טוב, הפוסט היום הוא מרגש במיוחד בשבילי ומסכם פרוייקט של שנה/שנה וחצי - הספר שלי על ג׳אווה סקריפט בעברית.
אז קודם כל הנה הקישור לפרויקט שבו אפשר להצטרף לפרויקט - יש שם תשורות מגניבות ומשתלמות במיוחד (לדעתי הצנועה) ואני אשמח לעזרה של כל אחד ואחת בפרויקט החשוב הזה.
https://headstart.co.il/project/44925
ועכשיו? עכשיו לחפירה כמיטב המסורת:
לפני שנתיים בן יקיר לי החליט לעזוב את האסמבלי שלו ולהתחיל ללמוד ג׳אווהסקריפט. ו-וואלה - לא היו ספרים. אז נכון, כולנו צריכים לדעת אנגלית ועדיין - יותר נעים ללמוד בעברית - לא? אז התחלתי לכתוב ספר כזה. ספר שילמד ג׳אווהסקריפט ממש מאפס ועד לרמות ה גבוהות ביותר. ספר שגם אנשים חסרי ידע יוכלו להתחיל ממנו אבל גם שיחזק מתכנתים מנוסים. וזה וואחד פרוייקט - כתיבה ואז עריכה טכנית עם המומחים הטכניים הכי טובים שיש: דניאל שטרנליכט, יגאל סטקלוב, תום ביגלאייזן וגיל פינק (וגם צחי נימני שהוא מהנדס מאוד מנוסה וקרא את הספר כדי לראות שהוא עושה שכל). אבל כדי להפיק ספר איכותי צריך הרבה יותר.
אז קודם כל מי שהצטרף כשותף לספר זו הקריה האקדמית אונו שמתחילה בלימודי תואר ראשון למדעי המחשב. הספר (אם הקמפיין יצליח) יצא גם בהוצאתה כספר פיזי.
אבל צריך עוד: עריכה לשונית, עיצוב, עימוד ועוד המון דברים כדי לספק את המוצר הכי טוב שיש. ופה אני צריך אתכם - הצטרפו אלי לפרויקט הזה - שהוא פרויקט חשוב - אין לנו כמעט ספרות בעברית ובטח ובטח לא לענייני ג׳אווהסקריפט. וזה כל כך חשוב: גם למנוסים וגם לאלו שרוצים להכנס לתחום. התמורות שוות, המטרה טובה - ביחד נוכל לעשות את זה:
https://headstart.co.il/project/44925
ושוב אני מודה לקרייה האקדמית אונו שאיפשרה לי להרים את זה. שווה מאוד לבדוק את הלימודים שלהם לתואר ראשון במדעי המחשב (אני בעצמי אלמד שם!)
https://www.ono.ac.il/schools2/business-administration/computer-science/

עדכון חדש באתר שלי על.... ג׳אווהסקריפט וסימון לולאות. מכירים את הפיצ׳ר הזה? מדובר ביכולת לסמן לולאות. למה זה טוב? אפשר לשבור לולאות חיצוניות מבפנים! אני שם כסף שלא הכרתם את הפיצ׳ר הזה וטוב להכיר אותו.
https://internet-israel.com/?p=8560 🐪

את הפיצ׳ר הזה ראיתי בזמן שחרשתי על ה-MDN לקראת הספר לפני כשנה בערך. בחרתי שלא להכניס אותו לספר למרות שזו דילמה משמעותית - מה ייכנס ומה לא ייכנס לספר. מצד אחד - חשוב שיהיה שם מידע מתקדם. מצד שני - לא להכנס לאיזוטריה.
אבל אני מבטיח לכם שיש בספר דברים שיחזקו פינות גם אצל מתכנתים ותיקים.
התגובות לקמפיין היו מדהימות, אגב. פחות מ-4 שעות מ הפרסום הוא מומן ויכולתי להתחיל עם יעדי ההמשך המופרעים: ספרי עזר נוספים על Node.js ו-MySQL ואתר לימודי. כל יעדי ההמשך מולאו בהצלחה עצומה ועכשיו אנחנו לקראת יעד המשך נוסף של סרטוני וידאו.
מי שהצטרף לקמפיין יקבל את כל יעדי ההמשך וזה כבר מתחיל להצטבר :)
לא הספקתם? יש לכם עוד שבועיים :)
https://headstart.co.il/project/44925

