social.stefan-muenz.de

Search

Items tagged with: OpenSource

Standard Ebooks is a volunteer-driven project that produces new editions of public domain ebooks that are lovingly formatted, open source, free of copyright restrictions, and free of cost

See https://standardebooks.org/

#technology #opensource #ebooks #reading #nodrm
 

zedeus/nitter: Alternative Twitter front-end

Nitter

A free and open source alternative Twitter front-end focused on privacy.
Inspired by the Invidious project.

No JavaScript or ads
All requests go through the backend, client never talks to Twitter
Prevents Twitter from tracking your IP or JavaScript fingerprint
Uses Twitter's unofficial API (no rate limits or developer account required)
Lightweight (for @nim_lang, 60KB vs 784KB from twitter.com)
RSS feeds
Themes
Mobile support (responsive design)
AGPLv3 licensed, no proprietary instances permitted
https://github.com/zedeus/nitter

#repost #twitter #nitter #OpenSource #Open-Source #AGPL3 #RSS #Privacy #Invidious
 

zedeus/nitter: Alternative Twitter front-end

Nitter

A free and open source alternative Twitter front-end focused on privacy.
Inspired by the Invidious project.

No JavaScript or ads
All requests go through the backend, client never talks to Twitter
Prevents Twitter from tracking your IP or JavaScript fingerprint
Uses Twitter's unofficial API (no rate limits or developer account required)
Lightweight (for @nim_lang, 60KB vs 784KB from twitter.com)
RSS feeds
Themes
Mobile support (responsive design)
AGPLv3 licensed, no proprietary instances permitted
https://github.com/zedeus/nitter

#repost #twitter #nitter #OpenSource #Open-Source #AGPL3 #RSS #Privacy #Invidious
 
#Percona Server 8.0.23 has been released!

A big "Thank You!" to the entire team that worked on getting this release out.

#opensource #databases #mysql

https://www.percona.com/doc/percona-server/LATEST/release-notes/Percona-Server-8.0.23-14.html
 

SonoBus is an open source cross-platform application for streaming high-quality, low-latency peer-to-peer audio between devices over the internet or a local network

Content warning: Connects multiple users together to send and receive audio among all in a group, with fine-grained control over latency, quality and overall mix. Includes optional input compression, noise gate, and EQ effects, along with a master reverb. All settings are

 
Oh, #mysql 8.0.25 has been released. Looking at the out-of-cycle release date and the short release notes, that single bug fix must have been pretty severe.

#opensource #databases

https://dev.mysql.com/doc/relnotes/mysql/8.0/en/news-8-0-25.html
 
Just a reminder that I will be discussing topics like openness and collaboration with Sanja Bonic at #PerconaLive ONLINE 2021 on May 13th (14:00 CET).

Register now to attend for free, and be a part of the #opensource #database conversation.

https://events.percona.com/
Bild/Foto
 
Hallo zusammen,

ich bin ebenfalls #neuhier! Vielen Dank an @juleLe für die sehr freundliche Einladung. Ebenfalls danke ich dem ganzen Team von @digitalcourage für meine schicke neue Heimat im Fediverse.

Derzeit arbeite ich in einer öffentlichen Behörde und setze mich im Rahmen dessen für mehr #OpenSource in der Verwaltung ein, bringe mich aktiv in die Kampagne #PublicMoneyPublicCode der @fsfe ein und dank @do_foss habe ich zusätzlich noch das #urbangardening mit @opensourceseeds für mich entdeckt.

Ich bin fest davon überzeugt, dass wir digitale Infrastruktur als öffentliche Daseinsvorsorge verstehen müssen. Deshalb betreiben wir in #Bühl ein offenes #LoRaWAN via #TheThingsNetwork oder betreiben ein eigenes #JitsiMeet Cluster in der Region.

Bis bald, liebe Filterblase 👋
 
On a sunny day this week, we gathered and constructed a bench for our #OpenSource #Garden in #Berlin so we and others can sit together and grow our passion. Thanks to everyone involved and our decent neighbours ^^

#ConnectingGardens #AllmendeKontor #TempelhoferFeld
Bild/Foto
Bild/Foto
Bild/Foto
 
Percona Live is going to be our biggest and best #opensource event yet. We would love you to join us on May 12-13. The full agenda is live and registration is open and free, check it out!

#PerconaLive #MySQL #MongoDB #PostgreSQL #MariaDB

https://www.percona.com/blog/2021/04/06/whats-new-at-percona-live-online-2021/
 
[bookmark=https://twitter.com/obermaedchen/status/1386670859021168642]Yeah! Wir haben gerade als #grün #rosa #Fraktion unser #opensource Konzept einstimmig verabschiedet, das unseren grün-roten #Koalitionsvertrag in #München mit Leben füllt. Freue mich mega!
#digitaleSouveränität #FOSS [/bookmark]
 
[bookmark=https://twitter.com/obermaedchen/status/1386670859021168642]Yeah! Wir haben gerade als #grün #rosa #Fraktion unser #opensource Konzept einstimmig verabschiedet, das unseren grün-roten #Koalitionsvertrag in #München mit Leben füllt. Freue mich mega! github.com/missgreenwood/…
#digitaleSouveränität #FOSS [/bookmark]
 
Gajim 1.3.2 has been released! 🚀
This release brings back translations for Windows users. It also includes some small fixes and improvements.

#xmpp #chat #opensource

https://gajim.org/post/2021-04-24-gajim-1.3.2-released/
 
@kaffeeringe wozu braucht man denn im allgemeinen "offiziellen" Support für adware und bloadware, wenn es #opensource Möglichkeiten und #lineageos gibt?
 
