CleanPress

Kategorie: News

  • Ubuntu 18.04 LTS erleichtert die Handhabung von Snaps

    Ubuntu 18.04 LTS
    Screenshot: ft

     

    Ubuntu 18.04 LTS »Bionic Beaver« soll als erste Ubuntu-Version neben dem herkömmlichen DEB-Format auch einige Pakete im neuen Snap-Format auf dem Image ausliefern. Wollte man unter Ubuntu bisher ein Snap installieren, dass nicht im Stable-Channel war, musste man ein Terminal bemühen und dort etwa sudo snap install spotify --beta eingeben. Mit den aktuellen Daily Builds von Ubuntu 18.04 LTS »Bionic Beaver« kann die Auswahl der Snap Channels nun auch in der Programmverwaltung Software vorgenommen werden. Neben dem als stable bezeichneten Channel gibt es noch daily releases,  candidate, beta und edge.

    Channel-Auswahl per GUI

    Somit ist für jeden Geschmack etwas dabei. Allerdings bieten nicht alle Snaps zu allen Zeiten unterschiedliche Paketversionen in allen Channels an. Wenn unterschiedliche Versionen vorhanden, so ist der Umstieg auf einen anderen Channel denkbar einfach. In Software auf der Spotify-Seite wird in grün der Channel der installierten Version angezeigt. Klickt man hierauf, werden die weiteren verfügbaren Channel mit der jeweiligen Version und einem Button mit der Aufschrift switch angezeigt.

    Transaktionale Updates

    Nach einem Klick auf den Button neben dem gewünschten Kanal erscheint am Kopf der Seite neben Starten und Entfernen der neue Button Aktualisieren. Damit wird auf die gewünschte Version gewechselt. Dabei kommt im Hintergrund die transaktionelle Art der Aktualisierung von Snaps zum Einsatz, die ursprünglich dazu dient, bei einem schiefgegangenen Update ein Zurückrollen auf die funktionierende Version zu erlauben.

    [su_custom_gallery source=“media: 4278″ link=“image“ width=“700″ height=“470″]

    Vom IoT auf den Desktop

    Bei Snap handelt es sich um ein modernes Paketsystem, das aus dem von Ubuntu Touch bekannten Click-Format heraus entwickelt wurde, um zunächst beim Cloud-Computing und dem Internet der Dinge Fuß zu fassen. Mittlerweile wird es von Canonical auch auf dem Desktop verbreitet. Eine alternative Ubuntu-Ausgabe, die nur auf Snaps basiert könnte in nicht allzu ferner Zukunft Realität werden, will man denn den Visionen von Mark Shuttleworth folgen.

    Snap bringt, wie seine Alternativen alle oder die meisten Abhängigkeiten bereits im Paket mit. Snaps sind prinzipilell gegeneinander und gegen das Gastsysystem isoliert. Das funktioniert allerdings nur mit Wayland, sodass Ubuntu 18.04 diesen Vorteil standardmäßig wieder aufgibt, da die im April kommende LTS-Ausgabe wieder von Wayland zu Xorg wechselt, währen Wayland als Alternative bestehen bleibt.  Als Alternative zu Snap gibt es das bei Fedora entwickelte Flatpak sowie AppImage, das nicht einmal einer Installation bedarf.

  • Crypto: Ledger Hardware Wallets werden aufgewertet

    Ledger
    Quelle: Ledger

    Crypto-Währungen boomen. Wie man dazu steht, bleibt jedem selbst überlassen. Was die einen als bald platzende Blase ansehen ist für andere ein Spekulationsobjekt mit guten Chancen auf Gewinne. Wer zur letzteren Gruppe gehört, hat sich bestimmt schon intensiv Gedanken um die Sicherheit seiner Einlagen gemacht. Die sicherste Variante für Langzeitanleger ist ein Hardware-Wallet, wie es unter anderem die französische Firma Ledger mit den Modellen Ledger Blue und Ledger Nano S vertreibt.

    Einschneidende Änderungen

    Der Umgang mit Crypto-Währungen und deren Absicherung ist allgemein noch ziemlich umständlich. Wer seine Einlagen auf verschiedene Währungen verteilt hat, muss meist mit mehreren Software-Wallets hantieren und auch die Hardware-Wallets können nur mit jeweils einigen Coins umgehen. Das will Hersteller Ledger nun ändern und kündigt ab dem zweiten Quartal 2018 einschneidende Verbesserungen an.

