Kernel 5.1 hat einen Fehler im Device Mapper eingeführt, der unter bestimmten Umständen zu massivem Datenverlust führen kann. Vorweg sei gesagt, dass der Fehler nur verschlüsselte Systeme betrifft. Wer nicht zu diesem Anwenderkreis gehört, muss sich also keine Sorgen machen.
Fehler in Kernel 5.1
Die bisher bekannten Betroffenen nutzten alle LVM und das Crypto-Modul dm-crypt in Zusammenhang mit einer Samsung-SSD. Letzteres kann bei der großen Verbreitung dieser Hardware nach meiner Einschätzung auch Zufall sein.
TRIM ist übereifrig
Der tatsächliche Datenverlust ist der TRIM-Funktion zuzuschreiben. Sie dient zur Markierung ungenutzter oder ungültiger Datenblöcke hauptsächlich auf SSDs zum Zweck der späteren Wiederbeschreibung. Das sind meist Bereiche, die von zuvor vom Anwender gelöschten Daten belegt waren.
Deshalb sollten Anwender mit dieser Kombination Befehle wie fstrim oder discard deaktivieren, bis der Bugfix, der in Kernel 5.1.5 enthalten ist, bei euch angekommen ist. Das gilt sowohl, wenn in /etc/fstab TRIM per discard aktiviert ist als auch für über einen Cronjob oder Systemd-Timer festgelegten fstrim Befehl. In der fstab wird dazu die Option discard entfernt, den fstrim-timer stellt man über zwei Befehle ab:
Der kritische Fehler in Kernel 5.1, der auch in der Vorabversion 5.2rc1 vorhanden ist, wurde bei Red Hat und bei Arch Linux dokumentiert. Mittlerweile ist der Commit, der die Regression einführte bekannt und ein Patch im Git erschienen, der mit Linux 5.1.5 mittlerweile ausgerollt wird. Wenn ihr zum gefährdeten Anwenderkreis gehört, achtet bitte auf das Erscheinen von Linux 5.1.5 für eure Distribution und vergesst nicht, hinterher discard oder fstrim wieder einzuschalten.
Firefox 67 erscheint wegen dem von Mozilla selbstverschuldeten Debakel mit gesperrten Erweiterungen mit einer Woche Verspätung, bringt aber eine Menge an neuen und verbesserten Funktionen sowie mehr Sicherheit mit.
Mehr bösartige Inhalte blockierbar
Der Inhaltsblocker, der erstmals in Firefox 63 eingesetzt wurde, integriert mit Firefox 67 für den anwender auswählbar auch Maßnahmen gegen Fingerprinting und Cryptomining. In den Einstellungen wurden unter der Rubrik Datenschutz und Sicherheit bei den benutzerdefinierten Einträgen zwei neue Positionen hinzugefügt. Damit können automatisch Domains, die entweder für Fingerprinting oder Cryptomining bekannt sind, gesperrt werden. Beide Einstellungen sind standardmäßig aktiviert. Für vertrauenswürdige Seiten können Ausnahmen definiert werden.
Mehr Kontrolle über Add-ons
Die Kontrolle, welche Erweiterungen künftig im privaten Modus laufen, geht mit Firefox 67 an den Anwender über. Alle Erweiterungen, die vom Nutzer installiert werden, werden künftig nicht standardmäßig in privaten Fenstern ausgeführt und haben keinen Zugriff auf die Online-Aktivitäten in diesen Fenstern.
Dazu wird entweder während der Installation von Erweiterungen ein Dialog eingeblendet oder der Anwender klickt in den Einstellungen auf die Erweiterung und setzt einen entsprechenden Haken.
Screenshots ohne Upload
Firefox bietet seit geraumer Zeit eine fest eingebaute Erweiterung zum Aufnehmen von Screenshots. Bisher konnten diese Aufnahmen auf einen Mozilla-Server geladen und dort gespeichert werden. Dies ist ab Firefox 67 nicht mehr möglich, die Screenshots werden künftig nur noch lokal gespeichert.
