יש התקפה מאוד מעניינת שמנצלת סוג של פיצ׳ר בדפדפנים. כאשר אני לוחץ על קישור באתר מסוים והוא פותח לי אתר אחר בלשונית דפדפן נפרדת, לאתר שנפתח יש יכולת להשפיע על כתובת ה-url של הלשונית המקורית באמצעות אובייקט שנקרא opener. זה יכול להיות בעיה כי סקריפט זדוני יכול לשנות את ה-url המקורי לאיזה אתר פישינג והתקפות כאלו כבר נצפו בעבר.
אך לא אלמן פיירפוקס, כרום ואפילו אדג׳ וספארי ויש פתרון בדמות rel=noopener ומומלץ מאוד להכיר אותו. הפתרון הזה מונע מאתרים שאתם מקשרים אליהם לגשת לאובייקט opener.
ואם כבר אני מדבר על בעיות עם קישורים, זה הזמן גם לספר ולהדגים על rel=nereferrer שמגן על הפרטיות של המשתמשים שלכם מכל מיני תמנוני רשת (אהם אהם פייסבוק).
כל המידע על זה + דוגמאות שהכנתי בפוסט החדש:
https://internet-israel.com/?p=8760 🐪
אני מופיע בספטמבר בשני אירועים:
1. האירוע שאני ממש ממש נהנה להגיע אליו כל שנה (בפעם הרביעית ברציפות) הוא press4word. השנה אני אדבר עם אבטחה, כלים אוטומטיים וקצת על headers. ב-12 לספטמבר: https://press4word.co.il
2. האירוע השני הוא מיטאפ של קהילת המפתחים הרשמית של טוויטר בארץ. שם אני הולך לדבר על טכנולוגיה מזווית לא שגרתית ומסביר איך ארגונים שונים משתמשים בטכנולוגיה כדי לחשוף מקורות של עיתונאים בטוויטר. ב-25 לספטמבר
https://www.meetup.com/Israel-Twitter-Developers-Community/events/263332103/
אל תגידו שלא אמרתי לכם.😊

אז היה לנו קצת שמח בביצה המקומית של בעלי האתרים עם מכתבים שקיבלו בעלי עסקים ואתרים מעמותה שנקראת 'נגישות IL' (שימו לב שלא מדובר בנגישות ישראל). במכתבים נטען שיש באתר שלהם "בעיית נגישות" ונמסר להם שאם הם לא יעמדו בכל כללי הנגישות הם צפויים למלוא הסנקציות שיש בחוק - מאסר פלילי וכמובן תביעה כספית נכבדה.
מעבר לעובדה שזה לא נעים לקבל מכתב כזה ואפילו מרגיז, זה גם לא תקין - כי אם יש בעיית הנגשה צריכים לפרט באופן טכני מה הבעיה של הבעיה הזו.
internet-israel.com/?p=8777 🐪

מאמר חשוב שכתבתי שלא רלוונטי כמעט לאף אחד פה ומספר על איך משתלבים בתעשייה בגיל מבוגר. כלומר בשלהי גיל ה-30, גילאי ה-40 וה-50. כן, זה בהחלט אפשרי ובניגוד למה שחושבים, ההייטק פתוח גם לגילאים מבוגרים. אני מקבל המון שאלות ובמקום להשיב בנפרד, כתתבי מאמר מקיף שמתייחס לגילאים מבוגרים יותר שיש להם אילוצים שאין לצעירים: ילדים או הורים מבוגרים, עבודה אחרת ומשכנתה והתחייבויות וכמובן אתגרים אחרים בהשתלבות בעבודה. כי בכל זאת מעסיקים מרימים גבה כשבא אליהם ג׳וניור בגיל 55. אבל הכל פתיר ו*אפשרי*
מן הסתם התמקדתי בעיקר בתחום שאני מכיר, שזה תחום פיתוח הווב. אז עם כל אנשי הדיגיטל, האבטחה, הפרודוקט, ה-SEO וה-support engineers - הסליחה.
https://internet-israel.com/?p=8788 🐪
--
השבוע ביום חמישי אני מעביר הרצאה מעניינת ביותר על HTTP Headers בפרס4וורד. הכנס, בה״א הידיעה, לאנשי וורדפרס. ההרצאה מדברת על אבטחת מידע באמצעות Headers והיא באמת מעניינת. אתמול עשיתי את החזרה עליה בפני עומרי (הבן הגדול שלי) והוא עף עליה. אז אם אתם בכנס - בואו! אני מרצה על הבוקר ויהיה הכי כיף שיש. מבטיח: https://press4word.co.il
--
בנוסף, אני הולך להרצות במסגרת המיזם המצוין של Wize - מרצים על הבר. הם עושים משאל על הנושא: האקינג, פרטיות או אבטחת מידע. זה הזמן להצביע ולהשפיע :) https://www.facebook.com/WizeNight/photos/a.261857920540455/2466341693425389/?type=3&permPage=1

אז לפני כמה ימים העברתי הרצאה על Secured HTTP Headers בכנס press4word. זה כנס ממש מגניב וכיפי ואני כבר מרצה בו בפעם הרביעית! בפוסט החדש. יש את המצגת ואת החלק הראשון של ההרצאה: מה הם Headers ואיזה מהם אנחנו חייבים להעיף מהאתר שלנו. מומלץ לא רק לאנשי וורדפרס:

https://internet-israel.com/?p=8800 🐪

החלטתי לשים פה קצת יותר פוסטים של דברים מעניינים שאני כותב עליהם ב׳הארץ׳. אבל לא לדאוג, עדיין המדיניות היא לא להציף ולהפציץ. פשוט במקום הודעה אחת בשבוע, שלוש. וכמובן לא בשעות הזויות/ימי חג ומועד.