המאמר החדש שהעליתי הוא גם על ג׳אווהסקריפט - תצטרכו לחיות עם זה כי עד שפרויקט מימון ההמון שלי מסתיים (עוד 8 ימים!) אני כותב בעיקר על זה. המאמר הוא על מוטציות. לא, לא צבי הנינג׳ה אלא מוטציות בג׳אווהסקריפט. זו תכונה בסיסית במיוחד של השפה שיכולה להטריף מתכנתים שלא מכירים אותה.
https://internet-israel.com/?p=8566 🐪
לא יודעים ג׳אווהסקריפט? ובכן - עוד לא מאוחר מכדי להצטרף לפרויקט של הספר :)
https://headstart.co.il/project/44925
ועוד קצת חפירה על הספר ואז גם קצת צחוקים על אבטחה - הספר הזה חורך את הדסטארט ועוד מעט מגיע ל-400% מימון. היעד הבא שלנו הוא לקחת שני ספרים: Node.js וריאקט ולעבות אותם משמעותית מספרי הדרכה קצרים לספרים של ממש.
הפרוייקט הזה באמת מצליח. אם לא הצטרפתם? בידקו אותו. אם יש לכם חברות/ארגונים - יש בו תשורות שנותנות ממש added value מטורף.
--
ועכשיו לקצת צחוקים או בכי. את חוק הצנזורה של ׳שולי את מיקי׳ אתם מכירים. נכון? ובכן - שני הגאונים נראים כמו אלן טיורינג לעומת המחוקקים בבריטניה שהחליטו בחוכמתם האינסופית שכדי להגן על הנוער - החל מה-15 ליולי 2019 כל אתר פורנו בעולם יצטרך לאמת את הגיל של הגולשים שמגיעים אליו מבריטניה. איך? מגיעים מIP בריטי? אתר הפורנו יבקש מכם מסמכים מזהים (!!) או סריקה ביומטרית (!!!) וישמור אותם במאגר כדי לוודא את גילכם. I SHIT YOU NOT. אתר שלא יישם את זה? ייחסם.
ההשלכות? מהממות. ראשית כפי שאנו יודעים זה לא יגן על אף בן נוער שיודע יפה מאוד להפעיל VPN. בניגוד ללפני עשור. ויפיאנים מגיעים ממש בחינם ובכל מקום ובאופרה אפילו כחלק מהדפדפן.
שנית, בעוד שמשתמשים שיש להם שכל ואוריינות טכנולוגית יעדיפו לכרות לעצמם אונה מאשר למסור את הפרטים שלהם לאתרי פורנו מזדמנים (!!!) - אלו שפחות אוריינים טכנולוגית יעשו כן ואז כשהמאגרים האלו ייפרצו - שאלוהים יעזור להם. סחיטה, איומים והמון עוגמת נפש. מראה שחורה 2 אבל בריאליטי.
באייטם שהעליתי בהארץ כתבתי על כך:
״לפני כמה שנים, גבר כבן 35 שקיבל מייל סחיטה כזה, רצח את בנו והתאבד כתוצאה מהלחץ והחרדה שהוא חש. והוא לא לבד. וכאן מדובר רק במייל בלי כיסוי - מה יקרה כש ישיגו לא רק פרטים מדויקים של אנשים שגולשים בפורנו אלא גם לאן הם גולשים? מומחי אבטחת מידע ומומחים לפשיעה יודעים מה יקרה. מומחים טכניים אחרים יודעים כמה קשה לבנות מאגר מאובטח כזה ועד כמה היותו של המאגר מטרה ששווה זהב הופכת את הפיתוח לקשה פי כמה וכמה. המחוקקים הבריטיים, בחוכמתם האינסופית, לא התייעצו לא עם אלו ולא עם אלו.

סיוט הפרטיות והאבטחה הזה הוא מורסה שכנראה עומדת להתפוצץ למחוקקים הבריטיים בפנים. גם הם, כמו מקביליהם בישראל ובמדינות אחרות, לא טרחו להתייעץ עם מומחים טכניים. חוסר ההבנה שלהם, במקרה הזה, יעלה בחיים ובצער רב וכמובן לא ימנע מאף בן נוער להיחשף לפורנוגרפיה. בנוסף, מנגנון החסימה גם הוא מסוכן ועלול להשבית חלקים מהאינטרנט עבור הגולש הבריטי הממוצע - אבל עושה רושם שזו הופכת להיות הבעיה הקטנה ביותר של הממלכה המאוחדת אם החוק הזה ייושם.״
עוד מידע יש בכתבה שלי פה:
https://www.haaretz.co.il/captain/net/.premium-1.7142169
או ב wired:
https://wired.co.uk/article/porn-block-uk-wired-explains
ובמיליארד מקומות אחרים ברשת. תהנו. 😢

