Okay, om met het laatste te beginnen, een vrouw reverse engineren is geen standje :-)

Toch meldt de Boer Zoekt Vrouw end user license dat ik niet mag reverse engineren.

De vraag is, mag een license vorm dit verbieden. Volgens de man die ik vertrouw Arnoud Engelfriet (btw drop the www :-) ) op iusmentis

Reverse engineering, in goed Nederlands decompilatie, is volgens artikel 6 van de Software-richtlijn een handeling die geen inbreuk op het auteursrecht oplevert.

[...]

Artikel 9 lid 1 van diezelfde Richtlijn bepaalt dat “elk contractueel beding dat strijdig is met artikel 6″ nietig is. Oftewel, de rechthebbende kan zich op zo’n beding niet beroepen, en doet hij het toch dan hoef je alleen maar naar deze artikelen uit de richtlijn te verwijzen.

[...]

Met name is het niet legaal om de informatie te gebruiken om een kloon van de software te maken."

Zou de KRO weten dat hun license nietig is?

Ach, wat lief. Politiek gaat zich weer eens bezig houden met Groze Boze Internet partijen. Vroeger Microsoft met IE, nu Google met privacy, morgen Apple met de Appstore.

Techniek en politiek; altijd goede combinatie. Zo las ik op webwereld:

Het verzamelen van wifi-routerdata blijft de gemoederen bezig houden. Maar veel mensen, inclusief Tweedekamerleden, huilen met de privacywolven mee, zonder op de hoogte te zijn van de ins en outs.

Mijn persoonlijke mening is dat het een ieder vrij staat informatie te verzamelen door te luisteren, op radio, TV en andere radio technieken zoals Wifi. Luisteren staat vrij, opslaan mag. Uitzenden niet op alle banden zonder vergunningen misbruik van de data niet. Vrij simpel grondbeginsel me dunkt.

Dus dat de Google streetview auto's WiFi signalen geografisch lokaliseren, het SSID ("naam") van een Wifi accesspoint en het MAC address (een adres te gebruiken op lokale netwerken) opslaan en gebruiken voor Geo Location Services zal me niet veel doen. Die strijd proberen te winnen van Google zal enkel leiden tot het verschuiven naar andere manieren om locatie gebonden diensten te kunnen aanbieden.

Maar goed, ik ben een leek. Ik ben maar een Business Techneut. En we hebben heerlijke jaren 80 mannen die onze privacy beschermen, het Centraal Bureau Persoonsgegevens. En die is van mening dat Google dergelijke data niet mag opslaan en verwerken, zoals in deze PDF te lezen is. Google's handellen zou in strijd zijn met Artikel 8 van Wet Bescherming Persoonsgegevens. Ik heb daar een andere mening over. Maar goed, ik ben een leek.

En dus komt de opt-out vs opt-in discussie; je bent ingeschreven tenzij je aangeeft uitgeschreven te willen worden versus je bent uitgeschreven tenzij je aangeeft mee te willen doen. Google is natuurlijk voor opt-out, mensen doen geen moeite om ergens niet aan mee te doen. Liever heeft Google helemaal niets, geen opt-out of in.

Google heeft aangegeven dat opt-out niet veilig is, immers je zou op een website dan andermans MAC address kunnen invullen en zo zou er op grote schaal misbruik kunnen zijn van dat sommige mensen massaal anderen zouden uitschrijven.

En ja, daar weten we wel een oplossing voor. In het PDF document voetnoot 16 van CBP heeft men het:

Bijvoorbeeld door middel van de volgende use case:
1. De betrokkene logt in op een webpagina van Google, waarop een MAC-adres kan worden ingevoerd. Het
IP adres en datum, tijd zouden automatisch door Google kunnen worden gelogd.
2. Als het MAC adres in de GLS zit, zou Google de betrokkene kunnen doorsturen naar een verificatiepagina
die scripting bevat waarmee de ARP tabel wordt opgevraagd. De WLAN MAC-adressen zijn theoretisch
gezien op te vragen middels ‘ARP –a’. Middels browsercode, bijv java, kan dit ARP lijstje worden
opgevraagd op de achtergrond.
3. Als het opgegeven MAC adres in het ARP lijstje staat, is vastgesteld dat de gebruiker, die verbonden is met
het WLAN, diegene is die toegang heeft tot het lokale WLAN MAC-adres, dat evenwel ook in de Google
GLS is opgenomen. Het verzoek om verwijdering van de betrokkene is daarmee geverifieerd. De verificatie
kan geautomatiseerd op de achtergrond plaatsvinden.

