Great Cow BASIC Version 0.98.04 ist verfügbar.

Das Great Cow BASIC-Entwicklungsteam hat eine weitere Version veröffentlicht, die die Compiler-Funktionen von Great Cow BASIC weiter verbessert.

IDE 
Verbesserungen des Befehlssatzes für den IDE-Lexer

ADC
- zum Schutz von ADFM auf 10F-Geräten im READAD-Verfahren
- Bibliothek aktualisiert, um 16F1834x ADC-Kanäle mit CHS5-Bit zu unterstützen.

Linux
- Überarbeitete Installationsskripte zur Unterstützung von           Kleinbuchstaben und verbesserter Installation
- Aktualisierte Dateien in Kleinbuchstaben. Keine Funktionsänderung

PPStool
- Es wurde ein Problem behoben, bei dem RX-Pins als Ausgänge und nicht als Eingänge gesetzt wurden (PIC18FxxK42 und ähnliche).
- Fehler behoben, der dazu führte, dass i2c-Pins für 18F*k42 gesetzt wurden.

GLCD
- NT7108C GLCD-Treiber hinzugefügt
- GLCD_SDD1289.h aktualisiert, um veraltete Methoden zu entfernen.
- Aktualisierter ST7735 GLCD-Treiber.  Neue OLED-Schriftunterstützung und allgemeines Update auf den neuesten GLCD-Standard und Überarbeitung auf TFT-Farben.

- GLCDCLS wurde aktualisiert, um viel schneller zu sein und GLCDRotate wurde aktualisiert, um Bits zu unterstützen[849].
- GLCD.h aktualisiert, um dumme Skriptfehler zu entfernen.

USART
- Korrekte fehlerhafte Einstellung von SYNC auf K42/83

PWM
- PWM hinzugefügt PWM hinzugefügt PWM8 hinzugefügt
- Die Bibliothek wurde aktualisiert, um ENablebits zu unterstützen.

PSMC
- PSMCDesigner Toolset hinzugefügt

Gerätedateien
- Aktualisiert 16F178x für ReadAD10BitForceVariante

Programmierer DFU
- Aufnahme des DFU USB-Programmierwerkzeugsatzes in den Windows Installer.

GCGB       
- Überarbeitung von GCGB

Festplattenverschlüsselung ist unter Linux ein effektiver Weg, die Daten gegen unbefugten Zugriff zu sichern. Was allerdings tun, wenn das Passwort vergessen wurde?

Für diesen eher unschönen Fall gibt es eine Anleitung von Red Hat und eine ausführlichere Erklärung im StackExchange.

Generell gilt: man ist dann im Vorteil, wenn man entweder mit mehreren LUKS-Keys arbeitet (ja, man kann i.d.R. bis zu 8 Passphrasen zur Entschlüsselung der Platte nutzen) und man z.B. eine besonders komplexe Passphrase irgendwo aufgeschrieben hat, täglich mit einer "Daily Passphrase" arbeitet und im Verlustfall einer dieser Passphrasen auf eine jeweils andere gültige zurückgreifen kann.

Ist dieser Schritt allerdings vergessen worden und die Maschine ist mit der entsperrten Festplatte noch an, hat man Glück: hier kann man einfach eine neue Passphrase hinzufügen.

Gehen wir davon aus, dass es sich bei der verschlüsselten Platte um z.B. die /dev/sda5 handelt. Das hinzufügen über

cryptsetup luksAddKey /dev/sda5

würde in einer Abfrage eines bisherigen Keys enden. Dieser ist allerdings gar nicht notwendig, wenn wir an den Masterkey kommen, der normalerweise im Betrieb unter /dev/mapper/ liegt.

Also führen wir folgendes Kommando aus:

cryptsetup luksAddKey <DEVICE> --master-key-file <(dmsetup table --showkey /dev/mapper/<MAP> | awk '{print$5}' | xxd -r -p)

und passen es mitunter auf unser Szenario an, unter DEVICE also die Platte und unter MAP die Mapper-Datei, z.B.

cryptsetup luksAddKey /dev/sda5 --master-key-file <(dmsetup table --showkey /dev/mapper/sda5_crypt | awk '{print$5}' | xxd -r -p)

Auf diese Weise lässt sich ein Key hinzufügen, ohne die bestehende Passphrase zu kennen.

Der Hintergrund ist ganz einfach erklärt: LUKS/dm-crypt verschlüsselt nicht mit einer Passphrase, sondern mit einem Masterkey. Die Passphrasen in den Keyslots sind der durch die Passphrase verschlüsselte Masterkey. Um einen neuen Key nun anzulegen, muss nun der Masterkey vorliegen. Dies geschieht entweder durch Entschlüsselung einer der Keyslots oder durch den "offenen" Masterkey in der Map file.

Hallo,

Long time no read.

Mehr ein Snippet als ein echter Beitrag.

Verwendet wird der der metadata_exporter von Rspamd. Eine Mail wird gesendet, wenn das Ratelimit auslöst und die Mail von einem authentifizierten Benutzer kommt. Das kann im LUA-Script entsprechend angepasst werden.

Hier die „local.d/metadata_exporter.conf“:

rules {
  RLINFO {
    backend = "send_mail";
    smtp = "localhost";
    smtp_port = 25;
    mail_to = "ratelimit@localhost";
    selector = "ratelimited";
    formatter = "email_alert";
  }
}
custom_select {
  ratelimited = <<EOD
return function(task)
  local ratelimited = task:get_symbol("RATELIMITED")
  local uname = task:get_user()
  if uname and ratelimited then
    return true
  end
  return
end
EOD;
}

Und die entsprechende „local.d/ratelimit.conf“, um das Info-Symbol zu setzen:

info_symbol = "RATELIMITED";

In diesem Beispiel pipe ich es via ratelimit@localhost an ein Python-Script, das die Nachricht an einen Slack Channel sendet:

Das Alias sieht dann etwa so aus:

ratelimit:      |/usr/local/bin/slack_alert.py

Das Python Script /usr/local/bin/slack_alert.py:

#!/usr/bin/env python

import json
import requests
import sys
import email

webhook_url = 'https://hooks.slack.com/services/AAAAAAAA/BBBBBBB/CCCCCCCCCCCCCCCCCCCCCCC';
slack_data = sys.stdin.read()
if not slack_data:
  print "No data"
  exit

msg = email.message_from_string(slack_data)

response = requests.post(
    webhook_url, json={"text": msg.get_payload()},
    headers={'Content-Type': 'application/json'}
)
if response.status_code != 200:
    raise ValueError(
        'Request to slack returned an error %s, the response is:\n%s'
        % (response.status_code, response.text)
)

Nach einem SSH-Login auf einem Ubuntu-Server werden Sie aktuell mit ca. 40 Zeilen Text beglückt, die eine Mischung aus sinnvollen Informationen sowie Werbung für Zusatzdienste von Canonical sind. Das Ganze sieht so ähnlich aus wie das folgende Muster:

ssh ein-u1804-server

Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-15-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  System information as of Thu Dec 13 16:46:12 CET 2018

  System load:  0.0                Processes:           135
  Usage of /:   33.0% of 18.61GB   Users logged in:     1
  Memory usage: 37%                IP address for ens3: 1.2.3.4
  Swap usage:   6%

  => There is 1 zombie process.

 * MicroK8s is Kubernetes in a snap. Made by devs for devs.
   One quick install on a workstation, VM, or appliance.

   - https://bit.ly/microk8s

 * Full K8s GPU support is now available! Get it in MicroK8s, CDK,
   and on GKE with Ubuntu workers.

   - https://blog.ubuntu.com/2018/12/10/using-gpgpus-with-kubernetes

 * Canonical Livepatch is available for installation.
   - Reduce system reboots and improve kernel security. Activate at:
     https://ubuntu.com/livepatch

149 packages can be updated.
0 updates are security updates.


*** System restart required ***
You have mail.
Last login: Nov 19 15:50:28 2018 from 5.6.7.8

Weniger ist mehr

Der beim Login angezeigte Text wird unter Ubuntu durch mehrere Scripts generiert, die sich im Verzeichnis /etc/update-motd.d befinden. Für die eigentliche Anzeige ist das PAM-Modul pam_motd zuständig. (Details und Hintergrundinformationen gibt man update-motd. Die Abkürzung motd steht für Message of the Day.)

Die radikalste Lösung zur Minimierung der Login-Nachrichtenflut besteht darin, einfach bei allen Scripts in /etc/update-motd.d das Execute-Bit zu entfernen:

sudo chmod -x /etc/update-motd.d/*

Statt mit dem Holzhammer können Sie aber auch differenzierter vorgehen und nur die Scripts deaktivieren, die am lästigsten sind:

cd /etc/update-motd.d
sudo chmod -x 10-help-text 50-landscape-sysinfo 50-motd-news

Ein neuerlicher Login zeigt eine stark reduzierte Willkommensbotschaft:

ssh ein-u1804-server

Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-15-generic x86_64)

 * Canonical Livepatch is available for installation.
   - Reduce system reboots and improve kernel security. Activate at:
     https://ubuntu.com/livepatch

149 packages can be updated.
0 updates are security updates.

*** System restart required ***
You have mail.
Last login: Thu Dec 13 16:46:13 2018 from 5.6.7.8

Quellen

https://askubuntu.com/questions/676374

Will man bei tmux ein neues Fenster oder ein neues vertikales oder horizontales Pane im aktuellen Verzeichnis öffnen so muss man in der Konfiguration ~/.tmux.conf folgende Werte eintragen

bind c new-window -c "#{pane_current_path}"
bind '"' split-window -h -c "#{pane_current_path}"
bind % split-window -v -c "#{pane_current_path}"

In einer laufenden tmux Session kann man die neue Konfiguration neu einlesen mit

tmux source-file ~/.tmux.conf

Mozilla hat Firefox 64 veröffentlicht. Auch Firefox 64 ist wieder randvoll gefüllt mit Neuerungen. Dieser Artikel fast die wichtigsten Neuerungen zusammen.

Download Mozilla Firefox für Microsoft Windows, Apple macOS und Linux

Mehr Sicherheit für Firefox-Nutzer

Geschlossene Sicherheitslücken

Auch in Firefox 64 hat Mozilla wieder zahlreiche Sicherheitslücken geschlossen, worunter auch einige sind, welche von Mozilla als besonders schwerwiegend eingestuft werden. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 64 daher für alle Nutzer dringend empfohlen.

Entzug des Vertrauens für Symantec-Zertifikate

Symantec hatte aufgrund verschiedener Vorfälle das Vertrauen der Browserhersteller verloren. Aus diesem Grund unterstützt Firefox nicht länger Zertifikate von Symantec. Dies betrifft ebenfalls die zu Symantec gehörenden CAs Thawte, VeriSign, Equifax, GeoTrust sowie RapidSSL. Webseiten, welche noch immer ein Zertifikat der Symantec-Gruppe nutzen, können also nicht länger aufgerufen werden.

Verbesserte Performance auf macOS & Linux

Mozilla hat die Performance von Firefox auf Apple macOS und Linux durch Aktivierung von Compiler-Optimierungen (Clang LTO) verbessert. Auf Windows wurde die entsprechende Optimierung bereits in Firefox 63 aktiviert.

Mit mehreren Tabs gleichzeitig interagieren

Bisher konnte immer nur maximal ein Tab gleichzeitig verschoben oder geschlossen werden. Ab sofort können mehrere Tabs mit gedrückter Strg-Taste (macOS: Cmd) markiert und per Kontextmenü gleichzeitig zum Beispiel geschlossen, verschoben, angepinnt oder stumm geschaltet werden. Mit gedrückter Shift-Taste lässt sich dabei eine ganze Reihe von Tabs markieren, um mit diesen zu interagieren.

Task-Manager zeigt Energie-Verbrauch an

Wer sich dafür interessiert, welche Webseiten und Erweiterungen den Browser besonders beanspruchen, findet ab Firefox 64 einen integrierten Task-Manager im Mozilla-Browser. Dieser kann über das Firefox-Menü (unter Sonstiges) oder per Eingabe von about:performance in die Adressleiste erreicht werden.