    Native Anwendungen

    Benötigen die Ledger Hardware Wallets für Kommunikation und Transaktionen bisher eine Erweiterung, die nur für den Chrome-Browser zur Verfügung steht, so sollen hier demnächst native Anwendungen für Linux, macOS und Windows sowie etwas später auch für Android und iOS vorgestellt werden, sodass Chrome nicht mehr zwingend vorausgesetzt wird. Bisher benötigte man darüber hinaus für jede Währung auch eine eigene App, um diesen Coin mit dem Ledger-Wallet verwalten zu können. Auch hier gibt es gute Neuigkeiten, denn bald sollen alle Währungen in einer App verwaltet werden können.

    [su_slider source=“media: 4268,4269″ link=“image“ width=“700″ height=“460″ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Desktop-App in Q2

    Die Desktop-App soll zuerst erscheinen und präsentiert alle Coins und deren Wert übersichtlich auf einen Blick in einem Dashboard. Im dritten Quartal sollen dann die Apps für Android und iOS folgen. weitere Pläne des Herstellers sehen vor, die Zahl der derzeit knapp über 20 unterstützten Crypto-Währungen auf über 100 Coins auszuweiten. Ethereum ERC20 Token sollen ebenfalls integriert werden. Der jetzige, auf Chrome basierte Ledger Manager wird zu einer webbasierten Lösung mit direkter USB-Kommunikation ausgebaut, die nicht mehr auf Erweiterungen angewiesen ist. Alles in allem machen die Ledger Hardware Wallets damit einen dringend nötigen Schritt zu mehr Benutzerfreundlichkeit.

  • LineageOS 15.1 setzt auf Android 8.1 »Oreo«

    LineageOS 15.1
    Logo: LineageOS

     

    LineageOS ist ein Fork von CyanogenMod, das selbst eine Alternative zu Android war. Nachdem die ausgegründete Firma Cyanogen wegen Geschäftsuntüchtigkeit und zu großer Egos gegen die Wand gefahren worden war, entstand LineageOS auf der Basis des Codes von CyanogenMod. Jetzt wurde mit LineageOS 15.1 eine neue Version fertiggestellt.

    Hilfreiches »Project Treble«

    Als Grundlage dient Android  8.1 »Oreo«, Android 8.0 wurde übersprungen. Dabei hat sich das Team Googles Project Treble zu Hilfe genommen. Dabei handelt es sich um ein modulares Update-System, dass die  Low-Level-Gerätetreiber vom Rest von Android trennt und somit die Arbeit von ROM-Entwicklern erleichtert und Android-Nutzern häufigere Updates bescheren soll. Das Team hat zudem eine umfangreiche Codebereinigung durchgeführt und im Zuge dessen alle verbliebenen Referenzen zu CyanogenMod entfernt.

    Lineage Dark Mode

    Neben der Portierung der meisten Features aus LineageOS 14.1 gibt es auch einige neue Funktionen. Es können nun benutzerdefinierte Akzentfarben gesetzt und zwischen einer hellen und einer dunklen Benutzeroberfläche gewechselt werden. Damit hat LineageOS ein klares Alleinstellungsmerkmal, denn Google hat gerade klargestellt, dass es keinen Dark-Mode bei Android geben werde. Die neue Automagic-Funktion bei 15.1 kann dabei Themen automatisch an das aktuelle Hintergrundbild anpassen.

    Trebucher-Launcher überarbeitet

    Der Trebuchet-Launcher, seit Jahren fester Bestandteil von CyanogenMod und LineageOS, erhielt ebenfalls ein größeres Update und wurde in weiten Teilen neu geschrieben. Er unterstützt jetzt Icon-Packs und adaptive Icons und entfernt einige überflüssige Funktionen. Wie beim Pixel-Launcher auf aktuellen Google-Phones kann auch beim Trebuchet-Launcher jetzt die Form der Icons geändert werden. Auch die Kamera-App wurde aufgewertet und erhielt einen QR-Code-Scanner, sodass die Notwendigkeit einer separaten App für QR-Codes entfällt.