Mehrere Profile
Firefox-Nutzer, die neben der stabilen Version auch Beta- oder Nightly-Versionen nutzen, werden sich freuen, dass die Verwaltung dieses Szenarios nun einfacher wird. Arbeiten bisher alle gleichzeitig installierten Versionen des Browsers standardmäßig mit einem einzigen Profil, erhält ab jetzt jede Installation ein eigenes Profil.
Die Ära WebRender beginnt
Nach mehr als drei Jahren Entwicklung beginnt Mozilla mit Firefox 67 mit dem Ausrollen von WebRender an die Anwender. Anfangs erhalten jedoch standardmäßig nur fünf Prozent der kompatiblen Nutzer Zugriff auf die neue, in der Programmiersprache Rust umgesetzten Render-Engine.
WebRender ist ein Teil von Firefox Quantum, wird aber aufgrund der längeren Entwicklungszeit erst jetzt langsam zugänglich gemacht. Wie WebRender das Surferlebnis verbessert, erläutert ein Blogeintrag aus dem Jahr 2017.
Rendern über die GPU
Der neue GPU-Renderer, der Teil der Browser-Engine Servo ist, wird zunächst nur an Anwender von Windows 10 mit NVIDIA GPUs verteilt. Sie lässt sich allerdings auch unter Linux und mit Intel- oder AMD-Grafikkarte einschalten, indem unter about:config der Eintrag gfx.webrender.all auf true gesetzt wird.
Wir hatten uns vor über einem Jahr gefragt, wo Xfce 4.14 bleibt. Jetzt sind wir einer Antwort ein wenig näher. Wenn es nach den Plänen der Xfce-Entwickler geht, soll die lange erwartete Aktualisierung der Desktop-Umgebung in Version 4.14 am 11. August erscheinen.
Behäbig, aber stabil
Xfce ist eine beliebte Desktop-Umgebung, die einem behäbigen Entwicklungszyklus unterliegt. Das liegt maßgeblich am stets zu kleinen Entwicklerteam, bietet andererseits aber auch eine stabile Software ohne viele Änderungen.
Das Problem der verspäteten Veröffentlichungen ist noch von der derzeit stabilen Version 4.12 in Erinnerung. Diese war für März 2013 geplant, erschien dann aber erst zwei Jahre später.
Erste Vorabversion zu Xfce 4.14
Jetzt soll es aber bald soweit sein, denn am heutigen Sonntag soll eine erste Vorabversion erscheinen, eine zweite ist für den 30. Juni geplant. Ob eine dritte Beta notwendig ist, soll ad hoc entschieden werden.
Hauptziele erreicht
Schaut man sich Zeitplan und Status an, so scheint der größte Teil der Software in gutem Zustand zu sein. Lediglich bei den Applikationen klaffen noch Lücken. Zum Release sollen alle Kernelemente auf GTK 3 umgestellt und dbus-glibc gegen GDbus ausgetauscht sein.
GTK 4 nicht mehr weit
Mit GTK 3.96.0 liegt bereits die dritte Vorabversion zu GTK 4 vor. Somit ist es immer noch möglich, dass GTK 4 vor dem auf GTK 3 umgestellten Xfce 4.14 erscheint. Wer sich wundert, wo das Pluszeichen von GTK+ geblieben ist: Das wurde im Februar im Zuge der Vereinfachung abgeschafft.
Aktualisierte Komponenten
Bereits vor wenigen Tagen wurde mit Xfdesktop 4.13.4 eine wichtige Komponente des Desktops in aktueller Form veröffentlicht. Auch weitere Module sowie der Dateimanager Thunar wurden im Wochenverlauf aktualisiert.
Mit Docker oder Fedora testen
Sollte heute Xfce 4.14pre1 veröffentlicht werden, so wäre das ein erster Hinweis, dass die finale Version wirklich im August erscheinen kann. Wer bereits einen quasi virtuellen Blick auf Xfce 4.14 werfen will, kann dies auf GitHub mit Docker tun. Wer Fedora Rawhide fährt, findet dort bereits die neuesten Pakete der vergangenen Woche.
