For some time i was thinking about a check for hierarchy in areas. For example the amenity=parking for a school should be completely within the surrounding amenity=school and not cross the outer boundary.

I implemented the first checks which checks leisure and amenity for crossing themselves or landuse/natural.

One of the huge error sources are leisure=nature_reserve which are basically above everything else. IMHO they should not be a leisure but some type of boundary relation. For now i excluded the nature_reserves as then all nature reserves would be red.

Here is a very simple example as a cropped screenshot from josm. The amenity=parking should either be completely within the surrounding amenity=hospital or outside of that amenity.

There are cornercases where this might not actually be correct but i havent found that many yet.

The output of the checks is currently available for some German states e.g. NRW, RLP, NDS, HE as the other landuse, natural and building overlaps checks i am running.

Here is the example of the Hannover region:

https://osm.zz.de/dbview/?db=landuseoverlap-nds&layer=hierarchy#52.38147,9.7296,12z

I always had my problems with Icinga2. I always collided with the pretty strict correlation between services and hosts (For me monitoring and especially dependencys are a graph) and i always got the limits of dependency modelation. Yes i know, dependencies are not the common use in monitoring. 95% of Users might get away without a single explicit dependency.

Some migrations from Icinga1 simply failed because of missing mod_perl/embperl support which made a simple migration on the same hardware impossible. I made some hacks abusing the apache on localhost and its mod_perl support for running icinga2 checks - but that are hacks.

Today i think i found the issue with Icinga2 - It began with an EOL/EOS announcement for Icinga1 which i replied to on Twitter which i replied to that Icinga2 is not a drop in and there are technical issues which make some installations of Icinga1 to last possibly forever. I dont buy the argument that its impossible to embed perl, lua, python, php into Icinga2. Postgres does it, Apache, Nginx. All of them allow on one way or the other to run code in embedded languages. Yes - These interpreters may leak memory, they may not be as easy to embed as lua, but its doable and other projects do it for years. Pointing to this buys me an polite "Fuck off" - I guess i now know whats wrong here.

Michael Friedrich @dnsmichi 14 Std.vor 14 Stunden

JFYI - #Icinga 1.x is EOL and support ends in 3 months. This includes Classic UI.

Plan your migration to Icinga 2 & Icinga Web 2.

Florian Lohoff @fl0h0ff Antwort an @dnsmichi

I guess some instances are there to stay for another 10 years. I know some of them. And i can feel their pain. Icinga2 is not a drop in replacement and i know at least 3 instances who cant simple change because of performance issues caused by modperl missing.

Michael Friedrich @dnsmichi 2 Std.vor 2 Stunden Antwort an @fl0h0ff

Embedded Perl is a technical No-Go, similar to embedded Python. The implementation in Icinga 1.x for Perl has plenty of bugs and memory leaks - it may have worked, but there's room for changes.

Icinga 2 is here for four years now, with a helping community on migration tasks.

Florian Lohoff @fl0h0ff Antwort an @dnsmichi

Interestingly the webservers have solved these issues for years ... Either by separation and limiting the number of executions or factoring out into fpm helpers. And no ... The community does not help porting thousands of lines of code over from perl.

Michael Friedrich @dnsmichi 19 Min.vor 19 Minuten Antwort an @fl0h0ff

Sarcasm won‘t help much, goodbye.

I added maxspeed:source as an error (its source:maxspeed) to the wayproblem analyzer. Northrhine-Westfalia

Interestingly this slipped through for some months.

When i started OSM in early 2008 my son was just born and a couple months old. I put him in the buggy and pushed him around neighbouring villages making graphs of road topologies with house numbers etc.

For ten years he had to go where i went looking for strange elements in the map, finding the last address.

Ten years later he starts to be interested too, making his first steps using StreetComplete.

I have long time used RSS to follow some twitter accounts until Twitter killed the RSS Feeds. After some considerations i switched to using Corebird which is a nice GTK+ Twitter app. Or better - Was a nice app.

Twitter decided to kill of the known API, basically breaking all non official apps. So for me there is no more tweeting on the Desktop as there is no Linux Client. Twitter tells me to use the web page which so inconvinient that i wont even consider it.

