פוסט חדש באתר - עם פוסט נוסף על ESP32 - המיקרובקר הפשוט והזול ועל איך להרים איתו extender. שימושי בהחלט לכל מיני רשתות IoT שמרימים בחצר, במחסן או במקומות שונים. זה מדהים דמה זה פשוט וזול - יופי לפרויקטי לימוד רשת וכו'.
על הדרך גם אני מראה איך צורבים קושחה ישירות. גם בחלונות וגם במק ולינוקס.
https://internet-israel.com/%d7%9e%d7%93%d7%a8%d7%99%d7%9b%d7%99%d7%9d/%d7%9e%d7%99%d7%a7%d7%a8%d7%95-%d7%91%d7%a7%d7%a8%d7%99%d7%9d/%d7%a6%d7%a8%d7%99%d7%91%d7%94-%d7%99%d7%a9%d7%99%d7%a8%d7%95%d7%aa-%d7%a9%d7%9c-%d7%a7%d7%95%d7%a9%d7%97%d7%94-%d7%a2%d7%9c-esp32-%d7%94%d7%93%d7%92%d7%9e%d7%94-%d7%a2%d7%9d-wifi-extender/

נכנסנו לאוגוסט, הקייטנות נגמרות, הרחובות מתרוקנים והשמש לוהטת. במקום לקחת את עצמכם או את הילדים לעוד פעילות מבאסת בחוץ ולקטוף חרולים תחת השמש הקופחת - למה שלא תעשו פעילות כיפית בבית עם ESP32? המיקרו בקר השובב שהחלטתי להקדיש לו את הקיץ משמש אותנו לא רק לכל מיני תעלולי רשת אלא גם כבסיס נפלא ל-IoT. וזה באמת כל כך קל, זול ופשוט לעשות איתו דברים נפלאים. בפוסט החדש היום אני מדגים איך - באופן שמתאים גם לאנשים כמוני שכל קשר בינם לבין אלקטרוניקה הוא מקרי בהחלט.
https://internet-israel.com/?p=10594 🐪

בוקר מעולה - עמוק בתוך הקיץ ואנו נמשיך ללמוד על מיקרו בקרים - אם טרם הצטיידתם זה הזמן - באמת בדולרים בודדים אפשר לקנות גם מיקרו בקר, גם חיישנים ובלי ידע באלקטרוניקה להכנס לתוך עולם ה-IoT.
המאמר היום עוסק בחיבור חיישנים ולקבל מהם פלט אנלוגי או דיגיטלי (תלוי בחיישן) וממש לכתוב קוד שמשתמש בהם בפייתון. וזה דבר מהמם במיוחד.
https://internet-israel.com/?p=10606 🐪
--
שמח לבשר לכם שהבאג של משרד התחבורה שחושף אם למישהו יש רשיון נהיגה נסגר. הבאג הזה חגג 13 שנה אחרי שכותבים רבים (הראשונה היתה טלי פרקש ב-Ynet לפני 13 שנה כאמור אבל היו עוד רבים) כולל אני לפני שנתיים. מה שכנע את משרד התחבורה לסגור אותו? ברגע שהראיתי להם איך הבאג הפשוט הזה שכביכול פוגע רק בחרדים יכול לשמש להוציא מידע צבאי סודי על כל חייל ששירת בעבר (כולל כאלו שכבר שנים לא במילואים). אז יאי משרד התחבורה. 13 שנה זה ממש מהר! אבל לצערי יש עוד המון מאגרים שהממשלה נגררת בלסגור אותם, דוגמה ובה זה מאגר בעלי הכלבים שבאמצעותו אפשר לבצע חיפוש שמי על כל בעל כלב במדינה ולקבל את פרטיו. מסקרים את זה משנת 2014 בערך והמדינה לא טורחת לסגור אותו. עוד פרטים בדה מרקר:
https://www.themarker.com/captain-internet/2023-08-08/ty-article/.premium/00000189-cef6-d9f3-a1cd-ffffb4ac0000

בוקר מעולה, במקום לעסוק בדברים רציניים נמשיך להשתעשע עם מיקרו בקרים? ברור שכן! פוסט חדש ומעניין שבו אני לוקח את ESP32, המיקרו בקר הזול להפליא (פחות מ-4 דולר עם דמי משלוח, כן? בעלי אקספרס הקרוב למקום מגוריכם) עם כוח ויכולות מדהימות ומחבר אליו חיישן. את התוצאות אני רוצה להציג בממשק וובי - גם באתר אינטרנט שאליו אני יכול לגשת בקלות וגם ב-AJAX כדי שממשקי ווב אחרים יוכלו לגשת אליו. גם החיישן, גם שרת הווב וגם האתר על מיקרובקר קטנטן שיכול לקבל חשמל מבטריה או אור השמש ועולה גרוש וחצי. אפשרי? אפשרי בלי ריתוכים, הלחמות, אלקטרוניקה או C? בטח שאפשרי והכל עם מיקרופייתון קל ממש לשימוש והבנה. הסברים, דוגמאות קוד וגם קצת על חיישני גזים ובמקרה הזה חיישן MQ-135 לאיכות האוויר.
https://internet-israel.com/?p=10618

