Springe zum Hauptinhalt

Debugging Python _frozen_importlib

Today I fund myself debugging some strange import issues and thus needing to step through _frozen_importlib also known as importlib._bootstrap.

Well. as the name says, this module is frozen, which – amongst others – means: the bytecode is not connected the some source, effectively inhibiting debugging. One can still step through the code of the frozen module. Anyhow, since there the debugger is not able to show the source line, this become really hard.

So my idea was to replace the _frozen_importlib module by the variant where the source is available, which it importlib._bootstrap. Here is how I did it near the top of my Python script:

import sys, _imp
# remove the frozen module
del sys.modules['importlib']._bootstrap
del sys.modules['_frozen_importlib']
del sys.modules['importlib._bootstrap']
# import the non-frozen module
import importlib._bootstrap
# … and set it up as importlib/__init__.py does
importlib._bootstrap._setup(sys, _imp)

Alternative Android-Betriebssysteme

Ich wurde gefragt, welche Alternative Betriebsysteme für Smartphone ich empfehle. Hier ist eine kurze Zusammenstellung

Betriebsystem

LineageOS, unterstützte Geräte siehe https://wiki.lineageos.org/devices/

Lineage basiert auf den freien Teilen von Android, ist aber nicht komplett "google-frei": Z.B. wird noch immer Googel kontaktiert, um festzustellen, ob man sich beim WLAN anmelden muss. Aber natürlich braucht man kein Google-Konto.

LineageOS mit microG, unterstütze Geräte siehe https://download.lineage.microg.org/ (sind im Großen und Ganzen die, die LinageOS auch unterstützt)

microG sind diverse Google-Apps ("Play Services") nach programmiert.Dazugehören der "Ortungsservice", "Goolge Cloud Messaging" und die Map API - Ich komme allerdings gut ohne aus.

/e/ (ja, das heißt so), unterstützte Geräte siehe https://download.lineage.microg.org/. Das ist ein LinageOS mit microG, aber angeblich komplett google-frei. Dafür bieten sie eigenen Anwendungen oder Server für die "Komfortfunktionen" wie das synchronisieren von Bilder, Kontakten, etc. Angeblich sit es aber auch einfach, eigene Server dafür zu verwenden. Aber für technisch weniger versierte Personen bieten sie halt an, was Google auch anbietet, aber eben ohne Google.

Hinter /e/ steckt eine französische Stiftung, der Gründer ist schon lange in der Open Source Entwicklung tätig.

Andere Android-Geschwister gibt es einige, z.B. CalyxOS vs. GrapheneOS. Teilweise haben sie sogar noch besser darin, unsere Privatphäre zu schützen. Leider sind sie nur für wenige Geräte verfügbar. Mehr Infos dazu findet sich im Blog von Mike Kuketz.

Gerät

Falls Du Dir eine neues Gerät kaufen willst, empfiehlt sich das Fairphone. Das kannst Du auch gleich mit /e/ bestellen. Du kannst aber auch eines der andere Betriebsysteme einfach selbst installieren.

Du kannst auch "refurbished" Samsung Geräte mit /e/ kaufen. https://esolutions.shop/

Kauf keinen Kindle!

Amazon, der Hersteller von Kindle, ist keine vertrauenswürdiger Anbieter: Amazon überwacht Deine Leseverhalten im Detail: Welche Bücher Du kaufst (klar), welche Du liest, ob Du sie fertig liest oder Du aufhörst zu lesen, wann Du liest, welche Seiten Du mehrfach liest, welche Seiten Du länger, welche kürzer liest.

Denn all das gibt Aufschlüsse über Deine Interessen - und damit bist Du die Ware, der Amazon noch mehr verkaufen kann.

Alles harmlos? Dann stell Dir vor, eine deutsche Behörde würde all das über Dich sammeln - oder eine ungarische, polnische, türkische, ägyptische, … (ergänze de Liste um einen repressiven Staat Deiner Wahl).

Wissen ist Macht! Darum: lass Dich nicht überwachen, benutzt keinen Kindle.

Why a PKI is barely trustworthy

  • End-point trusts any certificate from any CA configured

    • fake certificates issues by another CA are a common thread

    • measure "certificate pinning" only standardized for HTTP (HPKP, is now deprecated)

  • Centralized system

    • high demand for confidentiality of CA private keys

    • measure "intermediate certificates" makes system even more complex and more systems demanding high confidentiality

  • Key Revocation cumbersome

    • based on centralized "black list"

    • Certificate Revocation Lists (CRLs) growing huge quickly and need to be distributed to each end-point

    • OCSP (Online Certificate Status Protocol) requires online connection and additional services to be available 24/7

    • OSCP is a thread to privacy

  • Key renewal does not revoke old key

    • if the old key is still valid (with in its life-time) and not on the CRL, it can still be used

  • Complex to plan, deploy and run

  • No opportunistic use

    • Can either be enforced or not used at all.

