Entries tagged update

Threema statt WhatsApp nach Übernahme durch Facebook? Was sonst? Eine Auflistung von Alternativen

Posted on 20. Februar 2014 Comments

Das generelle Problem mit Messengern auf Smartphones:

  1. Sofern sie nicht quelloffen sind, kann man nicht feststellen, ob sie ihre Berechtigungen nur für den angegebenen Zweck nutzen und die Apps können nicht von unabhängigen Experten transparent auf Sicherheitslücken untersucht werden. Ich bin gerade bei diesem kritischen Thema daher generell einfach mal skeptisch.
  2. Selbst wenn der Quellcode vorliegt, muss man noch darauf vertrauen, dass die binären Dateien, die aus den App Stores geladen werden auch denen entsprechen, die der (vertrauenswürdige) Entwickler erstellt und hochgeladen hat. Oder man muss jede App selbst aus dem Quelltext heraus kompilieren, was ein unrealistischer Aufwand ist(s. Gentoo).
  3. Der Serverbetreiber kann Verbindungsdaten(Meta-Daten) speichern, selbst wenn er die Nachrichten an sich vermeintlich nicht lesen kann. Auch wenn er sagt, dass er das nicht tut, könnte er z.B. von Geheimdiensten dazu gezwungen werden. Auch in vermeintlich neutralen Ländern.
  4. Es gibt genügend Sicherheitslücken für die mobilen Betriebsysteme(Android, iOS, Blackberry, etc). Das heißt, dass die Nachrichten im Zweifelsfall vor der Verschlüsselung abgefangen werden, z.B. durch die Eingabe des Textes in die Tastatur.

Nichtsdestotrotz möchte ich hier einige WhatsApp Alternativen aufzählen.

Threema

Threema wird in Deutschland gerade(Februar 2014) als die Alternative zu WhatsApp gehandelt, weil Facebook es für 19 Milliarden Dollar gekauft hat. Als allererstes möchte ich diesen Artikel von Fefes Blog empfehlen. Die Schweiz ist keineswegs so neutral, wie man sie immer wahrnimmt. Außerdem kann wie erwähnt keiner  überprüfen, was in Threema vor sich geht. Es gibt zwar gute Hinweise von vertrauenswürdigen Leuten, dass Threema die besten Intentionen hat, aber sichergehen kann man erst, wenn man den Quellcode sehen kann, so dass eine genügend große Anzahl von Experten, die Sicherheit bestätigen oder zumindest einordnen kann. Cool ist allerdings, dass man die Schlüssel per QR-Code vergleichen kann, und somit nicht auf den (potentiell manipulierbaren oder von bösen Betreibern gefälschten)  öffentlichen Schlüssel des Betreibers vertrauen muss. Nichtsdestotrotz ist dies seit fast einem Jahr mein Favorit, weil alles andere eben auch nicht quelloffen und noch weniger vertrauenswürdig ist. Die Verschlüsselung kann angeblich mehr oder weniger unabhängig überprüft werden.

 

Viber

Viber ist eine App von Talmon Marco. So wirklich weiß aber keiner, was da vor sich geht. Auch diese App ist nicht quelloffen. Seit ein paar Tagen(Februar 2014)  gehören sie zu Rakuten, einer japanischen Firma. Vorteil von Viber gegenüber fast allen anderen Messengern ist, dass es auch richtige Telefonie (so wie Skype) gibt. Außerdem gibt’s Viber auch für andere Platformen wie Bada, Blackberry, Windows Phone, Nokia Handys und sogar Windows für den Computer.

 

Kik

Kik ist wohl relativ beliebt bei deutschen Teenagern, hat aber dasselbe Vertrauensproblem wie alle anderen: niemand weiß, was in der App vorgeht und was sie mit den Berechtigungen anstellt.

 

Hike

Hike ist ebenfalls nicht quelloffen und wenig vetrauenswürdig. Dafür aber für sehr viele Platformen verfügbar

 

Line

Line ist wie Viber beliebt, weil auch Gespräche in guter Audio Qualität möglich sind. Allerdings ist auch diese App nicht sonderlich vertrauenswürdig. Wie fast alle Apps kommt auch diese mit bunten Stickern und allerlei Extras.

 

BBM

Black Berry Messages sind bei Blackberry Nutzern schon lange bekannt. Man bekommt eine ID und kann dann Nachrichten von Blackberry zu Blackberry schicken. Seit es mit Blackberry Ltd(ehemals RIM) bergab geht, haben sie neue Wege gesucht, sich zu vermarkten und BlackBerry Messages auch für Android und iOS freigegeben. Natürlich closed source und über Blackberry Server. Mal wieder nicht besonders vertrauenswürdig. update: Joshua hat da noch interessante Details ausgegraben, bei dem Blackberry der Regierung von Indien die Schlüssel überlässt. Die Nachrichten sind also nicht Ende-zu-Ende verschlüsselt.

