Der Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Damit löst die Erweiterung den bekannten CCK2 Wizard in der Ära Firefox Quantum ab. Nun wurde der Enterprise Policy Generator 1.1.0 veröffentlicht.

Download Enterprise Policy Generator für Firefox

Mit Firefox 60 und Firefox ESR 60 hat Mozilla die sogenannte Enterprise Policy Engine eingeführt. Die Enterprise Policy Engine erlaubt es Administratoren, Firefox über eine Konfigurationsdatei zu konfigurieren. Der Vorteil dieser Konfigurationsdatei gegenüber Group Policy Objects (GPO) ist, dass diese Methode nicht nur auf Windows, sondern plattformübergreifend auf Windows, Apple macOS sowie Linux funktioniert.

Zwar steht diese Erweiterung in keiner direkten Verbindung zum bekannten CCK2 Wizard, teilt aber die grundlegende Idee vom CCK2 Wizard, welcher in Firefox Quantum nicht mehr funktioniert, und wurde als Nachfolger vom CCK2 Wizard konzipiert – aber für Firefox Quantum und Enterprise Policies. Der Enterprise Policy Generator hilft bei der Zusammenstellung der sogenannten Enterprise Policies, so dass kein tiefergehendes Studium der Dokumentation und aller möglichen Optionen notwendig ist und sich Administratoren die gewünschten Enterprise Policies einfach zusammenklicken können. Mehr Informationen gibt es in der Ankündigung zum Enterprise Policy Generator.

Neuerungen Enterprise Policy Generator 1.1.0

Der Enterprise Policy Generator bietet die Möglichkeit an, die erstellte Konfiguration direkt als benötigte „policies.json“-Datei herunterzuladen. Damit das möglich ist, muss der Erweiterung die Berechtigung erteilt werden, Dateien herunterladen und die Download-Chronik lesen sowie verändern zu dürfen. Auch wenn die Erweiterung nichts Verwerfliches mit dieser Berechtigung anstellt, so fühlen sich manche Anwender, vor allem im Unternehmens-Umfeld, möglicherweise sicherer, wenn der Enterprise Policy Generator diese Berechtigung nicht zwingend benötigt. Aus diesem Grund wurde die Berechtigung mit dem Update optional gemacht. Das bedeutet, dass der Enterprise Policy Generator ab sofort ohne Erteilung dieser Berechtigung installiert und genutzt werden kann. Der Inhalt kann dann einfach aus der Erweiterung in die selbst angelegte „policies.json“-Datei kopiert werden. Wer die Download-Funktion nutzen möchte, klickt wie gehabt auf den Download-Link. Firefox fragt dann zur Laufzeit nach der entsprechenden Berechtigung und merkt sich diese.

Eine zweite große Änderung vom Enterprise Policy Generator 1.1.0 fand unter der Haube statt und sollte für den Anwender in keiner sichtbaren Änderung resultieren. Ein großes Code-Refactoring wurde durchgeführt, welches in deutlich weniger dupliziertem Code, verbesserter Code-Struktur sowie deutlich mehr Code-Dokumentation resultierte. Nachdem es das Ziel war, eine erste Version der Erweiterung mit Veröffentlichung von Firefox 60 bereitzustellen, damit Administratoren damit arbeiten können, war die Zeit nach Veröffentlichung von Firefox 60 die perfekte Gelegenheit für die Verbesserung der Code-Qualität, um damit letztlich auch die Grundlage für weitere Verbesserungen zu bieten. Beispielsweise die Umsetzung des geplanten Features, Konfigurationen speichern und laden zu können, wird durch diese Code-Verbesserungen deutlich vereinfacht. Aber auch, wenn jemand anderes zum Code der Erweiterung beitragen möchte, ist dies nun leichter möglich.

Darüber hinaus geht ein Dank an milupo, der die Erweiterung in die beiden Sprachen Obersorbisch sowie Niedersorbisch übersetzt hat, womit der Enterprise Policy Generator nun in vier Sprachen zur Verfügung steht.

Roadmap

Wer sich für die Pläne der kommenden Versionen interessiert, findet hier die aktuelle Roadmap. Auch können an dieser Stelle Vorschläge für Verbesserungen gemacht werden.

Entwicklung unterstützen

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt vom Enterprise Policy Generator erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features zu implementieren.

Der Beitrag Enterprise Policy Generator 1.1.0 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Was ist DLNA? Die Digital Living Network Alliance (DLNA) ist ein festgelegter Standard für Geräte wie Mediaplayer und Smartphones und definiert genormte Datenformate für die Bild-, Ton- und Videoübertragung. So das alle zertifizierten Geräte die Daten abspielen können (Mindestanforderung für die Datenübertragung ist dabei JPEG, lineare PCM-Ton und MPEG-2).

Der Server (hier minidlna) kodiert dafür ggf. die Daten neu und stellt diese dann als Stream bereit.

minidlna einrichten

Mein Setup besteht aus diesen zwei Paketen:

root@debian:~# apt-get install minidlna bindfs

Hat man seine Multimediasammlung z.B. in /var/local/nas/ gespeichert, hängt man dieses Verzeichnis mittels bindfs ins Verzeichnis /var/lib/minidlna ein (Dies ist das Standardverzeichnis wo nach Dateien gesucht wird):

root@debian:~# cat <<! >>/etc/fstab
/var/local/nas /var/lib/minidlna fuse.bindfs force-user=minidlna,force-group=minidlna,perms=0000:u=rD 0 0
!
root@debian:~# mount /var/lib/minidlna
root@debian:~# minidlna -R # Dateien neu in die Datenbank einlesen

Der Prozess minidlna läuft unter Debian mit der UID minidlna und hat auf das Verzeichnis /var/lib/minidlna nur lesenden Zugriff.

Die Einteilung in Fotos, Musik und Videos passiert dabei automatisch.

Immer wenn sich das Verzeichnis /var/lib/minidlna geändert hat, muss mittels minidlna -R bzw. minidlna -r, die Datenbank aktualisiert werden.

GNOME hat in den Einstellungen unter Freigabe/Medienfreigabe eine eigene integrierte Möglichkeit um Fotos, Musik und Videos über das Netzwerk freizugeben. Fehlt diese Einstellung, muss rygel installiert werden.
Hier wird minidlna i.d.R. nicht gebraucht.

Fehlerbehandlung

Läuft der MiniDLNA Server, wird dieser über das Netzwerk meist als neue Eingangsquelle/Source/Input bei den Clients angezeigt.

Bei Problemen ist das folgende Kommando nützlich, um eine Fehlermeldung zu bekommen:

root@debian:~# service minidlna restart
root@debian:~# journalctl -f -u minidlna # Log anzeigen

Bild von Violinka via pixabay / Lizenz: CC0 Creative Commons

Der mobile Sektor gewinnt zunehmend an Bedeutung. Zwar wird der Desktop bzw. Laptop auf absehbare Zeit nicht verschwinden und ist insbesondere im beruflichen Bereich nicht weg zu denken. In Privathaushalten sind solche Geräte aber auf dem Rückzug und sofern noch vorhanden oft verhältnismäßig alt. Auch hinsichtlich des Datenschutzes sind die mobilen Begleiter viel bedeutsamer als die klassischen Systeme.

Moderne Smartphones und Tablets haben unzählige Sensoren, die ein umfangreiches Tracking ihrer Besitzer ermöglichen. Kamera, Mikrofon, GPS, Schrittzähler, NFC-Chips - diese Liste ließe sich beliebig fortsetzen. Hinzu kommen die gespeicherten Informationen, die persönlicher kaum sein könnten: Kontakte, Telefonhistorie, E-Mails und Messenger-Nachrichten. Wie sensibel diese Informationen sind zeigt nicht zuletzt die erregte Debatte um die so genannte Quellen-TKÜ.

Genau in diesem sensiblen Bereich sind die Anwender fast vollständig von geschlossenen, proprietären und nicht vertrauenswürdigen Systemen abhängig. Open Source-Enthusiasten empfehlen immer gerne Android, aber das zeigt eigentlich nur das Ausmaß der Verzweiflung. Android ist weder frei, noch sicher, noch vertrauenswürdig.

Siehe auch:

• Android - Keine sichere Alternative!
• Kommentar: Android - Keine sichere Alternative Teil II - Standortdaten über Bluetooth
• Android - Keine sichere Alternative Teil III - Trojaner vorinstalliert
• Android - Keine sichere Alternative Teil IV - Google-Dienste in Custom Roms

Doch was für wirklich freie Alternativen gibt es denn?

Freie Systeme

Die finnische Lösung - SailfishOS

SailfishOS ist unter den alternativen Betriebssystemen sicherlich eine der ausgereifteren Varianten. Dahinter steht das finnische Unternehmen Jolla, das von ehemaligen Nokia-Mitarbeitern gegründet wurde und an Entwicklungen wie das N9 und MeeGo anknüpft. Ältere Semester erinnern sich vielleicht. Die letzten Jahre liefen allerdings nicht sonderlich erfolgreich. Ein groß angekündigtes Tablet musste man einstampfen und Jolla kämpfte auch mit finanziellen Problemen. Die größte Leistung besteht also vermutlich darin, dass man immer noch da ist. Inzwischen kooperiert man mit anderen Herstellern und brachte z. B. SailfishOS auf das Sony Xperia X.

SailfishOS ist technisch eventuell das was man am ehesten als Linux-Smarphone-Betriebssystem bezeichnen kann. Die Mer-Basis verwendet den Linux-Kernel und Wayland für die Grafik, sowie Qt als Toolkit. Man kann sogar Pakete im RPM-Format installieren.

Im Laufe des Jahres 2018 soll dann auch die Version 3 erscheinen, die technisch zu iOS und Android aufschließen soll. Durch die Schwierigkeiten der letzten Jahre ist SailfishOS nämlich nicht mehr ganz zeitgemäß.

Problematisch ist zudem, dass die Oberfläche von SailfishOS keine freie Software ist, sondern man lediglich im Unterbau viel freie Software einbezieht.

Die Community übernimmt - Ubuntu Touch

Die Firma hinter Ubuntu, Canonical, hatte mit Ubuntu Touch große Erwartungen geweckt. Medienwirksam setzte man auf eine groß angelegte Crowdfunding-Initiative, die dann auch fulminant scheiterte - aber wenigstens viel Aufmerksamkeit einbrachte. Das Ziel war nichts weniger als absolute Konvergenz der Systeme, ein Konzept, an dem sich schon ganz andere die Zähne ausgebissen haben. Letztes Jahr zog man dann auch die Reißleine und beendete die konvergenten Träume.

Relativ überraschend fand sich dann aber doch eine Community, die das System übernahm und weiterentwickelte. Es ist weitestgehend funktionsfähig und läuft auf einer Reihe von Endgeräten, was schon beachtlich ist. Momentan versucht man das Projekt auf die 16.04-Basis zu aktualisieren um für die kommenden Jahre Stabilität zu erreichen.

Obwohl die Leistung der Community beachtlich ist, bleibt abzuwarten ob mit wenigen Entwicklern und ohne große Firma im Rücken das System gepflegt und weiterentwickelt werden kann.

