security

Der Supply-Chain-Angriff auf XZ Utils hat unsere Alarmglocken schrillen lassen. Janosch Deurer erklärt die Vorteile kryptographisch abgesicherter Commits in Projekten auf heise.de. Der Artikel »Vertrauen durch Verifizierung: Commit-Signierung in Git« beleuchtet, warum die Umsetzung knifflig sein kann. Git kennt mit dem Commit-Hash eine Funktion, um die Integrität der Codebasis und der gesamten Commit-Historie kryptografisch sicherzustellen. Das garantiert, dass bei zwei Commits mit demselben Commit-Hash die Historien ebenfalls identisch sind. Signierung stellt zusätzlich sicher, dass die enthaltenen Commits von den angegebenen Autoren stammen. ...

Steffen Voß fasst in »„Aber München!“« für univention.de ganz gut zusammen warum LiMux nicht als gescheitert betrachtet werden sollte.

Stefan Pfeiffer schreibt in »1,28 Milliarden Euro für Microsoft-Lizenzen, 19 Millionen für Zendis« auf seinem Blog Besagtes Beamten-Mikado, erfolgreiche Lobby-Arbeit von Microsoft quer über die Parteien in Kombination mit Trägheit und Unvermögen kennzeichnen die Situation im deutschen Schilda bestens. Statt unabhängiger zu werden, begibt man sich in eine immer größer werdende Abhängigkeit. Die deutsche Verwaltung trägt kräftig dazu bei, dass Microsoft zum wertvollsten Unternehmen geworden ist. Es ändert sich scheinbar nichts und das Thema ist schon so alt, dass ich eigentlich keine Lust mehr habe, darüber zu schreiben. Es frustriert nur und eigentlich müsste ich meine Beiträge zum Thema einstellen. Seit mindestens 2010 – wenn nicht sogar länger – schreibe ich als Kind der Generation Windows zum Thema. ...

William Brown, ein Entwickler bei Suse Lab, beleuchtet in seinem Artikel “Passkeys: A Shattered Dream” die Einführung von Passkeys als vielversprechende Lösung für Endnutzer. Allerdings werden im Text diverse Probleme und Einschränkungen aufgezeigt, die ihre praktische Anwendung erschweren. Dazu zählen Beschränkungen bei der Speicherkapazität von Sicherheitsschlüsseln, Inkompatibilitäten mit verschiedenen Plattformen und Browsern sowie die Einflussnahme großer Unternehmen wie Google und Apple auf die Entwicklung. Diese Herausforderungen könnten dazu führen, dass Passkeys keine breite Akzeptanz finden. Brown empfiehlt daher Alternativen wie Passwortmanager oder sogar die Rückkehr zu Passwörtern. Zusätzlich diskutiert er die Möglichkeit der Nutzung von Gerätezertifikaten und Smartcards als Alternativen, insbesondere für Unternehmen. ...

Florian v. Samson schreibt in »Nach XZ-Backdoor: Open-Source-Software als Risiko oder strategischer Vorteil?« für heise.de Es stellt sich daher die Frage, wie viele solcher Unterwanderungen in Firmen und FLOSS-Projekten bereits erfolgreich waren und wie viele Schwachstellen dadurch eingebaut wurden und ausnutzbar sind. Insofern sollte dieser Vorfall ein Anlass für alle sein, die an Softwareentwicklungsprojekten beteiligt sind, über solche Möglichkeiten zu reflektieren und Maßnahmen umzusetzen, solche Risiken zu minimieren. Dazu gehören sowohl eine erhöhte Sensibilität gegenüber Social Engineering als auch technische Maßnahmen. ...