De Devschuur Coffee Corner - Iteratie 6

Firesphere schreef op donderdag 10 april 2014 @ 16:53:
[...]

Ik ben eigenlijk wel benieuwd naar je coding methods in Silverstripe. Heb je ergens een repo waar ik wat kan zien?

* Firesphere is parttime framework dev van Silverstripe

Nee, ik heb nu ook nog maar één project daadwerkelijk opgeleverd met Silverstripe (verder heel eenvoudig, had er eerst WordPress voor gebruikt maar het omgezet naar Silverstripe, klant vond het prima zo lang hij maar z'n pagina's kon bewerken, en ik kon gelijk uitproberen hoe makkelijk extra DB-velden konden worden toegevoegd en aan een veld in het CMS gekoppeld (heel makkelijk )).

Ik merk dat ik vooral het laatste jaar echt een heel stuk beter ben geworden in web development/design, de eerste websites die ik voor mijn bedrijf heb gemaakt vind ik nu dan ook niet om over naar huis te schrijven (templates van internet enzo , dat is niet per se slecht, maar voelt meer als iets bestaands hacken in plaats van zelf volledige controle hebben ).
Nu maak ik een ontwerp op maat en meestal ook eerst een statische template. Met Silverstripe gaat het omzetten naar een CMS heel makkelijk en vooral het inrichten van de back-end is een piece of cake vergeleken bij WordPress.

Ben dan ook nog steeds erg blij dat jij me op Silverstripe hebt gewezen .

Douweegbertje schreef op donderdag 10 april 2014 @ 17:32:
Ik sta ook in de hall of fame shame, alleen omdat ik voor alle gebruikers hun wachtwoord middels een injection gone wrong had veranderd in )) "SELECT * FROM USERS

Rutix schreef op donderdag 10 april 2014 @ 18:27:
Mijn wachtwoorden maak ik mij niet zo zorgen om. Maak mij meer zorgen om dat certs comprised kunnen zijn. En helemaal als er acties zoals wat StartSsl nu flikt

Die actie van StartSSL is echt schandalig. Dat ze zelfs betalende klanten weigeren te helpen getuigt van weinig "trustworthyness"

Chris7 schreef op donderdag 10 april 2014 @ 18:29:

Ben dan ook nog steeds erg blij dat jij me op Silverstripe hebt gewezen .

Ik vind het leuk en grappig om te zien dat er hier meer mensen serieus naar Silverstripe gaan kijken en daarmee indirect gewoon core-code van mij gebruiken

Ok, toegegeven, in 3.x zijn mijn bijdrages nog niet heel erg substantieel, meer functionele toevoegingen en kleine bugs, maar dat komt door tijdsgebrek

Als je vragen ofzo hebt kun je me mailen op m'n github account

---

Al m'n StartCom certificaten uitgeschakeld en overgestapt naar Verisign. De fuck hoe ga ik dit aan m'n klanten uitleggen? Dit kost me een rib uit m'n lijf, en ik moet die StartCom certificaten nog withdrawen ook. Waar ik voor moet betalen.

Ik weet't. If you pay peanuts enzo, maar dit is te belachelijk, ik heb een offerte aangevraagd voor wat het zou gaan kosten om al m'n certificaten (8 stuks) in te laten trekken. Ik vrees het ergste.

[ Voor 60% gewijzigd door Firesphere op 10-04-2014 18:42 ]

8* $ 24.90 = $199.2 = €143,42

Douweegbertje schreef op donderdag 10 april 2014 @ 18:45:
8* $ 24.90 = $199.2 = €143,42

Ja, maar ik hoop dat ze wat korting willen geven. Maar ik ben bang van niet.

tbh, als je kosten wilt besparen zou ik het even een paar dagen uitzingen. Misschien vallen ze onder de "druk".

Douweegbertje schreef op donderdag 10 april 2014 @ 18:47:
tbh, als je kosten wilt besparen zou ik het even een paar dagen uitzingen. Misschien vallen ze onder de "druk".

Dat was ik ook van plan, in principe worden mijn certificaten momenteel nergens meer gebruikt, tenzij ze volledig compromised zijn, maar ze zijn allemaal IP-gebonden, dus de kans dat dat zo is betwijfel ik. Als ze niet toegeven, dan hou ik de activiteit de komende maanden in de gaten, maar als er niets gebeurd dan laat ik ze verlopen en zeg dan m'n StartCom account op.

---

Met dank aan Brakkie maar eens even wat profiel-beschrijvingen updaten.

[ Voor 6% gewijzigd door Firesphere op 10-04-2014 18:54 ]

Firesphere schreef op donderdag 10 april 2014 @ 18:49:
[...]

Dat was ik ook van plan, in principe worden mijn certificaten momenteel nergens meer gebruikt, tenzij ze volledig compromised zijn, maar ze zijn allemaal IP-gebonden, dus de kans dat dat zo is betwijfel ik. Als ze niet toegeven, dan hou ik de activiteit de komende maanden in de gaten, maar als er niets gebeurd dan laat ik ze verlopen en zeg dan m'n StartCom account op.

---

Met dank aan Brakkie maar eens even wat profiel-beschrijvingen updaten.

Ik kan niet echt duidelijk vinden hoe je je startcom account op kan zeggen...

Ik ook nog niet, maar ook nog niet naar gekeken tbh.

Douweegbertje schreef op donderdag 10 april 2014 @ 17:32:
Ik sta ook in de hall of fame shame, alleen omdat ik voor alle gebruikers hun wachtwoord middels een injection gone wrong had veranderd in )) "SELECT * FROM USERS

Een gevalletje foutje moet kunnen zullen we maar zeggen. Ik had mezelf bijna gedisqualificeerd gisteren nadat ik het login probeerde te brute forcen. Server vond dat blijkbaar iets minder leuk

Ehhhhhh......

...... errrrrr......
Ehm, eh, err, eeehhhhh.....

Ik hoor dat ze ook nog developers zoeken voor COBOL (ook wel bekend als kortweg C)!

Ik vraag me trouwens wel af wat "multi-tasking skills" zijn...

