LN-Waschpress

Kategorie: News

  • Raspberry Pi lernt Power over Ethernet

     

    Power over Ethernet
    Bild: Raspberry Pi PoE HAT | Quelle: Raspberry Pi Foundation

     

    Bis zur Veröffentlichung des Raspberry Pi 3 Modell B+ im März konnte der kleine Rechner nur über ein externes Netzteil mit Energie versorgt werden. Der neue Pi führte unter anderem PoE ein, was für Power over Ethernet steht. Auf Deutsch bedeutet das die Möglichkeit, netzwerkfähige Geräte über ein Ethernet-Kabel mit Strom zu versorgen.

    Power over Ethernet

    Die Freude über diese neue Funktion wurde etwas gedämpft, da dafür noch ein Zusatzmodul benötigt wird. Dieses ist jetzt in der Form eines HAT (Hardware Attached on Top) erschienen. HATs sind Zusatzmodule, die, seit 2014 angeboten, den RasPi auf vielfältige Weise erweitern. Sie werden über die 40-polige GPIO-Steckerleiste  (General Purpose IN/OUT) huckepack angeschlossen und darüber automatisch konfiguriert.

    Doch zurück zu PoE, denn das HAT für Power over Ethernet für den Pi ist gerade veröffentlicht worden und wird im Netz für 18 – 20 Euro angeboten. Technisch gesehen ist es ein Gerät der Klasse 2 und entspricht dem Standard PoE 802.3af mit einem vollständig isolierten Switched-Mode Power Supply (SMPS). Der Eingangsspannungsbereich kann zwischen 36 und 56V liegen, die Ausgangsspannung beträgt 5V bei 2,5A.

    Gut gekühlt

    Der Raspberry Pi PoE HAT kommt mit einem kleinen 25 mm Lüfter. Der Lüfter wird über I2C über einen kleinen ATMEL-Prozessor gesteuert, der eine Temperaturregelung ermöglicht: Wenn der Raspberry Pi-Prozessor bestimmte Temperaturen erreicht, wird der Lüfter eingeschaltet, um ihn abzukühlen. Dazu wird die neueste Firmware benötigt, die per sudo rpi-update eingespielt werden kann.

    Was wird noch benötigt?

    Natürlich muss die heimische Netzwerk-Infrastruktur PoE unterstützen. Die meisten Router am Markt tun das nicht, da dies den Energieverbrauch erhöht. Deshalb wird entweder ein PoE-Switch benötigt oder ein PoE-Injector, der in die Kabelverbindung eingespeist wird. Ein Switch ergibt in dem Moment Sinn, wenn mehrere Geräte über PoE versorgt werden sollen, ansonsten ist ein PoE-Injektor die günstigere Variante. Die offiziellen Raspberry-Pi-Gehäuse haben keine Probleme mit dem Raspberry Pi PoE HAT, andere Gehäuse könnten aber Probleme mit der Höhe haben, wie Eben Upton, Geschäftsführer der Raspberry Pi Foundation, verlauten ließ.

    Wo macht PoE Sinn?

    Power over Ethernet macht im Heimbereich generell da Sinn, wo Kabel eingespart werden können oder wo keine Steckdose in der Nähe ist. Hier kommt auch der Embedded-Bereich in den Sinn. Zudem wird per PoE gegenüber der Nutzung eines Netzteils Strom eingespart. Sinnvoll ist PoE da, wo neben der Stromversorgung auch Daten übertragen werden müssen, wie etwa bei Überwachungskameras, IP-Telefonen und WLAN-Access-Points. Auch für das Smart-Home sind Anwendungen denkbar. Im Zusammenspiel mit der Möglichkeit, den Pi über das Netz zu booten, ergeben sich interessante Perspektiven.

  • Nextcloud 14 Video Verification Sharing

    Nextcloud 14 Video Verification Sharing

    Video Verification Sharing
    Quelle: Nextcloud

     

    Nextcloud 14 steht vor der Tür und bringt sowohl für den Unternehmensbereich als auch für die Community und den Privatanwender interessante Neuerungen. Das Nextcloud-Team hat sich diesmal entschieden, interessante Entwicklungen bereits vorher durchsickern zu lassen. Vor einigen Tagen haben wir bereits einige der neuen Funktionen vorgestellt.

