y0o.de · GNU/Linux Nachrichten u.Ä.

🔒
❌ Über y0o.de
Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere Beiträge[Mer]Curius

FeedReader lebt weiter als Communique

14. Oktober 2021 um 20:14
Von: Gerrit

RSS ist ein ebenso altes wie wichtiges Protokoll, um unabhängig von Algorithmen und irgendwelchen Interessen Dritter Inhalten zu folgen und Nachrichten zu konsumieren. Ausgerechnet in diesem so wichtigen Bereich ist Linux viel schlechter aufgestellt als macOS oder Windows.

Das finde ich ebenso bedauerlich wie verwunderlich. Normalerweise ist Linux bei so alten „Power-Lösungen“ immer ganz gut aufgestellt, aber hier überzeugt man vor allem durch Leerstellen. Feedsynchronisation ist bei der Vielzahl an Endgeräten heute nahezu unumgänglich, wenn man sich nicht jedes gelesene Feed merken möchte und angesichts der verbreiteten Unart, Feeds zu kürzen, braucht es eine gute Browser-Integration oder zumindest Weiterleitung an einen Browser.

Zur Bedeutung von RSS hatte ich mich hier bereits ausgelassen. Lange Zeit hatte ich mittels FreshRSS meine Feeds zwischen meinen Geräten abgeglichen. Dafür gibt es aber unter Linux kaum passende Clients. Den Abgesang auf FeedReader hatte ich vor bald 2 Jahren geschrieben. Schweren Herzens hatte ich mich von der Feed-Synchronisation verabschiedet und mit lokalen Feeds gearbeitet. Fazit: Es geht, aber es geht nicht gut.

Umso mehr habe ich mich gefreut als Rajdeep Singha FeedReader geforkt hat und seitdem unter dem neuen Namen „Communique“ erste Modernisierungsmaßnahmen vorgenommen hat.

Das Programm ist eigentlich für elementary OS bzw. die Pantheon Shell entwickelt, aber sieht erfahrungsgemäß auch unter GNOME und anderen Gtk-basierten Desktopumgebungen gut aus.

Es steht momentan als Flatpak zur Verfügung und ist zusätzlich unter openSUSE auch über den OBS zu finden. Einige nervige Bugs sind behoben, die GUI moderat und absolut sinnvoll überarbeitet und die Synchronisation läuft ohne Probleme.

Hoffentlich sehen wir da noch die ein oder andere neue Funktion, aber bereits im jetzigen Zustand ist es ein massiver Fortschritt zu z. B. Liferea oder Akregator.

Für mich eines der größten Highlights im Oktober. Nebenbei nutze ich die Gelegenheit, um beim Re-Umstieg von Lokal auf FreshRSS die Abonnements auszumisten und nur noch das hinzuzufügen, was ich auch wirklich lesen möchte.

Der Artikel FeedReader lebt weiter als Communique erschien zuerst auf [Mer]Curius

Kommentar: Google weiß fast alles – auch über dich!

11. Oktober 2021 um 20:22
Von: Gerrit

Google ist mehr als eine Suchmaschine. Es ist ein weltumspannender Datenerhebungskonzern mit angeschlossener Suchmaschine und monetarisiert diese Daten gegenwärtig primär über Werbung. Google weiß über nahezu jeden etwas. Außer man macht sich etwas vor.

Zur dieser Kategorie scheinen Golem-Autoren zu gehören, wie der heutige Artikel von Moritz Tremmel zeigt, in dem der Autor behauptet, Google wüsste nichts über ihn. Dieser Artikel ist auf reges Interesse gestoßen und ich wurde heute mehrfach darauf aufmerksam gemacht. Daher eine kleine Einordnung.

Hätte er geschrieben, Google wüsste über ihn weniger als über andere Menschen, dieser Kommentar hier wäre nicht notwendig. Datensparsamkeit ist eine gängige Methode zur digitalen Selbstverteidigung und dazu gibt es zig gute Ratgeber im Internet. Die Gratwanderung zwischen Datensparsamkeit und digitaler Teilhabe ist ein ständiger Balanceakt und befüllt unter anderem dieses Blog seit 2014. Das schlimme ist: Ausweislich seiner Vita weiß Moritz Tremmel das auch oder sollte es zumindest wissen. So etwas verkauft sich nur nicht so gut, also dehnen dehnt man Wahrheit.

Lassen wir den in den Kommentaren bei Golem bereits kritisierten Stil und Tonfall, das geschickte Einstreuen vieler Skandale und Skandälchen, um ein umfassend informierten Gesamteindruck zu erzeugen, mal beiseite und widmen uns den Fakten. Dort begegnet uns ganz viel Bekanntes:

  • Andere Suchmaschine
  • OpenStreetMap anstelle Google Maps
  • Lange kein Smartphone, dann ein Nexus/Pixel-Geräte mit Custom ROM und nun GrapheneOS.
  • Nur Open Source Software auf dem Smartphone.
  • Signal und Threema als Messenger
  • Nextcloud
  • Posteo
  • ublock origin
  • Firefox

Abseits des aufgeblasenen Stils sind das überschaubare Fakten. Kann man hier auf [Mer]Curius und auf vielen anderen Seiten, die sich mit Datenschutz und Privatsphäre im digitalen Raum befassen, so oder so ähnlich nachlesen. Nur würde niemand mit Ahnung behaupten, dass Google deshalb nichts über ihn weiß.

Denn naturgemäß können wir nur aktiven Datenschutz betreiben. Nicht jedoch passiven Datenschutz. Es gibt den Spruch „Die größte Gefahr für deine Privatsphäre ist dein 6-Jähriges Kind.“ Und da steckt viel Wahres drin. Denn niemand bewegt sich im luftleeren Raum, sondern Daten entstehen durch die (soziale) Interaktion im digitalen Raum.

Vereinfacht gesagt: Du gibst deine Mobilfunknummer weiter und dein Kontakt ist vielleicht nicht so Datenschutz-bewusst wie du. Er speichert dich unter „Vorname Nachname“ ein und synchronisiert über Apples iCloud oder Google. WhatsApp und somit Facebook bekommt deine Nummer samt Namen natürlich auch noch frei Haus geliefert.

Und schon gibt es einen digitalen Datensatz. Mit dem lässt sich eine Webseite finden und diese enthält eine rudimentäre Vita. Daten der großen Datenhändler reichern dein Profil an. Kein Deutscher kommt ohne Schufa aus und daneben gibt es noch viele andere Unternehmen mit ähnlichen Geschäftsfeldern. Schon mal in einem Unternehmen beworben, das die Bewerbungen über einen Dienstleister verwalten lies. Datenleck oder vielleicht nahm es der Dienstleister nicht so genau. Vor dem Inkrafttreten der DSGVO war im Datenschutz noch viel Wilder Westen. Die Gesetze und Aufsichtsbehörden waren geduldig. Und machen wir uns nichts vor: Diese Daten sind noch da. Also noch mehr Daten für das Profil.

Deinen WLAN-Namen kennt Google sowieso und wer sagt dir, dass ublock im permanenten Wettrüsten zwischen Trackingdiensten und Schutzsoftware immer einen Schritt voraus ist. Der ein oder andere Tracker wird vielleicht erst nach 12 oder 24 Stunden erkannt. Noch mehr Daten für dein „Google-Profil“.

Dein Smartphone bewegt sich im öffentlichen Raum. Bluetooth darfst du gar nicht aktivieren, WLAN auch nicht. Machst du es doch, lässt sich dein Standort verfolgen. Funkzellenabfragen lassen wir mal außen vor, weil das hoffentlich nur der Staat kann.

Geräte von Dritten oder deinem Arbeitgeber kannst du natürlich überhaupt nicht benutzen, weil die Konfiguration in der Regel nicht streng genug ist und zumindest Teile deiner Aktivitäten verraten können. Ein weiteres interessantes Puzzlestück für deine digitale Kartei.

Google könnte sicher mehr über dich wissen und Schutzmaßnahmen helfen dir dabei, aber jeder digitale Bürger hat im übertragenen Sinne eine Kartei bei Google. Wer etwas anderes behauptet, ist nicht seriös.

Was man in einem gewissen Maße steuern kann, ist, wie umfangreich der Datensatz ist und was sich alles darin befindet. Aber ganz genau werden wir auch das nie wissen.

Wer hat keine Kartei? Vielleicht meine Oma – aber selbst da wäre ich mir nicht sicher. Sie hat keinen PC und noch nie einen benutzt, sie hat kein Smartphone, keine Mail-Adresse und benutzt das Internet nicht. Absolute digitale Abstinenz schützt einen in gewissem Maße. Aber ob das erstrebenswert ist?

Der Artikel Kommentar: Google weiß fast alles – auch über dich! erschien zuerst auf [Mer]Curius

Verschlüsselte Backups mit Déjà Dup und Duplicity

10. Oktober 2021 um 14:53
Von: Gerrit

Verschlüsselung schützt zwar Daten, schränkt aber naturgemäß die Datenverfügbarkeit ein und damit auch die Möglichkeiten zur Wiederherstellung von Daten von defekten Speichermedien oder fehlerhaften Betriebssystemen. Deshalb sind Backups sehr wichtig.

Ist ein unverschlüsseltes System unwiederbringlich defekt, bootet man entweder von einer Live-CD oder baut das Speichermedium aus, um an die Daten zu kommen. Schwieriger wird es, wenn es irgendwelchen Gründen der LUKS Header defekt ist oder das Speichermedium selbst Probleme hat. Datenrettung bei verschlüsselten Systemen ist keine schöne Sache. Deshalb sind Backups hier noch wichtiger als sie es sonst schon sind.

Allerdings gefährden unverschlüsselte Backups wiederum die Sicherheit. Es macht keinen Sinn, ein Betriebssystem komplett zu verschlüsseln, wenn in der Schreibtischschublade eine unverschlüsselte externe Festplatte mit allen Daten liegt. Die Lösung ist hier relativ einfach: Man verschlüsselt auch die externen Speichermedien.

Schwieriger ist das bei Sicherungen auf einem NAS. Die Geräte laufen meist im 24/7-Betrieb oder zumindest dauerhaft in einem festgelegten Nutzungszeitraum. Während der Laufzeit sind die Backup-Volumes naturgemäß entschlüsselt. Die meisten Anwender lassen das NAS-Betriebssystem verschlüsselte Volumes auch gleich beim Start entschlüsseln, da eine zusätzliche Passworteingabe bei entfernten Systemen extrem unpraktisch ist.

Bei den immer beliebteren Backups in der Cloud ist eine clientseitige Verschlüsselung auf dem Gerät des Nutzers während des Backup-Vorgangs sowieso Pflicht, weil man ansonsten alle seine Daten dem Cloud-Betreiber ausliefert.

Man kann hier mit LUKS-Containern oder Verschlüsselungslösungen für die Cloud arbeiten und dann Daten per rsync sichern oder gleich eine integrierte Softwarelösung nutzen.

Vorteile von Déjà Dup

Eine solche integrierte Lösung bietet die GNOME-Software Déjà Dup. Dabei handelt es sich um Frontend für Duplicity, das eine ziemlich ausgereifte Backup-Lösung ist. Ich hatte um Déjà Dup immer einen Bogen gemacht, weil es als GNOME-Programm ziemlich viele Abhängigkeiten in dessen Ökosystem mit sich zieht. Seit meinem vollständigen Wechsel auf die Pantheon Shell ist das kein Problem mehr, weil Déjà Dup sich sehr gut in Gtk-basierte Desktopumgebungen integriert.

Déjà Dup ist eine langjährig etablierte Software und bei allen Linux-Distributionen in den Paketquellen enthalten. Die Version ist dabei zweitrangig, da in den letzten Jahren keine substanzielle Entwicklung jenseits von kleinen Modifikationen und Fehlerbehebungen erfolgte.

Natürlich kann man Duplicity genau wie andere CLI-Lösungen auch ohne grafische Oberfläche nutzen. Ich habe zwar kein Problemen mit der Kommandozeile, aber schätze gute und einfach zu bedienende grafische Oberflächen. Ich möchte nicht für jedes Backup, jeden Mount-Vorgang und jede kleine Wartungsaufgabe einen Befehl eingeben. Die Kommandozeile ist bei mir Anwendungen vorbehalten, deren Vielfalt sich nur schlecht in grafische Umgebungen packen lässt und wo ich mehr Kontrolle benötige. Beispielsweise bei der Paketverwaltung unter openSUSE.

Déjà Dup bietet einige Alleinstellungsmerkmale gegenüber anderen Backup-Lösungen für Linux. Es bietet – wie bereits geschrieben – eine übersichtliche grafische Oberfläche, beherrscht die Verschlüsselung der Backups, kann über GVFS problemlos Netzwerkfreigaben als Backupziele auswählen und lässt sich einfach als automatisieren.

Automatische verschlüsselte Backups mit Déjà Dup

Die Einrichtung ist dank der einfachen Einrichtungsroutine schnell erledigt. Beim Programmstart klickt man einfach auf die Schaltfläche zur Erstellung einer ersten Sicherung.

Anschließend werden die zu sichernden Ordner und die ausgeschlossenen Ordner festgelegt. Standardmäßig schlägt Déjà Dup das Homeverzeichnis des Anwenders zur Sicherung vor und exkludiert Download-Verzeichnis und Papierkorb. Danach legt man das Sicherungsziel fest. Entweder ein Ordner (der auch auf einem externen Speichermedium liegen kann) oder auf einer Netzfreigabe. Abschließend fragt das Programm noch, ob man die Sicherung mit einem Passwort schützen möchte. Hierdurch aktiviert man die clientseitige Verschlüsselung.

  • Ordner wählen
  • Backup verschlüsseln

Danach beginnt die erste Sicherung. Je nach Menge der zu sichernden Daten, Qualität des heimischen Netzwerks und Geschwindigkeit des NAS, kann dieser Vorgang eine Weile dauern.

Ohne Verschlüsselung legt Déjà Dup bzw. Duplicity die Datensicherung in Form vieler tar.gz Archive an, mit aktivierter Verschlüsselung werden diese Archive mit GnuPG verschlüsselt.

Ist die erste Sicherung erfolgreich durchgelaufen zeigt Déjà Dup die Option zur automatischen Sicherung an.

Sobald man die entsprechende Option aktiviert, startet das Programm mit einem festgelegten Sicherungsintervall. Optionen um die Häufigkeit zu regulieren fehlen allerdings. Eine automatische Sicherung macht natürlich nur Sinn, wenn das Backupziel permanent verfügbar ist.

Déjà Dup sichert die Daten inkrementell, das bedeutet die Sicherung enthalten nur die geänderten Daten. In regelmäßigen Abständen oder bei großer zeitlicher Distanz zwischen zwei Sicherungen führt das Programm automatisch eine Vollsicherung durch.

