DE OPTIMALE PC
-
Upload
khangminh22 -
Category
Documents
-
view
2 -
download
0
Transcript of DE OPTIMALE PC
Internet of Things: apparaten makkelijk te hacken www.ct.nl
maart 2019
F&L M
edia B.V. De optim
ale pc • Window
s automatisch installeren • TV-stream
ers • Android-bloatware verw
ijderen • 3D-printers
maart2019
3
Allround-pc • goedkope gaming-pc • workstation met 16 kernen
• Linux-desktop met Conky en Klicky
• SSD’s met SATA-controller
• TV in eigen subnetwerk
• Firewall-techniek nftables
• Android-bloatware verwijderen
GE
TE
ST Android-smartphones van 300 euro
TV-streamers
3D-printers vanaf 350 euro
Inkjetprinters voor veel pagina’s
NAS-systemen met 10 Gbit/s
AI: dommer dan je denktKunstmatige fouten, ongelukken, valse alarmen …
Windows automatisch installerenWindows System Image Manager • maak een antwoordbestand AP
€ 6,99
DE OPTIMALE PC
2-Gbit-wifigetest
Wordt het een Intel of AMD?
SAFARI IN AFRIKA?Tanzania
Kenia
Madagaskar
Oeganda
Rwanda
Zimbabwe
Namibië
Botswana
Zambia
Mozambique
Seychellen
Mauritius
Zuid-Afrika
Op jambo.nl en in onze brochure vindt u ruim 100 uitgekiende reizen of
bel met onze Afrika specialisten op 020-2012740 voor een reis op maat.
De mogelijkheden zijn eindeloos, privé reizen geheel conform uw wensen!
Al sinds 1979 dé Afrika specialist
Laat je verhuizen
Het grote voordeel van het uitkomen van nieuwe modellen Android-smartphones vind ik altijd dat de oudere, nog prima modellen dan vaak wat goedkoper worden. Vaak gaat er dan nog een extra generatie overheen voordat ze in de categorie echt betaalbaar beginnen te vallen, maar met die apparaten is in de meeste gevallen helemaal niets mis.
Met dank aan allerlei zogeheten early adopters ben ik in staat een zeg maar late adopter te zijn.
Maar voor alle partijen geldt dat je het nadeel hebt dat je voor het in gebruik nemen van een nieuwe smartphone maar weer moet zien dat je al je data, agenda-items en apps van het oude apparaat overzet naar het nieuwe.
Als je kijkt hoe makkelijk en soepel dat bij Apple allemaal geregeld is, vraag je je af waarom dat na tien jaar nog steeds zo'n probleem moet zijn. En dan hebben we het nog niet eens over het ontbreken van updates, of in het beste geval het veel te laat beschikbaar komen daarvan voor jouw smartphone.
Als er iets met je telefoon gebeurt en je al je unieke vakantie-foto's kwijt bent, je niet meer bij de zoveel zweet gekost heb-bende game-plays kunt of je sms-historie voorgoed verdwenen is, dan krijgt Google daar vaak de schuld van.
Maar ik vind het veel erger dat de meeste Android-gebruikers door het onvermogen van Google aparte hulp moeten inroe-pen bij het verhuizen als ze een nieuwe smartphone hebben gekregen.
Je zult het ongetwijfeld herkennen: binnen mijn familie- en vriendenkring ben ik meestal de aangewezen persoon voor vragen op dat gebied. Ik leg het wel even uit, zeg ik dan. De sms-en krijg je met de juiste tool wel weer op je nieuwe smart-phone, de chatberichten kun je terugzetten met de back-up-functie van de chat-app, maar de Android-instellingen en de app-data lijken helaas een beetje op Schrödingers kat: of die daadwerkelijk meeverhuisd zijn, weet je pas als je op je nieuwe apparaat inlogt.
De foto's kun je het beste op een sd-kaart zetten, maar ja, niet iedere smartphone heeft daar een slot voor. Maak in dat geval sowieso een back-up voordat je gaat overstappen – dan moet je even Android rooten, een image maken en … en dan merk ik dat degene tegen wie ik het heb, het spoor al bijster is. Oké, geef maar hier, dan doe ik het wel.
Nu ben ik een zeer consciëntieuze verhuizer, dus ik vraag de betreffende persoon altijd mee te kijken. En ik zeg van tevoren altijd: overweeg even goed wat voor data je op je telefoon hebt staan en of het echt oké is dat ik die misschien te zien krijg. Dan merk je soms enige aarzeling, al snel gevolgd door een "Ja, natuurlijk."
Dan volgt vaak alsnog een geshockeerde blik als er vervolgens weinig verhullende video's uit een WhatsApp-chat tevoorschijn komen of een paar foto's die duidelijk meer laten zien dan wellicht de bedoeling was. Of als ik me niet prettig voel bij de eerste sms-jes uit de conversatie met een beste vriendin.
Alle drie die situaties zijn me wel eens overkomen, hoe zeer ik mijn best ook deed daar niets van mee te krijgen.
Op die manier hebben natuurlijk ook jaloerse partners, nieuws-gierige nerds en argwanende ouders een mooie gelegenheid om op de smartphone van iemand anders rond te kijken.
En dat is dan eigenlijk nog het ergste van het feit dat het over-stappen naar een andere Android-smartphone gewoon nog niet goed geregeld is.
Noud van Kruysbergen
3c’t 2019, Nr. 3
33 Devolo Magic 1 en 2 powerline-adapters
34 Kleine NAS-systemen met 10 Gbit/s
36 GoPro Hero7 Black 4K-actioncam
70 SATA-ssd's: 2,5" of M.2?
74 Ssd-aansluitingen: SATA vs PCIe
92 Tv-streamingboxen
94 3D-printers vanaf 350 euro
106 Multifunctionals voor duizenden pagina's
116 Android-smartphones van 300 euro
Achtergrond 66 Hoe een Windows-installatie verloopt
76 Neurale netwerken in het kort
78 Neurale netwerken: nog niet foutloos
82 Neurale netwerken: mens vs machine
100 F-Droid: app-store zonder Google
112 Wat is (het voordeel van) TLS 1.3
136 Linux firewalltechniek nftables zet door
De optimale pcDe concurrentie tussen AMD en Intel levert een pc-bouwer lekker veel keuze op. Voor een complete pc moet daar ook nog een stabiel moederbord, matchend werkgeheugen en een vlotte ssd bij. Wij hebben weer een mooi aantal bouwvoorstellen voor je op een rij gezet.
Inhoud 3/2019
Nieuws 6 Algemeen
8 Hardware
12 Software
14 Development & security
16 Mobiel
17 Linux
18 Processors
20 Wetenschap
22 Bitcoin bestaat 10 jaar
38 Lifestyle
41 Surftips
Software 30 Cutter grafische interface voor radare2
30 VMware Workstation 15
31 S-tui 0.8.2 systeemmonitoring
31 Thonny Python-IDE voor beginners
39 Apps
40 Games
Feudal Alloy
Dusk
Hardware 26 Netatmo thermostaat en radiatorknop
26 Nanoleaf Canvas wifi-lichttegels
27 HP Envy x360 notebook
27 Asus ROG Phone
28 Intel Core i9-9980XE Extreme Edition
28 Sony HT-ZF9 soundbar
29 Freecom Celeritas Thunderbolt 3 externe ssd
29 Sennheiser GSP 550 7.1 gaming-headset
29 Hexgears X-1 wireless low-profile toetsenbord
32 Asus RT-AX88U met gigabit wifi
42
4 c't 2019, Nr. 3
Praktijk
42 Optimale pc: componentenkeuze
48 Bouwvoorstel met Intel Core i5-9600K
51 Bouwvoorstel met AMD Ryzen 5 2600
54 Bouwvoorstel voor een Full HD-gaming-pc
56 Bouwvoorstel voor een krachtig workstation
60 Windows automatisch installeren
68 Windows System Image Manager
88 Je smart-tv beveiligen en inperken
104 Bluetooth-shell voor Raspberry Pi en Zero W
120 Voorgeïnstalleerd Android-apps deleten
124 Met Broncontrole bekijken wat Windows uitspookt
128 Bestandstypes van bestanden achterhalen
130 Linux-desktop opleuken met Conky
134 Linux-desktopthema's bij elkaar klikken
139 Let's Encrypt en Nginx zonder eigen gedocker
142 Tips en trucs
Vaste rubrieken
3 Voorwoord
4 Inhoud
145 Colofon
146 Volgend nummer
AI: dommer dan je denktIn de race van de mens tegen de artificiële intelligentie slaat Homo sapiens bijna dagelijks een treurig figuur. Toch zijn de meeste succesverhalen oppervlakkig en wordt verzwegen waar er nog problemen zijn. Er zijn nog zoveel vragen waarop de technologie van vandaag geen antwoord heeft.
Abonnement afsluiten? Kijk voor actuele aanbiedingen op www.fnl.nl/ctabo!
76
Zakelijk uitgelicht
30 VMware Workstation 15
27 HP Envy x360 notebook
34 Kleine NAS-systemen met 10 Gbit/s
60 Windows automatisch installeren
68 Windows System Image Manager
70 SATA-ssd's: 2,5" of M.2?
106 Multifunctionals voor duizenden pagina's
60
Windows auto matisch installerenMicrosoft heeft voor beheerders en pc-fabrikanten mechanismen in Windows ingebouwd om systeeminstallaties automatisch te laten verlopen. Maar ook als gebruiker die veelvuldig Windows installeert kun je hier handig gebruik van maken. We laten onder andere zien hoe je een antwoordbestand in elkaar zet voor een installatie zonder omkijken.
5c't 2019, Nr. 3
De smartwatchtechnologie van Fossil gaat
voor 35 miljoen euro over naar Google. Vol-
gens Fossil gaat het om de technologie (IP, in-
tellectual property) die verder is ontwikkeld
nadat Fossil fitnesstrackerfabrikant Misfit in
2015 overnam voor 260 miljoen dollar.
Fossil maakt hybride smartwatches
onder verschillende merknamen. Hybride
KPN gaat in gesprek met de actiegroep
'Xs4all moet blijven'. Een petitie voor het
behoud van Xs4all werd op het moment
van schrijven al ruim 45.0000 maal onder-
tekend. Duizenden personen stuurden de
vraag hoe ze kunnen helpen. In reactie
daarop is er een actiecomité opgericht door
de initiatiefnemer van de petitie (Kirsten
Verdel) ,een groep klanten, sympathisanten
en (oud-)medewerkers, met onder andere
oud-woordvoerder Sjoera Nas, campaigner
Bob Overbeeke en oud-directeur Doke Pel-
leboer. De actiegroep heeft KPN gevraagd
om in gesprek te gaan en KPN heeft dat
aanbod geaccepteerd.
Nadat de petitie momentum kreeg,
steeg ook de kritiek richting KPN op de
plannen om Xs4all (en overigens ook Telfort
en Yes Telecom) op den duur uit te faseren
en alles onder de naam KPN aan de man te
gaan brengen. Klanten dreigden met ver-
trek als Xs4all werd opgedoekt. Het percen-
tage klanten die dreigen weg te gaan lijkt te
gaan stijgen naar zo'n 25 procent.
Xs4all bestaat sinds 1993 en is ontstaan
uit de hackersgroep Hack-Tic. Het was de
eerste provider die consumenten toegang
verschafte tot internet. KPN nam de provi-
der over in 1998, maar Xs4all mocht wel zijn
eigen toko blijven runnen binnen het KPN-
De AFM en DNB hebben minister Hoek-
stra van Financiën via een adviesrapport
aangeschreven. Ze willen een vergun-
ningsstelsel voor crypto-exchanges en
aanbieders van crypto-wallets dat on-
derdeel moet uitmaken van de bestaande
wet die witwassen en het financieren van
terrorisme voorkomt. Het moet specifiek
gaan om een regeling op internationaal
niveau wegens het grensoverschrijdende
karakter van cryptovaluta. De AFM en DNB
werken ook actief mee aan internationaal
smartwatches hebben slechts een beperkt
aantal slimme functies naast de standaard
tijdweergave. Meestal gaat het om het tel-
len van stappen en het laten zien van no-
tificaties. Ze ogen grotendeels wel als een
normaal horloge met een analoge wijzer-
plaat. De smartwatches van het concern
draaien op Wear OS van Google.
concern. KPN is de afgelopen jaren op zijn
beurt steeds fanatieker bezig geweest om
Xs4all verder in te lijven. Dat leidde onder
andere tot het vertrek van Xs4all-topman
Paul Naastepad.
Een van de doelen van de actiegroep
is het behoud van de zelfstandigheid van
Xs4all en het blijven vervullen van diens
maatschappelijke rol. Xs4all heeft zich altijd
ingezet voor een vrij en open internet, met
als spraakmakend voorbeeld de zaak tegen
de Scientology-kerk. Die wilde de via een
website van een Xs4all-klant (Karin Spaink)
Een deel van het research- en develop-
mentteam van 200 man van Fossil gaat
bij Google werken. Daar moet worden
gesleuteld aan een nieuwe productinno-
vatie. Meer informatie over die innovatie
is nog niet naar buiten gebracht. Op het
moment dat je dit leest moet de verkoop
van de technologie afgerond zijn. (avs)
openbaar gemaakte stukken offline laten
halen. Na lang juridisch getouwtrek won
Xs4all de zaak en liet 5000 shirts versprei-
den met daarop onder andere 'final victory'.
Diezelfde Karin Spaink heeft aangege-
ven Xs4all te verlaten zodra het compleet
overgaat in KPN. Als de extra diensten die
Xs4all biedt komen te vervallen, ziet die co-
lumniste geen reden meer om bij de provi-
der te blijven. De redenen waarom Xs4all
moet blijven en de campagnekalender van
de actiegroep is te vinden op de website
xs4allmoetblijven.nl. (avs)
Google legt 35 miljoen neer voor smartwatch-tech Fossil
KPN in gesprek met actiegroep Xs4all
De Nederlandse Bank en AFM willen vergunningen handel crypto
beleid om de grootste risico's te kunnen
tackelen. Volgens de twee toezichthouders
is dit vergunningenstelsel noodzakelijk om
de criminele toepassingen van cryptova-
luta effectiever tegen te gaan.
Met het stelsel worden bedrijven
zodra ze een voet binnen de deur willen
krijgen al gecontroleerd en indien nodig
van de markt geweerd. De toezichthouders
zien wel in dat de blockchaintechnologie
niet gehinderd moet worden. Ze willen
financieringsregelingen voor het financie-
ren via blockchaintechnologie de ruimte
geven. Denk daarbij aan cryptovaluta die
te vergelijken zijn met een aandeel of obli-
gatie en dus een duidelijk recht vertegen-
woordigen.
De AFM en DNB hebben eerder ge-
waarschuwd tegen cryptovaluta en ICO's
(Initial Coin Offering, zie ook het artikel op
pagina 22). Dat door de risico's op mislei-
ding, oplichting, cybercrime en manipula-
tie. Volgens de AFM en DNB zijn die risico's
nog steeds relevant. (avs)
Nadat de petitie voor het behoud van Xs4all de grens van 40.000 handtekeningen passeerde, is er een actiegroep gestart die graag met KPN in ge-sprek gaat voor het behoud van de provider.
6 c’t 2019, Nr. 3
Nieuws | Algemeen
Cursussen & HBO-opleidingen
AutoCAD Revit (BIM)Inventor 3ds Max Fusion 360
TEC, het CAD College, is de opleider tot CAD- specialist. Welk instapniveau u ook heeft, bij TEC leert u op een plezierige manier om te gaan met CAD. Naast het geven van kwalitatief hoogstaande cursussen, is het veelzijdige instituut uitgever van het standaard studieboek over CAD-tekenen en biedt haar website goede online support.
Meer informatie?
024 - 356 56 77bel voor advies op maat
[email protected] uw vraag per email
TEC CadcollegeKerkenbos 1018 B 6546 BA Nijmegen
Cursussen en HBO-opleidingen
AutoCAD, Revit, Inventor, Fusion en
3ds Max
incl. Gratis leer- en naslagwerk
Families en symbolen
Studeren in een klein groepje
Officieel Certificaat Autodesk
Voor data’s en aanmelding kijkt u op:
www.CADCollege.nl
2019 Feb Mrt Apr
Au
toC
AD
Basis4, 5, 11,
12
4, 5, 11,
12
1, 2,
8, 9
Update 13, 14
Gevorderd *20, 21,
27, 28
20, 21,
27, 28
17, 18,
25, 26
VB.NET Basis4, 5, 11,
12
AutoCAD 3D18, 19,
25, 26
Invento
rBasis
18, 19,
25, 26
15, 16,
23, 24
Update 6, 7
Gevorderd6, 7, 13,
14
3, 4, 10,
11
Expert18, 19,
25, 26
iLogic4, 5, 20,
24
F Fusion 36017, 18,
24, 25
Revit
Basis6, 7, 13,
14
6, 7, 13,
14
3, 4, 10,
11
Gevorderd18, 19,
25, 26
15, 16,
23, 24
Installatietechn.20, 21,
27, 28
1, 2,
8, 9
Expert20, 21,
27, 28
3d
s M
ax
Basis22, 27, 28 feb
en 1 mrt
Gevorderd17, 18, 19,
25, 26
Renderen met
3ds Max6, 7
8 c’t 2019, Nr. 3
Nieuws | Hardware
Philips heeft zijn meest milieuvriendelijke
monitor tot nu toe gelanceerd. De monitor
is bewust ontworpen met duurzaamheid
in het achterhoofd. Het 'groen' zijn houdt
niet op bij de monitor zelf. De 24"-moni-
tor is zeer energiezuinig met 11 watt, maar
kan met de Zero Power Switch compleet
worden uitgeschakeld zodat er geen sluip-
verbruik meer is. Het stand-byverbruik ligt
op minder dan 0,3 watt.
Dankzij de licht- en aanwezigheids-
sensor (infrarood) wordt er niet meer ener-
gie verbruikt dan echt nodig is. Door de
aanwezigheidssensor alleen al kan 80 pro-
cent energie worden bespaard volgens Phi-
lips. Een bijkomend voordeel is een langere
levensduur van het scherm. Het backlight-
systeem is vernieuwd en speciaal gericht op
optimale lichtopbrengst met een zo laag
mogelijk verbruik.
De monitor is opgebouwd uit 85 pro-
cent gerecycled plastic, wat het scherm een
TCO Edge-certificering oplevert doordat er
verder wordt gegaan dan bij bestaande
ecolabel-programma's. De RoHS-normen
worden streng nageleefd, giftige stoffen
zoals lood en kwik zijn niet meer aanwezig,
en er zit geen PVC en BFR in de behuizing.
De plastic onderdelen, metalen delen van
het chassis en de verpakkingsmaterialen
zijn volledig te recyclen. Alles is gericht op
hergebruik en het zo min mogelijk verbrui-
ken van kostbare bronmaterialen. Daarbij
hoort ook het terugdringen van de uitstoot
die ontstaat door het transport. Daardoor
mag de monitor het EPEAT energie label
dragen, naast EnergyStar 7.0 en WEEE.
Naast alle duurzame aspecten van het
scherm is de 241B7QGJEB sterk gericht op
een goede ergonomie. Het IPS-panel heeft
een antireflectie-coating en een full-hd-
resolutie. Het beeld dekt 102 procent van
de sRGB-kleurruimte af. De rand is smal,
wat niet alleen mooi oogt, maar ook fijn
is bij een multimonitor-set-up voor mini-
male afleiding en zo veel mogelijk effec-
tief beeld oppervlak. De monitor is gega-
randeerd dodepixelvrij dankzij Zero Bright
Dot en vermindert schadelijk blauw licht
via de LowBlue-modus.
Het scherm is te draaien, kantelen en
tot 15 centimeter in hoogte te verstellen.
Er zitten twee speakers van 2 watt inge-
bouwd. Naast 4 USB 3.0-poorten (1 snel-
laadpoort) zit er een VGA-, DVI-D-, Display-
Port 1.2- en HDMI 1.4-poort op plus een
audio-in- en uitgang. Kabels voor DVI-D,
HDMI en DisplayPort en audio worden
meegeleverd. De 241B7QGJEB kost net iets
meer dan 200 euro. (avs)
Philips lanceert milieuvriendelijke 241B7QGJEB-monitor
De 241B7QGJEB is de meeste milieuvriendelijke monitor van Philips. Hij is sterk gericht op het terugdringen van het energieverbruik en het ge-bruik van zo veel mogelijk gerecycled materiaal.
De nieuwe α6400 systeemcamera van
Sony heeft een 24,2-megapixel APS-C-
sensor en Bionz Z-beeldprocessor. De
camera kan continu foto's schieten met
volledige AF/AE-tracking tot 11 fps met
mechanische sluiter. De camera heeft de
snelste scherpstelling van dit moment
van slechts 0,02 seconden.
Het scherm van de camera is een
kantelbaar lcd met 921.000 pixels met
touch-focus en touchpad-autofocus om
zelf de gewenste focuspunten aan te
geven en de bediening te vereenvoudi-
gen. Erg handig voor vloggers bijvoor-
beeld. Bedienen via de Imageing Edge
Mobile-app kan ook.
De realtime Eye-autofocus is de op-
volger van de Eye AF van de voorgangers.
Met behulp van AI worden objecten her-
kend en ooggegevens in realtime gede-
tecteerd. Je kunt aangeven of je op het
linker- of rechteroog wilt focussen. Deze
zomer wordt via een software-update
ook Eye AF voor dieren toegevoegd, ide-
aal voor natuurfotografie. AI wordt ook
gebruikt voor het verwerken van kleur,
de objectafstand en patronen tot ruim-
telijke informatie.
Sony's camera heeft een indrukwek-
kend ruim ISO-bereik dat loopt van 100
tot 32.000. Dat is voor stilstaande beelden
nog verder te trekken van 50 tot 102.400.
Naast het maken van mooie foto's is de ca-
mera ook prima geschikt voor videopna-
mes in 4K (3840 × 2160). De α6400 leest
elke pixel, zodat 4K-beeld veel details en
diepte heeft. Vloggers en videomakers
kunnen profiteren van het simpele uploa-
den van content. Er zit een ingebouwde
intervalopname- optie in die is in te stellen
tussen de 1 en 60 seconden. De camera is
de eerste APS-C-systeemcamera met een
Hybrid Log-Gamma-beeldprofiel. Opne-
men in full-hd met 120 fps met maximaal
100 Mbit/s levert beelden op die kunnen
worden omgezet naar een slowmotion van
vier tot vijf keer.
De behuizing is opgebouwd uit een
magnesiumlegering en is bestand tegen
stof en vocht. De sluiter heeft een geteste
levensduur van 200.000 cycli. Voor een
losse body moet je 1050 euro neerleg-
gen. In combinatie met de SELP1650-lens
wordt het totaalbedrag dan 1150 euro. De
complete kit met SEL18135-lens moet 1450
euro gaan kosten. (avs)
Sony's α6400 heeft 's werelds snelste autofocus
De a6400 is een 24,2MP-camera met een automatische scherpstelling van 0,02 seconden en realtime Eye-autofocus.
9c’t 2019, Nr. 3
Zie pag
11, 13, en 147
Nieuws | Hardware
De organisatie achter de PCIe standaar-
den, PCI-SIG, heeft versie 5.0 van de tech-
nische specificaties van PCIe vastgelegd
in een concept. PCIe speelt al vele jaren
de rol van de snelste verbindingslijn tus-
sen onderdelen binnen een computer.
PCIe 5.0 wordt alleen nog aangepast als
er een patentinbreuk wordt gevonden.
Door het vastleggen van de
nieuwe standaard kunnen
bedrijven aan de bak om hun
ontwerpen te gaan testen. Het
duurt niet zo heel erg lang tot
versie 5 in producten opduikt.
In 2020 moet de massapro-
ductie al gaan starten, en in
het eerste kwartaal van dit jaar
moet de standaard definitief
worden vastgelegd.
Voor het geval je je af-
vraagt waar PCIe 4.0 geble-
ven is, die standaard zie je
nog wel terug in AMD's Zen2
cpu's, ssd- en netwerkcontrol-
lers en de 7nm-gpu's van AMD. PCIe 5.0
biedt twee keer zoveel brandbreedte
vergeleken met PCIe 4.0. Een voorbeeld:
een ssd met PCI 5.0 kan via 1 lane 4 GB/s
(twee kanten op) halen. Bij een M.2-ssd
met vier lanes is tegen de 16 GB/s haal-
baar. PCIe 5.0 ondersteunt onder meer
400-Gbit/s-ethernet. De band breedte
voor PCIe heeft volgens PCI-SIG in twee
jaar een verdubbeling meegemaakt van
16 GT/s naar 32 GT/s (gigatransfers per
seconde).
Verder heeft de nieuwe standaard ook
aanpassingen aan het elektrische deel,
waardoor de signaaloverdracht wordt
verbeterd. De connectorkwaliteit is ook
verbeterd, de CEM-connector (Card Elec-
tromechanical) is backwards-compatibel
met de voorgaande 4.x-, 3.x-, 2.x- en 1.x-
standaarden. (avs)
Concept voor PCIe 5.0 vastgelegd
Met PCIe 5.0 wordt de bandbreedte nog eens flink opgeschroefd en is ondersteuning voor bijvoorbeeld 400-Gbit/s-netwerkkaarten mogelijk.
LG heeft drie nieuwe premium-soundbars
aangekondigd met een strak design: de
SL8YG, SL9YG en SL10YG. Er is samenge-
werkt met Meridian Audio, de pioneer op
het gebied van high-resolution audio, om
de audiokwaliteit te verbeteren. De sa-
menwerking gaat verder dan alleen wat
instellingen of features, de beide bedrij-
ven bundelen hun krachten. De soundbars
hebben AI-functies in de vorm van Google
Assistant voor het aansturen via stemcom-
mando's. De SL9YG en SL10YG hebben op
de CES ieder al een Innovation Award in de
wacht gesleept.
De drie soundbars ondersteunen
Dolby Atmos en DTX:X. Door deze tech-
nieken komt er realis-
tisch geluid uit meer-
dere richtingen en op
verschillende afstanden.
Om de bioscoopervaring
compleet te maken, kan
er nog een Wireless Rear
Speaker Kit aan toege-
voegd worden. Helaas
is op het moment van
schrijven niet bekend
wat nu precies de verschillen zijn tussen
de speakers en wat ze moeten gaan kos-
ten. Ze staan al wel (zonder uitgebreide
specificaties) op de website van de Zuid-
Koreaanse fabrikant vermeld. (avs)
LG komt met drie premium soundbars
LG's drie premium soundbars onder-steunen Dolby Atmos en DTS:X en high-resolution audio. Er is samengewerkt met hifi-expert Meridian Audio.
Op het moment dat je dit leest heeft Pana-
sonic op de ISE van dit jaar zijn nieuwe
serie 4K draagbare lcd-laserprojectors laten
zien. De projectors hebben een helder-
heid van 4500 tot 6000 lumen en wegen
minder dan 7,2 kg. Panasonic wil met de
lcd-projectors de stap van een projector
met lamp naar laser betaalbaarder maken.
Vier modellen zijn compatibel met Digi-
tal Link, waarbij video signalen, geluid en
bedienings signalen tegelijk via een enkele
netwerkkabel worden verstuurd over een
afstand van maximaal 150 meter.
Dankzij nieuwe koeltechnieken draaien ze
20.000 uur zonder onderhoud. Verder heb-
ben de apparaten een usb-viewer (USB-type-
A) en een (optionele) draadloze module voor
het gebruiken en delen van data via een app.
Met 1,6× zoom en V/H-lensshift zijn ze ge-
schikt voor kleine en grotere ruimtes.
Deze kleine projectors hebben een
WUXGA- van 1920 × 1200 of een WXGA-
resolutie van 1280 × 800 pixels. Via HDMI
is 4K 30 fps haalbaar. De PT-VMZ60 en PT-
VMW60 met elk 6000 lumen komen uit in
juni, de PT-VMZ50 en PT-VMW50 met 5000
Panasonic komt met kleine laserprojectors tot 6000 lumen
De VMZ60- en VMZ50-serie van Panasonic zijn compact en wegen minder dan 7,2 kg, maar bieden wel 4500 tot 6000 lumen. En kunnen 20.000 uur zonder onderhoud.
lumen en de PT-VMZ40 met 4500 lumen zijn
in maart van dit jaar beschikbaar. Prijzen zijn
nog niet genoemd. (avs)
Er worden steeds meer IoT-apparaten zoals
slimme thermostaten met internet verbon-
den. Veel van die apparaten zijn niet echt
optimaal beveiligd (zie ook pagina 14) en
hangen in een thuisnetwerk vaak achter een
even (on)veilige router. Een op de CES ge-
presenteerde oplossing voor dat probleem
is de TrustBox. Die kleine router/gateway
ontving daar een Best of Innovation Award
for Cybersecurity and Personal Privacy.
De Trustbox van het Nederlandse be-
drijf Scalys is speciaal ontworpen voor een
goede 'military-grade' beveiliging, in tegen-
stelling tot bijvoorbeeld veel de standaard-
routers die providers meeleveren. Zowel
de verbinding als de via Gigabit-ethernet
aangesloten apparaten worden bevei-
De XPS 13 van Dell is een notebook waar
al weinig op aan te merken was. Een kri-
tiekpunt bij de vorige versie was echter de
positie van de webcam. Om de scherm-
rand ook boven lekker dun te maken, was
de webcam onder het scherm geplaatst.
Daardoor was bij videoconferencing een
neushaartrimmer geen overbodige acces-
soire. Bij de op de CES gepresenteerde
2019-versie zit de webcam echter weer op
het juiste niveau, boven het scherm. Dat is
ligd. Het kastje bevat een speciale 64-bit
netwerkprocessor van fabrikant NXP met
hardwareversnelling voor netwerkfuncties
en versleuteling. De TrustBox-hardware
is extra beschermd dankzij secure-boot,
secure-software-provisioning en secure-
storage. De software is gebouwd op een
opensourcebasis (Linux/OpenWRT). Bij het
ontwerp van de TrustBox is rekening ge-
houden met uitbreidingsmogelijkheden als
mSATA en een LTE-modem via een M.2-slot.
De veiligheidsupdates voor de software
worden automatisch opgehaald en geïn-
stalleerd. Voor bedrijfsmatige toepassingen
werkt de router met Microsofts opensource
Open Enclave SDK, voor applicaties in een
Trusted Execution Environment. Door het
bescheiden formaat kan de TrustBox ook
makkelijk op wisselende locaties worden
ingezet. Het apparaat zou vanaf maart ver-
krijgbaar moeten zijn. (mdt)
Betrouwbaar doosje
Hoger niveau
mogelijk doordat de vernieuwde webcam
maar 2,25 mm groot is en daarmee toch
in de dunne schermrand past.
Ook op andere punten is de XPS 13
naar een nog hoger niveau getild. Het
notebook heeft een 13,3-inch scherm,
een 8e generatie quadcore Intel-processor
(Whiskey Lake), tot 2 TB PCIe-ssd en 4 tot
16 GB RAM in een 1,23 kg wegende be-
huizing van 302 × 199 × 7,8-11,6 mm. Je
krijgt verder twee Thunderbolt-3-poorten
en een USB-C-poort, alle drie met Power
Delivery én DisplayPort. Een microSD-
kaartlezer en vingerafdrukscanner ronden
het geheel af.
Het notebook is leverbaar met Win-
dows 10 of Ubuntu 18.04. En er is een
nieuw kleurtje: er is nu een compleet
witte variant, naast de roségoud met wit,
en zilverzwarte versie. De goedkoopste
confi guratie kost circa 1100 euro, de duur-
ste bijna 2800 euro. (mdt)
De TrustBox kreeg op de CES een Best of Innovation Award op het gebied van Cybersecurity and Perso-nal Privacy.
Telefoons met vouwbare schermen zijn een
trend voor 2019, maar LG gaat bij tv's nog
een stapje verder dan alleen vouwen. Op
de CES presenteerde LG de eerste oprol-
bare oled-tv. De 65-inch Signature OLED TV
R kan helemaal in de voet zakken en daar-
bij automatisch oprollen. De R in de naam
van de tv staat niet voor rollable maar voor
revolutie. Een beetje overdreven, maar een
prachtig en vernieuwend staaltje techniek
is het zeker.
De voet is ruim anderhalve meter lang en
inclusief de standaard eronder ongeveer
half zo hoog. Als de tv is uitgeschakeld, zie
je alleen die voet. Je kunt hem dus prima
voor een raam zetten en van het uitzicht
genieten als je geen tv kijkt. Druk op een
knop en dan komt het circa 3 mm dikke
4K-scherm in ongeveer 10 seconden hele-
maal omhoog. Extra beugels in de voet zor-
gen ervoor dat het scherm niet wiebelt en
rechtop blijft staan. In de voet zitten ook alle
aansluitingen, waaronder HDMI
2.1, die via firmware-updates
nieuwe typen content kan on-
dersteunen (zoals het afspelen
van 4K120 en HFR).
In plaats van helemaal uit-
rollen, kun je er ook voor kiezen
om maar een kwart van het
scherm omhoog te laten komen.
In die modus kun je bijvoorbeeld
een weer-app laten tonen of een
muziekspeler. De tv is voorzien
van LG's nieuwe WebOS 4.5 platform, met
alle bijbehorende apps. De voet herbergt
niet alleen het scherm in opgerolde toe-
stand, maar ook een 100W Dolby Atmos
4.2 geluidssysteem. Daarmee heeft de tv
ook qua geluid meer te bieden dan andere
tv's. De nieuwe Alpha a9-processor in de tv
verbetert niet alleen de beeldkwaliteit, maar
past in combinatie met een lichtsensor ook
de helderheid van het scherm automatisch
aan de omstandigheden aan.
Ondersteuning voor Amazons Alexa
en Google Assistent is aanwezig. Daar-
naast heeft LG, net als Samsung voor zijn
2019-modellen, aangekondigd dat dit
toestel Apples AirPlay 2 gaat ondersteu-
nen. Als we dan toch nog een minpuntje
moeten noemen, is het dat de voet maar
in één kleur leverbaar is. De oprolbare
oled-tv moet in de tweede helft van 2019
op de markt komen. De prijs is nog niet
bekend, maar ga gerust uit van een vijf-
cijferig bedrag. (mdt)
Let it roll!
Links is het LG-scherm ten dele uitgerold, rechts helemaal.
10 c’t 2019, Nr. 3
Nieuws | Hardware
Learn more at www.supermicro.com/storage© Super Micro Computer, Inc. Specifications subject to change without notice.
Intel, the Intel logo, Xeon, and Xeon Inside are trademarks or registered trademarks of Intel Corporation in the U.S. and/or other countries.All other brands and names are the property of their respective owners.
Maximum Efficiency
High capacity 1U-4U form factors. Leading the industry
with up to 50% greater density. Highest rated - 95%
efficient Platinum power supplies
Maximum Performance and Expandability
All NVMe support with storage servers and direct attach
storage platforms delivering up to 20 GB/s throughput
Mission Critical Reliability
Capable of fully redundant and fault-tolerant operation
with hot swappable drive bays, power supplies, fans and
redundant server boards with remote management.2U 24 NVMe
2U 12 Bay 3.5”
2U 48 NVMe
1U 12 Bay 3.5”
4U 90 Bay
4U 24 Bay 3.5”
Over 50 Software Defined Storage Optimized Products to Choose From
60/90-Bay 4U Storage Servers and Enclosures with up to 9 Petabytes per 42U Rack
SC946ED-R2KJBOD (JBOD Enclosure)
SSG-6048R-E1CR90L (Server)
90-Bay
SC946SE2C/1C-R1K66JBOD (JBOD Enclosure)
SSG-6048R-E1CR60N/L (Server)
60-Bay
03
_Q
3_
SM
_U
SP
_0
70
61
6_
Ma
ste
rFile
_S
toa
ge
_P
g6
SMBE Belgium
+32 495 533 245
www.smbe.be
TWP Computer
+31 20 638 9057
www.twp.nl
NCS International
+31 544 47 0000
www.ncs.nl
Server Storage Solution
+32 9 261 5310
www.s3s.be
Intel Inside®. Powerful Productivity Outside.
12 c’t 2019, Nr. 3
Nieuws | Software
Het opensourceproject Otter wil de beste
onderdelen van de klassieke Opera (versie
12.x) doen herleven. In januari is de eer-
ste als stabiel aangemerkte versie uitge-
komen. Er is nog geen installer voor het
opensourceproject, maar voor Windows-
gebruikers staat er al een 32-bit binary ter
beschikking. Andere zijn aangekondigd:
Linux-gebruikers kunnen de browser via
hun pakketbeheer installeren of zelf com-
pileren.
De community rondom ontwikkelaar
Michal Emdek heeft er vijfenhalf jaar voor
nodig gehad om tot deze stap te komen.
Het idee voor de Otter Browser kwam
op toen Opera in het voorjaar van 2013
aankondigde de ontwikkeling van zijn
browser-engine te staken. Otter moet een
browser zijn die zich kan meten met de
features van Opera 12, dat nog een grote
schare fans blijkt te hebben.
Op dit moment kan Otter het nog
niet opnemen tegen zijn grote voorbeeld
of tegen de concurrenten. Naast basisfea-
tures als een privémodus en wachtwoord-
manager vallen de contentblocker, de
sessie-opslag en de notitiefunctie op. Aan
toekomstplannen geen gebrek: muisgestu-
res, tabbladgroeperingen en aanpassingen
aan de userinterface staan voor de nabije
toekomst allemaal op de planning. (nkr)
www.ct.nl/softlink/1903012
Otter in plaats van Opera?
Begin januari gaf Ryan Sipes, community-
manager bij het Thunderbird-project, een
verlaat kerstcadeau aan alle fans van het
opensource mailprogramma: hij kondig-
de in een blogpost aan dat Thunderbird
in 2019 talrijke verbeteringen krijgt die
de software stabieler en sneller moeten
maken.
Daar zijn bij het opensourceproject
zelfs zes nieuwe ontwikkelaars voor aan-
genomen. Een toename van het aantal
donaties maakte het mogelijk het ontwik-
kelteam uit te breiden tot 14 vaste fulltime
medewerkers. De nieuwe ontwikkelaars
moeten zich vooral gaan bezighouden
met het verbeteren van de performance.
Het bedrijf achter Docker heeft de Docker
Hub, de startplek voor alle Docker-gebruikers
voor het zoeken naar images, een nieuwe
Bovendien is het de bedoeling dat Gmail
als belangrijkste e-mailprovider beter geïn-
tegreerd gaat worden. Het mailprogramma
moet beter in de verschillende desktop-
omgevingen geïntegreerd worden om bij-
voorbeeld berichten-alerts betrouwbaar te
kunnen weergeven.
Een ander zwaartepunt is het her-
programmeren van de versleutelings-
mogelijkheden. Het is volgens Sipes nog
niet duidelijk of al dat werk de volgende
versie al haalt of niet, maar als het team
verder uitgebreid wordt, zal dat zeker een
zwaartepunt zijn. Het is de bedoeling dat
het versleutelen van e-mails en het be-
veiligen van de privécommunicatie in de
vormgeving gegeven. In het kader daarvan
is de Docker Store opgeheven en in de Hub
geïntegreerd. Die parallelle wereld was bij
de zoekenden naar contai-
ners niet fijn en was als een
soort marktplaats voorsoft-
ware-aanbieders bedoeld. De
commerciële aanbiedingen
uit de Store staan nu naast
komende versies makkelijker zal worden.
Thunderbird heeft een roerige geschiede-
nis achter de rug: in december 2015 dacht
Mozilla-CEO Mitchell Baker er openlijk over
na om Thunderbird en Firefox te scheiden.
Beide projecten zouden elkaar in hun ont-
wikkeling hinderen.
In mei 2017 besloot de Mozilla Foun-
dation echter toch om de juridische en
financiële thuisbasis voor het Thunderbird-
project te blijven – waarmee de toekomst
van de mailclient veilig was.
Thunderbird is sindsdien wel technisch
onafhankelijk van Mozilla. In augustus
2018 bracht het team de op dat moment
actuele versie 60 uit. (nkr)
de gratis containers in de Hub. Je kunt de
zoekresultaten makkelijker beperken tot
categorieën. De officiële images of die
van geverifieerde aanbieders krijgen dui-
delijker zichtbare aanduidingen. Dat moet
ook de veiligheid verhogen. Tot nu toe was
het makkelijk om eigen images met achter-
deurtjes op de Hub te zetten en te hopen
op downloads – het vergde enige ervaring
om de goede van de slechte images te kun-
nen onderscheiden. Het is bij de nieuwe
Docker Hub echter niet meteen te herken-
nen of voor een aanbod een commerciële
licentie nodig is. Voor die informatie moet
je de detailpagina openen. (nkr)
Nieuwe vleugels voor Thunderbird
Docker ruimt Docker Hub op
De nieuwe Docker Hub heeft een beter filter voor de resultaten. De Store is er nu in geïntegreerd.
De browser Otter gebruikt niet het
Google-project Chromium als rende-
ring-engine, maar een Qt-versie van
Apples WebKit.
TM
Intel Inside®. Powerful Productivity Outside.
Desktop Solutions
SMBE Belgium
+32 495 533 245
www.smbe.be
TWP Computer
+31 20 638 9057
www.twp.nl
NCS International
+31 544 47 0000
www.ncs.nl
Server Storage Solution
+32 9 261 5310
www.s3s.be
C7Z270-CGC7Z270-PG C7Z270-CG-L C7H270-CG-ML
Veel op internet aangesloten dingen
zoals lampen en stekkerdozen zijn
door hackers eenvoudig te kapen.
Ook bij Sigfox moet je erop letten
dat de boel versleuteld wordt.
Stefan Krempl
Het Internet-of-Things is een natte
droom voor hackers. Bijna elk elek-
tronisch apparaat heeft een micro-
processor en een cloudverbinding. Michael
Steigerwald, mede-oprichter van de IT-
security-start-up VTrust, liet eind december
op het 35e Chaos Communication Congress
zien hoe concreet dat is.
Tegen een eenmalige betaling van 1500
dollar kan iedereen producten van de Chi-
nese fabrikant Tuya onder een eigen naam
laten maken. Naast wifi- en ZigBee-modules
biedt Tuya ook kant-en-klare producten, van
slimme lampen tot klimaatsystemen. De
hard- en software kun je op een website bij
elkaar klikken. Steigerwald bestelde 20 test-
modules, naast ledlampen en stekkerdozen
van andere aanbieders, waar eveneens Tuya
achter zit. Die waren met een smartphone
makkelijk te registreren en met de cloud van
Tuya te verbinden en dan via internet in en
uit te schakelen. Die verbinding werkte met
HTTP en het open telemetrieprotocol MQTT
(Mesaage Queueing Telemetry Transport). Er
zat telkens een ESP-8266 wifi-microcontrol-
ler in van Espressif. Met de programmeer-
software Esptool en wat soldeerwerk was
het flashgeheugen van de processor uit te
lezen, met daarin de firmware met onder
meer de wifi-SSID, wifisleutel en het serie-
nummer.
Om een dergelijk apparaat te kapen,
hoef je alleen maar een eigen product-ID in
het geheugen te zetten, de checksum aan te
passen en het geheel weer terug te zetten
met Esptool. Daarna zijn veel persoonlijke
gegevens toegankelijk over het account,
mailadres, de smartphone, je locatie enzo-
voorts. Veel daarvan zijn voor het gebruik
totaal niet nodig. De schaarse privacy-
verklaring zegt daar ook helemaal niets over.
Steigerwald installeerde daarna een ser-
ver voor MQTT, DNS en HTTP op een Rasp-
berry Pi om ook zonder het openen van een
apparaat de software te kunnen veranderen.
Daarbij bleek dat de eerder gevonden cryp-
tosleutel na het uitwisselen van een token
met de cloud daar leesbaar via MQTT binnen
was gekomen. Met een Python-script kon hij
de versleutelde MQTT-communicatie ver-
volgens ontsleutelen. Hij modificeerde het
update-adres zodanig dat het apparaat zijn
firmware downloadde in plaats van die van
de fabrikant. Daarmee kun je de apparaten
loskoppelen van de cloud en voorzien van
opensource firmware. Op die manier zijn de
apparaten echter ook te kapen.
Daar merk je niets van, je kunt aan de buiten-
kant niet zien wat voor product je eigenlijk
koopt. Hiermee kunnen volgens Steigerwald
zelfs de eenvoudigste verbruiksapparaten
een gevaar gaan opleveren.
SigfoxAllerlei sensoren voor Internet-of-Things
moeten kleine datahoeveelheden via speci-
ale draadloze kanalen met een zo laag mo-
gelijk energieverbruik verzenden. Versleute-
ling wordt dan een lastig punt. Daarom heeft
het Franse Sigfox verschillende systemen be-
dacht voor het licentievrije 868MHz-bereik.
Fabrikanten kunnen zo toch redelijk goed-
kope en zuinige systemen maken.
Op het Chaos Computer Congress nam
Florian Euchner dat systeem onder de loep.
Met het ontwikkelboard SiPy verstuurde hij
berichten en logde het data verkeer. Vervol-
gens ging hij op zoek naar patronen in de
hexa decimale data. Het zal je niet verwon-
deren dat de onversleuteld verstuurde data
makkelijk mee te lezen zijn, het is theoretisch
zelfs mogelijk die data te manipuleren.
De Sigfox-zenders versleutelen elke
overdracht dan ook met een geheime sleu-
tel. Die sleutel was door Euchner met het
ontwikkelboard echter onversleuteld in het
geheugen uit te lezen – maar daar heeft een
aanvaller wel fysiek toegang tot het apparaat
voor nodig. Een counter moet zogeheten
replay-attacks tegengaan, maar die bestaat
bij eenvoudige Sigfox-systemen maar uit 12
bit. De met AES gegeneerde signatuur van
de datapakketten is dan wel 16 bit lang,
maar om die brute-force te kraken zijn maar
65.536 mogelijkheden uit te proberen.
Euchner adviseert dan ook om die een-
voudig versleutelde Sigfox-systemen alleen
bij niet-kritische toepassingen te gebruiken,
waar geen grote schade bij ontstaat als een
derde het dataverkeer meeleest of manipu-
leert. Bij andere situaties, bijvoorbeeld bevei-
liging of brandmeldsystemen, moet je een
systeem met een fatsoenlijke versleuteling
gebruiken – ook al zijn die duurder en ge-
bruiken de zenders dan meer energie. Dan
worden namelijk niet alleen de data ver-
sleuteld, maar worden ook de counters om
replay-aanvallen tegen te gaan verhoogd
van 12 tot 20 bit.
Euchner heeft zijn resultaten en een
eigen Sigfox-implementatie als opensource
broncode op https://jeija.net/sigfox gezet.
Hij hoopt dat Sigfox de belofte waarmaakt
om de protocolbibliotheek voor apparaten
als broncode te publiceren, zodat de wed-
loop met de vergelijkbare standaarden als
LoRa Wan en Narrowband-IoT sneller kan
gaan verlopen. (nkr) c
Het slimme gevaarHackers laten de zwakke plekken van Internet-of-Things zien
Fo
to:
VT
rust
Gm
bH
14 c’t 2019, Nr. 3
Nieuws | IoT-security
Toch zul je wifi 6 de komende tijd overal gaan
tegenkomen, want vooral in omgevingen met
veel clients (beurzen, stadions, concertpodia)
moet het veel efficiënter werken dan wifi 5
(IEEE 802.11ac).
TP-Link wil als eerste fabrikant wifi 6
aanbieden in een meshsysteem: de Deco
X10 moet tot 1,95 Gbit/s halen en meer
dan 100 clients aankunnen. Naast de eerder
gepresenteerde routers AX11000 en AX6000
verschijnen twee instapmodellen (AX1800
en AX1500) en de eerste wifirepeater
voor wifi 6 (RE705X). TP-Link wil onder de
naam OneMesh alle 11ax-apparaten voor
consumenten en kleine bedrijven in één
productlijn onderbrengen, dus routers,
repeaters en Powerline-adapters.
Netgear presenteerde op de CES niet
alleen de 11ax-routers RAX80 en RAX160,
maar ook bedrijfsoplossingen. Met de naam
Smart Managed Pro S350 zijn vijf Gigabit-
Op de CES 2019 hadden fabrikanten van
netwerkapparatuur de mond vol over
de nieuwe wifistandaard IEEE 802.11ax.
De fabrikantenvereniging Wi-Fi Alliance
(WFA) gebruikt liever de benaming Wi-Fi
6, wat wij weer liever schrijven als wifi 6.
De standaard is nog niet helemaal gereed,
maar een voorlopige versie zit al in routers,
accesspoints en de eerste meshsystemen. De
WFA wil de eerste producten vanaf het najaar
certificeren. Dat moet garanderen dat wifi
6-clients goed kunnen communiceren met
een wifi 6-basisstation.
De Asus RT-AX88U router is het eerste
model met deze (voorlopige) standaard.
Volgens onze metingen (zie p.32) is de
netto doorvoersnelheid daarvan onder
ideale omstandigheden bijna 2 Gbit/s. Maar
dat geldt alleen bij meerdere parallelle
overdrachten. Bij een een-stream download
is wifi 6 nauwelijks sneller dan de voorganger.
switches verschenen, waarvan er twee ook
PoE+ bieden (IEEE 802.3at). Daar komt het
accesspoint WAC540 met drie wifimodules
bij (wifi 5 met vier streams, 1 × 2,4 GHz, 2
× 5 GHz) voor omgevingen met veel clients
en de wifirouter WAC124 (11n-300 en 11ac-
1733). Later dit jaar komt Netgear met
een opvolger voor het meshsysteem Orbi.
Dat model (RBK152) zal drie wifimodules
bevatten met Qualcomm-chips. De module
voor de meshbackbone zal gebruikmaken
van 11ax, met vier MIMO-streams. (mdt)
Het plafond bij apps is nog lang niet bereikt.
Volgens recent onderzoek van App Annie (zie
de link onderaan dit artikel) groeit de markt
voor apps nog steeds flink en was 2018
(opnieuw) het beste jaar ooit.
Consumenten gaven in 2018 circa 101
miljard dollar uit via de verschillende app-
stores. Dat is 17% meer dan de 86 miljard
dollar in 2017, en om dat in perspectief te
zetten: dat is meer dan er wereldwijd in de
muziekindustrie omgaat. De wereldwijde
inkomsten via app-stores waren in 2017 al
hoger dan de totale opbrengsten van alle
bioscoopfilms dat jaar. Het grootste deel van
de uitgaven, zo'n 74%, gaat nog steeds naar
games. Maar uitgaven voor andersoortige
apps zijn wel gestegen van 18 naar
26 procent, mede dankzij de toegenomen
apps met abonnementskosten.
Het rapport bevat verder nog wat an-
dere aardige cijfers. Zo besteedden consu-
menten in 2018 anderhalf keer zo veel tijd
aan apps als in 2016. In volwassen markten
lag het gemiddelde op bijna drie uur per
dag. Het grootste deel van die tijd (50%)
kwam voor rekening van sociale apps en
communicatie-apps. Drie apps van Face-
book (Facebook, WhatsApp en Messenger)
vormen dan ook de top drie van de apps
die de meeste actieve gebruikers hebben.
De verschillende cate gorieën waaraan
daarna het meeste tijd werd besteed zijn
videospelers en -editors (15%) en games
(10%). Van elke 10 minuten die werden
besteed aan videostreaming, kwamen er
9 voor rekening van YouTube.
Bij de games valt op dat een casual-
game als Candy Crush Saga altijd nog
meer actieve gebruikers heeft en meer
geld ophaalt dan het gehypete PUBG mo-
bile. Uitgaven aan dating-apps stegen van
2016 tot 2018 met 190% en Tinder is in
die categorie nog steeds nummer 1. Voor
2019 verwacht men dat de uitgaven in
app-stores verder stijgen naar 120 miljard
dollar, mede dankzij de toegenomen hoe-
veelheid beschikbare premium content en
diensten. Hoe dan ook, apps blijven een
aantrekkelijke markt. (mdt)
www.ct.nl/softlink/1903016
De microcontroller ESP32 is niet alleen
geliefd voor elektronicaprojecten. De firma
WiPhone ontwikkelt zelfs een SIP-telefoon
met die wifichip. Dat toestel is speciaal
bedoeld voor VoIP-telefonie via wifi.
WiPhone levert een kant-en-klare firmware
in de stijl van eenvoudige Nokia-telefoons.
Voor iedereen die er meer uit wil halen,
gaat de fabrikant de broncode publiceren
van firmware en hardware. Daarmee moet
het makkelijker worden om projecten
vanuit bijvoorbeeld de Arduino-IDE naar de
WiPhone om te zetten. Aan de achterkant
is ruimte voor extra hardware. Die extra
printplaten worden via veercontacten met
de ESP32 verbonden. WiPhone heeft een
knutsel-breadboard op de planning staan,
een LoRa-modem (LoRaWAN voor IoT-
toepassingen) en een RGB-matrix.
De ESP32-WiPhone zou in deze
'hacking'-versie in het derde kwartaal
van dit jaar op de markt moeten komen.
Volgens de fabrikant staat er ook een
consumentenversie zonder extra hardware
in de planning, maar meer details hebben
we daar nog niet over vernomen. (mdt)
Wifi 6 komt naar meshsystemen
App-etijtelijk
Opensource wifitelefoon
TP-Link wil met de Deco X10 als eerste fabrikant een meshsysteem uitbrengen met de nieuwe wifigeneratie.
De WiPhone is geschikt om met VoIP te bellen via wifi. Je kunt de hardware ook als basis gebruiken voor je eigen program meerprojecten.
16 c’t 2019, Nr. 3
Nieuws | Mobiel
Door drie veiligheidslekken in de log-
functie van init-opvolger systemd kunnen
aanvallers beheerrechten verkrijgen op
Linux-systemen. De lekken zitten in alle
Linux-distributies die systemd gebruiken
voor het starten van processen, alhoewel
het lek niet op alle distributies kan worden
uitgebuit. De veiligheidsvoorzieningen
die de ontwikkelaars bij het compileren
van hun softwarecomponenten getroffen
hebben op de Suse-producten SLES 15 en
OpenSuse Leap 15, evenals die op Fedora
28 en 29, hebben ervoor gezorgd dat die
systemen ongevoelig zijn voor de lekken.
Voor de meeste andere Linux-distributies
waarbij systemd wordt gebruikt, wordt in-
middels aan veiligheidsupdates gewerkt of
zijn die al beschikbaar. Onder andere Red
Hat en Debian komen binnenkort waar-
Eigenlijk werd de nieuwe versie 5.0 van de
Linux-kernel al eind vorig jaar verwacht,
maar toen is tegen de verwachtingen in
toch nog versie 4.20 verschenen. Maar nu
is het dan toch zover: de hoofdontwikke-
lingsfase is voltooid en zoals uit de commit
van de eerste release-candidate blijkt, is
4.21 toch 5.0 geworden. We moeten ech-
ter niet te veel betekenis hechten aan de
naamsverandering naar een nieuwe hoofd-
versie, aldus Linus Torvalds.
Zoals Torvalds in de Linux-kernel-
mailing-list schrijft, zouden er ondanks
het nieuwe major-release-nummer geen
bijzondere nieuwe features in de kernel
verschijnen om die nummerwijziging te
rechtvaardigen. Torvalds grapt dat de of-
ficiële reden – als je die dan echt moet
hebben – om van 4.21 naar 5.0 te gaan
was dat hij "niet meer genoeg vingers en
tenen had om op te tellen". Afgelopen no-
vember werd al gespeculeerd of op versie
4.19 versie 5.0 zou volgen, net zoals in 2015
van 3.19 naar 4.0 werd overgestapt. Maar
Torvalds had geen zin om zich aan een
bepaald nummerschema te moeten hou-
den, waardoor besloten werd om eerst nog
kernel 4.20 uit te brengen.
De Git-repository van 5.0-rc1 omvat
momenteel ongeveer 6,5 miljoen objec-
ten, schrijft Torvalds. De merge-window
was met 11.000 commits gemiddeld wat
omvang betreft. Ongeveer de helft van de
commits bestaat uit drivers, 20 procent zijn
updates voor architecturen, 10 procent zijn
tools en de overige 20 procent betreffen
allerlei verschillende dingen, zoals docu-
mentatie, netwerk, bestandssystemen,
headerfiles of kernel-core.
Tussen de – zoals gebruikelijk – talloze
vernieuwingen, zitten er enkele die het
noemen waard zijn: ondersteuning voor
AMD FreeSync, merge van de driver voor
het Raspberry Pi-touchscreen, rudimentai-
re ondersteuning voor de Turing-gpu's van
Nvidia en een nieuw Console-lettertype
voor HiDPI-/Retina-displays.
De kernelontwikkelaars hebben ech-
ter ook een wijziging aangebracht die tot
protest heeft geleid. Er is een interface ver-
wijdert die onder andere gebruikt wordt
door de bestandssysteemmodule ZFS on
Linux (ZoL). Daardoor kan ZoL niet meer
door Linux 5.0 worden gecompileerd. De
ZFL-module maakt geen deel uit van de
Linux-kernel vanwege licentie-incompati-
biliteiten.
Concreet betreft het de benadering
van de floatingpoint-functies van x86-
cpu's, die tot nu toe via de functies __ker-
nel_fpu_begin() en __kernel_fpu_end()
verliepen. Die zijn in versie 5.0 verwijderd
omdat geen enkele code die in de main-
stream kernel zit die functies nog gebruikt.
Bovendien werden ze al langer geleden ge-
markeerd als 'deprecated'.
De alternatieven in de vorm van de functies
kernel_fpu_begin() en kernel_fpu_end()
zijn uitsluitend vrijgegeven voor software
met GPL of compatibele licenties. ZFS on
Linux valt echter onder de CDDL (Common
Development and Distribution License),
die in het algemeen niet compatibel is met
de GPL-licentie. Daarom mag deze module
de functies niet gebruiken.
Enkele ontwikkelaars hadden aange-
vraagd om die interfaces te openen, maar
dat heeft kernelontwikkelaar Greg Kroah-
Hartman afgeschoten: "Mijn tolerantie
voor ZSF is helemaal op. Sun heeft expliciet
aangegeven dat hun code niet op Linux
mag werken, dus waarom zouden we ons
in allerlei bochten wringen om hun code
goed aan de praat te krijgen?" (ddu)
Linux veiligheidslekken in systemd
Eerste RC-versie van kernel 5.0
schijnlijk met updates voor hun systemd-
pakket.
Bij de lekken gaat het om twee al-
gemene fouten in het geheugenbeheer
(CVE-2018-16864, CVE-2018-16865) en
een bufferoverflow (CVE-2018-16866) in de
systemd-journald-functie. De drie lekken
zitten al jarenlang in de code van het init-
system, de oudste werd geïntroduceerd in
systemd v38 uit eind 2011. Deels konden
de zwakke plekken pas worden uitgebuit
door wijzigingen die later aan de broncode
zijn gedaan.
De bufferoverflow verdween overi-
gens weer in augustus 2018 door een toe-
vallig bijeffect van andere wijzigingen die
aan de code werden aangebracht. Dit lek
betreft daarom ook alleen systemd-versies
tot v235.
De lekken werden ontdekt door veilig-
heidsbedrijf Qualys. Bij nader onderzoek
naar een andere kwetsbaarheid ontdekten
de onderzoekers toevallig dat het journald-
proces crasht wanneer het meerdere mega-
bytes aan commandline-argumenten moet
verwerken. Dergelijke crashes duiden vaak
op een geheugenfout en zijn de eerste stap
naar het vinden van exploits waarmee scha-
delijke code kan worden uitgevoerd, of –
zoals in dit geval – beheerrechten kunnen
worden verworven. Het systemd-lek alleen
is nog niet genoeg voor een aanvaller om
een Linux-systeem over te nemen. Maar hij
kan zichzelf daarmee wel beheerder maken
als hij op een andere manier het systeem al
overgenomen heeft. Dergelijke methoden
om beheerrechten te krijgen zijn gewilde
tools voor hackers. (ddu)
17c’t 2019, Nr. 3
Nieuws | Linux
Naast alle prachtige en soms
vreemde producten op de CES in
Las Vegas, gunden ook chipfabri-
kanten AMD en Intel een blik in de
toekomst.
Christof Windeck
Op haar eerste CES-keynote stelde
AMD-baas Lisa Su trots dat de
meeste dingen bij AMD geheel
volgens plan verlopen. Het enige con-
crete product dat het bedrijf toonde, was
echter de Radeon VII. De grafische kaart
is gebaseerd op de Radeon Instinct MI50
accelerator-kaart.
Su sprak daarnaast over de komende
cpu's en liet een derde generatie Ryzen in
een AM4-behuizing zien, zonder metalen
afdichting. Ze sprak er uitvoerig over dat
deze 7nm-Ryzen net als de nieuwe Epycs
als een combinatie van meerdere chiplets
zijn opgebouwd. De acht-core-cpu die ze
liet zien was opgebouwd uit een 7nm-cpu-
chiplet en een I/O-chiplet. De octocore
Zen-2-cpu haalde op Cinebench R15 een
score van 2057 punten, waarmee hij net
iets sneller is dan een Core i9-9900K, die
eveneens acht kernen heeft. Dat is tevens
een indicatie dat Zen 2 een stuk beter gaat
presteren qua singlethreadperformance.
Tegelijk zou hij tot 30 procent zuiniger
moeten zijn. De Rome-Epycs zullen vol-
gens AMD halverwege dit jaar verschijnen.
CPU's op CESAMD gaat voor 7nm-techniek, Intel combineert Core en Atom
Inmiddels zijn de Ryzen 5 3500U en Ryzen
7 3700U mobiele cpu's verschenen. Dit
zijn geen Zen-2-chips, maar 12nm-versies
van de Ryzen 2000 mobiele cpu's (14 nm).
Lisa Su noemde een accuduur tot wel 12
uur. Dat is inmiddels redelijk gemiddeld.
De Dell XPS 13 haalt bijna 20 uur, de HP
Spectre Folio maar liefst meer dan 40. AMD
kan bovendien eindelijk aan alle vraag
voldoen. Dat betekent dat er meer Ryzen-
notebooks zullen verschijnen omdat de
chipmaker voldoende chips kan leveren.
In het andere kamp verklapte Intel op
de CES details over de Lakefield mobiele
processor, die dan van de nieuwe Faveros-
techniek voorzien gaan worden, waarbij
meerdere 10 nanometer-dies zullen wor-
den gebruikt. Dat luidt de introductie in de
x86-wereld in van het big.LITTLE-concept
van ARM, waarbij zeer krachtige met zeer
zuinige cpu-cores worden gecombineerd.
Bij Lakefield betreft het waarschijnlijk eer-
der een Ice-Lake-processor in combinatie
met de Sunny-Cove-architectuur, samen
met vier Atom-kernen, mogelijk al met
de Tremont-techniek. Een LTE-modem
noemde Intel niet, maar liet wel zien dat
er een simkaarthouder zat op de compac-
te printplaat van een Lakefield-notebook.
Lake field is Intels tegenhanger voor de
Snapdragon-notebooks met ARM64-Win-
dows, wat Microsoft 'Always Connected'-
pc's noemt.
Ook presenteerde Intel zoals verwacht
de F-versie van de Core i-9000. Voor het
eerst sinds 2012 zijn dit desktop-cpu's zon-
der ingebouwde graphics, bijvoorbeeld bij
de octocore-cpu Core i9-9900KF. Dat biedt
nauwelijks een kostenvoordeel voor ge-
bruikers, en de kloksnelheid, de cache en
het TDP zijn identiek aan de Core i9-9900K.
Of Intel gewoon de gpu uitschakelt of dat
de F-cpu's daadwerkelijk een kleinere die
hebben om de problemen met de levering
van processors te compenseren, is voorals-
nog onduidelijk.
Het enige nieuw voorgestelde model
met UHD-630 graphics is de Core i5-9400
met zes kernen. Ook is er de overklokbare
Core i3-9350KF met vier kernen, waarbij
Intel in tegenstelling tot de Core i3 voor
desktop-pc's ook een turbo-modus heeft
toegevoegd.
De Core i3-8100F hoort bij de achtste
generatie, die ook geen gpu heeft en in
tegenstelling tot de Core i-9000-serie niet
beschermd is tegen de beveiligingslekken
Meltdown V3 en L1 terminal fault.
KernsplitsingMaxim Goryachy en Mark Ermolov van
het Russische securitybedrijf Positive
Techno logies dringen steeds verder in
de Intel-cpu's door en hebben met de in-
gebouwde trace hub geëxperimenteerd.
Die biedt krachtige debuggingfuncties,
waaronder een logic analyzer die Visua-
lization of Internal Signals Architecture,
oftewel VISA heet. Deze biedt toegang
tot de Intel On-Chip System Fabric (IOSF),
die functie blokken op een chipset, res-
pectievelijk System-on-Chip met elkaar
verbindt. Het is als het ware Intels versie
van ARM's AMBA.
Trammell Hudson presenteerde op
de 35C3 zijn inzichten over de Chine-
se spionagechips, die naar verluidt op
Supermicro- serverboards zouden zitten.
Hij toonde aan hoe complex het wel
niet zou zijn om ergens gedurende het
fabricage proces er stiekem chips bij te
solderen. Een realistischer scenario leek
hem dat ergens tijdens de transportketen
moederborden worden omgewisseld met
gemanipuleerde versies. (ddu) c
De AMD Zen-2-Ryzen: rechtsboven zit-ten acht cpu-cores op een 7nm-chiplet. De I/O-chiplet is iets groter en onder-steunt PCIe 4.0. Er daarbij is nog plek over voor een tweede cpu-chiplet en daarmee 16 kernen.
Core i-9000-processors (LGA1151v2, 14 nm)
Processor Kernen / threads Kloksnelheid / turbo Graphics TDP Prijs
Core i9-9900KF 8 / 16 3,6 / 5,0 GHz niet aanwezig 95 W $ 488
Core i7-9700KF 8 / 8 3,6 / 4,9 GHz niet aanwezig 95 W $ 374
Core i5-9600KF 6 / 6 3,7 / 4,6 GHz niet aanwezig 95 W $ 262
Core i5-9400 6 / 6 2,9 / 4,1 GHz UHD 630 65 W $ 182
Core i5-9400F 6 / 6 2,9 / 4,1 GHz niet aanwezig 65 W $ 182
Core i3-9350KF 4 / 4 4,0 / 4,6 GHz niet aanwezig 91 W $ 173
Core i3-8100F 4 / 4 3,6 / n. a. niet aanwezig 65 W $ 117
18 c’t 2019, Nr. 3
Nieuws | Processors
de meter en de seconde, die tegenwoordig
ook zijn gedefinieerd op basis van constan-
ten (respectievelijk de lichtsnelheid en de
trilling van Cesium-atomen). Le Grand K
verliest zijn betekenis en kan in het mu-
seum gezet worden, naast de metalen staaf
van (circa) één meter.
De nieuwe officiële definitie is wel min-
der goed te vatten dan een stuk metaal: de
kilogram, symbool kg, is de SI-eenheid van
massa en is gedefinieerd door de vaste nu-
merieke waarde van de Planck-constante
h van 6,62607015 × 10-34 uitgedrukt in de
eenheid J × s, die gelijk is aan kg × m2 × s-1,
waarbij de meter en seconde zijn gedefini-
eerd in termen van c en ∆νCs. Met behulp
Sinds 1889 gold als maatstaf voor wat een
kilogram precies is een stuk platinum-iridi-
um in het Franse Sevres. Dat blok metaal
stond ook wel bekend als The International
Prototype Kilogram, oftewel 'Le Grand K'.
Alle weegschalen ter wereld zijn (indirect)
op basis van die Grand K gekalibreerd. Er
zijn enkele tientallen replica's van gemaakt,
die verspreid over de wereld bewaard wor-
den. Bij een vergelijking van de kopieën
met het origineel kwam echter aan het licht
dat Le Grand K lichter is geworden dan de
kopieën. Hoe dat kan weten wetenschap-
pers echter niet, want het object is veilig
beschermd opgeborgen in een kluis. Toch
is de maatstaf voor de kilo in de loop der
tijd bijna 50 microgram lichter geworden.
Wetenschappers hebben daarom gezocht
naar een nieuwe manier om de kilogram
te definiëren. Eind vorig jaar is men het al
eens geworden over die nieuwe definitie
en die wordt over enige tijd van kracht,
vanaf 20 mei 2019.
In het Système international d'unités
(SI) wordt de kilogram voortaan gedefi-
nieerd op basis van de Planck-constante.
Daarmee volgt hij in de voetstappen van
van een vernuftig apparaat, de Kibble-
balance, kan de Planck-constante worden
gemeten en daarmee het gewicht van een
object. In tegenstelling tot de Grand K, is
de Kibble-balance geen eigendom van
een instelling of overheid en kan iedereen
met voldoende middelen er een maken.
Daarmee is de kilogram als het ware ook
opensource geworden. Niet alleen de ki-
logram krijgt vanaf 20 mei overigens een
andere definitie, ook andere SI-eenheden
zijn vanaf dan afgeleid van fundamentele
natuurkundige constanten. Zie de link voor
een compleet overzicht. (mdt)
www.ct.nl/softlink/1903020
In Europa bevindt zich de grootste 'machi-
ne' ooit gemaakt, de Large Hadron Collider
(LHC). Die ondergrondse deeltjesversneller
in de buurt van het Zwitserse Genève is
ringvormig, met een omtrek van bijna 27
kilometer (26659 m). Onderhouds- en be-
veiligingspersoneel verplaatst zich dan ook
per fiets door de tunnels van het complex.
Tijdens onderzoeken worden meer dan
750 TB aan data per seconde gegenereerd,
die via een speciaal netwerk naar onder-
zoeksgroepen wereldwijd gestuurd wor-
den. De LHC is onder andere gebruikt om
het bestaan aan te tonen van het Higgs-
boson, dat belangrijk is voor het huidige
standaardmodel van deeltjesfysica. Overi-
gens was het CERN, de organisatie die de
LHC beheert, ook de geboorteplaats van
het World Wide Web: Tim Berners Lee be-
dacht hyperlinks en maakte de allereerste
website in zijn tijd bij het CERN. Die site
uit 1991 is nog steeds online (zie de link).
De LHC moet volgens planning nog
tot 2035 in gebruik blijven, maar aan een
opvolger wordt gewerkt. De onderhouds-
en bedrijfskosten nemen bijvoorbeeld niet
af, terwijl er wel steeds minder nieuwe of
nauwkeuriger data mee vergaard kunnen
worden. De bouw van een deeltjesversnel-
ler kan al gauw 15 tot 20 jaar duren. CERN
heeft dan ook onlangs plannen bekendge-
maakt voor een nieuwe deeltjesversneller,
die nog een maatje groter moet worden.
In die plannen, de Future Circular Col-
lider Study (FCC), gaat men uit van een
versneller die deeltjes kan laten botsen
met energieën van 100 TeV (teraelectron
volt, 1,60217662 × 10-7 joules). De LHC is
ontworpen voor maximaal 14 TeV. Voor de
subatomaire deeltjes waar het om gaat is
dat absurd veel energie. Om de plannen
in de FCC te verwezenlijken, wordt een
deeltjesversneller gepland met een om-
trek van 100 kilometer. Die zou in de buurt
komen van de huidige LHC, waardoor ge-
profiteerd kan worden van een deel van
de bestaande infrastructuur (van netwer-
ken tot fietsendepots).
Meer dan 150 universiteiten, onder-
zoeksinstituten en bedrijven wereldwijd
werken mee aan de plannen. Met de FCC
wil men onder andere onderzoek doen
naar donkere materie, verantwoordelijk
voor circa 25 procent van het tot nu toe
bekende universum. (mdt)
www.ct.nl/softlink/1903020
Kleine k
Groot, groter, FCC
Bro
n:
Na
tio
na
l In
sti
tute
of
Sta
nd
ard
s a
nd
Te
ch
no
log
y [
Pu
bli
c d
om
ain
], v
ia
Wik
ime
dia
Co
mm
on
sHier zie je Kilogram No. 20 (rechts), een
kopie van de Grand K die in de VS werd be-waard, en de daarvan
afgeleide Kilogram No. 4.
Op deze schets zijn de afmetingen en de geplande lo-catie voor de FCC zichtbaar. Linkson-der het traject van de LHC.
20
Nieuws | Wetenschap
c’t 2019, Nr. 3
Hg FreeLead FreePowerSensor LightSensor241B7QGJEB
B Line 24”
Zo groen als een monitor kan zijnEnergie zuinig, milieuvriendelijke materialen
22 c’t 2019, Nr. 3
Nieuws | Bitcoin bestaat 10 jaar
AfgerondBitcoin en de blockchain bestaan 10 jaar en houden het goed vol
Slecht voor het klimaat, totaal onge-
schikt als betaalmiddel, irrelevant
en sowieso veel te beperkt: crypto-
currency is niet veel soeps als je de
kritieken mag geloven. Maar ook na
tien jaar draait de bitcoin-blockchain
nog steeds volgens dezelfde regels
als in het begin. De concurrentie had
allerlei noodgrepen en forks nodig
om in leven te blijven. Dat is toch een
behoorlijke prestatie van bitcoin-
uitvinder Satoshi.
Mirko Dölle
Satoshi Nakamoto kondigde op
9 januari 2009 het eerste block van
zijn revolutionaire nieuwe betaal
middel aan, precies ten tijde van de glo
bale financiële crisis waarbij regeringen
hun boven de afgrond bungelende banken
met vele miljarden boven water moesten
houden. Het moest compleet onafhankelijk
zijn van banken en regeringen, decentraal
en democratisch en niet te reguleren of
manipuleren. Dat staat loodrecht op het
bestaande conservatieve bankensysteem
dat vele miljarden kreeg toegeschoven en
alsnog moeite had om te blijven draaien.
Maar hoe werkt zo'n betaalmiddel
waarbij er geen centrale plek is die tegoe
den beheert of overschrijvingen doorvoert?
Hoe voorkom je fraude en manipulatie,
zonder klachtenorgaan en zonder jurisdic
tie? De crux zit hem het stoppen van alle
transacties in een openbare blockchain.
Die data structuur leren informaticastuden
ten in het eerste semester al kennen onder
de naam singly linked list (gelinkte lijst).
Elk knooppunt van die lijst bevat behalve
de (transactie)data een verwijzing naar het
volgende knooppunt. Satoshi noemde de
knooppunten blocks en de vertakte lijst met
blocks de blockchain.
Wat nieuw was, is dat de blocks niet
op basis van hun nummer in de blockchain
worden gehangen, maar dat een opvol
gend block een verwijzing bevat naar de
hashwaarde van zijn voorganger. Daarmee
werd de hashwaarde van een block hét
belangrijke onderdeel. Zo'n hashwaarde is
min of meer de vingerafdruk van de data.
Als je ook maar één enkele bit van de data
aanpast, verandert de gehele hashwaarde.
Hoe zo'n verandering precies uitvalt,
valt niet te voorspellen. Het is niet moge
lijk de data heel bewust op zo'n manier
samen te stellen dat er een bepaalde hash
waarde uit komt rollen. Als je een specifieke
hashwaarde wilt bereiken, moet je de data
23c’t 2019, Nr. 3
Nieuws | Bitcoin bestaat 10 jaar
De huidige Antminer-apparatuur (hier in een serverrack) berekent bitcoin-hashes miljarden keren sneller dan de cpu's van 2009. De difficulty zorgt er voor dat slechts elke tien minuten een nieuw block ontstaat.
steeds maar weer veranderen, opnieuw de
hashwaarde berekenen en controleren of de
nieuwe waarde is wat je wilt hebben. Bij bit
coin is die manier van werken nog een stuk
lastiger omdat uit de SHA256waarde van de
data weer een SHA256hash wordt berekend
die op zijn beurt de ID van het block vormt.
Doordat elk block in de enkelvoudig
gekoppelde bitcoinblockchain naar de
hashwaarde van zijn voorganger verwijst,
wordt niet alleen de volgorde van blocks
in de blockchain bepaald. Tegelijk is via de
hash te controleren of er ook maar één en
kele bit van het eerdere block achteraf ge
manipuleerd is. Elke wijziging betekent dat
het block een andere hashwaarde krijgt dan
geregistreerd staat.
Wil je de gegevens van het vorige block
manipuleren, dan moet je niet alleen de
hashwaarde daarvan opnieuw berekenen,
maar je moet ook die van het laatste block
manipuleren om ervoor te zorgen dat de
daarin genoemde hashwaarde van de voor
ganger hetzelfde is als die van de gemani
puleerde versie. Hoe verder je terug gaat
qua blocks, hoe meer blocks je opnieuw
moet berekenen.
Hier en daar een drempelDe gangbare cpu's uit 2009 kregen het al
voor elkaar de hash van een block meerdere
miljoenen keren per seconde opnieuw te
berekenen. De hashperformance van door
snee desktopcpu's lag op dat moment tus
sen de 1 tot 25 megahashes per seconde
(MH/s). Een enkele pc had de bitcoinblock
chain compleet kunnen aanpassen.
Om te zorgen dat dit niet gebeurt, heeft
Satoshi dat met een extra moeilijkheids
graad (difficulty) lastiger gemaakt. Die houdt
in dat de hashwaarde van een acceptabel
block minimaal een bepaald aantal nullbits
aan het begin moet hebben staan. Als de
hashwaarde van een nieuw block niet ge
noeg nullen heeft, kan de pc een daarvoor
bestemde teller in het block ophogen, de zo
genaamde Nonce. Aangezien de aanpassing
van de Nonce onvoorspelbare uitwerkingen
op de hashwaarde heeft, kan de pc niks
anders doen dan de hashwaarde opnieuw
bepalen en hopen dat er genoeg nullen in
staan. De zoektocht naar een hashwaarde
met een goede lengte die geldig is, wordt
daarmee in principe een loterij.
Satoshi wilde ook dat bitcoin decen
traal en democratisch is. Iedereen moet
aan het uitbreiden van de blockchain
kunnen meewerken en niemand moet de
volledige controle kunnen krijgen over de
crypto valuta. Wanneer er meerdere pc's
tegelijk naar een specifieke hashwaarde
zoeken, neemt de kans dat er een een hit
krijgt aanmerkelijk toe. Bij de groei van de
hardware performance moet dan ook de
moeilijkheidsgraad mee omhoog.
Harde klapSatoshi had daar een briljante oplossing
voor: hij legde vast dat de moeilijkheids
graad automatisch per twee weken gelijk
matig toenam, zodat elke 10 minuten een
nieuw block werd gemined. Als de laatste
2016 blocks van een blockchain sneller
zijn berekend dan in de vastgestelde twee
weken, neemt de moeilijkheid automatisch
toe met een factor gelinkt aan de 'te hoge'
snelheid van de pc's. Als het echter langer
dan twee weken duurt om 2016 nieuwe
blocks te vinden, neemt de difficulty met
dezelfde factor af. Zo kan iedereen aan de
hand van de blockchain de huidige difficulty
bepalen. Er is geen centrale plek of organisa
tie nodig die de difficulty bewaakt. De voor
uitziende blik in het design qua moeilijkheid
en de keuze van tien minuten per block, zie
je terug bij de bitcoinfork bitcoin cash.
Een van de ontwikkelaars van bitcoin
cash had als kritiek richting bitcoin dat de
difficulty over een erg lange tijd wordt ge
meten. Daardoor past die zich maar beperkt
aan de wereldwijde rekenperformance aan.
Toen bitcoin cash zich in augustus 2017 af
splitste van bitcoin, werd er een eigen 'beter'
algoritme ingebouwd dat de difficulty veel
sneller aan de hashperformance moet aan
passen. Dat leverde een pijnlijke uitglijder
op: op bepaalde momenten ontstonden
meerdere nieuwe blocks slechts een paar
seconden of minuten na elkaar, daarna een
half uur niets, tot er weer een zwik nieuwe
blocks opdook. Dat zorgde voor zo veel
problemen dat er al na drie maanden een
nieuwe hard fork werd doorgevoerd en het
algoritme voor de moeilijkheidsgraad werd
opgefrist.
De difficulty verandert alleen voor
nieuwe blocks in de bitcoinblockchain,
nooit voor de oude. Dat leidt ertoe dat het
erg makkelijk is de in 2009 uitgebrachte
blocks in een aantal uur te manipuleren en
daarna opnieuw te berekenen. De huidige
specialistische hardware is miljarden keren
krachtiger dan de cpu's uit die tijd. Maar na
de blocks uit 2009 moet je ook alle blocks
uit 2010 opnieuw berekenen. Dat gaat al
een flink stuk trager, dat was de tijd waar
bij al grafische kaarten werden ingezet voor
hashwaardeberekeningen omdat die veel
meer performance boden dan cpu's. Daar
door nam de difficulty aanmerkelijk toe.
Ben je bij een herberekensessie dan bij de
blocks uit 2013 aangekomen, dan wordt het
nog een stuk lastiger. In die tijd werden de
eerste ASICminers ingezet. Die zijn tot de
dag van vandaag de standaard en de per
formance ervan is de afgelopen jaren meer
dere malen verveelvoudigd. Hoe dichter je
met je manipulatie bij de huidige stand
van zaken komt, hoe lastiger het wordt om
het volgende block te vinden. En al die tijd
worden er elke tien minuten weer nieuwe
blocks aangemaakt die je dan later weer
opnieuw moet berekenen. Dat moet dan
gebeuren in minder dan tien minuten, want
anders heb je geen kans om in te halen. De
enige manier waarop dat zou kunnen luk
ken is als iemand meer dan 50 procent van
de wereldwijde rekenperformance voor bit
coin in kan zetten. In zo'n geval spreek je
van een 51procentaanval. Daarmee is het
(met veel moeite en geduld) mogelijk om
de cryptovaluta te manipuleren.
Vijandige overnameDe bitcoinfork bitcoin gold werd in mei
2018 het slachtoffert van twee 51procent
aanvallen, de nachtmerrie voor elke crypto
valuta. De aanvallers hadden de controle
over meer rekenperformance dan op dat
moment verwacht werd en door de diffi
culty in acht genomen werd. Daardoor werd
er bitcoin gold met een waarde van 10 mil
joen dollar verkocht en kort daarna werden
dankzij de overweldigende rekenkracht
24 c’t 2019, Nr. 3
Nieuws | Bitcoin bestaat 10 jaar
De blockchain bevat niet alleen transacties, maar biedt de mogelijkheid er allerlei soorten informatie in op te slaan. Behalve tekst en programmacode staan er ook allerlei afbeeldingen in de blockchain opgeslagen.
beloning voor elk opgeduikeld block krijg
je nieuwe bitcoins. Daarom noem je pc's die
de transacties voor nieuwe blocks afhande
len miners: net als gouddelvers vinden ze
nieuwe blocks en daardoor nieuwe bitcoins.
Een zeer slimme zet van Satoshi, die in één
klap meerdere problemen oplost.
Geld uit het nietsToen Satoshi Nakamoto begin januari 2009
het zogenaamde genesisblock met de
hand berekende, waren er geen bitcoins om
over te zetten of pc's die transacties naar
nieuwe blocks ombuigen. Vandaag de dag
wordt dit kipeiprobleem opgelost doordat
diegene die een nieuwe cryptovaluta start
eerst alle muntaantallen vooraf berekent en
die tegen geld aan investeerders verkoopt,
zelfs nog voordat de blockchain van start
gaat. Dat wordt een Intitial Coin Offering
(ICO) genoemd. Voor de bedenker is dat
erg lucratief, want het idee is voor veel geld
van de hand gedaan voordat er bewezen is
dat het zijn werk ook echt doet. Daarmee is
er geen aanleiding om de cryptomunt ook
echt van start te laten gaan. Vooral in 2017
en begin 2018 werden veel onwetende in
vesteerders zo van hun geld af geholpen.