כולנו מכירים אימות דו שלבי, נכון? זה אימות בנוסף לסיסמה שאני מקווה שמופעל אצל כולכם. אפשר להפעיל אימות דו שלבי עם אפליקציה, טוקן פיזי או סמס.
נכון, עדיף אימות דו שלבי בסמס מאף אימות דו שלבי. אבל אימות באמצעות סמס הוא רעיון פחות טוב. למה? כי קל לעקוף אותו. אחת הדרכים המגניבות נחשפה על ידי ESET.
אפליקציות מזויפות הן מכה מוכרת וקשה בגוגל פליי. ולא מעט אפליקציות מתחזות לאפליקציות של בנקים מנסות לגנוב את שם המשתמש והסיסמה שלכם. אבל מה קורה אם יש אימות דו שלבי? בעבר האפליקציות ביקשו גישה לסמסים. אבל מגרסה 6 של אנדרואיד, אין יותר גישה לסמסים מאפליקציות מפוקפקות אז מה?
האפליקציות הזדוניות ביקשו גישה אל ה*נוטיפקציות*. אותן הודעות שמופיעות לנו על המסך. כשסמס מתקבל, רואים את תחילתו בנוטיפקציות. וזה? זה מספיק. המשתמש היה מזין שם משתמש וסיסמה באפליקציה המתחזה והיא היתה עושה לוגין בשמו ושואבת את האימות הדו שלבי מהנוטיפקציות. זה הכל.
מה המסקנה? כרגיל: לשים לב למה מורידים, להעדיף אימות דו שלבי באפליקציה ולא לתת הרשאות לנוטיפקציות לאפליקציות. בנוסף, אולי להוריד את הנוטיפקציות בכלל מהמכשיר, בטח ובטח שהוא כבוי - זה רעיון טוב. גם לפרודוקטיביות.
תודה לאמיר כרמי שסיפר לי על זה :)
האייטם בהארץ למעונינים במידע מעבר:
https://www.haaretz.co.il/captain/software/.premium-1.7860188
הפוסט המקורי של ESET שאמיר כרמי שלח אלי:
https://www.welivesecurity.com/2019/08/22/first-spyware-android-ahmyth-google-play/
--
ועוד משהו - הקבוצה של ים מסיקה ״שיט טכנולוגי״ היא קבוצה סופר מומלצת: https://t.me/shiftech2 נסו ותהנו 😊

הפוסט החדש השבוע על DNS Propogation שבו אני מספר על מקרה שקרה לי והשבית את האתר שלי ליום שלם. מה קרה? קיבלתי תקלת DNS_PROBE_FINISHED_NXDOMAIN
איך מתמודדים עם זה? מה קורה כשיש תקלה כזו באתר שלכם? בפוסט יש הסבר מקיף על העניין שלפי דעתי מעניין לקרוא אם אתם לא מכירים.
https://internet-israel.com/?p=8746 🐪
--
ועכשיו לאייטם מעניין שפרסמתי השבוע על פנגו. אחד מפרטי המידע החשובים והרגישים שיש עלינו הוא מיקום. אתה יודע על מישהו את המקום שלו? אתה יכול לעשות המון. מבחינה מסחרית זה יופי של מידע, לא סתם waze נרכשה על ידי גוגל בסכום גבוה. לא סתם פייסבוק מבקשת הרשאת גישה למיקום לאפליקציות שלה. אבל לארגוני טרור, מודיעין וסתם לפושעים זו חגיגה אמיתית. גם מבחינה אישית - זו ההרגשה הכי לא נעימה לדעת שנתוני המיקום שלנו גלויים.
חברת פנגו אוחזת במידע מיקומי רגיש כזה. כל מי שיש לו רכב משגר את נתוני המיקום שלו בכל בקשה לחניה. כיוון שהחברה עובדת עם חניונים רבים - הנתונים על התשלומים בחניונים גם נאגרים בחברה.
אבל פנגו השתמשו בקוד מאובטח, המערכת שלהם לא חדירה. מה כן היה חדיר? מערכת של מסר10, ששלחה מידע לחלק מלקוחות החברה, שלחה דיוור ללקוחות החברה והשתמשה בקישורים קלים לניחוש. משהו בסגנון: example/?id=1234 - מה שהתוקף יכול היה לעשות זה לסרוק את כל הקישורים בשופי ובנחת ולקבל גישה לחשבוניות של חלק מהלקוחות בחצי השנה האחרונה.לא היתה הגנת brute force. זה אומר פרטי לקוח מלאים בתוספת נתוני מיקום של כל התשלומים שלו בכחול לבן ובחניונים. והכל בפורמט נוח לקריאה. על כ-5% מהלקוחות.
כמה וכמה חוקרי אבטחה ראו את העניין הזה. דותן אגמון דיווח לי ראשון, גם נעם רותם הבחין בעניין הזה וגם חוקרים אחרים. אם הם ראו? יש סיכוי שמישהו פחות נחמד ראה.
וזה לקח חשוב לכולם: גם אם הקוד שלכם סופר מאובטח, לפעמים כשל של ספק צד שלישי עלול לחשוף אתכם. כדאי מאוד לוודא שהספק שלכם עומד בסטנדרטים שלכם. אין מצב שחוקר אבטחת מידע היה רואה את זה ומאשר את העניין הזה. כדאי לדרוש מהספקים שלכם אישור על כך שהם עורכים בדיקות חדירות בתדירות מסוימת. זה המינימום של המינימום.
אבל לא הכל שחור - כשדיווחתי לפנגו הם הודו (!) לי והתייחסו לעניין ברצינות ובמהירות. גם זה משהו.
להרחבה, האייטם שלי ב׳הארץ׳:
https://www.haaretz.co.il/captain/software/.premium-1.7860043

