Wil je bepaalde webdiensten die binnen je netwerk draaien op een veilige manier beschikbaar maken van buitenaf, zodat je ze bijvoorbeeld onderweg of op reis kunt gebruiken? Dan is een reverse proxy een ideale oplossing. We laten in dit artikel zien hoe je dit opzet met Nginx en hoe je dit vervolgens optimaal kunt beveiligen.

Code downloaden

Het is vaak erg praktisch om de webinterface van apparaten zoals je NAS beschikbaar te maken voor toegang van buitenaf. Hetzelfde valt te zeggen voor webdiensten die in je netwerk draaien. Denk aan toepassingen als Nextcloud, Airsonic, een WordPress-blog of software voor thuisautomatisering zoals Home Assistant en Domoticz. Het geeft vaak geen goed gevoel om deze toepassingen publiek toegankelijk te maken door een poort in de router open te zetten. De toepassingen zijn immers standaard niet altijd (goed) beveiligd. 

Het kan ook zijn dat je de beveiliging niet voldoende kent of vertrouwt. Veel veiliger is het gebruik van een reverse proxy die al het verkeer afvangt. Daarmee kun je ook meteen de toegang beveiligen en eventueel toegangsbeperkingen instellen. Zo kun je bijvoorbeeld alleen bepaalde ip-adressen toelaten of alleen lokale netwerkgebruikers. Ook een extra beveiliging met gebruikersnaam en wachtwoord is mogelijk. In dit artikel laten we zien hoe je een reverse proxy kunt gebruiken en hoe je extra toegangsbeperkingen instelt!

Werking een reverse proxy

Een reverse proxy is (bij voorkeur) een aparte server in je netwerk die verzoeken doorsluist naar de doelserver en daardoor als een soort schild werkt. Geen enkele gebruiker communiceert immers rechtstreeks met de doelserver. De reverse proxy mag een lichte server zijn, er worden geen zware eisen aan gesteld. Zelfs een Raspberry Pi is geschikt. Op basis van een domeinnaam kan de reverse proxy beslissen voor welke webdienst het verkeer is bedoeld. Je kunt deze server dus flexibel voor uiteenlopende toepassingen inzetten. 

Bovendien kun je ook direct een https-certificaat van bijvoorbeeld Let’s Encrypt gebruiken om verkeer via een versleutelde verbinding mogelijk te maken. Dat is met name belangrijk voor toegang van buitenaf, om te voorkomen dat bijvoorbeeld inloggegevens onderschept kunnen worden. Het https-adres kun je behalve voor toegang vanaf internet ook – zonder de bekende certificaatfouten – vanuit je lokale netwerk gebruiken. Dit wordt steeds vaker aanbevolen, ook met het oog op ransomware.

Als extra beveiliging kun je op het niveau van de reverse proxy allerlei toegangsbeperkingen instellen. Denk aan autorisatie of het uitsluiten van ip-adressen. Een reverse proxy kan overigens niet alleen de veiligheid verbeteren, maar ook de prestaties of betrouwbaarheid. Al richten we ons in deze masterclass op het beveiligingsaspect.

Router instellen

Je zou een reverse proxy op dezelfde server kunnen draaien als de webdienst(en) die je daarmee wilt benaderen, zolang er geen poortconflicten zijn. Een apart systeem is echter veiliger, bij voorkeur met Linux als besturingssysteem. Als proxyserver gebruiken we het bekende Nginx, wat voor dit doel ook een van de populairste opties is. Je zou datzelfde systeem met Nginx overigens ook prima voor het hosten van een blog kunnen gebruiken, het één sluit het ander niet uit. We gaan zowel poort 80 (http-verkeer) als 443 (https-verkeer) doorsturen vanaf de router naar de proxyserver, middels portforwarding. Beide poorten zijn nodig voor het aanvragen van certificaten en afhandelen van http- en https-verkeer. 

Ook laten we straks het http-verkeer omleiden naar https (door de proxyserver). Het instellen van portforwarding verschilt per router. Op www.portforward.com vind je eventueel instructies per merk en model router. De principes zijn wel steeds gelijk. Je stuurt het externe inkomende verkeer naar een bepaald poortnummer door naar een bepaald ip-adres en poort binnen je lokale netwerk. Extern kiezen we poort 80. Dit verkeer sturen we door naar het ip-adres van de proxyserver en eveneens poort 80. We maken ook zo’n regel voor poort 443. Vergeet niet om de configuratie in je router te bewaren voordat je verdergaat.

