Neues Jahr, neue Schnorrer, die glauben, sie können mit meiner Arbeit leicht Geld verdienen. Mal wieder eine illegale Kopie von Periodical mit reichlich Werbung, veröffentlicht unter https://play.google.com/store/apps/details?id=com.boom.peri (Stand 11. Februar 2020. Falls diese URL nicht mehr verfügbar ist, wurde sie bereits gelöscht):
Wie üblich sind keine Quelltexte dazu verfügbar und auch jegliche Hinweise auf die Open Source-Quelle wurden entfernt.
Die DNS-Abfrage prüft ab sofort auch, ob die angegebene Domain mit DNSSEC abgesichert ist. Außerdem werden bei der Abfrage von Subdomains nun auch immer alle Einträge der Domain selbst ermittelt.
Vor vielen Jahren habe ich Renoise entdeckt – ein sogenannter „Tracker“, um Musik am Computer zu machen. Zwar habe ich mich damit in den letzten Jahren nicht besonders beschäftigt, aber ich habe eine nach wie vor gültige Lizenz und neulich mal nachgesehen, ob das Projekt noch existiert.
Tatsächlich ist Renoise auch nach fast 20 Jahren noch aktiv und bietet seit Version 3.2 auch die Unterstützung der nativen Auflösung und Skalierung in 4K:
Lange Zeit habe ich selbst auch PGP für E-Mail genutzt, mittlerweile aber nicht mehr. Verschlüsselte Kommunikation funktioniert besser über Lösungen wie Signal.
Florian Berger hat dazu einen recht passenden Artikel geschrieben:
https://florian-berger.de/de/texte/bitte-hoert-auf-fuer-pgp-zu-werben/
Es gibt auch einen lesenswerten, englischsprachigen Artikel, der das generelle Problem von E-Mail-Verschlüsselung veranschaulicht:
Ab dem 14. Januar 2020 erhält Windows 7 keine Sicherheitsupdates mehr (siehe dazu auch die entsprechende Information dazu bei Microsoft). Das ist Grund genug, mein immer noch regelmäßig genutztes Lenovo Thinkpad X220 endlich auf Linux umzustellen.
Im Juni 2019 hat Nextcloud einen interessanten Texteditor vorgestellt, der Markdown als Grundlage nutzt, dies aber optisch nicht zeigt – die Oberfläche ist sehr aufgeräumt und Texte werden immer formatiert angezeigt und bearbeitet. Man kann die Markdown-Syntax bei der Eingabe verwenden, aber zusätzlich steht eine Werkzeugleiste am oberen Rand des Editors zur Verfügung. Zum Anlegen einer neuen Datei verwendet man wie üblich das „+“-Symbol in der Dateiverwaltung von Nextcloud.
Unter dem Begriff „DLL-Hijacking“ bezeichnet man eine Sicherheitslücke, bei der Angreifer Programme dazu bekommen können, statt der korrekten DLLs eigene Versionen mit Schadcode zu laden und auszuführen. Siehe dazu auch https://de.wikipedia.org/wiki/DLL_Hijacking und https://skanthak.homepage.t-online.de/sentinel.html.
Die Windows-Version von Banking4 der Firma Subsembly ist leider auch für diese Lücke anfällig. Der Grund dafür ist, dass die Installation nicht als MSI-Paket angeboten wird, sondern als ausführbares Programm TopBanking4Setup.exe, siehe auch https://subsembly.com/buybanking4.html. Das Problem: dieses Programm fordert administrative Rechte für die Installation an und lädt dann unter anderem auch die DLL cabinet.dll.
Kürzlich war bei heise.de (https://heise.de/-4421379) folgende Meldung zu lesen:
WhatsApp leidet an einer Sicherheitslücke (CVE-2019-3568), die Unbefugten Fernzugriff auf das jeweilige Gerät erlaubt. Der Angreifer kann die Spyware einfach durch einen WhatsApp-Anruf in das jeweilige Gerät einschleusen, selbst wenn der Angerufene gar nicht abhebt. Seit Montagabend gibt es einen Patch.
Außerdem gab es schon letztes Jahr Berichte darüber, dass WhatsApp Nachrichten scannen wird, um personalisierte Werbung zu zeigen, was mittlerweile wohl auch der Fall ist:
WhatsApp will Werbung schalten und Verschlüsselung schwächen (Perspektive online)
Werbung bei WhatsApp: Jetzt wird Geld verdient! (heise)
Diese und etliche andere Ereignisse dieser Art (ich erinnere da auch an den „Cambridge Analytica“-Skandal bei Facebook) habe mich bisher davon abgehalten, WhatsApp auf irgendeinem meiner Geräte zu installieren und zu nutzen und ich werde das auch künftig nicht tun.
Wer WhatsApp verwendet, sollte sich darüber im Klaren sein, dass man potentiell angreifbar ist. Einerseits ist der Quellcode von WhatsApp nicht offengelegt, so dass niemand weiß, welche möglichen Hintertüren und Sicherheitslücken dort existieren, andererseits ist WhatsApp durch die riesige Zahl der Nutzer auch ein attraktives Ziel für Angriffe.
Als Alternative kann ich „Signal“ empfehlen. Das ist ein freier Messenger, dessen Quellen auch offengelegt sind und der auch von Sicherheitsexperten empfohlen wird. Auch Edward Snowden nutzt und empfielt diese App. Wie bei WhatsApp genügt auch hier die Mobilnummer zur Anmeldung und zur Kontaktaufnahme mit anderen Personen, wobei der Betreiber von Signal keinen Zugriff auf diese Daten hat und ebenso alle Nachrichten verschlüsselt sind und nur von den Beteiligten Personen gelesen werden können.
Seit dem 4. Mai 2019 hat Firefox ein Problem mit AddOns: ein Zertifikat, mit dem AddOns signiert sein müssen, damit diese ausgeführt werden, ist abgelaufen. Das führt dazu, dass viele AddOns in Firefox deaktiviert wurden, wie etwa uBlock Origin.
Das Update auf Version 66.0.4 hat dieses Problem behoben. Für die Android-Version ist derzeit aber noch kein Update angekündigt.
Als Workaround hat Mozilla einen Hotfix als „Studie“ für Firefox bereitgestellt. Siehe dazu auch den Beitrag von Mozilla. Das funktioniert allerdings nicht, wenn man „Studien“ in about:preferences#privacy abgeschaltet hat. Ebenso hilft das nicht für die Android-Version, in der es „Studien“ gar nicht gibt. Man kann den Hotfox aber auch direkt installieren über folgendes Paket:
hotfix-update-xpi-intermediate@mozilla.com-1.0.2-signed.xpi
Quellen: Deskmodder, WinFuture
Update 2019-05-09: Mittlerweile hat Mozilla ein auch einen eigenen Beitrag zu diesem Thema veröffentlicht: https://hacks.mozilla.org/2019/05/technical-details-on-the-recent-firefox-add-on-outage/
Bei meiner Beschreibung von Nextcloud hatte ich auch OnlyOffice erwähnt, das man innerhalb von Nextcloud im Browser nutzen kann.
Seitdem hat sich hier einiges getan: Nextcloud und OnlyOffice haben im November 2018 ihre Zusammenarbeit angekündigt und mittlerweile bietet die Desktop-Version von OnlyOffice auch die Integration von Nextcloud an.
