Categorieën

Recente berichten

Webassembly extensies vanaf Firefox 57 verplicht

november 6th, 2017 • WebNo Comments »

Vanaf Firefox versie 57 zal het niet meer mogelijk zijn oude extensie’s voor de webbrowser te gebruiken. Het voordeel van de nieuwe webassembly extensie is dat ze zowel voor Firefox als voor Egde als voor Chrome en Opera werken. Daarnaast hebben de webassembly extensie meer speficieke rechten in de webbrowser waardoor er minder vertrouwen in een webassembly extensie nodig is. Immer een extensie die niet om de rechten vraagt om webpagina aan te passen kan dat ook niet. Echter zijn er nog altijd veel extensie’s die herschreven moeten worden om te kunnen werken in Mozilla Firefox versie 57 en hoger. En sommige extensie’s zullen ook niet meer kunnen werken omdat de dingen die ze in het ouden extensie api, geen rechten meer voor (kunnen) zijn in de nieuwe webassembly extensie api. Zo zal onder andere de NoScript extensie niet meer werken om voornamelijk Javascript/ECMAScripts te blokkeren en whitelisten. Als alternative kan er uMatrix gebruikt worden, dat het mogelijk maakt via een table script, plugins en CSS e.d. te blokkeren. Ook de extensie refControl om aan te passen voor welke website je wel of niet referer HTTP headers je verstuurt zal niet meer werken. In plaats daarvan is het mogelijk de webassembly extensie Referer Control te installeren. Ook extensie Cookies Manager+ die uitgebreider cookies kan tonen en filteren zal niet meer werken met Firefox versie 57. In plaats daarvan kan je de Cookie Manager webassembly extensie als alternatief gebruiken. Er zijn nog vele andere extensie die niet meer werken (o.a. imagezoom en betterprivacy), aan sommige extensie zoals bijvoorbeeld KeeFox extensie wordt er (voorlopig?)een andere naam, namelijk: Kee voor de webassembly extensie gebruikt. Als Firefox 57 mogelijk binnenkort uitgegeven wordt zullen er een heleboel mensen het even eerst met wat minder extensies moeten doen. Misschien is dit ook eens een goede tijd om je gebruiken extensie’s na te lopen en te gaan kijken er geen beter alternatief is.

Mozilla brengt Firefox 55 uit met standaard https

augustus 10th, 2017 • Freeware/opensourceNo Comments »

Mozilla heeft Firefox 55 uitgebracht. Deze nieuwe versie brengt naast een aantal nieuwe mogelijk ook een aantal belangrijke wijzigen.
Zo worden gebruikers van de 32bits versie browser op een processor die 64bits is nu door de installatie standaard de 64bits versie van Firefox geinstalleerd. Het veiligheids voordeel van 64bits software op een 64bits besturingssysteem en processor is dat er meer geheugen adres ruimte gebruikt kan worden om geheugen veilig onvoorspelbaar in het geheugen neer te zetten met ASLR. Daarnaast is het ook mogelijk veiliger doordat 32bits emulatie laag voor de 64bits processor voor het process/firefox niet meer nodig is.
Ook heeft mozilla gewijzigd dat ingetoetst adressen op de adresbalk nu standaard https(TLS/SSL) gaan gebruiken.
Het is al zo dat sinds de introductie van Let’s encrypt het gebruik van surfen op het web over een beveiligde verbinding flink is toegenomen.
Maar juist door nu standaard https te gebruiken, zonder dat de gebruiker dit aangeeft, zal het gebruik van https daarmee ook de veiligheid van het web verder toenemen. Toch kan het gebruik van standaard https ook problemen veroorzaken. Dit gebeurd wanneer er op de https versie een andere onbedoelde website geconfigureerd is. Dit komt vaak doordat men nog geen HTTP 1.1 of hoger gebruikt of men de host header die de bedoelde beveiligde website aangeeft wanneer er mogelijk meerdere https websites op hetzelfde ip adres gebruikt zijn niet door de webserver software verwerkt wordt. Dus zowel server als webbrowser moeten HTTP 1.1 en TLS(met SNI, dat SSL 3.0 niet heeft) ondersteunen voordat dit altijd goed gaat.
HTTP 1.1 is nu al zo oud en TLS 1.0 en hoger is nu al zo standaard geworden dat dit gelukkig meestal wel altijd het geval is nu.

