en
Feedback
אינטרנט ישראל

אינטרנט ישראל

Open in Telegram

עדכונים טכנולוגיים שבועיים בזמן אמת. ללא ספאם, ללא הודעות נוספות.

Show more
8 551
Subscribers
-124 hours
-57 days
-1330 days
Posts Archive
שנת 2023 פה! יש עדכון בחדש באינטרנט ישראל עם פוסט בעקבות מאמר חדש שכתבתי על בעיה מעניינת שנתקלתי בה באתר שקרס לפתע ויכולה לשפוך אור על איך מדבגים בעיות סיסטם באתרים. לא מעט מתכנתים לא אוהבים לגעת בברזלים (גם אני לא) אבל ידע מסוים במערכות שהקוד שלנו יושב עליהן יכול להיות חשוב בבדיקת בעיות ואפילו בעיות טריוויאליות: https://internet-israel.com/?p=10296 🐪 -- הסיפור של קלי קונלון מאוד עניין אותי השבוע. זו אמא שליוותה את הבת שלה ושבט הצופות שלה לרדיו סיטי - אולם בניו יורק שאירח את הרוקטס להופעת חג המולד השנתית. איך שהיא נכנסת ללובי, האבטחה ניגשת אליה והיא מגורשת משם בבושת פנים. למה? כי קונלון היא עו״ד שעובדת בפירמה שתובעת את חברת האם של האולם. ואיך איתרו אותה? זיהוי פנים שהופעל בלובי 😱. מבעית שיש דברים כאלו - אבל רלוונטי גם *לנו* פה בישראל. למה? בד״כ אנחנו מקשרים אלגוריתמים של זיהוי פנים לממשלות, ארגוני ביון ועוד מקומות שיש להם יכולות טכנולוגיות וכסף. אבל זה כבר מזמן לא ככה - אלגוריתמי זיהוי הפנים הפכו להיות מאוד נפוצים ומאוד טובים. למרות שניתוח המטאדאטה שלהם לפעמים לוקה בחסר, זיהוי הפנים הוא מוצלח והאלגוריתמים מאפשרים לכל אחד, גם ללא ידע טכני, לעשות זיהוי תמונות ולכאלו עם מעט ידע טכני - לעשות זיהוי תמונות מוידאו באמצעות ציוד ביתי. רספרי פיי עם מצלמה למשל. למה זה מעניין? כי יש סיכון בזיהוי פנים גם בלי חיבור למאגרים ובלי לדעת מי עומד מאחורי הפנים. זה צף בשיחה עם העורכת שלי בדה מרקר. דוגמה? תחשבו למשל על מערכת שמוזנת בכל עשרות אלפי התמונות ממסיבות הגאווה. מישהו נכנס לחנות? הפנים שלו מצולמות באמצעות מצלמת האבטחה ונשלחות למערכת. ואם הוא היה במסיבת גייז? לך מפה! מאיפה משיגים את התמונות? לא חסר מקומות רבים ומאגרים רבים של אנשים שהעלו תמונות ממסיבות ומצעדים. לא תמונות עיתונות אלא גם תמונות של אנשים פרטיים. המודל יודע לקחת את כל התמונות האלו, לעשות זיהוי פרצוף ואז לזהות את התמונה במקומות אחרים. גם בפיד וידאו כמובן. גם שנים אחר כך. אפשר לקחת את זה גם להפגנות או אירועים פוליטיים אחרים. אני לא צריך בכלל לדעת מה הזהות, השם או פרט אחר על מי שנכנס לחנות, לעסק, למרפאה וכו׳. רק שהוא היה במקום כלשהו שמזהה אותו. ובהצלחה להחליף פרצוף, כן? יש המון אלגוריתמים של זיהוי תמונה. השתעשעתי עם https://betafaceapi.com/demo.html שיש לו דמו חי וגם אתם מוזמנים לנסות! העלו שתי תמונות שלכן. מתקופות שונות ומזמנים שונים ותראו שבחלק מהמקרים הוא בהחלט יוכל לאתר אתכם בתמונה אחת על סמך תמונה אחרת. וזה רק אלגוריתם אחד, כן? יש עם רבים אחרים. והתוצאות מאוד טובות בחלקם. והכל אפשרי לעשות עם ציוד ביתי. יש לי רספברי פיי בבית עם מצלמה - שעלתה דולרים בודדים שיודעת לזהות אותי גם בחושך ואת זה עשיתי *ללא קוד*. אין שום בעיה לחבר ציוד כזה לכל מצלמת אבטחה בבית עסק ולבנות מערכת שתתריע בפניכם על כל מי שהיה באירוע X. ואין איך להמנע מזה מבחינה טכנולוגית. מידע נוסף וכו׳ בדה מרקר: https://www.themarker.com/captain-internet/2022-12-27/ty-article/.premium/00000185-4f9c-d878-a995-5f9eb65f0000 אגב, אני יודע שזה מאחורי חומת תשלום וזה עלול להיות מבאס, אבל בלי דה מרקר והארץ לא הייתי יכול לכתוב על לא מעט עניינים כי הם מספקים לי הגנה משפטית וחופש מערכתי מלא. אפשר לעשות מנוי חינמי שמאפשר לקרוא 6 כתבות בחודש, כולן יכולות להיות שלי 🙂 -- השבוע ב-102FM - פינת הטכנולוגיה שלי בכל יום שני ב11:45 בתוכנית של רועי כ״ץ דיברנו על ה-AI, הלמידה והעניין החוקי. באמת כמה דקות שיעשו סדר בעניין: https://102fm.co.il/roykatz/page2 -- מאמר מרתק שאינו שלי אלא של דניאל שוורצר על קריפטוגרפיה בעידן הפוסט קוונטי. מצד אחד הוא קצר יחסית וברור יחסית למאמרים אחרים שעוסקים בנושא, מהצד השני הוא מספיק טכני כדי להביא input מעניין. אני עוסק בזה גם בתחום העבודה וגם כי זה מעניין. המאמר הזה הוא טכני ולא פשוט להבנה לאנשים שהם לא - אבל אני מקווה לכתוב על זה הסבר פשוט וברור. כל מי שהוא טכני - מומלץ לקרוא את זה: https://medium.com/cyberark-engineering/is-this-the-end-of-asymmetric-cryptography-bb7c5ee1cf94

בוקר נהדר וחג שמח! עדכון חדש באתר והפעם פחות טכני ויותר מיועד לבעלי אתרים. אם יש משהו שמטריד ומלחיץ בעלי אתרים זה שהאתר שלהם לא עובד. זה הדבר הכי מבאס בעולם להבין שהאתר היה כמה שעות או אפילו כמה ימים למטה. אובדן המכירות, הלקוחות או המבקרים הוא לא נעים. אז מה עושים? בלשון מקצועית קוראים לזה מוניטורינג. בדיקה שהאתר עובד כמו שצריך כל כמה דקות או אפילו שניות ומשלוח התראה במייל או בסמס אם משהו השתבש. מוסיף המון שקט נפשי ואפשרי גם לאנשים לא טכניים. בוני אתרים - זה עוד שירות שאפשר להציע לבעלי האתרים במסגרת חוזה תחזוקה. https://internet-israel.com/?p=10288 🐪 -- שבוע של חג אבל הרשת לא עוצרת. חוות דעת של סגנית היועצת המשפטית כרמית יונס קובעת כי מודלי AI יכולים להתאמן על מידע במסגרת השימוש ההוגן. מה זה אומר? זה אומר שאמנים בישראל יתקשו למנוע מאנשים שירצו לאמן את המודלים שלהם על תמונות שלהם, טקסטים שלהם או קוד שלהם. נכון, זו לא פסיקה או חקיקה מחייבת אבל זה בהחלט ישמש בתי משפט בישראל אם יידרשו לדון בסוגיה. הגנת השימוש ההוגן היא נרחבת בישראל (ולדעתי טוב שכך) ומאפשרת לא מעט מחופש הביטוי - אם בתחום הסאטירה ואם בתחום המחקר והלימוד. כתבתי על כך בדה מרקר עם הסברים מאת אורי אליאבייב מתחום הבינה המלאכותית ועורך הדין קלינגר מתחום המשפט. https://www.themarker.com/captain-internet/2022-12-22/ty-article/.premium/00000185-3acb-d5e1-a1e5-7ffb5d8e0000 -- בטוויטר הטירוף משתולל כאשר אלון מאסק, בניסיון לעצור תחרות או אלוהים יודע מה חסם גם קישורים לרשת מסטודון. הרשת הזו היא מאוד נעימה ונחמדה אבל היא לא מאוד מתחרה לטוויטר - בטח בהיקף האנשים ובטח בהיקף הדיונים - למרות למשל שקהילת חוקרי אבטחת המידע הבינלאומית עברה לשם כמעט לחלוטין. כתבתי על זה וגם הסברתי איך אפשר לחסום קישורים כאלו ומה המנגנון מאחורי החסימה בדה מרקר: https://www.themarker.com/captain-internet/2022-12-18/ty-article/.premium/00000185-2541-dcac-a185-bde768860000 -- בפינת הרדיו השבועית שלי ברדיו תל אביב - 102FM כל יום שני ב11:45 עם רועי כ״ץ - דיברנו על חסימות הטיקטוק שיש בעקבות המהומות בירדן ומה קרה בדיוק אחרי שהשלטונות שם חסמו את טיקטוק שתדלקה (!!!) את מהומות הדלק. https://102fm.co.il/roykatz/?Summyid=140730 -- הכספות המוצפנות של הלקוחות של לאסטפאס דלפו. מה זה אומר? אני ארחיב על כך בדה מרקר בימים הקרובים. אם אתם לקוחות? החליפו את סיסמת המאסטר. אם אתם לקוחות שהשתמשו בסיסמת מאסטר פשוטה יחסית? החליפו את הססמאות באתרים החשובים לכם. יותר מידע אפשר למצוא בפוסט הרשמי של לאסטפאס פה: https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