"עד שלא מנתקים אותך, אתה לא יודע עד כמה זה היא חלק משמעותי מהחיים שלך". אלו המילים שד״ר בצר אמר לי. ד״ר בצר היה פעיל במאבק ציבורי של רופאי השיניים מול משרד הבריאות וגורמים נוספים ורבי כוח בשוק הטיפולים הקוסמטיים הרפואיים. המאבק הצליח, אבל מייד לאחר ההצלחה, ד״ר בצר שילם מחיר יקר.
מה המחיר? הוא הותקף באופן מעניין: מניפולציה שנעשתה בוואטסאפ גרמה לחסימת החשבון שלו בוואטסאפ לנצח.
מה המשמעות? זה אומר שאתה פשוט... נעלם. נעלם מהקבוצות (כולל אלו שניהלת, ואז הן נותרות יתומות), אי אפשר למצוא אותך וכאילו שלא היה לך חשבון מעולם.
התוצאה? גזר דין מוות חברתי ומקצועי. למרות שאנחנו פה בטלגרם החמים והנעים, וואטסאפ היא הפלטפורמה המובילה ביותר שיש ואם אתה לא שם? אתה לא קיים.
איך התוקפים עשו את זה? עוד לא ברור לי במאה אחוז. לפני כמה חודשים וואטסאפ הטמיעו מערכת חדשה למניעת ספאם. במסגרת המערכת כל אחד יכול לדווח. ב-white paper שהם פרסמו בנושא הם פירטו את הדרכים שבהן המערכת, באמצעות AI (כהגדרתם) תמנע ניצול לרעה. הנה קישור:
https://www.whatsapp.com/safety/WA_StoppingAbuse_Whitepaper_020418_Update.pdf
אבל נחשו מה? מישהו, כנראה, מצא דרך לעקוף את המערכת הזו והשתמש בטכניקה מסוימת כדי לתקוף את ד״ר בצר. איך? משתמשים יכולים לדווח על אדם גם בלי אינטראקציה איתו. למשל יצירת קבוצה, הכנסת מישהו, הפיכה שלו לאדמין ואז הזמנה של המון מספרים לקבוצה. הם מדווחים על הספאם ולאחר מספיק דיווחי ספאם מפוברקים, החשבון נחסם ולך תדבר עם הלמפה. ייתכן שזה מה שקרה עם ד״ר בצר שדיווח על הוספה מסתורית לקבוצה כזו בדיוק קצת לפני שחשבונו נחסם.
לאחר שננעל מחוץ לחשבון ואיבד קשר עם המשפחה, הקולגות והחברים. ד״ר בצר נאלץ לשנות מספר.
אבל התוקפים לא הרפו. 24 שעות אחרי כן גם המספר החדש נחסם בוואטסאפ. 😔
וואטסאפ הפכה לתשתית בה״א הידיעה. אם אתה לא שם, אתה לא קיים. הבעיה היא שוואטסאפ שייכת לפייסבוק, חברה שטובת המשתמשים ושירות הלקוחות הם... לא נר לרגליה. ואני עדין.
פניתי לפייסבוק. הם החזירו לד״ר בצר את המספר החדש והגיבו באופן לקוני מאוד:
"צוותים שלנו בדקו את הנושא ומצאו כי אחד החשבונות לא נחסם ועדכנו על כך את המשתמש. החשבון הנוסף נותר חסום מאחר שאנו מאמינים שפעילות החשבון הפרה את תנאי השירות שלנו. למרבה הצער, בשל מגבלות חוקיות איננו יכולים לשתף מידע נוסף אודות ההחלטה לחסימת החשבון"
מה בדיוק קרה? למה החשבון שלו נחסם? מה הפעולות הלא חוקיות שהוא ביצע? ד״ר בצר לא יודע. הוא לא טכנולוגי ולא עסק בהפצת ספאם וכמובן שאיש לא טרח לומר לו איזה תנאי שירות הופרו. עד היום. מסרתי את המסקנות שלי לפייסבוק, אך אני לא יודע אם נעשה איתן משהו.
מה המסקנה? אין ממש. אי אפשר להתנתק מוואטסאפ היום.
אתם מובילים מאבק? כדאי להתכונן לאפשרות של ניתוק חשבון הוואטסאפ. ולשקול ליצור מספר חדש לצורך המאבק.
חסימות השרירותיות הגיעו לוואטסאפ וזו לא הפעם הראשונה שאנשים נחסמים על לא עוול בכפם. ההערכה/ניחוש שלי? זה ילך ויתגבר. מי שקורא את ההודעה הזו כבר נמצא במצב טוב - כי אם יחסמו אתכם תוכלו להמשיך ולתקשר בטלגרם. אני משתמש גם בסיגנל במקביל לטלגרם.
מידע נוסף באייטם שלי בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.7874427
מטבע הדברים השרשור הזה *לא* יפורסם בפייסבוק.