מאמר חדש שפורסם באינטרנט ישראל ו(מצטער חברים) הוא על ג׳אווהסקריפט. נו באמת - אני לקראת סוף פרויקט של ספר על ג׳אווהסקריפט! זה לא הזמן לפרסם מאמרים על דוקר, על אבטחה או על כל דבר אחר.
המאמר הוא על Object.freeze ועל Object.seal - אם אתם לא מכירים? שווה להכיר. אני לא משתמש בהם ביום-יום אבל ללא ספק זה פיצ׳ר חשוב. וכן, תקעתי שם קליפ של סיל (שזה זמר משנות ה-90!).
https://internet-israel.com/?p=8571 🐪
ואם כבר מדברים על הפרויקט - אז זהו, הוא נגמר מחר ולא תשמעו יותר חפירות ממני. הוא מאוד קרוב ל-200,000₪ ושבר כמה וכמה שיאים בהדסטארט. כדאי מאוד להשקיע בו - מי שמשתתף במדרגה של ה-100 מקבל 5 ספרים דיגיטליים: הספר של ג׳אווהסקריפט: ספר ארוך ומושקע. 2 ספרים מושקעים על Node.js וריאקט. 2 ספרי הדרכה קצרים נוספים על MySQL ו-jQuery וגם גישה לאתר שיש בו תרגילים וסרטונים. לא רע בשביל 100 שקל לפי דעתי. וגם השתתפות בפרויקט מהמם שתורם לכם ולקהילה. יש עוד 24 שעות להשתתפות. זה הכל. אחרי זה יהיה אפשר לרכוש את הספרים (כשיצאו) אבל במחיר יותר גבוה. זה הצ׳אנס האחרון.
https://headstart.co.il/project/44925
ספר הג׳אווהסקריפט כבר בהכנה. הוא עבר עריכה טכנית, עריכה לשונית ועכשיו הוא בהגהה ראשונה. אחרי ההגהה? הגהה שניה, עיצוב, עימוד, הנגשה והוא יוצא לדיגיטלי. זה יהיה מהיר - אבל לא עניין של ימים, כן?
שאר הפרויקטים יבוצעו - אבל הפוקוס המרכזי שלי הוא על הספר הזה. אחר כך על ריאקט ו-Node.js. אחרי זה על כל השאר.
אני תמיד גאה ומאושר לומר שכל הפרויקט הזה הוא בשותפות של הקריה האקדמית אונו - שמתחילה ללמד מדעי המחשב בהתאמה מיוחדת לאנשים שכבר עובדים. כדאי לבדוק את התוכנית שלהם:
https://www.ono.ac.il/schools2/business-administration/computer-science/

אז כמה מילים על Supply chain attacks - זו לא צורת התקפה חדשה במיוחד, אבל זה מתחיל להיות יותר אינטנסיבי וההתקפה האחרונה שהיתה על Dockerhub היא תירוץ מעולה לדבר על זה:
דוקר וקוברנטיס הם שמות שנשמעים לרוב האנשים כמו סינית מוזרה או שם של פוקימון. אבל האמת היא שמדובר בתשתיות שעליהן מתבססים רוב השירותים שאנו משתמשים בהם. נכנסים לאתר גדול? משתמשים באפליקציה? רואים וידאו? סביר להניח שהשרתים עושים שימוש בדוקר.
דוקר (וקוברנטיס, הטכנולוגיה שמשלימה אותו) בעצם מבצע התקנה אוטומטית של שרתים. שרת, למי שלא יודע, זה מחשב עם מערכת הפעלה ועליה מותקנות כמה תוכנות כמו תוכנת השרת עצמה, תוכנת מסד נתונים, התוכנה שמריצה את הקוד וכו'. התוכנות, האתרים והשירותים הגדולים צריכים להתמודד עם עומסים גדולים ושרת אחד, או אפילו עשרות שרתים, לא מספיקים להן. דוקר מאפשר לחברות שמפעילות שירותים כאלו ליצור כהרף עין שלל של שרתים מותאמים אישית.
היצירה הזו נעשית על ידי העתקה של 'תוכנית מכונה' מאתר בשם dockerhub.
תוכנית המכונה הזו יכולה להיות למשל שרת לינוקס מלא המסוגל להריץ אתר וורדפרס, או שרת המריץ את SQL Server של חלונות. כך למשל, אם יש לי אתר שפתאום חווה עליה בכניסות ובשימושים, באופן אוטומטי הענן שלי מריץ תהליך שמוריד את תוכנית המכונה מאתר בשם dockerhub, מתקין את השרת שלי לפי התוכנית הזו, מתקין ומריץ את הקוד שלי על השרת ומתחיל להפנות חלק מהגולשים לשם. נכנסים עוד גולשים? ההליך הזה ירוץ שוב ויצור שרת נוסף.