Ein Gerät, viele Ideen - Purism 5

Viele Hoffnungen verbinden sich gegenwärtig mit Purism und dem erfolgreich finanzierten Projekt Purism 5. Purism scheint sich aber nicht so recht entscheiden zu können, wohin man mit dem System will. Sowohl GNOME, als auch KDE kooperieren mit Purism. UBports ist seit kurzem auch dabei. Aus nicht ganz nachvollziehbaren Gründen hat sich Purism dazu entschlossen den Fokus auf GNOME zu legen. Also auf jene Oberfläche, die bisher von allen Alternativen am wenigsten für Touch und Mobilsysteme ausgelegt ist.

Wie man die Arbeiten bis 2019 abschließen will fragen sich aber viele Beobachter - vermutlich nicht zu unrecht.

Zersplitterung

Im Grunde genommen sieht man im Bereich der mobilen Entwicklung die Probleme der Open Source/Linux-Gemeinschaft wie unter dem Brennglas. Der chronische Entwicklermangel - keines der obigen Projekte hat mehr als eine Handvoll Entwickler - verhindert schnelle Fortschritte, während sich die anderen Systeme rasant weiter entwickeln. Auf dem Desktop arbeitet man unter ganz anderen Bedingungen. Die Hardware verändert sich nur noch langsam und die großen konkurrierenden Systeme werden tendenziell eher gepflegt, denn wirklich rasant weiter entwickelt. Die kräftezehrende Zersplitterung fällt hier weniger auf.

Im Grunde genommen müsste sich die Entwicklergemeinschaft hier mal zusammenraufen und überhaupt ein funktionsfähiges System zusammen stellen. So aber übertragen die rivalisierenden Gemeinschaften von KDE und GNOME ihre Konkurrenzsituation eins zu eins auf den mobilen Markt und hinzu kommt mit UBports noch ein weiterer Spieler. Linux bietet nämlich auch abseits von Android durchaus eine funktionsfähige Basis, wie die Entwickler von Jolla eindrucksvoll bewiesen haben.

Erste Ansätze, dass man das Problem erkannt hat, sieht man bei die Entwicklung von HaliumOS. Vermutlich kommt das aber zu spät, die Anzeichen, dass Google Android aufgibt mehren sich ja schon.

So bleibt dem Anwender nur die Wahl zwischen Pest und Cholera. Entweder das in Teilen freie Android, dessen Entwicklung komplett von der Datenkrake Google abhängt oder der goldene Käfig iOS, bei dem Apple sich zumindest sehr datenschutzfreundlich geriert.

openSUSE hat mit seinem jüngsten Release einen Versionsnummernsprung zurück gemacht. Die Versionsnummer 15 (zuletzt 42.3) soll die Synchronizität mit SUSE Linux Enterprise (SLE) zum Ausdruck bringen — wobei SLE 15 aber noch gar nicht fertig ist.

Installation

openSUSE steht nur noch als 64-Bit-Version zur Verfügung. Das Installationsprogramm wurde in einigen Details vereinfacht. Standardmäßig schlägt openSUSE weiterhin ein btrfs-Dateisystem für die Systempartition und ein xfs-Dateisystem für /home vor. Im Root-Dateisystem gibt es nun aber weniger btrfs-Subvolumes. Insbesondere wurden alle /var-Subvolumes zu einem Volume zusammengefasst, für das die Option nocow gilt. Das ist mit Geschwindigkeitsvorteilen beim Logging sowie beim Ändern von Datenbank- und Image-Dateien (Virtualisierung) verbunden.

Versionsnummern

Die Versionsnummern sind openSUSE-typisch ein Mix zwischen der stabilen Basis von SLE und neueren Desktop-Paketen:

Basis            Desktop             Programmierung   Server
--------------   ------------------  --------------   --------------
Kernel    4.12   KDE          5.12   bash       4.4   Apache     2.4
glibc     2.26   Firefox        60   gcc        7.3   CUPS       2.2
X-Server  1.19   Gimp          2.8   Java        10   MariaDB   10.2
Wayland   1.14   LibreOffice   6.0   PHP        7.2   OpenSSH    7.6
Mesa        18   Thunderbird    52   Python     3.6   qemu/KVM  2.11
Systemd    234                                        Postfix    3.3
NetworkMan 1.10                                       Samba      4.7
GRUB       2.02 

KDE setzt sich aus Plasma 5.12, dem KDE Framework 5.45 und den KDE Applications in der Version 17.12 zusammen. Alternativ kann Gnome in Version 3.26 als Desktop-System installiert werden. Java liegt in der aktuellen Version 10 vor. Wie openSUSE mit den halbjährlichen Java-Updates umgehen will, ist mir nicht bekannt. Auch die Release Notes zur noch im Beta-Test befindlichen SLE-15-Version schweigen sich dazu aus.

Das Paket zypper lifecycle verrät, wie lange die Distribution gewartet werden soll:

zypper lifecycle

Product end of support                                  
Codestream: openSUSE Leap 15                            2021-11-30
    openSUSE Leap 15.0                                  2019-11-30

No packages with end of support different from product.

Wenn zypper lifecycle Pakete entdeckt, für die Updates zur Verfügung stehen bzw. für die andere Wartungszeiträume gelten, werden diese explizit aufgezählt.

Neuerungen

Außer den Versionsnummern gab es auch auf technischer Ebene einige Neuerungen:

• Firewall: openSUSE hat das Firewall-System firewalld von RHEL/Fedora übernommen. Auf eine Integration in YaST hat man verzichtet. Das entsprechende YaST-Modul startet einfach das aus Red-Hat-Systemen bekannte Programm firewall-config.

• DKMS: Zur Verwaltung von zusätzlichen Kernelmodulen, die im Quellcode zur Verfügung stehen, verwendet openSUSE nun wie die meisten anderen Distributionen DKMS.

• Chrony: Um die Synchronisierung der Uhrzeit kümmert sich nun Chrony, nicht mehr ntpd.

• Transaktionaler Server: Während der Installation können Sie im Desktop-Auswahldialog nicht nur zwischen KDE und Gnome wählen, sondern openSUSE auch als Server bzw. als Transaktionalen Server einrichten. Dabei führt openSUSE Updates in Form von Transaktionen durch; sollte ein Update fehlschlagen, wird der gesamte Update-Prozess widerrufen. Details zu diesem Verfahren, das btrfs als Dateisystem voraussetzt, können Sie in den Release-Notes und im openSUSE-Blog nachlesen.

• update-alternatives: Einige Einstellungen, die bisher in /etc/sysconfig gespeichert wurden, werden jetzt durch update-alternatives verwaltet. Dazu zählen der Display-Manager und das Default-Desktop-System (siehe die Release Notes). Wem das Kommando update-alternatives nicht zusagt, kann stattdessen das neue YaST-Modul yast2-alternatives installieren.

Update von Version 42.3 auf 15

Die folgende Seite beschreibt den Update-Prozess im Detail: https://en.opensuse.org/SDB:System_upgrade

Die Kurzfassung:

• Ein komplettes Update der aktuellen Version durchführen
• Nicht offizielle Paketquellen deaktivieren
• Optional: alle /var/xxx-Subvolumes auf /var zusammenfassen (siehe Punkt 3 in der Update-Anleitung)
• In der Beschreibung der Paketquellen: 42.3 durch 15.0 ersetzen (sed)
• Das eigentliche Distributionsupdate mit zypper dup starten

zypper update
sed -i 's/42.3/15.0/g' /etc/zypp/repos.d/*
zypper ref
zypper dup
  ...
  1467 packages to upgrade, 531 to downgrade, 657 new, 232 to remove, 7 to change arch.
  Overall download size: 1.78 GiB. Already cached: 0 B. 
  After the operation, additional 1.1 GiB will be used.
  ...

Ein Update-Test in einer VirtualBox-Maschine ist problemlos verlaufen. (Auf ‚echten‘ Installationen ziehe ich generell — unabhängig von der Distribution — eine Neuinstallation vor.)

Links und Tests

• Download
• Release Notes openSUSE 15
• Release Notes SLE 15

• Update-Anleitung

• distrowatch

• Test bei heise.de
• Test bei golem.de
• Bericht bei pro-linux.de
• Test im Blog [mer]curius

Bild: © Trueffelpix / Fotolia.com

Der Browser Cliqz gewinnt seit einiger Zeit an Popularität. Dabei handelt es sich um ein Produkt von Hubert Burda Media und Mozilla, der besonders datenschutzfreundlich sein soll. Zu Cliqz gehört seit Februar 2017 auch die Marke Ghostery.

Problematisch sind solche Datenschutzhelfer immer, wenn sie keinen Datenschutz bieten. Wie in Caschys Blog zu lesen ist, hat Ghostery im Zusammenhang mit der DSGVO eine Rundmail mit Informationen zur neuen Datenschutzerklärung verschickt. Alle Accountinhaber waren im CC zu sehen. So sieht gelebter Datenschutz nicht wirklich aus!

Meiner Meinung nach braucht es diese ganzen Aufsätze sowieso nicht. Mit ein paar Handgriffen kann man einen normalen Firefox so absichern, dass er mindestens genau so gut vor Trackern schützt wie diese vermeintlichen Wundermittel (siehe: Mozilla Firefox absichern). Zudem versteht man dann auch wirklich was man gemacht hat. Anonym ist man mit solchen Werkzeugen sowieso nicht unterwegs, das kann allein Tor bieten.

Foto: © Rogatnev / Fotolia.com

Die Entdecker der Lücke hatten ihre PR-Kampagne sorgsam geplant und mit EFAIL auch einen schönen Namen für die Lücke gefunden. Die voreilige Empfehlung der EFF Mailverschlüsselung gleich komplett zu deaktivieren war dann auch ziemlich drastisch (siehe auch: S/MIME und PGP - E-Mail Verschlüsselung anfällig).

Während sich aus dem Bereich S/MIME bisher niemand zu Wort meldete (gibt es überhaupt eine formalisierte Entwicklung des Standards?) starteten die Leute hinter GPG  eine eigene PR-Offensive mit vielschichtigen Stoßrichtungen. Erstens beklagte man, dass keine Kontaktaufnahme im Vorfeld erfolgte, was sich anschließend als falsch herausstellte. Parallel dazu verlegte man sich auf die Strategie, alle Schuld den Mailclients zuzuschieben. Diese seien fehlerhaft und der Verschlüsselungsstandard nicht gebrochen. Weiterhin verwies man auf bereits ausgerollte Updates.

Die Schwachstelle HTML war auch Wasser auf die Mühlen der Open Source-Gemeinde, die diese Erweiterungen der sauberen textbasierten E-Mail schon immer für Teufelszeug gehalten hat. Hier sprang man in den Kommentarspalten den GPG-Entwicklern gerne bei. Man konnte fast den Eindruck gewinnen, dass es gar kein Problem geben würde. Dabei ist genau das Gegenteil der Fall. Die Entdecker der Lücke (mit zugegebenermaßen einer etwas kritischen PR-Politik) hatten frühzeitig die Entwickler der entsprechenden Tools kontaktiert. Dort erkannt man teilweise nicht wie schwerwiegend das Problem war.

