Goed dat mijn DNS niet op Cloudflare stond afgesteld.

Ik merkte het gisteren (17/11) al een aantal keer dat ik websites van Cloudflare niet op kwam. Het probleem is dus al langer aan de gang.

Vertrouwen wat ze blijkbaar niet waard zijn...

niet betrouwbaar...

Is een "latente bug" niet gewoon een bug?

Als ik zwaar verkouden word, dan zeg ik toch ook niet dat dat het gevolg is van een "latent" coronavirus ten gevolge waarvan mijn immuunsysteem crashte na een routinematige configuratie-aanpassing om mijn T-cellen etc. te updaten?

Dat virus was dan niet "latent", maar gewoon "virulent". Ook toen ik nog geen symptomen vertoonde.

Of is een bug opeens geen bug meer zolang er nog niks gecrasht is?

Het klinkt alsof iemand (bij Cloudflare) niet echt verantwoordelijkheid wil nemen voor het bestaan van die bug.
Wat kunnen mensen toch intens hypocriet en leugenachtig zijn.

"Transparantie over wat er heeft plaatsgevonden is belangrijk", zegt Cloudfare-cto Dane Knecht dan.

Alsof een vent met z'n broek op z'n knieën wordt aangetroffen en dan zegt: "Transparantie is belangrijk. Wat u hier ziet, is geen piemel maar alleen een latente piemel."

Mooie naam trouwens voor een oplaaiende virus/bug-besmetting in de cloud: "Cloudflare."

Wat is eigenlijk het verschil tussen een virus en een bug? Is het, als je het zelf hebt ingebouwd in je systeem, opeens geen virus meer maar alleen een (al dan niet latente) bug?

Dan is een virus dat in een gain-of-function-laboratorium wordt gemaakt, eigenlijk ook geen virus, maar alleen een latente bug.

Geen zorgen! De wereld ligt plat, maar het was gelukkig geen virus, maar alleen een latente bug. Gaat u maar rustig slapen.

M.J.

Cloudflare heeft inmiddels een blogpost erover gepubliceerd:
https://blog.cloudflare.com/18-november-2025-outage/?utm_campaign=cf_blog&utm_content=20251118&utm_medium=organic_social&utm_source=facebook,linkedin,threads,twitter/
Cloudflare heeft het daar uitsluitend over de 18e, niet al over de 17e. Een configuratiewijziging maakte dat een bug die al in hun systemen zat maar die nooit eerder geraakt was begon op te spelen. De configuratiewijziging was op de 18e om 11:05 UTC. Dit moest de omgevingen van klanten nog bereiken, en de eerste fouten die eruit voortkwamen waren om 11:28. De blogpost bevat een tabel met tijden.

Een wijziging heeft geen effect op de dag voordat die gemaakt wordt. En zeker in grote, complexe systemen kunnen makkelijk andere problemen rond dezelfde tijd optreden. Tijd alleen is niet genoeg om te concluderen dat dingen gerelateerd zijn.

Bij Cloudflare maakte men zelf trouwens net ook een soortgelijke inschattingsfout, en dat deed ze eerst de foute indruk gegeven dat ze met een aanval te maken hadden en dat heeft ongetwijfeld de oplossing vertraagd. Wat daar misging is dat hun statuspagina tijdens deze storing down ging. Die is niet op hun eigen infrastructuur gehost en er onafhankelijk van. Dat leidde tot de indruk dat men met een DDOS-aanval te maken had, iets waar ze de laatste tijd al veel mee kampen. Ga maar na: als het hetzelfde probleem was kon de oorzaak onmogelijk in hun eigen infrastructuur zitten, want daar is die statuspagina onafhankelijk van. Dan moet de oorzaak dus wel buiten die infrastructuur gezocht worden. Een volkomen logische conclusie, maar net zo fout als de aanname waarop die gebaseerd is. Het waren twee ongerelateerde problemen die toevallig tegelijk optraden.

