Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeHaupt-Feeds

AWS spart 30 Prozent Speicherplatz dank Zstd

23. August 2022 um 08:48

Durch den Wechsel auf eine neue Komprimierung konnte AWS den Speicherplatzbedarf im Exabyte-Bereich reduzieren.

Mit dem Wechsel des Kompressionsalgorithmus von Deflate in Gzip auf Zstd habe der Cloud Hoster AWS eine Reduktion des Speicherplatzbedarfs für komprimierte S3-Speicher um 30 Prozent senken können. Das berichtet der ehemalige Vice President für Nachhaltigkeit bei dem Unternehmen, Adrian Cockcroft, auf Twitter. Diese Einsparung bewege sich im Exabyte-Bereich, heißt es weiter.

Das Kompressionsverfahren Zstd, kurz für Zstandard, stammt ursprünglich von Yann Collet, der dieses bei Facebook erstellt hat. Zstd verspricht eine ähnlich hohe Kompressionsrate wie das bislang gängige Zlib, soll aber eine deutlich schnellere Kompression und Dekompression ermöglichen. Im Vergleich zu Lzo soll hingegen die Kompressionsrate von Zstd höher sein. Die Technik nutzt teilweise eine Variante des Kodierungsverfahrens Asymmetric Numeral Systems (ANS), dessen Verwendung in der Vergangenheit zu Patentstreits führte, da der Erfinder das System eigentlich freihalten möchte.

Facebook nutzte Zstd zuerst für das Dateisystem Btrfs und die Technik wanderte bald nach der Erstellung standardmäßig in den Linux-Kernel. Inzwischen nutzen weitere Teile des Kernels ebenfalls Zstd, einige Linux-Distributionen nutzen die Technik für ihre Pakete und das in vielen Linux-Distributionen standardmäßig als Pack- und Archivierungsprogramm verwendete Tar des GNU-Projekts unterstützt ebenfalls Zstd.

Über die Einsparungen bei AWS dank Zstd schrieb Cockcroft als Antwort auf die Frage des Elektroingenieurs Dan Luu, wie viel Müll wohl durch Collet und dessen Erstellung von Zstd habe vermieden werden können. Für Twitter spare die Nutzung von Zstd im Jahr demnach einen mittleren achtstelligen Betrag an Kosten ein, schreibt Luu. Im dem geschilderten Fall von AWS dürfte der Betrag noch deutlich größer sein.

Der Beitrag AWS spart 30 Prozent Speicherplatz dank Zstd erschien zuerst auf Linux-Magazin.

Alibaba erstellt Entwicklungsplattform für RISC-V-SoCs

29. August 2022 um 07:28

Mit der Plattform Wujian 600 hat das Unternehmen bereits ein eigenes RISC-V-SoC erstellt. Das sollen nun auch andere können.

Das vor allem als Cloudhoster bekannte chinesische Unternehmen Alibaba hat eine Entwicklungsplattform für SoCs mit der freien Befehlssatzarchitektur RISC-V angekündigt. Die Plattform mit der Bezeichnung Wujian 600 solle das Erstellen der Chips “effizient” und “kostengünstig” ermöglichen, heißt es in der Ankündigung. Damit erstellte Chips seien etwa für Edge-KI gedacht.

Wujian 600 stammt von der hauseigenen Hardwaresparte T-Head. Die Plattform umfasst den Angaben zufolge vor allem verbesserte CPU-Fähigkeiten, eine heterogene Architektur für hohe Leistungen im Embedded-Bereich sowie einen optimierten Software-Stack. Letzterer wiederum soll dabei helfen, mit der Plattform erstellte Produkte schneller auf den Markt zu bringen.

Um die Leistungsfähigkeit von Wujian 600 zu zeigen, erstellte T-Head damit ein eigenes SoC: TH1520. Das umfasst eine Quadcore-CPU mit Xuantie-C910-Kernen bei bis zu 2,5 GHz Takt, eine NPU 4 TOPs, Speichercontroller für LPDDR4X mit bis zu 4266 MT/s sowie weitere I/O-Schnittstellen und ein Trusted Execution Environment (TEE).

Die genutzten CPU-Kerne präsentierte Alibaba bereits im Jahr 2019 und stellte sie Ende vergangenen Jahres als Open-Source-Design bereit.

Die Plattform Wujian 600 soll so leistungsfähige Chips ermöglichen, dass damit auch Linux-Desktop-Systeme mit Firefox und Libreoffice genutzt werden könnten. Informationen zur Verfügbarkeit oder weitere Details zu der Plattform selbst gab Alibaba nicht bekannt.

Im Github-Repository von T-Head findet sich seit Jahren aber eine Open-Source-Variante der Plattform Wujian 100, mit der Mikrocontroller erstellt werden können. Möglicherweise folgt später also auch die Offenlegung von Wujian 600.

Der Beitrag Alibaba erstellt Entwicklungsplattform für RISC-V-SoCs erschien zuerst auf Linux-Magazin.

FreeBSD-Kernel bekommt experimentelle Rust-Patches

02. September 2022 um 08:20

Die Rust-Arbeiten an Linux zeigen, dass die Sprache auch im Kernel genutzt werden kann. Nun gibt es Experimente für FreeBSD.

Der Entwickler David Young hat experimentelle Patches erstellt, um Kernel-Module für FreeBSD in der Programmiersprache Rust erstellen zu können. Das berichtet Young zusammen mit einer sehr ausführlichen Erläuterung im Forschungsblog des IT-Sicherheitsunternehmens NCC Group.

Motivation der Arbeiten sind dabei die zahlreichen Speicherfehler, die im Zusammenhang mit der Nutzung von C und C++ auftreten, in denen bisher üblicherweise Betriebssystemkernel erstellt werden. Young schreibt dazu: “Es ist allgemein anerkannt, dass ein großer Teil der Sicherheitsprobleme in komplexer Software auf Speichersicherheitsprobleme zurückzuführen ist.” Die Sprache Rust helfe dagegen dabei, bestimmte Fehlerklassen im Zusammenhang mit der Speicherverwaltung vorzubeugen.

Young verweist darüber hinaus auf die Arbeiten am Linux-Kernel, um dort Rust als Sprache neben C zu etablieren. Auch diese Arbeiten sind primär durch die Sicherheitsperspektive motiviert. Das sieht auch Linux-Gründer Linus Torvalds als einen der Hauptvorteile der Arbeiten an. Für FreeBSD habe es bisher bis auf veralteten Beispielcode aber keine Arbeiten in diese Richtung gegeben, weshalb Young diese Arbeit nun wieder aufgenommen habe, schreibt er.

Der so entstandene Code steht nun auf Github bereit. Dabei handelt es sich unter anderem um Rust-Sprachanbindungen für die Kernel-Header von FreeBSD, eine sichere Abstraktionsschicht sowie ein Beispielmodul. Die Abstraktionen seien jedoch nicht so fortgeschritten, wie dies bei Linux der Fall sei, räumt Young ein. Darüber hinaus wünscht sich der Entwickler, dass diese Arbeiten weitergeführt und künftig eventuell auch Kern-Komponenten in Rust erstellt werden. Ob dies aber letztlich geschieht und der Code in den Hauptzweig von FreeBSD aufgenommen wird, ist derzeit noch nicht absehbar.

Der Beitrag FreeBSD-Kernel bekommt experimentelle Rust-Patches erschien zuerst auf Linux-Magazin.

LLVM 15 mit experimentellem DirectX-Support

07. September 2022 um 09:34

Mit LLVM können nun auch GPU-Shader für DirectX kompiliert werden. Außerdem unterstützt die Werkzeugsammlung das neue ARMv9.

Die Compiler-Werkzeugsammlung LLVM ist in Version erschienen, wie das Projekt über sein Forum mitteilt. Neu hinzugekommen ist ein Backend für die Grafikschnittstelle DirectX aus Windows, das Microsoft zu dem Open-Source-Projekt hinzufügte. Noch ist die Unterstützung für das sogenannte DirectX-Target jedoch experimentell und wird nicht standardmäßig mit den Binärdateien verteilt, die das LLVM-Projekt selbst erstellt.

