security

William Brown, ein Entwickler bei Suse Lab, beleuchtet in seinem Artikel “Passkeys: A Shattered Dream” die Einführung von Passkeys als vielversprechende Lösung für Endnutzer. Allerdings werden im Text diverse Probleme und Einschränkungen aufgezeigt, die ihre praktische Anwendung erschweren. Dazu zählen Beschränkungen bei der Speicherkapazität von Sicherheitsschlüsseln, Inkompatibilitäten mit verschiedenen Plattformen und Browsern sowie die Einflussnahme großer Unternehmen wie Google und Apple auf die Entwicklung. Diese Herausforderungen könnten dazu führen, dass Passkeys keine breite Akzeptanz finden. Brown empfiehlt daher Alternativen wie Passwortmanager oder sogar die Rückkehr zu Passwörtern. Zusätzlich diskutiert er die Möglichkeit der Nutzung von Gerätezertifikaten und Smartcards als Alternativen, insbesondere für Unternehmen. ...

Florian v. Samson schreibt in »Nach XZ-Backdoor: Open-Source-Software als Risiko oder strategischer Vorteil?« für heise.de Es stellt sich daher die Frage, wie viele solcher Unterwanderungen in Firmen und FLOSS-Projekten bereits erfolgreich waren und wie viele Schwachstellen dadurch eingebaut wurden und ausnutzbar sind. Insofern sollte dieser Vorfall ein Anlass für alle sein, die an Softwareentwicklungsprojekten beteiligt sind, über solche Möglichkeiten zu reflektieren und Maßnahmen umzusetzen, solche Risiken zu minimieren. Dazu gehören sowohl eine erhöhte Sensibilität gegenüber Social Engineering als auch technische Maßnahmen. ...

Der kürzliche versuchte Backdoor-Angriff auf XZ Utils (CVE-2024-3094) könnte kein Einzelfall sein, wie ein ähnlicher Übernahmeversuch der OpenJS Foundation zeigt. Sie rufen Open-Source-Maintainer dazu auf, wachsam zu sein und sich gegen Social Engineering-Übernahmeversuche zu schützen. Verdächtige Muster wie aggressive Anfragen von Unbekannten und undurchsichtige PRs sollten alarmieren. Empfohlene Sicherheitsmaßnahmen umfassen starke Authentifizierung, Sicherheitsrichtlinien und regelmäßige Überprüfungen von Maintainer-Zugriffen. Zudem wird eine verstärkte Unterstützung von Open-Source-Projekten durch öffentliche und private Organisationen wie die Linux Foundation und das Sovereign Tech Fund gefordert, um die Sicherheit und Stabilität der Open-Source-Infrastruktur zu gewährleisten. ...

Adriana Groh schreibt in »xz-Vorfall: Anzeichen einer strukturellen Herausforderung« für sovereigntechfund.de Grundlegende Komponenten werden von sehr vielen Unternehmen und Organisationen eingebaut und genutzt, ohne dass diese deren Pflege sicherstellen. Wir sehen hierin eine Aufgabe von öffentlichem Interesse, weswegen diese langfristig nicht alleine in der Verantwortung von Ehrenamtlichen und auch nicht alleine in der des privatwirtschaftlichen Sektors liegen sollte. Die Relevanz dieser Aufgabe muss in der Breite der Gesellschaft anerkannt und ihr die dementsprechende Priorität eingeräumt werden. ...

Matthew Hodgson schreibt in »Open Source Infrastructure must be a publicly funded service.« für matrix.org This funding should NOT be tied to specific feature development, but simply funding the core maintenance of the infrastructure - paying for the maintainers (and/or letting them or their umbrella org hire trusted ones!) to ensure the core project remains healthy and secure. Otherwise, the pressure just rises on the core project to chase feature development at the expense of maintenance (making maintenance harder) - or, worse, to be pushed away from open source into building proprietary solutions or crippling the open source by moving valuable features into side proprietary products. ...