בוקר מהמם וחג חנוכה שמח. יש לנו בסייברארק ימי ארכיטקטים עם הרצאות והעברתי הרצאה קצרה על Pimp up my terminal - על כלים שונים ויכולות שונות שיש בטרמינל (גם זה שאנו פותחים בפייצ׳ארם או Visual Studio Code). מה שעורר את עיקר ההתעניינות והשאלות זה omz command שמאפשרת בקלות לנהל את Oh My Zsh שיושבת על Zsh. אז הנה פוסט קצרצר המסביר על זה בפירוט. חמש דקות וגם אתם תדעו: https://internet-israel.com/?p=10279 🐪 -- השבוע התבשרנו בקול תרועה על הקמת המאגר נגד הספאם. מה זאת אומרת? אם אתם לא רוצים לקבל שיחות ספאם - אתם צריכים להכניס את עצמכם למאגר וחברות הטלמרקטינג שומרות החוק שאינן חברות ביטוח ובנקים, לא יוכלו ליצור איתכם קשר. נשמע קצת מוזר - למה שברירת המחדל לא תהיה שבכלל לא יתקשרו אלי ומי שכן רוצה הצעות יכניס את עצמו? אבל בסדר. זה עובד גם בארצות אחרות. אבל בישראל, חוץ מזה שאין ענישה למפירי פרטיות, מדליפי פרטים ושאר מזיקים - המאגר הזה מגיע גם עם API שמאפשר קריאה של מיליון מספרים בקריאה אחת. כלומר כל חברה יכולה לבנות לעצמה מאגר של מספרים שלא רק שהם פעילים, יש אליהם רמת קשב גבוהה במיוחד (עובדה שהבעלים שלהם טרחו להכניס אותם לשם) ואז... אם הוא דולף? מי שנמצא שם יקבל פי כמה וכמה ספאם והפעם מגורמים פחות לגיטימיים. זה קרה בעבר. אז מה עושים? אם גם ככה סובלים גם ככה משיחות מכירה אינסופיות מגורמים לגיטימיים? אולי שווה לשקול להכנס למאגר כי זה לא יזיק. אם המספר שלך מתחת לרדאר ולא מתקבלות אחלי שיחות כאלו? תחשבו פעמיים. כתבה בדה מרקר: https://www.themarker.com/captain-internet/2022-12-13/ty-article/.premium/00000185-0ada-d43f-afc7-bbde11840000 ראיון ב-102FM בתוכנית הכלכלית של רועי כ״ץ: http://summur.ai/1QCXJ

בוקר נפלא והיום פוסט שמסכם על Template Definition בטייפסקריפט - כן, אותו קובץ d.ts מסתורי וקסום. הסבר מעמיק למה צריך אותו, איך צורכים אותו ואיך מייצרים אותו. הפוסט הזה מסכם את סדרת המדריכים על טייפסקריפט (יש קישור לכלל הסדרה בתחתית כל פוסט) שמאפשר לכל מי שיודע ג׳אווהסקריפט להכנס לעולם הטייפסקריפט מייד. אם יש לכם את הספרים שלי, אז אני עובד בימים אלו על פרק חדש בספר ללימוד ג׳אווהסקריפט על טייפסקריפט ולהמיר את ספר הריאקט שלי לספר ריאקט + טייפסקריפט + אתר תרגול חדש. אלו שיש להם את הספרים יקבלו עדכון מייד ובחינם כמובן. https://internet-israel.com/?p=10269 🐪 -- יוצא לי המון לשחק עם הצ׳אט של Open API GPT3, שהשם העממי שלו בטוויטר זה ג׳יפיטפוט ,שמנגיש בצורה נהדרת את הבינה המלאכותית. אני ממליץ לכל אחד לנסות ולהתנסות (צריך רישום קצר): https://chat.openai.com/chat איתי כנען הרפז מצא שימוש נהדר לכלי בדמות פול ריקווסט אוטומטי שנכנס לתוך GitHub Actions. שווה לבדוק: https://github.com/KanHarI/gpt-commit-summarizer -- בעולם אבטחת המידע הכל נורא כרגיל. השבוע כתבתי בדה מרקר על התקפה על אתר של עירית אשדוד. למה ההאקרים תקפו אותו? לא להציג דגל פלסטין, איש קופץ דרך חישוק בוער ומוזיקה אותנטית. הפעם כדי לשתול בתוכו אתר פישינג שמתחזה לביט, מבקש את כרטיס האשראי שאחרי לקיחת כרטיס האשראי גם מבצע אימות מול חברת כרטיסי האשראי, נשלח סמס בתהליך והאתר החצוף עוד מבקש להזין קוד אימות (!!!) וזה גורם ממש נזק כי להכחיש עסקאות כאלו זה מורכב יחסית. אחרי התקיפה המוצלחת והשתלת האתר -התוקפים שלחו סמס התקפי של ״פג תוקף חשבונך בביט״. הבעיה היא שמדובר באתר עם סיומת muni.il שעובר בדרך כלל את סף החשדנות בקלות רבה יותר. תוקפים כל הזמן מטרגטים אתרים - במיוחד ממשלתיים ועירוניים - כדי לשתול אתרים זדוניים בתוכם ואז יש נזק כפול - גם הפישינג וגם כלפי בעל האתר. במקרה הזה אנשי עיריית אשדוד (שטיפלו בעניין מהר). מעצבן מאוד. https://www.themarker.com/captain-internet/2022-12-08/ty-article/.premium/00000184-f15d-d085-afc4-f3ddd7b90000 -- כל יום שני, שעה 11:45, אני מדבר עם רועי כ״ץ על טכנולוגיה בתוכנית הכלכלית ב-102FM. והיום דיברנו על האפליקציה סימו שהפעילה סמסים של הקורבנות שהתקינו אותה ויצרה ים של חשבונות מזוהים תחת חשבון הטלפון של הקורבן. לא נעים. http://summur.ai/Av99U

