staging.inyokaproject.org

Einem argentinischen Sicherheitsexperten ist es gelungen einen Bug in nslookup.exe von M$ aufzudecken. Dank diesem Bug hat er die Möglichkeit, beliebigen Code in einen Computer einzuschleusen. Der Angriff wird ermöglicht dank einem Fehler beim zerlegen von fehlerhaften Funktionen.

Ein Update von M$ gibt es noch nicht, die einzige Stellungsnahme von M$: “Wir werden es untersuchen”.

Nach Symantec wurde dieser Bug schon öffters zum Eindringen in PCs genutzt. Woher Symantec das wissen will, ist fragwürdig, da der Bug erst seit ein paar wenigen Tagen bekannt ist…

Auf dem Blog des Sicherheitsexperten Ivan Sanchez, welcher den Bug entdeckte, gibt es ein Video, welches zeigt, was M$ beim Coden mal wieder alles falsch gemacht hat und wie der Bug zum einschleusen von Software missbraucht werden kann.

Quellen:

http://www.nullcode.com.ar/

http://packetstormsecurity.org/0808-advisories/Nslookup-Crash.txt

Verwandte Artikel

• Life is a technical Game
• Viren und Linux – Realität oder Unmöglichkeit?
• Tag der Informatik
• Sudo, die Freikarte zum Asus EEE
• Social Upgrade für meine Maus

Scannen unter Linux ist eine Sache für sich. Wer einen Scanner konfiguriert hat der wird wohl mit dem bekannten Programm Xsane arbeiten. Das Tool ist zwar in der Auswahl der Funktionen unschlagbar, doch die vielen Fenster nerven (ab und zu).

Manchmal wünscht man sich halt die alte GUI die man sich unter Windows gewohnt ist zurück. Schlicht und einfach, alles praktisch in einem Fenster. Doch auch unter Linux bzw. Ubuntu gibt es ein Progrämmchen das auf  Xsane aufbaut, und den Benutzer dirch eine einfache GUI führt, und das Eingescannte direkt ins PDF oder jpg. Format umwandelt. Zudem können Bilder und Dokumente vor Ort gedreht und zugeschnitten werden. Das Paket heisst gscan2pdf und kann mittels Terminal:

sudo apt-get install gscan2pdf

oder in Hinzufügen/Entfernen/Synaptic installiert werden. Xsane ist vorausgesetzt! Es ist ein Programm das vor allem für Anfänger einen leichteren ‘Einstieg in die Linux Welt des scannens’ erleichtert.

Es gibt viele Themes für IceWM – warum schon wieder eines? Weil es zu wenige gibt, mit denen man wirklich arbeiten kann. Die meisten verfügbaren sind entweder mausgrau oder quietschbunt und völlig abgedreht. Von Augenfreundlichkeit, Usability und Eleganz keine Spur. Findet man mal ein passables, imitiert es meist nur das Aussehen anderer Oberflächen, meistens MacOS. Mit Eiskristall habe ich mich bereits einmal an einem IceWM-Theme versucht, doch letztendlich war auch dies nur eine Imitation von Gnomes Clearlooks-Design.

Hier will das Themepack “n-icedesert” (= “new and nice icedesert”) einspringen: der typische IceWM-Look soll erhalten bleiben, aber dabei gleichzeitig annehmbar aussehen. N-icedesert imitiert daher nicht, sondern schafft ein neues eigenes Erscheinungsbild für IceWM.

Screenshot:

N-icedesert basiert dazu auf dem IceWM-Standardtheme “Icedesert”, verzichtet aber auf die Farbe Fleischrosa-Grau und bietet ein schlichtes und unaufdringliches Erscheinungsbild. Die Taskleiste, Menüs und Titelleisten sind matt gehalten, für Hochglanz-Fans steht zusätzlich der Stil “glossy” zur Verfügung. Das Theme enthält 5 unterschiedliche Farbstile: grün (susegeeignet), orange (ubuntugeeignet), blau, dunkelblau und grau.

Das Theme steht unter GPL-Lizenz.

Download

(Dieses Theme-Pack ist auch via Freshmeat erhältlich.)

Schon seit längerer Zeit wird in den Hardwarelabors am Nachfolger von USB 2.0 getüftelt. Da immer mehr Datenmengen bewältigt werden müssen – z.B. von Digitalkameras oder USB-Festplatten – ist eine höhere Datentransferrate wünschenswert. Um nun die Entwicklung voranzutreiben, hat Intel auf eigene Rechnung einen Hostcontroller entwickelt, dessen Spezifikationen freigegeben werden. Andere Hersteller können nun eine kostenfreie Lizenz erwerben.

Ich finde, das ist auch eine Art Open Source und Intel verdient sich damit Respekt. Verhindert das doch auf alle Fälle Inkompatibilitäten zwischen den Systemen und es muss nicht erst – wie bei der HD-DVD – ein Machtkampf der Systeme auf dem Rücken der Anwender stattfinden!

