Gisteren heb ik deze webpagina [1] gelanceerd, met als doel om het voor Debian- en Ubuntu-gebruikers (veel) eenvoudiger te maken om de Belastingdienst-software te installeren en verwijderen.
Ik hoop in de toekomst ook RPM-pakketten aan te kunnen leveren, maar ik moet bekennen dat ik niet heel veel ervaring heb met Red Hat's pakketmanagement. Als iemand wil helpen, hoor ik dat natuurlijk graag.
[1] http://quietlife.nl/belastingdienst.php
Hoi Kevin,
goed idee om een deb pakket aan te bieden. Ik weet dat mijn ouders er zelf niet uit kwamen op Ubuntu, installeren vanuit tarballs hadden ze nog niet gehad op de cursus ;-)
Ik probeerde even je 64 bit versie, maar die geeft een bericht van "bad quality", met de volgende details:
Lintian check results for /tmp/ib2013-0.6.1_amd64-1.deb: E: ib2013: wrong-file-owner-uid-or-gid usr/ 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/bin/ 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/bin/ib2013ux 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/ 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/applications/ 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/applications/ib2013ux.desktop 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/belastingdienst.nl/ 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/belastingdienst.nl/ib2013/ 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/belastingdienst.nl/ib2013/ib2013.bdr 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/belastingdienst.nl/ib2013/ib2013.efr 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/belastingdienst.nl/ib2013/ib2013.gui 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/belastingdienst.nl/ib2013/ib2013.mld 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/belastingdienst.nl/ib2013/ib2013.pem 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/belastingdienst.nl/ib2013/ib2013.pfr 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/belastingdienst.nl/ib2013/ib2013.scr 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/belastingdienst.nl/ib2013/ib2013.top 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/belastingdienst.nl/ib2013/ib2013.zip 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/belastingdienst.nl/ib2013/ib2013d.cfg 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/doc/ 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/doc/ib2013/ 1000/1000 E: ib2013: wrong-file-owner-uid-or-gid usr/share/doc/ib2013/changelog.gz 1000/1000
groet,
Wouter
On 01/23/2014 01:15 PM, Kevin Keijzer wrote:
Gisteren heb ik deze webpagina [1] gelanceerd, met als doel om het voor Debian- en Ubuntu-gebruikers (veel) eenvoudiger te maken om de Belastingdienst-software te installeren en verwijderen.
Ik hoop in de toekomst ook RPM-pakketten aan te kunnen leveren, maar ik moet bekennen dat ik niet heel veel ervaring heb met Red Hat's pakketmanagement. Als iemand wil helpen, hoor ik dat natuurlijk graag.
[1] http://quietlife.nl/belastingdienst.php
Fsfe-nl mailing list Fsfe-nl@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-nl
Hoi Wouter,
Bedankt voor je reactie.
On Thu, 2014-01-23 at 13:43 +0100, Wouter Tebbens wrote:
Hoi Kevin,
goed idee om een deb pakket aan te bieden. Ik weet dat mijn ouders er zelf niet uit kwamen op Ubuntu, installeren vanuit tarballs hadden ze nog niet gehad op de cursus ;-)
Ik probeerde even je 64 bit versie, maar die geeft een bericht van "bad quality", met de volgende details:
Hmm, ik denk dat het in principe niet uitmaakt, want GDebi installeert het pakket uiteindelijk wel gewoon, en de ownership van alle subdirectories blijft op UID 1 staan.
Desalniettemin denk ik dat het met versie 0.6.2 is opgelost. Ik heb de pakketten nu gebouwd met fakeroot, waardoor de ownership overal op root:root staat. De nieuwe versies zouden nu te downloaden moeten zijn.
Ik krijg nog wel een aantal andere Lintian-warnings, maar ik kan niet overal iets aan doen. Dat sommige binaries niet in ELF zijn, vind ik ook niet leuk, maar zo levert de Belastingdienst ze nu eenmaal aan; zonder source. En die xfonts-deps moet ik ook echt zo laten als ik wil dat het werkt. En zelf een manpage schrijven voor een binary blob heb ik ook niet echt zin in. :)
Hoi Kevin,
On 01/23/2014 02:48 PM, Kevin Keijzer wrote:
Hoi Wouter,
Bedankt voor je reactie.
On Thu, 2014-01-23 at 13:43 +0100, Wouter Tebbens wrote:
Hoi Kevin,
goed idee om een deb pakket aan te bieden. Ik weet dat mijn ouders er zelf niet uit kwamen op Ubuntu, installeren vanuit tarballs hadden ze nog niet gehad op de cursus ;-)
Ik probeerde even je 64 bit versie, maar die geeft een bericht van "bad quality", met de volgende details:
Hmm, ik denk dat het in principe niet uitmaakt, want GDebi installeert het pakket uiteindelijk wel gewoon, en de ownership van alle subdirectories blijft op UID 1 staan.
