De Devschuur Coffee Corner - Iteratie ⓬

Hydra schreef op woensdag 19 september 2018 @ 14:16:
[...]

Je kunt met git-hooks afdwingen wat je wil. Enige nadeel is dat je bij puur locale repo's niet af kunt dwingen dat die hooks ook geinstalleerd zijn v.z.i.w.

Betere oplossing is een goeie git-host. Met de meeste online oplossingen kun je prima afdwingen dat je alleen naar master mag mergen via een merge-request bijvoorbeeld.

Thanks, over git-hooks had ik al e.e.a. gevonden maar vind ik geen makkelijke materie. Wij hebben hier een gitlab-server draaien waar momenteel eigenlijk bar weinig is ingericht. Komt er dus in de praktijk op neer dat we continu over elkaar heen aan het pushen zijn.

Wat ik nu voor elkaar probeer te krijgen is dat alle collega's welliswaar alle rechten hebben maar dat we alleen naar dev-branch mogen pushen, vervolgens naar test en vervolgens naar master voor release. Om te voorkomen dat een of andere pipo brakke zaken rechtstreeks naar master pusht. Nu kunnen we dat op zich wel weer weer reverten maar moet feitelijk gewoon afgedwongen worden zodat het niet fout _kan_

[ Voor 10% gewijzigd door Harrie_ op 19-09-2018 14:31 ]

Harrie_ schreef op woensdag 19 september 2018 @ 14:29:
Thanks, over git-hooks had ik al e.e.a. gevonden maar vind ik geen makkelijke materie. Wij hebben hier een gitlab-server draaien waar momenteel eigenlijk bar weinig is ingericht. Komt er dus in de praktijk op neer dat we continu over elkaar heen aan het pushen zijn.

Wat ik nu voor elkaar probeer te krijgen is dat alle collega's welliswaar alle rechten hebben maar dat we alleen naar dev-branch mogen pushen, vervolgens naar test en vervolgens naar master voor release. Om te voorkomen dat een of andere pipo brakke zaken rechtstreeks naar master pusht. Nu kunnen we dat op zich wel weer weer reverten maar moet feitelijk gewoon afgedwongen worden zodat het niet fout _kan_

Maar dat kun je toch gewoon prima in Gitlab doen? OP m'n vorige project gebruikten we ook self-hosted Gitlab en daar hadden we ingericht dat je als developer niet rechtstreeks naar de protected branches (master en dev) mocht pushen.

Lethalis schreef op woensdag 19 september 2018 @ 10:55:
[...]

Dus in plaats van te zeggen dat iemand zijn ouders beter een abortus hadden kunnen plegen, gewoon melden dat je die kernel patch niet accepteert, omdat hij bijvoorbeeld teveel syscalls teweeg brengt.

Het probleem is dat er wat meer verwacht wordt van de communicatieskills van iemand die als boegbeeld van “Linux” gezien wordt. Hij moet een team bij elkaar (helpen) houden en zijn “product” op een goeie manier promoten. Er komt wat meer bij kijken dan af en toe een mailtje naar het handjevol mensen die aan de kernel contributen. Dat is de incrowd die in eigen kring wel wat autisme gewend zijn. Als die nu al aan de bel trekken dan is er wel wat aan de hand.

Hydra schreef op woensdag 19 september 2018 @ 14:33:
[...]


Maar dat kun je toch gewoon prima in Gitlab doen? OP m'n vorige project gebruikten we ook self-hosted Gitlab en daar hadden we ingericht dat je als developer niet rechtstreeks naar de protected branches (master en dev) mocht pushen.

Wij kunnen dat dus niet in Gitlab; maar ik heb inmiddels gezien dat we een versie hebben draaien die de Duitsers nog geïntroduceerd hebben in '40
Binnenkort updaten dus

Je kunt met Gitolite eenvoudig rechten tot repositories en branches regelen. Daar heb je helemaal geen Github, Gitlab, e.d. voor nodig.

Harrie_ schreef op woensdag 19 september 2018 @ 14:55:
Wij kunnen dat dus niet in Gitlab; maar ik heb inmiddels gezien dat we een versie hebben draaien die de Duitsers nog geïntroduceerd hebben in '40
Binnenkort updaten dus

En je fiets terugvragen!

Harrie_ schreef op woensdag 19 september 2018 @ 14:55:
[...]


Wij kunnen dat dus niet in Gitlab; maar ik heb inmiddels gezien dat we een versie hebben draaien die de Duitsers nog geïntroduceerd hebben in '40

Godwin!

Yaml

LOL: Do you need a blockchain

whoami schreef op woensdag 19 september 2018 @ 16:12:
Yaml

Geef eens een alternatief? Onderhoud configs liever in YAML dan in JSON of XML.

[ Voor 15% gewijzigd door Hydra op 19-09-2018 16:47 ]

whoami schreef op woensdag 19 september 2018 @ 16:12:
Yaml

Meh. Het werkt prima voor configs en IDE regelt spaces voor indents. Of bedoel je dat je liever tabs hebt

Hydra schreef op woensdag 19 september 2018 @ 16:46:
LOL: Do you need a blockchain

OK, MAYBE YOU SHOULD USE A BLOCKCHAIN

En natuurlijk wat gelul over greenhouse gas emision, met een link naar een pagina die beschrijft wat het energieverbruik is compleet zonder in te gaan hoe die energie wordt opgewekt... Nogal relevant.

[ Voor 30% gewijzigd door .oisyn op 19-09-2018 17:26 ]

Hydra schreef op woensdag 19 september 2018 @ 16:46:
LOL: Do you need a blockchain


[...]


Geef eens een alternatief? Onderhoud configs liever in YAML dan in JSON of XML.

ini files.

Hydra schreef op woensdag 19 september 2018 @ 16:46:
LOL: Do you need a blockchain


[...]


Geef eens een alternatief? Onderhoud configs liever in YAML dan in JSON of XML.

't Zal aan mij liggen maar ik vind Json dan toch duidelijker.

whoami schreef op woensdag 19 september 2018 @ 21:10:
't Zal aan mij liggen maar ik vind Json dan toch duidelijker.

Met de hand yaml typen is een stuk praktischer dan met de hand JSON typen IMHO.

Sandor_Clegane schreef op woensdag 19 september 2018 @ 19:54:
ini files.

Niet perse een slecht alternatief maar .ini files doen boomstructuren m.i. niet zo handig. Dan krijg je iets als TOML

.oisyn schreef op woensdag 19 september 2018 @ 17:02:
En natuurlijk wat gelul over greenhouse gas emision, met een link naar een pagina die beschrijft wat het energieverbruik is compleet zonder in te gaan hoe die energie wordt opgewekt... Nogal relevant.

Dat jij 't op voorhand niks zou vinden is wel duidelijk hoor

[ Voor 58% gewijzigd door Hydra op 19-09-2018 21:17 ]

Hydra schreef op woensdag 19 september 2018 @ 16:46:
LOL: Do you need a blockchain

ik heb Rianne gevonden
Viel eigenlijk nog best mee, de gewenste antwoorden bedenken.

Hydra schreef op woensdag 19 september 2018 @ 21:15:


Dat jij 't op voorhand niks zou vinden is wel duidelijk hoor

Oh ik ben het grotendeel eens met de chart zelf, hoor. Het is ook niet bepaald origineel. Hij kan trouwens veel simpeler:


In ander nieuws, AH gebruikt blockchain om sinaasappels te volgen
https://www.ad.nl/economi...fles-jus-volgen~a7f7ad97/

[ Voor 18% gewijzigd door .oisyn op 20-09-2018 10:19 ]

Antrax schreef op donderdag 20 september 2018 @ 07:59:
[...]

Wij hebben GitLab geprobeerd maar at nogal veel ram weg. GitHub Enterprise daarin tegen gedraagd zich netjes. Opmerkelijk.

