Die gitlab Dokumentation empfiehlt zum Spiegeln meiner Meinung nach zu stark das Nutzen von github personal access tokens.

Diese haben aber einen Nachteil: Personal access tokens gelten für alle Repositories eines Nutzer. Anders formuliert: Gibt man einem personal access token Schreibrechte, kann man mit diesem token in alle Repositories dieses Nutzers schreiben. Gewollt ist in meinem Fall jedoch eher, dass man Schreibrechte für das eine Repository zum Spiegeln vergibt.

github hat deploy keys , die nur lesen/schreiben pro Repository ermöglichen. Diese kann man auch für das Spiegeln von gitlab zu github nutzen.

Da das aber in den beiden Dokumentationen subjektiv eher implizit steht, hier einmal die konkreten Schritte:

1. Ziel-Repository auf github erstellen
2. mirror in gitlab einrichten
   1. im bestehenden gitlab-Repository „Repository Settings“ → „Mirroring repositories“ öffnen
   2. Github-Repository-URL eingeben. Fallstrick hier: ssh:// vorn an SSH-Repo-Adresse aus github, später den : durch / ersetzen. Also aus git@github.com:<user>/<repo>.git wird ssh://git@github.com/<user>/<repo>.git. Andernfalls mag gitlab die URL nicht.
   3. Erscheinenden „Detect host keys.“-Button klicken und den Fingerprint mit dem von github vergleichen.
   4. Mirror direction „push“ auswählen.
   5. Bei „Authentication method“ „SSH public key“ wählen → damit wird ein eigener SSH-Key im gitlab erstellt.
   6. Den generierten SSH public key aus gitlab kopieren und in github als deploy key einfügen. Dieser braucht in github Schreibrechte.
   7. im gitlab „update now“ drücken und schauen, ob es funktioniert.

Dann sollte es gehen. 🙂

New Tab Override ist eine Erweiterung zum Ersetzen der Seite, welche beim Öffnen eines neuen Tabs in Firefox erscheint. Die beliebte Erweiterung ist nun in Version 15.0 erschienen und kommt mit drei neuen Features sowie einer weiteren Übersetzung.

Was ist New Tab Override?

Die Erweiterung New Tab Override erlaubt das Überschreiben der Seite, welche beim Öffnen eines neuen Tabs in Firefox erscheint. Dies kann eine beliebige Website, immer automatisch die aktuelle Startseite, eine lokale Datei, eine Hintergrundfarbe oder die neusten Nachrichten von diesem Blog sein.

New Tab Override war das erste Add-on, welches das Überschreiben des neuen Tabs ermöglichte, und ist damit das Original und auch heute noch die meistgenutzte Erweiterung dieser Art. New Tab Override wurde im Dezember 2016 auf dem offiziellen Mozilla-Blog vorgestellt, schon mehrfach im Add-on Manager von Firefox beworben und gehört seit vergangenem Jahr außerdem zu Mozillas handverlesener Auswahl empfohlener Erweiterungen.

Download New Tab Override für Firefox

Die Neuerungen von New Tab Override 15.0

Fokus auf Adressleiste oder Website?

Bereits in der Vergangenheit hatte New Tab Override ein Feature, welches dem Nutzer die Festlegung erlaubte, ob der Fokus bei neuen Tabs in der Adressleiste oder auf der Website liegen soll, zum Beispiel im Suchfeld einer Suchmaschine. Mit New Tab Override 14.3.0 musste die Option entfernt werden, weil der Fokus seit einer Änderung in Firefox 61 immer auf der Website lag. Ab Firefox 80 kann dies wieder geändert werden und der Fokus liegt ab Firefox 80 standardmäßig auf der Adressleiste und nicht länger auf der Website.

New Tab Override 15.0 bringt die Fokus-Option wieder zurück. Voraussetzung ist die Nutzung von Firefox 80 oder höher. Nutzer von Firefox 79 und niedriger sehen die entsprechende Option gar nicht erst in den Einstellungen von New Tab Override.

Wo sollen neue Tabs geöffnet werden?

Standardmäßig öffnet Firefox neue Tabs immer am Ende der Tableiste, außer es besteht eine direkte Verbindung zum aktuellen Tab, nachdem man das Kontextmenü eines Links aufgerufen und dann ausgewählt hat, diesen Link in einem neuen Tab zu öffnen. Ein so geöffneter Link wird standardmäßig direkt rechts vom aktuellen Tab geöffnet.

New Tab Override erlaubt ab sofort, die Position neuer Tabs zu konfigurieren. Neben dem Standard-Verhalten lässt sich auch einstellen, alle neuen Tabs immer direkt rechts vom aktuellen Tab oder immer am Ende der Tabreihe zu öffnen.

Die Berechtigung, um Browser-Einstellungen lesen und verändern zu dürfen, ist aus diesem Grund ab dieser Version nicht länger optional.

Unterstützung für Dark Mode

Ist der Dark Mode des Betriebssystems aktiv, wird die Einstellungs-Oberfläche von New Tab Override ab sofort ebenfalls dunkel angezeigt.

Sonstige Verbesserungen

Ab dieser Version steht die Erweiterung auch in Ukrainisch und damit in nun insgesamt 14 Sprachen zur Verfügung.

Außerdem wurde Mozillas Tool web-ext zum Kompilieren der Erweiterung von Version 4.0.0 auf Version 5.0.0 aktualisiert.

Die minimal erforderliche Firefox-Version ist ab sofort Firefox 78, Firefox 68 wird nicht länger unterstützt.

Der Beitrag New Tab Override 15.0 mit drei neuen Features veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Der auch in Firefox integrierte PDF-Betrachter von Mozilla erhält signifikante Verbesserungen, darunter die Möglichkeit, Formulare auszufüllen, Ebenen sowie ein neues Design.

Mit pdf.js gibt es einen von Mozilla mit Webtechnologie entwickelten Betrachter von PDF-Dateien, welcher seit vielen Jahren Bestandteil von Firefox ist, aber auch von anderen populären Unternehmen und Diensten genutzt wird.

Nachdem bereits Firefox 77 eine Unternehmensrichtlinie zum optionalen Aktivieren von Dokumenten-Berechtigungen, zum Beispiel zum Verhindern von Kopieren von Text, und Firefox 78 und Firefox 79 eine größere Anzahl an Verbesserungen im Umgang mit dem Öffnen von PDF-Dateien erhalten hatten, folgen schon bald große Verbesserungen des PDF-Betrachters selbst.

Neues Design

Die auffälligste Neuerung betrifft das Design. Während das aktuelle Design sehr dunkel ist und nicht der sonstigen Design-Sprache von Firefox entspricht, zeichnet sich das neue Design durch neue Icons, passend zum Photon-Stil von Firefox, größere Schaltflächen sowie dem Fehlen von Farbverläufen und Schattierungen aus, wodurch es nicht nur moderner wirkt, sondern durch eine reduzierte Größe auch schneller lädt. Außerdem gibt es nun sowohl ein dunkles als auch ein helles Farbschema, passend zu den unterschiedlichen Design-Optionen von Firefox.

Ausfüllen von Formularen

Die wichtigste Neuerung betrifft die viel gewünschte Möglichkeit, Formulare auszufüllen. Während Mozillas PDF-Betrachter in der Vergangenheit wirklich als reiner Betrachter zu sehen war, soll es bereits in Firefox 81 möglich sein, PDF-Formulare auszufüllen und diese ausgefüllt zu speichern und zu drucken.

Geplant ist zunächst die Unterstützung von AcroForm. Die Unterstützung von XFA-Formularen wird zwar auch angestrebt, wird aber vermutlich noch nicht Teil von Firefox 81 sein.

Unterstützung von Ebenen

Die andere große Verbesserung wird die Unterstützung von Ebenen sein. Bisher hat Firefox keine Ebenen in PDF-Dateien unterstützt, was beim Betrachten von PDF-Dateien mit unsichtbar geschalteten Ebenen dafür sorgen konnte, dass Inhalte in PDF-Dateien angezeigt worden sind, welche in anderen PDF-Anwendungen nicht zu sehen waren.

Der Beitrag Firefox: PDF-Betrachter bekommt signifikante Verbesserungen erschien zuerst auf soeren-hentzschel.at.

In diesem kurzen Beitrag möchte ich euch zeigen, wie man mit Hilfe von Ansible die Host-Firewall (firewalld) konfigurieren kann. Dies ist z.B. dann nützlich, wenn man die identische Konfiguration auf mehreren Hosts ausbringen möchte.

Bevor es an die Freigabe spezifischer Ports und Services in der Host-Firewall geht, wird zuerst sichergestellt, dass der Dienst firewalld installiert, aktiviert und gestartet ist. Dazu dienen die Ansible-Module yum und service. Folgendes Playbook zeigt beispielhaft, wie diese genutzt werden können, um vorstehende Anforderungen zu erfüllen:

---
# Install, activate and start firewalld

- hosts: foo.example.com
  tasks:
  - name: Make sure firewalld is installed
    yum:
      name: firewalld
      state: latest

  - name: Activate and start firewalld service
    service:
      name: firewalld
      enabled: yes
      status: started

Bei Verwendung einer auf Debian basierenden Distribution ist statt yum das Modul apt zu verwenden.

Um jetzt z.B. die Services HTTP und HTTPS in der lokalen Host-Firewall freizugeben, kann obiges Playbook um die folgenden Abschnitte, unter Verwendung des Ansible-Moduls firewalld, ergänzt werden:

[...]
  - name: Enable immediate and permanent access to HTTP
    firewalld:
      service: http
      permanent: yes
      immediate: yes
      state: enabled

  - name: Enable immediate and permanent access to HTTPS
    firewalld:
      service: https
      permanent: yes
      immediate: yes
      state: enabled

Aktuell ist es leider noch nicht möglich dem Parameter ’service‘ eine Liste zu übergeben. Auf GitHub existiert jedoch bereits ein RFE für diese Funktion.

Die MZLA Technologies Corporation hat mit Thunderbird 78.1 ein planmäßiges Update für seinen Open Source E-Mail-Client veröffentlicht.

Thunderbird 78.1 steht ab sofort zum Download bereit. Ein automatisches Update von Thunderbird 68 und älter steht weiterhin nicht zur Verfügung, dieses wird erst in den kommenden Wochen verteilt werden. Nutzer von Thunderbird 78.0 erhalten die neue Version jedoch bereits als Update.

Die Neuerungen von Thunderbird 78.1

Mit Thunderbird 78.1 hat die MZLA Technologies Corporation die Entwicklung der Ende-zu-Ende-Verschlüsselung für E-Mails via OpenPGP funktional abgeschlossen. Standardmäßig ist die Neuerung aber wie geplant noch deaktiviert und wird dann voraussichtlich mit dem kommenden Update auf Thunderbird 78.2 aktiviert werden.

Wie in Firefox besitzen jetzt auch die Einstellungen von Thunderbird ein Suchfeld, um schnell die gesuchte Einstellung zu finden.

Ein neues Feature von Thunderbird 78.0 war die Möglichkeit, die Farbe der Ordner-Symbole beliebig zu verändern. Für Nutzer mit vielen Ordnern hat diese Funktion jedoch den Start von Thunderbird spürbar verzögert. Das Problem wurde behoben. Jedoch müssen Nutzer, welche diese Funktion bereits nutzten, ihre Ordner-Farben neu konfigurieren, da diese beim Update von Thunderbird 78.0 auf Thunderbird 78.1 verloren gehen.