Percona’s Peter Zaitsev has updated instructions for adding information about processes to your #Percona Monitoring and Management (PMM) instance, now that Process Exporter went through many changes in the update to PMM v2.

https://www.percona.com/blog/2021/04/22/understanding-processes-running-on-linux-host-with-percona-monitoring-and-management/

#Linux #opensource #databases #monitoring #grafana
 
It's time! InfiniTime, the fully #opensource firmware for the #pinetime , has reached version 1.0. With this first end-user release, the PineTime is now considered an enthusiast-grade daily usage device.

https://www.pine64.org/2021/04/22/its-time-infinitime-1-0/
Bild/Foto
 
Have you registered for #PerconaLive yet? The agenda is packed with goodness, attendance is free! 19 days to go!

https://perconaliveonline.sched.com/

#opensource #conference #remote #infrastructure #databases
 
After I've been evaluating a lot of #opensource #videoediting applications for #linux, I stumbled over #shotcut - finally a tool that is intuitive to use, feature-rich and does not crash!

https://www.shotcutapp.com/
 
Greetings, everyone! 🌱
OpenSourceSeeds is committed to re-establishing seed as a common good for all. We do this by providing new varieties with an open-source licence. This is an easy way to legally protect seed from patents and other forms of privatization.

We'd love to get in contact with anyone interested in open source, commons, seeds, organic agriculture and agrobiodiversity. See you soon! 🥦

#opensourceseeds #introduction #opensource
 

#Linux bans #University of #Minnesota for committing malicious #code


source: https://www.bleepingcomputer.com/news/security/linux-bans-university-of-minnesota-for-committing-malicious-code/
The move comes after a group of UMN researchers were caught submitting a series of malicious code commits, or #patches that deliberately introduced #security vulnerabilities in the official Linux #codebase, as a part of their #research activities.
These days I often have the feeling that everyone is going #crazy and has reached the end of their intellectual capacity. :(

Bild/Foto

#Fail #science #bug #exploration #software #source #opensource #floss #freedom #news
 

#Linux bans #University of #Minnesota for committing malicious #code


source: https://www.bleepingcomputer.com/news/security/linux-bans-university-of-minnesota-for-committing-malicious-code/
The move comes after a group of UMN researchers were caught submitting a series of malicious code commits, or #patches that deliberately introduced #security vulnerabilities in the official Linux #codebase, as a part of their #research activities.
These days I often have the feeling that everyone is going #crazy and has reached the end of their intellectual capacity. :(

Bild/Foto

#Fail #science #bug #exploration #software #source #opensource #floss #freedom #news
 

#Doctolib, de nouveau chahuté sur la confidentialité des données


https://www.zdnet.fr/actualites/doctolib-de-nouveau-chahute-sur-la-confidentialite-des-donnees-39919277.htm

Article connexe sur Nextinpact : article de Nextinpact sur le même sujet : Doctolib accusé d’être trop bavard sur les données de santé
Pour avoir plus de détails, il faut se tourner vers une autre série de tests réalisés par Rémy Grünblatt, chercheur à l’ #INRIA, qui a publié un post de blog retraçant ses propres constats sur la #confidentialité des #données de l’ #application #Android de la #société. Selon lui, « Doctolib est en effet trop bavard, et fait fuiter des données liées à la #santé de ses utilisateurs à d'autres #entreprises privées ».

Il explique que le service de Doctolib transmet de nombreuses #métadonnées à des prestataires américains, notamment #Cloudinary, #Amazon Web Services et #Cloudflare, dont certaines peuvent permettre de déduire des #informations de santé liées à un #utilisateur en recoupant avec son adresse #IP.
[...]
l’organisation InterHop accompagnée d’autres requérants, a en effet déposé un recours devant le Conseil d’ #Etat visant à faire annuler le partenariat passé entre Doctolib et le #gouvernement autour de la campagne de #vaccination contre la #Covid-19. Selon #Nextinpact, ce recours a été examiné lundi et une réponse du Conseil d’Etat est attendue incessamment sous peu.
.....

RÉPONSE DU COLLECTIF INTERHOP : InterHop répond à France Inter et à Doctolib
Données de santé
Nous rappelons que les rendez-vous médicaux sont des données de santé, ceci a été réaffirmé par la CNIL et le Conseil National de l’Ordre des Médecins dans un papier commun.
Les rendez-vous réalisés sur la plateforme Doctolib n’échappent donc pas à cette définition juridique.
InterHop, sujet global "Doctolib" : https://interhop.org/category/doctolib/

.....

Ne surtout pas douter de la suite : destruction de la Sécu, #Privatisation complète du secteur de la santé, assurances privées qui fixeront des tarifs en fonction de votre santé ==> en bonne santé et/ou #riche, ça va, et sinon, #pauvre, tant pis : retour au 19eme siècle.

Une #alternative à Doctolib se prépare, grâce au collectif https://InterHop.org , il s'agit de https://toobib.org, logiciel de prise de #RDV #Médical qui devrait être opérationnel bientôt, en mai-juin !

Il faut par contre en parler autour de soi, aux divers #praticiens de santé, pour le faire connaître !

Conseil : Envoyer un petit #sms de présentation, aux #soignants comme #kiné #ostéo #infirmier #infirmière #radiologie #médecin #docteur etc... pour annoncer la sortie de #Toobib lancé par le collectif #InterHop !!
Hop hop !! voilà une #initiative #Action #citoyenne à faire ! :)

Trailer #Film La Sociale : https://invidious.tube/watch?v=1ykrnRM3Vww ou yt : https://youtube.com/watch?v=1ykrnRM3Vww
Une médecin urgentiste parle :

Les gens ne se rendent pas compte, tant qu'ils sont sur un petit risque, que, finalement, la Sécu, elle est fondamentale, et que tout le monde aura un gros risque, forcément, puisqu'on meurt... !

