New Tab Override ist eine Erweiterung zum Ersetzen der Seite, welche beim Öffnen eines neuen Tabs in Firefox erscheint. Die beliebte Erweiterung ist nun in Version 18.0 erschienen.

Was ist New Tab Override?

Die Erweiterung New Tab Override erlaubt das Überschreiben der Seite, welche beim Öffnen eines neuen Tabs in Firefox erscheint. Dies kann eine beliebige Website, immer automatisch die aktuelle Startseite, eine lokale Datei, eine Hintergrundfarbe oder die neuesten Nachrichten von diesem Blog sein.

New Tab Override war das erste Add-on, welches das Überschreiben des neuen Tabs ermöglichte, und ist damit das Original und auch heute noch die meistgenutzte Erweiterung dieser Art. New Tab Override wurde im Dezember 2016 auf dem offiziellen Mozilla-Blog vorgestellt, schon mehrfach im Add-on Manager von Firefox beworben und gehört außerdem zu Mozillas handverlesener Auswahl empfohlener Erweiterungen.

Download New Tab Override für Firefox

Die Neuerungen von New Tab Override 18.0

Modernes Design der Einstellungs-Oberfläche

Die auffälligste Neuerung zuerst: Die Einstellungs-Oberfläche von New Tab Override erstrahlt in völlig neuem Glanz. Das Design basiert auf der identischen Design-Sprache, welche auch vom Enterprise Policy Generator genutzt wird.

In diesem Zusammenhang wurde auch gleich der native Bestätigungsdialog zum Löschen einer lokalen Datei durch eine eigene und visuell deutlich ansprechendere Version ersetzt.

Verbesserungen in Zusammenhang mit Option für Website-Fokus

Für Nutzer, welche die Option aktiviert haben, dass der Fokus auf die Website und nicht auf die Adressleiste gelegt werden soll, gab es mehrere Verbesserungen. So erscheint nicht länger eine interne Datei der Erweiterung in der Liste kürzlich geschlossener Tabs, Firefox behält nun die aktive Tab-Gruppe und die Kompatibilität mit Erweiterungen, welche Gebrauch von Tab-Umgebungen machen, wurde verbessert.

Aus diesem Grund benötigt New Tab Override ab sofort eine zusätzliche Berechtigung, um auf die zuletzt geschlossenen Tabs zugreifen zu dürfen.

Konfiguration der Erweiterung über Unternehmensrichtlinien

System-Administratoren haben ab sofort die Möglichkeit, New Tab Override über sogenannte Unternehmensrichtlinien zu konfigurieren. Dies kann in Form einer policies.json-Datei beispielsweise so aussehen:

{
  "policies": {
    "3rdparty": {
      "Extensions": {
        "newtaboverride@agenedia.com": {
          "type": "custom_url",
          "url": "https://www.soeren-hentzschel.at",
          "focus_website": true
        }
      }
    }
  }
}

Tipp: Der Enterprise Policy Generator hilft bei der Konfiguration von Unternehmensrichtlinien.

Wurde New Tab Override über eine Unternehmensrichtlinie konfiguriert, können die konfigurierten Optionen nicht vom Benutzer verändert werden. Alle weiteren Optionen bleiben weiterhin für den Benutzer veränderbar.

Keine Datensammlung

New Tab Override sammelt keine Daten. Um dies explizit zu machen, wurde eine neue Eigenschaft im Erweiterungs-Manifest gesetzt. Diese sorgt dafür, dass Nutzer bei der Installation sowie in der Add-ons-Verwaltung einen entsprechenden Hinweis sehen.

Sonstige Neuerungen von New Tab Override 18

Bei Verwendung der Option, eine Farbfläche als neuen Tab zu verwenden, zeigen die Einstellungen jetzt auch den Hex-Code der ausgewählten Farbe an.

Ein Fehler wurde behoben, der dafür sorgte, dass der Eintrag im Extras-Menü nicht funktionierte.

Sämtlicher JavaScript- und CSS-Code unter der Haube wurde modernisiert, ebenso wie der dahinter liegende Entwickler-Workflow. Dies zahlt auf eine bessere Code-Qualität sowie bessere Wartbarkeit für zukünftige Updates ein.

Neue Mindestvoraussetzung ist Firefox 140. Firefox 115 bis Firefox 139 werden nicht länger unterstützt.

Ausblick: New Tab Override 19.0

Die Entwicklung von New Tab Override 19.0 ist auch schon weit vorangeschritten. Mit der neuen Version wird es nicht mehr nur möglich sein, eine einzelne Seite für alle neuen Tabs festzulegen. Ab New Tab Override 19.0 wird für jede Tab-Umgebung sowie jede Tab-Gruppe eine individuelle Startseite festlegbar sein.

Entwicklung unterstützen

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt von New Tab Override erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features zu implementieren.

Der Beitrag New Tab Override 18.0 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Für die Neuauflage meines Scripting-Buchs habe ich mich zuletzt mit dem Senden und Empfangen von E-Mails per SMTP und IMAP beschäftigt. Dieser Blog-Beitrag stellt das Standardmodul imaplib vor. Damit können Sie per IMAP Postfächer abrufen und verwalten. Die Anwendung ist ein wenig umständlich, aber dafür können Sie wirklich praktisch alles machen, was das Protokoll IMAP vorsieht.

Kurz erklärt: IMAP und Authentifizierung

IMAP (Internet Message Access Protocol) ist das Standardprotokoll zum Abrufen und Verwalten von E-Mails auf einem Mailserver. Die Verbindung erfolgt normalerweise über Port 993 mit SSL/TLS. Im Unterschied zu POP3 verbleiben die Nachrichten auf dem Server und lassen sich in Ordnern organisieren – IMAP eignet sich daher besonders gut für die automatisierte Verarbeitung.

Klassische Unix/Linux-Mailserver erlauben die Anmeldung mit Benutzername und Passwort. Bei Google-Konten ist das anders: Gmail erfordert entweder App-Passwörter (16-stellige Codes, die Sie nach Aktivierung der Zwei-Faktor-Authentifizierung unter myaccount.google.com/apppasswords erstellen) oder OAuth2. App-Passwörter sind dabei die einfachere Variante für Scripts.

Passwörter sollten nie direkt im Scriptcode stehen. Die Beispiele hier lesen die Zugangsdaten aus Umgebungsvariablen, die wiederum aus einer Datei credentials.env geladen werden:

# credentials.env  (chmod 600; in .gitignore aufnehmen!)
IMAP_HOST=mail.example.com
IMAP_USER=username
IMAP_PASS=topSecret

In Python laden Sie die Datei am einfachsten mit python-dotenv:

from dotenv import load_dotenv
load_dotenv("credentials.env")

Das Modul installieren Sie mit pip install python-dotenv oder – wenn Sie uv verwenden – mit uv add python-dotenv.

imaplib: Verbinden, suchen und herunterladen

imaplib ist seit Python 2 Bestandteil der Standardbibliothek und deckt den vollständigen IMAP-Befehlssatz ab. Das folgende Beispiel-Script stellt die Verbindung zur Inbox her, lädt die zehn neuesten E-Mails herunter und zeigt die wichtigsten Metadaten tabellarisch an – mit * als Indikator für noch ungelesene Nachrichten:

* 13-05 17:53  papa.xxx@xxx...     AW: Halbjahresabrechnungen
  12-05 20:48  kundenxxx@xxx...    Terminanfrage Sendungszustel...
  12-05 04:02  info@weltxxx...     Japan, Korsika oder Sansibar ...
  11-05 20:51  noreply@xxx...      OpenAI Dev News: Realtime 2.0...
  05-05 18:58  cron@webxxx         Invitation updated: iprot dev 
  04-05 08:28  externexxx@fhxxx... Vertrag bereit zur Abbrechnung

imaplib.IMAP4_SSL stellt die Verbindung zum IMAP-Server auf Port 993 her. select öffnet einen Ordner, search liefert eine Liste von Nachrichten-IDs als leerzeichen-getrennte Byte-Zeichenkette, fetch lädt die Rohdaten einer einzelnen oder mehrerer Nachrichten.

Der Parameter readonly=True bei select stellt sicher, dass das Abrufen der Nachrichten keine Nebeneffekte hat – insbesondere werden keine Nachrichten als gelesen markiert. Das ist wichtig, weil IMAP-Server den Status einer Nachricht bereits beim Öffnen verändern können.

search(None, "ALL") liefert eine aufsteigend sortierte Liste aller Nachrichten-IDs im Postfach. Mit split()[-10:] extrahieren Sie die zehn neuesten. Diese IDs werden, getrennt durch Kommas, zu einem einzigen fetch-Aufruf zusammengefasst. Als Fetch-Attribute übergeben Sie FLAGS für den Lesestatus sowie BODY.PEEK[HEADER.FIELDS (...)], um nur die benötigten Header-Felder abzurufen. PEEK verhindert dabei, dass der Server die Nachrichten automatisch als gelesen kennzeichnet.

