Toch maar een Flash-licentie aanschaffen? Na enig zoeken blijkt dat niet nodig. Op Download.com zijn diverse programma’s te vinden om diashows met overvloei-effecten te maken. Ik heb er een aantal uitgeprobeerd. Kort en goed: wat mij betreft de beste is FlashSlider.

Het werkt reuze simpel: geef breedte, hoogte en snelheid (in fps, frames per seconde) op. Selecteer daarna via een Verkenner-venstertje de dia’s. Vervolgens stel je in wat voor overvloei-effect je wilt hebben, hoeveel seconden de plaatjes worden getoond en hoe lang het overvloeien duurt. Klik daarna op de knop Afspelen om het resultaat te bekijken. Tevreden? Klik op de knop Voorstelling publiceren en verzin een bestandsnaam, die je vervolgens in je webpagina kunt verwerken.

Tot aan 24 frames per seconde is FlashSlider gratis, voor hogere snelheden moet je je voor een paar tientjes registreren. Webdesign hoeft niet duur te zijn.

Deze keuze heeft een lange voorgeschiedenis. In de jaren 90 was WS_FTP min of meer de standaard. Om redenen die ik ben vergeten, ruilde ik het al snel in voor LeechFTP, dat simultane verbindingen ondersteunde en waarvan ik de interface prettiger vond.

Toen LeechFTP een zachte dood leek te sterven, werd SmartFTP mijn nieuwe favoriet. Prima programma, maar niet gratis en ook niet altijd even betrouwbaar: bij grote uploads – bijvoorbeeld 50 MB verdeeld over meer dan 1000 bestanden – bleef het uploaden wel eens om onverklaarbare redenen hangen. Het open-source programma FileZilla bleek op dit laatste punt betrouwbaarder, dus een overstap was alweer snel gemaakt.

Ook FileZilla bleek zijn manco’s te hebben. Standaard Windows-functionaliteit als ‘sleur & pleur’ was gebrekkig geïmplementeerd: om bestanden te uploaden kun je ze wel verslepen van de Verkenner naar FileZilla, maar omgekeerd kun je geen bestanden downloaden door ze in omgekeerde richting te verslepen. En ook bestanden op de server editen vind ik niet handig: een rechtsklik op het bestand en dan de optie View / Edit kiezen. Bij SmartFTP hoefde je daarvoor alleen maar op F7 te drukken.

Maar een jaar geleden heb ik voor het eerst kennisgemaakt met WinSCP. Dit programma is speciaal bedoeld voor bestanden up- en downloaden met behulp van het Secure Copy-protocol (SCP), zeg maar via een beveiligde verbinding. WinSCP vind ik qua gebruiksvriendelijkheid een verademing: het is gratis, betrouwbaar en het doet alles goed wat FileZilla en SmartFTP naar mijn smaak minder handig doen. Bijvoorbeeld een bestand editen: gewoon dubbelklikken en de editor wordt opgestart.

Tot voor kort was het nadeel van WinSCP dat het alleen geschikt was voor beveiligde verbindingen, maar gisteren hoorde ik op een cursus tot mijn grote genoegen dat dat niet meer het geval is. Versie 4 van WinSCP ondersteunt ook ‘gewoon’ FTP. En WinSCP heeft nog veel meer handigheidjes – zo kun je direct vanuit dit programma overschakelen naar PuTTY om speciale commando’s op de server uit te voeren (bijvoorbeeld tar) die vanuit een Verkenner-achtige omgeving niet mogelijk zijn.

Ik ben helemaal om: WinSCP is voorlopig mijn eerste keus. Met de nadruk op ‘voorlopig’, want over een paar jaar is er vast weer een beter alternatief…

Sinds enige tijd werkt Microsoft aan Windows Live Mail Desktop, de opvolger van haar veelgebruikte Outlook Express e-mail software. Ook de open source concurrentie staat niet stil, binnenkort zal Thunderbird 2.0 worden geïntroduceerd. Omdat van beide programma’s al beta versies beschikbaar zijn, leek het me leuk om deze eens te vergelijken.

De winnaar: Thunderbird. Lees de volledige bespreking.

Vorige week heeft de Organization for Internet Safety een draft Security Vulnerability Reporting and Response Process gepubliceerd. Daarin staat een voorstel hoe beveiligingsdeskundigen en gebruikers fouten in computerprogramma’s zouden moeten rapporteren. De OIS vraagt de internetgemeenschap binnen 30 dagen te reageren op dit voorstel.