הקלטת ההרצאה שלי מכנס רברסים 2022 שהטייטל שלה הוא ״חסימה והתקפות של מכשירים המתקשרים עם קרינה אלקטרומגנטית״ עלה לאוויר. אם הטייטל נשמע לכם הזוי אז רק שתדעו שזו הרצאה שמסבירה על איך חוסמים קריוקי :) ועכשיו, אחרי שתפסתי את תשומת הלב שלכם - מן הסתם זה לא חוקי אבל זה נושא מאוד מעניין. הפוסט של היום מכיל את ההרצאה ביוטיוב (אפשר להאזין לה גם כפודקאסט) עם כמה קישורים שיאפשרו לכם לעשות ניסויים שונים של חסימת תדרים. שימו לב שמדובר בנושא לא חוקי לשם לימוד ותרגול ועדיף שלא לפוצץ את מסיבת הקריוקי של השכן. https://internet-israel.com/?p=10265 🐪 -- רוב הזמן אנחנו דואגים שלא ייגנבו הפרטים האישיים שלנו או מספר כרטיס האשראי - אבל נוכלים יכולים לנצל אותנו בדרכים אחרות. בידיעה הזו אני מספר על תוכנה זדונית שהתחזתה לתוכנת ניהול סמסים. כאשר הקורבנות התקינו אותה, היא השתמשה בהרשאת הסמסים על מנת ליצור אימות זהות מזויף עם המספר של הקורבן מול שירותים שונים שמשתמשים באימות סלולרי על מנת לוודא שמדובר במשתמש אמיתי. חשבונות כאלו שהם מאומתים כאנושיים שווים כסף: https://www.themarker.com/captain-internet/2022-11-29/ty-article/.premium/00000184-c2df-dc5c-abd7-f6df1ac00000 -- היתה גם השבוע את ״מטה משה״, הקבוצה האיראנית עם השם המזעזע שפרסמה פריצה מתוך מצלמה של גוף בטחוני בכיר (לטענתם). נורא צריך להזהר עם דיווחים כאלו מקבוצות פריצה איראניות אבל בלי קשר - יש המון מצלמות לא מאובטחות שאפשר למצוא אותן עם שודאן, כתבו על זה המון לפני וגם אחרי - אם יש לכם מצלמת אבטחה - בחייאת, לא בחללים פרטיים/בחדר הילדים/בחדר שינה או בסלון שלכם. מצלמות אחרות מומלץ לאבטח עד כמה שיותר. בכל מקרה, ברוב הפעמים ״פריצה״ למצלמה היא לא כזה גליק או הישג עצום. אבל יכול להיות לא נעים.

בוקר מעולה לכולם, אני מתכנת בפייתון כבר מזה זמן אבל איכשהו לא כתבתי מעולם על פייתון. בסייברארק עובדים עם פייתון באופן מאוד מסודר ומובנה ואחרי שלמדתי איך עובדים שם, חשבתי לתרגם חלק מהידע הזה לפוסטים על בניית סביבת פייתון והפוסט הראשון הוא - קביעת גרסת פייתון עם pyenv. שזה הצעד החשוב ביותר לפי דעתי בבניית סביבת עבודה: https://internet-israel.com/?p=10260 🐪 -- פוסט נוסף שפרסמתי השבוע הוא על מסטודון ואיך עוברים משרת לשרת. שוב, מסטודון היא לא טוויטר, לא פייסבוק ולא רשת אחרת. זה הרבה יותר מזכיר את האינטרנט של פעם. לטוב ולרע. כרגע אני מאוד נהנה שם ומדבר עם אנשים מכל השרתים. https://internet-israel.com/?p=10231 🐪 -- ברדק מאוד רציני סביב טוויטר (כרגיל) עם המון חששות בנוגע לרשת הזו ולקריסתה. נשאלתי על כך כמה פעמים והתשובה היא כמובן מורכבת. לדעתי לא יהיה מצב שבו ננסה להכנס לטוויטר ולא נצליח במשך ימים ארוכים אבל כן יהיו תקלות שונות ובעיות שונות. לחלק נשים לב יותר. טוויטר היא רשת גדולה ומורכבת, וברשת כזו יש כל הזמן תקלות ובעיות קטנות שמתוקנות אוטומטית. מטבע הדברים כשמשתמשי הרשת חרדים, הם ישימו לב לבעיות כאלו ויציפו אותן וכך יש תחושה שיש המון באגים בזמן האחרון. לא בטוח שהתחושה הזו נכונה. כתבתי על כך בדה מרקר: https://www.themarker.com/captain-internet/2022-11-21/ty-article/.premium/00000184-95cd-daf6-a38d-b5edfae70000 -- כל יום שני ב-11:45 ב-102FM אני ורועי כ״ץ מדברים על טכנולוגיה ובשבוע הקודם דיברנו על המקרה של דליפת המידע מאתר נעל״ה. עצוב מאוד. -- כל כנסת יש יוזמה לצנזר את האינטרנט. זה ריטואל מעייף ויש המון צעקות ודיונים ולא יוצא מזה כלום. לפני כשנה העברתי הרצאה בכנס רברסים, חצי שעה בעברית, עם הסבר למה זה בלתי אפשרי בישראל. אולי זה יהיה שימושי כי עוד שניה יהיה ניסיון כזה שכרגיל יגרור בזבוז זמן וכסף ורק יתיש את כולם: https://www.youtube.com/watch?v=98u9t2CC-UQ

נפתח את השבוע עם פוסט חדש שהיה צריך לעלות כבר לפני המון זמן אבל כל הזמן נדחה - איך מגבילים גישת IP לשרת שלך. זה פוסט שנוצר כתוצאה מדיון בפייסבוק על קלאודפלייר ושאר reverse proxy. כתבתי על קלאודפלייר בעבר וזה באמת יופי של כלי (גם המתחרים שלו, אבל אני מכיר היטב את קלאודפלייר אז אני מסביר על מה שאני מכיר). אבל העבודה לא נגמרת ברגע שיש לנו קלאודפלייר - כדאי וצריך להגביל גישה מבחוץ אל המכונה שמאחורי קלאודפלייר. איך? למה? בפוסט הזה יש את כל ההסברים: https://internet-israel.com/?p=10124 🐪 -- דליפת מידע חמורה במיוחד אירעה באתר של נעל״ה - ארגון ממשלתי ששמסייע לבני נוער לעלות לבדם. בדליפה היו נתונים מאוד קשים ומאוד אישיים: חוות דעת פסיכולוגיות, פסיכיאטריות וכן רפואיות, מידע מקיף ומלא על בתי ספר וכו׳ וכו׳ וכו׳. זוועת עולם ועל קטינים ואלפים מהם. שמואל לנצ׳נר, יקיר המערכת מצא את זה. למרבה הזוועה, הכל היה חשוף בחיפוש בגוגל. מידע נוסף פה: https://www.themarker.com/captain-internet/2022-11-16/ty-article/.premium/00000184-755b-d8e3-a5bd-f7fbc2020000 -- בפינה הטכנולוגית בתוכנית הכלכלית של רועי כ״ץ ב-102FM, שבה אני מדבר כל יום שני בשעה 11:45 דיברנו על הפיטורים במטא ולמה הם מזעזעים מאוד את השוק. זו פעם ראשונה שחברת גאמפ״א (או מאמ״א או איך שקוראים להן היום) מפטרת ולמרות היקף הפיטורים הקטן יחסית - זה מאוד מזעזע את השוק. https://102fm.co.il/roykatz/?Summyid=139276