Jede Zeile der Server-Antwort ist ein Tupel aus Metadaten und rohen Header-Bytes. ParseFlags wertet die Metadaten aus und gibt die IMAP-Flags als Tupel zurück. Wenn \Seen fehlt, gilt die Nachricht als ungelesen. message_from_bytes wandelt die Header-Bytes in ein auswertbares Objekt um.

parsedate_to_datetime macht aus einem RFC-2822-Datum ein datetime-Objekt, das dann mit strftime nach eigenen Vorstellungen formatiert werden kann. parseaddr zerlegt das From-Feld in ein (Name, Adresse)-Tupel. MIME-kodierte Header-Zeichenketten wie =?utf-8?q?...?= entschlüsselt decode_header aus dem Modul email.header.

Die Ergebnisse werden zunächst in einer Liste gesammelt, da die Reihenfolge der Server-Antwort nicht zwingend der Reihenfolge der angefragten IDs entspricht. reversed dreht die Liste beim Ausgeben um, sodass die neueste Nachricht zuerst erscheint.

# Beispieldatei fetch-imap.py
import os, email, imaplib
from email.header import decode_header, make_header
from email.utils import parsedate_to_datetime, parseaddr
from dotenv import load_dotenv

# IMAP-Konfigurationsparameter lesen
load_dotenv("credentials.env")
HOST = os.environ["IMAP_HOST"]
USER = os.environ["IMAP_USER"]
PASS = os.environ["IMAP_PASS"]

# RFC-2047-Header (=?utf-8?q?...?=) dekodieren
def decode_mime(value: str | None) -> str:
    return str(make_header(decode_header(value or "")))

# Zeichenkette auf max_len verkürzen
def truncate(text: str, n: int) -> str:
    return text if len(text) <= n else text[: n - 3] + "..."

# Verbindung zum IMAP-Server
with imaplib.IMAP4_SSL(HOST) as imap:
    imap.login(USER, PASS)
    imap.select("INBOX", readonly=True)  # nichts ändern!

    # IDs aller Nachrichten ermitteln -> Byte-String für fetch()
    _, data = imap.search(None, "ALL")
    id_set = b",".join(data[0].split()[-10:])  # max. 10

    # IDs der ungelesenen Nachrichten
    _, unseen_data = imap.search(None, "UNSEEN")
    unseen = set(unseen_data[0].split())

    # relevante Spalten abfragen (IMAP-Syntax); PEEK, damit
    # das Seen-Flag nicht gesetzt wird
    fields = "(FLAGS BODY.PEEK[HEADER.FIELDS (DATE FROM SUBJECT)])"
    _, rows = imap.fetch(id_set, fields)

    # Daten/Spalten dekodieren und formatieren
    messages = []
    for row in rows:
        if not isinstance(row, tuple):
            continue
        meta, raw_headers = row
        # Sequence-Nummer am Beginn der Metadaten (b'4 (FLAGS ...')
        seq     = meta.split()[0]
        is_new  = seq in unseen
        msg     = email.message_from_bytes(raw_headers)
        dt      = parsedate_to_datetime(msg["Date"])
        date    = dt.strftime("%d-%m %H:%M")
        addr    = parseaddr(decode_mime(msg.get("From", "")))[1]
        sender  = truncate(addr, 20)
        raw_sub = decode_mime(msg.get("Subject", "(no subject)"))
        subject = truncate(raw_sub, 40)
        messages.append((is_new, date, sender, subject))

    # in umgekehrter Reihenfolge ausgeben, die neueste Mail zuerst
    for is_new, date, sender, subject in reversed(messages):
        flag = "*" if is_new else " "
        print(f"{flag} {date}  {sender:<20}  {subject}")

Was imaplib sonst noch kann

Das obige Beispiel kratzt nur an der Oberfläche. imaplib deckt den vollständigen IMAP-Befehlssatz ab:

• Vollständige Nachrichten laden: Mit fetch können Sie nicht nur Header, sondern auch den kompletten Nachrichtentext inklusive Anhänge abrufen.
• Filtern: search akzeptiert IMAP-Suchkriterien wie FROM, SUBJECT, SINCE oder UNSEEN, um gezielt nach bestimmten Nachrichten zu suchen.
• Flags setzen: store setzt oder entfernt Flags wie \Seen, \Flagged oder \Deleted.
• Löschen: expunge löscht die als \Deleted markierten Nachrichten endgültig.
• Ordner verwalten: copy verschiebt Nachrichten zwischen Ordnern, list gibt alle verfügbaren Mailboxen zurück, create und delete legen neue Ordner an oder entfernen sie.

Kurz gesagt: Von der einfachen Posteingangsübersicht bis zur vollautomatisierten Mailbox-Verwaltung ist alles drin.

Alternativen zu imaplib

Wer die etwas sperrige API von imaplib als mühsam empfindet, kann auf IMAPClient ausweichen. Die Bibliothek ist ein High-Level-Wrapper um imaplib, der insbesondere den Umgang mit Nachrichten-IDs, Flags und Ordnern deutlich angenehmer macht. Das folgende Mini-Beispiel zeigt die Verbindung und das Abrufen der Betreffzeilen aller ungelesenen Nachrichten:

from imapclient import IMAPClient

with IMAPClient(HOST) as client:
    client.login(USER, PASS)
    client.select_folder("INBOX", readonly=True)
    messages = client.search("UNSEEN")
    for uid, data in client.fetch(messages, "ENVELOPE").items():
        print(data[b"ENVELOPE"].subject.decode())

IMAPClient installieren Sie mit pip install imapclient bzw. uv add imapclient.

Wer IMAP in einem asyncio-Kontext benötigt, greift zu aioimaplib – einer vollständig async-fähigen Bibliothek, da imaplib synchron blockiert. Und imbox ist eine sehr einsteigerfreundliche Abstraktion, die E-Mails als Python-Objekte mit direkt zugänglichen Attributen wie .subject oder .attachments liefert. Der Nachteil: weniger Kontrolle bei komplexen Operationen.

Quellen und Links

• imaplib – Dokumentation (docs.python.org)
• Introduction to IMAP (nickb.dev)
• python-dotenv
• IMAPClient
• aioimaplib
• imbox

Urlaub ist herrlich, um einfach mal abzuschalten. Doch nach ein paar Tagen der puren Erholung packt mich meistens wieder der Drang, etwas Kreatives oder Produktives zu tun. Ein gutes Buch lesen? Schon erledigt. Rätseln? Nun ja, dieses Jahr hatte ich mir Sudoku als Endgegner ausgesucht – was mich am Ende ehrlicherweise mehr angestrengt als erfreut hat. Immerhin war ich an anderer Stelle produktiv und habe die Auffrischung meines A2-Fernpiloten-Kompetenznachweises erfolgreich hinter mich gebracht.

Doch der Tech-Spleen lässt einen auch im Urlaub nicht ganz los. Mir ging da nämlich eine Sache durch den Kopf: Letztes Jahr hat Prof. Klaus Knopper auf den Chemnitzer Linux-Tagen einen extrem spannenden Vortrag zum Thema lokale KI gehalten. Konkret ging es um Ollama auf dem Raspberry Pi. Warum also nicht die freie Zeit nutzen, um das Ganze mal aus der Ferne auf dem heimischen RasPi zu installieren und selbst auszuprobieren?

Was ist Ollama?

Für alle, die den Begriff noch nicht gehört haben, hilft ein kurzer Blick in die Wikipedia:

Ollama ist eine Open-Source-Software zur lokalen Ausführung von Large Language Models (LLMs) auf Desktop-Computern. Die Plattform ermöglicht die lokale Nutzung frei verfügbarer KI-Modelle und unterstützt die Integration mit weiteren lokalen Werkzeugen, die über eine Kommandozeilenschnittstelle oder eine Programmierschnittstelle (API) angebunden werden können. Ollama ist für macOS, Linux und Windows verfügbar.

Installation

Gesagt, getan. Die Installation auf dem Raspberry Pi – in meinem Fall ein Raspberry Pi 5 mit 8 GB RAM – erfolgt denkbar einfach über das Terminal mit folgendem Befehl:

curl -fsSL https://ollama.com/install.sh | sh

Am Ende des Installationsvorgangs spuckt das System noch den dezenten Hinweis aus, dass keine NPUs oder Grafikkarten von Nvidia gefunden wurden, die die Ausführung des Large Language Models beschleunigen könnten. Das war beim RasPi natürlich zu erwarten, hält uns aber nicht auf.

Damit wir der KI überhaupt Fragen stellen können, muss im Anschluss ein passendes und vor allem schlankes Modell installiert werden. Für diesen ersten Test habe ich mich für llama 3.2 (ca. 2 GB) entschieden:

ollama run llama3.2:3b

Der Praxistest: Was taugt die lokale KI?

