Anwendungen
Portal
Forum
Wiki
Ikhaya
Planet
Mehr
Anmelden

22. August 2015

Bananian 15.08 veröffentlicht

Permalink canox.net

Heute wurde die neue Bananian Version 15.08 veröffentlicht. Die Version basiert auf Debian 8 „Jessie“. Bananian 15.04, welches auf Debian 7 „Wheezy“ basiert, wird weiterhin zum Download angeboten.

Hier die Release Notes:
– 0000151: [Hardware] LCD support is broken with mainline U-Boot 2015.07
– 0000149: [Kernel] prepare for mainline Kernel 4.x
– 0000135: [Userland] add 15.08 release to bananian-update
– 0000146: [General] Keep SysVinit instead of systemd
– 0000127: [General] RFE: rebase Bananian to Debian 8
– 0000106: [Kernel] patch Realtek driver for 8192cu / 8188cu devices
– 0000118: [Userland] package swconfig as a .deb file
– 0000145: [Network] Improve SSH host key generation
– 0000138: [General] create repository for jessie
– 0000144: [Security] Adjust the SSH configuration for Debian Jessie
– 0000143: [General] expanding the filesystem does not work on Debian 8
– 0000133: [Kernel] enable CONFIG_BLK_DEV_THROTTLING in the kernel
– 0000141: [Userland] Lost colors and command prompt in zsh shell
– 0000142: [Kernel] Update Linux Kernel to 3.4.108
– 0000136: [Userland] error handling in “soctemp”

Folgende Einplatinencomputer werden unterstützt:

  • Banana Pi M1
  • Banana Pro
  • Banana Pi M1+
  • BPi-R1
  • A20-OLinuXIno-LIME2 (Beta)
  • Orange Pi (Beta)

Der Banana Pi M2 wird nicht unterstützt.

Download:

Bananian 15.08 (basiert auf Debian 8 „Jessie“)

Bananian 15.04 (basiert auf Debian 7 „Wheezy“)

Kaufen:

Banana Pi M1 bei Amazon kaufen

Banana Pro bei Amazon kaufen

BPi-R1 bei Amazon kaufen

Quelle: bananian.org/news, bananian.org/hardware,

LAN – statische IP für den Pi

Permalink Intux

raspberry

Will man dem über LAN angeschlossenen Raspberry Pi eine statische IP-Adresse zuweisen so geht man folgendermaßen vor.

sudo nano /etc/network/interfaces

auto lo

iface lo inet loopback
iface eth0 inet static
address 192.168.1.60
netmask 255.255.255.0
gateway 192.168.1.1

Dabei muss man natürlich die Adresse an das eigene Netzwerk anpassen.

Die Datei wird nun mit Ctrl + o und Enter gespeichert und mit Ctrl + x wird der Editor verlassen. Nun das Netzwerk neu starten und rebooten.

sudo /etc/init.d/networking restart

sudo reboot

Hinweis:

WLAN wird hierbei nicht berücksichtigt!

21. August 2015

Mozilla kündigt große Änderungen für Entwickler von Firefox Add-ons an

Permalink Sören Hentzschel

Mozilla hat heute eine Reihe von Ankündigungen gemacht, welche die Zukunft der Entwicklung von Add-ons für Firefox betreffen. Dabei geht es neben der Signierung von Add-ons und der kommenden Multiprozessarchitektur (Electrolysis, kurz: e10s) auch um die Einführung der sogenannten WebExtensions, welche größtenteils API-kompatibel mit Chrome, Opera und in der Zukunft ggfs. auch Edge ist, sowie um die Deprecation von XUL, XBL und XPCOM.

Auf die Entwickler von Add-ons für Firefox kommt eine Reihe von wichtigen Änderungen zu, die Mozilla frühzeitig kommuniziert, so dass Entwickler rechtzeitig über Mozillas Pläne informiert sind. Diese Änderungen seien notwendig, um Technologien wie die Multiprozessarchitektur Electrolysis (auch bekannt als e10s) oder Mozillas kommende Browserengine Servo zu unterstützen, die Nutzer besser vor Spyware und Aware zu schützen und außerdem die Zeit zu reduzieren, die es für die Reviews von Add-ons benötigt.

Neue Schnittstelle für browserübergreifend kompatible Add-ons

Die Entwicklung von Add-ons sollte nach Ansicht von Mozilla vergleichbar mit der Entwicklung von Webseiten sein: der selbe Code soll in verschiedenen Browsern funktionieren. Mit den sogenannten WebExtensions führt Mozilla eine neue Schnittstelle für Add-ons ein, welche größtenteils kompatibel mit Chrome und Opera ist – möglicherweise in der Zukunft sogar mit Microsoft Edge, wie Mozilla andeutet. Mozilla hat bereits Diskussionen mit anderen Browserherstellern gestartet, um zumindest einen Teil der Schnittstelle zu standardisieren und somit die browserübergreifende Kompatibilität auch langfristig zu gewährleisten. Dies bedeutet für Entwickler, die Add-ons für verschiedene Browser entwickeln, dass nur minimale Anpassungen notwendig sind und nicht für jeden Browser eine grundlegend unterschiedliche Erweiterung programmiert werden muss. Ein weiterer Vorteil der WebExtensions ist, dass diese die Multiprozessarchitektur der Browser direkt unterstützen. Eine erste Unterstützung für WebExtensions wird ab Firefox 42 verfügbar sein.

Multiprozessarchitektur („Electrolysis“ / „e10s“)

Die geplante Multiprozessarchitektur für Firefox macht große Fortschritte und wird bekanntermaßen große Auswirkungen auf die Kompatibilität von Add-ons haben, insbesondere von Add-ons, welche mit dem Inhalt von Webseiten interagieren.

Die neuen WebExtensions sind wie bereits erwähnt vollständig kompatibel mit e10s. Add-ons, die auf dem Add-on SDK basieren, auch bekannt als Jetpack, sind kompatibel, solange sie nicht require(‘chrome’) oder manche Low-Level-APIs nutzen, die Objekte im Content-Prozess berühren. Dann gibt es noch sogenannte Kompatibilitäts-Shims in Firefox, die dafür sorgen, dass Add-ons oder Teile von Add-ons auch in e10s funktionieren, obwohl sie noch nicht für e10s angepasst worden sind – dies allerdings zum Preis einer spürbar schlechteren Performance.

Einen verbindlichen Zeitplan für die Auslieferung von e10s in einer finalen Version von Firefox gibt es noch nicht. Fest steht, dass e10s in der Nightly Version sowie Developer Edition bereits standardmäßg aktiviert ist. Am 22. September wird Firefox 42 die Betaphase erreichen und e10s den Nutzern per Opt-In zur Aktivierung angeboten werden. Die am 3. November erscheinende Betaversion von Firefox 43 wird die früheste Betaversion sein, in welcher e10s standardmäßig aktiviert sein wird. Sobald dies der Fall ist, wird Mozilla damit beginnen, Add-ons zu blockieren, die nicht kompatibel mit e10s sind und Performance- und/oder Stabilitätsprobleme verursachen. Am 15. Dezember erscheint dann die finale Version von Firefox 43 und damit die frühestmögliche Version, in welcher e10s aktiviert sein wird. Im Zeitraum von zwischen sechs und zwölf Monaten nach der standardmäßigen Aktivierung von e10s in der finalen Version von Firefox wird Mozilla die Kompatibilitäts-Shims entfernen, womit Add-ons inkompatibel werden, die hiervon Gebrauch machen.

Entwickler von Add-ons sollten sich also so langsam mit der möglicherweise notwendigen Anpassung ihrer Add-ons befassen, falls nicht schon geschehen, und ggfs. das Kompatibilitäts-Flag setzen. Eine Alternative dazu ist natürlich die Portierung zu einer WebExtension. Add-ons können bereits in der Nightly Version sowie Developer Edition mit aktivierter Multiprozessarchitektur getestet werden. Außerdem ist jeder eingeladen, auf der Webseite arewee10syet.com die Liste der Add-ons durchzugehen und die Kompatibilität der Add-os zu testen.

Signierung von Add-ons

An den Plänen zur Signierung von Add-ons hat sich nichts geändert. Add-ons müssen in Zukunft von Mozilla signiert sein, damit sie in Firefox installiert werden können. Damit sollen Nutzer besser vor schädlichen Add-ons und Add-ons, die Dinge gegen den ausdrücklichen Willen des Nutzers machen, geschützt werden. Bislang konnte Mozilla immer nur im Nachhinein reagieren und Add-ons blockieren, nachdem sie bereits Schaden angerichtet haben.

Seit Version 40 warnt Firefox bei nicht signierten Add-ons, ab Version 41 werden diese standardmäßig deaktiviert werden, können aber per Änderung in about:config wieder zum Laufen gebracht werden, ab Firefox 42 ist die Signaturpflicht in der finalen Version und in der Beta unumgänglich. In der Nightly-Version sowie Developer Edition wird die Signaturpflicht auch weiterhin deaktivierbar bleiben. Außerdem wird Mozilla spezielle Beta- und Finalbuilds ohne offizielles Firefox-Branding bereitstellen, welche ebenfalls eine Deaktivierung der Signaturpflicht erlauben.

Schnellere Reviews von Add-ons

Bis Add-ons ein Review von Mozilla erhalten, können schon mal Wochen vergehen – was ohne Frage zu lange ist. Auch hier spielen die neuen WebExtensions einen Vorteil aus, denn diese können wesentlich schneller von Mozilla kontrolliert werden. Ziel sind maximal fünf Tage für ein neues Add-on und maximal zwei Tage für ein Update.

Mozilla wird außerdem das Team der freiwilligen und bezahlten Reviewer aufstocken und weitere Verbesserungen am automatischen Validator vornehmen, um die Wartezeiten zu verkürzen.

Deprecation von XUL, XBL und XPCOM

Eine weitere sehr große Veränderung betrifft die XUL- und XPCOM-basierten Erweiterungen. Dass Mozilla von XUL und XBL abweichen möchte, ist nicht neu. Auch kann Firefox nicht Mozillas kommende Engine Servo nutzen, solange XUL unterstützt wird. Die enge Verzahnung von Browser und XUL-Erweiterungen bereitet außerdem Probleme für die Entwicklung, die in der Ankündigung näher benannt werden.

Für die Deprecation von XUL, XBL und XPCOM gibt es noch keinen genauen Zeitplan, vermutlich wird dies aber innerhalb der nächsten zwölf bis 18 Monate passieren. Ab dann muss man sich darauf einstellen, dass Add-ons, welche Gebrauch von diesen Technologien machen, irgendwann nicht länger funktionieren werden.

Mozilla ist sich dessen bewusst, dass die SDK basierten Add-ons und auch die WebExtensions Stand heute nicht alles leisten können, was XUL-basierte Add-ons leisten können. Basierend auf dem Feedback der Entwickler möchte Mozilla die WebExtensions-API im Laufe des kommenden Jahres aber entsprechend erweitern, um so viel wie möglich zu unterstützen, was von den populären Erweiterungen benötigt wird.

Systemd-Timer als Cron-Alternative

Permalink Michael Koflers Blog

Systemd kann sich aber ähnlich wie Cron auch um die regelmäßige Ausführung von Prozessen kümmern. Die meisten Distributionen machen von dieser Funktion noch recht sparsam Gebrauch. Insofern ist Systemd momentan eher als Ergänzung zu Cron zu sehen.

systemctl list-timers

Die zeitgesteuerte Ausführung von Programmen wird in Systemd durch Timer-Unit-Dateien gesteuert, also durch Dateien mit der Endung .timer. Einen Überblick über aktive Timer gibt systemctl, wobei die folgende, unter Fedora 23 Alpha entstandene Ausgabe aus Platzgründe gekürzt dargestellt ist.

systemctl list-timers
  NEXT             LEFT         LAST              UNIT                        
  2015-08-20 09:33 18min left   2015-08-19 09:33  systemd-tmpfiles.timer
  2015-08-20 09:42 26min left   2015-08-20 08:42  dnf-makecache.timer         
  2015-08-20 11:19 2h 3min left 2015-08-19 11:15  dnf-automatic.timer         
  2015-08-21 00:00 14h left     2015-08-20 00:00  mlocate-updatedb.timer      
  2015-08-21 00:00 14h left     2015-08-20 00:00  unbound-anchor.timer        

.timer-Syntax

Die .timer-Dateien liegen in einem leicht verständlichem Textformat vor. Die folgenden Zeilen zeigen die Datei dnf-automatic.timer, die für den täglichen Start des Scripts dnf-automatic verantwortlich ist. Dieses Script aus dem gleichnamigen Paket aktualisiert die Paketdatenbank und installiert bei entsprechender Konfiguration alle verfügbaren Updates (siehe hier).

# Datei /usr/lib/systemd/system/dnf-automatic.timer
[Unit]
Description=dnf-automatic timer

[Timer]
OnBootSec=1h
OnUnitInactiveSec=1d

[Install]
WantedBy=basic.target

OnBootSec=1h bewirkt, dass das Prozess eine Stunde nach einem Neustart des Rechners erstmalig ausgeführt wird. OnUnitInactiveSec=1d bedeutet, dass der Dienst 24 Stunden nach dem Ende des letzten Ablaufs wieder gestartet werden soll. Wenn die Zeitangabe ohne Einheit erfolgt, sind Sekunden gemeint. Die Syntax der Zeitangaben ist in man systemd.time dokumentiert. Zulässig ist z.B. 2h 15min oder 2weeks oder 4months.

Anstelle dieser etwas vagen Vorgaben können Sie die Zeitangaben im [Timer]-Abschnitt auch absolut vornehmen. Die folgenden Einstellungen bewirken, dass die Aufgabe jeden Tag um 8:15 erledigt wird. Persistent=true bewirkt, das versäumte Jobs beim nächsten Rechnerstart
sofort nachgeholt werden.

# in einer .timer-Datei
[Timer]
OnCalendar=8:15
Persistent=true     

Für absolute Zeitangaben sieht Systemd eine komplexe Syntax vor, die in man systemd.time im Abschnitt Calendar Events ausführlich dokumentiert ist. So bewirkt OnCalendar=Sun 2016-*-* 17:15 beispielsweise, dass ein Job an jedem Sonntag des Jahrs 2016 um 17:15 ausgeführt wird.

Systemd versucht eingerichtete Timer-Jobs standardmäßig in einem Zeitfenster von einer Minute nach der vorgesehenen Zeit auszuführen. Wenn Sie möchten, dass sich Systemd exakter an Ihre Vorgaben hält, geben Sie im [Timer]-Abschnitt mit AccuracySec eine kleinere Zeitspanne an, z.B. von 1s (eine Sekunde) bis hin zu 1us (theoretisch eine millionstel Sekunde, ganz so exakt wird der Start in der Praxis aber nicht immer gelingen).

