this blog used plog as its back-end since we started. It is a nice piece of open source software that can do with some support.
Al the more reason to spread the word that the new name for “plog” is “Lifetype”.
this blog used plog as its back-end since we started. It is a nice piece of open source software that can do with some support.
Al the more reason to spread the word that the new name for “plog” is “Lifetype”.
Yesterday I presented a column at het Domeinnaamdebat 2006. It was intended to start a discussion on the use of IDN within the Dutch top-level-domain. Although I am very supportive of the IDN technology I do not think it is needed for functional use of web, mail, voip and all those other fine Internet protocols under the .NL domain. Introduction causes more pain than worth.
If .NL were to deploy IDN we should allow more than only the few characters that are currently recommended by SIDN. In one should introduce Arabic, Cyrillic, Chinese and other scripts too. The restrictions to the current character set are artificial and arbritrary.
The text is in Dutch, I actually needed to introduce a new locale into the blogging software in order to cut and paste the UTF8 based text. I hope all characters are presented properly on all browsers.
Ik ben gevraagd om de discussie over IDN met een column in te leiden. Ik noem mijzelf soms DNS protocolspecialist en een technische presentatie over Unicode, Nampeprep, stringprep en normalisatie zou dus voor de hand liggen. Dit wordt niet zo’n presentatie. Ik neem als uitgangspunt de aanbeveling van SIDN en stel hardop wat vragen. Ik chargeer zo nu en dan een beetje, het blijft tenslotte een column.
Veel protocollen op het Internet gaan uit van ‘hostnames’. Hostnames hebben de restrictie dat ze worden uitgedrukt door 26 Latijnse letters, 10 cijfers, en een streepje. De namen van webservers zijn ‘hostnames’, de namen aan de rechterzijde van het apenstaartje in een e-mail adres zijn ‘hostnames’. Hostnames zijn een deel verzameling der domeinnamen, maar dat is een technisch detail waar ik niet verder op in ga. Wordt niet verward doordat de termen domein en hostname door elkaar gebruikt worden.
Het International Domain Names, of IDN, protocol is uitgevonden om ‘hostnames’ weer te geven in een schrift dat afwijkt van 26 Latijnse letters, 10 cijfers en een streepje. Er zijn nogal wat schriften die afwijken van die beperkte karakterset; Japans, Chinees, Linear B, Zweeds, Russisch, &c, &c. IDN maakt het mogelijk om domeinnamen op in verschillende schriften te representeren en voorziet daarmee in een economisch behoefte. Niet voor de gebruikers van Linear-B maar voor Japans en Mandarijn des te meer.
IDN is een afspraak over hoe ingetypte tekst in een ‘vreemd’ schrift wordt omgezet naar tekens die mogen voorkomen in een ‘hostname’. Het definieert ook hoe de ‘hostname’ weer naar de oorspronkelijke set glyphen wordt terug getransformeerd. IDN wordt geïmplementeerd op applicatie niveau. Voor gebruikers van een applicatie zonder IDN ziet de domeinnaam er ook uit als een klassieke domeinnaam die de combinatie "xn--" en wat onbegrijpelijke letter combinaties bevat.
Men zou alle denkbare karakters kunnen toelaten. Dat is niet echt praktisch, het lijkt dus redelijk om keuzes te maken met betrekking tot het gebruik van de karaktersets. Die keuzes zijn commercieel, economisch en cultureel.
Ten eerste zullen we moeten kiezen welke schriften we gebruiken.
In haar aanbeveling stelt SIDN dat het zijn afbakening definieert ten behoeve van de Nederlandse Internet gemeenschap. Ik weet niet waar die Nederlandse Internet gemeenschap uit bestaat. Zijn dat de mensen die surfen naar Nederlandse domeinnamen, de mensen die een account hebben bij een Nederlandse provider, de mensen die in het Nederlands communiceren, de mensen die in Nederland zaken doen, de mensen met een Nederlands paspoort die zich op het Internet begeven? U begrijpt dat iedereen die zich aan een dergelijke definitie waagt een goed politicus moet zijn.
