Kostenlose Google-IDE Android Studio für Apps

Zum Schreiben der Apps genannten Programme für Android-Geräte stehen den Entwicklern viele unterschiedliche Werkzeuge zur Verfügung. Schon seit 2013 bietet Google auch eine eigene Umgebung zu diesem Zweck:Die IDE Android Studio.

Nach einem Testbericht in der Zeitschrift iX fallen im praktischen Einsatz keine ausgesprochen drastischen Schwächen des kostenlosen Entwicklungswerkzeugs auf.

Ganz im Gegenteil: Mit einer nachvollziehbaren Aufteilung der grafischen Oberfläche, vielen Vorlagen und Beispielen, einem hilfreichen Assistenten und auch Übersetzungsfunktionen können angehende Entwickler recht schnell ihre erste Anwendung für Smartphones und Tablets unter Android erstellen.

Auch Tools für Profis

Für erfahrenere Programmierer erlaubt das direkte Debugging im Emulator, Fehler einzugrenzen und zu beseitigen. Dabei können sie gleichzeitig die Auslastung des Prozessors, des Grafikchips oder des Arbeitsspeichers beobachten – hilfreich zum Erstellen von Apps ohne Ruckeln oder Wartezeiten.

Wenn die Anwendung dann fertig ist, könnte eine wichtige Funktion die IDE noch deutlich verbessern: Die erstellte App können Entwickler nämlich bisher nicht ohne eine zusätzliche Erweiterung direkt aus der IDE heraus in Googles Play Store veröffentlichen – hier könnte der Hersteller noch nachlegen!.

Die kommende Version 3.0 (getestet wurde Version 2.3.3) hat sich Google einige weitere praktische Neuerungen ausgedacht, wobei die direkte Unterstützung der Sprache Kotlin wohl das Highlight ist. Eine detaillierte Einführung in die Stärken und Schwächen von Android Studio finden Interessierte in dem iX-Artikel.

Android Oreo ist wohl noch nicht ganz fertig

Wer als Webworker Software-Anpassungen für das letzte Woche vorgestellten Android 8.0 (Oreo) plant, sollte besser noch ein wenig damit warten.

Ein Test des gerade erst von Google veröffentlichten neuen Mobilbetriebssystems Android 8 (Android O, Android Oreo) beim Newsportal Golem wirft die Frage auf, ob auch wirklich Oreo drin ist, wo Oreo drauf steht.

Die Tester wunderten sich zunächst darüber, dass Android Oreo trotz angeblich abgeschlossener Arbeiten an der neuen Hauptversion noch nicht einmal für die Google-eigenen Mobilgeräte als Drahtlos-Update zur Verfügung steht.

Deshalb führten sie ihren Test dann mit den wirklich zum Download verfügbaren Factory Images durch. Dabei mussten sie dann aber feststellen, dass so manche der Neuerungen nicht immer funktionieren. Das Verhalten erzeugte bei ihnen den Eindruck, dass Android 8.0 Oreo übereilt als nicht wirklich fertige Version veröffentlicht wurde.

Machen Sie sich einfach selbst ein Bild durch den achtseitigen Testbericht bei Golem!

Google gibt Go 1.9 frei

Soeben hat Google die Version 1.9 seiner Programmiersprache Go freigegeben.

Der Schwerpunkt der Neuerungen liegt wohl in der Verbesserung von Laufzeitumgebung und Tools, das Update bringt aber auch Neuerungen in der Standardbibliothek und der Sprache selbst.

Die wichtigste Neuerung sind wohl die Type Aliases, die besonders für Refactoring-Aufgaben hilfreich sein können. Dadurch wird es möglich, Aliase für Typen zu vergeben, wie beispielsweise byte als anderen Namen für uint8.

Neues bei den Tools

Deutlich mehr Änderungen gibt es bei den Tools zur Sprache. Der Go-Compiler unterstützt ab Go 1.9 das parallele Kompilieren der Funktionen eines Paketes. Dabei werden mehrere Rechenkerne gleichzeitig benutzt, was man schon bisher für die parallele Kompilierung unterschiedlicher Pakete nutzen kann. Die parallele Kompilierung ist als Voreinstellung aktiviert, kann aber manuell deaktiviert werden.

Auf vielfachen Wunsch gibt es beim Vendor Matching eine Änderung: Mit dem Befehl ./… wird es mit Tools, die Paketnamen akzeptieren, nicht mehr erlaubt sein, Pakete innerhalb von vendor-Verzeichnissen aufeinander abzustimmen. Die Funktion wird in Zukunft über den Befehl ./vendor/… verfügbar sein.

