Vorige aflevering | Search TidBITS | TidBITS Homepage | Volgende aflevering

TidBITS#719/01-Mar-04

Veiligheidsproblemen heersen deze week, met Glenn Fleishman die de veiligheidslekken in AppleShare behandelt en Adam die uiteenzet hoe Panther's FileVault werkt - en hoe het hoort te werken. Glenn bericht ook over een off line Wi-Fi hotspot-gids, en Jeff Carlson geeft je meer iChat AV tips. In het nieuws, Eminem klaagt Apple aan, we geven exemplaren van Interarchy weg in DealBITS, en Salling Clicker 2.1 en Now Up-to-Date & Contact 4.5.2 zijn verschenen.

Onderwerpen:

Copyright 2004 TidBITS: Reuse governed by Creative Commons license
<http://www.tidbits.com/terms/> Contact: <[email protected]>


-> Denk je dat TidBITS interessant is voor <-
-> je vrienden, kennissen, collega's? Geef <-
-> hen de tip zich ook GRATIS te abonneren <-
-> of stuur deze aflevering naar hen door! <-


Deze editie van TidBITS werd gedeeltelijk gesponsord door:


De Nederlandse editie van TidBITS is een letterlijke vertaling van de oorspronkelijke Engelse versie. Daarom is het mogelijk dat een deel van de inhoud niet geldt in bepaalde landen buiten de USA.

Dit nummer werd uit het Engels vertaald door:

Verder werkten mee:

Hoe je ons kunt bereiken kun je lezen op:
<./tidbits-nl/contact.html>


MailBITS/01-Mar-04

[vertaling: MSH]

Eminem ript, mixt, en brandt Apple -- Rap superster Eminem heeft een aanklacht tegen Apple Computer wegens aantasting van het copyright ingediend bij het gerechtshof in Detroit, ook worden als klager genoemd MTV als dochter van Viacom en het advertentie-agentschap TBWA/Chiat/Day. De aanklacht zegt dat Apple Eminem's Oscar-winnende hit "Lose Yourself" in een iPod-advertentie gebruikte zonder toestemming. De spot werd getoond op MTV in 2003 en was verkrijgbaar via Apple's website. Eminem vermeed angstvallig een nationale vergoedings-deal en claimt dat een rekening mogelijk tot meer dan $10 miljoen zou oplopen indien hij een zodanige overeenkomst zou willen. Al specificeert de rechtszaak de schadeclaim niet, opgemerkt wordt dat Eminem (wiens echte naam Marshall Bruce Mathers III is en die aanklaagt via zijn platenmaatschappij Eight Mile Style) aanspraak zou kunnen maken op "schade met een voorbeeldfunctie" door de hoge status die de song bereikte in de populaire cultuur.[GD]

<http://www.eminem.com/>
<http://www.mtv.com/>
<http://www.chiatday.com/>

Salling Clicker 2.1 voegt Symbian Support toe --Bij Salling Software kwam Salling Clicker 2.1 uit, dit voegt ondersteuning toe voor GSMs met Bluetooth, die werken met het Symbian besturingssysteem (zie "Salling Clicker in actie" in TidBITS-694). Salling Clicker 2.1 is nu compatibel met de Sony Ericsson P800 en P900, Nokia 3650, 6600, en N-Gage, en de Siemens SX1. Op sommige modellen toont de nieuwe versie van de afstandsbedieningssoftware iTunes albumkunst op het telefoonscherm van de song die momenteel wordt afgespeeld; telefoons met een pennetje kunnen de cursor op je Mac aansturen. Met versie 2.1 heeft Salling ook ondersteuning gebracht voor Palm OS apparaten die met Bluetooth zijn uitgerust (deze liepen vroeger op een aparte versie van Salling Clicker). De update is een download van 4.2 MB , vereist is Mac OS X 10.2.8 of later, en is gratis voor bestaande gebruikers; een nieuwe licentie kost $20. [JLC]

<http://www.salling.com/>
<http://db.tidbits.com/getbits.acgi?tbart=07320>

Rendezvous met Now Up-to-Date & Contact 4.5.2 --Vele fans van Now Software's Now Up-to-Date & Contact blijven het gebruiken omdat het in staat is agenda's en contactinformatie te plaatsen op gedeelde netwerkservers. Deze eigenschap krijgt een versnelling in versie 4.5.2 met zijn ondersteuning van Rendezvous (ook bekend als Zero Configuration Networking) voor eenvoudigere aansluiting van apparatuur op een netwerk. De update voegt ook ondersteuning toe voor Apple's nieuwe Xserve G5 en bevat stabiliteitsverbeteringen. Now Up-to-Date & Contact 4.5.2 vereist Mac OS X 10.2 of later en is een download van 17.6 MB. [JLC]