Uitgaande van de Nederlandse taal wordt er gekozen voor het ‘Latin’ schrift. Dat schrift bevat inderdaad alle karakters die we het Nederlands, het Frysk, het Haags en het Limburgs gebruiken. Het omvat zelfs karakters die in het Turks gebruikelijk zijn. Maar waar moet nou de islamitische slagerij om de hoek terecht? Kan hij zijn bedrijfsnaam registreren in het schrift wat zijn klanten appelleert: Arabisch. Mijn islamitische slagerij is ingeschreven in de kamer van koophandel, heeft een Nederlandse Internet provider, slacht Nederlandse geiten en is bovendien oud-Hollandsch goedkoop. Is hij geen deel van de Nederlandse Internet gemeenschap? Al is een keuze voor ‘Latin’ is niet geheel onlogisch, er wordt wel een culturele grens getrokken die misschien opgerekt moet worden. Wie neemt de verantwoording voor die keuze?
Als er dan al voor een bepaald schrift is gekozen, zijn we dan klaar voor de komende 10 jaar? Kan een toekomstige Europese richtlijn over het gebruik van schriften binnen de lidstaten worden uitgesloten? Het lijkt me geen slecht idee om als randvoorwaarde aan de invoering van IDN te stellen dat nieuwe schriften later kunnen worden ingevoerd.
Welke schriften, één of meer, we ook kiezen we kunnen een aantal karakters uitsluiten dankzij technische limitaties van het IDN protocol: geen spaties, samengestelde karakters, &c. Daarnaast worden de hoofdletters die de door IDN gedefinieerde transformatie niet overleven uitgesloten. Het ruimt lekker op en er is wat mij betreft weinig willekeur in deze keuze.
Niet technische keuzes komen weer om de hoek kijken als we de visueel verwarrende karakters uitsluiten. Die karakters worden in het Engels homoglyphen genoemd. Een Nederlandse variant van dit Latinisme heb ik niet kunnen achterhalen. Maar dat terzijde.
ICANN beveelt aan dat verschillende schriften niet door elkaar gebruikt mogen worden.
Dat de uitbaters van undutchables.nl daardoor hun merknaam niet als UИDUTÇABLΣS.nl onder kunnen registreren is jammer, maar we kunnen de schuld bij de ICANN aanbeveling leggen. Er moet wel tussen verschillende varianten van het Latin schrift worden gekozen, dat is een detail.
Blijft de angst dat er homoglyphen binnen een karakterset voorkomen. "paypal" en "pąypal" (geschreven met een ‘a’ met ‘ogonek’) lijken veel op elkaar. Dat verschil kan door booswichten wordt uitgebuit. Op basis van mogelijke verwarring en het niet aanwezig zijn van karakters in het Nederlands wordt in de aanbeveling van SIDN de hele "Extended Latin A" karakterset weggestreept. Sluiten we daardoor de Nederlandse Internet gebruiker uit? Ik weet het niet, ik weet immers niet wie die gebruiker is. Is de restrictie terecht, ook dat weet ik niet.
Met het uitsluiten van de ‘Extended Latin A’ karakters is de angst voor misbruik van homoglyphen niet uit de lucht. Daarom worden in de SIDN aanbeveling, mijns inziens volstrekt willekeurig, nog een aantal karakters weggegooid. Daaronder de ø, de o met de schuine streep. Dat maakt registratie van bløf.nl onmogelijk. Ik vraag me af of de leden van Bløf zich lid van de Nederlandse Internet gemeenschap voelen of niet. Ze zingen in ieder geval wel bloedmooie Nederlandse liedjes. Kunnen de leden van het ‘anhangerschap Normaal’ nu niet de domeinnaam ‘høken.nl’ registreren?
