![\"\"](\"https://static.d9ping.nl/content/uploads/hyperlinkrot-1.png\")
Het link rot probleem is een probleem wat steeds erger wordt naarmate een website meer inhoud krijgt. Ik was in oude blog berichten alle links aan het controleren en heel wat oude hyperlinks hadden aanpassing nodig. Het meeste wat voorkwam was dat de originele links nog naar een http pagina verwijst wat een https pagina geworden was geworden. Gelukkig werkt in de meeste gevallen de link nog doordat er een redirect is maar ook dat was niet altijd het geval. Iemand moet zo lief zijn geweest nog onveilig http te blijven aanbieden als bijna alle websites standaard https gebruiken. En soms was de pagina gewoon van adres gewijzigd en soms is de website naar een totaal ander domein verhuist. Dat laatst kan eenn vervelende problemen zijn want hier kom je gebruikelijk meestal niet direct vanzelf achter. Innovatie in de html hyperlink is die is er al jaren niet.. Met al die blockchain munten zijn er voor dit probleem nog steeds geen goed oplossing bedacht? Linkrot had deze blog dus ook gehad maar dat probleem is nu voor slechts enkele jaren weer verholpen.
\n", "date_published": "2022-01-25T23:00:07+00:00", "date_modified": "2022-01-25T23:08:00+00:00", "author": { "name": "d9ping" } }, { "id": "https://www.d9ping.nl/2020/07/mozilla-firefox-78/", "url": "https://www.d9ping.nl/2020/07/mozilla-firefox-78/", "title": "Mozilla Firefox 78", "content_html": "\nMozilla heeft een nieuwe versie van Mozilla Firefox uitgegeven die een belangrijke wijzigingen bevat. Zo is nu standaard TLS 1.1 en TLS 1.0 uitgeschakeld. Dit kan betekenen dat sommige website die nog het kwetsbare TLS 1.0 of TLS 1.1 met CBC ciphers gebruiken mogelijk niet meer standaard werken. Het uitschakelen van TLS 1.0 en TLS 1.1 komt de veiligheid van het internet ten goed maar kan ook tot frustratie leiden doordat het laden van een website dat alleen TLS 1.0 of TLS 1.1 ondersteund een foutmelding geeft. Daarnaast zal met het stoppen van het gebruik van TLS 1.1 en TLS 1.0 ondersteuning van webservers het voor (32bits)telefoons and tables met Android 4.3 (en lager) om op het internet te surfen steeds lastiger worden. Tijdens het hoogtepunt van de corona cricus van het voorjaar van dit jaar werd vanwege alle mogelijk verbindingsproblemen en foutmeldingen het standaard uitzetten van TLS1.1 en lager daarom nog even uitgesteld.
\n\n\n\nOok is er nu offici\u00eble ondersteuning voor webauthn waarmee het mogelijk is om in te loggen met een prive sleutel. Deze inlog methode is superieur ten op zichten van het gebruik van wachtwoorden omdat er geen gebruik gemaakt wordt van een gedeeld geheim. Waardoor er bij een database lek er geen waarde is aan de publieke sleutel authenticatie gegevens zijn.
\n\n\n\nVoor het gebruik van webauthn is een wel FIDO2 apparaat nodig om de priv\u00e9 sleutel veilig en geheim te houden maar onveilig te experimenteren zou je ook webauthn_enable_softtoken kunnen aanzetten.
\n", "date_published": "2020-07-01T20:05:21+00:00", "date_modified": "2020-08-22T22:10:11+00:00", "author": { "name": "d9ping" } }, { "id": "https://www.d9ping.nl/2020/01/windows7-ondersteuning-gestopt/", "url": "https://www.d9ping.nl/2020/01/windows7-ondersteuning-gestopt/", "title": "Windows7 ondersteuning gestopt", "content_html": "\nNet na de laatste dag van de ondersteuning van windows 7 wordt er meteen een kritische lek dat zich in alleen Windows 10 bevindt een patch voor uitgerold. Er zijn nog bedrijven en overheidsinstellingen die nog niet overstapt zijn op Windows 10 mogelijk vanwege de vele privacy bezwaren die Windows 10 kan hebben. Gelukkig is het wel mogelijk om voor veel geld extra langer ondersteuning te krijgen maar ook dat is een lap middel voor een niet al te lange tijd. Gelukkig was windows 7 niet meteen ongepatch lek van een kritische beveilings probleem waarmee de validatie in TLS/SSL omzeilt kan worden door een validatie fout in iets met de Eliptic Curve implementatie. De details daarvan zijn gelukkig nog niet volledig bekend maar dat beveiligingsprobleem in Windows10 dat afgelopen dinsdag een kritische patch kreeg is zo erg als het klinkt. Upgraden en updaten dus.
\n\n\n\nDetails zijn nu bekend. Firefox gebruikers op ongepatcht Windows 10 niet kwetsbaar en Chrome gebruikers wel.
\n", "date_published": "2020-01-15T20:28:44+00:00", "date_modified": "2021-11-28T11:42:24+00:00", "author": { "name": "d9ping" } }, { "id": "https://www.d9ping.nl/2019/06/belangrijke-vlc-beveiligings-updates/", "url": "https://www.d9ping.nl/2019/06/belangrijke-vlc-beveiligings-updates/", "title": "VLC beveiligings updates", "content_html": "\nDankzij het bug bounty programma van de Europese unie zijn er in versie 3.0.7.1 de nodige beveiliging problemen in video speler VLC player opgelost. Vele beveiligingsproblemen die tussen versie 3.0.6 en 3.0.7 zijn opgelost zijn buffer overflows. De beveilings problemen zijn voornamelijk via HackerOne gemeld. In totaal is er via het bug bounty programma van de EU 2 miljoen euro beschikbaar gesteld.
Verder is er nu ook eindelijk ondersteuning om in de akelige blurays schijfjes nu eindelijk de menu’s in VLC player te tonen. En kan er in met BD-J gebruik gemaakt worden van een nieuwere versie’s van Java.
En is de HDR ondersteuning in VLC verbeterd.