    Video Verification Sharing

    Das Team von Nextcloud, das derzeit in Berlin zur alljährlichen Nextcloud-Konferenz in der TU Berlin versammelt ist, hat nun eine weitere neue Funktion vom kurz vor der Veröffentlichung stehenden Nextcloud 14 verraten. Mit dem Alleinstellungsmerkmal der »Video Verification Sharing« soll sichergestellt werden, dass besonders sensible Dokumente nur mit der Person geteilt werden, für die sie bestimmt sind. Das schließt andere Personen aus, die gerade Zugriff auf den Rechner haben. Dazu wird beim Aufsetzen des Share ein Passwort festgelegt, dass dem Empfänger persönlich per Videoverbindung mitgeteilt wird.

    Nur der Empfänger

    Hierzu ist im Backend von Nextcloud in der Seitenleiste unter dem Reiter Teilen ein neuer Eintrag im Kontextmenü hinzugekommen. Zunächst wird jedoch der Share wie gewohnt aufgesetzt. Ein zu teilendes Dokument wird gewählt und der Empfänger als Name, E-Mail-Adresse oder Federated-Cloud-ID eingetragen. Der im Kontextmenü neu hinzugekommene Eintrag Password Protect by Talk erlaubt nun das Setzen eines Passworts, dass dem Empfänger auf Anfrage persönlich übermittelt wird.

     

    [su_slider source=“media: 6559,6560″ limit=“12″ link=“lightbox“ width=“960″ height=“960″ autoplay=“0″ speed=“0″]

     

    Nextcloud Talk

    Der Empfänger wird nach Versenden des Share darüber informiert, dass etwas mit ihm geteilt wurde. Üblicherweise kann der Empfänger dann direkt auf seinen Share zugreifen. Nicht so im Fall von Passwortschutz durch Video Verification Sharing. Klickt der Empfänger auf den Share-Link, erscheint ein Fenster mit der Aufforderung zur Passworteingabe. Da er dieses nicht kennt, klickt er auf den Button Request Password, der per Nextcloud Talk eine Verbindung mit dem Absender des Shares zur Übermittlung des Passworts herstellt.

    In der soeben veröffentlichten Version Nextcloud 14 RC1 ist die Funktion noch nicht verfügbar. Chef-Entwickler Frank Karlitschek hat jedoch ein Video ins Netz gestellt.

     

  • Intel lenkt ein bei Lizenz zu Microcode

    Intel lenkt ein
    Bild: „Intel“ von Christian Rasmussen Lizenz: CC By-SA 2.0

     

    In den letzten Tagen wurde einmal wieder Kritik an Intel laut, da die Veröffentlichung eines neuen Microcodes gegen die L1 Terminal Fault-Lücke sowie gegen Speculative Store Bypassing (SSB) an Lizenzbedingungen geknüpft war, die zumindest für Debian nicht akzeptabel waren.

    Debian verweigerte die Auslieferung

    Wie aus der Antwort auf einen Debian-Bugreport hervorging, hielt der Debian-Kernel-Maintainer Henrique de Moraes Holschuh den seit Wochen bereits paketierten Microcode mit der Bezeichnung intel-microcode 3.20180807.1 aufgrund der zum im Juli ausgelieferten Vorgänger intel-microcode 3.20180703.2. geänderten Lizenz zurück, ohne dass Holschuh jedoch zunächst auf den genauen Grund einging.

    Perens benennt Ross und Reiter

    Den lieferte dann Open-Source-Urgestein Bruce Perens in seinem Blog. Die Lizenzbestimmungen waren, wie Perens darlegt, um einen Zusatz ergänzt worden, der es untersagte, Benchmarks oder Vergleiche, die auf der Grundlage des eingespielten Microcodes entstanden sind, zu veröffentlichen.

    You will not, and will not allow any third party to … publish or provide any Software benchmark or comparison test results.


    Intel Lizenzbedingung

    Maulkorb für die Kunden

    Dabei ging es Intel wohl darum, zu verhindern, dass die zu erwartenden Leistungseinbußen, die bei virtuellen Maschinen angeblich bis zu 50 Prozent betragen können und beim Desktop immer noch 5 – 10 Prozent ausmachen sollen, öffentlich belegt werden. Bereits bei den vorangegangenen Spectre-Lücken war Intel mehrfach, hauptsächlich von Unternehmen, verklagt worden, da die zugesagten Eigenschaften der Prozessoren aufgrund der Leistungseinbußen nicht erfüllt wurden. Da der Mikrocode für jede Anweisung der CPU gilt, scheint dies eine Nutzungseinschränkung durch die hinzugefügte Lizenzklausel für den gesamten Prozessor zu sein, folgert Perens.