Der Task-Manager zeigt den Energieverbrauch von Webseiten und Erweiterungen an. Neben einem Zahlenwert vereinfacht eine Kategorisierung wie beispielsweise „Niedrig“, „Mittel“ oder „Hoch“ die Einordnung dieses Wertes in einer Weise, wie sie für jeden Nutzer verständlich ist. In Firefox 65 kommt eine weitere Spalte dazu, welche den Speicherverbrauch der jeweiligen Webseite respektive Erweiterung anzeigt.

USA: Empfehlungen von Funktionen und Erweiterungen

Mit dem Contextual Feature Recommender (CFR) hat Mozilla ein System implementiert, welches dem Nutzer kontextbasierte Empfehlungen machen kann. Werden beispielsweise mehrere Tabs geöffnet und diese wiederholt verwendet, schlägt Firefox unter Umständen die Verwendung der Funktion angepinnter Tabs vor. Firefox kann aber auch Erweiterungen vorschlagen. In Firefox 64 sind Empfehlungen für die Erweiterungen Facebook Container (von Mozilla selbst), Enhancer for YouTube sowie To Google Translate implementiert.

Die Empfehlungen erfolgen dabei auf einer lokalen Basis, es werden bei diesem Vorgang also keine Daten an Mozilla übertragen. Die Neuerung steht zunächst nur für Nutzer in den USA zur Verfügung und kann in den Firefox-Einstellungen jederzeit deaktiviert werden.

Design des Add-on Managers überarbeitet

Mozilla plant für das kommende Jahr eine größere Neugestaltung des Add-on Managers von Firefox, über welchen Nutzer Erweiterungen und Themes verwalten können. Vorher dürfen sich Nutzer aber über ein kleineres Facelift in Firefox 64 freuen, welches die Benutzbarkeit verbessern soll.

Was als erstes auffällt, ist die Verwendung eines sogenannten „Card Designs“, das heißt, dass jede Erweiterung und jedes Theme in der Auflistung in einer eigenen Box dargestellt wird. Dabei ist jede dieser Boxen über die gesamte Fläche klickbar, um in die Detailansicht zu gelangen. Ein Doppelklick ist hierfür also nicht länger notwendig.

Praktisch ist eine Neuerung für die Verwaltung von Themes. So wird für vom Nutzer installierte Themes nun direkt in der Auflistung ein Vorschaubild angezeigt. Es ist also nicht länger notwendig, in die Detailansicht zu gehen oder ein Theme gar zu aktivieren, um zu sehen, was für Themes installiert sind.

Links unten im Add-on Manager befinden sich in Zukunft außerdem jeweils ein Link zur entsprechenden Hilfe-Seite von Mozilla, wie man es aus den Firefox-Einstellungen bereits kennt, sowie ein Direktlink zu den Firefox-Einstellungen. Umgekehrt gibt es in den Firefox-Einstellungen an dieser Stelle jetzt auch einen Link, um den Add-on Manager zu öffnen. So wird dieser einfacher zugänglich für Nutzer, welche in den Firefox-Einstellungen nach Add-ons suchen.

Design von about:crashes überarbeitet

Auch das Design der Seite about:crashes wurde überarbeitet. Dabei wurde deutlicher gemacht, wenn ein Absturzbericht an Mozilla übermittelt wird, sowie dass ein lokales Entfernen des Absturzberichtes bereits übermittelte Absturzberichte nicht von crash-stats.mozilla.com entfernt.

Keine Feed-Vorschau und dynamische Lesezeichen mehr

Mozilla hat die Unterstützung von RSS- und Atom-Feeds aus Firefox entfernt. Konkret bedeutet dies, dass es bei Aufruf einer Feed-URL keine Vorschau in Firefox mehr gibt. Auch die sogenannten dynamischen Lesezeichen existieren nicht länger in Firefox. Für bereits vorhandene dynamische Lesezeichen hat Firefox automatisch eine Sicherung in Form einer OPML-Datei auf dem Desktop angelegt, welche von anderen Feed-Readern verstanden wird. Die dynamischen Lesezeichen selbst hat Firefox automatisch in normale Lesezeichen umgewandelt.

Die Gründe für die Entfernung wurden in einem gesonderten Artikel ausführlich behandelt. Mozilla hat eine Sammlung von Erweiterungen angelegt, welche als Ersatz dienen können.

Native Sharing-Option auf Windows 10

Per Klick auf das Symbol mit den drei Punkten in der Adressleiste erhalten Nutzer von Windows 10 Zugriff auf die native Sharing-Option des Betriebssystens, um die aktuelle Webseite mit anderen zu teilen. Für Nutzer älterer Windows-Versionen steht diese Funktion nicht zur Verfügung. Für Nutzer von Apple macOS wurde eine native Sharing-Integration bereits in Firefox 61 implementiert.

Verbesserungen für Firefox-Erweiterungen (WebExtensions)

Per Rechtsklick auf das Symbol einer Erweiterung lässt sich nicht mehr nur schnell die Detailseite der Erweiterung im Add-on Manager von Firefox aufrufen, auch eine Deinstallation der Erweiterung ist hierüber nun ohne Umwege möglich.

Der Dialog, welcher nach Installation einer Erweiterung erscheint, verschwindet nicht länger sofort, wenn die Erweiterung bei Installation automatisch eine Webseite öffnet.

Hat eine Erweiterung Kontrolle über die Web-Benachrichtigungen, wird dies nun in den Firefox-Einstellungen angezeigt, vergleichbar zu anderen wichtigen Firefox-Einstellungen.

Auch für Entwickler von WebExtensions gibt es wieder einige neue APIs und Verbesserungen bestehender APIs. So gab es, nachdem es bereits in Firefox 63 eine Vielzahl an Verbesserungen der Kontextmenü-API gab, für eben jene noch einen Haufen weiterer Verbesserungen.

Für PageActions kann nun festgelegt werden, ob das Erweiterungs-Symbol standardmäßig in der Adressleiste erscheinen soll oder in dem Menü hinter der Schaltfläche mit den drei Punkten.

Alle Neuerungen an der WebExtension-Front werden hier beschrieben.

Verbesserungen der Webplattform

Unterstützung von WebVR auf Apple macOS

In Firefox für Windows ist die Unterstützung für Virtuelle Realität bereits seit Firefox 55 aktiviert. Für Apple macOS wurde die Unterstützung ursprünglich in Firefox 60 aktiviert, dann auf Grund von Problemen zum damaligen Zeitpunkt in Firefox 60.0.1 wieder deaktiviert. Die Probleme sind gelöst und Mozilla hat die Unterstützung für WebVR auf Apple macOS nun für Firefox 64 aktiviert.

Sonstige Verbesserungen der Webplattform

Firefox 64 hat eine Unterstützung für die CSS scrollbar-Spezifikation erhalten. In CSS Gradients wird nun auch die kürzere Syntax in der Form „yellow 25% 50%“ anstelle der Syntax „yellow 25, yellow 50%“ unterstützt. Außerdem unterstützt Firefox nun die CSS-Eigenschaft -webkit-appearance. Die Wert list-item für die CSS-Eigenschaft display wird jetzt auch beim legend-Element unterstützt. Die Fullscreen-API funktioniert in Zukunft ohne -moz-Präfix. Außerdem unterstützt Firefox jetzt die Referrer Policy für CSS.

Weitere Informationen zu Verbesserungen der Webplattform in Firefox 64 finden sich in den MDN web docs.

Neuerungen für Webentwickler

Kontrastverhältnis auf Webseiten prüfen

Barrierefreiheit ist ein Aspekt auf Webseiten, welcher von Entwicklern leider viel zu häufig vernachlässigt wird. Darunter fällt auch die Lesbarkeit von Schrift, die sich aus dem Kontrastverhältnis zwischen Hintergrund- und Textfarbe ergibt.

Ab Firefox 64 gibt es im Entwicklerwerkzeug für Barrierefreiheit in diesem Zusammenhang eine praktische Neuerung: wird mit der Maus über einen Textknoten herübergefahren, zeigt Firefox das Kontrastverhältnis an der entsprechenden Stelle an. Gibt es an dieser Stelle unterschiedliche Kontrastverhältnisse, weil der Text auf einem Farbverlauf oder Bild platziert ist, zeigt Firefox den Minimal- sowie den Maximalwert an. Da die meisten mit dem Kontrastverhältnis als Zahl vermutlich wenig anfangen können, zeigt Firefox außerdem in Form eines Icons an, ob das Kontastverhältnis gut oder schlecht ist.

Sonstige Neuerungen für Webentwickler

Der Responsive Design Modus (RDM) merkt sich die Einstellungen nun, wenn das Tool geschlossen und wieder geöffnet wird. Außerdem kann im RDM optional jetzt auch der User-Agent angezeigt werden.

Die Kommandozeile der Webkonsole unterstützt jetzt auch Syntax-Highlighting für JavaScript. Der CSS Grid-Inspektor unterstützt ab sofort bis zu drei CSS-Grids gleichzeitig. Die Zeit, welche der Inspektor zum Öffnen benötigt, wurde verbessert. Im Netzwerkanalyse-Panel zeigt ein Icon in der Spalte für den Dateinamen den Typ der Ressource an.

Weitere Informationen zu Änderungen für Webentwickler in Firefox 64 finden sich in den MDN web docs.

Enterprise Features

macOS: Unterstützung von Konfigurationsprofilen

Mit Firefox 60 hat Mozilla die sogenannte Enterprise Policy Engine eingeführt, welche vor allem Unternehmen eine einfache Anpassung von Firefox via GPO (Windows) oder eine policies.json-Datei (alle Betriebssysteme) erlaubt. Ähnlich zu GPO auf Windows unterstützt Firefox jetzt auch Konfigurationsprofile via .plist-Datei unter Apple macOS.

Neue Enterprise Policies

Firefox 65 unterstützt eine neue Policy, um die Oberflächen-Sprache von Firefox festzulegen. Die Policy für die Startseite wurde um eine Option erweitert, das Verhalten für den Start von Firefox festzulegen, nämlich ob Firefox mit der eingestellten Startseite, einer leeren Seite oder der letzten Browser-Sitzung starten soll. Darüber hinaus wurde die Policy für die Konfiguration der Zertifikate um eine Option erweitert, eigene Zertifikate zu laden. Außerdem erlaubt eine neue Policy das Hinzufügen von PKCS#11 Sicherheits-Modulen.

Tipp: Mit dem Enterprise Policy Generator wird die Konfiguration von Firefox zum Kinderspiel. Die aktuelle Version 4.2 ist bereits für Firefox 64 sowie Firefox ESR 60.4 angepasst.

Optionale Features

Zusätzliche Sprachen direkt über Firefox installieren

Die Installation zusätzlicher Sprachen für Firefox ist bislang etwas komplizierter, da dies die Installation eines Sprachpaketes über addons.mozilla.org plus das Setzen des korrekten Sprachcodes per about:config und einen manuellen Browser-Neustart erfordert. Wird über about:config der Schalter intl.multilingual.enabled auf true gesetzt, wird die neue Sprachverwaltung in den Firefox-Einstellungen aktiviert. Diese war zwar bereits in Firefox 63 optional vorhanden, ist allerdings erst mit Firefox 64 in der Lage, andere Sprachen direkt aus Firefox heraus herunterzuladen und anzuwenden. Außerdem lädt Firefox dabei auch automatisch auch die Rechtschreibkorrektur in der passenden Sprache herunter.

Windows 10: Benachrichtigungs-Integration in Windows Action Center

Für die Darstellung von Web-Benachrichtigungen kann Firefox ab Version 64 die nativen Benachrichtigungen von Windows 10 nutzen, welche außerdem im Windows Action Center angezeigt werden. Diese Neuerung ist derzeit noch deaktiviert und kann aktiviert werden, indem über about:config der Schalter alerts.useSystemBackend auf true gesetzt wird.