Er is een nieuwe versie van de SSH-client PuTTY beschikbaar. Deze release voegt o.a. hardware accelereerde hashing algoritmes toe. Daarnaast is er nu naast X11 nu ook ondersteuning voor Wayland en andere display engine om een grafische programma over SSH te tunnelen. En is er onder andere dankzij het door de Europese Unie gesponsord beloningsprogramma ook verschillende kleine beveiliging probleempjes opgelost. Het gaat hierbij o.a. om een verbetering van de keuze van willekeurige nummers in een uitzonderlijke situatie.
\n", "date_published": "2019-03-17T22:37:44+00:00", "date_modified": "2020-08-11T20:35:51+00:00", "author": { "name": "d9ping" } }, { "id": "https://www.d9ping.nl/2018/12/nieuwe-major-versie-virtualbox-6-0/", "url": "https://www.d9ping.nl/2018/12/nieuwe-major-versie-virtualbox-6-0/", "title": "Nieuwe major versie VirtualBox 6.0", "content_html": "\nDe virtualisatie software VirtualBox heeft een nieuwe major versie uitgebracht. In versie 6.0 is het o.a. mogelijk als workround voor windows gebruikers de Hyper-V Hypervisor te gebruiken met de Virtualbox GUI.
Dit kan gebruikt worden als een workround om niet de windows bootloader(BCD) te hoeven aan passen om ervoor te zorgen dat Virtualbox Hypervisor gebruikt kan worden zonder conflict te geven met de standaard langzamere Hyper-V Hypervisor dat o.a. voor Android emulatie op windows standaard gebruikt wordt met Android studio.
Daarnaast geeft VitualBox 6.0 nu betere 3D grafische kaart versnelling ondersteuning en prestaties voor virtuele machines.
De gebruikers interface van virtualbox geeft ook een kleine metamorfose ondergaan. Daarnaast is er nu een bestands- manager voor virtuele machine hardeschijven toegevoegd om bestanden tussen de virtuele machine en het host besturingssysteem mee uit te kunnen bekijken en kopi\u00ebren.
Inmiddels is ook al versie 6.1 beschikbaar.
\n", "date_published": "2018-12-21T19:19:52+00:00", "date_modified": "2020-09-30T22:17:41+00:00", "author": { "name": "d9ping" } }, { "id": "https://www.d9ping.nl/2018/12/nieuwe-major-versie-wordpress-5-0/", "url": "https://www.d9ping.nl/2018/12/nieuwe-major-versie-wordpress-5-0/", "title": "Nieuwe major versie WordPress 5.0", "content_html": "\n![\"\"](\"https://static.d9ping.nl/img/wordpress_logo.png\"){kind=logo}
Er is een nieuwe major versie van WordPress uitgegeven. Deze software wordt origineel alleen voor bloggen gebruikt maar is met behulp van plug-ins ook tot bijvoorbeeld een complete webwinkel of foto gallery website om te bouwen. Vele websites(32% van alle websites wordt geclaimd) op het internet maakt gebruik van WordPress.
De recent uitgegeven nieuwe major release heeft dus indirect een grote impact op het internet. Bij versie 5.0 is de grootste wijziging vooral dat de tekst editor(voorheen TinyMCE javascript) voor het schrijven van html berichten standaard vervangen wordt door een nieuwe berichten editor met de naam Gutenberg. De nieuwe berichten editor Gutenberg, maakt gebruik van ‘blokken’. Met deze blokken wordt het makkelijker voor een nieuw bericht om standaard stukken functionaliteit aan een bericht toe te voegen zoals bijvoorbeeld een foto gallery of een indeling van tekst in kolommen. Ook is het mogelijk een van de vele widget’s waaronder o.a. een youtube en vimeo video spelers aan een bericht met een blok toe te voegen.
Inmiddels is al versie 5.0.1 5.0.2 beschikbaar met een aantal beveiliging updates.
![\"\"](\"https://static.d9ping.nl/img/redox.png\")
Redox is een interessant busturingssysteem alternatief om eens te proberen. Het besturings syteem is volledig in de Rust programmeertaal geschreven. Rust is een programmeertaal ontwikkeld door Mozilla die meer veiligheid biedt dan C. Door Rust te gebruiken als programmeertaal voor een besturingssysteem is het niet mogelijk dat het programma een buffer overflow problemen bevat doordat de programmeertaal Rust dit soort bugs niet toelaat. Hierdoor kan veiligere software ontwikkeld worden. Redox bestaat uit een kernel, een desktop, en verschillende unix tools alternatieven allemaal geschreven in Rust.
Er is een remote code executie bug in de XNU-kernel voor MacOS, iPads, iPhone ontdekt dat een heap buffer overflow veroorzaakt wanneer het een speciaal geprepareerd ICMP-pakketje(ping) ontvangt. Deze bug doet veel denken aan het ping of death probleem dat op Windows besturingssystemen op afstand liet crashen in 1996. Gelukkig, werkt het probleem alleen vanuit het lokale netwerk omdat ICMP verkeer van buiten het lokale netwerk standaard door de firewall weggegooid wordt, als het een intern computer in een netwerk achter een NAT \u00fcberhaupt weet te bereiken. Toch is het zeker aan te raden om een Apple apparaat zo snel mogelijk te patchen want wanneer je met een onbetrouwbaar hotspot verbind kan uw mede hotspot gebruikers wel uw Mac laten crashen of overnemen wanneer er geen XNU Kernel patches zijn ge\u00efnstalleerd. Updates installeren dus.