    Für eine Aktualisierung auf die neue Version muss als Voraussetzung LineageOS 14.1 installiert sein. Alle weiteren Änderungen der neuen Version können im Changelog nachgelesen werden. Erste Nightly-Versionen werden am 26. Februar veröffentlicht. Nicht alle unterstützten Geräte werden von Anfang an unterstützt. Anfänglich sind dabei:

     

     

     

  • Chemnitzer Linux-Tage 2018

     

     

     

    Chemnitzer Linux-Tage
    Bild: Enno Bartels Lizenz: CC0

     

    In zwei Wochen ist es wieder soweit. Am 10. und 11. März finden im zentralen Hörsaal- und Seminar-Gebäude der Technischen Universität Chemnitz wieder die alljährlichen Chemnitzer Linux-Tage (CLT) statt. In diesem Jahr sogar als Jubiläum, denn die Veranstaltung wird bereits seit 1999 mittlerweile zum 20. Mal abgehalten.

    Die Organisation und Durchführung der Veranstaltung obliegt den Studenten und Mitarbeitern der TU Chemnitz. Des Weiteren sind die Chemnitzer Linux User Group des IN Chemnitz e.V., die Fakultät für Informatik sowie das Rechenzentrum der TU Chemnitz an der Organisation beteiligt. Die Veranstaltung bietet neben vielen Vorträgen und Workshops auch Raum für Projekte aus dem Linux-Umfeld, sich dem Publikum vorzustellen und ist für die deutsche und europäische Community ein wichtiger Treffpunkt im Jahresverlauf, um sich persönlich zu treffen. Seit der LinuxTag, der zuletzt in Berlin ansässig war, seine Pforten geschlossen hat, ist der CLT mit rund 3.000 Besuchern an zwei Tagen die größte deutsche Veranstaltung rund um Linux und freie Software.

    Das Vortragsprogramm ist mit über 90 Vorträgen aus verschiedenen Bereichen prall gefüllt. Die Themen richten sich teils an Anfänger, teils an Fortgeschrittene und Profis. Letztere spricht bestimmt der stets beliebte Vortrag Aktuelle Entwicklungen beim Linux-Kernel von Thorsten Leemhuis an. An erfahrene Linuxer und solche die es werden wollen richtet sich beispielsweise auch der Vortrag zu der deklarativen Linux-Distribution NixOS, die alles ein wenig anders macht als üblich.

    Wer Interesse an Crypto-Währungen hat, findet einen Einstieg im Vortrag Cryptos – Technik und Benutzung. Unter dem Motto »Jeder fängt mal an« und im »Einsteigerforum« gibt es Vorträge zu Einsteigerthemen für reine Anwender und künftige Community-Mitglieder. Workshops laden zum praktischen Lernen ein, sollten aber bald gebucht werden, denn diese sind immer bereits früh ausverkauft. Auch an den Nachwuchs wird gedacht. Unter dem Motto »CLT Junior – Technik, die Spaß macht« werden Workshops für Jugendliche ab 10 Jahren angeboten. In diesem Jahr werden die Bereiche Roboter-Programmierung, RaspberryPi und Spiele-Programmierung abgedeckt.

    Im Bereich »Linux-Live« stellen sich mehr als 60 Projekte, Distributionen und Unternehmen aus den Bereichen Linux und Open Source den Fragen des Publikums. An den Ständen der Distributionen können Besucher mit den Entwicklern sprechen oder Lösungen für Probleme suchen. Im Obergeschoss wird unter anderem für das leibliche Wohl gesorgt. Dort können wie in jedem Jahr auch diesmal wieder günstig die Prüfungen des Linux Professional Institut (LPI) abgelegt werden. Alte und neue Bekanntschaften können am Abend des 10. März auf der Linux-Nacht bei Speis und Trank in entspannter Atmosphäre gepflegt werden.

    Der CLT ist eine liebenswerte, gut organisierte und trotzdem lockere Veranstaltung, die ich seit Jahren immer wieder gerne besuche. Wer vorbeikommen möchte, um Hallo zu sagen, zu loben oder zu kritisieren, findet mich am Stand von siduction, gleich neben Debian.

  • Purism liefert Notebooks mit TPM aus

    Bild: Purism

     

    Purism, der US-amerikanische Ausrüster von Linux-Notebooks, der auch hinter dem in Entwicklung befindlichen Linux-Smartphone Librem 5 steht, hat einen ersten Schwung neuer Notebooks für 2018 auf Lager, wie jetzt im Firmenblog nachzulesen ist. Alle Bestellungen der Notebooks Librem 13 und Librem 15 werden künftig ohne zusätzliche Kosten mit dem Sicherheitsmerkmal Trusted Platform Module (TPM) ausgeliefert. Das TPM setzt den Anspruch an die Wahrung von Sicherheit und Privatsphäre um, den Purism bereits seit Längerem durch die in den Librem-Notebooks verbauten Schalter zum Abschalten von WLAN, Bluetooth, Kamera und Mikrofon vorgibt.

