LN-Waschpress

Autor: sla

  • Intel kündigt halbherzige Fixes für Whiskey Lake an

    Whiskey Lake
    Bild: Public Domain

    Intel hat vor wenigen Tagen die neue Prozessor-Reihe Whiskey Lake vorgestellt, ließ dabei aber völlig unerwähnt, dass die für Mainstream-Notebooks ausgelegten Whiskey-Lake-CPUs die erste Prozessor-Reihe für den Endverbraucherbereich sein wird, die im Silizium Maßnahmen gegen die eklatanten Sicherheitslücken in Intels CPUs  mitbringt.

    Stillschweigen

    Das Verschweigen einer eigentlich doch sehr berichtenswerten Maßnahme hat natürlich seinen Grund: Die Umsetzung für Whiskey Lake ist bestenfalls als halbherzig zu bezeichnen. Die gleichzeitig vorgestellte Amber-Lake-Reihe erhält keine Bereinigung im Silizium. Beide Plattformen stellen optimierte Varianten der Kaby-Lake-Microarchitektur dar. Intels Entschuldigung für das Verschweigen der Informationen war, man habe das Interesse der Öffentlichkeit hieran unterschätzt.

    Halbherziger Whiskey Lake

    Der Industrieanalyst Ashraf Eassa hat die Nachricht gestern als erster verbreitet, Tom’s Hardware holte dann von Intel die Bestätigung ein. Intel-Vertreter bestätigten daraufhin, dass Whiskey-Lake-Chips die ersten In-Silizium-Mitigationen auf den Verbrauchermarkt bringen.  Dabei erhalten die Whiskey-Lake-CPUs lediglich Mitigationen für Meltdown und L1TF, die eigentlich viel gefährlicheren Spectre-Varianten bleiben völlig außen vor.

    Cascade-X kann mehr

    Warum das der Fall ist, bleibt vorerst Intels Geheimnis. Das auch zumindest die Spectre-Variante 2 im Silizium zu beheben ist, belegen die Server-CPUs der Cascade-Lake-X-Baureihe, die noch 2018 erscheinen sollen. Intel sagt dazu, die Mitigationen gegen Spectre v2 sollen mit der Zeit auch auf die Consumer-Chips ausgeweitet werden. Genauere Informationen über die Natur der Änderungen im Silizium hat Intel bisher nicht preisgegeben. Ob die Intel CPUs der neunten Generation, die gerüchteweise im Oktober angekündigt werden sollen, auch Mitigationen auf Hardware-Ebene bieten werden, unde wenn ja, wie weit, ist bisher nicht bekannt.

    Abwarten oder zur Konkurrenz

    Da seit der ersten Veröffentlichung der katastrophalen Sicherheitslücken im Januar ständig neue Lücken aufgetaucht sind, wergibt es vermutlich wenig Sinn, sich bereits bei den jetzt angekündigten Prozessorreihen neu einzudecken. Das gilt natürlich nur dann, wenn Intel als CPU-Lieferant überhaupt noch in Frage kommt.

  • Purism entwickelt SMS-App für das Librem 5

     

     

    SMS-App für das Librem 5
    Bild: Chatty-App auf dem Librem 5 | Lizenz: CC-by-SA 4.0

     

    Für viele Menschen sind SMS und Messaging allgemein eine der Hauptanwendungen auf dem Smartphone. Dem trägt Purism mit der Entwicklung einer eigenen SMS-App für das Librem 5 Rechnung. Die App, die derzeit den Arbeitstitel Chatty trägt, soll bei Erscheinen SMS sowie XMPP mit OMEMO-Verschlüsselung beherrschen. OMEMO steht für OMEMO Multi-End Message and Object Encryption und bietet dementsprechend Multi-Client-Ende-zu-Ende-Verschlüsselung (E2EE). Die Technik entstand 2015 als Google-Summer-of-Code-Projekt. Purism will im Lauf der weiteren Entwicklung auch Telegram unterstützen, sofern dessen Funktionen im Chatty-Frontend verwirklicht werden können.