Welche Datenrate USB 3.0 schafft, steht wohl noch nicht ganz fest. Aber man rechnet mit ungefähr 5GBit/s, was 10x schneller als USB 2.0 wäre! So wie es ausschaut, ist diese hohe Geschwindigkeit nur mit 2 Glasfasern zu schaffen. Um die Kompatibilität zu USB 2.0 zu gewähren, sollen aber auch die vorhandenen Kupferleitungen in den Kabeln und die Anschlüsse in den Konnektoren beibehalten werden.

Links:
PCGames Hardware
Golem.de
Intel

Für die wissenschaftliche Arbeit stellt die digitale Literaturverwaltung eine der wesentlichen Errungenschaften dar. Mühelos lässt sich so sicherstellen, dass alle zitierten Werke auch im Literaturverzeichnis auftauchen, dass alle Einträge einheitlich formatiert sind, oder dass sich Literaturverzeichnisse nach verschiedenen Richtlinien erstellen lassen.

In diesem Artikel möchte ich einige der verfügbaren Literaturverwaltungsprogramme vorstellen.

Sieht Mozilla, die Organisation hinter Firefox und Thunderbird, in Linux eigentlich nur ein Stiefkind? Auf den Gedanken könnte man kommen oder zumindest vermuten, dass Mozilla Windows deutlich lieber hat. Denn wer versucht, den aktuellen Firefox 3 oder in diesen Tagen die Alphaversionen des kommenden Thunderbird 3 zu installieren, bekommt vielleicht statt des erhofften Programmes nur diesen Hinweis zu sehen:

Dann nämlich, wenn er nicht das Neueste vom Neuesten einsetzt, sondern eine etwas ältere Linuxdistribution.

Was hat einen eigentlich damals dazu bewogen, auf Linux umzusteigen, obwohl das Angebot an Programmen im Vergleich zu Windows doch noch sehr dürftig war? Stabilität, Flexibilität – und die Aussicht darauf, ein System zu haben, das man nicht alle paar Monate neuinstallieren muss, weil die Registry verkonfiguriert ist und der Rechner immer träger wird.

Alte Linuxdistributionen, z.B. von 2006, laufen auch heute noch wunderbar, praktisch kann man damit oftmals nicht mehr viel anfangen – wenn man eben z.B. den neuesten Firefox oder Thunderbird benutzen möchte.

Im Falle von Mozilla deswegen, weil die Programmanbieter nicht mitziehen und ihre Softwarepakete nur mit den neuesten Technologien laufen lassen. Jedoch nur bei Linux: Alle “Pinguine”, die älter sind als anderthalb Jahre, schauen in die Röhre, Ubuntu 6-, Suse 10.1- oder Red-Hat-Nutzer kommen nicht in den Genuss der neuen Programme. Firefox/Thunderbird 3 unter Windows sind hingegen sogar noch unter Windows 2000, einem über 8 (!) Jahre alten Betriebssystem einsetzbar.

Durch diese Politik wird einer der Hauptvorteile von Linux durch die Hintertür wieder zunichte gemacht – am Ende muss man sein Betriebssystem doch alle paar Monate neu installieren, wenn man programmtechnisch einigermaßen aktuell bleiben will. Andere Softwarehersteller geben sich übrigens linuxfreundlicher: Opera läuft sogar noch mit Steinzeit-Linuxversionen oder auch OpenOffice lässt sich auf alten Maschinen problemlos installieren.

Das Problem des schnellen Veraltens ist jedoch oft auch durch die Unflexibilität der beiden großen Desktopumgebungen, Gnome und KDE, verschuldet: der Vorteil, dass man durch die Installation dieser Desktops auch gleich eine umfangreiche Programmausstattung dazubekommt, entpuppt sich nach einer Weile als Nachteil, denn die Programme sind meist nur als Komplettpaket im Angebot. Das neueste KMail nutzen, ohne das komplette KDE auszutauschen? Nicht möglich. Das neueste Evolution oder Gimp installieren, ohne sich sein restliches Gnome komplett zu zerschießen? Für den durchschnittlichen Nutzer nicht zu bewerkstelligen.

In diesem Punkt – Abwärtskompatibilität und individuelle Softwarewahl – zeigt Linux gegenüber dem Windows-Prinzip bisweilen deutliche Nachteile. Mit Linux bekommt man gleichzeitig eine Menge toller Software, muss sich letztendlich aber mit dem zufriedengeben, was die Desktopumgebungen zu diesem Zeitpunkt mitbringen bzw. was einem der Distributor zusammenstellt. Spätere Ergänzungen bzw. Aktualisierungen sind schwierig – falls man nicht gleich zu einem aktuelleren Linux greift.

Nun, da das iPhone 3G seine Wege auch in die kleine Schweiz gefunden hat, durfte ich mir das ’super Telefon’ auch mal ansehen. Und dann sehe ich auf dem Apfelblog die Verkaufszahlen, und muss mir an den Kopf fassen, wie kann ein Newcommer soviel Markt in so kurzer Zeit einnehemen?

