[x] ongeschikt

<webwereld column>

Door alle nieuwe ontdekkingen van Brenno de Winter heb ik even overwogen om weer een column te wijden aan de OV-chipkaart. Maar bij nader onderzoek kwam ik er achter dat ik (en Brenno… en vele anderen…) eigenlijk alles erover in 2008 al gezegd hebben. En verder zijn grapje over de Iraakse minister van informatie zoooo 2003. Iets anders dus.

Ruim negen jaar geleden raakte in gesprek met Kees Vendrik (2e kamer, Groen links) over de verziekte Nederlandse software markt. Niet alleen was het onmogelijk een A-merk laptop te kopen zonder Microsoft Windows licentie, het was ook onmogelijk om veel websites (gemeenten, ns.nl en vele anderen) te bezoeken met iets anders dan Internet Explorer. Op dat laatste gebied is er veel verbetering te zien en dus kan ik tegenwoordig met mijn OS en browser naar keuze prima online leven. Alleen moet ik af en toe nog even die Windows licentie slikken bij aanschaf van een nieuwe laptop. Op dat gebied is er helaas nauwelijks verbetering. Ook zaken als de maatschappelijke afhankelijkheid van producten als MS-Office is niet echt minder geworden ondanks alle mooie wensen van ons parlement en plannen die de overheid daarop schreef.

Ondertussen daveren technologische ontwikkelingen door en datgene waar Bill Gates in ’95 zo bang voor was (het web maakt het OS irrelevant) is hard op weg werkelijkheid te worden. Bijna alle nieuwe ontwikkelingen die onderwerp van gesprek zijn onder IT’ers en power-users zijn web-based of gebaseerd op open specificaties en de meest gebruikte toepassingen van Pc’s draaien vrij goed als dienst in een browser.

Het 15-20 jaar oude probleem van afhankelijkheid is nog niet echt opgelost (onze overheid met tienduizenden IT’ers in dienst is niet in staat een desktop in te voeren op basis van iets anders dan de bekende Microsoft technologie stack) maar neemt dus wel af in impact. Ondertussen dienen zich al weer nieuwe afhankelijkheden aan van cloud-leveranciers die wellicht nog veel ernstiger kunnen zijn.

Door overmatig gebruik van proprietary software ontstaan risico’s van buitenlandse manipulatie of  aanvallen op kritische infrastructuur (zie bijvoorbeeld Stuxnet). Maar als je systemen op die manier worden aangevallen zijn er in ieder geval nog wat manieren om daar achter te komen. Als je werkt op de computer die niet van jou is, niet op een plek staat die je kan kennen en beheerd wordt op een manier waar je niets over kan weten wordt het wel heel lastig om nog enige controle te houden over wat er met je gegevens wordt gedaan.

Waar eerder nog de aanname was dat een deel van het probleem van controle over data te beheersen was door gebruikt te maken van lokale servers blijkt ook dat helaas een illusie. Alle ‘cloud’ diensten die worden aangeboden door bedrijven die in de VS gevestigd zijn vallen onder Amerikaans recht, zelfs als de servers fysiek in een ander land staan. En Amerikaans recht is tegenwoordig nogal, laten we zeggen, problematisch. Bij een verdenking van enige betrokkenheid bij ‘terrorisme’,   specifiek bewijs niet noodzakelijk, kunnen systemen worden afgesloten of overgenomen. Zonder waarschuwing, mogelijkheid van wederhoor of enige juridische toetsing. De term ‘terrorisme’ is daarbij zo ver opgerekt dat iemand die geen enkele Amerikaanse wet breekt, geen Amerikaans staatsburger is en zich niet in op het grondgebied van de VS bevindt toch ‘terrorist’ kan zijn.  Gewoon omdat een van de vele drie-letterige diensten (FBI, CIA, NSA, DIA, DHS, TSA, enz…) dat vindt. De EU is niet blij maar gaat kennelijk niet zover dat zij haar burgers en mede-overheden wil adviseren geen gebruik meer te maken van dergelijke diensten.