Beveiligings probleem in Intel AMT gevonden

mei 10th, 2017 • OverigNo Comments »

Er is een beveiliging probleem in de Intel Active Management Technologie(AMT) gevonden van Intel processoren. Alle processoren na 2008 met vPro kunnen hiermee uitgerust zijn. De Intel Active Management Technologie(AMT) wordt voornamelijk gebruikt door bedrijven om zakelijke computers te beheren.
Door dit beveiliging probleem is het mogelijk om zonder wachtwoord een computer met een Intel processor die AMT aan heeft staan in EUFI/BIOS op afstand o.a. te wissen of vergrendelen. En dit kan zelfs als die uit staat maar wel een LAN verbinding heeft omdat de Intel AMT firmware onafhankelijk van het besturingssysteem kan werken. Intel heeft een programmaatje voor Windows ontwikkelt om te testen of je huidige Intel processor die het programma uitvoert kwetsbaar is voor dit beveilingslek.

U2F vs H(ardware)OTP en T(ime)OTP tokons

februari 8th, 2017 • OverigNo Comments »

De U2F(uniniversal two factor) is een redelijk nieuwe standaard voor twee factor authenticatie die better werkt dan de voorheen veel gebruikte HOTP en TOTP standaard.
Zowel de oude HOTP als de oude TOTP standaard maken beide gebruik van een gedeeld geheim tussen de inlog dienst en het apparaat bij HOTP of met software (en mogelijk ook hardware) bij TOTP.
De HOTP standaard is de een hardware apparaat dat op basic van het aantal keer dat het gebruikt(een teller) wordt steeds een nieuwe code geeft. Daarmee heeft HOTP een probleem dat als het HOTP apparaat ook voor andere dienst wordt gebruikt en die dienst veel gebruikt wordt en de andere dienst veel weinig. De teller dat het aantal keer dat het HOTP apparaat gebruikt wordt bijhoudt, dan tussen de diensten te veel afwijkt van de andere dienst waardoor die niet meer werkt. Het HOTP apparaat teller is dan verder door dan de dienst die niet veel gebruikt wordt verwacht. Bij TOTP kan dit probleem niet optreden doordat er niet gebruikt wordt gemaakt van een teller maar van de huidige datum en tijd. Maar daarmee heeft TOTP het probleem dat het vaak niet geschikt is voor op goedkope hardware om te gebruiken omdat dat een batterij en realtime klok vereist. TOTP wordt daarom vaak als software/app op een smartphone gebruikt. Als het besturingssysteem waarop de TOTP app draait echter een onjuiste datum en tijd geeft of de twee factor authenticatiede dienst een onjuiste datum of tijd dan kan ook niet ingelogd worden. Daarnaast is de TOTP code vanwege het gebruik van software i.v.p. hardware mogelijk kwetsbaarder doordat het gewijzigd kan worden. Een smart phone geeft niet vaak alle beveiligings-updates. Echter heeft TOTP wel het belangrijke voordeel dat het niet mogelijk is dezelfde code buiten het interval van 30 seconden waarop een nieuwe TOTP 6 cijferige code gegeneerd wordt opnieuw (her)gebruikt kan worden. U2F ken de grootste problemen die de TOTP en HOTP twee factor authenticatie hebben niet doordat het gebruik maakt van asymmetrische cryptografie i.p.v een gedeeld geheim. Hierdoor kan er bij een database lek de twee factor authenticatie bij U2F niet omzeilt worden doordat de database van de dienst alleen de publieke sleutel van het U2F apparaat bevat. De geheime sleutel van een U2F apparaat blijft daarmee altijd op het apparaat opgeslagen en mag het apparaat nooit verlaten.

PHP 7.1 uitgegeven

december 6th, 2016 • OverigNo Comments »

Inmiddels is PHP versie 7.1 alweer uitgegeven. In deze nieuwe minor update zijn de verschillende return types van een functie uitgebreid. Zo is het mogelijk om nu mogelijk in PHP om een functie geen return type te laten teruggeven met void zoals ook in vele andere programmeertalen het geval is. Ook is de Eval(is Evil ūüėČ ) optie in de functie’s mb_ereg_replace() en mb_eregi_replace() nu als verouderd aangemerkt. Als laatste wordt de mcrypt extensie voor PHP uitgefaseerd in plaats daarvan kun je de OpenSSL functies gebruiken.