Gut, zugegeben es ist ja nicht irgendeine Firma, sondern immernoch Apple, die ja schon zuvor unglaublichen Erfolg mit dem iPod und OS X usw. hatten. Aber trotzdem, wie schon viele Kritiker sagen, hat Apple ausser dem Multi Touch Patent nichts neues entwickelt, sondern lediglich alte Technologien so verbunden, dass diese in ganz neuem Licht erscheinen. Die Kunst liegt darin diese so zu bündeln dass ein inteligentes Zusammenspiel entsteht, welches den Leuten den Eindruck gibt: ‘Wow das ist ja hightech, und muss super gut funktionieren’. Doch der erste Blick trügt. Das iPhone ist in den Funktionen ziemlich beschränkt, trotz App Store usw. Und wie immer mussten Linux Entwickler den entscheidenden Anstoss geben, um Apple dazu zu bringen, einen App Store überhaupt zu veröffentlichen. Es war der Jailbreak, den ich persönlich einfach genial finde. Bei den Computern kommt OS X zum Einsatz, es ist ein hervorragendes Betriebssystem, schön, elegant, und schlicht. Doch unter der Haube steckt, wie Apple selber zugibt, ein Unix Kern. OS X ist also nur ein BSD Abkömmling. Dazu kommt noch das OS X in so manch einem Fall ohne Grund abstürtzt, und als Server sehr langsam ist. Der Clou ist aber, dass Apple das OS an die Computer anpasst, was bei Windows und Linux aufgrund der verschiedenen Computer Sorten nicht oder nur  eingeschränkt möglich ist (Linux machts aber besser als Windows!).

Kurz zusammengefasst:

Apple erfindet nicht viel neues, es lässt alte Technologien, durch neue GUI’s und angepasste Hardware in neuem Licht erscheinen. Den Anstoss müssen meisstens Leute aus der Umgebung geben (Jailbreak usw.)

Vorschlag für Ubuntu:

Wie wäre es wenn Ubuntu sich nicht auf allzu neue Software konzentrieren würde (anstatt bei jedem Relase irgend ein neues Programm mitzubringen, ausser es ist besser), sondern mehr darauf achten würde das alte zu verbessern. Zb. Kein neuer Style sondern den alten perfektionisieren? Naja da weiss ich zu wenig. Was denkt ihr?

PS. iPHONE FOR SUNRISE!

Wie kann man Supercomputer-Leistung erzielen, ohne einen Top500-Rechner anzuschaffen?

Die Antwort auf diese Frage lautet verteiltes Rechnen (distributed computing) bzw. in einer weiteren Entwicklungsstufe Grid-Computing. Die Idee dabei ist einfach umschrieben, dass die Prozessoren vieler Computer zeitweise nicht ausgelastet sind und diese ungenutzte Rechenzeit gebündelt wird.

Die ersten Projekte waren unter anderem mathematische Fragestellungen (Finden eines Schlüssels für eine verschlüsselte Nachricht) oder angewandte Astrophysik (Finden regelmäßiger Signale in Daten von Radio-Teleskopen).

Eines der derzeit besten verfügbaren Projekte das sich Gemeinnützigkeit auf die Fahnen geschrieben hat, ist das World Community Grid. Hier werden nur gemeinnützige Projekte aus dem medizinisch-biologischen und ökologischen Bereich unterstützt, deren Ergebnisse im Anschluss gemeinfrei (sprich als Public Domain) veröffentlicht werden.

Die aktuell aktiven Projekte von WCG beschäftigen sich mit der Suche nach Mitteln gegen AIDS und Impfstoffen für die Flavivirus-Familie, der Verbesserung des Ertrags von Reis und in der menschlichen Protein-Forschung.

Am einzelnen Rechner wird BOINC verwendet, dieser Client ist beispielsweise für Linux, Solaris, Mac OS X und Windows verfügbar. Für Ubuntu gibt es die Pakete “boinc-client” bzw. “boinc-manager” im Universe-Repository.

Weitere Informationen und die Voraussetzungen zur Teilnahme am WCG-Projekt sind auf der Projektseite und beim Rechenkraft.net e.V. zu finden.

Da ist die  Golem Meldung von 50000 weiteren Daten ja gerade zu nebensächlich ...

Nachdem ich eine Woche nicht daran hab arbeiten können, da der Ati Chip in meinem Laptop keine Shader unterstützt, hab ich mich heute wieder an die Kugel gemacht und konnte die Caps fertigstellen. Wird auch langsam Zeit: übermorgen ist Code Freeze für die Abgabe bei Summer of Code. Das Ergebnis sieht nun so aus:

Die Kugel wurde etwas nach hinten vorschoben um vollständig auf den Monitor zu passen und die Spiegelung wurde deaktviert, da sie mit der unteren Cap überschneiden würde. Kugel und auch Zylinder können übrigens nicht verwendet werden um den Wechsel der Arbeitsfläche zu animieren. Dafür gibt es nur den Würfel. Alles andere würde das Bild bei einer Animation von ca. einer halben Sekunde zu stark stören.