השבוע האחרון של אוגוסט לפנינו וזה הזמן להתחיל לסכם את סדרת הפוסטים המאד חביבה על ESP32 - אחרי שלמדנו כל כך הרבה על ESP32 ופייתון - מעבר לעבודה בסיסית - קלט, פלט ואפילו להרים אתר אינטרנט - בואו וניקח את זה הלאה ונראה איך שולטים עם ESP32 עם מכשירי חשמל בעולם האמיתי ונדגים עם נורה שתהפוך, בעזרת ESP32 לנורה חכמה אמיתית שנשלטת מאתר אינטרנט פנימי.
אם אני, עם אפס ידע וידיים שמאליות הצלחתי, אני חושב שגם אתם תצליחו. רק מזכיר שחופשות החגים לפנינו 😊
https://internet-israel.com/?p=10625
--
פוסט שכתבתי במדיום במסגרת הבלוג של סייברארק על פרצות אבטחה שיכולות להגרם משימוש ב-LLM לייצור קוד - אפילו בלי האקרים מרושעים אלא רק בגלל טעויות אנוש - נמצא במדיום ונראה לי שהוא יהיה מעניין.
https://medium.com/cyberark-engineering/code-security-in-llm-on-the-real-world-744505f68ed0
--
משרד התרבות והספורט (כן, יש משרד כזה) מפרסם קבצי אקסל של נתוני תמיכות במוסדות תרבות ובמיזמים שונים באתר שלו. שזה מעולה אבל מה שפחות מעולה שיחד עם הנתונים התפרסם גם מידע אישי על מגישי הבקשות וכן על מי שטיפל בהן - מאד לא לעניין. איך ניסו להגן על המידע? עשו hide באקסל ו-lock לגיליון. איך פצחן נועז פותח את זה? מעתיק את הגיליון ה״נעול״ ומדביק לגיליון אחר ואז unhide.
שמואל לנצ׳נר מצא כמובן ודיווח ואני, אחרי שחרחרתי מצחוק על הרצפה פרסמתי בדה מרקר:
https://www.themarker.com/captain-internet/2023-08-24/ty-article/.premium/0000018a-0340-dbc5-a59f-536bf8c00000
--
עוד כתבה בדה מרקר למי שמעוניין - כתבתי על הפתרון של FIDO2 ]בהתחלה הייתי סקפטי, מודה] לעבודה ללא ססמאות והדגמתי עם גוגל איך זה קורה. אני לא חושב שכולם צריכים להסתער על הפתרון החדש אבל זה יכול בהחלט להיות מעניין להתנסות, בזהירות.
https://www.themarker.com/captain-internet/2023-08-24/ty-article/.premium/0000018a-266c-da97-a7cb-66fe1d8b0000

לפני כמה ימים הילד הקטן שלי (13) בנה מעגל חשמלי מבוסס מיקרו בקר מסוג ESP32 שמפעיל נורות לד וחיישנים ואפילו מוזן מאור השמש. הוא עשה את זה לבדו, רק ממאמרים שכתבתי. זה לא משהו נדיר ויוצא דופן בבית כי כל הגדולים עשו את זה שנים לפניו והציוד כמובן שנמצא וזמין. הייתי מאד גאה בו - כי הוא הצליח לבד וגם למד על הדרך לא מעט - תכנות, אלקטרוניקה ובכלל טכנולוגיה.
פרסמתי בטוויטר וזכיתי להמון המון בקשות של אנשים - הורים אך לא רק הורים - שביקשו מידע מאפס על מיקרובקרים ואיך עובדים איתם. בעולם של היום, עם צ׳אט ג׳יפיטי, באמת שאין שום סיבה לחשוש גם אם לא יודעים קוד וזה נותן המון המון לכל ילדה או ילד שעוסקים בזה (למי שמתאים). במיוחד בישראל, שחסר בה המון מורים לחינוך טכנולוגי למרבה הצער.
במהלך סוף השבוע עמלתי על לא פחות מארבעה מאמרים שמסבירים - להורים ובכלל לכל אחד - איך מתחילים לעבוד עם הדבר הזה. ניסיתי לנסח בשפה בהירה, פשוטה וקלה כולל רשימת ציוד וקישורים (לא כאלו שאני מקבל עליהם כסף כי אני לא משפיענית אינסטגרם). אני ממש ממש מקווה שזה יסייע למי שרוצה להכנס לתחום. הנה קישור למאמר הראשון בסדרה שמוביל לשאר. כולם כבר באוויר.
https://internet-israel.com/?p=10655 🐪

איך עשיתי את הדבר המופלא הזה? בפוסט הנוכחי אני מסביר איך וגם איך אני יכול להשתמש בו לדברים יותר מעשיים כמו שליטה על מכשירים חביבים יותר או פחות שאני לא יכול לחבר אליהם לפטופ.
החגים בפתח והשנה חול המועד סוכות ארוך במיוחד. זה הזמן להזמין מעלי אקספרס והציוד יגיע עד סוכות בוודאות ויתן לכם יופי של פרויקטים ותעסוקה כיפית לחג. עם הילדים, עם האחיינים, עם הנכדים, הנינים או בעצמכם.
https://internet-israel.com/?p=10646

יום כיפור בפתח וקצת לפני ראש השנה ואני אסכם את סדרת המאמרים שלי על ESP32 בפוסט ארוך שבו אני מסביר איך אנחנו רותמים את כל הידע שהשגנו במאמרים הקודמים על ESP32 ומתחילים ליצור בית חכם אמיתי עם Home Assistant (זו מערכת קוד פתוח - לא גוגל הום) ועם ESPHome שמאפשר לי לבנות חיישנים שונים ולממשק אותם למערכת בית חכם אמיתית. בניגוד למערכות אחרות - פה מדובר במערכת בשליטה מלאה שלי, שיכולה להיות ללא חיבור חיצוני לרשת ולא תלויה ביצרנים אחרים.
https://internet-israel.com/?p=10705 🐪
--
בפינת הסייבר - פרק חדש שמלווה פוסט משעשע במיוחד אבל גם חשוב. הפרק נולד כתוצאה מעוד פאדיחה של חבר כנסת כלשהו ברשת והוא בעצם מדריך לאנשים שמקבלים מינוי פוליטי בכיר - או כחברי כנסת, שרים, מנכ״ל משרד ממשלתי וכל מינוי בכיר אחר - במילים מאד פשוטות מוסבר מה לעשות ומי שמתעצל לקרוא יכול רק להאזין לפרק שכרגיל מלא בבדיחות אבא ובושות אחרות שנובעות מחוסר ההבנה הכללי בפוליטיקה. מכירים או מכירות חבר כנסת נוכחי או עתידי? שלחו לו. זה יכול למנוע בושות.
https://cybercyber.co.il/?p=2245
--
ובפינת הסליחות - אני מקבל לא מעט פניות בתחום ההתמחות שלי מאנשים טובים שזכאים לתשובה. חישבתי את זה ומדובר ב-20 פניות בממוצע ליום (מתוך 15,000 מיילים בשנה, בניכוי ספאם) ואם יש משהו שאני באמת ובכנות מצטער עליו זה כל הפעמים שלא עניתי/התפוגגתי/נעלמתי. במהלך סוף השבוע השקעתי שעות רבות וניקיתי את תיבת המייל שלי לחלוטין ועניתי למאות אנשים ואני מקווה שלא פספסתי דבר. אם פניתם אלי במייל ולא עניתי וזה עדיין רלוונטי - הדרך הטובה ביותר לפנות אלי היא שם: info@bar-zik.com
בפלטפורמות אחרות אני לא זמין, גם פה אני מאד מתקשה להיות זמין והכי טוב במייל.

