Die maximale akzeptierte Laufzeit von TLS-Zertifikaten im Chrome-Browser sind bisher 13 Monate. Das Chrome-Team will das deutlich reduzieren. (Chromium, Browser)

Immer wieder sorgen Bugs in Video-Decodern für Sicherheitslücken bis hin zu Zero Days. Wissenschaftler zeigen nun eine riesige Angriffsfläche. (Security, Android)

Der Umgang mit Sicherheitslücken in Open-Source-Projekten und Embargos sorgen immer wieder für Probleme. Das zeigt sich nun auch an Curl. (Open Source, Sicherheitslücke)

Der Anbieter eines Sicherheitsscanners, Socket, nutzt den Chatbot von OpenAI auch zur Untersuchung von Paketen. (ChatGPT, Python)

Das MLS-Protokoll soll sichere Gruppenchats mit Tausenden Teilnehmern ermöglichen und die Grundlage für Messenger-Interoperabilität werden.

Die Internet Engineering Task Force (IETF) hat auf ihrem aktuellen Treffen der Veröffentlichung des Standards für das Protokoll Messaging Layer Security (MLS) zugestimmt. Das kündigt die IETF in ihrem Blog an. Damit enden mehr als fünf Jahre Arbeit an dem Protokoll, das erstmals wichtige Teile der Verschlüsselung für Messenger übergreifend standardisiert und so auch Grundlagen für eine mögliche Interoperabilität zahlreicher Chat-Systeme schafft.

In der Ankündigung heißt es: “Damit eine App Ende-zu-Ende-Verschlüsselung bieten kann, benötigt sie eine zusätzliche kryptografische Schicht, die Schlüssel zwischen den an einer Konversation teilnehmenden Geräten einrichtet, so dass diese Geräte die Daten der Nutzer auf eine Weise verschlüsseln können, die Clouddienste nicht entschlüsseln können. Vor MLS gab es keine offene, interoperable Spezifikation für diese zusätzliche Ebene. MLS füllt diese Lücke und bietet ein vollständig spezifiziertes, formal verifiziertes und für Entwickler einfach zu verwendendes System.”

In dem aktuellen Protokollentwurf, der nun final angenommen wurde, heißt es, mit dem Double-Ratchet-Algorithmus des Signalprotokolls sei das Problem zum Austausch symmetrischer Schlüssel zwischen genau zwei Teilnehmern gut untersucht und inzwischen eine übliche Lösung. Gelöst werden soll mit MLS darüber hinaus aber vor allem die sichere Kommunikation in Gruppen mit teils auch Tausenden Teilnehmern. Denn die üblichen Vorgehensweisen des Schlüsselaustausches auf Basis von Double-Ratchet skalieren linear mit der Größe der Gruppen, was schnell Probleme verursacht.

Grundlage von MLS ist dabei ein Binärbaum (Ratchet Tree), mit dem geteilte Schüssel für Untergruppen oder die gesamte Gruppe erstellt werden können. Dabei werden ausgehend von den Blättern immer paarweise Schlüssel abgeleitet. Wird ein Teilnehmer aus der Gruppe entfernt und werden deshalb neue Schlüssel erzeugt, müssten so nur log(N)-Verschlüsselungsoperation durchgeführt werden, statt N-1 wie in vielen bisher genutzten Protokollen.

Zu dem Protokoll hinzu kommen klare Anweisungen, wie bei einer Änderung der Zusammensetzung der Gruppe neue Schlüssel aus den alten abgeleitet werden können oder auch welche Ciphersuites genutzt werden können sowie zahlreiche weitere Details. Aufbauend auf dem nun zur Standardisierung vorgesehenen Protokoll erstellt die zuständige IETF-Arbeitsgruppe für MLS auch noch ein Architektur-Dokument, das Hinweise zur Infrastruktur-Umsetzung in konkreten Anwendungen liefert. Hinzu kommt eine weitere Erläuterung für den Einsatz in einer föderierten Umgebung, also dem Einsatz über mehrere Messenger hinweg.

Laut IETF wird MLS bereits in Ciscos Webex und von Ring Central verwendet. Darüber hinaus planen das von AWS übernommene Wickr sowie auch Matrix auf MLS umzusteigen. Ob und wann mittels MLS aber wirklich eine weitgehende Interoperabilität von Messengern umgesetzt wird, bleibt abzuwarten. Im Herbst 2021 warnten etwa zahlreiche Betreiber davor, sie dazu zu verpflichten.

Der Beitrag Messaging Layer Security: IETF-Protokoll für sichere Gruppenchats erschien zuerst auf Linux-Magazin.