.service-Dateien

Jeder name.timer-Datei muss eine entsprechende name.service-Datei gegenüberstehen, die Details zum auszuführenden Prozess enthält. Für das obige dnf-automatic-Beispiel sieht die .service-Datei wie folgt aus:

# Datei /usr/lib/systemd/system/dnf-automatic.service
[Unit]
Description=dnf automatic

[Service]
Type=oneshot
Nice=19
IOSchedulingClass=2
IOSchedulingPriority=7
Environment="ABRT_IGNORE_PYTHON=1"
ExecStart=/usr/bin/dnf-automatic /etc/dnf/automatic.conf --timer

Start/Stopp

Neu eingerichtete Timer müssen wie üblich durch systemctl start erstmalig gestartet und durch systemctl enable dauerhaft (also über den nächsten Neustart hinweg) aktiviert werden. Analog beenden Sie den Aufruf durch systemctl stop und systemctl disable. Damit Änderungen in bereits aktiven Timern wirksam werden, führen Sie am einfachsten das folgende Kommando aus:

systemctl reenable --now name.timer

Nach dem Einrichten neuer Timer-Jobs sollten Sie sich immer mit systemctl list-timers vergewissern, dass Systemd Ihre .timer-Angaben korrekt interpretiert hat.

Beispiel

Das folgende Beispiel zeigt, wie Sie mit Systemd ein simples Script zur Überprüfung der Netzwerkverbindung alle 10 Minuten ausführen. Das Script ping-kofler testet durch ein dreimaliges ping, ob und wie schnell der Server kofler.info auf Netzwerkanfragen reagiert. Die gerade aktuelle Zeit und die ping-Ausgaben werden in /var/log/ping-kofler.log protokolliert. &>> bewirkt, dass sowohl die Standardausgabe als auch allfällige Fehler an eine vorhandene Datei hinzugefügt werden. Dieser Operator setzt die bash-Version 4 voraus. Vergessen Sie nicht, das Script mit chmod a+x ausführbar zu machen.

#!/bin/bash
# Datei /usr/local/bin/ping-kofler
date &>> /var/log/ping-kofler.log
ping -c 3 kofler.info &>> /var/log/ping-kofler.log

Für den Aufruf des Scripts ist die folgende .service-Datei zuständig:

# Datei /etc/systemd/system/ping-kofler.service
[Unit]
Description=simpler ping-Test

[Service]
ExecStart=/usr/local/bin/ping-kofler

Die Einstellungen für den automatischen Start befinden sich in dieser .timer-Datei. Das Script soll 30 Sekunden nach systemctl start erstmalig ausgeführt werden, in der Folge alle 10 Minuten. Der [Install]-Abschnitt ist erforderlich, damit der Timer mit systemctl enable dauerhaft aktiviert werden kann.

[Unit]
Description=ping-kofler timer

[Timer]
OnActiveSec=30s
OnUnitActiveSec=10m

[Install]
WantedBy=basic.target

Um die Script-Ausführung zu starten und dauerhaft einzurichten, führen Sie systemctl enable mit der Option --now aus — dann ist start gleich inkludiert:

systemctl enable --now ping-kofler.timer

Für und wider

Das Beispiel macht sofort klar, dass das Einrichten eines Systemd-Timers mit wesentlich mehr Aufwand verbunden ist als die eine crontab-Zeile, die für die periodische Cron-Ausführung erforderlich wäre.

Die Vorteile von Systemd bestehen darin, dass Systemd-Jobs exakter gesteuert werden können (eigenes Environment, siehe man systemd.exec, cgroups-Regeln etc.) und ihr Aufruf im Systemd-Journal protokolliert wird.

Es gibt aber auch Nachteile: So wird bei einem Fehler nicht automatisch eine E-Mail versendet. Außerdem gibt es keine zufällige Verzögerung (RANDOM_DELAY in anacrontab), um die gleichzeitige Ausführung vieler Jobs zu vermeiden.

Quellen

https://wiki.archlinux.org/index.php/Systemd/Timers
http://www.freedesktop.org/software/systemd/man/systemd.timer.html
http://www.freedesktop.org/software/systemd/man/systemd.time.html
http://blog.higgsboson.tk/2013/06/09/use-systemd-as-a-cron-replacement

OwnCloud-Client für Ubuntu 14.04 LTS

Permalink Intux

owncloud

Den aktuellen ownCloud-Client für Ubuntu 14.04 LTS  installiert man wie folgt:

sudo sh -c "echo 'deb http://download.opensuse.org/repositories/isv:/ownCloud:/desktop/Ubuntu_14.04/ /' >> /etc/apt/sources.list.d/owncloud-client.list"
sudo apt-get update
sudo apt-get install owncloud-client

wget http://download.opensuse.org/repositories/isv:ownCloud:desktop/Ubuntu_14.04/Release.key
sudo apt-key add - < Release.key

Viel Spaß!

20. August 2015

Kommentar: Über die Ähnlichkeit von Bechmarks und Glaskugeln

Permalink (Mer)Curius

Linux bietet bei der Verschlüsselung mehrere Verschlüsselungsmöglichkeiten an. LUKS/dm-crypt und eCryptFS sind die beiden am meisten verbreiteten Varianten. Mal abgesehen von den unterschiedlichen Konzeptionen der beiden Verschlüsselungsmöglichkeiten sind die Belastungen des Systems bzw. die Einschränkungen der Geschwindigkeit für die meisten Anwender am interessantesten.

Wenn man das Problem in einer Suchmaschine der eigenen Präferenz eingibt, stößt man auf einige Bechmarks, die sich mit dem Problem auseinander gesetzt haben. Oftmals beziehen diese noch EncFS ein.

Zusammenfassend kann man sagen, dass die meisten Bechmarks zwar Unterschiede feststellen, diese aber meistens nicht nennenswert sind. Lediglich EncFS ist klar abgeschlagen, aber das kam für eine Systemverschlüsselung nie ernsthaft infrage.

Basierend auf diesen Ergebnissen erschien vor allem bei Mehrbenutzersystemen der Griff zu eCryptFS naheliegend. Zwar lassen sich auch bei LUKS mehrere Schlüssel für die Anmeldung hinterlegen, aber die einzelnen Benutzerkonten sind dann noch nicht gegeneinander abgeschirmt.

Die Erfahrung auf einem realen System waren dann ernüchternd. Dieses ist mit einer herkömmlichen HDD ausgestattet, die zugegebenermaßen nicht zu den schnellsten Modellen gehört. Insbesondere bei vielen kleinen Dateien ist eCryptFS fühlbar langsamer. Da die Einstellungender Programme bei Linux-Distributionen in vielen kleinen Dateien im Homeverzeichnis des Benutzers ist das ein durchaus reales Problem. Zugegebenermaßen ist dieser Unterschied auf meinem Subnotebook mit einer so genannten SSHD nicht in dem Maße bemerkbar, aber herkömmlichen HDD mit 5400 rpm sollten in Deutschland noch recht verbreitet sein.

Bechmarks bringen einem also kaum etwas für die Entscheidung, letztlich muss man es auf einem realen System ausprobieren.

Mozilla schaltet FTP-Zugriff auf Downloadverzeichnis ab

Permalink Sören Hentzschel

Neue, aber auch alte Versionen von Firefox und anderen Mozilla-Produkten konnten bislang per FTP heruntergeladen werden. Als Teil der geplanten Migration in die Amazon-Cloud wurde nun der FTP-Zugriff auf das Downloadverzeichnis abgeschaltet.

Neue Versionen von Firefox sollte man sich grundsätzlich immer über die offizielle Webseite herunterladen. Manchmal möchte man aber zu Testzwecken eine ältere Version herunterladen, Ungeduldige suchen sich über das FTP-Verzeichnis vor der offiziellen Freigabe und Veröffentlichung einer neuen Version die Downloads. Dies geschieht in der Regel über ftp.mozilla.org. Der FTP-Zugriff (ftp://ftp.mozilla.org) darauf ist seit Anfang August nicht länger möglich und liefert nur noch den Status „550 Permission denied“ zurück. Weiterhin möglich ist der Zugriff im Browser über https:// respektive http://.

Damit ist die Eingabe von „ftp.mozilla.org“ in die Adressleiste nicht länger ausreichend, da diese standardmäßig auf das FTP-Protokoll auflöst. Es müsste stattdessen explizit „https://ftp.mozilla.org“ oder „http://ftp.mozilla.org“ in die Adressleiste eingegeben werden. Auch wenn diese URL weiterhin funktioniert, sollten Nutzer, die im Browser auf das Verzeichnis zugreifen, in Zukunft stattdessen den Link https://archive.mozilla.org verwenden.

Ende August wird Mozilla damit beginnen, die Inhalte von ftp.mozilla.org aus den eigenen Datenzentren nach AWS/S3 (Amazon Web Services Simple Storage Service) zu migrieren. Abgeschlossen soll die Migration Ende Oktober sein.

Weitere Informationen
Mozilla IT & Operations: Product Delivery Migration: What is changing, when it’s changing and the impacts

Es muss nicht immer Google sein…

Permalink Kaffeeringe

In wenigen Länder wird so häufig per Google gesucht wie in Deutschland. Dabei gibt es mindestens eine gute Alternative, wenn man  keine Lust auf Protokollierung und Filterblasen hat. Seit einigen Monaten habe ich meine Standardsuchmaschine auf DuckDuckGo umgestellt und fühle mich da immer wohler.

Ich habe festgestellt, dass ich für die meisten meiner Suchanfragen im Prinzip die Antwort schon kenne — ich weiß nur die genaue Adresse nicht: Zum Beispiel, wenn die die Homepage einer Organisation suche oder eine Antwort, die sehr wahrscheinlich bei der Wikipedia zu finden ist. All da kann die Suchmaschine DuckDuckGo mindestens genauso gut.

Als ich DuckDuckGo vor ein paar Jahren ausprobiert habe, funktionierten die Ergebnisse für Deutschland noch nicht so gut. Inzwischen stehen sie gerade bei dieser Art Suchanfragen Google in nichts nach.

Vielmehr hat DuckDuckGo inzwischen einige ziemlich coole Features eingebaut. Ähnlich wie Google zeigt DuckDuckGo für viele Anfragen direkte Antworten an: Wikipedia, Wetter, Bilder, Videos, Rezepte…

Darüber hinaus habe ich mich sehr daran gewöhnt, dass DuckDuckGo einige Kürzel sogenannte „Bangs“ unterstützt, mit denen man direkt ein Suchergebnis auf einer bestimmten Seite bekommt: Suche ich zum Beispiel nach „!w Kiel“ werde ich automatisch auf die Wikipedia weitergeleitet. Mit „!osm Kiel“ komme ich direkt in die OpenStreetMap. Von diesen Abkürzungen gibt es tausende. Die muss man sich nicht alle merken, aber wer häufig auf bestimmten Seiten sucht, kann sich seine Handvoll „Bangs“ merken.

Und das Schönste ist: DuckDuckGo sammelt keine Daten von den Benutzern. Das Motto des Unternehmens lautet „Die Suchmaschine, die Sie nicht verfolgt.“

Technisch verfügt DuckDuckGo über einen eigenen WebCrawler, greift aber auch auf die Suchergebnisse der Konkurrenz von Bing und Yahoo zu.

Zugegeben: Ab und zu wechsel ich doch mal zu Google, wenn ich bei DuckDuckGo etwas nicht finde. Das passiert aber relativ selten. Dann geht es meistens um irgendwelche schrägen technischen Probleme, für die Google dann doch noch ein paar Foren mehr indexiert hat.

DuckDuckGo im Firefox

DuckDuckGo ist als Suchmaschine im Firefox schon eingerichtet. Es ist nur nicht die Standardsuchmaschine. Dazu musst Du nur in der Suchbox im Browser auf die Lupe klicken und „Sucheinstellungen ändern“ — dort kannst Du über ein Dropdown DuckDuckGo als Standard auswählen. Um DuckDuckGo als Startseite einzurichten, zieh einfach diesen Link auf das Häuschen-Symbol im Firefox.

DuckDuckGo im Chrome/Chromium/Iron

Um DuckDuckGo im Chrome einzurichten, musst Du nur auf duckduckgo.com gehen. Dort hast Du unten so einen Hinweis „DuckDuckGo als Ihre Standardsuchmaschine festlegen“ — das klickst Du einfach an und folgst den Anweisungen.

DuckDuckGo als Android-App

Im mobilen Firefox und Chrome kann man die Suchmaschine genauso umstellen. Du kannst Dir aber auch die Android-App installieren. Die hat zum Beispiel ein Widget, mit dem Du die Suche immer schnell zur Hand hast. Und die App hat noch eine nette News-Funktion, über die man eine Vielzahl News– und Unterhaltungsseiten abonnieren kann.

Ein besonderes Feature für besonders Datenschutz-Bewusste ist die Verknüpfung zum TOR-Netzwerk. DuckDuckGo funktioniert auch als Hidden-Service im Anonymisierungsnetzwerk TOR. Und die App arbeitet zusammen mit der Orbot-App, die die Verbindung zu TOR herstellt.

Fazit

Nach ein paar Monaten Erfahrung kann ich sagen, dass ich gegenüber Google wenig vermisse. Stattdessen kann ich mir sicher sein, dass meine Suchanfragen nicht bis zum Sankt-Nimmerleinstag gespeichert werden. Probiers doch einfach mal aus…

Ardour 4

Permalink Invictus deus ex machina

Seit einigen Jahren nutze ich für komplexere Audioprojekte Ardour. Dabei handelt es sich um eine Software zum Arrangement und zur digitalen Bearbeitung von Audio. Bis Version 3 benötigte man neben Ardour immer JACK (JACK Audio Connection Kit) — was die Einrichtung unter Mac OS X für Einsteiger verkomplizierte.

Ardour 4 unter Mac OS X

Ardour 4 unter Mac OS X

Mit der neuen 4er Version können nun auch andere Backends wie z.B. CoreAudio unter Mac OS X genutzt werden, so das man nun unter Mac OS X ebenfalls über eine mächtige, einfach zu installierende Audiobearbeitungslösung verfügt. Ardour ist unter der GPL lizenziert und damit freie Software. Eine Besonderheit gibt es beim Bezug der kompilierten Version — während diese bei Linux einfach über den Paketmanager installiert werden können, muss für das Kompilat der Mac OS X Version mindestens $ 1 investiert werden.

Ubuntu/Linux Mint: Sophos Antivirus installieren

Permalink canox.net

Unter Linux benötigt man eigentlich keinen Virenschutz. Wer aber seine Windows-Partition oder einen USB-Stick auf Viren scannen möchte der kann dies mit dem kostenlosen Sophos Antivirus für Linux tun.

Ladet euch auf der Webseite von Sophos den Linux-Antivirus-Scanner herunter. Um den Linux-Antivirus-Scanner herunterladen zu können müsst ihr euren Download registrieren. Klickt dazu auf Erste Schritte.

