Archive for the Category »Webwerkzeuge «

Samba-Lücke auf Linux-Servern

Nicht etwa in der Client-Software, sondern in der Datei- und Druckserver-Software Samba auf den Linux-Servern erzeugte eine Änderung an der Version 3.5.0 schon vor 7 Jahren! eine Sicherheitslücke (CVE-2017-7494) auf, die es wirklich in sich hat.

Durch diese Lücke können Angreifer aus der Ferne beliebigen Programmcode auf dem Linux-Server ausführen. Unter Ausnutzung der Lücke könnte man sogar einen Wurm wie  WannaCry, der in den letzten zwei Wochen mehr als 200.000 Rechner lahmgelegt hat, programmieren, der sich dann anstatt von Windows-PC zu Windows-PC von Linux-Rechner zu Linux-Rechner  weiterverbreiten könnte. Ein passender Exploit zu diesem Zweck ist schon im Umlauf.

Die meistverbreiteten Linux-Distributionen von DebianRed Hat, Suse und Ubuntu  haben inzwischen schon Sicherheitsupdates für Samba bereitgestellt, die diese Lücke dicht machen. Admins sollten die Updates auch umgehend installieren. Die Sicherheitslücke steckt nicht nur in den Versionen des alten Samba-Zweigs 3.x, sondern auch in der neueren Hauptversion Samba 4.

Browser Internet Explorer und Edge blocken SHA-1

Schon seit mehr als 10 Jahren gilt das SHA1-Hash-Verfahren zur Verschlüsselung von Internetseiten als geknackt. Im Februar dieses Jahres gab es dann auch den praktischen Nachweis, dass man Kollisionen, also zwei verschiedene Datensätze, die denselben Hash-Wert ergeben, berechnen kann.

Hersteller Microsoft hat schon länger angekündigt, seine beiden Browser Internet Explorer und Edge so umzustellen, dass sie auf durch SHA-1-Signaturen erzeugte HTTPS-Seiten mit Fehlermeldungen reagieren, was Mozillas Firefox und Googles Chrome  schon seit längerem machen. Seit der letzten Woche liefert der Hersteller Updates für beide Browser aus, um das geknackte Hash-Verfahren SHA-1 jetzt zu blockieren.

Genauere Details zu seiner SHA1-Blockade beschreibt Microsoft im Security Advisory 4010323, eine deutsche Übersetzung dazu finden Sie hier. Diese Updates können auch manuell downgeloadet werden, sie sind im Knowledge Base Artikel 4010323 zu finden.

Als Nachfolgemethode für das Hash-Verfahren wird von Microsoft SHA-2 empfohlen. Dessen zwei Varianten SHA256 und SHA512 werden als genügend sicher angesehen, um auch langfristig die Unterscheidbarkeit unterschiedlicher Online-Dokumente sicherstellen zu können.

Firefox 53 nicht mehr für alte Betriebssysteme

Benutzer mehrerer inzwischen veralteter Betriebssysteme und Plattformen können nicht mehr mit der aktuellen Version 53 des Firefox-Browsers surfen.

Betroffen sind davon Anwender der Windows-Systeme XP und Vista sowie der 32-Bit-Versionen von Mac OS X, die zuletzt mit Version 10.6 alias Snow Leopard erschienen. Details zu dem Ende der Plattform-Unterstützung hat Mozilla auf seinen Support-Seiten veröffentlicht.

Durch den Langzeitsupport von Version 52 kann der Firefox-Browser auf den genannten Systemen wohl noch ungefähr ein Jahr lang genutzt werden, erhält aber dabei keine neuen Funktionen mehr. Komplett eingestellt hat Mozilla die Unterstützung für Linux-Builds des Browsers für Computer mit Prozessoren, die älter sind als Intels Pentium 4 oder AMDs Opteron.

Ganz neu in Firefox 53 ist die Unterstützung eines ausgelagerten GPU-Prozesses. Die Arbeiten daran gehören zum Projekt Quantum, mit dem Mozilla nach eigenen Angaben eine „Webengine der nächsten Generation“ erzeugen möchte und dazu verschiedene Teilbereiche des Browsers überarbeitet.