De voorgestelde richtlijn is vooral bedoeld om hackers buitenspel te zetten. De laatste jaren is het steeds gebruikelijker geworden dat iemand die een fout vindt direct de publiciteit zoekt en zijn vondst niet eerst in vertrouwen aan de producent meldt. Daardoor zouden hackers belangrijke informatie in handen krijgen en, nog voordat de fout is gerepareerd, kunnen inbreken op een server of een heel netwerk.

De OIS wil nu dat ontwikkelaars eerst de kans krijgen om het lek te dichten voordat een fout algemeen bekend is geworden. In de beveiligingswereld staat dit principe bekend als bug secrecy (of security through obscurity: problemen moet je niet aan de grote klok hangen, want dat zou de algemene veiligheid in gevaar brengen. De tegenhanger van dit standpunt is full disclosure: fouten moeten zo snel mogelijk in het nieuws komen, want daar is iedereen mee gebaat.

Ontwikkelaars krijgen van de OIS 30 dagen de tijd om een gevonden fout in hun software te verhelpen. Degene die de fout heeft gevonden mag het lek pas daarna bekend maken. Daarmee kiest de richtlijn in principe voor geheimhouding, maar met enkele kleine concessies richting de voorstanders van openheid.

Eerdere poging

De Security Vulnerability Reporting and Response Process is ook in een ander opzicht een compromis. Het stuk is in de eerste plaats een richtlijn en niet meer dan dat. Een procedure om het naleven van deze richtlijn af te dwingen is er niet.

Een eerdere poging van enkele softwaremakers, Mitre en @stake, om wél bindende richtlijnen op te stellen mislukte. In februari 2002 ging een voorstel richting de Internet Engineering Task Force (IETF), een internationaal netwerk van producenten, netwerkbeheerders en onderzoekers. Het IETF wees het echter af, omdat de voorgestelde richtlijn zo ver ging dat het niet meer binnen de bevoegdheden van deze organisatie paste.

OIS-lobby

De Organization for Internet Safety is vorig jaar in het leven geroepen door onder meer Microsoft. Er zitten nog meer softwarereuzen in, zoals OracleSymantec en Network Associates. Vanaf het begin was duidelijk dat de coalitie zou gaan strijden tegen openheid over softwarefouten.

Het standpunt van Microsoft was al langer bekend. In het najaar van 2001 schreef Scott Culp, een hoge beveiligingsfunctionaris van Microsoft, een pleidooi voor geheimhouding, dat veel aandacht trok. Openheid over softwarefouten zou volgens hem leiden tot “informatie-anarchie”.

Culp had op zich goede argumenten voor zijn standpunt. Al in de inleiding verwijst hij naar beruchte computerwormen als Code Red, Ramen en Nimda. Hackers hadden deze wormen gemaakt, nadat deskundigen op openbare mailinglijsten, zoals BugTraq, informatie over kwetsbaarheden hadden gepubliceerd, zonder eerst Microsoft in de gelegenheid te stellen daar wat aan te doen.

Vooral Code Red en Nimda hebben het bedrijfsleven veel schade toegebracht, volgens Symantec zelfs zo’n 635 miljoen dollar. Maar ondanks dit sterke economische argument had Culp verder alle schijn tegen. Microsoft komt veelvuldig in het nieuws wegens beveiligingsproblemen. Zijn betoog leek vooral bedoeld om het slechte imago van zijn broodheer weer wat op te vijzelen.

Openheid versus geheimhouding

De controverse tussen ‘bug secrecy’ en ‘full disclosure’ is oud en duurt in feite al vanaf de introductie van de IBM PC in 1981. In de jaren 80 was geheimhouding nog vanzelfsprekend. Wie een fout vond in een programma lichtte de producent stilletjes in. Voor klachten over andere producten dan software ga je immers ook gewoon terug naar de winkel en stuur je niet gelijk een brief naar de krant.

In 1988 werd het Computer Emergency Response Team (CERT) opgericht en werd het doorgeven van softwarefouten meer gecentraliseerd. Onderzoekers en hackers konden hun bevindingen melden bij het CERT. Deze organisatie verifieerde alle meldingen en stuurde ze door naar de betreffende producenten.

En daar ging het mis: het CERT drong bij de ontwikkelaars wel aan op reparatie binnen 45 dagen, maar was zo netjes om de fouten zolang geheim te houden. Iets té netjes, zo bleek, want veel ontwikkelaars hadden inmiddels andere prioriteiten en lieten de fouten gewoon liggen. Als je er maar geen ruchtbaarheid aan geeft, dan heeft niemand een probleem, zo leek de gedachtengang.

