Blogarchief: april 2014

Spooknota's "Domein Host Nederland" in omloop

Steeds meer ondernemers maken deze maand melding van spooknota's afkomstig van "Domein Host Nederland". Zij worden met de factuur verzocht een bedrag van € 59,90 over te maken voor "Domeinregistratie 2014 / 2015" — een tamelijk exorbitante prijs in relatie tot de aangeboden dienst.

In werkelijkheid is dit geen factuur maar een aanbieding, zoals uit de kleine lettertjes onderaan op te maken valt. De truc is dat "betaling van deze aanbieding wordt beschouwd als opdrachtbevestiging". Met andere woorden: de ontvanger is het bedrag pas schuldig op het moment dat het betaald is.

Lees verder

Gratis (stock)foto's downloaden voor je website

Zien doet niet alleen geloven, maar ook beter begrijpen, blijkt uit vele wetenschappelijke onderzoeken. W. Howard Levie en Richard Lentz, twee experts op dit gebied, bekeken al in 1982 enkele tientallen verschillende studies naar het effect van afbeeldingen op het leesbegrip van groepen mensen, en kwamen tot de conclusie dat afbeeldingen het onthouden en begrijpen van teksten inderdaad kunnen bevorderen.

Om een positief effect te hebben op het begrip van lezers, moet een afbeelding wel inhoudelijk relevant zijn. Zo kan een illustratie, zoals een diagram of grafiek, worden ingezet om een ingewikkeld concept of een verzameling gegevens op eenvoudigere wijze visualiseren. Maar ook foto's, bijvoorbeeld van een evenement of een persoon, kunnen het effect van een tekst doen versterken.

Beperkt gerelateerde of puur decoratieve afbeeldingen kunnen daarentegen de aandacht onnodig afleiden, en het leesbegrip zo doen afnemen. Het verdient dan ook de aanbeveling om alleen een visueel element aan je teksten toe te voegen als deze werkelijk iets toevoegt. Maar hoe kom je überhaupt aan afbeeldingen?

Lees verder

Waarom Google nooit alle websites op encryptie zal beoordelen

Rolfe Winkler van The Wall Street Journal slingerde maandag het breed opgepikte gerucht de wereld in dat Google overweegt om websites die gebruik maken van versleutelde verbindingen (encryptie), hoger in de zoekresultaten te plaatsen. Winkler baseert zich voornamelijk op de uitspraken van een "ingewijde", en gaat in het artikel volledig voorbij aan de nuances van een dergelijke aanpassing aan de zoekmachine.

Lees verder

WordPress 3.8.2 dicht vier beveiligingslekken, waarvan één ernstig

Als gevolg van een kwetsbaarheid in het WordPress-contentmanagementsysteem, zouden kwaadwillenden zich toegang tot een vatbare website kunnen verschaffen door de betrokken authenticatie-cookies te vervalsen. WordPress.org heeft dit vanavond bekendgemaakt, en stelt inmiddels updates beschikbaar.

Het lek met de code CVE-2014-0166 werd ontdekt en tevens opgelost door Jon Cave van het WordPress beveiligingsteam, en treft niet alleen versie 3.8 maar ook 3.7 en de nieuwe kandidaatsversie 3.9. Voor al deze versies zijn updates vrijgegeven die het probleem verhelpen.

Lees verder

Groot deel internet kwetsbaar door kritiek "Heartbleed"-lek in OpenSSL-bibliotheek

Een ernstig beveiligingslek in de populaire OpenSSL-softwarebibliotheek, op veel computersystemen verantwoordelijk voor de cryptografie binnen het SSL/TLS-protocol, maakt het mogelijk om versleutelde informatie te stelen. De fout zit al sinds 2011 in de code, en kan reeds op grote schaal misbruikt zijn.

Als gevolg van missende gegevensvalidatie in de zogeheten "Heartbeat"-extensie, kan tot wel 64 kilobytes aan computergeheugen vrij eenvoudig aan kwaadwillenden geopenbaard worden. Zo kunnen niet alleen beveiligde gegevens worden onderschept, maar zouden mogelijk ook de geheime sleutels die gebruikt worden om de informatie te coderen, blootgesteld kunnen worden.

Wie over een dergelijke "private key" beschikt, is in principe in staat om al het beveiligde dataverkeer van de bijbehorende server te ontsleutelen, zonder enige sporen van misbruik op het systeem achter te laten. Ook gegevens die in het verleden onderschept zijn, en met dezelfde sleutel beveiligd waren, kunnen op deze manier achteraf nog gedecodeerd worden.

Verwijzend naar de "Heartbeat"-extensie waar de programmeerfout in ontdekt werd, wordt het lek met de officiële naam CVE-2014-0160 inmiddels ook wel "Heartbleed" genoemd, en is er een website opgezet met gedetailleerde informatie.

Update (9:09): Met behulp van deze Heartbleed tool kan het lek gedetecteerd worden. Hieruit is gebleken dat de websites van grote Nederlandse banken nu niet kwetsbaar zijn. Van alle hostingproviders op Hosting in Nederland lijkt tenminste 25% nog vatbaar.

Update (16:30): De tool uit de vorige update raakt wegens alle aandacht regelmatig overbelast, en kan daardoor een ongeldig resultaat geven. Gebruik eventueel onderstaande kloon om een domeinnaam op de Heartbleed-kwetsbaarheid te controleren.

Check

Update (22:00): Het is nu ook mogelijk om een andere poort dan 443 (standaard https) op te geven in bovenstaand formulier. Voorbeeld: plesk11.demo.parallels.com:8443

Lees verder