Categorieën

Recente berichten

CONSENT cookie

december 9th, 2015 • CodeReacties uitgeschakeld voor CONSENT cookie

cookie cookiemonsterHallo webmasters, webdesigners en ontwikkelaars etc. Laten we het defacto eens worden, dat we de cookie permissie gegeven cookie, de naam CONSENT geven. Ja dat is de cookie die geplaatst wordt met als enige doel om te onthouden of je cookies mag plaatsen.
Als we afspreken de naam CONSENT te gebruiken dan bespaart dit mogelijk ellende bij iedereen die geïrriteerd wordt van al die cookie meldingen. Omdat als dit voor iedere site die mee doet gebruikt wordt het voor de gebruiker van het web mogelijk makkelijker wordt alleen deze cookies van alle cookies te beheren. Dit kan zeker handig zijn voor gebruikers die alle cookie willen gaan opschonen van behalve die CONSENT cookies zodat ze niet opnieuw toestemming moeten gaan geven waarvoor de gebruiker al toestemming gegeven heeft.

Safe harbor verdrag ongeldig verklaart

oktober 19th, 2015 • Privacy1 Reactie »

Het Safe harbor verdrag(95/46/EC) tussen de Verenigde Staten en de Europese Unie is door het Europese hof ongeldig verklaart omdat het verdrag niet voldoende kan garanderen dat de gegevens van burgers uit de Europese Unie(EU) qua privacy maatstaven van de Europese Unie veilig genoeg zijn in de Verenigde Staten (bron). Uit lekken van inlichtingen diensten uit de Verenigde Staten blijkt dat er slechts onderscheid wordt gemaakt tussen burger uit de Verenigde Staten of geen burger uit de Verenigde Staten. Er was geen ‘een burger van de Europese Unie of Zwitserland’-optie/behandeling zover we tot nu toe weten. Dit betekend in feit dat het opslaan van privé gegevens van burgers uit de Europese Unie in de Verenigde Staten nu mogelijk niet meer toegestaan is. Echter denk ik dat dit voorlopig nog niet van toepassing is, gezien: Frans Timmermans, Věra Jourová (bron) en het CBP hier tot februari 2016 hier nog geen acties tegen gaan ondernemen. Dit zodat er nog wat tijd is voor een nieuw en beter ‘Safe Harbor 2.0’-verdrag.

Apple lanceert een digitale pen

september 25th, 2015 • IT nieuwsReacties uitgeschakeld voor Apple lanceert een digitale pen

pencilApple heeft een digitale pen/stylus gelanceerd genaamd Apple Pencil. Steve jobs was bij de introductie van de iPhone in 2007 altijd tegen het gebruik van een pennetje op het aanraakscherm van de iPhone. De Apple Pencil is wel wat anders dan een plastic staafje dat Jobs niet wilde. Deze pen heeft namelijk een druk en hoeksensor. Door de druk sensor is het mogelijk de dikte van het getekende lijntje aan te passen. Door de hoek sensor is het ook mogelijk de lijn dikte aan te passen zoals een kwast die je scheef houdt om een groter oppervlakte te beschilderen. Door touchscreen van het beeldscherm, de druksensors van de pen en de hoeksensors van de pen te combimeren krijg je een pen die aan moet voelen als een echte: pen, kwast of potlood in de echte wereld maar dan sla je het meteen digitaal op. De Apple Pencil gaat op een volle batterij ongeveer 12uur mee volgens Apple. En de Apple Pencil laadt met 15 seconden laden voor ongeveer 30 minuten gebruik op. Ik verwacht dat de Apple Pencil eerst vooral eerst gericht zal zijn op een groep van mensen die veel met digitale fotobewerking doen en die ook al de vereiste een iPad Pro hebben. Bekijk de eerste indruk video.

Microsoft lanceert Windows10

juli 30th, 2015 • IT nieuws1 Reactie »