Leider sind meine Versuche Zylinder und Kugel andere Tastenkürzel zu geben erst einmal gescheitert. Irgendwie scheint mir die Vererbung in C++ doch nicht so ausgereift zu sein wie in Java. Eigentlich ja nicht überraschend, da C++ ja auch gelinkt werden muss. Da die Tastenkürzel im Konstruktor festgelegt werden und der Konstruktor von Cube als Elternklasse zuerst ausgeführt wird, hat auch Zylinder und Kugel dessen Tastenkürzel reserviert. Daher bleibt es vorerst dabei, dass man Cube nicht starten kann, wenn Zylinder oder Kugel aktiviert ist. Die Einstellungen sollten sich jedoch noch ändern lassen. Werde ich mir morgen mal anschauen

Auf www.kde.org gibt es nun eine Seite auf der alle wichtigen Pressestimen zu KDE 4.1 verlinkt sind. Darunter auch die Meldungen von Golem, Heise und Co. Insgesamt gibt es 13 deutschsprachige Artikel.

Quelle

•  www.kde.org

Viel Spass beim lesen

Mit einem der heutigen Aktualisierungen habe ich die interne Struktur der Ikhaya-Artikel etwas geändert sodass der administrative Aufwand hübscher wird sowie URLs beständiger sind.

Als kleinen Nebeneffekt hatte das allerdings zur Folge, das sich einige Artikel-URLs geändert haben – das war nicht beabsichtigt, ich habe nicht gewusst das die `slug`s derart geändert wurden.

Nun, geschehen ist geschehen und ich möchte hiermit darauf aufmerksam machen, das einige Ikhaya-Artikel nun unter einer neuen URL zu finden sind (welche und wie viele kann ich nicht sagen – daher hier provisorisch die Warnung), siehe „Warum ist “Warnung vor proposed-Paketquellen” in Ikhaya nicht mehr verfügbar?“. Daher bitte bei Verlinkungen überprüfen ob der Link wirklich der richtige ist. Google wird hoffentlich in wenigen Tagen die neuen URLs indiziert haben, unsere Hauseigene Suche wird das vermutlich nicht so schnell machen.

Aus servertechnischen Gründen ist es uns zur Zeit nicht möglich die Suche zu aktualisieren – Wodurch der bisherige Stand der Suche vom 01.08.2008 sich leider nicht ändern lässt. Wir arbeiten an dem Problem!

MfG euer Webteam!

Aus technischen Gründen konnten wir die Kommentare nicht aus dem alten Blog mit importieren. Alte Kommentare lesen.

Dann reihe ich mich mal in die Schlange der Gratulanten ein. Debian, die exzellente Linux-Distribution und Basis für einige Derivate wie Ubuntu, feiert heute ihr 15-jähriges Bestehen.

Die Ubuntu-Homepage sendet ebenfalls ihre Grüße in Form eines unübersehbaren Banners an die Debian-Community.

In diesem Sinne: Alles Gute zum Geburtstag, Debian!

Ohne Schwierigkeiten produzierte das Yalm-Team die neue Ausgabe des bekannten und freie erhältlichen Online-Magazins. Von einem Sommerloch ist nichts zu spüren, die Themen sind diesesmal:

• Rückblick
• Amarok
• Interview mit Ian Monroe
• OpenOffice Base – Teil 1
• GnuPG – Teil Ⅱ
• Tipps und Tricks für die Shell Teil 3
• Sprechblasen mit GIMP erstellen
• Bunte Seite
• Story: Gekaufte Zeit
• Intern

Die Ausgabe könnt ihr unter http://www.yalmagazine.org/yalm/10 herunterladen.

Es war eine tolle Woche und leider ging sie viel zu schnell vorbei. Aber man freut sich schon auf nächstes Jahr in Gran Canaria zusammen mit den Leuten von Gnome. Fällt leider voll in die Klausuren- und Lernphase.

Die KDE Community ist einfach umwerfend. Alle Leute sind super nett. Generell war es riesig. Wir 350 Leute haben ja nicht mal mehr auf das Gruppenfoto gepasst, daher hab ich mich auch noch nicht darauf entdeckt.

Die ersten zwei Tage waren geprägt von Konferenzen. Sehr viele Talks und Keynotes. Die meisten richtig interessant und manchmal gab es auch zwei Talks die ich gerne gleichzeitig gehört hätte. Zum Glück wurde aufgezeichnet Sehr interessant war natürlich die Keynote von Nokia, unseren neuen besten Freunden. Für die, die es nicht wissen: Nokia hat am Anfang des Jahres Trolltech übernommen und ist nun die Firma hinter Qt und somit KDEs wichtigster Partner. Von der Keynote her denke ich nun noch mehr, dass Nokia sich der Verantwortung gegenüber KDE bewusst ist und das Verhältnis noch weiter ausbauen will und KDE stärker fördern wird. Wäre natürlich sehr erfreulich.

