אינטרנט ישראל
رفتن به کانال در Telegram
עדכונים טכנולוגיים שבועיים בזמן אמת. ללא ספאם, ללא הודעות נוספות.
نمایش بیشتر8 551
مشترکین
-124 ساعت
-57 روز
-1330 روز
آرشیو پست ها
8 551
הנה סיפור משוגע לגמרי המערב ״האקרים״ טורקיים, הפלות אתרים וטמטום אינסופי.
הסיפור שלנו מתחיל בדיווח בטוויטר של העיתונאי יואב יצחק על כך שהאקרים תקפו את האתר שלו בדיוק כשהוא התכוון לפרסם ידיעה חשובה. האמת? אני בוש לומר שלעגתי לציוץ שלו. ״האקרים״ מסתוריים מופיעים כל הזמן כשיש תקלות.
אבל האמת? הוא צדק. איך אני יודע? כי קבוצת סקריפט קידיז (מונח המתאר אנשים עם ידע טכני נמוך המפעילים כלים אוטומטיים) פנו אלי בטוויטר בהתפארות והחלו לתקוף בהתקפת DDOS גם את האתר שלי. השם של המתקפה נשמע מפחיד - אך במקרה הזה זו היתה מתקפה פשוטה: הצפה של האתר שלי בבקשות כדי להפיל אותו. סייטגראונד, ספק האחסון, התמודד עם ההתקפה בגבורה. אבל ליתר בטחון העברתי את האתר לקלאודפלייר. וכעת הוא מוגן, לפחות ממתקפות פשוטות כאלו.
מה זה קלאודפלייר? איך אפשר להגן על אתר ממתקפת DDOS? כתבתי על זה מאמר - כדי לסייע לאחרים.
internet-israel.com/?p=8828 🐪
נחזור לקבוצת הטורקים. מה איתם? ובכן. כמו כל סקריפט קידיז הם התפארו בכל ״הישג״ מפוקפק שהם הגיעו אליו באתר המושקע שלהם.
מה הבעיה? הם איחסנו את האתר ב... Wix - לא הדבר הכי חכם כשאתה תוקף ישראלים ועוסק בפעילות פלילית בשם אידיאולוגיה. דיווח קטן למחלקת האביוז ופה זה נגמר. האתר של ה״האקרים״ הופל.
כל הסיפור גם באייטם ב Haaretz הארץ כמיטב המסורת:
https://www.haaretz.co.il/captain/software/.premium-1.7947979
8 551
בוקר טוב לכולם! יום ראשון וכרגיל פוסט חדש באינטרנט ישראל והפעם פוסט המשך על HTTP Headers ואבטחה. בפוסט אני כותב על שני headers חשובים: HSTS וגם x-frame - אני מסביר למה צריך אותם וכמובן שיש הדגמה.
ה-headers האלו חשובים לא רק בגלל הפונקציונליות שלהן. כשאני נכנס לאתר ואני רואה שיש אותם, ואין headers שלא צריכים להיות שם - זה סימן לכך שמישהו בדק את אבטחת האתר וזה כבר אומר המון. מאוד קל להטמיע אותן בכל מערכת.
וחוץ מזה, אם תקראו את המאמר תוכלו לומר לדודה המעצבנת בארוחת החג: "כן, היום קראתי מאמר מעניין על HTTP Strict Transport Security שמונע התקפות Man In The Middle SSL Strip" ולראות אותה מתעלפת לתוך המרק. וזה? זה שווה הכל. 👹
https://internet-israel.com/?p=8815 🐪
8 551
"עד שלא מנתקים אותך, אתה לא יודע עד כמה זה היא חלק משמעותי מהחיים שלך". אלו המילים שד״ר בצר אמר לי. ד״ר בצר היה פעיל במאבק ציבורי של רופאי השיניים מול משרד הבריאות וגורמים נוספים ורבי כוח בשוק הטיפולים הקוסמטיים הרפואיים. המאבק הצליח, אבל מייד לאחר ההצלחה, ד״ר בצר שילם מחיר יקר.
מה המחיר? הוא הותקף באופן מעניין: מניפולציה שנעשתה בוואטסאפ גרמה לחסימת החשבון שלו בוואטסאפ לנצח.
מה המשמעות? זה אומר שאתה פשוט... נעלם. נעלם מהקבוצות (כולל אלו שניהלת, ואז הן נותרות יתומות), אי אפשר למצוא אותך וכאילו שלא היה לך חשבון מעולם.