Bei anderen Projekten kippten die Entdecker der Lücke im übertragenen Sinne Benzin ins Feuer. Thunderbird ist bereits seit längerem als besonders anfälliger Mailclient bekannt. Ohne grundsätzliche Überarbeitung der Basis und des Addonsystems wird sich da nichts ändern. Anscheinend hat man auch grundlegende Problem umfassende Sicherheitsupdates rauszubringen. Laut Paper der Entdecker ist sogar der vielgescholtene Mailclient von KDE KMail, der chronisch unter Entwicklermangel leidet, nicht so hart betroffen und konnte schnell reagieren.

Das einzig gute für die Open Source Gemeinde. Die proprietären Clients und das von ihnen bevorzugte S/MIME ist noch viel schlimmer dran, denn der Standard bietet im Gegensatz zu OpenPGP noch nicht mal in der Theorie einen Schutz gegen Nachrichtenmanipulation. Außerdem haben Microsoft und Apple für ihre populären Clients Outlook und Mail bisher keine Updates ausgerollt oder wenigstens angekündigt.

Trotzdem sollte man nicht der Einnebelungsstrategie der GPG/PGP Entwickler aufsitzen. Der Standard ist anfällig und kommt mit modernen Bestandteilen einer E-Mail (ja, HTML ist inzwischen verbreitet!) nicht gut zurecht. Sich auf den Standpunkt zurückzuziehen, dass es keine Lücke gibt stärkt die eigene Glaubwürdigkeit nicht.

Unabhängig von der PR-Strategie der EFAIL-Forscher macht die Qualitätssicherung der GPG-Projekte auch keine besonders gute Figur. Es ist leider nicht das erste Mal, dass kritische Open Source-Projekte nicht professionell reagieren.

Um Informationen über das genutzte System zu bekommen gibt es unter Linux eine schier unendliche Zahl an Programmen und Befehlen. Im Zweifel fällt einem das benötigte Programm genau dann nicht ein, wenn man es benötigt. Oder man muss erst die Manpage lesen um die komplexe Bedienung zu verstehen.

Ein spannendes Tool, das genau diese Aufgaben in einem Programm bündelt ist INXI. Das Programm existiert schon länger, ist mir aber erst vor kurzem über den Weg gelaufen. Möglicherweise ist INXI dem einen oder anderen von euch auch noch unbekannt, weshalb ich das Programm gerne kurz vorstellen möchte.

Die Verwendung von INXI

Mit einem simplen Aufruf über den Befehl inxi liefert einem das Programm nur eine kleine Übersicht an Informationen, zur verbauten CPU, Kernelversion oder Speicher. In der manpage wird die Ausgabe auch als “very basic” bezeichnet.

Etwas mehr und interessantere Informationen liefert der Schalter -b. Dieser sogt für eine ansehnliche Darstellung der Informationen und ruft zusätzliche Informationen z.B. zu Grafikkarte, Auflösung, Netzwerk usw. ab, ohne unübersichtlich zu werden.

Mit inxi -i erhält man Informationen zu den Netzwerkinterfaces. Hilfreich ist bei diesem Befehlt auch, dass man nicht nur die lokale IP-Adresse angezeigt bekommt, sondern auch die externe IP, die der Provider dem Router zugewiesen hat.  In der Ausgabe als WAN IP bezeichnet.

Da INXI auch zum Debuggen von Probleme gedacht ist, gibt es den Schalter -z, der als persönlich markierte Informationen ausblendet. Dies ist sinnvoll, wenn automatisiert Informationen über das System weitergegeben werden, durch die Übertragung der Informationen aber keine Rückschlüsse auf den konkreten Computer möglich sein sollen. So wird z.B. das Homeverzeichnis augeblendet, sowie die MAC-Adresse und sämtliche IP-Adressen. Es wird stattdessen nur die Ausgabe <filter> angezeigt.

Übersicht interessanter Optionen

Oben gezeigte Screenshots sollen einen Eindrug davon geben, wie INXI aussieht und was es leistet. Wie bei den meisten Tools dieser Art, ist der Funktionsumfang riesig. Die Manpage von INXI ist allerdings übersichtlich und leicht verständlich aufgebaut. Ich möchte daher hier nur eine kleine Übersicht geben, welche Optionen ich für besonders interessant halte.

inxi -b Basisinformationen über das System werden ausgegeben
inxi -i Informationen zu IP-Adressen und Nertwerkinterfaces.
inxi -n Informationen zum Netzwerk, ohne IP-Adressen
inxi -v7 Ausgabe vollständiger Systeminformationen
inxi -c N Ändern des Farbschemas. N kann eine Zahl zwischen 0-32 sein.
inxi -w Zeigt Wetterinformationen zum aktuellen Standort an. Laut manpage wird hierfür jedoch eine etwas unzuverlässige API genutzt. Funktioniert evtl. nicht immer.
inxi -V Ausgabe der Versions- und Lizenzinformationen

Update von INXI

Die Version von INXI welche bei Ubuntu 16.04 und damit auch bei Mint 18 mitgeliefert wird, ist relativ alt. So unterstützt die Version aus den Paketquellen nur die Ausgabe von IPv4 Adressen, Informationen zu IPv6  fehlen völlig. Allerdings wird INXI durchaus aktiv weiterentwickelt und unterstützt IPv6. Allerdings muss das Programm zuerst aktualisiert werden. Dies kann über mehrere Wege erfolgen.

1. Unter Ubuntu kann INXI aus dem PPA von unit193 installiert werden. Dieses enthält eine aktuellere Version
2. Da es sich bei INXI um ein Programm handelt welches lediglich aus einer Datei besteht, kann man auch einfach die aktuelle Version von Github laden und direkt ausführen.
3. wenn das Programm aus den Paketquellen installiert wurde, kann es am Paketmanager vorbei aktualisiert werden. Hierzu muss in der Datei /etc/inxi.conf der Eintrag B_ALLOW_UPDATE=false auf B_ALLOW_UPDATE=true geändert werden. Anschließend kann das Programm mit sudo inxi -U aktualisiert werden.

Systeminformationen auslesen mit INXI ist ein Beitrag von techgrube.de.

Mozilla hat damit begonnen, eine Zwei-Schritt-Authentifizierung für den Firefox Account auszurollen. Dieses optionale Feature bringt mehr Sicherheit.

Für mehr Sicherheit bietet Mozilla ab sofort eine optionale Zwei-Schritt-Authentifizierung für den Firefox Account an. Damit wird neben dem Passwort noch ein zusätzlicher Sicherheits-Code für die Anmeldung benötigt. Der Firefox Account wird unter anderem für Firefox Sync und für den Login auf addons.mozilla.org benötigt.

Die Neuerung wird schrittweise ausgerollt und kann über accounts.firefox.com aktiviert werden. Wer den entsprechenden Menüpunkt noch nicht sieht, kann ihn über diesen Link aktivieren.

Mozilla hat sich bei der Implementierung für den bekannten TOTP-Standard (Time-based One-Time Password) entschieden. Der TOTP-Code kann über verschiedene Authentifizierungs-Anwendungen generiert werden, zum Beispiel Google Authenticator, Duo oder Authy. Mit der Authentifizierungs-Anwendung muss der angezeigte QR-Code gescannt werden. Der sechsstellige Zahlen-Code, den man dann erhält, wird für den Login benötigt.

Der Beitrag Firefox Account bekommt Zwei-Schritt-Authentifizierung erschien zuerst auf soeren-hentzschel.at.

Am Morgen des 13. Mai fuhr ich mit der U-Bahn zur Arbeit, habe meine Feeds durchgelesen und sah dabei einen Teaser der EFF, der klang als wäre PGP gebrochen. Nach ein paar Stunden heller Aufregung in sämtlichen Blogs und MUCs ging die Seite Efail online, deren Launch erst für den nächsten Tag vorgesehen war.

Im Endeffekt war die Enthüllung immer noch ein schwerwiegender Sicherheitsfehler, der ermöglichte, dass verschlüsselte Nachrichten unter Umständen geleakt werden können, aber im Vergleich zur Panik, die die EFF geschürt hatte nur halb so wild.

Da die CVEs schon 2017 angelegt wurden, waren die Sicherheitslücken auch schon länger bekannt (klar, ein schönes Logo braucht Zeit auch wenn man zu zweit daran arbeitet /sarcasm), warum die EFF dann nicht den einen Tag bis zum geplanten Veröffentlichungstermin warten konnte, sondern unnötige Panikmache mit zweifelhaften Empfehlungen (Deinstalliert PGP und nutzt Signal (sic!)) betrieb ist für mich nicht nachzuvollziehen. Dementsprechend teile ich die Aussage eines heise-Kommentars: Efail ist ein EFFail.

Anstatt das Fehlverhalten einiger Clients/Implementierungen zu diskutieren wurde viel Spott und Häme über Efail (EFFail!) laut, da die Ankündigung der EFF schlimmeres vermuten ließ.

Heute haben sich die PGP Entwickler zum EFFail geäußert und rücken meiner Meinung nach die Dinge wieder zurecht. Statt seltsamer Empfehlungen der EFF (Kein PGP, nehmt Signal) zu folgen sollte man darauf achten Email-Programme ordentlich zu konfigurieren (HTML-Emails wtf?) und aktuelle, sichere Implementierungen zu nutzen. Die Empfehlung der EFF wird folgendermaßen kommentiert:

Some locks can be broken; therefore we must remove all doors

Genau, wenn unter bestimmten Umständen PGP gebrochen werden kann verzichten wir lieber auf verschlüsselte E-Mails und nutzen ein Silo namens Signal, das zwingend eine Telefonnummer benötigt. 🙈

Foto: © Trueffelpix / Fotolia.com

Sicherheitsnihilismus ist ein, im deutschen Sprachraum, bisher nicht verbreiteter Begriff. Auf digitalcourage erschien eine Übersetzung eines Artikels von Daniel Kahn Gillmor auf ACLU, deren sich damit auseinander setzt und sehr lesenswert ist. Die ACLU ist eine amerikanische NGO mit dem Arbeitsschwerpunkt Bürgerrechte/Liberalismus.

Anlass des Artikels ist die EFail genannte Sicherheitsproblematik rund um E-Mail, PGP und S/MIME (siehe auch: S/MIME und PGP - E-Mail Verschlüsselung anfällig).

In dem Artikel wird Sicherheitsnihilismus wie folgt beschrieben:

Sicherheitsnihilismus ist eine Berufskrankheit, die in der Welt der IT-Sicherheit weit verbreitet ist. Wenn ein Problem auftritt, das wir noch nicht lösen können, sagt ein Sicherheitsnihilist: „Da wir dieses Problem nicht lösen können, lohnt es sich nicht, andere damit zusammenhängende Probleme zu lösen.“ Subtilere Sicherheitsnihilisten akzeptieren nur Sicherheitslösungen, die so umständlich und unpraktisch sind, dass niemand sie benutzen will. Kurzum, sie lassen das Perfekte der Feind des Guten sein – in einer Welt, in der Sicherheit ohnehin nie perfekt ist.

