ubuntuusers.de

Mozilla hat Firefox 74.0.1 veröffentlicht und behebt damit zwei kritische Sicherheitslücken, welche von Angreifern bereits aktiv ausgenutzt werden.

Mozilla hat soeben mit der Verteilung von Firefox 74.0.1 begonnen. Mit dem Update reagiert Mozilla in kürzester Zeit auf zwei als kritisch eingestufte 0-Day-Sicherheitslücken. Mozilla gibt an, dass beide Sicherheitslücken bereits von Angreifern ausgenutzt werden.

Download Mozilla Firefox 74.0.1

Auch ältere Firefox-Versionen sind betroffen. Mit Firefox ESR 68.6.1 behebt Mozilla die beiden Schwachstellen in der Enterprise-Version von Firefox.

Der Beitrag Mozilla veröffentlicht Sicherheits-Update Firefox 74.0.1 erschien zuerst auf soeren-hentzschel.at.

Heute hatte mich ein Benutzer angeschrieben und mich nach einer Fehlermeldung des Snap-Pakets von AusweisApp2 unter Debian 10 gefragt. Dabei poppt eine Dialogbox auf und sagt, dass Port scbon 24727 belegt sei.

Diese Meldung erscheint aus folgendem Grund:

Das Paket „snapd“ aus Debian 10 ist zu alt. Es ist noch auf dem Versionsstand 2.37 während unter Ubuntu die Version 2.44 aktuell ist. Leider gibt es keinen Backport von „snapd“ für Debian 10, aber man kann sich aber auf anderem Weg helfen:

Man installiert einfach die das Snap-Paket „snapd“:

snap install snapd

Falls es eine Fehlermeldung geben sollte, muss noch das Paket „core“ installiert werden:

snap install core

Danach loggt man seinen Benutzer kurz aus und wieder ein und die Fehlermeldung ist verschwunden.

Eigentlich nimmt man heutzutage GIT.

Ich nicht, da ich auch nur meine eigenen Spielereien etwas sichern und den Überblick behalten möchte, verwende ich CVS.

Braucht keiner nachmachen, ich schreibs halt hier mal auf, damit ich es wiederfinde, wie ich es aufgesetzt habe.

Schönere Anleitungen gibt es im Netz, hier die Variante, die bei mir werkelt.

Mein Repository liegt auf dem Rootserver.

CVSROOT=/var/CVS

Zugriff kann lokal oder über ssh erfolgen.

Dafür habe ich

export CVSROOT=:extssh:IP-adresse:/var/CVS

in der .bashrc des Client.

Damit das Ganze funktioniert muss der lokale user auch auf dem Server existieren und den sshkey im authorized_key hinterlegt haben.

Jetzt kann auf dem Client z.B. ein Verzeichnis importiert werden.

cvs import Elektronik bed start

Elektronik ist der Ordner Name und bed ist der user.

Selbstredend sollte der Ordner Elektronik frei von unnötigem Zeug sein, sonst wird das auch versioninert. Einige wenige Dateien werden allerdings auch per default ignoriert.

Es öffnet sich nano und fragt nach einem Kommentar. Mit -m "bla fasel" könnte man das umgehen, mache ich gewöhnlich aber nicht.

Jetzt sollte eine Liste von "N Dateinamen" erscheinen, damit ist das importieren erfolgreich.

Danach kann man mit cvs co Elektronik das Verzeichnis ausschecken und so zum bearbeiten vorbereiten

Ps: Nicht vergessen, 

 /var/CVS 

In den letzten Wochen habe ich eine Software ausprobiert, die schon lange auf meiner Liste stand: Wekan. Wekan ist eine Open Source Alternative für Trello, einer Kanban-Software. Mit ihr lassen sich mit der Kanban-Methode Projekte oder Abläufe managen. Manche verwenden es auch als Aufgabenmanagementsystem. Es gibt verschiedene Open Source Alternativen zu Trello – Wekan ist eine, die dem Original am nächsten kommt. Ich möchte heute zeigen, wie man Wekan installiert und einrichtet.

Installation

Wekan kann man auf verschiedene Art und Weise installieren (manuell, Docker, snap, …). Wir werden es heute in einem LXD Container (Ubuntu 18.04) einrichten (LXD Container waren hier schon mehrmals Thema im Blog). Als erstes erstellen wir einen Container für Wekan:

$ lxc launch ubuntu:b wekan

Nachdem der Container erstellt und gestartet ist, loggen wir uns im Container ein:

$ lxc exec wekan bash

Wir werden Wekan als Snap installieren. In den Ubuntu LXD Container ist snapd schon installiert. Wir können also direkt Wekan installieren mit

$ snap install wekan

Nun legen wir die Haupt-URL und den Port für Wekan fest:

$ snap set wekan root-url="http://wekan.example.com"
$ snap set wekan port="80"

Optional kann man noch einstellen, das Updates automatisch installiert werden:

$ snap set core refresh.schedule=02:00-04:00

Fertig 🙂

Einrichtung

Nun können wir unter der IP unseres LXD Containers Wekan aufrufen. Wenn man LXD nicht lokal, sondern auf einem Server betreibt, kann es unter Umständen hilfreich sein eine Netzwerkbrücke für den Container einzurichten. Alternativ kann man auch Nginx als Reverse Proxy verwenden. Hinweise zur Einrichtung findet man im Wiki von Wekan.

Hinweis: Der erste Benutzer, den wir einrichten, ist Administrator für Wekan.

Wir klicken als auf Registrieren und legen einen neuen Benutzer an.

Wenn wir nun auf Registrieren klicken, erscheint eine Fehlermeldung („Internal Server Error“). Das liegt daran, weil wir noch keinen EMail-Server eingerichtet haben.

Wekan funktioniert aber auch ohne einen EMail-Server, deswegen öffnen wir einfach wieder unsere Hauptseite (wekan.example.com bzw. die IP des Containers) und können uns mit den eben angelegten Benutzer anmelden.

Nun können wir neue Boards in diesen neue Listen und Karten erstellen. Die Funktionsweise ist dem von Trello sehr ähnlich.

Fazit

Wer nach einer Open Source Alternative für Trello sucht, die man selber hosten kann, findet in Wekan einen guten Ersatz. Ich habe bisher oft Trello verwendet. Mit Wekan habe ich endlich einen Ersatz gefunden, der so ziemlich ein 1:1 Ersatz für Trello ist.

Kommentar hinzufügen

Der Beitrag Wekan – eine Open Source Trello Alternative erschien zuerst auf .:zefanjas:..

Wer die Nische in der Nische suchte wurde bisher bei BSD in seinen vielen Variationen sehr glücklich. In den letzten Jahren gab es dort einige Versuche näher an den Endverbraucher heran zu rücken. Nun gibt es Umbrüche und einen Schwenk zu Linux.

BSD ist was für Anwender denen Linux zu langweilig geworden oder zu instabil ist. Instabil hier nicht im Sinne des Verhaltens sondern der Technologien. Bei Linux gab es in den letzten Jahren viele technologische Entwicklungen, die Widerstände hervorriefen und Inkompatibilitäten zwischen den einzelnen Distributionen und ihren Versionen erzeugten. Man denke nur an PolicyKit, systemd, udev etc. pp. BSD in seinen vielen Variationen ist hier viel stabiler.

Ich hatte deshalb einen Blick auf FreeBSD riskiert (siehe: FreeBSD - Ein Blick über den Tellerrand lohnt sich & FreeBSD 11 mit Plasma 5 installieren) und mir auch Desktop-orientierte Varianten angesehen (siehe: BSD im Folgetest - GhostBSD). Lange Jahre im Einsatz hatte ich zudem FreeNAS (siehe: Ausflug in die BSD-Welt: FreeNAS & FreeNAS oder openmediavault?). Vielleicht die BSD-Variante mit den meisten Endverbraucher-Anwendern.

In den letzten Wochen und Monaten gab es in der BSD-Szene Umbrüche in einem bisher unbekannten Ausmaß. Den Anfang machte Project Trident, das zukünftig auf Void Linux basiert. Davon unabhängig gab iXSsystems bekannt FreeNAS und den bisherigen kommerziellen Ableger TrueNAS auf eine gemeinsame Codebasis zu stellen und damit zu vereinen. Während diese Ankündigung in ihren Auswirkungen noch überschaubar ist, könnte die bisher etwas nebulöse Ankündigung TrueNAS/FreeNAS auf Linux zu portieren noch ungeahnte Folgen haben.

Man darf gespannt sein wohin das führt. In der Gesamtschau wirken die Ankündigungen ein wenig so, als ob die Ambitionen BSD näher an den Anwender zu bringen aufgegeben werden und man sich auf den Einsatz bei Großkunden konzentriert. Damit würde natürlich ein Stück Vielfalt verloren gehen. Zumal die BSD-Community in vielen Aspekten weniger engstirnig und freiheitlicher war als GPL/Linux.

Bilder:
Einleitungsbild und Beitragsbild von von geralt via pixabay

Wir freuen uns, die Veröffentlichung von Friendica “Red Hot Poker” 2020.03 bekannt zu geben!

Vielen Dank an alle Helfer während der Release Candidate Phase (öffentlicher Beta Test), die an etlichen Ecken der Veröffentlichung gefeilt haben. Fast 400 Meldungen gingen entsprechend dem Meilenstein in diese Veröffentlichung ein.

Neben all diesen Korrekturen wurden auch einige neue Funktionen eingeführt. Hier einige Highlights:

• Wir haben den “Audio"-Typ für ActivityPub Beiträge übernommen und föderieren jetzt mit Funkwhale .
• Die Mehrfachprofil-Funktion wurde entfernt und durch Freiformprofilfelder ersetzt, die Sie verschiedenen Zielgruppen (nicht verifizierte Besucher Ihres Profils und ausgewählte Friendica-Kontakt/-Gruppen) präsentieren können. Die alten (zusätzlichen) Profile werden automatisch in das neue Format konvertiert.
• Die Option des versteckten Profils wurde durch eine hoffentlich klarere Option ersetzt, um Ihre öffentlichen Postings auf der Gemeinschaftsseite Ihres Knotens (Home Servers) nicht aufzuführen.
• Das Erstellen von delegierten Konten wurde vereinfacht.
• Die Zugänglichkeit (Accessibility) über den Webbrowser wurde verbessert.
• Administratoren können nun die Benutzer ihres Knotens von der Kommandozeile aus verwalten.
• Ein Addon zur Verwendung von Markdown anstelle von BBCode beim Verfassen neuer Postings und Kommentare wurde hinzugefügt.

Eine vollständige Liste der Änderungen finden Sie im CHANGELOG.

Vielen Dank an alle, die diese Version möglich gemacht haben!

Den vollständigen Originalartikel und weiterführende Informationen zur Installation und zum Update finden Sie auf der Friendica Projektseite auf Englisch https://friendi.ca/2020/03/30/friendica-red-hot-poker-2020-03-released/

Der eine oder die andere hat sicherlich mitbekommen, dass ein reales Treffen mit der eigenen Spielegruppe derzeit nicht zu den besten Ideen gehört. Manch einer mag aber dennoch nicht auf die wöchentliche Dosis „Scythe“, „Suburbia“ oder „Scrabble“ verzichten. Glücklicherweise gibt es hierfür ein paar Online-Alternativen, mit denen die Analogspieler sich virtuell treffen und vergnügen können – wenn die Server die Last denn aushalten.

BrettspielWelt

Die BrettspielWelt existiert bereits seit 1998. Ich habe immerhin 10 Jahre gebraucht, um das Portal zu finden und 2008 einen Artikel für freiesMagazin darüber zu schreiben.

Viel hat sich seitdem nicht geändert – zumindest für den Linux-Client – wobei ich nicht weiß, ob das positiv oder negativ ist. Eine Registrierung auf der Webseite bzw. im Client ist möglich, aber nicht zwingend erforderlich, um mitspielen zu können. Die Client-Oberfläche, welche auch für Windows und Mac OS X zum Download bereitsteht, wirkt etwas altbacken. Sie hat sich in den letzten zwölf Jahren nicht verändert und die Übersicht leidet ein klein wenig. Auf der Hilfeseite könnt ihr immerhin mehr über die Bedienung des Clients lesen.

BrettspielWelt-Client unter Linux

Den Online-Client im Browser finde ich dagegen noch etwas unübersichtlicher, zumal ich auf Anhieb auch keine Hilfeseite oder Erklärung gefunden habe, was die unterschiedlichen Icons machen. Eine Einladung an konkrete Mitspieler hat nicht funktioniert, aber das Eröffnen eines öffentlichen Spieletisches habe ich hinbekommen und wir konnten losspielen.

Die Spieleauswahl ist ganz gut. Es gibt recht neue Titel wie „Die Crew“, „Hadara“ oder „Ganz schön clever“, aber auch einige neue Klassiker wie „Evolution”, „Marco Polo“, „Stone Age“ oder „7 Wonders“. Natürlich finden sich dort auch die beiden großen, modernen Brettspiel-Wegbereiter „Carcassonne“ von 2000 und „Siedler von Catan“ von 1995.