Door dat massale misbruik zijn ICO's in veel
landen inmiddels streng gereguleerd.
Satoshi koos echter voor een belo
ning voor het vinden van nieuwe blocks.
Zo kreeg Satoshi voor zijn met de hand in
elkaar gezette genesisblock een beloning
van 50 bitcoin, waardoor de eerste 50 bit
coins tot stand kwamen. Dat was een goede
reden om met je eigen pc nieuwe blocks te
berekenen en de blockchain in leven te hou
den. Veel cryptomuntenthousiastelingen
van het eerste uur lieten hun pc dan ook
minen als die niets stond te doen.
Veel bitcoinvermogen stamt uit die
tijd. Zo ook bij informaticus James Howell
uit Newport. Hij was in 2009 begonnen met
het minen op zijn pc en had een flinke 7500
bitcoin bij elkaar gezocht. In 2013 gooide
hij zijn pc echter de deur uit, met daarin de
schijf met de enige kopie van zijn bitcoin
wallet. Dat was vervelend, maar geen ramp,
tot begin 2011 was een bitcoin slechts een
paar cent waard. In 2013 lag de prijs op een
ruime tien dollar. De eerste harde stijging
kwam eind november 2013. Toen tikte de
koers kort 1000 dollar per bitcoin aan. Het
jaar daarop zakte het weer in tot 250 dollar.
Pas eind 2016 kwam de bitcoin weer
op zijn oude niveau en steeg verder. In
december 2017 werd er 20.000 dollar per
bitcoin betaald. Howells verloren wallet was
nu ineens 150 miljoen dollar waard. Geen
wonder dat hij spijt kreeg en op de vuilnis
belt van Newport naar naar zijn harde schijf
wilde zoeken. Maar hij kreeg geen toestem
ming, waarmee 0,36 promille van de totale
hoeveelheid bitcoin permanent verloren is.
Satoshi heeft namelijk het aantal bit
coins dat gemaakt kan worden begrensd
op 21 miljoen stuks. De beloning halveert
elke vier jaar, zodat de beloning in 2140
neerkomt op niets. Het kleinste 'deel' van
een bitcoin ligt op een honderdmiljoenste.
Ter ere van de bedenker wordt die kleinste
unit een satoshi genoemd. Daarna komen
er geen bitcoins meer bij.
Het halveren van de beloning na elke
210.000 blocks zorgt ervoor dat miners niet
op subsidie kunnen draaien. De gebruiks en
stroomkosten moeten op een andere manier
worden afgedekt. Daar is de transactionfee
voor bedacht, een soort van transactiekos
ten. Als klant van een normale bank kun je
niet om eventuele transactiekosten heen. Bij
bitcoin heb je dat zelf in de hand: je bepaalt
hoeveel geld je wilt neerleggen voor het
uitvoeren van een overschrijving. Compleet
gratis afhandelen is ook een optie.
nieuwe, gemanipuleerde blocks berekend
waarin die verkoop nergens te bekennen
viel. Daardoor verdween die uit de bitcoin
goldblockchain en hadden de daders gratis
geld binnengeharkt. Ook de bitcoinfork bit
coin private kreeg medio oktober te maken
met een vijandige overname, maar dan 'ter
demonstratie': de hacker Geocol liet in een
livestream zien hoe simpel het is.
De plundering bij bitcoin gold was mo
gelijk omdat er in verhouding weinig pc's
aan de bitcoingoldblockchain rekenden.
Als daders moedwillig een paar dagen een
flinke rekenkracht in een datacentrum huur
den, hadden ze in één klap veel meer hash
performance voor bitcoin gold dan de rest
van de wereld. De aanval op bitcoin private
was al helemaal eenvoudig: met een paar
honderd dollar aan miningpeformance was
Geocold al klaar.
Zo'n aanval op bitcoin is zelfs door re
geringen niet meer voor elkaar te krijgen.
Bij de bitcoinblockchain is er sprake van te
veel rekenperformance. Wereldwijd gaat het
om ongeveer 40 EH/s. Dit komt overeen met
30 miljoen van de meest krachtige pc's met
een verbruik van 4 gigawatt. Juist dat grote
aantal pc's en bijbehorende forse verbruik
zorgt dat bitcoin veilig is tegen manipulatie.
De oorzaak voor deze grote getallen is
dat het werken aan de bitcoinblockchain
de afgelopen jaren erg rendabel was. Als
Nieuws | Bitcoin bestaat 10 jaar
Maar net als bij een normale marktwerking
bepalen vraag en aanbod de prijs. Beheer
ders van miningrigs verwerken eerst de
transacties die de meeste inkomsten op
leveren. Overschrijvingen zonder fees wor
den pas afgehandeld als er geen betaalde
transacties meer zijn. Daarom moet je soms
dagen wachten voordat je transactie zonder
fee wordt uitgevoerd.
Kunstmatig beperktAls er zeer veel transacties tegelijk zijn, kan
het voorkomen dat overschrijvingen met
lagere fees of totaal geen fee niet worden
doorgevoerd. De reden is dat bitcoinblocks
maar maximaal 1 MB groot mogen zijn. Dat
kwam medio 2017 overeen met een maxi
mum van ongeveer 2000 transacties. Toen
bitcoin ontstond, was er eerst geen beper
king op de grootte. Satoshi voerde die be
perking pas op 12 september 2010 in als een
zogenaamde softfork. Hij wilde daarmee
voorkomen dat aanvallers met een groot
aantal vervalste blocks veel performance
en opslagplek naar zich toetrekken en de
handel met bitcoins spaak laten lopen.
De latere beperking tot 1 MB per block was
ook de reden dat de nieuwe cryptovaluta
bitcoin cash ontstond. Een deel van de bit
coinminers wilde de maximale grootte op
8 MB hebben, waarvoor een hardfork nodig
was. Satoshi koos voor het aanpassen van de
bitcoinblocks, waarbij delen van de eerder
in een block opgeslagen data een nieuwe
plek krijgt (SegWit, Segregates Witness).
Daardoor pasten meer dan twee keer zo veel
transacties in een block. Die aanpassing was
compatibel met oudere bitcoinclients, dus
het was slechts een softfork. Een deel van
de ontwikkelaars wilde de vergroting van de
blocks naar 8 MB alsnog doorzetten en zette
op hefzelfde moment een hardfork door,
waardoor bitcoin cash ontstond.
Door de vooruitziende blik van Satoshi
en door veranderingen rustig en doordacht
door te voeren, is er de afgelopen tien jaar
geen enkele hardfork nodig geweest bij de
oudste actief verhandelde cryptomunt. De
ontwikkeling van bitcoin is nog lang niet
klaar. De blocktijd kan worden verkleind tot
5 minuten, zodat het transactievolume kan
worden verdubbeld. Of de bitcoinachterban
wordt het toch eens over een hardfork en
vergroot de maximale blockgrootte. Met
het lightningnetwerk is er ook een inte
ressante uitbreiding voorhanden, die vooral
handig is voor snelle transacties van kleine
bedragen. Ideaal om bijvoorbeeld je kopje
koffie in het café mee af te rekenen.
De bitcoinblockchain is zelfs geschikt
als tool voor vrije meningsuiting. Het is de
ideale plek om informatie in op te bergen
zonder dat de inhoud aangepast kan wor
den. Dat wordt door verschillende personen
gebruikt om teksten, programmacode en
zelfs afbeeldingen in de blockchain te ver
eeuwigen. Satoshi Nakamoto zette zelf de
eerste stap. In zijn genesisblock citeerde hij
een artikel uit de London Times van 3 janu
ari 2009 over de plannen van de toenmalige
minister van Financiële zaken Alistair Dar
ling, die banken met een tweede reddings
ronde met miljarden GBP aan belastinggeld
wilde redden. Dat gaat dan over banken die
er dankzij bitcoin en zijn opvolgers in de toe
komst wellicht niet meer zijn. We wachten
rustig af wat er op de twintigste verjaardag
te vieren valt. (avs) c
ZELF AAN DE SLAG?
1 Raspberry Pi Starter Kit €62,95
2 Raspberry Pi Camera Module V2 €29,95
3 Arduino starterkit €91,95
4 BBC Micro:Bit GO €22,95
5 BBC Micro:Bit Inventorskit €29,95
6 Prototyping Bundel Groot €25,95
1
2
Bestel nu op: www.fnl.nl/ct-shop
3
4
5
6
Privé-temperatuur
Met de slimme radiatorkranen van
Netatmo in combinatie met de Ther-
mostaat kan iedereen in huis zijn
eigen kamertemperatuur instellen.
De Thermostaat van Netatmo is een klok
thermostaat waarmee je een verwar mings
ketel kunt aansturen. Je kunt die op een
willekeurige plek neerzetten, maar de
temperatuur daar zal het uitgangspunt zijn
voor het in of uitschakelen van de verwar
ming. De verbinding met het schakelrelais
gebeurt via 868 MHz, de thermostaat werkt
zelf op batterijen. Het relais moet via wifi
verbinding met je netwerk kunnen maken
om de app te gebruiken en het systeem
van buitenaf te bedienen. Daar is geen
abonnement voor nodig.
De Thermostaat wordt slim genoemd,
waarbij de term autoadapt wordt gebruikt,
maar hij leert niet of er al dan niet mensen
in huis zijn om daar (week)schema's op te
baseren, zoals bij Google Nest en andere
thermostaten. Hij leert wel hoe lang het
duurt voor je huis de gewenste tempera
tuur bereikt, zodat hij de verwarming op
tijd kan inschakelen. Wat dat betreft is de
Thermostaat een echte klokthermostaat:
je kunt er zelf schema's op instellen wan
neer je huis verwarmd moet worden en
tot welke temperatuur. Er is geen afwezig
heidsindicatie, wel een Afwezigmodus die
je zelf aan of uit kunt zetten.
Het installeren van de thermostaat
zou met de uitgebreide documentatie
per merk en ondersteunde typen geen
probleem moeten zijn. Hij werkt niet met
OpenTherm of modulatie, maar alleen met
een aanuitsysteem. In sommige gevallen
is het advies om dat door een erkende in
stallateur te laten doen. Maar in principe
kun je er elke wandthermostaat en draad
loze thermostaat mee vervangen.
Laten we de uitgebreide portal via de
app niet vergeten te noemen, waarmee je
vrijwel in realtime kunt zien wat de tem
peraturen binnen en buiten zijn, wat de
ingestelde temperatuur is en of de ketel
aan het werk is geweest of niet. Daar kun
Kleurig canvas
Nanoleafs interactieve ledtegels
vormen een speels gekleurd vlak
in je smarthome. De tegels kunnen
worden aangestuurd via IFTTT.
Nanoleaf ken je misschien wel van de
driehoekige Auroraledtegels. Deze zijn
inmiddels omgegoopt tot Light Panels.
De nieuwe Canvas zijn vierkant, wat een
stuk praktischer is dan de driehoeken. De
tegels zijn elk 15 bij 15 centimeter groot.
De startset (Smarter Kit) bevat negen te
gels: acht ledtegels en een net zo grote
controllertegel. De controller heeft zes
touchknoppen om het systeem ook zon
der de app te bedienen. De set knoop je
via de Nanoleafapp aan je wifinetwerk. Na
het instellen heb je geen internetverbin
ding nodig voor het aansturen via de app.
Via de cloud besturen dankzij je Nanoleaf
account (IFTTT) kan ook.
Elke ledtegel heeft vier velden die
vanaf de zijkant met rgb en warm witte
leds worden verlicht. De 3dachtige patro
nen in de tegels zijn een bewuste keuze,
het verstrooipatroon op de diffusors is on
gelijkmatig. Daar moet je wel van houden.
De vier vlakken van een tegel zijn alleen als
geheel aan te sturen. Via de meegeleverde
'Linker'strips verbind je tot 25 tegels aan
elkaar tot een groot lichtvlak, werkend op
een enkele adapter.
De controllertegel bevat een kleine
microfoon. Hierdoor kan het systeem op
muziek reageren. En elke tegel heeft een
capacitief touchvlak om bijvoorbeeld een
potje WhackaMole te spelen. De Canvas
zit goed in elkaar, maar de prijs is wel be
hoorlijk pittig. Een uitbreidingsset met 4
tegels kost 80 euro. (avs)
je ook de dagschema's aanpassen of de
vorstvrijmodus activeren. Bij de Afwezig
modus kun je aangeven tot wanneer je
weg bent – dat kan ook voor bijvoorbeeld
een langere vakantie – zodat daarna het
gewone schema weer gaat gelden. De
thermostaat is compatibel met Apple Ho
mekit en Google Home.
De mogelijkheden van de Netatmo
Thermostaat overstijgen daarmee niet het
niveau van veel andere slimme thermosta
ten. Het grote voordeel van dit systeem is
dat Netatmo ook radiatorkranen in het as
sortiment heeft die kunnen communiceren
met de thermostaat. Daardoor kan elke
kamer een eigen temperatuur ingesteld
krijgen.
Het installeren van de radiatorkranen
is bij radiatoren met een thermostaatven
tiel eenvoudig. Er worden aardig wat ver
leng en koppelstukken meegeleverd. Bij
radiatoren met een handmatige kraan die
alleen aan of uit kunnen, moet een vak
man dat doen, omdat daarbij de warmwa
tertoevoer rechtstreeks geregeld wordt.
De radiatorkraan gaat met stapjes
van 0,5 graad omhoog of omlaag. De ra
diatorkranen hebben een epaperdisplay
en werken op batterijen, en zijn net als de
thermostaat allemaal verbonden met het
relais. Verder kun je met de kraan niet veel
instellen, daar heb je de app voor nodig.
Maar dat is gezien de prettige interface en
leuke grafieken geen straf.
De mogelijkheden van de Thermo
staat komen ongeveer overeen met de
'domme' Nest Thermostat E, al is de Netat
mo zo'n 40 euro goedkoper. De slimmere
gewone Nestthermostaat kost met stan
daard al snel meer dan 100 euro meer. Die
kan dan wel 'leren' wat een goed schema
zou kunnen zijn, maar kan verder niet com
municeren met afzonderlijke radiatoren in
verschillende kamers. Dat is een duidelijk
voordeel van het Netatmosysteem. (nkr)
Netatmo Thermostaat en
Slimme radiatorkraan
Slim verwarmingssysteem
Fabrikant Netatmo, www.netatmo.nl
Verbinding thermostaat/kranen naar relais: 868 MHz;relais naar netwerk: wifi 802.11 b/g/n (2.4 GHz) / open/WEP/WPA/WPA2-personal (TKIP en AES)
Systeemeisen iOS 9, Android 4.2, Windows, macOS
Meegeleverd thermostaat: standaard, wandbeugel, mon-tageplaat, kleurenstickers, 3 AAA-batterijen, schroeven en pluggenradiatorkraan: 6 adapters, 4 stickers, 2 AA-batterijen
Prijs slimme radiatorkraan: € 80slimme thermostaat: € 180startpakket (thermostaat en 2 kranen): € 199
Nanoleaf Canvas
Wifi-ledtegels
Fabrikant Nanoleaf, nanoleaf.me
Meegeleverd controller-tegel, 8 ledtegels, 8 Linker-strips, adapter
Stand-by 5 watt / 10,8 VA
Prijs € 200
26 c’t 2019, Nr. 3
Kort voorgesteld | Thermostaat/radiatorkraan, wifi-ledtegels
Mobiel monster
Mobiel gamen is populair. De ROG
Phone neemt spelletjes serieus
en biedt veel opties speciaal voor
gamers.
Vergeet even het idee dat de pc het ul
tieme gameapparaat is en stel dat je
onderweg een potje Fortnite wilt spelen.
Voor dat doel heeft de ROG Phone een
speciaal geselecteerde Snapdragon 845
chip die hogere kloksnelheden aankan:
vier van de cores halen 2,96 GHz in plaats
van de standaard 2,8 GHz. Ook de 8 GB
RAM en het 6 inch oledscherm met zijn
verversingsfrequentie tot 90 Hz met 1 ms
responstijd passen mooi in dat plaatje. Het
scherm ondersteunt HDR en is fel genoeg
voor gebruik buiten. Qua opslagruimte is
hier helaas alleen het 128GBmodel goed
verkrijgbaar, de 512GBversie zou nog
mooier zijn gezien de grootte van de hui
dige games. Opslagruimte uitbreiden met
een geheugenkaart is niet mogelijk.
Het toestel heeft alles wat je van een
toptoestel verwacht, zoals GPSontvangst
(inclusief Galileo), NFC, wifi 802.11ac/ad en
Bluetooth 5.0. Achter zit een 12megapixel
hoofdcamera en 8megapixel groothoek
camera. Optische beeldstabilisatie is er
niet. Fijn voor gamen en films zijn de naar
voren gerichte stereospeakers, die redelijk
hard kunnen. Die zitten net als een 8me
gapixel frontcamera in de vrij brede randen
boven en onder het scherm.
Het design met schuine lijnen en ge
kleurde accenten is smaakgevoelig. De vin
gerafdrukscanner aan de achterkant werkt
helaas niet zo betrouwbaar als je gewend
bent. Op de achterkant zit ook een logo
met ledverlichting die je snel activeert of
uitschakelt door te knijpen in de zijkanten
van het toestel. Een andere functie heeft
dit knijpgebaar niet. Met de 4000mAhaccu
kunnen die paar energiezuinige leds er wel
bij en de verlichting is zelfs te synchronise
ren met die van speciale toestelaccessoires
en andere Rog Phones.
Wat dit een fijne smartphone voor
gamen maakt zijn de extra's. Erg handig
zijn de ultrasone knoppen (AirTriggers)
die in de landschapsmodus links en rechts
boven het scherm in de zijrand zitten. Die
kun je toewijzen aan locaties (knoppen)
op het scherm en zo als schoudertriggers
gebruiken tijdens het gamen. Er zit er ook
een links opzij in de portretstand. Per game
kun je automatisch een profiel laden met
die knopposities en allerlei andere game
specifieke opties, zoals de verversingsfre
quentie van het scherm, het sluiten van
achtergrondapps en het blokkeren van
meldingen. De gevoeligheid van de Air
Triggers is naar wens aan te passen, net als
veel andere instellingen. Het toestel draait
op Android 8.1, met de nodige aanpassin
gen van Asus. Sommige zijn bij dit toestel
erg praktisch (zoals Game Genie die de set
tings per game beheert) maar andere zoals
ZeniMoji zou je best zonder kunnen.
Handig bij het gamen is de extra USB
Caansluiting die in de landschapsmodus
midden onder zit. Clip je de bijgeleverde
AreoActivekoeler erop, dan bevat die
bovendien een extra hoofdtelefoonaan
sluiting, zodat het snoer niet hinderlijk
aan de zijkant zit. Die stille koeler wist de
cputemperatuur nog zo'n 5 graden lager
te houden dan de speciale ingebouwde
koeling alleen. Dat kan eventueel throt
tling voorkomen. De AreoCooler heeft ook
USBC aan de onderkant voor het opladen
tijdens het gamen. Het al vrij zware toestel
(200 gram) wordt met de koeler wel nog 32
gram zwaarder. Het rubbertje op het toe
stel dat de USBC plus extra connector voor
de koeler afsluit raak je natuurlijk een keer
kwijt, maar er wordt wel alvast een extra
dopje meegeleverd. Het toestel is niet wa
terdicht, maar wel spatwaterbestendig.
Er zijn allerlei speciale accessoires
voor de ROG Phone aangekondigd, zoals
een desktopdock, een dock met tweede
scherm en een controllerhouder, die ho
pelijk nog beschikbaar komen. Maar ook
zonder die accessoires is de ROG Phone al
een apart toestel en voor fanatieke mobie
le gamers interessant. De hoge prijs past
ook bij wat gamers gewend zijn. (mdt)
Privacy-notebook
De HP Envy x360 is een luxe 2-in-1
notebook met goede prestaties. In
het touchscreen zit een bijzondere
functie verborgen.
De Envy is goed uitgerust: een fullhd
scherm, een snelle 512GBssd en 16 GB
werkgeheugen. Het hart is een AMD Ryzen
5 2500U. Die is met vier cores op 2 GHz
(3,6 GHz turbo) vergelijkbaar met de po
pulaire Core i58250U. De geïntegreerde
gpu van AMD levert betere prestaties dan
die van Intel, maar gamen op fullhd lukt
hooguit bij oudere games met lagere de
tailinstellingen.
Het ipsscherm heeft een goede hel
der heid en contrast, en een prima kijk hoek.
Met de ingebouwde 'Sure View'functie
onder de F1toets kun je die opzettelijk ver
kleinen voor meer privacy. Mensen naast
je kunnen dan niet meer meelezen. Recht
van voren worden de kleuren duidelijk koe
ler, maar blijft het beeld wel scherp. Het
scherm kun je naar achteren klappen in de
tabletmodus of in een tentstand neerzet
ten. De Envy is voorzien van twee USBA
poorten (USB 3.1 Gen 1), een USBCpoort
(met DisplayPort 1.4), sdkaartlezer, verlicht
toetsenbord, infraroodcamera voor het in
loggen bij Windows Hello, snel ACwifi etc.
Het toetsenbord typt redelijk (gezien het
formaat), maar het touchpad is qua hoogte
wat krap.
De ventilator kan aardig ruisen, maar
je kunt een stil profiel selecteren. De pres
taties lopen dan flink terug en het komt
ook de niet bijzonder lange accuduur ten
goede. Verder is de Envy x360 een erg snel
en fraai afgewerkt 2in1 notebook. (mdt)
HP Envy x360Snel 2-in-1 notebook
Fabrikant HP, www.hp.com
Display / resolutie 13,3 inch / 1920 × 1080 (touch)
Cpu / gpu / RAM Ryzen 5 2500U / Radeon RX Vega 8 / 16 GB RAM
Opslagruimte 512 GB ssd
Gewicht / afmetingen 1,3 kg / 30,7 × 21,5 × 1,5 cm
Prijs € 1200
Asus ROG PhoneGaming-smartphone
Fabrikant Asus, www.asus.com/nl
Display / resolutie / verversingsfrequentie
6 inch / 2160 × 1080 pixels / 90 Hz
Cpu / gpu Snapdragon 845 (tot 2,96 GHz) / Adreno 630
Connectiviteit 4G duosim, wifi 802.11ac/ad, NFC, Bluetooth 5.0
Gewicht / afmetingen 200 g / 159 × 76 × 8,3 mm
Prijs vanaf € 900 (128GB-model)
27c’t 2019, Nr. 3
Kort voorgesteld | Gaming-smartphone, 2-in-1 notebook
Halfslachtige concurrent
De Core i9-980XE processor
met 18 kernen moet tegenwicht
gaan bieden tegen AMD's tweede
Threadripper-generatie.
Processors met meer dan tien kernen
spelen hun sterke punten vooral uit bij
veeleisende software zoals 4K-video-
editing, rendering en het compileren van
grote softwareprojecten. Voor hardware-
liefhebbers die dergelijke toepassingen
gebruiken, heeft Intel zijn Core X-proces-
sors voor het in 2017 geïntroduceerde
high-end platform LGA2066 nu bijge-
werkt.
De nieuwe cpu's van de serie Core i7-
9000X en i9-9000X lopen in vergelijking
met de voorgaande versies Core i7/-i9-
7000X een paar honderd megahertz snel-
ler. Bovendien bieden nu alle LGA2066-
processors ieder 44 PCI-Express-3.0-lanes
voor grafische kaarten en snelle NVMe-
ssd's. De eerder afgeknepen versies met
slechts 28 lanes behoren nu tot het ver-
leden.
Intel heeft niets gewijzigd aan het
aantal kernen. Het topmodel Core i9-
9980XE Extreme Edition heeft nog steeds
18 kernen en 36 threads. Hij werkt nomi-
naal op 3 GHz, wat 400 MHz meer is dan
bij de Core i7-7980XE. De maximale turbo
is van 4,2 naar 4,5 GHz gegaan. Om dat
turboniveau belast te kunnen halen met
twee kernen, hoef je de software Turbo
Boost Max 3.0 nu niet meer te installe-
ren. Windows 10 heeft sinds versie 1703
de benodigde driver standaard al. Ook
aan het 24,75 MB grote level 3-cache en
aan de Skylake-architectuur is niets ver-
anderd.
Om de Core i9-9980XE goed te kun-
nen testen, moesten we eerst bij de BIOS-
Opluisteren
Door de Vertical Surround Engine
van de 3.1-kanaals soundbar Sony
HT-ZF9 met Dolby Atmos/DTS:X
komt het geluid van alle kanten.
We willen onze tv's tegenwoordig zo plat
mogelijk met een onzichtbare smalle rand.
Dat ziet er prachtig uit, maar staat een fat-
soenlijk geluid wel in de weg. Dat kun je
verhelpen met een aparte soundbar die je
onder de tv zet, samen met een losse sub-
woofer die je draadloos verbindt voor de
lage tonen.
Het installeren en instellen van de Sony
HT-ZF9 doe je eenvoudig via het overzichte-
lijke on-screen-menu. De afstandsbediening
biedt knoppen om de geluidsbron direct te
selecteren en voor presets als muziek, bio-
scoop, sport etc. Het is een beetje uitprobe-
ren wat je prettig vindt klinken. Naast het
algemene geluidsvolume zijn er ook toetsen
om het volume van de subwoofer apart in te
stellen. Dat is handig op momenten dat een
film erg gaat dreunen en je de vrede met je
onderburen wilt behouden.
Media vanaf je smartphone of NAS
stream je via bluetooth, wifi of LAN. Heb je
compatibele Sony-speakers, dan stream je
met de Sony Music Center-app geluid door
je hele huis. Je kunt voor 300 euro nog twee
losse rear-speakers kopen die je draadloos
met de soundbar verbindt om er een 5.1-sys-
teem van te maken.
Het geluid zal een hele stap vooruit zijn
voor de meeste tv's. Voor het luisteren van
muziek presteert de Sony aardig, maar hifi-
niveau haalt hij niet. (ddu)
Sony HT-ZF9Soundbar en subwoofer
Fabrikant Sony, www.sony.nl
Vermogen 400 W
Aansluitingen 2 × HDMI-uit, 1 × HDMI-in, usb, optische audio-in, analoog-in
Ondersteunde audio via HDMI
Dolby Digital, Dolby Digital Plus, Dolby TrueHD, Dolby Atmos, Dolby Dual mono, DTS, DTS-HD Hi-Res Audio, DTS-HD Master Audio, DTS-ES, DTS 96/24, DTS:X, LPCM (2-/5.1-/7.1-kanaals), DSD (2-/5.1-kanaals)
Netwerkfunctie Chromecast, Spotify Connect, DLNA
Prijs € 700
instellingen van het door ons gebruikte
Gigabyte-moederbord X299 Aorus Ga-
ming 3 handmatig de juiste waarden
instellen voor de power-limits. Als je dat
niet doet, dan werkt de processor onder
volle belasting continu met de maxi male
all-core-turbofrequentie van 3,8 GHz.
Daarmee verbruikte het test systeem dan
371 watt en was de package-power van
de processor 260 watt.
Nadat we de foutieve BIOS-instel-
lingen aangepast hadden naar de juis-
te waarde voor Power Limit 1 van 165
watt (overeenkomend met de Thermal
Design Power), voor Power Limit 2 198
watt en voor de maximaal toegestane
boost-duur van 8 seconden, daalde het
energie verbruik tot 248 watt, met daar-
bij een package-power van 165 watt. De
performance bij Cinebench viel daardoor
wel ongeveer 9 procent terug van 3700
naar 3392 punten.
In vergelijking met een Core i7-
7980XE rekent het nieuwe topmodel
van de Core Xongeveer vier procent
sneller. Bij single-threading-toepassin-
gen is de voorsprong daarbij wat groter
(zeven procent). Tegen een vergelijkbaar
dure 32-core AMD Ryzen Threadripper
2990WX kan de Core i9-9980XE echter
geen vuist maken als alle kernen volle-
dig belast worden. AMD heeft op dat ge-
bied een voorsprong van maar liefst 50
procent wat betreft de Core i9. Alleen bij
single-threading-toepassingen kan Intels
18-core processor de AMD-concurrentie
op een afstand van 16 procent achter
zich houden.
Maar ongetwijfeld koop je een uit-
gebreid LGA2066-platform en een dure
18-core processor niet voor een hoge
single-thread-performance. Een Core i5-
9600K met zes kernen haalde bij Cine-
bench ook een resultaat van 197 punten,
maar die kost met nog geen 300 euro
duidelijk minder dan de 2100 euro die
de i9-9980XE op moet brengen. (nkr)
Core i9-9980XE Extreme EditionHigh-end processor voor LGA2066-moederborden
Fabrikant Intel, www.intel.com
Kernen 18+HT
Frequentie 3,0 GHz (Turbo: 4,5 GHz)
Cinebench R15 197 / 3392
Sysmark / Blender 1885 / 143 s
Energieverbruik idle / volledig belast
53 / 248 W
Prijs € 2100
28 c’t 2019, Nr. 3
Kort voorgesteld | High-end processor, Sony soundbar
Heup�les-ssd
Freecom biedt met zijn 'mSSD Cele-
ritas Thunderbolt 3' een compacte
en supersnelle externe ssd voor je
mac of pc.
De Celeritas Thunderbolt 3-ssd oogt een
beetje anders dan je van externe schijven
gewend bent. De Celeritas (Latijn voor snel-
heid overigens) heeft een halfronde vorm die
wat doet denken aan een heupfl esje, maar
dan met een industrieel sausje. De buiten-
kant ziet eruit als glimmend metaal en voelt
robuust aan. Aan de onderkant zitten vier
rubberen voetjes die de ssd goed op zijn plek
houden. Er wordt een Thunderbolt 3-kabel
meegeleverd die je redelijk diep verzonken
in de kleine ssd moet pluggen, waardoor hij
goed beschermd zit. Een externe voeding is
niet nodig, de M.2 2280 NVMe-ssd in de be-
huizing heeft voldoende aan de power via
de Thunderbolt-3-poort. De Celeritas Thun-
derbolt 3 biedt een ruime 1 TB aan opslag.
Thunderbolt 3 biedt in theorie 40 Gbit/s
aan snelheid. Die snelheid in combinatie met
een ssd is erg fi jn voor content-creators die
met veel en zeer grote bestanden werken,
zoals 4K-video's. Maar ook een veeleisende
thuisgebruiker heeft veel profi jt van de snel-
heid. We sloten de Celeritas aan op een iMac
via Thunderbolt 3. Zodra je de mobiele ssd
aansluit, zie je voor zowel een Mac als pc
opstartbare bestanden verschijnen die infor-
matie tonen, plus losse mappen met o.a. de
Freecom Backup Assistant en handleidingen.
Bij het draaien van de Blackmagic Disk Speed
Test hebben we een leessnelheid gemeten
van 2300 MB/s en schrijfsnelheid van 1690
MB/s. Bij al dat lees- en schrijfgeweld warmt
de ssd fl ink op, maar hij blijft goed hanteer-
baar. (avs)
Veelkanaals-audio
Sennheisers GSP 550 biedt 7.1-sur-
round sound via de inline dongle.
Daar heb je wel de Surround Dongle
Software voor nodig.
Na het openen van de doos vallen de
(verwisselbare) legergroene stukken op
het deel van de hoofdband het dichtst bij
de oorschelpen het meest op. Diezelfde
groene kleur is ook subtiel als accent ver-
werkt op de microfoonboom. En in plaats
van een enkele kabel die je in de headset
klikt, moet je nu twee kabels aan elkaar
knopen: de dongle-kabel en de usb-kabel.
De kabels zijn glad en krullen vrij snel, maar
voelen stevig aan. De zachte oorkussens
zijn ook te verwisselen.
De dongle zit in plaats van dicht bij je
hoofd (om zelf op gevoel te schakelen) juist
dichter bij de pc. Je zit echter niet continu
te wisselen van modus, dus enorm storend
is dat ook weer niet. Net als bij de andere
GSP-headsets hadden we graag net wat
meer padding aan de binnenkant van de
hoofdband gezien, zodat de headset bij
langere sessies wat comfortabeler zit.
Na het installeren van de software
wordt surround-sound beschikbaar. De
equalizer is in te stellen op de standen
music, esport en game. Zelf vonden we de
equalizer op stand 'uit' het fi jnst en meest
neutraal klinken. Dan zijn er nog de noise-
reduction en instellingen voor sidetone,
oftewel je eigen stem ook door je headset
laten klinken. Dit is handig ter controle dat
de microfoon werkt en hoe hard je precies
klinkt voor anderen. Of je Dolby Surround
fi jn vindt bij het gamen is een kwestie van
smaak, maar het is een optie die ook voor
fi lms en series prettig kan zijn. (avs)
Freecom mSSD Celeritas Thunderbolt 3 DriveThunderbolt-3-ssd
Fabrikant Freecom, www.freecom.nl
Snelheid lezen / schrijven
2300 MB/s / 1690 MB/s
Gewicht / garantie 186 gram / 3 jaar
Meegeleverd Thunderbolt-3-kabel, snelstartgids
Prijs € 550
Sennheiser GSP 550Surround-gaming-headset
Fabrikant Sennheiser, www.sennheiser.nl
Audioweergave / verbinding
stereo / 7.1 Dolby Surround 10Hz-30kHz (28 ohm) / usb
Gewicht / garantie 358 gram / 2 jaar
Meegeleverd dongle-kabel, usb-kabel, handleiding
Prijs € 230
Compact laag
Hexgears X-1 is een low-pro�ile
toetsenbord dat zowel bedraad als
draadloos te gebruiken is. Het heeft
mechanische switches.
De Hexgears X-1 oogt erg strak en zit stevig
in elkaar. De verlichting is extra goed zicht-
baar door de doorzichtige switches. Aan-
sluiten met een kabel gaat via USB-C, met
een knop rechts van de usb-poort schakel
je bluetooth in of uit. De X-1 is door zijn
compacte vorm en bluetooth-optie handig
om mee te nemen. Door de meegeleverde
stevige beschermhoes stop je hem zonder
zorgen in je tas.
De accuduur is erg beperkt, met de
verlichting aan ligt die rond de vier uur,
maar met een paar uur per dag onverlicht
draadloos houdt hij het een week uit. Bij
bluetooth heb je 6-key roll-over, met usb
N-key roll-over. Het toetsenbord is verkrijg-
baar in wit en zwart. Bij de switches kun je
kiezen uit Kaihua Choc Red (lineair), Brown
(tactiel) of White (clicky). De eerste twee
komen overeen met de gelijk gekleurde va-
rianten van Cherry, de White valt het beste
te vergelijken met een Cherry MX Blue.
Het typen is wel even wennen door
de dichter op elkaar zittende toetsen en
afwijkende lay-out. Het is fi jn dat er een
numeriek deel op zit, maar de Numlock-
toets zit op de plek waar je de Delete ver-
wacht. Toetsaanslagen leveren een lichte
metalen galm op. De intensiteit van de
verlichting is in 4 stappen te regelen. Stap
1 is al voldoende voor een prettige verlich-
ting. De keuze in verlichtingspresets is wat
beperkt, maar via de programmeermodus
met Fn+F1 kun je per toets een kleur instel-
len. Op die manier krijg je witte verlichting
voor elkaar die via de normale presets niet
gekozen kan worden vanwege het hoge
energieverbruik. (avs)
Hexgears X-1Low-profi le draadloos/bedraad mechanisch toetsenbord
Fabrikant Hexgears, https://kono.store
Meegeleverd beschermhoes, USB-C-kabel, korte handleiding
Prijs $ 120
29c’t 2019, Nr. 3
Kort voorgesteld | Thunderbolt-3-ssd, Gaming-headset, Mechanisch toetsenbord
Makkelijker disassembleren
Het gratis framework radare2 is een
goede tip voor reverse engineering.
Met de grafische interface Cutter
gaat dat een stuk makkelijker.
IDA Pro is de onbetwiste koning onder de
tools voor het ontleden van gecompileerde
programmacode in assemblerinstructies.
Professionals gebruiken die inter actieve
disassembler en debugger veelal voor het
reconstrueren van broncode en de ana-
lyse van schadelijke software. Daar betaal
je wel viercijferige licentiekosten voor – al
bestaat er inmiddels een gratis alternatief
dat toch wel redelijk gelijkwaardig is aan
IDA. Dan hebben we het over radare2, een
opensource framework voor het statisch
en dynamisch analyseren van code. Net als
IDA ondersteunt radare2 talrijke bestands-
formaten en processorfamilies. Als alterna-
tief voor het klassieke debuggen emuleert
het ook afzonderlijke instructiesequenties
om bijvoorbeeld de versleutelingsfuncties
van malware zonder gevaar uit te voeren.
De tool kan pseudocode genereren van
programmafuncties en binaire vergelijkin-
gen – IDA heeft daar extra plug-ins voor
nodig zoals Hex-rays en BinDiff.
Toch hebben veel gebruikers radare2
nog niet ontdekt. De grafische interface van
de commandline-tools beperkte zich name-
lijk tot een met het toetsenbord te bedienen
'Visual Mode' in een consolevenster. De in Qt
en C++ geprogrammeerde GUI Cutter moet
het bedienen van radare2 een stuk makke-
lijker maken, met name voor beginners. De
installatiepakketten bevatten meteen ook
het radare2-framework.
Opgeleukt
VMware Workstation 15 heeft een
fijn schalende interface en een set
nieuwe opties om gemakkelijk(er)
te automatiseren.
VMware heeft al eerder gemeld dat de
schaalbaarheid van interfaces op Win-
dows-hosts met hoge pixeldichtheid
prima in orde is. Bij versie 15 wordt dat
niet alleen geroepen maar is het nu ook
echt zo. De weergave van knoppen, ven-
sters en gast-tabs blijft nu ook in orde
als de schaal van de weergave tijdens ge-
bruik wordt aangepast. Dat kan bijvoor-
beeld gebeuren op het moment dat er
remote verbinding wordt gemaakt met
de host-pc of bij het inpluggen van 4K-
schermen.
De 3D-support voor Windows-guests
is opgeschroefd naar Direct3D 10.1. Bo-
vendien is er nu een REST-API beschik-
baar. Hiermee kunnen ontwikkelaars pro-
gramma's bouwen om virtuele machines
te beheren, bestaande tools integreren
en het (her)verdelen van VM's over werk-
plekken automatiseren.
De argumenten om voor VMware
Workstation Pro te gaan zijn nog steeds
van kracht. Deze versie is perfect voor
als je naast een fijn snapshotbeheer ook
puike graphics-, geluid- en usb-integratie
wilt. De goedkopere (of bij persoonlijk
gebruik gratis) versie in de vorm van
Workstation Player heeft geen snapshots,
netwerkmanager en VM-encryptie vanuit
de host. (avs)
Cutters interface doet denken aan IDA –
vooral door de weergave van de bestands-
structuur als 'Visual Navigation Bar' in de
bovenste vensterhelft, waarmee je direct
naar codedelen navigeert. Gedisassem-
bleerde code en hexdumps, registers, stack
en dergelijke kun je als afzonderlijke ven-
sters met drag&drop vrij neerzetten in het
centrum van de GUI en groeperen. Door
meerdere instanties van een venstertype
te openen kun je verschillende program-
madelen parallel bekijken.
De talrijke thema's, kleurenschema's
en fonts zijn niet alleen fraai of praktisch,
maar je kunt er je ogen bij een nachtelijke
analyse sessie ook behoorlijk mee ontlas-
ten.
Aan de huidige Cutter-versie 1.7.2 is
wel te merken dat er nog veel te doen is
aan het eind 2017 in het leven geroepen
project. Veel radare2-features zijn tot nu toe
alleen rudimentair in de GUI geïntegreerd,
terwijl andere alleen maar met de gebrui-
kelijke radare2-toetsenbordcommando's
uit te voeren zijn. De ontwikkelaars wer-
ken op dit moment naar eigen zeggen met
voorrang aan de voor veel gebruikers on-
ontbeerlijke debug-mode. Toch loont het
om nu al eens naar Cutter te kijken. Als er
nog wat aan deze GUI bijgeslepen wordt,
kan radare2 op de lange termijn wel eens
een geduchte concurrent worden die IDA
van de troon zou kunnen stoten. (nkr)
Cutter (1.7.2)Grafische interface voor radare2
Ontwikkelaar Sergi Alvarez (pancake),github.com/radareorg/cutter
Systeemeisen Windows, Linux, macOS
Prijs gratis
VMware Workstation 15Desktop-virtualisatie
Producent VMware, www.vmware.com
Besturingssysteem Windows vanaf 7, Windows Server vanaf 2008 R2, Linux (voor alles geldt: alleen 64-bit)
Prijs € 275 (Pro), € 166 (Player bij commercieel gebruik, anders gratis)
30 c’t 2019, Nr. 3
Kort voorgesteld | Radare2-interface, Virtualisatiesoftware
Python-snelstart
De Python-IDE Thonny maakt het in-
stappen in de scripttaal eenvoudig.
Het is een alternatief voor de uitge-
breidere programmeeromgevingen.
Thonny wil vooral de drempel om ermee
aan de slag te gaan zo laag mogelijk hou-
den. Het programma heeft zijn eigen Py-
thon 3.7-interpreter en is mede daardoor
snel te installeren. De bedieningsinterface
bevat niets wat je kan afleiden van de
elementaire functies: een editor die met
Python-code overweg kan en op de juiste
manier inkleurt, een shell-venster voor
het intypen van Python-commando's, een
spaarzaam gevulde knoppenbalk – en dat
is het.
De editor herkent een paar van de
meest voorkomende typfouten, zoals ont-
brekende haakjes sluiten en aanhalings-
tekens, en markeert die met een kleur.
Met de F5-toets of het Run-pictogram op
de knoppenbalk kun je het script starten.
Als er daarbij fouten optreden, meldt zich
een wizard die probeert om de foutoor-
zaak wat preciezer te verklaren dan de
korte foutmeldingen van de interpreter
dat doen.
De in Thonny zittende debugger start
je met de toetsencombinatie Ctrl+F5 of
het torretje op de knoppenbalk. Het pro-
gramma voert de code daarbij altijd regel
voor regel uit, dus je hoeft geen break-
points te definiëren. Daarbij visualiseert de
debugger heel fraai wat het programma
doet. In kleurige kadertjes die boven de
broncode verschijnen, veranderen stap
voor stap variabelennamen met hun con-
text, mathematische uitdrukkingen met
hun resultaat en functie-aanroepen met
de bijbehorende teruggavewaarde. Een
'step into' opent in een eigen venster met
de broncode van de aangeroepen functie
en de bijbehorende lokale variabelen –
op die manier visualiseert een stapel van
vensters heel overzichtelijk de stack van
functieaanroepen.
Als je dan eenmaal een beetje uit
de voeten kunt met de basisfuncties van
Thonny, kun je meer informatievensters
laten zien, waaronder een overzicht van
de globale variabelen, een Object Inspec-
tor of een mini-filemanager. Een grafisch
front-end voor het Python-pakketbeheer
rond de functieomvang af.
De programmeeromgeving Thonny
werd ontwikkeld door de uni versiteit van
Tartu in Estland. Het heeft een open source
licentie, is zelf in Python geschreven en
werkt met alle gangbare besturings-
systemen, inclusief Raspbian.
Als je geen uitgebreid projectbeheer
nodig hebt, heb je aan Thonny een com-
pacte Python-programmeeromgeving
zonder overbodige ballast. De fraaie de-
bugger biedt niet alleen beginners interes-
sante kijkjes in de werking van de functies
van een interpreter. (nkr)
Stressoverzicht
De tool s-tui toont niet alleen de
cpu-temperatuur, kloksnelheid,
stroomverbruik en dergelijke, maar
kan ook een stresstest uitvoeren.
De cpu-frequentie, de belasting, de tem-
peratuur en het energieverbruik van een
processor gedurende de laatste seconden
worden door de tool s-tui over zichtelijk
in beeld gebracht met kleurige ASCII-
diagrammen.
De tool levert bovendien meer infor-
matie, bijvoorbeeld de tot nu toe hoogst
gemeten temperatuur, het toerental van
de ventilatoren en het model van de inge-
bouwde processor. Jij bepaalt als gebrui-
ker welke temperatuursensor en welke
ventilator de tool in de gaten moet hou-
den.
Om alle informatie op het beeldscherm
te kunnen zien, moet de terminal een
bepaalde hoogte kunnen hebben. Je kunt
met s-tui als alternatief de uitgelezen
meetwaarden ook in een CSV-bestand
laten opslaan. De tool kan een meetwaarde
als een eenvoudige tekstregel uitvoeren,
waarvan de gegevens dan in JSON-formaat
te zetten zijn.
Als een meetwaarde daarnaast een
door een gebruiker aangegeven drempel-
waarde overstijgt, start s-tui als je dat wilt
een shell-script.
Eventueel kan s-tui met behulp van de
tools stress of stress-ng een cpu-stresstest
uitvoeren. Als systeembeheerder van een
server kun je via SSH op die manier dan de
eventuele warmteproblemen op het spoor
komen. (nkr)
ThonnyPython-IDE voor beginners
Ontwikkelaar Universiteit Tartu, https://thonny.org
Systeemeisen Windows, Linux, macOS
Prijs gratis (MIT-licentie)
s-tui (0.8.2)Systeemmonitoring
Ontwikkelaar Alex Manuskin,https://github.com/amanusk/s-tui
Systeemeisen Linux
Prijs gratis (GNU GPN v2)
31c’t 2019, Nr. 3
Kort voorgesteld | Stresstest, Python-IDE
32 c’t 2019, Nr. 3
Test | 11ax-wifirouter
Wifiperformance met meerdere TCP-streams
Wifiperformance met een TCP-stream
Apparaatcombinatie 2,4 GHz dichtbij 20 meter 5 GHz dichtbij 20 meter
Basis / client beter > beter > beter > beter >
ax4800 / ax4800
ax4800 / ac1733
ac1733 / ac1733
Apparaatcombinatie 2,4 GHz dichtbij 20 meter 5 GHz dichtbij 20 meter
Basis / client beter > beter > beter > beter >
ax4800 / ax4800
ax4800 / ac1733
ac1733 / ac1733
ax4800 / ac867
ac1733 / ac867
alle waarden in Mbit/s, 5 GHz: bij ax/ax met 160 MHz, anders 80 MHz kanaalbreedte
Wifirouter
Fabrikant Asus, www.asus.nl
Wifi IEEE 802.11n-600/ac-1733/ax-4800, simultaan dualband, WPS, DFS
Bedieningselementen power, reset, WPS, wifi, LED, 8 statusleds
Aansluitingen 9 × RJ45 (Gigabit-ethernet), 4 × RP-SMA (antennes), 2 × USB 3.0
NAT-perf. PPPoE (DS/US) 884 / 744 Mbit/s
IP-naar-IP (DS/US) 949 / 949 Mbit/s
Energieverbruik 9,9 watt / 19,5 VA (idle, circa € 22 per jaar bij continu gebruik en 25 ct/kWh)
Prijs € 369
Asus RT-AX88U
Wifi 5.9Asus RT-AX88U: eerste router voor Gigabit-wifi
We hebben pre-ax, de voorversie
van de volgende wifigeneratie IEEE
802.11ax, alias wifi 6, bij de eerste
router uitgeprobeerd. Een paar
dingen gaan bij de Asus RT-AX66U
inderdaad sneller, maar sommige
zelfs duidelijk.
Ernst Ahlers
De volgende wifigeneratie IEEE
802.11ax, die in de volksmond beter
bekend zal worden als wifi 6, moet
in bepaalde situaties tot vier keer zo snel
kunnen zijn als de oude standaard. Dat zal
ongetwijfeld best kunnen, maar de formule-
ring 'in bepaalde situaties' geeft al aan dat
het niet altijd zo is. Daarbij komt een groot
deel van de winst door de breedte van de
zendkanalen nogmaals te verdubbelen tot
160 MHz. Maar dat extra brede spoor zal
lang niet overal en altijd te gebruiken zijn.
We konden een voorversie van de
standaard, die waarschijnlijk pas eind 2019
definitief wordt, al uitproberen met de Asus-
wifirouter RT-AX88U. Daarvoor moesten we
een apparaat als basisstation en een tweede
als bridge gebruiken en die twee met drie
Gigabit-ethernetverbindingen aan pc's ver-
binden omdat de routers geen snellere LAN-
poorten hebben. Vervolgens lieten we de
iperf3-benchmark drie keer parallel draaien
met ieder vier TCP-streams tegelijk om de
doorvoer omhoog te krijgen. Ook de 11ac-
wifistandaard doet het bij een zeer goede
draadloze verbinding immers al duidelijk
sneller met meerdere parallelle overdrach-
ten in plaats van één.
Asus claimt in een laboratoriumsetting
in het optimale geval 2,4 Gbit/s netto ver-
stuurd te hebben. Wij kwamen tot een kleine
1,9 Gbit/s netto. Bruto haalt de combinatie
maximaal 4,8 Gbit/s (vier MIMO-streams,
11ax-4800). Een combinatie van wat oude-
re apparaten (Fritzbox 7580, Asus PCE-AC88
PCIe-insteekkaart, beide 11ac-1733) komt bij
eenzelfde opbouw tot 0,8 Gbit/s netto.
Maar bedenk daarbij wel dat het om
de totale doorvoer van meerdere parallelle
overdrachten gaat (de bovenste tabel links-
onder). Bij afzonderlijke down- en uploads
was pre-ax lang niet zoveel sneller dan 11ac-
wifi (onderste tabel) – als het al sneller was.
De nieuwe router kan ook overweg met
oudere 11ac-clients. Een Acer V3-notebook
met een QCA6174 was met slechts twee
MIMO-streams ook aangenaam snel. Die
snelheid was op de 5GHz-band wat hoger
dan in combinatie met de Fritzbox, wat
waarschijnlijk komt door de externe anten-
nes van de Asus.
Toen we de 11ax-apparaten begrensden tot
het gebruik van een bandbreedte van 80
MHz, nam de topsnelheid ongeveer 37 pro-
cent af, van 1848 tot 1172 Mbit/s. Anders om
berekend betekent het verdubbelen van de
kanaalbreedte dus een effectieve versnel-
ling van ongeveer 58 procent.
RouterwerkingDe RT-AX88U is met een wizard in gebruik
te nemen, maar je kunt achteraf ook zelf
nog allerlei instellingen aanpassen. Op de
NAT-performance was eigenlijk niets aan te
merken en de router is ook geschikt voor
de volgende super-vectoring-generatie.
De NAS- performance via LAN met een USB
3.0-ssd kwam gemiddeld tot een prettige
110 tot 113 MB/s (schrijven/lezen, SMB/FTP,
bestands systeem VFAT, NTFS, ext4). Maar he-
laas draait er wel een oeroude SMB-server
op (Samba 3.0.33 van 2008) op, die alleen
het onveilige SMB1 aanbiedt.
ConclusieDe RT-AX88U laat zien wat de nieuwe wifi-
standaard in principe kan. Maar eigenlijk
heeft zo goed als niemand dat nieuwe pre-
ax-wifi al nodig, want er zijn nog paar een
paar geschikte clients. Wacht dus nog ge-
woon een tijdje tot 11ax oftewel wifi 6 ook
standaard in smartphones en tablets zit en
er usb-adapters of eventueel PCIe-kaarten
zijn om je pc te upgraden. Tot dat moment
is de Asus RT-AX88U eigenlijk niet meer dan
een duur previewexemplaar. (nkr) c
281
244
537
250
188
275
1848
977
827
1257
564
491
251
203
357
107
190
208
154
223
107
123
460
470
473
324
340
409
319
341
189
130
33c’t 2019, Nr. 3
Test | Powerline-adapters
Devolo Magic 1 en 2
Powerline-adapters
Fabrikant Devolo, www.devolo.nl
Adaptertype dLAN 1200+ Magic 1 Magic 2
Firmware 2.5.0.00-1 7.8.0.4 7.8.0.4
Doorvoer in woning (10 combinaties) 27–237 Mbit/s 11–191 Mbit/s 54–228 Mbit/s
Gemiddelde waarde 82 Mbit/s 61 Mbit/s 106 Mbit/s
Beste 5 / slechtste 5 125 / 38 Mbit/s 96 / 25 Mbit/s 147 / 65 Mbit/s
Doorvoer testverbinding (0/50/100/200 m) 200–401 Mbit/s 139–218 Mbit/s 188–243 Mbit/s
Energieverbruik (idle)1 2,3 W / 4,9 VA 1,7 W / 4,2 VA 1,7 W / 4,2 VA
Stand-by1 0,7 W / 2,6 VA 0,6 W / 3,1 VA 0,7 W / 3,2 VA
Jaarliijkse stroomkosten (idle)1€ 5,04 € 3,72 € 3,72
Prijs (starterkit) LAN: € 119, WiFi: € 145 LAN: € 120, WiFi: € 146 LAN: € 150, WiFi: € 199
1 een adapter
230V-internetMagic 2 moet de Powerline-snelheid verdubbelen
Devolo renoveert zijn assortiment
adapters voor dataoverdracht via
de stroomdraden met meteen twee
nieuwe series. Een daarvan drijft de
bruto snelheid op tot 2400 Mbit/s.
Maar dat is dan niet eens het voor-
naamste voordeel.
Ernst Ahlers
Powerline-adapters zijn populair voor
veel thuisnetwerken omdat je er
niet voor hoeft te boren. In plaats
van gaten in muren te moeten maken voor
netwerkkabels, stop je eenvoudigweg een
paar adapters in de stopcontacten. Daardoor
krijg je wel makkelijker internet aan de an-
dere kant van je huis, maar daar betaal je
voor met hogere stroomkosten.
Op dit moment zijn adapters die
de data bruto met 1200 Mbit/s door de
stroomdraden heen sturen wel zo'n beet-
je gangbaar. Daarvan houd je in het beste
geval – bij een goede verbinding via het
stroomnetwerk – ongeveer 200 Mbit/s over
op de toepassingslaag. Meestal is dat in de
praktijk echter minder, en vaak ook duide-
lijk minder.
Devolo wil met de Magix 2-adapters
de datasnelheid via het stroomnetwerk nu
verdubbelen. De apparaten krijgen dan een
maximale brute datatransfer van 2400 Mbit/s.
De Magic 1-serie verschijnt naast de nomi-
naal even snelle dLAN 1200-techniek, die
zijn waarde al bewezen heeft. We hebben
drie adaptertypen in een woning met el-
kaar uitgeprobeerd met tien verschillende
stopcontact combinaties en met een test-
verbinding op vier verschillende afstanden.
Devolo is bij de Magic-series afgewe-
ken van de tot nu toe gebruikte HomePlug-
techniek. Men gebruikt nu de G.hn-transfer-
techniek met modemchips van Maxlinear.
Daarom communiceren de Magic-adapters
ook niet met de dLAN-familie.
De Magic 1-adapters stellen enigszins
teleur ten opzichte van de uitgerijpte dLAN
1200-modellen wat betreft de snelheid. Ze
verbruiken wel wat minder energie, maar
kwamen gemiddeld tot een snelheid die
een kwart lager was. Afhankelijk van de
stopcontact combinatie was het verlies tus-
sen de 13 en 63 procent, slechts bij één
combinatie waren de resultaten van de twee
technieken vergelijkbaar.
Magic 2 doet het daarentegen een stuk
beter dan dLAN 1200. De bruikbare data-
stroom was bij een zeer goede verbinding
iets lager (-4 %). Maar in alle andere situaties
deed Magic 2 het enigszins tot aanzienlijk
beter (+21 tot +120 %). Dit gold met name
bij de wat mindere verbindingen via de vijf
slechtste stopcontactcombinaties (+71 %).
De hogere bruto transferrates konden
door Magic 2 echter alleen bij heel goede
verbindingen maximaal benut worden:
met een enkele TCP-stream kwam een test-
verbinding over 0 meter met 243 Mbit/s tot
stand, een aardig stuk minder dan bij een
dLAN 1200-adapterpaar (364 Mbit/s). Met
zes parallelle datastromen transporteerde
Magic 2 echter 642 Mbit/s, wat zo'n 64 pro-
cent meer is dan dLAN 1200 (392 Mbit/s).
Magic 1 en 2 kunnen onderling com-
municeren, maar in onze woning werkte die
combinatie gemiddeld een derde slechter
dan een paar dLAN 1200-adapters.
ConclusieAls je nog geen Powerline-adapters hebt,
moet je beslissen of je voor goedkoop (dLAN
1200) gaat of dat je voorbereid wilt zijn op
slechte verbindingen (Magic 2). Met de hui-
dige firmware levert Magic 1 bij ons geen
voordelen op wat betreft de gemiddelde
datasnelheid. Een echt dringende reden
om een bestaande goed werkende (mesh-)
dLAN-installatie te vervangen is er op dit
moment dan ook nog niet. Als je verbinding
niet zo goed is kun je wel flink profiteren
van een Magic 2-kit. (nkr) c
10-Gigabit-NASKleine NAS-systemen met snelle LAN-aansluiting
Wij vaak met grote bestanden werkt
wil niet steeds wachten bij het
benaderen van de netwerkopslag,
of het nu gaat om videobewerking,
partitie-images of VHD-bestanden.
Een NAS met 10-Gigabit-netwerk-
poorten kan data bijzonder snel
leveren. Dat wordt ook betaalbaar
voor thuisgebruikers.
Ernst Ahlers
Be Asustor en QNAP bieden voor
zo'n 400 euro NAS-systemen die
data via extra snelle LAN-poorten
kunnen overzetten met 10 Gbit/s, ofte-
wel 1,25 GB/s. Dergelijk NAS-systemen
waren door hun prijzen van rond de
1000 euro lange tijd voorbehouden aan
bedrijven. De kosten voor de schijven en
een eventueel aan te leggen 10-Gigabit-
infrastructuur (kabels, switch) komen
daar natuurlijk nog bij.
Het belangrijkste technische verschil
tussen de Asustor- en de QNAP-NAS: de
AS4004T heeft een 10GBase-T-poort
voor een gewone netwerkkabel (RJ45),
terwijl de TS-332X een SFP+-poort heeft
voor een glasvezelmodule of direct-
attach-kabel. Verder heeft de Asustor
een dualcore- en de QNAP een quad-
core-processor. Met een direct-attach-
kabel (maximaal 2 meter lang) kan de
QNAP direct op een Gigabit-switch wor-
den aangesloten, zodat dan geen extra
investering nodig is voor de glasvezel-
infrastructuur (twee SFP+-modules en
een geschikte patchkabel).
Met ruimte voor vier schijven bij
de Asustor AS4004T en drie stuks bij
de QNAP TS-332X zijn beide apparaten
geschikt voor een RAID5-configuratie
met drie schijven. Die combineert uit-
valbescherming (redundantie voor één
schijf ) met een hogere capaciteit (2/3
netto capaciteit bij RAID5 versus ½ ca-
paciteit bij RAID1).
Bij beide apparaten kun je volgens de fabri-
kant de defecte schijven vervangen tijdens
het gebruik (hot-swap). Dat zouden we al-
leen aanraden bij de AS4004T, omdat die
van buitenaf toegankelijke trays heeft. De
TS332X kun je beter uitzetten omdat de
behuizing geopend moet worden.
Volgens opgaaf kunnen de NAS-
apparaten overweg met 14TB-schijven.
Met 3,5"-schijven leidt dat voor de
AS4004T tot maximaal 56 TB en voor de
TS-332X maximaal 42 TB opslagruimte.
De QNAP-NAS heeft daarnaast nog drie
interne slots voor M.2-SATA-ssd's, die als
cache of als extra snelle opslagruimte
kunnen dienen.
Bij de TS-332X kunnen in de 3,5"-
slots eventueel ook 2,5"-SATA-ssd's. Maar
daar wordt maar één geschikte adapter
voor meegeleverd. We hebben voor een
goede vergelijking wel getest met de-
zelfde drie ssd's (Samsung 850 Pro, 250
GB) als in de AS4004T, waar beide maten
goed in de trays passen. Maar voor nor-
maal gebruik moet je eigenlijk netjes
M.2-ssd's monteren. Bij de SMB-doorvoer
(Windows-netwerkmappen) zagen we bij
de benchmarks met onze testsoftware
(zie de link onderaan) overigens nauwe-
lijks een snelheidsverschil toen we drie
Samsung 860 Evo 250 GB M.2-sdd's in de
TS-332X stopten.
De basisuitrusting van 2 GB RAM
bij beide apparaten is voldoende voor
NAS-gebruik. Wil je er ook Docker op
draaien voor eigen serverdiensten, dan
is meer werkgeheugen zinvol. Uitbrei-
den kan alleen bij de TS-332X, waar je de
SO-DIMM kunt vervangen door een mo-
dule van maximaal 16 GB (DDR4-2400).
Bij het testen met een 8GB-module van
Kingston werkte de TS-332X probleem-
loos. Er is ook een versie met standaard
4 GB (332X-4G).
De TS-332X heeft mede dankzij de
quadcore-cpu meer reserves voor Doc-
ker dan de AS4004T met zijn dualcore.
Bij een test met OpenSSL was de integer-
performance van de cpu's vergelijkbaar:
64 MB/s AES-256-CBC-doorvoer met 1K-
blokken zonder hardwareversnelling op
een enkele core van de AS4004T versus
66 MB/s bij de TS-332X. Met hardwarever-
snelling was die waarde bij de TS-332X
34 c’t 2019, Nr. 3
Test | 10-Gigabit-NAS
Bij de Asustor AS4004T (links) kan een defecte schijf snel verwisseld worden tijdens gebruik door de makkelijk toegankelijke trays. De QNAP TS-332X moet je daarvoor openschroeven.
negen keer zo hoog (606 MB/s). De
waarde bij de AS4004T konden we niet
betrouwbaar meten, maar zal vergelijk-
baar zijn.
Beveiligde opslagBeide apparaten kunnen hele volu-
mes (TS-332X) of afzonderlijke mappen
(AS4004T) versleutelen. Daarmee zijn be-
langrijke documenten ook bij diefstal van
schijven of NAS beveiligd. Bij de TS-332X
leverde dat geen merkbare teruggang in
prestaties op.
De Asustor vertraagde echter dui-
delijk met versleuteling, vooral met
ssd's (241 versus 511 MB/s bij het lezen
van grote bestanden). Maar dat was
nog steeds het dubbele van wat er met
Gigabit-ethernet gehaald werd bij lezen
(115 MB/s). De 10GBase-T-aansluiting
heeft dus ongeacht de versleuteling
duidelijk nut.
Qua energieverbruik verschillen de
apparaten weinig. De QNAP is net iets
zuiniger dankzij een SFP+-slot in plaats
van een 10GBase-T-poort.
GeluidsoverlastDe behuizing van de AS4004T dempt vol-
gens onze metingen het geluid van de
harde schijven met een zeer goede 0,3
sone beter dan de QNAP, al komt die ook
tot een goede 0,5 sone. Daarmee zijn ze
beide geschikt voor op het bureau. Voor
een stille omgeving kun je er beter ssd's
instoppen, waarmee ze bijna onhoorbaar
worden.
Nu het we toch over geluid hebben: de
TS-332X laat met de fabrieksinstellingen
in allerlei situaties een Engelse of Chinese
computerstem horen. Gelukkig kun je die
vervelende en nogal nutteloze gimmick
uitzetten. Belangrijke meldingen komen
via e-mail of sms namelijk een stuk verder
dan de kamerdeur.
Zachte kantBeide apparaten zijn dankzij wizards
makkelijk via de browser in te stellen.
Bij QNAP herken je de ervaring met en
de focus op zakelijke klanten met opties
als het vormen van opslagpools en het
koppelen van uitbreidbare volumes. De
standaardsoftware laat al niets te wen-
sen over, beide apparaten bieden alle
benodigde serverfuncties voor kleine
netwerken.
De NAS-apparaten zijn uit te breiden
met apps van de fabrikant. Voor beide is
ook Docker beschikbaar, maar bij QNAP
in een iets oudere versie (17.09.1) dan
bij Asustor (18.03.1). Daarmee kun je bij-
voorbeeld je eigen cloudserver opzetten
met recente software, want de fabrikant-
versies lopen daar meestal wat bij achter.
Er is ondertussen op Docker Hub ook een
groter aanbod van images voor de hier
gebruikte ARM-cpu's.
Asustor biedt met MyArchive een
praktische optie voor veel thuisgebrui-
kers. Je kunt een of meer trays reser-
veren voor wisselbare schijven die niet
in de RAID worden opgenomen. Daarin
kun je dan naar wens andere schijven
plaatsen (gemonteerd in extra aan te
schaffen trays) voor allerlei doeleinden,
bijvoorbeeld om gearchiveerde data te
lezen of offline-back-ups te maken.
ConclusieDe Asustor AS4004T en de QNAP TS-332X
komen hun belofte na: ze bieden via de
extra snelle LAN-poort duidelijk hogere
doorvoersnelheden dan via het eveneens
aanwezige gewone Gigabit-ethernet.
De AS4004T is qua prijs gunstiger en
door de makkelijk toegankelijke trays kun
je schijven tijdens gebruik vervangen. De
duurdere TS-332X is met zijn betere cpu
en uitbreidbare RAM vooral interessant
als je eigen serverfuncties wilt aanbieden
via dockercontainers. (mdt) c
www.ct.nl/softlink/19030034
35c’t 2019, Nr. 3
Test | 10-Gigabit-NAS
10-Gigabit-NAS
Model AS4004T TS-332X-2G
Fabrikant Asustor, www.asustor.com QNAP, www.qnap.com
Knoppen / indicatorlampjes aan,reset, copy / 8+6 leds aan, reset, copy / 9+6 leds
Aansluitingen LAN / overig 3 × RJ45 (10GBase-T, 2 × Gigabit) / 2 × USB 3.0 SFP+, 2 × RJ45 (gigabit) / 3 × USB 3.0, 3,5mm-audio-out
Cpu / RAM van maximum Marvell Armada 7020 (dualcore, 1,6 GHz) / 2 van 2 GB
Annapurna Labs AL-324 (quadcore, 1,7 GHz) / 2 van 16 GB
Geteste firmware ADM 3.2.3RN51 QTS 4.3.5.0728
SMB-doorvoer lezen/schrij-ven RAID 5 onversleuteld
3 × harddisk: ST4000VN008
3 × ssd: 850 Pro 250 GB
3 × harddisk: ST4000VN008
3 × ssd: 850 Pro 250 GB
Kleine bestanden (256 kB) 29 / 14 MB/s 25 / 17 MB/s 60 / 19 MB/s 60 / 23 MB/s
Middelgr. bestanden (2 MB) 103 / 55 MB/s 101 / 109 MB/s 226 / 60 MB/s 241 / 143 MB/s
Grote bestanden (400 MB) 155 / 336 MB/s 218 / 511 MB/s 218 / 214 MB/s 470 / 610 MB/s
Geluidsniveau idle 0,3 sone 0,1 sone 0,5 sone <0,1 sone
Energieverbruik idle 23 watt (43 VA) 15 watt (30 VA) 21 watt (40 VA) 12 watt (27 VA)
Prijs (zonder schijven) € 338 € 399
De 10Gbit-LAN-poort van de QNAP TS-332X (boven) is uitgevoerd als SFP+-aan-sluiting. De Asustor AS4004T heeft een gewone RJ45-aansluiting voor 10GBase-T.
Back in actionGoPro Hero7 Black 4K-actioncam
Actie filmen vereist een krachtige
beeldstabilisatie en op dat punt
doet de nieuwe GoPro het bijzonder
goed. Met de livestreaming laat je je
vrienden meegenieten van je avon-
turen. Alle kleine verbeteringen aan
de Hero7 leveren samen een flinke
upgrade op.
Hannes A. Czerulla
Het is eigenlijk erg rustig gewor-
den op het gebied van de ac-
tioncams. De GoPRo Hero7 wil
het filmen van actiemomenten weer fun
maken. Net als bij zijn voorganger zijn er
drie versies: een White, Silver en Black.
Behalve een ander kleurtje, hebben ze
ook een andere uitrusting. We hebben
de Black getest, wat het topmodel is. Die
heeft een 12-megapixelsensor, kan 4K
vastleggen met 60 fps en foto's in JPEG
én in RAW maken. De sensorchip is van
Sony en is dezelfde als bij de voorgan-
ger, maar alles er omheen werd flink op
de schop genomen.
VideokwaliteitDe Hero-modellen van de afgelopen
jaren lagen net wat achter op de ap-
paraten van concurrent Sony. De reden
was vooral de bijzonder goede beeldsta-
bilisatie van de cams van Sony. En juist
op dat punt heeft GoPro bij de Hero7
flink uitgepakt. Op het gebied van kleur,
dynamiek en algemene beeldweergave
is er weinig veranderd, maar door de
beeldstabilisatie neemt de kwaliteit van
de opname wel duidelijk toe.
De fabrikant noemt dat zelf 'Hyper-
Smooth' en vergelijkt de stabilisatie met
die van een gimbal. Een optische beeld-
stabilisatie ontbreekt, hij doet zijn werk
net als veel camera's in smartphones met
softwarematige algoritmes. Het beeld
wordt daarbij een beetje bijgesneden.
Bij weinig beweging is de functie net
zo goed als bij echte hardware-gimbals.
Als je de camera tijdens een wandeling
vasthoudt, blijft het beeld vrijwel geheel
wiebelvrij.
Voor de test monteerden we de ca-
mera onder andere op een mountainbike
en gingen we aan de slag op afwisselend
terrein met flinke sprongen en strakke
bochten. Vooral vibraties en kleine be-
wegingen werden bijna geheel weg-
gepoetst. Grovere bewegingen werden
in ieder geval flink en duidelijk beter
weggemoffeld dan bij de voorganger.
Het houdt echter op bij heftige vibra-
ties en fanatieke bewegingen, dan trekt
de digitale stabilisatie vergeleken met
een hardware-gimbal het toch echt niet
meer.
De Hero7 heeft een lens met een
super breedbeeldhoek met een brand-
puntafstand van 17mm. Dat is extreem
breed en dus krijg je een vertekend
beeld met een fisheye-effect. Bij video's
die door actioncams zijn gemaakt is dat
inmiddels een stijlelement. Als je liever
geen beeldvervorming wilt, kun je met
behulp van professionele videobewer-
kingssoftware de beelden aanpassen. Bij
lagere resoluties kun je het gezichtsveld
omzetten naar lineair, de vertekening in
de hoeken neemt dan behoorlijk af.
De video's en foto's ogen wat warm
qua kleur en neigen wat naar het rood.
De kwaliteit is vergelijkbaar met die van
de middenklasse smartphones.
36 c’t 2019, Nr. 3
Speciaal voor foto's in het donker en
voor onderwerpen met veel dynamiek
heeft GoPro de functie SuperFoto. Met
die marketingterm wordt een licht op-
geleukte HDR-functie bedoeld. Bij een
verre van ideale belichting wordt de
content daadwerkelijk opgslagen met
een flink verbeterde dynamiek, en dat
met een sluitertijd die nog praktisch is.
Wel hebben de beelden dan duidelijk
last van ruis, waardoor ze wat minder
bruikbaar zijn.
BedieningDe behuizing van de Hero7 Black is ook
echt zwart en is voorzien van een rub-
berachtige laag. Die zorgt voor grip en
dempt eventuele kleine stoten. Het op-
pervlak is wel gevoelig voor krassen.
Zonder extra beschermingsmaatregelen
is de Hero7 tot 10 meter waterdicht. Na
een rondje door de modder crossen kun
je hem dan ook makkelijk onder de kraan
schoonboenen. Je krijgt alleen een plas-
tic case meegeleverd waar je de camera
inklikt. Die beschermt vooral de hoeken
en zijkanten, maar dekt daarbij wel de
usb-poort af. Dat zorgt ervoor dat je de
camera uit de case moet klikken om hem
op te laden.
De GoPro Hero7 heeft twee knop-
pen, eentje voor aan-uit en een voor het
starten en stopzetten van de opnames.
Ze zijn allebei goed te bedienen met
handschoenen aan. Het wordt iets meer
gedoe als je nog meer in wilt stellen.
Dat kan alleen via het maar 2 inch grote
touch screen. Voor die afmetingen is dat
nog aardig te bedienen omdat de vlak-
ken groot genoeg zijn en de scrolbewe-
gingen goed worden geregistreerd. De
interface reageert soms wel wat traag.
Video's en foto's kun je op de camera
zelf previewen. Met de slowmotion (240
fps) en verschillende timelapse-modi
kun je een creatief tintje toevoegen aan
de video's. Erg handig: bepaalde secties
kun je markeren, zodat je die momenten
later sneller terug kunt vinden.
De software op de camera draaide
niet helemaal stabiel. Een aantal keer
liep die bij het booten in de soep en
zagen we alleen de achtergrondverlich-
ting aanspringen. Ook bij het bekijken
van video liep de interface soms vast. We
kregen hem dan weer aan de praat door
de accu kort los te halen.
Er zit weer geen standaard statief-
draad op, maar een eigen houder op de
meegeleverde case. Inmiddels zijn voor
een paar euro uit China een heleboel
extra's te bestellen, zoals een strap voor
om je borst of hoofd, zuignappen, spe-
cifieke houders voor op je helm of fiets
en een universele houder.
AppVoor Android en iOS zijn er smartpho-
ne- en tablet-apps. De apparaten maken
verbinding via wifi. De app toont het
livebeeld en kan gebruikt worden als
remote. De eerder opgeslagen foto's en
video's stuur je zonder kabel naar je mo-
biele apparaat en daarna bijvoorbeeld
door naar socialemedia. Er zit een zeer
basic video-editor in de app.
De app laat je het videobeeld ook
livestreamen via Facebook en YouTube.
En je hebt de optie voor een RTMP-
stream (Real-Time Messaging Protocol),
die met een Flash-player of via YouTube
bekeken kan worden. Zonder een smart-
phone met wifi of mobiele data als brug
naar internet werkt livestreaming niet.
Met een volle accu konden we 46
minuten video's vastleggen in 4K met 60
fps. De compacte accu van 1220 mAh is
simpel te verwisselen. Extra accu's kos-
ten ongeveer 25 euro, voor zo'n 60 euro
krijg je een dubbellader inclusief extra
accu. Desnoods laad je de accu op in de
camera via USB-C.
ConclusieGoPro heeft zijn huiswerk gedaan en
heeft het zwakke punt van de beeld-
stabilisatie flink verbeterd. Met de 430
euro kostende Hero7 Black heeft GoPro
de concurrenten weer ingehaald en op
sommige punten zelfs overtroffen. Als je
een goede actioncam zoekt, is de Hero7
een prima keus. Ook als je een ouder
model hebt, is het de moeite waard om
te upgraden door de verbeterde beeld-
stabilisatie. Daar komt dan de fijnere in-
terface als pluspunt nog bij.
De Hero7 Silver en White zijn twee
wat meer betaalbare opties. De Silver is
100 euro goedkoper, de White is voor
220 euro verkrijgbaar. De verschillen zijn
dat ze allebei geen lcd aan de voorkant
hebben en een andere sensorchip van
10 megapixels. De Silver-versie kan op-
nemen in 4K, maar slechts met 30 fps.
De White legt acties alleen vast in full
hd met 60 fps. (avs) c
37c’t 2019, Nr. 3
Test | Actioncam
GoPro Hero7 Black
Actioncam
Fabrikant GoPro, www.gopro.com
Sensor / grootte Sony IMX277 / 1/2,3
Resolutie video / foto 4K (60 fps) / 12 MP (4000 x 3000)
Kijkhoek opname max. 170 graden
Audio stereo
Displayformaat / resolutie TFT 2 inch / 480 x 320 pixels
Waterdichtheid tot 10 m
Beeldstabilisatie digitaal
Aansluitingen USB type-C, micro-HDMI, 3,5 mm jack (via adapter)
GPS / Bluetooth / wifi v / v / v
Verwisselbaar geheugen MicroSDXC
Meegeleverd accu, case, kleefhouders, USB type-C-kabel
Accuduur 46 min
Afmetingen 6,2 cm x 4,4 cm x 3,3 cm
Gewicht 117 g
Prijs e 430
Om de Hero7 aan acces-soires te koppelen, moet je de camera eerst in de mee-geleverde case stoppen, die is voorzien van GoPro's eigen aansluiting.
Aardewerk printen
De Cerambot werkt door het vullen van een cartridge met klei.
De makers bieden meerdere formaten nozzles aan van 0,8 tot 2
mm. De bedoeling is om het printen van aardewerk betaalbaar te
maken en de printer is ook simpel in gebruik. Je kunt kiezen uit een
complete 3D-printer of een universele extruder-kit, die in combina-
tie met elke FDM 3D-printer is te gebruiken. Op die manier maak
je je huidige printer weer wat veelzijdiger. De complete Pro-versie
is nog fijner voor beginners, aangezien het aansturen al via een
controlepaneel kan worden gedaan. Bij de Air-versie moet er aan
een drukventiel worden gedraaid. Je hebt geen luchtcompressor
nodig. De Cerambot print 5 tot 50 m per seconde en is nauwkeurig
tot 0,1 mm. Je stuurt hem aan met opensource software als Cura,
Slic3r of RepetierHost. Je aardewerkcreatie mag maximaal 170 bij
285 mm groot zijn.
http://kck.st/2r3w3TM • vanaf 199 dollar
Good robot
De kleine, schattige robot Vector heeft slimme AI die 'net niet
te slim is'. De hardware is opgebouwd rondom het Qualcomm
200-platform. Hij reageert met een capacitieve sensor als je hem
aanraakt of oppakt. Hij kan geluidsbronnen pinpointen en natuur-
lijke spraak herkennen. Zijn zicht bestaat uit een HD-camera met
een beeld van 120 graden. Je kunt hem foto's van je laten maken,
en hij begroet je als hij je heeft herkend. Aan de onderkant zitten
valsensoren. Voor het inschatten van afstanden en het mappen
van de omgeving gebruikt hij een infrarood laserscanner met een
bereik van net iets minder dan een meter. Zijn gezicht wordt ge-
vormd door een high-res IPS-display, waardoor hij bijvoorbeeld
weersinformatie via subtiele animaties kan weergeven. Je kunt
hem met een app instellen, maar voor de rest heb je die app ver-
der niet nodig.
www.anki.com • vanaf 250 dollar
Touchscreen projector
Een draagbare projector is handig voor thuis of op kantoor, maar
het wordt nog leuker (en handiger) als het geprojecteerde beeld
ook direct een touchscreen is. Dat wordt mogelijk gemaakt via
de zowel horizontaal als verticaal te gebruiken Puppy cube. Het
rechthoekige kastje draait zelf op Android, dus je hebt niet per se
een extra apparaat nodig om beeld te laten weergeven. Via een
3,5mm-jack, USB 3.0-poort en HDMI 2.0-aansluiting of via AirPlay
of Miracast tover je het beeld van je eigen apparaat tevoorschijn.
Twee 5W-speakers zitten ingebouwd. Het touchscreendeel biedt
10-punts touch. Dankzij de lithiumionaccu moet het apparaat het
een ruime 2 uur volhouden. Het geprojecteerde beeld kan 23 inch
tot maximaal 100 inch groot zijn. De lamp in het apparaat houdt
het bij 4 uur gebruik per dag 10 jaar vol.
https://igg.me/at/puppycube • vanaf 799 dollar
38 c’t 2019, Nr. 3
Lifestyle
AR-pianospelen
iOS (gratis)
AR-apps bieden handige
mogelijkheden om je be-
paalde vaardigheden aan te leren door
de extra virtuele laag die ze kunnen toe-
voegen. Met Chroma - AR Piano Tutor
leer je via die extra AR-laag waarin je
toetsaanslagen ziet heel eenvoudig en
in je eigen tempo (trager en sneller kan)
een muziekstuk spelen. Er zijn meer dan
100.000 muziekstukken beschikbaar om
uit te kiezen, van klassiek tot rock. De
muzieknoten worden daarbij vertaald
naar de toetsaanslagen die je moet uit-
voeren.
Coding …
Android /iOS (gratis)
In een grotendeels connec-
ted wereld is programmeren
een goede vaardigheid om je eigen te
maken. Met Mimo leer je HTML, CSS,
Ruby en meer, zodat je apps, websites of
een game in elkaar kunt zetten of leert
wat je nodig hebt om te 'hacken'. Ook zit
er wat meer algemenere uitleg in, zoals
het gebruik van API's, de achtergrond
over games, algoritmes en internet en
big data. Elke dag staat er ook een chal-
lenge voor je klaar om op te lossen, met
uitdagende titels als 'Fix the Hyperloop'.
Quiztime
Android /iOS (gratis)
Multiple-choice-vragen klin-
ken niet echt uitdagend, ten-
zij je die verpakt in een leuke vorm, zoals
een quiz. Met Kahoot! Play & Create
Quizzes tover je in een hand omdraai
een quiz in elkaar inclusief foto's, vi-
deo's en gifs, die je daarna kunt delen
door de pincode door te geven. Met de
app kun je dus zowel een quiz maken en
hosten, maar ook eraan meedoen. In de
app zitten al wat leuke quizzes opgeno-
men. Leuk om op school het leren wat
leuker te maken, of als geinig tijdverdrijf
op feesten en partijen.
Android /iOS (gratis)
Als je graag buiten bent, zijn
allerlei apps om nieuwe rou-
tes te ontdekken erg fijn. Alltrails laat je
mooie routes in de buurt zien, of zoeken
op locatie voor de mooiste wandel-, fiets-
of hardlooproutes. Met een gratis account
houd je je favoriete routes bij, deel je ze
met vrienden en leg je ze vast. Je kunt ook
vrienden volgen voor meer inspiratie. In het
Pro-account van een paar euro per maand
zitten opties verstopt als het downloaden
van kaartinformatie, toegang tot meerdere
kaartlagen, realtime overlays en je eigen
kaarten maken en printen. Bij elke route
staat uitgebreide informatie, van lengte
en hoogteverschillen tot de moeilijkheids-
graad. Onderaan staan tags om snel te kun-
nen zien voor welke doeleinden de route
geschikt is: fietsen, wandelen, of vogels of
andere dieren van dichtbij bekijken. Ook
zie je zo snel of je hond aan de lijn moet
of niet, mocht dat nog in de omschrijving
ontbreken.
Leuk rondjes lopen
Leermoment
Android /iOS (gratis)
Het mooie aan het internet is
dat het een prachtig medium is
om kennis te delen. Via een aantal mooie
websites en diverse apps kun je in je eigen
tempo kennis over legio onderwerpen
opdoen. Khan Academy biedt een over-
zichtelijke app (en website) met cursussen
over uiteenlopende onderwerpen. Er zit
uitleg in met basiskennis over verschil-
lende wetenschappelijke onderwerpen
als astronomie en scheikunde en uitge-
breide economische onderwerpen, maar
ook uitstapjes naar de wereld van kunst en
cultuur en bijvoorbeeld zelfstandig onder-
nemerschap. Veel uitleg wordt voorzien
van videomateriaal, waarbij de gesproken
tekst in transcripties beschikbaar is om
die (op een later tijdstip) nog eens rustig
door te kunnen lezen. Al het materiaal is
geheel gratis beschikbaar en in behapbare
hoofdstukken ingedeeld. De app bevat ook
oefenvragen met instant feedback en hints.
Offline opslaan is ook handig, net als het
synchroniseren tussen de dekstop- en mo-
biele versie om thuis verder te gaan waar
je gebleven was.
Even een frisse neus halen? Alltrails toont alle routes om de hoek en verder weg, aangevuld gedetailleerde infor-matie en ervaringen van anderen.
Khan Academy biedt een flinke hoeveel-heid cursussen en uitleg over een grote verscheidenheid aan onderwerpen. Alle content is geheel gratis beschikbaar.