Op 29 juli heeft Microsoft Windows 10 vrijgegeven. Windows 10 wordt door Microsoft als een gratis upgrade voor Windows 8.1/8 en 7 gebruikers beschikbaar gesteld. Hiervoor kregen Windows 8.1/8 en 7 gebruikers al een meldingsicoontje(door update KB3035583) in hun systray die hiervoor melding maakt. Windows 10 brengt voor windows 8.1 en windows 8 gebruikers het startmenu terug en de klassieke desktop is nu de standaard desktop. Maar de modern(voorheen: metro) interface concept is echter niet helemaal verdwenen. Zo zijn er in Windows10 (live)tegels in het startmenu verwerkt, waardoor je in het nieuwe startmenu van Windows 10 nog steeds een windows8/8.1 ervaring hebt. Verder is er in Windows 10 ook nog steeds een App store voor modern(metro) Windows programma’s. En het is qua grafische ontwerp nog steeds redelijk goed vertrouwd aan Windows 7. Ook is er in Windows 10 het configuratiescherm terug gebracht naar 1 configuratiescherm. In Windows 8/8.1 was er een apart configuratie scherm gedeelte voor de modern(voorheen metro)interface instellingen en een voor de klassieke interface. In Windows 10 is dit nu enigszins logischer samengebracht. Het configuratie scherm is iets moderner gemaakt maar lijkt toch nog vertrouwd op het oude configuratiescherm van windows7. Ook heeft windows10 nu de mogelijkheid om meerdere virtuele desktops te gebruiken zoals op verschillende linux grafische desktops(KDE, Gnome XFCE etc.) mogelijk is. Technisch gezien voor gamers is interessant om te vermelden dat Windows 10 geleverd wordt met DirectX 12 wat veel snellere en redelijk energie zuiniger API voor de grasfichekaart is t.o.v vorige versies van DirectX. Ook komt Windows 10 met een nieuwe extra webbrowser genaamd Edge (had voorheen project titel: Spartan). Deze nieuwe webbrowser komt naast Internet Explorer beschikbaar op Windows10 zodat Internet Explorer nog steeds gebruikt kan worden voor oude website’s die daar alleen met IE werken. Edge is een snelle moderne webbrowser die zich goed aan de webstandaard houdt. Zo ondersteunt Edge javascript promises wat vooral ajax code veel eleganter(leesbaarder) kan maken. Edge is ook snel in sommige benchmarks. Edge is ook een stuk veiliger dan Internet Explorer doordat het geen ondersteuning meer biedt voor ActiveX. ActiveX componenten werdt in het verleden gebruikt voor programma’s in de webbrowser te draaien en staat bekent als redelijk onveilige technologie. Verder heeft Edge met de mogelijkheid om extensies te installeren, net zoals Firefox en Chrome. Als laatste komt Windows 10 nog met een digitale assistente. Deze digitale assistente, genaamd Cortana, kun je dingen laten doen door voice control(microfoon vereist) of voor zoeken. Omdat Cortana veel kan, heb ik nog mijn bedenkingen voor de privacy gevolgen van Cortana gebruik. Anderzijds veel intelligentie offline opslaan en up to date is denk ik ook onpraktisch. Dus voor degene die meteen upgraden naar Windows 10, het is zeker aan te raden de privacy instellingen goed door te lopen. Windows 10 brengt vele verbeteringen qua grafische interface uit de lessen van Windows8 getrokken zijn. Verder zijn een paar leuke toevoegingen en bedenkelijke toevoegingen maar uiteindelijk is het waarschijnlijk het upgraden het wel waard omdat het gratis is. Maar alleen je het juist doet zonder alle standaard privacy schendingen in windows10.

Facebook ondersteunt OpenPGP

juni 1st, 2015 • PrivacyReacties uitgeschakeld voor Facebook ondersteunt OpenPGP

gnupg emblemFacebook heeft (experimentele) ondersteuning voor OpenPGP toegevoegd.
Door je publieke OpenPGP sleutel op bij je Facebook profiel toe te voegen is het voor Facebook mogelijk je OpenPGP versleutelde e-mail te versturen. Hierdoor is bijvoorbeeld de wachtwoord reset functie veiliger te gebruiken. Doordat de e-mail van Facebook ondertekent is met de Facebook OpenPGP sleutel weet je zeker dat de e-mail echt (bewijsbaar) van van Facebook afkomst is. En iemand die het e-mail verkeer kan afluisteren zal niet de inhoud van je e-mail van Facebook in kunnen zien. De wachtwoord reset links met geheime code bij verificatie van je e-mail adres (o.a. als je wachtwoord vergeten bent) zijn daarmee dus ook een stuk veiliger verzonden. Maar het is wel alleen zo veilig als dat je privé sleutel beschermt wordt en de zorgvuldigheid van het vaststellen van echtheid, de verificatie van de Facebook publieke sleutel.

Het HTTP protocol krijgt een update

maart 27th, 2015 • Overig1 Reactie »

http2Na de experimenten door Google met het SPDY protocol de basic van het protocol voor HTTP/2 protocol gebruikt.
HTTP/2 is verbetert op het punt dat het maar 1 TCP verbinding per webserver nodig heeft voor ieder verzoek aan de webserver nodig heeft.
Dit zorgt ervoor dat het niet meer nodig is om voor alle inhoud van een webpagina een aparte verbind op te zetten maar nu alles via multiplexing over 1 TCP verbinding verstuurt kan worden. Hierdoor zal een pagina met bijvoorbeeld veel kleine afbeelding onder HTTP/2 aanzienlijk sneller zijn dan onder voorgaande in voorgaande versie’s van het HTTP protocol. In HTTP 1.1 en 1.0 hadden was er origineel een limit van 2 gelijktijdige verbinden per webserver waardoor veel dingen volgens de origineel standaard niet gedownload konden worden totdat het downloaden van de inhoud van twee verbindingen klaar was. Dit werd in HTTP1.1 al met HTTP Pipelining enigszins opgelost maar het was nog niet ideaal. Verder hadden veel webbrowser al het limit verhoogd van 2 naar 6 of 8 gelijktijdige verbinden per server om te verkomen dat het laden van een website langzaam was doordat het downloaden van een verbinding nog niet klaar was waardoor de webbrowser niet gelijktijdig alvast iets anders kan gaan downloaden.
Echter is het ophogen van het aantal TCP verbindingen ook niet ideaal omdat iedere TCP verbinding een file descriptor en een poort vereist en daar is voor de server en client een limiet aan. En is daarnaast het opzetten van iedere TCP verbinding langzaam mede door de vereiste 3-Way handshake van TCP. Door het gebruiken van multiplexing in HTTP/2 is er geen langzame extra TCP verbinding nodig voor iedere webserver waarmee je verbind.
Verder gebruikt het HTTP/2 protocol het HPACK compressie algoritme voor het nu comprimeren van HTTP headers waardoor er minder informatie gedownload hoeft te worden. De volledige specificatie van HTTP/2 zijn op github te vinden.
Http/2 is nu officieel vastgelegd in RFC 7450.