בוקר נפלא והיום שני פוסטים מעניינים שפורסמו באתר. הראשון הוא על מסטודון - פוסט על הרשת החברתית המבוזרת ולמה היא כל כך שונה מפייסבוק, טוויטר וטיקטוק ובעצם מהווה חזרה לרוח המקורית של האינטרנט. מסטודון, שהיא חלק מהפדיוורס, היא רשת שנתמכת בפרוטוקול פתוח של ה-W3C שאולי לעולם לא תהיה אלטרנטיבה לרשתות אחרות, אבל היא בהחלט מקום נעים שכיף להיות בו. במאמר הזה הסברתי למתחילים. https://internet-israel.com/?p=10190 🐪 מי שרוצה לעקוב אחרי שם אז אני פה: https://tooot.im/web/@barzik הפוסט השני שכתבתי הוא סוג של הכרזה. באוגוסט מרכז הפיתוח שבו עבדתי, סולוטו, נסגר בפתאומיות. חיפשתי מקום חדש ולשמחתי מצאתי מקום שהתאים לי בול: סייברארק. זו חברת ניהול זהויות דיגיטליות והגנה. ביום הראשון שלי שם עשיתי פול ריקווסט וזו חוויה נהדרת לעובד חדש. גם ככה יום ראשון בעבודה הוא מלחיץ מאוד לעובד חדש - להכיר אנשים חדשים, להבין את המוצרים ואת הקוד ולעשות הדרכות והמון המון דברים ללמוד. כשעושים פול ריקווסט ביום הראשון, גם אם קטן, יש תחושה מעולה וגם המנהל יודע שכל ה-flow של העבודה כבר עובד טוב אצלי. זה לא אומר שאני אפקטיבי מהיום הראשון (יש עקומת למידה) אבל זה אינדיקטור טוב. על מנת לעשות פול ריקווסט ביום הראשון לעבודה לא צריך להיות גאון (אני ממש לא) - זה יותר עניין של מקום העבודה ובכמה שינויים קטנים כל ארגון או מנהל יכול לגרום לזה לקרות אצלו. כתבתי על זה פה: https://internet-israel.com/?p=10217 🐪 כתבתי על כך גם בבלוג הטכני של סייברארק באנגלית בקצת יותר פירוט וזה פה: https://medium.com/cyberark-engineering/enabling-your-workers-to-create-a-pull-request-in-your-first-day-44eeea1f5ea2 -- מאמין שלא פספסתם את הפרק המצחיק של סייברסייבר שהתמקד בעיקר בשיפודי שופן (ספוילר: אין שם מוזיקה קלאסית כמו שחשבנו בהתחלה) אבל גם בשלל פרצות אבטחה חדשות ובאיומים, הפחדות והקטנות. נראה לי שיצא פרק נהדר. https://cybercyber.co.il/?p=1870 -- בפינה שלי ב-102FM בתוכנית של רועי כ״ץ (כל יום שני, 11:45) דיברנו על מה שקורה בטוויטר - שזה לא מעט. מפיטורים המוניים ועד החלטות עסקיות הזויות כמו פארסת האימות. -- ומשהו שנזכרתי בו ושכחתי לפרסם בזמן אמת. במשך חצי שעה אני וד״ר הני זובידה דיברנו בערוץ הכנסת על מה יקרה למגזר ההייטק ב-2030. נהיה קצת יותר רלוונטי לראות - במיוחד בהמשך לשינויים שיש במדינה. אולי זה יהיה מעניין. https://www.knesset.tv/tv-shows/42714/42715/42716/

בוקר מעולה, מאמר חדש וארוך מאוד (יותר מ-5000 מילה 😱) שבו מובאים כל הטיעונים וההסברים למה בחירות דיגיטליות בישראל זה דבר מאוד מסוכן. לא מעט מומחים בארץ ובעולם הם נגד הבחירות הדיגיטליות וזה מפתיע - כי היית מצפה ממתכנתים מנוסים שיהיו דווקא בעד דיגיטיזציה. יש הסברים לא מעטים ללמה לא ואת רובם הבאתי במאמר מאוד ארוך עם הסברים כשאני מתחיל מהקל לקשה - אינרטו קצר והסברים פשוטים לאלו שלא רוצים לחפור, מקורות נוספים ואז להתחיל לפרק את הקשיים העצומים של מערכת לניהול בחירות דיגיטליות ולמה היא שונה ממש מכל מערכת אחרת. למה באסטוניה יש מערכת כזו אבל במקומות אחרים לא ואפילו את פינת הניטפיקרים. המאמר הזה הוא מאמר מתעדכן וישתנה בעקבות התגובות - אם יש לך שאלות או משהו להגיב, אני אשמח לתגובות במאמר ואשלב במאמר עם קרדיט כמובן. https://internet-israel.com/?p=10170 🐪 -- בפינה השבועית שלי בתוכנית הכלכלית עם רועי כ״ץ ב-102FM דיברנו על דליפת המידע מהמערכת של ש״ס שבעצם שוב הדליפה את פנקס הבוחרים. כל יום שני ב 11:45. הנה ההקלטה: http://summur.ai/Nyqm4 -- זעזועים רציניים בטוויטר בעקבות הרכישה של אילון מאסק. לא מעט אנשים, כולל אני, מגלים חשש ממשי לקהילה שם ולהמשך הפעילות. מסטודון, חלופת הקוד הפתוח המבוזרת, תופסת תאוצה משמעותית. עוד מוקדם לבוא ולומר אם באמת זה יצליח אבל אני בינתיים שם ונהנה מאוד. https://tooot.im/@barzik זו דוגמה נהדרת אגב למה אסור לא להשען לעולם על פלטפורמה אחת. אני אוהב את טוויטר וכותב בה לא מעט אבל תמיד זוכר שזו פלטפורמה שיכולה לבעוט אותי בכל רגע נתון.

אז זה הולך להיות עדכון לא פשוט - לצערי העצום נחשפה דליפת אבטחת מידע משמעותית ממש. למי שלא יודע - אני חבר מערכת בפודקאסט סייברסייבר - פודקאסט על פחמימות ועל אבטחת מידע יחד עם נעם רותם ועידו קינן ועוד אורחים. מטבע הדברים בגלל הטיפול החביב של ארגונים בחושפי שחיתויות בופרצות אבטחת מידע, אנחנו מפעילים תיבת הדלפות אנונימית. לפני פרק זמן מסוים התקבל דיווח, מלווה בכל מאגר הבוחרים של ישראל (6.7 מיליון רשומות) מאת גורם אנונימי שאיננו יודעים מה זהותו. הוא טען שזה הגיע מש״ס. איך? הוא היה צריך לשלוח רק מילה אחת - דיבאגבר. למי שלא יודע, מדובר בדיבאגר שעובד על מערכות PHP. מאוד מאוד נוח וקל לשימוש. *אבל לא באתר חי*. אז מה היה שם? לש״ס יש מערכת משוכללת ממש לניהול הבחירות והוזן אליה ספר הבוחרים המלא של כל המצביעים (מת״ז, שמות, כתובות, שם אב, שנת לידה). מה שעוד הוזן אליה אלו גם מספרים וטלפונים (כן, גם קוויים) וכן גם שיוך של בתי אב וקשרים משפחתיים. כל הטוב הזה, מאגר מידע שמן ונחשק, אוחסן במערכת וובית עם הדיבאגר הזה. איך מנצלים את הפירצה? שימו את הקפוצ׳ון ואת מסיכת גיא פוקס שלכם והפעילו את כלי הפריצה המשוכלל דפדפן. 1. כניסה עם הדפדפן לכתובת הדיפולטיבית של הדיבאגר. שם יש את כל רשומות המערכת ובחירת id. 2. העתקת id של הרשומה לכתובת דיפולטיבית של ״מציאת הסשן לפי id״. 3. קבלת הסשן (נקרא shas_session). 4. הדבקתו כעוגיה באמצעות כלי המפתחים. (כלי המפתחים ניתן לפתיחה ב-F12, זה ממש דארק ווב) 5. רילואוד ואתם בפנים. עם קצת מזל כמנהל מערכת. המערכת כולה נחשפה בפני - מעבר לפרטים האישיים הרבים ופנקס הבוחרים - היו פרטים נוספים: קמפיינים, פרטים אישיים וחשבון בנק של פעילי ש״ס, מידע על הטלפנים. מה שמעניין (ואולי גם מסביר את כוחה של ש״ס) הוא פניות אישיות של אנשים לנציגי ש״ס במסגרת הקמפיין עם בקשות שונות. הנציגים נמדדו על איך הם טיפלו בבקשות והטיפול כלל גם הפעלת נציגי ש״ס בעיריות ובכנסת בטיפול במגוון בעיות - מהנחות בארנונה ועד בקשות למחיקת חובות. הכל תועד ונמדד. נציגי ש״ס נדרשו גם לסגור את הפניות האלו. הייתי אומר משהו על רשויות המדינה והציפיה שלי מהן לפעול בנושא, אך אין לי ציפיות מהמדינה המתפוררת על רשויותיה הלא מתפקדות. המידע של כולנו מופקר לחלוטין. כאמור המידע הזה נמצא אצל צד שלישי לא ידוע אחד לפחות. היזהרו מנוכלים ומתחזים שלכאורה יודעים עליכם את כל הפרטים. הכל בחוץ. יש את הפוסט הטכני שלי שמנתח את הכל, יש גם צילומי מסך: https://internet-israel.com/?p=10160 🐪 מעבר לכך זה התפרסם גם בדה מרקר: https://www.themarker.com/captain-internet/2022-10-30/ty-article/.highlight/00000184-1349-da3d-a5a6-17cbd8650000 וגם בהארץ: https://www.haaretz.co.il/tmr/captain-internet/2022-10-30/ty-article/.highlight/00000184-1349-da3d-a5a6-17cbd8650000 חשוב לי לציין לטובה את הדובר על תגובה מקצועית ועל כך שפעל לסגירת הפרצה (שזה להעיף את הדיבאגר). גורם בכיר אחר בתנועת ש״ס שרצה לדבר איתי ולהגיב עוד לפני הדובר גם שיקר וגם איים בתביעת דיבה. אז הנה טיפ: אם יש לכם בארגון אירוע אבטחת מידע - תחפשו את שם העיתונאי בגוגל. אם אתם לא אנשים טכניים אבל לו יש לו רקע טכני בכלל, או הוא ארכיטקט תוכנה בכיר בפרט - עדיף שאל תנסו לחרטט אותו בפרטים טכניים. רק אומר. תנו לדוברים לנהל את האירוע. -- יש בחירות השבוע - פרק הבחירות הגדול של הפודקאסט סייברסייבר יצא לאוויר - אני אכתוב עליו באופן יותר מפורט בבחירות עצמן אבל באמת שווה האזנה. האם זה אפשרי? פרופסור אור דונקלמן, ד״ר אייל רונן מהצד הקריפטוגרפי והצד של מדעי המחשב. אני מהצד התפעולי (המתכנת שצריך לכתוב ולממש ומכיר לא מעט בעיות) ונעם רותם עם הצד שלו. עידו קינן מנחה, עומר סנש על הסאונד. באמת פרק נפלא: https://cybercyber.co.il/?p=1834 -- כל יום שני ב-11:45 יש את הפינה שלי ב-102FM בתוכנית הכלכלית של רועי כ״ץ והפעם על גוגל שחוסמת את חוסמי הפרסומות. להאזנה: https://102fm.co.il/roykatz/?Summyid=138315