Mjah tis inderdaad een resource hog, jammer dat gogs weer wat beperkt is in de functionaliteit.
Misschien tijd voor een her implementatie van die Ruby code van ze in iets wat minder geheugen knabbelt ?
(al zal dan het tegen argument wel zijn dat hardware / RAM cheap is)

[ Voor 21% gewijzigd door gekkie op 20-09-2018 09:44 ]

.oisyn schreef op donderdag 20 september 2018 @ 09:12:

In ander nieuws, AH gebruikt blockchain om sinaasappels te volgen
https://www.ad.nl/economi...fles-jus-volgen~a7f7ad97/

Ten eerste is de blockchain niet onlosmakelijk met iedere vezel c.q. druppel van de sinaasappel verbonden, dus er kan heel gemakkelijk het een en ander per ongeluk/expres verwisseld worden.
En ten tweede kun je nu uiteindelijk niets meer dan wat je met een barcode ook al zou kunnen: barcode X hoort bij boom Y.

Maar ja, dat is vast niet hip genoeg ofzo

gekkie schreef op donderdag 20 september 2018 @ 09:42:
[...]
Mjah tis inderdaad een resource hog, jammer dat gogs weer wat beperkt is in de functionaliteit.

Wij gebruiken gitea op kantoor. Wel voornamelijk als source control.

Is niet zo uitgebreid als gitlab, maar ontwikkelt zich wel sneller qua features dan gogs (het is een fork van gogs, omdat mensen het zat waren dat de ontwikkeling daarvan zo traag ging).

Antrax schreef op donderdag 20 september 2018 @ 11:07:
[...]

Zijn er echt hippies die de zuurtegraad van hun sinaasappels willen weten.

Nee, maar tijdens de verscheping (een reis van die 2 maanden kan duren) verandert de kwaliteit van de sinaasappels en dus worden sinaasappels bedoeld voor de verkoop heringedeeld om er sap van te maken. Sommige sinaasappels gaan omhoog in kwaliteit omdat ze rijper worden terwijl andere juist "vlekjes" ontwikkelen die kopers "vies" vinden.

Overigens twijfel ik of dit echt een blockchain is. Wat ze beschrijven klinkt bij mij als event sourcing.

Misschien dat er een AH-developer is die hier met een AH-momentje kan inspringen? Dat zou ik best AHrdig vinden.

Sinaasappels, jeetje. Alleen maar sinaasappels. De AH loopt wel achter, zeg.

Je moet gewoon het betalingsverkeer met klanten via de blockchain doen, natuurlijk, zoals het hoort. Dan kan iedereen je betalingsverkeer controleren omdat iedereen je blockchain kan inzien. Dat is ook privacyvriendelijker, als je blockchain ten minste afschermt, zodat niet iedereen je blockchain kan inzien.

Reizigers maken daarbij gebruik van verschillende partijen die maatwerk bieden, met name voor het eerste en laatste stukje van hun reis. Dan gaat het bijvoorbeeld om een deelfiets of een taxi van Uber om van het station naar huis te komen. Met een uniform betaalsysteem worden deze opties veel aantrekkelijker.

Contant geld bestaat pas een paar duizend jaar...

[ Voor 71% gewijzigd door bwerg op 20-09-2018 11:51 ]

bwerg schreef op donderdag 20 september 2018 @ 11:39:
Sinaasappels, jeetje. Alleen maar sinaasappels. De AH loopt wel achter, zeg.

Je moet gewoon het betalingsverkeer met klanten via de blockchain doen, natuurlijk, zoals het hoort. Dan kan iedereen je betalingsverkeer controleren omdat iedereen je blockchain kan inzien.

Maar dat is nonsens, er zijn genoeg algoritmes om blockchain-data te beschermen. Hier een artikel dat specifiek ingaat op Mimblewimble maar ook wat andere technieken kort bespreekt: https://www.cryptocompare...des/what-is-mimblewimble/

Of een dergelijke techniek hier ook gebruikt wordt, is natuurlijk een tweede

gekkie schreef op donderdag 20 september 2018 @ 12:46:
[...]

Zijn we wel van die bonnetjes vragers bij de supermarkt af van een of ander schimmig onderzoeksbureau (van de concurrent waarschijnlijk).
Voor het binnen gaan al,
"Meneer .. vraagt u wel om een bonnetje ?"
"Errrr say what ?"
"Ja ik wil graag uw bonnetje !"
En nagenoeg iedereen die het ook nog braaf doet ook.

Dat is een beetje hetzelfde als in de trein waar regelmatig mensen van Ipsos (oid.) rondlopen om kaartjes te controllere. Wat ze eigenlijk doen is statistieken verzamelen, begin station, reizen op abbonement/saldo, e.d. En iedereen geeft braaf hun ov-chipkaart af. (Want als je dat weigert komt de conducteur dreigen dat je anders een boete krijgt voor niet tonen van een geldig vervoersbewijs )

ThomasG schreef op donderdag 20 september 2018 @ 12:54:
[...]
Dat is een beetje hetzelfde als in de trein waar regelmatig mensen van Ipsos (oid.) rondlopen om kaartjes te controllere. Wat ze eigenlijk doen is statistieken verzamelen, begin station, reizen op abbonement/saldo, e.d. En iedereen geeft braaf hun ov-chipkaart af. (Want als je dat weigert komt de conducteur dreigen dat je anders een boete krijgt voor niet tonen van een geldig vervoersbewijs )

Bijna, behalve dat de lui voor de supermarkt duidelijk buiten staan en derhalve geen binding lijken te hebben met de supermarkt in kwestie (en die heeft wel wat beters te doen dan bonnetjes over te kloppen als het ook in hun admin staat).
Hmm zijn ze bij de NS nu al zo aggressief, meen dat ik het vroeger ooit wel eens geweigerd heb met een "nee dank u" en dat ze daar ook een bliep-o-barcode-tje voor hadden. Snap het sowieso in het huidige tijdperk niet zo waarbij ze alles al micro-administreren, werpt de vraag op, zit daar dan zo'n gapend gat tussen hun admin en de werkelijkheid dat daar zoveel onderzoek voor nodig is om dat weer te gaan compenseren ?

.oisyn schreef op donderdag 20 september 2018 @ 09:12:
[...]

Oh ik ben het grotendeel eens met de chart zelf, hoor. Het is ook niet bepaald origineel. Hij kan trouwens veel simpeler:
[Afbeelding]

In ander nieuws, AH gebruikt blockchain om sinaasappels te volgen
https://www.ad.nl/economi...fles-jus-volgen~a7f7ad97/

Pfft.. Ik neem alleen jus van home grown artisan oranges van een lokale food artist. Na dat chemische spul van de AH heb ik echt een detox nodig /s

ThomasG schreef op donderdag 20 september 2018 @ 12:54:
[...]

(Want als je dat weigert komt de conducteur dreigen dat je anders een boete krijgt voor niet tonen van een geldig vervoersbewijs )

Nee hoor, meedoen aan zo'n onderzoek is geheel vrijwillig.

Ik heb een tijd met 2 OV-chipkaarten gereisd. Als ik zo'n Ipsosfiguur langs had gaf ik wel eens de 'verkeerde' chipkaart, dat registreerden ze gewoon ('niet ingecheckt') en daarmee was de kous af.

Hmmm die ontwikkelaar van de airmiles site verwacht kennelijk voornamelijk IT'ers ipv huisvrouwen ..

Zorg dat je wachtwoord hieraan voldoet: minimaal 8 karakters, minimaal 1 hoofdletter (A-Z), minimaal 1 kleine letter (a-z). Je wachtwoord mag niet gelijk zijn aan je e-mailadres of gebruikersnaam. Er mogen geen pipes (|) en backslashes ( \ ) in het wachtwoord worden gebruikt.

Pipes en backslashes.

Maakt wel nieuwsgierig wat ze qua backend gebruiken en waarom het kennelijk niet tegen pipes en backslashes kan ...