39c’t 2019, Nr. 3
Apps | Favoriete apps van de redactie
Feudal Alloy
Via gevechten en het ontdekken van items
verdien je ervaringspunten die je kunt
stoppen in meer slagkracht of betere be-
scherming. De omgeving zit vol met deu-
ren die je pas op een later moment kunt
openen als je het juiste gereedschap ge-
vonden hebt. Gelukkig is het kaartsysteem
prima, zodat je makkelijker kunt tracken
waar je ook alweer tegen die gesloten deur
aanliep. Er zitten ook veel verborgen gan-
genstelsels met leuke objecten in de game
verstopt. De makers adviseren om het spel
met een controller te spelen, en dat lijkt
gezien de soms heftige button-mash-actie
geen overbodige luxe. (avs)
zeer mooi getekende omgevingen
soms pittig, maar verslavend
Ook in bloed geschreven boodschappen op
de muren en diverse extra schrikmomenten
houden je adrenaline goed op peil.
Uiteraard krijg je een uitgebreid arse-
naal aan wapens tot je beschikking, van
dubbele pistolen, shotguns en geweren tot
granaatwerpers en een klinknagelgeweer.
Items oppakken en naar vijanden gooien
kan ook, van tonnen tot aan serviesgoed.
Een gericht schot op explosieve items is een
perfecte manier om snel meerdere vijanden
uit te schakelen. De game bevat ook een
multiplayermodus. Dat is een leuk extra-
tje, maar de singleplayer is het deel waar je
vele uren zoet mee zult zijn en die het meest
vermakelijk is.
Als je zo nu en dan nog een oude Quake
of Doom aanslingert, raak je toch een beetje
teleurgesteld. Dusk krijgt het voor elkaar
om ondanks de retrolook toch zeer modern
aan te voelen. De game laat goed zien dat
er geen state-of-the-art graphics nodig zijn
om je te vermaken. (avs)
soepele, snelle gameplay
goed verweven rode draad
(Attu Games, € 15)
Feudal Alloy is een actie-adventure die fo-
cust op ontdekken en met je zwaard fl ink
in de rondte slaan. Je bent een door een vis
in een kom aangestuurde robot. Of een die
door een hamster in een loopwiel wordt
aangedreven, voor ons ook iets nieuws.
De hoofdpersoon brengt zijn tijd door met
zorgen voor veteranenrobots. Daarvoor ver-
bouwt hij zonnebloemen om met de olie
de oude robots te onderhouden. Maar als
bandieten opeens alles plunderen, grijpt hij
een zwaard en helm en gaat op pad om ze
op te sporen.
De game is bij vlagen fl ink pittig, waar-
bij je je zwaardacties, uitwijkmanoeuvres en
bommen slim moet combineren om de bad-
guys tot een hoopje roestige metalen onder-
delen te reduceren. Verslagen vijanden kun
je omzetten in klinkende munt, waamee je
kunt shoppen voor tools en wapens.
(David Szymanski, vanaf € 17,
uitgever: New Blood Interactive)
In de jaren negentig al je vrije uren gevuld
met Quake, Doom en Blood? Dan ga je Dusk
erg waarderen, want die game haalt daar
zijn inspiratie uit. De shooter start met jou
hangend aan vleeshaken in een aftandse
schuur ergens in the middle of nowhere.
Met kettingzagen gewapende gasten met
zakken over hun hoofd en in witte gewaden
geklede cultleden zijn niets gezelligs met je
van plan, dus je wurmt je los en slaat er met
twee vleeshaken lustig op los.
De sfeer is lekker creepy en er vloeit ge-
noeg bloed om menig bloedbank vele jaren
van voorraad te voorzien. De snelheid van
de game ligt zeer hoog, en al vlot verplaats
je je bunnyhoppend langs de nare fi guren
en over obstakels naar plekken waar extra
objecten te scoren zijn.
Op diverse plekken is het behoorlijk
donker en dan moet je zo af en toe je zak-
lamp echt tevoorschijn halen. Ondanks dat
je weet dat het gaat gebeuren, was het tot
leven komen van een zombie-achtige vo-
gelverschrikker toch even +30 aan hartslag.
Dusk
40 c’t 2019, Nr. 3
Games | Shooter, online action-RPG
Om een beetje leuk creatieve
content te delen of je eigen
website of bedrijfje verder uit
te bouwen, heb je een pak-
kende naam nodig. Maar voor
allerlei webdiensten loop je er
vaak tegenaan dat de naam
die je zou willen hebben al
ingepikt is. Dat kan vervelend
zijn, aangezien je dan voor bepaalde be-
langrijke diensten een aangepaste naam
moet gebruiken, wat niet betrouwbaar
overkomt. Met een controle via namechk
controleer je of voor alle populaire diensten
jouw naam naar keuze nog beschikbaar is.
Naast de bekende diensten als Facebook,
Het leven van een bingewatcher kan best
zwaar zijn. Waar o waar is je favoriete serie
of film nou ook alweer te bekijken? Ge-
lukkig verschijnen er regelmatig handige
tools die je op je bank helpen en houden.
Justwatch is er zo eentje. Voer de film of
serie in die je wilt kijken en de dienst die
hem aanbiedt (of waar hij te koop is) plopt
als resultaat naar voren. Niet echt specifiek
een idee wat je wilt kijken? Vul wat filters in
Lekker zittenhttps://seatguru.com
Bij het boeken van een vliegreis is het
niet onverstandig om eens rond te kij-
ken via seatguru en informatie te zoe-
ken over het specifieke vliegtuig waar je
mee vliegt. Niet alleen zie je dan of je wel
een gunstige plek hebt gekozen: niet alle
plekken aan de zijkant van een vliegtuig
hebben ook automatisch een raam en
beenruimte is ook een belangrijk aspect.
Informatie over het in-flight entertain-
ment, het eten, hoe het zit met de stop-
contacten, bagage en eventuele huis-
dieren staat ook vermeld. De informatie
is leuk aangevuld met foto's en reviews
van reizigers, zodat je een nog beter idee
krijgt over waar je de komende uren in
opgesloten zit. Niet alleen handig voor
reizigers, ook vliegtuigfanaten kunnen
hun hart ophalen met de uitgebreide
informatie.
Weerstatshttps://weatherspark.com
Als je een reis plant, of een evenement,
is het handig om te weten hoe het weer
er op dat moment uit zal zien. Als je zo-
iets ver van tevoren moet regelen, zit je
wel met wat gokwerk opgescheept. Via
weatherspark zie je voor steden of vlieg-
velden de weerrapportages per uur, per
dag of per maand. Er is een mooi jaar-
overzicht om de (al dan niet) geleidelijke
overgangen tussen de seizoenen af te
lezen. Met de gemiddelde minimale en
maximale temperaturen kun je een rede-
lijk veilige termijn uitkiezen wanneer het
warm weer zal zijn, of juist tijd voor win-
tersporten. De informatie over de hoe-
veelheid wolken en eventuele neerslag
die daaruit komt vallen mag natuurlijk
ook niet ontbreken.
Kijk nou maarhttps://www.justwatch.com/nl
Internet | Websites
YouTube, Twitter en Instagram, neemt de
website ook sites als Trakt, Patreon, Band-
camp, Ask FM, Imgur, Houzz en zelfs eBay
mee in de controle. Je kunt je username
ook bij meerdere diensten vast laten leg-
gen, maar dat is nog een experimentele
optie en niet geschikt voor bedrijven.
zoals releasejaar, genre of een goede rating
en je avond wordt weer gevuld met vol-
doende kijkplezier. De website is ook echt
geschikt voor Nederlandse bankhangers,
want Videoland en Pathé duiken netjes
op in de resultaten. Ook handig: per serie
staat vermeld hoeveel seizoenen er te kij-
ken zijn. Het komt ergerlijk genoeg echter
nog wel eens voor dat er hier en daar wat
seizoenen ontbreken.
Ff checkenhttps://namechk.com
Het blijft erg lastig voor te stellen hoe ver be-
paalde planeten van ons af staan. De reisduur
er naartoe zegt wel iets, maar de snelheid in-
schatten voor een ruimtereis is heel wat an-
ders dan van Maastricht naar Leeuwarden.
De meest recent Marslander InSight werd
begin mei gelanceerd
en arriveerde eind no-
vember. Via distance-
tomars wordt de aarde
weergegeven in een
vast formaat pixels, en
de afstand tot Mars
(met een tussenstop bij
de maan) ook, net als
zijn grootte. Onderweg
tijdens het lange auto-
matisch scrollen tot je
Mars bereikt verschijnen
er links en rechts Mars-
feitjes in beeld.
Pixelafstand Marshttp://www.distancetomars.com
c’t 2019, Nr. 3 41
De optimale pcKoopadvies: vlotte cpu's, werkgeheugen en ssd's
c’t 2019, Nr. 342
Praktijk | De optimale pc: componentkeuze
Koopadvies: componentkeuze . . . . . . . . . . . . . . . . . . . . . . . . . 42
Bouwvoorstel allround-pc
met Core i5-9600K . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Bouwvoorstel allround-pc
met Ryzen 7 2000X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Bouwvoorstel gaming-pc
met Radeon RX 570 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Bouwvoorstel workstation-pc
met Ryzen Threadripper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Christof Windeck
Op de cpu-markt struikel je zowat
over de cpu-cores. Bij notebooks
en mini-pc's valt er uit vier tot
zes kernen te kiezen. Bij middenklasse pc-
platforms van AMD en Intel kom je uit op
acht stuks en op echte high-end moeder-
borden kun je zelfs 32 kernen kwijt. Ons
koopadvies verklaart hoeveel kernen voor
jouw eisen nodig (en zinvol) zijn.
Naast de keuze tussen AMD Ryzen en
Intel Core i is er nog de keuze tussen al-
lerlei grafische kaarten, werkgeheugen,
ssd's, harde schijven, moederborden en
voedingen.
Tot de kern komenHet is erg jammer dat veel populaire pro-
gramma's voor dagelijks gebruik slechts
een enkele cpu-core benutten. Dit geldt
bijvoorbeeld voor office-software als Libre-
Office Writer bij de nogal rekenintensieve
taak om een tekstbestand om te zetten
naar een pdf om te mailen.
Omdat veel programma's vrij beroerd
geprogrammeerd zijn, draaien ze op een
dikke cpu van 2000 euro niet vlotter dan
op eentje van 150 euro.
De ontwikkelaars zijn niet altijd de
aanwijsbare reden dat multicores geen
extra performance bieden: er zijn taken
die nauwelijks parallel af te handelen zijn.
Dat geldt zelfs voor een aantal typische
workstation-programma's zoals AutoCAD.
Die tool kan pas de berekening van be-
paalde objecten starten als de eerdere
taken zijn afgerond. Het hangt dus van
de software af hoeveel cpu-kernen nut-
tig zijn. Bekijk welke programma's je vaak
gebruikt en bij welke je een flinke reken-
performance nodig hebt.
Bij veel software worden duidelijke
systeemeisen vermeld. Zo zijn de meeste
spellen pas tevreden met een quadcore
of meer. In Windows zie je in Taakbeheer
hoe sterk de cpu wordt belast. Als een
quadcore zonder hyperthreading slechts
25 procent belasting laat zien, benut de
code slechts een enkele kern.
Mocht het zo zijn dat je niet precies
kunt achterhalen hoeveel kernen een be-
paald stuk software gebruikt, gebruik dan
vuistregels. Voor een nieuwe pc, die lekker
vlot moet zijn en meerdere jaren mee moet
gaan, is het verstandig minimaal een quad-
core met turbo te nemen.
De AMD Ryzen 3 2200G kost ongeveer
105 euro, Voor ongeveer 50 euro meer heb
je de Ryzen 5 2400G of de Core i3-8100. Die
laatste is Intels goedkoopste quadcore met
recente techniek.
Nog goedkoper is een optie, dan kom
je uit bij dualcores als de Athlon 200GE en
Pentium Gold G5000 en Celeron G4000.
Deze zijn echter alleen geschikt voor sim-
pele kantoor-pc's.
Let wel op, in een aantal mini-pc's
en zeer goedkope desktops zitten karige
Atom-Celerons zoals de CeleronJ/N4000 en
Pentium Silver J/N5000. Vanwege de lage
singlethread-performance voelen pc's met
deze cpu's traag aan. Ze zijn nuttig in pas-
sief gekoelde compacte apparaten waarbij
de performance er niet toe doet.
High-endWanneer je juist wilt gaan voor flinke per-
formance, komen hexacores om de hoek
kijken. De AMD Ryzen 5 2000X-serie of Intel
Core i5-8000/9000 zijn verkrijgbaar vanaf
zo'n 220 euro.
De verschillen tussen de AMD- en
Intel-chips zijn in de dagelijkse praktijk
niet merkbaar groot. Intel heeft als voor-
deel dat de singlethread-performance
wat hoger ligt. Dit merk je ook in gaming-
benchmarks, maar in de praktijk heeft een
grafische kaart meer invloed op die per-
formance.
Het grootste voordeel van Intels Core
i-reeks is bij programma's die AVX-code ge-
bruiken, maar dat aantal wordt rap kleiner.
Octacores zijn alleen nuttig als je vaak
zeer rekenintensieve taken uitvoert, bij-
voorbeeld video-editing, audiobewerking
met veel audiosporen of 3D-rendering.
De Ryzen 7 2600X en Core i7-9000 heb-
ben dankzij een flinke turbo ook vaak de
hoogste singlethread-performance.
Maar het verschil met veel goedkopere
chips is slechts 20 procent en dat is niet
opvallend veel. Belangrijker zijn de extra
kernen, mits de software ze nuttig kan in-
zetten.
De duurste high-end desktopplatforms
(HEDT) zijn TR4 voor AMD's Threadripper
en LGA2066 voor de Intel Core X. Dit is
slechts voor een zeer beperkte groep nut-
tig om aan te schaffen. Je hebt hier tot 32
kernen, 64 threads en 128 GB geheugen als
optie, maar veel software raakt daar van in
de war en als je pech hebt gaat je perfor-
mance juist omlaag en niet omhoog. En je
De flinke AMD Ryzen Threadripper heeft 32 kernen. De Intel Core
i9-9980XE 18 stuks. De beide middenklasse-
platforms AM4 (Ryzen) en LGA1151v2 (Core i)
bieden elk acht kernen.
Hoeveel cpu-cores wil je hebben? De concurrentie tussen AMD en Intel is
voor de consument handig: het levert een pc-bouwer lekker veel keuze op.
Voor een complete pc moet daar ook nog een matchende grafische kaart,
vlotte ssd en een stabiel moederbord bij.
43c’t 2019, Nr. 3
Praktijk | De optimale pc: componentkeuze
Allround-pc met AMD Ryzen 5 2600
AMD levert meer cores voor je geld: 12
threads voor zo'n 170 euro is eigenlijk
vooral aanlokkelijk voor toepassingen
zoals video-editing en 3D-rendering,
maar deze pc is ook makkelijk in een
gaming-pc om te toveren.
stil, snel, uitbreidbaar
meer kernen voor je geld
idle-verbruik 29 watt
Workstation met AMD Ryzen Threadripper
Krachtpatser met 32 threads, tot 128
GB geheugen en ruimte voor meerde-
re grafische kaarten of rekenversnel-
lers. Dankzij waterkoeling kan hij vol
gas geven, idle is hij lekker stil. Wel is
het prijskaartje pittig.
zeer hoge performance
uitbreidbaar, opt. ECC-RAM
prijzig en energieslurpend
Allround-pc met Core i5-9600K
Snel, flexibel en zuinig, en nu als het
goed is zelfs zonder die Meltdown-
ellende. Intels meest recente hexa-
core kan de meeste pc-taken mak-
kelijk aan. Tegen een fikse meerprijs
krijg je acht kernen.
stil, snel, uitbreidbaar
idle uinig
prijzige cpu
moet instellingen aanpassen om te zorgen
dat het goed werkt. Deze dure keuze komt
ook met flinke eisen qua koeling (lastig om
stille koeling te vinden), flinke voedingen
en de boottijd neemt toe. Zet de voor- en
nadelen dus goed naast elkaar.
Spectre & MeltdownDe vele veiligheidslekken die onder de
namen Spectre, Spectre-NG en Meltdown
bekend zijn geworden, zijn nog lang niet
uitgeroeid. AMD en Intel hebben wel in de
meest recente processorseries (Ryzen 2000
en Core i-9000) beschermende functies
ingebouwd, maar medio recent kwamen
er weer nieuwe problemen boven water.
Deze worden vooral opgelost via updates
voor de huidige besturingssystemen, ofte-
wel Windows en Linux.
Anders gezegd: een processor in huis
halen die compleet veilig is gaat niet luk-
ken. Dat is voor typische desktops en note-
books ook geen groot drama. De Spectre-
gaten zijn alleen met erg veel gedoe te
misbruiken door malware, in de praktijk is
die malware nog niet opgedoken.
En vooral bij Windows-pc's zijn er nog
vele andere zwakke punten te vinden die
veel makkelijker misbruikt kunnen worden.
Spectre en Meltdown leveren vooral pro-
blemen op bij servers in cloud-datacentra.
Toch valt AMD en Intel wel aan te re-
kenen dat ze traag reageren en met frisse
Pc-bouwvoorstellen: performance onder Windows 10
Pc / uitvoering Benchmarks Metingen
Cinebench R15
singlethreadingCinebench R15
multithreadingSysmark 2018 3DMark
FirestrikeFarCry 5 Ultra, UHD / FHD [fps]
Shadow of the Tomb Raidermax, UHD / FHD [fps]
Geluids productie
idle / belast [sone]Energieverbruik
idle / belast [W]
beter > beter > beter > beter > beter > beter > < beter < beter
Allrounder met Intel Core i5-9600K
Basisconfiguratie
+ GeForce GTX 1060
+ GeForce RTX 2070
Allrounder met AMD Ryzen 5 2600
Basisconfiguratie
+ GeForce GTX 1060
+ GeForce RTX 2070
Budget-gaming-pc met Core i3-8100
Basisconfiguratie
Threadripper-workstation
Basisconfiguratie
+ GeForce RTX 2070
en 5 2600
3-8100
198
198
198
161
161
161
153
174
174
1046
1046
1046
1244
1244
1244
589
3148
3148
1836
1836
1836
1446
1446
1446
1401
1641
1641
1299
10583
17879
1690
11663
17726
9908
1649
20206
–/–
25/70
49/110
–/–
25/71
49/87
23/64
–/–
49/80
–/–
17/52
35/96
–/–
18/55
36/91
17/49
–/–
37/94
<0,1/<0,1
<0,1/0,4
<0,1/0,8
<0,1/0,1
<0,1/0,4
<0,1/0,8
<0,1/1,9
<0,1/2,3
0,1/2,3
18/115
25/254
24/356
29/143
35/267
35/363
22/249
53/318
60/524
44 c’t 2019, Nr. 3
Praktijk | De optimale pc: componentkeuze
Budget-gaming-pc met AMD Radeon RX 570
Alleen voor games, en misschien
wat huiswerk. Bij de budget-gaming-
pc gaan we meer voor grafische po-
wer dan cpu-power, zodat games in
Full-HD vlot draaien. Als de grafische
kaart het rustig heeft, blijft hij stil.
betaalbaar
stiller dan een kant-en-klare pc
niet veel variatie mogelijk
tegenzin informatie verstrekken. Nieuwe
pc's en moederborden hebben meestal
actieve beschermende maatregelen in het
BIOS (microcode-updates) en besturings-
systeem zitten, maar oudere systemen blij-
ven onbeschermd.
GraphicsDe in cpu's ingebouwde grafische chips
zijn krachtig en kosten niet veel. Als je het
juiste moederbord kiest kun je daar een of
Basisvarianten: technische gegevens en meetresultaten
Type Allrounder met Intel Core i5-9600K Allrounder met AMD Ryzen 5 2600 Budget-gaming-pc Threadripper-workstation
Afmetingen (b × h × d) 22,3 cm × 46,9 cm × 50,7 cm 22,3 cm × 46,9 cm × 50,7 cm 23 cm × 39,6 cm × 38,3 cm 23,3 cm x 46,4 cm x 54,5 cm
Uitbreidingsslots (vrij) 2 × PCIe x1 (2), 2 × PEG (2), 1 × M.2-22110 (1), 1 × M.2-2280 (1)
2 × PCIe x1 (2), 3 × PEG (2), 1 × M.2-22110 (1), 1 × M-2-2280
2 × PCIe x1 (1), 1 × PEG (0), 1 × M.2-22110
2 x PCIe x1 (1), 4 x PEG (3), 1 x M.2-22110 (0), 2 x M.2-2280
Drivebays 2 × 2,5"(1), 3 × 2,5/3,5" (3), 2 × 5,25" (2)
2 × 2,5" (2), 3 × 2,5/3,5" (2), 2 × 5,25" (2)
2 × 2,5" (1), 1 × 3,5" (1) 2 x 2,5" (2), 4 x 3,5" (4), 1 x 5,25" (1)
Aansluitingen achter 1 × HDMI 1.4, 1 × DisplayPort 1.2, 5 × analoge audio, 1 × S/PDIF Out optisch, 1 × USB 3.1 type A, 1 × USB 3.1 type C, 4 × USB 3.0, 1 × LAN, 2 × PS/2, 2 × wifi-antenne
1 × HDMI 2.0, 1 × DisplayPort 1.4, 5 × analoge audio, 1 × S/PDIF Out optisch, 1 × USB 3.1 type A, 1 × USB 3.1 type C, 4 × USB 3.0, 4 × USB 2.0, 1 × LAN
1 × HDMI 2.0, 1 × DVI, 3 × DisplayPort 1.2, 3 × analoge audio, 4 × USB 3.1 type A, 2 × USB 2.0
1 × HDMI 2.0, 1 × DisplayPort 1.4, 5 × analoge audio, 1 × S/PDIF Out optisch, 1 × USB 3.1 type A, 1 × USB 3.1 type C, 8 × USB 3.0, 2 × USB 2.0, 1 × LAN, 1 × PS/2
Aansluitingen voor 2 × USB 3.0, 2 × analoge audio, 2 × USB 3.0, 2 × analoge audio, 2 × USB 3.0, 2 × analoge audio, 2 x USB 3.0, 2 x USB 2.0, 2 x analoge audio, 1 x USB 3.1 type C
Energieverbruik en functietests
Soft-off (met ErP) / energie besparen / idle
2,4 W (0,5 W) / 3,0 W / 18 W 1,4 (0,2 W) / 1,8 / 29 W 1,1 W (0,3 W) / 1,5 W / 22 W 1,8 W (0,3) / 5,5 W / 53 W
Belast: CPU / CPU en graphics 115 W / 115 W 122 W / 143 W 94 / 250 W 299 W / 318 W
Bootduur tot inlogscherm 16 s 16 s 18 s 39 s
Prijs zonder / met Windows 10 Home e 940 / e 1055 e 855 / e 970 e 685 / e 800 e 2250 / e 2365
twee grote monitoren met 4K-resolutie op
aansluiten en met een ergonomische 60 Hz
mee werken.
Wel heb je daar een DisplayPort 1.2- of
HDMI 2.0-poort voor nodig op je moeder-
bord. De Integrated Graphics Processors
(IGP's) in de huidige cpu's van AMD en Intel
bevatten bijna alle functies die je ook bij
moderne grafische kaarten ziet.
Denk aan hardwarematige decoding
en encoding voor videoformaten als H.264,
H.265 en VP9 (YouTube), HDR en de kopi-
eerbescherming HDCP 2.2, in elk geval bij
het kleine aantal moederborden met HDMI
2.0.
Ingebouwde graphics zijn bijna altijd
rap genoeg voor het bewerken van foto's
in Photoshop en Lightroom en het bewer-
ken van video, alhoewel AMD en Nvidia
je daar graag een van hun losse grafische
kaarten voor willen aansmeren.
Als je goed oplet, merk je dat losse
grafische kaarten maar weinig versnelling
bieden. Onze tip: probeer het eerst eens
met de IGP, dan kun je later altijd nog een
losse kaart halen.
Naast het gebruik in workstations
(AMD Radeon Pro en Nvidia Quatro) zijn
grafische kaarten vooral noodzakelijk voor
gamers. Een full-hd-monitor haal je al voor
minder dan 100 euro in huis. Dit is ook de
minimale resolutie die een grafische kaart
soepel moet aankunnen.
In theorie kun je wat mindere 3D-
performance opvangen met een monitor
met een variabele refreshrate zoals Nvidia's
G-sync en AMD's FreeSync. Maar de moni-
tor wordt dan al snel een stuk duurder. Als
je het nog niet zo goed weet, kun je het
geld beter in een krachtige grafische kaart
steken. De cryptomining-boom is over, dus
de prijzen van grafische kaarten zijn weer
'normaal' geworden.
Vanaf 160 euro haal je een AMD Ra-
deon RX 570 of Nvidia GeForce 1050 Ti met
4 GB GDDR5-geheugen in huis. De kaart
van AMD verbruikt meer, maar is toch in-
teressant vanwege een merkbaar betere
performance, die zorgt dat je hier en daar
een spel in WQHD (2560 × 1440) nog prima
kunt spelen.
Als je enkele tientjes wilt besparen,
kun je kijken naar een GeForce GTX 1050
met 3 GB geheugen of een langzamere Ra-
deon RX 560D, een variant van de RX 560
met minder ingeschakelde shaders. Dit
soort kaarten hebben het in full-hd af en
toe lastig, de anti-aliasing moet in elk geval
omlaag worden geschroefd.
Grafische kaarten die nog goedkoper
zijn, zijn eigenlijk alleen maar geschikt
om oudere pc's moderne aansluitingen te
geven voor nieuwe displays met een hoge
resolutie of voor videodecoding.
Let wel op, bij Nvidia-kaarten heb je
voor het decoden van HDR-video's mini-
maal een GeForce uit de 1000-serie nodig
met 3 GB geheugen of meer. Video's en
games met HDR afspelen is op zichzelf al
een lastige klus.
De prijzen van grafische kaarten schie-
ten ruim over de 1000 euro, vooral de nieu-
we Nvidia RTX 2000-reeks. Voor het eerst
zie je hier versnelling voor raytracing inge-
bouwd. Deze optie zie je slechts bij weinig
games terug. Battlefield V biedt het al wel,
45c’t 2019, Nr. 3
Praktijk | De optimale pc: componentkeuze
maar je frames per seconde hebben er flink
onder te lijden.
In uitgave 1/2, 2019 (p. 90) gaan we
verder in op het kiezen van de juiste gra-
fische kaart voor kantoor-pc's en work-
stations. In die uitgave (p. 93) bespreken
we ook het gebruik van grafische kaarten
onder Linux.
GeheugenDe afgelopen maanden zijn geheugen-
reepjes iets goedkoper geworden. 8GB in
de vorm van twee DDR4-2666-DIMM's van
4GB begint bij een prijs van zo'n 80 euro.
Deze hoeveelheid raden we aan als basis-
hoeveelheid.
Als je net wat euro's tekort komt, kun je
het bij een enkele 4GB-module houden en
er later altijd nog eentje bij prikken. Mocht
je er dan nog een 8GB module bij stoppen
om er 12 GB totaal van te maken: moderne
geheugencontrollers zijn erg flexibel en de
eerste 8GB wordt in dual-channel-modus
aangestuurd.
Bij gebruik voor het spelen van games
is 16 GB het minimum. Meer dan dat is al-
leen nuttig als je werkt met software die
erg veel geheugen gebruikt. En als je geen
idee hebt hoeveel je nodig hebt, is later
upgraden ook een optie, dat is zo gepiept.
Onder Windows 10 zie je via Taakbe-
heer onder de tab Prestaties of de hoeveel-
heid geheugen die je nu hebt voldoende is
of dat het geheugen vaak tegen de gren-
zen aan loopt en upgraden verstandig is.
Als je van plan bent te gaan voor
een HEDT-platform, kun je aardig losgaan
qua geheugen. Deze cpu's hebben vier
geheugen kanalen die parallel zeer hoge
transferrates halen.
Om te zorgen dat dit ook echt werkt,
moet je er vier identieke DIMM's in stop-
pen, het tweede geheugenslot voor elk
kanaal houd je dan beschikbaar voor een
upgrade. Met 32 GB in de vorm van 4 stuks
8GB-modules maak je een voorzichtig
begin met een prijskaartje van tegen de
300 euro..
DDR4-2666-modules zijn gangbaar
en ook zonder allerlei bonte koelplaatjes
te krijgen. Deze koelplaatjes bieden wei-
nig tot geen voordeel, behalve dan dat
BouwinformatieOp www.ct.nl/pc-bouwen-2019 vind
je de lijsten met onderdelen, BIOS-
instellingen en meer. Daar kun je ook
eigen suggesties en tips kwijt.
het leuk staat. We raden je af om dat soort
overclocking-DIMM's te kopen, omdat het
minimale snelheidsvoordeel de moeite
niet waard is. Of geheugen nu op 1,33 GHz
of 1,47 GHz draait (DDR4-2933 in plaats van
DDR4-2666): daar merk je erg weinig van.
Geheugen vanaf DDR4-2933 is niet
'kaal' oftewel zonder koelplaatjes te krij-
gen. AMD biedt bij de Ryzen 2000 wel deze
snelheid, naar dan alleen bij een enkele sin-
gle rank-DIMM (SR) per kanaal. Bij 8 GB per
kanaal houdt het op.
Het hangt van je moederbord en ook
je handigheid af of je geheugen met hoge
snelheden stabiel aan de praat krijgt.
Hou er ook goed rekening mee dat de
compatibiliteitslijsten alleen maar iets zeg-
gen over dat het geheugen werkt, niet dat
het gegarandeerd werkt op de maximale
snelheid.
Pc-platforms kunnen alleen overweg
met ongebufferde DIMM's (UDIMM's). Re-
gistered DIMM's (RDIMM's) werken dus
niet. De AMD Athlon, Ryzen en Intel Core
i5 en Core i7 kunnen niet overweg met de
geheugenfoutcorrectie
Error Correction Code (ECC), die bij
servers en workstations gangbaar is. ECC-
DIMM's zijn alleen nuttig bij systemen die
daar specifiek voor zijn bedoeld: de Xeon-
reeks van Intel en de Ryzen Threadripper
kunnen met ECC-RAM overweg.
Welke ssdDe ssd-techniek is volwassen. Flashopslag
van de merken Samsung, Crucial en WD/
Sandisk doet zonder issues zijn werk. Door
flinke concurrentie zijn de prijzen aardig
gezakt en is er eigenlijk geen reden meer
om niet voor een ssd te gaan.
Een flinke SATA-ssd met 500 GB is te
krijgen vanaf 75 euro. Voor 1 TB ben je
150 euro kwijt. Bij de zeer goedkope mo-
dellen moet je wel genoegen nemen met
wat minder op het gebied van garantie en
heb je geen software-tools voor handige
firmware-updates of veilig je disk wissen
met Secure Erase.
SATA-ssd's zijn ook verkrijgbaar in
het compacte M.2-formaat, dat je zonder
kabel direct op het M.2-slot van je moe-
derbord prikt en met een schroefje vastzet.
Het meest populaire formaat is M.2 2280.
Veel moederborden bieden ruimte voor
M.2-ssd's van verschillende formaten. Iets
duurder en veel sneller dan M.2-SATA is de
variant met PCIe-controller, die het NVMe-
protocol gebruikt.
Bij standaardtaken is het verschil
meestal niet merkbaar. Bij video-editing is
46 c’t 2019, Nr. 3
Praktijk | De optimale pc: componentkeuze
Processor Cores/threads Socket Prijs TDP/gemeten Cinebench R15
singlethreading alle threads
beter > beter >
Ryzen Threadripper 2950WX 32 / 64 TR4 e 1800 250 / 477 W
Core i9-7980XE 18 / 36 LGA2066 e 2000 165 / 249 W
Ryzen Threadripper 2950X 16 / 32 TR4 e 900 180 / 307 W
Ryzen Threadripper 1950X 16 / 32 TR4 e 650 180 / 272 W
Core i9-9900K 8 / 16 LGA1151v2 e 600 95 / 146 W
Ryzen 7 2700X 8 / 16 AM4 e 350 105 / 183 W
Ryzen 7 1800X 8 / 16 AM4 e 250 95 / 178 W
Core i7-8700K 6 / 12 LGA1151v2 e 450 95 / 142 W
Ryzen 5 2600 6 / 12 AM4 e 170 95 / 130 W
Core i9-8950HK 6 / 12 – (BGA) – 45 W / g. o
Core i5-9600K 6 / 6 LGA1151v2 e 310 95 / 111 W
Core i5-8400 6 / 6 LGA1151v2 e 220 65 / 104 W
Ryzen 5 2400G 4 / 8 AM4 e 150 65 / 100 W
Core i3-8100 4 / 4 LGA1151v2 e 135 65 / 84 W
Ryzen 3 2200G 4 / 4 AM4 e 100 65 / 103 W
Ryzen 3 1300X 4 / 4 AM4 e 110 65 / 108 W
Core i7-8550U 4 / 8 – (BGA) – 15 W / g.o.
Pentium Gold G5400 2 / 4 LGA1151V2 e 80 51 / 43 W
Athlon 200GE 2 / 4 AM4 e 55 35 / 45 W
Celeron G4900 2 / 2 LGA115v2 e 50 51 / 42 W
Pentium Silver N5000 4 / 4 – (BGA) – 10 W / g.o.
Celeron N4100 4 / 4 – (BGA) – 10 W / g.o.
BGA = Ball Grid Array om te solderen; prijzen voor BGA-processors zijn niet nuttig, ze zijn alleen gesoldeerd te koop
Processorperformance vergeleken
172
184
175
167
207
179
163
199
162
190
196
173
152
154
147
149
164
155
128
124
81
70
5267
3249
3192
3044
2029
1792
1627
1393
1244
1126
1046
960
801
583
561
559
487
388
356
241
221
178
Desktop-pc-platforms van AMD en Intel
RAM blijft aardig aan de prijs: bij geheu-gen met koelplaatjes (boven) moet je goed opletten.
Processor Codename Cpu-kernen IGP Socket Chipset RAM-kanalen/max. RAM PCIe-3.0-lanes cpu/chipset
AMD Ryzen Threadripper – 8 – 32 – TR4 X399 4 / 128 GB 1 60 / – (alleen 2.0)
AMD Ryzen 3/5/7 2000X Pinnacle Ridge 4,6,8 – AM4 X470, X370, B450, B350, A320 2 / 64 GB 20 / – (alleen 2.0)
AMD Ryzen 3/5/7 1000X Summit Ridge 4,6,8 – AM4 idem aan Pinnacle Ridge 2 / 64 GB 20 / – (alleen 2.0)
AMD Ryzen 3/5 2000G Raven Ridge 4 v AM4 idem aan Pinnacle Ridge 2 / 64 GB 12 / – (alleen 2.0)
Intel Core i9-9000X Skylake-X 6 – 18 – LGA2066 X299 4 / 128 GB 44 / 8–203
Intel Core i3/i5/i7-9000 Coffee Lake Refresh 4,6,8 v LGA1151v2 Serie 300 (Z390, Z370, H370, B360 etc.) 2 / 64 GB 2 16 / 8–203
Intel Core i3/i5/i7-8000 Coffee Lake 4/6 v LGA1151v2 idem aan Coffee Lake Refresh 2 / 64 GB 16 / 8–20 3
1 ECC-RAM mogelijk (bij Intel alleen bij Xeons en Xeon-chipsets) 2 later dit jaar naar verwachting128 GB via 4 × 32 GB UDIMM 3 bij Intel-chipsets met PCIe 3.0 is de transferrate richting cpu max. 3,8 GB/s ( PCIe 3.0 x4);
PCIe-lanes bij AMD-cipsets slechts PCIe 2.0 IGP = Integrated Processor Graphics, ingebouwde GPU v aanwezig – niet aanwezig
de hogere snelheid wel nuttig, bij gaming
weer niet.
Ssd's met 2 TB opslag kosten iets meer
dan 300 euro. Als pure data-opslag kan een
extra harde schijf nog wel het overwegen
waard zijn. Een zuinige stille versie van
5400 rpm bijvoorbeeld, of een snellere en
iets minder zuinige versie met 7200 rpm.
Voor een snellere 7200rpm-disk is het
wel slim om hem in een frame te stop-
pen dat trillingen dempt. Of je besluit om
over te gaan op de aanschaf van een NAS
met een flinke hoeveelheid opslag, zodat
je weer wat jaar ongestoord vooruit kunt
met je verzamelwoede.
Dvd-branders en blu-ray-drives wor-
den steeds minder ingebouwd en we
geven daar geen koopadvies meer voor.
Als je er toch eentje wilt halen, ga dan voor
een externe (usb-)drive die je zowel aan je
pc als notebook kunt gebruiken.
Ook bij SD-kaartlezers is een exter-
ne aan te raden, bijvoorbeeld de snelle
Kingston Mobile Lite G4 UHS-I-reader voor
USB 3.0 van een tientje.
Voor een paar euro meer is er de Hama
124024 die UHS-II aankan met meer dan
250 MB/s.
Voeding en behuizingVeel pc's brengen de meeste tijd rustig in
idle door. Een laag energieverbruik in idle
zorgt voor wat lagere kosten, maar het gaat
slechts om zeer kleine bedragen per jaar.
Maar alle kleine beetjes helpen. Bij belas-
ting zorgen efficiënte onderdelen voor stil-
lere koeling.
Voor zuinig zijn in idle heb je een
voeding nodig die al bij 10 watt goed zijn
werk kan doen. Voor onze bouwvoorstel-
len geven we ook BIOS-instellingen voor
de beste energiezuinigheid.
Bij de combinatie van voeding en
moederbord letten we er op dat de on-
derdelen geen storende bijgeluiden geven
(piepen, fluiten). We kiezen liever voor een
wat minder ruim bemeten voeding, want
te ruim betekent onbenut en een hoger
prijskaartje. We testen de systemen ook
grondig met de krachtigste aangeraden
grafische kaarten.
Als je een ander moederbord of an-
dere voeding kiest kunnen de metingen
er dus ineens heel anders uitzien.
Onze bouwvoorstellen zijn uiteraard
ook in andere behuizingen in te bouwen.
We letten bij de selectie daarvan op een
niet te hoge prijs, goede leverbaarheid,
niet te lomp en fijn om mee te werken.
Veel modellen hebben inmiddels een
plek onderin voor de voeding (dan vaak
met een frame en/of demping), met bo-
venin eventueel montagemogelijkheden
voor extra koeling.
Gewoon beterMicrosoft houdt over ongeveer een jaar
op met het ondersteunen van Windows 7.
Windows 10 biedt een beter driveraanbod
voor recente hardware.
Onze bouwvoorstellen draaien ook
prima onder Linux, met Intel-IGP gaat dat
probleemloos. Ook bij wifi-adapters onder
Linux zijn chips van Intel aan te raden.
Zowel Windows als Linux kun je het beste
in de UEFI-modus installeren. De klassieke
BIOS-modus zal ergens de komende jaren
gaan verdwijnen.
Als je onze bouwvoorstellen naar
eigen smaak wilt gaat aanpassen, hou het
dan wel simpel (KISS: Keep It Simple, Stu-
pid). Wij kiezen dus als het even kan voor
luchtkoeling in plaats van waterkoeling,
laten de optische drives weg en gaan liever
voor DDR4-2666 in plaats van DDR4-2933.
In de BIOS-set-up passen we alleen het
broodnodige aan. Als je na drie jaar ergens
tegenaan loopt, heb je anders geen flauw
benul meer van hoe je alles helemaal tot
in de puntjes hebt ingesteld.
De vier bouwvoorstellen op de ko-
mende pagina's laten zien hoe je populaire
onderdelen kunt combineren om aan al-
lerlei verschillende eisen te voldoen. (avs)
Literatuur
[1] Christian Hirsch, CPU-wegwijzer, We vergelijken
de actuele generaties processor, van zuinige
dualcores tot krachtige octacores,
c’t 7-8/2018, p.84
www.ct.nl/pc-bouwen-2019
47c’t 2019, Nr. 3
Praktijk | De optimale pc: componentkeuze
Ons bouwvoorstel met een Intel
Core i5-9600K als basis verdient de
betiteling allrounder als geen ander.
In de basisconfiguratie is hij al snel
genoeg om praktisch alle taken ef-
ficiënt en fluisterstil af te handelen.
Met een geschikte grafische kaart
wordt hij bovendien een serieuze
game-pc die je ook nog kunt over-
klokken.
Carsten Spille
Zelden hebben we eerder een bouw-
voorstel voor een pc gehad die zo
veelzijdig is als de Intel-allrounder
van dit jaar. Hij heeft niet alleen goede
eigenschappen zoals dat hij superstil is,
krachtige prestaties biedt en een zuinig
en vooral efficiënt verbruik heeft. Een be-
langrijke factor is ook dat hij voldoende
mogelijkheden biedt om verder uit te
breiden. Dankzij de snelle hexacore-cpu,
een vlotte ssd van 500 GB en 16 GB DDR4-
geheugen, is het Intel-voorstel van 2019 al
in de basisconfiguratie een apparaat dat
de wensen van de meeste gebruikers zal
vervullen. Hoewel Intel-cpu's momenteel
iets duurder zijn dan normaal vanwege le-
veringsproblemen, kost hij dankzij de lage
prijs van flashopslag ongeveer even veel
als het voorstel van 2018.
Ook Linux-adepten kunnen met een
gerust hart voor ons voorstel gaan: Ubuntu
18.10 draaide zonder enig probleem met
ondersteuning van alle componenten in-
clusief wifi. Als je nog iets mist, kun je de pc
zeer eenvoudig uitbreiden. Met een losse
3D-grafische kaart maak je van dit voorstel
een razendsnelle game-pc. We hebben
twee kaarten geselecteerd en met ons
bouwvoorstel getest. Ook is het mogelijk
een snellere cpu in te bouwen. Als je het
aandurft, kun je de i5-9600K-cpu dankzij
de vrije multiplier voor de kloksnelheid
redelijk eenvoudig overklokken. Als alter-
natief kun je ook een processor met acht
cores in het LGA1151v2-platform plaatsen,
naar keuze met hyperthreading.
K maakt het verschilDe Intel Core i5-9600K vormt het hart van
ons voorstel. Deze processor wordt wel-
iswaar niet met een ventilator geleverd,
maar er zit wel drie jaar garantie op. Als
je garantie minder interessant vindt, kun
je ook de tray-versie aanschaffen die iets
goedkoper is. De 9600K is momenteel
de goedkoopste telg uit de Coffee Lake
Refresh-serie en kost rond 60 euro meer
dan de i5-8400 die we vorig jaar hebben
gebruikt.
De K achter de modelnaam betekent
dat je de multiplier van de kloksnelheid via
de BIOS-setup of Intels Extreme Tuning Uti-
lity kunt benaderen. Het overklokken valt
wel buiten de garantie. Leuk dat het kan
voor gebruikers die voor zeer prestatiehon-
gerige toepassingen net iets meer power
willen of die het gewoon leuk vinden om
het maximale uit de hardware te halen.
Iets anders wat voor de Coffee Lake
Refresh pleit, is de veiligheid. Intel heeft
deze serie cpu's hardwarematig beveiligd
tegen Meltdown en een van de Spectre-va-
rianten, wat betekent dat er geen prestatie-
vermindering optreedt die softwarematige
patches in het besturingssysteem wel ver-
oorzaken. Met de Core i 9000-cpu's ben je
bovendien voorbereid op de toekomstige
32 GB DIMM's, die Intel voor zover bekend
pas vanaf de 9000-serie zal valideren.
De kloksnelheid van ons voorstel is ten
opzichte van vorig jaar flink gestegen. De
9600K is met zijn 3,7 GHz maar liefst 32 pro-
cent sneller. Dankzij een TDP van 95 watt
kan hij dat tempo ook onder maximale
belasting in Prime95 prima volhouden. De
48 c’t 2019, Nr. 3
Praktijk | De optimale pc: Intel-allrounder
Allround Intel-pcEen fluisterstille all round-hexacore met een Intel Core i5-9600K-cpu
responsiveness van de turbo is echter iets
lager, ondanks dat deze 4,6 GHz bereikt.
Maar sloom is het Intel-voorstel zeker niet
te noemen, mits je het BIOS goed confi-
gureert. Via de link aan het einde van het
artikel vind je een gedetailleerde beschrij-
ving van de instellingen. Voor de turbo zijn
de twee watt-trappen belangrijk. Deze be-
grenzen het kortstondige stroomverbruik
van de cpu tot 118 watt en tot 95 watt voor
continugebruik.
De kracht van de Intel-processor is
en blijft de singlethread-prestatie. In de
Cinebench-beoordelingen zit deze tegen
de 200-puntengrens aan. Met 20 procent
voorsprong op de Ryzen 5 2600 van de
AMD-allrounder is het een van de snelste
cpu's die er zijn. Bij multithreading zit hij
met rond 1050 punten echter op zijn beurt
20 procent lager dan de Ryzen.
De geïntegreerde graphics zijn bij al-
gemeen gebruik en het kijken van films
ook geschikt voor 4K-schermen. Gamers
kunnen echter wel beter een grafische
kaart erbij steken. Dan komt de i5-9600K
pas echt tot z'n recht. Met name in lagere
resoluties kan de processor zijn spierbal-
len goed laten zien en loopt hij flink uit op
de Ryzen 5 2600. Wat dat betreft is hij ook
beter geschikt voor high-FPS-gaming op
144 Hz-schermen.
Moederbord: Z390Met de MSI MPG Z390M Gaming Edge
AC hebben we voor het eerst in langere
tijd weer eens voor een moederbord in
het compactere Micro-ATX-formaat ge-
kozen (244 × 244 mm). Qua uitbreidings-
mogelijkheden biedt dit moederbord
naast twee PEG-slots ook 2 × PCIe x1, en
twee M.2-aansluitingen voor zeer snelle
ssd's. Belangrijke criteria voor onze keuze
was dat er zowel een DisplayPort als hdmi-
poort op het moederbord zat. Daardoor
viel bijvoorbeeld het iets zuinigere bord
MSI Z390 Gaming Plus af. Daarnaast moes-
ten er vier DIMM-slots op zitten, zodat er
bij een latere upgrade nog twee slots be-
schikbaar zijn.
Aangezien de Z390-chipset de snelle
USB 3.1 Gen2 ondersteunt, moest er naast
de klassieke type-A-poort een type-C-
aansluiting op zitten. Het was uiteraard
mooi meegenomen dat de Gaming Edge
AC wifi aan boord heeft. Daarmee hebben
we snelheden van 21/54 MB/s bij 2,4/5GHz
gemeten. De ALC1220 audiochip is ook
een pluspunt, omdat op goedkopere mo-
dellen vaak hooguit de ALC892 erop wordt
gesoldeerd.
Als je van plan bent om een multi-gpu-
systeem te bouwen, dan is de Gaming
Edge AC dankzij crossfire- en SLI-certifice-
ring ook een prima kandidaat. Je kunt dan
wel beter een krachtigere voeding inbou-
wen en erop letten dat je grafische kaarten
selecteert die niet meer dan twee slots in
beslag nemen – de RTX 2070-optie van MSI
valt daardoor bijvoorbeeld af. Ondanks de
uitgebreide mogelijkheden en de krach-
tige processor is het systeem met 18 watt
idle-verbruik redelijk zuinig. Ook met de
geteste grafische kaarten blijft de pc met
25 watt verbruik idle mooi zuinig.
Goed gekoeld en afgewerktDe Be Quiet! Pure Base 600 pc-behuizing
die we vorig jaar hebben gebruikt is goed
bevallen en daarom hebben we hem nu
ook weer gebruikt. Naast de stevige con-
structie en voldoende ruimte voor uitbrei-
dingen met harde schijven en ssd's zijn we
vooral te spreken over de geluidsdemping
en stille ventilators. Het grootste manco is
het ontbreken van een USB-C-aansluiting
aan de voorzijde, terwijl er een passende
header op ons moederbord zit. Voor ons
bouwvoorstel hebben we de meegelever-
de ventilator die voor in de kast zat naar
bovenin de kast verplaatst (op SYS_FAN3)
en de kunststof afdekplaat verwijderd. Dat
ondersteunt de natuurlijke convectie in de
kast, bovendien verwijder je daarmee een
geluidsbron van de voorkant verder naar
achteren.
De tweede ventilator (op SYS_FAN1)
hebben we achterop de kast gelaten waar
deze ook warme lucht uit de kast blaast. De
2,5-inch-ssd hebben we niet in een van de
drie vrije 3,5-inch-bays geplaatst, maar tus-
sen de achterzijde van de moederbordtray
en de zijwand.
De hitte die de cpu produceert wan-
neer hij hard aan de slag moet, zijn we te
lijf gegaan met een Scythe Mugen 5 Rev.
B. Als alles goed bevestigd is, houdt hij de
Core i5-9600K zelfs onder volle belasting
van Prime95 netjes op 60 °C. Samen met
de behuizingsventilators blijft het systeem
ook bij volledige belasting fluisterstil. We
hebben voor alle drie ventilators een eigen
ventilatorcurve ingesteld. Deze vind je via
de link aan het einde. De cpu-ventilator
komt op 700 tpm uit, en de behuizings-
ventilators zijn tevreden met zo'n 450 tpm.
Deze stille instelling biedt nog voldoende
reserves mocht je een keer met de over-
klokmogelijkheden willen experimenteren.
Ook als je een extra 230 watt-warmtebron
zoals de MSI GeForce RTX 2070 Gaming Z
grafische kaart inbouwt, blijven de ventila-
tors aangenaam stil. Door de extra warmte
in de kast, stijgt de temperatuur van de
processor dan onder volledige belasting
wel tot 70 °C.
De voeding van 500 watt is dit jaar
iets zwaarder dan voorheen. Wat de effici-
entie betreft is dit geen grote stap terug:
de 400-watt-variant hebben we ook geme-
ten en die verbruikte in idle maar 0,6 watt
minder. Gezien de korte prestatiepieken
van de turbo en de twee grafische kaarten
als optie, leek het ons beter om voor wat
extra ademruimte te kiezen.
49c’t 2019, Nr. 3
Praktijk | De optimale pc: Intel-allrounder
De ssd verstop je op aan de achterkant van de moederbord-tray. Eerst maak je de bevestiging los en dan schroef je de ssd op de achterplaat vast. Probeer niet de ssd tussen de bevestiging en de tray vast te proppen.
Bij de overige onderdelen hebben we het
wat conservatiever aangepakt. Ondanks
de dalende prijzen hebben we voor een
500 GB Samsung 860 Evo gekozen om het
budget te ontzien. Daarbij hebben we voor
een SATA-model gekozen, omdat het snel-
heidsverschil met een NVMe-model alleen
bij uitzondering merkbaar is. Het 16 GB
werkgeheugen is gelijk aan dat van vorig
jaar. Als je meer RAM nodig hebt, bijvoor-
beeld als je meerdere virtuele machines te-
gelijk hebt draaien, dan kun je er nog twee
extra modules bij steken of gelijk voor 16
GB-DIMM's kiezen.
Alles kan, niets hoeftBij onze allrounder bouwvoorstellen hou-
den we altijd rekening met de mogelijk-
heid om te kunnen uitbreiden. De geïn-
tegreerde gpu biedt bijvoorbeeld niet
voldoende grafische prestaties voor ga-
mers, en die zullen daarom een krachtiger
grafische kaart aanschaffen. Wij hebben
een model van ongeveer 300 euro en een
tweede van 600 euro geselecteerd: een MSI
GeForce GTX 1060 Gaming X en een RTX
2070 Gaming Z, ook van MSI. Die eerste le-
vert ook bij de hoogste detailinstellingen
nog vloeiende beelden op full-hd, het sys-
teem blijft ook bij volledige belasting nog
stil (0,4 sone) en gezien de prestaties nog
redelijk zuinig (254 watt).
Als je wilt gamen op 3840 × 2160 pixels
(4K, ultra-hd) maar niet bereid bent het de-
tailniveau flink lager te zetten, dan zul je
dieper in de buidel moeten tasten. Onze
keuze voor een grafische kaart waarmee
je op 4K redelijk goed kunt gamen was de
GeForce RTX 2070 Gaming Z, eveneens van
MSI. In ultra-hd haalt de kaart dubbel zo
hoge framerates als de 1060 en hij geeft
actuele games als Shadow of the Tomb Rai-
der met 35 fps of Far Cry 5 met 49 fps weer.
Tip: als je van plan bent een ultra-hd
gaming-pc te maken, dan is het Ryzen-
voorstel goedkoper. Het geld dat je hier-
mee bespaart kun je dan investeren in een
krachtigere grafische kaart dan de GeForce
GT 1030 van dat voorstel.
Ook wat de processor betreft is er
nog wel ruimte naar boven. Wij hebben
het actuele topmodel van Intel voor het
LGA1151v2-platform in ons bouwvoorstel
ingebouwd. Het systeem kan deze dure
octacore-cpu met hyperthreading prima
aan, ondanks dat het energieverbruik toch
wel aanzienlijk stijgt. Cinebench haalde
met deze cpu een resultaat van 1784 pun-
ten.
BouwtipsJe moet ongeveer twee uur uittrekken
voor de assemblage van ons bouwvoorstel.
Zorg dat je een groot, opgeruimd werkop-
pervlak hebt met goede verlichting. Wat
het gereedschap betreft heb je eigenlijk al-
leen een kruiskopschroevendraaier nodig.
Toebehoren zoals sata-kabels, warmte-
geleidende pasta en schroeven worden bij
het moederbord, de koeler en de pc-kast
meegeleverd.
De cpu, de koeler en het geheugen
kun je het beste eerst buiten de pc-behui-
zing op het moederbord bevestigen om de
montage eenvoudiger te maken. Let bij het
bevestigen van de cpu op het moederbord
erop dat de inkepingen op de cpu overeen-
komen met de markeringen op de socket.
Zorg ervoor dat je de cpu niet scheef inzet
of draait als hij op de zeer gevoelige pin-
netjes in de socket ligt, daarmee kun je de
onderdelen onherstelbaar beschadigen.
Beide geheugenreepjes plaats je vanuit
de cpu gezien in de tweede en vierde ge-
heugenpoort, zoals dit op het moederbord
staat aangegeven.
De koeler monteer je zoals in de ope-
ningsafbeelding van dit artikel te zien is.
Bevestig de ventilator op de koeler zodat
die de lucht uit het midden van de behui-
zing door de koelvinnen heen naar achte-
ren blaast. De ventilatoren op de behuizing
moeten de lucht uit de kast naar buiten
verplaatsen.
Sluit de nodige kabels (beide voe-
dings-, sata- en power/reset-kabels) ook
al aan voordat je het moederbord in de
kast bevestigt en vergeet ook niet om de
ATX-backplate in de behuizing te drukken
voordat je het moederbord plaatst. Voor-
dat je alle schroeven definitief aandraait en
alle kabels netjes wegwerkt, raden we aan
om kort te testen of het systeem functio-
neert. (ddu) c
www.ct.nl/pc-bouwen-2019
50 c’t 2019, Nr. 3
Praktijk | De optimale pc: Intel-allrounder
Onderdelen Intel-allrounder
Als je verlichting in je kast leuk vindt, dan zorg je met Mystic Light ervoor dat rgb-ledjes van het moe-derbord en de grafi-sche kaart op elkaar worden afgestemd. Tip: de bevestigings-haak helpt om te zorgen dat de grafi-sche kaart van 1,5 kilo beter vastzit en goed recht in het slot blijft zitten.
Componenten Type (aanduiding) Prijs
Processor Core i5-9600K, 6 cores, 3,7 GHz, boxed (BX80684I59600K) e 310
Cpu-koeler Scythe Mugen 5 Rev. B e 50
Moederbord MSI MPG Z390M Gaming Edge AC (7B50-002R) e 180
RAM 2 × Crucial Memory grijs DIMM 8GB, DDR4-2666, CL19 (CT8G4DFS8266) e 130
SSD Samsung SSD 860 EVO 500GB, SATA (MZ-76E500B) e 90
Behuizing be quiet! Pure Base 600 zwart (BG021) e 80
Voeding be quiet! Pure Power 11 500W ATX 2.4 (BN293) e 75
Bijkomende kosten Verzendkosten e 25
Subtotaal hardware € 940
Besturingssysteem Windows 10 Home e 115
Totaal € 1055
Opties
Processor Core i9-9900K, 8 cores + HT, 3,6 GHz, boxed (BX80684I99900K) e 650
Grafische kaart MSI GeForce GTX 1060 Gaming X 6G (V328-001R) e 340
Grafische kaart MSI GeForce RTX 2070 Gaming Z 8G (V373-007R) e 660
Harde schijf Western Digital WD Blue 4TB (WD40EZRZ) + Sharkoon HDD Vibe-Fixer (4044951000029) e 110 + e 22
Dvd-brander LG Electronics GP57EB40 zwart, USB 2.0 e 30
Allround AMD-pc Een stille hexacore-allrounder met een AMD Ryzen-cpu
Dankzij een processor met zes cores
en een vlotte ssd is onze Ryzen
allrounder een flinke jongen die
opgewassen is tegen de zwaardere
klussen. In combinatie met onze
aanbevelingen voor een grafische
kaart of een octacore-cpu maak je
er bovendien een geduchte game-
machine of high-end-pc van.
Christian Hirsch
Bij de keuze voor een processor
voor een nieuwe thuis-pc spelen
vaak persoonlijke voorkeuren een
rol. Als je op zoek gaat naar de beste prijs-
prestatieverhouding loopt AMD momen-
teel duidelijk voorop: AM4-processors met
zes cores zoals de Ryzen 5 2600 zijn al ver-
krijgbaar vanaf 160 euro, terwijl je voor zijn
evenknie van Intel, de Core i5-8400, al snel
40 procent meer kwijt bent. Ons bouwvoor-
stel voor een Ryzen allrounder is dankzij 16
GB werkgeheugen en 500 GB flashopslag
niet alleen geschikt voor standaard office-
taken zoals tekstverwerken en surfen op
het web, maar biedt ook voldoende re-
kenkracht om video's te bewerken of raw-
foto's te converteren. Bovendien kun je op
de passief gekoelde grafische kaart twee
4K-schermen aansluiten.
Als je 16 threads nodig hebt om gro-
tere softwareprojecten te compileren, of
als je meerdere virtuele machines naast
elkaar wilt laten draaien, dan kun je de
cpu ook vervangen voor de Ryzen 7 2700X
met acht cores. Bovendien hebben we nog
twee additionele grafische kaarten getest
die actuele first person shooters in full-hd
of 4K-resolutie op het scherm toveren. Voor
grote hoeveelheden gegevens hebben we
een optionele 4 TB harde schijf in het sys-
teem gestopt.
De juiste keuzeBij onze selectie van de componenten zijn
we niet bij nul begonnen, maar hebben
we onze ervaringen van het bouwvoorstel
van vorig jaar en de hardwaretests van de
afgelopen twaalf maanden erbij betrok-
ken. Het doel was niet alleen een zo stil
en stabiel mogelijke pc te bouwen, maar
ook om een zinvolle balans te vinden tus-
sen componenten en te zorgen dat deze
goed met elkaar samenwerken. Het hart
van onze computer vormt een tweede
generatie Ryzen-cpu, die AMD afgelopen
voorjaar heeft geïntroduceerd. Door opti-
maliseringen in de rekeneenheden en in
het fabricageproces rekenen deze proces-
sors enkele procenten sneller dan de Ryzen
1000-cpu's. Bovendien heeft de chipmaker
de turbo van de Ryzen 2000 herzien, waar-
door deze tot 10 procent sneller presteert
dan bij de eerste generatie. Bij de basiscon-
figuratie hebben we een hexacore Ryzen 5
2600-cpu geselecteerd, omdat deze van de
Ryzen-processors met meer dan vier cores
momenteel de beste prijs-prestatiever-
houding heeft. Met een 3,9 GHz turbo en
simultaneous multithreading (SMT) voor
in totaal 12 logische cpu-cores heeft deze
Ryzen meer dan genoeg in huis om je de
komende jaren goed van dienst te zijn.
Samen met de Ryzen 2000 heeft AMD
de highend-chipset X370 vervangen door
zijn opvolger, de X470. Daarom hebben
we voor ons bouwvoorstel ook een nieuw
moederbord gekozen. De keuze viel hierbij
op de Gigabyte X470 Aorus Ultra Gaming.
Ondanks uitgebreide features, waaronder
USB 3.1 Gen 2 via type-A en type-C-poor-
ten, drie PEG-slots, 6 × SATA 6G en een
hoogwaardige audiochip verbruikt het sys-
teem bij een idle Windows-desktop 5 tot 7
watt minder dan de concurrentie. Twee van
de vier DIMM-slots hebben we van DDR4
51c’t 2019, Nr. 3
Praktijk | De optimale pc: Ryzen-allrounder
Om te zorgen dat de warmte van de proces-
sor en grafische kaart zo effi-
ciënt mogelijk uit de Ryzen
allrounder-kast wordt afgevoerd,
hebben we de ventilator van de voorzijde van de
kast verplaatst naar de boven-zijde (rechts op
de foto).
2666 RAM voorzien. De Ryzen 5 2600 on-
dersteunt bij een single rank-module per
kanaal ook DDR4 2933, maar momenteel
zijn geheugenreepjes met deze snelheid
alleen verkrijgbaar als overklokmodule met
XMP-profiel. De geringe snelheidswinst
die dit snellere geheugen oplevert weegt
naar onze mening echter niet op tegen de
hogere kosten van zo'n 40 euro die je bij
16 GB geheugen moet ophoesten, al hele-
maal omdat de prijzen van geheugen nog
steeds boven het niveau van 2016 zitten.
Indien je in toekomst nog eens het geheu-
gen naar 16 GB zou willen uitbreiden, moet
je er overigens rekening mee houden dat
met vier single rank modules AMD hoog-
uit DDR4 2133 ondersteunt. In de praktijk
zullen trouwens hogere kloksnelheden
waarschijnlijk wel werken, maar dat hangt
af van moeilijk berekenbare factoren. Bo-
vendien zijn geheugenfouten notoir moei-
lijk op te sporen.
Voor een snelle start van het bestu-
ringssysteem en van programma's hebben
we een Samsung 860 Evo ssd ingebouwd.
Met een capaciteit van 500 GB biedt die
voldoende ruimte voor programma's. Mo-
derne 3D-games zoals Battlefield V nemen
al zo'n 50 GB in beslag. Wij hebben bij de
Ryzen allrounder gekozen voor een ssd in
het 2,5"-formaat. Voor zo'n 10 euro extra
kun je ook de M.2-variant met SATA kiezen.
Een NVMe-variant met PCI-Express vonden
we te duur. Per gigabyte betaal je hier 60
procent meer voor. De behuizing is net
als vorig jaar een Be quiet! Pure Base 600.
Deze pc-kast wordt geleverd met twee in-
gebouwde ventilators.
Game mogelijkhedenHoewel er op het AM4-moederbord een
hdmi-aansluiting zit, heeft de Ryzen-all-
rounder wel een aparte grafische kaart
nodig omdat de Ryzen 2000 zonder 'G'
in de modelnaam geen onboard graphics
heeft. Voor ons basissysteem hebben we
daarom gekozen voor een Nvidia GeForce
GT1030 van MSI. Hierbij hebben we niet
gelet op de 3D-prestaties. In tegenstel-
ling tot vorig jaar was de passief gekoelde
kaart alleen nog maar beschikbaar met
het tragere DDR4-geheugen en niet meer
met GDDR5. In plaats daarvan gaven we
prioriteit aan een zo stil mogelijke kaart,
uitgebreide videofuncties en de mogelijk-
heid om twee 4K-monitors aan te sluiten.
De grafische kaart kan via DisplayPort 1.4
en hdmi 2.0b ultra-hd-schermen aansturen
met 60 Hz en heeft geen extra stroomaan-
sluiting nodig.
Om te gamen op full-hd is meer gpu-power
nodig. De GeForce GTX 1060 levert dit en
de kaart die wij hebben gekozen kan vier
schermen tegelijk aansturen. Met een pa-
rallelle aansluiting via twee van de drie Dis-
playPort 1.4-poorten is de kaart geschikt
voor 8K-schermen (7680 × 4320). Voor ons
was bovendien belangrijk dat de kaart van
6 in plaats van 3 GB GDDR5-RAM was voor-
zien, omdat het grafische geheugen voor
moderne 3D-games anders te krap is.
Als je actiegames met hoge details op
ultra-hd-resolutie wilt spelen of van raytra-
cing-effecten wilt genieten in Battlefield V,
moet je bereid zijn meer dan 600 euro in
de kaart te investeren. Ondanks de flink
hogere prestaties produceert de GeForce
RTX 2070 dankzij de grote ventilators bij
zware belasting maar iets meer geluid
dan de GTX 1060. Omdat het koellichaam
groter is, beslaat de kaart de ruimte van
drie insteekkaarten in plaats van twee,
zoals het geval is bij de GTX 1050 en de
GTX 1060. Gezien het gewicht van de kaart
raden we aan ook de meegeleverde extra
bevestigingsbeugel te gebruiken. Naast
hdmi 2.0 en DisplayPort 1.4 biedt de Ge-
Force RTX 2070 een USB-C-aansluiting. Op
deze poort levert de kaart niet alleen een
DisplayPort-signaal voor USB-C-schermen
of een VR-bril, maar ook usb 3.1 Gen2 en
tot 27 watt energie.
De stroom voor de hardware levert
een 500 watt voeding. Met twee 6+2-pin
stroomstekkers kun je zonder problemen
highend grafische kaarten aansluiten. We
hebben bewust voor een wat zwaardere
voeding gekozen, die de maximale confi-
guratie van de Ryzen 2700X en de GeForce
RTX 2070 kan bolwerken.
BouwtipsBij het bestellen van onderdelen moet je
goed letten op de exacte productbeschrij-
ving zoals die in de tabel aan het einde van
dit artikel vermeld staat. Vooral bij de gra-
fische kaarten willen de fabrikanten nog
wel eens verschillende versies uitbrengen
met dezelfde gpu maar andere koelers en
ventilators die beduidend meer herrie kun-
nen produceren.
Als je van onze voorstellen wilt af-
wijken, heb je wat de ssd en harde schijf
betreft redelijk veel keuzevrijheid. Ook een
andere ATX-behuizing kan weinig kwaad,
hoewel de meegeleverde ventilators vaak
luid kunnen zijn, waardoor je ze eventu-
eel met stillere moet vervangen. Grotere
wijzigingen zoals een ander moederbord,
voeding of processorkoeler kun je beter
vermijden, omdat de pc dan qua compa-
tibiliteit, stroomverbruik en geluidsproduc-
tie behoorlijk kan gaan afwijken van ons
bouwvoorstel.
Voor onze Ryzen allrounder moet je
op zo'n twee tot vier uur bouwtijd rekenen.
Het enige gereedschap dat je nodig hebt is
een lange kruiskopschroevendraaier.
De cpu-koeler wordt geleverd met
warmtegeleidende pasta. Montagemateri-
aal en kabelbinders worden bij de behui-
zing en voeding meegeleverd. Als er iets
niet duidelijk is, kun je de meegeleverde
handleidingen of de website van de des-
betreffende fabrikanten raadplegen.
Voordat je met de montage van de
pc-componenten aan de slag gaat, moet
je enkele dingen aan de behuizing aanpas-
sen. Je moet bijvoorbeeld de verwijderbare
plastic afdekking bovenin de kast wegha-
len en de ventilator van de voorzijde onder
die nieuwe opening bevestigen. Daarmee
verdwijnt de warme lucht van de proces-
sor en de grafische kaart makkelijker uit de
kast via de bovenzijde.
De volgende stap is om de proces-
sor, het geheugen en de cpu-koeler op
het AM4-moederbord te bevestigen. Let
52 c’t 2019, Nr. 3
Praktijk | De optimale pc: Ryzen-allrounder
De GeForce GTX 1060 toont actuele games zoals PUBG soepel en met hoge details op een full-hd-scherm. Voor het correct parkeren van de Dacia is nog altijd de gamer verantwoordelijk.
Onderdelen Ryzen allround-pc
Componenten Type (aanduiding) Prijs
Processor Ryzen 5 2600, 6 cores + SMT, 3,4 GHz (Turbo: 3,8 GHz), boxed (YD2600BBAFBOX) e 170
Cpu-koeler Scythe Mugen 5 Rev. B e 50
Moederbord Gigabyte X470 Aorus Ultra Gaming e 145
RAM 2 × Crucial Memory grijs DIMM 8GB, DDR4-2666, CL19 (CT8G4DFS8266) e 130
Grafische kaart MSI GeForce GT 1030 2GHD4 LP OC (V809-2825R) e 90
SSD Samsung SSD 860 EVO 500GB, SATA (MZ-76E500B) e 90
Behuizing be quiet! Pure Base 600 zilver (BG022) e 80
Voeding be quiet! Pure Power 11 500W ATX 2.4 (BN293) e 75
Bijkomende kosten Verzendkosten e 25
Subtotaal hardware € 855
Besturingssysteem Windows 10 Home e 115
Totaal € 970
Opties
Processor Ryzen 7 2700X, 8 cores + SMT, 3,7 GHz (Turbo: 4,3 GHz), boxed (YD270XBGAFBOX) e 330
Grafische kaart MSI GeForce GTX 1060 Gaming X 6G (V328-001R) e 340
Grafische kaart MSI GeForce RTX 2070 Gaming Z 8G (V373-007R) e 650
Harde schijf Western Digital WD Blue 4TB (WD40EZRZ) + Sharkoon HDD Vibe-Fixer (4044951000029) e 110 + e 22
Dvd-brander LG Electronics GP57EB40 zwart, USB 2.0 e 30
daarbij op dat je geen van de gevoelige
pinnetjes van de Ryzen-processor verbuigt.
Een klein driehoekje op de cpu markeert
de hoek die moet corresponderen met
de markering in de hoek van de socket.
Plaats de geheugenmodules in DIMM-slots
DDR4_1 en DDR4_2.
Om de cpu-koeler te bevestigen,
moet je eerst de twee zwarte plastic be-
vestigingsbeugels voor koelers met klem-
bevestigingen verwijderen van het moe-
derbord. De backplate op de achterzijde
van het moederbord ga je wel gebruiken
en blijft op z'n plek. Steek vervolgens de
vier afstandshouders op het bord zoals be-
schreven in de handleiding van de koeler
en schroef de bevestigingsbeugels hieraan
vast. Zorg bij het bevestigen van de koeler
dat de lamellen van het koellichaam net zo
zijn uitgelijnd als in de foto op pagina 52 te
zien is en dat hij niet over het geheugen,
maar over de spanningstransformators
hangt. Na het vastschroeven kun je de
ventilator bevestigen en het bijbehoren-
de kabeltje op de CPU_FAN-pinconnector
aansluiten.
Nu bevestig je de drives, de I/O-back-
plate van het moederbord en de voeding
in de behuizing. De voeding hebben we
zo ingebouwd dat de ventilator naar de
bodem is gericht. Het afneembare stoffilter
beschermt tegen stof. De ssd hebben we
in de onderste harde schijf-bay geplaatst.
Gebruik hier de SATA-kabel met de haakse
stekker, omdat de afstand tot de wand
van de behuizing relatief klein is. De beide
2,5"- en 3,5"-bays daarboven hebben we
verwijderd voor meer ruimte en een betere
luchtdoorstroom.
Plaats het moederbord zodat het onge-
veer op de juiste positie ligt en bevestig
alle SATA-, stroom- (inclusief ATX 12V!) en
frontconnectorkabels (geluid, usb, ledjes
en aan/uit- en reset-knop). Vergeet niet
de behuizingventilators los te koppelen
van drietraps-ventilatoraansturing van de
kast. Plaats de stekker van de ventilator
aan de achterzijde op de SYS_FAN_1- en de
ventilator in het deksel op de SYS_FAN_2-
connector op het moederbord. Alleen op
die manier haalt de Ryzen allrounder de
geluidswaarden zoals wij die gemeten
hebben. Als alles op z'n plaats zit, kun je
het moederbord vastschroeven. Als je de
GeForce GTX 1060 of de RTX 1070 gaat
inbouwen, vergeet dan niet om ook de
PEG-stroomstekker (twee PEG-stekkers in
het geval van de RTX 1070) in de kaart te
steken.
Optimale instellingenAls je de pc inschakelt, kom je met de
delete-toets in de setup van het BIOS te-
recht. De aanbevolen instellingen en Win-
dows 10 drivers vind je op onze website
(www.ct.nl/pc-bouwen-2019). Indien je
de Ryzen 7 2700X gebruikt, moet je in de
BIOS-setup onder 'Peripherals/AMD CBS/
NBIO Common Options' de optie 'cTDP
Control' activeren en daar onder 'cTDP'
de correcte waarde instellen van 105
watt. Onder Ubuntu 18.10 gebruikt de pc
in idle twee watt minder dan onder Win-
dows 10 als je de propriëtaire driver van
Nvidia gebruikt en met powertop --auto de
energie besparingsmodi activeert. Helaas
werkt onder Ubuntu 18.10 de suspend to
ram-toestand niet in combinatie met de
Nvidia-kaarten.
Vergeleken met de Intel allrounder
verbruikt het Ryzen bouwvoorstel iets
meer energie, maar rekent bij multithread-
toepassingen rond 20 procent sneller en
kost zo'n 80 euro minder. Als je op zoek
bent naar een betaalbare game-pc en be-
reid bent om enkele compromissen te slui-
ten wat betreft het geluidsvolume en de
features, dan vind je in het volgende artikel
het bouwvoorstel voor een budget-pc voor
gamers. (ddu) c
www.ct.nl/pc-bouwen-2019
53c’t 2019, Nr. 3
Praktijk | De optimale pc: Ryzen-allrounder
Gaming-buddyBouwvoorstel voor een betaalbare full-hd gaming-pc
Onze goedkope gaming-pc heeft
een duidelijk doel voor ogen: lekker
gamen. Voor 800 euro stellen we
een krachtig, stil en mooi systeem
samen om vloeiend in Full HD te
kunnen gamen.
Benjamin Kraft
Als je net als de grootste meerder-
heid van de gamers op 'slechts'
Full HD (1920 × 1080) je spellen
speelt, heb je geen extreem high-end sys-
teem nodig. Om soepel te kunnen gamen
met een hoog detailniveau op deze reso-
lutie, is alles wat je nodig hebt een betaal-
bare mix van goed op elkaar afgestemde
hardware. Dankzij zakkende prijzen voor
grafische kaarten, geheugen en ssd's kun-
nen we de opslagruimte verruimen. De
3D-performance is ook met zo'n 50 procent
toegenomen en is daarmee goed genoeg
voor een voorzichtige stap naar iets hogere
resolutie (WQHD, 2560 × 1440). De totale
kosten voor de onderdelen komen uit op
800 euro. Aan het eind van het artikel staat
de tabel met alle onderdelen en prijzen
vermeld.
Overige informatie zoals de optimale
instellingen voor je BIOS, hoe je het beste
je ventilatorcurves instelt en download-
links voor drivers vind je terug op onze
projectsite ct.nl/pc-bouwen-2019.
Quadcore powerHet moet wel een quadcore zijn. Een aantal
games start niet eens op als er geen quad-
core in je systeem zit, of ze draaien verre
van soepel. Het was eigenlijk de bedoeling
om een AMD-systeem met Ryzen 3 2200G
te bouwen, maar onder volledige belasting
draaide die cpu zijn kloksnelheid omlaag
tot onder de standaard kloksnelheid. Het
wisselen van moederbord en cpu-koeler
leverde geen verbetering op, dus we scha-
kelden over naar een Core i3-8100. Deze
heeft geen turbo en geen hyperthreading,
maar met zijn kloksnelheid van 3,6 GHz
biedt hij genoeg cpu-power om de GPU
niet te laten wachten. Een klein minpunt:
voor een budget-cpu is hij met zijn 145 niet
bepaald supergoedkoop te noemen.
Vanwege de betere garantievoor-
waarden pakken we een boxed-versie. De
meegeleverde kleine brommende koeler
wisselen we om voor de bijzonder naam-
gegeven EKL Alpenföhn Ben Nevis. Met zijn
drie heatpipes en een 120mm-koeler krijg
je meer airflow, lagere temperaturen en
minder geluid.
Bij de keuze voor het moederbord
kwamen we uit bij de simpele maar zeer
zuinige MSI B360M Pro-VH. Dankzij de serie
300-chipset heeft hij een USB-3.1-control-
ler zodat de vier blauwe usb-poorten aan
de achterkant gegevens met 10 Gbit/s
kunnen doorseinen. Dat er geen USB-C te
vinden is, vinden we niet zo'n ramp.
Het moederbord heeft wel maar twee
geheugenslots, nuttig vullen dus. De
meeste games vinden 8 GB voldoende, en
daarom hebben we weer gekozen voor
DDR4-2666 in de vorm van een Hyper X
Fury-kit van Kingston. Als je op korte ter-
mijn naar 16 GB wilt upgraden, neem dan
een 8GB-module om er later nog eentje bij
te steken. In onze grotere bouwvoorstel-
len zijn modules van Crucial gebruikt. Het
performanceverlies door single channel in
plaats van dual channel valt reuze mee. In
FarCry 5 zakte de gemiddelde framerate bij
de settings op Ultra van 64 naar 61. Dus als
54 c’t 2019, Nr. 3
Praktijk | De optimale pc: budget-gaming-pc
je nog ergens wat wilt beknibbelen, kan
dat hier. De budget-ssd is de Crucial MX500
geworden. In 2,5"-formaat met 500 GB be-
taal je daar ongeveer 75 euro voor. Zo heb
je plek voor een aantal grote spellen.
Meer gpu-power in een mooier pakketDe grootste update is de grafische kaart.
De MSI Radeon RX 570 Armor OC biedt
vijftig procent meer grafische kracht dan
de GeForce GTX 1050 Ti uit onze vorige
bouwvoorstel-reeks. Dat systeem haalde
in 3Dmark Fire Strike 6421 punten, het
nieuwe systeem sprokkelt 9908 punten bij
elkaar. In Rise of the Tomb Raider haalde
de GTX 1050 Ti in full-hd op een hoog de-
tailniveau met SMAA ingeschakeld 52 fps,
de Radeon RX 570 haalt een wat ruimere
78 fps. Die heeft ook 8 GB aan geheugen,
waardoor hij geschikt is voor games met
erg grote textures. Een prima aankoop voor
zo'n 175 euro. Met een beetje geluk vind
je ook nog vouchercodes voor twee games
in de doos, waaronder bijvoorbeeld Tom
Clancy's The Division 2.
De kaart hoor je niet in idle. In games
haalt hij 1,2 sone, wat prima is en niet sto-
rend. Alleen bij framerates vanaf 300 (bij-
voorbeeld bij laadschermen) horen we wat
gepiep vanuit de spoelen. Als de grafische
kaart en de cpu onder een continue (syn-
thetische) belasting aan de bak moeten,
komt het aantal sone uit op een duidelijk
hoorbare 1,9 sone. In de praktijk zul je dit
niet veel tegenkomen.
De Be quiet! System Power 9 van 400
watt is een efficiënte voeding om alles van
stroom te voorzien. 400 watt lijkt wat veel
voor een systeem dat in idle 22 watt nodig
heeft en onder belasting 260 watt. De voe-
ding heeft zo echter genoeg reserves voor
de verbruikspieken van de Radeon RX 570.
We stoppen de hardware in een com-
pacte MasterBox Q300L van Cooler Master,
die een venster heeft waardoor je een blik
kunt werpen op het binnenste van je bouw-
sel. In het venster is een kleine uitsparing
die niet doorzichtig is, voor usb-poorten
en audio-aansluitingen. Standaard zitten
de aansluitingen richting de voorkant van
je behuizing, maar naar keuze kun ze ook
boven of onder plaatsen.
De voorkant is voorzien van een gaas,
net als de bovenkant. Dit zorgt voor goede
airflow. We horen je al denken: dat levert
lekker veel stof op. Hier is aan gedacht:
twee magnetische stoffilters voorkomen
dat stofdeeltjes binnenwaaien. Achterin
de kast zit een 120mm-ventilator om de
warmte sneller de kast uit te krijgen. Door
uitsparingen in de plaat waarop het moe-
derbord rust, kun je de voedingskabels
en kabels voor het frontpaneel makkelijk
wegwerken.
Op de plaat is aan de voor- of achter-
kant plek voor twee 2,5"-disks die je vast-
maakt met schroeven die in rubber zijn ver-
zonken. Aan de achterkant ter hoogte van
het moederbord is plek voor een 3,5"-schijf.
MontageNeem ruim de tijd voor het in elkaar zetten
van de pc en zoek een werkplek met lekker
veel ruimte. Het enige gereedschap dat je
nodig hebt is een kruiskopschroevendraai-
er en een kleine tang. Open de behuizing
aan beide kanten zodat je overal goed bij
kunt. Zet de kast rechtop en schroef vanaf
de achterkant het frame voor de voeding
los. Monteer de voeding zodat zijn venti-
lator omlaag wijst, het open deel van het
frame achter zit en de twee uitsparingen
naar boven wijzen. Leg de voeding ach-
terin de behuizing op de beide rubberen
dempers en schroef hem van buitenaf vast.
Leid de ATX-kabel, de twee vierpolige EPS-
kabels en de kabelboom voor de frontaan-
sluitingen achter de backplate waar het
moederbord op komt te zitten.
Nu kun je het inbouwen van het
moederbord gaan voorbereiden. Vervang
de klembeugel die standaard op de koe-
ler zit geschroefd voor AMD-systemen,
door de versie met de opdruk 115x uit de
accessoire-box van de koeler. Belangrijk:
de schroeven moeten naar buiten wijzen.
Vergeet niet de beschermende folie van de
contactplaat van de koeler te halen.
De volgende stap is de andere kant
van de bevestiging van de koeler vastzet-
ten aan de onderkant van het moeder-
bord. Let erop dat je de uitsparingen voor
de schroeven van de sockethouder goed
laat uitlijnen. Leg het moederbord op een
glad oppervlak, open de cpu-socket met
de kleine hendel en klap het deksel samen
met de beschermkap naar achter. Plaats
voorzichtig de cpu in de socket, zonder
de kleine pinnen te verbuigen en sluit de
houder. De kap valt vanzelf uit de houder.
Plaats een klein beetje koelpasta (ter
grootte van een erwt) op het deksel van
de cpu en zet de koeler met de ventilator
richting het geheugen op de cpu. Draai
nu in een kruislings patroon om beurten
de schroeven van de koeler aan. Sluit de
ventilator aan op de CPU_FAN1-header van
het moederbord.
Voordat je het moederbord in de be-
huizing stopt, moet je nog de binnenste
twee afstandsbusjes in de onderste rij met
de tang losdraaien en een rij naar boven
plaatsen. Nadat je het I/O-shield van bin-
nenuit in de kast hebt gedrukt, leg je het
moederbord op de afstandsbusjes op de
plaat en plug je de kabels op hun plek.
De casefan sluit je aan op de SYS_FAN1-
header.
