Archive for the Category »Allgemein «

Android Oreo ist wohl noch nicht ganz fertig

Wer als Webworker Software-Anpassungen für das letzte Woche vorgestellten Android 8.0 (Oreo) plant, sollte besser noch ein wenig damit warten.

Ein Test des gerade erst von Google veröffentlichten neuen Mobilbetriebssystems Android 8 (Android O, Android Oreo) beim Newsportal Golem wirft die Frage auf, ob auch wirklich Oreo drin ist, wo Oreo drauf steht.

Die Tester wunderten sich zunächst darüber, dass Android Oreo trotz angeblich abgeschlossener Arbeiten an der neuen Hauptversion noch nicht einmal für die Google-eigenen Mobilgeräte als Drahtlos-Update zur Verfügung steht.

Deshalb führten sie ihren Test dann mit den wirklich zum Download verfügbaren Factory Images durch. Dabei mussten sie dann aber feststellen, dass so manche der Neuerungen nicht immer funktionieren. Das Verhalten erzeugte bei ihnen den Eindruck, dass Android 8.0 Oreo übereilt als nicht wirklich fertige Version veröffentlicht wurde.

Machen Sie sich einfach selbst ein Bild durch den achtseitigen Testbericht bei Golem!

Google gibt Go 1.9 frei

Soeben hat Google die Version 1.9 seiner Programmiersprache Go freigegeben.

Der Schwerpunkt der Neuerungen liegt wohl in der Verbesserung von Laufzeitumgebung und Tools, das Update bringt aber auch Neuerungen in der Standardbibliothek und der Sprache selbst.

Die wichtigste Neuerung sind wohl die Type Aliases, die besonders für Refactoring-Aufgaben hilfreich sein können. Dadurch wird es möglich, Aliase für Typen zu vergeben, wie beispielsweise byte als anderen Namen für uint8.

Neues bei den Tools

Deutlich mehr Änderungen gibt es bei den Tools zur Sprache. Der Go-Compiler unterstützt ab Go 1.9 das parallele Kompilieren der Funktionen eines Paketes. Dabei werden mehrere Rechenkerne gleichzeitig benutzt, was man schon bisher für die parallele Kompilierung unterschiedlicher Pakete nutzen kann. Die parallele Kompilierung ist als Voreinstellung aktiviert, kann aber manuell deaktiviert werden.

Auf vielfachen Wunsch gibt es beim Vendor Matching eine Änderung: Mit dem Befehl ./… wird es mit Tools, die Paketnamen akzeptieren, nicht mehr erlaubt sein, Pakete innerhalb von vendor-Verzeichnissen aufeinander abzustimmen. Die Funktion wird in Zukunft über den Befehl ./vendor/… verfügbar sein.

Nutzer von JSON können jetzt im ENV-Bereich das neue Flag go env -json nutzen, das einen JSON-Output ermöglicht. Dieses Flag ersetzt das betriebssystemspezifische Output-Format.

Auch das Kommando go test hat jetzt ein neues Flag namens -list. Das nutzt einen regulären Ausdruck als Parameter und gibt in stdout die Namen sämtlicher Tests, Benchmarks und Beispiele aus, ohne sie aber auszuführen.

Alle verfügbaren Informationen zu den neuen Features gibt es im entsprechenden Eintrag zur neuen Sprachversion in der Dokumentation der Programmiersprache Go.

Apple auf dem Weg zu Swift 5

Version 4 der von Apple gepushten Programmiersprache Swift ist noch nicht heraus, soll aber noch in 2017 kommen. Bei Swift 4 werden gerade die letzten Arbeiten an der Finalversion durchgeführt.

Parallel dazu hat jetzt Ted Kremenek, Apples Senior Manager in Sachen Programmiersprachen und Laufzeitumgebungen, schon die Roadmap für die danach folgende Version Swift 5 bekannt gegeben. Sollte der in der „Swift Evolution“-Mailingliste präsentierte Plan aufgehen, wird das übernächste Release von Swift Ende nächsten Jahres erscheinen.

Dabei liegt der Schwerpunkt auf der ABI-Stabilität, um so zu erreichen, dass in Swift geschriebene Programme nicht wieder neu kompiliert werden müssen, um Sprachänderungen einzuführen – eine wichtige Eigenschaft wirklich hoch entwickelter, moderner Computersprachen.

Weitere Details zum Weg in Richtung Swift 5 finden Sie in einem aktuellen Artikel bei Heise.