התוצאה? גזר דין מוות חברתי ומקצועי. למרות שאנחנו פה בטלגרם החמים והנעים, וואטסאפ היא הפלטפורמה המובילה ביותר שיש ואם אתה לא שם? אתה לא קיים.
איך התוקפים עשו את זה? עוד לא ברור לי במאה אחוז. לפני כמה חודשים וואטסאפ הטמיעו מערכת חדשה למניעת ספאם. במסגרת המערכת כל אחד יכול לדווח. ב-white paper שהם פרסמו בנושא הם פירטו את הדרכים שבהן המערכת, באמצעות AI (כהגדרתם) תמנע ניצול לרעה. הנה קישור:
https://www.whatsapp.com/safety/WA_StoppingAbuse_Whitepaper_020418_Update.pdf
אבל נחשו מה? מישהו, כנראה, מצא דרך לעקוף את המערכת הזו והשתמש בטכניקה מסוימת כדי לתקוף את ד״ר בצר. איך? משתמשים יכולים לדווח על אדם גם בלי אינטראקציה איתו. למשל יצירת קבוצה, הכנסת מישהו, הפיכה שלו לאדמין ואז הזמנה של המון מספרים לקבוצה. הם מדווחים על הספאם ולאחר מספיק דיווחי ספאם מפוברקים, החשבון נחסם ולך תדבר עם הלמפה. ייתכן שזה מה שקרה עם ד״ר בצר שדיווח על הוספה מסתורית לקבוצה כזו בדיוק קצת לפני שחשבונו נחסם.
לאחר שננעל מחוץ לחשבון ואיבד קשר עם המשפחה, הקולגות והחברים. ד״ר בצר נאלץ לשנות מספר.
אבל התוקפים לא הרפו. 24 שעות אחרי כן גם המספר החדש נחסם בוואטסאפ. 😔
וואטסאפ הפכה לתשתית בה״א הידיעה. אם אתה לא שם, אתה לא קיים. הבעיה היא שוואטסאפ שייכת לפייסבוק, חברה שטובת המשתמשים ושירות הלקוחות הם... לא נר לרגליה. ואני עדין.
פניתי לפייסבוק. הם החזירו לד״ר בצר את המספר החדש והגיבו באופן לקוני מאוד:
"צוותים שלנו בדקו את הנושא ומצאו כי אחד החשבונות לא נחסם ועדכנו על כך את המשתמש. החשבון הנוסף נותר חסום מאחר שאנו מאמינים שפעילות החשבון הפרה את תנאי השירות שלנו. למרבה הצער, בשל מגבלות חוקיות איננו יכולים לשתף מידע נוסף אודות ההחלטה לחסימת החשבון"
מה בדיוק קרה? למה החשבון שלו נחסם? מה הפעולות הלא חוקיות שהוא ביצע? ד״ר בצר לא יודע. הוא לא טכנולוגי ולא עסק בהפצת ספאם וכמובן שאיש לא טרח לומר לו איזה תנאי שירות הופרו. עד היום. מסרתי את המסקנות שלי לפייסבוק, אך אני לא יודע אם נעשה איתן משהו.
מה המסקנה? אין ממש. אי אפשר להתנתק מוואטסאפ היום.
אתם מובילים מאבק? כדאי להתכונן לאפשרות של ניתוק חשבון הוואטסאפ. ולשקול ליצור מספר חדש לצורך המאבק.
חסימות השרירותיות הגיעו לוואטסאפ וזו לא הפעם הראשונה שאנשים נחסמים על לא עוול בכפם. ההערכה/ניחוש שלי? זה ילך ויתגבר. מי שקורא את ההודעה הזו כבר נמצא במצב טוב - כי אם יחסמו אתכם תוכלו להמשיך ולתקשר בטלגרם. אני משתמש גם בסיגנל במקביל לטלגרם.
מידע נוסף באייטם שלי בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.7874427
מטבע הדברים השרשור הזה *לא* יפורסם בפייסבוק.
8 551
הפוסט החדש השבוע על DNS Propogation שבו אני מספר על מקרה שקרה לי והשבית את האתר שלי ליום שלם. מה קרה? קיבלתי תקלת DNS_PROBE_FINISHED_NXDOMAIN
איך מתמודדים עם זה? מה קורה כשיש תקלה כזו באתר שלכם? בפוסט יש הסבר מקיף על העניין שלפי דעתי מעניין לקרוא אם אתם לא מכירים.
https://internet-israel.com/?p=8746 🐪
--
ועכשיו לאייטם מעניין שפרסמתי השבוע על פנגו. אחד מפרטי המידע החשובים והרגישים שיש עלינו הוא מיקום. אתה יודע על מישהו את המקום שלו? אתה יכול לעשות המון. מבחינה מסחרית זה יופי של מידע, לא סתם waze נרכשה על ידי גוגל בסכום גבוה. לא סתם פייסבוק מבקשת הרשאת גישה למיקום לאפליקציות שלה. אבל לארגוני טרור, מודיעין וסתם לפושעים זו חגיגה אמיתית. גם מבחינה אישית - זו ההרגשה הכי לא נעימה לדעת שנתוני המיקום שלנו גלויים.
