In zwei Wochen ist es wieder soweit. Am 10. und 11. März finden im zentralen Hörsaal- und Seminar-Gebäude der Technischen Universität Chemnitz wieder die alljährlichen Chemnitzer Linux-Tage (CLT) statt. In diesem Jahr sogar als Jubiläum, denn die Veranstaltung wird bereits seit 1999 mittlerweile zum 20. Mal abgehalten.
Die Organisation und Durchführung der Veranstaltung obliegt den Studenten und Mitarbeitern der TU Chemnitz. Des Weiteren sind die Chemnitzer Linux User Group des IN Chemnitz e.V., die Fakultät für Informatik sowie das Rechenzentrum der TU Chemnitz an der Organisation beteiligt. Die Veranstaltung bietet neben vielen Vorträgen und Workshops auch Raum für Projekte aus dem Linux-Umfeld, sich dem Publikum vorzustellen und ist für die deutsche und europäische Community ein wichtiger Treffpunkt im Jahresverlauf, um sich persönlich zu treffen. Seit der LinuxTag, der zuletzt in Berlin ansässig war, seine Pforten geschlossen hat, ist der CLT mit rund 3.000 Besuchern an zwei Tagen die größte deutsche Veranstaltung rund um Linux und freie Software.
Das Vortragsprogramm ist mit über 90 Vorträgen aus verschiedenen Bereichen prall gefüllt. Die Themen richten sich teils an Anfänger, teils an Fortgeschrittene und Profis. Letztere spricht bestimmt der stets beliebte Vortrag Aktuelle Entwicklungen beim Linux-Kernel von Thorsten Leemhuis an. An erfahrene Linuxer und solche die es werden wollen richtet sich beispielsweise auch der Vortrag zu der deklarativen Linux-Distribution NixOS, die alles ein wenig anders macht als üblich.
Wer Interesse an Crypto-Währungen hat, findet einen Einstieg im Vortrag Cryptos – Technik und Benutzung. Unter dem Motto »Jeder fängt mal an« und im »Einsteigerforum« gibt es Vorträge zu Einsteigerthemen für reine Anwender und künftige Community-Mitglieder. Workshops laden zum praktischen Lernen ein, sollten aber bald gebucht werden, denn diese sind immer bereits früh ausverkauft. Auch an den Nachwuchs wird gedacht. Unter dem Motto »CLT Junior – Technik, die Spaß macht« werden Workshops für Jugendliche ab 10 Jahren angeboten. In diesem Jahr werden die Bereiche Roboter-Programmierung, RaspberryPi und Spiele-Programmierung abgedeckt.
Im Bereich »Linux-Live« stellen sich mehr als 60 Projekte, Distributionen und Unternehmen aus den Bereichen Linux und Open Source den Fragen des Publikums. An den Ständen der Distributionen können Besucher mit den Entwicklern sprechen oder Lösungen für Probleme suchen. Im Obergeschoss wird unter anderem für das leibliche Wohl gesorgt. Dort können wie in jedem Jahr auch diesmal wieder günstig die Prüfungen des Linux Professional Institut (LPI) abgelegt werden. Alte und neue Bekanntschaften können am Abend des 10. März auf der Linux-Nacht bei Speis und Trank in entspannter Atmosphäre gepflegt werden.
Der CLT ist eine liebenswerte, gut organisierte und trotzdem lockere Veranstaltung, die ich seit Jahren immer wieder gerne besuche. Wer vorbeikommen möchte, um Hallo zu sagen, zu loben oder zu kritisieren, findet mich am Stand von siduction, gleich neben Debian.
Purism, der US-amerikanische Ausrüster von Linux-Notebooks, der auch hinter dem in Entwicklung befindlichen Linux-Smartphone Librem 5 steht, hat einen ersten Schwung neuer Notebooks für 2018 auf Lager, wie jetzt im Firmenblog nachzulesen ist. Alle Bestellungen der Notebooks Librem 13 und Librem 15 werden künftig ohne zusätzliche Kosten mit dem Sicherheitsmerkmal Trusted Platform Module (TPM) ausgeliefert. Das TPM setzt den Anspruch an die Wahrung von Sicherheit und Privatsphäre um, den Purism bereits seit Längerem durch die in den Librem-Notebooks verbauten Schalter zum Abschalten von WLAN, Bluetooth, Kamera und Mikrofon vorgibt.