Desalniettemin denk ik dat het met versie 0.6.2 is opgelost. Ik heb de pakketten nu gebouwd met fakeroot, waardoor de ownership overal op root:root staat. De nieuwe versies zouden nu te downloaden moeten zijn.
ok, getest: lukt zonder problematische foutmeldingen! En het programma start correct op, lijkt goed te werken dus.
Ik krijg nog wel een aantal andere Lintian-warnings, maar ik kan niet overal iets aan doen. Dat sommige binaries niet in ELF zijn, vind ik ook niet leuk, maar zo levert de Belastingdienst ze nu eenmaal aan; zonder source. En die xfonts-deps moet ik ook echt zo laten als ik wil dat het werkt. En zelf een manpage schrijven voor een binary blob heb ik ook niet echt zin in. :)
lijkt me duidelijk :) groet en dank,
Wouter
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
On 2014-01-23 13:15, Kevin Keijzer wrote:
Gisteren heb ik deze webpagina [1] gelanceerd, met als doel om het voor Debian- en Ubuntu-gebruikers (veel) eenvoudiger te maken om de Belastingdienst-software te installeren en verwijderen.
Ik hoop in de toekomst ook RPM-pakketten aan te kunnen leveren, maar ik moet bekennen dat ik niet heel veel ervaring heb met Red Hat's pakketmanagement. Als iemand wil helpen, hoor ik dat natuurlijk graag.
Volgens mij is het aangifteprogramma geen vrije software (al gebruikt het die wel). Vandaar dat ik het programma ook in een VM uitvoer en geen toegang geef tot mijn computer.
Het zou misschien mooi zijn om een daadwerkelijk vrij programma te hebben dat automatisch een VM maakt en het belastingprogramma erin installeert en start. En dan natuurlijk het .deb/.rpm pakket wel met sha512+gpg aanbieden ;-) Als ik de tijd kan vinden ga ik hier eens naar kijken.
- - Felix
- -- Felix C. Stegerman vice-coordinator, dutch fellowship group of fsfe
Hoi Felix,
On Thu, 2014-01-23 at 23:37 +0100, Felix C. Stegerman wrote:
Volgens mij is het aangifteprogramma geen vrije software (al gebruikt het die wel).
Klopt: het is grotendeels LGPLv2.1, maar van de in totaal negen binaries kan ik nergens broncode vinden. Maar aan de andere kant heb ik ook nergens een EULA gezien.
Vandaar dat ik het programma ook in een VM uitvoer en geen toegang geef tot mijn computer.
Uiteraard draai ik het zelf ook binnen een VM (helaas met netwerktoegang), maar dat is voor de gemiddelde gebruiker makkelijker gezegd dan gedaan.
Mede daarom heb ik dus ook deze .debs gemaakt. Je hoeft de Belastingdienst niet te vertrouwen (lees: hun autopackage geen roottoegang te geven). Van mijn .debs kan je exact zien welk bestand waar wordt geplaatst, en uitsluitend het installeren van het geheel (het dpkg-proces dus) vereist roottoegang.
De binaries van de Belastingdienst zelf zullen altijd als normale user worden uitgevoerd, en kunnen dus niet zomaar extra code installeren aangezien ze geen write-access tot / hebben.
De enige directories die überhaupt worden aangepast bij de installatie, zijn:
- /usr/bin (één binary) - /usr/share/applications (.desktop-bestand) - /usr/share/belastingdienst.nl/ib2013 (acht binaries, een SSL-cert en een .zip) - /usr/share/doc/ib2013 (changelog en licentie) - /usr/share/icons/hicolor (een aantal .png's en .svg's) - /usr/share/mime/packages (één XML-bestand)
Het zou misschien mooi zijn om een daadwerkelijk vrij programma te hebben dat automatisch een VM maakt en het belastingprogramma erin installeert en start.
Wellicht is een chroot dan handiger. In ieder geval een stuk makkelijker in de praktijk te brengen, en minder afhankelijk van specifieke functionaliteiten (VT-d, enzovoort). Ook iemand met een Pentium 4-bak uit 2003 zou het natuurlijk moeten kunnen gebruiken.
En als je het niet in non-free maar in contrib wilt hebben, zou je iets kunnen bedenken dat de source tarball van de Belastingdienst downloadt en uitpakt, in plaats van het kant-en-klare pakket te leveren. Maar goed, dat is wel erg veel werk voor een programma dat de meeste mensen nog geen uur per jaar gebruiken.
En dan natuurlijk het .deb/.rpm pakket wel met sha512+gpg aanbieden ;-) Als ik de tijd kan vinden ga ik hier eens naar kijken.
Voor nu heb ik maar even checksums en filesizes aan de downloadpagina toegevoegd. Ik zou ze ook gerust met GPG willen ondertekenen, maar dan moeten mensen weer pubkeys gaan toevoegen met sudo apt-key add. In dat geval zou een Ubuntu-PPA waarschijnlijk handiger zijn, maar ik weet niet of ik de gebruiksvoorwaarden van Launchpad wel wil accepteren.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
On 2014-01-24 00:17, Kevin Keijzer wrote:
Hoi Felix,
On Thu, 2014-01-23 at 23:37 +0100, Felix C. Stegerman wrote:
Volgens mij is het aangifteprogramma geen vrije software (al gebruikt het die wel).
