Minister De Jonge wil corona-app voor zomervakantie af hebben

De Nederlandse minister Hugo de Jonge voor Volksgezondheid wil de app die moet helpen bij bron- en contactonderzoek voor patiënten met het coronavirus, voor de zomervakantie af hebben. Het is lang niet zeker of dat lukt.

Als de app voor de zomervakantie af is, dan kunnen mensen die in Nederland met vakantie zijn, die ook gebruiken, aldus de minister in de woensdagavond gehouden persconferentie. "Als je op vakantie bent in een vakantiesituatie weet je natuurlijk nog veel moeilijker met wie je allemaal contact hebt gehad, bij wie je allemaal in de buurt bent geweest, hoe lang dat heeft geduurd etc. Dat is een van de redenen om die app nog steeds te willen."

Een eerste test van de app vindt binnen twee weken plaats, in de tweede helft van juni volgt een tweede proef. "In de tweede helft van juni willen we die proef ook in het ‘echie’ vorm geven ergens. Ik hoop dat het net lukt op de drempel van de zomervakantie." De zomervakantie begint op scholen als eerste in het noorden van het land op 6 juli.

Ontwikkelaars toonden vorige week een eerste concept van de corona-app. De app moet op de achtergrond draaien en anonieme id's uitwisselen met andere telefoons die de app draaien, op het moment dat de telefoons meer dan tien minuten of een kwartier bij elkaar in de buurt zijn geweest. Die detectie werkt via bluetooth. De app werkt met de Exposure Notification-api van Apple en Google.

De app moet menselijk bron- en contactonderzoek ondersteunen. Bij dit onderzoek vragen medewerkers van de GGD aan mensen die in aanraking zijn geweest met personen die positief zijn getest, of ze zelf klachten hebben.

Reacties (186)

frankkie12345 3 juni 2020 21:56

Broncode van de apps hier gepubliceerd:
Android: https://github.com/minvws...-notification-app-android
iOS: https://github.com/minvws/nl-covid19-notification-app-ios

[Reactie gewijzigd door frankkie12345 op 22 juli 2024 22:49]

youridv1 @frankkie12345 • 3 juni 2020 22:40

Niet om lullig te doen, maar welke broncode? Ik zit er even doorheen te spitten en als deze github up to date is met de echte progressie is er eigenlijk nog geen app

Jeroen Sack

@youridv1 • 3 juni 2020 23:16

In de readme staat wel dat het core team in een private fork werkt vanwege hun eigen processen. Dus het zou kunnen dat ze nog niet zover zijn maar nog wachten totdat een collega het gereviewed of getest heeft.

Ik vraag me trouwens wel af waarom het project "EN" heet, komt er straks een kopie met de naam "NL"?

Xerxes249 @Jeroen Sack • 3 juni 2020 23:23

Exposure Notification

supersnathan94

@Jeroen Sack • 3 juni 2020 23:36

Apart proces dan. Heb nog nooit meegemaakt dat er in een private fork wordt gewerkt alvorens er ook maar iets naar buiten wordt gebracht. Ik zou juist hier verwachten dat je het direct publiek maakt.

PeterFortuin @supersnathan94 • 5 juni 2020 08:50

Android word ook zo gebouwd.

WillySis

corona-app

@youridv1 • 3 juni 2020 22:48

Op github staat nu voornamelijk het technisch ontwerp. Ik weet lang niet alles, maar er zijn wel een aantal stukken code geschreven. Of dit al onderdelen van de app zijn of gaan worden weet ik niet. Het kan ook om stukken code gaan die eerst nog beter getest moeten worden.

bilbob @WillySis • 3 juni 2020 22:54

als ze het niet op github zetten kunnen we het natuurlijk ook niet testen...

WillySis

corona-app

@bilbob • 3 juni 2020 22:59

Men moet het eerst zelf testen. Als het daadwerkelijk in de app komt, komt het (met wat vertraging) ook wel op Github.

supersnathan94

@WillySis • 3 juni 2020 23:34

Dat is niet hoe Git werkt 🤦🏾‍♂️

Ik zou dan op zijn minst een paar w verwachten met wat beginselen van features. Beetje jammer als je pas achteraf kunt aangeven dat iets niet goed gaat. Dan kun je dus ook pas achteraf checken of dingen wel echt niet centraal worden gedaan.

WillySis

corona-app

@supersnathan94 • 3 juni 2020 23:44

Het is hier continu een afweging van wat je openbaar maakt en wat niet.
Als iets in een vroeg stadium openbaar gemaakt wordt, dan kan men rekenen op honderden reacties. Daar gaat dan weer kostbare tijd aan verloren. Als je eerst stukken code uitvoerig test (buiten de uiteindelijke app om) en die pas op Git zet als ze daadwerkelijk in de app worden opgenomen, dan wordt het veel gemakkelijker om de echt inhoudelijk goede reacties van de onzin te scheiden en daadwerkelijk iets met de opmerkingen te doen.

djunicron @WillySis • 4 juni 2020 00:36

Maar als er dus niet werkelijk naar deze GIT wordt gecommit en dit meer een publieke schaduw kopie is, die weken achterloopt op het werkelijke werk, dan is het toch een complete wassen neus.

Voor hetzelfde geld kan je dan b.v. een hele andere backend gebruiken en onder water nog talloze andere dingen doen die in de "schone publieke" versie niet zitten. Het is als een kwaliteitssysteem; er is één waarheid, of het is fout. Als je twee SOPs hebt met dezelfde stappen erin, is dat vragen om problemen, en in conflict met de definitie.

Ik zou in dit geval er dan ook voor kiezen om ergens een harde switch te maken van interne GIT naar Github. (Of houd em zo lang even op private) Dan doe je het als je richting Alpha / Beta gaat met de app. Want inderdaad, bij een prototype of bij vrijdag middag / maandag ochtend code op de vingers worden gekeken is niet altijd wenselijk / productief.

Uiteindelijk is het richting een meer volwassen app (dit ziet eruit als enkel nog framework keuzes en dev-ops werk) is het hele punt van "openheid" dat mensen juist risico's gaan vinden en dat je er mankracht bij gaat krijgen doordat mensen pull-requests kunnen gaan insturen. Maar op een deadline is dat misschien niet wat je wilt. Maar als je dat niet wilt (of forks wilt tegen gaan) dan moet je het simpelweg niet publiek maken.

Eonfge @djunicron • 4 juni 2020 08:48

Dit is het probleem dat reproducible builds moet oplossen:

Whilst anyone may inspect the source code of free and open source software for malicious flaws, most software is distributed pre-compiled with no method to confirm whether they correspond.

This incentivises attacks on developers who release software, not only via traditional exploitation, but also in the forms of political influence, blackmail or even threats of violence.

This is particularly a concern for developers collaborating on privacy or security software: attacking these typically result in compromising particularly politically-sensitive targets such as dissidents, journalists and whistleblowers, as well as anyone wishing to communicate securely under a repressive regime.

https://reproducible-builds.org/

Meerdere Linux distributies zijn goed op weg om helemaal deterministisch te worden.

Wat betreft een Corona app. Pas als ik de app zelf kan bouwen en daarmee de zelfde hashes produceer als de Google Play Store versie, kan ik (en eventueel de rest van Nederland) weten of de app veilig is.

SeBsZ @Eonfge • 4 juni 2020 10:18

Dat gaat al niet lukken, je zal de app nooit kunnen signen zoals de officiële app, je hebt die keyfile niet. Je zal dus nooit een .apk kunnen produceren met exact dezelfde md5 hash als die op de Play Store.

Stannieman @djunicron • 4 juni 2020 07:46

Dat zelfde probleem heb je omgekeerd ook. Je kan je primaire repo op GitHub zetten en zelfs met mooie CI-integratie en alle toeters en bellen, en dan alsnog de store-versie builden van een privé-mirror met een hoop patches eroverheen gegooid.

WillySis

corona-app

@djunicron • 4 juni 2020 12:16

Men werkt in een private fork en moet ook gewoon de gelegenheid hebben om dingen uit te proberen en te testen.
Het is niet de bedoeling dat Jan en Alleman gaat zitten mee programmeren. Er zijn een aantal mensen uitgenodigd om wat sneller mee te kijken. Voor het grote publiek komt de source in delen wel online, maar dat zal zijn als het stadium van een vroege public beta is bereikt.
Op dit moment is er vooral gewerkt aan de ontwerpen en functionele beschrijving. Dat staat ook on-line. Voor zover ik weet heeft men wel wat testen met de api gedaan (maar dat kan elke ontwikkelaar). Het echte werk aan de functionele code zal rond deze dagen moeten beginnen.

sjongenelen @djunicron • 4 juni 2020 15:07

De git repo wordt de main repo waar de app mee wordt uitgerold. Ja, je verhaal klopt, maar als er nog geen app is, is er ook geen code in de repo. Er vanuit gaande dat ze een CI oplossing bouwen.

Oon

@WillySis • 4 juni 2020 08:44

Het is hier continu een afweging van wat je openbaar maakt en wat niet.