Contactloos betalen, is het wel veilig?

december 31st, 2014 • PrivacyReacties uitgeschakeld voor Contactloos betalen, is het wel veilig?

Veel banken hebben hun klanten of gaan hun klanten een nieuwe pinpas geven waarmee contactloos betaald kan worden in 2015.
Het contactloos betalen moet het mogelijk maken af te rekenen door slechts je pinpas kortstondig bij een betaalautomaat te houden en dan is géén pincode nodig en je hebt betaald. Zeer gemakkelijk dus voor consumenten om te betalen maar niet meer zo bewust.
Er zou een limiet van 25 euro per transactie of 50 euro per dag aan het contactloos betalen zitten. Echter blijkt dit limiet niet te werken als je het voor elkaar krijgt een pinapparaat gateway op te zetten dat goedgekeurd is door banken, dan zou je theoretisch elk maximum bedrag per dag met contactloos betalen kunnen afrekenen door een andere valuta te gebruiken. Omdat contactloos betalen erg onbewust gebruikt wordt bij het betalen wordt het nieuwe contactloos betalen ook een nieuw middel voor digitale zakkenrollers. Gelukkig is het opzetten van een goedgekeurde pinapparaat gateway niet makkelijk zolang hierop nog goed toezicht gehouden wordt. En is er een limiet van 50 euro per dag waardoor het verlies beperkt blijftzolang het limiet in euro’s gebruikt wordt. Er zijn ook speciale hoesjes om de RFID chip af te schermen.

update 1: het artikel van newcastle university is verdwenen.

Update 2: aangetoond is het dat door de consumentenbond dat een als particulier momenteel helaas niet erg lastig is een gateway/pin apparaat aan te vragen voor contactloos betalen en dus ook mee contactloos zakkenrollen tot € 50 zonder pincode. Wel blijft de het contactloos zakken rollen (bijna?)nooit anoniem voor de contactloos zakkenroller doordat banken hun klanten kennen met volledig ID/paspoort.

update 2018-12: Geval bekend waarbij digitale zakkenrollen door contactloos betalen gebruikt is.

Vaarwel SSL 3.0, hallo TLS 1.1+

oktober 20th, 2014 • OverigReacties uitgeschakeld voor Vaarwel SSL 3.0, hallo TLS 1.1+

SSL 3.0 gekraaktHet SSL 3.0 protocol met CBC block encryptie is gekraakt. Het zijn werknemers van google erin geslaagd SSL 3.0 versleuteld verkeer te ontsleutelen. De aanval op het SSL 3.0 protocol om beveiling verkeer te ontsleutelen heeft de naam POODLE gekregen (de P in POODLE staat voor Padding). Het SSL 3.0 protocol is inmiddels al 18jaar oud het iets nieuwere TLS 1.0 protocol was in combinaties met CBC block encryptie algoritmes ook al gekraakt met de BEAST aanval. De POODLE aanval op zich zelf lijkt erg op de BEAST aanval om versleuteld TLS 1.0 verkeer met CBC block encryptie te ontsleutelen. Het oude SSL 3.0 protocol bevat in tegen stelling tot het TLS minder functionaliteit zo is het niet mogelijk meerdere SSL website op hetzelfde publieke ip adres te gebruiken iets wat met het nieuwere TLS 1.0/1.1 en 1.2 protocol wel kan. Momenteel is alleen TLS 1.1 en TLS 1.2 protocol nu nog veilig. Om ervoor te zorgen dat SSL 3.0 niet meer gebruikt wordt in Firefox kun je de SSLVersionControl extensie gebruiken of in je adresbalk naar about:config gaan en daar de instelling security.tls.version.min verhogen naar 1. De nog te verwachten Firefox 34 en later zal automatisch deze instelling hebben. Google Chrome gebruikers kunnen chrome opstarten met de –ssl-version-min=tls1 parameter om SSL 2.0 en SSL 3.0 niet meer te gebruiken. Veel webserver gebruiken helaas nog alleen TLS 1.0 dus je webbrowser geen TLS 1.0 laten gebruiken maar wel TLS 1.1 en hoger is, omdat TLS 1.0 dat met CBC block encryptie nog kwetsbaar is voor de BEAST aanval, is helaas nu nog vaak geen oplossing.