Mensen zijn indrukwekkend sterk in het spotten van verbanden, maar daardoor ook in het zien van verbanden tussen dingen die door stom toeval iets met elkaar te maken lijken te hebben maar dat niet echt hebben. Een goede probleemoplosser heeft oog voor dat effect en behandelt zo'n overeenkomst in bijvoorbeeld tijd als een aanwijzing, maar niet meteen als een zekerheid. Elk detail dat het beeld bevestigt of juist tegenspreekt is belangrijk, en een goede probleemoplosser verzamelt alternatieve verklaringen en toetst die allemaal aan dat soort details. Vaak genoeg zijn het ogenschijnlijk kleinigheden die iets dat heel erg voor de hand lijkt te liggen onderuit halen, en soms zijn de verklaringen die juist overeind blijven en het uiteindelijk ook blijken te zijn dingen die op het eerste gezicht heel exotisch en onwaarschijnlijk lijken.

Gelukkig is het internet een decentraal netwerk en merk je er niets van als er een service omvalt.

Ik heb in mijn loopbaan als ontwikkelaar ettelijke keren meegemaakt dat een bug pas vele jaren nadat die in de code was opgenomen tot een crash of een andere fout leidde. Toevallig ontdekte ik gisteren dat in code waarmee ik nu bezig ben al ruim vier jaar een bug zit die al die tijd domweg nooit geraakt is. Dat weet ik zeker omdat hij gegarandeerd tot een crash had geleid als hij wel geraakt was, en als dat was gebeurd was hij opgemerkt en direct opgelost.

Paradoxaal genoeg is het zo dat als je software zo robuust mogelijk probeert te schrijven die juist allerlei situaties afvangt die uitermate zeldzaam zijn, en ook situaties die uitermate moeilijk in een testomgeving te produceren zijn, of zelfs onmogelijk. Ook kunnen er zeer exotische combinaties van omstandigheden zijn die tot iets leiden dat niemand vooraf wist te doorzien. Het lukt daardoor nooit om werkelijk alles voor te zijn.

In dit geval was de fout domweg nooit eerder geraakt omdat die gekoppeld was aan een configuratiekeuze die nooit eerder gemaakt was. De bug zat natuurlijk al die tijd al in de code, maar werd niet zichtbaar omdat hij (nog) niets deed. Dat is precies wat het woord "latent" betekent: verborgen blijvend of onzichtbaar blijvend. Een bug die niet geraakt wordt is beslist niet virulent. Deze bug werd pas virulent door de configuratiewijziging die veroorzaakte dat hij geraakt werd.

Wat kunnen mensen toch intens achterdochtig en wantrouwend zijn. Hou toch eens op, wat hier gebeurde is volstrekt geloofwaardig, ze zijn er daadwerkelijk open over en ze nemen er wel degelijk verantwoordelijkheid voor — alleen al door het op te lossen.

Ben jij hypocriet en leugenachtig als je na jaren ontdekt dat in een tekst die je ooit geschreven hebt een onvolkomenheid zit? Of ben je pas hypocriet en leugenachtig als je die onvolkomenheid niet erkent maar gaat proberen hem weg te redeneren of recht te praten? Dat laatste is niet wat ik Cloudflare hier zie doen. Ze erkennen en herstellen de fout.

Ja, maar eentje die niet zichtbaar werd omdat de betreffende code of condities voor de bug niet optraden.



De analogie kan wel werken.
Herpes (koortslip) is een latent virus .

Slaapt totdat de condities (moe etc) goed zijn en gaat dan weer opspelen.

Beetje meer biologie leren, dan kun je de goede analogie zelf vinden.

Wat kunnen alpha's toch nare zeikstralen zijn.

_alle_ software zit vol met bugs.

@Anoniemen vandaag om 09:55 uur en 10:26 uur.

Oké, ik was wat kort door de bocht, maar ik heb wel degelijk een punt als het gaat om het gebrek aan verantwoordelijkheidsgevoel van zo'n chief technological officer (cto) en de grote aantallen nerds die door zo iemand worden aangestuurd. Dat zit als volgt.