Firesphere schreef op donderdag 10 april 2014 @ 20:00:
Ehhhhhh......
[afbeelding]
...... errrrrr......
Ehm, eh, err, eeehhhhh.....

echt gewoon wat de fuck. Zat dit met afschuw te lezen.. 10x raden waar dit weer vandaan komt, een bedrijf uit India.. vreselijke bedrijven en IT'ers.

Yes yes, we write program. We write cheap.

Vanmiddag / avond een erg gave workshop gehad over Functional Programming. Smaakt naar meer Ga maar eens met Haskell aan de slag denk ik

Hydra schreef op donderdag 10 april 2014 @ 20:41:
Vanmiddag / avond een erg gave workshop gehad over Functional Programming. Smaakt naar meer Ga maar eens met Haskell aan de slag denk ik

Moet jij je niet verdiepen in ColdFusion?

Firesphere schreef op donderdag 10 april 2014 @ 20:00:
Ehhhhhh......
[afbeelding]
...... errrrrr......
Ehm, eh, err, eeehhhhh.....

Microsoft Viseo
^^

Firesphere schreef op donderdag 10 april 2014 @ 20:44:
Moet jij je niet verdiepen in ColdFusion?

Ken ik niet. Die hersencellen zijn nu met iets anders gevuld.

Caelorum schreef op donderdag 10 april 2014 @ 20:47:
[...]

Microsoft Viseo
^^

Serieus? DAT is waar je over valt?

[ Voor 30% gewijzigd door Hydra op 10-04-2014 20:53 ]

Hydra schreef op donderdag 10 april 2014 @ 20:52:
[...]
Serieus? DAT is waar je over valt?

Caelorum schreef op donderdag 10 april 2014 @ 20:47:
[...]

Microsoft Viseo
^^

Ben je serieus zo ver gekomen in die lap onzin?!

Hydra schreef op donderdag 10 april 2014 @ 20:52:
[...]
Serieus? DAT is waar je over valt?

Nee, niet alleen dat. Vandaar ook die ^^

Firesphere schreef op donderdag 10 april 2014 @ 21:03:
[...]
Ben je serieus zo ver gekomen in die lap onzin?!

Ja jij nu toch ook?

Wat flikt StartSSL dan?

Ze vragen voor het revoken van hun certificaten geld, kort samengevat.

.oisyn schreef op donderdag 10 april 2014 @ 21:50:
Wat flikt StartSSL dan?

Geld vragen voor revocation, zelfs voor betalende klanten. En een nogal absurd bedrag voor het simpel markeren als "invalid"

Gewoon invalid maken kost niets dus. Tot gisteren.

Firesphere schreef op donderdag 10 april 2014 @ 21:52:
Gewoon invalid maken kost niets dus. Tot gisteren.

Dat laatste klopt volgens mij niet. Ik begrijp dat 't altijd geld kostte.

Hydra schreef op donderdag 10 april 2014 @ 22:15:
[...]


Dat laatste klopt volgens mij niet. Ik begrijp dat 't altijd geld kostte.

Nee, revoken was altijd gratis voor zover ik weet. Maar ik heb het nooit eerder gedaan, dus ik kan me vergissen.

Hmm..
Dat die bug al misbruikt kan zijn zit wat in....
Laat ik nou net laatst bezig zijn geweest al m'n wachtwoorden te veranderen. Ik stopte toen MS niet langer dan 20 teken wou accepteren, toen gaf ik het op.
Binnenkort weer proberen dan

Een SSL-certificaat laten revoken heeft altijd geld gekost bij StartSSL. StartSSL's werkwijze is "Als we iets kunnen automatiseren doen we dat en bieden we het gratis aan, maar als er menselijke handelingen bij nodig zijn vragen we daar een vergoeding voor."

Daarom bieden ze SSL-certificaten gratis aan (alle checks zijn geautomatiseerd), maar vragen ze een vergoeding voor "identity verification" (nodig voor complexere certificates). Bij deze verification kijkt een mens naar de bewijzen die je moet opsturen (ze bellen je zelfs om wat dingen te controleren). Daarna kun je weer vrijwel onbeperkt certificaten aanvragen (zoals code signing, wildcard, etc.)

Waarschijnlijk zit er bij het revoken van een certificaat ook een stukje handwerk.

.oisyn schreef op donderdag 10 april 2014 @ 21:50:
Wat flikt StartSSL dan?

https://bugzilla.mozilla.org/show_bug.cgi?id=994033

En ik kan mij er ook prima in vinden als gratis poepcerts als van die partij niet standaard in een ca store van firefox zouden zitten. Https zonder betrouwbare ca chain is slechter dan plaintext http. En ik vraag Mozilla toch ook niet om een door mij gemaakt certificaatje (welke wellicht betrouwbaarder is dan de poep van start) aan de store toe te voegen?

Ik vind dat onzin. Het model van StartSSL is "je krijgt het certificaat gratis, maar mocht je het ooit willen revoken dan moet je daarvoor betalen" waar andere CA's het andersom doen: "je betaalt voor het certificaat, revocation zit er gratis bij".

Dat StartSSL ook aan betalende gebruikers kosten rekent voor het revoken van een certificaat is in lijn met de gratis certificaten. Er is niet betaald voor het certificaat an sich, maar voor de kosten van de identiteitsvalidatie (persoon/organisatie/extended). Daarna kun je zoveel certificaten aanvragen als je wilt.

StartSSL is een prima CA waar mensen werken die verstand hebben van het PKI-stelsel en waar ze een duidelijke missie hebben: SSL beschikbaar maken voor iedereen. Je had kunnen weten dat StartSSL geld vraagt voor revocation van een certificaat, dit staat allemaal uitgelegd in hun policies en bij de verantwoordelijkheden die je als gebruiker van een certificaat hebt.

Dat StartSSL geld vraagt voor revocation is een beetje raar, want ook dat zou een automatisch proces moeten kunnen zijn. Maar het is een commercieel bedrijf dat ook ergens z'n geld mee moet verdienen, nietwaar?

Alex) schreef op donderdag 10 april 2014 @ 23:05:
Ik vind dat onzin. Het model van StartSSL is "je krijgt het certificaat gratis, maar mocht je het ooit willen revoken dan moet je daarvoor betalen" waar andere CA's het andersom doen: "je betaalt voor het certificaat, revocation zit er gratis bij".