    Nichts gelernt

    Damit hat Intel mal wieder gezeigt, dass die Verantwortlichen seit Januar, der ersten Veröffentlichung der Meltdown- und Spectre-Lücken, nichts dazugelernt haben. Anstatt Kritik zu unterdrücken, sollte das Unternehmen zu den Fehlern stehen und seine Kunden möglichst umfassend über deren Asuswirkungen informieren.

    Kommando zurück

    Mittlerweile hat Intel zurückgerudert und die zusätzliche Klausel wieder entfernt. Warum diese überhaupt aufgenommen wurde bleibt unklar. Es kann nicht gänzlich ausgeschlossen werden, dass es ein Versehen war und der Text für eine Beta-Version verwendet wurde. Jedoch passt der Vorfall genau in das bereits bekannte Schema, sodass es wahrscheinlicher ist, das es darum ging, den Kunden einen Knebel zu verpassen. Jedenfalls zeigt sich wieder einmal, dass öffentliche Kritik zum Umdenken führt.

  • Nextcloud kooperiert mit HackerOne

    Nextcloud kooperiert mit HackerOne

    Nextcloud kooperiert mit HackerOne
    Quelle: Nextcloud

     

    Sicherheit ist in einem Unternehmen wie Nextcloud, das in Europa die sensitiven Datenbestände seiner Kunden mit einer cloudbasierten Open-Source-Softwearelösung absichert, nicht erst seit dem Inkrafttreten der DSGVO das A und O. In diesem Sinne setzt Nextcloud, die Client-Server-Software für File-Hosting unter eigener Kontrolle, bereits seit 2016 auf die Zusammenarbeit mit der Bug-Bounty-Plattform HackerOne.

    Mehr Augen sehen mehr

    Dahinter steht die Erkenntnis, dass ein Team von über 100 qualifizierten Hackern Probleme früher entdeckt und schnellere Lösungen  für Sicherheitsprobleme anbieten kann als die im Unternehmen angestellten Sicherheitsexperten eines kleinen Teams. In der Praxis sieht das so aus, das die Hacker prämienbasiert für die Entdeckung und Behebung von im Bounty-Programm definierten Sicherheitslücken entlohnt werden.

    Given enough eyeballs, all bugs are shallow


    Linus Torvalds

    Damit kann Nextcloud bei Sicherheitsproblemen eine Reaktionszeit von unter einer Stunde aufweisen, kann aber andererseits das Budget schonen, indem Sicherheitsexpertise »on demand« zugekauft wird.

    Diese Lösung hat bereits zur Behebung von rund 120 spezifischen Sicherheitsproblemen beigetragen. Dafür hat Nextcloud rund 8.500 US-Dollar Prämien gezahlt, deren Höhe im Durchschnitt bei 100 – 150 US-Dollar lagen und deren höchste 750 US-Dollar betrug.

    Illustre Kundschaft

    Viele großen Unternehmen wie General Motors, Google, Twitter, GitHub, aber auch mit Regierungsstellen wie das US-Verteidigungsministerium arbeiten mit HackerOne zusammen. Dabei konnten bisher über 72.000 Schwachstellen behoben werden, wobei mehr als 32 Millionen US-Dollar an Prämien gezahlt wurden.

    We might not be a 1,000-person company but we have expertise that challenges companies many times our size and this is one way it shows.


    Jos Poortvliet, Head of Marketing

    Jetzt hat Nextcloud zusammen mit HackerOne eine Fallstudie veröffentlicht, die die Zusammenarbeit zwischen dem kleinen Sicherheitsteam bei Nextcloud und den Experten bei HackerOne detailliert.

    Nextcloud-Konferenz 2018

    Nextcloud wird unter anderem die Ergebnisse des letztjährigen HackerOne-Programms auf der heute beginnenden Nextcloud-Konferenz  am 25. August 2018 an der Technischen Universität in Berlin vorstellen. Durch das Bug-Bounty-Programm mit HackerOne schützt Nextcloud nicht nur seine Kunden, sondern auch das Unternehmen selbst im Fall von gerichtlichen Auseinandersetzungen in Sachen DSGVO. Die Zusammenarbeit ist ein guter Beleg dafür, dass Nextcloud seine Möglichkeiten voll ausgeschöpft hat.