\n", "date_published": "2018-11-01T19:59:35+00:00", "date_modified": "2018-11-02T11:25:43+00:00", "author": { "name": "d9ping" } }, { "id": "https://www.d9ping.nl/2018/10/kritische-bitcoin-bug-verholpen-dat-maakt-vals-transacties-uitvoeren-mogelijk-maakte/", "url": "https://www.d9ping.nl/2018/10/kritische-bitcoin-bug-verholpen-dat-maakt-vals-transacties-uitvoeren-mogelijk-maakte/", "title": "Kritische bitcoin bug verholpen dat potentieel vals transacties uitvoeren mogelijk maakte", "content_html": "![\"\"](\"http://www.d9ping.nl/content/uploads/bitcoin_bug.png\")
Er is de afgelopen week een kritische bug van de Bitcoin core opgelost die ook in Bitcoin Cash en andere afgeleiden crypto munten zat die gebruik maakte van de bitcoin core broncode. Inmiddels zijn er verschillende updates beschikbaar en is het echt noodzakelijk om niet langer Bitcoin core 0.16.2 of lager te blijven gebruik, voor de veiligheid van de bitcoin blockchain. Een fout in bitcoin software zorgde ervoor dat soms transacties in een blok op de blockchain helemaal niet geverifieerd worden. In het ergste geval worden hierdoor ongeldige transacties van andere onbetrouwbare bitcoin nodes op jouw node opgeslagen worden. Dat kan leiden tot een hardfork(afsplitsing van de blockchain) met allerlei ongeldige transacties van de bitcoin of bij een andere cryptocurrency blockchain. Het is daarom van belangrijk dat bitcoin nodes en andere cryptocurrencies zo snel mogelijk upgraden naar een niet kwetsbare versie.
TLS 1.3 is de opvolger van TLS 1.2. Dat is het gebruikte communicatie protocol voor het opzetten en onderhouden van een beveiligde verbinding.
\nZowel de webbrowser Google Chrome/chromium als Mozilla Firefox hebben TLS 1.3 ondersteuning nu toegevoegd aan hun webbrowser.
\nTLS 1.3 bied mogelijk betere beveiliging dan TLS 1.2 door nieuwe encryptie algoritmes(ciphers) toe te staan en oude onveilige encryptiealgoritme niet meer toe te staan. Zo is het gebruik van de stream cipher RC4 niet meer toegestaan. De RC4 cipher is inmiddels al jaren onveilig bevonden voor korte data mee te versleutelen. RC4 wordt standaard door webbrowsers al niet meer ondersteund of alleen in absolute nood nog gebruikt als de server echt niets beters kan gebruiken. TLS 1.3 biedt standaard geen ondersteuning voor terugvallen naar een oudere versie van het TLS protocol. Dat betekent dat als de webbrowser en server beide TLS 1.3 ondersteunen er geen oudere versie gebruikt mag gaan worden.
\n TLS 1.3 biedt ook enkele snelheidsverbeteringen door het gebruik van een pre-shared key(PSK) voor een TLS 1.3 verbinding met een server die al eens is gebruikt kan de sleutel uitwisseling direct versleuteld gebeuren in plaats van opnieuw overeenstemming te bereiken over een nog niet versleutelde verbinding over wat gebruikt moet gaan worden voor de beveiligde verbinding verstuurt moet gaan worden. Op deze manier is een beveiligde verbinding sneller en helemaal versleuteld met sleutel onderhandeling ook. Cloudflare bruikt o.a. al TLS 1.3 in productie en er zijn tot nu toe maar een paar kleine probleempje.
Microsoft heeft GitHub gekocht voor 7,5 miljard dollar. GitHub is de grootste website met git repository(vaak afgekort als een: git ‘repo’). Github host zo wat alle broncode van open source projecten inclusief een extra mirror van de linux kernel en vele andere openbron code projecten.
\nMicrosoft had al een paar jaar geleden zijn eigen CodePlex website met openbroncode projecten gesloten. En begon de openbron code projecten van Microsoft zelf ook op GitHub te zetten, waaronder de visual studio code editor. GitHub is eigenlijk alleen een web interface voor Git repo’s met een paar extra’s zoals een bug tracker(issues) en manier om een readme.md bestand mooi te tonen in markup. Github verdient zijn geld door de verkoop van git repo’s die afgeschermd zijn voor organisatie’s. Publieke git repo’s voor open bron code zijn gratis. Omdat Microsoft voor sommige een bedreiging lijkt te vormen zijn er ook al vele git repo’s emigreert naar veel kleinere concurrent (git webinterface) GitLab. Linus Tovalds die Git ontwikkeld heeft, heeft Git als een gedistribueerd versie beheer programma gemaakt. Hierdoor heeft iedere ontwikkelaar die git voor zijn project gebruikt altijd de volledige project geschiedenis, en kan offline wijzigen vastleggen. Daarnaast is het dan ook eenvoudig om opnieuw het volledige project met alle wijzigen op een andere computers of servers te overdragen. Mocht je nu ineens zomaar git willen gaan gebruiken om wat van rede dan ook, vergeet dan ook niet eerst om het git programma zelf te upgraden naar de laatste versie vanwege een mogelijk git submodule beveiligingsprobleem.
![\"\"](\"https://static.d9ping.nl/img/ubuntu_cirkel_of_friends.png\")
Canonical heeft een nieuwe long term support versie 18.04 van Ubuntu uitgegeven met de codenaam Bionic Beaver.
\nDeze versie verwisselt de Unity desktop omgeving voor de GNOME desktop omgeving met een paar aanpassingen in de standaard configuratie zodat die nog een beetje op de Unity desktop omgeving lijkt. Zo is er wel nog een balk aan de linkerkant toegevoegd.
\nDaarnaast gebruikt Ubuntu 18.04 weer de bewezen betrouwbare X.org window manager. Sinds versie de Ubuntu 17.10 werd er weer de GNOME desktop shell gebruikt maar nu is die dus ook weer in een long term support versie gebruikt. Ook bijzonder is dat de deze nieuwe release voor de desktop niet meer in 32bits beschikbaar is. Met huidige low end hardware die standaard 64bits zijn, is de noodzaak van een 32bits besturingssysteem steeds kleiner aan het worden. Daarnaast is het niet meer aanbieden van een 32 bits versie meer toekomst klaar, voor het tijd reset probleem, dat in het jaar 2038 alle 32bits software last van krijgt. Ook veranderd in Ubuntu 18.04 LTS is dat er als python interpreter er nu standaard Python versie 3 in plaats van Python versie 2 gebruikt wordt. Voor netwerk adapter configuratie wordt er nu gebruik gemaakt van netplan in plaats van het standaard linux /etc/network/interfaces bestand. E\u00e9n voordeel van netplan is dat het aparte configuratie bestanden mogelijk maakt per netwerk adapter. Daarnaast is de netwerk configuratie van netplan nu ook met het netwerkctl programma te beheren.