Erst kürzlich stellte Purism, Hersteller von Geräten, die hohe Sicherheit mit Datenschutz und dem Schutz der Privatsphäre vereinen, unter dem Namen Librem One vier Online-Dienste vor, die den gleichen Prinzipien folgen und eine Alternative zu Diensten von Google, Microsoft und anderen proprietären Anbietern darstellen.
Purism komplettiert Angebot
Purism stand bisher für die Notebooks Librem 13 und 15 und das in der Entwicklung befindliche Linux-Smartphone Librem 5, das im Herbst erwartet wird. Jetzt wird das kleine Unternehmen mit dem sozialen Gewissen auch zum Diensteanbieter.
Vier Online-Dienste
Librem One umfasst einen Chat-Dienst, der VoIP und Video mitbringt, verschlüsselte E-Mail, VPN und sicheren Zugang zu sozialen Medien. Alle vier Dienste werden gemeinsam für rund 8 US-Dollar monatlich angeboten. Chat und Social können auch als kleineres Bündel bestellt werden, wobei der Preis zwischen kostenlos und 6 US-Dollar frei gewählt werden kann. Zudem wird ein Familienpaket für 5 Personen für 15 US-Dollar monatlich angeboten.
Bekannte Open-Source-Apps
Hinter dem Angebot von Librem Mail, Librem Chat, Librem Tunnel und Librem Social stehen verschlüsselte Dienste wie der Mail-Client K9 mit GPG-Integration, Chat mit Riot über die Protokolle Matrix und XMPP, OpenVPN sowie Mastodon und das Activity-Pub-Protokoll.
Librem One erweitert
Um künftig weitere sichere Dienste entwickeln zu können hat Purism eine Schwarmfinanzierung aufgesetzt, die bereits nach zwei Wochen das erste Ziel von 5.000 Unterstützern überschritten hat. Die Kampagne läuft noch weitere 45 Tage. Das nächste Ziel sind 50.000 Unterstützer und würde den Cloud-Speicher Librem Files realisieren helfen.
Alles verschlüsselt
Dienste in Planung sind der bereits erwähnte Cloud-Speicher Librem Files, ein Backup-Angebot namens Librem Backup, der synchronisierte Speicher Librem Contacts, verschlüsseltes Bezahlen mit Librem Pay sowie der Prepaid-Telefon-Dienst Librem Dial. Auch diese Dienste sollen als Hauptmerkmal Ende-Zu-Ende-Verschlüsselung bieten.
Intel hat weitere Sicherheitslücken in fast allen Core-i- und Xeon-CPUs seit 2011 mit Ausnahme einiger aktueller Modelle bekanntgegeben. Diesmal ist nur Intel betroffen, AMD oder ARM bleiben außen vor. Die Lücken wurden von Forschern der TU Graz, der KU Leuven und dem Worcester Polytechnic Institute entdeckt, von denen einige bereits an der Entdeckung von Meltdown & Spectre im Januar 2018 beteiligt waren.
ZombieLoad
Bei Intel werden die Lücken als »Microarchitectural Data Sampling« (MDS) geführt. Wie bei solch eklatanten Lücken seit einigen Jahren üblich, wird ihnen ein Codename zugedacht. So erhielten sie von den Entdeckern den martialischen Namen ZombieLoad. Nicht betroffen sind Core i-8000U und Core i-9000, letzterer ab Stepping 13, sowie Xeon-SP Cascade Lake. Für alle anderen Prozessoren hat Intel bereits neuen Microcode zur Verfügung gestellt. Linux, Apple und Microsoft haben Patches veröffentlicht.
Mit Spectre und Meltdown verwandt
Es handelt sich bei den Lücken um nahe Verwandte von Meltdown und Spectre, wobei aber die Maßnahmen dagegen hier nicht greifen. Die Verwandschaft besteht darin, dass auch ZombieLoad zu den Seitenkanalattacken zählt, die die spekulative Ausführung moderner Prozessoren nutzen. Ein Video der Cyberus Technology GmbH demonstriert einen Angriff mit Protokollierung eines Tor-Browserverlaufs unter der Linux-Anonymisierungs-Distribution Tails und zeigt damit die Brisanz dieser Lücken auf.