בוקר טוב לכולם! יום ראשון וכרגיל פוסט חדש באינטרנט ישראל והפעם פוסט המשך על HTTP Headers ואבטחה. בפוסט אני כותב על שני headers חשובים: HSTS וגם x-frame - אני מסביר למה צריך אותם וכמובן שיש הדגמה.
ה-headers האלו חשובים לא רק בגלל הפונקציונליות שלהן. כשאני נכנס לאתר ואני רואה שיש אותם, ואין headers שלא צריכים להיות שם - זה סימן לכך שמישהו בדק את אבטחת האתר וזה כבר אומר המון. מאוד קל להטמיע אותן בכל מערכת.
וחוץ מזה, אם תקראו את המאמר תוכלו לומר לדודה המעצבנת בארוחת החג: "כן, היום קראתי מאמר מעניין על HTTP Strict Transport Security שמונע התקפות Man In The Middle SSL Strip" ולראות אותה מתעלפת לתוך המרק. וזה? זה שווה הכל. 👹
https://internet-israel.com/?p=8815 🐪

הנה סיפור משוגע לגמרי המערב ״האקרים״ טורקיים, הפלות אתרים וטמטום אינסופי.
הסיפור שלנו מתחיל בדיווח בטוויטר של העיתונאי יואב יצחק על כך שהאקרים תקפו את האתר שלו בדיוק כשהוא התכוון לפרסם ידיעה חשובה. האמת? אני בוש לומר שלעגתי לציוץ שלו. ״האקרים״ מסתוריים מופיעים כל הזמן כשיש תקלות.
אבל האמת? הוא צדק. איך אני יודע? כי קבוצת סקריפט קידיז (מונח המתאר אנשים עם ידע טכני נמוך המפעילים כלים אוטומטיים) פנו אלי בטוויטר בהתפארות והחלו לתקוף בהתקפת DDOS גם את האתר שלי. השם של המתקפה נשמע מפחיד - אך במקרה הזה זו היתה מתקפה פשוטה: הצפה של האתר שלי בבקשות כדי להפיל אותו. סייטגראונד, ספק האחסון, התמודד עם ההתקפה בגבורה. אבל ליתר בטחון העברתי את האתר לקלאודפלייר. וכעת הוא מוגן, לפחות ממתקפות פשוטות כאלו.
מה זה קלאודפלייר? איך אפשר להגן על אתר ממתקפת DDOS? כתבתי על זה מאמר - כדי לסייע לאחרים.
internet-israel.com/?p=8828 🐪
נחזור לקבוצת הטורקים. מה איתם? ובכן. כמו כל סקריפט קידיז הם התפארו בכל ״הישג״ מפוקפק שהם הגיעו אליו באתר המושקע שלהם.
מה הבעיה? הם איחסנו את האתר ב... Wix - לא הדבר הכי חכם כשאתה תוקף ישראלים ועוסק בפעילות פלילית בשם אידיאולוגיה. דיווח קטן למחלקת האביוז ופה זה נגמר. האתר של ה״האקרים״ הופל.
כל הסיפור גם באייטם ב Haaretz הארץ כמיטב המסורת:
https://www.haaretz.co.il/captain/software/.premium-1.7947979

