Categorieën

Recente berichten

HTTPS met TLS 1.0 gekraakt

september 20th, 2011 • IT nieuws1 Comment »

Er is een lek in de SSL opvolger TLS 1.0 gevonden en gedemonstreerd dat cookies gestolen konden worden.
Dit betekent dan SSL/TLS alleen nog maar met SSL 3.0 veilig is onder Firefox omdat TLS 1.1 en 1.2 nog steeds niet ondersteunt worden. SSL 3.0 is ook onveilig.
Onder Internet Explorer8 en hoger kan het wel maar je moet het wel even zelf aanzetten om het veilig TLS 1.1 en 1.2 te kunnen gebruiken.
Opera en en google chrome zijn veilig want zijn gebruiken TLS 1.1 en TLS 1.2 standaard al.
De instellingen voor internet explorer onder Internetopties, tab: Geavanceerd moet dan als volgt ingetelt zijn voor een veilig versleutelt internet.
aanbevolen instellingen
De meeste webserver ondersteunen echter nog steeds geen TLS 1.1 en hoger vandaar dat we TLS 1.0 voor nu nog aanlaten. Deze webserver ondersteunt wel al TLS 1.2 en TLS 1.1 met mod_gnutls.
Let verder ook op welke Certificate Authority(afgekort: CA) het certificaat uitgegeven heeft. Als dit het failliete Diginotar is dan kan de verbinding afgeluisterd worden.

Preview Windows8

september 18th, 2011 • IT nieuwsReacties uitgeschakeld voor Preview Windows8

Microsoft heeft tijdens de windows8 The Build conference een lange demo van het nieuwe aankomende windows8 besturingssysteem gegeven.
Nieuw in windows8 is dan naast de standaard Aero uiterlijk een Metro style uiterlijk komt voor HTML5 applicaties met touchscreen ondersteuning.
De HTML5 applicatie kunnen geschreven worden in andere talen dan het HTML5/javascript omdat de metro functies via een nieuwe ingebouwde API in de Windows kernel aangesproken worden. Het idee van de Windows metro applicaties is dat de goed integreren met andere functie windows8 verkenner met ribbon interface van de metro user interface waardoor applicatie aan elkaar functionaliteit toevoegen. Zo kan een opslaan bestand venster in een teken programma ook, meteen ook foto’s naar Facebook uploaden als je een foto upload metro style app geïnstalleerd hebt, ook al ondersteunt je teken programma dit niet. De metro style programma’s moeten dus beter met elkaar gaan samenwerken. Verder start windows8 sneller op, in mijn virtualbox virtuele machine met windows8 (2GB RAM, 1 processor, i5, 2.3 Ghz) duurde een koude opstart ongeveer 16 seconden. Verder verbruikt windows8 minder geheugen zodat er meer geheugen is voor programma maar ook maakt het mogelijk dat windows8 eerder op niet krachtige systemen werkt zoals tasbles. Uit mijn ervaring is het hebben van een touchscreen scherm wel een must voor windows8 gezien het hele metro style zonder niet de ervaring oplevert waarvoor het gemaakt is. Alle oude window7 vensters zijn nog steeds aanwezig in windows8 echter het startmenu is verandert en de Windows toets (in developer preview windows8) wordt nu gebruikt om te wisselen tussen aero en metro user interface.
Verder heb ik nog getest of mijn .net applicatie nog werken op windows8 dit blijkt het geval te zijn maar .NET framework wordt nu niet meer standaard voor geinstalleer. Windows8 vraagt wel netjes om .NET framework van het internet te downloaden als het denkt dat je een .NET applicatie gaat installeren/gebruiken. Waarschijnlijk is dit gedaan om de installatie van windows8 kleiner te maken. Windows8 64bit developer preview heeft minimaal een partitie van 9,2 GB nodig. Verder is er in windows8 ook nog een nieuwe uitstand toegevoegd, de “hibernate ready”, wat eigenlijk dus helemaal uitzetten en hele geheugen naar harddisk schrijven maar dan in hibernate ready zonder applicaties, zodat je hetzelfde effect hebt als een koude opstart.