Quelle: digitalcourage - E-Mail-Verschlüsselung und Sicherheitsnihilismus

Insbesondere der letzte Abschnitt beschreibt für mich vorherrschende Phänomene in der Datenschutz-/Datensicherheitsdebatte sehr gut. Es gibt viele Experten, die jedwede Schutzmaßnahme ablehnen, wenn sie nicht konsequent genug durchgesetzt wird.

Dahinter stehen meiner Meinung nach zwei unterschiedliche Intentionen. Ein Teil dieser "Experten" möchte seine grundsätzliche Überlegenheit demonstrieren. Entweder im Bereich des technischen Könnens ("Ohne ein speziell gehärtetes Unix musst du mit Kommunikationsverschlüsselung gar nicht erst anfangen") oder im Bereich des Verzichts ("So lange du ein Smartphone besitzt, ist eh alles egal"). Andere nutzen dies als Totschlagargument um die eigene Untätigkeit im Datenschutz zu rechtfertigen ("Man kann sich ja gar nicht konsequent schützen, wenn man nicht im Wald ohne Technik lebt").

In jedem Fall lohnt sich die Lektüre.

Meine neue WebExtension Enterprise Policy Generator steht ab sofort zum Download bereit. Der Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Damit löst die Erweiterung den bekannten CCK2 Wizard in der Ära Firefox Quantum ab.

Download Enterprise Policy Generator für Firefox

Mit Firefox 60 und Firefox ESR 60 hat Mozilla die sogenannte Enterprise Policy Engine eingeführt. Die Enterprise Policy Engine erlaubt es Administratoren, Firefox über eine Konfigurationsdatei zu konfigurieren. Der Vorteil dieser Konfigurationsdatei gegenüber Group Policy Objects (GPO) ist, dass diese Methode nicht nur auf Windows, sondern plattformübergreifend auf Windows, Apple macOS sowie Linux funktioniert.

Zwar steht diese Erweiterung in keiner direkten Verbindung zum bekannten CCK2 Wizard, kann aber als eine Art spiritueller Nachfolger des CCK2 Wizards für Firefox Quantum gesehen werden. Der Enterprise Policy Generator hilft bei der Zusammenstellung der sogenannten Enterprise Policies, so dass kein tiefergehendes Studium der Dokumentation und aller möglichen Optionen notwendig ist und sich Administratoren die gewünschten Enterprise Policies einfach zusammenklicken können.

Die Features im Kurzüberblick:

• die gewünschten Enterprise Policies einfach zusammenklicken
• unterstützt alle Policies, welche von Firefox 60 unterstützt werden
• Validierung von Pflichtfeldern
• spezielle Markierung von Policies, welche nur in Firefox ESR funktionieren
• Info-Link für manche Policies, um weitere Informationen zu erhalten

Shortcuts

Die Oberfläche kann über die Symbolleisten-Schaltfläche oder per Tastatur aufgerufen werden. Hierfür ist die Kombination Shift + F10 reserviert. Alternativ kann die Oberfläche auch über den entsprechenden Eintrag im Extras-Menü geöffnet werden.

Einfache Erweiterbarkeit für weitere Policies

Derzeit werden von Firefox 45 Policies unterstützt, welche alle auch vom Enterprise Policy Generator unterstützt werden. Mozilla wird in den kommenden Monaten die Unterstützung für weitere Policies zu Firefox und Firefox ESR hinzufügen. Dabei wurde der Enterprise Policy Generator so entwickelt, dass er intelligente Generator-Komponente besitzt, die es mir als Entwickler ermöglicht, die Unterstützung für neue Policies mit nur wenigen Minuten Aufwand per Update nachreichen zu können. Dafür muss nichts dazu programmiert werden. Die Erweiterung besitzt eine interne Konfiguration, aus welcher sich die Oberfläche und schließlich auch die Funktionalität vollständig selbst generieren.

Screenshots

Geplante Features

Es sind bereits einige Features für die Zukunft geplant.

• Konfigurationen speichern und laden
• Anzeige der erforderlichen Firefox-Version für jede Richtlinie, sobald weitere Richtlinien in späteren Versionen von Firefox unterstützt werden
• & mehr…

Weitere Feature-Wünsche können im Issues-Tracker vorgeschlagen werden.

Sprachen

Die Erweiterung steht derzeit in den folgenden Sprachen zur Verfügung:

• Deutsch
• Englisch

Entwickler

Von mir stammen auch andere Firefox-Erweiterungen, unter anderen New Tab Override, eine Firefox-Erweiterung mit mehr als 130.000 Nutzern, welche auch schon von Mozilla vorgestellt worden ist, und der Bookmarks Organizer zum Finden beschädigter sowie doppelter Lesezeichen.

Kompatibilität

Die Erweiterung erfordert mindestens Firefox 60. Da das Add-on ein Werkzeug für die neue Enterprise Policy Engine ist, gibt es keinen Grund, ältere Firefox-Versionen zu unterstützen.

Entwicklung unterstützen

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt vom Enterprise Policy Generator erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features zu implementieren.

Der Beitrag Firefox im Unternehmen konfigurieren: Enterprise Policy Generator ist da! erschien zuerst auf soeren-hentzschel.at.

Foto: © Style-Photography / Fotolia.com

Die klassische SMS hat als primäres Kommunikationsmedium ausgedient, lediglich für einige Dienste wie 2FA wird sie erhalten bleiben. Hohe Gebühren der Mobilfunkanbieter haben das Nachfolgeprodukt MMS klein gehalten und in die Lücke sind die heute bekannten Messengerdienste gestoßen. Dabei handelt es sich fast ausnahmslos um zentralisierte Dienste, die eine Verwendung spezielles Apps voraussetzen. Dezentralisierung wäre zwar prinzipiell wünschenswert, ist aber mittelfristig aussichtslos, wenn man sich den Markt ansieht.

Je mehr Informationen wir über diese Dienste teilen, desto prekärer das Datenschutzproblem. Längst werden nicht mehr nur Textnachrichten, Bilder und Videos geteilt, sondern auch Orte, Sprachnachrichten und vieles mehr. Viele Dienste haben seit einiger Zeit auch Sprach- und Videoanrufe integriert. Neben den Inhalten sind auch die auf den Smartphones gespeicherten (Kontakt-)Informationen interessant und natürlich die obligatorischen Metadaten.

Im Gegensatz zu den eher abstrakten Risiken bei Cloudprodukten sind viele Verbraucher bei Messengern sehr sensibel. Ausufernde Debatten und regelmäßige Skandale um diesen oder jenen Messenger zeigen dies ziemlich deutlich.

Die vorgestellten Dienste eignen sich mehr oder minder als sichere Alternative zu bekannten Produkten. Eine uneingeschränkte Empfehlung kann leider für keinen Messenger gegeben werden. Es zeigt sich im übrigen auch, dass Open Source nicht das einzige Kriterium ist, dass man beachten sollte.

Keiner der angeboten Dienste ist vollumfänglich sicher, man nähert sich diesem Ziel höchstens in unterschiedlichem Maße an. Insbesondere Metadaten sind ein neuralgischer Punkt der meisten Kommunikationslösungen, da sich zwar Inhalte schützen lassen, die Tatsache, dass Kommunikation stattfand und der Zeitpunkt eben oft nicht.

Messenger

Signal

Signal ist sicherlich das Flaggschiff der sicheren Messenger. Seit 2015 firmieren die Kommunikationslösungen von Open Whisper Systems einheitlich unter der Marke Signal und lösen damit de Vorgänger TextSecure für Android ab. Finanziert wird das ganze durch Spenden und sonstige Einnahmen. Die Verschlüsselungslösung von Signal gilt als absolut sicher und findet auch in WhatsApp Verwendung.

Insbesondere letzteres verleitet viele zu glauben, dass WhatsApp genau so sicher ist. Hinter WhatsApp steht aber ein Konzern, der mit Datenschutz nicht viel anzufangen weiß - Facebook - und die Verschlüsselung der verschickten Inhalte ist nur ein Baustein der sicheren Kommunikation.

Signal versucht seit längerem die anfallenden Metadaten und Informationen zum Kontaktabgleich zu minimieren. Der Zugriff auf das Adressbuch ist sowieso optional.

Apps stehen für iOS und Android in den jeweiligen App Stores zur Verfügung. Es gibt eine Electron-basierte Desktopapp, aber ein Smartphone ist trotzdem notwendig. Die Desktopapp ist momentan die größte Schwäche des Produkts. Es gab einige Sicherheitslücken in der Vergangenheit (macOS hielt Nachrichten vor und es gab Probleme mit HTML Code in der Desktop-App) und und die Electron-Lösung ist bei Experten umstritten.

URL: https://signal.org

Play Store — iOS

Telegram

Telegram ist unter den hier vorgestellten Lösungen sicherlich die populärste. Gleichzeitig aber auch eine Lösung mit zweifelhafter technischer Qualität. Hinter Telegram steht mit Pawel Durow eine ebenso schillernde, wie umstrittene Person von dessen finanzieller Zuwendung des Projekt vollständig abhängig ist.

Die Qualität von Telegram wird bereits seit längerem angezweifelt. Insbesondere die technische Umsetzung der Verschlüsselung steht dabei im Zentrum der Aufmerksamkeit. Bereits Wikipedia widmet der Sicherheit von Telegram einen langen, sehr kritischen Abschnitt. Auch außerhalb der Tech-Filterblase sind kritische Artikel erschienen. Telegram setzt scheinbar bei der Verschlüsselung nicht auf eine bewährte Lösung, wie sie z.B. Open Whisper System anbietet, sondern auf eine unbekannte Eigenentwicklung. Nachrichten werden in der Cloud gespeichert und sind mindestens für den Betreiber einsehbar. Lediglich so genannte "Geheime Chats" bieten mehr Sicherheit, sind aber nur zwischen zwei Personen möglich und nicht für Gruppen. Genau wie WhatsApp gleicht Telegram das Adressbuch des Anwenders ab um Kontakte zu ermitteln. Das BKA scheint zudem in der Lage zu sein Telegram Nachrichten abzufangen. Ohne diese Aktion bewerten zu wollen, muss man festhalten: Was das BKA kann, können andere auch. Eine umfangreiche Sicherheitsanalyse liefert das Paper "Security Analysis of Telegram" aus dem Mai 2017.

Ein wesentlicher Vorteil ist die Zulassung einer Vielzahl von Clients. Dadurch stehen Telegram-Apps nicht nur in den offiziellen App Stores zur Verfügung, sondern auch in alternativen Stores wie F-Droid oder für alternative Betriebssysteme wie Sailfish OS. Die Desktopapps (eine Registrierung via Smartphone-App ist jedoch erforderlich) sind qualitativ relativ hochwertig.

URL: https://telegram.org

Play Store — F-Droid — iOS

Threema

Im Gegensatz zu Signal oder Telegram ist Threema nicht Open Source und auch nicht kostenlos. Die App wird von der Threema GmbH mit Sitz in der Schweiz entwickelt. Die Apps sind kostenpflichtig und finanzieren die Entwicklung des Angebots.