Interessante antispam Thunderbird extensie’s

augustus 3rd, 2014 • OverigReacties uitgeschakeld voor Interessante antispam Thunderbird extensie’s

Niet altijd dat de spam filter correct kan bepalen of een email spam of ham(ham=niet spam) is. Er zijn een aantal Thunderbird extensies die je kunnen helpen sneller te bepalen of een bericht spam of ham is.
Tegenwoordig proberen we e-mail zoveel mogelijk  e-mails te autoriseren met DKIM zodat iemand zich niet bewijsbaar voor kan doen als een e-mail adres van een domein waarop het geen e-mail adres heeft.
Hierbij wordt aan iedere nieuwe e-mail van een DKIM handtekening voorzien die in de headers van het e-mail bericht opgenomen is.
Alleen de mail server die de juiste DKIM privé sleutel heeft kan dan de juiste DKIM handtekening gemaakt hebben.
De publieke DKIM sleutel voor iedere domein waarop DKIM gebruikt wordt wordt in een DNS TXT record opgeslagen.
Normaal gesproken is het de taak van de mail servers(de MTA’s) om de DKIM handtekening van binnen komende e-mail te controleren.
Echter soms ondersteund je gebruikte mailserver nog geen DKIM en dan is het handig in je Thunderbird(MUA) toch de afzender van een email bericht met de DKIM signatuur te controleren. Dit kan met de Thunderbird extensie: DKIM Verifier. Met de juiste instellingen zal de afzender groen oplichten in het bericht als de DKIM signatuur juist is en orangje als er een probleem is. De afzender zal met deze extensie rood worden als de DKIM signatuur ongeldig is wat kan betekenen dat de afzender van de e-mail waarschijnlijk vervalst is of er is een ernstige fout gemaakt.
Sommige e-mail servers maken gebruik van SpamAssassin anti spam oplossing die nog extra headers aan de e-mail berichten toevoegd. Je kunt deze headers gebruiken om na te gaan hoe deze anti spam oplossing het bericht als spam of ham beoordeeld heeft en hiermee vroeg tijdig voorkomen dat belangrijke e-mail als ham aangemerkt wordt. SpamAssassin heeft ieder e-mail bericht een scoren, deze score is in de header van de e-mail berichten opgenomen en is met de Thunderbird extensie spamness eenvoudiger zichtbaar te maken.
Een andere manier om spam te beperken is door iedere computer die een e-mail wilt gaan laten verzenden wat reken werk per ontvanger te laten doen. De bedoeling is dat een hash waarde gedeeltelijk gekraaktpennypost moet worden per ontvanger van het e-mail om als handtekening aan de e-mail toe te voegen. Als iedereen dit zou implementeren dan zou het een spammer ten minste nogal wat tijd en energie kosten om een e-mail te mogen zenden omdat het eerst nogal wat werkt op zijn computer moet doen. Ieder geval zal het ‘stampen’ (het toevoegen van de gedeeltelijk gekraakte hash waarde) het e-mail bericht door sommige spam filter als een kleinere kans dat het e-mail bericht spam is opgemerkt worden. Meer informatie over hoe dit allemaal werkt vindt je hier, helaas wordt dit nog niet goed ondersteund. Een implementatie als Thunderbird extensie is PennyPost deze extensie vereist wel Java en ten minsten 16Mb vrije schijfruimte.

Truecrypt verklaart zichzelf onveilig

juni 4th, 2014 • IT nieuws1 Reactie »

Truecrypt is een populair opensource encryptie programma voor schijf encryptie en container encryptie gebruikt kan worden.
Maar sinds kort is er een nieuwe versie verschenen die alleen nog maar truecrypt parities en containers kan ontsleutelen.
In eerste instantie was het onduidelijk of de truecrypt ontwikkelaars dit echt zelf gedaan hadden maar dit zeer waarschijnlijk is wel het geval.
Truecrypt waarschuwt vooral voor het gebruik van truecrypt in combinatie met windows besturingssystemen lijkt het.
Er wordt niet uitgelegd wat truecrypt onveilig maakt maar met de opkomst verplicht ondertekenen bij UEFI secureboot om een bootloader is er al een probleem voor volledige schijfencryptie met truecrypt in de toekomst.
Het gebruik van containers bestanden onder windows besturingssytemen is waarschijnlijk niet veilig omdat het wachtwoord/de encryptie sleutel naar pagefile of hibernate.sys bestand kan lekken. Truecrypt kan dit zelf niet verkomen omdat het windows besturingssyteem niet kan aanpassen om dit te verkomen. De truecrypt ontwikkelaar raadt als alternatief voor windows Bitlocker aan, dat onder windows veel meer toegang geeft tot de windows besturingssysteem zelf en daarmee ook zulke problemen kan verkomen. Maar het bitlocker alternatief wordt niet zo gewaardeerd door vooral truecrypt gebruikers omdat het gesloten broncode is en daarmee niet verifieerbaar is dat het programma geen ontsleutel achterdeurtje heeft voor overheden, alleen een belofte. Het is nu het beste truecrypt niet meer te gebruiken voor informatie met classificatie: STG.Zeer Geheim/STG.Geheim maar voor informatie met de classificatie Confidentieel zou het gebruik van truecrypt nog wellicht nog wel gerust gebruikt kunnen worden. Ik vermoed niet dat de gemiddelde laptop dief gaat proberen je truecrypt paritie te ontsleutelen toch is het wenselijk geen informatie met classificatie topsecret/secret in combinatie met truecrypt meer te gaan beveiligingen. In het geval je laptop dief toch een crypto expert kent en erg geïnteresseerd is.. Maar de beveilingsaudit van truecrypt door crypto experts heeft nog geen beveiligingsproblemen kunnen vinden die van truecrypt nocrypt maakt.