בוקר מעולה, אחרי שהשתעשענו רבות עם מיקרו בקרים - זה הזמן לחזור לווב והפעם פוסט מעניין על אינטרספטורים ב-axios ובכלל מה הדרך הטובה (לדעתי כמובן) לבנות services באפליקציה סטטית. עם דוגמאות ב-Vite. אם אתם מתכנתי פרונט ויש פה משהו לא מובן - זה הזמן להכנס לאתר ולקרוא את הפוסט 😊
https://internet-israel.com/?p=10723 🐪
--
בדהמרקר פרסמתי כמה אייטמים מעניינים. הראשון הוא על תוספי הנגישות. לצערי נגישות האינטרנט שהיא חשובה מאד (גם מבחינה אנושית אבל גם מבחינה כלכלית אגב) תופסת כותרות בישראל רק בגלל עורכי דין שמנסים לעשות כסף מעסקים שכל חטאם הוא שהם לא שמו הצהרת נגישות. במקרה הזה אני כותב על כך שתוספי הנגישות יכולים להיות שימושיים אבל הם ממש לא מבטיחים נגישות ולא עונים על תקן הנגישות. בכתבה ראיינתי את עורך הדין יורם ליכטנשטיין שנתן חוות דעת משפטית מהצד שלו וגם את יובל וגנר, יו״ר עמותת נגישות ישראל שסיפר על איך הדברים נראים מהצד שלו.
אם יש לכם עסק גדול/חברה וחשבתם שזה יסגור את הפינה? זה לא.
https://www.themarker.com/captain-internet/2023-09-26/ty-article/.premium/0000018a-d1a7-d3ca-a9ef-d1af32560000
--
בטח חלקכם ראיתם הודעה מכרום על כך שהם מכניסים מנגנון פרסום חדש לכרום שלכם - אם תכנסו אל הגדרות->אבטחה ופרטיות->פרסומות תוכלו לראות את הנושאים שאתם מתעניינים. זה מגיע לשם כי גוגל מנתחת את היסטורית הגלישה שלכם ומאפשרת חשיפה לפרסומות לפי נושאים. מי שזה מבעית אותו (כמוני) יכול לכבות את זה. כמובן שבדהמרקר יש הסברים נוספים:
https://www.themarker.com/captain-internet/2023-09-28/ty-article/.premium/0000018a-dc04-d681-a7ca-dd37933c0000
[לא רלוונטי לאנשי אייפון, כרגע לפחות]
--
בפינת ה-AI. אני עושה המון דברים מעניינים ב-AI בסייברארק שבה אני עובד. אחד הקולגות שלי, אלכס אברמוב, הכין סקירה המשווה בין LLM שונים והפלתי תחינתי בפניו שימיר את זה למאמר פומבי ולשמחתי הוא ממש הסכים והסקירה הזו אולטרא שימושית (באנגלית אגב) וגם מסבירה על הפרמטרים השונים. רלוונטי גם למי שמתכנן מוצר או שירות אבל גם למשתמשים פרטיים.
https://medium.com/cyberark-engineering/a-battle-of-the-llms-finding-your-model-match-84a40fb1921f
--
עד כאן החפירה. חג שמח למי שחוגג ועבודה נעימה למי שעובד 😇

אינטרנט ישראל קיים מזה 15 שנה ומתעדכן בקביעות כל שבוע - גם במהלך מבצעים צבאיים רבים ואסונות. כזה אסון לא היה לנו והפסקתי לעדכן את האתר כי זה נראה מאד לא חשוב. פרסמתי מאמרים בדה מרקר שמטבע הדברים הם יותר אקטואלים אבל לא פוסטים טכניים. גם בטוויטר ובמקומות אחרים המעטתי לדבר והעדפתי להתנדב ולפעול במסגרות אחרות.
אני חוזר לפרסם בעיקר בגללי, הכתיבה הטכנית בבלוג היא עוגן בחיים שלי וקוד וטכנולוגיה זה חלק מהחיים שלי.
הפוסט היום הוא קצת רלוונטי לחיינו כי הוא חלק מסדרת הפוסטים שהם מבואות לאבטחת מידע וכתבתי עבור עצמי כדי שיהיה לי רפרנס לתת לסטודנטים שאני מלמד או אפילו לאנשים שמתעניינים - הסבר מאד מאד פשוט על DOS ו-DDOS הכולל גם רפרנסים לקריאה נוספת.
https://internet-israel.com/?p=10727

אני חוזר לעדכונים של פוסטים ועדכונים על ווב.
פוסט חדש באינטרנט ישראל על SRI באפליקציות סטטיות ובדגש על VIte. מדובר בטכניקה לחתימת סקריפטים שמומלץ וכדאי להכיר - כלי נוסף בארגז הכלים של מפתח ווב. המאמר הוא מאמר המשך למבוא על SRI שכתבתי בעבר (יש משם קישור כמובן).
https://internet-israel.com/?p=10735 🐪

