CleanPress

Kategorie: News

  • Microsoft will das IoT mit Linux schützen

    Azure Sphere
    Quelle: Microsoft

     

    Microsoft hat im Rahmen des Projekts Azure Sphere ein auf ARM basiertes Prozessordesign entworfen, auf dem das vom Windows-Hersteller entworfene eingebettete Linux-Betriebssystem  Azure Sphere OS läuft. Damit sollen Geräte des Internet der Dinge (IoT) besser geschützt und durch eine Anbindung an Microsofts Cloud für zehn Jahre Updates erfahren. Das Design-Layout für das System on a Chip (SoC) stellt Microsoft den Herstellern solcher Gadgets lizenzfrei zur Verfügung.

    Nicht überraschend

    Microsofts Präsident Brad Smith stellte das Projekt gestern auf der RSA-Konferenz in San Francisco, wo er sagte: »Nach 43 Jahren ist dies der erste Tag, an dem wir einen eigenen Linux-Kernel ankündigen und verteilen werden.« In diesen 43 Jahren wurde Linux meist verteufelt, von Microsofts langjährigem Geschäftsführer Steve Ballmer als Krebsgeschwür bezeichnet und auf ganzseitigen Werbekampagnen mit falschen Behauptungen in ein schlechtes Licht gerückt.

    Seit Satya Nadella das Ruder in Redmond übernommen hat, heißt die Devise »Microsoft loves Linux« und ist genauso durchsichtig wie Ballmers Verteufelung. Heute braucht Microsoft Linux um seine Kunden, die oft heterogene Systeme benutzen, aus einer Hand bedienen zu können. Bereits seit Jahren hält Linux Einzug in den Windows-Konzern.

    Folgerichtig

    Es begann auf Microsofts Cloud-Plattform Azure, wo Canonicals Ubuntu den Anfang einer Reihe von Distributionen bildete, die Microsoft seinen Kunden über die Plattform anbietet. Später wurden immer wieder Teile von Microsofts Software als Open Source freigegeben. Mittlerweile betreibt Microsoft das größte Git-Repository auf dem Planeten. Da ist es nur folgerichtig, ein eigenes Linux da einzusetzen, wo Windows viel zu groß für die gestellte Aufgabe ist.

    Mehrere ARM-Kerne

    Azure Sphere stellt unter anderem sicher, dass damit ausgestattete Geräte des IoT nur die offizielle Firmware ausführen und installiert automatisch über die Microsoft Cloud Fehlerbehebungen auf den Geräten. Der Chip, auf dem das Betriebssystem läuft, wird von Microsoft als Microprocessor Unit (MCU) bezeichnet, unterscheidet sich aber vom Design her nicht von einem üblichen SoC.

    Die von Microsoft entworfene MCU kombiniert mehrere ARM-Prozessorkerne und neben Speicher auch einen Microsoft-Sicherheitscontroller und Sandboxing mittels Containern. Die Hauptlast trägt ein ARM-Cortex-A-Kern, der den Anwendungscode des Geräts sowie das Linux-Betriebssystem ausführt. Zwei Cortex-M-Kerne sind für I/O zuständig und können im Bedarfsfall von den Entwicklern des Geräts über die Cloud direkt angesprochen werden, um jedweden Code darauf auszuführen.

    Sicherheitscontroller Pluto

    Der Microsoft-Sicherheitscontroller »Pluto« wird auf einem dritten Cortex-M-Kern ausgeführt, bietet eine sichere Boot-Umgebung und überwacht unter anderem auch die Wifi-Hardware. Er wird durch eine von Microsoft so bezeichnete »Hardware-IO-Firewall« innerhalb des Chips isoliert. Die Kommunikation zwischen Pluto und der Cloud wird verschlüsselt abgewickelt. Ziel ist, zu verhindern, dass die Firmware manipuliert werden kann und diese Geräte dann dazu benutzt werden, Cyber-Attacken durchzuführen, wie 2016 mit Hilfe eines Botnets aus ungesicherten Webcams, Babyphones und anderen IoT-Geräten geschehen. Damit wurden die Webseiten von Twitter, Reddit, GitHub, Amazon, Netflix, Spotify und vielen anderen teilweise für Stunden lahmgelegt.

