fa
Feedback
אינטרנט ישראל

אינטרנט ישראל

رفتن به کانال در Telegram

עדכונים טכנולוגיים שבועיים בזמן אמת. ללא ספאם, ללא הודעות נוספות.

نمایش بیشتر
8 551
مشترکین
-124 ساعت
-57 روز
-1330 روز
آرشیو پست ها
המאמר הפעם הוא מאמר מאוד מאוד טכני, אז כדי שהקוראים שפחות מתעניינים בזה לא יימלטו מהערוץ, אני אכתוב כמה מילים נוספות ומעניינות איך המאמר המשמים הזה קשור לאבטחה, להודים ואוקראינים ובכלל לחיים. המאמר הוא על... git commit linter שזה כלי שמבצע בדיקת קוד סטטית על git commit messages. למה צריך כזה דבר? אם יש לי כלים שבודקים את ההודעות האלו כדי לבצע פעולות מסוימות, אז הלינטר יכול להציל מתכנתים. ממש כך. למשל, lerna שמשתמשים בה לניהול מונוריפו. אם אני אכתוב chore ואז שם לא נכון של חבילה, אז הגרסה של החבילה לא תתקדם ויקח זמן לדבג את זה. הפתרון? לינטר *מקומי* במחשב של המפתח שיתריע בפניו. ירצה? יתקן. לא ירצה? no-verify וחלאס. אבל לפחות הוא ידע שזה על אחריותו. https://internet-israel.com/?p=9104 🐪 -- ואיך זה קשור לאבטחת מידע? או להודים ולאוקראינים? קוד טוב זה קוד מאובטח. לא כל המפתחים הם גאונים, לא כל המפתחים הם מבריקים. אני (ואני לא ציני פה) מתכנת בינוני לגמרי. אני אסתבך עם רקורסיה, אני אשכח פונקציות, אני אכתוב קוד לא יעיל. איך אני גורם למתכנת בינוני לכתוב קוד מעולה? באמצעות תהליכים. תהליך שהקוד שלי עובר והופך להיות מצוין, תהליכים שמונעים ממני לבזבז זמן יקר. כי מתכנת מעולה ופדנט ידע לכתוב את השם של ת החבילה בלי שגיאות. מתכנת בינוני יעשה טעות ויקח לו שעתיים להבין מה התחרבש. שימוש בלינטר יחסוך את השעתיים האלו. וכשיש לנו מאות מתכנתים בצוות - זה חסכון עצום בזמן. ככה גם בנוגע לבדיקות אוטומטיות, בדיקות אבטחה וכו׳ וכו׳ - תהליכים כאלו הם אלו שהופכים קוד סביר לקוד מעולה ובקוד מעולה תראו ה-ר-ב-ה פחות בעיות אבטחה. ומה בנוגע לאוקראינים והודים? אני מתכנת מאוד ותיק, ושומע על ״עוד מעט כולכם תוחלפו בהודים זולים בחבחבחבח״ כבר המון שנים. אז חשוב לומר שאוקראינה והודו הן מדינות ענק ומאוד קשה להכליל ואני מאמין שיש, סליחה, שרוב המתכנתים ההודים והאוקראינים הם מבריקים, אבל הם לא זולים. הזולים? הם לא יצליחו לנפק קוד איכותי - לא בגלל שהם טיפשים או שאני גאון - אלא בגלל תהליכים כאלו. אני לעולם לא אצליח להתחרות עם הודים, ויאטנמים, סינים וכו׳ על מחיר. הם תמיד יגבו פחות ממני. אני כן יכול להתחרות איתם על האיכות. והמאמר למעלה זה גם חלק משרשרת עצומה של תהליכים שכדאי להכיר וליישם כדי לנפק קוד איכותי יותר. זהו. סוף לחפירה. תהיו חזקים בתקופה המאתגרת הזו ❤