פוסט חדש באתר וגם הפעם על ווב ובאותו נושא של הגנה על צד לקוח - במקרה הזה שימוש ב-hash כהגנה על משאבי inline. האמת היא שזה פיצ׳ר שחשוב להכיר אבל הסיכוי שהוא יהיה שימושי עבורכם הוא לא גבוה, הוא כלי בסט הכלים ויכול להיות חשוב במקרים ספציפיים. חשוב לקרוא אותו בשביל המאמר הבא, שאפרסם אותו בשבוע הבא, בלי נדר.
https://internet-israel.com/?p=10740 🐪
--
קצת אייטמים - לרגל המצב אתר דה מרקר פתוח בלי חומת תשלום (אם לא עובד לכם, נסו לפתוח מאינקוגניטו).
אני לא אוהב לכתוב על התקפות פעילות של האיראנים, הסודנים, החות׳ים ועוזריהם. העבודה שלי מתמקדת במניעה, אבל רק תזכורת: אל תאמינו בחיים לפרסומים של קבוצות תקיפה שבדרך כלל מנפחות מאד ממצאים שלהם על גבול ההמצאות והדמיון.
אחת מדרכי המניעה הן לא לשמור מידע שלא צריך. בתחילת המלחמה המון אנשים וארגונים יזמו פעילויות שונות ואספו את המידע עם גוגל פורמס. אם אתם גוף כזה או אספתם מידע שאתם לא צריך - אנא מחקו אותו. פה אני מסביר למה וגם נותן מקרה משעשע כדוגמה שבו המחיקה לא עלתה יפה. אז אני מסביר איך עושים את זה.
https://www.themarker.com/captain-internet/2023-11-27/ty-article/0000018c-1140-df39-a59f-5bca7fcc0000
בתקופה הזו אני מתמקד גם בדברים אחרים - למשל אני מסביר על zero inbox - שיטה להתמודד עם עומס בעבודה שבוודאי רבים מכם מכירים ואולי זה יהיה רלוונטי להרבה אנשים.
https://www.themarker.com/captain-internet/2023-11-28/ty-article/0000018c-1503-d19a-a3cf-7d938e530000

עדכון חדש באתר - איך מיישמים nonce ולמה צריך אותו בכלל למשאבים שנטענים inline עם דוגמה (כן!) ב-next.js. לא תמיד צריך את זה אבל זה כלי שאפשר להשתמש בו ואפילו מומלץ.
https://internet-israel.com/?p=10757 🐪
עדכון נוסף שהיה בשבוע הקודם ופשוט (אני מתבייש לומר) שכחתי לפרסם אותו בכל ערוצי המדיה האחרים הוא גם מאמר ממש נחמד ורלוונטי בעיקר לחסרי ידע והוא חלק מסדרת המאמרים שאני כותב בשביל עצמי והסטודנטים שלי על מונחים בסיסיים באבטחת מידע - והפעם על IDOR.
https://internet-israel.com/?p=10763 🐪
--
השבוע הקודם היה בסימן גילוי די מחריד של אבטחת מידע - באדיבות השי שהצבא ניסה לחלק לחיילים - הצלחתי בעצם לשים את ידי על מאגר המילואימניקים הפעילים של ישראל במלחמה הנוכחית. בלי מאמץ תוך שימוש בדפדפן (אפילו לא בכלי מפתחים).
הבעיה היתה שהצבא, כשחילק שי, עשה את זה עם ממשק פתוח ושימוש בתעודת זהות. תעודת זהות של מילואימניק נתנה תוצאה חיובית ותעודת זהות של אזרח רגיל נתנה תוצאה שלישית. הבנתם לאן זה הולך, נכון? כל מה שהיה צריך זה לתפור סקריפט פשוט ונחמד ששותה את התוצאות ומחבר למאגר אלקטור שזמין ממש פה בטלגרם להורדה. זה היה גם קל כי השתמשו כ-token במספר תעודת הזהות שמור ב-md5, אז השאילתות היו קלות. כל מה שהייתי צריך זה לשלוח עם
id=md5(id)
וזהו. כתבתי על זה בדה מרקר:
https://www.themarker.com/captain-internet/2023-12-10/ty-article/.premium/0000018c-4fb1-d6bd-a1ad-7ff7bd630000

פרק מיוחד היום על נושא שנשמע משעמם לגמרי: תקינה אמריקאית: FEDRAMP וגם FIPS. זה השלב שבו העיניים של רוב האנשים מתגלגלות והם ממשיכים הלאה. אבל הנושא המשעמם והאפרורי הזה הוא קריטי לכל חברה שמוכרת או מתכננת למכור לממשל הפדרלי האמריקאי או לאחד מהספקים שלו - זה שוק עצום מבחינה כספית ותדמיתית אבל הכניסה אליו מותנית בעמידה בתקנים. כן כן. כמו תקני נגישות. התקנים האלו נדרשים וחלקם מאד קשה ליישום בשלב מאוחר של הפיתוח.
לא מזמן פרסמתי בטוויטר פוסט של ארכיטקט בכיר שעובד איתי בשם גיל עדה על FIPS ב-Go. קיבלתי לא מעט תגובות שביקשו ממני להסביר יותר על התקינה הזו מתוך הבנה שיישום שלה הוא קריטי גם בשלבים מוקדמים בפיתוח או בחברות. אז לשמחתי גיל הרים את הכפפה וכתבנו מאמר על כך:
https://internet-israel.com/?p=10897 🐪
אבל לא רק מאמר - בועז לביא מ״עושים תוכנה״ גם הוא שמע על זה, הרים את הכפפה ולצד המאמר יצא גם פרק בפודקאסט שבאמת מומלץ לשמוע - אני, גיל ובועז מסבירים בלשון קלה על התקנים האלו שכל מתכנת, איש פיתוח או מנהל פרויקטים צריך להכיר:
https://open.spotify.com/episode/03HeSAFZfF0jmwAwEAK8oG?si=d7b30447f5a748f3
--
בפודקאסט אחר, סייבר סייבר, שבו אני מאד נהנה להופיע ולדבר - אני, נעם רותם ועידו קינן דיברנו על החולשה שגרמה לדליפת מספרי תעודות הזהות של כל משרתי המילואים הפעילים במלחמה.
https://open.spotify.com/episode/2hfDUsC9JevZAPtpQH1D03?si=9d3f8f948ce145a7
--
לא מזמן, בעקבות שיחה עם מרצה בקריה האקדמית אונו, גיליתי עד כמה ChatGPT Plus והאפשרויות החדשות שלו של העלאת קבצים ויצירת קבצים (לא רק תמונות! קבצים כמו וורד, PDF ופאוורפוינט). אפשר להעלות מאמרים או דפי עבודה ולשאול את המודל עליהם ולקבל תשובות והכל בממשק נוח. לא מעט ילדים כבר משתמשים בזה ולמרות שזה לא יעבור עין בוחנת, במטלות של ילדים בחטיבת ביניים זה לגמרי יעבור. גם בעברית. אני חושב שמערכת החינוך תצטרך בקרוב לחשוב על איך מעריכים את התלמידים ועל המטלות שלהם. כתבתי על זה עם דוגמאות חיות עם מאמרים נבחרים בדה מרקר:
https://www.themarker.com/captain-internet/2023-12-20/ty-article/0000018c-87af-da81-a1bc-cfbf93b90000?_ga=2.201782097.1310804261.1703660320-767559746.1671950417