Vor mehr als fünf Jahren stellte Microsoft seinen Compiler für die Shader-Sprache HLSL als Open Source zur Verfügung. HLSL sowie der zugehörige Compiler sind Teil der 3D-Grafikbibliothek DirectX. Das freie Analogon in OpenGL heißt GLSL. Mit Hilfe dieser Shader-Sprachen können 3D-Effekte programmiert werden. Zuvor nutzte Microsoft als Shader-Compiler die Eigenentwicklung Fxc. Der neue Shader-Compiler basiert auf LLVM und das neue Backend unterstützt die der DXIL (DirectX Intermediate Language), die wiederum auf der LLVM IR basiert. Die Arbeiten daran hatte Microsoft im Frühjahr dieses Jahres bekannt gegeben.

Neu hinzugekommen ist außerdem die Unterstützung für die neuen ARM-Architektur-Versionen ARMv9-A, ARMv9.1-A und ARMv9.2-A. Diese Architektur hatte der britische Chip-Designer ARM bereits im Frühjahr 2021 vorgestellt (g+) und erweitert damit die ARMv8-Architektur. Neu hinzugekommen sind dabei mehrere Beschleunigereinheiten und die Architektur soll vom Microcontroller- über den Smartphone- bis hin zum Server-CPU-Kern skalieren. Mit LLVM 15 unterstützt wird zudem die Cortex-M85-CPU, die noch auf ARMv8.1 basiert. Änderungen gibt es außerdem an den Backends für RISC-V und x86.

Für das Compiler-Frontend für C-artige Sprachen, Clang, hat das Team mit LLVM 15 außerdem Techniken umgesetzt, die die Sicherheit damit kompilierter Programme erhöhen soll. So gibt es nun die Möglichkeit, auf x86-Chips bestimmte Register zunächst mit Null zu überschreiben, bevor Werte von einer Funktion zurückgegeben werden. Das soll ROP-Angriffe erschweren. Zudem kann das Layout von Strukturen in C nun zufällig erzeugt werden. Damit soll das Erlangen von Informationen aus den Strukturen durch Angreifer erschwert werden.

Der Beitrag LLVM 15 mit experimentellem DirectX-Support erschien zuerst auf Linux-Magazin.

Retbleed: Linux-Patches verursachen hohe Leistungseinbuße

13. September 2022 um 07:59

Patches gegen CPU-Fehler im Zusammenhang mit spekulativer Ausführung machen Linux-Code langsamer. VMware berichtet nun aber von massiven Leistungseinbrüchen.

Die aktuelle Linux-Kernel-Version 5.19 enthält standardmäßig Patches gegen eine neuartige Variante der Spectre-Lücke, die als Retbleed bezeichnet wird. Unter bestimmten Umständen sorgen diese jedoch für massive Leistungseinbußen, wie sich nun im Test von VMware zeigt. Bei der Art der Sicherheitslücke und den damit verbundenen Gegenmaßnahmen sind Leistungseinbrüche zwar zu erwarten, VMware spricht aber von Verschlechterungen um bis zu 70 Prozent, was durchaus überrascht.

In einer Nachricht an die Mailing-Liste des Linux-Kernels berichtet der VMware-Angestellte Manikandan Jagatheesan davon, dass VMware diese Werte im Rahmen seiner standardmäßigen Tests der offiziellen Versionen des Hauptzweigs des Linux-Kernels erhalten habe. Die Leistung von Linux 5.19 sei dabei im Vergleich zu Linux 5.18 bewertet worden.

Linux-VMs, die auf dem ESXi-Hypervisor von VMware ausführt werden, hätten dabei eine um 70 Prozent geringere Rechenleistung. Zusätzlich dazu sei die Geschwindigkeit des Netzwerks um 30 Prozent reduziert und die Leistung des Festspeichers um 13 Prozent verringert. Laut dem Bericht kann dies direkt auf den Patch zurückgeführt werden, der die Retbleed-Lücke schließt. Ohne den Patch und die Spectre-Vorkehrungen seien die Leistung von Version 5.18 und 5.19 vergleichbar.

 

Die spekulative Ausführung von CPUs ist explizit dazu gedacht, deren Funktionen zu beschleunigen. Seit der koordinierten Veröffentlichung von Informationen zu den Lücken Spectre und Meltdown ist klar, dass Gegenmaßnahmen nicht nur schwierig sind, sondern auch, dass ein konsequentes Vorgehen die Leistung teils massiv drosselt. Doch schon bei den ersten Arbeiten an ursprünglichen Patches zeigten sich Möglichkeiten zur Verbesserung. Ob und inwiefern dies nun auch für die Retbleed-Patches gelten kann, ist derzeit noch nicht abzusehen. Die Daten von VMware könnten aber dafür sorgen, dass auch die Retbleed-Patches verbessert werden.

Der Beitrag Retbleed: Linux-Patches verursachen hohe Leistungseinbuße erschien zuerst auf Linux-Magazin.

Android schickt Verbindungsprüfungen an VPN vorbei

14. Oktober 2022 um 08:05

Trotz der Einstellung, Verbindungen ohne VPN zu blockieren, nimmt Android diese für Verbindungsprüfungen auf. Google verteidigt das Verhalten.

Der kommerzielle VPN-Anbieter Mullvad berichtet in seinem Blog von einem unerwarteten Verhalten von VPN-Verbindungen unter Android. Demnach senden die Geräte unter bestimmten Umständen Teile des Netzwerkverkehrs auch dann an dem VPN vorbei, wenn die Option Verbindungen ohne VPN blockieren in den Einstellungen ausgewählt ist.

Dem Team von Mullvad sei dies bei einem Audit aufgefallen, dessen Ergebnisse noch veröffentlicht werden sollen. Im Blog des Anbieters heißt es: “Wir verstehen, warum das Android-System diesen Datenverkehr standardmäßig senden möchte. Wenn es beispielsweise ein Captive-Portal im Netzwerk gibt, ist die Verbindung unbrauchbar, bis sich der Benutzer dort angemeldet hat. Daher möchten die meisten Benutzer, dass die Captive-Portal-Prüfung durchgeführt wird und ihnen erlaubt wird, das Portal anzuzeigen und zu verwenden.”

Der damit verbundene Netzwerkverkehr könne je nach Bedrohungsszenario aber ein Datenschutzproblem sein. Mullvad hat dies auch im Android-Bugtracker beschrieben und fordert doch eine Änderung der Einstellungen. Nutzer sollten zumindest eine einfache Option erhalten, die Verbindungsprüfungen zu deaktivieren. Dies sei etwa in GrapheneOS möglich.

Das Team von Google bestätigte zunächst, dass die Technik so funktioniere wie vorgesehen. Darüber hinaus würde eine Änderung Nutzer eventuell verwirren und das Verhalten sei für einige Szenarien und Anwendungen wie ein Split-Tunnel-VPN sogar notwendig. Darüber hinaus gäben die Verbindungsprüfungen keine Details preis, die nicht auch aus dem L2-Traffic ersichtlich seien. Eine Änderung wird es in Android also vorerst nicht geben.

Das Team von Mullvad forderte in einem weiteren Bug-Report deshalb, zumindest die offizielle Dokumentation von Android anzupassen und das umgesetzte Verhalten zu beschreiben. Eine Reaktion von Google darauf gibt es bisher noch nicht.

Der Beitrag Android schickt Verbindungsprüfungen an VPN vorbei erschien zuerst auf Linux-Magazin.

Canonical irritiert mit Hinweis auf Ubuntu-Pro-Angebot

17. Oktober 2022 um 08:27

Ubuntu-Nutzer erhalten über die Paketverwaltung Apt einen Hinweis auf das Pro-Angebot von Canonical. Viele kritisieren dies als Werbung.

Der Ubuntu-Sponsor Canonical zeigt seit einigen Tagen über die Paketverwaltung Apt im Terminal einen Hinweis auf das neue Ubuntu-Pro-Angebot an. Das berichten zahlreiche Nutzer unter anderem auf Reddit, Hackernews oder dem Hilfeforum Ask Ubuntu. Der Hinweis wird dabei deutlich als Werbung bezeichnet und das Vorgehen Canonicals entsprechend harsch von Teilen der Community kritisiert.

