Tag-Archive for » Entwickler «

Browser-Updates für Firefox, Firefox ESR und Tor

In Firefox, Firefox ESR (Extended Support Release) sowie dem auf ESR basierenden Tor Browser finden sich mehrere Sicherheitslücken, die Angreifern unter bestimmten Umständen das Ausspähen von Informationen, Cross-Site-Scripting-Angriffe und sogar das Ausführen beliebigen Codes mit den Rechten des Browsers möglich machen.

Nach aktuellen Sicherheitshinweisen von Mozilla sind alle Vorgänger-Versionen des Browsers Firefox 57 aka Quantum und Firefox ESR vor dem aktuellen Release 52.5 betroffen. Die Versionen vor 7.0.10 des anonymisierenden Tor Browsers sind such verwundbar, weil der Tor-Browser auf Firefox ESR aufsetzt.

Unter den insgesamt 15 in Firefox geschlossenen Sicherheitslücken bewerten die Entwickler drei als „kritisch“ und eine als „hoch“. Weitere elf Lücken ordnen sie als „niedrig“ bis „mittel“ ein. Das Notfallteam des BSI CERT Bund sieht das aber durchaus etwas anders: Es stufte das von den Sicherheitslücken ausgehende Risiko durchgängig als „sehr hoch“ ein.

Benutzer sollten in jedem Fall zügig updaten: Die abgesicherten Versionen des im Zuge des Projekts Quantum rundum überarbeiteten und nun deutlich schnelleren und ressourcenschonenderen Firefox 57 und von ESR 52.5 stehen zum Download bereit. Das gilt auch für den auf ESR 52.5 basierenden Tor Browser 7.0.10.

Tor-Browser verrät die IP-Adresse

Ende Oktober fiel Filippo Cavallarin vom Sicherheitsunternehmen We Are Segment eine Sicherheitslücke im Tor-Browser unter Linux und MacOS auf.

Diese TorMoil genannte Schwachstelle öffnet Links, die mit „file://“ beginnen, am Tor-Browser vorbei. Dummerweise kann bei diesem Versuch die echte IP-Adresse des Nutzers mit übertragen werden – damit wird die vom Tor-Browser versprochene Anonymität dann ausgehebelt.

Es betrifft nur die Betriebssysteme MacOS und Linux

Nach den Erläuterungen der Sicherheitsexperten von We Are Segment steckt die Schwachstelle im Umgang des Browsers Firefox, der die Basis für den Tor-Browser bildet, mit Links. Windows-, Tail- und Sandbox-Nutzer sind von dem Problem nicht betroffen.

Noch vor dem letzten Wochenende haben die Tor-Entwickler einen Hotfix für den Tor-Browser erarbeitet. Der aktuelle Tor-Browser für Mac und Linux steht auf torproject.org in der Version 7.0.9 zum Download bereit.

Wer den Tor-Browser für Linux oder MacOS oder Tor-Software aus dem Alpha-Zweig der Entwicklung nutzt, sollte die neue Version so schnell wie möglich installieren. Heute soll noch eine überarbeitete Alpha-Version für Linux und MacOS online gestellt werden.

File-Links können dann nicht mehr angeklickt werden

Achtung: Der Hotfix in der neuen Browser-Version schließt zwar die Sicherheitslücke, bringt jedoch eine Einschränkung mit. Das Klicken auf „file://“-Links funktioniert damit nicht mehr. Nutzer können solche Links aber einfach in die Adressleiste ziehen, um dieses Problem zu umgehen.

Linux-Subsystem für Windows ist fertig

Die Betatestphase für das Windows Subsystem für Linux (WSL) wurde mit dem aktuellen Insider-Build 16251 von Windows 10  offiziell beendet. Die Entwickler dieser Funktion, die das Ausführen von Linux-Anwendungen unter Windows gestattet, ist das WSL jetzt stabil genug für die tägliche Nutzung. Außerhalb der Windows-Insider-Builds soll das stabile WSL mit dem Fall Creators Update (FCU) im Herbst erscheinen.