Neu in Thunderbird 78.0 war auch, dass bei Verwendung des Dark Modes vom Betriebssystem der Hintergrund von E-Mails dunkel und nicht länger weiß war. Diese Änderung wurde in Thunderbird 78.1 auf Grund von Problemen mit der Lesbarkeit von E-Mails rückgängig gemacht.

Die Quota-Anzeige für E-Mails in der Statusleiste hatte keine Terabyte-Größen unterstützt. In den Konten-Einstellungen wurden die erweiterten IMAP-Einstellungen bei Änderungen nicht gespeichert. Das Ändern von Junk-Mail-Einstellungen mit der Tastatur änderte eine falsche Einstellung. Das Adressbuch hat bei Änderungen den Zeitpunkt der letzten Änderung nicht aktualisiert. Außerdem gab es Korrekturen für die Migration des Addressbuches, welches seit Firefox 78.0 seine Daten in einem anderen Format speichert.

Darüber hinaus behebt Thunderbird 78.1 auch diverse Sicherheitslücken. Ein Update auf die neueste Version ist also schon aus Gründen der Sicherheit empfohlen.

Der Beitrag Thunderbird 78.1 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Zwischen Ende Juli und Anfang August feiert [Mer]Curius Geburtstag. Ende Juli erfolgte die Registrierung beim Hoster, Anfang August die Buchung der Domain. Nun sind es nicht nur 6 Jahre vergangen sondern auch knapp 700 Artikel geschrieben.

Bei vielen Privatsphäre/Datenschutz-bewegten Menschen kann man das Jahr 2013 als persönlichen Wendepunkt im persönlichen Umgang mit Daten feststellen. So auch bei mir. Natürlich hatte man auch vorher Informationen über staatliche Überwachung und die Beteiligung der großen IT-Konzerne aber Wahrheit und Verschwörungstheorie waren hier schwer zu trennen. Mit den Snowden-Leaks hatte man es dann schwarz auf weiß und konnte darüber nicht mehr hinweg gehen. Das Blog entstanden circa ein Jahr nach den Leaks als persönliche Sammlung von Erfahrungen, die man so macht, wenn man von 0 auf 100 seine Systeme und Gewohnheiten auf Datenschutz und Sicherheit ausrichtet.

Weil einige Themen wahre Dauerbrenner sind und andere eher dem Zeitgeist entsprangen erfolgte irgendwann die Trennung zwischen Blog und den Themenseiten (Betriebssysteme, Verschlüsselung, Kommunikation, Cloud, Internet). Das entspricht auch in etwa der Wertigkeit. Verschlüsselung von Daten und Kommunikation, der achtsame Umgang mit der Cloud und der Schutz vor Tracking im Internet sind meiner Meinung nach die Kernbereiche für mehr digitale Privatsphäre. Zeitgeist, kurzlebige Meldungen und kritische Kommentare versinken nach einer gewissen Zeit in den Tiefen des Blogs.

Wenn man anfängt sich mit dem Thema Datenschutz/digitale Privatsphäre zu beschäftigen glaubt man vieles zu 100% machen zu müssen und viele "Expertenseiten" bestätigen einen in dieser Ansicht. Bei meinen damaligen Recherchen stieß ich ziemlich schnell auf prism-break. Die Seite sah damals noch ein wenig anders aus als heute und betrieb - neben vielen guten Tipps und Hinweisen - ziemlich schamlose Propaganda für Open Source Software. Ich war zwar mit Linux durchaus vertraut, hatte aber 2013/14 einen ziemlichen Mischbetrieb aus verschiedenen Systemen. Ich bin also 2014 direkt in die Vollen gegangen: Linux, Verschlüsselung, AOSP, F-Droid, GPG, Wechsel des Mailproviders. Wenn schon dann richtig.

Für mich persönlich hat das nicht sonderlich gut funktioniert. Diese Form des digitalen Purismus ist eine abschüssige Bahn in die digitale Abstinenz. Die Leser dieses Blogs konnten daher verfolgen, wie ich ab 2016 den Schwenk zurück in die digitale Realität und zu ein wenig proprietärer Software gemacht habe. Open Source und irgendwelche Nischendienste werden bei vielen Datenschutz-affinen Menschen maßlos überbewertet. Wichtiger sind vielmehr welche und wie viele Dienste man nutzt. Den einen oder anderen mag es genervt haben, wie ich mich rund um diese Zeit an freier Software abgearbeitet habe. So spiegelt halt ein Blog halt immer die Stimmungen und aktuellen Erfahrungen des Autors. Ab und an leg ich noch den Finger in die Wunde, aber inzwischen bin ich damit ziemlich durch.

Die letzten ein, zwei Jahre wurde es ruhiger. Mein digitales Leben ist relativ statisch geworden. Neue Trends (Instagram, Twitter) sind ziemlich an mir vorüber gegangen. Das gleiche gilt für neue Hardware-Produktive (Smart Home). Die einzige größere Veränderung bestand im Kauf eines Synology NAS und die inzwischen ziemlich exzessive Nutzung der Möglichkeiten, die das so mit sich bringt.

Im ersten Moment dachte ich noch, dass sich in den letzten 3 Jahren nicht viel getan hätte. Das Internet Archive belehrte mich eines Besseren. Mit der Zeit bin ich dazu übergegangen keine großen Relaunches mehr zu machen, sondern hier und da an Design und Auftritt zu feilen. Zuletzt wurde die Bilderauswahl vereinheitlicht (siehe: Änderungen im optischen Auftritt) und die Themenseiten optisch neu gestaltet. Ende des Jahres kommt hoffentlich Joomla 4 und eventuell nutze ich die Gelegenheit für einen größeren optischen Relaunch 2021.

Ich erhebe keine Statistiken, aber freue mich über das rege Feedback in den Kommentaren und an meine Mail Adresse. Nach einem zeitweiligen Tiefpunkt ist das inzwischen auch inhaltlich wieder konstruktiver. Nur noch sehr selten muss ich Kommentare löschen.

Wer sich im Internet bewegt hat in der Regel auch viele Konten auf vielen Webseiten angelegt. Durch Datenskandale in den letzten Jahren wurden wir User immer wieder auf die Dringlichkeit für sichere Passwörter sensibilisiert. Es gibt viele Grundregeln, an die man sich halten soll. Die wichtigste Regel lautet: Jede Webseite muss ein eigenes Passwort erhalten.

Passwörter organisieren mit Passwort-Manager

Nach spätestens dem dritten, schweren Passwort hat man keine Lust mehr, sich die kryptischen Buchstaben-, Zahlen- und Symbolkombinationen zu merken. Schon gar nicht, wenn man ein Passwort nur selten braucht, etwa das für die Software der Steuererklärung. Ganz einfacher Tipp: ein Passwort-Manager muss her.

KeePass Password Safe – der freie Passwort-Manager

In der Freien-Software-Szene ist KeePass Password Safe weit verbreitet. Die Software ist für viele Plattformen erhältlich, man kann sie auf den Smartphone verwenden und die Verschlüsselung ist weitestgehend akzeptiert. Die Funktionen sind umfangreich, es wird bspw. die „Schwierigkeit“ des Passwort angezeigt und man kann sich Passwörter generieren lassen. Gerade diese Funktion ist sehr nützlich, wenn man sich häufig im Netz registriert.

Verbindung mit Firefox herstellen

Die Handhabung des Passwort-Managers verbessert sich maßgeblich, wenn man ihn mit Firefox verknüpfen kann. Das ständige Kopieren des Passworts für die (sehr unsichere(!!)) Zwischenablage entfällt, wenn man eine direkte Verbindung von Firefox zu KeePass herstellt. Firefox und KeePass lassen sich beide über Plugins erweitern, um diese Verbindung herzustellen. Das möchte ich nun beschreiben.

Für KeePass werden wir das Plugin KeePassRPC verwenden, in Firefox kommt das Plugin Kee zum Einsatz.

Schritt 1: KeePass vorbereiten

Zunächst muss man KeePass öffnen und Tools – Plugins – Get more Plugins aufrufen. Auf der Webseite sucht man nach der Erweiterung KeePassRPC. Diese Erweiterung stellt eine bidirektionale Kommunikation mit anderen Anwendungen her, in unserem Fall Firefox.

Über den Link gelangt man auf die Github-Seite, von der aus man die Plugin-Datei *.plgx herunterladen kann. Die heruntergeladene Datei speichert man im Ordner C:\Program Files (x86)\KeePass Password Safe 2\Plugins

Schritt 2: Firefox vorbereiten

Man klickt oben rechts in Firefox auf das Menü, Addons installieren, Suche nach „Kee – Password Manager“ und bestätigt mit einem Klick auf „hinzufügen zu Firefox„.

Schritt 3: Verbindung autorisieren

Nun schließt man KeePass und öffnet es erneut. Das Firefox-Plugin fragt nun nach einer Autorisierung. Es öffnet sich automatisch ein Fenster, in dem ein Code angezeigt wird. Diesen Code gibt man nun in Firefox ein und bestätigt mit „Verbinden“ – fertig.

Schritt 4: Benutzung des Passwort-Managers mit Firefox

Passwort speichern

Gibt man im Browser Zugangsdaten zum ersten mal ein, fragt Kee mit einem Fenster in der unteren rechten Ecke nach, ob das Passwort gespeichert werden soll. Bestätigt man dies, wird das Passwort in KeePass gespeichert und mit der zugehörigen URL abgelegt.

Passwort eingeben

Sobald man die Loginseite einer Webseite aufruft, füllt Kee die Loginfelder automatisch aus. Man erkennt das auch daran, dass das Kee-Logo neben dem Eingabefeld erscheint. Sollten mehrere Zugangsdaten für die gleiche URL hinterlegt sein, kann man über dieses Symbol zwischen ihnen wechseln. Das funktioniert natürlich nur, so lange KeePass im Hintergrund geöffnet ist.

Mozilla hat Firefox 79 für Windows, Apple macOS und Linux veröffentlicht. Dieser Artikel fasst die wichtigsten Neuerungen zusammen – wie immer auf diesem Blog weit ausführlicher als auf anderen Websites.

Download Mozilla Firefox für Microsoft Windows, Apple macOS und Linux

Passwörter können exportiert werden

Im Menü der Passwort-Verwaltung befindet sich ein neuer Eintrag, um Passwörter als CSV-Datei zu exportieren. Wird kein Master-Passwort genutzt, wird der Export durch die Authentifizierung des Betriebssystems geschützt.

Eine Import-Funktion aus CSV-Dateien fehlt noch, befindet sich aber bereits in Entwicklung. So soll Firefox schon bald nicht nur aus Firefox exportierte Passwort-Dateien lesen können, sondern auch CSV-Importe externer Passwort-Manager.

WebRender für weitere Nutzer

WebRender stammt wie die mit Firefox 57 eingeführte CSS-Engine Stylo ebenfalls aus Mozillas Next-Generation-Engine Servo und ist in der Programmiersprache Rust geschrieben. Es handelt sich bei WebRender um einen Renderer für Webseiten-Inhalte, welcher unter stärkerer Einbeziehung der Grafikkarte als bisher im Grunde wie eine Spiele-Engine arbeitet, aber für das Rendering von Web-Content optimiert ist und dadurch große Performance-Vorteile liefern soll.