חברת פנגו אוחזת במידע מיקומי רגיש כזה. כל מי שיש לו רכב משגר את נתוני המיקום שלו בכל בקשה לחניה. כיוון שהחברה עובדת עם חניונים רבים - הנתונים על התשלומים בחניונים גם נאגרים בחברה.
אבל פנגו השתמשו בקוד מאובטח, המערכת שלהם לא חדירה. מה כן היה חדיר? מערכת של מסר10, ששלחה מידע לחלק מלקוחות החברה, שלחה דיוור ללקוחות החברה והשתמשה בקישורים קלים לניחוש. משהו בסגנון: example/?id=1234 - מה שהתוקף יכול היה לעשות זה לסרוק את כל הקישורים בשופי ובנחת ולקבל גישה לחשבוניות של חלק מהלקוחות בחצי השנה האחרונה.לא היתה הגנת brute force. זה אומר פרטי לקוח מלאים בתוספת נתוני מיקום של כל התשלומים שלו בכחול לבן ובחניונים. והכל בפורמט נוח לקריאה. על כ-5% מהלקוחות.
כמה וכמה חוקרי אבטחה ראו את העניין הזה. דותן אגמון דיווח לי ראשון, גם נעם רותם הבחין בעניין הזה וגם חוקרים אחרים. אם הם ראו? יש סיכוי שמישהו פחות נחמד ראה.
וזה לקח חשוב לכולם: גם אם הקוד שלכם סופר מאובטח, לפעמים כשל של ספק צד שלישי עלול לחשוף אתכם. כדאי מאוד לוודא שהספק שלכם עומד בסטנדרטים שלכם. אין מצב שחוקר אבטחת מידע היה רואה את זה ומאשר את העניין הזה. כדאי לדרוש מהספקים שלכם אישור על כך שהם עורכים בדיקות חדירות בתדירות מסוימת. זה המינימום של המינימום.
אבל לא הכל שחור - כשדיווחתי לפנגו הם הודו (!) לי והתייחסו לעניין ברצינות ובמהירות. גם זה משהו.
להרחבה, האייטם שלי ב׳הארץ׳:
https://www.haaretz.co.il/captain/software/.premium-1.7860043
8 551
החלטתי לשים פה קצת יותר פוסטים של דברים מעניינים שאני כותב עליהם ב׳הארץ׳. אבל לא לדאוג, עדיין המדיניות היא לא להציף ולהפציץ. פשוט במקום הודעה אחת בשבוע, שלוש. וכמובן לא בשעות הזויות/ימי חג ומועד.
כולנו מכירים אימות דו שלבי, נכון? זה אימות בנוסף לסיסמה שאני מקווה שמופעל אצל כולכם. אפשר להפעיל אימות דו שלבי עם אפליקציה, טוקן פיזי או סמס.
נכון, עדיף אימות דו שלבי בסמס מאף אימות דו שלבי. אבל אימות באמצעות סמס הוא רעיון פחות טוב. למה? כי קל לעקוף אותו. אחת הדרכים המגניבות נחשפה על ידי ESET.
אפליקציות מזויפות הן מכה מוכרת וקשה בגוגל פליי. ולא מעט אפליקציות מתחזות לאפליקציות של בנקים מנסות לגנוב את שם המשתמש והסיסמה שלכם. אבל מה קורה אם יש אימות דו שלבי? בעבר האפליקציות ביקשו גישה לסמסים. אבל מגרסה 6 של אנדרואיד, אין יותר גישה לסמסים מאפליקציות מפוקפקות אז מה?
האפליקציות הזדוניות ביקשו גישה אל ה*נוטיפקציות*. אותן הודעות שמופיעות לנו על המסך. כשסמס מתקבל, רואים את תחילתו בנוטיפקציות. וזה? זה מספיק. המשתמש היה מזין שם משתמש וסיסמה באפליקציה המתחזה והיא היתה עושה לוגין בשמו ושואבת את האימות הדו שלבי מהנוטיפקציות. זה הכל.