WordPress gebruikers audit logging

mei 4th, 2014 • OverigReacties uitgeschakeld voor WordPress gebruikers audit logging

Als je gebruikers van je wordpress website in de gaten wilt houden is het verstandig alle wijzigingen op de gebruikers van de website die zij maken bij te houden. Dit kan al ook met behulp van SQL triggers om alle wijzigingen in het wordpress users tabel bij te houden in een special aangemaakt users_audit tabel.
Maar SQL Triggers voor beveiliging monitoring gebruiken zijn niet goed genoeg. Je wilt namelijk ook bijhouden wanneer het gebruikers tabel überhaupt alleen ingezien is. Want als je dit weet kun je namelijk ongeautoriseerd toegang ontdekken. Helaas is het met SQL Triggers niet mogelijk acties uit te voeren bij alleen een SELECT SQL operaties onder MySQL/MariaDB, het is dus daarom beter de hiervoor speciaal ontworpen audit plugin te gebruiken. Zoals deze of deze. Maar als je een basische oplossing wilt of alleen in staat wilt zijn foute gebruiker wijzigingen te herstellen dan is deze SQL snippet voor wordpress audit logging voldoen.

Java8 uitgegeven

maart 21st, 2014 • CodeReacties uitgeschakeld voor Java8 uitgegeven

Oracle heeft de een nieuwe versie van Java uitgegeven.Duke
Deze versie biedt mogelijke voor ontwikkelaars om Lambda expressie te gebruiken.
Dit kan bijvoorbeeld nuttig voor het maken van makkelijke multi core optimalisaties van Java implementaties van bepaalde code.
Verder is het in versie (1.)8.0 van Java nu mogelijk een functionele interface te schrijven.
Dit is een interface die code bevat. Zo kun je hiermee een (functionele/SAM)interface schrijven in Lamaba expressie die dus in de interface
al een mockup implementatie bevat. Ook qua beveiling is er wat verbeterd in Java (1.)8.0. Zo is nu standaard de TLS 1.2 implementatie van Java aangezet voor encryptie. Die was in Java(1.)7 standaard uit geschakeld en moest in de configuratie paneel van het Java handmatig aangezet worden. Met het gebruik van TLS1.1 en TLS1.2 of hoger ben je veilig van de BEAST aanval die werkt met TLS1.0 en een CBC AES encryptie algoritme om verkeer mogelijk te ontsleutelen.
Ook is nu de officiële versie van de netbeans 8.0 IDE uitgegeven na de release van Java 8.0 die o.a. de nieuwe Lamba expressies kent.

Whatsapp overgenomen door Facebook

februari 22nd, 2014 • IT nieuwsReacties uitgeschakeld voor Whatsapp overgenomen door Facebook

De sociale netwerksite Facebook heeft de Whatsapp mobiele applicatie overgenomen.
Whatapp is het populaire alternatief voor SMS op de telefoon dat meer functies dan SMS biedt en gratis* over internet gebruikt kan worden. Facebook dat vorig jaar naar de beurs ging geeft voor deze grote overname in totaal ~$19 miljard betaald waarvan wel een gedeelte met Facebook aandelen aan de oprichters van Whatsapp afgestaan zijn. Het was al langer bekend dat Facebook vooral zijn mobiele strategie aan het uitbreiden was. Probleem is wel voor Facebook dat Facebook en Whatsapp een totaal anders verdien model hebben. Whatsapp krijgt zijn inkomsten uit app aankopen terwijl Facebook het met advertenties zijn geld verdient. Vooralsnog lijkt Whatapp nu een zelfstandig bestaan te behouden maar het is me nog onduidelijk hoe deze bedrijven samen verder gaan. Mogelijk dat whatapp met Facebook te kopelen wordt of iets anders. Whatsapp kende 400 miljoen actieve gebruikers die samen 31 miljard berichten per dag versturen. De kans is groot dat dit eerste instantie niet iets positiefs overbrengt op het aantal gebruikers van whatsapp vanwege het niet positief imago van Facebook met betrekking tot privacy. Ook kunnen er andere problemen voordoen. Zeker als je terugkijkend op de ervaringen van de overname van Skype door Microsoft voor 8,5 miljard dollar waarbij ook eerst ook veel weerstand om diverse redenen was. Aan de andere kant is Whatapp zo populair dat het een nuttige app is voor vanalles geworden is die je niet zomaar kunt opgeven. Zo wordt er bijvoorbeeld met whatsapp een groeps gesprek gemaakt om met je lokale buurt nuttige informatie te delen.