Nutzer von JSON können jetzt im ENV-Bereich das neue Flag go env -json nutzen, das einen JSON-Output ermöglicht. Dieses Flag ersetzt das betriebssystemspezifische Output-Format.

Auch das Kommando go test hat jetzt ein neues Flag namens -list. Das nutzt einen regulären Ausdruck als Parameter und gibt in stdout die Namen sämtlicher Tests, Benchmarks und Beispiele aus, ohne sie aber auszuführen.

Alle verfügbaren Informationen zu den neuen Features gibt es im entsprechenden Eintrag zur neuen Sprachversion in der Dokumentation der Programmiersprache Go.

Apple auf dem Weg zu Swift 5

Version 4 der von Apple gepushten Programmiersprache Swift ist noch nicht heraus, soll aber noch in 2017 kommen. Bei Swift 4 werden gerade die letzten Arbeiten an der Finalversion durchgeführt.

Parallel dazu hat jetzt Ted Kremenek, Apples Senior Manager in Sachen Programmiersprachen und Laufzeitumgebungen, schon die Roadmap für die danach folgende Version Swift 5 bekannt gegeben. Sollte der in der „Swift Evolution“-Mailingliste präsentierte Plan aufgehen, wird das übernächste Release von Swift Ende nächsten Jahres erscheinen.

Dabei liegt der Schwerpunkt auf der ABI-Stabilität, um so zu erreichen, dass in Swift geschriebene Programme nicht wieder neu kompiliert werden müssen, um Sprachänderungen einzuführen – eine wichtige Eigenschaft wirklich hoch entwickelter, moderner Computersprachen.

Weitere Details zum Weg in Richtung Swift 5 finden Sie in einem aktuellen Artikel bei Heise.

Linux-Subsystem für Windows ist fertig

Die Betatestphase für das Windows Subsystem für Linux (WSL) wurde mit dem aktuellen Insider-Build 16251 von Windows 10  offiziell beendet. Die Entwickler dieser Funktion, die das Ausführen von Linux-Anwendungen unter Windows gestattet, ist das WSL jetzt stabil genug für die tägliche Nutzung. Außerhalb der Windows-Insider-Builds soll das stabile WSL mit dem Fall Creators Update (FCU) im Herbst erscheinen.

Nach der Ankündigung ändert sich technisch mit dem Ende der Betaphase fast nichts. Die Ankündigung soll lediglich ein Hinweis für solche Entwickler sein, die bisher wegen noch fehlender Stabilitätsgarantien WSL noch nicht genutzt haben.

Das Team weist aber erneut explizit darauf hin, dass diese Umgebung nicht etwa für den produktiven Einsatz, beispielsweise zum Hosten von Anwendungen, geeignet ist. Auch grafische Anwendungen werden zumindest offiziell nicht unterstützt. Das System soll nur eine interaktive Hilfe für Entwickler bei der Erstellung ihrer Anwendungen sein.

HTTP-Header verwirren Internetserver

James Kettle von der Firma Portswigger hat auf der Black-Hat-Konferenz in Las Vegas unter dem Titel „Targeting HTTP’s Hidden Attack-Surface“ zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen (SSRF) gezeigt.

Der Sicherheitsforscher setzte dabei vor allem darauf, mit intelligent gewählten HTTP-Headern Webserver und Loadbalancer durcheinander zu bringen.

SSRF-Angriffe in der Praxis

Kettle demonstrierte einige Angriffe, die darauf basieren, an einen Server einen HTTP-Request mit ungültigem Host-Header zu abzusenden. Viele Systeme leiten solche Anfragen einfach nur weiter, ganz egal, wohin sie gehen. Bei Yahoo gelang es zum Beispiel auf diese Weise, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde dazu einfach eine interne IP eingefügt.

Das Yahoo-System sprach offenbar nicht HTTP, sondern ein einfaches, zeilenorientiertes Protokoll. Dabei wurde die Antwort dieses Systems auch zurückgeschickt. So führte ein HTTP-Request mit der normalerweise nicht existenten Help-Methode dazu, dass das System, bei dem es sich um einen Apache Traffic Server und eine Software zum Cachen von HTTP-Verbindungen handelte, eine Hilfe ausgab. Mit seinem Angriff hätte Kettle Daten direkt in den internen HTTP-Cache von Yahoo schreiben können…

Britisches Zensursystem antwortet auf Header

Bei einem von ihm selbst kontrollierten Server bekam Kettle Antworten, allerdings nur bei HTTP- und nicht bei HTPS-Verbindungen. Die Antwort kam allerdings nicht von seinem eigenen System, sondern von dem britischen Zensursystem, das früher mal Bilder zum Kindesmissbrauch blockieren sollte und inzwischen hauptsächlich für die Verfolgung von Copyright-Verstößen benutzt wird.