    Erster Chip bereits marktreif

    Erste SoCs mit Microsofts MCU-Design und Azure Sphere sind bereits in der Entwicklung und sollen noch in diesem Jahr auf den Markt kommen. MediaTec steht kurz vor der Veröffentlichung der Microsoft Azure Sphere Secure IoT Platform MT3620. Dabei sind die Hersteller nicht auf bestimmte ARM-Kerne oder eine bestimmte I/O-Peripherie festgelegt.

    Die Aufgabe des von Microsoft erstellten Linux-Kernels ist es dabei, die Software des jeweiligen Geräts auszuführen und die Kommunikation über Pluto abzuwickeln. Dabei kommen isolierte Applikations-Container zum Einsatz. Entwickler-Kits mit einer Visual-Studio-Erweiterung sollen ab Mitte des Jahres den Entwicklern der Geräte helfen, die Software der Gadgets auf Azure Sphere aufzusetzen.

    Microsoft bietet bei dieser neuen Produktgruppe das Chip-Design lizenzfrei an, Geld verdient der Konzern mit dem Betriebssystem und der Cloud. Azure Sphere wird als »schlüsselfertige« Dienstleistung für Unternehmen verkauft, die die Sicherheit ihrer IoT-Gadgets dem Dienstleister Microsoft überlassen wollen.

  • Purism stellt GNOME-Entwickler für Librem 5 ein

    Quelle: Purism

     

    In seinem Blog hat der Berliner GNOME-Entwickler Tobias Bernard bekannt gegeben, dass er von Purism eingestellt wurde, um für das freie Linux-Smartphone  Librem 5 als  UI/UX-Designer tätig zu sein. Damit scheint klar, dass die Standard-Oberfläche des im Frühjahr 2019 erwarteten Smartphones auf GTK basieren wird. Plasma Mobile kann aber so wie andere Linux-Distributionen und Oberflächen als Alternative installiert werden.

    GNOME-Entwickler für Librem 5

    Auf seiner Webseite bezeichnet sich Bernard als Interaction-Designer, der gerade seinen  Master in Human Computer Interaction (HCI) an der TU Berlin fertigstellt. Er sieht den großen Vorteil als Entwickler bei Purism in der ethischen Ausrichtung des Unternehmens.

    Das bessere Konzept

    Das Konzept des Librem 5 sieht er denen der gescheiterten Vorläufer Firefox OS und Ubuntu Touch  als überlegen an. Dazu trägt die klare Ausrichtung auf Linux und freie Software sowie auf den Schutz der Privatsphäre bei. Somit kommen beim Librem 5 auch keine Android-Treiber zum Einsatz wie bei den vorgenannten Systemen. Das hauseigene Betriebssystem PureOS als Unterlage des Librem 5 basiert auf Debian und ist bei der Free Software Foundation (FSF) als eine der unterstützten Distributionen gelistet. Das gelingt nicht einmal der Mutter-Distribution Debian.

    GTK als Basis

    Der Deal wird für Bernard noch dadurch versüßt, dass die Benutzeroberfläche GTK-basiert sein wird und im Layout angepasste Upstream-GNOME-Anwendungen verwendet werden. Zudem sollen neue Anwendungen für die Telefon-Funktionalität wie etwa für Anrufe und Nachrichten entwickelt werden. Diese sollen später auch auf dem Desktop funktionieren. Möglichst viel dieser Arbeit soll Upstream an GNOME gegeben werden.

    Reicht die Zeit?

    Somit können Interessierte bald im IRC im Kanal  #gnome-design  auf spannende Diskussionen hoffen. Wie alle anfallenden Arbeiten bei Hard- und Software bis zum Frühjahr 2019 fertig werden sollen bleibt vorerst noch ein Geheimnis der Entwickler. Noch näher liegt der Termin der Auslieferung der Entwicklerboards im Sommer 2018. Bisher jedenfalls hat Purism noch immer pünktlich abgeliefert.