So for me it means more likely "Byebye Twitter"

Something is going wrong - How can the optimal_io_size be smaller than the minimum_io_size:

root@host:~# cat /sys/block/sdb/alignment_offset
0
root@host:~# cat /sys/block/sdb/queue/optimal_io_size
655360
root@host:~# cat /sys/block/sdb/queue/minimum_io_size
2097152

This is open-iscsi connected to an Synology LUN.

Nach 30 Jahren Elektronikbasteleien ist es mir auf die Nerven gegangen das ich nur Litze in Grün, Braun und Weiß habe. Die stammt noch von einem Ausflug auf einen Schrottplatz bei dem ich einen Karton mit Relais und Litze mitgenommen habe - Das war aber als ich 11 oder 12 war.

Wie Joachim Malmsheimer sagen würde: "Der Krieg ist vorbei ..."

Also habe ich mir mal 10 Farben in 0.14 und 0.25 bestellt und dann schnell einen Abroller auf einem alten Alu Rohr, ein bischen Holz und einem Milchkarton gebastelt.

Durch den Kleinkunstpreis drüber gestolpert. Abgrundtief Böse.

Ich bin eben über diesen Artikel gestolpert: Some thoughts on security after ten years of qmail 1.0

Und ich muss sagen. "I am not impressed." Qmail ist so veraltet das es seit Jahren keinerlei relevanz mehr hat und damit auch als attack surface nicht untersucht wird.

Und jetzt stolz drauf zu sein das es keine Bugs gibt ist halt so ein Captain Obvious.

Ich habe noch einen Informatiklehrer im Ohr: "Fehlerfreie Software ist veraltet" und hier scheint Qmail echt ein Paradebeispiel für zu sein.

Das Qmail in sauberer Weise mit defensive programming implementiert ist will ich nicht abstreiten.

Heute morgen DSL und ISDN tot - NTBA leuchtet nicht. Also ist wohl irgendwas an der Leitung.

Telekom angerufen unter 0800-3301000 - man weiss das ja mittlerweile Auswendig:

"Welchen Router haben sie angeschlossen?"
"Das ist doch irrelevant - Der NTBA leuchtet auch nicht - Da ist die Leitung unterbrochen - Es liegt ein Baum auf der Freileitung"
"Ohne den Routertyp kann ich keine Störung auf machen"

Aus dem Kopf den Speedport W700V erwähnt - Eigentlich habe ich da immer noch 5€ Thomson Speedtouch modems dran weil die am besten gehen. Aber soll ich denen noch erklären das ein Debian/GNU/Linux der Router ist?

"Welche Lampen leuchten denn?"
"Keine ausser Power"
"Einen moment ich messe ihre Leitung"

Das Africa Eco Race 2018 hat angefangen und De Rooy ist mit dem Iveco dabei.

Da haben wir ja wirklich Bugs apokalyptischen Ausmaßes. Das spannende ist eigentlich das speculation immer schon ein Problem war.

1996 kam der R10000 oder R10k von Mips Inc. Schon in der Entwicklung war klar das es Probleme mit speculative loads und stores gab. D.h. die CPU hat einfach mal im Speicher gelesen was sie so meinte was demnächst gebraucht werden könnte. Da die Mips CPUs alle einen Soft TLB haben ist das natürlich sofort aufgefallen das da loads laufen und der entsprechende Prozess wurde entsprechend gekillt. Es gab dann je nach Workstation unterschiedliche Workarounds die entsprechend cache invalidation betrieben haben oder über das mapping von teilen des Kernels und Userspaces eben auch wie die aktuelle Kernel Page Table Isolation den Kernel unerreichbar machten.

Zur fast derselben Zeit (1995) kam die Intel P6 Architektur mit dem Pentium Pro. Alle Intel CPUs bis auf wenige Ausnahmen sind von den jetzigen Problemen betroffen. Man hat bei Intel 22 JAHRE! gebraucht um den Side Channel zu entdecken.

