Internet of Things: apparaten makkelijk te hacken www.ct.nl

maart 2019

F&L M

edia B.V. De optim

ale pc • Window

s automatisch installeren • TV-stream

ers • Android-bloatware verw

ijderen • 3D-printers

maart2019

3

Allround-pc • goedkope gaming-pc • workstation met 16 kernen

• Linux-desktop met Conky en Klicky

• SSD’s met SATA-controller

• TV in eigen subnetwerk

• Firewall-techniek nftables

• Android-bloatware verwijderen

GE

TE

ST Android-smartphones van 300 euro

TV-streamers

3D-printers vanaf 350 euro

Inkjetprinters voor veel pagina’s

NAS-systemen met 10 Gbit/s

AI: dommer dan je denktKunstmatige fouten, ongelukken, valse alarmen …

Windows automatisch installerenWindows System Image Manager • maak een antwoordbestand AP

€ 6,99

DE OPTIMALE PC

2-Gbit-wifigetest

Wordt het een Intel of AMD?

SAFARI IN AFRIKA?Tanzania

Kenia

Madagaskar

Oeganda

Rwanda

Zimbabwe

Namibië

Botswana

Zambia

Mozambique

Seychellen

Mauritius

Zuid-Afrika

Op jambo.nl en in onze brochure vindt u ruim 100 uitgekiende reizen of

bel met onze Afrika specialisten op 020-2012740 voor een reis op maat.

De mogelijkheden zijn eindeloos, privé reizen geheel conform uw wensen!

Al sinds 1979 dé Afrika specialist

Laat je verhuizen

Het grote voordeel van het uitkomen van nieuwe modellen Android-smartphones vind ik altijd dat de oudere, nog prima modellen dan vaak wat goedkoper worden. Vaak gaat er dan nog een extra generatie overheen voordat ze in de categorie echt betaalbaar beginnen te vallen, maar met die apparaten is in de meeste gevallen helemaal niets mis.

Met dank aan allerlei zogeheten early adopters ben ik in staat een zeg maar late adopter te zijn.

Maar voor alle partijen geldt dat je het nadeel hebt dat je voor het in gebruik nemen van een nieuwe smartphone maar weer moet zien dat je al je data, agenda-items en apps van het oude apparaat overzet naar het nieuwe.

Als je kijkt hoe makkelijk en soepel dat bij Apple allemaal geregeld is, vraag je je af waarom dat na tien jaar nog steeds zo'n probleem moet zijn. En dan hebben we het nog niet eens over het ontbreken van updates, of in het beste geval het veel te laat beschikbaar komen daarvan voor jouw smartphone.

Als er iets met je telefoon gebeurt en je al je unieke vakantie-foto's kwijt bent, je niet meer bij de zoveel zweet gekost heb-bende game-plays kunt of je sms-historie voorgoed verdwenen is, dan krijgt Google daar vaak de schuld van.

Maar ik vind het veel erger dat de meeste Android-gebruikers door het onvermogen van Google aparte hulp moeten inroe-pen bij het verhuizen als ze een nieuwe smartphone hebben gekregen.

Je zult het ongetwijfeld herkennen: binnen mijn familie- en vriendenkring ben ik meestal de aangewezen persoon voor vragen op dat gebied. Ik leg het wel even uit, zeg ik dan. De sms-en krijg je met de juiste tool wel weer op je nieuwe smart-phone, de chatberichten kun je terugzetten met de back-up-functie van de chat-app, maar de Android-instellingen en de app-data lijken helaas een beetje op Schrödingers kat: of die daadwerkelijk meeverhuisd zijn, weet je pas als je op je nieuwe apparaat inlogt.

De foto's kun je het beste op een sd-kaart zetten, maar ja, niet iedere smartphone heeft daar een slot voor. Maak in dat geval sowieso een back-up voordat je gaat overstappen – dan moet je even Android rooten, een image maken en … en dan merk ik dat degene tegen wie ik het heb, het spoor al bijster is. Oké, geef maar hier, dan doe ik het wel.

Nu ben ik een zeer consciëntieuze verhuizer, dus ik vraag de betreffende persoon altijd mee te kijken. En ik zeg van tevoren altijd: overweeg even goed wat voor data je op je telefoon hebt staan en of het echt oké is dat ik die misschien te zien krijg. Dan merk je soms enige aarzeling, al snel gevolgd door een "Ja, natuurlijk."

Dan volgt vaak alsnog een geshockeerde blik als er vervolgens weinig verhullende video's uit een WhatsApp-chat tevoorschijn komen of een paar foto's die duidelijk meer laten zien dan wellicht de bedoeling was. Of als ik me niet prettig voel bij de eerste sms-jes uit de conversatie met een beste vriendin.

Alle drie die situaties zijn me wel eens overkomen, hoe zeer ik mijn best ook deed daar niets van mee te krijgen.

Op die manier hebben natuurlijk ook jaloerse partners, nieuws-gierige nerds en argwanende ouders een mooie gelegenheid om op de smartphone van iemand anders rond te kijken.

En dat is dan eigenlijk nog het ergste van het feit dat het over-stappen naar een andere Android-smartphone gewoon nog niet goed geregeld is.

Noud van Kruysbergen

3c’t 2019, Nr. 3

33 Devolo Magic 1 en 2 powerline-adapters

34 Kleine NAS-systemen met 10 Gbit/s

36 GoPro Hero7 Black 4K-actioncam

70 SATA-ssd's: 2,5" of M.2?

74 Ssd-aansluitingen: SATA vs PCIe

92 Tv-streamingboxen

94 3D-printers vanaf 350 euro

106 Multifunctionals voor duizenden pagina's

116 Android-smartphones van 300 euro

Achtergrond 66 Hoe een Windows-installatie verloopt

76 Neurale netwerken in het kort

78 Neurale netwerken: nog niet foutloos

82 Neurale netwerken: mens vs machine

100 F-Droid: app-store zonder Google

112 Wat is (het voordeel van) TLS 1.3

136 Linux firewalltechniek nftables zet door

De optimale pcDe concurrentie tussen AMD en Intel levert een pc-bouwer lekker veel keuze op. Voor een complete pc moet daar ook nog een stabiel moederbord, matchend werkgeheugen en een vlotte ssd bij. Wij hebben weer een mooi aantal bouwvoorstellen voor je op een rij gezet.

Inhoud 3/2019

Nieuws 6 Algemeen

8 Hardware

12 Software

14 Development & security

16 Mobiel

17 Linux

18 Processors

20 Wetenschap

22 Bitcoin bestaat 10 jaar

38 Lifestyle

41 Surftips

Software 30 Cutter grafische interface voor radare2

30 VMware Workstation 15

31 S-tui 0.8.2 systeemmonitoring

31 Thonny Python-IDE voor beginners

39 Apps

40 Games

Feudal Alloy

Dusk

Hardware 26 Netatmo thermostaat en radiatorknop

26 Nanoleaf Canvas wifi-lichttegels

27 HP Envy x360 notebook

27 Asus ROG Phone

28 Intel Core i9-9980XE Extreme Edition

28 Sony HT-ZF9 soundbar

29 Freecom Celeritas Thunderbolt 3 externe ssd

29 Sennheiser GSP 550 7.1 gaming-headset

29 Hexgears X-1 wireless low-profile toetsenbord

32 Asus RT-AX88U met gigabit wifi

42

4 c't 2019, Nr. 3

Praktijk

42 Optimale pc: componentenkeuze

48 Bouwvoorstel met Intel Core i5-9600K

51 Bouwvoorstel met AMD Ryzen 5 2600

54 Bouwvoorstel voor een Full HD-gaming-pc

56 Bouwvoorstel voor een krachtig workstation

60 Windows automatisch installeren

68 Windows System Image Manager

88 Je smart-tv beveiligen en inperken

104 Bluetooth-shell voor Raspberry Pi en Zero W

120 Voorgeïnstalleerd Android-apps deleten

124 Met Broncontrole bekijken wat Windows uitspookt

128 Bestandstypes van bestanden achterhalen

130 Linux-desktop opleuken met Conky

134 Linux-desktopthema's bij elkaar klikken

139 Let's Encrypt en Nginx zonder eigen gedocker

142 Tips en trucs

Vaste rubrieken

3 Voorwoord

4 Inhoud

145 Colofon

146 Volgend nummer

AI: dommer dan je denktIn de race van de mens tegen de artificiële intelligentie slaat Homo sapiens bijna dagelijks een treurig figuur. Toch zijn de meeste succesverhalen oppervlakkig en wordt verzwegen waar er nog problemen zijn. Er zijn nog zoveel vragen waarop de technologie van vandaag geen antwoord heeft.

Abonnement afsluiten? Kijk voor actuele aanbiedingen op www.fnl.nl/ctabo!

76

Zakelijk uitgelicht

30 VMware Workstation 15

27 HP Envy x360 notebook

34 Kleine NAS-systemen met 10 Gbit/s

60 Windows automatisch installeren

68 Windows System Image Manager

70 SATA-ssd's: 2,5" of M.2?

106 Multifunctionals voor duizenden pagina's

60

Windows auto matisch installerenMicrosoft heeft voor beheerders en pc-fabrikanten mechanismen in Windows ingebouwd om systeeminstallaties automatisch te laten verlopen. Maar ook als gebruiker die veelvuldig Windows installeert kun je hier handig gebruik van maken. We laten onder andere zien hoe je een antwoordbestand in elkaar zet voor een installatie zonder omkijken.

5c't 2019, Nr. 3

De smartwatchtechnologie van Fossil gaat

voor 35 miljoen euro over naar Google. Vol-

gens Fossil gaat het om de technologie (IP, in-

tellectual property) die verder is ontwikkeld

nadat Fossil fitnesstrackerfabrikant Misfit in

2015 overnam voor 260 miljoen dollar.

Fossil maakt hybride smartwatches

onder verschillende merknamen. Hybride

KPN gaat in gesprek met de actiegroep

'Xs4all moet blijven'. Een petitie voor het

behoud van Xs4all werd op het moment

van schrijven al ruim 45.0000 maal onder-

tekend. Duizenden personen stuurden de

vraag hoe ze kunnen helpen. In reactie

daarop is er een actiecomité opgericht door

de initiatiefnemer van de petitie (Kirsten

Verdel) ,een groep klanten, sympathisanten

en (oud-)medewerkers, met onder andere

oud-woordvoerder Sjoera Nas, campaigner

Bob Overbeeke en oud-directeur Doke Pel-

leboer. De actiegroep heeft KPN gevraagd

om in gesprek te gaan en KPN heeft dat

aanbod geaccepteerd.

Nadat de petitie momentum kreeg,

steeg ook de kritiek richting KPN op de

plannen om Xs4all (en overigens ook Telfort

en Yes Telecom) op den duur uit te faseren

en alles onder de naam KPN aan de man te

gaan brengen. Klanten dreigden met ver-

trek als Xs4all werd opgedoekt. Het percen-

tage klanten die dreigen weg te gaan lijkt te

gaan stijgen naar zo'n 25 procent.

Xs4all bestaat sinds 1993 en is ontstaan

uit de hackersgroep Hack-Tic. Het was de

eerste provider die consumenten toegang

verschafte tot internet. KPN nam de provi-

der over in 1998, maar Xs4all mocht wel zijn

eigen toko blijven runnen binnen het KPN-

De AFM en DNB hebben minister Hoek-

stra van Financiën via een adviesrapport

aangeschreven. Ze willen een vergun-

ningsstelsel voor crypto-exchanges en

aanbieders van crypto-wallets dat on-

derdeel moet uitmaken van de bestaande

wet die witwassen en het financieren van

terrorisme voorkomt. Het moet specifiek

gaan om een regeling op internationaal

niveau wegens het grensoverschrijdende

karakter van cryptovaluta. De AFM en DNB

werken ook actief mee aan internationaal

smartwatches hebben slechts een beperkt

aantal slimme functies naast de standaard

tijdweergave. Meestal gaat het om het tel-

len van stappen en het laten zien van no-

tificaties. Ze ogen grotendeels wel als een

normaal horloge met een analoge wijzer-

plaat. De smartwatches van het concern

draaien op Wear OS van Google.

concern. KPN is de afgelopen jaren op zijn

beurt steeds fanatieker bezig geweest om

Xs4all verder in te lijven. Dat leidde onder

andere tot het vertrek van Xs4all-topman

Paul Naastepad.

Een van de doelen van de actiegroep

is het behoud van de zelfstandigheid van

Xs4all en het blijven vervullen van diens

maatschappelijke rol. Xs4all heeft zich altijd

ingezet voor een vrij en open internet, met

als spraakmakend voorbeeld de zaak tegen

de Scientology-kerk. Die wilde de via een

website van een Xs4all-klant (Karin Spaink)

Een deel van het research- en develop-

mentteam van 200 man van Fossil gaat

bij Google werken. Daar moet worden

gesleuteld aan een nieuwe productinno-

vatie. Meer informatie over die innovatie

is nog niet naar buiten gebracht. Op het

moment dat je dit leest moet de verkoop

van de technologie afgerond zijn. (avs)

openbaar gemaakte stukken offline laten

halen. Na lang juridisch getouwtrek won

Xs4all de zaak en liet 5000 shirts versprei-

den met daarop onder andere 'final victory'.

Diezelfde Karin Spaink heeft aangege-

ven Xs4all te verlaten zodra het compleet

overgaat in KPN. Als de extra diensten die

Xs4all biedt komen te vervallen, ziet die co-

lumniste geen reden meer om bij de provi-

der te blijven. De redenen waarom Xs4all

moet blijven en de campagnekalender van

de actiegroep is te vinden op de website

xs4allmoetblijven.nl. (avs)

Google legt 35 miljoen neer voor smartwatch-tech Fossil

KPN in gesprek met actiegroep Xs4all

De Nederlandse Bank en AFM willen vergunningen handel crypto

beleid om de grootste risico's te kunnen

tackelen. Volgens de twee toezichthouders

is dit vergunningenstelsel noodzakelijk om

de criminele toepassingen van cryptova-

luta effectiever tegen te gaan.

Met het stelsel worden bedrijven

zodra ze een voet binnen de deur willen

krijgen al gecontroleerd en indien nodig

van de markt geweerd. De toezichthouders

zien wel in dat de blockchaintechnologie

niet gehinderd moet worden. Ze willen

financieringsregelingen voor het financie-

ren via blockchaintechnologie de ruimte

geven. Denk daarbij aan cryptovaluta die

te vergelijken zijn met een aandeel of obli-

gatie en dus een duidelijk recht vertegen-

woordigen.

De AFM en DNB hebben eerder ge-

waarschuwd tegen cryptovaluta en ICO's

(Initial Coin Offering, zie ook het artikel op

pagina 22). Dat door de risico's op mislei-

ding, oplichting, cybercrime en manipula-

tie. Volgens de AFM en DNB zijn die risico's

nog steeds relevant. (avs)

Nadat de petitie voor het behoud van Xs4all de grens van 40.000 handtekeningen passeerde, is er een actiegroep gestart die graag met KPN in ge-sprek gaat voor het behoud van de provider.

6 c’t 2019, Nr. 3

Nieuws | Algemeen

Cursussen & HBO-opleidingen

AutoCAD Revit (BIM)Inventor 3ds Max Fusion 360

TEC, het CAD College, is de opleider tot CAD- specialist. Welk instapniveau u ook heeft, bij TEC leert u op een plezierige manier om te gaan met CAD. Naast het geven van kwalitatief hoogstaande cursussen, is het veelzijdige instituut uitgever van het standaard studieboek over CAD-tekenen en biedt haar website goede online support.

Meer informatie?

024 - 356 56 77bel voor advies op maat

Info@cadcollege.nlstel uw vraag per email

TEC CadcollegeKerkenbos 1018 B 6546 BA Nijmegen

Cursussen en HBO-opleidingen

AutoCAD, Revit, Inventor, Fusion en

3ds Max

incl. Gratis leer- en naslagwerk

Families en symbolen

Studeren in een klein groepje

Officieel Certificaat Autodesk

Voor data’s en aanmelding kijkt u op:

www.CADCollege.nl

2019 Feb Mrt Apr

Au

toC

AD

Basis4, 5, 11,

12

4, 5, 11,

12

1, 2,

8, 9

Update 13, 14

Gevorderd *20, 21,

27, 28

20, 21,

27, 28

17, 18,

25, 26

VB.NET Basis4, 5, 11,

12

AutoCAD 3D18, 19,

25, 26

Invento

rBasis

18, 19,

25, 26

15, 16,

23, 24

Update 6, 7

Gevorderd6, 7, 13,

14

3, 4, 10,

11

Expert18, 19,

25, 26

iLogic4, 5, 20,

24

F Fusion 36017, 18,

24, 25

Revit

Basis6, 7, 13,

14

6, 7, 13,

14

3, 4, 10,

11

Gevorderd18, 19,

25, 26

15, 16,

23, 24

Installatietechn.20, 21,

27, 28

1, 2,

8, 9

Expert20, 21,

27, 28

3d

s M

ax

Basis22, 27, 28 feb

en 1 mrt

Gevorderd17, 18, 19,

25, 26

Renderen met

3ds Max6, 7

8 c’t 2019, Nr. 3

Nieuws | Hardware

Philips heeft zijn meest milieuvriendelijke

monitor tot nu toe gelanceerd. De monitor

is bewust ontworpen met duurzaamheid

in het achterhoofd. Het 'groen' zijn houdt

niet op bij de monitor zelf. De 24"-moni-

tor is zeer energiezuinig met 11 watt, maar

kan met de Zero Power Switch compleet

worden uitgeschakeld zodat er geen sluip-

verbruik meer is. Het stand-byverbruik ligt

op minder dan 0,3 watt.

Dankzij de licht- en aanwezigheids-

sensor (infrarood) wordt er niet meer ener-

gie verbruikt dan echt nodig is. Door de

aanwezigheidssensor alleen al kan 80 pro-

cent energie worden bespaard volgens Phi-

lips. Een bijkomend voordeel is een langere

levensduur van het scherm. Het backlight-

systeem is vernieuwd en speciaal gericht op

optimale lichtopbrengst met een zo laag

mogelijk verbruik.

De monitor is opgebouwd uit 85 pro-

cent gerecycled plastic, wat het scherm een

TCO Edge-certificering oplevert doordat er

verder wordt gegaan dan bij bestaande

ecolabel-programma's. De RoHS-normen

worden streng nageleefd, giftige stoffen

zoals lood en kwik zijn niet meer aanwezig,

en er zit geen PVC en BFR in de behuizing.

De plastic onderdelen, metalen delen van

het chassis en de verpakkingsmaterialen

zijn volledig te recyclen. Alles is gericht op

hergebruik en het zo min mogelijk verbrui-

ken van kostbare bronmaterialen. Daarbij

hoort ook het terugdringen van de uitstoot

die ontstaat door het transport. Daardoor

mag de monitor het EPEAT energie label

dragen, naast EnergyStar 7.0 en WEEE.

Naast alle duurzame aspecten van het

scherm is de 241B7QGJEB sterk gericht op

een goede ergonomie. Het IPS-panel heeft

een antireflectie-coating en een full-hd-

resolutie. Het beeld dekt 102 procent van

de sRGB-kleurruimte af. De rand is smal,

wat niet alleen mooi oogt, maar ook fijn

is bij een multimonitor-set-up voor mini-

male afleiding en zo veel mogelijk effec-

tief beeld oppervlak. De monitor is gega-

randeerd dodepixelvrij dankzij Zero Bright

Dot en vermindert schadelijk blauw licht

via de LowBlue-modus.

Het scherm is te draaien, kantelen en

tot 15 centimeter in hoogte te verstellen.

Er zitten twee speakers van 2 watt inge-

bouwd. Naast 4 USB 3.0-poorten (1 snel-

laadpoort) zit er een VGA-, DVI-D-, Display-

Port 1.2- en HDMI 1.4-poort op plus een

audio-in- en uitgang. Kabels voor DVI-D,

HDMI en DisplayPort en audio worden

meegeleverd. De 241B7QGJEB kost net iets

meer dan 200 euro. (avs)

Philips lanceert milieuvriendelijke 241B7QGJEB-monitor

De 241B7QGJEB is de meeste milieuvriendelijke monitor van Philips. Hij is sterk gericht op het terugdringen van het energieverbruik en het ge-bruik van zo veel mogelijk gerecycled materiaal.

De nieuwe α6400 systeemcamera van

Sony heeft een 24,2-megapixel APS-C-

sensor en Bionz Z-beeldprocessor. De

camera kan continu foto's schieten met

volledige AF/AE-tracking tot 11 fps met

mechanische sluiter. De camera heeft de

snelste scherpstelling van dit moment

van slechts 0,02 seconden.

Het scherm van de camera is een

kantelbaar lcd met 921.000 pixels met

touch-focus en touchpad-autofocus om

zelf de gewenste focuspunten aan te

geven en de bediening te vereenvoudi-

gen. Erg handig voor vloggers bijvoor-

beeld. Bedienen via de Imageing Edge

Mobile-app kan ook.

De realtime Eye-autofocus is de op-

volger van de Eye AF van de voorgangers.

Met behulp van AI worden objecten her-

kend en ooggegevens in realtime gede-

tecteerd. Je kunt aangeven of je op het

linker- of rechteroog wilt focussen. Deze

zomer wordt via een software-update

ook Eye AF voor dieren toegevoegd, ide-

aal voor natuurfotografie. AI wordt ook

gebruikt voor het verwerken van kleur,

de objectafstand en patronen tot ruim-

telijke informatie.

Sony's camera heeft een indrukwek-

kend ruim ISO-bereik dat loopt van 100

tot 32.000. Dat is voor stilstaande beelden

nog verder te trekken van 50 tot 102.400.

Naast het maken van mooie foto's is de ca-

mera ook prima geschikt voor videopna-

mes in 4K (3840 × 2160). De α6400 leest

elke pixel, zodat 4K-beeld veel details en

diepte heeft. Vloggers en videomakers

kunnen profiteren van het simpele uploa-

den van content. Er zit een ingebouwde

intervalopname- optie in die is in te stellen

tussen de 1 en 60 seconden. De camera is

de eerste APS-C-systeemcamera met een

Hybrid Log-Gamma-beeldprofiel. Opne-

men in full-hd met 120 fps met maximaal

100 Mbit/s levert beelden op die kunnen

worden omgezet naar een slowmotion van

vier tot vijf keer.

De behuizing is opgebouwd uit een

magnesiumlegering en is bestand tegen

stof en vocht. De sluiter heeft een geteste

levensduur van 200.000 cycli. Voor een

losse body moet je 1050 euro neerleg-

gen. In combinatie met de SELP1650-lens

wordt het totaalbedrag dan 1150 euro. De

complete kit met SEL18135-lens moet 1450

euro gaan kosten. (avs)

Sony's α6400 heeft 's werelds snelste autofocus

De a6400 is een 24,2MP-camera met een automatische scherpstelling van 0,02 seconden en realtime Eye-autofocus.

9c’t 2019, Nr. 3

Zie pag

11, 13, en 147

Nieuws | Hardware

De organisatie achter de PCIe standaar-

den, PCI-SIG, heeft versie 5.0 van de tech-

nische specificaties van PCIe vastgelegd

in een concept. PCIe speelt al vele jaren

de rol van de snelste verbindingslijn tus-

sen onderdelen binnen een computer.

PCIe 5.0 wordt alleen nog aangepast als

er een patentinbreuk wordt gevonden.

Door het vastleggen van de

nieuwe standaard kunnen

bedrijven aan de bak om hun

ontwerpen te gaan testen. Het

duurt niet zo heel erg lang tot

versie 5 in producten opduikt.

In 2020 moet de massapro-

ductie al gaan starten, en in

het eerste kwartaal van dit jaar

moet de standaard definitief

worden vastgelegd.

Voor het geval je je af-

vraagt waar PCIe 4.0 geble-

ven is, die standaard zie je

nog wel terug in AMD's Zen2

cpu's, ssd- en netwerkcontrol-

lers en de 7nm-gpu's van AMD. PCIe 5.0

biedt twee keer zoveel brandbreedte

vergeleken met PCIe 4.0. Een voorbeeld:

een ssd met PCI 5.0 kan via 1 lane 4 GB/s

(twee kanten op) halen. Bij een M.2-ssd

met vier lanes is tegen de 16 GB/s haal-

baar. PCIe 5.0 ondersteunt onder meer

400-Gbit/s-ethernet. De band breedte

voor PCIe heeft volgens PCI-SIG in twee

jaar een verdubbeling meegemaakt van

16 GT/s naar 32 GT/s (gigatransfers per

seconde).

Verder heeft de nieuwe standaard ook

aanpassingen aan het elektrische deel,

waardoor de signaaloverdracht wordt

verbeterd. De connectorkwaliteit is ook

verbeterd, de CEM-connector (Card Elec-

tromechanical) is backwards-compatibel

met de voorgaande 4.x-, 3.x-, 2.x- en 1.x-

standaarden. (avs)

Concept voor PCIe 5.0 vastgelegd

Met PCIe 5.0 wordt de bandbreedte nog eens flink opgeschroefd en is ondersteuning voor bijvoorbeeld 400-Gbit/s-netwerkkaarten mogelijk.

LG heeft drie nieuwe premium-soundbars

aangekondigd met een strak design: de

SL8YG, SL9YG en SL10YG. Er is samenge-

werkt met Meridian Audio, de pioneer op

het gebied van high-resolution audio, om

de audiokwaliteit te verbeteren. De sa-

menwerking gaat verder dan alleen wat

instellingen of features, de beide bedrij-

ven bundelen hun krachten. De soundbars

hebben AI-functies in de vorm van Google

Assistant voor het aansturen via stemcom-

mando's. De SL9YG en SL10YG hebben op

de CES ieder al een Innovation Award in de

wacht gesleept.

De drie soundbars ondersteunen

Dolby Atmos en DTX:X. Door deze tech-

nieken komt er realis-

tisch geluid uit meer-

dere richtingen en op

verschillende afstanden.

Om de bioscoopervaring

compleet te maken, kan

er nog een Wireless Rear

Speaker Kit aan toege-

voegd worden. Helaas

is op het moment van

schrijven niet bekend

wat nu precies de verschillen zijn tussen

de speakers en wat ze moeten gaan kos-

ten. Ze staan al wel (zonder uitgebreide

specificaties) op de website van de Zuid-

Koreaanse fabrikant vermeld. (avs)

LG komt met drie premium soundbars

LG's drie premium soundbars onder-steunen Dolby Atmos en DTS:X en high-resolution audio. Er is samengewerkt met hifi-expert Meridian Audio.

Op het moment dat je dit leest heeft Pana-

sonic op de ISE van dit jaar zijn nieuwe

serie 4K draagbare lcd-laserprojectors laten

zien. De projectors hebben een helder-

heid van 4500 tot 6000 lumen en wegen

minder dan 7,2 kg. Panasonic wil met de

lcd-projectors de stap van een projector

met lamp naar laser betaalbaarder maken.

Vier modellen zijn compatibel met Digi-

tal Link, waarbij video signalen, geluid en

bedienings signalen tegelijk via een enkele

netwerkkabel worden verstuurd over een

afstand van maximaal 150 meter.

Dankzij nieuwe koeltechnieken draaien ze

20.000 uur zonder onderhoud. Verder heb-

ben de apparaten een usb-viewer (USB-type-

A) en een (optionele) draadloze module voor

het gebruiken en delen van data via een app.

Met 1,6× zoom en V/H-lensshift zijn ze ge-

schikt voor kleine en grotere ruimtes.

Deze kleine projectors hebben een

WUXGA- van 1920 × 1200 of een WXGA-

resolutie van 1280 × 800 pixels. Via HDMI

is 4K 30 fps haalbaar. De PT-VMZ60 en PT-

VMW60 met elk 6000 lumen komen uit in

juni, de PT-VMZ50 en PT-VMW50 met 5000

Panasonic komt met kleine laserprojectors tot 6000 lumen

De VMZ60- en VMZ50-serie van Panasonic zijn compact en wegen minder dan 7,2 kg, maar bieden wel 4500 tot 6000 lumen. En kunnen 20.000 uur zonder onderhoud.

lumen en de PT-VMZ40 met 4500 lumen zijn

in maart van dit jaar beschikbaar. Prijzen zijn

nog niet genoemd. (avs)

Er worden steeds meer IoT-apparaten zoals

slimme thermostaten met internet verbon-

den. Veel van die apparaten zijn niet echt

optimaal beveiligd (zie ook pagina 14) en

hangen in een thuisnetwerk vaak achter een

even (on)veilige router. Een op de CES ge-

presenteerde oplossing voor dat probleem

is de TrustBox. Die kleine router/gateway

ontving daar een Best of Innovation Award

for Cybersecurity and Personal Privacy.

De Trustbox van het Nederlandse be-

drijf Scalys is speciaal ontworpen voor een

goede 'military-grade' beveiliging, in tegen-

stelling tot bijvoorbeeld veel de standaard-

routers die providers meeleveren. Zowel

de verbinding als de via Gigabit-ethernet

aangesloten apparaten worden bevei-

De XPS 13 van Dell is een notebook waar

al weinig op aan te merken was. Een kri-

tiekpunt bij de vorige versie was echter de

positie van de webcam. Om de scherm-

rand ook boven lekker dun te maken, was

de webcam onder het scherm geplaatst.

Daardoor was bij videoconferencing een

neushaartrimmer geen overbodige acces-

soire. Bij de op de CES gepresenteerde

2019-versie zit de webcam echter weer op

het juiste niveau, boven het scherm. Dat is

ligd. Het kastje bevat een speciale 64-bit

netwerkprocessor van fabrikant NXP met

hardwareversnelling voor netwerkfuncties

en versleuteling. De TrustBox-hardware

is extra beschermd dankzij secure-boot,

secure-software-provisioning en secure-

storage. De software is gebouwd op een

opensourcebasis (Linux/OpenWRT). Bij het

ontwerp van de TrustBox is rekening ge-

houden met uitbreidingsmogelijkheden als

mSATA en een LTE-modem via een M.2-slot.

De veiligheidsupdates voor de software

worden automatisch opgehaald en geïn-

stalleerd. Voor bedrijfsmatige toepassingen

werkt de router met Microsofts opensource

Open Enclave SDK, voor applicaties in een

Trusted Execution Environment. Door het

bescheiden formaat kan de TrustBox ook

makkelijk op wisselende locaties worden

ingezet. Het apparaat zou vanaf maart ver-

krijgbaar moeten zijn. (mdt)

Betrouwbaar doosje

Hoger niveau

mogelijk doordat de vernieuwde webcam

maar 2,25 mm groot is en daarmee toch

in de dunne schermrand past.

Ook op andere punten is de XPS 13

naar een nog hoger niveau getild. Het

notebook heeft een 13,3-inch scherm,

een 8e generatie quadcore Intel-processor

(Whiskey Lake), tot 2 TB PCIe-ssd en 4 tot

16 GB RAM in een 1,23 kg wegende be-

huizing van 302 × 199 × 7,8-11,6 mm. Je

krijgt verder twee Thunderbolt-3-poorten

en een USB-C-poort, alle drie met Power

Delivery én DisplayPort. Een microSD-

kaartlezer en vingerafdrukscanner ronden

het geheel af.

Het notebook is leverbaar met Win-

dows 10 of Ubuntu 18.04. En er is een

nieuw kleurtje: er is nu een compleet

witte variant, naast de roségoud met wit,

en zilverzwarte versie. De goedkoopste

confi guratie kost circa 1100 euro, de duur-

ste bijna 2800 euro. (mdt)

De TrustBox kreeg op de CES een Best of Innovation Award op het gebied van Cybersecurity and Perso-nal Privacy.

Telefoons met vouwbare schermen zijn een

trend voor 2019, maar LG gaat bij tv's nog

een stapje verder dan alleen vouwen. Op

de CES presenteerde LG de eerste oprol-

bare oled-tv. De 65-inch Signature OLED TV

R kan helemaal in de voet zakken en daar-

bij automatisch oprollen. De R in de naam

van de tv staat niet voor rollable maar voor

revolutie. Een beetje overdreven, maar een

prachtig en vernieuwend staaltje techniek

is het zeker.

De voet is ruim anderhalve meter lang en

inclusief de standaard eronder ongeveer

half zo hoog. Als de tv is uitgeschakeld, zie

je alleen die voet. Je kunt hem dus prima

voor een raam zetten en van het uitzicht

genieten als je geen tv kijkt. Druk op een

knop en dan komt het circa 3 mm dikke

4K-scherm in ongeveer 10 seconden hele-

maal omhoog. Extra beugels in de voet zor-

gen ervoor dat het scherm niet wiebelt en

rechtop blijft staan. In de voet zitten ook alle

aansluitingen, waaronder HDMI

2.1, die via firmware-updates

nieuwe typen content kan on-

dersteunen (zoals het afspelen

van 4K120 en HFR).

In plaats van helemaal uit-

rollen, kun je er ook voor kiezen

om maar een kwart van het

scherm omhoog te laten komen.

In die modus kun je bijvoorbeeld

een weer-app laten tonen of een

muziekspeler. De tv is voorzien

van LG's nieuwe WebOS 4.5 platform, met

alle bijbehorende apps. De voet herbergt

niet alleen het scherm in opgerolde toe-

stand, maar ook een 100W Dolby Atmos

4.2 geluidssysteem. Daarmee heeft de tv

ook qua geluid meer te bieden dan andere

tv's. De nieuwe Alpha a9-processor in de tv

verbetert niet alleen de beeldkwaliteit, maar

past in combinatie met een lichtsensor ook

de helderheid van het scherm automatisch

aan de omstandigheden aan.

Ondersteuning voor Amazons Alexa

en Google Assistent is aanwezig. Daar-

naast heeft LG, net als Samsung voor zijn

2019-modellen, aangekondigd dat dit

toestel Apples AirPlay 2 gaat ondersteu-

nen. Als we dan toch nog een minpuntje

moeten noemen, is het dat de voet maar

in één kleur leverbaar is. De oprolbare

oled-tv moet in de tweede helft van 2019

op de markt komen. De prijs is nog niet

bekend, maar ga gerust uit van een vijf-

cijferig bedrag. (mdt)

Let it roll!

Links is het LG-scherm ten dele uitgerold, rechts helemaal.

10 c’t 2019, Nr. 3

Nieuws | Hardware

Learn more at www.supermicro.com/storage© Super Micro Computer, Inc. Specifications subject to change without notice.

Intel, the Intel logo, Xeon, and Xeon Inside are trademarks or registered trademarks of Intel Corporation in the U.S. and/or other countries.All other brands and names are the property of their respective owners.

Maximum Efficiency

High capacity 1U-4U form factors. Leading the industry

with up to 50% greater density. Highest rated - 95%

efficient Platinum power supplies

Maximum Performance and Expandability

All NVMe support with storage servers and direct attach

storage platforms delivering up to 20 GB/s throughput

Mission Critical Reliability

Capable of fully redundant and fault-tolerant operation

with hot swappable drive bays, power supplies, fans and

redundant server boards with remote management.2U 24 NVMe

2U 12 Bay 3.5”

2U 48 NVMe

1U 12 Bay 3.5”

4U 90 Bay

4U 24 Bay 3.5”

Over 50 Software Defined Storage Optimized Products to Choose From

60/90-Bay 4U Storage Servers and Enclosures with up to 9 Petabytes per 42U Rack

SC946ED-R2KJBOD (JBOD Enclosure)

SSG-6048R-E1CR90L (Server)

90-Bay

SC946SE2C/1C-R1K66JBOD (JBOD Enclosure)

SSG-6048R-E1CR60N/L (Server)

60-Bay

03

_Q

3_

SM

_U

SP

_0

70

61

6_

Ma

ste

rFile

_S

toa

ge

_P

g6

SMBE Belgium

+32 495 533 245

www.smbe.be

sales@smbe.be

TWP Computer

+31 20 638 9057

www.twp.nl

info@twp.nl

NCS International

+31 544 47 0000

www.ncs.nl

info@ncs.nl

Server Storage Solution

+32 9 261 5310

www.s3s.be

sales@s3s.be

Intel Inside®. Powerful Productivity Outside.

12 c’t 2019, Nr. 3

Nieuws | Software

Het opensourceproject Otter wil de beste

onderdelen van de klassieke Opera (versie

12.x) doen herleven. In januari is de eer-

ste als stabiel aangemerkte versie uitge-

komen. Er is nog geen installer voor het

opensourceproject, maar voor Windows-

gebruikers staat er al een 32-bit binary ter

beschikking. Andere zijn aangekondigd:

Linux-gebruikers kunnen de browser via

hun pakketbeheer installeren of zelf com-

pileren.

De community rondom ontwikkelaar

Michal Emdek heeft er vijfenhalf jaar voor

nodig gehad om tot deze stap te komen.

Het idee voor de Otter Browser kwam

op toen Opera in het voorjaar van 2013

aankondigde de ontwikkeling van zijn

browser-engine te staken. Otter moet een

browser zijn die zich kan meten met de

features van Opera 12, dat nog een grote

schare fans blijkt te hebben.

Op dit moment kan Otter het nog

niet opnemen tegen zijn grote voorbeeld

of tegen de concurrenten. Naast basisfea-

tures als een privémodus en wachtwoord-

manager vallen de contentblocker, de

sessie-opslag en de notitiefunctie op. Aan

toekomstplannen geen gebrek: muisgestu-

res, tabbladgroeperingen en aanpassingen

aan de userinterface staan voor de nabije

toekomst allemaal op de planning. (nkr)

www.ct.nl/softlink/1903012

Otter in plaats van Opera?

Begin januari gaf Ryan Sipes, community-

manager bij het Thunderbird-project, een

verlaat kerstcadeau aan alle fans van het

opensource mailprogramma: hij kondig-

de in een blogpost aan dat Thunderbird

in 2019 talrijke verbeteringen krijgt die

de software stabieler en sneller moeten

maken.

Daar zijn bij het opensourceproject

zelfs zes nieuwe ontwikkelaars voor aan-

genomen. Een toename van het aantal

donaties maakte het mogelijk het ontwik-

kelteam uit te breiden tot 14 vaste fulltime

medewerkers. De nieuwe ontwikkelaars

moeten zich vooral gaan bezighouden

met het verbeteren van de performance.

Het bedrijf achter Docker heeft de Docker

Hub, de startplek voor alle Docker-gebruikers

voor het zoeken naar images, een nieuwe

Bovendien is het de bedoeling dat Gmail

als belangrijkste e-mailprovider beter geïn-

tegreerd gaat worden. Het mailprogramma

moet beter in de verschillende desktop-

omgevingen geïntegreerd worden om bij-

voorbeeld berichten-alerts betrouwbaar te

kunnen weergeven.

Een ander zwaartepunt is het her-

programmeren van de versleutelings-

mogelijkheden. Het is volgens Sipes nog

niet duidelijk of al dat werk de volgende

versie al haalt of niet, maar als het team

verder uitgebreid wordt, zal dat zeker een

zwaartepunt zijn. Het is de bedoeling dat

het versleutelen van e-mails en het be-

veiligen van de privécommunicatie in de

vormgeving gegeven. In het kader daarvan

is de Docker Store opgeheven en in de Hub

geïntegreerd. Die parallelle wereld was bij

de zoekenden naar contai-

ners niet fijn en was als een

soort marktplaats voorsoft-

ware-aanbieders bedoeld. De

commerciële aanbiedingen

uit de Store staan nu naast

komende versies makkelijker zal worden.

Thunderbird heeft een roerige geschiede-

nis achter de rug: in december 2015 dacht

Mozilla-CEO Mitchell Baker er openlijk over

na om Thunderbird en Firefox te scheiden.

Beide projecten zouden elkaar in hun ont-

wikkeling hinderen.

In mei 2017 besloot de Mozilla Foun-

dation echter toch om de juridische en

financiële thuisbasis voor het Thunderbird-

project te blijven – waarmee de toekomst

van de mailclient veilig was.

Thunderbird is sindsdien wel technisch

onafhankelijk van Mozilla. In augustus

2018 bracht het team de op dat moment

actuele versie 60 uit. (nkr)

de gratis containers in de Hub. Je kunt de

zoekresultaten makkelijker beperken tot

categorieën. De officiële images of die

van geverifieerde aanbieders krijgen dui-

delijker zichtbare aanduidingen. Dat moet

ook de veiligheid verhogen. Tot nu toe was

het makkelijk om eigen images met achter-

deurtjes op de Hub te zetten en te hopen

op downloads – het vergde enige ervaring

om de goede van de slechte images te kun-

nen onderscheiden. Het is bij de nieuwe

Docker Hub echter niet meteen te herken-

nen of voor een aanbod een commerciële

licentie nodig is. Voor die informatie moet

je de detailpagina openen. (nkr)

Nieuwe vleugels voor Thunderbird

Docker ruimt Docker Hub op

De nieuwe Docker Hub heeft een beter filter voor de resultaten. De Store is er nu in geïntegreerd.

De browser Otter gebruikt niet het

Google-project Chromium als rende-

ring-engine, maar een Qt-versie van

Apples WebKit.

TM

Intel Inside®. Powerful Productivity Outside.

Desktop Solutions

SMBE Belgium

+32 495 533 245

www.smbe.be

sales@smbe.be

TWP Computer

+31 20 638 9057

www.twp.nl

info@twp.nl

NCS International

+31 544 47 0000

www.ncs.nl

info@ncs.nl

Server Storage Solution

+32 9 261 5310

www.s3s.be

sales@s3s.be

C7Z270-CGC7Z270-PG C7Z270-CG-L C7H270-CG-ML

Veel op internet aangesloten dingen

zoals lampen en stekkerdozen zijn

door hackers eenvoudig te kapen.

Ook bij Sigfox moet je erop letten

dat de boel versleuteld wordt.

Stefan Krempl

Het Internet-of-Things is een natte

droom voor hackers. Bijna elk elek-

tronisch apparaat heeft een micro-

processor en een cloudverbinding. Michael

Steigerwald, mede-oprichter van de IT-

security-start-up VTrust, liet eind december

op het 35e Chaos Communication Congress

zien hoe concreet dat is.

Tegen een eenmalige betaling van 1500

dollar kan iedereen producten van de Chi-

nese fabrikant Tuya onder een eigen naam

laten maken. Naast wifi- en ZigBee-modules

biedt Tuya ook kant-en-klare producten, van

slimme lampen tot klimaatsystemen. De

hard- en software kun je op een website bij

elkaar klikken. Steigerwald bestelde 20 test-

modules, naast ledlampen en stekkerdozen

van andere aanbieders, waar eveneens Tuya

achter zit. Die waren met een smartphone

makkelijk te registreren en met de cloud van

Tuya te verbinden en dan via internet in en

uit te schakelen. Die verbinding werkte met

HTTP en het open telemetrieprotocol MQTT

(Mesaage Queueing Telemetry Transport). Er

zat telkens een ESP-8266 wifi-microcontrol-

ler in van Espressif. Met de programmeer-

software Esptool en wat soldeerwerk was

het flashgeheugen van de processor uit te

lezen, met daarin de firmware met onder

meer de wifi-SSID, wifisleutel en het serie-

nummer.

Om een dergelijk apparaat te kapen,

hoef je alleen maar een eigen product-ID in

het geheugen te zetten, de checksum aan te

passen en het geheel weer terug te zetten

met Esptool. Daarna zijn veel persoonlijke

gegevens toegankelijk over het account,

mailadres, de smartphone, je locatie enzo-

voorts. Veel daarvan zijn voor het gebruik

totaal niet nodig. De schaarse privacy-

verklaring zegt daar ook helemaal niets over.

Steigerwald installeerde daarna een ser-

ver voor MQTT, DNS en HTTP op een Rasp-

berry Pi om ook zonder het openen van een

apparaat de software te kunnen veranderen.

Daarbij bleek dat de eerder gevonden cryp-

tosleutel na het uitwisselen van een token

met de cloud daar leesbaar via MQTT binnen

was gekomen. Met een Python-script kon hij

de versleutelde MQTT-communicatie ver-

volgens ontsleutelen. Hij modificeerde het

update-adres zodanig dat het apparaat zijn

firmware downloadde in plaats van die van

de fabrikant. Daarmee kun je de apparaten

loskoppelen van de cloud en voorzien van

opensource firmware. Op die manier zijn de

apparaten echter ook te kapen.

Daar merk je niets van, je kunt aan de buiten-

kant niet zien wat voor product je eigenlijk

koopt. Hiermee kunnen volgens Steigerwald

zelfs de eenvoudigste verbruiksapparaten

een gevaar gaan opleveren.

SigfoxAllerlei sensoren voor Internet-of-Things

moeten kleine datahoeveelheden via speci-

ale draadloze kanalen met een zo laag mo-

gelijk energieverbruik verzenden. Versleute-

ling wordt dan een lastig punt. Daarom heeft

het Franse Sigfox verschillende systemen be-

dacht voor het licentievrije 868MHz-bereik.

Fabrikanten kunnen zo toch redelijk goed-

kope en zuinige systemen maken.

Op het Chaos Computer Congress nam

Florian Euchner dat systeem onder de loep.

Met het ontwikkelboard SiPy verstuurde hij

berichten en logde het data verkeer. Vervol-

gens ging hij op zoek naar patronen in de

hexa decimale data. Het zal je niet verwon-

deren dat de onversleuteld verstuurde data

makkelijk mee te lezen zijn, het is theoretisch

zelfs mogelijk die data te manipuleren.

De Sigfox-zenders versleutelen elke

overdracht dan ook met een geheime sleu-

tel. Die sleutel was door Euchner met het

ontwikkelboard echter onversleuteld in het

geheugen uit te lezen – maar daar heeft een

aanvaller wel fysiek toegang tot het apparaat

voor nodig. Een counter moet zogeheten

replay-attacks tegengaan, maar die bestaat

bij eenvoudige Sigfox-systemen maar uit 12

bit. De met AES gegeneerde signatuur van

de datapakketten is dan wel 16 bit lang,

maar om die brute-force te kraken zijn maar

65.536 mogelijkheden uit te proberen.

Euchner adviseert dan ook om die een-

voudig versleutelde Sigfox-systemen alleen

bij niet-kritische toepassingen te gebruiken,

waar geen grote schade bij ontstaat als een

derde het dataverkeer meeleest of manipu-

leert. Bij andere situaties, bijvoorbeeld bevei-

liging of brandmeldsystemen, moet je een

systeem met een fatsoenlijke versleuteling

gebruiken – ook al zijn die duurder en ge-

bruiken de zenders dan meer energie. Dan

worden namelijk niet alleen de data ver-

sleuteld, maar worden ook de counters om

replay-aanvallen tegen te gaan verhoogd

van 12 tot 20 bit.

Euchner heeft zijn resultaten en een

eigen Sigfox-implementatie als opensource

broncode op https://jeija.net/sigfox gezet.

Hij hoopt dat Sigfox de belofte waarmaakt

om de protocolbibliotheek voor apparaten

als broncode te publiceren, zodat de wed-

loop met de vergelijkbare standaarden als

LoRa Wan en Narrowband-IoT sneller kan

gaan verlopen. (nkr) c

Het slimme gevaarHackers laten de zwakke plekken van Internet-of-Things zien

Fo

to:

VT

rust

Gm

bH

14 c’t 2019, Nr. 3

Nieuws | IoT-security

Ontdek ergonomisch werken met onze monitoren. Meer info op eizo.nl

Working with the Best

Toch zul je wifi 6 de komende tijd overal gaan

tegenkomen, want vooral in omgevingen met

veel clients (beurzen, stadions, concertpodia)

moet het veel efficiënter werken dan wifi 5

(IEEE 802.11ac).

TP-Link wil als eerste fabrikant wifi 6

aanbieden in een meshsysteem: de Deco

X10 moet tot 1,95 Gbit/s halen en meer

dan 100 clients aankunnen. Naast de eerder

gepresenteerde routers AX11000 en AX6000

verschijnen twee instapmodellen (AX1800

en AX1500) en de eerste wifirepeater

voor wifi 6 (RE705X). TP-Link wil onder de

naam OneMesh alle 11ax-apparaten voor

consumenten en kleine bedrijven in één

productlijn onderbrengen, dus routers,

repeaters en Powerline-adapters.

Netgear presenteerde op de CES niet

alleen de 11ax-routers RAX80 en RAX160,

maar ook bedrijfsoplossingen. Met de naam

Smart Managed Pro S350 zijn vijf Gigabit-

Op de CES 2019 hadden fabrikanten van

netwerkapparatuur de mond vol over

de nieuwe wifistandaard IEEE 802.11ax.

De fabrikantenvereniging Wi-Fi Alliance

(WFA) gebruikt liever de benaming Wi-Fi

6, wat wij weer liever schrijven als wifi 6.

De standaard is nog niet helemaal gereed,

maar een voorlopige versie zit al in routers,

accesspoints en de eerste meshsystemen. De

WFA wil de eerste producten vanaf het najaar

certificeren. Dat moet garanderen dat wifi

6-clients goed kunnen communiceren met

een wifi 6-basisstation.

De Asus RT-AX88U router is het eerste

model met deze (voorlopige) standaard.

Volgens onze metingen (zie p.32) is de

netto doorvoersnelheid daarvan onder

ideale omstandigheden bijna 2 Gbit/s. Maar

dat geldt alleen bij meerdere parallelle

overdrachten. Bij een een-stream download

is wifi 6 nauwelijks sneller dan de voorganger.

switches verschenen, waarvan er twee ook

PoE+ bieden (IEEE 802.3at). Daar komt het

accesspoint WAC540 met drie wifimodules

bij (wifi 5 met vier streams, 1 × 2,4 GHz, 2

× 5 GHz) voor omgevingen met veel clients

en de wifirouter WAC124 (11n-300 en 11ac-

1733). Later dit jaar komt Netgear met

een opvolger voor het meshsysteem Orbi.

Dat model (RBK152) zal drie wifimodules

bevatten met Qualcomm-chips. De module

voor de meshbackbone zal gebruikmaken

van 11ax, met vier MIMO-streams. (mdt)

Het plafond bij apps is nog lang niet bereikt.

Volgens recent onderzoek van App Annie (zie

de link onderaan dit artikel) groeit de markt

voor apps nog steeds flink en was 2018

(opnieuw) het beste jaar ooit.

Consumenten gaven in 2018 circa 101

miljard dollar uit via de verschillende app-

stores. Dat is 17% meer dan de 86 miljard

dollar in 2017, en om dat in perspectief te

zetten: dat is meer dan er wereldwijd in de

muziekindustrie omgaat. De wereldwijde

inkomsten via app-stores waren in 2017 al

hoger dan de totale opbrengsten van alle

bioscoopfilms dat jaar. Het grootste deel van

de uitgaven, zo'n 74%, gaat nog steeds naar

games. Maar uitgaven voor andersoortige

apps zijn wel gestegen van 18 naar

26 procent, mede dankzij de toegenomen

apps met abonnementskosten.

Het rapport bevat verder nog wat an-

dere aardige cijfers. Zo besteedden consu-

menten in 2018 anderhalf keer zo veel tijd

aan apps als in 2016. In volwassen markten

lag het gemiddelde op bijna drie uur per

dag. Het grootste deel van die tijd (50%)

kwam voor rekening van sociale apps en

communicatie-apps. Drie apps van Face-

book (Facebook, WhatsApp en Messenger)

vormen dan ook de top drie van de apps

die de meeste actieve gebruikers hebben.

De verschillende cate gorieën waaraan

daarna het meeste tijd werd besteed zijn

videospelers en -editors (15%) en games

(10%). Van elke 10 minuten die werden

besteed aan videostreaming, kwamen er

9 voor rekening van YouTube.

Bij de games valt op dat een casual-

game als Candy Crush Saga altijd nog

meer actieve gebruikers heeft en meer

geld ophaalt dan het gehypete PUBG mo-

bile. Uitgaven aan dating-apps stegen van

2016 tot 2018 met 190% en Tinder is in

die categorie nog steeds nummer 1. Voor

2019 verwacht men dat de uitgaven in

app-stores verder stijgen naar 120 miljard

dollar, mede dankzij de toegenomen hoe-

veelheid beschikbare premium content en

diensten. Hoe dan ook, apps blijven een

aantrekkelijke markt. (mdt)

www.ct.nl/softlink/1903016

De microcontroller ESP32 is niet alleen

geliefd voor elektronicaprojecten. De firma

WiPhone ontwikkelt zelfs een SIP-telefoon

met die wifichip. Dat toestel is speciaal

bedoeld voor VoIP-telefonie via wifi.

WiPhone levert een kant-en-klare firmware

in de stijl van eenvoudige Nokia-telefoons.

Voor iedereen die er meer uit wil halen,

gaat de fabrikant de broncode publiceren

van firmware en hardware. Daarmee moet

het makkelijker worden om projecten

vanuit bijvoorbeeld de Arduino-IDE naar de

WiPhone om te zetten. Aan de achterkant

is ruimte voor extra hardware. Die extra

printplaten worden via veercontacten met

de ESP32 verbonden. WiPhone heeft een

knutsel-breadboard op de planning staan,

een LoRa-modem (LoRaWAN voor IoT-

toepassingen) en een RGB-matrix.

De ESP32-WiPhone zou in deze

'hacking'-versie in het derde kwartaal

van dit jaar op de markt moeten komen.

Volgens de fabrikant staat er ook een

consumentenversie zonder extra hardware

in de planning, maar meer details hebben

we daar nog niet over vernomen. (mdt)

Wifi 6 komt naar meshsystemen

App-etijtelijk

Opensource wifitelefoon

TP-Link wil met de Deco X10 als eerste fabrikant een meshsysteem uitbrengen met de nieuwe wifigeneratie.

De WiPhone is geschikt om met VoIP te bellen via wifi. Je kunt de hardware ook als basis gebruiken voor je eigen program meer­projecten.

16 c’t 2019, Nr. 3

Nieuws | Mobiel

Door drie veiligheidslekken in de log-

functie van init-opvolger systemd kunnen

aanvallers beheerrechten verkrijgen op

Linux-systemen. De lekken zitten in alle

Linux-distributies die systemd gebruiken

voor het starten van processen, alhoewel

het lek niet op alle distributies kan worden

uitgebuit. De veiligheidsvoorzieningen

die de ontwikkelaars bij het compileren

van hun softwarecomponenten getroffen

hebben op de Suse-producten SLES 15 en

OpenSuse Leap 15, evenals die op Fedora

28 en 29, hebben ervoor gezorgd dat die

systemen ongevoelig zijn voor de lekken.

Voor de meeste andere Linux-distributies

waarbij systemd wordt gebruikt, wordt in-

middels aan veiligheidsupdates gewerkt of

zijn die al beschikbaar. Onder andere Red

Hat en Debian komen binnenkort waar-

Eigenlijk werd de nieuwe versie 5.0 van de

Linux-kernel al eind vorig jaar verwacht,

maar toen is tegen de verwachtingen in

toch nog versie 4.20 verschenen. Maar nu

is het dan toch zover: de hoofdontwikke-

lingsfase is voltooid en zoals uit de commit

van de eerste release-candidate blijkt, is

4.21 toch 5.0 geworden. We moeten ech-

ter niet te veel betekenis hechten aan de

naamsverandering naar een nieuwe hoofd-

versie, aldus Linus Torvalds.

Zoals Torvalds in de Linux-kernel-

mailing-list schrijft, zouden er ondanks

het nieuwe major-release-nummer geen

bijzondere nieuwe features in de kernel

verschijnen om die nummerwijziging te

rechtvaardigen. Torvalds grapt dat de of-

ficiële reden – als je die dan echt moet

hebben – om van 4.21 naar 5.0 te gaan

was dat hij "niet meer genoeg vingers en

tenen had om op te tellen". Afgelopen no-

vember werd al gespeculeerd of op versie

4.19 versie 5.0 zou volgen, net zoals in 2015

van 3.19 naar 4.0 werd overgestapt. Maar

Torvalds had geen zin om zich aan een

bepaald nummerschema te moeten hou-

den, waardoor besloten werd om eerst nog

kernel 4.20 uit te brengen.

De Git-repository van 5.0-rc1 omvat

momenteel ongeveer 6,5 miljoen objec-

ten, schrijft Torvalds. De merge-window

was met 11.000 commits gemiddeld wat

omvang betreft. Ongeveer de helft van de

commits bestaat uit drivers, 20 procent zijn

updates voor architecturen, 10 procent zijn

tools en de overige 20 procent betreffen

allerlei verschillende dingen, zoals docu-

mentatie, netwerk, bestandssystemen,

headerfiles of kernel-core.

Tussen de – zoals gebruikelijk – talloze

vernieuwingen, zitten er enkele die het

noemen waard zijn: ondersteuning voor

AMD FreeSync, merge van de driver voor

het Raspberry Pi-touchscreen, rudimentai-

re ondersteuning voor de Turing-gpu's van

Nvidia en een nieuw Console-lettertype

voor HiDPI-/Retina-displays.

De kernelontwikkelaars hebben ech-

ter ook een wijziging aangebracht die tot

protest heeft geleid. Er is een interface ver-

wijdert die onder andere gebruikt wordt

door de bestandssysteemmodule ZFS on

Linux (ZoL). Daardoor kan ZoL niet meer

door Linux 5.0 worden gecompileerd. De

ZFL-module maakt geen deel uit van de

Linux-kernel vanwege licentie-incompati-

biliteiten.

Concreet betreft het de benadering

van de floatingpoint-functies van x86-

cpu's, die tot nu toe via de functies __ker-

nel_fpu_begin() en __kernel_fpu_end()

verliepen. Die zijn in versie 5.0 verwijderd

omdat geen enkele code die in de main-

stream kernel zit die functies nog gebruikt.

Bovendien werden ze al langer geleden ge-

markeerd als 'deprecated'.

De alternatieven in de vorm van de functies

kernel_fpu_begin() en kernel_fpu_end()

zijn uitsluitend vrijgegeven voor software

met GPL of compatibele licenties. ZFS on

Linux valt echter onder de CDDL (Common

Development and Distribution License),

die in het algemeen niet compatibel is met

de GPL-licentie. Daarom mag deze module

de functies niet gebruiken.

Enkele ontwikkelaars hadden aange-

vraagd om die interfaces te openen, maar

dat heeft kernelontwikkelaar Greg Kroah-

Hartman afgeschoten: "Mijn tolerantie

voor ZSF is helemaal op. Sun heeft expliciet

aangegeven dat hun code niet op Linux

mag werken, dus waarom zouden we ons

in allerlei bochten wringen om hun code

goed aan de praat te krijgen?" (ddu)

Linux veiligheidslekken in systemd

Eerste RC-versie van kernel 5.0

schijnlijk met updates voor hun systemd-

pakket.

Bij de lekken gaat het om twee al-

gemene fouten in het geheugenbeheer

(CVE-2018-16864, CVE-2018-16865) en

een bufferoverflow (CVE-2018-16866) in de

systemd-journald-functie. De drie lekken

zitten al jarenlang in de code van het init-

system, de oudste werd geïntroduceerd in

systemd v38 uit eind 2011. Deels konden

de zwakke plekken pas worden uitgebuit

door wijzigingen die later aan de broncode

zijn gedaan.

De bufferoverflow verdween overi-

gens weer in augustus 2018 door een toe-

vallig bijeffect van andere wijzigingen die

aan de code werden aangebracht. Dit lek

betreft daarom ook alleen systemd-versies

tot v235.

De lekken werden ontdekt door veilig-

heidsbedrijf Qualys. Bij nader onderzoek

naar een andere kwetsbaarheid ontdekten

de onderzoekers toevallig dat het journald-

proces crasht wanneer het meerdere mega-

bytes aan commandline-argumenten moet

verwerken. Dergelijke crashes duiden vaak

op een geheugenfout en zijn de eerste stap

naar het vinden van exploits waarmee scha-

delijke code kan worden uitgevoerd, of –

zoals in dit geval – beheerrechten kunnen

worden verworven. Het systemd-lek alleen

is nog niet genoeg voor een aanvaller om

een Linux-systeem over te nemen. Maar hij

kan zichzelf daarmee wel beheerder maken

als hij op een andere manier het systeem al

overgenomen heeft. Dergelijke methoden

om beheerrechten te krijgen zijn gewilde

tools voor hackers. (ddu)

17c’t 2019, Nr. 3

Nieuws | Linux

Naast alle prachtige en soms

vreemde producten op de CES in

Las Vegas, gunden ook chipfabri-

kanten AMD en Intel een blik in de

toekomst.

Christof Windeck

Op haar eerste CES-keynote stelde

AMD-baas Lisa Su trots dat de

meeste dingen bij AMD geheel

volgens plan verlopen. Het enige con-

crete product dat het bedrijf toonde, was

echter de Radeon VII. De grafische kaart

is gebaseerd op de Radeon Instinct MI50

accelerator-kaart.

Su sprak daarnaast over de komende

cpu's en liet een derde generatie Ryzen in

een AM4-behuizing zien, zonder metalen

afdichting. Ze sprak er uitvoerig over dat

deze 7nm-Ryzen net als de nieuwe Epycs

als een combinatie van meerdere chiplets

zijn opgebouwd. De acht-core-cpu die ze

liet zien was opgebouwd uit een 7nm-cpu-

chiplet en een I/O-chiplet. De octocore

Zen-2-cpu haalde op Cinebench R15 een

score van 2057 punten, waarmee hij net

iets sneller is dan een Core i9-9900K, die

eveneens acht kernen heeft. Dat is tevens

een indicatie dat Zen 2 een stuk beter gaat

presteren qua singlethreadperformance.

Tegelijk zou hij tot 30 procent zuiniger

moeten zijn. De Rome-Epycs zullen vol-

gens AMD halverwege dit jaar verschijnen.

CPU's op CESAMD gaat voor 7nm-techniek, Intel combineert Core en Atom

Inmiddels zijn de Ryzen 5 3500U en Ryzen

7 3700U mobiele cpu's verschenen. Dit

zijn geen Zen-2-chips, maar 12nm-versies

van de Ryzen 2000 mobiele cpu's (14 nm).

Lisa Su noemde een accuduur tot wel 12

uur. Dat is inmiddels redelijk gemiddeld.

De Dell XPS 13 haalt bijna 20 uur, de HP

Spectre Folio maar liefst meer dan 40. AMD

kan bovendien eindelijk aan alle vraag

voldoen. Dat betekent dat er meer Ryzen-

notebooks zullen verschijnen omdat de

chipmaker voldoende chips kan leveren.

In het andere kamp verklapte Intel op

de CES details over de Lakefield mobiele

processor, die dan van de nieuwe Faveros-

techniek voorzien gaan worden, waarbij

meerdere 10 nanometer-dies zullen wor-

den gebruikt. Dat luidt de introductie in de

x86-wereld in van het big.LITTLE-concept

van ARM, waarbij zeer krachtige met zeer

zuinige cpu-cores worden gecombineerd.

Bij Lakefield betreft het waarschijnlijk eer-

der een Ice-Lake-processor in combinatie

met de Sunny-Cove-architectuur, samen

met vier Atom-kernen, mogelijk al met

de Tremont-techniek. Een LTE-modem

noemde Intel niet, maar liet wel zien dat

er een simkaarthouder zat op de compac-

te printplaat van een Lakefield-notebook.

Lake field is Intels tegenhanger voor de

Snapdragon-notebooks met ARM64-Win-

dows, wat Microsoft 'Always Connected'-

pc's noemt.

Ook presenteerde Intel zoals verwacht

de F-versie van de Core i-9000. Voor het

eerst sinds 2012 zijn dit desktop-cpu's zon-

der ingebouwde graphics, bijvoorbeeld bij

de octocore-cpu Core i9-9900KF. Dat biedt

nauwelijks een kostenvoordeel voor ge-

bruikers, en de kloksnelheid, de cache en

het TDP zijn identiek aan de Core i9-9900K.

Of Intel gewoon de gpu uitschakelt of dat

de F-cpu's daadwerkelijk een kleinere die

hebben om de problemen met de levering

van processors te compenseren, is voorals-

nog onduidelijk.

Het enige nieuw voorgestelde model

met UHD-630 graphics is de Core i5-9400

met zes kernen. Ook is er de overklokbare

Core i3-9350KF met vier kernen, waarbij

Intel in tegenstelling tot de Core i3 voor

desktop-pc's ook een turbo-modus heeft

toegevoegd.

De Core i3-8100F hoort bij de achtste

generatie, die ook geen gpu heeft en in

tegenstelling tot de Core i-9000-serie niet

beschermd is tegen de beveiligingslekken

Meltdown V3 en L1 terminal fault.

KernsplitsingMaxim Goryachy en Mark Ermolov van

het Russische securitybedrijf Positive

Techno logies dringen steeds verder in

de Intel-cpu's door en hebben met de in-

gebouwde trace hub geëxperimenteerd.

Die biedt krachtige debuggingfuncties,

waaronder een logic analyzer die Visua-

lization of Internal Signals Architecture,

oftewel VISA heet. Deze biedt toegang

tot de Intel On-Chip System Fabric (IOSF),

die functie blokken op een chipset, res-

pectievelijk System-on-Chip met elkaar

verbindt. Het is als het ware Intels versie

van ARM's AMBA.

Trammell Hudson presenteerde op

de 35C3 zijn inzichten over de Chine-

se spionagechips, die naar verluidt op

Supermicro- serverboards zouden zitten.

Hij toonde aan hoe complex het wel

niet zou zijn om ergens gedurende het

fabricage proces er stiekem chips bij te

solderen. Een realistischer scenario leek

hem dat ergens tijdens de transportketen

moederborden worden omgewisseld met

gemanipuleerde versies. (ddu) c

De AMD Zen-2-Ryzen: rechtsboven zit-ten acht cpu-cores op een 7nm-chiplet. De I/O-chiplet is iets groter en onder-steunt PCIe 4.0. Er daarbij is nog plek over voor een tweede cpu-chiplet en daarmee 16 kernen.

Core i-9000-processors (LGA1151v2, 14 nm)

Processor Kernen / threads Kloksnelheid / turbo Graphics TDP Prijs

Core i9-9900KF 8 / 16 3,6 / 5,0 GHz niet aanwezig 95 W $ 488

Core i7-9700KF 8 / 8 3,6 / 4,9 GHz niet aanwezig 95 W $ 374

Core i5-9600KF 6 / 6 3,7 / 4,6 GHz niet aanwezig 95 W $ 262

Core i5-9400 6 / 6 2,9 / 4,1 GHz UHD 630 65 W $ 182

Core i5-9400F 6 / 6 2,9 / 4,1 GHz niet aanwezig 65 W $ 182

Core i3-9350KF 4 / 4 4,0 / 4,6 GHz niet aanwezig 91 W $ 173

Core i3-8100F 4 / 4 3,6 / n. a. niet aanwezig 65 W $ 117

18 c’t 2019, Nr. 3

Nieuws | Processors

3x c't magazinevoor  maar  €15,-

i.p.v. €20,85

Bestel nu op: www.fnl.nl/ctabo

de meter en de seconde, die tegenwoordig

ook zijn gedefinieerd op basis van constan-

ten (respectievelijk de lichtsnelheid en de

trilling van Cesium-atomen). Le Grand K

verliest zijn betekenis en kan in het mu-

seum gezet worden, naast de metalen staaf

van (circa) één meter.

De nieuwe officiële definitie is wel min-

der goed te vatten dan een stuk metaal: de

kilogram, symbool kg, is de SI-eenheid van

massa en is gedefinieerd door de vaste nu-

merieke waarde van de Planck-constante

h van 6,62607015 × 10-34 uitgedrukt in de

eenheid J × s, die gelijk is aan kg × m2 × s-1,

waarbij de meter en seconde zijn gedefini-

eerd in termen van c en ∆νCs. Met behulp

Sinds 1889 gold als maatstaf voor wat een

kilogram precies is een stuk platinum-iridi-

um in het Franse Sevres. Dat blok metaal

stond ook wel bekend als The International

Prototype Kilogram, oftewel 'Le Grand K'.

Alle weegschalen ter wereld zijn (indirect)

op basis van die Grand K gekalibreerd. Er

zijn enkele tientallen replica's van gemaakt,

die verspreid over de wereld bewaard wor-

den. Bij een vergelijking van de kopieën

met het origineel kwam echter aan het licht

dat Le Grand K lichter is geworden dan de

kopieën. Hoe dat kan weten wetenschap-

pers echter niet, want het object is veilig

beschermd opgeborgen in een kluis. Toch

is de maatstaf voor de kilo in de loop der

tijd bijna 50 microgram lichter geworden.

Wetenschappers hebben daarom gezocht

naar een nieuwe manier om de kilogram

te definiëren. Eind vorig jaar is men het al

eens geworden over die nieuwe definitie

en die wordt over enige tijd van kracht,

vanaf 20 mei 2019.

In het Système international d'unités

(SI) wordt de kilogram voortaan gedefi-

nieerd op basis van de Planck-constante.

Daarmee volgt hij in de voetstappen van

van een vernuftig apparaat, de Kibble-

balance, kan de Planck-constante worden

gemeten en daarmee het gewicht van een

object. In tegenstelling tot de Grand K, is

de Kibble-balance geen eigendom van

een instelling of overheid en kan iedereen

met voldoende middelen er een maken.

Daarmee is de kilogram als het ware ook

opensource geworden. Niet alleen de ki-

logram krijgt vanaf 20 mei overigens een

andere definitie, ook andere SI-eenheden

zijn vanaf dan afgeleid van fundamentele

natuurkundige constanten. Zie de link voor

een compleet overzicht. (mdt)

www.ct.nl/softlink/1903020

In Europa bevindt zich de grootste 'machi-

ne' ooit gemaakt, de Large Hadron Collider

(LHC). Die ondergrondse deeltjesversneller

in de buurt van het Zwitserse Genève is

ringvormig, met een omtrek van bijna 27

kilometer (26659 m). Onderhouds- en be-

veiligingspersoneel verplaatst zich dan ook

per fiets door de tunnels van het complex.

Tijdens onderzoeken worden meer dan

750 TB aan data per seconde gegenereerd,

die via een speciaal netwerk naar onder-

zoeksgroepen wereldwijd gestuurd wor-

den. De LHC is onder andere gebruikt om

het bestaan aan te tonen van het Higgs-

boson, dat belangrijk is voor het huidige

standaardmodel van deeltjesfysica. Overi-

gens was het CERN, de organisatie die de

LHC beheert, ook de geboorteplaats van

het World Wide Web: Tim Berners Lee be-

dacht hyperlinks en maakte de allereerste

website in zijn tijd bij het CERN. Die site

uit 1991 is nog steeds online (zie de link).

De LHC moet volgens planning nog

tot 2035 in gebruik blijven, maar aan een

opvolger wordt gewerkt. De onderhouds-

en bedrijfskosten nemen bijvoorbeeld niet

af, terwijl er wel steeds minder nieuwe of

nauwkeuriger data mee vergaard kunnen

worden. De bouw van een deeltjesversnel-

ler kan al gauw 15 tot 20 jaar duren. CERN

heeft dan ook onlangs plannen bekendge-

maakt voor een nieuwe deeltjesversneller,

die nog een maatje groter moet worden.

In die plannen, de Future Circular Col-

lider Study (FCC), gaat men uit van een

versneller die deeltjes kan laten botsen

met energieën van 100 TeV (teraelectron

volt, 1,60217662 × 10-7 joules). De LHC is

ontworpen voor maximaal 14 TeV. Voor de

subatomaire deeltjes waar het om gaat is

dat absurd veel energie. Om de plannen

in de FCC te verwezenlijken, wordt een

deeltjesversneller gepland met een om-

trek van 100 kilometer. Die zou in de buurt

komen van de huidige LHC, waardoor ge-

profiteerd kan worden van een deel van

de bestaande infrastructuur (van netwer-

ken tot fietsendepots).

Meer dan 150 universiteiten, onder-

zoeksinstituten en bedrijven wereldwijd

werken mee aan de plannen. Met de FCC

wil men onder andere onderzoek doen

naar donkere materie, verantwoordelijk

voor circa 25 procent van het tot nu toe

bekende universum. (mdt)

www.ct.nl/softlink/1903020

Kleine k

Groot, groter, FCC

Bro

n:

Na

tio

na

l In

sti

tute

of

Sta

nd

ard

s a

nd

Te

ch

no

log

y [

Pu

bli

c d

om

ain

], v

ia

Wik

ime

dia

Co

mm

on

sHier zie je Kilogram No. 20 (rechts), een

kopie van de Grand K die in de VS werd be-waard, en de daarvan

afgeleide Kilogram No. 4.

Op deze schets zijn de afmetingen en de geplande lo-catie voor de FCC zichtbaar. Linkson-der het traject van de LHC.

20

Nieuws | Wetenschap

c’t 2019, Nr. 3

Hg FreeLead FreePowerSensor LightSensor241B7QGJEB

B Line 24”

Zo groen als een monitor kan zijnEnergie zuinig, milieuvriendelijke materialen

22 c’t 2019, Nr. 3

Nieuws | Bitcoin bestaat 10 jaar

AfgerondBitcoin en de blockchain bestaan 10 jaar en houden het goed vol

Slecht voor het klimaat, totaal onge-

schikt als betaalmiddel, irrelevant

en sowieso veel te beperkt: crypto-

currency is niet veel soeps als je de

kritieken mag geloven. Maar ook na

tien jaar draait de bitcoin-blockchain

nog steeds volgens dezelfde regels

als in het begin. De concurrentie had

allerlei noodgrepen en forks nodig

om in leven te blijven. Dat is toch een

behoorlijke prestatie van bitcoin-

uitvinder Satoshi.

Mirko Dölle

Satoshi Nakamoto kondigde op

9  januari 2009 het eerste block van

zijn revolutionaire nieuwe betaal­

middel aan, precies ten tijde van de glo­

bale financiële crisis waarbij regeringen

hun boven de afgrond bungelende banken

met vele miljarden boven water moesten

houden. Het moest compleet onafhankelijk

zijn van banken en regeringen, decentraal

en democratisch en niet te reguleren of

manipuleren. Dat staat loodrecht op het

bestaande conservatieve bankensysteem

dat vele miljarden kreeg toegeschoven en

alsnog moeite had om te blijven draaien.

Maar hoe werkt zo'n betaalmiddel

waarbij er geen centrale plek is die tegoe­

den beheert of overschrijvingen doorvoert?

Hoe voorkom je fraude en manipulatie,

zonder klachtenorgaan en zonder jurisdic­

tie? De crux zit hem het stoppen van alle

transacties in een openbare blockchain.

Die data structuur leren informaticastuden­

ten in het eerste semester al kennen onder

de naam singly linked list (gelinkte lijst).

Elk knooppunt van die lijst bevat behalve

de (transactie)data een verwijzing naar het

volgende knooppunt. Satoshi noemde de

knooppunten blocks en de vertakte lijst met

blocks de blockchain.

Wat nieuw was, is dat de blocks niet

op basis van hun nummer in de blockchain

worden gehangen, maar dat een opvol­

gend block een verwijzing bevat naar de

hashwaarde van zijn voorganger. Daarmee

werd de hashwaarde van een block hét

belangrijke onderdeel. Zo'n hashwaarde is

min of meer de vingerafdruk van de data.

Als je ook maar één enkele bit van de data

aanpast, verandert de gehele hashwaarde.

Hoe zo'n verandering precies uitvalt,

valt niet te voorspellen. Het is niet moge­

lijk de data heel bewust op zo'n manier

samen te stellen dat er een bepaalde hash­

waarde uit komt rollen. Als je een specifieke

hashwaarde wilt bereiken, moet je de data

23c’t 2019, Nr. 3

Nieuws | Bitcoin bestaat 10 jaar

De huidige Antminer-apparatuur (hier in een serverrack) berekent bitcoin-hashes miljarden keren sneller dan de cpu's van 2009. De difficulty zorgt er voor dat slechts elke tien minuten een nieuw block ontstaat.

steeds maar weer veranderen, opnieuw de

hashwaarde berekenen en controleren of de

nieuwe waarde is wat je wilt hebben. Bij bit­

coin is die manier van werken nog een stuk

lastiger omdat uit de SHA256­waarde van de

data weer een SHA256­hash wordt berekend

die op zijn beurt de ID van het block vormt.

Doordat elk block in de enkelvoudig

gekoppelde bitcoin­blockchain naar de

hashwaarde van zijn voorganger verwijst,

wordt niet alleen de volgorde van blocks

in de blockchain bepaald. Tegelijk is via de

hash te controleren of er ook maar één en­

kele bit van het eerdere block achteraf ge­

manipuleerd is. Elke wijziging betekent dat

het block een andere hashwaarde krijgt dan

geregistreerd staat.

Wil je de gegevens van het vorige block

manipuleren, dan moet je niet alleen de

hashwaarde daarvan opnieuw berekenen,

maar je moet ook die van het laatste block

manipuleren om ervoor te zorgen dat de

daarin genoemde hashwaarde van de voor­

ganger hetzelfde is als die van de gemani­

puleerde versie. Hoe verder je terug gaat

qua blocks, hoe meer blocks je opnieuw

moet berekenen.

Hier en daar een drempelDe gangbare cpu's uit 2009 kregen het al

voor elkaar de hash van een block meerdere

miljoenen keren per seconde opnieuw te

berekenen. De hashperformance van door­

snee desktop­cpu's lag op dat moment tus­

sen de 1 tot 25 megahashes per seconde

(MH/s). Een enkele pc had de bitcoin­block­

chain compleet kunnen aanpassen.

Om te zorgen dat dit niet gebeurt, heeft

Satoshi dat met een extra moeilijkheids­

graad (difficulty) lastiger gemaakt. Die houdt

in dat de hashwaarde van een acceptabel

block minimaal een bepaald aantal nullbits

aan het begin moet hebben staan. Als de

hashwaarde van een nieuw block niet ge­

noeg nullen heeft, kan de pc een daarvoor

bestemde teller in het block ophogen, de zo­

genaamde Nonce. Aangezien de aanpassing

van de Nonce onvoorspelbare uitwerkingen

op de hashwaarde heeft, kan de pc niks

anders doen dan de hashwaarde opnieuw

bepalen en hopen dat er genoeg nullen in

staan. De zoektocht naar een hashwaarde

met een goede lengte die geldig is, wordt

daarmee in principe een loterij.

Satoshi wilde ook dat bitcoin decen­

traal en democratisch is. Iedereen moet

aan het uitbreiden van de blockchain

kunnen meewerken en niemand moet de

volledige controle kunnen krijgen over de

crypto valuta. Wanneer er meerdere pc's

tegelijk naar een specifieke hashwaarde

zoeken, neemt de kans dat er een een hit

krijgt aanmerkelijk toe. Bij de groei van de

hardware performance moet dan ook de

moeilijkheidsgraad mee omhoog.

Harde klapSatoshi had daar een briljante oplossing

voor: hij legde vast dat de moeilijkheids­

graad automatisch per twee weken gelijk­

matig toenam, zodat elke 10 minuten een

nieuw block werd gemined. Als de laatste

2016 blocks van een blockchain sneller

zijn berekend dan in de vastgestelde twee

weken, neemt de moeilijkheid automatisch

toe met een factor gelinkt aan de 'te hoge'

snelheid van de pc's. Als het echter langer

dan twee weken duurt om 2016 nieuwe

blocks te vinden, neemt de difficulty met

dezelfde factor af. Zo kan iedereen aan de

hand van de blockchain de huidige difficulty

bepalen. Er is geen centrale plek of organisa­

tie nodig die de difficulty bewaakt. De voor­

uitziende blik in het design qua moeilijkheid

en de keuze van tien minuten per block, zie

je terug bij de bitcoin­fork bitcoin cash.

Een van de ontwikkelaars van bitcoin

cash had als kritiek richting bitcoin dat de

difficulty over een erg lange tijd wordt ge­

meten. Daardoor past die zich maar beperkt

aan de wereldwijde rekenperformance aan.

Toen bitcoin cash zich in augustus 2017 af­

splitste van bitcoin, werd er een eigen 'beter'

algoritme ingebouwd dat de difficulty veel

sneller aan de hashperformance moet aan­

passen. Dat leverde een pijnlijke uitglijder

op: op bepaalde momenten ontstonden

meerdere nieuwe blocks slechts een paar

seconden of minuten na elkaar, daarna een

half uur niets, tot er weer een zwik nieuwe

blocks opdook. Dat zorgde voor zo veel

problemen dat er al na drie maanden een

nieuwe hard fork werd doorgevoerd en het

algoritme voor de moeilijkheidsgraad werd

opgefrist.

De difficulty verandert alleen voor

nieuwe blocks in de bitcoin­blockchain,

nooit voor de oude. Dat leidt ertoe dat het

erg makkelijk is de in 2009 uitgebrachte

blocks in een aantal uur te manipuleren en

daarna opnieuw te berekenen. De huidige

specialistische hardware is miljarden keren

krachtiger dan de cpu's uit die tijd. Maar na

de blocks uit 2009 moet je ook alle blocks

uit 2010 opnieuw berekenen. Dat gaat al

een flink stuk trager, dat was de tijd waar­

bij al grafische kaarten werden ingezet voor

hashwaardeberekeningen omdat die veel

meer performance boden dan cpu's. Daar­

door nam de difficulty aanmerkelijk toe.

Ben je bij een herberekensessie dan bij de

blocks uit 2013 aangekomen, dan wordt het

nog een stuk lastiger. In die tijd werden de

eerste ASIC­miners ingezet. Die zijn tot de

dag van vandaag de standaard en de per­

formance ervan is de afgelopen jaren meer­

dere malen verveelvoudigd. Hoe dichter je

met je manipulatie bij de huidige stand

van zaken komt, hoe lastiger het wordt om

het volgende block te vinden. En al die tijd

worden er elke tien minuten weer nieuwe

blocks aangemaakt die je dan later weer

opnieuw moet berekenen. Dat moet dan

gebeuren in minder dan tien minuten, want

anders heb je geen kans om in te halen. De

enige manier waarop dat zou kunnen luk­

ken is als iemand meer dan 50 procent van

de wereldwijde rekenperformance voor bit­

coin in kan zetten. In zo'n geval spreek je

van een 51­procent­aanval. Daarmee is het

(met veel moeite en geduld) mogelijk om

de cryptovaluta te manipuleren.

Vijandige overnameDe bitcoin­fork bitcoin gold werd in mei

2018 het slachtoffert van twee 51­procent­

aanvallen, de nachtmerrie voor elke crypto­

valuta. De aanvallers hadden de controle

over meer rekenperformance dan op dat

moment verwacht werd en door de diffi­

culty in acht genomen werd. Daardoor werd

er bitcoin gold met een waarde van 10 mil­

joen dollar verkocht en kort daarna werden

dankzij de overweldigende rekenkracht

24 c’t 2019, Nr. 3

Nieuws | Bitcoin bestaat 10 jaar

De blockchain bevat niet alleen transacties, maar biedt de mogelijkheid er allerlei soorten informatie in op te slaan. Behalve tekst en programmacode staan er ook allerlei afbeeldingen in de blockchain opgeslagen.

beloning voor elk opgeduikeld block krijg

je nieuwe bitcoins. Daarom noem je pc's die

de transacties voor nieuwe blocks afhande­

len miners: net als gouddelvers vinden ze

nieuwe blocks en daardoor nieuwe bitcoins.

Een zeer slimme zet van Satoshi, die in één

klap meerdere problemen oplost.

Geld uit het nietsToen Satoshi Nakamoto begin januari 2009

het zogenaamde genesis­block met de

hand berekende, waren er geen bitcoins om

over te zetten of pc's die transacties naar

nieuwe blocks ombuigen. Vandaag de dag

wordt dit kip­eiprobleem opgelost doordat

diegene die een nieuwe cryptovaluta start

eerst alle muntaantallen vooraf berekent en

die tegen geld aan investeerders verkoopt,

zelfs nog voordat de blockchain van start

gaat. Dat wordt een Intitial Coin Offering

(ICO) genoemd. Voor de bedenker is dat

erg lucratief, want het idee is voor veel geld

van de hand gedaan voordat er bewezen is

dat het zijn werk ook echt doet. Daarmee is

er geen aanleiding om de cryptomunt ook

echt van start te laten gaan. Vooral in 2017

en begin 2018 werden veel onwetende in­

vesteerders zo van hun geld af geholpen.

