Door Erik van Straten: Wel mis ik wat oplossingsgerichtheid.
Dit is een beetje flauw, Erik. Iedereen aan dezelfde kant laten rijden, stoplichten, en autogordels waren allemaal goede ideetjes maar op zichzelf niet de oplossing voor het hele probleem. En dat met een veel simpeler probleemdomein wat bovendien tastbaar en zichtbaar is voor iedereen die meedoet.
Ik vind dat we naar verbeteringen moeten blijven zoeken om mensen duidelijker onderscheid te kunnen laten maken tussen echt en nep,
In het geval van email, bijvoorbeeld, zou je eerst eens kunnen beginnen met vertellen hoe een emailtje inelkaar zit zodat demense zelf al beter onderscheid kunnen maken tussen echt en nep. En dat er dan wat mensen tussen zitten die denken "tjee, deze emailclient is echt waardeloos, laat ik eens een ander pakken". Nu wordt dat onderscheid niet gemaakt, of als, dan op de aanwezigheid van kalenderintegratie. (Wat voor iemand met een Unix-achtergrond echt vloeken in de kerk is: Waarom "moet" er vanalles in één en hetzelfde programma, waarom kun je nou niet eens wat programmas samen laten werken?!? Naast dat het dus niets met email an sich van doen heeft. Net of je autos uitzoekt op het hebben van cupholders, hoezo is dat je belangrijkste criterium?)
en dat we browsermakers op de vingers moeten tikken als ze (dreigen) te ver te gaan met "vereenvoudigen" (lees: schrappen van essentiële informatie).
Dat doen ze omdat gebruikers blijven klagen dat het te moeluk is. Oftewel, met genoeg gebruikers die iets beters willen, kan het er ook makkelijker komen.
Maar ook hier is onze eerdere laksheid een kostenverhoger: "Een browser" maken is hopeloos ingewikkeld want HTML parsen en het hele DOM-gebeuren, laat staan css en nog erger, javascript, is zo hopeloos complex dat zelfs de specialisten het niet voorelkaar krijgen bij benadering correcte en lekvrije code te schrijven. Dus "even" een browser met een betere interface klussen... meer dan een bestaande engine van een nieuw jasje voorzien is zelfs voor software-reus microsoft niet weggelegd. Het ziet ernaar uit dat het tijd wordt HTML+vrindjes te vervangen door iets beters. Ook daar, alleen het ontwerp al is niet simpel. Dat is dus ook al een grote klus.
Maar je kan wel beginnen met zelf zo'n ander jasje voor een rendering-engine te schrijven en eens goed na te denken over wat en hoe je laat zien. Bijvoorbeeld niet meer van die hopeloos vage "het werkte toch niet helemaal mischien kun je nog eens nadenken over andere dingen die je mischien zou kunnen proberen wellicht"-idiotenmeldingen geven maar gewoon zeggen waar het op staat.
"HOSTNAME LOOKUP FAILURE: NXDOMAIN" heb ik echt meer aan dan wat de verzamelde browsers nu doen. En dat is alleen maar het stukje "DNS"; alle andere mogelijke foutmeldingen hebben ze net zo goed achter bakken vergoeilijkende bullshit verborgen.
Net of je auto in plaats van een lampje "motor nakijken" een tekstje afspeelt "nou er ging iets niet goed hoor, mischien moet je eens kijken of er geen rook onder je motorkap vandaan komt". Dat is op zich al een domme melding want in plaats van te vertellen wat het weet ga je de gebruiker lopen uit-gissen, en oh ja, als er echt een probleem is, grote kans dat die rook eerder opvalt dan het domme berichtjesafspelen.
De collectieve browsermakers doen het allemaal net zo. Geeft toch te denken over hoe ze tegen hun gebruikers aankijken. Maar de oplossing daar is niet "browsermakers op de vingers te tikken", het is "zorg dat er genoeg mensen zijn die beter weten en ga met z'n allen luidkeels om betere browsers roepen." Of maak ze desnoods zelf.
En dat we serverbeheerders erop moeten wijzen dat ze beter na moeten denken over de domeinnamen die zij kiezen
Vaak niet de beheerders die de domeinnamen kiezen. Toen ik servertjes beheerde heb ik regelmatig opdrachten vrijelijk geherinterpreteerd om, bijvoorbeeld, in plaats van "sales_eu@bedrijf.tld" aan te maken zoals gevraagd, terug te komen met "eu@sales.bedrijf.tld" en het argument dat dat een betere indruk naar buiten geeft. Niet iedere beheerder snapt dat, of durft het.
Soms kan het ook niet. Zo bleken er ineens "@bedrijfna.com" te bestaan, met dank aan de twee salesjongens die in North America voor ons bezig waren. Maar dus zonder enige terugkoppeling of bespreking of afspraak of wat ook. Ik als beheerder had het maar gewoon te slikken, ook al zette het de complete authenticatie- en andere infrastructuur en allerlei beleid compleet op z'n kop, en had en kreeg ik nul beheer over die domeinnaam.
Ik zou niet zeggen dat dat een voorbeeld was van een goed geleid bedrijf. Maar je ziet dat er heel veel bedrijfjes zulke fratsen uithalen. Omdat degenen die de beslissing nemen om een domeinnaam te regelen niet de kennis hebben om te snappen hoeveel ellende je veroorzaakt met dat ondoordacht te doen. En dat zijn lang niet altijd de beheerders.
en het soort certificaten dat ze inzetten (bewijzen dat jij jij bent is irrelevant als derden zich al te makkelijk en overtuigend kunnen voordoen als jou).
Certificaten hebben wel meer problemen dan alleen dat. PKI-in-de-browser is wel een mooie illustratie: De browserjongens hadden een probleem, en hebben daar toen maar het eerste het beste tegenaangegooid wat ze tegenkwamen in de vorm van een stricte certificatenhierarchie. De onvermijdelijke "vertrouwensverankering" kreeg een quick fix in de beste kapitalistische tradities, door het probleem aan bedrijfjes met CA-certificaten te geven. Die je zullen beschermen tegen iedereen waarvan ze geen geld aannemen.
Het is een mooi voorbeeld van hoe iets lijkt te werken maar zelfs in de ontwerpfase eigenlijk al gierend van de rails gevlogen is. En dat is dan nog voordat je Peter Gutmann zijn "Everything you Never Wanted to Know about PKI but were Forced to Find Out" gelezen hebt, waar nog veel meer diepe ellende in aangestipt en geïllustreerd wordt.
Maar dat mensen zonder enige kennis redelijk veilig zouden kunnen internetten, sluit ik bij voorbaat uit.
Dis is wel de status quo.
En dan hebben we het nog niet gehad over alles wat onder de browser zit, bijvoorbeeld besturingssoftware die niet bestuurt maar wel zelf een bron van ellende, de hardware die vergelijkbaar mank gaat, je gebrek aan eigenaarschap op moderne hardware, en zo voort, en zo verter. We hebben het gehad over één programma en hoe er gebruik van wordt gemaakt.
Erik, ik kan echt nog uren doorschrijven met ideetjes over wat er allemaal beter kan. Maar ondertussen weet je net zo goed dat je zelfs hier nog niet eens kan opmerken dat ransomware best duur is aan losgeld en bijkomende kosten of er staat alweer iemand te gillen dat dat "pro linux evangelisatie" is of iets in die trant. Oftewel,
toegeven dat er een probleem is is zelfs hier te moeilijk, op een plek waar we toch pretenderen iets zinnigs over security te kunnen zeggen.