Absoluut niet. Het is heel simpel; versiebeheer is er om code te beheren, zowel tijdens het initiële ontwikkelproces als bij doorontwikkeling. Ze hoeven geen APK te publiceren, maar er is geen enkele reden waarom wij niet de code zouden mogen inzien.

timberleek @Oon • 4 juni 2020 09:03

Ik kan me wel een reden bedenken.

Kan me voorstellen dat de initiële versies vol staan met hacks, bugs, potentiele datalekken en dergelijke. Simpelweg omdat ze de basisfunctionaliteit op poten krijgen belangrijker vinden in dat stadium.

Dat openbaar maken en je weet zeker dat er overmogen een gigantisch artikel in de telegraaf staat met "CORONA APP ZO LEK ALS EEN MANDJE!".

Of het dan wel of niet gefixt wordt in een later stadium is niet mee belangrijk. "het volk" zal tot einde der tijden verwijzen naar dat krantenartikel.

!GN!T!ON @timberleek • 4 juni 2020 09:37

Kan me voorstellen dat de initiële versies vol staan met hacks, bugs, potentiele datalekken en dergelijke. Simpelweg omdat ze de basisfunctionaliteit op poten krijgen belangrijker vinden in dat stadium.

In mijn ervaring is die manier van werken de beste manier om een product op te leveren die vol met vulnerabilities zit.

hois @timberleek • 4 juni 2020 09:39

Lijkt me niet echt een goede reden. Juist als er veel bugs, hacks of eventuele datalekken in zitten is het des te belangrijk dat dit juist vroeg aan het licht komt. Als ze uiteindelijk 1 brok code neer zetten is het veel lastiger te traceren waar het probleem ligt. Je kunt dit veel beter per iteratie stukje voor stukje oppakken en oplossen alvorens een potentiële release.

Daarnaast gewoon publiekelijk, zodat je een hoop developers hebt die met je mee kijken tijdens de ontwikkeling en commentaar kunnen geven die je zelf kan afvinken als bruikbaar of niet. Als ze in 1 keer die app online gooien zeggen dat die final versie is en dan blijkt er nog van alles mis te zijn dan heb je inderdaad stront aan de knikker en krijg je krantenkoppen. Maar goed dat is mijn visie.

supersnathan94

@timberleek • 4 juni 2020 13:31

En terecht. Als er in deze fase al direct vulnerabilities ingeprogrammeerd worden dan heb je gewoon je shit niet op orde. Hier heb je immers static code analysis voor. Op het moment dat je dan ook maar 1 warning in je PR hebt zitten mag je die gewoon eerst gaan fiksen voor er ook maar naar gekeken wordt. Hoe nodig de functionaliteit dan ook mag zijn.

!GN!T!ON @Oon • 4 juni 2020 09:41

Als ik dit lees:

Keep in mind that the Google Exposure Notification API is only accessible by verified health authorities. Other devices trying to access the API using the code in this repository will fail to do so.

Dan vermoed ik dat ze uiteindelijk wel een APK moeten leveren die signed is. Zelf compileren gaat dus ook waarschijnlijk niet werken.

WillySis

corona-app

@Oon • 4 juni 2020 23:21

Ik neem aan dat je de code al in een redelijk vroeg stadium te zien kan krijgen. Als ik een functie of object maak, test ik die ook eerst, ga dan met een ander onderdeel verder en daarna test ik de vorige functie nog een keer. Als dan de laatste foutjes zijn opgelost kijk ik het nog een keer na om her en der nog wat opmerkingen te plaatsen. Pas daarna zet ik het in het versiebeheer en geef ik het vrij voor anderen om de functie te bekijken, testen en te gebruiken.
Mijn werkwijze is niet uitzonderlijk en ik neem aan dat de ontwikkelaars van de app min of meer hetzelfde werken.
Daar men nog maar net met het schrijven van de code begonnen is, zal je pas halverwege volgende week de code op GitHub kunnen verwachten.

supersnathan94

@WillySis • 5 juni 2020 13:33

Maar dat is dan ook lokaal voor je commit. Dat is niet per se een private fork waarin je de hele app volledig bouwt en daarna pas publiek zet na x weken.

Jouw lokale werk zal hoogstens een uur of wat kosten en een dag later heb je het online gepushed.

Zwarte_os @WillySis • 4 juni 2020 08:27

dan is het voor mij de afweging waard om de app dus niet te installeren. Klaar!

WillySis

corona-app

@Zwarte_os • 4 juni 2020 23:28

Ik weet niet hoe snel jij de code in github verwacht, maar men gaat heus niet "live" alle veranderingen in de editor gelijk op github zetten. Eerst even zelf testen, een dagje laten liggen, nog een keer testen en van commentaar voorzien en dan in Github. Dat lijkt mij geen vreemde werkwijze. De code is dan "af", maar in veel gevallen zal er toch nog wel aan gesleuteld moeten worden.

Als je de app niet wilt installeren omdat men niet live op github werkt vind ik dat een flauwe rede. Als men dat wel zou doen zal je de app vermoedelijk ook niet installeren.

Zwarte_os @WillySis • 5 juni 2020 08:05

Dat zijn jouw flauwe aannames, maar goed volgens ben jij hier gewoon om te trollen. De Git wordt nu gewoon gemodereerd in angst dat men grove fouten ontdekt, en daarmee wordt het hele project direct weer zo'n ambtenaren dansje-om-de-hete-brij project.

WillySis

corona-app

@Zwarte_os • 5 juni 2020 08:50

Dat is jouw aanname.
Iedereen test eerst zijn eigen code voordat die in een versiebeheer wordt gezet. De code komt echt wel op github terecht, lang voordat deze de final status heeft bereikt. Er is dan nog genoeg tijd om naar grove fouten te zoeken.
Als het gaat om het afstand meten en opslaan van "contacten" zal men de api van Google en Apple gebruiken. Die api vormt de kern van de app en daar zullen geen grove fouten meer inzitten.

Zwarte_os @WillySis • 5 juni 2020 09:53

Dat is mijn aanname gebaseerd op mijn werk met overheid. Jij beroept je op flauwe, uit de lucht gegrepen beschuldigingen en geidealiseerde processen. Zoals anderen hier al beschrijven is er een hardnekkige transparantie issue en het is niet raar om dit te linken met de inherente cultuur die ambtenaren met zich meedragen.

Vanuit hun optiek is dit ook niet gek, ambtenaren werken in een wereld waar je best doen hooguit met een schouderklopje gewaardeerd wordt en een fout het einde van je functie betekent. Maar dat betekent niet dat we daarom maar niet aan transparantie moeten vasthouden. Ambtenarencultuur moet doorbroken worden ter bevordering van een betere democratie, niet ondersteund.

WillySis

corona-app

@Zwarte_os • 5 juni 2020 20:03

Ik heb ook voor de overheid gewerkt. Ik ken echter ook het hele proces achter de app.
De GGD heeft de regie en die zijn niet gewend om open te communiceren over wat zij achter de schermen doen. De mensen die aan de app werken zijn aan de GGD uitgeleend en komen van diverse diensten. Bij de overdracht is nadrukkelijk de wens geuit om zo open mogelijk te werken. Daar de ontwerpers en programmeurs op diverse plekken zitten is de manier van werken toch al anders dan normaal. GitHub is daarbij handig om onderdelen aan elkaar beschikbaar te stellen.

Democratie heeft niets te maken met de manier van werken en hoe open men te werk gaat. Democratie heeft te maken met het kunnen kiezen van onze leiders. De Tweede Kamer heeft tot taak de regering en al haar taken te controleren. Dat hoeven we niet zelf te doen.

Dat de ambtenarencultuur niet ideaal is, ben ik met je eens. Een fout leidt over het algemeen over het algemeen niet tot ontslag. Meestal wordt er naar onduidelijke regels gewezen of schuift men de "schuld" oneindig door naar collega's of andere afdelingen.

Zwarte_os @WillySis • 6 juni 2020 08:37

Democratie heeft niets te maken met de manier van werken en hoe open men te werk gaat. Democratie heeft te maken met het kunnen kiezen van onze leiders.

Kijk, en daar zijn we het dus niet eens. Als democratie alleen daar over ging dan zou je ook niet een hele bibliotheek vol aan boeken erover kunnen schrijven.

WillySis

corona-app

@Zwarte_os • 6 juni 2020 13:11

Toch is het kiezen van de leiders en een volksvertegenwoordiging de kern van de democratie. Zo kan je dat ook in alle woordenboeken en encyclopedieën terugvinden https://www.encyclo.nl/begrip/democratie
Je kan de democratie ook op onderliggende lagen toepassen, maar dat is in ons staatsbestel niet vastgelegd. Wel is er een Wet Openbaarheid van Bestuur (WOB) waarmee iedereen een verzoek kan indienen om de bestuurlijke gang van zake zelf te controleren. Een openheid tijdens de uitvoering van een opdracht is nergens vastgelegd. De WOB werkt pas na het nemen van een besluit, dus achteraf.