Zwischen den Talk wurden auch die aKademy Awards verliehen. Ich denke Amarok, Oxygen und Aaron Seigo für Plasma sind passende Gewinner für diese Auszeichnungen. Amarok ist einfach eine geile Anwendung, Oxygen ist mit das schönste was ich je auf dem freien Desktop gesehen habe und Aaron hat die Auszeichnung für seine Arbeit und seine Ideen an Plasma durchaus verdient.

Am Samstag Abend war das Social Event in einer Brauerei mit Freibier gesponsort von Nokia. Hier hatte man so richtig die Gelegenheit neue KDE-ler kennenzulernen und sich mit ihnen über ihre Projekte und Arbeit auszutauschen. Um es einfacher zu machen hatte jeder KDE-ler ein Namensschild umhängen. Sonntag morgen waren die ersten Vorträge doch etwas träge. Eigentlich verständlich bei Bier mit 9 % - und keiner hat uns gewarnt

Montag war die Hauptversammlung des KDE e.V. Das hat die meisten aKademy Teilnehmer beschäftigt. Da ich kein Mitglied bin, durfte ich nicht hingehen und habe mich stattdessen dem Coding gewidtmet. Es ist auch ein bißchen was darbei herumgekommen

Dienstag war der Thementag zu Mobile Devices. Dieser stand natürlich unter dem Einfluss der 100 N810 die Nokia an die KDE Entwickler verschenkt hatte. Die Akkus waren zum Glück schon geladen und die Mac Adressen waren in der Firewall freigeschaltet. So kam es, dass man den ganzen Tag über Leute über ihr neues Spielzeug gebeugt gesehen hatte, die ihre ersten Gehversuche mit Gnome machen. Bin ja mal gespannt, was die Community für diese Geräte leisten wird. Denke aber mal schon, dass es bald die ersten KDE 4 Pakete für Maemo geben wird. Wäre schön. Natürlich müssen die Anwendungen auch ein bißchen angepasst werden. Aber das sollte ja nicht so schwer sein. Ich weiß noch nicht, ob das Gerät einen 3D-Chip hat, daher hab ich noch keine Ahnung ob meine Effekte laufen werden

Am Dienstag konnte ich mich auch einmal mit meinem GSoC Mentor und KWin Maintainer (wer Planetkde liest: der mit den blauen Haaren) zusammensetzen und über unsere Pläne für 4.2 reden. War meiner Meinung nach ein sehr fruchtbares Gespräch und ich werde mich nun stärker in KWin einarbeiten und mich auch mal mit den Bereichen abseits der Effekte beschäftigen.

Die letzen Tage waren geprägt von Hackathon und BoF Sessions. Ich selber habe keine der BoFs besucht. Wollte zu Usability gehen, aber Essen hatte länger gedauert als erwartet und als ich ankam war der Raum bereits überfüllt. Daher habe ich ein bißchen programmiert. Present Windows Effekt (aka Expose) ist nun ein Window Switcher (Alt+Tab). Ist sehr praktisch, da er sehr gut skaliert für eine große Anzahl von Fenstern. Ob ich ihn selber in 4.2 nutzen werde, weiß ich noch nicht, da ich meistens nur so viele Fenster offen habe, dass Coverswitch noch gut skaliert. Eine weitere Neuerung (noch nicht committed) konnte ich in den Einstellungen einbauen. Nun gibt es ein Dropdown um den Window switcher und eins für den Desktop switcher auszuwählen. Das sollte es dem User bedeutend erleichtern, den für sich perfekten Effekt zu finden ohne die Einstellungen verschiedener Effekte durchzuprobieren um herauszufinden, dass der Effekt auch als Window Switcher verwendet werden kann. Ja das zeigt: wir brauchen ein Handbuch.

Btw: ich werde wohl eine englische Kategorie einführen und meine Blogposts zu KDE in Zukunft in Englisch verfassen, da ich mehrmals gebeten wurde auch auf planetkde zu posten. Ich denke, dass ich weiterhin kurze deutsche und nicht so technische Posts schreiben werde.l

Im vorletzten Beitrag liess sich heraushören dass es Leute gibt die mit dem Style des ‘neuen Ubuntu’ und insbesondere von Linux allgemein nicht zufrieden sind. Berechtigt oder übertrieben?

Schwarz - Weiss - Blau - Pastell, jeder hat eine eigene Vorstellung wie Linux aussehen sollte. Das ist auch gut so, denn jeder soll seine freie Meinung haben. Unterschiede machen eine Gesellschaft vollkommen. Doch leider gehen manchmal auch Unterschiede etwas zu weit. Grosse Leute lassen Stimmen fallen wie ‘Linux sieht aus wie Windows 2000′, andere wiederum denken dass neue Styles wie das des Steinbockes zu dunkel sind, und sich die Mode richtung Schwarz bewegt. Positiv oder negativ?
Aber was macht einen perfekten Desktop aus? Das Aussehen? Die Effizienz? Oder ganz andere Gründe? Ein perfekter Desktop muss meiner Meinung nach effizient an erster Stelle sein, dann ist es auch wichtig dass das Desing nicht vergessen wird. Zudem müssen die Farben neutral sein, und nicht ein anderes Betriebssystem kopieren. Also umdenken ist angesagt. Ich besitze leider nicht die Kentnisse ein Theme selber zu schreiben, aber ich kann basteln. Und das ist mein Schlüssel zur Freiheit, den ich nur von Linux kenne.