"Latent" komt van Latijn "lateo", d.w.z. "zich verborgen houden". Waar ik de aandacht op wil vestigen, is dat het niet een bug is die "zichzelf verbergt", maar mensen die blind een bug creëren, veelal omdat ze geen tijd hebben of menen te hebben om door henzelf ontworpen en gebouwde software (codes, algoritmes, programmatuur) beter te checken voordat ze die de wereld inslingeren. Je zou het daarom eigenlijk niet een "latente" bug moeten noemen, maar een "door programmeurs gemaakte en in het wild losgelaten" bug. Zo'n bug is geen natuurfenomeen, maar iets dat door mensen wordt gemaakt, en waarvoor mensen verantwoordelijkheid zouden moeten nemen - niet alleen achteraf als het kalf al verdronken is, maar juist al bij het ontwerpen en bouwen van software en applicaties (apps).

De hypocrisie zit erin dat zo'n cto en zijn volgnerds allemaal doen alsof computerbugs een soort natuurfenomeen zijn, waarbij zij zichzelf in de praktijk niet verantwoordelijk achten voor het ontstaan ervan, en ook niet voor de preventie ervan. Ze vinden van zichzelf dat ze zich al verantwoordelijk gedragen wanneer ze (een deel van) de rotzooi achteraf opruimen, zoals anoniem om 09:55 uur het uitdrukt:
Dat is mij te makkelijk gedacht. Hier wordt een misdadige nonchalance (van zowel beleidsmakers die klakkeloos alles willen "digitaliseren" als van de techneuten die klakkeloos doen alsof ze dat zonder ernstige risico's of nadelige gevolgen kunnen uitvoeren) genormaliseerd.

Waarom zou jij (anoniem van 10:26 uur) mij meteen een "alpha" noemen als ik breder kijk dan de vernauwde technotaal en het dito vernauwd verantwoordelijkheidsgevoel waar nerds zich toe wensen te beperken? Ik ga jou toch ook geen "peen" noemen vanwege het "beta-caroteen" in jouw versmalde denkraam? Ik kan desgewenst jouw taal wel spreken, maar jij kan een deel van mijn taal niet spreken. Je projecteert je eigen onwetendheid op mij.

Dat klopt, en dat is een reden waarom men bewust na moet gaan denken over de mate van complexiteit die men wil ontwerpen, bouwen en met elkaar verbinden, juist ook als het gaat om software. Een kennis van mij was scheepsbouwingenieur. In grote schepen ontstaan enorme trek- en andere krachten. Die moesten heel precies berekend worden, anders gebeurden er op zee, in de haven (bij het laden en lossen) of zelfs al op de werf fatale rampen. Die mentaliteit dat het goed moet zijn, die ontbreekt bij 99+% van de huidige software-ontwerpers. Het is alsof ze niet beseffen hoeveel schade hun producten kunnen aanrichten.

Je ziet dat die nonchalante mentaliteit zich nu ook uitbreidt naar rakettechnologie. Elon Musk vindt het helemaal niet erg als zijn raketten na lancering exploderen en daarbij een enorme hoeveelheid energieverspilling en vervuiling veroorzaken. Want "daar leren we van". Het hele idee van verantwoordelijkheid (rentmeesterschap) voor de omgeving (de aarde) wordt door Musk en zijn "rocket science nerds" overboord gegooid.

Als ik na jaren ontdek dat er in een tekst die ik ooit geschreven heb, onvolkomenheden zitten, dan ben ik hypocriet en leugenachtig als ik bij het opstellen van die tekst gemakzuchtig en slordig ben geweest en dan achteraf pretendeer dat dat onvermijdelijk was. Bij het opstellen van juridische teksten let ik bij het schrijven op dat ik onschuldige mensen daarmee geen schade berokken. Als dat toch zou gebeuren, dan mag je mij daarop aanspreken en dan zal ik mijn fout erkennen - als fout, dus niet als iets onvermijdelijks wat ik alleen even achteraf hoef "op te lossen" voor zover nog mogelijk.

Net zo min als de aardbevingsschade aan al die huizen in Groningen onvermijdelijk was. Het was een kwestie van hebberigheid en het wegkijken van risico's en later ook het wegkijken van duidelijke signalen die erop wezen dat die risico's van de gaswinning bewaarheid zouden worden. De bewoners van het gebied werden in essentie met opzet voor de bus gegooid. Nu wordt dat feit in alle toonaarden genegeerd en daarmee impliciet ontkend door de verantwoordelijken. Wir haben es nicht gewusst is echt niet alleen de houding die mensen na een wereldoorlog aannemen.