בוקר נפלא, אחרי החגים הגיע ולא מעט אנשים מתלבטים בנוגע לבוטקאמפ שהם רוצים ללמוד בו (אני מאמין שכל אחד בתחום קיבל שאלה מקרוב משפחה זה או אחר על העניין). בטוויטר היה דיון מאוד מעניין על העניין הזה ואיך אפשר לדעת אם בוטקאמפ הוא טוב או לא. למרבה הצער, בשל תביעות לשון הרע שונות, אנשים שלא מרוצים או אנשי מקצוע לא יכולים לתת חוות דעת שליליות גם על בוטקאמפים רעים ממש. אז מה עושים? כתבתי מדריך ארוך ומפורט על ״איך יודעים אם הבוטקאמפ שאתם חושבים לבחור בו הוא בסדר״. כאשר יש שם סעיפים שאפשר וצריך לבדוק בנוגע לפרמטרים שונים של הבוטקאמפ. זה באמת יכול להיות מאוד שימושי: https://internet-israel.com/?p=10152 -- פרק חדש של הפודקאסט סייברסייבר על מקרה משעשע במיוחד. לפני כחודש נעמה ריבה סיקרה חבלה מגניבה במיוחד ב״תערוכת ה-NFT״ של מוזיאון תל אביב. בתערוכה הוצבו QR code לצד ה... יצירות. האקטיביסטים החליפו את ה-QR code והפנו לאתר משלהם. הנה הקישור לאייטם: https://www.haaretz.co.il/gallery/art/2022-09-29/ty-article/.premium/00000183-8865-d06a-a3e7-b8e7c8c00000 אחרי שהם רק העבירו את התנועה (כלומר השתמשו בקוד שלהם אבל ניתבו את התנועה לשרת תערוכת ה-NFT האמיתי), הם החליטו לשנות את התערוכה למיצג מחאה. משעשע ומדליק במיוחד. אני התעניינתי במיוחד בנושא הטכני, כי אז לא ידעתי בדיוק איך הם עשו את זה - ובפודקאסט ראיינו את ההאקטיביסטים שהסבירו וגם נכנסנו לאבטחה פיזית ו-QR code ואז קיבלנו סקופ נוסף - התקפה נוספת על ״התערוכה״. לא רק שאתר התערוכה היה פגיע מהבחינה הזו שהוא לא שם לב שהבקשות שהוא מקבל מהקליינט הן לא מהקליינט שלו, ההאקטיביסטים גילו שלא נעשה כל אימות על יצירת אוואטרים והשתמשו בכלי הפריצה ״דפדפן״ כדי להכניס סקריפט בצד הלקוח שיוצר המוני אוואטארים שמציגים שלטי מחאה. וואי, אחד הגדולים.😂 מדובר בחולשות מפתיעות במיוחד בתערוכת NFT - כלומר כזו שמרכזת מטרות איכותיות (סביר להניח שרוב המתעניינים מחזיקים בארנקי קריפטו שמנמנים ויש לנו ידע על הביקור שלהם בזמן אמת בתערוכה וגם נתונים נוספים, כאמור שולטים בקליינוט). פניתי למוזיאון תל אביב לשאול איך הם בדיוק איבטחו את התערוכה. התגובה היתה: ״החברה שבחרנו היא המובילה בעולם״. 🤔 אז פניתי לחברה, חברת אריום.xyz. ענה לי מפתח סימפטי בשם איידן, שמסתבר שהוא המנכ״ל והמפתח היחיד. הוא קצת היה מבולבל ממה ששלחתי לו, לא ממש היה סגור על ההתקפה ומסתבר, לפי לינקדין, שהניסיון הפיתוחי שלו הוא 4 חודשים ב-summer of code. נהדר 😂 כתבתי פוסט בסייברסייבר עם הסבר מעמיק ודיאגרמות שמתלווה להקלטה - אני באמת נהניתי מהמקרה הזה: https://cybercyber.co.il/?p=1812 והסיקור היותר מקצועי שמיועד לאנשים רגילים בדהמרקר: https://www.themarker.com/captain-internet/2022-10-21/ty-article/.premium/00000183-f4f0-d4ec-a3bf-fcfadb050000 -- פוסט לא טכני שכתבתי בדהמרקר המיועד לכל הבומרים (כמוני!) שמקטרים על מצב התרבות הישראלית העכשווית. שונאים את מה שמנגנים בגל״צ? מתעבים את מה שיש בטלוויזיה? אנחנו נמצאים בעתיד ואנחנו יכולים לקבוע מה נראה ומה נשמע. כל הדרכים שבהם אני נוקט כדי להתנתק מכל המיינסטרים. מהוידג׳ט לרכב שמאפשר לי להתנתק מהרדיו גם במכוניות ישנות ועד איך קוראים ספרים דיגיטליים. פחות רלוונטי למי שנולד אחרי שנות השמונים אבל אולי שווה קריאה לישישים כמוני. https://www.themarker.com/captain-internet/2022-10-18/ty-article/.premium/00000183-eadd-d965-a793-fbfda5430000 -- מחר אני מרצה ברברסים בהרצאה על איך חוסמים תדרים. ההרצאה, שמיועדת לפרחחי ווב כמוני מפצחת את עניין הוודו הזה שקשור לווי פיי ובלוטות׳ ומסבירה איך מבצעים חסימות, איך מתגוננים (ולמה זה חשוב) ויכול להיות שתשמש אתכם למגוון תעלולים או השבתות של צווחני קריוקי למינהם. אני ממש אשמח להפגש עם אנשים שם. רוב הזמן שלי בכנס מוקדש למינגלינג. https://summit2022.reversim.com/agenda/session/969803 הרצאה מומלצת נוספת באותו יום, אגב, היא הרצאה שהייתי בפיילוט שלה והעיפה לי את הסכך (סליחה על הביטוי המיושן) של שחק להב על מחשוב קוונטי. https://summit2022.reversim.com/agenda/session/969823 היא אחרונה ביום של רברסים, מה שבדרך כלל אומר שלא המון אנשים מגיעים - אבל באמת באמת מומלץ שלא לפספס אותה.