Nachdem das Modell geladen war, wollte ich es natürlich wissen. Ich habe der lokalen KI eine klassische Frage gestellt:

Welche Linux-Distribution würdest du einem Anfänger empfehlen?

Eine gute Frage!

Als Anfänger ist es wichtig, eine Linux-Distribution zu wählen, die leicht zu installieren und zu bedienen ist. Hier sind einige beliebte Optionen:

1. Ubuntu: Ubuntu ist eine der bekanntesten und am weitesten verbreiteten Linux-Distributionen. Sie bietet eine intuitive Benutzeroberfläche und eine riesige Gemeinschaft von Benutzern, die ihr helfen können, wenn
   etwas nicht funktioniert.
2. Linux Mint: Linux Mint basiert auf Ubuntu und ist für ihre einfache und benutzerfreundliche Oberfläche bekannt. Sie ist auch sehr sicher und bietet viele zusätzliche Funktionen wie eine verbesserte
   Sicherheitsfunktion und eine integrierte Diskografie.
3. Debian: Debian ist eine weitere beliebte Linux-Distribution, die für ihre Stabilität und Sicherheit bekannt ist. Sie bietet eine riesige Auswahl an Software und ist ein beliebter Kandidat für Entwickler und
   Systemadministratoren.
4. Fedora: Fedora ist eine Linux-Distribution, die von der Open Source Initiative verwaltet wird. Sie bietet eine aktuelle und sichere Version von Linux und ist ein beliebter Kandidat für Entwickler und
   Systemadministratoren.

Meine Empfehlung wäre Ubuntu. Sie ist eine großartige Option für Anfänger, da sie leicht zu installieren und zu bedienen ist. Außerdem bietet sie eine riesige Gemeinschaft von Benutzern, die ihr helfen können, wenn
etwas nicht funktioniert.

Ich hoffe, das hilft! Wenn du noch weitere Fragen hast, stehe ich gerne zur Verfügung.

Das Ergebnis kann sich absolut sehen lassen. Die Antwort hätte ich so oder so ähnlich wahrscheinlich auch gegeben. Ich bin wirklich nachhaltig beeindruckt, was der kleine Einplatinen-Computer hier ganz ohne Cloud-Anbindung zu leisten vermag.

Fazit

Eine lokale und ethische KI auf dem eigenen Raspberry Pi ist auf jeden Fall einen Blick wert. Wer seine Daten nicht ungeschützt den großen Hyperscalern in die Cloud blasen möchte, findet hier eine fantastische Alternative. Im Sinne der digitalen Souveränität ist diese Lösung für kleinere, alltägliche Aufgaben auf jeden Fall hervorragend geeignet.

Der Beitrag Urlaub mit dem Lama erschien zuerst auf intux.de.

Dieser Artikel richtet sich an jene, die sich für das Thema Kernel Live Patching (KLP) interessieren.

Im ersten Teil des Artikels stelle ich dar, wann KLP in meinen Augen keine gute Lösung darstellt und man auf den Einsatz nach Möglichkeit verzichten sollte. Wissend, dass es manchmal nicht anders geht, beschreibe ich im zweiten Teil am Beispiel von RHEL 9, wie KLP eingerichtet und genutzt werden kann.

Transparenzhinweis: Ich arbeite als Technical Account Manager (TAM) für die Firma Red Hat, welche die Distribution Red Hat Enterprise Linux (RHEL) herausgibt. Dieser Artikel spiegelt meine persönliche Meinung wider, welche mit der meines Arbeitgebers übereinstimmen kann, dies jedoch nicht in jedem Fall muss.

Der Userspace wird in diesem Artikel ausgeklammert, um den Umfang nicht zu sprengen. Ich werde diesen in einem folgenden Artikel aufgreifen.

Warum bzw. wann man Kernel Live Patching nicht nutzen sollte

Folgende Gründe sollten nicht zur Nutzung von KLP führen, sondern auf andere Weise adressiert werden:

• Angst vor dem Serverneustart
• Eine Softwarearchitektur, die Serverneustarts nicht vorsieht/zulässt
• Ungeklärte Abhängigkeiten in vernetzten Systemen
• Der Glaube, mit KLP nie wieder neustarten zu müssen

Angst ist in der IT ein ganz schlechter Ratgeber. Hier sollte unbedingt die Ursache und nicht das Symptom behandelt werden. Denn Serverneustarts können auch noch aus folgenden Gründen passieren bzw. notwendig werden:

• Der Server verliert vorübergehend die Stromversorgung
• Eine Kernel Panic bringt das System zum Absturz
• Ein nicht mehr reagierendes System muss durch einen Reset neugestartet werden
• Umzug der Hardware an einen neuen Standort

Dies sind nur vier Gründe, die mir sofort in den Sinn kommen. Wenn wir länger darüber nachdenken, fallen uns bestimmt noch viele weitere ein (ergänzt diese gern in den Kommentaren). Wichtig ist zu verstehen, dass Serverneustarts aus verschiedenen Gründen passieren und per se nicht schlimm sind.

Wenn die Softwarearchitektur keine Neustarts einzelner Komponenten zulässt, hat man ein ganz anderes Problem, welches dringend adressiert werden sollte. Soetwas wie 100%-tige Verfügbarkeit gibt es nicht. Hier ist in meinen Augen zu klären, ob es wirklich an der Anwendung oder eher an nicht verhandelten Wartungsfenstern liegt. KLP ist hier keine Lösung, da die Häufigkeit von Neustarts nur reduziert bzw. das Problem in die Zukunft verschoben wird.

Viele Sysadmins sind faul und das ist gut so. Motiviert es diese Personengruppe doch, manuelle Tätigkeiten zu automatisieren und sich die Arbeit zu erleichtern. Diese Faulheit darf allerdings nicht dazu führen, dass man sich vor der Analyse komplexer und vernetzter Systeme drückt. Abhängigkeiten können analysiert und in den meisten Fällen aufgelöst werden. Sind sie bekannt, kann man sie im Patchprozess berücksichtigen und den Vorgang inkl. Neustarts automatisieren. Auch in diesem Fall verzögert KLP das Unvermeidliche nur.

Kernel Live Patching kümmert sich, wie der Name schon sagt, nur um den Kernel. Was ist mit dem Userspace? Auch hier gibt es sicherheitskritische Bibliotheken und Anwendungen, wie z.B. openssl, gnutls oder die glibc, welche bei erkannten Schwachstellen zeitnah abgesichert werden müssen, um die Sicherheit des Systems nicht zu gefährden.

Neustarts sind per se nicht schlecht. Wer seine Server regelmäßig neustartet, gewinnt Vertrauen, dass diese auch wieder hochfahren und ihre Dienste korrekt erbringen. Schlummernde Probleme werden schneller erkannt und türmen sich nicht zu einem Störfall auf, der nur darauf wartet, im ungünstigsten Moment zu passieren. Und im Optimalfall sind die Dienste so entworfen worden, dass der Ausfall/Neustart eines einzelnen Servers nicht automatisch zu einer Nichtverfügbarkeit des Dienstes führt.

Ich möchte mein Plädoyer für Serverneustarts an dieser Stelle beenden und mich zwei Szenarios zuwenden, in denen KLP die Schmerzen des IT-Betriebs lindern kann.

Wann Kernel Live Patching Sinn macht

Für besonders geschäftskritische IT-Dienste existieren häufig Service-Level-Agreements (SLA), die eine sehr hohe Verfügbarkeit garantieren. Verstöße gegen diese SLA werden von den Stakeholdern meist nicht toleriert und sind in manchen Fällen mit Vertragsstrafen belegt. Zwar gilt auch hier, dass das Problem eher in der Softwarearchitektur liegt, doch hilft dies den Sysadmins nicht, die mit dem Betrieb beauftragt sind. Sie müssen irgendwie damit umgehen, bis eine bessere Lösung gefunden wird. Hier kann KLP eine Notlösung sein, um Sicherheitsrisiken im Betrieb zu reduzieren und SLA-Verstöße zu vermeiden.

Angelehnt an die SLA spielt die Zeit, die ein Server für einen Neustart benötigt, eine Rolle. Während die meisten VMs in Sekunden oder 1-2 Minuten neustarten, dauert dieser Vorgang bei Hardwareservern manchmal deutlich länger. Im Feld werden hier vereinzelt Zeiten zwischen 10-20 Minuten beobachtet (pro Server). Müssen mehrere Server für einen IT-Dienst sequentiell neugestartet werden, summieren sich die Zeiten schnell auf und machen größere Wartungsfenster erforderlich. KLP kann helfen, die Anzahl der langen Wartungsfenster zu reduzieren.

