Search

Archives

Pages

Op mijn desktop:

Suggesties, commentaar, ... (klik of schrijf zelf:)e-mail webgang

Private

Laatste titels:

De Browser schrijft * Onschuldig spelletje of gok * Routerbeveiliging in Duitsland: Sicherheit * Zwarte vrijdag

i-nieuws 6 na 6 ** November 29th, 2018 by wim.webgang **

De Browser schrijft

Als het van Google en Mozilla afhangt, zal het in de toekomst mogelijk moeten zijn dat webapps echte “schrijf” toegang krijgen tot bestanden lokaal opgeslagen bij de gebruiker.
Op dit moment werken de apps met het opslaan van de gegevens op de server. Maar voor sommige apps zou het handig zijn om bestanden te kunnen bewaren op het toestel van de gebruiker zelf. Nu kan de browser wel kleine stukjes tekst in zogenaamde cookies bewaren bij de gebruiker, maar geen volledige documenten.
Volgens Tech Republic willen de ontwikkelaars af van het complexe model dat nu gebruikt wordt: met de browser eerst een bestand kiezen uit het bestandssysteem, zodat dat naar de server kan uploaden, om het daar te wijzigen met de webapp, in je browser. Dat kan dan enkel terug naar het toestel van de gebruiker doordat die het als een download krijgt, waarbij hij zelf de locatie moet kiezen en de vorige versie overschrijven. Te complex. Er wordt dus gewerkt aan een nieuwe “Writable Files API”, dus een programmeermiddel dat toelaat dat vanuit de browser een bestand bij de gebruiker kan geopend worden, gewijzigd, en terug bewaard kan worden.

Wat kan er nu foutgaan?

Alles.
De browser was altijd bedoeld als afgebakend gebied, omdat je contact hebt met het web, en je daar binnen en buiten uit elkaar wil houden. Het was een grote revolutie dat je dingen op het web kon wijzigen, en dat was ook een goed idee omdat dat het web meer maakte waar het voor bedoeld was: publiceren binnen ieders handbereik. Maar systemen als blogs maakten het gevaar snel duidelijk: vanop het web laten schrijven op een server houdt risico’s in. Zou het ook een risico in houden om vanuit het web te laten wijzigen of schrijven naar de harde schijf van de gebruiker? Zijn gebruikers beter beveiligd dan servers? Zijn webapps altijd betrouwbaar? En als een app iets vraagt aan de gebruiker, is die dan kritisch en antwoordt die met volle kennis van zaken?

Zelfs de groep die het voorstel doet beseft dat het gevaarlijk is: ze weten dat ze moeten vermijden dat privacy gevoelige gegevens van computers gepikt worden, dat virussen worden neergepoot, en dat bestanden worden onleesbaar gemaakt om een gebruiker af te persen.

Het is ook niet zo dat morgen een app aan je bestanden zit te knagen. Het project vraagt op dit moment naar commentaar (op https://discourse.wicg.io/t/writable-file-api/1433 ), en die commentaar komt er ook.

Al tien jaar geleden werd gevraagd of het mogelijk en/of wenselijk was om te schrijven buiten de sandbox. Uit veiligheidsoverwegingen werd dat nooit gedaan. Anderzijds zou het al wel een beetje binnengeslopen zijn in Android, dat een app toegang kan hebben tot een bepaalde folder.

Bovendien komen er vragen over hoe ver de API kan gaan. Kan die bv ook een nieuw bestand maken op het toestel van de gebruiker. Eender waar? Kan de app de hele directory structuur zien bij het maken van de keuze waar het bestand moet staan? Wat mag vanuit een extra geopend iFrame? Kunnen er ook mappen gemaakt worden? Is er toegang tot alle aangesloten apparaten? … What could possibly go wrong?

Onschuldig spelletje of gok

België is drie spelletjes armer Er blijven er nog genoeg over …

De anti-gok wetgeving heeft ertoe geleid dat een uitgeverij van computerspelen een drietal spelen weghaalt uit België. De officiële uitleg is dat de wet teveel juridische onzekerheid creëert rond bepaalde elementen met geluksfactor in het spel (waar tussen haakjes extra voor betaald wordt). Hoewel het op het eerste zicht misschien lijkt dat België zich vergallopeert met regelneverij, zitten die loterij-achtige elementen niet zomaar in het spel. Die elementen werken verslavend, en daarom zitten ze er ook in.
Dus misschien is het gewoon goede wetgeving, en begint ze nu ook te werken. Het mengen van spelen en gokken is zeker op jonge leeftijd gevaarlijk voor de toekomst van de jongere, stelt België. En niet alleen België; ook Nederland stelde in april dit jaar nog dat populaire spelletjes de regels over het gokken overtreden (zie NOS). Eén van de elementen in deze zaak is de mogelijkheid om de digitale lotjes door te geven of te verkopen. En natuurlijk verdienen de oorspronkelijke verkopers eraan: volgens Juniper Research verdienen grote bedrijven meer dan 20 miljard aan de virtuele schatten.