עדכון חדש באתר - על קלאודפלייר. אני משתמש בקלאודפלייר כבר הרבה מאוד זמן והוא מאפשר לי גם הגנה על האתרים שלי אבל גם גמישות גדולה מאוד בכל מה שקשור לניהול שלהם. בפוסט הזה יש הסבר מפורט ככל האפשר על איך מתקינים ומפעילים קלאודפלייר על אתר אינטרנט. אם אתם מפעילים אתר אינטרנט - זה אחד הדברים הכי כדאיים לעשות. אם אתם בוני אתרי אינטרנט - כדאי מאוד להציע את זה ללקוחות שלכם. אם אתם מתכננים אי פעם לבנות עסק - כדאי לקרוא לפחות את ההתחלה כדי לדרוש את זה מבונה האתר שלכם. https://internet-israel.com/?p=10135 🐪 -- השבוע כתבתי בדה מרקר על GET PARAMS. שזה בעצם נתונים שמופיעים אחרי ה-URL. למשל example.com?fbclid=132233&utm=232333 - כל מה שיש אחרי סימן השאלה. רשתות חברתיות, מנועי חיפוש ואתרים מצמידים את הפרמטרים האלו אוטומטית לקישורים שמתפרסמים דרכם וכך בעצם מאפשרים לעקוב אחרי הקישורים האלו. אם למשל אני שולח קישור כזה לחבר והוא משתמש בו - פייסבוק/גוגל תדע שיש בינינו קשר (אם יש לה פיקסל באתר). משתמשים בזה המון באינטרנט - למי שיש פיירפוקס - כדאי לסמן את Strict בהגדרות הפרטיות כדי להסיר את הפרמטרים האלו באופן אוטומטי. יותר גרוע מכך - יש חברות שמשתמשות ב-GET PARAMS על מנת לאחסן מידע אישי. אם אתם מפיצים את הקישור הלאה - מי שייכנס אליו יראה את הפרטים האישיים שלכם. מומלץ להכיר: https://www.themarker.com/captain-internet/2022-10-12/ty-article/.highlight/00000183-c640-d751-abff-cee970170000

פוסט חדש באינטרנט ישראל על דליפת פרטיות/חור אבטחה שנגרמת בגלל... HTML! אני נשבע! טוב, לא ממש נגרמת בגלל HTML אלא יותר בגלל בודקי איות אבל יכולה להמנע עם HTML. באמת יופי של מחקר ובפוסט הקצר הזה, אני מסביר עליו: https://internet-israel.com/?p=10119 🐪 -- בשנה האחרונה יש לי פינה קבועה בתוכנית הכלכלית של רועי כ״ץ שבה אני מדבר על טכנולוגיה ומה קרה השבוע בעולם. כל יום שני ב-11:45 ב-102FM. הפינה שהיתה השבוע - אי אפשר שלא לדבר על המפכ״ל וצנזורת הרשתות החברתיות ורועי התמקד באמת בשאלה טובה - למה בדיוק המפכ״ל מתראיין בעיתון ואומר משהו שפשוט לא אפשרי בישראל? https://102fm.co.il/roykatz/?Summyid=137891 בשבוע הזה אין פינה כי חג :) -- והנה משהו שנראה על פניו משעמם וטעכני - גוגל מנסה לשנות את המניפסט של התוספים של כרום לגרסה שלישית כבר הרבה זמן. למה היא נתקעת? למה זה חשוב? כי יש המון מחאות בנוגע לשינוי אחד במניפסט - כזה שמונע מתוספי חסימת פרסומות לעבוד ביעילות ובעצם מאיין אותם. תוספי חסימת פרסומות הם טובים ומומלצים במיוחד לילדים כיוון שהם חוסמים ביעילות פרסומות ביוטיוב (פרסומות מצלקות עם תינוקות צורחים שהם רוצים לחיות למי שמכיר), הדר אשוח, דניס ומישל ושאר ברנשים שמבטיחים הכנסות פסיביות ומטמטמים את הנוער ועוד דברים שבאמת מוטב להמנע מהם. אני ממליץ על u block origin. אבל עוד מעט התוספים האלו לא יוכלו לעבוד בכרום - מינואר בגרסאות הבטא ומיוני 2023 בגרסה הרגילה. מבאס מאוד. מה הפתרון? אולי כדאי לבדוק את פיירפוקס גם לנייד וגם למחשב. מעבר לזה שמוזילה התחייבה לכך שחוסמי הפרסומות בה לעולם לא יוגבלו, בפיירפוקס לנייד יש תוספים - כלומר חוסם פרסומות. אני לא משתמש באפליקציות כמעט אלא רק בפיירפוקס + תוסף חסימה של ublock origin. כלומר בלי פרסומות ביוטיוב, טוויטר, פייסבוק ואתרי חדשות (אם נכנסים דרך פיירפוקס והתוסף) ובאמת ממליץ על זה. כתבתי על כך כמה מילים בדה מרקר: https://www.themarker.com/captain-internet/2022-10-06/ty-article/.premium/00000183-adf4-d379-a7eb-fff582d30000

פוסט חדש באתר על יצירת סביבת פיתוח עם HTTPS. כאשר אנו מפתחים לוקלית אתרים או אפליקציות, אנו רוצים שהלוקאלי יהיה קרוב ככל שאפשר לסביבת הפיתוח ועדיף לעשות את זה עם self signed certificate. תמיד זה היה קשה ומסובך יחסית אבל לא עוד עם כלי ממש נפלא שכדאי להכיר בשם mkcert. אם לא הכרתם, או שאתם מפתחים ומה שכתבתי הוא ג׳יבריש - זה הפוסט שיעשה לכם סדר: https://internet-israel.com/?p=10105 🐪 -- המחאות באיראן מכריחות את המדינה להשבית את האינטרנט לחלוטין בחלק מהמקומות ובחלק אחר להדק את צנזורת האינטרנט ולעבור לחסימות מבוססות IP. למרות שמדובר בדבר הרסני. סיגנל, שחלק משרתיה נחסמו, עשתה מהלך יפה וביקשה מהגולשים שלה ליצור פרוקסי לטובת האיראנים והגולשים נענו בהמוניהם. כמה לחיצות כפתור ונוצר פרוקסי והמוני פרוקסי כאלו כבר יותר מסובך דרמטית לחסום (רק מזכיר שלאיראן את היכולות של סין מבחינה לוגיסטית). https://www.themarker.com/captain-internet/2022-09-29/ty-article/.premium/00000183-88f8-d06a-a3e7-b8fb547e0000 -- כל בחירות יש את הלרלורים הקבועים על איך זה שבמדינת הסטארטאפ והסייבר אין בחירות דיגיטליות מרחוק. הרי אנחנו עושים ברשת הכל - למה לא? אחת מהפרשניות לפוליטיקה כלשהי אפילו קבעה בנפנוף יד ש״בקלות אפשר לפתח אפליקציה״. כמובן שהעובדה שהיא מעולם לא כתבה שורת קוד או עברה אפילו ליד חברת הייטק לא מפריעה לה. מהצד התפעולי בחירות דיגיטליות זה אסון *בישראל* - למה? תסתכלו על כשלי הממשלה ותבינו לבד. אפילו אתר שמציג תוצאות בחירות אנחנו לא יכולים לפתח. אז מהצד השני? מהצד הקריפטוגרפי, פרופסור אור דונקלמן ענה יפה בטוויטר פה למי שפספס: https://twitter.com/mkilmo/status/1575362280480559104