In der vergangenen Woche hatte Canonical sein Support-Programm mit dem Namen Ubuntu Pro im Rahmen einer Betaversion erstmals auch kostenfrei für die private Nutzung auf bis zu fünf Geräten geöffnet. Bisher stand das Angebot ausschließlich zahlenden Kunden zur Verfügung. Über die Paketverwaltung Apt teilt Canonical seinen Nutzern nun mit: “Testen Sie Ubuntu Pro Beta mit einem kostenlosen persönlichen Abonnement auf bis zu 5 Computern. Erfahren Sie mehr unter https://ubuntu.com/pro”.

Für Canonical und Ubuntu ist es bei Weitem nicht das erste Mal, dass dem Unternehmen von seinen Nutzern vorgeworfen wird, sie erhielten ungewollte Werbung und das Unternehmen setze unlautere Mittel zur Finanzierung ein. Dazu gehört etwa die von Datenschützern kritisierte Integration der Amazon-Suche vor rund zehn Jahren, die sogar als Spyware bezeichnet wurde. Canonical selbst reagierte später vorsichtig auf die Vorwürfe und nahm einige Änderungen an der Funktion vor, bis diese gemeinsam mit Unity aus Ubuntu verschwand. Für Streit sorgte auch das Einwerben von Spenden auf der Ubuntu-Webseite. Die Funktion Message of the Day (Motd) zeigte in der Vergangenheit außerdem mehrfach Medieninhalte beziehungsweise Verweise darauf an, was ebenso kritisiert wurde.

Von der aktuellen Nachricht in Apt betroffene oder gestörte Nutzer behelfen sich in den genannten Foren derweil damit, die Anzeige der Nachricht schlicht durch eine Veränderung der dazugehörigen Konfigurationsdateien zu verhindern. Gründe dazu, warum Canonical die Nachricht über Apt anzeigt, hat das Unternehmen bisher nicht genannt.

Canonical teilt uns zu dem Fall mit: “Dies ist ein Nachrichtenelement, das Canonical verwendet, um relevante Informationen in den Apt-Ausgaben der Benutzer zu teilen. Wir freuen uns jedoch sehr über Feedback und beabsichtigen, einen Weg zu finden, um Nachrichten mit einem einzigen Befehl zu deaktivieren, für diejenigen Benutzer, die diese Art von Text in ihren Apt-Ausgaben in Zukunft nicht sehen möchten.”

Der Beitrag Canonical irritiert mit Hinweis auf Ubuntu-Pro-Angebot erschien zuerst auf Linux-Magazin.

Docker begrenzt Angebot zugunsten des teureren Business-Abos

25. Oktober 2022 um 09:12

Eine versteckt angekündigte Preiserhöhung schränkt günstige Team-Angebote für Docker-Kunden ein.

Nur rund ein Jahr nach einer Neugestaltung seiner Preis- und Lizenzpolitik erhöht der Container-Spezialist Docker seine Preise – allerdings ohne große Ankündigung, sondern lediglich über eine FAQ auf seiner Webseite sowie eine E-Mail an Kunden.

Die erst im vergangenen Jahr eingeführte Lizenz- und Preisvereinbarung für größere Unternehmen, die als Docker-Business-Abo bezeichnet wird, wird dabei nicht nur teurer. Offenbar sollen auch deutlich mehr Unternehmenskunden als bisher in dieses Abomodell gezwungen werden.

Ende August 2021 stellte Docker erstmals das Business-Abo vor, das vorsah, dass Unternehmen, die mehr als 250 Mitarbeiter oder einen Jahresumsatz von mehr als zehn Millionen US-Dollar haben, es zwingend erwerben müssen. Zuvor war die Nutzung von Docker Desktop für alle Entwickler kostenfrei möglich.

Nach den nun vorgestellten Änderungen müssen künftig auch Unternehmen mit mehr als 100 Mitarbeitern ein Business-Abo erwerben. Dieses steigt im Preis von 21 auf 24 US-Dollar (pro Monat und Einzellizenz) – ein Anstieg um rund 14 Prozent. Der Betrag muss jährlich entrichtet werden.

Kunden mit mehr als 100 Angestellten, die bisher auf der günstigere Teams-Abo setzten und wegen der neuen Voraussetzungen in das Business-Abo rutschen, bietet Docker jedoch einen Rabatt über 30 Prozent auf die Gesamtsumme beim Wechsel in das neue Abo bis 31. Dezember 2022 an.

Der Preis für das Teams-Abo wird ebenfalls erhöht: von 7 auf 9 US-Dollar (pro Monat und Einzellizenz) – ein Anstieg um rund 28 Prozent. Die Personal- und Pro-Abos sollen zunächst im Preis unverändert bleiben.

Docker hat eigenen Angaben zufolge bereits bei mehr als 2.000 Kunden im Business-Abo. Diese erhalten zusätzlich zu dem Docker Desktop Zusatzfunktionen wie SSO, SCIM, Zugriffsverwaltung für Images und Registry und mehr. Ob der Anbieter die Kundenzahl durch die neue Preisgestaltung deutlich erhöhen kann, bleibt jedoch abzuwarten. Immerhin gibt es mit Podman und Rancher frei verfügbare Alternativen.

Der Beitrag Docker begrenzt Angebot zugunsten des teureren Business-Abos erschien zuerst auf Linux-Magazin.

Mozilla Ventures: Mozilla will mit Startup-Investments das Internet verbessern

03. November 2022 um 09:35

Die gemeinnützige Mozilla Foundation startet einen eigenen Startup-Investmentfonds. Zunächst stehen 35 Millionen US-Dollar Risikokapital bereit.

Nach zahlreichen Kooperationen, Anschubfinanzierungen, Wettbewerben und Ähnlichem startet die gemeinnützige Mozilla Foundation mit Mozilla Ventures nun offiziell einen Investmentfonds, der speziell auf die Startfinanzierung (Seed-Phase bis Finanzierungsrunde Series A) von Startups ausgelegt ist. Der Risikokapitalfonds wird zunächst mit einer Summe von 35 Millionen US-Dollar ausgestattet. Diese sollen laut Mozilla aber nicht nur investiert werden, um selbst damit Geld zu verdienen, sondern auch, um das Internet so “ein wenig besser” zu machen.

Mark Surman, Geschäftsführer der Mozilla Foundation, erklärt hierzu: “Viele Menschen sind der Meinung, die Tech-Branche habe ihre Seele verloren. Manche halten es sogar für ausgeschlossen, sie zum Positiven verändern zu können. Meine Antwort hierauf lautet: Woher wollen wir das wissen, wenn wir es nicht gemeinsam versuchen? Bei Mozilla Ventures geht es darum, Unternehmen und Produkte zu fördern, bei denen der Mensch und nicht der Profit an erster Stelle steht. Und es geht darum, genügend Firmen und Produkte zu fördern, sodass wir das Internet letztlich zum Besseren wenden können.”

Die Arbeit offiziell beginnen soll Mozilla Ventures zwar erst im kommenden Jahr 2023. Doch schon gibt das Unternehmen Investments in drei Startups bekannt. Dabei handelt es sich um Secure AI Labs (SAIL), die KI- und Sicherheitstechnologie zum Schutz und der besseren Verwaltung von Patientendaten erstellen, die App Block Party, mit der von Cybermobbing Betroffene weiter in sozialen Netzwerken aktiv sein können, sowie Hey Login, einer Swipe-to-Login-Lösung für eine Passwortverwaltung.

Im Frühjahr 2020 hatte Mozilla bereits sein Builders-Programm als eine Art formalen Inkubator für kleine Startups ausgebaut. Das damals schon vorgegebene Ziel beziehungsweise auch Motto des Programms ist “Fix The Internet”, also “Repariert das Internet”. Dem bleibt sich Mozilla nun wohl auch mit dem finanziell deutlich besser ausgestattetem Risikokapitalfonds treu.

Der Beitrag Mozilla Ventures: Mozilla will mit Startup-Investments das Internet verbessern erschien zuerst auf Linux-Magazin.

Thunderbird zeigt neues Kalenderdesign

11. November 2022 um 10:20

Mit einer Veröffentlichung im kommenden Jahr will das Thunderbird-Team den E-Mail-Client gestalterisch komplett überarbeiten.