הפוסט החדש באתר הוא על דרך חדשה ומגניבה במיוחד לעקוף CSP. כן! למי שלא מכיר - CSP זה סוג של ״חומת אש״ שאפשר לשים באתר והיא תמנע, בצד הלקוח, שליחת בקשות לאתרים אחרים. למה זה טוב? המון תוקפים מתמקדים בגניבת פרטים מהאתר שלכם עם התקפות XSS. בריטיש איירוויז, מכירים? הם חטפו מתקפת XSS על עמוד הסליקה שלהם. במשך זמן, כל מי שרכש כרטיס דרכם גם שיגר את פרטי כרטיס האשראי שלו אל התוקפים. נזק של מיליונים רבים ותביעות משפטיות. עם מדיניות CSP אפשר לעצור את זה ולמנוע תנועה מהאתר אל מקומות לא מורשים. אמיר שקד מ-PerimeterX מצא דרך לעקוף את זה. איך? באמצעות התלבשות על הבקשות של גוגל אנליטיקס. ויש כבר מתקפות כאלו בשטח. הנה המאמר: https://internet-israel.com/?p=9099 🐪 יש שם גם הסבר על CSP. לא הכרתם? שווה מאוד להכיר. -- השבוע היה לי את הזכות והעונג לדבר בפייסבוק לייב עם איציק זילברברג מקבוצת Israel Cyber Security על סייבר, איך זה משתלב עם עיתונות, מה זו עבירה על החוק ולמה מתכנתים צריכים להבין באבטחת מידע ולמה גם אנשי אבטחת מידע צריכים להכיר את הקוד. למי שרוצה לראות ופספס - הנה ההקלטה ביוטיוב: https://youtu.be/QZcLXdov6QI יש גם בפייסבוק בקבוצה המומלצת: https://www.facebook.com/groups/israel.cyber.sec/?ref=share היו המון משתתפים והמון צחוקים כולל ביצוע בלייב של ״פתח תקווה״ של אינפקציה. -- ואם כבר אני חופר - הנה המלצות על כמה ערוצים מעניינים פה שאני מחובר אליהם: הראשון הוא Really Good Front End - שחר טל ורוני אורבך, מתכנתים שאני ממש מחזיק מהם מבחינה מקצועית (אני חושב שאת רוני אני מכיר מקצועית יותר מעשור) וגם אחראים לחברת פיתוח מומלצת (הכתובת שאני תמיד מכוון אליה ששואלים אותי איפה לפתח) - הרימו ערוץ עם טיפים לפיתוח פרונט אנד. מומלץ: https://t.me/ReallyGoodFrontEnd השני הוא הערוץ של Go Code שאני מאוד אוהב - גם את מי שעומד מאחוריו וגם את היוזמה באופן כללי. טיפים ומדריכים רלוונטיים לפיתוח פרונט ובק. https://t.me/gocodesderot לאלו שאוהבים לחפור על אבטחת מידע - יש את הקבוצה של CyberSpace ISR: https://t.me/cyberspaceisrael שימו לב שההודעות שם רצות בקצב של קבוצת ווטסאפ של הורי גן שניה אחרי שמתגלה שהגננת והסייעת חלו בקורונה, אבולה ואבעבועות שחורות. הערוץ של קלינגר - עורך דין ואחד המומחים הגדולים בארץ לדיני אינטרנט גם הוא מומלץ: https://t.me/jklinger -- יש משהו שפספסתי? מכירים ערוץ להיט? שלחו לי אל rbarzik.

המאמר השבוע קצת התעכב אבל הוא שווה ומעניין - המאמר עוסק ב-clipboard API החדש ואירועי ה-clipboard. אני מסביר ומדגים עם הרבה קוד. בסוף? בונוס - איך אפשר להשתמש בהם לכל מיני תעלולי אבטחה נלוזים ולמתקפות שונות. זה מאמר ארוך עם הרבה קוד, אבל אם אתם מפתחי ווב - לגמרי שווה. https://internet-israel.com/?p=9087 🐪 מסתבר שהמידע שיש לכם ב-clipboard מאוד מעניין חברות ועסקים - במיוחד טיקטוק התמנונית והשמנונית שהאפליקציה שלה שואבת את כל המידע שיש שם לא מעט פעמים. המאמר בהארץ כבר בהכנה.

הפוסט השבוע הוא מאמר נוסף על אבטחת מיילים או יותר נכון - החלק שבו אתם יכולים להבטיח שהמיילים שלכם/של הלקוחות לא ימצאו את עצמם בתיבת הספאם. והפעם? על DMARC. שזה לא ממש מנגנון הגנה אלא הצהרת כוונות שכדאי מאוד שיהיה יחד עם DKIM ו-SPF שכתבתי עליהם בעבר. אני מקווה שהמאמר הזה ושני הקודמים לו יגרמו למיילים להראות קצת פחות כמו וודו אפל ודוחה. https://internet-israel.com/?p=9077 🐪

המאמר השבוע הוא מאמר חדש שכתבתי על... DKIM - מנגנון הגנה ואימות מיילים. מנגנון שעובד במקביל ל-SPF ומשלים אותו. אני יודע שמיילים זה דבר מרתיע. עבור פרחחי ווב, כמוני, מיילים היו כמו מדפסות - משהו שתוכנן על ידי השטן ורק הוא יודע איך זה עובד ואם זה מתקלקל רק אלוהים יכול לעזור. אבל האמת היא שזה די פשוט וקל להבנה. במאמר הזה אני מסביר הכל על DKIM (ומקשר למאמר הקודם על SPF) - אני יודע שזה נושא שנראה לא מעניין ולא חשוב ובמיוחד למפתחי ווב - אבל תאמינו לי שכמה דקות קריאה יסגרו לכם את הפינה. https://internet-israel.com/?p=9071 == בנימה אחרת, לפני כמה ימים יצא לי לומר ״כל הכבוד״ לאנשי ממשל זמין שהציבו דף מיוחד וקישור לדיווח על אירועי אבטחת מידע ישירות לצוות שלהם. אם תכנסו ל gov.il תוכלו לראות את הקישור ולדווח על בעיות אבטחה ישירות לצוות שם. אני חושב שזה דבר חשוב כי הרבה פעמים מתכנתים, חוקרי אבטחת מידע ואנשים באופן כללי שמים לב לבעיות אבטחה ומנסים לדווח ולא יודעים למי - עכשיו יש. אני שמח לפרגן לצוות שם :) https://www.haaretz.co.il/captain/software/.premium-1.8910291