TPM grundsätzlich nicht schlecht
Das TPM ist ein fest auf der Hauptplatine aufgelöteter Chip. Dort können Sicherungsschlüssel gespeichert werden, die zum Ver- und Entschlüsseln von Daten nötig sind. Der Chip kann auch digitale Signaturen und die Kennung des Computers aufnehmen, die den Zugriff auf Netzwerke regelt. TPM-Module sind bei Business-Notebooks schon länger üblich, in Notebooks für Privatanwender bisher allerdings nur wenig verbreitet. Sie waren im Zusammenhang mit Microsoft Windows auch lange Zeit verpönt. Das es dafür keinen plausiblen Grund gibt, erläuterte Matthew Garrett 2016 auf der Linux-Conf in Australien.
Deutsches Tastaturlayout
Die mit dem Debian-basierten hauseigenen PureOS ausgelieferten Notebooks werden ab sofort für deutsche Anwender gleich doppelt interessant. Zunächst fallen international die Versandkosten weg, womit die Anschaffung um rund 100 US-Dollar günstiger wird. Zusätzlich werden die Geräte aufgrund der hohen Nachfrage auch mit deutschem Tastatur-Layout ausgeliefert. Jetzt bestellte Notebooks werden ab Mitte März ausgeliefert. Das Librem 13 kostet ab 1.399 US-Dollar, das Librem 15 kommt ab 1.599 Dollar ins Haus. Für eine deutsche Tastaturbelegung kommen noch einmal 79 Dollar hinzu. Für 10 Dollar kann ein USB-Stick mit Qubes OS dazubestellt werden, mit dem PureOS durch das auf möglichst hohe Sicherheit ausgelegten Qubes OS ersetzt werden kann. Version 4 der Distribution wird seit kurzem von Purism-Geräten voll unterstützt.
Auf der Debian-Entwickler-Mailing-Liste wird seit einigen Tagen in dem Thread What can Debian do to provide complex applications to its users? ausgiebig über ein Problem diskutiert, das im Kern die saubere Paketierung von komplexen Anwendungen in Debian betrifft, die meist aus dem Bereich Web-Applikationen stammen. Dabei geht es beispielsweise um Applikationen. die auf die Plattform Node.js und deren Repository NPM setzen. Es ist nicht das erste Mal, dass Debian diese Probleme diskutiert, die im Endeffekt auch die eigene Relevanz in der Zukunft der Linux-Distributionen betreffen.
Debian diskutiert neue Entwicklungsmodelle
Die Welt der Software-Entwicklung verändert sich seit Jahren rapide außerhalb des Debian-Ökosystems. Ein aktueller Trend in der Software-Entwicklung ist die Verwendung von Programmiersprachen, oft interpretierte Hochsprachen, kombiniert mit der intensiven Nutzung von Drittanbieter-Bibliotheken und einem sprachspezifischen Paketmanager für die Installation von Bibliotheken durch Entwickler und den Systemadministrator, der die Software für die Produktion installiert. Dadurch werden Linux-Distributionen zunehmend umgangen.
Nicht kompatibel
Debians Richtlinien kollidieren hier häufig mit der gebotenen Aktualität bei dieser Art von Anwendung. Sicherheit ist dabei ein wichtiges Thema. Es wird in dem Thread unter anderem zu Recht bemängelt, dass Quelltext und Copyright-Informationen der in Web-Applikationen häufig verwendeten unzähligen JavaScript-Bibliotheken von Upstream oft nicht angegeben oder gar unbekannt sind, was in Debian prinzipiell unakzeptabel ist. Darüber hinaus werden JavaScript-Bibliotheken als Abhängigkeiten in solchen Anwendungen häufig aktualisiert, während in Debian noch eine ältere Version der Bibliothek Standard ist und somit die Anwendung bricht.