Door dat massale misbruik zijn ICO's in veel

landen inmiddels streng gereguleerd.

Satoshi koos echter voor een belo­

ning voor het vinden van nieuwe blocks.

Zo kreeg Satoshi voor zijn met de hand in

elkaar gezette genesis­block een beloning

van 50 bitcoin, waardoor de eerste 50 bit­

coins tot stand kwamen. Dat was een goede

reden om met je eigen pc nieuwe blocks te

berekenen en de blockchain in leven te hou­

den. Veel cryptomunt­enthousiastelingen

van het eerste uur lieten hun pc dan ook

minen als die niets stond te doen.

Veel bitcoinvermogen stamt uit die

tijd. Zo ook bij informaticus James Howell

uit Newport. Hij was in 2009 begonnen met

het minen op zijn pc en had een flinke 7500

bitcoin bij elkaar gezocht. In 2013 gooide

hij zijn pc echter de deur uit, met daarin de

schijf met de enige kopie van zijn bitcoin­

wallet. Dat was vervelend, maar geen ramp,

tot begin 2011 was een bitcoin slechts een

paar cent waard. In 2013 lag de prijs op een

ruime tien dollar. De eerste harde stijging

kwam eind november 2013. Toen tikte de

koers kort 1000 dollar per bitcoin aan. Het

jaar daarop zakte het weer in tot 250 dollar.

Pas eind 2016 kwam de bitcoin weer

op zijn oude niveau en steeg verder. In

december 2017 werd er 20.000 dollar per

bitcoin betaald. Howells verloren wallet was

nu ineens 150 miljoen dollar waard. Geen

wonder dat hij spijt kreeg en op de vuilnis­

belt van Newport naar naar zijn harde schijf

wilde zoeken. Maar hij kreeg geen toestem­

ming, waarmee 0,36 promille van de totale

hoeveelheid bitcoin permanent verloren is.

Satoshi heeft namelijk het aantal bit­

coins dat gemaakt kan worden begrensd

op 21 miljoen stuks. De beloning halveert

elke vier jaar, zodat de beloning in 2140

neerkomt op niets. Het kleinste 'deel' van

een bitcoin ligt op een honderdmiljoenste.

Ter ere van de bedenker wordt die kleinste

unit een satoshi genoemd. Daarna komen

er geen bitcoins meer bij.

Het halveren van de beloning na elke

210.000 blocks zorgt ervoor dat miners niet

op subsidie kunnen draaien. De gebruiks­ en

stroomkosten moeten op een andere manier

worden afgedekt. Daar is de transaction­fee

voor bedacht, een soort van transactiekos­

ten. Als klant van een normale bank kun je

niet om eventuele transactiekosten heen. Bij

bitcoin heb je dat zelf in de hand: je bepaalt

hoeveel geld je wilt neerleggen voor het

uitvoeren van een overschrijving. Compleet

gratis afhandelen is ook een optie.

nieuwe, gemanipuleerde blocks berekend

waarin die verkoop nergens te bekennen

viel. Daardoor verdween die uit de bitcoin­

gold­blockchain en hadden de daders gratis

geld binnengeharkt. Ook de bitcoin­fork bit­

coin private kreeg medio oktober te maken

met een vijandige overname, maar dan 'ter

demonstratie': de hacker Geocol liet in een

livestream zien hoe simpel het is.

De plundering bij bitcoin gold was mo­

gelijk omdat er in verhouding weinig pc's

aan de bitcoin­gold­blockchain rekenden.

Als daders moedwillig een paar dagen een

flinke rekenkracht in een datacentrum huur­

den, hadden ze in één klap veel meer hash­

performance voor bitcoin gold dan de rest

van de wereld. De aanval op bitcoin private

was al helemaal eenvoudig: met een paar

honderd dollar aan miningpeformance was

Geocold al klaar.

Zo'n aanval op bitcoin is zelfs door re­

geringen niet meer voor elkaar te krijgen.

Bij de bitcoin­blockchain is er sprake van te

veel rekenperformance. Wereldwijd gaat het

om ongeveer 40 EH/s. Dit komt overeen met

30 miljoen van de meest krachtige pc's met

een verbruik van 4 gigawatt. Juist dat grote

aantal pc's en bijbehorende forse verbruik

zorgt dat bitcoin veilig is tegen manipulatie.

De oorzaak voor deze grote getallen is

dat het werken aan de bitcoin­blockchain

de afgelopen jaren erg rendabel was. Als

Nieuws | Bitcoin bestaat 10 jaar

Maar net als bij een normale marktwerking

bepalen vraag en aanbod de prijs. Beheer­

ders van mining­rigs verwerken eerst de

transacties die de meeste inkomsten op­

leveren. Overschrijvingen zonder fees wor­

den pas afgehandeld als er geen betaalde

transacties meer zijn. Daarom moet je soms

dagen wachten voordat je transactie zonder

fee wordt uitgevoerd.

Kunstmatig beperktAls er zeer veel transacties tegelijk zijn, kan

het voorkomen dat overschrijvingen met

lagere fees of totaal geen fee niet worden

doorgevoerd. De reden is dat bitcoin­blocks

maar maximaal 1 MB groot mogen zijn. Dat

kwam medio 2017 overeen met een maxi­

mum van ongeveer 2000 transacties. Toen

bitcoin ontstond, was er eerst geen beper­

king op de grootte. Satoshi voerde die be­

perking pas op 12 september 2010 in als een

zogenaamde soft­fork. Hij wilde daarmee

voorkomen dat aanvallers met een groot

aantal vervalste blocks veel performance

en opslagplek naar zich toetrekken en de

handel met bitcoins spaak laten lopen.

De latere beperking tot 1 MB per block was

ook de reden dat de nieuwe cryptovaluta

bitcoin cash ontstond. Een deel van de bit­

coin­miners wilde de maximale grootte op

8 MB hebben, waarvoor een hard­fork nodig

was. Satoshi koos voor het aanpassen van de

bitcoin­blocks, waarbij delen van de eerder

in een block opgeslagen data een nieuwe

plek krijgt (SegWit, Segregates Witness).

Daardoor pasten meer dan twee keer zo veel

transacties in een block. Die aanpassing was

compatibel met oudere bitcoinclients, dus

het was slechts een soft­fork. Een deel van

de ontwikkelaars wilde de vergroting van de

blocks naar 8 MB alsnog doorzetten en zette

op hefzelfde moment een hard­fork door,

waardoor bitcoin cash ontstond.

Door de vooruitziende blik van Satoshi

en door veranderingen rustig en doordacht

door te voeren, is er de afgelopen tien jaar

geen enkele hard­fork nodig geweest bij de

oudste actief verhandelde cryptomunt. De

ontwikkeling van bitcoin is nog lang niet

klaar. De blocktijd kan worden verkleind tot

5 minuten, zodat het transactievolume kan

worden verdubbeld. Of de bitcoinachterban

wordt het toch eens over een hard­fork en

vergroot de maximale blockgrootte. Met

het lightning­netwerk is er ook een inte­

ressante uitbreiding voorhanden, die vooral

handig is voor snelle transacties van kleine

bedragen. Ideaal om bijvoorbeeld je kopje

koffie in het café mee af te rekenen.

De bitcoin­blockchain is zelfs geschikt

als tool voor vrije meningsuiting. Het is de

ideale plek om informatie in op te bergen

zonder dat de inhoud aangepast kan wor­

den. Dat wordt door verschillende personen

gebruikt om teksten, programmacode en

zelfs afbeeldingen in de blockchain te ver­

eeuwigen. Satoshi Nakamoto zette zelf de

eerste stap. In zijn genesis­block citeerde hij

een artikel uit de London Times van 3 janu­

ari 2009 over de plannen van de toenmalige

minister van Financiële zaken Alistair Dar­

ling, die banken met een tweede reddings­

ronde met miljarden GBP aan belastinggeld

wilde redden. Dat gaat dan over banken die

er dankzij bitcoin en zijn opvolgers in de toe­

komst wellicht niet meer zijn. We wachten

rustig af wat er op de twintigste verjaardag

te vieren valt. (avs) c

ZELF AAN DE SLAG?

1 Raspberry Pi Starter Kit €62,95

2 Raspberry Pi Camera Module V2 €29,95

3 Arduino starterkit €91,95

4 BBC Micro:Bit GO €22,95

5 BBC Micro:Bit Inventorskit €29,95

6 Prototyping Bundel Groot €25,95

1

2

Bestel nu op: www.fnl.nl/ct-shop

3

4

5

6

Privé-temperatuur

Met de slimme radiatorkranen van

Netatmo in combinatie met de Ther-

mostaat kan iedereen in huis zijn

eigen kamertemperatuur instellen.

De Thermostaat van Netatmo is een klok­

thermostaat waarmee je een verwar mings­

ketel kunt aansturen. Je kunt die op een

willekeurige plek neerzetten, maar de

temperatuur daar zal het uitgangspunt zijn

voor het in­ of uitschakelen van de verwar­

ming. De verbinding met het schakelrelais

gebeurt via 868 MHz, de thermostaat werkt

zelf op batterijen. Het relais moet via wifi

verbinding met je netwerk kunnen maken

om de app te gebruiken en het systeem

van buitenaf te bedienen. Daar is geen

abonnement voor nodig.

De Thermostaat wordt slim genoemd,

waarbij de term auto­adapt wordt gebruikt,

maar hij leert niet of er al dan niet mensen

in huis zijn om daar (week)schema's op te

baseren, zoals bij Google Nest en andere

thermostaten. Hij leert wel hoe lang het

duurt voor je huis de gewenste tempera­

tuur bereikt, zodat hij de verwarming op

tijd kan inschakelen. Wat dat betreft is de

Thermostaat een echte klokthermostaat:

je kunt er zelf schema's op instellen wan­

neer je huis verwarmd moet worden en

tot welke temperatuur. Er is geen afwezig­

heidsindicatie, wel een Afwezig­modus die

je zelf aan of uit kunt zetten.

Het installeren van de thermostaat

zou met de uitgebreide documentatie

per merk en ondersteunde typen geen

probleem moeten zijn. Hij werkt niet met

OpenTherm of modulatie, maar alleen met

een aan­uit­systeem. In sommige gevallen

is het advies om dat door een erkende in­

stallateur te laten doen. Maar in principe

kun je er elke wandthermostaat en draad­

loze thermostaat mee vervangen.

Laten we de uitgebreide portal via de

app niet vergeten te noemen, waarmee je

vrijwel in realtime kunt zien wat de tem­

peraturen binnen en buiten zijn, wat de

ingestelde temperatuur is en of de ketel

aan het werk is geweest of niet. Daar kun

Kleurig canvas

Nanoleafs interactieve ledtegels

vormen een speels gekleurd vlak

in je smarthome. De tegels kunnen

worden aangestuurd via IFTTT.

Nanoleaf ken je misschien wel van de

driehoekige Aurora­ledtegels. Deze zijn

inmiddels omgegoopt tot Light Panels.

De nieuwe Canvas zijn vierkant, wat een

stuk praktischer is dan de driehoeken. De

tegels zijn elk 15 bij 15 centimeter groot.

De startset (Smarter Kit) bevat negen te­

gels: acht ledtegels en een net zo grote

controller­tegel. De controller heeft zes

touchknoppen om het systeem ook zon­

der de app te bedienen. De set knoop je

via de Nanoleaf­app aan je wifinetwerk. Na

het instellen heb je geen internetverbin­

ding nodig voor het aansturen via de app.

Via de cloud besturen dankzij je Nanoleaf­

account (IFTTT) kan ook.

Elke ledtegel heeft vier velden die

vanaf de zijkant met rgb­ en warm witte

leds worden verlicht. De 3d­achtige patro­

nen in de tegels zijn een bewuste keuze,

het verstrooipatroon op de diffusors is on­

gelijkmatig. Daar moet je wel van houden.

De vier vlakken van een tegel zijn alleen als

geheel aan te sturen. Via de meegeleverde

'Linker'­strips verbind je tot 25 tegels aan

elkaar tot een groot lichtvlak, werkend op

een enkele adapter.

De controller­tegel bevat een kleine

microfoon. Hierdoor kan het systeem op

muziek reageren. En elke tegel heeft een

capacitief touchvlak om bijvoorbeeld een

potje Whack­a­Mole te spelen. De Canvas

zit goed in elkaar, maar de prijs is wel be­

hoorlijk pittig. Een uitbreidingsset met 4

tegels kost 80 euro. (avs)

je ook de dagschema's aanpassen of de

vorstvrijmodus activeren. Bij de Afwezig­

modus kun je aangeven tot wanneer je

weg bent – dat kan ook voor bijvoorbeeld

een langere vakantie – zodat daarna het

gewone schema weer gaat gelden. De

thermostaat is compatibel met Apple Ho­

mekit en Google Home.

De mogelijkheden van de Netatmo

Thermostaat overstijgen daarmee niet het

niveau van veel andere slimme thermosta­

ten. Het grote voordeel van dit systeem is

dat Netatmo ook radiatorkranen in het as­

sortiment heeft die kunnen communiceren

met de thermostaat. Daardoor kan elke

kamer een eigen temperatuur ingesteld

krijgen.

Het installeren van de radiatorkranen

is bij radiatoren met een thermostaatven­

tiel eenvoudig. Er worden aardig wat ver­

leng­ en koppelstukken meegeleverd. Bij

radiatoren met een handmatige kraan die

alleen aan of uit kunnen, moet een vak­

man dat doen, omdat daarbij de warmwa­

tertoevoer rechtstreeks geregeld wordt.

De radiatorkraan gaat met stapjes

van 0,5 graad omhoog of omlaag. De ra­

diatorkranen hebben een e­paperdisplay

en werken op batterijen, en zijn net als de

thermostaat allemaal verbonden met het

relais. Verder kun je met de kraan niet veel

instellen, daar heb je de app voor nodig.

Maar dat is gezien de prettige interface en

leuke grafieken geen straf.

De mogelijkheden van de Thermo­

staat komen ongeveer overeen met de

'domme' Nest Thermostat E, al is de Netat­

mo zo'n 40 euro goedkoper. De slimmere

gewone Nest­thermostaat kost met stan­

daard al snel meer dan 100 euro meer. Die

kan dan wel 'leren' wat een goed schema

zou kunnen zijn, maar kan verder niet com­

municeren met afzonderlijke radiatoren in

verschillende kamers. Dat is een duidelijk

voordeel van het Netatmo­systeem. (nkr)

Netatmo Thermostaat en

Slimme radiatorkraan

Slim verwarmingssysteem

Fabrikant Netatmo, www.netatmo.nl

Verbinding thermostaat/kranen naar relais: 868 MHz;relais naar netwerk: wifi 802.11 b/g/n (2.4 GHz) / open/WEP/WPA/WPA2-personal (TKIP en AES)

Systeemeisen iOS 9, Android 4.2, Windows, macOS

Meegeleverd thermostaat: standaard, wandbeugel, mon-tageplaat, kleurenstickers, 3 AAA-batterijen, schroeven en pluggenradiatorkraan: 6 adapters, 4 stickers, 2 AA-batterijen

Prijs slimme radiatorkraan: € 80slimme thermostaat: € 180startpakket (thermostaat en 2 kranen): € 199

Nanoleaf Canvas

Wifi-ledtegels

Fabrikant Nanoleaf, nanoleaf.me

Meegeleverd controller-tegel, 8 ledtegels, 8 Linker-strips, adapter

Stand-by 5 watt / 10,8 VA

Prijs € 200

26 c’t 2019, Nr. 3

Kort voorgesteld | Thermostaat/radiatorkraan, wifi-ledtegels

Mobiel monster

Mobiel gamen is populair. De ROG

Phone neemt spelletjes serieus

en biedt veel opties speciaal voor

gamers.

Vergeet even het idee dat de pc het ul­

tieme game­apparaat is en stel dat je

onderweg een potje Fortnite wilt spelen.

Voor dat doel heeft de ROG Phone een

speciaal geselecteerde Snapdragon 845­

chip die hogere kloksnelheden aankan:

vier van de cores halen 2,96 GHz in plaats

van de standaard 2,8 GHz. Ook de 8 GB

RAM en het 6 inch oledscherm met zijn

verversingsfrequentie tot 90 Hz met 1 ms

responstijd passen mooi in dat plaatje. Het

scherm ondersteunt HDR en is fel genoeg

voor gebruik buiten. Qua opslagruimte is

hier helaas alleen het 128GB­model goed

verkrijgbaar, de 512GB­versie zou nog

mooier zijn gezien de grootte van de hui­

dige games. Opslagruimte uitbreiden met

een geheugenkaart is niet mogelijk.

Het toestel heeft alles wat je van een

toptoestel verwacht, zoals GPS­ontvangst

(inclusief Galileo), NFC, wifi 802.11ac/ad en

Bluetooth 5.0. Achter zit een 12­megapixel

hoofdcamera en 8­megapixel groothoek

camera. Optische beeldstabilisatie is er

niet. Fijn voor gamen en films zijn de naar

voren gerichte stereospeakers, die redelijk

hard kunnen. Die zitten net als een 8­me­

gapixel frontcamera in de vrij brede randen

boven en onder het scherm.

Het design met schuine lijnen en ge­

kleurde accenten is smaakgevoelig. De vin­

gerafdrukscanner aan de achterkant werkt

helaas niet zo betrouwbaar als je gewend

bent. Op de achterkant zit ook een logo

met ledverlichting die je snel activeert of

uitschakelt door te knijpen in de zijkanten

van het toestel. Een andere functie heeft

dit knijpgebaar niet. Met de 4000mAh­accu

kunnen die paar energiezuinige leds er wel

bij en de verlichting is zelfs te synchronise­

ren met die van speciale toestelaccessoires

en andere Rog Phones.

Wat dit een fijne smartphone voor

gamen maakt zijn de extra's. Erg handig

zijn de ultrasone knoppen (AirTriggers)

die in de landschapsmodus links en rechts

boven het scherm in de zijrand zitten. Die

kun je toewijzen aan locaties (knoppen)

op het scherm en zo als schoudertriggers

gebruiken tijdens het gamen. Er zit er ook

een links opzij in de portretstand. Per game

kun je automatisch een profiel laden met

die knopposities en allerlei andere game­

specifieke opties, zoals de verversingsfre­

quentie van het scherm, het sluiten van

achtergrondapps en het blokkeren van

meldingen. De gevoeligheid van de Air­

Triggers is naar wens aan te passen, net als

veel andere instellingen. Het toestel draait

op Android 8.1, met de nodige aanpassin­

gen van Asus. Sommige zijn bij dit toestel

erg praktisch (zoals Game Genie die de set­

tings per game beheert) maar andere zoals

ZeniMoji zou je best zonder kunnen.

Handig bij het gamen is de extra USB­

C­aansluiting die in de landschapsmodus

midden onder zit. Clip je de bijgeleverde

AreoActive­koeler erop, dan bevat die

bovendien een extra hoofdtelefoonaan­

sluiting, zodat het snoer niet hinderlijk

aan de zijkant zit. Die stille koeler wist de

cpu­temperatuur nog zo'n 5 graden lager

te houden dan de speciale ingebouwde

koeling alleen. Dat kan eventueel throt­

tling voorkomen. De AreoCooler heeft ook

USB­C aan de onderkant voor het opladen

tijdens het gamen. Het al vrij zware toestel

(200 gram) wordt met de koeler wel nog 32

gram zwaarder. Het rubbertje op het toe­

stel dat de USB­C plus extra connector voor

de koeler afsluit raak je natuurlijk een keer

kwijt, maar er wordt wel alvast een extra

dopje meegeleverd. Het toestel is niet wa­

terdicht, maar wel spatwaterbestendig.

Er zijn allerlei speciale accessoires

voor de ROG Phone aangekondigd, zoals

een desktop­dock, een dock met tweede

scherm en een controller­houder, die ho­

pelijk nog beschikbaar komen. Maar ook

zonder die accessoires is de ROG Phone al

een apart toestel en voor fanatieke mobie­

le gamers interessant. De hoge prijs past

ook bij wat gamers gewend zijn. (mdt)

Privacy-notebook

De HP Envy x360 is een luxe 2-in-1

notebook met goede prestaties. In

het touchscreen zit een bijzondere

functie verborgen.

De Envy is goed uitgerust: een full­hd­

scherm, een snelle 512GB­ssd en 16 GB

werkgeheugen. Het hart is een AMD Ryzen

5 2500U. Die is met vier cores op 2 GHz

(3,6 GHz turbo) vergelijkbaar met de po­

pulaire Core i5­8250U. De geïntegreerde

gpu van AMD levert betere prestaties dan

die van Intel, maar gamen op full­hd lukt

hooguit bij oudere games met lagere de­

tailinstellingen.

Het ips­scherm heeft een goede hel­

der heid en contrast, en een prima kijk hoek.

Met de ingebouwde 'Sure View'­functie

onder de F1­toets kun je die opzettelijk ver­

kleinen voor meer privacy. Mensen naast

je kunnen dan niet meer meelezen. Recht

van voren worden de kleuren duidelijk koe­

ler, maar blijft het beeld wel scherp. Het

scherm kun je naar achteren klappen in de

tabletmodus of in een tentstand neerzet­

ten. De Envy is voorzien van twee USB­A­

poorten (USB 3.1 Gen 1), een USB­C­poort

(met DisplayPort 1.4), sd­kaartlezer, verlicht

toetsenbord, infraroodcamera voor het in­

loggen bij Windows Hello, snel AC­wifi etc.

Het toetsenbord typt redelijk (gezien het

formaat), maar het touchpad is qua hoogte

wat krap.

De ventilator kan aardig ruisen, maar

je kunt een stil profiel selecteren. De pres­

taties lopen dan flink terug en het komt

ook de niet bijzonder lange accuduur ten

goede. Verder is de Envy x360 een erg snel

en fraai afgewerkt 2­in­1 notebook. (mdt)

HP Envy x360Snel 2-in-1 notebook

Fabrikant HP, www.hp.com

Display / resolutie 13,3 inch / 1920 × 1080 (touch)

Cpu / gpu / RAM Ryzen 5 2500U / Radeon RX Vega 8 / 16 GB RAM

Opslagruimte 512 GB ssd

Gewicht / afmetingen 1,3 kg / 30,7 × 21,5 × 1,5 cm

Prijs € 1200

Asus ROG PhoneGaming-smartphone

Fabrikant Asus, www.asus.com/nl

Display / resolutie / verversingsfrequentie

6 inch / 2160 × 1080 pixels / 90 Hz

Cpu / gpu Snapdragon 845 (tot 2,96 GHz) / Adreno 630

Connectiviteit 4G duosim, wifi 802.11ac/ad, NFC, Bluetooth 5.0

Gewicht / afmetingen 200 g / 159 × 76 × 8,3 mm

Prijs vanaf € 900 (128GB-model)

27c’t 2019, Nr. 3

Kort voorgesteld | Gaming-smartphone, 2-in-1 notebook

Halfslachtige concurrent

De Core i9-980XE processor

met 18 kernen moet tegenwicht

gaan bieden tegen AMD's tweede

Threadripper-generatie.

Processors met meer dan tien kernen

spelen hun sterke punten vooral uit bij

veeleisende software zoals 4K-video-

editing, rendering en het compileren van

grote softwareprojecten. Voor hardware-

liefhebbers die dergelijke toepassingen

gebruiken, heeft Intel zijn Core X-proces-

sors voor het in 2017 geïntroduceerde

high-end platform LGA2066 nu bijge-

werkt.

De nieuwe cpu's van de serie Core i7-

9000X en i9-9000X lopen in vergelijking

met de voorgaande versies Core i7/-i9-

7000X een paar honderd megahertz snel-

ler. Bovendien bieden nu alle LGA2066-

processors ieder 44 PCI-Express-3.0-lanes

voor grafische kaarten en snelle NVMe-

ssd's. De eerder afgeknepen versies met

slechts 28 lanes behoren nu tot het ver-

leden.

Intel heeft niets gewijzigd aan het

aantal kernen. Het topmodel Core i9-

9980XE Extreme Edition heeft nog steeds

18 kernen en 36 threads. Hij werkt nomi-

naal op 3 GHz, wat 400 MHz meer is dan

bij de Core i7-7980XE. De maximale turbo

is van 4,2 naar 4,5 GHz gegaan. Om dat

turboniveau belast te kunnen halen met

twee kernen, hoef je de software Turbo

Boost Max 3.0 nu niet meer te installe-

ren. Windows 10 heeft sinds versie 1703

de benodigde driver standaard al. Ook

aan het 24,75 MB grote level 3-cache en

aan de Skylake-architectuur is niets ver-

anderd.

Om de Core i9-9980XE goed te kun-

nen testen, moesten we eerst bij de BIOS-

Opluisteren

Door de Vertical Surround Engine

van de 3.1-kanaals soundbar Sony

HT-ZF9 met Dolby Atmos/DTS:X

komt het geluid van alle kanten.

We willen onze tv's tegenwoordig zo plat

mogelijk met een onzichtbare smalle rand.

Dat ziet er prachtig uit, maar staat een fat-

soenlijk geluid wel in de weg. Dat kun je

verhelpen met een aparte soundbar die je

onder de tv zet, samen met een losse sub-

woofer die je draadloos verbindt voor de

lage tonen.

Het installeren en instellen van de Sony

HT-ZF9 doe je eenvoudig via het overzichte-

lijke on-screen-menu. De afstandsbediening

biedt knoppen om de geluidsbron direct te

selecteren en voor presets als muziek, bio-

scoop, sport etc. Het is een beetje uitprobe-

ren wat je prettig vindt klinken. Naast het

algemene geluidsvolume zijn er ook toetsen

om het volume van de subwoofer apart in te

stellen. Dat is handig op momenten dat een

film erg gaat dreunen en je de vrede met je

onderburen wilt behouden.

Media vanaf je smartphone of NAS

stream je via bluetooth, wifi of LAN. Heb je

compatibele Sony-speakers, dan stream je

met de Sony Music Center-app geluid door

je hele huis. Je kunt voor 300 euro nog twee

losse rear-speakers kopen die je draadloos

met de soundbar verbindt om er een 5.1-sys-

teem van te maken.

Het geluid zal een hele stap vooruit zijn

voor de meeste tv's. Voor het luisteren van

muziek presteert de Sony aardig, maar hifi-

niveau haalt hij niet. (ddu)

Sony HT-ZF9Soundbar en subwoofer

Fabrikant Sony, www.sony.nl

Vermogen 400 W

Aansluitingen 2 × HDMI-uit, 1 × HDMI-in, usb, optische audio-in, analoog-in

Ondersteunde audio via HDMI

Dolby Digital, Dolby Digital Plus, Dolby TrueHD, Dolby Atmos, Dolby Dual mono, DTS, DTS-HD Hi-Res Audio, DTS-HD Master Audio, DTS-ES, DTS 96/24, DTS:X, LPCM (2-/5.1-/7.1-kanaals), DSD (2-/5.1-kanaals)

Netwerkfunctie Chromecast, Spotify Connect, DLNA

Prijs € 700

instellingen van het door ons gebruikte

Gigabyte-moederbord X299 Aorus Ga-

ming 3 handmatig de juiste waarden

instellen voor de power-limits. Als je dat

niet doet, dan werkt de processor onder

volle belasting continu met de maxi male

all-core-turbofrequentie van 3,8 GHz.

Daarmee verbruikte het test systeem dan

371 watt en was de package-power van

de processor 260 watt.

Nadat we de foutieve BIOS-instel-

lingen aangepast hadden naar de juis-

te waarde voor Power Limit 1 van 165

watt (overeenkomend met de Thermal

Design Power), voor Power Limit 2 198

watt en voor de maximaal toegestane

boost-duur van 8 seconden, daalde het

energie verbruik tot 248 watt, met daar-

bij een package-power van 165 watt. De

performance bij Cinebench viel daardoor

wel ongeveer 9 procent terug van 3700

naar 3392 punten.

In vergelijking met een Core i7-

7980XE rekent het nieuwe topmodel

van de Core Xongeveer vier procent

sneller. Bij single-threading-toepassin-

gen is de voorsprong daarbij wat groter

(zeven procent). Tegen een vergelijkbaar

dure 32-core AMD Ryzen Threadripper

2990WX kan de Core i9-9980XE echter

geen vuist maken als alle kernen volle-

dig belast worden. AMD heeft op dat ge-

bied een voorsprong van maar liefst 50

procent wat betreft de Core i9. Alleen bij

single-threading-toepassingen kan Intels

18-core processor de AMD-concurrentie

op een afstand van 16 procent achter

zich houden.

Maar ongetwijfeld koop je een uit-

gebreid LGA2066-platform en een dure

18-core processor niet voor een hoge

single-thread-performance. Een Core i5-

9600K met zes kernen haalde bij Cine-

bench ook een resultaat van 197 punten,

maar die kost met nog geen 300 euro

duidelijk minder dan de 2100 euro die

de i9-9980XE op moet brengen. (nkr)

Core i9-9980XE Extreme EditionHigh-end processor voor LGA2066-moederborden

Fabrikant Intel, www.intel.com

Kernen 18+HT

Frequentie 3,0 GHz (Turbo: 4,5 GHz)

Cinebench R15 197 / 3392

Sysmark / Blender 1885 / 143 s

Energieverbruik idle / volledig belast

53 / 248 W

Prijs € 2100

28 c’t 2019, Nr. 3

Kort voorgesteld | High-end processor, Sony soundbar

Heup�les-ssd

Freecom biedt met zijn 'mSSD Cele-

ritas Thunderbolt 3' een compacte

en supersnelle externe ssd voor je

mac of pc.

De Celeritas Thunderbolt 3-ssd oogt een

beetje anders dan je van externe schijven

gewend bent. De Celeritas (Latijn voor snel-

heid overigens) heeft een halfronde vorm die

wat doet denken aan een heupfl esje, maar

dan met een industrieel sausje. De buiten-

kant ziet eruit als glimmend metaal en voelt

robuust aan. Aan de onderkant zitten vier

rubberen voetjes die de ssd goed op zijn plek

houden. Er wordt een Thunderbolt 3-kabel

meegeleverd die je redelijk diep verzonken

in de kleine ssd moet pluggen, waardoor hij

goed beschermd zit. Een externe voeding is

niet nodig, de M.2 2280 NVMe-ssd in de be-

huizing heeft voldoende aan de power via

de Thunderbolt-3-poort. De Celeritas Thun-

derbolt 3 biedt een ruime 1 TB aan opslag.

Thunderbolt 3 biedt in theorie 40 Gbit/s

aan snelheid. Die snelheid in combinatie met

een ssd is erg fi jn voor content-creators die

met veel en zeer grote bestanden werken,

zoals 4K-video's. Maar ook een veeleisende

thuisgebruiker heeft veel profi jt van de snel-

heid. We sloten de Celeritas aan op een iMac

via Thunderbolt 3. Zodra je de mobiele ssd

aansluit, zie je voor zowel een Mac als pc

opstartbare bestanden verschijnen die infor-

matie tonen, plus losse mappen met o.a. de

Freecom Backup Assistant en handleidingen.

Bij het draaien van de Blackmagic Disk Speed

Test hebben we een leessnelheid gemeten

van 2300 MB/s en schrijfsnelheid van 1690

MB/s. Bij al dat lees- en schrijfgeweld warmt

de ssd fl ink op, maar hij blijft goed hanteer-

baar. (avs)

Veelkanaals-audio

Sennheisers GSP 550 biedt 7.1-sur-

round sound via de inline dongle.

Daar heb je wel de Surround Dongle

Software voor nodig.

Na het openen van de doos vallen de

(verwisselbare) legergroene stukken op

het deel van de hoofdband het dichtst bij

de oorschelpen het meest op. Diezelfde

groene kleur is ook subtiel als accent ver-

werkt op de microfoonboom. En in plaats

van een enkele kabel die je in de headset

klikt, moet je nu twee kabels aan elkaar

knopen: de dongle-kabel en de usb-kabel.

De kabels zijn glad en krullen vrij snel, maar

voelen stevig aan. De zachte oorkussens

zijn ook te verwisselen.

De dongle zit in plaats van dicht bij je

hoofd (om zelf op gevoel te schakelen) juist

dichter bij de pc. Je zit echter niet continu

te wisselen van modus, dus enorm storend

is dat ook weer niet. Net als bij de andere

GSP-headsets hadden we graag net wat

meer padding aan de binnenkant van de

hoofdband gezien, zodat de headset bij

langere sessies wat comfortabeler zit.

Na het installeren van de software

wordt surround-sound beschikbaar. De

equalizer is in te stellen op de standen

music, esport en game. Zelf vonden we de

equalizer op stand 'uit' het fi jnst en meest

neutraal klinken. Dan zijn er nog de noise-

reduction en instellingen voor sidetone,

oftewel je eigen stem ook door je headset

laten klinken. Dit is handig ter controle dat

de microfoon werkt en hoe hard je precies

klinkt voor anderen. Of je Dolby Surround

fi jn vindt bij het gamen is een kwestie van

smaak, maar het is een optie die ook voor

fi lms en series prettig kan zijn. (avs)

Freecom mSSD Celeritas Thunderbolt 3 DriveThunderbolt-3-ssd

Fabrikant Freecom, www.freecom.nl

Snelheid lezen / schrijven

2300 MB/s / 1690 MB/s

Gewicht / garantie 186 gram / 3 jaar

Meegeleverd Thunderbolt-3-kabel, snelstartgids

Prijs € 550

Sennheiser GSP 550Surround-gaming-headset

Fabrikant Sennheiser, www.sennheiser.nl

Audioweergave / verbinding

stereo / 7.1 Dolby Surround 10Hz-30kHz (28 ohm) / usb

Gewicht / garantie 358 gram / 2 jaar

Meegeleverd dongle-kabel, usb-kabel, handleiding

Prijs € 230

Compact laag

Hexgears X-1 is een low-pro�ile

toetsenbord dat zowel bedraad als

draadloos te gebruiken is. Het heeft

mechanische switches.

De Hexgears X-1 oogt erg strak en zit stevig

in elkaar. De verlichting is extra goed zicht-

baar door de doorzichtige switches. Aan-

sluiten met een kabel gaat via USB-C, met

een knop rechts van de usb-poort schakel

je bluetooth in of uit. De X-1 is door zijn

compacte vorm en bluetooth-optie handig

om mee te nemen. Door de meegeleverde

stevige beschermhoes stop je hem zonder

zorgen in je tas.

De accuduur is erg beperkt, met de

verlichting aan ligt die rond de vier uur,

maar met een paar uur per dag onverlicht

draadloos houdt hij het een week uit. Bij

bluetooth heb je 6-key roll-over, met usb

N-key roll-over. Het toetsenbord is verkrijg-

baar in wit en zwart. Bij de switches kun je

kiezen uit Kaihua Choc Red (lineair), Brown

(tactiel) of White (clicky). De eerste twee

komen overeen met de gelijk gekleurde va-

rianten van Cherry, de White valt het beste

te vergelijken met een Cherry MX Blue.

Het typen is wel even wennen door

de dichter op elkaar zittende toetsen en

afwijkende lay-out. Het is fi jn dat er een

numeriek deel op zit, maar de Numlock-

toets zit op de plek waar je de Delete ver-

wacht. Toetsaanslagen leveren een lichte

metalen galm op. De intensiteit van de

verlichting is in 4 stappen te regelen. Stap

1 is al voldoende voor een prettige verlich-

ting. De keuze in verlichtingspresets is wat

beperkt, maar via de programmeermodus

met Fn+F1 kun je per toets een kleur instel-

len. Op die manier krijg je witte verlichting

voor elkaar die via de normale presets niet

gekozen kan worden vanwege het hoge

energieverbruik. (avs)

Hexgears X-1Low-profi le draadloos/bedraad mechanisch toetsenbord

Fabrikant Hexgears, https://kono.store

Meegeleverd beschermhoes, USB-C-kabel, korte handleiding

Prijs $ 120

29c’t 2019, Nr. 3

Kort voorgesteld | Thunderbolt-3-ssd, Gaming-headset, Mechanisch toetsenbord

Makkelijker disassembleren

Het gratis framework radare2 is een

goede tip voor reverse engineering.

Met de grafische interface Cutter

gaat dat een stuk makkelijker.

IDA Pro is de onbetwiste koning onder de

tools voor het ontleden van gecompileerde

programmacode in assemblerinstructies.

Professionals gebruiken die inter actieve

disassembler en debugger veelal voor het

reconstrueren van broncode en de ana-

lyse van schadelijke software. Daar betaal

je wel viercijferige licentiekosten voor – al

bestaat er inmiddels een gratis alternatief

dat toch wel redelijk gelijkwaardig is aan

IDA. Dan hebben we het over radare2, een

opensource framework voor het statisch

en dynamisch analyseren van code. Net als

IDA ondersteunt radare2 talrijke bestands-

formaten en processorfamilies. Als alterna-

tief voor het klassieke debuggen emuleert

het ook afzonderlijke instructiesequenties

om bijvoorbeeld de versleutelingsfuncties

van malware zonder gevaar uit te voeren.

De tool kan pseudocode genereren van

programmafuncties en binaire vergelijkin-

gen – IDA heeft daar extra plug-ins voor

nodig zoals Hex-rays en BinDiff.

Toch hebben veel gebruikers radare2

nog niet ontdekt. De grafische interface van

de commandline-tools beperkte zich name-

lijk tot een met het toetsenbord te bedienen

'Visual Mode' in een consolevenster. De in Qt

en C++ geprogrammeerde GUI Cutter moet

het bedienen van radare2 een stuk makke-

lijker maken, met name voor beginners. De

installatiepakketten bevatten meteen ook

het radare2-framework.

Opgeleukt

VMware Workstation 15 heeft een

fijn schalende interface en een set

nieuwe opties om gemakkelijk(er)

te automatiseren.

VMware heeft al eerder gemeld dat de

schaalbaarheid van interfaces op Win-

dows-hosts met hoge pixeldichtheid

prima in orde is. Bij versie 15 wordt dat

niet alleen geroepen maar is het nu ook

echt zo. De weergave van knoppen, ven-

sters en gast-tabs blijft nu ook in orde

als de schaal van de weergave tijdens ge-

bruik wordt aangepast. Dat kan bijvoor-

beeld gebeuren op het moment dat er

remote verbinding wordt gemaakt met

de host-pc of bij het inpluggen van 4K-

schermen.

De 3D-support voor Windows-guests

is opgeschroefd naar Direct3D 10.1. Bo-

vendien is er nu een REST-API beschik-

baar. Hiermee kunnen ontwikkelaars pro-

gramma's bouwen om virtuele machines

te beheren, bestaande tools integreren

en het (her)verdelen van VM's over werk-

plekken automatiseren.

De argumenten om voor VMware

Workstation Pro te gaan zijn nog steeds

van kracht. Deze versie is perfect voor

als je naast een fijn snapshotbeheer ook

puike graphics-, geluid- en usb-integratie

wilt. De goedkopere (of bij persoonlijk

gebruik gratis) versie in de vorm van

Workstation Player heeft geen snapshots,

netwerkmanager en VM-encryptie vanuit

de host. (avs)

Cutters interface doet denken aan IDA –

vooral door de weergave van de bestands-

structuur als 'Visual Navigation Bar' in de

bovenste vensterhelft, waarmee je direct

naar codedelen navigeert. Gedisassem-

bleerde code en hexdumps, registers, stack

en dergelijke kun je als afzonderlijke ven-

sters met drag&drop vrij neerzetten in het

centrum van de GUI en groeperen. Door

meerdere instanties van een venstertype

te openen kun je verschillende program-

madelen parallel bekijken.

De talrijke thema's, kleurenschema's

en fonts zijn niet alleen fraai of praktisch,

maar je kunt er je ogen bij een nachtelijke

analyse sessie ook behoorlijk mee ontlas-

ten.

Aan de huidige Cutter-versie 1.7.2 is

wel te merken dat er nog veel te doen is

aan het eind 2017 in het leven geroepen

project. Veel radare2-features zijn tot nu toe

alleen rudimentair in de GUI geïntegreerd,

terwijl andere alleen maar met de gebrui-

kelijke radare2-toetsenbordcommando's

uit te voeren zijn. De ontwikkelaars wer-

ken op dit moment naar eigen zeggen met

voorrang aan de voor veel gebruikers on-

ontbeerlijke debug-mode. Toch loont het

om nu al eens naar Cutter te kijken. Als er

nog wat aan deze GUI bijgeslepen wordt,

kan radare2 op de lange termijn wel eens

een geduchte concurrent worden die IDA

van de troon zou kunnen stoten. (nkr)

Cutter (1.7.2)Grafische interface voor radare2

Ontwikkelaar Sergi Alvarez (pancake),github.com/radareorg/cutter

Systeemeisen Windows, Linux, macOS

Prijs gratis

VMware Workstation 15Desktop-virtualisatie

Producent VMware, www.vmware.com

Besturingssysteem Windows vanaf 7, Windows Server vanaf 2008 R2, Linux (voor alles geldt: alleen 64-bit)

Prijs € 275 (Pro), € 166 (Player bij commercieel gebruik, anders gratis)

30 c’t 2019, Nr. 3

Kort voorgesteld | Radare2-interface, Virtualisatiesoftware

Python-snelstart

De Python-IDE Thonny maakt het in-

stappen in de scripttaal eenvoudig.

Het is een alternatief voor de uitge-

breidere programmeeromgevingen.

Thonny wil vooral de drempel om ermee

aan de slag te gaan zo laag mogelijk hou-

den. Het programma heeft zijn eigen Py-

thon 3.7-interpreter en is mede daardoor

snel te installeren. De bedieningsinterface

bevat niets wat je kan afleiden van de

elementaire functies: een editor die met

Python-code overweg kan en op de juiste

manier inkleurt, een shell-venster voor

het intypen van Python-commando's, een

spaarzaam gevulde knoppenbalk – en dat

is het.

De editor herkent een paar van de

meest voorkomende typfouten, zoals ont-

brekende haakjes sluiten en aanhalings-

tekens, en markeert die met een kleur.

Met de F5-toets of het Run-pictogram op

de knoppenbalk kun je het script starten.

Als er daarbij fouten optreden, meldt zich

een wizard die probeert om de foutoor-

zaak wat preciezer te verklaren dan de

korte foutmeldingen van de interpreter

dat doen.

De in Thonny zittende debugger start

je met de toetsencombinatie Ctrl+F5 of

het torretje op de knoppenbalk. Het pro-

gramma voert de code daarbij altijd regel

voor regel uit, dus je hoeft geen break-

points te definiëren. Daarbij visualiseert de

debugger heel fraai wat het programma

doet. In kleurige kadertjes die boven de

broncode verschijnen, veranderen stap

voor stap variabelennamen met hun con-

text, mathematische uitdrukkingen met

hun resultaat en functie-aanroepen met

de bijbehorende teruggavewaarde. Een

'step into' opent in een eigen venster met

de broncode van de aangeroepen functie

en de bijbehorende lokale variabelen –

op die manier visualiseert een stapel van

vensters heel overzichtelijk de stack van

functieaanroepen.

Als je dan eenmaal een beetje uit

de voeten kunt met de basisfuncties van

Thonny, kun je meer informatievensters

laten zien, waaronder een overzicht van

de globale variabelen, een Object Inspec-

tor of een mini-filemanager. Een grafisch

front-end voor het Python-pakketbeheer

rond de functieomvang af.

De programmeeromgeving Thonny

werd ontwikkeld door de uni versiteit van

Tartu in Estland. Het heeft een open source

licentie, is zelf in Python geschreven en

werkt met alle gangbare besturings-

systemen, inclusief Raspbian.

Als je geen uitgebreid projectbeheer

nodig hebt, heb je aan Thonny een com-

pacte Python-programmeeromgeving

zonder overbodige ballast. De fraaie de-

bugger biedt niet alleen beginners interes-

sante kijkjes in de werking van de functies

van een interpreter. (nkr)

Stressoverzicht

De tool s-tui toont niet alleen de

cpu-temperatuur, kloksnelheid,

stroomverbruik en dergelijke, maar

kan ook een stresstest uitvoeren.

De cpu-frequentie, de belasting, de tem-

peratuur en het energieverbruik van een

processor gedurende de laatste seconden

worden door de tool s-tui over zichtelijk

in beeld gebracht met kleurige ASCII-

diagrammen.

De tool levert bovendien meer infor-

matie, bijvoorbeeld de tot nu toe hoogst

gemeten temperatuur, het toerental van

de ventilatoren en het model van de inge-

bouwde processor. Jij bepaalt als gebrui-

ker welke temperatuursensor en welke

ventilator de tool in de gaten moet hou-

den.

Om alle informatie op het beeldscherm

te kunnen zien, moet de terminal een

bepaalde hoogte kunnen hebben. Je kunt

met s-tui als alternatief de uitgelezen

meetwaarden ook in een CSV-bestand

laten opslaan. De tool kan een meetwaarde

als een eenvoudige tekstregel uitvoeren,

waarvan de gegevens dan in JSON-formaat

te zetten zijn.

Als een meetwaarde daarnaast een

door een gebruiker aangegeven drempel-

waarde overstijgt, start s-tui als je dat wilt

een shell-script.

Eventueel kan s-tui met behulp van de

tools stress of stress-ng een cpu-stresstest

uitvoeren. Als systeembeheerder van een

server kun je via SSH op die manier dan de

eventuele warmteproblemen op het spoor

komen. (nkr)

ThonnyPython-IDE voor beginners

Ontwikkelaar Universiteit Tartu, https://thonny.org

Systeemeisen Windows, Linux, macOS

Prijs gratis (MIT-licentie)

s-tui (0.8.2)Systeemmonitoring

Ontwikkelaar Alex Manuskin,https://github.com/amanusk/s-tui

Systeemeisen Linux

Prijs gratis (GNU GPN v2)

31c’t 2019, Nr. 3

Kort voorgesteld | Stresstest, Python-IDE

32 c’t 2019, Nr. 3

Test | 11ax-wifirouter

Wifiperformance met meerdere TCP-streams

Wifiperformance met een TCP-stream

Apparaatcombinatie 2,4 GHz dichtbij 20 meter 5 GHz dichtbij 20 meter

Basis / client beter > beter > beter > beter >

ax4800 / ax4800

ax4800 / ac1733

ac1733 / ac1733

Apparaatcombinatie 2,4 GHz dichtbij 20 meter 5 GHz dichtbij 20 meter

Basis / client beter > beter > beter > beter >

ax4800 / ax4800

ax4800 / ac1733

ac1733 / ac1733

ax4800 / ac867

ac1733 / ac867

alle waarden in Mbit/s, 5 GHz: bij ax/ax met 160 MHz, anders 80 MHz kanaalbreedte

Wifirouter

Fabrikant Asus, www.asus.nl

Wifi IEEE 802.11n-600/ac-1733/ax-4800, simultaan dualband, WPS, DFS

Bedieningselementen power, reset, WPS, wifi, LED, 8 statusleds

Aansluitingen 9 × RJ45 (Gigabit-ethernet), 4 × RP-SMA (antennes), 2 × USB 3.0

NAT-perf. PPPoE (DS/US) 884 / 744 Mbit/s

IP-naar-IP (DS/US) 949 / 949 Mbit/s

Energieverbruik 9,9 watt / 19,5 VA (idle, circa € 22 per jaar bij continu gebruik en 25 ct/kWh)

Prijs € 369

Asus RT-AX88U

Wifi 5.9Asus RT-AX88U: eerste router voor Gigabit-wifi

We hebben pre-ax, de voorversie

van de volgende wifigeneratie IEEE

802.11ax, alias wifi 6, bij de eerste

router uitgeprobeerd. Een paar

dingen gaan bij de Asus RT-AX66U

inderdaad sneller, maar sommige

zelfs duidelijk.

Ernst Ahlers

De volgende wifigeneratie IEEE

802.11ax, die in de volksmond beter

bekend zal worden als wifi 6, moet

in bepaalde situaties tot vier keer zo snel

kunnen zijn als de oude standaard. Dat zal

ongetwijfeld best kunnen, maar de formule-

ring 'in bepaalde situaties' geeft al aan dat

het niet altijd zo is. Daarbij komt een groot

deel van de winst door de breedte van de

zendkanalen nogmaals te verdubbelen tot

160 MHz. Maar dat extra brede spoor zal

lang niet overal en altijd te gebruiken zijn.

We konden een voorversie van de

standaard, die waarschijnlijk pas eind 2019

definitief wordt, al uitproberen met de Asus-

wifirouter RT-AX88U. Daarvoor moesten we

een apparaat als basisstation en een tweede

als bridge gebruiken en die twee met drie

Gigabit-ethernetverbindingen aan pc's ver-

binden omdat de routers geen snellere LAN-

poorten hebben. Vervolgens lieten we de

iperf3-benchmark drie keer parallel draaien

met ieder vier TCP-streams tegelijk om de

doorvoer omhoog te krijgen. Ook de 11ac-

wifistandaard doet het bij een zeer goede

draadloze verbinding immers al duidelijk

sneller met meerdere parallelle overdrach-

ten in plaats van één.

Asus claimt in een laboratoriumsetting

in het optimale geval 2,4 Gbit/s netto ver-

stuurd te hebben. Wij kwamen tot een kleine

1,9 Gbit/s netto. Bruto haalt de combinatie

maximaal 4,8 Gbit/s (vier MIMO-streams,

11ax-4800). Een combinatie van wat oude-

re apparaten (Fritzbox 7580, Asus PCE-AC88

PCIe-insteekkaart, beide 11ac-1733) komt bij

eenzelfde opbouw tot 0,8 Gbit/s netto.

Maar bedenk daarbij wel dat het om

de totale doorvoer van meerdere parallelle

overdrachten gaat (de bovenste tabel links-

onder). Bij afzonderlijke down- en uploads

was pre-ax lang niet zoveel sneller dan 11ac-

wifi (onderste tabel) – als het al sneller was.

De nieuwe router kan ook overweg met

oudere 11ac-clients. Een Acer V3-notebook

met een QCA6174 was met slechts twee

MIMO-streams ook aangenaam snel. Die

snelheid was op de 5GHz-band wat hoger

dan in combinatie met de Fritzbox, wat

waarschijnlijk komt door de externe anten-

nes van de Asus.

Toen we de 11ax-apparaten begrensden tot

het gebruik van een bandbreedte van 80

MHz, nam de topsnelheid ongeveer 37 pro-

cent af, van 1848 tot 1172 Mbit/s. Anders om

berekend betekent het verdubbelen van de

kanaalbreedte dus een effectieve versnel-

ling van ongeveer 58 procent.

RouterwerkingDe RT-AX88U is met een wizard in gebruik

te nemen, maar je kunt achteraf ook zelf

nog allerlei instellingen aanpassen. Op de

NAT-performance was eigenlijk niets aan te

merken en de router is ook geschikt voor

de volgende super-vectoring-generatie.

De NAS- performance via LAN met een USB

3.0-ssd kwam gemiddeld tot een prettige

110 tot 113 MB/s (schrijven/lezen, SMB/FTP,

bestands systeem VFAT, NTFS, ext4). Maar he-

laas draait er wel een oeroude SMB-server

op (Samba 3.0.33 van 2008) op, die alleen

het onveilige SMB1 aanbiedt.

ConclusieDe RT-AX88U laat zien wat de nieuwe wifi-

standaard in principe kan. Maar eigenlijk

heeft zo goed als niemand dat nieuwe pre-

ax-wifi al nodig, want er zijn nog paar een

paar geschikte clients. Wacht dus nog ge-

woon een tijdje tot 11ax oftewel wifi 6 ook

standaard in smartphones en tablets zit en

er usb-adapters of eventueel PCIe-kaarten

zijn om je pc te upgraden. Tot dat moment

is de Asus RT-AX88U eigenlijk niet meer dan

een duur previewexemplaar. (nkr) c

281

244

537

250

188

275

1848

977

827

1257

564

491

251

203

357

107

190

208

154

223

107

123

460

470

473

324

340

409

319

341

189

130

33c’t 2019, Nr. 3

Test | Powerline-adapters

Devolo Magic 1 en 2

Powerline-adapters

Fabrikant Devolo, www.devolo.nl

Adaptertype dLAN 1200+ Magic 1 Magic 2

Firmware 2.5.0.00-1 7.8.0.4 7.8.0.4

Doorvoer in woning (10 combinaties) 27–237 Mbit/s 11–191 Mbit/s 54–228 Mbit/s

Gemiddelde waarde 82 Mbit/s 61 Mbit/s 106 Mbit/s

Beste 5 / slechtste 5 125 / 38 Mbit/s 96 / 25 Mbit/s 147 / 65 Mbit/s

Doorvoer testverbinding (0/50/100/200 m) 200–401 Mbit/s 139–218 Mbit/s 188–243 Mbit/s

Energieverbruik (idle)1 2,3 W / 4,9 VA 1,7 W / 4,2 VA 1,7 W / 4,2 VA

Stand-by1 0,7 W / 2,6 VA 0,6 W / 3,1 VA 0,7 W / 3,2 VA

Jaarliijkse stroomkosten (idle)1€ 5,04 € 3,72 € 3,72

Prijs (starterkit) LAN: € 119, WiFi: € 145 LAN: € 120, WiFi: € 146 LAN: € 150, WiFi: € 199

1 een adapter

230V-internetMagic 2 moet de Powerline-snelheid verdubbelen

Devolo renoveert zijn assortiment

adapters voor dataoverdracht via

de stroomdraden met meteen twee

nieuwe series. Een daarvan drijft de

bruto snelheid op tot 2400 Mbit/s.

Maar dat is dan niet eens het voor-

naamste voordeel.

Ernst Ahlers

Powerline-adapters zijn populair voor

veel thuisnetwerken omdat je er

niet voor hoeft te boren. In plaats

van gaten in muren te moeten maken voor

netwerkkabels, stop je eenvoudigweg een

paar adapters in de stopcontacten. Daardoor

krijg je wel makkelijker internet aan de an-

dere kant van je huis, maar daar betaal je

voor met hogere stroomkosten.

Op dit moment zijn adapters die

de data bruto met 1200 Mbit/s door de

stroomdraden heen sturen wel zo'n beet-

je gangbaar. Daarvan houd je in het beste

geval – bij een goede verbinding via het

stroomnetwerk – ongeveer 200 Mbit/s over

op de toepassingslaag. Meestal is dat in de

praktijk echter minder, en vaak ook duide-

lijk minder.

Devolo wil met de Magix 2-adapters

de datasnelheid via het stroomnetwerk nu

verdubbelen. De apparaten krijgen dan een

maximale brute datatransfer van 2400 Mbit/s.

De Magic 1-serie verschijnt naast de nomi-

naal even snelle dLAN 1200-techniek, die

zijn waarde al bewezen heeft. We hebben

drie adaptertypen in een woning met el-

kaar uitgeprobeerd met tien verschillende

stopcontact combinaties en met een test-

verbinding op vier verschillende afstanden.

Devolo is bij de Magic-series afgewe-

ken van de tot nu toe gebruikte HomePlug-

techniek. Men gebruikt nu de G.hn-transfer-

techniek met modemchips van Maxlinear.

Daarom communiceren de Magic-adapters

ook niet met de dLAN-familie.

De Magic 1-adapters stellen enigszins

teleur ten opzichte van de uitgerijpte dLAN

1200-modellen wat betreft de snelheid. Ze

verbruiken wel wat minder energie, maar

kwamen gemiddeld tot een snelheid die

een kwart lager was. Afhankelijk van de

stopcontact combinatie was het verlies tus-

sen de 13 en 63 procent, slechts bij één

combinatie waren de resultaten van de twee

technieken vergelijkbaar.

Magic 2 doet het daarentegen een stuk

beter dan dLAN 1200. De bruikbare data-

stroom was bij een zeer goede verbinding

iets lager (-4 %). Maar in alle andere situaties

deed Magic 2 het enigszins tot aanzienlijk

beter (+21 tot +120 %). Dit gold met name

bij de wat mindere verbindingen via de vijf

slechtste stopcontactcombinaties (+71 %).

De hogere bruto transferrates konden

door Magic 2 echter alleen bij heel goede

verbindingen maximaal benut worden:

met een enkele TCP-stream kwam een test-

verbinding over 0 meter met 243 Mbit/s tot

stand, een aardig stuk minder dan bij een

dLAN 1200-adapterpaar (364 Mbit/s). Met

zes parallelle datastromen transporteerde

Magic 2 echter 642 Mbit/s, wat zo'n 64 pro-

cent meer is dan dLAN 1200 (392 Mbit/s).

Magic 1 en 2 kunnen onderling com-

municeren, maar in onze woning werkte die

combinatie gemiddeld een derde slechter

dan een paar dLAN 1200-adapters.

ConclusieAls je nog geen Powerline-adapters hebt,

moet je beslissen of je voor goedkoop (dLAN

1200) gaat of dat je voorbereid wilt zijn op

slechte verbindingen (Magic 2). Met de hui-

dige firmware levert Magic 1 bij ons geen

voordelen op wat betreft de gemiddelde

datasnelheid. Een echt dringende reden

om een bestaande goed werkende (mesh-)

dLAN-installatie te vervangen is er op dit

moment dan ook nog niet. Als je verbinding

niet zo goed is kun je wel flink profiteren

van een Magic 2-kit. (nkr) c

10-Gigabit-NASKleine NAS-systemen met snelle LAN-aansluiting

Wij vaak met grote bestanden werkt

wil niet steeds wachten bij het

benaderen van de netwerkopslag,

of het nu gaat om videobewerking,

partitie-images of VHD-bestanden.

Een NAS met 10-Gigabit-netwerk-

poorten kan data bijzonder snel

leveren. Dat wordt ook betaalbaar

voor thuisgebruikers.

Ernst Ahlers

Be Asustor en QNAP bieden voor

zo'n 400 euro NAS-systemen die

data via extra snelle LAN-poorten

kunnen overzetten met 10 Gbit/s, ofte-

wel 1,25 GB/s. Dergelijk NAS-systemen

waren door hun prijzen van rond de

1000 euro lange tijd voorbehouden aan

bedrijven. De kosten voor de schijven en

een eventueel aan te leggen 10-Gigabit-

infrastructuur (kabels, switch) komen

daar natuurlijk nog bij.

Het belangrijkste technische verschil

tussen de Asustor- en de QNAP-NAS: de

AS4004T heeft een 10GBase-T-poort

voor een gewone netwerkkabel (RJ45),

terwijl de TS-332X een SFP+-poort heeft

voor een glasvezelmodule of direct-

attach-kabel. Verder heeft de Asustor

een dualcore- en de QNAP een quad-

core-processor. Met een direct-attach-

kabel (maximaal 2 meter lang) kan de

QNAP direct op een Gigabit-switch wor-

den aangesloten, zodat dan geen extra

investering nodig is voor de glasvezel-

infrastructuur (twee SFP+-modules en

een geschikte patchkabel).

Met ruimte voor vier schijven bij

de Asustor AS4004T en drie stuks bij

de QNAP TS-332X zijn beide apparaten

geschikt voor een RAID5-configuratie

met drie schijven. Die combineert uit-

valbescherming (redundantie voor één

schijf ) met een hogere capaciteit (2/3

netto capaciteit bij RAID5 versus ½ ca-

paciteit bij RAID1).

Bij beide apparaten kun je volgens de fabri-

kant de defecte schijven vervangen tijdens

het gebruik (hot-swap). Dat zouden we al-

leen aanraden bij de AS4004T, omdat die

van buitenaf toegankelijke trays heeft. De

TS332X kun je beter uitzetten omdat de

behuizing geopend moet worden.

Volgens opgaaf kunnen de NAS-

apparaten overweg met 14TB-schijven.

Met 3,5"-schijven leidt dat voor de

AS4004T tot maximaal 56 TB en voor de

TS-332X maximaal 42 TB opslagruimte.

De QNAP-NAS heeft daarnaast nog drie

interne slots voor M.2-SATA-ssd's, die als

cache of als extra snelle opslagruimte

kunnen dienen.

Bij de TS-332X kunnen in de 3,5"-

slots eventueel ook 2,5"-SATA-ssd's. Maar

daar wordt maar één geschikte adapter

voor meegeleverd. We hebben voor een

goede vergelijking wel getest met de-

zelfde drie ssd's (Samsung 850 Pro, 250

GB) als in de AS4004T, waar beide maten

goed in de trays passen. Maar voor nor-

maal gebruik moet je eigenlijk netjes

M.2-ssd's monteren. Bij de SMB-doorvoer

(Windows-netwerkmappen) zagen we bij

de benchmarks met onze testsoftware

(zie de link onderaan) overigens nauwe-

lijks een snelheidsverschil toen we drie

Samsung 860 Evo 250 GB M.2-sdd's in de

TS-332X stopten.

De basisuitrusting van 2 GB RAM

bij beide apparaten is voldoende voor

NAS-gebruik. Wil je er ook Docker op

draaien voor eigen serverdiensten, dan

is meer werkgeheugen zinvol. Uitbrei-

den kan alleen bij de TS-332X, waar je de

SO-DIMM kunt vervangen door een mo-

dule van maximaal 16 GB (DDR4-2400).

Bij het testen met een 8GB-module van

Kingston werkte de TS-332X probleem-

loos. Er is ook een versie met standaard

4 GB (332X-4G).

De TS-332X heeft mede dankzij de

quadcore-cpu meer reserves voor Doc-

ker dan de AS4004T met zijn dualcore.

Bij een test met OpenSSL was de integer-

performance van de cpu's vergelijkbaar:

64 MB/s AES-256-CBC-doorvoer met 1K-

blokken zonder hardwareversnelling op

een enkele core van de AS4004T versus

66 MB/s bij de TS-332X. Met hardwarever-

snelling was die waarde bij de TS-332X

34 c’t 2019, Nr. 3

Test | 10-Gigabit-NAS

Bij de Asustor AS4004T (links) kan een defecte schijf snel verwisseld worden tijdens gebruik door de makkelijk toegankelijke trays. De QNAP TS-332X moet je daarvoor openschroeven.

negen keer zo hoog (606 MB/s). De

waarde bij de AS4004T konden we niet

betrouwbaar meten, maar zal vergelijk-

baar zijn.

Beveiligde opslagBeide apparaten kunnen hele volu-

mes (TS-332X) of afzonderlijke mappen

(AS4004T) versleutelen. Daarmee zijn be-

langrijke documenten ook bij diefstal van

schijven of NAS beveiligd. Bij de TS-332X

leverde dat geen merkbare teruggang in

prestaties op.

De Asustor vertraagde echter dui-

delijk met versleuteling, vooral met

ssd's (241 versus 511 MB/s bij het lezen

van grote bestanden). Maar dat was

nog steeds het dubbele van wat er met

Gigabit-ethernet gehaald werd bij lezen

(115 MB/s). De 10GBase-T-aansluiting

heeft dus ongeacht de versleuteling

duidelijk nut.

Qua energieverbruik verschillen de

apparaten weinig. De QNAP is net iets

zuiniger dankzij een SFP+-slot in plaats

van een 10GBase-T-poort.

GeluidsoverlastDe behuizing van de AS4004T dempt vol-

gens onze metingen het geluid van de

harde schijven met een zeer goede 0,3

sone beter dan de QNAP, al komt die ook

tot een goede 0,5 sone. Daarmee zijn ze

beide geschikt voor op het bureau. Voor

een stille omgeving kun je er beter ssd's

instoppen, waarmee ze bijna onhoorbaar

worden.

Nu het we toch over geluid hebben: de

TS-332X laat met de fabrieksinstellingen

in allerlei situaties een Engelse of Chinese

computerstem horen. Gelukkig kun je die

vervelende en nogal nutteloze gimmick

uitzetten. Belangrijke meldingen komen

via e-mail of sms namelijk een stuk verder

dan de kamerdeur.

Zachte kantBeide apparaten zijn dankzij wizards

makkelijk via de browser in te stellen.

Bij QNAP herken je de ervaring met en

de focus op zakelijke klanten met opties

als het vormen van opslagpools en het

koppelen van uitbreidbare volumes. De

standaardsoftware laat al niets te wen-

sen over, beide apparaten bieden alle

benodigde serverfuncties voor kleine

netwerken.

De NAS-apparaten zijn uit te breiden

met apps van de fabrikant. Voor beide is

ook Docker beschikbaar, maar bij QNAP

in een iets oudere versie (17.09.1) dan

bij Asustor (18.03.1). Daarmee kun je bij-

voorbeeld je eigen cloudserver opzetten

met recente software, want de fabrikant-

versies lopen daar meestal wat bij achter.

Er is ondertussen op Docker Hub ook een

groter aanbod van images voor de hier

gebruikte ARM-cpu's.

Asustor biedt met MyArchive een

praktische optie voor veel thuisgebrui-

kers. Je kunt een of meer trays reser-

veren voor wisselbare schijven die niet

in de RAID worden opgenomen. Daarin

kun je dan naar wens andere schijven

plaatsen (gemonteerd in extra aan te

schaffen trays) voor allerlei doeleinden,

bijvoorbeeld om gearchiveerde data te

lezen of offline-back-ups te maken.

ConclusieDe Asustor AS4004T en de QNAP TS-332X

komen hun belofte na: ze bieden via de

extra snelle LAN-poort duidelijk hogere

doorvoersnelheden dan via het eveneens

aanwezige gewone Gigabit-ethernet.

De AS4004T is qua prijs gunstiger en

door de makkelijk toegankelijke trays kun

je schijven tijdens gebruik vervangen. De

duurdere TS-332X is met zijn betere cpu

en uitbreidbare RAM vooral interessant

als je eigen serverfuncties wilt aanbieden

via dockercontainers. (mdt) c

www.ct.nl/softlink/19030034

35c’t 2019, Nr. 3

Test | 10-Gigabit-NAS

10-Gigabit-NAS

Model AS4004T TS-332X-2G

Fabrikant Asustor, www.asustor.com QNAP, www.qnap.com

Knoppen / indicatorlampjes aan,reset, copy / 8+6 leds aan, reset, copy / 9+6 leds

Aansluitingen LAN / overig 3 × RJ45 (10GBase-T, 2 × Gigabit) / 2 × USB 3.0 SFP+, 2 × RJ45 (gigabit) / 3 × USB 3.0, 3,5mm-audio-out

Cpu / RAM van maximum Marvell Armada 7020 (dualcore, 1,6 GHz) / 2 van 2 GB

Annapurna Labs AL-324 (quadcore, 1,7 GHz) / 2 van 16 GB

Geteste firmware ADM 3.2.3RN51 QTS 4.3.5.0728

SMB-doorvoer lezen/schrij-ven RAID 5 onversleuteld

3 × harddisk: ST4000VN008

3 × ssd: 850 Pro 250 GB

3 × harddisk: ST4000VN008

3 × ssd: 850 Pro 250 GB

Kleine bestanden (256 kB) 29 / 14 MB/s 25 / 17 MB/s 60 / 19 MB/s 60 / 23 MB/s

Middelgr. bestanden (2 MB) 103 / 55 MB/s 101 / 109 MB/s 226 / 60 MB/s 241 / 143 MB/s

Grote bestanden (400 MB) 155 / 336 MB/s 218 / 511 MB/s 218 / 214 MB/s 470 / 610 MB/s

Geluidsniveau idle 0,3 sone 0,1 sone 0,5 sone <0,1 sone

Energieverbruik idle 23 watt (43 VA) 15 watt (30 VA) 21 watt (40 VA) 12 watt (27 VA)

Prijs (zonder schijven) € 338 € 399

De 10Gbit-LAN-poort van de QNAP TS-332X (boven) is uitgevoerd als SFP+-aan-sluiting. De Asustor AS4004T heeft een gewone RJ45-aansluiting voor 10GBase-T.

Back in actionGoPro Hero7 Black 4K-actioncam

Actie filmen vereist een krachtige

beeldstabilisatie en op dat punt

doet de nieuwe GoPro het bijzonder

goed. Met de livestreaming laat je je

vrienden meegenieten van je avon-

turen. Alle kleine verbeteringen aan

de Hero7 leveren samen een flinke

upgrade op.

Hannes A. Czerulla

Het is eigenlijk erg rustig gewor-

den op het gebied van de ac-

tioncams. De GoPRo Hero7 wil

het filmen van actiemomenten weer fun

maken. Net als bij zijn voorganger zijn er

drie versies: een White, Silver en Black.

Behalve een ander kleurtje, hebben ze

ook een andere uitrusting. We hebben

de Black getest, wat het topmodel is. Die

heeft een 12-megapixelsensor, kan 4K

vastleggen met 60 fps en foto's in JPEG

én in RAW maken. De sensorchip is van

Sony en is dezelfde als bij de voorgan-

ger, maar alles er omheen werd flink op

de schop genomen.

VideokwaliteitDe Hero-modellen van de afgelopen

jaren lagen net wat achter op de ap-

paraten van concurrent Sony. De reden

was vooral de bijzonder goede beeldsta-

bilisatie van de cams van Sony. En juist

op dat punt heeft GoPro bij de Hero7

flink uitgepakt. Op het gebied van kleur,

dynamiek en algemene beeldweergave

is er weinig veranderd, maar door de

beeldstabilisatie neemt de kwaliteit van

de opname wel duidelijk toe.

De fabrikant noemt dat zelf 'Hyper-

Smooth' en vergelijkt de stabilisatie met

die van een gimbal. Een optische beeld-

stabilisatie ontbreekt, hij doet zijn werk

net als veel camera's in smartphones met

softwarematige algoritmes. Het beeld

wordt daarbij een beetje bijgesneden.

Bij weinig beweging is de functie net

zo goed als bij echte hardware-gimbals.

Als je de camera tijdens een wandeling

vasthoudt, blijft het beeld vrijwel geheel

wiebelvrij.

Voor de test monteerden we de ca-

mera onder andere op een mountainbike

en gingen we aan de slag op afwisselend

terrein met flinke sprongen en strakke

bochten. Vooral vibraties en kleine be-

wegingen werden bijna geheel weg-

gepoetst. Grovere bewegingen werden

in ieder geval flink en duidelijk beter

weggemoffeld dan bij de voorganger.

Het houdt echter op bij heftige vibra-

ties en fanatieke bewegingen, dan trekt

de digitale stabilisatie vergeleken met

een hardware-gimbal het toch echt niet

meer.

De Hero7 heeft een lens met een

super breedbeeldhoek met een brand-

puntafstand van 17mm. Dat is extreem

breed en dus krijg je een vertekend

beeld met een fisheye-effect. Bij video's

die door actioncams zijn gemaakt is dat

inmiddels een stijlelement. Als je liever

geen beeldvervorming wilt, kun je met

behulp van professionele videobewer-

kingssoftware de beelden aanpassen. Bij

lagere resoluties kun je het gezichtsveld

omzetten naar lineair, de vertekening in

de hoeken neemt dan behoorlijk af.

De video's en foto's ogen wat warm

qua kleur en neigen wat naar het rood.

De kwaliteit is vergelijkbaar met die van

de middenklasse smartphones.

36 c’t 2019, Nr. 3

Speciaal voor foto's in het donker en

voor onderwerpen met veel dynamiek

heeft GoPro de functie SuperFoto. Met

die marketingterm wordt een licht op-

geleukte HDR-functie bedoeld. Bij een

verre van ideale belichting wordt de

content daadwerkelijk opgslagen met

een flink verbeterde dynamiek, en dat

met een sluitertijd die nog praktisch is.

Wel hebben de beelden dan duidelijk

last van ruis, waardoor ze wat minder

bruikbaar zijn.

BedieningDe behuizing van de Hero7 Black is ook

echt zwart en is voorzien van een rub-

berachtige laag. Die zorgt voor grip en

dempt eventuele kleine stoten. Het op-

pervlak is wel gevoelig voor krassen.

Zonder extra beschermingsmaatregelen

is de Hero7 tot 10 meter waterdicht. Na

een rondje door de modder crossen kun

je hem dan ook makkelijk onder de kraan

schoonboenen. Je krijgt alleen een plas-

tic case meegeleverd waar je de camera

inklikt. Die beschermt vooral de hoeken

en zijkanten, maar dekt daarbij wel de

usb-poort af. Dat zorgt ervoor dat je de

camera uit de case moet klikken om hem

op te laden.

De GoPro Hero7 heeft twee knop-

pen, eentje voor aan-uit en een voor het

starten en stopzetten van de opnames.

Ze zijn allebei goed te bedienen met

handschoenen aan. Het wordt iets meer

gedoe als je nog meer in wilt stellen.

Dat kan alleen via het maar 2 inch grote

touch screen. Voor die afmetingen is dat

nog aardig te bedienen omdat de vlak-

ken groot genoeg zijn en de scrolbewe-

gingen goed worden geregistreerd. De

interface reageert soms wel wat traag.

Video's en foto's kun je op de camera

zelf previewen. Met de slowmotion (240

fps) en verschillende timelapse-modi

kun je een creatief tintje toevoegen aan

de video's. Erg handig: bepaalde secties

kun je markeren, zodat je die momenten

later sneller terug kunt vinden.

De software op de camera draaide

niet helemaal stabiel. Een aantal keer

liep die bij het booten in de soep en

zagen we alleen de achtergrondverlich-

ting aanspringen. Ook bij het bekijken

van video liep de interface soms vast. We

kregen hem dan weer aan de praat door

de accu kort los te halen.

Er zit weer geen standaard statief-

draad op, maar een eigen houder op de

meegeleverde case. Inmiddels zijn voor

een paar euro uit China een heleboel

extra's te bestellen, zoals een strap voor

om je borst of hoofd, zuignappen, spe-

cifieke houders voor op je helm of fiets

en een universele houder.

AppVoor Android en iOS zijn er smartpho-

ne- en tablet-apps. De apparaten maken

verbinding via wifi. De app toont het

livebeeld en kan gebruikt worden als

remote. De eerder opgeslagen foto's en

video's stuur je zonder kabel naar je mo-

biele apparaat en daarna bijvoorbeeld

door naar socialemedia. Er zit een zeer

basic video-editor in de app.

De app laat je het videobeeld ook

livestreamen via Facebook en YouTube.

En je hebt de optie voor een RTMP-

stream (Real-Time Messaging Protocol),

die met een Flash-player of via YouTube

bekeken kan worden. Zonder een smart-

phone met wifi of mobiele data als brug

naar internet werkt livestreaming niet.

Met een volle accu konden we 46

minuten video's vastleggen in 4K met 60

fps. De compacte accu van 1220 mAh is

simpel te verwisselen. Extra accu's kos-

ten ongeveer 25 euro, voor zo'n 60 euro

krijg je een dubbellader inclusief extra

accu. Desnoods laad je de accu op in de

camera via USB-C.

ConclusieGoPro heeft zijn huiswerk gedaan en

heeft het zwakke punt van de beeld-

stabilisatie flink verbeterd. Met de 430

euro kostende Hero7 Black heeft GoPro

de concurrenten weer ingehaald en op

sommige punten zelfs overtroffen. Als je

een goede actioncam zoekt, is de Hero7

een prima keus. Ook als je een ouder

model hebt, is het de moeite waard om

te upgraden door de verbeterde beeld-

stabilisatie. Daar komt dan de fijnere in-

terface als pluspunt nog bij.

De Hero7 Silver en White zijn twee

wat meer betaalbare opties. De Silver is

100 euro goedkoper, de White is voor

220 euro verkrijgbaar. De verschillen zijn

dat ze allebei geen lcd aan de voorkant

hebben en een andere sensorchip van

10 megapixels. De Silver-versie kan op-

nemen in 4K, maar slechts met 30 fps.

De White legt acties alleen vast in full

hd met 60 fps. (avs) c

37c’t 2019, Nr. 3

Test | Actioncam

GoPro Hero7 Black

Actioncam

Fabrikant GoPro, www.gopro.com

Sensor / grootte Sony IMX277 / 1/2,3

Resolutie video / foto 4K (60 fps) / 12 MP (4000 x 3000)

Kijkhoek opname max. 170 graden

Audio stereo

Displayformaat / resolutie TFT 2 inch / 480 x 320 pixels

Waterdichtheid tot 10 m

Beeldstabilisatie digitaal

Aansluitingen USB type-C, micro-HDMI, 3,5 mm jack (via adapter)

GPS / Bluetooth / wifi v / v / v

Verwisselbaar geheugen MicroSDXC

Meegeleverd accu, case, kleefhouders, USB type-C-kabel

Accuduur 46 min

Afmetingen 6,2 cm x 4,4 cm x 3,3 cm

Gewicht 117 g

Prijs e 430

Om de Hero7 aan acces-soires te koppelen, moet je de camera eerst in de mee-geleverde case stoppen, die is voorzien van GoPro's eigen aansluiting.

Aardewerk printen

De Cerambot werkt door het vullen van een cartridge met klei.

De makers bieden meerdere formaten nozzles aan van 0,8 tot 2

mm. De bedoeling is om het printen van aardewerk betaalbaar te

maken en de printer is ook simpel in gebruik. Je kunt kiezen uit een

complete 3D-printer of een universele extruder-kit, die in combina-

tie met elke FDM 3D-printer is te gebruiken. Op die manier maak

je je huidige printer weer wat veelzijdiger. De complete Pro-versie

is nog fijner voor beginners, aangezien het aansturen al via een

controlepaneel kan worden gedaan. Bij de Air-versie moet er aan

een drukventiel worden gedraaid. Je hebt geen luchtcompressor

nodig. De Cerambot print 5 tot 50 m per seconde en is nauwkeurig

tot 0,1 mm. Je stuurt hem aan met opensource software als Cura,

Slic3r of RepetierHost. Je aardewerkcreatie mag maximaal 170 bij

285 mm groot zijn.

http://kck.st/2r3w3TM • vanaf 199 dollar

Good robot

De kleine, schattige robot Vector heeft slimme AI die 'net niet

te slim is'. De hardware is opgebouwd rondom het Qualcomm

200-platform. Hij reageert met een capacitieve sensor als je hem

aanraakt of oppakt. Hij kan geluidsbronnen pinpointen en natuur-

lijke spraak herkennen. Zijn zicht bestaat uit een HD-camera met

een beeld van 120 graden. Je kunt hem foto's van je laten maken,

en hij begroet je als hij je heeft herkend. Aan de onderkant zitten

valsensoren. Voor het inschatten van afstanden en het mappen

van de omgeving gebruikt hij een infrarood laserscanner met een

bereik van net iets minder dan een meter. Zijn gezicht wordt ge-

vormd door een high-res IPS-display, waardoor hij bijvoorbeeld

weersinformatie via subtiele animaties kan weergeven. Je kunt

hem met een app instellen, maar voor de rest heb je die app ver-

der niet nodig.

www.anki.com • vanaf 250 dollar

Touchscreen projector

Een draagbare projector is handig voor thuis of op kantoor, maar

het wordt nog leuker (en handiger) als het geprojecteerde beeld

ook direct een touchscreen is. Dat wordt mogelijk gemaakt via

de zowel horizontaal als verticaal te gebruiken Puppy cube. Het

rechthoekige kastje draait zelf op Android, dus je hebt niet per se

een extra apparaat nodig om beeld te laten weergeven. Via een

3,5mm-jack, USB 3.0-poort en HDMI 2.0-aansluiting of via AirPlay

of Miracast tover je het beeld van je eigen apparaat tevoorschijn.

Twee 5W-speakers zitten ingebouwd. Het touchscreendeel biedt

10-punts touch. Dankzij de lithiumionaccu moet het apparaat het

een ruime 2 uur volhouden. Het geprojecteerde beeld kan 23 inch

tot maximaal 100 inch groot zijn. De lamp in het apparaat houdt

het bij 4 uur gebruik per dag 10 jaar vol.

https://igg.me/at/puppycube • vanaf 799 dollar

38 c’t 2019, Nr. 3

Lifestyle

AR-pianospelen

iOS (gratis)

AR-apps bieden handige

mogelijkheden om je be-

paalde vaardigheden aan te leren door

de extra virtuele laag die ze kunnen toe-

voegen. Met Chroma - AR Piano Tutor

leer je via die extra AR-laag waarin je

toetsaanslagen ziet heel eenvoudig en

in je eigen tempo (trager en sneller kan)

een muziekstuk spelen. Er zijn meer dan

100.000 muziekstukken beschikbaar om

uit te kiezen, van klassiek tot rock. De

muzieknoten worden daarbij vertaald

naar de toetsaanslagen die je moet uit-

voeren.

Coding …

Android /iOS (gratis)

In een grotendeels connec-

ted wereld is programmeren

een goede vaardigheid om je eigen te

maken. Met Mimo leer je HTML, CSS,

Ruby en meer, zodat je apps, websites of

een game in elkaar kunt zetten of leert

wat je nodig hebt om te 'hacken'. Ook zit

er wat meer algemenere uitleg in, zoals

het gebruik van API's, de achtergrond

over games, algoritmes en internet en

big data. Elke dag staat er ook een chal-

lenge voor je klaar om op te lossen, met

uitdagende titels als 'Fix the Hyperloop'.

Quiztime

Android /iOS (gratis)

Multiple-choice-vragen klin-

ken niet echt uitdagend, ten-

zij je die verpakt in een leuke vorm, zoals

een quiz. Met Kahoot! Play & Create

Quizzes tover je in een hand omdraai

een quiz in elkaar inclusief foto's, vi-

deo's en gifs, die je daarna kunt delen

door de pincode door te geven. Met de

app kun je dus zowel een quiz maken en

hosten, maar ook eraan meedoen. In de

app zitten al wat leuke quizzes opgeno-

men. Leuk om op school het leren wat

leuker te maken, of als geinig tijdverdrijf

op feesten en partijen.

Android /iOS (gratis)

Als je graag buiten bent, zijn

allerlei apps om nieuwe rou-

tes te ontdekken erg fijn. Alltrails laat je

mooie routes in de buurt zien, of zoeken

op locatie voor de mooiste wandel-, fiets-

of hardlooproutes. Met een gratis account

houd je je favoriete routes bij, deel je ze

met vrienden en leg je ze vast. Je kunt ook

vrienden volgen voor meer inspiratie. In het

Pro-account van een paar euro per maand

zitten opties verstopt als het downloaden

van kaartinformatie, toegang tot meerdere

kaartlagen, realtime overlays en je eigen

kaarten maken en printen. Bij elke route

staat uitgebreide informatie, van lengte

en hoogteverschillen tot de moeilijkheids-

graad. Onderaan staan tags om snel te kun-

nen zien voor welke doeleinden de route

geschikt is: fietsen, wandelen, of vogels of

andere dieren van dichtbij bekijken. Ook

zie je zo snel of je hond aan de lijn moet

of niet, mocht dat nog in de omschrijving

ontbreken.

Leuk rondjes lopen

Leermoment

Android /iOS (gratis)

Het mooie aan het internet is

dat het een prachtig medium is

om kennis te delen. Via een aantal mooie

websites en diverse apps kun je in je eigen

tempo kennis over legio onderwerpen

opdoen. Khan Academy biedt een over-

zichtelijke app (en website) met cursussen

over uiteenlopende onderwerpen. Er zit

uitleg in met basiskennis over verschil-

lende wetenschappelijke onderwerpen

als astronomie en scheikunde en uitge-

breide economische onderwerpen, maar

ook uitstapjes naar de wereld van kunst en

cultuur en bijvoorbeeld zelfstandig onder-

nemerschap. Veel uitleg wordt voorzien

van videomateriaal, waarbij de gesproken

tekst in transcripties beschikbaar is om

die (op een later tijdstip) nog eens rustig

door te kunnen lezen. Al het materiaal is

geheel gratis beschikbaar en in behapbare

hoofdstukken ingedeeld. De app bevat ook

oefenvragen met instant feedback en hints.

Offline opslaan is ook handig, net als het

synchroniseren tussen de dekstop- en mo-

biele versie om thuis verder te gaan waar

je gebleven was.

Even een frisse neus halen? Alltrails toont alle routes om de hoek en verder weg, aangevuld gedetailleerde infor-matie en ervaringen van anderen.

Khan Academy biedt een flinke hoeveel-heid cursussen en uitleg over een grote verscheidenheid aan onderwerpen. Alle content is geheel gratis beschikbaar.