     

     

  • Canonical LivePatch für Ubuntu 18.04 vereinfacht

    Kernel-Livepatch
    Screenshot: ft

     

    Mit Ubuntu 16.04 »Xenial Xerus« bot Canonical seinen Desktop-Nutzern erstmals mit dem »Kernel Livepatch Service« eine Enterprise-Funktion an, die sie auf bis zu drei Geräten kostenfrei anwenden konnten. Dabei kann es sich um PCs, Server oder Cloud-Instanzen handeln. Darüber hinaus war der Erwerb eines Ubuntu Advantage-Pakets Pflicht. Der gerade bei Canonical ausgeschiedene Dustin Kirkland hatte die Funktion damals ausführlich in seinem Blog erklärt. Später wurde der Service auch auf Ubuntu 14.04 LTS »Trusty Tahr« zurückportiert.

    Ubuntu-Konto ist Pflicht

    Nun soll der Kernel-Livepatch-Service auch für das in Kürze erwartete Ubuntu 18.04 LTS zur Verfügung stehen. Voraussetzung zur Nutzung ist ein Single-Sign-On-Konto (SSO) bei Ubuntu. Damit kann Canonical sicherstellen, dass LivePatch auf nicht mehr als drei Geräten kostenfrei genutzt werden kann.

    Seit Ubuntu 16.04 LTS ist die Aktivierung von LivePatch mit drei Schritten an verschiedenen Stellen verbunden. So muss unter anderem neben der Installation von LivePatch als Snap ein Token von der LivePatch-Webseite bezogen werden. Dieser Vorgang soll nun laut einem Blogeintrag von Will Cooke vereinfacht werden. Laut Cooke zusammen mit einem vereinfachten Login zum SSO die gesamte mit LivePatch verbundene Funktionalität in der Anwendung »Anwendungen und Aktualisierungen« im Tab mit der Aufschrift Aktualisierungen gebündelt. Zudem ist LivePatch bereits vorinstalliert.

    [su_slider source=“media: 4850″ link=“image“ width=“700″ height=“460″ arrows=“no“ pages=“no“ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Aktivierung vereinfacht

    Künftig wird ausserdem beim erstmaligen Start nach der Installation Canonical LivePatch in der automatich aufgerufenen Anwendung »Gnome-Initial-Setup« als Option zum Konfigurieren angeboten. Mit LivePatch werden lediglich wichtige Sicherheitspatches zum aktuell genutzten Kernel eingespielt, neue Kernel-Versionen werden weiterhin über das Paketmanagement installiert und setzen zur Nutzung einen Neustart voraus.

    Ksplice als Vorlage

    Die Grundlagen dieser Technik reichen bis ins Jahr 2008 mit der Veröffentlichung von Ksplice durch Oracle zurück. War diese Software teilweise kommerziell, so lieferten Suse und Red Hat sie als Gkraft und Kpatch 2014 erstmals als freie Software aus. Die Funktion der Live-Patches wurde dann mit Kernel 4.0  vor drei Jahren offiziell in den Mainline-Kernel eingeführt.

  • Plasma Vault bald mit Offline-Modus

    Plasma Vault bald mit Offline-Modus

    Plasma Vault
    Quelle: James Sutton auf Unsplash

     

    Seit Plasma 5.11 bringt der KDE-Desktop ein Plasmoid zur Verschlüsselung von Verzeichnissen und Dateien mit, das auf den Namen Plasma Vault hört. Dabei werden derzeit mit EncFS und CryFS zwei Verschlüsselungsmethoden angeboten. Der Ansatz dabei ist ein anderer, als etwa bei der Installation des Betriebssystems das gesamte System oder die Home-Partition zu verschlüsseln. Allerdings lassen sich Plasma Vaults auch innerhalb eines bereits verschlüsselten Home zur weiteren Erhöhung der Sicherheit nutzen.