Wie würde euer perfekter Linux Desktop aussehen? Bin gespannt!

Was ist denn pinoc.org? hhm bestimmt nix gutes

Offener Brief an die Redaktion der Financial Times Deutschland:

Sehr geehrter Jörn Petring,

aktuell findet sich unter ftd.de ein Artikel von Ihnen, der den Eindruck erweckt, die Verwendung von Opensource-Software in eigenen Softwareprodukten stelle ein unkalkulierbares Risiko dar. Dieser Eindruck ist falsch: Das Risiko ist nicht größer als bei der Verwendung kommerzieller Komponenten, oft lassen sich Entwicklungskosten minimieren und die “doppelte Erfindung des Rades” vermeiden. Damit die positiven Kosteneffekte zum Tragen kommen, ist aber wie bei jeder Entwicklung — sei es nun Software, Hardware, ein Auto, ein Computerchip oder ein Toaster — eine Planung des Entwicklungsprozesses notwendig. Ich möchte daher auf einige Punkte Ihres Artikels eingehen, die einer Präzisierung bedürfen oder sich aus meiner Sicht einfach als falsch darstellen.

Sie schreiben: Wer kostenlose Software für kommerzielle Zwecke verwendet, bekommmt es mit Harald Welte zu tun: Der freie Programmierer verklagt alle Unternehmen, die den Open-Source-Kodex verletzen. Das Prozessrisiko reißt eine große Lücke in die Bilanzen der Unternehmen.

Bereits in der Einleitung haben sich eine Reihe von Fehlern eingeschlichen. Harald Welte verfolgt lediglich Verletzungen seiner Urheberrechte am Linux-Kernel, der unter der relativ restriktiven Lizenz GPL steht. Bei dieser handelt sich keineswegs um einen Kodex (im Sinne einer freiwilligen Selbstverpflichtung), sondern um einen knallharten Vertrag über die Wiedervervendung von Softwarequellcodes. Die Gattung Open Source Software umfasst jedoch noch andere, weniger restriktive Lizenzen, auf die ich später noch genauer eingehen möchte. Die GPL garantiert, dass Modifikationen an einem Programm wieder im Quellcode vertrieben werden. Viele Unternehmen wählen die GPL im Falle einer “strategischen” Freigabe von Software, weil sie in diesem Fall von den Weiterentwicklungen der Konkurrenz etwas zurückbekommen.

Der Punkt des Prozessrisikos in zumindest in Deutschland relativ gut kalkulierbar: Gerichte bemessen dort Schadenersatzforderungen und Streitwerte nach den Kosten, die eine Eigenentwicklung oder ein Zukauf gekostet hätte.

Sie schreiben: “Viele Unternehmen haben Nachholbedarf. Oft wissen Manager nicht einmal, welche Bestandteile von ihren Programmierern in die eigene Software integriert wurden”, sagt Schäfer. Eine Nachlässigkeit mit fatalen Folgen. Ist der Open-Source-Anteil in der neuen Software zu groß, Experten sprechen dann von einem “abgeleiteten Werk”, greift die GPL-Lizenz für die gesamte neue Software, was bedeutet, dass der komplette Quelltext frei zugänglich gemacht werden muss. “Damit wäre die Software nicht mehr kommerziell zu vertreiben”, sagt Schäfer. Für die Entwickler ein großes Unglück

An dieser Stelle wird für den Leser den Eindruck erweckt, ein großes, komplexes Softwareprodukt müsse komplett im Quellcode offengelegt werden. Diese Aussage muss differenziert werden: Die auf Open-Source-Programmen basierende Betriebssoftware vieler Geräte wie DSL-Router (auf die sich Welte besonders konzentriert) oder Linux-basierter DVD-Player besteht aus einer Vielzahl von Komponenten, die oft aus unterschiedlichsten Quellen stammen und unterschiedlichsten Lizenzen unterliegen. Vermischt man diese nicht, beispielsweise indem offene und geschlossene Komponenten in einer einzigen Binärdatei zusammengefasst werden, sind die freizugebenden Komponenten schnell identifiziert. Im erwähnten Beispiel von DSL-Routern handelt es sich meist um den Linux-Kernel und ein Universal-Systemwerkzeug namens BusyBox, die in der Regel nur marginal abgeändert werden. Die Freigabe dieser Komponenten steht einem kommerziellen Vertrieb eines gesamten Produktes meist nicht im Weg. Denn mit einem nackten Kernel und einigen Kommandozeilenwerkzeugen kann die Konkurrenz oft wenig anfangen (siehe bspw. Motorola).