Natuurlijk kan je hele boeken volschrijven over diverse implementaties van de Democratie, als staatsvorm of als bestuursvorm voor lagere overheden of bedrijven, maar hoe de democratie in ons staatsbestel werkt is vastgelegd in de grondwet en het rechtsboek. Alle andere boeken doen er niet toe.
Binnen de regels van de democratie kan de app gewoon achter gesloten deuren gemaakt worden. Als er auteursrechten op gelden, dan kan ook de code gesloten blijven. Gelukkig kiest men voor meer openheid, maar er zijn natuurlijk mensen die daar nog niet tevreden mee zijn.

supersnathan94

@WillySis • 5 juni 2020 13:35

En dat is een prima werkwijze. Dat doe je echter “normaal” niet private Forked maar wel degelijk als Feature Branch op de main repo.

supersnathan94

@WillySis • 4 juni 2020 13:29

Je kunt altijd de reacties uitzetten voor publiek. Je geeft daarmee alleen inzicht in hoe er gewerkt wordt en waarom bepaalde keuzes gemaakt worden. Dit is in mijn optiek juist de kracht van publiek gaan. Er kan nu van alles gedistribueerd worden zonder dat je dit kan checken.

Wat nou als er een kritieke fout zit die door niemand is opgemerkt in commit nummer 1? Bijvoorbeeld het toevoegen van kleurtjes in de console log dmv een dependency. https://medium.com/hacker...e-here-s-how-9a8cb347c5b5

Men trapt hier met open ogen in. Dit is een transparantie issue. Als je dit niet weet kan er van alles misgaan. Derhalve is het gewoon ontzettend belangrijk dat iedere mogelijke wijziging direct inzichtelijk is. Er zijn duizenden devs die je in kunt zetten voor peer review. Hoeft niet allemaal tegelijk natuurlijk, maar is wel handig als jet zo vroeg mogelijk doet.

skrebbel @supersnathan94 • 4 juni 2020 13:09

Onzin, dat is just precies hoe Git werkt.

Het hele idee van Git is dat het decentraal is. Dat betekent dat je zelf kunt kiezen wanneer en hoevaak je je veranderingen met wie deelt.

In de README staat zelfs duidelijk uitgelegd waarom ze dit zo doen, ik vind het geen 🤦🏾‍♂️ waard. Minvws belooft nergens dat ze er een volledig open source project van maken (met contributors, issues, PRs, codes of conduct, de hele rambam). Misschien gaan ze dat nog wel doen, maar vooralsnog dus niet. En Git laat dat zonder problemen toe, het hele idee van Git is dat dit kan (vgl met bijv Subversion, waar dat veel moeilijker zou zijn).

Ik vind het zelf ook de juiste keuze, overigens. Er zijn in NL net iets teveel "experts" die wel een beetje code kunnen lezen, maar niet genoeg snappen van ontwikkelprocessen of open source. Als ze het volledig direct "in the open" zouden bouwen, hoeft er maar één keer een commit bij te zitten die iets fout doet en de volgende dag staat in de krant dat Minvws niet te vertrouwen is.

Stel, ze maken een versie die alles in Google Firebase stopt met als doel alvast een realistische UX test te doen onder 100 testpanelleden, zodat deze test niet hoeft te wachten op de ontwikkeling van de echte backend (of peer to peer magische crypto blockchain token mesh, whatever). Commit message "store data in Firebase so we can do a UX test". Eoa paniekzaaier ziet dat, snapt niet wat "UX test" betekent maar snapt wel dat Firebase by default nou niet zo heel erg GDPR is, belt een journo van het AD en het hele land staat op z'n kop. De Jonge weer in een persco iets stamelen over "we doen echt goed ons best" en niemand behalve jij en ik snapt nog of die app nou goed of slecht nieuws is.

Nee, ze doen het precies goed. Wel open, want vele ogen vangen veel bugs, maar niet direct open, zodat ze een media-review kunnen doen voordat ze het op GitHub slingeren. Jammer dat dit moet, maar het is niet anders.

[Reactie gewijzigd door skrebbel op 22 juli 2024 22:49]

supersnathan94

@skrebbel • 4 juni 2020 13:21

Het grote probleem van private forks is altijd dat ze vaak heel ver achter lopen op datgene wat er in publiek staat.

In dit geval is het precies andersom en krijg je dus dat public mijlenver achterloopt op het daadwerkelijke werk. Derhalve kun je dit alleen als naslag gebruiken en mocht er een open source idee van worden gemaakt (wat volgens mij juist wel de bedoeling is) dan heb je er niet heel veel aan want je kunt dan pas achteraf gaan kijken wat er in de code gewijzigd is. Mocht je dan fouten tegenkomen is het veel te laat en draait iedereen al een versie die kapot is.

Daarnaast kun je dus nooit controleren of datgene wat op Github staat wel klopt met datgene wat je als update hebt gekregen.

Het minvws heeft nooit beloofd dat het volledig OSS is met contributions en PR mogelijkheden. Dat klopt. Maar dat is ook niet het punt waar het om ging met Dit project. Het ging er juist om dat iedereen de boel zsm inzichtelijk heeft en kan controleren.

Als er met een private fork gewerkt wordt kan dat dus niet en is het OSS deel dus ook een wassen neus.

Daarmee is die 🤦🏾‍♂️ Dus wel degelijk terecht. Men slaat de plank dus mis zoals anderen hierboven ook al hebben aangegeven. Er kan van alles gerotzooid zijn met de code die gecompileerd afgeleverd wordt en zonder code en reproducible builds kun je dat niet checken.

bilbob @WillySis • 3 juni 2020 23:14

ik kan niet wachten!

Antipater @youridv1 • 4 juni 2020 10:08

Het bijkt dus niet echt open source ontwikkelt te worden. Dat gaat nog closed source, en dan wordt (hopelijk) achteraf code gepubliceerd om te voldoen aan de eis van de minister. Broncode achteraf beschikbaar stellen is echter wel heel wat anders dan open source ontwikkelen.

Het is te hopen dat deze gepubliceerde code overeenkomt met de closed source versie en de officiele release.

EDIT: bij nadere inspectie zie ik dat de ontwikkelaar toch echt wel probeert zo open mogelijk te ontwikkelen en mensen te betrekken. Ik vind het niet slecht wat ik zo zie op het eerste gezicht. Mijn neiging is eerder nu ze een kans te geven en niet gelijk af te fikken enkel omdat ze primair op een private fork werken.

[Reactie gewijzigd door Antipater op 22 juli 2024 22:49]

TechSupreme @youridv1 • 4 juni 2020 07:06

Als je naar beneden scrollt voor de notes dan staat er bovenaan:

We provide this code in an early stage so that everyone can follow along as we develop the app, and to solicit feedback.

turtles3 @youridv1 • 4 juni 2020 09:19

Daarom, haastig spoed, is niet goed. Zeker niet bij software die de staat denkt uit te brengen. Het gaat nooit goed. Zelfs een nieuw paspoort op de markt brengen in de vorige eeuw was een super groot probleem. Ambtenaren die hierover gaan hebben nergens verstand van dan projecten voor veel geld verzinnen.

Luuk2015 @frankkie12345 • 3 juni 2020 23:37

Bedankt voor het delen!
Misschien een hele stomme vraag maar hoe weten wij nou dat de broncode op Github van de app is die gepubliceerd is in de stores?

donleo123 @Luuk2015 • 4 juni 2020 00:36

Je kan apps decompilen

MIB75 @donleo123 • 4 juni 2020 07:08

Je zegt dit alsof het dan appeltje-eitje is, maar dat is absoluut niet zo. Een decompiler maakt er namelijk nooit precies de code van zoals deze origineel was. Het vergt dan ook best wat onderzoek om zeker te weten dat de gepubliceerde broncode dezelfde code is als die gebruikt is voor de app.

https://en.wikipedia.org/wiki/Decompiler

Woy Moderator PRG/SEA @MIB75 • 4 juni 2020 08:11

In het geval dat je de broncode hebt, is het natuurlijk al een stuk makkelijker te valideren of die code ook daadwerkelijk die binary op zou leveren. Bij talen als Java/.NET is dat overigens een stuk eenvoudiger dan bij iets als C++. Sowieso zou het wel zo moeten zijn dat de gegevens over het bouwproces ( Compiler, Settings e.d. ) ook bekend zijn, anders is het nog steeds lastig valideren.

Antipater @Luuk2015 • 4 juni 2020 10:15

Dat is een hele goede vraag! Antwoord is: dat is een kwestie van vertrouwen. Daarom is het ook zo belangrijk dat code snel gepubliceerd wordt en er ook openlijk ontwikkelt wordt. Dat geeft meer vertrouwen. Een audit door een extern, gerenommeerd bedrijf zoals fox-it kan vertrouwen vergroten.

Een ander gevaar is: hoe weet je of wat in de store gepubliceerd is ook echt door de ontwikkelaars zelf is gemaakt? Het gebeurd geregeld dat de laptop van een ontwikkelaar wordt aangevallen en malafide code toegevoegd en gepubliceerd. Supply-chain attacks zijn dat. Die zijn erg gevaarlijk omdat de bron dan 'besmet' is. Daar zijn wel methoden voor om die tegen te gaan.