©PXimport

Subdomeinen instellen

We kiezen ervoor om de proxyserver steeds op basis van de domeinnaam te laten beslissen steeds voor welke dienst verkeer bestemd is. In deze masterclass gebruiken we één domeinnaam met voor elke webdienst een aparte subdomein. Een domeinnaam kost afhankelijk van je provider vanaf zo’n 8 euro per jaar. De gewenste subdomeinen kun je gratis en onbeperkt toevoegen zolang je zelf de DNS-instellingen beheert. Stel dat je bijvoorbeeld domein.nl hebt gekozen als domeinnaam, dan kun je nextcloud.domein.nl gebruiken voor Nextcloud en nas.domein.nl voor je NAS.

We zorgen er op de proxyserver voor dat de subdomeinen via een geautomatiseerd proces een Let’s Encrypt-certificaat krijgen. De eerste stap is het instellen van de subdomeinen bij de provider. Als voorbeeld gebruiken we het domein xda.nl bij provider TransIP. Voor de DNS-instellingen kun je terecht in het controlepaneel. Als naam vullen we bijvoorbeeld nextcloud in, zodat de Nextcloud-installatie straks bereikbaar is via nextcloud.xda.nl. We kiezen voor een zogeheten A-record waardoor we als waarde direct het ip-adres van de internetverbinding thuis kunnen invullen. Je voegt op vergelijkbare wijze subdomeinen toe voor andere webdiensten die je hebt draaien. Let op dat het na een DNS-wijziging tot 24 uur kan duren voordat de wijzigingen merkbaar zijn, door caches van onder meer je internetprovider.

©PXimport

Installatie reverse proxy

Zoals gezegd gebruiken we Nginx als reverse proxy. Er worden geen hoge eisen gesteld aan het systeem. Je kunt zelfs een Raspberry Pi gebruiken. Wij kiezen hier voor een kleine server met Ubuntu, maar je zou eventueel ook een virtualisatieplatform kunnen gebruiken zoals Proxmox VE of kunnen werken met Docker. Zorg dat je toegang hebt tot de opdrachtregel, bijvoorbeeld via ssh. Vervolgens installeer je Nginx met het commando:

sudo apt install nginx

Start hierna de webserver met:

service nginx start

Bezoek vervolgens het ip-adres van de server en controleer of de welkomstpagina van Nginx verschijnt. We gaan vervolgens Certbot installeren voor het maken van Let’s Encrypt-certificaten. We kiezen ervoor om de versie uit de pakketbronnen van Ubuntu te installeren. Hiervoor geef je de opdracht:

sudo apt install certbot python3-certbot-nginx

Voor instructies voor andere besturingssystemen kun je ook altijd kijken op https://certbot.eff.org/instructions.

©PXimport

Configuratie voor Nextcloud

In Nginx gaan we voor elke clouddienst een apart configuratiebestand maken met daarin alle vereiste details. Je zou eventueel ook alles in één configuratiebestand kunnen zetten, maar aparte bestanden zijn overzichtelijker, zeker als je veel extra opties gaat gebruiken. Op basis van de (sub)domeinnaam zijn diensten van elkaar te onderscheiden. We noemen dat ook wel de hostnaam. Je kunt één configuratie als zogeheten default gebruiken. Die configuratie wordt dan altijd gebruikt als de hostnaam niet wordt herkend. Als voorbeeld maken we een configuratiebestand voor Nextcloud. De locatie van configuratiebestanden is standaard /etc/nginx/conf.d. Blader naar deze map met het commando:

cd /etc/nginx/conf.d

Maak daarna het configuratiebestand met:

nano nextcloud.conf

In eerste instantie hoef je hier alleen onderstaande regels in te zetten:

server {

listen 80;

server_name nextcloud.xda.nl;

}

Controleer de configuratie op eventuele fouten met:

nginx -t

Certificaat maken

We kunnen nu het Let’s Encrypt-certificaat maken met de opdracht certbot. De eerste keer wordt om een e-mailadres gevraagd en moet je akkoord gaan met de gebruiksvoorwaarden. Hierna kun je steeds kiezen voor welke naam je het certificaat wilt maken. We drukken in dit voorbeeld op 1 voor nextcloud.xda.nl. Als laatste kies je of http-verkeer moet worden omgeleid naar https. Dat betekent dat iemand die de http-pagina (http://nextcloud.xda.nl) bezoekt, wordt doorgezet naar de https-pagina (https://nextcloud.xda.nl). We raden aan dit te gebruiken. Certbot zal de configuratie hierop aanpassen. Open vervolgens het configuratiebestand met teksteditor nano en bekijk wat er is veranderd:

nano nextcloud.conf

De inhoud van het configuratiebestand behandelen we in de volgende paragraaf. Ook voegen we een blok toe voor de reverse proxy.