De lange arm van de US Patriot Act reikt echter nog verder dan servers van Amerikaanse bedrijven op Europees grondgebied. Zo worden er wel eens domeinen ‘in beslag’ genomen en voorzien van een sticker: ‘deze site was betrokken bij handel in kinderporno‘. Ga dat maar eens uitleggen aan je relaties als ondernemer of non-profit. Alleen al het gebruiken van een .com, .org of .net extensie voor je domein is genoeg om onder Amerikaans recht te vallen en uitgeleverd worden. Je kan dus als Europeaan uitgeleverd worden voor het breken van Amerikaanse wetgeving terwijl je gewoon thuis was. Een .com domein maakt van je server effectief Amerikaans grondgebied.

We wisten we al dat proprietary platformen zoals Windows en Google-docs achtige oplossingen ongeschikt waren voor echt belangrijke zaken zoals het runnen van overheden of kritische infrastructuur. Nu blijkt dus echter dat iedere dienst geleverd via een .com/.org/.net domein je de-facto onder buitenlands toezicht laat vallen.

Oplossing? Draai zo veel mogelijk opensource software op servers lekker dicht bij huis, er zijn in Nederland en Europa gelukkig flink wat competente hosting bedrijven en bedrijfjes. Hou het lekker bij .nl of, als je echt bulletproof wil zijn, neem een .ch domein. Deze worden beheerd door een Zwitserse stichting en deze mensen nemen hun onafhankelijkheid zeer serieus. Niet voor niets draait wikileaks tegenwoordig onder wikileaks.ch nadat .org en andere domeinen een enkeltje Guantanamo Bay kregen.

En als je dan toch gebruik wil maken van Google-docs, Facebook, Evernote, Mindmeister, Ning, Hotmail of Office 365 doe dit dan met het bewustzijn dat je geen enkele verwachting meer kan hebben van privacy of enige andere vorm van burgerrechten. Prima voor de administratie van de tennisvereniging maar [x] ongeschikt voor alle zaken die er echt toe doen.

  1. 1

    Aardig stuk. Maar concreet: is d’r een email-client die ik op m’n eigen VPS ka draaien met een vergelijkbaar interface en spamfiltering als gmail, bij voorkeur geschreven in python omdat ik geen trek heb om een veiligheidslek als PHP binnen te halen?

  2. 2

    Interessant betoog. Maar waarom geen aandacht voor de nogal gesloten omgevingen van de stürmerisch oprukkende smartphones? Er is zelfs een merk telefoon waar de telefoonmaker bepaalt wat er wel en niet op mag draaien!

  3. 3

    @gronk:

    Python is helemaal niet per definitie veiliger als PHP (zoek voor de grap eens op hoe hun SSL implementatie al jarenlang niet eens de mogelijkheid bood om certificaten te checken, mitm attacks all over the place).

    Ik ken een dergelijke email client niet echt. Het enige wat erbij in de buurt komt is ‘sup’ (geschreven in Ruby; zie http://sup.rubyforge.org/). Een mutt achtige kloon, maar dan met searching en topic clustering zoals GMail dat doet, maar die is bij mijn weten nog steeds in alpha status.

  4. 4

    Gronk, het feit dat een programma is geschreven in Python maakt het natuurlijk nog niet vanzelf veiliger dan hetzelfde programma dat is geïmplementeerd in PHP. Met beide programmmeertalen kan je er een puinhoop van maken. Verder is e.e.a. ook afhankelijk van het framework d.w.z. de bibliotheken die je gebruikt in je project.

    De “slechte” reputatie van PHP komt vooral door het grote aantal ongeschoolde hobbyprogrammeurs dat zich hier ook mee bezighoudt. Mensen zoals ik bijvoorbeeld ;-)

    Een software engineer die weet wat hij doet kan echter met PHP wel degelijk heel mooie dingen maken.

    Wat betreft je webmailprogramma: er is maar weinig mis met Roundcube.

    Spamfiltering is verder niet echt een taak voor een client, de server is een veel logischer plaats om dat af te handelen. Bijvoorbeeld met een blocklist van Spamhaus en met filtering door SpamAssassin.

  5. 5

    @Olav: niet alleen om het aantal hobbyprogrammeurs hoor! PHP is een samengeraapt zootje en er zit nauwelijks een consistente gedachte achter of implementatie cq filosofie. Maar goed; daarop wint helemaal niets het, Visual Basic is ook nog steeds heel erg groot en die taal haat iedelijke fatsoenlijke programmeur met een passie.