En dat geeft maar weer eens aan hoe dom men kan zijn. Dom op vier manieren:

1. Beschikbaarheid: Java is een gesloten techniek die op een modern OS als Lion niet eens meer geïnstalleerd meer is
2. Uitvoerbaarheid: Java applets kunnen geen MAC adressen lezen (*)
3. Verschuiving denkfout: Dus Java applets kunnen MAC adressen lezen en dat is geen probleem?
4. Grote Denkfout: client side informatie vertrouw je niet dus vertrouw je … client side informatie?

Ad 1) Java heeft geen plaats meer op de client. Die tijd is voorbij. Java applets komen nagenoeg niet meer voor online. Op de server zijde (zeker in de financiële sector :-) is Java als servlet nog steeds zeer populair. Het verschil is dat een servlet op de webserver / appserver draait, een een applet in de browser. Dat laatste is dus bijna niet meer normaal en een modern OS als Lion heeft standaard geen Java geinstaleerd. De techniek is dus niet meer breed toegankelijk en daarmee beperk je de toegankelijkheid van de dienst om je uit te schrijven.

Ad 2) Ik ben geen programmeur. Ik weet weinig van Java, daar staat het sterretje (*) ook voor. Maar ik weet redelijk zeker dat Java als applet in een sandbox geen toegang heeft tot het uitlezen van informatie als mac adressen. Laat me graag verrassen dat het wel kan, ik weet dat getNetworkInterfaces() bestaat en dat je daarmee het MAC adres van de interfaces kan verkrijgen, maar weet redelijk zeker dat dit niet in een applet gaat werken. En ik denk ook dat het slechts de interfaces van de machine uitgevraagd kan worden, niet het MAC adres van andere machines die op het zelfde lokale netwerk zitten. Ik denk dus dat het helemaal niet kan wat het CBP wil!

Ad 3). En dan. Stel dat het kan wat CBP wil. Is er dan niet een veel groter probleem? Dan hoef je namelijk helemaal niet de straten af te schuimen om MAC adressen te verzamelen maar zou je dat zo vanaf een browser kunnen doen. Als het CBP dus denkt de oplossing te hebben voor het MAC adres validatie probleem, waarom zien ze dan niet dat dit juist een gigantisch probleem zou zijn!?

Ad 4) En dan, de klapper. De Grote DenkFout. Men vertrouwt User Generated Content niet bij het manueel invoeren van een MAC adres. Terecht. Dus is de oplossing het uitvragen van CLIENT side informatie. Client, user. Zelfde pot. Even betrouwbaar. Als je "de gebruiker" niet kan vertrouwen om de juiste data in te vullen, dan maakt het niet uit of de gebruiker een client is of een klant; een persoon of een machine van die persoon.

Want, het veranderen of toevoegen van een MAC adres in mijn ARP tabel is een paar seconde werk. En kan bijvoorbeeld door een MAC adres te spoofen op mijn netwerk:
sudo ifconfig en0 lladdr 00:00:00:00:00:00
en ik kan nu 00:00:00:00:00:00 uitschrijven. Want, die staat toch immers in mijn systeem en dus betrouwbaar...

Ach, politiek en techniek. Blijft een leuke combinatie.

((c) Arty Smokes )
Het is altijd leuk te zien dat politiek helemaal niet vooruitzien is maar achteruit kijken. Een soort auto besturen door in de achteruitkijkspiegel te kijken. Het gaat prima, zolang de condities niet veranderen; er een bocht komt. Echter, in de huidige wereld verandert alles ten alle tijde continue. Bochten, hellingen, splitsingen, ze zijn aan de orde van de dag. Dus als de politiek zich bezig gaat houden met het sturen en de motor van de auto terwijl ze in de achteruitkijk spiegel kijkt, dan weet je dat we de vangrail gaan raken.

( (c) bass_nroll)
Toen heel Nederland zich 5 jaar geleden begon te ergeren aan de absurde kosten voor het gebruik van data op een mobiele telefoon in het buitenland, ging de politiek zich bezig houden over de hoge kosten van SMS in het buitenland. Ik gok dat de politiek zich ook bezig hield met de hoge prijzen voor haver voor paarden die internationale koetsen trokken, toen de de treinen al decenia tussen de landen pendelen. Jawel, regeren is vooruitzien met een achteruitkijk spiegel.