Viele Upstream-Entwickler solch komplexer Anwendungen ziehen es zunehmend vor, wegen der als restriktiv angesehenen Richtlinien nicht mit Debian zusammenzuarbeiten. Dabei geht es oft um Anwendungen, die neben JavaScript auf PHP, Python, Ruby oder Golang setzen. Die kurzen Supportzeiträume dieser Frameworks und Sprachen passen nicht mit Debians Philosophie zusammen. Ein weiteres Problem ist die Minifizierung, die neben CSS besonders bei JavaScript angewendet wird, um eine beschleunigte Ausführung des Codes zu erreichen. Dies ist aber nicht konform mit Debians Social Contract und ergibt im Ergebnis unwartbaren Quellcode. Deshalb sehen auch Debians FTP-Master und das Technical Comitee minifizierten Code als für Debian unbrauchbar an.
Weiterhin spielt das Thema Vendoring eine Rolle. Vendoring ist die Erstellung einer eigenen Kopie von Bibliotheken, die ein Upstream- Projekt verwendet. Diese Kopien werden traditionell in jedem Projekt platziert und dann im Projekt-Repository gespeichert. Gibt es in einer der Original-Bibliotheken ein Sicherheitsproblem, so wird die »vendored version« oft nicht oder viel zu spät aktualisiert. Auch das entspricht nicht Debians Richtlinien.
Debian-Paket oder externe Anwendung?
Das Dilemma, vor dem die Entwickler und Anwender hier stehen ist nicht leicht zu lösen. Fällt die Wahl auf das Debian-Paket einer Anwendung (sofern eins existiert), so kann meist die gebotene Aktualität, die bei Web-Anwendungen besonders wichtig ist, nicht gewährleistet werden oder die Anwendung bricht bei der Aktualisierung.
Als Alternative kann der Anwender auf die Upstream-Version zurückgreifen, bei der es gleich mehrere Unbekannte gibt. Sie wird meist mit einem eigenen Installer wie Pip im Fall von Python oder NPM für das allgegenwärtige Node.js. Diese Installer schaufeln Code auf die Rechner, der in keiner Weise einer Verifizierung unterliegt, wie das für Debian-Repositories der Fall ist. Andererseits handhaben diese Installer oft Hunderte von Abhängigkeiten, die ein Debian-Maintainer zeitlich gar nicht bewältigen kann.
Container oder Flatpaks
Welche Lösungen gibt es für diese Problematik? Und ist Debian flexibel genug, um mögliche Lösungen umzusetzen? Das sind Fragen, die nicht nur im Thread selbst, sondern auch in den Blogs der beiden Debian-Urgesteine Lars Wirzenius und Joey Hess aufgegriffen werden. Ein diskutierter Lösungsansatz ist die Verwendung von Containern oder Flatpaks innerhalb der Debian-Infrastruktur für solche Anwendungen. Denkbar wäre auch ein Repository für solche Pakete, ähnlich denen für contrib und non-free. Hier müsste klar vermittelt werden, dass für solch ein Repository keine Sicherheitsunterstützung gewährleistet wird.
Vision für die Zukunft?
Eine andere Möglichkeit wäre, Pakete in mehreren Versionen zuzulassen wie das beispielweise für C-Bibliotheken, GCC, Python und andere schon länger der Fall ist. Der Blick richtet sich zudem auf Distributionen wie NixOS, die nicht der traditionellen Verzeichnisstruktur des Filesystem Hierarchy Standard folgen. NixOS erlaubt mehrere Versionen einer Anwendung gleichzeitig, wobei jede Version der Anwendung ihre Dateien in einem eigenen Verzeichnis ablegt. Alle vorgebrachten Ideen drohen aber an der fehlenden Entwickler- und Betreuerzeit in Debian zu scheitern.
Das vorliegende Problem betrifft aber auch die Relevanz von Debian. So formuliert denn auch ein Entwickler:
[su_quote style=“flat-light“ cite=“Vincent Bernat“ url=“https://lists.debian.org/debian-devel/2018/02/msg00343.html“] I have the […] feeling Arch is taking away our desktop users, Ubuntu is taking away our cloud users, Alpine is taking away our container users and CoreOS/Atomic Host are taking away users interested by container orchestration solutions.[/su_quote]
Freie Software weiter tragfähig?