כשאני מעדכן את השרתים שלי, אין צורך ב'הורדה' שלהם לצורך תחזוקה כפי שאנו מכירים מאתרים ממשלתיים למשל. מה שאנו עושים הוא לעדכן את 'תוכנית המכונה' או את הקוד ולפרוס מחדש את כל השרתים. דוקר והשירותים הדומים לו עושים את הכל באופן מאוד פשוט לביצוע. למרות שזה נשמע כמו מדע בדיוני.
אבל כאמור האוטופיה הזו נמצאת בסכנה. יותר ויותר האקרים ונוכלים תוקפים את ההליך האוטומטי הזה בכל מיני נקודות תורפה. ההתקפה הזו נקראת Supply Chain Attack. היא נקראת כך כי במקום לתקוף את הארגון אני תוקף את שרשרת האספקה שלו. התקיפה הזו היתה כנגד ארגונים שמשתמשים בדוקר. וזו בדיוק ההתקפה שהיתה לפי כמה ימים. דוקר האב https://hub.docker.com/ , המאגר הגדול ביותר בעולם ל docker images, הודיעה שתוקף לא ידוע הצליח לגשת לחלק ממסדי הנתונים שלה ולגנוב פרטי משתמשים, טוקנים (פיסות קוד המשמשות להזדהות ולקישור) וסיסמאות מעורבלות. החברה הודיעה לכל המשתמשים (כ-190,000) שנפגעו וביקשה מהם להחליף ססמאות. מה שעניין את התוקף זה לא המידע - זה יכולת הגישה והכניסה לתבניות הדוקר. אותו תוקף היה יכול להדביק את התבניות בקוד זדוני.
אם התקיפה לא היתה מתגלת, התוקפים היו יכולים לשנות את 'תוכניות המכונה' שמאוחסנות בדוקר וכך בעצם, כאשר שירות כלשהו היה מתקין תוכנת מכונה שהודבקה, הוא היה יכול להתקין גם תוכנה זדונית.
וזה? זה מתחיל להדאיג. יותר ויותר חברות שמות עין על משטח התקיפה הזה. סניק למשל היא חברה שעושה את זה בדיוק. אבל יש עוד המון עבודה. והנזק עלול להיות רב.
האייטם שלי בהארץ שבו חפרתי אפילו יותר :)
https://www.haaretz.co.il/captain/net/.premium-1.7171577
ובנימה אחרת - פרויקט מימון ההמון שלי עומד על רבע מיליון שקל (!!!) ויותר מ-600 אחוזי גיוס (!!!). עמדנו בכל היעדים והתשורות פשוט ממש ממש שוות. ב-100 שקל בלבד אתם יכולים לדאוג לעצמכם לחמישה ספרי תכנות בעברית, אתר תרגול וסרטונים שישלימו את חווית הלימוד. יש עוד שעות בודדות עד שהקמפיין ייסגר. אני מנג'ס שוב כדי לוודא שאף אחד לא מפספס/שוכח. כי פשוט חבל להחמיץ כזו הזדמנות.
https://headstart.co.il/project/44925

עדכוטן חדש באתר על... נו טוב - אתם כבר יודעים! ג׳אווהסקריפט! אבל זה באמת מעניין. הפעם אני מראה דרך ממש מגניבה וקלה להטמעה לחשב את זמני הריצה של הסקריפטים באתר. יש לכם בעיית ביצועים? האפליקציה מג׳עג׳עת? הלקוחות בורחים כמו ילדות בסיכון מאבא של זמר לאומי? 😢 אל דאגה! ל-console יש כמה מתודות שיעזרו לכם לאבחו את הבעיה. במאמר אני מסביר, מדגים וגם מדגים על שירות אמיתי. של בדיחות צ׳אק נוריס.
https://internet-israel.com/?p=8614 🐪
ועוד עדכון בנוגע לפרויקט ספר הג׳אווהסקריפט בעברית. הוא הצליח המון בגיוס (יותר מ 266,000₪!) וכיוון שהוא הצליח ויש הרבה יעדי המשך - פתחתי דף שבו אפשר להתעדכן בנוגע לקצב ההתקדמות של הספר המרכזי ושאר הספרים וגם להצטרף לרשימת תפוצב כדי לקבל עדכונים שוטפים:
https://internet-israel.com/jsheb-info/
והכי חשוב: אם פספסתם, אם לא הצלחתם להכנס לפרויקט בזמן - הדטסארט, לראשונה בישראל, מאפשר להצטרף למכירה מוקדמת של הספרים. זה פיילוט שהם עושים עם הפרויקט של הספר הזה - בגלל שהוא כל כך פופולרי. המכירה המוקדמת פתוחה לזמן מוגבל. אז כדאי לבדוק:
https://headstart.co.il/project/44925

מאמר ידש שכתבתי בעקבות ציוץ שראיתי פה והפתיע אותי: איך יוצרים מודל רק עם HTML ו-CSS וממש בקלות. מ זכיר לי שעם כל הכבוד לג׳אווהסקריפט ולפריימוורקים - ההתקדמות בתחום הפרונט היא לא רק בשפה. כיף ללמוד דברים חדשים.
https://internet-israel.com/?p=8623 🐪
עדכון קטן בנוגע לספר - הספר ׳ללמוד ג׳אווהסקריפט בעברית׳ יצא משלב ההגהה הראשונה ונכנס לשניה. הספר השני שמומן וניתן לכל המשתתפים בפרויקט על Node.js מתקדם מאוד גם הוא. עדכונים וכו׳ פה: https://internet-israel.com/jsheb-info/