39c’t 2019, Nr. 3

Apps | Favoriete apps van de redactie

Feudal Alloy

Via gevechten en het ontdekken van items

verdien je ervaringspunten die je kunt

stoppen in meer slagkracht of betere be-

scherming. De omgeving zit vol met deu-

ren die je pas op een later moment kunt

openen als je het juiste gereedschap ge-

vonden hebt. Gelukkig is het kaartsysteem

prima, zodat je makkelijker kunt tracken

waar je ook alweer tegen die gesloten deur

aanliep. Er zitten ook veel verborgen gan-

genstelsels met leuke objecten in de game

verstopt. De makers adviseren om het spel

met een controller te spelen, en dat lijkt

gezien de soms heftige button-mash-actie

geen overbodige luxe. (avs)

zeer mooi getekende omgevingen

soms pittig, maar verslavend

Ook in bloed geschreven boodschappen op

de muren en diverse extra schrikmomenten

houden je adrenaline goed op peil.

Uiteraard krijg je een uitgebreid arse-

naal aan wapens tot je beschikking, van

dubbele pistolen, shotguns en geweren tot

granaatwerpers en een klinknagelgeweer.

Items oppakken en naar vijanden gooien

kan ook, van tonnen tot aan serviesgoed.

Een gericht schot op explosieve items is een

perfecte manier om snel meerdere vijanden

uit te schakelen. De game bevat ook een

multiplayermodus. Dat is een leuk extra-

tje, maar de singleplayer is het deel waar je

vele uren zoet mee zult zijn en die het meest

vermakelijk is.

Als je zo nu en dan nog een oude Quake

of Doom aanslingert, raak je toch een beetje

teleurgesteld. Dusk krijgt het voor elkaar

om ondanks de retrolook toch zeer modern

aan te voelen. De game laat goed zien dat

er geen state-of-the-art graphics nodig zijn

om je te vermaken. (avs)

soepele, snelle gameplay

goed verweven rode draad

(Attu Games, € 15)

Feudal Alloy is een actie-adventure die fo-

cust op ontdekken en met je zwaard fl ink

in de rondte slaan. Je bent een door een vis

in een kom aangestuurde robot. Of een die

door een hamster in een loopwiel wordt

aangedreven, voor ons ook iets nieuws.

De hoofdpersoon brengt zijn tijd door met

zorgen voor veteranenrobots. Daarvoor ver-

bouwt hij zonnebloemen om met de olie

de oude robots te onderhouden. Maar als

bandieten opeens alles plunderen, grijpt hij

een zwaard en helm en gaat op pad om ze

op te sporen.

De game is bij vlagen fl ink pittig, waar-

bij je je zwaardacties, uitwijkmanoeuvres en

bommen slim moet combineren om de bad-

guys tot een hoopje roestige metalen onder-

delen te reduceren. Verslagen vijanden kun

je omzetten in klinkende munt, waamee je

kunt shoppen voor tools en wapens.

(David Szymanski, vanaf € 17,

uitgever: New Blood Interactive)

In de jaren negentig al je vrije uren gevuld

met Quake, Doom en Blood? Dan ga je Dusk

erg waarderen, want die game haalt daar

zijn inspiratie uit. De shooter start met jou

hangend aan vleeshaken in een aftandse

schuur ergens in the middle of nowhere.

Met kettingzagen gewapende gasten met

zakken over hun hoofd en in witte gewaden

geklede cultleden zijn niets gezelligs met je

van plan, dus je wurmt je los en slaat er met

twee vleeshaken lustig op los.

De sfeer is lekker creepy en er vloeit ge-

noeg bloed om menig bloedbank vele jaren

van voorraad te voorzien. De snelheid van

de game ligt zeer hoog, en al vlot verplaats

je je bunnyhoppend langs de nare fi guren

en over obstakels naar plekken waar extra

objecten te scoren zijn.

Op diverse plekken is het behoorlijk

donker en dan moet je zo af en toe je zak-

lamp echt tevoorschijn halen. Ondanks dat

je weet dat het gaat gebeuren, was het tot

leven komen van een zombie-achtige vo-

gelverschrikker toch even +30 aan hartslag.

Dusk

40 c’t 2019, Nr. 3

Games | Shooter, online action-RPG

Om een beetje leuk creatieve

content te delen of je eigen

website of bedrijfje verder uit

te bouwen, heb je een pak-

kende naam nodig. Maar voor

allerlei webdiensten loop je er

vaak tegenaan dat de naam

die je zou willen hebben al

ingepikt is. Dat kan vervelend

zijn, aangezien je dan voor bepaalde be-

langrijke diensten een aangepaste naam

moet gebruiken, wat niet betrouwbaar

overkomt. Met een controle via namechk

controleer je of voor alle populaire diensten

jouw naam naar keuze nog beschikbaar is.

Naast de bekende diensten als Facebook,

Het leven van een bingewatcher kan best

zwaar zijn. Waar o waar is je favoriete serie

of film nou ook alweer te bekijken? Ge-

lukkig verschijnen er regelmatig handige

tools die je op je bank helpen en houden.

Justwatch is er zo eentje. Voer de film of

serie in die je wilt kijken en de dienst die

hem aanbiedt (of waar hij te koop is) plopt

als resultaat naar voren. Niet echt specifiek

een idee wat je wilt kijken? Vul wat filters in

Lekker zittenhttps://seatguru.com

Bij het boeken van een vliegreis is het

niet onverstandig om eens rond te kij-

ken via seatguru en informatie te zoe-

ken over het specifieke vliegtuig waar je

mee vliegt. Niet alleen zie je dan of je wel

een gunstige plek hebt gekozen: niet alle

plekken aan de zijkant van een vliegtuig

hebben ook automatisch een raam en

beenruimte is ook een belangrijk aspect.

Informatie over het in-flight entertain-

ment, het eten, hoe het zit met de stop-

contacten, bagage en eventuele huis-

dieren staat ook vermeld. De informatie

is leuk aangevuld met foto's en reviews

van reizigers, zodat je een nog beter idee

krijgt over waar je de komende uren in

opgesloten zit. Niet alleen handig voor

reizigers, ook vliegtuigfanaten kunnen

hun hart ophalen met de uitgebreide

informatie.

Weerstatshttps://weatherspark.com

Als je een reis plant, of een evenement,

is het handig om te weten hoe het weer

er op dat moment uit zal zien. Als je zo-

iets ver van tevoren moet regelen, zit je

wel met wat gokwerk opgescheept. Via

weatherspark zie je voor steden of vlieg-

velden de weerrapportages per uur, per

dag of per maand. Er is een mooi jaar-

overzicht om de (al dan niet) geleidelijke

overgangen tussen de seizoenen af te

lezen. Met de gemiddelde minimale en

maximale temperaturen kun je een rede-

lijk veilige termijn uitkiezen wanneer het

warm weer zal zijn, of juist tijd voor win-

tersporten. De informatie over de hoe-

veelheid wolken en eventuele neerslag

die daaruit komt vallen mag natuurlijk

ook niet ontbreken.

Kijk nou maarhttps://www.justwatch.com/nl

Internet | Websites

YouTube, Twitter en Instagram, neemt de

website ook sites als Trakt, Patreon, Band-

camp, Ask FM, Imgur, Houzz en zelfs eBay

mee in de controle. Je kunt je username

ook bij meerdere diensten vast laten leg-

gen, maar dat is nog een experimentele

optie en niet geschikt voor bedrijven.

zoals releasejaar, genre of een goede rating

en je avond wordt weer gevuld met vol-

doende kijkplezier. De website is ook echt

geschikt voor Nederlandse bankhangers,

want Videoland en Pathé duiken netjes

op in de resultaten. Ook handig: per serie

staat vermeld hoeveel seizoenen er te kij-

ken zijn. Het komt ergerlijk genoeg echter

nog wel eens voor dat er hier en daar wat

seizoenen ontbreken.

Ff checkenhttps://namechk.com

Het blijft erg lastig voor te stellen hoe ver be-

paalde planeten van ons af staan. De reisduur

er naartoe zegt wel iets, maar de snelheid in-

schatten voor een ruimtereis is heel wat an-

ders dan van Maastricht naar Leeuwarden.

De meest recent Marslander InSight werd

begin mei gelanceerd

en arriveerde eind no-

vember. Via distance-

tomars wordt de aarde

weergegeven in een

vast formaat pixels, en

de afstand tot Mars

(met een tussenstop bij

de maan) ook, net als

zijn grootte. Onderweg

tijdens het lange auto-

matisch scrollen tot je

Mars bereikt verschijnen

er links en rechts Mars-

feitjes in beeld.

Pixelafstand Marshttp://www.distancetomars.com

c’t 2019, Nr. 3 41

De optimale pcKoopadvies: vlotte cpu's, werkgeheugen en ssd's

c’t 2019, Nr. 342

Praktijk | De optimale pc: componentkeuze

Koopadvies: componentkeuze . . . . . . . . . . . . . . . . . . . . . . . . . 42

Bouwvoorstel allround-pc

met Core i5-9600K . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Bouwvoorstel allround-pc

met Ryzen 7 2000X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Bouwvoorstel gaming-pc

met Radeon RX 570 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Bouwvoorstel workstation-pc

met Ryzen Threadripper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Christof Windeck

Op de cpu-markt struikel je zowat

over de cpu-cores. Bij notebooks

en mini-pc's valt er uit vier tot

zes kernen te kiezen. Bij middenklasse pc-

platforms van AMD en Intel kom je uit op

acht stuks en op echte high-end moeder-

borden kun je zelfs 32 kernen kwijt. Ons

koopadvies verklaart hoeveel kernen voor

jouw eisen nodig (en zinvol) zijn.

Naast de keuze tussen AMD Ryzen en

Intel Core i is er nog de keuze tussen al-

lerlei grafische kaarten, werkgeheugen,

ssd's, harde schijven, moederborden en

voedingen.

Tot de kern komenHet is erg jammer dat veel populaire pro-

gramma's voor dagelijks gebruik slechts

een enkele cpu-core benutten. Dit geldt

bijvoorbeeld voor office-software als Libre-

Office Writer bij de nogal rekenintensieve

taak om een tekstbestand om te zetten

naar een pdf om te mailen.

Omdat veel programma's vrij beroerd

geprogrammeerd zijn, draaien ze op een

dikke cpu van 2000 euro niet vlotter dan

op eentje van 150 euro.

De ontwikkelaars zijn niet altijd de

aanwijsbare reden dat multicores geen

extra performance bieden: er zijn taken

die nauwelijks parallel af te handelen zijn.

Dat geldt zelfs voor een aantal typische

workstation-programma's zoals AutoCAD.

Die tool kan pas de berekening van be-

paalde objecten starten als de eerdere

taken zijn afgerond. Het hangt dus van

de software af hoeveel cpu-kernen nut-

tig zijn. Bekijk welke programma's je vaak

gebruikt en bij welke je een flinke reken-

performance nodig hebt.

Bij veel software worden duidelijke

systeemeisen vermeld. Zo zijn de meeste

spellen pas tevreden met een quadcore

of meer. In Windows zie je in Taakbeheer

hoe sterk de cpu wordt belast. Als een

quadcore zonder hyperthreading slechts

25 procent belasting laat zien, benut de

code slechts een enkele kern.

Mocht het zo zijn dat je niet precies

kunt achterhalen hoeveel kernen een be-

paald stuk software gebruikt, gebruik dan

vuistregels. Voor een nieuwe pc, die lekker

vlot moet zijn en meerdere jaren mee moet

gaan, is het verstandig minimaal een quad-

core met turbo te nemen.

De AMD Ryzen 3 2200G kost ongeveer

105 euro, Voor ongeveer 50 euro meer heb

je de Ryzen 5 2400G of de Core i3-8100. Die

laatste is Intels goedkoopste quadcore met

recente techniek.

Nog goedkoper is een optie, dan kom

je uit bij dualcores als de Athlon 200GE en

Pentium Gold G5000 en Celeron G4000.

Deze zijn echter alleen geschikt voor sim-

pele kantoor-pc's.

Let wel op, in een aantal mini-pc's

en zeer goedkope desktops zitten karige

Atom-Celerons zoals de CeleronJ/N4000 en

Pentium Silver J/N5000. Vanwege de lage

singlethread-performance voelen pc's met

deze cpu's traag aan. Ze zijn nuttig in pas-

sief gekoelde compacte apparaten waarbij

de performance er niet toe doet.

High-endWanneer je juist wilt gaan voor flinke per-

formance, komen hexacores om de hoek

kijken. De AMD Ryzen 5 2000X-serie of Intel

Core i5-8000/9000 zijn verkrijgbaar vanaf

zo'n 220 euro.

De verschillen tussen de AMD- en

Intel-chips zijn in de dagelijkse praktijk

niet merkbaar groot. Intel heeft als voor-

deel dat de singlethread-performance

wat hoger ligt. Dit merk je ook in gaming-

benchmarks, maar in de praktijk heeft een

grafische kaart meer invloed op die per-

formance.

Het grootste voordeel van Intels Core

i-reeks is bij programma's die AVX-code ge-

bruiken, maar dat aantal wordt rap kleiner.

Octacores zijn alleen nuttig als je vaak

zeer rekenintensieve taken uitvoert, bij-

voorbeeld video-editing, audiobewerking

met veel audiosporen of 3D-rendering.

De Ryzen 7 2600X en Core i7-9000 heb-

ben dankzij een flinke turbo ook vaak de

hoogste singlethread-performance.

Maar het verschil met veel goedkopere

chips is slechts 20 procent en dat is niet

opvallend veel. Belangrijker zijn de extra

kernen, mits de software ze nuttig kan in-

zetten.

De duurste high-end desktopplatforms

(HEDT) zijn TR4 voor AMD's Threadripper

en LGA2066 voor de Intel Core X. Dit is

slechts voor een zeer beperkte groep nut-

tig om aan te schaffen. Je hebt hier tot 32

kernen, 64 threads en 128 GB geheugen als

optie, maar veel software raakt daar van in

de war en als je pech hebt gaat je perfor-

mance juist omlaag en niet omhoog. En je

De flinke AMD Ryzen Threadripper heeft 32 kernen. De Intel Core

i9-9980XE 18 stuks. De beide middenklasse-

platforms AM4 (Ryzen) en LGA1151v2 (Core i)

bieden elk acht kernen.

Hoeveel cpu-cores wil je hebben? De concurrentie tussen AMD en Intel is

voor de consument handig: het levert een pc-bouwer lekker veel keuze op.

Voor een complete pc moet daar ook nog een matchende grafische kaart,

vlotte ssd en een stabiel moederbord bij.

43c’t 2019, Nr. 3

Praktijk | De optimale pc: componentkeuze

Allround-pc met AMD Ryzen 5 2600

AMD levert meer cores voor je geld: 12

threads voor zo'n 170 euro is eigenlijk

vooral aanlokkelijk voor toepassingen

zoals video-editing en 3D-rendering,

maar deze pc is ook makkelijk in een

gaming-pc om te toveren.

  stil, snel, uitbreidbaar

  meer kernen voor je geld

  idle-verbruik 29 watt

Workstation met AMD Ryzen Threadripper

Krachtpatser met 32 threads, tot 128

GB geheugen en ruimte voor meerde-

re grafische kaarten of rekenversnel-

lers. Dankzij waterkoeling kan hij vol

gas geven, idle is hij lekker stil. Wel is

het prijskaartje pittig.

  zeer hoge performance

  uitbreidbaar, opt. ECC-RAM

  prijzig en energieslurpend

Allround-pc met Core i5-9600K

Snel, flexibel en zuinig, en nu als het

goed is zelfs zonder die Meltdown-

ellende. Intels meest recente hexa-

core kan de meeste pc-taken mak-

kelijk aan. Tegen een fikse meerprijs

krijg je acht kernen.

  stil, snel, uitbreidbaar

idle uinig

  prijzige cpu

moet instellingen aanpassen om te zorgen

dat het goed werkt. Deze dure keuze komt

ook met flinke eisen qua koeling (lastig om

stille koeling te vinden), flinke voedingen

en de boottijd neemt toe. Zet de voor- en

nadelen dus goed naast elkaar.

Spectre & MeltdownDe vele veiligheidslekken die onder de

namen Spectre, Spectre-NG en Meltdown

bekend zijn geworden, zijn nog lang niet

uitgeroeid. AMD en Intel hebben wel in de

meest recente processorseries (Ryzen 2000

en Core i-9000) beschermende functies

ingebouwd, maar medio recent kwamen

er weer nieuwe problemen boven water.

Deze worden vooral opgelost via updates

voor de huidige besturingssystemen, ofte-

wel Windows en Linux.

Anders gezegd: een processor in huis

halen die compleet veilig is gaat niet luk-

ken. Dat is voor typische desktops en note-

books ook geen groot drama. De Spectre-

gaten zijn alleen met erg veel gedoe te

misbruiken door malware, in de praktijk is

die malware nog niet opgedoken.

En vooral bij Windows-pc's zijn er nog

vele andere zwakke punten te vinden die

veel makkelijker misbruikt kunnen worden.

Spectre en Meltdown leveren vooral pro-

blemen op bij servers in cloud-datacentra.

Toch valt AMD en Intel wel aan te re-

kenen dat ze traag reageren en met frisse

Pc-bouwvoorstellen: performance onder Windows 10

Pc / uitvoering Benchmarks Metingen

Cinebench R15

singlethreadingCinebench R15

multithreadingSysmark 2018 3DMark

FirestrikeFarCry 5 Ultra, UHD / FHD [fps]

Shadow of the Tomb Raidermax, UHD / FHD [fps]

Geluids productie

idle / belast [sone]Energieverbruik

idle / belast [W]

beter > beter > beter > beter > beter > beter > < beter < beter

Allrounder met Intel Core i5-9600K

Basisconfiguratie

+ GeForce GTX 1060

+ GeForce RTX 2070

Allrounder met AMD Ryzen 5 2600

Basisconfiguratie

+ GeForce GTX 1060

+ GeForce RTX 2070

Budget-gaming-pc met Core i3-8100

Basisconfiguratie

Threadripper-workstation

Basisconfiguratie

+ GeForce RTX 2070

en 5 2600

3-8100

198

198

198

161

161

161

153

174

174

1046

1046

1046

1244

1244

1244

589

3148

3148

1836

1836

1836

1446

1446

1446

1401

1641

1641

1299

10583

17879

1690

11663

17726

9908

1649

20206

–/–

25/70

49/110

–/–

25/71

49/87

23/64

–/–

49/80

–/–

17/52

35/96

–/–

18/55

36/91

17/49

–/–

37/94

<0,1/<0,1

<0,1/0,4

<0,1/0,8

<0,1/0,1

<0,1/0,4

<0,1/0,8

<0,1/1,9

<0,1/2,3

0,1/2,3

18/115

25/254

24/356

29/143

35/267

35/363

22/249

53/318

60/524

44 c’t 2019, Nr. 3

Praktijk | De optimale pc: componentkeuze

Budget-gaming-pc met AMD Radeon RX 570

Alleen voor games, en misschien

wat huiswerk. Bij de budget-gaming-

pc gaan we meer voor grafische po-

wer dan cpu-power, zodat games in

Full-HD vlot draaien. Als de grafische

kaart het rustig heeft, blijft hij stil.

  betaalbaar

  stiller dan een kant-en-klare pc

  niet veel variatie mogelijk

tegenzin informatie verstrekken. Nieuwe

pc's en moederborden hebben meestal

actieve beschermende maatregelen in het

BIOS (microcode-updates) en besturings-

systeem zitten, maar oudere systemen blij-

ven onbeschermd.

GraphicsDe in cpu's ingebouwde grafische chips

zijn krachtig en kosten niet veel. Als je het

juiste moederbord kiest kun je daar een of

Basisvarianten: technische gegevens en meetresultaten

Type Allrounder met Intel Core i5-9600K Allrounder met AMD Ryzen 5 2600 Budget-gaming-pc Threadripper-workstation

Afmetingen (b × h × d) 22,3 cm × 46,9 cm × 50,7 cm 22,3 cm × 46,9 cm × 50,7 cm 23 cm × 39,6 cm × 38,3 cm 23,3 cm x 46,4 cm x 54,5 cm

Uitbreidingsslots (vrij) 2 × PCIe x1 (2), 2 × PEG (2), 1 × M.2-22110 (1), 1 × M.2-2280 (1)

2 × PCIe x1 (2), 3 × PEG (2), 1 × M.2-22110 (1), 1 × M-2-2280

2 × PCIe x1 (1), 1 × PEG (0), 1 × M.2-22110

2 x PCIe x1 (1), 4 x PEG (3), 1 x M.2-22110 (0), 2 x M.2-2280

Drivebays 2 × 2,5"(1), 3 × 2,5/3,5" (3), 2 × 5,25" (2)

2 × 2,5" (2), 3 × 2,5/3,5" (2), 2 × 5,25" (2)

2 × 2,5" (1), 1 × 3,5" (1) 2 x 2,5" (2), 4 x 3,5" (4), 1 x 5,25" (1)

Aansluitingen achter 1 × HDMI 1.4, 1 × DisplayPort 1.2, 5 × analoge audio, 1 × S/PDIF Out optisch, 1 × USB 3.1 type A, 1 × USB 3.1 type C, 4 × USB 3.0, 1 × LAN, 2 × PS/2, 2 × wifi-antenne

1 × HDMI 2.0, 1 × DisplayPort 1.4, 5 × analoge audio, 1 × S/PDIF Out optisch, 1 × USB 3.1 type A, 1 × USB 3.1 type C, 4 × USB 3.0, 4 × USB 2.0, 1 × LAN

1 × HDMI 2.0, 1 × DVI, 3 × DisplayPort 1.2, 3 × analoge audio, 4 × USB 3.1 type A, 2 × USB 2.0

1 × HDMI 2.0, 1 × DisplayPort 1.4, 5 × analoge audio, 1 × S/PDIF Out optisch, 1 × USB 3.1 type A, 1 × USB 3.1 type C, 8 × USB 3.0, 2 × USB 2.0, 1 × LAN, 1 × PS/2

Aansluitingen voor 2 × USB 3.0, 2 × analoge audio, 2 × USB 3.0, 2 × analoge audio, 2 × USB 3.0, 2 × analoge audio, 2 x USB 3.0, 2 x USB 2.0, 2 x analoge audio, 1 x USB 3.1 type C

Energieverbruik en functietests

Soft-off (met ErP) / energie besparen / idle

2,4 W (0,5 W) / 3,0 W / 18 W 1,4 (0,2 W) / 1,8 / 29 W 1,1 W (0,3 W) / 1,5 W / 22 W 1,8 W (0,3) / 5,5 W / 53 W

Belast: CPU / CPU en graphics 115 W / 115 W 122 W / 143 W 94 / 250 W 299 W / 318 W

Bootduur tot inlogscherm 16 s 16 s 18 s 39 s

Prijs zonder / met Windows 10 Home e 940 / e 1055 e 855 / e 970 e 685 / e 800 e 2250 / e 2365

twee grote monitoren met 4K-resolutie op

aansluiten en met een ergonomische 60 Hz

mee werken.

Wel heb je daar een DisplayPort 1.2- of

HDMI 2.0-poort voor nodig op je moeder-

bord. De Integrated Graphics Processors

(IGP's) in de huidige cpu's van AMD en Intel

bevatten bijna alle functies die je ook bij

moderne grafische kaarten ziet.

Denk aan hardwarematige decoding

en encoding voor videoformaten als H.264,

H.265 en VP9 (YouTube), HDR en de kopi-

eerbescherming HDCP 2.2, in elk geval bij

het kleine aantal moederborden met HDMI

2.0.

Ingebouwde graphics zijn bijna altijd

rap genoeg voor het bewerken van foto's

in Photoshop en Lightroom en het bewer-

ken van video, alhoewel AMD en Nvidia

je daar graag een van hun losse grafische

kaarten voor willen aansmeren.

Als je goed oplet, merk je dat losse

grafische kaarten maar weinig versnelling

bieden. Onze tip: probeer het eerst eens

met de IGP, dan kun je later altijd nog een

losse kaart halen.

Naast het gebruik in workstations

(AMD Radeon Pro en Nvidia Quatro) zijn

grafische kaarten vooral noodzakelijk voor

gamers. Een full-hd-monitor haal je al voor

minder dan 100 euro in huis. Dit is ook de

minimale resolutie die een grafische kaart

soepel moet aankunnen.

In theorie kun je wat mindere 3D-

performance opvangen met een monitor

met een variabele refreshrate zoals Nvidia's

G-sync en AMD's FreeSync. Maar de moni-

tor wordt dan al snel een stuk duurder. Als

je het nog niet zo goed weet, kun je het

geld beter in een krachtige grafische kaart

steken. De cryptomining-boom is over, dus

de prijzen van grafische kaarten zijn weer

'normaal' geworden.

Vanaf 160 euro haal je een AMD Ra-

deon RX 570 of Nvidia GeForce 1050 Ti met

4 GB GDDR5-geheugen in huis. De kaart

van AMD verbruikt meer, maar is toch in-

teressant vanwege een merkbaar betere

performance, die zorgt dat je hier en daar

een spel in WQHD (2560 × 1440) nog prima

kunt spelen.

Als je enkele tientjes wilt besparen,

kun je kijken naar een GeForce GTX 1050

met 3 GB geheugen of een langzamere Ra-

deon RX 560D, een variant van de RX 560

met minder ingeschakelde shaders. Dit

soort kaarten hebben het in full-hd af en

toe lastig, de anti-aliasing moet in elk geval

omlaag worden geschroefd.

Grafische kaarten die nog goedkoper

zijn, zijn eigenlijk alleen maar geschikt

om oudere pc's moderne aansluitingen te

geven voor nieuwe displays met een hoge

resolutie of voor videodecoding.

Let wel op, bij Nvidia-kaarten heb je

voor het decoden van HDR-video's mini-

maal een GeForce uit de 1000-serie nodig

met 3 GB geheugen of meer. Video's en

games met HDR afspelen is op zichzelf al

een lastige klus.

De prijzen van grafische kaarten schie-

ten ruim over de 1000 euro, vooral de nieu-

we Nvidia RTX 2000-reeks. Voor het eerst

zie je hier versnelling voor raytracing inge-

bouwd. Deze optie zie je slechts bij weinig

games terug. Battlefield V biedt het al wel,

45c’t 2019, Nr. 3

Praktijk | De optimale pc: componentkeuze

maar je frames per seconde hebben er flink

onder te lijden.

In uitgave 1/2, 2019 (p. 90) gaan we

verder in op het kiezen van de juiste gra-

fische kaart voor kantoor-pc's en work-

stations. In die uitgave (p. 93) bespreken

we ook het gebruik van grafische kaarten

onder Linux.

GeheugenDe afgelopen maanden zijn geheugen-

reepjes iets goedkoper geworden. 8GB in

de vorm van twee DDR4-2666-DIMM's van

4GB begint bij een prijs van zo'n 80 euro.

Deze hoeveelheid raden we aan als basis-

hoeveelheid.

Als je net wat euro's tekort komt, kun je

het bij een enkele 4GB-module houden en

er later altijd nog eentje bij prikken. Mocht

je er dan nog een 8GB module bij stoppen

om er 12 GB totaal van te maken: moderne

geheugencontrollers zijn erg flexibel en de

eerste 8GB wordt in dual-channel-modus

aangestuurd.

Bij gebruik voor het spelen van games

is 16 GB het minimum. Meer dan dat is al-

leen nuttig als je werkt met software die

erg veel geheugen gebruikt. En als je geen

idee hebt hoeveel je nodig hebt, is later

upgraden ook een optie, dat is zo gepiept.

Onder Windows 10 zie je via Taakbe-

heer onder de tab Prestaties of de hoeveel-

heid geheugen die je nu hebt voldoende is

of dat het geheugen vaak tegen de gren-

zen aan loopt en upgraden verstandig is.

Als je van plan bent te gaan voor

een HEDT-platform, kun je aardig losgaan

qua geheugen. Deze cpu's hebben vier

geheugen kanalen die parallel zeer hoge

transferrates halen.

Om te zorgen dat dit ook echt werkt,

moet je er vier identieke DIMM's in stop-

pen, het tweede geheugenslot voor elk

kanaal houd je dan beschikbaar voor een

upgrade. Met 32 GB in de vorm van 4 stuks

8GB-modules maak je een voorzichtig

begin met een prijskaartje van tegen de

300 euro..

DDR4-2666-modules zijn gangbaar

en ook zonder allerlei bonte koelplaatjes

te krijgen. Deze koelplaatjes bieden wei-

nig tot geen voordeel, behalve dan dat

BouwinformatieOp www.ct.nl/pc-bouwen-2019 vind

je de lijsten met onderdelen, BIOS-

instellingen en meer. Daar kun je ook

eigen suggesties en tips kwijt.

het leuk staat. We raden je af om dat soort

overclocking-DIMM's te kopen, omdat het

minimale snelheidsvoordeel de moeite

niet waard is. Of geheugen nu op 1,33 GHz

of 1,47 GHz draait (DDR4-2933 in plaats van

DDR4-2666): daar merk je erg weinig van.

Geheugen vanaf DDR4-2933 is niet

'kaal' oftewel zonder koelplaatjes te krij-

gen. AMD biedt bij de Ryzen 2000 wel deze

snelheid, naar dan alleen bij een enkele sin-

gle rank-DIMM (SR) per kanaal. Bij 8 GB per

kanaal houdt het op.

Het hangt van je moederbord en ook

je handigheid af of je geheugen met hoge

snelheden stabiel aan de praat krijgt.

Hou er ook goed rekening mee dat de

compatibiliteitslijsten alleen maar iets zeg-

gen over dat het geheugen werkt, niet dat

het gegarandeerd werkt op de maximale

snelheid.

Pc-platforms kunnen alleen overweg

met ongebufferde DIMM's (UDIMM's). Re-

gistered DIMM's (RDIMM's) werken dus

niet. De AMD Athlon, Ryzen en Intel Core

i5 en Core i7 kunnen niet overweg met de

geheugenfoutcorrectie

Error Correction Code (ECC), die bij

servers en workstations gangbaar is. ECC-

DIMM's zijn alleen nuttig bij systemen die

daar specifiek voor zijn bedoeld: de Xeon-

reeks van Intel en de Ryzen Threadripper

kunnen met ECC-RAM overweg.

Welke ssdDe ssd-techniek is volwassen. Flashopslag

van de merken Samsung, Crucial en WD/

Sandisk doet zonder issues zijn werk. Door

flinke concurrentie zijn de prijzen aardig

gezakt en is er eigenlijk geen reden meer

om niet voor een ssd te gaan.

Een flinke SATA-ssd met 500 GB is te

krijgen vanaf 75 euro. Voor 1 TB ben je

150 euro kwijt. Bij de zeer goedkope mo-

dellen moet je wel genoegen nemen met

wat minder op het gebied van garantie en

heb je geen software-tools voor handige

firmware-updates of veilig je disk wissen

met Secure Erase.

SATA-ssd's zijn ook verkrijgbaar in

het compacte M.2-formaat, dat je zonder

kabel direct op het M.2-slot van je moe-

derbord prikt en met een schroefje vastzet.

Het meest populaire formaat is M.2 2280.

Veel moederborden bieden ruimte voor

M.2-ssd's van verschillende formaten. Iets

duurder en veel sneller dan M.2-SATA is de

variant met PCIe-controller, die het NVMe-

protocol gebruikt.

Bij standaardtaken is het verschil

meestal niet merkbaar. Bij video-editing is

46 c’t 2019, Nr. 3

Praktijk | De optimale pc: componentkeuze

Processor Cores/threads Socket Prijs TDP/gemeten Cinebench R15

singlethreading alle threads

beter > beter >

Ryzen Threadripper 2950WX 32 / 64 TR4 e 1800 250 / 477 W

Core i9-7980XE 18 / 36 LGA2066 e 2000 165 / 249 W

Ryzen Threadripper 2950X 16 / 32 TR4 e 900 180 / 307 W

Ryzen Threadripper 1950X 16 / 32 TR4 e 650 180 / 272 W

Core i9-9900K 8 / 16 LGA1151v2 e 600 95 / 146 W

Ryzen 7 2700X 8 / 16 AM4 e 350 105 / 183 W

Ryzen 7 1800X 8 / 16 AM4 e 250 95 / 178 W

Core i7-8700K 6 / 12 LGA1151v2 e 450 95 / 142 W

Ryzen 5 2600 6 / 12 AM4 e 170 95 / 130 W

Core i9-8950HK 6 / 12 – (BGA) – 45 W / g. o

Core i5-9600K 6 / 6 LGA1151v2 e 310 95 / 111 W

Core i5-8400 6 / 6 LGA1151v2 e 220 65 / 104 W

Ryzen 5 2400G 4 / 8 AM4 e 150 65 / 100 W

Core i3-8100 4 / 4 LGA1151v2 e 135 65 / 84 W

Ryzen 3 2200G 4 / 4 AM4 e 100 65 / 103 W

Ryzen 3 1300X 4 / 4 AM4 e 110 65 / 108 W

Core i7-8550U 4 / 8 – (BGA) – 15 W / g.o.

Pentium Gold G5400 2 / 4 LGA1151V2 e 80 51 / 43 W

Athlon 200GE 2 / 4 AM4 e 55 35 / 45 W

Celeron G4900 2 / 2 LGA115v2 e 50 51 / 42 W

Pentium Silver N5000 4 / 4 – (BGA) – 10 W / g.o.

Celeron N4100 4 / 4 – (BGA) – 10 W / g.o.

BGA = Ball Grid Array om te solderen; prijzen voor BGA-processors zijn niet nuttig, ze zijn alleen gesoldeerd te koop

Processorperformance vergeleken

172

184

175

167

207

179

163

199

162

190

196

173

152

154

147

149

164

155

128

124

81

70

5267

3249

3192

3044

2029

1792

1627

1393

1244

1126

1046

960

801

583

561

559

487

388

356

241

221

178

Desktop-pc-platforms van AMD en Intel

RAM blijft aardig aan de prijs: bij geheu-gen met koelplaatjes (boven) moet je goed opletten.

Processor Codename Cpu-kernen IGP Socket Chipset RAM-kanalen/max. RAM PCIe-3.0-lanes cpu/chipset

AMD Ryzen Threadripper – 8 – 32 – TR4 X399 4 / 128 GB 1 60 / – (alleen 2.0)

AMD Ryzen 3/5/7 2000X Pinnacle Ridge 4,6,8 – AM4 X470, X370, B450, B350, A320 2 / 64 GB 20 / – (alleen 2.0)

AMD Ryzen 3/5/7 1000X Summit Ridge 4,6,8 – AM4 idem aan Pinnacle Ridge 2 / 64 GB 20 / – (alleen 2.0)

AMD Ryzen 3/5 2000G Raven Ridge 4 v AM4 idem aan Pinnacle Ridge 2 / 64 GB 12 / – (alleen 2.0)

Intel Core i9-9000X Skylake-X 6 – 18 – LGA2066 X299 4 / 128 GB 44 / 8–203

Intel Core i3/i5/i7-9000 Coffee Lake Refresh 4,6,8 v LGA1151v2 Serie 300 (Z390, Z370, H370, B360 etc.) 2 / 64 GB 2 16 / 8–203

Intel Core i3/i5/i7-8000 Coffee Lake 4/6 v LGA1151v2 idem aan Coffee Lake Refresh 2 / 64 GB 16 / 8–20 3

1 ECC-RAM mogelijk (bij Intel alleen bij Xeons en Xeon-chipsets) 2 later dit jaar naar verwachting128 GB via 4 × 32 GB UDIMM 3 bij Intel-chipsets met PCIe 3.0 is de transferrate richting cpu max. 3,8 GB/s ( PCIe 3.0 x4);

PCIe-lanes bij AMD-cipsets slechts PCIe 2.0 IGP = Integrated Processor Graphics, ingebouwde GPU v aanwezig – niet aanwezig

de hogere snelheid wel nuttig, bij gaming

weer niet.

Ssd's met 2 TB opslag kosten iets meer

dan 300 euro. Als pure data-opslag kan een

extra harde schijf nog wel het overwegen

waard zijn. Een zuinige stille versie van

5400 rpm bijvoorbeeld, of een snellere en

iets minder zuinige versie met 7200 rpm.

Voor een snellere 7200rpm-disk is het

wel slim om hem in een frame te stop-

pen dat trillingen dempt. Of je besluit om

over te gaan op de aanschaf van een NAS

met een flinke hoeveelheid opslag, zodat

je weer wat jaar ongestoord vooruit kunt

met je verzamelwoede.

Dvd-branders en blu-ray-drives wor-

den steeds minder ingebouwd en we

geven daar geen koopadvies meer voor.

Als je er toch eentje wilt halen, ga dan voor

een externe (usb-)drive die je zowel aan je

pc als notebook kunt gebruiken.

Ook bij SD-kaartlezers is een exter-

ne aan te raden, bijvoorbeeld de snelle

Kingston Mobile Lite G4 UHS-I-reader voor

USB 3.0 van een tientje.

Voor een paar euro meer is er de Hama

124024 die UHS-II aankan met meer dan

250 MB/s.

Voeding en behuizingVeel pc's brengen de meeste tijd rustig in

idle door. Een laag energieverbruik in idle

zorgt voor wat lagere kosten, maar het gaat

slechts om zeer kleine bedragen per jaar.

Maar alle kleine beetjes helpen. Bij belas-

ting zorgen efficiënte onderdelen voor stil-

lere koeling.

Voor zuinig zijn in idle heb je een

voeding nodig die al bij 10 watt goed zijn

werk kan doen. Voor onze bouwvoorstel-

len geven we ook BIOS-instellingen voor

de beste energiezuinigheid.

Bij de combinatie van voeding en

moederbord letten we er op dat de on-

derdelen geen storende bijgeluiden geven

(piepen, fluiten). We kiezen liever voor een

wat minder ruim bemeten voeding, want

te ruim betekent onbenut en een hoger

prijskaartje. We testen de systemen ook

grondig met de krachtigste aangeraden

grafische kaarten.

Als je een ander moederbord of an-

dere voeding kiest kunnen de metingen

er dus ineens heel anders uitzien.

Onze bouwvoorstellen zijn uiteraard

ook in andere behuizingen in te bouwen.

We letten bij de selectie daarvan op een

niet te hoge prijs, goede leverbaarheid,

niet te lomp en fijn om mee te werken.

Veel modellen hebben inmiddels een

plek onderin voor de voeding (dan vaak

met een frame en/of demping), met bo-

venin eventueel montagemogelijkheden

voor extra koeling.

Gewoon beterMicrosoft houdt over ongeveer een jaar

op met het ondersteunen van Windows 7.

Windows 10 biedt een beter driveraanbod

voor recente hardware.

Onze bouwvoorstellen draaien ook

prima onder Linux, met Intel-IGP gaat dat

probleemloos. Ook bij wifi-adapters onder

Linux zijn chips van Intel aan te raden.

Zowel Windows als Linux kun je het beste

in de UEFI-modus installeren. De klassieke

BIOS-modus zal ergens de komende jaren

gaan verdwijnen.

Als je onze bouwvoorstellen naar

eigen smaak wilt gaat aanpassen, hou het

dan wel simpel (KISS: Keep It Simple, Stu-

pid). Wij kiezen dus als het even kan voor

luchtkoeling in plaats van waterkoeling,

laten de optische drives weg en gaan liever

voor DDR4-2666 in plaats van DDR4-2933.

In de BIOS-set-up passen we alleen het

broodnodige aan. Als je na drie jaar ergens

tegenaan loopt, heb je anders geen flauw

benul meer van hoe je alles helemaal tot

in de puntjes hebt ingesteld.

De vier bouwvoorstellen op de ko-

mende pagina's laten zien hoe je populaire

onderdelen kunt combineren om aan al-

lerlei verschillende eisen te voldoen. (avs)

Literatuur

[1] Christian Hirsch, CPU-wegwijzer, We vergelijken

de actuele generaties processor, van zuinige

dualcores tot krachtige octacores,

c’t 7-8/2018, p.84

www.ct.nl/pc-bouwen-2019

47c’t 2019, Nr. 3

Praktijk | De optimale pc: componentkeuze

Ons bouwvoorstel met een Intel

Core i5-9600K als basis verdient de

betiteling allrounder als geen ander.

In de basisconfiguratie is hij al snel

genoeg om praktisch alle taken ef-

ficiënt en fluisterstil af te handelen.

Met een geschikte grafische kaart

wordt hij bovendien een serieuze

game-pc die je ook nog kunt over-

klokken.

Carsten Spille

Zelden hebben we eerder een bouw-

voorstel voor een pc gehad die zo

veelzijdig is als de Intel-allrounder

van dit jaar. Hij heeft niet alleen goede

eigenschappen zoals dat hij superstil is,

krachtige prestaties biedt en een zuinig

en vooral efficiënt verbruik heeft. Een be-

langrijke factor is ook dat hij voldoende

mogelijkheden biedt om verder uit te

breiden. Dankzij de snelle hexacore-cpu,

een vlotte ssd van 500 GB en 16 GB DDR4-

geheugen, is het Intel-voorstel van 2019 al

in de basisconfiguratie een apparaat dat

de wensen van de meeste gebruikers zal

vervullen. Hoewel Intel-cpu's momenteel

iets duurder zijn dan normaal vanwege le-

veringsproblemen, kost hij dankzij de lage

prijs van flashopslag ongeveer even veel

als het voorstel van 2018.

Ook Linux-adepten kunnen met een

gerust hart voor ons voorstel gaan: Ubuntu

18.10 draaide zonder enig probleem met

ondersteuning van alle componenten in-

clusief wifi. Als je nog iets mist, kun je de pc

zeer eenvoudig uitbreiden. Met een losse

3D-grafische kaart maak je van dit voorstel

een razendsnelle game-pc. We hebben

twee kaarten geselecteerd en met ons

bouwvoorstel getest. Ook is het mogelijk

een snellere cpu in te bouwen. Als je het

aandurft, kun je de i5-9600K-cpu dankzij

de vrije multiplier voor de kloksnelheid

redelijk eenvoudig overklokken. Als alter-

natief kun je ook een processor met acht

cores in het LGA1151v2-platform plaatsen,

naar keuze met hyperthreading.

K maakt het verschilDe Intel Core i5-9600K vormt het hart van

ons voorstel. Deze processor wordt wel-

iswaar niet met een ventilator geleverd,

maar er zit wel drie jaar garantie op. Als

je garantie minder interessant vindt, kun

je ook de tray-versie aanschaffen die iets

goedkoper is. De 9600K is momenteel

de goedkoopste telg uit de Coffee Lake

Refresh-serie en kost rond 60 euro meer

dan de i5-8400 die we vorig jaar hebben

gebruikt.

De K achter de modelnaam betekent

dat je de multiplier van de kloksnelheid via

de BIOS-setup of Intels Extreme Tuning Uti-

lity kunt benaderen. Het overklokken valt

wel buiten de garantie. Leuk dat het kan

voor gebruikers die voor zeer prestatiehon-

gerige toepassingen net iets meer power

willen of die het gewoon leuk vinden om

het maximale uit de hardware te halen.

Iets anders wat voor de Coffee Lake

Refresh pleit, is de veiligheid. Intel heeft

deze serie cpu's hardwarematig beveiligd

tegen Meltdown en een van de Spectre-va-

rianten, wat betekent dat er geen prestatie-

vermindering optreedt die softwarematige

patches in het besturingssysteem wel ver-

oorzaken. Met de Core i 9000-cpu's ben je

bovendien voorbereid op de toekomstige

32 GB DIMM's, die Intel voor zover bekend

pas vanaf de 9000-serie zal valideren.

De kloksnelheid van ons voorstel is ten

opzichte van vorig jaar flink gestegen. De

9600K is met zijn 3,7 GHz maar liefst 32 pro-

cent sneller. Dankzij een TDP van 95 watt

kan hij dat tempo ook onder maximale

belasting in Prime95 prima volhouden. De

48 c’t 2019, Nr. 3

Praktijk | De optimale pc: Intel-allrounder

Allround Intel-pcEen fluisterstille all round-hexacore met een Intel Core i5-9600K-cpu

responsiveness van de turbo is echter iets

lager, ondanks dat deze 4,6 GHz bereikt.

Maar sloom is het Intel-voorstel zeker niet

te noemen, mits je het BIOS goed confi-

gureert. Via de link aan het einde van het

artikel vind je een gedetailleerde beschrij-

ving van de instellingen. Voor de turbo zijn

de twee watt-trappen belangrijk. Deze be-

grenzen het kortstondige stroomverbruik

van de cpu tot 118 watt en tot 95 watt voor

continugebruik.

De kracht van de Intel-processor is

en blijft de singlethread-prestatie. In de

Cinebench-beoordelingen zit deze tegen

de 200-puntengrens aan. Met 20 procent

voorsprong op de Ryzen 5 2600 van de

AMD-allrounder is het een van de snelste

cpu's die er zijn. Bij multithreading zit hij

met rond 1050 punten echter op zijn beurt

20 procent lager dan de Ryzen.

De geïntegreerde graphics zijn bij al-

gemeen gebruik en het kijken van films

ook geschikt voor 4K-schermen. Gamers

kunnen echter wel beter een grafische

kaart erbij steken. Dan komt de i5-9600K

pas echt tot z'n recht. Met name in lagere

resoluties kan de processor zijn spierbal-

len goed laten zien en loopt hij flink uit op

de Ryzen 5 2600. Wat dat betreft is hij ook

beter geschikt voor high-FPS-gaming op

144 Hz-schermen.

Moederbord: Z390Met de MSI MPG Z390M Gaming Edge

AC hebben we voor het eerst in langere

tijd weer eens voor een moederbord in

het compactere Micro-ATX-formaat ge-

kozen (244 × 244 mm). Qua uitbreidings-

mogelijkheden biedt dit moederbord

naast twee PEG-slots ook 2 × PCIe x1, en

twee M.2-aansluitingen voor zeer snelle

ssd's. Belangrijke criteria voor onze keuze

was dat er zowel een DisplayPort als hdmi-

poort op het moederbord zat. Daardoor

viel bijvoorbeeld het iets zuinigere bord

MSI Z390 Gaming Plus af. Daarnaast moes-

ten er vier DIMM-slots op zitten, zodat er

bij een latere upgrade nog twee slots be-

schikbaar zijn.

Aangezien de Z390-chipset de snelle

USB 3.1 Gen2 ondersteunt, moest er naast

de klassieke type-A-poort een type-C-

aansluiting op zitten. Het was uiteraard

mooi meegenomen dat de Gaming Edge

AC wifi aan boord heeft. Daarmee hebben

we snelheden van 21/54 MB/s bij 2,4/5GHz

gemeten. De ALC1220 audiochip is ook

een pluspunt, omdat op goedkopere mo-

dellen vaak hooguit de ALC892 erop wordt

gesoldeerd.

Als je van plan bent om een multi-gpu-

systeem te bouwen, dan is de Gaming

Edge AC dankzij crossfire- en SLI-certifice-

ring ook een prima kandidaat. Je kunt dan

wel beter een krachtigere voeding inbou-

wen en erop letten dat je grafische kaarten

selecteert die niet meer dan twee slots in

beslag nemen – de RTX 2070-optie van MSI

valt daardoor bijvoorbeeld af. Ondanks de

uitgebreide mogelijkheden en de krach-

tige processor is het systeem met 18 watt

idle-verbruik redelijk zuinig. Ook met de

geteste grafische kaarten blijft de pc met

25 watt verbruik idle mooi zuinig.

Goed gekoeld en afgewerktDe Be Quiet! Pure Base 600 pc-behuizing

die we vorig jaar hebben gebruikt is goed

bevallen en daarom hebben we hem nu

ook weer gebruikt. Naast de stevige con-

structie en voldoende ruimte voor uitbrei-

dingen met harde schijven en ssd's zijn we

vooral te spreken over de geluidsdemping

en stille ventilators. Het grootste manco is

het ontbreken van een USB-C-aansluiting

aan de voorzijde, terwijl er een passende

header op ons moederbord zit. Voor ons

bouwvoorstel hebben we de meegelever-

de ventilator die voor in de kast zat naar

bovenin de kast verplaatst (op SYS_FAN3)

en de kunststof afdekplaat verwijderd. Dat

ondersteunt de natuurlijke convectie in de

kast, bovendien verwijder je daarmee een

geluidsbron van de voorkant verder naar

achteren.

De tweede ventilator (op SYS_FAN1)

hebben we achterop de kast gelaten waar

deze ook warme lucht uit de kast blaast. De

2,5-inch-ssd hebben we niet in een van de

drie vrije 3,5-inch-bays geplaatst, maar tus-

sen de achterzijde van de moederbordtray

en de zijwand.

De hitte die de cpu produceert wan-

neer hij hard aan de slag moet, zijn we te

lijf gegaan met een Scythe Mugen 5 Rev.

B. Als alles goed bevestigd is, houdt hij de

Core i5-9600K zelfs onder volle belasting

van Prime95 netjes op 60 °C. Samen met

de behuizingsventilators blijft het systeem

ook bij volledige belasting fluisterstil. We

hebben voor alle drie ventilators een eigen

ventilatorcurve ingesteld. Deze vind je via

de link aan het einde. De cpu-ventilator

komt op 700 tpm uit, en de behuizings-

ventilators zijn tevreden met zo'n 450 tpm.

Deze stille instelling biedt nog voldoende

reserves mocht je een keer met de over-

klokmogelijkheden willen experimenteren.

Ook als je een extra 230 watt-warmtebron

zoals de MSI GeForce RTX 2070 Gaming Z

grafische kaart inbouwt, blijven de ventila-

tors aangenaam stil. Door de extra warmte

in de kast, stijgt de temperatuur van de

processor dan onder volledige belasting

wel tot 70 °C.

De voeding van 500 watt is dit jaar

iets zwaarder dan voorheen. Wat de effici-

entie betreft is dit geen grote stap terug:

de 400-watt-variant hebben we ook geme-

ten en die verbruikte in idle maar 0,6 watt

minder. Gezien de korte prestatiepieken

van de turbo en de twee grafische kaarten

als optie, leek het ons beter om voor wat

extra ademruimte te kiezen.

49c’t 2019, Nr. 3

Praktijk | De optimale pc: Intel-allrounder

De ssd verstop je op aan de achterkant van de moederbord-tray. Eerst maak je de bevestiging los en dan schroef je de ssd op de achterplaat vast. Probeer niet de ssd tussen de bevestiging en de tray vast te proppen.

Bij de overige onderdelen hebben we het

wat conservatiever aangepakt. Ondanks

de dalende prijzen hebben we voor een

500 GB Samsung 860 Evo gekozen om het

budget te ontzien. Daarbij hebben we voor

een SATA-model gekozen, omdat het snel-

heidsverschil met een NVMe-model alleen

bij uitzondering merkbaar is. Het 16 GB

werkgeheugen is gelijk aan dat van vorig

jaar. Als je meer RAM nodig hebt, bijvoor-

beeld als je meerdere virtuele machines te-

gelijk hebt draaien, dan kun je er nog twee

extra modules bij steken of gelijk voor 16

GB-DIMM's kiezen.

Alles kan, niets hoeftBij onze allrounder bouwvoorstellen hou-

den we altijd rekening met de mogelijk-

heid om te kunnen uitbreiden. De geïn-

tegreerde gpu biedt bijvoorbeeld niet

voldoende grafische prestaties voor ga-

mers, en die zullen daarom een krachtiger

grafische kaart aanschaffen. Wij hebben

een model van ongeveer 300 euro en een

tweede van 600 euro geselecteerd: een MSI

GeForce GTX 1060 Gaming X en een RTX

2070 Gaming Z, ook van MSI. Die eerste le-

vert ook bij de hoogste detailinstellingen

nog vloeiende beelden op full-hd, het sys-

teem blijft ook bij volledige belasting nog

stil (0,4 sone) en gezien de prestaties nog

redelijk zuinig (254 watt).

Als je wilt gamen op 3840 × 2160 pixels

(4K, ultra-hd) maar niet bereid bent het de-

tailniveau flink lager te zetten, dan zul je

dieper in de buidel moeten tasten. Onze

keuze voor een grafische kaart waarmee

je op 4K redelijk goed kunt gamen was de

GeForce RTX 2070 Gaming Z, eveneens van

MSI. In ultra-hd haalt de kaart dubbel zo

hoge framerates als de 1060 en hij geeft

actuele games als Shadow of the Tomb Rai-

der met 35 fps of Far Cry 5 met 49 fps weer.

Tip: als je van plan bent een ultra-hd

gaming-pc te maken, dan is het Ryzen-

voorstel goedkoper. Het geld dat je hier-

mee bespaart kun je dan investeren in een

krachtigere grafische kaart dan de GeForce

GT 1030 van dat voorstel.

Ook wat de processor betreft is er

nog wel ruimte naar boven. Wij hebben

het actuele topmodel van Intel voor het

LGA1151v2-platform in ons bouwvoorstel

ingebouwd. Het systeem kan deze dure

octacore-cpu met hyperthreading prima

aan, ondanks dat het energieverbruik toch

wel aanzienlijk stijgt. Cinebench haalde

met deze cpu een resultaat van 1784 pun-

ten.

BouwtipsJe moet ongeveer twee uur uittrekken

voor de assemblage van ons bouwvoorstel.

Zorg dat je een groot, opgeruimd werkop-

pervlak hebt met goede verlichting. Wat

het gereedschap betreft heb je eigenlijk al-

leen een kruiskopschroevendraaier nodig.

Toebehoren zoals sata-kabels, warmte-

geleidende pasta en schroeven worden bij

het moederbord, de koeler en de pc-kast

meegeleverd.

De cpu, de koeler en het geheugen

kun je het beste eerst buiten de pc-behui-

zing op het moederbord bevestigen om de

montage eenvoudiger te maken. Let bij het

bevestigen van de cpu op het moederbord

erop dat de inkepingen op de cpu overeen-

komen met de markeringen op de socket.

Zorg ervoor dat je de cpu niet scheef inzet

of draait als hij op de zeer gevoelige pin-

netjes in de socket ligt, daarmee kun je de

onderdelen onherstelbaar beschadigen.

Beide geheugenreepjes plaats je vanuit

de cpu gezien in de tweede en vierde ge-

heugenpoort, zoals dit op het moederbord

staat aangegeven.

De koeler monteer je zoals in de ope-

ningsafbeelding van dit artikel te zien is.

Bevestig de ventilator op de koeler zodat

die de lucht uit het midden van de behui-

zing door de koelvinnen heen naar achte-

ren blaast. De ventilatoren op de behuizing

moeten de lucht uit de kast naar buiten

verplaatsen.

Sluit de nodige kabels (beide voe-

dings-, sata- en power/reset-kabels) ook

al aan voordat je het moederbord in de

kast bevestigt en vergeet ook niet om de

ATX-backplate in de behuizing te drukken

voordat je het moederbord plaatst. Voor-

dat je alle schroeven definitief aandraait en

alle kabels netjes wegwerkt, raden we aan

om kort te testen of het systeem functio-

neert. (ddu) c

www.ct.nl/pc-bouwen-2019

50 c’t 2019, Nr. 3

Praktijk | De optimale pc: Intel-allrounder

Onderdelen Intel-allrounder

Als je verlichting in je kast leuk vindt, dan zorg je met Mystic Light ervoor dat rgb-ledjes van het moe-derbord en de grafi-sche kaart op elkaar worden afgestemd. Tip: de bevestigings-haak helpt om te zorgen dat de grafi-sche kaart van 1,5 kilo beter vastzit en goed recht in het slot blijft zitten.

Componenten Type (aanduiding) Prijs

Processor Core i5-9600K, 6 cores, 3,7 GHz, boxed (BX80684I59600K) e 310

Cpu-koeler Scythe Mugen 5 Rev. B e 50

Moederbord MSI MPG Z390M Gaming Edge AC (7B50-002R) e 180

RAM 2 × Crucial Memory grijs DIMM 8GB, DDR4-2666, CL19 (CT8G4DFS8266) e 130

SSD Samsung SSD 860 EVO 500GB, SATA (MZ-76E500B) e 90

Behuizing be quiet! Pure Base 600 zwart (BG021) e 80

Voeding be quiet! Pure Power 11 500W ATX 2.4 (BN293) e 75

Bijkomende kosten Verzendkosten e 25

Subtotaal hardware € 940

Besturingssysteem Windows 10 Home e 115

Totaal € 1055

Opties

Processor Core i9-9900K, 8 cores + HT, 3,6 GHz, boxed (BX80684I99900K) e 650

Grafische kaart MSI GeForce GTX 1060 Gaming X 6G (V328-001R) e 340

Grafische kaart MSI GeForce RTX 2070 Gaming Z 8G (V373-007R) e 660

Harde schijf Western Digital WD Blue 4TB (WD40EZRZ) + Sharkoon HDD Vibe-Fixer (4044951000029) e 110 + e 22

Dvd-brander LG Electronics GP57EB40 zwart, USB 2.0 e 30

Allround AMD-pc Een stille hexacore-allrounder met een AMD Ryzen-cpu

Dankzij een processor met zes cores

en een vlotte ssd is onze Ryzen

allrounder een flinke jongen die

opgewassen is tegen de zwaardere

klussen. In combinatie met onze

aanbevelingen voor een grafische

kaart of een octacore-cpu maak je

er bovendien een geduchte game-

machine of high-end-pc van.

Christian Hirsch

Bij de keuze voor een processor

voor een nieuwe thuis-pc spelen

vaak persoonlijke voorkeuren een

rol. Als je op zoek gaat naar de beste prijs-

prestatieverhouding loopt AMD momen-

teel duidelijk voorop: AM4-processors met

zes cores zoals de Ryzen 5 2600 zijn al ver-

krijgbaar vanaf 160 euro, terwijl je voor zijn

evenknie van Intel, de Core i5-8400, al snel

40 procent meer kwijt bent. Ons bouwvoor-

stel voor een Ryzen allrounder is dankzij 16

GB werkgeheugen en 500 GB flashopslag

niet alleen geschikt voor standaard office-

taken zoals tekstverwerken en surfen op

het web, maar biedt ook voldoende re-

kenkracht om video's te bewerken of raw-

foto's te converteren. Bovendien kun je op

de passief gekoelde grafische kaart twee

4K-schermen aansluiten.

Als je 16 threads nodig hebt om gro-

tere softwareprojecten te compileren, of

als je meerdere virtuele machines naast

elkaar wilt laten draaien, dan kun je de

cpu ook vervangen voor de Ryzen 7 2700X

met acht cores. Bovendien hebben we nog

twee additionele grafische kaarten getest

die actuele first person shooters in full-hd

of 4K-resolutie op het scherm toveren. Voor

grote hoeveelheden gegevens hebben we

een optionele 4 TB harde schijf in het sys-

teem gestopt.

De juiste keuzeBij onze selectie van de componenten zijn

we niet bij nul begonnen, maar hebben

we onze ervaringen van het bouwvoorstel

van vorig jaar en de hardwaretests van de

afgelopen twaalf maanden erbij betrok-

ken. Het doel was niet alleen een zo stil

en stabiel mogelijke pc te bouwen, maar

ook om een zinvolle balans te vinden tus-

sen componenten en te zorgen dat deze

goed met elkaar samenwerken. Het hart

van onze computer vormt een tweede

generatie Ryzen-cpu, die AMD afgelopen

voorjaar heeft geïntroduceerd. Door opti-

maliseringen in de rekeneenheden en in

het fabricageproces rekenen deze proces-

sors enkele procenten sneller dan de Ryzen

1000-cpu's. Bovendien heeft de chipmaker

de turbo van de Ryzen 2000 herzien, waar-

door deze tot 10 procent sneller presteert

dan bij de eerste generatie. Bij de basiscon-

figuratie hebben we een hexacore Ryzen 5

2600-cpu geselecteerd, omdat deze van de

Ryzen-processors met meer dan vier cores

momenteel de beste prijs-prestatiever-

houding heeft. Met een 3,9 GHz turbo en

simultaneous multithreading (SMT) voor

in totaal 12 logische cpu-cores heeft deze

Ryzen meer dan genoeg in huis om je de

komende jaren goed van dienst te zijn.

Samen met de Ryzen 2000 heeft AMD

de highend-chipset X370 vervangen door

zijn opvolger, de X470. Daarom hebben

we voor ons bouwvoorstel ook een nieuw

moederbord gekozen. De keuze viel hierbij

op de Gigabyte X470 Aorus Ultra Gaming.

Ondanks uitgebreide features, waaronder

USB 3.1 Gen 2 via type-A en type-C-poor-

ten, drie PEG-slots, 6 × SATA 6G en een

hoogwaardige audiochip verbruikt het sys-

teem bij een idle Windows-desktop 5 tot 7

watt minder dan de concurrentie. Twee van

de vier DIMM-slots hebben we van DDR4

51c’t 2019, Nr. 3

Praktijk | De optimale pc: Ryzen-allrounder

Om te zorgen dat de warmte van de proces-

sor en grafische kaart zo effi-

ciënt mogelijk uit de Ryzen

allrounder-kast wordt afgevoerd,

hebben we de ventilator van de voorzijde van de

kast verplaatst naar de boven-zijde (rechts op

de foto).

2666 RAM voorzien. De Ryzen 5 2600 on-

dersteunt bij een single rank-module per

kanaal ook DDR4 2933, maar momenteel

zijn geheugenreepjes met deze snelheid

alleen verkrijgbaar als overklokmodule met

XMP-profiel. De geringe snelheidswinst

die dit snellere geheugen oplevert weegt

naar onze mening echter niet op tegen de

hogere kosten van zo'n 40 euro die je bij

16 GB geheugen moet ophoesten, al hele-

maal omdat de prijzen van geheugen nog

steeds boven het niveau van 2016 zitten.

Indien je in toekomst nog eens het geheu-

gen naar 16 GB zou willen uitbreiden, moet

je er overigens rekening mee houden dat

met vier single rank modules AMD hoog-

uit DDR4 2133 ondersteunt. In de praktijk

zullen trouwens hogere kloksnelheden

waarschijnlijk wel werken, maar dat hangt

af van moeilijk berekenbare factoren. Bo-

vendien zijn geheugenfouten notoir moei-

lijk op te sporen.

Voor een snelle start van het bestu-

ringssysteem en van programma's hebben

we een Samsung 860 Evo ssd ingebouwd.

Met een capaciteit van 500 GB biedt die

voldoende ruimte voor programma's. Mo-

derne 3D-games zoals Battlefield V nemen

al zo'n 50 GB in beslag. Wij hebben bij de

Ryzen allrounder gekozen voor een ssd in

het 2,5"-formaat. Voor zo'n 10 euro extra

kun je ook de M.2-variant met SATA kiezen.

Een NVMe-variant met PCI-Express vonden

we te duur. Per gigabyte betaal je hier 60

procent meer voor. De behuizing is net

als vorig jaar een Be quiet! Pure Base 600.

Deze pc-kast wordt geleverd met twee in-

gebouwde ventilators.

Game mogelijkhedenHoewel er op het AM4-moederbord een

hdmi-aansluiting zit, heeft de Ryzen-all-

rounder wel een aparte grafische kaart

nodig omdat de Ryzen 2000 zonder 'G'

in de modelnaam geen onboard graphics

heeft. Voor ons basissysteem hebben we

daarom gekozen voor een Nvidia GeForce

GT1030 van MSI. Hierbij hebben we niet

gelet op de 3D-prestaties. In tegenstel-

ling tot vorig jaar was de passief gekoelde

kaart alleen nog maar beschikbaar met

het tragere DDR4-geheugen en niet meer

met GDDR5. In plaats daarvan gaven we

prioriteit aan een zo stil mogelijke kaart,

uitgebreide videofuncties en de mogelijk-

heid om twee 4K-monitors aan te sluiten.

De grafische kaart kan via DisplayPort 1.4

en hdmi 2.0b ultra-hd-schermen aansturen

met 60 Hz en heeft geen extra stroomaan-

sluiting nodig.

Om te gamen op full-hd is meer gpu-power

nodig. De GeForce GTX 1060 levert dit en

de kaart die wij hebben gekozen kan vier

schermen tegelijk aansturen. Met een pa-

rallelle aansluiting via twee van de drie Dis-

playPort 1.4-poorten is de kaart geschikt

voor 8K-schermen (7680 × 4320). Voor ons

was bovendien belangrijk dat de kaart van

6 in plaats van 3 GB GDDR5-RAM was voor-

zien, omdat het grafische geheugen voor

moderne 3D-games anders te krap is.

Als je actiegames met hoge details op

ultra-hd-resolutie wilt spelen of van raytra-

cing-effecten wilt genieten in Battlefield V,

moet je bereid zijn meer dan 600 euro in

de kaart te investeren. Ondanks de flink

hogere prestaties produceert de GeForce

RTX 2070 dankzij de grote ventilators bij

zware belasting maar iets meer geluid

dan de GTX 1060. Omdat het koellichaam

groter is, beslaat de kaart de ruimte van

drie insteekkaarten in plaats van twee,

zoals het geval is bij de GTX 1050 en de

GTX 1060. Gezien het gewicht van de kaart

raden we aan ook de meegeleverde extra

bevestigingsbeugel te gebruiken. Naast

hdmi 2.0 en DisplayPort 1.4 biedt de Ge-

Force RTX 2070 een USB-C-aansluiting. Op

deze poort levert de kaart niet alleen een

DisplayPort-signaal voor USB-C-schermen

of een VR-bril, maar ook usb 3.1 Gen2 en

tot 27 watt energie.

De stroom voor de hardware levert

een 500 watt voeding. Met twee 6+2-pin

stroomstekkers kun je zonder problemen

highend grafische kaarten aansluiten. We

hebben bewust voor een wat zwaardere

voeding gekozen, die de maximale confi-

guratie van de Ryzen 2700X en de GeForce

RTX 2070 kan bolwerken.

BouwtipsBij het bestellen van onderdelen moet je

goed letten op de exacte productbeschrij-

ving zoals die in de tabel aan het einde van

dit artikel vermeld staat. Vooral bij de gra-

fische kaarten willen de fabrikanten nog

wel eens verschillende versies uitbrengen

met dezelfde gpu maar andere koelers en

ventilators die beduidend meer herrie kun-

nen produceren.

Als je van onze voorstellen wilt af-

wijken, heb je wat de ssd en harde schijf

betreft redelijk veel keuzevrijheid. Ook een

andere ATX-behuizing kan weinig kwaad,

hoewel de meegeleverde ventilators vaak

luid kunnen zijn, waardoor je ze eventu-

eel met stillere moet vervangen. Grotere

wijzigingen zoals een ander moederbord,

voeding of processorkoeler kun je beter

vermijden, omdat de pc dan qua compa-

tibiliteit, stroomverbruik en geluidsproduc-

tie behoorlijk kan gaan afwijken van ons

bouwvoorstel.

Voor onze Ryzen allrounder moet je

op zo'n twee tot vier uur bouwtijd rekenen.

Het enige gereedschap dat je nodig hebt is

een lange kruiskopschroevendraaier.

De cpu-koeler wordt geleverd met

warmtegeleidende pasta. Montagemateri-

aal en kabelbinders worden bij de behui-

zing en voeding meegeleverd. Als er iets

niet duidelijk is, kun je de meegeleverde

handleidingen of de website van de des-

betreffende fabrikanten raadplegen.

Voordat je met de montage van de

pc-componenten aan de slag gaat, moet

je enkele dingen aan de behuizing aanpas-

sen. Je moet bijvoorbeeld de verwijderbare

plastic afdekking bovenin de kast wegha-

len en de ventilator van de voorzijde onder

die nieuwe opening bevestigen. Daarmee

verdwijnt de warme lucht van de proces-

sor en de grafische kaart makkelijker uit de

kast via de bovenzijde.

De volgende stap is om de proces-

sor, het geheugen en de cpu-koeler op

het AM4-moederbord te bevestigen. Let

52 c’t 2019, Nr. 3

Praktijk | De optimale pc: Ryzen-allrounder

De GeForce GTX 1060 toont actuele games zoals PUBG soepel en met hoge details op een full-hd-scherm. Voor het correct parkeren van de Dacia is nog altijd de gamer verantwoordelijk.

Onderdelen Ryzen allround-pc

Componenten Type (aanduiding) Prijs

Processor Ryzen 5 2600, 6 cores + SMT, 3,4 GHz (Turbo: 3,8 GHz), boxed (YD2600BBAFBOX) e 170

Cpu-koeler Scythe Mugen 5 Rev. B e 50

Moederbord Gigabyte X470 Aorus Ultra Gaming e 145

RAM 2 × Crucial Memory grijs DIMM 8GB, DDR4-2666, CL19 (CT8G4DFS8266) e 130

Grafische kaart MSI GeForce GT 1030 2GHD4 LP OC (V809-2825R) e 90

SSD Samsung SSD 860 EVO 500GB, SATA (MZ-76E500B) e 90

Behuizing be quiet! Pure Base 600 zilver (BG022) e 80

Voeding be quiet! Pure Power 11 500W ATX 2.4 (BN293) e 75

Bijkomende kosten Verzendkosten e 25

Subtotaal hardware € 855

Besturingssysteem Windows 10 Home e 115

Totaal € 970

Opties

Processor Ryzen 7 2700X, 8 cores + SMT, 3,7 GHz (Turbo: 4,3 GHz), boxed (YD270XBGAFBOX) e 330

Grafische kaart MSI GeForce GTX 1060 Gaming X 6G (V328-001R) e 340

Grafische kaart MSI GeForce RTX 2070 Gaming Z 8G (V373-007R) e 650

Harde schijf Western Digital WD Blue 4TB (WD40EZRZ) + Sharkoon HDD Vibe-Fixer (4044951000029) e 110 + e 22

Dvd-brander LG Electronics GP57EB40 zwart, USB 2.0 e 30

daarbij op dat je geen van de gevoelige

pinnetjes van de Ryzen-processor verbuigt.

Een klein driehoekje op de cpu markeert

de hoek die moet corresponderen met

de markering in de hoek van de socket.

Plaats de geheugenmodules in DIMM-slots

DDR4_1 en DDR4_2.

Om de cpu-koeler te bevestigen,

moet je eerst de twee zwarte plastic be-

vestigingsbeugels voor koelers met klem-

bevestigingen verwijderen van het moe-

derbord. De backplate op de achterzijde

van het moederbord ga je wel gebruiken

en blijft op z'n plek. Steek vervolgens de

vier afstandshouders op het bord zoals be-

schreven in de handleiding van de koeler

en schroef de bevestigingsbeugels hieraan

vast. Zorg bij het bevestigen van de koeler

dat de lamellen van het koellichaam net zo

zijn uitgelijnd als in de foto op pagina 52 te

zien is en dat hij niet over het geheugen,

maar over de spanningstransformators

hangt. Na het vastschroeven kun je de

ventilator bevestigen en het bijbehoren-

de kabeltje op de CPU_FAN-pinconnector

aansluiten.

Nu bevestig je de drives, de I/O-back-

plate van het moederbord en de voeding

in de behuizing. De voeding hebben we

zo ingebouwd dat de ventilator naar de

bodem is gericht. Het afneembare stoffilter

beschermt tegen stof. De ssd hebben we

in de onderste harde schijf-bay geplaatst.

Gebruik hier de SATA-kabel met de haakse

stekker, omdat de afstand tot de wand

van de behuizing relatief klein is. De beide

2,5"- en 3,5"-bays daarboven hebben we

verwijderd voor meer ruimte en een betere

luchtdoorstroom.

Plaats het moederbord zodat het onge-

veer op de juiste positie ligt en bevestig

alle SATA-, stroom- (inclusief ATX 12V!) en

frontconnectorkabels (geluid, usb, ledjes

en aan/uit- en reset-knop). Vergeet niet

de behuizingventilators los te koppelen

van drietraps-ventilatoraansturing van de

kast. Plaats de stekker van de ventilator

aan de achterzijde op de SYS_FAN_1- en de

ventilator in het deksel op de SYS_FAN_2-

connector op het moederbord. Alleen op

die manier haalt de Ryzen allrounder de

geluidswaarden zoals wij die gemeten

hebben. Als alles op z'n plaats zit, kun je

het moederbord vastschroeven. Als je de

GeForce GTX 1060 of de RTX 1070 gaat

inbouwen, vergeet dan niet om ook de

PEG-stroomstekker (twee PEG-stekkers in

het geval van de RTX 1070) in de kaart te

steken.

Optimale instellingenAls je de pc inschakelt, kom je met de

delete-toets in de setup van het BIOS te-

recht. De aanbevolen instellingen en Win-

dows 10 drivers vind je op onze website

(www.ct.nl/pc-bouwen-2019). Indien je

de Ryzen 7 2700X gebruikt, moet je in de

BIOS-setup onder 'Peripherals/AMD CBS/

NBIO Common Options' de optie 'cTDP

Control' activeren en daar onder 'cTDP'

de correcte waarde instellen van 105

watt. Onder Ubuntu 18.10 gebruikt de pc

in idle twee watt minder dan onder Win-

dows 10 als je de propriëtaire driver van

Nvidia gebruikt en met powertop --auto de

energie besparingsmodi activeert. Helaas

werkt onder Ubuntu 18.10 de suspend to

ram-toestand niet in combinatie met de

Nvidia-kaarten.

Vergeleken met de Intel allrounder

verbruikt het Ryzen bouwvoorstel iets

meer energie, maar rekent bij multithread-

toepassingen rond 20 procent sneller en

kost zo'n 80 euro minder. Als je op zoek

bent naar een betaalbare game-pc en be-

reid bent om enkele compromissen te slui-

ten wat betreft het geluidsvolume en de

features, dan vind je in het volgende artikel

het bouwvoorstel voor een budget-pc voor

gamers. (ddu) c

www.ct.nl/pc-bouwen-2019

53c’t 2019, Nr. 3

Praktijk | De optimale pc: Ryzen-allrounder

Gaming-buddyBouwvoorstel voor een betaalbare full-hd gaming-pc

Onze goedkope gaming-pc heeft

een duidelijk doel voor ogen: lekker

gamen. Voor 800 euro stellen we

een krachtig, stil en mooi systeem

samen om vloeiend in Full HD te

kunnen gamen.

Benjamin Kraft

Als je net als de grootste meerder-

heid van de gamers op 'slechts'

Full HD (1920 × 1080) je spellen

speelt, heb je geen extreem high-end sys-

teem nodig. Om soepel te kunnen gamen

met een hoog detailniveau op deze reso-

lutie, is alles wat je nodig hebt een betaal-

bare mix van goed op elkaar afgestemde

hardware. Dankzij zakkende prijzen voor

grafische kaarten, geheugen en ssd's kun-

nen we de opslagruimte verruimen. De

3D-performance is ook met zo'n 50 procent

toegenomen en is daarmee goed genoeg

voor een voorzichtige stap naar iets hogere

resolutie (WQHD, 2560 × 1440). De totale

kosten voor de onderdelen komen uit op

800 euro. Aan het eind van het artikel staat

de tabel met alle onderdelen en prijzen

vermeld.

Overige informatie zoals de optimale

instellingen voor je BIOS, hoe je het beste

je ventilatorcurves instelt en download-

links voor drivers vind je terug op onze

projectsite ct.nl/pc-bouwen-2019.

Quadcore powerHet moet wel een quadcore zijn. Een aantal

games start niet eens op als er geen quad-

core in je systeem zit, of ze draaien verre

van soepel. Het was eigenlijk de bedoeling

om een AMD-systeem met Ryzen 3 2200G

te bouwen, maar onder volledige belasting

draaide die cpu zijn kloksnelheid omlaag

tot onder de standaard kloksnelheid. Het

wisselen van moederbord en cpu-koeler

leverde geen verbetering op, dus we scha-

kelden over naar een Core i3-8100. Deze

heeft geen turbo en geen hyperthreading,

maar met zijn kloksnelheid van 3,6 GHz

biedt hij genoeg cpu-power om de GPU

niet te laten wachten. Een klein minpunt:

voor een budget-cpu is hij met zijn 145 niet

bepaald supergoedkoop te noemen.

Vanwege de betere garantievoor-

waarden pakken we een boxed-versie. De

meegeleverde kleine brommende koeler

wisselen we om voor de bijzonder naam-

gegeven EKL Alpenföhn Ben Nevis. Met zijn

drie heatpipes en een 120mm-koeler krijg

je meer airflow, lagere temperaturen en

minder geluid.

Bij de keuze voor het moederbord

kwamen we uit bij de simpele maar zeer

zuinige MSI B360M Pro-VH. Dankzij de serie

300-chipset heeft hij een USB-3.1-control-

ler zodat de vier blauwe usb-poorten aan

de achterkant gegevens met 10 Gbit/s

kunnen doorseinen. Dat er geen USB-C te

vinden is, vinden we niet zo'n ramp.

Het moederbord heeft wel maar twee

geheugenslots, nuttig vullen dus. De

meeste games vinden 8 GB voldoende, en

daarom hebben we weer gekozen voor

DDR4-2666 in de vorm van een Hyper X

Fury-kit van Kingston. Als je op korte ter-

mijn naar 16 GB wilt upgraden, neem dan

een 8GB-module om er later nog eentje bij

te steken. In onze grotere bouwvoorstel-

len zijn modules van Crucial gebruikt. Het

performanceverlies door single channel in

plaats van dual channel valt reuze mee. In

FarCry 5 zakte de gemiddelde framerate bij

de settings op Ultra van 64 naar 61. Dus als

54 c’t 2019, Nr. 3

Praktijk | De optimale pc: budget-gaming-pc

je nog ergens wat wilt beknibbelen, kan

dat hier. De budget-ssd is de Crucial MX500

geworden. In 2,5"-formaat met 500 GB be-

taal je daar ongeveer 75 euro voor. Zo heb

je plek voor een aantal grote spellen.

Meer gpu-power in een mooier pakketDe grootste update is de grafische kaart.

De MSI Radeon RX 570 Armor OC biedt

vijftig procent meer grafische kracht dan

de GeForce GTX 1050 Ti uit onze vorige

bouwvoorstel-reeks. Dat systeem haalde

in 3Dmark Fire Strike 6421 punten, het

nieuwe systeem sprokkelt 9908 punten bij

elkaar. In Rise of the Tomb Raider haalde

de GTX 1050 Ti in full-hd op een hoog de-

tailniveau met SMAA ingeschakeld 52 fps,

de Radeon RX 570 haalt een wat ruimere

78 fps. Die heeft ook 8 GB aan geheugen,

waardoor hij geschikt is voor games met

erg grote textures. Een prima aankoop voor

zo'n 175 euro. Met een beetje geluk vind

je ook nog vouchercodes voor twee games

in de doos, waaronder bijvoorbeeld Tom

Clancy's The Division 2.

De kaart hoor je niet in idle. In games

haalt hij 1,2 sone, wat prima is en niet sto-

rend. Alleen bij framerates vanaf 300 (bij-

voorbeeld bij laadschermen) horen we wat

gepiep vanuit de spoelen. Als de grafische

kaart en de cpu onder een continue (syn-

thetische) belasting aan de bak moeten,

komt het aantal sone uit op een duidelijk

hoorbare 1,9 sone. In de praktijk zul je dit

niet veel tegenkomen.

De Be quiet! System Power 9 van 400

watt is een efficiënte voeding om alles van

stroom te voorzien. 400 watt lijkt wat veel

voor een systeem dat in idle 22 watt nodig

heeft en onder belasting 260 watt. De voe-

ding heeft zo echter genoeg reserves voor

de verbruikspieken van de Radeon RX 570.

We stoppen de hardware in een com-

pacte MasterBox Q300L van Cooler Master,

die een venster heeft waardoor je een blik

kunt werpen op het binnenste van je bouw-

sel. In het venster is een kleine uitsparing

die niet doorzichtig is, voor usb-poorten

en audio-aansluitingen. Standaard zitten

de aansluitingen richting de voorkant van

je behuizing, maar naar keuze kun ze ook

boven of onder plaatsen.

De voorkant is voorzien van een gaas,

net als de bovenkant. Dit zorgt voor goede

airflow. We horen je al denken: dat levert

lekker veel stof op. Hier is aan gedacht:

twee magnetische stoffilters voorkomen

dat stofdeeltjes binnenwaaien. Achterin

de kast zit een 120mm-ventilator om de

warmte sneller de kast uit te krijgen. Door

uitsparingen in de plaat waarop het moe-

derbord rust, kun je de voedingskabels

en kabels voor het frontpaneel makkelijk

wegwerken.

Op de plaat is aan de voor- of achter-

kant plek voor twee 2,5"-disks die je vast-

maakt met schroeven die in rubber zijn ver-

zonken. Aan de achterkant ter hoogte van

het moederbord is plek voor een 3,5"-schijf.

MontageNeem ruim de tijd voor het in elkaar zetten

van de pc en zoek een werkplek met lekker

veel ruimte. Het enige gereedschap dat je

nodig hebt is een kruiskopschroevendraai-

er en een kleine tang. Open de behuizing

aan beide kanten zodat je overal goed bij

kunt. Zet de kast rechtop en schroef vanaf

de achterkant het frame voor de voeding

los. Monteer de voeding zodat zijn venti-

lator omlaag wijst, het open deel van het

frame achter zit en de twee uitsparingen

naar boven wijzen. Leg de voeding ach-

terin de behuizing op de beide rubberen

dempers en schroef hem van buitenaf vast.

Leid de ATX-kabel, de twee vierpolige EPS-

kabels en de kabelboom voor de frontaan-

sluitingen achter de backplate waar het

moederbord op komt te zitten.

Nu kun je het inbouwen van het

moederbord gaan voorbereiden. Vervang

de klembeugel die standaard op de koe-

ler zit geschroefd voor AMD-systemen,

door de versie met de opdruk 115x uit de

accessoire-box van de koeler. Belangrijk:

de schroeven moeten naar buiten wijzen.

Vergeet niet de beschermende folie van de

contactplaat van de koeler te halen.

De volgende stap is de andere kant

van de bevestiging van de koeler vastzet-

ten aan de onderkant van het moeder-

bord. Let erop dat je de uitsparingen voor

de schroeven van de sockethouder goed

laat uitlijnen. Leg het moederbord op een

glad oppervlak, open de cpu-socket met

de kleine hendel en klap het deksel samen

met de beschermkap naar achter. Plaats

voorzichtig de cpu in de socket, zonder

de kleine pinnen te verbuigen en sluit de

houder. De kap valt vanzelf uit de houder.

Plaats een klein beetje koelpasta (ter

grootte van een erwt) op het deksel van

de cpu en zet de koeler met de ventilator

richting het geheugen op de cpu. Draai

nu in een kruislings patroon om beurten

de schroeven van de koeler aan. Sluit de

ventilator aan op de CPU_FAN1-header van

het moederbord.

Voordat je het moederbord in de be-

huizing stopt, moet je nog de binnenste

twee afstandsbusjes in de onderste rij met

de tang losdraaien en een rij naar boven

plaatsen. Nadat je het I/O-shield van bin-

nenuit in de kast hebt gedrukt, leg je het

moederbord op de afstandsbusjes op de

plaat en plug je de kabels op hun plek.

De casefan sluit je aan op de SYS_FAN1-

header.