![\"\"](\"https://static.d9ping.nl/content/uploads/gdpr.png\")
In europa gaat per 25 mei 2018 de nieuwe GDPR wetgeving van kracht. De algemene verordening gegevensbescherming(afgekort: AVG) is de nederlandse implementatie hiervan. In de nieuwe wetgeving wordt het het nu o.a. duidelijk wat persoonsgegevens en bijzondere persoonsgegevens zijn. Bij bedrijven die bijzondere persoonsgegevens verwerkt is het nodig een functionaris voor de gegevensbescherming aan te stellen. Verwerkers van persoonsgegevens zijn verplicht hiervoor toestemming te vragen. Ook ip adresen, ongeacht of het dynamisch ip adres is, is nu duidelijk dat het echt een persoonsgegeven is. Dit heeft onder andere effect op de heel veel gebruikte WordPress blog software dat bij het geven van een commentaar standaard ook een ip adres opslaat van de reageerder. Dit mag per 25 mei niet zonder toestemming. Anderzijds kan wel gezegd worden dat dit een mogelijke middel is tegen commentaar spam en dat het ip adres dus verwerkt wordt voor het doel van beveiliging tegen ongewenste commentaar spam. Het vragen om akkoord te gegeven aan een privacy voorwaarde voordat een commentaar op een wordpress site geplaatst kan worden en/of een ip adressen niet meer opslaan door aanpassingen aan de wordpress software is met de nieuwe GDPR wel aanbevolen om geen risico op een boete te lopen. Een manier om het opslaan van het ip adres in te perken(verwijder laatste cijfer bij IPv4) of het ip adres van de reageerd helemaal niet meer op te slaan kan door gebruik je te maken van deze code snippet. Gelukkig zal er voor wordpress gebruikers mogelijk in een aankomende nieuwe versie mogelijk automatisch een privacy pagina toegevoegd worden bij installatie (zie dit ticket). Met de privacy pagina kun je dan mogelijk in aan de AVG wetgeving, aan het criteria voor het vragen van toestemming, voor het verwerken van ip adres als persoons gegevensverwerking gaan voldoen door dat o.a. te vermelden naast het gebruik van sessie cookies.
Op 9 januari 2018 is een beveiligingslek beschikbaar gemaakt met een gigantische potenti\u00eble impact. Dit is namelijk een hardware ontwerp dat in iedere processor van vooral Intel processors zit sinds 19951. Op 9 januari werden officieel zowel ‘Meltdown’ hardware ontwerp fout als ‘Spectre’ hardware ontwerp fouten wereldkundig gemaakt. Zowel de meltdown als Spectre processor hardware ontwerp fout staan het toe ongeautoriseerd geheugen gedeelte uit te lezen. AMD en sommige ARM processors zijn hierbij niet kwetsbaar voor de ‘Meltdown’ hardware ontwerp fout. Met zowel de Meltdown als Spectre processor hardware ontwerp fout kan er mogelijk gevoelige informatie gedeeld worden die niet toegankelijk had moeten zijn waaronder sessie tokons, wachtwoorden en asymmetrische priv\u00e9 sleutels en meer.
\nEen softwarematige ‘workround'(niet ideale oplossing) is wel uit gebracht voor verschillende besturingssystemen om ervoor te zorgen dat informatie niet meer beschikbaar is voor gebruik, van de onvermijdelijk te gebruikte van de processor optimalisatie(speculative execution) die het beveiligingslek bevat. Maar dat geeft wel prestatie nadelen dat geheugen steeds opnieuw geladen en verwijderd moet worden. Het is echter onmogelijk een oplossing voor hardware ontwerp fouten van processors te maken gezien de processor daarvoor terug naar de fabriek moet. Vooral alles dat gebruik maakt van het principle of least privilege(denk virtuele machines, sandboxes) zal de beveiligings-impact van deze processor ontwerp fout ondervinden omdat geheugen nu niet meer garanderend gescheiden is als er onbetrouwbare uitvoerbare code uitgevoerd kan worden. Dit kan ook javascript/ECMAscript zijn vandaar dat ook webbrowsers met workrounds moeten komen. In feit kan je veel updates verwachten omdat voor de Spectre hardware ontwerp een nieuwe update voor echt alle software nodig is tenzij de optimalisatie op de processor weet uit weet te schakelen of te veranderd om de benodige controlle toe te voegen wat mogelijk met een microcode update (hopelijk?) nog kan.
\n1 Behalve Intel Itanium en Intel Atom processors van voor 2013.
Vanaf Firefox versie 57 zal het niet meer mogelijk zijn oude extensie’s voor de webbrowser te gebruiken.![\"Logo](\"https://static.d9ping.nl/img/webassembly.png\")
Het voordeel van de nieuwe webassembly extensie is dat ze zowel voor Firefox als voor Egde als voor Chrome en Opera werken. Daarnaast hebben de webassembly extensie meer speficieke rechten in de webbrowser waardoor er minder vertrouwen in een webassembly extensie nodig is. Immer een extensie die niet om de rechten vraagt om webpagina aan te passen kan dat ook niet. Echter zijn er nog altijd veel extensie’s die herschreven moeten worden om te kunnen werken in Mozilla Firefox versie 57 en hoger. En sommige extensie’s zullen ook niet meer kunnen werken omdat de dingen die ze in het ouden extensie api, geen rechten meer voor (kunnen) zijn in de nieuwe webassembly extensie api. Zo zal onder andere de NoScript extensie niet meer werken om voornamelijk Javascript/ECMAScripts te blokkeren en whitelisten. Als alternative kankon er uMatrix(gestopt) gebruikt worden, dat het mogelijk maakt via een tabel: script, plugins en CSS e.d. te blokkeren. Ook de extensie refControl om aan te passen voor welke website je wel of niet referer HTTP headers je verstuurt zal niet meer werken. In plaats daarvan is het mogelijk de webassembly extensie Referer Control te installeren. Ook extensie Cookies Manager+ die uitgebreider cookies kan tonen en filteren zal niet meer werken met Firefox versie 57. In plaats daarvan kan je de Cookie Manager webassembly extensie als alternatief gebruiken. Er zijn nog vele andere extensie die niet meer werken (o.a. imagezoom en betterprivacy), aan sommige extensie zoals bijvoorbeeld KeeFox extensie wordt er (voorlopig?)een andere naam, namelijk: Kee voor de webassembly extensie gebruikt. Als Firefox 57 mogelijk binnenkort uitgegeven wordt zullen er een heleboel mensen het even eerst met wat minder extensies moeten doen. Misschien is dit ook eens een goede tijd om je gebruiken extensie’s na te lopen en te gaan kijken er geen beter alternatief is.