#Politique #Économie #Start-up #France #USA #Privé #GAFAM #Public #LogicielLibre #OpenSource #Assurance #Mutuelle #Sécu #LaSociale #Social #SécuritéSociale #Solidarité
 

#Doctolib, de nouveau chahuté sur la confidentialité des données


https://www.zdnet.fr/actualites/doctolib-de-nouveau-chahute-sur-la-confidentialite-des-donnees-39919277.htm

Article connexe sur Nextinpact : article de Nextinpact sur le même sujet : Doctolib accusé d’être trop bavard sur les données de santé
Pour avoir plus de détails, il faut se tourner vers une autre série de tests réalisés par Rémy Grünblatt, chercheur à l’ #INRIA, qui a publié un post de blog retraçant ses propres constats sur la #confidentialité des #données de l’ #application #Android de la #société. Selon lui, « Doctolib est en effet trop bavard, et fait fuiter des données liées à la #santé de ses utilisateurs à d'autres #entreprises privées ».

Il explique que le service de Doctolib transmet de nombreuses #métadonnées à des prestataires américains, notamment #Cloudinary, #Amazon Web Services et #Cloudflare, dont certaines peuvent permettre de déduire des #informations de santé liées à un #utilisateur en recoupant avec son adresse #IP.
[...]
l’organisation InterHop accompagnée d’autres requérants, a en effet déposé un recours devant le Conseil d’ #Etat visant à faire annuler le partenariat passé entre Doctolib et le #gouvernement autour de la campagne de #vaccination contre la #Covid-19. Selon #Nextinpact, ce recours a été examiné lundi et une réponse du Conseil d’Etat est attendue incessamment sous peu.
.....

RÉPONSE DU COLLECTIF INTERHOP : InterHop répond à France Inter et à Doctolib
Données de santé
Nous rappelons que les rendez-vous médicaux sont des données de santé, ceci a été réaffirmé par la CNIL et le Conseil National de l’Ordre des Médecins dans un papier commun.
Les rendez-vous réalisés sur la plateforme Doctolib n’échappent donc pas à cette définition juridique.
InterHop, sujet global "Doctolib" : https://interhop.org/category/doctolib/

.....

Ne surtout pas douter de la suite : destruction de la Sécu, #Privatisation complète du secteur de la santé, assurances privées qui fixeront des tarifs en fonction de votre santé ==> en bonne santé et/ou #riche, ça va, et sinon, #pauvre, tant pis : retour au 19eme siècle.

Une #alternative à Doctolib se prépare, grâce au collectif https://InterHop.org , il s'agit de https://toobib.org, logiciel de prise de #RDV #Médical qui devrait être opérationnel bientôt, en mai-juin !

Il faut par contre en parler autour de soi, aux divers #praticiens de santé, pour le faire connaître !

Conseil : Envoyer un petit #sms de présentation, aux #soignants comme #kiné #ostéo #infirmier #infirmière #radiologie #médecin #docteur etc... pour annoncer la sortie de #Toobib lancé par le collectif #InterHop !!
Hop hop !! voilà une #initiative #Action #citoyenne à faire ! :)

Trailer #Film La Sociale : https://invidious.tube/watch?v=1ykrnRM3Vww ou yt : https://youtube.com/watch?v=1ykrnRM3Vww
Une médecin urgentiste parle :

Les gens ne se rendent pas compte, tant qu'ils sont sur un petit risque, que, finalement, la Sécu, elle est fondamentale, et que tout le monde aura un gros risque, forcément, puisqu'on meurt... !

#Politique #Économie #Start-up #France #USA #Privé #GAFAM #Public #LogicielLibre #OpenSource #Assurance #Mutuelle #Sécu #LaSociale #Social #SécuritéSociale #Solidarité
 
Oracle #MySQL 8.0.24 was released yesterday, including a patch from Venkatesh Prasad, member of the #percona Server Engineering Team:

https://lefred.be/content/mysql-8-0-24-thank-you-for-the-contributions/

#opensource #databases #community
 

#Sicherheit in der Luca-App und von #OpenSource allgemein


Durch einen Post von @Michael Vogel wurde ich auf ein Problem im Quellcode der Luca-App aufmerksam: https://pod.geraspora.de/posts/13446160

Die zwei kritischen Code-Stücke sind für das Testen zuständig und man findet sie hier: https://gitlab.com/lucaapp/android/-/blob/master/Luca/app/src/main/java/de/culture4life/luca/ui/registration/RegistrationViewModel.java

Teil 1:
public boolean isUsingTestingCredentials() {
return Objects.equals(firstName.getValue(), "John")
&& Objects.equals(lastName.getValue(), "Doe")
&& Objects.equals(phoneNumber.getValue(), "+4900000000000")
&& Objects.equals(email.getValue(), "john.doe@gmail.com");
}

Teil 2:
boolean isValidPhoneNumber(String phoneNumberString) {
if (isUsingTestingCredentials()) {
return true;
}
try {...

Als Hackerin mit Codex will ich mich darüber nicht nur lustig machen sondern erklären worin das Problem liegt und wie man es beheben kann.

Sicherheitsverständnis bei Open-Source

Ein weit verbreitete Fehleinschätzung ist, dass Open-Source sicherer ist als geheimer proprietärer Quellcode. Niemand außer dem Besitzer kann geheimen Quellcode prüfen und deswegen können Fehler jahrelang unbemerkt bleiben und nur von Eingeweihten ausgenutzt werden. So kann man im geheimen Quellcode problemlos Hintertüren und andere Schweinereien verstecken.

