Tweetweekoverzicht week 4 2016: Gekostumeerd auteursrecht, gestolen lettertypes, Amazon’s muziekdienst en Google dwingt HTTPS af

vakblog tweetweekoverzichtIn het tweetweekoverzicht sta ik alsnog kort stil bij nieuws en interessante ontwikkelingen waar ik wel over getwitterd heb maar waar ik (nog) geen uitgebreide blogpost aan heb gewijd.

Soms omdat anderen dat al beter gedaan hebben dan ik het zou doen, soms omdat er weinig meer over te vertellen valt dan het nieuwtje zelf en soms omdat ik er ook geen blogpost van weet te maken.

In dit tweetweekoverzicht gaat het over wat verkleden met auteursrecht te maken heeft, wat het lettertype in My Little Pony met auteursrecht te maken heeft, waarom Amazon met een eigen muziekdienst gaat komen en waarom Google het gebruik van SSL (wellicht) gaat afdwingen.

Cosplay en auteursrecht

Volgende week begint het carnaval en dat is een mooi moment om even stil te staan bij een artikel over een auteursrechtenzaak die in het hoogste gerechtshof in Amerika, de Supreme Court, gaat dienen. Die gaat namelijk over een auteursrechteninbreuk op een cheerleaderskostuum. Twee ontwerpers van dergelijke kostuums zijn al jaren bezig met een geschil over de mate waarin een ontwerp van een kostuum auteursrechtelijk beschermd is.

Hoewel daar zeker uiteindelijk een oordeel over geveld zal worden, is het bijna net zo zeker dat een vonnis niet meteen vertaald kan worden naar het gebruik van alle soorten kostuums en pakken die er tijdens carnaval – of ten behoeve van cosplay (het je verkleden als je favoriete personage uit televisie, film of animeserie) – gemaakt en gebruikt worden. Tenzij je er geld mee gaat verdienen natuurlijk.

My Little Pony en het gestolen lettertype

Via Torrentfreak las ik het bericht dat Hasbro – de speelgoedfabriek die ook verantwoordelijk is voor de My Little Pony video’s en speelgoed – aangeklaagd wordt door het bedrijf dat het lettertype ontworpen heeft dat in My Little Pony wordt gebruikt. Het ‘Generation B’ lettertype is auteursrechtelijk beschermd en voor het gebruik ervan moet een licentie afgesloten worden met het bedrijf Font Brothers. Dat is niet gebeurd en Font Brothers gaat er nu werk van maken. Of beter gezegd, potentieel een rechtszaak als er geen schikking komt.

Amazon komt met een eigen muziekdienst

De geruchtenmolen draaide de afgelopen week op volle toeren want Amazon zou met de voorbereidingen bezig zijn voor de lancering van een eigen muziekdienst. Alsof er al niet genoeg waren denk ik dan maar Amazon vindt het perfect passen in hun plannen voor werelddominatie. Ongeacht of ze iets gaan verdienen met de muziekdienst zelf want dat lukt ook Spotify – als marktleider – maar nauwelijks. De koppeling met het succesvolle Amazon Prime programma waar in Amerika al miljoenen gebruikers van zijn voor het bekijken van tvseries en films, zou echter wel degelijk een grote concurrent voor Spotify gaan opleveren.

De kans dat we dit in Europa, laat staan in Nederland, gaan krijgen lijken zeer gering aangezien Prime hier ook niet beschikbaar is.

Google dwingt alle sitebeheerders naar HTTPS (en dat is niet alleen positief)

Google is al langere tijd bezig om het gebruik van beveiligde verbindingen te stimuleren. Sinds de zomer van 2014 is het bijvoorbeeld één van de (vele) criteria die meegewogen wordt in de ranking van een website in de zoekresultaten van de zoekmachine. In de volgende versie van Chrome (48) gooit Google er echter nog een schepje bovenop door in de adresbalk van de browser expliciet aan te geven dat een site geen gebruik maakt van het veilige https protocol.

Op zich is dat goed natuurlijk. Het is lastig om te beargumenteren dat een betere beveiliging niet goed zou zijn.

