Kurz notiert: nach knapp einem Jahr hat die Python Foundation wieder eine neuen Minor-Release (Version 3.8) der bekannten Programmiersprache Python veröffentlicht. Dieser Release ist der erste Minor-Release, der aus der Zeit nach van Rossum als BDFL (siehe Bericht) stammt und umfasst eben jene PEP 572, dessen Diskussion ihn zum Rückzug aus der Position veranlasst hatte.

Assignment expressions

Die PEP 572 führt die sog. Assignment expressions ein. Mit diesen Ausdrücken wird es möglich, Zuweisungen direkt in Ausdrücken vorzunehmen und ein C-ähnliches Verhalten wie bei while(line = buffer.read()) darzustellen. Konkret wird in der PEP 572 erwähnt, dass besonders regex-Ausdrücke wie

match = re.match(data)
group = match.group(1) if match else None

die von Programmierern gerne zu

group = re.match(data).group(1) if re.match(data) else None

zusammengekürzt werden, damit vereinfacht und beschelunigt werden sollen, da in letzterem Beispiel für den Oneliner doppelter Berechnungsauswand durch den zweifachen re.match()-Aufruf notwendig wird.

Mit den neuen Assignment expressions soll das dann so aussehen dürfen:

group = match.group(1) if (match := re.match(data)) else None

Positional-only arguments

Die weiteren Änderungen sind besonders aus API-Sicht interessant. Eventuell ist dem ein oder anderen schon aufgefallen, dass die built-in function pow() etwas komisch auf keyword-args reagiert. help(pow) zeigt zwar, dass es die required Parameter x und y gibt. Ruft man aber statt z.B. pow(2, 4) direkt per pow(x=2, x=4) auf, fliegt ein TypeError: pow() takes no keyword arguments. Dies geht u.a. darauf zurück, dass pow die dazugehörige C-Funktion direkt anspricht und dieser TypeError sicherstellt, dass die Argumentübergabe ordnungsgemäß funktioniert, da C keine keyword arguments kennt und Python somit nicht weiß, wie herum die Argumente nun gedreht werden sollen.

Diese Funktionalität steht nun allen Entwicklern zur Verfügung:

def f(a, b, /, c, d, *, e, f):
    print(a, b, c, d, e, f)

In diesem Beispiel müssen die Parameter a und b zwingend als positional arguments (d.h. in der Reihenfolge und ohne keyword-Angaben) übergeben werden. c und d können als positional oder keyword arguments übergeben werden und e und f müssen als keyword arguments übergeben werden. Letzteres ist bisher schon üblich, da z.B. mit dem Parameter *args alle restlichen positional arguments (d.h. ohne keywords) über als Liste mit dem Namen args der Funktion zur Verfügung stehen.

Python Initialization Configuration

Mit der PEP 587 wird eine neue C API eingeführt, die feiner granulierterere Möglichkeiten zur Einstellung des Initialisierungsprozessses und eine verbesserte Fehlerrückgabe ermöglichen. Einen guten Überblick über die konkreten Funktionen, die für C-Entwickler nun zur Verfügung stehen, ist in den Docs abrufbar.

Weitere Änderungen

Weiterhin steht nun die verbesserte Protokollversion 5 von pickle zur Verfügung. Darüberhinaus floss eine ganze Reihe von verschiedenen Verbesserungen oder Änderungen in den neuen Release ein. So dürfen continue Anweisungen nun in finally-Blöcken stehen oder dicts in Form des TypedDict mit Typen annotiert werden.

Das gesamte Changelog ist hier abrufbar, die neue Version kann ab sofort hier oder demnächst im Paketmanager des Distributors bezogen werden.

Weiterhin sei an dieser Stelle nochmals erwähnt, dass der Python 2-Support Ende des Jahres ausläuft. Auch diese neue Version ist ein Einreiz für einen Umstieg von Version 2 auf 3.

Der OpenSearch-Standard erlaubt das Hinzufügen von Suchmaschinen zu Firefox. Mozilla wird die OpenSearch-Unterstützung aus Firefox entfernen. Suchmaschinen müssen in Zukunft als WebExtension bereitgestellt werden.

Via OpenSearch-Definition in Form einer XML-Datei ist es Websites möglich, Suchmaschinen für Firefox und andere Browser bereitzustellen. Firefox-Nutzer können die Suchmaschine dann via Suchfeld respektive das Drei-Punkte-Menü in der Adressleiste zu Firefox hinzufügen.

Seit einiger Zeit unterstützt Firefox auch das Hinzufügen von Suchmaschinen als WebExtension, was den Nutzern eine bessere Kontrolle gibt. Aus diesem Grund stellt Mozilla die OpenSearch-Unterstützung in Firefox in naher Zukunft ein.

Am 5. Dezember wird Mozilla die OpenSearch-Erweiterungen von seiner Erweiterungs-Plattform addons.mozilla.org entfernen. Damit bestehende Erweiterungen ohne Unterbrechung weiterhin funktionieren, müssen diese bis zum 3. Dezember als WebExtension bereitgestellt werden. Eine automatische Migration ist aus technischen Gründen nicht möglich.

Entwickler von Suchmaschinen-Erweiterungen finden hier die entsprechende Dokumentation.

Der Beitrag Firefox: OpenSearch-Unterstützung läuft aus erschien zuerst auf soeren-hentzschel.at.

»Immer Ärger mit Nautilus« wäre eigentlich eine treffendere Überschrift. In diesem Text geht es darum, wie Sie mit dem Gnome-Dateimanager auf Windows- oder Samba-Netzwerkverzeichnisse zugreifen. Dieses Programm hieß ursprünglich Nautilus (der Paketname lautet weiterhin so), später bekam es den nichtssagenden Namen Dateien bzw. im Englischen Files. Ich bleibe hier bei Nautilus, wobei der Name ja noch das geringste Problem ist …

Wie es früher funktionierte

Vor langer Zeit führten Sie in Nautilus das Menükommando Orte / Netzwerk aus. Nautilus zeigte eine Liste aller Windows-Rechner bzw. Samba-Server im lokalen Netzwerk an. Per Doppelklick wählten Sie einen Rechner aus und bekamen eine Liste von Netzwerkverzeichnissen (shares) zu sehen. Ein weiterer Doppelklick öffnete das Verzeichnis. Wenn das Verzeichnis mit einem Passwort abgesichert wurde, mussten Sie sich entsprechend anmelden. Alles in allem ein unkomplizierter Prozess.

Mittlerweile ist die Sache schwieriger, und warum das so ist, bedarf einer etwas längeren Erklärung …

SMB-Grundlagen

Die Basis aller Windows- bzw. Samba-Netzwerkverzeichnisse ist das Protokoll Server Message Block, kurz SMB (Wikipedia). Dieses Protokoll gibt es in verschiedenen Versionen seit 1983 (!!). Die folgende Tabelle fasst überblicksmäßig einige wichtige SMB-Versionen zusammen — und ab welcher Windows- bzw. Samba-Version diese unterstützt werden. (Die Samba-Versionsnummer ist aber mit Vorsicht zu genießen, weil neue SMB-Funktionen oft erst Schritt für Schritt über mehrere Samba-Versionen implementiert wurden. Die Tabelle soll nur als Richtlinie dienen.)

SMB 1.0     Windows 2000       ???
SMB 2.0     Windows Vista      ab Samba 3.6
SMB 2.1     Windows 7          ab Samba 3.6
SMB 3       Windows 8          ab Samba 4.1
SMB 3.1     Windows 10         ab Samba 4.3

Aus Gründen der Abwärtskompatibilität unterstützen Windows und Samba alle Versionen parallel. Client und Server kommunizieren also miteinander, stellen fest, welche Version die Gegenseite unterstützt, und einigen sich auf die bestmögliche Lösung.

In den letzten Jahren haben sich allerdings gravierende Sicherheitsprobleme in SMB 1 herausgestellt, die unter anderem von der Schadsoftware WannaCry ausgenutzt wurde. Microsoft empfiehlt schon seit 2016, SMB 1 explizit zu deaktivieren. In aktuellen Windows-Versionen ist dies standardmäßig der Fall. Auch in aktuellen Samba-Versionen ist SMB 1 mittlerweile standardmäßig deaktiviert; es kann aber bei geeigneter Konfiguration weiterhin aktiviert werden.

Längerfristig werden also immer weniger Netzwerkverzeichnisse SMB 1 unterstützen, ganz egal ob diese von Windows-Rechner, NAS-Geräten oder Linux-Servern angeboten werden. Und in ein paar Jahren ist SMB 1 hoffentlich (endlich) ausgestorben. Wer also auf Windows- oder Samba-Netzwerkverzeichnisse zugreifen will, muss zumindest SMB 2 verstehen.

Browsing

Woher weiß ein Windows- oder Linux-Rechner, welche Netzwerkverzeichnisse im lokalen Netzwerk verfügbar sind? Bis SMB 1 hieß die Antwort Browsing. Das Protokoll SMB enthielt also spezielle Funktionen, um anderen Rechnern mitzuteilen, welche SMB-Server sich im Netzwerk befinden, welche Verzeichnisse (shares) sie anbieten usw.

Diese Funktionen wurden allerdings mit SMB 2 entfernt. Als Ersatz kommt unter Windows das Protokoll WS-Discovery (WSD) zum Einsatz. Linux kann mit Avahi zumindest andere Server/Geräte im lokalen Netz erkennen, allerdings nicht feststellen, welche Netzwerkverzeichnisse diese anbieten. Umgekehrt sehen auch Windows-Rechner nicht, welche Ressourcen ein Samba-Server anbietet. Die bessere Integration von WSD-Diensten unter Linux/Samba ist seit mehr als einem Jahrzehnt eine offene Baustelle.

Vorsicht, Firewall

Unter Debian und Ubuntu gibt es standardmäßig keine Firewall, die den Zugriff auf Windows-Verzeichnisse blockiert. Unter CentOS, Fedora, (open)SUSE und RHEL ist dies hingegen der Fall. Losgelöst von allen SMB-Protokollproblemen wird der Zugriff auf Netzwerkverzeichnisse nie funktionieren, wenn eine Firewall die entsprechenden Ports blockiert. Sie müssen also SMB explizit erlauben. Die Firewall-Konfigurationsprogramme aller genannten Distributionen bieten diese Möglichkeit.