  6. 6

    @3/@4: met python heb je wel het ‘mac/linux’-voordeel: kleinere biosfeer, dus minder aanvallen. Daarnaast heeft python toch een veel minder ‘hackish’ feel als taal dan iets als PHP.

    Daarnaast (en IMO de meest belangrijke reden): in de meeste python-webframeworks zijn html, html-templates en python-code van elkaar gescheiden. Bij nogal wat PHP die ik gezien hebt loopt dat allemaal door elkaar heen.

    Qua spamfiltering: is inderdaad iets voor je server, maar als je gmail de deur uit gooit dan moet je daar toch zelf een alternatief voor vinden.

  7. 7

    Ha, V, een gelijkgestemde ziel wat betreft Python/PHP.

    Sup is inderdaad best heel erg cool (“The goal of Sup is to become the email client of choice for nerds everywhere.”) maar ik begreep uit Gronk’s vraag (misschien tussen de regels door) dat hij een webmailpakket zocht.

    Qua e-mailclients op de console/terminal ben ik zelf nogal gehecht aan Re-Alpine, de opvolger van de opvolger van Pine. Hoewel de configuratie vanwege de vele parameters niet eenvoudig is, kan je wel met alles connecten dat iets doet in welke vorm dan ook met e-mail.

  8. 8

    @olav: klopt, webmail. Je hebt elders niet altijd een putty ter beschikking, en om nou in een internetcafe een console-sessie te gaan openen.. neuh.

  9. 9

    Gronk: Qua spamfiltering: is inderdaad iets voor je server, maar als je gmail de deur uit gooit dan moet je daar toch zelf een alternatief voor vinden.

    Je had het over een VPS, dat is dan toch je server? Of laat je e-mail nog steeds via een andere partij lopen?

  10. 10

    @olav: klopt, spamfiltering moet ook op die VPS zitten. Alleen lees ik al m’n mail *nu* op een gmail-account, terwijl ik dat in principe ook op m’n eigen VPS zou kunnen doen. Maar dan moet ik een webmailclient hebben en qua spamfiltering iets hebben wat ongeveer net zo goed is als gmail.

  11. 11

    Nerds!

    On-topic: informatief stuk, maar toch weer een beetje “Wir sind kein Negervolk!”-gevoel. Als je niet afhankelijk wil zijn van de Amerikanen, maar er dan zaak van minder van hun shit te gebruiken. Ze zullen nooit en te nimmer de belangen van buitenlanders even zwaar wegen als de belangen van de eigen burgers en bedrijven. Zelfs de gedeelde culturele achtergrond met Europa doet daar weinig aan af. Misschien kan je niet meer Europa met de V.S. (en Canada, Australie, Nieuw Zeeland) onder de noemer van “Het Westen” scharen.

    Overigens:
    Alleen moet ik af en toe nog even die Windows licentie slikken bij aanschaf van een nieuwe laptop. Op dat gebied is er helaas nauwelijks verbetering. Ook zaken als de maatschappelijke afhankelijkheid van producten als MS-Office is niet echt minder geworden ondanks alle mooie wensen van ons parlement en plannen die de overheid daarop schreef.

    Je kan je eigen PC bouwen zonder OS (en is ook nog een stuk goedkoper) en Open Office is volledig compatibel met MS-Office. Ik bedoel, er is afhankelijkheid en er is niet verder kijken dan je neus lang is.

  12. 12

    Als je niet afhankelijk wil zijn van de Amerikanen

    ..dan helpt ’t ook om niet meteen voorover te buigen als de amerikanen iets willen. Want ook al zouden we hier een eigen silicon valley hebben, als we de sleutels van de voordeur ook aan de amerikanen geven schiet dat nog weinig op.

  13. 14

    @12: Goed, maar dan moet je ook een gemeenschappelijk Europees buitenlands beleid voeren. Maar nee, dat willen we natuurlijk ook niet want nationale soevereiniteit enzo.