Nach der Ankündigung ändert sich technisch mit dem Ende der Betaphase fast nichts. Die Ankündigung soll lediglich ein Hinweis für solche Entwickler sein, die bisher wegen noch fehlender Stabilitätsgarantien WSL noch nicht genutzt haben.

Das Team weist aber erneut explizit darauf hin, dass diese Umgebung nicht etwa für den produktiven Einsatz, beispielsweise zum Hosten von Anwendungen, geeignet ist. Auch grafische Anwendungen werden zumindest offiziell nicht unterstützt. Das System soll nur eine interaktive Hilfe für Entwickler bei der Erstellung ihrer Anwendungen sein.

Die Performance von Firefox 55

Firefox-Entwickler Dietrich Alaya berichtet in seinem Blog von der angeblich drastischen Performanceverbesserung des 55er Feuerfuchses. Mit viel Aufwand lädt der Mann ein Profil von ca. 1.700 Internetseiten – allerdings ohne mit dem Internet verbunden zu sein – und freut sich dann, dass das relativ wenig Speicher verbraucht…

Dieser Test zeigt zwar bei den unterschiedlichsten Firefox-Versionen gemäß der Grafik eine Super-Performance an, aber alle üblichen Tests wie beispielsweise Speedometer, Motion Mark oder ARES 6 zeigen nach einem Bericht von ZDNet, dass der Mozilla-Browser nicht wirklich nennenswert an Performance gewonnen hat und Firefox schneidet dabei auch im Vergleich mit Googles Chrome deutlich schwächer ab.

Es bleibt also für Mozilla noch einiges zu tun.

Vivaldi 1.10 dockt Entwickler-Tools an

Neben neuen Möglichkeiten zur Gestaltung der Startseite kommt die neue Version des Browsers Vivaldi 1.10 mit einem besonders für Entwickler und Seitenersteller interessanten Feature daher.

Entwicklungswerkzeuge andockbar

Ab diesem Release kann Vivaldi die beliebten Entwickler-Tools nicht nur wie bisher in einem separaten Fenster aufrufen. Jetzt können die Tools neben oder unter der angezeigten Internetseite andocken, um zum Beispiel Elemente zu inspizieren oder Code zu testen und debuggen.

Neue und verbesserte Funktionen

Außer der Startseite und der Andockbarkeit der Entwicklerwerkzeuge wurden folgende Funktionen neu aufgenommen oder verbessert:

  • Sortierfunktion für Downloads
  • Bilder sichtbar/unsichtbar schalten
  • Schnelle Tastaturbefehle
  • Adressleise überarbeitet
  • Neue Tabs auch für Drittanbieter

Das Ende des Windows App Tools

Zum Ende des Jahres 2017 schließt Microsoft die kostenlose Online-Anwendung Windows App Studio. Wer das beliebte Werkzeug zur einfachen Erstellung von UWP(Universal Windows Platform)-Anwendungen  auf Basis von Vorlagen noch nutzt, kann seine Projekte und Daten bis zum 1. Dezember 2017 von dort herunterladen.

Ab dem 15. Juli, also in 12 Tagen, können Sie sich beim Windows App Studio nicht mehr als neuer Benutzer registrieren. Der Online-Application Editor selbst funktioniert sogar nur noch bis zum 15. September.

Windows Template Studio ersetzt Windows App Studio

Microsoft hat das Werkzeug aber nicht ersatzlos gestrichen, sondern empfiehlt stattdessen jetzt den Umstieg der Benutzer auf das Windows Template Studio, das gerade erst in Version 1.1 erschienen ist.

Nach einem Blogbeitrag zum Ende von Windows App Studio ist das neue Tool eine Weiterentwicklung des Windows App StudioWindows Template Studio ist jetzt auch anders als sein Vorgänger Open-Source-Software. Einzelheiten zu dem Migrationsprozess will Microsoft den Benutzern jetzt per Email mitteilen.

Anfangs hieß das Windows App Studio noch Windows Phone App Studiound hatte seine Wurzeln in den Bemühungen von Microsoft um eine übergreifende Entwicklung für alle Windows-Plattformen. Damals waren das Windows Phone 8.1 und Windows 8.1.