שני אייטמים שלי לקראת יום כיפור בהארץ - כדי שיהיה מה לקרוא ברצף החגים הזה. אני מביא את עיקרם בהודעת החפירה הזו:
הכתבה הראשונה: כתבה ארוכה על אחת המהפיכות הגדולות שיש בתחום התשתית לאינטרנט שכרגיל היא סמויה מהעין: DOH. כן, כמו מה שהומר סימפסון אומר. DOH זה ראשי תבות של DNS Over HTTPS וזו טכנולוגיה שכבר כיום נמצאת בפיירפוקס/ באופרה וגם נכנסת לכרום החל מסוף החודש. מה DOH עושה? נשמע משעמם: הצפנה של התקשורת בינינו לבין שרת ה-DNS, השרת שאחראי לתרגום שם המתחם לכתובת IP. ההצפנה הזו, שמתחילה להכנס עכשיו גם כברירת מחדל בפיירפוקס ובכרום, הופכת את הצנזורה לקשה הרבה יותר כיוון שהיא מונעת ממדינות להתערב בתקשורת בין הלקוח לשרת ה-DNS וכן מעודדת לקוחות להשתמש בשרתי DNS חיצוניים. בישראל גם כך המון ישראלים משתמשים בשרתי DNS זרים, אז המגמה הזו רק תוחרף. דבר שממש פוגע דרמטית ביכולת של המדינה לבצע חסימות (שלא במתכונת סין, שיש לה מחיר כבד). המשמעות היא שכל החסימות שכבר כיום המדינה מבצעת הופכות להיות יותר ויותר לא רלוונטיות. שוב: לא "קלות לעקיפה" אלא פשוט לא רלוונטיות. חלק האנשים, ובעתיד רובם או אפילו כולם פשוט לא ישימו לב אליהן.
DOH מבצע הצפנה של התקשורת בינינו לבין ה-DNS ומונע מכל אחד להתערב בתקשורת בינינו לבין שרת ה-DNS הזר. משהו שגם מונע התקפות אבל גם מונע צנזורה. בישראל לא עשו את זה (עדיין) אבל לכו תדעו איזה מיקי זוהר או פורום הורים היסטרי יבואו ויציעו את זה בעתיד. אז שהו - האפיק הזה נסגר.
כמובן שממשלות בכל העולם מתקוממות. כבר כיום שרת התרבות של אנגליה, הממלכה הכי מטורללת ואויבת האינטרנט החופשי, דרשה מפיירפוקס שלא להפעיל את DOH כברירת מחדל. לגוגל לא היו לה דרישות. בינתיים.
מידע נוסף ומקיף בכתבה שלי פה:
https://www.haaretz.co.il/captain/software/.premium-1.7928317
הכתבה השניה באותו עניין. בטח יצא לכם לקרוא באמצעי תקשורת אחרים על ההצלחה הגדולה של הפרקליטות ומחלקת הסייבר שלה במאבק בפדופילים - חסימת 1,000+ אתרי אינטרנט פדופיליים.
אני לא מטיל ספק בכוונות הטהורות של הפרקליטות, אבל טכניקת החסימה הזו היא לעג לרש. לא בגלל שהיא קלה לעקיפה אלא בגלל שיהיו המון אנשים שלא ישימו לב אליה בכלל. הודות לניסיון המאבק הבלתי מתפשר של זיר"ה לפני כמה שנים באתר סדרות, למאות אלפי גולשים בישראל יש שרת DNS זר (לרובם יש 8.8.8.8). הם לא ישימו לב שההגבלה או החסימה הזו קיימות. זה כמו לשים שלט "הכניסה אסורה" בתחתיתו של ארון תיוק נעול ותקוע בתא שירותים מקולקל, ועל דלתו שלט: "זהירות נמר".
וזה עוד לפני שדיברנו על DOH והדחיפה של כל הדפדפנים לשימוש בשרתי DNS זרים.
יש דרכים אפקטיביות יותר להלחם בפדופיליה. חסימה כזו היא לא אפקטיבית, אשלית שווא והיא בבחינת שריפת משאבים לשווא. שוב, מבלי להטיל ספק ברצון הכן של הפרקליטות להלחם בתופעה הבזויה. כתבתי על כך בכתבה השניה שלי:
https://www.haaretz.co.il/captain/software/.premium-1.7957418
ומעט מידע רקע:
1. סרטון המסביר איך מפעילים את DOH בפיירפוקס, ההפעלה כבר מחברת אתכם ל-DNS של קלאודפלייר ברמת הדפדפן.
https://www.youtube.com/watch?v=CofWxTeYZEE
2. הודעה של גוגל על הפריסה של DOH שמתחילה בכרום.
https://www.chromium.org/developers/dns-over-https
יש שם הסבר על השינוי המהותי בינם לבין פיירפוקס.
ולסיכום החפירה האולטרא-ארוכה הזו:
התשתית שמשמשת אותנו באופן יומיומי כל הזמן משתדרגת ומתעדכנת. טכניקות חדשות נכנסות ומחליפות טכניקות ישנות והופכות את הצנזורה ברשת על ידי משטרים שונים לקשה הרבה יותר. אפשר לחסום באופן ברוטלי כמו סין/צ. קוריאה - אבל לחסימה כזו יש מחיר כבד. חסימה ברמת הרשת (כלומר לא על ידי התקנת תוכנה במכשיר הקצה) הופכת לבלתי אפשרית.

הגעתם לסוף החפירה? צום קל לצמים וחתימה טובה לכולם ואחלה יום לבני הדתות האחרות. 😊

מאמר חדש באתר לקראת החג - איך משנים/מנהלים/מוסיפים HTTP Headers באמצעות htaccess. זה הרבה יותר קל ופשוט ואני חושב שאם יש לכם שרת Apache, אז זו הדרך המועדפת והטובה ביותר לעבוד.

internet-israel.com/?p=8833 🐪

בנוסף - חדשות ממעבר לים. חוץ מעניין הברקזיט, בריטניה ניסתה להעביר חוק שיגן על הנוער המשתוקק לכל מיני... אתרי מצוות ומעשים טובים😱 . על מנת להגן על בני התשחורת (תשחורת מלשון שחר חייהם) - המפלגה השולטת באנגליה ושרת המדיה והתרבות בחוכמתן האינסופית החליטו לחוקק חוק שקובע שאתרי ה... מצוות והמעשים הטובים חייבים לבצע אימות גיל עם תעודות זהות, דרכון או כל מסמך חוקי אחר. אתר... מצוות ומעשים טובים שלא יעשה את זה וישמור מאגרים של משתמשים - ייחסם. אכיפת יצירת מאגרים רגישים כאלו, כולל פרטים מזהים, היא אפשרות בלהות מופרעת כמובן. אבל הגיון מעולם לא עצר מחוקקים בעבר (תשאלו את חה"כ מיקי זוהר וחברת הכנסת (כבר בדימוס) שולי מועלם). למרבה השמחה, לאחר דחיות חוזרות ונשנות - החוק הזה ב-ו-ט-ל. כפי שנאמר על ידי גדולים ממני: עוצו עצה ותופר.
כתבתי על זה בהארץ: https://www.haaretz.co.il/captain/net/.premium-1.7950978
אבל אני לא היחיד. כתבו על זה גם במקומות רבים אחרים:
https://www.calcalist.co.il/internet/articles/0,7340,L-3772028,00.html
https://tech.walla.co.il/item/3318479

