Hallo zusammen,
(Ich konnte letzte Woche leider nicht arbeiten. Daher ist bei mir viel
liegen geblieben.)
* Eike Rathke [2021-12-11 13:32 +0100]:
>> Außerdem: Wenn es unter CC steht, sollte der Inhalt auch irgendwo zugänglich
>> sein, sonst ist CC ziemlich sinnlos.
>
> Das ist ein Irrtum. CC-BY-SA erlaubt Weitergabe unter gleichen
> Bedingungen, du darfst ein Werk (!) teilen, vervielfältigen und
> weiterverbreiten, und bearbeiten. Es besteht kein Anspruch auf Zugang zu
> Rohmaterial oder Verfahrensweisen.
Rein nach der Lizenz ist das korrekt.
> Schön wäre es natürlich, wenn die Autorinnen eine Quelldatei zur
> Verfügung stellen würden, die ebenfalls unter CC stünde.. :-)
Das ist auch unser Ziel, aber in der Verlagswelt soweit ich gerlernt
habe immer noch revolutionär.
Schon mal auf die Schnelle: Ich bin dabei mit dem Verlag dafür noch eine
Lösung zu finden (wir wollten das eigentlich früher klären, sind dann
aber von ein paar anderen Themen wegen der hohen Nachfrage überrant
worden). Ich möchte, dass der Verlag eine gute Erfahrung mit CC-BY-SA
macht, das Thema besser versteht und die Vorteile darin erkennt und das
nicht das letzte Buch unter der Lizenz ist sondern anderen Autoren die
das machen wollen, den Weg einfacher gestaltet.
Es gibt ja leider meiner Ansicht nach viel zu wenig Bücher unter
CC-BY-SA. Freie Werke außerhalb von Software sind ja nicht unser
Kernthema. Daher eine Sache, die mir gerade helfen würde:
Könnt ihr auch mal schauen, ob ihr andere Bücher von kommerziellen
Verlagen (also nicht Selbstverlag) findet, die unter CC-BY, CC-BY-SA
oder vergleichbar stehen und die Info schicken, welches Buch / ISBN
Nummer das ist, welche Lizenz und wo man die Quellen dafür bekommt?
Auch wäre es interessant zu sehen, wie die mit proprietären Quellformaten
umgegangen sind, die vom Verlag für die Produktion benötigt wurde (ich
möchte als FSFE keine proprietären Formate anbieten).
Daneben ist mein Hauptfokus gerade, dass wir einen Verlag für die
englische Version finden.
Falls wir uns nicht mehr lesen wünsche ich Euch noch ein paar gute
unhektische Tage und einen guten Start ins Jahr 2022.
Viele Grüße
Matthias
--
Matthias Kirschner - President - Free Software Foundation Europe
Schönhauser Allee 6/7, 10119 Berlin, Germany | t +49-30-27595290
Registered at Amtsgericht Hamburg, VR 17030 |(fsfe.org/support)
Contact (fsfe.org/about/kirschner) Weblog k7r.eu/blog.html
Moin,
vermutlich haben einige den Kommentar von Heise Autor Chrstof Windeck
gelesen:
https://www.heise.de/meinung/Sicherheit-contra-Offenheit-ein-Kommentar-zu-S…
"UEFI Secure Boot zeigt, wie mann es nicht machen sollte: [..]
die Schlüsselgewalt liegt de facto in den Händen eines einzigen Unternehmens:
Microsoft.
Das ungelöste Kernproblem ist die Hoheit über den Hauptschlüssel für Secure
Boot. Denn es gibt keine internationale, offene und demokratisch verwaltete
Institution, die allseits Vertrauen verdient.
"
es droht, dass GNU/Linux ins Hintertreffen gerät, denn
"Wer nicht sicher booten kann, wird zweite Wahl."
Eine Lösungsidee ist recht einfach:
Das Setzen der Hauptschlüssel an das Drücken eines Tasters koppeln - also an
Zugang zur Hardware. Spezielle Bauteile könnten dafür eine Leitung vorsehen.
Ein Angriff auf den Hauptschlüssel aus der Ferne ist nicht mehr möglich
und der Hardwarezugriff kann physisch geschützt werden.
Damit wären die Admins einer Organisation oder die Leute vor dem Rechner,
diejenigen mit der Schlüsselgewalt.
Und nur solche Rechner sollten wir kaufen.