©PXimport

Blok voor reverse proxy

In de aangepaste configuratie zie je twee blokken, elk omsloten door server {}. Een van deze blokken bevat maar enkele regels, waaronder deze:

server {

listen 80;

server_name nextcloud.xda.nl;

return 301 https://$server_name$request_uri;

}

Dit blok ‘luistert’ naar poort 80 voor http-verkeer, zoals aangeven achter listen, en dan specifiek naar de domeinnaam nextcloud.xda.nl, zoals aangeven achter server_name. Het blok bevat vervolgens alleen de doorverwijzing naar https achter return met een 301 response-code (‘moved permanently’). Het andere blok is voor de https-configuratie. Aan dat blok zijn verwijzingen naar de ssl-certificaten toegevoegd, zodat we daar niets meer aan hoeven te doen. Wel moeten we de regels voor de reverse proxy nog toevoegen binnen een blok location. Deze configuratie kan per webdienst soms wat afwijken. Enkele keren zijn aanvullende parameters nodig of gewenst. De configuratie voor Nextcloud is zoals in het volgende codeblok.

©PXimport

Parameters voor proxyserver

De cruciale parameter is proxy_pass. Hierachter zet je het adres van Nextcloud waar de verzoeken naar doorgestuurd moeten worden. Dat kan een ip-adres zijn, maar ook een domeinnaam. In ons voorbeeld is dat http://10.0.10.230. Je kunt er ook een poortnummer in opnemen, zoals http://10.0.10.230:8000. De andere opties, zoals de regels met proxy_set_header, kunnen verschillen per webdienst en zijn niet altijd nodig. De hier getoonde regels zijn optimaal voor Nextcloud. De headers informeren de doelserver onder meer over het originele ip-adres en de originele hostnaam van de bezoeker. Controleer na het maken van de aanpassing de configuratie met:

nginx -t

Herstart vervolgens de webserver met:

service nginx reload

Controleer daarna of je de Nextcloud-installatie via https://nextcloud.xda.nl kunt bereiken en of de browser het certificaat accepteert. Deze domeinnaam is slechts ons eigen experimentele domein, dus als jij als lezer dit letterlijk in je browser intikt, dan werkt dat natuurlijk niet.

©PXimport

Toegang via een niet-vertrouwd domein

©PXimport

Alleen lokale netwerktoegang?

Wil je de toegang om veiligheidsredenen beperken tot enkele ip-adressen of gewoon alle gebruikers op het lokale netwerk? Je zou dat eventueel in de configuratie van Nextcloud kunnen regelen. Maar het is veel handiger om dit gewoon op het niveau van de reverse proxy in te stellen. Je hoeft maar enkele regels aan de configuratie toe te voegen. En je kunt dezelfde regels gemakkelijk in andere configuratiebestanden gebruiken. Je kunt ook, zoals we hierna toelichten, de regels in een apart bestand zetten waar je in je configuratiebestand(en) naar verwijst. Met de aanpassing die we gaan maken, is toegang alleen mogelijk via het lokale netwerk. Evengoed kan nog steeds https://nextcloud.xda.nl worden gebruikt. Je profiteert dus van een veilige https-verbinding met een geldig https-certificaat en een eenvoudig te onthouden adres. We voegen hiervoor enkele blokkades op ip-adres toe.

Whitelisten gebruiken

Via allow- en deny-regels kun je individuele ip-adressen blokkeren of toegang geven. Ook kun je via één regel een compleet adresbereik toegang geven, bijvoorbeeld alle gebruikers op je lokale netwerk. De aanpassingen maken we in het blok location. De regels zet je bovenaan, zodat ze direct van kracht zijn en je deze ook direct herkent. Wil je een bepaald ip-adres toegang geven, dan voeg je een regel allow toe met daarachter het ip-adres. Dat werkt echter alleen voor internetadressen. Het probleem is namelijk dat verzoeken vanuit je lokale netwerk worden omgeleid in je router, waardoor ze altijd van je router afkomstig lijken te zijn. Er wordt in dat geval dus niet naar het werkelijke ip-adres gekeken van de gebruiker. Dat kun je in het logbestand controleren met de opdracht:

cat /var/log/nginx/access.log

Hier zie je voor elk verzoek steeds een regel die begint met het geregistreerde ip-adres. Hier gebruiken we allow en deny daarom alleen om bepaalde gebruikers vanaf internet toe te laten en daarnaast álle gebruikers op het lokale netwerk. Eventueel stel je met de geo-module wat flexibeler toegangsrestricties in, maar in deze masterclass gebruiken we die niet.