Klopt: het is grotendeels LGPLv2.1, maar van de in totaal negen binaries kan ik nergens broncode vinden. Maar aan de andere kant heb ik ook nergens een EULA gezien.
Vandaar dat ik het programma ook in een VM uitvoer en geen toegang geef tot mijn computer.
Uiteraard draai ik het zelf ook binnen een VM (helaas met netwerktoegang), maar dat is voor de gemiddelde gebruiker makkelijker gezegd dan gedaan.
Mede daarom heb ik dus ook deze .debs gemaakt. Je hoeft de Belastingdienst niet te vertrouwen (lees: hun autopackage geen roottoegang te geven). Van mijn .debs kan je exact zien welk bestand waar wordt geplaatst, en uitsluitend het installeren van het geheel (het dpkg-proces dus) vereist roottoegang.
De binaries van de Belastingdienst zelf zullen altijd als normale user worden uitgevoerd, en kunnen dus niet zomaar extra code installeren aangezien ze geen write-access tot / hebben.
De enige directories die überhaupt worden aangepast bij de installatie, zijn:
- /usr/bin (één binary) - /usr/share/applications
(.desktop-bestand) - /usr/share/belastingdienst.nl/ib2013 (acht binaries, een SSL-cert en een .zip) - /usr/share/doc/ib2013 (changelog en licentie) - /usr/share/icons/hicolor (een aantal .png's en .svg's) - /usr/share/mime/packages (één XML-bestand)
Maar op een single-user systeem is toegang tot jouw user account natuurlijk net zo erg als root toegang. Dus zou je het programma al in een extra daarvoor aangemaakte user account moeten uitvoeren. Misschien een tip voor op je website?
Het zou misschien mooi zijn om een daadwerkelijk vrij programma te hebben dat automatisch een VM maakt en het belastingprogramma erin installeert en start.
Wellicht is een chroot dan handiger. In ieder geval een stuk makkelijker in de praktijk te brengen, en minder afhankelijk van specifieke functionaliteiten (VT-d, enzovoort). Ook iemand met een Pentium 4-bak uit 2003 zou het natuurlijk moeten kunnen gebruiken.
Dat is idd het nadeel van een VM.
En als je het niet in non-free maar in contrib wilt hebben, zou je iets kunnen bedenken dat de source tarball van de Belastingdienst downloadt en uitpakt, in plaats van het kant-en-klare pakket te leveren. Maar goed, dat is wel erg veel werk voor een programma dat de meeste mensen nog geen uur per jaar gebruiken.
Valt wel mee. Ik heb een script gemaakt: https://github.com/obfusk/belasting-vm. En dat valt ook vast nog wel voor iets anders (aangepast) te gebruiken.
En dan natuurlijk het .deb/.rpm pakket wel met sha512+gpg aanbieden ;-) Als ik de tijd kan vinden ga ik hier eens naar kijken.
Voor nu heb ik maar even checksums en filesizes aan de downloadpagina toegevoegd. Ik zou ze ook gerust met GPG willen ondertekenen, maar dan moeten mensen weer pubkeys gaan toevoegen met sudo apt-key add. In dat geval zou een Ubuntu-PPA waarschijnlijk handiger zijn, maar ik weet niet of ik de gebruiksvoorwaarden van Launchpad wel wil accepteren.
Het hoeft niet per se via apt (al zou dat wel mooi zijn idd). Je zou een SHA512SUMS + SHA512SUMS.sign (gpg signature) op je website kunnen zetten. Dat is wat ook bijv. gpg en tor doen.
- - Felix
- -- Felix C. Stegerman vice-coordinator, dutch fellowship group of fsfe
Hoi Felix,
On Fri, 2014-01-24 at 04:38 +0100, Felix C. Stegerman wrote:
Maar op een single-user systeem is toegang tot jouw user account natuurlijk net zo erg als root toegang. Dus zou je het programma al in een extra daarvoor aangemaakte user account moeten uitvoeren. Misschien een tip voor op je website?
In de meeste gevallen inderdaad wel ja. Dus ik heb er een stuk over toegevoegd (zie "Is het aangifteprogramma veilig?")
Hoe zit het trouwens met die LightDM gastfunctionaliteit in Ubuntu? Ik gebruik zelf Debian dus heb er niet veel ervaring mee, maar zou dat een eenvoudige oplossing zijn voor de gemiddelde gebruiker?
Valt wel mee. Ik heb een script gemaakt: https://github.com/obfusk/belasting-vm. En dat valt ook vast nog wel voor iets anders (aangepast) te gebruiken.