Ärger mit Nautilus

Nach diesem langen Exkurs zurück zu Nautilus. Dieses Programm verwendet für den Zugriff auf SMB-Shares die Bibliothek gvfs-smb. (Die betreffenden Dateien sind je nach Distribution im Paket gvfs-backends versteckt.) Leider funktioniert der Umgang mit Netzwerkverzeichnissen seit Jahren erbärmlich, und daran sind nicht nur die (zugegebenermaßen komplizierten) technische Gegebenheiten schuld. Nautilus stürzt sang- und klanglos ab, zeigt unsinnige bzw. nicht zielführende Fehlermeldungen an und lässt seine Nutzer dumm sterben, um es etwas drastisch zu formulieren.

Dank Avahi erkennt Nautilus in der Regel die meisten im Netzwerk befindlichen anderen Geräte/Rechner/Server/Arbeitsgruppen. Der Versuch, per Doppelklick eine Verbindung zu einem Rechner mit Windows-Netzwerkverzeichnissen herzustellen, scheitert aber zumeist mit einer Fehlermeldung (siehe die Abbildungen am Beginn des Blog-Beitrags). Was nun?

Im Internet werden Sie auf diverse Anleitungen stoßen, Client- oder Server-seitig das Protokoll SMB 1 zu erzwingen. Das ist aber selten eine gute Idee. Die Anweisung client max protocol = NT1 in /etc/samba/smb.conf auf dem lokalen Rechner nützt nichts, wenn der Server (der Windows-Rechner, das NAS-Gerät) zumindest SMB 2 voraussetzt; das ist, wie oben erläutert, zunehmend der Regelfall. Und bei eigenen Samba-Servern handeln Sie sich mit server max protocol = NT1 alle erdenklichen Sicherheitsprobleme ein.

Eine deutlich bessere Lösung gibt es, wenn Sie wissen, wie der Name des Netzwerkverzeichnisses lautet: Dann drücken Sie in Nautilus zuerst Strg+L und geben dann smb://hostname/sharename ein, wobei Sie hostname durch den Namen des Rechners/Geräts ersetzen und sharename durch den Namen des Netzwerkverzeichnisses (in der folgenden Abbildung also users/ms/pictures). Anschließend gelangen Sie in einen Login-Dialog, in dem Sie den Benutzernamen für das Netzwerkverzeichnis und das dazugehörende Passwort angeben.

Nicht immer ist offensichtlich, welchen Share-Namen ein Netzwerkverzeichnis hat. Wenn das Verzeichnis von einem Windows-Rechner angeboten ist, klicken Sie es dort im Dateimanager mit der rechten Maustaste an und führen das Kontextmenükommando Eigenschaften / Bilder aus.

In den meisten Fällen werden Sie wie oben beschrieben zum Ziel kommen. Dann empfiehlt es sich, das Netzwerkverzeichnis gleich als Lesezeichen zu speichern, damit Sie sich den Ärger beim nächsten Mal ersparen: Klicken Sie in der Seitenleiste von Nautilus auf das Netzwerkverzeichnis und führen den Kontextmenüeintrag Lesezeichen hinzufügen aus!

Letzter Ausweg: Terminal

Ich hatte allerdings auch schon Fälle, wo Strg+L samt der Angabe der korrekten Share-Bezeichnung nicht funktionierte, zuletzt unter Ubuntu 19.04. Dann gilt die alte Linux-Regel, dass es im Terminal immer eine Lösung gibt. Erzeugen Sie also ein lokales Verzeichnis, in dem Sie das Netzwerkverzeichnis einbinden möchten, und führen Sie danach mount -cifs wie im folgenden Beispiel aus:

sudo mkdir /media/nas
sudo mount -t cifs -o user=myname,uid=1000 //myhostname/mysharename /media/nas
Password for myname@//myhostname/mysharename:  ******

Dabei geben Sie mit user=myname den Login-Namen für das Netzwerkverzeichnis an. myhostname ersetzen Sie durch den Namen des Windows-Rechners oder NAS-Geräts, mysharename durch den Namen des Netzwerkverzeichnisses. Dank uid=1000 hat der Standardbenutzer Ihres Linux-Rechners Zugriff auf das Netzwerkverzeichnis. Wenn es auf Ihrem Linux-Rechner mehrere Benutzer gibt, ermitteln Sie die richtige UID-Nummer des aktuellen Accounts mit dem Kommando id. In Nautilus können Sie nun das Verzeichnis /media/nas öffnen.

Wenn Sie fertig sind, lösen Sie mit umount das Netzwerkverzeichnis wieder.

sudo umount /media/nas

Quellen

• https://de.wikipedia.org/wiki/Server_Message_Block
• https://en.wikipedia.org/wiki/Samba_(software)
• https://de.wikipedia.org/wiki/WannaCry
• https://techcommunity.microsoft.com/t5/Storage-at-Microsoft/Stop-using-SMB1/ba-p/425858
• https://en.wikipedia.org/wiki/WS-Discovery
• https://en.wikipedia.org/wiki/Avahi_(software)
• https://bugs.launchpad.net/ubuntu/+source/samba/+bug/1831441
• https://github.com/christgau/wsdd (WSD-Dämon für Linux)

Der Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Mit dem Enterprise Policy Generator 5.0 ist nun ein großes Update erschienen, welches zahlreiche neue Konfigurationsmöglichkeiten bringt. Außerdem: Ein erster Ausblick auf das große Highlight des nächsten Major-Releases Enterprise Policy Generator 6.0.

Download Enterprise Policy Generator für Firefox

Mit Firefox 60 und Firefox ESR 60 hat Mozilla die sogenannte Enterprise Policy Engine eingeführt. Die Enterprise Policy Engine erlaubt es Administratoren, Firefox über eine Konfigurationsdatei zu konfigurieren. Der Vorteil dieser Konfigurationsdatei gegenüber Group Policy Objects (GPO) ist, dass diese Methode nicht nur auf Windows, sondern plattformübergreifend auf Windows, Apple macOS sowie Linux funktioniert.

Der Enterprise Policy Generator hilft bei der Zusammenstellung der sogenannten Enterprise Policies, so dass kein tiefergehendes Studium der Dokumentation und aller möglichen Optionen notwendig ist und sich Administratoren die gewünschten Enterprise Policies einfach zusammenklicken können.

Neuerungen Enterprise Policy Generator 5.0.0

Der Enterprise Policy Generator 5.0 ist ein umfassendes Update, welches Unterstützung für mehr als 30 neue Konfigurationsmöglichkeiten und weitere Verbesserungen bringt.

Passend zum Ende der Lebenszeit von Firefox ESR 60 ist beginnend mit Enterprise Policy Generator 5.0 Firefox 68 respektive Firefox ESR 68 oder höher erforderlich.

Eine Funktion des Enterprise Policy Generators ist die Anzeige der Firefox-Version, ab welcher eine bestimmte Option funktioniert. Da Firefox 68 die neue Basis für Firefox ESR darstellt, erfolgt diese Anzeige ab sofort für alle Optionen, welche erst ab Firefox 69+ oder Firefox ESR 68.1+ unterstützt werden. Für alle Optionen, welche bereits früher unterstützt werden, entfällt diese Anzeige, um die Oberfläche nicht mit obsoleten Versionsangaben zu überfrachten.

Die größte Arbeit in dieser Version steckt unter der Haube, um verschiedene Typen neuer Enterprise Policies zu unterstützen, welche Firefox seit Version 68 unterstützt. Neben der Unterstützung sämtlicher neuer Enterprise Policies von Firefox 68 / Firefox ESR 68 und Firefox 69 / Firefox ESR 68.1 gab es auch Überarbeitungen mancher bereits bestehender Richtlinien.

Mit Enterprise Policy Generator 5.0 können bestimmte Optionen als veraltet markiert werden, wenn es neuere Enterprise Policies gibt, welche die alten Optionen ersetzen. Die Validierung von URL-Feldern erlaubt jetzt auch file://-URIs und, falls von der Richtlinie unterstützt, data:image-URIs. Dazu kommen weitere minimale Verbesserungen an Validierung, Design und Übersetzungsdateien.

Enterprise Policy Generator wurde mit web-ext 3.2.0 kompiliert (vorher: 3.0.0).

Neue Enterprise Policies

• Bestimmten Websites erlauben, lokale Dateien zu verlinken
• Standard-Downloadverzeichnis festlegen
• Downloadverzeichnis festlegen und sperren
• Vor dem Herunterladen jeder Datei fragen, wo diese gespeichert werden sollen
• Den Firefox-Startbildschirm anpassen
• Suchmaschinen-Vorschläge aktivieren oder deaktivieren
• Die Seite, welche beim Öffnen eines neuen Tabs erscheint, aktivieren oder deaktivieren
• Festplatten-Cache aktivieren / deaktivieren
• Speicherort des Festplatten-Caches ändern
• Einzelne Wörter in Adressleiste zunächst an DNS und nicht direkt an Suchmaschine senden
• Zeige die Punycode-Version von internationalisierten Domainnamen an
• Beim Verwenden der Adressleiste Einträge aus der Chronik nicht vorschlagen
• Beim Verwenden der Adressleiste Lesezeichen nicht vorschlagen
• Beim Verwenden der Adressleiste offene Tabs nicht vorschlagen
• Datenschutzhinweis beim ersten Start von Firefox nicht anzeigen
• Webstandards: Altes Verhalten bezüglich keypress-Event und nicht druckbaren Tasten für bestimmte Domains wiederherstellen
• Webstandards: Altes Verhalten bezüglich keyCode und charCode für bestimmte Domains wiederherstellen
• Aktualisierung von Suchmaschinen deaktivieren
• Warnung beim Beenden von Firefox deaktivieren
• Websites verbieten, das Kontextmenü zu überschreiben
• Websites verbieten, Fenster zu verschieben und in der Größe zu verändern
• Websites verbieten, den Fenster-Fokus zu manipulieren
• Reiter mit Empfehlungen in Erweiterungs-Verwaltung deaktivieren
• Widevine-Plugin für Streaming mit DRM nicht herunterladen
• OpenH264-Plugin für WebRTC-Kommunikation nicht herunterladen
• IPv6 DNS-Lookups deaktivieren
• Browsing-Chronik deaktivieren
• Automatisch das persönliche Standard-Zertifikat für Websites auswählen, welche eines benötigen
• Das Feature zum Senden von TLS-Fehlern an Mozilla deaktivieren
• Die Alt-Taste zu Anzeigen der Menüleiste auf Windows und Linux deaktivieren
• Lokalen Dateien den Zugriff auf andere lokale Dateien gestatten (Sicherheitsrisiko; Firefox 68.0.1+, Firefox ESR 68.1+)
• Passwort-Manager vollständig deaktivieren (Firefox 70+, Firefox ESR 68.2+)
• Standard-Einstellung, ob sich Firefox gespeicherte Logins und Passwörter merkt (Firefox 70+, Firefox ESR 68.2+)