    SMS-App für das Librem 5

    Chatty ist als Frontend für die Bibliothek Libpurple konzipiert, auf der beispielsweise auch der Multi-Messenger Pidgin oder der textbasierte Ncurses-IM Finch aufsetzen. Libpurple unterstützt viele verschiedene Messaging-Plattformen und -Protokolle und kann leicht an neue Clients angepasst werden. Von dem zunächst für die dezentralisierte Kommunikation vorgesehenen Projekt Matrix ist leider keine Rede mehr. Es gibt auch keine Erklärung, warum Matrix nicht zum Zug kommt oder ob dies für später geplant ist.   Auf Nachfrage im IRC-Kanal von Purism, warum Matrix keine Erwähnung findet, wurde jetzt im Blog ein Absatz zu Matrix eingefügt, der erklärt, dass ein Matrix-Client weiter auf der Agenda steht, aus zeitlichen Gründen zum Auslieferungszeitpunkt des Librem 5 aber noch nicht fertig sein wird.

    SMS und XMPP

    Laut Purisms aktuellem Blogeintrag beherrscht die Anwendung derzeit  grundlegende Sende- und Empfangsvorgänge mit SMS über den ModemManager und ein SIMCOM-Modem, sowie mit XMPP/OMEMO-Nachrichten über Libpurple inklusive Verschlüsselung über das Lurch-Plugin. Es gilt unter anderem noch, die Benutzeroberfläche auszuarbeiten, das Speichern von Nachrichten und ganzen Chat-Threads zu unterstützen, den SMS/ModemManager-Code in das Libpurple-Plugin einzupflegen, E2EE für Bilder zu implementieren sowie die Anbindung an die Kontaktdatenbank umzusetzen.

     

    Bisher keine Entwickler-Boards

    Ansonsten gibt es keine öffentlich verfügbaren Nachrichten über den allgemeinen Stand des Projekts und die geplante Auslieferung des fertigen Linux-Smartphones Librem 5 im Januar 2019. Zweifel an diesem Datum scheinen mittlerweile berechtigt, da die vorgesehene Auslieferung der Entwickler-Boards ab Juni noch nicht begonnen hat. Bereits im Mai hatte Purism die Auslieferung der Boards aufgrund der verspäteten Verfügbarkeit des i.MX-8M-SoC auf August und September verschoben.

    Plasma Mobile kaum erwähnt

    Auch über den Stand der Entwicklung bei Plasma Mobile für das Librem 5 gibt es keine neuen Erkenntnisse. Informationen hierzu, die wir von der KDE-Entwicklerkonferenz Akademy eigentlich erwartet hatten, blieben aus. Es gab zwar einen Vortrag eines Entwicklers von Plasma Mobile, der aber auf das Librem 5 nur sehr am Rande einging.

  • Ubuntu Touch OTA-4 veröffentlicht

    Ubuntu Touch OTA-4
    Bild: Ubuntu for Phone | Quelle: antoinemaltey | Lizenz: CC BY 2.0

     

    Ubuntu Touch OTA-4 modernisiert den Unterbau des ehemals von Canonical entwickelten mobilen Betriebssystems. Das UBports-Team um Marius Gripsgård kümmert sich um die Weiterentwicklung, seit Canonical diese im April 2017 aufgab. Jetzt hat UBports OTA-4 veröffentlicht, dass Ubuntu 16.04 LTS »Xenial Xerus« als Unterbau nutzt anstatt wie bisher das längst nicht mehr unterstützte Ubuntu 15.04 »Vivid Vervet«

    Neubeginn

    Gripsgård und seine Mitstreiter sehen diese Veröffentlichung als den eigentlichen Beginn von Ubuntu Touch unter der Regie von UBports, da alles bisher lediglich eine Aufholjagd gewesen sei, um auf einer halbwegs aktuellen und noch für rund 30 Monate unterstützten Plattform aufbauen zu können. Die neue Version zeige nun, dass die Gemeinschaft auf einer soliden Basis steht und in der Lage ist,  zu liefern.