Eine Wiederherstellung der Dateien ist über den Reiter „Wiederherstellen“ möglich. Über das Dropdown-Menü „Datum“ lassen sich die einzelnen Sicherungen selektieren und einzelne Dateien oder ganze Ordner auf einen beliebigen Stand zurücksetzen.

Nachteile von Déjà Dup

Das führt auch direkt zu den Nachteilen von Déjà Dup. Die Sicherung erfolgt in Archiven und mit Verschlüsselung, die sich ohne entsprechende Software nicht lesen lässt. Es benötigt zwar nicht zwingend Déjà Dup zur Wiederherstellung von Backups, aber zwingend Duplicity und das gibt es nur für Linux. Die so erzeugten Backups lassen sich also nicht unter Windows oder macOS lesen oder wiederherstellen.

Weiterhin lassen sich keine Backup-Profile erstellen. Man kann also mittels Déjà Dup dasselbe System nicht auf ein NAS und zusätzlich noch auf Festplatten sichern. Ich nutze Dèjà Dup deshalb nur für das NAS, weil hier Automatisierung und Verschlüsselung ihre Stärken ausspielen und sichere die Daten zusätzlich noch auf externe Festplatten mittels (G)rsync. Die Sicherung der Daten übernimmt hier eine herkömmliche LUKS-Verschlüsselung.

Zusammengefasst

Déjà Dup bietet eine sehr gute Oberfläche für ein mächtiges Backup-Tool, mit dem sich niedrigschwellig Datensicherungen automatisieren lassen. Beides sind für Backups wichtige Aspekte, weil nur Automatisierung und ein leichter Zugang dafür sorgen, dass Anwender auch wirklich Backups machen und diese regelmäßig durchführen.

Die einfach gehaltene Oberfläche bringt ein paar Nachteile mit sich, aber Déjà Dup ist trotzdem die beste grafische Backuplösung für den Linux-Desktop.

Der Artikel Verschlüsselte Backups mit Déjà Dup und Duplicity erschien zuerst auf [Mer]Curius

Lesehinweis: Microsoft Office 365 – Was kommt nach der Produktivitätsbewertung?

05. Oktober 2021 um 19:59
Von: Gerrit

Büroangestellte waren lange in einer privilegierten Position. Kein Fließband taktete unerbittlich den Arbeitstag, kein Soll musste in Regalen verräumt werden, keine Route in vorgeschriebener Zeit bedient werden. Das ändert sich nun.

Schuld daran sind Firmen wie Microsoft. Lange haben sie Telemetriedaten erhoben, um „Produkte zu verbessern“, Firmen und Privatleute in die Cloud gelockt oder getrieben. Nun winkt für kleingeistige Mikromanager endlich die Belohnung. Die ganzheitliche Überwachung am Arbeitsplatz.

Dazu möchte ich den kürzlich auf netzpolitik.org erschienen Artikel „So überwachen Chefs eure Produktivität am Arbeitsplatz“ empfehlen.

Das Thema ist nicht neu, alleine bei netzpolitik.org sind dazu in den letzten Jahren einige Artikel erschienen und auch hier im Blog waren diese Funktionen schon Thema.

Durch allumfassende Lösungen wie Office 365 mit Teams & Co bekommt Microsoft die Möglichkeit die Produktivität von Unternehmen und Mitarbeitern zu bewerten. Noch in vermeintlich harmlosen Kategorien, ohne direkte Rückschlüsse auf Einzelne, aber es dürfte klar sein, wohin die Reise geht. Es wird immer Manager geben, die noch mehr Informationen wollen und Microsoft wird ohne moralische Bedenken, diese Bedürfnisse stillen.

Firmen oder öffentliche Institutionen mit starken Betriebs- und Personalräten werden das zu verhindern wissen, aber Tarifbindung und starke Mitarbeitervertretungen sind auf einem absteigenden Ast. Viele Mitarbeiter sind solchen Ambitionen relativ schutzlos ausgeliefert.

Alleine die Kenntnis dieser Funktionen und der aktuellen Entwicklungen in diesem Bereich sind viel zu wenig verbreitet. Viele Mitarbeiter haben Angst, der Vorgesetzt könnte die Browserhistorie oder ähnliches einsehen, aber solche harten Bewertungen der Produktivität können sich viele immer noch nicht vorstellen.

Der Artikel Lesehinweis: Microsoft Office 365 – Was kommt nach der Produktivitätsbewertung? erschien zuerst auf [Mer]Curius

Lesehinweis: DB Navigator App im Privacy-Test

05. Oktober 2021 um 15:25
Von: Gerrit

Darf man an die App eines deutschen Quasi-Staatskonzerns mit Monopol im Fernverkehr, der mit viel Steuergeld subventioniert wird, besondere Datenschutz-Erwartungen haben. Ich denke schon. Leider wird die Bahn dem nicht gerecht.

Ich hatte mich vor einigen Monaten bereits mit der DB Navigator App beschäftigt und auf das Datensendeverhalten hingewiesen. Mike Kuketz hat nun die App noch mal ausführlicher unter die Lupe genommen. Mit mehr technischen Einzelheiten leider derselbe Befund.

Sein Fazit:

Abschließend gibt es eigentlich nur noch eines zu sagen: Die App ist ein Fall für die Datenschutz-Aufsichtsbehörde.

Kuketz Blog DB Navigator: Ein Fall für die Datenschutz-Aufsichtsbehörde

Die Kernaussage der Antwort des DB-Konzerndatenschutzes auf meine Anfrage, kann man in meinem verlinkten Blogbeitrag nochmal nachlesen. Dort ist man der Meinung, dass alles DSGVO-konform ist.

Leider unterliegt der die DB Vertrieb GmbH der hessischen Landesdatenschutzaufsicht, die jetzt, verglichen mit anderen Landesdatenschutzstellen, nicht gerade für ihr aktives Handeln im Sinne des Verbraucherdatenschutzes bekannt ist.

Meine Beschwerdevorgang scheint dort, abgesehen von der Eingangsbestätigung am 22. Juli 2021, auch selig vor sich hin zu schlafen. Ich bin ja gespannt, ob (und wenn ja, wann) ich von dort etwas höre.

Der Artikel Lesehinweis: DB Navigator App im Privacy-Test erschien zuerst auf [Mer]Curius

Spannungsfelder in der Linux Community

03. Oktober 2021 um 14:33
Von: Gerrit

Viele sprechen und schreiben immer von „der“ Linux Community, aber wenn man näher hinsieht, zerfällt die Community eigentlich in zwei bzw. drei gänzlich unterschiedliche Hauptgruppen. Das sollte man berücksichtigen, wenn man über Akzeptanz und Entwicklung nachdenkt.

Das Kernproblem beim Verfassen eines solchen Artikels ist der eklatante Mangel an belastbaren Zahlen. Das liegt zum einen an Datenschutz-/Privacy-Vorbehalten, aber vermutlich wollen manche Projekte die Wahrheit gar nicht so genau wissen. Irgendjemand wird sicher in den Kommentaren sinngemäß schreiben, dass das in seinem Umfeld natürlich ganz anders sei. Aber Binnenwahrnehmungen haben selten etwas mit den realen Verhältnissen zu tun. Die AfD skandiert ja auch bei 10 % noch Wir sind das Volk, weil ihre Anhänger in ihren Blasen die Mehrheit stellen.

Einen genaueren Blick auf die Community zu nehmen ist aber sinnvoll, um interne Diskussionsprozesse besser gewichten zu können und manche Entwicklungen zu verstehen. Simplifiziert geht es um die Frage: Warum ist Ubuntu mit GNOME (und demnächst Snaps) so erfolgreich, wenn die Mehrheit der Kommentatoren in Foren und Blogs diese Konstruktion ablehnt.

Das Thema Mehrheiten, Minderheiten und die Abläufe von Diskussionsprozessen interessiert mich schon länger, weil in meiner Wahrnehmung Teile der Community das Potenzial haben, in etwas abzurutschen, was momentan gerne als „toxisches Umfeld“ beschrieben wird.

Das wiederum halte ich für fatal, weil es eine kritische Größe gibt, ab der eine Community in die Bedeutungslosigkeit abrutscht (oder dieser nie entwächst) und dann immer weniger Berücksichtigung durch Dritte gibt. BSD wäre hier ein Beispiel. Linux ist als Baustein für den Schutz der Privatsphäre oder des Datenschutzes im individuellen IT-Bereich für die „digitale Selbstverteidigung“ zu wichtig, um diese Tendenzen bedeutungslos zu finden.

Gruppe 1: Linux im Mainstream

Die erste große Gruppe sind die Masse der Anwender von Linux als Desktopsystem. Dazu hatte ich mich hier schon mal geäußert. Die Masse der Linux-Anwender verteilt sich auf ein paar wenige Distributionen und nutzt primär Software einer Handvoll Projekte.

Die große Mehrheit der Linux-Anwender nutzt Ubuntu, eines der offiziellen Derivate (Kubuntu, Xubuntu, Lubuntu usw.) oder einen der inoffiziellen Abkömmlinge (Linux Mint, elementary OS, Pop!_OS usw.). Es gibt dazu keine belastbaren Zahlen, aber Hinweise. Dazu gehören die von Canonical publizierten 25 Millionen aber auch die Größe der Communitys, die Rezeption in den Medien und die Unterstützung durch Anbieter proprietärer Programme. Ergänzend kann man sich die Ergebnisse der Steam Hardware Survey ansehen, die man aber nicht überbewerten darf, weil Gaming nur ein Segment des Linux-Desktops ist und aktuelle Treiber hier eine überproportional große Rolle spielen. Insgesamt ergibt sich ein ziemlich stimmiges Bild.

Über die internen Verteilungen möchte ich nicht ausführlich mutmaßen, aber durchaus denkbar, dass Linux Mint hier bereits vor der Stammdistribution Ubuntu liegt. Da die meisten der offiziellen und inoffiziellen Derivate direkt auf die Ubuntu LTS aufsetzen, kann man konstatieren, dass die große Mehrheit der Anwender eine LTS-Distribution nutzt. Entsprechend sind viele (proprietäre) Drittanbieter-Programme vor allem für Ubuntu LTS getestet.

Den Desktopzahlen bin ich bereits mal auf den Grund gegangen. Es gibt viel Auswahl, aber letztlich nutzt eine große Gruppe GNOME, direkt gefolgt von KDE Plasma. Danach kommen dann die kleineren Desktopumgebungen mit Marktanteilen im einstelligen oder niedrigen zweistelligen Bereich.

Installationen von Programmen nehmen diese Anwendergruppen über die von der Distribution vorgegebenen Wege vor. Das bedeutet grafische Oberflächen für Paketinstallationen und App Stores. Auf der Kommandozeile werden lediglich Dreizeiler aus dem Internet per C&P eingefügt, um ggf. PPAs für neuere Versionen einzufügen. Ob das Programm als DEB, Snap, Flatpak oder AppImage kommt, ist dieser Anwendergruppe egal – so lange es funktioniert.

Diese Community-Gruppe sollte man nicht als DAUs abstempeln oder als anspruchslose Nutzer. Mir fallen spontan gleich einige Entwickler und Systemadministratoren ein, deren Arbeitsgeräte ziemlich langweilige Ubuntu 20.04 Systeme ohne größere Anpassungen sind. Man arbeitet schließlich mit dem System und nicht am System.

Diese Gruppe ist zudem extrem wichtig, weil sie die Masse der Anwender stellt und verhindert, dass Linux am Desktop auf das Bedeutungsniveau von BSD absackt. Dank dieser Gruppe gibt es für Linux inzwischen selbstverständlich Clientprogramme für wichtige Dienste wie Zoom oder Teams. Das sah vor 15 Jahren noch ganz anders aus und ist eine Folge der Popularität von Ubuntu und der damit einhergehenden Standardisierung dessen, was gemeinhin als „Linux-Desktop“ begriffen wird.

Die Gruppe nimmt aber naturgemäß kaum Teil an irgendwelchen Diskussionen zur Weiterentwicklung von Linux. Normale macOS-Nutzer kommentieren schließlich auch nicht die Apple-Entwicklungen in irgendwelchen Foren. Die Gruppe fällt eher als träge Masse auf, die bei langanhaltenden Fehlentwicklungen oder durch gruppendynamische Prozesse von Distribution A zu Distribution B wandert. Diese Gruppe ist aber ziemlich tolerant gegenüber neuen Entwicklungen. Das kann man z. B. am Prozess GNOME 2 zu Unity zu GNOME Shell bei Ubuntu sehen, die meistens ausweislich der Zahlen einfach mit vollzogen wurde.

Gruppe 2: Lautstarke Minderheiten

Weit abgeschlagen hinter der „Ubuntu-Familie“ kommen andere Distributionen. Hier haben wir aber noch viel weniger Zahlen. Für openSUSE Tumbleweed wurden 2016 mal 60.000 aktive Installationen bekannt gegeben, vermutlich sind das inzwischen ein paar mehr, aber es wird hier keine Millionen-Sprünge gegeben haben. Ich mag openSUSE, aber so viel Ehrlichkeit und Reflexionsvermögen sollte man als Kommentator haben. Fedora hat zwar 2019 Anstalten unternommen seine Benutzer zu zählen, aber Ergebnisse gibt es bisher nicht, die Verbreitung kann ich schwer schätzen, weil es hier erhebliche regionale Unterschiede zwischen Europa und den USA geben kann. Debian mag für das Gesamt-Ökosystem eine tragende Rolle spielen und im Server-Segment wichtig sein, Desktop-Installationen machen nach den Popcon-Zahlen nur eine Minderheit aus. Bei den Nicht-stabilen Distributionen spielt bestenfalls Manjaro und Arch eine nennenswerte Rolle, wie man auch der Steam Survey entnehmen kann.

Natürlich kann man nicht alle Distributionen über einen Kamm scheren, aber gemessen an der „Ubuntu-Familie“ haben sie alle eher kleine Benutzerzahlen. Man kann nämlich getrost bezweifeln, dass diese Distributionen auf die Millionen-Basis kommen, die Ubuntu für sich veranschlagt. Ansonsten würden beispielsweise die wenigen Mirror-Server andauernd in die Knie gehen. Alles andere läuft sowieso unter „ferner liefen“.

Viele Anwender dieser Distributionen benutzen diese mit GNOME oder KDE Plasma und damit einem ähnlichen Aufbau, wie dem „Ubuntu-Mainstream“. Man kann also auch mit den oben genannten Distributionen faktisch zu Gruppe 1 gehören. Allerdings gehen exotische Distributionen eben oft mit exotischen Desktopumgebungen und exotischen Gesamt-Setups einher. Anwender schwören hier oft auf die Anpassbarkeit von Xfce, MATE oder irgendwelchen Openbox-Konstruktionen. Gerne auf demonstrativ veralteter Hardware, um die Genügsamkeit von Linux unter Beweis zu stellen und unter Verweigerung moderner „Trends“ wie Cloud oder Smartphone.