Mozilla heeft Firefox 55 uitgebracht. Deze nieuwe versie brengt naast een aantal nieuwe mogelijk ook een aantal belangrijke wijzigen.
\nZo worden gebruikers van de 32bits versie browser op een processor die 64bits is nu door de installatie standaard de 64bits versie van Firefox geinstalleerd. Het veiligheids voordeel van 64bits software op een 64bits besturingssysteem en processor is dat er meer geheugen adres ruimte gebruikt kan worden om geheugen veilig onvoorspelbaar in het geheugen neer te zetten met ASLR. Daarnaast is het ook mogelijk veiliger doordat 32bits emulatie laag voor de 64bits processor voor het process/firefox niet meer nodig is.
\nOok heeft mozilla gewijzigd dat ingetoetst adressen op de adresbalk nu standaard https(TLS/SSL) gaan gebruiken.![\"Adresbalk](\"https://static.d9ping.nl/img/https_firefox.png\")
\nHet is al zo dat sinds de introductie van Let’s encrypt het gebruik van surfen op het web over een beveiligde verbinding flink is toegenomen.
\nMaar juist door nu standaard https te gebruiken, zonder dat de gebruiker dit aangeeft, zal het gebruik van https daarmee ook de veiligheid van het web verder toenemen. Toch kan het gebruik van standaard https ook problemen veroorzaken. Dit gebeurd wanneer er op de https versie een andere onbedoelde website geconfigureerd is. Dit komt vaak doordat men nog geen HTTP 1.1 of hoger gebruikt of men de host header die de bedoelde beveiligde website aangeeft wanneer er mogelijk meerdere https websites op hetzelfde ip adres gebruikt zijn niet door de webserver software verwerkt wordt. Dus zowel server als webbrowser moeten HTTP 1.1 en TLS(met SNI, dat SSL 3.0 niet heeft) ondersteunen voordat dit altijd goed gaat.
\nHTTP 1.1 is nu al zo oud en TLS 1.0 en hoger is nu al zo standaard geworden dat dit gelukkig meestal wel altijd het geval is nu.
Er is een beveiliging probleem in de Intel Active Management Technologie(AMT) gevonden van Intel processoren. Alle processoren na 2008 met vPro kunnen hiermee uitgerust zijn. De Intel Active Management Technologie(AMT) wordt voornamelijk gebruikt door bedrijven om zakelijke computers te beheren.
\nDoor dit beveiliging probleem is het mogelijk om zonder wachtwoord een computer met een Intel processor die AMT aan heeft staan in EUFI/BIOS op afstand o.a. te wissen of vergrendelen. En dit kan zelfs als die uit staat maar wel een LAN verbinding heeft omdat de Intel AMT firmware onafhankelijk van het besturingssysteem kan werken. Intel heeft een programmaatje voor Windows ontwikkelt om te testen of je huidige Intel processor die het programma uitvoert kwetsbaar is voor dit beveilingslek.
De U2F(uniniversal two factor) is een redelijk nieuwe standaard voor twee factor authenticatie die better werkt dan de voorheen veel gebruikte HOTP en TOTP standaard.
\nZowel de oude HOTP als de oude TOTP standaard maken beide gebruik van een gedeeld geheim tussen de inlog dienst en het apparaat bij HOTP of met software (en mogelijk ook hardware) bij TOTP.
\nDe HOTP standaard is de een hardware apparaat dat op basic van het aantal keer dat het gebruikt(een teller) wordt steeds een nieuwe code geeft. Daarmee heeft HOTP een probleem dat als het HOTP apparaat ook voor andere dienst wordt gebruikt en die dienst veel gebruikt wordt en de andere dienst veel weinig. De teller dat het aantal keer dat het HOTP apparaat gebruikt wordt bijhoudt, dan tussen de diensten te veel afwijkt van de andere dienst waardoor die niet meer werkt. Het HOTP apparaat teller is dan verder door dan de dienst die niet veel gebruikt wordt verwacht. Bij TOTP kan dit probleem niet optreden doordat er niet gebruikt wordt gemaakt van een teller maar van de huidige datum en tijd. Maar daarmee heeft TOTP het probleem dat het vaak niet geschikt is voor op goedkope hardware om te gebruiken omdat dat een batterij en realtime klok vereist. TOTP wordt daarom vaak als software/app op een smartphone gebruikt. Als het besturingssysteem waarop de TOTP app draait echter een onjuiste datum en tijd geeft of de twee factor authenticatiede dienst een onjuiste datum of tijd dan kan ook niet ingelogd worden. Daarnaast is de TOTP code vanwege het gebruik van software i.v.p. hardware mogelijk kwetsbaarder doordat het gewijzigd kan worden. Een smart phone geeft niet vaak alle beveiligings-updates. Echter heeft TOTP wel het belangrijke voordeel dat het niet mogelijk is dezelfde code buiten het interval van 30 seconden waarop een nieuwe TOTP 6 cijferige code gegeneerd wordt opnieuw (her)gebruikt kan worden. U2F ken de grootste problemen die de TOTP en HOTP twee factor authenticatie hebben niet doordat het gebruik maakt van asymmetrische cryptografie i.p.v een gedeeld geheim. Hierdoor kan er bij een database lek de twee factor authenticatie bij U2F niet omzeilt worden doordat de database van de dienst alleen de publieke sleutel van het U2F apparaat bevat. De geheime sleutel van een U2F apparaat blijft daarmee altijd op het apparaat opgeslagen en mag het apparaat nooit verlaten.