Veränderte & Ersetzte Enterprise Policies

• Die Option zur Änderug der Oberflächen-Sprache von Firefox erlaubt jetzt auch eine leere Auswahl, um automatisch die Sprache des Betriebssystems zu verwenden
• Die Option zum Löschen aller Browsing-Daten, wenn Firefox geschlossen wird, wurde durch eine neue Option ersetzt, welche das Verhalten im Detail konfigurieren lässt: Separate Einstellungen für Cache, Cookies, Download-Chronik, Eingegebene Suchbegriffe und Formulardaten, Besuchte Seiten, Aktive Logins, Website-Einstellungen sowie Offline-Website-Daten
• Die Option zum Deaktivieren des Abgesicherten Modus (entfernt in Enterprise Policy Generator 4.1.0) wurde neu eingeführt und die Beschreibung verbessert, um klarzumachen, dass diese nur den entsprechenden Menü-Eintrag entfernt
• Die Beschriftungen für die Option zum Hinzufügen von Zertifikaten wurden verbessert
• Die Option zum Hinzufügen von Suchmaschinen erlaubt jetzt auch data:image-URIs für das Favicon
• Neue Enterprise Policy zur Konfiguration von Installation und Deinstallation von Erweiterungen (ersetzt zwei alte Enterprise Policies; Firefox 69+, Firefox ESR 68.1+)
• Beschriftungen der Option zum Schutz vor Aktivitätenverfolgung verbessert, um besser den Formulierungen innerhalb von Firefox ab Version 70 zu entsprechen. Außerdem Optionen zum Blockieren von Cryptomining- und Fingerprinting-Scripts ergänzt (Firefox 70+, Firefox ESR 68.2+)
• Die Option zur Konfiguration der integrierten Authentifizierung kann nun optional vor Veränderungen geschützt werden (war vorher immer geschützt; Firefox 71+)

Screenshots der neuen Version

Wie geht es weiter? Thunderbird-Unterstützung!

Noch vor Veröffentlichung von Firefox 70 und Firefox ESR 68.2 am 22. Oktober wird Enterprise Policy Generator 5.1 erscheinen und damit weitere neue Konfigurationsmöglichkeiten unterstützen. Dies sind Stand jetzt erneut 16 komplett neue Optionen.

Danach werden auch schon die Arbeiten am Enterprise Policy Generator 6.0 beginnen. Großes Highlight dieser Version: Die erstmalige Unterstützung von Enterprise Policies für den E-Mail-Client Mozilla Thunderbird, welcher seit Version 68 ebenfalls dieses Feature unterstützt.

Entwicklung unterstützen

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt vom Enterprise Policy Generator erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features zu implementieren.

Der Beitrag Firefox: Enterprise Policy Generator 5.0 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Mozilla hat mit Firefox 69.0.3 ein Update für Firefox 69 veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion.

Download Mozilla Firefox 69.0.3

Mit dem letzte Woche veröffentlichten Update auf Firefox 69.0.2 hat Mozilla die Erkennung von Kindersicherungs-Software auf Windows 10 verbessert. Dabei hat sich ein Fehler eingeschlichen, der dafür sorgte, dass Nutzer mit entrsprechender Software Dateien nicht mehr herunterladen konnten. Dieser Fehler wurde in Firefox 69.0.3 behoben.

Außerdem wurde ein Problem für Nutzer von Yahoo Mail behoben. Dort wurde Nutzern der Download von Dateien angeboten, wenn auf E-Mails geklickt worden ist, um diese zu öffnen.

Der Beitrag Mozilla veröffentlicht Firefox 69.0.3 erschien zuerst auf soeren-hentzschel.at.

In der für Herbst 2020 geplanten Version 78 beabsichtigt Thunderbird OpenPGP zu integrieren und neben S/MIME direkt zu unterstützen. Das bisher obligatorische Addon Enigmail soll damit überflüssig werden. Wie genau die Implementierung aussehen wird ist noch nicht ganz klar, aber es soll sich optisch von Enigmail unterscheiden.

Bei der Nachricht muss ich erstmal einen Blick auf das aktuelle Datum werfen, aber tatsächlich, im Jahr 2019 kommt man endlich auf die Idee PGP direkt zu unterstützen. Der Hintergrund liegt in den technischen Veränderungen von Thunderbird, das sich demnächst - ähnlich wie Firefox vor einiger Zeit - von den alten Addon-Strukturen verabschieden wird. Damit ist das klassische Enigmail nicht länger kompatibel und müsste komplett neu geschrieben werden. Die erforderlichen Kapazitäten kann der bisherige Entwickler nicht aufbringen. So viel übrigens zum Prinzip freier Software und der Idee jeder könne sich beteiligen. Der Bus-Faktor vieler - auch sehr verbreiteter - Projekte ist erschreckend gering. Wie viel Code da wirklich durch mehr als 2-4 Augen geht, ist doch sehr fraglich.

Diese Gelegenheit nutzen die Entwickler um PGP direkt in Thunderbird zu integrieren. Wegen Lizenz-Inkompatibilitäten wird jedoch nicht GnuPG Verwendung finden, sondern eine neue Implementierung auf Grundlage des OpenPGP Standards Verwendung finden. Bei dieser Gelegenheit stellte sich mir mal wieder die Frage, ob die restriktive GPL-Lizenzierung mittel- oder langfristig zur Belastung werden können (siehe andere Überlegungen unter: Wenn Lizenzen zur Hürde werden - macOS und die GPL & Apple und die GPL - Ein absehbares Ende).

Natürlich ist die direkte Implementierung von PGP in Thunderbird erstmal schön und positiv zu bewerten. Sie kommt nur reichlich spät. Sichere E-Mail ist als Konzept so gut wie tot (siehe: Die E-Mail wird niemals sicher sein! & Reale E-Mail Verschlüsselung - Eine Persiflage) und PGP schwer angeschlagen (siehe: Kommentar: OpenPGP Keyserver - Letzte Zuckungen). Die direkte Implementierung mag ein paar verbliebene Nutzer erfreuen, aber kein erneutes Erblühen der Technologie bringen. Zumal die Implementierung anders sein und erneutes Umlernen bei den Anwendern erfordern wird. Ganz zu schweigen von der Frage, ob ambitionierte Projekte wie p=p auf diese Weise noch verbreitet werden können. Eine direkte Implementierung birgt immer auch die Gefahr von behäbigen Entwicklungszyklen.

Die direkte Unterstützung durch Thunderbird und andere Clients hätte es vor 10 Jahren gebraucht und nicht jetzt, wo die Kommunikationskanäle sich vervielfältigen und Videochat und Messenger große Teile der Kommunikation übernehmen. Mit zahllosen Anbietern, von denen viele sicherer sind als es die E-Mail jemals war und sein wird.

Bilder:

Einleitungs- und Beitragsbild von ribkhan via pixaybay

Wie einige von euch wissen, bin ich ein großer Fan von Terminal Anwendungen. Ich brauche eigentlich nich ein GUI und ich liebe simple und leichte Anwendungen.

Jetzt habe ich einen Time Tracker gesucht. Ich brauchte was, um die Zeit zu erfassen für Projekte. Dazu wollte ich keine Webanwendung nutzen oder mein Handy, sondern richtig das Terminl.

Erst hatte ich kurz überlegt selbst eine Anwendung zu schreiben, habe dann aber das perfekte Tool für mich gefunden.

ti - A silly simple time tracker

ti ist eine kleine Anwendung die in Python geschrieben wurde. Ursprünglich, hat der Entwickler dieses als Bash Programm entwickelt, es dann in Python komplett neu geschrieben.

Installation

ti kann direkt mit pip3 installiert werden:

pip3 install ti

Benutzung

Die Benutzung von ti ist ziemlich einfach: Ein

ti on my-project

startet den Tracker für das Projekt my-project. Und ein

ti fin

bendet den Tracker. Mit dem Befehl

ti status

kann man sich Informationen für den aktuell laufenden Tracker anzeigen lassen. Zusätzlich dazu kann man mit dem Befehl

ti l

Sich alle beendeten Tracker anzeigen lassen. Diese werden in eine JSON Datei ~/.ti-sheet gespeichert.

Besondere Befehle

ti hat ein paar wunderbare Funktionen. Unter anderem ist es euch sicherlich auch schon mal passiert, dass ihr mit der Arbeit an einem Projekt begonnen habt, aber vergessen habt den Tracker zu starten. Kein Problem mit ti einfach den Tracker nachträglich starten mit dem eigentlichen Startzeitpunkt:

ti on my-project 30mins ago

Natürlich geht es auch beim Beenden des Trackers:

ti fin 30 minutes ago

Weitere Informationen könnt ihr auf der Projektseite finden:

https://pypi.org/project/ti/

Wer mit der Synchronisation von Lesezeichen in Firefox nicht zufrieden ist, darf sich auf eine verbesserte Lesezeichen-Synchronisation in Firefox 70 freuen.