Hier bildet sich dann der Kern dessen, was ich als Gruppe 2 betrachte. Diese Gruppe hat sich mit dem System Linux wie es aktuell ist, sehr gut eingerichtet und benötigt keine Veränderung. Sie sieht keine Probleme und hat deshalb keinen Bedarf an wirklicher Entwicklung jenseits kosmetischer Pflege. Teile der Gruppe bekämpfen jedwede Veränderung geradezu aggressiv, weil sie es als Angriff auf ihr liebgewonnenes System wahrnehmen.

Das liegt auch daran, dass die Gruppe glaubt die Wahrheit gepachtet zu haben. Sie verwendet deshalb zur Begründung ihrer Positionen gerne die „Unix-Philosophie“ oder das „KISS-Prinzip“, um missliebige Entwicklungen zu diskreditieren.

In den Foren und Kommentarspalten machen diese Anwender aber einen überproportional großen Anteil aus. Auch in den Communitys der oben genannten Distributionen. Zum Problem wird das, wenn subjektive Äußerungen sich nicht mehr in Deckung mit Fakten bringen lassen. Stabile LTS-Distributionen verteufeln diese „Supporter“ bei jeder Gelegenheit (Beispiel hier) oder Snaps und Flatpaks werden mit Argumenten an der Schwelle von Unkenntnis zu Fake News bekämpft (Beispiele in den Kommentaren hier). Die überproportionale Präsenz in Foren und Kommentarspalten verleitet Gruppe 2 oft dazu zu glauben, sie wären „die Community“ oder von besonderer Relevanz für die Community.

Gruppe 3: Dort wo wie Entwicklung passiert (Red Hat)

Gruppe 2 hält sich zwar für sehr wichtig (sieht man daran, dass in den verlinkten Kommentaren von „Akzeptanz in der Community“ die Rede ist, wo eher die eigene Blase gemeint wird) ist es aber eigentlich nicht. Das wird wieder einige furchtbar aufregen, aber wer hier kommentiert, soll bitte gleich die letzte Innovation listen, die diese Gruppe hervorgebracht hat. Die Wünsche von exotischen Nutzern mit hochgradig individuell konfigurierten Linux-Setups sind einfach zu irrelevant im Hinblick auf die Marktanteile.

Die Entwicklung passiert bei Red Hat und hier vor allem im Testballon Fedora. Eine Zusammenfassung konnte man jüngst hier lesen. Ein wenig steuern noch SUSE und Canonical bei. Konkrete Projekte als Beispiele wären der usr-merge samt daraus hervorgehenden Möglichkeiten, alles rund um systemd, Pulseaudio, Pipewire, Desktop-Entwicklung im GNOME-Umfeld, Gedanken über Distributionen der Zukunft, Flatpaks und schließlich noch kpatch, um eine für Server relevante Funktion zu nennen. Diese Liste ließe sich endlos fortsetzen.

Diese Gruppe wird zwar regelmäßig von Gruppe 2 angepöbelt (kann man bei jedem Aufschlag von Lennart Poettering erleben) aber arbeitet trotzdem weiter an Linux. Ab einer gewissen Reife landen diese Entwicklungsergebnisse über Ubuntu dann bei der Masse der Anwender. Gruppe 2 zieht irgendwann mal nach oder nicht, kann man dann in internen Abstimmungsprozessen bei z. B. Debian nachverfolgen.

Zusammengefasst

Wichtig ist, was Gruppe 3 macht und wie Gruppe 1 darauf reagiert. Die zweite Gruppe führt zwar ihre lautstarken Binnendiskurse, geriert sich als Semi-Profis, wird aber von allen ernst zu nehmenden Entwicklern inzwischen ganz offenkundig ignoriert.

Noch arbeiten alle Gruppen letztlich mit dem gleichen Linux-System, aber je schneller die Entwicklung voranschreitet und je mehr sich Gruppe 2 dem verweigert, desto eher kann hier eine wirkliche Spaltung eintreten. Die Frage, ob die Lieblingsprojekte von Gruppe 2 den Sprung auf aktuelle Technologien wie Wayland schaffen, ist noch nicht beantwortet. Die sukzessive Verbreitung von Flatpaks oder Snaps bei Mainstream-Distributionen und Drittanbieter-Software wird hartnäckige Verweigerer zudem weiter isolieren.

Die Frage ist allerdings, wie sehr Gruppe 2 mit ihrer Ablehnung, undifferenzierter Ablehnung und partiellem Hass die Community so sehr vergiftet, das Linux insgesamt Schaden nimmt. Öffentliche Diskussionsprozesse über Veränderungen sind gegenwärtig bereits fast unmöglich, weil Akteure von Gruppe 2 jede konstruktive Diskussion sabotieren.

In diesem Sinne sollte jeder mal darüber nachdenken, wo er sich positioniert, welcher Gruppe er sich zuordnet, mit welchen Argumenten er sich beschäftigt und ob er vielleicht Nischenmeinungen reproduziert.

Der Artikel Spannungsfelder in der Linux Community erschien zuerst auf [Mer]Curius

Firewall ufw für Linux konfigurieren

02. Oktober 2021 um 19:01
Von: Gerrit

Firewalls sind entgegen der landläufigen Meinung auch für Linux sinnvoll. Die meisten Distributionen setzen entweder auf Firewalld oder ufw. Auf Letzteres soll hier ein wenig eingegangen werden.

ufw als Kürzel für uncomplicated firewall ist ein relativ leicht zu konfigurierendes Frontend für iptables. Während Firewalld vor allem bei Red Hat, Fedora und openSUSE verbreitet ist, setzen Ubuntu und die offiziellen und inoffiziellen Derivate meist auf ufw. Beide Lösungen erfüllen ihren Zweck und reichen für Privatanwender aus.

Wichtig ist überhaupt eine Firewall zu nutzen. Die meisten Linux-Nutzer glauben immer noch dem alten Mythos, sie bräuchten keine Firewall, doch das war einmal. Linux-Desktopinstallationen sind nicht mehr minimalistisch und bewegen sich auch nicht mehr nur innerhalb des Heimnetzes.

Eine Firewall kann dann Sinn machen, wenn man ein mobiles Gerät besitzt und sich in fremde Netze einwählt. Nennt sich Notebook und dürfte bei den meisten Anwendern der Standardfall sein. Man verweist immer gerne auf Windows mit seinen vermeintlich vielen offenen Ports und Diensten, die man nicht braucht, aber auch bei Linux laufen viele Dienste, die außerhalb des Heimnetzes nicht gebraucht werden: CUPS, Avahi, KDE Connect, ggf. ein Samba-Share. Die Liste ließe sich sicher noch erweitern. Das ist jetzt grundsätzlich kein Problem, aber es schadet auch nicht, diese Ports bei unbekannten Netzwerken zu blockieren. Wer weiß schon, welche Sicherheitslücke demnächst in CUPS oder sshfs gefunden wird.

Den aktuellen Status von ufw kann man mit folgender Abfrage prüfen:

$ sudo ufw status

Die Ausgabe ist dann je nach Zustand Status: Inaktiv oder Status: Aktiv.

Mit folgendem Befehlen aktiviert bzw. deaktiviert man ufw.

$ sudo ufw enable
$ sudo ufw disable

ufw kennt drei Modi für Verbindungen: allow, deny reject. Der Unterschied zwischen letzteren beiden besteht darin, dass bei reject der Absender des Netzwerkpakets eine Nachricht über die Ablehnung bekommt. Der Vollständigkeit halber sei darauf hingewiesen, dass eine solche Reaktion manche Experten aus Sicherheitsgründen für nicht klug halten.

Normalerweise ist die Standardkonfiguration von ufw wenn weitere Einstellungen fehlen, eingehende Verbindungen zu blockieren und ausgehende Verbindungen zu erlauben. Die aktuelle Konfiguration kann mit dem verbose Befehl abgefragt werden. Die Ausgabe sollte wie folgt aussehen:

$ sudo ufw status verbose
Status: Aktiv
Protokollierung: on (low)
Voreinstellung: deny (eingehend), allow (abgehend), disabled (gesendet)
Neue Profile: skip

Sollten eingehende Verbindungen nicht per default blockiert werden kann dies mit folgendem Befehl nachgeholt werden:

$ sudo ufw default deny

Mit einem anschließenden Reload von ufw werden die Regeln aktiviert:

$ sudo ufw reload

Eine Konfiguration kann auf Basis von Services oder Application-Profilen erfolgen. Zusätzlich kann man einzelne Ports konfigurieren. Ein Service wie z. B. SSH lässt sich mit folgendem Befehl freigeben:

$ sudo ufw allow ssh

Besonders praktisch sind die mitgelieferten Profile. Diese werden direkt bei der Installation von Programmen mitgeliefert. Verfügbare Profile lassen sich mit folgendem Befehl finden:

$ sudo ufw app list

Normalerweise sollte mindestens ein Profil für CUPS vorhanden sein. Den Inhalt eines solchen Profils kann man sich ebenfalls anschauen:

$ sudo ufw app info CUPS
Profil: CUPS
Titel: Common UNIX Printing System server
Beschreibung: CUPS is a printing system with support for IPP, samba, lpd,
and other protocols.

Port:
  631

Anders als Firewalld kennt ufw keine Zonen, weshalb sich Verbindungen auch nicht klassifizieren und diese Klassifizierungen unterschiedlichen Netzwerken zugewiesen werden können. Das erleichtert zwar die Konfiguration, erlaubt aber nicht die Differenzierung zwischen privaten (vertrauenswürdigen) Netzwerken und öffentlichen Netzen.

Der Mehrwert von ufw für private Nutzer ist deshalb überschaubar. Bei einem ordentlich gepflegten Linux gibt es keine unnötigen offenen Ports. Wohl aber offene Ports, die man nicht in jedem Netzwerk benötigt. Firewalld bietet hier die Möglichkeit mit Zonen automatisiert zu differenzieren, ufw kennt nur zulässige Dienste oder Apps – egal in welchem Netz.

Der Artikel Firewall ufw für Linux konfigurieren erschien zuerst auf [Mer]Curius

EU-Produkte, US-Produkte, China-Produkte – Unterschiede und Selbstpositionierung

29. September 2021 um 14:19
Von: Gerrit

Kürzlich berichtete ich über die litauischen Vorwürfe gegenüber Xiaomi und empfahl, Produkte chinesischer Hersteller zu vermeiden. Das tat ich nicht zum ersten Mal, aber scheinbar fällt das inzwischen mehr auf. Darum werde ich ausnahmsweise mal die Technik ein wenig „politisieren“.

Wir leben in keiner perfekten Welt

In einer perfekten Welt haben wir offene Hardware, quelloffene Firmware, quelloffene Betriebssysteme und quelloffene Programme. Vertrauen in irgendwelche Hersteller ist nicht notwendig, weil man alles prüfen kann. Vertrauen muss man daher allenfalls noch in die Prüfer haben, von denen es aber unendlich viele geben kann.

Die Welt ist aber nicht perfekt. Offene Hardware gibt es in vielen Bereichen gar nicht und in den anderen auch nur ganz beschränkt. Die gleiche Situation ist bei der Firmware der Fall. Selbst Linux auf dem Desktop basiert bei den meisten Distributionen auf unfreien „Blobs“, von Smartphones etc. mal ganz zu schweigen. In der echten Welt müssen wir Abwägungsentscheidungen treffen. Welche Hardware erwirbt man, welche Möglichkeiten zur Prüfung und Anpassung hat man, welchen Herstellern vertraut man.

Vertrauen ist eine individuelle Entscheidung. Vertrauen kann man auch nur beschränkt objektivieren. Natürlich liest man sich ein, aber das geschriebene Wort ist geduldig und ohne transparente Prüfung nicht viel wert. Solche Prüfungen wie in Litauen oder demnächst durch das BSI kann man in seine Entscheidung einbeziehen, aber da nie alle Geräte aller Hersteller geprüft werden, taugen sie nicht als objektiver Vergleich aller Optionen.

Ob ich einem Hersteller vertraue, hängt massiv von dem Land ab, in dem dieser sitzt. Das liegt ganz einfach daran, dass keine Firma selbst einfach so Vertrauen verdient, denn in einem kapitalistischen Wirtschaftsmodell versuchen alle Firmen ihre Umsätze und Gewinne zu steigern. Dazu ist den meisten Firmen jedes Mittel recht. Ohne einen gesetzlichen Rahmen würde vermutlich jede Firma irgendwann unser Vertrauen missbrauchen. An die Moral von Angestellten braucht man nicht appellieren. Es gibt immer genug Uni-Absolventen ohne Rückgrat und Moral, die im Zweifelsfall auch die schlimmsten Funktionen umsetzen oder schlicht von der Firma – aus welchen Gründen auch immer – abhängig sind.

Gesetze eines Landes muss aber jede Firma respektieren. Sie können sie durch Lobbyarbeit beeinflussen, aber das tun die NGOs auch. Keine Firma kann sich ihre Gesetze vollständig selbst schreiben. Nicht mal die deutsche Autoindustrie, um ein Extrembeispiel zu nennen. Die für Datenschutz und Privatsphäre so wichtige DSGVO gilt für europäische Firmen und die Strafen können heftig sein. Firmen versuchen dies mit einem Ausweichen in den Zuständigkeitsbereich der irischen Datenschutzaufsicht zu umgehen, aber auch die muss ab und zu mal tätig werden und wenn man die Firmenzentrale in z. B. Deutschland hat, greift sowieso die strengere deutsche Datenschutzaufsicht.

Wenn eine Firma Gesetze nicht respektiert, bleibt mir als Kunde letztlich der Rechtsweg. Nicht, dass ich eine besondere Neigung verspüre, diesen gehen zu wollen, aber die Möglichkeit besteht und wirkt disziplinierend auf die Firmen und alleine diese Option schützt schon meine Rechte.

Deshalb gilt bei mir beim Kauf von Hardware oder Dienstleistungen, das ich grundsätzlich deutsche oder europäische Produkte bevorzuge.

Also nur noch Gigaset Smartphones?

Leider sind weder Deutschland noch Europa in den letzten Jahren zu super IT-Standorten mit tollen Produkten und wegweisenden Entwicklungen in dem Bereich geworden. Wer nur deutsche oder europäische Produkte nutzen möchte, schaut da schnell in die Röhre.