Als Einzelperson und als Organisation.
(Ja, und wo gibt es die? Gute Frage, zumindest Rechner mit vorinstalliertem
GNU/Linux oder Mobiltelefone mit befreiten Android (auch eine Art GNU/Linux
Betriebssytem) gibt es schon.)
Gruß
Bernhard
--
FSFE -- Founding Member Support our work for Free Software:
blogs.fsfe.org/bernhardhttps://fsfe.org/donate | contribute
Liebe*r CiviCRM Interessierte*r,
dein Verein oder deine Organisationen würde sich gerne ein CRM-System
(Software) zulegen, um ihre Mitglieder digital zu verwalten, Newsletter
zu versenden, Veranstaltungen zu planen oder Fundraising zu betreiben?
Aber ihr habt keine Ahnung, welches CRM-System für euch passt?
Wir vom Verein Software für Engagierte e.V (SfE) würden euch gerne
CiviCRM vorstellen: Die Lösung von der Community für die Community.
Komm zu unseren zweiten Runde der Online Info-Veranstaltung am
*Dienstag, 23. April**2024, von 17:00 bis 18:30* *Uhr! *
Wir beantworten euch eure Fragen:
* Was ist freie Software und Open-Source?
* Was ist CiviCRM?
* Was machen wir von SfE?
* CiviCRM Funktionen im Schnelldurchlauf erklärt
* Schritte auf dem Weg zum CiviCRM
* Q&A
Falls ihr Interesse habt, könnt ihr euch hier anmelden (bis zum
22.04.2024):
https://aktion.software-fuer-engagierte.de/civicrm/event/register/?reset=1&…
Vor der Veranstaltung erhaltet ihr eine Anmelde-Bestätigung mit dem Link
zum Videokonferenzsystem.
*Hinweis:* Diese Veranstaltung ist kein Stammtisch zum Austausch für
Personen/ Organisationen, die CiviCRM bereits implementiert haben. Sie
richtet sich ausschließlich an Personen/ Organisationen, die erste
Überlegungen anstellen, sich CiviCRM oder ein CRM-System im Allgemeinen
zuzulegen.
Bei Fragen könnt ihr gerne eine E-Mail senden an:
theresa.eberle(a)software-fuer-engagierte.de
Liebe Grüße,
Theresa und das SfE-Team
Hallo,
der nächste Mittwoch ist schon wieder der letzte Mittwoch im Monat.
Der nächste Freie Software Abend im Raum Düsseldorf "im richtigen Leben"
findet traditionell daher am
27.03.2024 ab 19:30 Uhr
statt.
Thema ist: Rückblick auf die Chemnitzer Linux-Tage, Ausblick auf weitere
Veranstaltungen in diesem Jahr
Teilnehmer werden ihre Eindrücke und Erlebnisse schildern.
Wir treffen uns, Teilnehmerwünschen folgend, zum Gesprächsabend wieder
einmal im Tigges, Brunnenstraße 1, 40223 Düsseldorf,
https://tigges-duesseldorf.eatbu.com/?lang=de#
Das Tigges ist nah- und fernverkehrstechnisch (Bahnhof Düsseldorf-Bilk)
gut erreichbar, aber man findet nur mit Glück und Expertise einen Parkplatz.
Gäste werden wie immer herzlich willkommen sein.
Mit freundlichem Gruß
Michael
Hallo zusammen,
im Rahmen meiner Arbeit bei der FSFE habe ich mich mit dem Thema Freie
Software im Bereich Banken beschäftigt und möchte meine Erfahrungen und
Gedanken mit euch teilen. Das Thema ist Teil des größeren Themas der
Appifizierung/des Drucks zur Verwendung unfreier Apps für bestimmte
Interaktionen.
Mir persönlich fällt in den letzten Jahren auf, dass Banken sehr stark
versuchen, ihre unfreien Apps für Bankgeschäfte selbst und auch für die
so genannte Zwei-Faktor-Authentifizierung zu erfordern. Tatsächlich
blockieren sie oft andere Authentifizierungsmethoden ganz. Das ist
natürlich ein Problem für uns, und deshalb habe ich mich mit diesem
Thema etwas genauer beschäftigt.