והיום בפינת הקרינג׳ הממשלתי - לימדו גם אתם להיות האקרים באמצעות דפדפן בלבד. כן! לא מזמן יצאה הצעת חוק שבמסגרתה שוטרים יוכלו להכנס לבית של כל אזרח בלי צו ובלי הנמקה. בנוסף, מבטלים את יכולת החקיקה של הכנסת על הדרך. מטבע הדברים, החוק הזה מרכז עניין רב והממשלה העלה את החוק לאתר מיוחד שבמסגרתו האזרחים יוכלו להביע דעה. אבל כדי לוודא שמדובר באזרחים. יש מנגנון הזדהות. היום נלמד איך עוקפים את המנגנון. 1. הצטיידו בכלי הפריצה המחוכם דפדפן. 2. הכנסו לאתר https://www.tazkirim.gov.il/s/tzkirim?language=iw&tzkir=a093Y00001Rd9B1QAJ&fbclid=IwAR1jKDQAeHYuKcoJ6WUERVPKnHv_2MVx6flcIEMC4nia_ww1zEzEbga3Tiw 3. השתמשו בכלי המפתחים כדי להסיר את ה-overlay מעל טופס התגובה. 4. מלאו ושילחו. 5. סייבר!!!! לטובת הלא טכניים - זה כאילו שבאתר הממשלתי ציירו מנעול על הדלת ומעמידים פנים שזה מנעול אמיתי. יש גם סרטון: https://www.youtube.com/watch?v=Gqacd7jObWs&feature=youtu.be

המאמר הבא נכתב בעקבות מאמר במדיום של אדם בשם סטיב סטאג שהראה איך סקריפט יכול לשלוף מידע מתוך בוובסוקט שממומשת ברבים משרתי הפיתוח שמפתחי צד לקוח משתמשים בהם. כלומר תוקף זדוני יכול להציץ בלוג של שרת הפיתוח שלכם וכל מה שהוא צריך זה ג׳אווהסקריפט בלבד. במקביל, מוצרי אבטחה שונים מנצלים את אותו וקטור כדי לראות ולרחרח מה יש לכם על המחשב. המאמר הוא מאמר טכני המיועד למפתחי צד לקוח ואלו ששוחים בג׳אווהסקריפט. אני שובר את הראש על גרסה למוגלגים. אבל זה לא פשוט. בכל מקרה - אין כאן סיכון מטורף אבל זה בהחלט משהו מעניין ואם הסתקרנתם לדעת איך עובד ההוט רילואוד - אז פה יש הסבר: https://internet-israel.com/?p=9065 🐪

המאמר היום הוא בעקבות פרשת בוקס - פרשה שבמסגרתה אתרים רבים של החברה נפלו ומסתבר שגם הגיבוי אליהם אבד מבלי שוב. גם התקפות שונות שראינו על ספקי אחסון כמו יופרס שהיתה ממש בסוף השבוע הזה (והחברה התמודדה איתה בגבורה, ראוי לציין - כפי שסיקרתי בטוויטר, בפייסבוק וגם בהארץ כמובן) - מראות עד כמה חשוב שיהיה גיבוי לאתר. במאמר הזה אני מסביר - *לחסרי ידע טכני* מה זה גיבוי של אתר - ההבדל בין גיבוי קבצים ומסד נתונים ואיך גיבוי אמור להראות וכמובן מראה איך מגבים בוורדפרס. כולם חוזרים על המנטרה הזו של ״צריך גיבוי״ אבל בפועל רבים לא מגבים וחבל - כי במערכות מודרניות זה עניין של כמה לחיצות. אז אם גם אתם נעתם באי נוחות במושבכם בכל פעם שדיברו על גיבוי ונזכרתם בזה שהאתר שלכם לא מגובה - זה המאמר בשבילכם: https://internet-israel.com/?p=9054 🐪

לא עדכון מאמר אלא תקציר מנהלים של אייטם שלי שעשוי להיות מעניין ומשהו שקצת חמק מתחת לרדאר הישראלי בגלל כל הברדק שהיה פה סביב השוד המאורגן שידוע בכינויו ״הקמת הממשלה״ - אבל גיפי, שירות הגיפים הפופולרי מאוד, הודיע על רכישתו על ידי פייסבוק ב-400 מיליון דולר. לא רע בשביל... מה? מאגר גיפים מטופש? אבל גיפי היא הרבה יותר ממאגר גיפים. היא מקור מידע. כל פעם שמישהו מטמיע את גיפי במוצר שלו - למשל בווטסאפ, למשל - גיפי תדע על השימושים. הרבה משתמשים מאיזור בריטניה מחפשים גיף של ״Political Blunder״? אפשר להבין מה קורה מבחינת עולמית. משתמש מסוים מחפש גיף של ״vacation״? ובכן, זה מידע חשוב. לא? ויותר גרוע - לא מעט אתרים מטמיעים את גיפי אצלם. נכנסתם לדף מסוים וראיתם גיף חביב? גיפי יודעת את ה-IP שלכם, באיזה אתר הייתם ובאיזו שעה. אם במקרה עברתם דרך סקריפט של גיפי, תהיה אצלכם גם עוגיה שלהם. המפתחים/בעלי האתרים מקבלים גיפים חינם. התשלום? זה אתם. ועכשיו המידע הזה *כולו* אצל פייסבוק. חלק מכם יגחכו ויגידו ״בחבחבח אין לי פייסבוק״. זה הזמן להזכיר בעדינות שמנכ״ל פייסבוק ציין בפירוש שהחברה עוקבת גם אחר משתמשים שאין להם חשבון בפייסבוק. למרות שהכחישו את קיומם ׳חשבונות צללים׳. מה עושים? מפתחים? תהיו מודעים לזכויות המשתמשים שלכם. זיכרו שהטמעת גיפי === העברת מידע. משתמשים רגילים? תהיו מודעים. בפעם הבאה שפייסבוק מקריפה אתכם עם מודעה אולטרא מדויקת - אז לא, היא לא מאזינה לכם דרך האפליקציה, אלא בגלל שהיא יודעת עליכם המון בין היתר בגלל דברים כאלו. להרחבה נוספת: האייטם בהארץ: https://www.haaretz.co.il/captain/software/.premium-1.8852109 את זה כמובן שלא אפרסם בחשבון שלי בפייסבוק.

