Technische Blogs
| view"> Last few days I have changed some things on this website, most noticeable the block with latest content on the front page. I also changed some other things:
URL changesNow http://valheru.org also directs to this site. Of course http://www.valheru.org will also still work. The old landing page is still available as default site for the other domains listed here (not really interesting):
And of course Share still works, although badly needs some attention actually, I don't really work on Howto's or projects at the moment so Share is getting outdated.
Latest content and content by yearAs said, I added a latest content block on the home page, this block contains a table with 5 views in it, Each view is for a content type and shows the 5 last items posted of that content type, each view also contains a more link to the overview page of that content type. Less apparent though is the title of this block, this contains a link to an overview of ALL content divided in nice quicktabs for each content type and sorted newest first. Next to that I made the same views (but no direct links) for http://valheru.org/content/year/2014 (you can swap 2014 for 2001, 2005 and 2009 to 2014) which gives an overview of all content for that year. Not really interesting because anything before 2013 only contains Photo Galleries since before that I didn't actually do anything with this site. This was fun because this involved making views per content type, capturing these in Quicktabs and using quicktabs to pass the argument (year in this case) to the view. I also found a bug in Quicktabs and a patch for that. I learned some more about views and quicktabs and passing and handling arguments. Since I was working on views anyway I also generated views for other content types by year in the same way. like http://valheru.org/drawings/year/2013 and http://valheru.org/stories/year/2014, if correct this works for all content types. Of course this already worked for a while for the Personal Blogs and the Tech Blogs sections.
MenusI also changed the menu structure. The links to the individual items have been removed, the menu got so long it needed a lot of scrolling and most people used the top links to go to the overview pages in the different content sections anyway. Also, the Suckerfish menu is very nice but so not handy on a mobile device. Maybe I should use a different skin for my site for mobile devices. Anyway, most menus (except Stories and Photo Galleries) now only contain links to yearly or monthly overview pages. Stories and Photo Galleries weren't big menus yet so I left them as is for now, I might change them too later on but for now it at least works and the new latest content block makes the site easier to navigate for most people I think. |
| view"> This morning and part of the afternoon some idiots have been trying to hack my website. However, what did happen was that they didn't just bashed my site, nope, they bashed it so fast and obviously that the load on the shared hosting servers climbed to 8. Of course these morons didn't try to be subtle so soon enough alarms were triggered with the hosting company who in turn just restarted apache and mysql and banned the ips of the idiots trying to bash my site. So, people, first of all, don't try brute force, it's the attack of the monkeys, of the script kiddo's who don't know how to do a proper hack. And, it's not only lame, it's also hurtful for everyone hosting on the IP of the site you are attacking because it is a mild form of DoS. So, if you want to use brute force, do it slowly without triggering a high load on the server, you will be less noticed. Unfortunately for most people, you probably will be noticed by me because I log all login attempts with invalid ID's or passwords. If I had the resources I would setup a sandbox for you people to practice in... But then again, the people bashing my site probably aren't interested in the fine art of hacking and security, they are interested in creating a spam platform on this website, or use it to infect people with viruses. And that is something I can't allow. So sorry mister spammer, your attempts have been logged and your providers (yes both of them) have been notified, so probably you will loose at least two of your zombies from which to try something like this again. Happy new year for everyone who is not a spammer! |
| view"> Due to the amount of spam comments I got in my drawings and blog sections, some time ago I implemented captcha support on this website. After a while it seemed that my captcha's got broken and I still got spam comments on many posts. So I tried several captcha systems, ReCaptcha, MathCaptcha and several others. Unfortunately none of these did the trick. I started moderating the comments, this kept the spam from showing up but now I had to deal with this on a daily basis. Two days ago there was a very annoying spam run which posted 40 comments within one minute and I got really annoyed with it. So at that point I did some research and implemented the Drupal module for Mollom and created a Mollom account for this site. I am pleased to say I got 0 spam submissions since then and I don't have to worry about it anymore. So people spamming this website, you can save yourself the trouble |
| view"> Again Dutch but then again, this is a real Dutch subject.