 

Und welche wirkliche Alternative gibt es dann?

 

Heml.is

update: Heml.is wird es nicht geben.

Heml.is ist für mich der vielversprechenste Messenger. Unglücklichweise ist er noch nicht fertig. Er soll quelloffen sein und Standard Kryptografie benutzen. Eine private spezielle Serverstruktur verhindert das Sammeln von Metadaten von außen. Das kann gut oder schlecht sein, je nachdem,ob man den Betreibern glaubt. Allerdings ist das Sammeln von Metadaten von Betreibern ein Problem, was in der Natur von Messengern liegt. Die Leute sind aber in der Szene bekannt(z.B. durch Pirate Bay oder Flattr) und gelten im Allgemeinen als vertrauenswürdig. Sobald die App erscheint, gibt es hier natürlich ein Update. Außerdem wird endlich mal auch Wert auf’s Design gelegt.

 

Telegram

Telegram ist ein Messenger, der zwar quelloffen ist und Verschlüsselung benutzt aber von führenden Sicherheitsexperten als kritisch eingestuft wurde. Dazu kommt, dass sie ein selbst gebautes Protokoll benutzen, mitsamt fragwürdiger Verschlüsselungswahl. Und die Verschlüsselung funktioniert auch nur, wenn beide Teilnehmer online sind, was bei mobilen Geräten ja eigentlich fast nie der Fall ist.

 

Surespot

Surespot wäre theoretisch ein guter Kandidat. Es ist quelloffen, benutzt Standard Kryptografie und ist relativ verbreitet. Durchgesetzt hat es sich allerdings noch nicht. Ich denke es liegt vor allem auch am Design. Da könnten sie echt mal nachbessern.

Außerdem werden hier Kontakte nicht automatisch über das Auslesen des Telefonbuchs hinzugefügt. Das ist datenschutztechnisch zwar von Vorteil, endete aber bei mir damit, dass ich genau einen Kontakt in der Liste habe, weil alle anderen die App nach kurzem Ausprobieren wieder gelöscht haben, weil sie – so schien es – keiner ihrer Freunde installiert hatte. Das heißt man muss über andere Kanäle(ironischweise wird das wohl WhatsApp und Facebook sein) einen Benutzernamen erfragen. Das mag man sehen wie man will, die Usability leidet sicher drunter, dafür ist der Datenschutz super.

Von einem kryptographischen Standpunkt gibt es aber noch ein kleines Manko, was Threema elegant gelöst hat. Man muss den surespot Betreibern vertrauen die richtigen öffentlichen Schlüssel herauszugeben. Theoretisch ist hier von Anbieterseite eine Man-in-the-Middle(MITM) Attacke möglich. Bei Threema gibt es für einen solchen Kontakt nur den orangen Button, verifiziert(grün) wird er erst, wenn man den Fingerprint/Hash des Schlüssels über QR-Code vergleicht. Da gibt es aber auch schon ein Pull-Request für, scheint also eine Frage der Zeit zu sein.

update: In den Kommentaren wurde angemerkt, dass Design ja Geschmackssache sei. Ja, das stimmt. Ich persönlich finde das Design nicht gut, der geneigte Leser möge sich aber selbst überzeugen(!). Ich werde nochmal kurz erklären, was ich meine. Statt sich an den de-facto Standard zu halten, dass Nachrichten von Gesprächspartner mit einer Sprechblase von links und seine Eigenen mit einer Sprechblase von rechts kommen, wird der empfangene Text einfach nur eingerückt und das sieht einfach ungewohnt aus. Mit minimalistisch hat das wenig zu tun. Selbst wenn man sich ihre Website anguckt, hat man(und ich denke nicht, dass ich hier alleine bin) tatsächlich das Gefühl, dass die Jungs es zwar technisch drauf haben, aber wirklich die Hilfe von einem Designer gebrauchen könnten.

update: Die Website wurde aktualisiert und sieht jetzt einigermaßen gut aus.

 

Whistle.im

Whistle.im ist mal ein deutsches Produkt. Allerdings ist es nur für Android und PC verfügbar und weißt jetzt schon Sicherheitslücken auf. Lieber erstmal die Finger von lassen.

 

 

update:

TextSecure

Wer es bis hier her geschafft hat zu lesen könnte belohnt werden, denn seit der Version 2.0 unterstützt die ursprünglich als SMS App geplante TextSecure auch Push Nachrichten über die Datenleitung. Sollte das gegenüber kein  (aktuelles) TextSecure installiert haben, wird die Nachricht als (ggf. kostenpflichtige) SMS versandt. Das kann man aber auch ausstellen. SMS werden dabei grün, normale Nachrichten blau dargestellt. Das Design ist angenehm und nicht überladen. Die Kryptographie ist eine Weiterentwicklung vom allgemein anerkannten OTR. Und zwar nicht von irgendwelchen Leuten weiterentwickelt, sondern von dem Experten-Team von Moxie, der seine Firma WhisperSystems an Twitter verkaufte, die dann den Quellcode von TextSecure und RedPhone(einer Art sicheren Skype) veröffentlichten. Außerdem ist es die Standard SMS(und jetzt Messaging) App von der Android Alternative CyanogenMod, die weltweit geschätzte 10 Millionen Benutzer hat. Die betreiben auch einen extra Server dafür, der aber mit den WhisperSystems Servern föderiert, wer weiß, was da noch für coole Projekte draus entstehen.

Gibt es nur noch ein Problem: es gibt noch keine iOS Version. Die soll nämlich zusammen mit RedPhone als Signal veröffentlicht werden und das ist wohl auch für Android geplant. Bis dahin gilt: wenn man nur Freunde mit Android Handys hat, ist TextSecure wohl die beste Alternative.

update: Signal gibt es für iOS und kann jetzt Telefonate (mit Redphone kompatibel) und Text Messages(mit TextSecure kompatibel).

Und weil ich prinzipiell ein großer Fan von Dezentralisierung bin möchte ich noch eben Kontalk erwähnen. Zur Zeit benutzen sie wohl noch ein eigenes Protokoll, es soll aber auf das erprobte XMPP umgestellt werden. Das erste Problem ist, dass es keinen Client für iOS oder andere Platformen gibt. Außerdem ist es in diesem Falle so, dass jeder einen Server betreiben kann und ihn den Kontalk Netzwerk zur Verfügung stellt. So wie ich das verstanden habe aber nicht im Sinne von XMPP, sondern eher als Loadbalacing Server hinter einem Proxy. Das bringt wieder datenschutztechnische Probleme mit sich im Hinblick auf Meta Daten. Außerdem werben sie mit dem Hashen der Telefonnummer. Nun ist das Hashen über einen begrenzten Bereich an möglichem Klartext aber prinzipbedient eher eine Verschleierung, als dass es tatsächlichen Gewinn bringt. Ich zitiere hier das Threema FAQ:

Bitte beachten Sie: aufgrund der relativ wenig möglichen Zahlenkombinationen von Telefonnummern können Hashes davon theoretisch per Brute-Force-Attacke (= Durchprobieren aller Möglichkeiten) entschlüsselt werden. Dies ist prinzipbedingt und kann nicht anders gelöst werden (die Verwendung von Salts wie beim Hashing von Passwörtern funktioniert für so einen Datenabgleich nicht).

 

Andere Alternativen, die hier nicht erwähnt wurden.

ChatOn, Joyn, ICQ, eBuddy, Skype, Facebook Messenger, SMS Apps, IM+, Google Hangouts, Kakao Talk, iMessage, Snapchat, WeChat, mySMS, MessageMe, XMPP Apps(Xabber, ChatSecure, etc), myEnigmaHoccerXO, upptalk, tango.me, chiffry, enjoystr, uvm

Andere Alternativen findet ihr auch auf Droid-Break und bei Wikipedia.

Updating Owncloud News App with cron and Uberspace

Posted on 27. November 2013 Comments

Since it’s not possible to create a cronjob with the user the webserver is running under(as advised), I just created a cronjob with my user(crontab -e) and it works just fine.

[repat@uberspace]$ crontab -l
*/15 * * * * /package/host/localhost/php/bin/php -f /home/repat/html/owncloud/cron.php

The problem was the following: owncloud wouldn’t update my news and I didn’t think it was a cron problem, since I couldn’t update it manually(AJAX). Adding new feeds however did work. I still don’t get why manual updating doesn’t work , even with the Android app. Opening cron.php in the webbrowser didn’t work, although it did display {„status“:“success“}..turns out: it has to be called via CLI.

Unfortunately, I get an email every 15 minutes now… To disable that I added this above the cron entry:

MAILTO=""

Thanks to Raydiation and j-ed for helping me.

Owncloud News Reader Error after update to 5.0.11

Posted on 21. Oktober 2013 Comments

After updating to owncloud 5.0.11 I got the following error in my Owncloud News Reader:

Screenshot_2013-10-21-10-20-56

(For Google: A Toast saying „End of input at line 1 column 1“)

In my owncloud instance, I got an error in the administrator menu saying:

SQLSTATE[HY000]: General error: 1 no such column: feeds.articles_per_update at db.php#391

I updated the owncloud instance and app framework/news app but it still showed me that everything was uptodate, even when 5.0.12 was released. Via phpMyAdmin I could see that the feeds were still in the database but I couldn’t see them in the web app or Android app. So I just deleted the owncloud folder, downloaded the new .tar.bz2 from owncloud.org, removed the oc_news tables(do not delete e.g. the contacts or bookmarks!). Then I changed my username in oc_users, used my old username as my new username and reinstalled owncloud, this time version 5.0.12.  I could then delete the old (changed) username via the admin panel.

This is the third time I had to reinstall owncloud, because the update mechanism didn’t work properly… And yes, as advised, I did deactivate the news app and app framework for the update process 😉

I just had a look at the SQL-statements from my last backup and saw that articles_per_update is supposed to be a column in oc_news_feeds in the new version of the news app. Somehow, the owncloud update process didn’t update the news app or didn’t trigger a 3rd-party update process. Anyways, I guess this could also be solved by just adding this column manually:
`articles_per_update` bigint(20) NOT NULL DEFAULT '0'

Update to the latest scala version with Ubuntu 12.04 Precise Pangolin

Posted on 7. Oktober 2013 Comments

Basically the wiki at summercode.com says it all, go to (or wget) the latest version at http://www.scala-lang.org/download and untar it. Then move the folder to /usr/share/scala. Then link the address of the new binaries to the old binaries in /usr/bin. The main problem here is that you have to delete them first so I just want to add this little piece of shellscript(including the instructions from the tutorial mentioned above):

$ wget http://www.scala-lang.org/files/archive/scala-2.10.3.tgz
$ tar zxf scala-2.10.3.tgz
$ sudo mv scala-2.10.3 /usr/share/scalasudo rm /usr/bin/scala
$ sudo rm /usr/bin/scalac
$ sudo rm /usr/bin/fsc
$ sudo rm /usr/bin/sbaz
$ sudo rm /usr/bin/sbaz-setup
$ sudo rm /usr/bin/scaladoc
$ sudo rm /usr/bin/scalap
$ sudo ln -s /usr/share/scala/bin/scala /usr/bin/scala
$ sudo ln -s /usr/share/scala/bin/scalac /usr/bin/scalac
$ sudo ln -s /usr/share/scala/bin/fsc /usr/bin/fsc
$ sudo ln -s /usr/share/scala/bin/sbaz /usr/bin/sbaz
$ sudo ln -s /usr/share/scala/bin/sbaz-setup /usr/bin/sbaz-setup
$ sudo ln -s /usr/share/scala/bin/scaladoc /usr/bin/scaladoc
$ sudo ln -s /usr/share/scala/bin/scalap /usr/bin/scalap

Or download the file here: update-scala.sh (github clone)

GPG Fehler beim Spotify Repository unter Ubuntu

Posted on 4. Februar 2013 Comments

Eine Weile lang bekam ich bei einem apt-get update den folgenden Fehler:

W: GPG-Fehler: http://repository.spotify.com stable InRelease:
Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist:
NO_PUBKEY 082CCEDF94558F59

Abhilfe schafft dieser Befehl:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 082CCEDF94558F59

Sound funktioniert nach alsa-base Installation nicht mehr mit mpg123

Posted on 6. November 2012 Comments

Beim Raspberry Pi hab ich eben das Paket ein apt-get upgrade durchgeführt. Nicht installiert wurde dabei das Paket alsa-base. Als ich dieses manuell per apt-get install installiert hab, hat er dafür linux-sound-base runtergeschmissen. Weil ich mpg123 vorher installiert hatte, konnte ich jetzt keine Musikdateien mehr abspielen. Abhilfe hat eine Neukonfiguration von mpg123 geschaffen:

sudo dpkg-reconfigure mpg123

Das sollte eigentlich auch bei allen anderen Programmen funktionieren.

Die Fehlermeldung war:

pi@raspberrypi ~ $ mpg123 toto.mp3
Cannot connect to server socket err = No such file or directory
Cannot connect to server request channel
exec of JACK server (command = "/usr/bin/jackd") failed: No such file or directory
Cannot connect to server socket err = No such file or directory
Cannot connect to server request channel

Ging ewig so weiter…

ext4 Volume mit SliTaz 3.0(stable) mounten

Posted on 29. Februar 2012 Comments

Entweder von pkgs.slitaz.org die Pakete runterladen oder mit tazpkg über die Repositories das Paket linux-ext4 installieren. Dann sollte entweder sofort oder nach modprobe ext4 der mount Befehl funktionieren:

mount -t ext4 /dev/sda1 /mnt/harddisk

Wenn man das permanent haben möchte(z.B. Festplatteninstallation oder eigene Live-CD), natürlich wie gehabt ext4 in /etc/rcS.conf einfügen, bei mir z.B.:

[...]
LOAD_MODULES = "e1000 ext4"
[...]

Credits to mojo at vanilla.slitaz.org

DynDNS auf OpenWrt mit updatedd

Posted on 24. Juli 2011 Comments

Nachdem ich mir irgendwie LuCI und Webif² zerschossen habe auf meinem WRT54GL und mein DynDNS nicht mehr funktionierte, musste ich das ja irgendwie über SSH wieder anstellen. Es hat mich einige Zeit gekostet das passende Programm zu finden. Auf einer Website fand ich den Hinweis, dass es sich hierbei um updatedd handelt, einfach mal eingetippt bekam ich die folgende Meldung:

root@router:/usr/bin# updatedd --help

Usage: updatedd [OPTION]... SERVICE -- ...

Please use `updatedd-wrapper' instead of updatedd.

Options:
-L        list installed plugins (services) and exit
-Y        use syslog
--help    print help and exit
--version    print version information and exit

Report bugs to <updatedd@philipp-benner.de>.

Mit updatedd -L bekommt man zu sehen, welcher Service installiert ist.

root@router:/usr/bin# updatedd -L

Services:
dyndns

Die Zugangsdaten für den DynDNS Account liegen in /etc/config/updatedd:

config 'updatedd'
	option 'service' 'dyndns'
	option 'username' 'alice'
	option 'password' 'secret'
	option 'host' 'bob.dyndns.org'
	option 'update' '1'

Denke mal der Aufbau ist selbsterklärend. Wenn man sich ein bisschen umguckt, findet man auch noch die Datei /etc/init.d/updatedd, die man, entgegen des Hinweises von updatedd, updatedd-wrapper zu benutzen, startet, den Service zu updaten:

root@router:/# /etc/init.d/updatedd start
Connecting to checkip.dyndns.org (1.2.3.4:80)
updatedd_ip_check    100% |*******************************|   104  --:--:-- ETA

bzw.

/etc/init.d/updatedd enable

für den Autostart.

Firefox 5.0 und ubufox mit Ubuntu 10.04 (xul-ext-ubufox Problem)

Posted on 24. Juni 2011 Comments

repat@laptop:~$ sudo apt-get upgrade
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut
Status-Informationen einlesen... Fertig
Die folgenden Pakete werden aktualisiert:
ubufox
1 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Es müssen noch 0B von 58,3kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 319kB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren [J/n]? j
(Lese Datenbank ... 268513 Dateien und Verzeichnisse sind derzeit installiert.)
Vorbereiten zum Ersetzen von ubufox 0.9-0ubuntu1~mfs~lucid1 (durch .../ubufox_0.9.1-0ubuntu0.10.04.1~mfn3_all.deb) ...
Entpacke Ersatz für ubufox ...
dpkg: Fehler beim Bearbeiten von /var/cache/apt/archives/ubufox_0.9.1-0ubuntu0.10.04.1~mfn3_all.deb (--unpack):
Versuche, »/etc/xul-ext/ubufox.js« zu überschreiben, welches auch in Paket xul-ext-ubufox 0:0.9-0ubuntu1~mfs~lucid1 ist
Fehler traten auf beim Bearbeiten von:
/var/cache/apt/archives/ubufox_0.9.1-0ubuntu0.10.04.1~mfn3_all.deb
E: Sub-process /usr/bin/dpkg returned an error code (1)

Lösung des Problems? xul-ext-ubufox(das Paket ist dafür gut) deinstallieren:

sudo apt-get remove xul-ext-ubufox

danach

sudo apt-get install -f

oder

sudo apt-get remove
sudo apt-get install ubufox

Dank geht an orthopteroid aus ubuntuforums.org.

Danach ist bei mir alles in Englisch gewesen, dazu muss man die neue Sprachdatei runterladen und installieren

Dank geht an Martin Vogel, für den Tip:)

update: Des weiteren berichtet Tuxsuisse im Blog linuxundich.de, dass man unter Ubuntu z.B. einfach das Paket firefox-locale-de mit

sudo apt-get install firefox-locale-de

nachinstallieren könnte, dann geht das ebenfalls.