Das Entwicklungsteam des freien E-Mail-Clients Thunderbird zeigt eine Vorschau auf das neue Aussehen des integrierten Kalenders der Anwendung. Noch handelt es sich dabei nicht um die finale Implementierung, vielmehr sind die veröffentlichen Screenshots Design-Studien und -Pläne (Mock-ups), “die die Richtung der neuen Kalenderoberfläche vorgeben”, wie es in der Ankündigung heißt.

Vor fast drei Jahren kündigten die Macher des Thunderbird an, ihre Entwicklung künftig über ein eigenes Unternehmen weiterzuführen. Darauf aufbauend stellten die Beteiligten dann ihre weiteren Ideen für die Anwendung vor. Die wohl wichtigste Initiative dabei ist die Überarbeitung von UX und UI, die seit mehreren Jahren läuft.

Mockup der neuen Kalenderansicht. Quelle: Thunderbrid

Das Team arbeitete bisher an einigen Detailverbesserungen. Für das kommende Jahr planen die Entwickler dann, Thunderbird “wieder zu erfinden”. Die Veröffentlichung trägt den Codenamen Supernova. Als eine der größten Veränderungen ist die nun vorgestellte Kalenderoberfläche geplant, die weniger Beeinträchtigungen als bisher aufweisen soll. Ausgegebenes Ziel ist es, dass der Kalender “visuell leichter verdaulich” ist. Nutzer sollen sich also besser zurechtfinden können, vor allem, wenn viele Ereignisse eingetragen sind.

Zum Platzsparen sollen etwa Samstage und Sonntage eingeklappt oder direkt ausgeblendet werden können. Die Funktion soll auch auf andere freie Tage angewendet werden können. Zudem soll die Menüleiste möglichst wenige Elemente enthalten. Überarbeiten will das Team aber nicht nur die Hauptansichten für Monat, Woche und Tag, sondern auch Dialoge, Pop-ups, Tool-Tipps und weitere ergänzende Kalenderelemente. Dazu gehört insbesondere die Ereignisansicht, die künftig nur noch einen Klick entfernt sein soll und dank besserer Gestaltung mehr Übersicht bieten soll. Zusätzlich zu dem nun gezeigten hellen Modus soll es auch Elemente für einen Dark Mode und für einen hohen Kontrast geben.

Der Beitrag Thunderbird zeigt neues Kalenderdesign erschien zuerst auf Linux-Magazin.

Firefox akzeptiert Add-ons mit neuer Chrome-Erweiterungs-API

18. November 2022 um 09:44

Ab dem 21. November können Add-on-Entwickler für den Firefox erstmals offiziell ihre Erweiterungen zur Nutzung und Signierung einreichen, die auf dem neuen sogenannten Manifest v3 basieren.

Das kündigt Browser-Hersteller Mozilla an. An die Entwickler gerichtet heißt es: “Eine frühzeitige MV3-Signierung ermöglicht es Ihnen, die zukünftige Funktionalität Ihrer Erweiterung unter Nightly zu testen, um einen reibungslosen Übergang zu MV3 in Firefox zu gewährleisten.”

Vorgestellt hatte Mozilla eine Entwicklungsvorschau für das Manifest v3 bereits im Frühjahr dieses Jahres. Mit den nun ankündigten Änderungen lassen sich derartige Add-ons direkt produktiv testen. Allgemein zur Verfügung stehen soll die neue Technik mit der stabilen Veröffentlichung von Firefox 109, die für den 17. Januar 2023 geplant ist.

Beim Manifest v3 handelt es sich um ein Regelwerk sowie unter anderem um eine Sammlung von Schnittstellen, die für Erweiterungen im Browser zur Nutzung bereitstehen. Die Einführung des Manifest v3 im Chrome-Browser führte zu zahlreichen Diskussionen und weitreichender Kritik an Hersteller Google, da das Team damit die Funktion bestehender Techniken, allen voran Werbeblockern, aktiv einschränkt.

Die Diskussionen rund um die Einführung des Manifest v3 in Chrome betrafen vor allem die Webrequest-API beziehungsweise deren von Google genutzten Ersatz Declarative Net Request (DNR). Mozilla wiederholt nun aber erneut, dass auch mit dem Manifest v3 die Webrequest-API erhalten bleiben soll. Eine kompatible DNR-Schnittstelle soll es aber ebenfalls geben, da diese wichtige Vorteile für Leistung und Kompatibilität biete.

Darüber hinaus werde Mozilla anstelle der Service Worker außerdem die sogenannten Event Pages für Hintergrundskripte nutzen. Über die Event Pages ist ein Zugriff auf das DOM und Web-APIs möglich, was mit den Service Workern so nicht umsetzbar sei. Die Service Worker sollen dennoch künftig ebenfalls im Manifest v3 des Firefox unterstützt werden.

Ende 2023 will Mozilla das Manifest v3 evaluieren und untersuchen, ob und welche Funktionen aus dem Manifest v2 eventuell künftig weiterhin notwendig sind. Erst danach will Mozilla über einen Zeitplan für die Abschaffung des Manifest v2 nachdenken.

Der Beitrag Firefox akzeptiert Add-ons mit neuer Chrome-Erweiterungs-API erschien zuerst auf Linux-Magazin.

Abwarten verhindert über 70 Prozent der Firefox-Abstürze

23. November 2022 um 12:05

Out-of-Memory-Fehler verursachen zahlreiche Abstürze des Firefox. Das Entwicklerteam umgeht dieses Problem denkbar einfach.

In seinem Hacks-Entwicklungsblog berichtet das Team von Mozilla von einer vergleichsweise simplen Änderung, die zu einer Reduktion der Abstürze des Firefox-Browsers um mehr als 70 Prozent geführt habe. Hierbei handelt es sich häufig um Out-of-Memory-Fehler, die offenbar durch eine Besonderheit des Betriebssystems Windows ausgelöst werden.

Windows erlaubt Anwendungen nicht, mehr Speicherplatz zuzuweisen, als ein Rechner hat. Darüber hinaus muss die Anwendung sich fest an bestimmte Speicherbereiche binden, auch wenn diese nicht mit Daten beschrieben werden. Es handelt sich um sogenannten Commit-Speicher.

In dem Blogbeitrag heißt es: “Als wir anfingen, Abstürze wegen Speichermangels zu analysieren, entdeckten wir, dass viele Benutzer reichlich physischen Speicher hatten – manchmal Gigabytes -, aber keinen Commit-Speicher mehr.”

Warum dies geschieht, kann das Mozilla-Team nicht sagen. Vermutet wird, das der Commit-Space von Grafiktreibern belegt ist, um die Texturen später aus dem VRAM auslagern zu können. Daran können die Firefox-Entwickler nichts ändern, sie haben aber noch einen “Trick im Ärmel”.

Anwendungen mit einem Out-of-Memory-Fehler werden von Windows nicht direkt beendet. Die geplante Speicherzuweisung wird nicht durchgeführt, die Anwendung selbst entscheidet über weiteres Vorgehen. Windows selbst erweitert danach den Swap, so dass es wieder mehr Speicher gibt.

Den Trick beschreibt das Team so: “Wir haben Firefox so eingestellt, dass er eine Weile wartet, anstatt abzustürzen, und dann die fehlgeschlagene Speicherzuweisung erneut versucht. Das führt zwar zu ein paar Ungereimtheiten, da der Browser für den Bruchteil einer Sekunde hängen bleiben kann, das ist aber besser als ein Absturz.”

Das habe außerdem einen weiteren Vorteil. Das Verzögern des Absturzes des Hauptprozesses kann später zum Absturz eines Inhalte- oder des GPU-Prozesses führen. Dank der Multiprozessarchitektur könnten diese aber ohne einen Absturz der gesamten Anwendung neu gestartet werden. Der Prozessabsturz selbst gebe noch Speicher frei. Ähnliches habe das Team zuvor schon erfolgreich für den Browser auf Android umgesetzt.

Der Beitrag Abwarten verhindert über 70 Prozent der Firefox-Abstürze erschien zuerst auf Linux-Magazin.

ClamAV erscheint nach 20 Jahren in Version 1.0

01. Dezember 2022 um 08:47

Die Open-Source-Software ClamAV bekommt mit Version 1.0 Langzeitunterstützung. Das Team hat die API erweitert und einen wichtigen Scan neu geschrieben.