Öffnet, nach dem es runtergeladen wurde, mit Strg + Alt + T einen Terminal.

cd Downloads
tar -vxzf sav-linux-free-9.tgz
cd sophos-av
sudo ./install

Die Lizenz könnt ihr mit der S-Taste durchgehen. Bestätigt dann mit der Y-Taste. Alle weitere Abfragen müsst ihr selber entscheiden.

sudo /opt/sophos-av/bin/savdstatus
sudo /opt/sophos-av/bin/savdctl enableOnBoot savd

Um zu testen ob Sophos Antivirus tut was es tun soll könnt ihr folgende Datei herunterladen

wget http://www.eicar.org/download/eicar.com

Nun sollte eine Meldung von Sophos Anti-Virus erscheinen.

sophos-av

Weiterführende Links:

Sophos Anti-Virus für Linux Konfigurationsanleitung

Sophos Anti-Virus für Linux Startupanleitung

19. August 2015

Automatische Paket-Updates mit DNF unter Fedora

Permalink Michael Koflers Blog

Unter Fedora ist seit Version 22 das neue Paketverwaltungssystem DNF aktiv. Es ersetzt YUM, basiert aber wie dieses auf RPM-Paketen und ist in der Bedienung weitestgehend kompatibel. Unterschiede gibt es aber, wenn Sie automatisch tägliche Updates durchführen möchten.

Dazu installieren Sie zuerst das Paket dnf-automatic:

dnf install dnf-automatic

Die dazugehörende Konfigurationsdatei ist /etc/dnf/automatic.conf. Dort müssen Sie apply_updates auf yes stellen. Wenn Sie möchten, können Sie auch diverse email-Parameter einstellen. Diese steuern, wer nach jedem Update automatisch eine E-Mail erhält.

# Datei /etc/dnf/automatic.conf
...
apply_updates = yes

Ein interessantes Detail von dnf-automatic besteht darin, dass sich nicht Cron um den regelmäßigen Aufruf des Update-Scripts kümmert, sondern Systemd. Zur Aktivierung des Updates sind die folgenden zwei Kommandos erforderlich:

systemctl enable dnf-automatic.timer
systemctl start dnf-automatic.timer

Wenn Sie wissen möchten, wann der nächste Aufruf von dnf-automatic ansteht, führen Sie systemctl list-timers aus:

systemctl list-timers '*dnf*'
  NEXT                       LEFT       LAST                       PASSED       
  Die 2015-08-18 10:18 CEST  24h ago    Mit 2015-08-19 11:15 CEST  2min 42s ago 
  Mit 2015-08-19 11:35 CEST  17min left Mit 2015-08-19 10:35 CEST  42min ago    

Der Internet-Traum stirbt

Permalink Kaffeeringe

Manchmal fallen die Teilchen im Leben zusammen, wie in einem Puzzle: Am Sonntag ärgere ich mich über die halbgare Diskussion im Presseclub, am Montag lese ich die Rede der US-amerikanischen Anwältin Jennifer Granick auf der Black Hat 2015. Sie bringt auf den Punkt, was mir in meinem Blogpost nicht so ganz gelungen ist: In 20 Jahren könnte das Internet vom Medium der Befreiung zum Medium der Unterdrückung geworden sein. Und das Problem ist nicht allein Google.

Das Problem ist nicht Google. Google ist ein Teil davon — vielleicht nur ein Symptom, aber das Problem ist größer. Und wenn wir nicht radikal etwas ändern, sieht die Zukunft düster aus. Ich teile nicht alles, was Jennifer Granick gesagt hat. Einiges finde ich sogar widersprüchlich, aber sie führt die richtige Diskussion. Der Presseclub hat über den Baum diskutiert und nur hin und wieder darauf hingewiesen, dass es den Wald gibt und dass der das Problem ist.

Bei allem, was Jennifer Granick über Redefreiheit, Urheberrecht, Hacken und Basteln sagt, gehe ich davon aus, dass sie nichts dagegen haben wird, wenn ich ihre Rede übersetze. Ich glaube, diesen Text sollten alle gelesen haben — die Fremdsprache darf dabei keine Hürde sein:

„Vor 20 Jahren habe ich meine erste Def Con besucht. Ich glaubte an das freie, offene, verlässliche und interoperable Internet: Einen Ort an dem alle alles sagen können und an dem alle, die es hören wollen, zuhören und antworten können. Ich glaubte an die Hackerethik: Informationen sollten frei zugänglich sein und Computertechnologie würde die Welt verbessern. Ich wollte helfen, diesen Traum — den Traum von einem freien Internet — wahr werden zu lassen. Als Anwältin wollte ich Hacker und Programmierer vor rechtlichen Angriffen schützen, damit sie ihre wichtige Arbeit tun können. Viele der Menschen in diesem Raum haben ihr Leben dieser Arbeit gewidmet.

Aber heute stirbt der Traum der Freiheit des Internets.

Wie auch immer das passiert ist, aber wir haben Werte wie Sicherheit, Höflichkeit, Bedienungsfreundlichkeit und geistiges Eigentum über Freiheit und Offenheit gestellt. Das Internet ist weniger offen und stärker zentralisiert. Es ist stärker reguliert. Und es ist ist immer weniger global und immer mehr zerstückelt. Diese Trends: Zentralisierung, Regulierung und Globalisierung beschleunigen sich. Und sie werden die Zukunft unseres Kommunikationsnetzes sein, wenn sich nicht etwas dramatisch ändert.

In 20 Jahren…

  • …werden wir nicht mehr unbedingt wissen was unsere Kreditwürdigkeit, unsere Jobaussichten oder die Möglichkeit bestimmt, dass wir von einem Auto überfahren werden. Diese Dinge werden von datenverarbeitenden Computer-Algorithmen entschieden, die kein Mensch mehr wirklich verstehen wird.
  • …wird das Internet mehr wie Fernsehen und weniger wie das globale Gespräch sein, das wir uns vor 20 Jahren vorgestellt haben.
  • …wird das Internet existierende Machtverhältnisse zementieren, statt sie umzuwälzen — das gilt vor allem für den Bereich der Sicherheit.
  • …wird Internettechnologie Zensur unterstützen, statt sie zu umgehen.

Das muss alles nicht so kommen. Aber um einen anderen Weg einzuschlagen, müssen wir einige schwierige Fragen stellen und harte Entscheidungen fällen.

Was bedeutet es, wenn Unternehmen alles über uns wissen und Computer-Alogrithmen Fragen von Leben und Tod entscheiden. Müssen wir mehr Sorgen machen um einem neuen Terroranschlag in New York sorgen oder um die Möglichkeiten von Journalisten und Menschenrechtsaktivisten in aller Welt ihrer Arbeit nachzugehen? Wie viel Redefreiheit braucht eine freie Gesellschaft wirklich?

Wie können wir aufhören uns zu fürchten und beginnen, vernünftig über Risiken zu sprechen? Die Technologie hat sich in das Goldene Zeitalter der Überwachung verwandelt. Kann die Technologie nun eine neue Machtbalance zwischen Regierenden und Regierten herstellen, die uns vor sozialer und politischer Unterdrückung schützt? Wenn wir davon ausgehen, dass private Unternehmen über individuelle Rechte und Sicherheiten entscheiden, wie nutzen wir diese Erkenntnis, um die öffentlichen Interessen zu schützen? Wie sorgen wir dafür, dass Innovation so nicht unterdrückt wird? Wer ist verantwortlich für digitale Sicherheit? Wie sieht die Zukunft des Traums von der Freiheit des Internets aus?

Der Traum von der Freiheit des Internets

Für mich hat der Traum von der Freiheit des Internets 1984 mit Steven Levys Buch „Hackers: Heroes of the Computer Revolution“ (engl: „Hacker: Helden der Computer-Revolution“) begonnen. Levy erzählte die Geschichte der frühen Programmierer und Ingenieure, die daran glaubte, dass alle Informationen frei zugänglich sein sollten. Sie stellten sich vor, dass Computer den Menschen bei der Entscheidung helfen sollten, was richtig und was falsch ist. Diese neue Eigenverantwortung der Menschen hing vom Design-Prinzip der Dezentralisierung ab. Dezentralisierung war in die DNS des frühen Internets eingeschrieben: Schlaue Entpunkte, dumme Leitungen, die all die wunderbaren Ergüsse des menschlichen Geistes überall dorthin bringen sollten, wo sie gehört werden wollten.

Diese Idee, dass wir selbst für unsere eigenen intellektuellen Geschicke verantwortlich sind, hat mich damals wahnsinnig angezogen. 1986 habe ich mich am New College, einer Schule für Freie Kunst in Sarasota, Florida eingeschrieben. Dessen Motto ist es Jeder Schüler ist in letzter Instanz für seine oder ihre Ausbildung verantwortlich.“ Im gleichen Jahr habe ich das Hackermanifest gelesen — geschrieben von „The Mentor“ und veröffentlicht im Phrack Magazin. Ich erfuhr, dass Hacker Menschen wie meine nerdigen Mitstudierenden am New College waren, die das Wissen nicht eingetrichtert bekommen wollten wie Kleinkinder. Hacker wollten freien Zugang zu Information und sie misstrauten Autoritäten, sie wollten die Welt verändern — hin zu einer, die  die Menschen auf eigene Faust erkunden können.

1991 habe ich das erste mal das öffentliche Internet benutzt. Ich erinnere mich, dass ich in einem Chat einen Administrator um Hilfe bat. Und dann konnte ich sehen wie die Buchstaben, die er schrieb einer nach dem anderen auf meinem Bildschirm erschienen und es war plötzlich sonnenklar: Diese Technologie ermöglichte es mir mit jemanden — mit allen in Echtzeit zu kommunizieren. In diesem Moment begann ich wirklich daran zu glauben, dass der Traum von der Freiheit des Internets eines Tages wahr werden würde.

Vor 20 Jahren war ich Strafverteidigerin und ich erfuhr, dass Hacker für Tricks Ärger bekamen, die ich eigentlich ganz cool fand. Als Gefängnisanwältin beim Sheriffs Department in San Francisco habe ich einen Typen vertreten, dem 6 Monate Gefängnis dafür drohten, dass er eine Telefonzelle überlistet und dadurch kostenlos nach Hause telefoniert hat. Bei meinen Recherchen für diesen Fall fand ich heraus, dass es viele Gesetze gibt, mit denen Hacker in Konflikt geraten könnten und dass ich hier helfen könnte.

In jenem Jahr schrieb ein Typ namens Marty Rimm eine „Studie“, die besagte, dass Pornografie im Internet aus dem Ruder liefe. Ein juristisches Fachmagazin veröffentlichte die Arbeit und das Time Magazine bewarb sie. Mehr brauchte es nicht, um den Kongress in Aufruhr zu versetzen. In dieser Cyberporno-Hysterie verabschiedete der Kongress den „Communication Decency Act“ von 1996 (CDA) (etwa: „Gesetz über Anstand in der Kommunikation“) und versuchte damit Online-Pornografie zu regulieren.

Auch wenn es all die Porno-Liebhaber unter euch enttäuschen wird — das war nicht das Schlimmste am CDA. Um Pornografie zu stoppen, musste die Regierung eine Haltung zum Internet einnehmen, die nicht vollständig verfassungskonform war. Dadurch hätte die Regierung alle möglichen Inhalte sperren lassen können. Sie war der Meinung, das Internet sei keine Bibliothek, sondern wie Fernsehen — und Fernsehen war 1985 echt schlecht.

Schlimmer war das, weil wir uns viel mehr erhofft für das Internet erhofft hatten. Das Internet war der Ort wo alle veröffentlichen und Dinge schaffen können. Das Internet war weltumspannend. Und das Internet hatte alles in seinen Regalen. Der Kongress verschleuderte dieses Versprechen.

Zu jener Zeit schrieb John Perry Barlow, Texter der Band Grateful Dead, Landwirt und Gründer der Electronic Frontier Foundation einen Text der im Kern eine Ode an das Internet ist. Barlow schrieb:

„Regierungen der industriellen Welt, Ihr müden Giganten aus Fleisch und Stahl, ich komme aus dem Cyberspace, der neuen Heimat des Geistes. Im Namen der Zukunft bitte ich Euch, Vertreter einer vergangenen Zeit: Laßt uns in Ruhe! Ihr seid bei uns nicht willkommen. Wo wir uns versammeln, besitzt Ihr keine Macht mehr. “

Barlow reagierte damit auf den CDA und die Behauptung, dass das Internet weniger frei sein sollte als Bücher und Magazine. Aber er drückte damit auch sein Bedauern darüber aus, dass alles wie immer bleiben sollte. Er sprach von unserer gemeinsamen Hoffnung, dass das Internet unser Platz zum Lesen, zum Versammeln und unsere Gedanken außerhalb der Kontrolle der Regierung sein sollte.

Marty Rimm und der Communication Decency Act konnten die Freiheit des Internets nicht tot kriegen. Stattdessen gab es eine dieser Launen des Schicksals, die wir Rechtsgelehrten „Ironie“ nennen. 1997 kippte das Oberste Bundesgericht im Fall „ACLU gegen Reno“ den CDA. Es war der Auffassung, dass der erste Verfassungszusatz über die Redefreiheit auch auf das Internet voll anwendbar ist.

Was vom CDA übrig blieb war in etwa das Gegenteil dessen, was der Kongress im Sinn hatte, um Pornografie im Internet zu bekämpfen: Internet-Provider sind nicht verpflichtet ihre Netzwerke auf Pornografie oder andere unerwünschte Inhalte überwachen und sie können dafür auch keinen Ärger bekommen, wenn sie es nicht tun. Diese Vorschrift aus dem CDA ist die Grundlage dafür, dass es im Internet so viel „Nutzergenerierte Inhalte“ gibt: Seien es Videos, Kommentare, Beiträge in Sozialen Netzwerken — oder was auch immer.

Hackerethik, Hackermanifest, die Unabhängigkeitserklärung des Internets, ACLU gegen Reno und sogar die Reste des CDA beschreiben zusammen einen mehr oder minder radikalen Traum, aber einen an den viele, wenn nicht die meisnten hier im Saal glauben — für den sie arbeiten. Heute aber stehe ich hier vor euch, dass dieser Traum nicht wahr wird. Stattdessen sieht die Zukunft in 20 Jahren ein gutes Stück weniger traumhaft aus — es sieht so aus als würde es schlimmer.

Rassismus und Sexismus haben sich als so unverwüstlich herausgestellt, dass sie auch in der digitalen Welt blühen. Dafür gibt es viele, viele Beispiel. Ich habe dafür einige Statistiken und Anekdoten als Beleg.

Statistisch: Bei Google arbeiten zu 30 Prozent Frauen, aber nur 17 Prozent in den IT-Jobs. Bei Facebook sind es nur 15 Prozent Frauen in den IT-Jobs und bei Twitter 10 Prozent.

Anekdotisch: Schaut euch mal im Publikum um — wie durchweg männlich und weiß die Branche ist.

Das ist so seltsam. Die Sicherheitsbranche hat es in der Vergangenheit immer wieder erfolgreich geschafft, Talente bei unkonventionellen Kandidaten zu finden, zu fördern und zu belohnen. Viele erfolgreiche Sicherheits-Experten sind niemals auf einer Universität gewesen oder haben auch nur irgendeine Art Abschluss. Eine übergroße Anzahl von Euch haben Formen von Autismus. Schwul zu sein oder transgender ist kein großes Ding und das schon lange nicht mehr. Ein 15-jähriger Aaron Swartz verbrachte viel Zeit mit Doug Engelbart, dem Erfinder der Computer-Maus. Inklusion ist Kernbestandteil der Hackerethik.

Und Frauen und Menschen mit nicht-weißer Hautfarbe sollen natürlich Hacker sein können. Wir lernen schon früh, dass die bestehenden Regeln für uns nicht funktionieren und das für sie verändern müssen, um erfolgreich zu sein, auch wenn andere uns das nicht gönnen.

Unsere Gemeinschaft sollte vorangehen bei einer offenen Gesellschaft, die keine Rassen, Klassen, Alters– oder religiöse Unterschiede kennt. Aber sie tut es nicht. Wir sollten bewusst versuchen besser darin zu werden. Meiner Meinung nach sollten wir es uns zu Aufgabe machen, Talente zu fördern, egal wo wir sie finden.

Zurzeit sind unserer Möglichkeiten, Technologie zu verstehen, zu verändern und ihr zu vertrauen beschränkt einerseits durch das Recht und andererseits durch unserer Fähigkeiten komplexe Systeme zu verstehen. Wir wollen die Dinge buchstäblich begreifen. Doch diese Möglichkeit ist bedroht. „Die Freiheit zu Basteln“ mag nach Hobby klingen, aber sie ist extrem wichtig. Dahinter steckt unsere Möglichkeit die Technologie, die wir benutzen — die unser Leben strukturiert und bestimmt, zu studieren, zu verändern und letztlich zu verstehen.

Diese Möglichkeit stirbt aus zwei Gründen. Wir werden beschränkt durch das Recht und unser Vermögen komplexe Systeme zu durchschauen.

Zum Recht: Zwei Beispiele. Vor genau zehn Jahren hat das Team der Black Hat Konferenz die gesamte Nacht damit verbracht, Seiten aus dem Teilnehmerbuch zu schneiden und neue CDs in die Konferenzbeutel zu legen. Der Sicherheits-Experte Mike Lynn sollte einen Vortrag halten über eine neue Art Sicherheitslücke — genauer gesagt über Schwachstellen in Internetroutern. Cisco und Mike Lynns Arbeitgeber ISS entschieden in letzter Sekunde, zu versuchen die Sicherheitslücke geheim zu halten und sie wiesen Mike an, einen anderen Vortrag zu halten. Darüberhinaus drohten sie mit dem Urheberrecht und forderten die Black Hat auf, alle Kopien von Mikes Vortrag zu vernichten. Nichts schreit mehr nach Zensur als wenn Seiten aus Büchern geschnitten werden.

Auf der Bühne am nächsten Tag kündigte Mike seinen Job, setzte eine weiße Baseballmütze auf — buchstäblich ein „White Hat“ — und präsentierte unumwunden seine urspünglichen Erkenntnisse. Cisco und ISS rächten sich, indem sie ihn verklagten.

Ich war Mikes Anwältin. Wir schafften es, den Fall und die Ermittlungen gegen ihn abzuwehren. Aber die Botschaft, die von dieser Klage ausgibt war laut und deutlich — nicht nur für Mike. Das ist unsere Software, nicht eure. Das ist unser Router, nicht eurer. Ihr habt nur eine Nutzungslizenz und wir sagen euch mit den Nutzungsbedingungen, was ihr tun dürft. Ihr dürft es nicht dekomplilieren, ihr dürft es nicht erforschen und ihr dürft niemandem sagen, was ihr herausfindet.

Aaron Swartz war der nächste, der auf dem Altar der Netzkontrolle geopfert wurde. Aaron wurde Computerkriminalität nach dem „Computer Fraud and Abuse Act“ (CFAA) (etwa „Computerbetrugs– und missbrauchsgesetz“) vorgeworfen, weil er ein Skript geschrieben hatte, das automatisch akademische Artikel herunterlud. Viele der Informationen waren nicht einmal urheberrechtlich geschützt. Aber Aaron war ein Hacker und er forderte das System heraus. Sie schlugen blutig zurück. Sein Fall baute darauf auf, dass Aaron nicht befugt war, auf die Journalartikel zuzugreifen, obwohl er als Harvardstudent berechtigt war, genau diese Artikel herunterzuladen.

Aaron hat sich umgebracht, weil er unter immensen Druck gesetzt wurde, sich entweder schuldig zu bekennen, was seine politische Karriere beendet hätte, oder für Jahre ins Gefängnis zu gehen.

Auch hier war die Botschaft deutlich: Ihr braucht unsere Erlaubnis für das, was ihr tut. Wenn ihr die Linie überschreitet, wenn ihr Dinge automatisiert, wenn ihr zu schnell herunterladet, wenn ihr etwas merkwürdiges in die Adresszeile eingebt und uns das nicht gefällt, oder ihr uns nicht gefallt, dann kriegen wir euch.

Werden wir es in Zukunft wieder schaffen, die Freiheit Basteln zu können, sicher zu machen? Das würde bedeuten, dass der Kongress darauf verzichtet immer härter gegen Cybercrime vorzugehen — jedes Jahr neue Anträge Vergehen gegen den CFAA  mit längeren Gefängnisstrafen zu bestrafen, als ließen sich die vermutlichen Drahtzieher der meisten großen Angriffe der letzten zwei, drei Jahre — China, Nord-Korea und was-weiß-ich-wer von so etwas abschrecken lassen. Diese Anträge schüchtern nur die Guten ein, sie halten nicht diese Angreifer auf.

Wir müssen erklären, dass den Nutzer die Software gehört und dass sie sie verändern dürfen, die wir kaufen und herunterladen — trotz der Softwarelizenzen und dem Digital Millennium Copyright Act (DMAA) (Urheberrechtsgesetz).

Das wird immer wichtiger werden. In den nächsten 20 Jahren wird Software überall sein — vom Kühlschrank bis hin zu medizinischen Geräten.

Ohne die Freiheit basteln zu dürfen, dem Recht diese Geräte auseinander zu nehmen und zu verstehen, werden wir in einer Welt undurchsichtiger. schwarzer Kästen („Black Box“) leben. Wir wissen nicht, was sie tun und wir werden bestraft, wenn wir versuchen es herauszufinden.

Lizenzen und Gesetze, die helfen sollen die Geheimnisse unserer Produkte zu wahren, sind nur ein Grund, warum wir in Zukunft wesentlich weniger über die Welt, die uns umgibt wissen werden als heute.

Heute generiert Technologie mehr Informationen über uns als jemals zuvor und sie wird immer mehr sammeln und alles verzeichnen, was wir tun. Das verändert das Kräfteverhältnis zwischen uns, den Unternehmen und den Regierungen. Innerhalb der nächsten 20 Jahren werden wir erstaunliche Fortschritte bei künstlicher Intelligenz und lernenden Maschinen sehen. Software wird entscheiden, ob Menschen überfahren werden oder ob das Auto von der Brücke fällt. Software wird entscheiden, ob wir Kredite oder einen Job bekommen. Wenn das Urheberrecht diese Programme vor ernsthafter Wissenschaft schützt, dann wird die Öffentlichkeit nie erfahren, wie diese Entscheidungen getroffen werden. Professor Frank Pasquale nennt das die Black-Box-Gesellschaft. Man nehmen Geheimhaltung, Gewinnstreben, gebe Millionen Daten dazu und schüttele.

Wie können wir in der Black-Box-Gesellschaft sicherstellen, dass das im Sinne der Allgemeinheit ausgeht? Der erste Schritt ist ganz offensichtlich Transparenz, aber unserer Möglichkeiten werden beschränkt durch die aktuelle Gesetzeslage und unsere menschliche Intelligenz. Und die Unternehmen, die diese Produkte herstellen wissen auch nicht notwendigerweise, wie ihre Produkte funktionieren. Ohne angemessene Informationen — wie können wir diese Entscheidungen demokratisch beeinflussen oder überwachen? Wir werden lernen müssen, in einer Gesellschaft zu leben, die weniger gerecht und weniger frei ist.

Wir müssen auch herausfinden, wer verantwortlich ist, wenn Software Fehler macht.

Bislang gibt es nur wenig Regulierung von Softwaresicherheit. Ja, die Kartellbehörde greift ein, wenn Hersteller falsche Versprechungen bezüglich der Software machen. Aber das muss sich ändern. Die Leute haben keinen Bock mehr auf schlechte Software. Und sie wollen es nicht länger hinnehmen. Mit der Verbreitung von vernetzten Geräten — dem Internet der Dinge — werden all die Hersteller und die Händler normalerweise der Produkthaftung unterworfen. Wenn ein selbstfahrendes Auto einen Unfall baut oder ein vernetzter Toaster in Flammen aufgeht, dann wird dafür jemand haften — jede Wette. Chrysler ruft gerade 1,4 Millionen Autos zurück, wegen der Schwachstellen, die Charlie Miller und Chris Valasek heute noch berichten werden. Es ist nur ein kleiner Schrift von einer Klage gegen Tesla zu einer Klage gegen Oracle wegen unsicherer Software… mit all dem Guten und Schlechten, das daraus folgt.

Ich glaube, Softwarehaftung ist unvermeidlich. Ich denke, sie ist notwendig. I denke, das wird Programmieren teurer und konservativer machen. I denke, wir werden das lange Zeit nicht gut hinbekommen. Ich weiß nicht, worauf das hinausläuft. Aber ich weiß, dass das die Neulinge härter trifft als die Etablierten.

Heute sehen das physikalische Design und die Geschäftsmodelle die die Kommunikationsnetze finanzieren so aus, dass sie Zensur und Kontrolle eher verstärken als bekämpfen. Aber bevor ich mich eingehender mit Fragen der Privatheit, der Sicherheit und der Meinungsfreiheit auseinandersetze, lasst uns einen Schritt zurück machen und uns fragen wie es so weit kommen konnte.

Das Design des frühen Internets war Ende-zu-Ende. Die Leitungen waren dumm und haben alles transportiert, die Enden waren smart. Hier setzten Applikationen an. Hier fand die Innovation statt. Dieses Design war gewollt. Das Internet sollte nicht nur Kommunikation ermöglichen. Es sollte das in einer dezentralen, radikal demokratischen Art tun. Alle Macht dem Volk und nicht den Regierungen und den Unternehmen, die die Leitungen betrieben.

Das Internet hat sich weiterentwickelt, wie das bei Technologie so üblich ist. Heute wollen die Breitband-Anbieter smarte Leitungen, die unterscheiden nach Dienstqualität, gebuchtem Tarif und anderen neuen Geschäftsmodellen. Hunderte Millionen Menschen wickeln ihre sozialen Interaktionen über nur eine Hand voll Plattformen wie TenCent oder Facebook ab.

War bedeutet diese Veränderung für die Öffentlichkeit? In seinem Buch „The Master-Switch“ (etwa „Der Hauptschalter“) schaut sich Professor Tim Wu Telefone, Radio, Fernsehen und Filme an. Er erkennt dort einen Zyklus.

Die Geschichte zeigt eine typische Entwicklung bei Informationstechnologie, vom Nischen-Hobby zur Industrie-Branche; vom zusammengefrickelten Ungetüm zum durchdesignten Wunderding; vom frei zugänglichen Kanal zu einem Kanal, der streng von einem Unternehmen oder einem Kartell kontrolliert wird — vom offenen zum geschlossenen System.

Irgendwann zerschlagen findige Geister dieses geschlossene System und der Zyklus beginnt von vorne. In seinem Buch fragt Tim die Frage, die ich euch stellen möchte: Ist auch das Internet diesem Zyklus unterworfen? Wird es zentralisiert und von Unternehmen kontrolliert? Wird es frei zugänglich, ein geschlossenes System oder irgendetwas dazwischen?

Wenn wir nichts ändern, wird das Internet das Schicksal des Fernsehens erleiden.

Eingangs sagte ich, dass wir Offenheit und Freiheit vernachlässigt haben für andere Interessen wie zum Beispiel geistiges Eigentum, und dabei bleibe ich.

Aber es ist auch wahr dass viele Menschen den Traum von der Freiheit des Internets nicht mehr teilen, wenn sie es denn je taten. Stattdessen ist der Traum vom freien Internet mit der hässlichen Seite zusammengekracht. Mit diesen Leuten, mit den gehässigen Kommentaren, denen auf 4chan, bei /b/tards, ihren Rachepornos, bei den Dschihadisten und Nazis. Zunehmend höre ich Juraprofessoren, Experten für Bürgerrechte, für die Verhältnismäßigkeit und Abschreckungseffekte, davon sprechen, diese Dinge wegzuregulieren.

Dann habe ich von den drei Trends gesprochen: Zentralisierung, Regulierung und Globalisierung.

  • Zentralisierung bedeutet billige und einfache Ansatzpunkte für Kontrolle und Überwachung.
  • Regulierung bedeutet den Vorrang nationaler Gesetzgebung und heimischer Interessen. Dazu bekommen Organisationen mit wirtschaftlichen Gewicht Einfluss auf den Gesetzgeber.
  • Globalisierung bedeutet, dass immer mehr Regierungen bei der Regulierung des Internets mitmischen. Sie wollen ihre Bevölkerung schützen und kontrollieren. Und ihr dürft nicht vergessen, dass die nächste Milliarde Menschen im Internet nicht aus Ländern mit unseren Bürgerrechten kommen, vielleicht kommen sie nicht einmal aus Rechtsstaaten. Diese Regulierungen werden also nicht unbedingt unseren Standards entsprechen.

Wenn ich nun sage, dass das Internet immer mehr von Unternehmen kontrolliert wird, klingt es als würde ich das den Unternehmen vorwerfen. Wenn ich sage, dass das Internet geschlossener wird, weil die Regierungen im Netz das Recht durchsetzen, klingt es als würde ich das der Polizei vorwerfen. Das tue ich. Aber ich werfen das auch Euch vor. Und mir. Weil die Dinge, die wir wollen, die Zentralisierung, Regulierung und Globalisierung vorantreiben.

Erinnert ihr euch an Blogs? Wer bloggt hier noch regelmäßig? Ich hatte ein Blog, aber jetzt poste ich auf Facebook. Eine Menge Leute hier bei der Black Hat betreiben ihren eigenen E-Mail-Server, alle anderen aber nutzen GMail. Wir mögen den Spamfilter und den Virenscanner. Als ich ein iPhone hatte habe ich das nicht gejailbreakt. Ich vertraute den getesteten Apps im Apple-Store. Wenn ich Apps installiere, klicke ich „Ja“ bei den Zugriffsrechten. Ich liebe es wenn mein Telefon weiß, in welchen Laden ich gerade bin und mich daran erinnert Milch zu kaufen.