Open streetmaps is tof, ben bezig met een eigen tileserver en ik moet zeggen dat docker echt wel een uitkomst is. NVMe is ook tof wat dat aangaat, zo'n import is best zwaar.

gekkie schreef op donderdag 20 september 2018 @ 22:09:
Hmmm die ontwikkelaar van de airmiles site verwacht kennelijk voornamelijk IT'ers ipv huisvrouwen ..

[...]

Pipes en backslashes.

Maakt wel nieuwsgierig wat ze qua backend gebruiken en waarom het kennelijk niet tegen pipes en backslashes kan ...

Het doet vermoeden dat ze het wachtwoord ergens in een shell script gebruiken (wat impliceert dat het niet gehashed is opgeslagen)

Sandor_Clegane schreef op donderdag 20 september 2018 @ 23:20:
Open streetmaps is tof, ben bezig met een eigen tileserver en ik moet zeggen dat docker echt wel een uitkomst is. NVMe is ook tof wat dat aangaat, zo'n import is best zwaar.

Heeft bij mij geloof ik 2 dagen geduurd in een niet al te vlotte VM.
Maar daar geupdate houden valt dan weer mee.
*edit*: Hrrmm geloof dat ik alleen de nominatim heb en niet de tiles, niet te min, leuk speelgoed .

Wel weer briljant dat je op eventbrite ... niet kunt sorteren op datum (en voor de rest is het ook een rampen interface).

rutgerw schreef op vrijdag 21 september 2018 @ 11:02:
[...]
Het doet vermoeden dat ze het wachtwoord ergens in een shell script gebruiken (wat impliceert dat het niet gehashed is opgeslagen)

Zat ik ook aan te denken, of het is het scheidingsteken tussen type hash en hash en een developer die niet snapt dat het niet uitmaakt als je password eenmaal gehashed is met iets wat iets hexadecimaals uitpoept.

[ Voor 34% gewijzigd door gekkie op 21-09-2018 11:37 ]

Vaak bij grote webapplicaties wordt de source (zoals classes,framework) buiten de webroot geplaatst. En beperkt de webroot zich enkel tot de afbeeldingen, css, javascript-files en eventuele (openbare) uploads.
het voordeel is dat je dan eenvoudig de basis van je applicatie kan updaten.

Is er ook een naam voor deze techniek?

Want standaard zullen de meesten een hele applicatie in de webroot proppen, wat gewoon niet handig is voor onderhoud.

[ Voor 15% gewijzigd door AW_Bos op 21-09-2018 12:45 ]

AW_Bos schreef op vrijdag 21 september 2018 @ 12:44:
Vaak bij grote webapplicaties wordt de source (zoals classes,framework) buiten de webroot geplaatst. En beperkt de webroot zich enkel tot de afbeeldingen, css, javascript-files en eventuele (openbare) uploads.
het voordeel is dat je dan eenvoudig de basis van je applicatie kan updaten.

Is er ook een naam voor deze techniek?

Want standaard zullen de meesten een hele applicatie in de webroot proppen, wat gewoon niet handig is voor onderhoud.

De (grote php)frameworks die ik ken doen dit wel standaard(symfony, laravel, cakephp, etc.).
M.i. gaat het ook niet om het makkelijk onderhouden maar meer om de veiligheid.

Scheiden van code (, configuratie) en data is op zich wel slim ja.

gekkie schreef op vrijdag 21 september 2018 @ 13:02:
Scheiden van code (, configuratie) en data is op zich wel slim ja.

Het is meer scheiden van 'non-executables'. m.a.w. dat je geen config data in een web dir gaat plaatsen (en dus potentieel uitvoerbaar/leesbaar is.

AW_Bos schreef op vrijdag 21 september 2018 @ 12:44:
Vaak bij grote webapplicaties wordt de source (zoals classes,framework) buiten de webroot geplaatst. En beperkt de webroot zich enkel tot de afbeeldingen, css, javascript-files en eventuele (openbare) uploads.
het voordeel is dat je dan eenvoudig de basis van je applicatie kan updaten.

Is er ook een naam voor deze techniek?

Want standaard zullen de meesten een hele applicatie in de webroot proppen, wat gewoon niet handig is voor onderhoud.

Kan je wat meer context geven? Want wat jij beschrijft is nogal erg afhankelijk van context. Zo zijn er legio voorbeelden te noemen waarbij wat je beschrijft juist absoluut onpraktisch is of waarbij het een halve waarheid is.

Afhankelijk van de taal of webserver die gebruikt wordt zijn er verschillende namen die er voor gebruikt wordt. Ook kan het zijn dat dit gedaan wordt omdat men niet weet hoe ze een webserver correct moeten configureren.

Overigens denk ik dat de naam die je zoekt "outside public" of "out-of-public" is.

Sandor_Clegane schreef op zondag 16 september 2018 @ 20:15:
[...]


Cool, mag je nu iets voor mij doen.

Welke versies van .Net core kun je installeren? Het lijkt erop dat mijn Ubuntu de nieuwe versies niet laat zien. Wil ik nu net 2.1.300 hebben maar die is er alleen in preview terwijl op de site van MS ze het al over 2.1.400 hebben.

Man die versies zijn echt een draak met DotNet core.

Edit: Blijkbaar als je dotnet.sdk.2.1 installeert pakt hij de laatste versie........ Wat nu dus 2.1.402 is....... Duidelijk......

Ik werd hier vanavond nog een beetje gek van. Versie 2.1.4 van de SDK was bij mij geïnstalleerd op Fedora, maar ik kon niet netcoreapp2.1 targetten.

Pas toen ik 2.1 installeerde, wat dus 2.1.402 is, mocht ik netcoreapp2.1 targetten. Dit omdat je minimaal versie 2.1.300 nodig hebt om netcoreapp2.1 te kunnen targetten.

Microsoft en versienummers Je verwacht dat alles vanaf 2.1.0 genoeg zou moeten zijn...

Nu ik overigens meer met Kotlin heb gespeeld, voelt C# inferieur... Ga binnenkort toch ook eens echt iets met F# proberen te bouwen.

[ Voor 27% gewijzigd door Lethalis op 22-09-2018 00:47 ]

Lethalis schreef op vrijdag 21 september 2018 @ 23:45:
[...]

Ik werd hier vanavond nog een beetje gek van. Versie 2.1.4 van de SDK was bij mij geïnstalleerd op Fedora, maar ik kon niet netcoreapp2.1 targetten.

Pas toen ik 2.1 installeerde, wat dus 2.1.402 is, mocht ik netcoreapp2.1 targetten. Dit omdat je minimaal versie 2.1.300 nodig hebt om netcoreapp2.1 te kunnen targetten.

Microsoft en versienummers Je verwacht dat alles vanaf 2.1.0 genoeg zou moeten zijn...

Nu ik overigens meer met Kotlin heb gespeeld, voelt C# inferieur... Ga binnenkort toch ook eens echt iets met F# proberen te bouwen.

Ik had hetzelfde en wat blijkt, 2.1 is een verzamelnaam voor meerdere versies maar vanaf 2.1.300 is het versie 2.1 die je in veel documentatie tegenkomt. Echt he? Hoe krijg je het voor elkaar.

En .Net was altijd redelijk overzichtelijk.

AW_Bos schreef op vrijdag 21 september 2018 @ 12:44:
Vaak bij grote webapplicaties wordt de source (zoals classes,framework) buiten de webroot geplaatst. En beperkt de webroot zich enkel tot de afbeeldingen, css, javascript-files en eventuele (openbare) uploads.
het voordeel is dat je dan eenvoudig de basis van je applicatie kan updaten.

Is er ook een naam voor deze techniek?

Want standaard zullen de meesten een hele applicatie in de webroot proppen, wat gewoon niet handig is voor onderhoud.