Dat StartSSL ook aan betalende gebruikers kosten rekent voor het revoken van een certificaat is in lijn met de gratis certificaten. Er is niet betaald voor het certificaat an sich, maar voor de kosten van de identiteitsvalidatie (persoon/organisatie/extended). Daarna kun je zoveel certificaten aanvragen als je wilt.

StartSSL is een prima CA waar mensen werken die verstand hebben van het PKI-stelsel en waar ze een duidelijke missie hebben: SSL beschikbaar maken voor iedereen. Je had kunnen weten dat StartSSL geld vraagt voor revocation van een certificaat, dit staat allemaal uitgelegd in hun policies en bij de verantwoordelijkheden die je als gebruiker van een certificaat hebt.

Dat StartSSL geld vraagt voor revocation is een beetje raar, want ook dat zou een automatisch proces moeten kunnen zijn. Maar het is een commercieel bedrijf dat ook ergens z'n geld mee moet verdienen, nietwaar?

Dat is niet het probleem met StartCom, het probleem is dat ze door hun houding heel het PKI-stelsel onveilig maken. Net als DigiNotar, die gehacked was en daardoor onveilige certificaten verspreidde, bewust of onbewust, ondermijnt het hele principe van Secure Communications.

Hence, het effectief en expliciet ondermijnen van het principe is fout.

---

En toen had ik n.a.v. deze tweet:
https://twitter.com/SphereSilver/status/454307699816407040
een nieuwe follower:
https://twitter.com/__jester

* Firesphere gaat maar weer eens ranten op Wordpress

[ Voor 6% gewijzigd door Firesphere op 10-04-2014 23:14 ]

Even kort over dat ssl geval. Punt is dat het altijd gratis was tenzij jijzelf een fout had gemaakt waardoor die vervangen moest worden. Als CA ben je ook gewoon verantwoordelijk voor de veiligheid van "algemene systeem". Niet voor niets dat je als CA niet zomaar in de trusted lists komt van o.a je browser. Op het moment dat een CA weet dat de keys gecomprimeerd zijn, hoor je ze gewoon te revoken. End of story. Wat voor nut heeft het anders nog om een certificaat te hebben als de integriteit ervan verloren is. Start om vroeg altijd geld voor een revoke, dat is het punt niet, maar nu willen ze keihard cashen.
zelfs bij mensen die dik betalen, durven ze nog meer geld te vragen. Ik heb verhalen gehoord (niet zo betrouwbaar) van mensen die een paar honderd voor hun lvl-x achtige cert moesten dokken...

* F.West98 pakt popcorn net gebakken muffins

[ Voor 6% gewijzigd door F.West98 op 11-04-2014 00:51 ]

WTF is dit nou weer. Ik wil FileZilla downloaden, krijg ik de SourceForge downloader die je allemaal leuke RegClean shit wil aansmeren.

[ Voor 18% gewijzigd door HMS op 11-04-2014 00:53 ]

HMS schreef op vrijdag 11 april 2014 @ 00:53:
WTF is dit nou weer. Ik wil FileZilla downloaden, krijg ik de SourceForge downloader die je allemaal leuke RegClean shit wil aansmeren.

Wil je me alsjeblieft uitleggen waarom je Filezilla wil gebruiken?
Leesvoer:
https://www.google.nl/#q=inurl:recentservers.xml

Enjoy.

[ Voor 10% gewijzigd door Firesphere op 11-04-2014 00:59 ]

HMS schreef op vrijdag 11 april 2014 @ 00:53:
WTF is dit nou weer. Ik wil FileZilla downloaden, krijg ik de SourceForge downloader die je allemaal leuke RegClean shit wil aansmeren.

Dat merkte ik laatst ook al inderdaad, op het moment dat de virusscanner op de betreffende pc zei 'nee, dat voeren we mooi niet uit'.

Firesphere schreef op vrijdag 11 april 2014 @ 00:58:
[...]

Wil je me alsjeblieft uitleggen waarom je Filezilla wil gebruiken?
Leesvoer:
https://www.google.nl/#q=inurl:recentservers.xml

Enjoy.

Ehm, mensen zetten hun hele home-dir publiek op http? Dan is FileZilla echt niet het probleem.

[ Voor 32% gewijzigd door dcm360 op 11-04-2014 01:01 ]

dcm360 schreef op vrijdag 11 april 2014 @ 00:59:
[...]

Dat merkte ik laatst ook al inderdaad, op het moment dat de virusscanner op de betreffende pc zei 'nee, dat voeren we mooi niet uit'.
[...]

Ehm, mensen zetten hun hele home-dir publiek op http? Dan is FileZilla echt niet het probleem.

Is een eigenschap van de portable versie. Waar het om gaat is... ehm... goh, staat daar nu, in plaintext, het wachtwoord in die XML of lijkt dat maar zo?

Ow, en trouwens, de gewone versie van Filezilla slaat ook wachtwoorden plaintext op in een XML, op een predefined plaats.
Een simpele drive-by en je hebt alle wachtwoorden van een Filezilla gebruiker.

More on this, in een eigen topic:
[Filezilla] Wachtwoorden en veiligheidsissues

[ Voor 23% gewijzigd door Firesphere op 11-04-2014 01:12 ]

Firesphere schreef op vrijdag 11 april 2014 @ 00:58:
[...]

Wil je me alsjeblieft uitleggen waarom je Filezilla wil gebruiken?
Leesvoer:
https://www.google.nl/#q=inurl:recentservers.xml

Enjoy.

Ik gebruik dan ook geen FileZilla. Ik had alleen aan major WTF moment toen mijn vriendin (die van school de tip kreeg: gebruik FileZilla op je website te uploaden) allemaal rare shit op haar PC had staan na de installatie (typische user: accept, accept, accept, install die shit, accept, accept).

Dus ik check de FileZilla download, zie ik dat SourceForge ook al rotzooi bundelt met OSS.

edit: Ik zie dat mijn posts elkaar tegensprek . I blame the beer

[ Voor 12% gewijzigd door HMS op 11-04-2014 02:05 ]

Hmm API richting Salesforce gaat traag Al me data ophalen gaat retesnel maar de calls naar Salesforce lijken de bottleneck te zijn. Straks maar eens testen of Salesforce meerdere calls in één keer wil slikken.