Ook de ï, een i met een trema, wordt weggemieterd. Dat is jammer want ‘goed-geïmplementeerd.nl’ zou ik zelf een interessante domeinnaam vinden. En waarom wordt een i met een trema wel gezien als homoglyph en een a met trema niet? Voor een nietsvermoedende surfer ziet "äbnamro.nl" er waarschijnlijk hetzelfde uit als "abnamro.nl". Als de gebruiker al naar de adresbalk van zijn browser kijkt. En waar blijft de "ç", de c met cedille? Waar moeten we heen met onze in het Turks geschreven namen (de schoolklas van mijn zoon zit er vol mee).
Over de adresbalk gesproken. IDN heeft alleen betrekking over wat er in een adresveld van een applicatie wordt ingetypt. Niet op de tekst in de browser, of in een e-mail.
Wie heeft er recent nog een domeinnaam in getypt in zijn adresbalk? Wie heeft er in één keer foutloos www.domeinnaamdebat2006.nl in zijn browser getypt en wie heeft er voor "domein debat .nl 2006" ge-googled?
Daarnaast vraag ik me af hoeveel mensen er weten hoe je een é, û of een ï moet typen? Heeft invoering van IDN wel nut als je bijna zeker weet dat een groot deel van de Nederlanders Café zonder accent aigu schrijft. Overleeft www.tête-à-tête.nl een radio commercial? Bovendien heeft die adres balk uiteindelijk weinig te maken met wat er in de browser wordt gepresenteerd.
Mijn islamitische slagerij heeft voor zijn Arabisch schrijvende klanten een link staan vanaf een portal voor Arabisch schrijvende Nederlanders. Ik kan die link gewoon volgen zonder dat ik een letter Arabisch in type. Een uurtje willekeurig rondklikken op sites die Japans schrift gebruiken kan ook erg opwindend zijn. Ik kan mijn IJslandse collega Guðmundsson gewoon correct adresseren door te clicken op een link in mijn adresboek. Mijn punt is dat ik een bepaald schrift niet in de adres balk hoeft te kunnen typen om in je eigen schrift te kunnen mailen en surfen. Die adresbalk is zo belangrijk niet.
Maar laten we dit nu eens allemaal terzijde schuiven en eens kijken naar de economische zijde van het verhaal.
Hoeveel gaat de invoering van IDN kosten? Een paar zaken die in ieder geval geld gaan kosten is de intergratie in de Whois Database,in de Whois clients, in het Billing systeem, in de systemen waarmede de leden met SIDN communiceren en in de systemen waarmee de leden zaken doen met hun klanten. Al deze systemen moeten zo gebouwd worden dat andere karakters op termijn moeten worden kunnen ingevoerd. Met andere woorden op bijna alle systemen moet IDN worden geïmplementeerd.
Juridische kosten gaan omhoog, ook al probeer je homoglyphen uit te sluiten je gaat te maken krijgen met homografen. Zijn "cafe-bluf" en "café-bløf" verschillende merken, betekenen ze hetzelfde? De invoering van meer variatie in het schrift zal leiden tot meer variatie in interpretatie en dus in hogere juridische rekeningen.
Stel we gaan al die kosten naar rato omslaan naar die enkele web site houder die IDN gaat gebruiken. Is de prijs van een domeinnaam dan nog wel reëel? Hoeveel betaald u voor "reëel.nl"? Gaan we er met zijn allen voor betalen? Is er een economische behoefte of gaat het alleen om het weergeven van beeldmerken in het adresveld van e-mail programma’s en browsers?
U begrijpt het van mij hoeft het niet zo nodig. Hebben we ons overigens al afgevraagd welk probleem we proberen op te lossen? Waarom we het in de eerste plaats over IDN hebben?
In a recent post on the SONY DRM Hell Bruce Schneier refers to a statistical analysis done by Dan Kaminsky.
Kaminsky asked more than 3 million DNS servers across the net whether they knew the addresses associated with the Sony rootkit — connected.sonymusic.com, updates.xcp-aurora.com and license.suncom2.com. He uses a "non-recursive DNS query" that allows him to peek into a server’s cache and find out if anyone else has asked that particular machine for those addresses recently.