Bleibt also nur der Rückgriff auf internationale Hersteller. Hier sagen dann manche, dass es keinen Unterschied mehr macht. Das sehe ich nicht so.

Wir haben im wesentlichen zwei Firmengruppen. Solche Firmen mit Standort in oder enger Anbindung an die USA und zahlreiche aufstrebende Hersteller aus China. Sollte ich hier irgendwas übersehen haben, gerne kommentieren.

Natürlich ist die Außenpolitik der USA nichts für Quäker. Zahllose Kriege, Guantanamo, Folterskandale, gezielte Exekutionen mittels Drohnenangriffe in vielen Orten der Welt. Ich glaube damit habe ich alle Schlagworte, die so in den Kommentaren kommen werden. Die Außenpolitik ist nur nicht relevant für die Bewertung von Hardware. Ich beziehe in eine fiktive Entscheidung für den Kauf eines Tuxedo-Notebooks auch nicht den deutschen Mali-Einsatz ein.

Relevanter sind da schon der Grad an Freiheit einer Gesellschaft und geheimdienstliche Überwachungsprogramme. Um gleich mal ein paar Kommentare vorwegzunehmen. Natürlich sind mir Snowdens Leaks bekannt. PRISM, CLOUD Act, NSA, Five Eyes usw. usf. Kann man alles bei Wikipedia wunderbar aufbereitet nachlesen. Ja, natürlich müssen sich die Hersteller unter Umständen dem Willen des Staates beugen und manche Maßnahme riecht nach staatlicher Einflussnahme aber in die Überwachungsprogramme rutscht man auch, wenn man Smartphones aus dem Kongo kaufen würde.

Vielleicht sind die Programme noch viel schlimmer als gedacht oder die Firmen kooperieren noch enger mit den Geheimdiensten, als wir wissen. Nur gibt es in den USA Meinungs- und Redefreiheit, es gibt transparente Verfahren und die Möglichkeit vor US-Gerichte zu ziehen. Natürlich wird jetzt irgendwer hier das Beispiel Lavabit bringen und die ominösen „national security letters„. Doch woher wissen wir das alles? Weil Ladar Levison klagte, zumindest teilweise Recht bekam und Akteneinsicht nehmen durfte. Die waren dann auch noch nur oberflächlich geschwärzt.

Man darf, soll und kann (was nicht zu unterschätzen ist!) diese Überwachungsprogramme jederzeit kritisieren. Man sollte aber nicht den alten Fehler der westdeutschen Linken wiederholen und aus dumpfen Antiamerikanismus die Gegner der USA als „die Guten“ verklären. Wo früher Ho-Ho-Ho-Chinh skandiert und Mao-Bibeln hochgehalten wurden, relativieren heute viele die Unrechtsstaaten in Russland und China und adaptieren die chinesische Propaganda vom historischen Recht Chinas an irgendetwas.

Womit wir bei China wären. Dort hätte kein Gericht irgendeinem Betreiber eines E-Mails Dienstes in der Auseinandersetzung mit dem Staat Recht gegeben oder Akteneinsicht gewährt und chinesische Nutzer können die Überwachungsprogramme ihrer Regierung auch nicht bei Wikipedia nachlesen. Selbst superreiche IT-Unternehmer verschwinden wochenlang von der Bildfläche, wenn sie ihre Meinung sagen. Die Konzerne werden anschließend zerschlagen und der Macht der herrschenden Partei ungeordnet. Was wäre wohl bei einem Fall analog zu Apple vs. FBI dort passiert?

Nebenbei baut China steig weiter an einem Überwachungsstaat, der seinesgleichen sucht. Die große chinesische Firewall (größte Zensurbehörde der Welt), Social Credit System usw. usf. Das sind die relevanten Bereiche, die uns auch in chinesischer Technik begegnen. Der Vollständigkeit halber und weil wir oben Guantanamo und Kriege hatten, hier der Fairness halber gleich noch eine kleine Ergänzung der sonstigen chinesischen „Innenpolitik“: Ermordung Millionen eigener Bürger in Kulturrevolution und großem Sprung nach vorn, Internierungslager für Uiguren mit faktischem kulturellen Genozid, Tibet, Stützung Nordkoreas. Was vergessen?

Deshalb vertraue ich keinen chinesischen Herstellern. Sie sind nicht unabhängig genug vom Staat, die Informationen sind nicht transparent und vertrauenswürdig genug und chinesische Hersteller unterstützen zwangsläufig aktiv Unterdrückung, Zensur und Überwachung in ihrem Heimatmarkt, denn ansonsten gäbe es sie gar nicht.

Natürlich gibt es noch andere Diktaturen auf der Welt, aber die meisten sind wirtschaftlich nicht so erfolgreich, im IT-Sektor nicht relevant und deshalb kein Thema für dieses Blog. Lediglich Russland ist eine partielle Ausnahme, weshalb ich das im Zusammenhang mit Jolla / SailfishOS bereits thematisiert hatte. Die Reichweite russischer Unternehmungen ist aber sehr beschränkt, weshalb das nicht weiter herausgehoben werden muss.

Zusammengefasst

Ob ich ein Objekt der weltweiten amerikanischen Massenüberwachung werde, kann ich mir leider nicht aussuchen. Ich weiß nicht mal, ob die Hütte in den Alpen da noch reichen würde, um dem zu entkommen. Ob ich meine Daten in die chinesischen Systeme einspeisen möchte, kann ich mir noch aussuchen. Das chinesische politische Modell erzeugt bei mir jedenfalls keinen Wunsch dieses System freiwillig zu stützen. Und sei es auch nur durch den Kauf eines Smartphones.

Mir ist klar, dass es in Deutschland genug Anhänger autoritärer oder diktatorischer Systeme gibt. Putin-Verklärer gibt es zahlreiche und während der Corona-Pandemie hat man ein erschreckendes Faible für die vermeintliche Effizienz von Diktaturen und Quasi-Dikaturen bei vielen Kommentatoren feststellen dürfen.

Ich teile dieses Faible nicht und sehe den Aufstieg Chinas extrem kritisch. Noch mehr verabscheue ich Kommentatoren, die als Bürger eines Rechtsstaats, geschützt durch in der Verfassung verankerte Menschenrechte und im Besitz einer vollumfänglichen Meinungsfreiheit behaupten, man dürfte dieses oder jenes nicht mehr sagen, von vermeintlicher Zensur fabulieren und die Zustände in Diktaturen nicht so schlimm finden. Das wird sich auch immer wieder in meinen Blogartikeln wiederfinden. Wem das nicht passt, wer gerne in einem China-gleichen System leben und das befördern möchte, wer gerne grundlos seine Daten nach China übermitteln möchte, der muss dann halt andere Blogs abonnieren.

Privatsphäre und Datenschutz sind damit sowieso nicht zu vereinbaren.

Der Artikel EU-Produkte, US-Produkte, China-Produkte – Unterschiede und Selbstpositionierung erschien zuerst auf [Mer]Curius

Lesetipp: Vision für Fedora Workstation

26. September 2021 um 12:28
Von: Gerrit

Christian Schaller hat in seinem Blog sich sehr ausführlich zur vergangenen und künftigen Entwicklung von Fedora Workstation (also der Desktop-Variante der Distribution) geäußert.

Den Artikel „Fedora Workstation: Our Vision for Linux Desktop“ möchte ich allen interessierten Linux-Nutzerns empfehlen. Neben einem Resümee der Ausgangssituation und getroffenen Entscheidungen kann man bereits einen Ausblick auf das werden, was konzeptionell angedacht wird. Besonders interessant ist die Schilderung, wie komplex die Entwicklung einer klassischen Distribution mit normaler Paketverwaltung ist und dass dieses Konzept eigentlich keine sinnvolle Variante für schnelle Entwicklungszyklen ist. Wenn es überhaupt eine langfristige Zukunft jenseits Status quo-orientierter Distributionen hat.

Die Zielrichtung von Fedora Workstation ist immer noch ein Szenario, das sich momentan in der Silverblue-Edition testen lässt. Das bedeutet eine gänzlich neue Art Linux-Distribution. Das Betriebssystem wird read-only eingebunden, Anwendungen primär über Flatpaks installiert und weiterführende Ansprüche werden mit Toolbox anvisiert. Dabei handelt es sich letztlich um Container mit Systemwerkzeugen.

Weitere Themen sind dann noch Wayland, Pipewire und LVFS. Ebenfalls sehr interessante Baustellen und für viele Community-Lieblinge wie MATE oder Xfce ein riesiges Problem, weil die Manpower für solche Entwicklungsleistungen eigentlich zu knapp ist.

An dem Artikel sieht man wieder sehr deutlich, wie wichtige Red Hat bzw. Fedora für Linux ist. Nahezu alle wichtigen Zukunftsthemen werden dort bearbeitet, viele wichtige Projekte gestartet und entwickelt. Diese sickern dann nach und nach in die anderen Distributionen.

Interessierte Anwender sollten sich außerdem Silverblue mal ansehen. Momentan halte ich Silverblue noch nicht für komplett alltagstauglich und die Fedora-Entwickler teilen diese Meinung scheinbar. Die Fortschritte sind aber immens und ich persönlich denke, dass diese Variante einer Linux-Distribution bereits in den nächsten Jahren das normale Desktop-Linux für Endanwender werden kann.

OpenSUSE experimentiert schließlich mit einem ähnlichen Konzept, das aber einen vollständig anderen technischen Ansatz hat und Ubuntu könnte Snaps weiter aufbohren und auf eine ähnliche Strategie schwenken. Sofern man an der Eigenentwicklung festhält und sich nicht letztlich doch wieder dem Linux-Mainstream beugt.

Der Artikel Lesetipp: Vision für Fedora Workstation erschien zuerst auf [Mer]Curius

Lennart Poettering hinterfragt Linux Verschlüsselung

25. September 2021 um 15:46
Von: Gerrit

Der systemd-Entwickler schreckt mal wieder die Linux-Gemeinde auf. Nicht ganz unerwartet befasst er sich mit der Ar,t wie die meisten Linux-Distributionen Daten verschlüsseln und Integrität gewährleisten. Ein notwendiger Weckruf für die oft bräsige Community.

Poettering befasst sich bereits seit längerem mit der Datensicherheit, LUKS und TPM. Der aktuelle Blogpost von ihm kommt daher nicht gänzlich unerwartet. Eine kurze Zusammenfassung und Bewertung kann man auch bei Golem lesen.

Einleitend befasst er sich mit dem aktuellen Status quo. Hier ist er sogar in vielen Fällen zu optimistisch, denn die Situation ist oft noch viel schlimmer.

Die meisten Distributionen verschlüsseln standardmäßig gar nicht und drängen diese Möglichkeit ihren Nutzern auch nur dezent auf. Linux ist hier schon länger deutlich unsicherer als die meisten anderen Betriebssysteme – abgesehen nur von der Windows-Home-Edition. Linux-Distributionen verschlüsseln Daten mittels einer LUKS/Cryptsetup-Lösung, die frühere verbreitete eCryptFS-Methode ist kaum noch verbreitet. Basale TPM-Unterstützung ist zwar vorhanden, wird aber kaum genutzt, obwohl (wegen entsprechender Microsoft-Vorgaben) alle halbwegs neuen Geräte einen TPM-Chip aufweisen.

Ein weiterer Baustein in der Validierungskette ist Secureboot. Hier ist Poettering wieder mal viel zu optimistisch, wenn er schreibt, dass die meisten Distributionen hierüber absichern. Insbesondere die vielen Kleinprojekte, aber auch so beliebte Distributionen wie Arch Linux oder Manjaro bieten kein Secureboot an bzw. zumindest nicht als Standard. Im besten Fall nutzt eine Distribution Secureboot und validiert via Shim Bootloader und Kernel. Eine lückenlose Valididerungskette inklusive Initrd und Betriebssystem erfolgt bei keiner Distribution. Dazu hatte ich mich hier auch schon mal geäußert. Das nicht verifizierte Initrd wird entpackt und fragt nach einem Passwort, um das LUKS-Volume zu entschlüsseln. Ab jetzt sind die Daten verfügbar. Der Benutzerlogin ist dann nur noch Kosmetik und wird von vielen LUKS-Nutzern bei Einzelnutzung auch per Autologin übersprungen.

Die aktuelle Vorgehensweise hat gleich mehrere offene Flanken. Vor allem schützt sie nicht, wenn die Festplatte physisch gestohlen oder komplett kopiert wird. Der Angreifer hat danach alle Zeit der Welt, um sich mit der Verschlüsselung und ihrer Umgehung zu beschäftigen. Ein weiteres Szenario ist die unbeobachtete Kompromittierung des Systems, genant Evil Maid Angriff.

Poettering kommt deshalb auch zu dem harten Schluss, dass alle anderen Betriebssysteme – ChromeOS, Android, Windows und macOS – die Daten der Anwender besser schützen.

Zur Abhilfe schlägt Poettering einige Punkte vor. Initrd müsste beim Start authentifiziert werden, ebenso das System unter /usr (was einen vollständigen usr-merge voraussetzt – Hallo Debian) und die Verschlüsselung des Benutzerverzeichnisses sollte an das Nutzerpasswort gebunden werden und nicht an das System. Besser wären noch Lösungen ohne Passwörter, wie beispielsweise FIDO2. Hier enteilt Microsoft Windows mit Hello Linux sowieso hoffnungslos.

Die Lösungsvorschläge basieren natürlich viel auf Entwicklungen in systemd (z. B. system-cryptenroll, systemd-home), aber auch auf Kryptofunktionen im Kernel wie dm-Verify und dm-Integrity. Ingesamt setzt Poettering auf eine viel stärkere Einbeziehung der sowieso verfügbaren TPM-Technik in die Sicherheitskonzepte der Distributionen. In diesem Zusammenhang wendet er sich auch massiv gegen nicht faktengestützte Vorurteile gegenüber TPM.

Diese Ideen sind natürlich weit entfernt davon, produktiv einsetzbar zu sein. Vermutlich werden sie am ehesten bei Fedora umgesetzt und dann sukzessive bei weiteren Distributionen.

Leider werden viele schon alleine deshalb dagegen arbeiten, weil die Ideen von Poettering kommen und systemd bei vielen nicht faktengestützte Vorurteile hervorrufen. Zudem haben viele Linux-Nutzer sich bequem in der Vergangenheit eingerichtet und leugnen die Herausforderungen der Gegenwart (von der Zukunft ganz zu schweigen).

Der Artikel Lennart Poettering hinterfragt Linux Verschlüsselung erschien zuerst auf [Mer]Curius

Kommentar: Viele Distributionen nutzen nur bei wirklicher Vielfalt etwas

23. September 2021 um 18:05
Von: Gerrit

Von Linux gibt es drölfzig Distributionen. Das wird gerne kritisiert, weil dadurch massiv Ressourcen gebunden werden. Befürworter verteidigen immer die Vielfalt als Stärke von Linux. Das gilt aber auch nur wenn man die Vielfalt auch wirklich zulässt und nutzt.