השר לענייני מים, השר לענייני אומת האש והשר לענייני פתח תקווה. ומי ישלם בדיוק? נחשו מי? אתם! היכונו להעלאות מיסים כבדות וכדי שיהיה לכם איך לשלם - כדי שתתחילו לעבוד כמו שצריך. במאמר הטכני החדש שלי אני מספר על npm shrinkwrap ואיך משתמשים בו כדי לנעול גרסאות במודולים - וכן, זה שונה מ package,json ויש גם את פינת ה-yarnיסטים מתנשאים ועילאיים. internet-israel.com/?p=9041 🐪 זה הזמן ללמוד כמו שצריך - כי מישהו צריך לשלם לשרים את המשכורות וכל אגורה קובעת וחשובה.

מאמר חדש שכבר מזמן מזמן מזמן הייתי צריך לכתוב על נעילת גרסאות ב Node.js. הייתי בטוח שהוא מופיע באתר כבר אבל מסתבר שלא, ואני צריך אותו בשביל המאמר הבא על shrinkwrap - אז הנה מאמר ארוך על גרסאות ב-Node.js ואיך לנעול גרסאות בפרויקט (ולמה) : https://internet-israel.com/?p=9037 🐪

בוקר מעולה לכולם 😊 העדכון השבוע הוא מסמך חשוב מאוד של מערך הסייבר: מדריך לפיתוח מאובטח. בתור מתכנת שנמצא בתעשיה אי אלו שנים - אני מאמין בבניית תשתית נכונה וטובה לפיתוח המוצר. נכון, זה נראה קטנוני, פורמלי וגם גוזל זמן בהתחלה ומנוגד לאינסטינקט של רוב המתכנתים: ״לבנות מהר ולחשוב אחר כך״. כי זה כיף לתכנת ומבאס לבנות תשתיות לפיתוח. אבל תשתית נכונה לפיתוח מאפשרת לרוץ מאווווד מהר אחרי שבונים אותה ולהיות גם בראש שקט. פיתוח מאובטח זו תשתית פיתוחית לכל דבר ועניין. מבדיקת קוד סטטית ועד סריקת חבילות, בדיקות אבטחה אוטומטית ואפילו review על כל קוד. פיתוח מאובטח מאפשר לנו להטמיע את האבטחה בשלב הפיתוח ולא רק ״בסוף״. זו השיטה המודרנית והטובה ביותר לפתח תוכנה בטוחה מ day0. החשיבות של מערך הסייבר היא לא (רק) במקום מסודר שאפשר לדווח בו על תקלות אלא גם במניעה שלהן. שחרור של מסמך מסודר המדריך איך פיתוח מאובטח אמור להראות, שגובש אחרי התייעצויות עם מומחים רבים (גילוי נאות: גם אני ביניהם) הוא צעד חשוב וממש אבן דרך. הנה קישור למדריך: https://www.gov.il/he/departments/general/securedevelopment הסברים נוספים על המדריך, למה הוא כל כך חשוב פה: https://internet-israel.com/?p=9046 וגם בהארץ (הסבר פחות טכני) : https://www.haaretz.co.il/captain/software/.premium-1.8805447 -- אגב, בניגוד ללא מעט אייטמים שלי - זה אייטם חיובי, על מקום שבו המדינה מתפקדת כמו שצריך. בדרך כלל המאמרים/אייטמים האלו פופולריים כמו אייל גולן בכנס פמיניסטיות. אבל כשצריך לומר דברים טובים, אומרים. -- ואם כבר אני חיובי, שזה נדיר, אז נמשיך בכיוון. אני עובד בורייזון מדיה, שלמי שלא מכיר זו זרוע המדיה של ׳ורייזון׳ העולמית שיש לה מרכז פיתוח אולטרא מגניב בישראל. אנחנו עושים המון דברים מגניבים לטובת הקהילה כמו למשל הופעות חיות שמוסטרמות למיליוני צופים - הטכנולוגיה אשכרה מפותחת בישראל. מרכז פיתוח של מאה ומשהו איש. לטעמי זה מגניב. הנה קצת יותר מידע למעונינים: https://www.linkedin.com/feed/update/urn:li:activity:6661611948087529472/

מאמר חדש באינטרנט ישראל שכתבתי: איך מציבים אפליקצית ריאקט כחלק בוורדפרס. וורדפרס היא מערכת אולטרא פופולרית לאתרים, ריאקט היא פריימוורק אולטרא פופולרי לצד לקוח. והן בהחלט יכולות לעבוד ביחד. כן! למה? לא חסרים מקרים שבהם זה לטובת הפרויקט. במאמר אני מספר על למה לפעמים צריך לשלב ביניהם ואיך עושים זאת. זה הרבה יותר פשוט ממה שחשבתם. https://internet-israel.com/?p=9032 [ושוב ההמלצה שלי למפתחי וורדפרס - לימדו ריאקט! וההמלצה שלי למפתחי ריאקט פרילנסרים - לימדו וורדפרס!]