Daarna pas schroef je het moeder-
bord vast, steek je het geheugen en de
grafische kaart in hun slots en sluit je de
8pins-voedingskabel aan op de grafische
kaart. Schroef de rubberen houders op
de ssd en hang hem in een beschikbare
uitsparing van de backplate, en sluit de
stroom- en datakabel aan. Nu is het tijd
om het systeem te starten en Windows te
installeren. Daarna haal je alle benodigde
drivers en Windows-updates binnen. Be-
langrijk detail: het lage verbruik in idle
haal je alleen als je onze instellingen voor
het BIOS overneemt en de Intel RST-driver
installeert. (avs) c
www.ct.nl/pc-bouwen-2019
55c’t 2019, Nr. 3
Praktijk | De optimale pc: budget-gaming-pc
Onderdelen budget-gaming-pc
Componenten Type (aanduiding) Prijs
Processor Core i3-8100, 4 cores, 3,6 GHz, boxed (BX80684I38100) e 145
CPU-koeler EKL Alpenföhn Ben Nevis (84000000119) e 25
Moederbord MSI B360M Pro-VH (7B53-001R) e 80
RAM Kingston HyperX Fury DIMM Kit 8GB, DDR4-2666, CL15-17-17 (HX426C15FBK2/8) e 75
Grafische kaart MSI Radeon RX 570 Armor 8G OC (V341-236R) e 175
Ssd Crucial MX500 500GB (CT500MX500SSD1) e 75
Behuizing Cooler Master MasterBox Q300L (MCB-Q300L-KANN-S00) e 40
Voeding be quiet! System Power 9 400W ATX 2.4 (BN245) e 45
Bijkomende kosten verzending e 25
Subtotaal hardware € 685
Besturingssysteem Windows 10 Home e 115
Totaal € 800
56 c’t 2019, Nr. 3
Praktijk | De optimale pc: high-end-pc
Optimale high-end-pcBouwvoorstel voor een krachtige 16-core-pc
We gaan er stevig tegenaan: onze
Threadripper-pc met 16 cpu-cores,
flink veel werkgeheugen en een
snelle solid state disk levert com-
promisloze prestaties.
Christian Hirsch
Als de prestaties van onze bouw-
voorstellen met de Ryzen 2000 en
Core i-9000 nog niet genoeg zijn,
en als je voor videobewerking, rendering of
softwareontwikkeling een processor nodig
hebt met meer dan acht cpu-cores, dan
kun je onze Threadripper-pc nabouwen.
We hebben de basisversie al voorzien van
de Ryzen Threadripper 2950X, 32 GB werk-
geheugen en een PCI-Express NVMe-ssd. In
de renderingbenchmark Cinebench komen
de 16 cores dankzij Simultaneous Multi-
threading (SMT) en een turbokloksnelheid
van 4,4 GHz meer dan twee keer zo snel
uit de bus als de cpu's in de Ryzen en Intel
allrounders. Optioneel kun je ook nog de
Threadripper-pc voorzien van een GeForce
RTX 2070, waarmee je hem tot een krach-
tige gamecomputer omtovert. Bovendien
is dit de eerste keer dat we een workstati-
on-optie met ECC-RAM voor professionele
gebruikers hebben samengesteld.
Voor de high-end-pc hebben we het
bouwvoorstel van vorig jaar als uitgangs-
punt genomen. Het moederbord met de
X399-chipset hebben we aangehouden
omdat het bij de lezers goed in smaak is
gevallen en er bij het TR4-platform geen
veranderingen zijn geweest. In totaal staan
er 60 PCIe-3.0-lanes ter beschikking die bij
ons bouwvoorstel zijn verdeeld over vier
PEG- en drie M.2-slots voor NVMe-ssd's.
Het moederbord heeft daarnaast nog acht
SATA-poorten en acht DIMM-slots waar je
maximaal 128 GB aan geheugen in kwijt
kunt. Ook zitten er actuele interfaces op
zoals USB 3.1 Gen 2, USB 3.0 en gigabit-
ethernet.
Vette turboDe 16-core-cpu van vorig jaar hebben we
vervangen door zijn opvolger die later in
2018 is verschenen. AMD heeft bij deze
tweede generatie Threadripper 2950X met
16 cores en 32 threads onder andere het
fabricageproces en de turbo verbeterd. In
plaats van vaste drempelwaarden voor het
belasten tot vier of vanaf vier cores, klokt
de cpu dynamisch tot maximaal 4,4 GHz,
als de grenswaarden voor de temperatuur
en het stroomverbruik nog niet zijn bereikt.
Hoewel de nominale kloksnelheid van de
Threadripper 2950X maar 100 MHz hoger
is dan de Threadripper 1950X, rekent hij
daardoor wel tot 9 procent sneller.
We hebben bewust niet gekozen voor
de duurdere Ryzen Threadripper 2970WX
of 2990WX met 24, respectievelijk 32 cores.
Vanwege hun interne opbouw met twee
van de vier halfgeleider dies zonder direct
gekoppeld werkgeheugen, leveren ze bij
sommige toepassingen lagere prestaties
dan de Threadripper 2950X.
Wat het werkgeheugen betreft blijft
alles bij het oude. De Threadripper 2000-
serie ondersteunt bij vier single rank-mo-
dules weliswaar officieel ook DDR4-2933,
maar er zijn nog geen modules verkrijg-
baar die deze klokfrequenties ook zonder
XMP-profiel aankunnen. Bovendien is de
snelheidswinst die je hiermee behaalt zo
gering dat dit de veel hogere kosten niet
zou rechtvaardigen. Als je meer dan 32 GB
aan geheugen wilt plaatsen, zal volgens
57c’t 2019, Nr. 3
Praktijk | De optimale pc: high-end-pc
De optionele modules met ECC-RAM bevatten een extra chip met correctie-infor-matie. Dit zorgt ervoor dat de Threadripper-pc minder gevoelig is voor geheugen-fouten.
AMD bij gebruik van vier dual-rank 16
GB-modules het tempo worden beperkt
tot DDR4-2400. Als je 128 GB RAM in de
pc steekt, garandeert AMD stabiel gebruik
hooguit met DDR4-1866. Als je heel veel
geheugen in je systeem wilt stoppen, zijn
modules met een hoge snelheid daardoor
niet zinvol.
De SATA-ssd van vorig jaar moest dit
jaar wijken voor een sneller NVMe-model
met een PCIe-3.0-x4-verbinding. In plaats
van 550 MB/s behaalt de Samsung 970 EVO
een leessnelheid van maar liefst 3,5 GB/s.
De opslag met een capaciteit van 1 TB is
wel wat duurder dan het SATA-model, maar
het M.2-bouwformaat bespaart je wel een
extra stroom- en datakabel in de kast.
Raytracing-mania!Aangezien de Ryzen Threadripper-cpu's
geen geïntegreerde graphics hebben, laten
we dit verzorgen door een GeForce GT
1030. Deze passief gekoelde kaart is niet
geschikt om te gamen, maar kan wel via de
HDMI 2.0b- en een DisplayPort 1.4-aanslui-
ting twee 4K-schermen tegelijk aansturen
met 60 Hz. Bovendien ondersteunt de geïn-
tegreerde video-unit hardwarematige de-
codering van actuele codecs zoals H.265/
HEVC en VP9. In tegenstelling tot vorig jaar
fabriceert MSI de passief gekoelde GeForce
1030 met DDR4- in plaats van GDDR5-RAM.
Aangezien de kaart toch te traag is voor
3D-games, heb je echter geen last van het
langzamere geheugen.
Voor gamers hebben we de high-end
GeForce RTX 2070 grafische kaart uitgeko-
zen. Deze levert dankzij 2304 shadercores
en 8 GB GDDR6-RAM genoeg rekenkracht
zodat actuele games in WHQD- (2560 ×
1440) en Ultra-HD-resolutie (3840 × 2160)
soepel draaien. Bovendien is de gpu uit
de Turing-serie geschikt om raytracing
hardwarematig te versnellen. Battlefield
V is de eerste 3D-game die gebruikmaakt
van raytracing om realistische reflecties
te berekenen. De GeForce RTX 2070 kan
gelijktijdig vier 4K-displays aansturen. De
kaart beschikt over DisplayPort 1.4, HDMI
2.0 en USB-C. Ondanks de indrukwekkende
prestaties blijft de kaart in idle behoorlijk
stil (0,1 sone) en verbruikt dan maar zeven
watt meer dan de GT 1030.
De hardwarecomponenten van de
Threadripper-pc hebben we in een nieuwe
behuizing gestopt: de Define R6 USB-C, die
onder meer een USB-C-aansluiting aan de
voorzijde heeft. Aan de binnenkant ver-
bind je deze via een 10-polige stekker op
de USB 3.1 Gen2-controller van de X399-
chipset, die een overdrachtssnelheid van
1 GB/s levert.
Toen we bij onze tests de GeForce RTX
2070 vol belastten, lukte het niet de cpu
met de koeler van vorig jaar voldoende koel
te houden, waardoor de processor langza-
mer ging rekenen. Daarom hebben voor
het eerst een pc-bouwvoorstel gemaakt
met waterkoeling. De warmtewisselaar
van de Enermax LiqTech TR4 II 240 is voor-
zien van twee 12-inch PWM-ventilators. We
hebben deze onder de bovenzijde van de
Define R6 ingebouwd, en samen met de
ventilator op de achterzijde blazen ze tot
524 watt aan warmteontwikkeling de kast
uit. Desondanks zit de Threadripper met
68 °C tegen de temperatuur aan waarop
hij gas terug gaat nemen. Vermoedelijk is
hierbij de begrenzende factor de warmte-
overgang van de kleine halfgeleider-dies
naar de heatspreader van de cpu.
Workstation als optieAMD's high-end platform is niet alleen ge-
schikt voor desktop-pc's, maar ook om er
een workstation mee te bouwen. Voor dat
doel hebben we het werkgeheugen van
de basisconfiguratie vervangen door ECC-
RAM. In tegenstelling tot het AM4-plat-
form, heeft AMD het TR4-ecosysteem van
de Threadripper-cpu's officieel vrijgegeven
voor gebruik met geheugenmodules die
foutcorrectiemechanismen ondersteunen.
De DIMM's zijn wel zo'n 40 procent duurder
dan standaard DDR4-geheugen. Voor de 32
GB ECC-RAM van Kingston en de 64 GB van
Crucial waarmee we de ECC-functionaliteit
hebben getest, moet je ruim 400 euro,
respectievelijk rond 800 euro ophoesten.
In Windows controleer je op de opdracht-
prompt met het commando wmic memp-
hysical get memoryerrorcorrection
of de foutcorrectie actief is. Als je de waarde
'6' als antwoord terugkrijgt, dan werkt de
ECC-foutcorrectie op de Threadripper-pc.
Oorspronkelijk waren we van plan om
ook nog een bouwoptie te bieden met
de professionele Quadro P4000 grafische
kaart. Bij ons systeem haalde deze ech-
ter maar een derde van zijn performance.
Wij hebben contact opgenomen met MSI
waarmee we proberen uit te zoeken wat
hier de oorzaak van is.
MontageHet meest kritieke moment bij het bouwen
van het Threadrippersysteem is meteen aan
het begin wanneer je de processor op het
moederbord plaatst: de TR4-cpu met 4094
contactpunten heeft het formaat van een
kleine smartphone. Je schuift de processor
in een plastic houder die van de socket om-
hoog klapt. Let op dat de cpu daarbij goed
in de geleidende rails terechtkomt, anders
58 c’t 2019, Nr. 3
Praktijk | De optimale pc: high-end-pc
kan hij op de socket vallen en de gevoelige
contactjes verbuigen. In dat geval kun je
het moederbord van 300 euro in de prul-
lenbak gooien. De bevestigingshouder
zwenk je dicht en je draait de schroeven
vast met de momentschroevendraaier
die bij de cpu wordt geleverd. De exacte
procedure kun je zien in een video via
een link op onze website (www.ct.nl/pc-
bouwen-2019).
Vervolgens plaats je het werkgeheu-
gen en de M.2-ssd op het moederbord.
De correcte slots voor het geheugen wor-
den beschreven in de handleiding van het
moederbord. De ssd plaats je in een van
de drie M.2-slots op het moederbord. Het
maakt niet uit welke, want alle drie M.2-
slots zijn via vier PCIe-3.0-lanes direct aan
de Threadripper-cpu gekoppeld. Leg het
moederbord nu even ter zijde.
Bevestig nu de twee ventilators van de
waterkoeling op de warmtewisselaar aan
de kant waar ook de slangetjes zitten. In
de volgende stap moet je enkele zaken aan
de behuizing veranderen. Als er iets niet
duidelijk is, kun je altijd de uitvoerig geïl-
lustreerde handleiding van de behuizing
raadplegen. Om de zijplaten los te krij-
gen, moet je ze na het verwijderen van de
schroeven naar je toe trekken. Druk vervol-
gens op de grote knop op de achterzijde
om de afdekking bovenop de kast te ont-
grendelen en te verwijderen. Aansluitend
maak je het metalen ventilatorpaneel los,
dit gaat het gemakkelijkst met een platte
schroevendraaier.
Haal de vier schroeven van het paneel
aan de bovenzijde los. Dit paneel kun je
De bevestigingsplaat aan de bovenzijde van de behuizing klapt open, wat de montage van de warmtewisselaar eenvoudiger maakt.
Onderdelen Threadripper-pc
Componenten Type (aanduiding) Prijs
Processor AMD Ryzen Threadripper 2950X (YD295XA8AFWOF) e 900
Cpu-koeler Enermax LiqTech TR4 II 240 (ELC-LTTRTO240-TBP) e 140
Moederbord MSI X399 SLI Plus (7B09-008R) e 330
RAM 4 × Crucial Memory DIMM 8GB, DDR4-2666, CL19 (CT8G4DFS8266) e 240
Grafische kaart MSI GeForce GT 1030 2GHD4 LP OC (V809-2825R) e 90
SSD Samsung SSD 970 EVO 1TB, M.2 (MZ-V7E1T0BW) e 275
Behuizing Fractal Design Define R6 Black USB C e 140
Voeding Corsair HX Series HX750 (CP-9020137) e 140
Bijkomende kosten Verzendkosten e 25
Subtotaal hardware € 2280
Besturingssysteem Windows 10 Home e 115
Totaal € 2395
Opties
Grafische kaart MSI GeForce RTX 2070 Gaming Z 8G (V373-007R) e 650
Harde schijf Western Digital WD Blue 4TB (WD40EZRZ) e 110
Dvd-brander LG Electronics GP57EB40 zwart, USB 2.0 e 30
Workstation 4 × Kingston Server Premier DIMM 8GB, DDR4-2666, CL19-19-19, ECC (KSM26ES8/8ME) e 420
Workstation 4 × Crucial DIMM 16GB, DDR4-2666, CL19, ECC (CT16G4WFD8266) e 800
verwijderen en er de warmtewisselaar van
het waterkoelsysteem aan bevestigen.
Draai de schroeven nog niet vast, dit kun
je later doen wanneer je de uiteindelijke
positie van de radiator precies bepaalt.
Bouw nu de voeding en het moeder-
bord in de miditower in. Leg daarvoor de
kast op zijn zij. Er is genoeg ruimte achter
het moederbord om alle kabels daarlangs
te trekken. Sluit de kabels aan voor de
leds, usb-aansluitingen en geluidspoorten
aan de voorzijde, en vergeet niet de beide
achtpolige ATX12V stroomstekkers op het
moederbord aan te sluiten.
Plaats nu weer het metalen ventilator-
paneel met de waterkoeling terug in de
bovenzijde van de kast. Je kunt dit nog
een stukje openklappen, wat je iets meer
ruimte geeft om de waterpomp op de
processor te monteren. Smeer de warm-
tegeleidende pasta in een grote X op de
heatspreader van de Threadripper om te
zorgen dat deze optimaal verspreid wordt
over het hele oppervlak van de grote heat-
spreader. Sluit de behuizingsventilator aan
de achterzijde van de kast (SYS_FAN1), de
ventilators van de waterkoeling (CPU_FAN)
en de pomp (PUMP_FAN1) aan op het
moederbord. Als je dit alles hebt aange-
sloten, kun je het metalen ventilatorpaneel
met de warmtewisselaar vastschroeven. Nu
hoef je alleen nog maar de grafische kaart
in te steken. Als je de GeForce RTX 2070
hebt aangeschaft, moet je niet vergeten
de stroomkabel hier nog op aan te sluiten.
Voer nog een laatste controle uit om
te kijken of alles goed is aangesloten, en
dan kun je het systeem inschakelen. Roep
met de Delete-toets de BIOS-setup op. Op
onze website vind je een overzicht van
de optimale instellingen, bijvoorbeeld
van de ventilatorcurves. Hiermee blijft
de Threadripper-pc ook met de high-end
grafische kaart bij een idle desktop fluis-
terstil (0,1 sone). Op de website vind je ook
diverse links naar drivers. Ongeacht voor
welk systeem je kiest, veel plezier bij het
bouwen! (ddu) c
www.ct.nl/pc-bouwen-2019
Microsoft heeft voor administrators
en pc-fabrikanten in Windows mecha-
nismen ingebouwd waarmee een
installatie automatisch kan verlopen.
Daar kunnen ook alle andere gebrui-
kers die Windows vaak installeren
van profiteren.
Axel Vahldiek
Tijdens en na elke (her)installatie van
Windows moeten een aantal beslis-
singen genomen worden en als je
dat vaker doet, realiseer je je snel dat de
meeste daarvan altijd hetzelfde uitpakken.
Geen vragen, doorlopen!Windows geautomatiseerd installeren met antwoordbestanden
Afb
ee
ldin
g:
Th
ors
ten
Hü
bn
er
Het is handiger om het set-upprogramma
een bestand mee te geven waarin alles van
tevoren al is ingesteld. Dan stelt het pro-
gramma vervolgens alleen nog de vragen
die je per se elke keer wilt beantwoorden.
Die automatisering kan zelfs geheel vol-
ledig zijn, zodat er van het aanzetten van
een pc met een lege interne gegevensdra-
ger tot het verschijnen van het bureaublad
geen tussentijdse invoer nodig is.
De eenvoudigste manier om een ant-
woordbestand mee te geven is door het
naar een usb-stick te kopiëren en die in
de pc te stoppen voordat je de installa-
tie start. Het installatieprogramma zoekt
en gebruikt het bestand dan vanzelf, als
het tenminste de speciale naam Auto-
unattend.xml heeft. Als je toch al vanaf
een stick installeert, kan het bestand daar
ook meteen op. Instructies voor het maken
van een installatiestick staan in [1], en in
[2] staan aanvullende tips voor mensen die
Windows vaak installeren.
Je kunt eenvoudig zelf een antwoord-
bestand bij elkaar klikken met een gratis
programma van Microsoft. De gebrui-
kersinterface lijkt in het begin misschien
wat verwarrend, maar als je eraan went,
loont de tijdsbesparing, die des te groter
is naarmate je vaker een antwoordbestand
gebruikt. Bij wijze van inleiding laten we
hier zien hoe je met het antwoordbestand
60 c’t 2019, Nr. 3
Praktijk | Onbeheerde Windows-installatie
het installatieprogramma tijdens een stan-
daardinstallatie afl eert om vragen te stel-
len, met als voorbeeld Windows 10 versie
1803. Als je mee wilt doen, heb je twee
pc's of notebooks nodig: een apparaat om
het antwoordbestand bij elkaar te klikken
(werk-pc) en een ander om te testen of
alles werkt (test-pc).
VoorbereidingenEr moet minstens 10 GB ruimte beschik-
baar zijn op de harde schijf of ssd van de
werk-pc. Bovendien moet je nagaan of je
alleen 64-bit installaties wilt automatiseren
of ook 32-bit. Voor dat laatste is als uit-
gangspunt namelijk een 32-bit Windows
vereist. Het klinkt misschien raar, maar het
volgende is echt zo: op een 32-bit Windows
kun je antwoordbestanden genereren voor
zowel 32-bit als 64-bit installaties, maar op
een 64-bit Windows alleen voor 64-bit in-
stallaties.
Installeer de 'Windows Assessment and
Deployment Kit' (ADK) op de werk-pc. Die
kun je downloaden via de link onderaan dit
artikel. Let op, op de website staan verschil-
lende versies. Kies de versie die past bij de
Windows-versie op de werk-pc (zo nodig
kun je met winver de versie achterhalen).
Wat je downloadt, is niet meer dan een
klein installatieprogramma. Na de gebrui-
kelijke inleiding (het installatiepad, het ac-
cepteren van de licentie ...) krijg je de keuze
wat er allemaal geïnstalleerd kan worden.
Voor het maken van een antwoordbestand
hoef je alleen de 'Deployment Tools' van
iets minder dan 100 MB te selecteren. Na
de installatie vind je de 'Windows System
Image Manager' (WSIM) in het startmenu
onder 'Windows Kits'. Dat is het programma
dat we gaan gebruiken.
Waar je installatiemedium vandaan
komt, doet er voor het project zelf niet toe.
Het is wel belangrijk dat in de map sour-
ces een bestand staat met de naam install.
wim (dat bevat de installatie-images). Staat
in plaats daarvan echter een bestand met
de naam install.esd (een sterk gecompri-
meerde versie van het WIM-bestand), dan
moet je dat eerst converteren.
Eerste kennismakingDe WSIM eist om onbekende redenen dat
install.wim zich op een beschrijfbare schijf
bevindt, dus kopieer het bestand indien
nodig daarnaartoe. Start daarna de WSIM.
Klik in de menubalk onder File op 'Select
Windows Image' en open het bestand in-
stall.wim. Als er meerdere images zijn, se-
lecteer je er een. Meestal klaagt WSIM dan
dat het het catalogusbestand voor de ge-
selecteerde image niet kan openen omdat
het nog niet bestaat. Accepteer het aanbod
om het bestand aan te maken. Dat duurt
even. In de catalogus registreert WSIM
dan alles wat je tijdens de installatie van
de geselecteerde image mogelijk vooraf
kunt defi niëren.
In het gedeelte 'Windows Image'
verschijnt de net gemaakte catalogus
vervolgens als een boomstructuur. De bo-
venste twee niveaus zijn Components en
Packages. Dat laatste heeft betrekking op
bijvoorbeeld taalpakketten en dergelijke,
maar dat maakt voorlopig niet uit. Wel
belangrijk zijn de Components, waarover
direct meer.
Maak een leeg antwoordbestand ('File
/ New Answer File'). Ook daar zijn er Com-
ponents en Packages en ook daar kun je
die laatste weer negeren. Wat in eerste
61c’t 2019, Nr. 3
Praktijk | Onbeheerde Windows-installatie
Stap voor stap: selecteer een component in de catalogus en kies een fase.
Selecteer in het antwoordbestand de instelling waarvoor je een antwoord wilt opgeven.
instantie verwarrend kan zijn, zijn de van
1 tot 7 genummerde subitems onder Com-
ponents. Die verwijzen naar de zeven fasen
die een Windows-installatie kan doorlopen.
Voor elke fase kun je antwoorden opgeven.
Dat klinkt ingewikkelder dan het in wer-
kelijkheid is, want tijdens een standaard-
installatie worden slechts vier van die fasen
doorlopen en slechts twee daarvan zijn
hier belangrijk.
Na het opstarten vanaf het installatie-
medium start Windows PE en kopieert het
installatieprogramma de image naar de
interne schijf (fase 1: windowsPE). Daarna
start het nieuw geïnstalleerde Windows
en doorloopt het OOBE-proces dan de
gebruikersspecifieke instellingen (fase 7:
oobe- System, de afkorting staat voor out-
of-box-experience): Daar wordt de gebrui-
kersnaam toegewezen, het netwerk gecon-
figureerd, enzovoort. Details over alle fasen
van een Windows-installatie staan indien
nodig in het volgende artikel.
Dan ben je klaar voor de eerste invoer
in het antwoordbestand. De procedure
gaat in het kort als volgt: selecteer in de
catalogus in het gebied 'Windows Image'
een component die je aan het antwoord-
bestand wilt toevoegen. Vervolgens kies
je een fase van de installatie die op dat
onderdeel van toepassing is (hier 1 of 7).
Definieer ten slotte in het gedeelte Proper-
ties de instellingen die het installatiepro-
gramma later moet gebruiken.
De catalogusDe componenten in de catalogus hebben
allemaal lange namen volgens een bepaald
patroon. Ze beginnen allemaal met de
archi tectuur, dus x86 of amd64. Bij catalogi
voor 64-bit images is er ook nog wow64,
wat staat voor 'Windows on Windows 64'
en waarmee het 32-bit subsysteem be-
doeld is. Die wow64-componenten kun je
hier verder negeren.
Het volgende deel van de naam staat
voor de software waarop de component
van toepassing is, wat hier bijna uitsluitend
'Microsoft Windows' is. Alle componentna-
men eindigen altijd met het versienummer
en de taalversie. Voor een catalogus voor
een image van Windows 10 versie 1803 is
dat altijd 10.0.17134.1_neutral. Het inte-
ressantste deel van de naam staat in het
midden, want dat laat zien waar het al-
lemaal over gaat. Hieronder noemen we
verder alleen dat middendeel van de naam
voor elke component, dus amd64 of x86
ervoor en de rest erna mag je er zelf bij
denken.
Zodra je een onderdeel selecteert, ver-
schijnt rechtsboven in het gedeelte Proper-
ties onder Properties welke antwoorden je
voor dat onderdeel kunt opgeven. Als er
voor een vraag meerdere antwoorden te-
gelijk mogelijk zijn, worden ze in een su-
bitem gezet. Snuffel gerust wat rond om
een eerste indruk te krijgen, je kunt niets
kapot maken.
Tijdens het rondkijken is het een
goed idee om op F1 te drukken bij elke
onduidelijkheid. Dan beland je in Micro-
softs Engelstalige online Help, precies op
de goede plek. Die bestaat uit een map-
penstructuur. Links zie je een boomstruc-
tuur met alle componenten, in het grote
gedeelte rechts verschijnt de helptekst. Als
je in de WSIM een component had gese-
lecteerd voordat je op F1 drukte, kom je
meestal op een overzichtspagina met links
naar de vooraf gedefinieerde antwoorden.
Als je in WSIM in het rechterdeelvenster
Properties een instelling selecteert en op
F1 drukt, beland je op de bijbehorende
subpagina.
Helaas houdt Microsoft die helpfunc-
tie een beetje slordig bij. Soms kom je niet
in de tekst terecht waarnaar je op zoek
bent, maar op de overzichtspagina, en
moet je zelf doorklikken naar de gezochte
inhoud. Als die al beschikbaar is, want voor
sommige onderwerpen zijn er geen help-
teksten of zijn ze alweer verdwenen. Dan
moet je met een zoekmachine zelf verder
zoeken.
Het eerste antwoordDe eerste vraag die van het installatie-
programma tijdens het uitvoeren van een
standaard installatie komt betreft de taal-
instellingen en de antwoorden staan in
de catalogus in de component 'Windows-
International-Core-WinPE' (niet te verwar-
ren met 'Windows-International-Core'). In
de online Help kun je zien bij welke fase
van de installatie het onderdeel hoort en
in dit geval staat daar: 'can be applied only
in the windowsPE configurationpass'. De
component past dus alleen in de eerste
fase.
Als je het aan het antwoordbestand
wilt toevoegen, klik je in 'Windows Image'
met de rechtermuisknop op de compo-
nent 'Windows-International-Core-WinPE'
en kies je 'Add Setting to Pass 1 windows-
PE'. Hij verschijnt dan in het middelste
venster. Als je hem daar selecteert, kun je
aan de rechterkant onder Properties ant-
woorden invullen. Welke het installatie-
programma accepteert, blijkt uit de online
Help. De taal wordt gedefinieerd door een
tekenreeks die bestaat uit een taalcode en
een regio. Dat klinkt ingewikkeld, maar het
62 c’t 2019, Nr. 3
Praktijk | Onbeheerde Windows-installatie
Druk op F1 om de online Help te openen. Je komt meteen op de juiste plaats – meestal althans.
Voer het antwoord in en laat dat vervolgens nakijken door de WSIM.
is simpel: 'en-US' staat voor de Engelse taal
en de regio VS, 'en-GB' staat voor Engels
en Groot-Brittannië, 'nl-NL' voor Neder-
lands in Nederland en 'nl-BE' voor Neder-
lands in België. Welke combinaties je kunt
kiezen, vind je bij de hulpteksten van de
afzonderlijke antwoorden steeds via links,
die 'Available Language Packs' of 'Suppor-
ted Language Packs and Default Settings'
heten, maar steeds dezelfde informatie
bevatten.
InputLocale is de toetsenbord-
indeling, SystemLocale dan de standaard-
taal voor de bitmap lettertypen en de
codetabellen, UI Language de taal van de
gebruikersinterface en UserLocale defini-
eert de tijd- en valuta-opmaak. Als je die
antwoorden opgeeft, verschijnt het dia-
loogvenster voor het selecteren van de
taal niet aan het begin van de installatie.
Voer hetzelfde in bij alle vier, bijvoorbeeld
nl-NL. Standaard installatiemedia zijn maar
beperkt meertalig en het gaat hier alleen
nog maar over Windows PE en niet over de
eigenlijke installatie die later op de schijf
komt – daarvoor bestaan afzonderlijke
componenten, waarover later meer. Klik
daarvoor in het rechterdeelvenster Proper-
ties rechts van een instelling, waarna een
cursor verschijnt. Maar pas op, het smalle
kader rond het invoerveld is op sommige
monitoren moeilijk te zien.
Je kunt LayeredDriver negeren als je
geen Japanse of Koreaanse toetsenbord-
indelingen nodig hebt. Je kunt UILanguage-
FallBack ook negeren omdat dat de taal is
voor niet-gelokaliseerde bronnen, maar die
is voor Nederlandstalige Windows-images
meestal toch ingesteld op Engels. In dit
voorbeeld zie je ook dat je niet altijd alle
instellingen van een component hoeft in
te vullen in het antwoordbestand, maar al-
leen de instellingen die je echt van tevoren
wilt invullen.
Nog meer talenIn het antwoordbestand staat onder 'Win-
dows-International-Core-WinPE' het item
SetupUILanguage. Dat gaat over de taal
van het installatieproces zelf. Er zijn twee
instellingen: UILanguage en WillShowUI.
Bij de eerste kun je weer de gewenste
taalcode invoeren. De tweede is volgens
de online Help 'deprecated', dat wil zeg-
gen verouderd, en kan volgens Microsoft
beter niet meer gebruikt worden. Je kunt
dergelijke instellingen nog steeds gebrui-
ken, maar dan moet je er rekening mee
houden dat ze in toekomstige versies van
Windows niet meer meegenomen worden
en dat ze ook niet langer door Microsoft
getest worden.
De WSIM controleert automatisch op
bekende fouten bij het invoeren van een
eigenschap, die vervolgens onder in het
deelvenster Messages zullen verschijnen.
Daar kun je echter niet te veel op vertrou-
wen. Als de controle iets te klagen heeft,
is dat meestal terecht, maar als hij alles
goed vindt, betekent dat echter nog niet
dat alles inderdaad ook correct is. Je kunt
een nieuwe controle starten door in het
menu Tools de optie 'Validate Answer File'
te kiezen.
Installatie-image kiezenTijdens een standaardinstallatie volgt
dan de beslissing welke image op de
schijf wordt gezet. Dat wordt meestal
geregeld door een installatiesleutel in te
voeren. Als je er een voor Windows Home
invult, komt Windows Home op de schijf.
Je kunt de sleutel opgeven bij de com-
ponent Windows-Setup, maar voeg die
nog niet toe aan het antwoordbestand.
Bij 'Windows-Setup' kun je namelijk veel
dingen configureren die niet nodig zijn
voor een standaardinstallatie. Het ant-
woordbestand blijft overzichtelijker als
je die niet toevoegt via het contextmenu
van 'Windows-Setup' maar via 'Windows-
Setup/UserData/ProductKey'. Als je een
keer verkeerd klikt, is dat ook niet erg. Je
kunt onnodige componenten in het deel-
venster 'Answer File' selecteren en vervol-
gens verwijderen door op de knop Delete
te drukken.
Bij de eigenschappen van ProductKey
kun je de gewenste installatiesleutel in-
voeren. Het format is 12345-12345-12345-
12345-12345. Bij het testen was het echter
niet voldoende om de sleutel in het ant-
woordbestand op te slaan. We moesten
ook invoeren welke image er precies ge-
selecteerd moest worden. Daarvoor zet je
de naam van de image in een ander ant-
woord. Je kunt de namen van de edities
in install.wim laten weergegeven met de
volgende dism-opdracht in een opdracht-
prompt met administratorrechten (pad en
bestandsextensie aanpassen):
dism /get-wiminfo
/wimfile:f:\sources\install.wim
Terug naar de WSIM. Voeg de volgende
component toe aan fase 1: 'Windows-
Setup/ImageInstall/OSImage/Install-
From/MetaData' (Let op: OSImage, niet
DataImage). Bij Key hoort /IMAGE/NAME
(zonder spaties ertussen) en bij Value voer
je de naam in, bijvoorbeeld Windows 10
Pro.
63c’t 2019, Nr. 3
Praktijk | Onbeheerde Windows-installatie
Dit dialoogvenster, dat verschijnt na het selecteren van de Windows-image in WSIM, lijkt in eerste instantie een foutmelding, maar zegt uiteindelijk alleen met veel woorden dat je moet bevestigen om verder te gaan.
Je hoeft niet elk ant-woord zelf in te vullen, soms kun je ook kiezen uit een menu.
Steeds een andere imageAls je niet vooraf een image wilt selecte-
ren, kun je toch een antwoordbestand ge-
bruiken voor al het andere, maar je mag
de component voor de installatiesleutel
niet weglaten, anders stopt het installatie-
programma later met een foutmelding.
Voeg daarom de component 'Win-
dows-Setup/UserData/ProductKey' toe aan
het antwoordbestand, laat Key leeg en stel
WillShowUI in op Always. Dan vraagt setup.
exe later eerst om de sleutel, en als je die
niet invoert, biedt het de gevonden ima-
ges aan om uit te kiezen. Let op! De extra
antwoorden die in de vorige paragraaf in
de component 'Windows-Setup/ImageIn-
stall/OSImage/InstallFrom/MetaData' wor-
den genoemd, mag je in dat geval niet
toevoegen.
Bij de component 'Windows-Setup' kun
je nog meer instellen. Onder UserData kun
je kiezen voor het automatisch instemmen
met de licentievoorwaarden (AcceptEULA
op true) en kun je de naam en organisatie
van de eigenaar vastleggen.
Het onderdeel 'Windows-Setup' bevat
ook netwerk- en firewallinstellingen, maar
let op: houd er rekening mee dat dit over
de PE-fase gaat. F1/Help is ook hier weer
je beste vriend, omdat daar duidelijk staat
dat de antwoorden niet van toepassing
zijn op de latere installatie. Dat geldt voor
alle componenten. Kijk rond in hun eigen-
schappen of er iets van je gading bij zit,
maar vertrouw nooit op de eerste indruk,
kijk altijd in de Help om duidelijkheid te
krijgen.
De doelpartitieDan komt de volgende vraag van het in-
stallatieprogramma. Op welke partitie
moet Windows geïnstalleerd worden?
Daar gaapt een enorme valkuil omdat de
antwoorden die je kunt geven bedoeld zijn
voor systeembeheerders en pc-fabrikanten
die in één keer een groot aantal identieke
machines met uniforme installaties behe-
ren en geen rekening hoeven te houden
met bestaande gegevens. Dat heeft tot
gevolg dat je het antwoordbestand zoda-
nig kunt vullen met antwoorden dat het
installatieprogramma de interne schijf later
volledig wist, alle partities nieuw instelt en
Windows daarna installeert. Maar als je een
set-upstick met zo'n antwoordbestand op
de verkeerde computer aansluit en er ver-
volgens per ongeluk ook nog van opstart,
gaan vervolgens alle gegevens verloren.
Maar je mag het natuurlijk altijd probe-
ren. Je vindt de antwoorden in het onder-
deel 'Windows-Setup' onder 'Disk-Configu-
ration'. Houd er bij het configureren van die
instellingen rekening mee dat de partitio-
nering aan bepaalde eisen moet voldoen
en er ook van afhangt of de pc opstart in de
UEFI- of Classic BIOS Mode (CSM). Ga ver-
antwoord om met de op die manier voor-
bereide installatiemedia. Voorkom dat een
leek er ooit een te pakken krijgt. Het is wel
eens gebeurd dat iemand zonder te vra-
gen zo'n stick leende, de pc de volgende
ochtend opstartte en toen hij terugkwam
met de koffie niet zijn vertrouwde instal-
latie zag, maar verwelkomd werd door een
nagelnieuwe Windows-versie.
Je kunt dergelijke ongelukken vermij-
den door de partitionering niet door Auto-
unattend.xml te laten doen. Dat maakt het
ook mogelijk om een per ongeluk gestarte
installatie alsnog te annuleren. Op het mo-
ment dat het dialoogvenster voor het se-
lecteren van de doelpartitie verschijnt, is er
nog niets op de schijf gewijzigd.
OOBEDe antwoorden voor de PE-fase heb je
daarmee rond. Dan wordt het tijd voor
die voor de OOBE-fase. Ook die wil weer
informatie over de taalinstellingen. Die in-
stellingen bevinden zich onder 'Windows-
International-Core' (deze keer zonder 'Win-
PE' in de naam). Voeg dat onderdeel toe
aan fase 7. Je kent de eigenschappen van
de component al van de gelijknamige voor
de PE-fase.
Nog veel meer antwoorden vind je
in de component 'Windows-Shell-Setup/
OOBE'. Voeg ze toe aan het antwoordbe-
stand. De voor te definiëren instellingen
64 c’t 2019, Nr. 3
Praktijk | Onbeheerde Windows-installatie
Je hoeft niet de hele component aan het antwoord bestand toe te voegen, soms zijn delen voldoende.
Je kunt per ongeluk toegevoegde of overbodige componenten uit het antwoordbestand makkelijk verwijderen.
spreken meestal voor zich. Je kunt ver-
schillende dialoogvensters verbergen door
de instelling steeds op true te zetten: de
licentievoorwaarden (HideEULAPage), een
lokaal (HideLocalAccountscreen) of on-
line-account maken (HideOnlineAccount-
Screens), wifi (HideWirelessSetupInOOBE)
en, indien aanwezig, de OEM-registratie
(HideOEMRegistrationScreen) worden dan
allemaal overgeslagen.
Je kunt daar alle andere instellingen
negeren, op één uitzondering na: Protect-
YourPC. F1 leidt tot de verbluffende conclu-
sie dat je daar eventueel een 1, 2 of 3 kunt
invullen, maar dat 1 en 2 hetzelfde bete-
kenen. De reden is dat daar vóór Windows
10 het gedrag van Windows Update mee
werd geregeld, maar dat Microsoft de optie
een nieuwe taak heeft gegeven. Hij stuurt
nu de privacy-instellingen aan, die anders
in het installatieprogramma worden afge-
vraagd. Bij 1 of 2 lijkt het alsof je alle vragen
ineens hebt geaccepteerd en bij 3 alles in
één keer hebt afgewezen. Concreet zijn dat
de dialoogvensters voor spraakherkenning,
locatie, apparaat vinden, de grootte van
diagnostische gegevens, verbetering van
handschriftherkenning en invoerdetectie,
aangepaste ervaringen door het gebruik
van diagnostische gegevens en om apps
een reclame-ID te laten gebruiken.
Onder OOBE zie je in het antwoord-
bestand het item VMModeOptimizations
staan, dat daar niet nodig is. Het bevat
speciale antwoorden voor gebruik in een
virtuele omgeving (details zoals gebruike-
lijk met F1). Selecteer het item en druk op
de Delete-toets om het te verwijderen.
Als je de HideLocalAccount Screen onder
OOBE op true hebt gezet, moet je nog een
ander antwoord definiëren, anders kun je je
later door het ontbreken van een account
niet bij de nieuwe installatie aanmelden.
Voeg 'Windows-Shell-Setup/UserAccounts/
LocalAccounts' toe aan fase 7. In het mid-
delste venster 'Answer File' open je het con-
textmenu van LocalAccounts en selecteer je
de optie om een nieuw LocalAccount in te
voegen. Bij de instellingen vul je de gebrui-
kersnaam in bij Description, DisplayName
en Name (dat mag steeds hetzelfde zijn). Bij
Group vul je een groep in. Ten minste één
vooraf gedefinieerd account moet behoren
tot de groep van beheerders, dus moet je
Administrators invoeren. Let op! WSIM con-
troleert de juiste spelling op dat punt niet,
omdat er naast de al gedefinieerde groepen
ook andere kunnen zijn, met willekeurige
namen.
Onder het zojuist aangemaakte ac-
count kun je bij Password een wacht-
woord definiëren. Om te voorkomen dat
iemand dat kan lezen, klik je in het menu
onder Tools op 'Hide Sensitive Data'. Ver-
volgens verschijnt er een klein vinkje
voor die menu optie. In het XML-bestand
komt dan alleen een onleesbare hash-
waarde. Microsoft wijst er echter op dat dit
beschermings niveau niet gelijk staat aan
versleuteling en raadt aan om dergelijke
antwoordbestanden veilig te bewaren.
Testrun
Je hebt dan alle antwoorden bij elkaar en
bent klaar voor een testrun. Sla het be-
stand op in de menubalk bij 'File / Save
Answer File' en geef het de naam Auto-
unattend.xml. Let op! Omdat het instal-
latieprogramma dat bestand zelf moet
vinden, moet het echt Autounattend.xml
heten en niet Autounattended.xml, zoals
her en der op internet te lezen is. Kopieer
het bestand vervolgens naar de hoofdmap
van de usb-stick en voer een proefinstal-
latie uit op de test-pc. Het XML-bestand
moet gedurende het hele installatieproces
beschikbaar blijven, dus mag je de stick in
de tussentijd niet verwijderen.
Als dat gelukt is, kun je het antwoord-
bestand verder naar wens aanpassen. Ove-
rigens kan naast de helpfunctie/F1 nog een
andere optie van de WSIM van pas komen:
het vergrootglas op de werkbalk. Daarmee
kun je zoeken naar instellingen met een
bepaalde naam. Houd er rekening mee dat
alle instellingen Engelstalig zijn en geen
spaties hebben, dus werkt zoeken naar bij-
voorbeeld ProductKey alleen als je het aan
elkaar schrijft.
In het derde artikel staan meer tips
voor de WSIM. Mocht je instellingsbestan-
den willen uitwisselen met anderen, besef
dan dat je het XML-bestand gewoon kunt
openen met een gewone teksteditor en de
delen die je wilt uitwisselen kunt kopiëren
en plakken. (nkr) c
Literatuur
[1] Axel Vahldiek, Installatie-stick, Maak een usb-
stick om Windows 10 te installeren, c't 11/2018,
p.118
[2] Axel Vahldiek, Een voor allen, Tips voor Windows
10 installatiesticks, c't 11/2018, p.122
www.ct.nl/softlink/1903060
65c’t 2019, Nr. 3
Praktijk | Onbeheerde Windows-installatie
Vanuit het perspectief van een ge-
bruiker is een Windows-installatie
eigenlijk vrij saai. Maar onder de
motorkap gebeuren er genoeg
spannende dingen, en veel daar -
van kun je beïnvloeden.
Axel Vahldiek
Het Windows-installatieprogram-
ma moet veel doen: de schijf par-
titioneren, de systeembestanden
op de juiste plaats zetten, de bootloader
instellen, van alles configureren, enzo-
voort. Veel daarvan kan vooraf worden
gedefinieerd en geautomatiseerd. Een in-
stallatie doorloopt vandaag de dag maxi-
maal zeven fasen. Weten welke dat zijn
vergemakkelijkt niet alleen het werk van
een beheerder, maar helpt ook bepaalde
gedragingen van het besturingssysteem
beter te begrijpen.
Hieronder beschrijven we de zeven
fasen in de terminologie die ook ge-
bruikt wordt door Microsofts 'Windows
System Image Manager' (WSIM). Met dit
programma kun je zogeheten antwoord-
bestanden maken die het installatie-
programma van Windows beïnvloeden.
Hoe je dat doet, lees je in het artikel
hiervoor.
De eerste stappenDe eerste fase van een installatie wordt
in de WSIM aangeduid met de naam win-
dowsPE. Dat verwijst naar het opstarten
van het mini-besturingssysteem Windows
PE, waaronder het eerste deel van de in-
stallatie wordt uitgevoerd en het instal-
latieprogramma setup.exe wordt gestart.
De letters PE staan voor Preinstallation
Werk in opdrachtHoe een Windows-installatie verloopt – en waar je kunt ingrijpen
FasenEen standaardinstallatie van Windows doorloopt vier fasen. Administrators en pc-fabrikanten kunnen ze allemaal beïnvloeden en tijdens andere fasen nog meer aanpassen.
Windows Setup
Sysprep
windowsPE offlineServicing specialize oobeSystem
generalize auditSystem auditUser
Environment, meer informatie daarover
hebben we gepubliceerd in [1].
Tijdens de eerste fase verricht het in-
stallatieprogramma drie taken. Het parti-
tioneert de harde schijf of ssd en kiest de
doelpartitie als je dat zelf niet wilt doen.
Het zet ook een image op de doelpartitie
en voorziet die van een bootloader.
De image bevindt zich in een be-
stand met de naam install.wim of install.
esd in de map sources van het installatie-
medium. Als setup.exe in de ACPI-tabel
'MSDM' in de firmware van het moe-
derbord een Windows-installatiesleutel
vindt en een overeenkomende image op
het installatiemedium, wordt die image
automatisch geselecteerd. Anders vraagt
het de gebruiker om een sleutel of haalt
die uit een antwoordbestand.
Ten slotte wordt in die fase dan het
wachtwoord voor het standaard inactie-
ve account 'Administrator' toegewezen
(details over de beheerder onder Win-
dows vind je indien gewenst in een c't
FAQ [2]). Tenzij er iets anders is geregeld
in een antwoordbestand of er al een
wachtwoord in de image aanwezig is,
blijft dat leeg.
Dan volgt de tweede fase, offline-
Servicing. Hier controleert het installa-
tieprogramma of het de geïmporteerde
image moet aanvullen met extra updates,
stuurprogramma's en taalpakketten en
doet dat indien nodig. Bij een standaard-
installatie is er echter alleen iets aan te
vullen als je setup.exe niet start vanaf
het installatiemedium, maar onder een
reeds actieve Windows, om bijvoorbeeld
een parallelle installatie te starten. Dan
biedt setup.exe aan om eerst de beschik-
bare updates voor de komende installatie
te downloaden voordat de pc opnieuw
wordt opgestart om Windows PE op te
starten en dan het eigenlijke installatie-
proces te starten. Bij de tweede fase wor-
den de gedownloade updates vervolgens
geïnstalleerd in de gekopieerde image.
Daarmee is het werk van het installatie-
programma voltooid en wordt de pc op-
nieuw opgestart.
Na opnieuw opstartenDe volgende keer dat de pc wordt op-
gestart, wordt het nieuw geïnstalleerde
Windows-systeem opgestart, ook al ziet
dat er tijdens een nieuwe installatie niet
zo uit. Dat komt doordat Microsoft er bij
standaard-images voor heeft gezorgd dat
na de eerste start nog meer instellings-
dialoogvensters volgen voordat je de
desktop te zien krijgt. Dat gebeurt op-
nieuw in twee fasen. Het begint met de
fase specialize. Daarin gaat het om sys-
teemspecifieke instellingen. Daar wordt
onder andere de systeem-SID van de
nieuwe installatie gemaakt en de daar-
van afgeleide SID's van de standaard-
gebruikersaccounts en -groepen. Die
66 c’t 2019, Nr. 3
Knowhow | Windows-installatie
Administrators kunnen tijdens het installeren van Windows de 'System Monitor Mode' inschakelen. Vervolgens kun je diverse apparaten installeren en configureren om een aangepaste installatie-image te maken.
Literatuur
[1] Axel Vahldiek, Laatste redmiddel, Los problemen
op met het mini-besturingssysteem Windows PE,
c't 7-8/2018, p.114
[2] Axel Vahldiek, FAQ: Administratorrechten in
Windows 10, c't 10/2018, p.56
ID's helpen dan om toegangsrechten te
beheren, maar kunnen ook computers,
accounts en groepen in een netwerk
identificeren.
Een antwoordbestand kan ook van
invloed zijn op de 'Windows-functies'.
Dat zijn de functies die na het installe-
ren in het Configuratiescherm staan bij
'Programma's en onderdelen' in Windows
7 en in Windows 10 (klik links op 'Win-
dows-onderdelen in- of uitschakelen').
Bovendien worden in die fase de net-
werk-, taal- en domeininstellingen ge-
configureerd. Ten slotte wordt de hard-
ware voor de eerste keer gedetecteerd
en worden voor de herkende apparaten
de stuurprogramma's geïnstalleerd waar-
over Windows standaard beschikt. Ove-
rigens gebeurt dat laatste elke keer dat
je herstart.
Bij een standaardinstallatie volgt dan
de laatste fase, oobeSystem (Out-of-Box
Experience). Dan gaat het om gebruikers-
specifieke instellingen en verschijnen bij-
voorbeeld de dialoogvensters voor het
maken van het eerste gebruikersaccount,
voor verbinding met een wifinetwerk,
voor de privacy-instellingen, enzovoort.
Pas als je daarmee klaar bent, verschijnt
het bureaublad. Als er dan een internet-
verbinding beschikbaar is, probeert Win-
dows de ontbrekende stuurprogramma's
en updates te laden. Daarna is de instal-
latie voltooid.
Speciaal geval: SysprepEr zijn andere fasen waarin je een instal-
latie kunt beïnvloeden, maar die wor-
den meestal niet doorlopen. In plaats
daarvan gaat het om het voorbereiden
van aangepaste installaties, zodat je die
in een image kunt verpakken, die dan
vervolgens op andere machines geïn-
stalleerd kan worden. De doelgroep
daarvoor zijn bijvoorbeeld beheerders
en pc-fabrikanten die hun apparaten wil-
len afleveren met vooraf geïnstalleerde
toepassingen, achtergrondafbeeldingen,
stuurprogramma's, enzovoort. Ook Mi-
crosoft maakt zijn installatie-images op
die manier.
De betreffende tool mag je beslist!
niet! starten als je niet precies weet wat
hij aanricht. Anders loopt je Windows-
installatie namelijk groot gevaar. Het
programma is ontworpen om informatie
en gegevens uit een bestaande instal-
latie te wissen die administrators en pc-
fabrikanten in de weg zouden staan. Het
gaat dan om de 'System Preparation Tool'
Sysprep, die sinds Windows Vista met het
ongewijzigde versienummer 3.14 in alle
Windows-versies aanwezig is [4].
Sysprep kan toekomstige installa-
ties op twee manieren beïnvloeden. De
eerste is 'OOBE (Out-of-Box Experience)
van systeem starten'. De installatie wordt
zodanig voorbereid dat bij de volgende
start de fase 'oobeSystem' opnieuw door-
lopen wordt. Vervolgens kun je Windows
afsluiten en in een image inpakken. Het
is echter aan te raden om ook de optie
'Generaliseren' te activeren. Dan door-
loopt Windows namelijk eerst nog de
fase generalize, waarin alle informatie
die voor de pc is geïndividualiseerd weer
wordt weggegooid. Dat zorgt ervoor dat
bij de volgende start vóór 'oobeSystem'
dan eerst de fase 'specialize' nog wordt
doorlopen.
Het tweede type is de 'Systeemcon-
trolemodus starten'. Die kun je al tijdens
de installatie bereiken via een antwoord-
bestand of door op Ctrl+Shift+F3 te druk-
ken wanneer de OOBE-dialoogvensters
verschijnen, maar ook later via Sysprep.
In die modus maakt de installatie als het
ware een omweg. Het bureaublad ver-
schijnt rechtstreeks, zonder de OOBE-
query's, maar het bovenvermelde en
eigenlijk uitgeschakelde account 'Admi-
nistrator' is wel aangemeld. Er bestaat
nog geen individueel gebruikersaccount.
Bovendien verschijnt het Sysprep-ven-
ster. Dan kun je stuurprogramma's en
toepassingen installeren en systeem- en
gebruikersspecifieke instellingen aan-
passen. Als opnieuw opstarten nodig is,
verschijnt het Sysprep-venster daarna
opnieuw en ben je opnieuw als Admin-
strator aangemeld.
Als je de staat waarin Windows zich
in de controlemodus bevindt van te-
voren wilt beïnvloeden, kan dat weer
met het antwoordbestand. In de fase
auditSystem kun je bijvoorbeeld extra
stuurprogramma's installeren, de beeld-
schermresolutie aanpassen en ook het
bureau bladthema instellen.
In de onmiddellijk daarop volgende
fase audit User worden onder meer het
vergrendelingsscherm en de taakbalk
aangepast en de standaardbrowser, e-
mailclient en mediaspeler gedefinieerd.
Na alle aanpassingen laat je Sysprep Win-
dows afsluiten met de optie 'OOBE (Out-
of-Box Experience) van systeem starten'
en (facultatief ) 'Generaliseren' en maak
je de image. Daarmee kun je Windows
met alle afzonderlijke aanpassingen dan
in één keer en op een willekeurig aantal
computers installeren. (nkr) c
67c’t 2019, Nr. 3
Knowhow | Windows-installatie
68 c’t 2019, Nr. 3
rubriek | rubriek rubriek rubriek
Axel Vahldiek
Met de Windows System Image Manager
(WSIM) kun je een antwoordbestand voor
een onbeheerde installatie bij elkaar klik-
ken. Hoe je dat doet, lees je in het eerste
artikel op pagina 60 in dit nummer. Hier
volgen enkele aanvullende tips.
Oudere Windows-versies
? In het eerste artikel over de WSIM
staat hoe je een antwoordbestand
kunt maken met als voorbeeld Windows
10. Werkt dat ook met oudere versies van
Windows?
ßJa, de procedure is daarbij grotendeels
het zelfde. Maar een echt massale
her installatie van Windows 7 is echter
af te raden. De ondersteuning voor dat
besturingssysteem eindigt immers op 14
januari 2020 en dat is al binnen een jaar.
Cortana uitschakelen
? Ik werk niet met een Nederlandse
ver sie van Windows. Wat me bij mijn
herhaalde installaties nog meer stoort dan
altijd dezelfde muisklikken is het irritante
gebabbel van Cortana. Daar worden mijn
collega’s ook regelmatig gestoord van. Kan
ik Cortana met een antwoordbestand het
zwijgen opleggen?
ß Ja, dat kan. Er moet aan twee vereisten
worden voldaan. De eerste is dat in het
antwoordbestand ook echt alle vragen
van Cortana beantwoord worden. Dat zijn
dan alle vragen uit de OOBE-fase. Als je er
één weglaat, zoals het gebruikersaccount,
omdat dat elke keer een andere toewijzing
krijgt, klinkt de stem toch gewoon weer uit
de luidspreker.
Tweede voorwaarde: Windows mag tij-
dens de OOBE-fase geen online verbinding
tot stand brengen. Anders laat Cortana op
een gegeven moment opnieuw van zich
horen met de opmerking dat je een aan-
tal belangrijke stappen voor de installatie
moet uitvoeren, om dan toch gewoon door
te gaan zonder je tussenkomst. De enige
oplossing die we daarvoor vonden was de
netwerkverbinding verbreken.
Wat meer geïmproviseerd, maar ook
wel be trouwbaarder is het overigens om
een defecte koptelefoon aan te sluiten op
de hoofdtelefoonaansluiting.
Stick blijft booten
? Ik wil onbeheerd kunnen installeren
vanaf een stick, maar stuit daarbij
op een probleem: na de eerste herstart
start de pc opnieuw op vanaf de stick en
begint het installeren opnieuw. Als ik de
stick tijdens het opnieuw opstarten dan
verwijder, moet ik zelf weer vragen gaan
beantwoorden.
ß Omdat het bestand Autounattend.
xml tijdens het hele installatieproces
beschikbaar moet blijven, mag kun je
de stick niet zomaar verwijderen. De
oplossing werkt heel anders. Stel bij de
BIOS-instellingen de pc zodanig in dat hij
gaat opstarten vanaf de interne disk. Zorg
er indien nodig bij de BIOS-instellingen
voor dat het BIOS-opstartmenu na het
inschakelen kan worden opgeroepen.
Gebruik dat menu om de stick één keer te
starten.
Overigens gaat daar nog een valstrik
achter schuil. De UEFI-firmware van een
moderne pc kan immers niet alleen in de
UEFI- modus worden opgestart, maar heeft
ook een Compatibility Support Module
(CSM) om een klassieke BIOS-start te emu-
leren. Vaak kun je bij de BIOS- instellingen
aangeven of de pc via UEFI of op de klassie-
ke manier moet opstarten. Een Windows-
installatiestick kan beide.
Dat ziet de UEFI-firmware echter ook
en laat de stick dan twee keer zien in het
opstartmenu: eenmaal als UEFI en een-
maal als CSM-opstartmogelijkheid, ook al
is maar een van de twee ingesteld bij de
BIOS-instellingen.
Als je dan het item selecteert dat niet
overeenkomt met de instelling in het BIOS,
mislukt het installeren door het verkeerde
partitieschema (MBR in plaats van GPT of
omgekeerd). Dat blijkt dan doordat het in-
stallatieprogramma weigert om Windows
op de toegewezen doelpartitie te installe-
ren. Maar het kan ook zijn dat de pc her-
haaldelijk vanaf de stick gaat opstarten
omdat het Windows-installatieprogramma
voor het kopiëren van de image de schijf
eerst wil partitioneren. Wat dan vervol-
gens met het verkeerde schema gebeurt,
waardoor de pc niet meer kan opstarten.
Controleer in een dergelijk geval altijd de
instellingen van het BIOS.
Installatiesleutel
? Als ik een bepaalde editie wil voor-
selecteren, moet ik een bijpassende
sleutel opgeven in het antwoordbestand.
Maar ik ben er een beetje bang voor dat
Microsoft die sleutel bij herhaald gebruik
uiteindelijk een keer zal gaan blokkeren.
En daar kan ik me ook niet eens over gaan
beklagen, omdat ik mijn sleutel natuurlijk
sowieso eigenlijk niet mag gebruiken voor
meerdere installaties. Wat zijn dan de
mogelijkheden?
ß Je moet de sleutel na het installeren
van Windows inderdaad vervangen.
Maar je kunt je wel beschermen tegen
het blokkeren van een bepaalde sleu tel.
Gebruik gewoon een generieke installatie-
sleutel in plaats van een sleutel die je zelf
hebt aangeschaft.
Microsoft stelt dergelijke sleutels zelf
ter beschikking (zie voor een overzicht
de tabel hieronder). Daarmee kun je Win-
dows vervolgens gaan installeren, maar
dan (uiteraard) niet activeren. Wil je de
Windows-installatie langer gaan gebrui-
ken, dan moet je de sleutel later vervan-
gen door een eigen sleutel en Windows
op de officiële manier activeren. De sleu-
tels hieronder werken zowel voor de 32-
als de 64-bit varianten. (nkr) c
FAQ | Schlagwort
FAQ
Generieke sleutels
Editie Sleutel
Home YTMG3-N6DKC-DKB77-7M9GH-8HVX7
Home N 4CPRK-NM3K3-X6XXQ-RXX86-WXCHW
Pro VK7JG-NPHTM-C97JM-9MPGT-3V66T
Pro N 2B87N-8KFHP-DKV6R-Y2C8J-PKCKT
Pro for Workstations DXG7C-N36C4-C4HTG-X4T3X-2YV77
Pro N for Workstations WYPNQ-8C467-V2W6J-TX4WX-WT2RQ
Enterprise Eval 7HBDQ-QNKVG-K4RBF-HMBY6-YG9R6
Windows System Image ManagerAntwoorden op veelgestelde vragen
Pi-memberMeld je nu aan als
Pi-member en
geniet van vele voordelen
www.pistore.nl
Dé expert op het gebied van Raspberry Pi’sen toebehoren
70 c’t 2019, Nr. 3
Test | SATA-ssd's
SATA-ssd's in een 2,5"-behuizing
zijn redelijk goedkoop en standaard
voor desktop-pc's. Een SATA-ssd als
M.2-module is iets duurder, maar
past makkelijk in een notebook. Zijn
ze ook voor desktop-pc's een goede
keus?
Lutz Labs
De prijzen van ssd's gaan nog maar
één kant op: omlaag. Je kunt zelfs
voor minder dan honderd euro al
een 1TB-ssd van een bekend merk kopen.
Steeds meer pc-bezitters zullen hun harde
schijf met pensioen sturen. De meesten
kopen eenvoudigweg een 2,5-inch SATA-
ssd die op dezelfde kabel kan worden aan-
Ssd-tweestrijdSsd's met SATA-controller: een 2,5-inch model of een M.2?
gesloten als de oude harde schijf. Maar als
je moederbord een M.2-slot heeft, kun je
ook daar een ssd-module in plaatsen (zie
het artikel hierna voor een overzicht van
ssd-aansluitingen). PCIe-ssd's zijn nog
duurder dan SATA-ssd's en bieden in de
praktijk weinig meerwaarde. Bij veel moe-
derborden zijn M.2-SATA-ssd's optioneel.
Doorgaans zijn M.2-ssd's een paar euro
duurder dan vergelijkbare modellen in een
2,5"-uitvoering. Maar er wordt vaak be-
weerd dat ze de warmte die bij het schrij-
ven ontstaat niet zo goed kunnen afvoeren
als ssd's in een 2,5"-behuizing. Dat zou lei-
den tot mindere schrijfprestaties. Om dat
te testen, hebben we ssd's in beide uitvoe-
ringen van vier verschillende fabrikanten
in huis gehaald. Het gaat om modellen
met een capaciteit van ongeveer 500 GB:
de Crucial MX500, de Kingston UV500, de
Samsung 860 Evo en de WD Blue SSD.
M.2 versus 2,5-inchController, flashgeheugen en ook DRAM-
cache zijn voor beide uitvoeringen gelijk.
Bij de ssd's van Crucial en Kingston heeft
ook de firmware hetzelfde versienummer.
Het energieverbruik is bij de ssd's van
Samsung en WD ook hetzelfde. Dat heb-
ben we gemeten met de M.2-ssd's in een
SATA-adapter, die ongeveer 60 mW ver-
bruikt. Bij Crucial en Kingston hebben de
M.2-uitvoeringen tot 800 mW meer nodig
bij lezen en schrijven.
BenchmarksBij de benchmarks vallen de verschillen
tussen uitvoeringen in een 2,5"-behuizing
71c’t 2019, Nr. 3
Test | SATA-ssd's
en als M.2-module binnen de foutmarge.
Bij het lezen zitten bijna alle ssd's daarbij
tegen de SATA-limiet aan van 560 MB/s
– alleen de UV500 is met 540 MB/s iets
langzamer.
Bij het schrijven worden de verschil-
len echter groter. Als de SLC-cache vol is,
zakken de snelheden naar wat het flash-
geheugen en de controller daadwerkelijk
presteren. Dat is vooral bij de UV500 ma-
gertjes: 200 MB/s is erg weinig voor een
ssd. De Blue-modellen komen tot circa 430
MB/s, de MX500 en 860 Evo halen 520 res-
pectievelijk 540 MB/s (allemaal gemeten na
een minuut schrijven).
De waarden voor toegang tot wille-
keurige adressen zitten bij de MX500, 860
Evo en Blue SSD eveneens bovenin het
SATA-bereik. De UV500 valt ook hier wat
tegen, maar is altijd nog veel sneller dan
een harde schijf.
Warmlopers
Maar dan het belangrijkste punt: het op-
warmen. Remmen de M.2-ssd's daardoor
meer af of niet?
Cooling-downDe M.2-ssd Crucial MX500 houdt zijn schrijfsnelheid van bijna 500 MB/s lang vol, maar na 10 minuten remt hij toch af tot rond 300 MB/s.
0
100
200
300
400
500
600
700
Schr
ijfsn
elhe
id [M
B/s]
120010008006004002000
20
30
40
50
60
70
80
90
Tem
pera
tuur
[°C]
Tijd [s]
SATA-ssd's in 2,5"-behuizing en als M.2-module
Seq. snelheden schrijven/lezen1 [MB/s] IOPS schrijven/lezen2 Energieverbruik3 [W]
beter > beter > < beter
Crucial MX500 2,5"
Crucial MX500 M.2
Kingston UV500 2,5"
Kingston UV500 M.2
Samsung 860 Evo 2,5"
Samsung 860 Evo M.2
WD Blue SSD 2,5"
WD Blue SSD M.2
1 gemeten met IOmeter, blokgrootte 128 KB 2 gemeten met IOmeter, blokgrootte 4 KB, metingen met 8 GB groot bestand 3 idle met LPM/idle/lezen/schrijven
Crucial MX500
Crucial gebruikt flashgeheugen van
moederbedrijf Micron. Dat is blijk-
baar een voordelige optie, want de
prijzen voor de MX500 zijn de laag-
ste in deze test.
Bij de prestaties hoeft de MX500
zich echter niet te schamen: bij het
lezen en schrijven doet de ssd mee
aan de top. Het afremmen van de
M.2-uitvoering bij hoge belasting
of langdurig schrijven is vooral een
theoretisch probleem. In de praktijk
zal dat zelden voorkomen. Het enige
minpunt is eigenlijk het ietwat hoge
energieverbruik van de M.2-uitvoe-
ring van de ssd.
snel
Bitlocker-compatibel
hoog energieverbruik
In principe is dat geen probleem: alleen
als je regelmatig meerdere honderden
gigabytes naar de ssd kopieert of toepas-
singen gebruikt die grote hoeveelheden
data schrijven (zoals bij videobewerking),
zul je merken dat sommige ssd's afrem-
men. Voor andere gebruikers is dat niet
relevant.
Naast de gebruikelijke benchmarks,
hebben we de ssd's getest in een gesloten
pc-behuizing waarin ook een Radeon RX
570 werd verhit door Furmark te draaien.
Het M.2-slot van ons moederbord be vond
zich direct onder de grafische kaart, zodat
de ssd ook zonder belasting al goed was
opgewarmd.
Volgens de SMART-gegevens lagen de
temperaturen al na enkele minuten idle
tussen de 47 °C (860 Evo) en 66 °C (MX500).
Daarna werden de ssd's belast met schrijf-
activiteiten. Dat zorgde bij de Blue SSD
voor een lichte daling van de schrijfsnel-
heid tot 410 MB/s, maar bij de MX500 tot
slechts 300 MB/s. De 860 Evo bleef schrij-
ven met 490 MB/s, terwijl bij de UV500 de
snelheid zakte van 200 naar 170 MB/s.
Vergelijkbare resultaten zagen we
toen we de ssd's zonder verhitte grafische
kaart langere tijd belastten. Na een duur-
test van meer dan 10 minuten daalde de
schrijfsnelheid van de MX500 naar circa
300 MB/s, waardoor de ssd wat afkoelde
en daarna weer korte tijd sneller schreef.
Na 20 minuten moesten we de test stop-
pen omdat de 500GB-ssd vol was. De ge-
middelde schrijfsnelheid was 400 MB/s.
De Blue SSD en de UV500 vertraagden
bij de duurtest met circa 30 MB/s, de 860
Evo bleef constant.
Ook de 2,5"-uitvoeringen hebben we
getest in de gesloten pc-behuizing. De ssd
bevond zich daarbij in de buurt van de I/O-
plaat achterop het moederbord. Bij zware
belasting steeg de temperatuur daarvan
circa 6 °C. Een temperatuurafhankelijke
snelheidsdaling konden we daarbij niet
ontdekken.
Conclusie
Het prijsverschil tussen verder identieke
2,5"- en M.2-ssd's is hooguit 6 euro. Als
je echt wilt beknibbelen, ga je voor de
2,5"-versie. Maar als je een opgeruim-
de pc-behuizing wilt en een geschikt
518/563
521/564
210/540
203/543
533/563
534/564
426/563
440/563
0/0,5/1,9/2,5
0,1/0,6/2,8/2,9
0,2/0,9/2/2,1
0,3/1/2,3/2,5
0/0,1/1,7/1,8
0,2/0,3/1,7/1,9
0/0,4/1,9/2,1
0,1/0,5/2,1/2,3
88186/99012
76781/99598
39934/58467
39645/55135
88307/96358
88236/98619
56997/96799
56392/96361
72 c’t 2019, Nr. 3
Test | SATA-ssd's
SATA-ssd's in 2,5"-behuizing en als M.2-module
Model MX500 MX500 M.2 UV500 UV500 M.2 860 Evo 860 Evo M.2 Blue Blue M.2
Fabrikant Crucial, www.crucial.com
Crucial, www.crucial.com
Kingston, www.kingston.com
Kingston, www.kingston.com
Samsung, www.samsung.com
Samsung, www.samsung.com
WD, www.wdc.com
WD, www.wdc.com
Typenummer CT500MX500SSD1 CT500MX500SSD4 SUV500/480G SUV500M8/480G MZ-76E500 MZ-N6E500 WDS500G2B0A WDC WDS500G2B0B
Capaciteit volgens fabrikant1
500 GB 500 GB 480 GB 480 GB 500 GB 500 GB 500 GB 500 GB
Door Windows herkende capaciteit
466 GB 466 GB 447 GB 447 GB 466 GB 466 GB 466 GB 466 GB
Uitvoering 2,5" M.2 2280 2,5" M.2 2280 2,5" M.2 2280 2,5" M.2 2280
Garantie 5 jaar 5 jaar 5 jaar 5 jaar 5 jaar 5 jaar 3 jaar 3 jaar
Prijs per gigabyte 15 ct 15 ct 17 ct 18 ct 17 ct 19 ct 17 ct 17 ct
Winkelprijs € 75 € 75 € 83 € 85 € 87 € 95 € 83 € 83
Andere beschikbare capaciteiten
250 GB (€ 49), 1 TB (€ 139), 2 TB (€ 300)
250 GB (€ 50), 1 TB (€ 145)
120 GB (€ 35), 240 GB (€ 49), 960 GB (€ 170), 1,92 TB (€ 350)
120 GB (€ 33), 240 GB (€ 50), 960 GB (€ 185)
250 GB (€ 63), 1 TB (€ 165), 2 TB (€ 350), 4 TB (€ 670)
250 GB (€ 65), 1 TB (€ 170), 2 TB (€ 350)
250 GB (€ 53), 1 TB (€ 155), 2 TB (€ 335)
250 GB (€ 54), 1 TB (€ 155), 2 TB (€ 340)
1 Fabrikanten rekenen met 1 GB = 1.000.000.000 bytes. Windows gaat echter uit van 1 GB = 1.073.741.824 bytes, de getoonde capaziteit is dan ook kleiner. 2 Opgaaf fabrikant
Kingston UV500
Kingston is een van de grootste aan-
bieders van ssd's met flashgeheugen
van derden. Het maakt zelf geen flash-
geheugen. Qua prijs zitten de ssd's wel
in het bovensegment van deze test,
ook al heeft Kingston bespaard door
DRAM-cache achterwege te laten.
De UV500-modellen zijn snel bij
het lezen, maar de SLC-cache is te
klein. Na enkele gigabytes zakt de
schrijfsnelheid naar ongeveer 200
MB/s. Dat kan eigenlijk niet liggen
aan het Toshiba-flashgeheugen of de
controller, want WD gebruikt dezelfde
componenten.
Bitlocker-compatibel
langzaam bij schrijven
dure M.2-uitvoering
Samsung 860 Evo
Als je veel opslagruimte nodig hebt,
zit je goed bij de 860 Evo. De M.2-
uitvoering is er tot 2 TB, de 2,5"-versie
zelfs tot 4 TB. Samsung gebruikt niet
alleen eigen flashgeheugen, maar ook
een eigen controller en DRAM van ei-
gen makelij.
De 860's zijn niet alleen snel bij
lezen, maar ook bij schrijven. Pas na
circa 3 minuten is de SLC-cache vol
en remmen de ssd's af naar bijna 500
MB/s. Zelfs de warmte van de grafi-
sche kaart heeft geen invloed op de
M.2-uitvoering, de schrijfsnelheid blijft
constant.
snel
Bitlocker-compatibel
hoge endurance
WD Blue SSD
WD gebruikt bij deze ssd's uit de
Blue-serie dezelfde componenten als
Kingston bij de UV500, maar voegt
daar nog DRAM-cache aan toe. Dat
zorgt vooral bij het schrijven voor be-
tere resultaten. De schrijfsnelheid van
de M.2-uitvoering wordt na korte tijd
weliswaar zo'n 30 MB/s lager, maar
met meer dan 400 MB/s schrijft de
ssd nog steeds lekker snel.
Als enige ssd in deze test kan
de Blue SSD niet worden gecombi-
neerd met Windows Bitlocker omdat
hij geen hardware-encryptie onder-
steunt.
idle zuinig
hoge snelheid
korte garantietermijn
moederbord hebt, kun je zonder voorbe-
houd kiezen voor een M.2-sdd. De presta-
ties zijn hetzelfde.
Het snelst, ook bij hoge belasting, is
de 860 Evo van Samsung, gevolgd door
de MX500. Dat de M.2-uitvoeringen daar-
van bij langdurige belasting iets langza-
mer schrijven, zal in de praktijk verder
niets uitmaken. Ook de Blue SSD kan
goed meekomen, maar de UV500 is bij
schrijven te langzaam. Voor gebruik in
een notebook is de MX500 door het hoge
energieverbruik minder geschikt. Dan
kun je beter een M.2-ssd van Samsung
of WD nemen. (mdt) c
74 c’t 2019, Nr. 3
Achtergrond | Ssd-aansluitingen
Om een desktop-pc te upgraden
wordt vaak een SATA-ssd in een
2,5"-uitvoering gebruikt. Maar als
je moederbord meewerkt zijn er
alternatieven. Een compleet
overzicht.
Lutz Labs
Ssd's zijn er niet alleen met een
SATA- aansluiting en met het for-
maat van een harde schijf voor
een notebook, maar in allerlei andere
uitvoeringen. Sommige zijn goede al-
ternatieven voor een standaard 2,5"-uit-
voering, andere zijn speciaal voor servers
bedoeld.
De laagste prijzen en het grootste
aanbod vind je nog altijd bij ssd's in
2,5"-formaat, maar de prijzen voor M.2-
ssd's met SATA-controllers zijn bijna op
hetzelfde niveau beland (zie het vorige
artikel). Dergelijke M.2-ssd's zijn net zo
snel als 2,5-inch ssd's of mSATA-modules
(zie verderop). Een M.2-module kun je
echter niet zomaar aanschaffen, want
daarvan bestaan verschillende uitvoerin-
gen. Die moeten qua lengte bijvoorbeeld
passen bij het moederbord: bij M.2 zijn er
vier posities voor de bevestigingsschroef
voor de formaten 2242, 2260, 2280 en
22110. Gangbaar is vooral het formaat
2280, met een breedte van 22 millimeter
en een lengte van 80 millimeter.
Mechanisch passen meestal zowel
M.2-SATA-ssd's als de vergelijkbare mo-
dellen met een PCIe-interface in de slots
op het moederbord. Maar daar waar op
moederborden steeds vaker alleen M.2-
ssd's met een PCIe-controller het doen, is
dat bij NAS-behuizingen andersom. Daar-
in werken vaak alleen M.2-sdd's met een
SATA-controller. PCIe-ssd's zijn sneller en
kunnen tot vier PCIe-3.0-lanes gebruiken
voor werkelijke snelheden tot 3,6 GB/s. Bij
Ssd-aansluitingen vergelekenSATA, PCIe en M.2: connectors, protocollen en snelheden
Snelheidsvergelijking SATA-ssd's versus PCIe-ssd's
Sequentiële snelheden schrijven/lezen [MB/s] IOPS schrijven/lezen
besser > besser >
Samsung 970 Pro (PCIe)
Samsung 860 Pro (SATA)
SATA is het maximum haalbare 560 MB/s.
Een ander verschil zit hem in het protocol.
Terwijl SATA-ssd's AHCI gebruiken, werken
moderne PCIe-ssd's met NVMe (Non Vola-
tile Memory Express). Het NVMe-protocol
kan heel veel aanvragen tegelijkertijd af-
handelen, maar bij AHCI is dat beperkt
tot 32. Bij dagelijkse werkzaamheden op
je pc zul je dat verschil echter nauwelijks
merken. Het is vooral een voordeel bij
servertoepassingen die erg veel min of
meer gelijktijdige opdrachten naar een
ssd sturen.
PCIe-3.0-ssd's werken daarbij ook op
moederborden met alleen PCIe 2.0, maar
dan wel langzamer. Voor SATA-ssd's in
een 2,5-inch behuizing geldt iets verge-
lijkbaars: die werken ook (zij het lang-
zamer) met een erg oud moederborden
dat alleen SATA-II-poorten heeft.
Op sommige moederborden staat de
tekst 'Intel Optane Memory Ready' bij het
M.2-slot. Dergelijke slots zijn niet alleen
geschikt voor gewone ssd's, maar ook
voor de Optane-versneller van Intel (zie
voor meer ihnformatie c't 7-8 van 2017
op pagina 33).
PCIe-kaarten en U.2-ssd'sPCIe-ssd's zijn er ook in andere uitvoe-
ringen, zowel in een 2,5-inch behuizing
met 15 millimeter inbouwhoogte als een
module voor in een normaal PCIe-slot. Bij
het laatstgenoemde type kunnen tot 16
PCIe-lanes worden gebruikt – die zijn dus
vooral geschikt voor gebruik in servers.
Verder kun je met een adapterkaart van
enkele euro's een M.2-ssd in een PCIe-slot
gebruiken bij moederborden die geen
geschikt M.2-slot (vrij) hebben. Een be-
sturingssysteem daarvan opstarten lukt
echter alleen in speciale gevallen.
U.2-ssd's met 2,5"-behuizing en SFF-
8634-stekker worden eigenlijk bijna al-
leen bij servers gebruikt. Er zijn adapters
waarmee je een U.2-ssd via een M.2-slot
kunt aansluiten (zie c't 7-8 van 2018 op
pagina 32), maar omdat U.2-ssd's erg
duur zijn, is gebruik in een desktop-pc
zelden de moeite waard.
Oudere typen …Een model dat je vroeger vaak tegen-
kwam is de mSATA-ssd. Die zijn wat
breder dan M.2-ssd's en worden vooral
gebruikt bij notebooks. Die zijn alleen
interessant voor het upgraden van oude
systemen, want moderne moederborden
en recente notebooks hebben daar geen
aansluiting voor.
Daarnaast zit er soms op een oudere
moeder bord nog een interface met de
naam SATA Express. Dat moest de opvol-
ger worden van SATA en dubbele snel-
heden bieden, maar geschikte ssd's zijn
daar nooit voor verschenen.
… en nieuwerePCIe-sdd's in M.2-formaat zijn op dit mo-
ment nog maar net in opkomst, maar
een opvolger staat inmiddels al in de
startblokken: M.3 oftewel NF1. Die ssd's
zijn iets breder dan M.2-ssd's, zodat fa-
brikanten twee flashchips naast elkaar
kwijt kunnen en de capaciteit van ssd's
daardoor vergroten. M.3-ssd's zullen om
te beginnen bij servers worden ingezet,
moederborden met M.3-slots hebben we
nog niet gezien. Ze gebruiken net als M.2-
PCIe-slots tot vier PCIe-lanes.
Intel heeft daarnaast ook lineaal-
vormige ssd's laten zien met een lengte
tot 30 cm. Die 'ruler'-ssd's zijn ook ont-
worpen voor gebruik in servers en voor-
bereid op de komende PCIe-standaarden
4.0 en 5.0. Er moeten er 32 passen in een
standaard 19"-rack met een hoogte van
1HE en ze kunnen tijdens het gebruik ver-
vangen worden. (mdt) c
3260/3586
540/560
470000/580000
89000/99000
75c’t 2019, Nr. 3
Achtergrond | Ssd-aansluitingen
De klassieker: 2,5-inch ssd met SATA-aansluiting, goedkoop en snel.
Op sommige oudere moederborden zit een aansluiting voor SATA-Express-stations met twee connectoren. Die zijn er helemaal niet, maar je kunt er ook twee SATA-stations op aansluiten.
PCIe-ssd voor server: die ssd is voorzien van het snelle Optane-geheugen van Intel en vooral geschikt voor databasetoepassingen.
SATA-ssd in M.2-uitvoering met twee nokjes in de connector.
Snelle PCIe-ssd's herken je aan de enkele inkeping in de connector. PCIe-ssd's die maar twee lanes gebruiken hebben meestal ook twee inkepingen.
Maar weinig moederborden hebben een aansluiting voor U.2-ssd's met 2,5"-behuizing. Met een adapter zoals deze voor het M.2-slot kun je ze toch aansluiten.
Vaak bevinden de M.2-slots op een moederbord zich tussen de PCIe-slots. Het hier afgebeelde slot is ook geschikt voor Intels systeem-versneller Optane Memory.
Een mSATA-ssd voor oudere notebooks. Nieuwere modellen of moederborden hebben daar zelden een geschikte aansluiting voor.
Aansluitingen voor SATA- en PCIe-ssd's
c’t 2019, Nr. 376
Fouten horen bij AI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Praktijkproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Structurele fouten van neurale netwerken . . . . . . . . . . . 82
Knowhow | Feilbare AI
Neuronale denkfoutenKunstmatige intelligentie: te naïef om slim te zijn
De droom dat de techniek qua in-
telligentie gelijk of zelfs superieur
is aan mensen, leek nog nooit zo
dichtbij. Algoritmes herkennen niet alleen
objecten in foto's, maar fungeren ook als
personal assistant, verslaan de wereld-
kampioenen in strategiespellen die veel
te complex zijn voor normaal begaafde
mensen, en componeren, schilderen en
schrijven verhalen.
Vaak hebben ze zelfs geen menselijke
voorbeelden meer nodig. De nieuwste
versie van AlphaGo van Google-dochter
Deepmind heeft het Aziatische bordspel
Go niet zoals tot nu toe gebruikelijk ge-
leerd door menselijke matches te bestu-
deren, maar van de grond af aan door met
een kloon van zichzelf te trainen.
Kunstmatige naïviteitMaar niet elke harde training verhoogt
de intelligentie. Kunstmatige neurale
netwerken maken soms fouten die er zo
dom uitzien dat een menselijke toeschou-
wer daar gewoon niets van begrijpt. Veel
fouten zijn grappig. Er zijn hele blogs aan
gewijd, met bijvoorbeeld de geniaal mis-
lukte face-swap-AI die het gezicht van een
baby verving door de draaiknoppen van
een fornuis in plaats van door het gezicht
van de vader. Andere hebben ernstigere
gevolgen, zoals AI-systemen voor sollici-
Fo
to:
Fa
il B
log
Fout in de Face-Swap-AI: punt, punt, komma, streep – en klaar is het fornuis-gezicht.
Kunstmatige neurale netwerken (KNN)
bestaan uit verschillende lagen neuro-
nen, die zijn verbonden via synapsen.
Het menselijke origineel reageert op een
stimulus met chemische en elektrische
reacties, maar de kunstmatige neuro-
nen werken met eenvoudige wiskundige
functies om stimuli via de synapsen te
verspreiden naar de neuronen van de
volgende laag.
Op basis van gecategoriseerde ge-
gevens, bijvoorbeeld foto's of eenvou-
dige zinnen, en een feedbackfunctie
leert een KNN in talloze pogingen de
parameters van zijn basisfuncties zo
aan te passen dat het de input steeds
beter kan interpreteren. Voor spraak-
herkenning worden filters gemaakt die
geluidsfrequenties koppelen aan let-
ters, lettergrepen en opeenvolgende
woorden. Voor objectherkenning maakt
het bijvoorbeeld functies die randen en
patronen detecteren en deze in diepere
lagen combineren tot specifieke delen
van een object. Daarbij gaat het niet om
harde resultaten, maar om voorspellin-
gen. Het systeem geeft een prognose
over de waarschijnlijkheid dat er een
mens, een hond of een auto op een af-
beelding te zien is.