De nieuw TLD’s komen

december 27th, 2013 • WebReacties uitgeschakeld voor De nieuw TLD’s komen

Het ICANN, de beheerder van de root van het standaard DNS op het internet, gaat volgende jaar een heleboel nieuwe top level domeinen(TLD) in gebruik nemen.
Dit zijn vooral allemaal nieuwe generieke (meestal Engelse) volledige top level domein namen en niet meer korte afkortingen. Zo komt er nu .shop voor winkels. De vraag zal zijn hoeveel interesse voor deze nieuwe generieke top level domeinen zal zijn. Bekend is dat ieder bedrijf en overheid die er $185.000 voor over heeft een aanvraag kan doen bij het ICANN om een nieuwe TLD bij de root DNS servers te mogen registeren. Gezien het aantal nieuwe TLD dat zich aangemeld hebben heeft het ICANN hiermee toch wat miljoenen mee kunnen ophalen, gelukkig moeten deze aanvragen voor een nieuw top level domeinen wel eerst allemaal goed onderzocht worden op handelsmerken belangen verstrengeling en mogelijke beveiligingsproblemen dat de introductie van een nieuw top level domein het creëert in het bijzonder voor phishing. Persoonlijk vind ik het nieuwe generieke TLD minder nuttig dan de huidige country code top level domeinen omdat de country code top level domeinen vaak wel iets vertellen over in welke taal de website geschreven is. Zo kun je meestal wel Pools op een .pl domein verwachten. Echter is ook niet altijd zeker in het geval je een country code top level domein gebruikt van een land dat meertalig is zoals bijvoorbeeld .be voor Belgie dat kan dan een Frans, Vlaams of Duits geschreven website zijn. Echter vertellen de nieuwe TLD’s vaak wel iets over de inhoud van de website. Zo zal een aankomen .food top level domein wel voor websites van bedrijven met voedsel gaan. Op dit overzicht van ICANN zie je alle mogelijk nieuwe aankomende TLD’s. Ook de domeinnaam voor het politie in amsterdam zal mogelijk een luxe probleem krijgen. Want als de .amsterdam en .politie als TLD in gebruik genomen gaan worden zijn er twee goeie mogelijkheden voor een nieuwe domeinnaam.

BitTorrent Sync

november 16th, 2013 • Web2 reacties »

logoBitTorrent Sync is een nieuwe synchronisatie programma dat gebruik maakt van het bittorrent protocol voor gegevens uitwisseling.
Het programma kan als een vervanger van cloud opslag diensten dienen maar dan met zoveel ruimte als je hardeschijf biedt.
Een voordeel van BitTorrent Sync t.o.v. van cloud opslag diensten als dropbox etc is dat er geen centrale server bij gebruikt wordt om bestanden te delen.
BitTorrent Sync maakt het gebruik van een gedeelde geheime code om gegevens lokaal te versleutelen en versleutelen te verzenden en ontvangen om zo de gegevens veilig onleesbaar voor iemand die niet over de code beschikt te kunnen uitwisselen. Verder omdat het gebruik maakt van het bittorrent protocol kan de download snelheid redelijk goed zijn. Meer informatie op website BitTorrent Sync.
Er is ook een opensource alternatief genaamd syncthing

integriteitscontrole met bash scripting

september 20th, 2013 • Code2 reacties »

Om te controleren dat een systeem veilig is, is het aan te bevelen de integriteit van de belangrijkste bestanden op het systeem te controleren.
Hiermee kun je te weten komen of onverwachts bestanden gewijzigd zijn of nieuwe onbekende bestanden zijn toegevoegd.
Het is mogelijk hiervoor kant en klare oplossingen te gebruiken zoals AIDE, Tripwire of OSSEC.
Maar je kunt het ook zelf een bash script maken om controle van de integriteit van bestanden op systeem te controleren.
Om het onszelf makkelijker te maken schrijven we eerst een script die alle bestanden en hash waardes in een nieuw script automatisch vastlegt.
Hierdoor hoeven we niet handmatig de hash waardes van bestanden te gaan bijwerken. Wat ook een groot risico op het maken van fouten heeft als het veel bestanden zijn die handmatig de hash waardes van bijgewerkt moeten worden.
Het script opgeslagen als antitampercheck_generate.sh om hash waardes van bestanden in een nieuw script te genereren ziet er als volgt uit.