BrettspielWelt-Online-Client mit seiner Spieleauswahl

Die Spiele in BrettspielWelt sind voll ausprogrammiert und die Anwendung übernimmt die Verwaltung von Material, Würfeln, Karten etc. Die virtuellen Spieler müssen sich also um nichts kümmern außer die gewünschten Aktionsfelder, Karten etc. anzuklicken. Die meisten Spiele sind intuitiv zu bedienen. Bei „7 Wonders“ wird mir beispielsweise angezeigt, welche Karten ich kostenlos bauen kann oder wo ich noch etwas zuzahlen muss. So kümmert sich die Webseite komplett um die Einhaltung der Spielregeln. Vor allem bei Spielen mit viel Verwaltungsaufwand finde ich das sehr praktisch.

Yucata

Eine andere Brettspielplattform ist Yucata, die seit 2001 existiert. Ähnlich wie BrettspielWelt übernimmt die Webseite die Verwaltung des Spielmaterials und der Regeln. Auch hier werden beispielsweise bei „Russian Railroads“ möglich Arbeitereinsetzfelder farblich hervorgehoben und gleich angezeigt, wo ein Spieler nichts mehr einsetzen kann.

Die Besonderheit bei Yucata ist, dass die Spieler oft asynchron spielen. Das heißt, ich mache meinen Zug, wenn ich gerade die Zeit dafür und warte dann ggf. einen Tag auf die Reaktionen meiner Mitspieler. Was bei Schach noch ganz gut funktioniert, ist bei anderen Strategiespielen mit mehr Informationen wie zum Beispiel „Russian Railroads“ in meinen Augen nicht so gut machbar. Glücklicherweise klappt auch das Live-Spiel im Browser, auch wenn die Bedienung laut eigenen Aussagen etwas hängen kann.

Die Spieleauswahl bei Yucata hat einen ähnlichen Aktualitätsgrad wie die der BrettspielWelt. So gibt es zum Beispiel neuere Spiele wie „Chakra“, „Volt“ oder „Carpe Diem“, aber auch neue Klassiker wie „Marco Polo“ , „Russian Railroads“ , „La Granja“ oder „Brügge“ .

Die Oberfläche wirkt auf mich etwas intuitiver als bei BrettspielWelt. Ein Spiel zu starten und Mitspieler einzuladen, ist recht schnell erledigt, auch ohne eine Anleitung gelesen zu haben.

Spieleauswahl bei Yucata

Board Game Arena

Als dritte Spielewebseite, welche die Verwaltung des Spiels und der Regeln übernimmt, existiert die Board Game Arena. Das Erstellen neuer Spiele und das Mitspielen ist von allen bisher genannten Seiten am einfachsten. Spiel auswählen, Tisch eröffnen oder beitreten, fertig.

Einen kleinen Haken hat die Sache: Einige Spiele sind als Premium-Spiele markiert, zu erkennen an einem gelben Marker. Für diese dürfen nur zahlende Mitglieder einen neuen Tisch eröffnen. Und dazu gehören eben auch zahlreiche beliebte oder neuere Spiele wie „Carcassonne“, „7 Wonders“, „Sushi Go“, „Terra Mystica“ oder „Love Letter“. Dennoch ist die restliche Spieleauswahl immer noch groß genug, sodass sich niemand mit einem kostenlosen Account langweiligen müsste.

Vom Schwierigkeitsniveau ist bei den Spielen alles dabei. „Tzolk'in“, „Im Wandel der Zeiten“ oder „Clans of Caledonia“ erfreut die Vielspieler. Dagegen gibt es auch kleinere Kartenspiele wie „6 nimmt“, „Love Letter“ oder ganz einfach nur „Skat“.

Spielauswahl bei der Board Game Arena

Tabletopia

Von großer Beliebtheit in der Vielspieler-Welt ist Tabletopia. Über 800 Brettspiele gibt es auf der Plattform. Dabei gibt es eine Besonderheit: Tabletopia ist nur ein Simulator. Das heißt, die Plattform stellt Karten, Spielmaterial und den Server zur Verfügung, ein Spiele-Verlag kann dann sehr leicht mit passenden Grafiken das Spiel wie in der Realität erstellen und aufbauen. Die Spieler setzen sich dann an den virtuellen Tisch und spielen wie ein reales Spiel. Sie müssen die Regeln kennen, Karten selbst austeilen, Meeples eigenständig mit der Maus von A nach B schieben und so weiter.

Dieses Sandbox-System erlaubt es den Spiele-Verlagen oder Spiele-Autoren sehr schnell, eine digitale Version ihres Spiels bereitzustellen, ohne sich groß mit einer Verwaltungsmaschine dahinter auseinander setzen zu müssen. Spieler kommen so viel schneller in den Genuss eines Prototyps, was vor allem bei Kickstarter-Projekten gerne genutzt wird.

Einen Nachteil hat das Ganze: Es ist für mich als Spieler eher umständlich. Am realen Spieltisch habe ich alles im Blick. Ich erkenne das große Ganze, aber ich kann auch Details erkennen, die sich in einer Ecke des Spielbretts abspielen. Arbeiter sind schnell in die Hand genommen und gesetzt. Nebenbei kann ich noch mit meinen Ressourcen-Plättchen herumspielen. Virtuell ist das nicht so einfach! Wenn ich an eine bestimmte Stelle hineinzoome, kann ich zwar die Details lesen, dafür fehlt mir aber der Überblick. Und umgekehrt hatte ich zum Beispiel bei „On the Underground“ zwar das ganze Spielbrett auf dem Bildschirm, aber die einzelnen Namen konnte ich nicht mehr erkennen. Das Material aus einem Säckchen zu ziehen und dann auf den gegenüberliegende Platz am Spieltisch zu legen dauert gefühlt Ewigkeiten. Allein das Aufnehmen der Spielfigur und Setzen fühlt sich einfach sehr langsam und behäbig an. Ein Spielmaterial-lastiges Spiel wie „Kanban“ damit zu spielen war ein Graus. Ein angenehmes Spielgefühl kam bei mir definitiv nicht auf.

Was schade ist, denn „Tabletopia“ bietet einige hochkarätige und vor allem neue Spiele wie „On Mars“, „Flügelschlag“, „Scythe“, „Clans of Caledonia“, „Everdell“ oder „Trickerion“ an. Ähnlich wie bei Board Game Arena gibt es einige Spiele, die nur mit einem Premium-Konto gespielt werden können. Manchmal gibt es auch Einschränkungen bei der Spieleranzahl oder Fraktions-/Charakterauswahl. Die restliche Auswahl ist aber immer noch riesig. Ihr müsst es eben mögen, dass ihr alle selbst virtuell mit der Maus umherschubsen müsst.

Kleine Spielauswahl bei Tabletopia

Tabletop Simulator

Ein weiteres Sandbox-System steht mit dem Tabletop Simulator seit 2015 zur Verfügung. Dieser existiert aber nur für Steam (für Windows, Mac OS X und ungetestet auch Linux), was ich nutze, sodass ich das Programm nicht testen konnte, zumal es auch ca. 20 € kostet.

Bei Steam stehen über 200 Brettspiele für den Tabletop Simulator zum Download bereit, unter anderem „Flügelschlag“, „Scythe“, „Zombicide“, „Viticulture“ oder „Blood Rage“. Die Spiele kosten dabei selbst noch etwas, der Preis liegt zwischen 5 und 10 Euro. Daneben gibt es noch einige Tausend andere Spiele kostenfrei im Steam Workshop. Darunter sind dann Titel wie „Frosthaven“, „Splendor“, „Welcome to“, „Burgen von Burgund“, „Teotihuacan“, „Azul“ oder „Die Crew“.

Nachtrag: Boiteajeux

Als Empfehlung gab es im spielen.de-Forum noch eine weitere Spieleseite: Boiteajeux. Ich bin leider nicht so französisch-affin, um den Seitentitel zu übersetzen, aber die Webseite ist u.a. auch in Deutsch gehalten.

Die Spieleauswahl ist vor allem im Vergleich mit den anderen Seiten übersichtlich. Aber unter den 50 angebotenen Spielen sind einige großartige Spiele wie „Kanban“, „Tzolk'in“ und vor allem „Myrmes“, was für mich die Spieleplattform sehr attraktiv macht.

Die Eröffnung eines Spieletisches ist sehr simpel und auch die Übersicht der offenen Spiele, die auf Mitspieler warten, ist sehr gut. Vor allem „Dixit“ scheint auf Boiteajeux sehr beliebt zu sein mit über 300 offenen Partien. Wir haben bisher nur „Kanban“ ausprobiert, aber das Spiel präsentiert sich echt super, intuitiv und macht echt viel Spaß. Im Gegensatz zu Tabletopia übernimmt die Plattform die gesamte Steuerung und die Regeln, sodass auch so ein Schwergewicht Spaß macht zu spielen. Nur des Englischen müssen die Spieler mächtig sein, wobei „Kanban“ ja nicht viel Text enthält. Ich vermute, das die meisten anderen Spieler ebenfalls nicht auf Deutsch angeboten werden.

Spieleauswahl auf Boiteajeux

Fazit

„Tabletopia“ und der „Tabletop Simulator“ sind definitiv nichts für mich. Wenn ich schon digital spiele, dann doch bitte mit Computer-Unterstützung, sodass ich mich nicht mit dem ganzen Verwaltungskram auseinandersetzen muss. Wenn ich etwas Reales mit Haptik zum Anfassen habe, dann gerne. Aber die ganze Zeit die Maus durch die Gegend schubsen? Das mache ich bereits tagsüber an der Arbeit.

Daher sagen mir Board Game Arena, Boiteajeux, Yucata und BrettspieltWelt am meisten zu – und zwar in genau der Reihenfolge. Board Game Arena hat eine sehr gut, vielfältige und hochkarätige Auswahl. Da steht Boiteajeux hinten an, dafür sind die Spiele dort nicht als Premium markiert, sodass jeder sie spielen darf. Die Auswahl bei Yucata und BrettspielWelt ist hoch, aber die Aktualität nicht ganz up-to-date. Von der Oberfläche her haben Boiteajeux und Board Game Arena die einfachste und intuitivste Bedienung. Aber sicherlich werde ich für das eine oder andere Spiel mal die Seiten wechseln – jetzt, wo ich schon überall ein Konto habe.

Was noch wichtig ist: Ab 18 Uhr sind die (derzeit Ende März) Server der meisten Anbieter sehr gut ausgelastet bzw. überlastet. Board Game Arena lässt beispielsweise nicht mehr als 18.000 Menschen gleichzeitig auf den Server. Bei Yucata hing unser Spiel „Russian Railroads“ um diese Zeit öfters fest und wir mussten den Spieletisch mehrmals neu laden. Immerhin: Zu keinem Zeitpunkt während des Tests wurde ein Spiel aufgrund von Überlastung komplett abgebrochen. Und wenn es heute mal nicht weitergeht, kann man es ja virtuell stehen lassen und morgen weiterspielen.

Freie Software spielt auf Smartphones und Tablets kaum eine Rolle. Dem eigentlich freien Android legt Google immer mehr Fesseln an und freie Alternativen sind nicht in Sicht. Besserung zeichnet sich nicht ab, die Situation wird sogar immer schlechter.

In kaum einem Bereich wäre freie Software so wichtig für das Vertrauen in die Funktionsweise des Geräts wie bei den mobilen Geräten, die wir ständig bei uns tragen. Der Datenabfluss von Windows 10 ist ständig Thema, aber zumindest mein PC hat kein Mikrofon, keine Webcam und kein GPS-Modul verbaut. Smartphones, Tablets und Smartwatches sind hingegen perfekte Spionagewerkzeuge. Wir tragen sie ständig bei uns, die haben an Vorder- und Rückseite Kameras, Mikrofone, GPS-Module, Bluetooth und WLAN. Hinzu kommen viele kleine Sensoren um Annäherung oder Lagerungsänderungen zu bemerken.

Freie Software lässt natürlich diese Sensoren nicht verschwinden, aber sie stärkt das Vertrauen in die Funktionsweise der Software (siehe: Reflexionen: Der Kern ist Vertrauen). Wenn die Betriebssysteme hingen mit großen Werbenetzwerken verbunden sind, bewirkt das so ziemlich das Gegenteil. Das Menetekel staatlicher Überwachung sei hier noch gar nicht angesprochen.

Android - Ist doch im Kern frei?

Android ist im Kern (AOSP) ein freies System. Dieses freie System ist im Gegensatz zu Apples Darwin sogar lauffähig. Viele Befürworter von Android als freies und sicheres System machen diesen Punkt immer besonders stark. Google tut aber alles dafür um dieses System unbrauchbar zu machen.

Vor 6 Jahren besaß ich ein Nexus 4 auf dem CyangenMod lief (sowohl die Nexus-Serie, als auch Cyanogen gibt es nicht mehr). Google reicherte schon damals das freie Kernsystem durch eigene Apps an - in der Modder-Szene GApps genannt. Diese konnte man installieren oder es auch sein lassen. Je nachdem hatte man halt Zugriff auf den Play Store und Dienste wie GMail oder eben nicht. F-Droid gab es damals schon und im Grunde genommen war jede App auch auf einem nackten AOSP-System lauffähig. Notfalls halt per Sideload, allerdings natürlich mit den bekannten Implikationen für die Sicherheit.