  14. 15

    Als oud werknemer van MS kan ik hier denk ik ook wel over meepraten. Ten eerste is het niet zozeer de afhankelijkheid van MS die parten speelt (datzelfde kan nl in een adem worden gezegd van Oracle en IBM) maar veeleer het totale gebrek aan kennis en visie binnen de overheid.

    Binnen de gemeente Zoetermeer een hele mooie oplossing neergezet voor een documentmanagement systeem maar je loopt continue aan tegen bureaucratie en slinkse (extern) ingehuurde projectmanagement expertise. Systeem integrators als Avanade willen wel, maar kunnen vaak niet.
    Let wel dat de bedragen die omgaan bij de overheid in geen verhouding staan tot de oplossingen die b2b geleverd worden.
    Feitelijk hebben we te weinig IT talent bij de overheid zitten (en dan niet de typegeiten, maar mensen met visie) en wordt er ook gewoon beroerd opgeleid.
    We hebben op dit moment sterke behoefte aan vakmensen, maar iets als een ambacht in Software Development bestaat niet. Gelukkig zijn er nu in Amsterdam en omstreken een aantal (kleine) clubjes die in Ruby en JavaScript goede dingen doen, maar over het algemeen blijft het aanmodderen.

    Voorlopig zullen cloud diensten nog niet zo’n vaart gaan lopen doordat het betaalmodel nog niet goed is uitgewerkt. Je moet op een heel andere manier met data omgaan om de kosten in de hand te houden. De premisse van een easy portering van je systeem naar de cloud is volledig onzin: het dataverkeer daarna is niet te betalen.

    Overigens is het in 1 adem noemen van een A-merk laptop zonder Windows en clouddiensten ook wel een beetje tekenend. De discussie zou veel meer moeten zijn hoe we verschillende diensten loosely aan elkaar kunnen koppelen waarbij de systeem integriteit gewaarborgd blijft. Daar speelt de cloud op termijn een belangrijke rol, maar daar zijn we nog lang niet. Mbt systeem integratie en loose coupling kan ik REST in practice aanraden.

  15. 16

    @14: dat hoeft nog geeneens. Maar een minister van justitie die op voorhand al verklaart dat-ie er geen moeite mee heeft om Rob Gonggrijp uit te leveren (terwijl d’r nog geen verzoek van de VS ligt…)

  16. 17

    Binnen de gemeente Zoetermeer een hele mooie oplossing neergezet voor een documentmanagement systeem

    Sharepoint zuigt dikke harige apenballen.

  17. 19

    Leuk verhaal, behalve misschien voor mensen als JSK, die hun eigen laptop bouwen.

    Zelf ben ik overgestapt op Linux omdat ik helemaal ziek werd van W98ME, dat steeds vastliep. Maar ik moet bekennen dat ik een van mijn computers kan opstarten met een harde schijf waar Tiny7 op staat. Dat is overigens zo stabiel en zo snel, dat ik bijna van mijn Linux-geloof was afgestapt. Ik gebruik dat eigenlijk alleen voor FastFormat (dus zelden), omdat ik voor Linux geen equivalent kan vinden met hetzelfde gebruiksgemak.

    De Braziliaanse overheid is al jaren geleden overgestapt op Linux en Lula heeft kort voor het einde van zijn amtstermijn nog zijn steun uit gesproken voor Assange.

    Mooi land is dit toch.

    Desondanks sta ik waarschijnlijk genoteerd op de vele lijsten van de vele drie-letterige diensten, omdat ik steeds boze mailtjes naar het Witte Huis stuur vanwege Brad Manning.

  18. 20

    @su: dat ik met het fenomeen ‘internet op de werkplek’ gebonden ben aan een citrix-omgeving (onder microsoft), waardoor ik vanaf m’n werkplek alleen met iets web-achtigs bij m’n mail zou kunnen komen.

  19. 21

    @17 Natuurlijk zuigt Sharepoint enorm. Ik heb ook altijd om een klus met Sharepoint heen kunnen werken.

    Echter, het dynamische document routing systeem daar werkt gewoon erg goed. Ja er zit een Sharepoint db aan vast geplakt om de boel op te halen, maar het had in elke db kunnen zitten. Dat er voor Sharepoint gekozen is, is nou precies mijn punt: mensen zonder verstand van zaken maken strategische productkeuzes die zelden goed uitpakken.