Tritt man etwas weiter zurück, so sieht es auf längere Sicht für Linux-Distributionen in ihrer jetzigen Form insgesamt nicht rosig aus. Viele junge Entwickler scheren sich nicht mehr um Werte wie Lizenzen, lesbaren und dokumentierten Quellcode oder nachvollziehbare Copyright-Angaben. Wenn allerdings das Modell der Distributionen nicht mehr tragfähig ist, worauf wollen Entwickler freier Software dann ihre Anwendungen laufen lassen?
Foto: Pineapple Supply Co. auf Unsplash
KDE e.V, der Verein hinter der KDE-Gemeinschaft gab heute bekannt, 200.000 US-Dollar als Spende vom Pinapple Fund erhalten zu haben. Das stimmt so nur indirekt, da die Spende sich auf 17,35 BitCoin belief. Der Pinapple Fund machte bereits Ende Januar in der Open-Source-Szene von sich reden, als die Free Software Foundation (FSF) 91,45 Bitcoin erhielt, was zu dem Zeitpunkt einer Million Dollar entsprach.
Lydia Pintscher als Präsidentin des KDE e.V. freut sich über den Geldsegen:
»KDE ist sehr dankbar für diese Spende. Wir möchten dem Pinapple Fund unsere tief empfundene Wertschätzung für seine Großzügigkeit aussprechen. Wir werden die Mittel einsetzen, um unsere Sache voranzutreiben und Freie Software für jedermann und auf allen Plattformen zugänglich zu machen. Das Geld wird uns helfen, unsere Vision zu verwirklichen, eine Welt zu schaffen, in der jeder die Kontrolle über sein digitales Leben hat und Freiheit und Privatsphäre genießt.«
Bitcoin-Philantropie
Der Pineapple Fund war erst im Dezember ins Leben gerufen worden. Der Gründer bleibt anonym hinter dem Pseudonym »Pine«. Er sagt von sich selbst, er gehöre zu den 250 Menschen mit dem größten Bitcoin-Vermögen auf der Welt. Der Fund hat das Ziel, insgesamt 86 Millionen Dollar in Bitcoin an gemeinnützige Organisationen zu spenden. Derzeit sind bereits 52.612.250 Dollar an insgsamt 57 Organisationen gegangen. Die New York Times bezeichnete diese Art der Gönnerschaft als »mysteriöse Cryptocurrency-Philantropie«.
Breit gestreut
»Once you have enough money, money doesn’t matter« Pine
Alle Transaktionen sind im Internet zu verfolgen, da Pine seine Bitcoin-Adresse öffentlich macht. Die Projekte der mit Bitcoin bedachten Organisationen reichen von klinischen Studien mit Psychedelika gegen PTSD über sauberes Wasser für Afrika bis hin zum Unterrichten von Kindern im Lesen und Schreiben. Es geht dem Pinapple Fund dabei darum, mit den Zuwendungen mutige und intelligente Wetten auf die Zukunft abzuschließen, die hoffentlich jeden auf der Erde beeinflussen werden.
Unter den Beschenkten sind neben der FSF und dem KDE e.V. noch weitere Projekte aus dem Umfeld freier Software wie Let’s Encrypt, Apache Foundation, Software Freedom Conservancy, OpenstreetMap, OpenBSD und die Electronic Frontier Foundation (EFF).
Die Zertifizierungsstelle (CA) Let’s Encrypt hat die Marke von 50 Millionen aktiver Zertifikate überschritten. Das Ende 2014 gegründete freie Projekt ist mit dem Angebot kostenloser und automatisierter TLS-Zertifikate in drei Jahren zu einer der größten CAs weltweit geworden. Die Zertifikate verschlüsseln die Transportwege zwischen Webseiten und Servern per HTTPS und tragen damit erheblich zur Sicherheit des Internet bei. Hauptsponsoren des Projekts sind unter anderem Akamai, Cisco, die Electronic Frontier Foundation, die Ford-Foundation, Google und Mozilla.
