Doelstellingen Internationaal Dienstenpakket ISOC.nl sponsoren Over deze site Contact

Stuff Michiel Leenaars has written

Het web heeft syfillus

Webwereld, 6/5/2006

- Een van de collega's van de prominente Amerikaanse uitgever Tim O'Reilly was in 2004 de bedenker van de ongelukkige marketingterm Web 2.0, die ontstond om in de depressie aandacht voor zijn bedrijf meegeorganiseerde conferenties te trekken.

Het is interessant om te zien hoe fijn mensen het vervolgens vinden om zich af te zetten door zo'n term te gebruiken, zelfs al is niet duidelijk wat het dan zou moeten betekenen.

Je bent dan ook achterdochtig als je bedrijfjes en sites ziet die zich als Web 2.0 profileren. Het heeft door die toegevoegde punt nul in ieder geval iets van beginnen met een schone lei, een rituele reiniging van de zonde van de overdrijving enerzijds en de onbezonnen decadentie anderzijds van de eerste internethype.

De feitelijke inhoudelijke analyse achter de toch wat puberale blufterm Web 2.0 is echter ronduit zwak, en faalt zelfs in het maken van het basale onderscheid tussen internet (een transportnetwerk voor bits) en het web (een wereldwijd gedeeld informatieplatform op basis van de HTML-standaarden waar je op surft via hyperlinks).

Internettoepassingen als Napster en Bittorrent, die prominent in de 'originele' Web 2.0-lijst staan, zijn namelijk niet eens webtoepassingen maar losstaande softwarepakketten die je aanzet en vervolgens op de achtergrond draait op je computer. Iets doen met een webbrowser lijkt toch wel een redelijke eis aan Web 2.0, anders kunnen we voip, podcasting en remote desktops ook wel zo gaan betitelen.

Sowieso leest het lijstje van Web 2.0 contra Web 1.0 voornamelijk als een streeplijstje vol knollen en citroenen - vergelijkbaar met hoe meidenblaadjes als Yes en Tina bij de aanvang van het nieuwe modeseizoen aangeven wat volgens de redactie 'in' en 'uit' is.

Natuurlijk heeft de evolutie zijn werk gedaan: in je browser ziet alles er steeds gelikter uit, en als bottleneck voor de creativiteit van de ontwikkelaar zijn de interactiemogelijkheden binnen de browseromgeving allang niet meer relevant. Zoals O'Reilly het stelt: "We're entering an unprecedented period of user interface innovation, as web developers are finally able to build web applications as rich as local pc-based applications."

Zo heb je tekstverwerkers, tekenprogramma's, kalendersoftware, content management systemen die stuk voor stuk op je computer lijken te draaien maar waar je eigenlijk alleen maar de voorkant op je systeem hebt. De rest draait op een server ergens. Twee basistechnieken die hiervoor in zwang zijn, zijn AJAX (op basis van Javascript) en Flash.

Wat is nu de toekomst van Web 2.0? De mogelijkheden van deze technologieën gaan op dit moment al veel verder dan hierboven geschetst. Zo kun je met javascript anoniem netwerkverkeer van binnen de firewall van een bedrijf via een beveiligde verbinding naar buiten pompen, of een complete topologie van dat netwerk maken. Of de microfoon van je pc op afstand afluisteren, of de webcam aanzetten. Of op iemands computer spyware installeren en aansturen.

Dat heeft alles met het feit dat de browserspeeltjes waar we het over hebben niet alleen de look & feel van Windows-applicaties hebben overgenomen, maar ongeveer ook het veiligheidsmodel. Denk daar eens aan als je via Google op een jou onbekende site beland: achter die stilstaande pagina die op geen enkele manier te onderscheiden is van een statische pagina zoals we die al jaren gebruiken kan ineens een hele wereld van activiteit zitten.

Als we iets hebben geleerd van het debakel van de Windows Scripting Host (de motor achter grote virusuitbraken als het Kournikova-virus) dan is het dat scripting 'in het wild' een veiligheidsrisico van de eerste orde is. En het web (welk web dan ook) is wild. Javascript moet dus gewoon standaard uitstaan, en zo snel mogelijk. En dat is natuurlijk slecht nieuws voor Web 2.0: de meest gelikte stukjes interface staan uit totdat de aanbieder ervan iemand weet te overtuigen om ze aan te zetten.