    CryFS vor EncFS

    Bei der Wahl der Verschlüsselungsmethode ist dem moderneren FUSE-basierten Overlay-Dateisystem CryFS der Vorzug zu geben. Verschlüsselt EncFS jede zu verschlüsselnde Datei einzeln, so splittet CryFS die Daten in Chunks auf und verschlüsselt diese. So erhält ein potenzieller Angreifer keinen Einblick in die Dateistruktur. Zudem ist der Algorithmus von CryFS in vielen Fällen sicherer als der von EncFS.

    [su_slider source=“media: 4818″ link=“image“ width=“700″ height=“460″ arrows=“no“ pages=“no“ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Schnell verschlüsselt

    Nach der Installation des Plasmoids ist ein Vault schnell erstellt. Das Plasmoid nistet sich im System-Abschnitt der Kontrollleiste ein und wird durch ein Vorhängeschloss symbolisiert. Ein Klick darauf fordert zur Einrichtung eines Vault auf. Dabei werden Name, Passwort und Verschlüsselungsmethode abgefragt. Nachdem das Vault erstellt ist, kann man es im Dateimanager öffnen und mit Daten befüllen. Auf diese Weise kann man zu schützende Daten verteilt in verschiedenen Vaults aufbewahren.

    Erhöhte Sicherheit

    Mit Plasma 5.13 wird Plasma Vault die Sicherheit weiter erhöhen, indem es Offline Vaults einführt. Ist dieser neue Modus für ein Vault mit besonders sensiblen Daten gesetzt, so wird beim Öffnen des Vault das Netzwerk gekappt und erst wieder eingeschaltet, wenn das Vault wieder sicher verschlossen ist. Das funktioniert aber nur, wenn der bei Plasma als Standard verwendete Network Manager zum Einsatz kommt.

    Ausblick

    Mit dem Anfang Juni erwarteten Plasma 5.13 kann KDE Connect Plasma Vaults steuern. Wenn Du beispielsweise vergessen hast, eine oder mehrere Vaults zu schließen bevor Du in eine Besprechung geht, so kannst Du das von einem mobilen Gerät aus nachholen. Die nötigen Einstellungen werden in KDE Connect vorgenommen.

  • URLs mit KDE Connect versenden

    KDE Connect 1.3
    Screenshot: ft

     

    Nach der News über die Aktualisierung zu KDE Connect 1.3 kam im IRC die Frage auf, wie denn URLs vom Desktop-Browser an ein mobiles Gerät übermittelt werden können. Dies ist eine, wie ich finde, sehr nützliche Funktion, denn oft kann man einen Artikel, den man am Desktop zu lesen begonnen hat, nicht fertig lesen, bevor man aus dem Haus muss. Mit KDE Connect und einer Browser-Erweiterung kann man unterwegs mobil einfach weiterlesen, ohne am Smartphone zunächst eine Suche starten zu müssen.

    Zusätzliche Software nötig

    Da sich die Nutzung dieser Funktion nicht aus KDE Connect selbst erschließt und zusätzliche Software benötigt, sei das Einrichten hier kurz erläutert. Zusätzlich benötigt wird die Kdeconnect-Chrome-Extension und für jeden zu nutzenden Browser die KDE-Connect-Erweiterung. Zunächst gilt es, die Kdeconnect-Chrome-Extension, die übrigens auch Firefox unterstützt, herunterzuladen und zu entpacken. Dann wird in einem Terminal die Installation angestoßen. Dazu dient als normaler User der Befehl ./kdeconnect-chrome-extension -install. Zuvor sollten die entsprechenden Browser geschlossen werden. Dann gilt es, den ersten Browser auszuwählen. Zur Auswahl stehen Chrome/Opera, Chromium, Firefox und Vivaldi. Zusätzlich gibt es den Eintrag Custom, den ich noch nicht weiter ergründet habe.

    Erweiterung im Browser installieren

    Pro Durchlauf kann nur ein Browser gewählt werden. Sollen also mehrere Browser aktiviert werden, so muss der Vorgang entsprechend oft wiederholt werden. Daraufhin wird die Erweiterung KDE Connect im jeweiligen Browser installiert. Nach einem Neustart des Browsers ist die Funktion bei Firefox über das Kontextmenü erreichbar. Bei Chrome und den weiteren unterstützten Browsern funktioniert  das Versenden über das Erweiterungs-Icon oben rechts im Browser.