    Betriebssystem und Toolkit neu

    Mit Ubuntu Touch OTA-4 tauscht das Team nicht nur die Betriebssystemversion, sondern setzt mit Qt 5.9 auch auf eine aktuellere Version des GUI-Toolkits sowie auf QtQuickControls 2.  Es wurden 128 Fehler beseitigt und Tastatur-Layouts für Türkisch, Bulgarisch und Schweizerisch-Französisch hinzugefügt. Neue Funktionen erhielt auch die Option zum Energiesparen. Ein Upgrade-Wizard hilft beim Aktualisieren auf OTA-4.

    QtWebEngine statt Ubuntu Web

    App-Entwickler sollten künftig auf QtWebEngine als Browser-Engine setzen anstatt auf Ubuntu Web.  Alle Apps, die kompilierte Komponenten wie eingebettete Bibliotheken oder C++ Plugins enthalten, müssen für Ubuntu Touch OTA-4 und höher neu gebaut werden. Einige Fehler konnten noch nicht ausgeräumt werden. So ist der vorinstallierte Web-Browser instabil. An seiner Stelle kann der experimentelle, aber für OTA-5 als Standard vorgesehene WebBrowser Next installiert werden.

    Derzeit keine Videoaufnahme

    Mit der Kamera-App können derzeit keine Videos aufgenommen werden.  Zudem friert die Anwendung nach der Aufnahme eines Fotos auf dem Nexus 5 ein. Einige Apps sind noch nicht für OTA-4 verfügbar, das kann von Fall zu Fall im OpenStore überprüft werden. Anwender auf Geräten, die OTA-3 installiert haben, erhalten kein automatisches Upgrade auf OTA-4. Eine Anleitung im Forum beschreibt das manuelle Upgrade.  Auf der Webseite steht eine Liste mit offiziell unterstützten Geräten bereit. Alle weiteren Änderungen sind der Ankündigung im Blog zu entnehmen.

  • KDE Plasma 5.14 in der Vorschau

    KDE Plasma 5.14 in der Vorschau

    KDE Plasma 5.14
    Screenshot: ft

    Anfang Oktober steht die Veröffentlichung von KDE Plasma 5.14 an. Bereits im Juli und August hatten wir über dafür anstehende Verbesserungen berichtet. KDE-Entwickler Nate Graham veröffentlicht unermüdlich im wöchentlichen Rhythmus, was in der Entwickler-Pipeline aktuell passiert. Jetzt ist eine neue Folge von Usability & Productivity erschienen. Diese Folge beschäftigt sich mit Verbesserungen nicht nur bei Plasma 5.14, sondern auch bei den KDE Applications 18.12.0 und KDE Frameworks 5.50.

    Screen Layout vereinfacht

    Ein neues Plasmoid, das mit Plasma 5.14 benutzbar wird, nennt sich Screen Layout und macht die Einstellungen für Multi-Monitor-Layouts einfach per Maus zugänglich. Das Widget wird als immer sichtbares Plasmoid im Panel oder im System Tray platziert, wo es nur angezeigt wird, wenn der Präsentationsmodus aktiviert ist oder mehr als ein Bildschirm angeschlossen ist. Es erspart somit den Weg in die Systemeinstellungen oder den Aufruf von KScreen. Im Presentation-Mode wird zudem per Häkchen verhindert, dass sich das Display während einer Vorführung abschaltet.

    Weitere User angemeldet

    Der Logout-Screen zeigt künftig an, ob noch andere User am Computer angemeldet sind und warnt in einem solchen Fall, bevor der Rechner neu gestartet oder heruntergefahren wird. Die Handhabung von AppImages wurde vereinfacht, indem im Dateimanager Dolphin nun automatisch Thumbnails für dieses Paketformat erstellt werden.

    Politur an vielen Stellen

    Darüber hinaus wurden wieder einige Fehler beseitigt. Zudem ist die Oberfläche an verschiedenen Stellen weiter aufpoliert worden. So sehen Thumbnails für Windows-Icons, wie sie etwas Wine nutzt, nun besser aus. Das On-Screen-Display aus KScreen für Displasyeinstellungen bietet nun Icons, die mehr an das Breeze-Theme angelehnt sind. Die Anzeige kürzlich genutzter Dokumente in Dolphin, erreichbar über die Seitenleiste oder über recentdocuments:/, zeigt nun wirklich nur noch Dokumente und keine URLs mehr an.