Wat ook extra vertrouwen geeft is iedereen zelf een app kan maken vanuit de broncode en installeren. Voor de meer paranoide mensen een optie, maar ook het feit dat dat kan geeft al meer vertrouwen. Een waterdichte manier is er echter niet. Dat geldt natuurlijk ook voor vrijwel alle software die je nu ook gewoon gebruikt, in dat opzicht is de corona-app niet anders dan alle andere apps, of je besturingssysteem.

EDIT: ik kan de negatieve moderatie niet plaatsen, iemand bereid uit te leggen wat er zo onacceptabel is aan deze post?

[Reactie gewijzigd door Antipater op 22 juli 2024 22:49]

Bas_f @Antipater • 4 juni 2020 20:36

Volgens mij hebben alle junior-developers van de applicatie ook een tweakers-account. Een andere verklaring heb ik niet. Je hebt iig een +1 erbij van mij.

teunw @Luuk2015 • 4 juni 2020 08:44

Met veel moeite kun je het zelf decompilen. Je zou de app ook vanuit de source kunnen installeren op je telefoon, dan weet je zeker dat je met de broncode van Github werkt

Rembert @teunw • 4 juni 2020 09:14

Vanuit de source compileren en dan gebruiken lijkt een goede lakmoesproef. Aan andere kant (advocaat van de duivel), hoe weet je zeker dat er geen code is toegevoegd aan de precompiled binaries? Je eigen gecombineerde binary vergelijken met de precompiled versie lijkt me vrij pittig: dan moeten compiler + libraries exact gelijk zijn en moeten ook dezelfde parameters zijn meegegeven aan de compiler.

Daoka @frankkie12345 • 3 juni 2020 22:45

Ik ben benieuwd hoe lang het duurt voordat de eerste persoon dit uitzoekt. Ik weet ieder geval dat ik het niet word want ik kan niet programeren. Maar ik verwacht ook wel dat sommige mensen denken van het is een project wat toch faalt dus waarom de moeite erin steken. Aan de andere kant kunnen mensen ook denken van ik ga eens proberen te bewijzen dat ik gelijk had en dus de apl onderzoeken om te proberen onderuit te halen.

frankkie12345 @Daoka • 3 juni 2020 22:46

Ik ben een programmeur, ik ga er zeker doorheen spitten. ;-)

Rabb @Daoka • 4 juni 2020 00:59

Die zijn allang begonnen. Iedere privacy/security activist die kan coden gaat dit doorspitten.

Gamebuster @Daoka • 4 juni 2020 09:58

Er zijn al een zooi mensen aan het doorlezen en voorstellen schrijven om de README te updaten

[Reactie gewijzigd door Gamebuster op 22 juli 2024 22:49]

Gamebuster @frankkie12345 • 4 juni 2020 09:55

De community helpt ook even de README's te updaten

https://github.com/minvws...ication-app-backend/pulls

Ik bedoel, wie gebruikt er nu Linux? en hoe schrijf je PostgreSQL nou eigenlijk?

[Reactie gewijzigd door Gamebuster op 22 juli 2024 22:49]

Zwarte_os @Bas_f • 4 juni 2020 08:29

Ik heb dan ook sterk de indruk dat veel mensen hier aan meedoen puur voor de LinkedIn karma

dutchnltweaker 3 juni 2020 21:58

"Als je op vakantie bent in een vakantiesituatie weet je natuurlijk nog veel moeilijker met wie je allemaal contact hebt gehad, bij wie je allemaal in de buurt bent geweest, hoe lang dat heeft geduurd etc. Dat is een van de redenen om die app nog steeds te willen."

Hoe maakt deze app contact met andere telefoons van het land waar je bent? deze hebben natuurlijk niet deze nederlandse corona app geïnstalleerd.
Of:

De app werkt met de Exposure Notification-api van Apple en Google.

wordt deze koppeling van de api gecommuniceerd met andere buitenlandse corona apps? Zo ja hoe veilig wordt er dan met deze data omgegaan, zijn genoeg landen die privacy niet zo hoog in het vandaal hebben staan net zoals Nederland.

Ben trouwens nog steeds geen voorstander van deze app omtrent privacy en effectiviteit.

[Reactie gewijzigd door dutchnltweaker op 22 juli 2024 22:49]

Tokidoki @dutchnltweaker • 3 juni 2020 22:33

Hoe maakt deze app contact met andere telefoons van het land waar je bent? deze hebben natuurlijk niet deze nederlandse corona app geïnstalleerd.

Zoals je zelf al daarna aangeeft, omdat het met de Exposure Notification-api van Apple en Google werkt, werkt het dus wereldwijd. Dit kan, omdat de getalletjes die de telefoons met elkaar delen op een wereldwijd gedeelde server staan. Er vindt geen communicatie tussen de apps plaats. De app is eigenlijk alleen een sausje over de API heen, voor zover ik het begrijp. Hieraan kan verder bijvoorbeeld nog locatie-tracking aan toegevoegd worden, echter zal deze data niet naar de centrale database gaan. Dat betekent dat dat dus ook geen invloed heeft op de privacy van ons Nederlanders.

wordt deze koppeling van de api gecommuniceerd met andere buitenlandse corona apps? Zo ja hoe veilig wordt er dan met deze data omgegaan, zijn genoeg landen die privacy niet zo hoog in het vandaal hebben staan net zoals Nederland.

Ben trouwens nog steeds geen voorstander van deze app omtrent privacy en effectiviteit.

Het mooie van hoe deze API werkt is dat het erg privacy vriendelijk is. Ik denk dat dit echt het beste is wat onze overheid heeft kunnen doen, veel beter dan zelf wat aanklooien met appathons.
Als je twijfelt aan hoe privacyvriendelijk het is, 3Blue1Brown heeft hier een goede uitlegvideo.

vosManz @Tokidoki • 3 juni 2020 23:37

Zover ik kan vinden klopt dat eerste gedeelte niet. Volgens mij is het de bedoeling dat de 'public health authority' een server opzet die de keys ontvangt van bevestigde COVID-19 gevallen, en die keys verspreid over andere devices zodat die kunnen checken. Die database lijkt mij dus land/regio gebonden, en lijkt dus niet wereldwijd te werken. De API zelf werkt wel wereldwijd op dezelfde manier, maar het bijhouden van 'besmette keys' gebeurt dus niet globaal.

Zie bijvoorbeeld de API documentatie van Google:

(Pagina 5) Internet-accessible server
Your app must be able to communicate with an internet-accessible server that you own and that performs the following functions:
Collects diagnosis keys from users who have been diagnosed with COVID-19.
When polled, distributes diagnosis keys of confirmed cases to devices.

De FAQ

7.Where is the data stored and who has access to it?
If a user decides to participate, exposure notification data will be stored and processed on device. Other than the random Bluetooth identifiers that are broadcast, no data will be shared by the system with public health authority apps unless one of the following two scenarios takes place:
If a user chooses to report a positive diagnosis of COVID-19 to their contact tracing app, the user’s most recent keys to their Bluetooth beacons will be added to the positive diagnosis list shared by the public health authority so that other users who came in contact with those beacons can be alerted.
If a user is notified through their app that they have come into contact with an individual who is positive for COVID-19 then the system will share the day the contact occurred, how long it lasted and the Bluetooth signal strength of that contact. Any other information about the contact will not be shared.
In keeping with our privacy guidelines, Apple and Google will not receive identifying information about the user, location data, or information about any other devices the user has been in proximity of.

En Google heeft zelfs een 'Open Source Reference Implementation of an Exposure Notifications server' online staan:
https://github.com/google/exposure-notifications-server

Ik heb verder niet naar Apple gekeken, maar gezien ze de API samen gemaakt hebben en Apple dezelfde FAQ online heeft staan neem ik aan dat het daarbij hetzelfde werkt.

noobz @Tokidoki • 3 juni 2020 22:45

Dit heeft +2 maar is fout volgens mij. Voor zover ik begrijp is het nadrukkelijk de bedoeling dat je in het land waar je naar toe op vakantie gaat de app van dat land installeert. Zo legde de minister het uit.

Hij wil de app dan ook klaar hebben voor de mensen die in Nederland op vakantie gaan én naar hier komen. Niet voor de Nederlanders die naar het buitenland gaan.

supersnathan94

@noobz • 3 juni 2020 23:40

Dat zou heel raar zijn. Als landen waar ik op vakantie ga alleen hun eigen voertaal gebruiken en ik dus mooi de sjaak als ik weer naar Zweden of Noorwegen ga dit jaar.

Sowieso moet je dan dus ook de duitse en deense app gaan binnenhengelen. Nou is mijn duits wel oke maar deens uiteraard niet en in noorwegen en zweden kom ik niet veel verder dan Volvo, Knäckebröd en kjötbollur.

ATS @supersnathan94 • 4 juni 2020 05:57

Nou, Zweden kan je dit jaar beter mijden: het heeft zelf nog code oranje, en je bent niet welkom op doorreis door Denemarken. Dus helaas: Den här år finns det ingen kanelbullar eller knäckebröd med ost.

supersnathan94

@ATS • 4 juni 2020 09:41

Het was uiteraard meer illustrerend bedoelt (ga dit jaar helemaal niet op vakantie namelijk), maar dit geldt natuurlijk net zo goed voor frankrijk, polen, italië, tsjechië, roemenië of zelfs Aziatische landen.