Auch in Firefox 79 wurde WebRender wieder für weitere Nutzer ausgerollt. Genauer werden jetzt auch Computer mit Windows 10 und AMD-Grafikchip im Akkubetrieb unterstützt. Außerdem wurde WebRender für weitere Intel-Grafikchips aktiviert und die minimal erforderliche Treiber-Version für Intel-GPUs gesenkt.

Oberfläche für experimentelle Funktionen

In den Firefox-Einstellungen lassen sich einige Aspekte von Firefox konfigurieren. Wem dies noch nicht weit genug geht, findet mit about:config eine Oberfläche, auf welcher zahlreiche weitere Einstellungen vorgenommen werden können. Auch neue Funktionen, die noch nicht fertig sind, können hierüber häufig vorab aktiviert werden. Allerdings ist von der Verwendung von about:config abzuraten, wenn man nicht genau weiß, was man tut, da sich hierüber tiefgreifende Veränderungen durchführen lassen, welche gerade bei Unwissenheit unerwünschte Nebeneffekte haben können, zumal about:config keinerlei Raum für Beschreibungen oder Links zu weiteren Informationen bietet.

Eine neue Oberfläche soll, unabhängig von about:config, Zugriff auf ausgewählte Funktionen bieten, welche noch experimentell sind. Ein wesentlicher Vorteil ist, dass Mozilla entsprechende Funktionen an dieser Stelle ausführlich beschreiben und auf Seiten mit weiteren Informationen verlinken kann.

Die neue Oberfläche muss derzeit selbst noch via about:config aktiviert werden (browser.preferences.experimental) und beinhaltet derzeit nur ein einziges Experiment. Hier werden in Zukunft aber deutlich mehr Experimente zu finden sein. In der aktuellen Nightly-Version werden bereits 18 Experimente aufgelistet.

Verbesserungen der Entwickler-Werkzeuge

Bei den Verbesserungen der Entwickler-Werkzeuge lag der Schwerpunkt in Firefox 79 beim Logging und Debugging. Ausführliche Informationen dazu hält der entsprechende Artikel auf hacks.mozilla.org bereit.

Verbesserungen gab es auch im Umgang mit Sourcemaps, im Speziellen mit SCSS und CSS in JS. Außerdem steht die Funktion zum Untersuchen von Barrierefreiheit-Eigenschaften im Kontextmenü zur Verfügung. Beim Debugging von Tabs auf anderen Geräten via about:debugging gibt es nun Zurück- und Vorwärts-Schaltflächen.

Verbesserungen für Firefox-Erweiterungen

Firefox 79 beinhaltet auch wieder Verbesserungen für Firefox-Erweiterungen.

Die größte Neuerung ist die Umstellung auf ein neues in Rust entwickeltes Backend für die storage.sync-API, worüber Erweiterungen Daten via Mozilla-Cloud zwischen Geräten synchronisieren können. Damit einher geht auch, dass ab sofort Client-seitige Quotas erzwungen werden.

Eine neue API zum „Aufwärmen“ von Tabs ermöglicht es Erweiterungen von alternativen Tab-Implementierungen, den gleichen Performance-Vorteil der standardmäßigen Tab-Implementierung zu erhalten, wenn hervorsehbar ist, dass der Nutzer einen Tab aktivieren möchte, zum Beispiel weil die Maus über die Tab-Oberfläche gefahren wird.

Diese und weitere Neuerungen werden im Mozilla-Blog beschrieben.

Verbesserungen der Webplattform

Implizites rel=noopener bei target=_blank

Die Verwendung von target=“_blank“ in Webseiten-Links ist nicht nur praktisch, um Seiten standardmäßig in einem neuen Tab öffnen zu lassen, es handelt sich dabei gleichzeitig auch um eine unterschätzte Sicherheitslücke. Eine Lösung dagegen ist die Verwendung von rel=“noopener“, was die meisten Website-Entwickler allerdings versäumen. Die Verwendung von rel=“noopener“ liefert gleichzeitig auch noch einen Performance-Vorteil gegenüber dem Weglassen. Ab sofort nimmt Firefox automatisch an, dass dieses Attribut gesetzt wäre, wenn target=“_blank“ verwendet wird und das rel-Attribut nicht explizit auf „opener“ gesetzt wird.

Sonstige Verbesserungen der Webplattform

Mittels prefers-color-scheme Media Query können Website-Entwickler das Design einer Website in Abhängigkeit davon anzupassen, ob der Nutzer ein helles oder dunkles Farbschema aktiviert hat. Neben den möglichen Werten light und dark gab es hier als dritte Option noch no-preference. Die dritte Option wurde in Firefox 79 wieder entfernt, nachdem diese auch aus der Spezifikation entfernt worden ist.

Die Unterstützung für SharedArrayBuffer kehrt mit Firefox 79 zurück. Außerdem unterstützt Firefox neben weiterer WebAssembly-Funktionalität nun auch Promise.any() sowie Logical assignment operators in JavaScript.

Ausführliche Informationen zu Verbesserungen der Webplattform in Firefox 79 finden sich auf hacks.mozilla.org sowie in den MDN web docs.

Sonstige Neuerungen in Firefox 79

Nutzer in Deutschland sehen auf ihrer Firefox-Startseite, sofern die Pocket-Empfehlungen aktiviert sind, ab sofort mehr von diesen.

Bereits in Firefox 78 gab es einige Verbesserungen im Umgang mit PDF-Dateien und mit Firefox 79 legt Mozilla noch eine Verbesserung nach. Nach dem Download einer PDF-Datei kann diese via Kontextmenü-Eintrag im Download-Panel im Standard-PDF-Programm geöffnet werden. Ein zweiter Eintrag ermöglicht es, standardmäßig das eingestellte Standard-Programm für PDF-Dateien zu verwenden.

Via browser.urlbar.maxRichResults in about:config kann die maximale Anzahl an Seiten definiert werden, welche in der Adressleiste angezeigt werden. Direkt nach Klick in die Adressleiste, bevor irgendetwas eingegeben worden ist, werden standardmäßig allerdings maximal acht Seiten angezeigt. Dies ist nun abhängig von der Anzahl der Zeilen für wichtige Seiten auf der Firefox-Startseite. Bei zwei Zeilen sind bis zu 16 Seiten möglich, bei vier Zeilen wären bis zu 32 Seiten möglich. Mehr als vier Zeilen lassen sich in den sichtbaren Firefox-Einstellungen zwar nicht einstellen, aber wem das nicht genügt, kann die Zahl in about:config über den Schalter browser.newtabpage.activity-stream.topSitesRows weiter erhöhen.

Natürlich kam auch in Firefox 79 die Unterstützung weiterer Unternehmensrichtlinien dazu. Auch gab es wieder weitere Verbesserungen der barrierefreien Nutzung von Firefox.

Geschlossene Sicherheitslücken

Wie immer hat Mozilla auch in Firefox 79 wieder mehrere Sicherheitslücken geschlossen. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 79 daher für alle Nutzer dringend empfohlen.

Nicht verfügbar für Apple macOS 10.9 bis 10.11

Nutzer von Apple macOS 10.9 bis 10.11 wurden mit Firefox 78 auf Firefox ESR 78 migriert und erhalten auf diesem Kanal noch ein Jahr lang Sicherheits- und Fehlerbehebungs-Updates. Firefox 79 und höher lassen sich auf diesen veralteten Betriebssystem-Versionen gar nicht erst starten.

Der Beitrag Mozilla veröffentlicht Firefox 79 – die Neuerungen erschien zuerst auf soeren-hentzschel.at.

OMG!Ubuntu! zeigt in seinem Artikel, wie man Firefox unter Linux schneller machen kann, indem man die Unterstützung des Grafichips, also der GPU, hinzuschaltet.

In aller Kürze:

1. Die Konfiguration öffnen, indem man in der URL Zeile about:config eingibt und die Warnung bestätigt
2. Dann sucht man nach gfx.webrender.all
3. Den Wert false setzt man mit einem Doppelklick auf true (oder wieder auf false, falls es zu Problemen führt)

Den ganzen Artikel könnt ihr hier lesen https://www.omgubuntu.co.uk/2020/07/firefox-enable-webrender-linux

Zeichenketten für die Spezifikation der Plattform sind öfter in der Entwicklung mit Linux anzutreffen. Dieser Artikel erklärt den Hintergrund.

Wer mit Linux in der Softwareentwicklung bereits öfter zu tun hatte, wird auf mysteriöse Bezeichnungen wie x86_64-linux-gnu-gcc oder x86_64-unknown-linux-gnu gestoßen sein. Hier fällt besonders der Term unknown auf. Wo kommt diese Zeichenkette her? Welche Funktion hat diese? Und was genau bedeutet es, wenn dort von unknown die Rede ist?

Eigentlich ist die Thematik relativ schnell abgehandelt, vor allen Dingen, weil sie auf den ersten Blick gar nicht erwähnenswert erscheint. Allerdings stört auf den zweiten Blick dieses unknown, welches klingt, als würde etwas nicht installiert sein, als würde das System nicht standardkonform arbeiten. Das ist jedoch nicht der Fall.

Bei dieser Zeichenkette handelt es sich um das Target Triplet, im LLVM-Umfeld auch als Target Triple bezeichnet. Es kommt aus der Welt der Cross-Compiler und wird zur eindeutigen Identifizierung von Plattformen benutzt.

Kurzer Exkurs in die Cross-Compiler: die grundsätzliche Aufgabe eines Compilers ist, Code einer Sprache einzulesen und Code in einer anderen Sprache auszugeben. In den meisten Fällen wird als Eingabe Quellcode einer höheren Programmiersprache und als Ausgabe Maschinencode in der Maschinensprache vorkommen. Da die Maschinensprache abhängig von Architektur, Plattform und weiteren Konventionen wie z. B. der ABI ist, muss ein Compiler genau wissen, welche Ausgabe generiert werden soll.

Diese Triplets sind beim GCC so aufgebaut:

arch-vendor-kernel-system

Dabei ist arch die Architektur, vendor stellt die Maschine dar und kernel sowie optional system beschreiben das Betriebssystem. System gibt insbesondere meist die ABI an. Diese ABI spezifiziert die Interaktion von Maschinencode untereinander und umfasst Aspekte wie die Calling Convention, also die Frage, wer den Stack nach einem Unterprogramm aufräumt. Hier wird oft zwischen GNU, Microsoft und Borland unterschieden.

Möchten wir uns solch ein Target Triplet für unser System anschauen, so reicht es, gcc -dumpmachine aufzurufen. Es erscheint so etwas wie:

x86_64-pc-linux-gnu

Dieser x86_64-PC arbeitet also mit Linux als Kernel und nutzt die GNU-ABI.

Manchmal steht aber unknown im String:

x86_64-unknown-linux

Hier nutzt das System ebenfalls die x86_64-Architektur und Linux als Kernel, es werden aber keine weiteren Informationen zum vendor angegeben. Bei GNU GCC ist die vendor-Angabe ohnehin meist irrelevant.