@Anoniem om 10:26 uur. Herpes (koortslip) is inderdaad een latent virus dat soms opspeelt bij verminderde weerstand van de drager. Maar - zeer belangrijk feit - het is niet door mensen gemaakt. Het is iets waar mensen mee geconfronteerd worden. Wie echter eenmaal weet dat hij herpes heeft, heeft ook een plicht om daar verantwoordelijkheid voor te nemen en het niet naar andere mensen te verspreiden. Persoonlijk ben ik verschillende mensen dankbaar dat zij die verantwoordelijkheid hebben genomen, waardoor ik, voorzover mij bekend, nog steeds geen herpes heb.

Dit illustreert het ethische verschil tussen:
a) een zoönotisch virus dat volledig in het wild is ontstaan;
b) een zoönotisch virus dat mede is ontstaan doordat mensen willens en wetens onzorgvuldig omgaan met natuurgebieden;
c) een virus dat in een gain-of-function-laboratorium door mensen is gemaakt.

Ik vind de techneuten die vinden dat iedereen hun brakke software maar als een gegeven moet beschouwen en dat mensen die software in alle levensgebieden en sectoren van de maatschappij maar moeten toelaten en voor lief moeten nemen, veel erger dan zeikstralen, namelijk onvolwassen donderstralen, oftewel morele kleuters met grootheidswaan, die terug zouden moeten naar de lagere school om daar wat basisfatsoen bijgebracht te krijgen.

Ik weet, dat gaat hoogstwaarschijnlijk voorlopig niet gebeuren. Het zal eerst nog aanzienlijk slechter worden, met allerlei slachtoffers tot gevolg, voordat het misschien ooit weer beter gaat worden.

M.J.

@Anoniemen om 09:55 en 10:26 uur.

Mijn reactie op jullie (gepost 12:30/12:31) is door een algoritme aangemerkt als iets dat door de redactie moet worden gepremodereerd, geen idee waarom. Nog even geduld dus...

M.J.

https://etymologiebank.nl/trefwoord/latent:
Daar staat ook in een andere definitie:
Daar staat "zich schuil houden" bij, maar niet als enige betekenis. Diezelfde afleiding ("latentem", "latens"; zonder "lateo") noemt het Engelse https://www.etymonline.com/search?q=latent ook, trouwens.

Het schijnt dat de software die destijds voor de space shuttle is gemaakt nagenoeg foutloos was. Dat hebben ze bereikt met een manier van werken en tegen kosten die zo hoog waren dat dat voor de meeste dingen bij benadering niet gaat lukken. Als iedereen zo zou werken zouden we fantastisch robuuste software hebben, maar zoveel beperkter qua mogelijkheden dan we nu hebben dat het maar de vraag is of we nu via het internet commentaren op websites hadden kunnen plaatsen.

Je gooit het echt veel te gemakzuchtig op gemakzucht van degenen die software maken en een brokkenpilotenmentaliteit. Die komt echt wel voor, maar veel beter dan dat is er ook echt wel. En ik denk dat je heel zwaar onderschat hoe complex software is.

Alleen is die misdadige nonchalance en wat je verder zegt een aanname die je doet over hoe het wel zal gaan. Ik ken Cloudflare ook niet van binnen, voor de duidelijkheid, maar ik denk dat ik genoeg van het vakgebied snap om veilig te kunnen stellen dat als het er toeging zoals jij typeert dit soort storingen schering een inslag waren bij ze, zo frequent dat geen hond hun diensten zou gebruiken. Ik heb niet de indruk dat ze zo krakkemikkig zijn.

Op zich heb ik ook regelmatig dat soort gedachten, maar dit incident triggerde dat nou juist niet bij me.