Im Gegensatz zu vielen anderen Lösungen hat Threema sein Produkt einem Audit unterzogen, bei dem keine Sicherheitsmängel festgestellt wurden.

Threema setzt viele Funktionen besser um als die Konkurrenz. Nicht nur sind Nachrichten und Anrufe verschlüsselt, es ist auch keine SIM-Karte oder Telefonnumer nötig, da eine Identifizierung auch über die Threema-ID möglich ist. E-Mail Adresse und Telefonnumer sind nur zusätzliche, optionale Zuordnungsmöglichkeiten. Der optionale Telefonbuchabgleich zur Ermittlung anderer Threema-Nutzer anonymisiert die Telefonnummern und löscht sie anschließend wieder (siehe FAQ). Weiterhin unterliegen die Kontakte unterschiedlichen "Vertrauensstufen". Erst wenn man die Identität eines anderen Teilnehmers manuell abgeglichen hat bekommt er die höchste Vertrauenswürdigkeit. Ein z. B. auch von GPG bekanntes System. Telefonanrufe erfolgen zudem standardmäßig nicht über die Server, sondern direkt zwischen den beteiligten Kommunikationspartnern und ihren Geräten.

Der einzige Nachteil besteht in der schmalen Plattformunterstützung. Lediglich Android (hier aber auch ohne Play Store/Services) und iOS werden unterstützt. Eine Desktop-App gibt es ebenfalls nicht. Lediglich eine Web-Lösung, Threema Web genannt, steht zur Verfügung.

URL: https://threema.ch/

Android-APK — Play Store — iOS

Wire

Wire ist technisch eine der stärksten Plattformen, leider aber zu spät am Markt eingetroffen. Wire ist inzwischen komplett quelloffen und verfügt über stabil funktionierende Lösungen für den Desktop und die großen Mobilbetriebssysteme. Man verwendet die gleiche Verschlüsselung wie Signal (und Whatsapp) und hat sich auch einem Audit unterzogen.

Es gab allerdings immer wieder Vorwürfe, das Sicherheitskonzept von Wire wäre nicht komplett durchdacht und teilweise würden zu viele Metadaten erhoben.

Die sehr geringe Verbreitung von Wire als Messenger macht es jedoch etwas müßig sich damit näher zu befassen. Als Videotelefonie-Applikation sollte man sie aber in Erwägung ziehen (siehe: Verschlüsselte (Video-)Kommunikation mit Wire), da eine Verbreitung hier nur eine nachrangige Rolle spielt, weil lediglich zwei Kommunikationspartner sich auf ein System einigen müssen.

URL: https://wire.com

Android-APK — Play Store — iOS

XMPP ("Jabber")

In Open Source-Kreisen ist XMPP der heilige Gral zur Kommunikation. Dabei handelt es sich im Gegensatz zu den anderen Diensten um ein dezentrales Protokoll, das mal das Potenzial hatte sozusagen die E-Mail für den Messenger zu werden. Egal welchen Anbieter und welche App man nutzt, man kann alle anderen erreichen. Eine gewisse Zeit lang konnte man sich der Illusion hingeben, die Unterstützung durch Google und andere große Mailanbieter würde XMPP zur Durchsetzung verhelfen.

Heute ist XMPP tendenziell auf dem Rückzug und selbst in der Open Source-Community nicht mehr so verbreitet. Nichts desto trotz ist XMPP mit einigen Erweiterungen (OMEMO) immer noch eine sehr sichere Lösung. Insbesondere OMEMO ermöglichte es XMPP den Sprung auf Mobilgeräte, da die bisherige OTR-Lösung keine Offline-Nachrichten ermöglichte. Mit Conversations für Android und ChatSecure für iOS stehen auch relativ einfach zu benutzende Apps für die großen Mobilsysteme zur Verfügung. Die OMEMO-Erweiterung erzeugt aber leider selbst eine Mauer innerhalb des XMPP-Ökosystems. Bei weitem nicht alle Clients, insbesondere im Desktopbereich, können damit umgehen.

Andere Dienste

Es gibt noch dutzende andere Dienste. Die großen IT-Firmen Apple und Google betreiben mit iMessage und Allo eigene Lösungen. Microsoft hat Skype erworben und zusätzlich tummeln sich auf dem gesättigten Markt noch viele Start Ups. Einige dieser Lösungen sind in einigen Regionen der Welt sehr erfolgreich. Andere sind reine Open Source-Community Projekte, aber noch nicht wirklich ausgereift. Die vier oben genannten Dienste können zumindest ein gewisses Maß an Verbreitung im deutschen Sprachraum für sich verzeichnen, keiner kommt jedoch an die proprietären Dienste der großen Datenkraken heran. Es macht daher nicht viel Sinn den Fokus auf noch abseitigere Dienste zu richten, deren Sicherheitskonzept in der Regel keine/kaum Vorzüge zu den hier genannten Alternativen bietet.

Zusammengefasst

Eine uneingeschränkte Empfehlung für einen Dienst kann man kaum geben. Letztlich dürfte für die meisten entscheidend sein, wo sie die Mehrheit ihrer Kommunikationspartner finden. Das kann je nach sozialem Umfeld höchst unterschiedlich sein.

Das beste Produkt hinsichtlich Stabilität, Sicherheit und Bedienkomfort bietet meiner Meinung nach Threema. Der Dienst ist nicht quelloffen, was in der Open Source-Szene als Totschlagargument dient, aber nur Ideologen glauben, dass Quelloffenheit das einzige Argument ist (siehe auch: Kommentar: Datenschutz und -sicherheit - Open Source wird überbewertet und Schlagwort "Sicherheit" - Marketing, Open Source und andere Entwicklungen). Threema finanziert sich außerdem sehr transparent durch die Einnahmen aus den App-Verkäufen.

Am schwächsten ist definitiv Telegram aufgestellt. Die Finanzierung ist dubios, die Sicherheit wird von Experten begründet angezweifelt aber im Kampf um Aufmerksamkeit gewinnt oft nicht das beste Produkt, sondern das beste Marketing. Telegram ist zudem der beste Beweis, dass Open Source und eine vielfältige App-Landschaft nicht unbedingt Hand in Hand mit Sicherheit geht.

XMPP ist an konzeptionellen Unzulänglichkeiten gescheitert und außerhalb eines sehr kleinen Anhängerkreises faktisch tot. Das Konzept mit den unterschiedlichen Clients und separaten Kontaktadressen ist einfach nicht mehr zeitgemäß.

Bei meinem Host-System für den Ubuntu-Server (beides Ubuntu 16.04) wurde mit einem “alten” USB-Stick (RaLink Chipsatz) die Internet-Verbindung immer wieder getrennt. Weder das Einspielen aktueller Treiber noch das Benutzen eines baugleichen Sticks brauchte Besserung. Als ich den Stick an einem USB 1.1 Hub angeschlossen habe, wurde die Anzahl der Fehlermeldungen nur geringer.

Die Lösung ist eine inkompabilität von Ubuntu 16.04 mit den alten Chipsatz und ich denke da die Anzahl der im Einsatz befindlichen WLAN Adapter mit diesem Chipsatz stets abnimmt ist mit einer Fehlerbehebung nicht mehr zu rechnen.

Die Fehlermeldung im Log war folgende:

May 12 21:09:43 serverhost kernel: [20619.250735] ieee80211 phy0: rt2x00usb_vendor_request: Error – Vendor Request 0x07 failed for offset 0x30 40 with error -110

Als Lösung habe ich folgenden Parameter in die /etc/NetworkManager/NetworkManager.conf aufgenommen:

[device]
wifi.scan-rand-mac-address=no

Und anschliessend in der Grub folgenden Startparameter zusätzlich an den Kernel übergeben:

net.ifnames=0

Anschliessend funktioniert der alte WLan Stick fehlerfrei.

Bild von dariolafelicia via pixabay / Lizenz: CC0 Creative Commons

Am 25. Mai veröffentlicht das openSUSE Projekt mit Version 15 die zweite große Hauptversion seiner auf Stabilität und Langzeitpflege ausgerichteten Zweiges Leap. Die vorherige Version 42.3 erhält nun noch 6 Monate Unterstützung um einen reibungslosen Übergang zu gewährleisten. openSUSE Leap 15.0 steht für eine Konsolidierung des openSUSE Projekts, dessen Aufspaltung in zwei Entwicklungsstränge als Erfolg angesehen werden kann.

Wie immer ist bei openSUSE die Entwicklung bereits einige Zeit vor der Golden Master genannten Veröffentlichung beendet. Die Entwicklung der Version 15 wurde am 18 Mai offiziell abgeschlossen.

Leap (siehe: openSUSE Leap) und Tumbleweed sind die komplementären Veröffentlichungen von openSUSE. Während Tumbleweed als Rolling-Release Distribution konzipiert ist und die fortlaufenden Entwicklungen in der Linux-Communty widerspiegelt, ist Leap auf Stabilität ausgerichtet. Jede Hauptversion von Leap wird ca. 3 Jahre mit Updates versorgt. Die aktuell veröffentlichte Minorversion mindestens 18 Monate lang. Das System von Haupt- und Minorversionen kennt man von anderen Enterprise-Distributionen wie RHEL/CentOS.

Der größte Unterschied zu den firmengestützten Enterprise-Versionen besteht in der Konzentration auf eine Hauptversion. Es wird faktisch immer nur eine Leap-Version gepflegt. Vorherige Versionen erhalten nur eine sechsmonatige Übergangspflege um die Migration zu erleichtern. Wer längerfristige Unterstützung über die 3-4 Jahre einer Leap-Version hinaus benötigt muss zu SUSE Linux Enterprise greifen, das bis zu 10 Jahre gewartet wird (siehe: SUSE Linux Enterprise Desktop).

Die letzten Jahre waren durch Umstrukturierungen geprägt, aber diese kommen nun auch visuell zum Abschluss. Große Teile der Internetauftritte haben nun ein konsistentes Design, das die Designsprache von Leap und Tumbleweed wiedergibt.

Mit Version 15 erfolgt eine Angleichung der Versionsnummern an die Mutterfirma. SLE und openSUSE Leap erscheinen beide in Version 15 und tragen damit ihre Verbindung auch offensiv nach außen. OpenSUSE Leap ist nämlich im Gegensatz zu Tumbleweed keine vollständige Community-Entwicklung, sondern übernimmt einen Kernbestand an Paketen von SLE. Das soll für Stabilität in der Basis sorgen, während die Desktopumgebungen und Programme aus Tumbleweed kommen.

Versionen und Veränderungen

Bedingt durch die Enterprise-Basis sind insbesondere die Basispakete recht alt. Dies äußert sich beispielsweise in Kernel 4.12 und GCC 7. Anwender moderner Hardware mögen das bedauern, für traditionelle LTS-Nutzer ist das trotzdem ein Fortschritt. Immerhin lieferte Leap 42.3 noch Kernel 4.4 aus.