Ein Schelm wer böses dabei denkt. Vielleicht wollte man den Side Channel einfach nur für die Schlapphüte offen lassen.

Nun jedoch ist das Chaos perfekt. Jegliche Arten von memory protection über die MMU sind ad absurdum geführt. Es gibt microcode updates, kernel patches und natürlich jede menge neue Browser um die möglichkeit der Ausnutzung über den untrustet code in der Javascript JIT engine zu minimieren.

Dabei ist das ausmaß des Totalschades noch nichteinmal absehbar.

Klar ist - Wir brauchen komplett neue CPU designs. Vielleicht war ia64 von Intel doch der richtige weg.

I used to be running a Bulletin Board System back in the good old days. It was running on an Amiga 3000T040 with the famous C-Net BBS System.

After Harald Welte opened the bbs-revival mailing list i did some research what happened to the software i used to run more than 20 years ago.

C-Net seems to be sold to some Texas Company called Storm's Edge Technologies and is mostly dead since long before. I'd be grateful if the source would be released - somewhere on github. Its some remarkable piece of history.

There is a website called www.cnetbbs.net which is about C-Net.

In the peak times i was running C-Net with 6 lines with US Robotics Courier V.Everything modems on a single Amiga with BSC MFCIII (Multiface 3) serial cards. The MFCIII added another 2 serial ports in a Zorro II slot.

As the Amiga had preemtive multitasking it was no problem to run multiple lines on the same machine. The lack of memory protection made it a little instable but C-Net was a well written piece of software. Together with TrapDoor a FIDO Frontend and AmiTCP + AmiUUCP we had connectivity via "real email".

My Linux "career" began when Linux got its IP stack which was a lot more stable than AmiTCP. I started polling mails from the Linux machine with UUCP and transported it via an Arcnet and AmiTCP + UUCP over IP to the Amiga and my BBS users.

Later i offered IP and ISDN dialup which was served by the Linux system and users of the BBS faded. Around 1994-1996 the Amiga system and the BBS were decommissioned.

Es ist nicht vorgesehen das man bei einem Tolino EBook reader aus dem Browser Formdata cache irgendwas entfernt oder korrigiert.

Also muss man das dingen rooten um dann in dem sqlite des HTMLViewer das manuell zu fixen.

flo@p4:~$ adb shell
# cd /data/data/de.telekom.epub/databases/
# sqlite3 webview.db
> select * from password;

In diesem Fall musste ich ein falsches Password bzw Username in der Onleihe fixen. Die Stadtbücherei Rheda-Wiedenbrück gibt zwar lange Ausweisnummern raus, übermittelt an die Onleihe aber nur 6 Ziffern davon - Das geht auch besser.

Perl wird heute 30 Jahre - Meine rapid-prototyping Sprache der Wahl heute wie seit 10 Jahren - Perl 5.

Ich weiss nicht warum Heise einen abgesang auf Perl5 schreibt. Das CPAN ist bis heute deutlich besser als alles was die anderen Programmiersprachen so bieten.

Sehr schade - Nach 20 Jahren wird AIM abgeschaltet.

(2017-12-14 10:16:02) AOL System Msg: Final reminder: Effective tomorrow, December 15, 2017, AIM will no longer work and you will not be able to sign into any AIM software or apps. Thank you for being an AIM user - we loved working on this product for you. Learn more here: https://help.aol.com/articles/aim-discontinued.

Die sind ja süß von der Sparkasse. Beim ersten Einloggen auf den Webseiten der jetzt fusionierten Sparkasse Gütersloh-Rietberg zeigt die Sparkasse mir meine Stammdaten an und bittet um bestätigung.

Soweit macht das ja Sinn - Ab und zu mal dem Kunden die Stammdaten zeigen.

Aber was entdecken da meine Augen. Angeblich habe ich der Werbung auf den Telefonnummern zugestimmt. Ich bin mir ganz sicher das ICH das nie gemacht habe. Ich bin der erste der solche Absätze in irgendwelchen Verträgen sofort streicht und ganz genau liest.

Also - Wollen wir das ändern. Da reicht nicht etwas da Häkchen wegmachen. Man muss jeden Haken einzeln mit dem TAN Generator bestätigen.