Die freie Antiviren-Software ClamAV, die verschiedene Arten von Malware entdecken kann und gern auf E-Mail-Servern gegen Phishing genutzt wird, ist nach mehr als 20 Jahren Entwicklung erstmals in der wichtigen Version 1.0 erschienen. Laut der Ankündigung handelt es sich um eine Version mit Langzeitunterstützung (Long-Term-Support, LTS). Der eigenen Projektrichtlinie zufolge wird die Version nun mindestens drei Jahre mit Updates gepflegt.

Unterstützt wird in der Version die Entschlüsselung von XLS-Dateien, die auf dem proprietären Microsoft-Format OLE2 basieren und zur Verschlüsselung das Standardpasswort verwenden. Dessen Nutzung wird nun in den Metadaten gezeigt.

Neu geschrieben hat das Team die Allmatch-Funktion. Wird die eingesetzt, bricht ein Dateiscan nicht beim ersten positiven Ergebnis (Match) ab, sondern läuft für die gesamte Datei weiter. Der neue Code soll leichter zu pflegen sein als bisher und verlässlicher arbeiten. Darüber hinaus konnten die Beteiligten bekannte Fehler in Verbindung mit der Signaturerkennung beheben.

Die hauseigenen Docker-Dateien, die ClamAV als Container laufen lassen, sind in ein eigenes Repository ausgelagert. Das soll Updates erleichtern. Nutzer, die nicht das Docker-Hub verwenden, stellen ihre Quellen entsprechend um.

ClamAV gibt es seit mehr als 20 Jahren, die Software gilt als führende Open-Source-Anwendung in dem Bereich. Seit 2013 gehört ClamAV offiziell zu Cisco und wird hauptsächlich von dessen Talos-Security-Team weiterentwickelt.

Der Beitrag ClamAV erscheint nach 20 Jahren in Version 1.0 erschien zuerst auf Linux-Magazin.

Android-Malware mit OEM-Zertifikaten signiert

05. Dezember 2022 um 12:08

Google hat Malware gefunden, die mit den Zertifikaten von Android-Herstellern signiert sind. Das kann für Systemberechtigungen genutzt werden.

Mehrere Android-Plattformzertifikate sind offenbar dazu genutzt worden, Malware-Apps für das freie Mobilbetriebssystem zu signieren. Einen entsprechenden Bug-Report hat das Team von Google öffentlich gemacht. Die Zertifikate sind eigentlich für die Android-OEMs selbst gedacht, die damit ihre Kernanwendungen signieren. Das umfasst auch die eigentlichen ROM-Abbilder mit dazugehörigen Apps.

Zur möglichen Gefahr durch die Malware-Apps heißt es: “Ein Plattformzertifikat ist das Anwendungssignaturzertifikat, das zum Signieren der Android-Anwendung auf dem Systemabbild verwendet wird. Die Android-Anwendung wird mit einer hochprivilegierten Benutzer-ID – android.uid.system – ausgeführt und verfügt über Systemberechtigungen, einschließlich Berechtigungen für den Zugriff auf Benutzerdaten. Jede andere Anwendung, die mit demselben Zertifikat signiert ist, kann erklären, dass sie mit derselben Benutzer-ID ausgeführt werden möchte, wodurch sie dieselbe Zugriffsebene auf das Android-Betriebssystem erhält.”

Viele weitere Details nennen die Beteiligten nicht. Zur Verfügung stehen jedoch SHA256-Hashwerte von Malware-Apps sowie der dafür genutzten Zertifikate. Demnach wurden einige der Anwendungen mit den Plattformzertifikaten von Samsung, Mediatek oder auch LG signiert. Einzelheiten dazu, wie dies geschehen konnte und ob etwa Angreifer die dazugehörigen privaten Schlüssel entwenden konnten, gibt es nicht. Auch über das Ausmaß und die Verbreitung der Malware ist noch nichts öffentlich bekannt.

Eigenen Angaben zufolge hat Google die betroffenen Hersteller dazu aufgefordert, die Zertifikate zu ersetzen und dafür auch neue private und öffentliche Schlüssel zu verwenden. Darüber hinaus empfiehlt Google eine interne Überprüfung, wie es überhaupt zu der signierten Malware kommen konnte. Das Unternehmen empfiehlt seinen OEMs außerdem, möglichst wenige ihrer Apps mit dem Plattformzertifikat zu signieren, um einen regelmäßigen Wechsel zu erleichtern.v

Der Beitrag Android-Malware mit OEM-Zertifikaten signiert erschien zuerst auf Linux-Magazin.

Github macht minimale Zugeständnisse für Copilot

09. Dezember 2022 um 10:07

Das KI-Codingwerkzeug Copilot steht wegen möglicher Code-Kopien in der Kritik. Das Enterprise-Angebot von Github kann Kopien unterbinden.

Der zu Microsoft gehörende Code-Hoster Github startet sein Enterprise-Angebot für Nutzer des KI-Codingwerkzeugs Copilot. Bisher stand Copilot nur für den Gebrauch durch einzelne Nutzer bereit. Mit 19 US-Dollar pro Nutzer und Monat kostet dies etwa doppelt so viel wie das Angebot für Privatpersonen. Dafür soll es aber auch mehr Kontrollmöglichkeiten geben.

Die dabei wohl wichtigste Option dürfte sein, dass Copilot es im Unternehmenseinsatz ermöglicht, die Anzeige und Übernahme von Code-Vorschlägen für alle Nutzer zu unterbinden, sofern der Vorschlag Code aus öffentlich zugänglichen Repositorys auf Github entspricht.

Das dürfte eine direkte Reaktion auf die zahlreiche Kritik an Copilot sein, dass das Werkzeug einfach Code-Kopien vorschlägt und damit eventuell sogar Urheberrechte verletzt. Auch wenn die rechtlichen Fragen dazu noch nicht abschließend geklärt sind, sollte dies natürlich im Unternehmenseinsatz zwingend vermieden werden.

Eine Option von Copilot ermöglicht das Ausfiltern von Vorschlägen über 150 Zeichen, falls die Vorschläge identisch zu öffentlich verfügbarem Code sind. Die Erfahrung mit Machine-Learning-Modellen zeigt darüber hinaus, dass diese unter bestimmten Umständen und einer geschickten Wahl der Eingabe zur Ausgabe ihrer Trainingsdaten oder dazu sehr ähnlicher Daten bewegt werden können. Ob die nun verfügbare Option im Unternehmensangebot also reicht, muss sich zeigen.

Darüber hinaus verspricht Github den Kunden des Unternehmensangebot auch, den mit Copilot erstellten Code selbst nicht weiter zu verwenden. Dazu heißt es: “Wir behalten keine Codeausschnitte, speichern oder teilen Ihren Code nicht, unabhängig davon, ob die Daten aus öffentlichen Repositories, privaten Repositories, Nicht-GitHub-Repositories oder lokalen Dateien stammen.”

Der Beitrag Github macht minimale Zugeständnisse für Copilot erschien zuerst auf Linux-Magazin.

M68K: Linux bekommt modernen Grafiktreiber für Atari-Geräte

18. Dezember 2022 um 15:35

Der Linux-Port auf die alte M68k-Architektur wird auch dank Emulatoren weiter gepflegt. Nun folgt ein moderner Grafiktreiber.

Der Linux-Entwickler Geert Uytterhoeven hat auf der Mailingliste des Projekts einen neuen Grafiktreiber für die Geräte Atari ST, TT und Falcon vorgestellt, wie The Register berichtet. Diese Computer sind zwischen 1985 und 1992 erschienen, also vor mehr als 30 Jahren. Der Treiber nutzt die inzwischen standardmäßige verwendete Linux-Grafikschnittstelle DRM (Direct Rendering Manager) statt des Linux-Framebuffers, für den es bereits seit längerem Atari-Unterstützung gibt.

Uytterhoeven ist der Betreuer des Linux-Ports auf die CPU-Architektur und Prozessorfamilie Motorola 68000 (M68k), die in vielen Heimcomputern der 1980er Jahre zum Einsatz kam. Neben den erwähnten Atari-Modellen handelt es sich dabei etwa um den Amiga, Sinclair QL oder den ersten Apple Macintosh. Die Computer erfreuen sich in der Retro-Community weiter großer Beliebtheit, was auch zur Unterstützung moderner Software führt. Das zeigte sich zuletzt an der Unterstützung in LLVM und Rust.