Daarna pas schroef je het moeder-

bord vast, steek je het geheugen en de

grafische kaart in hun slots en sluit je de

8pins-voedingskabel aan op de grafische

kaart. Schroef de rubberen houders op

de ssd en hang hem in een beschikbare

uitsparing van de backplate, en sluit de

stroom- en datakabel aan. Nu is het tijd

om het systeem te starten en Windows te

installeren. Daarna haal je alle benodigde

drivers en Windows-updates binnen. Be-

langrijk detail: het lage verbruik in idle

haal je alleen als je onze instellingen voor

het BIOS overneemt en de Intel RST-driver

installeert. (avs) c

www.ct.nl/pc-bouwen-2019

55c’t 2019, Nr. 3

Praktijk | De optimale pc: budget-gaming-pc

Onderdelen budget-gaming-pc

Componenten Type (aanduiding) Prijs

Processor Core i3-8100, 4 cores, 3,6 GHz, boxed (BX80684I38100) e 145

CPU-koeler EKL Alpenföhn Ben Nevis (84000000119) e 25

Moederbord MSI B360M Pro-VH (7B53-001R) e 80

RAM Kingston HyperX Fury DIMM Kit 8GB, DDR4-2666, CL15-17-17 (HX426C15FBK2/8) e 75

Grafische kaart MSI Radeon RX 570 Armor 8G OC (V341-236R) e 175

Ssd Crucial MX500 500GB (CT500MX500SSD1) e 75

Behuizing Cooler Master MasterBox Q300L (MCB-Q300L-KANN-S00) e 40

Voeding be quiet! System Power 9 400W ATX 2.4 (BN245) e 45

Bijkomende kosten verzending e 25

Subtotaal hardware € 685

Besturingssysteem Windows 10 Home e 115

Totaal € 800

56 c’t 2019, Nr. 3

Praktijk | De optimale pc: high-end-pc

Optimale high-end-pcBouwvoorstel voor een krachtige 16-core-pc

We gaan er stevig tegenaan: onze

Threadripper-pc met 16 cpu-cores,

flink veel werkgeheugen en een

snelle solid state disk levert com-

promisloze prestaties.

Christian Hirsch

Als de prestaties van onze bouw-

voorstellen met de Ryzen 2000 en

Core i-9000 nog niet genoeg zijn,

en als je voor videobewerking, rendering of

softwareontwikkeling een processor nodig

hebt met meer dan acht cpu-cores, dan

kun je onze Threadripper-pc nabouwen.

We hebben de basisversie al voorzien van

de Ryzen Threadripper 2950X, 32 GB werk-

geheugen en een PCI-Express NVMe-ssd. In

de renderingbenchmark Cinebench komen

de 16 cores dankzij Simultaneous Multi-

threading (SMT) en een turbokloksnelheid

van 4,4 GHz meer dan twee keer zo snel

uit de bus als de cpu's in de Ryzen en Intel

allrounders. Optioneel kun je ook nog de

Threadripper-pc voorzien van een GeForce

RTX 2070, waarmee je hem tot een krach-

tige gamecomputer omtovert. Bovendien

is dit de eerste keer dat we een workstati-

on-optie met ECC-RAM voor professionele

gebruikers hebben samengesteld.

Voor de high-end-pc hebben we het

bouwvoorstel van vorig jaar als uitgangs-

punt genomen. Het moederbord met de

X399-chipset hebben we aangehouden

omdat het bij de lezers goed in smaak is

gevallen en er bij het TR4-platform geen

veranderingen zijn geweest. In totaal staan

er 60 PCIe-3.0-lanes ter beschikking die bij

ons bouwvoorstel zijn verdeeld over vier

PEG- en drie M.2-slots voor NVMe-ssd's.

Het moederbord heeft daarnaast nog acht

SATA-poorten en acht DIMM-slots waar je

maximaal 128 GB aan geheugen in kwijt

kunt. Ook zitten er actuele interfaces op

zoals USB 3.1 Gen 2, USB 3.0 en gigabit-

ethernet.

Vette turboDe 16-core-cpu van vorig jaar hebben we

vervangen door zijn opvolger die later in

2018 is verschenen. AMD heeft bij deze

tweede generatie Threadripper 2950X met

16 cores en 32 threads onder andere het

fabricageproces en de turbo verbeterd. In

plaats van vaste drempelwaarden voor het

belasten tot vier of vanaf vier cores, klokt

de cpu dynamisch tot maximaal 4,4 GHz,

als de grenswaarden voor de temperatuur

en het stroomverbruik nog niet zijn bereikt.

Hoewel de nominale kloksnelheid van de

Threadripper 2950X maar 100 MHz hoger

is dan de Threadripper 1950X, rekent hij

daardoor wel tot 9 procent sneller.

We hebben bewust niet gekozen voor

de duurdere Ryzen Threadripper 2970WX

of 2990WX met 24, respectievelijk 32 cores.

Vanwege hun interne opbouw met twee

van de vier halfgeleider dies zonder direct

gekoppeld werkgeheugen, leveren ze bij

sommige toepassingen lagere prestaties

dan de Threadripper 2950X.

Wat het werkgeheugen betreft blijft

alles bij het oude. De Threadripper 2000-

serie ondersteunt bij vier single rank-mo-

dules weliswaar officieel ook DDR4-2933,

maar er zijn nog geen modules verkrijg-

baar die deze klokfrequenties ook zonder

XMP-profiel aankunnen. Bovendien is de

snelheidswinst die je hiermee behaalt zo

gering dat dit de veel hogere kosten niet

zou rechtvaardigen. Als je meer dan 32 GB

aan geheugen wilt plaatsen, zal volgens

57c’t 2019, Nr. 3

Praktijk | De optimale pc: high-end-pc

De optionele modules met ECC-RAM bevatten een extra chip met correctie-infor-matie. Dit zorgt ervoor dat de Threadripper-pc minder gevoelig is voor geheugen-fouten.

AMD bij gebruik van vier dual-rank 16

GB-modules het tempo worden beperkt

tot DDR4-2400. Als je 128 GB RAM in de

pc steekt, garandeert AMD stabiel gebruik

hooguit met DDR4-1866. Als je heel veel

geheugen in je systeem wilt stoppen, zijn

modules met een hoge snelheid daardoor

niet zinvol.

De SATA-ssd van vorig jaar moest dit

jaar wijken voor een sneller NVMe-model

met een PCIe-3.0-x4-verbinding. In plaats

van 550 MB/s behaalt de Samsung 970 EVO

een leessnelheid van maar liefst 3,5 GB/s.

De opslag met een capaciteit van 1 TB is

wel wat duurder dan het SATA-model, maar

het M.2-bouwformaat bespaart je wel een

extra stroom- en datakabel in de kast.

Raytracing-mania!Aangezien de Ryzen Threadripper-cpu's

geen geïntegreerde graphics hebben, laten

we dit verzorgen door een GeForce GT

1030. Deze passief gekoelde kaart is niet

geschikt om te gamen, maar kan wel via de

HDMI 2.0b- en een DisplayPort 1.4-aanslui-

ting twee 4K-schermen tegelijk aansturen

met 60 Hz. Bovendien ondersteunt de geïn-

tegreerde video-unit hardwarematige de-

codering van actuele codecs zoals H.265/

HEVC en VP9. In tegenstelling tot vorig jaar

fabriceert MSI de passief gekoelde GeForce

1030 met DDR4- in plaats van GDDR5-RAM.

Aangezien de kaart toch te traag is voor

3D-games, heb je echter geen last van het

langzamere geheugen.

Voor gamers hebben we de high-end

GeForce RTX 2070 grafische kaart uitgeko-

zen. Deze levert dankzij 2304 shadercores

en 8 GB GDDR6-RAM genoeg rekenkracht

zodat actuele games in WHQD- (2560 ×

1440) en Ultra-HD-resolutie (3840 × 2160)

soepel draaien. Bovendien is de gpu uit

de Turing-serie geschikt om raytracing

hardwarematig te versnellen. Battlefield

V is de eerste 3D-game die gebruikmaakt

van raytracing om realistische reflecties

te berekenen. De GeForce RTX 2070 kan

gelijktijdig vier 4K-displays aansturen. De

kaart beschikt over DisplayPort 1.4, HDMI

2.0 en USB-C. Ondanks de indrukwekkende

prestaties blijft de kaart in idle behoorlijk

stil (0,1 sone) en verbruikt dan maar zeven

watt meer dan de GT 1030.

De hardwarecomponenten van de

Threadripper-pc hebben we in een nieuwe

behuizing gestopt: de Define R6 USB-C, die

onder meer een USB-C-aansluiting aan de

voorzijde heeft. Aan de binnenkant ver-

bind je deze via een 10-polige stekker op

de USB 3.1 Gen2-controller van de X399-

chipset, die een overdrachtssnelheid van

1 GB/s levert.

Toen we bij onze tests de GeForce RTX

2070 vol belastten, lukte het niet de cpu

met de koeler van vorig jaar voldoende koel

te houden, waardoor de processor langza-

mer ging rekenen. Daarom hebben voor

het eerst een pc-bouwvoorstel gemaakt

met waterkoeling. De warmtewisselaar

van de Enermax LiqTech TR4 II 240 is voor-

zien van twee 12-inch PWM-ventilators. We

hebben deze onder de bovenzijde van de

Define R6 ingebouwd, en samen met de

ventilator op de achterzijde blazen ze tot

524 watt aan warmteontwikkeling de kast

uit. Desondanks zit de Threadripper met

68 °C tegen de temperatuur aan waarop

hij gas terug gaat nemen. Vermoedelijk is

hierbij de begrenzende factor de warmte-

overgang van de kleine halfgeleider-dies

naar de heatspreader van de cpu.

Workstation als optieAMD's high-end platform is niet alleen ge-

schikt voor desktop-pc's, maar ook om er

een workstation mee te bouwen. Voor dat

doel hebben we het werkgeheugen van

de basisconfiguratie vervangen door ECC-

RAM. In tegenstelling tot het AM4-plat-

form, heeft AMD het TR4-ecosysteem van

de Threadripper-cpu's officieel vrijgegeven

voor gebruik met geheugenmodules die

foutcorrectiemechanismen ondersteunen.

De DIMM's zijn wel zo'n 40 procent duurder

dan standaard DDR4-geheugen. Voor de 32

GB ECC-RAM van Kingston en de 64 GB van

Crucial waarmee we de ECC-functionaliteit

hebben getest, moet je ruim 400 euro,

respectievelijk rond 800 euro ophoesten.

In Windows controleer je op de opdracht-

prompt met het commando wmic memp-

hysical get memoryerrorcorrection

of de foutcorrectie actief is. Als je de waarde

'6' als antwoord terugkrijgt, dan werkt de

ECC-foutcorrectie op de Threadripper-pc.

Oorspronkelijk waren we van plan om

ook nog een bouwoptie te bieden met

de professionele Quadro P4000 grafische

kaart. Bij ons systeem haalde deze ech-

ter maar een derde van zijn performance.

Wij hebben contact opgenomen met MSI

waarmee we proberen uit te zoeken wat

hier de oorzaak van is.

MontageHet meest kritieke moment bij het bouwen

van het Threadrippersysteem is meteen aan

het begin wanneer je de processor op het

moederbord plaatst: de TR4-cpu met 4094

contactpunten heeft het formaat van een

kleine smartphone. Je schuift de processor

in een plastic houder die van de socket om-

hoog klapt. Let op dat de cpu daarbij goed

in de geleidende rails terechtkomt, anders

58 c’t 2019, Nr. 3

Praktijk | De optimale pc: high-end-pc

kan hij op de socket vallen en de gevoelige

contactjes verbuigen. In dat geval kun je

het moederbord van 300 euro in de prul-

lenbak gooien. De bevestigingshouder

zwenk je dicht en je draait de schroeven

vast met de momentschroevendraaier

die bij de cpu wordt geleverd. De exacte

procedure kun je zien in een video via

een link op onze website (www.ct.nl/pc-

bouwen-2019).

Vervolgens plaats je het werkgeheu-

gen en de M.2-ssd op het moederbord.

De correcte slots voor het geheugen wor-

den beschreven in de handleiding van het

moederbord. De ssd plaats je in een van

de drie M.2-slots op het moederbord. Het

maakt niet uit welke, want alle drie M.2-

slots zijn via vier PCIe-3.0-lanes direct aan

de Threadripper-cpu gekoppeld. Leg het

moederbord nu even ter zijde.

Bevestig nu de twee ventilators van de

waterkoeling op de warmtewisselaar aan

de kant waar ook de slangetjes zitten. In

de volgende stap moet je enkele zaken aan

de behuizing veranderen. Als er iets niet

duidelijk is, kun je altijd de uitvoerig geïl-

lustreerde handleiding van de behuizing

raadplegen. Om de zijplaten los te krij-

gen, moet je ze na het verwijderen van de

schroeven naar je toe trekken. Druk vervol-

gens op de grote knop op de achterzijde

om de afdekking bovenop de kast te ont-

grendelen en te verwijderen. Aansluitend

maak je het metalen ventilatorpaneel los,

dit gaat het gemakkelijkst met een platte

schroevendraaier.

Haal de vier schroeven van het paneel

aan de bovenzijde los. Dit paneel kun je

De bevestigingsplaat aan de bovenzijde van de behuizing klapt open, wat de montage van de warmtewisselaar eenvoudiger maakt.

Onderdelen Threadripper-pc

Componenten Type (aanduiding) Prijs

Processor AMD Ryzen Threadripper 2950X (YD295XA8AFWOF) e 900

Cpu-koeler Enermax LiqTech TR4 II 240 (ELC-LTTRTO240-TBP) e 140

Moederbord MSI X399 SLI Plus (7B09-008R) e 330

RAM 4 × Crucial Memory DIMM 8GB, DDR4-2666, CL19 (CT8G4DFS8266) e 240

Grafische kaart MSI GeForce GT 1030 2GHD4 LP OC (V809-2825R) e 90

SSD Samsung SSD 970 EVO 1TB, M.2 (MZ-V7E1T0BW) e 275

Behuizing Fractal Design Define R6 Black USB C e 140

Voeding Corsair HX Series HX750 (CP-9020137) e 140

Bijkomende kosten Verzendkosten e 25

Subtotaal hardware € 2280

Besturingssysteem Windows 10 Home e 115

Totaal € 2395

Opties

Grafische kaart MSI GeForce RTX 2070 Gaming Z 8G (V373-007R) e 650

Harde schijf Western Digital WD Blue 4TB (WD40EZRZ) e 110

Dvd-brander LG Electronics GP57EB40 zwart, USB 2.0 e 30

Workstation 4 × Kingston Server Premier DIMM 8GB, DDR4-2666, CL19-19-19, ECC (KSM26ES8/8ME) e 420

Workstation 4 × Crucial DIMM 16GB, DDR4-2666, CL19, ECC (CT16G4WFD8266) e 800

verwijderen en er de warmtewisselaar van

het waterkoelsysteem aan bevestigen.

Draai de schroeven nog niet vast, dit kun

je later doen wanneer je de uiteindelijke

positie van de radiator precies bepaalt.

Bouw nu de voeding en het moeder-

bord in de miditower in. Leg daarvoor de

kast op zijn zij. Er is genoeg ruimte achter

het moederbord om alle kabels daarlangs

te trekken. Sluit de kabels aan voor de

leds, usb-aansluitingen en geluidspoorten

aan de voorzijde, en vergeet niet de beide

achtpolige ATX12V stroomstekkers op het

moederbord aan te sluiten.

Plaats nu weer het metalen ventilator-

paneel met de waterkoeling terug in de

bovenzijde van de kast. Je kunt dit nog

een stukje openklappen, wat je iets meer

ruimte geeft om de waterpomp op de

processor te monteren. Smeer de warm-

tegeleidende pasta in een grote X op de

heatspreader van de Threadripper om te

zorgen dat deze optimaal verspreid wordt

over het hele oppervlak van de grote heat-

spreader. Sluit de behuizingsventilator aan

de achterzijde van de kast (SYS_FAN1), de

ventilators van de waterkoeling (CPU_FAN)

en de pomp (PUMP_FAN1) aan op het

moederbord. Als je dit alles hebt aange-

sloten, kun je het metalen ventilatorpaneel

met de warmtewisselaar vastschroeven. Nu

hoef je alleen nog maar de grafische kaart

in te steken. Als je de GeForce RTX 2070

hebt aangeschaft, moet je niet vergeten

de stroomkabel hier nog op aan te sluiten.

Voer nog een laatste controle uit om

te kijken of alles goed is aangesloten, en

dan kun je het systeem inschakelen. Roep

met de Delete-toets de BIOS-setup op. Op

onze website vind je een overzicht van

de optimale instellingen, bijvoorbeeld

van de ventilatorcurves. Hiermee blijft

de Threadripper-pc ook met de high-end

grafische kaart bij een idle desktop fluis-

terstil (0,1 sone). Op de website vind je ook

diverse links naar drivers. Ongeacht voor

welk systeem je kiest, veel plezier bij het

bouwen! (ddu) c

www.ct.nl/pc-bouwen-2019

Microsoft heeft voor administrators

en pc-fabrikanten in Windows mecha-

nismen ingebouwd waarmee een

installatie automatisch kan verlopen.

Daar kunnen ook alle andere gebrui-

kers die Windows vaak installeren

van profiteren.

Axel Vahldiek

Tijdens en na elke (her)installatie van

Windows moeten een aantal beslis-

singen genomen worden en als je

dat vaker doet, realiseer je je snel dat de

meeste daarvan altijd hetzelfde uitpakken.

Geen vragen, doorlopen!Windows geautomatiseerd installeren met antwoordbestanden

Afb

ee

ldin

g:

Th

ors

ten

Hü

bn

er

Het is handiger om het set-upprogramma

een bestand mee te geven waarin alles van

tevoren al is ingesteld. Dan stelt het pro-

gramma vervolgens alleen nog de vragen

die je per se elke keer wilt beantwoorden.

Die automatisering kan zelfs geheel vol-

ledig zijn, zodat er van het aanzetten van

een pc met een lege interne gegevensdra-

ger tot het verschijnen van het bureaublad

geen tussentijdse invoer nodig is.

De eenvoudigste manier om een ant-

woordbestand mee te geven is door het

naar een usb-stick te kopiëren en die in

de pc te stoppen voordat je de installa-

tie start. Het installatieprogramma zoekt

en gebruikt het bestand dan vanzelf, als

het tenminste de speciale naam Auto-

unattend.xml heeft. Als je toch al vanaf

een stick installeert, kan het bestand daar

ook meteen op. Instructies voor het maken

van een installatiestick staan in [1], en in

[2] staan aanvullende tips voor mensen die

Windows vaak installeren.

Je kunt eenvoudig zelf een antwoord-

bestand bij elkaar klikken met een gratis

programma van Microsoft. De gebrui-

kersinterface lijkt in het begin misschien

wat verwarrend, maar als je eraan went,

loont de tijdsbesparing, die des te groter

is naarmate je vaker een antwoordbestand

gebruikt. Bij wijze van inleiding laten we

hier zien hoe je met het antwoordbestand

60 c’t 2019, Nr. 3

Praktijk | Onbeheerde Windows-installatie

het installatieprogramma tijdens een stan-

daardinstallatie afl eert om vragen te stel-

len, met als voorbeeld Windows 10 versie

1803. Als je mee wilt doen, heb je twee

pc's of notebooks nodig: een apparaat om

het antwoordbestand bij elkaar te klikken

(werk-pc) en een ander om te testen of

alles werkt (test-pc).

VoorbereidingenEr moet minstens 10 GB ruimte beschik-

baar zijn op de harde schijf of ssd van de

werk-pc. Bovendien moet je nagaan of je

alleen 64-bit installaties wilt automatiseren

of ook 32-bit. Voor dat laatste is als uit-

gangspunt namelijk een 32-bit Windows

vereist. Het klinkt misschien raar, maar het

volgende is echt zo: op een 32-bit Windows

kun je antwoordbestanden genereren voor

zowel 32-bit als 64-bit installaties, maar op

een 64-bit Windows alleen voor 64-bit in-

stallaties.

Installeer de 'Windows Assessment and

Deployment Kit' (ADK) op de werk-pc. Die

kun je downloaden via de link onderaan dit

artikel. Let op, op de website staan verschil-

lende versies. Kies de versie die past bij de

Windows-versie op de werk-pc (zo nodig

kun je met winver de versie achterhalen).

Wat je downloadt, is niet meer dan een

klein installatieprogramma. Na de gebrui-

kelijke inleiding (het installatiepad, het ac-

cepteren van de licentie ...) krijg je de keuze

wat er allemaal geïnstalleerd kan worden.

Voor het maken van een antwoordbestand

hoef je alleen de 'Deployment Tools' van

iets minder dan 100 MB te selecteren. Na

de installatie vind je de 'Windows System

Image Manager' (WSIM) in het startmenu

onder 'Windows Kits'. Dat is het programma

dat we gaan gebruiken.

Waar je installatiemedium vandaan

komt, doet er voor het project zelf niet toe.

Het is wel belangrijk dat in de map sour-

ces een bestand staat met de naam install.

wim (dat bevat de installatie-images). Staat

in plaats daarvan echter een bestand met

de naam install.esd (een sterk gecompri-

meerde versie van het WIM-bestand), dan

moet je dat eerst converteren.

Eerste kennismakingDe WSIM eist om onbekende redenen dat

install.wim zich op een beschrijfbare schijf

bevindt, dus kopieer het bestand indien

nodig daarnaartoe. Start daarna de WSIM.

Klik in de menubalk onder File op 'Select

Windows Image' en open het bestand in-

stall.wim. Als er meerdere images zijn, se-

lecteer je er een. Meestal klaagt WSIM dan

dat het het catalogusbestand voor de ge-

selecteerde image niet kan openen omdat

het nog niet bestaat. Accepteer het aanbod

om het bestand aan te maken. Dat duurt

even. In de catalogus registreert WSIM

dan alles wat je tijdens de installatie van

de geselecteerde image mogelijk vooraf

kunt defi niëren.

In het gedeelte 'Windows Image'

verschijnt de net gemaakte catalogus

vervolgens als een boomstructuur. De bo-

venste twee niveaus zijn Components en

Packages. Dat laatste heeft betrekking op

bijvoorbeeld taalpakketten en dergelijke,

maar dat maakt voorlopig niet uit. Wel

belangrijk zijn de Components, waarover

direct meer.

Maak een leeg antwoordbestand ('File

/ New Answer File'). Ook daar zijn er Com-

ponents en Packages en ook daar kun je

die laatste weer negeren. Wat in eerste

61c’t 2019, Nr. 3

Praktijk | Onbeheerde Windows-installatie

Stap voor stap: selecteer een component in de catalogus en kies een fase.

Selecteer in het antwoordbestand de instelling waarvoor je een antwoord wilt opgeven.

instantie verwarrend kan zijn, zijn de van

1 tot 7 genummerde subitems onder Com-

ponents. Die verwijzen naar de zeven fasen

die een Windows-installatie kan doorlopen.

Voor elke fase kun je antwoorden opgeven.

Dat klinkt ingewikkelder dan het in wer-

kelijkheid is, want tijdens een standaard-

installatie worden slechts vier van die fasen

doorlopen en slechts twee daarvan zijn

hier belangrijk.

Na het opstarten vanaf het installatie-

medium start Windows PE en kopieert het

installatieprogramma de image naar de

interne schijf (fase 1: windowsPE). Daarna

start het nieuw geïnstalleerde Windows

en doorloopt het OOBE-proces dan de

gebruikersspecifieke instellingen (fase 7:

oobe- System, de afkorting staat voor out-

of-box-experience): Daar wordt de gebrui-

kersnaam toegewezen, het netwerk gecon-

figureerd, enzovoort. Details over alle fasen

van een Windows-installatie staan indien

nodig in het volgende artikel.

Dan ben je klaar voor de eerste invoer

in het antwoordbestand. De procedure

gaat in het kort als volgt: selecteer in de

catalogus in het gebied 'Windows Image'

een component die je aan het antwoord-

bestand wilt toevoegen. Vervolgens kies

je een fase van de installatie die op dat

onderdeel van toepassing is (hier 1 of 7).

Definieer ten slotte in het gedeelte Proper-

ties de instellingen die het installatiepro-

gramma later moet gebruiken.

De catalogusDe componenten in de catalogus hebben

allemaal lange namen volgens een bepaald

patroon. Ze beginnen allemaal met de

archi tectuur, dus x86 of amd64. Bij catalogi

voor 64-bit images is er ook nog wow64,

wat staat voor 'Windows on Windows 64'

en waarmee het 32-bit subsysteem be-

doeld is. Die wow64-componenten kun je

hier verder negeren.

Het volgende deel van de naam staat

voor de software waarop de component

van toepassing is, wat hier bijna uitsluitend

'Microsoft Windows' is. Alle componentna-

men eindigen altijd met het versienummer

en de taalversie. Voor een catalogus voor

een image van Windows 10 versie 1803 is

dat altijd 10.0.17134.1_neutral. Het inte-

ressantste deel van de naam staat in het

midden, want dat laat zien waar het al-

lemaal over gaat. Hieronder noemen we

verder alleen dat middendeel van de naam

voor elke component, dus amd64 of x86

ervoor en de rest erna mag je er zelf bij

denken.

Zodra je een onderdeel selecteert, ver-

schijnt rechtsboven in het gedeelte Proper-

ties onder Properties welke antwoorden je

voor dat onderdeel kunt opgeven. Als er

voor een vraag meerdere antwoorden te-

gelijk mogelijk zijn, worden ze in een su-

bitem gezet. Snuffel gerust wat rond om

een eerste indruk te krijgen, je kunt niets

kapot maken.

Tijdens het rondkijken is het een

goed idee om op F1 te drukken bij elke

onduidelijkheid. Dan beland je in Micro-

softs Engelstalige online Help, precies op

de goede plek. Die bestaat uit een map-

penstructuur. Links zie je een boomstruc-

tuur met alle componenten, in het grote

gedeelte rechts verschijnt de helptekst. Als

je in de WSIM een component had gese-

lecteerd voordat je op F1 drukte, kom je

meestal op een overzichtspagina met links

naar de vooraf gedefinieerde antwoorden.

Als je in WSIM in het rechterdeelvenster

Properties een instelling selecteert en op

F1 drukt, beland je op de bijbehorende

subpagina.

Helaas houdt Microsoft die helpfunc-

tie een beetje slordig bij. Soms kom je niet

in de tekst terecht waarnaar je op zoek

bent, maar op de overzichtspagina, en

moet je zelf doorklikken naar de gezochte

inhoud. Als die al beschikbaar is, want voor

sommige onderwerpen zijn er geen help-

teksten of zijn ze alweer verdwenen. Dan

moet je met een zoekmachine zelf verder

zoeken.

Het eerste antwoordDe eerste vraag die van het installatie-

programma tijdens het uitvoeren van een

standaard installatie komt betreft de taal-

instellingen en de antwoorden staan in

de catalogus in de component 'Windows-

International-Core-WinPE' (niet te verwar-

ren met 'Windows-International-Core'). In

de online Help kun je zien bij welke fase

van de installatie het onderdeel hoort en

in dit geval staat daar: 'can be applied only

in the windowsPE configurationpass'. De

component past dus alleen in de eerste

fase.

Als je het aan het antwoordbestand

wilt toevoegen, klik je in 'Windows Image'

met de rechtermuisknop op de compo-

nent 'Windows-International-Core-WinPE'

en kies je 'Add Setting to Pass 1 windows-

PE'. Hij verschijnt dan in het middelste

venster. Als je hem daar selecteert, kun je

aan de rechterkant onder Properties ant-

woorden invullen. Welke het installatie-

programma accepteert, blijkt uit de online

Help. De taal wordt gedefinieerd door een

tekenreeks die bestaat uit een taalcode en

een regio. Dat klinkt ingewikkeld, maar het

62 c’t 2019, Nr. 3

Praktijk | Onbeheerde Windows-installatie

Druk op F1 om de online Help te openen. Je komt meteen op de juiste plaats – meestal althans.

Voer het antwoord in en laat dat vervolgens nakijken door de WSIM.

is simpel: 'en-US' staat voor de Engelse taal

en de regio VS, 'en-GB' staat voor Engels

en Groot-Brittannië, 'nl-NL' voor Neder-

lands in Nederland en 'nl-BE' voor Neder-

lands in België. Welke combinaties je kunt

kiezen, vind je bij de hulpteksten van de

afzonderlijke antwoorden steeds via links,

die 'Available Language Packs' of 'Suppor-

ted Language Packs and Default Settings'

heten, maar steeds dezelfde informatie

bevatten.

InputLocale is de toetsenbord-

indeling, SystemLocale dan de standaard-

taal voor de bitmap lettertypen en de

codetabellen, UI Language de taal van de

gebruikersinterface en UserLocale defini-

eert de tijd- en valuta-opmaak. Als je die

antwoorden opgeeft, verschijnt het dia-

loogvenster voor het selecteren van de

taal niet aan het begin van de installatie.

Voer hetzelfde in bij alle vier, bijvoorbeeld

nl-NL. Standaard installatiemedia zijn maar

beperkt meertalig en het gaat hier alleen

nog maar over Windows PE en niet over de

eigenlijke installatie die later op de schijf

komt – daarvoor bestaan afzonderlijke

componenten, waarover later meer. Klik

daarvoor in het rechterdeelvenster Proper-

ties rechts van een instelling, waarna een

cursor verschijnt. Maar pas op, het smalle

kader rond het invoerveld is op sommige

monitoren moeilijk te zien.

Je kunt LayeredDriver negeren als je

geen Japanse of Koreaanse toetsenbord-

indelingen nodig hebt. Je kunt UILanguage-

FallBack ook negeren omdat dat de taal is

voor niet-gelokaliseerde bronnen, maar die

is voor Nederlandstalige Windows-images

meestal toch ingesteld op Engels. In dit

voorbeeld zie je ook dat je niet altijd alle

instellingen van een component hoeft in

te vullen in het antwoordbestand, maar al-

leen de instellingen die je echt van tevoren

wilt invullen.

Nog meer talenIn het antwoordbestand staat onder 'Win-

dows-International-Core-WinPE' het item

SetupUILanguage. Dat gaat over de taal

van het installatieproces zelf. Er zijn twee

instellingen: UILanguage en WillShowUI.

Bij de eerste kun je weer de gewenste

taalcode invoeren. De tweede is volgens

de online Help 'deprecated', dat wil zeg-

gen verouderd, en kan volgens Microsoft

beter niet meer gebruikt worden. Je kunt

dergelijke instellingen nog steeds gebrui-

ken, maar dan moet je er rekening mee

houden dat ze in toekomstige versies van

Windows niet meer meegenomen worden

en dat ze ook niet langer door Microsoft

getest worden.

De WSIM controleert automatisch op

bekende fouten bij het invoeren van een

eigenschap, die vervolgens onder in het

deelvenster Messages zullen verschijnen.

Daar kun je echter niet te veel op vertrou-

wen. Als de controle iets te klagen heeft,

is dat meestal terecht, maar als hij alles

goed vindt, betekent dat echter nog niet

dat alles inderdaad ook correct is. Je kunt

een nieuwe controle starten door in het

menu Tools de optie 'Validate Answer File'

te kiezen.

Installatie-image kiezenTijdens een standaardinstallatie volgt

dan de beslissing welke image op de

schijf wordt gezet. Dat wordt meestal

geregeld door een installatiesleutel in te

voeren. Als je er een voor Windows Home

invult, komt Windows Home op de schijf.

Je kunt de sleutel opgeven bij de com-

ponent Windows-Setup, maar voeg die

nog niet toe aan het antwoordbestand.

Bij 'Windows-Setup' kun je namelijk veel

dingen configureren die niet nodig zijn

voor een standaardinstallatie. Het ant-

woordbestand blijft overzichtelijker als

je die niet toevoegt via het contextmenu

van 'Windows-Setup' maar via 'Windows-

Setup/UserData/ProductKey'. Als je een

keer verkeerd klikt, is dat ook niet erg. Je

kunt onnodige componenten in het deel-

venster 'Answer File' selecteren en vervol-

gens verwijderen door op de knop Delete

te drukken.

Bij de eigenschappen van ProductKey

kun je de gewenste installatiesleutel in-

voeren. Het format is 12345-12345-12345-

12345-12345. Bij het testen was het echter

niet voldoende om de sleutel in het ant-

woordbestand op te slaan. We moesten

ook invoeren welke image er precies ge-

selecteerd moest worden. Daarvoor zet je

de naam van de image in een ander ant-

woord. Je kunt de namen van de edities

in install.wim laten weergegeven met de

volgende dism-opdracht in een opdracht-

prompt met administratorrechten (pad en

bestandsextensie aanpassen):

dism /get-wiminfo

/wimfile:f:\sources\install.wim

Terug naar de WSIM. Voeg de volgende

component toe aan fase 1: 'Windows-

Setup/ImageInstall/OSImage/Install-

From/MetaData' (Let op: OSImage, niet

DataImage). Bij Key hoort /IMAGE/NAME

(zonder spaties ertussen) en bij Value voer

je de naam in, bijvoorbeeld Windows 10

Pro.

63c’t 2019, Nr. 3

Praktijk | Onbeheerde Windows-installatie

Dit dialoogvenster, dat verschijnt na het selecteren van de Windows-image in WSIM, lijkt in eerste instantie een foutmelding, maar zegt uiteindelijk alleen met veel woorden dat je moet bevestigen om verder te gaan.

Je hoeft niet elk ant-woord zelf in te vullen, soms kun je ook kiezen uit een menu.

Steeds een andere imageAls je niet vooraf een image wilt selecte-

ren, kun je toch een antwoordbestand ge-

bruiken voor al het andere, maar je mag

de component voor de installatiesleutel

niet weglaten, anders stopt het installatie-

programma later met een foutmelding.

Voeg daarom de component 'Win-

dows-Setup/UserData/ProductKey' toe aan

het antwoordbestand, laat Key leeg en stel

WillShowUI in op Always. Dan vraagt setup.

exe later eerst om de sleutel, en als je die

niet invoert, biedt het de gevonden ima-

ges aan om uit te kiezen. Let op! De extra

antwoorden die in de vorige paragraaf in

de component 'Windows-Setup/ImageIn-

stall/OSImage/InstallFrom/MetaData' wor-

den genoemd, mag je in dat geval niet

toevoegen.

Bij de component 'Windows-Setup' kun

je nog meer instellen. Onder UserData kun

je kiezen voor het automatisch instemmen

met de licentievoorwaarden (AcceptEULA

op true) en kun je de naam en organisatie

van de eigenaar vastleggen.

Het onderdeel 'Windows-Setup' bevat

ook netwerk- en firewallinstellingen, maar

let op: houd er rekening mee dat dit over

de PE-fase gaat. F1/Help is ook hier weer

je beste vriend, omdat daar duidelijk staat

dat de antwoorden niet van toepassing

zijn op de latere installatie. Dat geldt voor

alle componenten. Kijk rond in hun eigen-

schappen of er iets van je gading bij zit,

maar vertrouw nooit op de eerste indruk,

kijk altijd in de Help om duidelijkheid te

krijgen.

De doelpartitieDan komt de volgende vraag van het in-

stallatieprogramma. Op welke partitie

moet Windows geïnstalleerd worden?

Daar gaapt een enorme valkuil omdat de

antwoorden die je kunt geven bedoeld zijn

voor systeembeheerders en pc-fabrikanten

die in één keer een groot aantal identieke

machines met uniforme installaties behe-

ren en geen rekening hoeven te houden

met bestaande gegevens. Dat heeft tot

gevolg dat je het antwoordbestand zoda-

nig kunt vullen met antwoorden dat het

installatieprogramma de interne schijf later

volledig wist, alle partities nieuw instelt en

Windows daarna installeert. Maar als je een

set-upstick met zo'n antwoordbestand op

de verkeerde computer aansluit en er ver-

volgens per ongeluk ook nog van opstart,

gaan vervolgens alle gegevens verloren.

Maar je mag het natuurlijk altijd probe-

ren. Je vindt de antwoorden in het onder-

deel 'Windows-Setup' onder 'Disk-Configu-

ration'. Houd er bij het configureren van die

instellingen rekening mee dat de partitio-

nering aan bepaalde eisen moet voldoen

en er ook van afhangt of de pc opstart in de

UEFI- of Classic BIOS Mode (CSM). Ga ver-

antwoord om met de op die manier voor-

bereide installatiemedia. Voorkom dat een

leek er ooit een te pakken krijgt. Het is wel

eens gebeurd dat iemand zonder te vra-

gen zo'n stick leende, de pc de volgende

ochtend opstartte en toen hij terugkwam

met de koffie niet zijn vertrouwde instal-

latie zag, maar verwelkomd werd door een

nagelnieuwe Windows-versie.

Je kunt dergelijke ongelukken vermij-

den door de partitionering niet door Auto-

unattend.xml te laten doen. Dat maakt het

ook mogelijk om een per ongeluk gestarte

installatie alsnog te annuleren. Op het mo-

ment dat het dialoogvenster voor het se-

lecteren van de doelpartitie verschijnt, is er

nog niets op de schijf gewijzigd.

OOBEDe antwoorden voor de PE-fase heb je

daarmee rond. Dan wordt het tijd voor

die voor de OOBE-fase. Ook die wil weer

informatie over de taalinstellingen. Die in-

stellingen bevinden zich onder 'Windows-

International-Core' (deze keer zonder 'Win-

PE' in de naam). Voeg dat onderdeel toe

aan fase 7. Je kent de eigenschappen van

de component al van de gelijknamige voor

de PE-fase.

Nog veel meer antwoorden vind je

in de component 'Windows-Shell-Setup/

OOBE'. Voeg ze toe aan het antwoordbe-

stand. De voor te definiëren instellingen

64 c’t 2019, Nr. 3

Praktijk | Onbeheerde Windows-installatie

Je hoeft niet de hele component aan het antwoord bestand toe te voegen, soms zijn delen voldoende.

Je kunt per ongeluk toegevoegde of overbodige componenten uit het antwoordbestand makkelijk verwijderen.

spreken meestal voor zich. Je kunt ver-

schillende dialoogvensters verbergen door

de instelling steeds op true te zetten: de

licentievoorwaarden (HideEULAPage), een

lokaal (HideLocalAccountscreen) of on-

line-account maken (HideOnlineAccount-

Screens), wifi (HideWirelessSetupInOOBE)

en, indien aanwezig, de OEM-registratie

(HideOEMRegistrationScreen) worden dan

allemaal overgeslagen.

Je kunt daar alle andere instellingen

negeren, op één uitzondering na: Protect-

YourPC. F1 leidt tot de verbluffende conclu-

sie dat je daar eventueel een 1, 2 of 3 kunt

invullen, maar dat 1 en 2 hetzelfde bete-

kenen. De reden is dat daar vóór Windows

10 het gedrag van Windows Update mee

werd geregeld, maar dat Microsoft de optie

een nieuwe taak heeft gegeven. Hij stuurt

nu de privacy-instellingen aan, die anders

in het installatieprogramma worden afge-

vraagd. Bij 1 of 2 lijkt het alsof je alle vragen

ineens hebt geaccepteerd en bij 3 alles in

één keer hebt afgewezen. Concreet zijn dat

de dialoogvensters voor spraakherkenning,

locatie, apparaat vinden, de grootte van

diagnostische gegevens, verbetering van

handschriftherkenning en invoerdetectie,

aangepaste ervaringen door het gebruik

van diagnostische gegevens en om apps

een reclame-ID te laten gebruiken.

Onder OOBE zie je in het antwoord-

bestand het item VMModeOptimizations

staan, dat daar niet nodig is. Het bevat

speciale antwoorden voor gebruik in een

virtuele omgeving (details zoals gebruike-

lijk met F1). Selecteer het item en druk op

de Delete-toets om het te verwijderen.

Als je de HideLocalAccount Screen onder

OOBE op true hebt gezet, moet je nog een

ander antwoord definiëren, anders kun je je

later door het ontbreken van een account

niet bij de nieuwe installatie aanmelden.

Voeg 'Windows-Shell-Setup/UserAccounts/

LocalAccounts' toe aan fase 7. In het mid-

delste venster 'Answer File' open je het con-

textmenu van LocalAccounts en selecteer je

de optie om een nieuw LocalAccount in te

voegen. Bij de instellingen vul je de gebrui-

kersnaam in bij Description, DisplayName

en Name (dat mag steeds hetzelfde zijn). Bij

Group vul je een groep in. Ten minste één

vooraf gedefinieerd account moet behoren

tot de groep van beheerders, dus moet je

Administrators invoeren. Let op! WSIM con-

troleert de juiste spelling op dat punt niet,

omdat er naast de al gedefinieerde groepen

ook andere kunnen zijn, met willekeurige

namen.

Onder het zojuist aangemaakte ac-

count kun je bij Password een wacht-

woord definiëren. Om te voorkomen dat

iemand dat kan lezen, klik je in het menu

onder Tools op 'Hide Sensitive Data'. Ver-

volgens verschijnt er een klein vinkje

voor die menu optie. In het XML-bestand

komt dan alleen een onleesbare hash-

waarde. Microsoft wijst er echter op dat dit

beschermings niveau niet gelijk staat aan

versleuteling en raadt aan om dergelijke

antwoordbestanden veilig te bewaren.

Testrun

Je hebt dan alle antwoorden bij elkaar en

bent klaar voor een testrun. Sla het be-

stand op in de menubalk bij 'File / Save

Answer File' en geef het de naam Auto-

unattend.xml. Let op! Omdat het instal-

latieprogramma dat bestand zelf moet

vinden, moet het echt Autounattend.xml

heten en niet Autounattended.xml, zoals

her en der op internet te lezen is. Kopieer

het bestand vervolgens naar de hoofdmap

van de usb-stick en voer een proefinstal-

latie uit op de test-pc. Het XML-bestand

moet gedurende het hele installatieproces

beschikbaar blijven, dus mag je de stick in

de tussentijd niet verwijderen.

Als dat gelukt is, kun je het antwoord-

bestand verder naar wens aanpassen. Ove-

rigens kan naast de helpfunctie/F1 nog een

andere optie van de WSIM van pas komen:

het vergrootglas op de werkbalk. Daarmee

kun je zoeken naar instellingen met een

bepaalde naam. Houd er rekening mee dat

alle instellingen Engelstalig zijn en geen

spaties hebben, dus werkt zoeken naar bij-

voorbeeld ProductKey alleen als je het aan

elkaar schrijft.

In het derde artikel staan meer tips

voor de WSIM. Mocht je instellingsbestan-

den willen uitwisselen met anderen, besef

dan dat je het XML-bestand gewoon kunt

openen met een gewone teksteditor en de

delen die je wilt uitwisselen kunt kopiëren

en plakken. (nkr) c

Literatuur

[1] Axel Vahldiek, Installatie-stick, Maak een usb-

stick om Windows 10 te installeren, c't 11/2018,

p.118

[2] Axel Vahldiek, Een voor allen, Tips voor Windows

10 installatiesticks, c't 11/2018, p.122

www.ct.nl/softlink/1903060

65c’t 2019, Nr. 3

Praktijk | Onbeheerde Windows-installatie

Vanuit het perspectief van een ge-

bruiker is een Windows-installatie

eigenlijk vrij saai. Maar onder de

motorkap gebeuren er genoeg

spannende dingen, en veel daar -

van kun je beïnvloeden.

Axel Vahldiek

Het Windows-installatieprogram-

ma moet veel doen: de schijf par-

titioneren, de systeembestanden

op de juiste plaats zetten, de bootloader

instellen, van alles configureren, enzo-

voort. Veel daarvan kan vooraf worden

gedefinieerd en geautomatiseerd. Een in-

stallatie doorloopt vandaag de dag maxi-

maal zeven fasen. Weten welke dat zijn

vergemakkelijkt niet alleen het werk van

een beheerder, maar helpt ook bepaalde

gedragingen van het besturingssysteem

beter te begrijpen.

Hieronder beschrijven we de zeven

fasen in de terminologie die ook ge-

bruikt wordt door Microsofts 'Windows

System Image Manager' (WSIM). Met dit

programma kun je zogeheten antwoord-

bestanden maken die het installatie-

programma van Windows beïnvloeden.

Hoe je dat doet, lees je in het artikel

hiervoor.

De eerste stappenDe eerste fase van een installatie wordt

in de WSIM aangeduid met de naam win-

dowsPE. Dat verwijst naar het opstarten

van het mini-besturingssysteem Windows

PE, waaronder het eerste deel van de in-

stallatie wordt uitgevoerd en het instal-

latieprogramma setup.exe wordt gestart.

De letters PE staan voor Preinstallation

Werk in opdrachtHoe een Windows-installatie verloopt – en waar je kunt ingrijpen

FasenEen standaardinstallatie van Windows doorloopt vier fasen. Administrators en pc-fabrikanten kunnen ze allemaal beïnvloeden en tijdens andere fasen nog meer aanpassen.

Windows Setup

Sysprep

windowsPE offlineServicing specialize oobeSystem

generalize auditSystem auditUser

Environment, meer informatie daarover

hebben we gepubliceerd in [1].

Tijdens de eerste fase verricht het in-

stallatieprogramma drie taken. Het parti-

tioneert de harde schijf of ssd en kiest de

doelpartitie als je dat zelf niet wilt doen.

Het zet ook een image op de doelpartitie

en voorziet die van een bootloader.

De image bevindt zich in een be-

stand met de naam install.wim of install.

esd in de map sources van het installatie-

medium. Als setup.exe in de ACPI-tabel

'MSDM' in de firmware van het moe-

derbord een Windows-installatiesleutel

vindt en een overeenkomende image op

het installatiemedium, wordt die image

automatisch geselecteerd. Anders vraagt

het de gebruiker om een sleutel of haalt

die uit een antwoordbestand.

Ten slotte wordt in die fase dan het

wachtwoord voor het standaard inactie-

ve account 'Administrator' toegewezen

(details over de beheerder onder Win-

dows vind je indien gewenst in een c't

FAQ [2]). Tenzij er iets anders is geregeld

in een antwoordbestand of er al een

wachtwoord in de image aanwezig is,

blijft dat leeg.

Dan volgt de tweede fase, offline-

Servicing. Hier controleert het installa-

tieprogramma of het de geïmporteerde

image moet aanvullen met extra updates,

stuurprogramma's en taalpakketten en

doet dat indien nodig. Bij een standaard-

installatie is er echter alleen iets aan te

vullen als je setup.exe niet start vanaf

het installatiemedium, maar onder een

reeds actieve Windows, om bijvoorbeeld

een parallelle installatie te starten. Dan

biedt setup.exe aan om eerst de beschik-

bare updates voor de komende installatie

te downloaden voordat de pc opnieuw

wordt opgestart om Windows PE op te

starten en dan het eigenlijke installatie-

proces te starten. Bij de tweede fase wor-

den de gedownloade updates vervolgens

geïnstalleerd in de gekopieerde image.

Daarmee is het werk van het installatie-

programma voltooid en wordt de pc op-

nieuw opgestart.

Na opnieuw opstartenDe volgende keer dat de pc wordt op-

gestart, wordt het nieuw geïnstalleerde

Windows-systeem opgestart, ook al ziet

dat er tijdens een nieuwe installatie niet

zo uit. Dat komt doordat Microsoft er bij

standaard-images voor heeft gezorgd dat

na de eerste start nog meer instellings-

dialoogvensters volgen voordat je de

desktop te zien krijgt. Dat gebeurt op-

nieuw in twee fasen. Het begint met de

fase specialize. Daarin gaat het om sys-

teemspecifieke instellingen. Daar wordt

onder andere de systeem-SID van de

nieuwe installatie gemaakt en de daar-

van afgeleide SID's van de standaard-

gebruikersaccounts en -groepen. Die

66 c’t 2019, Nr. 3

Knowhow | Windows-installatie

Administrators kunnen tijdens het installeren van Windows de 'System Monitor Mode' inschakelen. Vervolgens kun je diverse apparaten installeren en configureren om een aangepaste installatie-image te maken.

Literatuur

[1] Axel Vahldiek, Laatste redmiddel, Los problemen

op met het mini-besturingssysteem Windows PE,

c't 7-8/2018, p.114

[2] Axel Vahldiek, FAQ: Administratorrechten in

Windows 10, c't 10/2018, p.56

ID's helpen dan om toegangsrechten te

beheren, maar kunnen ook computers,

accounts en groepen in een netwerk

identificeren.

Een antwoordbestand kan ook van

invloed zijn op de 'Windows-functies'.

Dat zijn de functies die na het installe-

ren in het Configuratiescherm staan bij

'Programma's en onderdelen' in Windows

7 en in Windows 10 (klik links op 'Win-

dows-onderdelen in- of uitschakelen').

Bovendien worden in die fase de net-

werk-, taal- en domeininstellingen ge-

configureerd. Ten slotte wordt de hard-

ware voor de eerste keer gedetecteerd

en worden voor de herkende apparaten

de stuurprogramma's geïnstalleerd waar-

over Windows standaard beschikt. Ove-

rigens gebeurt dat laatste elke keer dat

je herstart.

Bij een standaardinstallatie volgt dan

de laatste fase, oobeSystem (Out-of-Box

Experience). Dan gaat het om gebruikers-

specifieke instellingen en verschijnen bij-

voorbeeld de dialoogvensters voor het

maken van het eerste gebruikersaccount,

voor verbinding met een wifinetwerk,

voor de privacy-instellingen, enzovoort.

Pas als je daarmee klaar bent, verschijnt

het bureaublad. Als er dan een internet-

verbinding beschikbaar is, probeert Win-

dows de ontbrekende stuurprogramma's

en updates te laden. Daarna is de instal-

latie voltooid.

Speciaal geval: SysprepEr zijn andere fasen waarin je een instal-

latie kunt beïnvloeden, maar die wor-

den meestal niet doorlopen. In plaats

daarvan gaat het om het voorbereiden

van aangepaste installaties, zodat je die

in een image kunt verpakken, die dan

vervolgens op andere machines geïn-

stalleerd kan worden. De doelgroep

daarvoor zijn bijvoorbeeld beheerders

en pc-fabrikanten die hun apparaten wil-

len afleveren met vooraf geïnstalleerde

toepassingen, achtergrondafbeeldingen,

stuurprogramma's, enzovoort. Ook Mi-

crosoft maakt zijn installatie-images op

die manier.

De betreffende tool mag je beslist!

niet! starten als je niet precies weet wat

hij aanricht. Anders loopt je Windows-

installatie namelijk groot gevaar. Het

programma is ontworpen om informatie

en gegevens uit een bestaande instal-

latie te wissen die administrators en pc-

fabrikanten in de weg zouden staan. Het

gaat dan om de 'System Preparation Tool'

Sysprep, die sinds Windows Vista met het

ongewijzigde versienummer 3.14 in alle

Windows-versies aanwezig is [4].

Sysprep kan toekomstige installa-

ties op twee manieren beïnvloeden. De

eerste is 'OOBE (Out-of-Box Experience)

van systeem starten'. De installatie wordt

zodanig voorbereid dat bij de volgende

start de fase 'oobeSystem' opnieuw door-

lopen wordt. Vervolgens kun je Windows

afsluiten en in een image inpakken. Het

is echter aan te raden om ook de optie

'Generaliseren' te activeren. Dan door-

loopt Windows namelijk eerst nog de

fase generalize, waarin alle informatie

die voor de pc is geïndividualiseerd weer

wordt weggegooid. Dat zorgt ervoor dat

bij de volgende start vóór 'oobeSystem'

dan eerst de fase 'specialize' nog wordt

doorlopen.

Het tweede type is de 'Systeemcon-

trolemodus starten'. Die kun je al tijdens

de installatie bereiken via een antwoord-

bestand of door op Ctrl+Shift+F3 te druk-

ken wanneer de OOBE-dialoogvensters

verschijnen, maar ook later via Sysprep.

In die modus maakt de installatie als het

ware een omweg. Het bureaublad ver-

schijnt rechtstreeks, zonder de OOBE-

query's, maar het bovenvermelde en

eigenlijk uitgeschakelde account 'Admi-

nistrator' is wel aangemeld. Er bestaat

nog geen individueel gebruikersaccount.

Bovendien verschijnt het Sysprep-ven-

ster. Dan kun je stuurprogramma's en

toepassingen installeren en systeem- en

gebruikersspecifieke instellingen aan-

passen. Als opnieuw opstarten nodig is,

verschijnt het Sysprep-venster daarna

opnieuw en ben je opnieuw als Admin-

strator aangemeld.

Als je de staat waarin Windows zich

in de controlemodus bevindt van te-

voren wilt beïnvloeden, kan dat weer

met het antwoordbestand. In de fase

auditSystem kun je bijvoorbeeld extra

stuurprogramma's installeren, de beeld-

schermresolutie aanpassen en ook het

bureau bladthema instellen.

In de onmiddellijk daarop volgende

fase audit User worden onder meer het

vergrendelingsscherm en de taakbalk

aangepast en de standaardbrowser, e-

mailclient en mediaspeler gedefinieerd.

Na alle aanpassingen laat je Sysprep Win-

dows afsluiten met de optie 'OOBE (Out-

of-Box Experience) van systeem starten'

en (facultatief ) 'Generaliseren' en maak

je de image. Daarmee kun je Windows

met alle afzonderlijke aanpassingen dan

in één keer en op een willekeurig aantal

computers installeren. (nkr) c

67c’t 2019, Nr. 3

Knowhow | Windows-installatie

68 c’t 2019, Nr. 3

rubriek | rubriek rubriek rubriek

Axel Vahldiek

Met de Windows System Image Manager

(WSIM) kun je een antwoordbestand voor

een onbeheerde installatie bij elkaar klik-

ken. Hoe je dat doet, lees je in het eerste

artikel op pagina 60 in dit nummer. Hier

volgen enkele aanvullende tips.

Oudere Windows-versies

? In het eerste artikel over de WSIM

staat hoe je een antwoordbestand

kunt maken met als voorbeeld Windows

10. Werkt dat ook met oudere versies van

Windows?

ßJa, de procedure is daarbij grotendeels

het zelfde. Maar een echt massale

her installatie van Windows 7 is echter

af te raden. De ondersteuning voor dat

besturingssysteem eindigt immers op 14

januari 2020 en dat is al binnen een jaar.

Cortana uitschakelen

? Ik werk niet met een Nederlandse

ver sie van Windows. Wat me bij mijn

herhaalde installaties nog meer stoort dan

altijd dezelfde muisklikken is het irritante

gebabbel van Cortana. Daar worden mijn

collega’s ook regelmatig gestoord van. Kan

ik Cortana met een antwoordbestand het

zwijgen opleggen?

ß Ja, dat kan. Er moet aan twee vereisten

worden voldaan. De eerste is dat in het

antwoordbestand ook echt alle vragen

van Cortana beantwoord worden. Dat zijn

dan alle vragen uit de OOBE-fase. Als je er

één weglaat, zoals het gebruikersaccount,

omdat dat elke keer een andere toewijzing

krijgt, klinkt de stem toch gewoon weer uit

de luidspreker.

Tweede voorwaarde: Windows mag tij-

dens de OOBE-fase geen online verbinding

tot stand brengen. Anders laat Cortana op

een gegeven moment opnieuw van zich

horen met de opmerking dat je een aan-

tal belangrijke stappen voor de installatie

moet uitvoeren, om dan toch gewoon door

te gaan zonder je tussenkomst. De enige

oplossing die we daarvoor vonden was de

netwerkverbinding verbreken.

Wat meer geïmproviseerd, maar ook

wel be trouwbaarder is het overigens om

een defecte koptelefoon aan te sluiten op

de hoofdtelefoonaansluiting.

Stick blijft booten

? Ik wil onbeheerd kunnen installeren

vanaf een stick, maar stuit daarbij

op een probleem: na de eerste herstart

start de pc opnieuw op vanaf de stick en

begint het installeren opnieuw. Als ik de

stick tijdens het opnieuw opstarten dan

verwijder, moet ik zelf weer vragen gaan

beantwoorden.

ß Omdat het bestand Autounattend.

xml tijdens het hele installatieproces

beschikbaar moet blijven, mag kun je

de stick niet zomaar verwijderen. De

oplossing werkt heel anders. Stel bij de

BIOS-instellingen de pc zodanig in dat hij

gaat opstarten vanaf de interne disk. Zorg

er indien nodig bij de BIOS-instellingen

voor dat het BIOS-opstartmenu na het

inschakelen kan worden opgeroepen.

Gebruik dat menu om de stick één keer te

starten.

Overigens gaat daar nog een valstrik

achter schuil. De UEFI-firmware van een

moderne pc kan immers niet alleen in de

UEFI- modus worden opgestart, maar heeft

ook een Compatibility Support Module

(CSM) om een klassieke BIOS-start te emu-

leren. Vaak kun je bij de BIOS- instellingen

aangeven of de pc via UEFI of op de klassie-

ke manier moet opstarten. Een Windows-

installatiestick kan beide.

Dat ziet de UEFI-firmware echter ook

en laat de stick dan twee keer zien in het

opstartmenu: eenmaal als UEFI en een-

maal als CSM-opstartmogelijkheid, ook al

is maar een van de twee ingesteld bij de

BIOS-instellingen.

Als je dan het item selecteert dat niet

overeenkomt met de instelling in het BIOS,

mislukt het installeren door het verkeerde

partitieschema (MBR in plaats van GPT of

omgekeerd). Dat blijkt dan doordat het in-

stallatieprogramma weigert om Windows

op de toegewezen doelpartitie te installe-

ren. Maar het kan ook zijn dat de pc her-

haaldelijk vanaf de stick gaat opstarten

omdat het Windows-installatieprogramma

voor het kopiëren van de image de schijf

eerst wil partitioneren. Wat dan vervol-

gens met het verkeerde schema gebeurt,

waardoor de pc niet meer kan opstarten.

Controleer in een dergelijk geval altijd de

instellingen van het BIOS.

Installatiesleutel

? Als ik een bepaalde editie wil voor-

selecteren, moet ik een bijpassende

sleutel opgeven in het antwoordbestand.

Maar ik ben er een beetje bang voor dat

Microsoft die sleutel bij herhaald gebruik

uiteindelijk een keer zal gaan blokkeren.

En daar kan ik me ook niet eens over gaan

beklagen, omdat ik mijn sleutel natuurlijk

sowieso eigenlijk niet mag gebruiken voor

meerdere installaties. Wat zijn dan de

mogelijkheden?

ß Je moet de sleutel na het installeren

van Windows inderdaad vervangen.

Maar je kunt je wel beschermen tegen

het blokkeren van een bepaalde sleu tel.

Gebruik gewoon een generieke installatie-

sleutel in plaats van een sleutel die je zelf

hebt aangeschaft.

Microsoft stelt dergelijke sleutels zelf

ter beschikking (zie voor een overzicht

de tabel hieronder). Daarmee kun je Win-

dows vervolgens gaan installeren, maar

dan (uiteraard) niet activeren. Wil je de

Windows-installatie langer gaan gebrui-

ken, dan moet je de sleutel later vervan-

gen door een eigen sleutel en Windows

op de officiële manier activeren. De sleu-

tels hieronder werken zowel voor de 32-

als de 64-bit varianten. (nkr) c

FAQ | Schlagwort

FAQ

Generieke sleutels

Editie Sleutel

Home YTMG3-N6DKC-DKB77-7M9GH-8HVX7

Home N 4CPRK-NM3K3-X6XXQ-RXX86-WXCHW

Pro VK7JG-NPHTM-C97JM-9MPGT-3V66T

Pro N 2B87N-8KFHP-DKV6R-Y2C8J-PKCKT

Pro for Workstations DXG7C-N36C4-C4HTG-X4T3X-2YV77

Pro N for Workstations WYPNQ-8C467-V2W6J-TX4WX-WT2RQ

Enterprise Eval 7HBDQ-QNKVG-K4RBF-HMBY6-YG9R6

Windows System Image ManagerAntwoorden op veelgestelde vragen

Pi-memberMeld je nu aan als

Pi-member en

geniet van vele voordelen

www.pistore.nl

Dé expert op het gebied van Raspberry Pi’sen toebehoren

70 c’t 2019, Nr. 3

Test | SATA-ssd's

SATA-ssd's in een 2,5"-behuizing

zijn redelijk goedkoop en standaard

voor desktop-pc's. Een SATA-ssd als

M.2-module is iets duurder, maar

past makkelijk in een notebook. Zijn

ze ook voor desktop-pc's een goede

keus?

Lutz Labs

De prijzen van ssd's gaan nog maar

één kant op: omlaag. Je kunt zelfs

voor minder dan honderd euro al

een 1TB-ssd van een bekend merk kopen.

Steeds meer pc-bezitters zullen hun harde

schijf met pensioen sturen. De meesten

kopen eenvoudigweg een 2,5-inch SATA-

ssd die op dezelfde kabel kan worden aan-

Ssd-tweestrijdSsd's met SATA-controller: een 2,5-inch model of een M.2?

gesloten als de oude harde schijf. Maar als

je moederbord een M.2-slot heeft, kun je

ook daar een ssd-module in plaatsen (zie

het artikel hierna voor een overzicht van

ssd-aansluitingen). PCIe-ssd's zijn nog

duurder dan SATA-ssd's en bieden in de

praktijk weinig meerwaarde. Bij veel moe-

derborden zijn M.2-SATA-ssd's optioneel.

Doorgaans zijn M.2-ssd's een paar euro

duurder dan vergelijkbare modellen in een

2,5"-uitvoering. Maar er wordt vaak be-

weerd dat ze de warmte die bij het schrij-

ven ontstaat niet zo goed kunnen afvoeren

als ssd's in een 2,5"-behuizing. Dat zou lei-

den tot mindere schrijfprestaties. Om dat

te testen, hebben we ssd's in beide uitvoe-

ringen van vier verschillende fabrikanten

in huis gehaald. Het gaat om modellen

met een capaciteit van ongeveer 500 GB:

de Crucial MX500, de Kingston UV500, de

Samsung 860 Evo en de WD Blue SSD.

M.2 versus 2,5-inchController, flashgeheugen en ook DRAM-

cache zijn voor beide uitvoeringen gelijk.

Bij de ssd's van Crucial en Kingston heeft

ook de firmware hetzelfde versienummer.

Het energieverbruik is bij de ssd's van

Samsung en WD ook hetzelfde. Dat heb-

ben we gemeten met de M.2-ssd's in een

SATA-adapter, die ongeveer 60 mW ver-

bruikt. Bij Crucial en Kingston hebben de

M.2-uitvoeringen tot 800 mW meer nodig

bij lezen en schrijven.

BenchmarksBij de benchmarks vallen de verschillen

tussen uitvoeringen in een 2,5"-behuizing

71c’t 2019, Nr. 3

Test | SATA-ssd's

en als M.2-module binnen de foutmarge.

Bij het lezen zitten bijna alle ssd's daarbij

tegen de SATA-limiet aan van 560 MB/s

– alleen de UV500 is met 540 MB/s iets

langzamer.

Bij het schrijven worden de verschil-

len echter groter. Als de SLC-cache vol is,

zakken de snelheden naar wat het flash-

geheugen en de controller daadwerkelijk

presteren. Dat is vooral bij de UV500 ma-

gertjes: 200 MB/s is erg weinig voor een

ssd. De Blue-modellen komen tot circa 430

MB/s, de MX500 en 860 Evo halen 520 res-

pectievelijk 540 MB/s (allemaal gemeten na

een minuut schrijven).

De waarden voor toegang tot wille-

keurige adressen zitten bij de MX500, 860

Evo en Blue SSD eveneens bovenin het

SATA-bereik. De UV500 valt ook hier wat

tegen, maar is altijd nog veel sneller dan

een harde schijf.

Warmlopers

Maar dan het belangrijkste punt: het op-

warmen. Remmen de M.2-ssd's daardoor

meer af of niet?

Cooling-downDe M.2-ssd Crucial MX500 houdt zijn schrijfsnelheid van bijna 500 MB/s lang vol, maar na 10 minuten remt hij toch af tot rond 300 MB/s.

0

100

200

300

400

500

600

700

Schr

ijfsn

elhe

id [M

B/s]

120010008006004002000

20

30

40

50

60

70

80

90

Tem

pera

tuur

[°C]

Tijd [s]

SATA-ssd's in 2,5"-behuizing en als M.2-module

Seq. snelheden schrijven/lezen1 [MB/s] IOPS schrijven/lezen2 Energieverbruik3 [W]

beter > beter > < beter

Crucial MX500 2,5"

Crucial MX500 M.2

Kingston UV500 2,5"

Kingston UV500 M.2

Samsung 860 Evo 2,5"

Samsung 860 Evo M.2

WD Blue SSD 2,5"

WD Blue SSD M.2

1 gemeten met IOmeter, blokgrootte 128 KB 2 gemeten met IOmeter, blokgrootte 4 KB, metingen met 8 GB groot bestand 3 idle met LPM/idle/lezen/schrijven

Crucial MX500

Crucial gebruikt flashgeheugen van

moederbedrijf Micron. Dat is blijk-

baar een voordelige optie, want de

prijzen voor de MX500 zijn de laag-

ste in deze test.

Bij de prestaties hoeft de MX500

zich echter niet te schamen: bij het

lezen en schrijven doet de ssd mee

aan de top. Het afremmen van de

M.2-uitvoering bij hoge belasting

of langdurig schrijven is vooral een

theoretisch probleem. In de praktijk

zal dat zelden voorkomen. Het enige

minpunt is eigenlijk het ietwat hoge

energieverbruik van de M.2-uitvoe-

ring van de ssd.

 snel

 Bitlocker-compatibel

  hoog energieverbruik

In principe is dat geen probleem: alleen

als je regelmatig meerdere honderden

gigabytes naar de ssd kopieert of toepas-

singen gebruikt die grote hoeveelheden

data schrijven (zoals bij videobewerking),

zul je merken dat sommige ssd's afrem-

men. Voor andere gebruikers is dat niet

relevant.

Naast de gebruikelijke benchmarks,

hebben we de ssd's getest in een gesloten

pc-behuizing waarin ook een Radeon RX

570 werd verhit door Furmark te draaien.

Het M.2-slot van ons moederbord be vond

zich direct onder de grafische kaart, zodat

de ssd ook zonder belasting al goed was

opgewarmd.

Volgens de SMART-gegevens lagen de

temperaturen al na enkele minuten idle

tussen de 47 °C (860 Evo) en 66 °C (MX500).

Daarna werden de ssd's belast met schrijf-

activiteiten. Dat zorgde bij de Blue SSD

voor een lichte daling van de schrijfsnel-

heid tot 410 MB/s, maar bij de MX500 tot

slechts 300 MB/s. De 860 Evo bleef schrij-

ven met 490 MB/s, terwijl bij de UV500 de

snelheid zakte van 200 naar 170 MB/s.

Vergelijkbare resultaten zagen we

toen we de ssd's zonder verhitte grafische

kaart langere tijd belastten. Na een duur-

test van meer dan 10 minuten daalde de

schrijfsnelheid van de MX500 naar circa

300 MB/s, waardoor de ssd wat afkoelde

en daarna weer korte tijd sneller schreef.

Na 20 minuten moesten we de test stop-

pen omdat de 500GB-ssd vol was. De ge-

middelde schrijfsnelheid was 400 MB/s.

De Blue SSD en de UV500 vertraagden

bij de duurtest met circa 30 MB/s, de 860

Evo bleef constant.

Ook de 2,5"-uitvoeringen hebben we

getest in de gesloten pc-behuizing. De ssd

bevond zich daarbij in de buurt van de I/O-

plaat achterop het moederbord. Bij zware

belasting steeg de temperatuur daarvan

circa 6 °C. Een temperatuurafhankelijke

snelheidsdaling konden we daarbij niet

ontdekken.

Conclusie

Het prijsverschil tussen verder identieke

2,5"- en M.2-ssd's is hooguit 6 euro. Als

je echt wilt beknibbelen, ga je voor de

2,5"-versie. Maar als je een opgeruim-

de pc-behuizing wilt en een geschikt

518/563

521/564

210/540

203/543

533/563

534/564

426/563

440/563

0/0,5/1,9/2,5

0,1/0,6/2,8/2,9

0,2/0,9/2/2,1

0,3/1/2,3/2,5

0/0,1/1,7/1,8

0,2/0,3/1,7/1,9

0/0,4/1,9/2,1

0,1/0,5/2,1/2,3

88186/99012

76781/99598

39934/58467

39645/55135

88307/96358

88236/98619

56997/96799

56392/96361

72 c’t 2019, Nr. 3

Test | SATA-ssd's

SATA-ssd's in 2,5"-behuizing en als M.2-module

Model MX500 MX500 M.2 UV500 UV500 M.2 860 Evo 860 Evo M.2 Blue Blue M.2

Fabrikant Crucial, www.crucial.com

Crucial, www.crucial.com

Kingston, www.kingston.com

Kingston, www.kingston.com

Samsung, www.samsung.com

Samsung, www.samsung.com

WD, www.wdc.com

WD, www.wdc.com

Typenummer CT500MX500SSD1 CT500MX500SSD4 SUV500/480G SUV500M8/480G MZ-76E500 MZ-N6E500 WDS500G2B0A WDC WDS500G2B0B

Capaciteit volgens fabrikant1

500 GB 500 GB 480 GB 480 GB 500 GB 500 GB 500 GB 500 GB

Door Windows herkende capaciteit

466 GB 466 GB 447 GB 447 GB 466 GB 466 GB 466 GB 466 GB

Uitvoering 2,5" M.2 2280 2,5" M.2 2280 2,5" M.2 2280 2,5" M.2 2280

Garantie 5 jaar 5 jaar 5 jaar 5 jaar 5 jaar 5 jaar 3 jaar 3 jaar

Prijs per gigabyte 15 ct 15 ct 17 ct 18 ct 17 ct 19 ct 17 ct 17 ct

Winkelprijs € 75 € 75 € 83 € 85 € 87 € 95 € 83 € 83

Andere beschikbare capaciteiten

250 GB (€ 49), 1 TB (€ 139), 2 TB (€ 300)

250 GB (€ 50), 1 TB (€ 145)

120 GB (€ 35), 240 GB (€ 49), 960 GB (€ 170), 1,92 TB (€ 350)

120 GB (€ 33), 240 GB (€ 50), 960 GB (€ 185)

250 GB (€ 63), 1 TB (€ 165), 2 TB (€ 350), 4 TB (€ 670)

250 GB (€ 65), 1 TB (€ 170), 2 TB (€ 350)

250 GB (€ 53), 1 TB (€ 155), 2 TB (€ 335)

250 GB (€ 54), 1 TB (€ 155), 2 TB (€ 340)

1 Fabrikanten rekenen met 1 GB = 1.000.000.000 bytes. Windows gaat echter uit van 1 GB = 1.073.741.824 bytes, de getoonde capaziteit is dan ook kleiner. 2 Opgaaf fabrikant

Kingston UV500

Kingston is een van de grootste aan-

bieders van ssd's met flashgeheugen

van derden. Het maakt zelf geen flash-

geheugen. Qua prijs zitten de ssd's wel

in het bovensegment van deze test,

ook al heeft Kingston bespaard door

DRAM-cache achterwege te laten.

De UV500-modellen zijn snel bij

het lezen, maar de SLC-cache is te

klein. Na enkele gigabytes zakt de

schrijfsnelheid naar ongeveer 200

MB/s. Dat kan eigenlijk niet liggen

aan het Toshiba-flashgeheugen of de

controller, want WD gebruikt dezelfde

componenten.

  Bitlocker-compatibel

  langzaam bij schrijven

  dure M.2-uitvoering

Samsung 860 Evo

Als je veel opslagruimte nodig hebt,

zit je goed bij de 860 Evo. De M.2-

uitvoering is er tot 2 TB, de 2,5"-versie

zelfs tot 4 TB. Samsung gebruikt niet

alleen eigen flashgeheugen, maar ook

een eigen controller en DRAM van ei-

gen makelij.

De 860's zijn niet alleen snel bij

lezen, maar ook bij schrijven. Pas na

circa 3 minuten is de SLC-cache vol

en remmen de ssd's af naar bijna 500

MB/s. Zelfs de warmte van de grafi-

sche kaart heeft geen invloed op de

M.2-uitvoering, de schrijfsnelheid blijft

constant.

  snel

  Bitlocker-compatibel

  hoge endurance

WD Blue SSD

WD gebruikt bij deze ssd's uit de

Blue-serie dezelfde componenten als

Kingston bij de UV500, maar voegt

daar nog DRAM-cache aan toe. Dat

zorgt vooral bij het schrijven voor be-

tere resultaten. De schrijfsnelheid van

de M.2-uitvoering wordt na korte tijd

weliswaar zo'n 30 MB/s lager, maar

met meer dan 400 MB/s schrijft de

ssd nog steeds lekker snel.

Als enige ssd in deze test kan

de Blue SSD niet worden gecombi-

neerd met Windows Bitlocker omdat

hij geen hardware-encryptie onder-

steunt.

  idle zuinig

  hoge snelheid

  korte garantietermijn

moederbord hebt, kun je zonder voorbe-

houd kiezen voor een M.2-sdd. De presta-

ties zijn hetzelfde.

Het snelst, ook bij hoge belasting, is

de 860 Evo van Samsung, gevolgd door

de MX500. Dat de M.2-uitvoeringen daar-

van bij langdurige belasting iets langza-

mer schrijven, zal in de praktijk verder

niets uitmaken. Ook de Blue SSD kan

goed meekomen, maar de UV500 is bij

schrijven te langzaam. Voor gebruik in

een notebook is de MX500 door het hoge

energieverbruik minder geschikt. Dan

kun je beter een M.2-ssd van Samsung

of WD nemen. (mdt) c

Bestel jouw magazine op: www.fnl.nl

Maak kennis metmeer tijdschriften

74 c’t 2019, Nr. 3

Achtergrond | Ssd-aansluitingen

Om een desktop-pc te upgraden

wordt vaak een SATA-ssd in een

2,5"-uitvoering gebruikt. Maar als

je moederbord meewerkt zijn er

alternatieven. Een compleet

overzicht.

Lutz Labs

Ssd's zijn er niet alleen met een

SATA- aansluiting en met het for-

maat van een harde schijf voor

een notebook, maar in allerlei andere

uitvoeringen. Sommige zijn goede al-

ternatieven voor een standaard 2,5"-uit-

voering, andere zijn speciaal voor servers

bedoeld.

De laagste prijzen en het grootste

aanbod vind je nog altijd bij ssd's in

2,5"-formaat, maar de prijzen voor M.2-

ssd's met SATA-controllers zijn bijna op

hetzelfde niveau beland (zie het vorige

artikel). Dergelijke M.2-ssd's zijn net zo

snel als 2,5-inch ssd's of mSATA-modules

(zie verderop). Een M.2-module kun je

echter niet zomaar aanschaffen, want

daarvan bestaan verschillende uitvoerin-

gen. Die moeten qua lengte bijvoorbeeld

passen bij het moederbord: bij M.2 zijn er

vier posities voor de bevestigingsschroef

voor de formaten 2242, 2260, 2280 en

22110. Gangbaar is vooral het formaat

2280, met een breedte van 22 millimeter

en een lengte van 80 millimeter.

Mechanisch passen meestal zowel

M.2-SATA-ssd's als de vergelijkbare mo-

dellen met een PCIe-interface in de slots

op het moederbord. Maar daar waar op

moederborden steeds vaker alleen M.2-

ssd's met een PCIe-controller het doen, is

dat bij NAS-behuizingen andersom. Daar-

in werken vaak alleen M.2-sdd's met een

SATA-controller. PCIe-ssd's zijn sneller en

kunnen tot vier PCIe-3.0-lanes gebruiken

voor werkelijke snelheden tot 3,6 GB/s. Bij

Ssd-aansluitingen vergelekenSATA, PCIe en M.2: connectors, protocollen en snelheden

Snelheidsvergelijking SATA-ssd's versus PCIe-ssd's

Sequentiële snelheden schrijven/lezen [MB/s] IOPS schrijven/lezen

besser > besser >

Samsung 970 Pro (PCIe)

Samsung 860 Pro (SATA)

SATA is het maximum haalbare 560 MB/s.

Een ander verschil zit hem in het protocol.

Terwijl SATA-ssd's AHCI gebruiken, werken

moderne PCIe-ssd's met NVMe (Non Vola-

tile Memory Express). Het NVMe-protocol

kan heel veel aanvragen tegelijkertijd af-

handelen, maar bij AHCI is dat beperkt

tot 32. Bij dagelijkse werkzaamheden op

je pc zul je dat verschil echter nauwelijks

merken. Het is vooral een voordeel bij

servertoepassingen die erg veel min of

meer gelijktijdige opdrachten naar een

ssd sturen.

PCIe-3.0-ssd's werken daarbij ook op

moederborden met alleen PCIe 2.0, maar

dan wel langzamer. Voor SATA-ssd's in

een 2,5-inch behuizing geldt iets verge-

lijkbaars: die werken ook (zij het lang-

zamer) met een erg oud moederborden

dat alleen SATA-II-poorten heeft.

Op sommige moederborden staat de

tekst 'Intel Optane Memory Ready' bij het

M.2-slot. Dergelijke slots zijn niet alleen

geschikt voor gewone ssd's, maar ook

voor de Optane-versneller van Intel (zie

voor meer ihnformatie c't 7-8 van 2017

op pagina 33).

PCIe-kaarten en U.2-ssd'sPCIe-ssd's zijn er ook in andere uitvoe-

ringen, zowel in een 2,5-inch behuizing

met 15 millimeter inbouwhoogte als een

module voor in een normaal PCIe-slot. Bij

het laatstgenoemde type kunnen tot 16

PCIe-lanes worden gebruikt – die zijn dus

vooral geschikt voor gebruik in servers.

Verder kun je met een adapterkaart van

enkele euro's een M.2-ssd in een PCIe-slot

gebruiken bij moederborden die geen

geschikt M.2-slot (vrij) hebben. Een be-

sturingssysteem daarvan opstarten lukt

echter alleen in speciale gevallen.

U.2-ssd's met 2,5"-behuizing en SFF-

8634-stekker worden eigenlijk bijna al-

leen bij servers gebruikt. Er zijn adapters

waarmee je een U.2-ssd via een M.2-slot

kunt aansluiten (zie c't 7-8 van 2018 op

pagina 32), maar omdat U.2-ssd's erg

duur zijn, is gebruik in een desktop-pc

zelden de moeite waard.

Oudere typen …Een model dat je vroeger vaak tegen-

kwam is de mSATA-ssd. Die zijn wat

breder dan M.2-ssd's en worden vooral

gebruikt bij notebooks. Die zijn alleen

interessant voor het upgraden van oude

systemen, want moderne moederborden

en recente notebooks hebben daar geen

aansluiting voor.

Daarnaast zit er soms op een oudere

moeder bord nog een interface met de

naam SATA Express. Dat moest de opvol-

ger worden van SATA en dubbele snel-

heden bieden, maar geschikte ssd's zijn

daar nooit voor verschenen.

… en nieuwerePCIe-sdd's in M.2-formaat zijn op dit mo-

ment nog maar net in opkomst, maar

een opvolger staat inmiddels al in de

startblokken: M.3 oftewel NF1. Die ssd's

zijn iets breder dan M.2-ssd's, zodat fa-

brikanten twee flashchips naast elkaar

kwijt kunnen en de capaciteit van ssd's

daardoor vergroten. M.3-ssd's zullen om

te beginnen bij servers worden ingezet,

moederborden met M.3-slots hebben we

nog niet gezien. Ze gebruiken net als M.2-

PCIe-slots tot vier PCIe-lanes.

Intel heeft daarnaast ook lineaal-

vormige ssd's laten zien met een lengte

tot 30 cm. Die 'ruler'-ssd's zijn ook ont-

worpen voor gebruik in servers en voor-

bereid op de komende PCIe-standaarden

4.0 en 5.0. Er moeten er 32 passen in een

standaard 19"-rack met een hoogte van

1HE en ze kunnen tijdens het gebruik ver-

vangen worden. (mdt) c

3260/3586

540/560

470000/580000

89000/99000

75c’t 2019, Nr. 3

Achtergrond | Ssd-aansluitingen

De klassieker: 2,5-inch ssd met SATA-aansluiting, goedkoop en snel.

Op sommige oudere moederborden zit een aansluiting voor SATA-Express-stations met twee connectoren. Die zijn er helemaal niet, maar je kunt er ook twee SATA-stations op aansluiten.

PCIe-ssd voor server: die ssd is voorzien van het snelle Optane-geheugen van Intel en vooral geschikt voor databasetoepassingen.

SATA-ssd in M.2-uitvoering met twee nokjes in de connector.

Snelle PCIe-ssd's herken je aan de enkele inkeping in de connector. PCIe-ssd's die maar twee lanes gebruiken hebben meestal ook twee inkepingen.

Maar weinig moederborden hebben een aansluiting voor U.2-ssd's met 2,5"-behuizing. Met een adapter zoals deze voor het M.2-slot kun je ze toch aansluiten.

Vaak bevinden de M.2-slots op een moederbord zich tussen de PCIe-slots. Het hier afgebeelde slot is ook geschikt voor Intels systeem-versneller Optane Memory.

Een mSATA-ssd voor oudere notebooks. Nieuwere modellen of moederborden hebben daar zelden een geschikte aansluiting voor.

Aansluitingen voor SATA- en PCIe-ssd's

c’t 2019, Nr. 376

Fouten horen bij AI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Praktijkproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Structurele fouten van neurale netwerken . . . . . . . . . . . 82

Knowhow | Feilbare AI

Neuronale denkfoutenKunstmatige intelligentie: te naïef om slim te zijn

De droom dat de techniek qua in-

telligentie gelijk of zelfs superieur

is aan mensen, leek nog nooit zo

dichtbij. Algoritmes herkennen niet alleen

objecten in foto's, maar fungeren ook als

personal assistant, verslaan de wereld-

kampioenen in strategiespellen die veel

te complex zijn voor normaal begaafde

mensen, en componeren, schilderen en

schrijven verhalen.

Vaak hebben ze zelfs geen menselijke

voorbeelden meer nodig. De nieuwste

versie van AlphaGo van Google-dochter

Deepmind heeft het Aziatische bordspel

Go niet zoals tot nu toe gebruikelijk ge-

leerd door menselijke matches te bestu-

deren, maar van de grond af aan door met

een kloon van zichzelf te trainen.

Kunstmatige naïviteitMaar niet elke harde training verhoogt

de intelligentie. Kunstmatige neurale

netwerken maken soms fouten die er zo

dom uitzien dat een menselijke toeschou-

wer daar gewoon niets van begrijpt. Veel

fouten zijn grappig. Er zijn hele blogs aan

gewijd, met bijvoorbeeld de geniaal mis-

lukte face-swap-AI die het gezicht van een

baby verving door de draaiknoppen van

een fornuis in plaats van door het gezicht

van de vader. Andere hebben ernstigere

gevolgen, zoals AI-systemen voor sollici-

Fo

to:

Fa

il B

log

Fout in de Face-Swap-AI: punt, punt, komma, streep – en klaar is het fornuis-gezicht.

Kunstmatige neurale netwerken (KNN)

bestaan uit verschillende lagen neuro-

nen, die zijn verbonden via synapsen.

Het menselijke origineel reageert op een

stimulus met chemische en elektrische

reacties, maar de kunstmatige neuro-

nen werken met eenvoudige wiskundige

functies om stimuli via de synapsen te

verspreiden naar de neuronen van de

volgende laag.

Op basis van gecategoriseerde ge-

gevens, bijvoorbeeld foto's of eenvou-

dige zinnen, en een feedbackfunctie

leert een KNN in talloze pogingen de

parameters van zijn basisfuncties zo

aan te passen dat het de input steeds

beter kan interpreteren. Voor spraak-

herkenning worden filters gemaakt die

geluidsfrequenties koppelen aan let-

ters, lettergrepen en opeenvolgende

woorden. Voor objectherkenning maakt

het bijvoorbeeld functies die randen en

patronen detecteren en deze in diepere

lagen combineren tot specifieke delen

van een object. Daarbij gaat het niet om

harde resultaten, maar om voorspellin-

gen. Het systeem geeft een prognose

over de waarschijnlijkheid dat er een

mens, een hond of een auto op een af-

beelding te zien is.

Voor het trainen van dergelijke

constructen zijn duizenden gecategori-

seerde records nodig, records met de

input en het gewenste resultaat. We

hebben het dan over begeleid leren. Die

netwerken zijn zeer specifiek en door

AI-deskundigen met de hand toegesne-

den op de betreffende toepassing. Een

neuraal netwerk voor beeldherkenning

kan dus niet eenvoudig omgetraind wor-

den voor spraakherkenning door het te

voeden met spraakmonsters. Het doel

van AI-onderzoekers is om onbegeleid

leren te verbeteren, om de afhankelijk-

heid van gecategoriseerde datasets in

de toekomst te verminderen.