  • Alex Larsson über die Flatpak-Revolution

    Die Flatpak-Revolution
    By: Matthias ClasenCC BY-SA 4.0

     

    Flatpak 1.0 ist seit einigen Tagen als produktiv einsetzbare Version des alternativen Paketsystems verfügbar. Entwickler Alex Larsson vermutet, dass sich nach drei Jahren intensiver Entwicklung die Schlagzahl der Änderungen nun verlangsamen wird. Der Fokus soll sich jetzt mehr auf die umgebende Infrastruktur konzentrieren. Dazu gehört es unter anderem, Flathub für weiteres Wachstum zu rüsten und Flatpak 1.0 in die Distributionen zu bekommen. Darüber hinaus soll an den Laufzeitumgebungen und Portals  gearbeitet werden.

    Larssons Revolution

    Derweil hat sich Red-Hat-Mitarbeiter Larsson dazu geäußert, warum er die Entwicklung zu Flatpak überhaupt begonnen hat. Er hofft auf nichts weniger als auf eine Revolution – eine Revolution des Linux-Paketsystems, dass er als »fundamental kaputt« empfindet. App-Entwickler haben laut Larsson keine sinnvolle Möglichkeit, ihre Arbeit zeitnah an die Anwender zu verteilen.

    Entwickler ohne Kontrolle

    So müssten Entwickler theoretisch Pakete für verschiedenste Distributionen selbst zur Verfügung stellen, wenn sie die Kontrolle über die Aktualität  behalten wollen. Tun sie das nicht – was alleine zeitlich oft nicht möglich ist, ergeben sich weitere Probleme.  Nicht alle Distributionen paketieren alle Apps oder warten oft, bis die Anwendung bekannter ist, was zu einem typischen Henne-Ei-Problem für neue Apps führt. Und wenn die Anwendung dann paketiert ist, hat der Entwickler keine Kontrolle mehr über die angebotene Version und deren Updates, so Larsson.

    Maintainer in der Mitte

    Diese Entscheidungen obliegen dem Paketbetreuer der jeweiligen Distribution. Viele dieser Maintainer machen einen ganz prima Job. So war etwa Flatpak 1.0 in Debian Unstable bereits rund 12 Stunden nach Veröffentlichung verfügbar. Distributionen wie Arch Linux. KDE Neon oder KaOS bieten immer sehr aktuelle Pakete an.

    Bugreports ins Leere

    Auf der anderen Seite stehen Distributionen wie Debian Stable, wo viele Pakete bereits veraltet sind, wenn eine neue Version der Distribution veröffentlicht wird. Einerseits machen die abgehangenen Pakete einen Großteil der Stabilität von Debian aus, andererseits hat der Entwickler die dort verteilten Versionen bereits längst vergessen. Die Anwender schreiben aber im Bedarfsfall Bugreports gegen diese Versionen. Die Fehler sind dann oft längst mit neuen Versionen behoben, die der Anwender aber nicht installieren kann. Im Idealfall portiert der Maintainer die Fixes zurück in die ältere Version. Somit sind Entwickler und Endanwender getrennt, in der Mitte steht – zum Wohl oder Übel – der Maintainer.

    Entwickler am Drücker

    Hier kommen neue Paketsysteme wie Flatpak gerade recht. Sie erlauben auch bei eher unbeweglichen Distributionen die Verwendung aktueller Bibliotheken, gebündelt in verschiedenen Laufzeitumgebungen. Damit können dann auch aktuelle Software-Versionen genutzt und aktualisiert werden.  Ziel ist, dass der Upstream-Entwickler die Kontrolle über die Updates hat.

    Schulterschluss mit den Usern

    Wenn der Entwickler einen wichtigen Fehler behebt, wird im Fall von Flatpak eine neue stabile Version veröffentlicht, die die Anwender verschiedenster Distributionen sofort nutzen kann. Alle Fehler werden gegen die neueste stabile Version eingereicht, so dass sie nicht veraltet sind, und sobald der Fehlerbericht geschlossen wird, erhält der Benutzer die Korrektur. Das bedeutet, dass das Melden von Fehlern für den Benutzer greifbar Sinn macht. Diese Art von virtuosem Zyklus trägt laut Larsson dazu bei, sowohl die Entwicklungsgeschwindigkeit als auch die Softwarequalität zu verbessern.