מאמר טכני על קומפוננטה ריאקטית שמציגה markdown. רגע! אל תרדמו. יש סיפור מעניין פה. בימים אלו אני שוקד על בניית אתר התרגילים לספר ״ללמוד ג׳אווהסקריפט בעברית״. בספר כבר יש לא מעט תרגילים ופתרונות אבל בתכנות - כל המרבה הרי זה משובח ולאחר שהפרויקט הצליח כך כך התחייבתי לבנות אתר שיש בו תרגילים רבים לתרגול עצמי. להרים אתר זה קל, אבל חשבתי, משיקולי תחזוקה, להרים אתר שיוכל לקרוא קבצי markdown שקל לקרוא ולתחזק. איך עושים את זה? כאן ריאקט נכנסה לתמונה. במאמר אני מראה איך עם ריאקט אני יכול בקלות ליצור רכיב שיציג לי markdown ועוד יצבע לי את קטעי הקוד בצורה נוחה ונעימה. זה מה שמהמם בג׳אווהסקריפט ובאקוסיסטם שמלווה אותו - בין אם מדובר ב-Node.js, ריאקט, אנגולר או Vue. אפשר לעשות דברים מטורפים בשעות עבודה בודדות. בגלל זה אני כל כך אוהב את השפה הזו, למרות שהיא מושמצת :) https://internet-israel.com/?p=9026 🐪 וכמובן שאם אתם רוצים להבין משהו בכל הג׳יבריש שכתבתי - ספר הג׳אווהסקריפט וספר הריאקט זמינים באתר https://hebdevbook.com -- כתבה גדולה שפרסמתי ב׳הארץ׳ על איך עוקפים את המעקבים של שב״כ. כידוע, מסתבר ששב״כ עוקב אחר כל אזרחי המדינה (בלי קשר לקורונה) כאשר כל מה שאנו עושים נרשם במאגרי המידע העצומים שלו: המידע על מיקומנו הפיזי באמצעות איכון, לאיזה אתרים אנחנו גולשים (!) באיזה אפליקציות אנו משתמשים וכו׳ וכו׳. כל מה שחברות התקשורת רושמות בלוגים שלהם מועבר לשב״כ. וזה כך כבר שנים. זה משהו שלקרוא לו ׳מטריד׳ זה אנדרסטייטמנט. גם אם סומכים על השב״כ בעיניים עצומות. ד״ר תהילה אלטשולר ציינה שבכל דיון כמעט של בית הדין למשמעת של המשטרה יש כתבי אישום על שימוש לא תקין במאגר מידע משטרתי. כל שוטר חש את העקצוץ של ״אני רוצה לדעת יותר מידע על המחזר של אחותי, על השכן המטומטם, על המורה בבית הספר של הילד שלי״. וחלק מהם, מה לעשות, לא עומדים בפיתוי. מי ידע כמה הפרות כאלו יש בשב״כ? הרי הכל חסוי שם. אני מעריך את השב״כ ולא חושב שזה ארגון פשע, אבל הפיתוי להשתמש במערכת הזו בהחלט קיים. אני לא רוצה שכל אחד ידע מה אני עושה ועם מי אני מדבר. אני שוטח את התפיסה הזו בכתבה ונותן עצות שימושיות לאלו שרוצים להגן על הפרטיות שלהם. בגדול: תור או VPN (תלוי איזה כמובן ויש עם זה בעיות וכו׳ וכו׳), שימוש בשיחה באמצעות תוכנות כמו סיגנל או טלגרם או ווטסאפ, https איפה שאפשר. https://www.haaretz.co.il/captain/software/.premium-1.8723396