    Die Neuerungen bei KDE Plasma 5.14 werden am 9. Oktober veröffentlicht. Die darunter liegenden KDE Frameworks 5.50 werden für den 8. September erwartet. KDE Applications 18.08 erschienen bereits am 16 August, hier folgen Point-Releases im Abstand von drei Wochen.

  • Raspberry Pi lernt Power over Ethernet

     

    Power over Ethernet
    Bild: Raspberry Pi PoE HAT | Quelle: Raspberry Pi Foundation

     

    Bis zur Veröffentlichung des Raspberry Pi 3 Modell B+ im März konnte der kleine Rechner nur über ein externes Netzteil mit Energie versorgt werden. Der neue Pi führte unter anderem PoE ein, was für Power over Ethernet steht. Auf Deutsch bedeutet das die Möglichkeit, netzwerkfähige Geräte über ein Ethernet-Kabel mit Strom zu versorgen.

    Power over Ethernet

    Die Freude über diese neue Funktion wurde etwas gedämpft, da dafür noch ein Zusatzmodul benötigt wird. Dieses ist jetzt in der Form eines HAT (Hardware Attached on Top) erschienen. HATs sind Zusatzmodule, die, seit 2014 angeboten, den RasPi auf vielfältige Weise erweitern. Sie werden über die 40-polige GPIO-Steckerleiste  (General Purpose IN/OUT) huckepack angeschlossen und darüber automatisch konfiguriert.

    Doch zurück zu PoE, denn das HAT für Power over Ethernet für den Pi ist gerade veröffentlicht worden und wird im Netz für 18 – 20 Euro angeboten. Technisch gesehen ist es ein Gerät der Klasse 2 und entspricht dem Standard PoE 802.3af mit einem vollständig isolierten Switched-Mode Power Supply (SMPS). Der Eingangsspannungsbereich kann zwischen 36 und 56V liegen, die Ausgangsspannung beträgt 5V bei 2,5A.

    Gut gekühlt

    Der Raspberry Pi PoE HAT kommt mit einem kleinen 25 mm Lüfter. Der Lüfter wird über I2C über einen kleinen ATMEL-Prozessor gesteuert, der eine Temperaturregelung ermöglicht: Wenn der Raspberry Pi-Prozessor bestimmte Temperaturen erreicht, wird der Lüfter eingeschaltet, um ihn abzukühlen. Dazu wird die neueste Firmware benötigt, die per sudo rpi-update eingespielt werden kann.

    Was wird noch benötigt?

    Natürlich muss die heimische Netzwerk-Infrastruktur PoE unterstützen. Die meisten Router am Markt tun das nicht, da dies den Energieverbrauch erhöht. Deshalb wird entweder ein PoE-Switch benötigt oder ein PoE-Injector, der in die Kabelverbindung eingespeist wird. Ein Switch ergibt in dem Moment Sinn, wenn mehrere Geräte über PoE versorgt werden sollen, ansonsten ist ein PoE-Injektor die günstigere Variante. Die offiziellen Raspberry-Pi-Gehäuse haben keine Probleme mit dem Raspberry Pi PoE HAT, andere Gehäuse könnten aber Probleme mit der Höhe haben, wie Eben Upton, Geschäftsführer der Raspberry Pi Foundation, verlauten ließ.

    Wo macht PoE Sinn?

    Power over Ethernet macht im Heimbereich generell da Sinn, wo Kabel eingespart werden können oder wo keine Steckdose in der Nähe ist. Hier kommt auch der Embedded-Bereich in den Sinn. Zudem wird per PoE gegenüber der Nutzung eines Netzteils Strom eingespart. Sinnvoll ist PoE da, wo neben der Stromversorgung auch Daten übertragen werden müssen, wie etwa bei Überwachungskameras, IP-Telefonen und WLAN-Access-Points. Auch für das Smart-Home sind Anwendungen denkbar. Im Zusammenspiel mit der Möglichkeit, den Pi über das Netz zu booten, ergeben sich interessante Perspektiven.