Maar dankzij de snelle opmars van internet in de jaren 90 kregen de gebruikers veel meer macht. Ze ergerden zich aan de gemakzuchtige houding van de ontwikkelaars en gebruikten mailinglijsten en websites om gevonden fouten algemeen bekend te maken, vaak nog voordat de softwaremakers op de hoogte waren gesteld.

CERT

Het CERT kreeg ook om andere redenen kritiek te verduren. Zolang ontwikkelaars een gevonden bug nog niet hebben opgelost, gaat CERT er vertrouwelijk mee om. Maar niet helemaal: wie ervoor betaalt, krijgt wél alle informatie over de nog niet opgeloste bugs. En de betalende klanten kunnen die informatie weer doorspelen aan anderen.

Naar alle waarschijnlijk gebeurde dat begin dit jaar, toen onderzoeker Riley Hassell van eEye Digital Security een bug aan het CERT rapporteerde, maar deze lekte uit naar een mailinglijst. Dit incident leidde tot boze reacties uit de beveiligingswereld.

Onderzoeker Mark Litchfield schreef daarop een brief dat hij nooit meer een fout aan het CERT zou melden. Ook Next Generation Security Software (NGSS) verbrak de banden met het CERT.

Verdeeldheid

Sinds een jaar of tien is ‘full disclosure’ dus de norm. Vorig jaar bleek uit onderzoek dat het overgrote deel van de gebruikers en beveiligingsdeskundigen volledige openheid wenst. Gevonden fouten zouden direct moeten worden gepubliceerd, ook als is de producent daar niet blij mee.

Maar de meningen blijven verdeeld, zoals blijkt uit het betoog van Scott Culp. En ook elders wordt getwijfeld. Beveiligingsdeskundige Arne Vidstrom zet in zijn paper Full Disclosure of Vulnerabilities alle voors en tegens vrij gedegen op een rijtje. Hij concludeert dat het vooral van de omstandigheden afhangt welke aanpak de beste is.

Ook de gezaghebbende beveiligingsdeskundige Bruce Schneier heeft meer dan eens over deze discussie geschreven. Volgens Schneier zijn absolute geheimhouding en volledige openheid geen van beide ideale oplossingen, omdat ze allebei enorme economische gevolgen hebben. Geheimhouding leidt tot inferieure software, maar openheid leidt tot miljardenschade door virussen en wormen.

Toch neigt Schneier uiteindelijk meer naar ‘full disclosure’. Zijn mening is vooral pragmatisch: in de jaren 80 bleek geheimhouding domweg niet te functioneren, maar juist openheid in de jaren 90 heeft ervoor gezorgd dat bedrijven veel alerter reageren en meer tijd en geld steken in het opsporen en repareren van programmeerfouten.

Verantwoordelijkheid

Per saldo lijkt de waarheid dus ergens in het midden te liggen, al blijft de vraag waar precies. Microsoft en de andere deelnemers van de OIS-lobby neigen naar geheimhouding met een klein beetje openheid; Schneier en veel andere deskundigen willen vooral openheid met een klein beetje geheimhouding.

Het enige waarover alle partijen het vooralsnog eens zijn is over het belang van verantwoordelijkheid. Zowel ontwikkelaars als gebruikers moeten verantwoordelijk omgaan met gevonden fouten: ontwikkelaars moeten ze zo spoedig mogelijk verhelpen en gebruikers mogen ontwikkelaars geen schade toebrengen door gevoelige informatie door te spelen naar andere partijen die er misbruik van kunnen maken.

Wie zich voor een webdienst wil registreren, dient een wachtwoord te verzinnen. En… wat heeft u gekozen? Een simpel wachtwoord als ‘geheim’? Is het wachtwoord misschien gelijk aan uw gebruikersnaam? Of is de keuze gevallen op de naam van uw vriend, vriendin, poes, oma of favoriete voetbalclub? Of is het iets degelijkers als:

24fxZE4h eF6p6R0S fOWvR5wd

Hoe het ook zij, Brits onderzoek doet niet veel goeds vermoeden. Vijftig procent van alle computergebruikers kiest voor de hand liggende wachtwoorden, zoals namen van familieleden, partners of huisdieren. En dertig procent kiest een popidool of sportheld.