Suche nach vorherigen Konsolen-Eingaben

Wird per about:config der Schalter devtools.webconsole.jsterm.reverse-search auf true gesetzt, kann mittels F9 (Windows und Linux) respektive Ctrl + R (macOS) ein Suchmodus in der Webkonsole aktiviert werden, bei welchem während der Eingabe in die Kommandozeile vorherige Eingaben angezeigt werden, welche die eingegebene Zeichenkette beinhalten.

Neue Implementierung der Adressleiste

Mozilla arbeitet unter der Bezeichnung Quantum Bar an einer neuen Implementierung der Adressleiste, welche auch Awesome Bar genannt wird. Dazu muss über about:config der Schaltername browser.urlbar.quantumbar auf true gesetzt und ein neues Browser-Fenster geöffnet werden. Doch Achtung: In Firefox steht die Quantum Bar noch ganz am Beginn der Entwicklung und ist in dieser Form nicht benutzbar. Dies wird erst in einer späteren Firefox-Version relevant werden.

Sonstige Neuerungen in Firefox 64

Bei Verwendung des dunklen Themes sind nun auch die Sidebars von Firefox dunkel. Die Suchfunktion des integrierten PDF-Betrachters wurde verbessert: So funktioniert dort nun auch die Option, nur ganze Wörter zu suchen, außerdem wird ab sofort auch die Anzahl der gefundenen Treffer angezeigt. Beides war bereits für Webseiten implementiert, aber noch nicht für PDF-Dateien.

Unter about:studies werden nicht länger nur sogenannte Shield-Studien angezeigt, welche aus einem Add-on bestehen, sondern auch solche, welche nur eine Einstellung verändern.

Die Adressleiste wurde um eine Autovervollständigung für about:-URIs erweitert. Gibt der Nutzer beispielsweise about:c ein, schlägt Firefox automatisch Einträge wie about:config oder about:cache vor.

Bei der maximalen Anzahl an Content-Prozessen in den Firefox-Einstellungen können nun bis zu acht statt bis zu sieben Prozesse ausgewählt werden.

Auf Apple macOS wurde der Shortcut, um sowohl „www.“ am Beginn als auch „.com“ am Ende einer URL automatisch hinzuzufügen von Cmd + Enter auf Ctrl + Enter geändert. Außerdem wurde die Berechtigungs-Logik für die Verwendung von Kamera und/oder Mikrofon auf macOS Mojave optimiert.

Der Beitrag Mozilla veröffentlicht Firefox 64 – die Neuerungen erschien zuerst auf soeren-hentzschel.at.

Der Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Damit löst die Erweiterung den bekannten CCK2 Wizard in der Ära Firefox Quantum ab. Die neue Version 4.2 macht den Enterprise Policy Generator fit für Firefox 64 und Firefox ESR 60.4.

Download Enterprise Policy Generator für Firefox

Mit Firefox 60 und Firefox ESR 60 hat Mozilla die sogenannte Enterprise Policy Engine eingeführt. Die Enterprise Policy Engine erlaubt es Administratoren, Firefox über eine Konfigurationsdatei zu konfigurieren. Der Vorteil dieser Konfigurationsdatei gegenüber Group Policy Objects (GPO) ist, dass diese Methode nicht nur auf Windows, sondern plattformübergreifend auf Windows, Apple macOS sowie Linux funktioniert.

Zwar steht diese Erweiterung in keiner direkten Verbindung zum bekannten CCK2 Wizard, teilt aber die grundlegende Idee vom CCK2 Wizard, welcher in Firefox Quantum nicht mehr funktioniert. Der Enterprise Policy Generator wurde als Nachfolger vom CCK2 Wizard konzipiert – nur eben für Firefox Quantum und Enterprise Policies. Die Firefox-Erweiterung hilft bei der Zusammenstellung der sogenannten Enterprise Policies, so dass kein tiefergehendes Studium der Dokumentation und aller möglichen Optionen notwendig ist und sich Administratoren die gewünschten Enterprise Policies einfach zusammenklicken können. Mehr Informationen gibt es auf der Info-Seite zum Enterprise Policy Generator.

Neuerungen Enterprise Policy Generator 4.2.0

Der Enterprise Policy Generator zeigt nun einen Hinweis an, dass man sich ab Firefox 63 unter about:policies alle aktiven Policies sowie Fehler in der Datei „policies.json“ anzeigen lassen kann.

Eine neue Policy erlaubt die Festlegung der Oberflächen-Sprache von Firefox. Die Policy für die Startseite wurde um eine Option erweitert, das Verhalten für den Start von Firefox festzulegen, nämlich ob Firefox mit der eingestellten Startseite, einer leeren Seite oder der letzten Browser-Sitzung starten soll. Außerdem wurde die Policy für die Konfiguration der Zertifikate um eine Option erweitert, eigene Zertifikate zu laden.

Alle der genannten Policy-Erweiterungen funktionieren ab Firefox 64 respektive Firefox 60.3.1.

Roadmap

Wer sich für die Pläne der kommenden Versionen interessiert, findet hier die aktuelle Roadmap. Auch können an dieser Stelle Vorschläge für Verbesserungen gemacht werden.

Entwicklung unterstützen

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt vom Enterprise Policy Generator erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features zu implementieren.

Der Beitrag Firefox: Enterprise Policy Generator 4.2 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Die Entwicklerwerkzeuge von Firefox 64 haben eine neue Funktion erhalten, welche dabei hilft, Webseiten barrierefrei zu gestalten. Die neue Funktion erlaubt das Prüfen des Kontrastverhältnisses und damit der Lesbarkeit auf Webseiten.

Barrierefreiheit ist ein Aspekt auf Webseiten, welcher von Entwicklern leider viel zu häufig vernachlässigt wird. Darunter fällt auch die Lesbarkeit von Schrift, die sich aus dem Kontrastverhältnis zwischen Hintergrund- und Textfarbe ergibt.

Ab Firefox 64 gibt es im Entwicklerwerkzeug für Barrierefreiheit in diesem Zusammenhang eine praktische Neuerung: wird mit der Maus über einen Textknoten herübergefahren, zeigt Firefox das Kontrastverhältnis an der entsprechenden Stelle an. Gibt es an dieser Stelle unterschiedliche Kontrastverhältnisse, weil der Text auf einem Farbverlauf oder Bild platziert ist, zeigt Firefox den Minimal- sowie den Maximalwert an. Da die meisten mit dem Kontrastverhältnis als Zahl vermutlich wenig anfangen können, zeigt Firefox außerdem in Form eines Icons an, ob das Kontastverhältnis gut oder schlecht ist.

Entwickler sollten unbedingt auf eine gute Lesbarkeit von Text auf ihren Webseiten achten. Selbst Nutzer mit guten Augen werden aus Designgründen oder weil dem Thema keine Aufmerksamkeit geschenkt wird, im Web immer wieder vor Probleme gestellt. Man sollte auch nicht unterschätzen, wie viele Menschen an einer Form eingeschränkten Sehens leiden, für die das noch einmal wichtiger ist. Dass man selbst einen Text noch gut erkennt, heißt nicht, dass die Lesbarkeit für jeden Menschen noch ausreichend gewährleistet ist. Und am Ende des Tages ist genau das ja die Idee des Webs: Inhalte möglichst jedem zugänglich zu machen.

Der Beitrag Firefox 64: Kontrastverhältnis auf Webseiten prüfen erschien zuerst auf soeren-hentzschel.at.

Die E-Mail ist vermutlich immer noch die am weitesten verbreitete Kommunikationsmöglichkeit. Jedes Endgerät, egal wie alt, kann E-Mails verschicken und fast jeder Mensch hat eine (oder mehrere) E-Mail Adressen. Gleichzeitig ist die E-Mail auch die unsicherste Kommunikationsform. Die Zahl der potenziellen Mitleser ist nahezu unbegrenzt. Das wird sich auch niemals ändern!

Um zu dieser Erkenntnis zu kommen muss man nur mal das vergangene Jahr Revue passieren lassen. Im Frühjahr machte eine Lücke mit dem Namen EFAIL die Runde, die aufzeigte, dass unter bestimmten - weit verbreiteten - Bedingungen S/MIME und OpenPGP keinen Schutz bieten (siehe: S/MIME und PGP - E-Mail Verschlüsselung anfällig). Einige Vertreter der entsprechenden Verschlüsselungstechniken versuchten zwar zu beschwichtigen, aber bis heute ist S/MIME und PGP in vielen Implementierungen anfällig. Im Sommer machte dann auch die banale Erkenntnis die Runde, dass sich E-Mail Signaturen optisch ziemlich treffend fälschen lassen (siehe: OpenPGP Signaturen lassen sich fälschen). Vor wenigen Wochen kam dann noch die Meldung hinzu, dass eine der beliebtesten Lösungen für E-Mail Verschlüsselung - Thunderbird kombiniert mit Enigmail - in der Standardkonfiguration unbeabsichtigt unverschlüsselt verschickt (siehe: Enigmail verschickt E-Mails versehentlich im Klartext).

Dahinter steckt kein geheimer Masterplan zur Schwächung der E-Mail oder irgendeine andere Bösartigkeit. Die E-Mail ist schlicht und einfach ein sehr altes Protokoll, das für die Anforderungen und Herausforderungen der Gegenwart nicht gedacht war. Um diese Schwächen zu beheben werden dem Protokoll permanent neue Zusätze und Schichten hinzugefügt - Transportverschlüsselung, DANE, Inhaltsverschlüsselung mittels PGP oder S/MIME usw. usf. Das Problem mit solchen Zusätzen ist, je größer der Wildwuchs, desto höher die Gefahr, dass irgendein Programm sie falsch implementiert oder irgendetwas nicht so funktioniert wie beabsichtigt.

Das Hauptproblem ist hierbei auch die Dezentralität des Ansatzes, weshalb viele Symptome bei dem nächsten gescheiterten Kommunikationansatz XMPP wiederholen. Es gibt einfach keine zentrale Instanz, die eine Weiterentwicklung bestimmt und alte Techniken kappt oder bei konkurrierenden Lösungen eine Variante durchsetzt. Mit dem Unterschied, dass XMPP/Jabber in seiner offenen Implementierung ein Nischenkommunikationsmittel in der Open Source/Nerdecke ist und daher deutlich schneller als die E-Mail in der Versenkung verschwinden wird.

Statt gescheiterte Lösungen zu propagieren sollte man einfach akzeptieren, dass die E-Mail ein unsicheres Kommunikationmedium ist und bleiben wird. Es ist utopisch der E-Mail einen schnellen Tod zu prognostizieren, dafür ist sie zu verbreitet. Man sollte sie aber als unsicheres Medium begreifen, über das man nur Inhalte verschickt, die man potenziell auch in der Öffentlichkeit diskutieren würde.

Anstelle zig Arbeitsstunden in die Absicherung der eigenen Konfiguration (ist hier ziemlich umfangreich geschehen: E-Mail Kommunikation absichern) und die Belehrung der potenziellen Kommunikationspartner zu verschwenden, kann man auch einfach auf eine wirklich sichere Lösung wechseln. Moderne Messengerdienste (siehe auch:Sichere Messenger - Verschlüsselung und Metadaten) sind viel konsistenter entwickelt und haben bei weitem nicht so viele Skandale und Sicherheitslücken in der Vergangenheit gehabt. Man kann mit eine guten Lösung wie beispielsweise Signal Text- und Sprachnachrichten, sowie Videokommunikation, Anhänge usw. austauschen. Der Arbeitsaufwand ein Signalkonto einzurichten und den Kommunikationspartner zum Wechsel zu bewegen ist viel geringer als bei einer halbwegs wirksamen Mail-Verschlüsselung.

Sofern man trotzdem nicht um die E-Mail umhin kommt, kann man die wirklich sensiblen Informationen auch in einem verschlüsselten Container als Anhang verschicken. Erfahrungsgemäß passiert das heute schon deutlich häufiger, als dass Anwender eine halbwegs sinnvolle E-Mail Absicherung einrichten und nutzen.