\n![\"Tabel](\"https://static.d9ping.nl/img/hotp_vs_totp_u2f.png\")
Inmiddels is PHP versie 7.1 alweer uitgegeven. In deze nieuwe minor update zijn de verschillende return types van een functie uitgebreid. Zo is het mogelijk om nu mogelijk in PHP om een functie geen return type te laten teruggeven met void zoals ook in vele andere programmeertalen het geval is. Ook is de Eval(is Evil ![\"\ud83d\ude09\"](\"https://s.w.org/images/core/emoji/17.0.2/72x72/1f609.png\")
) optie in de functie’s mb_ereg_replace() en mb_eregi_replace() nu als verouderd aangemerkt. Als laatste wordt de mcrypt extensie voor PHP uitgefaseerd in plaats daarvan kun je de OpenSSL functies gebruiken.
Sinds dit jaar heeft o.a. google een nieuwe ontwerp voor een standaard voor: SMTP Strict Transport Security. De beveiliging van SMTP is momenteel nog niet goed doordat bij het gebruikte STARTTLS het opzetten van een SMTP sessie tussen twee mailservers(MTA) en van een client(MUA) naar een mailserver(MTA) bijna altijd opportunistische encryptie(ongeldig of ongevalideerd certificaat) en/of onversleutelde verbindingen toelaat. Dit komt vooral vanwege de noodzakelijke compatibiliteit met andere mailservers(MTA) en misgeconfigreerde mail clienten(MUA). (Zorg ervoor dat je poort 587/submission met STARTTLS gebruikt en niet poort 25 voor e-mail verzending gebruikt). Wat betreft de communicatie tussen mailservers over poort 25 is de harde keuze is er alleen de keuze voor wel of geen e-mail uitwisselen als de verbinding alleen onveilig(bij geen STARTTLS ondersteuning) opgezet kan worden.
\n![\"TLS](\"//static.d9ping.nl/img/strict-transport-security.png\")
\nEr bestaat al enige jaren de HTTP Strict Transport Security header. Deze HTTP header wordt gezet na het opzetten van een veilige HTTPS connectie en zorgt ervoor de webbrowser voor een lange tijd onthoudt om alleen veilig verbindingen te maken met die website. Op die manier zal er bij terugkomst op de website nooit een downgrade van een veilige verbinding naar een onveilige verbinding kunnen plaatsvinden. De HTTP header wordt echter wel na een veilige HTTPS sessie gezet. Bij SMTP STARTTLS is dit niet mogelijk omdat de verbinding begint met een onveilige SMTP verbinding om te onderhandelen of dat encryptie gebruikt gaat worden. Nu maakt SMTP strict transport security gebruik van een TXT DNS record om het SMTP Strict Transport Security beleid te vinden op een subdomain _mta_sts.
\nEen mailserver die een e-mail naar een andere mailserver gaat versturen moet immer toch al via DNS het ip adres van de mailserver om mee te verbinden opzoeken. Maar omdat DNS onveilig is als er geen DNSsec gebruikt wordt moet dit DNS record weer gevalideerd worden met een JSON beleid over HTTPS. Want wanneer er geen DNSsec gebruikt op het domain moet nu het hele HTTPS protocol gebruikt gaan worden om de authenticiteit en integriteit van een SMTP Strict Transport Security DNS record te kunnen garenderen. Het SMTP Strict Transport Security lijkt me momenteel zonder DNSsec nog niet eenvoudig te implementeren wat het gebruik en de adoptie ervan voorlopig in de weg kan zitten. Wat jammer is want DNSsec en vooral DANE wordt nog steeds vaak niet ondersteund. Voorlopig blijft daarom e-mail verkeer tussen mail servers bijna altijd niet volledig veilig beveiligd.
![\"Krita](\"//static.d9ping.nl/img/krita.png\")
Er is nieuwe major versie 3.0 van open source teken programma Krita beschikbaar. Dit teken programma heeft vele kwasten en zelfs de mogelijkheid om gif animaties te maken. Krita is beschikbaar voor zowel linux, windows en mac os. En zowel 64bits als 32bits. De vele mogelijkheden die Krita nu heeft maakt de nieuwste versie van Krita een echte concurrent voor Photoshop geworden is. Let wel op dat dit programma vrij zwaar voor minder krachtige computers. Er is nu ook versie 3.0.1 uit is om verschillende bugs te verhelpen. Maar voor wie een opensource alternatief voor Photoshop zoekt kan Krita downloaden en proberen het zeker waard.
Vanaf 2017 worden alle http:// pagina’s onder de google chrome(en chromium) webbrowser als onveilig weergegeven als er een invoer veld op staat. Dit betekend dat er nog meer noodzakelijk wordt voor webontwikkelaars al het web verkeer standaard over https aan te bieden. Het is gelukkig mogelijk gratis een certificaat te krijgen met o.a.: \u00a0 Let’s Encrypt of anders StartCom(gestopt). Het Chinese WoSign geef ook gratis certificaten maar met deze certificaat authority zijn nogal wat probleempjes mee. Let’s Encrypt is makkelijk in gebruik als je beheer over de webserver hebt. Google zoekrobots gaven website’s die https gebruiken al een iets hogere vindbaarheid. Maar nu zal ook iedereen zich gaan storen aan de waarschuwing vanaf 2017 als je webpagina nog ongeautoriseerd en onversleuteld niet over https beschikbaar is. Omdat Chrome tegenwoordig een groot marktaandeel heeft qua webbrowser zal dit leiden tot een grote toename van https gebruik. Gaat het hele web dan nu wel over op https? Omdat ik niet wil dat deze website vanaf 2017 als onveilig getoont wordt ben ik alvast een Let’s encrypt certificaat gaan gebruiken i.v.p. een niet standaard vertrouwd certificaat.