Mogelijk afschaffing Hadopi en invoering downloadbelasting

september 11th, 2011 • IT nieuwsReacties uitgeschakeld voor Mogelijk afschaffing Hadopi en invoering downloadbelasting

In Frankrijk hebben ze al een jaar de Hadopi wetgeving die downloaden uit illegale bron bestraft met een waarschuwing. Naar 3 waarschuwingen is een afsluiting van het internet tot gevolg.
Echter is de wetgeving nauwelijks uitvoerbaar.
Ten eerste moeten er letterlijk miljoenen eersten en tweede waarschuwing verstuurt worden naar Fransen. Dit is al erg duur voor internet service providers die dit moeten uitzoeken. Maar ook de manier om downloaders uit illegale bron downloaden te kunnen pakken door Deep Packet Inspection toe te passen is niet wenselijk voor de privacy van Fransen. Een Franse minister heeft echter laten weten dat Frankrijk overweegt een download belasting in te voeren. Een download belasting is geen oplossing voor piraterij echter is het makkelijker uitvoerbaar dan alle Fransen surfers (dan wel automatisch) afluisteren en massa’s waarschuwingen proberen te versturen. Echter kleeft er ook een lastig probleem aan de manier hoe het geld door deze belasting weer moet worden uitbetaalt aan rechthebbende en hoeveel. Wat vast staat dat downloaden uit illegale bron veel gebeurt, hoogstwaarschijnlijk omdat het te gemakkelijk is.

Datacentrum werkt langzamer bij aardbeving

augustus 31st, 2011 • OverigReacties uitgeschakeld voor Datacentrum werkt langzamer bij aardbeving

Hardschijven kunnen slecht tegen stoten, maar in een datacenter met duizenden schijven kan het de internet verbinding zichtbaar vertragen.
Aardbeving en vulkanisme is een van de grootste natuurrampen die er zijn.
Maar wist je dat het letterlijk schreeuwen tegen hardschijf al genoeg om een harddisk al ernstig te vertragen. De volgende sysadmin laat het je zien.
De webserver van deze website werkt gelukkig op een SSD schijf wat snel en duur is maar geen last van schoken heeft.

Review: Age Of Empires online

augustus 16th, 2011 • AmusementReacties uitgeschakeld voor Review: Age Of Empires online

 Age of Empires online is een nieuw gratis om te spelen RTS en MMORPG spel.
Ik heb zelf het spel al mogen spelen in de gesloten Beta en de pre-release van het spel.
In de Beta heb ik ongeveer tot level 30 weten te bereiken, toen werdt tegen begin juli de beta gesloten, dit was verwacht.
Daarna heb ik in de pre-release een paar levels met andere beschaving geprobeerd. Age of Empires online bestaat uit missies die als je uitspeelt ervarings-punten opleveren,
sommige missie kun je samenspelen, echter blijkt ik dit in de praktijk niet vaak gedaan te hebben. Waarschijnlijk omdat het match lang duurde, er is namelijk geen lobby systeem in Age of Empires online.
Als je de tower defence spelletje leuk vindt dan zitten in Age of Empires online zeker missies die leuk zijn.
Zo is er een betaalde uitbreiding is “Defence of the greece” wat precies dat doet, je moet je e basis met verdediging zo snel mogelijk opbouw en om de zoveel minuten komen komt de computer je aanvallen.
Denk niet dat het eenvoudig is, soms zit er echt wel uitdaging in. Mooi is ook dat je dit type spel kun samenbouwen hierbij speel je samen met iemand anders over het internet waarbij je samen een basis en economie moet opbouen voordat de computer je aanvalt. Units en gebouwen zijn ook allemaal steeds upgradebaar. Maar in het begin moet je deze gebouwen en unit eerst vrijspelen.
Alle units in Age of empires online kun je namelijk apart van een zwaart, harnas en helm e.d. voorzien.
Deze items kun je krijgen doordat je tijden een missie deze schatten op de kaart ergens bewaakt ergens liggen.
Het spel speel ik nu met een beetje gemengde gevoelens. Niet dat er niets mis is met de gameplay maar eerder
met het business model dat iedereen gratis dit spel kan spelen. Er zit zeker uitdaging in het spel
maar vooral in het begin zul je er even doorheen moeten bijten, als je vrijwel nog niks interresants kunt bouwen.
Net zoals oude Age of Empires zijn er verschillende tijdenperken. Pas na level 20 kun je naar 3e tijdperk en speel je in een vorm van het oude Age of Empires.
De keuze welke units je hebt en welke upgrade ligt eraan welke technologie je upgrade tijdens het omhooggaan van je level.
Age of Empires online ziet er een beetje cartoonist uit, maar dat betekent niet dat het grafisch nu slecht of kinderachtig is.
Het spel is juist grafische mooi doordat het rijke kleuren heeft en ook aardig wat detail. Het is mogelijk de camara te draaien, water ziet er realiseren uit dan voorgaande delen.
Maar niet zo veel realisme als Anno 1701 dat probeert. Omdat het gratis om te spelen, is het zeker leuk om te proberen,
maar het gratis om te spelen zie ik ook als een nadeel dat aan de enekant spelers die veel uitgegeven aan digitale goederen kan behooroordelen,
maar als we de makers van het spel mogen geloven kan dat niet de manier van winnen zijn. Naar de website voor de download hier.
update: Age of Empires online is niet meer beschikbaar.