#!/bin/sh
# Write hashes of all files in a folder.
printhashesfolder() {
        if [ ! -d $1 ] ; then
                echo "Error: not a folder."
                exit 1
        fi
 
        foldersearchpath=$1'/*'
        for file in $foldersearchpath
        do
                if [ -f $file ] ; then
                      HASH=$(sha1sum $file | cut -d ' ' -f 1)
                      if [ "$HASH" != "" ]; then
                           echo 'checkhashsha1 "'$file'" "'$HASH'"' 1>> antitamperchecks.sh
                      fi
                fi
        done
 
        # add number of files check:
        NUMBERFILES=$(ls -1 $1 | wc -l)
        echo 'checknumberfiles "'$1'" "'$NUMBERFILES'"' 1>> antitamperchecks.sh
}
 
echo 'remove old script.'
sudo rm antitamperchecks.sh
echo 'creating new script.'
sudo touch antitamperchecks.sh
sudo chmod 700 antitamperchecks.sh
echo 'write basics functions in script.'
cat antitamperchecks_funtions.txt 1>> antitamperchecks.sh
echo 'writing new file hashes to script.'
printhashesfolder '/bin'
printhashesfolder '/usr/sbin'
printhashesfolder '/sbin'
printhashesfolder '/etc/ssh'

Dit script genereert van elke bestand in de map /bin, /usr/sbin, /sbin en /etc/ssh een nieuwe regel met de aanroep naar de checkhashsha1 functie met als parameter de sha1 checksum van het bestand. Verder schrijft het ook een regel bij elke map met de aanroep van checknumberfiles met als parameter hoeveel bestanden in de map stonden.
Vervolgens creëren we nog een tekst bestand genaamd antitamperchecks_functions.txt waarin de de volgende regels staan.

# Check and compare sha1 hash of a file.
checkhashsha1() {
        HASH=$(sha1sum $1 | cut -d ' ' -f 1)
        if [ "$HASH" != $2 ]
        then
                echo "Bad: $1 file. It's: $HASH and should be sha1: $2."
                MODIFYDATE=$(stat -c %y $1)
                echo "Last modify on: $MODIFYDATE"
        fi
}
 
# Check the number of files in a folder
checknumberfiles() {
        NUMBERFILESNOW=$(ls -1 $1 | wc -l)
        if [ "$NUMBERFILESNOW" != $2 ]
        then
                echo "There are new or deleted files in: $1."
        fi
}
 
# Selfcheck of sha1sum program with sha256sum.
SHA256BINSHA1=$(sha256sum /usr/bin/sha1sum | cut -d ' ' -f 1)
if [ "$SHA256BINSHA1" != "91b690492d585e70467f8cbafa4c30bf93dee13fcd31a4aba8deae663739ee93" ]; then
        echo 'Alert sha1sum changed! Environment cannot be trusted.';
        exit 1;
fi

Het bestand voegt nog de controle toe aan het script om het sha1sum programma dat de sha1 bestands hash berekent met een sha256 hash te controleren dat het hash programma zelf niet aangepast is.
Als laatste stap kunnen we nu ons script genaamd antitampercheck.sh genereeren door antitampercheck_generate.sh uit te voeren.
Het bestand antitampercheck.sh kan dan later uitgevoerd worden om te zien welke bestanden gewijzigd zijn sinds de laatste keer dat antitampercheck_generate.sh uitgevoerd is.
(beveilings aantekening: Letop dat de bash interpreter zelf ook nog aangepast kan worden het is misschien aan te raden de bash interpreter samen met checksum programma’s en de scripts offline veilig te bewaren.)

Windows 8.1

augustus 23rd, 2013 • OverigReacties uitgeschakeld voor Windows 8.1

BettavisWindows 8.1 is een gratis update voor windows 8(.0) dat meer desktop functionaliteit toevoegd aan windows8.
Het is nu mogelijk de preview / beta versie van windows 8.1 te downloaden. Nieuw in windows 8.1 is dat er een start knop aan de niet moderne/traditionele desktop is toegevoegd om naar de moderne/metro te gaan. Verder is het in windows 8.1 mogelijk toegevoegd om bij het opstarten van windows 8.1 direct naar de niet metro/traditionele desktop te gaan. Windows 8.1 is dus meer geschikt geworden voor desktop en beeldschermen zonder touchscreens geworden. Verder is het mogelijk de tegels van programma’s in de moderne/metro interface nu groter of kleiner te maken. Het is in de moderne/metro interface ook mogelijk tegels te groeperen. Daarnaast is het in de moderne/metro interface nu mogelijk 3 programma naast elkaar te zetten wat in windows8.0 beperkt was tot 2 vensters naast elkaar. Ook is er een nieuwe versie Visual Studio 2013 die windows 8.1 ondersteund waarmee de moderne/metro programma’s gemaakt kunnen worden. Verder komt windows 8.1 met Internet Explorer 11. (Dat ook helaas de HTML5 niet open Encrypted Media Extensies heeft voor DRM video en audio.)
De definitieve update van Windows 8.1 komt naar verwachting op 18 oktober 2013 beschikbaar.