Open-Source oder freier Quellcode kann von jedem eingesehen werden und so ist es schwieriger dort Hintertüren zu verstecken. Diese Schwierigkeit macht den offenen Quellecode schon mal ein bisschen sicherer. Dann muss dieser Quellcode aber immer noch getestet, überprüft und kontrolliert werden. Geschieht dies nicht und alle vertrauen nur blind auf die Sicherheit dann ist das sehr fahrlässig. Es gibt leider Beispiele wo offensichtliche Fehler im frei zugänglichen Quellcode jahrelang übersehen wurden - siehe: Heartbleed - https://de.wikipedia.org/wiki/Heartbleed

Jetzt muss man aber auch die Philosophie von freier Software verstehen und die wird nirgendwo an der Universität gelehrt. Die muss man sich per Selbststudium im Internet beibringen. Wenn jeder in den Quellcode schauen kann und er danach immer noch sicher ist, dann habe ich echte Sicherheit (immer vorausgesetzt, dass Experten auch drauf geschaut haben). Das heißt natürlich, dass ich nichts in den Quellcode schreiben darf was man später ausnutzen kann (weil dies würde die Sicherheit schwächen).

Leider lernt man an der Universität oder Ausbildung sogut wie nichts über Sicherheit, die schon beim Design der Software ansetzt. Dies sind relativ neue Forschungen und die Ausbildungskräfte bilden sich nicht gut genug fort als das sie darüber Kenntnisse hätten. Für Wirtschaftsinformatiker scheint es wichtiger zu sein, dass sie profitabel sind und nicht sicheren Quellcode schreiben (blöder Kapitalismus).

Was ist hier das Problem?

Am oben gezeigten Quellcode sieht man, dass getestet wird. So was nennt man Test-Driven-Development und das ist zunächst etwas Gutes. Der Quellcode wird vor dem "Build" also dem zusammenbauen als fertige App zunächst automatisiert getestet und wenn ein Test fehlschlägt wird der "Build" abgebrochen, sodass der Fehler korrigiert werden muss. Der Fehler kann wenn er durch den Test erkannt wird also nicht beim Endbenutzer auftauchen.

Wie man aber in Teil 2 oben sieht kann man mit den Testdaten Prüfungen in der App umgehen und dadurch mehr Rechte erhalten. Noch viel schlimmer ist, dass wir in Teil 2 sehen, das der "try"-Teil erst nach der Prüfung auf Testdaten startet. "Try" ist für die Fehlerbehandlung zuständig und das bedeutet ich kann mit Testdaten die App in einen undefinierten Zustand bringen, weil es keine Fehlerbehandlung gibt. Diese undefinierten Zustände können Hacker häufig für Exploits ausnutzen.

Insgesamt also alles sehr schlecht!

Wie kann ich das besser machen?

1) Compilerflags - Mit Compilerflags kann ich verhindern, das bestimmte Programmteile in der produktiven App landen. Vereinfacht gesagt ich baue mir eine Testversion und wenn die funktioniert dann baue ich mir eine Produktivversion wo die Testfunktionen nicht enthalten sind. Großer Nachteil dieser Methode ist, das Programmierer gelegentlich vergessen, die Testfunktionen richtig rauszulöschen mit den Flags weil sie zu sehr unter Druck stehen und dann Fehler machen. So ist es häufiger schon passiert, dass unbeabsichtigt Testfunktionen doch im Produktivsystem gelandet sind. Ein weiteres Problem ist wenn Fehler nicht in der Testversion auftreten aber im Produktivsystem weil es anders gebaut wurde. Dann sind wahrscheinlich irgendwo die Compilerflags falsch gesetzt worden. Ein Fehler den man dann niemals machen darf, der aber schon passiert ist, ist, dass dann einfach die Testversion ausgeliefert wird in der Hoffnung, dass das niemand merkt.

2) Testflags verwenden - In der Testumgebung wird über die Konfiguration ein bestimmtes Flag gesetzt, sodass die Software weiß, dass sie im Testmodus ist. Nachteil ist, dass bösartige Hacker diese Flag auch in der Produktivumgebung setzen könnten.

3) So Testen, dass es keinen Unterschied macht (beste Lösung). Warum im Testsystem nicht mit anonymisierten oder pseudonymisierten Daten so testen wie unter echten Bedingungen? Meistens macht das etwas mehr Aufwand aber dafür hat man die Tests unter Echtbedingungen gemacht was den höchsten Wert hat. Keine Flags oder Funktionen im Quellcode die ausgenutzt werden könnten.
#luca #software #testen #test #sicherheit #problem #bildung #entwicklung #verstädnis #lernen #hack #hacking #app #smartphone #gesundheit #corona #programm
 

#Sicherheit in der Luca-App und von #OpenSource allgemein


Durch einen Post von @Michael Vogel wurde ich auf ein Problem im Quellcode der Luca-App aufmerksam: https://pod.geraspora.de/posts/13446160

Die zwei kritischen Code-Stücke sind für das Testen zuständig und man findet sie hier: https://gitlab.com/lucaapp/android/-/blob/master/Luca/app/src/main/java/de/culture4life/luca/ui/registration/RegistrationViewModel.java

Teil 1:
public boolean isUsingTestingCredentials() {
return Objects.equals(firstName.getValue(), "John")
&& Objects.equals(lastName.getValue(), "Doe")
&& Objects.equals(phoneNumber.getValue(), "+4900000000000")
&& Objects.equals(email.getValue(), "john.doe@gmail.com");
}

Teil 2:
boolean isValidPhoneNumber(String phoneNumberString) {
if (isUsingTestingCredentials()) {
return true;
}
try {...

