Hoi Felix,
On Mon, 2014-01-27 at 02:21 +0100, Felix C. Stegerman wrote:
Zodra ik tijd heb zal ik het VM script weer online zetten. Vond je de waarschuwing bij m'n development VM duidelijk genoeg? Dan kan ik die gebruiken.
Op zich wel. En eventueel kan je ook één van je vorige mails quoten:
On Sun, 2014-01-26 at 00:39 +0100, Felix C. Stegerman wrote: Dus als je een firewall gebruikt zodat ook open poorten niet bereikbaar zijn (of je hele netwerk vertrouwd) en niets te vrezen hebt van andere gebruikers op dezelfde computer, zou het redelijk veilig moeten zijn -- maar ik kan niets garanderen. Dus moet je eigenlijk genoeg kennis van zaken hebben om de security ook te kunnen controleren.
Dat lijkt me niet zo simpel.
De binaries zijn niet gigantisch. /usr/bin/ib2013ux is 9,2MB en de 8 binaries in /usr/share/belastingdienst.nl/ib2013/ komen opgeteld op 1,8MB. Voor de rest lijkt het programma te bestaan uit gezipte HTML's.
Ik zal er al over na te denken. Je kunt iets doen met een extra user aanmaken en die toegang geven tot je X server. Een chroot lijkt me niet zo simpel. En apparmor/selinux ook niet.
Anders maar gewoon adviseren om pen en papier te gebruiken? Dat doe ik zelf namelijk ook.
... en ib20XXux (in een VM)
Alleen om de packages te testen; inderdaad in verschillende VM's. Maar zelf doe ik m'n aangifte met de hand. (Niet dat er veel aan te geven valt, maar dat komt door m'n leeftijd.)
Ik hoop dat het aangifteprogramma tegen de tijd dat ik serieus dingen in moet gaan vullen gewoon een AJAX-oplossing is geworden. Zelfs als het niet voor 'ons' zou zijn, hebben de mensen met tablets daar in ieder geval nog iets aan. (Zelf vind ik touchscreens verschrikkelijk, maar om de één of andere reden ben ik daar een uitzonderingsgeval in.)
en javascript?
Zo min mogelijk. Zoals mijn eigen website ook wel aantoont, ben ik geen grootverbruiker van JS-code. :)
en firmware?
Alleen wat er in de chips zelf zit. Ik zoek al m'n componenten uit om geen propriëtaire firmware nodig te hebben die door de kernel geladen moet worden. Intel-microcode zou op zich ook niet nodig zijn als ik m'n BIOS regelmatig zou updaten, maar BIOS-updates zorgen bij mij altijd alleen maar voor regressies. Dus doe dan maar <20kB aan microcode in /lib/firmware.
Daarnaast heb ik ook nog een Lemote YeeLoong in de kast liggen. :)
In de praktijk zijn WiFi-chips vaak het grootste probleem, maar Atheros lijkt het de afgelopen jaren heel goed te doen wat degelijke vrije drivers en firmware betreft. En voor minder dan 10 euro heb je al een Atheros-module inclusief verzendkosten uit Azië, als je bereid bent om twee maanden op de bezorging te wachten.
Ik ook. Maar ik heb voor m'n werk soms met (interne) niet-vrije code te maken, die draai ik dan in een VM. Sowieso prettig om dat gescheiden te houden.
Ik gebruik eigenlijk altijd VM's als 'staging ground', zelfs voor vrije software. Ik wil toch eerst de nodige ervaring met applicaties hebben voordat ik ze op m'n productiesystemen toelaat.
Verder heb ik (helaas) unrar geïnstalleerd, al meen ik dat dat niet vrij maar wel open source is. Als het goed is, is het alleen niet vrij omdat de broncode niet gebruikt mag worden om het rar-algoritme te reverse-engineeren. En aangezien ik toch nooit iets met rar comprimeer, heb ik ook totaal geen interesse in dat algoritme.