ערב ראש השנה שמח! מן הסתם כולם באווירת החג אבל יש עדכון חדש וקצר באתר המיועד לאנשים לא טכניים והפוסט הוא הסבר על VPN. פשוט בכל פעם בדיוני צנזורה אלו ואחרים אני נדרש להסביר מה זה ואני מגלה שיש לפעמים חוסר הבנה של מה זה הכלי הזה ומה ההבדל בינו לבין שינוי שרת DNS. אז החלטתי לכתוב פוסט קצר עם הסבר ואפילו סרטון וידאו שבו אני מדגים איך מתקינים מאפס את הגרסה החינמית של ProtonVPN (אני לקוח משלם ומאוד מרוצה אגב). אז אם באמת תהיתם מה זה VPN ולא היה לכם נעים לשאול, או שתמיד רציתם להתקין וחשבתם שזה מסובך (זה באמת דקה) - זה הפוסט בשבילכם. אם אתם אנשים טכניים? תרגישו חופשי להפנות אנשים ששואלים אתכם לשם. https://internet-israel.com/?p=10113 🐪 -- אמרו לי שכדאי לי לומר: בשנה האחרונה יש לי פינה קבועה בתוכנית הכלכלית של רועי כ״ץ שבה אני מדבר על טכנולוגיה ומה קרה השבוע בעולם. רועי לא נרתע מלהכנס למקומות די סבוכים. כל יום שני ב-11:45 ב-102FM. הפינה שהיתה השבוע - בחירות דיגיטליות בישראל - אפשרי? אתם יודעים כבר שלא בגלל הפוסט הקודם: https://102fm.co.il/roykatz/?Summyid=137437 -- הבחירות מתקרבות וגם הסמסים מהמפלגות. בני גנץ החריד את כל המדינה עם סמס מיוחד שנקרא class 0, סמס שמשתלט על המסך ברגע שהוא מגיע ולא ממתין בסבלנות ברשימת הסמסים לקריאה. המון אנשים נלחצו וזה מרגיז. https://www.themarker.com/captain-internet/2022-09-19/ty-article/.premium/00000183-5513-d77f-a1eb-df9758a80000 מעבר לכתבה - זה הזמן להזכיר שגם סמסים כאלו וגם סמסים רגילים ניתנים לחסימה בקלות לבעלי אנדרואיד עם תוכנת הסמסים הדיפולטיבית של גוגל. יש כאן סרטון יוטיוב קצר עם הסבר עליה, תשקיעו כמה שניות ויהיה לכם שקט נפשי: https://www.youtube.com/watch?v=GriQ9VpJiOc&list=PL2kDM65jqpVrOuls4yjXTw_QKVRTP_VrL לחבריי האייפוניסטים - תוכנת VeroSMS. למי שרוצה לחסום לפי מילות מפתח - Key Messages. אני משתמש בה: https://www.youtube.com/watch?v=eYvYqjHXIHI&list=PL2kDM65jqpVrOuls4yjXTw_QKVRTP_VrL&index=2 כמה דקות עבודה וחסכתם לעצמכם את הספאם הפוליטי וספאם אחר. באמת חבל לסבול. שנה טובה! ❤️

בוקר נפלא עם מאמר קטנטן (ממש פחות מחמש דקות קריאה) שמסביר על מודול חמוד מאוד להעלאת שרת ווב מקומי בשניות, כולל תמיכה ב-https. יש סיכוי שאתם מכירים את http-server אבל אם לא - המאמר הזה יכיר לכם אותו: https://internet-israel.com/?p=10099 🐪 -- מחקר מאוד מעניין שהתפרסם על ידי חוקרים באוניברסיטת אונטריו מראה עד כמה בחירות דיגיטליות זה דבר מסובך ושונה מכל פעולה אחרת.כי חשובה מאוד האנונימיות. באופן אישי זה פשוט היה מאוד מלהיב ומעניין. כשאנו מקיימים תקשורת מוצפנת עם שרת כלשהו - התקשורת מוצפנת מקצה לקצה. אי אפשר להאזין לה. אבל כמובן שהצפנה זה לא כדור כסף שפותר את הכל ואני אדגים. למשל - אם למשל אתם מאזינים לתקשורת בבית שלי ואתם רואים שאני מוריד ג׳יגות שלמו באמצע הלילה מאתר... אה... miki-zohar-in-bathing-suit.com - האם אתם צריכים לפתוח את ההצפנה (לא תצליחו) כדי להבין מה אני עושה שם? ברור שלא. אז הנה דוגמה אחת ללמה לפעמים הצפנה יכולה לעבוד מעולה אבל לא להיות פתרון להכל. ועכשיו לבחירות דיגיטליות: בחוקרים מאוניברסיטת מערב אונטריו עשו מחקר על פלטפורמת החירות דיגיטליות עם נתוני אמת ממערכת בחירות והצליחו, באמצעות האזנה לתקשורת - להבין באחוזי דיוק מאוד מרשימים מי הצביע לאיזה מועמד. למרות ההצפנה! איך? כשמצביעים באותה הפלטפורמה, השרת מחזיר תשובה מוצפנת ״הצבעתך למפלגת X בראשות Y התקבלה״. - אבל השמות של המפלגות והמועמדים שונים באורכם! וזה בולט אם יש לי שני מועמדים - אחד עם שם קצר והשני עם ארוך! למשל הטקסט של ״הליכוד בראשות בנימין נתניהו״ שונה באורכו מ ״יש עתיד בראשות יאיר לפיד״ - ובאלגוריתם ההצפנה שהשתמשו בו - גם הטקסט המוצפן שונה באורכו. אם אני מאזין לתקשורת ואני רואה שהתוצאה שחוזרת מהשרת היא באורך יותר ארוך מתוצאה אחרת - בינגו! אני יודע למי הצבעת! יש כמובן פתרונות פשוטים לחור הזה - מלהשתמש באלגוריתם הצפנה שלא חושף את האורך, עד להוסיף ג׳אנק בלי נראה לעמוד ועד אפילו רק להחזיר true\false מהשרת כדי להציג ״הצבעתך נקלטה״ בקליינט. אבל העניין הוא לא חור האבטחה. העניין הוא שהצבעה דיגיטלית היא דבר מ-ו-ר-כ-ב וזו דוגמה נהדרת לכמה מורכב הסיפור הזה יכול להיות. וחשוב להכיר דוגמאות כאלו במיוחד כי בישראל כל מיני ברנשים נוטים לנפנף בביטול ולהצהיר ״למה אין בחירות דיגיטליות באומת הסייבררררר״ או משהו בסגנון. כתבה על העניין הזה, עם ראיון נאה של פרופסור אור דונלקמן שנאות להסביר בקצרה על הקשיים שיש כפי שהוא רואה אותם וגם מידע רב ומפורט נוסף על הצפנה ועל הדרך שהחוקרים עשו מופיע גם בפרינט וגם בדה מרקר: https://www.themarker.com/technation/2022-09-14/ty-article/.premium/00000183-37c0-d598-a1cf-f7d595c00000

בוקר יום ראשון, מתקרבים לחגים וזה הזמן להמשיך עם סדרת המדריכים על טייפסקריפט והיום טייפסקריפט ומודולים. האמת שיעשה לכם קצת סדר באיך מודולים בג׳אווהסקריפט עובדים ואיך הם עובדים עם טייפסקריפט. https://internet-israel.com/?p=10094 🐪 -- בהקשר אחר למי שפספס - ברברסים האחרון העברתי הרצאה על צנזורה והזהרתי מפני חסימות IP לצנזורת אתרים. כיוון שהממשלות מבינות שחסימה על בסיס DNS לא יעילה (למי שלא יודע: המוכרת יותר שניתנת לעקיפה על ידי שימוש ב-DNS של חברה רב לאומית כמו גוגל 8.8.8.8 או קלאודפלייר 1.1.1.1 ודומיהן), אז הן יכולות להתפתות לעבור לחסימת IP ישירה של אתרים. מה הבעיה או הסיכון? שאנחנו כבר לא בשנת 2005 והאינטרנט מאוד השתנתה. יש הרבה תשתיות שונות וחסימת IP יכולה לחבל בהן. נתתי תמיד את רוסיה והטלגרם אבל עכשיו אוסטריה נכנסה למועדון של המדינות שניסו לצנזר את האינטרנט - במקרה הזה חסימה של אתרים שמפרים זכויות יוצרים דרך כתובות IP. וכתובות ה-IP האלו? היו של קלאודפלייר. ספק CDN מרכזי (שגם אני משתמש בו!) וכך לא מעט אתרים נפגעו בהפצצת שטח. מדהים, לא? זה מה שקורה כשמנסים לחסום את הרשת. מישהו מפר זכויות יוצרים? תתבעו לו את החיים - אבל אל תתעסקו בתשתית. האינטרנט היא לא איזה סוג של ערוצים בטלוויזיה של שנות התשעים ששם היה קוד שמנע מילדים לראות תותי פרוטי. https://www.themarker.com/captain-internet/2022-09-01/ty-article/.premium/00000182-f8ad-d94b-afbf-f8efbb540000 -- ובהמשך לזה - דווקא התשתיות שמאפשרות לאתרים גדולים להתקיים עלולות להיות נקודת התורפה שלהם ולאפשר הורדה של האתר. במקרה הזה - אתר מבחיל וטרנספובי בשם קיוי פארמס שלא פחות משלושה אנשים התאבדו בגלל מתקפות שנאה שאורגנו מהאתר הזה שבכל פעם קבוצות של אנטישמים וחולערות אחרות מארגנות תקיפה באמצעותו נגד אנשים שהם לא אוהבים. קמפיין ממוקד נגד האתר גרם לחברת קלאודפלייר וכן חברות אחרות לבעוט אותו מהשירותים שלהם. בלי השירותים האלו, אתר מודרני וגדול לא יכול להתקיים ואכן הוא הפסיק להתקיים. זו דוגמה שכן אפשר להלחם בתוכן בעייתי - לא על ידי חסימה אלא על ידי אמצעים ציבוריים ואחרים. גם האתר האנטישמי דיילי שטורמר נסגר בדיוק ככה. יותר פרטים וכו׳ פה: https://www.themarker.com/captain-internet/2022-09-07/ty-article/.premium/00000183-18cd-d6f3-a7ff-f8efe2780000