    TPM grundsätzlich nicht schlecht

    Das TPM ist ein fest auf der Hauptplatine aufgelöteter Chip. Dort können Sicherungsschlüssel gespeichert werden, die zum Ver- und Entschlüsseln von Daten nötig sind. Der Chip kann auch digitale Signaturen und die Kennung des Computers aufnehmen, die den Zugriff auf Netzwerke regelt. TPM-Module sind bei Business-Notebooks schon länger üblich, in Notebooks für Privatanwender bisher allerdings nur wenig verbreitet. Sie waren im Zusammenhang mit Microsoft Windows auch lange Zeit verpönt. Das es dafür keinen plausiblen Grund gibt, erläuterte Matthew Garrett 2016 auf der Linux-Conf in Australien.

    Deutsches Tastaturlayout

    Die mit dem Debian-basierten hauseigenen PureOS ausgelieferten Notebooks werden ab sofort für deutsche Anwender gleich doppelt interessant. Zunächst fallen international die Versandkosten weg, womit die Anschaffung um rund 100 US-Dollar günstiger wird. Zusätzlich werden die Geräte aufgrund der hohen Nachfrage auch mit deutschem Tastatur-Layout ausgeliefert. Jetzt bestellte Notebooks werden ab Mitte März ausgeliefert. Das Librem 13 kostet ab 1.399 US-Dollar, das Librem 15 kommt ab 1.599 Dollar ins Haus. Für eine deutsche Tastaturbelegung kommen noch einmal 79 Dollar hinzu. Für 10 Dollar kann ein USB-Stick mit Qubes OS dazubestellt werden, mit dem PureOS durch das auf möglichst hohe Sicherheit ausgelegten Qubes OS ersetzt werden kann. Version 4 der Distribution wird seit kurzem von Purism-Geräten voll unterstützt.

  • KDE e.V erhält 200.000 US-Dollar vom Pinapple Fund

    Pineapple Fund
    Foto: Pineapple Supply Co. auf Unsplash
      KDE e.V, der Verein hinter der KDE-Gemeinschaft gab heute bekannt, 200.000 US-Dollar als Spende vom Pinapple Fund erhalten zu haben. Das stimmt so nur indirekt, da die Spende sich auf 17,35 BitCoin belief. Der Pinapple Fund machte bereits Ende Januar in der Open-Source-Szene von sich reden, als die Free Software Foundation  (FSF) 91,45 Bitcoin erhielt, was zu dem Zeitpunkt einer Million Dollar entsprach. Lydia Pintscher als Präsidentin des KDE e.V. freut sich über den Geldsegen:
    »KDE ist sehr dankbar für diese Spende. Wir möchten dem Pinapple Fund unsere tief empfundene Wertschätzung für seine Großzügigkeit aussprechen. Wir werden die Mittel einsetzen, um unsere Sache voranzutreiben und Freie Software für jedermann und auf allen Plattformen zugänglich zu machen. Das Geld wird uns helfen, unsere Vision zu verwirklichen, eine Welt zu schaffen, in der jeder die Kontrolle über sein digitales Leben hat und Freiheit und Privatsphäre genießt.«

    Bitcoin-Philantropie

    Der Pineapple Fund war erst im Dezember ins Leben gerufen worden. Der Gründer bleibt anonym hinter dem Pseudonym »Pine«. Er sagt von sich selbst, er gehöre zu den 250 Menschen mit dem größten Bitcoin-Vermögen auf der Welt. Der Fund hat das Ziel, insgesamt 86 Millionen Dollar in Bitcoin an gemeinnützige Organisationen zu spenden. Derzeit sind bereits 52.612.250 Dollar an insgsamt 57 Organisationen gegangen. Die New York Times bezeichnete diese Art der Gönnerschaft als »mysteriöse Cryptocurrency-Philantropie«.