<http://www.nowsoftware.com/>
<http://www.zeroconf.org/>
<http://www.apple.com/xserve/>


DealBITS-verloting: Interarchy 7.0

door Adam C. Engst <[email protected]>
[vertaling: EB]

FTP, of File Transfer Protocol, is een eenvoudig te begrijpen internetdienst, maar het bieden van een goede gebruikersomgeving en handige toevoegingen betekent dat een goed FTP-programma buitenproportioneel krachtiger is dan je zou verwachten. Dat is zeker waar voor Interarchy, een van de oudste internetprogramma's (alleen Fetch, de stamvader van alle Macintosh FTP-programma's loopt nog langer rond). Interarchy doet standaard FTP, verscheidene vormen van secure FTP en HTTP, en voor alles biedt het een variëteit aan agendering, herhaling, en mirroring-opties ('spiegelen' van bestanden op een andere locatie). Maar Interarchy gaat een stuk verder dan bestandstransport met zijn netwerkmonitoringmogelijkheden, wat het een waardevol onderdeel maakt van de gereedschapskist van elke netwerkbeheerder. Gebruikersverslagen over Interarchy 7.0 waren juichend, en veel mensen op TidBITS Talk waren erg enthousiast over de upgrade. Zorg dat je het ook probeert.

<http://www.interarchy.com/>
<http://db.tidbits.com/getbits.acgi?tlkthrd=2175>

In de DealBITS-verloting van deze week geven we vijf exemplaren weg van Interarchy 7.0, elk $39 waard. Zij die niet tot de gelukkige winnaars behoren ontvangen een korting op de normale prijs. Ga naar de hieronder opgenomen DealBITS-pagina, lees de trekkingsregels en ga ermee akkoord. Zoals altijd is alle informatie gedekt door ons uitgebreide privacy-beleid. Als laatste, controleer je spamfilters, aangezien je e-mail van mijn adres moet kunnen ontvangen om te vernemen of je gewonnen hebt.

<http://www.tidbits.com/dealbits/interarchy.html>
<http://www.tidbits.com/about/privacy.html>


Veiligheidslek in AppleShare-encryptie ontdekt

door Glenn Fleishman <[email protected]>
[vertaling: EB, LVC]

Computerbeveiligingsbedrijf SecurityFocus heeft een zeer specifieke maar belangrijke fout gevonden in Apple's gebruik van versleutelde verbindingen voor AppleShare, evenals fouten in de manier waarop wachtwoorden worden beheerd en encryptiesleutels worden bevestigd. Bepaalde gebruikers moeten door deze fouten gebruik maken van meer robuuste of minder makkelijke methoden om Apple's ingebouwde beveiligings- en encryptie-opties te omzeilen. Apple heeft nog niet op het rapport gereageerd.

<http://www.securityfocus.com/archive/1/355548/2004-02-25/2004-03-02/0>

AppleShare via SSH -- Wanneer je met een AppleShare-server verbinding maakt (met Bestandsdeling of een Mac OS X-server) kun je kiezen voor verbinden met SSH (Secure Shell), dat het wachtwoord versleutelt, al het bestandsverkeer en alle andere data tussen jouw machine en de AppleShare-server. Voor zo'n verbinding moet Extern inloggen op de Appleshare-server aanstaan

De SSH-optie, voor het eerst goed ondersteund in Mac OS X 10.3.2, maakt een versleutelde verbinding tussen een Mac die een AppleShare fileserver-verbinding initieert en een Mac-server die draait met Mac OS X 10.3 of Mac OS X Server 10.3. De AppleShare cliënt op de initiërende Mac maakt verbinding via Extern inloggen, wat Apple's naam is voor SSH. Om Extern inloggen aan- of uit te zetten, open je Delen in Systeemvoorkeuren en klik je op Voorzieningen.

De SSH-optie voor AppleShare is alleen aanwezig wanneer je verbinding maakt met een AppleShare-volume. Gebruik Verbinden met server in de Finder, kies een volume of voer een naam of ander adres in. Wanner je klikt op Verbind, biedt het inlog-venster een knop Opties. Klik op Opties en vink het hokje aan bij Sta beveiligde verbinding via SSH toe. Je kunt deze instelling standaard maken via Bewaar voorkeuren. (Om meer te leren over AppleShare bestandsdeling onder Panther kun je mijn boek raadplegen, "Take Control of Sharing Files in Panther.")