Nieuwe processor fan heeft geen last van stof

augustus 5th, 2011 • IT nieuwsReacties uitgeschakeld voor Nieuwe processor fan heeft geen last van stof

Er is een nieuwe processor fan design uitgevonden dat beter werkt dan de huidige processors ventilators.
Het nieuwe design van de ventilator heeft een draaiende heatsink ivp een heatsink die stil vast zit aan de proccesor.
De heatsink is stuk metaal dat warmte doorheeft van de processor. Echter doordat bij normale processor ventilatoren lucht continu tegen de heatsink aanblaast komt het op den duur onder het stof te zitten. Door stof gaat de warmte afgiften minder goed werken waardoor de ventilator harder moet draaien om evenveel te blijven koelen. Het nieuwe processor fan design heeft geen last van stof meer doordat het stof naar buiten slingert wordt. De koeling op deze manier blijkt ook nog eens veel effectiever te zijn, wat betekent dat de ventilator minder hard hoeft te draaien en dus veel stiller is dan de huidige design van processor ventilators. Verder kan de nieuwe ventilator hierdoor ook energie besparen.
Meer informatie over de Sandia ventialtor die computer veel stiller moet moet maken zie dit artikel.

NoteFly 2.0.0 final uitgegeven

juli 21st, 2011 • Freeware/opensourceReacties uitgeschakeld voor NoteFly 2.0.0 final uitgegeven

Ik heb eindelijk de final versie van 2.0.0 uitgegeven. NoteFly 2.0
De verandering sinds versie 1.0.4 zijn merkbaar. Er is zeker meer dan 80% van de code van in de tweede major release verandert t.o.v. eerste major release. Zoals al eerder meegedeeld is versturen van een notitie naar twitter® of facebook® verwijdert. Dit omdat de gebruikten REST protocol dit mogelijk te maken niet meer ondersteunt wordt. Nieuw in versie 2.0.0 is dat skins, nu volledig uit bestand geladen worden. Dit maakt het mogelijk voor de gebruiker mogenlijk zelf nieuwe skins toevoegen aan NoteFly. Over het algemeen is de broncode is veel beter uitbreidbaar geworden. En na de release candicates1 is de syntaxhighlighter voor html, php en sql weer opnieuwe geschreven. De syntaxhighter moet nu veel meer correcter werken dan voorgaande versie’s. De syntax highlighter is nu ook veel gemakkelijker uit te breiden met een nieuwe taal om syntax highlighting op toe te passen. Dit komt doordat de manier hoe de taal eruitziet extern in langs.xml bestand vastgelegd wordt in plaats van in de broncode hardcoded. Verder zijn in de nieuwe major versie veel instellingen toegevoegd zodat het programma op meer fronten aan pasbaar is.
Over het algemeen is NoteFly 2.0 t.o.v. een grote upgrade onder de moterkap hoe het programma werkt maar bevat daarnaast toch nog een flink aantal features en verbetering die niet direct zichtbaar zijn.
Verder heb ik de website van NoteFly nog een nieuw design gegeven.

update: NoteFly 3.0.0 uitgegeven

Minder standaardisatie in het versie nummer

juli 6th, 2011 • CodeReacties uitgeschakeld voor Minder standaardisatie in het versie nummer