Spekulative Ausführung
ZombieLoad benutzt einen ähnlichen Ansatz wie Meltdown und liest Daten aus, die der Prozessor im Voraus berechnet, aber alle außer den im Endeffekt zur Anwendung kommenden Arbeitsschritten wieder verwirft. Während der spekulativen Ausführung laufen mehrere Prozesse gleichzeitig auf einem physischen Prozessorkern. Die Forscher haben drei Angriffsvektoren entdeckt, die verschiedene Puffer auszulesen und so an Daten, Passwörter und Schlüssel gelangen können.
Für Linux hat Greg Kroah-Hartman bereits gestern Kernel-Updates verkündet. Die Patches für Kernel 5.1.2 sowie 5.0, 4.19, 4.14 und 4.9 seien erst der Anfang, so GKH, weitere Anpassungen seien zu erwarten.
As I said before just over a year ago, Intel once again owes a bunch of people a lot of drinks for fixing their hardware bugs in our software.
GKH
Heimanwender nicht im Visier
Die neu entdeckten Angriffsvektoren sollten Heimanwendern keine schlaflosen Nächte bereiten. Die Angriffsziele dieser neuen Verwundbarkeiten liegen, wie schon Meltdown und Spectre, eher bei Servern, der Cloud und bei virtuellen Maschinen. Eine Maßnahme gegen solche Angriffe kann das Abschalten von Hyperthreading sein. Google hat dies für Chrome OS bereits vollzogen. Apple legt es seinen Kunden nahe.
Vom 5. bis 9. Juni 2019 findet in Hamburg zum zweiten Mal eine MiniDebConf mit Vorträgen und gemeinsamem Entwickeln im Hackspace statt.
Zum zweiten Mal
Der Debian-Entwickler Holger Levsen richtet federführend in diesem Jahr zum zweiten Mal eine MiniDebConf in Hamburg aus. Die Konferenz, die das jährliche Entwicklertreffen DebConf in kleinerem Maßstab zum Vorbild hat, fand bereits 2018 an gleicher Stelle statt.
Fünf Tage Hacking und Vorträge
Das Programm sieht vom 5.6 – 9.6 drei Tage Hacking im MiniDebCamp und anschließend zwei Tage mit Vorträgen und weiterem Hacking bei der MiniDebConf vor. Konferenzort ist, wie im Vorjahr das FUX, einem Produktionsort für Kunst, Kultur und Bildung in der ehemaligen Victoria-Kaserne in Hamburg-Altona. Dort befindet sich neben den Seminarräumen des dock europe, in dem die Vorträge gehalten werden, auch der CCC Hamburg Hackerspace, der den Besuchern der MiniDebConf offensteht.
Vorträge gesucht
Derzeit können noch Vorträge eingereicht werden, wie Levsen jetzt in seinem Blog berichtet. Für Verpflegung und Unterbringung stehen auf dem Gelände eine Cantina und insgesamt 34 Betten für 27 Euro pro Nacht bereit, von denen derzeit noch 14 frei sind. Frühstück steht für fünf Euro ebenfalls bereit.
Als Themen für Vorträge sind Themen wie Packaging, Sicherheit, Benutzerfreundlichkeit, Cloud und Container, Automatisierung, Debian Social sowie neue Technologien und Infrastruktur innerhalb Debians angedacht. Es sind aber auch alle anderen Themen willkommen, solange sie einen Bezug zu Debian haben. Das DebConf-Videoteam wird vor Ort sein, um die Vorträge für die Nachwelt zu sichern.
Jetzt registrieren
Wer an der MiniDebConf in Hamburg teilnehmen möchte, sollte sich jetzt kostenfrei registrieren, damit das Team die Kapazitäten entsprechend planen kann. Zur finanziellen Unterstützung ist eine Registrierung für Unternehmen für 250 Euro verfügbar. Derzeit haben sich 54 Teilnehmer registriert. Fragen zur Veranstaltung werden im IRC-Raum #debconf-hamburg auf OFTC sowie auf der Mailingliste beantwortet.