Nachdem ich die Telefonnummern durch habe fällt mir auf das eine entsprechende Spalte bei der Adresse fehlt. Warum? Also mal auf Adressdetails editieren und auch da ein Haken das Werbung erwünscht sei. Also auch den eliminiert.

Und hinterher gleich noch eine Mail an die Sparkasse wo wir der Werbung explizit mit Unterschrift zugestimmt haben. Ich bin mir sicher das ich das nie habe.

Ist das wirklich pfiffig das der Bind ab version 9.9 die secondary zonen, also die für die er slave ist, als binary im filesystem ablegt?

Binary formate haben ja oft das problem das wenn sie corrupten sie auch wirklich gleich ganz verloren sind. Im Ascii file kann der Mensch noch dinge reparieren. Deshalb halte ich u.a. das systemd-journald Thema für abgrundtief kaputt.

Damit ist das mit dem "wir gucken uns mal eben die zone an" auch vorbei.

0x00000000: 00000002 00000001 59D7DE61 00000000     ........Y��a....
0x00000010: 00000000 00000000 00000068 00010006     ...........h....
0x00000020: 00000036 EE800000 00010012 0C726F6F     ...6�........roo
0x00000030: 742D7365 72766572 73036E65 74000040     t-servers.net..@
0x00000040: 01610C72 6F6F742D 73657276 65727303     .a.root-servers.
0x00000050: 6E657400 056E7374 6C640C76 65726973     net..nstld.veris
0x00000060: 69676E2D 67727303 636F6D00 783A3E14     ign-grs.com.x:>.

Dazu kommt das das space saving eher marginal ist:

-rw-r--r-- 1 bind bind    1929 Oct 11 07:25 root-servers.net
-rw-r--r-- 1 root root    2505 Oct 11 09:44 root-servers.net.ascii

Und man kann die raw Files natürlich konvertieren - was aber länger dauert als das parsen/laden einer ASCII Zone mit dem Bind was mir völlig unerklärlich ist.

Dazu kommt das named-compilezone ziemlich komisch agiert. Wenn ich den namen der Zone nicht kenne oder falsch angebe dann lässt sich das Zonefile nicht von raw nach ASCII konvertieren. D.h. im raw File scheinen Informationen zum verstehen des Files zu fehlen.

Ausserdem scheint named-compilezone auch noch Netz zu brauchen um Glue records aufzulösen. Das finde ich an sich schon absolut Kaputt. Wenn dann auf der ISS oder in der Neumayer Station am Nordpol jemand lokale Zonefiles konvertieren muss geht nichts weil gerade der Satellitenlink kaputt ist. Kritische Infrastrukturkomponenten wie DNS, DHCP, Authentisierung müssen im Zweifelsfalle ohne externe Abhängigkeiten funktionieren.

Alles in allem keine wirklich vertrauenserweckende Lösung.

Es scheint aber die möglichkeit zu geben wieder zum alten Verhalten zurück zu kommen in dem man in allen Slave zonen ein

masterfile-format text;

setzt.

An der ganzen Apple APFS Encryption Geschichte finde ich eigentlich nicht das Faktum interessant das das Password angezeigt wird. Am ende ist das ein kleines Programmierfehler

- printf("%s", password);
+ printf("%s", hint);

Fixed. Was ich viel spannender finde.

WARUM HABEN DIE DAS KLARTEXT PASSWORD?

Normalerweise sollte mit dem Password nur der encryption key unlocked und dann vergessen werden. Das Klartext Passwort sollte nirgends gespeichert werden und am besten nicht einmal im Speicher oder Swap verbleiben.

Das ganze Thema ist mega fishy. Da ist mehr kaputt als nur das einzeigen eines Passwords - Da ist das gesamte Handling von Passwörten und Encrpytion Keys kaputt. Und wenn man mal ehrlich ist hört sich das einer semi einfachen Backdoor an. Da ist irgendwo das Passwort - man muss es nur finden.