Es gibt Systeme, für deren Start ein manueller Eingriff durch Sysadmins notwendig ist. Dies kann z.B. die Eingabe eines BIOS-, Grub-, LUKS- oder UEFI-Passworts sein. Dies ist aufwändig und lästig, lässt sich aber leider nicht in allen Fällen wegautomatisieren. Auch hier erscheint es legitim, die Anzahl der manuellen Eingriffe durch den Einsatz von KLP zu minimieren.

Kernel Live Patching für RHEL 9 konfigurieren

Um mich für die Konfiguration vorzubereiten, habe ich folgende drei Quellen studiert:

• Chapter 9. Applying patches with kernel live patching
• Kernel Live Patch Support Cadence Update (Login erforderlich)
• Kernel Live Patch life cycles (Login erforderlich)

Die wichtigsten Erkenntnisse daraus sind für mich:

• Nicht jeder RHEL-Kernel erhält Live-Patches
• An jedem 1. März, Juni, September und Dezember (jedes Quartal) wird für jedes unterstützte RHEL-Release ein Kernel festgelegt, welcher Live-Patches erhält
• Für jeden dieser Kernel verspricht Red Hat bis zu einem Jahr lang Updates für CVEs, die nach Red Hats Ermessen als critical oder important kategorisiert wurden (siehe Severity Ratings)

Dass Red Hat für ausgewählte Kernel-Releases ein Jahr lang Live-Patches bereitstellt, lässt nicht den Schluss zu, nur noch einmal pro Jahr neustarten zu müssen. Denn:

• CVEs der Kategorien moderate und low werden gar nicht adressiert
• Man erhält keinerlei Bugfixes und keinerlei Produktverbesserungen (Red Hat Enhancement Advisories (RHEA))

Die Planung eines Neustarts wird jedoch ggf. vereinfacht.

Konfiguration von Kernel Live Patching für ein Labor-System

Ich habe ein Labor-System mit RHEL 9 auserkoren, welches als Hypervisor für einige Libvirt/KVM-VMs genutzt wird.

Dieses läuft aktuell mit dem Kernel 5.14.0-687.15.1.el9_8.x86_64, welcher laut Kernel Live Patch life cycles kein Kernel ist, für den KLP angeboten wird. Es ist also zuerst der kernel-5.14.0-687.10.1 zu installieren. Anschließend folge ich der Dokumentation, um den Live-Patch-Stream für diesen Kernel zu aktivieren (siehe folgender Codeblock).

~]$ sudo dnf search kernel-5.14.0-687.10.1.el9_8
Updating Subscription Management repositories.
Last metadata expiration check: 0:04:34 ago on Tue 23 Jun 2026 11:31:09 AM CEST.
================ Summary Matched: kernel-5.14.0-687.10.1.el9_8 ================
kpatch-patch-5_14_0-687_10_1.x86_64 : Initial empty kpatch-patch for
                                    : kernel-5.14.0-687.10.1.el9_8.x86_64
~]$ sudo dnf install kpatch-patch-5_14_0-687_10_1.x86_64

Wie im obigen Codeblock zu sehen, handelt es sich dabei um den initialen und leeren kpatch-patch. Das System hat also noch keinen Fix erhalten, sondern ist lediglich darauf vorbereitet.

Im jetzigen Zustand würde DNF das System bei einem Update jedoch auf die letzte verfügbare Kernelversion aktualisieren, welche keine Live-Patches erhält. Da dies von mir nicht gewünscht ist, aktiviere ich einen Filter, der zukünftig nur noch KLP-fähige Kernel anzeigt. Der folgende Codeblock zeigt den Zustand vor der Aktivierung des Filters, die Aktivierung selbst und den Zustand danach.

~]$ sudo dnf kpatch status
Updating Subscription Management repositories.
Last metadata expiration check: 0:04:36 ago on Tue 23 Jun 2026 11:43:44 AM CEST.
Kpatch update setting: auto-update
Kpatch filter setting: no-filter
Dependencies resolved.
Nothing to do.
Complete!

~]$ sudo dnf kpatch auto-filter
Updating Subscription Management repositories.
Kpatch filter setting: auto-filter

~]$ sudo dnf kpatch status
Please note, kpatch filter is enabled, only kpatch supported kernels are shown.
Kpatch update setting: auto-update
Kpatch filter setting: auto-filter
Dependencies resolved.
Nothing to do.
Complete!

Zum Abschluss ein Neustart und mein System läuft mit dem richtigen Kernel 5.14.0-687.10.1.el9_8.x86_64.

Aufräumarbeiten

Aktuell sind auf meinem System noch Kernel-Pakete installiert, die für KLP nicht vorgesehen sind, aber bei einem dnf update aktualisiert werden würden:

~]# dnf list --installed kernel*
Updating Subscription Management repositories.
Please note, kpatch filter is enabled, only kpatch supported kernels are shown.
Installed Packages
kernel.x86_64              5.14.0-611.55.1.el9_7 @rhel-9-for-x86_64-baseos-rpms
kernel.x86_64              5.14.0-687.10.1.el9_8 @rhel-9-for-x86_64-baseos-rpms
kernel.x86_64              5.14.0-687.15.1.el9_8 @rhel-9-for-x86_64-baseos-rpms
kernel-core.x86_64         5.14.0-611.55.1.el9_7 @rhel-9-for-x86_64-baseos-rpms
kernel-core.x86_64         5.14.0-687.10.1.el9_8 @rhel-9-for-x86_64-baseos-rpms
kernel-core.x86_64         5.14.0-687.15.1.el9_8 @rhel-9-for-x86_64-baseos-rpms
kernel-devel.x86_64        5.14.0-611.38.1.el9_7 @rhel-9-for-x86_64-appstream-rpms
kernel-devel.x86_64        5.14.0-611.55.1.el9_7 @rhel-9-for-x86_64-appstream-rpms
kernel-devel.x86_64        5.14.0-687.15.1.el9_8 @rhel-9-for-x86_64-appstream-rpms
kernel-headers.x86_64      5.14.0-687.15.1.el9_8 @rhel-9-for-x86_64-appstream-rpms
kernel-modules.x86_64      5.14.0-611.55.1.el9_7 @rhel-9-for-x86_64-baseos-rpms
kernel-modules.x86_64      5.14.0-687.10.1.el9_8 @rhel-9-for-x86_64-baseos-rpms
kernel-modules.x86_64      5.14.0-687.15.1.el9_8 @rhel-9-for-x86_64-baseos-rpms
kernel-modules-core.x86_64 5.14.0-611.55.1.el9_7 @rhel-9-for-x86_64-baseos-rpms
kernel-modules-core.x86_64 5.14.0-687.10.1.el9_8 @rhel-9-for-x86_64-baseos-rpms
kernel-modules-core.x86_64 5.14.0-687.15.1.el9_8 @rhel-9-for-x86_64-baseos-rpms
kernel-tools.x86_64        5.14.0-687.15.1.el9_8 @rhel-9-for-x86_64-baseos-rpms
kernel-tools-libs.x86_64   5.14.0-687.15.1.el9_8 @rhel-9-for-x86_64-baseos-rpms

Um aufzuräumen, habe ich alle überflüssigen Pakte entfernt, bis nur noch der KLP-fähige Kernel vorhanden ist:

~]# dnf list --installed kernel*
Updating Subscription Management repositories.
Please note, kpatch filter is enabled, only kpatch supported kernels are shown.
Installed Packages
kernel.x86_64                5.14.0-687.10.1.el9_8   @rhel-9-for-x86_64-baseos-rpms
kernel-core.x86_64           5.14.0-687.10.1.el9_8   @rhel-9-for-x86_64-baseos-rpms
kernel-modules.x86_64        5.14.0-687.10.1.el9_8   @rhel-9-for-x86_64-baseos-rpms
kernel-modules-core.x86_64   5.14.0-687.10.1.el9_8   @rhel-9-for-x86_64-baseos-rpms

Verhalten bei zukünftigen Updates

Durch den konfigurierten kpatch-Filter werden bei zukünftigen Updates nur Kernel aufgeführt, die KLP-fähig sind. Wird ein KLP veröffentlicht, erscheint dieser als kpatch-patch in der Ausgabe von dnf up`. Der folgende (gekürzte) Codeblock zeigt dies beispielhaft.

~]# dnf up
Updating Subscription Management repositories.
Please note, kpatch filter is enabled, only kpatch supported kernels are shown.
Dependencies resolved.
===================================================================================
 Package       Arch   Version               Repository                        Size
===================================================================================
Upgrading:
…
kpatch-patch-5_14_0-687_10_1 x86_64 1-1.el9_8 rhel-9-for-x86_64-baseos-rpms   22 k
…

Mit dem Befehl aus dem nächsten Codeblock kann kontrolliert werden, welche KLP aktuell installiert sind und welche CVEs sie adressieren.