<http://www.tidbits.com/takecontrol/panther/sharing.html>

Vierduizend gaten in Blackburn AppleShare -- De voornaamste fout in AppleShare's gebruik van SSH is simpel: als een veilige verbinding via SSH niet naar de AppleShare-server gemaakt kan worden, wordt de verbinding toch gemaakt maar zonder de versleutelde tunnel - en zonder waarschuwing. Dit betekent dat terwijl je verwacht je wachtwoord en bestandsoverdracht via een versleutelde verbinding te verzenden, je deze informatie open en bloot verstuurt zonder dat je dat weet.

Het SecurityFocus item is geschreven door Chris Adams, een ontwikkelaar op het Salk Institute die ook een aantal serieuze problemen met Apple's benadering van wachtwoordencryptie in AppleShare ontdekte. Alleen een cryptograaf snapt sommige fouten, maar dat neemt de zorg niet weg bij academische instituties en anderen die vertrouwen op AppleShare voor het versleutelen van wachtwoorden of versleutelde verbindingen.

In de meeste SSH-systemen moet een SSH-cliënt bij de eerste verbinding met een SSH-server de identiteit van de server bevestigen. Dit gebeurt met 'fingerprinting': de cliënt-software toont een korte sequentie van getallen die de identiteit van de server bewijzen. Een oplettende gebruiker controleert die vingerafdruk met een die is geleverd door de eigenaar van de server of serversoftware "out of band": via de telefoon, grafisch op het scherm van de server, via fax, of een andere methode die niet van dezelfde verbinding gebruik maakt. Als de vingerafdruk ooit veranderd is de gebruiker op zijn minst gewaarschuwd dat de server mogelijk niet meer dezelfde identiteit heeft.

Adams toont dat Apple een lakse methode van SSH sleuteluitwisseling gebruikt voor AppleShare-sessies waarbij deze complexiteit wordt vermeden, maar waardoor een 'man-in-the-middle'-aanval mogelijk wordt, zo genoemd omdat een netwerk-aanvaller serversoftware op het netwerk zou kunnen installeren die zich voordoet als de AppleShare-server waarmee een gebruiker verbinding wilt maken. Omdat de gebruiker de identiteit van de server niet op het vingerafdruk-niveau controleert - en Apple in AppleShare hier geen faciliteit voor levert - kan de 'man in the middle' optreden als de server voor de cliënt en als de cliënt voor de server, en zo gebruikersnamen oogsten, onversleutelde wachtwoorden, en andere data, terwijl ondertussen informatie tussen AppleShare-cliënten en de echte server verstrekt wordt, om het eigen bestaan te maskeren.

Adams stelt voor dat Apple een waarschuwing levert wanneer er geen SSH-verbinding mogelijk is om er voor te zorgen dat een gebruiker niet per ongeluk een onveilige verbinding maakt. Hij stelt ook voor dat Apple een grafische interface levert voor SSH-boodschappen zodat een gebruiker encryptiesleutels kan accepteren en associeren met bekende AppleShare-servers. Dit zou voorkomen dat een 'man in the middle' een AppleShare cliënt voor de gek kan houden.

Apple zou het voorbeeld van PGP Corporation kunnen volgen waarbij server encryptiesleutel fingerprinting mogelijk is terwijl de complexiteit wordt vermeden van het werken met hexadecimale cijfers (zo verschijnen zulke sleutels). PGP's software voor het versleutelen van boodschappen en virtuele schijven laat je de PGP sleutel van een andere gebruiker controleren door unieke woorden toe te wijzen aan ieder hexadecimaal getal van 0 tot 255. Mijn vingerafdruk voor mijn PGP sleutel bijvoorbeeld, start met "soybean drunken stormy uncut Oakland," net poëzie van de Beat-generatie.

<http://www.pgp.com/>

Totdat Apple een nieuwe benadering kiest voor het echt veilig maken van SSH-verbindingen, hebben gebruikers drie opties: doe alles om de integriteit van het netwerk te beschermen, ga gebruik maken van 'virtual private network' (VPN) software (goed gehanteerd in Mac OS X 10.3 en Server 10.3), of maak individuele SSH-tunnels. Geen enkele oplossing is ideaal, daar ze meer moeite kosten dan simpel een vakje aankruisen in het huidige systeem.


Wi-Fi hotspots vinden zonder een internetverbinding

door Glenn Fleishman <[email protected]>
[vertaling: JG]

Zoek je een plek om draadloos met het internet te verbinden, maar je bent momenteel niet on line? Je hoeft je laptop niet langer in de kou te laten staan: JiWire, een site gewijd aan Wi-Fi hotspotlijsten en praktische artikelen, heeft net een gratis off line-gids van publieke hotspotlocaties uitgegeven. De JiWire Hotspot Locator werkt met Mac OS X 10.3, Linux (Red Hat 9), en Windows XP, Me, en 2000. (Bekendmaking: ik ben hoofdredacteur bij JiWire. Ik link ook naar hen en zij naar mij op mijn onafhankelijke Wi-Fi Networking News-site.)