Mir war das gar nicht so aufgefallen die letzten Jahre das dinge wie httpredir.debian.org etc einzug gehalten haben. Ich hatte die diskussion um die sicherheit von HTTP Redirects verfolgt (Ursprünglich ist apt keinen redirects gefolgt). Heute habe ich dann mal gesucht was es mit dem cdn-fastly so auf sich hat und wieder ein Erkenntnisgewinn in diesem Debian Wiki Artikel.

Alles was wir kannten ist Deprecated. Wer also noch ein httpredir.debian.org, cdn.debian.org, oder debian.net deb sources in der apt/sources.list findet kann das alles rauswerfen. Das zu nutzende CDN ist deb.debian.org was von Fastly und Amazon Cloudfront bereitgestellt wird.

Ouch... Das scheint eine Breitseite für dnsmasq zu sein. Gerne genommen in allen möglichen Cloud stacks um die VMs mit IP Adressen zu versorgen.

Sollte jeder mal schnell nachsehen. OpenWRT und diverse CPEs auf Linux Basis könnten auch noch betroffen sein.

Ich habe mich ja lange dem ganzen Twitter krams verweigert. Die Leute denen ich folgen wollte habe ich mir via RSS eingebunden. Das hat Twitter ja ohne Not vor ein paar Jahren mal beerdigt. Also gibts keine schöne Lösung mehr tweets zu folgen.

Dementsprechend ab sofort: @fl0h0ff

Solange ich keinen schönen command line client habe wird sich das vermutlich auf Langeweilelesen beschränken.

Weil sich am stunnel/openssl ständig was ändert hier nochmal mein Setup für andere:

Auf dem Client in der /etc/postfix/main.cf

default_transport = uucp
relayhost = pax.zz.de

In der /etc/postfix/master.cf in der Zeile mit dem uucp transport das "-r" entfernen damit bei dem queue einer mail sofort das remote system "angerufen" wird.

In der /etc/uucp/port

port SSL
  type    pipe
  command /usr/bin/openssl s_client -host \H -port 4031  

In der /etc/uucp/sys

system pax.zz.de
    call-login *
    call-password *
    time any
    address pax.zz.de
    port SSL
    protocol g

Wenn man dann alle 10 Minuten nach Mails auf dem Server sehen will noch einen schnellen cron eintrag in z.b. /etc/cron.d/uucico

*/10 *  * * *   root    /usr/sbin/uucico -Spax.zz.de

Dann noch in der /etc/uucp/call systemname/login/password hinterlegen und schon ist der client fertig. Schon ist das uucp/mail setup für das Roadwarrior Notebook fertig.

Es gibt so tage da möchte man einfach ins essen Brechen. Nachdem ich vor ein paar tagen ja über das squid apt proxy Paket berichtete ist mir heute aufgefallen das das ganze nur "manchmal" funktioniert.

Ursache ist das der Telekom Speedport W503V der hier noch als WLAN Access Point und 5 Port Switch fungiert einfach alles was nach IPv4 multicast aussieht wegwirft. Damit funktioniert natürlich sowas via Zeroconf/Avahi/Multicast DNS nicht. Damit funktioniert natürlich auch die Proxy detection nicht.

Schön ist das obwohl ich kein IPv6 habe das Avahi trotzdem eine IPv6 Link Local mit dem Proxy findet. Leider kann apt das nicht weshalb die IPv6 Link Locals verworfen werden.

Also muss jetzt ohne alternative halt ein IPv6 ULA (Unique Local Address) her - das equivalent zu RFC1918 im IPv4. Nicht schön - aber mal sehen was wir uns da jetzt für Probleme einhandeln.

Natürlich kommen jetzt so sachen hoch das ACLs nicht mehr passen weil natürlich die clients nicht mehr aus fe80::/14 kommen sondern aus fd::/7:

Spass mit IPv6

Update 20170927:

Bug#876996: squid-deb-proxy-client: ipv6 should be preferred if dualstack

Icinga1 ist ja ein wenig in die Jahre gekommen und trotzdem gibt es noch reichlich installationen. Nicht nur wegen des elendigen mod_perl removals in icinga2.