Im Basisbereich sind weiterhin noch einige grundlegende Umbauten zu verzeichnen. Die traditionelle SUSE-Firewall ist nun ersetzt durch firewalld, das ursprünglich aus dem RedHat-Umfeld kam. Ähnlich wie bei Ubuntu 18.04 kommt nun auch chrony als Zeitserver zum Einsatz. Als eine der letzten Distributionen bietet openSUSE nun endlich auch dkms für die vereinfachte Verwaltung zusätzlicher Kernel-Module an. Davon dürften insbesondere Nutzer proprietärer Treiber profitieren.

Der abgelaufene Patentschutz für mp3-Dateien ermöglicht es nun auch bei openSUSE diese abzuspielen ohne Drittquellen einzubinden. Ubuntu oder Debian waren von diesem Problem nie betroffen, da man dort eine recht laxe Position bezüglich dieser Patente eingenommen hatte. Fedora, RHEL und openSUSE hatten auf Aufnahme entsprechender Codecs in die Kerndistribution jedoch immer abgelehnt.

Im Desktopbereich ist openSUSE Leap absolut auf der Höhe der Zeit. Neben aktuellen Versionen von Firefox, Thunderbird und Co liefert man auch alle Desktopumgebungen in aktuellen Versionen aus. Standardmäßig fällt die Wahl weiterhin auf KDE Plasma, das in der LTS-Version 5.12 vorliegt. Die zugehörigen KDE-Applications liegen in der nicht ganz aktuellen Version 17.12 vor, was daran liegt, dass die Früjahrveröffentlichung von KDE zu spät kam. Alternativ steht im Installationsprozess GNOME 3.26 prominent zur Auswahl.

Die kleineren Desktopumgebungen liefert man natürlich auch mit, jedoch müssen diesen in der erweiterten Paketauswahl manuell gewählt werden. Hier stehen Xfce 4.12, MATE 1.20, sowie die beiden Varianten LXDE und LXQt zur Auswahl. Sogar Budgie bietet man in Version 10.4 an.

Installation

OpenSUSE verwendet seit Jahren eine traditionelle Installationsroutine, die frei von Vereinfachungen und übermäßigen Reduktionen ist. Dadurch handelt es sich aber um eine der mächtigsten Installationsmethoden im Linux-Universum.

Die Partitionierung schlägt standardmäßig eine Btrfs-Partition vor, hinzu kommt bei ausreichend vorhandenem Speicherplatz eine XFS-Homepartition. OpenSUSE hält somit diesem, verglichen mit anderen Distributionen, relativ eingewilligen Setup die Treue. Die geführte Einrichtung lässt einen bei Bedarf aber auch sehr leicht ein alternatives Setup, wahlweise mit LUKS-Verschlüsselung und abweichenden Dateisystemen einrichten. Kaum eine Distribution lässt dies derart intuitiv zu.

Die Desktopauswahl ist sehr reduziert, dies wurde bereits angesprochen. Prominent platziert sind nur KDE Plasma und GNOME. Die benutzdefinierte Auswahl ermöglicht jedoch die Auswahl jedes erdenklichen Setups.

Problematisch war in früheren Versionen immer die Abhängigkeitsauswahl. Die so genannten empfohlenen Abhängigkeiten führten zu teilweise absurden Zirkelschlüssen, die gerne halbe Desktops nach sich zogen. Hier hat man massiv aufgeräumt. Die Pattern genannten Metapakete liefern bei Beibehaltung der Standardauswahl immer noch einen umfangreichen Desktop aus, aber ohne überflüssige Redundanzen. Getestet wurde dies für Plasma, MATE und GNOME. Auch heutzutage überflüssige 32bit-Bibliotheken liefert man nicht mehr aus.

Erscheinungsbild

Im Gegensatz zur Ubuntu-Familie war dem openSUSE-Projekt ein konsistentes Erscheinungsbild über das gesamte Angebot hinweg immer wichtig. Dieser Tradition bleibt man treu. Vom Bootscreen über die Installationsroutine bis zu den einzelnen Desktopumgebungen setzt man auf ein reduziertes Flatdesign in Leap-Optik. Durchaus sehr gelungen und stimmig.

Der Startscreen:

SDDM-Login:

Desktop und Bedienung

KDE Plasma ist trotz modernem Unterbau ein konventioneller Desktop und openSUSE liefert diesen auch genau so aus. Eine Desktopleiste unten mit klassischem Startmenü und Icons auf dem Desktop unterstreichen diesen konventionellen Aufbau. Leap 15 profitiert dabei davon, dass Plasma 5.12 wirklich ausgereift ist, was auch für große Teile der KDE Applications-Sammlung gilt. Die Umbaumaßnahmen von Qt4 zu Qt5 sind weitestgehend abgeschlossen.

Dies ist auch gut so, da  - basierend auf den bisherigen Erfahrungen - ein Versionssprung beim Desktop in der kommenden Version 15.1 in einem Jahr unwahrscheinlich ist.

Gleiches gilt natürlich auch für die anderen Desktopumgebungen, die - abgesehen von LXQt - sich eher am Ende, denn am Anfang eines Produktzyklus befinden.

Viele Programme wie Firefox und LibreOffice aktualisieren die openSUSE-Entwickler auch während der Laufzeit, weshalb hier keine intensive Versionskritik geübt werden muss.

Die Paketquellen sind nicht so umfangreich bestückt wie bei Debian, aber bisher ließen sich die meisten Anwendungsfälle abdecken. Die Integration von Flatpaks erleichtert insbesondere die Installation proprietärer Drittanbietersoftware.

Insgesamt ist openSUSE hochgradig stabil und lässt sich hervorragend bedienen. Die Produktpflege durch die Entwickler sucht in der Breite ihres gleichen.

Zusammengefasst

Das openSUSE-Projekt hat sich mit der Aufteilung in Leap und Tumbleweed konsolidiert und erfolgreich den Schritt in den LTS-Bereich gemacht. Leap verspricht Ruhe auf dem Desktop für 3 bis 4 Jahre und das wünschen sich viele Anwender. Man pflegt nur eine Version und diese dafür auch ordentlich. Damit unterscheidet man sich wohltuend von den Dogmatikern bei Debian und Ubuntu, die im Zweifel Versionsstabilität vor echte Stabilität stellen.

OpenSUSE ist inzwischen wieder meine präferierte Distribution, wenn irgendwo Linux zum Einsatz kommt. Die Verfügbarkeit jedes nur denkbaren Desktops macht es überflüssig noch andere Distributionen hinzu zu ziehen.

Erfahrungen aus einem Upgrade von 42.3 zu 15.0 folgen vermutlich im Verlauf des Sommers.

Mozilla hat mit Firefox 60.0.1 ein Update für Firefox 60 veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion.

Download Mozilla Firefox 60.0.1 für Microsoft Windows, Apple macOS und Linux

Mit Firefox 60.0.1 behebt Mozilla ein Problem, welches in Verbindung mit Add-ons zu einem kurzzeitigen Einfrieren des Browsers führen konnte. Ein weiteres behobenes Problem betrifft das Scrolling mit zwei Fingern auf nicht zoombaren Webseiten und Geräten mit Touch-Bildschirm. In Verbindung mit aktualisierten Grafikkarten-Treibern für Nvidia auf Apple macOS konnte es auf Google Maps zu schwarzen Karten kommen. Für Windows-Nutzer mit installiertem Kaspersky konnte die Sprache nach dem Update auf Firefox 60 auf Englisch verstellt sein. Bei Verwendung eines Sprachpakets war die Einstellungsoberfläche von Firefox für manche Sprachen nicht mehr vollständig übersetzt. Für Windows-Nutzer mit High-Contrast-Theme wurde für neue Tabs nicht die korrekte Hintergrundfarbe verwendet. Für Nutzer der US-Version, welche gesponsorte Pocket-Stories deaktiviert haben, waren diese nicht sofort beim ersten neuen Tab deaktiviert. Außerdem wurde die Unterstützung von WebVR auf Apple macOS vorerst wieder deaktiviert.

Firefox 60.0.1 für Android behebt ebenfalls das oben angesprochene Problem auf Geräten mit Touch-Bildschirm.

Der Beitrag Mozilla veröffentlicht Firefox 60.0.1 und behebt diverse Probleme erschien zuerst auf soeren-hentzschel.at.

Bild von 3dman_eu via pixabay / Lizenz: CC0 Creative Commons

Spaltungen gehören zu Open Source Software. sie liegen in der Natur des zugänglichen Quellcodes und der freien Lizenzierung. Befürworter sehen in dieser Vielfalt das Potenzial. Kritiker sehen massive Ressourcenverschwendung und Unübersichtlichkeit. In jedem Fall nimmt die Anzahl der Projekte zu, während die Zahl der Entwickler nicht in gleichem Maße mit wächst.

Sehr gut beobachten lässt sich das an den Desktopumgebungen.

Stand 2018 kann man 11 aktuell noch gepflegte Desktopumgebungen zählen. Unity ist bereits abgekündigt, weshalb vermutlich 10 Desktopumgebungen übrig bleiben (sofern die Unity 8-Community nicht ein Wunder bewirkt). Nicht berücksichtigt sind dabei die zahllosen Windowmanager, die je nach Funktionsumfang bereits an kleinere Desktopumgebungen wie LXDE heranreichen können.

Es handelt sich dabei um folgende Umgebungen:

Die aufgezählten Erscheinungsjahre zeigen bereits, dass Linux über sehr lange Zeit mit lediglich drei Desktopumgebungen auskam. Diese erfüllten unterschiedliche Bedürfnisse, insbesondere im Bereich der notwendigen Ressourcen, bzw. spiegelten unterschiedliche Ansichten über die notwendige Freiheit der Lizenzierung. Seit 2011 ist die Zahl der Desktopumgebungen hingegen explodiert, ob die Abkündigung von Unity da einen gegenläufigen Trend einleitet bleibt abzuwarten. Lediglich die angekündigte Verschmelzung von LXDE und RazorQT zu LXQt schien den Dschungel zeitweilig zu lichten, bevor man entschied LXDE auf unbestimmte Zeit weiter zu pflegen. Der Zustand von LXQt verrät nebenbei viel über die Entwicklerstärke dieser Nischenprojekte.

Die Katastrophe in dieser Entwicklung ist zweifelsohne die GNOME Shell. Ihre Veröffentlichung 2011 leitete unmittelbar eine Reihe an Abspaltungen ein. Unity und Cinnamon sind die offensichtlichsten Folgen, aber die Wiederbelebungen von GNOME 2 als MATE gehört da ebenfalls zu. Mittelbar eigentlich auch solche Projekte wie Budgie, das ähnlich wie Unity mit GNOME-Unterbau aber einer anderen Desktopumgebung arbeitet. Etwas anders gelagert ist dies bei eOS, das bereits zu GNOME 2-Zeiten begann und bei dem es müßig ist zu diskutieren, ob die Entwicklung ohne Shell anders verlaufen wäre.

Das viel gescholtene KDE Plasma hat trotz aller Umbrüche nur eine halbseidene Abspaltung erlebt. Trinity ist dabei kein wirklicher Erfolg, da man sich nie von der KDE 3.5 Codebasis emanzipieren konnte und kaum Verbreitung gefunden hat.

