WebGang/CityGang

SSL-lek

Een programmeur van Linux distributie Red Hat kondigde op twitter een nieuwe versie aan van SSL: OpenSSL 3.0.7 verbetert een kritisch beveiligingsprobleem.
De correctie is goed nieuws, maar het beveiligingsprobleem is dat natuurlijk niet. OpenSSL wordt gebruikt voor veilige verbindingen tussen computers op internet.
Een fout in OpenSSL maakt het mogelijk dat die beveiliging doorbroken wordt, en dat bv via internet op servers ingebroken wordt. OpenSSL wordt op alle systemen gebruikt. De versie waarover het gaat is OpenSSL 3.0.0 tot en met versie 3.0.6.
Aangezien het pas vanaf versie 3.0.0 voorkomt, kan verondersteld worden dat versies daar voor het probleem niet hebben. Servers die niet de laatste nieuwe systemen gebruiken, zoals LTS versies, zijn niet getroffen. Maar het gaat niet alleen over servers. Ook gewone pc’s, smartphones, en andere apparaten die communiceren met servers, moeten een update krijgen, anders worden ze kwetsbaar voor de komende aanvallen die gebruik zullen maken van het ontdekte beveiligingsprobleem.

Ook in het verleden gebeurde het al eens dat een beveiligingsprobleem ontdekt werd in openSSL, bv in 2016, toen een probleem ontdekt werd waarbij een server gecrasht kon worden. En in 2014 werd het beruchte “HeartBleed” probleem ontdekt.

Vreemde laptops

Het project dat de Linux kern maakt, zoekt vrijwilligers om code te testen op laptops die afwijkende eigenschappen hebben t.o.v. de meest gangbare toestellen.
Het gaat hierbij over de achtergrondverlichting van de laptopschermen in de ACPI/x86 code voor de Linux kern 6.1.
Hans de Goede, die bij Red Hat werkt, begon in 2014 al aan de verbetering van de code voor de achtergrondverlichting van de laptopschermen, meer bepaald om die vanuit “userspace” mogelijk te maken. Daardoor heb je geen root rechten nodig, wat in Linux meestal nodig is als je hardware-instellingen wijzigt.
Hij pubiceerde vorige week donderdag een oproep op zijn hansdegoede.livejournal.com website om de nieuwe code waaraan hij werkt uit te testen op diverse toestellen, omdat hij de code compatibel wil houden voor zoveel mogelijk gebruikers. Als de code niet werkt op je toestel, werkt de instelling van de lichtintensiteit van je scherm niet. Dat zou kunnen voorkomen bij oudere laptops en Chromebooks, stelden ze al vast. Ondertussen is het voor de chromebooks opgelost, maar er bestaan beslist nog veel andere toestellen waarop het getest moet worden.
Hij legt op die website uit hoe je zelf de test kan doen, door een viertal commmando’s uit te voeren die informatie bewaren in een tekstbestandje dat je dan naar hem kan mailen, en waar hij mee aan de slag kan. De nieuwe kernel code kan dagelijks afgehaald worden in de vorm van Fedora builds om veranderingen uit te proberen, schrijf hij nog. Daarmee kan je ook testen of het bij je laptop niet meer werkt (of juist wel).

hansdegoede.livejournal.com

Apple tax vermijden

Online platformen hebben de macht om binnen hun ecosysteem de regels op te leggen, en dat zie je zowel bij games als bij andere online platformen. Typisch is de strijd om aankopen te laten doen en te betalen binnen het platform: heeft het game platform recht op een procentje van de aankopen binnen een game? Heeft Apple recht op een procentje van de aankopen die je binnen een app doet die je gekocht hebt via de app store?
Spotify heeft een audiobook app voor iOS, en ze moeten betalen aan Apple als gebruikers van die app een gekozen audiobook willen kopen van Spotify. Spotify mag in zijn app geen reklame maken om die via een ander kanaal te kopen, bv via een website van Spotify. Dus heeft Spotify maar alle verwijzingen naar een aankoop uit zijn app gehaald. Ze boden enkel een knop aan om een e-mail aan te vragen. Als de gebruiker daarop klikte, kreeg hij of zij een e-mail met een link er in, die leidde naar een aankoop pagina op internet. Dat heeft Spotify in een update er nu ook uitgehaald. De kandidaat koper krijgt nu enkel de opmerking dat je niet vanuit de app kan kopen, en dat Spotify dat ook niet ideaal vindt. Het is een aanklacht tegen de zogenaamde “Apple tax”.