Of de verantwoordelijkheid voor een dergelijk veiliger internet door Google genomen moet worden vind ik echter wel degelijk ter discussie staan. En helemaal als Google dat doet door – in de naam van betere SEO en beveiliging – sitebeheerders te dwingen hier maatregelen voor te nemen. Wie kan het zich veroorloven om straks aan de lezers en gebruikers van een site uit te leggen waarom er een ‘beveiligingsrisico’ is aan je site? Ongeacht of er daadwerkelijk een risico is want welke risico’s zijn er ineens ontstaan op bijvoorbeeld dit weblog tussen de release van Chrome 47 en Chrome 48? Of welk blog dan ook?

Natuurlijk is beveiliging altijd belangrijk maar het is pas essentieel op het moment dat er persoonsgegevens (laat staan betalingsgegevens) verzonden worden die onderschept zouden kunnen worden.

En nee, beste bloggers met wie ik afgelopen week een discussie op Twitter voerde, je mailadres die je in een comment achterlaat is weliswaar een persoonsgegeven maar die wordt altijd al getoond natuurlijk en hoeft niet beveiligd te worden zodat die niet onderschept kan worden. Als je niet wilt dat anderen hem zien dan vul je gewoon een nepadres in. En dat geldt al helemaal voor de comment zelf: die is per definitie openbaar.

Enkele bloggers hebben de moeite al genomen om een SSL certificaat te installeren zodat ze nu via HTTPS hun blog aanbieden. Handig en leuk als je over de technische kennis beschikt dit te doen of bereid bent jaarlijks te betalen voor dat genoegen (en het te laten doen). Nog handiger om straks niet aan je lezers te hoeven uitleggen dat ze geen virussen en privacyschendingen krijgen door simpelweg het lezen van je weblog want dat is wat Google gaat veroorzaken als mensen rode icoontjes in hun browser gaan aantreffen.

Een verplichte stap naar HTTPS voor alle internetsites is nog steeds een goed idee. Maar doe dat dan door het HTTP internetprotocol wereldwijd ‘af te schaffen’ en te vervangen door het HTTPS protocol. Zodat alle webhosts het een standaardonderdeel maken van de diensten die ze aanbieden en particulieren ook automatisch hier gebruik van maken. Zonder dat je er technische kennis voor nodig hebt en zonder dat je door Google opgefokte lezers je dwingen om te betalen voor andermans principes die nauwelijks of niet relevant zijn voor jouw website.

De tijd zal het leren maar het zou me niet verbazen als het verplicht moeten implementeren van HTTPS het einde van sommige blogs gaan betekenen. De tijd dat bloggen over (leuk) schrijven en het belangeloos delen van kennis ging lijkt in elk geval definitief voorbij.

#

WordPress sites worden aangevallen: tijd om na te denken over je beveiliging

wordpressMijn (Amerikaanse) webhost stuurde me gisteren al een mailtje om te melden dat er op grote schaal brute-force aanvallen worden uitgevoerd op Joomla en WordPress installaties. Hierbij worden duizenden besmette servers betrokken bij de aanvallen en pogen ze om bij zo goed als alle WordPress en Joomla installaties in te loggen als admin en het wachtwoord te kraken.

Hoewel mijn webhost me al trots meldde dat ze de aanvallen afgeslagen hadden (en dat ook blijven doen) zijn ze nog steeds gaande. The Verge meldt dat het netwerk alleen maar groeit en dat er nu zelfs 90.000 ip-adressen betrokken zijn bij de hackpogingen. Vooral WordPress ligt in het vizier aangezien er daar ook honderdduizenden installaties van zijn op internet.

Doe de deur goed op slot
Behalve hopen dat je webhost goed zijn best doet en ze van de servers weert waar je blog op staat, kun je zelf ook het een en ander doen.