Möglicherweise zeigt dies auch eine der Ursachen für die rapide ansteigende Abspaltungsanzahl. Projekte werden immer mehr von ideologischen Hardlinern geführt, die ihr Konzept gegen jeden Widerstand durchdrücken wollen. Widerspruch oder abweichende Meinungen sind im rauen Umgangston nicht mehr möglich. Je weniger Widerspruch man dann noch zu hören bekommt, desto mehr verrennt man sich in seinem Weg. Entwicklergemeinschaften mit verhältnismäßig offener Bedienphilosophie wie KDE können da deutlich mehr widersprüchliche Projekte unter dem eigenen Dach zusammen führen oder parallel existieren lassen.

Natürlich gibt es Anwender, die mit der GNOME Shell sehr gut arbeiten können. Es gibt ja auch Leute, die mit einer minimalistischen WM arbeiten. GNOME war aber zeitweilig fast "die" Desktopumgebung für Linux. Massenware muss Kompromisse eingehen und auf Anwender zugehen. GNOME ist zwar immer noch weit verbreitet, insbesondere im LTS-Bereich (RHEL, Ubuntu, SLE) aber dies liegt vor allem am LTS-Support von Red Hat, den die anderen Distributoren gerne mitnehmen. In die anderen Projekte müsste man zu viel Geld und Entwicklerzeit für die Pflege stecken, als das es sich bei dem kleinen Markt lohnen würde.

Vor ca.3 Jahren hatte ich bereits über Jitsi Meet berichtet. Mittlerweile ist das Thema WebRTC und Web Videokonferenzen ein alter Hut und es wird nicht mehr jeden Tag eine neue Sau durchs Dorf getrieben.

Jitsi Meet

Jitsi wurde inzwischen von Atlassian übernommen und die Entwicklung an der Webkonferenzlösung still und heimlich weitergeführt.

Es wurden stets stabile Releases der Software veröffentlicht, diese waren bisher allerdings etwas schwerer zu erkennen, die hat sich nun geändert.

Die aktuellste stabile Version trägt die Nummer 2988 und der aktuelle Changelog kann auf Github eingesehen werden.

Installation unter Ubuntu

Zunächst möchte ich kurz zeigen, wie sich die neueste Version installieren lässt, dieser Vorgang wurde im Vergleich zu früher stark vereinfacht.

Ausgangsystem ist ein Ubuntu 16.04 (ja ich weiß 18.04 ist schon verfügbar)

wget -qO - https://download.jitsi.org/jitsi-key.gpg.key | sudo apt-key add 
sudo sh -c "echo 'deb https://download.jitsi.org stable/' > /etc/apt/sources.list.d/jitsi-stable.list"

sudo apt-get -y update
sudo apt-get -y install jitsi-meet

Ein Lets Encrypt Zertifikat kann nun ebenfalls automatisch erstellt werden:

/usr/share/jitsi-meet/scripts/install-letsencrypt-cert.sh

Aufrufen lässt sich die fertige Installation über https://meineServerAdresse.de

Die Software selbst hat einige Schritte nach vorne gemacht, nicht nur das Design ist besser, auch die Stabilität wurde um einiges verbessert. Neben dem eingebauten Chat lassen sich YouTube Videos oder der eigene Bildschirm teilen. Auch verschiedene Sprachen werden nun unterstützt.

Für Tastaturfreunde wurden ausreichend Kürzel implementiert.

Fazit

Wer einen eigenen Videokonferenzserver betreiben möchte, ist mit Jitsi Meet sicherlich gut bedient, die Software bietet genügend Funktionen für einen Jour fixe. 

Die schnelle und einfache Installation spricht für sich, sowie die Unterstützung für Lets Encrypt.

Falls kein Server zur Installation vorhanden ist, kann die offizielle Variante unter meet.jit.si verwendet werden.

Seit letztem Jahr wird zusätzlich auf Mobile Clients gesetzt, für Android oder für iOS stehen stabile Veröffentlichungen zur Verfügung.

Auch im Hinblick auf unsichere Programme, wie Skype und Co, bietet Jitsi Meet mit ZRTP und OTR Verschlüsselung die richtige und sichere Alternative für Videotelefonie an.

Nein, keine stärkere Feder, oder stärkere Akkus, sondern eine kleine elektronische Spielerei.

Eingebaut wird der Mod in ein rein mechanisches NERF Scharfschützengewehr Longshot CS-6.

Es wird die verbliebene Munition angezeigt und ein LED Blitz ausgelöst, wenn die Schaumstoff Patrone durch den Lauf geschossen wird.

Umgesetzt wurde das mit Great Cow Basic. Einem Compiler, der Basic frisst und Assembler für PIC und AVR ausspuckt.

Ich habe an anderer Stelle bereits einen Artikel über Great Cow Basic geschrieben und einen Bericht über ein damit realisiertes Projekt angekündigt. Nun, hier kommt der Bericht.

Die Anzeige erfolgt auf einem  128x32 Pixel Display (Suchbegriff I2C SDD1306 0.91 128x32 OLED)

Die Anzeige ist nur ca. 2.31 cm groß, das komplette Display hat ungefähr 3,5cm, damit eignet es sich ideal zum Einbau in das Zielfernrohr.

Funktionsbeschreibung der Software:

Die Bilder sind von einem frühen Prototyp, die Qualität der Bilder bitte ich zu entschuldigen. Von der endgültigen Version werden hoffentlich schärfere nachgereicht. Allerdings hat auch das Grenzen, denn das Display hat nur kleine Abmessungen. In Natura sieht das Display erhelbich besser aus, es ist eine Freude, dieses Display in Aktion zu sehen.

Einschalt Screen

Nach dem Initialisieren wird ein Begrüßungsbildschirm gezeigt, der die aktuelle Spannung des verwendeten Li Ion Akkus anzeigt. Basis der Berechnung ist die Betriebspannung von 5 Volt, welche konstant gehalten wird. In Abhängigleit von der Akkuspannung wird ggfs. ein anderer Text ausgegeben. Bitte beachten.

Man kann nun einfach warten, bis zur Hauptanzeige gewechselt wird, oder aber die UP Taste drücken, um direkt zur Hauptanzeige zu springen.

Main Screen

Die Hauptanzeige zeigt in großen Ziffern die Anzahl der verbliebenen Munition. Rechts daneben ist die Füllstandsanzeige der Akku Spannungsversorgung angezeigt. Wenn die Spannung unter dem Schwellwert von ca. 3V gesunken ist, wechselt der Schriftzug "UP-DOWN->Setup " mit dem Hinweis auf "charge!". Die Funktion ist noch eine Weile sichergestellt, jedoch sollte der Akku bald geladen werden. Wenn die Spannung des Akkus unter 2.5 V gefallen ist, wechselt die Anzeige zu "Alert!". Nun muss unbedingt das System ausgeschaltet und der Akku geladen werden, sonst wird der Akku beschädigt. Im Sourcecode sind die Schwellen individuell einstellbar, so dass man auch Batterien, oder einen anderen Akku Typ verwenden kann und trotzdem etwas von der Kapazitätsanzeige hat

Wenn die verbliebene Munition nur noch 3 Patronen oder weniger beträgt, beginnt die Ziffer zu blinken und die Anzeige in der Helligkeit zu pulsieren.

Nach Wechsel des Magazins (Reed Kontakt Magazin) geht die Anzeige wieder auf den Standardwert von 30.

Die Helligkeit der Anzeige kann mit dem Poti beeinflußt werden. Die Tasten UP und Down dienen zur Bedienung des Einstellmenüs.

Flashtime Screen

Beide Tasten gleichzeitig gedrückt, lassen das Einstell Menü erscheinen. Hier kann mit den Tasten der Flash Timer eingestellt werden, also die Dauer eines Lichtblitzes. Während dieses Einstellmenü gezeigt, wird, kann trotzdem der Trigger betätigt werden, man ist also nicht wehrlos! Der von Links nach Rechts immer länger werdende Balken zeigt die Restzeit an, bis das Menü automatisch verlassen wird.

Rounds Screen

Durch erneutes gleichzeitiges Drücken von UP und Down gelangt man in das Einstellmenü für die Munition

Hier kann man die Anzahl der Patronen einstellen, die beim Magazinwechsel als "Voll" geladen eingestellt werden. Der von Links nach Rechts immer länger werdende Balken zeigt die Restzeit an, bis das Menü automatisch verlassen wird. Wenn man UP und DOWN gleichzeitig drückt, wird die eingestellte Munition dauerhaft gespeichert.

Weitere Beschreibung und auch neue Fotos wie z.B. dieses, auf der englischsprachigen Seite

Nach Pfingsten wird es hoffentlich dort auch endlich ein Action Video geben, vorausgesetzt, die Waffe überlebt den F.A.T.E Con

Da ich wegen meines Notebooks immer eine aktuelle stabile Vanilla-Version von Linux einsetze, habe ich mir in der Vergangenheit angewöhnt regelmäßig bei „www.kernel.org“ nachzuschauen, welches gerade die aktuellste stabile Linux-Version ist. Danach führte der Weg immer zum „Mainline-PPA„ um dort dann die die Debian-Pakete des Kernels herunterzuladen. Diese sind in der Regel kurz nach der Freigabe einer neuen Version verfügbar. Da ich ein bequemer Mensch bin und mir vor allem das händische Herunterladen irgendwann auf den Geist ging, habe ich ein kleines Skript geschrieben, welches diese Schritte automatisiert:

Das Skript schaut auf der Kernel-Webseite nach, welches die aktuellste stabile Version ist und lädt dann aus dem Mainline-PPA die passenden Dateien herunter für den eingesetzten CPU-Typ herunter. Das Skript hat noch drei Parameter, welche für alle selbsterklärend sind, die schon einmal einen Kernel aus dem Mainline-PPA heruntergeladen haben. Das Skript prüft selbstständig ob die CPU und der Kerneltyp zusammenpassen (z.B. macht es keinen Sinn zu versuchen einen „i386“-Kernel vom Typ „snapdragon“ herunterzuladen. Letzteren gibt es nur für den CPU-Typ „arm64“) und lässt nur den Download einer verfügbaren Kombination zu.

Das Skript ist in Python3 geschrieben und benötigt zwei Python-Module, welche aber in allen noch unterstützten Ubuntu und Debian-Versionen vorhanden sind:

sudo apt install python3-urllib3 python3-lxml

Das Skript habe ich auf Github gehostet: https://github.com/glasen/download_kernel

Direkter Download des Skripts: download_kernel.py

Was hatte Zockertown lange nicht?

Richtig eine Besprechung eines coolen rundenbasierten Games.

Nun, da gibt es richtig gute Neuigkeiten.

Einer der Schöpfer und Hauptdesigner der originalen XCOM-Spiele, Julian Gollop hat im Rahmen einer Croud Gründungskampagne die Entwicklung von Phoenix Point begonnen. Erscheinungstermin wird wohl erst im Juni 2019 erscheinen.