Op zich zou dit voor gevorderde gebruikers een uitkomst kunnen zijn, maar ik vraag me toch af of de compleet onervaren thuisgebruiker dat aan zou durven. Het is natuurlijk ook gewoon hoog tijd dat ze het aangifteprogramma naar AJAX migreren, zoals ze met het toeslagenprogramma een aantal jaar geleden al hebben gedaan.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
On 2014-01-24 08:51, Kevin Keijzer wrote:
Hoi Felix,
On Fri, 2014-01-24 at 04:38 +0100, Felix C. Stegerman wrote:
Maar op een single-user systeem is toegang tot jouw user account natuurlijk net zo erg als root toegang. Dus zou je het programma al in een extra daarvoor aangemaakte user account moeten uitvoeren. Misschien een tip voor op je website?
In de meeste gevallen inderdaad wel ja. Dus ik heb er een stuk over toegevoegd (zie "Is het aangifteprogramma veilig?")
Mooi. Ik ben er trouwens niet 100% gerust op dat je het programma mag verspreiden -- er zit immers gewoon copyright op. Al zou het in dit geval natuurlijk wel bizar zijn als men daar bezwaar tegen maakt.
Ook jammer dat ze geen https of checksums aanbieden bij het downloaden - -- maakt MITM een stuk makkelijker.
Hoe zit het trouwens met die LightDM gastfunctionaliteit in Ubuntu? Ik gebruik zelf Debian dus heb er niet veel ervaring mee, maar zou dat een eenvoudige oplossing zijn voor de gemiddelde gebruiker?
Misschien. Het nadeel is dat je geen bestanden permanent kunt opslaan (aangezien je nergens mag schrijven buiten de tijdelijke home directory) -- tenzij je bijvoorbeeld een USB drive gebruikt. Maar dan zit je er wel mee dat je de mappen die het programma gebruikt moet gaan verplaatsen of alles in één keer doen zodat je ze niet meer nodig hebt. Verder is het natuurlijk wel makkelijk als je geen gebruiker hoeft aan te maken.
Maar ik gebruik zelf ook Debian, dus dit is allemaal gebaseerd op de periode dat ik Ubuntu 12.04 gebruikte.
Valt wel mee. Ik heb een script gemaakt: https://github.com/obfusk/belasting-vm. En dat valt ook vast nog wel voor iets anders (aangepast) te gebruiken.
Op zich zou dit voor gevorderde gebruikers een uitkomst kunnen zijn, maar ik vraag me toch af of de compleet onervaren thuisgebruiker dat aan zou durven.
Misschien niet. Ik denk dat het voor mijn niet-technische kennissen en familie die Ubuntu gebruiken een prima oplossing is. Ik heb het gebruik van een VM redelijk simpel weten te maken. Je kunt virtualbox en vagrant meestal gewoon uit de repos halen. En dan hoef je alleen maar het .desktop bestand in de uitgepakte .zip te openen (en even te wachten).
Een voordeel van mijn script is dat het niet uitmaakt welke distributie je gebruikt. En ik hou er zelf niet van om allerlei i386 spul op mijn amd64 te moeten installeren voor één programma (dat ik één keer per jaar gebruik).
Je zou nog een link naar mijn script op jouw pagina kunnen zetten (als je wilt).
Het is natuurlijk ook gewoon hoog tijd dat ze het aangifteprogramma naar AJAX migreren, zoals ze met het toeslagenprogramma een aantal jaar geleden al hebben gedaan.
Dat zou het beste zijn idd.
- - Felix
- -- Felix C. Stegerman vice-coordinator, dutch fellowship group of fsfe
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
On 2014-01-25 01:18, Felix C. Stegerman wrote:
On 2014-01-24 08:51, Kevin Keijzer wrote:
[...]
Valt wel mee. Ik heb een script gemaakt: https://github.com/obfusk/belasting-vm. En dat valt ook vast nog wel voor iets anders (aangepast) te gebruiken.
[...]
Je zou nog een link naar mijn script op jouw pagina kunnen zetten (als je wilt).
Dat was dus een slecht idee. Ik vergeet soms hoe ontzettend onveilig de standaardinstellingen van vagrant zijn. Ik heb mijn script offline gehaald en vervangen door een waarschuwing het niet te gebruiken. Ik zal eens kijken of ik het veilig(er) kan maken, en anders komt er in elk geval een grote waarschuwing bij over waar je op moet letten.
- - Felix
- -- Felix C. Stegerman vice-coordinator, dutch fellowship group of fsfe
Hoi Felix,
On Sat, 2014-01-25 at 15:26 +0100, Felix C. Stegerman wrote:
Dat was dus een slecht idee. Ik vergeet soms hoe ontzettend onveilig de standaardinstellingen van vagrant zijn. Ik heb mijn script offline gehaald en vervangen door een waarschuwing het niet te gebruiken. Ik zal eens kijken of ik het veilig(er) kan maken, en anders komt er in elk geval een grote waarschuwing bij over waar je op moet letten.