Aktuell gibt es nur Pseudo-Vielfalt unter den Distributionen, denn im Grunde genommen sind sie sich alle sehr ähnlich. Es gibt Distributionen mit rollenden Veröffentlichungsmodellen und stabile Distributionen mit festgelegten Releasezyklen und Supportzeiträumen. Bei Letzteren muss man noch die kleine Gruppe der Distributionen mit LTS/Enterprise-Support separieren.

Alle Distributionen funktionieren sehr ähnlich. Meistens bieten sie alle verfügbaren Desktopumgebungen an, die zunehmend lieblos integriert werden, weil die hohe Schlagzahl bei zurückgehenden Ressourcen keine liebevolle Integration mehr zulässt. Die allermeisten Distributionen verwenden systemd, udev, PolKit, eine X11/Wayland-Kombination, kompilieren mit GCC usw. usf.

Es gibt nur ein paar wenige exotische Distributionen mit Grundlagen, die sich deutlich von allen anderen unterscheiden. Spontan fallen mir da vielleicht Gentoo, Void, Slackware und vielleicht Devuan ein. Gemessen an der Gesamtzahl fallen diese kaum ins Gewicht.

Wo ist der Unterschied zwischen Linux Mint und Ubuntu oder zwischen Ubuntu und Debian? Wo ist der Unterschied zwischen Mageia und Fedora, zwischen openSUSE und Mageia? Wo trennt sich Manjaro von Arch Linux und was sind die Vorteile gegenüber openSUSE Tumbleweed? Man muss schon ganz weit heran zoomen, um hier noch die große Vielfalt zu erkennen, die angeblich der Vorteil von Linux ist.

Wenn also Distributionen wie Fedora mit Silverblue an der Distribution der Zukunft bauen, openSUSE mit MicroOS experimentiert, Ubuntu demnächst mehr Snaps ausrollen und elementary OS ein kuratiertes Flatpak-Ökosystem aufbauen, ist das eine Chance. Eine Chance auf wirkliche Vielfalt.

Es wird schließlich noch genug Distributionen geben, die andere Wege einschlagen. Die an konventionellen Veröffentlichungen festhalten, Flatpaks oder Snaps nicht standardmäßig verteilen oder sogar komplett aussperren.

Meiner Meinung nach könnte das noch viel weiter gehen. Anstatt 6 Desktops stiefmütterlich zu unterstützen, sollte man sich auch hier lieber auf einige wenige konzentrieren und hier auch guten Support bieten. So wie Fedora dies mit GNOME macht oder KDE neon mit Plasma. Andere Distributionen können hier ja andere Entscheidungen treffen.

Wenn nicht mehr alle Distributionen alles bieten, muss vielleicht der ein oder andere seine Distribution wechseln. Das Ökosystem gewinnt aber insgesamt hinzu. An wirklicher Vielfalt, an Wahlmöglichkeiten und an Qualität.

Momentan ist die vermeintliche Vielfalt nur ein Argument jener, die jede Kritik am Distributionsdschungel wegwischen wollen. Kaum entsteht wirkliche Vielfalt, wie bei Canonicals Entscheidung, künftig stärker auf Snaps zu setzen, kommt ein lautes Wehklagen, ob des vermeintlichen Verrats am Linux-Einheitsbrei und der Drohung, dass man dann selbst woanders hin abwandern möchte (gerne versteckt als „dann werden viele User gehen“).

Super, dann geht doch. Das ist überhaupt nicht negativ gemeint, denn genau dafür hat Linux doch die Vielfalt. Es muss nicht jede Distribution zu jedem Anwender oder Anwendungsfall passen. Gefällt einem eine Distribution nicht, sucht man sich eine andere. Vielfalt bedeutet nicht, hundert austauschbare Distributionen zu haben.

Der Artikel Kommentar: Viele Distributionen nutzen nur bei wirklicher Vielfalt etwas erschien zuerst auf [Mer]Curius

Chinesische Zensursoftware in Smartphones für EU

23. September 2021 um 12:41
Von: Gerrit

Litauen warnt vor Smartphones von Xiaomi. Mithin kein Nischenhersteller, sondern nach einer hartnäckigen Expansionsstrategie einer der größten Hersteller von Android Smartphones. Die angepasste Android-Version von Xiaomi soll Zensursoftware enthalten.

Vor zwei Tagen berichtete Reuters über den Sachverhalt. Entsprechende Berichte können nun auch auf Deutsch bei netzpolitik.org und tagesschau.de gelesen werden.

Der Sachverhalt ist schnell dargelegt. Die Smartphones enthalten eine Software mit einer Blacklist, die fortwährend aktualisiert werden kann. Die dort enthaltenen Begriffe können von allen Systemanwendungen wie z. B. dem Browser zensiert werden.

Standardmäßig ist die Funktion in der EU abgeschaltet, aber das ist natürlich keine Garantie für die Ewigkeit. Die fortwährende Möglichkeit der Aktualisierung der enthaltenen Begriffe macht zudem verschiedene Einsatzszenarien denkbar.

Nebenbei senden Xiaomi-Smartphones noch massiv Nutzungsdaten, beispielsweise der Telefonieaktivitäten nach Hause. Das ist allerdings keine neue Erkenntnis.

Meine Empfehlung: Finger Weg von den Smartphones chinesischer Hersteller.

Smartphones sind mächtige Überwachungsgeräte. Der Kunde muss dem Hersteller hier in einem überdurchschnittlichen Maße vertrauen können. Hier hilft auch kein Open Source, denn dank proprietärer Firmware, angepassten Kernels & Co gewinnt man selbst mit Lineage OS nicht die wirkliche Kontrolle über sein Gerät. Der chinesische Staat verstärkt in jüngster Zeit massiv seine Kontrolle über die heimische Digitalwirtschaft. Das richtet sich mitnichten nur gegen Alibaba. Deshalb darf man den Firmen nicht vertrauen, weil ihre Unabhängigkeit nicht garantiert ist.

Android-Nutzer sollten lieber zu Alternativen greifen. Mit Samsung oder Sony gibt es beispielsweise noch alternative Hersteller, denen man etwas mehr Vertrauen entgegenbringen kann. Die aktuell beste Lösung ist allerdings vermutlich direkt ein Gerät aus Googles Pixel-Serie, das man anschließend mit GrapheneOS ausstattet.

Früher hätte ich hier noch guten Gewissens Apples iPhones empfohlen, aber das geht nun auch nicht mehr. Wobei ich vermutlich im direkten Vergleich weiterhin Apple den Vorzug geben würde.

Wie man aber an diese Abwägung schon sieht, sind das alles keine wirklichen Lösungen. Das gesamte Android-Ökosystem ist zu eng verzahnt mit Datenerhebung durch Google und dubiosen Herstellern. Daher bleibt wie üblich nur der Schlusssatz, dass nur ein wirklich freies Linux-Smartphone hier Abhilfe schaffen würden. Allein mir fehlt inzwischen der Glaube, dass sie jemals kommen.

Der Artikel Chinesische Zensursoftware in Smartphones für EU erschien zuerst auf [Mer]Curius

Google und Apple diskreditieren sich weiter

22. September 2021 um 18:55
Von: Gerrit

Die Erkenntnis, dass für Profit moralische Bedenken gerne mal über Bord geworfen werden, ist nicht neu. Im Umgang vieler Konzerne mit China hat man das wieder und wieder beobachten können. In Russland kann man aber nun sehen, wie gering der Preis der eigenen Integrität ist.

China ist einer der wichtigsten Märkte der Welt. Jeder nicht völlig von Idealismus vernebelte Beobachter kann da zumindest rational nachvollziehen, wenn Firmen im Sinne des Profits beide Augen zudrücken und den Wünschen der regierenden Partei sehr weit entgegenkommen. Gutheißen muss man es natürlich dennoch nicht, aber die Beweggründe sind offensichtlich.

Russland ist hingegen ein Dritte-Welt-Staat mit Atomwaffen. Außerhalb von Moskau, St. Petersburg und ein paar weiteren Großstädten ist die Kaufkraft kaum messbar. Die Bevölkerung ist gemessen an dem Riesenland überschaubar und schrumpft zudem. Durch internationale Isolation, Misswirtschaft und Korruption geht es wirtschaftlich seit Jahren nur noch abwärts. Eine Trendwende ist nirgendwo in Sicht. Ein unverzichtbarer Wachstumsmarkt mit durchschlagenden Auswirkungen auf die Gesamtumsätze eines Unternehmens sieht anders aus,.

Trotzdem beugen sich Apple und Google dem russischen Druck und entfernen die Apps der in die Illegalität getriebenen Organisation von Alexej Nawalny aus ihren App Stores. Selbst das ach so unabhängige Telegram knickte vor dem Kreml ein.

Wem beugt man sich als nächstes? Saudi-Arabien? Der Zentralafrikanischen Republik? Dem Talibanregime in Afghanistan?

Demnächst verkaufen Apple und Google ihre Integrität dann wohl für ein Pausenbrot.

Der Artikel Google und Apple diskreditieren sich weiter erschien zuerst auf [Mer]Curius

Flatpak / Snap vs. Paketverwaltung – Alles was dazu gesagt werden muss

21. September 2021 um 13:09
Von: Gerrit

Ubuntu stellt demnächst Firefox auf Snap um. In der Community kochen mal wieder die Gemüter hoch. Anstelle mich immer zu wiederholen, fasse ich hier mal alle relevanten Punkte zusammen. Das Ziel ist ein möglichst sachlicher Überblick

Es gibt unterschiedliche Arten wie Betriebssysteme Software organisieren. Windows und macOS haben lange auf separate Installationsroutinen für einzelne Programme gesetzt, die auf ein Betriebssystem mit eigener Updateroutine installiert werden. Heute drängen beide mehr oder minder erfolgreich auf die Adaption des App Store-Prinzips auch für den Desktop.

Die verschiedenen Linux-Distributionen haben stattdessen aus unterschiedlichen Gründen eine zentrale Paketverwaltung für die Installation und Aktualisierung des gesamten Systems, letztlich vom Kernel bis zum Taschenrechner, entwickelt. Dabei gab und gibt es unterschiedliche Spielarten, aber das System funktioniert bei fast allen Distributionen gleich.

Das hat nichts mit Open Source vs. proprietäre Software zu tun, was man schon daran sehen kann, dass die verschiedenen BSD-Varianten noch mal ganz andere Modelle aufgezogen haben.

Ganz zentral ist, dass es kein entweder/oder gibt. Die Entwickler von Flatpak respektive Snap haben nie die Absicht geäußert, klassische Paketverwaltungen gänzlich zu ersetzen und selbst wenn eine Distribution komplett bei klassischen Paketverwaltungen bleiben möchte, kommt man vermutlich zukünftig zumindest bei manchen proprietären Programmen nicht um die Nutzung von Flatpak bzw. Snap umhin.

Die Sinnhaftigkeit von zwei neuen Lösungen, also Flatpak und Snap, kann man infrage stellen. Es wird hier keine Analyse der Unterschiede der einzelnen beiden Lösungen geben und auch keine Prognose abgegeben, ob beide dauerhaft überleben, oder nur eines von beiden sich durchsetzt. Neben Flatpak und Snap gibt es mit AppImages und Container-Ansätzen weitere Lösungen, die hier nicht berücksichtigt werden.

Paketverwaltung

Kennzeichen der klassischen Paketverwaltung:

  • Die Paketverwaltung dient zur zentralen Installation und Aktualisierung aller Bestandteile des gesamten Systems.
  • Der Bezug erfolgt heute i. d. R. über zentrale Repositorien und erfordert eine Internetverbindung.
  • Programme werden nach Möglichkeit in ihre Bestandteile zerlegt und z. B. Bibliotheken oder Sprachdateien separiert. Eine Abhängigkeitsauflösung erfolgt durch die Paketverwaltung und sorgt dafür, dass alle notwendigen Bestandteile installiert werden.
  • Rechte werden über Benutzer- und Gruppenrechte, sowie Dateisystemberechtigungen gesteuert.

Vorteile der klassischen Paketverwaltung:

  • Programme benötigen keine separaten Updateroutinen.
  • Eine Distribution ist eine aufeinander abgestimmte Gesamtkomposition, in der idealerweise alles perfekt harmoniert und getestet ist.
  • Die Distributoren können Programme zielgenau patchen und gezielt bestimmte Versionen nutzen.
  • Durch die Aufspaltung der Programme und Abhängigkeiten können einzelne Bibliotheken von vielen Programmen genutzt werden. Idealerweise ist keine Bibliothek doppelt installiert.

Nachteile der klassischen Paketverwaltung:

  • Das System führt zu einem Duopol aus Rolling Release Distributionen (alles vom Kernel bis zum Taschenrechner wird fortlaufend aktualisiert) und stabilen Distributionen (nur Sicherheitsupdates und Fehlerbehebungen für alles vom Kernel bis zum Taschenrechner).
  • Je älter die Basis, desto schwieriger bis ganz unmöglich ist die Aktualisierung einzelner Bestandteile, weil Abhängigkeiten auf gemeinsam genutzte Bestandteile irgendwann nicht mehr erfüllt werden können.
  • Aufgrund der komplexen Abhängigkeitsauflösung ist es nicht komfortabel Pakete herunterladen und offline zu installieren.
  • Jedes Programm muss für jede Distribution neu paketiert werden. Das bedeutet angesichts der aktuellen Anzahl an Distributionen, dass die Arbeit bis zu 100 Mal wiederholt wird.
  • Entwickler müssen hoffen, dass ihr Programm von jeder wichtigen Distribution paketiert und damit den Endanwendern zur Verfügung gestellt wird.
  • Entwickler haben Schwierigkeiten zu testen und Fehler zu reproduzieren, weil sie keinen Einfluss darauf haben, welche Bibliotheken und welchen Versionen vorliegen.
  • Paketverwaltung sind sehr mächtige Systeme und lassen sich nur ungenügend mit einfachen App-Store-ähnlichen Oberflächen administrieren.

Neue Formate Flatpak / Snap

Kennzeichen der neuen Formate Flatpak / Snap:

  • Dient konzeptionell nur dazu Programme und nicht das gesamte System zu verwalten.
  • Nur Snap: Der Bezug erfolgt über ein zentrales Repositorium unter der Kontrolle von Canonical.
  • Nur Flatpak: Distributoren können eigene Repositorien betreiben, faktisch gibt es mit Flathub eine übergreifende zentrale Bezugsplattform.
  • Rechteverwaltung mittels einer Sandbox-Lösung mit spezielle Zugriffsrechten (AppArmor bei Snap; Portals bei Flatpak)
  • Programme im Flatpak / Snap-Format bringen viele Bibliotheken bereits mit, nur wenige gemeinsam genutzte Bestandteile und keine ausdifferenzierte Abhängigkeitsverwaltung.