פוסט טכני חדש המיועד לכל המפתחים שבונים לווב - והפעם על CSP ועל פיצ׳ר חדש שהולך להיות רלוונטי מאד בשם Trusted Types. הוא ״עלה לכותרות״ (טוב, כותרות זה עניין שנתון להגדרה) בגלל שפיירפוקס הודיעו שהם הולכים להכניס אותו. כרום משתמשים בו כבר הרבה זמן. מדובר בדרך מעולה לעשות מיטיגציה ל-XSS שבאמת מומלץ וכדאי מאד להכיר.
https://internet-israel.com/?p=10906 🐪
--
עשיתי קצת שינויים ומתיחת פנים לאתר, במיוחד בדגש על נגישות. יש עוד כמה בעיות נגישות קלות (צריך לעשות פול ריקווסט לאחד הוידג׳טים) אבל בהחלט אפשר להשתמש באתר והוא נגיש. למרות שאין חובת נגישות באתר. כמו כן, שימו לב שיש לי הצהרת נגישות שחובה שתהיה בכל אתר, גם באלו שאין להם חובת נגישות.
--
אין לי יותר מדי מה לעדכן השבוע, אז אני אמליץ על הערוץ של מורד שטרן, שהוא Head of Engineering Branding ב- Wix ומישהו שאני באופן אישי מעריך ולומד ממנו המון. שם הערוץ שלו הוא ערוץ החדשנות 🌎 והטכנולוגיה והוא נותן המון קישורים ומידע גם על דברים שמתרחשים בטכנולוגיה - בלי חפירות. כמה משפטים קטנים וקישור וגם על מיתוג אישי, דבר שלפי דעתי די חשוב.
https://t.me/techisrael

פוסט חדש באתר והפעם בעקבות בקשות - פוסט שמסביר מאפס מה זו סניטציה, למה צריך אותה ואפילו הסבר ודוגמה על ספרית סניטציה בשם DOMPurify. הדוגמאות הן בפייתון, PHP וג׳אווהסקריפט כי זה לא עניין של שפה - סניטציה עושים בכל שפה שהיא וצריך גם להבין ולדעת איך ליישם.
https://internet-israel.com/?p=10911 🐪
--
סיפור מהמם ומעניין שהגיע אלי באמצעות הלינקדאין של גדי עברון וקצת נרקב אצלי עד שהחלטתי לפרסם הוא סיפור שמראה איך חברות תוכנה יכולות להכניס נזקים משמעותיים לתוכנה שלהן עצמן על מנת להשיג יעדים עסקיים. במקרה הזה חברת רכבות שהכניסה קוד לקטרים שלה שהשביתו אותם אם הם טופלו במרכזי תחזוקה אחרים.
המחקר המקורי של חברת האבטחה שפיצחה את המקרה:
https://badcyber.com/dieselgate-but-for-trains-some-heavyweight-hardware-hacking/
המאמר בדה מרקר:
https://www.themarker.com/captain-internet/2024-01-02/ty-article/.premium/0000018c-c94b-ddba-abad-cbeb19ba0000
--
אני לא יודע אם אתם מודעים לזה - אבל יש באופיס365 יכולת הכתבה *בעברית* מאד מאד טובה. כל מה שצריך זה רשיון (יש לכל התלמידים בישראל ולחלק גדול מהסטודנטים), להכנס דרך הווב לאופיס365, ללחוץ על הכתבה, בחירת שפה עברית ולנסות. זה ממש מדהים ומעניין. כתבתי על זה גם ברשתות אבל גם בהרחבה בדה מרקר:
https://www.themarker.com/captain-internet/2024-01-03/ty-article/.premium/0000018c-cfe1-d266-a9bf-efe3e6ed0000
--
אם כבר בינה מלאכותית - אלכס אברמוב שעובד איתי בסייברארק על פרויקטים של בינה מלאכותית פרסם פוסט טכני מעניין על חיבור בין AWS לאז׳ור. למה צריך את זה בכלל? אם המוצר שלכם נשען על תשתית אמזונית אבל אתם כן רוצים להשתמש ב-OpenAI של אז׳ור מכל מיני סיבות - אפילו כגיבוי, אז אפשר ואפשר לחבר בין שתי התשתיות ורואים את זה פה:
https://medium.com/cyberark-engineering/building-a-bridge-a-secure-azure-aws-connection-f0592796a234
--
המלצה על ערוץ טלגרם - שזה קצת מצחיק כי הוא ערוץ יותר פופולרי דרמטית מזה שלי אבל אם מישהו לא מכיר כדאי לבדוק - ערוץ חדשות הסייבר של ארז דסה. שמעבר לזה שהוא אדם סופר נחמד הוא גם נותן המון מידע על תקריות סייבר מעניינות:
https://t.me/CyberSecurityIL
--
מקווה שיהיה לכולם שבוע רגוע, שקט ונעים. 🙏