Als Hackerin mit Codex will ich mich darüber nicht nur lustig machen sondern erklären worin das Problem liegt und wie man es beheben kann.

Sicherheitsverständnis bei Open-Source

Ein weit verbreitete Fehleinschätzung ist, dass Open-Source sicherer ist als geheimer proprietärer Quellcode. Niemand außer dem Besitzer kann geheimen Quellcode prüfen und deswegen können Fehler jahrelang unbemerkt bleiben und nur von Eingeweihten ausgenutzt werden. So kann man im geheimen Quellcode problemlos Hintertüren und andere Schweinereien verstecken.

Open-Source oder freier Quellcode kann von jedem eingesehen werden und so ist es schwieriger dort Hintertüren zu verstecken. Diese Schwierigkeit macht den offenen Quellecode schon mal ein bisschen sicherer. Dann muss dieser Quellcode aber immer noch getestet, überprüft und kontrolliert werden. Geschieht dies nicht und alle vertrauen nur blind auf die Sicherheit dann ist das sehr fahrlässig. Es gibt leider Beispiele wo offensichtliche Fehler im frei zugänglichen Quellcode jahrelang übersehen wurden - siehe: Heartbleed - https://de.wikipedia.org/wiki/Heartbleed

Jetzt muss man aber auch die Philosophie von freier Software verstehen und die wird nirgendwo an der Universität gelehrt. Die muss man sich per Selbststudium im Internet beibringen. Wenn jeder in den Quellcode schauen kann und er danach immer noch sicher ist, dann habe ich echte Sicherheit (immer vorausgesetzt, dass Experten auch drauf geschaut haben). Das heißt natürlich, dass ich nichts in den Quellcode schreiben darf was man später ausnutzen kann (weil dies würde die Sicherheit schwächen).

Leider lernt man an der Universität oder Ausbildung sogut wie nichts über Sicherheit, die schon beim Design der Software ansetzt. Dies sind relativ neue Forschungen und die Ausbildungskräfte bilden sich nicht gut genug fort als das sie darüber Kenntnisse hätten. Für Wirtschaftsinformatiker scheint es wichtiger zu sein, dass sie profitabel sind und nicht sicheren Quellcode schreiben (blöder Kapitalismus).

Was ist hier das Problem?

Am oben gezeigten Quellcode sieht man, dass getestet wird. So was nennt man Test-Driven-Development und das ist zunächst etwas Gutes. Der Quellcode wird vor dem "Build" also dem zusammenbauen als fertige App zunächst automatisiert getestet und wenn ein Test fehlschlägt wird der "Build" abgebrochen, sodass der Fehler korrigiert werden muss. Der Fehler kann wenn er durch den Test erkannt wird also nicht beim Endbenutzer auftauchen.

Wie man aber in Teil 2 oben sieht kann man mit den Testdaten Prüfungen in der App umgehen und dadurch mehr Rechte erhalten. Noch viel schlimmer ist, dass wir in Teil 2 sehen, das der "try"-Teil erst nach der Prüfung auf Testdaten startet. "Try" ist für die Fehlerbehandlung zuständig und das bedeutet ich kann mit Testdaten die App in einen undefinierten Zustand bringen, weil es keine Fehlerbehandlung gibt. Diese undefinierten Zustände können Hacker häufig für Exploits ausnutzen.

Insgesamt also alles sehr schlecht!

Wie kann ich das besser machen?

1) Compilerflags - Mit Compilerflags kann ich verhindern, das bestimmte Programmteile in der produktiven App landen. Vereinfacht gesagt ich baue mir eine Testversion und wenn die funktioniert dann baue ich mir eine Produktivversion wo die Testfunktionen nicht enthalten sind. Großer Nachteil dieser Methode ist, das Programmierer gelegentlich vergessen, die Testfunktionen richtig rauszulöschen mit den Flags weil sie zu sehr unter Druck stehen und dann Fehler machen. So ist es häufiger schon passiert, dass unbeabsichtigt Testfunktionen doch im Produktivsystem gelandet sind. Ein weiteres Problem ist wenn Fehler nicht in der Testversion auftreten aber im Produktivsystem weil es anders gebaut wurde. Dann sind wahrscheinlich irgendwo die Compilerflags falsch gesetzt worden. Ein Fehler den man dann niemals machen darf, der aber schon passiert ist, ist, dass dann einfach die Testversion ausgeliefert wird in der Hoffnung, dass das niemand merkt.

2) Testflags verwenden - In der Testumgebung wird über die Konfiguration ein bestimmtes Flag gesetzt, sodass die Software weiß, dass sie im Testmodus ist. Nachteil ist, dass bösartige Hacker diese Flag auch in der Produktivumgebung setzen könnten.