Trainingskamp

In de race van de mens tegen de artificiële intelligentie slaat Homo

sapiens bijna dagelijks een toch wel treurig figuur. Toch zijn de meeste

succesverhalen oppervlakkig en wordt verzwegen waar er overal nog

problemen zijn. Er zijn nog zoveel vragen waarop de technologie van

vandaag geen antwoord heeft.

Andrea Trinkwalder

tatiebeheer, en natuurlijk autonome voer-

tuigen die een verkeerssituatie verkeerd

beoordelen.

Terwijl wetenschappers nog steeds

intensief op zoek zijn naar manieren om

de besluiten van machinaal getrainde

systemen transparanter te maken, lopen

er in de praktijk al jaren intensieve tests,

zoals een blik naar de VS leert. Algoritmes

geven daar sociale voorspellingen over

daders en selecteren sollicitanten, vaak

ten nadele van sociaal zwakkere groepen.

Critici vrezen daarom dat zwaar bevochten

verworvenheden als de gelijke behande-

ling van mensen ongeacht geslacht en

herkomst, door de zogenaamd neutrale

techniek zachtjesaan weer verloren gaat.

Dat kunstmatige neurale netwerken

niet steeds de resultaten leveren die men-

sen verwachten, heeft verschillende oor-

zaken. De fout ligt vaak bij de trainings-

gegevens die het netwerk niet helpen

om juist die vaardigheden te trainen die

het nodig heeft om het probleem op te

lossen.

Maar het ligt ook aan de architectuur

zelf, die nog niet bij benadering gelijk is

aan de complexe interactie tussen men-

selijke neuronen en synapsen. Daarom

leren mensen veel efficiënter dan een

AI, denken ze in logische samenhangen

in plaats van alleen in patronen en kun-

nen ze omgaan met humor en schijnbare

onzin. Een machinaal getraind beeldher-

kenningssysteem kan echter volledig van

slag raken door vreemde scènes. Als je bij-

voorbeeld een giraf in een woonkamerfo-

to monteert, lijdt de nauwkeurigheid van

de objectdetectie daaronder.

Hoe de vele kleine en grote proble-

men ervoor kunnen zorgen dat een AI in

de praktijk foutgevoelig of zelfs onbruik-

baar is, lees je in het volgende artikel.

Waarom met de huidige stand van zaken

de grondbeginselen van het menselijk

denken niet gesimuleerd kunnen worden,

lees je in het artikel daarna. (nkr) c

77c’t 2019, Nr. 3

Knowhow | Feilbare AI

78 c’t 2019, Nr. 3

Knowhow | Feilbare AI: in de praktijk

Kunstmatig vergissenWaar kunstmatige intelligentie nog tekortschiet

Machineleren ziet er vaak uit als

magie en wordt daarom vaak ver-

kocht als kunstmatige intelligentie.

Maar ontzag daarvoor is nog steeds

misplaatst. Voor elke toepassing

moet onderzocht worden of de

procedure werkelijk de vermeende

voordelen oplevert en of de moge-

lijke schade niet groter is.

Andrea Trinkwalder

Omdat kunstmatige neurale net­

werken in specifieke disciplines

veel succes hebben, groeit de

droom over een kunstmatige intelligentie

die minder vooroordelen heeft dan een

personeelsfunctionaris, kinderen individu­

eler begeleidt dan een leraar, diagnoses

beter stelt dan een dokter en auto's beter

bestuurt dan een mens.

De reclames voor dergelijke functies

vermelden een indrukwekkende hoeveel­

heid trainingsgegevens en een niet min­

der indrukwekkend aantal verbanden die

het algoritme automatisch in de gegevens

gevonden zou hebben. Daarbovenop een

hoge nauwkeurigheid, en dan is het beeld

rond van een neutrale, intelligente en be­

trouwbare AI.

Maar vaak verhullen de getallen het

zicht op waar het echt om gaat. De enor­

me hoeveelheid trainingsgegevens is geen

garantie, het is de kwaliteit ervan die de

doorslag geeft. De relaties die een neuraal

netwerk identificeert zijn alleen correlaties

– die kunnen geldig zijn, maar dat hoeft

niet. En zelfs een extreem hoge precisie

van 99 procent kan afhankelijk van de toe­

passing onaanvaardbaar zijn.

Hoe neutraal is AI?Alleen als een steekproef groot genoeg is

en de betreffende categorie in al zijn fa­

cetten vertegenwoordigt, helpen die gege­

vens een neuraal netwerk karakteristieke

kenmerken en patronen te vinden en deze

het juiste gewicht te geven. Afhankelijk van

het toepassingsgebied kan het eenvoudig,

nogal lastig of gewoon onmogelijk zijn om

een kwalitatief hoogwaardige en uitgeba­

lanceerde steekproef te krijgen die groot

genoeg is.

Bij de beroemde kattendetector van

Google werkte dat perfect, maar bij foto's

van mensen begonnen de problemen al.

Toch is er op het internet bepaald geen

tekort aan foto's waar mensen op staan.

Het probleem is dat in die enorme col­

lectie foto's, mannen met een lichte huid

domineren en gekleurde mensen sterk

ondervertegenwoordigd zijn. Als een pro­

vider bijvoorbeeld de eerste 100.000 resul­

taten van de fotozoekvraag 'mens' neemt

en zijn kunstmatig neuraal netwerk daar­

mee traint, vat dit de lichte huidskleur ten

onrechte op als een van de belangrijkste

kenmerken van een mens. Als het systeem

ook wordt getraind in het detecteren van

gorilla's, zal het netwerk een zwart gezicht

beschouwen als een zeer sterke indicatie

79c’t 2019, Nr. 3

Knowhow | Feilbare AI: in de praktijk

Bro

n:

Ge

nd

er

Sh

ad

es P

roje

ct,

MIT

Me

dia

La

b

Biasdetector: Het 'Gender Shades Project' van het MIT Media Lab heeft een steekproef samengesteld waarmee de nauwkeurigheid van gezichtsherken-ning-AI's heel gedifferentieerd getest kan worden volgens subgroepen.

van een gorilla. De 'racistische' AI is daar­

mee geboren.

Die blooper overkwam Google bij de

automatische trefwoordentoekenning in

de clouddienst Google Foto's, maar ook

de gezichtsherkenningssoftware van Mi­

crosoft en IBM liet in een studie van de

onderzoekster Joy Buolamwini (MIT Media

Lab) hogere foutpercentages zien bij men­

sen met een donkere huidskleur. Overigens

worstelt Google nog steeds met dat pro­

bleem. De categorieën 'gorilla' en 'aap' zijn

al drie jaar uitgeschakeld, in plaats daarvan

laat Google een pedagogisch waardevolle

verklarende video zien die begrip vraagt

voor het verschijnsel van steekproefverte­

kening.

Dergelijke verstoringen noemen we

een vooroordeel of bias. In het beste geval

is een bias eenvoudig te herkennen en snel

te verhelpen. In het ergste geval wordt hij

te laat herkend, bijvoorbeeld wanneer de

AI al heeft geleid tot verkeerde beslissin­

gen. In het ergste geval wordt de bias niet

herkend en/of kunnen de gegevens niet

voldoende geneutraliseerd worden.

Er is geen gebrek aan ontspoorde

trainingen en onderzoekers ontwikkelen

steeds meer methoden om de oorzaken

daarvan te detecteren en te visualise­

ren. Marco Tulio Ribeiro (Universiteit van

Washing ton) en zijn wetenschappelijke

team ontdekten met hun analyseproce­

dure LIME dat een kunstmatig neuraal net­

werk op basis van foto's van husky's alleen

geleerd had om sneeuw te herkennen. Een

ander systeem bleef bij het leren van het

concept trein volledig blind voor locomo­

tieven en wagons. In plaats daarvan sloeg

het alleen aan op perrons en sporen. Fou­

ten die zelfs een peuter nooit zou maken.

Ook daarom is het vaak zo moeilijk voor

ontwikkelaars om bias in trainingsgege­

vens van tevoren te vermijden.

Bias herkend, fout afgewend?Uit sollicitatiebrieven en andere tekstdo­

cumenten kunnen geslacht en naam mak­

kelijk verwijderd worden. De resultaten zijn

schijnbaar neutrale trainingsgegevens, die

vrouwen of mensen met een migratieach­

tergrond niet benadelen. Maar veel gege­

vens zitten zo vol verraderlijke kenmerken

als woonwijk, een school voor meisjes of

jongens enzovoort, dat de gegevens niet

goed geneutraliseerd kunnen worden zon­

der ze geheel waardeloos te maken.

Dat is ook de reden dat Amazon een

intern ontwikkelde AI voor het selecteren

van sollicitanten weer heeft teruggetrok­

ken. Hij werd getraind met de gegevens

van mensen die in het verleden met suc­

ces bij Amazon gesolliciteerd hadden. Het

doel was om uit een grote hoeveelheid

sollicitanten automatisch de vijf beste kan­

didaten te filteren. Maar het algoritme gaf

niet alleen systematisch de voorkeur aan

mannen, maar stelde ook volstrekt onge­

kwalificeerde sollicitanten voor. Blijkbaar

had de AI, die getraind werd met sollici­

tatiegegevens van overwegend mannen,

de aanwijzingen voor een mannelijke

kandidaat zo sterk meegewogen dat zelfs

beroepskwalificaties het daartegen moes­

ten afleggen. Het is frappant dat ook in

dat geval de gegevens blijkbaar niet goed

voorbereid konden worden. Volgens Ama­

zon heeft de aanbeveling van de AI ove­

rigens nooit geleid tot het aannemen of

afwijzen van een sollicitant.

Sommige onderzoeken suggereren

dan ook dat machinaal getrainde syste­

men stereotypen zelfs versterken. Een AI

voor scèneherkenning had bijvoorbeeld

de neiging om mensen in een keuken

als vrouw te taggen, zelfs als het om een

man ging. En een AI die bij elkaar horende

woorden uit teksten moest halen, associ­

eerde 'vrouw' met klassieke vrouwelijke

bezigheden en hobby's en 'man' met tra­

ditioneel mannelijke. Onderzoekers zijn

daarom bezorgd dat de zwaarbevochten

sociale vooruitgang, zoals gelijke kansen

voor mensen ongeacht geslacht en her­

komst, ondermijnd kan worden als de

zogenaamd neutrale machinale beslissers

invloed krijgen op steeds meer terreinen

van het maatschappelijke leven.

Konrad Lischka, die het project 'Ethiek

van algoritmen' leidt bij de Bertelsmann­

stichting, kent de risico's van het gebruik

van algoritmen bij het selecteren van sol­

licitanten. Het is zonder meer mogelijk dat

mensen die tot nu toe door menselijke be­

slissers niet gesorteerd werden op basis

van leeftijd, geslacht of afkomst, een kans

krijgen door een daadwerkelijk neutraal

algoritme. Je moet daarbij wel bedenken

dat bij grootschalig gebruik van dergelijke

systemen een uniforme sortering kan op­

treden die bepaalde mensen naar de zijlijn

verwijst, waar ze dan ook blijven.

Economisch psycholoog professor

Uwe Peter Kanning, die aan de Universiteit

Osnabrück sollicitatieprocedures evalueert,

bekritiseert de magere wetenschappelijke

onderbouwing van de meeste AI­metho­

den, vooral wanneer die proberen de per­

soonlijkheid van een sollicitant af te leiden

van taalgebruik of een video­analyse.

Het programma Precire belooft bij­

voorbeeld de persoonlijkheid van een sol­

licitant vast te kunnen stellen aan de hand

van 15 minuten aan stemmonsters. Het

systeem is getraind met stemsamples en

eerder ingevulde persoonlijkheidsvragen­

lijsten van een paar duizend proefperso­

nen. Het systeem heeft daardoor geleerd

om spraakkenmerken zo te verwerken

en te wegen dat het de resultaten van de

persoonlijkheidstests uiteindelijk kon voor­

spellen – bepaalde karaktertrekken met

een grotere en andere met een kleinere

nauwkeurigheid.

In een interview bekritiseert Kan­

ning de fundamentele gebreken van de

80 c’t 2019, Nr. 3

Knowhow | Feilbare AI: in de praktijk

Dit neurale netwerk heeft duidelijk aan de hand van fotovoorbeelden geleerd dat vrouwen in de keuken horen. Daarom komt het in de problemen wanneer er een man aan het fornuis staat.

Bro

n:

Do

min

ik G

ers

tne

r, M

PIC

C

Het programma Precobs waarschuwt als inbraken

zich in een bepaald gebied vaker voordoen.

Bro

n:

Jie

yu

Zh

ao

et

al.

, U

niv

ers

ity

of

Vir

gin

ia

aanpak. Het is moeilijk om uit individuele

karaktertrekken zoals nauwgezetheid en

extravertheid te concluderen of een werk­

nemer succes heeft in zijn beroepsleven.

De fabrikant van Precire heeft dergelijke

effecten ook nog niet aangetoond. Een

intelligentietest heeft echter wel een zeer

grote voorspellende kracht voor profes­

sioneel succes, maar wordt slechts zelden

toegepast.

In elk geval heeft het volgens Kan­

ning geen zin om de resultaten van een

persoonlijkheidsenquête te benaderen

via de omweg van spraakanalyse. Omdat

de spraakanalyse persoonlijkheidstrekken

slechts gebrekkig kan verklaren, volgens

de fabrikant voor ongeveer 50 procent en

de cijfers uit onderzoek zijn nog aanzienlijk

lager, is een vragenlijst duidelijk veel beter

dan spraakanalyse. Met betrekking tot een

prognose van de beroepsmatige prestaties

is een vragenlijst dubbel zo goed, en dat

alleen als de informatie van de fabrikant

klopt. Onderzoek leidt echter tot de ver­

wachting dat een vragenlijst zelfs tot tien

keer beter scoort dan een spraakanalyse.

Doorgetraind, maar nutteloosOok op andere terreinen ontbreekt het

vaak aan onafhankelijke studies die de

doeltreffendheid van een methode aanto­

nen. Soms moeten zelfs de samenhangen

waarop gegevensgestuurde modellen zich

baseren nog wetenschappelijk gecontro­

leerd worden.

De studie van Dominik Gerstner van

het Max Planck Institute for Foreign and

International Criminal Law (MPICC) biedt

bijvoorbeeld een zeer gedifferentieerd

beeld van de effectiviteit van de predictive­

policing­software Precobs. Precobs wordt

in sommige steden gebruikt ofwel getest

om inbraken te voorkomen. De software

is gebaseerd op een sterke theoretische

basis. Diverse wetenschappers hebben

aangetoond dat op een handeling vaak

binnen een korte tijd en relatief dichtbij an­

dere handelingen volgen, de zogenaamde

near repeats. Precobs zoekt naar dergelij­

ke patronen en waarschuwt automatisch

wanneer vanuit één deel van een stad ver­

schillende inbraken worden gemeld.

De onderzoekers van het MPICC kwa­

men tot de conclusie dat de software daad­

werkelijk doet wat het belooft: hij herkent

near­repeat­gebieden. Doorslaggevend

is echter of het met die extra kennis ook

lukt het aantal inbraken te verminderen,

bijvoorbeeld omdat de politie zijn mede­

werkers met die kennis kan inzetten op

de brandpunten. De onderzoekers konden

dat effect niet aantonen op basis van de

beschikbare gegevens. In het beste geval

trad een bescheiden effect op.

In delen van het testgebied daalde het

aantal inbraken in de testfase, bij andere

bleef het constant of nam toe, constateer­

den de wetenschappers. Daarom bevelen

ze aan meer onderzoek te doen op basis

van een goed onderzoekontwerp.

Halfbakken systemen kunnen ver­

woestende gevolgen hebben als ze beslis­

sen over het lot van mensen, zoals het in

de Verenigde Staten gebruikte Correctional

Offender Management Profiling for Alter­

native Sanctions (COMPAS). Dat heeft sinds

2000 voor een miljoen gedetineerden een

prognose gemaakt van de kans dat ze

binnen twee jaar zullen recidiveren. Der­

gelijke voorspellingen kunnen ook invloed

hebben op de hoogte van de strafmaat.

Het algoritme evalueert daartoe 137 zo­

genaamd neutrale eigenschappen van de

onderzochte personen.

Onderzoekers aan het Dartmouth

College verklaren dat het programma 'be­

drieglijk complex' is, omdat bewezen is dat

de kenmerken leeftijd en aantal veroorde­

lingen voldoende zijn voor een voorspel­

ling van de kans op recidive en er geen

aanwijzingen zijn voor de relevantie van

aanvullende kenmerken. Bovendien lijkt

de deskundigheid van het algoritme niet

uit te stijgen boven huis­, tuin­ en keuken­

psychologie. De wetenschappers konden

laten zien dat een groep leken, aangewor­

ven via Amazon Mechanical Turk, een even

goede of slechte beoordeling afleverde als

het Predictive­Analytics­systeem. COMPAS

werd al bekritiseerd omdat het zwarte

81c’t 2019, Nr. 3

Knowhow | Feilbare AI: in de praktijk

Optische illusie: een voor mensen niet waarneembaar ruispatroon is genoeg om de AI in plaats van een papegaai een boekenkast voor te schotelen.

Bro

n:

Ma

gn

us E

rik H

va

ss-P

ed

ers

en

,Git

Hu

b

mensen stelselmatig negatief evalueerde.

In de groep van niet­recidivisten ontdekten

onderzoekers tweemaal zoveel zwarten als

blanken die van het systeem een slechte

prognose hadden gekregen.

Halfgod in siliciumOok in de geneeskunde is op dit mo­

ment sprake van veel hype en ronkende

aankondigingen, maar het overtuigt lang

niet altijd. Watson for Oncology van IBM is

bijzonder ambitieus en biedt artsen niet

alleen gegevens en actuele studies voor

de behandeling van een patiënt, maar wil

ook aanbevelingen geven voor de thera­

pie. De therapietraining is gebaseerd op de

methoden van de artsen van het Memorial

Sloan Kettering Cancer Center, een gere­

nommeerde kankerkliniek in New York. Tot

nu toe zijn er echter geen onafhankelijke

studies die onderzocht hebben of Watson

beter behandelt, fouten voorkomt, de the­

rapie positief beïnvloedt, enzovoort. Rap­

porten suggereren dat Watson zeer goede

informatie levert, maar bij therapievoor­

stellen soms grove fouten maakt.

Meer nuchtere AI­benaderingen in de

geneeskunde lijken momenteel veelbe­

lovender en beter controleerbaar, vooral

als ze zijn gebaseerd op bewezen beeld­

herkenningsnetwerken. Artsen van het

universiteitsziekenhuis Heidelberg rond

Professor Holger Hänßle hebben bijvoor­

beeld een kunstmatig neuraal netwerk

getraind met beelden van huidafwijkingen

om goed aardige moedervlekken te onder­

scheiden van kwaadaardige melanomen.

Een begeleidende studie toonde aan dat

de beeldherkenning gemiddeld betere

voorspellingen deed dan de meeste van

de 58 huidartsen die uitgenodigd waren

voor de test.

Valse positievenAI­systemen maken verschillende soorten

fouten. Vooral de valse positieven vormen

een groot probleem, bijvoorbeeld wanneer

je automatisch uit een groot aantal men­

sen de leden van een uiterst kleine groep

wilt filteren, zeg terroristen in de bevolking.

Om te vermijden dat er aanzienlijk

meer onschuldigen dan terroristen in de

databanken van de politie belanden, moet

de nauwkeurigheid zeer groot zijn. In dit

geval is het niet alleen belangrijk hoeveel

potentiële misdadigers je correct identifi­

ceert, maar de doorslag wordt meer gege­

ven door het percentage valse positieven,

oftewel het percentage gewone burgers

dat ten onrechte als gevaarlijk wordt ge­

classificeerd. Bij een massale controle kan

dat puur om statistische redenen niet te­

ruggebracht worden tot een sociaal aan­

vaardbaar niveau.

De NSA presenteerde voor hun surveil­

lanceprogramma Skynet, waarmee in Paki­

stan de verplaatsingen en communicatie

van 55 miljoen inwoners bewaakt werd,

een fabelachtig laag percentage valse

positieven van 0,008 procent (een intern

document had het over 0,18 procent), dat

alleen daarom zo laag uitviel omdat men

een bijzonder laag opsporingspercentage

van slechts 50 procent op de koop toe

nam. Het aldus ingestelde systeem identi­

ficeerde dus slechts elke tweede terrorist,

maar identificeerde wel tussen de 4500 en

bijna 100.000 onschuldige Pakistanen als

mogelijke terroristen. Bovendien kon de

precisie hoe dan ook niet goed getest wor­

den omdat de groep bekende terroristen

te klein was voor een zinvolle steekproef

voor een kwaliteitscontrole.

In Pakistan zijn volgens het Londense

Bureau of Investigative Journalism de af­

gelopen jaren duizenden mensen vanuit

de verte als terroristen geïdentificeerd en

gedood door een drone, misschien wel

gebaseerd op een knullig algoritme zoals

Skynet.

Verwarde AINeurale netwerken voor patroonherken­

ning kunnen op bepaalde soorten beelden,

de zogenaamde Adversarial Examples, naar

menselijk idee bijna willekeurig reageren.

Onderzoekers zijn erin geslaagd foto's voor

mensen onzichtbaar zo te veranderen, dat

neurale netwerken iets volslagen anders

herkennen dan een mens. En niet alleen

dat: de wetenschappers kunnen zelfs be­

palen wat ze moeten herkennen, bijvoor­

beeld een giraffe in plaats van een kat. Of,

wat fataal zou zijn voor autonome auto's,

een voorrangs­ in plaats van een stopbord.

Bij die subtiele ruispatronen gaat het niet

om willekeurig verdeelde ruis, zoals de ty­

pische ruis van een sensor. In dat geval

zijn kunstmatige neurale netwerken na­

melijk heel robuust. Het gaat om gerichte

kleurverschuivingen, die ervoor zorgen

dat net genoeg 'neuronen' dermate fou­

tief geactiveerd worden dat de som van

alle valse activeringen de foto naar een

volledig andere klasse laat verhuizen dan

waarin hij thuis zou horen.

Zegen en vloekDeep­learning en ook andere vormen van

machineleren zijn een realiteit. In de vorm

van nuttige helpers regelen ze het dage­

lijks leven en vergroten ze de efficiëntie

van bedrijven. Indrukwekkende successen

op specifieke disciplines geven de indruk

dat de techniek de oplossing is voor al­

lerlei problemen die mensen niet volledig

overzien. Maar zover zijn we nog lang niet.

AI­deskundigen en neurowetenschappers

zijn het er grotendeels over eens dat voor

dergelijke complexe systemen, die ook

zelfstandig theorieën moeten kunnen

ontwikkelen en testen, een heel andere

architectuur nodig is.

Deep­learning werkt al heel goed bij

specifieke taken met duidelijk omschreven

doelstellingen, waarvan de toepassing ad

hoc gecontroleerd kan worden, bijvoor­

beeld bij spraakverwerking, beeldherken­

ning of logistieke planning. Maar zelfs bij

die paradedisciplines moet je waakzaam

en kritisch blijven, want er bestaat niet

zoiets als dé kunstmatige intelligentie.

Achter alle grote en kleine probleemoplos­

sers staan steeds gewoon mensen. Als de

ontwikkelaars het probleem en de oplos­

sing niet goed genoeg begrepen hebben,

is die mooie artificiële intelligentie met al

zijn trainingsgegevens, enorme servers en

snelle grafische kaarten niet meer waard

dan een dobbelsteen. (nkr) c

82 c’t 2019, Nr. 3

Knowhow | Feilbare AI: principiële problemen

Algoritmes halen verbanden uit

gegevenssets die zelfs voor mensen

verborgen blijven. Dat is indrukwek-

kend en vaak handig. Computers

denken daarbij echter lang niet

zoals mensen, want daarvoor ont-

breken nog belangrijke bouwstenen

voor intelligentie. We vroegen pro-

minente critici van de AI-hype waar

de fundamentele problemen liggen.

Pina Merkert

Mensen zijn door hun intelligen-

tie heel bijzonder. Dat komt niet

omdat we de grootste hersenen

hebben, want die van olifanten zijn groter.

Mensen kunnen echter nadenken over

dingen die van nature niet bestaan. Denk

bijvoorbeeld aan geld, de maatschappij

en ethiek. Er zijn geen aanwijzingen dat

dieren met dergelijke abstracte concep-

ten werken. Ze bieden mensen echter de

mogelijkheid om in grote groepen efficiënt

te kunnen samenwerken [1].

Van kunstmatige intelligentie ver-

wachten we dat het dezelfde abstracte be-

grippen opdoet als mensen en de wereld

dus begrijpt zoals een mens dat doet. Een

AI moet weten wat geld is en welke waarde

het heeft. Het moet moederliefde, collegi-

ale competitie en seksuele begeerte begrij-

pen, en wel in woorden, beelden, mimiek

en gebaren. Van begrip of zelfs bewustzijn

is echter zelfs in de diepste kunstmatige

neurale netwerken geen spoor te beken-

nen. Bij nadere beschouwing ontpoppen

ze zich slechts als steeds complexere geau-

tomatiseerde statistieken: handig gereed-

schap, maar geen algemene kunstmatige

intelligentie.

Menselijke intelligentieOm daar verandering in te brengen, kij-

ken onderzoekers naar de enige bekende

Statistiek en denkenHoe kunstmatige intelligentie afwijkt van menselijke

83c’t 2019, Nr. 3

Knowhow | Feilbare AI: principiële problemen

Wiskundig gezien dient machineleren

om een onbekende functie u() te bena­

deren met een andere functie f(). Nie­

mand weet hoe u() er precies uitziet

omdat die functie een wiskundige be­

schrijving is van een moeilijk probleem,

zoals het koppelen van afbeeldingen

aan een passende tekstuele beschrij­

ving. Maar door de trainingsgegevens

zijn er veel voorbeelden van individuele

waarden van u() ("op deze foto hapt een

hond naar een frisbee"). Dan moet er

naar een functie f() gezocht worden die

voor de al bekende voorbeelden zoveel

mogelijk dezelfde waarden oplevert als

u(), maar ook voor alle waarden van u()

die je nog tegen kunt komen.

Gewoonlijk stellen de dataweten­

schappers een structuur vast voor de

functie f(), die echter nog enkele vari­

abele parameters bevat. Dat maakt van

het wiskundige probleem een optima­

lisatieprobleem. Voor optimalisatie­

problemen zijn er al efficiënte algo­

ritmes waarmee onderzoekers in veel

gevallen precies de parameters voor f()

vinden die met de beschikbare voor­

beelden zo min mogelijk verschil laten

zien tussen u() en f(). Verschillen de

functies vervolgens bij nieuwe voor­

beelden – die tijdens de training niet

beschikbaar waren – dan spreken we

van 'overfitting' (uit het hoofd leren in

plaats van begrijpen).

Onder deze algemene definitie van

machineleren vallen zowel de klassieke

methoden van logistische regressie, K­

nearest­neighbour, beslissingsbomen,

hidden­Markov­modellen en support­

vector­machines als neuronale netwer­

ken. Willen deze resultaat hebben, dan

moeten er in de vector van de invoerge­

gevens patronen te vinden zijn waaruit

de functie f() direct de juiste uitvoer kan

berekenen. Vroeger moesten de onder­

zoekers de gegevens voorbewerken, zo­

dat dit zeker was. Bij deep­learning pro­

beert men in één keer zowel de juiste

uitvoer als ook de daarvoor benodigde

patronen uit de gegevens te leren.

Het is niet meteen duidelijk welke

patronen de algoritmes dan uit de ge­

gevens halen om tot hun resultaten te

komen. Huidige AI­technieken heten

daarom vaak ten onrechte een zwarte

doos, ook al zijn alle parameters be­

kend. Dat zijn er echter zo veel dat je

het overzicht verliest en de echte mo­

gelijkheden en beperkingen van het

systeem niet overziet.

AI is niets anders dan het benaderen van functies

intelligentie op dat niveau: die van mensen

zelf. Onze intelligentie is te danken aan het

brein, dat bestaat uit meer dan 100 miljard

neuronen, die elk gemiddeld 7000 verbin-

dingen hebben met andere neuronen.

Neurowetenschapper professor Christoph

von der Malsburg benadrukt dat de struc-

tuur van de hersenen door patronen moet

worden gedomineerd: "Ons organisme,

met inbegrip van het brein, wordt ge-

produceerd met één gigabyte genetische

informatie, en in de loop van de eerste

jaren getraind in een eenvoudige stabiele

omgeving die via virtual-reality met een

programma van eveneens één gigabyte

groot kan worden gegenereerd. Om de

verbindingsmatrix van het menselijk brein

te beschrijven, is een petabyte nodig, één

miljoen keer zoveel. Het brein wordt dus

gemaakt door een 'algoritme' dat de zoek-

ruimte van alle circuits tot een miljoenste

reduceert, waarin de genetische sturing en

de training vervolgens een circuit kunnen

kiezen."

Zijn collega Gary Marcus van MIT wijst

er echter op dat baby’s drie weken na hun

geboorte al reageren op een driedimensi-

onale wereld, objecten onderscheiden, en

er eigenschappen aan toewijzen. Als men-

sen werden geboren met een volstrekt

ongestructureerde massa neuronen, zou

een dergelijke cognitieve prestatie na zo’n

korte tijd onmogelijk zijn: "95 Procent van

ons genoom heeft invloed op de ontwik-

keling van het brein" [2]. Beide inzichten

zijn alleen te combineren als het brein

wel over genetisch bepaalde structuren

beschikt, maar die regelmatig herhaald

worden.

Kunstmatige intelligentieComputers zijn machines die in principe

elk algoritme kunnen uitvoeren. Voor

kunstmatige intelligentie hoef je dus al-

leen maar het juiste algoritme te vinden.

In de praktijk blijkt dat veel moeilijker dan

alle deskundigen ooit vermoed hadden. Er

zijn twee manieren waarop onderzoekers

het probleem kunnen aanpakken.

Symbolische methoden nemen de

psychologie als voorbeeld en proberen

abstracte begrippen net zo te koppelen

als rationeel denkende mensen zouden

doen. Die methoden (Google Knowledge

Graph, delen van IBM Watson) werken al-

leen met gegevens waarbij mensen de

wereld eerder hebben beschreven in ab-

stracte concepten. Daarom beschikken de

algoritmen over slechts kleine datasets.

Bovendien is voor elk verband een expli-

ciete regel nodig. Dat je, als je naar de su-

permarkt gaat, ook je hoofd meeneemt, is

een conclusie die deze methoden niet zelf

kunnen trekken.

Statistische methoden werken in plaats

daarvan direct op onbewerkte gegevens.

Ze halen de relatie tussen de ingevoerde

gegevens en de gewenste uitvoer automa-

tisch uit de trainingsgegevens. Hoe uitge-

breider de gegevens, des te complexer de

onderliggende structuren kunnen worden.

Die structuren hebben eerder het hersen-

onderzoek als model dan de psychologie.

De van het brein afgekeken kunstmatige

neurale netwerken steunen meestal ech-

ter op een zeer sterk vereenvoudigde si-

mulatie van neuronen en leggen minimale

structuren vast doordat ze de synapsen

met willekeurige gewichten initialiseren.

De onderzoekers berekenen meestal lie-

ver een effectieve en makkelijk trainbare

simulatie dan in een biologisch plausibe-

lere simulatie slechts enkele neuronen te

kunnen berekenen en te moeten worste-

len met hyperparameters (computational

neuroscience).

Maar ook met zo'n extreem vereen-

voudigde simulatie blijven de kunstma-

tige neurale netwerken nog steeds ordes

van grootte achter bij een echt brein. Het

uiterst actuele beeldherkenningsnetwerk

ResNet met 34 lagen simuleert bij in-

voerafbeeldingen met een resolutie van

128 × 128 slechts 21,8 miljoen gewichten,

terwijl de synapsen van de 100 miljard

neuronen van een menselijk brein samen

84 c’t 2019, Nr. 3

Knowhow | Feilbare AI: principiële problemen

De dorsale stroom (groen) en de ventrale stroom (paars) geven ruimtelijk gescheiden in de hersenen informa-tie door over hetzelfde object.

Bro

n:

Se

lke

t, C

C-B

Y-S

A

ongeveer 7 biljoen signalen van een ge-

wicht voorzien.

ResNet is een voorbeeld van een van

de kunstmatige neurale netwerken waar-

van de omvang de laatste jaren is geëx-

plodeerd. Een paar jaar geleden waren

nauwelijks meer dan 8 lagen mogelijk ,

waarbij de parameters ge optimaliseerd

daarbij voor een paar CPU-kernen in

plaats van voor snelle parallelle grafische

kaarten. De training van dergelijke grote

netwerken werkt echter alleen met grote

gegevenssets, die voor de meeste proble-

men te duur zijn. Veel onderzoekers zijn

het daarom eens dat neurale netwerken

geen fundamentele structuren hebben en

ze nooit mensachtige intelligentie kunnen

bereiken zonder wijzigingen in de architec-

tuur, ongeacht hoeveel rekenkracht en ge-

heugen toekomstige grafische kaarten nog

kunnen bieden.

Waar het probleem echter precies

zit, kan geen van de onderzoekers op dit

moment met zekerheid zeggen. Enkele

belangrijke deskundigen hebben kritiek

op de huidige netwerken en hebben the-

orieën waar het probleem kan zitten. Dat

kunnen ze echter alleen aantonen met ex-

perimenten die de problemen ook meteen

oplossen. Als dat lukt, is dat meteen de vol-

gende grote doorbraak in de kunstmatige

intelligentie.

EfficiëntieBij een onbeperkte omvang kunnen neu-

rale netwerken in theorie leren elk pro-

bleem op te lossen. Dat kan wiskundig

ook bewezen worden. In de praktijk lijkt

dat ook het geval te zijn, zolang de ge-

gevensset groot genoeg is zodat er on-

danks een groot netwerk met veel lagen

geen sprake is van overfitting (domweg

uit het hoofd leren). Eenvoudige neurale

netwerken kunnen interpoleren tussen de

gegevens punten, maar extrapoleren gaat

niet. Als je een netwerk bijvoorbeeld traint

op de lichaamsgrootte van volwassenen

en kinderen, worden tieners bijvoorbeeld

correct herkend, maar bij reuzen gaat het

helemaal mis. Daarom moet elke zinvolle

uitvoer momenteel ook als voorbeeld in de

gegevensset aanwezig zijn.

Mensen kunnen echter uitstekend ex-

trapoleren. Het is geen probleem om een

abstract begrip van het ene onderwerp

over te brengen naar het andere. Mensen

kunnen iets beginnen met 'verdorde ar-

chitectuur' of 'vel-oranje', hoewel ze daar

nooit voorbeelden van gezien hebben.

Het vermogen om denkpatronen creatief

te combineren stelt mensen in staat om te

leren met veel minder voorbeelden. Vaak

werkt one-shot-learning zelfs, met slechts

een enkel voorbeeld. Een voorbeeld daar-

van is de burgersalade, waar de extra's bij

een hamburger in een kom worden opge-

diend. Mensen hoeven meestal slechts één

burgersalade gezien te hebben om dat ge-

recht voortaan goed te kunnen herkennen.

MIT-professor Joshua Tenenbaum

vindt daarom dat neurale netwerken veel

en veel efficiënter met gegevens moeten

omgaan. Daarvoor moeten ze veel sneller

getraind kunnen worden, dus met een ho-

gere learning-rate, en veel beter abstrahe-

ren (overfitting vermijden).

Neurale netwerken kunnen pas be-

trouwbaar getraind worden sinds de ont-

dekking van de back-propagation van fou-

ten in de jaren ’80. Die back-propagation

vertelt een optimalisatie-algoritme tijdens

het trainen op welke plekken het de para-

meters van het netwerk moet aanpassen

om beter te worden. Hoe sterk de para-

meters worden gewijzigd, wordt bepaald

door de learning-rate. Als je actuele net-

werken traint met een hoge learning-rate,

vergeten ze snel wat ze wisten en wordt

de training instabiel, met als resultaat een

slechter in plaats van een beter netwerk.

Dat komt doordat bij een neuraal netwerk

met back-propagation elke trainingsset

alle parameters kan beïnvloeden. Als de

gegevens in de verkeerde richting wijzen,

verdwaalt het hele netwerk. Het kan een

uitschieter niet als zodanig herkennen. De

remedie is om netwerken bij sommige pa-

tronen hardnekkig te laten zijn (zoals bij

trainingen met een lage learning-rate) en

bij andere heel open te laten reageren op

een nieuw leersignaal.

Objecten herkennenNet als het menselijk brein herkennen

kunstmatige neurale netwerken ook patro-

nen in gegevens. Een belangrijk verschil is

echter dat mensen uit de patronen men-

tale objecten afleiden die het brein mak-

kelijk in andere contexten kan gebruiken.

Daartoe negeert het brein een deel van de

patronen en concentreert het zich op de

wezenlijkste kenmerken. Als gevolg daar-

van gaat wel informatie verloren voor die

ene context, maar het mentale object past

beter in andere contexten.

De bestaande neurale netwerken

hebben geen mechanisme om essentiële

aspecten te scheiden van de context, en

nemen die daarom altijd mee. Daardoor

kunnen neurale netwerken bij zeer duide-

lijke problemen, zoals het herkennen van

verkeersborden, veel beter worden dan

mensen. Maar ze abstraheren niet zoals

mensen. Maar juist omdat mensen snel

nieuwe mentale objecten vormen, kunnen

ze uit een paar datapunten iets algemeens

leren.

Zonder context zijn mentale objecten

ook veel efficiënter voor een representatie

van de wereld. Vooral bij complexe proble-

men, zoals het trainen van agents bij rein-

forcement-learning, tonen experimenten

aan dat een innerlijke representatie van de

wereld erg nuttig kan zijn. Bij de experi-

menten moesten de onderzoekers echter

altijd de gegevensformaten van de objec-

ten zelf definiëren, omdat de netwerken

zelf geen efficiënte representaties leerden.

Het brein lijkt qua structuur veel uni-

verseler te zijn dan om alleen objecten te

representeren met bepaalde neuronen.

MRI-beelden laten zien dat mentale ob-

jecten op veel plaatsen tegelijk neuronen

activeren. De dorsale stroom in de herse-

nen draagt bijvoorbeeld informatie over

de locatie van objecten over, terwijl de

ventrale stroom tegelijkertijd de informa-

tie verzendt die op dat moment gezien

wordt (Milner en Goodale: two-streams

85c’t 2019, Nr. 3

Knowhow | Feilbare AI: principiële problemen

BindingsprobleemKlassieke neurale netwerken met volledig verbonden lagen (links) verbinden altijd alles met alles. Om objecten te herkennen, moet het netwerk aan delen van de invoer eigenschappen toewijzen en ze scheiden van de rest (scheidingspro-bleem). Convolutionele netwerken (rechts) hebben het tegenovergestelde probleem. Hun convoluties maken gebruik van lokale filters die in eerste instantie alles van elkaar scheiden. Dan komt echter de vraag op welke resultaten bij elkaar horen (bindingsprobleem). Het veelgebruikte max-pooling vernietigt de informatie die nodig is om te binden.

0 0 A A A A 0 0 B B B 0( )volledig verbonden

neuraal netwerk

0 0 A A A A 0 0 B B B 0( )convolutioneel

netwerk

A B

A B

AB

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

max-pooling

hypothese). Het object ontstaat pas door

de informatie uit twee verschillende her-

sengebieden.

Mensen zijn echter in staat tegelij-

kertijd aan meerdere mentale objecten te

denken, waarbij de representaties van de

objecten elkaar niet hinderen. Mensen kun-

nen de objecten zelfs op elkaar betrekken,

wat erop wijst dat ze in een gemeenschap-

pelijk formaat worden gerepresenteerd.

ScheidingsprobleemHelaas is er weinig bekend over de exacte

schakeling van de neuronen in de herse-

nen. Van de visuele cortex, dat een deel

van de signalen van het oog verwerkt,

weten we dat de neuronen in lagen ge-

rangschikt zijn en dat ze reageren op tex-

tuurelementen zoals randen. Neuronen in

lagen kunnen efficiënter in een computer

worden gesimuleerd dan chaotisch ge-

rangschikte neuronen. Daarom werken

neurale netwerken meestal ook met lagen.

Omdat we niet weten welke verbindingen

de neuronen nodig hebben, verbinden

we gewoon alle neuronen van een laag

met alle neuronen van de laag eronder.

Omdat kunstmatige neurale netwerken

kunnen leren om dergelijke verbindingen

te negeren, is deze structuur theoretisch

toereikend.

Omdat elk neuron is verbonden met

alle ingangen, probeert het steeds patro-

nen te vinden op alle ingangen. Het wijst

één uitvoer toe aan alle ingangen samen.

Hoewel het tijdens het trainen kan leren

om stimuli te negeren, kan het dat tijdens

de toepassing niet meer aanpassen. Daar-

door is het niet in staat om verschillende

objecten in de ingangen te herkennen en

bepaalde eigenschappen aan die objecten

toe te wijzen. Om het ene object van het

andere te onderscheiden, zou het eigen-

schappen van het tweede object tijdens de

uitvoering selectief moeten negeren.

Op een foto met een rode bal en een

gestippelde hond herkent het balachtig-

heid, hondachtigheid, stippeligheid en

roodheid. Maar een neuron kan de rood-

heid niet aan de bal en de stippeligheid

niet aan de hond koppelen. Dat is het

scheidingsprobleem.

Als het neurale netwerk in staat zou

zijn om de bal van de rest van de scène

te scheiden, zou het alle roodheid daaraan

kunnen toewijzen. Het bovenliggende ni-

veau zou de aanwezigheid van rode ballen

en honden kunnen controleren en daaruit

abstractere conclusies kunnen trekken.

Convolutionele netwerken kunnen dat,

met enige beperkingen.

BindingsprobleemConvolutionele netwerken verbinden al-

leen de outputs van een klein aantal on-

derliggende neuronen met een neuron.

Bovendien zoeken ze op elk punt naar

dezelfde patronen, dus maakt het niet uit

of de rode ballen in de trainingsgegevens

in de linkerboven- of rechteronderhoek

opduiken. Dat kan veel sneller berekend

worden en werkt veel beter bij het herken-

nen van afbeeldingen. Daarom zijn neurale

netwerken voor beeldherkenning op dit

moment altijd gebaseerd op convolutio-

nele netwerken.

Het is alleen jammer dat hersenonder-

zoekers zeker weten dat zo’n mechanisme

niet voorkomt in het menselijk brein. Daar-

voor moet een neuron dat de stimuli van

de visuele cellen in de linkerbovenhoek

van het netvlies verwerkt, een neuron in

de rechterbenedenhoek vertellen welke

synapsen en dendrieten het vormt. Er is

echter geen mechanisme dat dit zou kun-

nen triggeren.

Bovendien doet zich bij convolutio-

nele netwerken een ander probleem voor.

Omdat de convoluties altijd lokaal begrensd

zijn, geeft een convolutionele laag niet één

enkele stimulus af, maar bijna net zoveel

stimuli als inputs. De netwerken lossen dat

meestal op door alleen de sterke stimuli

door te geven naar de volgende laag (max-

pooling). Daarbij gaat echter de informatie

verloren waar de stimulus is opgetreden.

Individuele convolutionele lagen hebben

dus minder te maken met het scheidings-

probleem (door de filtergrootte blijft de

scheiding enigszins onscherp) omdat ze

alles scheiden wat ze kunnen scheiden.

Daarna komt de vraag op wat zinvol bij

elkaar hoort. Dat is het bindingsprobleem.

Met max-pooling kan het netwerk wel een

bruikbare uitvoer berekenen, maar wordt

de informatie vernietigd waarmee het net-

werk objecten kan detecteren.

AttractortoestandenBindingsprobleem en scheidingsprobleem

zijn twee kanten van dezelfde medaille. In-

telligente algoritmes moeten objecten her-

kennen en er eigenschappen aan toewij-

zen. Volgens professor Von der Malsburg is

de basisveronderstelling dat afzonderlijke

neuronen een enkele betekenis vertegen-

woordigen verantwoordelijk voor het feit

dat neurale netwerken dat probleem nog

niet kunnen oplossen: "De huidige neurale

netwerken kunnen geen complexere sym-

bolen construeren uit elementaire sym-

bolen (gerepresenteerd door individuele

neuronen), zoals wij woorden uit letters

en zinnen uit woorden vormen. Dat is het

bindingsprobleem. Gelijktijdig geactiveer-

de neuronen (assemblies, pools) vormen

een ongedifferentieerde massa."

In plaats daarvan moeten de gesimu-

leerde neuronen zo op elkaar inwerken dat

hun activeringen resulteren in stabiele toe-

standen. Een getraind netwerk hoort altijd

van een willekeurige chaotische toestand

86 c’t 2019, Nr. 3

Knowhow | Feilbare AI: principiële problemen

Neurale netwerken kun-nen niet alleen beelden beschrijven, maar ook via een convolutioneel netwerk aandacht vestigen op specifieke gebieden. Het woord STOP scheidt het teken van de context, maar met onscherpe randen door de filtergrootte van de convoluties.

Bro

n:

Xu

, e

t a

l.:

Sh

ow

, A

tte

nd

an

d T

ell

: N

eu

ral

Ima

ge

Ca

pti

on

Ge

ne

rati

on

wit

h V

isu

al

Att

en

tio

n,

Mo

ntr

éa

l, T

oro

nto

, 2

015

naar zo’n stabiele toestand te gaan. Door

hun aantrekkingskracht worden ze 'attrac-

tor states' genoemd.

Het 'algoritme' waarmee het brein at-

tractortoestanden zoekt, is volgens Von der

Malsburg "eigenlijk goed bekend en in het

kader van de embryogenese intensief on-

derzocht, maar wordt volledig genegeerd

in het kader van de huidige neurale net-

werken: zelforganisatie van het netwerk.

Een willekeurig netwerk genereert daarbij

spontane activiteit, waarvan de statistische

eigenschappen (signaalcorrelatie tussen

neuronen) terugwerken op het netwerk

(via Hebbse plasticiteit). Die wisselwerking

blijft duren totdat er een attractortoestand

is gestabiliseerd."

Tot nu toe zijn er echter geen neurale

netwerken die zo’n structuur simuleren.

Eerdere successen in objectherkenning

zochten hun heil in probleemgerichte

trucs, die objectweergaven forceren, men-

selijke kennis gebruiken en in algemene

gevallen niet werken. In principe laten de

experimenten echter zien dat algoritmen

die objecten herkennen, aanzienlijk slim-

mere machines mogelijk maken.

OnzekerheidNaast objecten hebben intelligente syste-

men echter ook nog te maken met andere

problemen. Als de invoergegevens ruis

bevatten, kan een neuraal netwerk nooit

helemaal zeker zijn bij patroonherken-

ning. Mensen kennen dat probleem bij-

voorbeeld bij het herkennen van objecten

in het donker. Als het donker genoeg is,

kun je een boom al aanzien voor een man

met lange vingers. Als je dichterbij komt,

schakelt de waarneming plotseling om en

wordt de boom een boom.

Een denoising auto-encoder, een

soort neuraal netwerk dat ruis verwijdert

uit beelden, laat zien dat patroonherken-

ning met meerdere niveaus goed werkt bij

beeldruis. Die encoders falen echter zodra

er zoveel ruis in de afbeelding zit dat er

op lagere niveaus in het netwerk verkeerde

patronen herkend worden. Eigenlijk zou-

den de bovenste niveaus de fouten kun-

nen herstellen, maar daarvoor moeten ze

ook weten welke patronen op de lagere

niveaus minder duidelijk herkend zijn.

Er bestaan beproefde wiskundige me-

thoden om met dergelijke onzekerheden

te rekenen. Probabilistisch programme-

ren werkt eigenlijk niet anders. Neurale

netwerken verwerpen onwaarschijnlijke

oplossingen echter onmiddellijk, in plaats

van te wachten op feedback van bovenaf.

Bij probabilistisch programmeren heb-

ben variabelen geen waarden, maar geven

ze kansverdelingen weer. Daarmee kun je

rekenen volgens de regels van de Bayesi-

aanse kansberekening en voorspellingen

doen op basis van onzekerheden. Hoe de

distributies en de onzekerheden eruit zien,

kan een probabilistische programmeertaal

op basis van trainingsgegevens zelf opti-

maliseren, zodat machineleren mogelijk is.

Het verschil met een kunstmatig neu-

raal netwerk is dat een mens het model

in het probabilistische programma heeft

gedefinieerd en daarom weet wat elke

variabele betekent. Neurale netwerken

zoeken zelf betekenissen voor de varia-

belen, een ander aspect waarom ze ten

onrechte zwarte dozen worden genoemd.

Voor mensen is het meestal erg omslach-

tig om de betekenis van variabelen in een

getraind neuraal netwerk te ontcijferen. In

principe heeft een intelligent programma

echter niet meer nodig dan de gegevens

om te leren welke structuur de oplossing

is van het probleem.

Professer Zoubin Gharamani van de

Universiteit van Cambridge heeft als kritiek

dat neurale netwerken veel meer zouden

moeten werken als probabilistische pro-

gramma’s. Volgens hem zou die benade-

ring ook helpen om de ruis in de parame-

ters van de netwerken te verminderen en

de training te stabiliseren.

CausaliteitAlle methoden van machineleren hebben

gemeen dat ze automatisch statistische

relaties ontdekken en met die informatie

een functie benaderen. Ze geven dus al-

leen correlaties weer die in de gegevens

te vinden zijn. De informaticus en filosoof

Judea Pearl ziet in die eenvoudige correla-

tie een cruciaal tekort [3]. Volgens hem is

er inderdaad geen natuurwet waarvan de

oorzaak en het gevolg zo met elkaar zijn

verbonden dat je het niet kunt omkeren.

Dat mensen echter uitgaan van causaliteit,

vindt hij een uiterst nuttig hulpmiddel bij

het detecteren van schijncorrelaties in ge-

gevens.

Er is bijvoorbeeld een statistisch sig-

nificante correlatie tussen de schoenmaat

van mensen en hun leesvaardigheid. Er

is echter een even duidelijke correlatie

tussen leeftijd en leesvaardigheid. AI-

algoritmen hebben geen manier om die

correlaties tegen elkaar af te wegen. Men-

sen zoeken daarentegen naar de oorzaak

waarom kleine mensen met kleine voeten

niet kunnen lezen en vermoeden dat het

mogelijk om kinderen gaat. Ze zien daarbij

ook dat schoenmaat en leeftijd sterk ge-

correleerd zijn. Als je die correlatie uit de

gegevens verwijdert, door bijvoorbeeld

alleen het leesvermogen van mensen van

dezelfde leeftijd te vergelijken met hun

schoenmaat, is er plotseling geen verband

meer tussen schoenmaat en leesvaardig-

heid. Door dergelijke denkprocessen met

dezelfde hoeveelheid gegevens krijgen

mensen een veel nauwkeuriger beeld van

de samenhangen.

AI als gereedschapOver één ding zijn alle critici het eens:

kunstmatige intelligentie komt niet in de

buurt van wat de hype ons wil doen laten

geloven. De algoritmes missen verschillen-

de fundamentele concepten die ze nodig

hebben om een intelligentie te kunnen

simuleren die zelfs maar lijkt op die van

mensen. De wetenschappers die we heb-

ben gesproken, schatten in dat het nog

decennia tot een eeuw duurt voor AI een

menselijk niveau bereikt. Voor alles pleitten

ze echter voor een paradigmaverschuiving,

om meer aan essentiële kwesties te werken

in plaats van nieuwe toepassingen te zoe-

ken voor convolutionele netwerken.

87c’t 2019, Nr. 3

Knowhow | Feilbare AI: principiële problemen

Deze klif op het IJslandse eiland Heimaey lijkt op

een olifantenkop. Menselijke waar-

neming springt bij dergelijke beelden heen en weer tus-

sen olifant en rots. Daar is de feedback

van het bewuste denken voor ver-

antwoordelijk, die wordt doorgege-

ven aan de visuele cortex.

Bro

n:

Die

go

De

lso

, d

els

o.p

ho

to,

CC

-BY

-SA

Een zwakke AI heeft al bewezen een nut-

tig hulpmiddel te zijn dat impact heeft

op mensen en op de economie. Professor

Michael Jordan van Berkeley beschouwt

de zoektocht naar mensachtige kunstma-

tige intelligentie zelfs als een dwaalweg.

Volgens hem gaat in de slimme zelforga-

nisatie van markten een waardevollere

intelligentie schuil dan in die van de men-

selijke geest. De statistiek van markten ligt

veel dichter bij het functioneren van de

hedendaagse neurale netwerken dan bij

menselijke gedachten. In elk geval zal de

toekomst slimmer zijn. Maar of ze mense-

lijk intelligent wordt, moeten we nog af-

wachten. (nkr) c

Literatuur

[1] Yuval Noah Harari, Sapiens, een kleine geschie­

denis van de mensheid, 2011

[2] Gary Marcus, The Algebraic Mind: Integrating

Connectionism and Cognitive Science, Cam­

bridge, MA, 2001

[3] Judea Pearl, Causality: Models, Reasoning, and

Inference, Cambridge, MA, 2000

www.ct.nl/softlink/1903082

Geoffrey Hinton, een belangrijke criticus

van neurale netwerken, benadrukt niet

alleen hun zwakten maar stelt daar ook

een eigen idee tegenover. Hij wordt be­

schouwd als een van de vier grote weg­

bereiders van het AI­onderzoek (naast

Yoshua Bengio, Yann LeCun en Jürgen

Schmidhuber), waardoor zijn idee veel

respons heeft gekregen. Zijn capsules

leren net als klassieke neurale netwerken

gewichten om patronen te herkennen in

de invoergegevens. Maar in plaats van

slechts één waarde door te geven voor

hun activiteit, berekenen ze steeds een

vector. De vectoren hebben niet alleen

een lengte, maar ook een richting, die

Hinton gebruikt voor het 'dynamisch rou­

teringsalgoritme (zie de link).

De capsules van een hoger niveau

kunnen namelijk beslissen welke ingan­

gen voor hen geschikt zijn (vergelijkbare

richting) en dus onderling coördineren.

Dat gebeurt via een iteratief proces (3

tot 5 iteraties), waarbij sommige capsu­

les informatie opeisen en andere nege­

ren. Een vierdelig Engelstalig artikel op

Medium.com legt het concept relatief

begrijpelijk uit (zie de link onderaan dit

artikel).

Christoph von der Malsburg heeft

zowel lof als kritiek voor dit nieuwe

idee: "In Geoff Hintons capsulesysteem

worden gegevens (neuronen) eerst sa­

mengevoegd tot pakketten, die elk be­

horen tot een beslissingsprobleem, en

ten tweede wordt de routering gestuurd

door matching (afstemmen). Dat zijn bei­

de stappen in de goede richting. Daarbij

moeten we echter opmerken dat het bij

beide om een kunstmatige externe inter­

ventie in het neurale netwerk gaat, dus

is niet duidelijk hoe die structuur zich

in het neurale systeem zelf zou kunnen

vormen."

Er zijn al experimenten met capsule­

netwerken. Bij het herkennen van hand­

geschreven cijfers lijken ze vergelijkbare

herkenningspercentages te halen dan

geoptimaliseerde convolutionele net­

werken, maar wel met minder gegevens.

Maar ze lijken niet goed schaalbaar naar

complexere problemen, waardoor veel

vragen op dit moment nog onbeant­

woord blijven. Misschien ligt dat aan

minder goed geoptimaliseerde imple­

mentaties, maar misschien heeft het

nieuwe idee ook een fundamenteel pro­

bleem. De komende jaren worden nog

veel meer onderzoeksresultaten over

capsules verwacht.

Capsules

Smart-tv's zijn populair – niet alleen bij hun eigenaren, maar ook bij aller-lei hackers en mediabedrijven. De ene groep misbruikt je tv graag als zombie voor internetaanvallen, de andere heeft het voorzien op je ge-bruikersprofielen. Gelukkig kun je daar zelf wat aan doen.

Dušan Živadinović

We hebben een soort haat-liefde-

verhouding met een slimme tv.

Net als een router zit hij op een

belangrijke plek in het thuisnetwerk, na-

melijk recht voor je neus. Maar een smart-

tv houdt vaak in detail je kijkgedrag bij,

Tv in toom houdenSmart-tv's via netwerkoplossingen beveiligen en binnen de perken houden

en doet dat in opdracht van de fabrikant

of van de mediabedrijven en streaming-

diensten. Sommige gaan zelfs zo ver dat

ze elke knopdruk op je afstandsbediening

registreren. Dat is wel heel erg nieuws-

gierig. Bovendien bieden fabrikanten van

smart-tv's geen logboekfuncties die mel-

den welke gegevens het apparaat waar

naartoe heeft gestuurd.

Dat maakt van smart-tv's een soort

zwarte dozen, en daarmee zijn ze ook

aantrekkelijk voor hackers. Als monito-

ring ontbreekt, wordt malware ook niet

bestreden. Hebben hackers een smart-tv

eenmaal geïnfecteerd, dan kunnen ze van

daaruit zoveel mogelijk andere apparaten

in het thuisnetwerk overnemen om uitein-

delijk DDoS-aanvallen uit te voeren. Als

een smart-tv een camera en een micro-

foon heeft, is hij ook voor geheime dien-

sten interessant (zo heeft de CIA al eens

Samsung-tv's gebruikt om te spioneren, zie

de link onderaan dit artikel).

Het is dus een goed idee een smart-tv

in toom te houden, zowel als bescherming

tegen infecties van buitenaf als om privé-

gegevens binnenshuis te houden. Daar zijn

enkele trucs bij de netwerkconfiguratie vol-

doende voor. Al naargelang de gewenste

afscherming en je netwerkkennis zijn daar

verschillende niveaus van inperking voor

mogelijk. We beschrijven ze globaal op

volgorde van complexiteit, te beginnen

met de eenvoudigste.

De meest radicale oplossing: geef je

smart-tv helemaal geen internettoegang,

88 c’t 2019, Nr. 3

Praktijk | Smart-tv: tips voor veilig configureren

Gescheiden zones

gastnetwerk

internet

router

thuisnetwerk

Als je een risicovol apparaat in een eigen zone onderbrengt (hier het gastnetwerk), kan het nog wel ongehinderd communiceren met internet, maar kunnen infecties niet meer zomaar worden verspreid naar de rest van het thuisnetwerk.

niet bekabeld en niet via wifi. Dan hoef je na-

tuurlijk eigenlijk ook geen smart-tv te kopen.

Toch zijn er genoeg mensen die ze op die

manier gebruiken omdat een tv zonder in-

ternetaansluiting nauwelijks meer te krijgen

is. De beeldkwaliteit van moderne smart-tv's

is bovendien beter, dus ook zonder actieve

internetverbinding zijn ze een prima optie.

Een ander voordeel is ook duidelijk: zonder

netwerkverbinding ook geen ongecontro-

leerde gegevensstroom. Maar dat betekent

ook: geen gegevenstoegang, geen auto-

matische firmware-updates, geen Netflix

en geen lokale netwerktoegang tot NAS of

DLNA-server om eigen video's af te spelen.

Vaak is een eenvoudige truc (de eerst-

genoemde oplossing) genoeg om lokale

toegang wel toe te staan en alleen internet-

verkeer te blokkeren.

Kinderbeveiliging. Daar heb je alleen

een router met een filterfunctie voor kinde-

ren voor nodig. Die zit op veel modellen. Om

ervoor te zorgen dat je smart-tv wel mappen

op een pc of NAS kan openen, zorg je dat

hij dezelfde netwerkinstellingen gebruikt.

Activeer op de tv dus de DHCP-configuratie,

oftewel het automatisch ophalen van ga-

teway- en DNS-serveradressen van de rou-

ter. Om de kinderbeveiliging te activeren,

gebruik je de webinterface (of app) van de

router. Bij een Fritzbox ga je bijvoorbeeld in

de webinterface naar 'Internet / Filters / Pa-

rental Controls'. Schakel voor de smart-tv het

toegangsprofiel (Access Profile) 'Blocked' in

en bewaar de wijzigingen.

Het resultaat: de communicatie binnen

het LAN werkt probleemloos, maar de smart-

tv krijgt geen contact met internet. Nadelen:

het streamen van Netflix en dergelijke wordt

geblokkeerd en firmware-updates komen

niet door.

Met een gastnetwerk en een routercas-

cade kun je internetverkeer wel toestaan,

maar voorkom je dat een besmetting van

je smart-tv invloed heeft op de rest van je

thuisnetwerk. Dat zijn zo'n beetje de meest

eenvoudige oplossingen om een netwerk

onder te verdelen zoals dat ook bij bedrijfs-

netwerken wordt toegepast.

Gastnetwerk. Daarbij komt je smart-tv

in een apart subnetwerk, het gastnetwerk.

Dat is alleen handig als je smart-tv geen

toegang hoeft te hebben tot bronnen in het

thuisnetwerk. Een gastnetwerk kun je op veel

routers makkelijk activeren. Op een Fritzbox

activeer je bijvoorbeeld via 'Home Network /

Network / Network Settings' de optie 'Guest

access enabled for LAN 4' en daarna sluit

je de smart-tv aan op LAN-poort 4 van de

router. Daarnaast kun je ook een wifigastnet-

werk activeren (via 'Wireless / Guest Access').

Het resultaat: je smart-tv wordt gescheiden

van alle andere netwerkapparaten, vooral

die met vertrouwelijke data. Wordt de tv

geïnfecteerd, dan kan die infectie zich niet

zomaar verspreiden. Internetverkeer werkt

ongehinderd, inclusief firmware-updates en

streamen. Nadelen: je hebt geen toegang tot

lokale netwerkbronnen en gegevens kunnen

ongehinderd richting internet lekken.

De meeste routers bieden een enkel

gastnetwerk. Als daarin ook andere appa-

raten zijn opgenomen, kunnen ze elkaar

aanvallen. Daarom moet je indien beschik-

baar de optie om je accesspoint te isoleren

activeren. Daarbij kunnen apparaten wel

met internet communiceren, maar niet met

elkaar. Voor het wifigastnetwerk activeer je

dat op een Fritzbox bijvoorbeeld bij 'Wifi /

Guest Access / Additional settings'. Deacti-

veer de optie 'Wireless devices may commu-

nicate'. Apparaten op het wifigastnetwerk

kunnen dan echter nog wel apparaten in

het gast-LAN-netwerk bereiken. Complete

accesspoint-isolatie voor wifi en LAN bieden

Fritzboxen niet.

De accesspoint-isolatie moet juist uit-

geschakeld zijn als je een NAS in het gast-

netwerk zet om content naar je smart-tv te

streamen. Als die NAS twee netwerkpoorten

heeft, kun je de tweede poort gebruiken

voor het normale thuisnetwerk. Je moet de

poorten dan niet in een bridge-modus laten

werken, anders kan malware alsnog contact

maken met het thuisnetwerk.

Routercascade. Daarbij zet je een

tweede NAT-router achter de eerste om

twee gescheiden subnetwerken te creëren.

Je smart-tv hang je aan de eerste NAT-router

(het eerste subnetwerk), alle overige appara-

ten (je pc, NAS, printer, tablet, smartphone

et cetera) sluit je aan op de tweede NAT-

router (tweede subnetwerk).

Het resultaat: de smart-tv heeft geen

toegang tot apparaten in het tweede sub-

netwerk, waar zich de apparaten met ver-

trouwelijke data bevinden. Omgekeerd kun-

nen apparaten in het tweede subnetwerk

wel verbinding maken met de smart-tv

omdat NAT verkeer in die richting doorsluist.

Nadelen: netwerkbronnen die via DLNA

of Bonjour worden gedeeld zijn niet in het

andere subnetwerk zichtbaar, de smart-tv

vindt die niet. Automatische port-forwar-

dings in het tweede subnetwerk (UPnP)

werken niet. Dat kan problemen veroor-

zaken met games, maar ook met de (door

andere producten vervangen) Remote-

Control-dienst van Apple 'Terug naar mijn

Mac'. Apparaten uit het tweede subnetwerk

kunnen de smart-tv alleen benaderen via

het ip-adres.

Internetverkeer filteren

Een efficiënte manier om internettoegang

te controleren is het uitfilteren van DNS-

requests voor ongewenste domeinen. Die

domeinen worden dan verzameld op een

zwarte lijst (blacklist). Zo kun je bij smart-

tv's bijvoorbeeld het wegvloeien van data

beperken. Die techniek wordt ook veel ge-

bruikt om verbindingen te blokkeren met

opdringerige advertentienetwerken, zoals

adkeeper.com.

Blacklist. Veel thuisrouters kunnen

DNS-requests filteren en op die manier ver-

hinderen dat bepaalde internetdomeinen

bereikt worden. Een blacklist is doorgaans

beperkt tot een bepaald aantal domeinen,

bijvoorbeeld 500. Dat is genoeg voor de

belangrijkste. Je kunt kant-en-klare blacklists

downloaden, bijvoorbeeld via de link aan

het eind van dit artikel. Dat zijn tekstbestan-

den die je met een eenvoudige teksteditor

kunt bewerken. Om reclameservers te blok-

keren is 500 items wel een beetje mager –

en bovendien wijzigen die servers vaak van

domeinnaam.

Het resultaat: je smart-tv kan ongehin-

derd communiceren op het LAN, de com-

municatie naar buiten is eenvoudig te be-

perken. Je kunt het filter ook gebruiken om

het surfgedrag van je kinderen te reguleren.

Nadelen: het bijhouden van zo'n blacklist is

bewerkelijk, de filteropties zijn beperkt en de

apparaten in het lokale netwerk worden niet

tegen elkaar beschermd.

89c’t 2019, Nr. 3

Praktijk | Smart-tv: tips voor veilig configureren

Pi-hole als DNS-proxyMet een domeingebaseerd filter (blacklist) kun je verhinderen dat smart-tv's communiceren met kwaadaardige of verdachte servers op internet.

client

ct.nl?

185.173.21.78 185.173.21.78

Pi-hole DNS-server

ct.nl?

client

google-analytics.com?

0.0.0.0

Pi-hole DNS-server

Pi-hole. Dat is een uitgebreider DNS-fi lter

dat op een Raspberry Pi draait en de hui-

dige verbindingspogingen weergeeft in een

grafi sche interface. Die kun je een browser

vanaf elke pc in het lokale netwerk openen.

Er zijn talloze blacklists beschikbaar voor Pi-

hole die door de community worden bijge-

werkt. Je kunt ze combineren en met een

muisklik aanpassen aan je wensen.

Pi-hole kun je combineren met een gast-

netwerk of routercascade. Er zijn erg veel

kant-en-klare blacklists voor Pi-hole. Gebrui-

ker Akamaru heeft ze ingedeeld op categorie

en ze zijn er voor allerlei toepassingen.

Pi-hole voor het LANOm ervoor te zorgen dat het fi lter werkt,

moeten alle apparaten in het LAN de DNS-

resolver van Pi-hole gebruiken. Dat is mak-

kelijk voor elkaar te krijgen als je op je router

bij de DHCP-instellingen een adres kunt op-

geven voor een lokale DNS-server. Maak je

je zorgen over de beschikbaarheid van die

DNS-service, dan kun je een tweede Pi-hole

toevoegen.

Bij een Fritzbox-router zit die instelling

bijvoorbeeld bij 'Home Network / Network

/ Network Settings / IPv4 Addresses' bij de

optie 'Local DNS server'. Daar staat norma-

liter het adres van je router. Vul daar het

ip-adres van de Raspberry Pi in, wat je kunt

vinden in het netwerkoverzicht van de

router. Stel op de router bovendien in dat

de Pi altijd hetzelfde ip-adres krijgt toege-

wezen. Bij een Fritzbox ga je bijvoorbeeld

naar 'Home Network / Network' en klik je

op het potloodpictogram om de instellin-

gen voor de Raspberry Pi te bewerken. Zet

een vinkje bij de optie 'Always assign this

network device the same IPv4 address' en

bewaar de wijzigingen.

Het resultaat: gedetailleerde controle over

de bestemmingen waar je smart-tv op in-

ternet naartoe mag en onbelemmerd ver-

keer via het LAN. Nadelen: de confi guratie

vereist wat tijd en netwerkkennis. Uitbrei-

den van het fi lter moet je voorzichtig doen

om te vermijden dat gewenste diensten

geblokkeerd worden. Je moet ook niet

zomaar cryptische domeinen gaan blok-

keren omdat die lang niet allemaal naar

een kwaadaardige server leiden.

Om helemaal op safe te spelen, kun

je zeker in het begin het beste bijhouden

welke domeinen je wanneer geblokkeerd

hebt. Dat maakt het makkelijker om fou-

ten op te sporen als een internetdienst

hapert. Onder de streep biedt Pi-hole

gezien de investering de meeste meer-

waarde en zal het voor veel gebruikers

de beste optie zijn.

Raspberry Pi als firewallJe moet er wel rekening mee houden dat

veel smart-tv's Googles DNS-servers gebrui-

ken, ook al is binnen het netwerk een lokale

DNS-server ingesteld. In dat geval doet Pi-

hole niets. Je hebt dan wat netwerkkennis

nodig om een fi rewall zo in te stellen dat

DNS-requests actief omgeleid worden naar

de lokale DNS-server. Die mogelijkheid ont-

breekt op de meeste thuisrouters. De Rasp-

berry Pi biedt een alternatief: je zet hem in

als router voor de smart-tv en gebruikt zijn

fi rewall (iptables). De smart-tv verbind je

voor het gemak via wifi met een Raspberry

Pi 3B+ en de ethernetpoort van de Pi hang

je aan de router.

De geïntegreerde ethernetpoort op de

Pi is in ons voorbeeld eth0, wifi is wlan0. Het

bestand /etc/interfaces moet dan als volgt

worden aangepast:

/etc/interfaces

source-directory

/etc/network/interfaces.d

auto br0

iface br0 inet static

bridge_ports wlan0

address 192.168.222.1

netmask 255.255.255.0

iface wlan0 inet manual

auto eth0

iface eth0 inet dhcp

Om de Pi als wifitoegangspunt te laten

werken, installeer je het pakket hostapd.

Vervolgens kun je via de link onderaan

dit artikel het geprepareerde confi guratie-

bestand hostapd.conf downloaden en in

/etc/hostapd opslaan. Pas de instellingen

in dat bestand eventueel aan en gebruik

de gegevens voor de SSID en versleuteling

later om je smart-tv met de Pi als router te

verbinden:

interface=wlan0

ssid=tv-router

wpa=1

wpa_passphrase=smart-tv-afschermen

wpa_key_mgmt=WPA-PSK

wpa_pairwise=CCMP

rsn_pairwise=CCMP

Voor een Raspberry Pi 3 of nieuwer kun je

de standaarddriver nl80211 en de geïnstal-

leerde HostAP-deamon gebruiken. Om die

automatisch te laten starten, moet het pad

van het confi guratiebestand (/etc/ default/

hostapd) worden toegevoegd in DEAMON_CONF.

Verder moet je ervoor zorgen dat de

Raspberry Pi de ontvangen pakketten door-

stuurt naar internet. Daartoe activeer je het

forwarden voor IPv4 en IPv6 met de volgen-

de regels in het bestand /etc/sysctl.conf:

net.ipv4.ip_forward=1

net.ipv6.conf.all.forwarding=1

IPv6 is voor smart-tv's normaliter overigens

niet nodig omdat ze dat (nog) niet gebrui-

ken. Dan ontbreekt nog de adresomzetting

via NAT, zodat ontvangen pakketten vanaf

internet hun weg naar de smart-tv kunnen

vinden. Dat doet de fi rewall van de Pi, het

vereiste commando luidt:

sudo iptables -t nat -A POSTROUTING

-o eth0 -j MASQUERADE

Om ervoor te zorgen dat je die opdracht

na een herstart niet opnieuw hoeft uit te

voeren, moet je het pakket iptables-per-

sistent installeren en bij de automatische

90 c’t 2019, Nr. 3

Praktijk | Smart-tv: tips voor veilig configureren

Firewall-regelsAls een apparaat de ingestelde DNS-server negeert, kun je de ongewenste DNS-requests naar buiten met eenvoudige firewall-regels alsnog richting Pi-hole dwingen.

smart-tv

DNS-request naar Google-DNS

Pi als router

lokale DNS(Dnsmasq)

internetfirewall

(iptables)

CascadeZet je twee routers achter elkaar, dan ontstaan door de standaard Network Adress Translation (NAT) twee subnetwerken. Apparaten uit het tweede subnetwerk kunnen toegang krijgen tot apparaten uit het eerste, maar niet andersom.

Internet

router 1

router 2

thuisnetwerk 1

thuisnetwerk 2

configuratie daarvan de huidige firewall-

instellingen laten bewaren. Voeg je ach-

teraf extra regels toe die je bij elke start

wilt toepassen, dan kun je met

dpkg-reconfigure iptables-persistent

de nieuwe instellingen bewaren. De Rasp-

berry Pi is dan geconfigureerd als NAT-

router en na een herstart beschikbaar als

wifitoegangspunt. Installeer vervolgens

Pi-hole en volg de aanwijzingen van de in-

staller op.

Ga in een browser naar de beheer-

webinterface van Pi-hole (bijvoorbeeld

192.168.222.1/admin). Log in als adminis-

trator en activeer in het Settings-menu op

het tabblad DHCP de DHCP-service.

Clients die zich via wifi op de Pi aan-

melden krijgen hun netwerkinstellingen

dan via DHCP van Dnsmasq op de Pi-hole.

De DNS-requests komen ook bij Dnsmasq

binnen. Pi-hole laat die zien in de grafische

interface. Daar zie je ook of P-hole ze door-

laat of blokkeert.

In het laatste geval levert Pi-hole niet

het daadwerkelijke ip-adres terug van het

gevraagde domein, maar het niet routeer-

bare adres 0.0.0.0. Een smart-tv zal dan

bijvoorbeeld niet de server van een adver-

tentienetwerk kunnen bereiken (zoals app-

measurement.com). Je kunt ook de DNS-

resolutie voor willekeurige domeinen met

een muisklik toestaan of verbieden.

Om verbindingen met andere DNS-

servers te onderscheppen, kun je alle pak-

ketten met doelpoort 53 door de Pi laten

omleiden en door Dnsmasq laten beant-

woorden:

sudo iptables -t nat -A PREROUTING -i

br0 -p udp --dport 53 -j DNAT --to

192.168.222.1

sudo iptables -t nat -A PREROUTING -i

br0 -p tcp --dport 53 -j DNAT --to

192.168.222.1

sudo dpkg-reconfigure

iptables-persistent

Test vervolgens of DNS-requests richting

Googles DNS-servers doorkomen. Ver-

bind eerst een notebook via wifi met de

Raspberry Pi. Probeer daarop contact te

maken met een geblokkeerd domein als

app-measurement.com en stuur de DNS-

request met het dig-commando naar

Googles DNS-servers (dig is onderdeel van

de Bind-tools, zie de link hieronder).

Dig @8.8.8.8 app-measurement.com

Dat valt onder DNS-verkeer via UDP en

zou in de answer-sectie het adres 0.0.0.0

moeten opleveren als de firewall-regel

ingrijpt. Aan het eind bij de uitvoer moet

het ip-adres staan van de reagerende

DNS-server. Dat moet niet 8.8.8.8 zijn,

maar 192.168.222.1. Clients kunnen DNS-

requests ook via TCP versturen. Of die ook

worden geblokkeerd, controleer je door

+tcp achter de opdracht te plakken.

Als je iptables-regels wilt verwijderen,

laat je eerst alle regels tonen met vermel-

ding van de rijnummers:

iptables -t nat -L --line-numbers

De regel in rij 1 verwijder je als volgt:

iptables -t nat -D PREROUTING 1

Het resultaat: volledige controle over DNS-

requests, gedetailleerde controle over op

DNS gebaseerd ip-verkeer. Nadelen: de Pi

maakt een eigen wifinetwerk aan voor je

smart-tv. Om conflicten met je gewone

wifi te vermijden, moet je de router au-

tomatisch het wifikanaal laten kiezen. De

Pi en de smart-tv vormen een eigen sub-

netwerk. De smart-tv kan via de Raspberry

Pi toegang krijgen tot NAS-apparaten en

andere gedeelde bronnen op het hoofd-

netwerk via de ip-adressen. Maar toegang

via DLNA en Bonjour komt niet voorbij de

Pi. In theorie kunnen andere apparaten in

het thuisnetwerk worden aangevallen.

Om dat te verhinderen, kun je de Pi

inclusief de smart-tv het beste op een gast-

netwerk aansluiten. Een alternatief is om

toegang van de smart-tv richting kwetsba-

re apparaten in het thuisnetwerk te blokke-

ren in de firewall. Dat gaat het makkelijkst

als die apparaten in een eigen adresbereik

zijn gezet, bijvoorbeeld 192.168.178.150

tot en met 192.168.178.199:

sudo iptables -A INPUT -m iprange

--src-range

192.168.178.150-192.168.178.199 -j DROP

sudo dpkg-reconfigure

iptables-persistent

Apparaten waar de smart-tv wel bij moet

kunnen (bijvoorbeeld een NAS), moeten

dan ip-adressen krijgen buiten dat bereik

(bijvoorbeeld 192.168.178.149). (mdt) c

www.ct.nl/softlink/1903088

91c’t 2019, Nr. 3

Praktijk | Smart-tv: tips voor veilig configureren

92 c’t 2019, Nr. 3

Test | Smart-tv: losse streamingapparaten

Streamingkastjes als de Apple TV 4K bieden allerlei diensten via een overzichtelijke interface op je tv-toestel.

Slimmere smart-tvZelfstandige streamingkastjes voor je tv

In een smart-tv geïntegreerde apps

voor streamen zijn handig. Maar er

zijn goede redenen om een apart

streamingkastje als een Apple TV

4K of Chromecast Ultra op je smart-

tv aan te sluiten, bijvoorbeeld voor

een breder aanbod van diensten

of om je privégegevens beter af te

schermen.

Nico Jurran

E igenlijk zou er geen markt meer

moeten zijn voor externe kastjes

die multimediacontent op de tv af-

spelen. De tv's van tegenwoordig zijn im-

mers 'smart' en bieden via ingebouwde

apps rechtstreeks toegang tot content op

internet.

Maar niet alleen de streamingoplos-

singen Nvidia Shield en Chromecast Ultra

blijven onverminderd populair. Met de

Apple TV 4K en Amazons Fire TV Stick 4K

zijn er zelfs nieuwe opties bij gekomen

voor 4K-content. Daarnaast kun je ook

de gameconsoles van Microsoft en Sony

gebruiken als mediastreamer. En ook de

pc is herontdekt als videobron.

Een reden voor een los apparaat is

wellicht dat er in huis nog een tv is zon-

der smartfuncties. Sommige kopers kie-

zen ook bewust voor een 'dom' scherm

in plaats van een slimme tv. Of je gebruikt

een beamer, waar meestal geen apps bij

ingebouwd zitten. Tot slot zijn streaming-

kastjes ook interessant voor een (iets)

oudere smart-tv, waarbij de apps be-

perkt of helemaal niet meer werken. Als

de ingebouwde Netfl ix- of YouTube-app

niet meer wordt bijgewerkt, houdt het

streamen op een gegeven moment op.

Er kunnen ook technische redenen zijn,

zoals een ingebouwde processor die te

traag is geworden.

Een apart kastje is soms zelfs de enige

manier om bepaalde content te krijgen:

wil je films en series uit Apples iTunes-

winkel op tv bekijken zonder daar een

Mac op aan te sluiten, dan is de Apple TV

een oplossing. Ook streamingdiensten

zoals VRT Nu, NL Ziet en NPO Start (Plus)

zitten alleen op sommige modellen tv's.

In de tabel staat welke dienst door welk

kastje wordt ondersteund.

Een andere reden voor een apart

kastje is minder voor de hand liggend:

de bescherming van je privacy. Zo is bij

smart-tv's vaak niet duidelijk welke ge-

gevens ze doorsluizen en naar wie. Ook

bij losse kastjes worden gegevens verzon-

den, maar Apple zegt bijvoorbeeld alleen

noodzakelijke gegevens te versturen en

die niet verder te delen. Bij een Fire TV

Stick en Chromecast Ultra weet je in elk

geval waar je data heen gaat (Amazon

respectievelijk Google).

4K, HDR en 3D-geluidQua techniek verslaat Amazons nieuwe Fire

TV Stick 4K de oplossingen van zijn concur-

renten: de stick toont video's in 4K in alle

mogelijke formaten, zoals H.264, HEVC en

VP9, met HDR in de formaten HDR10, HLG,

Dolby Vision en HDR10+ en met Dolby-

Atmos-geluid. Ook de Apple TV 4K doet

op hoog niveau mee, en dan inclusief

UHD-video met Dolby Vision en Dolby

Atmos op de daarvoor geschikte thuis-

bioscoopapparaten.

Die twee spelers ondersteunen beide

ook het aanpassen van de beeldverver-

singsfrequentie op hun HDMI-uitgangen

aan de oorspronkelijke framerate van de

video. Dat is belangrijk voor een vloei-

ende weergave. De officiële app van

Netfl ix voor de Shield TV laat daar steken

vallen. De app biedt 4K met HDR, maar

geen 3D-geluid. Maar erger is dat video's

met een vaste beeldverversingsfrequen-

tie getoond worden, die niet goed past

bij de inhoud van Netflix. Dat zorgt op

veel tv's voor wat schokkerige beelden.

Nvidia ondersteunt het apparaat zelf wel

onvermoeibaar sinds de introductie in

2015 en heeft onlangs zelfs nog een up-

date uitgebracht naar Android 8.x Oreo als

besturings systeem.

Gameconsoles zijn natuurlijk meer

dan alleen een streamingoplossing. Behal-

ve een potje gamen kun je er ook dvd's

en blu-rays (bij de Xbox One X zelfs in 4K)

mee afspelen. Wat betreft de Xbox One is

de Dolby-Vision-ondersteuning voorlopig

wel beperkt tot Netfl ix.

Een pluspunt van de Xbox One en de

Shield TV is dat je daar offi cieel de medi-

aspeler Kodi op kunt installeren. Daarmee

kun je ook fi lms vanaf je NAS afspelen, al

naargelang het systeem zelfs in 4K en met

HDR en 3D-geluid in Dolby-Atmos-, DTS:X-

of Auro-3D-formaat. Op de Apple TV kun

je eventueel de betaalde app Infuse in-

stalleren, waarmee je ook fi lms vanaf een

NAS kunt afspelen, maar dan zonder HDR-

beeld of 3D-geluid.

93c’t 2019, Nr. 3

Test | Smart-tv: losse streamingapparaten

Streamingboxen

Fabrikant Amazon Apple Google Microsoft Nvidia Sony Diverse

Product Fire TV Stick 4K Apple TV 4K Chromecast Ultra

Xbox One S / X Shield TV Playstation 4 Pro Windows-PC

Website amazon.com apple.nl google.nl microsoft.nl nvidia.com sony.nl diverse

Videodiensten

Amazon Video / Netfl ix / iTunes

v / v / – v / v / v – / v / – v / v / – v / v / – v / v / – v / v / v

Pathé / Sky Ticket / Videoland

– / v / – v / v / v v / v / v v / v /– v / – / v v / v / v v / v / v

Google Movies / YouTube / Vimeo

v / via browser / v

– / v / v v / v / v – / v / v v / v / v – / v / – v / v / v

TV-streamingdiensten

NL Ziet / NPO / VRT Nu

– / – / – v / v / v v / v / v – / – / – v / – / – – / – / – v / v / v

Eurosport / Sport 1 v / v v / v v / – v / – v / – v / – v / v

Mediatheken / socialemedia

Facebook Watch (video's) / TED

v / v v / v – / v v / v v / v – / – – / v

Mediaplayer / Mediacenter

Infuse / Kodi – / – v / – v (iOS) / v – / v – / v – / – – / v

Ondersteunde formaten

Full hd / 4K v / v v / v v / v v / v v / v v / v v / v

HDR10 / Dolby Vision / HDR10+

v / v / v v / v / – v / v / – v / v / – v / – / – v / – / – v / v / –

Multichannel / Dolby Atmos

v / v v / v v / – v / v v / v v / – v / v

Aansluitingen / overige

Uitvoering stick kastje puck spelconsole kastje spelconsole pc

Bediening afstands-bediening

afstands-bediening

mobiel ap-paraat

controller of af-standsbediening

controller of afstands-bediening

controller of afstands -bediening

diverse opties

Ethernet / wifi via accesspoint / v

v / v v / v v / v v / v v / v v / v

Optische media – – – UHD-BD en BD – BD naar keuze

Spraakbediening v (Alexa) v (Siri) via Google Home

v (Cortana) – – v (Cortana)

Prijs € 79 vanaf € 195 € 79 vanaf € 240 / € 480

vanaf € 210 vanaf € 400 al naargelang uitvoering

v aanwezig – niet aanwezig

Nog een afstandsbedieningHet gebruik van een apart streaming-

kastje heeft ook nadelen. Afgezien van de

aanschafkosten krijg je ook te maken met

extra kabels. Veel mensen storen zich ook

aan alweer een extra afstandsbediening.