Bald auch Wildcard-Zertifikate
Die Zahl der per Zertifikat von Let’s Encrypt geschützten Webseiten beläuft sich derzeit auf rund 66 Millionen. Damit konnte 2017 die Zahl der verschlüsselten Webseiten von 46 auf 67 Prozent angehoben werden. Für das Jahr 2018 hat sich die Internet Security Research Group (ISRG), die hinter Let’s Encrypt steht, viel vorgenommen. Die Zahl der aktiven Zertifikate sowie der eindeutigen Domains soll im kommenden Jahr auf 90, respektive 120 Millionen erhöht werden. Weitere Pläne für 2018 sehen mit dem ACME-Protokoll in Version 2 für Ende Februar die Unterstützung für Wildcard-Zertifikate vor. Später im Jahr will Let’s Encrypt ECDSA-Root-Zertifikate einführen. ECDSA gilt als die Zukunft digitaler Signatur-Algorithmen, die als effizienter als RSA angesehen werden.
Der Erfolg von Let’s Encrypt liegt einerseits darin, dass die Zertifikate kostenfrei ausgegeben werden, andererseits aber auch an der Einfachheit mit der sie erstellt und automatisiert erneuert werden können. Mittlerweile gibt es über 60 Clients für unterschiedliche Plattformen, von denen der von der Electronic Fronmtier Foundation (EFF) entwickelte Certbot der bekannteste ist.
Die Infrastruktur hinter der Certificate Authority (CA) Let’s Encrypt besteht derzeit aus rund 70 Servern, Switches und Firewalls. Der Finanzbedarf des Projekts bleibt dabei weiterhin relativ gering. Das Budget für 2018 beträgt gerade einmal drei Millionen US-Dollar.
Festplatten kennen eigentlich nur drei Zustände: leer, voll und kaputt. Wenn mal wieder der zweite Zustand erreicht ist, fragt man sich zunächst: »Wie konnte das geschehen?« und gleich danach: »Was ist da drauf?« Unter Linux gibt es mehrere Möglichkeiten, die letzte Frage zu beantworten. In meinen Linux-Anfängen hab ich mir einen Überblick mit grafischen Tools wie KDirStat, Filelight oder Baobab verschafft. Diese haben mehrere Nachteile: Zunächst ist der Aufbau des grafischen Abbilds der Festplatte bei großen Partitionen mit vielen Verzeichnissen und Dateien ziemlich langsam. Zudem braucht man dann immer noch eine Maus um anhand der Tooltips den Inhalt der farbigen Kuchenstücke zu ergründen.
Für Konsoleros
Deshalb benutze ich schon seit vielen Jahren dafür das Kommandozeilen-Tool ncdu, was für NCurses Disk Usage steht. Es ist eine Erweiterung des Linux-Standard-Werkzeugs du durch die freie Toolkit Ncurses. Wenn dann über Nacht mal wieder das Log von xsession.errors vollgelaufen ist und die Festplatte kein freies Bit mehr aufweist, lässt sich mit ncdu auch ohne grafische Oberfläche der Bösewicht schnell identifizieren und mit Bordmitteln löschen. Jägern und Sammlern hilft das Tool, ihren Sammeltrieb überschaubar zu halten. Auch auf Servern erweist sich ncdu als extrem nützlich.
Überall verfügbar
Ncdu gibt es fertig paketiert bei den meisten Distributionen im Archiv. Es wurde von Yoran Heling 2007 erstmals veröffentlicht, steht unter einer MIT-Lizenz und steht neben Linux auch für Unix, BSD und IBMs z/OS zur Verfügung. Die Bedienung ist denkbar einfach. Das Home-Verzeichnis wird beispielsweise mit – wen wunderts – ncdu /home/USERNAME aufgerufen.
Daraufhin erscheint in Windeseile eine Liste aller dort versammelten Ordner, absteigend nach Größe organisiert. Die Navigation geschieht mit den Plus-Minus-Pfeiltasten. Die Rechts-Links-Tasten dienen dem Abstieg in der Ordnerhierarchie und wieder zurück. Ist ein Ordner oder eine Datei ausgemacht, die entfernt werden soll so erledigt das ein Tastendruck auf d. Soll der Inhalt alphabetisch sortiert werden, hilft die Taste n, mit s geht es wieder zurück. Alle weiteren Optionen listet das ausführliche Manual auf.