Bilder:
Einleitungs- und Beitragsbild von KRiemer via pixaybay / Lizenz: CC0 Creative Commons

An unserer Schule haben wir ein offenes WLAN mit einem Captive Portal sowie ein weiteres WLAN-Netz (WPA Enterprise, 802.1X), welches nur für Lehrkräfte gedacht ist. Für beide Netze nutzen wir einen RADIUS-Server für die Authentifizierung. Freeradius ist der am weitesten verbreitete OpenSource RADIUS-Server, der auch bei uns zum Einsatz kommt. In diesem Artikel wollen wir einen Freeradius-Server und Zertifikate für eine verschlüsselte Verbindung einrichten. Im Besonderen möchte ich auf die Anbindung an Linuxmuster 6.2 eingehen und die Authentifizierung mit einem LDAP-Server beschreiben.

Ein RADIUS-Server kümmert sich im Allgemeinen um 3 Dinge: Authentifizierung, Autorisierung und Accounting (oft auch als Triple-A oder AAA bezeichnet). Wir werden uns nur mit den ersten beiden „As“ beschäftigen, d.h. ob die Zugangsdaten korrekt sind und ob der Benutzer berechtigt ist, einen Zugang zu erhalten (zum WLAN z.B.).

Installation von freeradius

Die Installation führen wir auf einer aktuellen Linux-Installation (hier Ubuntu 18.04 Server) durch, z.B. in einem LXD Container oder einer virtuellen Maschine.

$ apt install freeradius freeradius-ldap freeradius-utils

Konfiguration

Grundkonfiguration

Um unseren freeradius Server zu testen, kommentieren wir folgende Zeile in /etc/freeradius/3.0/users aus oder fügen sie zu Beginn der Datei ein:

# Das Kommentarzeichen "#" vor dieser Zeile entfernen
steve Cleartext-Password := "testing"

Standardmäßig sollte in der Datei /etc/freeradius/3.0/clients.conf der localhost als Client eingerichtet sein:

client localhost {
  ipaddr = 127.0.0.1
  secret = testing123
}

Nun können wir einen ersten Test durchführen. Dazu stoppen wir den freeradius-Service und starten ihn manuell im Debug-Modus neu:

$ systemctl stop freeradius.service
$ freeradius -X
...
Ready to process request

Wichtig ist, dass am Ende „Ready to process requests“ steht.

Überprüfen der Grundkonfiguration

Als nächstes überprüfen wir, ob unser Test-Benutzer „Steve“ sich am RADIUS-Server anmelden kann (am besten in einem neuen/zweiten Terminal):

$ radtest steve testing 127.0.0.1 10 testing123

Falls alles passt, sollten wir folgende Antwort bekommen:

Sent Access-Request Id 234 from 0.0.0.0:40302 to 127.0.0.1:1812 length 75
    User-Name = "steve"
    User-Password = "testing"
    NAS-IP-Address = 10.18.10.60
    NAS-Port = 10
    Message-Authenticator = 0x00
    Cleartext-Password = "testing"
Received Access-Accept Id 234 from 127.0.0.1:1812 to 0.0.0.0:0 length 20

Wichtig ist, dass wir ein „Received Access-Accept“ bekommen. Hat diese Anfrage geklappt ist der freeradius-Server grundlegend eingerichtet und die folgenden Authentifizierungsverfahren sollten ohne weitere Probleme klappen:

• PAP
• CHAP
• MS-CHAPv1
• MS-CHAPv2
• PEAP
• EAP-TTLS
• EAP-GTC
• EAP-MD5

Diese Verfahren sind unterschiedliche Protokolle, die verschieden „sicher“ sind. Alle verwenden einen Benutzernamen und Passwort zur Authentifizierung. Die Bedeutung der (P)EAP Verfahren kann man hier nachlesen. MS-CHAPv1 und v2 sind Verfahren aus dem Hause Microsoft.

Hinweis: Die Zeile mit unserem Benutzer „Steve“ sollten wir jetzt wieder kommentieren oder löschen!

Wir werden im Folgenden das LDAP-Modul konfigurieren und neue Zertifikate für EAP-TTLS erstellen.

LDAP Anbindung einrichten

Die Konfiguration des LDAP-Servers nehmen wir in der Datei /etc/freeradius/3.0/mods-enabled/ldap vor. Falls diese Datei nicht existiert, müssen wir vorher noch einen symbolischen Link erstellen.

$ cd /etc/freeradius/3.0/mods-enabled/
$ ln -s ../mods-available/ldap ./

Ziemlich an Anfang der Datei konfigurieren wir unseren LDAP-Server:

server = "ldaps://linuxmuster.internal.example.com"
identity = "cn=admin,dc=internal,dc=example,dc=com"
password = superSecretPassword
base_dn = "ou=accounts,dc=internal,dc=example,dc=com"

...

group {
    ...
    membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
    ...
}

Es muss sichergestellt sein, dass alle nötigen Ports für die Kommunikation zwischen dem RADIUS und LDAP-Server offen sind.

Hinweis: Wenn man Freeradius 3.0 zusammen mit linuxmuster.net v6.2 verwenden möchte, müssen noch folgende Zeilen angepasst werden, damit die Authentifizierung mit Windows klappt (sign…):

update {
            control:Password-With-Header    += 'userPassword'
            control:NT-Password             := 'sambaNTPassword'
            ...
}

LDAP Verbindung testen

Nachdem der LDAP-Server in Freeradius konfiguriert ist, müssen wir ihn einmal neustarten und können anschließend testen, ob sich ein Benutzer aus dem LDAP am RADIUS-Server anmelden kann.

$ systemctl restart freeradius.service
$ radtest testuser password localhost 10 testing123
Sent Access-Request Id 213 from 0.0.0.0:46425 to 127.0.0.1:1812 length 73
    User-Name = "testuser"
    User-Password = "password"
    NAS-IP-Address = 10.18.10.60
    NAS-Port = 10
    Message-Authenticator = 0x00
    Cleartext-Password = "password"
Received Access-Accept Id 213 from 127.0.0.1:1812 to 0.0.0.0:0 length 20

Wenn wir wieder ein „Received Access-Accept“ als Antwort erhalten, klappt die Verbindung zwischen RADIUS und LDAP-Server. Falls es nicht klappt, sollten wir den RADIUS Server manuell starten und schauen, welche Fehler uns der RADIUS-Server ausgibt.

$ systemctl stop freeradius.service 
$ freeradius -X 
... 
Ready to process request

Zertifikate erstellen (für EAP-TTLS)

Standardmäßig verwendet Freeradius sogenannte Snake-Oil-Zertifkate, die natürlich nicht für den produktiven Einsatz gedacht sind. Deshalb erstellen wir in den folgenden Schritten eine neue Root-CA und ein Zertifikat für den Server. Die Zertifikate und die dazugehörigen Konfigurationsdateien befinden sich unter /etc/freeradius/3.0/certs/. Zuerst öffnen wir die Datei ca.cnf und ändern ein paar wenige Einstellungen:

...
[ CA_default ]
...
default_days        = 3650
...
default_md      = sha256
...

[ req ]
....
default_bits        = 2048
input_password      = supersecretandlongpassword
output_password     = supersecretandlongpassword
...

[certificate_authority]
countryName     = US
stateOrProvinceName = My State
localityName        = My Town
organizationName    = My School
emailAddress        = admin@my-school.org
commonName      = "CA Freeradius"
...

Ähnliche Einstellungen nehmen wir nun der Datei server.cnf vor:

...

[ CA_default ]
...
default_days        = 3560
...
default_md      = sha256
...

[ req ]
...
default_bits        = 2048
input_password      = supersecretandlongpassword
output_password     = supersecretandlongpassword

[server]
countryName     = US
stateOrProvinceName = My State
localityName        = My Town
organizationName    = My School
emailAddress        = admin@my-school.org
commonName      = "Freeradius Server Certificate"

Das Passwort muss jetzt auch in der Datei /etc/freeradius/3.0/mods-enabled/eap geändert werden:

tls-config tls-common {
    private_key_password = supersecretandlongpassword
    ...
}

Die Zertifikate erstellen wir mit einem einfachen make:

$ cd /etc/freeradius/3.0/certs/
$ make

EAP-TTLS Anmeldung testen

epol_test kompilieren

radtest unterstützt leider keinen Test für eine EAP-TTLS Authentifizierung. Dazu brauchen wir das Tool eapol_test, welches Teil des wpa_supplicant Pakets ist. Leider wird dieses Tool standardmäßig nicht von wpa_supplicant gebaut, deswegen müssen wir das selbst machen. Wir laden den Quellcode herunter, entpacken ihn und müssen noch einige Abhängigkeiten installieren.

$ wget https://w1.fi/releases/wpa_supplicant-2.7.tar.gz
$ tar -xzvf wpa_supplicant-2.7.tar.gz
$ apt install build-essential pkg-config libnl-3-dev libssl-dev libnl-genl-3-dev
$ cd wpa_supplicant-2.7
$ cp defconfig .config

Danach müssen wir die Datei .config öffnen und die Zeile #CONFIG_EAPOL_TEST=y  finden und das Kommentarzeichen entfernen.

$ nano .config
# Kommentarzeichen "#" entfernen
CONFIG_EAPOL_TEST=y

Mit dem folgenden Befehlen bauen wir nun das Programm und kopieren es noch an die richtige Stelle:

$ make eapol_test
$ cp eapol_test /usr/local/bin

Anmeldung testen

Um EAP-TTLS zu testen, brauchen wir für eapol_test eine kleine Config-Datei, die folgendermaßen aussehen kann:

$ nano eapol_test.conf
network={
        ssid="example"
        key_mgmt=WPA-EAP
        eap=TTLS
        identity="mustermann"
        anonymous_identity="anonymous"
        password="strenggeheim"
        phase2="auth=PAP"
}

Nun können wir eapol_test aufrufen:

$  eapol_test -c eapol_test.conf -a 127.0.0.1 -p 1812 -s testing123

Wenn man am Ende diese Ausgabe erhält, war alles erfolgreich:

MPPE keys OK: 1  mismatch: 0
SUCCESS

Clients einrichten (z.B. Accesspoints)

Bisher haben wir immer nur direkt auf dem RADIUS-Server getestet. Im Normalfall wird die Anfrage für die Authentifizierung aber von einem Accesspoint, Captive Portal oder einem Wireless Controller kommen. Diese müssen auf dem RADIUS-Server als Clients eingerichtet werden. Wir öffnen dazu die Datei /etc/freeradius/3.0/clients.conf und fügen am Ende alle Accesspoints etc. mit ihrer IP und einem Passwort / Secret ein:

$ nano /etc/freeradius/3.0/clients.conf
client AP1 {
    ipaddr = 10.0.0.10
    secret = supersecretsecret
}

Nun kann man auf dem Accesspoint ein WPA Enterprise (802.1X) Netzwerk einrichten und den RADIUS-Server mit seiner IP, den Port (1812) und dem eben festgelegten Passwort/Secret konfigurieren. Nun sollte man sich mit seinem mobilen Gerät im WLAN anmelden können.

Zugang auf bestimmte LDAP Gruppen beschränken

An unserer Schule haben nur Mitarbeiter und Lehrkräfte sowie die Oberstufenschüler Zugang zum WLAN an der Schule. In linuxmuster.net ist das über die Gruppe p_wifi gelöst. Alle, die in dieser Gruppe sind, sollen Zugang bekommen. Bisher ist unser RADIUS-Server aber so konfiguriert, dass jeder Benutzer im LDAP Zugang erhält. Um den Zugang einzuschränken, fügen wir noch folgende Zeilen in der Datei /etc/freeradius/3.0/users hinzu:

DEFAULT Ldap-Group == "cn=p_wifi,ou=groups,dc=internal,dc=example,dc=com"
DEFAULT Auth-Type := Reject
   Reply-Message = "Your are not allowed to access the WLAN!"

Freeradius und linuxmuster.net 6.2

Die Installation von Freeradius für linuxmuster.net 6.2 ist in der Dokumentation beschrieben. Bis auf ein paar wenige Details ist die Konfiguration sehr ähnlich. In Freeradius 2.0 sind die Standardeinstellungen für die Zertifikate nicht mehr zeitgemäß, sodass es zu Verbindungsproblemen mit einigen Clients kommen kann (z.B. mit einem aktuellen macOS). Hier sollte man unbedingt die Vorgaben von Freeradius 3.0 verwenden (siehe oben)!