Für Webworker mit Verantwortung für Internetserver könnte es eine gute Idee sein, einmal zu testen, wie die eigenen Server auf solche Header reagieren.

Die Performance von Firefox 55

Firefox-Entwickler Dietrich Alaya berichtet in seinem Blog von der angeblich drastischen Performanceverbesserung des 55er Feuerfuchses. Mit viel Aufwand lädt der Mann ein Profil von ca. 1.700 Internetseiten – allerdings ohne mit dem Internet verbunden zu sein – und freut sich dann, dass das relativ wenig Speicher verbraucht…

Dieser Test zeigt zwar bei den unterschiedlichsten Firefox-Versionen gemäß der Grafik eine Super-Performance an, aber alle üblichen Tests wie beispielsweise Speedometer, Motion Mark oder ARES 6 zeigen nach einem Bericht von ZDNet, dass der Mozilla-Browser nicht wirklich nennenswert an Performance gewonnen hat und Firefox schneidet dabei auch im Vergleich mit Googles Chrome deutlich schwächer ab.

Es bleibt also für Mozilla noch einiges zu tun.

Erstes Update für Firefox Klar

Seit einem Monat ist die Android-Version des Privatsphäre-Browsers Firefox Focus unter dem Namen Firefox Klar veröffentlicht.

Firefox Klar kann man kostenlos bei Google Play (Android) und bei iTunes (iOS) herunterladen. Für die nächsten Monate hat Mozilla weitere „tolle Updates“ angekündigt.

Nachdem im letzten Monat schon eine Million Nutzer den Browser heruntergeladen haben, gibt Mozilla jetzt ein Update mit drei von den Usern gewünschten neuen Funktionen heraus.

Nicht für alle, aber für „die meisten Video-Seiten“ bietet Firefox Klar einen Vollbild-Videomodus – dummerweise funktioniert das aber ausgerechnet beim weltweit meistgenutzten Video-Portal YouTube noch nicht.

Ein Fehler bei Google stört die Funktion. Sie soll aber nachgebessert werden, sobald Google die nötige Korrektur realisiert hat, verspricht der Hersteller.

Außerdem kann der Browser mit dem Update „alle Arten von Dateien herunterladen“. Die dritte Neuerung sind die jetzt mit einem Shortcut zu Firefox Klar ausgestatteten Benachrichtigungen. Diese kleinen Hinweise erinnern den Benutzer daran, seinen Suchverlauf zu löschen.

Firefox-Browser trackt seine User mit Google Analytics

Ausgerechnet Mozilla mit seinen erklärten hohen Ansprüchen zum Datenschutz seiner User schlampte laut dem Mozilla-Manifest.

In diesem Paper heißt es in Punkt 4: „Die Sicherheit und der Schutz der Daten einer Person im Internet sind von grundlegender Bedeutung und dürfen nicht als optional betrachtet werden.“

Dummerweise nutzte der Mozilla-Browser Firefox aber offenbar Google Analytics, und zwar ohne seine Nutzer darüber zu informieren.

Das brachte kürzlich unter anderem der Nutzer Nicolas Petton per Twitter ans Licht, berichtet unter anderem Ghacks. Zum Tracking mit Analytics kommt es allerdings nur dann, wenn in den Add-ons des Browsers die Registerkarte Add-ons entdecken angeklickt wird.

Mozilla gibt den Fehler zu und verspricht Besserung

Inzwischen bestätigte Mozilla-Mitarbeiter Matthew Riley MacPherson, dass die Add-on-Verwaltung in der Tat einen iFrame mit Inhalten lade, die auf einer Mozilla-Internetpräsenz gehostet seien, in welcher das Google-Analytics-Skript enthalten sei.

Gemäß einer speziellen Vereinbarung mit Google sollen diese Daten allerdings nur anonymisiert an Mozilla weitergegeben worden. Den Nutzern geht es aber weniger um die unberechtigte Nutzung dieser Daten, sondern mehr um den Bruch des Versprechens von Mozilla auf Datensicherheit.

Problem zum Wochenende beseitigt

Firefox bietet zwar eine Option, die Google Analytics deaktivieren soll – den Tracking-Schutz Do Not Track. MacPherson gibt aber in einem Beitrag auf Github zu, dass die Add-ons-Website bisher die Do-Not-Track-Anforderung des Browsers schlichtweg ignoriert habe. „Wir haben heute einen Hotfix für die Add-ons-Website ausgeliefert, der Do Not Track respektiert“, ergänzte Mozilla-Mitarbeiter MacPherson (GitHub-Nick „tofumatt“).