מאמר חדש באתר - עם כל האירוויזיון ובאופן אישי אצלי עם כל העומס של הכנת הספר של ללמוד ג׳אווהסקריפט בעברית להפצה וכתיבת הספר שמומן ביעד המשך על Node.js, חמק לו אירוע מעניין ששווה לדבר עליו: חוקרים הצליחו להתקיף באמצעות chosen-prefix collision את SHA-1. שזה אומר שיש עכשיו דרך מעשית להתקיף את אלגוריתם הגיבוב הזה.
אם זה נשמע לכם כמו ג׳יבריש - אז זה לא. במאמר שעלה עכשיו אני מסביר למתכנתים מה זו פונקצית גיבוב (למי שלא יודע) ומה זו ההתקפה הזו ומה המשמעות שלה - ויש לה משמעויות.
במאמר הזה יש הסבר למתכנתים, גרסה למוגלגים תעלה יותר מאוחר ב׳הארץ׳:
https://internet-israel.com/?p=8633 🐪

מאמר חדש על מודול ממש חמוד של Node.js שמאפשר להקפיץ הודעות בכל מערכת הפעלה. אני משתמש בו לא מעט לתזכורות שונות וגם להקריפ את הילדים (אבל זה באמת סיפור אחר). כל הפירוט ודמו פה:
https://internet-israel.com/?p=8647 🐪
אם אתם לא יודעים Node.js אבל השתתפתם בפרויקט ספר הג׳אווהסקריפט, אני רק מזכיר לכם שלכל השותפים בפרויקט מגיע ספר דיגיטלי מקיף מאוד על Node.js שממש עכשיו בהכנה (זה של ג׳אווהסקריפט בהגהות האחרונות).
כפי שחלקכם יודעים, לא למדתי מדעי המחשב באופן מסודר. כן הגעתי באופן פיראטי לכל מיני קורסים חשובים שאיפשרו לי להתפתח מקצןועית (אלגוריתמיקה ומבני נתונים). שיתוף הפעולה שלי בנושא הספר ללימוד ג׳אווהסקריפאט בעברית עם הקריה האקדמית אונו חשוב לי כי למרות שאני לא למדתי מדעי המחשב - אני חושב שלימודי מדעי המחשב חשובים מאוד. לא רק כדי להכנס לתחום (אפשר להכנס לתחום בלי תואר) אלא כדי להתקדם בנתיב מקצועי.
ראיינו אותי על הנושא הזה פה: http://www.ono.ac.il/blog/computerscienceranbarzik/
אם לימודים מעניינים אתכם - או שסתם בא לכם לדבר איתי. אני אהיה *ביום הפתוח של הקריה ביום שלישי הזה משעה 17:00*. באיזור של מדעי המחשב. אם אתם באיזור - בואו להגיד שלום. אני זמין בטלגרם ב-rbarzik. שלחו הודעה כדי לברר איפה אני בדיוק. אני אשמח לדבר ובמיוחד עם השותפים לפרויקט הספר.
אם אתם פחות בראש של לימודים אבל יותר בראש של צחוקים - שי רזניק (שהוא מתכנת ג׳אווהסקריפט מעולה וגם מנהל קהילת ג׳אווהסקריפט ישראל) מרים את מופע הסיפורים השני ובו גם אני משתתף. ביום שבת בערב בבר גיורא. יש בירה וגם אפטר פארטי.
https://www.facebook.com/true.story.dot.show/
להזמנה:
https://www.eventer.co.il/z9th3
אני מרצה על ענייני טכנולוגיה בכנס גיקטיים dev (שתי הרצאות! אחת על Supply chain attack עם דמואים! והשניה על dev blogging) וגם ברברסים (על מעקב אחר משתמשים - שזו הרצאה סופר מגניבה, מצחיקה שמיועדת לאנשים רעים, ראו הוזהרתם). אם אתם מגיעים לכנסים האלו - אל תשכחו לומר שלום!

מאמר חדש שכתבתי על Cache API - דרך נהדרת ופשוטה מאוד לנהל את הקאש. זה יכול להיות מאוד שימושי בלא מעט מקרים וממש ממש קל להשתמש בו.
https://internet-israel.com/?p=8670 🐪
בשבוע הקודם ניסיתי אוטומציה חדשה שתשלח לי את ההודעה על העדכון והיא נכשלה ושכחתי לעדכן ידנית. נו שוין.
--
שבוע הבא - יום ראשו - אני מרצה בכנס רברסים בשעה 16:20 באולם A10. ההרצאה היא על פרטיות ואיך אפשר להפר פרטיות של משתמשים ולעקוב אחריהם בכל מיני דרכים נלוזות ומגעילות במיוחד. עם דוגמאות חיות. קלאסי לאנשים רעים, סטוקרים או אנשים שרוצים להתגונן מהם.
עוד הרצאה מגניבה שאני ממליץ עליה היא ממש בבוקר של ערן שפירא על Visual Testing. זה חלק קריטי מה-CI אצלנו והזדמנות נדירה לראות איך זה קורה בפועל.