De bijgeleverde afstandsbedieningen van

de Apple TV 4K en Fire TV Stick 4K kunnen

overigens wel enkele basisfuncties aan-

sturen van de tv en eventueel een A/V-

receiver of soundbar. Google doet het

anders bij de Chromecast Ultra: die kleine

puck heeft helemaal geen afstandsbedie-

ning, maar in plaats daarvan bedien je

hem via een Android- of iOS-app op je

mobiele apparaat. Apps met Chromecast-

ondersteuning op dat apparaat kunnen

content met één klik naar de Chromecast

streamen.

Microsoft heeft zijn console ook ont-

wikkeld met streamen als toepassing.

Daar wordt ook een officiële afstands-

bediening voor aangeboden. Bij de Play-

Station 4 ontbreekt zoiets, al kun je er

wel apps voor streamingdiensten op in-

stalleren. Als je het apparaat niet met de

gamecontroller wilt besturen, moet je een

afstandsbediening van een andere fabri-

kant gebruiken.

Streamen vanaf een pcDe pc neemt in dit rijtje een bijzondere

plek in. Er zijn in principe voor alle mo-

gelijke videostreamingdiensten apps

beschikbaar, in elk geval voor Windows

10. Maar om die te gebruiken, moet je

systeem aan bepaalde eisen voldoen.

Behalve een snelle processor zijn vaak

ook een grafi sche kaart en scherm ver-

eist met een HDMI-aansluiting die HDCP

2.2 ondersteunt – zeker als je video's met

ultrahoge (4K-)resolutie wilt afspelen. De

contentleveranciers stellen die eis om

te verhinderen dat content gekopieerd

kan worden. Voordeel van de pc is dan

wel weer dat ook bijna alle diensten via

de browser zijn te benaderen. Apps voor

regionale diensten zoals VRT Nu en NPO

komen vaak pas laat (of niet) beschikbaar

voor de andere systemen.

Bij tests van computers en grafi sche

kaarten (zoals in c't 12/2018) gaan we

vaak op de eigenschappen in die relevant

zijn voor streaming(diensten).

ConclusieAls je qua techniek en qua apps de nieuw-

ste mogelijkheden wilt, kun je het beste

de Apple TV 4K of Amazons Fire TV Stick

4K kopen. Googles Chromecast Ultra is

Bij sommige streaming-oplossingen krijg je (nog) een afstandsbediening geleverd of kun je die los aanschaff en.

vooral ideaal als je je smartphone altijd

bij de hand hebt. Dat zou je met je even-

tuele huisgenoten moeten bespreken. De

Shield TV is al wat ouder, maar door de

updates en de toepassingsmogelijkheden

als NAS-afspeelapparaat nog steeds inte-

ressant voor als je veel content downloadt

en verzamelt.

Bij de PlayStation 4 Pro moet je de

streamingfuncties als leuke extra zien:

puur als streamingkastje is het apparaat

zijn aanschafprijs niet waard. De Xbox One

is daarmee vergeleken aantrekkelijker, al

koop je voor de prijs van de X-versie ook

net zo makkelijk een streamingkastje én

een UHD-blu-rayspeler.

De pc tot slot is een echte allrounder.

Maar in tegenstelling tot bij de losse strea-

mingkastjes kun je die niet zomaar ge-

bruiken, maar moet je van tevoren goed

kijken naar de systeemeisen en mogelijke

beperkingen. (mdt) c

Ultimaker maakt betrouwbare

3D-printers die zuivere prints

met hoge resolutie produceren.

Chinese fabrikanten maken die

printers graag na, maar dan goed-

koper. We hebben de klonen het

eens laten opnemen tegen hun

originelen.

Pina Merkert

Ultimaker versus zijn klonen3D-printers volgens het Ultimaker-concept vanaf 350 euro

Het ontwerp van alle Ultimaker-

modellen is voor iedereen toe-

gankelijk (Open Hardware). Parti-

culieren en bedrijven kunnen de printers

eenvoudig namaken zonder daarbij licen-

tiekosten te hoeven afdragen aan de Ne-

derlandse fabrikant. Vooral omdat er geen

patent op het ontwerp met de kruisende

assen rust, maken ook Chinese fabrikan-

ten 3D-printers die hetzelfde principe ge-

bruiken. Dat maakt snel printen mogelijk,

met weinig trillingen en een hoge preci-

sie – ook bij grotere objecten. Ultimaker

publiceert zelfs bouwtekeningen en CAD-

bestanden, maar niet de lijst van toeleve-

ranciers. Daarom is alleen bij een echte

Ultimaker de kwaliteit van het origineel

gegarandeerd. Bovendien krijg je daarbij

natuurlijk andere service.

We wilden eens kijken hoe goed die

Chinese printers het doen in vergelijking

met de originele versies. We kochten een

94 c’t 2019, Nr. 3

Test | 3D-printers

Ultimakers 3D-printers gebruiken een uit-

gekiende aandrijving voor de X- en Y-as.

In beide richtingen lopen sledes met glij-

lagers over een as die meteen dient als

aandrijving voor de andere as. De twee

sledes die in de X-richting bewegen zijn

verbonden door een gepolijste stalen

stang. Ook tussen de sledes voor de

Y-richting loopt zo'n stang. De printkop

loopt met lineaire kogellagers over die

twee stangen. Dankzij dat principe (en

een Bowden-extruder) is voor geen en-

kele bewegingsrichting een zware stap-

penmotor nodig. Dat maakt hoge print-

snelheden mogelijk en beperkt trillingen,

die je anders terug zou zien in de prints.

Ultimaker-principe

slede

glijlager

as

printkop

lineaire lager

In tegenstelling tot bij het origineel zijn bij Blurolls de randen van de gefreesde platen niet gevijld, waardoor we ons sneden. De kogellagers voor de assen pasten alleen met wat geweld. Bij het plaatsen ontstonden scheurtjes in de zijkanten, die echter geen negatieve gevolgen voor de werking hadden.

zelfbouwkit voor een printer die uiter-

lijk nauwelijks van een Ultimaker 2+ te

onderscheiden was voor circa 800 dollar

(met invoerrechten kwam dat op circa 835

euro). Verder kochten we een CL-260 van

aluminium profielen voor circa 350 euro

(inclusief invoerrechten). Die CL-260 is ty-

pisch voor allerlei Chinese 3D-printers. Die

zijn vooral gericht op een zo laag moge-

lijke prijs voor de kit en daarom wijkt de

constructie op allerlei punten vaak af. Op

de website van Ultimaker zie je welke mo-

dellen zij momenteel verkopen: de 2+ met

Olsson-blok, de 3 met dual-extrusion en

de compleet nieuwe S5 met groter werk-

volume en filament-flow-sensor.

Verschillende doelgroepenDe drie kant-en-klare apparaten van Ulti-

maker zijn prijzig. De 2+ kost zo'n 2200

euro, de 3 kost meer dan 3500 euro en de

Ultimaker S5 valt met 6500 euro helemaal

buiten het budget van consumenten. Maar

daar is hij ook niet voor bestemd. De S5

wordt door Ultimaker specifiek voor be-

drijven gepromoot en de workflow is ook

gericht op de eisen van constructeurs in het

bedrijfsleven. De Ultimaker 3 en S5 hebben

bijvoorbeeld een printserver die print-

opdrachten kan verwerken vanaf alle pc's in

het lokale netwerk. Makers sturen hun op-

drachten meteen vanuit de slicing- software

Cura via Cura Connect naar de printer. Je

kunt ook meerdere printers in een pool

combineren. Als de werkruimte leeg is,

beginnen de printers zelfstandig met

printen, wat in de praktijk goed werkt. De

hoogte van het printbed wordt voor elke

opdracht automatisch aangepast en de ex-

truders worden met kleine hoopjes plastic

in de hoeken geïnitialiseerd. Voordat een

volgende printopdracht gestart wordt,

moet iemand het object handmatig verwij-

deren uit de werkruimte (en de boel door-

gaans eerst opruimen en schoonmaken) en

dat bevestigen. In een bedrijf met meerde-

re Ultimakers kan een enkele medewerker

dat doen, zonder dat een constructeur daar

tijd in hoeft te steken.

De Ultimaker 2+ mist netwerkfuncties.

Je kunt hem via usb opdrachten geven,

maar dan blijft het initialiseren van de ex-

truders achterwege en komt er vaak pas na

enkele banen plastic uit. Ultimaker lijkt er

vanuit te gaan dat je de 2+ op de gang-

bare manier met een SD-kaart voorziet van

printopdrachten. Dan wordt namelijk wel

vóór elke printopdracht automatisch een

hoopje plastic in de hoek gedeponeerd en

wordt de eerste baan meteen goed geprint.

Opdrachten op een kaart zetten doe je met

Cura, dus ten opzichte van de voor een net-

werk geschikte versies komt er een wande-

ling bij van de ontwerp-pc naar de printer.

Een automatische wachtrij is er niet, in

de praktijk zal er misschien een stapeltje

SD-kaarten groeien naast de printer.

De door ons bestelde Ultimaker 2+-kloon

van Blurolls gedraagt zich dankzij de iden-

tieke firmware net als een originele 2+. Het

in elkaar zetten duurde echter negen uur.

Blurolls levert geen handleiding mee, maar

we konden de uitstekende instructies van

95c’t 2019, Nr. 3

Test | 3D-printers

Ultimaker 3

De Ultimaker 3 heeft twee extruders

en twee nozzles. Daarmee kun je niet

alleen twee kleuren van dezelfde kunst-

stof printen, maar ook oplosbaar steun-

materiaal van PVA gebruiken. Filament

van Ultimaker heeft een chip en wordt

via NFC automatisch herkend door de

printer. Maar bij kunststof zonder chip

kun je de printer ook via het menu zelf

instellen.

De Ultimaker 3 stelt de bedhoogte

automatisch in via een capacitieve sen-

sor, die de eigenlijke nozzle gebruikt

voor de afstandsmeting. Dat werkt goed

genoeg voor een betrouwbare hech-

ting, maar we kregen vaak een fraaier

resultaat bij de eerste laag als we de

bedhoogte met de hand instelden, zoals

dat ook kan bij de Ultimaker 2+.

De Ultimaker 3 gebruikt in Cura met

80 millimeter per seconde de hoogste

standaard printsnelheid van alle test-

apparaten. Ondanks het hoge tempo

print hij net zo zuiver als de 2+. Print je

met twee materialen, dan gaat het lang-

zamer. De printer moet bij wisselen van

nozzle de tweede nozzle dan steeds via

een hefboom bij het hot-end laten dalen

of stijgen.

Dankzij een ethernetpoort en de

wifimogelijkheid kun je printopdrachten

voor de Ultimaker 3 makkelijk via Cura

Connect starten vanaf elke pc in het lo-

kale netwerk.

De nozzles zijn bij de Ultimaker 3

vast verbonden met zogeheten print-

cores, die zonder gereedschap verwis-

seld kunnen worden. Als je vervan-

gende exemplaren op voorraad hebt,

beperk dat het oponthoud bij proble-

men. Bij een verstopte nozzle moet je

echter wel meteen de hele combinatie

vervangen.

  Cura Connect

  dual-versie, autom. bedafstelling

  prijzig

Ultimaker S5

De S5 is Ultimakers huidige vlag-

genschip en richt zich qua prijs en

functionaliteit nog meer dan de 3 op

bedrijven. Zijn werkvolume is met 33

× 24 × 30 centimeter duidelijk groter

dan bij de andere 3D-printers. Om er-

voor te zorgen dat de stalen stangen

waar het hot-end over glijdt niet verder

buigen, moeten ze aanzienlijk dikker

zijn. Er moet dan ook meer massa in

beweging gebracht worden, waardoor

de printsnelheid daalt tot 45 mm per

seconde. Als je dat via de printinstel-

lingen niet verhoogt, produceert de S5

net zulke zuivere prints als de 2+ en 3.

Bij een printbed van 33 × 24 cen-

timeter mag je er niet echt meer van

uitgaan dat dit perfect vlak ligt. De S5

leest dan ook voor elke print met een

capacitieve sensor een puntenraster

uit met tussenafstanden van 5 centi-

meter. Dat zorgde bij de tests steeds

voor een perfect ingestelde bedhoog-

te, ook in de hoeken.

Net als de Ultimaker 3 heeft de

S5 twee nozzles en twee extruders.

De extruders bevatten bovendien een

filament-flow-sensor, die herkent of

het filament op is en of een van de

nozzles verstopt is. Bij problemen pau-

zeert de printer automatisch, zodat je

de print naadloos kunt hervatten na-

dat het filament is aangevuld of de

verstopping verholpen.

Voor de bediening heeft de S5

een kleurentouchscreen. Net als het

model eronder is hij via wifi of ether-

net bereikbaar met Cura Connect, zo-

dat meerdere gebruikers prints in een

wachtrij kunnen plaatsen. De materi-

aalherkenning via NFC en het verwis-

selen van print-cores inclusief nozzles

werkt hetzelfde als bij de Ultimaker 3.

  groter bouwvolume

  2 filament-flow-sensors

  erg prijzig

Ultimaker 2+

De Ultimaker 2+ is de goedkoopste

kant-en-klare Ultimaker. Zijn enkele

nozzle met Olsson-block print be-

trouwbaar op de boriumsilicaat glas-

plaat op het verwarmde printbed. Dat

wordt ook heet genoeg voor ABS.

Fila menten met 2,85 mm diameter

worden met een enkele extruder

vanaf de achterkant aangevoerd van-

af spoelen met maximaal 750 gram

kunststof. Spoelen met een kilo of

meer zijn breder en passen niet op de

filamenthouder aan de achterzijde.

De bedhoogte stel je ouderwets

in met de hand via stelschroeven,

maar de firmware helpt met prak-

tische tips. Nozzles van 0,2 tot 0,6

mm doorsnede worden bijgeleverd

(wij hebben getest met 0,4 millime-

ter). Om ze te verwisselen, moet je

de nozzle verhitten en met het bij-

geleverde gereedschap losschroe-

ven (kijk uit voor brandwonden). De

printer herkent niet automatisch of

het filament tijdens het printen op is.

De printer werkte bij de test

doorgaans probleemloos en lever-

de producten met een net zo hoge

kwaliteit als de twee duurdere Ulti-

makers. Bij problemen met hech-

ting op het printbed hadden we en-

kele malen een kluwen plastic in de

werkruimte of een grote prop plastic

die door het beschermrooster van de

ventilatie heen stak. Dat laatste was

alleen op te lossen door de ventilatie

los te schroeven (een uur werk, als

je weet wat je doet). Wees voorzich-

tig met warping: in extreme geval-

len kunnen de beschermroosters

meegetrokken worden en buigen ze

naar buiten, waardoor de zijwanden

bekrast raken.

  print betrouwbaar

  kant-en-klaar apparaat

  geen Cura Connect

96 c’t 2019, Nr. 3

Test | 3D-printers

Blurolls Ultimaker 2+-kloon

Alle Ultimakers zijn Open Hardware.

Daarom kan de Chinese fabrikant Blu-

rolls probleemloos een kloon aanbie-

den via Aliexpress op basis van het

originele ontwerp. De afzonderlijke

onder delen zijn echter niet afkomstig

van dezelfde leveranciers als bij Ul-

timaker, dus de kit kan niet dezelfde

kwaliteit garanderen. Qua uiterlijk en

functionaliteit komt het echter overeen

met een Ultimaker 2+. Dat Blurolls op

ons testapparaat 'Ultimaker 2+' heeft

gezet mag echter niet – een kloon ver-

kopen als origineel is strafbaar.

Blurolls levert geen montagehand-

leiding mee. Met de originele instruc-

ties van Ultimaker konden we de kloon

echter in circa negen uur in elkaar zet-

ten. Omdat de elektronica en opbouw

niet verschillen van het origineel, kun

je na het in elkaar zetten een originele

firmware op de printer flashen. Die kun

je met Cura probleemloos bijwerken

alsof het een originele printer is. De

kloon print in principe net zo nauw-

keurig als het origineel.

Het testapparaat bezorgde ons

wel enkele andere problemen. Om

te beginnen moesten we de draden

in de aansluitkabels van de stappen-

motoren voor de X- en Y-as verwis-

selen, zodat ze in de juiste richting

draaiden. Vervolgens moesten we een

ventilator vervangen omdat die niet

samen draaide met de andere. Daarna

konden we printen, maar ontdekten

we dat de printer op willekeurige

punten stukken G-code oversloeg.

Ook als die fouten alleen maar in ons

testexemplaar zitten, geven ze wel

aan wat voor obscure problemen je

kunt tegenkomen bij een zelfbouwkit

zonder support.

  Ultimaker-firmware

  scherpe randen

  zelfbouwkit zonder support

CL-260

De CL-260 kijkt sommige dingen af van

Ultimaker. Met direct aangedreven X-

en Y-assen, een frame van aluminium-

profielen en een MKS Gen_L V1.0 als

elektronica is hij echter duidelijk an-

ders dan de Ultimaker 2+. Maar hij is

ook voorzien van een Olsson-block,

dat door een directe extruder wordt

voorzien van filament van slechts

1,75 mm. Het verhitte opstelvlak is

met 21 × 21 cm wat kleiner dan bij de

Ultimakers. Als printbed kun je een

spiegel tegel van Ikea gebruiken, want

in de kit zit geen glasplaat.

De fabrikant levert als montage-

handleiding alleen een in het Chinees

opgesteld pdf-bestand met wat foto's

mee, waardoor we meer dan 20 uur

nodig hadden voor de opbouw. Het

bevestigen van de eindaanslagen

werd helemaal niet beschreven, zo-

dat we zelf maar bevestigingsstukken

hebben gemaakt (zie de link onderaan

dit artikel). Het verwarmde bed be-

reikte de voor ABS filament benodigde

100 °C pas nadat we de onderzijde

isoleerden met een pvc-plaat. Voor de

tests gebruikte we Marlin als firmware.

Met het zoeken naar de juiste instellin-

gen waren we weer vier dagen verder,

dat kun je jezelf besparen door die van

ons te gebruiken (zie de link onderan

dit artikel).

De CL-260 print, mits goed af-

gesteld, bijna op hetzelfde niveau als

een Ultimaker 2+ (zie tabel), voor een

fractie van de prijs. De usability is wel

een stuk minder door het niet geopti-

maliseerde menu van de firmware en

de niet al te beste integratie met Cura.

Zo is de bedhoogte het makkelijkst in

te stellen met G-code-opdrachten en

een stuk van een c't-cover.

  goedkoop

  slechte montage-instructies

  traag

Ultimaker gebruiken. Bij de CL-260 lukte dat

minder goed omdat we daar waren aange-

wezen op de gebrekkige instructies van de

fabrikant. Je kunt als bedrijf natuurlijk een

3D-printer door je personeel in elkaar laten

zetten, maar de personeelskosten zijn dan

al snel hoger dan het prijsvoordeel ten op-

zichte van een kant-en-klare 3D-printer. De

zelfbouwexemplaren zijn dan ook eerder

interessant voor particulieren, die de ge-

investeerde uren niet bij de aanschafprijs

op hoeven te tellen.

De bruikbaarheid van de CL-260 is

vooral afhankelijk van een goede confi-

guratie van de Marlin-firmware, voordat

je die op het moederbord flasht. Je moet

ook veel investeren in de start- en stop-G-

code in Cura (zie de link aan het eind van

dit artikel voor onze instellingen). Om snel

goede prints te kunnen maken, moet je bij

de CL-260 niet bang zijn voor wat G-code.

De workflow wordt echter nooit zo mak-

kelijk als bij Ultimaker, waardoor de printer

vooral geschikt is voor mensen die alleen

af en toe wat printen.

Problemen

Geen van de 3D-printers maakt alle prints

probleemloos. Zelfs de dure Ultimaker

creëerde bij de test wel eens een plastic

kluwen. Veel voorkomende problemen zijn

een gebrekkig onderhoud van het print-

bed (zoals vette vingerafdrukken of stof ),

warping (vooral bij grotere printers met

ABS) en verstopte nozzles. De nozzle van

het tweede hot-end van onze Ultimaker

3 verstopte zelfs een keer zo erg dat de

print-core vervangen moest worden. Bij

de Ultimaker 3 mislukte een print omdat

het filament halverwege op was. Bij de S5

maakten we dezelfde fout, maar dankzij

zijn filament-flow-sensor pauzeerde hij en

werd er gevraagd een nieuwe rol te plaat-

sen. In vergelijking met andere 3D-printers

verloopt het printen bij Ultimaker erg be-

trouwbaar. Je moet alleen niet verwachten

dat elke print lukt.

Bij de zelfbouwkits stapelden de pro-

blemen zich echter op. Bij de 2+ van Blu-

rolls bewogen de X- en Y-as aanvankelijk in

de verkeerde richting. Een toeleverancier

had de kabels wellicht verkeerd bedraad.

Om de richting van de bipolaire stappen-

motoren om te keren, moet je bij de aan-

sluitstekker de verbindingen voor een van

de beide spoelen verwisselen. Verder draai-

den de 3cm-ventilators voor het koelen

van de printer niet even snel. We konden

dat oplossen door een ervan te vervangen

door een ventilator met dezelfde afmetin-

gen. Daarna printte het apparaat onze

97c’t 2019, Nr. 3

Test | 3D-printers

NFC zorgt ervoor dat originele mate-rialen automatisch herkend worden door de printer.

Om de eindaanslagen op het frame van de CL-260 te bevestigen heb je tussenstukken nodig, die in de handleiding niet beschreven worden. Onze versie staat bij de link onderaan dit artikel.

testobjecten in vergelijkbare kwaliteit als

het origineel. Soms traden er echter vreem-

de fouten op. Soms werd op willekeurige

momenten een stuk G-code genegeerd en

daarna verder geprint. Als dat gebeurde tij-

dens een infi ll, was dat niet zichtbaar in het

voltooide object. Bij hoge, smalle objecten

zoals onze Z-resonantie-test, zorgde het

echter voor zichtbare spleten. We konden

uitsluiten dat het lag aan een brown-out

door een te lage netspanning, een fout in

het moederbord of in de bedrading van

de X- en Y-motoren. Mogelijk ligt het aan

de kabel tussen het moederbord en de

printplaat of een andere component van

de printer. Het zou een exemplarische fout

van het testmodel kunnen zijn of in de hele

reeks kunnen zitten.

Bij de CL-260 moet je bij het in elkaar

zetten al goed letten op rechte hoeken

bij het frame uit aluminiumprofi elen. De

stappenmotordrivers met slechts 16 micro-

stappen produceerden bij het testapparaat

een onaangenaam gebrom. Omdat die er

alleen opgestoken op zitten, zetten we er

meteen drivers met een DRV9925-chip

voor in de plaats (circa 1 euro per stuk).

Die lopen dankzij 32 microstappen veel

rustiger. In de handleidingen vonden we

geen informatie over het monteren van

de eindaanslagen, zodat we die maar met

zelf ontworpen kunststofdelen (zie de link

onderaan dit artikel) aan het frame beves-

tigd hebben. We hebben ook een multiplex

bodemplaat gemaakt (minder dan 2 euro

bij de bouwmarkt) om de elektronica net-

jes in de voet van de printer te kunnen

vastschroeven. De CL-260 printte daarna

aanvankelijk scheefgetrokken objecten.

Bij de montage waren de stiftbouten bij

de koppeling tussen Y-motor en Y-as los-

geraakt, waardoor de as kon doorslippen.

Het opstelvlak werd zonder aanpassingen

maar zo'n 85 °C. We konden dat verbeteren

door de onderkant te isoleren met een pvc-

plaat. Daarna kwamen we tot 110 °C, zodat

ook printen met ABS op een glasplaat mo-

gelijk was.

Omdat bij de kit geen oplegplaat

zat, gebruikten we een spiegeltegel van

Ikea. De bedhoogte stelden we in met de

cover van een c't, die is namelijk 0,1 mm

dik. Daarvoor zetten we de printkop met

G-code op 0,1 mm hoogte in alle vier de

hoeken van het printbed (G0 X15 Y15

Z0.10, et cetera) en draaiden we aan de

stelschroeven tot het coverstuk met lichte

wrijving onder de nozzles doorschoof. Als

je de nozzles dan op Z-hoogte 0 zet, raken

ze het spiegel oppervlak aan, maar duwen

ze het (net) niet naar beneden. Na goed

afstellen konden we met de CL-260 op ver-

gelijkbaar niveau printen als met de ande-

re modellen, maar dan minder snel omdat

het frame niet zo stijf is (we printten met

40 millimeter per seconde).

ConclusieAlle vijf de printers in deze test printen op

hoog niveau. De CL-260 doet dat met een

maar iets mindere kwaliteit dan de 18 keer

zo dure Ultimaker S5. De subjectief netste

prints kregen we voor elkaar met de Ulti-

maker 2+, maar de verschillen waren erg

klein. De Ultimaker 3 print dubbel zo snel

als de CL-260 en bijna twee keer zo snel

als de S5. De grootste verschillen zitten in

de functionaliteit. Omdat de Ultimaker 3

en S5 twee extruders hebben, printen ze

in twee kleuren of met oplosbaar steun-

materiaal, wat voor de ontwerpen aan-

zienlijk meer mogelijkheden biedt. Beide

ondersteunen ook Cura Connect, wat een

soepele workfl ow mogelijk maakt. De S5

beviel ons met zijn grote bouwvolume.

Prints die dat volume daadwerkelijk be-

nutten vergen wel veel tijd (5 dagen voor

de replica van het Ishtar-kleitablet). Maar

de S5 print betrouwbaar genoeg om ook

in zo'n lang tijdsbestek geen fouten te

maken.

Voor thuisgebruikers met wat verstand

van werktuigkunde, die een fi rmware kun-

nen compileren met de Arduino- IDE, kun-

nen we de CL-260 aanbevelen. Die biedt

door de lage prijs de beste prijs-prestatie-

verhouding in de test. Maar het monteren

98 c’t 2019, Nr. 3

Test | 3D-printers

3D-printers volgens het Ultimaker-concept

Fabrikant Ultimaker Ultimaker Ultimaker Blurolls XTLW

Model 2+ 3 S5 UM2+-Klon CL-260

Werkruimte / filament-diameter 22,3 × 20 × 22,3 cm / 2,85 mm 19,7 × 21 × 20 cm1 / 2,85 mm 33 × 24 × 30 cm / 2,85 mm 22,3 × 20 × 22,3 cm / 2,85 mm 21 × 21 × 26 cm / 1,75 mm

Standaard-printsnelheid 50 mm/s 80 mm/s 45 mm/s 50 mm/s 40 mm/s

Filament-flow-sensoren – – v – –

Filament-herkenning via NFC – v v – –

Hotend-type 1 × Olsson-Block 2 × Print-Core 2 × Print-Core 1 × Olsson-Block 1 × Olsson-Block

Bedhoogte-instelling handmatig2 automatisch (3 punten) automatisch (raster) handmatig2 handmatig

Netvoeding extern extern geïntegreerd extern extern

Opslagmedium / Cura-Connect sd-kaart / – usb-stick / v usb-stick / v sd-kaart / – sd-kaart / –

Ethernet / wifi – / – v / v v / v – / – – / –

Beoordeling

XY-Test (PLA / ABS) ++ / ++ ++ / ++ ++ / ++ ++ / ++ ++ / ++

Oppervlaktekwaliteit (PLA / ABS) ++ / ++ ++ / ++ ++ / ++ ++ / ++ ++ / ++

Maatvoering (PLA / ABS) ++ / ++ ++ / ++ ++ / ++ ++ / ++ ++ / ++

Fijne structuren (PLA / ABS) + / + + / ++ + / ++ + / + + / +

Overhang (PLA / ABS) + / + + / + + / + + / + + / +

Bruggen (PLA / ABS) ± / - ± / ± ± / - - / - ± / ±

Kolombreedte (PLA / ABS) ++ / ++ ± / + ± / + ++ / ++ + / +

X/Y-resonantie (PLA / ABS) v / v v / v v / v v / v v / v

Z-resonantie (PLA / ABS) v / v v / v v / v v3 / v3 v / v

Verstelbaarheid robotica volledig beweegbaar kop & armen beweegbaar kop & armen beweegbaar – (fouten) knie niet beweegbaar

Garantie 12 maanden (excl. nozzles) 12 maanden (zonder print-cores) 12 maanden (zonder print-cores) – –

Prijs (circa) € 2200 € 3500 € 6500 € 835 € 350

Alle tests hebben we geprint met nozzles van 0,4 mm doorsnede, 0,1 mm laaghoogte en de standaard-printsnelheid. Het filament was afkomstig van ICE.1 bij printen met een enkele nozzle is de werkruimte 18 mm breder. 2 firmware helpt met stap-voor-stap-instructies. 3 resultaat als de printer niet vastliep door overgeslagen G-code

++ zeer goed + goed ± voldoende - slecht -- zeer slecht v functioneert – functioneert niet g. o. geen opgaaf

Testprints met de Ultimaker S5. De grote replica van een oud kleitablet met de godin Ishtar paste alleen in het grotere bouwvolume van de S5. De standaard links-voor gebruikt twee kleuren PLA, de T-Rex-schedel en de ronde plaat helemaal vooraan zijn met oplosbaar steunmateriaal geprint.

duurt lang en ook in het gebruik heb je

voor die printer meer technisch inzicht

nodig dan bij de concurrentie. De Ultima-

ker 2+ is een aanrader voor thuisgebrui-

kers die niet hoeven te beknibbelen op de

kosten, geen zin hebben in een zelfbouw-

pakket en genoeg hebben aan een enkele

extruder. De kloon bezorgde ons zoveel

problemen dat we niet echt voordelen

hadden van de 1:1 kopie.

Voor bedrijven zijn de beide moderne

Ultimakers aan te raden. Die zijn binnen

een uur uitgepakt en gebruiksklaar en bie-

den met Cura Connect een welkome effici-

ency bij de workflow. In de praktijk zal de

tweede extruder vaak voor steunmateriaal

worden gebruikt. Daarmee wordt het voor

ontwerpers wel veel makkelijker om onder-

delen te ontwerpen die geprint kunnen

worden. De twee filament-flow-sensoren

in de S5 herkennen verstopte nozzles en

lege filamentrollen, wat de betrouwbaar-

heid bij het printen duidelijk vergroot.

Het zou mooi zijn als Ultimaker dergelijke

sensoren in de toekomst ook in een ver-

nieuwde Ultimaker 3 zou inbouwen, zodat

ook het printen daarmee minder storingen

ondervindt. (mdt) c

www.ct.nl/softlink/1903094

99c’t 2019, Nr. 3

Test | 3D-printers

100 c’t 2019, Nr. 3

Achtergrond | App-store voor Android

Talloze apps in de Google Play Store

staan bol van de trackers en ook

Google zelf heeft privacy niet echt

hoog in het vaandel staan. In de al-

ternatieve F-Droid Store staan geen

apps die met je meekijken. Boven-

dien kun je erin winkelen zonder dat

je je hoeft aan te melden.

Andreas Itzchak Rehberg

De app-verzameling op een smart-

phone verraadt veel van zijn

gebruiker. De Google Play Store

Android-apps zonder GoogleF-Droid: app-store met oog voor privacy

houdt in het verplichte Google-account

precies bij welke van de circa 2,5 miljoen

apps je installeert en wanneer je ze up-

datet. Bovendien wordt je privacy bedreigd

door talloze apps die met trackers de

gebruikers goed in de gaten houden en/of

advertenties op maat tonen. Bij de alterna-

tieve F-Droid app-store moet je daar geen

last van ondervinden.

Het principe achter F-Droid is dat die

app-store je privacy respecteert. De store

blijft daar redelijk bescheiden onder, want

op het eerste gezicht lijkt hij op die van

Google. Net als bij Google Play kun je in

de F-Droid Store zoeken naar apps die je

op je smartphone kunt laden en instal-

leren. En zoals gebruikelijk neemt een

F-Droid-client de taak op zich om de apps

te installeren en te updaten. Maar daar

houden de overeenkomsten ook mee op,

want de store-client heb je niet verplicht

nodig bij F-Droid, hij maakt het alleen wat

makkelijker.

Een belangrijk verschil wordt bij het

downloaden al duidelijk: je hebt geen

account nodig. Het gebruik is geheel ano-

niem. Alleen het ip-adres van de gebruiker

wordt naar de server doorgegeven, maar

zonder dat zou je ook helemaal niet kun-

nen downloaden. Maar naar eigen zeggen

bewaart F-Droid de logbestanden niet.

Als je de F-Droid-app gebruikt, worden

alle interacties lokaal afgehandeld: voor

het zoeken naar apps of het weergeven

van details wordt in een lokaal opgeslagen

index van beschikbare apps gekeken, die

de app dagelijks vernieuwt. De pictogram-

men en screenshots van een app worden

alleen van de F-Droid-server gedownload

als een gebruiker de beschrijving van een

app opent.

Geld verdienen zonder koop-appsGoogle verdient geld met de Play Store

doordat het bedrijf een percentage krijgt

van de verkochte apps en voor het gebruik

van gebruikersgegevens. F-Droid biedt uit-

sluitend gratis apps aan. Het bedrijf kan

daar dus ook niet aan meeverdienen. Het

project werd in 2010 opgericht door de

Britse softwareontwikkelaar Ciaran Gult-

nieks. F-Droid financiert zich met behulp

van donaties. Het werk wordt momenteel

uitgevoerd door zo'n 60 vrijwilligers.

App-gebruikers kunnen doneren aan

ontwikkelaars en ze op die manier moti-

veren om verder te gaan met het dooront-

wikkelen van een app. Dat die opzet werkt,

bewijst de catalogus. Die omvat inmiddels

zo'n 2900 apps, maar dat is inclusief de

apps die niet meer doorontwikkeld wor-

den. Dat aantal haalt het natuurlijk niet bij

de 2,5 miljoen apps van Google.

Selectief aanbevelenDe alternatieve app-store is zo anoniem dat

er zelfs geen leeftijdscontrole is, ook niet bij

eventuele apps met een 'bovensteschap'-

gehalte. Maar die kom je daar sowieso niet

tegen. Vaak wordt strikte anonimiteit ook

geassocieerd met illegale, darknet-achtige

activiteiten. Maar die worden geweerd door

strenge criteria bij het accepteren van nieu-

we apps in de catalogus. Daarin tref je alleen

zogenaamde FOSS-apps aan. Die afkorting

101c’t 2019, Nr. 3

Achtergrond | App-store voor Android

Je hoeft je niet te laten afschrikken door deze waarschuwing bij het installeren van F-Droid.

In de optie-dialoog zitten een paar han-

dige en ongebruikelijke functies, die wel

enige uitleg behoeven:

Bij het menu-item Bronnen (afbeelding

links) kun je app-catalogi toevoegen die

je bij of als alternatief voor de officiële

F-Droid-repository wilt gebruiken. Daar

kun je bijvoorbeeld ook een voorselectie

van apps voor je kinderen samenstellen.

Maar voor het maken van een eigen re-

pository moet je wel de nodige handig-

heid hebben.

Met Incompatibele versies tonen laat

de store ook apps zien die niet compa-

tibel zijn met de gebruikte smartphone.

Dat is interessant als je wilt weten of een

bepaalde app überhaupt beschikbaar is

bij F-Droid.

Met Naam van collectie gedeelde apps

wordt gewoon de naam van je smart-

phone bedoeld die wordt getoond als

je de functie voor het uitwisselen van

apps met anderen in de buurt gebruikt

(afbeelding in het midden). Je smart-

phone fungeert dan als softwarebron.

Met Apps met antifuncties tonen wor-

den ook apps getoond die nog kleine,

maar acceptabele schoonheidsfouten

bevatten. Als er voor bepaalde functies

bijvoorbeeld software wordt gebruikt

die niet opensource is of die niet meer

wordt doorontwikkeld.

Met de Paniekknopinstellingen (af-

beelding rechts) kun je apps instellen

die gestart worden als je de paniek-

knop indrukt. Zo kan de app Ripple bij

een smartphonecontrole bij het reizen

informatie wissen die in bepaalde lan-

den voor problemen kan zorgen.

Het optiemenu

staat voor Free and Open Source Software,

dus gratis apps zonder beperkingen, met

een open broncode [1]. Zonder die vereiste

zou de verplichte rigide veiligheidscontrole

ook niet mogelijk kunnen zijn.

Om ervoor te zorgen dat er geen scha-

delijke apps door de mazen glippen, moest

F-Droid van meet af aan meer werk verrich-

ten. Als Google-gebruiker hoor je tenslotte

vaak genoeg dat je om veilig te blijven al-

leen maar apps uit de Google-store mag

downloaden. Grotendeels klopt dat ook,

het is lichtzinnig om apps zonder controle

te installeren uit schemerige bronnen. Zelfs

als die werken zoals verwacht, kan het nog

steeds zijn dat ze op de achtergrond met

je meekijken en gegevens stelen.

Maar dat doen talloze apps uit de

Google Play Store ook. Google verwijdert

incidenteel apps die negatief opvallen.

Maar ook al zouden er uitsluitend nette

apps zonder trackers in de Play Store staan,

dan nog verzamelt Google zelf allerlei ge-

gevens van zijn gebruikers. Die verzamel-

woede zorgde ervoor dat de IT-security-

expert Mike Kuketz recent waarschuwde

voor het gebruik van de Play Store en ge-

bruikers adviseerde om alternatieve bron-

nen zoals F-Droid te gebruiken [2].

Individuele apps testenDe essentie van F-Droid is dat de aanbie-

der van apps de broncode van elke app

openbaar moeten maken. De beoordeling

vindt in meerdere stappen plaats. Geauto-

matiseerde processen controleren de code

op verdachte onderdelen. F-Droid defini-

eert daarvoor negatief-lijsten met onge-

oorloofde bibliotheken en positief-lijsten.

Apps mogen onderdelen van anderen (bij-

voorbeeld bibliotheken) alleen van positief

gedefinieerde bronnen importeren. Het

F-Droid-team bepaalt gezamenlijk welke

bronnen oké en transparant zijn.

Als een app onderdelen bevat waar-

van de broncode niet open is (propriëtaire

elementen) of als er trackers in zitten zoals

Google Analytics en reclamemodules die

een bedreiging vormen voor de privacy,

maakt hij geen kans om in het F-Droid-

aanbod te worden opgenomen.

Als een app wel door de test is geko-

men, dan genereert het F-Droid-team zelf

de app uit de broncode en signeert hem.

Op die manier weet je zeker dat de geteste

versie in de store staat.

Omdat de apps in F-Droid geen extra

ballast in de vorm van trackers of reclame-

modules bevatten, is een bijeffect dat ze

een stuk lichter zijn en minder resources van

de smartphone vergen. De accu gaat langer

mee en het dataverbruik is beduidend min-

der. Uit een studie van de Purdue University

in de VS bleek dat bij talloze apps in de Play

Store tot 75 procent van het stroomverbruik

toe te schrijven is aan het tracken en de re-

clame [3].

Dat dit principe van een nauwgezette

beoordeling en het vrijgeven van apps

werkt, heeft een onderzoek uit 2017 in

Japan aangetoond: van de 27 onderzochte

platformen bevatte F-Droid als enige hele-

maal geen apps met malware. In de Google

Play Store was dit zo'n 2 procent [4].

De makers van F-Droid laten hun eigen

systemen, oftewel hun servers en eigen

website, door externe audits controleren op

veiligheidsgaten. Dergelijke audits zijn tot nu

toe drie keer uitgevoerd: in 2013, 2015 en

2018. De controleurs vonden enkele kleine

tekortkomingen, die volgens F-Droid direct

verholpen werden. De testers stelden ook

vast dat het veiligheidsmodel en de stan-

daardoperaties goed in elkaar zitten.

Aangezien F-Droid uitsluitend opensour-

ce software toelaat, zul je bekende apps

uit de Google Play store niet in F-Droid

tegen komen. Een reden daarvoor is dat

maar weinig ontwikkelaars de code van

hun app openbaar willen maken of willen

102 c’t 2019, Nr. 3

Achtergrond | App-store voor Android

Met de app Ripple kun je gevoelige informatie van je smartphone makkelijk verwijderen.

Met de F-Droid-client vind je apps via het vergrootglas of door te bladeren door de categorieën.

Apps voor standaardtaken via F-Droid

Toepassingsgebied App

Navigatie Osmand, Maps Me

Openbaar vevoer Offi, Transportr

Mail K-9 Mail, Tutanota, FairEmail

Internet Firefox Klar, Fennec, Nextcloud, DAVDroid, Adaway, Netmonitor

Messenger Silence, Conversations, Riot

Bestandsbeheer Amaze, AnEplorer.Pro, Ghost Commander

Office Markor, Libre Office Viewer

Socialemedia Tusky, Mastalab, twitlatte

YouTube en Podcasts Newpipe, SkyTube, Antenna Pod

Fotoviewer A Photo Manager, Camera Roll

Camera-app Finegeotag, Open Camera

Wearables Gadgetbridge

App-links naar F-Droid-store: zie link onderaan het artikel

aanpassen aan vereisten van derden. Dat

verklaart ook het relatief geringe aanbod

apps in vergelijking met Google. Deson-

danks zijn er apps voor veel toepassings-

gebieden (zie tabel) – en veel apps vind je

uitsluitend bij F-Droid.

F-Droid installerenDe Google Play Store heeft F-Droid niet

bepaald omarmd. De echte F-Droid-app

zoek je daar dan ook tevergeefs, je treft er

hooguit enkele fake-apps aan. Bovendien

is F-Droid maar hoogstzelden op smart-

phones voorgeïnstalleerd. Uitzonderin-

gen daarop zijn de apparaten van fabri-

kanten Shift en Fairphone. Ook in enkele

aangepaste custom-ROM's tref je F-Droid

aan, bijvoorbeeld die van Replicant, Cop-

perheadOS en LineageOS for microG. Als

je F-Droid al op je toestel hebt staan, dan

kun je de volgende stappen overslaan. Zo

niet, dan moet je de installatie handmatig

uitvoeren.

Om dat te doen, moet je op je smart-

phone dan wel het installeren uit onbe-

kende bronnen toestaan. Voor F-Droid

kun je dat rustig doen, ondanks de veilig-

heidswaarschuwing die de smartphone

laat zien. Zoals boven gezegd, dreigt hier

nauwelijks gevaar.

Tot en met Android 7 (Nougat) is het

openstellen globaal geldig. Als je liever

voorzichtig te werk gaat, dan kun je de

schakelaar na het installeren van F-Droid

beter terugzetten. Vanaf Android 8 werkt

dat eenvoudiger, daar is geen globale scha-

kelaar meer maar kun je apps doelgericht

toestaan andere apps te laten installeren.

F-Droid kun je zonder je zorgen te maken

toestaan, maar bij je browser of e-mail-app

moet je dat zeker niet doen.

Als je niet terugschrikt van een wat meer

technische aanpak, neem je de korte

weg: download het APK-bestand van de

website https://f-droid.org/, sluit je smart-

phone op je pc aan en installeer het ver-

volgens met adb install org.fdroid.*.apk.

Klaar! Als dat je niets zegt, neem je de vol-

gende stappen.

Nadat je in het instellingenmenu het

installeren uit onbekende bronnen hebt in-

geschakeld, start je de webbrowser en ga je

naar https://f-droid.org/. Daar klik je op de

blauwe knop met het opschrift 'Download

F-Droid'.

Daarna tik je bij de meldingen op

down load gereed, waarmee het gedown-

loade bestand opent. Bevestig de vraag of

je de app wilt installeren en het installeren

wordt gestart. Nadat de app geïnstalleerd

is, kun je hem zoals iedere andere app ope-

nen.

Allereerst wordt de bibliotheek met

pakketbronnen geactualiseerd, wat in-

houdt dat de app een overzicht van alle

beschikbare apps in de F-Droid-store laadt.

Dat bestand is ongeveer 1 MB groot. Alle

apps hebben in eerste instantie het grijze

F-Droid-logo omdat bij elke start van de

app de logo's van de apps geladen wor-

den. Daardoor duurt het even voordat ze

zichtbaar zijn.

Het is eenvoudig om een app voor een be-

paald doel te vinden. Het is niet te doen

om de hele lijst door te nemen, maar via

het zwevende vergrootglas kun je zoek-

opdrachten invoeren en de lijst daarmee

doelgericht filteren.

Alternatief kun je de apps op cate-

gorie gesorteerd bekijken via de knop

onder in het scherm. Je kunt ook een lijst

van reeds geïnstalleerde F-Droid-apps

oproepen. Helaas is daar geen aparte knop

voor, maar open je het Instellingen-menu

en tik je op 'Geïnstalleerde apps'. In het

kader 'Het Instellingen-menu' staat een

overzicht van de verschillende mogelijk-

heden die dit menu biedt.

Apps bijhouden en doorgevenZoals gezegd werkt F-Droid met een

lokaal opgeslagen index die regelma-

tig moet worden bijgewerkt. Normaal

gesproken gebeurt dat dagelijks. Als er

updates voor geïnstalleerde apps zijn,

meldt F-Droid dat aan de gebruiker. Dat

geldt ook voor F-Droid zelf.

Als je de volledige controle over elke

geïnstalleerde app wilt behouden, dan kun

je instellen dat je alles handmatig regelt. Je

kunt instellen dat updates in ieder geval

automatisch geïnstalleerd moeten worden,

zodat je je daar niet om hoeft te bekom-

103c’t 2019, Nr. 3

Achtergrond | App-store voor Android

Met F-Droid kun je de apps eenvoudig van de ene smartphone naar een andere kopiëren.

Kleine schoonheidsfoutjes die nog in

een app zitten en bij een controle wor-

den gevonden, noemt F-Droid 'antifunc-

ties'. Ze zijn echter niet ernstig genoeg

om ze van de catalogus uit te sluiten.

Hieronder een lijst van dergelijke anti-

functies en wat ermee wordt bedoeld.

NonFreeAdd: de app biedt add-ons die

geld kosten.

NonFreeAssets: de app bevat onder-

delen die niet opensource zijn. Dat is

meestal beeldmateriaal dat niet onder

een vrije licentie gepubliceerd is. De

licentie CC-BY-NC-SA verbiedt bijvoor-

beeld het commerciële gebruik.

NonFreeNet: de app maakt reclame

voor netwerkdiensten die niet vrij zijn

of is aangewezen op het gebruik daar-

van. Dat zijn bijvoorbeeld YouTube-apps

als NewPipe en Yalp voor het benaderen

van de Google Play Store.

NoSourceSince: de broncode van de

app is niet meer gratis verkrijgbaar. Dan

is er een commerciële versie van de app

verschenen of wordt de app niet meer

doorontwikkeld.

Tracking: de activiteiten van een app

worden naar een server gestuurd zonder

dat je daar expliciet toestemming voor

hebt gegeven. In het algemeen gaat het

dan over crashreports die automatisch

verstuurd worden. Dat wordt minder

zwaar aangerekend als een app de mo-

gelijkheid biedt dit bij de instellingen uit

te schakelen.

UpstreamNonFree: de broncode bevat

componenten die niet opensource zijn

en die voor de F-Droid-build, dus bij het

maken van de draaiende app, verwijderd

werden.

Antifuncties: de gevarenlijst

Bij elke app worden mogelijk aanwezige antifuncties genoemd.

meren. Daar schuilt wel een addertje onder

het gras: als F-Droid niet al standaard op

je smartphone geïnstalleerd staat, mag de

app updates niet automatisch installeren. Bij

Android mag alleen een systeem-app zoals

Google Play dat.

Er is ook nog een andere manier om

aan apps te komen: in het app-venster zit

de functie 'Dichtbij'. Daarmee kun je apps

delen met andere gebruikers die in je

bluetooth dan wel wifibereik zitten. Alle

lokaal geïnstalleerde apps kun je met ande-

ren uitwisselen, dus niet alleen de apps die

je via de F-Droid-store geïnstalleerd hebt.

Daarmee bespaar je bovendien datage-

bruik. Dat is bij ons wellicht niet meer zo'n

probleem, maar in sommige landen waar

databundels duur zijn is dat een prettige

oplossing en maken telefoonaanbieders er

zelfs reclame voor.

Het is niet mogelijk voor de ontvanger

van een app om te zien wat de aanbieder

op zijn smartphone heeft staan. Je kunt dus

alleen sturen, niet ophalen. Maar dat sturen

gaat zeer eenvoudig.

Persoonlijke hulpAls je problemen met de F-Droid-app of

de website ondervindt of als je apps hebt

die je als voorstel bij de store wilt aanbie-

den, dan staan op de website van F-Droid

links naar relevante forumdiscussies op het

ontwikkelaarsplatform GitHub en andere

contact mogelijkheden.

Als er iets mis is met een app die je via

F-Droid hebt geïnstalleerd, dan kun je met

de desbetreffende ontwikkelaar contact

opnemen. De benodigde contactinforma-

tie staat in de omschrijving van een app in

de store en op de website. Een melding kun

je in het algemeen op de relevante GitHub-

of GitLab-repository van de ontwikkelaar

maken en staat onder 'Issue tracker'.

ConclusieIn de F-Droid-store zul je niet vaak bekende

apps tegenkomen. Maar voor de meeste

toepassingen staan daar wel geteste alter-

natieven die een stuk meer privacy belo-

ven. Vergeleken met de Google-Play-store

krijg je bovendien sneller contact met de

mensen achter een app en krijg je niet een

geautomatiseerd antwoord bij eventuele

vragen of problemen die je ondervindt.

De interface van de F-Droid app-store

kan voor sommige gebruikers wat te wen-

sen overlaten. Omdat de catalogus met

het aanbod aan apps in de vorm van een

repository wordt gedownload, hebben

ontwikkelaars er ook alternatieve client-

apps voor gemaakt, bijvoorbeeld G-Droid.

Die laadt de repository en biedt zijn eigen

interface met een wat klassieker uiterlijk.

Bovendien zijn apps voorzien van een be-

oordelingssysteem, iets wat F-Droid ook

mist. Een andere alternatieve store is Yalp,

die het ook mogelijk maakt om apps direct

uit de Google Play Store als APK-bestanden

te downloaden, ook zonder een Gmail-

account. (ddu) c

Literatuur

[1] Over F-Droid: https://f-droid.org/about/

[2] Mike Kuketz blog: https://www.kuketz-blog.de/

android-google-entfernt-netguard-aus-play-store/

[3] Free apps drain smartphone energy on 'adver-

tising modules' https://www.purdue.edu/news-

room/research/2012/120404HuSmartphone.html

[4] Yuta Ishii, Takuya Watanabe et al, Understan-

ding the Security Management of Global Third-

Party Android Marketplaces, 2nd International

Workshop on App Market Analytics, https://nsl.

cs.waseda.ac.jp/wp-content/uploads/2018/04/

submitted_wama2017.pdf

www.ct.nl/softlink/1903100

Zul je altijd zien: heb je de Raspber-

ry Pi net ingebouwd, reageert hij

plotseling niet meer. Om de fout op

te sporen heb je dan eigenlijk een

monitor en toetsenbord nodig. Met

onze bluetooth-shell heb je echter

genoeg aan een jumpertje om de

problemen ter plekke op te lossen

met een notebook of tablet.

Mirko Dölle

Heb je net de zorgzaam geprepa-

reerde Raspberry Pi ergens aan

een apparaat gekoppeld, moet

je met een monitor en toetsenbord naar

de plek des onheils omdat de Pi plotse-

ling niet meer in het wifinetwerk te zien is.

Vaak gaat het om kleinigheden die ertoe

leiden dat de mini-computer het even niet

meer doet. Het ter plekke zoeken naar de

fout is de meest succesvolle manier van

werken, maar dat kan ook omslachtig zijn

als de Raspberry Pi bijvoorbeeld geen net-

werk- of wifiverbinding heeft waarmee je

via SSH zou kunnen inloggen.

De bluetooth-adapter van de Rasp-

berry Pi biedt in dat geval een interes-

sante mogelijkheid: hij werkt volkomen

onafhankelijk van ethernet en wifi. Met

een inlog-console erbij biedt hij een han-

dige achterdeur naar de Pi. Om ervoor

te zorgen dat niemand onbevoegd kan

inloggen, wordt de bluetooth-shell pas

geactiveerd als je twee pinnen van de

GPIO-header van de Raspberry Pi kortsluit.

Deze bluetooth-shell is met name

interessant voor een Raspberry Pi Zero

W, die geen ethernetpoort heeft. Omdat

toegang via bluetooth normaal gespro-

ken niet actief is en praktisch geen reken-

kracht vergt, kun je dit zonder problemen

op alle Raspberry Pi's instellen. Dan hoef

je bij bijvoorbeeld wifiproblemen dit al-

leen nog te activeren via een jumper.

Als je haast hebt, kun je simpelweg het

pakket btlogind downloaden via de link

onderaan dit artikel en op de Raspberry

Pi installeren met

sudo dpkg -i btlogind*.deb

Daarmee is de bluetooth-shell al meteen

te gebruiken. Je moet wel rekening hou-

den met een paar eigenaardigheden – om

die te begrijpen, moet je weten wat er op

de achtergrond gebeurt.

Inloggen bij kortsluitingHet pakket bevat de in Python geprogram-

meerde daemon btlogind, die in de map /

usr/bin geïnstalleerd wordt. Om ervoor te

zorgen dat die bij het booten automatisch

mee wordt opgestart, installeert het pak-

ket ook de systemd- service /etc/systemd/

system/brlogin.service, wordt die geacti-

veerd en bij afronden van het configureren

ook gestart. Als je de bluetooth- toegang

later permanent wilt uitschakelen, hoef je

alleen de systemd-service op de volgende

manier te deactiveren:

sudo systemctl disable btlogin

sudo systemctl stop btlogin

De daemon bewaakt standaard pin 5

van de GPIO-aansluiting. Als die pin met

massa wordt verbonden, dus bijvoorbeeld

kortgesloten met pin 6, dan start de dae-

mon de eerder eveneens geïnstalleerde

systemd-service /etc/systemd/system/

btconsole.service. Als de jumper weer

verwijderd wordt, stopt de daemon met

werken. Belangrijk daarbij is dat de dae-

mon reageert op de gebeurtenis 'bridge

restore' respectievelijk 'bridge remove'.

Dat voorkomt dat de bluetooth-shell con-

tinu geactiveerd blijft als je vergeet om

de jumper weer te verwijderen. Als je de

Raspberry Pi al in kortgesloten toestand

gestart hebt, moet je de jumper eerst ver-

wijderen en daarna terugplaatsen om de

toegang te activeren.

Omdat de daemon btlogind ervoor

verantwoordelijk is dat de service btcon-

sole.service wordt gestart en gestopt,

wordt die gedurende het configureren

gedeactiveerd met systemctl. Als je de

bluetooth-inlogmogelijkheid altijd wilt

kunnen gebruiken, moet je de daemon

zoals hiervoor beschreven deactiveren

en in plaats daarvan de console-service

standaard activeren:

sudo systemctl enable btconsole

sudo systemctl start btconsole

Bluetooth-terminalIn de service btconsole zit het hart van

de bluetooth-toegang. Dat start de RF-

COMM-daemon, die op kanaal 1 van het

standaard bluetooth-device hci0 wacht

op binnenkomende seriële bluetooth-

verbindingen. Vervolgens wordt met be-

hulp van het modemprogramma mgetty

een inlogconsole geopend:

/usr/bin/rfcomm -r watch hci0 1 mgetty

-r -s 115200 /dev/rfcomm0

In dit geval gebruiken we mgetty omdat er

met de bij Raspbian standaard geïnstal-

leerde agetty vaak verbindingsproblemen

optraden. Het programma mgetty wordt

als afhankelijkheid van btlogind automa-

104 c’t 2019, Nr. 3

Praktijk | Bluetooth-shell voor Raspberry Pi

AchterdeurBluetooth-shell voor Raspberry Pi en Zero W

tisch gedownload en geïnstalleerd uit de Raspbian-repository.

Voordat een andere computer of een tablet een seriële verbinding kan openen, moet het apparaat pairen met de Rasp-berry Pi. Dat is op zich geen probleem omdat de bluetooth-adapter van de Rasp-berry Pi 3 en Zero W de Secure Simple Pai-ring (SSP) al ondersteunt. Daardoor hoef je geen pincode meer in te typen voor het pairen. Dat betekent wel dat je een ap-paraat moet gebruiken met een voor SSP geschikte bluetooth-adapter versie 2.1 of hoger –bij smartphones en tablets is dat inmiddels al langer het geval.

À propos tablets: Apple-gebruikers hebben hier helaas pech, want iOS staat geen seriële bluetooth-verbindingen toe met apparaten van andere fabrikanten. Je kunt de Raspberry Pi dan niet eens vin-den op de lijst van de in de buurt zittende bluetooth-apparaten.

Bij Android zijn dergelijke problemen er niet, daar moet je dan een van de vele terminal-programma's voor bluetooth installeren om op de Raspberry Pi in te kunnen loggen. De gratis app Serial Blu-etooth Terminal van Kai Morich voldoet bijvoorbeeld prima voor het opsporen van fouten.

Om vanaf een Linux-computer in te kunnen loggen, moet je afhankelijk van de bluetooth-adapter en de Linux-distributie eerst nog SSP expliciet activeren. Dat kun je doen met het volgende commando:

sudo hciconfig hci0 sspmode 1

Met hci0 wordt dan het eerste bluetooth-device bedoeld. Als het commando bij-voorbeeld de foutmelding 'Operation not permitted' oplevert, is je bluetooth-adapter niet geschikt voor SSP en moet je een nieuwere gebruiken.

Om het MAC-adres van de Raspberry Pi te vinden voor het opbouwen van een verbinding, kun je daar op een andere computer naar zoeken:

hcitool scan

Ten slotte maak je een seriële verbinding met de Raspberry Pi met behulp van rf-comm. Het MAC-adres in het volgende com-mando moet je dan vervangen door het MAC-adres van je Pi:

rfcomm connect /dev/rfcomm0

89:0A:BC:DE:F1:23 1

Het getal 1 aan het eind van het com-mando staat voor het kanaal waarop de RFCOMM-daemon van de Raspberry Pi moet wachten op verbindingen – dat moet dus op beide apparaten hetzelfde zijn. De daemon draait overigens net zo lang op de voorgrond als de verbinding met de tegenpool bestaat – en blokkeert daarmee de huidige terminal.

StoorzenderEen mogelijk probleem daarbij is de Mo-demManager, die telefoonmodems en 4G-sticks automatisch configureert met behulp van AT-commando's. Omdat /dev/

rfcomm0 een seriële interface is, denkt de ModemManager op je pc of notebook dat het om een modem gaat, en begint dan AT-commando's te versturen.

De Raspberry Pi kan daar niets mee beginnen en ze storen bij het inloggen en het intypen van commando's. Daarom moet je de ModemManager killen (sudo killall ModemManager) of eenmalig vóór het uitvoeren van rfcomm de volgende udev-regel toevoegen in het bestand /etc/udev/rules.d/90-rfcomm.rules op je computer:

KERNEL=="rfcomm[0-9]*",

ENV{ID_MM_DEVICE_IGNORE}="1"

Voor het inloggen heb je bij Linux nog een serieel terminalprogramma nodig. In onze ervaringen is gtkterm, dat in de stan-daard-repository's zit van bijna elke Linux- distributie, daar voor geschikt. Als je het programma hebt gestart, moet je eerst bij het menu-item Configuration onder Port naar de interface /dev/rfcomm0 gaan en als transfersnelheid 115200 baud selecte-ren. Sluit de configuratie en druk op Enter – dan krijg je meteen de inlogprompt van de Raspberry Pi te zien. Vul daar je gebrui-kersnaam en het wachtwoord in.

Net zo makkelijk als een SSH-ver-binding in een terminal is de seriële ver-binding via GTK-Term niet. Programma's passen hun uitvoer bijvoorbeeld niet au-tomatisch aan het GTK-Term-venster aan, want GTK-Term stuurt de grootteverande-ringen niet door. Standaard zijn 80 tekens breed en 25 regels hoog ingesteld.

Je moet het GTK-Term-venster daar-om groot genoeg maken, zodat er geen onnodige regelafbrekingen voorkomen – een zwarte rand rechts en beneden stoort in de dagelijkse praktijk minder.

Daarnaast zullen veel programma's er over klagen dat ze niets over de moge-lijkheden weten van de terminal. Daarom moet je als eerste stap de omgevings-variabele TERM instellen:

export TERM=linux

Als dat ingesteld is, kan GTK-Term zelfs overweg met gekleurde tekstomgevingen zoals van de filemanager Midnight Com-mander en het configuratieprogramma van de Raspberry Pi raspi-config. Op die manier staat niets het makkelijk zoeken naar fouten meer in de weg. (nkr) c

www.ct.nl/softlink/1903104

105c’t 2019, Nr. 3

Praktijk | Bluetooth-shell voor Raspberry Pi

Met de juiste terminal-omgevingsvariabele kan GTK-Term zelfs gekleurde tekst-omgevingen goed weergeven.

106 c’t 2019, Nr. 3

Test | Multifunctionele inkjetprinters

Echte doordrukkersMultifunctionele inkjetprinters voor veel pagina's

Ben je die inkjetprinters met half-

volle en schreeuwend dure kleine

cartridges ook zo beu? We hebben

het alternatief bekeken: drie model-

len die betaalbaar duizenden (kleu-

ren)prints kunnen regelen.

Rudolf Opitz

Het lijkt zo mooi, zo'n lekker goed­

kope printer. Maar dan is na een

pagina of 50 tot 100 de meege­

leverde startercartridge al leeg. Dus koop

je een XL­cartridge om lekker veel te kun­

nen printen, maar die kost net zo veel als

een halve nieuwe printer. Er komen steeds

meer fabrikanten met een alternatief voor

de zogenaamd goedkope (multifunctio­

nele) printers met dure inkt: printers met

voldoende inkt voor 6000 tot 12.000 pagi­

na's. De inkt in normale cartridges zou vier

keer zo veel kosten, waardoor de hogere

printerprijs wordt gerechtvaardigd.

Drie multifunctionals van rond de 400

euro die met een flinke hoeveelheid inkt

worden geleverd moesten in onze test aan

de bak. De Brother MFC­J1300DW heeft

grote cartridges met voldoende inkt tot

6000 pagina's. De Canon Pixma G4511 met

vaste inkttanks levert zelfs zwarte inkt voor

12.000 pagina's en kleureninkt voor 7000

pagina's mee. Epsons Ecotank ET­M2140 is

te vullen met inkt uit een fles, maar heeft

alleen zwarte inkt en is een directe concur­

rent voor de kleine zwart­wit­laserprinters

voor zakelijk gebruik. In de doos zitten

twee extra flessen, en elke fles is goed voor

6000 pagina's.

Jarenlang printenEpson geeft op de verpakking van de Eco­

tank aan dat hij 11.000 pagina's kan prin­

ten. De fabrikant heeft het bij aflevering

gevulde aanvoerende slangensysteem er

netjes vanaf getrokken. De Pixma G4511

houdt geen rekening met het verlies bij

vullen en rekent met de volledige 12.000

pagina's. Ook bij die printer krijg je twee

flessen inkt cadeau. De inkt in de slangen

gaat niet verloren, beide printers printen

door tot elk restje inkt op is.

Canons Bubblejet­printkoppen inte­

resseert dat minder dan de piëzo­printkop­

pen van Epson. De piëzo's zijn ontworpen

voor de dichtheid van de Epson­inkt en

kunnen luchtbellen niet uit de drukkamers

werken. Het enige wat je daartegen kunt

doen is veel spoelen met inkt, die de lucht

dan beetje bij beetje wegwerkt. Om die

reden moet je piëzoprinters als de Epson

en Brother niet laten printen tot het echt

niet meer gaat.

Ook de Brother moet eerst (net als

alle inkjetmodellen van het merk) een

slangensysteem vullen. Doordat er zoveel

107c’t 2019, Nr. 3

Test | Multifunctionele inkjetprinters

Verbruikskosten inkt

Kopieertijden

Printperformance (ISO-pagina in kleur)

Geluidsproductie

Energieverbruik

[Cent / ISO-pagina] Normale patronen XL-patronen / flessen

kleur zwart-aandeel kleur zwart-aandeel

< beter < beter < beter < beter

Brother MFC-J1300DW

Canon Pixma G4511

Epson Ecotank ET-M2140

Uit [watt] Ecomodus [watt] Stand-by [watt] Printen [watt]

< beter < beter < beter < beter

Brother MFC-J1300DW

Canon Pixma G4511

Epson Ecotank ET-M2140

Normaal Stille modus

scannen [sone] printen [sone] scannen [sone] printen [sone]

< beter < beter < beter < beter

Brother MFC-J1300DW

Canon Pixma G4511

Epson Ecotank ET-M2140

[Pagina's / minuut] Preview Normaal Normaal stil Beste kwaliteit

beter > beter > beter > beter >

Brother MFC-J1300DW

Canon Pixma G4511

Epson Ecotank ET-M2140

[Minuten:seconden] Z/W 20 kopietjes Kleur 20 kopietjes A4-foto

< beter < beter < beter

Brother MFC-J1300DW

Canon Pixma G4511

Epson Ecotank ET-M2140

5

–

–

1

–

–

3,15

0,66

–

0,75

0,23

0,25

0,2

0,2

0,2

1,1

1,3

0,6

3

2,8

4,3

16,1

13,9

15,5

3,9

1,8

1,7

6,6

5,7

4,9

3,9

1,7

1,4

5,7

5,7

4,3

18,2

9,1

24,5

14

7,9

21,8

6,1

3,8

7,5

2,3

1,5

2,3

2:23

2:12

1:06

2:56

3:19

–

2:03

4:27

0:44

inkt wordt meegeleverd met de printers,

is die hoeveelheid prima te overzien. En je

maakt je sowieso minder druk over inktver­

lies door de automatische reinigingscycle

dan bij printers met nauwelijks gevulde

en dure cartridges. Omdat het 'duur spul'­

gevoel wegvalt, print je zonder zorgen wat

meer dan je normaal zou doen.

Printers met grote inktreservoirs zijn

door hun hogere aanschafprijs alleen ge­

schikt als je veel print, minimaal 1500 tot

2000 pagina's per jaar. Als je de prijs van

de printer en de meegeleverde inkt om­

rekent naar cent per ISO­kleurenpagina,

print het cartridgemodel van Brother met

7,3 cent per pagina het duurst van de drie,

gevolgd door de Canon Pixma met 6 cent

per ISO­pagina. Voor kleurenprints bepaalt

de norm ISO/IEC 24711/24712 hoe en met

welke templates de hoeveelheid prints met

de inkt gemeten wordt.

Bij zwart­wit is er ISO­IEC 29101/29103.

Daarbij komt de Epson Ecotank uit op 3,9

cent per ISO­zwart­wit­pagina. De Pixma

G4511 met een enkele fles cyaan, magen­

ta en geel (elk voor 7000 pagina's) maar

twee flessen zwart voor 12.0000 pagina's

haalt hier een nog lagere prijs van 3,5 cent,

maar dan wel zonder aftrek van het vullen

van het slangensysteem. Het model van

Canon is ook te krijgen met een enkele

fles zwarte inkt voor 6000 pagina's onder

de naam Pixma G4510. Als je vooral foto's

en kleurige grafieken print ben je daarmee

goedkoper uit.

Aan de flesAfhankelijk van het aantal prints is de

meegeleverde hoeveelheid inkt voldoen­

de voor twee of drie jaar, wat ongeveer

overeenkomt met de garantie vanuit de

fabrikant. Brother en Epson geven drie jaar

garantie, Canon twee. Als je toch door je

inktvoorraad heen bent, wat bijvoorbeeld

door veel foto's kan gebeuren, is vervan­

ging goed betaalbaar. De XL­cartridges van

Brother zijn het duurst met 165 euro per

set, tegenover rond de 90 euro voor een set

van normaal formaat. Voor een apparaat

dat cartridges gebruikt, print de J1300DW

voor 3,15 cent per ISO­kleurenpagina (XL)

nog steeds erg betaalbaar.

Bij de Pixma kost een set originele inkt

44 euro (0,66 cent per ISO­kleurenpagina).

Het zwartaandeel ligt met 0,23 cent per

pagina net onder dat van de puur zwart

printende printer van Epson (0,25 cent per

ISO­pagina). Ter vergelijking: tonerkosten

per ISO­pagina voor een kleine zwart­

wit­laserprinter ligt tussen de 3 en 6 cent.

Bij kleurenprinters kost een ISO­kleuren­

pagina 6 tot 10 cent (zakelijke modellen)

of 12 tot 16 cent bij voor foto's geoptima­

liseerde printers voor thuisgebruik. Gebrui­

kers die erg veel printen kunnen met een

printer uit deze test aardig besparen.

Het voor het eerst vullen en bijvullen

van de twee inkttankmodellen is eenvou­

dig. Bij de Canon Pixma klap je de klep

voor de tankhouders open en haal je de

rubberen stoppen uit de tanks. Daarna

spuit je voorzichtig inkt in de tanks. Het is

aan te raden om rubberen handschoenen

aan te trekken voor als er bellen ontstaan

en er wat inkt naast de tank terechtkomt.

De Epson Ecotank is zonder kans op

geknoei te vullen. Na het openen van de

afsluiter (geen rubberen stop aanwezig)

zet je de fles met inkt rustig op de tank en

de inkt vloeit vanzelf in de tank totdat deze

vol is. Dan stopt de flow met inkt vanzelf en

kun je de fles weghalen. Hier merk je dui­

delijk dat Epson al wat meer ervaring heeft

opgebouwd bij consumentenprinters met

inkttanks. Nog minder kans op geknoei en

108 c’t 2019, Nr. 3

Test | Multifunctionele inkjetprinters

De inkttanks van de Canon Pixma G4511 (links) hebben al-leen een rubberen dop als afsluiting. Als je ze vult moet je opletten voor luchtbellen. De tank van de Epson Ecotank ET-M2140 (rechts) is zonder geknoei te vullen: je hoeft de inktfles er alleen maar op te zetten.

Brother MFC-J1300DW

De compacte J1300DW oogt degelijk. De papiercassette aan

de voorkant kan 150 pagina's aan. Achterop zit een invoer

voor een enkele pagina per keer. Het normale papier kan in

de cassette blijven voor als je een keer op fotopapier wilt prin-

ten. Het paneel met het goed te bedienen touchscreen is te

kantelen. De NFC-tag is handig voor het snel koppelen met

je smartphone.

De uitgebreide webinterface werkt fijn bij de configura-

tie. Je wordt eraan herinnerd het standaard wachtwoord te

wijzigen. De netwerkcommunicatie is via SSL te versleutelen

of met een IP-filter te beperken.

De clouddienst Brother Web Connect knoopt de printer

aan cloudstorage. Android- en iOS-apparaten kunnen print-

opdrachten sturen zonder dat je de Brother-app nodig hebt.

Als je op je telefoon wilt scannen is de app van de fabrikant

wel een handige optie.

Met de instellingen voor snel en normaal printen zien de

prints er prima leesbaar uit en rollen ze vrij vlot uit de printer.

Bij hoge kwaliteit heeft hij veel tijd nodig, maar de letters zien

er goed uit. De bespaarmodus die je bij elke kwaliteit kunt

inschakelen print van gekleurde vlakken alleen de rand, maar

verandert verder niets aan de normale tekst om de leesbaar-

heid goed te houden. Voor 100 pagina's aan pdf had de printer

14,5 minuten nodig. Bij dubbelzijdig printen neemt de printtijd

behoorlijk toe. Onze testpagina zag er zeer netjes uit. Foto's

print de J1300DW ook op normaal papier randloos af en de

kleuren zijn krachtig. Op fotopapier zagen we subtiele strepen

toen we er een vergrootglas bij pakten. De inkt was aardig

bestand tegen markers. Op normaal papier zagen we in de

belichtingstest dat de inkt behoorlijk verbleekte.

Kopiëren gaat niet vlot, maar bij tekst en graphics was

de kwaliteit voldoende. Met automatisch verwijderen van de

achtergrond ingeschakeld kregen we vrijwel perfecte zwart-

wit-kopietjes van tekst op gekleurd papier. Foto's worden niet

randloos gekopieerd en worden te donker, hebben weinig

detail en hadden last van een groene zweem.

Scans van foto's hadden dezelfde euvels, bij het inscan-

nen van graphics zagen we een groene zweem bij grijs. De

geïntegreerde tekstherkenning hield het alleen bij zeer grote

en zeer kleine tekst voor gezien, bij normale tekst leverde hij

foutloze doorzoekbare pdf's af.

  bediening via touchscreen

  cartridges vervangen is simpel

  geen randloze kopietjes

  slechte scans van foto's

nog simpeler is het verwisselen van de cartridges bij de printer

van Brother.

Om de inkthoeveelheden te controleren, iets wat je regel­

matig hoort te doen, hebben de apparaten met inkttanks een

venster in de behuizing zitten. De printers proberen zelf wel te

berekenen hoeveel inkt er nog over is. Dat is niet tot op de mil­

liliter nauwkeurig en werkt alleen goed als je ook volledig vult.

Ook hier weer is een cartridge met een bekende hoeveelheid

vulling een voordeel.

Karige uitrustingDe prijzige slangsystemen, meegeleverde inkt en het wegval­

len van subsidie via dure inktvullingen zorgen dat de printers in

deze test duurder zijn. De uitrusting is gerust mager te noemen.

De Epson Ecotank ET­M2140 heeft geen fax (dat is geen enorme

ramp), feeder of netwerkverbinding. Verbinden met een pc gaat

via USB. Daardoor zijn er ook geen mobiele­ of cloudfuncties be­

schikbaar. Epson heeft het beperkt tot de basics: een groot tegen

stof beschermd papiervak, een snelle duplexprintfunctie en een

eenvoudige bediening.

Canon doet het wat anders met zijn Pixma G4511. Deze is

gebaseerd op de goedkope Pixma TR4550 van zo'n 60 euro. Net

als zijn voorbeeld kan hij faxen, heeft een feeder voor 20 pagina's

en wifi, maar print erg traag en niet automatisch tweezijdig. De

behuizing is van dun plastic en de papiervoorraad staat rechtop

achterop de printer zonder enige bescherming. Ook het mono­

chrome display en de onhandige bediening is niet meer van deze

tijd.

De beste uitrusting vind je terug bij de Brother MFC­J1300DW.

Deze heeft een touchscreen, ethernet en wifi en een tegen stof

beschermde papiercassette en feeder voor een enkele pagina.

Net als de Canon heeft hij een fax, een eenvoudige (éénzijdig

scannende) feeder en een usb­host­poort voor geheugensticks,

plus een sd­kaartslot.

De printers met netwerk­opties van Brother en Canon

printen vanaf smartphones via Apple Airprint, de Mopria­print

plug­in voor Android of apps van de fabrikant. Registreren bij

109c’t 2019, Nr. 3

Test | Multifunctionele inkjetprinters

Canon Pixma G4511

De behuizing van de G4511 is opgebouwd uit dun plastic en

het papier zit onbeschermd in de aanvoerbak. Dubbelzijdig

printen is niet mogelijk. Er zit wel een fax en eenvoudige fee-

der in. Het paneel heeft prima bedienbare folietoetsen en een

simpel display. Je moet bij het scrollen wachten op de beschrij-

vingen om de weg door de menu's te vinden.

De wifi-koppeling via WPS lukte prima, maar toch raden

we aan de wifi-instellingen erbij te pakken. In plaats van via

de onoverzichtelijke menu's op het apparaat zijn een aantal

opties makkelijker via de webinterface te gebruiken. Deze is

afgeschermd met het serienummer als wachtwoord.

Canons eigen cloud gebruiken is niet echt een optie, aan-

gezien je geen cloudfuncties kunt selecteren. Voor het printen

vanaf een smartphone raden we de plug-in aan van Mopria.

Die van Canon biedt geen keuze in printkwaliteit en stelt ver-

keerde suggesties voor bij papier. AirPrint werkte prima.

De G4511 is met zijn twee flessen zwarte inkt vooral ge-

schikt voor een klein kantoor aan huis. Erg vlot is hij niet, zelfs

met de goed leesbare preview-optie haalde hij maar 9 pagina's

per minuut. Bij een hoge printkwaliteit liep dat terug tot net

geen 1,5 pagina.

Voor 100 pagina's aan pdf had de printer meer dan 40

minuten nodig. Bij tekst en graphics vielen pas bij het erbij

pakken van een vergrootglas kleine druppeltjes op. Foto's kre-

gen genoeg detail en goede kleuren. Op normaal papier is

de kwaliteit goed, maar randloos printen kan niet. De kleuren

verbleekten sterk in de zonlichttest.

Kopietjes maken gaat nogal langzaam, maar de kwaliteit is

goed genoeg. Zelfs via de feeder gescand ietwat verkreukeld

papier werd netjes gekopieerd zonder kreuklijnen. Om lees-

bare zwart-wit-kopietjes op kleurig papier te krijgen moet je de

automatische instelling uitzetten en de instellingen op minst

donker zetten. Randloze kopieën van foto's zagen er netjes

uit met goede kleuren, maar hadden in de donkere delen wat

weinig detail.

Ook bij het scannen van foto's ontbraken de details in don-

keren delen. De kleurweergave was, op wat te rode huidtinten

na, oké. Bij graphics en magazinetemplates beviel het raster-

filter ons. Donkere roodtinten werden zwart weergegeven. De

scantool kan doorzoekbare pdf's maken, maar de onbruikbare

tekstherkenning zorgt voor te veel fouten.

 lage printkosten

  goede fotoprints

  zeer traag

  geen dubbelzijdige prints

Epson Ecotank ET-M2140

De Ecotank is een compacte printer die alleen zwart-wit print.

Een aantal dingen heeft hij gemeen met laserprinters: een pa-

pierbak voor 250 pagina's, invoer voor een enkele pagina en

face-down uitvoer. De flatbedscanner hangt over de uitvoer-

bak heen, met aan de voorkant een klein kleurenscherm en

knoppen. Fax en automatische feeder ontbreken op de M2140.

Netwerkopties vind je niet terug op de printer, om hem

aan je pc te koppelen gebruik je USB 2.0. Cloudfuncties en het

printen of scannen vanaf je smartphone is niet mogelijk. Voor

bepaalde zakelijke situaties is dit een voordeel.

Er zijn alleen drivers voor Windows en macOS. De ge-

bruikelijke ondersteuning voor PCL of PostScript heeft deze

GDI-printer niet.

De installatie en het voor het eerst vullen is erg gemak-

kelijk. Vervangende inkt kost slechts een euro of 15, waardoor

de M2140 erg goedkoop print. De bediening is makkelijk, er

zijn slechts basisfuncties aanwezig.

De Ecotank was de snelste printer in de test. In de bleke

maar leesbare en inktbesparende previewmodus haalde hij

24,5 pagina's per minuut. Met de standaard instellingen wa-

ren dat er net geen 22. De M2140 kwam dan al erg dicht bij

laserkwaliteit.

Pas met de allerbeste instellingen ging het bergafwaarts

qua snelheid met 2,3 pagina's per minuut. Onze voorbeeld-

pagina met veel afbeeldingen zette de Ecotank netjes op

papier. 100 pagina's aan pdf namen net geen 6 minuten in

beslag, op dit punt zijn veel laserprinters een stuk trager.

Voor dubbelzijdig printen had de M2140 meer tijd nodig

(9,8 pagina's per minuut). Het mechaniek voor het omkeren

remt de boel nogal af.

Foto's hadden een fijnmazig raster en hadden veel details.

De inkt is op de gellaag van fotopapier niet veegproof. Gecoat

inkjetpapier is beter geschikt. Op normaal papier konden we

tekst 30 seconden nadat het uit de printer kwam probleemloos

markeren met een marker.

Kopieën maken gebeurt rap en op wat kleine druppeltjes

na in goede kwaliteit. Tekst op gekleurd papier was goed te

lezen, maar met een duidelijke grijze achtergrond. Scans van

foto's zagen er goed uit met prima kleuren en veel details.De

OCR in Epson Scan 2 is alleen geschikt voor normale tekst, bij

tabellen struikelde de functie.

  print snel

  cassette voor 250 pagina's

  geen netwerkfuncties

  OCR onbruikbaar

110 c’t 2019, Nr. 3

Test | Multifunctionele inkjetprinters

Multifunctionals voor duizenden pagina's (kleuren)prints

Apparaat MFC-J1300DW Pixma G4511 Ecotank ET-M2140

Fabrikant Brother, www.brother.nl Canon, www.canon.nl Epson, www.epson.nl

Printtechniek / inkt piëzo / 4 cartridges bubblejet / 4 inkttanks piëzo / 1 inkttank

Resolutie (foto's)1 6000 dpi × 1200 dpi 4800 dpi × 1200 dpi 2400 dpi × 1200 dpi

Papiergewicht1 64 g/m2 … 300 g/m2 64 g/m2 … 275 g/m2 64 g/m2 … 256 g/m2

Papierfeed 150 pagina's, enkele pagina invoer 100 pagina's (invoer achter) 250 pagina's, enkele pagina invoer

Papiertray1 100 pagina's 75 pagina's 100 pagina's

Automatisch duplex printen v – v

Randloos foto's printen v v –

Printen vanaf usb-stick v (JPEG) – –

Maand. printvol. (aanger. / max.) 250 tot 2000 p. / geen opgave 250 tot 1500 p. / 30.000 p. 200 tot 800 p. / 5000 p.

Scannen, kopiëren en faxen

Type / kleurdiepte, grijsniveaus1 CIS / 24 bit, 8 bit CIS / 24 bit, 8 bit CIS / 24 bit, 8 bit

Resolutie (dpi)1 2400 × 1200, ADF: 1200 × 600 1200 × 600 2400 × 1200

Feeder / duplex 20 pagina's / – 20 pagina's / – – / –

Twain- / WIA-module v / v v / – v / v

Kopie-schaling 25 % … 400 % 25 % … 400 % 25 % … 400 %

Pc-fax (sturen / ontvangen) v / v v / – – / –

Favorieten / faxgeheugen1 100 (elk 2 nummers) / 180 pagina's 20 / 50 pagina's –/ –

Verzendbevestiging met kopie fax v v –

Scan to E-Mail / FTP / SMB-share / usb-stick / cloud

v / v / v / v / v v / – / – / – / – v (pc-software) / – / – / – / –

Print-app iPrint&Scan (Android, iOS) Canon Print (Android, iOS) –

NFC / WiFi Direct v / v – / v – / –

AirPrint / Android Print / Mopria v / v / v v / v / v – / – / –

Clouddienst van fabrikant Brother Web Connect Pixma Cloud Link –

Google Cloud Print v v –

Overig

Interfaces USB 2.0, ethernet, wifi (IEEE802.11n 2,4 GHz), RJ-11 (fax, telefoon)

USB 2.0, wifi (IEEE802.11n 2,4 GHz), RJ-11 (fax, telefoon)

USB 2.0

Afmetingen (b ×d × h) 44 cm × 58,5 cm × 20 cm 45 cm × 50,5 cm × 20 cm 38 cm × 35 cm × 30 cm

Gewicht 8,8 kg 7,3 kg 6,2 kg

Display 6,8cm-touchscreen (resistief) 5cm z/w-display 3,7cm-kleurenscherm

Drivers voor Windows / macOS / overig

vanaf Vista, vanaf Server 2008 / vanaf 10.9.5 / Linux

vanaf Windows 7 SP1 / vanaf 10.10.5 / –

vanaf Windows XP SP3 en Server 2003 R2 x64 / vanaf 10.6.8 / –

Software (Windows) CC4 (macOS: CC2), Brother Utilities (pc-fax, Scanner Utility), PaperPort 14 SE

Canon Quick Utility (netwerktools, Scan Utility, favorieten-editor, Toolbox), Easy-WebPrint EX

Epson Scan2, Event Manager

Geheugenkaarten / usb-host sd-kaart/ v – / – – / –

Inkt

Zwart (aantal pagina's1) LC-3233BK (3000 p.), LC-3235XLBK (6000 p.)