פוסט חדש באתר והפעם על openAPI, סטנדרט ותיק בתחום שרבים משתמשים בו והוא באמת בסיסי מאד. אבל, וזה אבל חשוב, הוא בסיס להמון דברים ועכשיו גם בעולם ה-AI הוא הופך להיות מאד חשוב כי ChatGPT משתמשת בסטנדרט כדי לחבר API של אחרים למערכות שלה. אז מי שלא מכיר במקרה? זה הזמן להכנס וללמוד:
https://internet-israel.com/?p=10917 🐪
--
אם אתם כן מכירים את openAPI ומסתקרנים בנוגע לחיבור המערכות שלכם לצ׳אט ג׳יפיטי עם API ואיך עושים את זה - אז ידידי אלכס גלמן (שגם הוא ארכיטקט סניור סניור בסייברארק) כתב על זה ממש עכשיו בפוסט (באנגלית) עם דוגמאות:
https://medium.com/cyberark-engineering/how-to-turn-your-api-into-a-gpt-f67387d222c8
--
כתבתי על זה ברשתות ובטח זה הגיע אליכם אבל אם לא - אז ההטרלה של everything די היתה הנושא החם בתחילת השבוע בקרב מפתחי Node.js ואנשים ששמחים לאידם של מפתחי Node.js - מפתח חמוד בשם PatrickJS יצר כהטרלה חבילת npm שמכילה את הכל. הוא עשה אתר ואיתגר מתכנתים להתקין את זה. כולם צחקו והכל עד שהתברר שבגלל שאי אפשר למחוק חבילה שמישהו אחר משתמש בה, בעצם אי אפשר למחוק שום חבילה משום גרסה מ-npm כי everything משתמשת בהכל. בגלל איך שהיא בנויה (לא נכנס לזה פה) פטריק לא הצליח למחוק את everything וכמובן היה שמח ובלגן וכל זה בתקופת החגים.
כתבתי על זה בדהמרקר:
https://www.themarker.com/captain-internet/2024-01-09/ty-article/.premium/0000018c-ed93-d0b4-a7ce-fff379200000
--
פרק חדש בפודקאסט סייברסייבר בהשתתפותי. והפעם פרק על הדרים. קצת טכני אבל גם חשוב ומראה איך לפעמים אתרים מפשלים וכמה זה קל למנוע התקפות לפעמים.
https://cybercyber.co.il/?p=2694
פרק שיעיף לכם את הראש 🥁 אני מזהיר מראש 🥁 המון בדיחות אבא שלא יצאו לכם מהראש 🥁
--
בעקבות טירוף ה-FIPS וה-FedRAMP (יש בהודעות הקודמות בערוץ חפירות על זה), התבקשנו לכתוב על הנושא גם באנגלית כי זה עוזר לשלוח לאנשים מחו״ל (לא אמריקאים בדרך כלל אבל יש עוד מדינות) כדי להכניס אותם לקונטקסט. חברי גיל עדה נרתם וכתב מדריך למפתח על FedRAMP ו-FIPS:
https://medium.com/cyberark-engineering/the-developers-guide-to-fedramp-and-fips-140-c44cd190a323
--
אחת מקבוצות המיטאפים הכי יקרות וחשובות לליבי - Negev Web developer שמנהל ינאי אדרי המהמם ויורי המהמם לא פחות שתמיד היה להם חלום לארגן קבוצת מיטאפ בדרום והגשים את החלום. כבר הרבה שנים הקבוצה הזו קיימת ופעילה מאד. לאור המצב העגום בדרום היא נכנסה להקפאה של מאה ימים לצערי אבל חשוב לחזור לפעילות ובדרום ויש מפגש חדש עם גיל תייר ואורחים רבים אחרים.
https://www.meetup.com/negevdev/events/298483606
זו גם הזדמנות להמליץ על ערוץ הטלגרם של ינאי שבו הוא לא חופר כמוני אלא נותן הרבה קישורים ומידע לדברים רלוונטיים שפורסמו השבוע בתחום הפיתוח.
https://t.me/webWekkly
--
עד כאן בנוגע לחפירות. מקווה שבאמת יהיה שבוע קל עד כמה שניתן ועם בשורות טובות.

נתחיל עם העדכון על הפוסט. האמת שכרגע זה יראה קצת תלוש אבל יש לי את הסיבות שלי ומבטיח שהסיבה לפוסט תתברר בהמשך. הפוסט עוסק באיך בונים מערכת שבה אנחנו אמורים לתת גישה חופשית לקבצים אבל אנחנו רוצים שרק מי שנכנס לאתר יוכל להוריד את הקבצים ולא כל איזה ארחי פרחי מגוגל.
זה תסריט לא מופרך כל כך או הזוי - יש לפעמים צורך להנגיש מידע גם למשתמשים אנונימיים אבל דרך האתר או המערכת ולא דרך הרשת. גם אם מדובר במידע שאמור להיות פתוח, זה לא אומר שאני רוצה להנגיש אותו לאנשים שלא דרך המערכת או לכורי מידע.
בפוסט אני מספר על כמה דרכים לתכנון כזו מערכת ומספק דוגמאות.
https://internet-israel.com/?p=10928 🐪
--
האמת שאין לי יותר מדי חפירות השבוע כי אני יושב על כמה בעיות אבטחת מידע משמעותיות לצערי, אז חוץ מהפוסט של 1200 מילה שלעיל. אז אולי זו הזדמנות להפנות לפוסט של גיקטיים עם ערוצי טלגרם מעניינים נוספים:
https://www.geektime.co.il/telegram-channels-to-follow/
וגם הזכירו אותי! שזה תמיד נעים ומשמח לראות 😇
שבוע עם בשורות טובות ככל שניתן 🙏