Het punt was dat het dus gebruik maakt van een internationale api en dat de app dan niet uitmaakt.

ATS @supersnathan94 • 4 juni 2020 09:44

Maar dat is dus wel zo: de app werkt helaas niet transnationaal. De API om de keys te genereren en uit te wisselen is inderdaad hetzelfde, maar de database backend om te verifiëren of je in contact geweest bent met een besmet persoon niet, noch de manier waarop je in de app kan aangeven dat je besmet bent. Je app geeft dus geen contacten met gebruikers van een buitenlandse versie van de app aan, ondanks dat je wel keys met hen zal uitwisselen.

Anoniem: 1350842 @noobz • 3 juni 2020 22:55

Nee, je moet rekening houden met wat er in andere landen wordt gebruikt. Als dat niet de Google/Apple API gebruikt dan werkt het natuurlijk niet, maar dat maakt het verhaal niet minder waar.

Tokidoki @noobz • 3 juni 2020 23:06

Ik had anders gehoord, weet even niet meer waar. Maar ben even een beetje verder gaan kijken, maar je hebt waarschijnlijk gelijk, aangezien degene die de app bouwt ook een back-end moet verzorgen, incl database.

Belangrijkste punt wat ik wilde maken is dat dit cryptografisch bewezen privacyvriendelijk is. En ik hoop dat heel veel mensen dat snappen

grrfield @Tokidoki • 3 juni 2020 23:49

Je zegt dus dat de Exposure Notification-api van Apple en Google "privacy vriendelijk" is. Heb je dit zelf nagekeken of weet je dit ook maar van de link die zelf geeft met "goede" uitleg. Wat is "goede" uitleg exact in deze?

Nu ik krijg dit toch niet geïnstalleerd op mijn Lumia 950

. Als ze me niet willen in land X omdat ik geen recente telefoon heb, dan blijf ik toch gewoon thuis en spendeer ik mijn geld in de lokale winkel in plaats van op een terras in Italië. oeps, vermoedelijke bestemming verklapt...

[Reactie gewijzigd door grrfield op 22 juli 2024 22:49]

rko4u @grrfield • 4 juni 2020 09:40

Als je een telefoon gebruikt waarop zelfs de leverancier van het OS geen support meer levert, kan je niet meer verwachten dat er nog een app voor wordt gemaakt (en ik zou ook zo weer terug gaan als dat wel zo was). Maar het lijkt me inderdaad beter met die telefoon de deur niet meer uit te gaan. En als je toch mee wil doen, heeft er vast nog wel iemand een oud android toestel (mits de api daar wel werkt en er bluetooth op zit) die je speciaal hiervoor kan gebruiken. Je hebt er geen sim voor nodig.

ATS @noobz • 4 juni 2020 05:58

Ja, helaas is er niet gewoon één app gebouwd voor heel de EU.

Glashelder

@ATS • 4 juni 2020 10:07

Dat zou ook veel te lang duren met alle wensen en eisen daar. Het ene land wil centrale opslag, het andere weer niet.

Not to mention dat er eerst nog bepaald zou moeten worden welk land de lead zou nemen in de ontwikkeling.

Prima idee maar niet uit te voeren.

svane @noobz • 4 juni 2020 10:12

Hier een tekstje van europa.eu en op TechCrunch.com nog een uitleg daarover:

Users should be able to rely on a single app independently of the region or Member State
they are in at a certain moment.

Het zou in elk geval in meerdere landen moeten werken. Met de API van Apple/Google zou dat ook geen onmogelijke taak moeten zijn

pang-frang-punk @Tokidoki • 4 juni 2020 09:21

En dat is exact hoe het dus niet werkt.
De ID's verlaten je telefoon NIET. Je geeft in je app aan da je besmet bent getest, en dan worden de ID's die overeenkomen met de tijd waarin jij reeds besmettelijk was, en die in jouw buurt zijn geweest naar een online lijst gepushed. Andere toestellen gaan die lijst ophalen met mogelijke besmettingen en komt je dan zeggen dat je kans hebt dat je besmet bent. Niet wanneer, niet door wie, niet waar, enkel dat je je moet laten testen.
En het mooie is dus dat enkel die IDs worden geupload die geimpacteerd zijn, en al de rest niet wordt na de incubatietijd weggegooid.
(tenzij ik het fout heb begrepen, verbeter me dan vooral)

Bram_H67 @Tokidoki • 3 juni 2020 22:43

als het gewoon een sausje over een API is, waarom besteden we dan geld aan deze app als andere landen die ook maken!?

DigitaldumpKing @Bram_H67 • 3 juni 2020 22:49

Omdat een API alleen maar een communicatiemiddel is tussen app en database is. Daar zit nog geen schil omheen die het voor jou duidelijk maakt hoe de app bedient moet worden. De app moet ook in het Nederlands zijn. Duitsland gaat niet een app maken in het Nederlands.

SunnieNL

@DigitaldumpKing • 3 juni 2020 22:57

Tja, dan maak je gewoon een Europese app waar je de teksten in variabelen plaatst zodat ze per land kunnen verschillen.
Vind het ook maar vreemd dat als dit inderdaad een schil om de api is, elk land hier zijn eigen geld aan gaat besteden terwijl juist dit in 1x Europees afgetikt kan worden.

Deleon78 @bilbob • 3 juni 2020 23:16

Elk land heeft zijn eigen beleid. Dat kan je niet zo maar uniform programmeren zodat elk verschil opgevangen kan worden. Dan kan je net zo goed een eigen app maken.
Bovendien, als je het centraal doet, mag je waarschijnlijk een europese aanbesteding doen en mag je een politiek besluit afwachten wie het gaat maken.

Nee, dit is een mooie elegante oplossing imho

Waah @dutchnltweaker • 3 juni 2020 22:13

Als ze geen privacygevoelige hebben, kunnen die landen er ook niets mee. Ze weten enkel een anoniem ID, geen locatie gegevens, persoonsgegevens etc....

Hakker @Waah • 3 juni 2020 22:28

Als dat zo zou zijn hoe kan de GGD dan andere mensen benaderen die met je in contact gekomen zouden zijn? Ergens wordt die data dus gelinkt.

[Reactie gewijzigd door Hakker op 22 juli 2024 22:49]

QQ2 @Hakker • 3 juni 2020 22:47

Nou volgens mij werkt het andersom (kan zijn dat ik de Google\Apple API niet goed heb gelezen hoor)

Jouw telefoon genereerd een uniek ID dat elke x tijd veranderd.
Maar laten we voor het gemak zeggen dat jij A bent.
Ik heb B en wij zitten naast elkaar.
Dan registreert mijn telefoon "hey je zit naast A" en die van jou "je zit naast B"

Als bij mij dan Corona wordt vastgesteld publiceert de GGD "iedereen die B in z'n telefoon heeft staan, meld je!'
Jouw app pakt die notificatie op, doet de vergelijking en toont de waarschuwing.

Op die manier kunnen er vaak nummers gegenereerd worden wat:

De precisie ten goede komt
Goed is voor de privacy want moeilijker individueen te tracken
goed is voor de privacy want de hoeveelheid (betekenisloze) data die zo gegenereerd wordt maakt central registratie moeilijk / onzinnig /duur

In alle eerlijkheid had ik zelf het gevoel dat de API wel goed doordacht is.
Maar then again Google en Apple hebben goede programmeurs en veel ervaring met schaalbare mobiele applicaties.
De eerste bouwers bij de app'athon bewezen dat zei dat niet hadden.
Ik hoop dat deze lichting het beter gaat doen, en het feit dat ze de source openbaar maken is in ieder geval een goede eerste stap.
Als dat zo is ga ik het wel overwegen

[Reactie gewijzigd door QQ2 op 22 juli 2024 22:49]

Richh

@Hakker • 3 juni 2020 22:37

Dit wordt hier uitgelegd: https://github.com/minvws...re/Crypto%20Raamwerk.docx pagina 18.
Kort uitgelegd: door middel van secrets die kortstondig werken en weer verwijderd worden.

aaahaaap @Richh • 4 juni 2020 07:35

Lekker al die binaries/niet plaintext files in repos

[Reactie gewijzigd door aaahaaap op 22 juli 2024 22:49]

Richh

@badboyqxy • 3 juni 2020 22:37

Dit alles is NIET hoe de app werkt. De app kijkt sowieso niet naar zendmasten.

Daoka @Waah • 3 juni 2020 22:57

Zeg dat niet te hard. Als ze bijvoorbeeld 2 of 3 besmette personen in dezelfde gebied hebben is er toch onder de juiste omstandigheden het te achterhalen. Bijvoorbeeld 4 mensen (inclusief jij) die bij een snackbar iets gingen halen. 1 was er besmet, de andere 2 hebben zich al gemeld. De snackbar heeft je op camera. Even gezichtsherkenning en je anonieme id is gekoppeld aan een naam. Al is de kans inderdaad niet zo groot dat het zo simpel zou gaan maar het kan wel.