Unterschiedliche Zugangsbeschränkungen nach WLAN-Netz

An unserer Schule haben wir ein Captive Portal für Gäste und Schüler, sowie ein WPA 802.1X (Enterprise) Netz für Mitarbeiter und Lehrkräfte. Während sich am Captive Portal alle anmelden können, die in der Gruppe p_wifi sind, sollen sie im WPA 802.1X Netzwerk nur Lehrkräfte und Mitarbeiter anmelden dürfen. Die Anfragen vom Captive Portal kommen von einer anderen IP (pfSense) als die für das WPA Enterprise Netzwerk. In der Datei /etc/freeradius/sites-enabled/inner-tunnel haben wir deshalb eine Abfrage eingebaut, die überprüft, von welcher IP die Anfrage kommt und entsprechend entscheidet, ob jemand Zugang bekommt oder nicht:

post-auth {
    ...
    #Only allow Teacher&Staff on WPA 802.1X Teacher and Staff network  
    if (NAS-IP-Address == 10.0.0.10) {
        if (LDAP-Group == "cn=teachers,ou=groups,dc=internal,dc=example,dc=com" || LDAP-Group == "cn=staff,ou=groups,dc=internal,dc=example,dc=com") {
            noop
        } else {
            reject
        }
    }
    ...
}

Fazit

Dieser Artikel beschreibt nur eine von vielen Möglichen Konfigurationen. Ein RADIUS-Server ist komplex, aber dank der guten Standardkonfiguration von Freeradius (v.a. in Version 3) kommt man recht schnell zum Erfolg. Lange Zeit hatten wir nur das Captive Portal im Einsatz und es hat auch gut funktioniert, doch die Benutzerfreundlichkeit und Sicherheit ist mit einem WPA 802.1X (Enterprise) Netzwerk nochmal gestiegen. Ohne den RADIUS-Server wäre das aber nicht möglich gewesen.

Nützliche Links:

• http://deployingradius.com/
• https://wiki.freeradius.org/guide/HOWTO

2 Kommentare

Der Beitrag Wie man sein WLAN-Netzwerk mit Freeradius absichern kann erschien zuerst auf .:zefanjas:..

Ich habe die fixe Idee auf meinem System zwei Linux Distributionen zu installieren.

Das habe ich schon öfters gemacht, kein Problem.

Nur habe ich ein 9GB großes IMAP Konto im lokalen Filesystem, ich empfinde es als Verschwendung in beiden Systemen die selben Daten zu lagern. Zudem führt dies zu Wartezeiten, wenn man tagelang mit dem System A arbeitet und dann mal zu B wechselt. Die Daten werden dann natürlich erneut geladen und synchronisiert.

Der Ansatz, der eigentlich einleuchtend ist, das versteckte Verzeichnis .icedove (ja, richtig, ich benutze Debian, da hieß es ja schon immer icedove) einfach in eine eigene Partition packen und in beiden Systemen entsprechend mounten.

Ist also gar Ding, warum bloggt der alte Mann dann trotzdem darüber?

Weil es halt im konkreten Fall doch nicht ganz so einfach ist.

Hier also der konkrete Fall.

System A: Debian Stretch

System B: PCLINUXOS 2018

Der Haken ist: In Debian erhält der erste User die uid und gid 1000, in PCLINUXOS sind beide 500.

Das führt dazu, das im System B: die Dateien nicht lesbar für den User sind und somit die Idee nicht funktioniert.

Alles klar, dachte ich mir, ich gebe in der /etc/fstab einfach die uid=500,gid=500 mit und schon klappt's.

Pustekuchen, was ich auch probierte, das EXT4 Filesystem ließ sich nicht dazu überreden, die Optionen zu übernehmen.

Hätte ich mich vorher richtig informiert, dann wüßte ich, dass ext4 die Optionen gar nicht kennt. Das war mir gar nicht so präsent.

:-( 

Nun gut, dann eben der pragmatische Weg, im System B: dem pclinuxos den User eine andere uid und gid geben und eben keine Optionen in der fstab nutzen.

Umgesetzt sieht das nun so aus:

# in /etc/fstab auf System A
/dev/tuxedo-vg/icedove /home/bed/.icedove ext4 defaults        0 2

# in /etc/fstab auf System B
/dev/mapper/tuxedo--vg-icedove  /home/bed/.icedove ext4 defaults 0 2

Selbstredent habe ich auf System A den Inhalt von .icedove in ein tar gepackt, .icedove/* gelöscht, /dev/tuxedo-vg/icedove /home/bed/.icedove  gemountet und das tar da wieder ausgepackt.

Auf System B nach reboot thunderbird gestartet, der findet dann ein gefülltes .icedove, akzeptiert das private Dir und alles wird gut.

Der SoC des Raspberry Pi kann bei starker Nutzung sehr heiß werden. Wenn man ihn mit dem Finger berührt kann die Temperatur des Chips doch unangenehm hoch werden.

Ich wollte daher wissen wie hoch die Temperatur des Chips tatsächlich ist und habe nach einer einfachen Möglichkeit gesucht die Temperatur auszulesen.

Erfreulicherweise bringt Raspbian bereits ein Tool mit, mit welchem man die Temperatur und viele weitere Daten des Systems auslesen kann. Das Tool hört auf den Namen vcgencmd. Unter https://github.com/nezticle/RaspberryPi-BuildRoot/wiki/VideoCore-Tools findet man unter der Überschrift “vcgencmd Commands “eine schöne Übersicht über die Möglichkeiten die das Tool bietet.

Die Temperatur lässt sich mit folgendem Befehl auslesen.

vcgencmd measure_temp

Raspberry Pi Temperatur des Prozessors auslesen ist ein Beitrag von techgrube.de.

Apple wechselt gegenwärtig von der hauseigenen Lösung AFP auf den Standard SMB. Dieser Wechsel vollzieht sich schleichend, was einige Unwägbarkeiten mit sich bringt und betrifft insbesondere die integrierte Backup-Lösung Time Machine (siehe auch: Time Machine auf einem Linux Server - Stand macOS 10.14 "Mojave").

Während von High Sierra aktualisierte Systeme noch problemlos auf AFP gesichert werden konnten und können, machte eine Neuinstallation von Mojave nun Probleme. Zwar konnte die AFP-Freigabe noch als Sicherungsziel gewählt werden, die anschließende erste Sicherung schlug aber konsequent fehl. Anstelle sich mit der Problemlösung einer abgekündigten Funktion zu befassen, war es nun also an der Zeit sich mit SMB und Time Machine zu befassen.

Apple setzt einige spezifische Erweiterungen für SMB voraus, damit dieses als Sicherungsziel für Time Machine geeignet ist. Proprietäre NAS-Anbieter wie beispielsweise Synology haben dies sehr schnell implementiert, die Open Source Community brauchte leider mal wieder erheblich länger. Die im März diesen Jahres veröffentlichte Version Samba 4.8 enthält nun aber alle benötigten Funktionen. Das Veröffentlichungsdatum zeigt jedoch schon, dass keine ernstzunehmende LTS-Distribution diese Version gegenwärtig ausliefert. Der Linux-Standard ist momentan Samba 4.7 oder älter.

Bei FreeNAS haben sie sich des Problems jedoch wenigstens angenommen und eine Patches zurück portiert, weshalb FreeNAS 11.1-U6 und FreeNAS 11.2 theoretisch über die notwendigen Funktionen verfügen. Wegen Problemen im Zusammenhang mit MDNS (FreeNAS Alternative zu Avahi) ist die Einrichtung jedoch noch etwas problematisch und soll hier gezeigt werden:

SMB Freigabe einrichten

SMB Freigaben für Time Machine benötigen einige spezielle Einstellungen. Bei der Einrichtung muss man daher den "Advanced Mode" öffnen.

Unter VFS Objects muss zusätzlich der Parameter fruit für alle SMB Freigaben auf dem FreeNAS ausgewählt werden. Die für Time Machine vorgesehene Freigabe benötigt zudem folgende Zeile im Bereich Auxilliary Parameters:

fruit:time machine = yes

Der freigegebene Ordner muss selbstverständlich für den vorgesehen Benutzer Lese- und Schreibrechte haben. Das Verfahren hat sich jedoch bis auf einige optische Veränderungen im Vergleich zu früheren FreeNAS-Versionen mit AFP Freigaben nicht verändert und kann daher im entsprechenden Artikel nachgelesen werden: Time Machine Backup auf FreeNAS)

SMB Freigabe unter macOS einrichten und Erstsicherung anstoßen

Aufgrund der bereits erwähnten MDNS-Probleme findet macOS die SMB-Freigabe in den Time Machine Einstellungen ggf. nicht automatisch. Sie sollte jedoch im Finder angezeigt werden und man kann diese dort mit den entsprechenden Benutzerzugangsdaten einbinden. Anschließend ist sie auch in Time Machine als potenzielles Sicherungsziel aufgeführt. Hier erfolgt dann die obligatorische Einrichtung mittels Benutzername und Kennwort, sowie optional der Backupverschlüsselung (die hier dringend empfohlen wird!).

Unter Umständen beginnt macOS jedoch nicht sofort mit der initialen Sicherung. Diese muss dann manuell im Terminal angestoßen werden. Sofern man mehr als ein Sicherungsziel hat muss man zuerst die ID ermitteln:

$ tmutil destinationinfo

Die Ausgabe sollte dann so ähnlich aussehen:

 ====================================================
Name : BACKUP 3.5
Kind : Local
Mount Point : /Volumes/BACKUP 3.5
ID : D7876D65-97C0-4C47-89B1-45BD499F3F05
> ==================================================
Name : Time Machine
Kind : Network
URL : smb://tmb@Archvium._smb._tcp.local/Time%20Machine
Mount Point : /Volumes/Time Machine
ID : 1503B9F6-D1AF-46A5-89EB-3DBBA7A837F9

Das Backup auf die Netzwerkfreigabe beginnt man anschließend mit dem folgenden Kommando. Die ID muss natürlich durch die soeben ermittelte ID ersetzt werden.

§ tmutil startbackup --destination 1503B9F6-D1AF-46A5-89EB-3DBBA7A837F9

Je nach Datenmenge kann das initiale Backup nun sehr lange dauern. Insbesondere die etwas komplizierte Einrichtung unter macOS wird hoffentlich in künftigen FreeNAS-Versionen noch erleichtert.

Bilder:
Einleitungs- und Beitragsbild von FreePhotosART via pixabay / Lizenz: CC0 Creative Commons

Debian GNU/Linux ist eine der ältesten noch aktiv entwickelten Linux-Distributionen und mit Sicherheit das wichtigste und größte Community-Projekt unter den Linux-Varianten. Ohne Debian wären zahllose Derivate - nicht zuletzt das immer noch sehr populäre Ubuntu - schwer vorstellbar. Trotzdem hat sich die Distribution ins Abseits manövriert.

Debian spielte das letzte Mal 2015 in diesem Blog eine Rolle, als die Version 8.0 einem wohlwollenden Test unterzogen wurde (siehe: Debian 8.0 "Jessie" im KDE Test). Relativ kurz danach sortierte ich Debian schweigend aus und habe dies in meiner jüngsten Empfehlung von Linux-Distributionen auch in einem Halbsatz erwähnt (siehe: Linux-Distributionen - Die Qual der Wahl). Dabei wurde zu recht in den Kommentaren kritisiert, dass ich dafür eine Begründung schuldig geblieben bin. Das soll hiermit nachgeholt werden.

Debian GNU/Linux ist eine der wenigen großen Distributionen ohne Firma im Hintergrund. Diese Unabhängigkeit ist zusammen mit den sehr umfangreichen Paketquellen sicherlich das beste Argument für Debian. In den vergangenen Jahren ist die Distribution jedoch ins Hintertreffen geraten, möglicherweise nicht mal durch aktive Entscheidungen, sondern eher durch das Fehlen solcher.