Wir sehen also, dass das vendor-Feld nichts mit einer Standardkonformität zu tun hat. Es ist lediglich eine historisch gewachsene Angabe zum Anbieter einer Plattform und kann Werte wie pc, apple, ibm – oder eben, wenn nichts weiter spezifiziert ist, unknown für die Standardwerte annehmen. Vorteil der konsequenten Angabe des vendor-Feldes ist das vereinfachte Parsing, oftmals wird allerdings das Feld von einigen Programmen schon ausgelassen.

Das Compilerframework LLVM nennt die Zeichenkette Target Triplet und hat eine ähnliche Vorgabe:

<arch><sub>-<vendor>-<sys>-<abi>

Hier kommt zusätzliche Informationen wie sub hinzu, um beispielhaft auf die verschiedenen Versionen der ARM-Plattform wie armv5 oder armv7a zu reagieren, ansonsten sind die Angaben nahezu identisch.

Zusammenfassend wird diese Angabe für die eindeutige Bezeichnung verschiedener Plattformen genutzt. Während die Architektur immer klar gennant wird, hängen die zusätzlichen Felder für Kernel, Anbieter oder ABI vom Compiler und der verwendeten Software ab. Die generische Angabe unknown im vendor-Feld ist im Grunde ein default-Wert und bedeutet lediglich, dass die Plattform nicht speziell mit einem bestimmten Anbieter zusammenhängt und dass die Standardwerte vom Compiler verwendet werden oder wurden.

Weitere Informationen können im OSDev Wiki sowie den Dokumentationen von GNU Autoconf oder GDC gefunden werden.

Die MZLA Technologies Corporation hat Thunderbird 78 veröffentlicht. Die neue Version des Open Source E-Mail-Clients bringt wieder viele Neuerungen.

Neue Version ab sofort verfügbar, Updates jedoch später

Thunderbird 78 steht ab sofort zum Download bereit. Ein automatisches Update von Thunderbird 68 oder älter steht zu diesem Zeitpunkt jedoch nicht zur Verfügung. Das wird wieder, wie in der Vergangenheit, erst einige Wochen später erfolgen.

Die MZLA Technologies Corporation rät Nutzern der Enigmail-Erweiterung ausdrücklich davon ab, bereits auf Thunderbird 78 zu aktualisieren, damit die Verschlüsselungs-Einstellungen mit einem zukünftigen Update ordnungsgemäß migriert werden können.

Wichtiger Hinweis für Nutzer von Erweiterungen

Grundsätzlich sollten Nutzer von Erweiterungen bedenken, dass Thunderbird 78 ausschließlich MailExtensions unterstützt, das Pendant zu WebExtensions in Firefox. Ältere Erweiterungs-Technologien werden von Thunderbird nicht mehr unterstützt. Einige Entwickler von Thunderbird-Erweiterungen werden in den kommenden Wochen noch mit der Anpassung ihrer Erweiterungen beschäftigt sein.

Verfassen von E-Mails überarbeitet

In Thunderbird 78 wurde das Fenster zum Verfassen von E-Mails optisch überarbeitet und macht damit unter anderem die Funktionen wie die Kopie oder Blindkopie einfacher zugänglich und erlaubt durch die überarbeitete Darstellung außerdem die Anzeige mehrerer Empfänger in einer Zeile.

Neue Account-Zentrale

Optisch überarbeitet wurde auch der Bildschirm, der erscheint, wenn man in der linken Spalte auf den Account klickt, sowie der Bildschirm, wenn noch gar kein Account eingerichtet worden ist, ebenso wie der Dialog zum Einrichten eines neuen Mail-Accounts.

Weitere überarbeitete Bildschirme

Auch die Einstellungen wurden überarbeitet und neu strukturiert. Diese verteilen sich jetzt auf weniger Kategorien und sind außerdem kein weiteres Mal in Tabs unterteilt.

Die Konten-Einstellungen befinden sich jetzt wie die allgemeinen Thunderbird-Einstellungen in einem Tab und nicht länger in einem Dialog.

Die Add-ons-Verwaltung hat optische Überarbeitungen erhalten und zeigt bei den Themes nun direkt ein Vorschaubild der installierten Themes an.

Neue Icons mit anpassbaren Farben

Ebenfalls neu sind die Icons an diversen Stellen, was nicht nur eine verbesserte Kompatibilität mit HiDPI-Bildschirmen sowie dem Dark Mode bringt, auch können verschiedene Ordner nun vom Nutzer individuelle Farben zugewiesen bekommen.

Verbesserter Dark Mode

Bei Verwendung des dunklen Farbschemas des Betriebssystems schließt das dunkle Thunderbird-Theme jetzt auch die E-Mails selbst sowie das Verfassen von E-Mails ein. Große weiße Flächen, die im ansonsten dunklen Design ins Auge stechen, gehören der Vergangenheit an.

Minimize to Tray

Nutzer von Thunderbird auf Windows können sich darüber freuen, dass sich Thunderbird nun in das Benachrichtigungsfeld minimieren lässt – und das völlig ohne Erweiterung, welche bisher dafür notwendig war.

Termine und Aufgaben fix integriert

Termine und Aufgaben konnten früher via Mozillas separat installierbarer Kalender-Erweiterung Lightning in Thunderbird integriert werden. Seit 2015 wird Thunderbird bereits standardmäßig mit Lightning ausgeliefert. Mit Thunderbird 78 ist die Funktionalität fix integriert und keine Erweiterung mehr. Damit schafft das Team die Grundlage für zukünftige Verbesserungen, vor allem im Zusammenspiel mit dem Mail-Part von Thunderbird und der User-Experience des Kalenders.

Kalender-Verbesserungen

Der Kalender selbst hat in Thunderbird 78 natürlich auch Verbesserungen erhalten. So gibt es im Import-Dialog für ICS-Dateien nun eine Vorschau. Im Erinnerungsdialog zu Terminen sind URLs jetzt verlinkt. Die Unterstützung für das Web Calendar Access Protocol (WCAP) wurde entfernt.

Schutz der gespeicherten Passwörter

Der Zugriff auf gespeicherte Passwörter wird nun durch die Authentifizierung des Betriebssystems geschützt, das heißt in Form des System-Passworts oder Biometrie, wie zum Beispiel per Fingerabdruck, falls ein solcher hinterlegt ist. Nach der Authentifizierung merkt sich Thunderbird dies für fünf Minuten. Anschließend wäre eine erneute Authentifizierung notwendig, um gespeicherte Passwörter zu betrachten.

Sonstige Neuerungen

Optional ist es jetzt möglich, mehrere Nachrichten via Checkboxen zu markieren. Entsprechende Spalte muss dazu in der Nachrichtenübersicht zunächst aktiviert werden. Ebenso lässt sich optional jetzt eine Spalte mit Papierkorb-Icons aktivieren, um E-Mails direkt aus der Übersicht heraus löschen zu können.

Auch der Chat-Part von Thunderbird hat Verbesserungen erhalten, wie die Unterstützung von Off-the-Record Messaging (OTR), einem Protokoll zur Nachrichtenverschlüsselung, sowie der IRC echo-message-Erweiterung.

Der vCards-Standard für virtuelle Visitenkarten wird jetzt auch in den Versionen 3.0 und 4.0 unterstützt.

Wie Firefox unterstützt auch Thunderbird die Konfiguration im Unternehmensumfeld via GPO auf Windows oder plattformübergreifend via policies.json. Thunderbird 78 unterstützt weitere Unternehmensrichtlinien.

Die Hardwarebeschleunigung ist ab sofort standardmäßig aktiviert. Nicht mehr aktiviert hingegen ist die Unterstützung für die veralteten Sicherheitsprotokolle TLS 1.0 sowie TLS 1.1.

Darüber hinaus gab es noch zahlreiche weitere kleinere Verbesserungen sowie Fehlerbehebungen, welche sich in den Release Notes (engl.) nachlesen lassen. Und natürlich wurden auch wieder, wie in fast jedem Update, diverse Sicherheitslücken geschlossen.

In Kürze: Ende-zu-Ende-Verschlüsselung für E-Mails

Eine Neuerung von Thunderbird 78 ist derzeit noch deaktiviert, während die letzten Verbesserungen dafür vorgenommen werden. Ab Thunderbird 78.2 wird es möglich sein, eine Ende-zu-Ende-Verschlüsselung für E-Mails via OpenPGP zu aktivieren. Eine Erweiterung wie Enigmail wird dann nicht länger notwendig sein.

Minimalanforderungen für Linux angehoben

Für Linux wurden die minimalen Systemanforderungen angehoben. Ab sofort werden GNU libc 2.17, libstdc++ 4.8.1 sowie GTK+ 3.14 oder neuer benötigt.

Thunderbird 78.0.1

In der Zwischenzeit wurde auch schon das erste Update für Thunderbird 78 veröffentlicht. Thunderbird 78.0.1 bringt neben diversen Verbesserungen für das immer  noch planmäßig standardmäßig deaktivierte OpenPGP vor allem Fehlerbehebungen und damit weiteren Feinschliff für Thunderbird 78. Eine Übersicht der behobenen Fehler bieten wie immer die Release Notes (engl.).

Der Beitrag Thunderbird 78 mit vielen Neuerungen veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Die Worker in Friendica sorgen dafür, dass Nachrichten ausgeliefert und Nachrichten abgeholt werden. Es gibt verschiedene Wege, diese zu konfigurieren, da es auch die unterschiedlichsten Serverumgebungen gibt.

1. Folgende flexible Möglichkeiten bietet Friendica
2. Worker werden regelmäßig über CRON gestartet
3. Worker werden über einen externen CRON Dienst aufgerufen
4. Worker werden durch den Aufruf der Friendica Seiten gestartet (Frontendworker)
5. Worker werden von einem eigenen System Daemon (bin/daemon.php) aufgerufen

Generell werden Worker Aufgaben priorisiert (Nachrichten ausliefern/abholen, Aktualisieren von Kontakten, usw). Dazu kann man dann noch einen sogenannten “Fastlane” Worker aktivieren, der dafür sorgt, dass Prozesse mit höherer Priorität nicht von Prozessen niedriger Priorität blockiert werden. Insgesammt ein sehr ausgeklügeltes System.

Bisher hatte ich meine Worker durch einem CRON Job konfiguriert. Da aber bei einer aktuellen Friendica Konfiguration die Verwendung von bin/daemon.php als Systemservice empfohlen wird.

Der Webserver läuft unter dem Benutzer www-data und braucht daher auch die entsprechende Berechtigung bei CRON oder später bei der daemon.php indem man den aktuellen Benutzer ersetzt mit sudo -u www-data <Befehl>. In diesem Artikel arbeite ich als root Benutzer.

Zuerst den CRON Service deaktivieren. mit sudo -u www-data crontab -e die CRON Konfiguration aufrufen und mit einem # den entsprechenden Eintrag erstmal auskommentieren. Danach CRON neu starten mit `sudo service cron restart` . Wenn alles eine Weile läuft, dann kann man die auskommentierte Zeile dann auch entfernen. Ich belasse solche Konfigurationen einfach zur Sicherheit immer noch eine Weile, um unter Umständen recht schnell den ursprünglichen Zustand wieder herstellen zu können.

In der Datei config/local.config.php muss in der Sektion ‘system’ ein Eintrag 'pidfile' => '/path/to/daemon.pid', erstellt werden. Diese Datei habe ich ausserhalb des Webverzeichnisses in einem eigenen Verzeichnis erstellt.