מה המסקנה? כרגיל: לשים לב למה מורידים, להעדיף אימות דו שלבי באפליקציה ולא לתת הרשאות לנוטיפקציות לאפליקציות. בנוסף, אולי להוריד את הנוטיפקציות בכלל מהמכשיר, בטח ובטח שהוא כבוי - זה רעיון טוב. גם לפרודוקטיביות.
תודה לאמיר כרמי שסיפר לי על זה :)
האייטם בהארץ למעונינים במידע מעבר:
https://www.haaretz.co.il/captain/software/.premium-1.7860188
הפוסט המקורי של ESET שאמיר כרמי שלח אלי:
https://www.welivesecurity.com/2019/08/22/first-spyware-android-ahmyth-google-play/
--
ועוד משהו - הקבוצה של ים מסיקה ״שיט טכנולוגי״ היא קבוצה סופר מומלצת: https://t.me/shiftech2 נסו ותהנו 😊
8 551
אז לפני כמה ימים העברתי הרצאה על Secured HTTP Headers בכנס press4word. זה כנס ממש מגניב וכיפי ואני כבר מרצה בו בפעם הרביעית! בפוסט החדש. יש את המצגת ואת החלק הראשון של ההרצאה: מה הם Headers ואיזה מהם אנחנו חייבים להעיף מהאתר שלנו. מומלץ לא רק לאנשי וורדפרס:
https://internet-israel.com/?p=8800 🐪
8 551
מאמר חשוב שכתבתי שלא רלוונטי כמעט לאף אחד פה ומספר על איך משתלבים בתעשייה בגיל מבוגר. כלומר בשלהי גיל ה-30, גילאי ה-40 וה-50. כן, זה בהחלט אפשרי ובניגוד למה שחושבים, ההייטק פתוח גם לגילאים מבוגרים. אני מקבל המון שאלות ובמקום להשיב בנפרד, כתתבי מאמר מקיף שמתייחס לגילאים מבוגרים יותר שיש להם אילוצים שאין לצעירים: ילדים או הורים מבוגרים, עבודה אחרת ומשכנתה והתחייבויות וכמובן אתגרים אחרים בהשתלבות בעבודה. כי בכל זאת מעסיקים מרימים גבה כשבא אליהם ג׳וניור בגיל 55. אבל הכל פתיר ו*אפשרי*
מן הסתם התמקדתי בעיקר בתחום שאני מכיר, שזה תחום פיתוח הווב. אז עם כל אנשי הדיגיטל, האבטחה, הפרודוקט, ה-SEO וה-support engineers - הסליחה.
https://internet-israel.com/?p=8788 🐪
--
השבוע ביום חמישי אני מעביר הרצאה מעניינת ביותר על HTTP Headers בפרס4וורד. הכנס, בה״א הידיעה, לאנשי וורדפרס. ההרצאה מדברת על אבטחת מידע באמצעות Headers והיא באמת מעניינת. אתמול עשיתי את החזרה עליה בפני עומרי (הבן הגדול שלי) והוא עף עליה. אז אם אתם בכנס - בואו! אני מרצה על הבוקר ויהיה הכי כיף שיש. מבטיח: https://press4word.co.il
--
בנוסף, אני הולך להרצות במסגרת המיזם המצוין של Wize - מרצים על הבר. הם עושים משאל על הנושא: האקינג, פרטיות או אבטחת מידע. זה הזמן להצביע ולהשפיע :) https://www.facebook.com/WizeNight/photos/a.261857920540455/2466341693425389/?type=3&permPage=1
8 551
אז היה לנו קצת שמח בביצה המקומית של בעלי האתרים עם מכתבים שקיבלו בעלי עסקים ואתרים מעמותה שנקראת 'נגישות IL' (שימו לב שלא מדובר בנגישות ישראל). במכתבים נטען שיש באתר שלהם "בעיית נגישות" ונמסר להם שאם הם לא יעמדו בכל כללי הנגישות הם צפויים למלוא הסנקציות שיש בחוק - מאסר פלילי וכמובן תביעה כספית נכבדה.
מעבר לעובדה שזה לא נעים לקבל מכתב כזה ואפילו מרגיז, זה גם לא תקין - כי אם יש בעיית הנגשה צריכים לפרט באופן טכני מה הבעיה של הבעיה הזו.
internet-israel.com/?p=8777 🐪
8 551
יש התקפה מאוד מעניינת שמנצלת סוג של פיצ׳ר בדפדפנים. כאשר אני לוחץ על קישור באתר מסוים והוא פותח לי אתר אחר בלשונית דפדפן נפרדת, לאתר שנפתח יש יכולת להשפיע על כתובת ה-url של הלשונית המקורית באמצעות אובייקט שנקרא opener. זה יכול להיות בעיה כי סקריפט זדוני יכול לשנות את ה-url המקורי לאיזה אתר פישינג והתקפות כאלו כבר נצפו בעבר.