[ Voor 3% gewijzigd door Swedish Clown op 11-04-2014 09:59 . Reden: Spellingscontrole stond op Engels. ]

Brakkie41 schreef op vrijdag 11 april 2014 @ 08:45:
Hmm API richting Salesforce gaat traag Al me data ooh alien fast retesnel naar de calls naar Salesforce lijken de bottleneck te zijn. Steaks maar wens tested of Salesforce meerdere calls in één keer wil slikken.

Gezien deze zinnen denk ik dat je eerst een kop koffie moet nemen, en dan zowel dit bericht moet na checken als je code.

Firesphere schreef op donderdag 10 april 2014 @ 18:32:

Ik vind het leuk en grappig om te zien dat er hier meer mensen serieus naar Silverstripe gaan kijken en daarmee indirect gewoon core-code van mij gebruiken

Ben gister ook eens gaan kijken op die demo en ziet er grappig uit. Mis wel wat functionaliteit die ik misschien als standaard zou aanmerken, zoals een nieuws- of blog-functionaliteit. In ieder geval zou ik dat wel in de demo terug willen zien. Wanneer ik tijd heb zal ik het ook eens lokaal proberen

Edit: speciaal voor Firesphere: https://twitter.com/dimensionmedia/status/454005953591918592

[ Voor 7% gewijzigd door wackmaniac op 11-04-2014 09:02 ]

Douweegbertje schreef op donderdag 10 april 2014 @ 23:40:
Even kort over dat ssl geval. Punt is dat het altijd gratis was tenzij jijzelf een fout had gemaakt waardoor die vervangen moest worden. Als CA ben je ook gewoon verantwoordelijk voor de veiligheid van "algemene systeem". Niet voor niets dat je als CA niet zomaar in de trusted lists komt van o.a je browser. Op het moment dat een CA weet dat de keys gecomprimeerd zijn, hoor je ze gewoon te revoken. End of story. Wat voor nut heeft het anders nog om een certificaat te hebben als de integriteit ervan verloren is. Start om vroeg altijd geld voor een revoke, dat is het punt niet, maar nu willen ze keihard cashen.
zelfs bij mensen die dik betalen, durven ze nog meer geld te vragen. Ik heb verhalen gehoord (niet zo betrouwbaar) van mensen die een paar honderd voor hun lvl-x achtige cert moesten dokken...

Ik ben het hier half mee eens. StartSSL is niet verantwoordelijk voor het lek, noch verantwoordelijk voor het doen en laten van hun klanten. Het beleid was van tevoren al duidelijk, en is consistent met wat het altijd geweest is. Heartbleed is een probleem waar beide partijen niets te verwijten valt en blijkbaar willen beide partijen geen kosten maken (afnemer vs leverancier). Ze zitten beide fout. Een gereduceerd tarief van StartSSL zou zeer schappelijk zijn geweest maar ze hoeven dat wat mij betreft niet te doen. Net als een CA heeft ook de afnemer zijn verantwoordelijkheid, en die weegt minstens net zo zwaar.

[ Voor 4% gewijzigd door mbarie op 11-04-2014 09:03 ]

Heartbleed briljant uitgelegd: http://xkcd.com/1354/

Morguh!

Niet zo'n beste start voor mij vandaag. M'n rechteroog ziet verre van scherp (nee, niet gezopen gisteravond ).

Geen idee waar dit vandaan komt. Heel irritant

mbarie schreef op vrijdag 11 april 2014 @ 09:02:
[...]


Ik ben het hier half mee eens. Zij zijn niet verantwoordelijk voor het lek, noch verantwoordelijk voor het doen en laten van hun klanten. Hun beleid was van tevoren al duidelijk. Het is een probleem waar beide partijen niets aan kan doen en blijkbaar willen beide partijen geen kosten maken. Ze zitten beide fout. Een gereduceerd tarief van StartSSL zou zeer schappelijk zijn geweest maar ze hoeven dat wat mij betreft niet te doen. Net als een CA heeft ook de afnemer zijn verantwoordelijkheid, en die weegt minstens net zo zwaar.

Heel simpel antwoord, als niemand ze revoked, kunnen we net zo goed StartSSL uit de trust lijst halen aangezien je er dan haast vanuit kan gaan dat een certificaat via hun niet veilig meer is. Prima dan toch?
Maar lees nou zelf eens hun voorwaarden:
https://www.startssl.com/policy.pdf


Revocation of a certificate is to permanently end the operational
period of the certificate prior to reaching the end of its stated
validity period. A certificate will be revoked when the
information it contains is suspected to be incorrect or
compromised. This includes situations where:
The subscriber’s key is suspected to be compromised;
The technical content or format of the certificate presents an
unacceptable risk;
The information in the subscriber’s certificate is suspected to
be inaccurate;
The information supplied may be misleading (e.g., PAYPA1.COM,
MICR0S0FT.COM);
The subject has failed to comply with the rules and obligations
of this policy;
The subscriber makes a request for revocation (*)

(*) Revocations of certificates may carry a handling fee.


Dus op het moment dat je het zelf gaat vragen -> fee. Terwijl ze het zelf zouden moeten doen.

pdebie schreef op vrijdag 11 april 2014 @ 09:07:
Morguh!

Niet zo'n beste start voor mij vandaag. M'n rechteroog ziet verre van scherp (nee, niet gezopen gisteravond ).

Geen idee waar dit vandaan komt. Heel irritant

Ik denk dat 't Lupus is...

wackmaniac schreef op vrijdag 11 april 2014 @ 09:04:
Heartbleed briljant uitgelegd: http://xkcd.com/1354/

Mooi uitgelegd en het geeft mooi weer waarom men bedrijfkritische applicaties over 't algemeen niet meer in C(++) schrijft

[ Voor 32% gewijzigd door Hydra op 11-04-2014 09:12 ]

+1

@douwe: Prima maar dan moeten ze dus ook betalen want dat staat er. Ik kan (nu) niet opmaken of dat sterretje voor alle voorwaarden geldt of slechts enkele.

het grappige is dat ik niemand hoor klagen over andere (betaalde) CA's die ook niet gratis de certificaten vervangen. Toch een bepaald slag mens dat voor niets op de eerste rang wilt zitten zo lijkt het...

kan niet quoten na al gereplied te hebbben op verrekte mobiel, sorry

[ Voor 90% gewijzigd door mbarie op 11-04-2014 09:20 ]

Hydra schreef op vrijdag 11 april 2014 @ 09:11:
[...]