 'system' => [
'default_timezone' => 'UTC',
'language' => 'de',
'worker_jpm' => 'true',
...
...
 'pidfile' => '/Path/to/pid/daemon.pid',
.....

Schliesslich kann man von Hand den Daemon aus dem Friendica Basisverzeichnis starten mit sudo -u www-data bin/daemon.php start starten.

Wenn das alles geklappt hat, dann sollte man daemon.php noch als System Service einrichten, so dass der Daemon bei jedem Systemneustarte automatisch mitgestartet wird.

# Contents of /etc/systemd/system/friendicaworkerdaemon.service
[Unit]
Description=Friendica Worker Daemon
After=network.target

[Service]
Type=simple
Restart=always
User=www-data
Group=www-data
WorkingDirectory=/Pfad/zum/Friendica/Basisverzeichnis/
ExecStart=/usr/bin/php bin/daemon.php start

[Install]
WantedBy=multi-user.target

Schliesslich stoppen wir den daemon.php wieder von Hand im Friendica Basisverzeichnis mit

sudo -u www-data bin/daemon.php stop

Dann wird systemd Daemon angewiesen alle Konfigurationsdateien neu einzulesen
systemctl daemon-reload

Der friendicaworkerdaemon Service wird aktiviert
systemctl enable friendicaworkerdaemon.service

Und nun wird der friendicaworkerdaemon Service gestartet
systemctl start friendicaworkerdaemon.service

Wenn alles geklappt hat, dann meldet sich die Eingabeaufforderung wieder, ohne einen Fehler anzuzeigen.

Das Tauziehen um den Marketingplan von LibreOffice zeigt die Sollbruchenstellen in der Open Source Community zwischen Entwicklern und Firmen, die von ihrer Arbeit leben wollen und müssen und Aktivisten, die in Kampagnenarbeit Open Source verbreiten wollen.

Die Köpfe hinter der neuen Marketingausrichtung kritisieren, dass Firmen im Fahrwasser der Open Source Entwicklung schwimmen ohne aktiv etwas beizutragen oder gar zigtausende Arbeitsplätze durch Institutionen ohne Supportverträge eingerichtet werden. Jene Firmen, die bisher die Hauptlast der Entwicklung stemmen und die Vollzeit-Entwickler bezahlen würden davon zu wenig abbekommen und könnten nicht wirtschaftlich arbeiten.

Initiativen wie Public Money, Public Code steuern in der Außendarstellung hingegen oft in eine gegenteilige Richtung. In entsprechenden Broschüren ist gerne von lokalen Unternehmen die Rede, die von einer Hinwendung der öffentlichen Hand zu Open Source profitieren würden. Das klingt zwar immer so schön, aber ist nach meiner Lesart genau das Gegenteil von dem was Michael Meeks erreichen möchte. Lokale Supportfirmen haben nämlich aufgrund von Wirtschaftlichkeitserwägungen kaum die Kapazität um die eingesetzte Software substanziell weiter zu entwickeln. Allenfalls könnten aufgetretene und behobene Fehler in Form kleiner(er) Patches zurück gereicht werden. Die Autoren der neuen Marketingstrategie von LibreOffice wünschen sich hingegen Supportverträge mit zentralen Firmen wie Collabora. Damit würde aber letztlich nur ein sehr großer Konzern aus den USA, gegen einen kleinen Konzern aus Großbritannien ersetzt werden. Der von Initiativen wie Public Money, Public Code behaupteten Effekte für die lokale Wirtschaft wären dahin.

Hier zeigen sich die Sollbruchstellen zwischen Kampagnen und Entwicklerfirmen, deren Interessen vordergründig gleich sind - nämlich Open Source zu stärken - aber im Detail doch ziemlich inkompatibel erscheinen.

Ich prophezeie mal, dass solche Probleme zunehmen, wenn die Entwicklungsfirmen immer kleiner und spezialisierter agieren (so wie Collabora) und nicht intern quer subventionieren (wie Red Hat) und Einnahmen aus den Serviceverträgen für RHEL in die LibreOffice Entwicklung umschichten könn(t)en.

Bilder:
Einleitungsbild und Beitragsbild von von mohamed Hassan via pixabay  

Apple und Google haben den Quellcode des Corona Tracing Frameworks offen gelegt (Google / Apple) Die deutsche Corona App ist bereits seit der Veröffentlichung quelloffen. Damit ist die Entwicklung und Veröffentlichung des Tracing Verfahrens nahezu ein Paradebeispiel für Public Money, Public Code.

Diese Meldung ist quasi ein Zusatz zu meinem Kommentar zur Corona App (siehe: Kommentar: Corona App - Vorgeschobene Datenschutz Bedenken?). Der bislang fehlende Quellcode der API war immer der letzte Strohhalm der technischen Gegenargumentation. Nachdem nun auch die API quelloffen ist fehlt auch dieser argumentative Hebel für die Verweigerer der Lösung. Die viel kritisierte Bindung an die Play Services unter Android bleibt zwar Googles Mittel der Wahl. Aber nun können die "agilen Communitys" der Custom ROMs und alternativen Mobilbetriebssysteme die Implementierung starten, damit auch Anwender mit Android ohne proprietäre Play Services das Tracing Verfahren nutzen können. Damit ist dieses Argument aus dem Weg geschoben, auch wenn es angesichts der Zahlen von Android Nutzern mit Custom ROMs ohne proprietäre Play Services sowieso nur eine winzige Minderheit betraf.

Mal sehen wie lange die mit der Umsetzung brauchen und welche technischen Argumente als nächstes gegen den Einsatz der App sprechen sollen.

Es gibt übrigens durchaus Argumente gegen den Einsatz einer solchen App. Digitalcourage musste nach dem heftigen Gegenwind für den ersten Artikel seine Position in einem zweiten Artikel präzisieren (der es auch nicht wirklich besser macht), eine sehr ausgewogene Einschätzung kann man allerdings hier lesen. Es gibt nämlich durchaus valide Argumente gegen die App, wie das fehlende Begleitgesetz, die Förderung von Technikgläubigkeit oder die etwas schwierige Frage der Freiwilligkeit in Beruf und Privatleben.

Aber lasst die Datenschutz/Technik Argumente in der Schublade, wenn ihr doch nur Gründe sucht warum ihr die App nicht installieren wollt.

Bilder:
Einleitungs- und Beitragsbild von geralt via pixabay

Koha ist eine freie Bibliothekssoftware, die wir an unserer Schule verwenden. Wir verwalten damit unsere Lehrmittel- als auch unsere Schulbibliothek. Vorher haben wir LITTERA dafür verwendet, doch seit letztem Sommer sind wir komplett auf Koha umgestiegen. Der Kern unserer Schulinfrastruktur ist ein linuxmuster.net Schulserver. Jeder Schüler und Kollege hat einen schulinternen Benutzernamen, den man für die Anmeldung an unseren Schulcomputern braucht. linuxmuster.net bringt dafür einen LDAP Server mit. In diesem Artikel möchte ich zeigen, wie man in Koha die LDAP Verbindung einrichtet, sodass sich alle Benutzer in der Bibliothek mit ihrem schulinternen Login anmelden können.

Koha an Active Directory / AD anbinden (ab linuxmuster.net v7)

Linuxmuster.net v7 bringt einen Samba 4 Active Directory mit sich. Dadurch hat sich auch die Anbindung an Koha im Vergleich zur Vorgängerversion geändert. Die Einstellungen befinden sich immer noch in der /etc/koha/sites/library/koha-conf.xml (falls die Koha-Instanz library heißt). Diese Datei müssen wir nun wie folgt bearbeiten:

<ldapserver id="ldapserver"  listenref="ldapserver">
  <hostname>ldaps://10.16.1.1</hostname>
  <base>ou=schools,dc=linuxmuster,dc=net</base>
  <user>cn=global-binduser,ou=Management,ou=GLOBAL,dc=linuxmuster,dc=net</user><!-- DN, if not anonymous -->
  <pass>Bind-User-Passwort</pass><!-- password, if not anonymous -->
  <replicate>1</replicate>       <!-- add new users from LDAP to Koha database -->
  <update>1</update>             <!-- update existing users in Koha database -->
  <anonymous_bind>0</anonymous_bind>
  <auth_by_bind>1</auth_by_bind> <!-- set to 1 to authenticate by binding instead of password comparison, e.g., to use A$
  <principal_name>%s@linuxmuster.net</principal_name>
  <update_password>0</update_password>
  <!-- optional, for auth_by_bind: a printf format to make userPrincipalName from koha userid -->
  <mapping>             <!-- match koha SQL field names to your LDAP record field names -->
   <userid       is="samAccountName"></userid>
   <email        is="mail"></email>
  </mapping>
</ldapserver>

Dazu ein paar kurze Hinweise:

• <hostname>: Hier müssen wir die Addresse des LDAP-Servers (der linuxmuster.net Server) angeben. Weiterhin müssen wir sichergehen, dass unser Koha Server den LDAP-Server auch über die Ports (TCP/UDP 636) für LDAPS erreichen kann.
• <base>: Der LDAP Pfad für unsere Benutzeraccounts. Die Domain am Ende muss wahrscheinlich angepasst werden.
• <user>: der Bind-User, damit Koha an die Benutzerdaten herankommt.
• <pass>: Das Passwort des Bind-Users. Es befindet sich auf dem linuxmuster.net Server unter /etc/linuxmuster/.secret/global-binduser
• <replicate>: Wenn sich ein Benutzer per LDAP anmeldet, möchten wir, dass er auch ein Koha-Konto bekommt.
• <update>: Diese Option brauchen wir, damit Benutzer mit Informationen aus dem LDAP aktualisiert werden, falls bereits ein Koha-Konto existiert.
• <auth_by_bind>: Für die Überprüfung der Anmeldedaten wollen wir den Bind-User verwenden. Für Active Directory muss diese Option 1 sein.
• <principal_name>: Das ist wahrscheinlich der schwierigste Teil. Am besten eignet sich der userPrincipalName aus dem AD. Bei linuxmuster.net v7 steht dort user@linuxmuster.net (Domain wieder anpassen!). User wird hier durch %s ersetzt (das wiederrum durch das mapping weiter unten bestimmt wird).
• <mapping>: Hier können wir festlegen, welche Daten aus dem LDAP welches Attribut in Koha überschreiben soll. Wichtig ist vor allem userid, denn diese wird verwendet, um das %s in <principal_name> zu ersetzen. Bei Samba 4 / AD sieht das Mapping so aus: <userid is=“samAccountName„></userid>

Konfiguration für Koha LDAP Verbindung anpassen (bis linuxmuster.net v6.2)

Koha speichert seine Einstellungen in der Datei koha-conf.xml. Diese Datei befindet sich unter /etc/koha/sites/library/koha-conf.xml, falls die Koha-Instanz library heißt. Diese Datei öffnen wir mit einem Editor unserer Wahl und suchen den Eintrag <useldapserver>0</useldapserver>.