אך לא אלמן פיירפוקס, כרום ואפילו אדג׳ וספארי ויש פתרון בדמות rel=noopener ומומלץ מאוד להכיר אותו. הפתרון הזה מונע מאתרים שאתם מקשרים אליהם לגשת לאובייקט opener.
ואם כבר אני מדבר על בעיות עם קישורים, זה הזמן גם לספר ולהדגים על rel=nereferrer שמגן על הפרטיות של המשתמשים שלכם מכל מיני תמנוני רשת (אהם אהם פייסבוק).
כל המידע על זה + דוגמאות שהכנתי בפוסט החדש:
https://internet-israel.com/?p=8760 🐪
אני מופיע בספטמבר בשני אירועים:
1. האירוע שאני ממש ממש נהנה להגיע אליו כל שנה (בפעם הרביעית ברציפות) הוא press4word. השנה אני אדבר עם אבטחה, כלים אוטומטיים וקצת על headers. ב-12 לספטמבר: https://press4word.co.il
2. האירוע השני הוא מיטאפ של קהילת המפתחים הרשמית של טוויטר בארץ. שם אני הולך לדבר על טכנולוגיה מזווית לא שגרתית ומסביר איך ארגונים שונים משתמשים בטכנולוגיה כדי לחשוף מקורות של עיתונאים בטוויטר. ב-25 לספטמבר
https://www.meetup.com/Israel-Twitter-Developers-Community/events/263332103/
אל תגידו שלא אמרתי לכם.😊
8 551
השולחן שלי מלא בחולשות אבטחה ופרצות וכך גם השולחנות של כל כתבי הטכנולוגיה שיש. באמת. אני כבר מיואש מזה. שוב ושוב אני נתקל בחולשות אבטחה משמעותיות שבאמת לא היו צריכות להיות שם. פעם עוד הייתי מתרגש, כועס ומתעצבן וכותב על זה. היום רק אם זה משהו ממש משמעותי אני מתפוצץ.
אבל הפוסט היום הוא באמת על משהו שטרם ראיתי עד כה ויגרום לכל מתכנת להתפוצץ (או לצחוק, תלוי באישיות).
עומר כביר ב"כלכליסט" פרסם אייטם נאה מאוד על פירצה משמעותית שהתגלתה בשרתי פרטנט. מי שגילה הוא ידידי המוכשר נעם רותם. בכתבה מוסבר על הצד העסקי של העניין - מטבע הדברים בכלכליסט לא ייכנסו לעניינים הטכניים.
https://www.calcalist.co.il/internet/articles/0,7340,L-3768261,00.html
אבל בדיוק בשביל זה יש לי בלוג טכני, כדי שאני אוכל להכנס לעניינים הטכניים והפירצה הזו היתה כל כך מגוחכת שהייתי חייב לכתוב עליה. הפירצה היתה מסוג SQL Injection. פירצה שכבר לא אמורה להתקיים בכלל מרוב שהיא וותיקה אבל עדיין מוצאים אותה.
אני עושה לא מעט הרצאות על אבטחת תוכנה ופיתוח מאובטח ובכל הרצאה כזו יש כאלו שמתפלאים, ובצדק, על העובדה שאני מדבר על SQL Injection. "מה? אפשר לכתוב קוד פרוץ לזה?" הם שואלים.
אז הנה, בפרטנר יצרו חור כזה . אבל רגע! זו לא סתם פירצה רגילה. הו לא, לא הייתי מתרגש בכלל מהעניין הזה. מסתבר שהם עשו משהו שעוד לא יצא לי לראות - בממשק עצמו הם איפשרו הרצת שאילתה שלמה (!!! 😕). כל מה שמישהו העביר ב-URL parameter ששמו היה sqlCommand פשוט רץ במסד הנתונים בלי הפרעה.😱
במאמר הטכני אני מסביר על זה SQL Injection ממש בקצרה ונכנס ל"עומק" הפירצה הזו. זה פשוט עצוב. אנחנו בשנת 2019.