3) So Testen, dass es keinen Unterschied macht (beste Lösung). Warum im Testsystem nicht mit anonymisierten oder pseudonymisierten Daten so testen wie unter echten Bedingungen? Meistens macht das etwas mehr Aufwand aber dafür hat man die Tests unter Echtbedingungen gemacht was den höchsten Wert hat. Keine Flags oder Funktionen im Quellcode die ausgenutzt werden könnten.
#luca #software #testen #test #sicherheit #problem #bildung #entwicklung #verstädnis #lernen #hack #hacking #app #smartphone #gesundheit #corona #programm
 

#Sicherheit in der Luca-App und von #OpenSource allgemein


Durch einen Post von @Michael Vogel wurde ich auf ein Problem im Quellcode der Luca-App aufmerksam: https://pod.geraspora.de/posts/13446160

Die zwei kritischen Code-Stücke sind für das Testen zuständig und man findet sie hier: https://gitlab.com/lucaapp/android/-/blob/master/Luca/app/src/main/java/de/culture4life/luca/ui/registration/RegistrationViewModel.java

Teil 1:
public boolean isUsingTestingCredentials() {
return Objects.equals(firstName.getValue(), "John")
&& Objects.equals(lastName.getValue(), "Doe")
&& Objects.equals(phoneNumber.getValue(), "+4900000000000")
&& Objects.equals(email.getValue(), "john.doe@gmail.com");
}

Teil 2:
boolean isValidPhoneNumber(String phoneNumberString) {
if (isUsingTestingCredentials()) {
return true;
}
try {...

Als Hackerin mit Codex will ich mich darüber nicht nur lustig machen sondern erklären worin das Problem liegt und wie man es beheben kann.

Sicherheitsverständnis bei Open-Source

Ein weit verbreitete Fehleinschätzung ist, dass Open-Source sicherer ist als geheimer proprietärer Quellcode. Niemand außer dem Besitzer kann geheimen Quellcode prüfen und deswegen können Fehler jahrelang unbemerkt bleiben und nur von Eingeweihten ausgenutzt werden. So kann man im geheimen Quellcode problemlos Hintertüren und andere Schweinereien verstecken.

Open-Source oder freier Quellcode kann von jedem eingesehen werden und so ist es schwieriger dort Hintertüren zu verstecken. Diese Schwierigkeit macht den offenen Quellecode schon mal ein bisschen sicherer. Dann muss dieser Quellcode aber immer noch getestet, überprüft und kontrolliert werden. Geschieht dies nicht und alle vertrauen nur blind auf die Sicherheit dann ist das sehr fahrlässig. Es gibt leider Beispiele wo offensichtliche Fehler im frei zugänglichen Quellcode jahrelang übersehen wurden - siehe: Heartbleed - https://de.wikipedia.org/wiki/Heartbleed

Jetzt muss man aber auch die Philosophie von freier Software verstehen und die wird nirgendwo an der Universität gelehrt. Die muss man sich per Selbststudium im Internet beibringen. Wenn jeder in den Quellcode schauen kann und er danach immer noch sicher ist, dann habe ich echte Sicherheit (immer vorausgesetzt, dass Experten auch drauf geschaut haben). Das heißt natürlich, dass ich nichts in den Quellcode schreiben darf was man später ausnutzen kann (weil dies würde die Sicherheit schwächen).

Leider lernt man an der Universität oder Ausbildung sogut wie nichts über Sicherheit, die schon beim Design der Software ansetzt. Dies sind relativ neue Forschungen und die Ausbildungskräfte bilden sich nicht gut genug fort als das sie darüber Kenntnisse hätten. Für Wirtschaftsinformatiker scheint es wichtiger zu sein, dass sie profitabel sind und nicht sicheren Quellcode schreiben (blöder Kapitalismus).

Was ist hier das Problem?

Am oben gezeigten Quellcode sieht man, dass getestet wird. So was nennt man Test-Driven-Development und das ist zunächst etwas Gutes. Der Quellcode wird vor dem "Build" also dem zusammenbauen als fertige App zunächst automatisiert getestet und wenn ein Test fehlschlägt wird der "Build" abgebrochen, sodass der Fehler korrigiert werden muss. Der Fehler kann wenn er durch den Test erkannt wird also nicht beim Endbenutzer auftauchen.

Wie man aber in Teil 2 oben sieht kann man mit den Testdaten Prüfungen in der App umgehen und dadurch mehr Rechte erhalten. Noch viel schlimmer ist, dass wir in Teil 2 sehen, das der "try"-Teil erst nach der Prüfung auf Testdaten startet. "Try" ist für die Fehlerbehandlung zuständig und das bedeutet ich kann mit Testdaten die App in einen undefinierten Zustand bringen, weil es keine Fehlerbehandlung gibt. Diese undefinierten Zustände können Hacker häufig für Exploits ausnutzen.

Insgesamt also alles sehr schlecht!

Wie kann ich das besser machen?

1) Compilerflags - Mit Compilerflags kann ich verhindern, das bestimmte Programmteile in der produktiven App landen. Vereinfacht gesagt ich baue mir eine Testversion und wenn die funktioniert dann baue ich mir eine Produktivversion wo die Testfunktionen nicht enthalten sind. Großer Nachteil dieser Methode ist, das Programmierer gelegentlich vergessen, die Testfunktionen richtig rauszulöschen mit den Flags weil sie zu sehr unter Druck stehen und dann Fehler machen. So ist es häufiger schon passiert, dass unbeabsichtigt Testfunktionen doch im Produktivsystem gelandet sind. Ein weiteres Problem ist wenn Fehler nicht in der Testversion auftreten aber im Produktivsystem weil es anders gebaut wurde. Dann sind wahrscheinlich irgendwo die Compilerflags falsch gesetzt worden. Ein Fehler den man dann niemals machen darf, der aber schon passiert ist, ist, dass dann einfach die Testversion ausgeliefert wird in der Hoffnung, dass das niemand merkt.

2) Testflags verwenden - In der Testumgebung wird über die Konfiguration ein bestimmtes Flag gesetzt, sodass die Software weiß, dass sie im Testmodus ist. Nachteil ist, dass bösartige Hacker diese Flag auch in der Produktivumgebung setzen könnten.