SMTP Strict Transport Security

oktober 28th, 2016 • Code, PrivacyNo Comments »

Sinds dit jaar heeft o.a. google een nieuwe ontwerp voor een standaard voor: SMTP Strict Transport Security. De beveiliging van SMTP is momenteel nog niet goed doordat bij het gebruikte STARTTLS het opzetten van een SMTP sessie tussen twee mailservers(MTA) en van een client(MUA) naar een mailserver(MTA) bijna altijd opportunistische encryptie(ongeldig of ongevalideerd certificaat) en/of onversleutelde verbindingen toelaat. Dit komt vooral vanwege de noodzakelijke compatibiliteit met andere mailservers(MTA) en misgeconfigreerde mail clienten(MUA, Zorg ervoor dat je poort 587/submission met STARTTLS niet poort 25 onversleuteld voor e-mail verzending gebruikt). Wat betreft de communicatie tussen mailservers is de harde keuze is wel of geen e-mail ontvangen als de verbinding alleen onveilig verstuurd opgezet kan worden.
TLS Strict Transport Security HTTP header
Er bestaat al enige jaren de HTTP Strict Transport Security header. Deze HTTP header wordt gezet na het opzetten van een veilige HTTPS connectie en zorgt ervoor de webbrowser voor een lange tijd onthoudt om alleen veilig verbindingen te maken met die website. Op die manier zal er bij terugkomst op de website nooit een downgrade van een veilige verbinding naar een onveilige verbinding kunnen plaatsvinden. De HTTP header wordt echter wel na een veilige HTTPS sessie gezet. Bij SMTP STARTTLS is dit niet mogelijk omdat de verbinding begint met een onveilige SMTP verbinding om te onderhandelen of dat encryptie gebruikt gaat worden. Nu maakt SMTP strict transport security gebruik van een TXT DNS record om het SMTP Strict Transport Security beleid te vinden op een subdomain _mta_sts.
Een mailserver die een e-mail naar een andere mailserver gaat versturen moet immer toch al via DNS het ip adres van de mailserver om mee te verbinden opzoeken. Maar omdat DNS onveilig is als er geen DNSsec gebruikt wordt moet dit DNS record weer gevalideerd worden met een JSON beleid over HTTPS. Want wanneer er geen DNSsec gebruikt op het domain moet nu het hele HTTPS protocol gebruikt gaan worden om de authenticiteit en integriteit van een SMTP Strict Transport Security DNS record te kunnen garenderen. Het SMTP Strict Transport Security lijkt me momenteel zonder DNSsec nog niet eenvoudig te implementeren wat het gebruik en de adoptie ervan voorlopig in de weg kan zit. Wat jammer is want DNSsec en vooral DANE wordt nog steeds vaak niet ondersteund. Voorlopig blijft daarom e-mail verkeer tussen mail servers bijna altijd niet volledig veilig beveiligd.

Krita 3.0

september 29th, 2016 • Freeware/opensourceNo Comments »

Krita logoEr is nieuwe major versie 3.0 van open source teken programma Krita beschikbaar. Dit teken programma heeft vele kwasten en zelfs de mogelijkheid om gif animaties te maken. Krita is beschikbaar voor zowel linux, windows en mac os. En zowel 64bits als 32bits. De vele mogelijkheden die Krita nu heeft maakt de nieuwste versie van Krita een echte concurrent voor Photoshop geworden is. Let wel op dat dit programma vrij zwaar voor minder krachtige computers. Er is nu ook versie 3.0.1 uit is om verschillende bugs te verhelpen. Maar voor wie een opensource alternatief voor Photoshop zoekt kan Krita downloaden en proberen het zeker waard.

Chrome gaat http als onveilig weergeven

september 8th, 2016 • WebNo Comments »

Vanaf 2017 worden alle http:// pagina’s onder de google chrome(en chromium) webbrowser als onveilig weergegeven als er een invoer veld op staat. Dit betekend dat er nog meer noodzakelijk wordt voor webontwikkelaars al het web verkeer standaard over https aan te bieden. Het is gelukkig mogelijk gratis een certificaat te krijgen met o.a.:   Let’s Encrypt of anders StartCom. Het Chinese WoSign geef ook gratis certificaten maar met deze certificaat authority zijn nogal wat probleempjes mee. Let’s Encrypt is makkelijk in gebruik als je beheer over de webserver hebt. Google zoekrobots gaven website’s die https gebruiken al een iets hogere vindbaarheid. Maar nu zal ook iedereen zich gaan storen aan de waarschuwing vanaf 2017 als je webpagina nog ongeautoriseerd en onversleuteld niet over https beschikbaar is. Omdat Chrome tegenwoordig een groot marktaandeel heeft qua webbrowser zal dit leiden tot een grote toename van https gebruik. Gaat het hele web dan nu wel over op https? Omdat ik niet wil dat deze website vanaf 2017 als onveilig getoont wordt ben ik alvast een Let’s encrypt certificaat gaan gebruiken i.v.p. een niet standaard vertrouwd certificaat.