![\"Ubuntu](\"//static.d9ping.nl/img/ubuntu_cirkel_of_friends.png\")
Canonical heeft de nieuwe Long Term Support/LTS versie van Ubuntu uitgegeven. Dit is de eerste Ubuntu LTS versie die Systemd gebruikt. Systemd is een process dat alle processes die opgestart worden beheerd. Traditioneel werdt door Ubuntu onder andere gebruik gemaakt van de init.d scripts die door de verschillende runtime levels die de kernel heeft bij het opstarten verschillende simpele bash scripts uitvoerd. Hierna werdt Upstart gebruiken en nu in Ubuntu 16.04 LTS wordt Systemd gebruikt. Een voordeel aan Systemd is dat processes bij het opstarten nu dynamischer(sneller?) van elkaar gestart kunnen worden. Daarnaast bevat Systemd ook de mogelijkheid processes die door Systemd gestart zijn te monitoren. Zo kan Systemd de webserver dan automatisch laten herstarten als bijvoorbeeld die gecrasht is. Maar Systemd is door de redelijke complexiteit ook conversationeel er is zelf een nieuwe linux distro uitgebracht zonder Systemd. Daarnaast is het met cron en bash scripts ook mogelijk processen die crashen automatisch te herstarten. En de verschillende kernel runtime levels gebruiken bied meer controleren over wat er dan wel en niet gestart is. Ubuntu 16.04 LTS maak verder gebruik van de stabiele Linux version 4.4 kernel. Verder is er standaard ondersteuning voor het ZFS bestandssysteem. Dit is een bestandssysteem dat bekend staat deduplicatie te kunnen doen en daarnaast data integriteit automatische bij te houden. Daarnaast is het nu mogelijk ‘apps’/programma’s via Snappy te installeren. Dit is een manier om programma’s veilig ge\u00efsoleerd van de rest van het besturingssysteem te installeren maar maakt wel nog gebruik van dezelfde kernel als de rest van het systeem en software raamwerken, zoals Mono/Python etc., kunnen gedeeld worden tussen Snappy ‘app’/programma’s. Daarnaast komt de standaard Ubuntu 16.04 LTS versie met grafische Unity 8 desktop omgeving, zonder het standaard zoeken op Amazon en met de mogelijkheid de launcher overal te plaatsen waar je wilt. Ubuntu 16.04 LTS is de download vanaf de offici\u00eble website van Ubuntu.
Sinds Safe Harbor adequacy decision niet meer geldig is, is er in redelijke haast gemaakt het alternatief het “Privacy Shield” adequacy decision te introduceren om toch Europese data op Amerikaanse servers op te mogelijk slaan zonder model overeenkomst. De directe gevolgen van het ongeldig verklaren van Safe Harbor adequacy decision valt in de praktijk tot nu toe nog erg mee. Maar of het nieuwe “Privacy Shield” niet met een zelfde argument als waarop Safe Harbor ongeldig verklaart is ook ongeldig verklaart kan worden is niet uitgesloten. Alhoewel er nu extra limieten zijn aan de Amerikaanse inlichtingen diensten om Europees data te doorgronden blijft het slechts een limiet en geen garantie. Er is o.a. tegenspraak/gedraai maar men zal nu wel wat explicieter in het echte document moeten zijn.
![\"php_custom_logo\"](\"//static.d9ping.nl/img/php_custom_logo.png\"){kind=logo}
Er is een nieuwe major versie van de populaire PHP taal uitgegeven. De major versie is van 5.x naar 7.0 gegaan als stabiele versie nummer.
\nDe 6.x versie van PHP heeft wel bestaan maar er is nooit een stabiele, algemeen beschikbare versie van uitgegeven omdat het vooral gebruikt werd om mee te experimenteren met o.a. unicode ondersteuning (al sinds 2005). Enkele mogelijkheden zijn uiteindelijk aan PHP versie 5.3, 5.4, 5.5 en 5.6 is toegevoegd.
\nNu wordt dus versie 7.0 uitgegeven. Een belangrijke vernieuwing is in PHP 7.0 is de mogelijkheid om return datatypes op te geven. Nieuwere versie’s van PHP bieden vaker strong typing mogelijkheden omdat strong typing o.a. sneller is. Ook zijn verschillende nieuwe operators aan PHP 7 toegevoegd waaronder: de null coalescing operator en de spaceship operator. Ook is het nu mogelijk net als Java en C# anonieme klasses aanmaken dit kan in PHP 7 met de new class keywords. Daarnaast bevat PHP 7.0 nu de random_bytes en random_int functies voor een cryptografische veilige pseudo random generator(in tegen stelling tot rand en mt_rand die niet cryptografische veilige zijn) en deze functies zijn niet afhankelijk van openssl(de openssl_random_pseudo_bytes functie).
\nZie de lijst met nieuwe features van PHP 7.0.
![\"cookie](\"//static.d9ping.nl/img/cookie_cookiemonster.png\")
Hallo webmasters, webdesigners en ontwikkelaars etc. Laten we het defacto eens worden, dat we de cookie permissie gegeven cookie, de naam CONSENT geven. Ja dat is de cookie die geplaatst wordt met als enige doel om te onthouden of je cookies mag plaatsen.
\nAls we afspreken de naam CONSENT te gebruiken dan bespaart dit mogelijk ellende bij iedereen die ge\u00efrriteerd wordt van al die cookie meldingen. Omdat als dit voor iedere site die mee doet gebruikt wordt het voor de gebruiker van het web mogelijk makkelijker wordt alleen deze cookies van alle cookies te beheren. Dit kan zeker handig zijn voor gebruikers die alle cookie willen gaan opschonen van behalve die CONSENT cookies zodat ze niet opnieuw toestemming moeten gaan geven waarvoor de gebruiker al toestemming gegeven heeft.
Het Safe harbor verdrag(95/46/EC) tussen de Verenigde Staten en de Europese Unie is door het Europese hof ongeldig verklaart omdat het verdrag niet voldoende kan garanderen dat de gegevens van burgers uit de Europese Unie(EU) qua privacy maatstaven van de Europese Unie veilig genoeg zijn in de Verenigde Staten (bron). Uit lekken van inlichtingen diensten uit de Verenigde Staten blijkt dat er slechts onderscheid wordt gemaakt tussen burger uit de Verenigde Staten of geen burger uit de Verenigde Staten. Er was geen ‘een burger van de Europese Unie of Zwitserland’-optie/behandeling zover we tot nu toe weten. Dit betekend in feit dat het opslaan van priv\u00e9 gegevens van burgers uit de Europese Unie in de Verenigde Staten nu mogelijk niet meer toegestaan is. Echter denk ik dat dit voorlopig nog niet van toepassing is, gezien: Frans Timmermans, V\u011bra Jourov\u00e1 (bron) en het CBP hier tot februari 2016 hier nog geen acties tegen gaan ondernemen. Dit zodat er nog wat tijd is voor een nieuw en beter ‘Safe Harbor 2.0’-verdrag.