Vandaag las ik het volgende artikel: http://nutech.nl/internet/3658257/nieuw-digid-bruikbaar-in-webwinkels.html
Ten eerste moet het mij van het hart dat dit het zoveelste systeem is wat in eerste instantie voor en door de overheid ontwikkelt is en nu eigenlijk commercieel ingezet gaat worden. Persoonlijk lijkt dit mij onwenselijk, kijk hoe geweldig het heeft gewerkt om het Openbaar Vervoer te privatiseren en commercieel te maken, de dienstverlening is met sprongen achteruit gegaan, de prijzen met diezelfde sprongen vooruit, er word geblunderd met OV Chip kaarten waardoor sommige reizen goedkoper zijn met een kaartje i.p.v. een OV-chipkaart en andere juist weer duurder en het uiteindelijke resultaat is dat er nu minder mensen de trein of de bus nemen dan voorheen en dat er constant ruzie is tussen de vervoerende partijen (zoals de NS en Arriva) en de beherende partij (ProRail). Ook de post privatiseren heeft voor mijn gevoel tot wanorde geleid, krijg ik nu een poststuk niet dan moet ik eerst uitzoeken bij welk bedrijf ik een klacht moet indienen, dagelijks krijg ik op meerdere momenten post, er worden meer fouten gemaakt, ik krijg met enige regelmaat post voor mensen die in de straat achter mij op het zelfde huisnummer wonen en ik merk zelf met enige regelmaat dat ik bepaalde brieven niet krijg, die zullen dan wel bij de mensen in de straat achter mij bezorgd worden gok ik. Ook met pakketjes is het niet beter, regelmatig zie ik 2 concurrerende pakket diensten door de wijk rijden en heb ik het inmiddels al mee gemaakt dat er een briefje in mijn brievenbus zat dat mijn pakketje achter in de barbecue lag. Op zich geen van alle echt kwalijke punten (behalve het verkeerd bezorgen dan) maar wel punten die duidelijk maken dat de dienstverlening achteruit is gegaan sinds de privatisering en je kunt mij nog steeds niet wijsmaken dat het goedkoper is dat ik mijn post in 2 etappes krijg en dus door 2 bezorgers dan dat ik het in 1 keer krijg bezorgd door 1 bezorger. Beide voorbeelden geven aan dat het uiteindelijk meer geld kost, of van de overheid of van de mensen zelf.
En nu zijn ze eigenlijk bezig het DigID systeem, wat ontwikkelt is als een centraal veilig inlog systeem voor overheidszaken, op dezelfde manier commercieel te maken in de hoop hier aan te kunnen verdienen. En dan begint het al met de nietszeggende kreten als 'er worden harde afspraken gemaakt om de veiligheid te waarborgen', waar zijn die afspraken terug te lezen? Waarom staan die er niet bij vermeld? Maar goed, dit zijn we gewend van politici. En er mag echt gezegd worden dat het lijkt alsof ze hun best hebben gedaan om een veilig systeem uit te denken waar het om privacy gaat. Maar mensen, een single sign on systeem voor een heel land? Bedenk eens wat voor security implicaties dat met zich meebrengt... Een groep hackers weet direct waar ze moeten zijn om de inlog gegevens van ALLE Nederlanders voor ALLE Nederlandse overheidsdiensten en webshops te krijgen. Om nog maar te zwijgen van terrorisme (want tenslotte is het wel mode om daar bang voor te zijn en rekening mee te houden), als buitenlandse kwaadwillende groep terroristen blaas je gewoon het datacenter van Logius op waar DigID in gehost word, voila, in een klap een hele samenleving ontregelt, niemand kan meer bij de digitale overheid maar ook niemand kan meer bestellen via webshops! Kun je je de impact op onze economie voorstellen als zoiets gebeurd? En wat als het door een foutje gebeurd, oeps de main kabel naar het datacenter is stuk en de back-up bleek niet getest te zijn en ook stuk te zijn, hoe vaak ik dat al niet heb meegemaakt in de ICT wereld. Of dat de back-up en main kabels naast elkaar door dezelfde buis heen lopen, gaat die buis stuk, beide verbindingen stuk, dan zit je dus met een probleem van een enorme omvang met zo een centraal inlog systeem.
Het is heel lovend om zoiets op te zetten want er zitten tenslotte best veel voordelen aan zo een systeem en vooral, het zorgt dat webshops dezelfde 'veilige' procedures gebruiken die de overheid gebruikt, dat is zeker een goed punt. Maar alles in aanmerking genomen, is het niet veel verstandiger om een losse overheids tak van de DigID met een eigen infrastructuur en back-up systeem te behouden en daarnaast misschien een commerciële versie te bouwen? Is het niet veel veiliger om bij een terroristische daad of een hack poging slechts 1 sector (overheid of webshops) te hebben die getroffen word i.p.v. 2? En is het ook vooral niet zo dat als webshops hier voor gaan betalen dat ze dan ook eisen gaan stellen op den duur? Dat ze bijvoorbeeld inzage willen in bepaalde gebruikers data? En krijg je dan niet weer het probleem dat dit overhandigd gaat worden omdat men bang is dat de 'klant' (webshop in dit geval) wegloopt en zelf iets gaat doen? Bij dit soort systemen is er altijd function creep. Dus bouw een systeem wat alle inlog gegevens van alle Nederlanders voor de e-overheid en voor alle webshops in Nederland bevat, laat dit systeem vervolgens statistieken over de gebruikers en waar ze allemaal inloggen verzamelen, en je hebt de natte droom van elke marketing manager. Geef vervolgens de beheerders de opdracht om commercieel te denken en voila, je kunt gaan zitten wachten tot al die gegevens op straat komen.