    • Has no notion of "I stared communication encrypted, so I no longer accept unencrypted messages"

    • No TOFU (beside now-deprecated HPKP)

Sind Autofabriken wirklich „systemrelevant“?

Durch die CORVID-19-Krise ausgelöst, müssen wir Einschränkung unsere Grundrechte hinnehmen: Bewegungsfreiheit, Reisefreiheit, Versammlungsfreiheit und einige mehr sind "außer Kraft gesetzt". Für kleine Betrieb und Läden sogar das Recht auf freie Berufsausübung.

Bemerkenswert ist aber, dass große Fabriken noch offen haben dürfen, auch wenn deren Produkte nicht zum Erhalt der Gesellschaft notwendig sind. Dort kommen täglich hunderte oder gar tausende Menschen zusammenkommen - eine idealer Ort, um den Virus weiter zu verbreiten.

Anscheinend wird ein „Recht auf Gewinn“ - das es nicht gibt - nicht angetastet, aber Grundrechte der Menschen werden beschnitten.

Ein Beispiel ist BMW, die Motorräder und Edelkarossen herstellen - beides unnötig zum Überleben der Gesellschaft. BMW hat alleine im 3. Quartal /2019 1,55 Milliarden Euro Gewinn nach Steuern gemacht. Sie könnten also problemlos die Mitarbeiter und Leiharbeiter bezahlt nach Hause schicken. Denn würde BMW halt mal keinen Gewinn machen.

Stattdessen dürfen die Fabriken weiter produzieren, weiter Gewinn produzieren - und wenn dort CORVID-19 verbreitet wird, dann muss die Gesellschaft die Gesundheitskosten tragen.

Typischer Fall von: Gewinne privatisieren, Verluste sozialisieren.

OpenStreetMaps hat Google Maps weit überholt

Steigen Sie um!

Links ein Kartenausschnitt von OpenStreetMap, rechts der gleiche Ausschnitt von Google Maps.  Der von OpenStreetMap hat bessere Kontraste und zeigt mehr hilfreiche Details, beispielsweise eine Bahnline.

Neulich wollte ich einem Freund zeigen, wohin wir fahren müssen. Auf der linken Karte habe ich das Ziel mit einem roten Punkt markiert. Eigentlich ganz einfach: Ungefähr da, die Straße über die Bahnline und direkt daneben ist es. Nun kenne ich mich in der Gegend kaum aus, aber an der Bahnline kann man sich echt einfach orientieren.

Nicht so hier: Denn er hatte auf seinem Handy nur Google Maps (rechte Karte). Können sie erkennen wo das Ziel ist? Ich kaum.

Die linke Karte ist von OpenStreetMap, eine Art Wikipedia für Landkarten. Sie sehen: die Karte ist viel detailierter und vollständiger. Aktueller ist wie zudem auch. Ein paar Beispiele:

Wenn sie also noch immer Google Maps verwenden: Steigen Sie um! Außerdem überwacht OpenStreeteMap Sie nicht.

Blockchain bringt's nicht

/images/2019/180px-Blockchain.svg.png

Und wer tritt dann an Stelle der Banken? Es ist doch unrealistisch, anzunehmen, dass das eine "demokratische" Struktur wird. Schon jetzt wird Bitcoin von den großen Minern dominiert. Und zu diesen Minern wird das Geld fließen, sie werden mega-reich. Schon heute zeigt sich, dass sich international agierende Konzerne kaum demokratisch kontrollieren lassen.

Und wovon sollen die Mitarbeiter machen, deren Job "eingespart" wurde? Und *wer* "spart" hier eigentlich? Was geschieht mit dem "gesparten"? Es ist unrealistisch anzunehmen, dass  die Miner ihren Reichtum verteilen und z.B. eine Grundeinkommen finanzieren. Es ist auch unrealistisch anzunehmen, dass die Miner Steuern zahlen würden, um ein Grundeinkommen zu finanzieren - zumal sie ja bestimmen können, welche Zahlungen abgewickelt werden ;-)

Ich bezweifle auch, dass man mit Proof-of-Work überhaupt Energie einsparen *kann*: Nehmen wir an, die Anzahl der weltweiten Transaktionen bleibt gleich, und die Blockchain wäre in der Lage, diese ausreichend schnell zu verarbeiten. Dann wird dafür zwangsläufig mehr Energie benötigt, dann zusätzlich zur "Buchung" muss ja noch der PoW geliefert werden - und das machen mehrere Miner gleichzeitig.
Dazu kommt noch:
  1. In der Blockchain werden *alle* Transaktionen der Welt gespeichert, und das für alle Ewigkeit. Noch in hundert Jahren ins damit nachvollziehbar, wer wann wo eingekauft hat. Das ist weder nötig noch sinnvoll, sondern führt nur zu noch mehr Überwachung. Auch das können wir heute schon bei den Internet-Giganten beobachten.