Bereits damals war absehbar, dass Googles Engagement für den freien Kern rückläufig war (siehe: "Zum Stand der Open Source Mobilsysteme" oder "Warum man zu einem BlackBerry Classic greift"). Google schmiss der Gemeinschaft regelmäßig neue Versionen vor die Füße und gliederte Neuentwicklung - selbst so etwas zentrales wie den Launcher - zunehmend in proprietäre Erweiterungen aus. Die Gemeinschaft musste offenkundig immer größere Anstrengungen unternehmen um hier den Anschluss zu halten.

In den letzten Jahren hat diese Entwicklung an Fahrt aufgenommen. Jede Maßnahme zur Stärkung der Sicherheit ging zu Lasten der Funktionsfähigkeit des freien Kerns. Dabei ist gar nicht zu leugnen, dass einige dieser Maßnahmen notwendig waren und die Sicherheit verbessert haben. Die Frage ist lediglich: Hätte es nicht auch alternative Vorgehensweisen gegeben, mit denen man die freie Basis nicht derart beschädigt hätte?

• So entschied man bei Google beispielsweise zur Linderung der ewigen Update-Problematik Systembestandteile über den Play Store zu aktualisieren.
• Eine weitere Bedrohung ist SafetyNet. Das in den Play Diensten versteckte SafetyNet sammelt kontinuierlich Daten über das Gerät und sendet diese an Google. Wird das Gerät als inkompatibel erkannt, z. B. weil es gerootet wurde oder ein Custom ROM läuft, ist die Funktionsfähigkeit von Apps, die SafetyNet voraussetzen eingeschränkt oder sogar komplett unmöglich. Das betrifft gegenwärtig vor allem Mobile Payment und Banking-Apps, lässt sich aber theoretisch ausdehnen.
• Viele Apps sind mit Google Cloud Messaging (GSM) verzahnt und verweigern ohne die Funktion. Öffentlich thematisiert wurde dies zuletzt wegen Signal, das ironischerweise ursprünglich nicht auf AOSP-Systemen funktionierte.

Das Engagement der Community ist stark rückläufig, wie auch einige Leser hier bestätigten (siehe: Custom ROMs in der Krise?). Es gibt weniger Custom ROMS und immer weniger Hardware wird von den verbliebenen Projekten unterstützt. Freie Apps, wie sie bei F-Droid kuratiert werden, gibt es zwar aber das Ökosystem bleibt auf einem niedrigen Niveau. Besserung ist hier seit Jahren nicht in Sicht. Sollte Google die aktuellen Tendenzen in der Entwicklung fortsetzen könnte die eigenständige Funktionsfähigkeit von AOSP sogar grundsätzlich in Frage stehen bzw. eine vollständige Trennung von AOSP + freie Apps und Google-Android notwendig werden. Hier würde sich dann die Frage stellen, ob es noch genügend Entwickler anziehen würde oder ob man den abschüssigen Weg der freien Alternativen einschlagen würde.

Freie Alternativen

Der Markt für wirklich freie Alternativen entwickelt sich auch negativ. Einstige Hoffnungsträger haben aufgegeben, sich in eine Nische begeben oder bleiben in der Rolle als ewige Nachwuchshoffnung verhaftet. Übrig sind eigentlich nur zwei Projekte und eine Ankündigung.

Jolla / Sailfish

Hinter Sailfish (ehm. Sailfish OS) steht nach wie vor das finnische Unternehmen Jolla, das von ehemaligen Nokia-Mitarbeitern gegründet wurde und an Entwicklungen wie das N9 und MeeGo anknüpfte. Die letzten Jahre liefen aber eher schlecht. Nachdem man sich an einem Tablet-Projekt verhoben hatte und dieses einstampfen musste kämpfte man mit erheblichen finanziellen Problemen. In den letzten Jahren kooperierte man zunehmend mit dem russischen Staat (siehe. Jolla / Sailfish OS - Zu enge Staatsverbindungen?). Zu den Leistungen gehört aber die Kooperation mit Sony, wodurch einige halbwegs moderne Sony-Smartphones als Hardware zur Verfügung stehen.

Problematisch ist zudem, dass die Oberfläche von Sailfish keine freie Software ist, sondern man lediglich im Unterbau viel freie Software einbezieht. Sailfish OS ist daher als freie Alternative zu Android schon hinsichtlich der Lizenzierung ungeeignet.

Sailfish ist unter den alternativen Betriebssystemen sicherlich eine der ausgereifteren Varianten. Im Gegensatz zu anderen Testern hat es mich persönlich allerdings schon 2015 nicht vom Hocker gehauen (siehe von damals: Sailfish OS auf dem Nexus 4 ausprobiert). Das jüngste Update auf Sailfish 3 beinhaltete auch eher Neuerungen aus dem Bereich der Produktpflege und war alles andere als ein großer Wurf.

Meiner Meinung nach hat Jolla den gleichen Fehler wie BlackBerry begangen. Um die Nutzer mit Apps ködern zu können hat man sich zum Android Ökosystem geöffnet. Dadurch hat man allerdings die eigene Plattform geschwächt und Anreize zum entwickeln nativer Apps genommen. Sailfish OS kann daher ohne Android Apps heute kaum noch funktionieren und verliert damit immer mehr an Attraktivität.

Ubuntu Touch

Canonical hatte mit Ubuntu Touch große Erwartungen geweckt. Medienwirksam setzte man auf eine groß angelegte Crowdfunding-Initiative, die dann auch fulminant scheiterte - aber wenigstens viel Aufmerksamkeit einbrachte. Das Ziel war nichts weniger als absolute Konvergenz der Systeme, ein Konzept, an dem sich schon ganz andere die Zähne ausgebissen haben. Letztes Jahr zog man dann auch die Reißleine und beendete die konvergenten Träume.

Relativ überraschend fand sich dann aber doch eine Community, die das System übernahm und weiterentwickelte. Entgegen den Erwartungen gelang es der Community gelang es der Community tatsächlich die Entwicklung voran zu treiben und den Anschluss an die aktuelle Ubuntu Basis zu halten.

Problematisch ist allerdings die Hardware Unterstützung. Die offiziell vorgestellten Devices sind alle museumsreif und die Community Devices kaum besser. Hoffnung macht hier das Volla Phone auf dem Ubuntu Touch laufen können soll.

Mehr als eine Nischenrolle dürfte aber auch zukünftig nicht drin sein.

Purism Librem 5

Purism 5 ist fulminant gestartet und wird meiner Meinung nach ebenso krachend scheitern. Die Entwickler haben sich mit der parallelen Entwicklung freier Hardware und freier Software vollkommen verhoben. Anstelle zumindest bei der Software mit bestehenden Projekten wie Plasma Mobile oder UBports zu kooperieren, wollte man unbedingt etwas eigenes auf Basis des vollkommen ungeeigneten GNOME erstellen.

Das was sie zustande gebracht haben ist bestenfalls ein netter Versuch (siehe: Purism Librem 5 - Bestenfalls eine Experimentalstudie), sofern es überhaupt noch ausgeliefert wird (siehe: Kommentar: Librem 5 kommt später und nicht vollständig). Jüngst durfte die Corona-Krise für die Begründung einer weiteren Verzögerung herhalten.

Man kann sich zudem manchmal nicht des Eindrucks erwehren, dass Purism ein bisschen nach dem Schneeball-System arbeitet (siehe dazu auch die Links hier: Links der Woche KW 50 - Purism, Onlineshopping und Linux). Man bringt kaum ein Projekt zu Ende und kündigt stattdessen immer neue Offensiven an. Jüngst startete man eine Kampagne für einen Mini-PC.

Zusammengefasst

Android wird sukzessive unfreier, sogar die langfristige Funktionsfähigkeit von AOSP darf bezweifelt werden. Das Projekt hängt auf Gedeih und Verderb am guten Willen von Google. Wirklich freie Alternativen sind nicht in Sicht. Sailfish ist weder frei, noch unabhängig und ebenfalls eng mit Android verwoben. Purism ist mit dem Librem 5 meiner Ansicht nach gescheitert, lediglich das Eingeständnis steht noch aus und Ubuntu Touch kann allenfalls in der Nische überdauern.

Bei meinen letzten Bestandsaufnahmen hatte ich noch Hoffnung auf freie Newcommer in diesem Bereich, aber aktuell gibt es kaum etwas, was hier noch Anlass zu Hoffnung gibt.

Bilder:

Einleitungs- und Beitragsbild von Bru-nO via pixabay

Die beiden genannten Anwendungen ergänzen erst seit kurzer Zeit meine SysAdmin-Werkzeugsammlung und werden im folgenden kurz vorgestellt.

Um Programme auch nach dem Beenden einer SSH-Sitzung weiterlaufen lassen zu können, habe ich in der Vergangenheit unter verschiedenen Distributionen das Programm screen verwendet. Mit dem Release von RHEL 7.6 (en) ist screen deprecated (en). Da es somit in RHEL 8 nicht mehr enthalten ist, wurde es Zeit, sich nach einer Alternative umzusehen, welche ich in tmux gefunden habe.

Mit tmux werden die gleichen Anforderungen erfüllt, welche ich an screen gestellt habe und ermöglicht es darüber hinaus, innerhalb eines Terminals oder einer Terminalemulation verschiedene virtuelle Konsolensitzungen zu erzeugen und zu verwalten. Sitzungen können getrennt („detach“) und später weitergeführt werden („attach“). Auch die Möglichkeit, ein Fenster vertikal und horizontal in mehrere „panes“ zu unterteilen, finde ich sehr praktisch.

Die Möglichkeit, ein tmux-Fenster in verschiedene Bereiche zu unterteilen, brachte mich zu der Frage, ob es damit nicht auch möglich ist ein weiteres Werkzeug aus meiner Sammlung abzulösen.

Cluster SSH (en) ermöglicht es, auf einfache Weise parallele SSH-Sitzungen zu mehreren Hosts aufzubauen. Für jeden Host wird dabei ein eigenes xterm-Fenster geöffnet und Befehle können zeitgleich an alle verbundenen Hosts gesendet werden.

Zwar bietet auch tmux mit der Option „synchronize-panes on“ die Möglichkeit, Befehle gleichzeitig an mehrere „panes“ zu senden, doch müssen diese und die SSH-Sitzungen darin zuvor manuell hergestellt werden, was sich als recht umständlich erwies.

Hier betritt nun tmux-xpanes (en) von Yasuhiro Yamada die Bühne, welches diesen Arbeitsschritt enorm erleichtert.

Ich pflege recht umfangreiche ssh_config(5)-Dateien, welche sich hervorragend durch tmux-xpanes nutzen lassen. Folgendes Bild soll die Anwendungsmöglichkeiten veranschaulichen:

Eine umfassende Beschreibung der hier vorgestellten Werkzeuge würde den Umfang eines Artikels sprengen. Daher sei für weiterführende Informationen auf die folgende Linksammlung verwiesen.

Linksammlung zu tmux und tmux-xpanes

• tmux-Projektseite (en) mit Beispielen und Dokumentation
• tmux-xpanes-Projektseite (en) mit ausführlichen Installations- und Anwendungshinweisen
• tmux cheat sheet (PDF)
• tmux cheat sheet (Markdown)
• Tmux Cheat Sheet & Quick Reference
• tmux – ArchWiki (en)
• tmux – Ubuntuusers Wiki (de)

Die Verschlüsselung von Daten spielt eine wichtige Rolle für die Sicherheit. Dies betrifft nicht nur die Verwendung von HTTPS anstelle von HTTP. Auch über das FTP-Protokoll können Daten unverschlüsselt übertragen werden. In Kürze wird die FTP-Unterstützung in Firefox Nightly deaktiviert werden. Entgegen der Berichterstattung auf diversen anderen Seiten jedoch nicht in der finalen Version von Firefox 77.

Während weltweit bereits mehr als 82 Prozent aller HTTP-Verbindungen von Firefox-Nutzern verschlüsselt über HTTPS abgewickelt werden und in den USA sogar über 91 Prozent, kann die Unterstützung von unverschlüsseltem HTTP vermutlich noch lange Zeit nicht aus Firefox entfernt werden. Daran ändert auch der neue HTTPS-only-Modus von Firefox 76 nichts.

Firefox unterstützt aber auch noch das unverschlüsselte FTP-Protokoll. Dessen verschlüsselte Varianten FTPS und SFTP wurden von Firefox noch nie unterstützt. Und die Verwendung von FTP in Firefox liegt bei mageren 0,05 Prozent.

Aus Sicht von Mozilla gibt es für Websites keinen Grund, das unsichere Protokoll FTP gegenüber HTTPS für den Download von Dateien vorzuziehen. Dazu kommt, dass die Implementierung der FTP-Unterstützung in Firefox schon sehr alt und schwer zu warten sei. Auch hätte Mozilla in der Vergangenheit schon einige Sicherheitsprobleme in der FTP-Implementierung gefunden, die zu beheben waren, womit die FTP-Unterstützung für die Entwickler auch immer als potentieller Angriffsvektor betrachtet werden muss.