Linux-Subsystem für Windows ist fertig

Die Betatestphase für das Windows Subsystem für Linux (WSL) wurde mit dem aktuellen Insider-Build 16251 von Windows 10  offiziell beendet. Die Entwickler dieser Funktion, die das Ausführen von Linux-Anwendungen unter Windows gestattet, ist das WSL jetzt stabil genug für die tägliche Nutzung. Außerhalb der Windows-Insider-Builds soll das stabile WSL mit dem Fall Creators Update (FCU) im Herbst erscheinen.

Nach der Ankündigung ändert sich technisch mit dem Ende der Betaphase fast nichts. Die Ankündigung soll lediglich ein Hinweis für solche Entwickler sein, die bisher wegen noch fehlender Stabilitätsgarantien WSL noch nicht genutzt haben.

Das Team weist aber erneut explizit darauf hin, dass diese Umgebung nicht etwa für den produktiven Einsatz, beispielsweise zum Hosten von Anwendungen, geeignet ist. Auch grafische Anwendungen werden zumindest offiziell nicht unterstützt. Das System soll nur eine interaktive Hilfe für Entwickler bei der Erstellung ihrer Anwendungen sein.

HTTP-Header verwirren Internetserver

James Kettle von der Firma Portswigger hat auf der Black-Hat-Konferenz in Las Vegas unter dem Titel „Targeting HTTP’s Hidden Attack-Surface“ zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen (SSRF) gezeigt.

Der Sicherheitsforscher setzte dabei vor allem darauf, mit intelligent gewählten HTTP-Headern Webserver und Loadbalancer durcheinander zu bringen.

SSRF-Angriffe in der Praxis

Kettle demonstrierte einige Angriffe, die darauf basieren, an einen Server einen HTTP-Request mit ungültigem Host-Header zu abzusenden. Viele Systeme leiten solche Anfragen einfach nur weiter, ganz egal, wohin sie gehen. Bei Yahoo gelang es zum Beispiel auf diese Weise, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde dazu einfach eine interne IP eingefügt.

Das Yahoo-System sprach offenbar nicht HTTP, sondern ein einfaches, zeilenorientiertes Protokoll. Dabei wurde die Antwort dieses Systems auch zurückgeschickt. So führte ein HTTP-Request mit der normalerweise nicht existenten Help-Methode dazu, dass das System, bei dem es sich um einen Apache Traffic Server und eine Software zum Cachen von HTTP-Verbindungen handelte, eine Hilfe ausgab. Mit seinem Angriff hätte Kettle Daten direkt in den internen HTTP-Cache von Yahoo schreiben können…

Britisches Zensursystem antwortet auf Header

Bei einem von ihm selbst kontrollierten Server bekam Kettle Antworten, allerdings nur bei HTTP- und nicht bei HTPS-Verbindungen. Die Antwort kam allerdings nicht von seinem eigenen System, sondern von dem britischen Zensursystem, das früher mal Bilder zum Kindesmissbrauch blockieren sollte und inzwischen hauptsächlich für die Verfolgung von Copyright-Verstößen benutzt wird.

Für Webworker mit Verantwortung für Internetserver könnte es eine gute Idee sein, einmal zu testen, wie die eigenen Server auf solche Header reagieren.

Firefox-Browser trackt seine User mit Google Analytics

Ausgerechnet Mozilla mit seinen erklärten hohen Ansprüchen zum Datenschutz seiner User schlampte laut dem Mozilla-Manifest.

In diesem Paper heißt es in Punkt 4: „Die Sicherheit und der Schutz der Daten einer Person im Internet sind von grundlegender Bedeutung und dürfen nicht als optional betrachtet werden.“

Dummerweise nutzte der Mozilla-Browser Firefox aber offenbar Google Analytics, und zwar ohne seine Nutzer darüber zu informieren.

Das brachte kürzlich unter anderem der Nutzer Nicolas Petton per Twitter ans Licht, berichtet unter anderem Ghacks. Zum Tracking mit Analytics kommt es allerdings nur dann, wenn in den Add-ons des Browsers die Registerkarte Add-ons entdecken angeklickt wird.

Mozilla gibt den Fehler zu und verspricht Besserung

Inzwischen bestätigte Mozilla-Mitarbeiter Matthew Riley MacPherson, dass die Add-on-Verwaltung in der Tat einen iFrame mit Inhalten lade, die auf einer Mozilla-Internetpräsenz gehostet seien, in welcher das Google-Analytics-Skript enthalten sei.

Gemäß einer speziellen Vereinbarung mit Google sollen diese Daten allerdings nur anonymisiert an Mozilla weitergegeben worden. Den Nutzern geht es aber weniger um die unberechtigte Nutzung dieser Daten, sondern mehr um den Bruch des Versprechens von Mozilla auf Datensicherheit.