  • Mozilla schaltet Legacy-Add-ons für Firefox endgültig ab

    Legacy-Add-ons für Firefox
    Bild: Firefox Logo | Quelle: Mozilla | Lizenz: CC BY-SA 3.0

    Die Gnadenfrist für Anwender, die Firefox-Erweiterungen nach dem alten Standard noch per Firefox ESR 52 verwendet haben, läuft am 5. September ab. Dann steht die Veröffentlichung von Firefox 62 und das Ende des Zyklus von Firefox ESR 52 an. Firefox-Erweiterungen nach dem XML User Interface Language-Standard (XUL) gelten seit Firefox Quantum 57 als veraltet und werden als Legacy-Add-ons bezeichnet.

    Aus für Legacy-Add-ons für Firefox

    Anwender, die diese Add-ons weiter verwenden wollten, hatten bei Verwendung von Firefox ESR 52 eine Verlängerung erhalten. Wie Mozilla nun mitteilte, läuft diese Frist mit dem Ende der Unterstützung für Firefox ESR 52 am 5. September aus. Mozilla plant, die Legacy-Add-ons ab Anfang Oktober von der Add-ons-Webseite AMO zu entfernen.

    Portierung notwendig

    Bereits ab dem 6. September wird es nicht mehr möglich sein, Erweiterungen nach dem alten Standard auf AMO einzustellen, wie Caitlin Neiman, die Add-ons-Community-Managerin von Mozilla, mitteilte. Legacy-Add-ons können nur durch den ursprünglichen Entwickler wiederbelebt werden, indem dieser sie auf die neue WebExtensions-API portiert. Sobald eine portierte Version eingereicht und auf AMO freigeschaltet ist, erhalten die Nutzer, die das Legacy-Add-on noch installiert haben automatisch eine Aktualisierung auf die neue, nun kompatible Version.

    Nicht alle werden portiert

    Allerdings werden bei weitem nicht alle früher verfügbaren Firefox-Erweiterungen auf den neuen Standard portiert. Das verärgert nicht nur die Anwender, auch Entwickler monieren vielfach, ihre Erweiterungen seien nicht sinnvoll auf WebExtensions umzustellen, da die APIs immer noch viele Funktionen und Gestaltungsmöglichkeiten vermissen lassen, die der alte Standard geboten habe. Mozilla rechtfertigt den neuen Standard mit der Kompatibilität zu Chrome-Erweiterungen sowie besserer Stabilität und erhöhter Sicherheit.

    Keine XUL-Erweiterungen mehr

    So ist etwa eines der beliebtesten Add-ons, Tab Mix Plus (TMP) immer noch nicht nach dem neuen Standard verfügbar. Der Entwickler weist darauf hin, dass TMP aus über 35.000 Codezeilen in 139 Dateien bestehe. Das verdeutlicht den Arbeitsaufwand einer solchen Portierung.

  • Debian schließt Intel-Lücken

    Debian schließt Intel-Lücken

    Debian schließt Intel-Lücken
    Screenshot: ft

    Debian weist im aktuellen Security Advisory DSA-4279-1 auf die Schließung der kürzlich unter der Bezeichnung Foreshadow beziehungsweise L1 Terminal Fault (L1TF) bekannt gewordenen Sicherheitslücken in Intel-CPUs hin. Die geschlossenen Lücken beziehen sich  auf die Kennnummern CVE-2018-3620 und CVE-2018-3646. Von den Lücken sind sowohl auf realer Hardware laufende als auch virtualisierte Systeme betroffen.

    Bereits länger bekannt

    Mehrere Forscher hatten die Schwachstellen in der Art, wie Intel-CPUs bei der spekulativen Ausführung von Anweisungen private Daten zugreifbar machen kann bereits vor Monaten entdeckt. Diese Fehler ähneln der Meltdown-Attacke und betreffen speziell die virtuelle Speicherverwaltung über Pagetables.

    Kernel und Microcode

    Um diese Schwachstellen vollständig zu schließen, ist es neben dem veröffentlichten Debian-Kernel 4.9.110-3+deb9u3 erforderlich, dass unter Debian »Stretch« der aktualisierte CPU-Microcode in Version 3.20180703.2~deb9u1 aus dem unfreien Repository non-free eingespielt wird. Dazu müssen Anwender kurzzeitig ihre Quellenliste erweitern. Dieser Microcode schließt durch Speculative Store Bypass Disable (SSBD) zusätzlich auch die Lücken Spectre Variante 3a und Variante 4 (CVE-2018-3639).