    [su_slider source=“media: 4811″ link=“image“ width=“700″ height=“460″ arrows=“no“ pages=“no“ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Festlegung auf ein Gerät

    Ist also die zu versendende URL im Browser geöffnet, zeigt der KDE-Connect-Eintrag im Kontextmenü oder über das Icon alle verbundenen Geräte an. Nach dem Versenden ist die entsprechende Seite auf dem Mobilgerät bereits geöffnet. In den Einstellungen kann ein bestimmtes Gerät festgelegt werden, an das gesendet wird. Zusätzlich kann dabei der Eintrag im Kontextmenü ausgeblendet werden. Umgekehrt geht das natürlich auch und sogar ohne zusätzliche Software. Im Kontextmenü des Browsers wird über Share… und senden an KDE Connect die jeweilige URL im Desktop-Browser geöffnet.

  • KDE Connect 1.3 mit Nautilus-Einbindung

    KDE Connect 1.3
    Screenshot: ft

    KDE Connect verbindet unter Plasma und mittlerweile auch unter GNOME Mobilgeräte mit Android- oder Blackberry-Betriebssystem mit Desktops am PC oder Notebook und ermöglicht den Austausch von Benachrichtigungen, Dateien und URLs zwischen den Geräten. Seit der ersten Veröffentlichung im Jahr 2016 ist viel passiert. Jetzt kommt mit KDE Connect 1.3 unter anderem die direkte Anbindung an den GNOME-Dateimanager Nautilus.

    Vielseitig einsetzbar

    Mit KDE Connect lassen sich auf einfache Weise Daten mit mobilen Geräten austauschen, Benachrichtigungen vom Smartphone am Desktop anzeigen und SMS von dort beantworten. Browser-Links können vom Desktop an das Smartphone gesendet zu werden. Bei Anrufen wird die Lautstärke von Musik oder Videos am Desktop herunter geregelt und hinterher wieder angehoben. Ist das Smartphone gerade verlegt, lässt es sich vom Desktop aus anklingen. Zudem können die Inhalte von Zwischenablagen ausgetauscht werden.

    Einbindung in Nautilus

    KDE Connect konnte bisher schon unter anderen Desktop-Umgebungen wie GNOME, Xfce, Unity und Pantheon genutzt werden. Allerdings war die Integration in die jeweilige Umgebung nicht nahtlos. Mit KDE Connect 1.3 ändert sich das zumindest für GNOME, da die Anwendung direkt in das Kontextmenü von Nautilus eingebunden wird. Mit der Erweiterung lassen sich einfach Daten aus dem Dateimanager an das Smartphone senden.

    [su_slider source=“media: 4793″ link=“image“ width=“700″ height=“460″ pages=“no“ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Auch auf der Kommandozeile zu Hause

    Bereits bisher gab es die externe Anwendung Gsconnect, die ab GNOME 3.24 eine komplette Einbindung von KDE Connect in die GNOME-Shell ermöglichte.  KDE Connect 1.3 ermöglicht zudem die Handhabung von tel:-Links und die Unterstützung von Covern von Musik-Alben und -CDs mittels MPRIS. Mit der Kommandozeilenanwendung kde-conncet-cli lassen sich  jetzt mehrere Dateien gleichzeitig versenden.

    Befehlsausführung

    Eine wenig bekannte Funktion ist bereits länger implementiert: Befehle auf dem Desktop eingegeben, lassen sich jederzeit vom Smartphone aus ausführen. Zum Beispiel kann ein Shutdown-Befehl erstellt werden, um den PC auszuschalten, ohne überhaupt im gleichen Raum zu sein. Auch Bash- oder Python-Skripte funktionieren auf diese Art und Weise.

    Ausblick

    Mit dem Anfang Juni erwarteten Plasma 5.13 kann KDE Connect Plasma Vaults steuern. Wenn Du beispielsweise vergessen hast, eine oder mehrere Vaults zu schließen bevor Du in eine Besprechung geht, so kannst Du das von einem mobilen Gerät aus nachholen. Die nötigen Einstellungen werden in KDE Connect vorgenommen.