Eine Kritik in vier Punkten

Supportzeiträume

Die Linux-Distributionen haben sich in den vergangenen Jahren ausdifferenziert. Auf der einen Seite jene Varianten ohne stabile Veröffentlichungen, die einem rollenden Entwicklungsmodell folgen: Arch Linux, Manjaro, openSUSE Tumbleweed, Chakra, KaOS, Solus - um nur die bekannteren Projekte zu nennen. Diesen Projekten stehen die Distributionen mit einem Fokus auf stabilen Langzeiteinsatz gegenüber: RHEL (inklusive der semi-offiziellen Klone CentOS, Scientific Linux), SLE, Ubuntu und mit Abstrichen openSUSE Leap. Die Supportzeiträume rangieren zwischen 5 und 10 Jahren.

Debian ist weder Fisch, noch Fleisch. Die stabilen Veröffentlichungen haben einen Supportzeitraum von knapp drei Jahren (abhängig vom Erscheinen der Folgeversion), ergänzt durch den sehr beschränkten LTS-Zusatz für weitere zwei Jahre. Dieser umfasst aber nur wenige Pakete und kann daher nicht konkurrieren. Daneben hat man mit Debian Sid/Testing zwei rollende Zweige, die durch das behäbige Entwicklungssystem oftmals sogar hinter den STS-Snapshots von Ubuntu her hinken und bei weitem nicht mit den obigen RR-Distributionen konkurrieren können.

Organisation und Transparenz

Debian ist das vielleicht am vollständigen durchorganisierteste Projekt im Open Source Universum. Um ein so großes Projekt am Laufen zu halten ist natürlich mehr Organisation notwendig, als bei kleineren Projekten wie KaOS. Als Anwender hat man aber regelmäßig das Gefühl, dass das Projekt an seiner Organisation erstickt.

Das fängt schon bei der Außendarstellung an: Die Internetauftritte sind hoffnungslos veraltet, das Wiki unübersichtlich und oft nicht aktuell. Es betrifft aber auch den Kern der Distribution. Entscheidungen warum Pakete aus der Distribution entfernt werden, welche im Gegenzug den Aufnahmeprozess überstehen und welche Versionen es in die finale Veröffentlichung schaffen sind vollkommen intransparent für Außenstehende. Insbesondere die Maintainer-Gruppen verwalten oftmals riesige Paketgruppen ohne konkreten Ansprechpartner.

Die hohen Aufnahmehürden gewährleisten zwar eine gewisse Qualität, schrecken aber auch viele ab. Die stetig sinkenden Maintainer-Zahlen (auf hohem Niveau versteht sich) zeigen das. Die gewünschte Communitymitwirkung beschränkt sich auf Wikiartikel und Dokumentationen verfassen. Das ist ein sehr altes Verständnis von Community-Partizipation und möglicherweise nicht mehr ganz zeitgemäß.

Teile dieser Maintainer-Gruppen treffen zudem vollkommen irrationale Entscheidungen hinsichtlich der Versionsqualität. Es scheint aber innerhalb des Projekt keine übergeordnete Idee zu geben, wohin man mit dem Projekt möchte und der sich die Maintainer unterwerfen müssen. KDE gibt beispielsweise für Plasma seit längerem LTS-Versionen heraus, zuletzt Version 5.12. Es würde Sinn machen, diese auch in einer Distribution mit Langzeitunterstützung zu verwenden - es sei denn man ist bei Debian. Dort nimmt man einfach die Version, die sich beim Freeze zufällig in Testing befindet und wirft sie den Desktopanwendern vor die Füße. Langfristige Pflege? Fehlanzeige!

Der Maintainer eines Pakets hat jedoch eine fast unanfechtbare Stellung. Seine Entscheidungen muss er kaum rechtfertigen - weder vor einer übergeordneten Projektleitung, noch vor den Anwendern.

Dogmatismus

Dies betrifft gleich das nächste Problem: Das Projekt wird vor allem durch rigide Umsetzung von Dogmen geprägt. Dazu gehört nicht nur die viel gescholtene Verbannung proprietärer Treiber, sondern auch der rigide Stabilitätswahn bei Paketen. Ist der Freeze einmal eingeleitet werden die Versionsstände nicht mehr angefasst. Fehlerbehebungen und unwichtige Sicherheitsaktualisierungen, die sich nicht in einen Patch packen lassen oder für die sich niemand zuständig fühlt bleiben bis zum Supportende ungelöst. Eine Debian-Veröffentlichung ist somit ein Glücksspiel, ob man selbst von schwerwiegenden Problemen verschont bleibt.

Den Debian-Entwicklern fehlt scheinbar in weiten Teilen die Fähigkeit oder die Zeit Fehlerbehebungen und Patches vernünftig zurück zu portieren, weshalb es einfach unterbleibt. Das betrifft natürlich nicht zentrale Bestandteile wie den Kernel, wohl aber viele Pakete im Desktopumfeld. Anstelle die Richtlinien hier aufzuweichen, wie das z. B. bei SUSE oder Red Hat geschehen ist, akzeptiert man einfach den Fehlerstand als gottgegeben.

Vielfalt und Ziellosigkeit

Debian will alles können und sein. Das Betriebssystem soll vom Smartphone bis zum Server auf jedem Gerät laufen. Das funktioniert auch leidlich, fühlt sich aber auf jeder Plattform lieblos an. Die Integration und Pflege der Desktopumgebungen changiert zwischen mittelmäßig und katastrophal, für den Servereinsatz sind hingegen die Supportzeiträume zu kurz. Für jeden denkbaren Einsatzzweck gibt es somit eine bessere Alternative.

Zusammengefasst

Debian ist keine durchweg schlechte Distribution oder gar unbenutzbar. Die Unabhängigkeit und Langlebigkeit des Projekts ist zudem ein wichtiger Faktor. Hat man sich mit Debian arrangiert, muss man vermutlich für lange Zeit keine Alternativen ausprobieren. Debian ist aber in keinem Einsatzbereich besser geeignet als die spezialisiertere Konkurrenz. Wer also damit leben kann nicht auf jedem Gerät - vom Smartphone bis zum Server - das gleiche System zu verwenden, ist mit konkurrierenden Distributionen in der Regel besser bedient.

Bilder:
Einleitungs- und Beitragsbild von 3dman_eu via pixabay / Lizenz: CC0 Creative Commons

Windows-Nutzer müssen sich nur Fragen, ob sie Windows 7 oder Windows 10 nutzen wollen, bei Apple nimmt man die letzte verfügbare Version für die eigene Hardware. Linux-Nutzer können sich hingegen aus einem schier grenzenlosen Pool an möglichen Distributionen bedienen. Zu den knapp 50 relevanten Varianten kommen noch hunderte Projekte für spezielle Zielgruppen und kleine Nutzerkreise. Doch welche soll man wählen?

Die Aufforderungen einen solchen Artikel zu schreiben erhielt ich kürzlich von Mark. Nicht ganz falsch, bestanden meine letzten Äußerungen doch vor allem aus Kritik an Ubuntu oder der Distributionslandschaft allgemein. Empfehlungen für Linux-Distributionen zu verfassen, gleicht dem Vorhaben im Minenfeld ein Topfschlagen zu organisieren. Egal was man schreibt, viele Kommentatoren haben eine andere Meinung. Daher war hier bisher nichts dergleichen zu lesen, aber man kann nicht immer nur kritisieren, sondern muss auch mal eine Variante empfehlen.

Eben genau diese Empfehlung einer Variante ist allerdings unmöglich, da sich die Linux-Distributionen in zwei vollkommen unterschiedliche Bereiche ausdifferenziert haben. Es gibt Projekte, die einem fortlaufenden Entwicklungsmodell verpflichtet sind und keine festen Veröffentlichungen herausgegeben ("Rolling Release") und solche, die nach mehr oder minder starren Veröffentlichungs- und Stabilitätskriterien klassische Betriebssysteme mit fixiertem Funktionsumfang veröffentlichen. Es muss daher mindestens zwei Empfehlungen geben.

Rolling Release

Dieses Modell erfreut sich zunehmender Beliebtheit. Einerseits kommt es der zunehmend agilen Entwicklungsweise vieler Upstream-Projekte entgegen und andererseits reduziert es den Wartungsaufwand für die Distributoren, da sie nicht aufwändig Fehlerbehebungen und Sicherheitsaktualisierungen für die enthaltenen Versionsstände zurück portieren müssen.

Trotzdem ist die Empfehlung in diesem Bereich sehr einfach: Arch Linux. Keine andere Distribution folgt diesem Modell zu kompromisslos und liefert quasi nicht angepasste Upstream-Pakete aus. Die für ein fortlaufendes Veröffentlichungsmodell optimierten Prozesse sorgen für rasche Aktualisierungen und schnelle Reaktion bei Paketierungsfehlern.

Natürlich kann man argumentieren, dass die Lernkurve bei Arch Linux sehr steil ist und man immer noch verhältnismäßig viel von Hand konfigurieren muss. Nutzer von Rolling Release Distributionen werden jedoch immer wieder mit neuen Fehlern konfrontiert, da neue Upstream-Veröffentlichungen zwangsläufig auch mal neue Fehler enthalten. Wer nicht bereit ist sich mit den Komponenten einer Linux-Distribution, ihren grundlegenden Funktionsweisen und Fehlerquellen zu beschäftigen, ist bei diesem Veröffentlichungskonzept grundsätzlich falsch aufgehoben.

Stabile Veröffentlichungen (LTS)

Wenn man sich für eine stabile Veröffentlichung entscheidet, sollte diese auch einen langen Supportzeitraum unterstützen. Vor einigen Jahren gab es noch viele Distributionen mit knappen Supportzeiträumen von 9-18 Monaten. Diese Zielgruppe hat jedoch fast vollständig auf ein fortlaufendes Entwicklungsmodell gewechselt, da es das schlechteste aus beiden Welten vereinte. Die Notwendigkeit großer Upgrades mit den Nachteilen kaum getestete Programmversionen.

Distributionen mit langen Supportzeiträumen von mehr als 3 Jahren gibt es gar nicht so viele (siehe auch: Übersicht der LTS-Distributionen). Hierzu werden nämlich nicht unerhebliche Ressourcen benötigt, weshalb nur Unternehmen und große Communityprojekte dies leisten können.

Die Entscheidung Für und Wider eine spezifische Distribution sollte man auf dem Desktop von der gewünschten Arbeitsumgebung abhängig machen. Die qualitative und quantitative Unterstützung der Desktopumgebungen unterscheidet sich hier nämlich ganz erheblich. Daher gibt es in diesem Bereich zwei Empfehlungen.

Anwender mit einer Präferenz für GNOME sollten zu Red Hat Enterprise Linux (RHEL) oder dessen Klon CentOS greifen. Keine andere Distribution bietet eine gleichwertig gute Unterstützung dieser Desktopumgebung und pflegt die Versionen über 10 Jahre in einem gleichen Maße. Der enthaltene Paketumfang ist zwar relativ klein, aber kann man semi-offiziellen Quellen wie EPEL aufgebessert werden.

Desktopnutzer, die KDE Plasma bevorzugen können eigentlich nur noch zu openSUSE Leap greifen. Keine andere LTS-Distribution hat KDE Plasma als Standarddesktop oder wählt die Version gleichsam sorgfältig aus und pflegt diese so nachhaltig über den Supportzeitraum hinweg.

Anwender von kleineren Desktopumgebungen wie MATE, Xfce und LXQt sollten ebenso openSUSE Leap wählen. Ubuntu ist aufgrund der erratischen Veröffentlichungspolitik und den zahllosen Problemen mit der Qualität, Paketverwaltung und den Eigenentwicklungen eigentlich nicht mehr wählbar und Debian erstickt am eigenen Regelwerk und ideologischen Vorbehalten zu lasten der Nutzbarkeit und der Paketauswahl.

Jenseits des Tellerrandes

Eine dritte Empfehlung kann ich mir nicht verkneifen. Wer es sich zutraut das Linux-Universum zu verlassen, sollte mal einen Blick auf FreeBSD werfen. BSD ist bei weitem nicht mehr so unbenutzbar, wie vor einigen Jahren. Die Hardwareunterstützung ist viel besser und die Softwareauswahl über die PKG-Paketverwaltung durchaus akzeptabel.