Dev Day 2019
Bereits am 25. Mai findet in Berlin Kreuzberg und zeitgleich, via Livestream übertragen, in Faro, Portugal der sechste Dev Day statt. Unter dem Motto »Coding & Beyond« tauschen sich Entwickler zu den neuesten Trends und Entwicklungen in der Branche aus. Gastgeber der Veranstaltung ist die Berliner Digitalagentur Turbine Kreuzberg.
Es werden Vorträge zu verschiedenen Themen sowie eine Podiumsdiskussion zur »Zukunft der Software-Entwicklung« geboten. Der Dev Day 2019 findet am 25 Mai 2019, 9:30-18:00 Uhr mit anschließendem Networking im Festsaal Kreuzberg statt. Tickets kosten €20, ermäßigt €8, eine Anmeldung ist erforderlich.
Der potenzielle Markt für Smartphones, die auf Google-Apps und -Dienste verzichten, wächst ständig. Neben Projekten, die Linux-Phones entwickeln sind unter anderem Sailfish OS, LineageOS und PostmarketOS verfügbare Google-Alternativen.
Eelo auf Kickstarter finanziert
Ein weiteres Projekt, über das wir bereits Ende 2017 berichteten, ist eelo. Per Kickstarter wollte der französische Entwickler und Gründer von Mandrake-Linux, Gaël Duval, das Projekt mit 25.000 Euro vorfinanzieren lassen. Dabei kamen fast 100.000 Euro von 1.500 Unterstützern zusammen.
Unpraktische Umbenennung
Wegen Problemen mit dem Markenrecht musste Duval den bereits eingetragenen Namen eelo aufgeben und entschied sich für den aus mehreren Gründen unpraktischen Namen /e/. Warum der nicht ideal ist merkt man spätestens, wenn man eine Suchmaschine damit füttert.
Beta im Herbst 2018
Trotzt der Widrigkeiten ist Duval nun bereit, mit seiner Lösung in den Markt einzusteigen. Ein ROM mit einer ersten Beta-Version auf der Basis des ent-googelten Android-ROM LineageOS erschien bereits im Herbst 2018. Das ROM brachte unter anderem microG mit, das mit Mozilla NLP (network based location) konfiguriert ist, sodass Anwender Geo-Lokalisation durch Mozilla Location Services auch verwenden können, wenn zwar eine Internet-Verbindung, aber kein GPS-Signal vorhanden ist.
BlissLauncher
Widrigkeiten aus dem Weg räumen
Duval überlegte, was die Verbreitung von Google-Alternativen derzeit am meisten behindert. Da ist auf der einen Seite die Notwendigkeit, ein Handy zu entsperren und darauf ein ROM zu installieren. Der Vorgang schreckt viele nicht so technikaffine Nutzer ab, denn schnell hat man anstatt einem funktionierenden Smartphone einen Türstopper ohne Funktion.
Einen Hersteller zu finden, der ein Smartphone mit vorinstalliertem ROM erstellt und vertreibt ist fast aussichtslos. Somit entschied sich Duval, aufgearbeitete Smartphones aus 2. Hand mit seinem Betriebssystem zu bespielen und zu vertreiben.
Ökologisch sinnvoll
Das Duval Smartphones aus 2. Hand verwendet, bietet nicht nur einen Preisvorteil, sondern führt diese Geräte einem zweiten Leben zu, anstatt dass sie auf der Müllhalde landen. Duval entschied sich für beliebte Modelle aus Samsungs Galaxy-Reihe. Im Angebot sind Samsung S7, S7 Edge, S9 und S9+. Die Preise mit vorinstalliertem /e/OS bewegen sich zwischen 279 und 549 Euro. Ein S7 ohne /e/OS findet man bei Refurbishern beispielsweise für um die 180 Euro.
Markteintritt steht bevor
Auf der Webseite bittet Duval derzeit potenzielle Kunden, unverbindlich ihr Interesse für ein bestimmtes Modell zu bekunden, um besser planen zu können. Wer sich hier einträgt, wird benachrichtigt, sobald die Geräte verfügbar sind. Die Smartphones haben ein Jahr Garantie, sind entsperrt und kompatibel mit Android-Apps.