  • Debian erhält RISC-V Port

    Debian erhält RISC-V Port

    RISC-V Port
    Bild: SiFive HiFive1 | Quelle Gareth Halfacree | Lizenz: CC BY-SA-2.0

    RISC-V ist eine offene Befehlssatzarchitektur, die im Gegensatz zu den meisten anderen ISAs (Instruction Set Architecture) nicht patentiert ist und dank der BSD-Lizenz jedermann erlaubt, Mikroprozessoren damit zu entwerfen und zu vermarkten. Das US-amerikanische Unternehmen SiFive brachte im Oktober vergangenen Jahres mit dem U54-MC Coreplex  eine erste RISC-V CPU auf den Markt, die mit einem 64-Bit Quadcore-Design erstmals auch Linux und BSD unterstützte. Im Februar 2018 gelang SiFive mit dem HiFive Unleashed die Schwarmfinanzierung des ersten Linux-tauglichen Entwicklerboards. Etwa zur gleichen Zeit wurde der Code von RISC-V in den Kernel 4.15 aufgenommen. Kernel 4.16 brachte Korrekturen, für den nächsten Kernel 4.17 wurden bereits weitere Patches eingereicht.

    Debians RISC-V Port

    Damit ist die Bahn für Distributionen frei, RISC-V als Architektur zu unterstützen, ohne einen eigenen Kernel-Zweig pflegen zu müssen. Debian kündigte nun offiziell einen solchen Port an, der unter dem Namen riscv64 läuft. In der Ankündigung erklärt Entwickler Manuel Fernandez Montecelo, dass bisher bereits mehr als 4.000 Pakete in der neuen Architektur verfügbar sind. Auf seiner Debian-Webseite veröffentlicht Montecelo den jeweiligen Stand des Projekts.

    Hoffnungsträger RISC-V

    Damit erhält Debian neben den derzeit unterstützten zehn Architekturen  amd64, i386, arm64, armhf, armel, mips, mipsel, mips64el, ppc64el und s390x mit riscv64 eine weitere hinzu. Mit der anhaltenden Entwicklung von RISC-V bei Hardware und Software verbinden viele die Hoffnung, dass eine offene Architektur künftig ARM und anderen Architekturen ernsthaft Konkurrenz bieten kann.

    Weiter Weg

    Dafür sprechen der Wegfall von Lizenzgebühren und komplizierte Verträge, die hauptsächlich Anwälte reich machen. Die RISC-V-Foundation hat inzwischen über 130 Mitglieder, zu denen Google, HPE, IBM, Microsoft, Oracle, Nvidia, Qualcomm und viele andere gehören. Die Anfänge sind also gemacht, es ist jedoch noch ein weiter Weg.

  • Flathub-Webseite im neuen Gewand

     

    Flathub-Webseite
    Quelle: NeONBRAND auf Unsplash

     

    Vor einem halben Jahr haben wir die Flathub-Webseite als zentrale Stelle zum Sammeln von Flatpaks verschiedener Herkunft vorgestellt. Flatpak ist ein Paketformat ähnlich wie Snap bei Ubuntu, das sich unter allen Distributionen installieren lässt. Flathub dient dabei sozusagen als Flatpak-App-Store. Allerdings ließ im September das Design der Seite noch sehr zu wünschen übrig. Das hat sich nun mit einem durchgehehenden Neudesign grundlegend geändert.

    Neue Flathub-Webseite

    Das Suchen und Stöbern, das Installieren oder das Hochladen eigener Flatpaks ist dank des neuen übersichtlichen Designs wesentlich intuitiver und einfacher geworden. Eine Leiste am linken Rand der Seite unterteilt den Bestand an Apps in Kategorien. Zuoberst lädt eine Unterteilung in die Sparten Popular, New & Updated, Editor’s Choice und Editor’s Choice Games zum Entdecken ein.