Ik stond net op het punt om het aan m'n site toe te voegen toen ik je mail ontving, dus ik heb het maar niet gedaan.
Als je er nog een veilige omgeving van weet te maken, hoor ik het graag. Eventueel kan ik er dan zelf natuurlijk ook bij zetten dat het niet geschikt is voor onervaren gebruikers zonder kennis van de risico's.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
On 2014-01-26 00:20, Kevin Keijzer wrote:
Hoi Felix,
On Sat, 2014-01-25 at 15:26 +0100, Felix C. Stegerman wrote:
Dat was dus een slecht idee. Ik vergeet soms hoe ontzettend onveilig de standaardinstellingen van vagrant zijn. Ik heb mijn script offline gehaald en vervangen door een waarschuwing het niet te gebruiken. Ik zal eens kijken of ik het veilig(er) kan maken, en anders komt er in elk geval een grote waarschuwing bij over waar je op moet letten.
Ik stond net op het punt om het aan m'n site toe te voegen toen ik je mail ontving, dus ik heb het maar niet gedaan.
Als je er nog een veilige omgeving van weet te maken, hoor ik het graag. Eventueel kan ik er dan zelf natuurlijk ook bij zetten dat het niet geschikt is voor onervaren gebruikers zonder kennis van de risico's.
Ik had hetzelfde probleem met m'n development VM [1]. Daar staat een waarschuwing bij. Dus als je een firewall gebruikt zodat ook open poorten niet bereikbaar zijn (of je hele netwerk vertrouwd) en niets te vrezen hebt van andere gebruikers op dezelfde computer, zou het redelijk veilig moeten zijn -- maar ik kan niets garanderen. Dus moet je eigenlijk genoeg kennis van zaken hebben om de security ook te kunnen controleren. Ik ben dus bang dat het dan inderdaad alleen voor ervaren gebruikers geschikt is; die kunnen dan wel lekker makkelijk een VM gebruiken (en/of onervaren gebruikers er een geven). Dus ik zal binnenkort een nieuwe versie met een grote waarschuwing online zetten. Ook in het Nederlands.
Wat denk jij?
- - Felix
[1] https://github.com/obfusk/dev-vm-ruby
- -- Felix C. Stegerman vice-coordinator, dutch fellowship group of fsfe
Hoi Felix,
On Sun, 2014-01-26 at 00:39 +0100, Felix C. Stegerman wrote:
Ik ben dus bang dat het dan inderdaad alleen voor ervaren gebruikers geschikt is; die kunnen dan wel lekker makkelijk een VM gebruiken (en/of onervaren gebruikers er een geven). Dus ik zal binnenkort een nieuwe versie met een grote waarschuwing online zetten. Ook in het Nederlands.
Wat denk jij?
Als je het niet te veel werk vindt, sta ik er wel voor open. Tegelijkertijd vraag ik me ook af of het niet makkelijker is om de binaries van ib20XXux te analyseren, om te kijken wat ze precies doen. Ik ben zelf waarschijnlijk niet echt competent genoeg als programmeur om dat te doen, maar wellicht kunnen anderen dat wel proberen.
En anders kunnen we ook altijd nog kijken om er op een andere manier een sandbox omheen te bouwen, al moet ik bekennen dat ik daar niet echt ervaring mee heb. (Ik gebruik immers alleen maar vrije software, op wat microcode voor m'n BIOS en CPU na.)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
On 2014-01-26 14:51, Kevin Keijzer wrote:
Hoi Felix,
On Sun, 2014-01-26 at 00:39 +0100, Felix C. Stegerman wrote:
Ik ben dus bang dat het dan inderdaad alleen voor ervaren gebruikers geschikt is; die kunnen dan wel lekker makkelijk een VM gebruiken (en/of onervaren gebruikers er een geven). Dus ik zal binnenkort een nieuwe versie met een grote waarschuwing online zetten. Ook in het Nederlands.
Wat denk jij?
Als je het niet te veel werk vindt, sta ik er wel voor open.
Zodra ik tijd heb zal ik het VM script weer online zetten. Vond je de waarschuwing bij m'n development VM duidelijk genoeg? Dan kan ik die gebruiken.
Tegelijkertijd vraag ik me ook af of het niet makkelijker is om de binaries van ib20XXux te analyseren, om te kijken wat ze precies doen. Ik ben zelf waarschijnlijk niet echt competent genoeg als programmeur om dat te doen, maar wellicht kunnen anderen dat wel proberen.
Dat lijkt me niet zo simpel.
En anders kunnen we ook altijd nog kijken om er op een andere manier een sandbox omheen te bouwen
Ik zal er al over na te denken. Je kunt iets doen met een extra user aanmaken en die toegang geven tot je X server. Een chroot lijkt me niet zo simpel. En apparmor/selinux ook niet.
al moet ik bekennen dat ik daar niet echt ervaring mee heb. (Ik gebruik immers alleen maar vrije software, op wat microcode voor m'n BIOS en CPU na.)