    Breit gestreut

    »Once you have enough money, money doesn’t matter« Pine

    Alle Transaktionen sind im Internet zu verfolgen, da Pine seine Bitcoin-Adresse öffentlich macht. Die Projekte der mit Bitcoin bedachten Organisationen reichen von klinischen Studien mit Psychedelika gegen PTSD über sauberes Wasser für Afrika bis hin zum Unterrichten von Kindern im Lesen und Schreiben. Es geht dem Pinapple Fund dabei darum, mit den Zuwendungen mutige und intelligente Wetten auf die Zukunft abzuschließen, die hoffentlich jeden auf der Erde beeinflussen werden. Unter den Beschenkten sind neben der FSF und dem KDE e.V. noch weitere Projekte aus dem Umfeld freier Software wie Let’s Encrypt, Apache Foundation, Software Freedom Conservancy, OpenstreetMap, OpenBSD und die Electronic Frontier Foundation (EFF).

  • Let’s Encrypt erreicht 50 Millionen aktive Zertifikate

    Let's Encrypt
    Logo: Let’s Encrypt Lizenz: CC BY-NC 4.0

     

    Die Zertifizierungsstelle  (CA) Let’s Encrypt hat die Marke von 50 Millionen aktiver Zertifikate überschritten. Das Ende 2014 gegründete freie Projekt ist mit dem Angebot kostenloser und automatisierter TLS-Zertifikate in drei Jahren zu einer der größten CAs weltweit geworden. Die Zertifikate verschlüsseln die Transportwege zwischen Webseiten und Servern per HTTPS und tragen damit erheblich zur Sicherheit des Internet bei. Hauptsponsoren des Projekts sind unter anderem Akamai, Cisco, die Electronic Frontier Foundation, die Ford-Foundation, Google und Mozilla.

    Bald auch Wildcard-Zertifikate

    Die Zahl der per Zertifikat von Let’s Encrypt geschützten Webseiten beläuft sich derzeit auf rund 66 Millionen. Damit konnte 2017 die Zahl der verschlüsselten Webseiten von 46 auf 67 Prozent angehoben werden. Für das Jahr 2018 hat sich die Internet Security Research Group (ISRG), die hinter Let’s Encrypt steht, viel vorgenommen. Die Zahl der aktiven Zertifikate sowie der eindeutigen Domains soll im kommenden Jahr auf 90, respektive 120 Millionen erhöht werden. Weitere Pläne für 2018 sehen mit dem ACME-Protokoll in Version 2 für Ende Februar die Unterstützung für Wildcard-Zertifikate vor. Später im Jahr will Let’s Encrypt ECDSA-Root-Zertifikate einführen. ECDSA gilt als die Zukunft digitaler Signatur-Algorithmen, die als effizienter als RSA angesehen werden.

    [su_slider source=“media: 4192,4193″ link=“image“ width=“700″ height=“460″ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Einfach und kostenlos

    Der Erfolg von Let’s Encrypt liegt einerseits darin, dass die Zertifikate kostenfrei ausgegeben werden, andererseits aber auch an der Einfachheit mit der sie erstellt und automatisiert erneuert werden können. Mittlerweile gibt es über 60 Clients für unterschiedliche Plattformen, von denen der von der Electronic Fronmtier Foundation (EFF) entwickelte Certbot der bekannteste ist.

    Die Infrastruktur hinter der Certificate Authority (CA) Let’s Encrypt besteht derzeit aus rund 70 Servern, Switches und Firewalls. Der Finanzbedarf des Projekts bleibt dabei weiterhin relativ gering. Das Budget für 2018 beträgt gerade einmal drei Millionen US-Dollar.

  • MeltdownPrime und SpectrePrime – neue Angriffsszenarien

    MeltdownPrime und SpectrePrime
    Foto: Markus Spiske auf Unsplash

     

    Das Ende der Fahnenstange ist noch nicht erreicht bei den Sicherheitslücken in den CPUs fast aller Hersteller der letzten 25 Jahre. Sicherheitsforscher der Universität Princeton und von Nvidia haben weitere Angriffsszenarien zur Ausnutzung von Meltdown und Spectre entdeckt, die nicht von den anfänglichen »Proof-of-concept«-Beispielen abgedeckt sind. Wie The Register gestern berichtete, beschreibt ein Forschungspapier unter dem Titel MeltdownPrime and SpectrePrime: Automatically-Synthesized Attacks Exploiting Invalidation-Based Coherence Protocols (PDF) neue Varianten der Meltdown- und Spectre-Exploits.