Vorteile der neuen Formate Flatpak / Snap:

  • Flatpaks / Snaps können unabhängig von der Betriebssystem-Basis aktualisiert werden.
  • Ein Snap oder Flatpak muss nur 1 Mal erstellt werden und kann anschließend unter allen Distributionen genutzt werden.
  • Flatpaks / Snaps bringen die Bibliotheken in exakt den Versionen mit, für die sie getestet wurden.
  • Flatpaks / Snaps ermöglichen es unterschiedliche Versionen von Programmen gleichzeitig zu installieren.
  • Es gibt eine moderne Zugriffssteuerung, um Programmen ggf. den Zugriff auf das Dateisystem, die Kamera, das Mikrofont etc. pp. zu beschränken.
  • Flatpak / Snap ermöglicht in Kombination mit anderen Lösungen gänzlich neue Typen von Distributionen wie z. B. Fedora Silverblue oder openSUSE MicroOS.

Nachteile der neuen Formate Flatpak / Snap:

  • Bei Sicherheitsupdates für einzelne Bibliotheken müssen alle Flatpaks / Snaps aktualisiert werden, die diese enthalten. Es besteht das Risiko, dass dies nicht konsequent erfolgt.
  • Die Verantwortung für die Prüfung der eingereichten Flatpaks / Snaps liegt bei Flathub respektive Snapcraft.io. Es bestehen Zweifel an der Qualität dieser Prüfung.
  • Ein höherer Speicherplatzverbrauch, da letztlich dieselbe Bibliothek (ggf. in unterschiedlichen Versionen) mehrfach installiert wird. Das System ist weniger effizient in dieser Richtung.
  • Kinderkrankheiten: Beide Formate sind immer noch nicht ausgereift. Es gab und gibt verschiedentlich Probleme mit Performance und der Steuerung der neuen Zugriffsrechte.

Der Artikel Flatpak / Snap vs. Paketverwaltung – Alles was dazu gesagt werden muss erschien zuerst auf [Mer]Curius

Experiment: elementary OS 6 mit Flatpaks

20. September 2021 um 12:18
Von: Gerrit

In verwende seit einiger Zeit elementary OS im Consumer-Einsatz. Die Erfahrungen sind ziemlich positiv. Nun teste ich den weitestgehenden Umstieg auf Flatpaks.

In meinem Umfeld sind in den letzten Jahren einige Leute auf Linux umgestiegen. Ich empfehle das nicht aktiv, aber wenn der Wunsch von außen an mich herangetragen wird und eine Prüfung der Bedarfe Linux als mögliche Alternative ergibt, helfe ich gerne beim Umstieg. Ehrlicherweise allerdings auch langfristig als Ansprechpartner für Administration und Probleme. Das ist nur noch privat und semi-privat für ein KMU. Beruflich geht es für mich schon seit einiger Zeit in eine andere Richtung und weg von IT-„Management“.

Vor einiger Zeit habe ich damit begonnen, für diese Zwecke elementary OS auszutesten. Momentan betreue ich dadurch leider eine ziemlich krude Mischung aus Kubuntus und Systemen mit Pantheon Shell. Elementary OS 5 hatte leider einige nervige Bugs, weshalb ich längere Zeit auf Fedora setzte.

Die Pantheon Shell und die zugehörigen Programme plus Ergänzungen aus dem GNOME Ökosystem sind meiner Meinung nach ideal für Anwender, die keine Lust haben sich groß mit dem System zu befassen. Die Funktionsweise ist intuitiv und die Programme nicht überfrachtet mit Optionen. Die Anwender sind damit ziemlich zufrieden und ich bekomme sehr selten Probleme mit. Die Kubuntus machen mir da viel mehr Scherereien, nicht wegen Fehlern, sondern weil die Anwender es immer wieder hinbekommen, Plasma zu verunstalten und mit der Reorganisation der Elemente dann überfordert sind, weil die KDE-UX nicht intuitiv ist.

Die Integration von Pantheon in Fedora ist aber nur mittelmäßig und hat hier und da immer wieder für Probleme gesorgt. Trotz der Schwächen von elementary OS 6 habe ich daher angefangen, die Systeme sukzessive umzustellen.

Die elementary-Entwickler haben den Wechsel auf ein Flatpak-basiertes System eingeleitet. Das neue Appcenter kann zwar Aktualisierungen für APT durchführen, aber bietet Installationen von neuen Programmen nur über das Flatpak-Repo an. Ich stehe den neuen Formaten grundsätzlich offen gegenüber, obwohl ich persönlich bei meinem eigenen System noch eine klassische RR-Paketverwaltungssystem fahre.

Das Flatpak-Repo von elementary OS ist noch recht schmal bestückt, aber man kann Flathub unproblematisch systemweit einrichten und danach die dort enthaltenen Programme via Appcenter (oder Terminal) installieren.

Das habe ich auf einem „Testsystem“ jetzt mal konsequent verfolgt. Die klassische Paketverwaltung organisiert nun wirklich nur noch das Basissystem und die Desktopoberfläche. Alle Programme kommen konsequent aus dem elementary Flatpak-Repo oder von Flathub. Das ist der übliche Consumer-Mischmasch aus Firefox, Evolution, LibreOffice, Spotify, Anydesk usw. usf.

Der Vorteil ist ziemlich offensichtlich. Die Version von Kernel, X11, Mesa oder glibc ist hier völlig egal, die Hardware wird schon seit Kernel 5.4 perfekt unterstützt. Das Basissystem kommt nun direkt aus Ubuntu main plus die separat von elementary gepflegten Bestandteile. Das trägt notfalls bis ins Jahr 2025. Hier gibt es keine Überraschungen oder Updates, die Administration erforderlich machen. Durch den konsequenten Einsatz von Flatpaks entgeht man aber den ungepflegten Paketen in universe und bekommt hier immer die aktuelle stabile Version ausgeliefert.

Die Installation und die Updates laufen ziemlich problemlos und durch die Ähnlichkeit zu den mobilen Appstores ist das Verfahren auch sehr niedrigschwellig und bedurfte keiner weiteren Erklärung.

Ich bin gespannt wie sich das System so im Alltagsbetrieb schlägt, ob Probleme auftreten und wenn ja welche.

Der Artikel Experiment: elementary OS 6 mit Flatpaks erschien zuerst auf [Mer]Curius

Das Kernproblem ist Werbung

18. September 2021 um 13:19
Von: Gerrit

Tracking ist ein Problem und wurde hier schon von vielen Seiten betrachtet. Streng genommen ist es aber nur das Symptom eines anderen Problems: Es gibt im Internet kein anderes funktionierendes Geschäftsmodell als Werbung.

Vor ein paar Tagen gab es im Kuketz-Blog eine lesenswerte Recherche zu (illegalem) Tracking auf deutschen Nachrichtenseiten zu lesen. Normalerweise geht es bei Tracking ja gerne um Firmen wie Google, Facebook, Twitter oder Microsoft und dem interessierten Leser ist gar nicht so klar, warum eigentlich getrackt wird. Die Firmen könnten ja zig Gründe haben, das Nutzerverhalten in den Blick zu nehmen.

Das haben sie vielleicht auch, weil Nutzerdaten zur Produktweiterentwicklung für einige Konzerne interessant sein können. Google oder Facebook sind aber nicht deshalb so wahnsinnig mächtige Datensammelstellen, weil sie auf ihren eigenen Webseiten die Anwender verfolgen, sondern weil sie Daten von verschiedenen Stellen aggregieren.

Der Hebel für diese Aggregation von Daten ist Werbung. Besagte Nachrichtenseiten binden keine Google-Tracker ein, weil das nett ist oder Facebook-Pixel, damit die Leute einen Like-Haken setzen können. Sie binden sie auch nicht ein, um den Datenschatz dieser Konzerne anzureichern. Sie binden sie auch nicht ein, weil sie richtig umfassende Analysen der Kunden/Nutzer brauchen, denn den meisten Seiten fehlt die Expertise, um mit solchen Daten wirklich etwas anzufangen.

Ganz deutlich wird der Grund bei den besonders umstrittenen RTB-Verfahren: Die Seiten binden diese Verfahren und Analyse-Tools ein, um Werbung einzubinden und den Profit aus dieser Werbung zu maximieren. Werbung und Tracking sind zwei Seiten derselben Medaille. Je weniger zielgerichtet die Werbung ausgerollt wird, desto weniger Umsatz machen die Seiten. Entsprechend kritisch ist die Branche gegenüber gesetzlichen Beschränkungen des Trackings und ausufernden Einwilligungsabfragen.

Ihnen bleibt auch kaum eine andere Wahl. Denn trotz omnipräsenter Paywalls ist Werbung das einzige tragfähige Geschäftsmodell im Internet. Das mag bei obligatorischen Adblockern zwar verwundern, ist aber letztlich so.

Nur ganz wenige Seiten kommen mit alternativen Modellen wie Mitgliedschaften oder rein spendenbasierten Modellen aus und man kann mit Fug und Recht bezweifeln, dass diese Modelle skalieren. Andere Nebenverdienste wie die VG Wort sind bestenfalls Bausteine zu einem kostendeckenden Betrieb.

Man kann Tracking beklagen, man kann gesetzliche Hürden einziehen, um die schlimmsten Auswüchse zu bekämpfen, aber so lange es keine anderen funktionierenden Modelle gibt, werden wir damit leben müssen.

Die gesetzlichen Vorgaben der DSGVO, die zunehmende Erforderlichkeit von Einwilligungen und damit sinkenden Zustimmungsraten, sowie wachsende Raten von Adblocking-Nutzern können lediglich als Motivation dienen, andere Modelle jenseits der Werbung zu entwickeln und zur Marktreife zu bringen.

Der Artikel Das Kernproblem ist Werbung erschien zuerst auf [Mer]Curius

Warum Google für FOSS gefährlich ist

17. September 2021 um 13:25
Von: Gerrit

Die Welt war schön und einfach, als Steve Ballmer 2001 Open Source noch zu einem Krebsgeschwür erklärte. Hier die freie Open Source Community, dort die Hersteller proprietärer Systeme. Heute ist die Welt unübersichtlicher geworden und nicht Konzerne wie Microsoft sind das größte Problem, sondern Firmen wie Google.

Bleiben wir beim Bild des Krebsgeschwürs. Balmer meinte in jenem denkwürdigen Interview, dass die freie Lizenz alles anstecken würde, was es berührt, daher der Vergleich mit Krebs. Heute würde ich Google als eben jenen Krebs bezeichnen, denn es befällt alles was es berührt und zerstört es.

Die grundlegende Frage ist letztlich, was ist Open Source und was ist freie Software. Man kann es rein rechtlich und nüchtern per Definition betrachten. In der Auseinandersetzung um die Luca-App hat das auch eine größere Öffentlichkeit erreicht. Open Source ist sachlich betrachtet erst mal nur offener Quellcode, den man einsehen kann. Die Lizenz kann trotzdem proprietär sein. Freie Software ist hingegen offener Quellcode und eine freie Lizenz. Zur besseren Unterscheidung gibt es den Begriff FOSS: Free and Open Source Software. Seltener auch als FLOSS, also Free/Libre Open Source Software bezeichnet.

Kurzum: Alles was unter einer freien Lizenz steht und den Quelltext frei zur Verfügung steht, ist Open Source Software. Bleibt man nahe an dieser Definition, ist es nur ein rechtlicher Vorgang, ob eine freie Lizenz gewählt wird und es kann unmöglich ein Urteil darüber getroffen werden, ob irgendetwas „Open Source“ schadet. Abgesehen von einer Verletzung der Lizenz natürlich. Hier könnte man den Artikel nun beenden.

Das greift aber zu kurz. Open Source steht auch für eine Gemeinschaft und ein Konzept. Ganz wesentlich hat dies in der öffentlichen Wahrnehmung die Entwicklergemeinschaft um den Linux-Kernel geprägt. Eine Gemeinschaft aus Individuen erschafft gemeinsam eine lauffähige Software, die dann frei verfügbar ist. Potenziell kann jeder dazu beitragen und die Software besser machen.

Dieses Konzept und diese Idee hat sich im Laufe der Zeit einen guten Ruf erarbeitet. Freie Software gilt erst mal als etwas Positives und Entwickler, die dazu beitragen, bekommen dasselbe Sozialprestige wie bei anderen Ehrenämtern auch. Dasselbe gilt für Firmen im Open Source-Umfeld.

Und hier kommt Google ins Spiel: Was ist, wenn eine Firma sich dieses Images bedient, den Gedanken bis zur Unkenntlichkeit aushöhlt und die Community mit überlegenen finanziellen Ressourcen ruhig stellt. Gleichzeitig unterwandert sie das Ökosystem bis zur Dysfunktionalität. Denn genau das tut Google.

Als Vergleich lohnt sich ein Blick auf Microsoft und Apple. Insbesondere der Konzern aus Redmond hat ja in den letzten Jahren eine umfassende Open Source Strategie aufgebaut. Die meisten dürften sich z. B. an die Übernahme von GitHub oder die Offenlegung von .NET erinnern. Inzwischen kann man sogar Linux als Subsystem installieren. Trotzdem würde sich kein Microsoft-Manager hinstellen und beispielsweise bei der Ankündigung von Windows 11 irgendwo von einem „freien System, das die Welt besser macht“, sprechen.

Das Gleiche gilt für Apple. Dabei sind seine Betriebssysteme tief im Kern Open Source. Das betrifft nicht nur Darwin, sondern auch viele andere Bestandteile und großzügige Übernahmen aus dem BSD-Universum. Ein Gutteil von macOS (und iOS) steht unter freien Lizenzen. Trotzdem stellt sich kein Apple-Manager hin und behauptet, Apple wäre eine tolle Open Source Company. Da wirft man lieber mit tausend anderen Superlativen um sich.

Anders ist das bei Google. Als Beispiel kann die Darstellung der Geschichte von Android dienen. Mithin das wichtigste Produkt von Google neben der Suchmaschine:

2007

Steve Jobs stellt das erste iPhone vor. Im gleichen Jahr gründet Google gemeinsam mit 33 Partnern aus der Mobilfunkbranche, darunter Samsung, HTC und T-Mobile, die »Open Handset Alliance«. Die Mission: mit Android ein offenes Betriebssystem zu schaffen, das jeder Hersteller und Entwickler kostenlos verwenden und anpassen kann.