Firefox Aurora wird eingestellt

Die Firefox-Entwickler räumen die Vorabversionen des Browsers auf und trennen sich vom Aurora Channel, der zwischen den auch künftig weiter verfügbaren Nightly Builds und den Betaversionen lag.

Nach einer Erklärung des Firefox-Teams hat der Test-Channel Aurora seine Erwartungen als erster stabilisierter Kanal nicht wirklich erfüllt. Anwender sollen durch die jetzige Änderung eine klare Auswahl zwischen Nightly mit experimentellen Features und Beta für eine stabilere Vorschau haben.

Die Firefox-Entwickler hatten den Aurora Channel vor sechs Jahren mit dem Wechsel von Version 5 auf kürzere Releasezyklen eingeführt, um dadurch mehr Rückmeldungen der Benutzer vor der jeweiligen Betaphase zu erhalten.

Laut ihrer Erklärung sind die Prozesse inzwischen moderner geworden, so dass sich das Team glaubt, stabilere Varianten des Browsers auch ohne die zusätzliche sechs- bis achtwöchige Aurora-Phase erstellen zu können. Neue Features werden künftig vom Nightly in den Beta Channel hinüberwandern, wenn sie die zuvor festgelegten Kriterien erfüllen.

D-Referenzkompiler jetzt unter freier Lizenz

Für die DConf in Berlin, wo sich im Mai D-Entwickler aus aller Welt treffen, hat der Erfinder der Programmiersprache D, Walter Bright, eine ganz besondere Überraschung zu bieten:

Ab sofort steht nämlich auch das Backend des Referenzcompilers DMD unter freier Lizenz. Bisher stand er nicht unter Open-Source-Lizenz, weil Bright Teile davon geschrieben hatte, während er noch Angestellter von Symantec war.

Deshalb wurden schon ernsthaft Alternativen zu dem halbproprietären Referenzcompiler diskutiert. Weil DMD aber deutlich schneller kompiliert als die Konkurrenz, mochte aber offenbar niemand ernsthaft auf diesen Compiler verzichten. So gesehen hat sich das Warten für die Community gelohnt.

Microsoft schliesst CodePlex

Zum Monatswechsel hat Microsoft auf die Dominanz von Repositories wie GitHub reagiert und die Schließung seiner Open-Source-Bibliothek CodePlex angekündigt. Seitdem lassen sich keine neuen Softwareprojekte mehr in CodePlex anlegen.

Ab Oktober dieses Jahres soll die Bibliothek in einem Nur-Lese-Modus aufgerufen werden können – ab dem Zeitpunkt können auch dort schon vorhandene Projekte nicht mehr geändert werden. Die komplette und dauerhafte Schließung kommt dann am 15. Dezember 2017.

Danach soll CodePlex nur noch als Archiv genutzt werden. Benutzer können weiterhin alle dort veröffentlichten Projekte einsehen. Darüber hinaus will Microsoft auch noch downloadbare Archivdateien mit alle Inhalten eines Projekts in Formaten wie beispielsweise Markdown und JSON anbieten.

Entwickler, die mit ihren Projekten auf eine andere Plattform wie beispielsweise GitHub umgezogen sind, können vom CodePlex-Archiv aus auch auf die neue Internetadresse ihres Projekts verlinken.

Jeder Zweite surft mit Googles Chrome

Überall auf der Welt ist Googles Browser Chrome inzwischen die Nummer Eins und hat die früheren Platzhirsche Internet Explorer von Microsoft oder Firefox von Mozilla deutlich auf die Plätze verwiesen. Jeder zweite Surfer weltweit benutzt inzwischen Chrome.

Auch hier in Deutschland ist Chrome auf dem Vormarsch. Die Daten von  StatCounter zeigen ein Kopf an Kopf-Rennen zwischen Chrome und Firefox, wobei beide ungefähr ein Drittel Marktanteil haben. Andere Portale wie zum Beispiel  browser-statistik.de sehen Chrome aber auch schon vor Firefox.

Als Internet Explorer und später Firefox noch das Maß aller Dinge waren, mußte man als Ersteller von Webseiten besonders auf saubere Darstellung unter diesen Browsern achten. Das hat sich inzwischen klar in Richtung Chrome verschoben.