FreeBSD ist quasi der Maßstab für Stabilität. Hier treibt man nicht mit dem Release eine neue Sau durchs Dorf, wechselt das Initsystem oder implementiert ein neues Backend für die Netzwerkverwaltung. Der Preis dafür ist ein häufigerer Rückgriff auf händische Konfiguration, aber wer mit Arch Linux arbeiten kann, kommt auf mit FreeBSD klar.

Die organisatorische Trennung von integriertem Basissystem und Desktopumgebung, sowie Endanwenderprogrammen fördert zudem neue Programmversionen im nicht-kritischen Bereich, während an der Basis nur zaghafte Veränderungen erfolgen.

Bilder:
Einleitungs- und Beitragsbild von qimono via pixabay / Lizenz: CC0 Creative Commons

Mozilla hat Firefox Reality 1.1 veröffentlicht. Die neue Version des Reality-Browsers erhält viele Verbesserungen und ist nun auch auf Deutsch verfügbar.

Themen wie Virtual Reality, Augemented Reality und Mixed Reality werden uns in den nächsten Jahren noch viel beschäftigen. Längst handelt es sich dabei nicht mehr nur um einen technologischen Trend. Mozilla war bei diesem Thema von Anfang an vorderster Front dabei: Firefox 55 war der erste Desktop-Browser mit Unterstützung für Virtuelle Realität, mit A-Frame bietet Mozilla ein beliebtes Framework für Virtuelle Realität an, welches über zehn Millionen Mal pro Monat genutzt wird, und mit dem WebXR Viewer gibt es von Mozilla eine App für Apple iOS zum Betrachten von Mixed Reality-Inhalten. Schließlich hat Mozilla im September dieses Jahres Firefox Reality veröffentlicht, den ersten plattformübergreifenden Browser speziell für Virtual, Augemented und Mixed Reality.

Firefox Reality 1.1 bringt diverse Neuerungen und ist nun in insgesamt sieben Sprachen verfügbar, darunter auch Deutsch. Dabei ist nicht nur die Oberflächen-Sprache übersetzt, auch die sprachgestützte Suche unterstützt die deutsche Sprache. Der verbesserte Kinomodus unterstützt immersive 360°-Videos. Für die Adressleiste gibt es nun Suchvorschläge sowie Domainvorschläge. Außerdem besitzt Firefox Reality jetzt auch ein Lesezeichen-Feature. Außerdem wurde die Performance der Programmoberfläche verbessert und der Content Feed erweitert. Dazu kommen Verbesserungen des Vollbild-Video-Playbacks, ein neuer User-Agent für verbesserte Web-Kompatibilität sowie diverse Bugfixes und Stabilitätsverbesserungen.

Mozilla arbeitet bereits an weiteren Verbesserungen. So soll es bald, wie auch in anderen Firefox-Produkten, eine Synchronisation von Lesezeichen und anderen Inhalten geben. Auch die Unterstützung von mehren Tabs und Fenstern steht auf der Agenda.

Download Firefox Reality für Oculus
Download Firefox Reality für Daydream
Download für Viveport: im Viveport Store nach „Firefox Reality“ suchen

Der Beitrag Mozilla veröffentlicht Firefox Reality 1.1, jetzt auch auf Deutsch erschien zuerst auf soeren-hentzschel.at.

Die Verwendung von target=“_blank“ in Webseiten-Links ist nicht nur praktisch, um Seiten standardmäßig in einem neuen Tab öffnen zu lassen, es handelt sich dabei gleichzeitig auch um eine unterschätzte Sicherheitslücke. Eine Lösung dagegen ist die Verwendung von rel=“noopener“, was die meisten Webseitenbetreiber allerdings versäumen. In Zukunft soll Firefox diesen Zusatz automatisch annehmen, wenn target=“_blank“ verwendet wird.

Jeder Webentwickler kennt das target-Attribut mit seinem Wert _blank, um vom Benutzer geklickte Links auf Webseiten standardmäßig in einem neuen Tab statt im gleichen Tab aufrufen zu lassen. Was aber nur die Wenigsten wissen: es handelt sich dabei um eine Sicherheitslücke, welche Phishing ermöglicht. Die Lösung für Webseitenbetreiber ist einfach: wird target=“_blank“ verwendet, ist gleichzeitig auch noch rel=“noopener“ zu verwenden. Bonuspunkt: Die Verwendung von rel=“noopener“ liefert gleichzeitig auch noch einen Performance-Vorteil gegenüber dem Weglassen.

Zusammengefasst: Webseiten-Entwickler sollten statt

[pastacode lang=“markup“ manual=“%3Ca%20href%3D%22https%3A%2F%2Fwww.soeren-hentzschel.at%22%20target%3D%22_blank%22%3ELinktext%3C%2Fa%3E“ message=“HTML“ highlight=““ provider=“manual“/]

… folgenden Code verwenden:

[pastacode lang=“markup“ manual=“%3Ca%20href%3D%22https%3A%2F%2Fwww.soeren-hentzschel.at%22%20target%3D%22_blank%22%20rel%3D%22noopener%22%3ELinktext%3C%2Fa%3E“ message=“HTML“ highlight=““ provider=“manual“/]

Das offensichtliche Problem an der Geschichte ist, dass zwar jeder Webentwickler das target-Attribut kennt, aber nur die wenigsten um die Notwendigkeit von rel=“noopener“ wissen, was in der Konsequenz bedeutet, dass die meisten Seiten im Web das zusätzliche Attribut für Links in neuen Tabs nicht verwenden. Die Nightly-Version von Firefox 65 setzt nun implizit rel=“noopener“ bei Verwendung von target=“_blank“. Das bedeutet, dass wenn der Entwickler einer Webseite target=“_blank“ verwendet und das entsprechende rel-Attribut nicht setzt, Firefox dann automatisch annimmt, dass rel=“noopener“ gesetzt sein soll, womit die Sicherheitslücke auch ohne Aktion des Webentwicklers nicht mehr existiert. Soll das alte Verhalten in Kraft treten, muss der Webentwickler dieses in Zukunft explizit über rel=“opener“ aktivieren. Damit folgt Mozilla dem Beispiel von Apple, welche dieses Verhalten vor wenigen Wochen für Safari implementiert haben.

Mozilla hat das neue Verhalten derzeit noch auf Nightly- und frühe Beta-Versionen limitiert, um erst einmal Daten bezüglich möglicher Web-Kompatibilitätsprobleme zu erhalten. Je nachdem tritt die Änderung damit entweder in der finalen Version von Firefox 65 oder auch erst später in Kraft. Gesteuert wird dies über die Einstellung dom.targetBlankNoOpener.enable in about:config, wobei true das neue Verhalten und false das alte Verhalten aktiviert. Firefox 65 wird am 29. Januar 2019 erscheinen.

Der Beitrag Firefox 65 bekommt implizites rel=noopener bei target=_blank erschien zuerst auf soeren-hentzschel.at.

pfSense hat seit einigen Versionen eine völlig überarbeitete Oberfläche. Damit lassen sich alle Einstellungen i.d.R. gut erreichen und einstellen. Das frei konfigurierbare Dashboard ist ebenfalls eine feine Sache. Trotz allem gibt es manchmal den Fall, dass man Einstellungen gern über eine API oder die Kommandozeile vornehmen möchte. pfSense hat aktuell keine API, diese soll erst in einer der kommenden Versionen integriert werden. Bis dahin kann man sich über die pfSense Entwickler-Shell behelfen, auch pfSsh.php genannt.

Auf pfSsh.php zugreifen

Am schnellsten kommt man in die Entwickler-Shell, wenn man sich per SSH mit pfSense verbindet oder direkt einen Bildschirm an die Firewall anschließt. Wenn SSH noch nicht aktiviert ist, kann man das in der Weboberfläche unter System → Advanced nachholen.

Besser ist es, wenn man das Einloggen mit Passwort verbietet und nur das Anmelden mit Zertifikat erlaubt.

Ist der SSH-Zugang aktivert, kann man sich nun mit dem Admin-Benutzer anmelden (IP anpassen):

$ ssh admin@192.168.1.254

Unter Punkt 12 findet man die Entwickler-Shell, die im Grunde eine PHP-Shell ist.

Beispielbefehle für pfSsh.php

Hier einige Beispielbefehle, die zeigen sollen, wie man die Shell verwenden kann. Jede Eingabe ist normaler PHP Code und muss mit exec; abgeschlossen werden.

DHCP Einstellungen anzeigen

pfSense shell: print_r($config["dhcpd"]);
pfSense shell: exec;
Array
(
    [lan] => Array
        (
            [range] => Array
                (
                    [from] => 10.0.1.7
                    [to] => 10.0.255.245
                )

        )

)

Domain festlegen

pfSense shell: $config['system']['domain'] = 'mydomain.com';
pfSense shell: write_config();
pfSense shell: exec;

Shell – Befehle ausführen

Innerhalb der PHP Shell kann man auch normale Shell-Befehle ausführen, indem man ein „!“ davor setzt:

pfSense shell: ! cat /etc/version 
pfSense shell: exec;
2.4.3-RELEASE

Befehle „aufnehmen“ und „abspielen“

Mit pfSsh.php kann man auch mehrere Befehle „aufnehmen“ und später „abspielen“. Diese sogenannten Sessions sind für wiederkehrende Aufgaben nützlich. Ein Beispiel:

pfSense shell: record echoTest
Recording of echoTest started.
pfSense shell: echo "Das\n";
pfSense shell: echo "ist\n";
pfSense shell: echo "ein\n";
pfSense shell: ! echo "Test\n"
pfSense shell: exec;
pfSense shell: stoprecording 
Recording stopped.

Die Eingaben werden unter /etc/phpshellsessions/ gespeichert und können dort bei Bedarf verändert werden.

Die „Aufnahme“ kann man nun wie folgt wiedergeben:

pfSense shell: playback echoTest

Playback of file echoTest started.

Das
ist
ein
Test

pfSense shell:

oder auch direkt von der root-Shell mit:

$ pfSsh.php playback echoTest

Fazit

pfSsh.php ist ein nützliches Werkzeug, um pfSense mit Skripten zu automatisieren oder Anpassungen vorzunehmen. Gerade, wenn man mehrere Instanzen verwaltet oder ein bestimmtes Setup immer wieder braucht, ist pfSsh.php eine große Hilfe. Man kann z.B. alle Einstellung (sprich PHP-Code) in eine Datei packen, unter /etc/phpshellsessions/ speichern und dann ausführen oder direkt die Ausgabe an pfSsh.php weiterleiten:

$ ssh admin@192.168.1.254 '/usr/local/sbin/pfSsh.php' < MeineConfig.txt

2 Kommentare

Der Beitrag pfSense automatisieren mit pfSsh.php erschien zuerst auf .:zefanjas:..

Mozilla hat seinen Finanzbericht für das Jahr 2017 veröffentlicht und konnte demnach seinen Umsatz im Vergleich zum Vorjahr erneut steigern. Mozillas Vermögen ist gegenüber 2016 um knapp 90 Millionen Dollar gewachsen.

Wie jedes Jahr am Jahresende hat Mozilla auch in diesem Jahr seinen Finanzbericht für das Vorjahr veröffentlicht, welcher offenlegt, in welcher Höhe Mozilla Einnahmen und Ausgaben hatte.

Mozilla konnte seinen Umsatz von etwas mehr als 520 Millionen im Vorjahr auf über 562 Millionen Dollar im Jahr 2017 steigern, was einer Steigerung von knapp über acht Prozent entspricht. Der Großteil kommt dabei von Partnerschaften mit Suchmaschinen. Pocket, von Mozilla letztes Jahr für 30 Millionen Dollar gekauft, hat Einnahmen in Höhe von drei Millionen Dollar gebracht.