3) So Testen, dass es keinen Unterschied macht (beste Lösung). Warum im Testsystem nicht mit anonymisierten oder pseudonymisierten Daten so testen wie unter echten Bedingungen? Meistens macht das etwas mehr Aufwand aber dafür hat man die Tests unter Echtbedingungen gemacht was den höchsten Wert hat. Keine Flags oder Funktionen im Quellcode die ausgenutzt werden könnten.
#luca #software #testen #test #sicherheit #problem #bildung #entwicklung #verstädnis #lernen #hack #hacking #app #smartphone #gesundheit #corona #programm
 
Bild/Foto

Das ganze Debakel um die Luca-App zeigt meiner Meinung nach die Vorzüge von "public money public code"


Denn so wie ich das sehe sind die Kosten für die Corona Warn App und die Lizenzkosten für Luca ungefähr gleich auf.

Quellen:
* Die Gesamtkosten der Entwicklung der Corona Warn App (CWA) für Deutschland sind mit 20 Millionen Euro beziffert worden.
* Die Kosten belaufen sich auf mindestens 20 Millionen Euro, wie netzpolitik.org

Ob das jetzt jeweils auf den Cent stimmt sei mal dahingestellt, aber was ich daraus lese ist: Die Kosten sind (derzeit) in der selben Größenordnung.

Nur haben wir bei der CWA alle Elemente von Beginn an quelloffen und datenschutzfreundlich und ohne Marketing-Tamtam und und und. Also ein richtig gutes Resultat, eine prima Softwarelösung, die relativ gut von der Bevölkerung angenommen wird.
Und bei Luca haben wir mit öffentlichem Druck erzwungen, dass Teile der Software quelloffen werden, hatten dieses komische Lizenz-Hickhack (eigene Lizenz, GPL, Apache…) und appropos Lizenz, die 20 Millionen sind ja nur die Lizenzkosten für ein Jahr, die App gehört jetzt "der Öffentlichkeit" (durch die offene Lizenz), aber anderen Elemente (Server, Schlüsselanhänger, iOS-App…) nicht.

Könnte man daraus nicht auch in anderen Bereichen was lernen? Ich höre aus dem Bildungs-Bereich z.B. häufiger "ja hier die OpenSource-Lösungen wie Jitsi und so sind ja ganz nett, aber die kommen an die Qualität von Zoom und Teams nicht ran". Und ich glaube: Das stimmt, aber dann nehmt doch einfach Geld in die Hand und macht eine oder mehrere freie Lösungen so gut wie die propritären oder lasst eine komplett neue entwickeln (wie bei der CWA)!

#publicmoneypubliccode #pmpc #freesoftware #deutsch #floss #foss #opensource

Bildquelle
 
Bild/Foto

Das ganze Debakel um die Luca-App zeigt meiner Meinung nach die Vorzüge von "public money public code"


Denn so wie ich das sehe sind die Kosten für die Corona Warn App und die Lizenzkosten für Luca ungefähr gleich auf.

Quellen:
* Die Gesamtkosten der Entwicklung der Corona Warn App (CWA) für Deutschland sind mit 20 Millionen Euro beziffert worden.
* Die Kosten belaufen sich auf mindestens 20 Millionen Euro, wie netzpolitik.org

Ob das jetzt jeweils auf den Cent stimmt sei mal dahingestellt, aber was ich daraus lese ist: Die Kosten sind (derzeit) in der selben Größenordnung.

Nur haben wir bei der CWA alle Elemente von Beginn an quelloffen und datenschutzfreundlich und ohne Marketing-Tamtam und und und. Also ein richtig gutes Resultat, eine prima Softwarelösung, die relativ gut von der Bevölkerung angenommen wird.
Und bei Luca haben wir mit öffentlichem Druck erzwungen, dass Teile der Software quelloffen werden, hatten dieses komische Lizenz-Hickhack (eigene Lizenz, GPL, Apache…) und appropos Lizenz, die 20 Millionen sind ja nur die Lizenzkosten für ein Jahr, die App gehört jetzt "der Öffentlichkeit" (durch die offene Lizenz), aber anderen Elemente (Server, Schlüsselanhänger, iOS-App…) nicht.

Könnte man daraus nicht auch in anderen Bereichen was lernen? Ich höre aus dem Bildungs-Bereich z.B. häufiger "ja hier die OpenSource-Lösungen wie Jitsi und so sind ja ganz nett, aber die kommen an die Qualität von Zoom und Teams nicht ran". Und ich glaube: Das stimmt, aber dann nehmt doch einfach Geld in die Hand und macht eine oder mehrere freie Lösungen so gut wie die propritären oder lasst eine komplett neue entwickeln (wie bei der CWA)!

#publicmoneypubliccode #pmpc #freesoftware #deutsch #floss #foss #opensource

Bildquelle
 
/Achtung teilweise Sarkasmus/

Um die deutsche Selbständigkeit, Unabhängigkeit und deutsche Firmen zu stärken, soll der Einsatz von amerikanischer Technologie von einem amerikanischen Unternehmen beschlossen werden, die bekanntermaßen eine Backdoor (Wanze/Mitlauscher) für den amerikanischen Geheimdienst bereitstellen müssen. ?!

/Sarkasmus Ende/

Desweiteren werden damit exorbitant hohe laufende Kosten (Lizenzen, Mieten usw) an diesen Konzern vertraglich auf Jahre festgelegt. Ein weiterer großer und politischer Schritt, um die deutsche Wirtschaft mit Hilfe von Steuergeldern deutlich und nachhaltig zu schädigen.