GI-590 PGBK (6000 p.) ET-MX1XX (6000 p.)

Kleur (aantal pagina's1) LC-3233C,M,Y (elk 1500 p.), LC-3235XLC,M,Y (elk 5000 p.)

GI-590 C,M,Y (elk 7000 p.) –

Meegeleverd inkt set XL-cartridges LC-3235XL C, M en Y elk een fles GI-590 twee flessen GI-590 PGBK

twee flessen ET-MX1XX

Inktkosten per ISO-pagina (XL) 3,15 ct, zwart-aandeel 0,75 ct 0,66 ct, zwart-aandeel 0,23 ct 0,25 ct

Meetresultaten en beoordeling

Printtijden 10 pagina's duplex (norm.): 326 s, graphics (best): 45 s, foto A4: 326 s

10 pagina's duplex (norm.): –, graphics (best): 71 s, foto A4: 267 s

10 pagina's duplex (Norm.): 123 s, graphics (best): 43 s, foto A4: 156 s

Scantijden preview: 7 s, foto 600 dpi: 39 s, tekst 300 dpi: 13 s

preview: 7 s, foto 600 dpi: 76 s, tekst 300 dpi: 24 s

preview: 10 s, foto 600 dpi: 95 s, tekst 300 dpi: 24 s

Verbruik printen 38 VA 40 VA 35 VA

Bediening / netwerkfuncties + / ++ - / ± + / –

Tekst / graphics printen + / + ± / ± + / +

Foto's (foto- / normaal papier) ± / ± + / + – / + (grijstinten!)

Kopieerkwaliteit tekst / graphics / foto

± / ± / -- + / ± / ± ± / ± / + (grijstinten!)

Scankwaliteit foto / graphics / OCR -- / ± / + ± / ± / -- + / + / --

Lichtbest. normaal- / fotopapier ± / + -- / - ++ / –

Garantie 3 jaar 2 jaar 3 jaar of 100.000 pagina's

Prijs e 350 e 350 e 460

1 volgens fabrikant ++ zeer goed + goed ± voldoende - slecht -- zeer slecht v aanwezig – niet aanwezig

Google Cloud Print kan ook, op die manier

print je via het web.

De faxopties zijn voldoende voor als

je af en toe een fax stuurt of ontvangt. Als

je wilt krijg je een verzendbevestiging met

een kopie van de eerste pagina van de fax.

ConclusieAls je meerdere keren per jaar moppert

over dure nieuwe cartridges en stiekem al

met een schuin oog naar zeer goedkope

cartridges uit China zit te kijken, raden we

je aan om een multifunctional uit deze test

te overwegen. De robuuste Brother MFC­

J1300DW print erg betaalbaar voor een

printer met cartridges, heeft een prima

uitrusting, goede printkwaliteit en drie jaar

garantie. Het is de enige printer in de test

die een usb­poort voor sticks heeft plus

een sd­kaartslot.

Met Canons Pixma G4511 print je nog

goedkoper. Deze heeft de beste fotoprint­

kwaliteit, maar heeft wel een zeer karige

uitrusting. Bij het vullen van de inkt moet

je een stabiele hand hebben en voor de

zekerheid een doosje rubber handschoe­

nen in huis halen, maar gelukkig hoef je

niet vaak aan het vullen te slaan. Als na

lange tijd niet printen de printkoppen zijn

verstopt, haal je ze makkelijk uit de printer

voor een schoonmaakbeurt of vervang je

ze.

Een vreemde eend in de bijt is de

Epson Ecotank ET­M2140 die als enige inkt­

tankprinter alleen zwart­wit print. Hierdoor

is het een goed alternatief voor een zwart­

wit­laserprinter. Met zijn cassette voor 250

pagina's, grote uitvoerbak en face down­

uitvoer voldoet hij aan de eisen voor een

printer op de werkvloer.

Qua snelheid en kwaliteit van prints

haalt hij dezelfde scores als een kleine

zwart­wit­printer. Bij de printkosten, ver­

bruik en uitstoot doet hij het zelfs een flink

stuk beter.

Als je geen 2000 pagina's per jaar print,

kun je toch nog besparen op printkosten.

HP heeft een printabonnement Instant

Ink voor klanten met bescheiden printbe­

hoeftes. Met het kleinste abonnement voor

3 euro en 50 pagina's per maand kom je op

6,7 cent per pagina uit.

En dan hebben we het niet over een

ISO­pagina met veel wit, maar een randlo­

ze DIN­A4­foto die veel meer inkt verbruikt.

Voor thuisgebruikers die graag foto's prin­

ten een goede deal. (avs) c

Als professionele gamer heb je de beste uitrusting nodig

om competitief te blijven. Je wilt onberispelijke presta-

ties met reactietijden die snel genoeg zijn om jouw tem-

po bij te houden. De Toshiba X300 biedt de snelheid die

je nodig hebt om te winnen, zodat jij je kunt richten op de

actie. Alles is mogelijk - met de juiste hulpmiddelen.

Begin met het schrijven van uw verhaal op

toshiba-storage.com

Professionele gamer

Als je snelheid nodig hebt om een

voorsprong te nemen.

Write your story.

Storage Solutions

tot 14 TB

112 c’t 2019, Nr. 3

Achtergrond | TLS 1.3

Het volgende beveiligingsniveau

Wat is TLS 1.3 en hoe doe je daar je voordeel mee?

De nieuwe standaard voor Transport

Layer Security is definitief, maar dat

betekent nog niet meteen dat alles

ook werkt.

Jürgen Schmidt

Transport Layer Security (TLS) is de

belangrijkste cryptografische stan-

daard van het internet. Het bevei-

ligt de communicatie tegen afluisteraars

en manipulatie. Concreet beveiligt TLS

het transport tussen clientprogramma's

zoals browsers en e-mailprogramma's en

de servers op internet die de betreffende

dienst beschikbaar stellen. TLS wordt op

alle pc's met alle besturingssystemen

gebruikt, maar ook op smartphones en

slimme IoT-apparaten – dat hopen we in

elk geval.

In augustus vorig jaar was het dan

eindelijk zo ver: de hoeders van de inter-

net standaarden bij de IETF publiceerden

de in het voorjaar al als definitief be-

schouwde TLS-versie 1.3 officieel als RFC

8446. Daarmee moet Transport Layer Se-

curity een nieuw beveiligingsniveau gaan

bereiken.

Maar voordat dat in de praktijk te

merken is, moet het protocol ook in de

programma's zitten die het gebruiken.

Omdat daar tijdens het hele standaardi-

seringsproces al aardig wat voorwerk voor

was verricht, ziet dat er nu al redelijk goed

uit. Maar breed gebruikt wordt de nieuwe

standaard in de dagelijkse praktijk nog

niet helemaal.

Het is te hopen dat TLS 1.3 niet het-

zelfde lot beschoren is als zijn voorganger:

in 2008 werd TLS 1.2 al gedefinieerd als

standaard, maar pas in 2014 werd het een

beetje populair. Nu, tien jaar verder, heeft

het zich pas zo ver verspreid dat TLS 1.0

en TLS 1.1 uitgefaseerd lijken te kunnen

worden. De browsers Chrome, Edge, Fire-

fox, Internet Explorer 11 en Safari zullen

die als verouderd en onveilig beschouwde

TLS-versies vanaf 2020 niet meer onder-

steunen.

Veel security-experts adviseren sys-

teembeheerders nu al om TLS 1.0 op hun

servers uit te schakelen. De voor dienst-

verleners op betaalgebied verplichte

PCI-DSS standaard verbiedt het gebruik

ervan zelfs al sinds juli 2018. Voorzichtige

systeem beheerders zonder een al te grote

compliance-drang adviseren we om eens

een blik op de eigen logbestanden te wer-

pen. Bij ons bleek dat ongeveer acht pro-

cent van de bezoekers verbinding maakte

via TLS 1.0.

Vanuit het oogpunt van het conse-

quent versleutelen van je gehele web-

site kan het uitschakelen van TLS 1.0 dan

betekenen dat iedere tiende bezoeker je

113c’t 2019, Nr. 3

Achtergrond | TLS 1.3

Het is nog een uitzondering, maar de eerste websites waarmee Firefox en Chrome verbindingen met TLS 1.3 kunnen maken zijn er al.

pagina's niet meer kan oproepen, maar al-leen nog een foutmelding te zien krijgt. Dat geldt dan vooral voor gebruikers van oudere smartphones met Android 4.3 of eerder en oudere Windows-installaties met Internet Explorer 10. Beide platforms ondersteunen TLS 1.2 niet. Windows- gebruikers kunnen nog wel Internet Ex-plorer 11 of een andere browser instal-leren, maar voor veel Android-gebruikers valt er weinig te upgraden.

Om een lang verhaal kort te maken: veel websites blijven TLS 1.0 nog gewoon ondersteunen. En dan gaat het niet alleen particuliere webservers, maar dat geldt ook voor veel commerciële en overheids-sites.

Voor ontwikkelaarsDe basis voor de ondersteuning van TLS 1.3 is in elk geval al voorhanden: de hui-dige versies van de bibliotheken OpenSSL (versie 1.1.1), GnuTLS (3.6.3) en Google BoringSSL bieden al ondersteuning voor TLS 1.3. De door Oracle begin september uitgebrachte Java Development Kit 11 kan het ook. Daarmee kunnen software-ontwikkelaars de in hun programma's en apps benodigde aanpassingen in elk geval doorvoeren.

Welke dat zijn, hangt af van de ab-stractielaag waarop de ontwikkelaar werkt. TLS 1.3 biedt bijvoorbeeld enkele nieuwe cryptografische methoden, waar-van je het gebruik onder bepaalde om-standigheden eerst expliciet moet toe-staan. Daar moet je enige voorzichtigheid bij betrachten, omdat sommige versies

alleen preview-versies van de standaard gebruiken, zoals Draft 28. Die zijn niet al-tijd compatibel met de definitieve versie.

Voor gebruikersBij de browsers zijn – zoals gewoonlijk – Firefox en Chrome de eerste die ermee kunnen werken. Firefox 63 (security.tls.version.max = 4 bij about:config) en Chrome 70 (chrome://flags/#tls13-va-riant staat op 'Enabled (Final)') gebruiken de nieuwe standaard al – en zonder dat je daar wat voor hoeft te doen. Gebrui-kers van de browsers van Microsoft en Apple moeten er nog even op wachten. Internet Explorer 11, Edge 17 en Safari 12 kunnen niets beginnen met TLS 1.3. Op een smartphone kan in elk geval Chrome 69 voor Android overweg met TLS 1.3. In geval van twijfel kun je met een aan-roep van https://tls13.crypto.mozilla.org achterhalen of je browser het protocol al ondersteunt. Zo niet, dan krijg je een foutmelding te zien.

À propos foutmelding: zelfs als je eigen browser al het benodigde al aan boord heeft, kan het aanroepen van de testpagina van Mozilla tot een foutmel-ding leiden. Dat ligt dan aan een van de tussenstations op de weg naar de server. Al bij het testen met preview-versies van de standaard bleken er erg hoge foutrates te ontstaan door zogeheten middle boxes. Dat is bijvoorbeeld een Intrusion Detec-tion System dat zegt: "Hier gebeurt wat, dat ik niet ken – dat moet een aanval zijn" en dat dan simpelweg probeert te verhin-deren.

De IETF-experts hebben dan ook al het nodige ondernomen om TLS 1.3 zonder concessies aan de veiligheid zodanig om te bouwen dat het die rigide tests kan pas-seren. Dat helpt echter helemaal niets als er een proxy is geïnstalleerd of een op an-tivirusprogramma op de pc dat zich actief in de verbinding nestelt, dat nog niet met TLS 1.3 werkt.

Een test op https://www.ssllabs.com/ssltest/viewMyClient.html laat zien wat er bij de internetserver daadwerkelijk aankomt. Je hoeft die link overigens niet over te typen, je vindt hem ook via de link aan het eind van dit artikel.

Voor serverbeheerdersAan de serverkant ziet het er daarente-gen nog niet zo florissant uit. De eerste websites met TLS 1.3 komen al wel te-voorschijn, maar die komen normaal ge-sproken dan van Nginx vanaf versie 1.13. Daar kun je TLS 1.3 namelijk met een paar handelingen in het configuratiebestand activeren:

ssl_protocols TLSv1.2 TLSv1.3;

Daarnaast wil je dan waarschijnlijk nog de nieuwe cipher-suites aan het begin van de string ssl_ciphers instellen:

TLS-CHACHA20-POLY1305-SHA256

TLS-AES-256-GCM-SHA384

TLS-AES-128-GCM-SHA256

en de elliptische curven daarbij expliciet activeren:

114 c’t 2019, Nr. 3

Achtergrond | TLS 1.3

De officiële versieweer-gave staat vast op TLS 1.2 – ook als beide par-tijen al 1.3 gebruiken.

Het begin van de ontwikkeling van de

nieuwe standaard stond in het teken van

het grote uitmesten. Elke afzonderlijke

TLS-functie werd goed bekeken door de

IETF-experts. Het belangrijkste aan de

vernieuwingen van TLS 1.3 is dan ook

eigenlijk wat er allemaal niet meer in zit.

En alleen daarmee vervallen al een groot

aantal potentiële veiligheidsproblemen.

Het meest prominente slachtoffer

van de sanering is RSA. In de toekomst

moet het uitwisselen van de sessie-

sleutel via een Diffie-Helman-methode

afgehandeld worden, met een voorkeur

voor de variant met elliptische curves

(ECDHE). Dat zorgt ervoor dat een gesto-

len serversleutel geen toegang mogelijk

maakt tot de leesbare tekst van eerder

verstuurde en versleuteld opgeslagen

data (Forward Secrecy).

Bovendien wordt de Cipher Block

Chaining (CBC) afgeschaft. De daarmee

verbonden scheiding van versleuteling

en integriteitsbewaking maakte telkens

weer allerlei aanvallen mogelijk (MAC-

then-Encrypt). In de toekomst is Authen-

ticated Encryption verplicht, dat beide

in één stap combineert. In plaats van

AES/CBC wordt AES dan vaak in de Ga-

lois Counter Mode (GCM) gebruikt. Als

alternatief voorziet de standaard ook in

counters met CBC-MAC (CCM).

Achterhaalde methoden als de Ex-

port Ciphers, MD5, SHA1 en RC4 werden

er bij de grote schoonmaak eveneens

uitgeknikkerd. TLS 1.3 ondersteunt de al

lang achterstallige DJB-curve Curve 22519

en Goldilocks voor cryptografie op basis

van elliptische curves (ECC) plus de al

sinds enige tijd door Google gebruikte

Stream-Cipher ChaCha20.

Niet alleen uit beveiligings- maar

ook uit privacyperspectief is interes-

sant dat TLS 1.3 een veel groter deel

van de verbindingsopbouw versleutelt.

Daarbij worden dan met name de server-

certificaten niet meer in leesbare tekst

verstuurd. Aan de daarin opgenomen

servernaam kon je tot nu toe zien met

welke webserver iemand op dat mo-

ment verbinding maakte. Dat kan altijd

nog met de zogeheten Server Name

Indication (SNI), maar aan de versleute-

ling daarvan wordt op dit moment ook

al gewerkt (Encrypted Server Name In-

dication for TLS 1.3, draft-ietf-tls-esni-01).

Een ander highlight is de versnelde ver-

bindingsopbouw. Al na het uitwisselen

van een pakket met administratieve ge-

gevens kunnen gebruiksdata met TLS

beveiligd worden verzonden. Je verliest

daarbij maar één Round Trip Time en

hebt het dan over 1-RTT. In bepaalde

gevallen kan een client zelfs zonder

veel gedoe vooraf meteen data sturen

(0-RTT). Dan moet echter wel het sleutel-

materiaal van eerdere sessies zijn opge-

slagen en hergebruikt kunnen worden.

Dat zorgt in security-kringen voor wat

onrust. Dit maakt in principe namelijk

Replay-aanvallen mogelijk. De standaard

houdt rekening met die bedenkingen en

staat 0-RTT alleen toe voor bepaalde ty-

pen verbindingen.

Het zijn met name de grote hosters

die profiteren van de versnelde verbin-

dingsopbouw. Daar worden miljoenen

verbindingen per seconde opgebouwd.

Maar ook nieuwe TLS-toepassingen als

DNS-over-TLS en DNS-over-HTTPS wor-

den pas met de 1-RTT/0-RTT-optimali-

saties snel genoeg om te kunnen con-

curreren met de huidige onbeveiligde

UDP-protocollen.

Dit zit in TLS 1.3

ssl_ecdh_curve prime256v1:secp384r1;

Een paar webhosters bieden TLS 1.3 al als

feature aan – waaronder Cloudflare, dat

zich sterk gemaakt heeft voor de ontwik-

keling van de standaard. Dat kun je een-

voudig in het webfront-end configureren.

De nieuwe TLS-versie is voor nieuwe zones

standaard al geactiveerd. Daarbij schakelt

Cloudflare TLS 1.3 op hun Edge-servers in,

die werken met Nginx als reverse-proxy

en de TLS-verbinding afsluiten. Je eigen

server hoeft daarom geen TLS 1.3 te on-

dersteunen – maar kan het in elk geval

wel gebruiken.

Een grote sprong voorwaarts wat

betreft de populariteit van TLS 1.3 komt

waarschijnlijk met een betere ondersteu-

ning in de Apache webserver. Tot Apache

2.4.35 was hooguit TLS 1.2 mogelijk, vanaf

de recente versie 2.4.37 is TLS 1.3 moge-

lijk maar het werkt nog niet helemaal ro-

buust.

Een analyse of een TLS-verbinding

al met versie 1.3 tot stand is gekomen

is overigens niet triviaal. Het daarvoor

voorziene versieveld bij de client- en

server-hello is vanwege problemen met

sniffer-apparaten vast ingesteld op de

waarde voor TLS 1.2 (0x0303). De nieuw

ingevoerde uitbreiding supported_versi-

on verraadt pas wat er werkelijk gebeurt.

Daar meldt dan bijvoorbeeld de client dat

hij de versies 1.0, 1.1, 1.2, 1.3 en een ran-

dom gegenereerde, niet bestaande versie

ondersteunt. Dat laatste gebeurt om de

'wat de boer niet kent dat vreet hij niet'-

mentaliteit uit te bannen van de fabrikan-

ten van beveiligingssoftware. Als je wilt,

kun je dat met Wireshark live bekijken.

Wireshark kan sinds versie 2.6 namelijk

met TLS 1.3 overweg. (nkr) c

www.ct.nl/softlink/1903112

Deze actie loopt zolang de voorraad strekt. Je abonneert tot wederopzegging en voor ten minste de actieperiode van 10 nummers. Na de actieperiode wordt het abonnement automatisch verlengd tegen het dan geldende standaardtarief.

BESTEL NU OP: WWW.FNL.NL/CTABO

10x c’t + Raspberry Pi 2019

VOOR €47,-

De topmodellen smartphones zijn

inderdaad helemaal top – maar het is

ook top als je nog wat budget over-

houdt voor iets anders. Met een goed-

kopere smartphone kun je meestal

ook prima uit de voeten. Je moet

alleen niet verwachten dat je daar

alles even goed mee kunt. We heb-

ben enkele uitblinkers getest, maar

ze presteren niet allemaal hetzelfde

als het gaat om accuduur, snelheid,

scherm of camerakwaliteit.

Jörg Wirtgen

Best goede smartphonesAndroid-smartphones van ongeveer 300 euro

Niet iedereen verlangt het maxi-

male van zijn smartphone en

wil 3D-games spelen met de

hoogste details, de beste fotokwaliteit

inclusief zoom en genoeg opslagruimte

voor de komende 10 jaar. Het is vooral

belangrijk dat je er betrouwbaar de dag

mee door komt, af en toe een foto mee

kunt maken en natuurlijk nog wel een

tijdje updates krijgt.

We hebben vier modellen getest

met een winkelprijs van rond 300 euro:

de Huawei Mate 20 Lite, Motorola One,

Nokia 7.1 en Samsung A7. Tot de stan-

daarduitrusting in deze prijsklasse be-

horen inmiddels twee sim-slots, vin-

gerafdrukscanner, 4G/LTE, een enkele

selfiecamera en een dubbele hoofdca-

mera.

Een andere trend is die van zoveel

mogelijk schermoppervlak bieden zon-

der nog grotere toestellen te maken. Dat

betekent dat de homeknop verdwijnt, de

schermranden dunner worden en de sel-

fiecamera vaak het display onderbreekt

(de zogeheten notch). Alleen bij de

Samsung zijn de randen iets dikker, waar-

door dat model een 6"-scherm heeft met

dezelfde buitenmaten als waarin Huawei

een 6,3"-scherm onderbrengt.

116 c’t 2019, Nr. 3

Test | Smartphones van 300 euro

Accuduur en benchmarks

Model Video streamen Wifi-surfen Lokale video 3D-games Coremark Single Multi Thread 3DMark Ice Storm Sling Shot Extreme

[uren] beter > [uren] beter > [uren] beter > [uren] beter > [punten] beter > [punten] beter > [punten] beter > [punten] beter >

Huawei Mate 20 Lite

Motorola One

Nokia 7.1

Samsung A7

De Samsung A7 heeft als enige in deze

test een oled-scherm en daarmee de

meest indrukwekkende kleuren. Het is

ook het meest heldere. De drie lcd's zit-

ten daar een klasse onder, waarbij het

Nokia-scherm voor een lcd fraaie kleuren

toont en ook helder genoeg is voor ge-

bruik buiten in de zon. Het scherm van

de Huawei heeft juist een opvallend lage

helderheid, waardoor je buiten soms de

schaduw moet opzoeken.

Het scherm van de Motorola heeft

een lage resolutie. Je ziet nog geen pixels,

maar foto's, video's en games tonen min-

der detail en teksten ogen minder scherp.

Bovendien zijn de kleuren fletser en is de

maximale helderheid laag. Het is daarmee

het slechtste scherm in deze test, maar je

went eraan als je het niet steeds met be-

tere schermen vergelijkt.

Camera'sBij voldoende licht maken alle vier de

smartphones goed bruikbare foto's. De

Nokia toont de beste schaduwdetails, de

Samsung de minste ruis en de Huawei

biedt de meeste scherpte en de meeste

details – maar hij maakt foto's ook wat

overbelicht.

Ga je naar binnen (80 lux), dan zie je bij

alle camera's al zichtbaar ruis. De Samsung

raakt door het ruisfilter verrassend veel

details kwijt, de Nokia toont deels onre-

alistisch gladde randen – dat wordt bij

beide erger bij afnemende lichtsterkte.

De Huawei wordt dan kleurlozer en don-

kerder. Motorola heeft in die situaties nog

de beste resultaten. Met nog minder licht

(0,5 lux) leveren alle vier de smartphones

een bijna zwart beeld. Maar ook de toptoe-

stellen komen in dat geval vaak niet verder

dan hooguit herkenbare foto's.

De vier toestellen hebben allemaal

een tweede camera om foto's te verbe-

teren en portretfoto's te maken met een

kunstmatige onscherpte van de achter-

grond. Die digitale bokeh ziet er bij Nokia

het beste uit. Bij Huawei is er weinig van te

zien en Samsung en Motorola voegen een

soort onscherp halo toe rond het onder-

werp. Je kunt de camera's niet afzonderlijk

benutten.

Bij Samsung krijg je zelfs een derde ca-

mera met groothoek. Maar die vertekent

sterk en is hooguit geschikt voor kiekjes

van een landschap (of als demonstratie

van het fisheye-effect).

Accuduur en benchmarksDe Samsung A7 heeft een lange accuduur

en doet mee met de toptoestellen. De 16

uur bij het video afspelen wordt bijvoor-

beeld alleen overtroffen door de OnePlus

6T en Galaxy Note 9. Ook de 14 uur bij

het surfen via wifi zijn top. Motorola en

Huawei doen het iets minder, maar nog

steeds bovengemiddeld goed. De Nokia

7.1 blijft echter duidelijk achter en haalt

bij intensief gebruik wellicht het einde

van de dag niet.

Je krijgt bij alle smartphone een

snellader meegeleverd waarmee de accu

binnen twee uur vol is – bij Motorola en

Huawei nog iets sneller. Draadloos laden

ondersteunen ze niet.

Huawei en Samsung hebben pro-

cessors met heel snelle cores, waardoor

ze bij singlethread-benchmarks 40 tot

120 procent sneller zijn. Bij multithread-

bewerkingen valt de Samsung terug,

omdat die slechts twee van deze snelle

cores heeft. De Nokia doet het dan beter,

omdat die ondanks hoge belasting niet

afremt (bij oververhitting). Ook de Mo-

torola, met acht even snelle cores die

niet worden afgeremd, doet weinig onder

voor Huawei en Nokia. Voor dagelijks ge-

bruik voldoen ze allemaal, in elk geval in

gewone apps zoals WhatsApp en Face-

book. Alleen bij een rechtstreekse ver-

gelijking met een sneller toestel merk je

verschil.

Bij games is het beeld anders. Daarbij

zijn alle geteste smartphones duidelijk

langzamer dan de topmodellen met bij-

voorbeeld een Snapdragon 845, die drie-

tot tienmaal zo hoge 3D-benchmarks

halen. Dat kan bij actiespellen vervelend

zijn als je het detailniveau of de resolu-

tie niet kunt verlagen. Bij de Motorola

One zal dat misschien minder opvallen,

omdat die sowieso een lagere resolutie

heeft. De Samsung wordt daar het meest

door beperkt.

Geheugen, 4G en softwareDe 20 GB vrije opslagruimte van de Nokia

laat weinig ruimte over voor foto's, vi-

deo's of een uitgebreide verzameling

games. Een stuk beter, hoewel meer

geen kwaad kan, is de circa 45 GB bij de

drie anderen. Ze kunnen alle vier veel

bestanden zoals foto's en video's op een

microSD-kaart kwijt. Bij Nokia en Hua-

wei neemt de geheugenkaart de plek in

van de tweede simkaart. Alleen bij Mo-

torola is dit extra toegevoegd geheugen

echt beschikbaar voor alle apps, omdat

daarop de Android-functie toeganke-

lijk is die een kaart als intern geheugen

formatteert. Het toestel klaagt zelfs bij

snelle A2-kaarten dat ze hiervoor te traag

werken – de controller lijkt de bottleneck

te zijn. Maar ondanks die waarschuwing

werkt het wel.

Ze hebben allemaal wifi op 5 GHz

en bluetooth, net als 4G op de relevante

frequentiebanden. Alle toestellen on-

dersteunen de voor Nederland en Bel-

gië belangrijke banden 3, 7 en 20. Nokia

en Huawei hebben de bluetooth-codec

AptX, die bijvoorbeeld bij games en films

de vertraging tussen beeld en bluetooth-

geluid verkleint. Bij de Samsung A7 zit de

vingerafdrukscanner in de aan-uitknop,

bij de andere smartphones zit hij aan de

achterkant.

Ze ontvangen allemaal signalen van

GPS- en Glonass-satellieten, sommige

ook van Beidou en Galileo. In ongunstige

omstandigheden vond de Nokia zijn po-

sitie wat betrouwbaarder dan de andere

toestellen. De Samsung A7 had het dan

als enige zo moeilijk dat dit in de praktijk

vervelend kan zijn.

Motorola en Nokia installeren An-

droid One en zijn daarmee in prin-

cipe gebonden aan regelmatige vei-

ligheidsupdates gedurende drie jaar

en twee upgrades naar een volgende

9,5

11,2

7,4

12,3

12,7

12,6

10,4

14,1

10

11,8

6,9

16,1

6,7

6,5

5,7

7,5

10327

6152

8491

10288

52695

48437

51237

46138

20335

13870

19723

15153

1121

483

948

734

117c’t 2019, Nr. 3

Test | Smartphones van 300 euro

Motorola One

Bij de One van Lenovo-dochter Mo-

torola krijg je als enige in de test geen

headset. Als troost krijg je er wel een

doorzichtige cover bij. De behuizing

van het toestel is goed afgewerkt.

Dankzij Android One is er geen bloat-

ware of andere rommel aanwezig, al-

leen de Google-apps. De update naar

Android 9 is inmiddels beschikbaar.

Een update naar Android Q zou in 2019

ook nog moeten verschijnen voor het

toestel.

De notch laat weinig ruimte over

in de notificatiebalk voor pictogram-

men. Links past er nog een naast de

tijd, rechts passen er vier. Daardoor

moet je de balk eerder naar beneden

trekken om alle notificaties te zien.

Als het apparaat op stand-by staat,

kun je de camera starten door ermee

te schudden. Dat lukte aardig na wat

oefening, maar het is niet zo handig als

het gebruikelijke tweemaal drukken op

de stand-byknop bij andere toestellen.

De LTE-modem ondersteunt als

enige geen kanaalbundeling (door

Belgische en Nederlandse provi-

ders 4G+ genoemd). Dat is vooral in

stedelijke gebieden beschikbaar en

biedt (buitenshuis) snellere en ook bij

drukte stabiele verbindingen. Bij wifi

ontbreekt 802.11ac en het toestel gaat

tot Bluetooth 5.0, maar beide zijn geen

echte beperking. 5GHz-wifi kun je toch

gebruiken met de ondersteuning voor

11n. De luidsprekers klinken dof en

hebben weinig volume.

 langdurig Android-updates

  flexibel gebruik van microSD

  geen 4G+-kanaalbundeling

  scherm met lage resolutie

Nokia 7.1

De Nokia 7.1 van Chinese fabrikant

HMD Global heeft een fraai meta-

len frame. Dankzij de relatief smalle

notch oogt het toestel moderner dan

de andere smartphones. Dankzij An-

droid One is er geen bloatware aan-

wezig op het toestel. Toch verschijnt

incidenteel een pop-up in beeld of je

het toestel wilt aanbevelen aan ande-

ren. Op het moment van schrijven was

na enige vertraging de uitrol van An-

droid 9 gestart, die zou ondertussen

bij iedereen moeten arriveren.

De accu is na 30 minuten al half

opgeladen, dat is een van de beste re-

sultaten die we ooit hebben gezien in

een smartphonetest. De laatste helft

gaat echter een stuk langzamer. Om

hem helemaal op te laden, heb je een

vrij gebruikelijke twee uur nodig.

Bij weinig licht zien veel scherpe

lijnen op foto's er erg korrelig uit. Maar

de digitale achtergrond-onscherpte

ziet er juist weer natuurlijker uit dan bij

de andere geteste smartphones. 4K-

video's maken is mogelijk, maar zelfs

met full-hd worden ze met hooguit

30 fps opgeslagen.

Van de 32 GB aan opslagruimte

is maar 20 GB beschikbaar voor de

gebruiker. Ook de hoeveelheid werk-

geheugen valt lager uit dan bij de

concurrenten, waardoor het schakelen

tussen apps langzamer kan gaan. Een

versie met 64 GB opslag en 4 GB werk-

geheugen wordt wel gemaakt, maar is

slecht verkrijgbaar.

  ondanks lcd krachtige kleuren

  langdurig Android-updates

  weinig opslagruimte en geheugen

  kortste accuduur in de test

Huawei Mate 20 Lite

De behuizing van de Huawei Mate

20 Lite maakt een goede indruk. De

notch is van gemiddeld formaat en

laat nog ruimte over voor zes status-

iconen.

Je moet bij de Android-versie

van Huawei wat moeite doen om de

bloatware te verwijderen. Er zit aardig

wat overbodig spul op. Daarnaast wil

het toestel je in allerlei situaties graag

koppelen aan de Chinese Huawei-

cloud. Je kunt dat gelukkig zonder

problemen weigeren, maar het blijft

wel opletten.

Sommige benchmarksoftware

konden we niet installeren. De fout-

melding 501 duidt erop dat Huawei

ze blokkeert, misschien per ongeluk

of als restant van interne tests. Of

dat ook bij andere apps speelt is de

vraag, waardoor het geen goed ge-

voel geeft. Gezien de snelheid van

het toestel zou het geen slecht figuur

hoeven slaan. Huawei hoeft zich in elk

geval niet te schamen voor de ande-

re benchmarkresultaten, want in dit

testveld ligt de Kirin 710 bij cpu- en

grafische prestaties aan kop.

De camera maakt gebalanceerde

maar soms erg lichte foto's, bij weinig

licht vrij kleurloos. De hoge resolutie

levert weinig voordeel op. De bokeh-

modus heeft verrassend weinig ef-

fect. 4K-video's zijn geen optie. Om

de camera te starten, druk je net als

bij andere Huawei-toestellen twee-

maal op de stand-byknop.

  uitgebalanceerde camera

  ondanks afremming erg snel

  Android met aanpassingen

  lage maximale helderheid

118 c’t 2019, Nr. 3

Test | Smartphones van 300 euro

Samsung A7

De Samsung A7 oogt door de brede

schermrand niet zo modern als de

andere toestellen. De vingerafdruk-

scanner zit op een aparte plek in de

stand-byknop, maar is daar goed te

bedienen.

Bij voldoende licht krijg je erg goe-

de foto's, die echter weinig profiteren

van de hoge resolutie. Bij slecht licht

pikt de sensor veel ruis op, wat door

de software wordt weggepoetst, maar

daardoor gaan details verloren. De

24-megapixelfoto's verbruiken onnodig

veel ruimte op de geheugenkaart, je

kunt beter kiezen voor 12 megapixels.

4K-filmen is niet mogelijk, zelfs full-

hd kun je hooguit met 30 fps opslaan.

De groothoeklens biedt extra mogelijk-

heden, als je kunt leven met de sterke

vertekening.

De A7 had meer moeite met de

locatiebepaling dan de andere toestel-

len. Terwijl de rest in ongunstige om-

standigheden nog meer dan 25 satel-

lieten vond, zag de A7 er nog geen vijf.

Het lokaliseren in gebouwen of in het

bos duurt ook langer dan gebruikelijk

– als het al goed gaat.

Als enige in de test heeft het toe-

stel een micro-usb-aansluiting in plaats

van USB-C. Je moet dus net als met

een ouder toestel opletten hoe je de

laadkabel inplugt. Omdat de andere

toestellen de overige voordelen van

USB-C niet benutten, zoals hogere

snelheden of een DisplayPort-uitvoer,

levert dat verder weinig minpunten op.

  lange accuduur

  oled met always-on-display

  extra groothoekcamera

  slechte GPS

Testresultaten en specificaties

Model Mate 20 Lite One 7.1 A7

Fabrikant Huawei Motorola Nokia Samsung

Besturingssysteem / patchniveau

Android 8.1.0 / juli 2018

Android 8.1.0 / oktober 2018

Android 8.1.0 / oktober 2018

Android 8.0.0 / november 2018

Varianten zwart, blauw, goud zwart, wit blauw, zilver zwart, blauw, goud

Uitrusting

Processor Huawei Kirin 710 Qualcomm Snapdragon 450

Qualcomm Snapdragon 636

Samsung Exynos 7 Octa

Cores × frequentie 4 × 2,2 GHz, 4 × 1,7 GHz

8 × 2 GHz 4 × 1,8 GHz, 4 × 1,6 GHz

2 × 2,2 GHz, 6 × 1,6 GHz

Grafische chip ARM Mali-G51 Qualcomm Adreno 506 Qualcomm Adreno 509 ARM Mail-G71

Werkgeheugen 4 GB 4 GB 3 GB 4 GB

Opslagruimte(vrij) 64 GB (46,4 GB) 64 GB (48,11 GB) 32 GB (20,33 GB) 64 GB (48,7 GB)

Verwisselbare opslag / type v / microSD v / microSD v / microSD v / microSD

Wifi IEEE 802.11a/b/g/n/ac IEEE 802.11a/b/g/n IEEE 802.11a/b/g/n/ac IEEE 802.11a/b/g/n/ac

Bluetooth / NFC 5.0 (aptX HD) / v 4.2 / v 5.0 (aptX) / v 5.0 / v

GPS / Glonass / Beidou /Galileo

v / v / v / – v / v / – / v v / v / v / v v / v / v / –

LTE / SAR-waarde (hoofd,EU) v / 0,46 W/kg v / 0,46 W/kg v / 0,26 W/kg v / 0,33 W/kg

LTE-banden 1 / 3 / 7 / 8 / 20 / 28 / 32

v / v / v / v / v / – / –

v / v / v / v / v / v / –

v / v / v / v / v / – / –

v / v / v / v / v / – / –

Dualsim (met microSD) / simtype

v (–) / nanosim v (v) / nanosim v (–) / nanosim v (v) / nanosim

Vingerafdruksensor v (achterop) v (achterop) v (achterop) v (in stand-byknop)

Hoofdtelefoonaansluiting v v v v

Usb-poort / OTG / DP type-C (USB 2.0) / v / – type-C (USB 2.0) / v / – type-C (USB 2.0) / v / – micro-usb (USB 2.0) / v / –

Accu / draadloos laden 3750 mAh / – 3000 mAh / – 3060 mAh / – 3300 mAh / –

Afmetingen (h × b × d) 15,8 cm × 7,6 cm × 0,8 cm

15 cm × 7,2 cm × 0,8 cm

15 cm × 7,1 cm × 0,9 cm

16 cm × 7,7 cm × 0,8 cm

Gewicht / waterdichtheid 172 g / – 162 g / – 161 g / – 168 g / –

Camera's

Camera resolutie / diafragma / OIS

19,7 MP / f/1,8 / – 13 MP / f/2,2 / – 12,2 MP / f/1,8 / – 24,1 MP / f/1,7 / –

Camera 4K-video / full-hd – / 60 fps 30 fps / 60 fps 30 fps / 30 fps – / 30 fps

2e camera resolutie / diafragma / OIS

(alleen ter ondersteun-ing)

(alleen ter ondersteuning) (alleen ter ondersteuning) 8 MP / f/2,4 / – (groothoek)

Frontcamera resolutie / diafragma

23,8 megapixel / f/2 8 megapixel / f/2,2 8 megapixel / f/2 24,1 megapixel / f/2

Displaykenmerken

Techniek lcd (IPS/LTPS) lcd (IPS) lcd (IPS) oled (amoled)

Diagonaal / afmetingen 6,3 inch / 14,5 cm × 6,7 cm

5,9 inch / 13,5 cm × 6,4 cm

5,8 inch / 13,4 cm × 6,4 cm

6,1 inch / 13,9 cm × 6,7 cm

Resolutie 2340 × 1080 pixels (410 dpi)

1520 × 720 pixels (287 dpi)

2280 × 1080 pixels (432 dpi)

2220 × 1080 pixels (407 dpi)

Min. helderheid / helderheidsverdeling

1,5 cd/m2 / 85 % 2 cd/m2 / 88 % 2 cd/m2 / 94 % 2 cd/m2 / 96 %

Max. helderheid / alleen automatisch

368 cd/m2 / – 460 cd/m2 / v 529 cd/m2 / v 653 cd/m2 / v

Winkelprijs € 300 € 230 € 320 € 275

v aanwezig – niet aanwezig

Android-versie. Maar dat levert niet

meteen veel op, want de geïnstalleerde

versie is niet Android 9 maar Android 8.1

– en op beide ontbrak bovendien op het

moment van testen nog de meest recen-

te security patch. Die was bij Samsung

wel geïnstalleerd, terwijl de Huawei zelfs

nog op juli 2018 stond.

Conclusie

Over het geheel zijn dit redelijk goede

smartphones en zijn ze geschikt voor al-

ledaags gebruik. De mindere camera ten

opzichte van de topmodellen moet je op

de koop toenemen, de beste resultaten op

dit punt kwamen bij deze test van de Hua-

wei en de Samsung. (mdt) c

119c’t 2019, Nr. 3

Test | Smartphones van 300 euro

Overbodige ballastVerwijder de meegeleverde apps van Android-smartphones zonder te hoeven rooten

Veel van de meegeleverde apps op

je smartphone zijn best nuttig, maar

er zit vaak ook aardig wat rommel

bij. Dankzij een truc kun je ze verwij-

deren, ook al biedt een fabrikant die

mogelijkheid zelf niet. Dat kan zelfs

zonder root-toegang.

Ronald Eikenberg

De meeste fabrikanten van smart-

phones, tablets en andere ap-

paraten met Android hebben de

irritante gewoonte om niet alleen het

Android- besturingssysteem op hun appa-

raat te zetten, maar daar ook ongevraagd

allerlei apps bij mee te leveren. Het aan-

bod varieert daarbij van potentieel nut-

tige tools en agenda- en socialemedia-

apps tot spelletjes en winkel-apps. De

beweegredenen om die extra's te instal-

leren zijn daarbij vaak van financiële aard,

want zo'n fabrikant krijgt bijvoorbeeld

voor elke meegeleverde shopping-app

of testversie van een virus scanner een

bepaalde provisie. Vaak worden gebrui-

kers dan aangespoord een account aan

te maken bij de clouddienst van de fabri-

kant, zodat die dan weer extra data kan

vergaren en vervolgens extra diensten

kan aanbieden.

Die ongewenste cadeaus vervuilen

niet alleen het app-overzicht, maar ze

zijn soms ook actief terwijl je ze niet eens

gebruikt. Dat kan je telefoon vertragen,

waarbij dan ook nog eens allerlei data

worden doorgestuurd. Alsje graag heer

en meester over je eigen hardware bent,

moet je die na ingebruikname eerst al-

lemaal verwijderen.

Fabrikanten pronken op de product-

pagina's van hun apparaten vaak met de

120 c’t 2019, Nr. 3

Praktijk | Android-bloatware verwijderen

Afb

ee

ldin

g:

Jan

Bin

takie

s

technische gegevens van hun produc-

ten, terwijl daarbij vooral wordt gezwe-

gen over welke software er meegeleverd

wordt. Er wordt vaak niet meer vermeld

dan de Android-versie. Een aantrekkelijk

smartphonekoopje blijkt na ingebruik-

name dan vol te zitten met vervelende

softwaresurprises. Dat probleem speelt

trouwens niet alleen bij de goedkope

modellen, maar ook bij de dure top-

smartphones.

Hoe goed je de boel kunt opruimen,

hangt af van de fabrikant. Vaak kun je

sommige meegeleverde apps wel verwij-

deren of op zijn minst uitschakelen, maar

andere zitten vast in het systeem veran-

kerd. Vooral de eigen apps van een fabri-

kant raak je vaak moeilijk kwijt. Toch zijn

die veelal overbodig, zoals een tweede

app-winkel of een back-up-app waarvoor

een betaald cloudaccount bij de fabrikant

nodig is. Vooral Chinese smartphones zit-

ten vaak vol dubieuze systeem-apps, die

je wel wilt verwijderen maar waarbij dat

niet mag.

Als je tegen die keuzes van de fabri-

kant wilt ingaan, moet je zelf de truken-

doos opentrekken. Een van de opties

is jezelf rootrechten verschaffen op het

Android-systeem om de rommel te ver-

wijderen, een andere is het installeren

van een alternatieve Android-distributie

zoals LineageOS.

In beide gevallen schiet je echter

wel met een kanon op een mug als het

er alleen om gaat om bepaalde apps te

verwijderen. Bovendien moet daar nor-

maliter de bootloader voor ontgrendeld

worden, wat problemen met de garantie

kan opleveren. Gelukkig biedt Android

daar een sluiproute voor, waardoor je de

lastige hindernissen van rootrechten en

het ontgrendelen van de bootloader kunt

vermijden. Daarmee win je wel geen op-

slagruimte, maar je kunt de prestaties en

privacy wel verbeteren. Verderop lees je

hoe dat werkt.

De gebaande padenVoordat je in de trukendoos duikt, moet

je controleren of de ongewenste apps ge-

woon verwijderd kunnen worden. Houd

het pictogram op het homescreen of in

het app-overzicht ingedrukt en kijk of het

systeem aanbiedt om de app te deactive-

ren, of nog beter: te verwijderen. Als dat

niet gebeurt, ga je bij de toestelinstellin-

gen naar 'Apps & meldingen \ Apps' (de

precieze naam verschilt per fabrikant en

Android-versie) en tik je op de naam van

de app. Je ziet dan alle app-informatie,

inclusief een knop voor het verwijderen

of deactiveren (stoppen) – als de fabri-

kant dat tenminste toestaat. Op de ap-

paraten van Huawei en Honor konden

we bijvoorbeeld wel de Google Play Store

uitschakelen, maar niet de fabrikanteigen

app-winkel App Gallery.

Ook als die methoden niet werken,

kun je er zonder trucs voor zorgen dat

een app in elk geval niet meer zichtbaar

is, onder het motto 'als je het niet ziet is

het er niet'. Bij bepaalde launchers zoals

Nova Launcher (zie de link aan het eind

van dit artikel) en de standaard-launcher

van Samsung kun je apps verbergen in

het app-overzicht. Bij Nova houd je daar-

voor je vinger op een app-pictogram, kies

je Bewerken en verwijder je vervolgens

het vinkje bij Apps. Apps die je verbergt

blijven wel vindbaar via de zoekfunctie

van de launcher en kun je nog starten

121c’t 2019, Nr. 3

Praktijk | Android-bloatware verwijderen

Fabrikanten-apps als Huawei's App Gallery en Samsungs Galaxy Apps kun je alleen via trucs verwijderen.

Met de in dit artikel beschreven me-

thode kun je zo'n beetje bijna alle

software van je Android-toestel

verwijderen, maar daarbij ook

systeemcomponenten die

essentieel zijn voor de wer-

king van je smartphone. Ga

daarom uiterst voorzichtig te werk en

verwijder uitsluitend pakketten waar-

van je weet wat ze doen en ook zeker

weet dat die overbodig zijn.

Onderzoek in geval van twijfel

eerst wat een app doet. Soms stuit je

daarbij op ervaringen van andere ge-

bruikers, zodat je in ieder geval weet

wat er wel of niet probleemloos

weg kan.

Als er belangrijke compo-

nenten ontbreken, kun je het

Android-toestel in het ergste

geval niet meer normaal gebruiken. Bij

onze test was het dan voldoende om

het apparaat in de recovery-modus te

starten en van daaruit dan de fabrieks-

instellingen weer terug te zetten (zie

kader 'EHBO').

Risico's en bijwerkingen

Veel standaard meegeleverde apps kun je niet echt verwijderen. Stoppen of uitzetten helpt vaak niet.

Om apps via de Android Debug shell te kunnen verwijderen, moet je eerst USB-foutopsporing bij Android activeren.

De app Package Name Viewer toont de pakketnaam die je nodig hebt om een geïnstalleerde app te verwijderen.

– zonder verder ingrijpen blijven ze wel-

licht ook actief.

Dan maar de sluiprouteOm hardnekkige gevallen niet alleen te

verbergen, maar ook echt te bevriezen,

kun je de eerder genoemde sluiproute

benutten. Daarvoor heb je een pc met

Windows, Linux of macOS nodig en

een usb-kabel om het Android-toestel

daarmee te verbinden. De pc moet het

Android-toestel aansturen via de voor

ontwikkelaars bestemde Android Debug

Bridge (ADB).

Dat klinkt lastiger dan het is. In wezen

werkt ADB als een soort SSH- of Telnet-

verbinding, waarmee je opdrachten kunt

uitvoeren op het Android-systeem. Voor

het deinstalleren van apps is er de Packet

Manager (pm) van Android. Daarmee kun

je apps dan wel niet compleet verwijde-

ren, maar in ieder geval wel effectief uit-

schakelen. Ze zijn dan niet meer zichtbaar

of actief.

ADB zit in de gratis Android Platform

Tools van Google (zie de link onderaan dit

artikel). Het is te gebruiken zonder daar-

bij geïnstalleerd te hoeven worden. Pak

het gedownloade archiefbestand uit en

ga via de commandline of de shell van je

besturings systeem naar de map platform-

tools (cd platform-tools). Start vervol-

gens de ADB-server met de opdracht adb

start-server.

Dan moet je het Android-toestel nog

voorbereiden op de koppeling. Sluit het

apparaat eerst met de usb-kabel aan

op de pc en kies voor een verbindings-

modus als Bestandsoverdracht of Picture

Transfer Protocol (PTP) of iets dergelijks,

zodat de pc de smartphone kan vinden.

De modus 'Deze telefoon opladen' is daar

in elk geval ongeschikt voor.

Je kunt de betreffende modus meest-

al kiezen via de notificaties die je ziet als

je naar beneden veegt over de notificatie-

balk bovenin het scherm. Ten minste één

van de notifi caties heeft dan betrekking

op de actieve usb-verbinding.

Vervolgens moet je dan ook de usb-

foutopsporing nog activeren. Ga daar-

voor eerst naar het instellingenmenu

van de telefoon en laat via 'Info telefoon

/ Softwaregegevens' informatie over de

Android-versie weergeven. Tik daar dan

vijfmaal op het buildnummer om de ont-

wikkelaarsmodus te activeren. Voer je be-

veiliging in als daarom gevraagd wordt.

Ga met de vorige-knop vervolgens een

niveau terug in het instellingenmenu (al

naargelang fabrikant en model is dat wel-

licht twee niveaus). Open dan het onder-

deel Ontwikkelaarsopties. Dat zit soms in

een submenu.

Afhankelijk van je toestel moet je

eerst nog helemaal bovenaan een scha-

kelaar omzetten om die opties te kunnen

aanpassen. Activeer vervolgens USB-

foutopsporing om de koppeling via ADB

mogelijk te maken. Als je dat moet beves-

tigen tik je op OK. Vergeet niet om na het

afslanken van je toestel de foutopsporing

te deactiveren, omdat daarmee anders

vergaande toegang tot je Android-toestel

mogelijk blijft.

Dan zou de koppeling met de aan-

gesloten pc vanzelf opgebouwd moeten

worden. Android vraagt daarbij of je USB-

foutopsporing wilt toestaan en toont de

RSA-vingerafdruk van de gekoppelde pc.

Ook dat moet je bevestigen. Controleer

vervolgens op de pc met de opdracht adb

devices of de koppeling is gelukt. In dat

geval wordt die vermeld onder 'List of

devices attached'.

Als ADB geen toestel vermeldt, is An-

droid misschien niet met de juiste usb-

modus verbonden met de pc. Probeer de

andere modi dan gewoon even uit. Ook

een slechte usb-kabel of usb-hub kan

de oorzaak zijn. Bij Huawei- en Honor-

smartphones moet je erop letten dat die

met de pc verbonden zijn voordat je USB-

foutopsporing activeert bij de Android-

instellingen. Anders kun je de optie niet

goed activeren.

Bij sommige oudere toestellen of Win-

dows-versies moet je de usb-driver hand-

matig installeren (zie de link onderaan dit

artikel).

Eerst rondkijkenAls ADB het apparaat vermeldt, zet je met

de opdracht adb shell een remote-shell-

verbinding op.

Met deze opdracht laat je de pakket-

manager alle geïnstalleerde pakketten

opsommen:

pm list packages

Android gebruikt intern niet de door de

launcher getoonde app-namen, maar de

door de ontwikkelaar toegewezen pak-

ketnamen. Die zijn opgebouwd volgens

het schema com.huawei.appmarket.

Het aantal geïnstalleerde pakketten is

duidelijk groter dan de lijst met apps die

in Android zichtbaar is. Dat komt door-

dat onder andere systeemonder delen

worden vermeld die niet voorkomen in

de launcher of het applicatieoverzicht. Bij

een Huawei Mate 20 Pro vonden we na

ingebruikname bijvoorbeeld 215 pakket-

ten. Voeg aan de opdracht de parameter

-3 toe om alleen de apps van derden te

zien, zoals de vaak meegeleverde Micro-

soft-Office- of winkel-apps. Met -s laat

122 c’t 2019, Nr. 3

Praktijk | Android-bloatware verwijderen

den. De APK-bestanden daarvan staan

ook na het verwijderen echter nog in het

Android-bestandssysteem, maar die zijn

meestal niet zonder meer te installeren.

Vooral eigen fabrikanten-apps zijn vaak

niet als gebruikers- maar als systeem-app

geïnstalleerd. Dat werkt alleen met root-

rechten. In zo'n geval kun je het Android-

toestel terugzetten naar de fabrieksinstel-

lingen en opnieuw beginnen. Dan zijn

alle meegeleverde apps weer terug van

weggeweest. (mdt) c

www.ct.nl/softlink/1903120

Als je een pakket verwijdert en vervol-

gens ontdekt dat je toestel niet meer

goed werkt, moet je het terugzetten

naar de fabrieksinstellingen. Probeer

dat eerst via het instellingenmenu

van Android.

Als je dat niet meer kunt be-

reiken, helpt de recovery-modus je

verder. Die bereik je door het toestel

eerst uit te zetten. Dat doe je bij de

meeste smartphones doorgaans door

de stand-byknop lang ingedrukt te

houden en de betreffende optie te

kiezen. Daarna moet je hem aanzet-

ten door de stand-byknop samen

met een andere knop (zoals de vo-

lumeknop) ingedrukt te houden. De

juiste toetsencombinatie staat in de

handleiding van je smartphone of via

Google.

Het apparaat start dan in de zo-

geheten recovery-modus, waar je

dan de optie vindt om hem terug te

zetten naar de fabrieksinstellingen.

Daarbij gaan dan wel alle data ver-

loren, maar het toestel zou wel weer

normaal moeten kunnen starten. De

onderdelen die je had verwijderd, zijn

dan alshet goed is weer terug.

Een andere noodoplossing is de

zogeheten fastboot-modus. Daarin

kun je het flashgeheugen met het An-

droid-systeem vanaf een pc opnieuw

flashen. Daar heb je dan weer wel een

image met de oorspronkelijke inhoud

voor nodig. Maar helaas bieden wei-

nig fabrikanten dat soort images. En

dan nog: voor de fastboot-methode

is daarnaast ook een ontgrendelde

bootloader nodig.

EHBOde tool juist alleen de systeempakketten

zien. Om de lijst te filteren op een zoek-

begrip zoals 'huawei', voeg je gewoon een

grep toe aan de opdracht: pm list pak-

kages | grep huawei.

Een snel overzicht krijg je bijvoor-

beeld ook met de gratis Android-app Pac-

kage Names Viewer (zie de link onderaan

op deze pagina). Die toont alle geïnstal-

leerde pakketten samen met de leesbaar-

dere app-namen, de pakketnamen en de

pictogrammen. Via de vergrootglasknop

rechtsboven kun je zoeken naar app- en

pakketnamen. De tool maakt bovendien

onderscheid tussen gebruiker- en sys-

teem-apps.

De eerste soort kun je in de meeste

gevallen probleemloos verwijderen, met

die laatste moet je goed weten wat je

doet. Er wordt namelijk niet gevraagd om

bevestiging bij het verwijderen ervan. Als

je een onderdeel verwijdert dat je appa-

raat eigenlijk nodig heeft, werkt het wel-

licht niet meer. Dan crasht Android en

start het appaaraat niet meer omdat bij

het booten dan een onderdeel ontbreekt.

In dat geval moet je het Android-toestel

via de recovery-modus terugzetten op de

fabrieksinstellingen (zie het kader 'EHBO'

rechtsboven op deze pagina). Ga na hoe

en of je die modus kunt activeren voor-

dat je daadwerkelijk gaat beginnen met

opruimen. Maak bovendien een back-up

van je gegevens, omdat die bij het terug-

zetten naar de fabrieksinstellingen gewist

worden.

Afscheid nemenHeb je de pakketnaam van de te verwij-

deren app eenduidig bepaald, dan kun je

die verwijderen met het volgende com-

mando:

codpm uninstall -k --user 0

com.huawei.appmarket

Pakketnamen kunnen ook hoofdletters

bevatten, dus let op het onderscheid

tussen hoofd- en kleine letters. Als alles

goed gaat, rondt de pakketmanager het

verwijderen af met 'success'. Op de smart-

phone zie je hoe de app uit de launcher

verdwijnt.

De parameter --user 0 zorgt er-

voor dat de app dan alleen voor de ge-

bruiker met ID 0 verwijderd wordt. Dat

is meestal de enige gebruiker, maar

sommige fabrikanten ondersteunen de

Android-optie om meerdere gebruikers-

profielen te kunnen instellen waar tussen

gewisseld kan worden. Die kunnen onaf-

hankelijk van elkaar apps installeren en

gebruiken. De ID's voor dergelijke pro-

fielen kun je eventueel vinden met de

opdracht pm list users. Android toont

dan alle gebruikers volgens het patroon

UserInfo{0:Eigenaar:13}. Het eerste getal

is de gezochte ID (hier 0), daarna volgt de

gebruikersnaam.

We konden op die manier op alle

geteste apparaten met verschillende

Android-versies tot en met Android 9

willekeurige apps verwijderen. De ideale

uitgangssituatie daarbij is natuurlijk een

nieuw Android-toestel waarop zich nog

geen andere data dan die van de begin-

toestand bevinden. Je kunt het systeem

daarop snel afslanken door de ene na de

andere ongewenste app te verwijderen

en de pakketnamen te noteren. Als er

iets mis gaat, ga je terug naar de fabrieks-

instellingen en verwijder je de laatst ge-

noteerde app niet.

Uiteindelijk heb je dan een lijst van

apps genoteerd die in ieder geval pro-

bleemloos verwijderd kunnen worden.

Die kun je in een bash-script opnemen

om soortgelijke modellen automatisch

een afslankkuur te geven. Daarvoor voeg

je aan het begin van elke opdracht 'adb

shell' toe:

adb shell pm uninstall -k --user 0

com.paket1.name

adb shell pm uninstall -k --user 0

com.paket2.name

adb shell pm uninstall -k --user 0

com.paket3.name

...

Bewaar dat script in Windows met de ex-

tensie .bat (bijvoorbeeld cleanup.bat). Bij

Linux en macOS gebruik je de extensie .sh

en zorg je er vervolgens met chmod u+x

script.sh voor dat het uitvoerbaar is. Als

je dat op de pc start, worden de verwij-

deropdrachten één voor één afgewerkt.

Je kunt daar ook alle apps tussen zetten

die op de gebruikelijke Android-manier

verwijderd kunnen worden, zodat alles

ineens opgeruimd is.

De weg terugAls je bepaalde apps die je via ADB hebt

verwijderd toch weer terug wilt heb-

ben, kun je ze meestal via Google Play

gewoon weer installeren of desnoods

downloaden van APKmirror.com. Vaak

zijn met name door fabrikanten mee-

geleverde apps daar echter niet te vin-

123c’t 2019, Nr. 3

Praktijk | Android-bloatware verwijderen

Tot op de bodem

Gebruik Broncontrole om te achter­halen wat Windows uitspookt

Als een oude pc het niet meer trekt,

merk je dat door een flink ratelende

harde schijf of druk blazende ven­

tilator. Bij moderne systemen met

hun stille ssd's en koeling, moet je

wat dieper graven om te achter­

halen wat er precies aan schort.

De tool Broncontrole is daarbij

handig.

Jan Schüßler

Als je pc heel erg druk is, maar je

hem nergens opdracht voor hebt

gegeven, is dat behoorlijk irritant.

Een harde schijf die continu luid loopt te

ratelen laat je pc traag aanvoelen. Een cpu

die maximaal wordt belast laat de cpu-

koeling harder werken, of misschien is je

internetverbinding niet vooruit te bran-

den: allemaal behoorlijk irritant.

Het eerste wat in je opkomt is Taak-

beheer openen via een rechtermuisklik

op de taakbalk of met het klassieke Ctrl-

Alt-Delete. Darmee krijg je een eerste kijk

op welke processen op dat moment je

cpu, geheugen, schijf en netwerkverbin-

ding belasten. Een klik op de kolommen

sorteert de resultaten.

Erg veel detail bevatten de weer-

gaves van Taakbeheer echter niet. Daar

komt Broncontrole om de hoek kijken. Je

roept dat op via het zoeken op 'bron' of

door het intypen van 'resmon' op de Op-

drachtprompt. Het zit ook nog verstopt

op het tabblad Prestaties in Taakbeheer,

via de link 'Broncontrole openen' onder-

aan. Mocht je het vaker willen gebrui-

ken en dus snel willen starten, dan is

het handig de tool vast te maken aan de

taakbalk. Dat doe je via een rechtermuis-

klik op het geopende programma op de

taakbalk.

OverzichtZodra Broncontrole gestart is, toont de

resourcemonitor een overzichtspagina

voor alle vier de categorieën resources:

de processor, schijf, netwerk en geheu-

gen. Binnen elke categorie kun je sorteren

door op de kolommen te klikken. Een han-

digheidje is een simpel in te stellen filter.

Met een vinkje voor een proces wordt in

de overzichten alleen de informatie van

dat proces getoond. Het gaat dan alleen

om die ene instantie van het proces. Door

middel van een rechtermuisklik op een

proces beëindig je het, eventueel inclusief

alle subprocessen die door het proces zijn

gestart ('Processtructuur beëindigen'). De

optie 'Proces analyseren' laat zien of er

wordt gewacht op een ander proces om

een resource vrij te geven.

De rechterkant van Broncontrole toont

grafieken met het verloop van het verbruik

aan resources van de afgelopen minuut.

Qua inter pretatie moet je wel goed blijven

opletten, want een aantal tonen procen-

124 c’t 2019, Nr. 3

Praktijk | Broncontrole

Afb

ee

ldin

g:

Ru

do

lf A

. B

lah

a

tuele waarden, bijvoorbeeld die met de

belasting van het geheugen, processor

of netwerkinterfaces. Andere laten dan

weer (absolute) meetwaarden zien en pas-

sen hun schaal ook nog dynamisch aan,

bijvoorbeeld harde geheugenfouten per

seconde, cpu-kloksnelheid en netwerk-

transfersnelheden. Bij het laatste voorbeeld

kan de schaal op de Y-as bijvoorbeeld van

0 tot 10 Kbit/s lopen, maar ook van 0 tot

100 Mbit/s.

Een aantal grafieken toont naast de

groene lijn nog een tweede blauwe lijn.

De legenda staat gek genoeg niet netjes

onder de grafi ek, maar in de titel van de

betreffende categorie links in het Bron-

controle-venster. Zo laat de grafi ek over de

processor met de groene lijn het verloop

van de belasting zien, en met de blauwe

hoe dicht de processor zijn maximale klok-

snelheid nadert.

De naar eigen smaak ingestelde weer-

gave van Broncontrole is als een confi gu-

ratiebestand op te slaan. Daarbij worden

de kolombreedtes, sorteervolgorde en

grootte van de grafi eken opgeslagen. Als

alles helemaal naar je wensen is ingesteld,

kies je in het Bestand-menu voor 'Instel-

lingen opslaan als'. Met zo'n confi guratie-

bestand eindigend op .ResmonCfg start je

Broncontrole op met door jou aangepaste

instellingen. De instellingen zijn ook via het

context menu op de taakbalk beschikbaar.

Als je Broncontrole aan de taakbalk hebt

vast gemaakt, verschijnt de laatst gebruikte

confi guratie in het contextmenu.

CpuBij het onderdeel Processor toont Broncon-

trole alleen draaiende processen inclusief

hun ID (PID). Met dat PID is elk proces

afzonderlijk te identifi ceren. Dat is vooral

handig als er meer dan één instantie van

een uitvoerbaar bestand draait. Sorteer je

op de kolom CPU, dan zie je bovenaan welk

proces het meeste tijd van de cpu afsnoept.

Broncontrole vermeldt voor elk proces het

aantal geopende threads, maar dat zegt

niet direct iets over de daad werkelijke

cpu-belasting. Die zie je via de grafi eken

aan de rechterkant, daarbij worden alle ser-

vices en afzonderlijke logische cpu-kernen

samengevat.

Voor services biedt de Processor-tab

een aparte lijst. Dat is erg nuttig omdat

veel services in Windows geen uitvoerbaar

bestand hebben, maar via svchost.exe wor-

den uitgevoerd. Dit is het hostproces voor

Windows-services. Sinds Windows 10 ver-

sie 1703 krijgt bijna elke service een eigen

instantie van svchost.exe, als er tenminste

minimaal 3,5 GB geheugen in de pc zit. Dat

verbruikt wel wat meer geheugen (onder

normale omstandigheden ongeveer 100

MB) maar op deze manier krijg je meest-

al al via Taakbeheer de veroorzaker van

vreemd gedrag boven water. Een handige

bij komstigheid is dat een hangende ser-

vice niet alle andere services meetrekt die

onder dezelfde svchost-instantie draaien.

Zodra je op het processortabblad een

proces markeert door het aan te vinken,

zie je de gekoppelde ingangen en modu-

les verschijnen. Deze informatie is meestal

alleen maar interessant voor ontwikkelaars

en zit ingewikkeld in elkaar. Bij ingangen

gaat het om abstracte verwijzingen naar

systeemresources (in de breedste zin van

het woord) die door een proces worden

gebruikt, bijvoorbeeld geheugenranges,

bestanden of desktopelementen. Modu-

les zijn over het algemeen dynamische

library's (Dynamic Link Libraries, dll).

In veel situaties is de ingangenweer-

gave ook bij 'standaard' probleemgevallen

nuttig. Stel dat je een usb-stick wilt loskop-

pelen en dat mislukt omdat het apparaat

nog wordt gebruikt, maar je hebt geen idee

door wat. Als je de schijfl etter met dubbele

punt erachter invoert in het zoekveld van

'ingangen zoeken', zie je welke processen

nog ingangen gebruiken voor de stick.

WerkgeheugenHet tabblad geheugen heeft vier kolom-

men gevuld met geheugenverbruik en

eentje met harde fouten. Het is handig

om te sorteren op Werkset: hoeveel fysiek

geheugen een proces op dat moment

gebruikt. Daarnaast staan de kolommen

Deelbaar en Eigen. Die laatste geeft de

hoeveelheid geheugen aan die een proces

echt voor zichzelf nodig heeft om te kun-

nen draaien. Als je beide waarden optelt

kom je bij de waarden van Werkset uit.

Het geheugen onder Toegewezen

(Commit) slaat niet op het fysieke ge-

heugen, maar op een deel van Windows'

virtuele geheugen. Die waarde geeft aan

hoeveel geheugen het besturingssysteem

bij het starten van het proces daarvoor

heeft gereserveerd. Dat hoeft niet per se

in het geheugen zelf te zijn, maar kan ook

gaan om ruimte in het wisselbestand op de

schijf. Hoeveel van het maximaal beschik-

bare geheugen Windows voor processen

heeft gereserveerd, vind je niet terug in

Broncontrole. Dit is te zien in Taakbeheer,

op het tabblad 'Prestaties / Geheugen'

onder Toegewezen.

De naam van de kolom 'Harde fouten/

sec' leidt tot wat verwarring. Het gaat niet

om hardwarefouten van het geheugen,

maar hoe vaak per seconde een proces

inhoud in het geheugen raadpleegt die

er niet is maar nog vanaf schijf geladen

moet worden. Vooral bij het opstarten van

grote programma's verschijnen er honder-

den tot duizenden harde fouten. Gelukkig

geen reden tot paniek. Als Broncontrole

bij het wisselen tussen programma's ech-

ter elke keer weer harde fouten laat zien,

wordt het tijd om je werkgeheugen te

upgraden.

125c’t 2019, Nr. 3

Praktijk | Broncontrole

'Harde fouten' klinkt als iets om je zorgen over te maken, maar het heeft een onschuldige oorzaak.

Het staafdiagram onderin beeld toont in

een oogopslag of je geheugen volloopt.

Het donkerblauw gemarkeerde Stand-by

kun je net zo goed beschouwen als be-

schikbaar geheugen als het lichtblauwe

Beschikbaar. Het beschikbare deel bevat

uit het oogpunt van het besturingssysteem

geen gebruikte data. Het stand-bydeel

bevat content die nog niet door proces-

sen wordt gebruikt, maar die na het afslui-

ten van een programma voor eventueel

her gebruik nog in het geheugen wordt

gehouden of min of meer vooraf geladen

wordt. Stand-by-inhoud heeft geen toe-

gewezen proces dus kan op elk moment

door het systeem leeg worden gekieperd

als ineens een grote hoeveelheid geheu-

gen nodig is en het beschikbare deel te

weinig is.

Het groene deel 'In gebruik' heeft

geen uitleg nodig. Het oranje 'Gewijzigd'

gaat om data die niet meer nodig zijn maar

die nog naar de schijf geschreven moeten

worden. Op veel systemen is er ook een

klein deel 'Gereserveerd voor hardware' te

vinden. Dit is meestal een zeer klein deel

waar alleen drivers voor apparaten en fi rm-

ware een plekje krijgen.

SchijvenHet tabblad Schijf toont via 'Processen met

schijfactiviteit' een overzicht van alle lees-

en schrijfacties op de lokale schijven. Dat is

vooral handig als een schijf om onbekende

reden druk in de weer is en continu aan

het ratelen is. Handig is dan om te sorte-

ren op de totale activiteit via 'Totaal (bytes/

sec.)'. Er is vaak een duidelijke reden waar-

om processen bovenaan komen te staan.

Als bijvoorbeeld wuauclt.exe druk in de

weer is, dan is Windows Update op dat

moment net bezig met het downloaden

van patches. TrustedInstaller.exe of tiwor-

ker.exe installeert patches of houdt zich

bezig met de opruimacties daarna. Vaak

zie je ook MsMpEng.exe verschijnen, dat

is dan Microsofts virusscanner Windows

Defender.

Het tweede blok toont extra details. De

'Schijfactiviteit 'laat zien welk proces zich

met welk bestand bemoeit. Als een externe

schijf om onbekende reden continu aan

het ratelen is, kun je sorteren op de kolom

'Bestand' en op zoek gaan naar de bijpas-

sende schijfl etter. Op die manier achterhaal

je snel welk proces verantwoordelijk is voor

het geratel en welke bestanden erbij be-

trokken zijn. In het derde blok Opslag staat

dan welke logische schijven onder welke

fysieke schijven vallen. Netwerk schijven

horen daar niet bij.

NetwerkDe 'Processen met netwerkactiviteit' geven

aan wat met welke snelheid via de netwer-

kinterfaces gaat. Het gaat niet alleen over

alles richting internet, maar ook binnen het

lokale netwerk. Erg handig om te bepalen

welk proces er bandbreedte afsnoept van

je internetverbinding.

Maar Broncontrole laat nog wat meer

zien. Met een vinkje voor een proces zie

je via welke poorten het proces commu-

niceert met welke url's of IP-adressen en

hoe het zit met de latentie. Vaak kom je

loopback-verbindingen tegen. Die worden

getriggerd doordat losse lokale processen

via een IP-protocol met elkaar babbelen.

Dieper gravenMaar ook Broncontrole kan niet tot op het

kleinste detail traceren wat er op je sys-

teem gebeurt. Loggen kan de tool niet, dus

het is vooral handig om live te kijken wat

er speelt. Als je erg diep het systeem in wilt

duiken om te zien waar Windows allemaal

mee bezig is, dan is Process Monitor een

aanrader. Die zit in de toolscollectie van

Microsoft Sysinternals. De bediening is wel

even wennen, daarom hebben we er een

tweetal artikelen aan gewijd [1,2].

Vermoed je een virusbesmetting, dan

is Broncontrole niet de eerste keus uit je

gereedschapskist. Via een rechtermuisklik

op een proces en de optie 'Online zoeken'

kun je de naam van een verdacht proces

doorsluizen naar zoekmachine Bing, maar

erg veel opleveren doet dat niet. Voor een

snelle controle of je virussen hebt opge-

lopen is Sysinternals' Process Explorer een

betere keus. Daarmee kun je draaiende

processen door lichten via Googles virus-

scanner-portal VirusTotal. (avs) c

Literatuur

[1] Axel Vahldiek, Onder de microscoop, Windows

analyseren met Process Monitor – deel 1,

c't 11/2017, p.128

[2] Axel Vahldiek, Scherp stellen, Windows analyse-

ren met Process Monitor – deel 2,

c't 12/2017, p.130

126 c’t 2019, Nr. 3

Praktijk | Broncontrole

Sinds Windows 10 versie 1703 krijgt bijna elke service een eigen instantie van svchost.exe, vandaar dat in tools als Taakbeheer en Broncontrole een ellenlange waslijst met deze naam opduikt.

127c’t 2019, Nr. 3

Waar moeten we alle gegevens in vredesnaam gaan

laten? Er wordt op dit moment al een enorme hoe-

veelheid data gegenereerd door mensen. Als we

dan ook nog eens bedenken dat er back-ups van

deze data worden gemaakt in datacenters en de cloud, mogen

we de benodigde hoeveelheid opslag gerust vermenigvuldigen.

Tot nu toe is de hoeveelheid door machines gegenereerde data

naar verhouding vrij beperkt gebleven. Vanaf 2019 zal hier ech-

ter verandering in komen, doordat oplossingen en technologieën

als autonoom rijden, slimme fabrieken, Internet of Things (IoT) en

domotica zorgen voor nieuwe datastromen die moeten worden

opgeslagen.

De balans tussen HDD en SSD bij toenemende data

De hoeveelheid data die we opslaan blijft niet alleen onvermin-

derd groeien, maar de groei gaat ook sneller dan voorspeld. De

verwachting was dat naarmate meer data zou worden opgeslagen

op fl ash en SSD, de hoeveelheid gegevens die wordt opgeslagen

op harde schijven en magneetband zou afnemen. Het is nu ech-

ter wel duidelijk dat alle drie de technologieën blijven groeien,

gewoon omdat er zoveel gegevens moeten worden opgeslagen.

Naar verwachting zullen in 2019 voor 90% van de capaciteit

voor typische cloud computing-toepassingen harde schijven wor-

den gebruikt, voor een gedeelte mogelijk magneetband, en voor

slechts 10% zal naar SSD worden gegrepen. Maar omdat zakelijke

SSD’s tot tien keer zo duur zijn als HDD’s per eenheid capaciteit,

zal de fi nanciële investering in evenwicht zijn met een uitgave van

ongeveer 50% voor HDD’s en evenveel voor SSD’s.

Deze opslagsystemen bestrijken het hele spectrum van toe-

passingen, van apparaten met alleen fl ashgeheugen, via hybride

modellen met fl ash voor cache en HDD voor koude/warme data,

tot pure opslagservers op basis van harde schijven.

Helium-HDD’s om ~20 TB aan opslagruimte te bieden

Alle drie de belangrijkste fabrikanten leveren nu HDD-modellen

die gevuld zijn met helium, op dit moment met een beschikbare

capaciteit van 16 TB. De komende jaren zal de capaciteit naar

verwachting groeien met ongeveer 2 TB per jaar, zodat aan het

begin van het volgende decennium HDD’s van 20 TB beschikbaar

zouden moeten zijn.

Deze harde schijven zullen waarschijnlijk geoptimaliseerd zijn voor

hoge capaciteit tegen een lage prijs, maar opvallende verbete-

ringen in andere technische parameters worden niet verwacht.

Een uitzondering daarbij is het energieverbruik, dat door de intro-

ductie van helium in HDD’s zal afnemen. Met lucht gevulde 3,5”

7200rpm HDD’s hadden een relatief constant verbruik van 11 W

onder belasting, ongeacht de capaciteit, maar het energieverbruik

van met helium gevulde HDD’s is ongeveer 6 - 7 W. Dit wordt

veroorzaakt door de lagere wrijving van het lichtere heliumgas.

Een verdere toename van de opslagdichtheid ligt in het ver-

schiet door de integratie van technologieën zoals microwave as-

sisted magnetic recording (MAMR) in de schrijfkoppen van harde

schijven.

Artifi cial Intelligence, Deep Learning en Blockchain

Door nieuwe computertoepassingen, zoals Artifi cial Intelligence

(AI), Deep Learning en Blockchain is de vraag naar verwerkings-

kracht aanzienlijk gestegen. Het valt te verwachten dat deze

technologieën veel meer data zullen genereren en toegang tot

opslagoplossingen zullen eisen.

Welke gevolgen dit zal hebben voor de vraag naar opslag is

nog niet helemaal duidelijk, omdat we nog te weinig weten over

de toepassingen en de manier waarop ze zullen worden geïm-

plementeerd. In de loop van 2019 en op weg naar het volgende

decennium zullen we hierover echter meer duidelijkheid krijgen.

Duidelijk is al wel dat deze technologieën een nog groter

aandeel zullen hebben in de hoeveelheid data die moet worden

opgeslagen.

Rainer W. Kaese, Senior Manager Business Development Storage

Products, Toshiba Electronics Europe.

Storage Trends

De regen van data wordt een stortbui

Dataherstelprogramma's lukt het

vaak niet om bestanden onder de

oorspronkelijke naam op te slaan.

Als de extensie ontbreekt, moet je

trucs gebruiken om de gegevens

weer leesbaar te maken.

Hajo Schulz

Normaliter herkent Windows aan de

extensie in een bestandsnaam wat

het bestandstype van een bestand

is. Meestal werkt dat goed, maar er zijn

gevallen waarin het misloopt. Misschien

gebruik je een dataherstelprogramma in

een poging om per ongeluk gewiste of op

andere wijze verloren gegane bestanden

terug te halen [1]. Bij de herstelde items

die op die manier worden teruggezet, ont-

breekt vaak de oorspronkelijke bestands-

naam, inclusief de extensie. De herstelpro-

gramma's moeten daar naar gissen en dat

gaat niet altijd goed.

Ook de ingebouwde Windows-tool

chkdsk voor het verhelpen van fouten in

Wat ben ik?Bepaal het bestandstype van onbekende bestanden

Het gratis pro-gramma TrIDNet herkent bijna 11.000 bestands-typen aan de hand van typische bytepatronen.

het bestandssysteem vindt af en toe ver-

loren gegane bestanden. Het probeert

niet eens om de namen te raden, maar

noemt ze gewoon file0000.chk, file0001.

chk enzovoort. Voordat je daar iets mee

kunt, moet je ze eerst voorzien van de

juiste extensie.

Het komt ook wel eens voor dat je

bij e-mailberichten bestanden ontvangt

met een onbekende extensie. Als die

niet afkomstig zijn van een vertrouwde

afzender, moet je er zeker niet zomaar

op dubbelklikken. Probeer eerst het be-

standstype te bepalen en controleer of

dat erom bekend staat dat het voor aan-

vallen met malware kan worden gebruikt.

Windows toont met de standaard-

instellingen de meeste bestandsexten-

sies helemaal niet. Om dat aan te passen,

ga je in Verkenner van Windows 10 naar

het tabblad Beeld op het lint en markeer

je het vakje Bestandsnaamextensies. Bij

oudere Windows-versies ga je naar de

mapopties en zoek je naar het vinkje bij

'Extensies voor bekende bestandstypen

verbergen'. Dat moet je weghalen.

UitproberenOm het type van een bestand te achter-

halen, kun je het bijvoorbeeld openen in

een teksteditor. Met een beetje geluk is de

inhoud leesbaar of kun je het bestands-

type daaruit afleiden, bijvoorbeeld bij een

XML- of HTML-bestand. Maar vaak zie je

alleen een onverteerbare tekenbrij.

Een andere optie is om het bestand

met verschillende toepassingen te openen

om te kijken of die er iets mee kunnen. Ge-

schikte mogelijkheden zijn bijvoorbeeld

het archiefprogramma 7-Zip, afbeeldings-

viewer IrfanView en VLC Media Player. Die

staan er allemaal om bekend dat ze niet zo

kritisch zijn qua bestandsnaamextensie en

dat ze bestanden die eigenlijk voor andere

programma's zijn bestemd ondanks kleine

formaatafwijkingen toch nog bruikbaar

kunnen verwerken.

Als je op die manier gaat testen met

programma's moet je wel oppassen. Vooral

als het gaat om bestanden uit een niet ver-

trouwde bron moet je zeker niet gaan tes-

ten met programma's die scripts kunnen

uitvoeren. Daarom vallen onder andere

webbrowsers, Microsofts Office-program-

ma's en Adobe Reader af.

TrID kent ze allemaalEen handigere methode om het bestands-

type te bepalen is het programma TrID. Dat

kan geen bestanden openen, maar wel het

type van een bestand betrouwbaar bepa-

len. Het gebruikt daarvoor een database

met circa 11.000 profielen, die nog steeds

wordt uitgebreid.

De tool is er in verschillende varianten.

De GUI-versie TrIDNet is waarschijnlijk het

makkelijkst te gebruiken. Het downloaden

128 c’t 2019, Nr. 3

Praktijk | Bestandstype bepalen

De maker van het programma TrID,

Marco Pontello, ziet zijn werk liever niet

als software, maar als een community-

project. Het doel daarvan is een zo

compleet mogelijke database van be-

standstypen. Hij nodigt de gebruikers

van de tool dan ook uit om nog niet

bekende bestandstypen toe te voegen

aan de database.

Programmeurs of gebruikers van

exotische toepassingen kunnen daar

het Python-script TrIDScan voor down-

loaden. Dat moet je dan zoveel mogelijk

bestanden van het toe te voegen type

laten lezen. Het script maakt van de ge-

meenschappelijke kenmerken een XML-

bestand in een formaat waar TrIDNet

mee overweg kan. In de header van dat

bestand kun je nog kort een beschrijving

en optioneel enkele persoonlijke gege-

vens toevoegen. Daarna stuur je dat be-

stand naar de TrID-maker. Die verwerkt

dergelijke inzendingen regelmatig in de

TrID-database en biedt dan een nieuwe

downloadversie aan. Dat is ook de re-

den dat de download in twee delen is

opgesplitst. De database kan daardoor

makkelijk worden bijgewerkt zonder dat

je steeds het programma zelf opnieuw

hoeft te downloaden.

TrID verbeteren

daarvan (zie de link onderaan dit artikel)

bestaat uit twee delen: het eigenlijke pro-

gramma zit in het archiefbestand trid_net.

zip, dat je kunt uitpakken in een map naar

keuze. De database met de bestandstype-

profielen wordt verspreid in de vorm van

een 7z-archief. Dat bevat voor elk bekend

bestandstype een XML-bestand. Dat ar-

chief kun je het beste uitpakken naar de-

zelfde map als de programmabestanden

(er wordt automatisch een submap ge-

maakt met de naam defs). Het programma

kan ze dan automatisch vinden. Als dat

niet lukt, moet je bij de eerste keer starten

van het programma het 'Definitions path'

invoeren in het daarvoor bestemde invoer-

vak. Het programma stelt zelf een database

samen aan de hand van de XML-bestanden

en bewaart die op dezelfde locatie als de

programmabestanden. De volgende keren

dat je het programma start, wordt het dan

razendsnel geopend.

Drie wegen naar RomeJe kunt TrID op drie manieren gebruiken.

De meest gebruikersvriendelijke is via de

grafische interface van de downloadversie.

Sleep een bestand vanuit Windows Verken-

ner naar het programmavenster van TrID

of gebruik de Browse-knop van het pro-

gramma om een bestand te selecteren.

TrID toont dan de mogelijke typen voor

het bestand in een tabel, waarbij de mo-

gelijkheden worden gesorteerd op waar-

schijnlijkheid. Dubbelklik op het grijze vlak

aan het begin van een tabelrij voor meer

informatie. Je krijgt dan een venster met

extra gegevens, met meestal ook een link

die de herkomst van het bestandstype in

meer detail beschrijft.