©PXimport

Regels maken

Om individuele gebruikers op basis van het ip-adres toegang te geven, vul je gewoon het ip-adres in achter de aanduiding allow. Als voorbeeld geven we de gebruiker met ip-adres 80.70.123.50 toegang. Daarnaast geven we alle gebruikers op het lokale netwerk toegang. Je kunt zo’n adresbereik in de zogenoemde CIDR-notatie invullen. Dat is in dit voorbeeld 10.0.10.0/24, maar in jouw situatie kan het ook bijvoorbeeld iets zijn als 192.168.1.0/24. Sluit af met een deny all om het andere verkeer te blokkeren. De configuratie is dan als volgt:

allow 80.70.123.50;

allow 10.0.10.0/24;

deny all;

Zulke regels worden stap voor stap doorlopen, totdat er een passende regel is. In dit voorbeeld zal de gebruiker met ip-adres 80.70.123.50 toegang krijgen. Ook zullen alle gebruikers in het lokale netwerk 10.0.10.0/24 toegang krijgen. Dat zijn alle adressen van 10.0.10.1 tot en met 10.0.10.255. Als er nog geen match is, zal de volgende regel met deny all ervoor zorgen dat alle andere ip-adressen worden geblokkeerd. Vergeet niet om de configuratie weer actief te maken met:

service nginx reload

Als je het handig vindt kun je dit soort regels ook in een apart bestand zetten (zie het kader ‘Whitelist via configuratiebestand’) waar je vervolgens naar verwijst.

Whitelist via configuratiebestand

Toegang via wachtwoord

Wil je de toegang nog wat beter beveiligen, dan gebruik je http-authenticatie. Er zijn dan een gebruikersnaam en wachtwoord nodig om in te loggen. We hebben een kleine tool nodig om een wachtwoordbestand te maken. Als voorbeeld gebruiken we apache2-utils. Let wel, we gaan de webserver (Apache) waar deze tool voor is ontwikkeld niet installeren op dit systeem, omdat het zou conflicteren met Nginx. Maar deze losse tool kunnen we prima installeren en gebruiken. De apache2-utils-tool installeer je met de opdracht:

sudo apt install apache2-utils

Maak hierna een map aan waarin het wachtwoordbestand wordt bewaard met:

mkdir /etc/apache2

Met de volgende opdracht voeg je een gebruiker toe (hier: gertjan):

sudo htpasswd -c /etc/apache2/.htpasswd gertjan

Er wordt daarbij twee keer om het wachtwoord gevraagd. De optie -c zorgt ervoor dat het wachtwoordbestand wordt aangemaakt. Voor elke volgende gebruiker die je toevoegt, moet je deze optie daarom weglaten, zoals:

sudo htpasswd /etc/apache2/.htpasswd peter

In het blok location voor je reverse proxy maak je de authenticatie actief door de volgende twee regels toe te voegen:

auth_basic "Toegang beperkt";

auth_basic_user_file /etc/apache2/.htpasswd;

©PXimport

Methodes combineren

Je kunt toegangsrestricties voor ip-adressen en authenticatie combineren. Zo kun je er bijvoorbeeld voor kiezen om gebruikers alleen toegang te geven als ze een geldig ip-adres hebben én zijn geautoriseerd. Je begint in het blok location dan met een regel satisfy all, gevolgd door de regels met allow en deny om bepaalde ip-adressen of adresreeksen toe te laten dan wel te blokkeren. Daarna volgen dan de regels voor authenticatie. Dit ziet er bijvoorbeeld als volgt uit:

satisfy all;

allow 10.0.10.0/24;

deny all;

auth_basic "Toegang beperkt";

auth_basic_user_file /etc/apache2/.htpasswd;

Een andere optie is het gebruik van satisfy any in plaats van satisfy all. Met deze kleine aanpassing wordt verkeer toegelaten als de gebruiker aan één van de condities daaronder voldoet. Dat betekent dat deze ofwel een geldig ip-adres moet hebben óf een geldige authenticatie. Dat komt er in de praktijk op neer, dat alleen om authenticatie wordt gevraagd vanaf een niet-toegelaten ip-adres.

Automatisch vernieuwen certificaten

Wat hebben organisaties als KRO-NCRV, NS, Bits of Freedom en Oxfam Novib met elkaar gemeen? Dat ze niet langer actief zijn op het socialmediaplatform X. Waarom willen ze dat niet meer? Wat speelt er bij X? Welke alternatieven zijn er?