BrainCrash @Daoka • 3 juni 2020 23:51

Er is geen locatiedata.
Dus er is helemaal niet bekend in welk gebied die vier mensen uit je voorbeeld bij elkaar waren... al helemaal niet dat dat in een snackbar was.

Enige wat je weet is dat er ergens (in het land? Op de wereld?) vier mensen bij elkaar waren waarvan er nu drie besmet zijn... wie dat waren weet je niet, waar dat was weet je niet, en waar die mensen nu zijn weet je ook niet. Mogelijk weet je ook niet eens wanneer... maar dat zouden de telefoons zelf nog wel lokaal kunnen bijhouden in hun dataset.
Meer info heb je ook niet nodig om die resterende te waarschuwen, op basis van ID.
Je hele voorbeeld met die snackbar kan dus helemaal niet.

Daoka @BrainCrash • 4 juni 2020 00:58

De app kan er zelf niets mee. Maar als ze iedereen behalve jou getest hebben en gevraagd waar ben je allemaal geweest. Alle drie melden ook de snackbar. Als alle unieke ids daar dan overeen komen heb je wel een plek. En de gezicht van de 4e persoon. Niet te zeggen dat ze zo ver gaan om de 4e persoon te achterhalen. Want aangezien die vrijwillig de app geïnstalleerd heeft zal die zich hoogstwaarschijnlijk ook wel melden voor testen. Het was alleen te laten zien dan de unieke id en persoon toch wel te achterhalen zou zijn onder de juiste omstandigheden en motivatie.

ATS @Daoka • 4 juni 2020 05:54

Je hebt gelijk. Het kan. Het kan ook zonder die app, maar het kan wel. Maar het kan niet op grote schaal. Individuen zijn altijd te traceren met voldoende inspanning, dat staat los van deze app.

Deleon78 @Daoka • 3 juni 2020 23:18

Wat is de toegevoegde waarde van de app als men al overal op elke camera gezichtsherkenning kunnen toepassen? Je redenatie houdt geen steek.

Daoka @Deleon78 • 4 juni 2020 01:09

Ik zeg niet dat het zo zal gebeuren alleen dat een unieke id toch wel te koppelen is aan een persoon onder de juiste omstandigheden en met de juiste motivatie. Maar om je antwoord te geven op je vraag.
1: Als mensen vrijwillig mee werken gaat het sneller en hebben mensen over de overheid minder negatieve meningen op dit vlak. Als dit in het geheim echt zou gebeuren dan schiet dit bij veel mensen in het verkeerde keelgat.
2: Genoeg plekken waar minder camera's zijn en de telefoon in de broekzak zit of naar de grond wijst. En zelfs al zou je in een stad zijn waar winkels veel camera's hebben dan kost het veel tijd om bij winkels de beelden op te vragen om iemand te volgen.

Woy Moderator PRG/SEA @Daoka • 4 juni 2020 08:16

Dat is ook de reden dat je niet 1 unieke ID hebt, elke tijdsperiode ( volgens mij iets van een half uur o.i.d. ) wordt er een nieuwe code gegenereerd. Deze code's zijn dus ook niet te gebruiken voor (lange termijn) tracking door anderen.

Moogles @Deleon78 • 4 juni 2020 08:32

Het is een extra oog in het panopticon.

Stannieman @Daoka • 4 juni 2020 07:54

In theorie kan dat, al lijkt me dit uitzonderlijk. Hoe groot is de kans dat die mensen in de snackbar ook niet op andere plaatsen zijn geweest? Het hoeft dus niet opgelopen te zijn in die snackbar.

En stel dat het ooit zo eens gebeurt: daarom dat de ID's ook veranderen. De volgende dag krijg je een nieuw ID en ik denk dat enkel je eigen telefoon weet dat je oude ID van gisteren en je nieuwe van vandaag beiden bij hem horen.

tailfox @dutchnltweaker • 3 juni 2020 22:34

De Google en Apple api

QQ2 @dutchnltweaker • 3 juni 2020 22:36

Volgens mij werkt deze API met een steeds wisselende ID. Dus ik heb maandag random ID's a t/m g, ik registreer contact met id's m t/m z.

Ik ben besmet overheid pushed bericht hey als jij id f & g in je lijst hebt staan moet je je laten controleren.
(f & g zijnde ik op momenten dat ik besmettelijk was)

Aangezien de ID's door de telefoon (lees Google/Apple Api) gegenereerd worden is het theoretisch mogelijk dat de coördinatoren van deze Apps elkaars waarschuwingslijsten publiceren.

Als ik echter naar de samenwerking tussen landen dusver kijk... betwijfel ik of dit de hoogste prio heeft.
Dat gezegd hebbende kan ik me voorstellen dat het meer prio krijgt als er bijvoorbeeld veel Nederlanders naar Frankrijk op vakantie gaan.
In dat geval zou uitwisseling de dekking van beide land specifieke oplossingen ook enorm kunnen verhogen

HerrPino @dutchnltweaker • 3 juni 2020 22:57

Ben trouwens nog steeds geen voorstander van deze app omtrent privacy en effectiviteit.

Ondertussen is er een wet in de maak welke telecomdata beschikbaar moet maken voor een jaar. Op dat moment maakt het niet meer uit of je die app installeert, iig niet voor de overheid. Zij kunnen dan zelfs een oude 3210 tracken.

wimdebok 3 juni 2020 23:41

Ik meen gelezen te hebben dat bluetooth niet betrouwbaar genoeg is om afstanden nauwkeurig te meten. Of is dat toch niet waar? Verder denk ik dat dit soort apps vallen of staan met hoe breed het gebruikt wordt. Zijn er al cijfers bekend hoe succesvol dit is? Kan het natuurlijk wel een bijdrage leveren.

En er zullen andere manieren bij komen om contactonderzoek te doen, ook daarvoor is dit niet volledig.

Uiteindelijk gaat erom dat er vertrouwen terug komt en dat zal uitdoven, medicijn of vaccin moeten zijn. Zodat je weer lekker met je winkelkarretje rond kan rossen naar evenementen toe kan gaan of de polonaise kan lopen.

svane @Eonfge • 4 juni 2020 10:31

Hou is op met mensen bang maken. Die app kan helemaal niemand opsporen. Verder is en blijft het gewoon vrijwillig.

Traditioneel contactonderzoek van de GGD heeft dezelfde (en meer) nadelen. Daar hoor ik dan weer vrij weinig klachten over.

Eonfge @svane • 4 juni 2020 10:43

Alsof ik dat zeg. Ik refereer letterlijk naar wat de ontwerpers van Bluetooth zeggen: Accuratie is niet hoog, dus er zullen 'false-positives' en 'false-negatives' zijn.

Dit is bekend, en we gaan door met het systeem omdat het beter dan niets is.

svane @Eonfge • 4 juni 2020 10:56

Bij elk Tweakers artikel over deze app zie ik reacties voorbijkomen met complottheorieën over het opsporen en verplichte quarantaine etc. Met termen als Coronalaaiers opsporen en isolement voor niets dacht ik dat dat hier weer het geval was. Excuses als ik er naast zit

Je hebt helemaal gelijk wat betreft het kritiek van de uitvinders van Bluetooth. Hun uitspraken kan je zeker niet negeren. Uiteindelijk ben ik heel benieuwd naar de resultaten!

Wellicht zijn een hoop problemen op te lossen, wellicht niet:

- Kan je verschillen tussen bluetooth-chipsets oplossen door de app(s) te kalibreren voor de X% meest populaire telefoons/chipsets?
- Kan je problemen met omgevingsfactoren verbeteren door de apps per land aan te passen op de locale luchtvochtigheid / smog / bouwmaterialen in gebouwen / etc.

Ik denk (en hoop) dat de waarheid ergens in het midden ligt, en Bluetooth toch stiekem betrouwbaarder is dan de uitvinders nu zeggen. Misschien zijn de uitvinders ook niet 100% meer op de hoogte van de laatste ontwikkelingen van o.a. Bluetooth Low Energy, en misschien hebben ontwikkelaars bij Google/Apple wel meer ervaring, we zullen het zien

Eonfge @svane • 4 juni 2020 11:11

Jouw verwijting is niet ongegrond. Ik gebruikte zeker wat gechargeerd taalgebruik. Had misschien iets meer tijd moeten nemen om dit uit te schrijven.

Uiteindelijk wordt dit een kwestie van een kosten/baten analyse. Als de app 70% accuraat is, dan kunnen die mensen naar de huisartsenpost voor een test. 10% blijkt dan misschien niet besmet, en 10% van de besmette mensen welke de app gemist heeft, loopt nog over straat.

Je zou dit percentage van 70% kunnen opdrijven door de marge groter te zetten, maar daardoor zal mogelijk ook de foutmarge groter worden. Je zou ook kunne proberen de foutmarge de verkleinen, maar dan vangt de app misschien minder besmette gebruikers in totaal.

Een beetje statistische analyse zou hier uitkomt in kunnen geven... al is dat wel een gevaar voor de privacy van gebruikers want dan moet je dus gaan bijhouden wie melden krijgt en wie dan vervolgens naar de huisarts gaat.