<http://www.jiwire.com/>
<http://wifinetnews.com/>

De gids met alle 28.000 locaties ter wereld kun je doorzoeken op stad, staat, land, verbindingssoort, provider, of postcode (of elke combinatie daarvan). Je kunt ook een vakje aankruisen om het zoeken te beperken tot alleen gratis hotspots, een meer en meer populair fenomeen in de VS. De gids bevat een stap voor stap-gebruiksaanwijzing voor het verbinden met een Wi-Fi netwerk voor elk platform, handig voor beginnende gebruikers van publieke hotspots.

Als je de gids gebruikt terwijl je verbonden bent met het internet, kun je op een link klikken bij ieder zoekresultaat om de contextuele plattegronden van JiWire te zien, die ook andere hotspots in de buurt laten zien. Een update-mogelijkheid zoekt naar nieuwe hotspots en de software wordt up-to-date gebracht iedere keer als de gids gebruikt wordt.

Gebruik van de JiWire gids is gratis, maar het kan in de toekomst advertenties tonen naast de lijsten, evenals bonnen voor speciale aanbiedingen. De software vereist dat je je inschrijft voor een gratis My JiWire-abonnement op de website van de firma.

Dit is een van de eerste keren, voorzover ik me kan herinneren, dat een Wi-Fi product tegelijkertijd verkrijgbaar is voor Mac en Windows (en zelfs Linux). Boingo Wireless exclusieve Windows-software voor het vinden en verbinden met gratis en commerciële locaties wordt nog steeds verwacht voor de Mac, maar er is nog geen datum vastgesteld.

<http://www.boingo.com/>


Meer iChat AV 2 tips

door Jeff Carlson <[email protected]>
[vertaling: MB, PAB]

Een paar weken geleden gaf ik wat tips uit mijn nieuwe boek, iChat AV 2 for MacOS X: Visual QuickStart Guide. Je zou denken dat een kleine, simpele applicatie als iChat oppervlakkig zou zijn, maar in werkelijkheid hebben de programmeurs van Apple er een aantal details in verwerkt die moeilijk te vinden zijn, of gewoon slim. Ze hebben het ook voor derden makkelijk gemaakt om add-on utilities te schrijven die iChat nog nuttiger en geiniger maken. Hier zijn wat meer tips uit het boek en aandacht voor een aantal utilities die ik gebruik.

<http://db.tidbits.com/getbits.acgi?tbart=07544>
<http://www.amazon.com/exec/obidos/ASIN/0321237730/tidbitselectro00/nosim>

Twee audio/video tips -- Zo gauw je een audiochat-verbinding hebt gemaakt, kun je het chat-venster minimaliseren in het Dock om het venster uit de weg te hebben; klik op de gele Minimaliseerknop, of klik Commando-M. Dit werkt ook bij videochats, wat vooral handig is als je een eenrichtings-videochat bent begonnen, omdat je dan alleen een beeld van jezelf ziet (en praten tegen een afbeelding van jezelf is gewoon vreemd).

Trouwens, klinkt het geluid uit de ingebouwde luidsprekers van je PowerBook G4 of iBook blikkerig of dun? Dat is expres gedaan: om feedback van de interne microfoon te verminderen komt het geluid van audio- en videochats alleen uit de linkerluidspreker, en in mono. Sluit een koptelefoon aan om de kwaliteit te verbeteren (hoewel het nog altijd mono is).

<http://docs.info.apple.com/article.html?artnum=93214>

De camcorder als webcam -- Hoewel Apple liever zou hebben dat je een iSight videocamera koopt, kun je een camcorder via FireWire gebruiken als video- en audio-ingang - iChat zou hem automatisch moeten herkennen. Als je camcorder continu afslaat na een paar minuten (vanwege de automatische stroombesparingsstand), haal dan simpelweg de cassette uit je camera.