היום התעכבתי קצת עם העדכון, למה? כי חיכיתי לאייטם מסוים שיצא ואוכל לכתוב עליו כאן. אתחיל עם הפוסט ואז עם האייטם ואז אסביר את הכל.
הפוסט הוא פוסט קצר ומעניין שמסביר על איך מוצאים PII. מה זה PII? ראשי תבות של Personal Identifiable Information. מידע אישי. כאשר אנו מחזיקים או אוספים מידע אישי, יש רגולציות וחובות יותר גדולים ולא מעט פעמים אנחנו רוצים פשוט... לא להחזיק את המידע הזה כי זה מאד מקל. הדרך הטובה ביותר להגן על מידע היא פשוט לא להחזיק בו.
העניין של סריקת PII הוא באמת מורכב ומעניין ויכול לאכלס ספרים שלמים אבל בחרתי במשהו פשוט - מציאת צילומי תעודות זהות ישראליות בתמונות. שימושי למקרים שבהם אני מקבל סריקות של מסמכים ואני רוצה לדעת אם יש בהן תעודות זהות (על מנת להסיר אותן למשל, או לפנות לאדם ששלח את המסמכים או לעשות באמת מה שרוצים.
יש כמה דרכים לעשות סריקות כאלו ואני מראה דרך קלה שרותמת ML - להשתמש בשירות של AWS Rekognition. שירות זיהוי תמונות שממש קל להשתמש בו, הוא זול יחסית ובגלל שיש לנו כבר region ישראלי הוא יעמוד גם ברגולציה ישראלית. מומלץ להכנס ולראות במיוחד אם לא יצא לכם לעבוד עם תשתית אמזונית.
https://internet-israel.com/?p=10944 🐪
--
עכשיו בנוגע לדיווח המצער וגם קצת חפירה שתראה לכם איך דברים עובדים קצת מאחורי הקלעים. כמות עצומה של צילומים של תעודות זהות + ספחים היו זמינות ברשת לכל מי שחמוש בכלי הפריצה ״דפדפן״. שימו לב: צילומים של תעודות זהות הם הרבה יותר גרועים מסתם מספרי ת.ז. איך? בהתנגדויות לבניה מצרפים סריקות של צילומי תעודות הזהות של המתנגדים יחד עם ההתנגדות + ספחים ולפעמים גם חוות דעת רפואיות רגישות. המנהל צריך לפרסם את ההתנגדויות (שזה בסדר גמור) אבל מפרסם על הדרך גם את הסריקות של תעודות הזהות וגם פותח את הכל בגוגל בפני כל דרדק וכמובן שאין איזו חסימה של כרייה המונית או גישה ממדינות אויב. ככה שיש חשיפה משוגעת של כמות רבה של תעודות זהות.
לפני כמה חודשים חוקר אבטחה שגילה את זה דיווח לי על כך ואני מתבייש לומר שאמרתי לו לפנות לממשלה כדי לסגור את זה. הם התעלמו. שמואל לנצ׳נר האגדי (חוקר אבטחה שמככב באופן קבוע בטבלת המדווחים של מערך הסייבר) מצא גם הוא ודיווח על כך למדינה כנדרש ולפי חוק וכלום לא קרה. הוא פנה אלי כדי שאראה מה אוכל לעשות.
המניע של החוקרים האלו הוא להגן על האנשים והאזרחים התמימים ובגלל שמתעלמים מהם הם פונים אלי. וידאתי את המידע, תיעדתי את הכל ופניתי לדובר מנהל התכנון כדי שיבדוק את העניין. הפניה כמובן היא בכובעי כעיתונאי. הוא בהתחלה היה אדיב מאד ואמר שיבדוק. אני אמרתי שיקח את הזמן.
התגובה אחרי פרק זמן מסוים היתה הרבה פחות נעימה. בגדול: ״זה לא באג, זה פיצ׳ר!״ הוא אמר לי וטען שגורמי ההנדסה בדקו את העניין והעובדה שאלפי סריקות של צילומי תעודות זהות וספחים זרוקים להם ברשת חשופים לעין כל אינדונזי ואיראני זה תקין לגמרי ולא דליפת מידע. יותר מכך, הוא טרח לציין באופן מאד בולט בווטסאפ:
״אני מחויב להגיד לך כי כל הצגה כ'דליפה', מינהל התכנון שומר לעצמו את הזכות לטפל בנושא".
ככה נראה איום אגב, למי שתוהה. אבל אני לא מתרשם כל כך מאיום של משרדי פח ממשלתיים (מה יעשו? לא יעסיקו אותי בחיים? לא יזמינו אותי לאירועים? יהרסו לי את הבית?) אז המשכתי להפעיל לחץ ולהציק. בתמורה הוא נתן לי באמת תגובה מבישה שהגיעה הישר ממנמ״ר של שנות התשעים: ״האתר מוגן על ידי מערכות אבטחה תשתיתיות ואפליקטיביות כגון Firewall, מנגנון ReCapcha ומערכות ייעודיות להגנה מפני מתקפות מסוגים שונים״.
אם יש את כל המנגנונים האלו, אז איך זה שמאינדונזיה אפשר לכרות בכיף צילומי תעודות זהות של אזרחים ישראלים? לעולם לא נדע.
אם הגשתם התנגדות לבניה והיו צילומי תעודת זהות שלכם בהתנגדות? גם לפני כמה שנים? קחו בחשבון שזה נחשף. עם צילומי תעודות זהות אפשר לעשות המון נזק לצערי :(
למרבה השמחה, דיווחתי לעוד כמה מקומות ואחד מהם עבד מול אלוהים-יודע-איזה-גורם-טכני-כושל-שיש-שם כדי לחסום את ההורדה מגוגל ולהגן על האזרחים. עוד מידע נמצא באייטם פה:
https://www.themarker.com/captain-internet/2024-01-29/ty-article/.premium/0000018d-54f3-d0fc-a9bd-5eff3a280000
--
ועכשיו איך זה מתקשר לפוסטים שלי? הפוסט שפרסמתי השבוע מראה כמה זה קל וזול להגן על האזרחים אם באמת רוצים. היה אפשר לבנות פייפליין פשוט של פרסום לאבחון תעודת זהות בעלות של 1000 דולר למיליון סריקות ועוד במרכז מקומי של אמזון. ויש עוד דרכים. הפוסט בשבוע שעבר הראה איך מגינים על מסמכים כאלו מכרייה המונית. כל כך פשוט ועדיין לא עושים את זה :(
--
המקרה הזה ייכנס היישר אל ההרצאה שלי בכנס ״רברסים״ כמובן. השנה נפל בחלקי הכבוד העצום והמאד לא מובן מאליו להיות Keynote speaker בכנס הזה שהוא באמת ה-כנס הטכנולוגי השנתי. אני ארצה שם ביום השני בהרצאה