Ik denk dat 't Lupus is...

Blij dat jij m'n dokter niet bent dat je meteen zo'n diagnose stelt
Tenminste: als je dit bedoelde.

mbarie schreef op vrijdag 11 april 2014 @ 09:12:
@douwe: Prima maar dan moeten ze dus ook betalen want dat staat er. Ik kan (nu) niet opmaken of dat sterretje voor alle voorwaarden geldt of slechts enkele.

het grappige is dat ik niemand hoor klagen over andere (betaalde) CA's die ook niet gratis de certificaten vervangen. Toch een bepaald slag mens dat voor niets op de eerste rang wilt zitten zo lijkt het...

kan niet quoten na al gereplied te hebbben op verrekte mobiel, sorry

Reageer dan niet op iets als je het niet kan zien. Sorry, maar je eerste en tweede zin zijn nogal belangrijk, waarbij de 1ste zin niet eens klopt.

Verder je 2e alinea;
Waarom zou je? Hier wordt geklaagd omdat ze daar recht op hebben. Andere partijen zijn wellicht 100x duidelijker qua communicatie en/of vragen normale bedragen. Daarbij zijn hun voorwaarden misschien anders en heb je dus geen recht op iets. Als laatste; er zijn ontzettend veel CA's die het gratis doen en zelfs daarmee zelf naar de gebruikers komen van "zullen we hem revoken?" speciaal voor dit geval..

mbarie schreef op vrijdag 11 april 2014 @ 09:02:
[...]


Ik ben het hier half mee eens. StartSSL is niet verantwoordelijk voor het lek, noch verantwoordelijk voor het doen en laten van hun klanten. Het beleid was van tevoren al duidelijk, en is consistent met wat het altijd geweest is.

Geen goed incident beleid zou los van Heartbleed of een ander specifiek lek voldoende moeten zijn om ze niet in de ca lijst te willen. En 't gratis uitdelen en dus per definitie geen voldoende veilige infrastructuur en controles kunnen hebben is een 2e reden om ze uit te sluiten.

Het enige positieve aan Start is dat ze met hun gratis doch populaire stront duidelijk maken wat er onder andere schort aan X.509 etc. De blije gebruikers met gratis certificaat neem ik niet per se iets kwalijk; zij denken gewoon zonder kosten klaar te zijn en begrijpen 't systeem niet. Dat laatste zou ook niet erg moeten zijn, want De Afspraak Die Alles Veilig Maakt^TM is dat we op de CA's moeten kunnen vertrouwen.

Ik vermoed dat Hydra hier op doelde:

Ow ja, dat kon ik niet weten. Ik kijk vrijwel geen tv en volg al helemaal geen series.

wackmaniac schreef op vrijdag 11 april 2014 @ 09:04:
Heartbleed briljant uitgelegd: http://xkcd.com/1354/

Briljant, ook de vorige (Verwijderd in "De Devschuur Coffee Corner - Iteratie 6") in verband met Heartbleed vond ik best fijn

Voutloos schreef op donderdag 10 april 2014 @ 22:56:
[...]
En ik kan mij er ook prima in vinden als gratis poepcerts als van die partij niet standaard in een ca store van firefox zouden zitten. Https zonder betrouwbare ca chain is slechter dan plaintext http. En ik vraag Mozilla toch ook niet om een door mij gemaakt certificaatje (welke wellicht betrouwbaarder is dan de poep van start) aan de store toe te voegen?

Want? Een gratis certificaat hoeft toch niet per definitie slecht te zijn? Ik gebruik ook een aantal startssl certificaten voor test sites, dus ik zou best balen als ze hem eruit zouden mikken Ik bied graag mijn testsites aan onder https (sowieso om te testen hoe ze zich in ssl gedragen), niet direct behoefte om veel geld voor test domeinen neer te moeten kieperen.

Volgens mij moeten zij gewoon aan bepaalde regels voldoen en zijn ze daarom opgenomen (hoewel iOS ze geloof ik niet heeft opgenomen). Dacht je dat bij een commerciele partij wel alle certificaten handmatig worden gecheckt?

Moet ook altijd lachen als er weer een "pro-tip" wordt gegeven door een overheidsinstantie dat wij moeten letten op het slotje in de browser, want dan weet je zeker dat je op de goede site zit... Really? Het is best makkelijk om dat slotje te krijgen. Daarnaast zou ik zelf bij een goede hack zorgen dat mijn eigen CA trusted is bij de geinfecteerde machines, dan kan ik gewoon mijn server inrichten om te luisteren naar de interessante domeinen

Hydra schreef op vrijdag 11 april 2014 @ 09:11:
[...]
Ik denk dat 't Lupus is...

I see what you did there! Zelfs beter dan pdebie aangezien mijn beide ogen nog goed werken

Douweegbertje schreef op vrijdag 11 april 2014 @ 08:57:
[...]


Gezien deze zinnen denk ik dat je eerst een kop koffie moet nemen, en dan zowel dit bericht moet na checken als je code.

Spellingscontrole stond op Engels op m´n telefoon en blijkbaar iets te snel op versturen geklikt. Gefixt in ieder geval!

.Gertjan. schreef op vrijdag 11 april 2014 @ 09:57:
[...]

Want? Een gratis certificaat hoeft toch niet per definitie slecht te zijn?

Zie latere reactie.

Dacht je dat bij een commerciele partij wel alle certificaten handmatig worden gecheckt?