<http://www.apple.com/isight/>

Verzonden bestanden vinden op je Mac -- Ik vertelde laatst hoe je iChat AV kunt gebruiken om bestanden te verzenden tussen mensen, maar ik vertelde niet dat de applicatie het bestand na aankomst toont in de Finder. iChat doet iets vergelijkbaars met bestanden die je al naar iemand gestuurd hebt. Als je een bestand moet vinden nadat je het al verstuurd hebt, (misschien heb je het Finder-venster gesloten waarin het zich bevond), klik dan op de link in iChat die aangemaakt werd toen je het bestand verstuurde. Er verschijnt dan een nieuw Finder-venster waarin het bestand is geselecteerd.

iChatStatus -- Je kunt een statusbericht kiezen dat onder je naam verschijnt in de Buddy List van andere mensen, zoals "Available" of "Away". Je kunt ook je eigen berichten maken ("Aanwezig, maar bezig" of "Onder de caffeïne!"). Maar iChatStatus brengt het concept een muzikale stap verder. Met het iChatStatus voorkeurenpaneel geïnstalleerd, vertoont het statusbericht het liedje en de artiest die op dat moment in iTunes spelen. Je kunt je muzikale smaak delen met eenieder die jou op zijn Buddy List zet. (Nog geen twee minuten nadat ik iChatStatus op mijn Mac had geïnstalleerd, stuurde een vriend van me op de redactie een instant bericht waarin hij zei, "Crowded House is mijn favoriete band!")

<http://ittpoi.com/>

De iTunes-verbinding is de standaardinstelling, maar niet de enige mogelijkheid. Met behulp van AppleScript scripts die bijgevoegd zijn met dit programmaatje, kun je kiezen om een scala aan informatie te tonen, zoals de plaatselijke temperatuur, je huidige actieve applicatie, het vrije geheugen van je Mac, de huidige webpagina in je favoriete browser, het aantal ongelezen e-mailberichten in Apple's Mail, en meer. Je kunt zelfs bepalen welke gegevens verschijnen voor of na het automatische bericht (zoals een muzikale noot, of wat dan ook; om de plaatselijke temperatuur te tonen, maakte ik een prefix "Seattle:quot; aan, zodat mijn bericht resulteert in "Seattle: 47° F").

iChatStatus is gratis (hoewel giften welkom zijn), vereist iChat en Mac OS X 10.2 of later, en is een bestand van 228K.

iChatter -- Probeer je de scenes te herleven uit de film Wargames toen het computerprogramma praatte tegen Matthew Broderick? Installeer dan iChatter om de tekst-naar-spraak stemmen in Mac OS X je uitgaande en ingaande tekst op te laten lezen. Als je buddy ook iChatter heeft geïnstalleerd, dan houdt het zich aan de stemmen die jullie beiden hebben gekozen. De programmeurs hebben ook slim genoeg zinnetjes in de plaats van smileys gebruikt, zoals "hi hi" voor de gewone smiley, en "winkie winkie" voor de smiley met het knipoog. Een URL naar iemand versturen verloopt niet zo gladjes, omdat iChatter het hele adres uitspelt ("h-t-t-p-colon-slash-slash..."). Als je je tekst een stem wilt geven, dan is dit de manier. iChatter vereist de freeware Application Enhancer, is shareware voor $8 en is een bestand van 1.1 MB.

<http://www.imdb.com/title/tt0086567/>
<http://www.ecamm.com/mac/ichatter/>
<http://www.unsanity.com/haxies/ape/>

Logorrhea -- iChat kan automatisch je chatteksten bewaren door de optie hiervoor aan te zetten in het venster Berichten van de voorkeuren van iChat. Wat je hiermee echter wel krijgt is een map vol met .chat bestanden. Eén voor elke chat en genoemd naar deelnemer, datum en tijd ("Adam C. Engst op 16-02-2004 om 13:56.chat" bijvoorbeeld). Door er op te dubbelklikken, opent een bestand zich in iChat met iChat's ballonnen, symbolen en lay-out. Maar wat als je iets specifieks zoekt?

Download en installeer dan Logorrhea (een term die " pathologisch excessief spreken" betekent), een fantastisch zelfstandig programma voor het bekijken van, en meer belangrijker voor het zoeken in, deze .chat bestanden. Ik heb Logorrhea al vaak gebruikt om een telefoonnummer te vinden of andere informatie die iemand me gaf tijdens een iChat-sessie in plaats van via e-mail. Het is gratis (maar donaties worden geaccepteerd) en de download is 130 K groot.

<http://www.spiny.com/logorrhea/>


Hoe FileVault zou moeten werken

door Adam C. Engst <[email protected]>
[vertaling: PAB, GH, DPF]

We zijn unaniem negatief geweest over FileVault, de nieuwe beveiligingsfunctie die Apple toevoegde aan Mac OS X 10.3 Panther. Dat betekent echter niet dat we het een slecht idee vinden belangrijke informatie te beschermen. Het probleem is dat Apple een erg simplistische aanpak heeft gevolgd, die misschien wel makkelijk te leren en te gebruiken is, maar ertoe leidt dat gebruikers kwetsbaarder worden voor andere problemen.