De veiligheid van de huidige DigID laat al te wensen over, hun controle methodes ook, de beherende partij (Logius) is gericht op het gebruik van DigID zo aantrekkelijk mogelijk te maken voor andere partijen. Ik heb voorlichtingen van deze mensen meegemaakt, ik heb gezien hoe ze in de crisis van Lektober handelde. Tijdens Lektober was ik in dienst bij een leverancier van RIS/BIS Systemen (RaadsInformatie / BestuursInformatie Systeem). Alle communicatie die wij van Logius ontvingen in die tijd en alle voorlichtingen waren overduidelijk gericht op managers, bij elke technische vraag die je deze mensen voorlegde werd gereageerd met 'dat weten we nog niet, daar komen we nog op terug', er werden security maatregelen opgelegd waarvan deze mensen zelf niets snapte en die duidelijk NIET door een ICT-er bedacht waren. Hierbij mag wel gezegd worden dat de uiteindelijke versie van de security maatregelen zoals ik die later te zien heb gekregen WEL doordacht was en inderdaad een zekere basis beveiliging afdwong.
Ik zou onze overheid dus willen oproepen om het ontwerp van het nieuwe DigID platform niet uitsluitend bij Logius en de commerciële partijen waarmee zij zaken doen te laten berusten, laat dit ontwerp a.u.b. ook inspecteren door onafhankelijke security experts, de opensource wereld en eventueel wat concurrerende commerciële partijen. En een oproep die ik al vaker heb gedaan: Beste overheid, houd a.u.b. op met te luisteren naar de commerciële partij met het beste verkoop verhaaltje en neem zelf eens wat mensen in dienst met een gezond boeren verstand en kennis van ICT, op de lange termijn is dat goedkoper, krijg je er een betere dienstverlening van en ben je af van de afhankelijkheid van commerciële partijen die liever uren schrijven dan echt het probleem op te lossen. |
| view"> Sorry for English reader, this one is in Dutch even though I try to keep my techgblogs in English I really was too lazy to translate this one, might still do that one of these days though.
Vandaag ben ik weer eens gaan bijlezen op mijn security nieuws, ik liep hier een ruime week in achter, zoals in veel dingen, beetje afgeleid door andere dingen. Dus heb ik natuurlijk weer wat dingen waar ik een mening over heb, deze heb ik al op Facebook gelucht voor een groot gedeelte maar onderstaande werd wel wat lang voor een Facebook post. En misschien ook wel wat te technisch, vandaar een blogje.
Microsoft en FIDONu lees ik zojuist dat Microsoft zich bij de FIDO Alliantie heeft aangesloten (Fast IDentity Online). Deze alliantie wil graag het gebruik van wachtwoorden vervangen door andere methodes, met name biometrisch, denk dan aan vingerafdruk scans, gezichtsherkenning via webcam of iris scans, misschien zelfs stem herkenning. Nu rijst er bij mij de vraag: Waarom reduceren we de hoeveelheid opties? Kijk, het is handig als je met gezichtsherkenning of een vingerafdruk achter je pc kunt en je betalingen kunt regelen, dat staat buiten kijf. Maar besef wel dat iemand die kwaad wil jou gewoon voor de camera kan planten. Een wachtwoord afdwingen is al een stapje moeilijker.
En waarom word er niet opgeroepen tot een combinatie van beide? Een vinger is af te hakken of zelfs gewoon met geweld op een display te drukken door iemand, gezicht en stem kun je vrij makkelijk gaan dwingen. Dus bij stemherkenning zou ik kiezen voor stemherkenning met een passphrase, maar zelfs dat is lastig want als ik die passphrase een aantal keer per dag herhaal dan zal vroeger of later iemand die horen. Dus wederom, naast een herkenningsalgoritme d.m.v. vingerafdruk of irisscan of andere biometrische opties die er zijn houd ook het wachtwoord in stand.