Standaardisatie in software versie nummers is er wel, maar wordt niet echt consistent toegepast.
De eindgebruiker wil niet weten welke versie nummer van software er gebruikt als het maar de laatste versie is.
Omdat eindgebruikers niet veel getallen wil onthouden en het niet makkelijk vinden om mee te werken gebruiken sommige software uitgevers daarom maar een naam voor iedere release. Maar er is nu ook een nieuwe trend om vaker het major nummer van het versie nummer te verhogen. Het goede is dus dat met het vaker verhogen van het major nummer makkelijk is voor eindgebruiker verandering bij te houden.
Maar het zorgt ook voor verwarring met software uitgevers die het traditionele manier van versie nummers gebruiken.
Maar wat is het traditionele manier een versie nummers geven eigenlijk? Ik zelf handteer een aantal vuistregels om te bepalen welke nieuw versie nummer een software release moet krijgen.
– Een versie nummer bestaat uit de volgende 4 getallen: major-, minor-, release-, build nummer.
Verder kan een woord toegevoegd worden dat de kwaliteit aangeeft, dit kan zijn: alpha, beta, rc. Wanneer het niet gebruikt wordt is het een stabiele final versie. Het build nummer mag voor de eindgebruiker weggelaten worden, omdat dit getal niks nuttig voor de eindgebruiker vertelt.
– Voor een nieuwe major nummer moet minstens 50% van de broncode ten opzichten van de vorige major release verandert zijn.
– Voor het verhogen van het minor nummer moet minstens 10% van de broncode ten opzichten van de vorige minor release verandert zijn. En er moet ten minstens 1 feature toegevoegd zijn.
– Voor een nieuwe release versie moet er ten minstens 1 bug opgelost.
– Een build nummer wordt verhoog iedere keer dat broncode gecompileerd wordt.
Welke vuistregels voor het toepast worden de niet traditionele snellere major releases, lijkt te zijn dat wat minor releases gedaan wordt nu als major release gepresenteerd wordt. Consistent en gestandaardiseerd is het nog niet.

Windows8 krijgt tegels

juni 3rd, 2011 • IT nieuwsReacties uitgeschakeld voor Windows8 krijgt tegels

Op de conferentie van digital9 werden eerste details van windows8 vrijgegeven. Nieuw aan de grafische interface is dat windows8 desktop een soort van “tegels” krijgt ivp icoontjes op desktop. Deze tegels kunnen al wat informatie van van een programma voordat het programma opgestart is. We hadden al widgets en een sidebar sinds Windows vista, maar deze tegels moeten een vervanger voor de snelkoppeling worden. Verder gaat Windows 8 veel fijner met touchscreens werken en wordt windows8 in een versie voor ARM processors uitgebracht. De tegels zouden mogelijk op HTML5 gebaseerd zijn. Het mag duidelijk zijn dat Microsoft met Windows naar het mobiele platvorm en het web applicaties toegaat.
Meer informatie over windows8 zie het artikel van hardware.info.
Ik vraag me af of deze tegels met HTML5 en dus javascript wel genoeg functionaliteit bieden, javascript is immers (met reden) beperkt tot de webbrowser. Een tegel maken waarbij je op de desktop van windows8 meteen putty met de juiste sessie kunt selecteren gaat met de huidige html5 en javascript mogelijkheden niet. Er is geen toegang tot je bestanden en configuraties. Dus over hoe die tegels gaan werken is nog niet veel bekent, anderszij kan zo’n tegel natuurlijk wel net als widgets en active desktop website’s en website informatie tonen.

Voorbereidings checklist voor IPv6 testdag

mei 29th, 2011 • IT nieuwsReacties uitgeschakeld voor Voorbereidings checklist voor IPv6 testdag

Op 8 juni 2011 zullen verschillende websites een test van het IP versie6 protocol houden door er ondersteuning die dag voor te bieden.
Echter IP versie6 aanzetten heeft nogal wat voorbereiding nodig anders loopt een website risico gehackt of onbereikbaar te worden.
Dus hier presenteer ik voor server beheerder een controle lijst waar je rekening mee moet houden voordat je IPv6 op je webserver en/of internetdienst aanzet.
– Zorg voor een fatsoenlijke offline backup van de oude configuratie, dienst/website en database voordat je IPversie6 aanzet.
– Controleer dat de firewall voor IPv6 aanstaat en de juiste regels geconfigureerd zijn. In linux moet je dus naast iptables dus ook ip6tables configureren. Ubuntu gebruikers kunnen met UFW zowel ipv6 als ipv4 regels toevoegen.
– Zorg voor een AAAA record in je dns zone zodat je dienst bereikbaar is met ipv6.
– Blokkeer IPv6 adressen die niet in gebruik zijn om spoofing van IPv6 adressen enigszins te voorkomen.
Een lijst met IPv6 adressen die niet in gebruik zijn kun je hier vinden.
Plaats dit bijvoorbeeld in een .htaccess file met bij elke regel vooral deny from ervoor.
– Als je een tunnel gebruikt controller of de tunnel goede beschikbaarheid heeft en weinig latency toevoegd.
– Vertrouw niet meer op NAT en de NAT de firewall. Met ipv6 werkt NAT en met ipv6 tunnel werkt de NAT firewall niet meer.
– Test je configuratie eerst grondig voordat je het inzet. Als er tijd en middelen voor zijn, test eerst je webserver in een afgeschermde virtuele machine voordat je het uitrolt naar een live omgeving.
Ik zelf maak notefly.org en d9ping.nl op de IPv6 test dag beschikbaar maar ze zijn nu ook al via het speciale subdomein ipv6. ipv www. beschikbaar als test. IPv6 zal iets sneller moeten werken met video en audio doordat er minder overhead is maar een tunnel daarin tegen werkt weer langzamer en is geen goede langer termijn oplossing.