Dat zal helaas niet zo zijn, maar die partijen zouden 't tenminste nog kunnen doen.
(Deze ironische opmerking geeft al aan dat systeem niet perfect etc etc)

Moet ook altijd lachen als er weer een "pro-tip" wordt gegeven door een overheidsinstantie dat wij moeten letten op het slotje in de browser, want dan weet je zeker dat je op de goede site zit... Really? Het is best makkelijk om dat slotje te krijgen.

Tja, meer kan je ook niet doen als advies naar doorsnee gebruikers, en 't is ook onzinnig om te hopen dat we straks 7 mrd mensen hebben die het ca systeem begrijpen. Ben er eigenlijk al van overtuigd dat niet eens de meerderheid van de lui die 't direct voor hun werk moeten weten 't begrijpt. Wat we wel kunnen doen (los van ooit een beter systeem bedenken en uberhaupt een werkend revoke protocol) is de rotte appels actiever weren of een standje geven.

Voutloos schreef op vrijdag 11 april 2014 @ 10:08:
[...]

een werkend revoke protocol

OCSP?

wackmaniac schreef op vrijdag 11 april 2014 @ 09:04:
Heartbleed briljant uitgelegd: http://xkcd.com/1354/

Dus eigenlijk werd er gebruik gemaakt van iets wat we in COBOL deden om te debuggen:

Definieer een byte-array met 1 element aan het begin van je data division, en lees vervolgens al je data uit (array-bounds werden niet gechecked )

Ja, waarvan de huidige implementaties dus niet goed werken Het protocol is oa mitmbaar, stapling werkt niet goed etc

Voutloos schreef op vrijdag 11 april 2014 @ 10:08:
Tja, meer kan je ook niet doen als advies naar doorsnee gebruikers, en 't is ook onzinnig om te hopen dat we straks 7 mrd mensen hebben die het ca systeem begrijpen. Ben er eigenlijk al van overtuigd dat niet eens de meerderheid van de lui die 't direct voor hun werk moeten weten 't begrijpt. Wat we wel kunnen doen (los van ooit een beter systeem bedenken en uberhaupt een werkend revoke protocol) is de rotte appels actiever weren of een standje geven.

Probleem blijft denk ik dat je ten alle tijden een centraal systeem nodig hebt om te weten wat de status is. Je zou bijvoorbeeld mensen kunnen leren welke CA betrouwbaar zijn, maar volgens mij kun je ook redelijk goed een CA faken (als een machine eenmaal compromised is kun je veel verklooien). Daarnaast is een centraal systeem ook weer een single-point-of-failure, dus dat wil je ook niet.

Enige methode die redelijk betrouwbaar zou zijn is het gebruik van aparte verbindingen (fysiek danwel vpn achtige). Vroeger ging volgens mij het pin betalingsverkeer ook over een directe lijn naar de verwerkers. Maar goed, dat is nu eenmaal geen realistisch scenario (meer).

Het ergste vind ik eigenlijk nog wel dat dit alles komt door het prutswerk van het OpenSSL team, waar ze al jaren geleden voor gewaarschuwd voor zijn maar tot op de dag van vandaag niks aan willen doen. Ze hebben namelijk zelf bewust heel effectief de hardening van het memorymanagement in libc om zeep geholpen wegens 'performance redenen'...

Hier nog een leuk voorbeeld:

http://www.tedunangst.com...of-openssl-freelist-reuse

Ik snap best waarom mensen met haskell bezig gaan. "stripSpace st = [c | c <- st, c /= ' ']" is gewoon extreem veel cooler dan "st = st.replace(" ", "");"

Edit: is het misschien geen tijd voor het grote heartbleed topic? Na 5 miljoen reddit topics erover gezien te hebben ben ik er wel een beetje klaar mee.

[ Voor 33% gewijzigd door Hydra op 11-04-2014 10:24 ]

Douweegbertje schreef op vrijdag 11 april 2014 @ 09:31:
[...]


Reageer dan niet op iets als je het niet kan zien. Sorry, maar je eerste en tweede zin zijn nogal belangrijk, waarbij de 1ste zin niet eens klopt.

Verder je 2e alinea;
Waarom zou je? Hier wordt geklaagd omdat ze daar recht op hebben. Andere partijen zijn wellicht 100x duidelijker qua communicatie en/of vragen normale bedragen. Daarbij zijn hun voorwaarden misschien anders en heb je dus geen recht op iets. Als laatste; er zijn ontzettend veel CA's die het gratis doen en zelfs daarmee zelf naar de gebruikers komen van "zullen we hem revoken?" speciaal voor dit geval..

Blijkbaar 'verdenkt' OpenSSL niet dat de meeste certificaten gecompromitteerd zijn. Zwaktebod van hun kant. Over het feit dat ze slecht handelen bestaat wat mij betreft ook geen twijfel.

Echter (en waar ik oorspronkelijk ook op probeerde te attenderen) lees ik nog steeds geen enkele reden waarom een afnemer niet de hand in eigen boezem zou kunnen steken om te zorgen dat zijn certificaten veilig zijn. Hoe serieus neem je jezelf dan? Ook zwaktebod. Daarom naar mijns inziens zijn beide partijen even kwalijk bezig. Ze hebben beide de mogelijkheden dit probleem op te lossen maar in plaats van dat te doen gaan ze eieren lopen gooien.

En ondertussen laat ik mijn certificaat gratis vervangen omdat ik wel betaald heb

[ Voor 8% gewijzigd door mbarie op 11-04-2014 11:13 ]

Screenshot in .docx bestand

Gamebuster schreef op vrijdag 11 april 2014 @ 11:10:
Screenshot in .docx bestand

Ja, je moet wat om je .bmp te versturen als die extensie op de mailserver geblokkeerd wordt

mbarie schreef op vrijdag 11 april 2014 @ 10:42:
[...]


Blijkbaar 'verdenkt' OpenSSL niet dat de meeste certificaten gecompromitteerd zijn. Zwaktebod van hun kant. Over het feit dat ze slecht handelen bestaat wat mij betreft ook geen twijfel.

Echter (en waar ik oorspronkelijk ook op probeerde te attenderen) lees ik nog steeds geen enkele reden waarom een afnemer niet de hand in eigen boezem zou kunnen steken om te zorgen dat zijn certificaten veilig zijn. Hoe serieus neem je jezelf dan? Ook zwaktebod. Daarom naar mijns inziens zijn beide partijen even kwalijk bezig. Ze hebben beide de mogelijkheden dit probleem op te lossen maar in plaats van dat te doen gaan ze eieren lopen gooien.