Door het configuratie bestand buiten de publieke webroot te zetten, is de applicatie niet ineens veilig. Bij veel applicaties wordt het wachtwoord namelijk niet uit het geheugen gehaalt nadat er verbinding is gemaakt met bijvoorbeeld de database. Dan is het in principe gewoon uit te lezen (weliswaar niet geheel eenvoudig), totdat bijvoorbeeld de garbage collector zijn werk heeft gedaan. Daarom altijd het geheugen (bijv. de variable) waarin o.a. het wachtwoord stond explicit leegmaken wanneer het niet meer nodig is. En niet alleen bij wachtwoorden uit configuratie bestanden, maar ook op login pagina's, e.d.

ThomasG schreef op maandag 24 september 2018 @ 09:42:
[...]
Door het configuratie bestand buiten de publieke webroot te zetten, is de applicatie niet ineens veilig. Bij veel applicaties wordt het wachtwoord namelijk niet uit het geheugen gehaalt nadat er verbinding is gemaakt met bijvoorbeeld de database. Dan is het in principe gewoon uit te lezen (weliswaar niet geheel eenvoudig), totdat bijvoorbeeld de garbage collector zijn werk heeft gedaan. Daarom altijd het geheugen (bijv. de variable) waarin o.a. het wachtwoord stond explicit leegmaken wanneer het niet meer nodig is. En niet alleen bij wachtwoorden uit configuratie bestanden, maar ook op login pagina's, e.d.

Jij hebt het over "hacken" om stukjes geheugen/variabelen uit te lezen. Anderen hier hadden het over het simpelweg openen van http://example.com/config.yaml waar dan plaintext het wachtwoord in staat

Door alle code, en vooral de configuratie bestanden, buiten de webroot te plaatsen weet je in ieder geval zeker dat het bestand nooit opgevraagd kan worden en de inhoud dus ook niet zichtbaar kan worden.

RobertMe schreef op maandag 24 september 2018 @ 10:03:
[...]

Jij hebt het over "hacken" om stukjes geheugen/variabelen uit te lezen. Anderen hier hadden het over het simpelweg openen van http://example.com/config.yaml waar dan plaintext het wachtwoord in staat

Door alle code, en vooral de configuratie bestanden, buiten de webroot te plaatsen weet je in ieder geval zeker dat het bestand nooit opgevraagd kan worden en de inhoud dus ook niet zichtbaar kan worden.

Maar daardoor is het niet ineens veilig. Want anders kun je net zogoed het config bestand wel in de webroot zetten, want met alleen het wachtwoord kunnen ze niets. Dan moeten ze immers eerst hacken om toegang tot de server en zo de lokale database server te gebruiken. En omdat ze het ssh wachtwoord niet weten, is het dus sowieso veilig

En het heeft niet eens met hacken te maken, er zijn verschillende manieren waardoor een gebruiker (per ongeluk) bij die gegevens kan komen. Omdat er bijvoorbeeld een bug zit in de software, of een lek die perongeluk wordt geactiveerd/benaderd.

@RobertMe en @ThomasG, waarom configureer jullie de webserver niet zodat dit afgevangen wordt door request-filtering? Lijkt me een stuk simpeler en een stuk veiliger dan proberen je configuratie bestanden te verbergen.

Ik heb CMS'en meegemaakt die ieder PHP-bestand begonnen met `if (!isset($some_session_var)) {exit;}` en in alle directories een lege index.html file hadden, om te voorkomen dat er informatie zou lekken.

Behalve dat dat natuurlijk een hoop onnodige troep geeft, is op die manier een foutje ook snel gemaakt. Het maakt gewoon geen sense om wat dan ook in een publieke webdir te zetten als het niet direct publiek toegankelijk dient te zijn. En het is eigenlijk bizar dat we hier een naam voor zouden moeten hebben, het zou gewoon common sense moeten zijn.

Waarschijnlijk is het ooit in de mode geraakt dankzij brakke webhosting pakketjes waarbij je alleen naar de webroot kon uploaden, en is men daarna vergeten er verder over na te denken (waarom zou je immers als het zo ook werkt?)

en @ThomasG @RobertMe Niets is inherent veilig, informatiebeveiliging is altijd het toepassen van meerdere lagen. Dat één zo'n laag geen garantie geeft voor 100% veiligheid betekent niet dat je die laag daarom maar weg moet laten.

DevWouter schreef op maandag 24 september 2018 @ 10:25:
@RobertMe en @ThomasG, waarom configureer jullie de webserver niet zodat dit afgevangen wordt door request-filtering? Lijkt me een stuk simpeler en een stuk veiliger dan proberen je configuratie bestanden te verbergen.

mcDavid schreef op maandag 24 september 2018 @ 10:33:
Waarschijnlijk is het ooit in de mode geraakt dankzij brakke webhosting pakketjes waarbij je alleen naar de webroot kon uploaden, en is men daarna vergeten er verder over na te denken (waarom zou je immers als het zo ook werkt?)

Ik heb helaas nog steeds veel te maken met hostingproviders die geen toegang geven buiten de webroot. Ik probeer dan door de hostingprovider te benaderen het voor elkaar te krijgen dat ik een config bestand buiten de webroot geplaatst krijg. Verder (zoals Wouter hierboven aangeeft) met een .htaccess afdwingen dat alle requests via de index.php in de webroot lopen; uitzondering is dan een directory 'media' oid waar alle img's, css, js inzit.

Ik zou in zo'n geval gewoon een andere hostingprovider opzoeken

mcDavid schreef op maandag 24 september 2018 @ 10:33:
Ik heb CMS'en meegemaakt die ieder PHP-bestand begonnen met `if (!isset($some_session_var)) {exit;}` en in alle directories een lege index.html file hadden, om te voorkomen dat er informatie zou lekken.

Klopt, ik ben het wel eens tegengekomen in Joomla inderdaad.

Gelukkig hoef ik daar tegenwoordig niet meer mee te werken

Harrie_ schreef op maandag 24 september 2018 @ 12:44:
[...]


Ja maar als een klant vast zit aan een dergelijke hostingprovider en niet bereid is om te verhuizen dan moet je iets. Kom in de praktijk ook tegen dat klanten tig verschillende websites bij een hostingprovider hebben draaien en dus niet bereid zijn om:
- Één website ergens anders te hosten
- De hele handel ergens anders te hosten

Dan wordt ik aangekeken voor een oplossing en dan kom ik daar dus ook mee...

Dit gaat heel pedant klinken en daar houd ik eigenlijk niet van, maar soms ontkom je er niet aan: Als je een professionele en veilige website wilt en bij een hostingpartij zit die daar niet in mee (kan) gaan dan moet je serieus je keuzes heroverwegen. Ik heb in een grijs verleden - toen ik nog wel eens zelfstandig werkte - een klant de keus gegeven; of je zorgt voor geschikte hosting of ik ga niet voor je aan de slag. Want als er iets aan de hand is word jij erop aangesproken. Uiteindelijk heeft die klant diezelfde keus gegeven aan de hostingpartij en toen was er ineens van alles mogelijk

@wackmaniac Ja klinkt prachtig in theorie maar in de praktijk werkt het zo natuurlijk niet altijd.

[ Voor 78% gewijzigd door Harrie_ op 24-09-2018 13:01 ]

Harrie_ schreef op maandag 24 september 2018 @ 12:59:
@wackmaniac Ja klinkt prachtig in theorie maar in de praktijk werkt het zo natuurlijk niet altijd.

echt wel... Als je het maar overtuigend brengt en het risico durft te nemen dat die klant weg loopt bij je.

Als er om wat voor reden wat mis gaat ben jij de persoon die er verantwoordelijk voor is en wordt gehouden en mag oplossen.

Meestal komt een klant met een heel verhaal dat verhuizen naar een andere partij lastig is, maar 9 van de 10 keer snappen klanten niet dat hosting voor bijv. je mailboxen niet perse bij dezelfde leverancier hoeft te zijn als je site. Op DNS niveau kun je prima regelen dat de A records voor de site naar een andere server wijzen, dan de MX records voor de rest.