$ sudo nano /etc/koha/sites/library/koha-conf.xml

Die Dokumentation für die Koha LDAP Verbindung ist leider nicht sehr ausführlich. Die wesentlichen Informationen findet man in der Perl-Dokumentation zum Koha LDAP-Modul. Auf dieser Seite finden wir eine Beispielkonfiguration, die wir größtenteils übernehmen können. Ein paar kleine Änderungen sind allerdings notwendig, damit die Integration zwischen Linuxmuster und Koha auch gut funktioniert. Zuerst ändern wir <useldapserver>0</useldapserver> in <useldapserver>1</useldapserver>, um Koha mitzuteilen, dass wir gern einen LDAP-Server für die Anmeldung verwenden wollen. Direkt danach fügen wir folgende Zeilen ein:

 <ldapserver id="ldapserver"  listenref="ldapserver">
  <hostname>ldaps://10.16.1.1</hostname>
  <base>ou=Accounts,dc=linuxmuster,dc=net</base>
  <user>cn=admin,dc=linuxmuster,dc=net</user><!-- DN, if not anonymous -->
  <pass>Bind-User-Passwort</pass><!-- password, if not anonymous -->
  <replicate>1</replicate>       <!-- add new users from LDAP to Koha database -->
  <update>1</update>             <!-- update existing users in Koha database -->
  <auth_by_bind>1</auth_by_bind> <!-- set to 1 to authenticate by binding instead of password comparison, e.g., to use A$
  <principal_name>uid=%s,ou=Accounts,dc=internal,dc=cdsc,dc=ac,dc=th</principal_name>
  <!-- optional, for auth_by_bind: a printf format to make userPrincipalName from koha userid -->
  <mapping>             <!-- match koha SQL field names to your LDAP record field names -->
   <userid       is="uid"></userid>
   <password     is="userpassword"></password>
   <email        is="mail"></email>
  </mapping>
</ldapserver>

Dazu ein paar kurze Hinweise:

• <hostname>: Hier müssen wir die Addresse des LDAP-Servers (der linuxmuster.net Server) angeben. Weiterhin müssen wir sichergehen, dass unser Koha Server den LDAP-Server auch über die Ports (TCP/UDP 636) für LDAPS erreichen kann.
• <base>: Der LDAP Pfad für unsere Benutzeraccounts. Die Domain am Ende muss wahrscheinlich angepasst werden.
• <user>: der Bind-User, damit Koha an die Benutzerdaten herankommt.
• <pass>: Das Passwort des Bind-Users. Es befindet sich auf dem linuxmuster.net Server unter /etc/ldap/ldap.secret
• <replicate>: Wenn sich ein Benutzer per LDAP anmeldet, möchten wir, dass er auch ein Koha-Konto bekommt.
• <update>: Diese Option brauchen wir, damit Benutzer mit Informationen aus dem LDAP aktualisiert werden, falls bereits ein Koha-Konto existiert.
• <auth_by_bind>: Für die Überprüfung der Anmeldedaten wollen wir den Bind-User verwenden.
• <mapping>: Hier können wir festlegen, welche Daten aus dem LDAP welches Attribut in Koha überschreiben soll. Wichtig ist vor allem userid und password.

Koha LDAP / AD Verbindung testen

Um die LDAP Verbindung zu testen, rufen wir die Koha OPAC Seite auf und melden uns mit einem linuxmuster.net Benutzeraccount an. Sollte es Probleme beim Laden der Website geben oder die Anmeldung nicht klappen, kann man auf dem Koha-Server unter /var/log/koha/library/opac-error.log nachschauen, woran es liegt.

Falls die Anmeldung erfolgreich war, sieht man eine Liste mit den aktuellen Ausleihen des Benutzers:

Koha LDAP / AD Verbindung per Kommandzeile testen

Gerade beim Einrichten der Verbindung zum LDAP / AD Server geht es schneller, wenn man direkt auf der Kommandozeile testen kann, ob die Konfiguration richtig ist. Dazu gibt man die folgenden Befehle ein:

$ service koha-common restart && service memcached restart
$ export PERL5LIB=/usr/share/koha/lib/ && export KOHA_CONF=/etc/koha/sites/library/koha-conf.xml && perl /usr/share/koha/opac/cgi-bin/opac/opac-user.pl userid=user1 password=foo

Der Pfad zur koha-conf.xml, sowie user und password müssen wir natürlich noch anpassen.

Fazit

Die Einrichtung der LDAP Verbindung in Koha bringt für unsere Schule einen großen Mehrwert. Vorher war es mit LITERRA nicht möglich, dass einzelne Benutzer ihre aktuellen Ausleihen sehen konnten. Weiterhin müssen jetzt die Benutzerdaten nur noch an einem Ort gepflegt werden und nicht in verschiedenen Programmen. Die Bedienung über ein Webinterface ist für alle Bibliotheksmitarbeiter ein großer Gewinn und eine Arbeitserleichterung. Der Einstieg in Koha ist vielleicht etwas steiler als in andere Bibliotheksprogramme, aber die Möglichkeiten und Flexibilität dieser Open Source Software sind beeindruckend.

Kommentar hinzufügen

Der Beitrag Koha LDAP / AD Verbindung einrichten erschien zuerst auf .:zefanjas:..

Videos können unter Ubuntu mithilfe von FFmpeg einfach in MP3s umgewandelt werden:

ffmpeg -i file.mp4 file.mp3

Mithilfe von find kann diese Operation auch für ein komplettes Verzeichnis durchgeführt werden:

find . -iname "*.mp4" -type f -exec ffmpeg -i {} {}.mp3 \;

Da diese Operation einige Zeit in Anspruch nimmt, kann das Ganze auch mittels screen ausgeführt und so in den Hintergrund verlagert werden:

screen find . -iname "*.mp4" -type f -exec ffmpeg -i {} {}.mp3 \;

Mit wochenlanger Verzögerung hat der Staat über das RKI endlich eine Tracing App für Covid 19 veröffentlicht. Die Downloadzahlen sind beachtlich, bleiben aber vermutlich hinter den Erwartungen zurück - auch wenn das niemand so recht zugeben mag.

Ein Grund dafür ist sicherlich die Bindung an ein leidlich aktuelles Smartphone. Ein substanzieller Teil der Bevölkerung hat entweder noch immer kein Smartphone oder ein Gerät, das vor 2015 erschien. Das ist nämlich die ungefähre Altersgrenze für Geräte, abhängig von der Aktualität beim Kauf. Man kann niemanden zwingen sich für eine Tracing App ein (neues) Smartphone zuzulegen und sollte ehrlicherweise auch nicht erwarten, dass dies jemand macht. Doch darum soll es hier nicht gehen.

Ein merkbarer Teil der Bevölkerung kommt nämlich immer noch mit "Datenschutz". Ich muss das im privaten Umfeld immer wieder hören und wenn ich solche Kommentare hier lese geht mir die Hutschnur hoch. Natürlich kann man bedenken haben, aber diese lassen sich auch differenzierter darstellen. Nach anfänglichen Startschwierigkeiten hat die Bundesregierung bzw. das RKI nämlich wirklich die Kurve gekriegt und alles mögliche unternommen um das Vertrauen zu stärken. Die Corona App funktioniert dezentral, sie ist Open Source und sogar der CCC warnt nicht vor der App.

Natürlich ist die Bindung an die Play Services negativ aber die Probleme mit den proprietären Bestandteilen in Android haben nur höchst mittelbar etwas mit der Corona Tracing App zu tun. Zudem gibt es nicht nur Android (scheinen viele Privacy-Aktivsten immer zu vergessen) sondern auch iOS. Ja natürlich, ist proprietär, also böse - ach ne halt mal - ist Android ja auch in großen Teilen. Letztlich läuft es doch auf folgendes hinaus: Über Jahre hat es die Community (Open Source, Privacy, Datenschutz, Digitale Gesellschaft - ist ja in Teilen deckungsgleich) versäumt sich von Android zu emanzipieren, iPhones als geschlossen verteufelt und anstelle wirklich freier Betriebssysteme auf zusammen gestückelte Custom ROMs gesetzt und nun haben sie den Salat. Ausgerechnet die Riege der größten Google-Kritiker hängt am Google-Tropf aber anstelle das zu erkennen schiebt man die Schuld auf andere. Dabei ist es hochgradig scheinheilig dem Staat vorzuwerfen er würde Google und sein Tracking unterstützen. Es ist nicht das Problem der Bundesregierung, des RKI oder einer anderen Gesundheitsbehörde, dass Android ein strukturell kaputtes System ist. Warum schafft es die Community eigentlich nicht die API nachzubauen, Huawei macht das schließlich auch? Wie sähe denn die Alternative zu Google und seiner Play Services Lösung aus? Konkrete Antworten bleiben die Kritiker der aktuellen Lösung schuldig.

Der von Google und Apple bereitgestellte Tracing Ansatz (ja es ist schade, dass man so von diesen zwei Anbietern abhängig ist aber die EU unternimmt im Gegensatz zu vielen Regierungen auf der Welt aktiv etwas dagegen) und die deutsche Umsetzung sind der Versuch eine freiheitliche Gesellschaft mit einer funktionierenden Tracing App auszustatten und nicht den Weg autoritärerer Regime zu gehen. Dafür wurde sehr viel Rücksicht genommen und auf so manchen Funktionswunsch verzichtet (im Gegensatz zu z. B. Frankreich und Polen). Diesen Ansatz gilt es zu unterstützen. Es wäre wirklich bedauerlich wenn die Lehre aus dieser Krise lautet: Ohne Zwang geht es nicht.

Ich persönlich glaube zudem nicht an die Argumentation. "Datenschutz" und der Verweis auf die proprietäre API sind nur vorgeschoben. Viele der "Datenschutz"-Bedenkenträger misstrauen dem Staat grundsätzlich (dazu gibt es nachvollziehbare Gründe aber es kursieren in der Szene auch viele Thesen, die nahe an Verschwörungserzählungen heranreichen). Ich behaupte mal, sie hätten keine Lösung akzeptiert, so sie nicht "aus dem Schwarm" kommt. Die Bedenkenträger argumentieren jetzt mit Android und den Play Services um nicht zugeben zu müssen, dass sie sich niemals eine solche App installieren würden - egal von wem sie kommt und wie technisch umgesetzt. Als nächstes kämen dann bestimmt Bedenken wegen dem ständig aktivierten Bluetooth oder der Strahlung oder was auch immer.

Auf die paar hundert Anwender mit Custom ROMs ohne Play Services kann die App übrigens verzichten. Sie sollten nur ihre mediale Reichweite nicht einsetzen um diffus Bedenken zu schüren.

Bilder:
Einleitungs- und Beitragsbild von geralt via pixabay

Die The Document Foundation revidiert nun ihr Vorhaben, den neuen Marketingplan bereits mit LibreOffice 7.0 umzusetzen.

Vielleicht sind einige in den letzten Tagen auf diese Thematik gestoßen: die The Document Foundation, die hinter LibreOffice steht, hat einen neuen Marketingplan vorgestellt. Teil dieses Plans war es, LibreOffice ab der Version 7.0 ein Rebranding zu verpassen, bei dem der Begriff der Personal Edition eine Rolle spielt.

Es sollte grob eine Personal- und eine Ecosystem-Edition geben, dabei ist die Personal-Edition für Privatpersonen gedacht – die Ecosystem-Edition richtet sich an Unternehmen.

Kommunziert wurde das im Marketing-Plan auf Seite 29. Aufmerksamkeit erregte allerdings bereits ein Commit, in dem diese Änderungen für die kommende Version 7.0 eingearbeitet wurden.