Ubuntu 16.04 LTS uitgegeven

mei 2nd, 2016 • LinuxNo Comments »

Ubuntu logoCanonical heeft de nieuwe Long Term Support/LTS versie van Ubuntu uitgegeven. Dit is de eerste Ubuntu LTS versie die Systemd¬† gebruikt. Systemd is een process dat alle processes die opgestart worden beheerd. Traditioneel werdt door Ubuntu onder andere gebruik gemaakt van de init.d scripts die door de verschillende runtime levels die de kernel heeft bij het opstarten verschillende simpele bash scripts uitvoerd. Hierna werdt Upstart gebruiken en nu in Ubuntu 16.04 LTS wordt Systemd gebruikt. Een voordeel aan Systemd is dat processes bij het opstarten nu dynamischer(sneller?) van elkaar gestart kunnen worden. Daarnaast bevat Systemd ook de mogelijkheid processes die door Systemd gestart zijn te monitoren. Zo kan Systemd de webserver dan automatisch laten herstarten als bijvoorbeeld die gecrasht is. Maar Systemd is door de redelijke complexiteit ook conversationeel er is zelf een nieuwe linux distro uitgebracht zonder Systemd. Daarnaast is het met cron en bash scripts ook mogelijk processen die crashen automatisch te herstarten. En de verschillende kernel runtime levels gebruiken bied meer controleren over wat er dan wel en niet gestart is. Ubuntu 16.04 LTS maak verder gebruik van de stabiele Linux version 4.4 kernel. Verder is er standaard ondersteuning voor het ZFS bestandssysteem. Dit is een bestandssysteem dat bekend staat deduplicatie te kunnen doen en daarnaast data integriteit automatische bij te houden. Daarnaast is het nu mogelijk ‘apps’/programma’s via Snappy te installeren. Dit is een manier om programma’s veilig ge√Įsoleerd van de rest van het besturingssysteem te installeren maar maakt wel nog gebruik van dezelfde kernel als de rest van het systeem en software raamwerken, zoals Mono/Python etc., kunnen gedeeld worden tussen Snappy ‘app’/programma’s. Daarnaast komt de standaard Ubuntu 16.04 LTS versie met grafische Unity 8 desktop omgeving, zonder het standaard zoeken op Amazon en met de mogelijkheid de launcher overal te plaatsen waar je wilt. Ubuntu 16.04 LTS is de download vanaf de offici√ęle website van Ubuntu.

Privacy Shield, het nieuwe Safe Harbor

maart 6th, 2016 • OverigNo Comments »

Sinds Safe Harbor adequacy decision niet meer geldig is, is er in redelijke haast gemaakt het alternatief het “Privacy Shield” adequacy decision te introduceren om toch Europese data op Amerikaanse servers op te mogelijk slaan zonder model overeenkomst. De directe gevolgen van het ongeldig verklaren van Safe Harbor adequacy decision valt in de praktijk tot nu toe nog erg mee. Maar of het nieuwe “Privacy Shield” niet met een zelfde argumenten als waarop Safe Harbor ongeldig verklaart is ook ongeldig verklaart kan worden is niet uitgesloten, dat is raar. Alhoewel er nu extra limieten zijn aan de Amerikaanse inlichtingen diensten om Europees data te doorgronden. Het blijven slechts een limiet en geen garantie en dat gaat zeer waarschijnlijk ook niet gebeuren. Er is o.a. tegenspraak/gedraai. Men zal nu wel wat explicieter in het echte document zijn

PHP 7.0 uitgegeven

december 9th, 2015 • Code1 Comment »

php_custom_logoEr is een nieuwe major versie van de populaire PHP taal uitgegeven. De major versie is van 5.x naar 7.0 gegaan als stabiele versie nummer.
De 6.x versie van PHP heeft wel bestaan maar er is nooit een stabiele, algemeen beschikbare versie van uitgegeven omdat het vooral gebruikt werd om mee te experimenteren met o.a. unicode ondersteuning (al sinds 2005). Enkele mogelijkheden zijn uiteindelijk aan PHP versie 5.3, 5.4, 5.5 en 5.6 is toegevoegd.
Nu wordt dus versie 7.0 uitgegeven. Een belangrijke vernieuwing is in PHP 7.0 is de mogelijkheid om return datatypes op te geven. Nieuwere versie’s van PHP bieden vaker strong typing mogelijkheden omdat strong typing o.a. sneller is. Ook zijn verschillende nieuwe operators aan PHP 7 toegevoegd waaronder: de null coalescing operator en de spaceship operator. Ook is het nu mogelijk net als Java en C# anonieme klasses aanmaken dit kan in PHP 7 met de new class keywords. Daarnaast bevat PHP 7.0 nu de random_bytes en random_int functies voor een cryptografische veilige pseudo random generator(in tegen stelling tot rand en mt_rand die niet cryptografische veilige zijn) en deze functies zijn niet afhankelijk van openssl(de openssl_random_pseudo_bytes functie).
Zie de lijst met nieuwe features van PHP 7.0.