Mozilla arbeitet nun schon seit längerer Zeit an einer verbesserten Lesezeichen-Synchronisation. Bereits seit Firefox 61 kann eine frühe Implementierung getestet werden, seit Firefox 68 ist diese in Firefox Beta standardmäßig aktiviert und mit Firefox 70 soll die neue Lesezeichen-Synchronisation in der finalen Version von Mozillas Browser standardmäßig aktiviert werden.

Firefox 70 erscheint nach aktueller Planung am 22. Oktober. Wer sich über verloren gegangene Lesezeichen, eine ungewollte Duplizierung von Lesezeichen oder Änderung der Reihenfolge ärgert, darf sich diesen Tag also Rot im Kalender anstreichen, wobei die neue Lesezeichen-Synchronisation am Release-Tag noch nicht für alle Nutzer aktiviert werden wird, sondern schrittweise im Verlauf der weiteren Wochen ausgerollt werden soll.

Nachdem Mozilla die Synchronisation zunächst für die iOS-Version von Firefox komplett neu entwickelt hatte, erhält das dort bewährte Konzept zur Synchronisation damit auch in abgewandelter Form Einzug im Desktop-Firefox. Wer sich für die technischen Details interessiert, findet auf dem Mozilla-Blog eine ausführliche Beschreibung zur Funktionsweise.

Der Beitrag Firefox 70 erhält verbesserte Lesezeichen-Synchronisation erschien zuerst auf soeren-hentzschel.at.

Der XMPP Newsletter ist in der Oktober 2019 Ausgabe erschienen. Dieses Mal gibt es auch zum ersten Mal eine deutsche Übersetzung.

Themen sind u.a.:

• FOSDEM 2020
• Modernisierung von XMPP
• Peer-Networks
• Hinweise auf Updates
  • Clients
  • Server
  • Dienste

Diese Woche bekam ich eine Antwort auf eine Email-Anfrage mit folgendem Hinweis im footer:

Diese E-Mail wurde von einem LiMux-Arbeitsplatz verschickt.

Es ist schön zu sehen, dass die Stadt München¹ (noch) nicht alle Pinguine getötet hat. Schade, dass Christian Udes Erbe bereits in der ersten Amtszeit nach ihm so mit Füßen getreten wird.

Bevor Verwirrung entsteht: Die Pinguine in Hellabrunn sind meines Wissens nach sicher vor der Stadt.

Dieser richtet sich vor allem an Anwender, die bisher nicht oder nur wenig mit Virtualisierung in Berührung gekommen sind und erfahren möchten, wie man mit dieser Technologie neue Betriebssysteme erkunden kann.

Nach gut einem Jahr wurde vor wenigen Tagen die Version 12 der Datenbanklösung PostgreSQL veröffentlicht.

Das Release steht im Zeichen der Performance und bietet beispielsweise mit REINDEX CONCURRENTLY nun eine Möglichkeit Indizes im laufenden Betrieb ohne Einbußen zu erneuern.

Weitere Änderungen sind im Changelog zu finden. Dort finden sich zusätzlich Anweisungen, welche für die ein oder andere Migration relevant sein dürften.

PostgreSQL 12 unter Ubuntu installieren

Bei der Aktualisierung der vorhandenen Version hat sich nicht allzu viel getan. Der Vorgang ist analog zu Version 11.
 

sudo sh -c  'echo "deb http://apt.postgresql.org/pub/repos/apt/ bionic-pgdg main" >> /etc/apt/sources.list.d/pgdg.list'

wget --quiet -O - https://www.postgresql.org/media/keys/ACCC4CF8.asc | sudo apt-key add -

sudo apt update

sudo apt install postgresql-11

Nun kann überprüft werden, ob das System korrekt funktioniert. Dazu wird in die Postgres Console gewechselt.

sudo -u postgres psql

postgres=# \conninfo
You are connected to database "postgres" as user "postgres" via socket in "/var/run/postgresql" at port "5432".

PostgreSQL 11 auf PostgreSQL 12 aktualisieren

Nachdem die neueste Version installiert wurde, kann die alte im folgenden migriert werden.

Unbedingt eine Sicherung der vorhandenen Datenbanken machen.

pg_dumpall > /temp/sicherung

Noch einmal die Installationsinfos anzeigen lassen.

sudo pg_lsclusters

Ver Cluster Port Status Owner    Data directory              Log file
11  main    5432 online postgres /var/lib/postgresql/11/main /var/log/postgresql/postgresql-11-main.log

Sollte eine neue Version bereits installiert sein, muss diese zunächst gestoppt werden.

sudo pg_dropcluster 12 main --stop

Danach das alte Cluster migrieren.

sudo pg_upgradecluster 11 main

Sollte der Vorgang erfolgreich gewesen sein, kann das alte Cluster entfernt werden.

sudo pg_dropcluster 11 main

pgAdmin 4 für PostgreSQL 12 installieren

Für viele bietet sich zur Verwaltung eine grafische Oberfläche an, hier kann der Quasistandard pgAdmin genutzt werden.

Das Tool hat sich in den letzten Jahren gut entwickelt und viele Kinderkrankheiten überwunden.

Das benötigte Repository ist durch die vorhergehende PostgreSQL Installation bereits vorhanden.

sudo apt install pgadmin4 pgadmin4-apache2

Das erste Paket installiert das Tool an sich, das zweite installiert das Webinterface dazu. Bei der Installation werden Mailadresse und Passwort abgefragt, dies wird später für den Login benötigt.

Die fertige Installation kann über den Browser aufgerufen werden.

http://localhost/pgadmin4/

Beim durchschauen meiner Feeds (natürlich stilecht mit freier Software im Terminal mit Newsboat via Tiny Tiny RSS) fiel mir auf, dass der BR wohl Humor hat:

https://tracking.neuland.br.de/file/1735164/c/feed/schlachthof-folge-67.mp4

Das lasse ich jetzt einfach mal unkommentiert stehen. 😁

In privaten Fenstern merkt sich Firefox keine Surf-Spuren wie Chronik oder Cookies. In Zukunft kann der Nutzer in diesem Modus auch eine abweichende Standard-Suchmaschine verwenden.

Private Fenster in Firefox schützen die Privatsphäre der Nutzer, da Firefox in diesem Modus keine Chronik, Suchanfragen, Cookies sowie temporäre Dateien speichert. Außerdem ist in diesem Modus der Tracking-Schutz standardmäßig aktiviert und der Referrer wird standardmäßig gekürzt.

Mit Firefox 71 spendiert Mozilla seinem Browser eine weitere Verbesserung des privaten Modus. Dann nämlich kann für private Fenster eine separate Standard-Suchmaschine eingestellt werden. So könnte der Nutzer beispielsweise in regulären Fenstern weiterhin die exzellente Google-Suche als Standard verwenden und in privaten Fenstern eine Suchmaschine wie DuckDuckGo, welche einen besonderen Fokus auf die Privatsphäre legt.

Natürlich kann der Nutzer auch weiterhin unabhängig von der eingestellten Standard-Suchmaschine jederzeit eine andere Suchmaschine via Auswahl in der Adress- oder Suchleiste verwenden, oder via Schlüsselewort, welches in den Firefox-Einstellungen für jede Suchmaschine konfiguriert werden kann.

Die neue Einstellung ist bereits in der Nightly-Version von Firefox 71 implementiert, dort aber noch nicht standardmäßig sichtbar. Dafür muss über about:config noch der Schalter browser.search.separatePrivateDefault.ui.enabled auf true gesetzt werden.

Firefox 71 erscheint nach aktueller Planung am 3. Dezember 2019.

Der Beitrag Firefox 71 bekommt separate Standard-Suchmaschine für privaten Modus erschien zuerst auf soeren-hentzschel.at.

Ich hatte mich ja in meinem ersten Artikel über den neuen Laptop über die fehlenden Einstellungen für die Akku Ladestrategie mukiert. Jetzt (Aprif 2016) habe ich einen FAQ Eintrag gefunden, der genau dieses Problem angeht.

Beim Tuxedo XC1506 übernimmt das die BIOS Funktion "Flexicharge" FAQ Artikel im Supportforum von Tuxedo

Damit bin ich die gefährlichen Mikro Ladezyklen und das "immer Volle Pulle" auf 100% laden los.

Update 04.10.2019: Mein Laptop ist ca. 3,75 Jahre alt. Der Akku hat noch 94% seiner Design Kapazität. Ich habe die Schwellen auf 70% und 90% eingestellt. Der Laptop ist zu 95% am Netz.

Um auf Firefox Addons zu verzichten, die man ja sowieso nur alle paar Jahre braucht, oft resourcenintensiv und ebenso oft recht langsam sind benutze ich lieber das Kommandozeilen Programm wget, oder wget2 um Dateien wie Sounds oder Bilder auf einer Seite in einem Rutsch runter zu laden. Wenn du Linux benutzt, dann ist wget oft schon vorinstalliert. wget2 muss meist extra installiert werden. Die anderen, die immer noch Windows oder Mac benutzen finden ohne große Probleme eine portierte Version für ihren Computer.

Um jetzt eine große Liste von Sounds (z.B AIF) von einer Webseite runter zu laden, die dort einzeln verlinkt sind gibt man z.B. Folgendes ein:

wget2 -P "/home/Benutzer/Download/"-nd -r -l 2 -H -A aif https://bsp.de/blah.html

Die Schalter bedeuteten

• -P (path) gibt den Pfad zu deinem Zielverzeichnis an, in dem die Dateien auf deiner Festplatte gespeichert werden sollen.
• -nd (no directories) erstelle keine Verzeichnisse/Unterverzeichnisse, sondern speichere alles in das aktuelle Verzeichnis
• -r (recursive) sucht auch in Unterverzeichnissen nach den angegebenen Dateien
• -l 2 (recursive level 2) zum “r” Schalter gibt man IMMER den “l” Schalter mit (in diesem Beispiel 2), da dieser definiert, wie tief wget in die Unterverzeichnisse hinabsteigen soll, um zu vermeiden, dass du dir aus Versehen das gesamte Internet auf die Festplatte lädst.
• -A (accepted extensions), hinter diesem Schalter gibst du die Datei-Endungen wie AIF, WAV, JPG, PNG oder eben die Dateien, die du runterladen willst an.
• -H (span hosts) Wenn sich die Dateien nicht auf dem selben Server befinden, musst du den Schalter “H” noch mit angeben, weil wget standardmäßig nur Dateien von dem Server runterlädt, wohin auch die angegebene Adresse zeigt. Gehe VORSICHTIG damit um!
• Adresse ,ganz zum Schluss gibst du dann noch die Adresse ein, wo die Dateien verlinkt sind z.B. sowas  https://bsp.de/blah.html

Es gibt dann noch den Schalter -e robots=off der besagt, dass WGET sich nicht als “robot ” zu erkennen geben soll. Viele Webseiten nutzen die robot Datei, um Suchmaschinen oder anderen Webcrawlern zu sagen: Bleibt hier fern und verursacht keine unnötig hohe Bandbreitenauslastung, denn wir wollen nicht in eurer Suchmaschine auftauchen.