~]# kpatch list
Loaded patch modules:
kpatch_5_14_0_687_10_1_1_1 [enabled]
	CVE-2026-43037

Installed patch modules:
kpatch_5_14_0_687_10_1_1_1 (5.14.0-687.10.1.el9_8.x86_64)

Obige Ausgabe bestätigt, dass ein KLP aktiv ist, der die kritische Schwachstelle CVE-2026-43037 schließt.

Fazit

KLP funktioniert und ist einfach einzurichten. Es ist nicht in jedem Fall die richtige Lösung und löst nicht alle Probleme, kann jedoch in manchen Fällen die Schmerzen im IT-Betrieb lindern.

Der Userspace wurde ausgeklammert, um den Umfang dieses Artikels nicht zu sprengen. Dies hebe ich mir für einen folgenden Artikel auf.

Die MZLA Technologies Corporation hat mit Thunderbird 20 ein Update für die Android-Version seines E-Mail-Clients veröffentlicht.

Download Thunderbird für Android

Die MZLA Technologies Corporation hat Thunderbird 20 für Android veröffentlicht und bringt damit eine Reihe von kleineren Verbesserungen und Fehlerbehebungen.

Der Beitrag Thunderbird 20 für Android veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Mit Common Voice stellt Mozilla den weltweit größten öffentlichen Datensatz menschlicher Stimmen bereit – kostenlos und für jeden nutzbar. Mozilla hat Version 26 seines Datensatzes veröffentlicht.

Der Markt für Spracherkennung wird von den ganz großen Namen kommerzieller Anbieter dominiert: Amazon, Apple, Google, Microsoft. Darum hat Mozilla im Jahr 2017 das Projekt Common Voice gestartet. Mit Common Voice bietet Mozilla eine kostenlose Alternative an, zu der jeder beitragen kann und die jedem zur Verfügung steht. Damit möchte Mozilla Innovation und Wettbewerb in der Sprachtechnologie auf Basis von Maschinenlernen fördern.

Mozilla Common Voice 26

Der nun veröffentlichte Datensatz Common Voice Scripted Speech 26 beinhaltet für die deutsche Sprache 1.490 Stunden an Daten und ist 34,77 GB groß. In Summe waren 20.529 Menschen am deutschsprachigen Datensatz beteiligt. Der Datensatz Common Voice Spontaneous Speech 4 für spontane Sprache kommt für Deutsch auf 1,2 Stunden an Daten und ist 33,36 MB groß, beigetragen von 28 Personen.

Insgesamt deckt Mozilla Common Voice mit der neuen Version, die wieder Unterstützung für vier neue Sprachen bringt, 294 Sprachen mit insgesamt 42.893 aufgenommenen Stunden ab, was Mozilla Common Voice zum vielfältigsten mehrsprachigen Sprachkorpus der Welt macht. Die Anzahl der unterstützten Sprachen für spontane Sprache ist von 72 auf 78 Sprachen gewachsen.

Zum Download der Mozilla Common Voice Datensätze
Zu Mozilla Common Voice beitragen

Der Beitrag Mozilla veröffentlicht Common Voice 26 erschien zuerst auf soeren-hentzschel.at.

Solo ist ein Website-Builder von Mozilla. Nun steht Solo 2.3 bereit.

Jetzt Website-Builder Solo von Mozilla testen

Die Neuerungen von Solo 2.3

Mozilla hat den Prozess, eine neue Domain zu kaufen, überarbeitet. Bezahlte Pläne beinhalten ab sofort bereits eine kostenlose Domain. Und die Domain-Verwaltung inklusive der DNS-Records und Verlängerungen ist jetzt über das Account-Menü zugänglich.

Websites können nun automatisch bei Bing indiziert werden, um die Sichtbarkeit in den Suchergebnissen zu verbessern.

Neue Layout-Optionen für den Header unterstützen mehr Navigationslinks, zentrierte Logos und größere Logo-Grafiken.

Das Duplizieren von Seiten wurde in den Seiteneinstellungen hinzugefügt. Außerdem können jetzt auch Abschnitte dupliziert oder auf andere Seiten verschoben werden.

Im Blog gibt es nun eine Auswahl für das Datumsformat und im Bereich „Bewertungen” sind Sterne-Bewertungen möglich.

Die Ladegeschwindigkeit veröffentlichter Websites wurde verbessert und es gab diverse Fehlerkorrekturen und Verbesserungen unter der Haube.

Außerdem wurde ein Partnerprogramm gestartet, worüber man Prämien durch das Anwerben neuer Solo-Kunden verdienen kann.

Der Beitrag Website-Builder: Mozilla bringt Solo 2.3 erschien zuerst auf soeren-hentzschel.at.

Mozilla hat mit Firefox 152.0.3 ein Update außer der Reihe veröffentlicht und behebt damit genau ein Problem.

Download Mozilla Firefox 152.0.3

Die vor zwei Tagen veröffentlichte Version Firefox 152.0.2 hatte eine Regression, die dafür sorgen konnte, dass es beim Start von Firefox zu einem hohen Speicherverbrauch kam, der schließlich zum Einfrieren von Firefox führte. Betroffen waren Nutzer von Firefox mit installierten Sprachpaketen. Dieses Problem wurde mit Firefox 152.0.3 aus der Welt geschafft.

Der Beitrag Mozilla veröffentlicht Firefox 152.0.3 erschien zuerst auf soeren-hentzschel.at.

Mozilla hat Firefox 152 für Apple iOS veröffentlicht. Dieser Artikel beschreibt die Neuerungen von Firefox 152.

Die Neuerungen von Firefox 152 für iOS

Mozilla hat Firefox 152 für das iPhone, iPad sowie iPod touch veröffentlicht. Die neue Version steht im Apple App Store zum Download bereit.

Firefox Relay: E-Mail-Masken für mehr Datenschutz

Mit Firefox 152 integriert Mozilla seinen Dienst Firefox Relay in Firefox für iOS. Mit Firefox Relay kann die echte E-Mail-Adresse geschützt werden, indem eine Alias-Adresse erzeugt wird, die auf Websites statt der tatsächlichen E-Mail-Adresse angegeben werden kann.

Passend dazu hat Mozilla vor kurzem die maximale Anzahl der möglichen E-Mail-Masken in der kostenlosen Version von Firefox Relay deutlich erhöht.

Sonstige Neuerungen von Firefox 152 für iOS

Laut Mozilla soll die Übersetzungsfunktion weitere Sprachen unterstützen. Ansonsten bringt das Update auf Firefox 152 wie imme Detail-Verbesserungen, Fehlerbehebungen sowie Optimierungen unter der Haube. Auch Sicherheitslücken wurden behoben.

Der Beitrag Mozilla veröffentlicht Firefox 152 für Apple iOS mit Integration von Firefox Relay erschien zuerst auf soeren-hentzschel.at.

Mozilla hat mit Firefox 152.0.2 sein wöchentliches Korrektur-Update veröffentlicht. Dieser Artikel beschreibt die Änderungen des neuesten Updates.

Download Mozilla Firefox 152.0.2

In manchen Sprachen konnte es vorkommen, dass einzelne Überschriften in den Einstellungen nicht korrekt übersetzt waren. Nach der Änderung der Browsersprache konnte es außerdem vorkommen, dass die Sprache der Widgets auf der Firefox-Startseite nicht ihre Sprache aktualisierten.

Die Gamepad API unterstützt jetzt auch den PlayStation DualSense Controller. Darüber hinaus gab es mehrere Verbesserungen der Webkompatibilität und eine Performance-Regression bei der Web Crypto API wurde behoben.

Auch in Zusammenhang mit dem KI-Feature Smart Window wurden wieder diverse Verbesserungen vorgenommen.

Der Beitrag Mozilla veröffentlicht Firefox 152.0.2 erschien zuerst auf soeren-hentzschel.at.

Mitte Juni 2026 wurden über 1500 AUR-Pakete kompromittiert (siehe auch den vorigen Blog-Beitrag zu diesem Thema). Es zeugt natürlich von großer Überheblichkeit, als Mitautor eines Hacking-Buches zu glauben, selbst immun gegen Angriffe zu sein. Ein Update zum falschen Zeitpunkt hat mich auf den Boden der Tatsachen zurückgeholt und mir — einen Tag vor Urlaubsantritt — eine Menge sinnloser Arbeit beschert. Ich habe Anthropic- und OpenAI-Keys widerrufen, die SSH-Keys des betroffenen Notebooks von diversen Servern und Dienstleistern gelöscht und unzählige Passwörter geändert. Sch***!

Heute habe ich, natürlich ohne das System neuerlich zu booten, eine Analyse gemacht. Im Prinzip:

pacman --root /mnt/arch --dbpath /mnt/arch/var/lib/pacman -Qm

Ich habe 60 AUR-Pakete gefunden. Nur eines davon (libgdata, eine veraltete GNOME-Bibliothek für den Zugriff auf Google-Dienste) wurde kompromittiert. Ich habe es nur Stunden nach der Manipulation, aber eben noch vor der Berichterstattung über den Hack installiert. Extremes Pech im Timing!