Sinds juli 2023 voegden veel media maandenlang ‘Twitter’ toe achter elke vermelding van X. Velen moesten namelijk nog wennen aan de nieuwe naam. Elon Musk, die Twitter in oktober 2022 voor 44 miljard dollar kocht, vond dat X beter paste bij zijn visie om het microblogging-platform om te vormen tot een allesomvattend digitaal ecosysteem, vergelijkbaar met WeChat in China. Musk lijkt trouwens een opvallende affiniteit te hebben met de letter X, wat ook zichtbaar is in projecten als SpaceX, Tesla Model X en xAI. Veel gebruikers waren niet gerust op deze overname, en niet geheel onterecht, want Musk heeft inmiddels ingrijpende veranderingen doorgevoerd.

X: aanpassingen

Kort na de overname herstelde Musk eerder geschorste accounts, waaronder die van controversiële figuren als Donald Trump, Andrew Tate en Kanye West. Het platform stopte bovendien met het handhaven van het beleid tegen desinformatie rond Covid-19. En waar vroeger een gratis verificatiesysteem was, waarbij Twitter invloedrijke personen en organisaties een blauw vinkje gaf, is dat nu puur commercieel: wie betaalt, krijgt een vinkje. Het staat niet langer voor authenticiteit, maar toont enkel aan dat een gebruiker betaalt voor X Premium en zo extra functionaliteit en zichtbaarheid krijgt.

Daarnaast introduceerde X de For You-feed, een sectie met aanbevelingen op basis van gebruikersvoorkeuren en -gedrag, maar ook beïnvloed door strategische beleidsbeslissingen. Dit gebeurt via een AI-gestuurd algoritme, waarvan slechts delen openbaar zijn gemaakt, wat vragen oproept over transparantie en mogelijke bias.

Het moderatiebeleid veranderde eveneens. Tweets die de richtlijnen schenden, worden niet meer verwijderd, maar zijn enkel minder zichtbaar (‘Freedom of Speech, Not Reach’). Daarnaast is er een verschuiving naar gemeenschapsgestuurde moderatie (‘Community Notes’), waardoor factchecking minder centraal en vaak trager verloopt.

De algoritmen van X roepen bij velen vragen op over de transparantie en mogelijke bias.

Fediverse

Musk zelf noemt deze aanpassingen democratischer, maar voor veel gebruikers hebben deze aanpassingen geleid tot een meer toxische inhoud. Daarbij worden specifieke groepen kritisch bekeken en beoordeeld, onder wie liberalen en de LGBTQ+-gemeenschap.

De cijfers lopen uiteen, maar de meeste bronnen zijn het er wel over eens dat heel wat gebruikers en organisaties het platform hebben verlaten sinds de overname door Musk.

Twee jaar geleden leek er maar één echt alternatief te zijn: Fediverse, dat gebruikers meer controle gaf over hun data en de moderatie.

Fediverse is een samentrekking van ‘federated’ en ‘universe’ en kun je zien als een netwerk van onderling verbonden platformen en servers, die onafhankelijk worden beheerd door organisaties of individuen. Bij traditionele socialmediaplatforms ben je afhankelijk van één centrale organisatie. Daardoor kun je met bijvoorbeeld een Instagram-account niet zomaar gebruikers van X bereiken. De gemeenschappelijke protocollen binnen het Fediverse, zoals het populaire ActivityPub, maken onderlinge communicatie juist wel mogelijk. Je kunt dus een account aanmaken op een server en vervolgens communiceren en gegevens uitwisselen met gebruikers op andere platformen. Binnen het Fediverse beweeg je dus vrijelijk tussen verschillende servers en platformen.

Het Fediverse-netwerk bevat talrijke platformen, waarvan de meeste door het ActivityPub-protocol zijn verbonden (afbeelding: Per Axbom, CC BY-SA 4.0, Wikimedia Commons).

Mastodon

Mastodon was – en is nog steeds – het populairste Fediverse-platform, maar dat bleek helaas niet geschikt voor het grote publiek. Veel (mainstream) gebruikers vonden het namelijk verwarrend dat ze zelf een server moesten kiezen bij registratie. Ook de interface en gebruikerservaring waren minder gestroomlijnd dan bij Twitter/X. Door de decentrale structuur werkten sommige servers ook traag of werden ze slecht beheerd.

Daarnaast bood Mastodon slechts beperkte ondersteuning voor video en live-updates en ontbraken universeel doorzoekbare inhoud en trending topics, waardoor populaire discussies moeilijker te volgen waren. Bekende personen waren er ook nauwelijks actief, en veel gebruikers hadden moeite om hun sociale netwerk opnieuw op te bouwen. Eind 2023 bereikte Mastodon een piek in regelmatige bezoekers, maar de groei vlakte al snel af.