מאמר חדש שכתבתי על SPF. שזה מנגנון אימות ותיק של מיילים. כמתכנת ווב, במשך שנים הדבר הזה שנקרא ׳מייל׳ היה סוג של וודו אפל שלא ברור לי לחלוטין מה המנגנונים שעומדים מאחוריו וזה נס שהדבר הזה עובד. אבל בפועל מייל זה דבר פשוט והמנגנונים מאחוריו פשוטים במיוחד. במאמר הזה אני מספר קצת על מיילים, איך הם עובדים ואיך משתמשים ב SPF כדי למנוע משלוח של מיילים באופן לא מאובטח. זה חשוב במיוחד אם המיילים שלכם (או של הלקוחות שלכם) מוצאים את דרכם לספאם או יש לידם סימן שאלה עם הודעה ש״אי אפשר לאמת את זהות השולח״. https://internet-israel.com/?p=9011 🐪 -- לאלו מכם שנמצאים בהסגר ופנויים מספיק מבחינה רגשית/נפשית (כלומר אין להם ילדים קטנים שמטפסים על הקירות) - כתבתי מאמר עם רפרנסים וקישורים מעניינים למתכנתים/אנשים טכניים שרוצים להרחיב את היכולות המקצועיות שלהם בתקופת הקורונה: https://www.geektime.co.il/learn-code-during-corona -- ובענייני אבטחת מידע, למי שזה מאווודדד מפתיע אותו - רונן ברגמן בידיעות כותב על ״הכלי״ - המערכת של השב״כ שמאפשרת לכל אחד שם, בלחיצת כפתור, לדעת מה כל אדם במדינה בדיוק גולש ועושה. בשב״כ מבטיחים שלא משתמשים במערכת הזו לצרכים שהם לא לטרור. אני? משתמש בתור, ProtonVPN ובאמצעים אחרים ליתר בטחון. שיחות שאני רוצה שיהיה חסויות? דרך סיגנל. בכל מקרה שווה קריאה. https://www.ynet.co.il/articles/0,7340,L-5701412,00.html

בוקר טוב לכולם, אתמול בשעה שמונה יצאה אפליקצית ׳מגן׳ של משרד הבריאות. יש לי כמה מילים לומר על זה אבל לא רציתי לשלוח הודעה בתשע וחצי בערב כי התחייבתי פומבית שאני שולח הודעות בערוץ הזה רק בשעות נורמליות ובימי עבודה ולא ביום שישי בשתיים בבוקר :) האפליקציה מורידה את המידע על מיקומי חולי הקורונה, משווה למיקום הידוע שלכם לפי ההיסטוריה של המכשיר ואם יש הצלבה - היא מודיעה לכם. כל זה ללא העלאת המידע על המיקום שלכם לאף מקום ושמירת פרטיות מקסימלית. לאור המוניטין הבעייתי של הממשלה, רבים שואלים - האם האפליקציה הזו בטוחה? האם היא שומרת על המידע ולא מדליפה אותו לכל האקר חמוש בדפדפן? אמ;לק: כן. לדעתי הצנועה בטוח והתקנתי. ועכשיו החפירות: אני כל כך שמח לבשר לכם שמשרד הבריאות עשו את הכל הפעם... כמו שצריך! זה כל כך כיף לפרגן כשמגיע. הדבר הראשון הטוב שהם עשו זה לבחור במומחי אבטחה מהשורה הראשונה שיבדקו את הקוד: מהארכיטקטורה ועד המימוש. לא, לא ״מיטב המומחים״ בלי לציין את השם. אשכרה שמות של אנשים מוכרים ומובילים בתחומם שהם באמת מקצוענים והסכימו לשים את השם שלהם על התהליך שהאפליקציה עברה: תומר זית, גיא ברנהרט-מגן, עידו נאור, עמרי שגב-מויאל וענבר רז הם שמות שמוכרים מאוד בתעשיה וכל אחד יכול לחפש אותם בלינקדין ולראות ולא רק שהם חתומים על זה. הם יבדקו כל גרסה וגרסה. מומחה ולוחם הפרטיות פרופסור בירנהק גם הוא שולב בהתייעצות סביב מבנה האפליקציה. הדבר השני שהם עשו זה לפתוח את האפליקציה בקוד פתוח. בקישור הזה בגיטהאב: https://github.com/MohGovIL/hamagen-react-native מופיע כל קוד האפליקציה. זה אומר כמה דברים: שאפשר להסתכל על הקוד ולחפש פרצות אבטחה ולהודיע עליהן או אפילו לכתוב להן ישר פתרון, שאפשר לדווח על באגים ולפתור באגים והכל בשקיפות מלאה. יש יתרון לקוד פתוח וחסרון לקוד פתוח. החסרון הוא שרואי את הקוד, אז אנשים רעים יכולים לנצל אותו. היתרון הוא שרואים את הקוד ואנשים טובים יכולים להתריע על בעיות. כיוון שגם ככה אנשים רעים יכולים לעשות הנדסה לאחור (שלא חוקית בישראל! אז אנשים טובים לא יכולים לעשות אותה) אז החסרון של קוד פתוח הוא בטל בשישים במקרה הזה. אפשר לראות כבר עכשיו איך אנשים פותחים טיקטים על נושאי אבטחה והם נפתרים. זה מהמם! הדבר השלישי הוא לבחור בסטאק טכנולוגי טוב - ריאקט נייטיב. אני מת על ריאקט, זה לא סוד. אבל גם חובבי הנייטיב או האנגולר/איוניק יודו שזו בחירה בהחלט לגיטימית. כתבתי על כך בהרחבה ב״הארץ״ (פתוח לכולם) : https://www.haaretz.co.il/captain/software/1.8700078 באפל: https://itunes.apple.com/us/app/id1503224314?ls=1&mt=8 באנדרואיד https://play.google.com/store/apps/details?id=com.hamagen ועוד הערה קטנה - אני רק ממליץ על ההתקנה, לא פיתחתי אותה או משהו כזה... אם יש בעיות - אפשר לפתוח להם טיקט בגיטהאב.