En ondertussen laat ik mijn certificaat gratis vervangen omdat ik wel betaald heb

Nee het punt is dat ookal zou ik betalen voor de revoke en een nieuwe zou aanvragen, ik straks het probleem heb dat StartSSL niet meer in de trusted stores zitten. Want ookal zijn er mensen die het snappen en geld betalen, er zullen ook mensen zijn die denken "Betalen? Dan neem ik de gok wel dat mijn certificate niet compromised is". Dat laatste maakt nu StartSSL niet meer betrouwbaar.

Dus ook de mensen die betalen voor de revoke worden nu genaaid omdat ze hebben betaald maar straks zit StartSSL niet meer in de meest gebruikten trust stores.

Wat gebruiken jullie voor het maken van helpfiles? Ik ben aan het stoeien met HTML help workshop, maar dat programma lijkt wel uit het jaar kruik te komen. Ik had wel verwacht dat dit in VS zelf zou zitten, maar dat lijkt niet zo te zijn.

Acid_Burn schreef op vrijdag 11 april 2014 @ 11:58:
Wat gebruiken jullie voor het maken van helpfiles? Ik ben aan het stoeien met HTML help workshop, maar dat programma lijkt wel uit het jaar kruik te komen. Ik had wel verwacht dat dit in VS zelf zou zitten, maar dat lijkt niet zo te zijn.

Wij gebruiken voor het generen van documentatie voor code http://sandcastle.codeplex.com/

Het gaat niet om code documentatie, maar om eindgebruiker helpfiles voor het programma.

Hydra schreef op vrijdag 11 april 2014 @ 10:23:
Ik snap best waarom mensen met haskell bezig gaan. "stripSpace st = [c | c <- st, c /= ' ']" is gewoon extreem veel cooler dan "st = st.replace(" ", "");"

Edit: is het misschien geen tijd voor het grote heartbleed topic? Na 5 miljoen reddit topics erover gezien te hebben ben ik er wel een beetje klaar mee.

Die is er al:
Heartbleed: zware vulnerability in OpenSSL 1.0.1 t/m 1.0.1f

Acid_Burn schreef op vrijdag 11 april 2014 @ 11:59:
Het gaat niet om code documentatie, maar om eindgebruiker helpfiles voor het programma.

Hier gebruik ik HelpNDoc. Ik heb een aantal tooltjes bekeken, maar deze gaf mij de meeste flexibiliteit voor een relatief aantrekkelijke prijs. Gratis voor persoonlijk gebruik.

Is HTML Help niet op sterven na dood?

.oisyn schreef op vrijdag 11 april 2014 @ 12:04:
Is HTML Help niet op sterven na dood?

Wat is er dan voor in de plaats gekomen?

Tja, als je betere suggesties heb, dan hoor ik het graag. Ik ben bezig met een applicatie en de help bestanden moeten nog gemaakt worden. Als HTML help niet gangbaar is, wat dan wel?

Rhapsody schreef op vrijdag 11 april 2014 @ 12:03:
[...]
Hier gebruik ik HelpNDoc. Ik heb een aantal tooltjes bekeken, maar deze gaf mij de meeste flexibiliteit voor een relatief aantrekkelijke prijs. Gratis voor persoonlijk gebruik.

Ik zal er eens naar kijken.

[ Voor 50% gewijzigd door Acid_Burn op 11-04-2014 12:10 ]

Het was meer een vraag, geen retorische opmerking. Microsoft gebruikt het zelf nog amper. De laatste SDK is 1.4, maar HTML Help Workshop is al jaren niet meer geüpdatet en is blijven hangen op 1.3.

Veel applicaties gebruiken simpelweg een browser-help, offline danwel online.

[ Voor 76% gewijzigd door .oisyn op 11-04-2014 12:10 ]

Hmm een locale website in principe. Online is lastig. Gebruikers hebben on-site niet altijd web-access. Nadeel is dan weer veel losse bestanden. 1 CHM is dan wel zo prettig. Zeker als je een update van je help wilt versturen.

[ Voor 17% gewijzigd door Acid_Burn op 11-04-2014 12:12 ]

Acid_Burn schreef op vrijdag 11 april 2014 @ 12:12:
Hmm een locale website in principe. Online is lastig. Gebruikers hebben on-site niet altijd web-access. Nadeel is dan weer veel losse bestanden. 1 CHM is dan wel zo prettig. Zeker als je een update van je help wilt versturen.

Je kunt ook een centrale site opzetten voor je help.

Bij diverse projecten hebben wij dat ook zo opgezet, Umbraco site opzetten op een generiek helpdomein en vanuit de applicatie doorverwijzen naar de centrale help-website. Werkt prima

Zoals ik al zei, online niet altijd praktisch omdat onze klanten op plaatsen zitten waar niet altijd internet beschikbaar is. Maar ik heb in ieder geval wat meer ideeën

[ Voor 15% gewijzigd door Acid_Burn op 11-04-2014 12:28 ]

Wel de tyfus zeg

30 maart is m'n abonnement bij T-Mobile aangepast, nieuw abbo, 25 euro/maand.

Nu is exact datzelfde abbo ineens 18 euro

Firesphere schreef op vrijdag 11 april 2014 @ 13:08:

Nu is exact datzelfde abbo ineens 18 euro

Even bellen met T-Mobile en zeggen dat je je gepiepeld voelt. Kan wel eens helpen.

* RayNbow heeft al jaren een oud Flex abonnement van T-Mobile...

Acid_Burn schreef op vrijdag 11 april 2014 @ 11:59:
Het gaat niet om code documentatie, maar om eindgebruiker helpfiles voor het programma.

Binnen je solution kun je d.m.v. een Sandcastle project dus een help file laten genereren. Hier kun je o.a. MSDN-achtige (code-)documentatie in verwerken, maar ook gewoon how-to's, feature overviews, etc.

Alex) schreef op vrijdag 11 april 2014 @ 13:19:
[...]