En als het een serieuze klant is (lees eentje die meer oplevert dan eenmalig paar knaken voor het maken) durf ik het ook wel aan om het te regelen voor ze. Dropletje van 5 of 10 USD per maand kan dan makkelijk uit.

kwaakvaak_v2 schreef op maandag 24 september 2018 @ 13:14:
[...]


echt wel... Als je het maar overtuigend brengt en het risico durft te nemen dat die klant weg loopt bij je.

Als er om wat voor reden wat mis gaat ben jij de persoon die er verantwoordelijk voor is en wordt gehouden en mag oplossen.

Meestal komt een klant met een heel verhaal dat verhuizen naar een andere partij lastig is, maar 9 van de 10 keer snappen klanten niet dat hosting voor bijv. je mailboxen niet perse bij dezelfde leverancier hoeft te zijn als je site. Op DNS niveau kun je prima regelen dat de A records voor de site naar een andere server wijzen, dan de MX records voor de rest.

En als het een serieuze klant is (lees eentje die meer oplevert dan eenmalig paar knaken voor het maken) durf ik het ook wel aan om het te regelen voor ze. Dropletje van 5 of 10 USD per maand kan dan makkelijk uit.

Moet ik hier nog serieus op ingaan? Je komt in de praktijk wel vaker hiaten tegen waarbij je dus met elkaar om de tafel moet gaan zitten om te kijken naar een geschikte oplossing. Daarbij valt er altijd links en rechts wel een mouw aan te passen om een tot een slimme oplossing te komen.

Het verhaal wordt nu zo gedraaid alsof ik met een onveilige oplossing akkoord zou gaan 'omdat de klant dat wil'. Uiteindelijk maak je een risico-inschatting van een oplossing en is in de kern niets veilig. Er wordt in de developmentwereld wel vaker gedaan of de enige mogelijke oplossing een tien-meter-dikwandig betonnen pand is met daarin een kluisdeur van kaliber Fort-Knox. Dat is gewoon niet de praktijk. En om op diezelfde metafoor door te gaan; in de echte wereld heeft veiligheid bij een bank ook andere impact dan een woonhuis, waarom zou dat digitaal anders zijn?

[ Voor 4% gewijzigd door Harrie_ op 24-09-2018 13:22 ]

Harrie_ schreef op maandag 24 september 2018 @ 12:44:
Ja maar als een klant vast zit aan een dergelijke hostingprovider en niet bereid is om te verhuizen dan moet je iets.

Niet voor jou persoonlijk maar dat je uberhaupt 'vast' kunt zitten aan een hosting provider met iets simpels als een PHP CMS. Zegt wel het e.e.a. over de staat van ons vakgebied.

De zooi waar ik aan bouw zit meestal in docker containers waarbij het bijzonder weinig uitmaakt waar deze op landen.

Harrie_ schreef op maandag 24 september 2018 @ 12:44:
[...]

Op zich niet eens zo'n hele gekke gedachte, maar om te voorkomen dat een developer zelf moet bedenken dat hij een bestand begint met die if-constructie kun je in PHP ini of in .htaccess natuurlijk ook gewoon gebruik maken van auto_prepend_file

Sja, zul je zien dat pauperhosting.nl ook dát niet ondersteunt en de gebruiker het er gemakshalve dus maar uitsloopt

Voor de rest, sja de praktijk is helaas vaak weerbarstig

Hydra schreef op maandag 24 september 2018 @ 13:25:
[...]


Niet voor jou persoonlijk maar dat je uberhaupt 'vast' kunt zitten aan een hosting provider met iets simpels als een PHP CMS. Zegt wel het e.e.a. over de staat van ons vakgebied.

De zooi waar ik aan bouw zit meestal in docker containers waarbij het bijzonder weinig uitmaakt waar deze op landen.

Dat zal vooral een financiële kwestie zijn lijkt me. Juist bij dat soort zolderkamerhostingbedrijfjes kun je ook nog wel eens meerjarige contracten hebben.

[ Voor 31% gewijzigd door mcDavid op 24-09-2018 13:28 ]

In het leeuwendeel van de gevallen ben ik het met je eens @Harrie_, maar je moet in mijn ogen ook ergens een lijn trekken. En voor mij persoonlijk is "vast zitten" aan een hostingpartij waarbij je alleen in de webroot kan peuteren al een paar stappen voorbij die lijn. Maar dat is persoonlijk en daarom dat ik ook niet graag opmerkingen als mijn eerdere doe, maar soms meen ik dat het nodig is her en der wat common sense proberen te brengen.

mcDavid schreef op maandag 24 september 2018 @ 13:25:
Dat zal vooral een financiële kwestie zijn lijkt me. Juist bij dat soort zolderkamerhostingbedrijfjes kun je ook nog wel eens meerjarige contracten hebben.

Als het van die goedkope meuk is kan dat nooit veel zijn. Klinkt vooral als bedrijven die voor een dubbeltje op de eerste rang willen zitten. Prima. Maar dat betekent dat ze automatisch uit komen bij bedrijven die alleen concurreren op prijs en daar wil ik toch niet voor werken.

wackmaniac schreef op maandag 24 september 2018 @ 13:30:
In het leeuwendeel van de gevallen ben ik het met je eens @Harrie_, maar je moet in mijn ogen ook ergens een lijn trekken. En voor mij persoonlijk is "vast zitten" aan een hostingpartij waarbij je alleen in de webroot kan peuteren al een paar stappen voorbij die lijn. Maar dat is persoonlijk en daarom dat ik ook niet graag opmerkingen als mijn eerdere doe, maar soms meen ik dat het nodig is her en der wat common sense proberen te brengen.

Nee klopt. Maar zoals ik ook al zeg: iedere casus is anders. In een van mijn eerdere posts gaf ik al aan dat je soms 'buiten de gebaande wegen om' een config bestand buiten de webroot kunt zetten i.s.m. zo'n hostingprovider. Als je dan vervolgens maatregelen instelt dat individuele bestanden niet zomaar te benaderen/executen zijn dan zit de boel een heel eind dicht. En daarbij maakt het ook nog een werkelijk verschil of we te maken hebben met een online webapplicatie met (kritische) bedrijfsinformatie of een bijna statische website met wat algemene info.

Harrie_ schreef op maandag 24 september 2018 @ 13:43:
Nee klopt. Maar zoals ik ook al zeg: iedere casus is anders. In een van mijn eerdere posts gaf ik al aan dat je soms 'buiten de gebaande wegen om' een config bestand buiten de webroot kunt zetten i.s.m. zo'n hostingprovider. Als je dan vervolgens maatregelen instelt dat individuele bestanden niet zomaar te benaderen/executen zijn dan zit de boel een heel eind dicht.

Totdat 'ie door een update of een menselijke fout ofzo weer openstaat.

Het hele programmeermodel van 'files' die je benaderd vanuit een browser request is volledig outdated m.i. Je wil niet dat er 'plain source' files ergens in je web root staat die, in het geval van fuckups, danwel geoutput worden danwel uitgevoerd worden. Een 'normale' web applicatie heeft geen enkele notie van de onderliggende sourcefiles.

Hydra schreef op maandag 24 september 2018 @ 13:55:
[...]
Totdat 'ie door een update of een menselijke fout ofzo weer openstaat.
[...]

Sorry daar kan ik maar heel beperkt in meegaan. Volgens dezelfde retoriek kan ik zeggen:
'Totdat door een menselijke fout de gehele webserver te benaderen is met user/ww root/root'

Met @Harrie_ hier. Het maakt nogal uit wat voor site je aan het bouwen bent. Het digitale visitekaartje met de openingstijden voor Klaas Koekenbakker uit Drollendorp waarbij het grootste risico is dat Simon Scriptkiddie er een fotootje van zijn eigen hard gebakken baguette erop zet heeft nou eenmaal een andere kosten/baten analyse dan een applicatie die vol staat met bedrijfs- danwel persoonsgegevens. Beiden willen bedient worden en beiden hebben een andere manier van aanvliegen.