6 technische maatregelen tegen (D)DoS aanvallen

mei 16th, 2011 • LinuxReacties uitgeschakeld voor 6 technische maatregelen tegen (D)DoS aanvallen

Denial of Serice aanvallen zijn frustrerend ze kunnen druk bezochte website onbereikbaar maken.
Zo moest ook zelfs Rabobank er het afgelopen jaar aan geloven. (bron)
En het afgelopen jaar is een DDoS aanval een soort vorm van digitaal protest geworden. In het verleden deden we vooral denial of service ontmoedigd door er flinke straffen erop te zetten.
Echter met een flinke toename van DDoS aanvallen is dit lastig te handhaven. Het vraagt om meer technische maatregelen.
Helaas is dat niet altijd mogelijk maar er zijn wel degelijk een aantal simpele technische maatregelen die een denial of service aanval op een webserver kunnen verminderen of tegengaan.
Dit zijn geen professionele oplossingen met hardware, maar voor een niet druk bezochte website op een thuisservertje werken deze maatregelen voldoende.

  1. Zet TCP SYN cookies aan.
    TCP syn cookies verkomen SYN flood aanvallen (OSI model, laag 4 DoS aanvallen)
  2. Limiteer het aantal connectie per IP adres naar je webserver.
    Onder linux system kan dit eenvoudig worden bereikt door de volgende regel aan iptables toe te voegen. 

    sudo iptables -A INPUT -p tcp --syn --dport 80 -d ! 192.168.0.0/24 -m connlimit --connlimit-above 41 -j DROP
    sudo iptables -A INPUT -p tcp --syn --dport 80 -d ! 192.168.0.0/24 -m connlimit --connlimit-above 40 -j REJECT --reject-with tcp-reset

    Hierbij zijn de ip adressen: 192.168.0.1 tot 192.168.0.255 een uitgezonderd van dit limiet. Dit is nodig om beveiligings scanners zoals de scanner hier besproken nog snel te kunnen laten werken.
    Echter heeft deze regel ook nadelen wanneer veel mensen hetzelfde ip adres delen door bijvoorbeeld via dezelfde proxy naar de webserver te surfen kunnen ze je website mogelijk niet goed bereiken door te weinig toegestane connecties. Verhoog de maximaal 40 simultane connecties per ip adres eventueel als dit probleem zich voordoet.

  3. Installeer mod_evasive op apache.
    De evasive module voor apache beschermt tegen snel refreshen van dezelfde pagina in weinig tijd en ook tegen het maken van zeer snel veel nieuwe connecties naar de webserver vanuit hetzelfde ip adres. Maar dat filteren we ook al met onze firewall regel bij tip1.
    Wanneer iemand je webpagina vaak in weinig tijd meerderen keer herlaadt zorgt mod_evasive ervoor dat een lege pagina verstuurt wordt zodat deze vorm van denial of service wordt tegen gegaan.

  4. Zet hostname lookups uit. Wanneer de webserver veel requests van verschillende ip adressen krijgt kan het voor elke ip adres een reverse hostname lookup gaan doen. Het gevolg is dat je webserver een DoS aanval naar de ingesteld DNS Server uitvoert. Dit staat bekent als ‘backchatter’ aanval.
    Je kunt dit voorkomen in apache door: HostNameLookups op off te zetten.
    Let er verder op dat je niet deny from en allow from met dns namen gebruikt anders doet apache nog steeds een hostname lookup ookal staat de instelling op off. 