  • Nextcloud 14 Video Verification Sharing

    Nextcloud 14 Video Verification Sharing

    Video Verification Sharing
    Quelle: Nextcloud

     

    Nextcloud 14 steht vor der Tür und bringt sowohl für den Unternehmensbereich als auch für die Community und den Privatanwender interessante Neuerungen. Das Nextcloud-Team hat sich diesmal entschieden, interessante Entwicklungen bereits vorher durchsickern zu lassen. Vor einigen Tagen haben wir bereits einige der neuen Funktionen vorgestellt.

    Video Verification Sharing

    Das Team von Nextcloud, das derzeit in Berlin zur alljährlichen Nextcloud-Konferenz in der TU Berlin versammelt ist, hat nun eine weitere neue Funktion vom kurz vor der Veröffentlichung stehenden Nextcloud 14 verraten. Mit dem Alleinstellungsmerkmal der »Video Verification Sharing« soll sichergestellt werden, dass besonders sensible Dokumente nur mit der Person geteilt werden, für die sie bestimmt sind. Das schließt andere Personen aus, die gerade Zugriff auf den Rechner haben. Dazu wird beim Aufsetzen des Share ein Passwort festgelegt, dass dem Empfänger persönlich per Videoverbindung mitgeteilt wird.

    Nur der Empfänger

    Hierzu ist im Backend von Nextcloud in der Seitenleiste unter dem Reiter Teilen ein neuer Eintrag im Kontextmenü hinzugekommen. Zunächst wird jedoch der Share wie gewohnt aufgesetzt. Ein zu teilendes Dokument wird gewählt und der Empfänger als Name, E-Mail-Adresse oder Federated-Cloud-ID eingetragen. Der im Kontextmenü neu hinzugekommene Eintrag Password Protect by Talk erlaubt nun das Setzen eines Passworts, dass dem Empfänger auf Anfrage persönlich übermittelt wird.

     

    [su_slider source=“media: 6559,6560″ limit=“12″ link=“lightbox“ width=“960″ height=“960″ autoplay=“0″ speed=“0″]

     

    Nextcloud Talk

    Der Empfänger wird nach Versenden des Share darüber informiert, dass etwas mit ihm geteilt wurde. Üblicherweise kann der Empfänger dann direkt auf seinen Share zugreifen. Nicht so im Fall von Passwortschutz durch Video Verification Sharing. Klickt der Empfänger auf den Share-Link, erscheint ein Fenster mit der Aufforderung zur Passworteingabe. Da er dieses nicht kennt, klickt er auf den Button Request Password, der per Nextcloud Talk eine Verbindung mit dem Absender des Shares zur Übermittlung des Passworts herstellt.

    In der soeben veröffentlichten Version Nextcloud 14 RC1 ist die Funktion noch nicht verfügbar. Chef-Entwickler Frank Karlitschek hat jedoch ein Video ins Netz gestellt.

     

  • Intel lenkt ein bei Lizenz zu Microcode

    Intel lenkt ein
    Bild: „Intel“ von Christian Rasmussen Lizenz: CC By-SA 2.0

     

    In den letzten Tagen wurde einmal wieder Kritik an Intel laut, da die Veröffentlichung eines neuen Microcodes gegen die L1 Terminal Fault-Lücke sowie gegen Speculative Store Bypassing (SSB) an Lizenzbedingungen geknüpft war, die zumindest für Debian nicht akzeptabel waren.

    Debian verweigerte die Auslieferung

    Wie aus der Antwort auf einen Debian-Bugreport hervorging, hielt der Debian-Kernel-Maintainer Henrique de Moraes Holschuh den seit Wochen bereits paketierten Microcode mit der Bezeichnung intel-microcode 3.20180807.1 aufgrund der zum im Juli ausgelieferten Vorgänger intel-microcode 3.20180703.2. geänderten Lizenz zurück, ohne dass Holschuh jedoch zunächst auf den genauen Grund einging.

    Perens benennt Ross und Reiter

    Den lieferte dann Open-Source-Urgestein Bruce Perens in seinem Blog. Die Lizenzbestimmungen waren, wie Perens darlegt, um einen Zusatz ergänzt worden, der es untersagte, Benchmarks oder Vergleiche, die auf der Grundlage des eingespielten Microcodes entstanden sind, zu veröffentlichen.