    Anwender von Debian Stable sind aufgerufen, die aktualisierten Pakete schnellstmöglich einzuspielen, um gegen die Lücken geschützt zu sein.

  • Flatpak 1.0: Sandboxing wird erwachsen

    Flatpack 1.0
    Quelle: NeONBRAND auf Unsplash

    Alex Larsson hat heute nach insgesamt drei Jahren Entwicklung Flatpak 1.0 freigegeben und damit das distributionsübergreifende Paketsystem, das seine Entwicklung unter dem Namen XDG-App begann, für den produktiven Einsatz freigegeben. Die Serie 1.x folgt auf die im Oktober 2017 veröffentlichte Reihe 0.10.x. Flatpak 1.0 soll über signifikant verbesserte Leistung und Zuverlässigkeit verfügen. Neben einer großen Anzahl an beseitigten Fehlern wurde auch mit neuen und verbesserten Funktionen nicht gespart.

    Berechtigungen überarbeitet

    Anwender wird es freuen, dass Flatpak 1.0 bereits bei der Installation einer Anwendung die Zustimmung zu den Berechtigungen anfragt, und nicht erst bei der ersten Ausführung. Wenn ein künftiges Update der Anwendung zusätzliche Berechtigungen benötigt, wird Flatpak dabei erneut auffordern, die Anfrage je nach Bedarf zu entscheiden.

    Neues Portal

    Der Ersteller eines Flatpak kann in der neuen Version der paketierten Anwendung ein Ablaufdatum mitgeben. Das kommt beispielsweise Entwicklern zugute, die eine Testversion herausgeben, die nur eine begrenzte Zeit lauffähig sein soll. Flatpak erhielt auch ein neues Flatpak-Portal,  mit dem Linux-Anwendungen Sandboxen erstellen und sich selbst neu starten können. Das neue Werkzeug flatpak-spawn kann Befehle des Hosts ausführen, sofern die Berechtigungen das erlauben und kann unter Verwendung der APIs des neuen Portals neue Sandboxen aus einer Anwendung heraus erstellen. Zudem kann Flatpak 1.0 TLS-Zertifikate des Hosts für Sandbox-Anwendungen freigeben.

    Flatpaks lernen SSH

    Flatpak 1.0 ermöglicht Apps in Sandboxen zudem den Zugriff auf den SSH-Agent des Hosts für den sicheren Zugriff auf Git-Repositories oder Remote-Server und ermöglicht Apps den Zugriff auf Bluetooth-Geräte. Außerdem ist die P2P-Methode für die Installation von Flatpak-Anwendungen über USB-Sticks oder das lokale Netzwerk nun standardmäßig aktiviert und wird in allen Builds unterstützt. Eine neue Fallback-Lösung für Anwender in einer X11-Sitzung wurde in Flatpak implementiert. Dies kann verwendet werden, um sicherzustellen, dass eine App in Wayland keinen unnötigen X11-Zugriff hat, aber dennoch in einer X11-Sitzung alle nötigen Rechte erhält.

    Darüber hinaus erhielt Flatpak neue Kommandozeilenbefehle und weitere Verbesserungen für Plattform-Entwickler und Linux-Distributoren. Hauptentwickler Larsson bezeichnete die stabile Freigabe von Flatpak als »wichtigen Schritt in Richtung des Ziels, das Linux-Ökosystem zu revolutionieren«. Insbesondere bei Fedora 29 wird Flatpak im Rahmen des Projekts Silverblue eine wichtige Rolle zukommen.

    Flatpak 1.0 braucht, wenn es aus den Quellen gebaut wird, Bubblewrap 0.2.1 und OSTree 2018.7. Distributoren sind aufgefordert, die neue Version möglichst bald ihren Anwendern zur Verfügung zu stellen. Alle Änderungen zu Flatpak 1.0 sind auf GitHub verzeichnet.

  • Firefox-Add-ons wegen Ausspähens entfernt

    Firefox-Add-ons
    Bild: Firefox Logo | Quelle: Mozilla | Lizenz: CC BY-SA 3.0

    Kürzlich berichteten wir über eine Mozilla-Webseite, die 14 Firefox-Add-ons für den Schutz der Privatsphäre empfiehlt. Peinlich für Mozilla: Darunter befand sich mit dem Add-on Web-Security eine Erweiterung, die heimlich nach Hause telefonierte. Unter anderem berichtete auch das Blog von Mike Kuketz über den Vorfall.