Hintergrund der Arbeiten an dem Grafiktreiber ist, dass die alten Framebuffer-Treiber eigentlich seit 2015 offiziell als veraltet gelten und nicht mehr in Linux gepflegt werden sollen. Die Framebuffer-Technik ist einst als plattformunabhängiges Framework zum Linux-Support für jene Geräte erstellt worden, die über keine VGA-Grafik verfügten, so wie die Amiga-Geräte. Uytterhoeven entschied sich letztlich zur Portierung des Framebuffer-Treibers auf die neue DRM-Technik und beschrieb diesen Prozess auf der Embedded Linux Conference vor wenigen Monaten.

Dem Entwickler und weiteren Beteiligten gelang es dabei, einige Funktionen ausfindig zu machen und umzusetzen, die vom Framebuffer-Treiber genutzt werden, im DRM-Zweig aber noch nicht zur Verfügung standen. Zur einfacheren Entwicklung hat Uytterhoeven den Treiber eigenen Angaben zufolge außerdem nicht mit physischer Hardware entwickelt, sondern mit Hilfe des Emulators Aranym.

Der Beitrag M68K: Linux bekommt modernen Grafiktreiber für Atari-Geräte erschien zuerst auf Linux-Magazin.

Mozilla will öffentliche Mastodon-Instanz starten

22. Dezember 2022 um 09:26

Der Firefox-Hersteller Mozilla will in Kürze eine öffentliche Mastodon-Instanz hosten und das sogenannte Fediverse stärker unterstützen.

Der Browserhersteller Mozilla reagiert offenbar auf das gestiegene Interesse an Mastodon und ähnliche Alternativen zu etablierten sozialen Netzwerken und kündigt an, noch zu Beginn des Jahres 2023 eine öffentlich verfügbare Fediverse-Instanz unter der Domain Mozilla.social zu starten.

Dazu heißt es: “Wir sind bestrebt, uns der Community anzuschließen, um zu wachsen, zu experimentieren und zu lernen, wie wir gemeinsam die Herausforderungen zur Technik, Erfahrung und Vertrauenswürdigkeit lösen können, die hyperskalierten sozialen Systemen innewohnen.” Ziel sei demnach ein föderierter sozialer Raum, der unabhängig von Profitinteressen sei. Details dazu, wie und ob sich das Angebot von Mozilla refinanzieren soll, machten die Beteiligten bisher nicht. Der Firefox-Hersteller experimentiert aber seit Jahren mit Angeboten, die über Abo-Gebühren finanziert werden.

Mozilla arbeite darüber hinaus seit Jahren an Produkten, die in Zeiten des Überwachungskapitalismus für “Individualität und Privatsphäre” stünden. “Wir hoffen, diese Erfahrung in den Dienst des Fediverse einbringen zu können, genauso wie wir hoffen, von denen zu lernen, die bereits hart in dieser Gemeinschaft arbeiten”, betont das Team.

Die kommende Mastodon-Instanz soll für Mozilla aber zunächst nur der erste Schritt in das Fediverse sein. Das Potenzial dafür sei aber größer und breiter, heißt es. Dafür wird auf andere Projekte wie etwa Pixelfed verwiesen oder auch das Chat-Netzwerk Matrix. Mozilla schreibt: “Gemeinsam haben wir die Möglichkeit, die Lehren aus der Vergangenheit anzuwenden, um eine soziale Erfahrung für die Menschheit aufzubauen, die gesund, nachhaltig und vor der zentralisierten Kontrolle einer einzelnen Einheit geschützt ist.”

Der Beitrag Mozilla will öffentliche Mastodon-Instanz starten erschien zuerst auf Linux-Magazin.

Ksmbd: Kritische Lücke im SMB-Dienst des Linux-Kernels

28. Dezember 2022 um 09:21

Der Linux-Kernel verfügt seit vergangenem Jahr über eine eigene SMB-Implementierung. Diese enthält eine sehr gefährliche Lücke – Updates stehen bereit.

Die Sicherheitsforscher des Thalium-Teams des Rüstungskonzerns Thales haben eine Sicherheitslücke in der Umsetzung des SMB-Protokolls im Linux-Kernel (Ksmbd) gefunden, die als besonders kritisch eingestuft wird. Das Team der Zero Day Initiative (ZDI) von Trend Micro vergibt für die Lücke gar den CVSS-Höchstwert 10.0. Immerhin ermögliche die Lücke das Ausführen von Code mit Kernel-Rechten (Remote Code Execution, RCE), ohne dass eine Authentifizierung notwendig sei.

Das von Samsung initiierte Kernel-Modul Ksmbd soll eine Alternative zu Samba sein, das bisher unter Linux als Standardimplementierung des SMB-Protokolls dient, welches ursprünglich aus Windows stammt. Samba läuft allerdings im Userspace, so dass Ksmbd im Gegensatz dazu die Vorteile des Kernels nutzen können soll, wie etwa eine höhere Geschwindigkeit.

Erstmals in Linux integriert wurde das Ksmbd mit Linux 5.15. Auf die Sicherheit des Linux-Kernels fokussierte Entwickler kritisierten aber schon früh die schlechte Qualität des Codes und offenbar auch fehlende Vorkehrungen, wie LWN.net berichtete. Auf Grund der vergleichsweise geringen Entwicklungszeit von Ksmbd bisher ist davon auszugehen, dass das Modul bisher wenig Verbreitung gefunden hat und die meisten Nutzer weiterhin auf Samba setzen.

Bei der nun veröffentlichten Lücke handelt es sich um einen Use-After-Free-Fehler, der offenbar automatisiert gefunden wurde. Dazu heißt es bei der ZDI: “Das Problem ergibt sich aus dem Fehlen der Validierung der Existenz eines Objekts vor der Durchführung von Operationen an dem Objekt.” Ein Patch für die Lücke wurde bereits im Juli dieses Jahres in die stabilen Zweige des Linux-Kernels integriert, die beteiligten Forscher entschieden sich aber erst jetzt zu einer koordinierten Veröffentlichung.

Der Beitrag Ksmbd: Kritische Lücke im SMB-Dienst des Linux-Kernels erschien zuerst auf Linux-Magazin.

Curl-Entwickler kritisiert fehlende Unterstützung von Apple

02. Januar 2023 um 11:05

Entwickler Daniel Stenberg hat immer wieder Probleme mit Großkonzernen und deren Open-Source-Einstellung. Über Apple zeigt er sich nun enttäuscht.

Der Hauptentwickler der Download- und Transferbibliothek Curl, Daniel Stenberg, berichtet in seinem Blog über eine Hardware-Spende eines “großzügigen” Mitglieds der größeren Curl-Community. Dabei handelt es sich um einen Mac Mini mit M1-Chip (Test), der für die Entwicklung genutzt werden soll. Stenberg nutzt die Gelegenheit aber auch erneut für Kritik an dem Hardware-Hersteller Apple und dessen Verhältnis zur Open-Source-Entwicklung.

Unter der Überschrift “Apple hilft nicht” schreibt der schwedische Entwickler: “Apple liefert und verwendet Curl seit zwanzig Jahren in seinen Produkten, aber weder unterstützen sie, noch helfen sie oder tragen auf andere Weise zur Entwicklung bei. Sie sponsern uns auch in keiner Weise, wie etwa mit Hardware.”

Schon allein deshalb sei das Curl-Projekt auf eine Hardware-Spende angewiesen, die Stenberg auch dankend angenommen hat. Denn Curl-Nutzer hätten natürlich auch ab und an Probleme auf Apple-Plattformen. Ohne direkten Zugriff auf die passende Hardware sei es aber schwierig, diese zu beheben. Der Entwickler weist dabei auf einen Tweet von Apple aus dem vergangenen Jahr hin, wo das Unternehmen als Antwort auf eine Support-Anfrage eines Nutzers der Apple-Systeme auf das Curl-Projekt verwies.