    You will not, and will not allow any third party to … publish or provide any Software benchmark or comparison test results.


    Intel Lizenzbedingung

    Maulkorb für die Kunden

    Dabei ging es Intel wohl darum, zu verhindern, dass die zu erwartenden Leistungseinbußen, die bei virtuellen Maschinen angeblich bis zu 50 Prozent betragen können und beim Desktop immer noch 5 – 10 Prozent ausmachen sollen, öffentlich belegt werden. Bereits bei den vorangegangenen Spectre-Lücken war Intel mehrfach, hauptsächlich von Unternehmen, verklagt worden, da die zugesagten Eigenschaften der Prozessoren aufgrund der Leistungseinbußen nicht erfüllt wurden. Da der Mikrocode für jede Anweisung der CPU gilt, scheint dies eine Nutzungseinschränkung durch die hinzugefügte Lizenzklausel für den gesamten Prozessor zu sein, folgert Perens.

    Nichts gelernt

    Damit hat Intel mal wieder gezeigt, dass die Verantwortlichen seit Januar, der ersten Veröffentlichung der Meltdown- und Spectre-Lücken, nichts dazugelernt haben. Anstatt Kritik zu unterdrücken, sollte das Unternehmen zu den Fehlern stehen und seine Kunden möglichst umfassend über deren Asuswirkungen informieren.

    Kommando zurück

    Mittlerweile hat Intel zurückgerudert und die zusätzliche Klausel wieder entfernt. Warum diese überhaupt aufgenommen wurde bleibt unklar. Es kann nicht gänzlich ausgeschlossen werden, dass es ein Versehen war und der Text für eine Beta-Version verwendet wurde. Jedoch passt der Vorfall genau in das bereits bekannte Schema, sodass es wahrscheinlicher ist, das es darum ging, den Kunden einen Knebel zu verpassen. Jedenfalls zeigt sich wieder einmal, dass öffentliche Kritik zum Umdenken führt.

  • Nextcloud kooperiert mit HackerOne

    Nextcloud kooperiert mit HackerOne

    Nextcloud kooperiert mit HackerOne
    Quelle: Nextcloud

     

    Sicherheit ist in einem Unternehmen wie Nextcloud, das in Europa die sensitiven Datenbestände seiner Kunden mit einer cloudbasierten Open-Source-Softwearelösung absichert, nicht erst seit dem Inkrafttreten der DSGVO das A und O. In diesem Sinne setzt Nextcloud, die Client-Server-Software für File-Hosting unter eigener Kontrolle, bereits seit 2016 auf die Zusammenarbeit mit der Bug-Bounty-Plattform HackerOne.

    Mehr Augen sehen mehr

    Dahinter steht die Erkenntnis, dass ein Team von über 100 qualifizierten Hackern Probleme früher entdeckt und schnellere Lösungen  für Sicherheitsprobleme anbieten kann als die im Unternehmen angestellten Sicherheitsexperten eines kleinen Teams. In der Praxis sieht das so aus, das die Hacker prämienbasiert für die Entdeckung und Behebung von im Bounty-Programm definierten Sicherheitslücken entlohnt werden.

    Given enough eyeballs, all bugs are shallow


    Linus Torvalds

    Damit kann Nextcloud bei Sicherheitsproblemen eine Reaktionszeit von unter einer Stunde aufweisen, kann aber andererseits das Budget schonen, indem Sicherheitsexpertise »on demand« zugekauft wird.

    Diese Lösung hat bereits zur Behebung von rund 120 spezifischen Sicherheitsproblemen beigetragen. Dafür hat Nextcloud rund 8.500 US-Dollar Prämien gezahlt, deren Höhe im Durchschnitt bei 100 – 150 US-Dollar lagen und deren höchste 750 US-Dollar betrug.

    Illustre Kundschaft

    Viele großen Unternehmen wie General Motors, Google, Twitter, GitHub, aber auch mit Regierungsstellen wie das US-Verteidigungsministerium arbeiten mit HackerOne zusammen. Dabei konnten bisher über 72.000 Schwachstellen behoben werden, wobei mehr als 32 Millionen US-Dollar an Prämien gezahlt wurden.