Zo is het ook amusant te zien dat de NL en EU zich plotseling druk gaan maken over "cookies", kleine text bestanden (in de campingbrowser) of regels in een text bestand in echte browsers). Van tekst bestanden kan je geen geslachtziekte krijgen. En al rond 1996 wist ik hoe ik er mee om moest gaan, blockeren wat je niet wil en gebruiken wat handig is. Zonder cookies kan je moeilijk inloggen op sites en dus gebruik maken van diensten omdat HTTP nu eenmaal stateless is. Een gebruiker wil niet zonder. En gebruiker weet echter meestal niet wat de nadelen zijn, een cookie wordt gebruikt om een gebruiker te identificeren en kan dus gebruikt worden om iemand te... identificeren. Een cookie kan per definitie enkel gelezen worden op het domain waarop deze gezet is, sbs6.nl kan mijn cookie van nos.nl dus niet lezen. Daar is geen probleem. Maar het probleem is dat er domains zijn die nagenoeg tegenwoordig op elke pagina vorkomen, advertenties van google bv in combinatie met google analytics. Google kan dus vrij eenvoudig een gebruiker volgen over 70% van alle internet sites. Probleem: Wellicht. Echt: Nee

Tuurlijk, Google (maar ook anderen als facebook die mij vraagt of ik als eerste van mijn vrienden iets wil "liken" op een site) weten heel veel van mij. En ondanks dat Google haar policy in 2007 aanpast heeft weet ze -en tientallen andere grote bedrijven en honderden ads agencies- heel veel van mij. Erg? Wel, ik heb liever goede reclames dan slechte. Behavioraal of niet.

Hoewel ik wel van mening ben dat het absurd is om en camera boven je webste te hangen om Google te laten meten wie er binnen en welke jas hij draagt voor enterprises en met name overheden. Zeker als er zeer goede alternatieven zijn door zelf de ruwe analyse van data te doen in realtime en "gratis" aan de hand van de opensource oplossing aan de hand van bijvoorbeeld piwik.org/. En het lost een van de grootste problemen op; als websites webapplicaties worden zie je de enkel de pagina load; niet de interactie. Zie hiervoor mijn oude posting op when webpages become webapplications and the influence on statistics. Dus zelf je ruwe data analyseren, is de beste oplossing.

Natuurlijk doen alle uitgevers alsof de hemel vol cookies op ons dak komt. Maar ik ben geen Gallier, Ich bin ein Groninger. Dus niet bang voor de cookies of de hemel. Kom maar op.

((c) nettsu)

Een achterhoede gevecht dus dat cookie gedoe. Want er zijn echt heel veel andere manieren om een gebruiker uniek te tracken. Natuurlijk het source IP adres, maar dat is niet echt uniek als er vele adressen achter een "NAT" adres zitten. Maar ook de browser zelf is heel vaak uniek. Door de headers die verstuurd worden kan je zien welke versie het is, welke plugins geinstaleerd zijn en welke fonts ik heb. Die zaken samen zijn veel unieker dan men denkt en kunnen ook vor tracking gebruikt worden. Test je eigen browser eens op http://panopticlick.eff.org/. In mijn geval was mijn browser uniek op de reeds 1.6 miljoen geteste bowsers.

Your browser fingerprint appears to be unique among the 1,636,036 tested so far.
Currently, we estimate that your browser has a fingerprint that conveys at least 20.64 bits of identifying information.

Lees de informatie van de EFF op Every Browser Unique en de PDF

De combinatie van IP adres en browser maken echt wel dat Google of een ander bedrijf zonder cookies mij uniek kan tracken in mijn surfgedrag over het net. Natuurlijk wil men liever een gebruiker tracken dan een device, maar als ik af en toe gebruik maak met mijn IP adres en browser van Google diensten waarbij ik moet inloggen (google apps) ben ik honderd procent identificeerbaar.

Om duidelijk te maken hoe zeer dit vooruit rijden is door in de achteruitkijk spiegel te kijken, de hele cookie discussie is voorbij als we IPv6 hebben. IPv6 kent geen NAT, IPv6 maakt je device overal te wereld uniek. Per definitie; je koelkast, je TV, de PC van de kids. Allen kennen een uniek adres en dat is geen toekomst visie of vaag geblaat van een paarse broek. In mijn gezin zijn op elk moment van de dag zo'n 20 IP adressen in gebruik; iPhones, iPads, Macbooks, Mini mac, iMac, camara's, Wii en zelfs mijn TV hebben een IP adres. Nu nog ge-NAT maar straks echt een op een traceerbaar, lees IPv6 and the future of privacy

What does it mean to shift from the present addressing system (IPv4) to the ‘new’ system (IPv6)? To begin, it means that there is a lot more of IP real-estate; whereas IPv4 offers roughly 4.3 billion addresses, IPv6 provides 340 trillion trillion trillion (!) unique addresses. One can quickly appreciate the numerical difference. More significantly, it means that the system of LANs that we have today will no longer be required because of IP address scarcity. Each of the Internet-enabled devices in my home could have its own IPv6 address – there is no real need to route all the data through a single IP address that is provided by my ISP.
In a situation where all Internet enabled devices have a constant address, the regular refrain “we don’t know who’s IP address we’re monitoring; it is possible that a set of users are sharing the same address!” is quickly disabused. With a persistent IP address, depending on the degree of algorithmic surveillance, it is possible to develop very, very good understandings of who is presumably the agent ‘using’ the IP address. Similar to how marketers can figure out who you are with very little information, advertising companies such as Doubleclick are in a comparable situation to develop very detailed, very personal, accounts of the individuals that regularly use Internet enabled devices. In a situation where all devices have unique IP addresses, this could facilitate more accurate advertising (read: better targeted and more invasive), and that government agencies and ISPs alike could more accurately identify and track particular users online.