Bitte gehe respektvoll mit dem robots Schalter um und überlege dir vorher, ob du wirklich das gesamte Internet runerladen willst, oder ob du nicht wirklich nur einen Teil davon brauchst.

Mozilla hat mit Firefox 69.0.2 ein Update für Firefox 69 veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion.

Download Mozilla Firefox 69.0.2

Mit dem Update auf Firefox 69.0.2 behebt Mozilla eine mögliche Absturzursache beim Bearbeiten von Dateien in Office 365.

Eine andere mögliche Absturzursache betrifft ausschließlich Nutzer von Linux. Dort konnte ein Verändern der Abspielgeschwindigkeit auf YouTube zu einem Absturz von Firefox führen.

Schließlich wurde noch ein Problem mit der Erkennung von Kindersicherungs-Software auf Windows 10 behoben, was Voraussetzung für die Ausrollung von DNS over HTTPS (DoH) in den USA ist.

Der Beitrag Mozilla veröffentlicht Firefox 69.0.2 erschien zuerst auf soeren-hentzschel.at.

Im Bereich der digitalen Bildbearbeitung ist GIMP im FOSS Gebiet für viele das Tool der Wahl.
GIMP was für "GNU Image Manipulation Program" steht ist somit auf vielen privaten Rechnern als freies Bildbearbeitungsprogramm installiert.

Allerdings arbeiten viele beruflich mit Photoshop oder sind von Tutorials und Co die Adobe Oberfläche gewöhnt.
Glücklicherweise ist Gimp hier sehr flexibel und kann schnell auf einen anderen Look umgestellt werden.

GIMP Photoshop Theme installieren

Windows

1. GIMP beenden
2. CMD starten
3. cd C:\Users\x\AppData\Roaming\GIMP\
4. ren 2.10 2.10.backup
5. git clone https://github.com/BenShoeman/gimp-photoshop-profile
6. In den Einstellungen die Themes mit SegoeUI auswählen

Linux

1. GIMP beenden
2. Terminal starten
3. cd /.config/GIMP/
4. mv ~/.config/GIMP/2.10 ~/.config/GIMP/2.10.backup
5. git clone https://github.com/BenShoeman/gimp-photoshop-profile

Alternativ wurde ich auf Github noch auf anderer Seite fündig, allerdings ist das Repository schon 4 Jahre alt. Ausprobieren lässt es sich dennoch.

git clone --depth=1 https://github.com/doctormo/GimpPs.git .gimp-2.10

Vorher

Nachher

Tastaturbefehle

Aussehen ist nicht alles, auch Tastaturbefehle sind vielen wichtig. Darum kann man diese ebenfalls herunterladen. Ich konnte die Funktionalität leider nicht überprüfen.

1. Keybinds herunterladen http://epierce.freeshell.org/gimp/ps-menurc
2. Unter Windows die Datei "C:\Users\name\AppData\Roaming\GIMP\2.10\menurc" ersetzen
3. Unter Linux die Datei "~/.config/GIMP/2.10/menurc" ersetzen

Fazit

Letztendlich ist es Geschmackssache, ob und wie eine andere Oberfläche das Arbeiten vereinfacht. Ich werde bei der originalen GIMP Oberfläche bleiben und verbuche die Photoshop Oberfläche unter abgeschlossene Experimente.

Mozilla und Google haben angekündigt, DoH in ihren Webbrowsern Firefox bzw. Chrome zu aktivieren. In diesem Artikel möchte ich allgemeinverständlich erklären, was sich dadurch für Nutzer dieser Programme ändern kann bzw. wird.

Dazu beschreibe ich zuerst in vereinfachender Weise, wie das heutige DNS-System funktioniert und was an diesem System kritisiert wird. Darauf folgt eine Beschreibung von DoH und der Kritik an diesem Protokoll. Der Artikel soll dem Leser helfen, sich eine eigene Meinung zu bilden.

Dieser Artikel richtet sich in erster Linie an (Privat-)Anwender und Nutzer der genannten Programme. Er soll ein grundlegendes Verständnis auch ohne vollständige Kenntnis der Fachterminologie ermöglichen. Den versierten Leser bitte ich daher zu entschuldigen, sollten einige Ausführungen fachlich nicht ganz exakt sein.

Das Domain Name System (DNS)

Das DNS ist einer der wichtigsten Dienste in vielen Netzwerken und quasi das Rückgrat des Internets. Denn es sorgt dafür, dass zu einer Eingabe im Webbrowser wie z.B. https://www.my-it-brain.de oder www.ubuntuusers.de der Server gefunden wird, welcher die entsprechende Seite ausliefern kann. Das DNS funktioniert dabei so ähnlich wie ein Telefonbuch bzw. eine Telefonauskunft.

Wie wird das DNS von (Privat-)Anwendern genutzt?

Um zu veranschaulichen, wie das DNS in den meisten Fällen genutzt wird, stelle man sich folgendes Heimnetzwerk vor, wie es vermutlich in vielen Haushalten existiert.

Endgeräte wie Laptop, Smartphone, Tablet, PC, etc. sind via LAN oder WLAN an den heimischen (W)LAN-Router angebunden. Letzterer erhält vom Internet Service Provider (ISP) eine oder mehrere IP-Adressen mitgeteilt, über welche der Router — vom Internet aus gesehen — erreichbar ist. Darüber hinaus teilt der ISP noch die IP-Adressen seiner DNS-Server mit, welche ebenfalls im (W)LAN-Router gespeichert werden.

Der (W)LAN-Router wiederum weist jedem Endgerät eine IP-Adresse zu, unter welcher dieses Gerät im Heimnetzwerk erreicht werden kann. Darüber hinaus teilt er den Endgeräten eine sogenannte Gateway-Adresse mit. Diese Adresse stellt für die verbundenen Endgeräte quasi das Tor ins Internet dar. Gleichzeitig wird diese IP-Adresse meist auch als DNS-Serveradresse auf den Endgeräten konfiguriert. Erledigt wird dies alles in der Regel über das DHCP-Protokoll, um dem Nutzer die manuelle Konfiguration der beteiligten Komponenten zu ersparen.

Damit sind dann eigentlich auch schon alle Voraussetzungen geschaffen, um mit den Endgeräten im Internet surfen zu können.

Tippt nun ein Nutzer im Webbrowser seines PCs die Adresse https://www.my-it-brain.de ein, wird auf folgendem Weg die IP-Adresse des Servers ermittelt, welcher diesen Blog ausliefert. Das folgende Bild dient der Veranschaulichung der Schritte 1-5.

1. PC fragt den (W)LAN-Router nach der gesuchten IP-Adresse
2. (W)LAN-Router fragt den bzw. die DNS-Server des ISP
3. Der DNS-Server des ISP fragt ggf. weitere DNS-Server im Internet
4. DNS-Server des ISP kennt die gesuchte IP-Adresse und teilt sie dem (W)LAN-Router mit
5. Der (W)LAN-Router teilt die IP-Adresse dem PC mit

Der PC ist mit Kenntnis der IP-Adresse nun in der Lage, die gewünschte Seite beim Server anzufragen und im Webbrowser darzustellen.

Oftmals verfügen die in vorstehender Abbildung dargestellten Geräte über einen Zwischenspeicher für erfolgreich ausgeführte DNS-Abfragen, den sogenannten Cache. So muss bei einer wiederholten Anfrage einer bereits erfolgreich aufgelösten IP-Adresse nicht erneut die komplette Kette durchlaufen werden. Die Anfrage kann stattdessen aus dem Cache beantwortet und somit Zeit eingespart werden. Das folgende Code-Beispiel soll dies verdeutlichen. Dabei ist es nicht wichtig, jede einzelne Zeile interpretieren zu können. Der Befehl dig my-it-brain.de versucht den Namen ‚my-it-brain.de‘ in eine IP-Adresse aufzulösen. Die mit ‚Query time‘ beginnende Zeile gibt die Verarbeitungsdauer der Anfrage an.

user@X201:~$ dig my-it-brain.de

; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> my-it-brain.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55873
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;my-it-brain.de.			IN	A

;; ANSWER SECTION:
my-it-brain.de.		3600	IN	A	136.243.44.163

;; Query time: 68 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Thu Sep 26 15:45:15 CEST 2019
;; MSG SIZE  rcvd: 59

user@X201:~$ dig my-it-brain.de

; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> my-it-brain.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55400
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;my-it-brain.de.			IN	A

;; ANSWER SECTION:
my-it-brain.de.		3590	IN	A	136.243.44.163

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Thu Sep 26 15:45:24 CEST 2019
;; MSG SIZE  rcvd: 59

user@X201:~$

Die Beantwortung der ersten DNS-Abfrage dauerte noch 68 ms. Die zweite Anfrage konnte direkt aus dem Cache meines Laptops in 0 ms beantwortet werden. Dabei ist anzumerken, dass alle Anwendungen von diesem Cache profitieren können, sofern sie alle den Cache des Betriebssystems oder ggf. auch den des nachgelagerten (W)LAN-Routers nutzen können.