<http://www.apple.com/macosx/features/filevault/>

FileVault basisbegrippen -- Conceptueel is FileVault makkelijk te begrijpen, omdat het gebruik maakt van reeds bestaande Mac OS X technologie. Als je FileVault aanzet, creëert Mac OS X een speciaal type schijfkopiebestand en slaat hier je hele Thuismap in op. Het schijfkopiebestand is op twee manieren ongewoon: het is versleuteld middels de AES 128-bit techniek en het is een zogeheten "sparse image", wat betekent dat het slechts zoveel ruimte op je harde schijf inneemt als er gegevens in opgeslagen zijn. Tijdens de instelling ervan, worden alle gegevens naar het versleutelde schijfkopiebestand gekopieerd en dit kan even duren: met een Thuismap van 6,6 GB op mijn 12 inch PowerBook G4, duurde dit 73 minuten.

Let trouwens wel op de uitgebreide wijze waarop FileVault waarschuwt om je wachtwoord te onthouden. Anders dan het hoofdwachtwoord dat je in kunt stellen als je FileVault aanzet, is er geen achterdeurtje in FileVault: je hebt dus echt pech als je geen back-up hebt. (Dit is natuurlijk zoals het hoort: een beveiligingsfunctie met een achterdeur is waardeloos.)

Als FileVault eenmaal is ingesteld en draait, zou het je slechts op twee manieren moeten opvallen. Ten eerste, als je voorkeur is om automatisch in te loggen, zet FileVault deze instelling uit (wat logisch is, vanuit beveiligingsoogpunt), hoewel je dit zelf weer aan kunt zetten. Ten tweede kunnen in sommige programma's (met name op langzamere Mac's), schijfgerelateerde activiteiten langzamer gaan.

Als je Mac gestolen wordt, zal de onverlaat niet in staat zijn om iets uit je door FileVault beschermde Thuismap te halen, Natuurlijk aangenomen dat je niet ingelogd was toen de Mac gestolen werd en dat je wachtwoord voldoende geheim en moeilijk te raden is. Het is belangrijk om nog te melden dat als je ingelogd bent en je gegevens kunt benaderen, het ook voor iedereen die achter je gebruikersnaam en wachtwoord kan komen, mogelijk is om op afstand op je computer in te breken. Zo ook voor theoretisch kwaadwillende, of gewoon slecht geschreven programma's.

Er is slechts een waarschuwing bij FileVault's beveiliging: de originele bestanden die toegevoegd worden op het versleutelde schijfkopiebestand worden niet op een veilige manier verwijderd. Denk hieraan als je je zorgen maakt over een dief die gebruikt maakt van een schijfbewerkingsprogramma om gewiste gegevens terug te halen van een gestolen Mac.

<http://www.securemac.com/macosx-filevault-advisory.php>

Problemen met FileVault -- Hoewel FileVault in theorie goed klinkt, heeft het te maken met een aantal serieuze ontwerpfouten. De belangrijkste is het feit dat het een alles-of-niets bescherming van je Thuismap biedt en alleen van je Thuismap. Nu is je Thuismap natuurlijk de plek waar al je gegevens zijn opgeslagen (althans bij de meeste mensen), maar andersom hoeft het niet te betekenen dat omdat gegevens in je Thuismap zitten, ze bescherming behoeven tegen nieuwsgierige aagjes. Nog meer ter zake, er is meestal geen noodzaak om schijfruimte, processorinspanning en tijd (invoeren van wachtwoorden) te verspillen aan de allergrootste brokken gegevens: films, muziek en foto's.

Mijn Thuismap is bijna 40 GB groot. Daarvan bevat mijn Filmsmap 2,4 GB, mijn Afbeeldingenmap bevat 13,4 GB en een andere map bewaart 7,7 GB aan weblogs. Mijn Muziekmap bevat maar 1,3 GB aan bestanden, maar als ik mijn iTunes Muziekmap op m'n Mac bewaar in plaats van op de server zou dat nog eens 17,7 GB aan data zijn. Dus 24,8 GB van de 40 GB aan data in m'n Thuismap heeft helemaal geen bescherming nodig. Maar er is geen manier om FileVault zo in te stellen dat die mappen overgeslagen worden.