Das Ende der Fahnenstange ist noch nicht erreicht bei den Sicherheitslücken in den CPUs fast aller Hersteller der letzten 25 Jahre. Sicherheitsforscher der Universität Princeton und von Nvidia haben weitere Angriffsszenarien zur Ausnutzung von Meltdown und Spectre entdeckt, die nicht von den anfänglichen »Proof-of-concept«-Beispielen abgedeckt sind. Wie The Register gestern berichtete, beschreibt ein Forschungspapier unter dem Titel MeltdownPrime and SpectrePrime: Automatically-Synthesized Attacks Exploiting Invalidation-Based Coherence Protocols (PDF) neue Varianten der Meltdown- und Spectre-Exploits.
Neue Wege für Malware
Das Forscherteam hat neue Wege für Malware entdeckt, um sensible Informationen wie Passwörter und andere Geheimnisse aus dem Speicher eines anfälligen Computers zu extrahieren, indem es die Designfehler in modernen Prozessoren ausnutzt. Die Patches, die gerade entwickelt und ausgerollt werden, um den Angriffsvektor der Meltdown- und Spectre-Angriffe weiter zu verkleinern, werden diese neuen Exploits wahrscheinlich abdecken. Erst gestern wurden weitere Verbesserungen in dieser Hinsicht in den Mainline-Kernel eingebracht.
Intel muß zurück ans Reißbrett
Andererseits greifen die neuen Exploits so tief in die Chip-Architektur ein, dass die Änderungen direkt im Silicon, die Intel gerade plant, vermutlich nicht ausreichen um die CPU-Blaupausen von diesen Schwachstellen zu befreien. Es gibt allerdings bisher noch keine bekannt gewordenen Angriffe, die auf dem ursprünglichen oder dem neuen Exploit basieren. Das ist aber vermutlich eher der Komplexität der Sache geschuldet als dem Desinteresse der potentiellen Ausnutzer dieser Lücken.
Automatisierte Suche
Die Forscher haben ein bisher nicht näher beschriebenes Werkzeug entwickelt, das Microschip-Architektureen auf Angriffsszenarien hin überprüft. Sie identifizierten dabei neue Wege, um die Fehler des Prozessors auszunutzen. Diese neuesten Exploit-Techniken werden als MeltdownPrime und SpectrePrime bezeichnet. Die neuen Exploits unterscheiden sich von ihren Vorgängern unter anderem dadurch, dass sie als Zweikern-Angriffeausgelegt sind, sie verwenden zwei CPU-Kerne gegeneinander und nutzen die Art und Weise aus, wie in Mehrkernsystemen auf Speicher zugegriffen wird.
Höhere Preisgelder
Derweil hat Intel sein Bug-Bounty-Programm ausgedehnt. Die Erweiterung soll bis zum Jahresende aufrechterhalten werden und speziell weitere Seitenkanalattacken wie Spectre enthüllen. Die Preisgelder belaufen sich dabei auf bis zu 250.000 US-Dollar pro Entdeckung. Der bisherige Modus der Einladung von Intel, am Programm entfällt, es können Sicherheitsforscher aus der ganzen Welt teilnehmen.
Ab dem 15. Februar blockiert Googles Browser Chrome Werbung, notfalls auch die eigene. Dabei will der Konzern, der selbst massiv von Werbung lebt, aber nicht den Ad-Blockern Konkurrenz machen, die durchschnittlich von 31 Prozent aller Besucher im Internet benutzt werden. Ad-Blocker versuchen, jegliche Werbung zu unterdrücken. Der Browser Opera bringt bereits einen solchen restriktiven Adblocker mit, ebenso der Browser Brave des ehemaligen Mozilla-Vorstands Brendan Eich. Google verfolgt ein anderes Modell und will Werbung selektiv blockieren.
Webseiten, die nicht als reines Hobby betrieben werden, müssen sich finanzieren, das ist einzusehen. Das geschieht auf verschiedenen Wegen. Werbung ist eines der Finanzierungsmodelle, Walled Gardens mit Subskriptionspreis ein anderes. Ein alternatives Modell ist Patreon, das bereits von vielen Blogs und anderen Projekten zur Finanzierung genutzt wird.