  5. Installeer een web applicatie firewall (WAF) zoals mod_security.
    Mod_security kan ook beschermen tegen denial of sevice aanvallen door bepaalde request te blokkeren en eventueel ingestelde HTTP error tonen of opgebouwde connectie meteen te sluiten. (FIN pakket te versturen) 

  6. Sta requests van een ongeldige/niet op het internet uitgegeven ip adressen niet toe.
    Niet alle ip adressen op het internet worden gebruikt en sommige mogen niet op het internet gebruikt worden.
    Blokkeer deze adressen met je firewall voordat iemand met deze adressen gespoofd1 je webserver aanvalt. zie deze wiki.

Netbeans 7.0

april 22nd, 2011 • CodeReacties uitgeschakeld voor Netbeans 7.0

Een nieuwe major release van Netbeans Integrated Development Environment uitgegeven.
Netbeans kan voornamelijk voor Java maar ook PHP en andere talen programmeer talen gebruikt worden.
Nieuw in Netbeans 7.0 is de ondersteuning voor Java (1.)7.0, dat de nieuwste versie van Java die nog ontwikkeling is.
Ook is er nu officiële ondersteuning voor PHPDoc en HTML5 voor web development. Voor web development is Netbeans best geschikt, samen met een installatie met xdebug voor PHP is het al mogelijk PHP script daadwerkelijk te debuggen vanuit Netbeans. Ook handig is het dat je een Oracle® database of mysql database direct vanuit de IDE kunt bewerken.
Verder lijkt netbeans versie 7.0 nu iets sneller opstarten dan in 6.9.1. Maar de opstarttijd van netbeans en totdat die eidelijk klaar is met het openen van alle projecten is nog steeds veel langer dan even met notepad++ iets doen. Maargoed  netbeans is dan wel een prima IDE voor Java en PHP. Netbeans 7 is te downloaden vanaf: netbeans.org/downloads/

Firefox 4.0 op ubuntu installeren

maart 15th, 2011 • LinuxReacties uitgeschakeld voor Firefox 4.0 op ubuntu installeren

Ubuntu 10.10 en 10.04LTS bevat nog de stabiele 3.6.x Mozilla Firefox versie.
Sinds kort is de 4.0 Release Candicates1 versie verschenen, wat betekent dat Firefox 4.0 final echt bijna klaar is.

En de huidige versie RC1 heeft al de gewenste stabiliteit voor een nieuwe major release.
Tijd dus om de snellere en veiligere nieuwere versie te gaan gebruiken. Veiliger want Firefox 4 ondersteunt ContentSecurityPolicy header. Open een terminal en voer in:

sudo add-apt-repository ppa:mozillateam/firefox-stable

Vervolgens upgrade je Firefox 3.6 naar de nieuwe Firefox 4.0 versie met:

sudo apt-get update && sudo apt-get upgrade

nieuwe tool: x-caspery

maart 9th, 2011 • Code1 Comment »

x-caspery is een Java programma die de implementatie van een Content Security Policy header voor een webapplicatie eenvoudig maakt. De content security policy header is een vrij nieuwe HTTP header die restricties voor een webbrowser oplegt. Hiermee KAN cross scripting en clickjacking voorkomen worden. Vooralsnog ondersteunt alleen Firefox 4.0 beta en de vandaag vrijgegeven Firefox4 RC1 deze nieuwe HTTP header. x-caspery moet het eenvoudig maken een content security policy header voor je webapplicatie te genereren. Het programma doet dit doordat je een paar stappen doorloopt met opties die je moet instellen en op basis van je instellingen wordt dan je content security policy header genereert. x-caspery is de downloaden vanaf: x-caspery.d9ping.nl

Update Java, Java6 update 24 uit.

februari 21st, 2011 • Freeware/opensourceReacties uitgeschakeld voor Update Java, Java6 update 24 uit.