Bereits seit Firefox 60 besitzt Mozillas Browser eine Option, um die FTP-Unterstützung in Firefox abzuschalten. Mozilla wird die FTP-Unterstützung in der Nightly-Version von Firefox in Kürze standardmäßig abschalten.

Entgegen der Berichterstattung auf diversen anderen IT-Websites betrifft dies nicht die finale Version von Firefox 77. Die standardmäßige Deaktivierung der FTP-Unterstützung bleibt vorerst auf Nightly-Versionen limitiert – und kann auch seitens Nutzer wieder eingeschaltet werden. Ein Termin für die vollständige Entfernung der FTP-Unterstützung aus Firefox steht zu diesem Zeitpunkt noch nicht fest. Dies wird aber frühestens im Jahr 2021 passieren.

Für die Nutzung von FTP, einschließlich dessen sicherer Varianten, gibt es weit bessere Alternativen, zum Beispiel das kostenlose Programm FileZilla, welches für alle relevanten Desktop-Plattformen (Windows, macOS, Linux) verfügbar ist. Für die allermeisten Websites ist das FTP-Protokoll aber sowieso völlig irrelevant.

Der Beitrag FTP-Unterstützung wird in Firefox Nightly deaktiviert erschien zuerst auf soeren-hentzschel.at.

Heute will ich mich dem Thema Passwortsicherheit widmen.

Passwörter verwaltet der Kenner nicht nur im Browser oder in der Cloud, sondern im Idealfall lokal.

Unter Windows kommt hier oft KeePass zum Einsatz, unter Ubuntu Desktop häufig KeePassX. Hierbei handelt es sich um Programme zur Kennwortverwaltung.
Beide Tools sichern den Passworttresor mit einem Masterpasswort, welches der Nutzer selbst vergeben kann.

Ich will hier kurz demonstrieren, wie dieses Hauptpasswort auf Sicherheit getestet werden kann. Immerhin enthält es im Normalfall alle eure Zugangsdaten.

KeePass oder KeePassX Passwort knacken ?!

Für das Testen der Passwortsicherheit werden relativ wenige Tools benötigt, eines davon ist Hashcat, welches unter Ubuntu in den Repositories enthalten ist.

Da ich gerade kein funktionales Ubuntu zur Hand habe, sondern unter Windows arbeite, verwende ich einfach das Windows Subsystem for Linux. Dieses kann über die Windows Powershell installiert werden.

Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux

Danach kann Hashcat direkt über die Ubuntu Konsole installiert werden. Da für diesen Test nicht die allerneueste Version benötigt wird, kann die Version aus dem Paketmanager installiert werden.

sudo apt-get install hashcat

Nach der Installation lässt sich prüfen, wie hashcat auf eurem Rechner performed.

sudo hashcat --benchmark

Sollte es zu Fehler kommen, kann ein weiterer Parameter angehangen werden und ihr erhaltet die erwartete Hashrate zum "Knacken" des Passworts.

sudo hashcat --benchmark --force

Eine leistungsstarke Nvidia Grafikkarte ist von Vorteil.

Nachdem dies erledigt ist, wird der Hash des Masterpassworts der KeePass Datenbank benötigt. Dafür gibt es einige Scripte, ich habe mich für keepass2john.py entschieden.

Da ich den Test unter Windows Wsl mache, platziere ich dieses Script und die dazugehörige KDBX Datenbank unter \\wsl$\Ubuntu-18.04\home\profilname und kann somit über Windows unter Ubuntu darauf zugreifen.

Das Script wird nun wie folgt ausgeführt

python keepass2john.py database.kdbx

Ihr erhaltet einen Hashwert, welcher noch etwas nachbearbeitet werden sollte.

Database:$keepass$*2*60000*222*1fa5e92ef046202f54d3a675466be38fb61cdaff21ab367a170eadf4e8f378ae0ee4c1f175

Der Text hinter Database: "$keepass$*2*60000*222*1fa5e92efa4...." wird nun in eine Textdatei keepass.txt kopiert, um sie weiterverarbeiten zu können.

Im nächsten Schritt kann mit Hashcat quasi das Passwort erraten werden, allerdings muss zunächst die richtige Methode gewählt und eine Wortliste besorgt werden. Hashcat bringt bereits die gängigsten Methoden mit, diese müssen nur angegeben werden.

hashcat --help | grep -i "KeePass"

    13400 | KeePass 1 (AES/Twofish) and KeePass 2 (AES)      | Password Managers

   
Im letzten Schritt wird nun eine Passwortliste benötigt, welche für das "Durchprobieren" von Passwörtern verwendet wird.

wget hxxp://downloads.skullsecurity.org/passwords/rockyou.txt.bz2
bunzip2 rockyou.txt.bz2

Die RockYou Liste ist eine bekannte Liste aus dem Jahr 2009 mit ca. 32 Millionen unverschlüsselten Passwörtern.

Der Vorgang kann jetzt endgültig gestartet werden.

Der Startbefehl besteht aus Methode (KeePass) und Angriffsmodus (0 -> Wörterbuch)
 

sudo hashcat --force -a 0 -m 13400 keepass.txt rockyou.txt

    Dictionary cache built:
    * Filename..: rockyou.txt
    * Passwords.: 14344391
    * Bytes.....: 139921497
    * Keyspace..: 14344384
    * Runtime...: 2 secs

    - Device #1: autotuned kernel-accel to 128
    - Device #1: autotuned kernel-loops to 256
    [s]tatus [p]ause [r]esume [b]ypass [c]heckpoint [q]uit => [s]tatus [p]ause [r]esume [b]ypass [c]heckpoint [q]uit =>

Mit der "Taste s" kann jederzeit der aktuelle Status abgerufen werden.

    Session..........: hashcat
    Status...........: Running
    Hash.Type........: KeePass 1 (AES/Twofish) and KeePass 2 (AES)
    Hash.Target......: $keepass$*2*60000*222*1fa5e92efa4e5597faf8204900122...c1f175
    Time.Started.....: Fri Mar 20 12:04:53 2020 (49 secs)
    Time.Estimated...: Sat Mar 21 06:51:14 2020 (18 hours, 45 mins)
    Guess.Base.......: File (rockyou.txt)
    Guess.Queue......: 1/1 (100.00%)
    Speed.Dev.#1.....:      212 H/s (10.04ms)
    Recovered........: 0/1 (0.00%) Digests, 0/1 (0.00%) Salts
    Progress.........: 10240/14344384 (0.07%)
    Rejected.........: 0/10240 (0.00%)
    Restore.Point....: 10240/14344384 (0.07%)
    Candidates.#1....: vivien -> bimbim
    HWMon.Dev.#1.....: N/A

   
Nun heißt es warten, je nach Leistung der CPU oder GPU kann dies dauern. Da aber viele gerade massig Zeit zur Verfügung haben, sollte dies kein Problem sein.

Gerne könnt ihr weitere Methoden ausprobieren oder andere Listen verwenden, da habt ihr freie Wahl. Im Hashcat Wiki findet ihr jede Menge Anleitungen zu dieser Thematik.

Linux fehlt es in vielen Bereichen an moderner, konkurrenzfähiger Software. Viele Projekte haben zudem zu wenig Entwickler und können daher schnell vor dem Aus stehen. Nun hat es FeedReader erwischt.

Auf der GitHub Seite steht die Meldung des Grauens: 

This project is no longer activily maintained!

Bei dem darunter stehenden Verweis auf eine Neuentwicklung in Rust musste ich unwillkürzlich an den Linux App Summit denken (siehe: Linux App Summit - Überfällige Einsichten) und an eine dort formulierte Einsicht:

Entwickler sollten Apps aus Nutzersicht bewerten. Portierungen mit dem Ziel auf moderne Programmiersprachen zu wechseln, ohne den Endanwendern neue Funktionen zu bringen seien demnach sinnlos.

Viele Linux Entwickler arbeiten aber immer noch primär für sich, für den eigenen Spaß und die eigenen Interessen. Je mehr Entwickler wegbrechen und je instabiler das Ökosystem wird, desto mehr tritt diese Eigenschaft zu tage.

Für mein persönliches Nutzungserlebnis ist das eine Katastrophe. Feeds sind bei mir fast genau so wichtig wie der Internetbrowser. Dutzende Quellen füttern hier den Stream an Nachrichten, die mich interessieren (können).

Natürlich kann man FeedReader noch eine Weile verwenden. Aber weil Linux-Distributionen Gesamtkompositionen sind wird der Tag kommen, an dem irgendeine abhängige Bibliothek nicht mehr kompatibel ist oder irgendeine einschneidende Änderung, sei es bei Linux oder bei den integrierten Funktionen, das Programm beerdigt. 

Normalerweise wäre mir das kein eigenen Beitrag wert. Ich hänge nicht sonderlich an dieser einen Software und habe die Entwicklung auch nie aktiv begleitet. Bei der Suche nach Alternativen musste ich heute allerdings ernüchtert feststellen, dass es keine gibt. Ich würde ja beinahe schon Java-Bloatware nehmen um die Funktionen zu erhalten. 

Akregator ist schon fast länger im Wartungsmodus als ich Linux verwende. Das Programm kann absolut nichts, was einen modernen RSS Client auszeichnet. Synchronisation mit irgendeinem Dienst? Fehlanzeige! Unterstützung moderner Techniken um gekürzte Feeds komplett darzustellen? Fehlanzeige! Neuentwicklungen in dem Bereich? Absolute Fehlanzeige! Bleibt noch Liferea, das wenigstens alle Jubeljahre mal ein paar neue Features erhält. Liferea unterstützt leider nur TinyTinyRSS, was ich wegen des Hauptentwicklers nicht verwende. Also bleibt entweder die Nutzung eines Dienstes oder der Verzicht auf Synchronisation.

Natürlich kann ich FreshRSS auch im Browser nutzen, so wie dutzende andere so genannte Webapps. Aber wozu dann noch eine vollwertige Desktopumgebung nutzen? Dann könnte ich auch gleich IceWM installieren und Firefox starten.

Adieu Feeds unter Linux!

Gibt es eigentlich irgendeinen Bereich am Linux Desktop, bei dem es in den vergangenen Jahren mal aufwärts ging oder muss ich das langsame Siechtum der vielen Projekte schon als erfreulichen Zustand sehen, da Siechtum wenigstens noch nicht Tod bedeutet?

Um die Kommentare vorweg zu nehmen: Klar, ich sehe das alles zu schwarz. Mein Nutzungsverhalten ist einfach falsch und natürlich könnte selbst etwas entwickeln. Kann ich aber auch sein lassen und stattdessen ein Betriebssystem nutzen, bei dem ich mich vor guten Feed Readern kaum retten kann. MacOS zum Beispiel, oder Windows, oder Android oder iOS. Anders gesagt: Alles bis auf Linux.

Mal sehen welche Säule meines Nutzungsverhaltens als nächstes unter Linux wegbricht.

Bilder:
Einleitungsbild und Beitragsbild von von Violinka via pixabay

Nachdem Google bereits vor einigen Tagen angekündigt hatte, Chrome-Updates vorerst auszusetzen, ist nun auch klar, wie Mozilla auf die Corona-Pandemie reagieren wird. Am Release-Zyklus wird sich nichts ändern, jedoch am Funktionsumfang.

Google hat die Veröffentlichung neuer Major-Releases von Chrome und Chrome OS pausiert. Dies hatte Google bereits vor einigen Tagen angekündigt. Chrome 81 wird also erst deutlich später erscheinen als ursprünglich geplant. Grund dafür ist die aktuelle Situation rund um den Corona-Virus („SARS-CoV-2“).

Unklar war bisher, ob Mozilla wie geplant weitermachen wird. Hier herrscht nun Klarheit. An seinem Zeitplan wird Mozilla erst einmal festhalten, das heißt, dass weiterhin alle vier Wochen neue Major-Releases erscheinen werden, mit dem nächsten Update am 7. April. Dann wird Firefox 75 erscheinen.

Jedoch gibt es auch bei Mozilla Einschränkungen. So ist in nächster Zeit mit einer verlangsamten Feature-Entwicklung zu rechnen. Auch wird geschaut, ob geplante Änderungen potentiell Probleme bereiten können, und manche geplante Änderung dementsprechend auf einen späteren Zeitpunkt verschoben.

Kurzfristig hatte Mozilla bereits reagiert, indem die Unterstützung der veralteten Sicherheitsprotokolle TLS 1.0 und 1.1, welche ursprünglich in Firefox 74 abgeschaltet worden waren, bereits kurz nach Veröffentlichung von Firefox 74 aus der Ferne wieder aktiviert worden sind, da manche Regierungsseite in den USA, welche wichtige Informationen bzgl. COVID-19 bereitstellt, noch veraltete Sicherheitsprotokolle einsetzt.

Der Beitrag COVID-19: Firefox-Updates erscheinen planmäßig, aber mit reduziertem Umfang erschien zuerst auf soeren-hentzschel.at.