ובנימה אחרת לגמרי - המהדורה הדיגיטלית השניה והמעוצבת של "ללמוד ג'אווהסקריפט בעברית" יצאה לאור ואני מאוד מתרגש. עוד מעט אוציא הודעה מסודרת במייל לכל הרוכשים (1981!), אבל פה אני יכול לפרסם כבר שהמהדורה החדשה כבר זמינה באתר. היא מעוצבת יותר, מתוקנת יותר וגם עם נספח חדש על פרוטוטייפ: hebdevbook.com
הספר כבר בדרכו לפרינט

מאמר חדש שכתבתי על פיצ'ר חדש ב-ES2020 (כן! אנחנו כבר שם) שכדאי להכיר אותו בשם globalThis שנכנס ממש ממש עכשיו! https://internet-israel.com/?p=8840 🐪
קצר, חמוד ופשוט וכדאי לכל מתכנת ג'אווהסקריפט להכיר.
--
אחת מהדרכים הטובות ביותר לשמר ולחזק את הידע המקצועי ואת הנוכחות המקצועית היא להגיע לכנסים ולהרצות. אחד מהכנסים, בה"א הידיעה, המעניינים שהולכים להיות בקרוב הוא Node TLV. לכנס כבר מגיעים מרצים בינלאומיים כמו מתאו קולינה (חבר ה-TSC) ודניאל ארנברג (אחד מה-TC39 שקובעים ומחליטים על פיצ'רים חדשים בג'אווהסקריפט כמו הפיצ'ר שלעיל).
אפשר כבר עכשיו לרכוש כרטיסים לכנס אבל חשוב יותר - אפשר להגיש הצעות להרצאות - אם לא שמעתם, אם לא ידעתם - זה הזמן להגיש הרצאה בכל נושא שקשור ל-Node.js:
https://www.nodetlv.com

מאמר חדש בעקבות הרצאה שהעברתי במפגש המפתחים של טוויטר - ושוב אני חוזר לסטגנוגרפיה ומראה איך באמצעות כלי קוד פתוח אני יכול להשתיל מידע גם בתמונה שעוברת דחיסה ונשלחת בדיאם (המסרים הפרטיים) של טוויטר. סטגנורפיה זה באמת עולם מופלא.

https://internet-israel.com/?p=8813 🐪
--
אייטם נוסף ומרתק שהוצאתי השבוע נוגע למערכת נט המשפט. נט המשפט היא מערכת שמנהלת את כל המערכת המשפטית בישראל ומכילה מידע רב על תיקים, עדים וצדדים לדיון. כל אחד יכול להכנס למערכת הזו ולחפש בה, אך כשסתם גולש אנונימי מסתכל על פרטים של צדדים בתיק, הוא רואה רק את השמות שלהם. אם הוא לוחץ על "צפה בפרטים נוספים" הוא מקבל הודעת שגיאה נאה. מה הבעיה?
הבעיה היא שהמידע על כל האנשים קיים גם קיים ונשלח מצד השרת לכל גולש אנונימי, פשוט המערכת מציגה בצד הלקוח רק את המידע המותר לראות - אבל המידע בהחלט קיים ונמצא גם ב-DOM - פשוט מציגים רק את המידע שהגולש יכול לראות. הרי אף גולש לעולם לא יפתח כלי מפתחים ויסתכל... 😁
כמובן שאין הגנה מקראולינג אז כל אחד היה יכול לבנות מאגר נאה עם כל הנתונים (כולל שם אב!) של כל מי שהיה מעורב אי פעם בהליך משפטי - תבעתם בתביעה קטנה? היה לכם דו"ח על מהירות? ברכותיי, גם אתם שם.
יאמר לזכות מערכת המשפט שהם תיקנו. זה לא מה שקורה תמיד כשמגלים ליקויים במערכת הזו. בגלל זה היא נראית כך, כי לא מעט אנשים חוששים להתקרב אליה. גם אני - אבל במקרה הזה אני לא התקרבתי ולא גיליתי. מי שגילה הוא אנדי וורמס וגיא זומר ממערכת 'תולעת המשפט' שסורקת את הנתונים הגלויים של נט המשפט ומציגה אותם באופן ידידותי למשתמש וסיפרו לי על כך.
הכתבה: https://www.haaretz.co.il/captain/software/.premium-1.8062031
האתר של תולעת המשפט - חפשו את עצמכם שם 😃 - https://תולעת-המשפט.קום/
--
אם אתם רופאים, אז ביום שלישי בערב נעם רותם ואני מגיעים לאירוע של ההסתדרות הרפואית (הר"י) ומדברים על פרטיות רפואית ועל הבעיות שיכולות להגרם מכל מיני חורי אבטחה. אל תשכחו לומר שלום!