Geschichte von Android, abgerufen am 17.09.2021

Das ist ein tolles Beispiel, weil es die Mechanismen von Googles Darstellung zeigt. Ein weiteres Beispiel ist die Open Source Landingpage von Google. Man schafft etwas freies, offenes, kostenloses, mit vielen Partnern und macht die Welt ein bisschen besser. Auch du als Programmierer oder Kunde willst Teil davon sein.

Den Lesern dieses Blogs brauche ich vermutlich nicht erzählen, was für ein Quatsch das ist. Die Open Handset Alliance existiert nur auf dem Papier, faktisch entwickelt Google Android alleine. Die Hersteller werden z. B. mit lukrativen Knebelverträgen verpflichtet, Android mit dem proprietären Google-Ökosystem auszuliefern. Die Kunden in der westlichen Welt wollen Android nur in der Google-Variante. Huawei musste das gerade schmerzlich erfahren.

Und hier nähern wir uns dem Kern des Problems an. Google macht viel mit Open Source, aber die Basis des Geschäftsmodells ist die Bündelung mit proprietären Google-Diensten. Alles was Google am Ende an den Verbraucher bringt, ist letztlich eine Kombination aus Open Source und proprietären Bestandteilen. Weder bei Android noch bei Chrome oder dem neuen Projekt Fuchsia gibt es eine Kooperation mit der Community. Google entwickelt und schmeißt den Quellcode der Community vor die Füße. Das unterscheidet sich nahezu gar nicht von der Art, wie Apple Darwin veröffentlicht. Die Community kann dann schauen, was sie damit macht. Bei Android hat die famose Custom ROM-Szene ein lauffähiges freies Android entworfen, auf Basis des Chrome-Quellcodes sind viele Browser entstanden und mal sehen, was Fuchsia so bringt. Bei ChromeOS hat man erst die Gemeinschaft entdeckt, als man merkte, dass man mit reinen WebApps nicht weiter kommt. Die maschinelle Übersetzung auf Googles Seite ist verblüffend ehrlich:

Linux ist eine Funktion, mit der Sie Software auf Ihrem Chromebook entwickeln können.

Chromebook Hilfe, abgerufen am 17.09.2021

Dass ChromeOS ein angepasstes Linux ist und ohne die Community nicht denkbar wäre wird mit keinem Wort auf der gesamten Seite erwähnt.

Gleichzeitig gerät die Gemeinschaft in eine massive Abhängigkeit von Google. Ich glaube, dass die Existenz von Android ein Grund ist, warum lange kein freies Linux-Smartphone entwickelt wurde und die Projekte noch immer in den Kinderschuhen stecken. Es gab ja bereits ein „Linux-Betriebssystem für Smartphones“. Ganz offenkundig ist es mit Chrome. Die Existenz von Chromium hat viele Projekte dazu gebracht, auf den Google-Vorarbeiten aufzusetzen. Qt hat gar sein eigenes WebKit eingestampft und ist auf Chromium gewechselt. Doch was passiert, wenn Google Chrome morgen aufgibt oder mit Fuchsia sich von den Linux-Wurzeln löst?

Die FOSS-Community wird gleichzeitig mit Projekten wie GSoC ruhig gestellt. Nachwachsende Generationen von Programmierern werden gleich mit einer positiven Einstellung zu Google herangezogen (bei Journalisten macht Google das übrigens genau so) und die OSS-Projekte sind viel zu knapp an Ressourcen, um sich den Avancen von Google zu widersetzen.

Sind Firmen wie Microsoft oder Apple besser? Nein, aber sie sind ehrlicher. Sie behaupten nicht, freie Software zu entwickeln und wenn sie es machen, stellen sie es nicht so extrem ins Schaufenster. Es sind proprietäre Firmen und es gibt mit der FOSS-Gemeinschaft etablierte Verfahren der Koexistenz. Wenn Apple Darwin morgen einstampft, ist das für den Fortbestand von FOSS unkritisch, mit Abstrichen würde das auch für den fiktiven Fall gelten, dass Microsoft GitHub abschaltet.

Wenn Google morgen jedwedes Engagement für FOSS einstellt, dürfte das anders aussehen. Und die Abhängigkeit wird jedes Jahr größer.

Und bei dieser Betrachtung haben wir noch nicht mal in den Blick genommen, dass die FOSS-Gemeinschaft mit einer Firma ins Bett steigt, deren Geschäftsmodell die vielleicht größte Bedrohung für die Privatsphäre und den Datenschutz der Menschen in der westlichen Welt (neben den Aktivitäten staatlicher Stellen) darstellt.

Von „Don’t be evil“ hat Google sich ja wohlweislich vor einiger Zeit verabschiedet.

Der Artikel Warum Google für FOSS gefährlich ist erschien zuerst auf [Mer]Curius

Srain – Moderner Gtk3-basierter IRC Client

15. September 2021 um 12:58
Von: Gerrit

IRC ist ein wenig aus der Mode gekommen, aber wird in der FOSS-Welt immer noch rege genutzt. In meiner Desktop-Vorstellung hatte ich über HexChat geklagt. Daraufhin hat mir ein Leser Srain empfohlen. Den Tipp möchte ich euch nicht vorenthalten.

KDE hat mit Konversation wirklich eine tolle Lösung. Bei GNOME gibt es Polari aber das unterstützt nicht mal eine ordentliche Authentifizierung. Bleibt nur HexChat, der gute alte Gtk2-Dinosaurier. Dachte ich jedenfalls. Mit Srain steht jedoch ein moderner Gtk3-basierter Client ohne direkte GNOME-Anbindung zur Verfügung.

Authentifizierung über NickServ oder SASL wird unterstützt und das ist wirklich die einzige für mich absolut essenzielle Funktion. Ansonsten ist der Client funktional eher schmal ausgestattet, aber wird aktiv gepflegt. In dem Software-Bereich durchaus ein hervorzuhebender Aspekt.

Die Optik mit den Sprechblasen, wie man sie von modernen Messengern kennt, ist ein wenig gewöhnungsbedürftig, aber ansonsten erledigt Srain seine Aufgabe tadellos.

Ob Srain auch für Poweruser reicht, kann ich nicht beurteilen. Aber gibt es die für IRC überhaupt noch?

Der Artikel Srain – Moderner Gtk3-basierter IRC Client erschien zuerst auf [Mer]Curius

Manjaro ersetzt Firefox – Beginn einer Lawine?

12. September 2021 um 17:40
Von: Gerrit

Die beliebte Distribution Manjaro ersetzt in der Cinnamon-Variante Firefox als Standardbrowser durch den Chromium-Fork Vivaldi. Das kündigte der Browser-Hersteller vor einigen Tagen an. Kommt nun eine Lawine ins Rollen?

Linux gehört zu den letzten Refugien für Firefox. In allen anderen Bereichen ist der freie Browser bereits massiv unter Druck geraten oder hat – wie im mobilen Segment – nie ernsthaft Fuß fassen können. Wie bedenklich diese Entwicklung ist, wurde hier vor Kurzem bereits thematisiert.

Natürlich kann die Abkehr in einer Manjaro-Variante ein singuläres Ereignis bleiben. Frühere Entscheidungen, wie z. B. die Option SoftMaker Office anstelle von LibreOffice zu wählen, haben zwar viel Aufsehen erregt, aber wenig Nachahmer gefunden.

Es steht aber zu befürchten, dass das dieses Mal anders sein könnte. Viele Entwickler sind eng mit dem Google-Ökosystem verbandelt. Durch finanzielle Förderung oder intensive Nutzung der Dienste. Viele Anwender installieren schnell nach der Ersteinrichtung Chrome oder Chromium nach.

Während die Distributoren auf veränderte Nutzungsgewohnheiten normalerweise schnell reagieren, haben sie hier erstaunlich lange an Firefox festgehalten. Umso mehr steht nun zu befürchten, dass die Distributoren dieser Entwicklung Rechnung tragen und die Standardauswahl ändern. Auf die kleine aber beliebte Distribution Manjaro könnten andere wichtigere Distributoren folgen.

Vivaldi ist letztlich nur ein Chromium-Fork und ohne Googles Entwicklungsleistung nicht lebensfähig. Ob Manjaro nun zu Vivaldi oder direkt zu Chromium wechselt ist für die Bewertung daher völlig bedeutungslos. Der Markt ist klar aufgeteilt: Es gibt nur noch Firefox oder die Google-Browser mit verschiedenen Brandings.

Die Zeiten werden nicht einfacher. Weder für Firefox noch für Datenschutz und Privatsphäre im Netz und ein freies Internet allgemein.

Der Artikel Manjaro ersetzt Firefox – Beginn einer Lawine? erschien zuerst auf [Mer]Curius

App-Hinweis: WebDAV App auf F-Droid

12. September 2021 um 17:25
Von: Gerrit

Google unterstützt freie und offene Schnittstellen in seinem Betriebssystem Android überhaupt nicht, um die Anwender an die eigenen Dienste zu fesseln. Die Community kompensiert dies mit eigenen Apps. Nun gibt es auch endlich eine freie WebDAV App.

Bei Apple rufen immer alle „Goldener Käfig“ (was selbstredend totaler Quatsch ist), aber bei Google schaut keiner so genau hin. Kein Wunder, hat Google doch konsequent die FOSS-Community unterwandert und korrumpiert. Dabei unterstützt Googles Android freie und offene Schnittstellen wie CalDAV, CardDAV oder eben auch WebDAV viel schlechter als Apples Betriebssysteme.

Die Motivation dahinter ist klar: Man möchte die Anwender im eigenen Dienste-Universum halten und hat kein Interesse, Schnittstellen zu implementieren, an denen andere Dienstanbieter andocken können.

Um Kontakte und Kalender zu synchronisieren, greifen die meisten Privatsphäre- und Datenschutz-bewussten Anwender auf DAVx5 zurück. Daran hat man sich schon so sehr gewöhnt, dass diese Leerstelle im Basis-System den meisten Anwendern gar nicht mehr bewusst ist. Leider unterstützt die App keinen Dateiaustausch via WebDAV.

Im lokalen Netz ist das egal, weil hier mit SMB oder NFS bessere Netzfreigaben zur Verfügung stehen. Anders sieht es beim Zugriff über das Internet aus. WebDAV ist zwar langsam und bietet keine Synchronisation, es ist aber vor allem für gelegentliche Cloud-Verbindungen praktischer als ein vollwertiger Sync-Client.

Im Google Play Store gab es immer ein paar mehr oder minder gute Apps für WebDAV, aber bei F-Droid gab es überhaupt kein entsprechendes Angebot.

Diese Leerstelle ist nun endlich geschlossen. Mit RCX existiert nun ein RClone auf F-Droid. Es ist letztlich eine Dateimanager-App, die eine Vielzahl an Clouddiensten anbinden kann, unter anderem eben auch WebDAV. Die Daten in verbundenen Cloud-Speichern können dabei auch in ein lokales Verzeichnis synchronisiert werden.

Der Artikel App-Hinweis: WebDAV App auf F-Droid erschien zuerst auf [Mer]Curius

Mein Linux-Desktop

12. September 2021 um 13:35
Von: Gerrit

In diesem Blog schreibe ich über viele Themen, die Privatsphäre, Sicherheit und freie Software tangieren. Mir ist aufgefallen, dass ich aber noch nie über mein persönliches Desktop-Setup geschrieben habe. Das soll hiermit nachgeholt werden.

Ein paar Einblick in mein Nutzungsverhalten gebe ich traditionell am Ende des Jahres in der Artikelserie „Wasser predigen, Wein trinken?„. Dort geht es allerdings über alle Endgeräte und Dienste und nicht nur über den Desktop. Heute möchte ich deshalb ein bisschen über mein persönliches Setup schreiben und warum das so ist.

Ich freue mich über solche Artikel auch in anderen Blogs immer, weil man da oft auf spannende Tools und Lösungen trifft, die man vorher nicht auf dem Schirm hatte.

Hardware, Distribution und Konfiguration

Ich habe viele Jahre mit einem Notebook und einem stationären Desktop-PC gearbeitet. Im letzten Jahr bin ich unter die Wochenendpendler gegangen und musste schnell feststellen, wie unpraktisch so ein Setup ist. Man hat immer die notwendigen Daten auf dem Gerät, an dem man gerade nicht sitzt. Die Hardware war zum Glück sowieso reif für einen Austausch und somit stieg ich im Winter wieder auf ein Notebook als alleiniges Gerät um. Die Wahl fiel auf ein HP EliteBook. Mit diesem bin ich sehr glücklich und kann die Reihe allen ans Herz legen, die gerne ein solides Business-Gerät haben möchte, aber mit ThinkPads fremdeln. Mittels einer USB-C Docking-Station wird das Notebook am Schreibtisch dann zu einem vollwertigen Arbeitsplatzrechner.

Als Distribution ist seit vielen Jahren openSUSE meine erste Wahl. Momentan in der Tumbleweed-Variante, weil auch die aktuelle Leap-Version wegen des alten Kernels meine Hardware nicht optimal unterstützt. Bei der Entscheidung für openSUSE spielen natürlich subjektive Präferenzen eine Rolle. Ich mag die manchmal eigenwilligen Entscheidungen und die Idee etwas voranzubringen, wie z. B. der frühe Einsatz von btrfs mit der tollen Snapshot-Lösung. Dadurch bietet openSUSE wirkliche Mehrwerte gegenüber anderen Distributionen. Es gibt aber auch ein paar harte Fakten. Im Gegensatz zu vielen Hobby-Distributionen unterstützt openSUSE SecureBoot vorbildlich und bietet mit Trusted Boot in Kombination mit dem TPM interessante weitere Entwicklungsmöglichkeiten.

Vermutlich ist es unnötig zu erwähnen, dass das System natürlich komplett mit LUKS verschlüsselt ist. Allerdings mit einem traditionellen Setup ohne verschlüsselte Boot-Partition, weil ich wirklich zu wenig Geduld für die >30 Sekunden Denkpause von GRUB habe. Hier möchte ich demnächst mal mit den neuen Möglichkeiten von systemd für TPM und FIDO experimentieren.

Desktop und Programme

Seit ich 2007 zu Linux kam, habe ich immer mit KDE gearbeitet. Hier und da mal ein Blick über den Tellerrand, aber letztlich immer wieder zurückgekehrt. Das hat sich inzwischen geändert.