(Let op, percentages ter illustratie)

wimdebok @Eonfge • 4 juni 2020 11:49

Dankjewel! Ik zie dat dit mooie antwoord geen bijval krijgt. Nou! Bij die hackathon eerder waren er paar jongens op tv die met een app bezig geweest waren voor betalen op festivals via bluetooth, die gaven het ook al aan, bluetooth niet betrouwbaar.

Of die laatste cijfers dan kloppen, dat iedereen die app gebruik is dan wel voor een voorwaarde neem ik aan. Hoe langer ik er over na denk, kansloos verhaal zo een app. Wat mij op dit moment het meeste vertrouwen geeft dat in de omgeving waar ik woon geen nieuwe gevallen (getest, overleden) zijn, dat geeft de burger moed en enigszins vertrouwen.

Dostar 3 juni 2020 22:47

Voor mij persoonlijk vraag ik me af wat de meerwaarde is van deze app. Ik werk zelf in het onderwijs en kom uit Brabant waar tijdens de carnaval zo'n beetje het epicentrum zat. Maandag na de carnaval (voorjaar) vakantie met collega's een studie evenement gehad waar nog handen werden geschud e.d.
Wat blijk, ik heb handen geschud met een collega die naderhand positief is getest op het Coronavirus. Zelf heb ik astmatische bronchitis en diverse allergieën zoals hooikoorts. Dus persoonlijk vertoon ik al zeker 20 jaar lang symptomen die verband kunnen houden met covid-19. Tevens ben ik iets na carnaval ook ziek en best flink grieperig geweest (1.5 week lang, normaal heb ik max 3 dagen griep), maar des tijds mocht je jezelf nog niet laten testen vanwege capaciteit van tests op dat moment.
Na die 1.5 week ziek zijn nog zeker 24 uur gezond thuis gezeten en daarna weer volledig aan het werk gegaan. Ook alle collega's die tot nu toe positief zijn getest zijn inmiddels weer aan het werk.

Kortom, wat zou deze app voor mij nog kunnen betekenen? Ik heb waarschijnlijk al antistoffen in mijn lichaam zitten zonder tussenkomst van een arts of GGD.
Wat ik wel enorm graag wil is mijn bloed laten testen op korte termijn voor antistoffen, puur voor de zekerheid. Wetende dat ik het wel of niet heb gehad. En wetende dat mijn immuunsysteem ondanks mijn allergieën e.d. prima in orde blijkt, ook tegen dit virus.

Ik kan me wel voorstellen dat voor mensen die niet uit Brabant komen en niet in het epicentrum hebben gezeten het wel graag via een app willen te weten komen over hoe en wat. Maar persoonlijk denk ik dat het GGD momenteel net wat meer te bieden heeft nu testen breder beschikbaar zijn.
Ook vraag ik me af of de app op den duur ook mensen mee neemt die al positief getest zijn voordat de app lanceert. Anders is het pas een meting vanaf lancering en niet er voor.

Verder natuurlijk top dat privacy e.d. wel goed meegenomen worden in deze app.

Daoka @Dostar • 3 juni 2020 23:11

Ook vraag ik me af of de app op den duur ook mensen mee neemt die al positief getest zijn voordat de app lanceert. Anders is het pas een meting vanaf lancering en niet er voor.

Tenzij Google en Apple stiekem al de api aan het testen zijn zonder dat wij het weten zie ik niet in hoe ze kunnen dit kunnen weten.

Zer0 @Dostar • 3 juni 2020 22:58

Kortom, wat zou deze app voor mij nog kunnen betekenen? Ik heb waarschijnlijk al antistoffen in mijn lichaam zitten zonder tussenkomst van een arts of GGD.

Het is nog niet duidelijk of je ondanks de antistoffen in je bloed nogmaals ziek kunt worden. Daarnaast kan het goed zijn dat je een gewone griep gehad hebt, en helemaal geen COVID-19.

Maar persoonlijk denk ik dat het GGD momenteel net wat meer te bieden heeft nu testen breder beschikbaar zijn.

Wat denk je wat het eerste is dat de GGD gaat doen als blijkt dat je COVID-19 hebt? Een contact-onderzoek, en daar is deze app juist voor bedoeld.

JP1980 @Dostar • 3 juni 2020 23:05

Je loopt iets te hard van stapel. Het is nog helemaal niet bekend of antistoffen betekent dat je immuun bent. Dit laten onderzoeken heeft dan ook nog helemaal niet veel zin; je moet er nog steeds vanuit gaan dat je besmet kan worden ongeacht of je antistoffen hebt.

Verder gebruik je de app niet om jezelf te beschermen, want hij waarschuwt pas wanneer het voor jou al te laat is. Je installeert de app om anderen te beschermen omdat jij potentieel besmet bent.

RMYuma @Dostar • 3 juni 2020 23:56

Het is momenteel nog onduidelijk of antistoffen wel voldoende werken en zo ja, hoe lang deze dan werkzaam blijven. Er is dus een mogelijkheid dat je nogmaals besmet kunt worden.

Tests om te kijken of je het virus hebt gehad, zijn momenteel nog niet beschikbaar voor de bevolking.

fletnix2.0 3 juni 2020 22:32

Vooraf allemaal mooi hoor die screenshots en privacy voorwaarden en privacy bescherming maar toch ga ik die app niet installeren. Sowieso heb ik weinig vertrouwen in deze overheid. Hoevaak zijn we niet belazerd dior diezelfde overheid? En 'tijdelijk' is hier bijna altijd permanent. Dus ik pas. Daarnaast geloof ik niet dat een app het juiste middel is om dit corona virus te bestrijden. Ook is het onderhand een beetje mosterd na de maaltijd...

Dykam @fletnix2.0 • 3 juni 2020 22:56

Het is juist geen mosterd na de maaltijd, het is pas relevant zodra het aantal besmettingen laag is anders gaat ie te pas en te onpas af. Het is juist zodat we verder weer zo zorgeloos mogelijk kunnen leven, waarbij we andere maatregelen kunnen versoepelen in ruil voor betere tracing.

Daarnaast kan je je eigen wantrouwen botvieren op de source code en ontwerpprocess:
https://github.com/minvws...-notification-app-backend
https://github.com/minvws...-notification-app-android
https://github.com/minvws/nl-covid19-notification-app-ios
https://github.com/minvws/nl-covid19-notification-app-design
https://github.com/minvws...fication-app-coordination

Snowfall @Dykam • 3 juni 2020 23:51

Vraag is alleen hoe we gaan controleren of de app in de stores ook werkelijk alleen de code heeft die op GitHub staat. Dat het op GitHub staat betekend niet dat t heilig is. Wij kunnen op t moment niet controleren of ze niet stiekem privacy schendende code toevoegen aan de uiteindelijke app die naar de storen word gepushed zonder t op GitHub te delen.

[Reactie gewijzigd door Snowfall op 22 juli 2024 22:49]

Dykam @Snowfall • 4 juni 2020 00:14

Dat lijkt me vrij triviaal. Zeker op Android is het relatief simpel om de app te decompilen. Zelfs geobfusceerd moet het goed te doen zijn om het naast de source te leggen. Het is geen zwarte doos waar gekke patronen in opgezocht moeten worden.

En mocht het blijken dat dat gebeurd, dan zijn de rapen gaar. En dat lijkt me nogal vreemd, dat zou dan een andere partij dan de huidige ontwikkelaars moeten doen, aangezien als je het proces momenteel bekijkt steken ze bijzonder veel tijd in het afschermen van je privacy etc.

En daarnaast moet het ook door Google's proces heen, die lijkt me voor dit nog strenger dan normaal zeker aangezien elk land maar één app mag submitten.

dakka @Snowfall • 4 juni 2020 01:14

hash checken

iAR @fletnix2.0 • 4 juni 2020 14:38

Lekker negatief zeg. En vol aannames en vooroordelen.
Gelukkig voor jou hoef je de app ook helemaal niet te installeren.

PanaLover 3 juni 2020 21:54

Prima, maar dan wel met 100,00 procent zekerheid dat m'n privacy is gewaarborgd.

lucatoni @PanaLover • 3 juni 2020 22:03

Zeg je dat ook wanneer je naar het ziekenhuis gaat voor een behandeling? Of wanneer je je laat testen door Corona? Of wanneer je een uitkering aanvraagt wanneer je ziek bent. Of wanneer je aan de belastingdienst opgeeft hoeveel je afelopen jaar verdient hebt?

Snap uiteraard dat bovenstaande niet allemaal op jou van toepassing is, maar wel dat het in mijn ogen erg gemakkelijk is om een app die contact onderzoek makkelijker maakt (ook zonder app vindt contactonderzoek plaats, ook dan wordt data opslagen, maar handmatig), we alleen maar over privacy kunnen hebben.

Lapjespoes @lucatoni • 3 juni 2020 22:13

Het is niet het één of het ander. Het is allebei. Én privacy waarborging, én goede functionaliteit voor het beoogde doel mbt COVID-19.