In mijn mening, en die is toch niet bepaald ongefundeerd als iemand zijnde die zich Security+ Certified Professional mag noemen, is het reduceren van de factoren: - wie ik ben - wat ik weet - wat ik heb
Tot alleen maar: - wie ik ben
Een erg slecht idee. Ik zou willen voorstellen om een goeie 3 factor authenticatie te ontwikkelen, bij voorbeeld zoiets: 1. een USB key die een finger print maakt en kan doorsturen via een bepaald protocol, natuurlijk encrypted, secured etc., laten we het bij de theorie houden voor vandaag en niet de praktische details uitwerken) 2. een wachtwoord 3. een losstaand token (wat geïntegreerd kan worden met je USB key voor finger print uitlezen zolang het in de behuizing maar wel gescheiden is) wat ook ingevoerd moet worden.
Natuurlijk is dit een grof ideetje wat ik ter plekke in ongeveer 1 minuut bedenk. Als ik dat kan, hoe kunnen respectabele bedrijven als Microsoft en Google hier dan niet opkomen? Deze bedrijven hebben mensen in dienst die vele male intelligenter zijn dan ik, waarom denken die hier niet over na? Ik krijg er een bijsmaak van dat het ze gaat om hardware te kunnen verkopen en om het online aanschaffen van dingen zo laagdrempelig mogelijk te maken zodat mensen sneller in de verleiding komen om iets te kopen en daar ook minder lang de tijd voor hebben om er eens over na te denken. Dit in een tijdperk waarin online privacy op grote schaal geschonden word, niet alleen door criminelen en louche bedrijven maar ook door grote, gerenommeerde bedrijven en instanties, om over inlichtingendiensten nog maar te zwijgen, vind ik een erg zorgwekkende ontwikkeling. Als de grote tech bedrijven in deze wereld dit gaan pushen gaan hardware leveranciers hierin mee, ze zullen wel moeten als ze zaken willen blijven doen met Microsoft, dus krijgt de consument het vanzelf bij de aanschaf van een nieuwe pc door zijn strot geduwd, of hij nou wil of niet. En dan zegt zijn OS vanzelf een keer 'U heeft deze authenticatie optie, u kunt niet meer kiezen voor een wachtwoord'. Natuurlijk weet de wat geavanceerdere gebruiker hier wel raad mee maar het gros van de mensen is geen geavanceerde gebruiker, hun antwoord zal dus zijn 'ja het moest van de computer zo', dis men gaat het dan vanzelf gebruiken. Niet alleen hebben we dan een open autenticatie platform wat door iedereen te gebruiken is en dus virtueel een index van alle gebruikers op het internet is die hier aan meedoen wat al ontzettend veel opties tot phishing attacks of andere vormen van datamining oplevert en waar misschien zelfs wel, indien voorzien van de nodige kennis, een man in the middle attack mee is uit te voeren. Maar wat vooral zo slecht is aan dit plan is dat het 1 authenticatie type vervangt voor 1 ander. En dit keer zonder de added bonus dat het stukje informatie wat nodig is voor authenticatie (als het goed is) alleen in jouw eigen hoofd bestaat of misschien in een password kluis. Dus, ik ben helemaal voor biometrische authenticatie implementeren, mits technisch goed gedaan want ik wil er niet over nadenken hoeveel vingerafdrukken je per dag overal achterlaat. Maar laat het alsjeblieft vergezeld gaan van iets anders, iets wat alleen jij weet, en het allerliefste nog van nog een derde factor, een sms die je ontvangt, een token code, er is zoveel te verzinnen. Ik zou de FIDO en Microsoft willen oproepen om nog eens goed na te denken over de veiligheidsimplicaties van dit plan en toch vooral de security trilogie voor inlog procedures in gedachte te houden: - wie ik ben - wat ik weet - wat ik heb
Zodat in ieder geval op het inlog niveau veilig gewerkt kan worden, daarna mogen ze bedenken hoe ze kunnen voorkomen dat de NSA alle gegevens die bij Google of Facebook op de servers staan kunnen inzien
Deze blog is geschreven gebaseerd op dit artikel: https://www.security.nl/posting/372545/Microsoft+sluit+zich+aan+bij+all… Ik heb verder geen onderzoek gedaan naar de FIDO of hun plannen zal ik eerlijk zeggen, ik heb ze opgemaakt uit dit artikel en daar mijn reactie op gebaseerd. |
© Valheru 2001- - Powered by Drupal - Theme based on Creative Responsive Theme by Zymphonies