Oracle heeft een nieuwe versie van Java uitgebracht.
Update 24 patch een heleboel lekken waaronder nogal wat gevaarlijke lekken in java. release notes
Als je java geïnstalleerd hebt is het verwijderen van de oude en installeren van de nieuwste versie zeker aanbevolen.
Het patch beleid van Java faalt nogal bij de gebruikers, er zijn nog veel computers die oude lekke versie van java gebruiken en de plugin in hun webbrowser gebruiken.
Zeker omdat java ook in de webbrowser kan werken, is het erg gevaarlijk zaak niet up to date te blijven. Omdat het bezoeken van een kwaadaardige website voldoende is malware te installeren. Java werkt zowel onder windows, mac en linux dus het is ook nog eens geschikt om malware te maken dat op elk besturingssysteem werkt waar een Java virtual machine voor is. Java is een ware zege geworden voor malware schrijven. Ik zie steeds meer java bots deze webserver aanvallen/afscannen sinds 2010. Niet voor niets dat ik alle user-agents met Java erin op deze webserver blokkeer want meestal zijn het infecteerde machines. De makers van Java zijn het ook wel een beetje zelf schuld.  Zo is de website waar de nieuwste versie van java aangeboden wordt, over het algemeen eng voor gebruikers qua uiterlijk. Het oude patch beleide van dat je oude java versie eerst moest verwijderen maakt het update van java een moeilijke taak. Gelukkig is het patch beleid van java wel vorig jaar gewijzigd en wordt het verwijderen van oude versie nu gedaan bij installatie van een nieuw versie. Maar de echte oude versie’s bijvoorbeeld een installatie van Java5.0 die blijft nog kwetsbaar achter op het systeem. Verder mag ook gezegd worden dat het patchen van grote beveiligingsproblemen niet snel is. De tijd dat een zero day exploit voor java werkt, is helaas nog best lang. Dit heeft er ook wel mee te maken dat java updates vrij groot zijn. En dit komt doordat ze geen kleine increment patchen toepassen, zoals we dat van windows-, firefox-, google updates gewend zijn maar altijd voor volledig overschrijven gaan.
Opmerking over de versie nummers van java: na versie 1.4 geeft men besloten de minor versie nummer als major nummer te gebruiken 1.5 werdt dus 5.0 enz. intern gebruikt java nog steeds het major versie nummer 1, dus 6.0 wordt wel eens aangegeven als 1.6.0.

BGP aangepast, Egypte offline.

januari 29th, 2011 • OverigReacties uitgeschakeld voor BGP aangepast, Egypte offline.

Egypte heeft geen internet meer, door een simpele aanpassing aan de routers
van de grootste providers in het land in opdracht van de overheid.
De Egyptische overheid deedt dit waarschijnlijk om de  onrust en instabiliteit proberen in te perken, maar dit is niet zeker. Vele noemen dit terecht een slechte aanpak, gezien geen internet eerder tot meer onvrede leidt.
Het uitzetten van communicatie technologie wekt eerder meer woede op dan dat het de organisatie van demonstraties had kunnen inperken.

Egypte is een belangrijk land voor de doorvoer naar Europese unie voor wat betreft de scheepsvaart.
Maar ook andere landen als India kunnen last krijgen van internet connectiviteits-problemen
wanneer de SEA-ME-WE4 internet kabel buiten werking is. Dit is gelukkig niet het geval, er is slechts een simpele aanpassing aan het border gateway protocol gedaan dat het internet verkeer in en uit Egypte onbereikbaar maakt. Egyptenaren kijken naar de lucht. Wifi van over de grens of anders wel via de satelliet er is altijd wel een manier om internet toegang te krijgen..

Remote code excution op telefoon via SMS.

januari 6th, 2011 • IT nieuwsReacties uitgeschakeld voor Remote code excution op telefoon via SMS.

Het blijkt mogelijk te zijn code uit te voeren op een telefoon via het sturen van een special opgemaakt SMS bericht.
Door te fuzzen (het automatische uitproberen) zijn beveiligings onderzoekers erachter gekomen dat veel feature telefoons bugs hebben die leiden tot een crash of reboot. Het probleem dat feature telefoons kwetsbaar zijn door een special genereerde SMS bericht is lastig op te lossen omdat veel feature telefoons niet eenvoudig genoeg voor consumenten te patchen/upgraden zijn.  De onderzoekers wijzen er ook op dat het SMS protocol heeft veel verschillende extra mogelijkheden heeft en er veel niet goed getest zijn. Vooral een sms met flash leiden tot veel crashes. De presentatie waarop de telefoon bugs gepresenteerd worden is hier te bekijken.