זה יקרה מתישהו לכל מתכנת או מתכנתת - השפה, הפריימוורק או הספריה שהשקענו מאמצים רבים ללמוד ולהתמקצע בה מתחילה להתיישן ויש כבר מתחרות שנושפות בעורפה. אין דבר מלחיץ יותר מההבנה שהשפה מתיישנת ואנחנו עומדים בפני בעיה משמעותית. זו הסיבה שעניין ה״איזו שפה יותר טובה״ מרכז המון אמוציות. כי זה משהו שמעורר חשש. אין דבר יותר מפחיד מלשמוע: ״מה, אתם עדיין מתכנתים ב-XXXXX ?!? זה מת״. זה לוחץ על כל הכפתורים: חשש כלכלי ומעמדי וענייני אגו (פתאום הידע שלי לא שווה הרבה).
זו הסיבה שהחלטתי לדבר על כך בפודקאסט ״עושים תוכנה״ ואני משתמש בניסיון שלי, בתור מי שהיה שם. הרי החלפתי סטאק טכנולוגי כמה פעמים בחיים שלי. מפלאש ל-PHP, מדרופל לאנגולר 1.2 ול-1.5 ומאנגולר לריאקט. ראיתי טכנולוגיות מתות וזה לא תמיד נעים. מצד שני, זה לא תמיד נורא.
בפרק אני מדבר על זה, יחד עם עמית בנדור וחן פלדמן. לפי דעתי כדאי להקשיב. הפרק הזה הוא הפרק המושמע ביותר בקטגורית טכנולוגיה בפודקאסטים הישראלים באפל מיוזיק. פחות בגלל האישיות הרדיופונית המהממת שלי ויותר בגלל הנושא. וזה נושא בוער.
להאזנה:
https://www.ranlevi.com/2019/11/12/osim_software_frameworks/

פוסט קצר על המודול של לירן טל שמאפשר סריקה מהירה של כל אתר לבדיקת ספריות צד לקוח מיושנות שיש בהן חורי אבטחה. המודול משתמש במאגר המידע של סניק. חברה שכתבתי עליה בעבר ואני נהנה להשתמש במוצרים שלה.
וקל מאוד להפעיל אותו, גם בתהליכים אוטומטיים. אל תגידו שלא אמרתי.
https://internet-israel.com/?p=8859

המאמר השבוע הוא פוסט על פיצ׳ר חדש של ES2020 - סוף סוף גם לג׳אווהסקריפט יש יכולת לעבוד עם מספרים גדולים ויש לנו אפילו סוג מידע פרימיטיבי חדש בשם BigInt. מידע, הסברים ודוגמאות פה:
https://internet-israel.com/?p=8864 🐪
וכן, זה לגמרי נכנס במהדורה החדשה של ״ללמוד ג׳אווהסקריפט בעברית״.
--
והנה אייטם מהמם שפרסמתי השבוע ב׳הארץ׳ ושווה לגמרי דיון. פרצת אבטחה שגרמה לי לעצב רב שהתגלתה בהסתדרות המורים. בפרצה הזו, פורץ שהיה מצטייד בכלי ההאקינג החביב ״דפדפן״ בשילוב כלי הדארק ווב הידוע בכינויו ״גוגל״, היה יכול לקבל גישה, בחיפוש פשוט, למספרי תעודת זהות של כעשרים אלף מורים. מי שגילה את זה הוא המתכנת שוהם טל.
ומה אפשר לעשות עם עשרים אלף מספרי מת״זים אתם שואלים? להסתדרות המורים יש אתר הטבות שבו המורים יכולים לעשות קניות ופעולות נוספות. שם המשתמש הוא מספר תעודת הזהות והסיסמה היא.... גם מספר תעודת הזהות 😢 שוהם כתב סקריפט קצר שמראה איך אפשר לבוא ולשתות את הפרטים הנוספים של המורים באופן אוטומטי ולבנות מאגר מידע איכותי ועדכני שיכול לשמש כל תוקף. וכמובן לבצע פעולות באתר ההטבות בשמו של כל מורה.
כתבתי על זה ב׳הארץ׳ ולצערי העורך המרושע, עודד ירון, לא הסכים לתת את הכותרת ״הצלצול הוא בשבילי, פירצת האבטחה היא בשבילכם״.
https://www.haaretz.co.il/captain/software/.premium-1.8191705

תודה עצומה לשוהם שגם היה מספיק סובלני בנצח שלקח לי להוציא את האייטם הזה.

ממש לקראת סוף 2019 וה-TC39 החליטו לפנק עם עדכונים נוספים לג'אווהסקריפט והפעם עדכון נדרש וחשוב שחיכינו לו המון. Optional Chaining. הפיצ'ר הזה מאפשר לי לגשת לתוך תכונות או מתודות מקוננות באובייקט בלי להסתכן בשגיאה. בניגוד לעבר, שבו הייתי צריך לעשות משפטי תנאי כדי להזהר שלא לבקש תכונה של תכונה לא קיימת.
דוגמאות וכו': https://internet-israel.com/?p=8868 🐪

מאמר חדש, גם הוא על פיצ'ר של ES2020 והפעם על אופרטור חדש עם שם מהמם: ES2020 Nullish coalescing Operator
האופרטור הזה "??" הוא אופרטור חשוב מאוד שמסייע לנו לקבוע משתנים דפולטיביים, כמו "||" משודרג בלי התנהגויות מוזרות.