Kritik

Die Kommunikation über das DNS-Protokoll ist nicht verschlüsselt. Jeder Teilnehmer in einem Netzwerk, der eine DNS-Abfrage zu sehen bekommt, kann deren vollständigen Inhalt lesen. So kann z.B. der ISP sehen, welche Seiten wie oft von seinen Kunden aufgerufen werden. Wobei über die Häufigkeit wiederholter Seitenaufrufe keine genaue Aussage getroffen werden kann, wenn im Heimnetzwerk des Nutzers DNS-Caches verwendet werden.

Der DNS-Client, welcher einen Namen in eine IP-Adresse auflösen möchte, hat keinerlei Möglichkeit zu prüfen, ob die zurückgelieferte IP-Adresse wirklich dem Inhaber der gewünschten Seite gehört. Im Prinzip kann jeder, der eine DNS-Anfrage sieht, eine Antwort senden. Das Endgerät akzeptiert in der Regel die Antwort, die es als erstes erreicht als gültig.

Dadurch bestehen vielfältige Angriffsformen, welche meist das Ziel verfolgen, DNS-Teilnehmer durch Manipulation auf falsche Webseiten zu lenken, um anschließend Passwörter, PINs, Kreditkartennummern usw. zu ergaunern. Darüber hinaus können Manipulationen auch für Zwecke der Zensur verwendet werden.

Die erwähnten Gefahren für Angriffe bzw. Zensur möchte ich mit zwei kurzen Beispielen verdeutlichen.

Beispiel 1: Phishing mit Hilfe von Cache Poisoning

Beim Cache Poisoning wird der DNS-Cache des (W)LAN-Routers manipuliert. In der Folge werden Aufrufe von z.B. Gmail, Amazon, eBay oder Online-Banking-Webseiten auf sogenannte Phishing-Webseiten umgeleitet. Diese sehen den echten Seiten meist zum Verwechseln ähnlich und sollen den Nutzer dazu verleiten, seine Zugangsdaten zu diesen Diensten preiszugeben.

Als Anwender gibt es nicht viel, was man tun kann, um sich vor diesen Angriffen zu schützen. Es bleibt lediglich:

• Verfügbare Sicherheitsupdates für alle vorhandenen Geräte zeitnah zu installieren
• Beim Besuch von Webseiten skeptisch zu prüfen, ob es Anomalien gibt, die auf Phishing-Versuche hindeuten können

Beispiel 2: Zensur durch den ISP

Eure DNS-Anfragen müssen in jedem Fall bei eurem ISP vorbei. Entweder, weil ihr die DNS-Server eures ISP verwendet, oder weil sie dessen Netz auf dem Weg zu eurem DNS-Provider passieren. In jedem Fall kann euer ISP die Pakete identifizieren und ihren Inhalt lesen. Damit ist euer ISP auch in der Lage, die Anfrage bzw. Antwort zum Zwecke der Zensur zu manipulieren.

Das Risiko der Zensur ist je nach Land und verwendetem ISP bzw. DNS-Provider unterschiedlich zu bewerten. Als Nutzer könnt ihr der Zensur evtl. entgehen, indem man VPN-Tunnel nutzt, um mit vertrauenswürdigen DNS-Providern zu kommunizieren. Dies funktioniert jedoch nur, sofern die VPN-Protokolle vom ISP nicht identifiziert und ebenfalls blockiert werden können.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH) ist ein Protokoll zur Durchführung einer DNS-Auflösung über das HTTPS-Protokoll. Das Ziel ist es, die Privatsphäre und Sicherheit der Benutzer zu erhöhen, indem das Abhören und Manipulieren von DNS-Daten durch Man-in-the-Middle-Angriffe verhindert wird.[1] Neben der Verbesserung der Sicherheit sind weitere Ziele von DNS über HTTPS, die Leistung zu verbessern und DNS-basierte Zensurmaßnahmen zu verhindern. DNS over HTTPS wurde am 19. Oktober 2018 als RFC 8484 standardisiert.[2]

https://de.wikipedia.org/wiki/DNS_over_HTTPS

Was ändert sich für (Privat-)Anwender?

Bei Verwendung dieses Protokolls wird zur Auflösung von Namen in IP-Adressen nicht mehr die Infrastruktur eures Heimnetzwerks oder die eures ISP genutzt. Anwendungen wie z.B. Mozilla Firefox oder Google Chrome implementieren vorkonfigurierte DNS-Server-Adressen, welche zukünftig die Namensauflösung übernehmen. Wie dies aussehen kann, wird in folgender Skizze dargestellt.

Die Skizze zeigt Verbindungen zwischen verschiedenen Anwendungen und verschiedenen DNS-Diensten im Internet. Die Kommunikation erfolgt über das HTTPS-Protokoll und ist damit verschlüsselt. Die Verschlüsselung der DNS-Kommunikation soll vor Manipulation schützen. Ganz nach dem Motto: „Was man nicht sieht, kann man nicht manipulieren bzw. blockieren.“

Der Anwender selbst hat nichts weiter zu tun. Sein Internet funktioniert weiterhin, ohne etwas ändern zu müssen. Die in den obigen Beispielen beschriebenen Probleme scheinen gelöst, oder? Ja, aber …

Kritik an DoH

DoH verhindert effektiv Zensur durch den ISP. Dieser kann die in HTTPS versteckten DNS-Anfragen nicht von anderem HTTPS-Datenverkehr unterscheiden. Einzig vorstellbare Gegenmaßnahme ist die Blockade sämtlichen HTTPS-Datenverkehrs.

Cache Poisoning sollte keinen Einfluss mehr auf die Anwendungen haben, da diese die vorhandene Infrastruktur nicht mehr nutzen und die Anwendungen (hoffentlich) nur Antworten von den konfigurierten DNS-Services akzeptieren.

Tatsächlich fallen mir noch einige weitere Angriffsvektoren wie z.B. DNS-/IP-Spoofing und Man-in-the-Middle-Angriffe auf HTTPS ein, doch mögen diese durch Maßnahmen auf Anwendungsseite mitigiert worden sein. Daher gehe ich hier nicht weiter darauf ein. Sollte ich neue Erkenntnisse hierzu gewinnen, werde ich diese in einem folgenden Artikel thematisieren.

Statt dem eigenen ISP bzw. dem selbst gewählten DNS-Server zu vertrauen, liegt das Vertrauen nun bei den in den Anwendungen konfigurierten DNS-Providern. Warum ich diesen mehr Vertrauen sollte als meinem ISP, erschließt sich mir persönlich nicht.

In einer Welt, in der Google als Datenkrake verschrien ist, gebe ich diesem Unternehmen nur ungern auch noch meine DNS-Anfragen und würde diese lieber bei meinem ISP belassen. Nun lebe ich in einem Land, wo die ISPs noch nicht negativ durch Zensur aufgefallen sind. Wer hier das kleinere Übel darstellt, muss jeder für sich selbst beurteilen.

Stand heute ist mir nicht bekannt, ob die zu verwendenden DNS-Server in den Anwendungen (wie z.B. Firefox und Chrome) konfiguriert werden können oder man mit den Voreinstellungen leben muss. Möchte man die Vorgabe ändern, hat man nun definitiv mehr Arbeit als früher. Beim klassischen DNS lässt man einfach neue DNS-Server-Adressen über DHCP an seine Endgeräte verteilen und ist fertig. Bei DoH ist diese Konfiguration pro Anwendung und pro Endgerät durchzuführen. Ich fände es schon ärgerlich, wenn zukünftig jede Anwendung mit ihrem eigenen DNS-Resolver daherkommt und einzeln angepasst werden muss.

DoH geht an den im Heimnetzwerk existierenden Caches vorbei. Dies bedeutet entweder langsamere DNS-Abfragen oder erhöhten Bedarf an Arbeitsspeicher auf den Endgeräten, wenn alle Anwendungen nun ihren eigenen Cache implementieren.

Und wenn nun ein oder zwei dieser großen Dienste, auf die alle DNS-Anfragen konzentriert werden, ausfällt? Dann müssen unter Umständen eine Vielzahl von Anwendungen einzeln umkonfiguriert werden, um einen anderen DNS-Provider zu nutzen. Und das auf jedem Endgerät!

Fazit

Das bisherige DNS ist nicht perfekt. Es hat Stärken und Schwächen. Die Schwächen wurden oben bereits benannt. Zu einer der Stärken zählt, dass das DNS hierarchisch aufgebaut ist und dezentral betrieben wird. So ist es recht unwahrscheinlich, dass das DNS als Ganzes ausfallen bzw. kontrolliert werden kann. Fällt das DNS des ISP oder des gewählten DNS-Providers aus, kann man mit verhältnismäßig geringem Aufwand einen anderen DNS-Server verwenden und den Dienst weiterhin nutzen.

Mir persönlich gefällt das Konzept von DoH aus den oben genannten Gründen nicht. Ich hoffe und wünsche mir, dass sich auch in zukünftigen Versionen der verschiedenen Anwendungen DoH deaktivieren und die vorhandenen DNS-Resolver des Betriebssystems bzw. des Heimnetzwerks nutzen lassen.

Auch wenn ich selbst von DoH nicht überzeugt, geschweige denn begeistert bin, wird die Marktmacht von Mozilla und Google sicher ausreichen, um das Protokoll dauerhaft zu etablieren. Hoffentlich lassen die Anwendungshersteller uns Anwendern die Freiheit, die Anwendung nach unseren Wünschen zu konfigurieren.

Doch nun genug der Schmähkritik. Ich möchte hier nicht mit einem negativen Ausblick schließen, bietet DoH doch auch Chancen. Steigt mit der Zeit die Anzahl der verfügbaren DoH-Endpunkte, hat der Anwender in Zukunft evtl. eine ebenso große Auswahl wie heute bei den DNS-Servern. Und vielleicht unterstützen zukünftig auch die Resolver des Betriebssystems und der heimischen (W)LAN-Router DoH und können wie heute von den jeweiligen Anwendungen genutzt werden. All dies bleibt abzuwarten. Bis dahin wird das Internet für den normalen Anwender wohl auch weiter funktionieren, nachdem Firefox und Chrome DoH aktiviert haben.