Mich haben nicht die vielen Fehler oder das Gefühl auf einer Dauerbaustelle zu arbeiten vertrieben, sondern die Usability. KDE hatte immer viele Optionen und das ist gut so, aber je mehr Einstellungsmöglichkeiten, desto wichtiger wird eine konsistente UX. Wenn alle Programme ähnlich funktionieren, ist das schon die halbe Miete. Was das bei KDE früher bedeutete, kann man heute noch bei Kontact beobachten. Ja, das sind viele Optionen, aber sie in Rubriken und Reiter aufgeteilt und diese Einstellungsdialoge sahen mal bei jeder KDE-Komponente gleich aus. Heute herrscht da nur noch Wildwuchs, von ein paar Hobby-Designern in der VDG wahllos zusammen gefügt. Die Systemeinstellungen sind eine krude Mischung aus alten Elementen, neuen mobilen Varianten und irgendwelchen hineinfahrenden Dialogen. Buttons kleben irgendwo und Mauswege hat sie noch nie jemand angeguckt. Wegen eines Fehlers mit der Wayland-Session musste ich zuletzt häufiger mal den SDDM-Autologin konfigurieren. Das ist eine irrsinnige verschachtelte Konstruktion, die Microsoft in Windows 10 nicht schlechter hätte umsetzen können. Das neue KHamburger-Menü löst die alten Menüs ab, aber nicht so richtig, weil man alle Elemente in das Menü integriert. In den macOS-Jahren habe ich gute UX zu schätzen gelernt, dieses stümperhafte Chaos habe ich einfach nicht mehr ertragen.

Ich habe dann tatsächlich mal ein paar Wochen GNOME probiert. Leider ist die Idee der GNOME-Entwickler von einer guten Desktop-Experience das genaue Gegenteil meines Workflows. Ich brauche circa 8-10 Extension, um mit GNOME arbeiten zu können. Das bricht dann bei jeder neuen GNOME-Version zusammen, weil die Entwickler erklärtermaßen keine Rücksicht auf die Extensions legen. MATE ist zwar nett und mit Plank auch sehr funktional zu nutzen, aber so ein paar grafische Effekte mag ich dann doch haben.

Statt GNOME bin ich dann bei der Pantheon Shell gelandet. Wie ich schon häufiger schrieb, finde ich die Pantheon Shell das bessere GNOME. Allerdings nicht mit elementary OS, sondern in Form der OBS-Pakete. Das ist nicht optimal und würde ich Dritten wohl auch nie empfehlen, aber für mich funktioniert es aktuell am besten. Alternativ kann man die Pantheon Shell auch mit Arch Linux und Fedora nutzen. Beide Distributionen haben sie in den Paketquellen.

Folgende Programme nutze ich auf dem Desktop:

AufgabeProgramm
OfficeSoftMaker Office 2021
ScannenVuescan
Finanzenmoneyplex
DokumentenbetrachterEvince
PDF-BearbeitungPDF Arranger
BildbearbeitungGIMP & Image Optimizer
BildbetrachterPantheon Photos
NotizenSynology Notes & Minder
CloudSynology Drive
BrowserFirefox & Tor Browser Bundle
FeedreaderLiferea ohne Synchronisation
E-Mail, Kontakte und TerminorganisationEvolution
IRCHexChat
AufgabenPantheon Tasks
FTPFilezilla
MusikPantheon Music
VideoPantheon Video
EditorCode
VirtualisierungVirtualBox
PasswortverwaltungKeePassXC
NavigationGNOME Maps
SonstigesPantheon Terminal; Pantheon Files; Pantheon Screenshots; Pantheon Calculator; Catfish

Ich arbeite traditionell streng Aufgaben-orientiert. An irgendwelchen Programmen festzuhalten, die für KDE entwickelt wurden und diese unter einer anderen Desktopumgebung zu nutzen, mag theoretisch klappen, funktioniert aber meist nicht gut. Deshalb verwende ich unter jedem Betriebssystem und jedem Desktop die dazu passenden Programme.

Der Vorteil an der Pantheon Shell ist, dass man sich ziemlich viel im GNOME-Ökosystem bedienen kann. Die Qualität der Gtk/GNOME-Programme ist durchschnittlich höher als der Qt/KDE-Pendants. Beispielsweise wenn man Kontact mit Evolution vergleicht. Andere Programme wie GNOME Maps sind viel fokussierter als Marble. Mit Marble kann man theoretisch ganz viel machen, praktisch habe ich es nur als OpenStreetMap-Oberfläche gebraucht und alle anderen Funktionen haben meinen Workflow gestört.

Kern meiner Organisation ist eine stabile PIM-Suite, hierbei ist vor allem die Integration mit einem Synology NAS wichtig, über das ich Kontakte-, Kalender- und Dateisynchronisation vornehme. Das klappt mit Evolution hervorragend und weil Pantheon sowieso auf den Evoluton Data Server zurückgreift, integriert sich Evolution auch in die Shell. Evolution unterstützt nebenbei mit Offline-IMAP und PGP (sofern ich doch mal eine verschlüsselte E-Mai versende oder empfange) zwei Nice-to-have Features.

Die Anwendungen des elementary Projekt nutze ich abgesehen von der Pantheon Shell nur sehr ausgewählt, weil diese oft nicht ausgereift sind. Aufgaben („Tasks“) ist eine wirklich nette Aufgabenverwaltung für CalDAV-Konten, Screenshots, Terminal und Taschenrechner tun ihren Dienst. Bei Musik und Video bin ich so anspruchslos auf dem Desktop, dass es die minimalistischen elementary-Programme für mich tun.

Backups erfolgen auf verschlüsselte externe Platten und mein NAS. Dazu nutze ich rsync oder irgendein Frontend für rsync (LuckyBackup oder Grsync) und bin somit vollständig unabhängig von der Desktopumgebung. Eventuell stelle ich hier doch noch irgendwann auf Deja-Dup um, aber das ist noch nicht entschieden.

Bei virtuellen Maschinen bin ich total faul. VirtualBox mag nicht hip sein und man kann aus Qemu, KVM usw. vielleicht mehr Performance raus kitzeln, aber VirtualBox ist idiotensicher. 3-4 Klicks und meine VM läuft. Egal ob Windows oder irgendein Linux.

Eine großer Verlust beim Wechsel aus dem KDE-Lager in alternative Ökosysteme ist der Verzicht auf Dolphin. Meiner Meinung nach der beste Dateimanager überhaupt. Nicht nur für Linux, sondern auch im Vergleich mit allem was Windows und macOS zu bieten haben. HexChat ist im Vergleich zu Konversation auch eine ziemliche Krücke, aber so selten, wie ich noch im IRC bin, reicht es aus.

Vielleicht haben ja auch andere mal Lust über ihr Setup zu bloggen oder zu kommentieren.

Der Artikel Mein Linux-Desktop erschien zuerst auf [Mer]Curius

WhatsApp – Das Problem ist nicht die Verschlüsselung

08. September 2021 um 21:22
Von: Gerrit

Werden WhatsApp-Nachrichten gemeldet, gelangen diese im Klartext an Facebook. Daraus kann man auch Story machen, aber muss man auch wirklich? Die Probleme liegen doch ganz woanders.

Aktuell verweisen gerade viele auf eine ProPublica Recherche zu WhatsApp. Im Kern geht es dort um die Moderationspraxis des Messengers. Brisante Neuigkeit? Die Moderatoren sind armes, schlecht bezahlte und überarbeitete Menschenmaterial. Hat man von Facebook wirklich was anderes erwartet? Wie so oft interessieren die Arbeitsbedingungen die meisten sowieso nur am Rande. Am Ende denkt jeder vor allem an sich und an seine verschickten Nachrichten. Dabei gilt grundsätzlich: WhatsApp verschickt Inhalte Ende-zu-Ende verschlüsselt.

Die Recherche von ProPublica ergab: Wenn ein Kommunikationspartner diese Inhalte meldet, landen sie im Klartext bei Facebook. Das ist jetzt nicht wirklich überraschend und auch nicht wirklich problematisch, weil es voraussetzt, dass ein Kommunikationspartner die Inhalte durch Meldung offen legt. Man hat ja sowieso keinen Einfluss darauf, was andere mit den verschickten Nachrichten, Bildern, Sprachnachrichten usw. machen.

Eva Galperin von der EFF kritisiert deshalb zu recht die Berichterstattung auf Twitter:

Das wirkliche Problem bei WhatsApp sind nicht die Nachrichteninhalte, sondern die Metadaten. Das betont auch netzpolitik.org im dortigen Artikel zur WhatsApp-Recherche von ProPublica. Die Verschlüsselung tut was sie soll, was die einzelnen Kommunikationspartner mit den Nachrichten machen, entzieht sich der Kontrolle von WhatsApp bzw. Facebook. Das Problem bei WhatsApp sind die Metadaten und was Facebook aus den potenziell alles herauslesen kann. Zumal weil Facebook diesen Datensatz mit vielen anderen Daten verknüpfen könnte.

Ich persönlich nutze sehr gerne Threema, aber muss leider zur Kenntnis nehmen, dass Signal Threema den Rang abgelaufen hat. Ansonsten freut mich der gegenwärtige Erfolg von Signal ungemein. Seit dem PR-Debakel von WhatsApp mit den Nutzungsbedingungen im Winter tröpfelt langsam aber stetig ein Strom von Kontakten in meine Signal-Kontaktliste. Inzwischen erzeugt das eine eigene Sogwirkung und Leute wechseln tatsächlich zu Signal, weil dort alle andere sind und die wichtigen Gruppen betrieben werden. Wer hätte das vor 12 Monaten für möglich gehalten?

WhatsApp ist bei mir inzwischen eher so was wie die SMS. Haben halt alle und man kann mich dort eben auch noch kontaktieren. Bis auf wenige Ausnahmen spielt sich bei WhatsApp somit auch nur noch die Gelegenheitskommunikation ab.

Der Artikel WhatsApp – Das Problem ist nicht die Verschlüsselung erschien zuerst auf [Mer]Curius

Das BKA erwarb Pegasus von NSO

07. September 2021 um 19:13
Von: Gerrit

Vor knapp zwei Monaten habe ich hier schon mal auf das Pegasus Projekt verwiesen. Heute gab es dann quasi als Nachschlag noch die Meldung, dass auch das BKA zu den Kunden der NSO Group gehörte.

Die Bundeskanzlerin Merkel fand damals mal wieder sinngemäß, dass so etwas gar nicht geht. Unter Freunden und so. Ihr erinnert euch. Da kannte sie vermutlich das brisanteste Detail noch nicht. Das Bundeskriminalamt gehört auch zu den Kunden der NSO Group. Nachdem der eigene Staatstrojaner nicht funktionierte oder zumindest nicht wie gewünscht funktionierte, orderte man bei den Experten aus Israel. Diese – angeblich – abgespeckte Version hat man bereits mehrfach eingesetzt.

Ob der Einsatz von Pegasus – ob funktional beschnitten oder nicht – legal ist, darf man getrost bezweifeln. Das BKA hat sich sicher nicht umsonst entschieden, den Innenminister im Dunkeln zu lassen und auch sonst sicher nicht zufällig darauf verzichtet andere Behörden in größerem Stil von der Erwerbung zu unterrichten. Im Zweifel fehlt dem BKA vermutlich sogar die IT-Kompetenz, um den Funktionsumfang der erworbenen Software wirklich zu verstehen und die Legalität fundiert zu bewerten.

Für das BKA kommt die Enthüllung genau zum richtigen Zeitpunkt. In der Regierung herrscht nicht erst seit dem Afghanistan-Debakel ein Klima unkontrollierter Verantwortungslosigkeit, auch sonst dämmern viele Minister und die Kanzlerin nur noch ihrer (un-)freiwilligen Pensionierung entgegen. Der Bundestag hatte heute seine letzte (ir)reguläre Sitzung und bis das Parlament in der nächsten Legislaturperiode zusammen tritt und die vielfach neuen Abgeordneten sich eingefunden haben, sind Pegasus und das BKA schon Schnee von gestern.

Bestenfalls wechselt man symbolisch die Firma. Man kann ja auch die heimische Wirtschaft stärken. In München sitzt da ein geeigneter Kandidat.

Der Artikel Das BKA erwarb Pegasus von NSO erschien zuerst auf [Mer]Curius

ProtonMail zwischen Versprechen und Gesetzen

07. September 2021 um 18:21
Von: Gerrit

Die Einschläge bei ProtonMail kommen jetzt wirklich häufig. Zuerst die Geschichte mit dem Drohschreiber in den USA, nun gab man die IP-Adresse eines radikalen Klimaaktivisten heraus. Im Spannungsfeld von Werbeversprechen und Gesetzen hat man sich nun verheddert.

Grundsätzlich ist das erst mal nicht so dramatisch. ProtonMail hat einen Firmensitz und ist halt nicht auf dem Mond (wobei Weltraumtheorien in dem Segment durchaus in Mode sind) sondern in einem Land. Dieses Land ist die Schweiz. Das ist für Datenschutz und Privatsphäre weder besonders gut noch besonders schlecht.

Allerdings hat man den Dienst anders beworben. Das Internet vergisst nichts und weiß deshalb zu berichten, dass ProtonMail noch vor wenigen Tagen mit „Anonymous Email“ warb. Heute steht an derselben Stelle nur noch „Your data, your rules“ mit dem Verweis auf die offizielle Onion-Seite.

Das Problem dabei ist, dass es mir auch bei einem heutigen Test nicht möglich war, wirklich anonym ein Konto anzulegen. Denn während des Registrierungsvorgangs werde ich vom Onionservice auf die normale Adresse weitergeleitet. Zudem möchte ProtonMail an einem bestimmten Punkt eine Verifizierung durchführen, ob ich ein Mensch bin und dafür möchte es eine Mobilfunknummer. Nur gibt es zumindest in der EU keine anonymen SIM-Karten und somit auch keine anonymen Telefonnummern.

Das macht ProtonMail zu keinem schlechten Provider. Das Unternehmen wehrt sich ähnlich wie Posteo gegen unzulässige Auskunftsersuchen und verkauft (hoffentlich) nicht wie viele andere Provider Nutzerdaten. Nur ist es ein schlechter Mailprovider, wenn man anonym kommunizieren möchte. Hier teile ich die Einschätzung des Kollegen auf Privacy-Handbuch dezidiert nicht.

Ansonsten plädiere ich für weniger Dramatisierung des Falls. ProtonMail sitzt in der Schweiz und die Schweiz ist ein Rechtsstaat. ProtonMail wird also nur Daten herausgeben müssen, wenn Schweizer Recht verletzt wird. Morddrohungen, Diebstahl, Sachbeschädigung und Hausfriedensbruch gehören da wenig überraschend dazu.

Ein bisschen mehr Ehrlichkeit bei der Bewerbung des Dienstes wäre halt klug gewesen. Nur fraglich, ob man dann so eine Popularität und so viele zahlende Kunden erworben hätte.

Der Artikel ProtonMail zwischen Versprechen und Gesetzen erschien zuerst auf [Mer]Curius

❌