... en ib20XXux (in een VM), en javascript?, en firmware?
Ik ook. Maar ik heb voor m'n werk soms met (interne) niet-vrije code te maken, die draai ik dan in een VM. Sowieso prettig om dat gescheiden te houden.
- - Felix
- -- Felix C. Stegerman vice-coordinator, dutch fellowship group of fsfe
Hey iedereen,
Wat een leuk initiatief om de IB-software gescheiden in een VM te draaien. Gezien de verregaande digitalisering van de Nederlandse overheid komt er vast een moment dat dit niet meer op papier kan en zelfs de grootste vrije software fan hier op is aangewezen.
Tegelijkertijd vraag ik me ook af of het niet makkelijker is om de
binaries van ib20XXux te analyseren, om te kijken wat ze precies doen. Ik ben zelf waarschijnlijk niet echt competent genoeg als programmeur om dat te doen, maar wellicht kunnen anderen dat wel proberen.
Dat lijkt me niet zo simpel.
De boel door een disassembler halen zal wel wat tijd kosten, maar het meest interessante is wellicht de netwerkcode en dat is wel eenvoudig na te lopen.
Groet, Jelle
Hoi Felix,
On Mon, 2014-01-27 at 02:21 +0100, Felix C. Stegerman wrote:
Zodra ik tijd heb zal ik het VM script weer online zetten. Vond je de waarschuwing bij m'n development VM duidelijk genoeg? Dan kan ik die gebruiken.
Op zich wel. En eventueel kan je ook één van je vorige mails quoten:
On Sun, 2014-01-26 at 00:39 +0100, Felix C. Stegerman wrote: Dus als je een firewall gebruikt zodat ook open poorten niet bereikbaar zijn (of je hele netwerk vertrouwd) en niets te vrezen hebt van andere gebruikers op dezelfde computer, zou het redelijk veilig moeten zijn -- maar ik kan niets garanderen. Dus moet je eigenlijk genoeg kennis van zaken hebben om de security ook te kunnen controleren.
Dat lijkt me niet zo simpel.
De binaries zijn niet gigantisch. /usr/bin/ib2013ux is 9,2MB en de 8 binaries in /usr/share/belastingdienst.nl/ib2013/ komen opgeteld op 1,8MB. Voor de rest lijkt het programma te bestaan uit gezipte HTML's.
Ik zal er al over na te denken. Je kunt iets doen met een extra user aanmaken en die toegang geven tot je X server. Een chroot lijkt me niet zo simpel. En apparmor/selinux ook niet.
Anders maar gewoon adviseren om pen en papier te gebruiken? Dat doe ik zelf namelijk ook.
... en ib20XXux (in een VM)
Alleen om de packages te testen; inderdaad in verschillende VM's. Maar zelf doe ik m'n aangifte met de hand. (Niet dat er veel aan te geven valt, maar dat komt door m'n leeftijd.)
Ik hoop dat het aangifteprogramma tegen de tijd dat ik serieus dingen in moet gaan vullen gewoon een AJAX-oplossing is geworden. Zelfs als het niet voor 'ons' zou zijn, hebben de mensen met tablets daar in ieder geval nog iets aan. (Zelf vind ik touchscreens verschrikkelijk, maar om de één of andere reden ben ik daar een uitzonderingsgeval in.)
en javascript?
Zo min mogelijk. Zoals mijn eigen website ook wel aantoont, ben ik geen grootverbruiker van JS-code. :)
en firmware?
Alleen wat er in de chips zelf zit. Ik zoek al m'n componenten uit om geen propriëtaire firmware nodig te hebben die door de kernel geladen moet worden. Intel-microcode zou op zich ook niet nodig zijn als ik m'n BIOS regelmatig zou updaten, maar BIOS-updates zorgen bij mij altijd alleen maar voor regressies. Dus doe dan maar <20kB aan microcode in /lib/firmware.
Daarnaast heb ik ook nog een Lemote YeeLoong in de kast liggen. :)
In de praktijk zijn WiFi-chips vaak het grootste probleem, maar Atheros lijkt het de afgelopen jaren heel goed te doen wat degelijke vrije drivers en firmware betreft. En voor minder dan 10 euro heb je al een Atheros-module inclusief verzendkosten uit Azië, als je bereid bent om twee maanden op de bezorging te wachten.
Ik ook. Maar ik heb voor m'n werk soms met (interne) niet-vrije code te maken, die draai ik dan in een VM. Sowieso prettig om dat gescheiden te houden.
Ik gebruik eigenlijk altijd VM's als 'staging ground', zelfs voor vrije software. Ik wil toch eerst de nodige ervaring met applicaties hebben voordat ik ze op m'n productiesystemen toelaat.