De interface van Mastodon, met vertrouwde ingrediënten als tijdlijn, meldingen en favorieten.

Threads

Mastodon behoudt weliswaar een niche bij privacybewuste en opensource-enthousiastelingen, maar bleek dus te ingewikkeld en gefragmenteerd voor de doorsneegebruiker. Vanaf eind 2023 zochten velen daarom hun toevlucht tot traditionelere sociale netwerken als LinkedIn, Instagram en vooral Threads.

Dit laatste platform werd medio 2023 door Meta (Mark Zuckerberg) gelanceerd als reactie op de groeiende kritiek op Twitter/X. Het is direct gekoppeld aan Instagram, waardoor gebruikers hun bestaande account kunnen gebruiken.

De interactiemogelijkheden binnen Threads lijken sterk op die van X, met opties als liken, citeren, posten en reageren. Ook doet het veel denken aan het oude Twitter: je volgt zelf mensen of vertrouwt op het algoritme. Volgens veel gebruikers is dit algoritme vooral ontworpen om politieke discussies en nieuwsverwijzingen te mijden. Al kun je zelf wel bepaalde mensen volgen. Het platform toont daarnaast vaak berichten die reacties willen uitlokken (‘engagement bait’). Op dit platform vind je veel beroemdheden en influencers, en de meeste content is vrij luchtig.

Threads werkt trouwens ook aan ondersteuning voor het ActivityPub-Fediverse, wat de dienst compatibel maakt met onder meer Mastodon.

Ook bij Threads kun je zelf bepalen wie je wilt volgen.

Bluesky

Hoewel Threads momenteel veel meer maandelijkse gebruikers heeft (circa 275 miljoen), trekt ook het microblogging-platform Bluesky tegenwoordig een groeiend aantal voormalige X-gebruikers aan (circa 30 miljoen). Ter vergelijking: X zou nu nog zo’n 500 miljoen maandelijkse gebruikers tellen, terwijl Mastodon er ongeveer 15 miljoen heeft.

Bluesky wordt gerund door Bluesky Social. Het werd begin 2023 officieel gelanceerd, maar ontstond al in 2021, opgericht door Jack Dorsey, medeoprichter van Twitter.

Net als Mastodon is Bluesky een gedistribueerd netwerk, maar het is wel gebruiksvriendelijker, mede dankzij het modernere, open protocol AT (Authenticated Transfer). Het platform streeft naar transparantie en wil ook gebruikers zelf hun eigen algoritme laten maken en verfijnen.

Er zijn nog geen advertenties en de tijdlijn toont berichten in chronologische volgorde, zonder verborgen algoritme. In principe kun je ook zelf een server kiezen, al is dat in de praktijk nagenoeg altijd hostingprovider bsky.social. Gevorderde gebruikers kunnen zelfs een eigen server hosten (PDS, personal data server).

Bluesky wordt momenteel vooral bevolkt door Amerikaanse gebruikers, en het valt nog af te wachten in welke mate ook het aantal actieve Nederlandse en Vlaamse gebruikers zal toenemen. In het vervolg van dit artikel maken we grondiger kennis met Bluesky, waarbij we vooral focussen op hoe je volgaccounts en berichtgeving meer naar eigen hand kunt zetten, met onder meer migratie, startpakketten, lijsten, feeds en ook extra diensten.

Meer dan Threads verwelkomt Bluesky ook politieke discussies.

Account

Je kunt Bluesky gebruiken via je browser of de app, beschikbaar in de officiële appstores van Android en Apple. Na installatie kies je de interface-taal (waaronder Nederlands) en registreer je je met een e-mailadres, wachtwoord, geboortedatum en ‘gebruikershandle’. Vervolgens upload je een profielafbeelding of kies je een avatar, en na het aanduiden van je interesse(s) kun je direct aan de slag. Je moet nog wel even een verificatiecode invullen die je via e-mail krijgt.

Bluesky: na een snelle registratie ben je er klaar voor.

Ontdekken en volgen

Wanneer je de startpagina opent, zie je twee secties: Discover en Following. In Discover verschijnen direct berichten, gebaseerd op de interesses die je bij registratie hebt opgegeven. Je ziet hier ook trending topics en populaire posts binnen de gemeenschap. Je kunt deze feed personaliseren via aangepaste feeds, door er zelf een te creëren of een passend algoritme te kiezen.

In de sectie Following zie je berichten van accounts die je volgt. Aanvankelijk is deze leeg, behalve het Bluesky-account. Om iemand te volgen, houd je de muis boven de post header (met accountnaam, tijdstip en berichttitel) en klik je op +Volgen. Dit verandert in Volgend; klik hierop als je het account niet langer wilt volgen. Berichten van gevolgde accounts verschijnen vervolgens in de sectie Following.

