CleanPress

Schlagwort: Matrix

  • Matrix für das Bug-Bounty-Projekt von EU-FOSSA ausgewählt

    Matrix

    Die Matrix.org Foundation gab bekannt, dass das Matrix-Protokoll für Echtzeitkommunikation ausgewählt wurde, an der nächsten Runde der EU FOSSA Bug-Bounties teilzunehmen, die von der Europäischen Kommission finanziert werden und dazu dienen, die Sicherheit wichtiger Open-Source-Software, die in ganz Europa eingesetzt wird, zu erhöhen.

    Preisgelder bis 5.000 €

    Sicherheitsforscher haben im Rahmen des Programms Anspruch auf Prämien von bis zu 5.000 Euro für die Entdeckung von Schwachstellen in Matrix-Projekten, einschließlich des Synapse-Homeservers und der Element-Suite von Open-Source-Clients. Forscher können außerdem einen Bonus von 20 Prozent erhalten, wenn sie zusammen mit dem Bugreport einen akzeptierten Patch bereitstellen.

    Zu den Projekten, die für Bounties in Frage kommen, gehören:

    • Synapse, der Matrix-Referenzserver
    • Sydent, der Matrix-Identitätsserver
    • Sygnal, das Referenz-Push-Gateway
    • Olm, die Matrix-Implementierung des kryptografischen Double-Ratchet-Algorithmus
    • Element, Matrix-client für Web, Desktop, Android und iOS

    Da Matrix bereits sichere Kommunikation innerhalb der französischen Regierung (Tchap) und in Tests mit dem deutschen Militär (BwMessenger) betreibt, war das Projekt eine logische Wahl für das Fossa Bug-Bounty Programm. Das Programm wird in Partnerschaft mit Intigriti durchgeführt, einer Bug-Bounty-Plattform, die eingehende Berichte validiert und triagiert, bevor sie an die Matrix-Entwickler weitergeleitet werden. Die Europäische Kommission hat Mittel in Höhe von 32.000 Euro für Bounties genehmigt, die bis Oktober 2021 zur Verfügung stehen.

    Pilotprojekt der EU

    Bei EU-Fossa (EU-Free and Open Source Software Auditing) handelt es sich um ein 2016 offiziell gestartetes Pilotprojekt der EU mit dem Ziel, einen Ansatz anzubieten, mit dem EU-Institutionen sichergehen können, dass die freie Software, die sie nutzen, vertrauenswürdig ist. Bereits Ende 2014 hatte das Europäische Parlament Finanzmittel bewilligt, um freie Software-Projekte, die vom Europäischen Parlament und der Europäischen Kommission verwendet werden, auf ihre Sicherheit hin zu analysieren.

    In der Kritik

    Anfangs stand das Projekt heftig in der Kritik von unter anderem Matthias Kirschner von der FSFE und Mirko Böhm vom Open Invention Network. Die Kritik warf den Initiatoren und den Beteiligten unter anderem vor, dass die Dokumente hinter verschlossenen Türen verfasst und erst der endgültige Stand veröffentlicht wurde. Zudem seien die Unternehmen, die die Audits vornehmen nicht ausreichend mit Open Source und der Community dahinter vertraut.

  • NeoChat als Flatpak verfügbar

    NeoChat als Flatpak

    Zum Jahresende hatte ich kurz über NeoChat berichtet, einen neuen Chat-Client für das Matrix-Netzwerk. Matrix ist ein offenes Kommunikationsprotokoll für sichere und dezentralisierte Echtzeitkommunikation. NeoChat stellt einen Fork der Matrix-Chat-App Spectral dar, der in den letzten Monaten kaum noch Entwicklung erfuhr. Der auf QML und dem Kirigami-Framework des KDE-Projekts aufgebaute Client besitzt ein konvergentes User-Interface und passt sich so automatisch an verschiedene Display-Größen an. Die Interaktion mit dem Matrix-Protokoll läuft über die libQuotient-Bibliothek.

    Ansehnlich, aber noch nicht komplett

    NeoChat verfügt über eine einfache Bildbearbeitung auf der Basis von KQuickImageEditor zum Beschneiden und Rotieren von Bildern vor dem Versenden. Die Funktion ist zwar vorhanden, ich konnte aber keine Möglichkeit finden, etwas zu editieren. Was derzeit noch fehlt, ist die Verschlüsselung, Video-Chats sowie das nachträgliche Editieren von freigegebenen Nachrichten. Die Interaktion mit anderen KDE-Apps durch das Purpose-Framework und eine Rechtschreibprüfung mittels Sonnet stehen ebenfalls noch aus. NeoChat soll demnächst in der KDE-Edition des PinePhones vorinstalliert werden. Eine Android-Version ist derzeit noch im experimentellen Stadium.

    Flatpak verfügbar

    Bisher musste NeoChat aus den Quellen gebaut werden, jetzt ist ein Flatpak verfügbar. Da es in den Kommentaren zu einer anderen News in den letzten Tagen Unklarheiten über die Größenverhältnisse bei Flatpaks gab, habe ich mal explizit darauf geachtet. Es musste eine neue Runtime installiert werden (runtime/org.kde.Platform/x86_64/5.15), die mit etwa 280 MByte zu Buche schlug, zudem wurden einige Dateien aktualisiert. NeoChat selbst belegt lediglich 2,2 MByte. Die heruntergeladene Menge kann je nach Installationsstand von Flatpak im System unterschiedlich ausfallen.