De tweede manier om de tool te ge-

bruiken is de commandline-versie, die

luistert naar de naam trid. De command-

line-versie is zowel voor Windows als voor

Linux beschikbaar. Ook die versie moet je

in twee delen downloaden. De database

wordt daarbij echter meteen in de vorm

van een enkel groot bestand aangeboden

– maar de indeling is wel anders dan bij

TrIDNet. Dat bestand moet je uitpakken en

in dezelfde map zetten als het uitvoerbare

bestand.

Om via de commandline een bestand te

identificeren, geef je de naam van dat

bestand als argument mee. Daarbij mag

je de gebruikelijke jokertekens * en ? ge-

bruiken, waardoor je meerdere bestan-

den ineens kunt identificeren. Vooral na

dataherstelbewerkingen kan de optie -ae

erg handig zijn op de commandline. Die

zorgt ervoor dat achter de opgegeven be-

standsnamen meteen de extensie wordt

geplakt die volgens trid het meest waar-

schijnlijk zijn.

Een derde manier om de kennis van

TrID te benutten gaat via de browser. Bij

http://mark0.net/onlinetrid.html kun je

tot bestanden met een maximale grootte

van 10 MB uploaden naar de server van

TrID-ontwikkelaar Marco Pontello. Het be-

standstype wordt dan door 'Online TrID'

geïdentificeerd.

Houd er wel rekening mee dat de

bestanden daarbij dan onversleuteld via

internet verstuurd worden. Voor gebrui-

kers van Telegram is er trouwens nog een

vierde optie, want zij kunnen ook de TrID-

Bot gebruiken en daar een bestand heen

sturen.

Verder met het bestandDat je de extensie van een bestand hebt

kunnen bepalen, wil nog niet zeggen dat

Windows er ook iets mee kan aanvangen.

Om te ontdekken met welke programma's

je het kunt openen, is een zoekactie op

internet handig. Een uitgebreide meta-

zoekmachine voor informatie over be-

standstypen vind je bijvoorbeeld op http://

file-extension.net/seeker. Als je online be-

standen identificeert via de TrID-server,

wordt daar bij de resultaten ook naar

verwezen. Gebruik je een lokaal geïnstal-

leerde versie, dan kun je eenvoudigweg de

extensie kopiëren en bij de zoekmachine

invoeren.

Voor elk bekend bestandstype vind je

hier een of meer links naar extra informatie.

Soms gaat het om achtergrondartikelen die

het bestandsformaat technisch beschrijven,

soms leidt een link naar geschikte software

om het betreffende bestandstype te ope-

nen.

Bij een extensie die voor meerdere be-

standsformaten wordt gebruikt, is het echter

vaak een kwestie van giswerk om de juiste

te vinden. (mdt) c

Literatuur

[1] Hajo Schulz, Op jacht naar verloren bestanden,

Dataherstelsoftware getest, c't 11/2018, p.108

www.ct.nl/softlink/1903128De commandline-versie biedt extra mogelijkheden en is zowel voor Windows als voor Linux beschikbaar.

129c’t 2019, Nr. 3

Praktijk | Bestandstype bepalen

130 c’t 2019, Nr. 3

rubriek | rubriek rubriek rubriek

Nieuw behangLinux-desktop pimpen met Conky

Met de desktop kun je meer doen dan

alleen maar een mooie achtergrond-

foto erin plakken. Je kunt hem ook

inrichten als systeemmonitor die je

op de hoogte houdt van de processor-

en geheugenactiviteit. Hij kan zelfs

RSS-feeds tonen van het web en een

spiekbriefje paraat houden met

terminalcommando's.

Liane M. Dubowy

De kleine systeemmonitor Conky

toont op je bureaublad hoe zwaar

de cpu en het geheugen belast

worden, of de harde schijf al vol loopt

en wat de laatste nieuwtjes zijn. De lege

ruimte op het grafische bedieningsopper­

vlak dient dan als interface voor systeem­

informatie en kan verder een spiekbriefje

weergeven voor half vergeten comman­

do's.

Conky kan bijna alles op het bureau­

blad tonen. Daar zorgen meer dan 250

ingebouwde objecten voor, samen met

de mogelijkheid om scripts uit te voe­

ren. Conky toont de informatie als tekst

of maakt er een grafische weergave van

met balken of grafieken met verschil­

lende kleuren en opschriften. Conky kun

je op allerlei manieren configureren en

het gebruikt nauwelijks systeembronnen.

Het enige minpunt: Conky zelf heeft geen

grafische interface. Als je het wilt gebrui­

ken, moet je je diep in de configuratie

storten.

Conky Manager en Conky Wizard zijn

weliswaar twee externe projecten die

een grafische interface bieden om Conky

eenvoudiger in te richten, maar beide zijn

verouderd en worden niet meer verder

ontwikkeld. De meeste sjablonen wer­

ken daarom niet meer, maar ze kunnen

eventueel dienen als uitgangspunt voor

een eigen configuratie.

InstallatieConky staat in de pakketbronnen van de

meeste Linux­distributies in verschillende

pakketten klaar om geïnstalleerd te wor­

den. In Ubuntu heb je bijvoorbeeld de

pakketten conky, conky­all, conky­cli en

conky­std. Voor de voorbeelden die we

in dit artikel aanhalen, kun je het beste

voor conky­all kiezen. Hierin zijn de mees­

te functies geactiveerd, waaronder de

ondersteuning voor RSS, Lua en andere

scripts.

Om te testen kun je Conky oproepen

met de standaardconfiguratie met het

commando conky in een terminal. Conky

maakt dan een standaard Conky­instance

aan op de desktop­achtergrond. Die is op­

tisch weinig indrukwekkend, maar toont

wel al de belangrijkste systeeminforma­

tie. Met de toetsencombinatie Ctrl+C

beëindig je deze testrun. Later kun je het

zo instellen dat Conky automatisch start

wanneer je je op het systeem aanmeldt.

Nieuwe syntaxIn de Conky­configuratie definieer je

onder andere de positie die de Conky­

instantie op het bureaublad inneemt.

Daarnaast bepaal je het gebruikte let­

tertype en ­grootte, en last but not least

de informatie die wordt getoond. Je kunt

complexe lay­outs realiseren met meerde­

re Conky­instances die gelijktijdig draaien.

131c’t 2019, Nr. 3

Praktijk | Conky systeemmonitor

Systeeminformatie, grafieken, balken, symbolen of simpelweg tekst: je kunt helemaal zelf bepalen wat Conky op het bureaublad tovert.

De standaardconfiguratie van Conky toont wel de belangrijkste informatie, maar echt gelikt ziet het er niet uit.

Als je niets anders opgeeft, leest Conky

de instellingen uit het bestand ~/.con­

kyrc uit. Indien dat er nog niet is, wordt

de standaard configuratie gebruikt. Het

configuratiebestand is in twee delen

opgedeeld: het bovenste deel geeft het

venster en de weergave vorm, terwijl het

onderste deel de concrete inhoud defini­

eert. De syntax voor de configuratie is met

de introductie van Conky 1.10 gewijzigd.

Daarbij zijn enkele variabelen verdwenen.

Het configuratiebestand gebruikt nu Lua­

syntax.

De Conky­projectpagina biedt welis­

waar een script aan dat probeert om oude

Conky­configuraties om te zetten naar de

nieuwe syntax, maar bij onze tests lukte

dit helaas niet.

De Conky­instellingen beginnen met

de uitdrukking conky.config = { en eindi­

gen met };. Wat er concreet moet worden

getoond, regelt de paragraaf conky.text =

[[, gevolgd door enkele uitvoeropdrach­

ten die je afsluit met ]]. Het configura­

tiebestand is hierdoor in twee blokken

opgedeeld:

conky.config = {

alignment = 'bottom_right',

background = false,

...

};

conky.text = [[

${scroll 16 $nodename - $kernel}

$hr

${color grey}Uptime:$color $uptime

...

]]

Aan de slagIndien het bestand .conkyrc niet in de

home­directory staat, gebruikt de tool

de standaardinstellingen in /etc/conky/

conky.conf. Afhankelijk van de distribu­

tie, kan het bestand ook in een andere

locatie staan. Onder Arch Linux staat het

bijvoorbeeld in /usr/share/doc/conky­

1.10.8_pre/conky.conf. De configuraties

die daar staan zijn bijvoorbeeld geschikt

als uitgangspunt voor je eigen Conky­set­

up. Met het volgende commando kopieer

je het standaardconfiguratiebestand naar

je home­directory:

conky -C > ~/.conkyrc

Om ervoor te zorgen dat de configuraties

van Conky met alle grafieken en scripts

niet overal in de home­directory verspreid

opgeslagen zijn, is het beter om je eigen

map onder ~/.config aan te maken. Om

de systeemmonitor met deze instelling te

starten, roep je hem als volgt op:

conky -c ~/.config/conky/.conkyrc

Het bestand .conkyrc kun je aansluitend

met een teksteditor openen en bewerken.

Als de editor syntaxis­highlighting voor

Lua ondersteunt, is dat handig om fou­

ten in de configuratie te vermijden. Voor

een beter overzicht kun je de entry's in de

configuratie alfabetisch sorteren.

Optische indelingHet uiterlijk en de positie van de Conky­

instance bepaal je in het bovenste ge­

deelte van het configuratiebestand in

het deel tussen de accolades. Het Conky­

venster rechtsboven op het bureaublad

zetten doe je bijvoorbeeld met alignment

= 'top_right'. Indien Conky linksonder te­

recht moet komen, vul je bottom_left in,

en voor het midden van het scherm is het

middle_middle. Van deze basisposities uit

kun je dan Conky per pixel verschuiven:

naar boven of beneden schuif je met gap_y

=, naar rechts of links doet gap_x = dat.

Daarachter vul je in hoeveel pixels Conky

de weergave moet verschuiven. Afhanke­

lijk van de basispositie zijn ook negatieve

waarden mogelijk.

Conky maakt de weergave zo groot

als je maar wilt. De minimale hoogte

en breedte worden met de opties mini-

mum_height = en minimum_width = in pixels

bepaald.

Als je met twee beeldschermen werkt,

plaatst Conky met de regel xinerama_head

= 1 het venster op de tweede monitor.

Bovendien is het handig om in te stellen

hoe vaak de weergave – en daarmee de

weergegeven informatie – moet worden

ververst. De tijdsduur stel je in secon­

den in met update_interval. Dat interval

moet kleiner of groter worden ingesteld

afhankelijk van de gegevens die je Conky

op het bureaublad laat tonen. Voor een

enigszins soepele weergave van het net­

werkverkeer en de draaiende processen is

1.0 een prima waarde.

Voor een transparante weergave zor­

gen de volgende twee regels:

own_window_argb_visual = true,

own_window_argb_value = 0,

De waarde in de tweede regel bepaalt hoe

transparant de wallpaper is. 0 is geheel

transparant, hoe hoger de waarde, hoe

minder transparant de wallpaper is.

Afhankelijk van de distributie die je

gebruikt, kan Conky gevoelig zijn wat be­

treft de vensterinstellingen die met own_

window_ beginnen. Daar moet je gewoon

een beetje mee gaan experimenteren. In

de basis configuratie flikkert de Conky­

weergave ook al. Dan wil nog de optie

double_buffer = true wel eens helpen als

je dit als alleenstaande regel in het conky.

config­deel invoert.

De systeemmonitor kan al direct een

stuk mooier ogen als je een ander letter­

132 c’t 2019, Nr. 3

Praktijk | Conky systeemmonitor

Niet de meest overzichtelijke configuratie, maar het ziet er redelijk mooi uit: in deze Conky instance is elk element met $offset en $voffset op de pixel nauwkeurig gepositioneerd.

type gebruikt. Het standaardlettertype

stel je in het bovenste deel van het Con­

ky­configuratiebestand in. Het lettertype

en de grootte wijzig je met de volgende

regel:

font = 'DejaVu Sans Mono:size=12',

Hier kun je alle lettertypes invoeren die

op het systeem geïnstalleerd staan. Je

geeft hier gelijk de variant en grootte

van het lettertype op, bijvoorbeeld:

'Ubuntu Mono:condensed: size=12' of

ook 'Ubuntu:light:italic: size=12'. De

Gnome­ tool 'Alle lettertypen' helpt je bij

de keuze. Die tool start je met gnome-font-

viewer. Hij toont een preview van de ge­

installeerde fonts en hoe ze heten. Als je

bepaalde woorden in een aparte grootte

of vetgedrukt wilt tonen, moet je dat in

de het conky.text­deel van het bestand

aangeven.

Soms zijn er meerdere regels voor de

configuratie nodig. Als je een kader om

de Conky­weergave wilt plaatsen moet

je eerst draw borders = true invoeren.

Daarna werken pas de opties border width

= 3 voor het instellen van de breedte van

de kaderrand en stippled borders = 1

voor een gearceerd kader. Met border

inner margin = gevolgd door een aan­

tal pixels zorg je dat de gegevens binnen

het kader op een bepaalde afstand van

de rand staan.

Welke variabelen er voor de configu­

ratie beschikbaar zijn en welke opties erbij

horen, staat in de Conky­wiki (zie de link

aan het eind van dit artikel). Om ervoor te

zorgen dat je later ook nog weet wat de

verschillende opties doen, is het handig

om commentaarregels in te voegen. Een

commentaarregel moet in Conky met een

– beginnen. Als een regel daarmee begint,

wordt alle informatie die er achter staat

door Conky genegeerd. Op die manier

kun je ook snel een optie uitschakelen

zonder meteen de hele regel te moeten

verwijderen.

Als je wilt dat Conky bepaalde infor­

matie niet onder elkaar toont, maar achter

elkaar op dezelfde regel, dan moet je flink

aan de slag: een datum­ en tijdweergave

zoals in het Conky­sjabloon Gotham zijn

op de pixel nauwkeurig bepaald. Als je

voor een element de opdracht ${offset

10} zet, verschuift Conky dat element met

het aangegeven aantal pixels naar rechts.

Als het getal daarbij negatief is, bijvoor­

beeld ­10, dan verplaatst Conky het ele­

ment 10 pixels naar links. Op dezelfde

manier kan de opdracht ${voffset 10}

een element 10 pixels omlaag verschui­

ven, en met een negatieve waarde gaat

het omhoog.

Desktop als infocentrumDe informatie die Conky op het bureau­

blad toont, wordt vastgelegd in het

tweede deel van het configuratiebestand

conkyrc tussen conky.text = [[ en ]].

Conky kent een eindeloze hoeveelheid

variabelen die je op de desktop kunt

presenteren. Bovendien kun je deze naar

wens aanvullen met tekst en grafische

elementen.

De belangrijkste variabelen – zoals

de hostname ($nodename), de gebruikte

kernel ($kernel), het geheugengebruik

($memperc%), de cpu­belasting ($cpu%) of

de mate waarin de harde schijf is gevuld

($fs_used) en de grootte van de harde

schijf ($fs_size) – zijn samen met enkele

andere variabelen al opgenomen in de

standaardconfiguratie:

conky.text = [[

${scroll 26 $nodename - $sysname

$kernel on $machine | }

$hr

${color grey}RAM Usage:$color

$mem/$memmax - $memperc% ${membar 4}

${color grey}Swap Usage:$color

$swap/$swapmax - $swapperc% ${swapbar 4}

${color grey}CPU Usage:$color $cpu%

${cpubar 4}

$hr

${color grey}File systems:

/ $color${fs_used /}/${fs_size /}

${fs_bar 6 /}

Informatie hierover en een lijst van an­

dere variabelen staat in de Conky­wiki (zie

de link onderaan). De optie scroll in de

tweede regel zorgt ervoor dat de regel die

tussen de accolades staat als een soort

lopende band door blijft draaien. De vol­

gende regel wordt gegenereerd door $hr.

De waarden die daarmee als output

worden gegenereerd beperken zich niet

uitsluitend tot tekst. Conky kan bijvoor­

beeld de cpu­belasting ook weergeven als

opvulling in een balk (cpubar) of als een

uitslaande meter (cpugauge). De ontwikke­

ling van de downloadsnelheid kan in een

grafiek worden getoond. Daarvoor moet

de netwerkinterface worden ingevoerd, in

dit voorbeeld is dat wlan0:

${upspeedgraph wlan0 50,298}

Indien er geen kleur voor het font is in­

gesteld, worden de standaardinstellingen

van conky.config gebruikt. Zonder gewij­

zigde waarden is het font wit. Als je dan

specifieke woorden grijs wilt laten weer­

geven, zet je er ${color grey} voor en ga

je vervolgens met $color weer terug naar

de standaardkleur.

OpleukenAls je de tekstweergave te saai vindt, kun

je de Conky­instance met afbeeldingen

of emoji's nog opfleuren. Een afbeelding,

bijvoorbeeld het logo van de distributie,

verschijnt met het volgende commando:

${image .config/conky/afbeelding.jpg

-p 180,30}

Als je achter -p niets invoert, wordt de

afbeelding linksboven in de hoek van

de Conky­weergave geplakt. De eerste

waarde verplaatst de afbeelding met 180

pixels naar rechts, de tweede verplaatst

hem 30 pixels omlaag. Met een beetje uit­

133c’t 2019, Nr. 3

Praktijk | Conky systeemmonitor

De laatste nieuwsmeldin-gen in een oogopslag: als

je een hoop ruimte op je bureaublad overhebt, kun

je een newsfeed op je desktop tonen.

Het sjabloon Sidebar Conky toont teksten aantrekkelijk vormgegeven in het Material-design.

proberen kun je de afbeeldingen op die

manier exact neerzetten op de plek waar

je ze wilt hebben.

Als je niet van plan bent om uitge­

breide ringdiagrammen te programme­

ren, kun je geschikte grafieken invoegen

en de tekstweergave daarop plaatsen.

Hoe dat eruitziet, kun je zien met

een van de weinige voorbeelden 'Side­

bar Conky'. Met een bijpassende achter­

grondafbeelding en enkele kleine aan­

passingen aan gap_x en gap_y ziet deze

Conky­instance er al goed uit (je kunt hem

downloaden via de link onderaan op deze

pagina).

In plaats van een afbeelding is een

emoji vaak al toereikend, bijvoorbeeld

als upload­ of download­indicatie. Hier­

voor moet je eerst een font zoals Pizza­

Dude Bullets op je systeem installeren

dat zulke emoji's bevat. In Conky toon je

bijvoorbeeld een omlaag wijzende pijl in

een cirkel met het volgende commando:

${font PizzaDude Bullets:size=18}M$font

De tekst met een afwijkend font sluit je

af door er $font achter te zetten, waarna

Conky naar het oorspronkelijke font te­

rugkeert.

Sommige dingen krijg je gewoon

sneller voor elkaar met de commandline.

Dat zullen zelfs de grootste muisfanaten

toegeven. Als je echt helemaal geen zin

hebt om commando's te leren, kun je ze

ook in een spiekbriefje in Conky opslaan

en ze in een font zetten dat typisch met

code wordt geassocieerd, zoals Courier.

Op deze manier kun je het commando

om de foto's van je smartphone via adb

te downloaden even snel vinden als het

commando om de code van een tekst­

bestand te wijzigen.

RSS-feedAls je met Conky de koppen uit een RSS­

feed wilt downloaden, is een regel al ge­

noeg:

${rss https://www.ct.nl/feed/ 15

item_titles 10}

Dit zorgt ervoor dat Conky de laatste tien

bijdragen uit de feed op het bureaublad

toont en deze lijst om de 15 minuten ac­

tualiseert. Als je de naam van de RSS­feed

wilt zien, moet je nog de volgende regel

aan de Conky­configuratie toevoegen:

${rss https://www.ct.nl/feed/ 15

feed_title}

Nu zal in de eerste regel de titel van de

feed worden getoond. Dat kun je ook nog

uitbreiden: met item_title 1 haal je de titel

van het laatste nieuwsitem binnen, met

item_desc 1 de bijbehorende beschrijving.

Conky past de breedte van de weergave

aan de lengte van de titel aan. Indien deze

echter in de configuratie beperkt wordt

met maximum_width =, dan knipt Conky de

rest van de tekst er gewoon af. Als je een

uitgebreide nieuwsstream wilt inbouwen,

zul je een script moeten schrijven en dat

aan Conky koppelen.

Commando ontvangenAls je een functie wilt gebruiken die

Conky niet biedt, kun je deze mogelijk

toevoegen via een shell­commando of

een shell­script. Het commando exec

zorgt ervoor dat Conky een commando of

script moet uitvoeren. Als je hier nog een

'i' met een getal voor het aantal seconden

aan toevoegt (execi), herhaalt Conky het

commando met de ingevoerde interval.

Om bijvoorbeeld de alias­definities

die in het bestand .bash_aliases staan als

geheugensteuntje op het bureaublad te

tonen, voeg je de volgende regel toe in

de Conky­configuratie:

${exec cat /home/lmd/.bash_aliases}

Conky kan ook wel shell­ en Pythonscripts

uitvoeren, maar het meest geschikt zijn

Lua­scripts. Dat is omdat Conky van huis

uit Lua met imlib2 en Cairo­bindings on­

dersteunt. Daarmee kun je zeer elegante

cirkels, lijnen, rechthoeken en andere vor­

men programmeren om de systeeminfor­

matie bijzonder mooi op het bureaublad

te kunnen toveren. Om een Lua­script in

Conky op te nemen, moet je het volgende

in de configuratie toevoegen:

lua_load = '~/.config/conky/.script.lua',

lua_draw_hook_post = 'main',

Met de eerste regel weet Conky waar

het Lua­script is, en in de tweede staat

welke functie opgeroepen moet worden.

In plaats van lua_draw_hook_post kan er

ook lua_draw_ hook_pre staan, afhanke­

lijk van wanneer de functie moet worden

aangeroepen. Het resultaat van de func­

tie neemt Conky dan in de beeldscherm­

weergave over.

Niet voor ongeduldige zielenHet kost veel tijd om een perfecte Con­

ky­configuratie te maken. Je bent eerst

redelijk wat tijd kwijt om alle informatie

te definiëren, alle elementen op de pixel

nauwkeurig te plaatsen en dan alles ook

nog eens met mooie kleuren op een

achtergrond afbeelding af te stemmen.

Je kunt tijd besparen door kant­en­klare

voorbeelden als uitgangspunt te gebrui­

ken en deze met enkele wijzigingen aan

je wensen aan te passen, ook al zullen ze

in veel gevallen verouderd zijn. (ddu) c

www.ct.nl/softlink/1903130

134 c’t 2019, Nr. 3

Praktijk | Desktopthema's voor Linux

KlickibuntiKlik je eigen thema's bij elkaar voor de Linux-desktop

Met Oomox Theme Designer kun je

eigen thema's samenstellen voor

de desktop van Linux op basis van

sjablonen. Dat gaat niet alleen erg

makkelijk met een paar klikken met

de muis, maar dat werkt zelfs voor

het terminalvenster en ook voor de

Spotify-client.

Tim Schürmann

Bij de meeste Linux-desktopomge-

vingen bepalen thema's hoe ven-

sters, knoppen, pictogrammen en

andere elementen van de bedienings-

interface eruitzien. Ze bepalen vooral

ook de kleuren voor vensters en knop-

pen. Oomox Theme Designer neemt een

van de standaardthema's en laat je de

onderdelen met een muisklik aanpassen.

Je kunt om te beginnen kiezen uit de

drie stijlen Arc, Numix en Materia voor

de vormgeving van knoppen, de onder-

linge afstanden en meer. Verder kun je

behalve de kleuren ook de pictogramset

wijzigen en de afronding van knoppen.

Oomox exporteert de aanpassingen uit-

eindelijk als eigen thema, dat je net als

andere thema's kunt selecteren via de

systeeminstellingen.

Lastige startAls je Arch Linux of een afgeleide daar-

van gebruikt, installeer je Oomox Theme

Designer via een geschikte PKGBUILD

uit de Arch User Repository (AUR). De

ontwikkelaars bieden via Github DEB-

pakketten voor Debian vanaf versie 9,

Ubuntu vanaf versie 17.10, Linux Mint

vanaf versie 19 en alle afgeleide dis-

tributies (zie link onderaan dit artikel).

Bij Ubuntu 18.10 was het pakket door

ontbrekende afhankelijkheden niet te

installeren. Daarbij rest alleen de optie

om de broncode of het Flatpak-pakket

te gebruiken. Het Oomox-DEB-pakket in-

stalleer je met de volgende commando's:

sudo dpkg -i oomox_1.7.0.5.deb

sudo apt install -f

Als je Fedora gebruikt, kun je Oomox uit

een Copr-repository halen:

sudo dnf copr enable tcg/themes

sudo dnf install oomox

Het daar aangeboden pakket zou eigen-

lijk ook op CentOS geïnstalleerd moeten

kunnen worden, maar met CentOS 7.5

lukte dat nog niet.

De Oomox-ontwikkelaars bieden

hun tool daarnaast aan als Flatpak-pak-

ket op Flathub. Dat kan door de meeste

grote distributies worden gebruikt. Met

de Flatpak-uitvoering konden we tijdens

het schrijven van dit artikel echter alleen

thema's maken op basis van het Numix-

thema.

Als geen van de genoemde instal-

latieopties bruikbaar is, kun je nog de

op de GitHub-site genoemde tools en

bibliotheken installeren. Daarna zet je

het programma met de volgende op-

drachten op je pc:

git clone https://github.com/themix-

project/oomox.git --recursive

cd oomox

make -f po.mk install

Programma-interfaceNa het installeren van het DEB-pakket

of als je dat met behulp van de Copr-

repository gedaan hebt, start oomox-gui

de Theme Designer. Als je echter het

broncode-archief moet gebruiken, ge-

bruik daar dan het script ./gui.sh in de

installatiedirectory voor. Het in drieën

gedeelde Oomox-hoofdvenster biedt

links enkele meegeleverde ontwerp-

sjablonen als presets. Via de zwarte

driehoeken kun je meer varianten van

de betreffende presets laten weergeven.

Kies daar een preset die je als basis wilt

gebruiken.

Na het klikken op een preset toont

het venster rechts een voorbeeld van het

thema. In het midden staan alle bijbe-

horende instellingen. Wat Oomox Theme

Designer daar laat zien, hangt af van de

gekozen 'Theme Style'. In die centrale

vervolgkeuzelijst kies je om te beginnen

een thema waarmee de basis instellingen

van de gekozen preset worden aange-

past. Welke desktopomgevingen later

met het thema overweg zullen kunnen,

wordt onder de keuzelijst vermeld.

135c’t 2019, Nr. 3

Praktijk | Desktopthema's voor Linux

De client voor muziekdienst Spotify is standaard nogal somber. Met de instellingen helemaal onderin het Oomox-venster kun je dit wat opfleuren.

De beschikbare instellingen zijn groten-

deels vanzelfsprekend. Background wij-

zigt bijvoorbeeld de achtergrondkleur

van alle vensters. Weet je niet zeker wat

er wordt bedoeld, dan pas je eenvou-

digweg de instelling aan en kijk je wat

er verandert in de voorbeeldweergave

rechts.

De kleuren kun je daarbij dan hand-

matig opgeven met behulp van hexa-

decimale waarden. Maar je kunt ook

makkelijker in het kleurvak klikken om

ze via een grafische interface te selec-

teren. Als je bovendien de kleur van de

terminal wilt wijzigen, kies je bij 'Theme

options' in de sectie Terminal het menu-

item Basic. Via de optie Manual kun je

dan vervolgens alle mogelijke kleuren

aanpassen, en niet alleen de achter- en

voorgrondkleur.

Thema's klikkenDe wijzigingen moet je zelf expliciet

bewaren met de tweede knop van links

('Save Theme') op de werkbalk van het

hoofdvenster. Als je de gekozen preset

niet wilt overschrijven, kun je met de

knop helemaal links een kopie maken.

Voeg een schuine streep in de naam toe

om je presets handig te groeperen. De

nieuwe preset ct/dark komt dan te staan

bij ct/light.

Heb je een thema naar hartenlust

aangepast, dan exporteer je het via het

'Export theme'. De mogelijke exportop-

ties hangen af van de geselecteerde

'Theme style' en de gebruikte deskto-

pomgeving. Accepteer bij twijfel ge-

woon de standaardinstellingen. Terwijl

Oomox Theme Designer het nieuwe

thema genereert, wijst een tekstvenster

op mogelijke problemen en met name

ontbrekende tools. Ontbreekt er iets,

dan installeer je die tools alsnog via de

pakketmanager en start je het exporte-

ren vervolgens opnieuw.

Als je ook de knoppen hebt aange-

past, moet je die afzonderlijk exporteren

via 'Export icons'. Het thema belandt ver-

volgens in een aparte subdirectory van

~/.themes/, de knoppen ook, maar dan

in ~/.icons. Heb je ook de kleuren van

de terminal gewijzigd, dan is tot slot

nog een klik nodig op 'Export terminal'.

Oomox toont dan een tekst die je hand-

matig in het bestand ~/.Xresources moet

plakken.

Vervolgens moet je nog het nieuwe

thema en de knoppen via de systeem-

instellingen van je desktop activeren.

Bij Xfce doe je dat bijvoorbeeld in het

venster Vormgeving. Bij Gnome moet

je voor wisselen van een thema daar de

tool Gnome Tweaks (Afstelhulp) voor ge-

bruiken, dat bij de meeste distributies in

hun repository zit. De naam van het vol-

tooide thema is daarbij een samenstel-

ling van oomox- en het laatste deel van

de presetnaam.

Bij niet-overlappende window-ma-

nagers kunnen problemen optreden met

schaduwen en randen. Op Github staat

daar een workaround voor (zie de link

onderaan).

De standaard nogal karige en som-

bere Spotify-client kun je met Oomox

Theme Designer ook een fris kleurtje

geven. Daarvoor ga je in de middelste

kolom naar beneden naar Spotify en

pas je de kleuren aan. Vervolgens open

je rechtsboven in de vensterhoek het

menu (onder de knop met de lijntjes)

en kies je 'Apply Spotify Theme'. Bij de

instellingen die dan verschijnen bepaal

je welk lettertype de Spotify-client moet

gebruiken. Het pad in het onderste in-

voerveld verwijst naar de subdirectory

Apps in de directory van de Spotify-client.

Normaliter hoef je dat niet aan te passen

De rechten die Oomox voor het aanpas-

sen van de kleuren nodig heeft, vraagt

het nadat je klikt op Apply. Na het her-

starten van de Spotify-client moet die de

gewenste kleuren hebben.

Oomox bewaart de oorspronkelijke

instellingen in ~/.config/oomox/spotify_

backup. Om die te herstellen, kopieer je

de back-up eenvoudigweg terug naar

de map /user/share/spotify/Apps. Als de

Spotify-client opnieuw wordt geïnstal-

leerd, krijgt die ook weer de oorspron-

kelijke kleuren.

Als je Oomox Theme Designer via

het DEB-pakket, de AUR of uit de Copr-

repository hebt geïnstalleerd, krijg je er

meteen een commandline-versie bij. Die

oomox-cli geheten tool is vooral handig

om snel een thema te genereren zonder

daarvoor de programma-interface te

hoeven openen. Geef daarbij het pad op

van een door Oomox bewaarde preset.

Zelfgemaakte presets komen standaard

in de directory ~/.config/oomox/colors te

staan, de meegeleverde in ~/opt/oomox/

colors. Daarin zitten subdirectory's in die

overeenkomen met de namen van de

presets. De preset ct/dark komt dan dus

in de directory ~/.config/oomox/ colors/

ct/dark. Dat pad kun je meegeven aan

oomox-cli:

oomox-cli ~/.config/oomox/colors/ct/dark

Bij het genereren van een thema kun je

nog extra parameters toevoegen. Ge-

bruik bijvoorbeeld een vermelding ach-

ter -o om die als naam aan het thema

toe te wijzen. Met -m geef je aan voor

welke GTK+3-versie het thema gemaakt

moet worden. Geef daar all op voor

alles, gtk3 voor versie 3.18 en gtk320 voor

versies vanaf 3.20. Met -d true worden

de GTK+2-onderdelen van het thema

boven dien ook op dubbele grootte ge-

maakt voor monitoren met een hoge

pixeldichtheid. (mdt) c

www.ct.nl/softlinks/1903134

136 c’t 2019, Nr. 3

Achtergrond | Linux-firewall

Momenteel wordt iptables in alle

stilte en grotendeels ongemerkt

vervangen door nftables. Je zult

echter pas van de regelset- en

prestatievoordelen profiteren als

je je er wat in verdiept.

Thorsten Leemhuis

Afgelopen zomer baarde een

nieuwe en daarbij ook veelbe­

lovende firewall oplossing met de

naam bpfilter veel opzien [1]. Hoewel dat

vooralsnog niet meer is dan een concept­

Stille overgangDe nieuwe firewalltechniek nftables voor Linux start eindelijk door

studie, zagen sommige gebruikers het als

een reden om nftables, de opvolger van

iptables, af te schrijven. En dat terwijl die

firewalltechniek voor Linux, die al sinds

2013 in de startblokken staat, nu eindelijk

vaste voet aan de grond begint te krijgen:

nftables beheerst inmiddels alle wezen­

lijke technieken die zitten in iptables en

diens afgeleiden ipv6tables, arptables en

ebtables.

Daarom zijn de eerste Linux­distri­

buties aan het overstappen van die zo­

geheten xtables­firewalltechnieken naar

de modernere en flexibelere nftables.

Andere distributies hebben inmiddels

ook aangekondigd dat spoedig te zullen

doen.

Oud en nieuwHet mooie is dat veel gebruikers zich niet

hoeven te bekommeren om een overstap

naar de nieuwe techniek. Door de compa­

tibiliteitstools neemt nftables ongemerkt

de taken van xtables over, terwijl je de

oude bekende commando's van xtables

kunt blijven gebruiken voor de configura­

tie. Dat kan dankzij ip tables 1.8, de verza­

meling tools die vorige zomer verscheen

en die de firewall op een slimme manier

onder een nieuwe naam inricht.

137c’t 2019, Nr. 3

Achtergrond | Linux-firewall

Bij de begrippen rondom de firewalltech­

nieken van Linux is de terminologie niet

altijd eenduidig. Met name de term ip­

tables is problematisch omdat die vier

dingen representeert. Meestal wordt

daarmee de gelijknamige commandline­

tool aangeduid, die sinds afgelopen

zomer echter een andere naam heeft

gekregen. De tool gebruikt de techniek

van de Linux­kernel, die eveneens ip­

tables heet maar bij de xtables­ familie

hoort. Ook de regels van de firewall, die

de tool in de kernel laadt, worden zo nu

en dan ip tables genoemd. Bovendien is

het ook nog de naam van de verzame­

ling functies die in de tool zitten. Om de

verwarring compleet te maken, zitten

er tools in de verzameling waarbij het

commando iptables de firewall niet met

xtables, maar met nftables inricht. Voor

die modernere firewalltechniek van de

Linux­kernel bestaat ook een native con­

figuratietool. Die zit in een zip­bestand

met de naam nftables, maar heet nft.

Naamsverwarring

De structuur van nftablesNftables zorgt ervoor dat het beheer van de firewallregels uniform is voor alle netwerkniveaus (MAC-laag, ARP, IP). Zoals van iptables gewend kun je nftables via een script aansturen. Met het commando nft kun je de configuratie bovendien in z'n geheel uit een bestand laden of de regels in een shell interactief finetunen.

shell bestand shell interactieve modus

iptables-nft

registreert hooks netwerkpakketten

bytecode

userspace

kernel

nftables library'sbytecode compiler

nftablesvirtuele machine

netfilter-infrastructuur

nft-commando

Het commando iptables, dat de IPv4­spe­

cifieke iptables van de kernel implemen­

teert, heet daardoor nu iptables-legacy.

De nieuwe versie daarvan heet iptables-

nft. Die werkt met dezelfde parameters

als de legacy­versie, maar werkt intern

met nftables.

Dat houdt het duidelijker welke tool

welke kerneltechniek gebruikt. Het be­

langrijkste doel is echter iets anders: de

naam iptables is daardoor weer beschik­

baar gekomen. De distributies kunnen

daarom een symbolische link inrichten

die, ongeacht welk systeem wordt ge­

bruikt, adequaat reageert als er een com­

mando wordt ingevoerd.

Die links worden over het algemeen

beheerd door alternatives, waarmee je

snel van de xtables­ naar de nftables­

tools kunt omschakelen. De uitvoer van

iptables --options verraadt snel of een

systeem de legacy­ of nft­tools gebruikt.

Als je van de ene versie overstapt naar

de andere, kun je je systeem het beste

opnieuw opstarten. Daarmee voorkom je

dat beide technieken met elkaar in con­

flict komen.

VooruitgangAls je nftables­tools gebruikt, profiteer je

ook nog van een voordeel van de nieuwe

firewalltechniek: als je een nieuwe regel

wilt invoeren (iptables -A …), heb je

dat binnen luttele seconden voor elkaar

omdat je de regel gewoon kunt toevoe­

gen. Met de xtables­tools doe je daar

langer over omdat daarbij alle regels uit

de kernel uitgelezen worden, de regelset

dan wordt aangepast en vervolgens het

geheel weer naar de kernel wordt ge­

stuurd. Bij complexere regelsets kan dat

best even duren. De tool xtables-monitor,

die in iptables 1.8 is geïntroduceerd en

de wijzigingen aan de regelset bewaakt,

werkt bovendien niet met xtables – ook al

klinkt dat wat tegenstrijdig, zie het kader

hieronder.

De eigen configuratietool nft van

nftables biedt nog verdere voordelen.

Hij werkt met een andere syntaxis, die

voor instappers eenvoudiger in het ge­

bruik moet zijn. Die lijkt op pf, dat voor

OpenBSD is ontwikkeld en in de Unix­

wereld als toonaangevende firewall­

oplossing bekendstaat. Met de native

nftables­ tool is het bijvoorbeeld makke­

lijk mogelijk om regels te maken die zowel

voor IPv4 als voor IPv6 gelden. Bovendien

heb je niet meer twee aparte regels nodig

om een log bij te houden (LOG) of pakket­

ten geaccepteerd (ACCEPT) of verworpen

worden (DROP).

Regels kun je ook makkelijker en snel­

ler aanpassen. Anders dan bij iptables zijn

er bij het inrichten en bijwerken van fil­

terregels ook geen race­conditions, waar

ongewenste pakketten mogelijk door de

mazen zouden kunnen glippen. Details

over de syntaxis en over deze en andere

voordelen van nftables/nft hebben we in

een eerder c't­artikel besproken [2].

FunctiegatenEnkele firewalltechnieken die iptables-

nft beheerst, kan nft echter nog niet

138 c’t 2019, Nr. 3

Achtergrond | Linux-firewall

Bij sommige distributies configureert het aloude iptables-commando nu in alle stilte en ongemerkt de moderne firewalltechniek die nftables heet.

configureren. Die functies zijn eigenlijk

alleen relevant bij complexe firewall­set­

ups. Dat gebrek aan functionaliteit komt

overigens niet door de tool, maar door

de kernel: sommige functies die iptables

wel heeft, ontbreken in nftables. Dat komt

doordat iptables-nft ook xtables­functies

kan gebruiken. Zo beschikt nftables mo­

menteel niet over SYNPROXY, dat helpt

bij het beschermen tegen SYN­floods en

vergelijkbare DDoS­aanvallen.

Stukje bij beetje zijn de ontwikkelaars

bezig de laatste veiligheidsgaten te dich­

ten. Sinds de actuele Linux­kernel 4.20

ondersteunt nftables bijvoorbeeld ipsec

policy matching. Welke functies nog niet

ondersteund worden, kun je lezen in de

wiki van het Netfilter­project (zie de link

rechts onderaan op deze pagina). State­

ments zoals 'consider native interface'

betekenen dat de ontwikkelaars overwe­

gen om de ondersteuning in nftables te

introduceren.

Als je geen van de ontbrekende func­

ties gebruikt, kun je de iptables­installatie

overzetten naar de syntaxis van nft en op

die manier meer profiteren van de voor­

delen van de nieuwe techniek. Dat is met

name voordelig voor complexe firewalls

met honderden regels: juist in die geval­

len kunnen de modernere datastructuren

van nftables (sets, maps, verdict­maps …)

de regels veelal vereenvoudigen en daar­

mee eenvoudiger vormgeven.

Bij de overstap van de syntaxis van

iptables naar die van nftables helpt de

tool iptables-translate , die iptables

vertaalt naar de syntaxis van nftables.

Meer informatie over het gebruik van die

tool staat op de Netfilter­wiki (zie de link

rechtsonder). Daar staan ook diverse tips

over manieren om de regelset aanslui­

tend ook te optimaliseren. Pas dan komen

de moderne datastructuren volledig tot

hun recht en zullen ze de prestaties ver­

beteren. De tijd die je kwijt bent met het

overstappen op de nft­syntaxis haal je er

dan snel weer uit.

Aanloopproblemen

Fedora, OpenSuse en enkele andere dis­

tributies staan op het punt om de fire­

wall standaard met nft­syntaxis te con­

figureren. Dat komt met name door de

tool firewalld, die de firewall sinds versie

0.6.0 standaard inricht met een back­end

voor nftables. Versie 29 van Fedora, die in

oktober is verschenen, had die insteek al

moeten ondersteunen en ook OpenSuse

Tumbleweed was van plan over te stap­

pen. Beide distributies hebben zich ech­

ter verslikt in een eigenaardigheid bij de

Network Address Translation (NAT), waar­

door dockercontainers en virtuele machi­

nes geen verbinding konden maken met

internet. De distributies hebben de over­

stap daarom uitgesteld om dat probleem

eerst te verhelpen.

Ironisch genoeg treedt dat probleem

op in een vlak waar nftables juist proble­

men zou kunnen verhelpen. Met name­

spaces kunnen firewall­tools, libvrt, doc­

ker et cetera telkens eigen tabellen in de

regelset onderhouden. Die software kan

daar de aspecten ongestoord en apart

van andere programma's configureren

zonder dat ze daar problemen van onder­

vinden. Op die manier zitten de program­

ma's elkaar niet meer in de weg, zoals dat

bij xtables nog wel eens het geval is.

Overstapfase

Het is gebruikelijk dat er bij de introductie

van een nieuwe techniek problemen zijn.

Maar dergelijke tegenslagen veranderen

uiteindelijk niets: nftables gaat dan wel

langzaam van start, maar zet zich zeker

door. Sinds kort hoort het bovendien bij

de functies die door de Red­Hat­support

van Red Hat Enterprise Linux (RHEL) 7

wordt ondersteund. RHEL 8, dat zich mo­

menteel in de bètafase bevindt, gebruikt

nftables zelfs al standaard. Ook Debian

10, dat nog voor de zomer verwacht

wordt, zou naar verluidt van huis uit nf­

tables gebruiken. Bij tests van Debian is

dat al het geval.

De ontwikkelaars van het Netfilter­

project hebben er vijf jaar over gedaan

om nftables van alle essentiële functies

te voorzien en om ervoor te zorgen dat

het van zijn rudimentaire begin klaar­

gestoomd werd voor het dagelijkse ge­

bruik. Daarmee is het voorbereid om de

taken van iptables over te nemen, dat

door hetzelfde project beheerd wordt.

Verantwoordelijkheden

Het is nog compleet onduidelijk of het

onlangs voorgestelde bpfilter ooit een

succes wordt. Die insteek is onafhankelijk

van Netfilter.org ontstaan en heeft veel

aandacht getrokken, hoewel het tot nu

toe alleen nog maar een conceptstudie is.

Er staat nog veel finetuning op het pro­

gramma, die nu eigenlijk pas opgestart

gaat worden.

Gebruikers zullen er niet om malen

of en wanneer dat beschikbaar zal zijn:

bpfilter zou tenslotte alleen de kernel­

interne infrastructuur vervangen door

een oplossing die werkt op basis van het

enhanced Berkeley Packet Filter (eBPF/

BPF). Die zou dan het zware werk in de

kernel op zich nemen.

De interfaces naar de userspace moe­

ten daarbij onveranderd blijven, zodat

bestaande firewalltools als iptables en

nft gewoon blijven werken. Gebruikers

zouden van die andere techniek verder

nauwelijks iets moeten merken, net als

bij de overstap van iptables naar nftables,

die zich momenteel grotendeels onge­

merkt voltrekt. (ddu) c

Literatuur

[1] Thorsten Leemhuis, Flexibeler filteren, nieuwe

firewalltechniek met elementen van micro­

kernels, c’t 9/2018, p.17

[2] Carsten Strotmann, Slimmer filteren, Linux­

pakketfilter nftables: theorie en praktijk,

c't 11/2015, p.138

www.ct.nl/softlink/1903136

Je kunt je server snel nieuwe

mogelijkheden geven met

docker containers. Maar als je

niet alle diensten wilt docke-

ren, kun je een kant-en-klare

container image gebruiken voor

een Nginx-reverse-proxy en

het automatisch verkrijgen van

certificaten bij Let's Encrypt. We

laten zien hoe je die twee dingen

zo instelt dat je er amper nog

werk aan hebt.

Pina Merkert

Afb

ee

ldin

g:

Alb

ert

Hu

lm

Docker is leuk. De containerimages

nemen je best wat werk uit han-

den en maken het mogelijk om

veel sneller nieuwe webdiensten uit te

proberen – en die ook net zo snel en

zonder achterblijvende restanten weer te

verwijderen. Als je tegenwoordig een root-

of een V-server hebt, wil je eigenlijk niet

zonder. Maar vaak draaien op die server

nog talrijke andere diensten uit een tijd

van voor docker. Die zijn toen zorgvuldig

handmatig geconfigureerd en jarenlang

onderhouden. Al die diensten zijn in een

container te zetten, maar daar moet je dan

eigen images voor maken. Dat kan voor

een enkele dienst al meerdere uren werk

gaan betekenen.

Je eigen server kun je meestal dan

ook niet in een slag dockeren, zelfs niet

als je daar het hele weekend voor inruimt.

Docker is echter snel geïnstalleerd en de

eerste container draait al na een paar mi-

nuten [1]. Die container komt echter niet

aan poort 80 of 443 omdat die twee nog

door een web server gebruikt worden, bij-

voorbeeld Nginx. Nginx levert nog andere

diensten die niet in een container draaien.

De bestaande container met Nginx-proxy

en Let's-Encrypt-automatisering [2] kan

de handmatig geïnstalleerde Nginx niet

vervangen omdat dat alle diensten buiten

de containers zou deactiveren. Je kunt dan

Nginx als reverse-proxy gaan gebruiken en

een ACME-client voor Let's Encrypt instal-

leren. De reverse-proxy neemt alle requests

van buitenaf voor zijn rekening en verdeelt

die over de andere web- of CGI-servers.

Nginx, de sleutelmeesterEen webserver moet tegenwoordig met ie-

dere websitebezoeker een TLS-verbinding

Vrij latenLet's Encrypt en Nginx voor iedereen die niet alles dockert

139c’t 2019, Nr. 3

Praktijk | Nginx-proxy met Let's Encrypt

onderhandelen. Als er op dezelfde server

echter verschillende webdiensten draaien,

is het niet nodig dat die diensten versleu-

teld met de proxy communiceren. Het vol-

staat daarom dat een als reverse-proxy ge-

configureerde Nginx alle SSL-verbindingen

ontvangt en onversleuteld doorstuurt naar

de gewenste diensten. Hij is de centrale

plek voor certificaten en kan zich bezig

houden met de requests waarmee Let's

Encrypt de domeinen valideert.

Elke dienst gebruikt meestal een eigen

domeinnaam of subdomein op de server.

Bij Nginx configureer je de virtuele hosts

(VHost) met server{}-blokken die requests

met server_name subdomein.mijn-domein.

nl; de juiste configuratie toekennen. In de

server{}-blokken definiëren location{}-

blokken wat er met de opgevraagde URL

moet gebeuren: uit welke directory de

bestanden rechtstreeks geleverd moeten

worden, of de request naar een CPI- of een

WSGI-server doorgestuurd moet worden

en of via proxy-pass een andere server zich

om de request moet bekommeren.

De requests waarmee Let's Encrypt

met een HTTP-challenge de domeinen va-

lideert, roepen een erg cryptisch genoemd

bestand met een token op dat in het pad

/.wellknown/acme-challenge/ staat. Ngnix

moet dergelijke requests niet doorsturen,

maar meteen het door de ACME-client ge-

leverde bestand terugsturen. Zoek daar-

om een plek op de server (bijvoorbeeld

/var/www/letsencrypt-challenges/) waar

de ACME-client het bestand neer mag

zetten en schrijf daar een location{}-blok

voor:

location /.well-known/acme-challenge {

root /var/www/letsencrypt-challenges;

}

Omdat dit blok voor alle VHosts hetzelfde

is, scheelt het aardig wat typewerk als je

die drie regels in een nieuw bestand met

de naam /etc/nginx/letsencrypt-webroot

zet. Dat kun je daarna namelijk makkelijk

met de volgende regel aan alle server{}-

blokken koppelen:

include letsencrypt-webroot;

Als je location{}-blokken gebruikt die met

regex matchen (~ of ~* achter location),

kijkt Nginx daar eerst naar, ook als ze in de

configuratie helemaal onderaan staan. Bij

die blokken moet je er dus op letten dat

je niet naar het tokenbestand in het url-

pad /.wellknown/acme-challenge/ matcht

(bijvoorbeeld niet location ~ (.*) {} ge-

bruiken). In geval van twijfel bouw je het

blok met location ~ \/.well-known\/acme-

challenge\/(.*) { zelf om naar een regex.

Voor het valideren van een domein speelt

het verder geen rol of dat via HTTP of

HTTPS gebeurt. Het heeft dan ook geen

nut om include letsencrypt-webroot;

zowel in het server{}-blok te zetten voor

HTTP (listen 80; listen [::]:80;) als in

dat voor HTTPS (listen 443 ssl; listen

[::]:443 ssl;).

acme.sh, de certificaat-

automaat

De op die manier uitgebreide configuratie

volstaat om de validatierequests van Let's

Encrypt te beantwoorden. Daarom kan

de ACME-client nu certificaten bij Let's

Encrypt gaan aanvragen. Uit meerdere

geschikte ACME-clients viel onze keuze

op acme.sh [3], dat als shell-script op alle

Linux-servers draait en alles kan wat ACME

ondersteunt.

Het script acme.sh ondersteunt zowel

ACME 1.0 als de nieuwe versie 2.0 [4], en

haalt indien gewenst signatures op voor

zelf gemaakte CSR's (Certificate Signing

Request). Het vraagt zelfs wildcard-certi-

ficaten aan, als je via DNS kunt valideren.

Ons voorbeeld gebruikt met de geïnte-

greerde cron-job en eenvoudige domein-

validering via HTTP-challenge alleen de

basis-features.

Je installeert acme.sh makkelijk met git

clone in de home-directory:

git clone https://github.com/

Neilpang/acme.sh.git

cd ./acme.sh

sudo ./acme.sh --install

Het commando met --install verandert

niets aan het shell-script. Dat heeft git al

kant-en-klaar gedownload. Het stelt echter

een cron-job in die automatisch al na twee

maanden de opgevraagde certificaten ver-

lengt – certificaten van Let's Encrypt zijn

maar drie maanden geldig. De account-

sleutel en de lijst van aangevraagde certi-

ficaten belanden beide in ~/.acme.sh/.

Het aanvragen van certificaten gaat

daarna heel eenvoudig met ./acme.

sh --issue. Achter de optie -d geef je

een domeinnaam op. De eerste dient

als naam voor het certificaat. Als je de

optie -d meerdere keren met verschil-

lende domeinnamen gebruikt, valideert

Let's Encrypt ze allemaal en worden ze in

Subject AlternativeName in het certificaat

geschreven. Het certificaat geldt dan voor

alle opgegeven domeinen.

Als je wilt, kun je de standaard sleutel-

lengte van 2048 nog verhogen met de

optie --keylength 4096. Dat levert voor

de server iets meer rekenbelasting op bij

het opbouwen van een verbinding, maar

veel beveiligingsexperts adviseren om

RSA-sleutels van slechts 2048 bit niet te

gebruiken.

Belangrijk is de optie -w, die de web-

root-directory voor het token-bestand aan-

geeft. Dat is door de Nginx-configuratie

ingesteld op /var/www/lets encrypt-chal-

lenges/. Het script acme.sh zet de tokens

dan in die directory en Nginx levert ze aan

de valideringsserver van Let's Encrypt.

Het aanvragen van een certificaat voor

het domein titans-rollenspel.nl ziet er

dan bijvoorbeeld zo uit:

sudo ./acme.sh --issue

-d titans-rollenspel.nl

-d www.titans-rollenspel.nl

--keylength 4096

-w /var/www/letsencrypt-challenges/

--key-file /etc/certs/

titans-rollenspel.nl/key.pem

--cert-file /etc/certs/

titans-rollenspel.nl/cert.pem

--fullchain-file /etc/certs/

titans-rollenspel.nl/fullchain.pem

--reloadcmd "systemctl reload

nginx.service"

Als je een certificaat liever eerst op-

haalt (met verificatie) en daarna instal-

leert, kun je hetzelfde ook met twee

commando's doen:

sudo ./acme.sh --issue

-d titans-rollenspel.nl

-d www.titans-rollenspel.nl

--keylength 4096

-w /var/www/letsencrypt-challenges/

sudo ./acme.sh

--install-cert -d

titans-rollenspel.nl

--key-file /etc/certs/

titans-rollenspel.nl/key.pem

--cert-file /etc/certs/

titans-rollenspel.nl/cert.pem

--fullchain-file /etc/certs/

titans-rollenspel.nl/fullchain.pem

--reloadcmd "systemctl reload

nginx.service"

Certificaten installeren

140 c’t 2019, Nr. 3

Praktijk | Nginx-proxy met Let's Encrypt

Bestel ze snel op:

www.fnl.nl/ctabo

UITGAVE(N)GEMIST?

Daarnaast heeft acme.sh nog wat handige

functies die het omgaan met certificaten

bijzonder eenvoudig maken. Met de opties

--key-file, --cert-file en --fullchain-file

kopieert acme.sh de aangemaakte cer-

tificaten naar de opgegeven paden. We

hebben bijvoorbeeld voor elke VHost een

subdirectory in /etc/certs/ aangemaakt

en de .pem-bestanden met deze drie op-

ties daar vervolgens rechtstreeks naartoe

gekopieerd.

Om ervoor te zorgen dat Nginx bij een

certificaatwisseling ook meteen de nieuwe

certificaten levert, voeg je telkens de optie

--reloadcmd "systemctl reload nginx.ser-

vice" toe. Dat zorgt niet alleen voor een

reload van de webserver na het aanvragen

van een nieuw certificaat, maar voert de

reload ook uit bij een certificaatswisseling

door de cron-job. Omdat acme.sh met

root-rechten draait, kan het script ook de

webserver herladen.

Sleuteloverdracht

Om ervoor te zorgen dat Nginx de nieuw

verkregen certificaten van Let's Encrypt

ook gebruikt, geef je dat aan in het des-

betreffende server{}-blok voor HTTPS (de

VHost- configuratie voor poort 443):

ssl_certificate /etc/certs/

titans-rollenspel.nl/fullchain.pem;

ssl_certificate_key /etc/certs/

titans-rollenspel.nl/key.pem;

Als je wilt, meld je gebruikers ook meteen

nog via HSTS [5] dat je website de komen-

de zes maanden via HTTPS bereikbaar zal

zijn:

add_header Strict-Transport-Security

max-age=15768000;

De rest van de configuratie komt overeen

met een verder normale Nginx-configuratie

voor een webserver met SSL [6]. Geef in elk

geval in je configuratie aan met ssl_pre-

fer_server_ciphers on; dat versleutelings-

en sleutelonderhandelings algoritmes (cip-

hers) op de server voorrang hebben boven

die van de clients en kijk regelmatig naar

de lijst van algoritmes om afscheid te

nemen van onveilige methoden – zie de

link onderaan dit artikel.

Met de hier voorgestelde combinatie

van Nginx en acme.sh kun je al met al dus

vrij makkelijk certificaten ophalen voor je

diensten, of die nu in dockercontainers

draaien of rechtstreeks op de server. De

door acme.sh automatisch ingestelde

cron-job zorgt ervoor dat je aflopende

certificaten niet handmatig hoeft te ver-

nieuwen.

Als je het jammer vindt dat je bij deze

set-up handmatig wat meer moet doen

dan bij een pure dockerset-up [2], dan

kun je alle diensten een voor een in alle

rust ombouwen en vervolgens overgaan

op containers. Er is echter niets op tegen

om de reverse-proxy gewoon te blijven

gebruiken. (nkr) c

Literatuur

[1] Merlin Schumacher, Docker met Linux in de prak-

tijk, De kracht van containers, c't 10/2017, p.112

[2] Peter Siering, Vrachtbrieffabriek, Docker-contai-

ners automatisch van certificaten voorzien,

c't 4/2018, p.112

[3] Pina Merkert, *.acme.sh, Met het script acme.sh

maak je wildcard-certificaten van Let's Encrypt,

c't 4/2018, p.110

[4] Pina Merkert, Universele standaard, ACME

2.0-protocol voor automatische SSL/TLS-certifi-

caten, c't 4/2018, p.118

[5] Jürgen Schmidt, SSL voor gevorderden, Versleu-

teling met HSTS en pinning beveiligen,

c't 3/2016, p.136

[6] Johannes Merkert, HTTPS zonder stress, HTTPS

op je eigen webserver inrichten met Let's En-

crypt, c't 3/2016, p.133

www.ct.nl/softlink/1903139

Praktijk | Nginx-proxy met Let's Encrypt

Hotline

Accu-indicator van bluetooth-koptelefoons

?Volgens jullie test van voordelige

bluetooth-koptelefoons (zie nummer

c't 11/2018 op pagina 62) zou bij een JBL

T450BT die via bluetooth is aangesloten

op een Android-smartphone de resterende

accuduur dan worden weergegeven bij

de bluetoothinstellingen. Op mijn Lenovo

Moto G5 met Android 7.0 zie ik dat echter

niet, ook niet als ik bij de instellingen kijk.

Doe ik iets fout?

ßWe hebben de functie op verschillende

Android-smartphones getest, en ook

met verschillende Android-versies. Wat

we ten tijde van de test echter nog niet

wisten is dat de weergave van de accuduur

standaard eigenlijk pas vanaf Android 8.1

in het systeem zit. Wel hebben diverse

smartphonefabrikanten zoals Samsung,

OnePlus en LG de functie al aan eerdere

versies van hun gemodificeerde Android

toegevoegd.

In het geval van een Moto G5 kun je

waarschijnlijk weinig anders doen dan af-

wachten of er een update naar Android 8.1

komt.

Virtualisatie loopt niet lekker

?Op mijn Windows 10-pc lukt het niet om

VirtualBox of VMware Player aan de praat

te krijgen. Beide virtualisatieprogramma's

weigeren een virtuele machine te starten. De

foutmelding van VirtualBox zegt dat de cpu

geen VT-x ondersteunt, maar dat klopt niet:

in het BIOS is de virtualisatie ingeschakeld

en Hyper-V werkt helemaal prima, alleen

biedt het programma bepaalde functies die

ik wil gebruiken niet. Is er iets wat ik daar

aan kan doen?

ßOm een virtualisatieprogramma van

een andere producent dan Microsoft te

kunnen ge bruiken, moet je het Windows-

eigen Hyper-V eerst uitschakelen. Open

daarvoor Instellingen en ga daar naar de

pagina Apps. Klik met de rechtermuisknop

op 'Apps en onderdelen' en daarna rechts

in het scherm op 'Programma's en functies'.

Klik dan op de optie 'Windows-onderdelen

in- of uitschakelen'. Ga in de lijst naar

Hyper-V en verwijder vervolgens het vinkje

in het bijbehorende selectievakje. Bevestig

je keuze met OK en dan Windows zal willen

herstarten.

Als de virtualisatieprogramma's dan

nog steeds niet willen starten, kan ook nog

Windows Defender roet in het eten gooien.

Die gebruikt sinds kort ook virtualisatie-

functies en blokkeert daarmee andere pro-

gramma's. Om dat te wijzigen, open je het

'Windows Defender-beveiligingscentrum'

via het startmenu of door op het Defender-

pictogram in het taakvak te klikken. Ga dan

naar Apparaatbeveiliging en klik op Kern-

isolatiedetails. Zet daar de schakelaar voor

Geheugenintegriteit uit en start Windows

opnieuw op.

Wachtwoorden in Firefox

?Firefox slaat mijn wachtwoorden voor

websites al jaren op en ik ben daar

inmiddels zo gewend aan geraakt dat ik niet

meer zonder wil. Alleen werkt het niet meer.

Hoe komt dat?

ßBij Firefox is het alleen mogelijk om

wachtwoorden in normale vensters

op te slaan, maar niet in 'privé'-vensters.

Indien het bij geen enkele website lukt om

wachtwoorden op te slaan, opent Firefox

waarschijnlijk alle vensters automatisch in de

privé-modus. Dat kun je bij de Opties onder

'Privacy & beveiliging' aanpassen door de

optie Geschiedenis te zetten op 'Aangepaste

instellingen gebruiken voor geschiedenis' en

dan het vinkje te verwijderen voor 'Altijd de

privénavigatiemodus gebruiken'.

Wees je echter bewust dat het opslaan

van wachtwoorden in de browser bepaalde

risico's met zich meebrengt. Dat geldt overi-

gens voor alle browsers.

Let's Encrypt hapert

?Sinds kort hapert mijn Let's-Encrypt-

client. Die client meldt dat de Let's-

Encrypt-server de webserver voor het

verifiëren van het domein niet kan bereiken.

Ik heb zelf niets aan de configuratie gewijzigd.

De client werkte voorheen altijd prima en

de HTTPS-serverpoort 443 staat continu

geopend.

ßOm ervoor te zorgen dat het verifiëren

van het domein goed werkt, moet je

ook de normale HTTP-poort 80 open hebben

staan, want de Let's-Encrypt-server gebruikt

die (ook) voor het aanroepen van een test-url.

Het verkrijgen van certificaten zou dan weer

moeten werken.

Watchtower in Synology- docker herstellen

?Na een update van de docker-app op

mijn Synology-NAS naar versie 17.05.0-

0394 lijkt het erop dat de Watchtower-

container, die andere containers bijwerkt, is

verdwenen. Hoe krijg ik Watchtower weer

aan de praat?

ßDe nieuwe docker-app gooit Watchtower

gelukkig niet helemaal van het systeem

af, maar schakelt het na die update alleen

maar uit. Het enige wat je dan hoeft te

doen, is in het dockermenu bij Watchtower

de desbetreffende schuifregelaar weer op

aan te zetten, waarna Watchtower weer

automatisch zal gaan starten.

Multiband antennes voor LTE

?Ik wil de ontvangst van mijn LTE-router

verbeteren door er een hoogwaardige

antenne op aan te sluiten. Het aanbod is

echter gigantisch. Waar moet ik bij mijn keuze

op letten?

Daar moet je maar net achterkomen: diep in de instellingen van Defender zit een schakelaar verborgen die virtualisatieprogramma's afremt.

142 c’t 2019, Nr. 3

Praktijk | Hotline

ßJe moet er met name op letten dat hij

het frequentiebereik ondersteunt dat

voor LTE-gebruik relevant is. In Europa is dat

momenteel 800, 1800 en 2600 MHz voor

LTE en 2100 MHz voor UMTS. Het kan geen

kwaad als de antenne daarnaast ook nog

700, 900, 1500 en 3500 MHz ondersteunt,

zodat je voorbereid bent voor een mogelijke

toekomstige uitbreiding van de frequenties.

De kwaliteit van een antenne wordt ge-

meten aan diens winst in dB (decibel) ten

opzichte van een vergelijkingsantenne, wat

in dBi wordt uitgedrukt, wat de antenne-

versterking ten opzichte van een isotrope

antenne is. Daarbij komt 3 dB dan overeen

met een verdubbeling van het vermogen

ten opzichte van de vergelijkingsantenne.

Lange snoeren kunnen een winst ech-

ter weer tenietdoen. Als de antennes niet di-

rect met de router verbonden worden, maar

eerst via een lange kabel doorgeleid moeten

worden, kun je het beste een hoogwaardige

kabel met een zo laag mogelijke demping

gebruiken.

Screenshots met gevoelige gegevens in Firefox

?Ik gebruik de screenshotfunctie van Fire-

fox graag. Maar omdat ik zo nu en dan

ook screenshots maak waar persoonlijke

gegevens in staan, wil ik eigenlijk structureel

verhinderen dat die screenshots automatisch

worden geüpload naar screenshots.firefox.

com. Kan dat?

ßOok zonder sync-account slaat Firefox

de screenshots ongevraagd op in de

cloud. Als je niet wilt dat dit gebeurt, dan

moet je de optie extensions.screenshots.

uploaddisabled inschakelen. Typ daarvoor

about:config in het zoekveld in en schakel

de optie daar om naar true door er op te

dubbelklikken. Je kunt de screenshottool

blijven gebruiken zoals gewend, maar dan

zonder die automatische uploadfunctie.

Overi gens wordt dat ook standaard zo

ingesteld als Firefox in de privémodus draait.

Verder details over de screenshottool staan

bij de link hieronder.

www.ct.nl/softlink/1903142

Netflix streamt niet meer

?Ik heb onlangs een goedkope streaming-

box aangeschaft van een fabrikant

uit China. Aanvankelijk kon ik daar prima

Netflix mee streamen, maar sinds enkele

weken krijg ik echter de foutmelding 'NW-

6-404' en dan kapt de app ermee. Ik heb nog

geen oplossing bij de betreffende fabrikant

kunnen vinden.

ßNetflix heeft de toegang geblokkeerd

bij talloze goedkope Android-kastjes.

Daar komt vermoedelijk ook de foutmelding

vandaan. Als de fabrikant geen update levert,

zou je de mediacentersoftware Kodi voor

Android kunnen proberen. Versie 18 zit nog

wel in een bètafase, maar kan via een add-on

ook Netflix streamen (zie de link hieronder).

Hoe je Netflix via een Kodi-distributie zoals

LibreElec aan de praat krijgt, lees je in c't

12/2017 op pagina 56.

www.ct.nl/softlink/1903142

Toets voor Linux-screenshot

?Ik kan in lang niet al mijn Linux-games

een toets definiëren voor het maken

van screenshots. Bij Steam is die functie

geïntegreerd, maar ik heb echter ook games

die niet op Steam zitten. Hoe kan ik ervoor

zorgen dat ik onder Linux met één druk op

de knop een screenshot kan maken en dat

in een specifieke map terechtkomt (met een

herkenbare bestandsnaam)?

ßEen heel simpele oplossing daarvoor

is scrot, een commandline-tool. De

meeste bekende distributies bieden die in

hun pakketbronnen. Bij Ubuntu en Debian

installeer je hem met de opdracht sudo apt

install scrot.

Test de scrot-tool eerst in een terminal-

venster voordat je er een toets aan toewijst.

Je kunt in scrot variabelen in de bestands-

namen gebruiken. Zo slaat het volgende

commando een screenshot op met de hui-

dige datum en tijd:

scrot '%Y-%m-%d_%T_screenshot.png' -e

'mv $f ~/Afbeeldingen/screenshots/'

Daarbij zorgt -e ervoor dat het screenshot

naar het opgegeven programma wordt

gestuurd. Dat is hier mv, dat het bestand

verplaatst naar de opgegeven map met

een bestandsnaam als 2019-3-25_15:33:41_

screenshot.png. Gebruik je twee monitoren,

dan moet je bovendien de parameter -u ge-

bruiken. Die zorgt ervoor dat alleen het ac-

tieve venster wordt opgeslagen, in dit geval

de game.

Als het commando naar behoren werkt,

kun je er een sneltoets aan koppelen. Hoe

je dat doet verschilt per desktopomgeving

(en taal). Bij XFCE zoek je in het menu naar

Keyboard. In het bijbehorende dialoog-

venster ga je naar 'Application Shortcuts' en

klik je op Add. Voer de gewenste opdracht in,

klik op OK en druk daarna op een toetsen-

combinatie.

Bij Gnome open je de Instellingen en ga

je naar Toetsenbord. Klik helemaal onderaan

in de lijst op de knop met het plusteken om

een item toe te voegen. Typ een naam in en

vul daaronder het scrot-commando in. Na

een klik op de knop 'Sneltoets instellen' druk

je op de gewenste toetsencombinatie. Met

Toevoegen rond je het proces af.

Inhoud van defecte LibreOffice- bestanden extraheren

?LibreOffice is gecrasht, natuurlijk net

toen ik midden in een tekst bezig was.

Ik heb geprobeerd het bestand opnieuw te

openen, maar krijg van LibreOffice telkens

de melding dat het bestand beschadigd is

en een formaatfout bevat. De truc om de

bestandsextensie naar .zip te wijzigen en de

inhoud uit te pakken om zo aan de tekst te

komen ken ik, maar die werkt niet. Is er een

manier waarop ik het bestand alsnog kan

redden?

ßWijzig de extensie van het bestand van

.odt naar .txt en open het bestand met

een gewone editor. Dat lijkt het een grote

chaos, maar negeer alle regels die met een

slash of met accolades beginnen: jouw tekst

staat in de regels die zonder speciale tekens

beginnen. Kopieer die regels dan gewoon

naar een nieuw document, dan heb je de

kale tekst in ieder geval weer terug.

Om een toetsencombi-natie te definiëren voor de scrot-opdracht ga je bij de Gnome-instellin-gen naar Toetsenbord en klik je op de knop met het plusteken.

143c’t 2019, Nr. 3

Praktijk | Hotline

TeamViewer onder macOS

? Ik gebruik TeamViewer om een Mac op

afstand te besturen. Sinds de update

naar macOS 10.14 kan ik op afstand de

desktop wel zien, maar de doelcomputer

reageert verder niet meer op het toetsenbord

of muisbewegingen.

ßDat probleem wordt veroorzaakt door

nieuwe beveiligingsfuncties van het de

nieuwe versie van het besturingssysteem

van Apple. Om je Mac dan op afstand te

kunnen blijven benaderen, moet je daar

de systeemvoorkeuren openen en bij

Beveiliging het tabblad Privacy openen. Klik

dan op de Toegankelijkheidsinstellingen.

Om Teamviewer de rechten te geven, moet

je eerst op het slotpictogram linksonder in de

hoek klikken om toegang te ontgrendelen.

Daarvoor heb je de inloggegevens van een

beheerder nodig. Voeg vervolgens met het

'+'-pictogram de TeamViewer-applicatie toe,

waarna dat weer zal werken.

Als je TeamViewer automatisch samen

met het systeem wilt laten starten, moet je

ook nog de toepassing Teamviewer_desktop

toevoegen. Die zit verborgen in het program-

mapakket van TeamViewer. Ga daarom via de

Finder naar Programma's en klik rechts op

TeamViewer. Klik vervolgens op het menu-

item 'Toon pakketinhoud'. Bij 'Contents /

Helpers' staat de toepassing Team viewer_

desktop. Sleep die naar het venster van de

instellingen voor de toegankelijkheid. De

computer zou dan op afstand benaderbaar

moeten zijn.

Wachtwoord van Microsoft-account vergeten

?Het lukt me niet meer om me met mijn

Microsoft-account aan te melden omdat

ik mijn wachtwoord vergeten ben. Wat moet

ik nu doen?

ßKlik bij de aanmelddialoog op de knop

'Ik ben mijn wachtwoord vergeten?'. Er

wordt dan een resetcode gestuurd naar het

e-mailadres dat bij het Microsoft-account

hoort. Als je dat e-mailaccount niet kunt

openen, kun je de code naar een ander

e-mailadres laten sturen. Vervolgens wordt je

identiteit gecontroleerd, waarbij er gegevens

worden gecheckt die je hebt ingevoerd toen

je het account aanmaakte, zoals de naam, het

land, de geboortedatum en de postcode.

Bovendien zal er gevraagd worden of je je

kunt herinneren naar welke contacten je

de laatste e-mails hebt gestuurd, wat je

Skypenaam is, en ga zo maar door. Zodra

er voldoende informatie verzameld is, kan

het nog 24 uur duren voordat je een e-mail

ontvangt met een link waarmee je het

wachtwoord kunt resetten.

Uit de e-mail kan echter ook blijken dat

je niet voldoende informatie gegeven hebt.

Dat gebeurt met name in gevallen waar-

bij het Microsoft-account bijna uitsluitend

wordt gebruikt voor het aanmelden op Win-

dows. In dat geval kan Microsofts support

wellicht nog helpen. Maar we hebben ook

van gevallen gehoord waarbij ook de sup-

portdesk gebruikers niet verder kon helpen.

Het is daarom zeer belangrijk om voor nood-

gevallen het wachtwoord op een briefj e te

hebben. Dat kun je dan in een kluisje bewa-

ren. Verdere informatie van Microsoft kun je

vinden via de link hieronder.

www.ct.nl/softlink/1903142

VBS blokkeert AMD Ryzen Mas-ter Tool

?Ik wil de AMD-software Ryzen Master

installeren op mijn Windows 10-pc met

een AMD Ryzen-cpu om mee te kunnen

overklokken. Ik krijg echter een foutmelding

over 'Virtualization Based Security' (VBS), dat

moet ik uitschakelen. Hoe doe ik dat? En wil

ik dat wel doen?

ßSinds de Spring Creators Update voor

Windows 10 (1803) kun je bij veel

Windows 10 edities VBS uitschakelen.

Microsoft spreekt dan over 'beveiliging

op basis van virtualisatie' en toont in de

systeeminformatie (msinfo32.exe) ook of de

functie actief is. Bij een nieuwe installatie

activeert Windows 10 VBS blijkbaar zelfs

automatisch als er aan bepaalde voorwaarden

wordt voldaan – welke dat dan zijn, is niet

helemaal duidelijk. De virtualisatiefuncties

van de cpu moeten in ieder geval in het BIOS

geactiveerd zijn, dus AMD-V of Intel VT-x.

Voor VBS adviseert Microsoft ook dat het

systeem in de UEFI-modus met Secure Boot

start en dat een Trusted Platform Module

(TPM 2.0) aanwezig is. Beide lijken echter

niet strikt vereist te zijn.

Er is overigens geen eenduidige manier

om VBS in Windows 10 in en uit te schake-

len. VBS omvat namelijk meerdere functies

die afhankelijk van de hardware en Win-

dows 10-versie wel of niet te gebruiken

zijn. Het installeren van AMD Ryzen Mas-

ter loopt in ieder geval vast door de VBS-

functie 'Geheugen integriteit' (memory

integrity), een subfunctie van 'Kern isolatie'

(core isolation). Een schakelaar om de ge-

heugenintegriteit uit te schakelen zit bij

'Windows- instellingen / Bijwerken en be -

veiliging / Windows-beveiliging / Appa-

raatbeveiliging / Kernisolatiedetails'. Na een

herstart zou het dan mogelijk moeten zijn

om de AMD-software te installeren.

Bij sommige systemen lukt het niet om

de geheugenintegriteit via de knop uit te

schakelen. In dat geval zou het moeten luk-

ken door de registerwaarde HKEY_LOCAL_

MACHINE\SYSTEM\CurrentControlSet\

Control\DeviceGuard\Scenarios\Hypervisor-

EnforcedCodeIntegrity\Enabled op 0 te zet-

ten en het systeem te herstarten. Het begrip

Apparaatbeveiliging is een vertaling van

Windows Defender Device Guard en de ge-

heugenintegriteit noemt Microsoft ook wel

'Hypervisor enforced Code Integrity' (HVCI).

Om met HVCI te werken, moeten drivers aan

eisen voldoen. Daar zal de Ryzen Master Tool

momenteel nog op stuklopen. Toekomstige

versies zijn wellicht wel met HVCI compatibel.

Aangezien VBS ervoor zorgt dat Win-

dows 10 beter beschermd wordt tegen be-

paalde malware-aanvallen, kun je de func-

tie beter niet uitschakelen. Ook bepaalde

virtualisatiesoftware verslikt zich in VBS, zie

'Virtualisatie loopt niet lekker' elders in dit

artikel.

Om te zorgen dat toegang op afstand via Teamviewer werkt, moet je het programma onder macOS rechten verlenen.

144 c’t 2019, Nr. 3

Praktijk | Hotline

F&LMEDIA

C’T IS EEN UITGAVE VAN

F&L MEDIA COMPUTER BV

in licenti e van Heise Medien

GmbH & Co. KG, Hannover

ALGEMEEN DIRECTEUR

Arjan Kropman

BR AND MANAGER

Noud van Kruysbergen

REDACTIE

Daniel Dupré, Marco den Teuling,

Alieke van Sommeren

MET MEDEWERKING VAN Ernst Ahlers, Holger Bleich, Herbert Braun,

Hannes A. Czerulla, Mirko Dölle, Liane M.

Dubowy, Ronald Eikenberg, Sven Hansen,

Christi an Hirsch, Jan-Keno Janssen, Nico Jurran,

Benjamin Kraft , Stephan Krempl, Lutz Labs,

Thorsten Leemhuis, Jan Mahn, Urs Mansmann,

Pina Merkert, Andrijan Möcker, Andreas Itzchak

Rehberg, Jürgen Schmidt, Tim Schnürmann,

Hajo Schulz, Merlin Schumacher, Jan Schüßler,

Carsten Spille, Andrea Trinkwalder, Axel

Vahldiek, Olivia von Westernhagen, Christof

Windeck, Jörg Wirtgen, Dušan Živadinović

VORMGE VING

Tom Gerrits, Nick Groenewold,

Mylene Nales, Susan Derksen, I-XPRESS

SALES

Thijs de Hoogh

+31 (0)24 04641

tdhoogh@fnl.nl

MARKETING

Marijn van Gelder

+31 (0)24 04556

mvgelder@fnl.nl

DRUKKERIJ

Habo DaCosta bv, Vianen

NIEUWSREDACTIE / PERS

redacti e@ct.nl of adresgegevens

zie hieronder o.v.v.

redacti e c’t magazine

BEZOEK ADRES F&L MEDIA

Jonkerbosplein 52, 6534 AB Nijmegen

ISSN

ISSN 1388-0276

ABONNEMENTSINFORMATIE

C’t magazine kost €6,99 per nummer. Het

verlengtarief is in Nederland €60,- en in België

€62,50 voor 10 nummers. Deze prijs geldt bij

betaling per automati sche incasso. Voor betal-

ing via een (digitale) factuur geldt een toeslag

van €2,50.

Je kunt eenvoudig een machti ging afgeven via

www.fnl.nl/machti gen. Abonnementen worden

automati sch verlengd, tenzij anders vermeld.

Het opzeggen van een abonnement kan een-

voudig telefonisch via +31 (0)85 2250 505.

COPYRIGHTHet auteursrecht op deze uitgave en op de daarin verschenen arti kelen wordt door de uitgever voorbehouden. Het verlenen

van toestemming tot publicati e in deze uitgave houdt in dat de auteur de uitgever, met uitsluiti ng van ieder ander onherroe-

pelijk machti gt de bij of krachtens de auteurswet door derden verschuldigde vergoedingen voor kopiëren te innen en dat de

auteur alle rechten overdraagt aan de uitgever, tenzij anders bepaald, dat geldt ook als de arti kelen via een ander medium

gepubliceerd worden. Niets uit deze uitgave mag worden overgenomen, vermenigvuldigd of gekopieerd zonder uitdrukkelijke

toestemming van de uitgever. De uitgever stelt zich niet aansprakelijk voor eventuele onjuistheden, welke in deze uitgave

mochten voorkomen.

KLANTENSERVICE

WIL JE ABONNEE WORDEN OF HEB JE VRAGEN

OVER JE ABONNEMENT? JE KUNT ONS EENVOUDIG

BEREIKEN OP EEN VAN DE VOLGENDE MANIEREN:

ONLINE

Hier vind je de meest actuele informati e en

ook het antwoord op veelgestelde vragen.

W W W.FNL.NL/KL ANTENSERVICE

E-MAIL

Stel je vraag eenvoudig per e-mail aan een

van onze service medewerkers.

KL ANTENSERVICE@CT.NL

VR AGEN A AN DE REDACTIE

Heb jij opmerkingen, suggesti es of

vragen aan de redacti e?

REDACTIE@CT.NL

TELEFOON

We zijn er maandag tot en met vrijdag van 09.00

tot 17.00 uur om jouw vragen te beantwoorden.

+31 (0)85 2250 505

146 c't 2019, Nr. 3

Antivirusprogramma's voor WindowsAntivirusprogramma's voor Windows zijn er van gratis

tot redelijk duur. Zelfs de in Windows ingebouwde

Defender is een interessante optie. We hebben alle

gangbare antivirusprogramma's uitgebreid getest en

geven antwoord op de vraag welk programma het

beste is en welke je niet moet gebruiken – of heb je

sowieso al genoeg aan Windows Defender?

Meer lezen?Voor het laatste nieuws op ICT-gebied, extra

reviews en achtergronden kun je terecht op

onze website: www.ct.nl

twitter.com/ct_magazine

c't – IT-magazine voor de liefhebber

lezersvragen@ct.nl@

Het Ultieme Raspberry Pi Handboek

nu in de winkel

iCreate 105

nu in de winkel

Bovendien:

Stille mini-pc's met Celeron J/N4000Er bestaat inmiddels een aardig aantal mini-pc's met een Gemini-Lake-chip. We hebben

een paar exemplaren van Shuttle en Zotac eens uitgebreid getest. Die apparaten hebben

bijzondere eigenschappen zoals twee netwerkpoorten, ruimte voor een 4G-modem of

een extreem klein formaat.

Ingebouwde veiligheidEen zakelijk gebruikte PCIe- of SATA-ssd in een notebook mag in verband met de AVG

buitenshuis eigenlijk alleen nog maar versleuteld worden gebruikt. Als je notebook op

Windows draait, heb je het relatief makkelijk doordat je dan Microsofts Bitlocker kunt

gebruiken.

Interactieve malware-analyseDe online sandbox any.run maakt het voor iedereen mogelijk om zonder risico's met echte

malware te interacteren. Dat maakt het vaak mogelijk om te kijken wat die software nu

eigenlijk precies doet en waar je systeem eventueel gevaar zou lopen – en laten we vooral

niet vergeten dat het stiekem nog best leuk is ook.

Windows 7: de tijd tikt ...Over minder dan een jaar is het zover: op 14 januari

2020 eindigt de support voor Windows 7. We leggen

uit wat dat voor je betekent, welke Windows-versies er

wellicht voor je openstaan – en of Linux of een ander

besturingssysteem wellicht niet een goed alternatief

voor je kan zijn.

Wijzigingen voorbehouden

Nummer 4 verschijnt op 19 maart 2019

In de volgende c't

Based on The New Intel® Xeon® processor E5-2600 v4 product family

• Accelerate Applications by up

to 30% and Run Demanding

Workloads with Record

Breaking Performance

The Industry’s Largest Portfolio of

Server and Storage Solutions

Simply Double NVMe Simply Double SAS3

GPUs/Intel® Xeon Phi™

MicroBlade

HyperScale Storage

1U TwinPro™

Intel Inside®. Powerful Productivity Outside.

03

_Q

3_

SM

_U

SP

_0

70

61

6_

Ma

ste

rFile

Learn more at supermicro.com/E5-2600v4

© Super Micro Computer, Inc. Specifications subject to change without notice. Intel, the Intel logo, the Intel Inside logo, Xeon, and Intel Xeon Phi are trademarks of Intel

Corporation in the U.S. and/or other countries.All other brands and names are the property of their respective owners. 0

3_

Q3

_S

M_

US

P_

07

06

16

_M

ast

erF

ile

SMBE Belgium

+32 495 533 245

www.smbe.be

sales@smbe.be

TWP Computer

+31 20 638 9057

www.twp.nl

info@twp.nl

NCS International

+31 544 47 0000

www.ncs.nl

info@ncs.nl

Server Storage Solution

+32 9 261 5310

www.s3s.be

sales@s3s.be

• Keep IT Green and Maximize Energy

Savings with up to 35% System

Power Efficiency Increase

• Accelerate Applications by up

to 30% and Run Demanding Workloads

with Record Breaking Performance