Onnodige data in FileVault bewaren heeft 3 negatieve gevolgen. Ten eerste krijg je meer handelingen door het omzetten van bestanden die niet versleuteld hoeven te worden. Misschien gaat het in bepaalde situaties langzamer, misschien ook niet, maar er is geen enkele reden om CPU-cycli te verspillen aan het versleutelen en ontsleutelen van bestanden die niet gevoelig zijn. Ten tweede, en dit is de echte reden waarom ik FileVault niet gebruik, is het schijfkopiebestand een enkel bestand, en als je harddisk fysieke of andere schade oploopt in de sectoren die het FileVault schijfkopiebestand bevatten, kun je alles verliezen. Dat zou niemand moeten verrassen - het verschilt niet van het verliezen van elk ander bestand als een disk corrupt raakt. Maar er is een groot verschil tussen het verliezen van een enkel bestand en het verliezen van al je gebruikersgegevens. Ten derde, laten we zeggen dat je FileVault gaat proberen, en besluit om er weer mee te stoppen, dus je schakelt het uit. Dan moet FileVault al je data uit het schijfkopiebestand terugzetten naar je Thuismap, en het schijfkopiebestand wissen als dat gebeurd is. Als je Thuismap te groot is moet je bestanden wissen om genoeg schijfruimte vrij te maken voor beide kopieën.

Botweg gezegd, je weet dat je niet alles op 1 paard moet inzetten, FileVault is dat paard.

Naast het te algemeen beschermen van alles, verhoogt FileVault ook het risico om data te verliezen door niet-gerelateerde gebeurtenissen. Omdat FileVault je data bewaart in een schijfkopiebestand, moet het data omzichtig wegschrijven naar dat schijfkopiebestand bij het uitloggen. Als je een kernel panic krijgt, een vastloper, een bug in het bestandssysteem, of zelfs een elektriciteitsstoring, neemt de kans op dataverlies toe met FileVault. Dat komt doordat de versleutelingslaag complexiteit toevoegt aan herstel van niet goed afgesloten bestanden, net zoals het feit dat het schijfkopiebestand zelf een bestand is wat gecorrumpeerd kan raken. Mac OS X is normaliter vrij stabiel, maar in de echte wereld kan het nog steeds op lelijke wijze crashen.

Tijdens mijn test van FileVault op mijn PowerBook voor dit artikel, installeerde ik een paar updates via Software Update, en moest daarna herstarten. FileVault vertelde me dat mijn Thuismap meer ruimte gebruikte dan noodzakelijk, en gaf aan die ruimte te kunnen vrijmaken. Maar voordat ik een toets kon aanraken kreeg ik een kernel panic. Ik herstartte en hij draaide weer, maar iedere herstart zorgde voor een kernel panic. Ik zette FileVault natuurlijk uit, en dat duurde nog eens 28 minuten.

Zelfs als Mac OS X stabiel blijft kunnen elektriciteitsstoringen voor dataverlies zorgen. Niet iedereen heeft een laptop (die meteen zou moeten overschakelen naar de batterij bij een stroomstoring) en een noodstroomvoorziening (UPS), maar ik vind dat een UPS noodzakelijke apparatuur is. In de loop van de jaren heb ik er zoveel verzameld dat ik elke bureau-Mac die ik heb kan beschermen, samen met onze TiVo.

Ik hoop dat ik duidelijk ben geweest dat het gebruik van FileVault het belang van een goede back-upstrategie vergroot. FileVault zelf maakt back-ups een beetje moeilijker. de back-upprogrammatuur moet toegang hebben tot de versleutelde bestanden, wat betekent dat je ingelogd moet zijn tijdens de back-up. Bij persoonlijke back-upprogramma's is dat wel waarschijnlijk, maar dat is het niet bij Macs in een netwerk en het gebruik van Retrospect Client. In die situaties kan Retrospect niet bij de bestanden en dus geen back-up maken, Retrospect 6.0 weet dat het standaard de FileVault bestanden moet overslaan, omdat het wel verwerken een verspilling is van back-up media. Verscheidene gebruikers met FileVault aan compliceren de zaak ook, omdat alleen ingelogde gebruikers hun bestanden kunnen laten opslaan.

Voor serieuze veiligheid -- Hoewel ik op zich niet twijfel aan de veiligheid van het versleutelde schijfkopiebestand dat FileVault gebruikt, denk ik niet dat mensen die gevoelige data willen beschermen zouden moeten steunen op FileVault, om de eenvoudige reden dat het systeem niet het paranoïde perspectief heeft wat noodzakelijk is voor de hoogste graad van veiligheid. Daarom is de PGPdisk-mogelijkheid in PGP 8.0, welke ook versleutelde schijfkopiebestanden kan aanmaken, een betere oplossing. De mogelijkheden van PGPdisk zijn onder andere:

Om kort te gaan moet je PGP in plaats van FileVault gebruiken wanneer beveiliging echt belangrijk voor je is.