The premissis is that all that query for these addresses are interested in downloading the patch. But later on in the article Schneier writes
In any case, Sony’s rapid fall from grace is a great example of the power of blogs; it’s been fifteen days since Mark Russinovich first posted about the rootkit. In that time the news spread like a firestorm, first through the blogs, then to the tech media, and then into the mainstream media.
In many of these blogs some of the above addresses are linked and it would not surprise me if blog-readers following these links are a significant fraction of the query sources.
Even though I follow the instructions on the PLog 1.0/XMLRPC page, I have problems getting pLog and ecto to work with pictures.
After including a thumbnail with the ‘iphoto’ interface button and publishing the message Ecto responds with a "Could not parse response" message.
What I notice is that:
I had some hope that Paul’s time sink would contain some hints but was not able to find anything there.
Doing the pictures manually is such a pain.
I would love to build myself a very silent computer. But I’m affraid that in my hands such machine would become a little messy.
I reckon that other people might run into this problem as well. So why not document my workaround for googlersto find it.
I have configured postfix on my laptop to act as a smart relay. My mailclients use localhost as the sending MTA and the laptop postfix MTA sets up a connection (over TLS with SASL) authentication to my main server.
After updating to Tiger the mails started queuing and I found errors like:
/var/log/mail.log:May 17 19:32:38 secret-wg-mobile-warrior postfix/smtp[15714]: warning: SASL authentication failure: GSSAPI Error: Miscellaneous failure (No credentials cache found)
This problem is caused because postfix on Tiger is compiled with Kerberos support.
Unfortunatelly the version that ships with Tiger (2.1.5, I think) does not have the client side configuration option one can use to disable GSSAPI using the smtp_sasl_mechanism_filter. That is available as of version 2.2. This flag would allow to exclude ‘gssapi’ from the authentication mechanisms the client (the laptops mailserver) uses to authenticate to the server (my main mailserver).
One therefore has to muck around with the SASL configuration on the server end. All is nicely documented in the "SASL authentication" document.
The trick is to add a line mech_list: digest-md5 cram-md5 to the SASL configuration file (/usr/local/lib/sasl2/smtpd.conf on my FreeBSD ports install of postfix)
My /usr/local/lib/sasl2/smtpd.conf reads:
pwcheck_method: saslauthd
mech_list: digest-md5 cram-md5
Please leave a comment if you stumble upon this and it helped.
I was surfing a bit to see if there are any rumours on the release of G5 powerbooks. When I found the image of the prototype.
This picture does not show the fans mounted on the left side of the machine, nor the external battery backpack.
I have one server that goes by the hostname of "bert.secret-wg.org". It has other identities too; "www.trend-watcher.org" and "www.net-dns.org" are examples.
The Apache documentation claims that name-based virtual hosting and SSL can not work
Fortunately there is a hack that works. There is an X509 extension called subjectAltName that can be used to create one certificate that can be used for the many identities that your server uses.
There are a couple of things that I stumbled upon that might be nice to know if you try to set this up yourself.
In order to be compatible with Firefox you will need to specify the hostname in your subjects common name (CN) but you will also need to specify your hostname in the set of subjectAltNames
In order to have your "CSR" carry all the subject altnames you need you will need to hack your openssl.conf file.
What follows are the relevant portions or the openssl.conf. First the [req] section that includes the "req_distinguished_name" sections
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert
here is the "req_attributes" section. For each subjectAltName you want to use you will have to add two lines to the conf file.