Wie von Besitzer Elon Musk angekündigt, ist der Algorithmus von Twitter nun Open Source. Der Code enthält direkte Referenzen auf Musk. (Twitter, Open Source)

Seit neun Jahren arbeitet das Firefox-Team am Ersatz von XUL. Einer der letzten wichtigen Meilensteine ist nun umgesetzt. (Firefox, Browser)

Unter der GPL können 3D-Drucker und Tools von Prusa zu leicht von anderen Parteien kopiert werden. Das bereitet dem Gründer Sorgen. (3D-Drucker, GPL)

Moderne CPUs skalieren ihren Takt je nach Arbeitslast. Für Gast-VMs geschieht dies unter Linux wohl nicht, was Google nun ändern will. (Linux-Kernel, Google)

KI-Anwendungen wie ChatGPT erfreuen sich großer Beliebtheit. Für den Einsatz in der Online-Enzyklopädie Wikipedia ist sie noch nicht geeignet, denkt Jimmy Wales. (Jimmy Wales, Wikipedia)

Der Begriff Open Source wird in den meisten Fällen wie das Label eines besonders vertrauenswürdigen Herstellers gesehen. Dabei geht es kaum diverser. (Open Source, Google)

Die Musikindustrie stört sich an Youtube-dl und hat nun eine erste Klage gewonnen. Der verklagte Hoster und die GFF kündigen Berufung an. (Urheberrecht, Streaming)

Der Linux-Hardwarespezialist System76 will künftig Laptops selbst fertigen. Der Hersteller zeigt erstmals Bauteile des Prototyps. (PC-Hardware, Linux)

LDAP verstehen? Der dreitägige Crashkurs der Golem Karrierewelt macht dich fit! (Golem Karrierewelt, Server-Applikationen)

Die Rust Foundation will die Nutzung des Namens der Sprache und des Logos einschränken. Die Community ist nicht überzeugt. (Rust, Programmiersprachen)

Es gibt jede Menge alternative Betriebssysteme, aber nur wenige sind ein vollwertiger Ersatz für die großen. Wir stellen drei vor und erklären, was sie alles können. (Betriebssysteme, Computer)

Immer wieder bereiten Antivirenprogramme Browser-Herstellern Probleme. Microsoft hat nun einen fünf Jahre alten Bug behoben, der mit Firefox auftritt. (Microsoft, Firefox)

Immer wieder bereiten Antivirenprogramme Browser-Herstellern Probleme. Microsoft hat nun einen fünf Jahre alten Bug behoben, der mit Firefox auftritt.

Windows-Hersteller Microsoft hat einen etwa fünf Jahre alten Fehler behoben, der für eine ungewöhnlich hohe CPU-Last des Systems gesorgt hat, sobald der Firefox-Browser eingesetzt wurde. Das geht aus einem Eintrag im Bugtracker von Mozilla hervor. Demnach sei die Ursache für die hohe CPU-Last ein Teil der in Windows eingebauten Antivirenlösung Defender.

Schnell haben die beteiligten Entwickler als Grund für die CPU-Last von Windows Defender ein spezielles Zusammenspiel mit dem Betrieb des Firefox-Browsers vermutet. Immerhin ist die Aufgabe des Windows-Programms unter anderem, ungewöhnliche Aktivitäten von Software wie eben dem Browser zu erkennen. Dafür werden auch von dem Firefox genutzte Dienste oder geschriebene Dateien überwacht.

Nach mehreren Jahren ohne größere Ursachenforschung nahm sich schließlich ein Mozilla-Entwickler des Problems an und untersuchte das Verhalten mithilfe von Profiling-Werkzeugen unter Windows. Dabei stellte sich heraus, dass der Firefox sehr viele Aufrufe der Virtual-Protect-API der Windows-Speicherschnittstelle macht. Ist die Echtzeiterkennung von Windows Defender aktiviert, führt das wiederum zu der deutlich überhöhten CPU-Last des Kernbestandteils der Antivirenlösung.

Wie es in dem Bugeintrag von Mozilla heißt, hat Microsoft dieses Verhalten als Fehler anerkannt, inzwischen behoben und eine aktualisierte Version des Defender in der vergangenen Woche verteilt. Damit sinkt dann die CPU-Last bei der Nutzung des Firefox-Browsers. Zusätzlich dazu arbeitet Mozilla aber weiter an seinem Profiling und einer verbesserten Nutzung des Speicher-APIs von Microsoft, was insbesondere für die Nutzung der JIT-Compiler von Vorteil sein soll.

Der Beitrag Defender-Bug verursachte hohe CPU-Last bei Firefox-Nutzung erschien zuerst auf Linux-Magazin.

Die strikte Isolierung von Webseitendaten nutzt der Firefox-Browser nun standardmäßig auch für Cookies. Das soll Tracking erschweren. (Firefox, Browser)

Der Facebook-Mutterkonzern stellt das Tool Animated Drawings quelloffen. Es kann so für diverse Zwecke und von Profis angepasst werden. (Meta, KI)

Die von Tailscale genutzte Wireguard-Implementierung in Go hat einige Limitierungen, die die Entwickler seit Monaten versuchen zu überwinden. (Wireguard, Server)

Das Thunderbird-Projekt will seine Entwicklung möglichst offen gestalten und ruft die Community zur aktiven Abstimmung über Ideen auf. (Thunderbird, E-Mail)

Offene KI-Systeme bergen die Gefahr von Missbrauch. Sie abzuschotten, bewahrt davor aber auch nicht. (KI, IMHO)

Das KI-Team von Databricks hat für Dolly 2.0 viele Tausend Menschen beauftragt, das Modell manuell zu kalibrieren. Es ist zudem Open Source. (KI, Spracherkennung)