Das niederländische FSFE-Team hat hier einen wunderbaren Anfang
gemacht, indem es eine Bank kontaktiert hat, um zu erfahren, warum sie
es ihren Kunden erschwert, Freie Software zu benutzen. Meine Aufgabe
war es, das Thema allgemeiner anzugehen. Leider war es sehr schwierig,
direkt von Banken Antworten zu erhalten. Eine sehr häufige Rückmeldung
war, dass es rechtliche Anforderungen gibt, die Dinge so zu tun, wie
sie es tun, und dass die IT-Abteilungen vernünftige Entscheidungen
getroffen hätten, die nicht zu sehr hinterfragt werden sollten.
Ein Grund, den die Banken manchmal anführten, war PSD2, eine
EU-Richtlinie zur Regulierung von Zahlungsdiensten und
Zahlungsdienstleistern. So wie ich es nach einigen
Hintergrundrecherchen sehe, schreibt PSD2 offenbar keine genauen
technischen Maßnahmen vor, auch nicht für den zweiten Faktor. So wie
die Banken PSD2 interpretieren, bedeutet dies jedoch, dass sie die
Authentifizierngs-Secrets an eine bestimmte Hardware binden müssen.
Meiner Meinung nach ist diese Auslegung bereits das erste Problem für
Freie Software, denn auch wenn dies keine rechtliche Anforderung ist,
schließt es Zwei-Faktor-Lösungen wie TOTP aus, bei denen die Secrets
auf mehreren Geräten verwendet oder einfach durch Verwendung einer
entsprechenden TOTP-App extrahiert werden können.
Das zweite große Problem ist, wie Banken die Secrets an die Hardware
binden: vollständig in Software. Dies macht es erforderlich, dass die
Banking-Apps auf gerootete Telefone usw. prüfen, denn wenn ein Telefon
gerootet ist, könnte das Secret theoretisch extrahiert werden. Die
Root-Checks erfolgen in der Regel durch die Verwendung von Bibliotheken
in den Apps, die Sicherheit auch in bösartigen Umgebungen versprechen,
z.B. auf einem von Malware befallenen Telefon. Die Banken verlassen
sich derzeit mehr auf solche Sicherheitsversprechen als auf
tatsächliche Sicherheit, denn echte Sicherheit würde beispielsweise
bedeuten, eine richtige Zwei-Faktor-Authentifizierung zu implementieren,
statt zwei Apps auf demselben Telefon laufen zu lassen und dies
Zwei-Faktor-Authentifizierung zu nennen.
In Kombination sind diese Probleme noch gravierender, da praktisch alle
Banken das Verfahren so implementieren und es zu einer Art Best
Practice geworden ist. Die Banken befürchten, dass sie bei einer
anderen Vorgehensweise im Falle einer angeblich nicht autorisierten
Transaktion haftbar gemacht werden könnten. Leider ist es, wie in
anderen Bereichen auch, oft einfacher, das zu tun, was alle anderen
tun, auch wenn es Schwächen hat, denn dann kann man sein Vorgehen
wenigstens damit verteidigen, dass man sich an den "Standard" hält. Und
in diesem Fall wird dadurch leider Freie Software eingeschränkt.
Eine Art Ausweg aus dieser Situation ist die Verwendung von Secure
Elements in Telefonen. Durch deren Verwendung wären die Secrets
tatsächlich an die Hardware gebunden. Das würde bedeuten, dass Freie
Software das Secure Element ähnlich wie eine Smartcard nutzen könnte,
indem wir es einfach nutzen, um eine Transaktion zu signieren. Dadurch
wären Root-Checks und unfreie Apps nicht notwendig. Wie bei einer
Smartcard würden jedoch in der Regel immer noch unfreie Schritte
stattfinden, nur eben in Hardware. Auch dies wäre also keine perfekte
Lösung.
Das größere Problem dabei ist jedoch, dass es keine Standardmethode für
die Kommunikation mit Secure Elements gibt, was es für Banken schwierig
macht, sie zu verwenden, und es würde erfordern, dass sie eine Liste
von Secure Elements führen müssten, so wie eine Liste von CAs. Hinzu
kommt, dass die Banken wahrscheinlich nicht auf diese Lösung umsteigen,
so lange es keine Zertifizierung dafür gibt; so lange sie eine
funktionierende Lösung haben, gibt einfach keinen großen Anreiz für
sie, etwas zu ändern.