Neues in Google Go 1.7

Google hat gerade die Version 1.7 seiner Programmiersprache Go freigegebenGo ist eine von Google gepushte Sprache, die der Konzern erstmals 2009 vorstellte. Seinerzeit platzierte Google Go als Alternative zur Sprache C.

2015 befreite sich das Projekt dann allerdings von letzten C-Überbleibseln in seinem eigenen Code. Zu den bekannteren Systemen, die in Go geschrieben wurden, gehören beispielsweise die MongoDB-Tools und Docker. Go kommt auch bei Google selbst zum Einsatz, aber auch zum Beispiel bei SoundCloud. Das vorherige Release Go 1.6 erschien im Februar .

Das neue Release Go 1.7 hat jetzt unter anderem einen neuen Port für IBMs Mainframe System z (s390x) und wurde auf Compilerebene stark überarbeitet. Es gibt nun auch ein neues, kompakteres Format für den Export von Daten. Außerdem ist von Beschleunigungen bei der Garbage Collection und von Änderungen beim Erzeugen von Metadaten und Stack Frame Pointers für Profiling-Werkzeuge wie perf unter Linux oder VTune von Intel die Rede.

Auch die Standardbibliotheken wurden deutlich überarbeitet. Es gibt auch eine kleine Änderung bei der Sprachdefinition: An die Stelle des bisherigen, nicht präzise definierten „Final Statements“ tritt jetzt das „Terminating Statement„. Es ist formal so definiert, wie es dem Verhalten der gc– und gccgo-Compiler entspricht.

Chrome bekommt eine Cast-Funktion

Google bringt ein Update für die aktuelle Version 51 von Chrome, mit der die bisher nur als Erweiterung verfügbare Cast-Funktion direkt in den Browser integriert wird. So müssen Nutzer das Symbol für die Google-Cast-Symbolleiste nicht mehr extra installieren, um ihr Cast-Gerät in Chrome nutzen zu können. Wer die Cast-Erweiterung schon installiert hat, kann sie aber auch weiter nutzen.

Nach vollzogenem Update taucht im Chrome-Menü zwischen den Punkten „Drucken“ und „Suchen“ zusätzlich die Option „Streamen“ auf, über die man die Cast-Funktion startet. Alternativ kann man im Browser mit der rechten Maustaste auf einen Seiten-Tab klicken, um auf die Funktion zuzugreifen.

Google Cast kann die Übertragung eines Browser-Tabs an einen mit einem Fernseher oder Monitor verbundenen Chromecast realisieren. Bisher ließen sich bei der Spiegelung auf ein Google-Cast-Gerät Optionen für Auflösung, Bitrate oder Qualität manuell festlegen – das wird jetzt automatisch angepasst.

Die Finalversion von Chrome 51 hatte Google schon Ende Mai veröffentlicht. Sie brachte diverse Neuerungen, beispielsweise eine Programmierschnittstelle, die die Anmeldung bei Websites vereinfachen soll, und eine Funktion zur Reduzierung des Stromverbrauchs bei Mobilgeräten – und wie immer auch diverse Sicherheitspatches.

Microsofts SQL Server 2016 ist verfügbar

Microsoft hat seine Datenbanklösung SQL Server 2016 wie angekündigt allgemein verfügbar gemacht.

Mehr als ein Jahr lang war sie schon als öffentliche Vorschauversion nutzbar gewesen. Die elfte Auflage der Microsoft-Datenbank bringt das wohl umfassendste Update in der Geschichte dieser Software.

In SQL-Server 2016 gibt es unter anderem neue Funktionen im Bereich relationaler Datenspeicherung, Business Intelligence und Information Management. Erstmals wurden auch komplexere Analytics-Funktionen direkt in die Datenbank integriert. Auf diese Weise gleicht Microsoft auch den Funktionsumfang wieder an den des Cloud-Ablegers Azure SQL Database an. Mit Stretch Database besteht jetzt sogar die Möglichkeit, lokale SQL-Server-Datenbanken mit solchen in Azure zu einer Hybridlösung zusammenzuführen.

Weitere Details zu Microsofts SQL Server 2016 finden Sie auch bei ZDNet.