בוקר מעולה - והיום פוסט שמיועד לבעלי אתרים ובעלי עסקים שיש להם אתרים. כתבה של כאן 11 (דניאל אלעזר) ששודרה וקצת עברה מתחת לרדאר מראה על גל חדש ומדאיג של תביעות כנגד אתרים שאין להם דף נגישות. גם אם האתר נגיש - יש צורך בדף נגישות עם מדיניות הנגישות ומייל של ממונה הנגישות (שזה בד״כ בעל העסק אם מדובר בעסק קטן). אין את זה? אפשר להגיש ייצוגית בלי התראה מראש. בכתבה מובאות עדויות קורעות לב של בעלי עסקים קטנים שחטפו ייצוגית כזו ועל ההשפעות (הידעתם? הבנק מקבל התראה על כך שיש נגד העסק תביעה ייצוגית!) ושיחות מוקלטות עם השיילוקים שאחראים על התביעות האלו. יש מה לעשות וכדאי לעשות את זה עכשיו. חמש דקות שיסייעו לכם או לאנשים שאתם מכירים להמנע מהבעיה הזו: https://internet-israel.com/?p=10081 🐪 -- גדי עברון, ששמו הולך לפניו בתחום אבטחת המידע, הוציא מסמך ארוך ומפורט (יותר ממאה עמודים) המסביר למתחילים שרוצים להכנס לתחום אבטחת המידע איך להתחיל ללמוד ואיזה תפקידים יש. יחד איתו חתומים וחתומות על המסמך הזה באמת אנשים מקצוענים. מכירים מישהו שמעוניין בתחום הזה ולא יודע איך לפלס את דרכו? כדאי לקרוא אותו: https://drive.google.com/drive/folders/1syISegORAth67Ej-Ef7NPx9KReKomWq3 -- גילוי מהמם של חוקר אבטחת המידע פליקס קראוס על באג אבטחה שיש ב-iOS שמאפשר לחברות לשתול קוד ג׳אווהסקריפט בתוך in app browser. כלומר הדפדפן שנפתח ישירות מהאפליקציה. כלומר מישהו לוחץ על קישור שנשלח אליו בהודעה פרטית במסנג׳ר - נפתח דפדפן ואפשר לגלוש בו? אז זה דפדפן שבשליטה מלאה של מי שפתח. רוב החברות לא מנצלות את העניין אבל תנחשו מי משתיל קוד שיודע בדיוק מה אתם עושים באתרים ומקליט ושולח כל הקלדה וכל אות? פייסבוק ואינסטגרם (כמובן!) וגם טיקטוק. מידע נוסף בפוסט שלו: https://krausefx.com/blog/announcing-inappbrowsercom-see-what-javascript-commands-get-executed-in-an-in-app-browser וגם בדהמרקר אעלה היום אייטם על זה. -- ובלי קשר בכלל לתכנות, אבטחת מידע וטכנולוגיה: בשבוע הקרוב אני בכנס מיתופיה והולך להרצות על השפעת הסופר ג׳.ר.ר טולקין על סרטי אבי ביטר והפקות המזרח. יום חמישי בערב במודיעין. https://mythopia.org/4159

פוסט חדש שכתבתי באינטרנט ישראל שכתבתי על טייפסקריפט וריאקט. איך משלבים בינהם. זה הפוסט הכמעט אחרון בסדרת המדריכים על טייפסקריפט שכנראה תכנס (אחרי עיבויף עיבוד ועריכה משמעותיים + תרגילים) למהדורה הדיגיטלית של ״ללמוד ג׳אווהסקריפט בעברית״. https://internet-israel.com/?p=10066 🐪 והנה עוד כמה דברים שקרו השבוע :) -- עוד יום, עוד דליפה של מסמכים בגוגל דוקס ואין המון מה לעשות עם זה לצערי. המון המון עובדים שעובדים בהרבה מקומות מכניסים מידע אישי ורגיש ממש על אנשים בגוגל דוקס ואז משתמשים ב״שיתוף״ של קישור בלי הגבלה. הקישור הזה עובר בלי בקרה ולפעמים משתמשים בכל מיני שירותי קיצור דה לה שמאטע שנסרקים בקלות (גם גוגל דוקס סיפק בזמנו כתובת קלה לניחוש וזה תוקן לפני כמה שנים) והחגיגה בעיצומה. באמת זה רעיון מעולה שלא לחלוק מידע אישי בגוגל דוקס באמצעות שיתוף https://www.themarker.com/captain-internet/2022-08-11/ty-article/.premium/00000182-2103-d15a-a197-733f557c0000 -- אם חשבתם שרק בליכוד יש פרצות אבטחה מביכות - חישבו שוב כי בחולשות אבטחה עצובות אין ימין או שמאל. חולשת אבטחה מביכה (אתם יודעים כבר איזו: API חשוף שאין בו שום הגנה) איפשרה לכל אחד לבנות לעצמו מאגר מידע על מתפקדי מר״צ. יורי גבייב מצא ורשות הפרטיות טיפלה בכך במהירות עצומה. אבל כבר באמת נמאס. https://www.themarker.com/captain-internet/2022-08-09/ty-article/.premium/00000182-8287-d28a-ab8a-babfed020000

פוסט חדש באתר בעקבות הרצאה שהעברתי בכנס ReactNext והפוסט הוא על נגישות. יש אמבד של ההרצאה (חצי שעה באנגלית) אבל הכנסתי המון הסברים בעברית עם קישורים. אז ככה שהמאמר עומד בפני עצמו בלי קשר להרצאה. בפוסט אני מסביר על נגישות בריאקט - למה צריכים לעשות את זה, מעבר לעניין האנושי. למה לפעמים זה כל כך קשה ומוקד ההרצאה: איזה כלים אוטומטיים/חצי אוטומטיים יש לנו כדי לסייע: מספריות שונות לקוד עצמו, דרך לינטרים, כלי בדיקה ידניים בסביבת הפיתוח וכמובן כלי בילד מרמת היוניט טסט ועד ה-E2E. מקווה שזה יועיל. https://internet-israel.com/?p=10071 🐪 -- השבוע התפוצץ בטוויטר גילוי מעניין של אלעד ארנסט על כך שהוא הצליח להאזין לתקשורת האינטרנט של השכנים. מדובר על קונפיגורציה שגויה בספקית אינטרנט קטנה שהוא הצליח לנצל אותה באופן ממש נהדר ולהזאין לתקשורת הלא מוצפנת (כלומר לא ב-HTTPS( של השכנים. הוא כתב את הממצאים בשרשור ארוך בטוויטר שכדאי לקרוא. https://twitter.com/EladErnst/status/1554959156939001857 ניסיתי לשחזר את זה בפרטנר ובעוד מקומות ולא הצלחתי אבל זה לא אומר שזה לא קיים בספקיות קטנות או עלול לקרות במקומות אחרים או בדרכים אחרות. כתבתי הסבר מפורט בדה מרקר שאיפשר לי להסביר בדיוק מה המשמעות ולמה חשוב להקפיד על HTTPS ולהשתמש ב-VPN במקרה הצורך. https://www.themarker.com/captain-internet/2022-08-05/ty-article/.premium/00000182-6ce4-dc40-ab96-efed70660000