https://internet-israel.com/?p=8752 🐪
8 551
מאמרון קצר שכתבתי על תופעה שממש מרגיזה אותי כבר שנים - navigator.vibrate. זו פיצ'ר של HTML 5 שהוא די וותיק ודי מרגיז שמאפשר למתכנתים להרעיד לכם את הטלפון. במאמר הזה אני מסביר על הפיצ'ר הזה ואיך מפעילים אותו:
https://internet-israel.com/?p=8737 🐪
ואם אני כבר חופר - סיפור נאה על פרצה של אתר 3fun. זה אתר הכרויות למטרת מין קבוצתי. למשל זוג שמחפש צלע שלישית, רביעיה שמחפשת שלישיה למטרת שביעיה ושאר מצוות ומעשים טובים. חוקר אבטחה חביב עשה בדיקה על האתר הזה ועיניו חשכו. למה? מסתבר שמפתחי האפליקציה בחוכמתם האינסופית מחזירים את כל המידע על כל המשתמשים בבקשת GET פשוטה כאשר הם סומכים על הקליינט (!) להציג את המידע שמותר למשתמש לראות. מה זאת אומרת? זאת אומרת שאם אני, כמשתמש, מבקש מהאפליקציה להראות לי את כל הזיווגים ברדיוס מסוים (בקשה לגיטימית, כמו בטינדר למשל). השרת שולח לי את *כל* המשתמשים שיש באותו הרדיוס בלי שום קשר לאם הם רלוונטיים עבורי, אם הם במצב קריאה בלבד ואם הם ביקשו להציג את המיקום שלהם. האפליקציה היתה אחראית על הסתרת המידע שהמשתמש לא אמור לראות.
חוקר אבטחת המידע פשוט הרים POSTMAN, שיגר את הבקשה והסתכל על התוצאות שכללו גם מיקום חי של המשתמשים באפליקציה. למרבה ההפתעה, יש לא מעט חובבי מין קבוצתי שמסתובבים להם בבית הלבן ובבית המשפט העליון האמריקאי - שני מקומות שאמורים להיות שמרניים. אני ב ה ל ם. 😱
השוס האמיתי - כשהוא פנה אליהם הם ענו לו במבטא הודי וביקשו ממנו עזרה איך לסגור את הפירצה הזו. שזה מדהים כי זה כמו שקבלן יבקש ממך עזרה לבנות דלת. מי האידיוט שסומך על צד הלקוח שיסנן פרטים לא רלוונטיים למשתמשים? בכל מקרה הפירצה תוקנה וכתבתי על זה (כולל קישורים רלוונטיים וסרטון בו אני מסביר על פוסטמן) במאמר הזה ב׳הארץ׳:
https://www.haaretz.co.il/captain/software/.premium-1.7654666
.
.
.
[אזהרה, בדיחת אבא דלוחה: הכותרת המקורית שלי היתה: ״אפליקצית המין הקבוצתי היתה חדירה״. לא מבין למה לא אישרו לי אותה 😢 ]
8 551
האתר שלי הוא אתר וורדפרס פשוט שאין בו שורת קוד אחת שכתבתי לבד. אבל מה? יש לי קישור בתחתית האתר שבו יש את מדיניות אבטחת המידע שלי וגם מייל מיוחד שבו אפשר לדווח על תקלות. לפני כשבועיים קיבלתי שם הודעה על בעיית אבטחה באתר. ארז רוקח, מהנדס תוכנה שביקר באתר גילה שאני משתמש בגרסת jQuery מתקופת המנדט שיש בה חולשות מובנות.
הפתרון? פשוט - לשדרג את הגרסה הארורה. אבל איך ארז גילה את הבעיה הזו? יש כלי ממש חמוד של גוגל שמוצא בעיות כאלו ובעיות אבטחה נוספות והוא נמצא כבר בדפדפן שלכם. במאמר הקצרצר הזה כתבתי על הכלי הזה וסיפרתי את הסיפור. ממש נחמד וכיף להכיר.
https://internet-israel.com/?p=8731 🐪
--
הספר הראשון שלי ׳ללמוד ג׳אווהסקריפט בעברית׳ יצא לאור במהדורה הדיגיטלית! אם רכשתם/הייתם שותפים בפרויקט ועוד לא יצא לכם להוריד - זה הזמן 😊
https://hebdevbook.com
הספר מתעדכן כל הזמן. כרגע אני מעדכן אותו בכל מיני בעיות, אבל בעתיד הוא יתעדכן גם בגרסאות החדשות של השפה ובמודולים שייכנסו. אם התלבטתם ולא הצטרפתם - עדיין אפשרי לעשות את זה בחנות של הדסטארט: https://headstart.co.il/project/44925
מה עם מהדורת הפרינט? ספר ה-Node.js המובטח? הכל בדרך. בדף הזה יש פירוט וגם הזדמנות להרשם לרשימת תפוצה שבה אני חופר על התקדמות הפרויקט בכל שבוע. משתף את הקשיים וההצלחות. בעמוד הזה:
https://internet-israel.com/jsheb-info
יאללה, חפרתי מספיק.