Dieser Blog-Beitrag ist der Versuch einer persönlichen Aufarbeitung. Was ist passiert? Warum ist es passiert? Und was kann ich daraus lernen?

Eines vorweg. Dieser Artikel ist keine Kritik am Arch-Linux-Projekt. Dieses hat immer klar kommuniziert, dass AUR-Pakete — wie der Name schon sagt (Arch User Repository) — von den Benutzern selbst gepflegt werden und keiner Kontrolle unterliegen. Wer solche Pakete installiert, ist selbst verantwortlich, mit allen — dieses Mal sehr unerfreulichen — Konsequenzen.

Auch Updates können gefährlich sein

Die Sicherheitsempfehlung schlechthin lautet: »Installieren Sie regelmäßig Updates.« Aber diese Regel gilt nur für Pakete aus offiziellen Quellen.

Für extern gepflegte Pakete wäre eine Cool-Down-Phase sinnvoll. Im Prinzip: »Mach ein Update aller offiziellen Pakete sowie eines aller extern gepflegten Pakete, sofern dieses Update zumindest 4 Tage alt ist«. (Über die genaue Zeitspanne kann man streiten.) Ich kenne allerdings keinen Paketmanager, der so eine Funktion bietet.

In die richtige Richtung gehen die Auto-Update-Funktionen von Debian und Ubuntu: Unter Debian werden per Default ausschließlich offizielle Debian-Sicherheitsupdates berücksichtigt (Datei /etc/apt/apt.conf.d/50unattended-upgrades). Sonstige Updates werden ignoriert und müssen manuell installiert werden. Ubuntu ist etwas liberaler und installiert alle Updates aus offiziellen Quellen (aber ebenfalls keine aus externen Quellen).

Kurz gesagt: Ein blindes Update über alle Pakete ist nur sinnvoll, wenn Sie sich über die Herkunft aller Pakete sicher sind. Vielleicht werde ich in zukünftigen Blog-Artikeln Tipps zusammenfassen, wie Updates feiner gesteuert werden können.

Wozu überhaupt nicht-offizielle Pakete?

Eine andere Sicherheitsempfehlung lautet: »Verwenden Sie nur offiziell gepflegte Pakete.« Dennoch hat praktisch jede Distribution zusätzliche Paketquellen:

• Arch Linux: AUR
• Debian: externe Debian-Repositories
• Fedora: externe YUM-Paketquellen, COPR
• RHEL + Klone: EPEL, Remi und andere externe YUM-Paketquellen
• Ubuntu: externe Debian-Repositories, PPAs

Wenn externe Quellen unsicher sind, warum gibt es sie dann überhaupt? Weil sie manchmal der einzige und viel öfter der bequemste Weg sind, um Software zu installieren, die in den offiziellen Quellen fehlt. Für mich als Autor ist es wichtig, neue, nicht so bekannte Programme unkompliziert auszuprobieren. Viele Entwickler nutzen externe Pakete zur Installation von Tools, die nicht oder nur in veralteten Versionen zur Verfügung stehen. Schließlich fehlen kostenlose Programme mit kommerziellem Ursprung (also keine reine Open-Source-Software) wie Google Chrome in den offiziellen Quellen. Für »große« Distributionen gibt es zumeist »halb-offizielle« Pakete, aber für kleinere Distributionen wie Arch Linux sind Sie auf AUR-Pakete angewiesen.

Insofern ist der Rat, auf externe Quellen zu verzichten, für fortgeschrittene Benutzer und Software-Entwicklerinnen nur schwer umzusetzen.

Alles, worüber ich hier im Kontext von Linux-Paketen schreibe, gilt im Übrigen auch für die Erweiterungen/Bibliotheken aller wichtigen Programmiersprachen, Editoren und anderer Tools: also für Python-Module, NPM-Pakete, VSCode-Plugins etc. Der Überbegriff für Angriffe auf derartige Zusatzpakete lautet Software Supply Chain Attack (Lieferkettenangriff).

Weniger ist mehr

Für mich persönlich ist das AUR-Debakel ein Grund, die Nutzung externer Pakete viel stärker zu hinterfragen. Vorgenommen habe ich mir folgende Regeln:

• So wenig externe Pakete wie möglich! (Gibt es geeignete Alternativen in den offiziellen Quellen?)
• Ungenutzte externe Pakete deinstallieren. (Welche Pakete habe ich zwei, drei Monate nicht mehr gebraucht? Weg damit!)
• Eine stärkere Differenzierung zwischen Test- und Work-Systemen.

Schadensminimierung

Der AUR-Angriff hat auf Authentifizierungsdaten abgezielt, also Keys, Tokens, Passwörter etc. aus allen erdenklichen Quellen (.ssh-Verzeichnis, Passwörter diverser Browser usw.) Eine sehr detaillierte Analyse der Malware finden Sie auf ioctl.fail.

In meinem Fall war das größte Problem die Passwortsynchronisation von Google Chrome. Ich speichere im Webbrowser viele Passwörter. Die Passwort-Synchronisation ist durch ein zusätzliches, persönliches Passwort geschützt. Bookmarks und Passwörter sollten also für Google unlesbar sein. Wenn ich ein neues System einrichte (Linux, Windows, macOS, iOS oder Android), installiere ich Google Chrome, melde mich bei Google an, gebe das Master-Passwort für Bookmarks und Passwörter ein und synchronisiere die Daten. Das geht blitzschnell und ist komfortabel. Aber es ist eben ein riesiger Single Point of Failure! Das Master-Passwort schützt mich vor einem Passwort-Hack bei Google, aber es hilft nicht, wenn der Angreifer die lokale Passwort-Datenbank (sqlite-Format) auslesen kann. Und genau das war beim AUR-Angriff der Fall.

Die Konsequenz: Ich werde in Zukunft die Anzahl der so synchronisierten Passwörter auf ein absolutes Minimum reduzieren und länger nicht benutzte Passwörter löschen bzw. woanders speichern. Der naheliegende Ort wäre natürlich ein Passwort-Manager. Ich muss aber gestehen, dass ich diesen Programmen gegenüber auch skeptisch bin. Sie ersetzen einen Single Point of Failure durch einen anderen. Wer mit plattformübergreifenden Tools positive Erfahrungen gemacht hat, darf seine/ihre Erfahrungen gerne in den Kommentaren teilen :-)

Einmal mehr die Distributionsfrage

Auf meinem Linux-Notebook werde ich die aktuelle Parallel-Installation von Arch Linux und CachyOS bei nächster Gelegenheit durch Fedora ersetzen. Ich habe das Notebook zuletzt fast nur noch unterwegs verwendet. Im Büro habe ich mit dem Framework Desktop eine attraktivere Alternative. Dort habe ich mich im Rahmen meiner KI-Arbeiten gut an Fedora gewöhnt.

Zu glauben, Fedora sei frei von den skizzierten Gefahren, wäre natürlich naiv. Aber vermutlich sind die Risiken bei großen, weit verbreiteten Distributionen mit kommerziellem Hintergrund (Fedora ist ja eine Art offizielle Spielwiese von Red Hat) doch geringer als bei kleineren Distributionen — auch, was weit verbreitete, aber eben inoffizielle Paketquellen für Zusatzpakete angeht. Alleine schon die Trennung über mehrere Einzel-Repos anstelle des zentralen AUR-Verzeichnisses ist schon ein Vorteil.

Der Abschied von Arch Linux fällt mir schwer. Ich empfinde das Rolling-Release-Modell äußerst attraktiv. Arch Linux hat über mehrere Jahre sehr gut für mich funktioniert. Aber ich werde auch in Zukunft nicht ganz ohne externe Pakete auskommen. Mit AUR habe ich mir die Finger einmal verbrannt. Diese Art der Verwaltung externer Pakete ist vielleicht doch zu liberal; Paketmanager wie yay oder paru verschleiern das Risiko zu sehr. Ein zweites Mal will ich dieses Risiko nicht eingehen.

Quellen, Links

• https://ioctl.fail/preliminary-analysis-of-aur-malware/
• https://github.com/lenucksi/aur-malware-check (Test-Scripts, ob Sie betroffen sind)
• https://kofler.info/infos-zur-arch-linux-attacke

Den Lesenden dieses Blogs ist die FrOSCon sicherlich ein Begriff. Allen Neuzugängen sei kurz erklärt, das es sich dabei um die Free and Open Source Conference handelt, welche jedes Jahr im August an der Hochschule Bonn-Rhein-Sieg mit Hilfe des FrOSCon e.V. ausgerichtet wird.