Ter vergelijking: mijn achtertuin en schuur kun je binnenkomen met een leuke schroevendraaier. Grootste risico is dat er een paar fietsen gejat worden die gedekt zijn door de verzekering. Mijn huis daarentegen heeft sloten met keurmerk en certificaat en een lamp naast de deur die reageert op beweging; een steen door de raam is de meest reële point of entry. Immers zijn daar meer dingen met persoonlijke waarde te vinden, slapen wijzelf en geeft het nu eenmaal een hoop meer troep als er ingebroken wordt.

Elk gebouw met stenen en een deur domweg op dezelfde manier beveiligen met bijkomende kosten, puur omdat het de best denkbare beveiliging is, is gewoon dom. En datzelfde geldt voor elke via de browser benaderbare domeinnaam. Dat het toevallig op PHP draait wil niet zeggen dat het dezelfde waarde, bedreigingen en oplossingen nodig heeft.

Tjolk schreef op maandag 24 september 2018 @ 14:17:
Met @Harrie_ hier. Het maakt nogal uit wat voor site je aan het bouwen bent. Het digitale visitekaartje met de openingstijden voor Klaas Koekenbakker uit Drollendorp waarbij het grootste risico is dat Simon Scriptkiddie er een fotootje van zijn eigen hard gebakken baguette erop zet heeft nou eenmaal een andere kosten/baten analyse dan een applicatie die vol staat met bedrijfs- danwel persoonsgegevens. Beiden willen bedient worden en beiden hebben een andere manier van aanvliegen.

Die gooi je gewoon op S3 ofzo; kost je vrijwel niks.

Daarnaast vind ik het een te makkelijk excuus. Niemand zegt dat je bank-level security nodig hebt voor je webshopje. Maar er zijn meer dan genoeg cases van 'gehackte' wordpress instances die voor alles en nog wat gebruikt worden. Mag jij Klaas uit gaan leggen waarom de site van Klaas Koekenbakker uit Drollendrop als centraal uitwisselingspunt voor een internationaal kinderpornonetwerk gebruikt wordt. En te vaak wordt er maar wat aangeklooid met dit soort zaken; zowel door devs als door hosting partijen.

Tjolk schreef op maandag 24 september 2018 @ 14:17:
Met @Harrie_ hier. Het maakt nogal uit wat voor site je aan het bouwen bent. Het digitale visitekaartje met de openingstijden voor Klaas Koekenbakker uit Drollendorp waarbij het grootste risico is dat Simon Scriptkiddie er een fotootje van zijn eigen hard gebakken baguette erop zet heeft nou eenmaal een andere kosten/baten analyse dan een applicatie die vol staat met bedrijfs- danwel persoonsgegevens. Beiden willen bedient worden en beiden hebben een andere manier van aanvliegen.

Ter vergelijking: mijn achtertuin en schuur kun je binnenkomen met een leuke schroevendraaier. Grootste risico is dat er een paar fietsen gejat worden die gedekt zijn door de verzekering. Mijn huis daarentegen heeft sloten met keurmerk en certificaat en een lamp naast de deur die reageert op beweging; een steen door de raam is de meest reële point of entry. Immers zijn daar meer dingen met persoonlijke waarde te vinden, slapen wijzelf en geeft het nu eenmaal een hoop meer troep als er ingebroken wordt.

Elk gebouw met stenen en een deur domweg op dezelfde manier beveiligen met bijkomende kosten, puur omdat het de best denkbare beveiliging is, is gewoon dom. En datzelfde geldt voor elke via de browser benaderbare domeinnaam. Dat het toevallig op PHP draait wil niet zeggen dat het dezelfde waarde, bedreigingen en oplossingen nodig heeft.

Totdat iemand jouw schuurtje gaat gebruiken als opslag voor zijn XTC-pillen, zonder dat jij daar weet van hebt. Het is gewoon een naïeve gedachte gang. Ja, de kans dat het gebeurt is niet zo heel groot. Todat het gebeurt, en dan heb je grote problemen. Het vaak niet zoveel meer werk qua tijd en kosten om het beter te doen.

[ Voor 6% gewijzigd door ThomasG op 24-09-2018 14:44 ]

Die kans is nihil, aangezien de schuur meerdere keren per dag gebruikt wordt en ook dermate klein is dat het direct zou opvallen.

En ja, natuurlijk kun je allerlei scenario's bedenken dat dit niet zomaar zou opvallen op een websitetje dat onderdeel wordt van een botnet o.i.d., echter zie ik dat met een simpel CMS gewoon niet zo snel gebeuren. Tuurlijk wel als je er Wordpress of Joomla oid tegenaan gooit, maar dan ben je ook gewoon niet capabel bezig voor zo'n vrijwel statisch gebeuren. Teveel points of entry en sowieso veel teveel code en functionaliteit die niet nodig is voor je doel. Je maakt dan enkel een stukje waar contactgegevens en openingstijden worden aangepast en ergens waar de aanbiedingen en/of nieuws geplaatst kunnen worden. Dat achter een goede login en vanuit de front-end ditch je alle requests die niet simpelweg een pagina opvragen.

Je zorgt er dus effectief voor dat er maar van 1 ingang CUD acties uitgevoerd kunnen worden. Die ingang voorzie je van een slot in de vorm van een degelijke inlog (.htaccess desnoods) etc en ik wens je veel succes met je XTC labje.
Mocht iemand dat alsnog voor elkaar krijgen dan heb je als het goed is een host die doorheeft dat er opvallende activiteit plaatsvindt.

Nogmaals: het is een kwestie van afwegen. Als je voor een bepaald project niet de ideale wereld voor je hebt en de omstandigheden dat ook niet toelaten resten je 2 opties: accepteren met bepaalde voorbehouden of weglopen. Als je direct zonder enig onderzoek maar meteen wegloopt vind ik dat ook een zwaktebod, zeker als het feitelijk om een projectje van niets gaat.

Tjolk schreef op maandag 24 september 2018 @ 15:05:
Nogmaals: het is een kwestie van afwegen. Als je voor een bepaald project niet de ideale wereld voor je hebt en de omstandigheden dat ook niet toelaten resten je 2 opties: accepteren met bepaalde voorbehouden of weglopen. Als je direct zonder enig onderzoek maar meteen wegloopt vind ik dat ook een zwaktebod, zeker als het feitelijk om een projectje van niets gaat.

Dit dus. We kunnen er natuurlijk allerlei metaforen tegenaan blijven gooien en dan krijgen we weer allerlei metaforen terug (XTC-lab in de schuur). Feit is gewoon dat iedere situatie weer anders is en dat je in die specifieke situatie kijkt naar een passende oplossing en daarbij uiteraard veiligheid in het oog houdt. En veiligheid houdt niet in dat je een standaard set rules volgt. Het is juist de truc om een succesvolle risico-analyse te maken waarbij je de oplossing afzet tegen de context. En op het moment dat de server ingezet kan worden in een botnet is dat toch ècht een probleem dat code-overstijgend is en bij de hostingprovider ligt en niet bij de dev van een website/webapplicatie.

Verder gewoon common sense, evt. risico's met elkaar bespreken en dus ook verantwoordelijkheid bij de klant leggen. En inderdaad: als er onoverkomelijke risico's zijn waar de klant geen concessies in wil doen dan houdt het gewoon op, dat is niet meer dan logisch. Maar we moeten het ook niet spannender maken dan het is. Het kan tenslotte altijd beter en veiliger, vraag is inderdaad (zoals @wackmaniac) zegt waar je de lijn trekt. En wáár je die lijn trekt is toch echt situationeel afhankelijk. Sommige veiligheidsmaatregelen zijn in de ene situatie een must-have en in een andere situatie een should-have en weer ergens anders een like-to-have...

Hydra schreef op maandag 24 september 2018 @ 14:31:
[...]


Die gooi je gewoon op S3 ofzo; kost je vrijwel niks.