Eine Sache, die ich sehen konnte, ist, dass Banken oft noch ältere
Standards verwenden, die den Zugang mit Freier Software ermöglichen
könnten. Einige Apps geben zum Beispiel Fehlermeldungen mit
HBCI-Fehlercodes aus. Das hörte sich zunächst vielversprechend an, denn
wenn es irgendwo noch ein System gibt, das mit Freier Software
kompatibel ist, dann könnten wir vielleicht darauf zugreifen. Leider
ist es offenbar jedoch oft so, dass Banken eine weitere Schicht um eine
ältere Schnittstelle herum bauen und dann nur noch die neuere Schicht
nach außen verfügbar machen. Das mag aus der Sicherheitsgesichtspunkten
sogar sinnvoll sein, wenn die Wartung dieser älteren Systeme schwierig
ist. Auf diese Weise können Banken intern weiterhin Legacy-Systeme
einsetzen, ohne dabei Sicherheitslücken öffentlich angreifbar zu machen,
und gleichzeitig haben sie nach außen hin moderne Schnittstellen zur
Verfügung. Das bedeutet, dass es leider zu kurz gedacht ist, dass wenn
Banken intern HBCI intern nutzen, sie uns einfach weiterhin Zugang dazu
geben könnten.
Ein weiterer Lösungsansatz besteht darin, dass Banken verpflichtet
sind, Dritten Zugang zu gewähren, um neue Dienste auf Basis bestehender
Bankkonten zu ermöglichen. Dies würde es theoretisch erlauben,
einen solchen Dienst in Freier Software anzubieten, aber in der Regel
ist für die Anmeldung immer noch die sogenannte Zwei-Faktor-App der
Bank erforderlich, so dass uns auch das nicht viel hilft.
Irgendwann dachte ich, es gäbe ein Beispiel für eine Bank, die TOTP als
zweiten Faktor (und Anmeldung ohne zweiten Faktor) zulässt: Paypal.
Aber soweit ich weiß, tritt Paypal hier nicht als Bank, sondern als
Zahlungsanbieter auf und nutzt seine Banklizenz für andere Dinge. Das
bedeutet, dass Paypal zwar auf den ersten Blick wie ein positives
Beispiel in dieser Hinsicht aussieht, es aber doch nicht ist, weil die
Anforderungen an Zahlungsdienstleister sehr anders als die für
Banken sind.
Ich bin neugierig, was ihr über dieses Thema denkt. Welche Erfahrungen
habt ihr mit eurer Bank gemacht? Wie macht ihr euer Banking? Gibt es
einen wichtigen Aspekt, den ich übersehen habe? Ich freue mich über
jede Rückmeldung.
Happy hacking!
Florian
--
Florian Snow - Free Software Foundation Europe e.V.
Schönhauser Allee 6/7, 10119 Berlin, Germany
Registered at Amtsgericht Hamburg, VR 17030
Your support enables our work (fsfe.org/join)
*Noch bis zum **31. März 2024* *können sich Entwickler*innen mit ihren
innovativen Softwareideen auf** die vorerst letzte Runde **Prototype Fund*
<https://prototypefund.de>* bewerben.*
Wir fördern *Public Interest Tech*
<https://prototypefund.de/about/public-interest-tech/>: Mit bis zu 47.500
Euro pro Projekt vom Bundesministerium für Bildung und Forschung sowie
Coachings, Vernetzung und Beratung unterstützen wir *innovative Anwendungen
und Infrastrukturen, die die Bedürfnisse von Nutzer*innen in den
Mittelpunkt stellen und frei verfügbar sind *in den Bereichen
Datensicherheit, Software-Infrastruktur, Civic Tech und Data Literacy.
Der Prototype Fund ist ein Förderprogramm für Einzelpersonen und kleine
Teams mit möglichst niedrigschwelliger Bewerbung. *Der Bewerbungszeitraum
für die **vorerst letzte **16. Runde läuft **nur **noch bis zum 31. März
2024.*
Für die Bewerbung müssen diese Fragen
<https://prototypefund.de/wp-content/uploads/2023/07/Bewerbungsfragen-Protot…>
zur Projektidee beantwortet werden. Die Voraussetzungen für die Förderung
und vieles weitere haben wir in den FAQ
<https://prototypefund.de/bewerbung/faq/> zusammengefasst. Alles weitere
Wissenswerte rund um die Bewerbung findet sich hier
<https://prototypefund.de/how-to-bewerben/>.