Damit sollen vor allem Anbieter von professionellen Dienstleistungen für LibreOffice besser hervorgehoben werden, da diese einen großen Teil in der Codebase beitragen. Schnell wurden Befürchtungen laut, dass wichtige Teile von LibreOffice zukünftig unmittelbar oder mittelbar kostenpflichtig werden könnten. Die TDF erklärte, dass diese Änderungen keineswegs die Lizenz, Verfügbarkeit oder erlaubte Nutzungsweisen betreffen.

Nun also die Rolle rückwärts: in einem Blogartikel hat die TDF nun bekräftigt, dass die Änderungen noch nicht mit LibreOffice 7.0 umgesetzt werden. Zwar muss der Marketingplan für den 5-Jahres-Zeitraum von 2020 bis 2025 nun überarbeitet werden, aber mit der gewonnenen Zeit kann nun die Community besser in den Prozess eingebunden werden. Entsprechende Änderungen sollen nun zurückgesetzt werden, damit der anstehende Release ohne entsprechende Hinweise ausgeliefert werden kann.

LibreOffice 7.0.0 soll in der 32. Kalenderwoche und somit im Zeitraum vom 3. August bis 9. August 2020 veröffentlicht werden.

Das LibreOffice-Projekt selber wird in diesen Monaten 10 Jahre alt und feiert in diesen Tagen weiterhin die Entscheidung von Sun Microsystems von vor 20 Jahren am 19. Juli 2020, das Vorgängerprojekt OpenOffice.org als Abspaltung vom proprietären StarOffice zu veröffentlichen. LibreOffice ist eine Abspaltung von OpenOffice.org, die aus dem Konflikt im Zusammenhang mit dem Kauf von Sun durch Oracle entstand.

Nein, dies ist nicht der Titel eines Kinofilms mit schnellen Autos. Dies ist der fünfte Artikel über meinen Test von Red Hat Insights. In diesem beschäftige ich mich mit den Anwendungen Patch und Drift.

Patch

So simpel wie der Name, ist auch die Funktion, die sich hinter diesem Menüpunkt verbirgt.

In Bild 1 würde man eine Übersicht der verfügbaren Red Hat Advisories sehen, welche auf den verbundenen Systemen noch nicht installiert sind. Da in diesem Fall alle angebundenen Systeme voll durchgepatcht sind, gibt es hier aktuell nichts zu sehen.

Bild 2 zeigt die verfügbaren Advisories pro Host. Auch hier gibt es aktuell nichts zu sehen, da die Systeme gerade aktualisiert wurden.

Ich habe vorstehend zwei Sätze gestrichen. Zwar waren meine Systeme durchgepatcht. Dass Patch keine Advisories anzeigt hat jedoch einen anderen Grund. Patch funktioniert nur dann korrekt, wenn die angebundenen Systeme die original RHEL-Upstream-Repos verwenden. In meinem Fall werden diese jedoch über einen lokalen Spiegelserver bereitgestellt. Obwohl dieser ebenfalls über sämtliche Erratas verfügt, werden diese von Patch nicht berücksichtigt. Siehe hierzu auch Bugzilla 1843860.

Diese Anwendung ist ganz nett, stellt allein aber keinen Grund für eine Nutzung von Insights dar. Zum einen können Errata-Informationen im Customer Portal per E-Mail abonniert werden und zum anderen kann auf jedem System mittels sudo yum updateinfo list geprüft werden, ob Advisories verfügbar sind. Und darüber hinaus funktioniert die Anwendung wie oben erwähnt in meiner Umgebung auch gar nicht.

In unserer Umgebung stellen wir mittels unseres Patch-Managements sicher, dass mindestens einmal im Monat alle verfügbaren Red Hat Security Advisories auf unseren Systemen installiert werden. Es schmerzt mich daher nicht, Patch nicht nutzen zu können.

Drift

Wer die Hostprofile von VMware kennt und schätzt, wird sich hier schnell wiederfinden. Unter diesem Punkt können Systeme miteinander verglichen und auf Unterschiede hin untersucht werden. Darüber hinaus ist die Erstellung von Baselines möglich, gegen die weitere Systeme geprüft und abgeglichen werden können.

Bild 3 zeigt den Vergleich zweier Systeme. Dabei wurde die Anzeige auf Unterschiede und unvollständige Datensätze gefiltert. So sieht man zum Beispiel, dass unzip nur auf einem der beiden Hosts installiert ist.

Darüber hinaus zeigt Bild 3, dass auf den beiden Systemen Pakete gleichen Namens jedoch für verschiedene Architekturen installiert sind. In diesem Fall trügt die Anzeige jedoch. Denn die drei genannten Pakete sind jeweils für i686 als auch für x86_64 auf beiden Systemen installiert.

In der getesteten Version bietet Drift noch keine Unterstützung multipler Werte für einen sogenannten fact. Es ist geplant diese Funktionalität in einem kommenden Release hinzuzufügen. Siehe dazu auch Bugzilla 1841561.

Ich tue mich ein wenig schwer damit, diese Anwendung zu bewerten. Auf der einen Seite bietet sie eine nette Möglichkeit Systeme miteinander zu vergleichen, auf der anderen Seite habe ich sie bis heute nicht vermisst. Für Vergleiche von Paketlisten und Konfigurationsdateien bevorzuge ich doch immer noch althergebrachte Kommandozeilen-Werkzeuge. Ich tendiere daher dazu — wie zuvor schon bei Patch — zu sagen: „Nette Zusatz-Funktion. Jedoch allein kein Grund Insights zu nutzen.“

Mit diesem Blick auf Patch und Drift endet meine Erkundung von Red Hat Insights. In einem folgenden Artikel werde ich schildern, wie die Systeme wieder aus Insights entfernt werden können und eine persönliche Bewertung vornehmen.

Notiz für mich.

Let's encrypt stellt ja auch Wildcard Zertifikate aus. D.h. für rootgemeinschaft.de; www.rootgemeinschaft.de; smtp.rootgemeinschaft.de usw. gibt es nur ein Zertifikat, das vermeidet Meckern vom Browser und Mail Client.

Derzeit stelle ich die Domains Zug um Zug auf Wildcard Domains manuell um.

Nebenbei funktioniert die automatische Verlängerung nicht mehr, weil das ACME Protokoll V1 nicht mehr akzeptiert wird.

Meine Versuche, das zu lösen waren bisher nicht erfolgreich.

Update: DerSchlüssel zu einem neuen Script für das Renew ist wohl hier:

https://community.hetzner.com/tutorials/letsencrypt-dns

Wenn ich hier wieder auf Reihe bin, werde ich das umsetzen. 

Egal, hier die notwendigen Schritte zu Ersterstellung von Wildcard Zertifikaten und was zusätzlich nötig sein könnte.

certbot certonly --manual -d *.rootgemeinschaft.de -d rootgemeinschaft.de --agree-tos --no-bootstrap --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory

Man wird dann aufgefordert, einen TXT Eintrag in der DNS Zone einzutragen: _acme-challenge.rootgemeinschaft.de Value="FgHjU89_asdvFetrxBlaFasely"

Der Eintrag im DNS Robot bei Hetzner für die Domain rootgemeinschaft.de muss dann so lauten​​:

Also ohne .rootgemeinschaft.de, das wird automatisch ergänzt, da hatte ich ein Verständnisproblem.

Als TTL nehme ich 60s und warte, bis ich in einem zweiten Terminal Fenster den eingetragenen TXT Record auch finde.

root@rootgemeinschaft ~ # dig -t txt _acme-challenge.rootgemeinschaft.de +short
"FgHjU89_asdvFetrxBlaFasely"

Jetzt kann man Enter drücken und hoffen, das alles klappt.

Falls es sich wie hier um den Mailserver handelt muss auch der Dienst neugestartet werden, sonst wird das neue Zertifikat nicht angezogen.

service postfix restart
service dovecot restart

Oder eben der Webserver.

Experimentell habe ich heute (22.7.2020) auch mal die Hetzner API ausprobiert. Scheint gut zu laufen, ist aber sehr langsam, aber scheinbar habe ich jetzt den Kanackpunkt gefunden, warum bei mir das Auto Renew mit den Wildcard Domains nicht klappte.

Wenn ich sicher bin, dass es läuft, ergänze ich es hier.

Sicherlich werdet ihr schon davon gehört haben: am Abendhimmel ist momentan der Komet C/2020 F3 (NEOWISE) zu beobachten, der besonders in den Abendstunden sichtbar ist. Ich hatte bereits das Glück, ihn vor einigen Tagen zu Gesicht zu bekommen. Am Anfang der Woche war dies erst ab 1 Uhr nachts möglich, mittlerweile lässt sich NEOWISE auch schon zur Abendstunde beobachten.

Hintergründe

Entdeckt wurde der Komet erst vor wenigen Wochen, am 27. März 2020, um genau zu sein. Das Wide-Field Infrared Survey Explorer-Weltraumteleskop war mit dessen Abkürzung auch gleichzeitig Namensgeber für den Kometen. Der Komet wird am 23. Juli die kürzeste Entfernung zur Erde haben. Weitere Informationen lassen sich besonders aus dem englischsprachigen Wikipedia-Artikel sowie von der NASA-Seite entnehmen.

Position finden

Betrachtet werden kann der Komet, wie bereits erwähnt, schon in den Abendstunden. Um sich darauf vorzubereiten, gibt es mehrere Tools: entweder die Open Source-Astronomiesoftware Stellarium oder das Online-Tool TheSkyLive.com.

Beginnen wir mit Letzterem: hier wird nach Klick auf den Link das entsprechende Objekt bereits anvisiert. Klickt man nun auf die Betrachtungsposition (anfangs Greenwhich, London), kann die eigene Position eingegeben und anschließend der Sternenhimmel entsprechend simuliert werden.

Stellarium ist hier etwas spannender, muss allerdings auch lokal installiert werden. Informationen hierzu können z. B. im ubuntuusers.de-Wikiartikel gefunden werden.

Mit Stellarium wird zwar eine umfangreiche Datenbank an Himmelskörpern mitgeliefert, neue Objekte wie dieser Komet müssen allerdings aus externen Quellen hinzugefügt werden. Wie das geht, zeige ich in meinem fünfminütigen Tutorial auf YouTube.

Wie ihr sehen könnt, wird der Komet in den nächsten Tagen vor allem abends ab ca. 23 Uhr nordwestlich sichtbar sein und dann Richtung Nordosten wandern, bis er im Licht der aufgehenden Sonne „untergeht“.

Für die genauen Uhrzeiten und Positionen empfehle ich euch natürlich die Tools, da diese die Positionsdaten für eure konkrete Position errechnen können.

Hoffen wir auf einen klaren Nachthimmel!

Ende letzten Jahres hatte ich einen Artikel über Katoolin veröffentlicht.

Das Tool erlaubt es unter bestehenden Ubuntu Installationen die Kali Hacking Tools einzubinden. Heißt, wenn ihr bereits eine Ubuntu Installation habt, dann könnt ihr schnell und einfach auf diese große Toolsammlung zurückgreifen.

Das damalige Script basierte allerdings auf Python 2, was bekanntlich nicht mehr state of the art ist.

Inzwischen ist das Tool auch in Python 3 verfügbar.