Wie auf dem Jahrmarkt
Viele Webseiten übertreiben es mit der Werbung so sehr, dass der Besucher beim Betreten denkt, er sei auf einem Jahrmarkt. Solche Seiten machen die Benutzung eines Ad-Blockers zwingend und schaden anderen Webseiten, die Werbung dezent, ziel- und themengerichtet einsetzen. Hier setzt Google mit seiner Blockade an. Webseiten, die den Besucher aufdringlich mit Bild, Ton und Effekten drangsalieren, werden von Google ermahnt, dies abzustellen. Passiert dies innerhalb 30 Tagen nicht, wird Werbung auf dieser Seite künftig geblockt.
Veträgliche Standards
Dabei richtet sich Google an den Standards der Vereinigung Better Ads aus, in deren Vorstand der Suchmaschinenriese sitzt. Webseitenbetreiber können ihre Seite mit dem »Ad Experience Report« selbst überprüfen. Die Standards, nach denen Google blockiert, verhindern Werbung, die automatisch Videos abspielt, Pop-ups einblendet, Werbung, die Seiteninhalte so lange verdeckt bis ein Timer abgelaufen ist oder Werbung die trotzt Scrollens große Teile des Seiteninhalts verdeckt. Auf Mobilgeräten soll zudem Werbung geblockt werden, die mehr als 30 Prozent des Displays einnimmt oder blinkt.
Kein Tracking-Schutz
Bisher nicht von Googles Maßnahmen erfasst ist Ad-Tracking. Das Anzeigen-Tracking, bei dem Programmcode im Browser ausgeführt wird, trägt dazu bei, dass Werbung dazu beiträgt, Webseiten langsamer zu laden, mehr Speicherplatz beanspruchen, die Datenmenge von Anwendern ohne Flatrate zu erhöhen und die Akkus von Smartphones und Laptops schneller zu leeren. Es kann aber durchaus sein, dass sich »Better Ads« dieses Problems noch annimmt. Mozilla blockiert bereits aktiv Tracking in Firefox.
Die Werbebranche lenkt ein
Google handelt hier natürlich nicht uneigennützig, sondern gehorcht der Erkenntnis, dass zu viel und zu aufdringliche Werbung zu einer Steigerung des Einsatzes von Adblockern führt. Hier gilt es einen Weg zu finden, der sowohl die Besucher im Internet als auch die Bedürfnisse der Webseitenbetreiber und der Werbewirtschaft berücksichtigt. Ich bin beispielsweise beruflich den ganzen Tag im Internet auf unzähligen Seiten unterwegs und hätte ohne strikten Ad-Blocker vermutlich andauernd Kopfschmerzen. Ich bin aber gerne bereit, auf Seiten mit unaufdringlicher Werbung eine Ausnahme in Ad-Blocker einzurichten.
In den aktuellen Versionen des Instant-Messaging-Dienstes Skype für Linux, macOS und Windows schlummert eine Sicherheitslücke, die sich sowohl lokal als auch aus der Ferne ausnutzen lässt, um Systemrechte auf dem betroffenen Rechner zu erlangen. Die Lücke befindet sich im Updater der Anwendung. Das meldete jetzt die US-Webseite ZDNet.
DLL Hijacking
Der deutsche Sicherheitsforscher Stefan Kanthak fand heraus, dass unter Windows ein Angreifer per DLL-Hijacking dem Updater Schadcode anstelle der erwarteten DLL unterschieben kann. Damit kann ein System komplett übernommen werden. Dazu muss die DLL mit Schadcode in einem temporären Ordner liegen, auf den der User des Systems Zugriff hat und den Namen der erwarteten DLL haben. Beim Start der Anwendung wird dann die mit manipuliertem Code versehene DLL geladen und der Schadcode ausgeführt.