Ziekenhuizen zijn bovendien onderhevig aan strikte privacywetgeving, zodat het enige relevante voorbeeld in jouw argumentatie niet meer op gaat.

We hebben het niet alleen maar over privacy. Het komt er wel bij en het is wel belangrijk.

Bewerk: Prima, maar ik geloof simpelweg niet dat zo'n app de privacy voldoende waarborgt en zal er dan ook geen gebruik van kunnen maken.

[Reactie gewijzigd door Lapjespoes op 22 juli 2024 22:49]

lucatoni @Lapjespoes • 3 juni 2020 22:49

Ziekenhuizen sturen facturen naar je zorgverzekeraar, waar jij middels Digid inlogt om inzage te krijgen..lijkt me dus zeer zeker relevant. Misschien nog wel veel relevanter dan een Corona app.....

Daarnaast ga jij niet in op het contactonderzoek wat zowiezo plaatsvind, met of zonder app. Ook hier wordt data van mensen opgeslagen, wat aan strenge privacy eisen moet voldoen.

PanaLover @lucatoni • 4 juni 2020 06:55

De voorbeelden die je aangeeft, daar kun je niet onder uit als je ze wilt gebruiken. Als er een app komt, die voor mij een toevoeging is op de maatregelen waar ik me sowieso toch al aan hou, dan is dat een keuze voor mij. Is de privacy 100,00 % in orde dan zal ik er waarschijnlijk wel gebruik van maken, zijn er lekken, dan gebruik ik het niet. Sowieso wacht ik een paar weken tot er duidelijkheid is over de privacy.

_Thanatos_ @lucatoni • 4 juni 2020 10:02

De dingen die je noemt, zijn vastgelegd in de wet. Die moet je opgeven.

Het bijhouden van je locatiegegevens en dat van mensen om je heen, daar is geen wet voor. Noch een wet die je verplicht dat te doen, noch een wet die de overheid beperkt in wat ze ermee kunnen uitspoken.

Whaa @PanaLover • 3 juni 2020 21:55

Overheid en privacy blijft toch een sprookje

LogiForce @Whaa • 4 juni 2020 00:37

Gelukkig heb ik een toestel dat dankzij Trump niet meer geüpdate word. Scheelt weer een kopzorg.

TheSiemNL 3 juni 2020 22:58

Ik denk niet dat er veel animo is om die app te installeren.

iAR @TheSiemNL • 4 juni 2020 14:57

En waarom denk je dat? Waarop is dat gebaseerd?

TheSiemNL @iAR • 4 juni 2020 16:09

Het vertrouwen in overheids ICT projecten is niet hoog. Daarnaast een app van de overheid die wil weten waar ik ben en vervolgens ook nog restaurants gaat vragen om de namen van degenen die op een bepaalde avonden gereserveerd hebben te melden. Dat gaat me allemaal 5 stappen te ver. Het is hier geen DDR of andere communistische heilstaat en 1984 is al voorbij.
Er is net verregaande AVG wetgeving aangenomen en dan gaan we daar nu snel aan voorbij.

Van mij mag iedereen hem installeren, maar ik hoef hem niet.

TheSiemNL @iAR • 4 juni 2020 18:06

nieuws: Minister wil restaurantsreserveringen gebruiken voor contactonderzoek...

Het vertrouwen was goed. Er is enkele jaren geleden een onderzoekscommissie ingesteld. Dit beginnen als volgt.

WOORD VOORAF VAN DE COMMISSIE
Dat de rijksoverheid een deel van haar ICT-projecten niet op orde heeft, waardoor onnodig belastinggeld wordt verspild, is een feit.

Het is dus niet alleen een mening van mij, het is een vastgelegd feit.

Eonfge @TheSiemNL • 4 juni 2020 08:54

Het is niet alsof de overheid mijn donorgegevens heeft kwijt gemaakt twee maanden terug. Gelukkig deden ze daar toen ook niet super laconiek over, want anders zou je ze helemaal nergens meer mee toevertrouwen.

O wacht.

MrMarcie @Bellamy • 4 juni 2020 11:38

Ik lees hier dat Italië al een app heeft. Waarom dan niet samenwerken. Of moeten wij weer het wiel opnieuw uitvinden?

DrCode 3 juni 2020 21:56

Hoe wil je mensen benaderen die anoniem zijn? Die zijn dus niet anoniem als je dat kan. Of het is verkeerd uitgelegd, of de techniek wordt niet begrepen, of men staat gewoon keihard te liegen over de anonimiteit in deze. Ik pas in ieder geval.

Waah @DrCode • 3 juni 2020 22:09

Hoezo? Als de app een eigen ID heeft die niet gekoppeld is aan persoonsgegevens is het gewoon anoniem. Net als de anonieme OV kaart....

ID X is ziek, dus krijgen ID Y en Z een push-notificatie want die zijn "gezien".

Dus kan prima.... De vraag is hoe ze het doen natuurlijk ;-)

jpsch @Waah • 3 juni 2020 22:24

Anonieme OV kaart? Opgeladen met je pinpas?

arbraxas @DrCode • 3 juni 2020 22:20

Ach,ze vragen de telecomgegevens van je telefoon toch wel op. Ze zien de bui al hangen dat niet genoeg mensen de app installeren.

iAR @arbraxas • 4 juni 2020 14:44

Wie vraagt je telecomgegevens toch wel op? En voor welke reden? Lekkere ongefundeerde opmerking.

arbraxas @iAR • 4 juni 2020 15:06

nieuws: Ministerie stuurt noodwet voor verzamelen van telecomdata naar Tweede...

Ja, superongefundeerde, onderbuikgevoelopmerking van ondergetekende.

En vandaag nog uitgebreid zelfs, en zeer zeker niet anoniem:
https://www.telegraaf.nl/...horecabezoekers-gebruiken

[Reactie gewijzigd door arbraxas op 22 juli 2024 22:49]

Dykam @DrCode • 4 juni 2020 09:20

Er wordt dus niemand benaderd via de app. De zieke persoon upload een lijst van nummers die hij de afgelopen twee weken heeft uitgezonden, die zijn niet te herleiden tot deze persoon. Jouw telefoon kijkt periodiek of de nummers die jij hebt ontvangen uit mensen in de buurt, in die geuploade lijst staan.

Zo wordt er niemand benaderd.

iAR @DrCode • 4 juni 2020 14:42

Misschien moet je je dan toch even inlezen in de techniek.

Per ontmoeting wordt een ID (van die ontmoeting) opgeslagen op beide toestellen. Als iemand besmet raakt dan moet diegene toestemming geven de ID's up te loaden naar een server. Die stuurt de andere partij van de ID's een push.
Alle ID's worden na 2 weken sowieso gewist.

Waah 3 juni 2020 22:11

Wat ik zie vanaf de screenshots:
Geen persoonsgegevens
Anonieme app is
Geen GPS gegevens of locatie gegevens.

Klinkt best goed. Ook 10 a 15 minuten in de buurt van elkaar is pas een trigger.

Richh

@Waah • 3 juni 2020 22:32

Het ziet er inderdaad vrij goed uit, dat mag ook wel eens gezegd worden. Interessant is https://github.com/minvws...re/Crypto%20Raamwerk.docx waarin de architectuur van de applicatie wordt uitgetekend, inclusief een aantal flowcharts.

Men is er écht mee bezig om geen persoonsgegevens op te slaan en heeft daadwerkelijk vragen uitstaan bij Google hoe hun API's exact werken om zeker te weten dat er niks geks op de achtergrond gebeurd.

Dit is ook volledig controleerbaar gezien alles open source gebeurd en wij als burgers kunnen controleren hoe de app in elkaar steekt.

Volgens mij is men wel degelijk op de goede weg. Laten we nou eerst eens kijken wat men daadwerkelijk aan het doen is voor we ons oordeel al klaarleggen over 'de overheid en ICT' en 'privacy kan onmogelijk goed gaan'. Als het naar jouw idee niet klopt, geef dat dan aan bij de rijksoverheid ipv hier de comments te vullen...

Rutix @Richh • 3 juni 2020 22:50

https://github.com/minvws...olution%20Architecture.md en https://github.com/minvws...ture/Crypto%20Raamwerk.md zijn wat beter te lezen dan de docx

MarcoC @Waah • 3 juni 2020 22:59

De app gaat gebruiken maken van de Google en Apple API. Die werkt niet met data van zendmasten of GPS, maar op basis van bluetooth.

Pathogen 3 juni 2020 21:57

Korte deadline, overheid en een project dat potentiëel ontzettend privacygevoelig is... Ik zie het nog steeds niet zitten om dit te gebruiken voordat er een driedubbele peer review overheen is geweest.

kaghy2 @Pathogen • 3 juni 2020 22:07

Korte deadline, overheid en een project dat potentiëel ontzettend privacygevoelig is... Ik zie het nog steeds niet zitten om dit te gebruiken voordat er een driedubbele peer review overheen is geweest.

Kijkend naar de historie, zal dit waarschijnlijk floppen.

Op dit item kan niet meer gereageerd worden.

Minister De Jonge wil corona-app voor zomervakantie af hebben

Lees meer

Reacties (186)

Sorteer op:

Weergave: