Git und der Master-Zweig

Infolge der Unruhen in den USA nach dem Tod von George Floyd wurde in der IT-Branche darüber diskutiert, ob/wie man Begriffe vermeiden kann, die als rassistisch gewertet werden können: Master/Slave-Prozesse, White- und Blacklists etc. Im Git-Umfeld betrifft das den Master-Zweig. (Manche Leute betrachten das als Haarspalterei: Es gibt in Git ja keinen Slave-Zweig. Master hat/hatte in Git nichts mit einer rassistisch geprägten Hierarchie zu tun.)

Wie dem auch sei: Die soeben vorgestellte Git-Version 2.28 bietet die Möglichkeit, bei neuen Repositories einen anderen Namen als master zu verwenden.

Git und der Master-Zweig weiterlesen

Hacking & Security (2. Aufl.) erschienen

Unser Bestseller ist soeben in der 2. Auflage erschienen.

Für die Neuauflage haben wir das Buch aktualisiert und um einige Abschnitte erweitert. Neue Themen sind unter anderem:

  • Juice Shop (Testsystem für Web-Hacking mit JavaScript-Schwerpunkt)
  • Koadic (Post-Exploitation-Framework)
  • Password Spraying
  • Fortgeschrittene Web-Hacking-Techniken (z.B. Angriff auf die Objektdeserialisierung)
  • Pwnagotchi (WLAN-Hacking-Software für den Raspberry Pi)
  • P4wnP1 (noch eine Angriffsplattform für den Raspberry Pi)

Mehr Details und Bestellinformationen finden Sie hier.

CentOS 8: wertlose Langzeitunterstützung

Seit gestern ist CentOS 8.2 (genaugenommen »CentOS Linux 8 (2004)«) verfügbar. CentOS 8 ist eine von Red Hat Enterprise Linux (RHEL) abgeleitete Distribution, die in der Vergangenheit über einen Zeitraum von 10 Jahre Updates versprach. Mittlerweile sind auf https://centos.org keine klaren Aussagen zum Life Cycle mehr zu finden. Stattdessen weisen die FAQs darauf hin, dass man versucht, Minor Releases von RHEL innerhalb von vier bis acht Wochen nachzubilden.

Dessen ungeachtet hat die Update-Versorgung für CentOS 7 immer ziemlich gut funktioniert, auch wenn es zwischen den Minor Releases zu einer Lücke in der Update-Versorgung von üblicherweise 4 bis 5 Wochen kam.

Deutlich schlechter sieht die Aktualisierung von CentOS 8 aus. Seit CentOS 8.0 im Sep. 2019 erschienen ist (von heute aus gerechnet vor 266 Tagen), hat es über 147 Tage Updates gegeben, während zwei Zeiträumen von insgesamt 119 Tagen aber keine Updates.

Update-Versorgung seit dem Release von CentOS 8.0, Stand 16.6.2020. Der ganze Kreis entspricht dem Zeitraum eines Jahres.

CentOS 8: wertlose Langzeitunterstützung weiterlesen

Fedora 32

Die Pünktlichkeit, mit der Fedora-Versionen aktuell erscheinen, erinnert an ein Schweizer Uhrwerk — oder an Ubuntu. Auch die Software-Komponenten sind natürlich ganz ähnlich wie die bei Ubuntu, wenn auch mit dem kleinen Unterschied, dass Fedora mitunter noch eine Versionsnummer weiter ist (Kernel 5.6, gcc 10, Samba 4.12, Postfix 3.4).

Fedora 32 weiterlesen

Ubuntu 20.04

Die Entwicklung von Ubuntu 20.04 hat mich untypisch wenig berührt — vermutlich, weil ich gerade an keinem Linux-Buch arbeite und insofern keine Notwendigkeit bestand, frühe Betas zu testen. Außerdem läuft Ubuntu 19.10 auf meinem primären Notebook aktuell so rund, dass ich überhaupt keinen Update-Drang verspüre. (Ich werde das Update in den nächsten Wochen natürlich dennoch durchführen.)

Vielleicht liegt es auch daran, dass Ubuntu 20.04 ein (weiteres) Release ist, das keine spannenden neuen Features bietet. Das klingt kritischer, als ich es meine: Für den täglichen Betrieb ist mir nichts lieber als ein stabiles Betriebssystem, das mir einerseits aktuelle Versionen der von mir eingesetzten Programme bietet aber andererseits keinen Ärger bereitet. Und diesbezüglich kann Ubuntu 20.40 (zumindest in meinen ersten Tests) durchaus punkten.

Ubuntu 20.04 im Dark Mode

Ubuntu 20.04 weiterlesen

Sunsetting ebooks.kofler

Die letzten acht Jahre habe ich immer genau um diese Zeit ein neues E-Book zu Ubuntu 12.04, 14.04, 16.04 und 18.04 veröffentlicht. Diese Periodizität findet heuer leider ihr Ende.

Ich habe mich dazu entschieden, den Betrieb von ebooks.kofler mit Jahresende einzustellen. (Der Verkauf via amazon ist bereits beendet.) Aufwand und Einnahmen für das Projekt ebooks.kofler stehen in keinem vernünftigen Verhältnis mehr zueinander. Mein publizistischer Fokus bleibt damit bei »traditionellen« Büchern (bzw. Buch/E-Book-Kombinationen), die ich natürlich weiterhin für den Rheinwerk Verlag schreibe.

Einige ausgewählte Titel von ebooks.kofler, die noch nicht komplett veraltet sind, werde ich ab 1.4.2021 (kein Aprilscherz) zum freien Download anbieten.

Sichere Passwort-Hashes in Java und Kotlin

Dass Passwörter nicht im Klartext gespeichert werden dürfen, sollte mittlerweile Allgemeinwissen sein: Sollte aus irgendeinem Grund die Benutzerdatenbank kompromittiert werden, bekäme der Angreifer Zugriff auf sämtliche Passwörter.

Lange Zeit lautete die Empfehlung, zuerst MD5-, dann SHA1- und schließlich SHA2-Hashes mit einem zufälligen Salt zu verwenden. Allerdings gelten die MD5- und SHA1-Algorithmen mittlerweile als unsicher. Bei SHA2 gibt es zwar noch keine fundamentalen Sicherheitsprobleme, aber der Algorithmus ist zu schnell. Sofern die Implementierung der Hash-Funktion bekannt ist, können CPUs/GPUs Millionen wenn nicht Milliarden von Passwörter pro Sekunde testen. Das ist besonders dann fatal, wenn unsichere Passwörter in der Art von 123456 oder topsecret zum Einsatz kommen, die in entsprechenden Passwort-Wörterbuchdateien an den ersten Stellen enthalten sind.

Sichere Passwort-Hashes in Java und Kotlin weiterlesen

Bücher kaufen in der Corona-Krise

Liebe LeserInnen, als erstes wünsche ich Ihnen natürlich, dass Sie gesund sind und es auch bleiben! Sollte das der Fall sein, haben Sie in diesen Wochen vielleicht mehr Zeit als sonst, sich in neue Technologien einarbeiten. Leider ist der Kauf von Büchern aktuell schwierig — eine äußerst unangenehme Situation nicht nur für IT-interessierte Leser, sondern auch für Autoren und Verlage.

amazon hat seine Begeisterung für Bücher quasi über Nacht verloren

Bücher kaufen in der Corona-Krise weiterlesen

JavaFX-Programm mit Gradle

Seit JavaFX aus dem JDK entfernt wurde, ist es nicht mehr ganz einfach, ein minimalistisches JavaFX-Programm zu entwickeln. In der 3. Auflage meines Java-Grundkurses zeige ich, wie Sie die JavaFX-Bibliotheken manuell herunterladen und dann in ein IntelliJ-Projekt integrieren (Veränderung der Modulabhängigkeiten und der VM-Optionen). Das funktioniert, die resultierenden IntelliJ-Projekte laufen wegen der starr eingestellten Pfade aber nicht auf einem anderen Rechner. Besser ist es, das Build-Tool Gradle zu Hilfe zu nehmen.

JavaFX-Programm mit Gradle weiterlesen