Even bellen met T-Mobile en zeggen dat je je gepiepeld voelt. Kan wel eens helpen.

Heb't nu even per mail gedaan. Ik ben verdorie al sinds 2003 tevreden T-Mobile klant

RayNbow schreef op vrijdag 11 april 2014 @ 13:21:
* RayNbow heeft al jaren een oud Flex abonnement van T-Mobile...

Die heb ik ook heel lang gehad, maar als je toestel goed is en je niet idioot veel data verstookt, is overstappen naar een sim-only op dit moment best de moeite waard

Firesphere schreef op vrijdag 11 april 2014 @ 13:24:
[...]

Die heb ik ook heel lang gehad, maar als je toestel goed is en je niet idioot veel data verstookt, is overstappen naar een sim-only op dit moment best de moeite waard

Nou alleen nog iets beter timen .

Alex) schreef op vrijdag 11 april 2014 @ 13:19:
[...]

Even bellen met T-Mobile en zeggen dat je je gepiepeld voelt. Kan wel eens helpen.

Of een tweet waarin je hun webcare mentioned, mijn ervaring is dat je sneller (en beter) geholpen wordt wanner het via een openbaar medium gaat.

OkkE schreef op vrijdag 11 april 2014 @ 13:38:
[...]
Of een tweet waarin je hun webcare mentioned, mijn ervaring is dat je sneller (en beter) geholpen wordt wanner het via een openbaar medium gaat.

Alleen als je veel followers hebt he!

Dan voeg je @youpvanthek toe aan je tweet ;-)

Firesphere schreef op vrijdag 11 april 2014 @ 01:10:
[...]

Is een eigenschap van de portable versie. Waar het om gaat is... ehm... goh, staat daar nu, in plaintext, het wachtwoord in die XML of lijkt dat maar zo?

Ow, en trouwens, de gewone versie van Filezilla slaat ook wachtwoorden plaintext op in een XML, op een predefined plaats.
Een simpele drive-by en je hebt alle wachtwoorden van een Filezilla gebruiker.

More on this, in een eigen topic:
[Filezilla] Wachtwoorden en veiligheidsissues

Ik heb het idee dat heel veel standaard Windows FTP proggels dat doen. Ik sla mijn wachtwoorden maar helemaal niet meer op, gewoon alles vanuit KeePass kopiëren.

Caelorum schreef op vrijdag 11 april 2014 @ 13:44:
[...]

Alleen als je veel followers hebt he!

Goh, ik denk niet dat het altijd zo werkt. Er zijn veel mensen die de timelines van grote bedrijven in de gaten houden om dit soort zaken te kunnen opvolgen.

Acid_Burn schreef op vrijdag 11 april 2014 @ 11:58:
Wat gebruiken jullie voor het maken van helpfiles? Ik ben aan het stoeien met HTML help workshop, maar dat programma lijkt wel uit het jaar kruik te komen. Ik had wel verwacht dat dit in VS zelf zou zitten, maar dat lijkt niet zo te zijn.

Wij gebruiken hier http://www.helpandmanual.com/

bevalt eigenlijk wel goed. Importeren van worddocumenten, handige functies om je keywordindex bij te houden. Export naar HTML Help, pdf, Word, HTML etc.

BikkelZ schreef op vrijdag 11 april 2014 @ 13:52:
[...]


Ik heb het idee dat heel veel standaard Windows FTP proggels dat doen. Ik sla mijn wachtwoorden maar helemaal niet meer op, gewoon alles vanuit KeePass kopiëren.

Er zijn inderdaad een aantal die dat doen, helaas.

Maar de manier waarop FileZilla omgaat met de kritiek is helemaal bizar.

Bah, font-weight: 600 in Open Sans wil ineens ook allemaal italic zijn Kost weer veeeel te veel tijd zoiets lulligs...

--- Edit ---

Wtfuzzle Semi Bold en Semi Bold Italic zijn beide (!) italic

http://www.google.com/fonts/specimen/Open+Sans

[ Voor 35% gewijzigd door TheNephilim op 11-04-2014 14:09 ]

TheNephilim schreef op vrijdag 11 april 2014 @ 14:07:
Bah, font-weight: 600 in Open Sans wil ineens ook allemaal italic zijn Kost weer veeeel te veel tijd zoiets lulligs...

--- Edit ---

Wtfuzzle Semi Bold en Semi Bold Italic zijn beide (!) italic

http://www.google.com/fonts/specimen/Open+Sans

Niet gewoon ergens font-style: italic; staan

Hier is hij op Google Fonts namelijk niet italic.

[ Voor 5% gewijzigd door MoietyMe op 11-04-2014 14:13 ]

Good Fella schreef op vrijdag 11 april 2014 @ 14:13:
[...]

Niet gewoon ergens font-style: italic; staan

Hier is hij op Google Fonts namelijk niet italic.

Hier ook niet?

Alex) schreef op vrijdag 11 april 2014 @ 14:15:
[...]
Hier ook niet?

Dat weet ik niet, dat kan jij alleen zien

Good Fella schreef op vrijdag 11 april 2014 @ 14:13:
[...]

Niet gewoon ergens font-style: italic; staan

Hier is hij op Google Fonts namelijk niet italic.

Neuj, check dit... specimen pagina van Google Fonts:

wackmaniac schreef op vrijdag 11 april 2014 @ 08:58:
[...]


Ben gister ook eens gaan kijken op die demo en ziet er grappig uit. Mis wel wat functionaliteit die ik misschien als standaard zou aanmerken, zoals een nieuws- of blog-functionaliteit. In ieder geval zou ik dat wel in de demo terug willen zien. Wanneer ik tijd heb zal ik het ook eens lokaal proberen

Edit: speciaal voor Firesphere: https://twitter.com/dimensionmedia/status/454005953591918592

Je haalt iets door elkaar. Het is namelijk een Framework met CMS, geen blogging-systeem. Maar er zijn genoeg nieuws/blogachtige modules die dat voor je oplossen

TheNephilim schreef op vrijdag 11 april 2014 @ 14:17:
[...]


Neuj, check dit... specimen pagina van Google Fonts:

[afbeelding]

Nietus :