CONSENT cookie

december 9th, 2015 • CodeNo Comments »

cookie cookiemonsterHallo webmasters, webdesigners en ontwikkelaars etc. Laten we het defacto eens worden, dat we de cookie permissie gegeven cookie, de naam CONSENT geven. Ja dat is de cookie die geplaatst wordt met als enige doel om te onthouden of je cookies mag plaatsen.
Als we afspreken de naam CONSENT te gebruiken dan bespaart dit mogelijk ellende bij iedereen die ge√Įrriteerd wordt van al die cookie meldingen. Omdat als dit voor iedere site die mee doet gebruikt wordt het voor de gebruiker van het web mogelijk makkelijker wordt alleen deze cookies van alle cookies te beheren. Dit kan zeker handig zijn voor gebruikers die alle cookie willen gaan opschonen van behalve die CONSENT cookies zodat ze niet opnieuw toestemming moeten gaan geven waarvoor de gebruiker al toestemming gegeven heeft.

Safe harbor verdrag ongeldig verklaart

oktober 19th, 2015 • Privacy1 Comment »

Het Safe harbor verdrag(95/46/EC) tussen de Verenigde Staten en de Europese Unie is door het Europese hof ongeldig verklaart omdat het verdrag niet voldoende kan garanderen dat de gegevens van burgers uit de Europese Unie(EU) qua privacy maatstaven van de Europese Unie veilig genoeg zijn in de Verenigde Staten (bron). Uit lekken van inlichtingen diensten uit de Verenigde Staten blijkt dat er slechts onderscheid wordt gemaakt tussen burger uit de Verenigde Staten of geen burger uit de Verenigde Staten. Er was geen ‘een burger van de Europese Unie of Zwitserland’-optie/behandeling zover we tot nu toe weten. Dit betekend in feit dat het opslaan van priv√© gegevens van burgers uit de Europese Unie in de Verenigde Staten nu mogelijk niet meer toegestaan is. Echter denk ik dat dit voorlopig nog niet van toepassing is, gezien: Frans Timmermans, Vńõra Jourov√° (bron) en het CBP hier tot februari 2016 hier nog geen acties tegen gaan ondernemen. Dit zodat er nog wat tijd is voor een nieuw en beter ‘Safe Harbor 2.0’-verdrag.

Apple lanceert een digitale pen

september 25th, 2015 • IT nieuwsReacties uitgeschakeld voor Apple lanceert een digitale pen

pencilApple heeft een digitale pen/stylus gelanceerd genaamd Apple Pencil. Steve jobs was bij de introductie van de iPhone in 2007 altijd tegen het gebruik van een pennetje op het aanraakscherm van de iPhone. De Apple Pencil is wel wat anders dan een plastic staafje dat Jobs niet wilde. Deze pen heeft namelijk een druk en hoeksensor. Door de druk sensor is het mogelijk de dikte van het getekende lijntje aan te passen. Door de hoek sensor is het ook mogelijk de lijn dikte aan te passen zoals een kwast die je scheef houdt om een groter oppervlakte te beschilderen. Door touchscreen van het beeldscherm, de druksensors van de pen en de hoeksensors van de pen te combimeren krijg je een pen die aan moet voelen als een echte: pen, kwast of potlood in de echte wereld maar dan sla je het meteen digitaal op. De Apple Pencil gaat op een volle batterij ongeveer 12uur mee volgens Apple. En de Apple Pencil laadt met 15 seconden laden voor ongeveer 30 minuten gebruik op. Ik verwacht dat de Apple Pencil eerst vooral eerst gericht zal zijn op een groep van mensen die veel met digitale fotobewerking doen en die ook al de vereiste een iPad Pro hebben. Bekijk de eerste indruk video.

Microsoft lanceert Windows10

juli 30th, 2015 • IT nieuws1 Comment »