Problem zum Wochenende beseitigt

Firefox bietet zwar eine Option, die Google Analytics deaktivieren soll – den Tracking-Schutz Do Not Track. MacPherson gibt aber in einem Beitrag auf Github zu, dass die Add-ons-Website bisher die Do-Not-Track-Anforderung des Browsers schlichtweg ignoriert habe. „Wir haben heute einen Hotfix für die Add-ons-Website ausgeliefert, der Do Not Track respektiert“, ergänzte Mozilla-Mitarbeiter MacPherson (GitHub-Nick „tofumatt“).

Vivaldi 1.10 dockt Entwickler-Tools an

Neben neuen Möglichkeiten zur Gestaltung der Startseite kommt die neue Version des Browsers Vivaldi 1.10 mit einem besonders für Entwickler und Seitenersteller interessanten Feature daher.

Entwicklungswerkzeuge andockbar

Ab diesem Release kann Vivaldi die beliebten Entwickler-Tools nicht nur wie bisher in einem separaten Fenster aufrufen. Jetzt können die Tools neben oder unter der angezeigten Internetseite andocken, um zum Beispiel Elemente zu inspizieren oder Code zu testen und debuggen.

Neue und verbesserte Funktionen

Außer der Startseite und der Andockbarkeit der Entwicklerwerkzeuge wurden folgende Funktionen neu aufgenommen oder verbessert:

  • Sortierfunktion für Downloads
  • Bilder sichtbar/unsichtbar schalten
  • Schnelle Tastaturbefehle
  • Adressleise überarbeitet
  • Neue Tabs auch für Drittanbieter

Sicherheitsupdate 3.7.3 für CMS Joomla

Mehrere schwere Sicherheitsprobleme mit der Einstufung „hoch“ werden mit dem aktuellen Security- und Bug-Fix-Release 3.7.3 von Joomla behoben. Dabei wurden auch mehrere andere Bugs in dem CMS beseitigt.

Zei der schweren Sicherheitslücken bestehen in den Versionen von 1.7.3 bis einschließlich 3.7.2. Durch die Lücke CVE-2017-9933 können Daten aus dem Cache leaken, die Lücke CVE-2017-9934 lässt sich wegen mangelnder Überprüfung von Dateneingaben für Angriffe per Cross Site Scripting (XSS) nutzen.

Die dritte schwere Lücke, ebenfalls eine Verwundbarkeit für mit Cross Site Scripting, ist sogar schon ab Version 1.5.0 bis Version 3.7.2 zu finden.

Daher sollten Nutzer der gefährdeten Joomla-Versionen möglichst umgehend die abgesicherte Version Joomla 3.7.3 installieren.

Das Ende des Windows App Tools

Zum Ende des Jahres 2017 schließt Microsoft die kostenlose Online-Anwendung Windows App Studio. Wer das beliebte Werkzeug zur einfachen Erstellung von UWP(Universal Windows Platform)-Anwendungen  auf Basis von Vorlagen noch nutzt, kann seine Projekte und Daten bis zum 1. Dezember 2017 von dort herunterladen.

Ab dem 15. Juli, also in 12 Tagen, können Sie sich beim Windows App Studio nicht mehr als neuer Benutzer registrieren. Der Online-Application Editor selbst funktioniert sogar nur noch bis zum 15. September.

Windows Template Studio ersetzt Windows App Studio

Microsoft hat das Werkzeug aber nicht ersatzlos gestrichen, sondern empfiehlt stattdessen jetzt den Umstieg der Benutzer auf das Windows Template Studio, das gerade erst in Version 1.1 erschienen ist.

Nach einem Blogbeitrag zum Ende von Windows App Studio ist das neue Tool eine Weiterentwicklung des Windows App StudioWindows Template Studio ist jetzt auch anders als sein Vorgänger Open-Source-Software. Einzelheiten zu dem Migrationsprozess will Microsoft den Benutzern jetzt per Email mitteilen.

Anfangs hieß das Windows App Studio noch Windows Phone App Studiound hatte seine Wurzeln in den Bemühungen von Microsoft um eine übergreifende Entwicklung für alle Windows-Plattformen. Damals waren das Windows Phone 8.1 und Windows 8.1.

Mit dem Tool lassen sich nicht nur einfache Apps komplett erstellen, sondern auch auch Gerüste dazu, die Software-Entwickler dann in Visual Studio um weitere Funktionen erweitern können.