Voor het trainen van dergelijke
constructen zijn duizenden gecategori-
seerde records nodig, records met de
input en het gewenste resultaat. We
hebben het dan over begeleid leren. Die
netwerken zijn zeer specifiek en door
AI-deskundigen met de hand toegesne-
den op de betreffende toepassing. Een
neuraal netwerk voor beeldherkenning
kan dus niet eenvoudig omgetraind wor-
den voor spraakherkenning door het te
voeden met spraakmonsters. Het doel
van AI-onderzoekers is om onbegeleid
leren te verbeteren, om de afhankelijk-
heid van gecategoriseerde datasets in
de toekomst te verminderen.
Trainingskamp
In de race van de mens tegen de artificiële intelligentie slaat Homo
sapiens bijna dagelijks een toch wel treurig figuur. Toch zijn de meeste
succesverhalen oppervlakkig en wordt verzwegen waar er overal nog
problemen zijn. Er zijn nog zoveel vragen waarop de technologie van
vandaag geen antwoord heeft.
Andrea Trinkwalder
tatiebeheer, en natuurlijk autonome voer-
tuigen die een verkeerssituatie verkeerd
beoordelen.
Terwijl wetenschappers nog steeds
intensief op zoek zijn naar manieren om
de besluiten van machinaal getrainde
systemen transparanter te maken, lopen
er in de praktijk al jaren intensieve tests,
zoals een blik naar de VS leert. Algoritmes
geven daar sociale voorspellingen over
daders en selecteren sollicitanten, vaak
ten nadele van sociaal zwakkere groepen.
Critici vrezen daarom dat zwaar bevochten
verworvenheden als de gelijke behande-
ling van mensen ongeacht geslacht en
herkomst, door de zogenaamd neutrale
techniek zachtjesaan weer verloren gaat.
Dat kunstmatige neurale netwerken
niet steeds de resultaten leveren die men-
sen verwachten, heeft verschillende oor-
zaken. De fout ligt vaak bij de trainings-
gegevens die het netwerk niet helpen
om juist die vaardigheden te trainen die
het nodig heeft om het probleem op te
lossen.
Maar het ligt ook aan de architectuur
zelf, die nog niet bij benadering gelijk is
aan de complexe interactie tussen men-
selijke neuronen en synapsen. Daarom
leren mensen veel efficiënter dan een
AI, denken ze in logische samenhangen
in plaats van alleen in patronen en kun-
nen ze omgaan met humor en schijnbare
onzin. Een machinaal getraind beeldher-
kenningssysteem kan echter volledig van
slag raken door vreemde scènes. Als je bij-
voorbeeld een giraf in een woonkamerfo-
to monteert, lijdt de nauwkeurigheid van
de objectdetectie daaronder.
Hoe de vele kleine en grote proble-
men ervoor kunnen zorgen dat een AI in
de praktijk foutgevoelig of zelfs onbruik-
baar is, lees je in het volgende artikel.
Waarom met de huidige stand van zaken
de grondbeginselen van het menselijk
denken niet gesimuleerd kunnen worden,
lees je in het artikel daarna. (nkr) c
77c’t 2019, Nr. 3
Knowhow | Feilbare AI
78 c’t 2019, Nr. 3
Knowhow | Feilbare AI: in de praktijk
Kunstmatig vergissenWaar kunstmatige intelligentie nog tekortschiet
Machineleren ziet er vaak uit als
magie en wordt daarom vaak ver-
kocht als kunstmatige intelligentie.
Maar ontzag daarvoor is nog steeds
misplaatst. Voor elke toepassing
moet onderzocht worden of de
procedure werkelijk de vermeende
voordelen oplevert en of de moge-
lijke schade niet groter is.
Andrea Trinkwalder
Omdat kunstmatige neurale net
werken in specifieke disciplines
veel succes hebben, groeit de
droom over een kunstmatige intelligentie
die minder vooroordelen heeft dan een
personeelsfunctionaris, kinderen individu
eler begeleidt dan een leraar, diagnoses
beter stelt dan een dokter en auto's beter
bestuurt dan een mens.
De reclames voor dergelijke functies
vermelden een indrukwekkende hoeveel
heid trainingsgegevens en een niet min
der indrukwekkend aantal verbanden die
het algoritme automatisch in de gegevens
gevonden zou hebben. Daarbovenop een
hoge nauwkeurigheid, en dan is het beeld
rond van een neutrale, intelligente en be
trouwbare AI.
Maar vaak verhullen de getallen het
zicht op waar het echt om gaat. De enor
me hoeveelheid trainingsgegevens is geen
garantie, het is de kwaliteit ervan die de
doorslag geeft. De relaties die een neuraal
netwerk identificeert zijn alleen correlaties
– die kunnen geldig zijn, maar dat hoeft
niet. En zelfs een extreem hoge precisie
van 99 procent kan afhankelijk van de toe
passing onaanvaardbaar zijn.
Hoe neutraal is AI?Alleen als een steekproef groot genoeg is
en de betreffende categorie in al zijn fa
cetten vertegenwoordigt, helpen die gege
vens een neuraal netwerk karakteristieke
kenmerken en patronen te vinden en deze
het juiste gewicht te geven. Afhankelijk van
het toepassingsgebied kan het eenvoudig,
nogal lastig of gewoon onmogelijk zijn om
een kwalitatief hoogwaardige en uitgeba
lanceerde steekproef te krijgen die groot
genoeg is.
Bij de beroemde kattendetector van
Google werkte dat perfect, maar bij foto's
van mensen begonnen de problemen al.
Toch is er op het internet bepaald geen
tekort aan foto's waar mensen op staan.
Het probleem is dat in die enorme col
lectie foto's, mannen met een lichte huid
domineren en gekleurde mensen sterk
ondervertegenwoordigd zijn. Als een pro
vider bijvoorbeeld de eerste 100.000 resul
taten van de fotozoekvraag 'mens' neemt
en zijn kunstmatig neuraal netwerk daar
mee traint, vat dit de lichte huidskleur ten
onrechte op als een van de belangrijkste
kenmerken van een mens. Als het systeem
ook wordt getraind in het detecteren van
gorilla's, zal het netwerk een zwart gezicht
beschouwen als een zeer sterke indicatie
79c’t 2019, Nr. 3
Knowhow | Feilbare AI: in de praktijk
Bro
n:
Ge
nd
er
Sh
ad
es P
roje
ct,
MIT
Me
dia
La
b
Biasdetector: Het 'Gender Shades Project' van het MIT Media Lab heeft een steekproef samengesteld waarmee de nauwkeurigheid van gezichtsherken-ning-AI's heel gedifferentieerd getest kan worden volgens subgroepen.
van een gorilla. De 'racistische' AI is daar
mee geboren.
Die blooper overkwam Google bij de
automatische trefwoordentoekenning in
de clouddienst Google Foto's, maar ook
de gezichtsherkenningssoftware van Mi
crosoft en IBM liet in een studie van de
onderzoekster Joy Buolamwini (MIT Media
Lab) hogere foutpercentages zien bij men
sen met een donkere huidskleur. Overigens
worstelt Google nog steeds met dat pro
bleem. De categorieën 'gorilla' en 'aap' zijn
al drie jaar uitgeschakeld, in plaats daarvan
laat Google een pedagogisch waardevolle
verklarende video zien die begrip vraagt
voor het verschijnsel van steekproefverte
kening.
Dergelijke verstoringen noemen we
een vooroordeel of bias. In het beste geval
is een bias eenvoudig te herkennen en snel
te verhelpen. In het ergste geval wordt hij
te laat herkend, bijvoorbeeld wanneer de
AI al heeft geleid tot verkeerde beslissin
gen. In het ergste geval wordt de bias niet
herkend en/of kunnen de gegevens niet
voldoende geneutraliseerd worden.
Er is geen gebrek aan ontspoorde
trainingen en onderzoekers ontwikkelen
steeds meer methoden om de oorzaken
daarvan te detecteren en te visualise
ren. Marco Tulio Ribeiro (Universiteit van
Washing ton) en zijn wetenschappelijke
team ontdekten met hun analyseproce
dure LIME dat een kunstmatig neuraal net
werk op basis van foto's van husky's alleen
geleerd had om sneeuw te herkennen. Een
ander systeem bleef bij het leren van het
concept trein volledig blind voor locomo
tieven en wagons. In plaats daarvan sloeg
het alleen aan op perrons en sporen. Fou
ten die zelfs een peuter nooit zou maken.
Ook daarom is het vaak zo moeilijk voor
ontwikkelaars om bias in trainingsgege
vens van tevoren te vermijden.
Bias herkend, fout afgewend?Uit sollicitatiebrieven en andere tekstdo
cumenten kunnen geslacht en naam mak
kelijk verwijderd worden. De resultaten zijn
schijnbaar neutrale trainingsgegevens, die
vrouwen of mensen met een migratieach
tergrond niet benadelen. Maar veel gege
vens zitten zo vol verraderlijke kenmerken
als woonwijk, een school voor meisjes of
jongens enzovoort, dat de gegevens niet
goed geneutraliseerd kunnen worden zon
der ze geheel waardeloos te maken.
Dat is ook de reden dat Amazon een
intern ontwikkelde AI voor het selecteren
van sollicitanten weer heeft teruggetrok
ken. Hij werd getraind met de gegevens
van mensen die in het verleden met suc
ces bij Amazon gesolliciteerd hadden. Het
doel was om uit een grote hoeveelheid
sollicitanten automatisch de vijf beste kan
didaten te filteren. Maar het algoritme gaf
niet alleen systematisch de voorkeur aan
mannen, maar stelde ook volstrekt onge
kwalificeerde sollicitanten voor. Blijkbaar
had de AI, die getraind werd met sollici
tatiegegevens van overwegend mannen,
de aanwijzingen voor een mannelijke
kandidaat zo sterk meegewogen dat zelfs
beroepskwalificaties het daartegen moes
ten afleggen. Het is frappant dat ook in
dat geval de gegevens blijkbaar niet goed
voorbereid konden worden. Volgens Ama
zon heeft de aanbeveling van de AI ove
rigens nooit geleid tot het aannemen of
afwijzen van een sollicitant.
Sommige onderzoeken suggereren
dan ook dat machinaal getrainde syste
men stereotypen zelfs versterken. Een AI
voor scèneherkenning had bijvoorbeeld
de neiging om mensen in een keuken
als vrouw te taggen, zelfs als het om een
man ging. En een AI die bij elkaar horende
woorden uit teksten moest halen, associ
eerde 'vrouw' met klassieke vrouwelijke
bezigheden en hobby's en 'man' met tra
ditioneel mannelijke. Onderzoekers zijn
daarom bezorgd dat de zwaarbevochten
sociale vooruitgang, zoals gelijke kansen
voor mensen ongeacht geslacht en her
komst, ondermijnd kan worden als de
zogenaamd neutrale machinale beslissers
invloed krijgen op steeds meer terreinen
van het maatschappelijke leven.
Konrad Lischka, die het project 'Ethiek
van algoritmen' leidt bij de Bertelsmann
stichting, kent de risico's van het gebruik
van algoritmen bij het selecteren van sol
licitanten. Het is zonder meer mogelijk dat
mensen die tot nu toe door menselijke be
slissers niet gesorteerd werden op basis
van leeftijd, geslacht of afkomst, een kans
krijgen door een daadwerkelijk neutraal
algoritme. Je moet daarbij wel bedenken
dat bij grootschalig gebruik van dergelijke
systemen een uniforme sortering kan op
treden die bepaalde mensen naar de zijlijn
verwijst, waar ze dan ook blijven.
Economisch psycholoog professor
Uwe Peter Kanning, die aan de Universiteit
Osnabrück sollicitatieprocedures evalueert,
bekritiseert de magere wetenschappelijke
onderbouwing van de meeste AImetho
den, vooral wanneer die proberen de per
soonlijkheid van een sollicitant af te leiden
van taalgebruik of een videoanalyse.
Het programma Precire belooft bij
voorbeeld de persoonlijkheid van een sol
licitant vast te kunnen stellen aan de hand
van 15 minuten aan stemmonsters. Het
systeem is getraind met stemsamples en
eerder ingevulde persoonlijkheidsvragen
lijsten van een paar duizend proefperso
nen. Het systeem heeft daardoor geleerd
om spraakkenmerken zo te verwerken
en te wegen dat het de resultaten van de
persoonlijkheidstests uiteindelijk kon voor
spellen – bepaalde karaktertrekken met
een grotere en andere met een kleinere
nauwkeurigheid.
In een interview bekritiseert Kan
ning de fundamentele gebreken van de
80 c’t 2019, Nr. 3
Knowhow | Feilbare AI: in de praktijk
Dit neurale netwerk heeft duidelijk aan de hand van fotovoorbeelden geleerd dat vrouwen in de keuken horen. Daarom komt het in de problemen wanneer er een man aan het fornuis staat.
Bro
n:
Do
min
ik G
ers
tne
r, M
PIC
C
Het programma Precobs waarschuwt als inbraken
zich in een bepaald gebied vaker voordoen.
Bro
n:
Jie
yu
Zh
ao
et
al.
, U
niv
ers
ity
of
Vir
gin
ia
aanpak. Het is moeilijk om uit individuele
karaktertrekken zoals nauwgezetheid en
extravertheid te concluderen of een werk
nemer succes heeft in zijn beroepsleven.
De fabrikant van Precire heeft dergelijke
effecten ook nog niet aangetoond. Een
intelligentietest heeft echter wel een zeer
grote voorspellende kracht voor profes
sioneel succes, maar wordt slechts zelden
toegepast.
In elk geval heeft het volgens Kan
ning geen zin om de resultaten van een
persoonlijkheidsenquête te benaderen
via de omweg van spraakanalyse. Omdat
de spraakanalyse persoonlijkheidstrekken
slechts gebrekkig kan verklaren, volgens
de fabrikant voor ongeveer 50 procent en
de cijfers uit onderzoek zijn nog aanzienlijk
lager, is een vragenlijst duidelijk veel beter
dan spraakanalyse. Met betrekking tot een
prognose van de beroepsmatige prestaties
is een vragenlijst dubbel zo goed, en dat
alleen als de informatie van de fabrikant
klopt. Onderzoek leidt echter tot de ver
wachting dat een vragenlijst zelfs tot tien
keer beter scoort dan een spraakanalyse.
Doorgetraind, maar nutteloosOok op andere terreinen ontbreekt het
vaak aan onafhankelijke studies die de
doeltreffendheid van een methode aanto
nen. Soms moeten zelfs de samenhangen
waarop gegevensgestuurde modellen zich
baseren nog wetenschappelijk gecontro
leerd worden.
De studie van Dominik Gerstner van
het Max Planck Institute for Foreign and
International Criminal Law (MPICC) biedt
bijvoorbeeld een zeer gedifferentieerd
beeld van de effectiviteit van de predictive
policingsoftware Precobs. Precobs wordt
in sommige steden gebruikt ofwel getest
om inbraken te voorkomen. De software
is gebaseerd op een sterke theoretische
basis. Diverse wetenschappers hebben
aangetoond dat op een handeling vaak
binnen een korte tijd en relatief dichtbij an
dere handelingen volgen, de zogenaamde
near repeats. Precobs zoekt naar dergelij
ke patronen en waarschuwt automatisch
wanneer vanuit één deel van een stad ver
schillende inbraken worden gemeld.
De onderzoekers van het MPICC kwa
men tot de conclusie dat de software daad
werkelijk doet wat het belooft: hij herkent
nearrepeatgebieden. Doorslaggevend
is echter of het met die extra kennis ook
lukt het aantal inbraken te verminderen,
bijvoorbeeld omdat de politie zijn mede
werkers met die kennis kan inzetten op
de brandpunten. De onderzoekers konden
dat effect niet aantonen op basis van de
beschikbare gegevens. In het beste geval
trad een bescheiden effect op.
In delen van het testgebied daalde het
aantal inbraken in de testfase, bij andere
bleef het constant of nam toe, constateer
den de wetenschappers. Daarom bevelen
ze aan meer onderzoek te doen op basis
van een goed onderzoekontwerp.
Halfbakken systemen kunnen ver
woestende gevolgen hebben als ze beslis
sen over het lot van mensen, zoals het in
de Verenigde Staten gebruikte Correctional
Offender Management Profiling for Alter
native Sanctions (COMPAS). Dat heeft sinds
2000 voor een miljoen gedetineerden een
prognose gemaakt van de kans dat ze
binnen twee jaar zullen recidiveren. Der
gelijke voorspellingen kunnen ook invloed
hebben op de hoogte van de strafmaat.
Het algoritme evalueert daartoe 137 zo
genaamd neutrale eigenschappen van de
onderzochte personen.
Onderzoekers aan het Dartmouth
College verklaren dat het programma 'be
drieglijk complex' is, omdat bewezen is dat
de kenmerken leeftijd en aantal veroorde
lingen voldoende zijn voor een voorspel
ling van de kans op recidive en er geen
aanwijzingen zijn voor de relevantie van
aanvullende kenmerken. Bovendien lijkt
de deskundigheid van het algoritme niet
uit te stijgen boven huis, tuin en keuken
psychologie. De wetenschappers konden
laten zien dat een groep leken, aangewor
ven via Amazon Mechanical Turk, een even
goede of slechte beoordeling afleverde als
het PredictiveAnalyticssysteem. COMPAS
werd al bekritiseerd omdat het zwarte
81c’t 2019, Nr. 3
Knowhow | Feilbare AI: in de praktijk
Optische illusie: een voor mensen niet waarneembaar ruispatroon is genoeg om de AI in plaats van een papegaai een boekenkast voor te schotelen.
Bro
n:
Ma
gn
us E
rik H
va
ss-P
ed
ers
en
,Git
Hu
b
mensen stelselmatig negatief evalueerde.
In de groep van nietrecidivisten ontdekten
onderzoekers tweemaal zoveel zwarten als
blanken die van het systeem een slechte
prognose hadden gekregen.
Halfgod in siliciumOok in de geneeskunde is op dit mo
ment sprake van veel hype en ronkende
aankondigingen, maar het overtuigt lang
niet altijd. Watson for Oncology van IBM is
bijzonder ambitieus en biedt artsen niet
alleen gegevens en actuele studies voor
de behandeling van een patiënt, maar wil
ook aanbevelingen geven voor de thera
pie. De therapietraining is gebaseerd op de
methoden van de artsen van het Memorial
Sloan Kettering Cancer Center, een gere
nommeerde kankerkliniek in New York. Tot
nu toe zijn er echter geen onafhankelijke
studies die onderzocht hebben of Watson
beter behandelt, fouten voorkomt, de the
rapie positief beïnvloedt, enzovoort. Rap
porten suggereren dat Watson zeer goede
informatie levert, maar bij therapievoor
stellen soms grove fouten maakt.
Meer nuchtere AIbenaderingen in de
geneeskunde lijken momenteel veelbe
lovender en beter controleerbaar, vooral
als ze zijn gebaseerd op bewezen beeld
herkenningsnetwerken. Artsen van het
universiteitsziekenhuis Heidelberg rond
Professor Holger Hänßle hebben bijvoor
beeld een kunstmatig neuraal netwerk
getraind met beelden van huidafwijkingen
om goed aardige moedervlekken te onder
scheiden van kwaadaardige melanomen.
Een begeleidende studie toonde aan dat
de beeldherkenning gemiddeld betere
voorspellingen deed dan de meeste van
de 58 huidartsen die uitgenodigd waren
voor de test.
Valse positievenAIsystemen maken verschillende soorten
fouten. Vooral de valse positieven vormen
een groot probleem, bijvoorbeeld wanneer
je automatisch uit een groot aantal men
sen de leden van een uiterst kleine groep
wilt filteren, zeg terroristen in de bevolking.
Om te vermijden dat er aanzienlijk
meer onschuldigen dan terroristen in de
databanken van de politie belanden, moet
de nauwkeurigheid zeer groot zijn. In dit
geval is het niet alleen belangrijk hoeveel
potentiële misdadigers je correct identifi
ceert, maar de doorslag wordt meer gege
ven door het percentage valse positieven,
oftewel het percentage gewone burgers
dat ten onrechte als gevaarlijk wordt ge
classificeerd. Bij een massale controle kan
dat puur om statistische redenen niet te
ruggebracht worden tot een sociaal aan
vaardbaar niveau.
De NSA presenteerde voor hun surveil
lanceprogramma Skynet, waarmee in Paki
stan de verplaatsingen en communicatie
van 55 miljoen inwoners bewaakt werd,
een fabelachtig laag percentage valse
positieven van 0,008 procent (een intern
document had het over 0,18 procent), dat
alleen daarom zo laag uitviel omdat men
een bijzonder laag opsporingspercentage
van slechts 50 procent op de koop toe
nam. Het aldus ingestelde systeem identi
ficeerde dus slechts elke tweede terrorist,
maar identificeerde wel tussen de 4500 en
bijna 100.000 onschuldige Pakistanen als
mogelijke terroristen. Bovendien kon de
precisie hoe dan ook niet goed getest wor
den omdat de groep bekende terroristen
te klein was voor een zinvolle steekproef
voor een kwaliteitscontrole.
In Pakistan zijn volgens het Londense
Bureau of Investigative Journalism de af
gelopen jaren duizenden mensen vanuit
de verte als terroristen geïdentificeerd en
gedood door een drone, misschien wel
gebaseerd op een knullig algoritme zoals
Skynet.
Verwarde AINeurale netwerken voor patroonherken
ning kunnen op bepaalde soorten beelden,
de zogenaamde Adversarial Examples, naar
menselijk idee bijna willekeurig reageren.
Onderzoekers zijn erin geslaagd foto's voor
mensen onzichtbaar zo te veranderen, dat
neurale netwerken iets volslagen anders
herkennen dan een mens. En niet alleen
dat: de wetenschappers kunnen zelfs be
palen wat ze moeten herkennen, bijvoor
beeld een giraffe in plaats van een kat. Of,
wat fataal zou zijn voor autonome auto's,
een voorrangs in plaats van een stopbord.
Bij die subtiele ruispatronen gaat het niet
om willekeurig verdeelde ruis, zoals de ty
pische ruis van een sensor. In dat geval
zijn kunstmatige neurale netwerken na
melijk heel robuust. Het gaat om gerichte
kleurverschuivingen, die ervoor zorgen
dat net genoeg 'neuronen' dermate fou
tief geactiveerd worden dat de som van
alle valse activeringen de foto naar een
volledig andere klasse laat verhuizen dan
waarin hij thuis zou horen.
Zegen en vloekDeeplearning en ook andere vormen van
machineleren zijn een realiteit. In de vorm
van nuttige helpers regelen ze het dage
lijks leven en vergroten ze de efficiëntie
van bedrijven. Indrukwekkende successen
op specifieke disciplines geven de indruk
dat de techniek de oplossing is voor al
lerlei problemen die mensen niet volledig
overzien. Maar zover zijn we nog lang niet.
AIdeskundigen en neurowetenschappers
zijn het er grotendeels over eens dat voor
dergelijke complexe systemen, die ook
zelfstandig theorieën moeten kunnen
ontwikkelen en testen, een heel andere
architectuur nodig is.
Deeplearning werkt al heel goed bij
specifieke taken met duidelijk omschreven
doelstellingen, waarvan de toepassing ad
hoc gecontroleerd kan worden, bijvoor
beeld bij spraakverwerking, beeldherken
ning of logistieke planning. Maar zelfs bij
die paradedisciplines moet je waakzaam
en kritisch blijven, want er bestaat niet
zoiets als dé kunstmatige intelligentie.
Achter alle grote en kleine probleemoplos
sers staan steeds gewoon mensen. Als de
ontwikkelaars het probleem en de oplos
sing niet goed genoeg begrepen hebben,
is die mooie artificiële intelligentie met al
zijn trainingsgegevens, enorme servers en
snelle grafische kaarten niet meer waard
dan een dobbelsteen. (nkr) c
82 c’t 2019, Nr. 3
Knowhow | Feilbare AI: principiële problemen
Algoritmes halen verbanden uit
gegevenssets die zelfs voor mensen
verborgen blijven. Dat is indrukwek-
kend en vaak handig. Computers
denken daarbij echter lang niet
zoals mensen, want daarvoor ont-
breken nog belangrijke bouwstenen
voor intelligentie. We vroegen pro-
minente critici van de AI-hype waar
de fundamentele problemen liggen.
Pina Merkert
Mensen zijn door hun intelligen-
tie heel bijzonder. Dat komt niet
omdat we de grootste hersenen
hebben, want die van olifanten zijn groter.
Mensen kunnen echter nadenken over
dingen die van nature niet bestaan. Denk
bijvoorbeeld aan geld, de maatschappij
en ethiek. Er zijn geen aanwijzingen dat
dieren met dergelijke abstracte concep-
ten werken. Ze bieden mensen echter de
mogelijkheid om in grote groepen efficiënt
te kunnen samenwerken [1].
Van kunstmatige intelligentie ver-
wachten we dat het dezelfde abstracte be-
grippen opdoet als mensen en de wereld
dus begrijpt zoals een mens dat doet. Een
AI moet weten wat geld is en welke waarde
het heeft. Het moet moederliefde, collegi-
ale competitie en seksuele begeerte begrij-
pen, en wel in woorden, beelden, mimiek
en gebaren. Van begrip of zelfs bewustzijn
is echter zelfs in de diepste kunstmatige
neurale netwerken geen spoor te beken-
nen. Bij nadere beschouwing ontpoppen
ze zich slechts als steeds complexere geau-
tomatiseerde statistieken: handig gereed-
schap, maar geen algemene kunstmatige
intelligentie.
Menselijke intelligentieOm daar verandering in te brengen, kij-
ken onderzoekers naar de enige bekende
Statistiek en denkenHoe kunstmatige intelligentie afwijkt van menselijke
83c’t 2019, Nr. 3
Knowhow | Feilbare AI: principiële problemen
Wiskundig gezien dient machineleren
om een onbekende functie u() te bena
deren met een andere functie f(). Nie
mand weet hoe u() er precies uitziet
omdat die functie een wiskundige be
schrijving is van een moeilijk probleem,
zoals het koppelen van afbeeldingen
aan een passende tekstuele beschrij
ving. Maar door de trainingsgegevens
zijn er veel voorbeelden van individuele
waarden van u() ("op deze foto hapt een
hond naar een frisbee"). Dan moet er
naar een functie f() gezocht worden die
voor de al bekende voorbeelden zoveel
mogelijk dezelfde waarden oplevert als
u(), maar ook voor alle waarden van u()
die je nog tegen kunt komen.
Gewoonlijk stellen de dataweten
schappers een structuur vast voor de
functie f(), die echter nog enkele vari
abele parameters bevat. Dat maakt van
het wiskundige probleem een optima
lisatieprobleem. Voor optimalisatie
problemen zijn er al efficiënte algo
ritmes waarmee onderzoekers in veel
gevallen precies de parameters voor f()
vinden die met de beschikbare voor
beelden zo min mogelijk verschil laten
zien tussen u() en f(). Verschillen de
functies vervolgens bij nieuwe voor
beelden – die tijdens de training niet
beschikbaar waren – dan spreken we
van 'overfitting' (uit het hoofd leren in
plaats van begrijpen).
Onder deze algemene definitie van
machineleren vallen zowel de klassieke
methoden van logistische regressie, K
nearestneighbour, beslissingsbomen,
hiddenMarkovmodellen en support
vectormachines als neuronale netwer
ken. Willen deze resultaat hebben, dan
moeten er in de vector van de invoerge
gevens patronen te vinden zijn waaruit
de functie f() direct de juiste uitvoer kan
berekenen. Vroeger moesten de onder
zoekers de gegevens voorbewerken, zo
dat dit zeker was. Bij deeplearning pro
beert men in één keer zowel de juiste
uitvoer als ook de daarvoor benodigde
patronen uit de gegevens te leren.
Het is niet meteen duidelijk welke
patronen de algoritmes dan uit de ge
gevens halen om tot hun resultaten te
komen. Huidige AItechnieken heten
daarom vaak ten onrechte een zwarte
doos, ook al zijn alle parameters be
kend. Dat zijn er echter zo veel dat je
het overzicht verliest en de echte mo
gelijkheden en beperkingen van het
systeem niet overziet.
AI is niets anders dan het benaderen van functies
intelligentie op dat niveau: die van mensen
zelf. Onze intelligentie is te danken aan het
brein, dat bestaat uit meer dan 100 miljard
neuronen, die elk gemiddeld 7000 verbin-
dingen hebben met andere neuronen.
Neurowetenschapper professor Christoph
von der Malsburg benadrukt dat de struc-
tuur van de hersenen door patronen moet
worden gedomineerd: "Ons organisme,
met inbegrip van het brein, wordt ge-
produceerd met één gigabyte genetische
informatie, en in de loop van de eerste
jaren getraind in een eenvoudige stabiele
omgeving die via virtual-reality met een
programma van eveneens één gigabyte
groot kan worden gegenereerd. Om de
verbindingsmatrix van het menselijk brein
te beschrijven, is een petabyte nodig, één
miljoen keer zoveel. Het brein wordt dus
gemaakt door een 'algoritme' dat de zoek-
ruimte van alle circuits tot een miljoenste
reduceert, waarin de genetische sturing en
de training vervolgens een circuit kunnen
kiezen."
Zijn collega Gary Marcus van MIT wijst
er echter op dat baby’s drie weken na hun
geboorte al reageren op een driedimensi-
onale wereld, objecten onderscheiden, en
er eigenschappen aan toewijzen. Als men-
sen werden geboren met een volstrekt
ongestructureerde massa neuronen, zou
een dergelijke cognitieve prestatie na zo’n
korte tijd onmogelijk zijn: "95 Procent van
ons genoom heeft invloed op de ontwik-
keling van het brein" [2]. Beide inzichten
zijn alleen te combineren als het brein
wel over genetisch bepaalde structuren
beschikt, maar die regelmatig herhaald
worden.
Kunstmatige intelligentieComputers zijn machines die in principe
elk algoritme kunnen uitvoeren. Voor
kunstmatige intelligentie hoef je dus al-
leen maar het juiste algoritme te vinden.
In de praktijk blijkt dat veel moeilijker dan
alle deskundigen ooit vermoed hadden. Er
zijn twee manieren waarop onderzoekers
het probleem kunnen aanpakken.
Symbolische methoden nemen de
psychologie als voorbeeld en proberen
abstracte begrippen net zo te koppelen
als rationeel denkende mensen zouden
doen. Die methoden (Google Knowledge
Graph, delen van IBM Watson) werken al-
leen met gegevens waarbij mensen de
wereld eerder hebben beschreven in ab-
stracte concepten. Daarom beschikken de
algoritmen over slechts kleine datasets.
Bovendien is voor elk verband een expli-
ciete regel nodig. Dat je, als je naar de su-
permarkt gaat, ook je hoofd meeneemt, is
een conclusie die deze methoden niet zelf
kunnen trekken.
Statistische methoden werken in plaats
daarvan direct op onbewerkte gegevens.
Ze halen de relatie tussen de ingevoerde
gegevens en de gewenste uitvoer automa-
tisch uit de trainingsgegevens. Hoe uitge-
breider de gegevens, des te complexer de
onderliggende structuren kunnen worden.
Die structuren hebben eerder het hersen-
onderzoek als model dan de psychologie.
De van het brein afgekeken kunstmatige
neurale netwerken steunen meestal ech-
ter op een zeer sterk vereenvoudigde si-
mulatie van neuronen en leggen minimale
structuren vast doordat ze de synapsen
met willekeurige gewichten initialiseren.
De onderzoekers berekenen meestal lie-
ver een effectieve en makkelijk trainbare
simulatie dan in een biologisch plausibe-
lere simulatie slechts enkele neuronen te
kunnen berekenen en te moeten worste-
len met hyperparameters (computational
neuroscience).
Maar ook met zo'n extreem vereen-
voudigde simulatie blijven de kunstma-
tige neurale netwerken nog steeds ordes
van grootte achter bij een echt brein. Het
uiterst actuele beeldherkenningsnetwerk
ResNet met 34 lagen simuleert bij in-
voerafbeeldingen met een resolutie van
128 × 128 slechts 21,8 miljoen gewichten,
terwijl de synapsen van de 100 miljard
neuronen van een menselijk brein samen
84 c’t 2019, Nr. 3
Knowhow | Feilbare AI: principiële problemen
De dorsale stroom (groen) en de ventrale stroom (paars) geven ruimtelijk gescheiden in de hersenen informa-tie door over hetzelfde object.
Bro
n:
Se
lke
t, C
C-B
Y-S
A
ongeveer 7 biljoen signalen van een ge-
wicht voorzien.
ResNet is een voorbeeld van een van
de kunstmatige neurale netwerken waar-
van de omvang de laatste jaren is geëx-
plodeerd. Een paar jaar geleden waren
nauwelijks meer dan 8 lagen mogelijk ,
waarbij de parameters ge optimaliseerd
daarbij voor een paar CPU-kernen in
plaats van voor snelle parallelle grafische
kaarten. De training van dergelijke grote
netwerken werkt echter alleen met grote
gegevenssets, die voor de meeste proble-
men te duur zijn. Veel onderzoekers zijn
het daarom eens dat neurale netwerken
geen fundamentele structuren hebben en
ze nooit mensachtige intelligentie kunnen
bereiken zonder wijzigingen in de architec-
tuur, ongeacht hoeveel rekenkracht en ge-
heugen toekomstige grafische kaarten nog
kunnen bieden.
Waar het probleem echter precies
zit, kan geen van de onderzoekers op dit
moment met zekerheid zeggen. Enkele
belangrijke deskundigen hebben kritiek
op de huidige netwerken en hebben the-
orieën waar het probleem kan zitten. Dat
kunnen ze echter alleen aantonen met ex-
perimenten die de problemen ook meteen
oplossen. Als dat lukt, is dat meteen de vol-
gende grote doorbraak in de kunstmatige
intelligentie.
EfficiëntieBij een onbeperkte omvang kunnen neu-
rale netwerken in theorie leren elk pro-
bleem op te lossen. Dat kan wiskundig
ook bewezen worden. In de praktijk lijkt
dat ook het geval te zijn, zolang de ge-
gevensset groot genoeg is zodat er on-
danks een groot netwerk met veel lagen
geen sprake is van overfitting (domweg
uit het hoofd leren). Eenvoudige neurale
netwerken kunnen interpoleren tussen de
gegevens punten, maar extrapoleren gaat
niet. Als je een netwerk bijvoorbeeld traint
op de lichaamsgrootte van volwassenen
en kinderen, worden tieners bijvoorbeeld
correct herkend, maar bij reuzen gaat het
helemaal mis. Daarom moet elke zinvolle
uitvoer momenteel ook als voorbeeld in de
gegevensset aanwezig zijn.
Mensen kunnen echter uitstekend ex-
trapoleren. Het is geen probleem om een
abstract begrip van het ene onderwerp
over te brengen naar het andere. Mensen
kunnen iets beginnen met 'verdorde ar-
chitectuur' of 'vel-oranje', hoewel ze daar
nooit voorbeelden van gezien hebben.
Het vermogen om denkpatronen creatief
te combineren stelt mensen in staat om te
leren met veel minder voorbeelden. Vaak
werkt one-shot-learning zelfs, met slechts
een enkel voorbeeld. Een voorbeeld daar-
van is de burgersalade, waar de extra's bij
een hamburger in een kom worden opge-
diend. Mensen hoeven meestal slechts één
burgersalade gezien te hebben om dat ge-
recht voortaan goed te kunnen herkennen.
MIT-professor Joshua Tenenbaum
vindt daarom dat neurale netwerken veel
en veel efficiënter met gegevens moeten
omgaan. Daarvoor moeten ze veel sneller
getraind kunnen worden, dus met een ho-
gere learning-rate, en veel beter abstrahe-
ren (overfitting vermijden).
Neurale netwerken kunnen pas be-
trouwbaar getraind worden sinds de ont-
dekking van de back-propagation van fou-
ten in de jaren ’80. Die back-propagation
vertelt een optimalisatie-algoritme tijdens
het trainen op welke plekken het de para-
meters van het netwerk moet aanpassen
om beter te worden. Hoe sterk de para-
meters worden gewijzigd, wordt bepaald
door de learning-rate. Als je actuele net-
werken traint met een hoge learning-rate,
vergeten ze snel wat ze wisten en wordt
de training instabiel, met als resultaat een
slechter in plaats van een beter netwerk.
Dat komt doordat bij een neuraal netwerk
met back-propagation elke trainingsset
alle parameters kan beïnvloeden. Als de
gegevens in de verkeerde richting wijzen,
verdwaalt het hele netwerk. Het kan een
uitschieter niet als zodanig herkennen. De
remedie is om netwerken bij sommige pa-
tronen hardnekkig te laten zijn (zoals bij
trainingen met een lage learning-rate) en
bij andere heel open te laten reageren op
een nieuw leersignaal.
Objecten herkennenNet als het menselijk brein herkennen
kunstmatige neurale netwerken ook patro-
nen in gegevens. Een belangrijk verschil is
echter dat mensen uit de patronen men-
tale objecten afleiden die het brein mak-
kelijk in andere contexten kan gebruiken.
Daartoe negeert het brein een deel van de
patronen en concentreert het zich op de
wezenlijkste kenmerken. Als gevolg daar-
van gaat wel informatie verloren voor die
ene context, maar het mentale object past
beter in andere contexten.
De bestaande neurale netwerken
hebben geen mechanisme om essentiële
aspecten te scheiden van de context, en
nemen die daarom altijd mee. Daardoor
kunnen neurale netwerken bij zeer duide-
lijke problemen, zoals het herkennen van
verkeersborden, veel beter worden dan
mensen. Maar ze abstraheren niet zoals
mensen. Maar juist omdat mensen snel
nieuwe mentale objecten vormen, kunnen
ze uit een paar datapunten iets algemeens
leren.
Zonder context zijn mentale objecten
ook veel efficiënter voor een representatie
van de wereld. Vooral bij complexe proble-
men, zoals het trainen van agents bij rein-
forcement-learning, tonen experimenten
aan dat een innerlijke representatie van de
wereld erg nuttig kan zijn. Bij de experi-
menten moesten de onderzoekers echter
altijd de gegevensformaten van de objec-
ten zelf definiëren, omdat de netwerken
zelf geen efficiënte representaties leerden.
Het brein lijkt qua structuur veel uni-
verseler te zijn dan om alleen objecten te
representeren met bepaalde neuronen.
MRI-beelden laten zien dat mentale ob-
jecten op veel plaatsen tegelijk neuronen
activeren. De dorsale stroom in de herse-
nen draagt bijvoorbeeld informatie over
de locatie van objecten over, terwijl de
ventrale stroom tegelijkertijd de informa-
tie verzendt die op dat moment gezien
wordt (Milner en Goodale: two-streams
85c’t 2019, Nr. 3
Knowhow | Feilbare AI: principiële problemen
BindingsprobleemKlassieke neurale netwerken met volledig verbonden lagen (links) verbinden altijd alles met alles. Om objecten te herkennen, moet het netwerk aan delen van de invoer eigenschappen toewijzen en ze scheiden van de rest (scheidingspro-bleem). Convolutionele netwerken (rechts) hebben het tegenovergestelde probleem. Hun convoluties maken gebruik van lokale filters die in eerste instantie alles van elkaar scheiden. Dan komt echter de vraag op welke resultaten bij elkaar horen (bindingsprobleem). Het veelgebruikte max-pooling vernietigt de informatie die nodig is om te binden.
0 0 A A A A 0 0 B B B 0( )volledig verbonden
neuraal netwerk
0 0 A A A A 0 0 B B B 0( )convolutioneel
netwerk
A B
A B
AB
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
max-pooling
hypothese). Het object ontstaat pas door
de informatie uit twee verschillende her-
sengebieden.
Mensen zijn echter in staat tegelij-
kertijd aan meerdere mentale objecten te
denken, waarbij de representaties van de
objecten elkaar niet hinderen. Mensen kun-
nen de objecten zelfs op elkaar betrekken,
wat erop wijst dat ze in een gemeenschap-
pelijk formaat worden gerepresenteerd.
ScheidingsprobleemHelaas is er weinig bekend over de exacte
schakeling van de neuronen in de herse-
nen. Van de visuele cortex, dat een deel
van de signalen van het oog verwerkt,
weten we dat de neuronen in lagen ge-
rangschikt zijn en dat ze reageren op tex-
tuurelementen zoals randen. Neuronen in
lagen kunnen efficiënter in een computer
worden gesimuleerd dan chaotisch ge-
rangschikte neuronen. Daarom werken
neurale netwerken meestal ook met lagen.
Omdat we niet weten welke verbindingen
de neuronen nodig hebben, verbinden
we gewoon alle neuronen van een laag
met alle neuronen van de laag eronder.
Omdat kunstmatige neurale netwerken
kunnen leren om dergelijke verbindingen
te negeren, is deze structuur theoretisch
toereikend.
Omdat elk neuron is verbonden met
alle ingangen, probeert het steeds patro-
nen te vinden op alle ingangen. Het wijst
één uitvoer toe aan alle ingangen samen.
Hoewel het tijdens het trainen kan leren
om stimuli te negeren, kan het dat tijdens
de toepassing niet meer aanpassen. Daar-
door is het niet in staat om verschillende
objecten in de ingangen te herkennen en
bepaalde eigenschappen aan die objecten
toe te wijzen. Om het ene object van het
andere te onderscheiden, zou het eigen-
schappen van het tweede object tijdens de
uitvoering selectief moeten negeren.
Op een foto met een rode bal en een
gestippelde hond herkent het balachtig-
heid, hondachtigheid, stippeligheid en
roodheid. Maar een neuron kan de rood-
heid niet aan de bal en de stippeligheid
niet aan de hond koppelen. Dat is het
scheidingsprobleem.
Als het neurale netwerk in staat zou
zijn om de bal van de rest van de scène
te scheiden, zou het alle roodheid daaraan
kunnen toewijzen. Het bovenliggende ni-
veau zou de aanwezigheid van rode ballen
en honden kunnen controleren en daaruit
abstractere conclusies kunnen trekken.
Convolutionele netwerken kunnen dat,
met enige beperkingen.
BindingsprobleemConvolutionele netwerken verbinden al-
leen de outputs van een klein aantal on-
derliggende neuronen met een neuron.
Bovendien zoeken ze op elk punt naar
dezelfde patronen, dus maakt het niet uit
of de rode ballen in de trainingsgegevens
in de linkerboven- of rechteronderhoek
opduiken. Dat kan veel sneller berekend
worden en werkt veel beter bij het herken-
nen van afbeeldingen. Daarom zijn neurale
netwerken voor beeldherkenning op dit
moment altijd gebaseerd op convolutio-
nele netwerken.
Het is alleen jammer dat hersenonder-
zoekers zeker weten dat zo’n mechanisme
niet voorkomt in het menselijk brein. Daar-
voor moet een neuron dat de stimuli van
de visuele cellen in de linkerbovenhoek
van het netvlies verwerkt, een neuron in
de rechterbenedenhoek vertellen welke
synapsen en dendrieten het vormt. Er is
echter geen mechanisme dat dit zou kun-
nen triggeren.
Bovendien doet zich bij convolutio-
nele netwerken een ander probleem voor.
Omdat de convoluties altijd lokaal begrensd
zijn, geeft een convolutionele laag niet één
enkele stimulus af, maar bijna net zoveel
stimuli als inputs. De netwerken lossen dat
meestal op door alleen de sterke stimuli
door te geven naar de volgende laag (max-
pooling). Daarbij gaat echter de informatie
verloren waar de stimulus is opgetreden.
Individuele convolutionele lagen hebben
dus minder te maken met het scheidings-
probleem (door de filtergrootte blijft de
scheiding enigszins onscherp) omdat ze
alles scheiden wat ze kunnen scheiden.
Daarna komt de vraag op wat zinvol bij
elkaar hoort. Dat is het bindingsprobleem.
Met max-pooling kan het netwerk wel een
bruikbare uitvoer berekenen, maar wordt
de informatie vernietigd waarmee het net-
werk objecten kan detecteren.
AttractortoestandenBindingsprobleem en scheidingsprobleem
zijn twee kanten van dezelfde medaille. In-
telligente algoritmes moeten objecten her-
kennen en er eigenschappen aan toewij-
zen. Volgens professor Von der Malsburg is
de basisveronderstelling dat afzonderlijke
neuronen een enkele betekenis vertegen-
woordigen verantwoordelijk voor het feit
dat neurale netwerken dat probleem nog
niet kunnen oplossen: "De huidige neurale
netwerken kunnen geen complexere sym-
bolen construeren uit elementaire sym-
bolen (gerepresenteerd door individuele
neuronen), zoals wij woorden uit letters
en zinnen uit woorden vormen. Dat is het
bindingsprobleem. Gelijktijdig geactiveer-
de neuronen (assemblies, pools) vormen
een ongedifferentieerde massa."
In plaats daarvan moeten de gesimu-
leerde neuronen zo op elkaar inwerken dat
hun activeringen resulteren in stabiele toe-
standen. Een getraind netwerk hoort altijd
van een willekeurige chaotische toestand
86 c’t 2019, Nr. 3
Knowhow | Feilbare AI: principiële problemen
Neurale netwerken kun-nen niet alleen beelden beschrijven, maar ook via een convolutioneel netwerk aandacht vestigen op specifieke gebieden. Het woord STOP scheidt het teken van de context, maar met onscherpe randen door de filtergrootte van de convoluties.
Bro
n:
Xu
, e
t a
l.:
Sh
ow
, A
tte
nd
an
d T
ell
: N
eu
ral
Ima
ge
Ca
pti
on
Ge
ne
rati
on
wit
h V
isu
al
Att
en
tio
n,
Mo
ntr
éa
l, T
oro
nto
, 2
015
naar zo’n stabiele toestand te gaan. Door
hun aantrekkingskracht worden ze 'attrac-
tor states' genoemd.
Het 'algoritme' waarmee het brein at-
tractortoestanden zoekt, is volgens Von der
Malsburg "eigenlijk goed bekend en in het
kader van de embryogenese intensief on-
derzocht, maar wordt volledig genegeerd
in het kader van de huidige neurale net-
werken: zelforganisatie van het netwerk.
Een willekeurig netwerk genereert daarbij
spontane activiteit, waarvan de statistische
eigenschappen (signaalcorrelatie tussen
neuronen) terugwerken op het netwerk
(via Hebbse plasticiteit). Die wisselwerking
blijft duren totdat er een attractortoestand
is gestabiliseerd."
Tot nu toe zijn er echter geen neurale
netwerken die zo’n structuur simuleren.
Eerdere successen in objectherkenning
zochten hun heil in probleemgerichte
trucs, die objectweergaven forceren, men-
selijke kennis gebruiken en in algemene
gevallen niet werken. In principe laten de
experimenten echter zien dat algoritmen
die objecten herkennen, aanzienlijk slim-
mere machines mogelijk maken.
OnzekerheidNaast objecten hebben intelligente syste-
men echter ook nog te maken met andere
problemen. Als de invoergegevens ruis
bevatten, kan een neuraal netwerk nooit
helemaal zeker zijn bij patroonherken-
ning. Mensen kennen dat probleem bij-
voorbeeld bij het herkennen van objecten
in het donker. Als het donker genoeg is,
kun je een boom al aanzien voor een man
met lange vingers. Als je dichterbij komt,
schakelt de waarneming plotseling om en
wordt de boom een boom.
Een denoising auto-encoder, een
soort neuraal netwerk dat ruis verwijdert
uit beelden, laat zien dat patroonherken-
ning met meerdere niveaus goed werkt bij
beeldruis. Die encoders falen echter zodra
er zoveel ruis in de afbeelding zit dat er
op lagere niveaus in het netwerk verkeerde
patronen herkend worden. Eigenlijk zou-
den de bovenste niveaus de fouten kun-
nen herstellen, maar daarvoor moeten ze
ook weten welke patronen op de lagere
niveaus minder duidelijk herkend zijn.
Er bestaan beproefde wiskundige me-
thoden om met dergelijke onzekerheden
te rekenen. Probabilistisch programme-
ren werkt eigenlijk niet anders. Neurale
netwerken verwerpen onwaarschijnlijke
oplossingen echter onmiddellijk, in plaats
van te wachten op feedback van bovenaf.
Bij probabilistisch programmeren heb-
ben variabelen geen waarden, maar geven
ze kansverdelingen weer. Daarmee kun je
rekenen volgens de regels van de Bayesi-
aanse kansberekening en voorspellingen
doen op basis van onzekerheden. Hoe de
distributies en de onzekerheden eruit zien,
kan een probabilistische programmeertaal
op basis van trainingsgegevens zelf opti-
maliseren, zodat machineleren mogelijk is.
Het verschil met een kunstmatig neu-
raal netwerk is dat een mens het model
in het probabilistische programma heeft
gedefinieerd en daarom weet wat elke
variabele betekent. Neurale netwerken
zoeken zelf betekenissen voor de varia-
belen, een ander aspect waarom ze ten
onrechte zwarte dozen worden genoemd.
Voor mensen is het meestal erg omslach-
tig om de betekenis van variabelen in een
getraind neuraal netwerk te ontcijferen. In
principe heeft een intelligent programma
echter niet meer nodig dan de gegevens
om te leren welke structuur de oplossing
is van het probleem.
Professer Zoubin Gharamani van de
Universiteit van Cambridge heeft als kritiek
dat neurale netwerken veel meer zouden
moeten werken als probabilistische pro-
gramma’s. Volgens hem zou die benade-
ring ook helpen om de ruis in de parame-
ters van de netwerken te verminderen en
de training te stabiliseren.
CausaliteitAlle methoden van machineleren hebben
gemeen dat ze automatisch statistische
relaties ontdekken en met die informatie
een functie benaderen. Ze geven dus al-
leen correlaties weer die in de gegevens
te vinden zijn. De informaticus en filosoof
Judea Pearl ziet in die eenvoudige correla-
tie een cruciaal tekort [3]. Volgens hem is
er inderdaad geen natuurwet waarvan de
oorzaak en het gevolg zo met elkaar zijn
verbonden dat je het niet kunt omkeren.
Dat mensen echter uitgaan van causaliteit,
vindt hij een uiterst nuttig hulpmiddel bij
het detecteren van schijncorrelaties in ge-
gevens.
Er is bijvoorbeeld een statistisch sig-
nificante correlatie tussen de schoenmaat
van mensen en hun leesvaardigheid. Er
is echter een even duidelijke correlatie
tussen leeftijd en leesvaardigheid. AI-
algoritmen hebben geen manier om die
correlaties tegen elkaar af te wegen. Men-
sen zoeken daarentegen naar de oorzaak
waarom kleine mensen met kleine voeten
niet kunnen lezen en vermoeden dat het
mogelijk om kinderen gaat. Ze zien daarbij
ook dat schoenmaat en leeftijd sterk ge-
correleerd zijn. Als je die correlatie uit de
gegevens verwijdert, door bijvoorbeeld
alleen het leesvermogen van mensen van
dezelfde leeftijd te vergelijken met hun
schoenmaat, is er plotseling geen verband
meer tussen schoenmaat en leesvaardig-
heid. Door dergelijke denkprocessen met
dezelfde hoeveelheid gegevens krijgen
mensen een veel nauwkeuriger beeld van
de samenhangen.
AI als gereedschapOver één ding zijn alle critici het eens:
kunstmatige intelligentie komt niet in de
buurt van wat de hype ons wil doen laten
geloven. De algoritmes missen verschillen-
de fundamentele concepten die ze nodig
hebben om een intelligentie te kunnen
simuleren die zelfs maar lijkt op die van
mensen. De wetenschappers die we heb-
ben gesproken, schatten in dat het nog
decennia tot een eeuw duurt voor AI een
menselijk niveau bereikt. Voor alles pleitten
ze echter voor een paradigmaverschuiving,
om meer aan essentiële kwesties te werken
in plaats van nieuwe toepassingen te zoe-
ken voor convolutionele netwerken.
87c’t 2019, Nr. 3
Knowhow | Feilbare AI: principiële problemen
Deze klif op het IJslandse eiland Heimaey lijkt op
een olifantenkop. Menselijke waar-
neming springt bij dergelijke beelden heen en weer tus-
sen olifant en rots. Daar is de feedback
van het bewuste denken voor ver-
antwoordelijk, die wordt doorgege-
ven aan de visuele cortex.
Bro
n:
Die
go
De
lso
, d
els
o.p
ho
to,
CC
-BY
-SA
Een zwakke AI heeft al bewezen een nut-
tig hulpmiddel te zijn dat impact heeft
op mensen en op de economie. Professor
Michael Jordan van Berkeley beschouwt
de zoektocht naar mensachtige kunstma-
tige intelligentie zelfs als een dwaalweg.
Volgens hem gaat in de slimme zelforga-
nisatie van markten een waardevollere
intelligentie schuil dan in die van de men-
selijke geest. De statistiek van markten ligt
veel dichter bij het functioneren van de
hedendaagse neurale netwerken dan bij
menselijke gedachten. In elk geval zal de
toekomst slimmer zijn. Maar of ze mense-
lijk intelligent wordt, moeten we nog af-
wachten. (nkr) c
Literatuur
[1] Yuval Noah Harari, Sapiens, een kleine geschie
denis van de mensheid, 2011
[2] Gary Marcus, The Algebraic Mind: Integrating
Connectionism and Cognitive Science, Cam
bridge, MA, 2001
[3] Judea Pearl, Causality: Models, Reasoning, and
Inference, Cambridge, MA, 2000
www.ct.nl/softlink/1903082
Geoffrey Hinton, een belangrijke criticus
van neurale netwerken, benadrukt niet
alleen hun zwakten maar stelt daar ook
een eigen idee tegenover. Hij wordt be
schouwd als een van de vier grote weg
bereiders van het AIonderzoek (naast
Yoshua Bengio, Yann LeCun en Jürgen
Schmidhuber), waardoor zijn idee veel
respons heeft gekregen. Zijn capsules
leren net als klassieke neurale netwerken
gewichten om patronen te herkennen in
de invoergegevens. Maar in plaats van
slechts één waarde door te geven voor
hun activiteit, berekenen ze steeds een
vector. De vectoren hebben niet alleen
een lengte, maar ook een richting, die
Hinton gebruikt voor het 'dynamisch rou
teringsalgoritme (zie de link).
De capsules van een hoger niveau
kunnen namelijk beslissen welke ingan
gen voor hen geschikt zijn (vergelijkbare
richting) en dus onderling coördineren.
Dat gebeurt via een iteratief proces (3
tot 5 iteraties), waarbij sommige capsu
les informatie opeisen en andere nege
ren. Een vierdelig Engelstalig artikel op
Medium.com legt het concept relatief
begrijpelijk uit (zie de link onderaan dit
artikel).
Christoph von der Malsburg heeft
zowel lof als kritiek voor dit nieuwe
idee: "In Geoff Hintons capsulesysteem
worden gegevens (neuronen) eerst sa
mengevoegd tot pakketten, die elk be
horen tot een beslissingsprobleem, en
ten tweede wordt de routering gestuurd
door matching (afstemmen). Dat zijn bei
de stappen in de goede richting. Daarbij
moeten we echter opmerken dat het bij
beide om een kunstmatige externe inter
ventie in het neurale netwerk gaat, dus
is niet duidelijk hoe die structuur zich
in het neurale systeem zelf zou kunnen
vormen."
Er zijn al experimenten met capsule
netwerken. Bij het herkennen van hand
geschreven cijfers lijken ze vergelijkbare
herkenningspercentages te halen dan
geoptimaliseerde convolutionele net
werken, maar wel met minder gegevens.
Maar ze lijken niet goed schaalbaar naar
complexere problemen, waardoor veel
vragen op dit moment nog onbeant
woord blijven. Misschien ligt dat aan
minder goed geoptimaliseerde imple
mentaties, maar misschien heeft het
nieuwe idee ook een fundamenteel pro
bleem. De komende jaren worden nog
veel meer onderzoeksresultaten over
capsules verwacht.
Capsules
Smart-tv's zijn populair – niet alleen bij hun eigenaren, maar ook bij aller-lei hackers en mediabedrijven. De ene groep misbruikt je tv graag als zombie voor internetaanvallen, de andere heeft het voorzien op je ge-bruikersprofielen. Gelukkig kun je daar zelf wat aan doen.
Dušan Živadinović
We hebben een soort haat-liefde-
verhouding met een slimme tv.
Net als een router zit hij op een
belangrijke plek in het thuisnetwerk, na-
melijk recht voor je neus. Maar een smart-
tv houdt vaak in detail je kijkgedrag bij,
Tv in toom houdenSmart-tv's via netwerkoplossingen beveiligen en binnen de perken houden
en doet dat in opdracht van de fabrikant
of van de mediabedrijven en streaming-
diensten. Sommige gaan zelfs zo ver dat
ze elke knopdruk op je afstandsbediening
registreren. Dat is wel heel erg nieuws-
gierig. Bovendien bieden fabrikanten van
smart-tv's geen logboekfuncties die mel-
den welke gegevens het apparaat waar
naartoe heeft gestuurd.
Dat maakt van smart-tv's een soort
zwarte dozen, en daarmee zijn ze ook
aantrekkelijk voor hackers. Als monito-
ring ontbreekt, wordt malware ook niet
bestreden. Hebben hackers een smart-tv
eenmaal geïnfecteerd, dan kunnen ze van
daaruit zoveel mogelijk andere apparaten
in het thuisnetwerk overnemen om uitein-
delijk DDoS-aanvallen uit te voeren. Als
een smart-tv een camera en een micro-
foon heeft, is hij ook voor geheime dien-
sten interessant (zo heeft de CIA al eens
Samsung-tv's gebruikt om te spioneren, zie
de link onderaan dit artikel).
Het is dus een goed idee een smart-tv
in toom te houden, zowel als bescherming
tegen infecties van buitenaf als om privé-
gegevens binnenshuis te houden. Daar zijn
enkele trucs bij de netwerkconfiguratie vol-
doende voor. Al naargelang de gewenste
afscherming en je netwerkkennis zijn daar
verschillende niveaus van inperking voor
mogelijk. We beschrijven ze globaal op
volgorde van complexiteit, te beginnen
met de eenvoudigste.
De meest radicale oplossing: geef je
smart-tv helemaal geen internettoegang,
88 c’t 2019, Nr. 3
Praktijk | Smart-tv: tips voor veilig configureren
Gescheiden zones
gastnetwerk
internet
router
thuisnetwerk
Als je een risicovol apparaat in een eigen zone onderbrengt (hier het gastnetwerk), kan het nog wel ongehinderd communiceren met internet, maar kunnen infecties niet meer zomaar worden verspreid naar de rest van het thuisnetwerk.
niet bekabeld en niet via wifi. Dan hoef je na-
tuurlijk eigenlijk ook geen smart-tv te kopen.
Toch zijn er genoeg mensen die ze op die
manier gebruiken omdat een tv zonder in-
ternetaansluiting nauwelijks meer te krijgen
is. De beeldkwaliteit van moderne smart-tv's
is bovendien beter, dus ook zonder actieve
internetverbinding zijn ze een prima optie.
Een ander voordeel is ook duidelijk: zonder
netwerkverbinding ook geen ongecontro-
leerde gegevensstroom. Maar dat betekent
ook: geen gegevenstoegang, geen auto-
matische firmware-updates, geen Netflix
en geen lokale netwerktoegang tot NAS of
DLNA-server om eigen video's af te spelen.
Vaak is een eenvoudige truc (de eerst-
genoemde oplossing) genoeg om lokale
toegang wel toe te staan en alleen internet-
verkeer te blokkeren.
Kinderbeveiliging. Daar heb je alleen
een router met een filterfunctie voor kinde-
ren voor nodig. Die zit op veel modellen. Om
ervoor te zorgen dat je smart-tv wel mappen
op een pc of NAS kan openen, zorg je dat
hij dezelfde netwerkinstellingen gebruikt.
Activeer op de tv dus de DHCP-configuratie,
oftewel het automatisch ophalen van ga-
teway- en DNS-serveradressen van de rou-
ter. Om de kinderbeveiliging te activeren,
gebruik je de webinterface (of app) van de
router. Bij een Fritzbox ga je bijvoorbeeld in
de webinterface naar 'Internet / Filters / Pa-
rental Controls'. Schakel voor de smart-tv het
toegangsprofiel (Access Profile) 'Blocked' in
en bewaar de wijzigingen.
Het resultaat: de communicatie binnen
het LAN werkt probleemloos, maar de smart-
tv krijgt geen contact met internet. Nadelen:
het streamen van Netflix en dergelijke wordt
geblokkeerd en firmware-updates komen
niet door.
Met een gastnetwerk en een routercas-
cade kun je internetverkeer wel toestaan,
maar voorkom je dat een besmetting van
je smart-tv invloed heeft op de rest van je
thuisnetwerk. Dat zijn zo'n beetje de meest
eenvoudige oplossingen om een netwerk
onder te verdelen zoals dat ook bij bedrijfs-
netwerken wordt toegepast.
Gastnetwerk. Daarbij komt je smart-tv
in een apart subnetwerk, het gastnetwerk.
Dat is alleen handig als je smart-tv geen
toegang hoeft te hebben tot bronnen in het
thuisnetwerk. Een gastnetwerk kun je op veel
routers makkelijk activeren. Op een Fritzbox
activeer je bijvoorbeeld via 'Home Network /
Network / Network Settings' de optie 'Guest
access enabled for LAN 4' en daarna sluit
je de smart-tv aan op LAN-poort 4 van de
router. Daarnaast kun je ook een wifigastnet-
werk activeren (via 'Wireless / Guest Access').
Het resultaat: je smart-tv wordt gescheiden
van alle andere netwerkapparaten, vooral
die met vertrouwelijke data. Wordt de tv
geïnfecteerd, dan kan die infectie zich niet
zomaar verspreiden. Internetverkeer werkt
ongehinderd, inclusief firmware-updates en
streamen. Nadelen: je hebt geen toegang tot
lokale netwerkbronnen en gegevens kunnen
ongehinderd richting internet lekken.
De meeste routers bieden een enkel
gastnetwerk. Als daarin ook andere appa-
raten zijn opgenomen, kunnen ze elkaar
aanvallen. Daarom moet je indien beschik-
baar de optie om je accesspoint te isoleren
activeren. Daarbij kunnen apparaten wel
met internet communiceren, maar niet met
elkaar. Voor het wifigastnetwerk activeer je
dat op een Fritzbox bijvoorbeeld bij 'Wifi /
Guest Access / Additional settings'. Deacti-
veer de optie 'Wireless devices may commu-
nicate'. Apparaten op het wifigastnetwerk
kunnen dan echter nog wel apparaten in
het gast-LAN-netwerk bereiken. Complete
accesspoint-isolatie voor wifi en LAN bieden
Fritzboxen niet.
De accesspoint-isolatie moet juist uit-
geschakeld zijn als je een NAS in het gast-
netwerk zet om content naar je smart-tv te
streamen. Als die NAS twee netwerkpoorten
heeft, kun je de tweede poort gebruiken
voor het normale thuisnetwerk. Je moet de
poorten dan niet in een bridge-modus laten
werken, anders kan malware alsnog contact
maken met het thuisnetwerk.
Routercascade. Daarbij zet je een
tweede NAT-router achter de eerste om
twee gescheiden subnetwerken te creëren.
Je smart-tv hang je aan de eerste NAT-router
(het eerste subnetwerk), alle overige appara-
ten (je pc, NAS, printer, tablet, smartphone
et cetera) sluit je aan op de tweede NAT-
router (tweede subnetwerk).
Het resultaat: de smart-tv heeft geen
toegang tot apparaten in het tweede sub-
netwerk, waar zich de apparaten met ver-
trouwelijke data bevinden. Omgekeerd kun-
nen apparaten in het tweede subnetwerk
wel verbinding maken met de smart-tv
omdat NAT verkeer in die richting doorsluist.
Nadelen: netwerkbronnen die via DLNA
of Bonjour worden gedeeld zijn niet in het
andere subnetwerk zichtbaar, de smart-tv
vindt die niet. Automatische port-forwar-
dings in het tweede subnetwerk (UPnP)
werken niet. Dat kan problemen veroor-
zaken met games, maar ook met de (door
andere producten vervangen) Remote-
Control-dienst van Apple 'Terug naar mijn
Mac'. Apparaten uit het tweede subnetwerk
kunnen de smart-tv alleen benaderen via
het ip-adres.
Internetverkeer filteren
Een efficiënte manier om internettoegang
te controleren is het uitfilteren van DNS-
requests voor ongewenste domeinen. Die
domeinen worden dan verzameld op een
zwarte lijst (blacklist). Zo kun je bij smart-
tv's bijvoorbeeld het wegvloeien van data
beperken. Die techniek wordt ook veel ge-
bruikt om verbindingen te blokkeren met
opdringerige advertentienetwerken, zoals
adkeeper.com.
Blacklist. Veel thuisrouters kunnen
DNS-requests filteren en op die manier ver-
hinderen dat bepaalde internetdomeinen
bereikt worden. Een blacklist is doorgaans
beperkt tot een bepaald aantal domeinen,
bijvoorbeeld 500. Dat is genoeg voor de
belangrijkste. Je kunt kant-en-klare blacklists
downloaden, bijvoorbeeld via de link aan
het eind van dit artikel. Dat zijn tekstbestan-
den die je met een eenvoudige teksteditor
kunt bewerken. Om reclameservers te blok-
keren is 500 items wel een beetje mager –
en bovendien wijzigen die servers vaak van
domeinnaam.
Het resultaat: je smart-tv kan ongehin-
derd communiceren op het LAN, de com-
municatie naar buiten is eenvoudig te be-
perken. Je kunt het filter ook gebruiken om
het surfgedrag van je kinderen te reguleren.
Nadelen: het bijhouden van zo'n blacklist is
bewerkelijk, de filteropties zijn beperkt en de
apparaten in het lokale netwerk worden niet
tegen elkaar beschermd.
89c’t 2019, Nr. 3
Praktijk | Smart-tv: tips voor veilig configureren
Pi-hole als DNS-proxyMet een domeingebaseerd filter (blacklist) kun je verhinderen dat smart-tv's communiceren met kwaadaardige of verdachte servers op internet.
client
ct.nl?
185.173.21.78 185.173.21.78
Pi-hole DNS-server
ct.nl?
client
google-analytics.com?
0.0.0.0
Pi-hole DNS-server
Pi-hole. Dat is een uitgebreider DNS-fi lter
dat op een Raspberry Pi draait en de hui-
dige verbindingspogingen weergeeft in een
grafi sche interface. Die kun je een browser
vanaf elke pc in het lokale netwerk openen.
Er zijn talloze blacklists beschikbaar voor Pi-
hole die door de community worden bijge-
werkt. Je kunt ze combineren en met een
muisklik aanpassen aan je wensen.
Pi-hole kun je combineren met een gast-
netwerk of routercascade. Er zijn erg veel
kant-en-klare blacklists voor Pi-hole. Gebrui-
ker Akamaru heeft ze ingedeeld op categorie
en ze zijn er voor allerlei toepassingen.
Pi-hole voor het LANOm ervoor te zorgen dat het fi lter werkt,
moeten alle apparaten in het LAN de DNS-
resolver van Pi-hole gebruiken. Dat is mak-
kelijk voor elkaar te krijgen als je op je router
bij de DHCP-instellingen een adres kunt op-
geven voor een lokale DNS-server. Maak je
je zorgen over de beschikbaarheid van die
DNS-service, dan kun je een tweede Pi-hole
toevoegen.
Bij een Fritzbox-router zit die instelling
bijvoorbeeld bij 'Home Network / Network
/ Network Settings / IPv4 Addresses' bij de
optie 'Local DNS server'. Daar staat norma-
liter het adres van je router. Vul daar het
ip-adres van de Raspberry Pi in, wat je kunt
vinden in het netwerkoverzicht van de
router. Stel op de router bovendien in dat
de Pi altijd hetzelfde ip-adres krijgt toege-
wezen. Bij een Fritzbox ga je bijvoorbeeld
naar 'Home Network / Network' en klik je
op het potloodpictogram om de instellin-
gen voor de Raspberry Pi te bewerken. Zet
een vinkje bij de optie 'Always assign this
network device the same IPv4 address' en
bewaar de wijzigingen.
Het resultaat: gedetailleerde controle over
de bestemmingen waar je smart-tv op in-
ternet naartoe mag en onbelemmerd ver-
keer via het LAN. Nadelen: de confi guratie
vereist wat tijd en netwerkkennis. Uitbrei-
den van het fi lter moet je voorzichtig doen
om te vermijden dat gewenste diensten
geblokkeerd worden. Je moet ook niet
zomaar cryptische domeinen gaan blok-
keren omdat die lang niet allemaal naar
een kwaadaardige server leiden.
Om helemaal op safe te spelen, kun
je zeker in het begin het beste bijhouden
welke domeinen je wanneer geblokkeerd
hebt. Dat maakt het makkelijker om fou-
ten op te sporen als een internetdienst
hapert. Onder de streep biedt Pi-hole
gezien de investering de meeste meer-
waarde en zal het voor veel gebruikers
de beste optie zijn.
Raspberry Pi als firewallJe moet er wel rekening mee houden dat
veel smart-tv's Googles DNS-servers gebrui-
ken, ook al is binnen het netwerk een lokale
DNS-server ingesteld. In dat geval doet Pi-
hole niets. Je hebt dan wat netwerkkennis
nodig om een fi rewall zo in te stellen dat
DNS-requests actief omgeleid worden naar
de lokale DNS-server. Die mogelijkheid ont-
breekt op de meeste thuisrouters. De Rasp-
berry Pi biedt een alternatief: je zet hem in
als router voor de smart-tv en gebruikt zijn
fi rewall (iptables). De smart-tv verbind je
voor het gemak via wifi met een Raspberry
Pi 3B+ en de ethernetpoort van de Pi hang
je aan de router.
De geïntegreerde ethernetpoort op de
Pi is in ons voorbeeld eth0, wifi is wlan0. Het
bestand /etc/interfaces moet dan als volgt
worden aangepast:
/etc/interfaces
source-directory
/etc/network/interfaces.d
auto br0
iface br0 inet static
bridge_ports wlan0
address 192.168.222.1
netmask 255.255.255.0
iface wlan0 inet manual
auto eth0
iface eth0 inet dhcp
Om de Pi als wifitoegangspunt te laten
werken, installeer je het pakket hostapd.
Vervolgens kun je via de link onderaan
dit artikel het geprepareerde confi guratie-
bestand hostapd.conf downloaden en in
/etc/hostapd opslaan. Pas de instellingen
in dat bestand eventueel aan en gebruik
de gegevens voor de SSID en versleuteling
later om je smart-tv met de Pi als router te
verbinden:
interface=wlan0
ssid=tv-router
wpa=1
wpa_passphrase=smart-tv-afschermen
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
rsn_pairwise=CCMP
Voor een Raspberry Pi 3 of nieuwer kun je
de standaarddriver nl80211 en de geïnstal-
leerde HostAP-deamon gebruiken. Om die
automatisch te laten starten, moet het pad
van het confi guratiebestand (/etc/ default/
hostapd) worden toegevoegd in DEAMON_CONF.
Verder moet je ervoor zorgen dat de
Raspberry Pi de ontvangen pakketten door-
stuurt naar internet. Daartoe activeer je het
forwarden voor IPv4 en IPv6 met de volgen-
de regels in het bestand /etc/sysctl.conf:
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
IPv6 is voor smart-tv's normaliter overigens
niet nodig omdat ze dat (nog) niet gebrui-
ken. Dan ontbreekt nog de adresomzetting
via NAT, zodat ontvangen pakketten vanaf
internet hun weg naar de smart-tv kunnen
vinden. Dat doet de fi rewall van de Pi, het
vereiste commando luidt:
sudo iptables -t nat -A POSTROUTING
-o eth0 -j MASQUERADE
Om ervoor te zorgen dat je die opdracht
na een herstart niet opnieuw hoeft uit te
voeren, moet je het pakket iptables-per-
sistent installeren en bij de automatische
90 c’t 2019, Nr. 3
Praktijk | Smart-tv: tips voor veilig configureren
Firewall-regelsAls een apparaat de ingestelde DNS-server negeert, kun je de ongewenste DNS-requests naar buiten met eenvoudige firewall-regels alsnog richting Pi-hole dwingen.
smart-tv
DNS-request naar Google-DNS
Pi als router
lokale DNS(Dnsmasq)
internetfirewall
(iptables)
CascadeZet je twee routers achter elkaar, dan ontstaan door de standaard Network Adress Translation (NAT) twee subnetwerken. Apparaten uit het tweede subnetwerk kunnen toegang krijgen tot apparaten uit het eerste, maar niet andersom.
Internet
router 1
router 2
thuisnetwerk 1
thuisnetwerk 2
configuratie daarvan de huidige firewall-
instellingen laten bewaren. Voeg je ach-
teraf extra regels toe die je bij elke start
wilt toepassen, dan kun je met
dpkg-reconfigure iptables-persistent
de nieuwe instellingen bewaren. De Rasp-
berry Pi is dan geconfigureerd als NAT-
router en na een herstart beschikbaar als
wifitoegangspunt. Installeer vervolgens
Pi-hole en volg de aanwijzingen van de in-
staller op.
Ga in een browser naar de beheer-
webinterface van Pi-hole (bijvoorbeeld
192.168.222.1/admin). Log in als adminis-
trator en activeer in het Settings-menu op
het tabblad DHCP de DHCP-service.
Clients die zich via wifi op de Pi aan-
melden krijgen hun netwerkinstellingen
dan via DHCP van Dnsmasq op de Pi-hole.
De DNS-requests komen ook bij Dnsmasq
binnen. Pi-hole laat die zien in de grafische
interface. Daar zie je ook of P-hole ze door-
laat of blokkeert.
In het laatste geval levert Pi-hole niet
het daadwerkelijke ip-adres terug van het
gevraagde domein, maar het niet routeer-
bare adres 0.0.0.0. Een smart-tv zal dan
bijvoorbeeld niet de server van een adver-
tentienetwerk kunnen bereiken (zoals app-
measurement.com). Je kunt ook de DNS-
resolutie voor willekeurige domeinen met
een muisklik toestaan of verbieden.
Om verbindingen met andere DNS-
servers te onderscheppen, kun je alle pak-
ketten met doelpoort 53 door de Pi laten
omleiden en door Dnsmasq laten beant-
woorden:
sudo iptables -t nat -A PREROUTING -i
br0 -p udp --dport 53 -j DNAT --to
192.168.222.1
sudo iptables -t nat -A PREROUTING -i
br0 -p tcp --dport 53 -j DNAT --to
192.168.222.1
sudo dpkg-reconfigure
iptables-persistent
Test vervolgens of DNS-requests richting
Googles DNS-servers doorkomen. Ver-
bind eerst een notebook via wifi met de
Raspberry Pi. Probeer daarop contact te
maken met een geblokkeerd domein als
app-measurement.com en stuur de DNS-
request met het dig-commando naar
Googles DNS-servers (dig is onderdeel van
de Bind-tools, zie de link hieronder).
Dig @8.8.8.8 app-measurement.com
Dat valt onder DNS-verkeer via UDP en
zou in de answer-sectie het adres 0.0.0.0
moeten opleveren als de firewall-regel
ingrijpt. Aan het eind bij de uitvoer moet
het ip-adres staan van de reagerende
DNS-server. Dat moet niet 8.8.8.8 zijn,
maar 192.168.222.1. Clients kunnen DNS-
requests ook via TCP versturen. Of die ook
worden geblokkeerd, controleer je door
+tcp achter de opdracht te plakken.
Als je iptables-regels wilt verwijderen,
laat je eerst alle regels tonen met vermel-
ding van de rijnummers:
iptables -t nat -L --line-numbers
De regel in rij 1 verwijder je als volgt:
iptables -t nat -D PREROUTING 1
Het resultaat: volledige controle over DNS-
requests, gedetailleerde controle over op
DNS gebaseerd ip-verkeer. Nadelen: de Pi
maakt een eigen wifinetwerk aan voor je
smart-tv. Om conflicten met je gewone
wifi te vermijden, moet je de router au-
tomatisch het wifikanaal laten kiezen. De
Pi en de smart-tv vormen een eigen sub-
netwerk. De smart-tv kan via de Raspberry
Pi toegang krijgen tot NAS-apparaten en
andere gedeelde bronnen op het hoofd-
netwerk via de ip-adressen. Maar toegang
via DLNA en Bonjour komt niet voorbij de
Pi. In theorie kunnen andere apparaten in
het thuisnetwerk worden aangevallen.
Om dat te verhinderen, kun je de Pi
inclusief de smart-tv het beste op een gast-
netwerk aansluiten. Een alternatief is om
toegang van de smart-tv richting kwetsba-
re apparaten in het thuisnetwerk te blokke-
ren in de firewall. Dat gaat het makkelijkst
als die apparaten in een eigen adresbereik
zijn gezet, bijvoorbeeld 192.168.178.150
tot en met 192.168.178.199:
sudo iptables -A INPUT -m iprange
--src-range
192.168.178.150-192.168.178.199 -j DROP
sudo dpkg-reconfigure
iptables-persistent
Apparaten waar de smart-tv wel bij moet
kunnen (bijvoorbeeld een NAS), moeten
dan ip-adressen krijgen buiten dat bereik
(bijvoorbeeld 192.168.178.149). (mdt) c
www.ct.nl/softlink/1903088
91c’t 2019, Nr. 3
Praktijk | Smart-tv: tips voor veilig configureren
92 c’t 2019, Nr. 3
Test | Smart-tv: losse streamingapparaten
Streamingkastjes als de Apple TV 4K bieden allerlei diensten via een overzichtelijke interface op je tv-toestel.
Slimmere smart-tvZelfstandige streamingkastjes voor je tv
In een smart-tv geïntegreerde apps
voor streamen zijn handig. Maar er
zijn goede redenen om een apart
streamingkastje als een Apple TV
4K of Chromecast Ultra op je smart-
tv aan te sluiten, bijvoorbeeld voor
een breder aanbod van diensten
of om je privégegevens beter af te
schermen.
Nico Jurran
E igenlijk zou er geen markt meer
moeten zijn voor externe kastjes
die multimediacontent op de tv af-
spelen. De tv's van tegenwoordig zijn im-
mers 'smart' en bieden via ingebouwde
apps rechtstreeks toegang tot content op
internet.
Maar niet alleen de streamingoplos-
singen Nvidia Shield en Chromecast Ultra
blijven onverminderd populair. Met de
Apple TV 4K en Amazons Fire TV Stick 4K
zijn er zelfs nieuwe opties bij gekomen
voor 4K-content. Daarnaast kun je ook
de gameconsoles van Microsoft en Sony
gebruiken als mediastreamer. En ook de
pc is herontdekt als videobron.
Een reden voor een los apparaat is
wellicht dat er in huis nog een tv is zon-
der smartfuncties. Sommige kopers kie-
zen ook bewust voor een 'dom' scherm
in plaats van een slimme tv. Of je gebruikt
een beamer, waar meestal geen apps bij
ingebouwd zitten. Tot slot zijn streaming-
kastjes ook interessant voor een (iets)
oudere smart-tv, waarbij de apps be-
perkt of helemaal niet meer werken. Als
de ingebouwde Netfl ix- of YouTube-app
niet meer wordt bijgewerkt, houdt het
streamen op een gegeven moment op.
Er kunnen ook technische redenen zijn,
zoals een ingebouwde processor die te
traag is geworden.
Een apart kastje is soms zelfs de enige
manier om bepaalde content te krijgen:
wil je films en series uit Apples iTunes-
winkel op tv bekijken zonder daar een
Mac op aan te sluiten, dan is de Apple TV
een oplossing. Ook streamingdiensten
zoals VRT Nu, NL Ziet en NPO Start (Plus)
zitten alleen op sommige modellen tv's.
In de tabel staat welke dienst door welk
kastje wordt ondersteund.
Een andere reden voor een apart
kastje is minder voor de hand liggend:
de bescherming van je privacy. Zo is bij
smart-tv's vaak niet duidelijk welke ge-
gevens ze doorsluizen en naar wie. Ook
bij losse kastjes worden gegevens verzon-
den, maar Apple zegt bijvoorbeeld alleen
noodzakelijke gegevens te versturen en
die niet verder te delen. Bij een Fire TV
Stick en Chromecast Ultra weet je in elk
geval waar je data heen gaat (Amazon
respectievelijk Google).
4K, HDR en 3D-geluidQua techniek verslaat Amazons nieuwe Fire
TV Stick 4K de oplossingen van zijn concur-
renten: de stick toont video's in 4K in alle
mogelijke formaten, zoals H.264, HEVC en
VP9, met HDR in de formaten HDR10, HLG,
Dolby Vision en HDR10+ en met Dolby-
Atmos-geluid. Ook de Apple TV 4K doet
op hoog niveau mee, en dan inclusief
UHD-video met Dolby Vision en Dolby
Atmos op de daarvoor geschikte thuis-
bioscoopapparaten.
Die twee spelers ondersteunen beide
ook het aanpassen van de beeldverver-
singsfrequentie op hun HDMI-uitgangen
aan de oorspronkelijke framerate van de
video. Dat is belangrijk voor een vloei-
ende weergave. De officiële app van
Netfl ix voor de Shield TV laat daar steken
vallen. De app biedt 4K met HDR, maar
geen 3D-geluid. Maar erger is dat video's
met een vaste beeldverversingsfrequen-
tie getoond worden, die niet goed past
bij de inhoud van Netflix. Dat zorgt op
veel tv's voor wat schokkerige beelden.
Nvidia ondersteunt het apparaat zelf wel
onvermoeibaar sinds de introductie in
2015 en heeft onlangs zelfs nog een up-
date uitgebracht naar Android 8.x Oreo als
besturings systeem.
Gameconsoles zijn natuurlijk meer
dan alleen een streamingoplossing. Behal-
ve een potje gamen kun je er ook dvd's
en blu-rays (bij de Xbox One X zelfs in 4K)
mee afspelen. Wat betreft de Xbox One is
de Dolby-Vision-ondersteuning voorlopig
wel beperkt tot Netfl ix.
Een pluspunt van de Xbox One en de
Shield TV is dat je daar offi cieel de medi-
aspeler Kodi op kunt installeren. Daarmee
kun je ook fi lms vanaf je NAS afspelen, al
naargelang het systeem zelfs in 4K en met
HDR en 3D-geluid in Dolby-Atmos-, DTS:X-
of Auro-3D-formaat. Op de Apple TV kun
je eventueel de betaalde app Infuse in-
stalleren, waarmee je ook fi lms vanaf een
NAS kunt afspelen, maar dan zonder HDR-
beeld of 3D-geluid.
93c’t 2019, Nr. 3
Test | Smart-tv: losse streamingapparaten
Streamingboxen
Fabrikant Amazon Apple Google Microsoft Nvidia Sony Diverse
Product Fire TV Stick 4K Apple TV 4K Chromecast Ultra
Xbox One S / X Shield TV Playstation 4 Pro Windows-PC
Website amazon.com apple.nl google.nl microsoft.nl nvidia.com sony.nl diverse
Videodiensten
Amazon Video / Netfl ix / iTunes
v / v / – v / v / v – / v / – v / v / – v / v / – v / v / – v / v / v
Pathé / Sky Ticket / Videoland
– / v / – v / v / v v / v / v v / v /– v / – / v v / v / v v / v / v
Google Movies / YouTube / Vimeo
v / via browser / v
– / v / v v / v / v – / v / v v / v / v – / v / – v / v / v
TV-streamingdiensten
NL Ziet / NPO / VRT Nu
– / – / – v / v / v v / v / v – / – / – v / – / – – / – / – v / v / v
Eurosport / Sport 1 v / v v / v v / – v / – v / – v / – v / v
Mediatheken / socialemedia
Facebook Watch (video's) / TED
v / v v / v – / v v / v v / v – / – – / v
Mediaplayer / Mediacenter
Infuse / Kodi – / – v / – v (iOS) / v – / v – / v – / – – / v
Ondersteunde formaten
Full hd / 4K v / v v / v v / v v / v v / v v / v v / v
HDR10 / Dolby Vision / HDR10+
v / v / v v / v / – v / v / – v / v / – v / – / – v / – / – v / v / –
Multichannel / Dolby Atmos
v / v v / v v / – v / v v / v v / – v / v
Aansluitingen / overige
Uitvoering stick kastje puck spelconsole kastje spelconsole pc
Bediening afstands-bediening
afstands-bediening
mobiel ap-paraat
controller of af-standsbediening
controller of afstands-bediening
controller of afstands -bediening
diverse opties
Ethernet / wifi via accesspoint / v
v / v v / v v / v v / v v / v v / v
Optische media – – – UHD-BD en BD – BD naar keuze
Spraakbediening v (Alexa) v (Siri) via Google Home
v (Cortana) – – v (Cortana)
Prijs € 79 vanaf € 195 € 79 vanaf € 240 / € 480
vanaf € 210 vanaf € 400 al naargelang uitvoering
v aanwezig – niet aanwezig
Nog een afstandsbedieningHet gebruik van een apart streaming-
kastje heeft ook nadelen. Afgezien van de
aanschafkosten krijg je ook te maken met
extra kabels. Veel mensen storen zich ook
aan alweer een extra afstandsbediening.