  • De aanvallen zijn specifiek gericht op WordPress sites die het standaard ‘admin’ als gebruikersnaam hebben. Log je inderdaad nog in als admin, verander dit zo snel mogelijk!
  • Als je anno 2013 nog steeds geen sterk wachtwoord hebt dan verdien je het bijna om gehacked te worden hoor. Log je in met admin en als wachtwoord admin, dan is je blog waarschijnlijk nu al overgenomen ;) Kies of wijzig je wachtwoord naar iets sterks en zorg er voor dat het geen leesbaar woord is dat je in een woordenboek weer kunt vinden. WordPress geeft hier zelf ook tips over;
  • Werk je WordPress installatie bij naar de laatste versie als je dat nog niet gedaan hebt en update ook alle plugins;
  • Over plugins gesproken: je hebt specifieke plugins die de beveiliging van je WordPress site controleren en je suggesties aandragen hoe je dit kunt verbeteren. De Ultimate Security Checker plugin bijvoorbeeld. Ook een plugin als Bad Behaviour kan helpen door alle IP-adressen die je site willen benaderen te vergelijken met lijsten van bekende spamdomeinen.

Zet hackers de deur uit
Ben je te laat met de voorzorgsmaatregelen en ben je gehacked? Dan is het zaak er zo snel mogelijk wat aan te doen.

  • Ga in het Dashboard van je WordPress site naar de gebruikersaccounts en controleer of er andere gebruikers zijn toegevoegd die je niet herkent. Bij een geslaagde hackpoging worden bijna altijd nieuwe gebruikers in een admin rol aangemaakt waarmee ze later je blog in kunnen komen. Verwijder die gebruikers zo snel mogelijk en wijzig je eigen wachtwoord als je dat nog niet gedaan had;
  • Heb je meerdere legitieme gebruikers in een admin rol? Verander al die wachtwoorden dan ook meteen en maak ze sterk;
  • Het is een technisch verhaal maar wijzig je beveiligingssleutels die in de wp-config.php staan opgenomen. Doe je dat niet, dan kan een al ingelogde admin gebruiker gewoon zijn gang blijven gaan ook al heb je dat account zonet verwijderd;
  • Te technisch? Verwijder je blog compleet, herinstalleer WordPress en gebruik de backups die je al jaren trouw maakt van je blog (toch? toch?) om je blog weer in de oorspronkelijke staat terug te krijgen. Minus hackers die toegang hebben natuurlijk.
@ afbeelding via Cloudflare.com
Lees verder bij: Brute force-aanvallen op WordPress-sites verdriedubbeld (Tweakers) // Massive botnet using brute force attack to target WordPress sites (The Verge) // Brute Force Attacks Build WordPress Botnet (Brian Krebs) // Check your security settings: Brute force attacks against WordPress and Joomla sites have tripled (The Next Web)

#

Over verstandig omgaan met je (sterke) wachtwoorden

De laatste tijd lijkt het wel alsof geen enkele grote site in staat is om je inloggegevens veilig te bewaren. Vorig jaar was Sony aan de beurt met een grootschalige hack van hun Playstation Network waarbij alle PSN gebruiker geforceerd werden hun wachtwoord te wijzigen. Vorige maand bleken de wachtwoorden van duizenden LinkedIn gebruikers veroverd te zijn door hackers en gisteren was Yahoo aan de beurt. Met de Sony hack vorig jaar had ik de schrik al enigzins in de benen zitten. Niet alleen omdat ik daar een te makkelijk wachtwoord voor gebruikte maar vooral omdat aan mijn PSN account ook een creditcard gekoppeld zat. Dat liep gelukkig allemaal met een sisser af maar dat was wel aanleiding om aanzienlijk kritischer naar mijn wachtwoorden te gaan kijken.

Ook al weet ik beter, ik rouleerde een beperkt aantal wachtwoorden voor bijna alle online diensten die ik gebruik. Nee, dat is niet slim maar met tientallen sites waar ik vaak, soms of bijna nooit inlog kan ik simpelweg geen tientallen verschillende sterke wachtwoorden onthouden. En dus wisselde ik een stuk of 10 verschillende wachtwoorden af, wat volgens mij al meer is dan gemiddeld.

Hoe meer verschillende wachtwoorden voor verschillende sites hoe beter natuurlijk. Als er dan eentje gekraakt wordt dan hoef je je tenminste geen zorgen te maken dat hackers meteen misbruik weten te maken van de overige tientallen sites waar je een account hebt. Maar hoe sterk is je wachtwoord nou eigenlijk en hoe weet je wat uberhaupt wat een sterk wachtwoord is?