Mit /e/ steht somit eine Google-Alternative in den Startlöchern, die ein vorinstalliertes ROM ohne Google auf dem Postweg nach Hause liefert. Wer bisher vor der Installation eines ROM zurückgeschreckt ist, findet bei /e/ vielleicht sein Google-freies Smartphone.
Die Veröffentlichung von Debian 10 »Buster« steht in den nächsten Wochen oder Monaten bevor. Als Standard-Desktop kommt wie gehabt GNOME 3 zum Zug. Anders als bei Debian 9 »Stretch« soll dabei Wayland anstatt Xorg als Voreinstellung für das Display-Protokoll dienen.
Red Hat liefert Wayland als Standard aus
Das Wayland-Protokoll wird seit über 10 Jahren entwickelt und schon genauso lange als Ablösung für das überalterte Xorg gehandelt. Aber bisher liefern lediglich Fedora und seit einigen Tagen Red Hat Enterprise Linux 8 (RHEL) Wayland als Standard aus. Bereits im Februar habe ich mich gefragt, wann Wayland generell zum Standard wird.
Ubuntu weiß es noch nicht
Debian entschied sich für das derzeit stabile »Stretch« gegen Wayland als Standard. Canonical stellte mit Ubuntu 17.10 »Artful Aardvark« auf Wayland um, revidierte die Entscheidung jedoch für Ubuntu 18.04 LTS »Bionic Beaver« wieder und kehrte für die langzeitunterstützte Version zu Xorg als Standard zurück. Laut Canonicals Mastermind Mark Shuttleworth soll Ubuntu 20.04 LTS voraussichtlich die erste langzeitunterstützte Version mit Wayland am Steuer sein.
Debian Testing seit 2017
Anwender, die Debian Testing oder Unstable mit Gnome 3 als Desktopumgebung verwenden nutzen bereits seit August 2017 Wayland, sofern sie bei der Installation nicht bewusst Xorg ausgewählt haben. Zu diesen Anwendern zählt auch der Debian-Entwickler Jonathan Dowland, der vor einem Monat auf der Entwicklerliste die Frage stellte, ob Wayland bereit sei, als Standard für Debian 10 zu dienen. In seinem Blog plädiert er nun dafür, Debian 10 mit Xorg als Standard auszuliefern und den Wechsel auf Wayland erst mit dem Nachfolger zu vollziehen.
Kritik an Debians Entscheidung
Dowland wundert sich zunächst, dass es für die Entscheidung zu Wayland nicht die bei Debian übliche ausdauernde Diskussion gab, wie es etwa bei der Entscheidung für Systemd der Fall war. Als Argumente für eine Rückkehr zu Xorg dienen ihm zwei Fehler im ansonsten für ihn zufriedenstellenden Testablauf sowie die Befürchtung, Debian verliere zum jetzigen Zeitpunkt mit Wayland etwas von seiner Vielseitigkeit.
Verlust der Vielseitigkeit befürchtet
Ein Merkmal von Debian sei, dass man den GNOME-Desktop mit Anwendungen aus allen möglichen Ecken des Linux-Ökosystems paaren und so einen angepassten Workflow etablieren könne, Dowlands Befürchtung geht dahin, dass mit Wayland etwas davon verloren gehen wird. In dem Zusammenhang kritisiert er auch das automatische Entfernen von Paketen, die mit Wayland nicht kompatibel sind, wie im Fall des grafischen Paketmanagers Synaptic geschehen. Grund war in dem Fall, dass Synaptic generell als Root läuft, was den Prinzipien von Wayland zuwiderläuft
Zu viele Fehler in Wayland!?
Die Fehler, die Dowland anführt, sind keineswegs esoterisch und können im Alltag jederzeit auftreten. So stirbt etwa der gesamte Desktop samt Session-Manager, wenn die Root-Partition vollläuft. Das lässt sich auch nicht mit Werkzeugen wie systemctl beheben. Es passiert zwar auch unter Xorg, aber die Session bleibt dort laut Dowland zumindest erhalten.
Der zweite Fehler, den Dowland erwähnt tritt beim Drag&Drop von Firefox in den Dateimanager Nautilus auf. Danach werden laut Bugreport alle laufenden X-Applikationen daran gehindert, auf Maus- oder Tastatureingaben zu reagieren. Firefox lässt sich dann nicht mehr normal beenden und muss abgeschossen werden. Obwohl beide Bugreports bereits vom 26. April stammen, gibt es bisher keinerlei Reaktion darauf.
Die Diskussion auf der Mailingliste geht derweil weiter. Die Frage von Dowland, welche Kriterien das GNOME-Team zur Entscheidung für Wayland als Standard genutzt hat, bleibt bisher unbeantwortet.
Den Durchschnittsanwender im Auge behalten
Wer Debian kennt, wird sich vermutlich wundern, dass eine noch relativ unerprobte Technologie, die noch nicht fehlerfrei läuft, von der konservativen und auf absolute Stabilität ausgelegten Distribution relativ früh aufgegriffen wird. Dem durchschnittlichen Anwender ist es egal, was im Hintergrund läuft, solange alles funktioniert. Dieser Anwender wird sich bei der Installation deshalb meist nicht bewusst sein, dass Xorg als erprobte Alternative vielleicht die bessere Wahl ist.
Wayland oder Xorg?
Wenn Red Hat seinen Unternehmenskunden GNOME mit Wayland ausliefert, ist das nicht ein Beweis, dass Wayland bereit für den Mainstream ist? Sollte Debian bei Wayland als Standard bleiben und sich damit wie bei der Entscheidung für Systemd als zukunftsorientierte Distribution verhalten oder lieber Xorg den Vorzug geben, während Wayland die Alternative bleibt?
Chromebooks sind auch hierzulande nicht nur in Schulen, Behörden und Unternehmen beliebt, sondern stehen auch in vielen Privathaushalten als erschwingliche Alternative zu den teureren Notebooks abseits der ARM-Plattform. Bereits seit Mitte letzten Jahres können viele Chromebooks neben Chrome OS und Android-Apps mit ein wenig Aufwand auch Linux-Anwendungen und Distributionen ausführen.
Linux für alle
Eher am Rande hat Google vor einigen Tagen auf seiner Entwicklerkonferenz I/O verlauten lassen, dass alle Chromebooks, die ab 2019 den Markt betreten, standardmäßig bereit für Linux sind, egal ob sie einen Prozessor von ARM oder Intel beherbergen.
Nicht weiter erstaunlich, wenn man weiß, dass Chrome OS anfänglich auf der Basis von Ubuntu und Gentoo entwickelt wurde. Aber bis letztes Jahr war es nicht möglich, ohne erheblichen Aufwand Linux-Anwendungen lauffähig zu bekommen. Dazu bedurfte es des Projekts Crostini, dass auch die Interaktion zwischen Linux und Chrome OS erlaubte.
Einfacher denn je
Jetzt werden die Dinge nochmals einfacher, denn auf neuen Geräten muss der Anwender lediglich den App-Switcher öffnen und Terminal eintippen. Das öffnet eine virtuelle Maschine namens Termina, die einen Container mit Debian 9.x »Stretch« startet. Auch andere Systeme und Apps lassen sich per Termina installieren.
Welten verschmelzen
In der neuesten, noch nicht veröffentlichten Version des Chrome OS Dateimanagers können Dateien zwischen Chrome OS, Google Drive, Linux und Android verschoben werden. Die Betriebssystemwelten verschmelzen, demnächst wird die Android-Entwicklungsumgebung Android Studio auch auf Chrome OS laufen – in einem Linux-Container.
Bevor ihr jetzt zu übermütig werdet, muss gesagt werden, dass all dies noch Beta-Status hat. Es funktionieren noch nicht alle Anwendungen und auch an Hardwarebeschleunigung, Grafikunterstützung und Sound wird noch geschraubt.
Chromebooks aufgewertet
Das Konzept erlaubt Entwicklern, ähnlich wie mit Microsofts WSL, für mehrere Plattformen auf einer Maschine zu entwickeln. Dabei hilft, dass jetzt Port-Forwarding verwendet werden kann, um Netzwerkdienste zwischen Linux und Chrome OS zu verbinden. Aber auch für zu Hause wertet die bessere Linux-Unterstützung ein Chromebook auf. Laut diesem Video ist es sogar möglich, Chrome OS zu entfernen und Linux als alleiniges System zu installieren.
Auch für normale Anwender
Ausgebuffte Linux-Cracks installieren Linux auch auf einer Klorolle, wenn es sein muss. Mit den neuen Chromebooks erhalten aber auch weniger technikaffine Chromebook-Käufer einen guten Mehrwert in Form von quasi vorinstalliertem Linux. Für Linux und seine Verbreitung kann das nur von Vorteil sein.
Es war ein peinlicher Fehler, der Mozilla da unterlaufen war und am letzten Wochenende dazu führte, dass fast alle von Firefox angebotenen Add-ons deaktiviert wurden und auch keine neuen Erweiterungen installiert werden konnten.
Betriebsames Wochenende
Mozilla erfuhr erst durch Anwender von dem Problem. Daraufhin brach in Mountain View in Kalifornien hektische Betriebsamkeit aus, die mehrere Teams das ganze Wochenende in Atem hielt und nach einem ersten Workaround zur Eindämmung des Problems die beiden außerplanmäßigen Veröffentlichungen Firefox 66.0.4 und 66.0.5 nach sich zog.
Peinlicher Fehler
Was war geschehen? Mozilla hatte es versäumt, ein Zertifikat rechtzeitig zu erneuern, dass für die Signaturprüfung der Firefox-Erweiterungen zuständig war. Ohne gültiges Zertifikat konnte keine Signaturprüfung stattfinden und somit wurde der Großteil der mehr als 15.000 Firefox-Add-ons mit einem Schlag ungültig. Jetzt veröffentlichte der Browser-Hersteller sowohl eine Entschuldigung als auch eine technische Erläuterung der Zusammenhänge.
Zur Sicherheit signiert
Die digitale Signaturpflicht für Erweiterungen, die auf Mozillas offizieller Add-ons-Webseite AMO angeboten werden, wurde bereits 2015 eingeführt, um die Anwender vor bösartigen Add-ons zu schützen. Die Art und Weise, wie die Add-On-Signatur funktioniert, ist, dass Firefox mit einem vorinstallierten Root-Zertifikat konfiguriert ist. Das Original-Zertifikat wird von Mozilla offline in einem Hardware-Sicherheitsmodul (HSM) gespeichert.
Verschachtelte Zertifikate
Alle paar Jahre wird damit ein neues Zwischenzertifikat (intermediate certificate) unterzeichnet, das online gehalten und im Rahmen des Signaturprozesses verwendet wird. Wenn ein Add-on zur Signatur vorgelegt wird, generiert Mozilla ein neues temporäres Entitätszertifikat und signiert dieses mit dem Zwischenzertifikat. Das Entity-Zertifikat wird dann verwendet, um das Add-on selbst zu signieren.
Zu spät bemerkt
Das Problem entstand durch das am 4. Mai unbemerkt abgelaufene Zwischenzertifikat. Mozilla überprüft seine Add-ons alle 24 Stunden, wobei der Zeitpunkt der Überprüfung durch verschiedene Zeitzonen für jeden Benutzer unterschiedlich ist. Das Ergebnis war, dass einige Nutzer sofort Probleme hatten, andere erst viel später. Mozilla wurde also erst durch die Meldungen verunsicherter Anwender auf das Problem aufmerksam.
Für fast alle Anwender behoben
Daraufhin wurde ein Lösungskonzept erarbeitet, das vorsah, ein neues gültiges Zertifikat zu erstellen und schnellstmöglich an alle Nutzer auszuliefern. Dies wurde als Workaround innerhalb von 12 Stunden umgesetzt und ausgeliefert und behob das Problem für die meisten Anwender, aber nicht für alle. Mit Firefox 66.0.4 und 66.0.5 sind aber nun fast alle Anwender wieder in der Lage, ihre Erweiterungen zu nutzen.
In einer Nachlese will Mozilla in der nächsten Woche klären, wie solche groben Fehler künftig vermieden werden können und wie sie, falls sie doch auftreten, schneller zu beheben sind.