Sie schreiben: Weltes Warnschuss hat schon gewirkt: Erste Unternehmen zittern vor der Vernichtung ihrer Bilanzwerte, andere wittern ein großes Geschäft. Die Firma Black Duck hat sich darauf spezialisiert, Software im Auftrag von Unternehmen zu scannen. “Unsere Kunden wollen sichergehen, dass ihre Software in Ordnung ist. Regelmäßig finden wir dann Sachen, die die Leute richtig blass werden lassen”, sagt Stefan Just von Black Duck. Konzerne wie SAP und Siemens schienen ebenfalls verunsichert und haben sich laut Just bereits von Black Duck beraten lassen.

Die Erwähnung von Black Duck bringt uns zum eigentlichen Punkt meiner Kritik, denn Sie erwähnen nicht, dass Black Duck auf Wunsch nach jeder Art von unrechtmäßig oder zweifelhaft in die eigenen Quellcodes gerutschten Code-Fragmenten scannt. Black Duck beschränkt sich keinesfalls auf die Verletzungen freier Lizenzen.

Ihr Artikel sollte eigentlich vor den generellen Risiken einer schludrigen Verwaltung und Versionierung von Quellcodes warnen, schließlich kommt es auch häufig vor, dass Entwickler eigene Code-Bibliotheken pflegen und oft gar nicht wissen, dass die Rechte daran ihr vorheriger Arbeitgeber hält. Ebenfalls häufig kommt es vor, dass einst lizenzierte Bibliotheken weiterverwendet werden, obwohl die Lizenzverträge ausgelaufen sind. Black Duck kann — in wessen Auftrag auch immer — nach derartigem Code suchen. Verletzungen freier Lizenzen sind daneben leichter während der Entwicklungsphase festzustellen, einen echten Super-GAU bedeutet es dagegen, wenn ein Konkurrent Wind von einer Verletzung seiner Rechte bekommt und bis zur Veröffentlichung des Produktes des “Verletzters” wartet, bis er ihn mit Klagen überzieht.

Wird dagegen eine Verletzung von Lizenzen wie der GPL oder der LGPL festgestellt, ist eine Heilung in vielen Fällen mit vertretbarem Aufwand möglich. Bei Verletzungen der LGPL ist es meist so einfach, darauf zu achten, dass die betreffende Komponente erst zur Laufzeit geladen wird, bei Verletzungen der GPL kann in vielen Fällen der betreffende Code in eine eigene Binärdatei ausgelagert werden, die dann einfach über das System aufgerufen wird. Das ist der Fall in der von mir festgestellten mutmaßlichen Verletzung der GPL durch die Integration einer Funktionen der BusyBox in die Firmware des LaCie-Medienplayers, wo die Funktion zum Einbinden der Festplatte wohl einfach kopiert wurde. Offenbar wollte sich ein Programmierer ein paar Tage Arbeit sparen, die hierfür verwendete Funktion als separate Binärdatei auszulagern¹.

Nun ist es nicht Aufgabe derjenigen, deren Rechte verletzt wurden, für eine Heilung des Rechtsbruchs zu sorgen. Es ist also legitim, wenn Welte das naheliegende unternimmt und das Unternehmen vor die Wahl stellt, die GPL zu respektieren oder den Vertrieb eines Produktes zu unterlassen. Für Consulting, wie ein der GPL konfirmer Aufbau eines Produktes aussehen könnte, ist es zu diesem Zeitpunkt zu spät.

Der von vielen Lesern sicher aus Ihrem Artikel herausgelesene Ratschlag, freie Software zu meiden ist daher weltftremd. Freie Software ist Fakt und viele Programmierer üben während des Studiums mit freien Bibliotheken oder durch die Mitarbeit an großen Open-Source-Projekten. Einerseits Zeitdruck auf Entwickler auszuüben und andererseits die Verwendung von freien Komponenten zu verbieten (oder das Vorhandensein freier Software zu leugnen), schließt sich gegenseitig aus. Stattdessen ist es von grundlegender Bedeutung, den Überblick über die eigene Softwareetwicklung zu behalten und Versionskontrollsysteme auch dazu zu verwenden, genutzte Komponenten (freie wie unfreie) zu inventarisieren. Nach Möglichkeit ist bereits zu Beginn einer Entwicklung herauszufinden, welche freien Komponenten Entwickler gerne integrieren würden². Im nächsten Schritt ist dann zu identifizieren, welche Komponenten als Geschäftsgeheimnis betrachtet werden und daher keine GPL-Software enthalten dürfen und bei welchen Programmen einer Freigabe nichts im Weg steht³.

Grundsätzlich gilt, dass bei vielen Entwicklern wenig Kenntnisse über die Unterschiede der Lizenzen und die Integration in große kommerzielle Projekte herrscht, andererseits kennen viele auf Lizenzfragen spezialisierte Anwälte nicht die technischen Unterschiede zwischen der dynamischen Einbindung einer Bibliothek und der Kommunikation einer Anwendung mit einer anderen über einen Socket. Es ist daher noch viel Aufklärungsarbeit notwendig, bis die — oft nur vordergründig gegensätzlichen — Interessen von Open-Source-Community und kommerziellen Entwicklern unter einen Hut zu bekommen sind. Dass Open-Source längst Realität ist, haben Sie vollkommen richtig festgestellt, diese ist allerdings in den seltensten Fällen umkehrbar. Unternehmen sollten daher dazu animiert werden, Open Source richtig einzusetzen und Chancen und Risiken möglichst früh zu betrachten, anstatt Angst vor klagenden Programmierern zu entwickeln.