Ik vermoed dat men zich bij dingen als scheepsbouw op inmiddels eeuwen aan ervaring baseert, en dat men in die eeuwen heel wat blunders heeft begaan om van te leren. ICT is een stuk nieuwer en zit, zelfs nu nog, nog veel meer in een pioniersfase waarin dat soort ervaring wordt opgebouwd. Verder is een wezenlijk verschil dat de romp van een schip niet ergens een stalen balk heeft die maar in een van de 100 of een van de 1000 reizen ergens mee belast wordt. De belasting is, zoals je aangeeft, weliswaar heel dynamisch, maar het is wel de dynamische belasting van een statische structuur. Software is een dynamische structuur, een algoritme beschrijft een proces, dat is het hele punt ervan. Zo'n dynamische structuur is vergeven van de "balken" die maar heel incidenteel belast worden, en zelfs een hoop waar jaren overheen kunnen gaan voor er eens een belasting optreedt. Dat is een wezenlijk andere situatie dan zo'n schip.

Waarom neem je aan dat wat je nu bij Cloudflare ziet iets anders is? Waar haal je vandaan dat Cloudflare dit als onvermijdelijk heeft gepresenteerd? Zit dat in je interpretatie van het woord "latent"? Op die interpretatie valt wel wat af te dingen, zoals ik al aangaf.

Trouwens, elke fout op zichzelf hoeft niet op te treden, maar het lukt niemand om fouten volledig te vermijden.

Over juridische teksten gesproken: als ik in wetten rondneus bekruipt me regelmatig het gevoel dat juristen heel wat van computerprogrammeurs zouden kunnen leren op het gebied van structuur aanbrengen en aanpassingen aanbrengen zonder dat de zaak daar onoverzichtelijk van wordt.

Dat was ongeveer 30 jaar geleden min of meer waar.
En zelfs toen een forse simplificatie , maar goed genoeg voor de kranten om eindeloos te ronken over "bedoeld om kernoorlog te overleven" .

Mensen die bijgebleven zijn weten wel dat wat ervaren wordt als "het" Internet veranderd is naar een 'client-server' situatie met een stuk of tien, twintig "servers (google, FB e.a) " plus wat noodzakelijke support infra (mn DNS -) .

Het zou uitstekend zijn geweest, en voor verreweg de meeste mensen ook prettiger, als de ontwikkelingen m.b.t. internet wat langzamer waren gegaan, zodat mensen en maatschappelijke instellingen wat meer tijd zouden hebben gekregen om daar op een wat verstandigere manier mee te leren omgaan. Met andere woorden: meer focus op en commitment aan ambachtelijke kwaliteit van software in plaats van op snel financieel gewin, zou de samenleving een hoop ellende bespaard hebben (en nog meer ellende die we als gevolg van de overhaaste start en alle daaruit resulterende maatschappelijke onbalans in de toekomst gaan meemaken).

Ik heb de tijd vóór internet nog meegemaakt, en weet dat het prima mogelijk is om zonder internet goed te leven. Dus als de ontwikkelingen tien of twintig jaar meer hadden gevergd, dan was mijn leven hoogstwaarschijnlijk alleen maar prettiger geweest. Bovendien hadden oligarchen dan minder kansen gekregen om ons van onze grondrechten te beroven, omdat er meer tijd was geweest voor het organiseren van maatschappelijke weerbaarheid.

Digitalisering en computerisering is vooral ook een manier geweest om bepaalde wenselijke sociale ontwikkelingen, die wezen in de richting van toenemende maatschappelijke gelijkheid, af te remmen en te laten ontsporen. Ik verwijs hierbij naar Joseph Weizenbaum, van wie je beslist niet kunt zeggen dat hij de complexiteit van ICT onderschatte. Hij was een wereldberoemde hoogleraar op dat gebied. Wikipedia zegt over hem:
Wat Weizenbaum hier in de kern zegt, is dat de computer (en in het verlengde daarvan: internet) functioneert als een extra machtsinstrument voor een gevestigde elite, die haar macht daarmee bestendigt, en daarmee ook maatschappelijke ongelijkheid en uitbuiting bestendigt.

Het idee dat informatietechnologie en versnelling van technologische ontwikkeling alleen maar heil brengt, is echt uit de lucht gegrepen. Tot nu toe heeft technologische versnelling ons ook veel schade toegebracht en ons bovendien in een soort vicieuze cirkel gebracht waarin "we" (d.w.z. toonaaangevende machthebbers) de schade die technologische ontwikkeling heeft veroorzaakt, in naam proberen te neutraliseren met nog meer "techno-fixes". Lees bijvoorbeeld Goliath's Curse (Luke Kemp, 2025).