Fragen beantworten wir gerne per Mail <info(a)prototypefund.de> sowie
bei Mastodon
unter @prototypefund@mastodon.social
<https://mastodon.social/@PrototypeFund>.
Bewerbt euch jetzt <https://prototypefund.de/jetzt-bewerben>, wir freuen
uns auf eure Projektideen!
--
Prototype Fund
prototypefund.de | @prototypefund
Open Knowledge Foundation Deutschland e.V.
Singerstr. 109 | 10179 Berlin
okfn.de | @okfde
moin Free Software Fans und Enthusiasten,
Das monatliche Treffen findet wenn nicht anders angekuendigt wieder
am gewohnten Ort um 19:00 statt.
Details wie immer auf https://wiki.fsfe.org/LocalGroups/Hamburg
Der zweite Mittwoch wurde auf den zweiten Dienstag verschoben und das ist der 12.3.
noch 7 Tage.
Wir treffen uns im Hadley's!
Eike
Hallo Liste,
da hier ja gerade Zahlungssysteme thematisiert werden, möchte ich kurz
Gnu Taler https://taler-systems.com/de/ bzw. https://taler.net/ in den
Raum werfen. Die gibts schon länger, sind aber offensichtlich jetzt im
App-verse angekommen und das meine ich keineswegs negativ. Jemand schon
mal probiert?
Ich hoffe, die schaffen es, den geplanten Digital Euro zu integrieren.
Falls wer Infos hat über einen Vergleich zwischen beidem hinsichtlich
der zugrundeliegenden Technik, Implementierung, Kompatibilität oder
ähnliches hat, bitte gern an mich.
Bei der Gelegeneheit möchte ich auch folgende Info verbreiten,
vielleicht interessiert es wen (Infos auch unter
https://taler.net/de/news/2024-02.html):
-----
My name is Eleftherios Chelioudakis <chelioudakis.ele(a)gmail.com> and I
represent Homo Digitalis, a civil society organisation that participates
in NGI pilot TALER.
... <snip weil hier irrelevant> ...
*What is NGI TALER?*
The NGI TALER is funded as a pilot under the NGI initiative within the
European Commission's Horizon Europe research funding program. It is
operated by a consortium of 11 partners from 8 European countries (Belgium,
France, Germany, Greece, Hungary, Luxembourg, Switzerland and The
Netherlands) with the mandate to roll out an innovative, best-in-class
electronic payment system that benefits everyone: end-consumers, merchants,
banks, financial authorities, auditors and anti-corruption researchers! The
project builds upon the strong foundations of GNU Taler — the
privacy-preserving digital payment system developed by the GNU community
and Taler Systems SA with support from the NGI initiative. Read more *here
<https://www.ngi.eu/ngi-projects/ngi-taler/>*
*What is this Open Call about?*
Part of the budget of NGI TALER is reserved for open calls to fund
additional free software and open source efforts that are aligned with the
topics and approach of NGI TALER.
Applicants can contribute exciting new capabilities to GNU Taler itself,
build auxiliary tools or work on user experience, but they could also be
developing integrations into FOSS applications and open standards (enabling
P2P micropayments in for instance an instant messenger, open social media
platform or video conferencing tool), or work on improvements to
infrastructure components like merchant back-ends. The open call is open
since 1/2/2024 and the *deadline* to submit application is *April 1st 2024
12:00 CEST*! Applicants can apply only with proposals between 5.000 and
50.000 euro (60.000 euro is the cumulative absolute hard limit for any
applicant for the program). We have created a dedicated webpage with more
info about the wide range of activities that qualify for financial support
and the eligibility criteria *here <https://nlnet.nl/taler/eligibility/>*.
*How can you help us?*
It would be wonderful to apply if you are interested or promote this open
call to your contacts and allies! We hope to receive interesting
applications from the free software and open source communities!
-I attach here our press release, which you can share widely.
-Also, we have made some posts about this Open Call in our channels on
Mastodon <https://ps.s10y.eu/@NGI_Taler> and LinkedIn
<https://www.linkedin.com/posts/ngi-taler_free-open-source-activity-71656719…>.
Feel free to spread the message there also.
I apologise for the long email. We remain at your disposal for any
questions and clarifications! Thank you so much for your time reading our
message!
Kind regards,
Eleftherios Chelioudakis
Secretary of the Board of Directors, Homo Digitalis
+306945645313
e.chelioudakis(a)homodigitalis.gr
www.homodigitalis.gr