Damals schrieb Stenberg in seinem Blog: “Stellen Sie sich vor, Sie führen ein Billionen-Dollar-Unternehmen, das verschiedene Open-Source-Komponenten in Ihre Produkte bündelt und jährlich Milliarden von Dollar Gewinn macht. Wenn sich einer Ihrer Benutzer an Sie wendet und um Hilfe bittet, für ein Produkt, das Sie an Ihre Kunden liefern, verweisen Sie den Benutzer stattdessen auf das Open-Source-Projekt. Ein Projekt, das von Freiwilligen betrieben wird, das Sie nie mit einem Cent gesponsert haben. Wer würde so etwas nur tun?” Die Antwort lieferte Stenberg mit einem Screenshot des Tweets von Apple nach.

Die Curl-Bibliothek wird in einer Vielzahl von Produkten eingesetzt und ist vermutlich eines der am häufigsten verwendeten Open-Source-Projekte überhaupt. Die allermeisten mit dem Internet verbundenen Geräte dürften über eine Variante von Curl verfügen. Dazu gehören Waschmaschinen, Autos oder Fernsehgeräte ebenso wie klassische PC- und Server-Betriebssysteme. Die Finanzierung und Entwicklung von Curl erscheint im Vergleich dazu aber extrem prekär, finanzielle Unterstützung durch die Unternehmen gibt es so gut wie nie.

So hat Stenberg den Code über einen Zeitraum von etwa zwei Jahrzehnten ausschließlich in seiner Freizeit gepflegt. Erst seit wenigen Jahren kann der Entwickler in Vollzeit an dem Projekt arbeiten. Mithilfe von Geld aus dem Sovereign Tech Fund der Bundesregierung soll es möglich werden, dass erstmals ein zweiter Entwickler direkt an Curl arbeiten kann – zunächst für sechs Monate.

Die Situation scheint aber vielen Nutzern nicht immer bewusst zu sein. So berichtet Stenberg mehr oder weniger regelmäßig von Support-Anfragen durch Endnutzer, die Stenbergs E-Mail offenbar in den Lizenzhinweisen diverser Produkte finden. Darüber hinaus erhielt der Entwickler, erst Anfang dieses Jahres eine dringende E-Mail eines Fortune-500-Konzerns, mit der Bitte um Antwort innerhalb von 24 Stunden. Das Unternehmen ist offenbar davon ausgegangen, einen Support-Vertrag für Curl zu haben, was nicht der Fall war.

Der Beitrag Curl-Entwickler kritisiert fehlende Unterstützung von Apple erschien zuerst auf Linux-Magazin.

Whatsapp bekommt Proxy-Support gegen Zensur

09. Januar 2023 um 11:06

Ähnlich wie die Konkurrenz von Signal unterstützt künftig auch Whatsapp einen Proxy-Server, um damit staatliche Blockaden zu umgehen.

Das Chatprogramm Whatsapp erhält Unterstützung für die Nutzung eines Proxy-Servers. Dies geschehe, weil “vielen anderen Menschen aufgrund von Internetsperren weiterhin die Möglichkeit verwehrt wird, Kontakt mit ihren Liebsten aufzunehmen”, teilte der Anbieter in seinem Blog mit. Der Proxy-Server ist also dazu gedacht, staatliche Zensur und Blockademaßnahmen zu umgehen, um in Kontakt bleiben zu können.

Zur Begründung dafür, warum das Team den Proxy erstellte, hieß es: “Wir wünschen uns für das Jahr 2023, dass das Internet für niemanden gesperrt wird. Solche Sperrungen, wie wir sie seit Monaten im Iran sehen, verletzen Menschenrechte und verhindern, dass sich Menschen in dringenden Notfällen Hilfe suchen können. Sollten diese Sperrungen jedoch weiterhin andauern, hoffen wir, dass diese Lösung Menschen ohne eine sichere und zuverlässige Verbindung unterstützen kann.”

Bereits vor zwei Jahren hatte das Team des sicheren Kryptomessengers Signal einen ähnlichen Proxy-Support vorgestellt, der ebenfalls dazu dient, staatliche Zensurmaßnahmen wie die im Iran zu umgehen. Dazu braucht es nur freiwillige Helfer und Organisationen, welche die Proxy – sei es für Signal oder Whatsapp – selbst hosten.

An der Sicherheit der Kommunikation ändert sich durch die Nutzung der Proxy-Server nichts, die Nachrichten sind auch bei Whatsapp weiter Ende-zu-Ende verschlüsselt und können weder von den Betreibern der Proxy-Server noch Whatsapp oder Meta selbst eingesehen werden. Für den Betrieb eines Whatsapp-Proxys stellte Whatsapp den Code samt Anleitung auf Github bereit. In der App ist die Nutzung eines Proxys dann in der aktuellen Version über die Einstellungen möglich.

Der Beitrag Whatsapp bekommt Proxy-Support gegen Zensur erschien zuerst auf Linux-Magazin.

Ureinwohner bitten Apache Foundation um Namenswechsel

13. Januar 2023 um 08:48

Viele Produkte und Projekte nutzen Ikonografie und Namen der Ureinwohner Amerikas. Die Apache Software Foundation soll nun ihren Namen ändern.

Die gemeinnützige Initiative Natives in Tech hat die Apache Software Foundation (ASF) dazu aufgefordert, ihren Namen zu wechseln, wie The Register berichtet. Die Forderung bezieht sich dabei unter anderem direkt auf den Code of Conduct der ASF, also die selbst auferlegten Regeln zur Zusammenarbeit, in dem es heißt: “Seien Sie umsichtig mit den Worten, die wir wählen.” In Bezug auf den Namen ist das nach Meinung der Initiative Natives in Tech nicht geschehen.

In dem Blogeintrag heißt es: “Es ist nicht ungewöhnlich, von nicht-indigenen Organisationen zu erfahren, die sich die indigene Kultur aneignen, aber keine von ihnen ist so groß, prestigeträchtig oder bekannt wie die Apache Software Foundation in Softwarekreisen.” Übertrieben sein dürfte dies nicht, immerhin gilt der namensgebende Apache-Webserver immer noch als einer der am weitesten verbreiteten seiner Art. Die ASF selbst umfasst zudem inzwischen mehr als 350 Projekte und Initiativen, in deren Communitys laut ASF mehr als 640.000 Menschen aktiv sind.

ASF-Gründer wird direkt kritisiert

Besonderen Anstoß nimmt die Initiative aber nicht nur an der prinzipiellen kulturellen Aneignung durch die ASF, die sich etwa auch in dem Logo mit der Feder spiegele, sondern vor allem an dem Umgang mit dem Namen sowie der Beschreibung zur Namenswahl. ASF-Gründer Brian Behlendorf wird etwa vorgeworfen, er habe ein romantisierendes Bild aus “Spaghetti-Western”, das eine “lebendige und pulsierende Gemeinschaft als tot und verschwunden” beschreibe.

Die Initiative schreibt: “Die Auslöschung indigener Bevölkerungsgruppen ist ein systematischer Prozess, bei dem die Präsenz indigener Bevölkerungsgruppen in der Vergangenheit und in der Gegenwart im Rahmen der breiteren historischen Erzählung, aus der sie hervorgegangen sind und in der sie weiter existieren, bekämpft, entfernt, umgedeutet und untergraben wird.” Behlendorf und die ASF tragen demnach direkt zu diesem Prozess bei.

Darüber hinaus führe die ASF in Bezug auf ihre Marke auf das Wort Apache aus, dass es dazu bisher keinerlei juristische Auseinandersetzung gegeben habe. “Dies setzt voraus, dass irgendeine der 8 Apachen-Nationen dem Markenrechtsanspruch der Apache Software Foundation Legitimität verleihen will, insbesondere in einem Gerichtssystem, das in der Vergangenheit gegen die Souveränität der indigenen Völker entschieden hat”.

In der Vergangenheit haben in den USA zahlreiche Produkte und insbesondere auch Sportclubs Namen und Ikonografie der Ureinwohner Amerikas genutzt. Vor allem in der jüngeren Vergangenheit distanzierten sich viele der Verantwortlichen davon und änderten etwa ihre Namen und Logos.