לפני כשבוע וקצת העברתי הרצאה בגיקטיים קוד. אני מאוד אוהב את גיקטיים ומקפיד מאוד להתעדכן שם ושמחתי מאוד להרצות אצלם בכנס. בכנס, בין השאר, דיברתי על Third Party Integration ועל איך להגן על עצמנו מהתקפה כזו. אחת הדרכים היא שימוש ב-CSP בצורה נבונה. אבל... מה זה CSP? כרגיל - שם מפחיד למשהו פשוט ביותר. במאמר הזה אני מסביר על CSP למתחילים. מה זה, איך משתמשים בזה ואיך מדבגים את זה וכמובן דוגמאות כיד המלך. המאמר הבא ידבר על CSP מתקדם יותר. אבל כדאי להתחיל עם זה:
https://internet-israel.com/?p=8686 🐪
--
היום אני מעביר הרצאה ב׳רברסים׳ 16:20-16:50 | A10 - יהיה מצחיק וגם מעניין. מבטיח.
--
ובפינת ההמלצות - מורד שטרן, מנהל הקהילות מוויקס הוא אולי אחד האנשים הכי מקושרים ומבינים בארץ. אם אתם צריכים משהו ממישהו - הוא הכתובת. יש לו ערוץ טלגרם שימושי (ולא מציף או חופר) שבו הוא מפרסם קריאות לשיתוף פעולה, כנסים בינלאומיים וכו׳. יצאו משם המון חיבורים מענינים. אם אתם בתעשיית ההייטק - כדאי להציץ:
https://t.me/techisrael
עוד ערוץ שאני מקווה שאתם חברים בו הוא הערוץ של עורך הדין יהונתן קלינגר שבו יש חדשות טכנולוגיות מעניינות ושוות. גם שם אין חפירות: https://t.me/jklinger

אני בפסטיבל המטאל "גראספופ" - שותה בירה, ויסקי, ושומע מוזיקת מטאל. אבל גם בגולה הדוויה הלב שלי עם המתכנתים בארץ. המאמר שלי השבוע הוא מאמר על SRI - חתימת טעינה חיצונית כדי למנוע מצב של Supply Chain Attack. נשמע כמו סינית עתיקה? ממש לא. בשבוע הקודם כתבתי על CSP. בשבוע הזה אני מרחיב את היסודות ומסביר איך כותבים CSP שמוודא שהקובץ שאנו טוענים מספק צד שלישי הוא באמת קובץ שבדקנו אותו.

https://internet-israel.com/?p=8678 🐪

מאמר חדש שכתבתי על npm audit. מיוחד למתכנתי Node.js - מה זה, איך משתמשים בו ואיך מתקנים איתו חורי אבטחה פוטנציאליים. חמש דקות קריאה שאחריה תוכלו לאבטח את הקוד שלכם כמו שצריך.
חורים ואירועי אבטחה לא באים משמים, אפשר וצריך למנוע אותם. זו אחת מהדרכים.
internet-israel.com/?p=8695

המאמר האחרון שפרסמתי הוא מאמר שמראה למה כדאי לעבוד בצוות הטרוגני. כלומר צוות שמורכב מאנשים מכל מיני רקעים ומכל מיני גילאים. אני נחשב מפתח בכיר, יש לי הרבה ניסיון ועדיין - תמיד אפשר ללמוד ובדרך כלל לומדים מאנשים שיש להם חשיבה קצת שונה משלך. במאמר הזה אני מספר על ויכוח מקצועי שהיה לי עם מפתח אחר בקבוצה על דרך נכונה לעשות import למונוריפו בג׳אווהסקריפט ועל איך שפתרנו אותה.
אם זה נשמע לכם כמו סינית, אז זה לא סינית. אתם משתמשים בזה אם אתם מפתחים ריאקט. יש מצב שאתם לא יודעים אפילו:
https://internet-israel.com/?p=8701 🐪

ההרצאה שלי מכנס רברסים עלתה לאוויר בוידאו. בפוסט החדש יש את הקישור לסרטון ואת המצגת שבה יש קישורים חיים לדמואים.
בהרצאה (שהיא טכנית ומיועדת למתכנתים) הדגמתי טכניקות מעקב שונות אחרי משתמשים. מכמה ידועות עד כמה ידועות פחות.
internet-israel.com/?p=8708 🐪

