Lugbz-list April 2021

lugbz-list@lists.lugbz.org

30 participants
36 discussions

DigSust: Gemeinsame Stellungnahme zur Verwendung von Cloud-Software in Schulen

by Matthias Wallnöfer

Aus der Telegram-Gruppe: Corinna Lorenzi, [10.02.21 14:16] * * * Gemeinsame Stellungnahme zur Verwendung von Cloud-Software in Schulen * * * Baden-Württembergs Kultusministerium plant die Bereitstellung der Cloud-Software MS 365 (früher „MS Office 365“) für die Nutzung an Schulen. Dieses Vorhaben ist aus zahlreichen Gründen, nicht zuletzt aufgrund ungelöster Datenschutzprobleme, stark umstritten. Die unterzeichnenden Organisationen wenden sich deshalb gegen dieses Vorhaben und appellieren an die Landesregierung, stattdessen auf die Nutzung und den weiteren Ausbau vorhandener und in zahlreichen Belangen vorteilhafterer Open-Source-Lösungen für den digitalen Unterricht der Schulen zu setzen. https://unsere-digitale.schule/ https://www.heise.de/news/Streit-um-Einsatz-von-Microsoft-Produkten-im-Digi…

9 months, 1 week

Public Money, Public Code

by Paolo Dongilli

Condivido questa campagna della FSFE: https://publiccode.eu/ In Italia abbiamo l'art. 69 del CAD a tutela degli investimenti di denaro pubblico in software (di cui le PA siano titolari): http://www.agid.gov.it/cad/art-69-riuso-soluzioni-standard-aperti Saluti, Paolo.

1 year, 1 month

cloud europeo

by Marco Ciampa

Interessante articolo sul cloud europeo. Francia e Germania si muovono, l'Italia no. https://www.wired.it/economia/business/2020/06/04/gaia-x-cloud-europa/ -- Saluton, Marco Ciampa

1 year, 10 months

Interessanter Artikel: Neue Nutzungsbedingungen für WhatsApp

by Matthias Wallnöfer

Mit 8. Februar werden für den beliebten Messenger-Dienst Whatsapp neue Bedingungen gelten. Diese kämen nach dem Motto „Friss, Vogel, oder stirb“, schreibt die Verbraucherzentrale Südtirol. Wer die Bedingungen nicht akzeptiere, werde den Dienst nicht mehr nutzen können. https://www.stol.it/artikel/panorama/multimedia/whatsapp-neue-verpflichtend…

2 years, 2 months

CoViD-19-Daten + Dashboards

by Matthias Wallnöfer

Einige von euch sind sicherlich schon über das GitHub-Repo mit den öffentlich zugänglichen italienischen CoViD-Daten gestolpert: https://github.com/pcm-dpc/COVID-19. Diese sind vorbildhaft unter CC veröffentlicht, was leider bei den beiden Standard-Mockups http://arcg.is/C1unv bzw. http://arcg.is/081a51 nicht der Fall ist. Jene Dashboards ('cruscotti') sind mithilfe einer proprietären SW namens ArcGIS entwickelt und andererseits ist auch sonst nichts (Quellcode etc.) darüber zu finden. Schon immer wieder eigenartig, wie die PAs den Begriff der Freien bzw. quelloffenen SW interpretieren. Matthias

2 years, 4 months

sicurezza eccessiva

by Gianguido Piani

Buongiorno! oggi, 29 aprile 2021, ore 08:30 ho vissuto per la prima volta l'apice della follia della sicurezza. Firefox non mi permette l'accesso ai miei dati. Uso desktop e Raspberry collegati in rete locale 192.168 ecc. per monitorare e loggare dati di miei consumi domestici. Vi accedo con Firefox via semplici protocolli HTML per visualizzare tabelle sullo schermo. Ho fatto poco fa uno degli infiniti aggiornamenti Firefox. Da allora non ho piu' accesso alle tabelle. Il programma indica "connection not secure", e la chiude. Entro nel menu, ci sono opzioni per permettere l'accesso a microfono, videocamera ecc. Una dozzina di domande meno quella fondamentale "sito sicuro, non applicare misure di sicurezza". Ho inserito il sito locale nel Security Dashboard come "Allow". Non serve. FF risponde che il sistema remoto (remoto, vabbe!) cerca di accedere alla mia "location". Cioe', qualcuno dall'indirizzo 192.168.1.147 cerca di accedere a 192.168.1.147. Chissa' chi puo' essere. Faccio "Allow" su tutto, non funziona. Qualcuno puo' darmi suggerimenti in merito? FF purtroppo non considera che un indirizzo che inizia per 192.168.x.x NON puo' fare parte del grande Internet. E anche se gli hacker di tutto il mondo mi dovessero leggere la temperatura del salotto - chissenefrega! Grande rivelazione, anteprima mondiale - e' tra i 18.5 e i 22 gradi ed e' in relazione alla temperatura esterna, che e' dato oggettivo e pubblico. Incredibile, no? saluti, Gianguido