Nieuwe PHP versie 5.5

juli 24th, 2013 • CodeReacties uitgeschakeld voor Nieuwe PHP versie 5.5

Er is een nieuwe minor versie van PHP uitgegeven.elaPHPant
Onder andere nieuw aan deze versie is dat het veilig password hashing nu eenvoudig gemaakt wordt door de functie password_hash etc. in de programmeer taal op te nemen. Voor PHP 5.3 en PHP 5.4 is er een classes beschikbaar genaamd password_compat om deze hashing functie’s te kunnen gebruiken zonder meteen PHP te moeten upgraden. De password_hash functie maakt standaard gebruik van het blowfish algoritme om hashes op te slaan. Blowfish is in tegenstelling tot de algemene md5/sha1/2 functie exponentieel lastiger bij het uitvoeren van meerdere rondes met het algoritme. Hiermee is het vertragen (key streching) tegen het snel kraken van de hashes steeds exponentieel lastiger bij toevoegen van een ronde. Ook heeft blowfish in tegenstelling tot de algemene hash functies bij meerdere rondes hogere vereiste werkgeheugen nodig waardoor het lastig is blowfish op geoptimaliseerde hardware te gebruiken.
Verder heeft PHP nu een ingebouwde opcacher. Een opacher zorgt ervoor dat een php bestand gecompileert direct opnieuw uit het geheugen uitgevoert kan worden. In PHP 5.5 is nu de Zend OPcache in PHP 5.5 opgenomen. Deze opcacher is iets sneller dan APC of xcache opcacher die al als PHP extensie beschikbaar zijn. Maar de Zend OPcache biedt geen extra API voor variabelen in het werkgeheugen op te staan. Om de ingebouwde zend opcacher in PHP 5.5 te gebruiken moet opcache.enable=On aan de PHP configuratie toegevoegd worden.
Verder maakt PHP 5.5 de beveiling iets gemakkelijker zo is nu bijvoorbeeld standaard de optie ENT_QUOTES in de functie htmlentities() gebruikt zodat htmlenties standaard cross site scripting veilige tekst teruggeeft. En in de regulaire expressie methodes is gaat de PREG_REPLACE_EVAL “e” nu in de ban.

Indexbaarheid AJAX pagina’s

juni 1st, 2013 • CodeReacties uitgeschakeld voor Indexbaarheid AJAX pagina’s

html5 connectivity badgeSinds een paar jaar is het mogelijk om AJAX webpagina’s te laten indexeren door googlebot. Google heeft de zoekrobot aangepast om javascript(officieel: ECMAScript) te begrijpen.
Hiervoor moet je website wel gebruik maken van een speciale url structuur. Er moet namelijk een haakje en een uitroepteken voor individuele ajax pagina’s binnen één echte pagina gebruikt worden.
Het haakje wordt normaal gebruikt om binnen een webpagina te springen maar sinds Firefox 3.6 is het mogelijk in javascript hierbij een onhashchange event af te vangen. Dit is belangrijk omdat je hiermee het terug navigeren van binnen de ajax pagina op orde kunt maken. Let wel op dat naast googlebot zijn er nog steeds zoek robots zijn die javascript / ajax url structuur niet begrijpen. Ik ben zelf wat aan het experimenteren met de ajax url structuur op mijn snippets website, vooral om te zien of de website nu ook gevonden kan worden in google op individuele ajax pagina gedeeltes.
Om voor zoekmachines de individuele pagina gedeelte te kunnen opnemen moet je ook de _escaped_fragment_ parameter implementeren naast de ajax manier van de pagina gedeelte laden. Met de _escaped_fragment_ parameter zul je de pagina op een traditionele manier laden de individuele pagina’s zodat die door de zoekmachine herkent kan worden. Meer informatie vindt je o.a. bij de webmasters help documentatie van google.

Het UTF-8 Byte Order Mark probleem

april 25th, 2013 • CodeReacties uitgeschakeld voor Het UTF-8 Byte Order Mark probleem

Laatst had ik het probleem dat een website fouten gaf o.a. dat het doctype van de pagina misvormt was.
Ook mijn gedefineerde content security policy had opeens alles op de pagina geblokkeerd. Terwijl het echt wel leek dat de gedefinieerde content security policy het laden wel zou moeten toelaten. Ik had vrij snel het vermoeden dat het om een tekst encoding probleem ging. Echter ik had het bestand toch opgeslagen als unicode ‘UTF-8’ tekst encoding en dit was ook de encoding waarop webserver ingesteld staat. Hoe kan het dan misgaan?
Na wat sniffen met wireshark bleek er voor het eerste tekens in de bronweergave van de webbrowser nog een paar tekens extra te staan die niet weergegeven waren.
Wat was het probleem? Ik had de broncode bestanden van de website opgeslagen als UTF-8 met notepad++ en niet aangeven dat ik géén Byte order mark tekens wilde.
Hierdoor zijn er in het begin van het php document nog voor de <?php tekens nog een paar Byte order mark(afgekort: BOM) tekens opgeslagen. En deze tekens werden dus direct naar de cliënt verstuurd als hexidecimaal waardes: 0xEF,0xBB,0xBF.
Ook de server http headers zijn door het toevoegen van de BOM tekens al verzonden waardoor de content security policy header die in php gedefinieerd was laten niet meer gaat omdat de http headers al verzonden zijn doordat de pagina inhoud al is verzonden doordat de BOM tekens pagina inhoud zijn.
Het is dus verstandig BOM tekens te vermijden in broncode bestanden van je server side programmeer talen als je geen problemen wilt. Het W3C dat de web standaarden definieert heeft er ook al eens iets over geschreven.