De bijgeleverde afstandsbedieningen van
de Apple TV 4K en Fire TV Stick 4K kunnen
overigens wel enkele basisfuncties aan-
sturen van de tv en eventueel een A/V-
receiver of soundbar. Google doet het
anders bij de Chromecast Ultra: die kleine
puck heeft helemaal geen afstandsbedie-
ning, maar in plaats daarvan bedien je
hem via een Android- of iOS-app op je
mobiele apparaat. Apps met Chromecast-
ondersteuning op dat apparaat kunnen
content met één klik naar de Chromecast
streamen.
Microsoft heeft zijn console ook ont-
wikkeld met streamen als toepassing.
Daar wordt ook een officiële afstands-
bediening voor aangeboden. Bij de Play-
Station 4 ontbreekt zoiets, al kun je er
wel apps voor streamingdiensten op in-
stalleren. Als je het apparaat niet met de
gamecontroller wilt besturen, moet je een
afstandsbediening van een andere fabri-
kant gebruiken.
Streamen vanaf een pcDe pc neemt in dit rijtje een bijzondere
plek in. Er zijn in principe voor alle mo-
gelijke videostreamingdiensten apps
beschikbaar, in elk geval voor Windows
10. Maar om die te gebruiken, moet je
systeem aan bepaalde eisen voldoen.
Behalve een snelle processor zijn vaak
ook een grafi sche kaart en scherm ver-
eist met een HDMI-aansluiting die HDCP
2.2 ondersteunt – zeker als je video's met
ultrahoge (4K-)resolutie wilt afspelen. De
contentleveranciers stellen die eis om
te verhinderen dat content gekopieerd
kan worden. Voordeel van de pc is dan
wel weer dat ook bijna alle diensten via
de browser zijn te benaderen. Apps voor
regionale diensten zoals VRT Nu en NPO
komen vaak pas laat (of niet) beschikbaar
voor de andere systemen.
Bij tests van computers en grafi sche
kaarten (zoals in c't 12/2018) gaan we
vaak op de eigenschappen in die relevant
zijn voor streaming(diensten).
ConclusieAls je qua techniek en qua apps de nieuw-
ste mogelijkheden wilt, kun je het beste
de Apple TV 4K of Amazons Fire TV Stick
4K kopen. Googles Chromecast Ultra is
Bij sommige streaming-oplossingen krijg je (nog) een afstandsbediening geleverd of kun je die los aanschaff en.
vooral ideaal als je je smartphone altijd
bij de hand hebt. Dat zou je met je even-
tuele huisgenoten moeten bespreken. De
Shield TV is al wat ouder, maar door de
updates en de toepassingsmogelijkheden
als NAS-afspeelapparaat nog steeds inte-
ressant voor als je veel content downloadt
en verzamelt.
Bij de PlayStation 4 Pro moet je de
streamingfuncties als leuke extra zien:
puur als streamingkastje is het apparaat
zijn aanschafprijs niet waard. De Xbox One
is daarmee vergeleken aantrekkelijker, al
koop je voor de prijs van de X-versie ook
net zo makkelijk een streamingkastje én
een UHD-blu-rayspeler.
De pc tot slot is een echte allrounder.
Maar in tegenstelling tot bij de losse strea-
mingkastjes kun je die niet zomaar ge-
bruiken, maar moet je van tevoren goed
kijken naar de systeemeisen en mogelijke
beperkingen. (mdt) c
Ultimaker maakt betrouwbare
3D-printers die zuivere prints
met hoge resolutie produceren.
Chinese fabrikanten maken die
printers graag na, maar dan goed-
koper. We hebben de klonen het
eens laten opnemen tegen hun
originelen.
Pina Merkert
Ultimaker versus zijn klonen3D-printers volgens het Ultimaker-concept vanaf 350 euro
Het ontwerp van alle Ultimaker-
modellen is voor iedereen toe-
gankelijk (Open Hardware). Parti-
culieren en bedrijven kunnen de printers
eenvoudig namaken zonder daarbij licen-
tiekosten te hoeven afdragen aan de Ne-
derlandse fabrikant. Vooral omdat er geen
patent op het ontwerp met de kruisende
assen rust, maken ook Chinese fabrikan-
ten 3D-printers die hetzelfde principe ge-
bruiken. Dat maakt snel printen mogelijk,
met weinig trillingen en een hoge preci-
sie – ook bij grotere objecten. Ultimaker
publiceert zelfs bouwtekeningen en CAD-
bestanden, maar niet de lijst van toeleve-
ranciers. Daarom is alleen bij een echte
Ultimaker de kwaliteit van het origineel
gegarandeerd. Bovendien krijg je daarbij
natuurlijk andere service.
We wilden eens kijken hoe goed die
Chinese printers het doen in vergelijking
met de originele versies. We kochten een
94 c’t 2019, Nr. 3
Test | 3D-printers
Ultimakers 3D-printers gebruiken een uit-
gekiende aandrijving voor de X- en Y-as.
In beide richtingen lopen sledes met glij-
lagers over een as die meteen dient als
aandrijving voor de andere as. De twee
sledes die in de X-richting bewegen zijn
verbonden door een gepolijste stalen
stang. Ook tussen de sledes voor de
Y-richting loopt zo'n stang. De printkop
loopt met lineaire kogellagers over die
twee stangen. Dankzij dat principe (en
een Bowden-extruder) is voor geen en-
kele bewegingsrichting een zware stap-
penmotor nodig. Dat maakt hoge print-
snelheden mogelijk en beperkt trillingen,
die je anders terug zou zien in de prints.
Ultimaker-principe
slede
glijlager
as
printkop
lineaire lager
In tegenstelling tot bij het origineel zijn bij Blurolls de randen van de gefreesde platen niet gevijld, waardoor we ons sneden. De kogellagers voor de assen pasten alleen met wat geweld. Bij het plaatsen ontstonden scheurtjes in de zijkanten, die echter geen negatieve gevolgen voor de werking hadden.
zelfbouwkit voor een printer die uiter-
lijk nauwelijks van een Ultimaker 2+ te
onderscheiden was voor circa 800 dollar
(met invoerrechten kwam dat op circa 835
euro). Verder kochten we een CL-260 van
aluminium profielen voor circa 350 euro
(inclusief invoerrechten). Die CL-260 is ty-
pisch voor allerlei Chinese 3D-printers. Die
zijn vooral gericht op een zo laag moge-
lijke prijs voor de kit en daarom wijkt de
constructie op allerlei punten vaak af. Op
de website van Ultimaker zie je welke mo-
dellen zij momenteel verkopen: de 2+ met
Olsson-blok, de 3 met dual-extrusion en
de compleet nieuwe S5 met groter werk-
volume en filament-flow-sensor.
Verschillende doelgroepenDe drie kant-en-klare apparaten van Ulti-
maker zijn prijzig. De 2+ kost zo'n 2200
euro, de 3 kost meer dan 3500 euro en de
Ultimaker S5 valt met 6500 euro helemaal
buiten het budget van consumenten. Maar
daar is hij ook niet voor bestemd. De S5
wordt door Ultimaker specifiek voor be-
drijven gepromoot en de workflow is ook
gericht op de eisen van constructeurs in het
bedrijfsleven. De Ultimaker 3 en S5 hebben
bijvoorbeeld een printserver die print-
opdrachten kan verwerken vanaf alle pc's in
het lokale netwerk. Makers sturen hun op-
drachten meteen vanuit de slicing- software
Cura via Cura Connect naar de printer. Je
kunt ook meerdere printers in een pool
combineren. Als de werkruimte leeg is,
beginnen de printers zelfstandig met
printen, wat in de praktijk goed werkt. De
hoogte van het printbed wordt voor elke
opdracht automatisch aangepast en de ex-
truders worden met kleine hoopjes plastic
in de hoeken geïnitialiseerd. Voordat een
volgende printopdracht gestart wordt,
moet iemand het object handmatig verwij-
deren uit de werkruimte (en de boel door-
gaans eerst opruimen en schoonmaken) en
dat bevestigen. In een bedrijf met meerde-
re Ultimakers kan een enkele medewerker
dat doen, zonder dat een constructeur daar
tijd in hoeft te steken.
De Ultimaker 2+ mist netwerkfuncties.
Je kunt hem via usb opdrachten geven,
maar dan blijft het initialiseren van de ex-
truders achterwege en komt er vaak pas na
enkele banen plastic uit. Ultimaker lijkt er
vanuit te gaan dat je de 2+ op de gang-
bare manier met een SD-kaart voorziet van
printopdrachten. Dan wordt namelijk wel
vóór elke printopdracht automatisch een
hoopje plastic in de hoek gedeponeerd en
wordt de eerste baan meteen goed geprint.
Opdrachten op een kaart zetten doe je met
Cura, dus ten opzichte van de voor een net-
werk geschikte versies komt er een wande-
ling bij van de ontwerp-pc naar de printer.
Een automatische wachtrij is er niet, in
de praktijk zal er misschien een stapeltje
SD-kaarten groeien naast de printer.
De door ons bestelde Ultimaker 2+-kloon
van Blurolls gedraagt zich dankzij de iden-
tieke firmware net als een originele 2+. Het
in elkaar zetten duurde echter negen uur.
Blurolls levert geen handleiding mee, maar
we konden de uitstekende instructies van
95c’t 2019, Nr. 3
Test | 3D-printers
Ultimaker 3
De Ultimaker 3 heeft twee extruders
en twee nozzles. Daarmee kun je niet
alleen twee kleuren van dezelfde kunst-
stof printen, maar ook oplosbaar steun-
materiaal van PVA gebruiken. Filament
van Ultimaker heeft een chip en wordt
via NFC automatisch herkend door de
printer. Maar bij kunststof zonder chip
kun je de printer ook via het menu zelf
instellen.
De Ultimaker 3 stelt de bedhoogte
automatisch in via een capacitieve sen-
sor, die de eigenlijke nozzle gebruikt
voor de afstandsmeting. Dat werkt goed
genoeg voor een betrouwbare hech-
ting, maar we kregen vaak een fraaier
resultaat bij de eerste laag als we de
bedhoogte met de hand instelden, zoals
dat ook kan bij de Ultimaker 2+.
De Ultimaker 3 gebruikt in Cura met
80 millimeter per seconde de hoogste
standaard printsnelheid van alle test-
apparaten. Ondanks het hoge tempo
print hij net zo zuiver als de 2+. Print je
met twee materialen, dan gaat het lang-
zamer. De printer moet bij wisselen van
nozzle de tweede nozzle dan steeds via
een hefboom bij het hot-end laten dalen
of stijgen.
Dankzij een ethernetpoort en de
wifimogelijkheid kun je printopdrachten
voor de Ultimaker 3 makkelijk via Cura
Connect starten vanaf elke pc in het lo-
kale netwerk.
De nozzles zijn bij de Ultimaker 3
vast verbonden met zogeheten print-
cores, die zonder gereedschap verwis-
seld kunnen worden. Als je vervan-
gende exemplaren op voorraad hebt,
beperk dat het oponthoud bij proble-
men. Bij een verstopte nozzle moet je
echter wel meteen de hele combinatie
vervangen.
Cura Connect
dual-versie, autom. bedafstelling
prijzig
Ultimaker S5
De S5 is Ultimakers huidige vlag-
genschip en richt zich qua prijs en
functionaliteit nog meer dan de 3 op
bedrijven. Zijn werkvolume is met 33
× 24 × 30 centimeter duidelijk groter
dan bij de andere 3D-printers. Om er-
voor te zorgen dat de stalen stangen
waar het hot-end over glijdt niet verder
buigen, moeten ze aanzienlijk dikker
zijn. Er moet dan ook meer massa in
beweging gebracht worden, waardoor
de printsnelheid daalt tot 45 mm per
seconde. Als je dat via de printinstel-
lingen niet verhoogt, produceert de S5
net zulke zuivere prints als de 2+ en 3.
Bij een printbed van 33 × 24 cen-
timeter mag je er niet echt meer van
uitgaan dat dit perfect vlak ligt. De S5
leest dan ook voor elke print met een
capacitieve sensor een puntenraster
uit met tussenafstanden van 5 centi-
meter. Dat zorgde bij de tests steeds
voor een perfect ingestelde bedhoog-
te, ook in de hoeken.
Net als de Ultimaker 3 heeft de
S5 twee nozzles en twee extruders.
De extruders bevatten bovendien een
filament-flow-sensor, die herkent of
het filament op is en of een van de
nozzles verstopt is. Bij problemen pau-
zeert de printer automatisch, zodat je
de print naadloos kunt hervatten na-
dat het filament is aangevuld of de
verstopping verholpen.
Voor de bediening heeft de S5
een kleurentouchscreen. Net als het
model eronder is hij via wifi of ether-
net bereikbaar met Cura Connect, zo-
dat meerdere gebruikers prints in een
wachtrij kunnen plaatsen. De materi-
aalherkenning via NFC en het verwis-
selen van print-cores inclusief nozzles
werkt hetzelfde als bij de Ultimaker 3.
groter bouwvolume
2 filament-flow-sensors
erg prijzig
Ultimaker 2+
De Ultimaker 2+ is de goedkoopste
kant-en-klare Ultimaker. Zijn enkele
nozzle met Olsson-block print be-
trouwbaar op de boriumsilicaat glas-
plaat op het verwarmde printbed. Dat
wordt ook heet genoeg voor ABS.
Fila menten met 2,85 mm diameter
worden met een enkele extruder
vanaf de achterkant aangevoerd van-
af spoelen met maximaal 750 gram
kunststof. Spoelen met een kilo of
meer zijn breder en passen niet op de
filamenthouder aan de achterzijde.
De bedhoogte stel je ouderwets
in met de hand via stelschroeven,
maar de firmware helpt met prak-
tische tips. Nozzles van 0,2 tot 0,6
mm doorsnede worden bijgeleverd
(wij hebben getest met 0,4 millime-
ter). Om ze te verwisselen, moet je
de nozzle verhitten en met het bij-
geleverde gereedschap losschroe-
ven (kijk uit voor brandwonden). De
printer herkent niet automatisch of
het filament tijdens het printen op is.
De printer werkte bij de test
doorgaans probleemloos en lever-
de producten met een net zo hoge
kwaliteit als de twee duurdere Ulti-
makers. Bij problemen met hech-
ting op het printbed hadden we en-
kele malen een kluwen plastic in de
werkruimte of een grote prop plastic
die door het beschermrooster van de
ventilatie heen stak. Dat laatste was
alleen op te lossen door de ventilatie
los te schroeven (een uur werk, als
je weet wat je doet). Wees voorzich-
tig met warping: in extreme geval-
len kunnen de beschermroosters
meegetrokken worden en buigen ze
naar buiten, waardoor de zijwanden
bekrast raken.
print betrouwbaar
kant-en-klaar apparaat
geen Cura Connect
96 c’t 2019, Nr. 3
Test | 3D-printers
Blurolls Ultimaker 2+-kloon
Alle Ultimakers zijn Open Hardware.
Daarom kan de Chinese fabrikant Blu-
rolls probleemloos een kloon aanbie-
den via Aliexpress op basis van het
originele ontwerp. De afzonderlijke
onder delen zijn echter niet afkomstig
van dezelfde leveranciers als bij Ul-
timaker, dus de kit kan niet dezelfde
kwaliteit garanderen. Qua uiterlijk en
functionaliteit komt het echter overeen
met een Ultimaker 2+. Dat Blurolls op
ons testapparaat 'Ultimaker 2+' heeft
gezet mag echter niet – een kloon ver-
kopen als origineel is strafbaar.
Blurolls levert geen montagehand-
leiding mee. Met de originele instruc-
ties van Ultimaker konden we de kloon
echter in circa negen uur in elkaar zet-
ten. Omdat de elektronica en opbouw
niet verschillen van het origineel, kun
je na het in elkaar zetten een originele
firmware op de printer flashen. Die kun
je met Cura probleemloos bijwerken
alsof het een originele printer is. De
kloon print in principe net zo nauw-
keurig als het origineel.
Het testapparaat bezorgde ons
wel enkele andere problemen. Om
te beginnen moesten we de draden
in de aansluitkabels van de stappen-
motoren voor de X- en Y-as verwis-
selen, zodat ze in de juiste richting
draaiden. Vervolgens moesten we een
ventilator vervangen omdat die niet
samen draaide met de andere. Daarna
konden we printen, maar ontdekten
we dat de printer op willekeurige
punten stukken G-code oversloeg.
Ook als die fouten alleen maar in ons
testexemplaar zitten, geven ze wel
aan wat voor obscure problemen je
kunt tegenkomen bij een zelfbouwkit
zonder support.
Ultimaker-firmware
scherpe randen
zelfbouwkit zonder support
CL-260
De CL-260 kijkt sommige dingen af van
Ultimaker. Met direct aangedreven X-
en Y-assen, een frame van aluminium-
profielen en een MKS Gen_L V1.0 als
elektronica is hij echter duidelijk an-
ders dan de Ultimaker 2+. Maar hij is
ook voorzien van een Olsson-block,
dat door een directe extruder wordt
voorzien van filament van slechts
1,75 mm. Het verhitte opstelvlak is
met 21 × 21 cm wat kleiner dan bij de
Ultimakers. Als printbed kun je een
spiegel tegel van Ikea gebruiken, want
in de kit zit geen glasplaat.
De fabrikant levert als montage-
handleiding alleen een in het Chinees
opgesteld pdf-bestand met wat foto's
mee, waardoor we meer dan 20 uur
nodig hadden voor de opbouw. Het
bevestigen van de eindaanslagen
werd helemaal niet beschreven, zo-
dat we zelf maar bevestigingsstukken
hebben gemaakt (zie de link onderaan
dit artikel). Het verwarmde bed be-
reikte de voor ABS filament benodigde
100 °C pas nadat we de onderzijde
isoleerden met een pvc-plaat. Voor de
tests gebruikte we Marlin als firmware.
Met het zoeken naar de juiste instellin-
gen waren we weer vier dagen verder,
dat kun je jezelf besparen door die van
ons te gebruiken (zie de link onderan
dit artikel).
De CL-260 print, mits goed af-
gesteld, bijna op hetzelfde niveau als
een Ultimaker 2+ (zie tabel), voor een
fractie van de prijs. De usability is wel
een stuk minder door het niet geopti-
maliseerde menu van de firmware en
de niet al te beste integratie met Cura.
Zo is de bedhoogte het makkelijkst in
te stellen met G-code-opdrachten en
een stuk van een c't-cover.
goedkoop
slechte montage-instructies
traag
Ultimaker gebruiken. Bij de CL-260 lukte dat
minder goed omdat we daar waren aange-
wezen op de gebrekkige instructies van de
fabrikant. Je kunt als bedrijf natuurlijk een
3D-printer door je personeel in elkaar laten
zetten, maar de personeelskosten zijn dan
al snel hoger dan het prijsvoordeel ten op-
zichte van een kant-en-klare 3D-printer. De
zelfbouwexemplaren zijn dan ook eerder
interessant voor particulieren, die de ge-
investeerde uren niet bij de aanschafprijs
op hoeven te tellen.
De bruikbaarheid van de CL-260 is
vooral afhankelijk van een goede confi-
guratie van de Marlin-firmware, voordat
je die op het moederbord flasht. Je moet
ook veel investeren in de start- en stop-G-
code in Cura (zie de link aan het eind van
dit artikel voor onze instellingen). Om snel
goede prints te kunnen maken, moet je bij
de CL-260 niet bang zijn voor wat G-code.
De workflow wordt echter nooit zo mak-
kelijk als bij Ultimaker, waardoor de printer
vooral geschikt is voor mensen die alleen
af en toe wat printen.
Problemen
Geen van de 3D-printers maakt alle prints
probleemloos. Zelfs de dure Ultimaker
creëerde bij de test wel eens een plastic
kluwen. Veel voorkomende problemen zijn
een gebrekkig onderhoud van het print-
bed (zoals vette vingerafdrukken of stof ),
warping (vooral bij grotere printers met
ABS) en verstopte nozzles. De nozzle van
het tweede hot-end van onze Ultimaker
3 verstopte zelfs een keer zo erg dat de
print-core vervangen moest worden. Bij
de Ultimaker 3 mislukte een print omdat
het filament halverwege op was. Bij de S5
maakten we dezelfde fout, maar dankzij
zijn filament-flow-sensor pauzeerde hij en
werd er gevraagd een nieuwe rol te plaat-
sen. In vergelijking met andere 3D-printers
verloopt het printen bij Ultimaker erg be-
trouwbaar. Je moet alleen niet verwachten
dat elke print lukt.
Bij de zelfbouwkits stapelden de pro-
blemen zich echter op. Bij de 2+ van Blu-
rolls bewogen de X- en Y-as aanvankelijk in
de verkeerde richting. Een toeleverancier
had de kabels wellicht verkeerd bedraad.
Om de richting van de bipolaire stappen-
motoren om te keren, moet je bij de aan-
sluitstekker de verbindingen voor een van
de beide spoelen verwisselen. Verder draai-
den de 3cm-ventilators voor het koelen
van de printer niet even snel. We konden
dat oplossen door een ervan te vervangen
door een ventilator met dezelfde afmetin-
gen. Daarna printte het apparaat onze
97c’t 2019, Nr. 3
Test | 3D-printers
NFC zorgt ervoor dat originele mate-rialen automatisch herkend worden door de printer.
Om de eindaanslagen op het frame van de CL-260 te bevestigen heb je tussenstukken nodig, die in de handleiding niet beschreven worden. Onze versie staat bij de link onderaan dit artikel.
testobjecten in vergelijkbare kwaliteit als
het origineel. Soms traden er echter vreem-
de fouten op. Soms werd op willekeurige
momenten een stuk G-code genegeerd en
daarna verder geprint. Als dat gebeurde tij-
dens een infi ll, was dat niet zichtbaar in het
voltooide object. Bij hoge, smalle objecten
zoals onze Z-resonantie-test, zorgde het
echter voor zichtbare spleten. We konden
uitsluiten dat het lag aan een brown-out
door een te lage netspanning, een fout in
het moederbord of in de bedrading van
de X- en Y-motoren. Mogelijk ligt het aan
de kabel tussen het moederbord en de
printplaat of een andere component van
de printer. Het zou een exemplarische fout
van het testmodel kunnen zijn of in de hele
reeks kunnen zitten.
Bij de CL-260 moet je bij het in elkaar
zetten al goed letten op rechte hoeken
bij het frame uit aluminiumprofi elen. De
stappenmotordrivers met slechts 16 micro-
stappen produceerden bij het testapparaat
een onaangenaam gebrom. Omdat die er
alleen opgestoken op zitten, zetten we er
meteen drivers met een DRV9925-chip
voor in de plaats (circa 1 euro per stuk).
Die lopen dankzij 32 microstappen veel
rustiger. In de handleidingen vonden we
geen informatie over het monteren van
de eindaanslagen, zodat we die maar met
zelf ontworpen kunststofdelen (zie de link
onderaan dit artikel) aan het frame beves-
tigd hebben. We hebben ook een multiplex
bodemplaat gemaakt (minder dan 2 euro
bij de bouwmarkt) om de elektronica net-
jes in de voet van de printer te kunnen
vastschroeven. De CL-260 printte daarna
aanvankelijk scheefgetrokken objecten.
Bij de montage waren de stiftbouten bij
de koppeling tussen Y-motor en Y-as los-
geraakt, waardoor de as kon doorslippen.
Het opstelvlak werd zonder aanpassingen
maar zo'n 85 °C. We konden dat verbeteren
door de onderkant te isoleren met een pvc-
plaat. Daarna kwamen we tot 110 °C, zodat
ook printen met ABS op een glasplaat mo-
gelijk was.
Omdat bij de kit geen oplegplaat
zat, gebruikten we een spiegeltegel van
Ikea. De bedhoogte stelden we in met de
cover van een c't, die is namelijk 0,1 mm
dik. Daarvoor zetten we de printkop met
G-code op 0,1 mm hoogte in alle vier de
hoeken van het printbed (G0 X15 Y15
Z0.10, et cetera) en draaiden we aan de
stelschroeven tot het coverstuk met lichte
wrijving onder de nozzles doorschoof. Als
je de nozzles dan op Z-hoogte 0 zet, raken
ze het spiegel oppervlak aan, maar duwen
ze het (net) niet naar beneden. Na goed
afstellen konden we met de CL-260 op ver-
gelijkbaar niveau printen als met de ande-
re modellen, maar dan minder snel omdat
het frame niet zo stijf is (we printten met
40 millimeter per seconde).
ConclusieAlle vijf de printers in deze test printen op
hoog niveau. De CL-260 doet dat met een
maar iets mindere kwaliteit dan de 18 keer
zo dure Ultimaker S5. De subjectief netste
prints kregen we voor elkaar met de Ulti-
maker 2+, maar de verschillen waren erg
klein. De Ultimaker 3 print dubbel zo snel
als de CL-260 en bijna twee keer zo snel
als de S5. De grootste verschillen zitten in
de functionaliteit. Omdat de Ultimaker 3
en S5 twee extruders hebben, printen ze
in twee kleuren of met oplosbaar steun-
materiaal, wat voor de ontwerpen aan-
zienlijk meer mogelijkheden biedt. Beide
ondersteunen ook Cura Connect, wat een
soepele workfl ow mogelijk maakt. De S5
beviel ons met zijn grote bouwvolume.
Prints die dat volume daadwerkelijk be-
nutten vergen wel veel tijd (5 dagen voor
de replica van het Ishtar-kleitablet). Maar
de S5 print betrouwbaar genoeg om ook
in zo'n lang tijdsbestek geen fouten te
maken.
Voor thuisgebruikers met wat verstand
van werktuigkunde, die een fi rmware kun-
nen compileren met de Arduino- IDE, kun-
nen we de CL-260 aanbevelen. Die biedt
door de lage prijs de beste prijs-prestatie-
verhouding in de test. Maar het monteren
98 c’t 2019, Nr. 3
Test | 3D-printers
3D-printers volgens het Ultimaker-concept
Fabrikant Ultimaker Ultimaker Ultimaker Blurolls XTLW
Model 2+ 3 S5 UM2+-Klon CL-260
Werkruimte / filament-diameter 22,3 × 20 × 22,3 cm / 2,85 mm 19,7 × 21 × 20 cm1 / 2,85 mm 33 × 24 × 30 cm / 2,85 mm 22,3 × 20 × 22,3 cm / 2,85 mm 21 × 21 × 26 cm / 1,75 mm
Standaard-printsnelheid 50 mm/s 80 mm/s 45 mm/s 50 mm/s 40 mm/s
Filament-flow-sensoren – – v – –
Filament-herkenning via NFC – v v – –
Hotend-type 1 × Olsson-Block 2 × Print-Core 2 × Print-Core 1 × Olsson-Block 1 × Olsson-Block
Bedhoogte-instelling handmatig2 automatisch (3 punten) automatisch (raster) handmatig2 handmatig
Netvoeding extern extern geïntegreerd extern extern
Opslagmedium / Cura-Connect sd-kaart / – usb-stick / v usb-stick / v sd-kaart / – sd-kaart / –
Ethernet / wifi – / – v / v v / v – / – – / –
Beoordeling
XY-Test (PLA / ABS) ++ / ++ ++ / ++ ++ / ++ ++ / ++ ++ / ++
Oppervlaktekwaliteit (PLA / ABS) ++ / ++ ++ / ++ ++ / ++ ++ / ++ ++ / ++
Maatvoering (PLA / ABS) ++ / ++ ++ / ++ ++ / ++ ++ / ++ ++ / ++
Fijne structuren (PLA / ABS) + / + + / ++ + / ++ + / + + / +
Overhang (PLA / ABS) + / + + / + + / + + / + + / +
Bruggen (PLA / ABS) ± / - ± / ± ± / - - / - ± / ±
Kolombreedte (PLA / ABS) ++ / ++ ± / + ± / + ++ / ++ + / +
X/Y-resonantie (PLA / ABS) v / v v / v v / v v / v v / v
Z-resonantie (PLA / ABS) v / v v / v v / v v3 / v3 v / v
Verstelbaarheid robotica volledig beweegbaar kop & armen beweegbaar kop & armen beweegbaar – (fouten) knie niet beweegbaar
Garantie 12 maanden (excl. nozzles) 12 maanden (zonder print-cores) 12 maanden (zonder print-cores) – –
Prijs (circa) € 2200 € 3500 € 6500 € 835 € 350
Alle tests hebben we geprint met nozzles van 0,4 mm doorsnede, 0,1 mm laaghoogte en de standaard-printsnelheid. Het filament was afkomstig van ICE.1 bij printen met een enkele nozzle is de werkruimte 18 mm breder. 2 firmware helpt met stap-voor-stap-instructies. 3 resultaat als de printer niet vastliep door overgeslagen G-code
++ zeer goed + goed ± voldoende - slecht -- zeer slecht v functioneert – functioneert niet g. o. geen opgaaf
Testprints met de Ultimaker S5. De grote replica van een oud kleitablet met de godin Ishtar paste alleen in het grotere bouwvolume van de S5. De standaard links-voor gebruikt twee kleuren PLA, de T-Rex-schedel en de ronde plaat helemaal vooraan zijn met oplosbaar steunmateriaal geprint.
duurt lang en ook in het gebruik heb je
voor die printer meer technisch inzicht
nodig dan bij de concurrentie. De Ultima-
ker 2+ is een aanrader voor thuisgebrui-
kers die niet hoeven te beknibbelen op de
kosten, geen zin hebben in een zelfbouw-
pakket en genoeg hebben aan een enkele
extruder. De kloon bezorgde ons zoveel
problemen dat we niet echt voordelen
hadden van de 1:1 kopie.
Voor bedrijven zijn de beide moderne
Ultimakers aan te raden. Die zijn binnen
een uur uitgepakt en gebruiksklaar en bie-
den met Cura Connect een welkome effici-
ency bij de workflow. In de praktijk zal de
tweede extruder vaak voor steunmateriaal
worden gebruikt. Daarmee wordt het voor
ontwerpers wel veel makkelijker om onder-
delen te ontwerpen die geprint kunnen
worden. De twee filament-flow-sensoren
in de S5 herkennen verstopte nozzles en
lege filamentrollen, wat de betrouwbaar-
heid bij het printen duidelijk vergroot.
Het zou mooi zijn als Ultimaker dergelijke
sensoren in de toekomst ook in een ver-
nieuwde Ultimaker 3 zou inbouwen, zodat
ook het printen daarmee minder storingen
ondervindt. (mdt) c
www.ct.nl/softlink/1903094
99c’t 2019, Nr. 3
Test | 3D-printers
100 c’t 2019, Nr. 3
Achtergrond | App-store voor Android
Talloze apps in de Google Play Store
staan bol van de trackers en ook
Google zelf heeft privacy niet echt
hoog in het vaandel staan. In de al-
ternatieve F-Droid Store staan geen
apps die met je meekijken. Boven-
dien kun je erin winkelen zonder dat
je je hoeft aan te melden.
Andreas Itzchak Rehberg
De app-verzameling op een smart-
phone verraadt veel van zijn
gebruiker. De Google Play Store
Android-apps zonder GoogleF-Droid: app-store met oog voor privacy
houdt in het verplichte Google-account
precies bij welke van de circa 2,5 miljoen
apps je installeert en wanneer je ze up-
datet. Bovendien wordt je privacy bedreigd
door talloze apps die met trackers de
gebruikers goed in de gaten houden en/of
advertenties op maat tonen. Bij de alterna-
tieve F-Droid app-store moet je daar geen
last van ondervinden.
Het principe achter F-Droid is dat die
app-store je privacy respecteert. De store
blijft daar redelijk bescheiden onder, want
op het eerste gezicht lijkt hij op die van
Google. Net als bij Google Play kun je in
de F-Droid Store zoeken naar apps die je
op je smartphone kunt laden en instal-
leren. En zoals gebruikelijk neemt een
F-Droid-client de taak op zich om de apps
te installeren en te updaten. Maar daar
houden de overeenkomsten ook mee op,
want de store-client heb je niet verplicht
nodig bij F-Droid, hij maakt het alleen wat
makkelijker.
Een belangrijk verschil wordt bij het
downloaden al duidelijk: je hebt geen
account nodig. Het gebruik is geheel ano-
niem. Alleen het ip-adres van de gebruiker
wordt naar de server doorgegeven, maar
zonder dat zou je ook helemaal niet kun-
nen downloaden. Maar naar eigen zeggen
bewaart F-Droid de logbestanden niet.
Als je de F-Droid-app gebruikt, worden
alle interacties lokaal afgehandeld: voor
het zoeken naar apps of het weergeven
van details wordt in een lokaal opgeslagen
index van beschikbare apps gekeken, die
de app dagelijks vernieuwt. De pictogram-
men en screenshots van een app worden
alleen van de F-Droid-server gedownload
als een gebruiker de beschrijving van een
app opent.
Geld verdienen zonder koop-appsGoogle verdient geld met de Play Store
doordat het bedrijf een percentage krijgt
van de verkochte apps en voor het gebruik
van gebruikersgegevens. F-Droid biedt uit-
sluitend gratis apps aan. Het bedrijf kan
daar dus ook niet aan meeverdienen. Het
project werd in 2010 opgericht door de
Britse softwareontwikkelaar Ciaran Gult-
nieks. F-Droid financiert zich met behulp
van donaties. Het werk wordt momenteel
uitgevoerd door zo'n 60 vrijwilligers.
App-gebruikers kunnen doneren aan
ontwikkelaars en ze op die manier moti-
veren om verder te gaan met het dooront-
wikkelen van een app. Dat die opzet werkt,
bewijst de catalogus. Die omvat inmiddels
zo'n 2900 apps, maar dat is inclusief de
apps die niet meer doorontwikkeld wor-
den. Dat aantal haalt het natuurlijk niet bij
de 2,5 miljoen apps van Google.
Selectief aanbevelenDe alternatieve app-store is zo anoniem dat
er zelfs geen leeftijdscontrole is, ook niet bij
eventuele apps met een 'bovensteschap'-
gehalte. Maar die kom je daar sowieso niet
tegen. Vaak wordt strikte anonimiteit ook
geassocieerd met illegale, darknet-achtige
activiteiten. Maar die worden geweerd door
strenge criteria bij het accepteren van nieu-
we apps in de catalogus. Daarin tref je alleen
zogenaamde FOSS-apps aan. Die afkorting
101c’t 2019, Nr. 3
Achtergrond | App-store voor Android
Je hoeft je niet te laten afschrikken door deze waarschuwing bij het installeren van F-Droid.
In de optie-dialoog zitten een paar han-
dige en ongebruikelijke functies, die wel
enige uitleg behoeven:
Bij het menu-item Bronnen (afbeelding
links) kun je app-catalogi toevoegen die
je bij of als alternatief voor de officiële
F-Droid-repository wilt gebruiken. Daar
kun je bijvoorbeeld ook een voorselectie
van apps voor je kinderen samenstellen.
Maar voor het maken van een eigen re-
pository moet je wel de nodige handig-
heid hebben.
Met Incompatibele versies tonen laat
de store ook apps zien die niet compa-
tibel zijn met de gebruikte smartphone.
Dat is interessant als je wilt weten of een
bepaalde app überhaupt beschikbaar is
bij F-Droid.
Met Naam van collectie gedeelde apps
wordt gewoon de naam van je smart-
phone bedoeld die wordt getoond als
je de functie voor het uitwisselen van
apps met anderen in de buurt gebruikt
(afbeelding in het midden). Je smart-
phone fungeert dan als softwarebron.
Met Apps met antifuncties tonen wor-
den ook apps getoond die nog kleine,
maar acceptabele schoonheidsfouten
bevatten. Als er voor bepaalde functies
bijvoorbeeld software wordt gebruikt
die niet opensource is of die niet meer
wordt doorontwikkeld.
Met de Paniekknopinstellingen (af-
beelding rechts) kun je apps instellen
die gestart worden als je de paniek-
knop indrukt. Zo kan de app Ripple bij
een smartphonecontrole bij het reizen
informatie wissen die in bepaalde lan-
den voor problemen kan zorgen.
Het optiemenu
staat voor Free and Open Source Software,
dus gratis apps zonder beperkingen, met
een open broncode [1]. Zonder die vereiste
zou de verplichte rigide veiligheidscontrole
ook niet mogelijk kunnen zijn.
Om ervoor te zorgen dat er geen scha-
delijke apps door de mazen glippen, moest
F-Droid van meet af aan meer werk verrich-
ten. Als Google-gebruiker hoor je tenslotte
vaak genoeg dat je om veilig te blijven al-
leen maar apps uit de Google-store mag
downloaden. Grotendeels klopt dat ook,
het is lichtzinnig om apps zonder controle
te installeren uit schemerige bronnen. Zelfs
als die werken zoals verwacht, kan het nog
steeds zijn dat ze op de achtergrond met
je meekijken en gegevens stelen.
Maar dat doen talloze apps uit de
Google Play Store ook. Google verwijdert
incidenteel apps die negatief opvallen.
Maar ook al zouden er uitsluitend nette
apps zonder trackers in de Play Store staan,
dan nog verzamelt Google zelf allerlei ge-
gevens van zijn gebruikers. Die verzamel-
woede zorgde ervoor dat de IT-security-
expert Mike Kuketz recent waarschuwde
voor het gebruik van de Play Store en ge-
bruikers adviseerde om alternatieve bron-
nen zoals F-Droid te gebruiken [2].
Individuele apps testenDe essentie van F-Droid is dat de aanbie-
der van apps de broncode van elke app
openbaar moeten maken. De beoordeling
vindt in meerdere stappen plaats. Geauto-
matiseerde processen controleren de code
op verdachte onderdelen. F-Droid defini-
eert daarvoor negatief-lijsten met onge-
oorloofde bibliotheken en positief-lijsten.
Apps mogen onderdelen van anderen (bij-
voorbeeld bibliotheken) alleen van positief
gedefinieerde bronnen importeren. Het
F-Droid-team bepaalt gezamenlijk welke
bronnen oké en transparant zijn.
Als een app onderdelen bevat waar-
van de broncode niet open is (propriëtaire
elementen) of als er trackers in zitten zoals
Google Analytics en reclamemodules die
een bedreiging vormen voor de privacy,
maakt hij geen kans om in het F-Droid-
aanbod te worden opgenomen.
Als een app wel door de test is geko-
men, dan genereert het F-Droid-team zelf
de app uit de broncode en signeert hem.
Op die manier weet je zeker dat de geteste
versie in de store staat.
Omdat de apps in F-Droid geen extra
ballast in de vorm van trackers of reclame-
modules bevatten, is een bijeffect dat ze
een stuk lichter zijn en minder resources van
de smartphone vergen. De accu gaat langer
mee en het dataverbruik is beduidend min-
der. Uit een studie van de Purdue University
in de VS bleek dat bij talloze apps in de Play
Store tot 75 procent van het stroomverbruik
toe te schrijven is aan het tracken en de re-
clame [3].
Dat dit principe van een nauwgezette
beoordeling en het vrijgeven van apps
werkt, heeft een onderzoek uit 2017 in
Japan aangetoond: van de 27 onderzochte
platformen bevatte F-Droid als enige hele-
maal geen apps met malware. In de Google
Play Store was dit zo'n 2 procent [4].
De makers van F-Droid laten hun eigen
systemen, oftewel hun servers en eigen
website, door externe audits controleren op
veiligheidsgaten. Dergelijke audits zijn tot nu
toe drie keer uitgevoerd: in 2013, 2015 en
2018. De controleurs vonden enkele kleine
tekortkomingen, die volgens F-Droid direct
verholpen werden. De testers stelden ook
vast dat het veiligheidsmodel en de stan-
daardoperaties goed in elkaar zitten.
Aangezien F-Droid uitsluitend opensour-
ce software toelaat, zul je bekende apps
uit de Google Play store niet in F-Droid
tegen komen. Een reden daarvoor is dat
maar weinig ontwikkelaars de code van
hun app openbaar willen maken of willen
102 c’t 2019, Nr. 3
Achtergrond | App-store voor Android
Met de app Ripple kun je gevoelige informatie van je smartphone makkelijk verwijderen.
Met de F-Droid-client vind je apps via het vergrootglas of door te bladeren door de categorieën.
Apps voor standaardtaken via F-Droid
Toepassingsgebied App
Navigatie Osmand, Maps Me
Openbaar vevoer Offi, Transportr
Mail K-9 Mail, Tutanota, FairEmail
Internet Firefox Klar, Fennec, Nextcloud, DAVDroid, Adaway, Netmonitor
Messenger Silence, Conversations, Riot
Bestandsbeheer Amaze, AnEplorer.Pro, Ghost Commander
Office Markor, Libre Office Viewer
Socialemedia Tusky, Mastalab, twitlatte
YouTube en Podcasts Newpipe, SkyTube, Antenna Pod
Fotoviewer A Photo Manager, Camera Roll
Camera-app Finegeotag, Open Camera
Wearables Gadgetbridge
App-links naar F-Droid-store: zie link onderaan het artikel
aanpassen aan vereisten van derden. Dat
verklaart ook het relatief geringe aanbod
apps in vergelijking met Google. Deson-
danks zijn er apps voor veel toepassings-
gebieden (zie tabel) – en veel apps vind je
uitsluitend bij F-Droid.
F-Droid installerenDe Google Play Store heeft F-Droid niet
bepaald omarmd. De echte F-Droid-app
zoek je daar dan ook tevergeefs, je treft er
hooguit enkele fake-apps aan. Bovendien
is F-Droid maar hoogstzelden op smart-
phones voorgeïnstalleerd. Uitzonderin-
gen daarop zijn de apparaten van fabri-
kanten Shift en Fairphone. Ook in enkele
aangepaste custom-ROM's tref je F-Droid
aan, bijvoorbeeld die van Replicant, Cop-
perheadOS en LineageOS for microG. Als
je F-Droid al op je toestel hebt staan, dan
kun je de volgende stappen overslaan. Zo
niet, dan moet je de installatie handmatig
uitvoeren.
Om dat te doen, moet je op je smart-
phone dan wel het installeren uit onbe-
kende bronnen toestaan. Voor F-Droid
kun je dat rustig doen, ondanks de veilig-
heidswaarschuwing die de smartphone
laat zien. Zoals boven gezegd, dreigt hier
nauwelijks gevaar.
Tot en met Android 7 (Nougat) is het
openstellen globaal geldig. Als je liever
voorzichtig te werk gaat, dan kun je de
schakelaar na het installeren van F-Droid
beter terugzetten. Vanaf Android 8 werkt
dat eenvoudiger, daar is geen globale scha-
kelaar meer maar kun je apps doelgericht
toestaan andere apps te laten installeren.
F-Droid kun je zonder je zorgen te maken
toestaan, maar bij je browser of e-mail-app
moet je dat zeker niet doen.
Als je niet terugschrikt van een wat meer
technische aanpak, neem je de korte
weg: download het APK-bestand van de
website https://f-droid.org/, sluit je smart-
phone op je pc aan en installeer het ver-
volgens met adb install org.fdroid.*.apk.
Klaar! Als dat je niets zegt, neem je de vol-
gende stappen.
Nadat je in het instellingenmenu het
installeren uit onbekende bronnen hebt in-
geschakeld, start je de webbrowser en ga je
naar https://f-droid.org/. Daar klik je op de
blauwe knop met het opschrift 'Download
F-Droid'.
Daarna tik je bij de meldingen op
down load gereed, waarmee het gedown-
loade bestand opent. Bevestig de vraag of
je de app wilt installeren en het installeren
wordt gestart. Nadat de app geïnstalleerd
is, kun je hem zoals iedere andere app ope-
nen.
Allereerst wordt de bibliotheek met
pakketbronnen geactualiseerd, wat in-
houdt dat de app een overzicht van alle
beschikbare apps in de F-Droid-store laadt.
Dat bestand is ongeveer 1 MB groot. Alle
apps hebben in eerste instantie het grijze
F-Droid-logo omdat bij elke start van de
app de logo's van de apps geladen wor-
den. Daardoor duurt het even voordat ze
zichtbaar zijn.
Het is eenvoudig om een app voor een be-
paald doel te vinden. Het is niet te doen
om de hele lijst door te nemen, maar via
het zwevende vergrootglas kun je zoek-
opdrachten invoeren en de lijst daarmee
doelgericht filteren.
Alternatief kun je de apps op cate-
gorie gesorteerd bekijken via de knop
onder in het scherm. Je kunt ook een lijst
van reeds geïnstalleerde F-Droid-apps
oproepen. Helaas is daar geen aparte knop
voor, maar open je het Instellingen-menu
en tik je op 'Geïnstalleerde apps'. In het
kader 'Het Instellingen-menu' staat een
overzicht van de verschillende mogelijk-
heden die dit menu biedt.
Apps bijhouden en doorgevenZoals gezegd werkt F-Droid met een
lokaal opgeslagen index die regelma-
tig moet worden bijgewerkt. Normaal
gesproken gebeurt dat dagelijks. Als er
updates voor geïnstalleerde apps zijn,
meldt F-Droid dat aan de gebruiker. Dat
geldt ook voor F-Droid zelf.
Als je de volledige controle over elke
geïnstalleerde app wilt behouden, dan kun
je instellen dat je alles handmatig regelt. Je
kunt instellen dat updates in ieder geval
automatisch geïnstalleerd moeten worden,
zodat je je daar niet om hoeft te bekom-
103c’t 2019, Nr. 3
Achtergrond | App-store voor Android
Met F-Droid kun je de apps eenvoudig van de ene smartphone naar een andere kopiëren.
Kleine schoonheidsfoutjes die nog in
een app zitten en bij een controle wor-
den gevonden, noemt F-Droid 'antifunc-
ties'. Ze zijn echter niet ernstig genoeg
om ze van de catalogus uit te sluiten.
Hieronder een lijst van dergelijke anti-
functies en wat ermee wordt bedoeld.
NonFreeAdd: de app biedt add-ons die
geld kosten.
NonFreeAssets: de app bevat onder-
delen die niet opensource zijn. Dat is
meestal beeldmateriaal dat niet onder
een vrije licentie gepubliceerd is. De
licentie CC-BY-NC-SA verbiedt bijvoor-
beeld het commerciële gebruik.
NonFreeNet: de app maakt reclame
voor netwerkdiensten die niet vrij zijn
of is aangewezen op het gebruik daar-
van. Dat zijn bijvoorbeeld YouTube-apps
als NewPipe en Yalp voor het benaderen
van de Google Play Store.
NoSourceSince: de broncode van de
app is niet meer gratis verkrijgbaar. Dan
is er een commerciële versie van de app
verschenen of wordt de app niet meer
doorontwikkeld.
Tracking: de activiteiten van een app
worden naar een server gestuurd zonder
dat je daar expliciet toestemming voor
hebt gegeven. In het algemeen gaat het
dan over crashreports die automatisch
verstuurd worden. Dat wordt minder
zwaar aangerekend als een app de mo-
gelijkheid biedt dit bij de instellingen uit
te schakelen.
UpstreamNonFree: de broncode bevat
componenten die niet opensource zijn
en die voor de F-Droid-build, dus bij het
maken van de draaiende app, verwijderd
werden.
Antifuncties: de gevarenlijst
Bij elke app worden mogelijk aanwezige antifuncties genoemd.
meren. Daar schuilt wel een addertje onder
het gras: als F-Droid niet al standaard op
je smartphone geïnstalleerd staat, mag de
app updates niet automatisch installeren. Bij
Android mag alleen een systeem-app zoals
Google Play dat.
Er is ook nog een andere manier om
aan apps te komen: in het app-venster zit
de functie 'Dichtbij'. Daarmee kun je apps
delen met andere gebruikers die in je
bluetooth dan wel wifibereik zitten. Alle
lokaal geïnstalleerde apps kun je met ande-
ren uitwisselen, dus niet alleen de apps die
je via de F-Droid-store geïnstalleerd hebt.
Daarmee bespaar je bovendien datage-
bruik. Dat is bij ons wellicht niet meer zo'n
probleem, maar in sommige landen waar
databundels duur zijn is dat een prettige
oplossing en maken telefoonaanbieders er
zelfs reclame voor.
Het is niet mogelijk voor de ontvanger
van een app om te zien wat de aanbieder
op zijn smartphone heeft staan. Je kunt dus
alleen sturen, niet ophalen. Maar dat sturen
gaat zeer eenvoudig.
Persoonlijke hulpAls je problemen met de F-Droid-app of
de website ondervindt of als je apps hebt
die je als voorstel bij de store wilt aanbie-
den, dan staan op de website van F-Droid
links naar relevante forumdiscussies op het
ontwikkelaarsplatform GitHub en andere
contact mogelijkheden.
Als er iets mis is met een app die je via
F-Droid hebt geïnstalleerd, dan kun je met
de desbetreffende ontwikkelaar contact
opnemen. De benodigde contactinforma-
tie staat in de omschrijving van een app in
de store en op de website. Een melding kun
je in het algemeen op de relevante GitHub-
of GitLab-repository van de ontwikkelaar
maken en staat onder 'Issue tracker'.
ConclusieIn de F-Droid-store zul je niet vaak bekende
apps tegenkomen. Maar voor de meeste
toepassingen staan daar wel geteste alter-
natieven die een stuk meer privacy belo-
ven. Vergeleken met de Google-Play-store
krijg je bovendien sneller contact met de
mensen achter een app en krijg je niet een
geautomatiseerd antwoord bij eventuele
vragen of problemen die je ondervindt.
De interface van de F-Droid app-store
kan voor sommige gebruikers wat te wen-
sen overlaten. Omdat de catalogus met
het aanbod aan apps in de vorm van een
repository wordt gedownload, hebben
ontwikkelaars er ook alternatieve client-
apps voor gemaakt, bijvoorbeeld G-Droid.
Die laadt de repository en biedt zijn eigen
interface met een wat klassieker uiterlijk.
Bovendien zijn apps voorzien van een be-
oordelingssysteem, iets wat F-Droid ook
mist. Een andere alternatieve store is Yalp,
die het ook mogelijk maakt om apps direct
uit de Google Play Store als APK-bestanden
te downloaden, ook zonder een Gmail-
account. (ddu) c
Literatuur
[1] Over F-Droid: https://f-droid.org/about/
[2] Mike Kuketz blog: https://www.kuketz-blog.de/
android-google-entfernt-netguard-aus-play-store/
[3] Free apps drain smartphone energy on 'adver-
tising modules' https://www.purdue.edu/news-
room/research/2012/120404HuSmartphone.html
[4] Yuta Ishii, Takuya Watanabe et al, Understan-
ding the Security Management of Global Third-
Party Android Marketplaces, 2nd International
Workshop on App Market Analytics, https://nsl.
cs.waseda.ac.jp/wp-content/uploads/2018/04/
submitted_wama2017.pdf
www.ct.nl/softlink/1903100
Zul je altijd zien: heb je de Raspber-
ry Pi net ingebouwd, reageert hij
plotseling niet meer. Om de fout op
te sporen heb je dan eigenlijk een
monitor en toetsenbord nodig. Met
onze bluetooth-shell heb je echter
genoeg aan een jumpertje om de
problemen ter plekke op te lossen
met een notebook of tablet.
Mirko Dölle
Heb je net de zorgzaam geprepa-
reerde Raspberry Pi ergens aan
een apparaat gekoppeld, moet
je met een monitor en toetsenbord naar
de plek des onheils omdat de Pi plotse-
ling niet meer in het wifinetwerk te zien is.
Vaak gaat het om kleinigheden die ertoe
leiden dat de mini-computer het even niet
meer doet. Het ter plekke zoeken naar de
fout is de meest succesvolle manier van
werken, maar dat kan ook omslachtig zijn
als de Raspberry Pi bijvoorbeeld geen net-
werk- of wifiverbinding heeft waarmee je
via SSH zou kunnen inloggen.
De bluetooth-adapter van de Rasp-
berry Pi biedt in dat geval een interes-
sante mogelijkheid: hij werkt volkomen
onafhankelijk van ethernet en wifi. Met
een inlog-console erbij biedt hij een han-
dige achterdeur naar de Pi. Om ervoor
te zorgen dat niemand onbevoegd kan
inloggen, wordt de bluetooth-shell pas
geactiveerd als je twee pinnen van de
GPIO-header van de Raspberry Pi kortsluit.
Deze bluetooth-shell is met name
interessant voor een Raspberry Pi Zero
W, die geen ethernetpoort heeft. Omdat
toegang via bluetooth normaal gespro-
ken niet actief is en praktisch geen reken-
kracht vergt, kun je dit zonder problemen
op alle Raspberry Pi's instellen. Dan hoef
je bij bijvoorbeeld wifiproblemen dit al-
leen nog te activeren via een jumper.
Als je haast hebt, kun je simpelweg het
pakket btlogind downloaden via de link
onderaan dit artikel en op de Raspberry
Pi installeren met
sudo dpkg -i btlogind*.deb
Daarmee is de bluetooth-shell al meteen
te gebruiken. Je moet wel rekening hou-
den met een paar eigenaardigheden – om
die te begrijpen, moet je weten wat er op
de achtergrond gebeurt.
Inloggen bij kortsluitingHet pakket bevat de in Python geprogram-
meerde daemon btlogind, die in de map /
usr/bin geïnstalleerd wordt. Om ervoor te
zorgen dat die bij het booten automatisch
mee wordt opgestart, installeert het pak-
ket ook de systemd- service /etc/systemd/
system/brlogin.service, wordt die geacti-
veerd en bij afronden van het configureren
ook gestart. Als je de bluetooth- toegang
later permanent wilt uitschakelen, hoef je
alleen de systemd-service op de volgende
manier te deactiveren:
sudo systemctl disable btlogin
sudo systemctl stop btlogin
De daemon bewaakt standaard pin 5
van de GPIO-aansluiting. Als die pin met
massa wordt verbonden, dus bijvoorbeeld
kortgesloten met pin 6, dan start de dae-
mon de eerder eveneens geïnstalleerde
systemd-service /etc/systemd/system/
btconsole.service. Als de jumper weer
verwijderd wordt, stopt de daemon met
werken. Belangrijk daarbij is dat de dae-
mon reageert op de gebeurtenis 'bridge
restore' respectievelijk 'bridge remove'.
Dat voorkomt dat de bluetooth-shell con-
tinu geactiveerd blijft als je vergeet om
de jumper weer te verwijderen. Als je de
Raspberry Pi al in kortgesloten toestand
gestart hebt, moet je de jumper eerst ver-
wijderen en daarna terugplaatsen om de
toegang te activeren.
Omdat de daemon btlogind ervoor
verantwoordelijk is dat de service btcon-
sole.service wordt gestart en gestopt,
wordt die gedurende het configureren
gedeactiveerd met systemctl. Als je de
bluetooth-inlogmogelijkheid altijd wilt
kunnen gebruiken, moet je de daemon
zoals hiervoor beschreven deactiveren
en in plaats daarvan de console-service
standaard activeren:
sudo systemctl enable btconsole
sudo systemctl start btconsole
Bluetooth-terminalIn de service btconsole zit het hart van
de bluetooth-toegang. Dat start de RF-
COMM-daemon, die op kanaal 1 van het
standaard bluetooth-device hci0 wacht
op binnenkomende seriële bluetooth-
verbindingen. Vervolgens wordt met be-
hulp van het modemprogramma mgetty
een inlogconsole geopend:
/usr/bin/rfcomm -r watch hci0 1 mgetty
-r -s 115200 /dev/rfcomm0
In dit geval gebruiken we mgetty omdat er
met de bij Raspbian standaard geïnstal-
leerde agetty vaak verbindingsproblemen
optraden. Het programma mgetty wordt
als afhankelijkheid van btlogind automa-
104 c’t 2019, Nr. 3
Praktijk | Bluetooth-shell voor Raspberry Pi
AchterdeurBluetooth-shell voor Raspberry Pi en Zero W
tisch gedownload en geïnstalleerd uit de Raspbian-repository.
Voordat een andere computer of een tablet een seriële verbinding kan openen, moet het apparaat pairen met de Rasp-berry Pi. Dat is op zich geen probleem omdat de bluetooth-adapter van de Rasp-berry Pi 3 en Zero W de Secure Simple Pai-ring (SSP) al ondersteunt. Daardoor hoef je geen pincode meer in te typen voor het pairen. Dat betekent wel dat je een ap-paraat moet gebruiken met een voor SSP geschikte bluetooth-adapter versie 2.1 of hoger –bij smartphones en tablets is dat inmiddels al langer het geval.
À propos tablets: Apple-gebruikers hebben hier helaas pech, want iOS staat geen seriële bluetooth-verbindingen toe met apparaten van andere fabrikanten. Je kunt de Raspberry Pi dan niet eens vin-den op de lijst van de in de buurt zittende bluetooth-apparaten.
Bij Android zijn dergelijke problemen er niet, daar moet je dan een van de vele terminal-programma's voor bluetooth installeren om op de Raspberry Pi in te kunnen loggen. De gratis app Serial Blu-etooth Terminal van Kai Morich voldoet bijvoorbeeld prima voor het opsporen van fouten.
Om vanaf een Linux-computer in te kunnen loggen, moet je afhankelijk van de bluetooth-adapter en de Linux-distributie eerst nog SSP expliciet activeren. Dat kun je doen met het volgende commando:
sudo hciconfig hci0 sspmode 1
Met hci0 wordt dan het eerste bluetooth-device bedoeld. Als het commando bij-voorbeeld de foutmelding 'Operation not permitted' oplevert, is je bluetooth-adapter niet geschikt voor SSP en moet je een nieuwere gebruiken.
Om het MAC-adres van de Raspberry Pi te vinden voor het opbouwen van een verbinding, kun je daar op een andere computer naar zoeken:
hcitool scan
Ten slotte maak je een seriële verbinding met de Raspberry Pi met behulp van rf-comm. Het MAC-adres in het volgende com-mando moet je dan vervangen door het MAC-adres van je Pi:
rfcomm connect /dev/rfcomm0
89:0A:BC:DE:F1:23 1
Het getal 1 aan het eind van het com-mando staat voor het kanaal waarop de RFCOMM-daemon van de Raspberry Pi moet wachten op verbindingen – dat moet dus op beide apparaten hetzelfde zijn. De daemon draait overigens net zo lang op de voorgrond als de verbinding met de tegenpool bestaat – en blokkeert daarmee de huidige terminal.
StoorzenderEen mogelijk probleem daarbij is de Mo-demManager, die telefoonmodems en 4G-sticks automatisch configureert met behulp van AT-commando's. Omdat /dev/
rfcomm0 een seriële interface is, denkt de ModemManager op je pc of notebook dat het om een modem gaat, en begint dan AT-commando's te versturen.
De Raspberry Pi kan daar niets mee beginnen en ze storen bij het inloggen en het intypen van commando's. Daarom moet je de ModemManager killen (sudo killall ModemManager) of eenmalig vóór het uitvoeren van rfcomm de volgende udev-regel toevoegen in het bestand /etc/udev/rules.d/90-rfcomm.rules op je computer:
KERNEL=="rfcomm[0-9]*",
ENV{ID_MM_DEVICE_IGNORE}="1"
Voor het inloggen heb je bij Linux nog een serieel terminalprogramma nodig. In onze ervaringen is gtkterm, dat in de stan-daard-repository's zit van bijna elke Linux- distributie, daar voor geschikt. Als je het programma hebt gestart, moet je eerst bij het menu-item Configuration onder Port naar de interface /dev/rfcomm0 gaan en als transfersnelheid 115200 baud selecte-ren. Sluit de configuratie en druk op Enter – dan krijg je meteen de inlogprompt van de Raspberry Pi te zien. Vul daar je gebrui-kersnaam en het wachtwoord in.
Net zo makkelijk als een SSH-ver-binding in een terminal is de seriële ver-binding via GTK-Term niet. Programma's passen hun uitvoer bijvoorbeeld niet au-tomatisch aan het GTK-Term-venster aan, want GTK-Term stuurt de grootteverande-ringen niet door. Standaard zijn 80 tekens breed en 25 regels hoog ingesteld.
Je moet het GTK-Term-venster daar-om groot genoeg maken, zodat er geen onnodige regelafbrekingen voorkomen – een zwarte rand rechts en beneden stoort in de dagelijkse praktijk minder.
Daarnaast zullen veel programma's er over klagen dat ze niets over de moge-lijkheden weten van de terminal. Daarom moet je als eerste stap de omgevings-variabele TERM instellen:
export TERM=linux
Als dat ingesteld is, kan GTK-Term zelfs overweg met gekleurde tekstomgevingen zoals van de filemanager Midnight Com-mander en het configuratieprogramma van de Raspberry Pi raspi-config. Op die manier staat niets het makkelijk zoeken naar fouten meer in de weg. (nkr) c
www.ct.nl/softlink/1903104
105c’t 2019, Nr. 3
Praktijk | Bluetooth-shell voor Raspberry Pi
Met de juiste terminal-omgevingsvariabele kan GTK-Term zelfs gekleurde tekst-omgevingen goed weergeven.
106 c’t 2019, Nr. 3
Test | Multifunctionele inkjetprinters
Echte doordrukkersMultifunctionele inkjetprinters voor veel pagina's
Ben je die inkjetprinters met half-
volle en schreeuwend dure kleine
cartridges ook zo beu? We hebben
het alternatief bekeken: drie model-
len die betaalbaar duizenden (kleu-
ren)prints kunnen regelen.
Rudolf Opitz
Het lijkt zo mooi, zo'n lekker goed
kope printer. Maar dan is na een
pagina of 50 tot 100 de meege
leverde startercartridge al leeg. Dus koop
je een XLcartridge om lekker veel te kun
nen printen, maar die kost net zo veel als
een halve nieuwe printer. Er komen steeds
meer fabrikanten met een alternatief voor
de zogenaamd goedkope (multifunctio
nele) printers met dure inkt: printers met
voldoende inkt voor 6000 tot 12.000 pagi
na's. De inkt in normale cartridges zou vier
keer zo veel kosten, waardoor de hogere
printerprijs wordt gerechtvaardigd.
Drie multifunctionals van rond de 400
euro die met een flinke hoeveelheid inkt
worden geleverd moesten in onze test aan
de bak. De Brother MFCJ1300DW heeft
grote cartridges met voldoende inkt tot
6000 pagina's. De Canon Pixma G4511 met
vaste inkttanks levert zelfs zwarte inkt voor
12.000 pagina's en kleureninkt voor 7000
pagina's mee. Epsons Ecotank ETM2140 is
te vullen met inkt uit een fles, maar heeft
alleen zwarte inkt en is een directe concur
rent voor de kleine zwartwitlaserprinters
voor zakelijk gebruik. In de doos zitten
twee extra flessen, en elke fles is goed voor
6000 pagina's.
Jarenlang printenEpson geeft op de verpakking van de Eco
tank aan dat hij 11.000 pagina's kan prin
ten. De fabrikant heeft het bij aflevering
gevulde aanvoerende slangensysteem er
netjes vanaf getrokken. De Pixma G4511
houdt geen rekening met het verlies bij
vullen en rekent met de volledige 12.000
pagina's. Ook bij die printer krijg je twee
flessen inkt cadeau. De inkt in de slangen
gaat niet verloren, beide printers printen
door tot elk restje inkt op is.
Canons Bubblejetprintkoppen inte
resseert dat minder dan de piëzoprintkop
pen van Epson. De piëzo's zijn ontworpen
voor de dichtheid van de Epsoninkt en
kunnen luchtbellen niet uit de drukkamers
werken. Het enige wat je daartegen kunt
doen is veel spoelen met inkt, die de lucht
dan beetje bij beetje wegwerkt. Om die
reden moet je piëzoprinters als de Epson
en Brother niet laten printen tot het echt
niet meer gaat.
Ook de Brother moet eerst (net als
alle inkjetmodellen van het merk) een
slangensysteem vullen. Doordat er zoveel
107c’t 2019, Nr. 3
Test | Multifunctionele inkjetprinters
Verbruikskosten inkt
Kopieertijden
Printperformance (ISO-pagina in kleur)
Geluidsproductie
Energieverbruik
[Cent / ISO-pagina] Normale patronen XL-patronen / flessen
kleur zwart-aandeel kleur zwart-aandeel
< beter < beter < beter < beter
Brother MFC-J1300DW
Canon Pixma G4511
Epson Ecotank ET-M2140
Uit [watt] Ecomodus [watt] Stand-by [watt] Printen [watt]
< beter < beter < beter < beter
Brother MFC-J1300DW
Canon Pixma G4511
Epson Ecotank ET-M2140
Normaal Stille modus
scannen [sone] printen [sone] scannen [sone] printen [sone]
< beter < beter < beter < beter
Brother MFC-J1300DW
Canon Pixma G4511
Epson Ecotank ET-M2140
[Pagina's / minuut] Preview Normaal Normaal stil Beste kwaliteit
beter > beter > beter > beter >
Brother MFC-J1300DW
Canon Pixma G4511
Epson Ecotank ET-M2140
[Minuten:seconden] Z/W 20 kopietjes Kleur 20 kopietjes A4-foto
< beter < beter < beter
Brother MFC-J1300DW
Canon Pixma G4511
Epson Ecotank ET-M2140
5
–
–
1
–
–
3,15
0,66
–
0,75
0,23
0,25
0,2
0,2
0,2
1,1
1,3
0,6
3
2,8
4,3
16,1
13,9
15,5
3,9
1,8
1,7
6,6
5,7
4,9
3,9
1,7
1,4
5,7
5,7
4,3
18,2
9,1
24,5
14
7,9
21,8
6,1
3,8
7,5
2,3
1,5
2,3
2:23
2:12
1:06
2:56
3:19
–
2:03
4:27
0:44
inkt wordt meegeleverd met de printers,
is die hoeveelheid prima te overzien. En je
maakt je sowieso minder druk over inktver
lies door de automatische reinigingscycle
dan bij printers met nauwelijks gevulde
en dure cartridges. Omdat het 'duur spul'
gevoel wegvalt, print je zonder zorgen wat
meer dan je normaal zou doen.
Printers met grote inktreservoirs zijn
door hun hogere aanschafprijs alleen ge
schikt als je veel print, minimaal 1500 tot
2000 pagina's per jaar. Als je de prijs van
de printer en de meegeleverde inkt om
rekent naar cent per ISOkleurenpagina,
print het cartridgemodel van Brother met
7,3 cent per pagina het duurst van de drie,
gevolgd door de Canon Pixma met 6 cent
per ISOpagina. Voor kleurenprints bepaalt
de norm ISO/IEC 24711/24712 hoe en met
welke templates de hoeveelheid prints met
de inkt gemeten wordt.
Bij zwartwit is er ISOIEC 29101/29103.
Daarbij komt de Epson Ecotank uit op 3,9
cent per ISOzwartwitpagina. De Pixma
G4511 met een enkele fles cyaan, magen
ta en geel (elk voor 7000 pagina's) maar
twee flessen zwart voor 12.0000 pagina's
haalt hier een nog lagere prijs van 3,5 cent,
maar dan wel zonder aftrek van het vullen
van het slangensysteem. Het model van
Canon is ook te krijgen met een enkele
fles zwarte inkt voor 6000 pagina's onder
de naam Pixma G4510. Als je vooral foto's
en kleurige grafieken print ben je daarmee
goedkoper uit.
Aan de flesAfhankelijk van het aantal prints is de
meegeleverde hoeveelheid inkt voldoen
de voor twee of drie jaar, wat ongeveer
overeenkomt met de garantie vanuit de
fabrikant. Brother en Epson geven drie jaar
garantie, Canon twee. Als je toch door je
inktvoorraad heen bent, wat bijvoorbeeld
door veel foto's kan gebeuren, is vervan
ging goed betaalbaar. De XLcartridges van
Brother zijn het duurst met 165 euro per
set, tegenover rond de 90 euro voor een set
van normaal formaat. Voor een apparaat
dat cartridges gebruikt, print de J1300DW
voor 3,15 cent per ISOkleurenpagina (XL)
nog steeds erg betaalbaar.
Bij de Pixma kost een set originele inkt
44 euro (0,66 cent per ISOkleurenpagina).
Het zwartaandeel ligt met 0,23 cent per
pagina net onder dat van de puur zwart
printende printer van Epson (0,25 cent per
ISOpagina). Ter vergelijking: tonerkosten
per ISOpagina voor een kleine zwart
witlaserprinter ligt tussen de 3 en 6 cent.
Bij kleurenprinters kost een ISOkleuren
pagina 6 tot 10 cent (zakelijke modellen)
of 12 tot 16 cent bij voor foto's geoptima
liseerde printers voor thuisgebruik. Gebrui
kers die erg veel printen kunnen met een
printer uit deze test aardig besparen.
Het voor het eerst vullen en bijvullen
van de twee inkttankmodellen is eenvou
dig. Bij de Canon Pixma klap je de klep
voor de tankhouders open en haal je de
rubberen stoppen uit de tanks. Daarna
spuit je voorzichtig inkt in de tanks. Het is
aan te raden om rubberen handschoenen
aan te trekken voor als er bellen ontstaan
en er wat inkt naast de tank terechtkomt.
De Epson Ecotank is zonder kans op
geknoei te vullen. Na het openen van de
afsluiter (geen rubberen stop aanwezig)
zet je de fles met inkt rustig op de tank en
de inkt vloeit vanzelf in de tank totdat deze
vol is. Dan stopt de flow met inkt vanzelf en
kun je de fles weghalen. Hier merk je dui
delijk dat Epson al wat meer ervaring heeft
opgebouwd bij consumentenprinters met
inkttanks. Nog minder kans op geknoei en
108 c’t 2019, Nr. 3
Test | Multifunctionele inkjetprinters
De inkttanks van de Canon Pixma G4511 (links) hebben al-leen een rubberen dop als afsluiting. Als je ze vult moet je opletten voor luchtbellen. De tank van de Epson Ecotank ET-M2140 (rechts) is zonder geknoei te vullen: je hoeft de inktfles er alleen maar op te zetten.
Brother MFC-J1300DW
De compacte J1300DW oogt degelijk. De papiercassette aan
de voorkant kan 150 pagina's aan. Achterop zit een invoer
voor een enkele pagina per keer. Het normale papier kan in
de cassette blijven voor als je een keer op fotopapier wilt prin-
ten. Het paneel met het goed te bedienen touchscreen is te
kantelen. De NFC-tag is handig voor het snel koppelen met
je smartphone.
De uitgebreide webinterface werkt fijn bij de configura-
tie. Je wordt eraan herinnerd het standaard wachtwoord te
wijzigen. De netwerkcommunicatie is via SSL te versleutelen
of met een IP-filter te beperken.
De clouddienst Brother Web Connect knoopt de printer
aan cloudstorage. Android- en iOS-apparaten kunnen print-
opdrachten sturen zonder dat je de Brother-app nodig hebt.
Als je op je telefoon wilt scannen is de app van de fabrikant
wel een handige optie.
Met de instellingen voor snel en normaal printen zien de
prints er prima leesbaar uit en rollen ze vrij vlot uit de printer.
Bij hoge kwaliteit heeft hij veel tijd nodig, maar de letters zien
er goed uit. De bespaarmodus die je bij elke kwaliteit kunt
inschakelen print van gekleurde vlakken alleen de rand, maar
verandert verder niets aan de normale tekst om de leesbaar-
heid goed te houden. Voor 100 pagina's aan pdf had de printer
14,5 minuten nodig. Bij dubbelzijdig printen neemt de printtijd
behoorlijk toe. Onze testpagina zag er zeer netjes uit. Foto's
print de J1300DW ook op normaal papier randloos af en de
kleuren zijn krachtig. Op fotopapier zagen we subtiele strepen
toen we er een vergrootglas bij pakten. De inkt was aardig
bestand tegen markers. Op normaal papier zagen we in de
belichtingstest dat de inkt behoorlijk verbleekte.
Kopiëren gaat niet vlot, maar bij tekst en graphics was
de kwaliteit voldoende. Met automatisch verwijderen van de
achtergrond ingeschakeld kregen we vrijwel perfecte zwart-
wit-kopietjes van tekst op gekleurd papier. Foto's worden niet
randloos gekopieerd en worden te donker, hebben weinig
detail en hadden last van een groene zweem.
Scans van foto's hadden dezelfde euvels, bij het inscan-
nen van graphics zagen we een groene zweem bij grijs. De
geïntegreerde tekstherkenning hield het alleen bij zeer grote
en zeer kleine tekst voor gezien, bij normale tekst leverde hij
foutloze doorzoekbare pdf's af.
bediening via touchscreen
cartridges vervangen is simpel
geen randloze kopietjes
slechte scans van foto's
nog simpeler is het verwisselen van de cartridges bij de printer
van Brother.
Om de inkthoeveelheden te controleren, iets wat je regel
matig hoort te doen, hebben de apparaten met inkttanks een
venster in de behuizing zitten. De printers proberen zelf wel te
berekenen hoeveel inkt er nog over is. Dat is niet tot op de mil
liliter nauwkeurig en werkt alleen goed als je ook volledig vult.
Ook hier weer is een cartridge met een bekende hoeveelheid
vulling een voordeel.
Karige uitrustingDe prijzige slangsystemen, meegeleverde inkt en het wegval
len van subsidie via dure inktvullingen zorgen dat de printers in
deze test duurder zijn. De uitrusting is gerust mager te noemen.
De Epson Ecotank ETM2140 heeft geen fax (dat is geen enorme
ramp), feeder of netwerkverbinding. Verbinden met een pc gaat
via USB. Daardoor zijn er ook geen mobiele of cloudfuncties be
schikbaar. Epson heeft het beperkt tot de basics: een groot tegen
stof beschermd papiervak, een snelle duplexprintfunctie en een
eenvoudige bediening.
Canon doet het wat anders met zijn Pixma G4511. Deze is
gebaseerd op de goedkope Pixma TR4550 van zo'n 60 euro. Net
als zijn voorbeeld kan hij faxen, heeft een feeder voor 20 pagina's
en wifi, maar print erg traag en niet automatisch tweezijdig. De
behuizing is van dun plastic en de papiervoorraad staat rechtop
achterop de printer zonder enige bescherming. Ook het mono
chrome display en de onhandige bediening is niet meer van deze
tijd.
De beste uitrusting vind je terug bij de Brother MFCJ1300DW.
Deze heeft een touchscreen, ethernet en wifi en een tegen stof
beschermde papiercassette en feeder voor een enkele pagina.
Net als de Canon heeft hij een fax, een eenvoudige (éénzijdig
scannende) feeder en een usbhostpoort voor geheugensticks,
plus een sdkaartslot.
De printers met netwerkopties van Brother en Canon
printen vanaf smartphones via Apple Airprint, de Mopriaprint
plugin voor Android of apps van de fabrikant. Registreren bij
109c’t 2019, Nr. 3
Test | Multifunctionele inkjetprinters
Canon Pixma G4511
De behuizing van de G4511 is opgebouwd uit dun plastic en
het papier zit onbeschermd in de aanvoerbak. Dubbelzijdig
printen is niet mogelijk. Er zit wel een fax en eenvoudige fee-
der in. Het paneel heeft prima bedienbare folietoetsen en een
simpel display. Je moet bij het scrollen wachten op de beschrij-
vingen om de weg door de menu's te vinden.
De wifi-koppeling via WPS lukte prima, maar toch raden
we aan de wifi-instellingen erbij te pakken. In plaats van via
de onoverzichtelijke menu's op het apparaat zijn een aantal
opties makkelijker via de webinterface te gebruiken. Deze is
afgeschermd met het serienummer als wachtwoord.
Canons eigen cloud gebruiken is niet echt een optie, aan-
gezien je geen cloudfuncties kunt selecteren. Voor het printen
vanaf een smartphone raden we de plug-in aan van Mopria.
Die van Canon biedt geen keuze in printkwaliteit en stelt ver-
keerde suggesties voor bij papier. AirPrint werkte prima.
De G4511 is met zijn twee flessen zwarte inkt vooral ge-
schikt voor een klein kantoor aan huis. Erg vlot is hij niet, zelfs
met de goed leesbare preview-optie haalde hij maar 9 pagina's
per minuut. Bij een hoge printkwaliteit liep dat terug tot net
geen 1,5 pagina.
Voor 100 pagina's aan pdf had de printer meer dan 40
minuten nodig. Bij tekst en graphics vielen pas bij het erbij
pakken van een vergrootglas kleine druppeltjes op. Foto's kre-
gen genoeg detail en goede kleuren. Op normaal papier is
de kwaliteit goed, maar randloos printen kan niet. De kleuren
verbleekten sterk in de zonlichttest.
Kopietjes maken gaat nogal langzaam, maar de kwaliteit is
goed genoeg. Zelfs via de feeder gescand ietwat verkreukeld
papier werd netjes gekopieerd zonder kreuklijnen. Om lees-
bare zwart-wit-kopietjes op kleurig papier te krijgen moet je de
automatische instelling uitzetten en de instellingen op minst
donker zetten. Randloze kopieën van foto's zagen er netjes
uit met goede kleuren, maar hadden in de donkere delen wat
weinig detail.
Ook bij het scannen van foto's ontbraken de details in don-
keren delen. De kleurweergave was, op wat te rode huidtinten
na, oké. Bij graphics en magazinetemplates beviel het raster-
filter ons. Donkere roodtinten werden zwart weergegeven. De
scantool kan doorzoekbare pdf's maken, maar de onbruikbare
tekstherkenning zorgt voor te veel fouten.
lage printkosten
goede fotoprints
zeer traag
geen dubbelzijdige prints
Epson Ecotank ET-M2140
De Ecotank is een compacte printer die alleen zwart-wit print.
Een aantal dingen heeft hij gemeen met laserprinters: een pa-
pierbak voor 250 pagina's, invoer voor een enkele pagina en
face-down uitvoer. De flatbedscanner hangt over de uitvoer-
bak heen, met aan de voorkant een klein kleurenscherm en
knoppen. Fax en automatische feeder ontbreken op de M2140.
Netwerkopties vind je niet terug op de printer, om hem
aan je pc te koppelen gebruik je USB 2.0. Cloudfuncties en het
printen of scannen vanaf je smartphone is niet mogelijk. Voor
bepaalde zakelijke situaties is dit een voordeel.
Er zijn alleen drivers voor Windows en macOS. De ge-
bruikelijke ondersteuning voor PCL of PostScript heeft deze
GDI-printer niet.
De installatie en het voor het eerst vullen is erg gemak-
kelijk. Vervangende inkt kost slechts een euro of 15, waardoor
de M2140 erg goedkoop print. De bediening is makkelijk, er
zijn slechts basisfuncties aanwezig.
De Ecotank was de snelste printer in de test. In de bleke
maar leesbare en inktbesparende previewmodus haalde hij
24,5 pagina's per minuut. Met de standaard instellingen wa-
ren dat er net geen 22. De M2140 kwam dan al erg dicht bij
laserkwaliteit.
Pas met de allerbeste instellingen ging het bergafwaarts
qua snelheid met 2,3 pagina's per minuut. Onze voorbeeld-
pagina met veel afbeeldingen zette de Ecotank netjes op
papier. 100 pagina's aan pdf namen net geen 6 minuten in
beslag, op dit punt zijn veel laserprinters een stuk trager.
Voor dubbelzijdig printen had de M2140 meer tijd nodig
(9,8 pagina's per minuut). Het mechaniek voor het omkeren
remt de boel nogal af.
Foto's hadden een fijnmazig raster en hadden veel details.
De inkt is op de gellaag van fotopapier niet veegproof. Gecoat
inkjetpapier is beter geschikt. Op normaal papier konden we
tekst 30 seconden nadat het uit de printer kwam probleemloos
markeren met een marker.
Kopieën maken gebeurt rap en op wat kleine druppeltjes
na in goede kwaliteit. Tekst op gekleurd papier was goed te
lezen, maar met een duidelijke grijze achtergrond. Scans van
foto's zagen er goed uit met prima kleuren en veel details.De
OCR in Epson Scan 2 is alleen geschikt voor normale tekst, bij
tabellen struikelde de functie.
print snel
cassette voor 250 pagina's
geen netwerkfuncties
OCR onbruikbaar
110 c’t 2019, Nr. 3
Test | Multifunctionele inkjetprinters
Multifunctionals voor duizenden pagina's (kleuren)prints
Apparaat MFC-J1300DW Pixma G4511 Ecotank ET-M2140
Fabrikant Brother, www.brother.nl Canon, www.canon.nl Epson, www.epson.nl
Printtechniek / inkt piëzo / 4 cartridges bubblejet / 4 inkttanks piëzo / 1 inkttank
Resolutie (foto's)1 6000 dpi × 1200 dpi 4800 dpi × 1200 dpi 2400 dpi × 1200 dpi
Papiergewicht1 64 g/m2 … 300 g/m2 64 g/m2 … 275 g/m2 64 g/m2 … 256 g/m2
Papierfeed 150 pagina's, enkele pagina invoer 100 pagina's (invoer achter) 250 pagina's, enkele pagina invoer
Papiertray1 100 pagina's 75 pagina's 100 pagina's
Automatisch duplex printen v – v
Randloos foto's printen v v –
Printen vanaf usb-stick v (JPEG) – –
Maand. printvol. (aanger. / max.) 250 tot 2000 p. / geen opgave 250 tot 1500 p. / 30.000 p. 200 tot 800 p. / 5000 p.
Scannen, kopiëren en faxen
Type / kleurdiepte, grijsniveaus1 CIS / 24 bit, 8 bit CIS / 24 bit, 8 bit CIS / 24 bit, 8 bit
Resolutie (dpi)1 2400 × 1200, ADF: 1200 × 600 1200 × 600 2400 × 1200
Feeder / duplex 20 pagina's / – 20 pagina's / – – / –
Twain- / WIA-module v / v v / – v / v
Kopie-schaling 25 % … 400 % 25 % … 400 % 25 % … 400 %
Pc-fax (sturen / ontvangen) v / v v / – – / –
Favorieten / faxgeheugen1 100 (elk 2 nummers) / 180 pagina's 20 / 50 pagina's –/ –
Verzendbevestiging met kopie fax v v –
Scan to E-Mail / FTP / SMB-share / usb-stick / cloud
v / v / v / v / v v / – / – / – / – v (pc-software) / – / – / – / –
Print-app iPrint&Scan (Android, iOS) Canon Print (Android, iOS) –
NFC / WiFi Direct v / v – / v – / –
AirPrint / Android Print / Mopria v / v / v v / v / v – / – / –
Clouddienst van fabrikant Brother Web Connect Pixma Cloud Link –
Google Cloud Print v v –
Overig
Interfaces USB 2.0, ethernet, wifi (IEEE802.11n 2,4 GHz), RJ-11 (fax, telefoon)
USB 2.0, wifi (IEEE802.11n 2,4 GHz), RJ-11 (fax, telefoon)
USB 2.0
Afmetingen (b ×d × h) 44 cm × 58,5 cm × 20 cm 45 cm × 50,5 cm × 20 cm 38 cm × 35 cm × 30 cm
Gewicht 8,8 kg 7,3 kg 6,2 kg
Display 6,8cm-touchscreen (resistief) 5cm z/w-display 3,7cm-kleurenscherm
Drivers voor Windows / macOS / overig
vanaf Vista, vanaf Server 2008 / vanaf 10.9.5 / Linux
vanaf Windows 7 SP1 / vanaf 10.10.5 / –
vanaf Windows XP SP3 en Server 2003 R2 x64 / vanaf 10.6.8 / –
Software (Windows) CC4 (macOS: CC2), Brother Utilities (pc-fax, Scanner Utility), PaperPort 14 SE
Canon Quick Utility (netwerktools, Scan Utility, favorieten-editor, Toolbox), Easy-WebPrint EX
Epson Scan2, Event Manager
Geheugenkaarten / usb-host sd-kaart/ v – / – – / –
Inkt
Zwart (aantal pagina's1) LC-3233BK (3000 p.), LC-3235XLBK (6000 p.)