Für viele meiner Bekannten und Freunde aus der FLOSS-Gemeinschaft ist es soetwas wie ein Familientreffen. Neben dem Wiedersehen vieler vertrauter Gesichter lockt auch ein Vortragsprogramm, welches stets mit interessanten Vorträgen zu unterschiedlichen Themen gefüllt ist. Dieses Jahr gab es 190 Einreichungen aus denen 77 Vorträge und 12 Workshops ausgewählt wurden. Ich freue mich schon darauf das Programm zu durchstöbern, welches voraussichtlich im Juli veröffentlicht wird.

Zumindest für mich war der Schreck groß, als die FrOSCon am 21. Mai ihre finanziellen Sorgen auf Mastodon teilte.

In der Folge haben viele FLOSS-Freunde bereits bei ihren Arbeitgeber:innen um Unterstützung gebeten und auch selbst gespendet. Meine Erleichterung war entsprechend groß, als bereits zwei Wochen später die gute Nachricht geteilt wurde: „Die Konferenz findet statt!“

Das Spendenziel ist allerding noch nicht erreicht. Daher bitte ich alle, die diese Veranstlatung kennen, schätzen, gerne besuchen oder ein bisschen Geld für gemeinnützige Projekte erübrigen können, über einen dieser Wege zu spenden.

Darüber hinaus könnt ihr die Konferenz auch unterstützen, indem ihr ein Businessticket kauft.

Ich möchte an dieser Stelle dem Veranstaltungsteam für dessen Ausdauer, Einsatz und Zeit danken, damit diese Konferenz jedes Jahr stattfinden kann. Ich danke auch den diesjährigen Partnern der FrOSCon, welche die Konferenz auch in einer wirtschaftlich angespannten Zeit unterstützen.

Ich freue mich schon heute auf das Wiedersehen im August.

Mozilla hat Firefox 152 für Android veröffentlicht. Die neue Firefox-Version bringt unter anderem Tab-Gruppen und eine Integration von Firefox Relay.

Download Firefox für Android im Google Play Store

Neuerungen von Firefox 152 für Android

Tab-Gruppen

Im letzten Jahr hatte Mozilla Tab-Gruppen in Firefox für Windows, macOS und Linux implementiert. Dabei handelte es sich um das meistgewünschte Feature der Firefox-Nutzer laut der Community-Plattform Mozilla Connect. Nun bringt Mozilla eine erste Implementierung von Tab-Gruppen auch in Firefox für Android.

Firefox Relay: E-Mail-Masken für mehr Datenschutz

Mit Firefox 152 integriert Mozilla seinen Dienst Firefox Relay in Firefox für Android. Mit Firefox Relay kann die echte E-Mail-Adresse geschützt werden, indem eine Alias-Adresse erzeugt wird, die auf Websites statt der tatsächlichen E-Mail-Adresse angegeben werden kann.

Passend dazu hat Mozilla vor kurzem die maximale Anzahl der möglichen E-Mail-Masken in der kostenlosen Version von Firefox Relay deutlich erhöht.

Sonstige Neuerungen von Firefox 152 für Android

Dazu kommen weitere neue Plattform-Features der aktuellen GeckoView-Engine, diverse Fehlerbehebungen, geschlossene Sicherheitslücken sowie Verbesserungen unter der Haube.

Der Beitrag Mozilla veröffentlicht Firefox 152 für Android mit Tab-Gruppen und Firefox Relay erschien zuerst auf soeren-hentzschel.at.

Mozilla hat Version 2.38 seiner VPN-Clients für das Mozilla VPN veröffentlicht. Die neue Version bringt unter anderem ein Startbildschirm-Widget für iOS.

Mit dem Mozilla VPN bietet Mozilla in Zusammenarbeit mit Mullvad sein eigenes Virtual Private Network an und verspricht neben einer sehr einfachen Bedienung eine durch das moderne und schlanke WireGuard-Protokoll schnelle Performance, Sicherheit sowie Privatsphäre: Weder werden Nutzungsdaten geloggt noch mit einer externen Analysefirma zusammengearbeitet, um Nutzungsprofile zu erstellen.

Jetzt Mozilla VPN nutzen

Die Neuerungen vom Mozilla VPN 2.38

Nachdem es bereits mit dem Mozilla VPN 2.37 ein paar Neuerungen speziell für iOS gab, macht Mozilla mit dem Mozilla VPN 2.38 dort weiter: Ab sofort gibt es ein Widget in zwei möglichen Größen, um das VPN über den Startbildschirm ein- und ausschalten zu können.

Beim Senden einer Support-Anfrage aus der Anwendung heraus gibt es nun eine zusätzliche Checkbox, um das Mitsenden von Logs aktivieren oder deaktivieren zu können.

Ansonsten bringt das Update auch wieder Fehlerbehebungen und Verbesserungen unter der Haube.

Der Beitrag Mozilla VPN 2.38 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Firefox Klar ist ein spezialisierter Privatsphäre-Browser. Nun hat Mozilla Firefox Klar 152 für Android veröffentlicht.

Download Mozilla Firefox Klar für Google Android

Mozilla hat Firefox Klar 152 (internationaler Name: Firefox Focus 152) für Android veröffentlicht.

Die Neuerungen von Firefox Klar 152 für Android

Bei Firefox Klar 152 handelt es sich um ein Wartungs-Update, bei welchem der Fokus auf Fehlerbehebungen und Verbesserungen unter der Haube lag. Dazu kommen wie immer neue Plattform-Features der aktuellen GeckoView-Engine sowie geschlossene Sicherheitslücken.

Der Beitrag Mozilla veröffentlicht Firefox Klar 152 für Android erschien zuerst auf soeren-hentzschel.at.

Mozilla hat Firefox 152.0.1 veröffentlicht und behebt damit unter anderem Abstürze auf Systemen mit Intel Raptor Lake Prozessoren.

Download Mozilla Firefox 152.0.1

Nur zwei Tage nach Veröffentlichung von Firefox 152 hat Mozilla Firefox 152.0.1 veröffentlicht. Behoben werden damit Abstürze, welche – wieder einmal – nur auf Systemen mit einer Raptor Lake CPU von Intel auftreten. Damit wiederholt sich eine Geschichte, die es bereits mit Firefox 151 gab. Es handelt sich hierbei allerdings nicht um das gleiche Problem. Die Raptor Lake Familie von Intel ist leider bekannt als Ursache für massive Stabilitätsprobleme, was Software-Hersteller immer wieder zu Workarounds zwingt.

Außerdem wurde eine weitere potenzielle Absturzursache unter Windows behoben und ein Problem unter macOS wurde korrigiert, bei dem die Auswahl einer PDF-Option, wie beispielsweise „Als PDF speichern“, im Systemdruckdialog dazu führte, dass der Druckauftrag an den Drucker gesendet wurde, anstatt eine Datei zu speichern.

Der Beitrag Mozilla veröffentlicht Firefox 152.0.1 erschien zuerst auf soeren-hentzschel.at.

Mozilla hat Firefox 152 für Windows, Apple macOS und Linux veröffentlicht. Dieser Artikel fasst die wichtigsten Neuerungen zusammen – wie immer auf diesem Blog weit ausführlicher als auf anderen Websites.

Download Mozilla Firefox für Microsoft Windows, Apple macOS und Linux

Neue Oberfläche für Firefox-Einstellungen

Die Firefox-Einstellungen erstrahlen in neuem Glanz. Doch nicht nur optisch hat sich etwas getan. Auch die Implementierung unter der Haube wurde erneuert und aus Nutzersicht relevant: Die Einstellungen wurden neu strukturiert mit deutlich mehr Kategorien als vorher, womit es einfacher sein sollte, die gewünschte Option zu finden.

Sonstige Endnutzer-Neuerungen in Firefox 152

Wird eine Website mit blockierten Trackern in einem privaten Fenster neu geladen, erscheint eine neue Infoleiste, welche die Option anbietet, die strengeren Schutzmaßnahmen temporär aufzuheben.

Wenn der Download einer PDF-Datei oder einer anderen Datei, die Firefox direkt öffnet, abgeschlossen ist, wird diese nun in einem Hintergrund-Tab geöffnet, falls bereits ein Wechsel zu einem anderen Tab erfolgte oder die ursprüngliche Seite geschlossen wurde.

Das Vergrößern oder Verkleinern von Websites mittels Tastatur oder Maus erfolgt nun in kleineren Schritten.

Über die Eingabe von „stumm” in die Adressleiste kann eine neue Schnellaktion erreicht werden, um alle Tabs mit aktiver Audio-Wiedergabe stumm zu schalten.

Über Menü → Weitere Werkzeuge → Symbolleiste anpassen … lässt sich eine neue Schaltfläche zur Oberfläche hinzufügen, um den aktiven Tab an ein anderes Gerät zu senden.

In der Sidebar „Tabs von anderen Geräten“ können Tabs nun über das Kontextmenü in einem neuen Tab geöffnet werden.

Das Kontextmenü für Tabs beinhaltet nun auch für nicht angemeldete Nutzer einen Eintrag, um Tabs an andere Geräte zu setzen, worüber man dann zur Anmeldung für die Synchronisation gelangt.