Da ich erklärter XCOM Fanatiker bin, habe ich natürlich auch meinen Obulus geleistet. Als kleinen Dank kann ich seit dem 15.5. 2018 das sogenannte Backer Build 1.2 spielen. Und zwar nativ unter Linux.

Das Original ist ja von 1994, es lief noch mit DOS, Linux war da in etwa bei dem  Stand 1.0 und an eine Emulation von DOS war damals noch nicht zu denken, obwohl ich es bereits nutzte.

Doch nun zum Backer Build 1.2:

Es ist eine Mission "Fort Freiheit" spielbar, in ein paar interessanten Varianten.

Natürlich ähnelt das Spielgefühl dem der XCOM Reihe von Fireaxis, es gibt aber einen großen Unterschied.

Das Ziel/Schaden System ist neu erfunden, obwohl man sowas bereits in anderen Spielen gesehen hat, gab es das in dem Sinne nicht bei Xcom.

Man kann, wenn man will, frei zielen und einen Schwachpunkt in der Rüstung / Verteidigung des Gegners finden.

Neu (bzw. erneut wie im Original) gibt es Friendly Fire, wenn man nicht aufpasst, schiesst man seinem Kameraden in den Rücken, was der sicher nicht witzig findet, oder er bekommt einen Querschläger ab.

Ein zweiter Unterschied zum Original sind die Bossgegner, die aufzuhalten gelingt nur, wenn man gezielt Schwachpunkte aufspürt.

Munition ist ziemlich knapp, man findet aber Nachschub auf der Map

Im Netzt gibt es zu Hauf Videos, die ihr euch ansehen könnt, damit will ich euch nicht langweilen. Ich möchte nur ein paar Teilaspekte darstellen.

Ich bin über das aktuelle Marketing, wenn man es denn so nennen will positiv überrascht.

Es ist gestern der 2te Backer Build gewesen, der erste allergings mit einem Linux und Mac Client.

Es ist vorgesehen ca. alle 2 Monate oder auch häufiger einen neuen Build zur Verfügung zu stellen. Im Game kann - und soll- man bei aufgefallenen Bugs das Entwickler Team benachrichtigen.

Die hören allerdings nicht nur über diesen Kanal von den Spielern, sondern auch über ein eigens eingerichtetes Forum, wo die Spieler ihre Kritik und Vorschläge zum Game mitteilen und diskutieren.

Ich habe den Eindruck, dass dort auch auf die Strömungen reagiert wird und sie sich Mühe geben ein umfassendes großartiges Spiel abzuliefern.

Ein Screenshot utility ist für das Bug Meldesystem integriert, leider nicht für normale Screenshots, deshalb habe ich das Game im Fenstermodus gestartet, um leichte Screenshots zu machen. Das Game läuft aber in Fullscreen Mode einwandfrei.

Zum konkreten Backer Build schreibe ich noch später etwas mehr....

Foto: © Rogatnev / Fotolia.com

Die Meldung gehört eigentlich in die Kategorie "In China ist ein Sack Reis umgefallen". Mail-Verschlüsselung ist zwar wichtig, aber derart wenig verbreitet, dass praktisch nur eine kleine Minderheit von diesem Problem betroffen ist. Forscher fanden heraus, dass die E-Mail Verschlüsselung mittels S/MIME und PGP nicht sicher ist. Sicherheitsprobleme haben heutzutage immer hashtagtaugliche Namen, dieses Mal: EFAIL.

Die Presseberichterstattung reicht von Katastrophe bis halb-so-wild. Daher einige Links für den Überblick:

1. Heise - PGP und S/MIME: E-Mail-Verschlüsselung akut angreifbar
2. Heise - PGP und S/MIME: So funktioniert Efail
3. Golem - Angreifer können sich entschlüsselte E-Mails schicken lassen
4. EFF - Attention PGP Users: New Vulnerabilities Require You To Take Action Now

Hinzu kommen noch viele mehr oder minder gut informierte Artikel in der Presse. ZEIT ONLINE, SPON, Süddeutsche - alle berichten darüber.

Einige Stimmen warnen auch vor übertriebener Panik. Gerne auch mit dem Hinweis, dass man doch seit Jahren vor HTML in E-Mails warnt.

Grundsätzlich ist das nicht falsch, es zeigt aber leider mal wieder, dass viele Sicherheitsexperten in einem Paralleluniversum leben. HTML ist in E-Mails heute außerhalb von Open Source-Mailinglisten weit verbreitet. Das Nachladen von externen Inhalten in der Regel voreingestellt. Die Sicherheitslücke ist deshalb real und eine Warnung nicht übertrieben.

Nun wird man abwarten müssen ob die E-Mail Programme und Protokolle entsprechend abgesichert werden. Diese Lücke hat leider das Potenzial die sowieso schon kaum verbreitete Mailverschlüsselung weiter zu diskreditieren.

Eine Übersicht der verwundbaren E-Mail Programme findet sich auf Seite 11 des Papers. Bezeichnend ist mal wieder, dass Thunderbird von allen Open Source-Programmen am verwundbarsten ist.

Foto: © Rogatnev / Fotolia.com

Die Meldung gehört eigentlich in die Kategorie "In China ist ein Sack Reis umgefallen". Mail-Verschlüsselung ist zwar wichtig, aber derart wenig verbreitet, dass praktisch nur eine kleine Minderheit von diesem Problem betroffen ist. Forscher fanden heraus, dass die E-Mail Verschlüsselung mittels S/MIME und PGP nicht sicher ist. Sicherheitsprobleme haben heutzutage immer hashtagtaugliche Namen, dieses Mal: EFAIL.

Die Presseberichterstattung reicht von Katastrophe bis halb-so-wild. Daher einige Links für den Überblick:

1. Heise - PGP und S/MIME: E-Mail-Verschlüsselung akut angreifbar
2. Heise - PGP und S/MIME: So funktioniert Efail
3. Golem - Angreifer können sich entschlüsselte E-Mails schicken lassen
4. EFF - Attention PGP Users: New Vulnerabilities Require You To Take Action Now

Hinzu kommen noch viele mehr oder minder gut informierte Artikel in der Presse. ZEIT ONLINE, SPON, Süddeutsche - alle berichten darüber.

Einige Stimmen warnen auch vor übertriebener Panik. Gerne auch mit dem Hinweis, dass man doch seit Jahren vor HTML in E-Mails warnt.

Grundsätzlich ist das nicht falsch, es zeigt aber leider mal wieder, dass viele Sicherheitsexperten in einem Paralleluniversum leben. HTML ist in E-Mails heute außerhalb von Open Source-Mailinglisten weit verbreitet. Das Nachladen von externen Inhalten in der Regel voreingestellt. Die Sicherheitslücke ist deshalb real und eine Warnung nicht übertrieben.

Nun wird man abwarten müssen ob die E-Mail Programme und Protokolle entsprechend abgesichert werden. Diese Lücke hat leider das Potenzial die sowieso schon kaum verbreitete Mailverschlüsselung weiter zu diskreditieren.

Eine Übersicht der verwundbaren E-Mail Programme findet sich auf Seite 11 des Papers. Bezeichnend ist mal wieder, dass Thunderbird von allen Open Source-Programmen am verwundbarsten ist.

Mann, ist das lange her.

Mein letzter Eintrag hier in Zockertown, der mit Kernel Compilierung zu tun hatte, ist ca. 9 Jahre her.

Seit dem bin ich offenbar immer mit dem Standard Kerneln von Debian ausgekommen.

Komme ich immer noch, aber im aktuellen Testing "Buster" habe ich zwei kleine Ärgernisse, die ich untersuchen bzw. beheben möchte. Zum Beispiel funktioniert seit dem Debian linux-image-4.15.03-amd64 das einstellen der Hintergrundhelligkeit auf meinem Tuxedo XC1506 nicht mehr per Fn Tasten, sondern nur noch mit xbacklight.

Die Ursache ist die fehlende Infrastruktur unter /sys/class/backlight/ 

Deshalb dachte ich, ich probiere mal einen neuen Kernel und gucke mir die .config genauer an, was übrigens in heutigen Zeiten nicht ohne ist, man kämpft sich durch mehr als 8000 Zeilen....

Der von Buster bereitgestellte und installierte Kernel ist: linux-image-4.16.0-1-amd64

Mein compilierter Kernel ist der derzeitige Stable 4.16.8

Die Fehlermeldung:

 *** Keine Regel vorhanden, um das Ziel „debian/certs/test-signing-certs.pem“, 
  benötigt von „certs/x509_certificate_list“, zu erstellen.  Schluss.
Makefile:1060: die Regel für Ziel „certs“ scheiterte

wird durch die Config Optionen CONFIG_SYSTEM_TRUSTED_KEYS="" und auskommentieren / entfernen von CONFIG_SYSTEM_EXTRA_CERTIFICATE vermieden

#Kernel compilieren

time make-kpkg -j 8 --initrd --revision 100.0 kernel_image modules_image

real 29m53,385s

user 180m22,725s

sys 15m53,992s

Die Namensgebung ist ungeschickt, aber für meine Zwecke ausreichend, wichtig ist, dass ich die gebauten Kernel auseinander halten kann.

So. Neuer Kernel läuft nun, Helligkeitseintellung mit den Fn Tasten geht wieder, das zweite Ärgernis, nämlich die Fn Taste für Flugmodus geht immer noch nicht wieder, das ist mir aber erstmal nicht so wichtig, hat bestimmt ähnliche Ursachen.. 

[Breaking] Wie Sebastian Schinzel, Professor an der Fachhochschule Münster schreibt, sind momentan die Implementierungen zu den verbreiteten Verfahren PGP und S/MIME zur Verschlüsselung von E-Mails akut angreifbar. Siehe Tweet:

Auch die EFF warnt nun und rät, bis auf Weiteres die Verschlüsselung zu deaktivieren und andere Kanäle zu nutzen. Weitere Informationen sollen morgen folgen.

[Update 13:28 Uhr] BSI-Pressemitteilung zur Thematik

[Update 13:29 Uhr] Änderung im Text: die Implementierungen sind angreifbar, die Verfahren selbst sollen nach aktuellem Stand noch sicher sein

[Update 13:46 Uhr] Artikel von Netzpolitik.org. Es geht scheinbar in erster Linie um aktive Inhalte. EFail.de ist eine Übersichtssetie zur Thematik. Hier befindet sich das dazugehörige Paper.

[Update 13:50 Uhr] Zusammengefasst:

In a nutshell, EFAIL abuses active content of HTML emails, for example externally loaded images or styles, to exfiltrate plaintext through requested URLs.

– https://efail.de/

[Update 13:56 Uhr] Empfehlenswert im Paper ist Seite 11, Table 4. Hier ist aufgelistet, bei welchen Clients akuter Handlungsbedarf herrscht. Mozilla Thunderbird soll demnach sehr angreifbar sein (S/MIME und alle PGP-Varianten), Evolution nur bei S/MIME und der Kommandozeilenclient Mutt – oh Wunder – gar nicht (der weiß mE nicht Mal, wie er ein Bild aufrufen kann, aber das rettet ihn scheinbar). Roundcube-Admins aufgepasst: hier muss auch gehandelt werden.