Vorwurf: Windows-8-Feature behindert Linux

Schreibe eine Antwort

Microsoft bemüht sich um Klarheit um Secure Boot, das andere Betriebssysteme wie Linux auf PCs verhindern soll.

In einem Beitrag für den Blog „Building Windows 8“ erklärt der Microsoft-Mann Tony Mangefeste, wie das Feature Secure Boot den PC gegen so genannte Boot Loader Attacks schützen soll. Das ist Schadsoftware, die einen PC infiziert, bevor das Betriebssystem gestartet ist.

Secure Boot ist ein Feature des Unified Extensible Firmware Interface (UEFI), einer neuen Boot-Umgebung, die den traditionellen BIOS-Prozess ablösen soll. Und Windows 8 wird den Modus Secure Boot in UEFI nutzen, um das Betriebssystem schon vor dem Hochfahren vor Gefahren zu schützen. Der Linux-Entwickler Matthew Garret von Red Hat, kritisiert jedoch, dass die Sicherheitszertifikate, die Microsoft dafür verwendet, lediglich Microsoft-Betriebssysteme unterstützten werden.

„Ein System, das nur mit OEM- (Original Equipment Manufacturer) und Microsoft-Keys ausgeliefert wird, wird kein Linux booten“, so Garret in einem Blog. Das könnte sich jedoch auch auf die Installation neuer Hardware-Komponenten auswirken, erklärt Garret, denn auch diese müssten ebenfalls gegenüber der EFI-Umgebung authentifiziert werden. Eine neue Grafikkarte ohne entsprechendem Key würde von der Firmware keinen Grafik-Support bekommen.

Mangefeste bemüht sich jetzt um Schadensbegrenzung. Anwender hätten die Möglichkeit, Secure Boot zu deaktivieren und die Zertifikate zu verwalten, wenn sie andere Systeme im Dual-Boot-Modus betreiben oder die Hardware-Konfiguration verändern wollen. Microsoft unterstütze demnach die OEMs dabei, flexibel zu entscheiden, wer die Sicherheitszertifikate verwaltet und auch wie diese Zertifikate importiert und verwaltet werden. „Wir glauben, dass es wichtig ist, den OEMs diese Flexibilität zu geben und auch unseren Anwendern die Entscheidung zu überlassen, wie sie ihre Systeme verwalten wollen“, so Mangefeste.

Demnach könnten Nutzer, die „ältere Betriebssysteme“ verwenden wollen, Secure Boot deaktivieren oder auch die Zertifikate modifizieren. Microsoft würde also nicht festlegen, dass auch andere Betriebssysteme Secure Boot verwenden müssen.

Diese Einlassung bringt jedoch wiederum Garret auf den Plan, der diese Schilderung korrekt aber missverständlich nennt. Weil Microsoft mit den OEMs zusammenarbeite, könne Microsoft von den Herstellern verlangen, dass sie Zertifikate für Windows mitliefern, was andere Anbieter von Betriebssystemen wie etwa Red Hat nicht könnten. Damit wäre ein Nutzer nicht in der Lage, einen Secure Boot auf einem Nicht-Microsoft-System durchzuführen: „Die Wahrheit ist, dass Microsoft die Kontrolle vom Endnutzer wegnimmt und sie in die Hände von Microsoft und den Hardware-Herstellern legt.“ Es würde dadurch schwerer, ein anderes Betriebssystem als Windows zu verwenden. „UEFI Secure Boot ist ein wertvolles und wichtiges Feature, das Microsoft missbraucht, um eine bessere Kontrolle über den Markt zu gewinnen.

Den originalen Artikel mit Links von Martin Schindler, findet ihr unter Vorwurf: Windows-8-Feature behindert Linux von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Facebook bestätigt Tracking ausgeloggter Nutzer

Schreibe eine Antwort

Ein Eingeständnis, das Vertrauen kostet: Facebook muss zugeben, das Nutzungsverhalten seiner Mitglieder auch im ausgeloggten Zustand aufzuzeichnen. Als Gründe gibt das Unternehmen den Kampf gegen Spam und mehr Komfort für den Einzelnen an.

„Sich aus Facebook auszuloggen genügt nicht“, ist der Beitrag des IT-Bloggers Nik Cubrilovic überschrieben. Dort beschreibt der Software-Entwickler minutiös, wie Seiten mit „Gefällt-mir“- oder „Teilen“-Knopf die Facebook-Konto-ID eines Nutzers erkennen, auch wenn dieser sich bereits ausgeloggt hat.