Verder heb ik (helaas) unrar geïnstalleerd, al meen ik dat dat niet vrij maar wel open source is. Als het goed is, is het alleen niet vrij omdat de broncode niet gebruikt mag worden om het rar-algoritme te reverse-engineeren. En aangezien ik toch nooit iets met rar comprimeer, heb ik ook totaal geen interesse in dat algoritme.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
On 2014-01-27 10:02, Kevin Keijzer wrote:
Hoi Felix,
On Mon, 2014-01-27 at 02:21 +0100, Felix C. Stegerman wrote:
Zodra ik tijd heb zal ik het VM script weer online zetten. Vond je de waarschuwing bij m'n development VM duidelijk genoeg? Dan kan ik die gebruiken.
Op zich wel. En eventueel kan je ook één van je vorige mails quoten:
On Sun, 2014-01-26 at 00:39 +0100, Felix C. Stegerman wrote: Dus als je een firewall gebruikt zodat ook open poorten niet bereikbaar zijn (of je hele netwerk vertrouwd) en niets te vrezen hebt van andere gebruikers op dezelfde computer, zou het redelijk veilig moeten zijn -- maar ik kan niets garanderen. Dus moet je eigenlijk genoeg kennis van zaken hebben om de security ook te kunnen controleren.
Ik ga die development VM morgen testen met een oudere vagrant versie. Daarna pas ik 'm aan zodat ie de belasting VM wordt. En dan zet ik een link samen met die quote op m'n blog. Dan kun je daar naar linken.
Dat lijkt me niet zo simpel.
De binaries zijn niet gigantisch. /usr/bin/ib2013ux is 9,2MB en de 8 binaries in /usr/share/belastingdienst.nl/ib2013/ komen opgeteld op 1,8MB. Voor de rest lijkt het programma te bestaan uit gezipte HTML's.
Ik zal er al over na te denken. Je kunt iets doen met een extra user aanmaken en die toegang geven tot je X server. Een chroot lijkt me niet zo simpel. En apparmor/selinux ook niet.
Anders maar gewoon adviseren om pen en papier te gebruiken? Dat doe ik zelf namelijk ook.
;-)
... en ib20XXux (in een VM)
Alleen om de packages te testen; inderdaad in verschillende VM's. Maar zelf doe ik m'n aangifte met de hand. (Niet dat er veel aan te geven valt, maar dat komt door m'n leeftijd.)
Ik hoop dat het aangifteprogramma tegen de tijd dat ik serieus dingen in moet gaan vullen gewoon een AJAX-oplossing is geworden. Zelfs als het niet voor 'ons' zou zijn, hebben de mensen met tablets daar in ieder geval nog iets aan. (Zelf vind ik touchscreens verschrikkelijk, maar om de één of andere reden ben ik daar een uitzonderingsgeval in.)
Mijn nieuwe laptop heeft een touchscreen, en dat is voor bijvoorbeeld het 'tikken' (ipv klikken) op links soms toch wel handig (al gebruik ik het zelden). Verder gebruik ik liever geen touchscreen, en ook liever geen muis (en al helemaal geen touchpad). Maar het ligt erg aan de context. Ik heb ook een tablet (leuk speelgoed) en daar vind ik het touchscreen niet zo'n probleem. Je moet er alleen niet mee willen werken.
en javascript?
Zo min mogelijk. Zoals mijn eigen website ook wel aantoont, ben ik geen grootverbruiker van JS-code. :)
en firmware?
Alleen wat er in de chips zelf zit. Ik zoek al m'n componenten uit om geen propriëtaire firmware nodig te hebben die door de kernel geladen moet worden. Intel-microcode zou op zich ook niet nodig zijn als ik m'n BIOS regelmatig zou updaten, maar BIOS-updates zorgen bij mij altijd alleen maar voor regressies. Dus doe dan maar <20kB aan microcode in /lib/firmware.
Daarnaast heb ik ook nog een Lemote YeeLoong in de kast liggen. :)
In de praktijk zijn WiFi-chips vaak het grootste probleem, maar Atheros lijkt het de afgelopen jaren heel goed te doen wat degelijke vrije drivers en firmware betreft. En voor minder dan 10 euro heb je al een Atheros-module inclusief verzendkosten uit Azië, als je bereid bent om twee maanden op de bezorging te wachten.
Ik heb jammer genoeg zo'n broadcom die firmware nodig heeft :-(
Ik ook. Maar ik heb voor m'n werk soms met (interne) niet-vrije code te maken, die draai ik dan in een VM. Sowieso prettig om dat gescheiden te houden.
Ik gebruik eigenlijk altijd VM's als 'staging ground', zelfs voor vrije software. Ik wil toch eerst de nodige ervaring met applicaties hebben voordat ik ze op m'n productiesystemen toelaat.
Daar gebruik ik ze idd. ook voor. Was ook handig om bijvoorbeeld mijn backup script te testen; ik wil immers liever niet dat ik ineens data kwijt ben door een typefout. En ik heb dus nu voor mijn werk eindelijk een standaard development VM voor de programmeurs gemaakt.