<http://www.pgp.com/>

FileVault opnieuw uitvinden -- Ondanks deze veroordeling van de implementatie die Apple koos voor FileVault en de zorgen over de graad van veiligheid, denk ik dat het FileVault-idee op zich uitstekend is, dus ik heb een eenvoudige suggestie voor verbetering.

FileVault zou de optie moeten bieden om het tot een enkele map beperkt te laten blijven, in plaats van alleen voor je gehele Thuismap. Je zou met de rechtermuisknop een optie Bescherm met FileVault moeten kunnen kiezen voor een bepaalde map. Omdat ik niet precies weet wat er achter de schermen gebeurt, kan ik niet zeggen of het logischer is om een enkele FileVault schijfkopiebestand met dan meerdere mappen erin te hebben, of een los schijfkopiebestand voor elke beschermde map; de laatste aanpak zou verschillende wachtwoorden mogelijk maken, wat weer handig zou kunnen zijn voor die situaties waarbij je een aantal mappen wilt beschermen met een eenvoudig wachtwoord waarvan je het niet erg vindt dat je collega's of je familie het kennen (maar je niet wilt dat een dief het weet) en andere mappen met een volledig privé wachtwoord dat alleen jij kent en je alleen zou moeten invullen wanneer je die specifieke map probeert te benaderen.

Het gebruikers toestaan om exact te specificeren welke mappen beschermd moeten worden door FileVault neemt niet alleen de meeste problemen weg die ik eerder heb genoemd (of reduceert ze op zijn minst), het vergroot zelfs de noodzakelijke flexibiliteit voor gebruikers. Bijvoorbeeld, hoewel de Afbeeldingen- en Filmsmappen van de meeste mensen waarschijnlijk niets gevoeligs bevatten zullen er waarschijnlijk ook genoeg mensen zijn die die mappen liever privé houden. Anderen willen wellicht niet meer dan hun Quicken datamap beschermen, of gegevens die gekoppeld zijn aan gevoelige werkprojecten.

De echte vraag die bij mij speelt is hoe moeilijk deze verandering nu eigenlijk is. Zou een slimme onafhankelijke ontwikkelaar gebruik kunnen maken van de onderliggende technologie van FileVault, en deze mogelijkheden beschikbaar kunnen maken via een eenvoudig contextueel men? Het is immers ook mogelijk om Schijfgereedschap te gebruiken om een versleuteld schijfkopiebestand aan te maken, en vreselijk eenvoudig om schijfbestanden aan je login-paneel te verbinden zodat ze automatisch geopend worden wanneer je inlogt. De theorie klinkt goed, en al deze acties kun je nu al handmatig uitvoeren, dus het lijkt relatief eenvoudig om dit toegankelijk te maken met een commando in een contextueel menu. Wanneer iemand dit idee implementeert, laat mij het dan weten, en in de tussentijd moedig ik iedereen aan die gefrustreerd is door FileVault om versleutelde schijfbestanden te gebruiken voor je gevoelige gegevens.


Recente onderwerpen in TidBITS Talk/01-Mar-04

door TidBITS redactie <[email protected]>
[vertaling: EB]

[De discussies waarnaar verwezen wordt zijn in het Engels, daarom hebben we de titels niet vertaald - Tb-NL.]

FTP in the Finder -- Apple's ingebouwde FTP-programma lijkt nog steeds niet geheel geïmplementeerd te zijn, wat tot een discussie leidt over andere FTP-programma's. (27 berichten)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2175>

Synchronization Software? Wat is de beste manier om je data tussen meerdere Macs te synchroniseren? (9 berichten)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2181>

Thoth Software Closes Down -- De maker van een populaire Usenet nieuwslezer is ermee gestopt, waardoor een discussie over andere nieuwslezer-software losbrandt. (17 berichten)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2182>

System level databases -- Veel Apple-programma's, zoals Adresboek, laten de waarde zien van het werken met databases op systeemniveau, die door meerdere programma's worden gebruikt. Lezers debatteren over hoe een meer uitgebreide relationele database het zou doen versus het bestaande bestandssyteem. (6 berichten)

<http://db.tidbits.com/getbits.acgi?tlkthrd=2184>


Niet-winstgevende en niet-commerciële publicaties en Websites mogen artikels overnemen of een HTML link maken als de bron duidelijk en volledig vermeld wordt. Anderen gelieve ons te contacteren. We garanderen de precisie van de artikels niet. Caveat lector. Publicatie-, product- en firmanamen kunnen gedeponeerde merken zijn van hun ondernemingen.

Vorige aflevering | Search TidBITS | TidBITS Homepage | Volgende aflevering