\n", "date_published": "2015-10-18T22:01:17+00:00", "date_modified": "2016-03-08T11:54:20+00:00", "author": { "name": "d9ping" } }, { "id": "https://www.d9ping.nl/2015/09/apple-lanceert-een-digitale-pen/", "url": "https://www.d9ping.nl/2015/09/apple-lanceert-een-digitale-pen/", "title": "Apple lanceert een digitale pen", "content_html": "![\"pencil\"](\"//static.d9ping.nl/content/uploads/pencil.png\")
Apple heeft een digitale pen/stylus gelanceerd genaamd Apple Pencil. Steve jobs was bij de introductie van de iPhone in 2007 altijd tegen het gebruik van een pennetje op het aanraakscherm van de iPhone. De Apple Pencil is wel wat anders dan een plastic staafje dat Jobs niet wilde. Deze pen heeft namelijk een druk en hoeksensor. Door de druk sensor is het mogelijk de dikte van het getekende lijntje aan te passen. Door de hoek sensor is het ook mogelijk de lijn dikte aan te passen zoals een kwast die je scheef houdt om een groter oppervlakte te beschilderen. Door touchscreen van het beeldscherm, de druksensors van de pen en de hoeksensors van de pen te combimeren krijg je een pen die aan moet voelen als een echte: pen, kwast of potlood in de echte wereld maar dan sla je het meteen digitaal op. De Apple Pencil gaat op een volle batterij ongeveer 12uur mee volgens Apple. En de Apple Pencil laadt met 15 seconden laden voor ongeveer 30 minuten gebruik op. Ik verwacht dat de Apple Pencil eerst vooral eerst gericht zal zijn op een groep van mensen die veel met digitale fotobewerking doen en die ook al de vereiste een iPad Pro hebben. Bekijk de eerste indruk video.
Op 29 juli heeft Microsoft Windows 10 vrijgegeven. Windows 10 wordt door Microsoft als een gratis upgrade voor Windows 8.1/8 en 7 gebruikers beschikbaar gesteld. Hiervoor kregen Windows 8.1/8 en 7 gebruikers al een meldingsicoontje(door update KB3035583) in hun systray die hiervoor melding maakt. Windows 10 brengt voor windows 8.1 en windows 8 gebruikers het startmenu terug en de klassieke desktop is nu de standaard desktop. Maar de modern(voorheen: metro) interface concept is echter niet helemaal verdwenen. Zo zijn er in Windows10 (live)tegels in het startmenu verwerkt, waardoor je in het nieuwe startmenu van Windows 10 nog steeds een windows8/8.1 ervaring hebt. Verder is er in Windows 10 ook nog steeds een App store voor modern(metro) Windows programma’s. En het is qua grafische ontwerp nog steeds redelijk goed vertrouwd aan Windows 7. Ook is er in Windows 10 het configuratiescherm terug gebracht naar 1 configuratiescherm. In Windows 8/8.1 was er een apart configuratie scherm gedeelte voor de modern(voorheen metro)interface instellingen en een voor de klassieke interface. In Windows 10 is dit nu enigszins logischer samengebracht. Het configuratie scherm is iets moderner gemaakt maar lijkt toch nog vertrouwd op het oude configuratiescherm van windows7. Ook heeft windows10 nu de mogelijkheid om meerdere virtuele desktops te gebruiken zoals op verschillende linux grafische desktops(KDE, Gnome XFCE etc.) mogelijk is. Technisch gezien voor gamers is interessant om te vermelden dat Windows 10 geleverd wordt met DirectX 12 wat veel snellere en redelijk energie zuiniger API voor de grasfichekaart is t.o.v vorige versies van DirectX. Ook komt Windows 10 met een nieuwe extra webbrowser genaamd Edge (had voorheen project titel: Spartan). Deze nieuwe webbrowser komt naast Internet Explorer beschikbaar op Windows10 zodat Internet Explorer nog steeds gebruikt kan worden voor oude website’s die daar alleen met IE werken. Edge is een snelle moderne webbrowser die zich goed aan de webstandaard houdt. Zo ondersteunt Edge javascript promises wat vooral ajax code veel eleganter(leesbaarder) kan maken. Edge is ook snel in sommige benchmarks. Edge is ook een stuk veiliger dan Internet Explorer doordat het geen ondersteuning meer biedt voor ActiveX. ActiveX componenten werdt in het verleden gebruikt voor programma’s in de webbrowser te draaien en staat bekent als redelijk onveilige technologie. Verder heeft Edge met de mogelijkheid om extensies te installeren, net zoals Firefox en Chrome. Als laatste komt Windows 10 nog met een digitale assistente. Deze digitale assistente, genaamd Cortana, kun je dingen laten doen door voice control(microfoon vereist) of voor zoeken. Omdat Cortana veel kan, heb ik nog mijn bedenkingen voor de privacy gevolgen van Cortana gebruik. Anderzijds veel intelligentie offline opslaan en up to date is denk ik ook onpraktisch. Dus voor degene die meteen upgraden naar Windows 10, het is zeker aan te raden de privacy instellingen goed door te lopen. Windows 10 brengt vele verbeteringen qua grafische interface uit de lessen van Windows8 getrokken zijn. Verder zijn een paar leuke toevoegingen en bedenkelijke toevoegingen maar uiteindelijk is het waarschijnlijk het upgraden het wel waard omdat het gratis is. Maar alleen je het juist doet zonder alle standaard privacy schendingen in windows10.
\n", "date_published": "2015-07-30T00:33:10+00:00", "date_modified": "2015-09-05T11:14:18+00:00", "author": { "name": "d9ping" } } ] }