Bildquelle: soeren-hentzschel.at/mozilla-umsatz

Auf der Ausgaben-Seite stehen knapp 422 Millionen Dollar, verglichen mit etwas mehr als 360 Millionen Dollar im Vorjahr, was einer Steigerung von beinahe 17 Prozent entspricht. Knapp 253 Millionen Dollar davon sind Budget für die Produktentwicklung, unter anderem von Firefox (2016: knapp über 226 Millionen Dollar). Für Marketing wurden 66 Millionen Dollar ausgegeben, verglichen mit 47 Millionen Dollar im Jahr 2016. Mozillas Nettovermögen ist von etwas mehr als 426 Millionen auf über 514 Millionen Dollar gewachsen.

Der Beitrag Finanzbericht veröffentlicht: Mozillas Umsatz auch im Jahr 2017 wieder gestiegen erschien zuerst auf soeren-hentzschel.at.

Im Frontend-Development bin ich nur noch sporadisch aktiv, weswegen ein großer Teil der npm-Ära an mir vorbei gezogen ist.

Trotzdem eine Kurzfassung, um was es geht: heutzutage werden auch JS- oder CSS-Module paketartig verwaltet, so richtig schön mit dependency (Abhängigkeiten) management, etc. Ein großes Ökosystem hierum ist npm und sein repository.

Das Problem: viele nutzen npm mit den Paketen und ihren mitunter tausenden Abhängigkeiten - niemand kann diese ernsthaft aber auch Sicherheit und Schadsoftware überprüfen.

Viele haben daher vor möglichen Sicherheitsgefahren gewarnt. Heute wurden sie "bewiesen":

Es geht um das Paket event-stream (MIT-lizenziert), dessen Entwickler das Paket an einen Maintainer übergeben hat, der nun eine Abhängigkeit eingeschleust hat, die in ihrer minified version es darauf absieht, Bitcoin-Wallet-Nutzern ihre privaten Schlüssel zu klauen.

Das Problem mit gefährlichen Abhängigkeiten besteht seit langer Zeit und NPM ist ein lukratives Ziel hierfür. Wer event-stream nutzt (und das sind so einige Projekte), sollte sein npm samt der Abhängigkeiten checken.

Hier die GitHub-Diskussion, die mittlerweile 1000+ Posts hat: https://github.com/dominictarr/event-stream/issues/116

Beim Schließen von Firefox per Tastatur fragt Firefox vor dem Schließen nach – sofern die automatische Sitzungswiederherstellung nicht aktiviert ist. Ab Firefox 65 fragt Firefox auch bei aktivierter Sitzungswiederherstellung nach.

Die Sitzungswiederherstellung von Firefox erlaubt es, Firefox zu beenden und zu einem späteren Zeitpunkt den Mozilla-Browser mit diesen Tabs wieder zu starten. Bei automatischer Sitzungswiederherstellung öffnen die zuletzt geöffneten Tabs nach dem Start von ganz alleine, bei nicht automatischer Sitzungswiederherstellung können die Tabs der letzten Sitzung über einen entsprechenden Eintrag im Firefox-Menü geöffnet werden.

Nicht geschlossene Tabs gehen beim Beenden von Firefox also nicht verloren. Nichtsdestominder kann es ärgerlich sein, wenn man Firefox versehentlich schließt. Gerade am Mac, wo dies per Cmd + Q geschieht, was direkt neben Cmd + W zum Schließen eines einzelnen Tabs liegt, passiert dies Nutzern immer wieder unbeabsichtigt. Gleiches gilt auf Linux für Strg + Q.

Bisher hat diese Tastenkombination die Warnung nur dann ausgelöst, wenn die automatische Sitzungswiederherstellung nicht aktiviert war. In Firefox 65 hat Mozilla den neun Jahre alten Wunsch umgesetzt, die Warnung von der Sitzungswiederherstellung zu entkoppeln. In Zukunft erscheint die Warnung also auch, wenn die automatische Sitzungswiederherstellung aktiviert ist.

Der Beitrag Firefox 65: Entkoppelung von Sitzungswiederherstellung und Warnung beim Schließen erschien zuerst auf soeren-hentzschel.at.

Im letzten Quartal hat sich im Bereich der Sicherheitsdistributionen noch einmal etwas getan.

BackBox 5.2

Bereits im Spätsommer wurde BackBox 5.2 veröffentlicht. Außer den üblichen Updates des Kernels (4.15) und der Tools wurden hier keine weiteren Änderungen vorgenommen.

BlackArch 2018.06.01

Auch hier wurde ein neues OVA Images im Sommer veröffentlicht. Rubygems wurde nachgereicht, sowie der Kernel 4.17.11 und Updates.

Im Repository befinden sich nun ganze 2079 Tools.

CAINE 10

Eine weitere Distribution, welche unter anderem auch Windows Tools an Bord hat wurde auf Version 10 angehoben. 
Das Computer Aided INvestigative Environment mit dem Codename Infinity basiert nun auf Ubuntu 18.04 LTS, unterstützt UEFI/SECURE BOOT und beinhaltet Kernel 4.15.0-38.

In den Standardeinstellungen mounten Laufwerke nur im Lesemodus, diese müssen gesondert freigeschaltet werden.
Neue Tools sind unter anderem Autospy 4.9, Carbon 14, OsintSpy oder Stegosuite.

Den gesamtem Changelog finden Geübte auf der Homepage

Kali Linux 2018.4

Die neueste Version von Offensive Security bringt neben Kernel 4.18.10 eine experimentelle Raspberry Pi Unterstützung mit.

Es wurde Wireguard (eine VPN Lösung) integriert. Die Tools Burp Suite, Patator, Gobuster, Binwalk, Faraday, Fern-Wifi-Cracker, RSMangler, theHarvester, wpscan, und weitere haben Updates erhalten.

Der Changelog ist unter https://bugs.kali.org/changelog_page.php zu finden.

Parrot Security 4.4

Parrot 4.3 bzw. 4.4 arbeitet an einem Long Term Support und hat den Kernel 4.18 integriert.

Außerdem wurde auf die neues Variante von Debian Buster, sowie Firefox 63 aktualisiert.

Es wurde auf den VSCodium Editor gewechselt, dieser hat im Vergleich zu den kommerziellen Kollegen keine Telemetrie und dergleichen aktiviert. 

Parrot 4.4 hat vollen Golang, Mono, Vala und Rust Support erhalten.

BTRFS und XFS gelten nun als Standarddateisystem.

Übersicht 11/2018

Wer sich dafür interessiert, welche Webseiten und Erweiterungen den Browser besonders beanspruchen, findet ab Firefox 64 einen integrierten Task-Manager im Mozilla-Browser, welcher in Firefox 65 weitere Verbesserungen bereit hält.

Unter der Seite about:performance bietet Firefox bereits ein Tool, welches des Ressourcen-Verbrauch von Webseiten anzeigt. Dieses ist allerdings versteckt, nicht sehr ansprechend gestaltet und vor allem nicht einfach zu interpretieren. Zwar deuten farbliche Markierungen an, wie sehr die jeweilige Webseite Firefox belastet, die detaillierten Information dazu sind allerdings sehr technisch.

Mit Firefox 64 ersetzt Mozilla about:performance durch einen neuen Task-Manager, welcher dazu im Hauptmenü (unter „Sonstiges“) verlinkt und somit leichter zugänglich ist.

Das neue Werkzeug in Firefox 64 ist mehr als nur ein neuer Anstrich für das bisherige Tool. So zeigt der Task-Manager auch den Ressourcen-Verbrauch von Erweiterungen an und die technischen Informationen sind einer leicht verständlichen Spalte für den Energieverbrauch gewichen. Neben einem Zahlenwert vereinfacht eine Kategorisierung wie beispielsweise „Niedrig“, „Mittel“ oder „Hoch“ die Einordnung dieses Wertes in einer Weise, wie sie für jeden Nutzer verständlich ist. In Firefox 65 kommt eine weitere Spalte dazu, welche den Speicherverbrauch der jeweiligen Webseite respektive Erweiterung anzeigt.

Fährt man mit der Maus über eine Webseiten-Zeile, kann der jeweilige Tab per Klick auf ein dafür vorgesehenes Symbol geschlossen werden. Macht man Gleiches bei einer Erweiterungs-Zeile, gelangt man hierüber in die Detail-Ansicht der Erweiterung im Add-on Manager von Firefox, wo man die Erweiterung deaktivieren oder deinstallieren kann.

Weitere Verbesserungen sind bereits geplant. So soll der Energieverbrauch in der entsprechenden Spalte auch noch visuell dargestellt werden, indem die Spalte wenig bis vollständig ausgefüllt wird. Außerdem soll per Schaltfläche der Zugriff von Tabs auf die JavaScript-Engine pausiert werden können.

Darüber hinaus plant Mozilla eine Integration der beiden Performance-Informationen Energie-Verbrauch sowie Speicherbedarf in das Panel, welches bei Klick auf das Info-Symbol in der Adressleiste erscheint und wo der Nutzer bereits Informationen zum HTTPS-Zertifikat, zum Content-Blocking sowie zu Webseiten-Berechtigungen erhält.

Der Beitrag Firefox 64: Firefox erhält einen Task-Manager erschien zuerst auf soeren-hentzschel.at.

Manchmal kommt man nicht weiter. So wie heute. Meine virtuellen Maschinen sind über IPv4 und IPv6 angebunden. Prinzipiell funktioniert das sowohl ein- als auch ausgehend problemlos. Wäre da nicht ein kleines Problem.

Aus einem bisher mir unerklärigen Grund ist der ausgehende Netzwerkverkehr über IPv6 schnarchend langsam. Sei es ein APT oder ein WGET, es benötigt alles gefühlt 3-5 Minuten. Da ich nicht den ganzen Tag mit der Problemsuche verbringen wollte, habe ich die Präferenz, welches Protokoll Debian vorzieht umgestellt - ich wusste zwar, dass bei der Namensauflösung versucht wird AAA-Records immer vor A-Records aufzulösen, wenn diese vorhanden sind. Was mir neu war ist, dass man auf dieses Verhalten Einfluss nehmen kann.

Dies geschieht sowohl unter Debian als auch unter CentOS in der Datei /etc/gai.conf. Unter Debian muss dafür folgende Zeile gesucht und einkommentiert werden:

precedence ::ffff:0:0/96  100

Unter CentOS ist ein wenig mehr Aufwand gefordert:

label       ::1/128        0
label       ::/0           1
label       2002::/16      2
label       ::/96          3
label       ::ffff:0:0/96  4
precedence  ::1/128        50
precedence  ::/0           40
precedence  2002::/16      30
precedence  ::/96          20
precedence  ::ffff:0:0/96  100

Anschließend bevorzugt Debian/CentOS IPv4 vor IPv6.

Manchmal kommt man nicht weiter. So wie heute. Meine virtuellen Maschinen sind über IPv4 und IPv6 angebunden. Prinzipiell funktioniert das sowohl ein- als auch ausgehend problemlos. Wäre da nicht ein kleines Problem.

Aus einem bisher mir unerklärigen Grund ist der ausgehende Netzwerkverkehr über IPv6 schnarchend langsam. Sei es ein APT oder ein WGET, es benötigt alles gefühlt 3-5 Minuten. Da ich nicht den ganzen Tag mit der Problemsuche verbringen wollte, habe ich die Präferenz, welches Protokoll Debian vorzieht umgestellt - ich wusste zwar, dass bei der Namensauflösung versucht wird AAA-Records immer vor A-Records aufzulösen, wenn diese vorhanden sind. Was mir neu war ist, dass man auf dieses Verhalten Einfluss nehmen kann.

Dies geschieht sowohl unter Debian als auch unter CentOS in der Datei /etc/gai.conf. Unter Debian muss dafür folgende Zeile gesucht und einkommentiert werden:

precedence ::ffff:0:0/96  100

Unter CentOS ist ein wenig mehr Aufwand gefordert:

label       ::1/128        0
label       ::/0           1
label       2002::/16      2
label       ::/96          3
label       ::ffff:0:0/96  4
precedence  ::1/128        50
precedence  ::/0           40
precedence  2002::/16      30
precedence  ::/96          20
precedence  ::ffff:0:0/96  100

Anschließend bevorzugt Debian/CentOS IPv4 vor IPv6.