Op 29 juli heeft Microsoft Windows 10 vrijgegeven. Windows 10 wordt door Microsoft als een gratis upgrade voor Windows 8.1/8 en 7 gebruikers beschikbaar gesteld. Hiervoor kregen Windows 8.1/8 en 7 gebruikers al een meldingsicoontje(door update KB3035583) in hun systray die hiervoor melding maakt. Windows 10 brengt voor windows 8.1 en windows 8 gebruikers het startmenu terug en de klassieke desktop is nu de standaard desktop. Maar de modern(voorheen: metro) interface concept is echter niet helemaal verdwenen. Zo zijn er in Windows10 (live)tegels in het startmenu verwerkt, waardoor je in het nieuwe startmenu van Windows 10 nog steeds een windows8/8.1 ervaring hebt. Verder is er in Windows 10 ook nog steeds een App store voor modern(metro) Windows programma’s. En het is qua grafische ontwerp nog steeds redelijk goed vertrouwd aan Windows 7. Ook is er in Windows 10 het configuratiescherm terug gebracht naar 1 configuratiescherm. In Windows 8/8.1 was er een apart configuratie scherm gedeelte voor de modern(voorheen metro)interface instellingen en een voor de klassieke interface. In Windows 10 is dit nu enigszins logischer samengebracht. Het configuratie scherm is iets moderner gemaakt maar lijkt toch nog vertrouwd op het oude configuratiescherm van windows7. Ook heeft windows10 nu de mogelijkheid om meerdere virtuele desktops te gebruiken zoals op verschillende linux grafische desktops(KDE, Gnome XFCE etc.) mogelijk is. Technisch gezien voor gamers is interessant om te vermelden dat Windows 10 geleverd wordt met DirectX 12 wat veel snellere en redelijk energie zuiniger API voor de grasfichekaart is t.o.v vorige versies van DirectX. Ook komt Windows 10 met een nieuwe extra webbrowser genaamd Edge (had voorheen project titel: Spartan). Deze nieuwe webbrowser komt naast Internet Explorer beschikbaar op Windows10 zodat Internet Explorer nog steeds gebruikt kan worden voor oude website’s die daar alleen met IE werken. Edge is een snelle moderne webbrowser die zich goed aan de webstandaard houdt. Zo ondersteunt Edge javascript promises wat vooral ajax code veel eleganter(leesbaarder) kan maken. Edge is ook snel in sommige benchmarks. Edge is ook een stuk veiliger dan Internet Explorer doordat het geen ondersteuning meer biedt voor ActiveX. ActiveX componenten werdt in het verleden gebruikt voor programma’s in de webbrowser te draaien en staat bekent als redelijk onveilige technologie. Verder heeft Edge met de mogelijkheid om extensies te installeren, net zoals Firefox en Chrome. Als laatste komt Windows 10 nog met een digitale assistente. Deze digitale assistente, genaamd Cortana, kun je dingen laten doen door voice control(microfoon vereist) of voor zoeken. Omdat Cortana veel kan, heb ik nog mijn bedenkingen voor de privacy gevolgen van Cortana gebruik. Anderzijds veel intelligentie offline opslaan en up to date is denk ik ook onpraktisch. Dus voor degene die meteen upgraden naar Windows 10, het is zeker aan te raden de privacy instellingen goed door te lopen. Windows 10 brengt vele verbeteringen qua grafische interface uit de lessen van Windows8 getrokken zijn. Verder zijn een paar leuke toevoegingen en bedenkelijke toevoegingen maar uiteindelijk is het waarschijnlijk het upgraden het wel waard omdat het gratis is. Maar alleen je het juist doet zonder alle standaard privacy schendingen in windows10.

Facebook ondersteunt OpenPGP

juni 1st, 2015 • PrivacyReacties uitgeschakeld voor Facebook ondersteunt OpenPGP

gnupg emblemFacebook heeft (experimentele) ondersteuning voor OpenPGP toegevoegd.
Door je publieke OpenPGP sleutel op bij je Facebook profiel toe te voegen is het voor Facebook mogelijk je OpenPGP versleutelde e-mail te versturen. Hierdoor is bijvoorbeeld de wachtwoord reset functie veiliger te gebruiken. Doordat de e-mail van Facebook ondertekent is met de Facebook OpenPGP sleutel weet je zeker dat de e-mail echt (bewijsbaar) van van Facebook afkomst is. En iemand die het e-mail verkeer kan afluisteren zal niet de inhoud van je e-mail van Facebook in kunnen zien. De wachtwoord reset links met geheime code bij verificatie van je e-mail adres (o.a. als je wachtwoord vergeten bent) zijn daarmee dus ook een stuk veiliger verzonden. Maar het is wel alleen zo veilig als dat je privé sleutel beschermt wordt en de zorgvuldigheid van het vaststellen van echtheid, de verificatie van de Facebook publieke sleutel.