    We might not be a 1,000-person company but we have expertise that challenges companies many times our size and this is one way it shows.


    Jos Poortvliet, Head of Marketing

    Jetzt hat Nextcloud zusammen mit HackerOne eine Fallstudie veröffentlicht, die die Zusammenarbeit zwischen dem kleinen Sicherheitsteam bei Nextcloud und den Experten bei HackerOne detailliert.

    Nextcloud-Konferenz 2018

    Nextcloud wird unter anderem die Ergebnisse des letztjährigen HackerOne-Programms auf der heute beginnenden Nextcloud-Konferenz  am 25. August 2018 an der Technischen Universität in Berlin vorstellen. Durch das Bug-Bounty-Programm mit HackerOne schützt Nextcloud nicht nur seine Kunden, sondern auch das Unternehmen selbst im Fall von gerichtlichen Auseinandersetzungen in Sachen DSGVO. Die Zusammenarbeit ist ein guter Beleg dafür, dass Nextcloud seine Möglichkeiten voll ausgeschöpft hat.

  • Alex Larsson über die Flatpak-Revolution

    Die Flatpak-Revolution
    By: Matthias ClasenCC BY-SA 4.0

     

    Flatpak 1.0 ist seit einigen Tagen als produktiv einsetzbare Version des alternativen Paketsystems verfügbar. Entwickler Alex Larsson vermutet, dass sich nach drei Jahren intensiver Entwicklung die Schlagzahl der Änderungen nun verlangsamen wird. Der Fokus soll sich jetzt mehr auf die umgebende Infrastruktur konzentrieren. Dazu gehört es unter anderem, Flathub für weiteres Wachstum zu rüsten und Flatpak 1.0 in die Distributionen zu bekommen. Darüber hinaus soll an den Laufzeitumgebungen und Portals  gearbeitet werden.

    Larssons Revolution

    Derweil hat sich Red-Hat-Mitarbeiter Larsson dazu geäußert, warum er die Entwicklung zu Flatpak überhaupt begonnen hat. Er hofft auf nichts weniger als auf eine Revolution – eine Revolution des Linux-Paketsystems, dass er als »fundamental kaputt« empfindet. App-Entwickler haben laut Larsson keine sinnvolle Möglichkeit, ihre Arbeit zeitnah an die Anwender zu verteilen.

    Entwickler ohne Kontrolle

    So müssten Entwickler theoretisch Pakete für verschiedenste Distributionen selbst zur Verfügung stellen, wenn sie die Kontrolle über die Aktualität  behalten wollen. Tun sie das nicht – was alleine zeitlich oft nicht möglich ist, ergeben sich weitere Probleme.  Nicht alle Distributionen paketieren alle Apps oder warten oft, bis die Anwendung bekannter ist, was zu einem typischen Henne-Ei-Problem für neue Apps führt. Und wenn die Anwendung dann paketiert ist, hat der Entwickler keine Kontrolle mehr über die angebotene Version und deren Updates, so Larsson.

    Maintainer in der Mitte

    Diese Entscheidungen obliegen dem Paketbetreuer der jeweiligen Distribution. Viele dieser Maintainer machen einen ganz prima Job. So war etwa Flatpak 1.0 in Debian Unstable bereits rund 12 Stunden nach Veröffentlichung verfügbar. Distributionen wie Arch Linux. KDE Neon oder KaOS bieten immer sehr aktuelle Pakete an.

    Bugreports ins Leere

    Auf der anderen Seite stehen Distributionen wie Debian Stable, wo viele Pakete bereits veraltet sind, wenn eine neue Version der Distribution veröffentlicht wird. Einerseits machen die abgehangenen Pakete einen Großteil der Stabilität von Debian aus, andererseits hat der Entwickler die dort verteilten Versionen bereits längst vergessen. Die Anwender schreiben aber im Bedarfsfall Bugreports gegen diese Versionen. Die Fehler sind dann oft längst mit neuen Versionen behoben, die der Anwender aber nicht installieren kann. Im Idealfall portiert der Maintainer die Fixes zurück in die ältere Version. Somit sind Entwickler und Endanwender getrennt, in der Mitte steht – zum Wohl oder Übel – der Maintainer.