    1-Klick-Installation

    Darunter lädt eine Einteilung in zehn Kategorien zum gezielteren Suchen ein. Soll festgestellt werden, ob sich eine bestimmte Anwendung bereits im Flatpak-Format im Shop findet, steht oben rechts das Suchfeld zur Verfügung. Ist eine interessante App ausgemacht, so führt ein Klick darauf zu einer ausführlichen Beschreibung des Objekts der Begierde. Ein Install-Button lädt dann zur 1-Klick-Installation ein.

    [su_slider source=“media: 4770,4771″ link=“image“ width=“700″ height=“460″ mousewheel=“no“ autoplay=“0″ speed=“0″]
    Als Voraussetzung, damit das gelingt,  muss die Flatpak-Software auf dem Rechner installiert sein. Diese ist zumindest bei Fedora, Arch, Mageia und OpenSUSE bereits vorinstalliert. Bei Debian und Ubuntu muss noch ein wenig nachgeholfen werden. Bei Debian reicht ein beherztes apt install flatpak aus. Unter Ubuntu lautet der Befehl apt install flatpak gnome-software-plugin-flatpak. Dabei wird auch gleich Unterstützung für Flatpak in der Anwendung Gnome-Software installiert. In beiden Fällen muss Flathub dem System als Quell-Repository bekannt gemacht werden. Dafür sorgt der Befehl
    flatpak remote-add --if-not-exists flathub https://flathub.org/repo/flathub.flatpakrepo

    Unter Ubuntu 17.10 funktioniert die Installation per Klick von der Flathub-Webseite nicht, hier kann die Anwendung GNOME-Software oder die Kommandozeile benutzt werden. So installiert etwa als User der Befehl

    flatpak install com.spotify.Client.flatpakref


    den Spotify-Client. Selbst erstellte Flatpaks können ebenfalls recht einfach auf Flathub hochgeladen werden. Hinter dem Button Publish findet sich eine ausführliche Anleitung. Nähere Informationen zum Flatpak-Paketformat bietet dieser Artikel.

  • Ubuntu 18.04 LTS Beta freigegeben

    Ubuntu 18.04 LTS
    Screenshot: ft

    Ubuntu 18.04 »Bionic Beaver« LTS kann ab heute in der Beta-Version des am 26. April erwarteten neuen Ubuntu mit Langzeitunterstützung getestet werden. Gerade erst hat die Beta-Version von Fedora GNOME 3.28 zu den Anwendern gebracht, da folgt Ubuntu auf dem Fuß. Allerdings ist das mit Ubuntu 18.04 ausgelieferte GNOME gegenüber dem Original leicht modifiziert. Um zu vermeiden, dass die Anwender die Möglichkeit verlieren, Icons auf dem Desktop zu platzieren, liefert Ubuntu beispielsweise den Nautilus-Dateimanager in Version 3.26 aus anstatt 3.28.

    Ubuntu 18.04 ist die erste LTS-Version, die nach Jahren wieder mit dem GNOME-Desktop erscheint. Der Wechsel vom hauseigenen Unity zu GNOME war mit Ubuntu 17.10 vollzogen worden. Mit dieser Veröffentlichung fand auch der Wechsel von X.Org zu Wayland statt, der mit 18.04 allerdings als Standard wieder rückgängig gemacht wird. Wayland ist laut Ubuntu-Desktop-Chef Will Cooke für eine für fünf Jahre unterstützte Ubuntu-Version noch nicht ausgereift genug. Anwender können aber jederzeit im Anmeldemanager eine Wayland-Sitzung starten.

    Im Vorfeld von 18.04 erregte Canonical einigen Unmut mit der Ankündigung, zu Diagnosezwecken technische Daten von den Rechnern der Anwender sammeln und anonymisiert speichern zu wollen. Der Anwender wird vorher nicht gefragt, sondern muss während der Installation widersprechen, damit keine Daten von seinem Rechner zu den Ubuntu-Servern fließen.

    Eine neue Option bietet Ubuntu 18.04 in Ubiquity, dem Ubuntu-Installer an. Hier kann der Anwender entscheiden, ob er die bisher bekannte normale Installation möchte oder die neue, vom Umfang her wesentlich kleinere »Minimal Installation«. Bei Letzterem kommen lediglich der Browser und die wichtigsten Werkzeuge auf die Festplatte. Rund 80 Pakete aus dem Umfang der normalen Ubuntu-Version werden nicht installiert. Das spart rund 500 MByte auf der Festplatte.

    Eine weitere Neuerung stellen als Snaps installierte Pakete dar. Dabei handelt es sich derzeit lediglich um einige GNOME-Helfer-Applikationen wie GNOME-Calculator und einige andere. Das Grundgerüst aus Kernel 4.15, X.Org 1.19.6 und Systemd 237-3 sowie der größte Teil der Paketliste besteht weiterhin aus DEB-Paketen.

     

     

     

  • Intel: Keine neuen Microcodes gegen Spectre v2

    Microcode gegen Spectre
    Bild: Public Domain

     

    Intel hat in einem Update seines Papiers Microcode Revision Guidance (PDF) erklärt, die Arbeiten an Microcodes gegen die Spectre-v2-Sicherheitslücke seien beendet. Damit bleiben 10 Produktfamilien mit insgesamt mehr als 230 CPUs ungeschützt vor den im Januar bekannt gewordenen katastrophalen Sicherheitslücken Meltdown und Spectre. Das berichtet heute das Magazin The Register.

    Keine Microcodes gegen Spectre v2

    Das am 2. April herausgegebene Papier nennt die Familien Bloomfield, Bloomfield Xeon, Clarksfield, Gulftown, Harpertown Xeon C0 und E0, Jasper Forest, Penryn/QC, SoFIA 3GR, Wolfdale, Wolfdale Xeon, Yorkfield und Yorkfield Xeon. Darunter sind CPU der Reihen Xeon, Core-i, Pentium, Celeron und Atom. Auch die einst weit verbreiteten Core 2 Duo gehören dazu. Die ungepatcht verbleibenden CPUs für Desktops oder Notebooks sind alle sechs bis zehn Jahre alt.

    Intel nennt drei Gründe, warum CPUs einer dieser Familien nicht gepatched werden:

    • Mikroarchitektonische Merkmale, die eine technische Mitigation ausschließen, um Spectre v2 abzumildern
    • Eingeschränkte Unterstützung für kommerziell erhältliche Systemsoftware
    • Basierend auf den Eingaben der Kunden werden die meisten dieser Produkte als »geschlossene Systeme« implementiert und es wird daher eine geringere Wahrscheinlichkeit erwartet, dass sie diesen Schwachstellen ausgesetzt sind.

    Halbherziges Eingeständnis

    Intel gibt an, einer oder mehrere dieser Punkte könnten dazu führen, dass eine CPU nicht gepatched wird. Zum ersten Punkt, in dem Intel verklausuliert zugibt, dass seine Ingenieure bestimmte CPUs technisch nicht gepatched bekommen, macht der Konzern keine Angaben, um welche CPUs es sich dabei handelt. Eine gute Nachricht enthält der aktualisierte Report jedoch:  die Familien Arrandale, Clarkdale, Lynnfield, Nehalem und Westmere, die vorher nicht gepatcht wurden, haben jetzt funktionierende Korrekturen.

    Kernel-Entwickler weiterhin beschäftigt

    Für Intel scheint der Skandal um die Sicherheitslücken in den meisten CPUs der letzten 15 Jahre des Unternehmens abgeschlossen. Für die Linux-Kernel-Entwickler ist er das noch nicht. Die Patches direkt im Kernel halten die Entwickler immer noch in Atem. Der gerade erschienene Kernel 4.16 bringt weitere zusätzliche Patches gegen die insgesamt drei Schwachstellen.

    Die Überprüfung des Kernelcodes wird die Entwickler noch eine Weile beschäftigen. Mittlerweile wird die Suche nach Stellen, die für Spectre v1 anfällig sind, teilweise automatisiert. Dazu zählt die Identifizierung anfälliger Code-Abschnitte  und das Ersetzen des Array-Zugriffs durch die Funktion array_index_nospec() und damit die Abschaltung der spekulativen Ausführung.