Auch unter Linux und macOS
Eine Abwandlung dieser Technik funktioniert auch unter macOS und Linux, wo der dynamische Linker benutzt und über die Variable LD_LIBRARY_PATH manipuliert wird. Kanthak hatte die Lücke bereits im vergangenen September an Microsoft gemeldet, das die Anwendung 2011 übernommen hatte. Nach Begutachtung des Bugs ließ der Konzern aus Redmond verlauten, man könne das Problem reproduzieren, die Lücke sei aber nicht im Rahmen eines regulären Sicherheitsupdates zu beheben, sondern bedürfe einer umfangreichen Code-Revision des zwar integrierten, aber als eigenständig ausführbare Datei ausgelegten Updaters.
Daher wird die Lücke vermutlich erst mit einer neuen Version von Skype behoben. Wann diese erscheinen wird ist derzeit noch nicht bekannt. Skype war bereits 2017 von Sicherheitsproblemen geplagt. Dasmals wurde Malware durch In-App-Werbung eingeschleust, die zu Ransomware-Attacken führen konnte.
Der beliebte Open-Source-Videoplayer VLC ist in Version 3.0 erschienen und hat damit das größte Update in seiner Geschichte erfahren. Seit der letzten Hauptversion 2.2 sind fast drei Jahre vergangen. Die neue Version setzt die Tradition der Codenamen auf Basis von Romanfiguren von Terry Pratchett fort und gibt VLC 3.0 den Beinamen »Vetinari«.
Langzeitpflege
Die neue Version genießt den LTS-Status der Langzeitpflege mindestens bis mit VLC 4 eine neue Hauptversion mit einer völlig überholten Oberfläche erscheint. Für einige Systeme ist VLC 3.0 auch die letzte funktionierende Version. Das gilt beispielsweise für Windows XP, Windows Vista, macOS-Versionen vor 10.10, Android vor 4.1 und iOS vor 9.0. Die Entwickler haben zudem mit 3.0 die Versionierung für alle Plattformen angepasst und ihnen den gleichen Unterbau verpasst.
Verbesserte Hardware-Decodierung
VLC 3.0 kommt mit standardmäßig eingeschalteter verbesserter Hardware-Decodierung, wobei unter Linux auch ein neuer VA-API-Dekoder mit verbessertem Rendering beiträgt. Die Hardware-beschleunigte Video-Dekodierung ist aber auf allen Plattformen für H264- und H265-Inhalte möglich, sodass HEVC-kodierte 4K-Videos mit 60 fps wiedergegeben werden können ohne die CPU ins Schwitzen zu bringen. Theoretisch soll das gar mit 8k funktionieren. Zudem wird High Dynamic Range (HDR) unterstützt.
VLC unterstützt OpenGL schon seit langem, aber erst in VLC 3.0 ist unter Linux und BSD nun OpenGL standardmäßig statt Xvideo als Standard-Videoausgang geschaltet. Darüber hinaus kann die aktuelle Version auf Netzwerkdateisysteme wie FTP, SFTP SMB oder NFS per Network-Browsing direkt zugreifen.
DASH streamt über HTTP-Server
Das Streaming von Videos soll durch die neu unterstützte Technik Dynamic Adaptive Streaming over HTTP (DASH) sanfter werden. Dabei werden die Inhalte in eine Folge kleiner HTTP-basierter Datei-Segmente zerlegt und in einer Auswahl verschiedener Bitraten vorgehalten. Der Client wählt das Segment mit der höchstmöglichen Bitrate aus, das in der verfügbaren Zeit bis zur Wiedergabe übertragen werden kann, ohne dass die Wiedergabe stockt und erst wieder gepuffert werden muss.
VLC 3.0 unterstützt endlich Chromecast
Obwohl seit Jahren in Arbeit, bietet VLC 3.0 erstmals offiziell Chromecast-Unterstützung. Dazu wurde unter dem Menüpunkt Playback der neue Eintrag Renderer hinzugefügt. Hier werden im Netzwerk Geräte, die Chromecast beherrschen, angezeigt. Viele weitere Neuerungen und Verbesserungen sind in der Ankündigung des VideoLan-Projekts und im Changelog aufgelistet. Der Videoplayer kann für Linux, macOS, Windows, ChromeOS, BSD, Solaris, OS/2, Android und iOS von der Projektseite heruntergeladen werden. Allein für Linux wurde VLC 3.0 in den letzten vier Tagen bereits rund 1,3 Millionen mal heruntergeladen.