    Neue Wege für Malware

    Das Forscherteam hat neue Wege für Malware entdeckt, um sensible Informationen wie Passwörter und andere Geheimnisse aus dem Speicher eines anfälligen Computers zu extrahieren, indem es die Designfehler in modernen Prozessoren ausnutzt. Die Patches, die gerade entwickelt und ausgerollt werden, um den Angriffsvektor der Meltdown- und Spectre-Angriffe weiter zu verkleinern, werden diese neuen Exploits wahrscheinlich abdecken. Erst gestern wurden weitere Verbesserungen in dieser Hinsicht in den Mainline-Kernel eingebracht.

    Intel muß zurück ans Reißbrett

    Andererseits greifen die neuen Exploits so tief in die Chip-Architektur ein, dass die Änderungen direkt im Silicon, die Intel gerade plant, vermutlich nicht ausreichen um die CPU-Blaupausen von diesen Schwachstellen zu befreien. Es gibt allerdings bisher noch keine bekannt gewordenen Angriffe, die auf dem ursprünglichen oder dem neuen Exploit basieren. Das ist aber vermutlich eher der Komplexität der Sache geschuldet als dem Desinteresse der potentiellen Ausnutzer dieser Lücken.

    Automatisierte Suche

    Die Forscher haben ein bisher nicht näher beschriebenes Werkzeug entwickelt, das Microschip-Architektureen auf Angriffsszenarien hin überprüft. Sie identifizierten dabei neue Wege, um die Fehler des Prozessors auszunutzen. Diese neuesten Exploit-Techniken werden als MeltdownPrime und SpectrePrime bezeichnet. Die neuen Exploits unterscheiden sich von ihren Vorgängern unter anderem dadurch, dass sie als Zweikern-Angriffeausgelegt sind, sie verwenden zwei CPU-Kerne gegeneinander und nutzen die Art und Weise aus, wie in Mehrkernsystemen auf Speicher zugegriffen wird.

    Höhere Preisgelder

    Derweil hat Intel sein Bug-Bounty-Programm ausgedehnt. Die Erweiterung soll bis zum Jahresende aufrechterhalten werden und speziell weitere Seitenkanalattacken wie Spectre enthüllen. Die Preisgelder belaufen sich dabei auf bis zu 250.000 US-Dollar pro Entdeckung. Der bisherige Modus der Einladung von Intel, am Programm entfällt, es können Sicherheitsforscher aus der ganzen Welt teilnehmen.

  • Chrome Browser blockiert Werbung

     

    Chrome blockiert Werbung
    Photo by Andre Benz on Unsplash

    Ab dem 15. Februar blockiert Googles Browser Chrome Werbung, notfalls auch die eigene. Dabei will der Konzern, der selbst massiv von Werbung lebt, aber nicht den Ad-Blockern Konkurrenz machen, die durchschnittlich von 31 Prozent aller Besucher im Internet benutzt werden. Ad-Blocker versuchen, jegliche Werbung zu unterdrücken. Der Browser Opera bringt bereits einen solchen restriktiven Adblocker mit, ebenso der Browser Brave des ehemaligen Mozilla-Vorstands  Brendan Eich. Google verfolgt ein anderes Modell und will Werbung selektiv blockieren.

    Webseiten, die nicht als reines Hobby betrieben werden, müssen sich finanzieren, das ist einzusehen. Das geschieht auf verschiedenen Wegen. Werbung ist eines der Finanzierungsmodelle, Walled Gardens mit Subskriptionspreis ein anderes. Ein alternatives Modell ist Patreon, das bereits von vielen Blogs und anderen Projekten zur Finanzierung genutzt wird.

    Wie auf dem Jahrmarkt

    Viele Webseiten übertreiben es mit der Werbung so sehr, dass der Besucher beim Betreten denkt, er sei auf einem Jahrmarkt. Solche Seiten machen die Benutzung eines Ad-Blockers zwingend und schaden anderen Webseiten, die Werbung dezent, ziel- und themengerichtet einsetzen. Hier setzt Google mit seiner Blockade an. Webseiten, die den Besucher aufdringlich mit Bild, Ton und Effekten drangsalieren, werden von Google ermahnt, dies abzustellen. Passiert dies innerhalb 30 Tagen nicht, wird Werbung auf dieser Seite künftig geblockt.