HTTP headers die je webapplicatie veiliger maken

november 15th, 2010 • CodeReacties uitgeschakeld voor HTTP headers die je webapplicatie veiliger maken

Een eenvoudige manier om je bezoeker te beschermen bij een geslaagde hack op je webapplicatie,
is door gebruik te maken van de nieuwe beveiligings features die nu in veel webbrowser komen.
Veel van deze features werken door speciale HTTP header opties te sturen. Een nuttige optie is bijvoorbeeld de X-FRAME-OPTIONS http header die aangeeft of een webpagina in een frame geladen mag worden.
Als je bijvoorbeeld wilt dat je PHP applicatie niet in een frame mag worden weergeven dan moet je dit voordat je html begint te versturen op die pagina de volgende regel opnemen.

header("X-FRAME-OPTIONS: DENY");

Een nog verder gaande beveilig optie is X-Content-Security-Policy HTTP header, die beperkt waar inhoud vandaan geladen mag worden.
Echter zijn er vrij weinig  webbrowser(chrome) die deze beveiligings feature al ondersteunen.
Als je bijvoorbeeld de volgende regel toevoegd mag inhoud (afbeeldingen, css, javascript bestanden enz.) alleen van hetzelfde domein komen.

header("X-Content-Security-Policy: allow 'self';");

d9ping headers in httpfox
Let wel op dat deze maatregelen slechts de impact van misbruikt beperken, als je een XSS probleem hebt is het echte probleem niet opgelost. Daarbij komt nog dat het voor een heleboel oudere webbrowser niet werkt. Maargoed, je bezoekers zouden ook geen Internet Explorer6 meer moeten gebruiken. Deze website heeft de beveiliging features in ieder geval wel al ingebouwd en IE6 gebruikers wordenwerden gewaarschuwd dat ze moesten upgraden naar een hogere versie van hun browser. Een manier om de Http headers te bekijken is door het programma Wireshark of bijv. de Firefox extensie’s als: HttpFox,  Live HTTP Headers of Firebug te gebruiken.
Het is ook nog mogelijk via HTTP headers de XSS(cross scripting) filter van Internet Explorer aan- en uit te zetten. Dit kan met:

header("X-XSS-Protection: 1; mode=block");

maar het is niet nodig deze header te gebruiken want de XSS filter staat standaard al aan.

Zet Hotmail volledige sessie encryptie aan

november 9th, 2010 • WebReacties uitgeschakeld voor Zet Hotmail volledige sessie encryptie aan

Hotmail™ gebruikers zijn bij onveilig verbinding (open wifi) niet standaard beveiligd tegen kapen van een account.
Maar je kunt je zelf wel grotendeels beveilingen door SSL/TLS wel aan te zetten.
Hiermee is het bekijken van emails en niet alleen het inloggen beveiligd met encryptie.
Dit is zinvol omdat het niet versleutelen van de acties na het inloggen toestaat je cookie en dus je sessie met
kinderspel over te nemen, bij gebruik van een onveilige verbinding.
Hier is het stappenplan hoe dat moet:

1. log in op https://account.live.com
2. Klik onderaan op de hyperlink: verbinden via HTTPS.
3. Selecteer: HTTPS automatisch gebruiken (lees bovenstaande opmerking) en kies opslaan.

Let wel op dat Windows live mail programma nu niet meer werkt. Dit omdat windows live mail alleen onveilige HTTP verbinding met de live server kan synchroniseren in een speciale hotmail account type.
(ja windows live mail werkt voor hotmail accounts als een RSS reader.)
Wil je toch SSL/TLS gebruiken dan moet je op de nieuwe account de volgende adressen gebruiken
POP-server: pop3.live.com op poort 995 voor versleuteld aanmelden.
SMTP server: smtp.live.com op poort 25
Let wel dat nu je mappen structuur niet meer offline hetzelfde is als online omdat je nu regulair pop3 gebruikt.

Facebook™ stunt van Studio brussel

oktober 27th, 2010 • AmusementReacties uitgeschakeld voor Facebook™ stunt van Studio brussel

De mensen van studio brussel besloten een facebook pagina van hun concurrent Q-Music aan te maken.
Vele mensen werden zonder goed te kijken lid van de pagina zonder dat ze door hadden dat mensen studio brussel de pagina beheerde.
Uiteindelijk posten alle neppe personen op de pagina via de plaatjes de letters van studio brussels zodat de mensen die lid werden toch een hint kregen.
Dit bewijst maar weer dan je niet op internet alles moet vertrouwen, iemand kan zich voor doen als iemand anders. Wel een unieke facebook stunt.