Dem Magazin The Register sagte ein Sprecher der ASF: “Wir nehmen die Bedenken der amerikanischen Ureinwohner wahr und hören ihnen zu. Als gemeinnützige Organisation, die von Freiwilligen geführt wird, müssen die Änderungen mit den Mitgliedern, dem Vorstand und unserem Rechtsteam sorgfältig abgewogen werden. Unsere Mitglieder suchen nach alternativen Möglichkeiten, um das Problem anzugehen, aber wir können zum jetzigen Zeitpunkt noch nichts sagen.”

Der Beitrag Ureinwohner bitten Apache Foundation um Namenswechsel erschien zuerst auf Linux-Magazin.

Kali Linux Purple soll Verteidigung ermöglichen

15. März 2023 um 10:34

Eigentlich bietet Kali Linux Security-Werkzeuge, um Angriffe zu testen. Die Purple-Variante soll das erstmals ändern.

Das Kali-Linux-Projekt hat mit der Variante Purple erstmals eine grundlegende Erweiterung seiner Ausrichtung bekanntgegeben. Hauptziel von Kali und Vorgänger Backtrack ist es, Open-Source-Werkzeuge zur Sicherheitsüberprüfung gesammelt in einer Linux-Distribution bereitzustellen, mit denen Angriffe nachgeahmt werden können (Red Teaming). Kali Purple soll zusätzlich dazu erstmals “defensive Sicherheit” bieten.

Die Community wolle sich dabei auf das bisherige Erfolgsrezept konzentrieren und eine möglichst umfassende, aber einfach nutzbare Werkzeugsammlung anbieten. Dazu heißt es: “Wir machen defensive Sicherheit für jeden zugänglich. Es sind keine teuren Lizenzen erforderlich, es wird keine kommerzielle Infrastruktur benötigt, es muss kein Code geschrieben oder aus dem Quellcode kompiliert werden, damit alles funktioniert …”.

Zu den Werkzeugen gehören Arkime zum Speichern von Netzwerktraffic, Elasticsearch SIEM (Security Information and Event Management), der Greenbone Vulnerability Manager (GVM), Intrusion-Detection-Systeme wie Suricata und Zeek, oder auch The Hive zur sogenannten Incident Response. Kali Purple bietet laut Beschreibung außerdem eine Referenz-Architektur eines Sicherheitscenters (Security Operations Center in a Box), das sich zum Lernen und Erweitern der eigenen Fähigkeiten eignen soll, ebenso wie für Teamübungen.

Die Öffnung von Kali Linux vom Red Teaming hin zum sogenannten Blue Teaming zur Verteidigung ist folgerichtig, da auch dieser Bereich in den vergangenen Jahren innerhalb der Open Source Community massiv wuchs – immerhin nehmen auch echte Angriffe weiter zu. Der gewählte Name Purple deutet dabei auf einen fließenden Übergang vom Red zum Blue Teaming hin.

Der Beitrag Kali Linux Purple soll Verteidigung ermöglichen erschien zuerst auf Linux-Magazin.

Docker irritiert Open-Source-Projekte mit Lösch-Ankündigung

17. März 2023 um 09:12

Docker will kostenfreie Team-Accounts für den Hub nicht mehr anbieten. Für Open-Source-Projekte bringt das Verwirrung und Probleme. Das Unternehmen gesteht Kommunikationsfehler ein.

Container-Spezialist Docker hat mit einer E-Mail an verbliebene Nutzer kostenfreier Team-Accounts in seinem Hub für Irritation bei zahlreichen Open-Source-Projekten gesorgt. Demnach sollten die kostenfreien Accounts und deren Inhalte wie Images gelöscht werden, falls nicht auf ein zahlungspflichtiges Abo-Modell gewechselt werde. Schon kurz nach der Ankündigung versuchte Docker jedoch, zumindest die Open-Source-Community zu beschwichtigen.

Die versendete E-Mail und zunächst dazu verfügbare FAQ sorgten für zahlreiche Diskussionen, etwa auf Hackernews oder Twitter, aber auch im Issue-Tracker der Projekte selbst – vermutlich, weil sie viel zu vage formuliert waren und noch viele Fragen zum Ablauf offen ließen. Viele Projekte sahen sich nicht nur mit dem Problem konfrontiert, ein Abo abschließen zu müssen, sondern auch damit, dass Images und Daten gelöscht werden sollten, falls das nicht erfolgt. Das wiederum könnte CI-Systeme oder Ähnliches von Dritten beeinträchtigen.

In den inzwischen überarbeiten FAQ findet sich nun ein neuer Absatz speziell für Open-Source-Projekte. Darin heißt es, dass das Ende der kostenfreien Team-Accounts nicht für jene Projekte gelte, die Teil von Dockers Open-Source-Sponsoring-Programm seien. Das Unternehmen forderte betroffene Projekte auf, sich um Aufnahme in das Programm zu bemühen. Man habe außerdem die Zahl der Angestellten erhöht, die die Bewerbungen überprüfen.

Auf Github beschweren sich jedoch zahlreiche Open-Source-Entwickler, dass sie nach einer Bewerbung für das Sponsoring-Programm in der Vergangenheit nie eine Rückmeldung von Docker erhielten, wie etwa bei Rocky Linux. Ebenso heißt es, dass die Fragen oder Bestimmungen zur Aufnahme auf einige Projekte schlicht nicht zuträfen und eine Bewerbung so überhaupt nicht möglich sei.

Das Docker-Unternehmen bittet inzwischen offiziell auf seinem Blog um Entschuldigung: “Wir entschuldigen uns für die Art und Weise, wie wir die Beendigung des kostenfreien Docker-Team-Abonnements kommuniziert und durchgeführt haben, was die Open-Source-Gemeinschaft alarmiert hat.” Das Unternehmen hat außerdem ausführliche FAQ zum weiteren Vorgehen veröffentlicht und bittet weiter um Feedback von Open-Source-Projekten.

Der Beitrag Docker irritiert Open-Source-Projekte mit Lösch-Ankündigung erschien zuerst auf Linux-Magazin.

Python-Compiler verspricht 10- bis 100-fache Leistung

21. März 2023 um 08:47

Eine native Kompilierung von Python soll eine Programmgeschwindigkeit wie bei C und C++ ermöglichen.

Die Programmiersprache Python gilt zwar als vergleichsweise einfach zu erlernen und wird auch deshalb viel verwendet, die Nutzung des Interpreters in der Standardimplementierung hat aber Nachteile bei der Geschwindigkeit. Mit dem Codon-Projekt versucht ein Team des MIT (Massachusetts Institute of Technology) einen nativen Compiler für Python zu erstellen, um die Sprache deutlich zu beschleunigen.

In der Ankündigung des MIT sagt der Hauptautor von Codon zu der Umsetzung: “Der Benutzer schreibt einfach Python, so wie er es gewohnt ist, ohne sich um Datentypen oder Leistung kümmern zu müssen, was wir automatisch erledigen – und das Ergebnis ist, dass sein Code 10 bis 100 Mal schneller läuft als normales Python. Codon wird bereits kommerziell in Bereichen wie quantitative Finanzen, Bioinformatik und Deep Learning eingesetzt.”

Der neue Python-Compiler Codon basiere auf der LLVM-Compiler-Infrastruktur, biete natives Multithreading und die Geschwindigkeit damit erzeugter Programme reiche gar an C oder C++ heran, schreiben die Beteiligten auf Github. Das Multithreading und die Nebenläufigkeit werden in der Standardimplementierung von Python derzeit effektiv vom sogenannten Global Interpreter Lock (GIL) verhindert, der aber entfernt werden soll.

In einem Vortrag beschreibt das Team Codon als “einen domänenerweiterbaren Compiler und DSL-Framework (Domain Specific Language) für leistungsstarke DSLs mit der Syntax und Semantik von Python.” Neu sei dabei vor allem eine Intermediate Representation die Optimierungen und Analysen erleichtere.

Zwar unterstützte Codon fast die gesamte Python-Syntax, ein kompletter Ersatz für die Standardimplementierung sei das Projekt aber nicht, heißt es. So werden einige Python-Module noch nicht unterstützt und die Nutzung einiger dynamischer Funktionen von Python ist schlicht nicht erlaubt, so dass bestehende Programme teils zur Nutzung mit Codon angepasst werden müssen.

Der Beitrag Python-Compiler verspricht 10- bis 100-fache Leistung erschien zuerst auf Linux-Magazin.

❌
❌