Im gleichen Zuge wird damit die digitale Innovation in Deutschland weiterhin massiv behindert und die Feindseligkeit gegen praxisorientierte Technologie, seitens der Politik, weiter offen ausgebaut.
RT @univention@twitter.com

golem berichtet über Pläne des Bundes, mit #Microsoft Azure eine Bundescloud aufzubauen. Dabei stehen mit #Nextcloud und #SovereignProductivitySuite von @Nextclouders@twitter.com @openxchange@twitter.com und #Univention #OpenSource Alternativen für #DigitaleSouveränität bereit

http://ow.ly/wV5R50Ep452

🐦🔗: https://twitter.com/univention/status/1382644884289511429
Bild/Foto
Olympus OMD EM5II MZuiko Pro 40-150 mm 2,8 Sparziergang letzte Woche Sonntag rund um Angermund

#Olympus #OMD #Darktable #mywork #myfoto #linux #opensource #nature #gans #angermund #duesseldorf
 
A summary of releases and updates that have come out since 2021-03-29, including the addition of the latest version of pg_stat_monitor in Percona Distribution for #PostgreSQL.

#opensource #databases

https://www.percona.com/blog/2021/04/12/latest-version-of-pg_stat_monitor-in-percona-distribution-for-postgresql-bug-fix-in-percona-server-for-mongodb-release-roundup-april-12-2021/
 
Percona Live your conference for #opensource #database insight, takes place May 12-13th, 2021 and, like our software, it’s free! Register now and check out the full agenda: https://events.percona.com/ #MySQL #MongoDB #PostgreSQL #MariaDB #PerconaLive
 

Frage | Gibt es so was ähnliches wie OneNote in webbasiert und als Freie Software?


Ja Wikis kenne ich so manche, aber damit ist es schwer ähnliches wie OneNote hin zu bekommen. Auch gut wäre Markdown Unterstützung und die Möglichkeit das verschiedene Leute gemeinsam damit arbeiten können.

Tags: #de #Frage #OneNote #Ersatz #Webbasiert #Opensource #Freie-Software #Markdown #Software #Ravenbird #2021-04-08
 
help, please: I've been asked about government-led #opensource projects, and their best practices.

not an area I know much about these days: who would be good people/organisations to talk to about current work in this area?

thanks for any pointers
 
help, please: I've been asked about government-led #opensource projects, and their best practices.

not an area I know much about these days: who would be good people/organisations to talk to about current work in this area?

thanks for any pointers
 
Reminder of why #Signal is far from optimal:

- No #anonymity (every account is connected to a phone number)
- Not #opensource (the git repo of the server hasn't been updated in a year)
- No #decentralization
- No web client, and max. 1 mobile client per account
- No #privacy (your entire contact list is uploaded to the server. It's encrypted, but it's trivial to brute-force encrypted phone numbers. You can prevent it by disabling the PIN feature, but it's enabled by default without warning.)
 
Sign the petition:

"Code paid by the people should be available to the people! We want legislation requiring that publicly financed software developed for the public sector be made publicly available under #FOSS licence"

#freesoftware #fsfe #opensource #eu

https://publiccode.eu
 
Percona Live ONLINE is THE place to network with the #opensource #database community and share knowledge and experience. Like our software, it’s free, so register today to attend! https://events.percona.com/ #MySQL #MongoDB #PostgreSQL #MariaDB #perconalive
 
Ich höre und lese immer wieder „#Copyleft-Lizenzen wie die #GPL sind inkompatibel zu anderen #FOSS-Lizenzen und spalten damit das FOSS-Ökosystem”.

Leider hält sich dieser Mythos noch immer. Aber das Gegenteil ist eigentlich der Fall: Copyleft-Lizenzen garantieren die dauerhafte Beibehaltung von Freiheitsrechten und verhindern proprietäre Forks von #OpenSource-Software.

Wenn euch Kompatibilität mit anderen Lizenzen wichtig ist, dann nutzt die #MPL oder die #EUPL:
https://joinup.ec.europa.eu/collection/eupl/introduction-eupl-licence
 
Disappointed to read more disgusting articles about #Stallman getting back to the #FSF.

This time an open letter signed by a bunch of people in the "open source" demands that "all members of the FSF board should be removed". This is ridiculous bullshit.
I'd like to remind everyone how this shitstorm started:
Stallman resigned after the leak of emails about Jeffrey Epstein's sex trafficking of a minor, in which Stallman objected to the use of the word "assaulting" and called it "morally absurd to define 'rape' in a way that depends on minor details such as which country it was in or whether the victim was 18 years old or 17."
The article goes on saying:
Stallman "recommended that, should someone find out they are pregnant and the child tests positive for Down's syndrome, 'the right course of action for the woman is to terminate the pregnancy.'" The page also said that "RMS has spent years on a campaign against using people's correct pronouns. This is poorly disguised transphobia."
They're really scraping the bottom of the barrel looking for anything that, presumably, should make him look bad. Not sure how that has anything to do with free software either, nor what would be the connection with replacing the whole board of directors. If anything, this attack is the poorly disguised attempt at dismantling the FSF.

Finally:
"RMS has a history of mistreating women and making them feel uncomfortable, unsafe, and unwelcome,"
More #slander. This "history of mistreating women" amounts to a single blog post written by a random MIT student, Selam Gano who openly admits getting paid to blog. I haven't heard of any other source of evidence of this "mistreating behaviour", aside from some random and frankly weak tweets. The most prominent seems to be one presenting the writing on Stallman's business card "Tender embraces" as proof of him mistreating and making women feel "uncomfortable, unsafe and unwelcome".

I, for one, would really love to know who is behind this Selam Gano person and who she accepted money from.

#freesoftware #gnu #news #opensource #libreplanet #rms #libresoftware #floss
 
Later posts Earlier posts