Stel nu eens dat u een boef bent en zo’n wachtwoord wilt kraken. Hoe doet u dat? Het antwoord: huur geen hacker in, maar een psycholoog of een genealoog. Uit hetzelfde onderzoek blijkt namelijk dat de werkplek van computergebruikers veel aanknopingspunten oplevert voor wachtwoorden. Slingert er een pen rond met daarop de naam van de voetbalclub? Of staat naast de pc een lijstje met een foto van uw dochtertje?

Verder zijn ook genealogische websites heel bruikbaar om wachtwoorden te achterhalen. Hoeveel mensen kiezen niet hun geboortedatum, -plaats, of de naam van naaste familieleden als toegangscode? Gewoon even de stamboom checken, wat namen en datums uitproberen, en het wachtwoord rolt er zo uit.

Een té voor de hand liggend wachtwoord kan vergaande gevolgen hebben. Enkele maanden geleden was de proxyserver van de New York Times gekraakt. De hacker Adrian Lamo had slechts twee minuten nodig om de juiste toegangscode te raden.

vlierkuup zwik3ver gar$987

Maar soms ligt een wachtwoord ook iets minder voor de hand. Tien procent kiest een fantasie-wachtwoord, vaak met een seksueel tintje. En tien procent kiest cryptische combinaties. Die zijn het moeilijkst te raden.

Computergebruikers gaan dus schrikbarend slordig om met wachtwoorden. Valt er iets te doen aan deze mentaliteit? Dat wel. Veel computersystemen stellen hun gebruikers verplicht om regelmatig een nieuw wachtwoord te kiezen, bestaande uit minimaal zes tekens. En je mag niet iets opgeven wat je ooit al eens eerder hebt gebruikt en ook geen bestaande woorden uit het woordenboek kiezen.

Dergelijke beperkingen zijn een hele verbetering, maar zelfs dan spelen inventieve (of luie?) gebruikers het nog klaar om voor de hand liggende wachtwoorden te verzinnen. Een aardig voorbeeld geeft netwerkbeheerder Ari Ollikainen op een mailinglijst van de Amerikaanse computerprofessor David Farber. Hij had ooit geconstateerd dat veel wachtwoorden simpelweg bestonden uit een rijtje van zes naast elkaar gelegen tekens op het toetsenbord, bijvoorbeeld ‘qwerty’ of ’345678′.

tyuiop xcvbnm fghjkl

Ook de bepaling dat je van tijd tot tijd een nieuw wachtwoord moet verzinnen, is niet helemaal onomstreden. Uit studies bij Bell Labs blijkt namelijk dat de veiligheid juist afneemt door regelmatig wisselende wachtwoorden.

De reden is eenvoudig: bijna iedere gebruiker baseert een wachtwoord op de wereld om hem heen, maar iedereen heeft maar een beperkt universum. Daardoor wordt het steeds lastiger om een wachtwoord te bedenken dat moeilijk te raden is én gemakkelijk te onthouden. Er is dus iets voor te zeggen om een ijzersterk wachtwoord tot in lengte van jaren te blijven gebruiken. Tenzij u zeker weet dat een boef al uw code heeft bemachtigd natuurlijk.

En zelfs gebruikers die een goed wachtwoord hebben gekozen, zijn maar al te graag bereid dat aan hun collega’s te geven, zo meldde The Register onlangs. Die collega’s kunnen dat wachtwoord nog minder gemakkelijk onthouden, want ze hebben het immers niet zelf bedacht.

Wat doen ze dan? Precies, ze schrijven het daarom maar op een memoblaadje, dat ze aan de rand van hun beeldscherm plakken. Lekker handig, altijd bij de hand. Lekker handig, denkt ook de schoonmaker die aan het eind van de dag het kantoor komt stofzuigen.

194enseztig m1n1muml00n stropwaaffel

Heeft u niet voldoende fantasie om een sterk wachtwoord te bedenken? Laat de software het dan voor u doen. Enkele gratis programmaatjes die het proberen waard zijn: Quicky Password Generator, Any Password en Secure Password Generator.

De opzet van dergelijke software is simpel: kies eerst de gewenste lengte van het wachtwoord en vervolgens wat voor tekens erin mogen voorkomen: kleine letters, hoofdletters, cijfers en/of leestekens. Eén druk op de knop en daar is uw wachtwoord. Maar let op, nu komt het moeilijkste: u moet dat wachtwoord op een of andere manier zien te onthouden.