מאמר חדש שכתבתי, ולא באתר שלי אלא בגיקטיים. גם הוא על השתדרגות ושיפור מקצועי לאנשי מקצוע שתוקעים בבית. בניגוד למאמר הקודם שמיועד לחסרי רקע. על מתכנתים *כרגע* משבר הקורונה לא משפיע. רובנו עובדים מהבית. אבל אווירת הלחץ והחרדה והחשש הכלכלי בוודאי שמשפיעה ומי שחושב שזה לא יגיע אלינו - טועה ובענק. עברתי שני מיתונים גדולים בחיים שלי. זה של 2008 וזה של 2000 (יאפ, אני ממש זקן) והדרך הכי טובה להלחם בחשש ובחרדה זה להשתפר מבחינה תכנותית ומקצועית וללמוד כמה שיותר. בין אם אתם מתכנתים, אנשי Devops, אבט״מ, support engineers או אוטומציה. הסגר המתמשך נותן לנו הזדמנות פז ללמוד. גם אם עובדים מהבית - מתפנה מלא מלא זמן. אי אפשר לצאת, לא מתבזבז זמן על נסיעות, פגישות, קפה עם חברים לעבודה. אז במקום לראות שוב סדרה בנטפליקס - אפשר (לא חובה כמובן) להקדיש זמן למקצועיות וללמידה - שוב, רק מי שיכול ורוצה - אבל... לומר שצריך ללמוד זה קל. איך מתחילים ללמוד? במאמר הזה שכתבתי והתפרסם ב Geektime גיקטיים - אני מפרסם הסברים, קישורים ומידע למתכנתים/אנשים טכניים שלומדים מהבית. https://www.geektime.co.il/learn-code-during-corona -- אתמול פרסמתי גילוי משעשע על השר אמיר אוחנה (שר המשפטים לכל הבורים) ועל חשבון הטלגרם שלו. מסתבר שהכניסו אותו (מבלי ידיעתו, כך לפי הדובר) לקבוצות של סחר בסמים. טוב, מעבר לגיחי-גיחי - זה מעורר שאלות על אבטחת המידע של הנכסים הדיגיטליים של השר ושל פוליטיקאים אחרים. כתבתי על זה בהארץ: https://www.haaretz.co.il/captain/net/.premium-1.8696788 כיוון שכולנו בטלגרם - זה הזמן להכנס להגדרות (דרך הסלולרי, לא דרך הווב) ולמנוע מאנשים שהם לא באנשי הקשר שלכם להוסיף אתכם לקבוצות. זה הזמן גם לשנות הגדרות אבטחה אחרות: להוסיף אימות דו שלבי, למנוע מאנשים לראות את הסטטוס שלכם ואת הטלפון שלכם. תשקיעו באבטחה שלכם כמה שניות.

המון אנשים תקועים בבית. חלק בחל״ת, חלק פוטרו וחלק בבידוד. זה מבאס מאוד כי גם אי אפשר לחפש עבודה והמשק נכנס למיתון. חלק מהאנשים חושבים ללמוד תכנות או בניית אתרים או כל דבר מועיל אחר. אבל... מאיפה להתחיל? יש המון מידע ברשת אבל לא ברור מאיפה מתחילים ומה לומדים. ללמוד HTML? אולי פייתון? מה עם וורדפרס? שווה ללמוד? כתבתי מאמר שבו אני מסביר לכל מי שתקוע בבית ונמאס לו מנטפליקס, איך ומאיפה להתחיל בתוספת שלל קישורים, מידע והסברים. ניסיתי שזה יהיה מקיף ככל האפשר. https://internet-israel.com/?p=8998 🐪 -- אני מאמין שרוב אלו שנמצאים בערוץ הזה הם כבר טכנולוגיים ומבינים מספיק, אבל אני כן מפרסם כאן כי אני ובטח גם אתם מקבלים המון המון שאלות על ״מה המקום הכי טוב ללמוד X״ ו״מה אני צריך ללמוד״. זה עונה על כל השאלות. אם יש לכם הערות או מקורות נוספים שפספסתי - אפשר ורצוי להגיב שם :)

המדינה קורסת? הכל מתמוטט ובוער? העדכונים והפוסטים הטכניים שלי באינטרנט ישראל ממשיכים כרגיל. לא על הקורונה ולא על המצב אלא עדכון פשוט על SRI - אימות קבצי ג'אווהסקריפט באתר (או כל מדאב אחר) שנטענים משרת צד שלישי. שימושי וטוב לדעת לכל מפתח ווב שהוא. https://internet-israel.com/?p=8932 🐪 -- המון אנשים, גם אני, מודאגים מההתבטאות של רה"מ נתניהו במסיבת העיתונאים אתמול על ענייני המעקב. - למי שפספס - אתמול בכמה דקות נתניהו ציין שהשב"כ נכנס לתמונה ויופעלו אמצעי מעקב אלקטרוניים, שעד כה היו שמורים לפעילות נגד ארגוני טרור, כנגד אזרחים. ההתבטאות הזו, כמו עוד כמה אחרות, היתה מאוד לא ברורה. המצב מאוד מלחיץ ואין את מי לשאול האם מדובר בהפעלת אמצעים טכנולוגיים מתקדמים על כלל אזרחי המדינה? רק כאלו שצריכים להכנס לבידוד? רק חולים? למה לא להסתפק באפליקצית מעקב או אישור וולנטרי להכנס למעקב כזה? המון שאלות ואפס תשובות. כרגע השב"כ הבהיר שאין מעקב אחר כל האזרחים אבל זה עדיין לא מספיק. *אעדכן פה אם יהיה מידע רלוונטי*. בינתיים - אין הרבה מה לעשות. 😞