Waar baseer je jouw gedachte op, dat ik de complexiteit van software onderschat? Het is juist vanwege mijn besef van die complexiteit, dat er in mijn ogen een meer respectvolle, realistische omgang met, en meer bescheidenheid ten aanzien van de mogelijkheden en risico's nodig was en is.

In het land der blinden is eenoog koning. Jij vind dat goed genoeg. Ik zie hier op Security.nl elke week één of meer ernstige datalekken, hacks en systeemfouten in het nieuws komen, met grote aantallen slachtoffers. Ik vind dat niet goed genoeg.

Dat heeft misschien te maken met de lagere eisen die jij zou willen stellen aan software.

Dit ging om moderne, heel grote, metalen vracht- en andere schepen, in de tijd rond de Tweede Wereldoorlog. Met andere woorden, in een tijd dat de scheepsbouwtechniek een snelle ontwikkeling doormaakte.

Nu denk ik dat jij de complexiteit van de door mij genoemde scheepsbouw onderschat. Een ongeluk kon uit een extreem klein hoekje komen.

Als je denkt dat scheepsbouw per definitie minder complex is dan software, dan kan ik je alleen maar een goede nachtrust toewensen. Software kan heel simpel zijn (veel simpeler dan scheepsbouw) maar kan ook steeds complexer worden gemaakt, in principe oneindig complex. Mijn punt is nu juist dat er bewust gekozen moet worden om geen al te complexe software te maken als dit er naar alle waarschijnlijkheid toe leidt dat serieuze risico's over het hoofd worden gezien. De reële situatie is nu dat verreweg de meeste softwaremakers zich niet al te druk maken om die risico's, omdat er een cultuur is ontstaan van snel winst maken waarbij "collateral damage" normaal wordt gevonden. Het is een cultuur van ambitie èn onverschilligheid, met als devies: "Waar gehakt wordt, vallen spaanders". En: "opdrachtgever (bijv. politicus) vraagt en betaalt, dus wij draaien." En zoals dat gaat met dergelijke culturen, zijn het de meest kwetsbare mensen (en de natuur) die daar het eerst en het meest ernstig slachtoffer van worden.

Als je een software systeem maakt dat je wereldwijd uitrolt, zoals Cloudflare, dan hoort daar een navenant verantwoordelijkheidsgevoel bij. Inclusief het inbouwen van mechanismen waardoor het systeem niet overal tegelijk uitvalt. Als Hans Hobbyist in zijn garage een softwaresysteem ontwerpt dat hij alleen zelf gebruikt en dat drie keer per dag crasht, dan zul je mij niet horen klagen over gemakzuchtigheid of slordigheid. Dan zeg ik: laat die man lekker knutselen, die doet geen vlieg kwaad!

Niemand zegt dat het mogelijk is om fouten volledig te vermijden. Dit is van jouw kant een strawman-argument, en daarmee een afleidingsmanoeuvre.

Ik denk dat de gemiddelde jurist ongeveer even slordig en gemakzuchtig is in zijn/haar denken en "schrijven" als de gemiddelde computerprogrammeur, maar ik kan dat niet met cijfers onderbouwen. Jij wel?

Het is inderdaad best droevig wat er soms in wetsteksten kan worden aangetroffen. Vaak is er sprake van vaagtaal die mede het gevolg is van politieke en andere compromissen. Ook rechterlijke uitspraken zijn soms om te huilen, er lijken soms een soort standaardformules te worden toegepast om "kosmetisch" toe te redeneren naar bepaalde uitkomsten.

Maar wat heeft dat te maken met het onderwerp waar we het nu over hebben? We hebben het toch over Cloudflare? Tenzij het van jouw kant een poging is om mij in een bepaalde hoek te drukken (subtiel indirect op de man te spelen) omdat ik me met juridische ondewerpen bezig houd... Ik heb nooit beweerd dat de kwaliteit van juridische teksten hoger zou zijn dan de kwaliteit van computerprogramma's, of vice versa.

M.J.