Derzeit versuche ich wieder verstärkt auf diversen Plattformen den Nutzern bei Ihren Computerproblemen zu helfen. Hierbei ist mir aufgefallen, dass aktuell einige Nutzer beispielswese einen Screenshot einer Konfigurationsdatei erstellen (teilweise sogar mit einem Mobiltelefon), diesen dann auf eine Seite wie picflash.org hochzuladen und das Bild dann im Beitrag einzubinden mit dem um Hilfe gebeten wird.

Lasst das! Bitte. Zum einen macht ihr euch damit selbst nur unnötig viel Arbeit. Und zum anderen verschreckt ihr damit viele der Leute die euch helfen wollen. Wenn ich zum Beispiel eure Konfigurationsdatei auf Fehler testen will möchte ich diese nicht erst von einem Screenshot abtippen müssen. Eher helfe ich gar nicht.

Sofern es also sinnvoll ist, kopiert den Text einfach in den Beitrag. Oder nutzt einen Pastebin-Dienst wie termbin.com.

Um Termbin nutzen zu können, muss nur cat und netcat auf dem Rechner installiert sein. Nehmen wir beispielsweise einmal an, man hat Probleme mit Schriftarten und will die Datei fonts.conf veröffentlichen. Hierfür reicht folgender Befehl.

cat fonts.conf | nc termbin.com 9999

Als Ergebnis erhält man einen Link wie zum Beispiel https://termbin.com/92e6 der auf den Dateiinhalt verweist. Gerade bei längeren Konfigurationsdateien wie der /etc/ssl/sshd_config ist es besser darauf zu verlinken als diese komplett in den Beitrag zu packen.

Serverseitig wird bei Termbin https://github.com/solusipse/fiche eingesetzt. Wer also will, kann einen eigenen Pastebin-Dienst betreiben.

Mozilla hat einen optionalen Modus in Firefox 76 implementiert, in welchem Firefox ausschließlich verschlüsselte Verbindungen akzeptiert und versucht, unverschlüsselte Verbindungen automatisch upzugraden.

Mehr als 82 Prozent aller Verbindungen von Firefox-Nutzern weltweit finden bereits verschlüsselt statt. Vereinfacht gesagt bedeutet dies, dass die Verbindungen über https:// und nicht über http:// erfolgen. In den USA liegt dieser Wert sogar bereits bei über 91 Prozent.

Nutzer, welche im wahrsten Sinne des Wortes auf Nummer sicher gehen wollen, können ab Firefox 76 über die Konfigurationsoberfläche about:config den Schalter dom.security.https_only_mode auf true setzen.

Wird nach Aktivierung dieses Modus eine URL ohne Protokoll in die Adressleiste eingegeben, ergänzt Firefox https:// anstelle von http://. Wird eine URL eingegeben, welche mit http:// beginnt, ändert Firefox das Protokoll automatisch in https://. Auch sämtliche über http:// eingebundene Sub-Ressourcen versucht Firefox automatisch über HTTPS zu laden.

Auf diese Weise können Seiten über HTTPS erreicht werden, welche vom Benutzer ursprünglich unverschlüsselt aufgerufen werden, aber grundsätzlich auch über eine verschlüsselte Verbindung ausgeliefert und nicht automatisch weitergeleitet werden. Oftmals sind aber auch auf Seiten, welche über https:// geladen werden, einzelne Ressourcen wie ein Drittanbieter-Widget nur unverschlüsselt eingebunden, obwohl diese auch über HTTPS verfügbar wären. Auch das wird in diesem Modus automatisch korrigiert.

Natürlich funktioniert ein Upgrade von unverschlüsseltem HTTP auf HTTPS nur, wenn der Server die jeweilige Ressource auch über HTTPS bereitstellt. Ein Fallback zurück auf unverschlüsseltes HTTP, falls eine Ressource über HTTPS nicht geladen werden kann, gibt es in diesem Modus ganz bewusst nicht. Der Name der Einstellung ist hier also Programm und es gilt: nur noch HTTPS.

Firefox 76 erscheint nach aktueller Planung am 5. Mai 2020. Die Neuerung ist bereits Teil der aktuellen Nightly-Version von Firefox.

Der Beitrag Firefox 76 bekommt HTTPS-only-Modus erschien zuerst auf soeren-hentzschel.at.

Beruflich mit Datenschutz befasste Personen kennen Begriffe wie Risikoanalyse und Datenschutz-Folgeabschätzung. Dabei werden die Folgen eines relevanten Vorfalls schon im Vorfeld durchgespielt und bewertet. Auch Privatpersonen sollten das machen um relevante Maßnahmen zu ergreifen.

Stark simplifiziert ausgedrückt funktioniert eine Risikoanalyse/-management indem man den Schaden beziffert und in Verbindung zur Eintrittswahrscheinlichkeit setzt. Das was dabei rauskommt ist das Risiko. Um das Ganze zu berechnen klassifiziert man unterschiedliche Schadensklassen (meist 4-5 von gering bis sehr hoch) und ebenso die Eintrittswahrscheinlichkeit (meist ebenfalls 4-5 Stufen von gering bis sehr hoch). Im Ergebnis kann man eine Risikomatrix herstellen.

Warum sollte das für Privatpersonen relevant sein?

Befasst man sich mit Datenschutz und Datensicherheit und verfolgt entsprechende Diskussionskanäle im Internet stellt man fest, dass viele Personen unwahrscheinliche Szenarien überbewerten und die alltäglichen Probleme mit hoher Eintrittswahrscheinlichkeit unterbewerten oder gar gänzlich ignorieren.

Geheimdienste - Präsent aber irrelevant

In entsprechenden Diskussionen taucht z. B. staatliche Überwachung sehr oft auf. Meist mit dem Schlagwort NSA versehen. Dank den Enthüllungen von Edward Snowden wissen wir relativ viel über die Möglichkeiten der NSA und den Umfang der globalen Überwachung. Nun kann man aber davon ausgehen, dass die meisten Diskussionsteilnehmer keine Verbindungen zum internationalen Terrorismus haben, globalen kriminellen Organisationen angehören oder beabsichtigen die Sicherheit der Vereinigten Staaten zu gefährden.

Es ist demnach unwahrscheinlich, dass man gezielt in den Fokus der Geheimdienste gerät. Die kolportierten Maßnahmen wie gezielte Manipulation bestellter Hardware, gezielte Ausspähung etc. pp. sind somit extrem unwahrscheinlich. Es gibt zudem die bekannten Verwechslungsfälle, in denen unbescholtene Bürger auf Terrorlisten landeten, aber auch das ist extrem unwahrscheinlich.

Die globale Überwachung durch Geheimdienste tangiert die meisten Menschen also eher, weil ihre Daten in den "Schleppnetzen" der Geheimdienste landen. Dazu zählt beispielsweise das Anzapfen der Unterseekabel, die Überwachung des internationalen Zahlungsverkehrs etc. pp. Die Wahrscheinlichkeit hier ebenfalls betroffen zu sein ist sehr hoch, die Auswirkungen aber eher gering. Zudem hat man als einfacher Anwender kaum Möglichkeiten dem zu entgehen, außer durch Nicht-Verursachung entsprechender Daten.

Tracking - Relevant aber welches Risiko?

Ein anderes omnipräsentes Thema ist das Tracking im Internet. Dutzende Unternehmen, von Suchmaschinenbetreibern, über Shopping-Anbieter bis hin zu den großen sozialen Netzwerken verfolgten den Anwender durch das Internet und erstellen persönliche Profile.

Jeder Internetnutzer ist dem ausgeliefert, der Schaden aber bisher höchstens abstrakt. Es gibt zwar spektakuläre Datenleaks, die aber - gemessen an den gesamt erhobenen Daten - nur sehr selten vorkommen und keinen großen Umfang haben.

Etwas anderes sind die politischen und gesellschaftlichen Auswirkungen einer immer stärkeren datengetriebenen Kultur. In den Wahlkämpfen in den USA und Großbritannien bilden die erhobenen Daten inzwischen einen wichtigen - manche sagen entscheidenden - Faktor.

Hier kann man versuchen sich zu schützen. Allerdings ist unklar ob die Anwender das ständige Katz-und-Maus-Spiel wirklich auch nur ansatzweise gewinnen können. Digitale Abstinenz hilft natürlich, aber die persönlichen Kosten können hier enorm sen. Der gesellschaftliche Zugewinn ist zudem fraglich, weil es nicht auf die Daten des Einzelnen ankommt (sofern sie keine kritische Masse erreichen).

Die Bedeutung des Themas entsteht also eher aus den langfristigen Risiken, die aus einer immer datengetriebeneren Gesellschaft entsteht und den Herausforderungen dies einzuhegen. Ob der Einzelne hier wirklich persönlich Maßnahmen ergreifen muss oder ob hier nicht politischer Aktivismus viel zielführender wäre steht hier wirklich zur Diskussion.

Reale Gefahren erkennen

Die realen Gefahren liegen meist eher im persönlichen Nahbereich. In den vergangenen Monaten sind beispielsweise Stalking-Apps in den Fokus geraten, bei denen (Ex-)Partner das Smartphone zur Wanze machen. Gleiches gilt für den unbefugten Zugriff auf elektronische Geräte mit sensiblen Daten. Etwas extrem geschrieben: Ähnlich wie beim Mord, wo circa 2/3 der Täter aus dem Umfeld stammen, gilt die Regel "Fürchte nicht den Fremden, fürchte deinen Nächsten".

Bei mobilen Geräten wie Smartphones, Tablets oder Notebooks ist zudem das Verlust-/Diebstahlrisiko sehr groß. Gleiches gilt für Daten auf externen Speichermedien wie USB Sticks.

Das Risiko Opfer von Internetkriminalität, beispielsweise durch Phishing oder Ranomware, zu werden ist ohne entsprechende Schutzmaßnahmen und bei arg-/sorglosem Verhalten auch nicht zu verachten.

Verschlüsselung und Zugangsschutz sind daher für die meisten Anwender viel wichtiger als abstrakte Überwachungs- und Profilbildungsgefahren.

Zusammengefasst

Natürlich ist die globale Überwachung durch die Geheimdienste ein Ärgernis und das allumfassende Tracking eine negative Entwicklung. Viele der Maßnahmen haben allerdings nur theoretisch Auswirkungen auf die meisten Menschen. Kaum jemand gerät gezielt in den Fokus, weshalb viele Überwachungsprogramme für die Allgemeinheit erst einmal wenig relevant sind und der massenhaften Datenerhebung kann man kaum entgehen. Die Bedeutung und Präsenz dieses Thema in den entsprechenden Diskussionen ist also wenig zielführend und eigentlich absurd.

Deutlich wichtiger sind naheliegende Maßnahmen zum Schutz der eigenen Daten vor Zugriffen durch unbefugte Dritte.

Bilder:
Einleitungs- und Beitragsbild von kreatikar via pixabay

Die aktuelle Version von Google Chrome ist die Version 80. Eigentlich war die Veröffentlichung von Chrome 81 für diesen Monat geplant, doch Google hat sich auf Grund der aktuellen Corona-Situation dafür entschieden, die Veröffentlichung neuer Major-Releases auf unbestimmte Zeit auszusetzen. Auch für Microsoft Edge erfolgte eine entsprechende Ankündigung.

Wie Google mitgeteilt hat, wird man bis auf Widerruf nur noch Sicherheits-Updates und keine neuen Major-Releases für Chrome und Chrome OS veröffentlichen. Chrome 81 wird also erst deutlich später erscheinen als ursprünglich geplant. Grund dafür ist die aktuelle Situation rund um den Corona-Virus („SARS-CoV-2“), welche viele Arbeitnehmer zur Arbeit von zu Hause zwingt – das schließt Googles eigene Entwickler ein, aber auch all die Menschen, welche beruflich auf einen funktionierenden Browser angewiesen sind.

Googles Entscheidung betrifft natürlich auch sämtliche andere Browser, welche auf der Chromium-Plattform basieren, auf direktem oder zumindest indirektem Weg. Zwar verfolgt jeder Hersteller seinen eigenen Zeitplan und kann selbst entscheiden, ob und in welcher Form Updates veröffentlicht werden, doch verzögern sich so auch für diese Browser Features, welche als Teil der Chromium-Plattform planmäßig früher hätten erscheinen sollen. Microsoft hat bereits angekündigt, die Updates für Microsoft Edge auch auszusetzen, um synchron mit Chrome zu bleiben.

Ursprünglich sollte mit Chrome 81 die Unterstützung für die veralteten Verschlüsselungsprotokolle TLS 1.0 und 1.1 entfernt werden. Mozilla hatte dies bereits mit Firefox 74 umgesetzt und die Unterstützung aus dem gleichen Grund aus der Ferne wieder aktiviert.

Firefox ist technologisch unabhängig und basiert nicht auf der Chromium-Plattform, ist daher von Googles Ankündigung nicht betroffen. Seitens Mozilla sind bisher keine Pläne kommuniziert worden, Major-Updates für Firefox ebenfalls auszusetzen. Apple, wie Mozilla technologisch unabhängig von Google, veröffentlicht sowieso nur einmal pro Jahr im Herbst neue Major-Releases von Safari, hier ist kurzfristig also auch kein Effekt zu erwarten.

Der Beitrag Wegen COVID-19: Google setzt Chrome-Updates aus erschien zuerst auf soeren-hentzschel.at.

Mittels einer Fritz!Box kann jeder Anwender sehr leicht eine VPN-Verbindung zum heimischen Netzwerk herstellen und sich damit in öffentlichen und fremden WLAN Netzen schützen. Kommerzielle VPN Anbieter sind weitestgehend überflüssig.

Funktion und Nutzen

Die größte Marketinglüge im Bereich der Datensicherheit und des digitalen Datenschutzes ist sicherlich die Gleichsetzung von VPN mit Anonymität. VPN hat absolut gar nichts mit Anonymisierung zu tun (siehe ausführlich: VPN Dienste zur Anonymisierung).

VPN hat für Privatanwender meist nur drei relevante Funktionen:

1. Es ermöglicht die Umgehung von Geoblockaden.
2. Es ermöglicht die Umgehung von rudimentären Zensurmethoden (außer die Zensurbehörden unterbinden VPN, was aber die meisten unterentwickelten Autokratien nicht schaffen)
3. Es sorgt für Sicherheit in öffentlichen und fremden Netzen

Vor allem der dritte Punkt dürfte für viele Anwender Relevanz haben. Viele Menschen nutzen tagtäglich öffentliche WLAN-Netze oder solche von Dritten. Sei es weil deutsche Mobilfunkverträge immer noch unterirdische Datenvolumen inkludiert haben oder weil sie viel mit Notebooks unterwegs sind, die immer noch oft ohne mobile Datenverbindung funktionieren. In dem Moment, in dem man ein öffentliches oder fremdes WLAN nutzt, ist man einem erheblichen Risiko ausgesetzt. Dieses kann man durch die Verwendung eines VPN minimieren.

Bei einer VPN Verbindung wird - simplifiziert ausgedrückt - zuerst eine gesicherte Verbindung zum VPN-Anbieter (im hiesigen Beispiel unsere eigene Fritz!Box) aufgebaut. Durch diese Verbindung/Tunnel werden alle Daten geleitet. Die vom Smartphone empfangenen Daten haben bildlich gesprochen erst mal den Umweg über die heimische Fritz!Box genommen.

Zusätzlich ermöglicht eine VPN-Verbindung zur heimischen Fritz!Box die Verbindung zu Geräten im Heimnetz, die sich von außen nicht erreichen lassen. Beispielsweise ein NAS.

Einrichtung

DynDNS oder MyFritz

IP-Adressen von Privathaushalten wechseln regelmäßig. Mittels DynDNS lässt sich der Server immer über die gleiche Adresse aufrufen, selbst wenn die gegenwärtig vergebene IP für den Nutzer unbekannt ist. Eine Möglichkeit hierzu ist die Verwendung des MyFritz!-Kontos. Bei der Anmeldung kann man den MyFritz!-Domänennamen ermitteln. Wenn man aber sowieso schon einen DynDNS Dienst verwendet (z. B. für den Zugriff auf ein NAS) kann man diesen Schritt auch überspringen.

Benutzer anlegen & Zugang einrichten

Standardmäßig ist auf der Fritz!Box lediglich ein deaktivierter ftpuser vorhanden. Für die VPN-Verbindung benötigen wir einen neuen Benutzer. Diesen kann man unter System / Fritz!Box-Benutzer anlegen.

Hierbei sind die Berechtigungen individuell zu setzen. Im gezeigten Beispiel soll der Benutzer lediglich für die VPN-Verbindung verwendet werden und ansonsten keine Berechtigungen haben.

Anschließend möchte die Fritz!Box eine Bestätigung. Sofern man die Standardeinstellung modifiziert hat kann dieser Schritt auch entfallen bzw. durch einen 2FA-Code ersetzt werden.

Danach kommt ein Dialog ob man sich die VPN-Einstellungen für iOS und Android ansehen möchte. Hier sollte man OK klicken um eine übersichtliche Druckansicht der notwendigen Zugangsdaten zu erhalten.

Endgeräte konfigurieren

Die Einrichtung unter iOS und Android ist hier bereits ausführlich beschrieben. Sie erfolgt vergleichbar auch bei Desktop-Betriebssystemen. Unter macOS kann man in den Systemeinstellungen im Bereich Netzwerk eine zusätzliche Verbindung mittels Klick auf das + Symbol anlegen.

Anschließend ist man zwar per VPN mit dem heimischen Netz verbunden, kann aber keine Verbindungen in das Internet aufbauen, weil die DNS-Auflösung scheitert. Unter Weitere Optionen muss man daher für die VPN-Verbindung die lokale IP-Adresse der Fritz!Box als DNS Server hinterlegen. Standardmäßig ist das 192.168.178.1

Unter Linux lässt sich mittels Network Manager simpel eine VPN-Verbindung konfigurieren. Das notwendige VPN-Plugin (vpnc) haben die meisten Distributionen vorinstalliert, ansonsten muss man es mittels der jeweiligen Paketverwaltung nachträglich installieren. Die Einrichtung variiert je nach Oberfläche. Bei MATE kann man ähnlich wie bei macOS per Klick auf + eine neue Verbindung anlegen.

Anschließend kann man mit jedem Gerät eine sichere Verbindung in das heimische Netz aufbauen und von dort ins Internet gehen, ohne den öffentlichen oder fremden WLAN-Netzen und den anderen dort aktiven Personen/Geräten trauen zu müssen. Allerdings sollte man im Blick behalten, dass die Verbindung zum VPN nicht abreißt, weil man ansonsten wieder ungesichert unterwegs ist. Die Standardwerkzeuge der Desktop-Betriebssysteme und ihrer mobilen Äquivalente verfügen leider über keine Möglichkeit die Übertragung bei einem VPN-Verbindungsabbruch sofort zu beenden.

Bilder:

Einleitungs- und Beitragsbild von Tumisu via pixabay

Datenschutz, Datensicherheit, Digitale Souveränität. Alles das gleiche? Mitnichten! Trotzdem werden diese Aspekte gerne durcheinander geworfen und der Eindruck erzeugt, dass alles mit allem verbunden ist. Deshalb ist eine Klärung wichtige Grundbegriffe notwendig.

Datenschutz

Datenschutz ist primär der Schutz personenbezogener Daten vor einer missbräuchlichen Verwendung. Damit verbunden ist das Recht auf informationelle Selbstbestimmung, der Schutz von Persönlichkeitsrechten bei der Datenverarbeitung und der Schutz der Privatsphäre.

Eines der größten Missverständnisse dabei besteht in der Definition von "personenbezogen". Viele Menschen mit Interesse an Datenschutz glauben, dass alle durch sie verursachten Daten "personenbezogen" wären. Umso enttäuschter sind sie dann über den Umfang einer DSGVO-Auskunft. Das ist aber falsch. Daten, die bereits durch die Erhebung keine Rückschlüsse auf die Verursacher zulassen oder komplett anonymisiert wurden sind keine personenbezogenen Daten. Strittig ist dabei höchstens ab wann Daten personenbezogen sind. Nicht jede Datenverarbeitung unterliegt daher den Anforderungen der Datenschutz-Gesetzgebung.

Daher sollte man immer vorsichtig sein, wenn vermeintliche Verstöße gegen den Datenschutz angeprangert werden. Insbesondere in der "Datenschutz-Szene" wird jede Datenübertragung oder jede digitale Verbindungsaufbau gerne so bezeichnet.

Relevante Gesetze im Bereich des Datenschutzes ist die Datenschutz-Grundverordnung der Europäischen Union (DSGVO), das Bundesdatenschutzgesetz und die entsprechenden Gesetze der Bundesländer. Die juristischen Regelungen haben gemein, dass sie die Problematik der Verarbeitung personenbezogener Daten durch ein prinzipielles Verbot mit Erlaubnisvorbehalt, d. h. die informierte Einwilligung der Betroffenen, lösen wollen. Aus diesem Grund nehmen die Bestätigung von Datenschutzbedingungen, Allgemeinen Geschäftsbedingungen und separaten Einwilligungen im analogen, wie digitalen Bereich stetig zu. Besonders präsent sind die immer präsenter werdenden so genannten "Cookie-Banner".

Zwischenfazit:

• Nicht alle erhobenen und verarbeiteten Daten sind personenbezogen.
• Die Verarbeitung personenbezogener Daten ist bei Vorliegen einer informierten Einwilligung erlaubt.

Datensicherheit

Datensicherheit bezeichnet in der Regel die technischen Maßnahmen zur Absicherung gegen Verlust oder Manipulation von Daten. Meistens wird auch die Verfügbarkeit von Diensten unter diesem Begriff subsummiert. Im Fokus stehen hier nicht die Datenverursacher, sondern die Daten selbst.

Datensicherheit hat daher grundsätzlich erst einmal wenig mit Datenschutz zu tun. Ein einfaches Beispiel verdeutlicht dies: Aus Gründen des Datenschutzes wäre es schlecht E-Mail Dienstleistungen bei einem großen Dienstleister wie beispielsweise Google abzuwickeln. Das gleiche gilt für die Speicherung von Daten in der so genannten Cloud. Bei einem Fokus auf Datensicherheit wäre genau das Gegenteil der Fall. Ein professioneller Großanbieter wie beispielsweise Google besitzt in der Regel eine Infrastruktur, die besser gegen Datenverlust geschützt ist, als kleine Unternehmen oder gar Privatpersonen. Gleiches gilt bezüglicher der Ausfallsicherheit.

Datenschutz und Datensicherheit korrelieren lediglich in einem einzigen Bereich direkt miteinander. Erhobene personenbezogene Daten müssen angemessenen Maßnahmen zum Schutz unterliegen.

Zwischenfazit:

• Datensicherheit meint Schutz vor Verlust, Manipulation oder Ausfall.
• Datensicherheit ist kein Synonym für Datenschutz oder steht in unmittelbarer Verbindung hierzu.

Digitale Souveränität

Mit zunehmender Bedeutung des Digitalen für die Funktionsfähigkeit von Staat, Wirtschaft und Gesellschaft hat das Schlagwort der digitalen Souveränität in den letzten Jahren an Bedeutung gewonnen. Gemeint ist selbstbestimmtes Handeln und Entscheiden, sowie die Kontrolle über digitale Technologien. Dahinter steht die Beobachtung, dass insbesondere die Staaten der Europäischen Union in einem hohen Maße von Software, Hardware und Dienstleistungen aus Ländern wie den USA oder China abhängig sind. Sie sind demnach digital nicht souverän.

Digitale Souveränität wird als Schlagwort meist auf Staaten oder staatliche Organisationen angewandt, kann aber auch auf Firmen und NGOs oder in selteneren Fällen auf Privatpersonen angewandt werden.

Ein praktisches Beispiel aus dem Bereich der digitalen Souveränität ist das europäische Projekt GAIA X (siehe Projektpapier BMWI). Letztlich kann aber auch der Betrieb einer eigenen Cloud auf einem Homeserver durch eine Privatperson darunter verstanden werden. Die Tendenz föderalisierte Dienste zu bevorzugen entstammt ebenfalls diesen Bemühungen.

Digitale Souveränität steht in keinem direkten Bezug zu Datenschutz und Datensicherheit. Der Bezug entsteht erst durch das grundsätzliche Misstrauen in die Datenverarbeitung ausländischer Konzerne, sowie die Verfügbarkeit von deren Infrastruktur und Technologie im Konfliktfall.

Zwischenfazit:

• Digitale Souveränität bezeichnet eine Strategie von Staaten und Unternehmen (sowie ggf. Privatpersonen) um digitale Unabhängigkeit.
• Es gibt keinen direkten Zusammenhang mit Datenschutz und Datensicherheit

Schlussfolgerung

Die drei Phänomene stehen eigentlich relativ lose Nebeneinander. Es gibt lediglich in einigen Bereichen Berührungspunkte, die sich aber mutmaßlich auch zu dutzenden anderen Konzepten herstellen ließen. Die eigentliche Verbindung entstehen durch die verschränkten Interessen der engagierten Verbände, Unternehmen und Privatpersonen.

Insbesondere Datenschutz-Aktivisten interessieren sich oft gleichermaßen für digitale Souveränität bzw. sehen das Fehlen selbiger als Datenschutzproblem. Ihre Argumentationsstrukturen beziehen zudem oft Probleme der Datensicherheit ein. Wichtige Verbände und Unternehmen aus dem Open Source Sektor sehen in der Umsetzung der Strategie zur digitalen Souveränität einen Hebel um ihre wirtschaftlichen Interessen durchzusetzen. Um die Entwicklung zu forcieren schüren sie Befürchtungen hinsichtlich Datenschutz und Datensicherheit.

Eine argumentative Verschränkung ist grundsätzlich nicht problematisch, treibt aber manchmal seltsame Blüten. In einigen Kreisen sind in jüngster Zeit föderalisierte freie Dienste (wie Mastodon, Matrix, Riot etc. pp) en vogue. Diese Dienste stärken zwar die digitale Souveränität, sind aber teilweise erwiesenermaßen schlechter hinsichtlich Datenschutz und Datensicherheit, als zentralisierte oder gar proprietäre Alternativen.