https://internet-israel.com/?p=8870

שני אייטמים חשובים שנראים לי מספיק רלוונטיים כדי להביא אותם לפה. נתחיל?
הראשון הוא אייטם שהחל מכתבה ארוכה של ׳המקום הכי חם בגיהנום׳ באייטם נכתב על מכללה ללימוד מקצועות פיתוח ו-QA שהתנהגה באופן מאוד ברוטלי לתלמידים שלה: תבעה כאלו שכתבו ביקורות שליליות בפייסבוק, תבעה כאלו שהעבירו מיטאפים בחשד ל״העתקה״ והצמידה מכשירי האזנה לתלמידים שיצאו לראיונות עבודה. הכתבה ארוכה אבל מאוד מטרידה.
https://www.ha-makom.co.il/post-tomer-sv-investig/
בעקבות העניין הזה כתבתי אייטם המשכי שמלמד איך אפשר לדעת אם המכללה שמלמדת את מקצועות הפיתוח היא מכללה שלא תעקוץ את התלמידים שלה. יש כמה דרכים והדרך המרכזית היא... לינקדאין. הרשת הזו היא רשת מעולה לבירור על כל גוף או אדם בהייטק. לכל בית ספר שמכבד את עצמו יש דף בלינקדאין ובדף יש Alumni עם רשימת תלמידים שהציבו את המכללה כמקום הלימוד שלהם בלינקדאין. ביחנו את הרשימה - יש בה מעט תלמידים? זה אומר דרשני - חלק גדול מהתלמידים עדיין מחפש עבודה או עובד בתחום לא רלוונטי? כנ״ל.
מעבר לכך - כל מכללה מציגה רשימה ארוכה ונאה של מרצים עם רזומה מפואר. בלינקדאין יש יכולת לבדוק האם באמת הרזומה הזה רלוונטי - ראיתי מקומות שהניסיון המקצועי של ״ראש תחום עם ניסיון בחברה בטחונית״ הוא שנה וחצי כאיש QA באלביט או ניסיון מקצועי של מרצה בכיר שמתמצה בעבודות סטודנטים. רזומה עשיר, רווי המלצות, פרסומים ומידע הוא סימן חיובי. מרצה בכיר שאין לו לינקדאין? חשוד.
כל המידע הזה ועוד נמצא באייטם מורחב בהארץ שלאור חשיבות העניין לא מאחורי חומת תשלום וכולם יכולים לקרוא אותו:
https://www.haaretz.co.il/captain/software/1.8266493
--
אייטם נוסף וחיובי (!!!) קשור דווקא לדליפת מידע שמצאתי באל-על: עשרות אלפי לקוחות שרכשו בפליי₪ביי - הדיוטי פרי המעופף של אל על היו חשופים לכל מי שהיה לו את כלי הפריצה וההאקינג המחוכם ״דפדפן״. שילוב של כמה פרצות איפשר לכל אדם עם תחכום מינימלי לשוטט לו בנחת בכל החשבוניות, עם הפרטים המלאים של הלקוחות. איך? בכתובת החשבונית היה פרמטר מספרי - לצורך העניין משהו כמו elal-duty-free.com/?id=1234 - כל מה שהפורץ המחוכם היה צריך לעשות זה לשנות את ה-id באופן סיסטמטי:
lal-duty-free.com/?id=00001
lal-duty-free.com/?id=00002
עד הסוף של המספרים כדי לקבל את כללל החשבוניות. היה אפשר לכתוב סקריפט קצר שיעשה את זה.
אבל אמרתי חיובי, לא? מה חיובי?
בד״כ היחס שאני מקבל כשאני חושף חולשה כזו בפני החברה (ואני תמיד מגיע לחברה לפני הפרסום כמובן ומוודא סגירה לפני שאני מפרסם) הוא עוין עד עוין מאד. הפעם? ממש ממש לא. החברה הודתה לי, יצרו איתי קשר גורמים טכניים עם שאלות טכניות רבות שהראו על רצינות וניסיון להבין מהיכן בסיס הכשל (ולא רק לסגור את הפרצה ולהגיב באופן שבלוני) והכי חשוב: הודיעו חגיגית על כך שיהיה מקום מסודר באתר להודיע על פרצות כאלו גם מבלי לעבור דרך שירות הלקוחות.
נשמע אלמנטרי? ייתכן. אבל זו פעם ראשונה שאני רואה יחס רציני, מכבד וניסיון לפתור את הבעיה כך שהיא לא תיווצר יותר ואם תיווצר - יהיה מקום להודיע בצורה מסודרת שיוביל ישירות לאנשים שיכולים לטפל בזה.
האייטם בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.8232136

בוקר טוב, שבוע מעולה וחג חנוכה שמח! המאמר האחרון באתר עוסק ב-ES2020. כן. שוב והפעם עם פיצ׳ר חדש, חשוב ומגניב שכדאי מאוד להשתמש בו היום. הפיצ׳ר מסייע לי לנהל פרומיסים מרובים וללא ׳קצרים׳. רגע, מה? כן. אבל כדי לדעת מה זה ׳קצר׳ ולדעת מה ההבדל בין הפיצ׳ר החדש Promise.allSettled לבין שאר הדרכים ואפילו לדבר תורה בסוף (!!!) תצטרכו להכנס לפוסט:
https://internet-israel.com/?p=8883 🐪