Daarnaast vind ik het een te makkelijk excuus. Niemand zegt dat je bank-level security nodig hebt voor je webshopje. Maar er zijn meer dan genoeg cases van 'gehackte' wordpress instances die voor alles en nog wat gebruikt worden. Mag jij Klaas uit gaan leggen waarom de site van Klaas Koekenbakker uit Drollendrop als centraal uitwisselingspunt voor een internationaal kinderpornonetwerk gebruikt wordt. En te vaak wordt er maar wat aangeklooid met dit soort zaken; zowel door devs als door hosting partijen.

S3 is toch vooral om grote dumps van non-publieke databases (per-ongeluk) publiek te maken ?

gekkie schreef op maandag 24 september 2018 @ 15:48:
S3 is toch vooral om grote dumps van non-publieke databases (per-ongeluk) publiek te maken ?

Ik stal er vooral en plein publiek al m'n AWS secrets. Dan hoef ik die bitcoin miners niet zelf te installeren

Herinnert u zich deze nog?

Inmiddels met die kerel gebabbeld. Een paar quotes:

Oh, zit er geen inlog meer op dan? Ik dacht dat je gewoon het jaartal moest intypen

Voor backups heb ik natuurlijk alle code, en jullie hebben toch alles wat je erop hebt gezet?

Ja, ik heb wel eens gekeken in het adminpanel, maar dat snap ik niet helemaal. Je kunt dan als backup iets van een gtz bestand downloaden (Tjolk: je bedoelt tgz?) - ja die - maar ik weet niet wat ik daarmee moet

CKEditor? Nee, nooit van gehoord. TinyMCE? Wat is dat? Ja ik gebruik de laatste versie van Innova. Daar kan ik echter niets meer aan veranderen want die wordt nu een jaar of vijf niet meer onderhouden

Ja ik heb er wel bootstrap opzitten maar dat werkt niet helemaal lekker met de rest van de layout dus meestal gebruik ik maar gewoon een tabel dan weet ik wat ik kan verwachten

And the list goes on and on and on _{and on....}


Dat soort mensen is de reden dat freelance webdevelopers dus af en toe een slechte naam hebben. De enige reden dat ik hem met een A4 vol huiswerk nog een kans geef is dat hij het al jaren gratis doet en ook de hosting gratis regelt. En dat het grootste risico wat we lopen is dat we het ooit eens opnieuw moeten opzetten. Maar man, man man...

@Tjolk Waarom niet zachtjes richting exit-strategie gaan voor die kerel en gewoon een el cheapo hosting regelen waar je zelf iets fatsoenlijks opbouwt?

Dat is mijn lange termijn strategie ook wel. Maar in een dorp waar je elkaar nogal snel weer tegenkomt en er veel vriendendiensten geleverd worden (dit is ook al een 6 jaar durende vriendendienst) moet je niet als een olifant door de porseleinkast gaan denderen. Zeker niet als nieuwkomer.

Hij heeft ook echt wel intenties om het allemaal goed te doen en heeft dezelfde avond nog zijn inlogmethode hersteld waarbij ik een sterker wachtwoord heb afgedwongen. Niet zoals ik het graag zou zien, maar het is beter dan het open-deuren beleid wat er voorheen was.
Verder heeft hij al mijn adviezen ter harte genomen en beloofd ermee aan de slag te gaan. Die kans moet ik hem geven vind ik. Zoals gezegd, het afbreukrisico is beperkt dus ik vind het niet erg om er wat tijd in te steken om alle relaties goed te houden. Niet zozeer tussen hem en mij, maar ook met de rest van de vereniging. Iets met stroop en azijn.

@Tjolk Het probleem is hier waarschijnlijk dat hij wel wilt, maar gewoonweg niet beter weet. Dus ik denk dat er met bijvoorbeeld een aantal (eenvoudige) cursussen voor webdevelopment een boel te redden is, en dat hij dan zelf ook gaan inzien dat hij niet helemaal goed bezig was.

Aloha,

Aangezien de Devschuur eigenlijk geen plek heeft voor workplace gerelateerde zaken:
Dacht ik koffiepraat, daar hoort dit wel.

Zelf ben ik net overgestapt van ontwikkelen op duo monitor setup, naar ontwikkelen op een curved (37+) monitor. Het is even wennen, maar zo een mega groot scherm is toch wel heel fijn.
(Zeker nu windows schermen kan docken op 4 plekken, i.p.v. 2)


Ik vroeg me of er mensen zijn die op een triple moitor setup gewerkt hebben, en hoe dat bevalt.
Want dat zou denk ik nog een alternatief kunnen zijn voor onze andere werkplekken ? of is curved onderhand standaard geworden en loop ik jaren achter?

Thanks,
Marinus
*knip*

[ Voor 1% gewijzigd door MueR op 25-09-2018 11:03 . Reden: Geen linkjes spammen als ze niet nodig zijn ]

@ThomasG ik denk dat je daarin gelijk hebt inderdaad. Maar ik ga hem niet helemaal opleiden natuurlijk, ik beperk mijn focus tot onze eigen site. En als dat niet goed komt, even goede vrienden maar dan zoeken we een andere oplossing.

@chaorick Triple monitor lijkt mij geen meerwaarde, althans niet voor mijn setup. Ik heb nu 2x 25" Ultrasharp. Met goed window management mis ik daar niets aan. Sterker nog; ik denk dat ik met nog een derde monitor een te brede werkomgeving zou hebben voor het prettige.
Of curved standaard is geworden betwijfel ik. Ik heb het wel eens gezien, maar het gros wat ik tegenkom is toch dual monitor; een enkeling heeft er 3 of nog meer (maar dat is vaak een specialistische niche).

@Tjolk je moet het maar willen. Ga ik als vrijwilligerswerk liever pannekoeken bakken voor een lokaal dorpsfeest. Ik zou het niet kunnen

@chaorick Mine's bigger . Ik ging van een 2x 24" (2x16:10) naar een 1x 43" (16:9, 4k). Ik hou niet van die ultrawides, code is verticaal, dus ik wil ook de hoogte in.

.oisyn schreef op dinsdag 25 september 2018 @ 12:05:
@chaorick Mine's bigger . Ik ging van een 2x 24" (2x16:10) naar een 1x 43" (16:9, 4k). Ik hou niet van die ultrawides, code is verticaal, dus ik wil ook de hoogte in.

Kunnen we daaruit opmaken dat jij het scherm 90 graden gekanteld hebt, en dus werkt op een 43" 9:16 scherm?

@Tjolk
Bij mijn duo monitor setup heb ik ook nog wel een laptop ernaast gehad voor mail/print/internet zooi, dat was de prikkel om over een 3 monitor setup na te denken.

1. code editor
2. applicatie view
3. stack overflow

@.oisyn
code is verticaal, dus heb je ooit wel eens je scherm 90 graden gekanteld ?
(edit: @ThomasG je was me voor)


Ik dacht dat bij dat soort formaat schermen curved net wat rustiger op de ogen is, krijg je anders niet zo een "first row seat" bioscoop gevoel ?
en mijn duo monitor zette ik eigenlijk ook altijd al curved neer.
Ook ben ik vrij snel overgestapt op een dark theme, want met dit soort formaat schermen is wit wel heel veel wit, en ik hou niet van strand vakanties.

ThomasG schreef op dinsdag 25 september 2018 @ 12:30:
[...]
Kunnen we daaruit opmaken dat jij het scherm 90 graden gekanteld hebt, en dus werkt op een 43" 9:16 scherm?

Nee, want er is een limiet aan comfortabel omhoog kijken

chaorick schreef op dinsdag 25 september 2018 @ 12:36:
@.oisyn
code is verticaal, dus heb je ooit wel eens je scherm 90 graden gekanteld ?
(edit: @ThomasG je was me voor)

Ja, toen ik nog 24" monitoren had, maar dat vind ik niet prettig want dan mis je wel een beetje de horizontale werkruimte bij media. Een verticale 24" 10:16 is 20,4" hoog, een 43" 16:9 is 21,1" hoog. Dat komt dus redelijk overeen, en het is een beetje het maximum.