Also Augen auf wenn die Aspekte zu offensiv vermischt werden und am Ende nicht mehr klar ist, was eigentlich das Schutzziel sein soll.

Bilder:
Einleitungs- und Beitragsbild von Alexander Hammerschmied via pixabay

Die kommende Minor-Version von openSUSE Leap (siehe: openSUSE Leap) befindet sich momentan in der Mitte der Beta-Phase. In circa einem Monat erfolgt der Package Freeze und am 07. Mai ist die Veröffentlichung anvisiert. Zeit also für einen ersten Blick.

OpenSUSE Leap spielt neben Ubuntu und seinen Derivaten eine wichtige Rolle in meinem persönlichen Linux Portfolio. Mit der stabilen Enterprise-Basis und den Community-Paketen im Desktop, sowie den jährlichen Minorupdates erfüllt openSUSE meine persönlichen Anforderungen nahezu optimal.

Leap und Tumbleweed sind die komplementären Veröffentlichungen von openSUSE. Während Tumbleweed als Rolling-Release Distribution konzipiert ist und die fortlaufenden Entwicklungen in der Linux-Communty widerspiegelt, ist Leap auf Stabilität ausgerichtet. Jede Hauptversion von Leap wird ca. 3 Jahre mit Updates versorgt. Die jeweils aktuell veröffentlichte Minorversion mindestens 18 Monate lang. Das System ist vergleichbar mit RHEL bzw. CentOS.

Große Veränderungen erfolgen immer nur mit den Hauptversionen, während die Minorversionen wie der nun geplante Sprung auf xx.2 lediglich der Produktpflege dienen und selektive Updates einspielen. Es wären daher eigentlich keine systemumstürzenden Änderungen für diese Version zu erwarten.

Versionen

Basis

Leap 15.2 integriert lediglich das Service Pack 2 von SUSE Linux Enterprise 15. Entgegen der sonst üblichen Gepflogenheiten gibt es bei dieser Version allerdings einen neuen Kernel. Leap-Anwender erwartet daher ein Versionssprung von 4.12 auf 5.3. Gleiches glt für Mesa, das ebenfalls aktualisiert wird und in Version 19.2 vorliegt. Es erfolgte aber keine Aktualisierung aller Versionen, denn bei glibc bleibt man bei 2.26.

Desktop

Entgegen der ursprünglichen Planung hält man die Desktopumgebungen nicht versionsstabil über eine Leap Hauptversion hinweg. Plasma aktualisieren die Entwickler auf die aktuelle LTS Version 5.18. GNOME liegt in 3.34 vor, möglicherweise schafft es auch noch eine neuere Version in das Release. Gleiches gilt für MATE (1.14), Xfce (4.14) und die kleineren Umgebungen.

Software

Großflächige Aktualisierungen zeichnen auch das übliche Software Portfolio aus. Bei Firefox bleibt man dem ESR-Zweig treu und liefert gegenwärtig Version 68.6 aus. LibreOffice kommt in Version 6.3 daher und die KDE Softwaresammlung (die nun nicht mehr Applications heißen, weil KDE ja andauernd was ändert) stammen aus der Veröffentlichung des letzten Dezember. Die für April geplante Veröffentlichung der nächsten Version dürfte es wohl nicht mehr in die finale Version von Leap 15.2 schaffen.

Neuerungen

Abgesehen von den großflächigen Aktualisierungen der enthaltenen Software-Komponenten gibt es wenig Neuerungen zu vermelden. Das Design bleibt zurückhaltend und traditionell grün angehaucht. Eine Standardinstallation mit KDE Plasma liefert eine vollumfängliche Softwaresammlung aus. Neben den obligatorischen KDE-Programmen greift man hier auf LibreOffice und Firefox zurück. Unnötige Doppelungen hat man aber inzwischen weitestgehend eliminiert, wodurch alles einen konsistenten Eindruck macht.

Zusammenfassung

Die Integration aus SLE Basis und Community Desktop funktioniert nach einigen Jahren und Version mittlerweile sehr gut. Die umfangreichen Versionsupdates sind für ein Minorupdate überraschend. Es wird sich zeigen, inwieweit Upgrades bestehender Installationen reibungslos funktionieren.

Bilder:
Einleitungs- und Beitragsbild von Lars_Nissen_Photoart via pixabay

Videoanrufe und Videokonferenzen sind gerade wieder in wichtiges Thema. Schließlich sind wegen der aktuellen Krise tausende Mitarbeiter im Homeoffice und so manche Firma hat entsprechende Strukturen verschlafen. Jami bietet eine gut funktionierende Open Source Lösung und ist leider viel zu wenig bekannt.

Abgrenzung

Videocalls am PC sind ein relativ altes Thema. Den langjährigen Marktführer Skype gibt es seit 2003. Zeitweilig versuchten die Firmen die Technik zum Standard zu erklären und klassisches Telefonieren obsolet werden zu lassen. Man erinnere sich an entsprechende Werbekampagnen mit Apples FaceTime Technologie. Zumindest in Deutschland hat das nicht funktioniert. Nicht mal in Firmen sind Videokonferenzen oder Anrufe Standard, wie die Reaktionen auf die Krise zeigen.

Im privaten Sektor haben die Smartphone-Messenger in den letzten Jahren an Bedeutung gewonnen. Mit WhatsApp, Signal, Threema & Co lassen sich auch Sprach- und Videoanrufe durchführen. Die mangelnde Konferenz- und Desktoptauglichkeit verhindern aber einen professionellen Einsatz. Lange Zeit habe ich persönlich Wire empfohlen, aber durch den Umzug in die USA und die Verlagerung des Fokus weg von, Transparenz, Privatsphäre und Sicherheit kann man das leider auch nicht mehr machen (siehe: Messenger überarbeitet und Wire entfernt).

Es ist immer noch noch erstaunlich wie viele Firmen und Privatpersonen auf Skype setzen. Die immer stärkere Integration in Office 365 tut hier ein übriges. Es steht immerhin weiterhin der Vorwurf im Raum, dass Microsoft die übertragenen Daten "mitlesen" kann. Zudem hat Skype seinen technischen Vorsprung eingebüßt. Der Dienst funktioniert nicht besser als vergleichbare Lösungen und die Programme sind wenig performant. Der Dienst konnte zudem seine Fokussierung auf Windows nie wirklich überwinden.

Jami

Kontext

Jami ist vielen unbekannt, dabei handelt es sich um einen alten Bekannten. Früher firmierte die App unter den Namen Ring und SFLphone und war eine reine SIP-Anwendung. Jami ist Open Source und steht plattformübergreifend zur Verfügung.

Jami bietet gegenwärtig zwei unterschiedliche Funktionalitäten in der gleichen Anwendung. Man bietet immer noch einen klassischen SIP-Client, der mit Anmeldedaten eines Providers zur klassischen VoIP-Telefonie am PC geeignet ist. Zusätzlich gibt es Jami-Konten mit P2P-Funktionalität. Beide Kontentypen sind nicht zur Interaktion geeignet. Man kann also nicht von Jami-Konten aus SIP-Clients anrufen und umgekehrt. Allerdings kann man beide Konten parallel betreiben.

Im Folgenden geht es primär um die Videoanruf-Funktion mittels P2P, da SIP-Clients einen eigenen Bereich darstellen und mit gänzlich anderen Programmen konkurrieren, als den oben dargestellten.

Installation

Die App ist plattformübergreifend verfügbar. Auf der Homepage stehen Binaries für Windows, macOS und Linux zur Verfügung. Bei Linux unterstützt man Ubuntu, Fedora, Mint, Denian, Trisquel, openSUSE, CentOS und Red Hat.

Zusätzlich liegt die App auch in vielen Paketquellen wie z. B. denen von Ubuntu und Debian. Anwender mit macOS können Jami auch im Mac App Store herunterladen und installieren.

Unter Linux listet die App einen wilden Mix aus Qt5 und GTK-Bibliotheken als Abhängigkeiten. Hier stellt sich schon die Frage inwieweit die App sauber programmiert wurde oder doch eher ein loses Flickwerk verschiedener Technologien ist. Mangels Detailkenntnisse muss das hier offen gelassen werden.

Bei den Mobilplattformen werden iOS und Android unterstützt. Für letzteres stellt man die App neben dem Play Store auch via F-Droid zur Verfügung, was sehr löblich ist.

Die Installation sollte daher keine Herausforderung darstellen.

Einrichtung

Die Einrichtung eines Accounts ist hingegen nicht so selbst erklärend. Der Hintergrund ist die Datenschutz-orientierte Funktionweise. Man legt im eigenen Sinne kein Jami-Konto an, sondern lediglich ein Konto lokal auf dem Gerät. Benutzername, Passwort etc. sind daher optional und dienen lediglich dem Schutz auf dem Gerät bzw. der leichteren Auffindbarkeit und müssen nicht genutzt werden. Jeder Account ist ansonsten lediglich durch eine sehr lange ID identifizierbar.

Im folgenden wurde das Konto zuerst in der Android App erzeugt, von der ausgehend andere Geräte eingebunden werden sollen. Eine Verbindung eines Kontos mit mehreren Geräten erfolgt über einen PIN. Auf dem Smartphone lässt man das Gerät einen PIN generieren.

Auf dem Desktop wählt man anschließend "Von Gerät importieren" im Einrichtungsdialog.

Anschließend gibt man den PIN ein. Ein generierter PIN ist 10 Minuten gültig.

Das eingerichtete Konto sollte man sichern, da es nicht möglich ist ein Konto wiederherzustellen, wenn es von allen verbundenen Geräten gelöscht wurde. Ein Backup des Kontos legt man dementsprechend an, indem man es entweder auf mehreren Geräten einbindet und das Verlustrisiko streut oder ein Kontoarchiv erzeugt. Letzteres ist sehr einfach mit den Linux-Clients möglich. Dieser erinnert einen nach der initialen Konfiguration eines Kontos auch sofort an diesen Schritt.

Funktionsweise

Chats, Sprach- und Videoanrufe startet man durch die Eingabe des Benutzernamens der gewünschten Kontaktperson in das Suchfeld von Jami. Bei bestehenden Kontakten entfällt dieser Schritt.

Jami funktioniert grundsätzlich nach dem P2P Prinzip, allerdings können sie auch nicht gänzlich auf Server verzichten. Dieser ist notwendig um z. B. Push-Benachrichtungen an Mobilgeräte zu schicken, um die Erstverbindung eines neuen Clients herzustellen und um Jami-Benutzernamen aufzulösen. Ohne diese Funktion würde es nur die sehr langen IDs geben.

Eine Herausforderung der nahezu Server-freien Funktionsweise sind Konferenzen. Der Konferenz-Host kann weitere Teilnehmer zu einem bestehenden Gespräch hinzufügen. Hierbei wird der Anruf auf dem Gerät des Anrufers verwaltet. Die maximale Anzahl der Konferenzteilnehmer hängt daher von den Hardware-Ressourcen des Host und seiner Bandbreite ab.

Obwohl die meisten Funktionen unter allen Clients zur Verfügung stehen gibt es einige Einschränkungen. Bildschirmfreigabe funktioniert beispielsweise nur mittels der Desktopclients und ist bei Linux auf X beschränkt. Wayland bleibt hier erst einmal außenvor.

Zusammenfassung

In meinen bisherigen Tests funktionierte Jami sehr zuverlässig. Bestehend ist das P2P Konzept, das nahezu ohne zentrale Server auskommt. Die sehr langen IDs sind umständlich, aber die QR-Codes und Benutzernamen federn dieses Problem ein wenig ab. Videoanrufe beruhen zudem meist auf einer vorherigen Absprache und einen kleinen Teilnehmerkreis, bei dem solche Hürden leichter zu meisten sind, als z. B. bei einem normalen Messenger.

Jami eignet sich daher hervorragend für Gespräche zweier Gesprächsteilnehmer oder kleine Teams. Bei größeren Anforderungen sollte man ggf. einen Blick auf Jitsi Meet werfen.

Bilder:
Einleitungs- und Beitragsbild von jraffin via pixabay

Die Möglichkeiten die die Linux-Kommandozeile bietet sind nahezu unbegrenzt. Es existieren unendlich viele Tools und Befehle und nahezu unendlich viele Möglichkeiten diese zu kombinieren und zu verknüpfen.

Natürlich merkt man sich all das, was man im Alltag verwendet. Aber Funktionen die man nur selten verwendet vergisst man auch leicht. In diesem Fall durchsuche ich die History nach einem Parameter an den ich mich noch erinnere. Sofern der Befehl aber nicht mehr in der History zu finden ist, geht die Sucherei los.

Wenn man nicht gerade beruflich den ganzen Tag mit der Kommandozeile arbeitet, so kennt man deren Möglichkeiten höchstwahrscheinlich nur zum Teil. Jedenfalls geht es mir so. Ich entdecke laufend, mit jedem neuen Problem und jeder neuen Lösung neue Möglichkeiten der Linux-Kommandozeile.