הרשת רעשה לפני כמה ימים מ(עוד) גילוי על פייסבוק. מסתבר שפייסבוק מכניסה לכל תמונה שמועלה אליה קוד. הקוד הזה מאפשר לחברה לעקוב אחר כל תמונה גם אם היא מועלית שוב.
זה נשמע קצת כמו מדע בדיוני, אבל זה ממש לא. השיטה הזו נקראת סטגנוגרפיה. הסתרת מידע בתוך מידע אחר.
פייסבוק הסתירה מידע מוצפן בכל תמונה שהועלתה. אם הורדתם תמונה מפייסבוק והשתמשתם בה שוב - פייסבוק תדע שזו תמונה שהועלתה כבר ואת כל הפרטים עליה. זה לאו דווקא משהו רע, אבל בהחלט כדאי להיות מודעים לכך שכל פלטפורמה/מערכת יכולה להכניס מידע כזה לכל קובץ. הורדתם קובץ ושלחתם אותו למקום כלשהו? אם החברה הטמיעה את שם המשתמש שלכם בקובץ והקובץ שוב יגיע לידיהם - הם ידעו מה המקור שלו.
זה לא קסם האקרי אפל אלא טכניקה פשוטה ומעניינת ואתם יודעים מה? יופי של הזדמנות לדבר על הטכניקה הזו.
במאמר שלי ב׳הארץ׳ ובמאמר טכני יותר באינטרנט ישראל התמקדתי בטכניקה הזו - איך בדיוק עושים את זה? והדגמתי באמצעות cmd - גם איך משחזרים וגם איך בודקים את המידע הזה.
המאמר בהארץ :
https://www.haaretz.co.il/captain/software/.premium-1.7538222
המאמר הטכני יותר באינטרנט ישראל:
https://internet-israel.com/?p=8713 🐪

אגב, בספר הדיגיטלי שלי (שיוצא עוד שבועיים!!!) אני מטמיע טכניקה כזו (ועוד כמה) על מנת ״לחתום״ את העותקים ולזהות, במקרה של העתקה מסיבית, מי המפיץ. אני מעדיף את זה פי אלף על פני DRM מציק.

בזמן האחרון יוצא לי להיות מאוד לקוני פה. בעיקר בגלל העבודה על הספר (מחר הוא יוצא!). אבל לפרסם מאמרים טכניים כל שבוע אני מפרסם.
המאמר החדש הוא על בדיקת בעיות ב-CSS באופן אוטומטי. הרבה פעמים אנחנו נדרשים לתמוך בכל מיני דפדפני אנו-באנו - אם המצב שלכם הוא כזה, מומלץ וכדאי להשתמש בכלי קטן בבילד שלכם שימנע שימוש בתכונות CSS שלא נתמכות על ידי דפדפן כלשהו ממטריקס הבדיקות שלכם.
אם זה נשמע לכם כמו מדע בדיוני אז כדאי מאוד להכנס לזה ולקרוא. העולם מתקדם ואנחנו לא עובדים בצורה שעבדנו בה לפני עשור כי אנחנו חייבים להיות יותר יעילים. זו אחת הדרכים:
https://internet-israel.com/?p=8723

האתר שלי הוא אתר וורדפרס פשוט שאין בו שורת קוד אחת שכתבתי לבד. אבל מה? יש לי קישור בתחתית האתר שבו יש את מדיניות אבטחת המידע שלי וגם מייל מיוחד שבו אפשר לדווח על תקלות. לפני כשבועיים קיבלתי שם הודעה על בעיית אבטחה באתר. ארז רוקח, מהנדס תוכנה שביקר באתר גילה שאני משתמש בגרסת jQuery מתקופת המנדט שיש בה חולשות מובנות.
הפתרון? פשוט - לשדרג את הגרסה הארורה. אבל איך ארז גילה את הבעיה הזו? יש כלי ממש חמוד של גוגל שמוצא בעיות כאלו ובעיות אבטחה נוספות והוא נמצא כבר בדפדפן שלכם. במאמר הקצרצר הזה כתבתי על הכלי הזה וסיפרתי את הסיפור. ממש נחמד וכיף להכיר.
https://internet-israel.com/?p=8731 🐪
--
הספר הראשון שלי ׳ללמוד ג׳אווהסקריפט בעברית׳ יצא לאור במהדורה הדיגיטלית! אם רכשתם/הייתם שותפים בפרויקט ועוד לא יצא לכם להוריד - זה הזמן 😊
https://hebdevbook.com
הספר מתעדכן כל הזמן. כרגע אני מעדכן אותו בכל מיני בעיות, אבל בעתיד הוא יתעדכן גם בגרסאות החדשות של השפה ובמודולים שייכנסו. אם התלבטתם ולא הצטרפתם - עדיין אפשרי לעשות את זה בחנות של הדסטארט: https://headstart.co.il/project/44925
מה עם מהדורת הפרינט? ספר ה-Node.js המובטח? הכל בדרך. בדף הזה יש פירוט וגם הזדמנות להרשם לרשימת תפוצה שבה אני חופר על התקדמות הפרויקט בכל שבוע. משתף את הקשיים וההצלחות. בעמוד הזה:
https://internet-israel.com/jsheb-info
יאללה, חפרתי מספיק.