GI-590 PGBK (6000 p.) ET-MX1XX (6000 p.)
Kleur (aantal pagina's1) LC-3233C,M,Y (elk 1500 p.), LC-3235XLC,M,Y (elk 5000 p.)
GI-590 C,M,Y (elk 7000 p.) –
Meegeleverd inkt set XL-cartridges LC-3235XL C, M en Y elk een fles GI-590 twee flessen GI-590 PGBK
twee flessen ET-MX1XX
Inktkosten per ISO-pagina (XL) 3,15 ct, zwart-aandeel 0,75 ct 0,66 ct, zwart-aandeel 0,23 ct 0,25 ct
Meetresultaten en beoordeling
Printtijden 10 pagina's duplex (norm.): 326 s, graphics (best): 45 s, foto A4: 326 s
10 pagina's duplex (norm.): –, graphics (best): 71 s, foto A4: 267 s
10 pagina's duplex (Norm.): 123 s, graphics (best): 43 s, foto A4: 156 s
Scantijden preview: 7 s, foto 600 dpi: 39 s, tekst 300 dpi: 13 s
preview: 7 s, foto 600 dpi: 76 s, tekst 300 dpi: 24 s
preview: 10 s, foto 600 dpi: 95 s, tekst 300 dpi: 24 s
Verbruik printen 38 VA 40 VA 35 VA
Bediening / netwerkfuncties + / ++ - / ± + / –
Tekst / graphics printen + / + ± / ± + / +
Foto's (foto- / normaal papier) ± / ± + / + – / + (grijstinten!)
Kopieerkwaliteit tekst / graphics / foto
± / ± / -- + / ± / ± ± / ± / + (grijstinten!)
Scankwaliteit foto / graphics / OCR -- / ± / + ± / ± / -- + / + / --
Lichtbest. normaal- / fotopapier ± / + -- / - ++ / –
Garantie 3 jaar 2 jaar 3 jaar of 100.000 pagina's
Prijs e 350 e 350 e 460
1 volgens fabrikant ++ zeer goed + goed ± voldoende - slecht -- zeer slecht v aanwezig – niet aanwezig
Google Cloud Print kan ook, op die manier
print je via het web.
De faxopties zijn voldoende voor als
je af en toe een fax stuurt of ontvangt. Als
je wilt krijg je een verzendbevestiging met
een kopie van de eerste pagina van de fax.
ConclusieAls je meerdere keren per jaar moppert
over dure nieuwe cartridges en stiekem al
met een schuin oog naar zeer goedkope
cartridges uit China zit te kijken, raden we
je aan om een multifunctional uit deze test
te overwegen. De robuuste Brother MFC
J1300DW print erg betaalbaar voor een
printer met cartridges, heeft een prima
uitrusting, goede printkwaliteit en drie jaar
garantie. Het is de enige printer in de test
die een usbpoort voor sticks heeft plus
een sdkaartslot.
Met Canons Pixma G4511 print je nog
goedkoper. Deze heeft de beste fotoprint
kwaliteit, maar heeft wel een zeer karige
uitrusting. Bij het vullen van de inkt moet
je een stabiele hand hebben en voor de
zekerheid een doosje rubber handschoe
nen in huis halen, maar gelukkig hoef je
niet vaak aan het vullen te slaan. Als na
lange tijd niet printen de printkoppen zijn
verstopt, haal je ze makkelijk uit de printer
voor een schoonmaakbeurt of vervang je
ze.
Een vreemde eend in de bijt is de
Epson Ecotank ETM2140 die als enige inkt
tankprinter alleen zwartwit print. Hierdoor
is het een goed alternatief voor een zwart
witlaserprinter. Met zijn cassette voor 250
pagina's, grote uitvoerbak en face down
uitvoer voldoet hij aan de eisen voor een
printer op de werkvloer.
Qua snelheid en kwaliteit van prints
haalt hij dezelfde scores als een kleine
zwartwitprinter. Bij de printkosten, ver
bruik en uitstoot doet hij het zelfs een flink
stuk beter.
Als je geen 2000 pagina's per jaar print,
kun je toch nog besparen op printkosten.
HP heeft een printabonnement Instant
Ink voor klanten met bescheiden printbe
hoeftes. Met het kleinste abonnement voor
3 euro en 50 pagina's per maand kom je op
6,7 cent per pagina uit.
En dan hebben we het niet over een
ISOpagina met veel wit, maar een randlo
ze DINA4foto die veel meer inkt verbruikt.
Voor thuisgebruikers die graag foto's prin
ten een goede deal. (avs) c
Als professionele gamer heb je de beste uitrusting nodig
om competitief te blijven. Je wilt onberispelijke presta-
ties met reactietijden die snel genoeg zijn om jouw tem-
po bij te houden. De Toshiba X300 biedt de snelheid die
je nodig hebt om te winnen, zodat jij je kunt richten op de
actie. Alles is mogelijk - met de juiste hulpmiddelen.
Begin met het schrijven van uw verhaal op
toshiba-storage.com
Professionele gamer
Als je snelheid nodig hebt om een
voorsprong te nemen.
Write your story.
Storage Solutions
tot 14 TB
112 c’t 2019, Nr. 3
Achtergrond | TLS 1.3
Het volgende beveiligingsniveau
Wat is TLS 1.3 en hoe doe je daar je voordeel mee?
De nieuwe standaard voor Transport
Layer Security is definitief, maar dat
betekent nog niet meteen dat alles
ook werkt.
Jürgen Schmidt
Transport Layer Security (TLS) is de
belangrijkste cryptografische stan-
daard van het internet. Het bevei-
ligt de communicatie tegen afluisteraars
en manipulatie. Concreet beveiligt TLS
het transport tussen clientprogramma's
zoals browsers en e-mailprogramma's en
de servers op internet die de betreffende
dienst beschikbaar stellen. TLS wordt op
alle pc's met alle besturingssystemen
gebruikt, maar ook op smartphones en
slimme IoT-apparaten – dat hopen we in
elk geval.
In augustus vorig jaar was het dan
eindelijk zo ver: de hoeders van de inter-
net standaarden bij de IETF publiceerden
de in het voorjaar al als definitief be-
schouwde TLS-versie 1.3 officieel als RFC
8446. Daarmee moet Transport Layer Se-
curity een nieuw beveiligingsniveau gaan
bereiken.
Maar voordat dat in de praktijk te
merken is, moet het protocol ook in de
programma's zitten die het gebruiken.
Omdat daar tijdens het hele standaardi-
seringsproces al aardig wat voorwerk voor
was verricht, ziet dat er nu al redelijk goed
uit. Maar breed gebruikt wordt de nieuwe
standaard in de dagelijkse praktijk nog
niet helemaal.
Het is te hopen dat TLS 1.3 niet het-
zelfde lot beschoren is als zijn voorganger:
in 2008 werd TLS 1.2 al gedefinieerd als
standaard, maar pas in 2014 werd het een
beetje populair. Nu, tien jaar verder, heeft
het zich pas zo ver verspreid dat TLS 1.0
en TLS 1.1 uitgefaseerd lijken te kunnen
worden. De browsers Chrome, Edge, Fire-
fox, Internet Explorer 11 en Safari zullen
die als verouderd en onveilig beschouwde
TLS-versies vanaf 2020 niet meer onder-
steunen.
Veel security-experts adviseren sys-
teembeheerders nu al om TLS 1.0 op hun
servers uit te schakelen. De voor dienst-
verleners op betaalgebied verplichte
PCI-DSS standaard verbiedt het gebruik
ervan zelfs al sinds juli 2018. Voorzichtige
systeem beheerders zonder een al te grote
compliance-drang adviseren we om eens
een blik op de eigen logbestanden te wer-
pen. Bij ons bleek dat ongeveer acht pro-
cent van de bezoekers verbinding maakte
via TLS 1.0.
Vanuit het oogpunt van het conse-
quent versleutelen van je gehele web-
site kan het uitschakelen van TLS 1.0 dan
betekenen dat iedere tiende bezoeker je
113c’t 2019, Nr. 3
Achtergrond | TLS 1.3
Het is nog een uitzondering, maar de eerste websites waarmee Firefox en Chrome verbindingen met TLS 1.3 kunnen maken zijn er al.
pagina's niet meer kan oproepen, maar al-leen nog een foutmelding te zien krijgt. Dat geldt dan vooral voor gebruikers van oudere smartphones met Android 4.3 of eerder en oudere Windows-installaties met Internet Explorer 10. Beide platforms ondersteunen TLS 1.2 niet. Windows- gebruikers kunnen nog wel Internet Ex-plorer 11 of een andere browser instal-leren, maar voor veel Android-gebruikers valt er weinig te upgraden.
Om een lang verhaal kort te maken: veel websites blijven TLS 1.0 nog gewoon ondersteunen. En dan gaat het niet alleen particuliere webservers, maar dat geldt ook voor veel commerciële en overheids-sites.
Voor ontwikkelaarsDe basis voor de ondersteuning van TLS 1.3 is in elk geval al voorhanden: de hui-dige versies van de bibliotheken OpenSSL (versie 1.1.1), GnuTLS (3.6.3) en Google BoringSSL bieden al ondersteuning voor TLS 1.3. De door Oracle begin september uitgebrachte Java Development Kit 11 kan het ook. Daarmee kunnen software-ontwikkelaars de in hun programma's en apps benodigde aanpassingen in elk geval doorvoeren.
Welke dat zijn, hangt af van de ab-stractielaag waarop de ontwikkelaar werkt. TLS 1.3 biedt bijvoorbeeld enkele nieuwe cryptografische methoden, waar-van je het gebruik onder bepaalde om-standigheden eerst expliciet moet toe-staan. Daar moet je enige voorzichtigheid bij betrachten, omdat sommige versies
alleen preview-versies van de standaard gebruiken, zoals Draft 28. Die zijn niet al-tijd compatibel met de definitieve versie.
Voor gebruikersBij de browsers zijn – zoals gewoonlijk – Firefox en Chrome de eerste die ermee kunnen werken. Firefox 63 (security.tls.version.max = 4 bij about:config) en Chrome 70 (chrome://flags/#tls13-va-riant staat op 'Enabled (Final)') gebruiken de nieuwe standaard al – en zonder dat je daar wat voor hoeft te doen. Gebrui-kers van de browsers van Microsoft en Apple moeten er nog even op wachten. Internet Explorer 11, Edge 17 en Safari 12 kunnen niets beginnen met TLS 1.3. Op een smartphone kan in elk geval Chrome 69 voor Android overweg met TLS 1.3. In geval van twijfel kun je met een aan-roep van https://tls13.crypto.mozilla.org achterhalen of je browser het protocol al ondersteunt. Zo niet, dan krijg je een foutmelding te zien.
À propos foutmelding: zelfs als je eigen browser al het benodigde al aan boord heeft, kan het aanroepen van de testpagina van Mozilla tot een foutmel-ding leiden. Dat ligt dan aan een van de tussenstations op de weg naar de server. Al bij het testen met preview-versies van de standaard bleken er erg hoge foutrates te ontstaan door zogeheten middle boxes. Dat is bijvoorbeeld een Intrusion Detec-tion System dat zegt: "Hier gebeurt wat, dat ik niet ken – dat moet een aanval zijn" en dat dan simpelweg probeert te verhin-deren.
De IETF-experts hebben dan ook al het nodige ondernomen om TLS 1.3 zonder concessies aan de veiligheid zodanig om te bouwen dat het die rigide tests kan pas-seren. Dat helpt echter helemaal niets als er een proxy is geïnstalleerd of een op an-tivirusprogramma op de pc dat zich actief in de verbinding nestelt, dat nog niet met TLS 1.3 werkt.
Een test op https://www.ssllabs.com/ssltest/viewMyClient.html laat zien wat er bij de internetserver daadwerkelijk aankomt. Je hoeft die link overigens niet over te typen, je vindt hem ook via de link aan het eind van dit artikel.
Voor serverbeheerdersAan de serverkant ziet het er daarente-gen nog niet zo florissant uit. De eerste websites met TLS 1.3 komen al wel te-voorschijn, maar die komen normaal ge-sproken dan van Nginx vanaf versie 1.13. Daar kun je TLS 1.3 namelijk met een paar handelingen in het configuratiebestand activeren:
ssl_protocols TLSv1.2 TLSv1.3;
Daarnaast wil je dan waarschijnlijk nog de nieuwe cipher-suites aan het begin van de string ssl_ciphers instellen:
TLS-CHACHA20-POLY1305-SHA256
TLS-AES-256-GCM-SHA384
TLS-AES-128-GCM-SHA256
en de elliptische curven daarbij expliciet activeren:
114 c’t 2019, Nr. 3
Achtergrond | TLS 1.3
De officiële versieweer-gave staat vast op TLS 1.2 – ook als beide par-tijen al 1.3 gebruiken.
Het begin van de ontwikkeling van de
nieuwe standaard stond in het teken van
het grote uitmesten. Elke afzonderlijke
TLS-functie werd goed bekeken door de
IETF-experts. Het belangrijkste aan de
vernieuwingen van TLS 1.3 is dan ook
eigenlijk wat er allemaal niet meer in zit.
En alleen daarmee vervallen al een groot
aantal potentiële veiligheidsproblemen.
Het meest prominente slachtoffer
van de sanering is RSA. In de toekomst
moet het uitwisselen van de sessie-
sleutel via een Diffie-Helman-methode
afgehandeld worden, met een voorkeur
voor de variant met elliptische curves
(ECDHE). Dat zorgt ervoor dat een gesto-
len serversleutel geen toegang mogelijk
maakt tot de leesbare tekst van eerder
verstuurde en versleuteld opgeslagen
data (Forward Secrecy).
Bovendien wordt de Cipher Block
Chaining (CBC) afgeschaft. De daarmee
verbonden scheiding van versleuteling
en integriteitsbewaking maakte telkens
weer allerlei aanvallen mogelijk (MAC-
then-Encrypt). In de toekomst is Authen-
ticated Encryption verplicht, dat beide
in één stap combineert. In plaats van
AES/CBC wordt AES dan vaak in de Ga-
lois Counter Mode (GCM) gebruikt. Als
alternatief voorziet de standaard ook in
counters met CBC-MAC (CCM).
Achterhaalde methoden als de Ex-
port Ciphers, MD5, SHA1 en RC4 werden
er bij de grote schoonmaak eveneens
uitgeknikkerd. TLS 1.3 ondersteunt de al
lang achterstallige DJB-curve Curve 22519
en Goldilocks voor cryptografie op basis
van elliptische curves (ECC) plus de al
sinds enige tijd door Google gebruikte
Stream-Cipher ChaCha20.
Niet alleen uit beveiligings- maar
ook uit privacyperspectief is interes-
sant dat TLS 1.3 een veel groter deel
van de verbindingsopbouw versleutelt.
Daarbij worden dan met name de server-
certificaten niet meer in leesbare tekst
verstuurd. Aan de daarin opgenomen
servernaam kon je tot nu toe zien met
welke webserver iemand op dat mo-
ment verbinding maakte. Dat kan altijd
nog met de zogeheten Server Name
Indication (SNI), maar aan de versleute-
ling daarvan wordt op dit moment ook
al gewerkt (Encrypted Server Name In-
dication for TLS 1.3, draft-ietf-tls-esni-01).
Een ander highlight is de versnelde ver-
bindingsopbouw. Al na het uitwisselen
van een pakket met administratieve ge-
gevens kunnen gebruiksdata met TLS
beveiligd worden verzonden. Je verliest
daarbij maar één Round Trip Time en
hebt het dan over 1-RTT. In bepaalde
gevallen kan een client zelfs zonder
veel gedoe vooraf meteen data sturen
(0-RTT). Dan moet echter wel het sleutel-
materiaal van eerdere sessies zijn opge-
slagen en hergebruikt kunnen worden.
Dat zorgt in security-kringen voor wat
onrust. Dit maakt in principe namelijk
Replay-aanvallen mogelijk. De standaard
houdt rekening met die bedenkingen en
staat 0-RTT alleen toe voor bepaalde ty-
pen verbindingen.
Het zijn met name de grote hosters
die profiteren van de versnelde verbin-
dingsopbouw. Daar worden miljoenen
verbindingen per seconde opgebouwd.
Maar ook nieuwe TLS-toepassingen als
DNS-over-TLS en DNS-over-HTTPS wor-
den pas met de 1-RTT/0-RTT-optimali-
saties snel genoeg om te kunnen con-
curreren met de huidige onbeveiligde
UDP-protocollen.
Dit zit in TLS 1.3
ssl_ecdh_curve prime256v1:secp384r1;
Een paar webhosters bieden TLS 1.3 al als
feature aan – waaronder Cloudflare, dat
zich sterk gemaakt heeft voor de ontwik-
keling van de standaard. Dat kun je een-
voudig in het webfront-end configureren.
De nieuwe TLS-versie is voor nieuwe zones
standaard al geactiveerd. Daarbij schakelt
Cloudflare TLS 1.3 op hun Edge-servers in,
die werken met Nginx als reverse-proxy
en de TLS-verbinding afsluiten. Je eigen
server hoeft daarom geen TLS 1.3 te on-
dersteunen – maar kan het in elk geval
wel gebruiken.
Een grote sprong voorwaarts wat
betreft de populariteit van TLS 1.3 komt
waarschijnlijk met een betere ondersteu-
ning in de Apache webserver. Tot Apache
2.4.35 was hooguit TLS 1.2 mogelijk, vanaf
de recente versie 2.4.37 is TLS 1.3 moge-
lijk maar het werkt nog niet helemaal ro-
buust.
Een analyse of een TLS-verbinding
al met versie 1.3 tot stand is gekomen
is overigens niet triviaal. Het daarvoor
voorziene versieveld bij de client- en
server-hello is vanwege problemen met
sniffer-apparaten vast ingesteld op de
waarde voor TLS 1.2 (0x0303). De nieuw
ingevoerde uitbreiding supported_versi-
on verraadt pas wat er werkelijk gebeurt.
Daar meldt dan bijvoorbeeld de client dat
hij de versies 1.0, 1.1, 1.2, 1.3 en een ran-
dom gegenereerde, niet bestaande versie
ondersteunt. Dat laatste gebeurt om de
'wat de boer niet kent dat vreet hij niet'-
mentaliteit uit te bannen van de fabrikan-
ten van beveiligingssoftware. Als je wilt,
kun je dat met Wireshark live bekijken.
Wireshark kan sinds versie 2.6 namelijk
met TLS 1.3 overweg. (nkr) c
www.ct.nl/softlink/1903112
Deze actie loopt zolang de voorraad strekt. Je abonneert tot wederopzegging en voor ten minste de actieperiode van 10 nummers. Na de actieperiode wordt het abonnement automatisch verlengd tegen het dan geldende standaardtarief.
BESTEL NU OP: WWW.FNL.NL/CTABO
10x c’t + Raspberry Pi 2019
VOOR €47,-
De topmodellen smartphones zijn
inderdaad helemaal top – maar het is
ook top als je nog wat budget over-
houdt voor iets anders. Met een goed-
kopere smartphone kun je meestal
ook prima uit de voeten. Je moet
alleen niet verwachten dat je daar
alles even goed mee kunt. We heb-
ben enkele uitblinkers getest, maar
ze presteren niet allemaal hetzelfde
als het gaat om accuduur, snelheid,
scherm of camerakwaliteit.
Jörg Wirtgen
Best goede smartphonesAndroid-smartphones van ongeveer 300 euro
Niet iedereen verlangt het maxi-
male van zijn smartphone en
wil 3D-games spelen met de
hoogste details, de beste fotokwaliteit
inclusief zoom en genoeg opslagruimte
voor de komende 10 jaar. Het is vooral
belangrijk dat je er betrouwbaar de dag
mee door komt, af en toe een foto mee
kunt maken en natuurlijk nog wel een
tijdje updates krijgt.
We hebben vier modellen getest
met een winkelprijs van rond 300 euro:
de Huawei Mate 20 Lite, Motorola One,
Nokia 7.1 en Samsung A7. Tot de stan-
daarduitrusting in deze prijsklasse be-
horen inmiddels twee sim-slots, vin-
gerafdrukscanner, 4G/LTE, een enkele
selfiecamera en een dubbele hoofdca-
mera.
Een andere trend is die van zoveel
mogelijk schermoppervlak bieden zon-
der nog grotere toestellen te maken. Dat
betekent dat de homeknop verdwijnt, de
schermranden dunner worden en de sel-
fiecamera vaak het display onderbreekt
(de zogeheten notch). Alleen bij de
Samsung zijn de randen iets dikker, waar-
door dat model een 6"-scherm heeft met
dezelfde buitenmaten als waarin Huawei
een 6,3"-scherm onderbrengt.
116 c’t 2019, Nr. 3
Test | Smartphones van 300 euro
Accuduur en benchmarks
Model Video streamen Wifi-surfen Lokale video 3D-games Coremark Single Multi Thread 3DMark Ice Storm Sling Shot Extreme
[uren] beter > [uren] beter > [uren] beter > [uren] beter > [punten] beter > [punten] beter > [punten] beter > [punten] beter >
Huawei Mate 20 Lite
Motorola One
Nokia 7.1
Samsung A7
De Samsung A7 heeft als enige in deze
test een oled-scherm en daarmee de
meest indrukwekkende kleuren. Het is
ook het meest heldere. De drie lcd's zit-
ten daar een klasse onder, waarbij het
Nokia-scherm voor een lcd fraaie kleuren
toont en ook helder genoeg is voor ge-
bruik buiten in de zon. Het scherm van
de Huawei heeft juist een opvallend lage
helderheid, waardoor je buiten soms de
schaduw moet opzoeken.
Het scherm van de Motorola heeft
een lage resolutie. Je ziet nog geen pixels,
maar foto's, video's en games tonen min-
der detail en teksten ogen minder scherp.
Bovendien zijn de kleuren fletser en is de
maximale helderheid laag. Het is daarmee
het slechtste scherm in deze test, maar je
went eraan als je het niet steeds met be-
tere schermen vergelijkt.
Camera'sBij voldoende licht maken alle vier de
smartphones goed bruikbare foto's. De
Nokia toont de beste schaduwdetails, de
Samsung de minste ruis en de Huawei
biedt de meeste scherpte en de meeste
details – maar hij maakt foto's ook wat
overbelicht.
Ga je naar binnen (80 lux), dan zie je bij
alle camera's al zichtbaar ruis. De Samsung
raakt door het ruisfilter verrassend veel
details kwijt, de Nokia toont deels onre-
alistisch gladde randen – dat wordt bij
beide erger bij afnemende lichtsterkte.
De Huawei wordt dan kleurlozer en don-
kerder. Motorola heeft in die situaties nog
de beste resultaten. Met nog minder licht
(0,5 lux) leveren alle vier de smartphones
een bijna zwart beeld. Maar ook de toptoe-
stellen komen in dat geval vaak niet verder
dan hooguit herkenbare foto's.
De vier toestellen hebben allemaal
een tweede camera om foto's te verbe-
teren en portretfoto's te maken met een
kunstmatige onscherpte van de achter-
grond. Die digitale bokeh ziet er bij Nokia
het beste uit. Bij Huawei is er weinig van te
zien en Samsung en Motorola voegen een
soort onscherp halo toe rond het onder-
werp. Je kunt de camera's niet afzonderlijk
benutten.
Bij Samsung krijg je zelfs een derde ca-
mera met groothoek. Maar die vertekent
sterk en is hooguit geschikt voor kiekjes
van een landschap (of als demonstratie
van het fisheye-effect).
Accuduur en benchmarksDe Samsung A7 heeft een lange accuduur
en doet mee met de toptoestellen. De 16
uur bij het video afspelen wordt bijvoor-
beeld alleen overtroffen door de OnePlus
6T en Galaxy Note 9. Ook de 14 uur bij
het surfen via wifi zijn top. Motorola en
Huawei doen het iets minder, maar nog
steeds bovengemiddeld goed. De Nokia
7.1 blijft echter duidelijk achter en haalt
bij intensief gebruik wellicht het einde
van de dag niet.
Je krijgt bij alle smartphone een
snellader meegeleverd waarmee de accu
binnen twee uur vol is – bij Motorola en
Huawei nog iets sneller. Draadloos laden
ondersteunen ze niet.
Huawei en Samsung hebben pro-
cessors met heel snelle cores, waardoor
ze bij singlethread-benchmarks 40 tot
120 procent sneller zijn. Bij multithread-
bewerkingen valt de Samsung terug,
omdat die slechts twee van deze snelle
cores heeft. De Nokia doet het dan beter,
omdat die ondanks hoge belasting niet
afremt (bij oververhitting). Ook de Mo-
torola, met acht even snelle cores die
niet worden afgeremd, doet weinig onder
voor Huawei en Nokia. Voor dagelijks ge-
bruik voldoen ze allemaal, in elk geval in
gewone apps zoals WhatsApp en Face-
book. Alleen bij een rechtstreekse ver-
gelijking met een sneller toestel merk je
verschil.
Bij games is het beeld anders. Daarbij
zijn alle geteste smartphones duidelijk
langzamer dan de topmodellen met bij-
voorbeeld een Snapdragon 845, die drie-
tot tienmaal zo hoge 3D-benchmarks
halen. Dat kan bij actiespellen vervelend
zijn als je het detailniveau of de resolu-
tie niet kunt verlagen. Bij de Motorola
One zal dat misschien minder opvallen,
omdat die sowieso een lagere resolutie
heeft. De Samsung wordt daar het meest
door beperkt.
Geheugen, 4G en softwareDe 20 GB vrije opslagruimte van de Nokia
laat weinig ruimte over voor foto's, vi-
deo's of een uitgebreide verzameling
games. Een stuk beter, hoewel meer
geen kwaad kan, is de circa 45 GB bij de
drie anderen. Ze kunnen alle vier veel
bestanden zoals foto's en video's op een
microSD-kaart kwijt. Bij Nokia en Hua-
wei neemt de geheugenkaart de plek in
van de tweede simkaart. Alleen bij Mo-
torola is dit extra toegevoegd geheugen
echt beschikbaar voor alle apps, omdat
daarop de Android-functie toeganke-
lijk is die een kaart als intern geheugen
formatteert. Het toestel klaagt zelfs bij
snelle A2-kaarten dat ze hiervoor te traag
werken – de controller lijkt de bottleneck
te zijn. Maar ondanks die waarschuwing
werkt het wel.
Ze hebben allemaal wifi op 5 GHz
en bluetooth, net als 4G op de relevante
frequentiebanden. Alle toestellen on-
dersteunen de voor Nederland en Bel-
gië belangrijke banden 3, 7 en 20. Nokia
en Huawei hebben de bluetooth-codec
AptX, die bijvoorbeeld bij games en films
de vertraging tussen beeld en bluetooth-
geluid verkleint. Bij de Samsung A7 zit de
vingerafdrukscanner in de aan-uitknop,
bij de andere smartphones zit hij aan de
achterkant.
Ze ontvangen allemaal signalen van
GPS- en Glonass-satellieten, sommige
ook van Beidou en Galileo. In ongunstige
omstandigheden vond de Nokia zijn po-
sitie wat betrouwbaarder dan de andere
toestellen. De Samsung A7 had het dan
als enige zo moeilijk dat dit in de praktijk
vervelend kan zijn.
Motorola en Nokia installeren An-
droid One en zijn daarmee in prin-
cipe gebonden aan regelmatige vei-
ligheidsupdates gedurende drie jaar
en twee upgrades naar een volgende
9,5
11,2
7,4
12,3
12,7
12,6
10,4
14,1
10
11,8
6,9
16,1
6,7
6,5
5,7
7,5
10327
6152
8491
10288
52695
48437
51237
46138
20335
13870
19723
15153
1121
483
948
734
117c’t 2019, Nr. 3
Test | Smartphones van 300 euro
Motorola One
Bij de One van Lenovo-dochter Mo-
torola krijg je als enige in de test geen
headset. Als troost krijg je er wel een
doorzichtige cover bij. De behuizing
van het toestel is goed afgewerkt.
Dankzij Android One is er geen bloat-
ware of andere rommel aanwezig, al-
leen de Google-apps. De update naar
Android 9 is inmiddels beschikbaar.
Een update naar Android Q zou in 2019
ook nog moeten verschijnen voor het
toestel.
De notch laat weinig ruimte over
in de notificatiebalk voor pictogram-
men. Links past er nog een naast de
tijd, rechts passen er vier. Daardoor
moet je de balk eerder naar beneden
trekken om alle notificaties te zien.
Als het apparaat op stand-by staat,
kun je de camera starten door ermee
te schudden. Dat lukte aardig na wat
oefening, maar het is niet zo handig als
het gebruikelijke tweemaal drukken op
de stand-byknop bij andere toestellen.
De LTE-modem ondersteunt als
enige geen kanaalbundeling (door
Belgische en Nederlandse provi-
ders 4G+ genoemd). Dat is vooral in
stedelijke gebieden beschikbaar en
biedt (buitenshuis) snellere en ook bij
drukte stabiele verbindingen. Bij wifi
ontbreekt 802.11ac en het toestel gaat
tot Bluetooth 5.0, maar beide zijn geen
echte beperking. 5GHz-wifi kun je toch
gebruiken met de ondersteuning voor
11n. De luidsprekers klinken dof en
hebben weinig volume.
langdurig Android-updates
flexibel gebruik van microSD
geen 4G+-kanaalbundeling
scherm met lage resolutie
Nokia 7.1
De Nokia 7.1 van Chinese fabrikant
HMD Global heeft een fraai meta-
len frame. Dankzij de relatief smalle
notch oogt het toestel moderner dan
de andere smartphones. Dankzij An-
droid One is er geen bloatware aan-
wezig op het toestel. Toch verschijnt
incidenteel een pop-up in beeld of je
het toestel wilt aanbevelen aan ande-
ren. Op het moment van schrijven was
na enige vertraging de uitrol van An-
droid 9 gestart, die zou ondertussen
bij iedereen moeten arriveren.
De accu is na 30 minuten al half
opgeladen, dat is een van de beste re-
sultaten die we ooit hebben gezien in
een smartphonetest. De laatste helft
gaat echter een stuk langzamer. Om
hem helemaal op te laden, heb je een
vrij gebruikelijke twee uur nodig.
Bij weinig licht zien veel scherpe
lijnen op foto's er erg korrelig uit. Maar
de digitale achtergrond-onscherpte
ziet er juist weer natuurlijker uit dan bij
de andere geteste smartphones. 4K-
video's maken is mogelijk, maar zelfs
met full-hd worden ze met hooguit
30 fps opgeslagen.
Van de 32 GB aan opslagruimte
is maar 20 GB beschikbaar voor de
gebruiker. Ook de hoeveelheid werk-
geheugen valt lager uit dan bij de
concurrenten, waardoor het schakelen
tussen apps langzamer kan gaan. Een
versie met 64 GB opslag en 4 GB werk-
geheugen wordt wel gemaakt, maar is
slecht verkrijgbaar.
ondanks lcd krachtige kleuren
langdurig Android-updates
weinig opslagruimte en geheugen
kortste accuduur in de test
Huawei Mate 20 Lite
De behuizing van de Huawei Mate
20 Lite maakt een goede indruk. De
notch is van gemiddeld formaat en
laat nog ruimte over voor zes status-
iconen.
Je moet bij de Android-versie
van Huawei wat moeite doen om de
bloatware te verwijderen. Er zit aardig
wat overbodig spul op. Daarnaast wil
het toestel je in allerlei situaties graag
koppelen aan de Chinese Huawei-
cloud. Je kunt dat gelukkig zonder
problemen weigeren, maar het blijft
wel opletten.
Sommige benchmarksoftware
konden we niet installeren. De fout-
melding 501 duidt erop dat Huawei
ze blokkeert, misschien per ongeluk
of als restant van interne tests. Of
dat ook bij andere apps speelt is de
vraag, waardoor het geen goed ge-
voel geeft. Gezien de snelheid van
het toestel zou het geen slecht figuur
hoeven slaan. Huawei hoeft zich in elk
geval niet te schamen voor de ande-
re benchmarkresultaten, want in dit
testveld ligt de Kirin 710 bij cpu- en
grafische prestaties aan kop.
De camera maakt gebalanceerde
maar soms erg lichte foto's, bij weinig
licht vrij kleurloos. De hoge resolutie
levert weinig voordeel op. De bokeh-
modus heeft verrassend weinig ef-
fect. 4K-video's zijn geen optie. Om
de camera te starten, druk je net als
bij andere Huawei-toestellen twee-
maal op de stand-byknop.
uitgebalanceerde camera
ondanks afremming erg snel
Android met aanpassingen
lage maximale helderheid
118 c’t 2019, Nr. 3
Test | Smartphones van 300 euro
Samsung A7
De Samsung A7 oogt door de brede
schermrand niet zo modern als de
andere toestellen. De vingerafdruk-
scanner zit op een aparte plek in de
stand-byknop, maar is daar goed te
bedienen.
Bij voldoende licht krijg je erg goe-
de foto's, die echter weinig profiteren
van de hoge resolutie. Bij slecht licht
pikt de sensor veel ruis op, wat door
de software wordt weggepoetst, maar
daardoor gaan details verloren. De
24-megapixelfoto's verbruiken onnodig
veel ruimte op de geheugenkaart, je
kunt beter kiezen voor 12 megapixels.
4K-filmen is niet mogelijk, zelfs full-
hd kun je hooguit met 30 fps opslaan.
De groothoeklens biedt extra mogelijk-
heden, als je kunt leven met de sterke
vertekening.
De A7 had meer moeite met de
locatiebepaling dan de andere toestel-
len. Terwijl de rest in ongunstige om-
standigheden nog meer dan 25 satel-
lieten vond, zag de A7 er nog geen vijf.
Het lokaliseren in gebouwen of in het
bos duurt ook langer dan gebruikelijk
– als het al goed gaat.
Als enige in de test heeft het toe-
stel een micro-usb-aansluiting in plaats
van USB-C. Je moet dus net als met
een ouder toestel opletten hoe je de
laadkabel inplugt. Omdat de andere
toestellen de overige voordelen van
USB-C niet benutten, zoals hogere
snelheden of een DisplayPort-uitvoer,
levert dat verder weinig minpunten op.
lange accuduur
oled met always-on-display
extra groothoekcamera
slechte GPS
Testresultaten en specificaties
Model Mate 20 Lite One 7.1 A7
Fabrikant Huawei Motorola Nokia Samsung
Besturingssysteem / patchniveau
Android 8.1.0 / juli 2018
Android 8.1.0 / oktober 2018
Android 8.1.0 / oktober 2018
Android 8.0.0 / november 2018
Varianten zwart, blauw, goud zwart, wit blauw, zilver zwart, blauw, goud
Uitrusting
Processor Huawei Kirin 710 Qualcomm Snapdragon 450
Qualcomm Snapdragon 636
Samsung Exynos 7 Octa
Cores × frequentie 4 × 2,2 GHz, 4 × 1,7 GHz
8 × 2 GHz 4 × 1,8 GHz, 4 × 1,6 GHz
2 × 2,2 GHz, 6 × 1,6 GHz
Grafische chip ARM Mali-G51 Qualcomm Adreno 506 Qualcomm Adreno 509 ARM Mail-G71
Werkgeheugen 4 GB 4 GB 3 GB 4 GB
Opslagruimte(vrij) 64 GB (46,4 GB) 64 GB (48,11 GB) 32 GB (20,33 GB) 64 GB (48,7 GB)
Verwisselbare opslag / type v / microSD v / microSD v / microSD v / microSD
Wifi IEEE 802.11a/b/g/n/ac IEEE 802.11a/b/g/n IEEE 802.11a/b/g/n/ac IEEE 802.11a/b/g/n/ac
Bluetooth / NFC 5.0 (aptX HD) / v 4.2 / v 5.0 (aptX) / v 5.0 / v
GPS / Glonass / Beidou /Galileo
v / v / v / – v / v / – / v v / v / v / v v / v / v / –
LTE / SAR-waarde (hoofd,EU) v / 0,46 W/kg v / 0,46 W/kg v / 0,26 W/kg v / 0,33 W/kg
LTE-banden 1 / 3 / 7 / 8 / 20 / 28 / 32
v / v / v / v / v / – / –
v / v / v / v / v / v / –
v / v / v / v / v / – / –
v / v / v / v / v / – / –
Dualsim (met microSD) / simtype
v (–) / nanosim v (v) / nanosim v (–) / nanosim v (v) / nanosim
Vingerafdruksensor v (achterop) v (achterop) v (achterop) v (in stand-byknop)
Hoofdtelefoonaansluiting v v v v
Usb-poort / OTG / DP type-C (USB 2.0) / v / – type-C (USB 2.0) / v / – type-C (USB 2.0) / v / – micro-usb (USB 2.0) / v / –
Accu / draadloos laden 3750 mAh / – 3000 mAh / – 3060 mAh / – 3300 mAh / –
Afmetingen (h × b × d) 15,8 cm × 7,6 cm × 0,8 cm
15 cm × 7,2 cm × 0,8 cm
15 cm × 7,1 cm × 0,9 cm
16 cm × 7,7 cm × 0,8 cm
Gewicht / waterdichtheid 172 g / – 162 g / – 161 g / – 168 g / –
Camera's
Camera resolutie / diafragma / OIS
19,7 MP / f/1,8 / – 13 MP / f/2,2 / – 12,2 MP / f/1,8 / – 24,1 MP / f/1,7 / –
Camera 4K-video / full-hd – / 60 fps 30 fps / 60 fps 30 fps / 30 fps – / 30 fps
2e camera resolutie / diafragma / OIS
(alleen ter ondersteun-ing)
(alleen ter ondersteuning) (alleen ter ondersteuning) 8 MP / f/2,4 / – (groothoek)
Frontcamera resolutie / diafragma
23,8 megapixel / f/2 8 megapixel / f/2,2 8 megapixel / f/2 24,1 megapixel / f/2
Displaykenmerken
Techniek lcd (IPS/LTPS) lcd (IPS) lcd (IPS) oled (amoled)
Diagonaal / afmetingen 6,3 inch / 14,5 cm × 6,7 cm
5,9 inch / 13,5 cm × 6,4 cm
5,8 inch / 13,4 cm × 6,4 cm
6,1 inch / 13,9 cm × 6,7 cm
Resolutie 2340 × 1080 pixels (410 dpi)
1520 × 720 pixels (287 dpi)
2280 × 1080 pixels (432 dpi)
2220 × 1080 pixels (407 dpi)
Min. helderheid / helderheidsverdeling
1,5 cd/m2 / 85 % 2 cd/m2 / 88 % 2 cd/m2 / 94 % 2 cd/m2 / 96 %
Max. helderheid / alleen automatisch
368 cd/m2 / – 460 cd/m2 / v 529 cd/m2 / v 653 cd/m2 / v
Winkelprijs € 300 € 230 € 320 € 275
v aanwezig – niet aanwezig
Android-versie. Maar dat levert niet
meteen veel op, want de geïnstalleerde
versie is niet Android 9 maar Android 8.1
– en op beide ontbrak bovendien op het
moment van testen nog de meest recen-
te security patch. Die was bij Samsung
wel geïnstalleerd, terwijl de Huawei zelfs
nog op juli 2018 stond.
Conclusie
Over het geheel zijn dit redelijk goede
smartphones en zijn ze geschikt voor al-
ledaags gebruik. De mindere camera ten
opzichte van de topmodellen moet je op
de koop toenemen, de beste resultaten op
dit punt kwamen bij deze test van de Hua-
wei en de Samsung. (mdt) c
119c’t 2019, Nr. 3
Test | Smartphones van 300 euro
Overbodige ballastVerwijder de meegeleverde apps van Android-smartphones zonder te hoeven rooten
Veel van de meegeleverde apps op
je smartphone zijn best nuttig, maar
er zit vaak ook aardig wat rommel
bij. Dankzij een truc kun je ze verwij-
deren, ook al biedt een fabrikant die
mogelijkheid zelf niet. Dat kan zelfs
zonder root-toegang.
Ronald Eikenberg
De meeste fabrikanten van smart-
phones, tablets en andere ap-
paraten met Android hebben de
irritante gewoonte om niet alleen het
Android- besturingssysteem op hun appa-
raat te zetten, maar daar ook ongevraagd
allerlei apps bij mee te leveren. Het aan-
bod varieert daarbij van potentieel nut-
tige tools en agenda- en socialemedia-
apps tot spelletjes en winkel-apps. De
beweegredenen om die extra's te instal-
leren zijn daarbij vaak van financiële aard,
want zo'n fabrikant krijgt bijvoorbeeld
voor elke meegeleverde shopping-app
of testversie van een virus scanner een
bepaalde provisie. Vaak worden gebrui-
kers dan aangespoord een account aan
te maken bij de clouddienst van de fabri-
kant, zodat die dan weer extra data kan
vergaren en vervolgens extra diensten
kan aanbieden.
Die ongewenste cadeaus vervuilen
niet alleen het app-overzicht, maar ze
zijn soms ook actief terwijl je ze niet eens
gebruikt. Dat kan je telefoon vertragen,
waarbij dan ook nog eens allerlei data
worden doorgestuurd. Alsje graag heer
en meester over je eigen hardware bent,
moet je die na ingebruikname eerst al-
lemaal verwijderen.
Fabrikanten pronken op de product-
pagina's van hun apparaten vaak met de
120 c’t 2019, Nr. 3
Praktijk | Android-bloatware verwijderen
Afb
ee
ldin
g:
Jan
Bin
takie
s
technische gegevens van hun produc-
ten, terwijl daarbij vooral wordt gezwe-
gen over welke software er meegeleverd
wordt. Er wordt vaak niet meer vermeld
dan de Android-versie. Een aantrekkelijk
smartphonekoopje blijkt na ingebruik-
name dan vol te zitten met vervelende
softwaresurprises. Dat probleem speelt
trouwens niet alleen bij de goedkope
modellen, maar ook bij de dure top-
smartphones.
Hoe goed je de boel kunt opruimen,
hangt af van de fabrikant. Vaak kun je
sommige meegeleverde apps wel verwij-
deren of op zijn minst uitschakelen, maar
andere zitten vast in het systeem veran-
kerd. Vooral de eigen apps van een fabri-
kant raak je vaak moeilijk kwijt. Toch zijn
die veelal overbodig, zoals een tweede
app-winkel of een back-up-app waarvoor
een betaald cloudaccount bij de fabrikant
nodig is. Vooral Chinese smartphones zit-
ten vaak vol dubieuze systeem-apps, die
je wel wilt verwijderen maar waarbij dat
niet mag.
Als je tegen die keuzes van de fabri-
kant wilt ingaan, moet je zelf de truken-
doos opentrekken. Een van de opties
is jezelf rootrechten verschaffen op het
Android-systeem om de rommel te ver-
wijderen, een andere is het installeren
van een alternatieve Android-distributie
zoals LineageOS.
In beide gevallen schiet je echter
wel met een kanon op een mug als het
er alleen om gaat om bepaalde apps te
verwijderen. Bovendien moet daar nor-
maliter de bootloader voor ontgrendeld
worden, wat problemen met de garantie
kan opleveren. Gelukkig biedt Android
daar een sluiproute voor, waardoor je de
lastige hindernissen van rootrechten en
het ontgrendelen van de bootloader kunt
vermijden. Daarmee win je wel geen op-
slagruimte, maar je kunt de prestaties en
privacy wel verbeteren. Verderop lees je
hoe dat werkt.
De gebaande padenVoordat je in de trukendoos duikt, moet
je controleren of de ongewenste apps ge-
woon verwijderd kunnen worden. Houd
het pictogram op het homescreen of in
het app-overzicht ingedrukt en kijk of het
systeem aanbiedt om de app te deactive-
ren, of nog beter: te verwijderen. Als dat
niet gebeurt, ga je bij de toestelinstellin-
gen naar 'Apps & meldingen \ Apps' (de
precieze naam verschilt per fabrikant en
Android-versie) en tik je op de naam van
de app. Je ziet dan alle app-informatie,
inclusief een knop voor het verwijderen
of deactiveren (stoppen) – als de fabri-
kant dat tenminste toestaat. Op de ap-
paraten van Huawei en Honor konden
we bijvoorbeeld wel de Google Play Store
uitschakelen, maar niet de fabrikanteigen
app-winkel App Gallery.
Ook als die methoden niet werken,
kun je er zonder trucs voor zorgen dat
een app in elk geval niet meer zichtbaar
is, onder het motto 'als je het niet ziet is
het er niet'. Bij bepaalde launchers zoals
Nova Launcher (zie de link aan het eind
van dit artikel) en de standaard-launcher
van Samsung kun je apps verbergen in
het app-overzicht. Bij Nova houd je daar-
voor je vinger op een app-pictogram, kies
je Bewerken en verwijder je vervolgens
het vinkje bij Apps. Apps die je verbergt
blijven wel vindbaar via de zoekfunctie
van de launcher en kun je nog starten
121c’t 2019, Nr. 3
Praktijk | Android-bloatware verwijderen
Fabrikanten-apps als Huawei's App Gallery en Samsungs Galaxy Apps kun je alleen via trucs verwijderen.
Met de in dit artikel beschreven me-
thode kun je zo'n beetje bijna alle
software van je Android-toestel
verwijderen, maar daarbij ook
systeemcomponenten die
essentieel zijn voor de wer-
king van je smartphone. Ga
daarom uiterst voorzichtig te werk en
verwijder uitsluitend pakketten waar-
van je weet wat ze doen en ook zeker
weet dat die overbodig zijn.
Onderzoek in geval van twijfel
eerst wat een app doet. Soms stuit je
daarbij op ervaringen van andere ge-
bruikers, zodat je in ieder geval weet
wat er wel of niet probleemloos
weg kan.
Als er belangrijke compo-
nenten ontbreken, kun je het
Android-toestel in het ergste
geval niet meer normaal gebruiken. Bij
onze test was het dan voldoende om
het apparaat in de recovery-modus te
starten en van daaruit dan de fabrieks-
instellingen weer terug te zetten (zie
kader 'EHBO').
Risico's en bijwerkingen
Veel standaard meegeleverde apps kun je niet echt verwijderen. Stoppen of uitzetten helpt vaak niet.
Om apps via de Android Debug shell te kunnen verwijderen, moet je eerst USB-foutopsporing bij Android activeren.
De app Package Name Viewer toont de pakketnaam die je nodig hebt om een geïnstalleerde app te verwijderen.
– zonder verder ingrijpen blijven ze wel-
licht ook actief.
Dan maar de sluiprouteOm hardnekkige gevallen niet alleen te
verbergen, maar ook echt te bevriezen,
kun je de eerder genoemde sluiproute
benutten. Daarvoor heb je een pc met
Windows, Linux of macOS nodig en
een usb-kabel om het Android-toestel
daarmee te verbinden. De pc moet het
Android-toestel aansturen via de voor
ontwikkelaars bestemde Android Debug
Bridge (ADB).
Dat klinkt lastiger dan het is. In wezen
werkt ADB als een soort SSH- of Telnet-
verbinding, waarmee je opdrachten kunt
uitvoeren op het Android-systeem. Voor
het deinstalleren van apps is er de Packet
Manager (pm) van Android. Daarmee kun
je apps dan wel niet compleet verwijde-
ren, maar in ieder geval wel effectief uit-
schakelen. Ze zijn dan niet meer zichtbaar
of actief.
ADB zit in de gratis Android Platform
Tools van Google (zie de link onderaan dit
artikel). Het is te gebruiken zonder daar-
bij geïnstalleerd te hoeven worden. Pak
het gedownloade archiefbestand uit en
ga via de commandline of de shell van je
besturings systeem naar de map platform-
tools (cd platform-tools). Start vervol-
gens de ADB-server met de opdracht adb
start-server.
Dan moet je het Android-toestel nog
voorbereiden op de koppeling. Sluit het
apparaat eerst met de usb-kabel aan
op de pc en kies voor een verbindings-
modus als Bestandsoverdracht of Picture
Transfer Protocol (PTP) of iets dergelijks,
zodat de pc de smartphone kan vinden.
De modus 'Deze telefoon opladen' is daar
in elk geval ongeschikt voor.
Je kunt de betreffende modus meest-
al kiezen via de notificaties die je ziet als
je naar beneden veegt over de notificatie-
balk bovenin het scherm. Ten minste één
van de notifi caties heeft dan betrekking
op de actieve usb-verbinding.
Vervolgens moet je dan ook de usb-
foutopsporing nog activeren. Ga daar-
voor eerst naar het instellingenmenu
van de telefoon en laat via 'Info telefoon
/ Softwaregegevens' informatie over de
Android-versie weergeven. Tik daar dan
vijfmaal op het buildnummer om de ont-
wikkelaarsmodus te activeren. Voer je be-
veiliging in als daarom gevraagd wordt.
Ga met de vorige-knop vervolgens een
niveau terug in het instellingenmenu (al
naargelang fabrikant en model is dat wel-
licht twee niveaus). Open dan het onder-
deel Ontwikkelaarsopties. Dat zit soms in
een submenu.
Afhankelijk van je toestel moet je
eerst nog helemaal bovenaan een scha-
kelaar omzetten om die opties te kunnen
aanpassen. Activeer vervolgens USB-
foutopsporing om de koppeling via ADB
mogelijk te maken. Als je dat moet beves-
tigen tik je op OK. Vergeet niet om na het
afslanken van je toestel de foutopsporing
te deactiveren, omdat daarmee anders
vergaande toegang tot je Android-toestel
mogelijk blijft.
Dan zou de koppeling met de aan-
gesloten pc vanzelf opgebouwd moeten
worden. Android vraagt daarbij of je USB-
foutopsporing wilt toestaan en toont de
RSA-vingerafdruk van de gekoppelde pc.
Ook dat moet je bevestigen. Controleer
vervolgens op de pc met de opdracht adb
devices of de koppeling is gelukt. In dat
geval wordt die vermeld onder 'List of
devices attached'.
Als ADB geen toestel vermeldt, is An-
droid misschien niet met de juiste usb-
modus verbonden met de pc. Probeer de
andere modi dan gewoon even uit. Ook
een slechte usb-kabel of usb-hub kan
de oorzaak zijn. Bij Huawei- en Honor-
smartphones moet je erop letten dat die
met de pc verbonden zijn voordat je USB-
foutopsporing activeert bij de Android-
instellingen. Anders kun je de optie niet
goed activeren.
Bij sommige oudere toestellen of Win-
dows-versies moet je de usb-driver hand-
matig installeren (zie de link onderaan dit
artikel).
Eerst rondkijkenAls ADB het apparaat vermeldt, zet je met
de opdracht adb shell een remote-shell-
verbinding op.
Met deze opdracht laat je de pakket-
manager alle geïnstalleerde pakketten
opsommen:
pm list packages
Android gebruikt intern niet de door de
launcher getoonde app-namen, maar de
door de ontwikkelaar toegewezen pak-
ketnamen. Die zijn opgebouwd volgens
het schema com.huawei.appmarket.
Het aantal geïnstalleerde pakketten is
duidelijk groter dan de lijst met apps die
in Android zichtbaar is. Dat komt door-
dat onder andere systeemonder delen
worden vermeld die niet voorkomen in
de launcher of het applicatieoverzicht. Bij
een Huawei Mate 20 Pro vonden we na
ingebruikname bijvoorbeeld 215 pakket-
ten. Voeg aan de opdracht de parameter
-3 toe om alleen de apps van derden te
zien, zoals de vaak meegeleverde Micro-
soft-Office- of winkel-apps. Met -s laat
122 c’t 2019, Nr. 3
Praktijk | Android-bloatware verwijderen
den. De APK-bestanden daarvan staan
ook na het verwijderen echter nog in het
Android-bestandssysteem, maar die zijn
meestal niet zonder meer te installeren.
Vooral eigen fabrikanten-apps zijn vaak
niet als gebruikers- maar als systeem-app
geïnstalleerd. Dat werkt alleen met root-
rechten. In zo'n geval kun je het Android-
toestel terugzetten naar de fabrieksinstel-
lingen en opnieuw beginnen. Dan zijn
alle meegeleverde apps weer terug van
weggeweest. (mdt) c
www.ct.nl/softlink/1903120
Als je een pakket verwijdert en vervol-
gens ontdekt dat je toestel niet meer
goed werkt, moet je het terugzetten
naar de fabrieksinstellingen. Probeer
dat eerst via het instellingenmenu
van Android.
Als je dat niet meer kunt be-
reiken, helpt de recovery-modus je
verder. Die bereik je door het toestel
eerst uit te zetten. Dat doe je bij de
meeste smartphones doorgaans door
de stand-byknop lang ingedrukt te
houden en de betreffende optie te
kiezen. Daarna moet je hem aanzet-
ten door de stand-byknop samen
met een andere knop (zoals de vo-
lumeknop) ingedrukt te houden. De
juiste toetsencombinatie staat in de
handleiding van je smartphone of via
Google.
Het apparaat start dan in de zo-
geheten recovery-modus, waar je
dan de optie vindt om hem terug te
zetten naar de fabrieksinstellingen.
Daarbij gaan dan wel alle data ver-
loren, maar het toestel zou wel weer
normaal moeten kunnen starten. De
onderdelen die je had verwijderd, zijn
dan alshet goed is weer terug.
Een andere noodoplossing is de
zogeheten fastboot-modus. Daarin
kun je het flashgeheugen met het An-
droid-systeem vanaf een pc opnieuw
flashen. Daar heb je dan weer wel een
image met de oorspronkelijke inhoud
voor nodig. Maar helaas bieden wei-
nig fabrikanten dat soort images. En
dan nog: voor de fastboot-methode
is daarnaast ook een ontgrendelde
bootloader nodig.
EHBOde tool juist alleen de systeempakketten
zien. Om de lijst te filteren op een zoek-
begrip zoals 'huawei', voeg je gewoon een
grep toe aan de opdracht: pm list pak-
kages | grep huawei.
Een snel overzicht krijg je bijvoor-
beeld ook met de gratis Android-app Pac-
kage Names Viewer (zie de link onderaan
op deze pagina). Die toont alle geïnstal-
leerde pakketten samen met de leesbaar-
dere app-namen, de pakketnamen en de
pictogrammen. Via de vergrootglasknop
rechtsboven kun je zoeken naar app- en
pakketnamen. De tool maakt bovendien
onderscheid tussen gebruiker- en sys-
teem-apps.
De eerste soort kun je in de meeste
gevallen probleemloos verwijderen, met
die laatste moet je goed weten wat je
doet. Er wordt namelijk niet gevraagd om
bevestiging bij het verwijderen ervan. Als
je een onderdeel verwijdert dat je appa-
raat eigenlijk nodig heeft, werkt het wel-
licht niet meer. Dan crasht Android en
start het appaaraat niet meer omdat bij
het booten dan een onderdeel ontbreekt.
In dat geval moet je het Android-toestel
via de recovery-modus terugzetten op de
fabrieksinstellingen (zie het kader 'EHBO'
rechtsboven op deze pagina). Ga na hoe
en of je die modus kunt activeren voor-
dat je daadwerkelijk gaat beginnen met
opruimen. Maak bovendien een back-up
van je gegevens, omdat die bij het terug-
zetten naar de fabrieksinstellingen gewist
worden.
Afscheid nemenHeb je de pakketnaam van de te verwij-
deren app eenduidig bepaald, dan kun je
die verwijderen met het volgende com-
mando:
codpm uninstall -k --user 0
com.huawei.appmarket
Pakketnamen kunnen ook hoofdletters
bevatten, dus let op het onderscheid
tussen hoofd- en kleine letters. Als alles
goed gaat, rondt de pakketmanager het
verwijderen af met 'success'. Op de smart-
phone zie je hoe de app uit de launcher
verdwijnt.
De parameter --user 0 zorgt er-
voor dat de app dan alleen voor de ge-
bruiker met ID 0 verwijderd wordt. Dat
is meestal de enige gebruiker, maar
sommige fabrikanten ondersteunen de
Android-optie om meerdere gebruikers-
profielen te kunnen instellen waar tussen
gewisseld kan worden. Die kunnen onaf-
hankelijk van elkaar apps installeren en
gebruiken. De ID's voor dergelijke pro-
fielen kun je eventueel vinden met de
opdracht pm list users. Android toont
dan alle gebruikers volgens het patroon
UserInfo{0:Eigenaar:13}. Het eerste getal
is de gezochte ID (hier 0), daarna volgt de
gebruikersnaam.
We konden op die manier op alle
geteste apparaten met verschillende
Android-versies tot en met Android 9
willekeurige apps verwijderen. De ideale
uitgangssituatie daarbij is natuurlijk een
nieuw Android-toestel waarop zich nog
geen andere data dan die van de begin-
toestand bevinden. Je kunt het systeem
daarop snel afslanken door de ene na de
andere ongewenste app te verwijderen
en de pakketnamen te noteren. Als er
iets mis gaat, ga je terug naar de fabrieks-
instellingen en verwijder je de laatst ge-
noteerde app niet.
Uiteindelijk heb je dan een lijst van
apps genoteerd die in ieder geval pro-
bleemloos verwijderd kunnen worden.
Die kun je in een bash-script opnemen
om soortgelijke modellen automatisch
een afslankkuur te geven. Daarvoor voeg
je aan het begin van elke opdracht 'adb
shell' toe:
adb shell pm uninstall -k --user 0
com.paket1.name
adb shell pm uninstall -k --user 0
com.paket2.name
adb shell pm uninstall -k --user 0
com.paket3.name
...
Bewaar dat script in Windows met de ex-
tensie .bat (bijvoorbeeld cleanup.bat). Bij
Linux en macOS gebruik je de extensie .sh
en zorg je er vervolgens met chmod u+x
script.sh voor dat het uitvoerbaar is. Als
je dat op de pc start, worden de verwij-
deropdrachten één voor één afgewerkt.
Je kunt daar ook alle apps tussen zetten
die op de gebruikelijke Android-manier
verwijderd kunnen worden, zodat alles
ineens opgeruimd is.
De weg terugAls je bepaalde apps die je via ADB hebt
verwijderd toch weer terug wilt heb-
ben, kun je ze meestal via Google Play
gewoon weer installeren of desnoods
downloaden van APKmirror.com. Vaak
zijn met name door fabrikanten mee-
geleverde apps daar echter niet te vin-
123c’t 2019, Nr. 3
Praktijk | Android-bloatware verwijderen
Tot op de bodem
Gebruik Broncontrole om te achterhalen wat Windows uitspookt
Als een oude pc het niet meer trekt,
merk je dat door een flink ratelende
harde schijf of druk blazende ven
tilator. Bij moderne systemen met
hun stille ssd's en koeling, moet je
wat dieper graven om te achter
halen wat er precies aan schort.
De tool Broncontrole is daarbij
handig.
Jan Schüßler
Als je pc heel erg druk is, maar je
hem nergens opdracht voor hebt
gegeven, is dat behoorlijk irritant.
Een harde schijf die continu luid loopt te
ratelen laat je pc traag aanvoelen. Een cpu
die maximaal wordt belast laat de cpu-
koeling harder werken, of misschien is je
internetverbinding niet vooruit te bran-
den: allemaal behoorlijk irritant.
Het eerste wat in je opkomt is Taak-
beheer openen via een rechtermuisklik
op de taakbalk of met het klassieke Ctrl-
Alt-Delete. Darmee krijg je een eerste kijk
op welke processen op dat moment je
cpu, geheugen, schijf en netwerkverbin-
ding belasten. Een klik op de kolommen
sorteert de resultaten.
Erg veel detail bevatten de weer-
gaves van Taakbeheer echter niet. Daar
komt Broncontrole om de hoek kijken. Je
roept dat op via het zoeken op 'bron' of
door het intypen van 'resmon' op de Op-
drachtprompt. Het zit ook nog verstopt
op het tabblad Prestaties in Taakbeheer,
via de link 'Broncontrole openen' onder-
aan. Mocht je het vaker willen gebrui-
ken en dus snel willen starten, dan is
het handig de tool vast te maken aan de
taakbalk. Dat doe je via een rechtermuis-
klik op het geopende programma op de
taakbalk.
OverzichtZodra Broncontrole gestart is, toont de
resourcemonitor een overzichtspagina
voor alle vier de categorieën resources:
de processor, schijf, netwerk en geheu-
gen. Binnen elke categorie kun je sorteren
door op de kolommen te klikken. Een han-
digheidje is een simpel in te stellen filter.
Met een vinkje voor een proces wordt in
de overzichten alleen de informatie van
dat proces getoond. Het gaat dan alleen
om die ene instantie van het proces. Door
middel van een rechtermuisklik op een
proces beëindig je het, eventueel inclusief
alle subprocessen die door het proces zijn
gestart ('Processtructuur beëindigen'). De
optie 'Proces analyseren' laat zien of er
wordt gewacht op een ander proces om
een resource vrij te geven.
De rechterkant van Broncontrole toont
grafieken met het verloop van het verbruik
aan resources van de afgelopen minuut.
Qua inter pretatie moet je wel goed blijven
opletten, want een aantal tonen procen-
124 c’t 2019, Nr. 3
Praktijk | Broncontrole
Afb
ee
ldin
g:
Ru
do
lf A
. B
lah
a
tuele waarden, bijvoorbeeld die met de
belasting van het geheugen, processor
of netwerkinterfaces. Andere laten dan
weer (absolute) meetwaarden zien en pas-
sen hun schaal ook nog dynamisch aan,
bijvoorbeeld harde geheugenfouten per
seconde, cpu-kloksnelheid en netwerk-
transfersnelheden. Bij het laatste voorbeeld
kan de schaal op de Y-as bijvoorbeeld van
0 tot 10 Kbit/s lopen, maar ook van 0 tot
100 Mbit/s.
Een aantal grafieken toont naast de
groene lijn nog een tweede blauwe lijn.
De legenda staat gek genoeg niet netjes
onder de grafi ek, maar in de titel van de
betreffende categorie links in het Bron-
controle-venster. Zo laat de grafi ek over de
processor met de groene lijn het verloop
van de belasting zien, en met de blauwe
hoe dicht de processor zijn maximale klok-
snelheid nadert.
De naar eigen smaak ingestelde weer-
gave van Broncontrole is als een confi gu-
ratiebestand op te slaan. Daarbij worden
de kolombreedtes, sorteervolgorde en
grootte van de grafi eken opgeslagen. Als
alles helemaal naar je wensen is ingesteld,
kies je in het Bestand-menu voor 'Instel-
lingen opslaan als'. Met zo'n confi guratie-
bestand eindigend op .ResmonCfg start je
Broncontrole op met door jou aangepaste
instellingen. De instellingen zijn ook via het
context menu op de taakbalk beschikbaar.
Als je Broncontrole aan de taakbalk hebt
vast gemaakt, verschijnt de laatst gebruikte
confi guratie in het contextmenu.
CpuBij het onderdeel Processor toont Broncon-
trole alleen draaiende processen inclusief
hun ID (PID). Met dat PID is elk proces
afzonderlijk te identifi ceren. Dat is vooral
handig als er meer dan één instantie van
een uitvoerbaar bestand draait. Sorteer je
op de kolom CPU, dan zie je bovenaan welk
proces het meeste tijd van de cpu afsnoept.
Broncontrole vermeldt voor elk proces het
aantal geopende threads, maar dat zegt
niet direct iets over de daad werkelijke
cpu-belasting. Die zie je via de grafi eken
aan de rechterkant, daarbij worden alle ser-
vices en afzonderlijke logische cpu-kernen
samengevat.
Voor services biedt de Processor-tab
een aparte lijst. Dat is erg nuttig omdat
veel services in Windows geen uitvoerbaar
bestand hebben, maar via svchost.exe wor-
den uitgevoerd. Dit is het hostproces voor
Windows-services. Sinds Windows 10 ver-
sie 1703 krijgt bijna elke service een eigen
instantie van svchost.exe, als er tenminste
minimaal 3,5 GB geheugen in de pc zit. Dat
verbruikt wel wat meer geheugen (onder
normale omstandigheden ongeveer 100
MB) maar op deze manier krijg je meest-
al al via Taakbeheer de veroorzaker van
vreemd gedrag boven water. Een handige
bij komstigheid is dat een hangende ser-
vice niet alle andere services meetrekt die
onder dezelfde svchost-instantie draaien.
Zodra je op het processortabblad een
proces markeert door het aan te vinken,
zie je de gekoppelde ingangen en modu-
les verschijnen. Deze informatie is meestal
alleen maar interessant voor ontwikkelaars
en zit ingewikkeld in elkaar. Bij ingangen
gaat het om abstracte verwijzingen naar
systeemresources (in de breedste zin van
het woord) die door een proces worden
gebruikt, bijvoorbeeld geheugenranges,
bestanden of desktopelementen. Modu-
les zijn over het algemeen dynamische
library's (Dynamic Link Libraries, dll).
In veel situaties is de ingangenweer-
gave ook bij 'standaard' probleemgevallen
nuttig. Stel dat je een usb-stick wilt loskop-
pelen en dat mislukt omdat het apparaat
nog wordt gebruikt, maar je hebt geen idee
door wat. Als je de schijfl etter met dubbele
punt erachter invoert in het zoekveld van
'ingangen zoeken', zie je welke processen
nog ingangen gebruiken voor de stick.
WerkgeheugenHet tabblad geheugen heeft vier kolom-
men gevuld met geheugenverbruik en
eentje met harde fouten. Het is handig
om te sorteren op Werkset: hoeveel fysiek
geheugen een proces op dat moment
gebruikt. Daarnaast staan de kolommen
Deelbaar en Eigen. Die laatste geeft de
hoeveelheid geheugen aan die een proces
echt voor zichzelf nodig heeft om te kun-
nen draaien. Als je beide waarden optelt
kom je bij de waarden van Werkset uit.
Het geheugen onder Toegewezen
(Commit) slaat niet op het fysieke ge-
heugen, maar op een deel van Windows'
virtuele geheugen. Die waarde geeft aan
hoeveel geheugen het besturingssysteem
bij het starten van het proces daarvoor
heeft gereserveerd. Dat hoeft niet per se
in het geheugen zelf te zijn, maar kan ook
gaan om ruimte in het wisselbestand op de
schijf. Hoeveel van het maximaal beschik-
bare geheugen Windows voor processen
heeft gereserveerd, vind je niet terug in
Broncontrole. Dit is te zien in Taakbeheer,
op het tabblad 'Prestaties / Geheugen'
onder Toegewezen.
De naam van de kolom 'Harde fouten/
sec' leidt tot wat verwarring. Het gaat niet
om hardwarefouten van het geheugen,
maar hoe vaak per seconde een proces
inhoud in het geheugen raadpleegt die
er niet is maar nog vanaf schijf geladen
moet worden. Vooral bij het opstarten van
grote programma's verschijnen er honder-
den tot duizenden harde fouten. Gelukkig
geen reden tot paniek. Als Broncontrole
bij het wisselen tussen programma's ech-
ter elke keer weer harde fouten laat zien,
wordt het tijd om je werkgeheugen te
upgraden.
125c’t 2019, Nr. 3
Praktijk | Broncontrole
'Harde fouten' klinkt als iets om je zorgen over te maken, maar het heeft een onschuldige oorzaak.
Het staafdiagram onderin beeld toont in
een oogopslag of je geheugen volloopt.
Het donkerblauw gemarkeerde Stand-by
kun je net zo goed beschouwen als be-
schikbaar geheugen als het lichtblauwe
Beschikbaar. Het beschikbare deel bevat
uit het oogpunt van het besturingssysteem
geen gebruikte data. Het stand-bydeel
bevat content die nog niet door proces-
sen wordt gebruikt, maar die na het afslui-
ten van een programma voor eventueel
her gebruik nog in het geheugen wordt
gehouden of min of meer vooraf geladen
wordt. Stand-by-inhoud heeft geen toe-
gewezen proces dus kan op elk moment
door het systeem leeg worden gekieperd
als ineens een grote hoeveelheid geheu-
gen nodig is en het beschikbare deel te
weinig is.
Het groene deel 'In gebruik' heeft
geen uitleg nodig. Het oranje 'Gewijzigd'
gaat om data die niet meer nodig zijn maar
die nog naar de schijf geschreven moeten
worden. Op veel systemen is er ook een
klein deel 'Gereserveerd voor hardware' te
vinden. Dit is meestal een zeer klein deel
waar alleen drivers voor apparaten en fi rm-
ware een plekje krijgen.
SchijvenHet tabblad Schijf toont via 'Processen met
schijfactiviteit' een overzicht van alle lees-
en schrijfacties op de lokale schijven. Dat is
vooral handig als een schijf om onbekende
reden druk in de weer is en continu aan
het ratelen is. Handig is dan om te sorte-
ren op de totale activiteit via 'Totaal (bytes/
sec.)'. Er is vaak een duidelijke reden waar-
om processen bovenaan komen te staan.
Als bijvoorbeeld wuauclt.exe druk in de
weer is, dan is Windows Update op dat
moment net bezig met het downloaden
van patches. TrustedInstaller.exe of tiwor-
ker.exe installeert patches of houdt zich
bezig met de opruimacties daarna. Vaak
zie je ook MsMpEng.exe verschijnen, dat
is dan Microsofts virusscanner Windows
Defender.
Het tweede blok toont extra details. De
'Schijfactiviteit 'laat zien welk proces zich
met welk bestand bemoeit. Als een externe
schijf om onbekende reden continu aan
het ratelen is, kun je sorteren op de kolom
'Bestand' en op zoek gaan naar de bijpas-
sende schijfl etter. Op die manier achterhaal
je snel welk proces verantwoordelijk is voor
het geratel en welke bestanden erbij be-
trokken zijn. In het derde blok Opslag staat
dan welke logische schijven onder welke
fysieke schijven vallen. Netwerk schijven
horen daar niet bij.
NetwerkDe 'Processen met netwerkactiviteit' geven
aan wat met welke snelheid via de netwer-
kinterfaces gaat. Het gaat niet alleen over
alles richting internet, maar ook binnen het
lokale netwerk. Erg handig om te bepalen
welk proces er bandbreedte afsnoept van
je internetverbinding.
Maar Broncontrole laat nog wat meer
zien. Met een vinkje voor een proces zie
je via welke poorten het proces commu-
niceert met welke url's of IP-adressen en
hoe het zit met de latentie. Vaak kom je
loopback-verbindingen tegen. Die worden
getriggerd doordat losse lokale processen
via een IP-protocol met elkaar babbelen.
Dieper gravenMaar ook Broncontrole kan niet tot op het
kleinste detail traceren wat er op je sys-
teem gebeurt. Loggen kan de tool niet, dus
het is vooral handig om live te kijken wat
er speelt. Als je erg diep het systeem in wilt
duiken om te zien waar Windows allemaal
mee bezig is, dan is Process Monitor een
aanrader. Die zit in de toolscollectie van
Microsoft Sysinternals. De bediening is wel
even wennen, daarom hebben we er een
tweetal artikelen aan gewijd [1,2].
Vermoed je een virusbesmetting, dan
is Broncontrole niet de eerste keus uit je
gereedschapskist. Via een rechtermuisklik
op een proces en de optie 'Online zoeken'
kun je de naam van een verdacht proces
doorsluizen naar zoekmachine Bing, maar
erg veel opleveren doet dat niet. Voor een
snelle controle of je virussen hebt opge-
lopen is Sysinternals' Process Explorer een
betere keus. Daarmee kun je draaiende
processen door lichten via Googles virus-
scanner-portal VirusTotal. (avs) c
Literatuur
[1] Axel Vahldiek, Onder de microscoop, Windows
analyseren met Process Monitor – deel 1,
c't 11/2017, p.128
[2] Axel Vahldiek, Scherp stellen, Windows analyse-
ren met Process Monitor – deel 2,
c't 12/2017, p.130
126 c’t 2019, Nr. 3
Praktijk | Broncontrole
Sinds Windows 10 versie 1703 krijgt bijna elke service een eigen instantie van svchost.exe, vandaar dat in tools als Taakbeheer en Broncontrole een ellenlange waslijst met deze naam opduikt.
127c’t 2019, Nr. 3
Waar moeten we alle gegevens in vredesnaam gaan
laten? Er wordt op dit moment al een enorme hoe-
veelheid data gegenereerd door mensen. Als we
dan ook nog eens bedenken dat er back-ups van
deze data worden gemaakt in datacenters en de cloud, mogen
we de benodigde hoeveelheid opslag gerust vermenigvuldigen.
Tot nu toe is de hoeveelheid door machines gegenereerde data
naar verhouding vrij beperkt gebleven. Vanaf 2019 zal hier ech-
ter verandering in komen, doordat oplossingen en technologieën
als autonoom rijden, slimme fabrieken, Internet of Things (IoT) en
domotica zorgen voor nieuwe datastromen die moeten worden
opgeslagen.
De balans tussen HDD en SSD bij toenemende data
De hoeveelheid data die we opslaan blijft niet alleen onvermin-
derd groeien, maar de groei gaat ook sneller dan voorspeld. De
verwachting was dat naarmate meer data zou worden opgeslagen
op fl ash en SSD, de hoeveelheid gegevens die wordt opgeslagen
op harde schijven en magneetband zou afnemen. Het is nu ech-
ter wel duidelijk dat alle drie de technologieën blijven groeien,
gewoon omdat er zoveel gegevens moeten worden opgeslagen.
Naar verwachting zullen in 2019 voor 90% van de capaciteit
voor typische cloud computing-toepassingen harde schijven wor-
den gebruikt, voor een gedeelte mogelijk magneetband, en voor
slechts 10% zal naar SSD worden gegrepen. Maar omdat zakelijke
SSD’s tot tien keer zo duur zijn als HDD’s per eenheid capaciteit,
zal de fi nanciële investering in evenwicht zijn met een uitgave van
ongeveer 50% voor HDD’s en evenveel voor SSD’s.
Deze opslagsystemen bestrijken het hele spectrum van toe-
passingen, van apparaten met alleen fl ashgeheugen, via hybride
modellen met fl ash voor cache en HDD voor koude/warme data,
tot pure opslagservers op basis van harde schijven.
Helium-HDD’s om ~20 TB aan opslagruimte te bieden
Alle drie de belangrijkste fabrikanten leveren nu HDD-modellen
die gevuld zijn met helium, op dit moment met een beschikbare
capaciteit van 16 TB. De komende jaren zal de capaciteit naar
verwachting groeien met ongeveer 2 TB per jaar, zodat aan het
begin van het volgende decennium HDD’s van 20 TB beschikbaar
zouden moeten zijn.
Deze harde schijven zullen waarschijnlijk geoptimaliseerd zijn voor
hoge capaciteit tegen een lage prijs, maar opvallende verbete-
ringen in andere technische parameters worden niet verwacht.
Een uitzondering daarbij is het energieverbruik, dat door de intro-
ductie van helium in HDD’s zal afnemen. Met lucht gevulde 3,5”
7200rpm HDD’s hadden een relatief constant verbruik van 11 W
onder belasting, ongeacht de capaciteit, maar het energieverbruik
van met helium gevulde HDD’s is ongeveer 6 - 7 W. Dit wordt
veroorzaakt door de lagere wrijving van het lichtere heliumgas.
Een verdere toename van de opslagdichtheid ligt in het ver-
schiet door de integratie van technologieën zoals microwave as-
sisted magnetic recording (MAMR) in de schrijfkoppen van harde
schijven.
Artifi cial Intelligence, Deep Learning en Blockchain
Door nieuwe computertoepassingen, zoals Artifi cial Intelligence
(AI), Deep Learning en Blockchain is de vraag naar verwerkings-
kracht aanzienlijk gestegen. Het valt te verwachten dat deze
technologieën veel meer data zullen genereren en toegang tot
opslagoplossingen zullen eisen.
Welke gevolgen dit zal hebben voor de vraag naar opslag is
nog niet helemaal duidelijk, omdat we nog te weinig weten over
de toepassingen en de manier waarop ze zullen worden geïm-
plementeerd. In de loop van 2019 en op weg naar het volgende
decennium zullen we hierover echter meer duidelijkheid krijgen.
Duidelijk is al wel dat deze technologieën een nog groter
aandeel zullen hebben in de hoeveelheid data die moet worden
opgeslagen.
Rainer W. Kaese, Senior Manager Business Development Storage
Products, Toshiba Electronics Europe.
Storage Trends
De regen van data wordt een stortbui
Dataherstelprogramma's lukt het
vaak niet om bestanden onder de
oorspronkelijke naam op te slaan.
Als de extensie ontbreekt, moet je
trucs gebruiken om de gegevens
weer leesbaar te maken.
Hajo Schulz
Normaliter herkent Windows aan de
extensie in een bestandsnaam wat
het bestandstype van een bestand
is. Meestal werkt dat goed, maar er zijn
gevallen waarin het misloopt. Misschien
gebruik je een dataherstelprogramma in
een poging om per ongeluk gewiste of op
andere wijze verloren gegane bestanden
terug te halen [1]. Bij de herstelde items
die op die manier worden teruggezet, ont-
breekt vaak de oorspronkelijke bestands-
naam, inclusief de extensie. De herstelpro-
gramma's moeten daar naar gissen en dat
gaat niet altijd goed.
Ook de ingebouwde Windows-tool
chkdsk voor het verhelpen van fouten in
Wat ben ik?Bepaal het bestandstype van onbekende bestanden
Het gratis pro-gramma TrIDNet herkent bijna 11.000 bestands-typen aan de hand van typische bytepatronen.
het bestandssysteem vindt af en toe ver-
loren gegane bestanden. Het probeert
niet eens om de namen te raden, maar
noemt ze gewoon file0000.chk, file0001.
chk enzovoort. Voordat je daar iets mee
kunt, moet je ze eerst voorzien van de
juiste extensie.
Het komt ook wel eens voor dat je
bij e-mailberichten bestanden ontvangt
met een onbekende extensie. Als die
niet afkomstig zijn van een vertrouwde
afzender, moet je er zeker niet zomaar
op dubbelklikken. Probeer eerst het be-
standstype te bepalen en controleer of
dat erom bekend staat dat het voor aan-
vallen met malware kan worden gebruikt.
Windows toont met de standaard-
instellingen de meeste bestandsexten-
sies helemaal niet. Om dat aan te passen,
ga je in Verkenner van Windows 10 naar
het tabblad Beeld op het lint en markeer
je het vakje Bestandsnaamextensies. Bij
oudere Windows-versies ga je naar de
mapopties en zoek je naar het vinkje bij
'Extensies voor bekende bestandstypen
verbergen'. Dat moet je weghalen.
UitproberenOm het type van een bestand te achter-
halen, kun je het bijvoorbeeld openen in
een teksteditor. Met een beetje geluk is de
inhoud leesbaar of kun je het bestands-
type daaruit afleiden, bijvoorbeeld bij een
XML- of HTML-bestand. Maar vaak zie je
alleen een onverteerbare tekenbrij.
Een andere optie is om het bestand
met verschillende toepassingen te openen
om te kijken of die er iets mee kunnen. Ge-
schikte mogelijkheden zijn bijvoorbeeld
het archiefprogramma 7-Zip, afbeeldings-
viewer IrfanView en VLC Media Player. Die
staan er allemaal om bekend dat ze niet zo
kritisch zijn qua bestandsnaamextensie en
dat ze bestanden die eigenlijk voor andere
programma's zijn bestemd ondanks kleine
formaatafwijkingen toch nog bruikbaar
kunnen verwerken.
Als je op die manier gaat testen met
programma's moet je wel oppassen. Vooral
als het gaat om bestanden uit een niet ver-
trouwde bron moet je zeker niet gaan tes-
ten met programma's die scripts kunnen
uitvoeren. Daarom vallen onder andere
webbrowsers, Microsofts Office-program-
ma's en Adobe Reader af.
TrID kent ze allemaalEen handigere methode om het bestands-
type te bepalen is het programma TrID. Dat
kan geen bestanden openen, maar wel het
type van een bestand betrouwbaar bepa-
len. Het gebruikt daarvoor een database
met circa 11.000 profielen, die nog steeds
wordt uitgebreid.
De tool is er in verschillende varianten.
De GUI-versie TrIDNet is waarschijnlijk het
makkelijkst te gebruiken. Het downloaden
128 c’t 2019, Nr. 3
Praktijk | Bestandstype bepalen
De maker van het programma TrID,
Marco Pontello, ziet zijn werk liever niet
als software, maar als een community-
project. Het doel daarvan is een zo
compleet mogelijke database van be-
standstypen. Hij nodigt de gebruikers
van de tool dan ook uit om nog niet
bekende bestandstypen toe te voegen
aan de database.
Programmeurs of gebruikers van
exotische toepassingen kunnen daar
het Python-script TrIDScan voor down-
loaden. Dat moet je dan zoveel mogelijk
bestanden van het toe te voegen type
laten lezen. Het script maakt van de ge-
meenschappelijke kenmerken een XML-
bestand in een formaat waar TrIDNet
mee overweg kan. In de header van dat
bestand kun je nog kort een beschrijving
en optioneel enkele persoonlijke gege-
vens toevoegen. Daarna stuur je dat be-
stand naar de TrID-maker. Die verwerkt
dergelijke inzendingen regelmatig in de
TrID-database en biedt dan een nieuwe
downloadversie aan. Dat is ook de re-
den dat de download in twee delen is
opgesplitst. De database kan daardoor
makkelijk worden bijgewerkt zonder dat
je steeds het programma zelf opnieuw
hoeft te downloaden.
TrID verbeteren
daarvan (zie de link onderaan dit artikel)
bestaat uit twee delen: het eigenlijke pro-
gramma zit in het archiefbestand trid_net.
zip, dat je kunt uitpakken in een map naar
keuze. De database met de bestandstype-
profielen wordt verspreid in de vorm van
een 7z-archief. Dat bevat voor elk bekend
bestandstype een XML-bestand. Dat ar-
chief kun je het beste uitpakken naar de-
zelfde map als de programmabestanden
(er wordt automatisch een submap ge-
maakt met de naam defs). Het programma
kan ze dan automatisch vinden. Als dat
niet lukt, moet je bij de eerste keer starten
van het programma het 'Definitions path'
invoeren in het daarvoor bestemde invoer-
vak. Het programma stelt zelf een database
samen aan de hand van de XML-bestanden
en bewaart die op dezelfde locatie als de
programmabestanden. De volgende keren
dat je het programma start, wordt het dan
razendsnel geopend.
Drie wegen naar RomeJe kunt TrID op drie manieren gebruiken.
De meest gebruikersvriendelijke is via de
grafische interface van de downloadversie.
Sleep een bestand vanuit Windows Verken-
ner naar het programmavenster van TrID
of gebruik de Browse-knop van het pro-
gramma om een bestand te selecteren.