Egal ob man nun etwas sucht, oder einfach nur lernen und stöbern möchte, die Linux Command Library (http://linuxcommandlibrary.com) ist eine tolle Anlaufstelle.

Die Linux Command Library ist unterteilt in drei Kategorien. Commands, Basic und Tips.

In der Kategorie Commands findet man eine riesige Liste mit Befehlen. Ein Klick auf den Befehl zeigt die Manpage des dazugehörigen Tools, ergänzt um ein praktisches TLDR mit den gängigsten Optionen.

Die Kategorie Basic zeigt weitere Unterkategorien an. Beispielsweise System Information, Files/Folders, Network, SSH und viele mehr. Ein Klick auf die Unterkategorie listet passende Befehle und Tools auf. Gerade die Kategorie Basic lädt zum Stöbern ein.

Dann gibt es noch die allgemeine und recht kurze Kategorie Tips. Hier finden sich allgemeine Tipps und Hinweise, beispielsweise zur Verkettung von Befehlen.

Die Linux Command Library gibt es nicht nur im Web, sondern auch als App für Android un iOS. Die App ist zwar Open Source und der Quellcode auf Github, trotzdem scheint es die App für Android nur über Google Play zu geben. Für das iPhone und iPad ist die Linux Command Library logischerweise nur über den App-Store verfügbar.

Der Vorteil der Apps ist, dass diese auch offline funktionieren. Ansonsten funktioniert die Webseite auch ganz hervorragend im Webbrowser auf dem Smartphone.

Zur Linux Command Library im Web

Zur Linux Command Library App für Android

Zur Linux Command Library App für iOS

Linux Command Library für Android, iOS und im Web ist ein Beitrag von techgrube.de.

BitTorrent - ist das am meisten verbreitete dezentralisierte Protokoll der Welt https://de.wikipedia.org/wiki/BitTorrent . Damit lädt man nicht nur Dateien runter, sondern kann gleichzeitig die eigenen vollständigen und teilweisen Downloads zum Download anbieten (Seeding). BitTorrent wird oft als dezentralisiertes Dateisystem (Filesystem) BTFS bezeichnet. BitTorrent ist auch eine Firma https://www.bittorrent.com/ , die das Protokoll weiterentwickelt und weiterführende Dienste anbietet. Seit 2019 gehört die Firma zu dem TRON Netzwerk / Foundation und ist auf der Blockchain von TRON integriert. Dazu wurde ein eigener Krypto Token, der BTT, geschaffen. Bittorrent bietet auch Bezahlinhalte an bzw jeder kann innerhalb des Bittorrent Netzwerkes Bezahlinhalte anbieten, die dann mit BTT oder der TRON eigenen Währung TRX bezahlt werden. Viele Spiele Publisher, wie Blizzard (World Of Warcraft), id Software, Eve Online stellen die Patches für ihre Spiele über Bittorrent zur Verfügung. Bittorrent wird auch von vielen Projekten, wie Red Hat, Open- sowie Libre Office , die Linux Distribution Ubuntu und viele mehr stellen ihre Software per Bittorrent zur Verfügung. Aber auch außerhalb der Softwareindustrie testet die BBC und das freie Projekt Jamendo Bittorrent, um ihre Sendungen und Musik über Bittorrent zu verbreiten. Aktuell (03/2020) spekuliert man, dass die TRON Community einen Spielepublisher wie Blizzard (WoW) kaufen könnte. https://apnews.com/856266d196feff32a1200d3b26fd5b35

Bittorrent (Software) - uTorrent ist ein sehr Resourcensparender Bittorrent Client für Linux, Windows und Mac. Es gibt natürlich noch weitere Bittorrent Clients

BitTorrent Speed - ist der Name für die Integration von Bittorrent mit der Blockchain und dem Zahlungsmittel BTT oder TRX im Bittorrent Netzwerk. Hiermit wird die Grundlage geschaffen, dass jeder digitale Produkte schaffen kann und sie über dieses Netzwerk mit dem Zahlungsmittel BTT oder TRX verkaufen kann. Außerdem werden Anreize geschaffen, so dass Anbieter von Dateien für das Anbieten mit einer geringen Gebühr bezahlt werden können. https://www.bittorrent.com/speed/

BTFS - ist das dezentralisierte Bittorrent File System (Dateisystem). Es ist gleichzeitig ein Netzwerkprotokoll und eine Applikation, die das Speichern und Teilen von digitalen Inhalten ermöglicht, aber auch gleichzeitig eine Infrastruktur und Basis für dezentralisierte Applikationen (DApps) zur Verfügung stellt.

Vor ziemlich genau zwei Jahren habe ich in „Konzept zum Deployment meines Blogs mit Ansible“ geschrieben, wie ich diesen Blog mit Hilfe von Ansible ausgehend von einem bestehenden Backup auf einen neuen Server deployen bzw. wiederherstellen möchte.

Seither habe ich das dort beschriebene Verfahren mehrfach angewendet und möchte heute an dieser Stelle meine Erfahrungen mit euch teilen.

Umgebung

Wie schon vor zwei Jahren basiert mein Ansible Control Node auf einer RHEL 7 VM. Im Unterschied zu damals kommt heute statt Ansible in der Version 2.4.2 eine aktuell unterstützte Version 2.9.6 zum Einsatz.

Das Zielsystem war damals Ubuntu Bionic Beaver. Zwischendurch habe ich diesen Blog nach dem Konzept bereits auf CentOS/RHEL 7 sowie Debian 10 eingerichtet.

Die weiteren Rahmenbedingungen entsprechen der Testumgebung aus 2018. Auch verwende ich heute noch die gleichen Module wie vor zwei Jahren:

In der Tabelle ist zu erkennen, dass jene Module, die 2018 den Status preview hatten, diesen auch heute noch besitzen. Ich persönlich finde es schade, dass es keines dieser Module innerhalb von zwei Jahren zu einem stableinterface gebracht hat.

Darüber hinaus schleppen einige Module wie mysql_db noch ein paar ziemlich alte Bugs mit sich herum. Darunter z.B. dieser aus dem Jahre 2016. Zwar kann ich nicht mit Sicherheit sagen, ob dieser seit 2.4.2 bereits gefixt wurde. In Version 2.9.6 ist er jedenfalls vorhanden. Als Workaround habe ich den MySQL-Dump zuvor entpackt und dann im Modul verwendet, wodurch eine erheblich größere Datenmenge über das Netzwerk übertragen werden muss.

Erfahrungen der letzten zwei Jahre

Am Status der Module hat sich leider nichts geändert. Positiv sei hier jedoch angemerkt, dass sämtliche Module noch existieren und weiterhin genutzt werden können. So hatte ich zumindest keinen Aufwand, mir zwischenzeitlich neue Module suchen zu müssen, um die gestellte Aufgabe erledigen zu können.

Grundsätzlich klappt das Deployment bzw. die Wiederherstellung meines Blogs aus einem Backup mittels der Ansible-Rolle gut. Je nach verwendetem Zielsystem sind kleinere Anpassungen notwendig, da einige Pakete in CentOS anders benannt sind als in Debian, oder sich der Name in einer neueren Version der Distribution leicht geändert hat. Dieser Umstand ist jedoch nicht Ansible anzulasten, sondern rührt von den jeweiligen Paketnamen der unterschiedlichen Distributionen her.

Was mir persönlich überhaupt nicht gefällt, ist dass Ansible bei Minor-Release-Upgrades (z.B. von 2.9 auf 2.10) teilweise nicht abwärtskompatible Änderungen an der Syntax vornimmt. Dies sollte nach den Richtlinien des Semantic Versioning nicht so sein und geht in meinen Augen gar nicht. Darunter finden sich Dinge wie die Art und Weise, wie Paketnamen an ein Modul wie apt oder yum zu übergeben sind oder dass plötzlich der Bindestrich (-) in Gruppennamen nicht mehr zulässig ist. Änderungen wie diese machen sehr häufig Anpassungen am Inventory, den Playbooks und Rollen erforderlich. In meinem Fall ist der Aufwand noch überschaubar. In größeren Organisationen mit einigen hundert oder gar tausenden von Playbooks sieht die Sache schnell anders aus und wird auch nicht von allen Kunden gut aufgenommen.

Fazit

Es gibt einige Punkte, die mir an Ansible nicht so gut gefallen und bei denen ich auch keine schnelle Besserung erwarte. Auch sind von Zeit zu Zeit Anpassungen notwendig, um den Blog zu deployen bzw. wiederherstellen zu können. Jedoch hält sich der Aufwand dafür in Grenzen und ist deutlich geringer, als bspw. bei der ausschließlichen Verwendung von Bash-Skripten.

Verglichen zur manuellen Vorgehensweise (vgl. Testinstanz für einen WordPress Blog erstellen) erspart mir Ansible sogar eine Menge Zeit, welche ich z.B. mit meiner Familie verbringen kann. Daher bleibt Ansible für mich weiterhin gesetzt.

Welche Erfahrungen habt ihr mit Ansible gemacht? Und wie beurteilt ihr dieses heute im Vergleich zu den Vorjahren? Eure Berichte sind jederzeit willkommen.

In Debatten um Softwaresicherheit führen verschiedene Vertreter von ideologischen Schulen immer wieder vermeintlich rationale Argumente an, aber letztlich geht es bei den meisten Produkten und Diensten hinter argumentativen Nebelkerzen nur um Vertrauen.

Drei Beispiele

Quelloffene vs. Proprietäre Software

Das bekannteste Beispiel dieser Debatte ist sicherlich die nicht enden wollende Auseinandersetzung zwischen den Vertretern quelloffener Software und solchen mit geschlossenen Lizenzen. Die Vertreter quelloffener Software bringen immer eine Reihe von Standardargumenten um die Überlegenheit ihres Ansatzes hinsichtlich der Sicherheit und dem Datenschutz zu belegen. Ohne Anspruch auf Vollständigkeit ist dies meist:

1. Transparente Entwicklung mit Mehr-Augen-Prinzip
2. Jeder interessierte Dritte kann den Code ansehen
3. Transparente Erfassung sicherheitsrelevanter Probleme.

Nichts davon ist falsch, aber die Zeiten, in denen Software wenige hundert Zeilen umfasste und nahezu jeder interessierte sich das ansehen konnte sind lange vorbei. Viele zentralen Softwareprojekte sind inzwischen gewaltig geworden. Keine interessierte Person kann "mal eben so" Firefox oder LibreOffice verstehen, vom Linux Kernel mal ganz zu schweigen.

Letztlich geht es also um das Vertrauen in die Entwickler. Wenn Entwickler ihren Code offen legen und theoretisch mit der Einsichtnahme von unbeteiligten Dritten rechnen müssen glauben die Vertreter des Open Source-Gedankens implizit ihnen einen Vertrauensvorschuss gewähren zu können. Vertrauen, das man in die Entwickler proprietärer Produkte nicht investieren mag.

Die Probe auf das Exempel ist hier SELinux. Eigentlich komplett freie Software, aber weil große Teile der Community dem Urheber - der NSA - nicht vertrauen, gab und gibt es hier massive Vorbehalt. Obwohl der Code ausführlich geprüft wurde und man nichts gefunden hat.

Dezentralisierte vs. zentralisierte Dienste

In der Open Source Community und Datenschutz-Szene sind dezentralisierte (Kommunikations-) Dienste gerade sehr en vogue. Obwohl es begründete und belegte sicherheitsrelevante Bedenken gibt präferieren einige Experten sehr offen diese Lösungen und führen Zentralisierung immer wieder als Negativpunkt an.

Ganz offensichtlich vertrauen diese Menschen den Betreibern dezentralisierter Server mehr, als dem einen Betreiber eines zentralisierten Systems. Selbst wenn letzterer eine professionell aufgestellte Firma ist, die Transparenz durch Audits hergestellt hat und erster möglicherweise ein Amateur.

Hardware

Ein anderes Beispiel ist die Hardware. Etwas überspitzt nützt quelloffene Software nur wenig, wenn man der Hardware nicht vertrauen kann. Denn Hardware besteht heute nicht mehr mehr nur aus Bauteilen, sondern einer Vielzahl an Firmwares & Co. Besonders im Fokus dürfte hier gerade Intels ME stehen. Man kann jetzt nicht sagen, die Open Source Gemeinschaft hätte dieses Problem nicht erkannt, wohl aber dass bisher kaum Abhilfe in Sicht ist.

Welche Bedeutung hier Vertrauen hat, zeigt in etwas größerem Maßstab die medial sehr sichtbare Debatte um die Beteiligung von Huawei an der 5G-Infrastruktur. Es stehen Spionage-Vorwürfe im Raum, die öffentlich nicht belegt sind und auch hinter den Kulissen vermissen Experten wohl die berühmte Smoking Gun.

Fazit

Vertraue niemandem, der behauptet es würde nicht um Vertrauen gehen. Natürlich kann man den einen Argumenten Vorzug vor den anderen geben und Transparenz, sowie die Möglichkeit zur Kontrolle ist definitiv eine vertrauensbildende Maßnahme aber letztlich geht es im Kern immer im Vertrauen.

Bilder:

Einleitungs- und Beitragsbild von kiquebg via pixabay