Das passiert zu einem nicht geringen Anteil deswegen, weil wir die ganzen coolen Produkte in der Cloud („Wolke“) wollen. Diese Cloud aber ist nicht unkenntlich aus einer Ansammlung von Milliarden Wassertröpfchen zusammengesetzt. Diese Cloud besteht aus einer begrenzten und bekannten Anzahl Konzerne, die so Zugriff und Kontrolle über große Teile des Internets haben. Level3 ist zuständig für die Glasfaserkabel, Amazon für die Server, Akamai für die Verteilung der Inhalte, Facebook als Werbenetzwerk, Google für Android und die Suchmaschine. Das ist eher ein Oligopol als eine Wolke. Und bewusst oder nicht, sind diese Produkte Hauptansatzpunkte für Kontrolle, Überwachung und Regulierung.

Wenn wir das weiterdenken, was bedeutet das für Privatsphäre, Sicherheit und Meinungsfreiheit? Was wird vom Traum vom freien Internet übrigbleiben?

Privatsphäre

Das erste Opfer der Zentralisierung war die Privatsphäre. Da die Privatsphäre aber essentieller Teil von Freiheit ist, werden wir in Zukunft weniger frei sein.

Wir befinden uns im Golden Zeitalter der Überwachung. Heute generiert die Technologie mehr Informationen über uns als je zuvor und es wird immer mehr. Alles was wir tun wird vermessen. Das verändert das Kräfteverhältnis zwischen uns, den Unternehmen und den Regierungen. Die Regierung hat eine technologische Infrastruktur und die Gesetzesgrundlage für Massenüberwachung geschaffen — fast unbemerkt.

Ein Rätsel: Was haben E-Mails, Freundeslisten, Festplattenbackups, Beiträge in Sozialen Netzwerken, die Browser-Historie, eure Krankenakten, eure Bankkonten, eure Gesichtsmerkmale, eure Stimmkennung, euer Fahrverhalten und eure DNA gemeinsam?

Die Antwort: Das US-Justizministerium meint, dass all das nicht privat ist. Weil die Daten bei einem Dienstleister liegen oder öffentlich sind, sollen sie frei zugänglich für Ermittler und Spione sein.

Und dennoch. Richterin Sonia Sotomayor sagte sinngemäß, dass diese Daten eure Kontakte zu Psychatern, Schönheitschirugen, Abtreibungskliniken, der AIDS-Klinik, dem Strip-Club, dem Strafverteidiger, dem Stundenhotel, dem Gewerkschaftstreffen, der Moschee, Synagoge oder Kirche oder Schwulenbar offenbaren.

Die Technologie verbreitete Daten immer weiter und das Recht versagt darin sie zu schützen. Glaubt es oder nicht, obwohl wir kommerzielle E-Mails seit langem haben, gibt es nur ein Gericht, dass bisher eine Frage der Privatheit von E-Mails entschieden hat. Das war im Fall USA gegen Warshak. Dieses Gericht hat entschieden, dass die Menschen eine begründete Erwartung an die Privatheit ihrer Mails haben. Deswegen sind E-Mails vom Post– und Fernmeldegeheimnis geschützt und die Regierung braucht einen Richterentscheid. Diese Entscheidung betrifft aber nur einen Teil unseres Landes: Kentucky, Tennessee, Michigan und Ohio. Deswegen verlangen die meisten Dienstleister eine Art Ermächtigung, bevor sie eure E-Mails an die Ermittler übergibt. Öffentlich und im geheimen aber übt das Justizministerium Druck auf diese Entscheidung aus.

Ich möchte trotzdem noch einmal betonen, wie wichtig diese Entscheidung ist, denn ich befürchte, dass viele Menschen nicht ganz verstehen, was eine begründete Erwartung an die Privatheit ihrer E-Mails und die Erfordernis einer richterlichen Ermächtigung bedeutet. Das bedeutet, dass ein Richter den Zugriff kontrolliert. Es muss einen triftigen Grund geben für eine Durchsuchung und Beschlagnahmung — das kann nicht willkürlich geschehen. Das bedeutet auch, dass der Zugriff gezielt sein muss, weil so eine Befugnis genau beschreiben muss, was durchsucht werden soll. Die Notwendigkeit einer Befugnis beschränkt nicht nur willkürliche Polizeiaktionen, sie sollte auch Massenüberwachung beschränken.

Ohne aber den Schutz der Privatsphäre — vorangetrieben von unserer eigenen Regierung — kann das Recht unsere Daten nicht vor willkürlicher, anlassloser Massenüberwachung schützen, auch wenn die Datenerhebung außer Kontrolle gerät.

Zentralisierung bedeutet, dass eure Informationen immer häufiger in der Cloud zu finden sind, ein einfacher Ansatzpunkt, um nicht nur Daten über euch, sondern auch alle anderen zu bekommen. Und es spielt der Regierungsauslegung des Post– und Fernmeldegeheimnisses in die Hände.

Regulierung schützt eure Daten nicht und im schlimmsten Fall sichert sich die Regierung sogar noch den Zugriff darauf. Das Justizministerium drängt auf:

  • Unterstützungsvorschriften für Provider, damit sie beim spionieren helfen müssen.
  • Immunität für Unternehmen, die Daten an die Regierung weitergeben. Wie zum Beispiel im Fall von AT&T, die der NSA bei der illegalen inländischen Spionage geholfen haben.
  • Und nicht so sehr in den USA aber in anderen Ländern Verpflichtungen zur Vorratsdatenspeicherung, die im Prinzip das staatliche Ausspähen der Bürger an die Unternehmen auslagern.

Die Globalisierung hilft den USA aber auch, Amerikaner auszuspähen — sie spionieren die Ausländer aus, mit denen wir verkehren. Unsere Regierung nutzt die Tatsache, dass wir über ein globales Netzwerk verfügen gegen uns. Die NSA forscht massiv Daten in Übersee aus. Ins Netz gehen dabei auch Amerikaner. Und weil die NSA darauf besteht, dass Bürgerrechte nicht für Ausländer gelten, ist es nur ein kleiner Schritt dahin, dass die Bürgerrechte auch nicht für euch gelten, wenn ihr mit Ausländern sprecht.

Die Überwachung könnte gar nicht mehr schlimmer werden — in 20 Jahren könnte sie es aber sein. Wir haben dann vernetzte Geräte und das sogenannte Internet der Dinge. Diese Geräte überwachen wie wir heizen, welche Speisen wir aus dem Kühlschrank nehmen, wie wir trainieren, sie überwachen unseren Schlaf, unseren Herzschlag und noch viel mehr. Diese Dinge digitalisieren unser physisches Offline-Leben vernetzen es und machen es in anderen Worten überwachbar.

Wenn wir irgendwas von unserem Traum des freien Internets retten wollen, müssen wir rechtliche Schranken aufbauen, die anlasslose Überwachung verbieten. Wir müssen E-Mails und unseren persönlichen Standort schützen vor unbefugter Durchsuchung. Wir müssen aufhören das bisschen Datenschutz, das wir haben gegen vermeintliche Online-Sicherheit einzutauschen. Wir müssen die Überwachungsgesetze schon deswegen ablehnen, weil Geheimrecht eine Deformierung der Demokratie ist.

Werden wir all diese Dinge tun?

Sicherheit

Auch wenn es oft anders klingt — Sicherheit und Datenschutz widersprechen einander nicht. Man kann die Sicherheit erhöhen ohne in die Privatsphäre einzudringen — zum Beispiel dadurch, dass Cockpit-Türen abgeschlossen werden. Und nicht jedes Eindringen in die Privatsphäre fördert die Sicherheit. Im Gegenteil: Datenschutz erhöht die Sicherheit. Ein Menschenrechtler in Syrien oder ein homosexueller Mensch in Indien braucht diesen Schutz — oder er wird umgebracht.

Wir sollten stattdessen differenzieren beim Thema Sicherheit. Die Gefahren im Internet sind unterschiedliche, je nachdem wessen Interessen betroffen sind: Regierungen, Firmen, politische Organisationen, Individuen. Ob etwas sicher ist, hängt davon ab, um wessen Sicherheit man sich kümmert. In anderen Worten liegt die Sicherheit im Auge des Betrachters. darüber hinaus ist Sicherheit kein Nullsummenspiel: Wir sprechen hier von einem weltumspannenden Informationsnetzwerk in dem Fortschritte in der Sicherheit allen etwas bringt, so wie Schwachstellen allen schaden.

Auf dem Schlachtfeld der Zukunft kämpfen die Mächtigen um Sicherheit auf Kosten der anderen. Die US-Regierung spricht von „Cyber“-Sicherheit. Wenn ich „Cyber“ höre, dann klingt das für mich nach einer Abkürzung für die Dominanz im Internet. Oder wie es General Michael Hayden einmal formuliert hat: Die USA wollen sicherstellen, dass sie zu allem Zugang haben und ihre Feinde nicht. Sicherheit für mich, aber nicht für meinen Nächsten. Klingt das nach einem offenen, freien, robusten, weltweiten Internet?

Ein anderes Beispiel: Unsere Regierung will schwache Verschlüsselung, Hintertüren in weit verbreiteten Diensten und Geräten, so dass sie uns überwachen kann (ohne richterliche Befugnis, klar). Es kümmert sie nicht, dass diese Hintertüren auch von Kriminellen und Unrechtsregimen genutzt werden. Gleichzeitig hält sie allen übermäßig geheim,  betreibt geheime Rechtsprechung, hält Information vor Informationsfreiheitsanfragen zurück, jagt Whistleblower und spioniert Journalisten aus.

Oder noch ein Beispiel: Das Weiße Haus drängt darauf, dass die Heimatschutzministerium der zentrale Anlaufpunkt für Sicherheitswarnungen wird. Da bedeutet, dass die Heimatschutzministerium entscheidet, wer über Schwachstellen informiert wird… und wer nicht.

Die Regierung und ihre Elite entscheidet wer Sicherheit haben darf und wer nicht. Das bedeutet, dass Sicherheit die Sicherheit der bereits Mächtigen wird.

So machen wir das globale Netzwerk nicht sicher. Auf dem Spiel steht das Wohlergehen von schwachen Bevölkerungsteilen und Minderheiten, die Sicherheit am meisten brauchen. Auf dem Spiel steht das grundlegende Recht der Menschen, sich an ihre Regierung zu wenden. Auf dem Spiel steht die Möglichkeit von religiösen Minderheiten ihrem Glauben ohne Angst vor Unterdrückung nachzugehen. Auf dem Spiel steht das Recht von Homosexuellen, die Liebe ihres Lebens zu finden. Die gegenwärtige Lage sollte alle außerhalb des gesellschaftlichen Durchschnitts beunruhigen, egal ob man als Individuum, als politische oder religiöse Gruppe oder als Start-Up ohne Marktmacht betroffen ist.

Redefreiheit

Wir sehen heute, wie die Infrastruktur des Internets und deren Eingentumsverhältnisse sich in einer Art verändern, die Zensur nicht mehr überwinden, sondern Kontrolle fördern. In den USA ist das Urheberrecht der Hauptgrund bei der Zensur. Das aber hat Auswirkungen auf die Meinungsfreiheit.

Die Regierungen erkennen die Macht der Plattformen und sie fordern die Betreiber sozialer Medien auf, sie zu informieren, wenn ihnen Inhalte im Zusammenhang mit Terrorismus bekannt werden. In einer UN-Sitzung im letzten Monat wurden die Unternehmen aufgefordert auf Anschuldigungen zu antworten, sie ließen sich vom Islamischen Staat und anderen Gruppen ausnutzen. Warum mischen die sich in die Arbeit der Polizei in den USA ein?

Aber man braucht gar keine Zensurgesetze, wenn man mit Druck arbeiten kann. Die Menschen johlen, wenn Google freiwillig Rachepornos entfernt, wenn Youtube Propaganda-Videos des IS entfernt, wenn Twitter strengere Regeln gegen Hasskommentare durchsetzt. Das Nebenprodukt ist Zensur, wenn die Plattformen und Vermittler unter Druck gesetzt werden. So können Regierungen indirekt kontrollieren, was wir sagen und was wir sehen.

Macht nicht den Denkfehler, diese Zensur nicht für diskriminierend zu halten. Muslimischer Extremismus wird gemeldet und gelöscht. Aber niemand spricht davon, dass Google keine Suchergebnisse mit der Flagge der Konföderierten Flagge mehr anzeigen soll.

Globalisierung bedeutet, dass auch andere Regierungen bei der Zensur mitmischen. Ich rede jetzt gar nicht nur von Russland und China. Aber auch in der Europäischen Union gibt es Gesetze gegen Verunglimpfungen, das Leugnen des Holocausts und für das Recht auf Vergessenwerden. Jedes Land will seine eigenen Gesetze durchsetzen und seine Bevölkerung kontrollieren, wie es das für richtig hält. Das führt zu unterschiedlichen Internetangeboten je nach Land oder Region. In Europa werden korrekte Informationen aus Suchmaschinen entfernt, damit sie schwerer oder gar nicht mehr zu finden ist. So viel dazu, dass wir alle miteinander in Echtzeit sprechen können. So viel dazu, dass in den Regalen des Internets alles zu finden sei.

Schlimmer noch: Die Regierungen beginnen, ihre Gesetze außerhalb ihrer Grenzen durchzusetzen, indem sie die großen Unternehmen wie Google und die Internetanbieter zwingen. Frankreich sagt Google zum Beispiel, dass es niemandem Suchergebnisse anzeigen darf, die französisches Recht verletzen — auch wenn sie in den USA durch die Meinungsfreiheit geschützt sind. Wenn man dieser Argumentation folgt, wird jedes Land überall zensieren. Am Ende bleibt dann nur noch geistiger Babybrei übrig.

Wie viel Redefreiheit braucht eine liberale Gesellschaft? Oder anders: Wie viel Souveränität müssen die Nationalstaaten aufgeben, um ein wirklich globales Netz zum Blühen zu bringen?

Wenn wir nicht heute einen anderen Weg einschlagen und das Netz als Ort für exzentrische und störende Meinungen zu schätzen lernen, müssen wir uns zwischen der Balkanisierung des Internets und einer Abwärtsspirale entscheiden.

Wie werden wir uns entscheiden?

Die nächsten 20 Jahre

Die Zukunft von Freiheit und Offenheit scheint heute viel trostloser als wir uns das vor 20 Jahren erhofft haben. Aber das muss so nicht sein. Lasst mich eine andere Zukunft beschreiben, in der der Internet Traum weiterlebt und floriert.

Wir müssen damit anfangen, global zu denken. Wir müssen einen weiteren Terroranschlag auf New York verhindern, aber wir dürfen nicht ignorieren, welche Auswirkungen unsere Entscheidungen auf Journalisten und Menschenrechtler in aller Welt hat. Beides hat für uns einen starken Wert.