En dan nog: oncontroleerbare interactie met een server voelt niet goed. Het maakt mij niet zoveel uit dat ik een document waar ik aan zit te werken in een online tekstverwerker kwijt ben, maar wel dat mijn bedrijfsnetwerk kwetsbaar wordt of mijn pc in een botnet terechtkomt.

Ik las laatst een technische analyse van een populaire crackerstoolkit die voor een paar tientjes wordt verkocht, maar waar de ondersteuning zo krachtig van is dat je er van achterover slaat. Achter dit soort pakketten zitten professionele bedrijven die enorme collecties aanleggen van alle beveiligingstekortkomingen van zo'n beetje alle software die ook maar voor een beetje interacteert met internet.

Dit soort bedrijven voorziet hun gebruikers binnen minuten van de laatste gaten in volledig geupdate en van de laatste patches voorziene Windows XP-systemen - en leveren dus in de praktijk gegarandeerde toegang tot ieder Windows-systeem dat je maar kunt bedenken. Je denkt dat je gewoon veilig op het web aan het rondneuzen bent, en bent vanzelfsprekend beducht voor het downloaden van onbekende software. Je hebt een recente firewall en doet alles goed op zijn Web 1.0's, maar via een iframe wordt ondertussen je systeem aan de varkens gevoerd...

En het is niet alleen dat je onbekende sites niet kunt vertrouwen: de auto-aanvulfunctie van Google is het directe bewijs dat een bedrijf aan de andere kant per letter die je typt in de gaten kan houden waar je mee bezig bent. In tegenstelling tot een normale pc-applicatie is iedere keer dat je een Web 2.0 dienst gebruikt de software in potentie eenmalig vervangen door iets anders.

Een dergelijke besmetting is voor jou niet controleerbaar en als het goed wordt gedaan ook niet traceerbeer. Als je het ooit ontdekt, is het enige dat je weet dat je besmet bent. Het web heeft syfillus, en het enige wat we kunnen doen is om Web 2.0 erg voorzichtig te gebruiken, en (sorry voor het slechte bericht) waar mogelijk te vermijden.

Dat klinkt depressiever en conservatiever dan veel mensen willen horen, maar waarom zou je software onder slechte condities vertrouwen en gebruiken als je vergelijkbare software normaal, stabiel en betrouwbaar op je PC kunt gebruiken? En dat ook nog eens voor niets? Vrijwel deze applicaties zijn namelijk inmiddels al in open source varianten voor iedereen beschikbaar voor veilig (offline) gebruik.

Web 2.0-functionaliteit is wat mij betreft eigenlijk alleen interessant als je niet op je eigen werkplek zit (in de universiteitsbibliotheek of het internetcafe op vakantie). Maar dan nog zijn er betere opties. Kijk maar eens op Cosmopod.com (natuurlijk nadat je je javascript voorgoed hebt uitgezet).

N.B. Over het uitschakelen van Flash zal ik maar niet beginnen, maar er zijn maar een paar grote securitybreuken voor nodig om ook dat bastion te slechten.

Other stuff I've written

Beyond a software and hardware repository (UNESCO PERSIST, september 2014)
Obamacare en technicipatie (iBestuur, 18 november 2013)
Elektronisch aangetekend (iBestuur, 19 maart 2013)
Dingen die gewoon werken (iBestuur, 28 november 2012)
De automatisering voorbij (Forum Standaardisatie, september 2011)
Handschoenen af op internet (Webwereld, 4 februari 2011)
Lik op stuk met het regeerakkoord (Webwereld, 21 oktober 2010)
Wij willen Wikileaks (Webwereld, 13 augustus 2010)
Peren zijn ook lekker (Webwereld, 8 juli 2010)
Als een onbekende wereldburger (Webwereld, 10 mei 2010)
Glazen plafond (Webwereld, 19 maart 2010)

Overzicht van eerdere columns