Heerlijk toch, de politiek houdt zich met problemen van 15 jaar geleden bezig. En implementeert oplossingen die over 5 jaar volledig onzin zijn. ""Telling the future by looking at the past assumes that conditions remain constant. This is like driving a car by looking in the rear view mirror." (Herb Brody) Dank Den Haag. Dank.

With "scandals" like the apple (and lesser know: google) locationgate, one can wait for the next scandal coming to a theatre near you; your living room!

Google, Apple and others have been in the IT business for long, they understand End User Licenses, the fine line between behavioral marketing and privacy. Not that I trust Apple, Google or any other big enterprise that they will behave. But companies like these (but alse newcomers like dropbox) have at some time had the experience of a backfire. Where the outrage over what they collect and how they analyse my data or usage has really put the marketeers in the back of the room and the techies back to the front-row. If the risc of potential imago damages are bigger then the benefit of selling or using the data, companies tend to avoid the risc.

However, television makers know nothing about security, IT and privacy. Televisions used to be a dumb tube that receives broacasted material over the air or cable with no information being send back and due to this the lack of information about the usage, created an own industry by itself. Now all this has changed, I have an "Internet TV" that recieves a digital EPG, can be updated over the air by the vendor, sees if I am in the room and I can even tweet from my television!

I am sure, really really sure, that within one year we will see a scandal about this. Because the marketing guys at BigTVVendor Inc. thought it was handy to send back what channels were watched, by how many people, what Youtube movie was looked at, for how long and what commercial breaks were skipped by flipping channels. I have sniffed the packets yet (will fire up wireshark real soon :-) but trust me, i this data isnt already being send back to the mothership, it will be. Because marketing people will always be in the front rows of the class and have no sense about privacy.

Hint: I can not remember that I ever agreed to a Terms and Conditions on my TV and never saw hence accepted a new Terms and Conditions when I upgraded to a later version...

Raar om te zien. In een wereld die gaat naar openheid in data, applicatie en gebruik. Waar overheden open data ontdekken en open standaarden. Daar trappen inkopers van gemeenten in enorme dikke FUD die op de stoep ligt en vegen ze hun voet met hun mond schoon. Leest u even mee:

Wij werken nog vaak met gesloten standaarden, wat vooral te maken heeft met de applicaties die we gebruiken. Het is belangrijk dat er ondersteuning kan worden geboden. Daarom kiezen wij nog weinig voor open standaarden. Ik ga voor zekerheid.”

gemeente.nu

Jawel, het is 2011. Iedereen weet wat de exit kosten van proprietary software zijn. Wat de prietpraat proprietary projecten echt zijn. Iedereen kent de Motie Vendrik van bijna 10 jaar geleden waar duidelijke uitspraken over open source in staat. Maar in het noorden (let wel, Ich bin ein Groninger) gaat het licht nog niet op bij GemCC.nl.

Verder staat het vol met inkopers logica. Inkoop afdelingen zijn zo groot geworden dat ze denken dat ze profit centra zijn geworden. Waar doelstellingen zijn om 5% van elk contract af te krijgen zodat de inkoop afdeling "geld verdiend" (gok eens wat verkopers gaan doen?).

Waar geld besparen in plaats van geld verdienen de boventoon voert. Zoals: "Er werd bijvoorbeeld vrij automatisch gekozen voor de aankoop van laptops, terwijl pc’s goedkoper zijn.". Typische inkoop logica. Niet kijkend naar het gebruik, het *ahum* "Nieuwe werken" of de mogelijkheden maar naar 300 euro inkoop verschil gedeeld door 36 maanden afschrijving; een tientje per maand...

Ik ben voor samenwerkende overheden, tegen versplintering. Ik ben voor goed omgaan met gemeenschapsgeld. Maar logica als trots zijn op het gebruik van gesloten standaarden en FUD nonsense als "ondersteuning" niet op open standaarden / software, dat stuit me tegen de borst en ik kan me niet indenken dat iemand dat mag zeggen bij mijn overheid.

Het noorderlicht dooft langzaam,
de tijd staat stil in mijn geboortestreek,
wil de laatste Groninger de nachtkaars uitkussen....