Het vergt slechtsr een muisklik om iemand te (ont)volgen.

Zoeken en migreren

Er zijn verschillende manieren om snel extra accounts aan je volglijst toe te voegen. Open de rubriek Zoeken (tik in de mobiele app op het pictogram met drie streepjes) en vul in de zoekbalk een onderwerp in, zoals Artificial intelligence. Selecteer een geschikt account en klik op +Volgen.

Wil je accounts van Twitter/X ook op Bluesky volgen, dan gaat dit het snelst met de browserextensie Sky Follower Bridge, beschikbaar in de officiële Chrome- en Firefox-webstores. Na installatie start je de extensie en meld je je aan met je Bluesky-handle of e-mailadres en een app-wachtwoord.

Om zo’n wachtwoord (met beperkte machtigingen) te maken, ga je in Bluesky naar Instellingen, kies je Privacy en beveiliging, selecteer je App-wachtwoorden en klik je op +App-wachtwoord toevoegen. Geef het een naam, bijvoorbeeld SkyFollowerBridge, bevestig met Volgende, kopieer of noteer het wachtwoord en klik pas daarna op Gereed.

Na aanmelding open je je lijst met gevolgde accounts op X via www.x.com/<je_accountnaam>/following. Klik op de extensieknop en kies Find Bluesky Users. De extensie zoekt naar actieve Bluesky-accounts in je lijst. Klik op View Detected Users en daarna op Follow on Bluesky om de gewenste accounts te volgen.

Sky Follower Bridge automatiseert het migratieproces van gevolgde accounts van X naar Bluesky.

Startpakketten

Een andere handige manier om je volglijst uit te breiden is met startpakketten. Als je een interessant account vindt, klik je erop om de profielpagina te openen en ga je naar het onderdeel Startpakketten. Met wat geluk heeft deze persoon al pakketten aangemaakt: dit zijn verzamelingen accounts rond een specifiek onderwerp. Open zo’n pakket, bekijk de tabbladen Personen en Berichten en volg gewenste accounts via de knop +Volgen.

Je kunt ook zelf startpakketten maken. Ga naar Profiel en open het tabblad Startpakketten. Klik op Aanmaken, geef je pakket een naam en voeg een beschrijving toe. Druk op Volgende en voeg minstens acht accounts toe die relevante berichten posten. Klik weer op Volgende om eventueel feeds toe te voegen of kies voor Overslaan. Daarna kun je anderen uitnodigen via een QR-code of door de link te kopiëren.

Je kunt ook je eigen startpakketten creëren en deze met anderen delen.

Lijsten en feeds

Je kunt zelf ook een reeks gebruikers opsommen en deze lijsten eventueel delen. Open hiervoor de rubriek Lijsten en klik op +Nieuw. Vul een naam en omschrijving in en bevestig met Opslaan. Voeg gebruikers toe en bekijk hun berichten vanuit de lijst. Klik op Vastzetten op startpagina om de lijst als aparte feed naast Discover en Following te tonen.

Je beheert feeds rechtstreeks via de rubriek Feeds. Onder Ontdek nieuwe feeds kun je voorgestelde feeds toevoegen of zelf zoeken via de zoekbalk. Klik op een feed bij Mijn feeds om de berichten te bekijken.

Gebruik het tandwielpictogram bij Feeds om feeds via het pinicoon op je startpagina vast te zetten of hieruit weg te halen. Niet-vastgezette feeds kun je hier ook verwijderen.

Je kunt eigen feeds creëren, bijvoorbeeld met een no-code tool als Skyfeed.app. Meld je aan met je Bluesky-account en een app-wachtwoord (zie ook de paragraaf ‘Zoeken en migreren’). Klik op Create your first feed en voeg in de Visual Editor (of JSON Editor) de gewenste blokken toe, zoals Input, Remove, RegEx, Sort by en Limit. Bevestig met Publish Feed.

Kopieer de feed-ID achteraan de gegenereerde link en deel deze met anderen. Zij hoeven alleen de rubriek Feeds in Bluesky te openen en het ID in de zoekbalk Search feeds te plakken om je feed toe te voegen.

Met een app als Skyfeed kun je ook eigen feeds creëren en deze met anderen delen.

Vandaag zijn het vooral Odido-abonnees die te kampen hebben met storing, maar ook als je klant bent bij bijvoorbeeld KPN, VodafoneZiggo, Ben, Simpel of Delta komt het voor: je kunt niet bellen en/of internetten. Als zo'n storing wat langer duurt, kun je recht hebben op compensatie. In dit artikel lees je wanneer je waar recht op hebt en hoe je die compensatie kunt aanvragen.