Wir müssen die Dezentralisierung überall vorantreiben, wo es geht: Alle Macht dem Volk! Und mit starker Ende-zu-Ende-Verschlüsselung können wir anfangen, die Machtbalance zwischen Technologie, Recht und Menschenrechten wiederzuherstellen.

Wir müssen dafür sorgen, dass die Regierung sich nicht in Gestaltung der Kommunikationstechnologie einmischt.

Wir müssen anfangen, uns vor den richtigen Dingen zu fürchten und irrationale Ängste abschütteln. Wir müssen den CFAA, den DMCA, den Patriot Act und die Gesetze zur massenhaften Auslandsüberwachung reformieren. Wir müssen aufhören, so empfindlich bei Meinungsäußerungen zu sein und wir müssen schädlichen Mist als solchen kennzeichnen. Wenn 1000 Blumen blühen, werden die meisten von ihnen schön sein.

Wir befinden uns heute an einem Wendepunkt. Wenn wir einen anderen Weg einschlagen, kann unser Traum von einem freien Internet immer noch wahr werden. Aber wenn wir das nicht tun, dann passiert das nicht. Das Internet wird dann ein auf Hochglanz getrimmtes, steifes, kontrolliertes und geschlossenes Etwas. Und der Traum, den ich habe — den so viele von Euch haben — wird tot sein.

Wenn ihr das auch so seht, dann müssen wir anfangen, die Technologie für die nächste Runde im Lebenszyklus der Revolution erfinden. In den nächsten 20 Jahren müssen wir bereit sein, das Internet zu zerschlagen und etwas Neues und Besseres zu errichten.“

Linux Auswahlhilfe nun in den Blog integriert

Permalink canox.net

Viele von euch schauen sich die von mir angebotene Linux Auswahlhilfe an und laden darüber auch die ein oder andere Distribution herunter.

Ich habe nun die gesamte Liste in den Blog integriert. Die Seite ist immer noch über das Menü erreichbar. Sie wird auch nun auf Mobilgeräten wie Tablet oder Smartphone besser angezeigt.

Du möchtest das eine Distribution aufgenommen wird? Dann kannst du mir gerne eine kurze Mail schreiben mit:

  • Name der Distribution
  • Downloadlink 32-Bit
  • Downloadlink 64-Bit
  • Beschreibung

an info@canox.net schicken. Ich werde die Distribution dann so schnell wie möglich mit aufnehmen.

18. August 2015

SSH Server einrichten

Permalink Erfahrungen mit Ubuntu

Um auf den eigenen Rechner zugreifen zu können gibt es sowohl Telnet, als auch SSH. Für Telnet sprechen nicht mehr viele Gründe, ausser das alte Windows Versionen einen Client mit an Bord haben. Da die Datenübertragung unverschlüsselt erfolgt kann ich einen Einsatz nur noch im lokalen Netz anraten.

Ernsthaft Einsetzten sollte man nur ssh. Dort ist die Datenübertragung verschlüsselt.
Man kann sich dann Remote per Shell Anmelden und auf den Rechner zugreifen.
Sehr interessant finde ich aber auch das man z.b. mit Gnome auf einen SSH Server als Dateifreigabe zugreifen kann. Damit hat man sofort Zugriff auf sämtliche Dateien des Servers, ohne das man per Samba oder NFS eine Freigabe einrichten muss. Für den schnellen Zugriff perfekt geeignet.

Installieren mit apt geht sehr leicht:

apt-get install openssh-server

Anschliessend kann man sich an die Installation machen.
Meine /etc/ssh/sshd_config habe ich weiter unten angehängt.

In der Beispiel Datei habe ich den Port auf 11111 verlegt,
was ein bisschen die Sicherheit erhöht. Die Anmeldung als
root ist allerdings weiterhin erlaubt.

Wenn der Server als Mailserver dient kann man eine Funktion einbauen, das beim Login automatisch eine eMail mit der Remote IP verschickt wird.
Eine Anleitung habe ich hier:
Link zum Blogbeitrag

Wenn ich mich dann per Gnome anmelden möchte kann ich dort folgendes
in Netzwerkberbindung eingeben:

ssh://root@192.168.100.1:11111/home

In diesem Fall würde eine Verbindung zum Server 192.168.100.1 auf dem Port
11111 aufgebaut.
Auch der Midnight Commander kann Problemlos mit SSH Verbinden und
dann Daten direkt übertragen ohne das man eine Freigabe einrichten muss.
Hier heisst der Punkt "Shell Verbindung" und man gibt direkt Benutzer, Rechner und Port ein, unser Rechner währe so zu erreichen:

root@192.168.178.1:11111

Ohne Verzeichnis landet man im root Verzeichnis.

Um der Datensicherheit genüge zu tun habe ich folgende Felder noch geändert:
X11Forwarding no
PermitRootLogin no

X11 Weiterleitung wird eigentlich nicht benötigt, da ein Server keine grafische Oberfläche haben sollte. Ein Abschalten kann nicht schaden. Was nicht aktiv ist, kann nicht angegriffen werden.
Den "root" Zugang habe ich auch deaktiviert, das heisst man kann sich nur als normaler Nutzer anmelden und müsste dann mittels "sudo" oder "su"
die root Rechte bekommen.



Beispiel für /etc/ssh/sshd_config
# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 11111

# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes


PS3 Controller als Fernsteuerung unter Ubuntu nutzen

Permalink barfoos

Nachdem sich herausgestellt hat, dass sich ein PS4 Controller nur unter sehr konkreten Bedingungen mit einer PS3 verbinden lässt, habe ich meinen zurück gegeben und mir einen PS3 Controller zugelegt. Analog zu meinen Erläuterungen wie sich ein PS4 Controller unter Ubuntu nutzen lässt, hier jetzt die Anleitung für einen PS3 Controller.

Zunächst gilt es Ubuntu und Controller miteinander bekannt zu machen. Das wie immer gut sortierte Wiki von ubuntuuser.de erklärt, was dazu nötig ist.

Wie auch beim PS4 Controller lassen sich mit xboxdrv Tastenbefehle des Controllers problemlos auf Tastatur- oder Mausbefehle „mappen“. Das Programm befindet sich in den Ubuntu-Paketquellen und lässt sich mit einem freundlich aber bestimmten sudo apt-get install xboxdrv installieren.

Zunächst gilt es heraus zu finden welches „Event“ dem Gerät von eurem Rechner zugeordnet wurde. Vor dem Verbinden startet ihr dafür im Terminal folgenden Befehl:

udevadm monitor --udev

Wenn ihr jetzt euer Gerät verbindet (entweder via Kabel oder per Bluetooth-Verbindung), dann sollte die Ausgabe einige Zeilen Anmelde-Protokoll ausspucken. In diesen Zeilen versteckt sich irgendwo /input/inputX/eventY. Wichtig ist hier eventY. Unter diesem Namen verwaltet xboxdrv den Controller.

Nun ist es notwendig zu wissen, unter welchem „Namen“ die einzelnen Eingabeelemente des Controllers welche Befehle senden. Mit dem Befehl

sudo xboxdrv --evdev /dev/input/eventY --evdev-debug

lässt sich das heraus finden. Um unnötige Informationen der Motion-Sensoren auszublenden lässt sich dieser Befehl mit grep kombinieren, um zum Beispiel nur Tastendrücke anzeigen zu lasssen, hilft es die Ausgaben nach dem String „BTN“ zu filtern. Der fertige Befehl dazu lautet:

sudo xboxdrv --evdev /dev/input/eventY --evdev-debug | grep BTN

Damit ihr euch diese dennoch anstrengende Prozedur sparen könnt, habe ich eine Übersichts-PDF gebaut.

PS4_controller_udev

Die einzelnen Tastenanschläge lassen sich nun in einer Config-Datei umrouten, die dem Programm xboxdrv beim Start übergeben wird. Meine aktuelle Config-Datei findet ihr am Ende des Artikels. Ich habe diese in meinem Home-Verzeichnis (~/.xboxdrv-conf) gespeichert. Der Programm-Aufruf sieht nun folgender Maßen aus:

sudo xboxdrv --config  ~/.xboxdrv-conf

So lässt sich der Controller nun als Maus-Ersatz benutzen. Der linke Stick steuert den Cursor, der Dreieck und Kreis dienen als Mausrad-Ersatz, L1 und R1 ersetzen die Maustasten. Der Rest der Tasten wird als VLC-Fernsteuerung benutzt. So startet das START Filme oder pausiert sie. Das SELECT stoppt sie. Mit L2 und R2 lässt sich zum nächsten oder vorherigen Video skippen. Und der Vollbild-Modus lässt sich mit dem Crosair-Tasten hoch und runter starten und wieder beenden.

Abschließend, wie versprochen, meine Config-Datei zur Maus- und VLC-Fernbedienung:

[xboxdrv]
evdev=/dev/input/event15
silent=true

[evdev-absmap]
ABS_X=x1
ABS_Y=y1
ABS_TILT_X=x2
ABS_TILT_Y=y2

[ui-axismap]
x1=REL_X:20
y1=REL_Y:-20
x2=REL_WHEEL:1:50
y2=REL_WHEEL:1:50

[evdev-keymap]
BTN_BASE5=rt
BTN_BASE6=lt
BTN_TRIGGER=x
BTN_TOP=y
BTN_BASE=a
BTN_TOP2=b
BTN_BASE3=lb
BTN_BASE4=rb
BTN_BASE2=back
BTN_PINKIE=start

[ui-buttonmap]
rt=BTN_LEFT
lt=BTN_RIGHT
x=KEY_S
y=KEY_SPACE
a=KEY_ESC
b=KEY_F
rb=KEY_N
lb=KEY_P
back=KEY_LEFTSHIFT
start=KEY_RIGHTCTRL

# EOF #

Terraria ist für Linux erschienen!

Permalink Steam for Linux

Der beliebte, im Retrostil gehaltene 2D Crafting-Survival Titel Terraria ist endlich für Linux und Mac erschienen.

Mit einer Metacritic-Wertung von 83 und vielen sehr positiven Bewertungen hält dieses Spiel, was es verspricht:

Nahezu unendlichen Spielspaß in einer Welt, die der Spieler selbst mitgestalten kann, in der es nur so von Monstern wimmelt und dessen verschiedene Biome Massen an Bodenschätzen beinhalten.

Dazu gibt es spannende Bosskämpfe, eine Riesenauswahl an Waffen, Werkzeugen, Rüstungen und Baumaterialien, die der Spieler alle selbst herstellen muss aus Rohstoffen, die er in der Welt abbaut.

Dieses klein erscheinende Spiel, das vergleichsweise nahezu keinen Speicherplatz verbraucht und auch auf älteren, nicht allzu leistungsstarken Computern ohne Probleme laufen sollte, gehört zu den umfangreichsten Spielen, die ich gespielt habe.

Das Update auf 1.3 brachte massenhaft neuen Inhalt und versbesserte das Interface.

Dieses Spiel ist eine absolute Empfehlung für alle, die Freude an einem Crafting-Survival Spiel haben!

Im Übrigen kann es auch im Multiplayer mit Freunden gespielt werden.

Tags: 
Steam
Linux
Terraria

OpenXcom

Permalink Invictus deus ex machina

Zu DOS-Zeiten spielte ich ab und an Spiele aus der X-COM-Serie — eine Strategiespieleserie, welches sich um die Bedrohung durch Außerirdische drehte. Wer die originären Spieldaten noch auf der Festplatte hat, kann mit OpenXcom erneut in diese Welt eintauchen.

openxcom.org

openxcom.org

Dabei handelt es sich um eine neu implementierte Engine, welche als Laufzeitumgebung für die originalen Spieledaten fungiert. Daneben gibt es einen Bugfix-Patch für die Spieledaten, sowie MODs welche das Spiel verändern. Lizenziert ist OpenXcom unter der GPL und damit freie Software. Auf der Projektseite kann die Engine unter anderem für Linux, Mac OS X und Windows bezogen werden.

Ubuntu/Linux Mint: LibreOffice 5 via PPA

Permalink canox.net

Am 5. August wurde LibreOffice 5 veröffentlicht. Hier zeige ich euch wie ihr mithilfe einer PPA an LibreOffice 5 unter Ubuntu & Linux Mint kommt.

sudo add-apt-repository ppa:libreoffice/ppa
sudo apt-get update && sudo apt-get upgrade

Viel Spaß mit LibreOffice 5

Linux 4.2-rc7

Permalink menzer.net

So richtig will 4.2 nicht zur Ruhe kommen – die siebte Entwicklerversion ist nicht spürbar kleiner geworden und es sind immer noch Probleme offen, die den Kernel-Entwicklern Unbehagen bereiten.

Um das Problem beim Namen zu nennen: Es geht um die Überarbeitung des Codes für die Einstiegspunkte der x86-Architektur. Obwohl in den vergangenen Entwicklerversionen bereits einige Korrekturen eingeflossen sind, scheint das Thema noch nicht abgeschlossen zu sein.

Was jedoch in dieser Version korrigiert wurde ist beispielsweise eine Funktion des Treibers für drahtlose Eingabegeräte von Wacom. Hier wurde bislang die Auflösung nur zu Beginn ermittelt und danach nur noch aus einer Variable ausgelesen. Die Auflösung gilt jedoch nur für die Bedienung mit Stift, nicht jedoch für die Nutzung als Touchpad. Künftig wird die Auflösung für jede Schnittstelle einzeln ermittelt und Probleme, die durch die falsche Auflösung entstehen, damit vermieden.

Weiterhin wurden Optimierungen für den Netzwerktreiber einiger Freescale-Prozessorfamilien vorgenommen. Außerdem herausgestochen hatten Optimierungen des Treibers benet für 10Gb-Netzwerk-Controller von Emulex.

Noch steht in den Sternen, ob es einen -rc8 oder eine finale Version geben wird. Dies dürfte in erster Linie davon abhängen, wie es mit den Nebenwirkungen der Eingangs erwähnten Umstrukturierung der x86-Entry-Codes aussieht.

Die kleine Statistik:

Commits geänderte Dateien eingefügte Zeilen gelöschte Zeilen Datum Tage *
4.2-rc1 12 808 10 344 1 062 782 272 311 05.07.2015 13
4.2-rc2 259 245 5771 1912 12.07.2015 7
4.2-rc3 427 525 4203 2956 19.07.2015 7
4.2-rc4 341 277 4013 3486 26.07.2015 7
4.2-rc5 336 296 4445 2073 03.08.2015 8
4.2-rc6 189 177 1669 648 09.08.2015 6
4.2-rc7 200 156 1356 1179 16.08.2015 7
Gesamt 14 565 10 903 1 081 152 281 478 55

* Tage seit dem letzten rc/Release

Quellen: Linux Kernel Mailing List

17. August 2015

mpv – Tastenkombination zum Drehen von Videos

Permalink [z]-Blog

In der heutigen Zeit kommt es immer häufiger vor dass man mit vertikalen Videos zu tun hat. Es kann viele verschiedene Gründe geben warum warum die Metadaten zur Orientierung des Videos verloren gehen. Für diese Fälle bietet es sich an das Video einfach im Video-Player zu drehen.

Um bei mpv eine Tastenkombination zu vergeben fügt man folgende Zeilen in die Datei ~/.mpv/input.conf hinzu:

# Rotate by 90 degrees clockwise
Alt+RIGHT no-osd vf add rotate=90
# Rotate by 90 degrees counterclockwise
Alt+LEFT no-osd vf add rotate=270

Danach kann man mit „alt“+“Linker Pfeiltaste“ bzw. Rechter Pfeiltaste das Video um 90° gegen oder im Uhrzeigersinn drehen.

&quot;Zum Stand der Open Source Mobilsysteme&quot; oder &quot;Warum man zu einem BlackBerry Classic greift&quot;

Permalink (Mer)Curius

Der Smartphone-Markt wird zur Zeit von zwei Systemen dominiert: Android und iOS. Hinter Android steht zwar nicht nur ein Hardwarehersteller, aber auch hier haben sich wenige Anbieter den Kuchen aufgeteilt. Lediglich zwei andere mobile Betriebssysteme schaffen es derzeit gerade noch messbare Marktanteile zu erreichen:  BlackBerry OS und Windows Phone. Wenn man zu einem der beiden Anbieter greift, trifft man auf Unverständnis. "Ich wusste gar nicht, dass es noch BlackBerry gibt" und "Warum nimmst du so ein Teil?" sind die häufigsten Kommentare. Deshalb mal der Versuch einer Darstellung.

blackberry os 10Hauptbildschirm des BB OS 10

Zum Stand der mobilen Betriebssysteme

Sailfish, Ubuntu, KDE - Junge Open Source Welt

Ich war schon immer aufgeschlossen für Neues in diesem Markt. Festgelegt auf ein System habe ich mich nie, sondern im Lauf der Zeit einiges ausprobiert (in chronologischer Reihenfolge): Symbian, BlackBerry OS 6-7, iOS 6-7, Android 2.x, Windows Phone 8, Android 4-5 und nun das BlackBerry OS 10 mit dem Classic.

Wie man an der Abfolge sieht, war Open Source nicht immer ein Kriterium, obwohl ich auf dem Desktop durchaus ein überzeugter Anwender von Linux bin. Grundsätzlich wäre Open Source auch im mobilen Bereich wünschenswert und es gibt dort zur Zeit auch einige sehr interessante Projekte. Das aus den letzten Zuckungen Nokias hervorgegangene Jolla mit SailfishOS ist sicherlich die am weitesten entwickelte Alternative. Die Oberfläche ist zwar nicht offen, aber darunter arbeiten mit Wayland und dem Linux-Kernel vertraute Komponenten. SailfishOS hatte ich deshalb natürlich bereits getestet. Mein damaliges Fazit gilt leider auch heute noch und ist der Hauptgrund gewesen, nicht zum Jolla zu greifen:

Allerdings setzt das ganze System auf einen leicht transparenten Look, der eingefärbt wird in eine anfangs auszuwählende Lieblingsfarbe. Das erinnert ein wenig an das kommende MacOSX Yosemite, wenngleich Sailfish OS natürlich deutlich älter ist. Mir persönlich sagt das überhaupt nicht zu, da ein unruhiges Gefühl auf dem Display entsteht und man sich schlecht auf den Text fokussieren kann.

— MerCurius

Ubuntu Touch und Plasma Mobile sind zwei weitere hochinteressante Projekt im mobilen Bereich. Leider haben sowohl Canonical, als auch die Community rund um die Linux-Desktopumgebungen das Thema "mobile" viel zu spät aufgegriffen. Während Canonical so mutig war sein System schon auf den Markt zu werfen, sagt KDE selbst, dass sein System frühestens in ein, zwei Jahren marktreif ist. Gegenwärtig sind beide Systeme keine wirkliche Alternative, jedenfalls nicht für das primäre Gerät. Das wird sich hoffentlich ändern, aber man muss schon sehr viel Enthusiasmus an den Tag legen,  um diese Systeme aktuell einzusetzen.

Android

Man könnte nun zu Recht einwerfen, dass es ja bereits ein ausgereiftes mobiles Betriebssystem mit offenem Quellcode und freier Lizenz gibt: Android. In der Tat ist es richtig, dass das Android Open Source Projekt (AOSP) ein vollwertiges, freies Betriebssystem liefert. Nur leider gibt es dieses System so nicht im Handel. Die Android-Geräte auf dem Markt sind in etwa so frei wie Apples MacOSX.  Über einen freien Kern werden massenhafte unfreie Apps und eine unfreie Oberfläche gelegt. Das gilt auch für die Google-eigenen Geräte und jene Hersteller, die ein möglichst originales Android ausliefern wie z.B. Motorola.

Hinzu kommt, dass diese Geräte im Crapware-Status inzwischen locker mit jedem neuen Windows-System mithalten können. Selbst auf den Nexus-Geräten sind dutzende unnötige und vor allem nicht deinstallierbare Apps eingerichtet. Chrome, Google+, Hangouts, Google Play Music, Google Play Videos, Google Play Books usw. usf. Dass Google-Geräte als vergleichsweise saubere Android-Exemplare gelten, zeigt wie schlimm die Situation inzwischen ist.

Gleichzeitig ist Googles Engagement für das Android-Basissystem rückläufig. Zu  sehen bekommt man das, wenn man mal eine AOSP-Rom installiert. Viele Basis-Apps (für die es inzwischen proprietäre Google-Alternativen gibt) wurden fallen gelassen und passen optisch überhaupt nicht mehr in das System. Die Community versucht diese Lücke zu schließen, aber ihre Möglichkeiten bleiben limitiert. Roms wie Cyanogenmod sind toll und die Entwickler dahinter leisten wirklich gute Arbeit, aber sie können auch nicht mehr machen, als das zu nehmen, was Google ihnen vor die Füße wirft. Eigene Releasezyklen, eine eigene Updatepolitik, so wie das auch die Linux-Distributionen hinbekommen, sind so nicht denkbar. Man muss immer dem Google-Releaseplan folgen. Das führt zu einer sehr instabilen Situation, viele Roms bekommen überhaupt keine stabilen Versionen mehr veröffentlicht. Der Nutzer hängt permanent auf Nightly-Versionen, sofern er nicht auf der verstopften Stock-Rom bleibt. Das ist im Alltagbetrieb einfach keine Lösung. Auf dem Smartphone brauchet man absolute Stabilität und keine Überraschungen durch feherhafte Updates. Dies kann man leider als Nutzer kaum kontrollieren, da Google z.B. die Play Dienste am System vorbei aktualisiert. In negativer Erinnerung ist mir dabei besonders der vergangene Dezember geblieben, als Updates der Play Services dazu führte, dass man mit CM 11-Systemen (und auch einigen anderen (Stock-)Roms) nicht mehr telefonieren konnte.

Die Entwicklung im Basissystem ist eh überschaubar. Zwar wurde die Oberfläche zwischen Kitkat und Lollipop nochmal grundlegend überarbeitet, aber wirkliche Innovationen blieben aus. Die finden mittlerweile in den Google-Diensten wie z.B.  bei Google Now statt. Schade nur, wenn man diese nicht nutzt. Die Produktivapps des Basissystems sind äußerst dürftig. Die Mailapp konnte bis vor wenigen Wochen nicht mal IMAP-Push, der Kalender ist eine Zumutung und freie Protokolle wie CalDAV werden von Haus aus gar nicht unterstützt. Was zudem besonders lustig ist, da Google Microsoft gedrängt hat, diese in Windows Phone für die Google Dienste zu implementieren.

Das BlackBerry Classic

BB OS 10 (früher BBX)

Die letzten Punkte verweisen schon auf das grundlegende Problem. Meine Smartphone-Nutzung ist eher konservativ. Ich benötige das Gerät für die Kommunikation (Messenger, SMS & E-Mail), sowie für das Telefonieren. Letzteres muss man extra nochmal betonen, weil das ja heute nicht mehr unbedingt selbstverständlich ist. Hinzu kommen Organisationsfunktionen, wie Kalender, Notizen und Aufgaben. Mobilitätsfuntionen wie  eine Maps-Anwendung und Fahrpläne sind auch wichtig, aber meine Ansprüche sind da eher bescheiden. 100 Kilometer Outdoor-Touren mit dem Fahrrad gehören tendenziell nicht dazu.

Unter Android ging das nur mit Drittanbieter-Apps. Weder die Kontakt-, noch die Kalendersynchronisation waren von Haus aus möglich, noch waren Mailapp und Kalender/Aufgaben in irgendeiner Form ausreichend.

BlackBerry OS 10 basiert auf dem unixoiden System QNX. Im Gegensatz zu seinen Vorgängern ist es vollkommen auf den Touchbereich ausgelegt. Dementsprechend waren die ersten Smartphones mit dem System wie das Z10 nicht mit einer Hardwaretastatur ausgestattet. Wirklich innovativ sind die vielen Wischgesten. Man merkt beim Einsatz eines neuen Blackberry (aber auch z.B. bei Jolla) wie sehr Android dem Prinzip des "Maus-Klicks" verhaftet geblieben ist. Vieles von dem, was Android erst mit Lollipop eingeführt hat (z.B. Benachrichtigungen auf dem Lockscreen) kann das BlackBerry auch, wengleich es eher gemächlich entwickelt wird.

Obwohl das System proprietär ist, unterstützt BlackBerry alle erdenklichen offenen Standards. Genau das macht es für mich so interessant. Synchronisation von Kalender, Kontakten und Mails ist möglich ohne auch nur den App-Store eines müden Blickes gewürdigt zu haben. Dieser ist dann auch recht mager bestückt, aber das macht ja nichts, wenn das System alles von Haus aus kann, wofür man bei Android eine App brauchte.

Wirklich innovativ ist der BlackBerry Hub, der quasi die Kommunikationszentrale des Systems ist. Mit einem Wisch in den links des Startbildschirms befindlichen Bereich (oder über das Icon) öffnet sich der Hub. In diesem laufen alle Nachrichten - egal welchen Kommunikationskanal sie benutzen - zusammen, ergänzt durch Benachrichtigungen und Telefonanrufe. Eine unfassbare Vereinfachung, in Zeiten sich stetig ausdifferenzierender Möglichkeiten zu Kommunizieren(SMS, E-Mail, WhatsApp, Telegram, BBM etc. pp.)

Ansonsten kann ich über die App-Ausstattung nicht klagen. BlackBerry Maps ist solide, mit MAPS.ME ist eine OSM-App im Store verfügbar. Der Zugriff auf meine ownCloud ist via WebDAV möglich, Office und PDF-Betrachter sind vorinstalliert. Interessante ist die Möglichkeit Android Apps aus der vorinstallierten Amazon-App zu beziehen. Gebraucht habe ich dies bisher nicht.

Das BlackBerry Classic

Mein Entscheidungsprozess führte, ähnlich wie der Aufbau dieses Artikels, vom Betriebssystem zum Smartphone. BlackBerry hat zwar ähnlich wie Apple nur eine handvoll Geräte am Start, aber diese unterscheiden sich fundamental. Das Classic ist die direkte Fortsetzung der klassischen BlackBerry Bold-Reihe. Nostalgische Erinnerungen ließen mich zu diesem greifen - ein Schritt den ich nicht bereut habe.

Am auffälligsten ist sicherlich die klassische Hardware-Tastatur. Selbst wenn man sie von früher kennt, ist sie nach Jahren mit Touch-Tastaturen ungewohnt. Bei den Touchsystemen von Android und iOS schreibt man ja seltener, als das man vielmehr über die Tasten swypt oder ungefähr in die Nähe des gewünschten Buchstabens zielt. Das System bügelt diese Fehler dann aus. Im Grunde genommen schreibt also eigentlich das System für einen. Eigentlich eine absurde Vorstellung. Bei einem BlackBerry Classic tippt man wieder selbst. Eine Autokorrektur gibt es, aber diese ist standardmäßig abgeschaltet. Anfangs war die hochgelobte Tastatur des BlackBerry für mich keine Offenbarung. Sie war gut, aber ich war damit auch nicht schneller als per Touchsystem. Nach einiger Zeit hat sich das unfassbar geändert. Man kann mit ein wenig Übung unglaublich schnell auf dem System schreiben.

Über der Tastatur sitzt der Belt genannte Tastengürtel. Anfangs war ich skeptisch, wie dieses von früheren BB's bekannte Element mit dem neuen Betriebssystem harmonieren würde. Das Ergebnis lautet: Überraschend gut!  Insbesondere die Hardwaretasten zum Annehmen und Auflegen von Telefonanrufen sind enorm praktisch. Kein blödes Ziehen über einen Ring, dessen Richtung sich auch noch bei Updates ändern kann. Das Trackpad, in Kombination mit der Tastatur machen zudem eine einhändige Bedienung im Hub möglich. Definitiv ein Pluspunkt im Alltag.

Das Display ist gemessen an heutigen Standards ziemlich klein. Nach 2-3 Tagen Eingewöhnung merkt man das aber kaum noch. Lediglich beim surfen im Browser würde man sich manchmal ein größeres Display wünschen. Ein BlackBerry Passport ist mir aber zu überdimensioniert - so wie vieles auf dem aktuellen Markt.

Die Hardwarespezifiationen sind nicht so berauschend, das wurde in vielen Testberichten kritisiert. Meiner Ansicht nach kommt dieser Hardwarewahnsinn aus der Android-Ecke, weil selbiges ein unfassbar unperformantes Betriebssystem ist und selbst auf Geräten mit der Hardwareaustattung eines Desktop-PCs ruckelt. Das System auf dem Classic läuft ruckelfrei und geschmeidig. Letztlich ist das der Sinn der Hardware.

Beim Stichwort Hardware. Das Gerät ist sehr gut verarbeitet. Die Tastatur hat einen knackigen Druckpunkt und nichts knarzt oder schabt. Der Metallrahmen gibt dem Gerät die nötige Stabilität. Die Rückseite ist leider aus Plastik und fühlt sich nicht besonders wertig an. Das war beim Bold 9900 schöner gelöst. Allerdings ist das jetzt auch nicht so dramatisch. Ich muss immer ein wenig über die Leute schmunzeln, die von ihren wertigen Glas-, oder Aluminiumrückseiten schwärmen, nur um sie dann in eine klobige Hülle zu stecken.Die geriffelte Rückseite liefert zudem einen guten Halt. Wichtig bei einhändiger Benutzung.