מאמרון קצר שכתבתי על תופעה שממש מרגיזה אותי כבר שנים - navigator.vibrate. זו פיצ'ר של HTML 5 שהוא די וותיק ודי מרגיז שמאפשר למתכנתים להרעיד לכם את הטלפון. במאמר הזה אני מסביר על הפיצ'ר הזה ואיך מפעילים אותו:
https://internet-israel.com/?p=8737 🐪
ואם אני כבר חופר - סיפור נאה על פרצה של אתר 3fun. זה אתר הכרויות למטרת מין קבוצתי. למשל זוג שמחפש צלע שלישית, רביעיה שמחפשת שלישיה למטרת שביעיה ושאר מצוות ומעשים טובים. חוקר אבטחה חביב עשה בדיקה על האתר הזה ועיניו חשכו. למה? מסתבר שמפתחי האפליקציה בחוכמתם האינסופית מחזירים את כל המידע על כל המשתמשים בבקשת GET פשוטה כאשר הם סומכים על הקליינט (!) להציג את המידע שמותר למשתמש לראות. מה זאת אומרת? זאת אומרת שאם אני, כמשתמש, מבקש מהאפליקציה להראות לי את כל הזיווגים ברדיוס מסוים (בקשה לגיטימית, כמו בטינדר למשל). השרת שולח לי את *כל* המשתמשים שיש באותו הרדיוס בלי שום קשר לאם הם רלוונטיים עבורי, אם הם במצב קריאה בלבד ואם הם ביקשו להציג את המיקום שלהם. האפליקציה היתה אחראית על הסתרת המידע שהמשתמש לא אמור לראות.
חוקר אבטחת המידע פשוט הרים POSTMAN, שיגר את הבקשה והסתכל על התוצאות שכללו גם מיקום חי של המשתמשים באפליקציה. למרבה ההפתעה, יש לא מעט חובבי מין קבוצתי שמסתובבים להם בבית הלבן ובבית המשפט העליון האמריקאי - שני מקומות שאמורים להיות שמרניים. אני ב ה ל ם. 😱
השוס האמיתי - כשהוא פנה אליהם הם ענו לו במבטא הודי וביקשו ממנו עזרה איך לסגור את הפירצה הזו. שזה מדהים כי זה כמו שקבלן יבקש ממך עזרה לבנות דלת. מי האידיוט שסומך על צד הלקוח שיסנן פרטים לא רלוונטיים למשתמשים? בכל מקרה הפירצה תוקנה וכתבתי על זה (כולל קישורים רלוונטיים וסרטון בו אני מסביר על פוסטמן) במאמר הזה ב׳הארץ׳:
https://www.haaretz.co.il/captain/software/.premium-1.7654666
.
.
.
[אזהרה, בדיחת אבא דלוחה: הכותרת המקורית שלי היתה: ״אפליקצית המין הקבוצתי היתה חדירה״. לא מבין למה לא אישרו לי אותה 😢 ]

השולחן שלי מלא בחולשות אבטחה ופרצות וכך גם השולחנות של כל כתבי הטכנולוגיה שיש. באמת. אני כבר מיואש מזה. שוב ושוב אני נתקל בחולשות אבטחה משמעותיות שבאמת לא היו צריכות להיות שם. פעם עוד הייתי מתרגש, כועס ומתעצבן וכותב על זה. היום רק אם זה משהו ממש משמעותי אני מתפוצץ.
אבל הפוסט היום הוא באמת על משהו שטרם ראיתי עד כה ויגרום לכל מתכנת להתפוצץ (או לצחוק, תלוי באישיות).
עומר כביר ב"כלכליסט" פרסם אייטם נאה מאוד על פירצה משמעותית שהתגלתה בשרתי פרטנט. מי שגילה הוא ידידי המוכשר נעם רותם. בכתבה מוסבר על הצד העסקי של העניין - מטבע הדברים בכלכליסט לא ייכנסו לעניינים הטכניים.
https://www.calcalist.co.il/internet/articles/0,7340,L-3768261,00.html
אבל בדיוק בשביל זה יש לי בלוג טכני, כדי שאני אוכל להכנס לעניינים הטכניים והפירצה הזו היתה כל כך מגוחכת שהייתי חייב לכתוב עליה. הפירצה היתה מסוג SQL Injection. פירצה שכבר לא אמורה להתקיים בכלל מרוב שהיא וותיקה אבל עדיין מוצאים אותה.
אני עושה לא מעט הרצאות על אבטחת תוכנה ופיתוח מאובטח ובכל הרצאה כזו יש כאלו שמתפלאים, ובצדק, על העובדה שאני מדבר על SQL Injection. "מה? אפשר לכתוב קוד פרוץ לזה?" הם שואלים.
אז הנה, בפרטנר יצרו חור כזה . אבל רגע! זו לא סתם פירצה רגילה. הו לא, לא הייתי מתרגש בכלל מהעניין הזה. מסתבר שהם עשו משהו שעוד לא יצא לי לראות - בממשק עצמו הם איפשרו הרצת שאילתה שלמה (!!! 😕). כל מה שמישהו העביר ב-URL parameter ששמו היה sqlCommand פשוט רץ במסד הנתונים בלי הפרעה.😱
במאמר הטכני אני מסביר על זה SQL Injection ממש בקצרה ונכנס ל"עומק" הפירצה הזו. זה פשוט עצוב. אנחנו בשנת 2019.
https://internet-israel.com/?p=8752 🐪