Mit dem Tool lassen sich nicht nur einfache Apps komplett erstellen, sondern auch auch Gerüste dazu, die Software-Entwickler dann in Visual Studio um weitere Funktionen erweitern können.

Vorbereiten auf PHP 7

Im August dieses Jahres endet der aktive Support für PHP 5. Danach gibt es noch ein Jahr länger Patches gegen Sicherheitslücken geben, aber so langsam müssen sich Entwickler und Anwender darauf einstellen, ihre PHP-Programme rechtzeitig auf die neue Version PHP 7 zu migrieren.

Durch diese klaren Festlegungen zur Support-Dauer wollen die Entwickler einen Fehler wie beim Erscheinen von PHP 5 vermeiden. Damals hatten sie nämlich kein eindeutiges Ende für die Vorversion PHP 4 vorgegeben, die deshalb noch recht lange gewartet werden musste.

Das PHP-Projekt hat PHP 7 genutzt, um viele zuvor als „deprecated“ abgekündigte Altlasten aus PHP herauszunehmen und die teilweise inkonsistente und undokumentierte Semantik aufzuräumen. Unter anderem zur sauberen Implementierung eines abstrakten Syntaxbaums überarbeiteten die Entwickler die Syntax von PHP 7 bezüglich der Verwendung von Variablen.

PHP-Programmierer müssen aber nicht nur auf Altes verzichten – sie bekommen mit PHP 7 auch viele neue Features, die die Arbeit mit der Skriptsprache sicherer und komfortabler machen.

Filezilla jetzt mit Master-Passwort

Die Nutzer des für diverse Betriebssysteme verfügbaren FTP-Clients Filezilla sollen die Passwörter für ihre FTP-Sites jetzt endlich mit einem Master-Passwort verschlüsselt auf der Festplatte speichern können.

Bisher sind diese Daten in einer Textdatei ohne Verschlüsselung abgelegt, und wer sich Zugang zu dieser Datei verschafft, hat auch alle Passwörter für die von Filezilla gespeicherten FTP-Zugänge. Das neue Master-Passwort steht schon im Release Candidate der Betaversion 3.26.00 zur Verfügung. Das Master-Passwort muss der User in den Optionen erst aktivieren.

Wie beispielsweise Bleepingcomputer.com und andere berichten, haben die Nutzer von Filezilla schon seit zehn Jahren immer wieder erfolglos gebeten, dass die FTP-Passwörter bei Filezilla durch ein Master-Passwort geschützt und nur noch verschlüsselt gespeichert werden.

Ende 2016 hat nach dem Bericht dann ein frustierter Benutzer einen Fork des Filezilla-Programms mit einem solchen Master-Passwort erstellt, weil ihm durch Malware alle seine Passwörter kopiert und damit gestohlen wurden. Man vermutet, dass dieser Fork den Druck auf den Entwickler von Filezilla erhöht hat, jetzt endlich selbst tätig zu werden.

Firefox Aurora wird eingestellt

Die Firefox-Entwickler räumen die Vorabversionen des Browsers auf und trennen sich vom Aurora Channel, der zwischen den auch künftig weiter verfügbaren Nightly Builds und den Betaversionen lag.

Nach einer Erklärung des Firefox-Teams hat der Test-Channel Aurora seine Erwartungen als erster stabilisierter Kanal nicht wirklich erfüllt. Anwender sollen durch die jetzige Änderung eine klare Auswahl zwischen Nightly mit experimentellen Features und Beta für eine stabilere Vorschau haben.

Die Firefox-Entwickler hatten den Aurora Channel vor sechs Jahren mit dem Wechsel von Version 5 auf kürzere Releasezyklen eingeführt, um dadurch mehr Rückmeldungen der Benutzer vor der jeweiligen Betaphase zu erhalten.

Laut ihrer Erklärung sind die Prozesse inzwischen moderner geworden, so dass sich das Team glaubt, stabilere Varianten des Browsers auch ohne die zusätzliche sechs- bis achtwöchige Aurora-Phase erstellen zu können. Neue Features werden künftig vom Nightly in den Beta Channel hinüberwandern, wenn sie die zuvor festgelegten Kriterien erfüllen.