עדכון ערב השבוע - אבל עדכון חשוב. גם פוסט וגם פרק בפודקאסט - הנושא? נגישות אינטרנט.
למרבה הצער נגישות עולה לכותרות רק בהקשרים לא חיוביים של תביעות, עורכי דין רודפי אמבולנסים שתובעים תביעות סרק ושאר דברים איומים. גם הרבה אנשים חושבים שאם תוקעים תוסף נגישות אז זה מספיק - מה שלא נכון.
שמחתי להתארח ב״עושים תוכנה״ ולדבר עם בועז לביא על נגישות אינטרנט מהצד הכי טכני hard core שלה. איך מתחילים לממש נגישות אינטרנט בממשקי לגאסי וממשקים חדשים? איזה כלים אוטומטיים אנחנו יכולים לשלב באמצע הפיתוח וגם דיברנו קצת על הבשורות החדשות שיש (ויש) בתחום.
את הפודקאסט אפשר לשמוע פה בכל הפלטפורמות:
https://www.osimhistoria.com/software/ep149-accessibility
ואת הפוסט המיוחד שמלווה אותו אפשר לקרוא פה:
https://internet-israel.com/?p=10951
אני עובד לא מעט על נגישות גם בסייברארק וגם במקומות אחרים ולא רק שזה חשוב אנושית, זה חשוב באופן כללי.
--
לאלו מכם שמפתחים בג׳אווה - ומן הסתם יש המון כאלו, פוסט מאד מעניין של קולגה שלי בשם יהונתן ישורון על בדיקות אינטגרציה עם @springboottest יעניין אתכם מאד. באופן אישי אני מת על בדיקות כי זה מה שמונע את הטלפונים ביום חמישי :) חפרתי על זה לא מעט ואני שמח שיהונתן הרים את הכפפה.
https://medium.com/cyberark-engineering/springboottest-a-double-edged-sword-in-the-garden-of-integration-tests-7ef1fe25f486
--
בפינת ההמלצה אני אמליץ על קבוצת טלגרם מאד מאד כיפית ומעשירה בשם CyberSpace ISR. אני קורא סמוי שם (יש שם המון הודעות ותגובות) ותמיד מעניין להתעדכן על מה שקורה שם וגם להתייעץ אם צריך. ממליץ בחום
https://t.me/cyberspaceisrael
--
זהו. קצר ולעניין היום.

האם אני גאון שכותב קוד ומרים מערכות ללא בעיות אבטחה בכלל? ברור שלא! אבל יש לי מנגנון אבטחה מאד מאד חזק שמעטים משתמשים בו וחבל - המנגנון הזה הוא דף צור קשר לבעיות אבטחה ואני מקבל שם דיווחים על חורי אבטחה שיש באתר שלי ויכולים לגרום לי לצרה. כשאני מקבל דיווח אני מודה למי שמצא, מתקן את הבעיה ומשתדל גם לפרסם פוסט חגיגי שמודה לו.
דניאל ביטון מצא באתר אינטרנט ישראל משהו - אז כמובן שאני אנצל את ההזדמנות ולא רק שאודה לו פומבית, גם אכתוב על מה הוא מצא כדי שאחרים גם יקראו ואולי יסגרו את זה גם. ואם אין לכם כזה מנגנון דיווח? אולי שווה לשקול לשים.
https://internet-israel.com/?p=10966
--
שבוע שעבר הייתי באמת עמוס מאד עם המון חזרות לקראת כנס רברסים. אני Keynote speaker ביום השני ובחרדות כמובן 😱 - ושכחתי לכתוב פה את הפוסט של שבוע שעבר. זה פוסט מאד נלוז כי אני מתייחס שם למשהו מאד טריוויאלי: אל תעלו את הדוט גיט שלכם למקום גלוי. למה אני עושה את זה? ובכן, יותר מדי פרצות אבטחה ואני צריך רפרנס לפרצה הבאה כדי שאוכל להפנות את הקוראים. אמרתי שזה נלוז, לא? אבל כן יש סיכוי שזה יהיה מעניין:
https://internet-israel.com/?p=10960
--
בכמה כלי תקשורת בעברית יצאו כתבות על האקרים מרושעים שהשתלטו על מברשות שיניים חכמות (😲) ויצרו רשת בוטנטים. המחקר נשען על מחקר של חברת פורטינט והכל היה מלחיץ עד שהתחילו לעלות כמה וכמה שאלות ומסתבר שהכל היה די מונפץ ודיבר על תרחיש תיאורטי.
אני נורא שונא לסקר פרצות קיימות שלא אני מצאתי בדיוק בגלל זה - מאד מאד קל ליפול בפייק. אז כתבתי בגדול כתבה בדה מרקר על משהו שלא התרחש. כמו סיינפלד שזו סדרה על דברים לא קיימים.
https://www.themarker.com/captain-internet/2024-02-08/ty-article/.premium/0000018d-882c-df76-a1fd-cbfdabe20000
--
מאמר מאד מעניין לטעמי של ניר בר, שעובד איתי בסייברארק, על פיתוח צ׳אטבוט עם כמה מודלים ולאנגצ׳יין. אני יודע שלאנגצ׳יין סופגת המון הייט ויש לה תחליפים אבל בכל מקרה - מדובר פה במשהו מאד מעניין שמראה איך עובדים בסביבה מורכבת עם כמה אייג׳נטים. מאד ברור, עם המון דוגמאות מעשיות וקוד ואפילו אם זה נשמע לכם קצת כמו ג׳יבריש זה הזמן להכנס ולקרוא
https://medium.com/cyberark-engineering/a-developer-guide-for-creating-a-multi-modal-chatbot-using-langchain-agents-9003ba0ffb4d
--
ובפינת הפרגון - מי אם לא דרור גלוברמן שלא רק שאני אוהב מאד באופן אישי ויכול להעיד שהוא אדם סופר נחמד, אלא גם הוא עיתונאי מאד חד שמוצא ומדווח על כל הטרנדים והדברים החדשים בנוסף לדילמות לא פשוטות מהעולם הטכנולוגי. זה קצת מצחיק שאני ממליץ עליו כי הוא ה-ר-ב-ה יותר פופולרי ממני אבל שווה כן לבדוק את ערוץ הטלגרם שלו:
https://t.me/globerman
--
בתקווה לימים שקטים ורגועים לכולם ולכולן.