Het HTTP protocol krijgt een update

maart 27th, 2015 • Overig1 Comment »

http2Na de experimenten door Google met het SPDY protocol de basic van het protocol voor HTTP/2 protocol gebruikt.
HTTP/2 is verbetert op het punt dat het maar 1 TCP verbinding per webserver nodig heeft voor ieder verzoek aan de webserver nodig heeft.
Dit zorgt ervoor dat het niet meer nodig is om voor alle inhoud van een webpagina een aparte verbind op te zetten maar nu alles via multiplexing over 1 TCP verbinding verstuurt kan worden. Hierdoor zal een pagina met bijvoorbeeld veel kleine afbeelding onder HTTP/2 aanzienlijk sneller zijn dan onder voorgaande in voorgaande versie’s van het HTTP protocol. In HTTP 1.1 en 1.0 hadden was er origineel een limit van 2 gelijktijdige verbinden per webserver waardoor veel dingen volgens de origineel standaard niet gedownload konden worden totdat het downloaden van de inhoud van twee verbindingen klaar was. Dit werd in HTTP1.1 al met HTTP Pipelining enigszins opgelost maar het was nog niet ideaal. Verder hadden veel webbrowser al het limit verhoogd van 2 naar 6 of 8 gelijktijdige verbinden per server om te verkomen dat het laden van een website langzaam was doordat het downloaden van een verbinding nog niet klaar was waardoor de webbrowser niet gelijktijdig alvast iets anders kan gaan downloaden.
Echter is het ophogen van het aantal TCP verbindingen ook niet ideaal omdat iedere TCP verbinding een file descriptor en een poort vereist en daar is voor de server en client een limiet aan. En is daarnaast het opzetten van iedere TCP verbinding langzaam mede door de vereiste 3-Way handshake van TCP. Door het gebruiken van multiplexing in HTTP/2 is er geen langzame extra TCP verbinding nodig voor iedere webserver waarmee je verbind.
Verder gebruikt het HTTP/2 protocol het HPACK compressie algoritme voor het nu comprimeren van HTTP headers waardoor er minder informatie gedownload hoeft te worden. De volledige specificatie van HTTP/2 zijn op github te vinden.
Http/2 is nu officieel vastgelegd in RFC 7450.

Contactloos betalen, is het wel veilig?

december 31st, 2014 • PrivacyReacties uitgeschakeld voor Contactloos betalen, is het wel veilig?

Veel banken hebben hun klanten of gaan hun klanten een nieuwe pinpas geven waarmee contactloos betaald kan worden in 2015.
Het contactloos betalen moet het mogelijk maken af te rekenen door slechts je pinpas kortstondig bij een betaalautomaat te houden en dan is géén pincode nodig en je hebt betaald. Zeer gemakkelijk dus voor consumenten om te betalen maar niet meer zo bewust.
Er zou een limiet van 25 euro per transactie of 50 euro per dag aan het contactloos betalen zitten. Echter blijkt dit limiet niet te werken als je het voor elkaar krijgt een pinapparaat gateway op te zetten dat goedgekeurd is door banken, dan zou je theoretisch elk maximum bedrag per dag met contactloos betalen kunnen afrekenen door een andere valuta te gebruiken. Omdat contactloos betalen erg onbewust gebruikt wordt bij het betalen wordt het nieuwe contactloos betalen ook een nieuw middel voor digitale zakkenrollers. Gelukkig is het opzetten van een goedgekeurde pinapparaat gateway niet makkelijk zolang hierop nog goed toezicht gehouden wordt. En is er een limiet van 50 euro per dag waardoor het verlies beperkt blijftzolang het limiet in euro’s gebruikt wordt. Er zijn ook speciale hoesjes om de RFID chip af te schermen.

update1: het artikel van newcastle university is verdwenen.

Update2: aangetoond is het dat door de consumentenbond dat een als particulier momenteel helaas niet erg lastig is een gateway/pin apparaat aan te vragen voor contactloos betalen en dus ook mee contactloos zakkenrollen tot ‚ā¨ 50 zonder pincode. Wel blijft de het contactloos zakken rollen (bijna?)nooit anoniem voor de contactloos zakkenroller doordat banken hun klanten kennen met volledig ID/paspoort.

Vaarwel SSL 3.0, hallo TLS 1.1+

oktober 20th, 2014 • OverigReacties uitgeschakeld voor Vaarwel SSL 3.0, hallo TLS 1.1+