Dafür verantwortlich ist ein Cookie, also ein Mini-Programm zur Identifizierung eines Nutzers, das beim Einloggen in Facebook aktiviert wird. Dieser Cookie lässt sich allerdings nicht durch Logout, sondern nur durch entsprechende Löschung im Browser oder den Wechsel des Surfprogramms deaktivieren.

Nachdem der Blogbeitrag am Wochenende für einige Aufregung sorgte, hat nun Facebook zu der Angelegenheit Stellung bezogen. Im Wall Street Journal bestätigte ein Sprecher des Unternehmens die Übermittlung der Nutzer-ID, erklärte aber, „keine der erhaltenen Informationen, die wir beim Besuch einer Seite mit Social Plugin erhalten, wird für das Ausspielen von Anzeigen genutzt.“

Die Daten würden auch stets sehr schnell gelöscht, an einer Lösung, diese Informationen überhaupt nicht abzufragen, arbeite man. Dies werde jedoch „eine Weile dauern“, sagte Arturo Bejar, Leiter der Technik-Abteilung bei Facebook.

Komfort und Spam-Bekämpfung

Hintergrund der Datenerhebung sei Facebook zufolge die Vermeidung von Spam und Phishing-Attacken, aber auch der Komfort. Nutzer müssten sich zum Beispiel nicht ständig neu identifizieren, wenn sie sich bei dem Portal von einem bereits bekannten Computer einloggten.

Mitglieder, die Facebook auf verschiedenen Rechnern nutzen, kennen den Sicherheitsmechanismus: Facebook fragt dann trotz Erhalt der Login-Daten noch nach persönlichen Informationen oder lässt den Nutzer Freunde identifizieren, um Identitätsdiebstahl zu verhindern. Die Cookies erlauben es, sich ohne diese Zusatzschritte anzumelden.

Die Frage, welche Informationen Seiten mit „Gefällt-mir“-Buttons weitergeben, wird auch gerade in Deutschland heftig diskutiert. Der schleswig-holsteinische Datenschützer Thilo Weichert hatte kritisiert, dass Facebook-Cookies auch von nicht-eingeloggten Besuchern von Seiten mit eingebautem „Gefällt-mir“-Knopf Verkehrsdaten in die USA weitergeben würden. Derzeit laufen Gespräche mit dem Unternehmen, nachdem Weichert Geldstrafen für den Einbau des Buttons angekündigt hatte.
Abonnier-Funktion: Hoax auf Pinnwänden

Ein Fehlfunktion in Folge der Einführung der Abonnieren-Funktion, auf die derzeit viele Facebook-Nutzer hinweisen, ist jedoch ein Hoax. Auf ihren Pinnwänden bitten Mitglieder ihre Freunde darum, bei der Funktion „Abonniert“ unter „Kommentare und Gefällt mir“ den Haken zu entfernen. Sonst, so die Angst, würden beim Klick auf den Like-Button die geteilten Inhalte allen Facebook-Nutzern zugänglich sein.

In Wirklichkeit, so steht es auch auf der Facebook-Hilfeseite zu lesen, können Nutzer selbst bestimmen, wer ihre Beiträge sieht. Wenn im Menü rechts neben einem Beitrag zum Beispiel die Zielgruppe „Kollegen“ angewählt wurde, sind diese Beiträge nicht für Freunde außerhalb der Gruppe oder Kontakte dieser Kollegen zu sehen – auch, wenn ein Kollege den „Gefällt-mir“-Button geklickt hat.

Den originalen Artikel mit Links von (sueddeutsche.de/joku/mri), findet ihr unter Facebook bestätigt Tracking ausgeloggter Nutzer von sueddeutsche.de.

Freundliche Grüße
das OSS-Haus Team

Verfolgt Facebook auch ausgeloggte Nutzer?

Schreibe eine Antwort

Facebook wehrt sich gegen Berichte, das Social Network würde seinen Nutzern auch dann folgen, wenn diese sich bei dem Dienst ausgeloggt haben. Ein Facebook-Verantwortlicher sagte nun, dass Facebook Cookies grundsätzlich nicht für Tracking einsetze. Dennoch sorgen anderslautende Berichte für Unruhe bei den Anwendern.

Hintergrund ist ein Bericht des selbsternannten Hackers Nik Cubrilovic vom Wochenende. Darin hatte er nach einer Analyse des http-Headers behauptet, dass Facebook die Tracking-Cookies verändert, sobald sich ein Nutzer ausloggt – anstatt diese zu ändern. So werde auch ein Cookie mit der individuellen Nutzer-ID nicht gelöscht.