Fazit

BlackBerry liefert mit dem BB OS 10 ein solides Betriebssystem, das durch die gute Unterstützung offener Standards hervoragende mit Linux-Desktopsystemen harmoniert. Insbesondere die für BlackBerry typische Fokussierung auf klassische Produktivitätsbereiche wie Mails, Kalender, Kommunikation und Officedateien, kann für Anwender interessant sein. Trotz einer konservativen Hardware mit Tastatur und Hardwaretasten hat man keineswegs das Gefühl ein altes System zu nutzen. BB OS 10 ist auf der Höhe der Zeit. Wer natürlich eine möglichst große Auswahl an Spielen sucht oder Videos konsumieren will, sollte sich ein anderes System suchen. Für mich ist es gegenwärtig das beste Betriebssystem, mal sehen ob in 2-3 Jahren die neuen Mitspieler Ubuntu Touch, Plasma Mobile etc. aufgeholt haben und mich überzeugen können. Bis dahin ist mir ein proprietäres System mit guten Synchronisationsfunktionen lieber, als die Pseudo-Freiheit von Android.

16. August 2015

Webseiten zur Überprüfung der Sicherheit öffentlicher Dienste im Internet

Permalink Finns Blog

Behaupten, dass etwas aktuellen Sicherheitsstandards entspricht, kann jeder. Es selbst zu überprüfen, ist leider meistens gar nicht so einfach. Wer also keine SSL Verbindungen auf der Konsole überprüfen oder manuell nach noch nicht gestopften Sicherheitslücken suchen möchte, der kann hierfür einige Webseiten verwenden.

Gefühlt hat seit der Diskussion um “E-Mail made in Germany” und STARTTLS das Angebot solcher Überprüfungsdienste stark zugenommen, was sehr löblich ist. Eigentlich ist eher peinlich, Jahre alte Sicherheitsstandards zu implementieren und dies als Innovation zu vermarkten, aber das soll hier nicht Thema sein.

Ich nutze zwar auch openssl und ein paar Skripte auf der Konsole, um die Sicherheit von Verbindungen oder Diensten zu testen, aber wenn es mal schnell und bunt sein soll, dann nutze ich einen der folgenden Dienste sehr gerne:

STARTTLS.info

Mit starttls.info kann ein Mailserver auf seine STARTTLS Funktion überprüft werden. Dies geht zwar auch auf der Konsole in wenigen Sekunden, aber die Seite zeigt auch gleich ein paar Informationen zum Zertifkat und SSL/TLS an.

STARTTLS-infoDie Fehler treten auf, da ich ein selbstsigniertes Zertifkat nutze. Dies ändert sich hoffentlich bald, wenn letsencrypt.org an den Start geht. SSLv2, SSLv3 und schwache Cipher sind ebenfalls deaktiviert, weswegen die Bewertung ganz akzeptabel ausfällt.

SSL-Tools

Ein wenig genau schaut der Dienst von SSL-Tools hin, mit dem Mailserver und auch Webserver getestet werden können. Zusätzlich wird auf die bekannten und äußerst kritischen Sicherheitslücken Hearbleed und Poodle getestet, DANE und PFS werden auch überprüft.

SSL-Tools

IM Observatory

Für Mail- und Webserver habe ich zwei Dienste gezeigt, bleibt noch die Überprüfung eines XMPP bzw. Jabber Servers übrig. Diese möglichkeit bietet das IM Observatory unter xmpp.net. Dort können sowohl die Client2Server, als auch die Server2Server Verbindungen getestet werden.

IM_Observatory

 DANE SMTP Validator

Wenn eine Domain mit DNSSEC gesichert ist, kann man dessen Inhalt vertrauen. Dies schafft die Grundlage für DANE (DNS-based Authentication of Named Entities), womit der Hash eines SSL-Zertifkates im DNS zur Überprüfung durch den Client hinterlegt werden kann.

Unter dane.sys4.de steht ein Dienst bereit, der DANE für einen Mailserver überprüft.

DANE_SMTP_Validator

Falls ihr noch mehr solcher Dienste kennt, gerne auch für ausgefallene oder besondere Dinge, dann lasst es uns doch in den Kommentaren wissen. Vor allem die Vertrauenswürdigkeit meines SSL Zertifikates ist verbesserungsbedürftig, ansonsten sieht es im Großen und Ganzen gar nicht so schlecht aus.

DNSSEC mit PowerDNS und Poweradmin

Permalink Finns Blog

Nachdem ich zu Hause nun mit Unbound endlich DNSSEC validierende DNS Server habe, wollte ich nun auch eigene Domanis bzw. DNS Zonen mit DNSSEC signieren. Auch wenn es bisher noch wenig mit DNSSEC signierte Domains gibt, wächst der Anteil und vielleicht wird es irgendwann so selbstverständlich, wie eine mit SSL verschlüsselte HTTPS Verbindung. Ich betreibe, eigentlich nur aus Spaß an der Freude, authorative DNS Server für meine Domains. Ich nutze hierfür PowerDNS und Poweradmin und möchte kurz anreißen, welche Schritte für die DNSSEC signierung notwendig sind.

DNSSEC allgemein

DNSSEC nutzt asymmetrische Kryptographie, um eine Validierung der übermittelten DNS Informationen zu ermöglichen. Ähnlich wie bei der Signierung von E-Mails mit PGP, unterschreibt der Betreiber einer DNS Zone die Einträge mit seinem privaten Schlüssel, die ein Client dann mit dem öffentichen Schlüssel der Zone verifizieren kann. Sollten die Antworten des DNS Server manipuliert worden sein, fällt das einem Validieren DNS Resolver auf und dieser leitet die manipulierte Antwort nicht an den Client weiter.

Ähnlich wie bei SSL Zertifikaten, denen der Browser nur vertraut, wenn diese von einer CA (Certificate Authority) erstellt und unterschrieben wurden, gibt es auch bei DNSSEC eine Vertauenskette (Chain of Trust). Im Kontext von DNS fängt alles bei den Root Nameservern . an. Einige Top-Level-Domains, unter anderem auch de, haben DNSSEC implementiert und ihre öffentlichen Schlüssel bei den Root Nameservern hinterlegen lassen.

Besitzer einer de-Domain, also jemand wie ich beispielsweise, können nun ihren öffentlichen DNSSEC Schlüssel bei der DENIC (Betreiber der de-Top-Level-Domain) hinterlegen lassen, um eine DNSSEC validierte Zone zu betreiben. Ein DNSSEC Resolver, wie Unbound beispielsweise, muss daher nur den Root Nameservern vertrauen. Dort ist der DNSSEC Schlüssel zu de hinterlegt, weswegen der Resolver der de-Zone vertraut (natürlich nur, wenn die Authentizität mit dem öffentlichen DNSSEC Schlüssel überprüft und validiert werden kann). Als nächstes überprüft der Resolver den DNSSEC Schlüssel der Zone unterhalb von de, also z.B. finnchristiansen.de.

PowerDNS für DNSSEC vorbereiten

Ich gehe davon aus, dass bereits eine lauffähige PowerDNS Installation vorliegt. Die Änderungen, um PowerDNS für den Einsatz von DNSSEC umzubauen, sind relativ geringfügig.

Als Backend nutzt mein PowerDNS eine PostgreSQL Datenbank, die nun um einige Informationen ergänzt werden muss:

psql -U powerdns powerdns < /usr/share/doc/pdns-backend-postgresql-3.3.3/dnssec.schema.pgsql.sql

Je nach Version und Typ der Datenbank kann dieser Pfad ein wenig abweichen, mit z.B.

locate dnssec
  lässt sich das SQL-Schema schnell finden. Das gleiche ist für die übrigen PowerDNS Server durchzuführen. Der PowerDNS Konfigurationsdatei /etc/pdns/pdns.conf wird nun noch folge Zeile hinzugefügt, um die Nutzung von DNSSEC zu aktivieren:
gpgsql-dnssec=yes

Nach einem Neustart des PowerDNS Server kann nun das Kommando

pdnssec
  genutzt werden, um Zonen zu signieren, Schlüssel anzuzeigen und zu verwalten. Detaillierte Informationen zu PowerDNS und DNSSEC können deren Webseite entnommen werden.

Sehr hilfreich dabei ist auch das Wiki von basti79.de, dort wird zwar ein Bind-Backend genutzt, aber die Signierung und Schlüsselverwaltung wird dort kurz und gut erläutert. Im wesentlichen ist initial ein Kommando notwendig, um die Schlüssel zu erzeugen und die Zone zu signieren:

pdnssec secure-zone finnchristiansen.de

Nach diesem Schritt und nach jeder weiteren Änderung der Records ist es notwendig, die DNSSEC Informationen der Zone neu zu erstellen:

pdnssec rectify-zone finnchristiansen.de

Der öffentliche Schlüssel muss jetzt der DENIC (oder dem zuständigem Registrar) mitgeteilt werden, diesen bekommt man ebenfalls über

pdnssec
  heraus:
pdnssec show-zone dyndns.finnchristiansen.de
Zone is not presigned
Zone has NSEC semantics
keys: 
ID = 15 (KSK), tag = 4414, algo = 8, bits = 2048	Active: 1 ( RSASHA256 ) 
KSK DNSKEY = dyndns.finnchristiansen.de IN DNSKEY 257 3 8 AwEAAYYZvFH282vRGxyypXQVz2y3MbEEnlo/o6neGPmlQCWwyGY6NeIt8Ul5DbQ7DlpRUFWyTWgUN2SSaHpe8u5/VoJEjmTZwx+LHkCjvkfOuAopKPfxiKqlFufO3dQmJhI1ieLvZoRUIVUMmRzr1xe+VFZrIFwBuvU2zVW1tBX4x0WXTWPK2XI6nm9z0G0nnAoTzn+lr+0k06h7KNr25+C4EqEkoG1hW9N2DlFUL0VnxLgUb2cyUsxVxaXXXH0tsQCVcL7WMaJoyU1K7YjqYhTSQVyMTtlfC3CZ5z/zSJzGYNCwGBx+6bn4cfY6qcd/0Z7EQkUaQXJYm61zlk2GywZnvmc= ; ( RSASHA256 )
DS = dyndns.finnchristiansen.de IN DS 4414 8 1 d6b4b4fd284f15ad16dc7d68ff65ddc13eeedcbb ; ( SHA1 digest )
DS = dyndns.finnchristiansen.de IN DS 4414 8 2 a4b1b7fbb2523591d5f78e00342c4da8fc8f535cb58ed74164f60dd5c0b9820e ; ( SHA256 digest )
DS = dyndns.finnchristiansen.de IN DS 4414 8 4 99b5b6cbff1b28cef0c104264c1a91dc97a578e1e4892814aca45cba783244ddede458d69772f981e38ffc5efc55c0fd ; ( SHA-384 digest )

ID = 16 (ZSK), tag = 53833, algo = 8, bits = 1024	Active: 1 ( RSASHA256 )

Interessant ist hier der DNSKEY Record, welchen die DENIC benötigt. Mit einem whois lässt sich überprüfen, ob der DNSKEY eingetragen wurde oder wie er bei anderen Domains aussieht:

whois finnchristiansen.de | grep Dnskey
Dnskey: 257 3 8 AwEAAYSUpkENPRvSJKvgIpRB85jIgLj6I/9mFci5ZZMEI7drw5GagauJE6MXCkGGsZJVSEChUsd/PE0toCgfFLDb+QTxJirPc7x2d1PZt1MwG5r5jkjDpWqnxRVm7iepebCkEMvV+S/wfIu0V92ETph1P3oY9LjrNmHsYx8kKUq7VcEk71+7VWSeWIk3WXPGl2u4Bj7GLxi9+dQIDFv8fGBqmRdVdNaefJfmGbirQWUMFn2CeDM59xvZIM7M1iBoioN6Re4fJX0ZpljPvBJw2oHqo8WP/QvKmppgF/7tcf0rE+yAwJdgl9+pEO4MxBQbTDwsbLi5yUipQrVSsu4/+nZNQn8=

DNSSEC Support in Poweradmin aktivieren

Am einfachsten lassen sich PowerDNS Zonen mit der Webanwendung Poweradmin verwalten, welches in der Version 2.1.8 DNSSEC Support eingeführt hat. Diese Version wurde zwar noch nicht offiziell veröffentlicht, kann aber bei GitHub bezogen werden und scheint schon sehr stabil und fehlerfrei zu laufen.

Die notwendigen Anpassungen in der Poweradmin Konfigurationsdatei inc/config.inc.php sind geringfügig und selbsterklärend:

// PowerDNSSEC settings
$pdnssec_use = true;
$pdnssec_command = '/usr/bin/pdnssec';

Nun können mit PowerDNS Zonen signiert werden und, in meinen Augen der größte Vorteil, Poweradmin ruft selbstständig

pdnssec rectify-zone
auf, womit ein manuelles Ausführen dieses Kommandos nach Änderungen in der Zone nicht mehr notwendig ist.

Poweradmin_overview

Poweradmin_dnssec_buttons

Poweradmin_rectify

Die Verwendung von DNSSEC hängt natürlich von der verwendeten Software, aber ich hoffe, dass Nutzer von PowerDNS und Poweradmin nun eine kleine Vorstellung davon bekommen haben, wie DNSSEC in dieser Konstellation implementiert werden kann.

openSUSE 13.2 Box Unboxing

Permalink canox.net

Hier mal ein Unboxing der etwas anderen Art. Ein Foto-Unboxing der openSUSe 13.2 Box.

openSUSE ist eine Linux-Distribution der SUSE Linux GmbH aus Nürnberg. Sie ist vorallem in Deutschland weit verbreitet. Der Fokus der Entwickler liegt darauf, ein stabiles und benutzerfreundliches Betriebssystem mit großer Zielgruppe für Desktop und Server zu erschaffen.

Die Vorderseite ist vom Design her sehr einfach und klar gehalten.

Auf der Rückseite gibt es schon mehr Informationen. Unteranderem auch was in der Box enthalten ist.

  • DVD 1: Installation für 32-Bit & 64-Bit Systeme
  • DVD 2: Live-Systeme (32-Bit & 64-Bit)
  • Gedrucktes Handbuch mit 376 Seiten
  • Gutscheine & weiteres Info-Material

Die Regalseite ist ebenfalls einfach gehalten.

Die andere Seite gibt einige Informationen zu der auf den DVDs enthaltener Software.

Die Box geöffnet. Als erstes begrüßen einen die DVDs.

Das ist nun der gesamte Inhalt der Box.

Hier nochmal das Handbuch und die 2 DVDs.

Und die 2 DVDs noch mal ohne Handbuch.

Zu openSUSE werden demnächst einige Beiträge folgen.

15. August 2015

Automount der GNOME Shell deaktivieren

Permalink [ENC]BladeXP's Blog

Das automatische einhängen von Datenträgern war mir schon immer ein Dorn im Auge. Insbesondere wenn man des Öfteren Datenträger zur Datenrettung benutzt, ist jeder unnötige Prozess zu vermeiden. Bei meinem Lieblingsdesktop, der GNOME Shell, kann dieser Automount mit folgender Zeile in einem Terminal deaktiviert werden:

$ gsettings set org.gnome.desktop.media-handling automount false