Als je op een site, bijvoorbeeld Yahoo want daar was ik niet geheel toevallig vandaag om mijn wachtwoord te wijzigen, een wachtwoord aanmaakt dan krijg je de volgende suggesties:

– Your password should be easy for you to remember but hard for others to guess.
– Never share your password with anyone, and never reuse a password that you’ve used before.
– Your password must be at least six characters long.
– Use a combination of capital and lowercase letters, numbers, and special characters (such as +, ?, and *) in your password.

Uitstekend advies behalve dat het laatste wellicht de suggestie wekt dat veel symbolen en -niet te onthouden- leestekens betere en sterkere wachtwoorden opleveren terwijl dit haaks staat op het allerbeste advies bovenaan, namelijk dat je een wachtwoord moet nemen dat je zelf makkelijk kunt onthouden maar dat lastig door anderen te raden is. Op veel sites, waaronder Yahoo zelf, krijg je een balkje te zien die met een metertje aangeeft hoe zwak of sterk een wachtwoord is. Het probleem met dat balkje is dat alleen een sterk wachtwoord aangegeven wordt op het moment dat jij symbolen of leestekens gebruikt in je wachtwoord. En dat hoeft helemaal nog niet een sterk wachtwoord te zijn uiteindelijk.

De sterkte van een wachtwoord hangt namelijk af van meerdere factoren:

  1. De lengte van je wachtwoord;
  2. Of het wachtwoord een woord is uit een woordenboek, danwel een term is die vaker/veel gebruikt wordt;
  3. Of het uit 1 of meerdere woorden bestaat waarbij als het uit meerdere woorden bestaat de woorden geen relatie met elkaar hebben;
  4. De variatie in de tekens van je wachtwoord. Wissel letters af met een cijfer of een leesteken.

Zo’n indicatorbalkje beloont vooral/alleen dat laatste aspect maar gaat voorbij aan de overige aspecten. Met een zgn. brute force hack kan een computer kortere wachtwoorden simpelweg nalopen door per teken alle mogelijke variaties te berekenen. Dat is met wachtwoorden van minder dan 8 tekens een klus die een beetje pc tussen de enkele minuten en enkele dagen kost. Zo klinkt een niet te onthouden wachtwoord 76GrF@( misschien heel veilig maar kan die in ongeveer 17 uur gekraakt worden.

Mijn oude wachtwoord voor Yahoo was er weliswaar eentje van 10 letters maar was een enkel woord dat je in een woordenboek kunt vinden. M.b.v. een zgn. dictionary attack vergelijkt een computer eenvoudig alle bestaande woorden (in alle bekende talen) en kan die nogal snel gekraakt worden. Op How Secure Is My Password kun je precies zien hoe lang een desktoppc er over zou doen om mijn oude wachtwoord te kraken. Deze site gebruikt de criteria die hierboven staan om dat te beoordelen.

‘Almost instantly’. Ahum. Mijn wachtwoord was letterlijk een woord, bevatte alleen letters en staat in de top 4100 van meest gebruikte wachtwoorden. Dat kan en moet dus beter.

Bij het kiezen van een nieuw wachtwoord kun je dus beter meerdere woorden gebruiken, die geen relatie tot elkaar hebben en (een beetje) variëren met 1 of enkele cijfer(s) en leestekens. Een wachtwoord als kaartenbak19zakmes73ereader@@ is prima te onthouden als je daar zelf de systematiek voor bedacht hebt en is bijna belachelijk veilig:

Oftewel, je hoeft je wachtwoorden niet vol te stoppen met symbolen, cijfers en afwisselend hoofd- en kleine letters waardoor je ze zelf niet kunt onthouden. Bedenk een systematiek waarin je meerdere ongerelateerde woorden, cijfers en/of enkele leestekens kiest en niet alleen is je wachtwoord dan sterk, je geheugen hoeft dat dan niet te zijn.

Kun je geen systematiek bedenken, dan kun je op de Make Me A Password site eenvoudig een (Engelstalig) wachtwoord aanmaken die voldoet aan die criteria. Veilig en sterk. Zolang je die niet op een Post-it schrijft vervolgens en aan je monitor hangt ;)

@ foto via R. Parmiter/Flickr

#

  • © 2006- 2021 Vakblog – werken met informatie
    Aangedreven door WordPress en duizenden liters koffie // Theme: Tatami van Elmastudio
Top