Verder heb ik (helaas) unrar geïnstalleerd, al meen ik dat dat niet vrij maar wel open source is. Als het goed is, is het alleen niet vrij omdat de broncode niet gebruikt mag worden om het rar-algoritme te reverse-engineeren. En aangezien ik toch nooit iets met rar comprimeer, heb ik ook totaal geen interesse in dat algoritme.
Ik gebruik daarvoor unar [sic], daar zit een vrije implementatie van unrar in. En virtualbox zit natuurlijk tegenwoordig in contrib.
- - Felix
- -- Felix C. Stegerman vice-coordinator, dutch fellowship group of fsfe
Hoi Felix,
On Mon, 2014-01-27 at 23:49 +0100, Felix C. Stegerman wrote:
Ik ga die development VM morgen testen met een oudere vagrant versie. Daarna pas ik 'm aan zodat ie de belasting VM wordt. En dan zet ik een link samen met die quote op m'n blog. Dan kun je daar naar linken.
Is goed. Ik wacht gespannen af. :)
Je moet er alleen niet mee willen werken.
Precies ja. Doe mij maar m'n Model M-toetsenbord dan. Muizen kan ik redelijk tolereren, en zelfs touchpads vind ik niet meer zo vreselijk als vroeger. Maar van die vette vingers op m'n scherm... Ik word al naar van de gedachte. :)
Ik ben overigens op geen enkel vlak 'modern'. Zo heb ik geen mobiele telefoons en geen tablets, en krijg ik koude rillingen van versterkers met displays (yay voor losse DAC's). Ik kijk sporadisch televisie via de UHF-band, draag een analoog horloge, lees papieren boeken, betaal altijd contant, en mijn contactlenzen zijn niet met het internet verbonden; om over m'n reservebril maar te zwijgen. Bovendien heeft m'n centrale verwarming gewoon een draaiknop, waarop ik alleen de temperatuur uit kan lezen, en niet of er files staan in Groningen.
Ik heb jammer genoeg zo'n broadcom die firmware nodig heeft :-(
Als het een standaard Mini PCI Express-kaart is, is het vrij eenvoudig te vervangen, tenzij je BIOS zo'n mensonterende blacklist heeft. Misschien heb ik zelfs nog wel wat op zolder liggen, al vrees ik dat dat allemaal full-size kaarten zijn, die je vandaag de dag steeds minder tegenkomt.
kevin@arcadia:~$ vrms Non-free packages installed on arcadia intel-microcode Processor microcode firmware for Intel CPUs unrar Unarchiver for .rar files (non-free version)
Contrib packages installed on arcadia iucode-tool Intel processor microcode tool virtualbox x86 virtualization solution - base binaries virtualbox-dkms x86 virtualization solution - kernel module sources virtualbox-qt x86 virtualization solution - Qt based user interface
2 non-free packages, 0.2% of 1242 installed packages. 4 contrib packages, 0.3% of 1242 installed packages.
Ik kan hier op zich wel mee leven zo. Zeker omdat ik bijna nooit meer met RAR-archieven te maken heb, dus dat er binnenkort ook wel vanaf kan.
En virtualbox zit natuurlijk tegenwoordig in contrib.
Maar dat heeft volgens mij meer te maken met Debian's enorm strenge richtlijnen voor software in main. Ik meen dat het komt door de Open Watson compiler die door Oracle wordt gebruikt om het virtuele BIOS te compileren; is het niet? En de licentie daarvan was dan weer niet DFSG-compliant, waardoor een deel van de toolchain niet in main aanwezig was, en het uiteindelijke pakket daar dus ook niet mag zijn.
Volgens mij is het uiteindelijke product nog altijd GPLv2 - al zit het nu in contrib.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
On 2014-01-28 00:18, Kevin Keijzer wrote:
Hoi Felix,
On Mon, 2014-01-27 at 23:49 +0100, Felix C. Stegerman wrote:
Ik ga die development VM morgen testen met een oudere vagrant versie. Daarna pas ik 'm aan zodat ie de belasting VM wordt. En dan zet ik een link samen met die quote op m'n blog. Dan kun je daar naar linken.
Is goed. Ik wacht gespannen af. :)
https://blogs.fsfe.org/flx/2014/01/29/vm-voor-aangifte-inkomstenbelasting-20...
- - Felix
- -- Felix C. Stegerman vice-coordinator, dutch fellowship group of fsfe
Wat toevallig; de Belastingdienst heeft ineens zelf debs en rpms..
http://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/themaoverstijgend...
On Thu, 2014-01-23 at 13:15 +0100, Kevin Keijzer wrote:
Gisteren heb ik deze webpagina [1] gelanceerd, met als doel om het voor Debian- en Ubuntu-gebruikers (veel) eenvoudiger te maken om de Belastingdienst-software te installeren en verwijderen.
Ik hoop in de toekomst ook RPM-pakketten aan te kunnen leveren, maar ik moet bekennen dat ik niet heel veel ervaring heb met Red Hat's pakketmanagement. Als iemand wil helpen, hoor ik dat natuurlijk graag.