2 years, 4 months

Re: [Linuxtrent] Re: sicurezza eccessiva

by Gianguido Piani

Antonio e Steevie, grazie per i commenti! tutto chiaro meno due punti, senza polemica Perché non debba funzionare ho provato a spiegartelo: le richieste in > chiaro sono troppo facili da sovvertire - qualsiasi attaccante le può > usare per scopi malevoli con sforzo nullo. Passare ad un certificato > autofirmato richiede un paio di comandi, non è chiedere troppo: > certamente ti avrebbe portato via molto meno tempo dello scrivere > queste email. > Non sapevo che si potessero generare certificati autofirmati, credevo che fossero in ogni caso di responsabilita' di aziende terze. Mi potete dare un link, che provo? > La documentazione ufficiale di Mozilla che ti ho linkato dichiara di > essere valida anche per Firefox 88. Se è sbagliata non lo posso > controllare (ho Firefox versione ESR), ma dice esplicitamente che > quello che chiedi tu si può fare. Sarei ESTREMAMENTE stupito che > questa funzione sia stata tolta ci provo, ma avevo cercato in dettaglio anche prima > Vi do' ragione che tutti i collegamenti dovrebbero essere in HTTPS. Il giorno che lo saranno, ma con banca o siti governativi lo sono gia', potremo fare a meno del doppio codice di identificazione che adesso e' richiesto, per l'appunto, dalle banche? Posso restare convinto che certe precauzioni siano eccessive, in particolare se si fa attenzione a come usare il conto e si fanno verifiche periodiche? Ho Ebanking da quando l'hanno introdotto, piu' o meno 1995, e le uniche situazioni di rischio che ho incontrato sono state le mail delle principesse nigeriane o di banche nelle quali non ho il conto che chiedono immediate verifiche online. SPAM, faccenda chiusa. Gianguido

2 years, 4 months

Erfahrungen mit Signal

by Franz Linter

Seit Jänner habe ich Signal auf meinem FP2 (google-frei mit fairphone open) laufen und war eigentlich sehr zufrieden. Ich hatte kein Problem an die apk-Datei zu kommen und die üblichen Problemchen traten auch nicht auf. Bis ungefähr eine Woche vor Ostern. Signal akzeptierte auf einmal meine Signalpin nicht mehr. Ich hatte aber noch 2 gekoppelten Geräte, die nach wie vor funktionierten, halt mit Einschränkungen, denn das Hauptgerät ist das Smartphone. Der Support meinte, deinstallieren, 7 Tage warten und man kann wieder sich anmelden, was auch gelang, allerdings nicht so einfach. Da mittlerweile die App viel weiter ist, habe ich die apk-Datei von https://signal.org/android/apk/ neu geholt: jetzt in der Version 5.8.10. Der 1. Schock kam, als ich den Hash der apk-Datei mit den in der hp angegebenen verglich, sie passen nicht überein. Normalerweise wäre es ein Grund die Finger von der App zu lassen. Weil sich aber der fingerpint auch nach der nächsten Version sich nicht geändert hat, habe ich dennoch installiert. Aber das dürfte nicht passieren. Mich hat der Hinweis von verify (https://developer.android.com/studio/command-line/apksigner#usage-verify) interessiert, weil da vielleicht eine Erklärung sein könnte. fli@wsr:~/Downloads> /home/fli/Android/Sdk/build-tools/30.0.3/apksigner verify Signal-Android-website-prod-universal-release-5.8.10.apk WARNING: META-INF/androidx.navigation_navigation-fragment.version not protected by signature. Unauthorized modifications to this JAR entry will not be detected. Delete or move the entry outside of META-INF/. WARNING: META-INF/androidx.camera_camera-camera2.version not protected by signature. Unauthorized modifications to this JAR entry will not be detected. Delete or move the entry outside of META-INF/. Das sind nur 2 Warnungen von insgesamt 67. Ich bin kein Entwickler für Android-Apps und interpretiere das Ergebnis von apksigner so, dass die einzelnen Module nicht durch Signaturen abgesichert sind und so unbemerkt manipuliert werden könnten. Ich kann nur sagen, als User eines googlefreien Android, kann man was erleben, was den google-play-normalos völlig verborgen bleibt. Hat jemand ähnliche Erfahrungen, dass die Signalpin nicht mehr akzeptiert wurde? Franz