Mit freundlichen Grüßen,
Mattias Schlenker

Nachtrag, 15. August 2008:

• Auch Harald Welte äußert sich kritisch zum Artikel der FTD und stellt seinen Standpunkt klar
• Erwähnung des FTD-Artikels bei Netzpolitik.org

Nachtrag, 21. August 2008:

• Laut Golem hat das SFLC einen Leitfaden “A practical guide to GPL compliance” veröffentlicht, der sich vor allem an Unternehmen richtet.

¹Für die technisch versierten Leser des Blogs: Es handelt sich um das mount-Applet der BusyBox, das separat kompiliert werden kann und sich dann weitgehend wie das mount von GNU/Linux verhält. Der Grund für die GPL-Verletzung ist also in Faulheit, Unwissenheit, Zeitdruck oder einer Kombination aus allen dreien zu suchen.

²Das Testen, ob eine Open-Source-Komponente für den eigenen Einsatzbereich taugt, erfordert übrigens keine aufwendige Freigabe: Erst wenn Binärdateien das Haus verlassen, ist der Quellcode beizulegen.

³Neben der GPL existieren weitere Lizenzen, die oft andere Handhabung des Quellcodes erfordern, LGPL-Code darf beispielsweise nur dynamisch dazugelinkt werden, erfordert aber nur die Freigabe der (modifizierten LGPL-Komponente), die BSD- oder MIT-Lizenzen erfordern dagegen keine Freigabe des Codes, aber die Nennung der Urheber in “Hilfe-Fenstern” oder im Handbuch.

Wenn Dateien mit falschen Rechten im Mülleimer landen, werden diese nicht gelöscht. Abhilfe per Terminal:

cd .local/share/Trash/

sudo rm -r files         //eventuelle Fehlermeldung ignorieren

mkdir files

Verfolgt man die Pressemeldungen der letzten Woche, so bekommt man schnell den Eindruck, dass die neue Version 3.0 von OpenGL, dem plattform- und programmiersprachenunabhängigen API (Application Programming Interface) zur Entwicklung von 3D-Computergrafik, nicht wirklich die Erwartungen der Programmierer und Benutzer getroffen hat.

Nun verstehe ich persönlich viel zu wenig von der ganzen Materie, als dass ich die Software ansehen und bewerten. Vielmehr bin ich auf Meinungen anderer Leute angewiesen, die sich in ihrem Leben näher mit dem Thema befassen. Was aus den Kommentaren der Menschen hervorgeht ist allerdings nicht schwierig zu interpretieren. OpenGL 3.0 hätte einen viel größeren Evolutionssprung machen müssen um in Zukunft dem konkurrierenden Microsoft DirectX gefährlich werden zu können. Viele Benutzer sahen in Version 3.0 die letzte Chance für einen Angriff. Diese wurde nun offenbar nicht genutzt.

Wer kann jetzt noch helfen? Wer bringt OpenGL nach vorne? Wer hat das nötige Geld und Interesse einen mächtigen Konkurrenten zu DirectX aufzubauen? Vielleicht Apple?

Unter MacOS X bleibt OpenGL mangels Alternativen, ebenso wie unter Linux, das einzige Gerät für 3D-Programmierung. Ein mögliches Szenario wäre nun, dass Apple OpenGL forkt, ähnlich wie es bei KHTML war. Apple nahm KHTML damals als Grundlage und entwickelte es zu Webkit weiter, welches nun in allen möglichen Gebieten zum Einsatz kommt und aufgrund der Lizenzierung immer noch freie Software ist.

Könnte das selbe nicht auch mit OpenGL passieren? Apple wäre gezwungen das 3D-API als OpenSource weiterzuentwickeln, falls die Milliarden-Firma OpenGL wirklich forken würde. Möglicherweise könnten durch die Finanzkraft von Apple also auch Linuxbenutzer profitieren.

Nokia und Mozilla arbeiten derzeit an einer gemeinsamen Portierung der Firefox Engine zu QT. Damit würde sich Firefox vollkommen in die KDE Umgebung integrieren und müsste nicht mehr auf GTK Funktionen zurrückgreifen. Ziel der Portierung ist für Mozilla ist es den Marktanteil auf mobilen Endgeräten zu steigern. Nokia will das Rad nicht neu erfinden und mit der hauseigenen Entwicklung, basierend auf der WebKit Engine, einen neunen Browser erstellen sondern möchte auf bewehrte und bestehende Technik aufbauen.

Erste Screenshots gibt es auch schon zu sehen, auch wenn diese etwas klein ausfallen.

Quelle:

• dot.kde.org
• Screenshots

Ich bin auf das Ergebnis gespannt. Was denkt ihr ?