    Peinlicher Vorfall

    Nachdem die Presse dies aufgegriffen hatte, hat Mozilla das beanstandete Add-on aus dem Artikel und mittlerweile auch komplett aus dem Kreis der installierbaren Erweiterungen entfernt, ohne aber die Zahl der Add-ons zu ändern, dort steht immer noch 14. Es stellte sich heraus, dass Web-Security seinem Namen nicht gerecht wurde, sondern im Gegenteil bei jedem Seitenaufruf nicht nur die URL der aktuellen Webseite, sondern auch von den zuvor besuchten Seiten unverschlüsselt an einen deutschen Server gesendet hat.

    Das Online-Magazin The Register fragte bei der Entwicklerfirma Creative Software Solutions nach. Deren Direktor Fabian Simon sagt, dass die Sammlung von Browsing-Informationen nur durchgeführt wird, um eine Website gegen die globale Blacklist von Web Security zu prüfen und fährt fort:

    [su_quote style=“modern-light“]»Dies ist ein notwendiger Schritt, um die Funktionalität des Add-ons zu gewährleisten und hat nichts mit der Verfolgung des Browserverhaltens des Benutzers zu tun, daher zeigten diese Berichte nur einen Teil der Funktionsweise des Add-ons zum Schutz des Benutzers.Wir nehmen den Datenschutz sehr ernst und verwenden diese Server-Kommunikation nicht, um den Verlauf der Benutzer zu verfolgen.«[/su_quote]

    Die Entwickler erklärten mittlerweile, die Erweiterung überarbeiten und erneut einreichen  zu wollen. Wünschenswert wäre, weniger Daten und diese verschlüsselt zu versenden.

    Mozilla greift durch

    Mozilla, einmal wachgerüttelt, nahm weitere Firefox-Add-ons unter die Lupe, um weiteren peinlichen Entdeckungen von dritter Seite zu entgehen. Im Rahmen dieser Untersuchung wurden nun 23 Erweiterungen entfernt. Die beanstandeten Add-Ons wurden auch bei den Anwendern, die sie installiert haben, deaktiviert.

    Unklare Motive

    Alle diese Erweiterungen verwendeten subtile Code-Verschleierung, bei der die eigentliche legitime Erweiterungsfunktionalität mit scheinbar unschuldigem Code gemischt wurde, der über mehrere Orte und Dateien verteilt ist. Die schiere Anzahl irreführender Bezeichner, verschleierter URLs / Konstanten und verdeckter Datenströme ließ wenig Zweifel an den Absichten der Autoren aufkommen:

    Es war offensichtlich, dass sie versucht haben, bösartigen Code in ihrem Add-on zu verstecken, so Wu zu der Webseite Bleeping Computer. Diese hat am Ende ihres Berichts alle entfernten Firefox-Add-ons aufgeführt. Darunter sind auch die Erweiterungen  Browser Security, Browser Privacy und Browser Safety, die URLs an die gleiche Serveradresse sendeten wie Web Security.

  • KDE Applications 18.08 vorgestellt

    KDE Applications 18.08
    Bild: KDE

    Die KDE Applications enthalten die Anwendungen, die nicht direkt mit dem Plasma-Desktop gebündelt ausgeliefert werden. Jetzt wurde die Version KDE Applications 18.08 freigegeben, die eine Vielzahl von Verbesserungen bringt. Hauptsächlich profitieren davon diesmal der Dateimanager Dolphin, der Bildbetrachter Gwenview und das Screenshot-Tool Spectacle. Aber auch KMail und Akonadi wurden verbessert.

    GUI-Apps als Root oder nicht?

    Besonders oft nachgefragt war die Zurücknahme einer Änderung, die der ehemalige KWin-Betreuer Martin Flöser eingeführt hatte. Da er der Meinung ist, grafische Anwendungen sollten möglichst nicht als Root laufen, verhinderte er dies für die KDE-Anwendungen Dolphin, Kate und KWrite. Zumindest für Dolphin wurde das mit den KDE Applications 18.08 jetzt zurückgenommen. Der Plasma-Dateimanager kann mit dem Update wieder als Root gestartet werden.