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = NL
countryName_min = 2
countryName_max = 2stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = North Holland
localityName = Locality Name (eg, city)
localityName_default = Amsterdam
0.organizationName = Organization Name (eg, company)
0.organizationName_default = The Secret Working Group
# we can do this but it is not needed normally 🙂
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = Web ServercommonName = Common Name (eg, YOUR name)
commonName_default = bert.secret-wg.org
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 64
emailAddress_default = olaf@dacht.net
0.subjectAltName = Subject altname
0.subjectAltName_default = DNS:www.net-dns.org
1.subjectAltName = Subject altname
1.subjectAltName_default = DNS:www.secret-wg.org
2.subjectAltName = Subject altname
2.subjectAltName_default = DNS:www.trend-watcher.org
3.subjectAltName = Subject altname
3.subjectAltName_default = DNS:bert.secret-wg.org
Once you have this in place you run openssl:
openssl req -config special.conf -new -key private.key -out certificat_sign_request.crs
It is this beast that you want to get signed by your certificate authority. Which gets us to the next problem
There is a feature (bug) in openssl. Even if your "copy_extentions" directive in the openssl.conf file reads "copyall" the CA fails to copy the subjectAltNames. You will have to configure the subjectAltNames that need to appear in the signed certificate into your openssl.conf otherwise they will be stripped.
So in your CA’s openssl.conf you will have to put somewhere in the ‘[usr_cert]‘ section:
subjectAltName=DNS:www.net-dns.org,DNS:www.secret-wg.org,DNS:www.trend-watcher.org,DNS:bert.secret-wg.org
Off course you should not forget to remove this line once you signed the certificate.
In theory you can off course skip hacking the openssl configuration for the certificate signing request and just have the CA introduce the subjectAltNames, that is what is effectivly being done now. But remember, setting the subjectAltNames by the CA is a workaround that should not be needed in the future.
The apache configuration is trivial. For each virtual name you will have to setup a virtual host both on port 80 as well as on port 443.
# Wherever you see square brackets you should see angle brackets,
# plog just does not accept them …
[VirtualHost 192.168.0.1:80]
ServerName www.net-dns.org
(… the usual cruft …)
[/VirtualHost];[VirtualHost 192.168.0.1:443]
ServerName www.net-dns.org
(…exactly the same the usual cruft …)
# use exactly the same SSL key and CERT for each of the virtual SSL servers
SSLCertificateFile /usr/local/certs/bert.secret-wg.org-http.pem
SSLCertificateKeyFile /usr/local/certs/bert.secret-wg.org-http.key[/VirtualHost]
So now I can securely set up a connection without all the warning boxes. That is, as long as the proper CA root certificate has been loaded into my browser.
I have not yet started to get my finger behind Plog’s plugins—This evenings project was was not Blog but Mail. I finally gotaround to have my home-gateway talk SASL/TLS to my main server thatacts as a relayhost so that all my mail leaves from one server. — butthe templates stucture is cool enough in itself. Its one of thoseappealing little features of the plog architecture.
The AmIAScreenSaverOrNot screensaver is a funny screensaver is very nice hack. It just grabs pics from http://www.hotornot.comand displays them, one by one. While trying to figure out how that hackworked I noticed that HotorNot has an RSS feed nowadays. That makeshacking up a template that shows the latest 10 girls on HotorNot a trivial excercise.
The result can be found at http://www.trend-watcher.org/static/ladies.
The core of the template only counts a few lines:
{include file="trend-watcher/header.template"}
{if $rss->parse("http://services.hotornot.com/rss/girls/")}
{assign var=channel value=$rss->getChannel()}
<a href="{$channel->getLink()}">{$channel->getTitle()}
{$channel->getDescription()}
{foreach name=articles from=$rss->getItems() item=rssItem}
{if ($smarty.foreach.articles.iteration < 10)}
getLink()}">{$rssItem->getTitle()}
{$rssItem->getDescription()}
{/if}
{/foreach}
{/if}
{include file="trend-watcher/panel.template"}
{include file="trend-watcher/footer.template"}
I just upgraded this blog from plog 0.3 to version 1.0. The upgrade procedure works like a charm and the admin interface and the xmlrpc are improved. Its worth the step and its worth not to wait for the FreeBSD port to be available.