Dementsprechend bekomme es Facebook weiter mit, wenn ein Nutzer eine Webseite besucht, auf der das Facebook-Plugin – also der Like-it-Button – integriert ist. Eben auch dann, wenn der Nutzer nicht eingeloggt ist.

Von dem Social Network gibt es bislang kein offizielles Statement zu den Vorwürfen, allerdings hat sich Facebook-Ingenieur Arturo Bejar in einem Posting im Blog des ZDNet.com-Autors Emil Protalinski zu den Vorwürfen geäußert. Im Wesentlichen heißt es in dem Posting, dass Cubrilovic einige gute Punkte angesprochen und interessante Ergebnisse vorgelegt habe. Allerdings ziehe er daraus die falschen Rückschlüsse.

Die fraglichen Cookies seien für Facebook zwar aus verschiedenen Gründen nützlich. Etwa, um personalisierte Inhalte einzublenden oder um Spammer und Phisher zu identifizieren. Keinesfalls würde man die Cookies aber dafür verwenden, Nutzer zu verfolgen. „Ich habe schon so oft gehört, dass wir Nutzerdaten teilen und verkaufen, aber das ist nicht wahr“, schreibt Bejar und verweist gleichzeitig auf den entsprechenden Hilfebereich von Facebook.

Hier heißt es wörtlich: „Wenn du eine Webseite mit einem sozialen Plug-in besuchst, dann sieht Facebook das Datum und die Uhrzeit deines Besuchs, die Webseite, auf der du dich befindest (die URL) sowie weitere technische Informationen wie z.B. die IP-Adresse, den Browser und das von dir verwendete Betriebssystem. Dies sind branchenübliche Daten, mit denen wir dein Erlebnis optimieren können, je nachdem, welchen Browser du verwendest und ob du bei Facebook angemeldet bist oder nicht.“

Den kompletten Artikel mit Links und Fotogalerien von Sibylle Gassner, findet ihr unter Verfolgt Facebook auch ausgeloggte Nutzer? von silicon.de.

Freundliche Grüße
das OSS-Haus Team

22. OpenSource Treffen in München

Schreibe eine Antwort

Am 23. September 2011 fand das 22. OpenSource Treffen im Münchner Café Netzwerk statt.

Die Themen waren:

  • Michael Schloh von Bennewitz: MeeGo – Wie schauts aus?
  • Florian Effenberger: Diskussion über mögliche FSFE Fellowship-Treffen in München
  • Armin Dänzer: Kommunikationskanäle in Open-Source- und anderen Projekten

Programm und Präsentationen

Hier erfahrt ihr, wie die Open-Source-Treffen ablaufen. Außerdem stehen hier auch die Präsentationen der vergangenen Veranstaltungen zum Anschauen bereit.

Wie geht es weiter?

Das nächste reguläre Open-Source-Treffen findet am Freitag, den 21. Oktober 2011, in München im Café Netzwerk von 18:00 Uhr bis ca. 22:00 Uhr statt.

Organisiert werden die Treffen von Florian Effenberger und Carsten Book.

Freundliche Grüße
Das OSS-Haus Team

Android: Oracle will 1,1 Milliarden Dollar

Schreibe eine Antwort

Oracle hat den wegen angeblicher Patent- und Urheberrechtsverletzungen geforderten Schadensersatz deutlich nach unten korrigiert.

Laut der jüngsten Forderung müsste Google wegen angeblicher Patent- und Urheberrechtsverletzungen nur noch 1,16 Milliarden Dollar an Oracle bezahlen. Ursprünglich hatte Oracle wegen der vorgeblichen widerrechtlichen Nutzung von Java-Code im Mobilbetriebssystem Android zwischen 2,1 und bis zu 6,1 Milliarden Dollar gefordert.

Die neue Summe geht aus einem Schreiben an das betreffende US-Bezirksgericht hervor und stammt von dem Oracle-Anwalt Steven Holztman. Demnach fordere Oracle 960 Millionen Dollar wegen der Verletzung von Urheberrechten und weitere 202 Millionen Dollar wegen Patentverletzungen.

Bereits im Sommer hatte der zuständige Richter William Alsup Oarcles Forderungen als zu hoch zurückgewiesen. Damals hatte er aber auch dem Kläger die Möglichkeit eingeräumt, einen neuen Betrag zu nennen.

Google weist die Vorwürfe zurück, wissentlich Java-Urheberrechte und -Patente in Android verletzt zu haben. Im Oktober wird der Rechtsstreit weiter verhandelt.

Den originalen Artikel mit Links von Martin Schindler, findet ihr unter Android: Oracle will 1,1 Milliarden Dollar von silicon.de.

Freundliche Grüße
das OSS-Haus Team