Ik dacht dat bij dat soort formaat schermen curved net wat rustiger op de ogen is, krijg je anders niet zo een "first row seat" bioscoop gevoel ?

Klopt, curved is wel aan te raden. Die op kantoor is curved, die thuis is plat (die had ik als eerst). Dat is iets waar ik wel vrij snel achter kwam. Maar het went wel hoor, vooral in het begin is het wat onwenning om schuin tegen de randen van je scherm aan te kijken.

[ Voor 61% gewijzigd door .oisyn op 25-09-2018 12:53 ]

Ik werk het grootste deel van de tijd op 1 scherm. Ik snap meerdere monitoren niet, ben ik steeds van alles kwijt Ik ben wel goed in alt-tab, dat snappen mensen die met me meekijken dan weer niet

IDE rechts, browser en Gitkraken links half/half scherm. Andere applicaties zijn toch nooit fullscreen (muv Workbench) dus dan ben ik nooit iets kwijt.

Ja, een apart scherm voor de IDE is sowieso fijn (halve curved, of dedicated monitor)
en daarnaast heb ik een wirwar van zooi open:
[mail/internet, source control, debug target (app)+eventuele emulator, browser element inspector]
waar ik eigenlijk altijd bij wil kunnen.

Ik heb twee schermen, maar ik merk dat ik toch vaak effectief gezien slechts op een scherm werk. Ik werk op MacOS (persoonlijke voorkeur), en een combinatie van fullscreen apps, split screen en multi-task gestures op trackpad zorgt er voor dat je snel vergeet dat je een tweede scherm hebt. Ik gebruik het tweede scherm wel, maar ik denk dat de verhouding 80/20 is.

In de categorie dingen die me veel minder zouden moeten ergeren: ik open een nieuwe tab in Edge en de address bar heeft niet de focus

Ik word er gek van

Ja, met Ctrl-L of Alt-D krijgt de address bar de focus. Maar het probleem zou niet moeten bestaan. grmbl.

kenneth schreef op woensdag 26 september 2018 @ 09:40:
In de categorie dingen die me veel minder zouden moeten ergeren: ik open een nieuwe tab in Edge en de address bar heeft niet de focus

Hmm, is die bug onderhand al niet gefixt?

RayNbow schreef op woensdag 26 september 2018 @ 09:59:
[...]

Hmm, is die bug onderhand al niet gefixt?

Ah, dan merk ik het over een half jaar wel wanneer we updates krijgen
Zal thuis kijken, daar ben ik altijd up to date.

Sowieso, Microsoft stop toch eens met die pogingen om een browser te maken.

Mugwump schreef op woensdag 26 september 2018 @ 10:27:
Sowieso, Microsoft stop toch eens met die pogingen om een browser te maken.

En toch doet Edge het op gebied van resource gebruik en privacy het beter dan Chrome Ook doet Edge het qua render niet slechter dan Firefox, Chrome, e.d.

Uit principe gebruik ik Edge niet. Zelfde reden dat Chrome er ook niet in komt. Fool me once enzo.

Mijn werk setup:
2 24" monitors:
- 1 recht voor me horizontaal: browsers met work stuff
- 1 schuin links, verticaal met IDE
Daarvoor nog m'n laptop met persoonlijke stuff + tools.

Ik ben wel de enige van m'n collega's die z'n scherm recht zet, de rest vind 't maar een beetje raar.

Mercatres schreef op woensdag 26 september 2018 @ 11:26:
Mijn werk setup:
2 24" monitors:
- 1 recht voor me horizontaal: browsers met work stuff
- 1 schuin links, verticaal met IDE
Daarvoor nog m'n laptop met persoonlijke stuff + tools.

Ik ben wel de enige van m'n collega's die z'n scherm recht zet, de rest vind 't maar een beetje raar.

Ik heb het geprobeerd maar met een 1080p-scherm kwam ik in de breedte ruimte tekort als ie verticaal staat. Moet ik wel eerlijk zijn dat de IDE die wij gebruiken een beetje veel ruimte inneemt maar de hoogte kwam mij goed uit. De breedte maakte bepaalde variabelen helaas onleesbaar...

De engine van Edge is prima. Het is jammer dat het product eromheen zo matig is.

ThomasG schreef op woensdag 26 september 2018 @ 10:39:
[...]
En toch doet Edge het op gebied van resource gebruik en privacy het beter dan Chrome Ook doet Edge het qua render niet slechter dan Firefox, Chrome, e.d.

Resource gebruik

Privacy heb ik geen ervaring mee. Maar als dat vanwege Google een issue is kan je altijd nog Chromium overwegen.

De engine van Edge is oké, maar ook niet meer dan dat. Nu heeft geen enkele browser volledige HTML5 en CSS3 ondersteuning, maar Edge loopt op dit gebied net achter Firefox aan, en een flink stuk achter Chrome.

XWB schreef op woensdag 26 september 2018 @ 12:13:
[...]


Resource gebruik

Privacy heb ik geen ervaring mee. Maar als dat vanwege Google een issue is kan je altijd nog Chromium overwegen.

De engine van Edge is oké, maar ook niet meer dan dat. Nu heeft geen enkele browser volledige HTML5 en CSS3 ondersteuning, maar Edge loopt op dit gebied net achter Firefox aan, en een flink stuk achter Chrome.

En toch is Chrome hard op weg om het nieuwe IE6 te worden Zelfs (of misschien: juist!) sites van Google zelf zijn niet vooruit te branden tenzij je Chrome gebruikt, of de user-agent faked zodat je een andere (snellere) pagina krijgt. En nee, dat ligt niet aan de andere browsers.

XWB schreef op woensdag 26 september 2018 @ 12:13:
[...]

De engine van Edge is oké, maar ook niet meer dan dat. Nu heeft geen enkele browser volledige HTML5 en CSS3 ondersteuning, maar Edge loopt op dit gebied net achter Firefox aan, en een flink stuk achter Chrome.

Heeft dat er niet meer mee te maken dat Google zaken inbouwt alvorens deze als standaard zijn geaccepteerd en daarom voor lijkt te lopen op de rest?

Ik ben sinds kort overgestapt van Chrome naar Firefox simpelweg omdat Chrome steeds meer zaken deed die ik minder dan oké vond (zoals het verwijderen van "www"). Het enige wat ik echt mis is zijn de ontwikkeltools maar na een maand lijkt het probleem gewenning te zijn.
Als ik kijk naar https://caniuse.com/#compare=firefox+62,chrome+69 dan mis ik persoonlijk bij Firefox alleen de shadow-dom en custom-elements, maar die zitten er wel in bij de laatste beta.

Qua beeldschermen gebruik ik het liefst 1 groot scherm terwijl mijn laptop er naast staat waar dan af en toe een console scherm op staat of een chat scherm. Persoonlijk ben ik van mening dat je maar aan 1 ding tegelijk kan werken

ThomasG schreef op woensdag 26 september 2018 @ 12:43:
[...]
En toch is Chrome hard op weg om het nieuwe IE6 te worden Zelfs (of misschien: juist!) sites van Google zelf zijn niet vooruit te branden tenzij je Chrome gebruikt, of de user-agent faked zodat je een andere (snellere) pagina krijgt. En nee, dat ligt niet aan de andere browsers.

Inderdaad, en dan ook nog Firefox voor Android (daar mogen ze echt wat aan gaan verbeteren, want er zitten heel vaak bugs in en is een stuk slomer) een 'inferieure' (volgens iemand; ik gebruik uit principe geen Google meer) zoekpagina geeft, terwijl Chrome voor Android de 'superieure' krijgt.

DevWouter schreef op woensdag 26 september 2018 @ 12:58:
Persoonlijk ben ik van mening dat je maar aan 1 ding tegelijk kan werken

Dat zei ik ook altijd maar ook al ben je strikt met een enkele taak bezig, dan kun je nog je IDE, een difftool, versiebeheer, notities en een user story open hebben staan. Dan begint het vrij krap te worden