Een landelijke storing bij je internet, tv of telefoon is niet alleen vervelend, maar kan ook financiële gevolgen hebben. Gelukkig is in Nederland wettelijk vastgelegd dat je in sommige gevallen recht hebt op een vergoeding. Maar hoe werkt dat precies? Wanneer heb je recht op compensatie, hoe hoog is die vergoeding en waar kun je terecht bij jouw provider?

Volgens de Telecommunicatiewet heb je als consument of kleinzakelijke gebruiker recht op compensatie als er sprake is van een volledige netwerkstoring die twaalf uur of langer duurt. Dat betekent dat alle onderdelen van je abonnement uitvallen: dus bijvoorbeeld zowel internet als televisie en telefonie. Regionale storingen vallen ook onder deze regeling, zolang je binnen het getroffen gebied woont of werkt. Sommige providers hanteren uit zichzelf een iets soepelere norm en keren al bij acht uur storing een vergoeding uit, maar dat is niet verplicht. De wettelijke grens ligt op twaalf uur.

De hoogte van de vergoeding is gekoppeld aan de maandelijkse kosten van je abonnement. Bij een storing van twaalf tot vierentwintig uur ontvang je één dertigste van je maandbedrag. Duurt de storing langer, dan loopt het bedrag op met telkens nog een dertigste per extra dag. Voor prepaid-gebruikers geldt een vergoeding van vijftig cent per dag. De vergoeding wordt meestal verrekend op je volgende factuur. Je hoeft er als klant wel iets voor te doen: in de meeste gevallen moet je zelf een aanvraag indienen via de website of app van je provider.

Verzamel bewijs

Heb je last gehad van een storing, controleer dan altijd eerst hoe lang die precies heeft geduurd. De meeste providers publiceren actuele storingsmeldingen op hun website. Noteer de begindatum en -tijd en maak eventueel een screenshot als bewijs. Zodra de storing voorbij is, kun je je aanvraag indienen. Meestal kan dat nog tot enkele maanden na de storing, maar wacht niet te lang. Het aanvragen van compensatie gaat soms via een speciale pagina, in andere gevallen moet je daarvoor contact opnemen met de klantenservice. Hieronder staan handige links naar de grootste providers om je verder te helpen.

©Website Odido

Bron: Odido

Compensatie aanvragen doe je zo:

Bij KPN kun je een compensatieverzoek indienen via je persoonlijke KPN-pagina, waar je moet inloggen met je KPN ID.
👉 Meer lezen/aanvragen compensatie KPN

Vodafone-klanten kunnen hun aanvraag doen via de Vodafone-app of de klantenservice.

👉 Meer lezen/aanvragen compensatie Vodafone

Ziggo heeft een aparte compensatiepagina, waar je een storing kunt melden en direct je vergoeding kunt aanvragen. Die staat hier:

👉 Meer lezen/aanvragen compensatie Ziggo

Ook bij Odido geldt de wettelijke grens van twaalf uur. Op de veelgestelde vragen-pagina lees je hoe je een claim kunt indienen. Odido zegt zelf een formulier online te zetten wanneer een storing langer dan twaalf uur geduurd heeft.

👉 Meer lezen/aanvragen compensatie Odido

Ben, dat gebruikmaakt van het netwerk van Odido, heeft dezelfde regeling. Informatie over compensatie vind je op:

👉 Meer lezen/aanvragen compensatie Ben

Simpel, dat ook gebruikmaakt van het Odido-netwerk, verwijst je naar je persoonlijke accountomgeving voor het melden van een storing. De klantenservicepagina staat hier:

👉 Meer lezen/aanvragen compensatie Simpel

Bij Delta kun je compensatie aanvragen via MijnDELTA of per brief. Uitleg staat op:

👉 Meer lezen/aanvragen compensatie Delta

Dus: meer dan twaalf uur storing? Compensatie!

Samengevat: bij een volledige uitval van je netwerk van twaalf uur of meer heb je recht op een vergoeding van minimaal één dertigste van je maandbedrag. Bij sommige providers kun je al eerder compensatie krijgen, maar dat is geen wettelijke verplichting. De meeste providers maken het aanvragen makkelijk via hun eigen omgeving of app. Heb je geen toegang tot je account, dan kun je altijd contact opnemen met de klantenservice. De verwerking duurt meestal een paar weken. Laat je niet afschepen als je recht hebt op compensatie. De regeling is wettelijk vastgelegd!