    Veträgliche Standards

    Dabei richtet sich Google an den Standards der Vereinigung Better Ads aus, in deren Vorstand der Suchmaschinenriese sitzt. Webseitenbetreiber können ihre Seite  mit dem »Ad Experience Report« selbst überprüfen. Die Standards, nach denen Google blockiert, verhindern Werbung, die automatisch Videos abspielt, Pop-ups einblendet, Werbung, die Seiteninhalte so lange verdeckt bis ein Timer abgelaufen ist oder Werbung die trotzt Scrollens große Teile des Seiteninhalts verdeckt. Auf Mobilgeräten soll zudem Werbung geblockt werden, die mehr als 30 Prozent des Displays einnimmt oder blinkt.

    Kein Tracking-Schutz

    Bisher nicht von Googles Maßnahmen erfasst ist Ad-Tracking. Das Anzeigen-Tracking, bei dem Programmcode im  Browser ausgeführt wird, trägt dazu bei, dass Werbung dazu beiträgt,  Webseiten langsamer zu laden, mehr Speicherplatz beanspruchen, die Datenmenge von Anwendern ohne Flatrate zu erhöhen und die Akkus von Smartphones und Laptops schneller zu leeren. Es kann aber durchaus sein, dass sich »Better Ads« dieses Problems noch annimmt. Mozilla blockiert bereits aktiv Tracking in Firefox.

    Die Werbebranche lenkt ein

    Google handelt hier natürlich nicht uneigennützig, sondern gehorcht der Erkenntnis, dass zu viel und zu aufdringliche Werbung zu einer Steigerung des Einsatzes von Adblockern führt. Hier gilt es einen Weg zu finden, der sowohl die Besucher im Internet als auch die Bedürfnisse der Webseitenbetreiber und der Werbewirtschaft berücksichtigt. Ich bin beispielsweise beruflich den ganzen Tag im Internet auf unzähligen Seiten unterwegs und hätte ohne strikten Ad-Blocker vermutlich andauernd Kopfschmerzen. Ich bin aber gerne bereit, auf Seiten mit unaufdringlicher Werbung eine Ausnahme in Ad-Blocker einzurichten.

  • Skype auch unter Linux angreifbar

    Skype
    Logo: Microsoft Lizenz: Public Domain

     

    In den aktuellen Versionen des Instant-Messaging-Dienstes Skype für Linux, macOS und Windows schlummert eine Sicherheitslücke, die sich sowohl lokal als auch aus der Ferne ausnutzen lässt, um Systemrechte auf dem betroffenen Rechner zu erlangen. Die Lücke befindet sich im Updater der Anwendung. Das meldete jetzt die US-Webseite ZDNet.

    DLL Hijacking

    Der deutsche Sicherheitsforscher Stefan Kanthak fand heraus, dass unter Windows ein Angreifer per DLL-Hijacking dem Updater Schadcode anstelle der erwarteten DLL unterschieben kann. Damit kann ein System komplett übernommen werden. Dazu muss die DLL mit Schadcode in einem temporären Ordner liegen, auf den der User des Systems Zugriff hat und den Namen der erwarteten DLL haben. Beim Start der Anwendung wird dann die mit manipuliertem Code versehene DLL geladen und der Schadcode ausgeführt.

    Auch unter Linux und macOS

    Eine Abwandlung dieser Technik funktioniert auch unter macOS und  Linux, wo der dynamische Linker benutzt und über die Variable  LD_LIBRARY_PATH manipuliert wird. Kanthak hatte die Lücke bereits im vergangenen September an Microsoft gemeldet, das die Anwendung 2011 übernommen hatte. Nach Begutachtung des Bugs ließ der Konzern aus Redmond verlauten, man könne das Problem reproduzieren, die Lücke sei aber nicht im Rahmen eines regulären Sicherheitsupdates zu beheben, sondern bedürfe einer umfangreichen Code-Revision des zwar integrierten, aber als eigenständig ausführbare Datei ausgelegten Updaters.

    Daher wird die Lücke vermutlich erst mit einer neuen Version von Skype behoben. Wann diese erscheinen wird ist derzeit noch nicht bekannt. Skype war bereits 2017 von Sicherheitsproblemen geplagt. Dasmals wurde Malware durch In-App-Werbung eingeschleust, die zu Ransomware-Attacken führen konnte.