  2. Ich sehe nicht, dass durch eine Blockchain Banken überflüssig werden. Denn z.B. vergeben sie Kredite.

  3. Die Ablehnung von Banken, die in Deinen Äußerungen mitschwingt, verstehe ich nicht. Ja, es gibt viele, die Menschenrechte missachten, der Umwelt schaden, etc. Aber es gibt auch viele kleine (Genossenschaftsbanken), bei der sich Menschen zusammengetan haben, um sich gegenseitig zu unterstützen. Danke an die klassische Raiffeisenbank, die auch eine Einkaufsgemeinschaft war. Hier können die Mitgieder bestimmen, wohin die Reise geht - kleine Bankstrukturen und ausreichendes Engagement vorausgesetzt.

Finger weg von Kurz-URL-Diensten

Kurz-Links sind beliebt, aber ich rate aus mehreren Gründen davon ab

Just diese Woche gab es an mehreren Stellen in meiner Wolke Diskussionen über Kurz-URL-Dienste.

Kurz-URL-Dienste, wurden mit Twitter beliebt: Dort durften Nachrichten bis 2016 nur 140 Zeichen lang sein. Damit kann man fast keine Links in eine Nachricht packen, ohne an diese Grenze zu stoßen - oder nichts außer dem Link in der Nachricht zu haben.

Link-Verkürzer haben aber mehrere Nachteile:

  1. Man sieht nicht, wohin der Link wirklich zeigt. Zu Google? Zu Facebook? Zu YouPorn? Auf eine Website, die Viren oder Tronjaner verteilt?

  2. Der Verkürzungs-Dienst ist eine weitere Stelle, die mitbekommt, wer sie wo im Internet bewegt. Wenn der Dienst z.B. Google, Facebook oder Twitter gehört, fügt das dem Überwachungsprofil diese Konzerne weitere Mosaiksteinchen hinzu. Ein gefundenes Fressen für Regierungen in totalitären Staaten.

  3. Der Verkürzungs-Dienst kann die Links manipulieren - aus Lust und Laune, weil er damit Geld verdient, oder weil es dazu gezwungen wird.

  4. Wenn der Verkürzungs-Dienst eingestellt wird, sind alle solche Links tot, auch wenn das Ziel noch existiert

Link-Verkürzer braucht man nicht mehr: Beispielsweise werden auf Mastodon (einem verteilten Kurznachrichtendienst im Fediverse) Links immer mit 23 Zeichen gezählt, egal wie lange sie sind. Daher ist es dort gar nicht üblich, Links abzukürzen.

Geht wählen!

Aber nicht CDU, CSU, SPD oder gar AFD

/images/2019/rezo-es-reicht.jpg

Am Sonntag ist Europawahl. geht wählen, es ist wichtig: Es geht nicht nur um Klimawandel, Nationalismus und Rechtsruck. Es geht auch darum, zu verhindern, dass wird noch mehr, und noch mehr Überwachung bekommen.

Also geht wählen!

Aber wenn Ihr vorhab, CDU, CSU, SPD oder gar AFD zu wählen, dann schaut Euch das Video "Die Zerstörung der CDU" von rezo an - und Ihr wisst, weshalb ich Euch bitte, diese Parteien nicht zu wählen. Rezo belegt mit seriösen Quellen, dass diese Parteien wissenschaftlich belegte Fakten ignorieren und die Welt und unser Land in die Katastrophe führen.

Da Rezo dabei nicht auf das Thema Überwachung eingeht, ergänze ich noch: CDU, CSU, SPD und AFD spielen ganz vorne mit beim Sicherheitstheater. Also wenn es darum geht, immer mehr Überwachung einzuführen und die Bürgerrechte zu beschneiden.
Und wenn Ihr Euch sagt, "Was soll ich einen ... You-Tuber anschauen?!" dann lest diese Zusammenfassung und die beschämende Reaktion der CDU in "Der Welt". (Ich hätte nicht gedacht, dass ich hier mal einen Link auf einen Welt-Artikel teile.)
Portrait von Hartmut Goebel
Hartmut Goebel
Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
Telefon:   +49 871 6606-318
Mobil:   +49 175 29 78 072
E-Mail:   h.goebel@goebel-consult.de