SSL 3.0 gekraaktHet SSL 3.0 protocol met CBC block encryptie is gekraakt. Het zijn werknemers van google erin geslaagd SSL 3.0 versleuteld verkeer te ontsleutelen. De aanval op het SSL 3.0 protocol om beveiling verkeer te ontsleutelen heeft de naam POODLE gekregen (de P in POODLE staat voor Padding). Het SSL 3.0 protocol is inmiddels al 18jaar oud het iets nieuwere TLS 1.0 protocol was in combinaties met CBC block encryptie algoritmes ook al gekraakt met de BEAST aanval. De POODLE aanval op zich zelf lijkt erg op de BEAST aanval om versleuteld TLS 1.0 verkeer met CBC block encryptie te ontsleutelen. Het oude SSL 3.0 protocol bevat in tegen stelling tot het TLS minder functionaliteit zo is het niet mogelijk meerdere SSL website op hetzelfde publieke ip adres te gebruiken iets wat met het nieuwere TLS 1.0/1.1 en 1.2 protocol wel kan. Momenteel is alleen TLS 1.1 en TLS 1.2 protocol nu nog veilig. Om ervoor te zorgen dat SSL 3.0 niet meer gebruikt wordt in Firefox kun je de SSLVersionControl extensie gebruiken of in je adresbalk naar about:config gaan en daar de instelling security.tls.version.min verhogen naar 1. De nog te verwachten Firefox 34 en later zal automatisch deze instelling hebben. Google Chrome gebruikers kunnen chrome opstarten met de –ssl-version-min=tls1 parameter om SSL 2.0 en SSL 3.0 niet meer te gebruiken. Veel webserver gebruiken helaas nog alleen TLS 1.0 dus je webbrowser geen TLS 1.0 laten gebruiken maar wel TLS 1.1 en hoger is, omdat TLS 1.0 dat met CBC block encryptie nog kwetsbaar is voor de BEAST aanval, is helaas nu nog vaak geen oplossing.

Interessante antispam Thunderbird extensie’s

augustus 3rd, 2014 • OverigReacties uitgeschakeld voor Interessante antispam Thunderbird extensie’s

Niet altijd dat de spam filter correct kan bepalen of een email spam of ham(ham=niet spam) is. Er zijn een aantal Thunderbird extensies die je kunnen helpen sneller te bepalen of een bericht spam of ham is.
Tegenwoordig proberen we e-mail zoveel mogelijk  e-mails te autoriseren met DKIM zodat iemand zich niet bewijsbaar voor kan doen als een e-mail adres van een domein waarop het geen e-mail adres heeft.
Hierbij wordt aan iedere nieuwe e-mail van een DKIM handtekening voorzien die in de headers van het e-mail bericht opgenomen is.
Alleen de mail server die de juiste DKIM privé sleutel heeft kan dan de juiste DKIM handtekening gemaakt hebben.
De publieke DKIM sleutel voor iedere domein waarop DKIM gebruikt wordt wordt in een DNS TXT record opgeslagen.
Normaal gesproken is het de taak van de mail servers(de MTA’s) om de DKIM handtekening van binnen komende e-mail te controleren.
Echter soms ondersteund je gebruikte mailserver nog geen DKIM en dan is het handig in je Thunderbird(MUA) toch de afzender van een email bericht met de DKIM signatuur te controleren. Dit kan met de Thunderbird extensie: DKIM Verifier. Met de juiste instellingen zal de afzender groen oplichten in het bericht als de DKIM signatuur juist is en orangje als er een probleem is. De afzender zal met deze extensie rood worden als de DKIM signatuur ongeldig is wat kan betekenen dat de afzender van de e-mail waarschijnlijk vervalst is of er is een ernstige fout gemaakt.
Sommige e-mail servers maken gebruik van SpamAssassin anti spam oplossing die nog extra headers aan de e-mail berichten toevoegd. Je kunt deze headers gebruiken om na te gaan hoe deze anti spam oplossing het bericht als spam of ham beoordeeld heeft en hiermee vroeg tijdig voorkomen dat belangrijke e-mail als ham aangemerkt wordt. SpamAssassin heeft ieder e-mail bericht een scoren, deze score is in de header van de e-mail berichten opgenomen en is met de Thunderbird extensie spamness eenvoudiger zichtbaar te maken.
Een andere manier om spam te beperken is door iedere computer die een e-mail wilt gaan laten verzenden wat reken werk per ontvanger te laten doen. De bedoeling is dat een hash waarde gedeeltelijk gekraaktpennypost moet worden per ontvanger van het e-mail om als handtekening aan de e-mail toe te voegen. Als iedereen dit zou implementeren dan zou het een spammer ten minste nogal wat tijd en energie kosten om een e-mail te mogen zenden omdat het eerst nogal wat werkt op zijn computer moet doen. Ieder geval zal het ‘stampen’ (het toevoegen van de gedeeltelijk gekraakte hash waarde) het e-mail bericht door sommige spam filter als een kleinere kans dat het e-mail bericht spam is opgemerkt worden. Meer informatie over hoe dit allemaal werkt vindt je hier, helaas wordt dit nog niet goed ondersteund. Een implementatie als Thunderbird extensie is PennyPost deze extensie vereist wel Java en ten minsten 16Mb vrije schijfruimte.