TrID toont dan de mogelijke typen voor
het bestand in een tabel, waarbij de mo-
gelijkheden worden gesorteerd op waar-
schijnlijkheid. Dubbelklik op het grijze vlak
aan het begin van een tabelrij voor meer
informatie. Je krijgt dan een venster met
extra gegevens, met meestal ook een link
die de herkomst van het bestandstype in
meer detail beschrijft.
De tweede manier om de tool te ge-
bruiken is de commandline-versie, die
luistert naar de naam trid. De command-
line-versie is zowel voor Windows als voor
Linux beschikbaar. Ook die versie moet je
in twee delen downloaden. De database
wordt daarbij echter meteen in de vorm
van een enkel groot bestand aangeboden
– maar de indeling is wel anders dan bij
TrIDNet. Dat bestand moet je uitpakken en
in dezelfde map zetten als het uitvoerbare
bestand.
Om via de commandline een bestand te
identificeren, geef je de naam van dat
bestand als argument mee. Daarbij mag
je de gebruikelijke jokertekens * en ? ge-
bruiken, waardoor je meerdere bestan-
den ineens kunt identificeren. Vooral na
dataherstelbewerkingen kan de optie -ae
erg handig zijn op de commandline. Die
zorgt ervoor dat achter de opgegeven be-
standsnamen meteen de extensie wordt
geplakt die volgens trid het meest waar-
schijnlijk zijn.
Een derde manier om de kennis van
TrID te benutten gaat via de browser. Bij
http://mark0.net/onlinetrid.html kun je
tot bestanden met een maximale grootte
van 10 MB uploaden naar de server van
TrID-ontwikkelaar Marco Pontello. Het be-
standstype wordt dan door 'Online TrID'
geïdentificeerd.
Houd er wel rekening mee dat de
bestanden daarbij dan onversleuteld via
internet verstuurd worden. Voor gebrui-
kers van Telegram is er trouwens nog een
vierde optie, want zij kunnen ook de TrID-
Bot gebruiken en daar een bestand heen
sturen.
Verder met het bestandDat je de extensie van een bestand hebt
kunnen bepalen, wil nog niet zeggen dat
Windows er ook iets mee kan aanvangen.
Om te ontdekken met welke programma's
je het kunt openen, is een zoekactie op
internet handig. Een uitgebreide meta-
zoekmachine voor informatie over be-
standstypen vind je bijvoorbeeld op http://
file-extension.net/seeker. Als je online be-
standen identificeert via de TrID-server,
wordt daar bij de resultaten ook naar
verwezen. Gebruik je een lokaal geïnstal-
leerde versie, dan kun je eenvoudigweg de
extensie kopiëren en bij de zoekmachine
invoeren.
Voor elk bekend bestandstype vind je
hier een of meer links naar extra informatie.
Soms gaat het om achtergrondartikelen die
het bestandsformaat technisch beschrijven,
soms leidt een link naar geschikte software
om het betreffende bestandstype te ope-
nen.
Bij een extensie die voor meerdere be-
standsformaten wordt gebruikt, is het echter
vaak een kwestie van giswerk om de juiste
te vinden. (mdt) c
Literatuur
[1] Hajo Schulz, Op jacht naar verloren bestanden,
Dataherstelsoftware getest, c't 11/2018, p.108
www.ct.nl/softlink/1903128De commandline-versie biedt extra mogelijkheden en is zowel voor Windows als voor Linux beschikbaar.
129c’t 2019, Nr. 3
Praktijk | Bestandstype bepalen
130 c’t 2019, Nr. 3
rubriek | rubriek rubriek rubriek
Nieuw behangLinux-desktop pimpen met Conky
Met de desktop kun je meer doen dan
alleen maar een mooie achtergrond-
foto erin plakken. Je kunt hem ook
inrichten als systeemmonitor die je
op de hoogte houdt van de processor-
en geheugenactiviteit. Hij kan zelfs
RSS-feeds tonen van het web en een
spiekbriefje paraat houden met
terminalcommando's.
Liane M. Dubowy
De kleine systeemmonitor Conky
toont op je bureaublad hoe zwaar
de cpu en het geheugen belast
worden, of de harde schijf al vol loopt
en wat de laatste nieuwtjes zijn. De lege
ruimte op het grafische bedieningsopper
vlak dient dan als interface voor systeem
informatie en kan verder een spiekbriefje
weergeven voor half vergeten comman
do's.
Conky kan bijna alles op het bureau
blad tonen. Daar zorgen meer dan 250
ingebouwde objecten voor, samen met
de mogelijkheid om scripts uit te voe
ren. Conky toont de informatie als tekst
of maakt er een grafische weergave van
met balken of grafieken met verschil
lende kleuren en opschriften. Conky kun
je op allerlei manieren configureren en
het gebruikt nauwelijks systeembronnen.
Het enige minpunt: Conky zelf heeft geen
grafische interface. Als je het wilt gebrui
ken, moet je je diep in de configuratie
storten.
Conky Manager en Conky Wizard zijn
weliswaar twee externe projecten die
een grafische interface bieden om Conky
eenvoudiger in te richten, maar beide zijn
verouderd en worden niet meer verder
ontwikkeld. De meeste sjablonen wer
ken daarom niet meer, maar ze kunnen
eventueel dienen als uitgangspunt voor
een eigen configuratie.
InstallatieConky staat in de pakketbronnen van de
meeste Linuxdistributies in verschillende
pakketten klaar om geïnstalleerd te wor
den. In Ubuntu heb je bijvoorbeeld de
pakketten conky, conkyall, conkycli en
conkystd. Voor de voorbeelden die we
in dit artikel aanhalen, kun je het beste
voor conkyall kiezen. Hierin zijn de mees
te functies geactiveerd, waaronder de
ondersteuning voor RSS, Lua en andere
scripts.
Om te testen kun je Conky oproepen
met de standaardconfiguratie met het
commando conky in een terminal. Conky
maakt dan een standaard Conkyinstance
aan op de desktopachtergrond. Die is op
tisch weinig indrukwekkend, maar toont
wel al de belangrijkste systeeminforma
tie. Met de toetsencombinatie Ctrl+C
beëindig je deze testrun. Later kun je het
zo instellen dat Conky automatisch start
wanneer je je op het systeem aanmeldt.
Nieuwe syntaxIn de Conkyconfiguratie definieer je
onder andere de positie die de Conky
instantie op het bureaublad inneemt.
Daarnaast bepaal je het gebruikte let
tertype en grootte, en last but not least
de informatie die wordt getoond. Je kunt
complexe layouts realiseren met meerde
re Conkyinstances die gelijktijdig draaien.
131c’t 2019, Nr. 3
Praktijk | Conky systeemmonitor
Systeeminformatie, grafieken, balken, symbolen of simpelweg tekst: je kunt helemaal zelf bepalen wat Conky op het bureaublad tovert.
De standaardconfiguratie van Conky toont wel de belangrijkste informatie, maar echt gelikt ziet het er niet uit.
Als je niets anders opgeeft, leest Conky
de instellingen uit het bestand ~/.con
kyrc uit. Indien dat er nog niet is, wordt
de standaard configuratie gebruikt. Het
configuratiebestand is in twee delen
opgedeeld: het bovenste deel geeft het
venster en de weergave vorm, terwijl het
onderste deel de concrete inhoud defini
eert. De syntax voor de configuratie is met
de introductie van Conky 1.10 gewijzigd.
Daarbij zijn enkele variabelen verdwenen.
Het configuratiebestand gebruikt nu Lua
syntax.
De Conkyprojectpagina biedt welis
waar een script aan dat probeert om oude
Conkyconfiguraties om te zetten naar de
nieuwe syntax, maar bij onze tests lukte
dit helaas niet.
De Conkyinstellingen beginnen met
de uitdrukking conky.config = { en eindi
gen met };. Wat er concreet moet worden
getoond, regelt de paragraaf conky.text =
[[, gevolgd door enkele uitvoeropdrach
ten die je afsluit met ]]. Het configura
tiebestand is hierdoor in twee blokken
opgedeeld:
conky.config = {
alignment = 'bottom_right',
background = false,
...
};
conky.text = [[
${scroll 16 $nodename - $kernel}
$hr
${color grey}Uptime:$color $uptime
...
]]
Aan de slagIndien het bestand .conkyrc niet in de
homedirectory staat, gebruikt de tool
de standaardinstellingen in /etc/conky/
conky.conf. Afhankelijk van de distribu
tie, kan het bestand ook in een andere
locatie staan. Onder Arch Linux staat het
bijvoorbeeld in /usr/share/doc/conky
1.10.8_pre/conky.conf. De configuraties
die daar staan zijn bijvoorbeeld geschikt
als uitgangspunt voor je eigen Conkyset
up. Met het volgende commando kopieer
je het standaardconfiguratiebestand naar
je homedirectory:
conky -C > ~/.conkyrc
Om ervoor te zorgen dat de configuraties
van Conky met alle grafieken en scripts
niet overal in de homedirectory verspreid
opgeslagen zijn, is het beter om je eigen
map onder ~/.config aan te maken. Om
de systeemmonitor met deze instelling te
starten, roep je hem als volgt op:
conky -c ~/.config/conky/.conkyrc
Het bestand .conkyrc kun je aansluitend
met een teksteditor openen en bewerken.
Als de editor syntaxishighlighting voor
Lua ondersteunt, is dat handig om fou
ten in de configuratie te vermijden. Voor
een beter overzicht kun je de entry's in de
configuratie alfabetisch sorteren.
Optische indelingHet uiterlijk en de positie van de Conky
instance bepaal je in het bovenste ge
deelte van het configuratiebestand in
het deel tussen de accolades. Het Conky
venster rechtsboven op het bureaublad
zetten doe je bijvoorbeeld met alignment
= 'top_right'. Indien Conky linksonder te
recht moet komen, vul je bottom_left in,
en voor het midden van het scherm is het
middle_middle. Van deze basisposities uit
kun je dan Conky per pixel verschuiven:
naar boven of beneden schuif je met gap_y
=, naar rechts of links doet gap_x = dat.
Daarachter vul je in hoeveel pixels Conky
de weergave moet verschuiven. Afhanke
lijk van de basispositie zijn ook negatieve
waarden mogelijk.
Conky maakt de weergave zo groot
als je maar wilt. De minimale hoogte
en breedte worden met de opties mini-
mum_height = en minimum_width = in pixels
bepaald.
Als je met twee beeldschermen werkt,
plaatst Conky met de regel xinerama_head
= 1 het venster op de tweede monitor.
Bovendien is het handig om in te stellen
hoe vaak de weergave – en daarmee de
weergegeven informatie – moet worden
ververst. De tijdsduur stel je in secon
den in met update_interval. Dat interval
moet kleiner of groter worden ingesteld
afhankelijk van de gegevens die je Conky
op het bureaublad laat tonen. Voor een
enigszins soepele weergave van het net
werkverkeer en de draaiende processen is
1.0 een prima waarde.
Voor een transparante weergave zor
gen de volgende twee regels:
own_window_argb_visual = true,
own_window_argb_value = 0,
De waarde in de tweede regel bepaalt hoe
transparant de wallpaper is. 0 is geheel
transparant, hoe hoger de waarde, hoe
minder transparant de wallpaper is.
Afhankelijk van de distributie die je
gebruikt, kan Conky gevoelig zijn wat be
treft de vensterinstellingen die met own_
window_ beginnen. Daar moet je gewoon
een beetje mee gaan experimenteren. In
de basis configuratie flikkert de Conky
weergave ook al. Dan wil nog de optie
double_buffer = true wel eens helpen als
je dit als alleenstaande regel in het conky.
configdeel invoert.
De systeemmonitor kan al direct een
stuk mooier ogen als je een ander letter
132 c’t 2019, Nr. 3
Praktijk | Conky systeemmonitor
Niet de meest overzichtelijke configuratie, maar het ziet er redelijk mooi uit: in deze Conky instance is elk element met $offset en $voffset op de pixel nauwkeurig gepositioneerd.
type gebruikt. Het standaardlettertype
stel je in het bovenste deel van het Con
kyconfiguratiebestand in. Het lettertype
en de grootte wijzig je met de volgende
regel:
font = 'DejaVu Sans Mono:size=12',
Hier kun je alle lettertypes invoeren die
op het systeem geïnstalleerd staan. Je
geeft hier gelijk de variant en grootte
van het lettertype op, bijvoorbeeld:
'Ubuntu Mono:condensed: size=12' of
ook 'Ubuntu:light:italic: size=12'. De
Gnome tool 'Alle lettertypen' helpt je bij
de keuze. Die tool start je met gnome-font-
viewer. Hij toont een preview van de ge
installeerde fonts en hoe ze heten. Als je
bepaalde woorden in een aparte grootte
of vetgedrukt wilt tonen, moet je dat in
de het conky.textdeel van het bestand
aangeven.
Soms zijn er meerdere regels voor de
configuratie nodig. Als je een kader om
de Conkyweergave wilt plaatsen moet
je eerst draw borders = true invoeren.
Daarna werken pas de opties border width
= 3 voor het instellen van de breedte van
de kaderrand en stippled borders = 1
voor een gearceerd kader. Met border
inner margin = gevolgd door een aan
tal pixels zorg je dat de gegevens binnen
het kader op een bepaalde afstand van
de rand staan.
Welke variabelen er voor de configu
ratie beschikbaar zijn en welke opties erbij
horen, staat in de Conkywiki (zie de link
aan het eind van dit artikel). Om ervoor te
zorgen dat je later ook nog weet wat de
verschillende opties doen, is het handig
om commentaarregels in te voegen. Een
commentaarregel moet in Conky met een
– beginnen. Als een regel daarmee begint,
wordt alle informatie die er achter staat
door Conky genegeerd. Op die manier
kun je ook snel een optie uitschakelen
zonder meteen de hele regel te moeten
verwijderen.
Als je wilt dat Conky bepaalde infor
matie niet onder elkaar toont, maar achter
elkaar op dezelfde regel, dan moet je flink
aan de slag: een datum en tijdweergave
zoals in het Conkysjabloon Gotham zijn
op de pixel nauwkeurig bepaald. Als je
voor een element de opdracht ${offset
10} zet, verschuift Conky dat element met
het aangegeven aantal pixels naar rechts.
Als het getal daarbij negatief is, bijvoor
beeld 10, dan verplaatst Conky het ele
ment 10 pixels naar links. Op dezelfde
manier kan de opdracht ${voffset 10}
een element 10 pixels omlaag verschui
ven, en met een negatieve waarde gaat
het omhoog.
Desktop als infocentrumDe informatie die Conky op het bureau
blad toont, wordt vastgelegd in het
tweede deel van het configuratiebestand
conkyrc tussen conky.text = [[ en ]].
Conky kent een eindeloze hoeveelheid
variabelen die je op de desktop kunt
presenteren. Bovendien kun je deze naar
wens aanvullen met tekst en grafische
elementen.
De belangrijkste variabelen – zoals
de hostname ($nodename), de gebruikte
kernel ($kernel), het geheugengebruik
($memperc%), de cpubelasting ($cpu%) of
de mate waarin de harde schijf is gevuld
($fs_used) en de grootte van de harde
schijf ($fs_size) – zijn samen met enkele
andere variabelen al opgenomen in de
standaardconfiguratie:
conky.text = [[
${scroll 26 $nodename - $sysname
$kernel on $machine | }
$hr
${color grey}RAM Usage:$color
$mem/$memmax - $memperc% ${membar 4}
${color grey}Swap Usage:$color
$swap/$swapmax - $swapperc% ${swapbar 4}
${color grey}CPU Usage:$color $cpu%
${cpubar 4}
$hr
${color grey}File systems:
/ $color${fs_used /}/${fs_size /}
${fs_bar 6 /}
Informatie hierover en een lijst van an
dere variabelen staat in de Conkywiki (zie
de link onderaan). De optie scroll in de
tweede regel zorgt ervoor dat de regel die
tussen de accolades staat als een soort
lopende band door blijft draaien. De vol
gende regel wordt gegenereerd door $hr.
De waarden die daarmee als output
worden gegenereerd beperken zich niet
uitsluitend tot tekst. Conky kan bijvoor
beeld de cpubelasting ook weergeven als
opvulling in een balk (cpubar) of als een
uitslaande meter (cpugauge). De ontwikke
ling van de downloadsnelheid kan in een
grafiek worden getoond. Daarvoor moet
de netwerkinterface worden ingevoerd, in
dit voorbeeld is dat wlan0:
${upspeedgraph wlan0 50,298}
Indien er geen kleur voor het font is in
gesteld, worden de standaardinstellingen
van conky.config gebruikt. Zonder gewij
zigde waarden is het font wit. Als je dan
specifieke woorden grijs wilt laten weer
geven, zet je er ${color grey} voor en ga
je vervolgens met $color weer terug naar
de standaardkleur.
OpleukenAls je de tekstweergave te saai vindt, kun
je de Conkyinstance met afbeeldingen
of emoji's nog opfleuren. Een afbeelding,
bijvoorbeeld het logo van de distributie,
verschijnt met het volgende commando:
${image .config/conky/afbeelding.jpg
-p 180,30}
Als je achter -p niets invoert, wordt de
afbeelding linksboven in de hoek van
de Conkyweergave geplakt. De eerste
waarde verplaatst de afbeelding met 180
pixels naar rechts, de tweede verplaatst
hem 30 pixels omlaag. Met een beetje uit
133c’t 2019, Nr. 3
Praktijk | Conky systeemmonitor
De laatste nieuwsmeldin-gen in een oogopslag: als
je een hoop ruimte op je bureaublad overhebt, kun
je een newsfeed op je desktop tonen.
Het sjabloon Sidebar Conky toont teksten aantrekkelijk vormgegeven in het Material-design.
proberen kun je de afbeeldingen op die
manier exact neerzetten op de plek waar
je ze wilt hebben.
Als je niet van plan bent om uitge
breide ringdiagrammen te programme
ren, kun je geschikte grafieken invoegen
en de tekstweergave daarop plaatsen.
Hoe dat eruitziet, kun je zien met
een van de weinige voorbeelden 'Side
bar Conky'. Met een bijpassende achter
grondafbeelding en enkele kleine aan
passingen aan gap_x en gap_y ziet deze
Conkyinstance er al goed uit (je kunt hem
downloaden via de link onderaan op deze
pagina).
In plaats van een afbeelding is een
emoji vaak al toereikend, bijvoorbeeld
als upload of downloadindicatie. Hier
voor moet je eerst een font zoals Pizza
Dude Bullets op je systeem installeren
dat zulke emoji's bevat. In Conky toon je
bijvoorbeeld een omlaag wijzende pijl in
een cirkel met het volgende commando:
${font PizzaDude Bullets:size=18}M$font
De tekst met een afwijkend font sluit je
af door er $font achter te zetten, waarna
Conky naar het oorspronkelijke font te
rugkeert.
Sommige dingen krijg je gewoon
sneller voor elkaar met de commandline.
Dat zullen zelfs de grootste muisfanaten
toegeven. Als je echt helemaal geen zin
hebt om commando's te leren, kun je ze
ook in een spiekbriefje in Conky opslaan
en ze in een font zetten dat typisch met
code wordt geassocieerd, zoals Courier.
Op deze manier kun je het commando
om de foto's van je smartphone via adb
te downloaden even snel vinden als het
commando om de code van een tekst
bestand te wijzigen.
RSS-feedAls je met Conky de koppen uit een RSS
feed wilt downloaden, is een regel al ge
noeg:
${rss https://www.ct.nl/feed/ 15
item_titles 10}
Dit zorgt ervoor dat Conky de laatste tien
bijdragen uit de feed op het bureaublad
toont en deze lijst om de 15 minuten ac
tualiseert. Als je de naam van de RSSfeed
wilt zien, moet je nog de volgende regel
aan de Conkyconfiguratie toevoegen:
${rss https://www.ct.nl/feed/ 15
feed_title}
Nu zal in de eerste regel de titel van de
feed worden getoond. Dat kun je ook nog
uitbreiden: met item_title 1 haal je de titel
van het laatste nieuwsitem binnen, met
item_desc 1 de bijbehorende beschrijving.
Conky past de breedte van de weergave
aan de lengte van de titel aan. Indien deze
echter in de configuratie beperkt wordt
met maximum_width =, dan knipt Conky de
rest van de tekst er gewoon af. Als je een
uitgebreide nieuwsstream wilt inbouwen,
zul je een script moeten schrijven en dat
aan Conky koppelen.
Commando ontvangenAls je een functie wilt gebruiken die
Conky niet biedt, kun je deze mogelijk
toevoegen via een shellcommando of
een shellscript. Het commando exec
zorgt ervoor dat Conky een commando of
script moet uitvoeren. Als je hier nog een
'i' met een getal voor het aantal seconden
aan toevoegt (execi), herhaalt Conky het
commando met de ingevoerde interval.
Om bijvoorbeeld de aliasdefinities
die in het bestand .bash_aliases staan als
geheugensteuntje op het bureaublad te
tonen, voeg je de volgende regel toe in
de Conkyconfiguratie:
${exec cat /home/lmd/.bash_aliases}
Conky kan ook wel shell en Pythonscripts
uitvoeren, maar het meest geschikt zijn
Luascripts. Dat is omdat Conky van huis
uit Lua met imlib2 en Cairobindings on
dersteunt. Daarmee kun je zeer elegante
cirkels, lijnen, rechthoeken en andere vor
men programmeren om de systeeminfor
matie bijzonder mooi op het bureaublad
te kunnen toveren. Om een Luascript in
Conky op te nemen, moet je het volgende
in de configuratie toevoegen:
lua_load = '~/.config/conky/.script.lua',
lua_draw_hook_post = 'main',
Met de eerste regel weet Conky waar
het Luascript is, en in de tweede staat
welke functie opgeroepen moet worden.
In plaats van lua_draw_hook_post kan er
ook lua_draw_ hook_pre staan, afhanke
lijk van wanneer de functie moet worden
aangeroepen. Het resultaat van de func
tie neemt Conky dan in de beeldscherm
weergave over.
Niet voor ongeduldige zielenHet kost veel tijd om een perfecte Con
kyconfiguratie te maken. Je bent eerst
redelijk wat tijd kwijt om alle informatie
te definiëren, alle elementen op de pixel
nauwkeurig te plaatsen en dan alles ook
nog eens met mooie kleuren op een
achtergrond afbeelding af te stemmen.
Je kunt tijd besparen door kantenklare
voorbeelden als uitgangspunt te gebrui
ken en deze met enkele wijzigingen aan
je wensen aan te passen, ook al zullen ze
in veel gevallen verouderd zijn. (ddu) c
www.ct.nl/softlink/1903130
134 c’t 2019, Nr. 3
Praktijk | Desktopthema's voor Linux
KlickibuntiKlik je eigen thema's bij elkaar voor de Linux-desktop
Met Oomox Theme Designer kun je
eigen thema's samenstellen voor
de desktop van Linux op basis van
sjablonen. Dat gaat niet alleen erg
makkelijk met een paar klikken met
de muis, maar dat werkt zelfs voor
het terminalvenster en ook voor de
Spotify-client.
Tim Schürmann
Bij de meeste Linux-desktopomge-
vingen bepalen thema's hoe ven-
sters, knoppen, pictogrammen en
andere elementen van de bedienings-
interface eruitzien. Ze bepalen vooral
ook de kleuren voor vensters en knop-
pen. Oomox Theme Designer neemt een
van de standaardthema's en laat je de
onderdelen met een muisklik aanpassen.
Je kunt om te beginnen kiezen uit de
drie stijlen Arc, Numix en Materia voor
de vormgeving van knoppen, de onder-
linge afstanden en meer. Verder kun je
behalve de kleuren ook de pictogramset
wijzigen en de afronding van knoppen.
Oomox exporteert de aanpassingen uit-
eindelijk als eigen thema, dat je net als
andere thema's kunt selecteren via de
systeeminstellingen.
Lastige startAls je Arch Linux of een afgeleide daar-
van gebruikt, installeer je Oomox Theme
Designer via een geschikte PKGBUILD
uit de Arch User Repository (AUR). De
ontwikkelaars bieden via Github DEB-
pakketten voor Debian vanaf versie 9,
Ubuntu vanaf versie 17.10, Linux Mint
vanaf versie 19 en alle afgeleide dis-
tributies (zie link onderaan dit artikel).
Bij Ubuntu 18.10 was het pakket door
ontbrekende afhankelijkheden niet te
installeren. Daarbij rest alleen de optie
om de broncode of het Flatpak-pakket
te gebruiken. Het Oomox-DEB-pakket in-
stalleer je met de volgende commando's:
sudo dpkg -i oomox_1.7.0.5.deb
sudo apt install -f
Als je Fedora gebruikt, kun je Oomox uit
een Copr-repository halen:
sudo dnf copr enable tcg/themes
sudo dnf install oomox
Het daar aangeboden pakket zou eigen-
lijk ook op CentOS geïnstalleerd moeten
kunnen worden, maar met CentOS 7.5
lukte dat nog niet.
De Oomox-ontwikkelaars bieden
hun tool daarnaast aan als Flatpak-pak-
ket op Flathub. Dat kan door de meeste
grote distributies worden gebruikt. Met
de Flatpak-uitvoering konden we tijdens
het schrijven van dit artikel echter alleen
thema's maken op basis van het Numix-
thema.
Als geen van de genoemde instal-
latieopties bruikbaar is, kun je nog de
op de GitHub-site genoemde tools en
bibliotheken installeren. Daarna zet je
het programma met de volgende op-
drachten op je pc:
git clone https://github.com/themix-
project/oomox.git --recursive
cd oomox
make -f po.mk install
Programma-interfaceNa het installeren van het DEB-pakket
of als je dat met behulp van de Copr-
repository gedaan hebt, start oomox-gui
de Theme Designer. Als je echter het
broncode-archief moet gebruiken, ge-
bruik daar dan het script ./gui.sh in de
installatiedirectory voor. Het in drieën
gedeelde Oomox-hoofdvenster biedt
links enkele meegeleverde ontwerp-
sjablonen als presets. Via de zwarte
driehoeken kun je meer varianten van
de betreffende presets laten weergeven.
Kies daar een preset die je als basis wilt
gebruiken.
Na het klikken op een preset toont
het venster rechts een voorbeeld van het
thema. In het midden staan alle bijbe-
horende instellingen. Wat Oomox Theme
Designer daar laat zien, hangt af van de
gekozen 'Theme Style'. In die centrale
vervolgkeuzelijst kies je om te beginnen
een thema waarmee de basis instellingen
van de gekozen preset worden aange-
past. Welke desktopomgevingen later
met het thema overweg zullen kunnen,
wordt onder de keuzelijst vermeld.
135c’t 2019, Nr. 3
Praktijk | Desktopthema's voor Linux
De client voor muziekdienst Spotify is standaard nogal somber. Met de instellingen helemaal onderin het Oomox-venster kun je dit wat opfleuren.
De beschikbare instellingen zijn groten-
deels vanzelfsprekend. Background wij-
zigt bijvoorbeeld de achtergrondkleur
van alle vensters. Weet je niet zeker wat
er wordt bedoeld, dan pas je eenvou-
digweg de instelling aan en kijk je wat
er verandert in de voorbeeldweergave
rechts.
De kleuren kun je daarbij dan hand-
matig opgeven met behulp van hexa-
decimale waarden. Maar je kunt ook
makkelijker in het kleurvak klikken om
ze via een grafische interface te selec-
teren. Als je bovendien de kleur van de
terminal wilt wijzigen, kies je bij 'Theme
options' in de sectie Terminal het menu-
item Basic. Via de optie Manual kun je
dan vervolgens alle mogelijke kleuren
aanpassen, en niet alleen de achter- en
voorgrondkleur.
Thema's klikkenDe wijzigingen moet je zelf expliciet
bewaren met de tweede knop van links
('Save Theme') op de werkbalk van het
hoofdvenster. Als je de gekozen preset
niet wilt overschrijven, kun je met de
knop helemaal links een kopie maken.
Voeg een schuine streep in de naam toe
om je presets handig te groeperen. De
nieuwe preset ct/dark komt dan te staan
bij ct/light.
Heb je een thema naar hartenlust
aangepast, dan exporteer je het via het
'Export theme'. De mogelijke exportop-
ties hangen af van de geselecteerde
'Theme style' en de gebruikte deskto-
pomgeving. Accepteer bij twijfel ge-
woon de standaardinstellingen. Terwijl
Oomox Theme Designer het nieuwe
thema genereert, wijst een tekstvenster
op mogelijke problemen en met name
ontbrekende tools. Ontbreekt er iets,
dan installeer je die tools alsnog via de
pakketmanager en start je het exporte-
ren vervolgens opnieuw.
Als je ook de knoppen hebt aange-
past, moet je die afzonderlijk exporteren
via 'Export icons'. Het thema belandt ver-
volgens in een aparte subdirectory van
~/.themes/, de knoppen ook, maar dan
in ~/.icons. Heb je ook de kleuren van
de terminal gewijzigd, dan is tot slot
nog een klik nodig op 'Export terminal'.
Oomox toont dan een tekst die je hand-
matig in het bestand ~/.Xresources moet
plakken.
Vervolgens moet je nog het nieuwe
thema en de knoppen via de systeem-
instellingen van je desktop activeren.
Bij Xfce doe je dat bijvoorbeeld in het
venster Vormgeving. Bij Gnome moet
je voor wisselen van een thema daar de
tool Gnome Tweaks (Afstelhulp) voor ge-
bruiken, dat bij de meeste distributies in
hun repository zit. De naam van het vol-
tooide thema is daarbij een samenstel-
ling van oomox- en het laatste deel van
de presetnaam.
Bij niet-overlappende window-ma-
nagers kunnen problemen optreden met
schaduwen en randen. Op Github staat
daar een workaround voor (zie de link
onderaan).
De standaard nogal karige en som-
bere Spotify-client kun je met Oomox
Theme Designer ook een fris kleurtje
geven. Daarvoor ga je in de middelste
kolom naar beneden naar Spotify en
pas je de kleuren aan. Vervolgens open
je rechtsboven in de vensterhoek het
menu (onder de knop met de lijntjes)
en kies je 'Apply Spotify Theme'. Bij de
instellingen die dan verschijnen bepaal
je welk lettertype de Spotify-client moet
gebruiken. Het pad in het onderste in-
voerveld verwijst naar de subdirectory
Apps in de directory van de Spotify-client.
Normaliter hoef je dat niet aan te passen
De rechten die Oomox voor het aanpas-
sen van de kleuren nodig heeft, vraagt
het nadat je klikt op Apply. Na het her-
starten van de Spotify-client moet die de
gewenste kleuren hebben.
Oomox bewaart de oorspronkelijke
instellingen in ~/.config/oomox/spotify_
backup. Om die te herstellen, kopieer je
de back-up eenvoudigweg terug naar
de map /user/share/spotify/Apps. Als de
Spotify-client opnieuw wordt geïnstal-
leerd, krijgt die ook weer de oorspron-
kelijke kleuren.
Als je Oomox Theme Designer via
het DEB-pakket, de AUR of uit de Copr-
repository hebt geïnstalleerd, krijg je er
meteen een commandline-versie bij. Die
oomox-cli geheten tool is vooral handig
om snel een thema te genereren zonder
daarvoor de programma-interface te
hoeven openen. Geef daarbij het pad op
van een door Oomox bewaarde preset.
Zelfgemaakte presets komen standaard
in de directory ~/.config/oomox/colors te
staan, de meegeleverde in ~/opt/oomox/
colors. Daarin zitten subdirectory's in die
overeenkomen met de namen van de
presets. De preset ct/dark komt dan dus
in de directory ~/.config/oomox/ colors/
ct/dark. Dat pad kun je meegeven aan
oomox-cli:
oomox-cli ~/.config/oomox/colors/ct/dark
Bij het genereren van een thema kun je
nog extra parameters toevoegen. Ge-
bruik bijvoorbeeld een vermelding ach-
ter -o om die als naam aan het thema
toe te wijzen. Met -m geef je aan voor
welke GTK+3-versie het thema gemaakt
moet worden. Geef daar all op voor
alles, gtk3 voor versie 3.18 en gtk320 voor
versies vanaf 3.20. Met -d true worden
de GTK+2-onderdelen van het thema
boven dien ook op dubbele grootte ge-
maakt voor monitoren met een hoge
pixeldichtheid. (mdt) c
www.ct.nl/softlinks/1903134
136 c’t 2019, Nr. 3
Achtergrond | Linux-firewall
Momenteel wordt iptables in alle
stilte en grotendeels ongemerkt
vervangen door nftables. Je zult
echter pas van de regelset- en
prestatievoordelen profiteren als
je je er wat in verdiept.
Thorsten Leemhuis
Afgelopen zomer baarde een
nieuwe en daarbij ook veelbe
lovende firewall oplossing met de
naam bpfilter veel opzien [1]. Hoewel dat
vooralsnog niet meer is dan een concept
Stille overgangDe nieuwe firewalltechniek nftables voor Linux start eindelijk door
studie, zagen sommige gebruikers het als
een reden om nftables, de opvolger van
iptables, af te schrijven. En dat terwijl die
firewalltechniek voor Linux, die al sinds
2013 in de startblokken staat, nu eindelijk
vaste voet aan de grond begint te krijgen:
nftables beheerst inmiddels alle wezen
lijke technieken die zitten in iptables en
diens afgeleiden ipv6tables, arptables en
ebtables.
Daarom zijn de eerste Linuxdistri
buties aan het overstappen van die zo
geheten xtablesfirewalltechnieken naar
de modernere en flexibelere nftables.
Andere distributies hebben inmiddels
ook aangekondigd dat spoedig te zullen
doen.
Oud en nieuwHet mooie is dat veel gebruikers zich niet
hoeven te bekommeren om een overstap
naar de nieuwe techniek. Door de compa
tibiliteitstools neemt nftables ongemerkt
de taken van xtables over, terwijl je de
oude bekende commando's van xtables
kunt blijven gebruiken voor de configura
tie. Dat kan dankzij ip tables 1.8, de verza
meling tools die vorige zomer verscheen
en die de firewall op een slimme manier
onder een nieuwe naam inricht.
137c’t 2019, Nr. 3
Achtergrond | Linux-firewall
Bij de begrippen rondom de firewalltech
nieken van Linux is de terminologie niet
altijd eenduidig. Met name de term ip
tables is problematisch omdat die vier
dingen representeert. Meestal wordt
daarmee de gelijknamige commandline
tool aangeduid, die sinds afgelopen
zomer echter een andere naam heeft
gekregen. De tool gebruikt de techniek
van de Linuxkernel, die eveneens ip
tables heet maar bij de xtables familie
hoort. Ook de regels van de firewall, die
de tool in de kernel laadt, worden zo nu
en dan ip tables genoemd. Bovendien is
het ook nog de naam van de verzame
ling functies die in de tool zitten. Om de
verwarring compleet te maken, zitten
er tools in de verzameling waarbij het
commando iptables de firewall niet met
xtables, maar met nftables inricht. Voor
die modernere firewalltechniek van de
Linuxkernel bestaat ook een native con
figuratietool. Die zit in een zipbestand
met de naam nftables, maar heet nft.
Naamsverwarring
De structuur van nftablesNftables zorgt ervoor dat het beheer van de firewallregels uniform is voor alle netwerkniveaus (MAC-laag, ARP, IP). Zoals van iptables gewend kun je nftables via een script aansturen. Met het commando nft kun je de configuratie bovendien in z'n geheel uit een bestand laden of de regels in een shell interactief finetunen.
shell bestand shell interactieve modus
iptables-nft
registreert hooks netwerkpakketten
bytecode
userspace
kernel
nftables library'sbytecode compiler
nftablesvirtuele machine
netfilter-infrastructuur
nft-commando
Het commando iptables, dat de IPv4spe
cifieke iptables van de kernel implemen
teert, heet daardoor nu iptables-legacy.
De nieuwe versie daarvan heet iptables-
nft. Die werkt met dezelfde parameters
als de legacyversie, maar werkt intern
met nftables.
Dat houdt het duidelijker welke tool
welke kerneltechniek gebruikt. Het be
langrijkste doel is echter iets anders: de
naam iptables is daardoor weer beschik
baar gekomen. De distributies kunnen
daarom een symbolische link inrichten
die, ongeacht welk systeem wordt ge
bruikt, adequaat reageert als er een com
mando wordt ingevoerd.
Die links worden over het algemeen
beheerd door alternatives, waarmee je
snel van de xtables naar de nftables
tools kunt omschakelen. De uitvoer van
iptables --options verraadt snel of een
systeem de legacy of nfttools gebruikt.
Als je van de ene versie overstapt naar
de andere, kun je je systeem het beste
opnieuw opstarten. Daarmee voorkom je
dat beide technieken met elkaar in con
flict komen.
VooruitgangAls je nftablestools gebruikt, profiteer je
ook nog van een voordeel van de nieuwe
firewalltechniek: als je een nieuwe regel
wilt invoeren (iptables -A …), heb je
dat binnen luttele seconden voor elkaar
omdat je de regel gewoon kunt toevoe
gen. Met de xtablestools doe je daar
langer over omdat daarbij alle regels uit
de kernel uitgelezen worden, de regelset
dan wordt aangepast en vervolgens het
geheel weer naar de kernel wordt ge
stuurd. Bij complexere regelsets kan dat
best even duren. De tool xtables-monitor,
die in iptables 1.8 is geïntroduceerd en
de wijzigingen aan de regelset bewaakt,
werkt bovendien niet met xtables – ook al
klinkt dat wat tegenstrijdig, zie het kader
hieronder.
De eigen configuratietool nft van
nftables biedt nog verdere voordelen.
Hij werkt met een andere syntaxis, die
voor instappers eenvoudiger in het ge
bruik moet zijn. Die lijkt op pf, dat voor
OpenBSD is ontwikkeld en in de Unix
wereld als toonaangevende firewall
oplossing bekendstaat. Met de native
nftables tool is het bijvoorbeeld makke
lijk mogelijk om regels te maken die zowel
voor IPv4 als voor IPv6 gelden. Bovendien
heb je niet meer twee aparte regels nodig
om een log bij te houden (LOG) of pakket
ten geaccepteerd (ACCEPT) of verworpen
worden (DROP).
Regels kun je ook makkelijker en snel
ler aanpassen. Anders dan bij iptables zijn
er bij het inrichten en bijwerken van fil
terregels ook geen raceconditions, waar
ongewenste pakketten mogelijk door de
mazen zouden kunnen glippen. Details
over de syntaxis en over deze en andere
voordelen van nftables/nft hebben we in
een eerder c'tartikel besproken [2].
FunctiegatenEnkele firewalltechnieken die iptables-
nft beheerst, kan nft echter nog niet
138 c’t 2019, Nr. 3
Achtergrond | Linux-firewall
Bij sommige distributies configureert het aloude iptables-commando nu in alle stilte en ongemerkt de moderne firewalltechniek die nftables heet.
configureren. Die functies zijn eigenlijk
alleen relevant bij complexe firewallset
ups. Dat gebrek aan functionaliteit komt
overigens niet door de tool, maar door
de kernel: sommige functies die iptables
wel heeft, ontbreken in nftables. Dat komt
doordat iptables-nft ook xtablesfuncties
kan gebruiken. Zo beschikt nftables mo
menteel niet over SYNPROXY, dat helpt
bij het beschermen tegen SYNfloods en
vergelijkbare DDoSaanvallen.
Stukje bij beetje zijn de ontwikkelaars
bezig de laatste veiligheidsgaten te dich
ten. Sinds de actuele Linuxkernel 4.20
ondersteunt nftables bijvoorbeeld ipsec
policy matching. Welke functies nog niet
ondersteund worden, kun je lezen in de
wiki van het Netfilterproject (zie de link
rechts onderaan op deze pagina). State
ments zoals 'consider native interface'
betekenen dat de ontwikkelaars overwe
gen om de ondersteuning in nftables te
introduceren.
Als je geen van de ontbrekende func
ties gebruikt, kun je de iptablesinstallatie
overzetten naar de syntaxis van nft en op
die manier meer profiteren van de voor
delen van de nieuwe techniek. Dat is met
name voordelig voor complexe firewalls
met honderden regels: juist in die geval
len kunnen de modernere datastructuren
van nftables (sets, maps, verdictmaps …)
de regels veelal vereenvoudigen en daar
mee eenvoudiger vormgeven.
Bij de overstap van de syntaxis van
iptables naar die van nftables helpt de
tool iptables-translate , die iptables
vertaalt naar de syntaxis van nftables.
Meer informatie over het gebruik van die
tool staat op de Netfilterwiki (zie de link
rechtsonder). Daar staan ook diverse tips
over manieren om de regelset aanslui
tend ook te optimaliseren. Pas dan komen
de moderne datastructuren volledig tot
hun recht en zullen ze de prestaties ver
beteren. De tijd die je kwijt bent met het
overstappen op de nftsyntaxis haal je er
dan snel weer uit.
Aanloopproblemen
Fedora, OpenSuse en enkele andere dis
tributies staan op het punt om de fire
wall standaard met nftsyntaxis te con
figureren. Dat komt met name door de
tool firewalld, die de firewall sinds versie
0.6.0 standaard inricht met een backend
voor nftables. Versie 29 van Fedora, die in
oktober is verschenen, had die insteek al
moeten ondersteunen en ook OpenSuse
Tumbleweed was van plan over te stap
pen. Beide distributies hebben zich ech
ter verslikt in een eigenaardigheid bij de
Network Address Translation (NAT), waar
door dockercontainers en virtuele machi
nes geen verbinding konden maken met
internet. De distributies hebben de over
stap daarom uitgesteld om dat probleem
eerst te verhelpen.
Ironisch genoeg treedt dat probleem
op in een vlak waar nftables juist proble
men zou kunnen verhelpen. Met name
spaces kunnen firewalltools, libvrt, doc
ker et cetera telkens eigen tabellen in de
regelset onderhouden. Die software kan
daar de aspecten ongestoord en apart
van andere programma's configureren
zonder dat ze daar problemen van onder
vinden. Op die manier zitten de program
ma's elkaar niet meer in de weg, zoals dat
bij xtables nog wel eens het geval is.
Overstapfase
Het is gebruikelijk dat er bij de introductie
van een nieuwe techniek problemen zijn.
Maar dergelijke tegenslagen veranderen
uiteindelijk niets: nftables gaat dan wel
langzaam van start, maar zet zich zeker
door. Sinds kort hoort het bovendien bij
de functies die door de RedHatsupport
van Red Hat Enterprise Linux (RHEL) 7
wordt ondersteund. RHEL 8, dat zich mo
menteel in de bètafase bevindt, gebruikt
nftables zelfs al standaard. Ook Debian
10, dat nog voor de zomer verwacht
wordt, zou naar verluidt van huis uit nf
tables gebruiken. Bij tests van Debian is
dat al het geval.
De ontwikkelaars van het Netfilter
project hebben er vijf jaar over gedaan
om nftables van alle essentiële functies
te voorzien en om ervoor te zorgen dat
het van zijn rudimentaire begin klaar
gestoomd werd voor het dagelijkse ge
bruik. Daarmee is het voorbereid om de
taken van iptables over te nemen, dat
door hetzelfde project beheerd wordt.
Verantwoordelijkheden
Het is nog compleet onduidelijk of het
onlangs voorgestelde bpfilter ooit een
succes wordt. Die insteek is onafhankelijk
van Netfilter.org ontstaan en heeft veel
aandacht getrokken, hoewel het tot nu
toe alleen nog maar een conceptstudie is.
Er staat nog veel finetuning op het pro
gramma, die nu eigenlijk pas opgestart
gaat worden.
Gebruikers zullen er niet om malen
of en wanneer dat beschikbaar zal zijn:
bpfilter zou tenslotte alleen de kernel
interne infrastructuur vervangen door
een oplossing die werkt op basis van het
enhanced Berkeley Packet Filter (eBPF/
BPF). Die zou dan het zware werk in de
kernel op zich nemen.
De interfaces naar de userspace moe
ten daarbij onveranderd blijven, zodat
bestaande firewalltools als iptables en
nft gewoon blijven werken. Gebruikers
zouden van die andere techniek verder
nauwelijks iets moeten merken, net als
bij de overstap van iptables naar nftables,
die zich momenteel grotendeels onge
merkt voltrekt. (ddu) c
Literatuur
[1] Thorsten Leemhuis, Flexibeler filteren, nieuwe
firewalltechniek met elementen van micro
kernels, c’t 9/2018, p.17
[2] Carsten Strotmann, Slimmer filteren, Linux
pakketfilter nftables: theorie en praktijk,
c't 11/2015, p.138
www.ct.nl/softlink/1903136
Je kunt je server snel nieuwe
mogelijkheden geven met
docker containers. Maar als je
niet alle diensten wilt docke-
ren, kun je een kant-en-klare
container image gebruiken voor
een Nginx-reverse-proxy en
het automatisch verkrijgen van
certificaten bij Let's Encrypt. We
laten zien hoe je die twee dingen
zo instelt dat je er amper nog
werk aan hebt.
Pina Merkert
Afb
ee
ldin
g:
Alb
ert
Hu
lm
Docker is leuk. De containerimages
nemen je best wat werk uit han-
den en maken het mogelijk om
veel sneller nieuwe webdiensten uit te
proberen – en die ook net zo snel en
zonder achterblijvende restanten weer te
verwijderen. Als je tegenwoordig een root-
of een V-server hebt, wil je eigenlijk niet
zonder. Maar vaak draaien op die server
nog talrijke andere diensten uit een tijd
van voor docker. Die zijn toen zorgvuldig
handmatig geconfigureerd en jarenlang
onderhouden. Al die diensten zijn in een
container te zetten, maar daar moet je dan
eigen images voor maken. Dat kan voor
een enkele dienst al meerdere uren werk
gaan betekenen.
Je eigen server kun je meestal dan
ook niet in een slag dockeren, zelfs niet
als je daar het hele weekend voor inruimt.
Docker is echter snel geïnstalleerd en de
eerste container draait al na een paar mi-
nuten [1]. Die container komt echter niet
aan poort 80 of 443 omdat die twee nog
door een web server gebruikt worden, bij-
voorbeeld Nginx. Nginx levert nog andere
diensten die niet in een container draaien.
De bestaande container met Nginx-proxy
en Let's-Encrypt-automatisering [2] kan
de handmatig geïnstalleerde Nginx niet
vervangen omdat dat alle diensten buiten
de containers zou deactiveren. Je kunt dan
Nginx als reverse-proxy gaan gebruiken en
een ACME-client voor Let's Encrypt instal-
leren. De reverse-proxy neemt alle requests
van buitenaf voor zijn rekening en verdeelt
die over de andere web- of CGI-servers.
Nginx, de sleutelmeesterEen webserver moet tegenwoordig met ie-
dere websitebezoeker een TLS-verbinding
Vrij latenLet's Encrypt en Nginx voor iedereen die niet alles dockert
139c’t 2019, Nr. 3
Praktijk | Nginx-proxy met Let's Encrypt
onderhandelen. Als er op dezelfde server
echter verschillende webdiensten draaien,
is het niet nodig dat die diensten versleu-
teld met de proxy communiceren. Het vol-
staat daarom dat een als reverse-proxy ge-
configureerde Nginx alle SSL-verbindingen
ontvangt en onversleuteld doorstuurt naar
de gewenste diensten. Hij is de centrale
plek voor certificaten en kan zich bezig
houden met de requests waarmee Let's
Encrypt de domeinen valideert.
Elke dienst gebruikt meestal een eigen
domeinnaam of subdomein op de server.
Bij Nginx configureer je de virtuele hosts
(VHost) met server{}-blokken die requests
met server_name subdomein.mijn-domein.
nl; de juiste configuratie toekennen. In de
server{}-blokken definiëren location{}-
blokken wat er met de opgevraagde URL
moet gebeuren: uit welke directory de
bestanden rechtstreeks geleverd moeten
worden, of de request naar een CPI- of een
WSGI-server doorgestuurd moet worden
en of via proxy-pass een andere server zich
om de request moet bekommeren.
De requests waarmee Let's Encrypt
met een HTTP-challenge de domeinen va-
lideert, roepen een erg cryptisch genoemd
bestand met een token op dat in het pad
/.wellknown/acme-challenge/ staat. Ngnix
moet dergelijke requests niet doorsturen,
maar meteen het door de ACME-client ge-
leverde bestand terugsturen. Zoek daar-
om een plek op de server (bijvoorbeeld
/var/www/letsencrypt-challenges/) waar
de ACME-client het bestand neer mag
zetten en schrijf daar een location{}-blok
voor:
location /.well-known/acme-challenge {
root /var/www/letsencrypt-challenges;
}
Omdat dit blok voor alle VHosts hetzelfde
is, scheelt het aardig wat typewerk als je
die drie regels in een nieuw bestand met
de naam /etc/nginx/letsencrypt-webroot
zet. Dat kun je daarna namelijk makkelijk
met de volgende regel aan alle server{}-
blokken koppelen:
include letsencrypt-webroot;
Als je location{}-blokken gebruikt die met
regex matchen (~ of ~* achter location),
kijkt Nginx daar eerst naar, ook als ze in de
configuratie helemaal onderaan staan. Bij
die blokken moet je er dus op letten dat
je niet naar het tokenbestand in het url-
pad /.wellknown/acme-challenge/ matcht
(bijvoorbeeld niet location ~ (.*) {} ge-
bruiken). In geval van twijfel bouw je het
blok met location ~ \/.well-known\/acme-
challenge\/(.*) { zelf om naar een regex.
Voor het valideren van een domein speelt
het verder geen rol of dat via HTTP of
HTTPS gebeurt. Het heeft dan ook geen
nut om include letsencrypt-webroot;
zowel in het server{}-blok te zetten voor
HTTP (listen 80; listen [::]:80;) als in
dat voor HTTPS (listen 443 ssl; listen
[::]:443 ssl;).
acme.sh, de certificaat-
automaat
De op die manier uitgebreide configuratie
volstaat om de validatierequests van Let's
Encrypt te beantwoorden. Daarom kan
de ACME-client nu certificaten bij Let's
Encrypt gaan aanvragen. Uit meerdere
geschikte ACME-clients viel onze keuze
op acme.sh [3], dat als shell-script op alle
Linux-servers draait en alles kan wat ACME
ondersteunt.
Het script acme.sh ondersteunt zowel
ACME 1.0 als de nieuwe versie 2.0 [4], en
haalt indien gewenst signatures op voor
zelf gemaakte CSR's (Certificate Signing
Request). Het vraagt zelfs wildcard-certi-
ficaten aan, als je via DNS kunt valideren.
Ons voorbeeld gebruikt met de geïnte-
greerde cron-job en eenvoudige domein-
validering via HTTP-challenge alleen de
basis-features.
Je installeert acme.sh makkelijk met git
clone in de home-directory:
git clone https://github.com/
Neilpang/acme.sh.git
cd ./acme.sh
sudo ./acme.sh --install
Het commando met --install verandert
niets aan het shell-script. Dat heeft git al
kant-en-klaar gedownload. Het stelt echter
een cron-job in die automatisch al na twee
maanden de opgevraagde certificaten ver-
lengt – certificaten van Let's Encrypt zijn
maar drie maanden geldig. De account-
sleutel en de lijst van aangevraagde certi-
ficaten belanden beide in ~/.acme.sh/.
Het aanvragen van certificaten gaat
daarna heel eenvoudig met ./acme.
sh --issue. Achter de optie -d geef je
een domeinnaam op. De eerste dient
als naam voor het certificaat. Als je de
optie -d meerdere keren met verschil-
lende domeinnamen gebruikt, valideert
Let's Encrypt ze allemaal en worden ze in
Subject AlternativeName in het certificaat
geschreven. Het certificaat geldt dan voor
alle opgegeven domeinen.
Als je wilt, kun je de standaard sleutel-
lengte van 2048 nog verhogen met de
optie --keylength 4096. Dat levert voor
de server iets meer rekenbelasting op bij
het opbouwen van een verbinding, maar
veel beveiligingsexperts adviseren om
RSA-sleutels van slechts 2048 bit niet te
gebruiken.
Belangrijk is de optie -w, die de web-
root-directory voor het token-bestand aan-
geeft. Dat is door de Nginx-configuratie
ingesteld op /var/www/lets encrypt-chal-
lenges/. Het script acme.sh zet de tokens
dan in die directory en Nginx levert ze aan
de valideringsserver van Let's Encrypt.
Het aanvragen van een certificaat voor
het domein titans-rollenspel.nl ziet er
dan bijvoorbeeld zo uit:
sudo ./acme.sh --issue
-d titans-rollenspel.nl
-d www.titans-rollenspel.nl
--keylength 4096
-w /var/www/letsencrypt-challenges/
--key-file /etc/certs/
titans-rollenspel.nl/key.pem
--cert-file /etc/certs/
titans-rollenspel.nl/cert.pem
--fullchain-file /etc/certs/
titans-rollenspel.nl/fullchain.pem
--reloadcmd "systemctl reload
nginx.service"
Als je een certificaat liever eerst op-
haalt (met verificatie) en daarna instal-
leert, kun je hetzelfde ook met twee
commando's doen:
sudo ./acme.sh --issue
-d titans-rollenspel.nl
-d www.titans-rollenspel.nl
--keylength 4096
-w /var/www/letsencrypt-challenges/
sudo ./acme.sh
--install-cert -d
titans-rollenspel.nl
--key-file /etc/certs/
titans-rollenspel.nl/key.pem
--cert-file /etc/certs/
titans-rollenspel.nl/cert.pem
--fullchain-file /etc/certs/
titans-rollenspel.nl/fullchain.pem
--reloadcmd "systemctl reload
nginx.service"
Certificaten installeren
140 c’t 2019, Nr. 3
Praktijk | Nginx-proxy met Let's Encrypt
Bestel ze snel op:
www.fnl.nl/ctabo
UITGAVE(N)GEMIST?
Daarnaast heeft acme.sh nog wat handige
functies die het omgaan met certificaten
bijzonder eenvoudig maken. Met de opties
--key-file, --cert-file en --fullchain-file
kopieert acme.sh de aangemaakte cer-
tificaten naar de opgegeven paden. We
hebben bijvoorbeeld voor elke VHost een
subdirectory in /etc/certs/ aangemaakt
en de .pem-bestanden met deze drie op-
ties daar vervolgens rechtstreeks naartoe
gekopieerd.
Om ervoor te zorgen dat Nginx bij een
certificaatwisseling ook meteen de nieuwe
certificaten levert, voeg je telkens de optie
--reloadcmd "systemctl reload nginx.ser-
vice" toe. Dat zorgt niet alleen voor een
reload van de webserver na het aanvragen
van een nieuw certificaat, maar voert de
reload ook uit bij een certificaatswisseling
door de cron-job. Omdat acme.sh met
root-rechten draait, kan het script ook de
webserver herladen.
Sleuteloverdracht
Om ervoor te zorgen dat Nginx de nieuw
verkregen certificaten van Let's Encrypt
ook gebruikt, geef je dat aan in het des-
betreffende server{}-blok voor HTTPS (de
VHost- configuratie voor poort 443):
ssl_certificate /etc/certs/
titans-rollenspel.nl/fullchain.pem;
ssl_certificate_key /etc/certs/
titans-rollenspel.nl/key.pem;
Als je wilt, meld je gebruikers ook meteen
nog via HSTS [5] dat je website de komen-
de zes maanden via HTTPS bereikbaar zal
zijn:
add_header Strict-Transport-Security
max-age=15768000;
De rest van de configuratie komt overeen
met een verder normale Nginx-configuratie
voor een webserver met SSL [6]. Geef in elk
geval in je configuratie aan met ssl_pre-
fer_server_ciphers on; dat versleutelings-
en sleutelonderhandelings algoritmes (cip-
hers) op de server voorrang hebben boven
die van de clients en kijk regelmatig naar
de lijst van algoritmes om afscheid te
nemen van onveilige methoden – zie de
link onderaan dit artikel.
Met de hier voorgestelde combinatie
van Nginx en acme.sh kun je al met al dus
vrij makkelijk certificaten ophalen voor je
diensten, of die nu in dockercontainers
draaien of rechtstreeks op de server. De
door acme.sh automatisch ingestelde
cron-job zorgt ervoor dat je aflopende
certificaten niet handmatig hoeft te ver-
nieuwen.
Als je het jammer vindt dat je bij deze
set-up handmatig wat meer moet doen
dan bij een pure dockerset-up [2], dan
kun je alle diensten een voor een in alle
rust ombouwen en vervolgens overgaan
op containers. Er is echter niets op tegen
om de reverse-proxy gewoon te blijven
gebruiken. (nkr) c
Literatuur
[1] Merlin Schumacher, Docker met Linux in de prak-
tijk, De kracht van containers, c't 10/2017, p.112
[2] Peter Siering, Vrachtbrieffabriek, Docker-contai-
ners automatisch van certificaten voorzien,
c't 4/2018, p.112
[3] Pina Merkert, *.acme.sh, Met het script acme.sh
maak je wildcard-certificaten van Let's Encrypt,
c't 4/2018, p.110
[4] Pina Merkert, Universele standaard, ACME
2.0-protocol voor automatische SSL/TLS-certifi-
caten, c't 4/2018, p.118
[5] Jürgen Schmidt, SSL voor gevorderden, Versleu-
teling met HSTS en pinning beveiligen,
c't 3/2016, p.136
[6] Johannes Merkert, HTTPS zonder stress, HTTPS
op je eigen webserver inrichten met Let's En-
crypt, c't 3/2016, p.133
www.ct.nl/softlink/1903139
Praktijk | Nginx-proxy met Let's Encrypt
Hotline
Accu-indicator van bluetooth-koptelefoons
?Volgens jullie test van voordelige
bluetooth-koptelefoons (zie nummer
c't 11/2018 op pagina 62) zou bij een JBL
T450BT die via bluetooth is aangesloten
op een Android-smartphone de resterende
accuduur dan worden weergegeven bij
de bluetoothinstellingen. Op mijn Lenovo
Moto G5 met Android 7.0 zie ik dat echter
niet, ook niet als ik bij de instellingen kijk.
Doe ik iets fout?
ßWe hebben de functie op verschillende
Android-smartphones getest, en ook
met verschillende Android-versies. Wat
we ten tijde van de test echter nog niet
wisten is dat de weergave van de accuduur
standaard eigenlijk pas vanaf Android 8.1
in het systeem zit. Wel hebben diverse
smartphonefabrikanten zoals Samsung,
OnePlus en LG de functie al aan eerdere
versies van hun gemodificeerde Android
toegevoegd.
In het geval van een Moto G5 kun je
waarschijnlijk weinig anders doen dan af-
wachten of er een update naar Android 8.1
komt.
Virtualisatie loopt niet lekker
?Op mijn Windows 10-pc lukt het niet om
VirtualBox of VMware Player aan de praat
te krijgen. Beide virtualisatieprogramma's
weigeren een virtuele machine te starten. De
foutmelding van VirtualBox zegt dat de cpu
geen VT-x ondersteunt, maar dat klopt niet:
in het BIOS is de virtualisatie ingeschakeld
en Hyper-V werkt helemaal prima, alleen
biedt het programma bepaalde functies die
ik wil gebruiken niet. Is er iets wat ik daar
aan kan doen?
ßOm een virtualisatieprogramma van
een andere producent dan Microsoft te
kunnen ge bruiken, moet je het Windows-
eigen Hyper-V eerst uitschakelen. Open
daarvoor Instellingen en ga daar naar de
pagina Apps. Klik met de rechtermuisknop
op 'Apps en onderdelen' en daarna rechts
in het scherm op 'Programma's en functies'.
Klik dan op de optie 'Windows-onderdelen
in- of uitschakelen'. Ga in de lijst naar
Hyper-V en verwijder vervolgens het vinkje
in het bijbehorende selectievakje. Bevestig
je keuze met OK en dan Windows zal willen
herstarten.
Als de virtualisatieprogramma's dan
nog steeds niet willen starten, kan ook nog
Windows Defender roet in het eten gooien.
Die gebruikt sinds kort ook virtualisatie-
functies en blokkeert daarmee andere pro-
gramma's. Om dat te wijzigen, open je het
'Windows Defender-beveiligingscentrum'
via het startmenu of door op het Defender-
pictogram in het taakvak te klikken. Ga dan
naar Apparaatbeveiliging en klik op Kern-
isolatiedetails. Zet daar de schakelaar voor
Geheugenintegriteit uit en start Windows
opnieuw op.
Wachtwoorden in Firefox
?Firefox slaat mijn wachtwoorden voor
websites al jaren op en ik ben daar
inmiddels zo gewend aan geraakt dat ik niet
meer zonder wil. Alleen werkt het niet meer.
Hoe komt dat?
ßBij Firefox is het alleen mogelijk om
wachtwoorden in normale vensters
op te slaan, maar niet in 'privé'-vensters.
Indien het bij geen enkele website lukt om
wachtwoorden op te slaan, opent Firefox
waarschijnlijk alle vensters automatisch in de
privé-modus. Dat kun je bij de Opties onder
'Privacy & beveiliging' aanpassen door de
optie Geschiedenis te zetten op 'Aangepaste
instellingen gebruiken voor geschiedenis' en
dan het vinkje te verwijderen voor 'Altijd de
privénavigatiemodus gebruiken'.
Wees je echter bewust dat het opslaan
van wachtwoorden in de browser bepaalde
risico's met zich meebrengt. Dat geldt overi-
gens voor alle browsers.
Let's Encrypt hapert
?Sinds kort hapert mijn Let's-Encrypt-
client. Die client meldt dat de Let's-
Encrypt-server de webserver voor het
verifiëren van het domein niet kan bereiken.
Ik heb zelf niets aan de configuratie gewijzigd.
De client werkte voorheen altijd prima en
de HTTPS-serverpoort 443 staat continu
geopend.
ßOm ervoor te zorgen dat het verifiëren
van het domein goed werkt, moet je
ook de normale HTTP-poort 80 open hebben
staan, want de Let's-Encrypt-server gebruikt
die (ook) voor het aanroepen van een test-url.
Het verkrijgen van certificaten zou dan weer
moeten werken.
Watchtower in Synology- docker herstellen
?Na een update van de docker-app op
mijn Synology-NAS naar versie 17.05.0-
0394 lijkt het erop dat de Watchtower-
container, die andere containers bijwerkt, is
verdwenen. Hoe krijg ik Watchtower weer
aan de praat?
ßDe nieuwe docker-app gooit Watchtower
gelukkig niet helemaal van het systeem
af, maar schakelt het na die update alleen
maar uit. Het enige wat je dan hoeft te
doen, is in het dockermenu bij Watchtower
de desbetreffende schuifregelaar weer op
aan te zetten, waarna Watchtower weer
automatisch zal gaan starten.
Multiband antennes voor LTE
?Ik wil de ontvangst van mijn LTE-router
verbeteren door er een hoogwaardige
antenne op aan te sluiten. Het aanbod is
echter gigantisch. Waar moet ik bij mijn keuze
op letten?
Daar moet je maar net achterkomen: diep in de instellingen van Defender zit een schakelaar verborgen die virtualisatieprogramma's afremt.
142 c’t 2019, Nr. 3
Praktijk | Hotline
ßJe moet er met name op letten dat hij
het frequentiebereik ondersteunt dat
voor LTE-gebruik relevant is. In Europa is dat
momenteel 800, 1800 en 2600 MHz voor
LTE en 2100 MHz voor UMTS. Het kan geen
kwaad als de antenne daarnaast ook nog
700, 900, 1500 en 3500 MHz ondersteunt,
zodat je voorbereid bent voor een mogelijke
toekomstige uitbreiding van de frequenties.
De kwaliteit van een antenne wordt ge-
meten aan diens winst in dB (decibel) ten
opzichte van een vergelijkingsantenne, wat
in dBi wordt uitgedrukt, wat de antenne-
versterking ten opzichte van een isotrope
antenne is. Daarbij komt 3 dB dan overeen
met een verdubbeling van het vermogen
ten opzichte van de vergelijkingsantenne.
Lange snoeren kunnen een winst ech-
ter weer tenietdoen. Als de antennes niet di-
rect met de router verbonden worden, maar
eerst via een lange kabel doorgeleid moeten
worden, kun je het beste een hoogwaardige
kabel met een zo laag mogelijke demping
gebruiken.
Screenshots met gevoelige gegevens in Firefox
?Ik gebruik de screenshotfunctie van Fire-
fox graag. Maar omdat ik zo nu en dan
ook screenshots maak waar persoonlijke
gegevens in staan, wil ik eigenlijk structureel
verhinderen dat die screenshots automatisch
worden geüpload naar screenshots.firefox.
com. Kan dat?
ßOok zonder sync-account slaat Firefox
de screenshots ongevraagd op in de
cloud. Als je niet wilt dat dit gebeurt, dan
moet je de optie extensions.screenshots.
uploaddisabled inschakelen. Typ daarvoor
about:config in het zoekveld in en schakel
de optie daar om naar true door er op te
dubbelklikken. Je kunt de screenshottool
blijven gebruiken zoals gewend, maar dan
zonder die automatische uploadfunctie.
Overi gens wordt dat ook standaard zo
ingesteld als Firefox in de privémodus draait.
Verder details over de screenshottool staan
bij de link hieronder.
www.ct.nl/softlink/1903142
Netflix streamt niet meer
?Ik heb onlangs een goedkope streaming-
box aangeschaft van een fabrikant
uit China. Aanvankelijk kon ik daar prima
Netflix mee streamen, maar sinds enkele
weken krijg ik echter de foutmelding 'NW-
6-404' en dan kapt de app ermee. Ik heb nog
geen oplossing bij de betreffende fabrikant
kunnen vinden.
ßNetflix heeft de toegang geblokkeerd
bij talloze goedkope Android-kastjes.
Daar komt vermoedelijk ook de foutmelding
vandaan. Als de fabrikant geen update levert,
zou je de mediacentersoftware Kodi voor
Android kunnen proberen. Versie 18 zit nog
wel in een bètafase, maar kan via een add-on
ook Netflix streamen (zie de link hieronder).
Hoe je Netflix via een Kodi-distributie zoals
LibreElec aan de praat krijgt, lees je in c't
12/2017 op pagina 56.
www.ct.nl/softlink/1903142
Toets voor Linux-screenshot
?Ik kan in lang niet al mijn Linux-games
een toets definiëren voor het maken
van screenshots. Bij Steam is die functie
geïntegreerd, maar ik heb echter ook games
die niet op Steam zitten. Hoe kan ik ervoor
zorgen dat ik onder Linux met één druk op
de knop een screenshot kan maken en dat
in een specifieke map terechtkomt (met een
herkenbare bestandsnaam)?
ßEen heel simpele oplossing daarvoor
is scrot, een commandline-tool. De
meeste bekende distributies bieden die in
hun pakketbronnen. Bij Ubuntu en Debian
installeer je hem met de opdracht sudo apt
install scrot.
Test de scrot-tool eerst in een terminal-
venster voordat je er een toets aan toewijst.
Je kunt in scrot variabelen in de bestands-
namen gebruiken. Zo slaat het volgende
commando een screenshot op met de hui-
dige datum en tijd:
scrot '%Y-%m-%d_%T_screenshot.png' -e
'mv $f ~/Afbeeldingen/screenshots/'
Daarbij zorgt -e ervoor dat het screenshot
naar het opgegeven programma wordt
gestuurd. Dat is hier mv, dat het bestand
verplaatst naar de opgegeven map met
een bestandsnaam als 2019-3-25_15:33:41_
screenshot.png. Gebruik je twee monitoren,
dan moet je bovendien de parameter -u ge-
bruiken. Die zorgt ervoor dat alleen het ac-
tieve venster wordt opgeslagen, in dit geval
de game.
Als het commando naar behoren werkt,
kun je er een sneltoets aan koppelen. Hoe
je dat doet verschilt per desktopomgeving
(en taal). Bij XFCE zoek je in het menu naar
Keyboard. In het bijbehorende dialoog-
venster ga je naar 'Application Shortcuts' en
klik je op Add. Voer de gewenste opdracht in,
klik op OK en druk daarna op een toetsen-
combinatie.
Bij Gnome open je de Instellingen en ga
je naar Toetsenbord. Klik helemaal onderaan
in de lijst op de knop met het plusteken om
een item toe te voegen. Typ een naam in en
vul daaronder het scrot-commando in. Na
een klik op de knop 'Sneltoets instellen' druk
je op de gewenste toetsencombinatie. Met
Toevoegen rond je het proces af.
Inhoud van defecte LibreOffice- bestanden extraheren
?LibreOffice is gecrasht, natuurlijk net
toen ik midden in een tekst bezig was.
Ik heb geprobeerd het bestand opnieuw te
openen, maar krijg van LibreOffice telkens
de melding dat het bestand beschadigd is
en een formaatfout bevat. De truc om de
bestandsextensie naar .zip te wijzigen en de
inhoud uit te pakken om zo aan de tekst te
komen ken ik, maar die werkt niet. Is er een
manier waarop ik het bestand alsnog kan
redden?
ßWijzig de extensie van het bestand van
.odt naar .txt en open het bestand met
een gewone editor. Dat lijkt het een grote
chaos, maar negeer alle regels die met een
slash of met accolades beginnen: jouw tekst
staat in de regels die zonder speciale tekens
beginnen. Kopieer die regels dan gewoon
naar een nieuw document, dan heb je de
kale tekst in ieder geval weer terug.
Om een toetsencombi-natie te definiëren voor de scrot-opdracht ga je bij de Gnome-instellin-gen naar Toetsenbord en klik je op de knop met het plusteken.
143c’t 2019, Nr. 3
Praktijk | Hotline
TeamViewer onder macOS
? Ik gebruik TeamViewer om een Mac op
afstand te besturen. Sinds de update
naar macOS 10.14 kan ik op afstand de
desktop wel zien, maar de doelcomputer
reageert verder niet meer op het toetsenbord
of muisbewegingen.
ßDat probleem wordt veroorzaakt door
nieuwe beveiligingsfuncties van het de
nieuwe versie van het besturingssysteem
van Apple. Om je Mac dan op afstand te
kunnen blijven benaderen, moet je daar
de systeemvoorkeuren openen en bij
Beveiliging het tabblad Privacy openen. Klik
dan op de Toegankelijkheidsinstellingen.
Om Teamviewer de rechten te geven, moet
je eerst op het slotpictogram linksonder in de
hoek klikken om toegang te ontgrendelen.
Daarvoor heb je de inloggegevens van een
beheerder nodig. Voeg vervolgens met het
'+'-pictogram de TeamViewer-applicatie toe,
waarna dat weer zal werken.
Als je TeamViewer automatisch samen
met het systeem wilt laten starten, moet je
ook nog de toepassing Teamviewer_desktop
toevoegen. Die zit verborgen in het program-
mapakket van TeamViewer. Ga daarom via de
Finder naar Programma's en klik rechts op
TeamViewer. Klik vervolgens op het menu-
item 'Toon pakketinhoud'. Bij 'Contents /
Helpers' staat de toepassing Team viewer_
desktop. Sleep die naar het venster van de
instellingen voor de toegankelijkheid. De
computer zou dan op afstand benaderbaar
moeten zijn.
Wachtwoord van Microsoft-account vergeten
?Het lukt me niet meer om me met mijn
Microsoft-account aan te melden omdat
ik mijn wachtwoord vergeten ben. Wat moet
ik nu doen?
ßKlik bij de aanmelddialoog op de knop
'Ik ben mijn wachtwoord vergeten?'. Er
wordt dan een resetcode gestuurd naar het
e-mailadres dat bij het Microsoft-account
hoort. Als je dat e-mailaccount niet kunt
openen, kun je de code naar een ander
e-mailadres laten sturen. Vervolgens wordt je
identiteit gecontroleerd, waarbij er gegevens
worden gecheckt die je hebt ingevoerd toen
je het account aanmaakte, zoals de naam, het
land, de geboortedatum en de postcode.
Bovendien zal er gevraagd worden of je je
kunt herinneren naar welke contacten je
de laatste e-mails hebt gestuurd, wat je
Skypenaam is, en ga zo maar door. Zodra
er voldoende informatie verzameld is, kan
het nog 24 uur duren voordat je een e-mail
ontvangt met een link waarmee je het
wachtwoord kunt resetten.
Uit de e-mail kan echter ook blijken dat
je niet voldoende informatie gegeven hebt.
Dat gebeurt met name in gevallen waar-
bij het Microsoft-account bijna uitsluitend
wordt gebruikt voor het aanmelden op Win-
dows. In dat geval kan Microsofts support
wellicht nog helpen. Maar we hebben ook
van gevallen gehoord waarbij ook de sup-
portdesk gebruikers niet verder kon helpen.
Het is daarom zeer belangrijk om voor nood-
gevallen het wachtwoord op een briefj e te
hebben. Dat kun je dan in een kluisje bewa-
ren. Verdere informatie van Microsoft kun je
vinden via de link hieronder.
www.ct.nl/softlink/1903142
VBS blokkeert AMD Ryzen Mas-ter Tool
?Ik wil de AMD-software Ryzen Master
installeren op mijn Windows 10-pc met
een AMD Ryzen-cpu om mee te kunnen
overklokken. Ik krijg echter een foutmelding
over 'Virtualization Based Security' (VBS), dat
moet ik uitschakelen. Hoe doe ik dat? En wil
ik dat wel doen?
ßSinds de Spring Creators Update voor
Windows 10 (1803) kun je bij veel
Windows 10 edities VBS uitschakelen.
Microsoft spreekt dan over 'beveiliging
op basis van virtualisatie' en toont in de
systeeminformatie (msinfo32.exe) ook of de
functie actief is. Bij een nieuwe installatie
activeert Windows 10 VBS blijkbaar zelfs
automatisch als er aan bepaalde voorwaarden
wordt voldaan – welke dat dan zijn, is niet
helemaal duidelijk. De virtualisatiefuncties
van de cpu moeten in ieder geval in het BIOS
geactiveerd zijn, dus AMD-V of Intel VT-x.
Voor VBS adviseert Microsoft ook dat het
systeem in de UEFI-modus met Secure Boot
start en dat een Trusted Platform Module
(TPM 2.0) aanwezig is. Beide lijken echter
niet strikt vereist te zijn.
Er is overigens geen eenduidige manier
om VBS in Windows 10 in en uit te schake-
len. VBS omvat namelijk meerdere functies
die afhankelijk van de hardware en Win-
dows 10-versie wel of niet te gebruiken
zijn. Het installeren van AMD Ryzen Mas-
ter loopt in ieder geval vast door de VBS-
functie 'Geheugen integriteit' (memory
integrity), een subfunctie van 'Kern isolatie'
(core isolation). Een schakelaar om de ge-
heugenintegriteit uit te schakelen zit bij
'Windows- instellingen / Bijwerken en be -
veiliging / Windows-beveiliging / Appa-
raatbeveiliging / Kernisolatiedetails'. Na een
herstart zou het dan mogelijk moeten zijn
om de AMD-software te installeren.
Bij sommige systemen lukt het niet om
de geheugenintegriteit via de knop uit te
schakelen. In dat geval zou het moeten luk-
ken door de registerwaarde HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSet\
Control\DeviceGuard\Scenarios\Hypervisor-
EnforcedCodeIntegrity\Enabled op 0 te zet-
ten en het systeem te herstarten. Het begrip
Apparaatbeveiliging is een vertaling van
Windows Defender Device Guard en de ge-
heugenintegriteit noemt Microsoft ook wel
'Hypervisor enforced Code Integrity' (HVCI).
Om met HVCI te werken, moeten drivers aan
eisen voldoen. Daar zal de Ryzen Master Tool
momenteel nog op stuklopen. Toekomstige
versies zijn wellicht wel met HVCI compatibel.
Aangezien VBS ervoor zorgt dat Win-
dows 10 beter beschermd wordt tegen be-
paalde malware-aanvallen, kun je de func-
tie beter niet uitschakelen. Ook bepaalde
virtualisatiesoftware verslikt zich in VBS, zie
'Virtualisatie loopt niet lekker' elders in dit
artikel.
Om te zorgen dat toegang op afstand via Teamviewer werkt, moet je het programma onder macOS rechten verlenen.
144 c’t 2019, Nr. 3
Praktijk | Hotline
F&LMEDIA
C’T IS EEN UITGAVE VAN
F&L MEDIA COMPUTER BV
in licenti e van Heise Medien
GmbH & Co. KG, Hannover
ALGEMEEN DIRECTEUR
Arjan Kropman
BR AND MANAGER
Noud van Kruysbergen
REDACTIE
Daniel Dupré, Marco den Teuling,
Alieke van Sommeren
MET MEDEWERKING VAN Ernst Ahlers, Holger Bleich, Herbert Braun,
Hannes A. Czerulla, Mirko Dölle, Liane M.
Dubowy, Ronald Eikenberg, Sven Hansen,
Christi an Hirsch, Jan-Keno Janssen, Nico Jurran,
Benjamin Kraft , Stephan Krempl, Lutz Labs,
Thorsten Leemhuis, Jan Mahn, Urs Mansmann,
Pina Merkert, Andrijan Möcker, Andreas Itzchak
Rehberg, Jürgen Schmidt, Tim Schnürmann,
Hajo Schulz, Merlin Schumacher, Jan Schüßler,
Carsten Spille, Andrea Trinkwalder, Axel
Vahldiek, Olivia von Westernhagen, Christof
Windeck, Jörg Wirtgen, Dušan Živadinović
VORMGE VING
Tom Gerrits, Nick Groenewold,
Mylene Nales, Susan Derksen, I-XPRESS
SALES
Thijs de Hoogh
+31 (0)24 04641
MARKETING
Marijn van Gelder
+31 (0)24 04556
DRUKKERIJ
Habo DaCosta bv, Vianen
NIEUWSREDACTIE / PERS
redacti [email protected] of adresgegevens
zie hieronder o.v.v.
redacti e c’t magazine
BEZOEK ADRES F&L MEDIA
Jonkerbosplein 52, 6534 AB Nijmegen
ISSN
ISSN 1388-0276
ABONNEMENTSINFORMATIE
C’t magazine kost €6,99 per nummer. Het
verlengtarief is in Nederland €60,- en in België
€62,50 voor 10 nummers. Deze prijs geldt bij
betaling per automati sche incasso. Voor betal-
ing via een (digitale) factuur geldt een toeslag
van €2,50.
Je kunt eenvoudig een machti ging afgeven via
www.fnl.nl/machti gen. Abonnementen worden
automati sch verlengd, tenzij anders vermeld.
Het opzeggen van een abonnement kan een-
voudig telefonisch via +31 (0)85 2250 505.
COPYRIGHTHet auteursrecht op deze uitgave en op de daarin verschenen arti kelen wordt door de uitgever voorbehouden. Het verlenen
van toestemming tot publicati e in deze uitgave houdt in dat de auteur de uitgever, met uitsluiti ng van ieder ander onherroe-
pelijk machti gt de bij of krachtens de auteurswet door derden verschuldigde vergoedingen voor kopiëren te innen en dat de
auteur alle rechten overdraagt aan de uitgever, tenzij anders bepaald, dat geldt ook als de arti kelen via een ander medium
gepubliceerd worden. Niets uit deze uitgave mag worden overgenomen, vermenigvuldigd of gekopieerd zonder uitdrukkelijke
toestemming van de uitgever. De uitgever stelt zich niet aansprakelijk voor eventuele onjuistheden, welke in deze uitgave
mochten voorkomen.
KLANTENSERVICE
WIL JE ABONNEE WORDEN OF HEB JE VRAGEN
OVER JE ABONNEMENT? JE KUNT ONS EENVOUDIG
BEREIKEN OP EEN VAN DE VOLGENDE MANIEREN:
ONLINE
Hier vind je de meest actuele informati e en
ook het antwoord op veelgestelde vragen.
W W W.FNL.NL/KL ANTENSERVICE
Stel je vraag eenvoudig per e-mail aan een
van onze service medewerkers.
VR AGEN A AN DE REDACTIE
Heb jij opmerkingen, suggesti es of
vragen aan de redacti e?
TELEFOON
We zijn er maandag tot en met vrijdag van 09.00
tot 17.00 uur om jouw vragen te beantwoorden.
+31 (0)85 2250 505
146 c't 2019, Nr. 3
Antivirusprogramma's voor WindowsAntivirusprogramma's voor Windows zijn er van gratis
tot redelijk duur. Zelfs de in Windows ingebouwde
Defender is een interessante optie. We hebben alle
gangbare antivirusprogramma's uitgebreid getest en
geven antwoord op de vraag welk programma het
beste is en welke je niet moet gebruiken – of heb je
sowieso al genoeg aan Windows Defender?
Meer lezen?Voor het laatste nieuws op ICT-gebied, extra
reviews en achtergronden kun je terecht op
onze website: www.ct.nl
twitter.com/ct_magazine
c't – IT-magazine voor de liefhebber
Het Ultieme Raspberry Pi Handboek
nu in de winkel
iCreate 105
nu in de winkel
Bovendien:
Stille mini-pc's met Celeron J/N4000Er bestaat inmiddels een aardig aantal mini-pc's met een Gemini-Lake-chip. We hebben
een paar exemplaren van Shuttle en Zotac eens uitgebreid getest. Die apparaten hebben
bijzondere eigenschappen zoals twee netwerkpoorten, ruimte voor een 4G-modem of
een extreem klein formaat.
Ingebouwde veiligheidEen zakelijk gebruikte PCIe- of SATA-ssd in een notebook mag in verband met de AVG
buitenshuis eigenlijk alleen nog maar versleuteld worden gebruikt. Als je notebook op
Windows draait, heb je het relatief makkelijk doordat je dan Microsofts Bitlocker kunt
gebruiken.
Interactieve malware-analyseDe online sandbox any.run maakt het voor iedereen mogelijk om zonder risico's met echte
malware te interacteren. Dat maakt het vaak mogelijk om te kijken wat die software nu
eigenlijk precies doet en waar je systeem eventueel gevaar zou lopen – en laten we vooral
niet vergeten dat het stiekem nog best leuk is ook.
Windows 7: de tijd tikt ...Over minder dan een jaar is het zover: op 14 januari
2020 eindigt de support voor Windows 7. We leggen
uit wat dat voor je betekent, welke Windows-versies er
wellicht voor je openstaan – en of Linux of een ander
besturingssysteem wellicht niet een goed alternatief
voor je kan zijn.
Wijzigingen voorbehouden
Nummer 4 verschijnt op 19 maart 2019
In de volgende c't
Based on The New Intel® Xeon® processor E5-2600 v4 product family
• Accelerate Applications by up
to 30% and Run Demanding
Workloads with Record
Breaking Performance
The Industry’s Largest Portfolio of
Server and Storage Solutions
Simply Double NVMe Simply Double SAS3
GPUs/Intel® Xeon Phi™
MicroBlade
HyperScale Storage
1U TwinPro™
Intel Inside®. Powerful Productivity Outside.
03
_Q
3_
SM
_U
SP
_0
70
61
6_
Ma
ste
rFile
Learn more at supermicro.com/E5-2600v4
© Super Micro Computer, Inc. Specifications subject to change without notice. Intel, the Intel logo, the Intel Inside logo, Xeon, and Intel Xeon Phi are trademarks of Intel
Corporation in the U.S. and/or other countries.All other brands and names are the property of their respective owners. 0
3_
Q3
_S
M_
US
P_
07
06
16
_M
ast
erF
ile
SMBE Belgium
+32 495 533 245
www.smbe.be
TWP Computer
+31 20 638 9057
www.twp.nl
NCS International
+31 544 47 0000
www.ncs.nl
Server Storage Solution
+32 9 261 5310
www.s3s.be
• Keep IT Green and Maximize Energy
Savings with up to 35% System
Power Efficiency Increase
• Accelerate Applications by up
to 30% and Run Demanding Workloads
with Record Breaking Performance