8 551
בזמן האחרון יוצא לי להיות מאוד לקוני פה. בעיקר בגלל העבודה על הספר (מחר הוא יוצא!). אבל לפרסם מאמרים טכניים כל שבוע אני מפרסם.
המאמר החדש הוא על בדיקת בעיות ב-CSS באופן אוטומטי. הרבה פעמים אנחנו נדרשים לתמוך בכל מיני דפדפני אנו-באנו - אם המצב שלכם הוא כזה, מומלץ וכדאי להשתמש בכלי קטן בבילד שלכם שימנע שימוש בתכונות CSS שלא נתמכות על ידי דפדפן כלשהו ממטריקס הבדיקות שלכם.
אם זה נשמע לכם כמו מדע בדיוני אז כדאי מאוד להכנס לזה ולקרוא. העולם מתקדם ואנחנו לא עובדים בצורה שעבדנו בה לפני עשור כי אנחנו חייבים להיות יותר יעילים. זו אחת הדרכים:
https://internet-israel.com/?p=8723
8 551
הרשת רעשה לפני כמה ימים מ(עוד) גילוי על פייסבוק. מסתבר שפייסבוק מכניסה לכל תמונה שמועלה אליה קוד. הקוד הזה מאפשר לחברה לעקוב אחר כל תמונה גם אם היא מועלית שוב.
זה נשמע קצת כמו מדע בדיוני, אבל זה ממש לא. השיטה הזו נקראת סטגנוגרפיה. הסתרת מידע בתוך מידע אחר.
פייסבוק הסתירה מידע מוצפן בכל תמונה שהועלתה. אם הורדתם תמונה מפייסבוק והשתמשתם בה שוב - פייסבוק תדע שזו תמונה שהועלתה כבר ואת כל הפרטים עליה. זה לאו דווקא משהו רע, אבל בהחלט כדאי להיות מודעים לכך שכל פלטפורמה/מערכת יכולה להכניס מידע כזה לכל קובץ. הורדתם קובץ ושלחתם אותו למקום כלשהו? אם החברה הטמיעה את שם המשתמש שלכם בקובץ והקובץ שוב יגיע לידיהם - הם ידעו מה המקור שלו.
זה לא קסם האקרי אפל אלא טכניקה פשוטה ומעניינת ואתם יודעים מה? יופי של הזדמנות לדבר על הטכניקה הזו.
במאמר שלי ב׳הארץ׳ ובמאמר טכני יותר באינטרנט ישראל התמקדתי בטכניקה הזו - איך בדיוק עושים את זה? והדגמתי באמצעות cmd - גם איך משחזרים וגם איך בודקים את המידע הזה.
המאמר בהארץ :
https://www.haaretz.co.il/captain/software/.premium-1.7538222
המאמר הטכני יותר באינטרנט ישראל:
https://internet-israel.com/?p=8713 🐪
אגב, בספר הדיגיטלי שלי (שיוצא עוד שבועיים!!!) אני מטמיע טכניקה כזו (ועוד כמה) על מנת ״לחתום״ את העותקים ולזהות, במקרה של העתקה מסיבית, מי המפיץ. אני מעדיף את זה פי אלף על פני DRM מציק.
8 551
ההרצאה שלי מכנס רברסים עלתה לאוויר בוידאו. בפוסט החדש יש את הקישור לסרטון ואת המצגת שבה יש קישורים חיים לדמואים.
בהרצאה (שהיא טכנית ומיועדת למתכנתים) הדגמתי טכניקות מעקב שונות אחרי משתמשים. מכמה ידועות עד כמה ידועות פחות.
internet-israel.com/?p=8708 🐪
8 551
המאמר האחרון שפרסמתי הוא מאמר שמראה למה כדאי לעבוד בצוות הטרוגני. כלומר צוות שמורכב מאנשים מכל מיני רקעים ומכל מיני גילאים. אני נחשב מפתח בכיר, יש לי הרבה ניסיון ועדיין - תמיד אפשר ללמוד ובדרך כלל לומדים מאנשים שיש להם חשיבה קצת שונה משלך. במאמר הזה אני מספר על ויכוח מקצועי שהיה לי עם מפתח אחר בקבוצה על דרך נכונה לעשות import למונוריפו בג׳אווהסקריפט ועל איך שפתרנו אותה.
