ -38,7 +38,8 @@
-             return {
-                 'click .step1': this.selectStep.bind(this, 1),
-                 'click .step2': this.selectStep.bind(this, 2),
--                'click .step3': this.selectStep.bind(this, 3)
-+                'click .step3': this.selectStep.bind(this, 3),
-+                'click .callreg': function() { extension.install('standalone') },
-             };
-         },
-         clearQR: function() {
-diff --git a/options.html b/options.html
-index dc0f28e..8d709f6 100644
---- a/options.html
-+++ b/options.html
-@@ -14,7 +14,10 @@
-         <div class='nav'>
-           <h1>{{ installWelcome }}</h1>
-           <p>{{ installTagline }}</p>
--          <div> <a class='button step2'>{{ installGetStartedButton }}</a> </div>
-+          <div> <a class='button step2'>{{ installGetStartedButton }}</a>
-+	    <br> <a class="button callreg">Register without mobile phone</a>
-+
-+	  </div>
-           <span class='dot step1 selected'></span>
-           <span class='dot step2'></span>
-           <span class='dot step3'></span>
---- /dev/null   2016-10-07 09:55:13.730181472 +0200
-+++ b/run-signal-app   2016-10-10 08:54:09.434172391 +0200
-@@ -0,0 +1,12 @@
-+#!/bin/sh
-+set -e
-+cd $(dirname $0)
-+mkdir -p userdata
-+userdata="`pwd`/userdata"
-+if [ -d "$userdata" ] && [ ! -d "$userdata/.git" ] ; then
-+    (cd $userdata && git init)
-+fi
-+(cd $userdata && git add . && git commit -m "Current status." || true)
-+exec chromium \
-+  --proxy-server="socks://localhost:9050" \
-+  --user-data-dir=$userdata --load-and-launch-app=`pwd`
-EOF
-chmod a+rx run-signal-app
-
- -

As usual, if you use Bitcoin and want to show your support of my -activities, please send Bitcoin donations to my address -15oWEoG9dUPovwmUL9KWAnYRtNJEkP1u1b.

-
-
- - - Tags: debian, english, sikkerhet, surveillance. - - -
-
-
-

RSS feed