Leider lässt sich in der Classicui wenig modifizieren weil der gesamte code/html aus C Programmen erzeugt wird. Hier hat man in der Vergangenheit auf templating verzichtet. Wenn man jetzt nicht Wild im C Code hacken will bleibt einem nicht viel andere über als einen Umweg zu gehen.

Dazu bietet es sich an einfach den mitgelieferten javascript code zu erweitern. Am einfachsten ist es skinnytip.js das bei einem aktuellen Debian unter /usr/share/icinga/htdocs/js/skinnytip.js liegt zu ergänzen.

Ein einfacher Hack um einen zusätzlichen Button zu bekommen wäre dieses:

$(document).ready(function() { $(".serviceTotalsCommands").append('<button id="mybutton" type="submit">Ack with RT</button>'); $("#mybutton").click(function() { $("#tableformservice").attr("action", "/cgi-bin/ackwithrt.cgi"); $("#tableformservice").submit(); e.preventDefault(); }); });

skinnytip.js wird schon im Body der Seite durch status.cgi geladen, dennoch verwenden wir jquerys ready Funktion um aufgerufen zu werden sobald die Seite vollständig ist, und fügen dann über dem Drop down der Actions noch einen Button ein. Sollte dieser geklickt werden wird die action url der Form geändert und submitted. Das ganze ist das ein POST und bekommt alle geklickten Services übermittelt.

Der bekommt dann als Parameter im POST:

hostservice: "pax.zz.de^Current+Load"
hostservice: "pax.zz.de^Current+user"

Hier sieht man das das erste der Hostname ist, getrennt durch eine Tilde ^ und den jeweiligen Service.

Damit kann man dann zum Beispiel eine Liste der Tickets anzeigen die zulest eröffnet worden sind, und diese Services damit Acknowledgen, bzw die damit Acknowledgten Services als comment ins Ticket packen. Alternativ kann man ein neues Ticket eröffnen. Nicht selten ist der Workflow ja das nachträglich Events auftreten die zu einem vorherigen Ticket gehören. Schon sind im Incident handling wieder 10 Klicks und Übertragungsfehler eliminiert.

Ich las gerade einen Artikel auf LinkedIn und mir sprang ein Satz ins Auge:

The best people always suffer the worst from bad leadership.

Deshalb sind Firmen die gute Leute gewinnen und halten können so selten. Man macht den besten Techniker zum Teamleiter und dann gilt das Peter Prinzip. Ab hier geht es dann nur noch Bergab.

Sehr spannendes Profil sucht die dSpace da.

Einen Arzt für

Herz- und Gefäßchirurgie Tätigkeit im OP-Bereich sowie auf der operativen Intensivstation

Wenig später soll der Bewerber noch mitbringen:

MicroAutoBox Embedded SPU Eigenständige Entwicklung von Treibern, Ethernet-Stacks, Bootloadern oder Root-Filesystemen sowie Portierung von geeigneter Open-Source-Software auf dem eingebetteten Linux-Betriebssystem [ ... ] C, C++ oder einer anderen höheren Programmiersprache Sehr gute Kenntnisse in Linux-Kernel- und Treiberprogrammierung.

Irgendwie sieht das ja nach einen Bug in der LinkedIn Software aus die da 2 Stellenausschreibungen ineinanderwurstet. Mittendrin tauchen auch noch spannende "CDATA" tags auf.

Eben per Zufall entdeckt - 2 Pakete die zum einen einen squid auf einem host aufsetzen optimiert für apt/deb's und einen host via mdns aka avahi/zeroconf announcen, und zum anderen ein paket das apt so konfiguriert das er nach ebendiesem host sucht:

squid-deb-proxy-client
squid-deb-proxy

Sehr schicke schnelle Lösung um einem DSL Light Beine zu machen.

Zu mediaWays Zeiten haben wir uns einen Spaß daraus gemacht am Pfeifen die Modulation/Carrier zu erkennen. Mit ein bisschen Erfahrung hat das immer Funktioniert. Nur was man da im Detail hört war uns nicht klar.

Hier mal eine Erklärung für einen V.90/V.92 connect - Sehr spannend.