Ich hoffe, ich konnte euch das DNS und DoH etwas näherbringen. So dass ihr die Eingangsfrage für euch selbst beantworten könnt. Solltet ihr Fragen haben oder über die beiden hier besprochenen Protokolle diskutieren wollen, nutzt gern die Kommentarfunktion dazu.

Weiterführende Quellen und Links

• DNS-Standards RFC 1034 (1987) und RFC 1035 (1987)
• DoH-Standard RFC 8484
• DNS over TLS
• Domain Name System Security Extensions (DNSSEC)
• DNS-based Authentication of Named Entities (DANE)

Dieser Beitrag darf gerne geteilt werden.

Nächstes Jahr erscheint wieder eine neue LTS von Ubuntu und den offiziellen Derivaten. Obwohl die Herbstversion 19.10 noch nicht veröffentlicht ist, zeichnen sich bereits Richtungsentscheidungen ab.

Die alle zwei Jahre erscheinenden Ubuntu LTS Versionen sind immer noch ein wichtiger Termin im Linux Kalender. Seitdem alle Derivate - bis auf die Hauptvariante Ubuntu - nur noch 3 Jahre Support bieten kann man keine Version mehr überspringen. Umso wichtiger ist eine hohe Qualität bei jeder Veröffentlichung. Ein Thema, das mich ganz persönlich interessiert, da neben ein paar Notebooks und einem Server auch ein ganzer Zoo an virtuellen Maschinen mit Ubuntu läuft.

An der Basis scheint Canonical einen Wechsel des Root-Dateisystems auf ZFS vorzubereiten. Ob das dann bei 20.04 bereits alltagstauglich sein wird oder lediglich eine experimentelle Vorschau bietet muss man abwarten. Es ist auf jeden Fall ein sehr interessantes Unterfangen. Ext4 ist ein bewährtes Dateisystem aber kann funktional mit Dateisystemen wie Apples APFS oder Btrfs nicht mithalten. Unklar bleibt die Lizenzierung, da die "GPL-Kreuzfahrer" weiterhin versuchen das Projekt zu torpedieren.

Im Desktopbereich hat Kubuntu in Zusammenarbeit mit KDE erste positive Entscheidungen getroffen. KDE wird Plasma 5.18, das im Januar 2020 erscheint, mit einem LTS-Status versehen. Dadurch kann Kubuntu im Frühjahr auf LTS-Versionen von Plasma, Qt und KDE Frameworks zurückgreifen. Kubuntu 20.04 hat damit das Potenzial eine ausgereifte und stabile Version, qualitativ vergleichbar mit 14.04 zu werden. Plasma 5 ist auf dem Höhepunkt seines Entwicklungszyklus, bevor es mit dem Wechsel auf Qt 6 sicherlich wieder ein bisschen unruhiger wird. Lubuntu wird zudem erstmals mit LXQt erscheinen und LXDE aufs Altenteil schieben. Sogar Xfce hat mal wieder eine neue Version zu bieten, weshalb auch Xubuntu-Anwender ein paar Neuerungen bekommen.

Tendenziell bereitet man sich zudem für einen verstärkten Einsatz von Snaps im Desktopbereich vor. Ein Testballon war Chromium, das inzwischen nur noch als Snap zur Verfügung steht. Hier bleibt abzuwarten inwieweit die Derivate mitziehen. Das inoffizielle Derivat elementaryOS hat sich bereits gegen Snaps und für Flatpaks entschieden.

Es bleibt spannend was in den kommenden 6 Monaten so passiert.

Bilder:
Einleitungs- und Beitragsbild von stevepb via pixabay

Open Source wird in den letzten Jahren populärer – und das auf vielen Ebenen. So gewinnt nicht nur der Bereich der Open Source Software an Bedeutung – wie letzte Woche gerade erst wieder durch die Veröffentlichung von der MSVC-Implementierung (Nachricht) unter Beweis gestellt. Viel mehr lässt sich nun auch beobachten, dass das 2. Kerckhoffs’sche Prinzip wichtiger wie nie zuvor wird. Bitcoin ist ein Beispiel dafür, dass zentrale Akteure überflüssig werden können, wenn alle Teilnehmer das gleiche Verfahren anwenden und die Konsensfindung nicht über vorher vereinbarte und vertrauensabhängige Rollen, sondern Mathematik sichergestellt wird, um in diesem Fall den Distributed Ledger, das verteilte Kassenbuch, bereitzustellen.

Wie so oft fällt aber das Augenmerk der Masse auf das Nebenprodukt einer Innovation - in diesem Fall ist es die Blockchain. Auch wenn diese bereits Vorgänger wie das in den 1990ern bekannte Hashcash hatte, wurde diese Datenstruktur durch den Einsatz in Bitcoin besonders bekannt.

Das Gute: die „Technik“ dahinter ist in den Grundzügen einfach verständlich. Und weil man Dinge besonders gut verstehen kann, wenn man sie anwendet, erkläre ich in meinem neusten YouTube-Video (Alternativdownload, 157.5 MB) die Basics der Blockchain und werde eine kleine Implementierung auf Python-Basis zusammenbauen.

Das Video ist etwa eine halbe Stunde lang. Ich möchte mit einigen Mythen aufräumen und verdeutlichen, dass es auch nur eine ganz normale Technik ist und vor allem nicht krampfhaft über alles geträufelt werden sollte. Trotz alledem werden sich einige Anwendungsgebiete zeigen, wo diese Technik sinnvoll eingesetzt werden kann.

In dem Zusammenhang möchte ich gerne auf den Gartner Hype Cycle for Emerging Technologies 2018 verweisen, in welchem Blockchain bereits das Tal der Desillusion durchschreitet und jetzt ein guter Zeitpunkt ist, objektiv einen Einblick in diese Welt zu erhalten. In diesem Sinne: viel Spaß mit dem Video!

Mozilla hat in der Nightly-Version von Firefox die Unterstützung für die veralteten Verschlüsselungs-Protokolle TLS 1.0 und TLS 1.1 abgeschaltet.

Alle großen Browserhersteller werden die Unterstützung für das Transport Layer Security-Protokoll (TLS), häufig umgangssprachlich auch wie das Vorgänger-Protokoll Secure Sockets Layer als SSL bezeichnet, in den Versionen 1.0 und 1.1 Anfang 2020 einstellen. Dies gaben Mozilla, Microsoft, Apple und Google bereits vor einem Jahr bekannt.

Bis dahin wird TLS 1.0 bereits über 21 Jahre alt sein. TLS 1.1 bot nur geringfügige Verbesserungen gegenüber TLS 1.0 und wird zeitgleich nicht mehr unterstützt werden. Aus Sicherheitsgründen sollte das 2008 finalisierte TLS 1.2 oder das 2018 finalisierte TLS 1.3 genutzt werden.

In Vorbereitung auf die endgültige Abschaltung von TLS 1.0 und TLS 1.1 werden diese beiden veralteten Verschlüsselungs-Protokolle bereits ab jetzt in der Nightly-Version von Firefox nicht länger unterstützt.

Der Beitrag Firefox Nightly: Unterstützung für TLS 1.0 und 1.1 deaktiviert erschien zuerst auf soeren-hentzschel.at.

Windows Benutzer bekommen drei weitere Geschenke aus der modernen Linux Welt, mit denen ihr Leben einfacher und auch etwas sicherer wird. Konkret sind es Geschenke aus der KDE Community , die drei ihrer Produkte Okular, KDEConnect , Kate auf Windows portiert (verfügbar und installierbar) haben.

Eine kleine Erklärung noch, was KDE eigentlich ist. KDE ist eine Ansammlung von sehr vielen nützlichen Programmen, die zusammengestellt, einen unter Linux sehr bekannten Desktop (Oberfläche) ergeben. Meist wird die Oberfläche an sich KDE Plasma genannt. Diese Desktopoberfläche wird durch sehr viele Programme und Helfer, wie Editoren (wie Kate), Dokumentenbetrachter (wie Okular), verbindende Programme (wie KDE Connect) und viele weitere wie z.B. Dateimanager, Videoschnitt-, Mal- , Lernprogramme und Spiele komplettiert. Natürlich laufen auch alle anderen Linuxprogramme, wie LibreOffice (eine vollständige Bürosuite mit Schreib-, Tabellen, Präsentationsprogramm und einigem mehr) auf diesem Desktop. Einen kurzen Einblick seht ihr in diesem Video: KDE Plasma 5.16.

Okular ist nicht nur eine PDF Viewer/Betrachter, sondern kann auch noch wesentlich mehr Formate lesen und anzeigen, wie PDF, PS, Tiff, CHM, DjVu, Images, DVI, XPS,ODT ,Fiction Book, Comic Book ,Plucker, EPub, Fax, Mobipocket. Wie vollständig die jeweiligen Formate unterstützt werden, könnt ihr auf dieser Übersicht nachschauen. Okular ist mittlerweile im Microsoft Store verfügbar und ihr könnt ihn ganz bequem von dort installieren.

KDE Connect verbindet euer Android Smartphone mit dem Windows Computer. So könnt ihr z.B. über euer WLAN Dateien hin und her schicken. Ihr werdet benachrichtigt, wenn eine SMS rein kommt und könnt diese sogar auf dem Computer beantworten. Den Mediaplayer könnt ihr damit steuern und ihr könnt KDE Connect sogar als Fernbedienung für Maus und Tastatur benutzen. Ganz praktisch für Präsentationen zum Weiterschalten der Folien. KDEConnect ist im Moment noch nicht im Microsoft Store verfügbar, aber ihr könnt es dennoch einfach unter Windows installieren. Hier erfahrt ihr, wie es geht: KDE Connect für Windows ist fertig

Kate ist ein sehr mächtiger aber auch ein sehr einfach zu bedienender Texteditor. Damit kannst du eben mal schnell eine kleine Textdatei erstellen und bearbeiten, oder du benutzt Kate als IDE für dein Softwareprojekt, an dem du arbeitest. Kate kannst du ganz einfach über den Microsoft Store installieren.

Alle Programme sind nicht nur OSS Open Source Software, sondern sie sind sogar FLOSS: Free Libre Open Source Software.

Der Unterschied?

OSS ist quelloffen. Das bedeutet, dass jeder sich den Quellcode anschauen und prüfen kann. Aber nicht unbedingt kostenlos benutzen darf.