    Entwickler am Drücker

    Hier kommen neue Paketsysteme wie Flatpak gerade recht. Sie erlauben auch bei eher unbeweglichen Distributionen die Verwendung aktueller Bibliotheken, gebündelt in verschiedenen Laufzeitumgebungen. Damit können dann auch aktuelle Software-Versionen genutzt und aktualisiert werden.  Ziel ist, dass der Upstream-Entwickler die Kontrolle über die Updates hat.

    Schulterschluss mit den Usern

    Wenn der Entwickler einen wichtigen Fehler behebt, wird im Fall von Flatpak eine neue stabile Version veröffentlicht, die die Anwender verschiedenster Distributionen sofort nutzen kann. Alle Fehler werden gegen die neueste stabile Version eingereicht, so dass sie nicht veraltet sind, und sobald der Fehlerbericht geschlossen wird, erhält der Benutzer die Korrektur. Das bedeutet, dass das Melden von Fehlern für den Benutzer greifbar Sinn macht. Diese Art von virtuosem Zyklus trägt laut Larsson dazu bei, sowohl die Entwicklungsgeschwindigkeit als auch die Softwarequalität zu verbessern.

  • Mozilla schaltet Legacy-Add-ons für Firefox endgültig ab

    Legacy-Add-ons für Firefox
    Bild: Firefox Logo | Quelle: Mozilla | Lizenz: CC BY-SA 3.0

    Die Gnadenfrist für Anwender, die Firefox-Erweiterungen nach dem alten Standard noch per Firefox ESR 52 verwendet haben, läuft am 5. September ab. Dann steht die Veröffentlichung von Firefox 62 und das Ende des Zyklus von Firefox ESR 52 an. Firefox-Erweiterungen nach dem XML User Interface Language-Standard (XUL) gelten seit Firefox Quantum 57 als veraltet und werden als Legacy-Add-ons bezeichnet.

    Aus für Legacy-Add-ons für Firefox

    Anwender, die diese Add-ons weiter verwenden wollten, hatten bei Verwendung von Firefox ESR 52 eine Verlängerung erhalten. Wie Mozilla nun mitteilte, läuft diese Frist mit dem Ende der Unterstützung für Firefox ESR 52 am 5. September aus. Mozilla plant, die Legacy-Add-ons ab Anfang Oktober von der Add-ons-Webseite AMO zu entfernen.

    Portierung notwendig

    Bereits ab dem 6. September wird es nicht mehr möglich sein, Erweiterungen nach dem alten Standard auf AMO einzustellen, wie Caitlin Neiman, die Add-ons-Community-Managerin von Mozilla, mitteilte. Legacy-Add-ons können nur durch den ursprünglichen Entwickler wiederbelebt werden, indem dieser sie auf die neue WebExtensions-API portiert. Sobald eine portierte Version eingereicht und auf AMO freigeschaltet ist, erhalten die Nutzer, die das Legacy-Add-on noch installiert haben automatisch eine Aktualisierung auf die neue, nun kompatible Version.

    Nicht alle werden portiert

    Allerdings werden bei weitem nicht alle früher verfügbaren Firefox-Erweiterungen auf den neuen Standard portiert. Das verärgert nicht nur die Anwender, auch Entwickler monieren vielfach, ihre Erweiterungen seien nicht sinnvoll auf WebExtensions umzustellen, da die APIs immer noch viele Funktionen und Gestaltungsmöglichkeiten vermissen lassen, die der alte Standard geboten habe. Mozilla rechtfertigt den neuen Standard mit der Kompatibilität zu Chrome-Erweiterungen sowie besserer Stabilität und erhöhter Sicherheit.

    Keine XUL-Erweiterungen mehr

    So ist etwa eines der beliebtesten Add-ons, Tab Mix Plus (TMP) immer noch nicht nach dem neuen Standard verfügbar. Der Entwickler weist darauf hin, dass TMP aus über 35.000 Codezeilen in 139 Dateien bestehe. Das verdeutlicht den Arbeitsaufwand einer solchen Portierung.