2 years, 4 months

Re: [Linuxtrent] Re: sicurezza eccessiva

by Gianguido Piani

On Thu, 2021-04-29 at 11:39 +0200, Antonio Galea wrote: > On Thu, Apr 29, 2021 at 11:12 AM Gianguido Piani > <dmarc-noreply(a)freelists.org> wrote: > > Sull'ottima cosa ho qualche dubbio, almeno per quanto riguarda le > > reti locali quando Internet e' scollegato. > > No, nessun dubbio: anche se le informazioni non sono riservate, non > c'è alcun motivo valido per mandare in rete dati in chiaro. Le > connessioni non criptate sono intercettabili, ed è facilissimo > iniettare del contenuto malevolo. > > > L'informazione linkata non e' piu' valida. Ora occorre andare sul > > Protection Dashboard, qui c'e' un link piccolissimo "Manage your > > privacy and security settings". Nel menu e' presente l'opzione > > "Don't enable HTTPS-Only Mode". Che da me e' sempre stata opzione > > prescelta. > > Disabilitare in toto HTTPS Only mode è una pessima idea. Dovrebbe > essere tuttora possibile mettere un singolo sito in modalità HTTP, > però magari la documentazione non è aggiornata. > Nella peggiore delle ipotesi, puoi installare HTTPS Everywhere come > estensione ed affidarti a quella (che gestisce anche le whitelist). > > > Temo, dopo avere visto diversi commenti online, che ormai FF e > > altri scelgano da soli i livelli di protezione necessari e non > > lascino piu' all'utente la possibilita' di gestirli in pieno. > > Io credo che la maggior parte delle persone non sappiano, o almeno > non > si prendano il tempo per imparare, come proteggersi. Quindi che > Firefox abbia scelto una policy sicura per default è una novità che > apprezzo (per molte cose, la sua sicurezza non è esattamente allo > stato dell'arte). Finora non mi è mai capitato di non poter > > > L'era nella quale era possibile usare browser generici come > > interfacce verso apparecchi, dispositivi ecc. tramite semplici > > dialoghi HTML sta terminando. > > Ma neanche per idea, l'HTML è lo stesso identico anche su una > connessione criptata. Sarebbe invece bello che terminasse l'era dei > dispositivi in rete senza alcun livello di protezione - poco importa > che siano in rete locale. > > Tanto per citare una battuta ormai tristemente famosa: la S in IoT > sta > per Sicurezza. > > Antonio Antonio, non riesco a capire se siamo d'accordo o in completo disaccordo. Io non uso in alcun modo IoT, verso il quale sono estremamente critico. Infatti lo sconsiglio vivamente. Viva la 'S'. Qui' pero' manca completamente la 'U' di usabilita'. Nel caso specifico ho un programma residente sul mio PC che ascolta un socket dal quale legge un carattere alla volta. Al primo carattere che non coincide con un formato ben preciso, rigetta l'intero messaggio. Da browser partono richieste http://indirizzolocale/qualificatori cui risponde con "codice 200, tutto bene, ti invio 500 caratteri, eccoti il contenuto HTML." Non capisco perche' non debba piu' funzionare e come farlo funzionare. Passare a HTTPS e richiedere un certificato e' decisamente eccessivo. Su Internet finora ho potuto appurare che (1) il problema e' conosciuto, (2) Firefox non lo documenta e (3) non c'e' proprio modo di dire "fidati, conosco quel sito, mi prendo io i rischi, limitati a piazzarmi sullo schermo quello che ti invia". Almeno noi interessati a Linux dovremmo concordare che in ultima istanza non spetta a chi mette a disposizione un programma decidere direttamente o indirettamente l'uso che ne facciamo, specie se non c'e' nulla di illegale. Forse il prossimo passo sara' disabilitare 'sudo'? Cosi' corriamo ancora meno rischi... Gianguido

2 years, 4 months

Einladung zum Dienstagtreffen am 27.04.2021 21:00

by Franz Linter

Morgen, 27.04.2021 um 21:00 startet die Dienstagrunde im BBB https://bbb.lugbz.org/b/fra-snc-tun-e1h Ich werde über REX in Brixen berichten und diverse Möglichkeiten aufzeigen. Auch für die Sportellistas interessant. Ich hoffe auf eine insprierende Diskussion. Ich werde den Raum um 20:00 starten, aber nicht laufend online sein, damit man noch die eigene HW testen kann. bis dahin Saluti/Grüße Franz

2 years, 5 months

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

2003

2002

2001

2000

Lugbz-list April 2021