אם זה נשמע לכם כמו סינית, אז זה לא סינית. אתם משתמשים בזה אם אתם מפתחים ריאקט. יש מצב שאתם לא יודעים אפילו:
https://internet-israel.com/?p=8701 🐪
8 551
מאמר חדש שכתבתי על npm audit. מיוחד למתכנתי Node.js - מה זה, איך משתמשים בו ואיך מתקנים איתו חורי אבטחה פוטנציאליים. חמש דקות קריאה שאחריה תוכלו לאבטח את הקוד שלכם כמו שצריך.
חורים ואירועי אבטחה לא באים משמים, אפשר וצריך למנוע אותם. זו אחת מהדרכים.
internet-israel.com/?p=8695
8 551
אני בפסטיבל המטאל "גראספופ" - שותה בירה, ויסקי, ושומע מוזיקת מטאל. אבל גם בגולה הדוויה הלב שלי עם המתכנתים בארץ. המאמר שלי השבוע הוא מאמר על SRI - חתימת טעינה חיצונית כדי למנוע מצב של Supply Chain Attack. נשמע כמו סינית עתיקה? ממש לא. בשבוע הקודם כתבתי על CSP. בשבוע הזה אני מרחיב את היסודות ומסביר איך כותבים CSP שמוודא שהקובץ שאנו טוענים מספק צד שלישי הוא באמת קובץ שבדקנו אותו.
https://internet-israel.com/?p=8678 🐪
8 551
לפני כשבוע וקצת העברתי הרצאה בגיקטיים קוד. אני מאוד אוהב את גיקטיים ומקפיד מאוד להתעדכן שם ושמחתי מאוד להרצות אצלם בכנס. בכנס, בין השאר, דיברתי על Third Party Integration ועל איך להגן על עצמנו מהתקפה כזו. אחת הדרכים היא שימוש ב-CSP בצורה נבונה. אבל... מה זה CSP? כרגיל - שם מפחיד למשהו פשוט ביותר. במאמר הזה אני מסביר על CSP למתחילים. מה זה, איך משתמשים בזה ואיך מדבגים את זה וכמובן דוגמאות כיד המלך. המאמר הבא ידבר על CSP מתקדם יותר. אבל כדאי להתחיל עם זה:
https://internet-israel.com/?p=8686 🐪
--
היום אני מעביר הרצאה ב׳רברסים׳ 16:20-16:50 | A10 - יהיה מצחיק וגם מעניין. מבטיח.
--
ובפינת ההמלצות - מורד שטרן, מנהל הקהילות מוויקס הוא אולי אחד האנשים הכי מקושרים ומבינים בארץ. אם אתם צריכים משהו ממישהו - הוא הכתובת. יש לו ערוץ טלגרם שימושי (ולא מציף או חופר) שבו הוא מפרסם קריאות לשיתוף פעולה, כנסים בינלאומיים וכו׳. יצאו משם המון חיבורים מענינים. אם אתם בתעשיית ההייטק - כדאי להציץ:
https://t.me/techisrael
עוד ערוץ שאני מקווה שאתם חברים בו הוא הערוץ של עורך הדין יהונתן קלינגר שבו יש חדשות טכנולוגיות מעניינות ושוות. גם שם אין חפירות: https://t.me/jklinger
8 551
מאמר חדש שכתבתי על Cache API - דרך נהדרת ופשוטה מאוד לנהל את הקאש. זה יכול להיות מאוד שימושי בלא מעט מקרים וממש ממש קל להשתמש בו.
https://internet-israel.com/?p=8670 🐪
בשבוע הקודם ניסיתי אוטומציה חדשה שתשלח לי את ההודעה על העדכון והיא נכשלה ושכחתי לעדכן ידנית. נו שוין.
--
שבוע הבא - יום ראשו - אני מרצה בכנס רברסים בשעה 16:20 באולם A10. ההרצאה היא על פרטיות ואיך אפשר להפר פרטיות של משתמשים ולעקוב אחריהם בכל מיני דרכים נלוזות ומגעילות במיוחד. עם דוגמאות חיות. קלאסי לאנשים רעים, סטוקרים או אנשים שרוצים להתגונן מהם.
עוד הרצאה מגניבה שאני ממליץ עליה היא ממש בבוקר של ערן שפירא על Visual Testing. זה חלק קריטי מה-CI אצלנו והזדמנות נדירה לראות איך זה קורה בפועל.