    Bessere Lösung

    Aber die wichtigere Entwicklung in diesem Zusammenhang ist noch nicht abgeschlossen. Die Entwickler arbeiten daran, in einer Dolphin-Umgebung, die im Usermode läuft, eine Datei, die Root gehört, bearbeiten zu können, indem kurzfristig eine Authorisierung dazu erteilt wird und nicht die gesamte Anwendung als Root läuft. Dieses Prinzip soll dann auch auf andere Anwendungen portiert werden.

    Darüber hinaus wurde der Einstellungsdialog von Dolphin weiter an die KDE-Design-Richtlinien angepasst und soll nun intuitiver nutzbar sein. Die neue Version soll zudem weniger Speicherlecks haben und sich nun besser an HiDPI-Auflösungen anpassen. Das Kontext-Menü wurde erweitert, das Sortieren nach Änderungszeit soll nun wesentlich schneller vonstatten gehen.

    Gwenview aufgewertet

    Die meisten Änderungen der KDE Applications 18.08 erfuhr jedoch der Bildbetrachter Gwenview. Dort wird künftig in der Statusleiste die laufende Nummer und die Anzahl der dargestellten Bilder angezeigt. Die Sortierung kann nun auch in umgekehrter Richtung erfolgen, zudem kann nach den Bewertungen sortiert werden. Die Bildgröße kann beim Ändern jetzt auch in Prozent angegeben werden.

    Mit Drag&Drop lassen sich künftig Dateien und Ordner in den Ansichtsmodus ziehen. Bilder lassen sich aus der Anzeige in externe Anwendungen ziehen oder per Kopieren und Einfügen dorthin bewegen. Das gelingt auch mit modifizierten Bildern. Das Zoomen innerhalb der Anwendung wurde so erweitert, dass es unter anderem auch dann funktioniert, wenn das Bild im Modus für Beschneiden oder im Rote-Augen-Modus ist.

    Der Share-Button weist nun darauf hin, wenn die Kipi-Plugins fehlen und steht nach deren Installation sofort zur Verfügung. Wird ein Bild unter einem neuen Namen gespeichert, springt Gwenview nicht mehr willkürlich zu einem anderen Bild.

    Spektakulär

    Spectacle, das früher KSnapshot hieß, erbte einige Funktionen von anderen Linux-Screenshootern. Diese betreffen die Rechteck-Auswahl. Vom GTK-Screenshot-Tool Shutter erbte Spectacle einen Zoom, der die genaue Platzierung der Auswahl erlaubt. Von Flameshot stammt die Möglichkeit, den Rahmen auch über das Richtungskreuz der Tastatur anzupassen. Um den gesamten Rahmen pixelweise zu verschieben, lassen sich die Richtungstasten nutzen. Geht es darum, den Rahmen zu verkleinern, lässt sich das pixelweise mittels der Richtungstasten in Kombination mit der Umschalt-Taste erreichen. Screenshots können nun automatisch in benutzerdefinierten Unterverzeichnissen gespeichert werden.

    Reisedaten im Kalender

    Der E-Mail-Client KMail extrahiert auf Wunsch Daten aus E-Mails und trägt sie in den Kalender ein. Das geht nun auch mit den Barcodes von E-Tickets nach UIC 918.3 und von der staatlichen Eisenbahngesellschaft Frankreichs, SNCF. Zudem wurde Unterstützung für Multi-Traveler-Routen hinzugefügt, KMail bietet zudem künftig Integration mit der KDE Itinerary-App. Das PIM-Framework Akonadi arbeitet jetzt schneller und bietet XOAUTH-Unterstützung für SMTP, was eine native Authentifizierung mit Google Mail ermöglicht.

    Für Konsoleros

    Nicht zuletzt erhielt der Terminal-Emulator Konsole einige neue Escape-Sequenzen und das Fenster für die Suche wurde an den oberen Fensterrand verlegt. Zudem kann Konsole nun beliebige Zeichen auf ein Tastenkürzel legen. KDE hat sich zudem endlich entschieden, mit Ctrl+Alt+T eine standardmäßige globale Verknüpfung zum Starten der Konsole-Terminalanwendung festzulegen. Im Zuge der Entwicklung zu KDE Applications 18.08 wurden 120 Fehler in vielen Anwendungen behoben. Alle Änderungen verzeichnet das Changelog. Und zum Schluss an euch die Frage zu dem kontroversen Thema: Sollten GUI-Anwendungen als Root startbar sein?