Routerbeveiliging in Duitsland “Sicherheit”

De Duitse overheid bemoeit zich met de markt van de routers, de apparaten die de internetverbinding voorzien thuis en in kleine bedrijven, en daarboven meestal nog een aantal andere functies voorzien voor het netwerk, zoals een firewall.
Ze hebben in februari regels opgesteld waarvan ze vinden dat een router eraan moet voldoen. Als dat zo is mag de fabrikant een conformiteitslogo aanbrengen. Een paar interessante regels zijn:
- de gast toegang mag geen toegang geven tot het controlepaneel van het apparaat
- de ESSID mag geen informatie geven over merk, model enz.
- de veiligere WPA2 draadloze verbinding moet standaard gebruikte worden in plaats van onveiligere verbindingen.
- het wifi wachtwoord mag geen verwijzingen bevatten naar het apparaat, merk, model
- wifi wachtwoorden moeten minstens 20 tekens lang zijn
- het wachtwoord voor de instelingen (admin, ..) moet minstens 8 tekens lang zijn, en moet een sterke combinatie van verschillende tekens bevatten (2 hoofdletters, 2 kleine, speciale tekens, cijfers).
- het moet voor de juist aangemeldde gebruiker mogelijk zijn om het root wachtwoord te veranderen

- de router moet standaard uitgeleverd worden met gesloten toegang voor het controlepaneel langs de kant van het internet (wan), en als die geaktiveerd wordt, moet de poort voor de buitentoegang in te stellen zijn.
En de beste:
- er mogen geen ongedocumenteerde achterdeurtjes in de routers zitten!

In november werden ze gepubliceerd. Er kwamen heel wat reakties op, ondermeer van de CCC. Het valt de CCC op dat er een aantal richtlijnen zijn binnengeslopen die de belangen van de fabrikanten verdedigen tegen nieuwsgierige en creatieve gebruikers. Zo zou deze richtljn tot gevolg hebben dat er geen eigen gekozen alternatief systeem of software kan geïnstalleerd worden, zoals openWRT.

Een week na publicatie reageerde het ministerie van digitale veiligheid op de kritiek.

Meer op de site van het Bundesamt für Sicherheit in der Informationstechnik:

Mehr Sicherheit im Smart Home: BSI veröffentlicht Technische Richtlinie für Breitband-Router

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/TR-Router_16112018.html

en

Stellungnahme zur Kritik an der Technischen Richtlinie für Breitband-Router

https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/Reaktion_Router_21112018.html

De CCC maakt een aantal interassante punten op gebied van voorwaarden voor veilige routers, en legt ook bloot hoe de telecombedrijven en fabrikanten mee zaten de lobbyen bij het tot stand komen van de nieuwe richtlijn.

https://www.ccc.de/de/updates/2018/risikorouter

Zwarte vrijdag

Een nieuwe traditie van koopjes is dit jaar volledig doorgebroken: zwarte vrijdag. Eigenlijk “black friday”, want het komt uit de VS, waar het ontstond als koopjesdag na Thanksgiving. De dag is ondertussen uitgegroeid tot een weekend of meer bij sommige bedrijven, en met Thanksgiving kan het bij ons ook al weinig te maken hebben. Pure platte koopjes dus, buzz creëren, verkoop oppompen. Het ministerie van Economische Zaken zal zijn handen volhebben aan het controleren aan de aangekondigde kortingen, die mogelijk voorafgegaan werden door prijsstijgingen.

Voor sommige van de deelnemende bedrijven werd het inderdaad een black friday, want hun website bezweek onder de plotse opstoot van aandacht. Niet zomaar onvoorbereide familiebedrijfjes of kmo’s, wel onze NMBS, de site was uren overbelast, en de aktie was niet geldig aan loketten of automaten in stations. De NMBS maakte zich er met een verontschuldiging vanaf, maar de onvrede onder de klanten is niet zo snel gaan liggen; het wordt als bedrieglijke reklame ervaren. Test Aankoop opende een klacht.

Bij andere bedrijven werd het een “black friday” omdat de mensen het werk neerlegden, zoals bij Amazon. Dergelijke spectaculaire koopjesakties veroorzaken veel extra druk op de mensen die achter de schermen voor de bestellingen moeten zorgen; er wordt meer gewerkt met tijdelijke arbeid, en de extra uren op die dagen worden niet altijd even billijk vergoed, bv door het ontbreken van CAO’s voor de werknemers.

In Nederland hadden ze vorig jaar al te kampen met zo’n black friday problemen; bij een grote speelgoedketen geraakte de hele organisatie overbelast door een black friday, en een electro-keten had een probleem met de weergave van de voorraad; de teller van het aantal beschikbare apparaten bleef positief staan terwijl de voorraad al lang uitverkocht was. Er werden meer dan duizend spelcomputer-bundels verkocht nadat de voorraad al lang uitgeput was.

Voor Netwerk Bewust Verbruiken is het vooral een black friday voor het milieu. spectaculaire koopjes verlagen de drempel voor nutteloze aankopen, de afvalberg stijgt, en al die koopjes moeten geproduceerd en vervoerd worden, dus de impact op het milieu is bijzonder negatief. Zo’n 62 procent van de CO2 uitstoot zou gelinkt kunnen worden aan inefficiënt materiaalgebruik. De prijzen dalen, en tevens de levensduur en de mogelijkheden tot reparatie, en dikwijls ook de arbeidsomstandigheden in de productie.

Een neerwaartse spiraal die ze doorbroken willen zien door het organiseren van een “Niet-winkeldag”. In 1992 ontstond al protest tegen de koopjes, in de vorm van een “Buy Nothing Day” op diezelde koopjesdag Black Friday.

En volgend jaar is het waarschijnlijk de uit China overwaaiende “singles day” die de koopjesrecords zal breken…

compiled by BCP v.0.3.6

Lift ^ | Lift v | Comments Off

Comments are closed.