Auf Windows und Linux gibt es im Kontextmenü von Tabs einen neuen Eintrag Teilen → Link kopieren, um Links von Tabs teilen zu können, ohne den Tab dafür wechseln zu müssen.

Für die Widevine-Wiedergabe wird nun bevorzugt der jeweilige Plattform-Decoder anstelle des Standard-Decoders von Widevine genutzt, welcher ein Hardware-Decoder sein kann und damit eine bessere Performance sowie HDR-Unterstützung bringt.

Die Übersetzungsfunktion steht nun auch für die Sprachen Baskisch und Galicisch zur Verfügung.

Firefox-Versionen in Kroatisch, Englisch (Großbritannien), Georgisch, Persisch, Slowenisch, Tadschikisch, Tamil, Tibetisch, Türkisch, Walisisch und Xhosa werden nun von Haus aus mit einem integrierten Wörterbuch für die Rechtschreibprüfung ausgeliefert, ohne dass dieses manuell installiert werden muss.

In den Einstellungen der Entwickerwerkzeuge gibt es eine neue Option, um die Anzeige von Kommentaren im Inspektor ein- oder auszuschalten.

Die Illustrationen auf den Netzwerk-Fehlerseiten wurden durch das neue ersetzt, die das neue Kit-Maskottchen von Mozilla zeigen.

Sogenannte Taskbar-Tabs nutzen jetzt die vom Website-Entwickler in einem Manifest definierten Symbole, sofern vorhanden.

Firefox unterstützt nicht länger eine Migration von Daten aus dem alten Edge Browser, bevor dieser auf Chromium basierte.

Mehr Sicherheit für Firefox-Nutzer

Auch in Firefox 152 wurden wieder mehrere Sicherheitslücken geschlossen. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 152 daher für alle Nutzer dringend empfohlen.

Verbesserungen der Webplattform

Über den Abschnitt „Firefox Labs” in den Einstellungen lässt sich eine experimentelle Unterstützung des Bildformats JPEG XL aktivieren.

Datei-Uploadfelder mit accept="image/*" akzeptieren nun auch *.avif und *.jxl-Dateien.

Firefox unterstützt nun die Funktion „WebAuthn Related Origin Request“, die Anmeldeabläufe vereinfacht, indem Passkeys von mehreren Domains aus verwendet werden können.

Web-Benachrichtigungen unterstützen jetzt die Eigenschaft actions, um diese mit Aktionsschaltflächen versehen zu können. Diese werden als Schaltflächen unterhalb des Benachrichtigungstextes oder in der Optionsliste unter macOS angezeigt.

Die CSS-Eigenschaft field-sizing wird unterstützt, womit Formularsteuerelemente die Größe an ihren Inhalt anpassen können.

Dies war nur eine kleine Auswahl. Auch für Entwickler von Firefox-Erweiterungen gab es Änderungen. Weitere Verbesserungen der Webplattform und für Erweiterungsentwickler lassen sich wie immer in den MDN Web Docs nachlesen.

Der Beitrag Mozilla veröffentlicht Firefox 152 erschien zuerst auf soeren-hentzschel.at.

Die MZLA Technologies Corporation hat mit Thunderbird 152 eine neue Version seines Open Source E-Mail-Clients für Windows, Apple macOS und Linux veröffentlicht.

Neuerungen von Thunderbird 152

Mit Thunderbird 152 hat die MZLA Technologies Corporation ein Update für seinen Open Source E-Mail-Client veröffentlicht. Die neue Version bringt kleinere Verbesserungen und eine ganze Reihe von Fehlerkorrekturen, welche sich wie immer in den Release Notes (engl.) nachlesen lassen. Auch Sicherheitslücken wurden im neuesten Update wieder behoben.

Der Beitrag Thunderbird 152 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Ein Wohnmobil, drei Reisende, vier Tage und fünf internetfähige Geräte (von denen wir wissen). Diese bilden den Rahmen für den zweiten Erfahrungsbericht zu meinem Reise-Router GL.iNet GL-A1300 mit OpenWrt und Travelmate.

Nach unserem Kurzurlaub habe ich meine Frau gefragt, ob sie den kleinen Reise-Router nützlich fand. Die Antwort war ein klares Ja. Es hat ihr gefallen, dass wir den kleinen Router nur mit einem USB-Anschluss versorgen und mit einem Uplink verbinden mussten und alle unsere internetfähigen Geräte waren ohne weitere Konfiguration wieder online. Das freut mich sehr, denn genau dies war der erhoffte Effekt.

Mir ist aufgefallen, dass ich das LuCI-Webinterface nicht mit den Webbrowsern meines Android-Smartphones aufrufen kann, mit denen meines Android-Tablets aber schon. Ich nutze auf beiden Firefox und Firefox Klar. Falls jemand eine Erklärung, für dieses Mysterium hat, freue ich mich über einen Kommentar.

AdBlock Fast klemmte zu Beginn. Ein apk update gefolgt von einem apk upgrade auf der CLI löste das Problem jedoch schnell in Luft auf.

An Plätzen, an denen kein Uplink-WLAN verfügbar war, habe ich den mobilen Hostspot meines Smartphones als Uplink benutzt. Auch dies hat gut funktioniert. Da sich das Smartphone meist in meiner Hosentasche befindet, habe ich mich einige Male damit aus der Reichtweite des Reise-Routers entfernt. Dramatisch war auch dies nicht, wurde jedoch umgehend durch humanoide Überwachungssysteme angezeigt. ;-)

Natürlich hat GL.iNet mit dem Mudi 7 (GL-E5800) auch für dieses Luxusproblem eine Lösung im Angebot. Allerdings sind mir die ca. 425 Euro für diesen Luxus etwas zu viel. Kennt ihr Alternativen, die über ähnliche Funktionen verfügen? Also klein, kompakt und fähig eine SIM-Karte zu tragen? Dann teilt diese doch bitte in den Kommentaren.

Der Reise-Router hat sich während einer Dienstreise und einer viertägigen Urlaubsreise bewährt und wird uns bzw. mich auch zukünftig auf diesen Reisen begleiten.

Am 11.6. 2026 entdeckten Sicherheitsforscher kompromittierte AUR-Pakete in Arch Linux (AUR = Arch User Repository). Zwischenzeitlich waren ca. 1600 AUR-Pakete betroffen.

AUR-Pakete sind nicht offizielle Zusatzpakete, die kein dezidiertes Prüfverfahren durchlaufen. Die Installation erfolgt häufig über einsteigerfreundliche Tools wie yay oder paru. Der Angriff erfolgte durch die Modifizierung der PKGBUILD-Dateien von Paketen, die als verwaist (orphaned) galten, für die es also keinen Maintainer mehr gab. Aufgrund der veränderten PKGBUILD-Datei wurde zusätzlich zum Paket Schadsoftware installiert.

Ziel des Angriffs ist offensichtlich das Einsammeln von Passwörtern aus Firefox- und Chromium-basierten Browsern sowie von SSH-Keys und anderer sensibler Daten. Die Informationen dazu sind noch spärlich.

Ob ich selbst betroffen bin, kann ich aktuell nicht mit Sicherheit sagen; auf meinem Linux-Notebook habe ich zwei oder drei Tage vor Bekanntwerden das letzte Update durchgeführt. Vorerst habe ich das Gerät stillgelegt und den heutigen Morgen damit verbracht, potentiell betroffene SSH-Keys von diversen Server, GitHub- und GitLab-Accounts zu entfernen :-( An einer Neuinstallation wird kein Weg vorbeiführen.

Detaillierte Informationen finden Sie hier:

• https://ioctl.fail/preliminary-analysis-of-aur-malware/
• https://www.sonatype.com/blog/atomic-arch-npm-campaign-adds-malicious-dependency
• https://cybersecuritynews.com/arch-linux-aur-packages-compromised/
• https://linuxnews.de/massiver-angriff-auf-das-aur-ueber-400-pakete-kompromittiert/
• https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/ (Diskussion auf dem Arch-Linux-Forum)
• https://md.archlinux.org/s/SxbqukK6IA (Liste der betroffenen Pakete, inoffiziell, Stand 13.6.2026)
• https://github.com/lenucksi/aur-malware-check (Test-Scripts, ob Sie betroffen sind)

Weitere Links

• https://www.heise.de/news/Angriffswelle-auf-Arch-Linux-Hunderte-Paketbeschreibungen-mit-Malware-im-AUR-11330029.html
• https://www.phoronix.com/news/Arch-Linux-AUR-More-Than-1500
• https://www.archlinux.de/news/35807-Aktuelle-Aktivitaeten-schaedlicher-Pakete-im-AUR (spärliche Informationen)
• https://wiki.archlinux.org/title/Arch_User_Repository (Erklärung, was AUR-Pakete sind)