פורים שמח! הרבה אירועי אבטחת מידע נלוזים. ראשית, ביום שישי בשתיים בלילה, חשבון הטוויטר של השר בנט, שר הבטחון של ישראל - נפרץ. התוקפים החלו להעלות את Free Palestine הקלאסי ואז סטטוסים אובססיביים על טורקיה. קיבלתי הודעה ממש פה בטלגרם וזינקתי למחשב. אני ואחרים דיווחנו לטוויטר והם הסירו את הסטטוסים הבעייתיים והחזירו את החשבון לבעליו. זה מדאיג, החשבון הוא לא חשבון רשמי, אבל פריצה כזו מראה על התנהלות בעייתית במרחב הדיגיטלי - מחזור ססמאות ואי שימוש באימות דו שלבי. (שכנראה היה בחשבון וגם הוסר). גם תגובת דובר השר היתה משונה. כל הפרטים וכו' וגם לקח לכולם בפוסט החדש שהעליתי בשתיים בלילה אבל מסיבות מובנות לא פרסמתי פה בזמן אמת כי אני לא מפרסם פה בשעות משונות ובטח ובטח שלא בימי מנוחה. https://internet-israel.com/?p=8991 🐪 -- וגילוי נוסף באדיבות חוקר האבטחה דודי קרצ'מר שעבד איתי על אייטם מהמם. מכירים את אפליקצית הקורונה Corona-App של משרד הבריאות? הם השיקו אותה בשיא המהירות (שזה יפה) וכל מי שמתקין נדרש להכניס פרטים אישיים, חלקם רגישים. האפליקציה מתקשרת עם שרת מרכזי ועם פרמטר שנקרא userID שהוא שם המשתמש. כשאני רוצה לראות את הפרטים שלי, האפליקציה שולחת בקשה עם ה-userID שלי. למשל: kor-app[.]com/get-details/userid=1234 במידה והזהות של המשתמש היא 1234. את הכתובת הזו ניתן להדביק בדפדפן ולראות ממש פלט נתונים קריא. מה קורה אם אני משנה את המספר ל-1235? או 1236? היינו מצפים לקבל "כניסה אסורה, קישטה ילד טיפש". בפועל קיבלתי את המידע של משתמש 1235, או 1236. 😭 מה עושה הפורץ ה... אהם.. מתוחכם? כותב סקריפט בן 4 שורות שקוצר בהנאה את המידע הזה. ועשיתי את זה כמובן מ-IP של מדינה עוינת. האם מישהו חסם אותי? בוודאי שלא. אחרי 1,000 תוצאות עצרתי הכל והלכתי לדווח. הייתי יכול לסכם עוד יום רגיל בבוראטלנד - אבל יש גם חדשות טובות! במקום לנפנף אותי ולומר "בחבחבחבח חברתנו מעסיקה את מיטב המוחות" או "בחבחבחב למי אכפת אם מתפרסמים פרטים של 74,853 אזרחים אי אפשר לעשות כלום עם זה חחחח פקקטה". מסתבר שדווקא במשרד הבריאות ובחברה המפתחת *כן* עשו משהו עם זה. תאמינו או לא! פנה אלי אחד המומחים הגדולים בישראל - עומרי שגב מויאל. החברה שכרה אותו לאחר הגילוי כדי שיעשה סדר. וזה? זה לא רע. כי במקום ללרלר איזו תגובה מקושקשת - זו הוכחה שלוקחים אבטחה ברצינות. עומרי שיצר עמי קשר מייד וביקש אינספור פרטים טכניים, עדכן אותי בתהליך הפתרון עד לרגע שבו יכולתי לפרסם. כמובן שמוטב להעסיק אדם כזה *לפני* הפריצה. במהלך הפיתוח, גם אם זה פיתוח מהיר. אבל הי! גם זו התקדמות! אז יש נקודת אור בכל הסיפור הזה. כן, אנחנו עדיין נראים כמו רפובליקת יגשמש רק בגרסה הפחות מצחיקה, הרשויות שלנו לא מתפקדות (תגובת הרשות להגנת פרטיות: בחבחבחבח) ומאגרי מידע מתגוללים פה ברחובות כמאפים דאשתקד. אבל יש התקדמות. לאייטם שלי בהארץ: https://www.haaretz.co.il/captain/software/.premium-1.8638281#commentsSection -- ופרגון לקולגה עידן בן-טובים בגיקטיים על דיווח נאה על חולשה בעייתית באפליקציות האימות הדו שלבי של גוגל ומיקרוסופט. כרגע אין מה להכנס ללחץ אבל בטח מעלה סימני שאלה ואזהרה. אחלה של קריאה לפורים: https://www.geektime.co.il/google-microsoft-authenticator-cerberus-exploit/ פורים שמח שיהיה! ואם אתם בבידוד בבית, תלמדו ג'אווהסקריפט :)

אינטרנט ישראל - آمار و تحلیل کانال تلگرام @interil