Katoolin 3 unter Ubuntu installieren

sudo apt install git python3-apt
sudo add-apt-repository universe

git clone https://github.com/s-h-3-l-l/katoolin3

cd katoolin3/
chmod +x ./install.sh
sudo ./install.sh
sudo katoolin3

Die Sammlung ist im Großen und Ganzen gleichgeblieben.

Es gibt insgesamt 12 Kategorien, hier sollte für jeden etwas dabei sein. 

Bei der Nutzung der Tools ist wie immer Vorsicht geboten, sollte es sich nicht um eine Testumgebung handeln.

1. Exploitation Tools    
2. Forensics Tools       
3. Hardware Hacking      
4. Information Gathering 
5. Maintaining Access    
6. Password Attacks      
7. Reporting Tools       
8. Reverse Engineering
9. Sniffing & Spoofing
10. Stress Testing
11. Vulnerability Analysis
12. Web Applications
13. Wireless Attacks

Katoolin 3 aktualisieren

cd katoolin3/
chmod +x ./update.sh
sudo ./update.sh

Katoolin 3 deinstallieren

cd katoolin3/
chmod +x ./uninstall.sh
sudo ./uninstall.sh

Mozilla hat sein Virtual Private Network, das Mozilla VPN, offiziell gestartet. Neben den USA steht das Mozilla VPN ab sofort auch in fünf weiteren Ländern zur Verfügung.

Nach erfolgreichem Beta-Test in den USA ist das Mozilla VPN nun offiziell gestartet. Mozilla arbeitet dafür mit dem schwedischen VPN-Anbieter Mullvad zusammen und verspricht neben einer sehr einfachen Bedienung eine durch das moderne und schlanke WireGuard-Protokoll schnelle Performance, Sicherheit sowie Privatsphäre: Weder werden Nutzungsdaten geloggt noch mit einer externen Analysefirma zusammengearbeitet, um Nutzungsprofile zu erstellen.

Nutzer in den USA, Kanada, Großbritannien, Neuseeland, Singapur sowie Malaysia können sich ab sofort für Mozillas Virtual Private Network anmelden. Weitere Länder folgen bald.

Zum Start stehen eine VPN-App für Windows 10 (64-Bit) sowie Android zur Verfügung. Eine App für Apple iOS existiert als Beta-Version, Anwendungen für Apple macOS sowie Linux sollen folgen.

Das Mozilla VPN besteht aus über 280 Servern in mehr als 30 Ländern, hat keine Bandbreiten-Beschränkung und erlaubt die Verbindung auf bis zu fünf Geräten.

Die Nutzung des Mozilla VPNs kostet 4,99 USD pro Monat. Eine Vertragsbindung gibt es keine, die Kündigung ist also jederzeit möglich.

Mit dem Firefox Private Network befindet sich außerdem (derzeit nur in den USA) ein VPN als Firefox-Erweiterung in Zusammenarbeit mit Cloudflare im Beta-Test. Hier wird man in Kürze von der kostenlosen in die kostenpflichtige Betaphase übergehen, welche den Nutzer 2,99 Dollar pro Monat kosten wird.

Mit dem Mozilla VPN und dem Firefox Private Network erweitert Mozilla sein Produkt-Portfolio rund um das Thema Privatsphäre und Sicherheit und schafft damit gleichzeitig eine zusätzliche Einnahmequelle, um so unabhängiger von den Einnahmen durch Suchmaschinen-Partner zu werden.

Der Beitrag Mozilla VPN startet offiziell und in weiteren Ländern erschien zuerst auf soeren-hentzschel.at.

An unserer Schule haben wir in den letzten Jahren keine BIOS Passwörter vergeben. Das war bisher auch kein Problem (v.a. für Linbo), da wir eigentlich nur nette Schüler und Schülerinnen haben 🙂 Seit einiger Zeit haben sich dann aber doch einige den Spaß erlaubt und Passwörter im BIOS vergeben, sodass wir keine Einstellungen mehr ändern konnten. Nicht nur das: Es gibt ja noch weitere Passwörter, die man im BIOS vergeben kann… Das Problem wurde leider auch nicht sofort festgestellt, sodass wir jetzt ein paar Laptops haben, die mit einem BIOS- / Setup- / Admin-Passwort versehen sind. Was nun? Wie können wir nun unser gesperrtes BIOS entsperren?

Zum Glück sind wir nicht die ersten mit diesem Problem – vielen anderen Menschen auf dieser Welt begegnet dieses Phänomen jahrein und jahraus. Eine Lösung sollte also nicht so schwierig sein, oder?

Nein, ist sie auch nicht. In unserem Fall haben wir unsere Laptops mit Hilfe der folgenden Website entsperrt: https://bios-pw.org/

Auf der Website gibt man seinen Code ein (bei unseren Dell-Laptops eine Seriennummer, die erscheint, wenn man auf UNLOCK im BIOS klickt) und erhält dann ein Passwort mit dem das BIOS entsperren kann.

WICHTIG: Auch wenn eine deutsche Tastatur verbaut ist, geht das BIOS von einer US-Tastaturbelegung (QWERTY) aus! Bei uns hat der Code nur geklappt, wenn man STRG + ENTER gedrückt hat. Nur ENTER allein hat nicht gereicht.

Sicher gibt es noch andere Wege, wie man das BIOS Passwort zurücksetzen kann. Manchmal gibt es Standardpasswörter für bestimmte BIOS Arten bzw. Hersteller, manchmal kann man das BIOS auch über Jumper auf dem Mainboard zurücksetzten (bei Laptops i.d.R. nicht so einfach möglich). Oder die Supporthotline des Herstellers kann in einigen Fällen sicher auch weiterhelfen. (Das trifft eher auf die großen Hersteller zu, man sollte auch beweisen können, dass man der rechtmäßige Eigentümer des Geräts ist).

Fazit: BIOS Passwörter machen Sinn – vor allem in einer Schule 🙂

4 Kommentare

Der Beitrag Wie man ein gesperrtes BIOS entsperren kann erschien zuerst auf .:zefanjas:..

Die Konsole, die Manche auch als Kommandofenster oder Shell bezeichnen, ist für die Einen der furchtbar langweiligste und komplizierteste Weg irgendwas am System zu verändern. Für die Anderen ist es der Weg der ultimativen Macht und Kontrolle über ein System.

Standardmäßig öffnet man genau 1 Konsole und kann dort Befehle absetzt, Scripte starten oder Programme wie SSH starten und Verbindungen zu anderen Servern aufmachen. Braucht man mehr als nur eine Konsole, dann könnte man weitere Konsolen starten.

Nun gibt es aber Anwendungsszenarien, bei denen man mehrere Dinge parallel machen und sie auch im Auge behalten, oder nur 1 SSH Verbindung zu einem anderen Computer aufmachen möchte, dort aber ebenfalls mehrere Sessions mit z.B. unterschiedlichen Benutzern gleichzeitig starten, oder nicht jedes Mal warten müssen, bis ein Programm seine Arbeit erledigt hat, bevor man weiter machen kann. Und man möchte sich nicht für jede Aufgabe neu einloggen, wo man doch schon eigentlich eingeloggt ist. Hier kommt tmux ins Spiel.

Tmux ist ein sogenannter Terminal Multiplexer. Salopp ausgedrückt: Es vervielfältigt die aktuelle Konsole um weitere virtuelle Konsolen (Prozesse). Also aus einer einzigen Konsole werden viele Konsolen gemacht. Wenn man möchte.

1. So gibt es zwei hauptsächliche Anwendungsszenarien. Die beide natürlich parallel nutzbar sind: 

   1. Einerseits kannt man die (Text) Konsole in verschiedene Bereiche aufteilen, wie wenn man Fenster auf einem grafischen Desktop nebeneinander und untereinander anordnet.
   2. vertikale Aufteilung Strg+b+%
   3. horizontale Aufteilung Strg+b+"
   4. Wechseln zwischen den Fenstern Strg+b+<Pfeiltasten>
2. Andererseits kann man Konsolen (Sessions) hintereinander stapeln, so dass man immer nur eine Konsole zur Zeit sieht
   1. Neue Session (Vollbildfenster) erstellen Strg+b+c
   2. Wechsel zwischen den Sessions Strg+b+<Nummer> , beginnt mit 0,1,2,3

Alle diese Fenster kann man mit Strg+d oder einfach mit der Eingabe von exit wieder schliessen.

Will man tmux aber nicht schliessen, sondern sich z.B. von einem Server ausloggen, dort aber alle tmux Sessions offen halten, weil ein Prozess dort noch länger läuft, oder man mehrere Fenster angeordnet hat und Prozesse monitored, so kann man

1. tmux einfach im Hintergrund weiterlaufen lassen mit Strg+b+d   (detach)
2. später die Session wieder aufnehmen indem man in der Konsole tippt: tmux a      (attach)

Der Vorteil von tmux ist hier ganz klar, dass man nicht nur eine Session vervielfachen kann, sondern auch, dass bei einem Verbindungsabbruch, die Scripte und Programm, die man gestartet hat unbehelligt auf dem entfernten Server weiter laufen. Sobald man wieder Netz hat, verbindet man sich wieder mit dem Server und holt sich die Session mit tmux a (attach) wieder zurück.

Man sollte dabei im Hinterkopf behalten, dass tmux immer mit dem Benutzer und dessen Rechten neue Sessions aufmacht, mit der tmux gestartet wurde. Braucht man also z.B. viele root Sessions, so sollte man erst zum Benutzer root wechseln, bevor man tmux startet.

Tmux kann noch wesentlich mehr, inklusive einem Theming, wenn man die Farben und die Statuszeile anpassen möchte, oder alle Tasten komplett umkonfigurieren usw. Sehr gute Einstiegsseiten, um mehr darüber zu erfahren sind

1. Ubuntuusers Wiki https://wiki.ubuntuusers.de/tmux/
2. Tmux Entwickler Seite https://github.com/tmux/tmux/wiki

Meine persönliche .tmux.conf in meinem Benutzerverzeichnis /home/Benutzer/ sieht momentan so aus

### DESIGN CHANGES ###
######################

# loud or quiet?
set -g visual-activity off
set -g visual-bell off
set -g visual-silence off
setw -g monitor-activity off
set -g bell-action none

# modes
setw -g clock-mode-colour colour25
setw -g mode-style 'fg=colour255 bg=colour25 bold'

# panes
set -g pane-border-style 'fg=colour19 bg=colour0'
set -g pane-active-border-style 'bg=colour0 fg=colour9'

# statusbar
set -g status-position bottom
set -g status-justify left
set -g status-style 'bg=colour25 fg=colour255'
set -g status-left ' #[bg=colour25,fg=colour255]'
set -g status-right '#[fg=colour255,bg=colour25] %d/%m/%Y #[fg=colour255,bg=colour25] %H:%M '
set -g status-right-length 50
set -g status-left-length 20

setw -g window-status-current-style 'fg=colour15 bg=colour31 bold'
setw -g window-status-current-format '#I#[fg=colour249]:#[fg=colour255]#W#[fg=colour249]#F'

setw -g window-status-style 'fg=colour0 bg=colour25 bold'
setw -g window-status-format '#I#[fg=colour237]:#[fg=colour250]#W#[fg=colour244]#F'

setw -g window-status-bell-style 'fg=colour255 bg=colour1 bold'

# messages
set -g message-style 'fg=colour232 bg=colour16 bold'