FLOSS ist frei/libre. Das bedeutet, dass der Quellcode einseh- und prüfbar ist und dass die Software kostenlos nutzbar ist. Sprich, jeder kann sich den Quellcode runterladen und selber compilieren. ABER! Es gibt keinen Anspruch darauf, dass man alles kostenlos (außer dem Quellcode) bekommen muss. Wer eine Software nicht selber compilieren oder einrichten kann, der muss auf Services zurückgreifen, die das für einen erledigen. Das macht Arbeit und Arbeit sollte immer bezahlt werden! Also seit fair und überlegt euch, ob ihr nicht doch manchmal den Projekten die ihr tagein-tagaus benutzt mal eine Spende zukommen lasst.

Neues von KDE erfahrt ihr übrigens über den Fediverse Account von KDE https://mastodon.technology/@kde

Und wenn ihr nicht warten wollt, bis das eine oder andere Programm von Linux nach Windows kommt, dann überlegt doch mal, ob ihr nicht gleich in die Zukunft durchstarten wollt und den Sprung nach Linux wagt. Ich persönlich setze seit über 10 Jahren Kubuntu ein. Das ist die Linuxdistribution Ubuntu mit einem KDE/Plasma als Oberfläche und bin sehr zufrieden damit.

Eine wirklich sehr gute und empfehlenswerte deutschsprachige Community für Ubuntu/Kubuntu ist da übrigens die Ubuntuusers.de

Mehr als vier Monate nach der Vorstellung von Red Hat Enterprise Linux 8 ist endlich auch CentOS 8 verfügbar. Genaugenommen lautet die Versionsnummer nicht 8, sondern 8.0.1905. CentOS wurde also von RHEL 8.0 geklont, das im Mai 2019 veröffentlicht wurde. (Dass CentOS erst im September 2019 veröffentlicht wurde, spielt in der Versionsnomenklatur keine Rolle.)

CentOS ist der populärste RHEL-Klon und wird vor allem im Server-Bereich oft als Geld sparende Alternative zu RHEL eingesetzt. Dieser Artikel fasst kurz zusammen, wodurch sich CentOS 8 von RHEL 8 unterscheidet, und erläutert das neue Angebot CentOS Stream.

Aus technischer Perspektive lässt sich zu CentOS 8 nicht allzu viel schreiben, was nicht 1:1 für RHEL 8 gilt. Tatsächlich verweisen die Release Notes von CentOS 8 in erster Linie auf jene von RHEL 8 und zählen nur kurz die wenigen Red-Hat-spezifischen Pakete auf, die in CentOS fehlen.

Dementsprechend kann auch ich nur auf meinen entsprechenden Blogbeitrag vom Mai 2019 hinweisen, in dem ich die wichtigsten Neuerungen und Versionsnummern von RHEL 8 zusammengefasst habe. CentOS verhält sich wie RHEL und ist zu RHEL binärkompatibel. Die Unterschiede betreffen das Copyright, den Support, die Hardware-Unterstützung und die Kosten:

• CentOS ist samt Updates kostenlos verfügbar, auch für den kommerziellen Einsatz.

• Bei der Installation bzw. Inbetriebnahme entfällt daher die Registrierung mit dem Subscription Manager.

• Als einzige Hardware-Architektur wird zur Zeit x86_64 unterstützt. Es werden die Architekturen x86_64, aarch64 und ppc64le unterstützt (siehe http://isoredirect.centos.org/centos/8-stream/isos/).

• Diverse Bitmaps mit dem Red-Hat-Logo sowie Copyright-Hinweise etc. wurden durch entsprechende CentOS-Logos bzw. -Texte ersetzt.

• Gleichzeitig müssen Sie auf jede Art von Support verzichten.

• Der Einsatz von CentOS steht und fällt damit, dass es dem winzigen CentOS-Team weiterhin gelingt, das Projekt einigermaßen zeitgerecht zu warten. Das monatelange Warten auf CentOS 8 hat gezeigt, dass hier die Achillesferse des Projekts ist.

Minimalinstallation

Es gibt aktuell leider keine Minimal-ISO-Image. Sie haben die Wahl zwischen dem Network-ISO (dann müssen aber während der Installation alle Pakete heruntergeladen werden), oder dem riesigen All-in-ISO (7 GiB).

Den Installationsumfang können Sie im Punkt Software-Auswahl festlegen. Eine minimale Installation beansprucht 1,3 GiB im Root-Dateisystem. Nach dem ersten yum update sind es 1,4 GiB. Im Betrieb reichen für einfache Aufgaben 512 MiB RAM aus. Zur Installation im Grafikmodus ist aber 1 GiB erforderlich.

EPEL

Zusammen mit RHEL/CentOS kommt üblicherweise die externe Paketquelle EPEL zum Einsatz. Wie ich vor ein paar Wochen schon geschrieben habe, ist EPEL 8 allerdings erst halbfertig. Dieses Problem betrifft in gleichem Maße RHEL und CentOS.

Anders als unter RHEL kann EPEL unter CentOS besonders einfach aktiviert werden:

yum install epel-release

Fertig!

CentOS 8 in der Praxis

Es ist ein wenig verwegen, ein paar Stunden nach dem Release schon vom Praxiseinsatz zu schreiben. Aber zumindest meine ersten Tests in einer virtuellen Maschine vermitteln den beruhigenden Eindruck, dass sich CentOS tatsächlich/erwartungsgemäß/weiterhin — exakt wie RHEL verhält. Ja, eigentlich sogar besser! yum update oder yum install arbeiten nämlich auf Anhieb und nicht erst nach einer mühsamen Registrierung. Andere Unterschiede sind mir nicht aufgefallen, wenn man einmal vom blauen statt roten Desktop-Hintergrundbild absieht.

CentOS Stream

Die heutige Ankündigung von CentOS 8 enthielt eine Überraschung: Neben CentOS 8 wurde auch CentOS Stream vorgestellt. Dabei handelt es sich um eine Art Rolling-Release-Variante von CentOS, nicht so progressiv wie Fedora, aber auch nicht so konservativ wie RHEL/CentOS. CentOS Stream ist also eine Distribution, die sich ständig durch Updates erneuert und Pakete enthält, die im offiziellen RHEL/CentOS noch nicht Einzug gefunden haben.

Aus der Sicht von Red Hat soll CentOS Stream neben Fedora eine zweite Spielwiese werden, um neue, schon weitgehend praxistaugliche Enterprise-Features einer größeren Öffentlichkeit/Testgemeinde zugänglich zu machen.

Schleierhaft bleibt, ob CentOS Stream auch von der Anwenderseite auf Interesse stößt: Linux-Fans, die die gerne die neuesten Features ausprobieren möchten, werden bei Fedora bleiben. Administratoren, die eine stabile Server-Umgebung für den Langzeit-Einsatz brauchen, sind mit CentOS gut bedient. Unklar erscheint mir dagegen die Zielgruppe von CentOS Stream.

Hintergründe zum CentOS-Projekt

Das immerhin schon 15 Jahre alte CentOS-Projekt wurde seit jeher von einer relativ kleinen Gruppe von Entwicklern betrieben. Vordergründig geht es ja »nur« darum, den Quellcode der RHEL-Original-Pakete von allen Logos, Copyright-Texten etc. zu befreien, dann neu zu kompilieren und auf Paketservern bzw. in Form von Installations-Images zur Verfügung stellen. Diese Vorgehensweise ist gedeckt durch die GPL.

Tatsächlich sind diese Arbeiten (und insbesondere die damit verbundenen Tests zur Qualitätskontrolle) aber mit enormen Arbeitsaufwand verbunden. Zusammen mit den Umstellungsarbeiten, die durch das in RHEL 8 neu eingeführte Paketverwaltungssystem (»AppStreams«) notwendig waren, dauerte es dann eben über vier Monate, bis CentOS 8 fertig wurde.

Als sich Red Hat 2014 für viele überraschend das CentOS-Team einverleibte, war unklar, welche Konsequenzen dies für das CentOS-Projekt haben würde. Heute kann man wohl zusammenfassen: keine. Red Hat hat das CentOS-Projekt nicht abgewürgt, es hat das Projekt auf der anderen Seite aber auch nicht extra gefördert (zumindest soweit man das von außen beurteilen kann). Und so trägt unverändert ein winziges Team die Last, die Distribution am Leben zu halten und über Jahre/Jahrzehnte für rasche Paket-Updates zu sorgen.

Vermutlich ist der aktuelle Zustand aus der Perspektive von Red Hat bzw. IBM ideal: Einerseits gibt es mit CentOS eine kostenlose und populäre RHEL-Alternative aus dem eigenen Haus. Das ist immer noch besser, als wenn Linux-Enthusiasten auf das ebenfalls von RHEL abgeleitete Oracle Linux umsteigen. (Eine dritte RHEL-Variante, Scientific Linux, wird für Version 8 nicht mehr weiter gepflegt.)

Andererseits muss jedem kommerziellen Anwender klar sein, dass die Sicherheit seiner Installationen an einem winzigen Team, also sprichwörtlichen an einem seidenen Faden hängt; eine gute Motivation also, irgendwann in den sauren Apfel zu beißen und doch das Original zu kaufen …

Ein wenig irritierend war auch das Zustandekommen von CentOS 8 mit einem absolutem Minimum an Kommunikation. Auf in der Mailing-Liste geäußerte Hilfeangebote gingen die Entwickler kaum ein. Ein Community-nahes Open-Source-Projekt sieht anders aus. Aber wahrscheinlich sollte ich an dieser Stelle einfach dankbar sein, dass es CentOS gibt … (Bin ich.)

Quellen

• CentOS Homepage samt Download-Links
• Release Notes
• Handbücher/Dokumentation
• CentOS-Mailingliste (Thread-Ansicht für Sept. 2019)
• CentOS in der Wikipedia

CentOS Stream

• CentOS Stream Release Notes
• CentOS Stream Ankündigung von Red Hat
• Bericht/Test bei heise.de

RHEL 8

• Blogartikel auf kofler.info zu RHEL 8