Wl/6Xcg\wI4. Tz-iiRwQIS!y .TtGu+A/z5@_

Tot nu toe hebben we het gehad over het kiezen van één wachtwoord. Was de praktijk maar zo simpel. In het dagelijks leven worstelen we met een warboel van tientallen gebruikersnamen, wachtwoorden, toegangsnummers en PIN-codes. Schrijft u die allemaal op in uw agenda? Dat gaat goed totdat u het slachtoffer wordt van een zakkenroller. De kans is niet groot, maar áls het gebeurt heeft u een Groot Probleem.

Gelukkig schieten ook hier softwaremakers te hulp. Er zijn tientallen password managers verkrijgbaar, waarvan sommige zelfs gratis. Deze programma’s bewaren uw gebruikersnamen en wachtwoorden van alle computertoepassingen en webdiensten die u gebruikt. Bij sommige kunt u zelf PIN-codes en creditcardnummers opslaan.

Alle gegevens worden bewaard in een bestand op uw computer. Dat bestand is natuurlijk zelf ook weer beveiligd met een wachtwoord. U hoeft dus voortaan nog maar één digitale moedersleutel te onthouden.

De meeste programma’s hebben een ingebouwde wachtwoordengenerator en waarschuwen als het tijd wordt om een wachtwoord te vervangen. Vaak is maar één toetsaanslag nodig om de gebruikersnaam en wachtwoord uit uw kluisje over te hevelen naar het inlogscherm van uw computertoepassing of webdienst.

dqalnk spnoeo vpjuih

Hoe aantrekkelijk dergelijke kluisjes ook lijken, er zitten allerlei addertjes onder het gras. Sommige password managers zijn ronduit inferieur, bijvoorbeeld Password Manager 1.0. Dit programma slaat de digitale moedersleutel zonder enige vorm van versleuteling op in het wachtwoordenbestand. U hoeft slechts het bestand te openen met Kladblok of een tekstverwerker en het wachtwoord verschijnt op uw scherm.

Met andere woorden: het is alsof u de moedersleutel bovenop het kastje achterlaat in de hoop dat niemand op het idee komt om daar even te kijken. Het spreekt voor zich dat een kluis met een gemakkelijk te achterhalen moedersleutel een ideaal doelwit is voor hackers. In plaats van dat uw beveiliging beter op orde is, heeft u in feite alleen maar de deur opengezet voor de boze buitenwereld.

Enkele password managers die hun beveiliging beter op orde hebben zijn
Whisper, Aha Password & Info Manager, Oubliette, Access Manager en KeyWallet.

Ook de internationaal vermaarde beveiligingsdeskundige Bruce Schneier heeft een wachtwoordenkluis gemaakt: Password Safe. Voor encryptie van de moedersleutel gebruikt hij zijn eigen Blowfish-algoritme, dat in wetenschappelijke kringen een goede naam heeft. Schneier heeft afgelopen najaar aangekondigd dat hij van Password Safe open-source software wil maken.

6713503328 2624983980 5815287412

Maar zelfs het nut van een goede password manager is te betwisten. Elke keer als u ergens inlogt, moet u immers uw digitale sleutelkluisje activeren en het juiste wachtwoord opzoeken. Dat vergt altijd nog een paar extra handelingen en als dat vaak gebeurt, kan dat behoorlijk gaan vervelen. Aan steeds weer opnieuw inloggen hebben gebruikers een bloedhekel, zo bleek twee jaar geleden uit onderzoek van Jakob Nielsen, expert op het gebied van webinterfaces.

Er bestaan ook kluisjes die permanent op de achtergrond draaien en automatisch actief worden zodra ze ergens op het scherm een inlogscherm detecteren. Het wachtwoord vullen ze zelf in. Dat lijkt een grote vooruitgang, maar het is absoluut onveilig. Als u even naar het toilet bent, kunnen uw kinderen of uw collega’s op uw pc overal onder uw naam inloggen.

Er is nog een ander bezwaar van password managers: u heeft slechts op één computer toegang tot al uw wachtwoorden. Mobiele werkers moeten de gegevens dus steeds op diskette meenemen. En in sommige gevallen is het kluisje helemaal onbruikbaar, bijvoorbeeld als u voor een geldautomaat staat en u uw pincode vergeten bent. Of bent u bereid altijd uw laptop mee te nemen als u gaat pinnen?

De ideale oplossing is dus nog niet gevonden. Bruce Schneier adviseert zelf als alternatief voor zijn digitale kluis: bedenk een krankzinnig ingewikkeld wachtwoord, schrijf het op een blaadje en stop het in je portemonnee. Met andere woorden: liever het risico van zakkenrollers dan van hackers.