הנה סיפור משוגע לגמרי המערב ״האקרים״ טורקיים, הפלות אתרים וטמטום אינסופי.
הסיפור שלנו מתחיל בדיווח בטוויטר של העיתונאי יואב יצחק על כך שהאקרים תקפו את האתר שלו בדיוק כשהוא התכוון לפרסם ידיעה חשובה. האמת? אני בוש לומר שלעגתי לציוץ שלו. ״האקרים״ מסתוריים מופיעים כל הזמן כשיש תקלות.
אבל האמת? הוא צדק. איך אני יודע? כי קבוצת סקריפט קידיז (מונח המתאר אנשים עם ידע טכני נמוך המפעילים כלים אוטומטיים) פנו אלי בטוויטר בהתפארות והחלו לתקוף בהתקפת DDOS גם את האתר שלי. השם של המתקפה נשמע מפחיד - אך במקרה הזה זו היתה מתקפה פשוטה: הצפה של האתר שלי בבקשות כדי להפיל אותו. סייטגראונד, ספק האחסון, התמודד עם ההתקפה בגבורה. אבל ליתר בטחון העברתי את האתר לקלאודפלייר. וכעת הוא מוגן, לפחות ממתקפות פשוטות כאלו.
מה זה קלאודפלייר? איך אפשר להגן על אתר ממתקפת DDOS? כתבתי על זה מאמר - כדי לסייע לאחרים.
internet-israel.com/?p=8828 🐪
נחזור לקבוצת הטורקים. מה איתם? ובכן. כמו כל סקריפט קידיז הם התפארו בכל ״הישג״ מפוקפק שהם הגיעו אליו באתר המושקע שלהם.
מה הבעיה? הם איחסנו את האתר ב... Wix - לא הדבר הכי חכם כשאתה תוקף ישראלים ועוסק בפעילות פלילית בשם אידיאולוגיה. דיווח קטן למחלקת האביוז ופה זה נגמר. האתר של ה״האקרים״ הופל.
כל הסיפור גם באייטם ב Haaretz הארץ כמיטב המסורת:
https://www.haaretz.co.il/captain/software/.premium-1.7947979
הסיפור שלנו מתחיל בדיווח בטוויטר של העיתונאי יואב יצחק על כך שהאקרים תקפו את האתר שלו בדיוק כשהוא התכוון לפרסם ידיעה חשובה. האמת? אני בוש לומר שלעגתי לציוץ שלו. ״האקרים״ מסתוריים מופיעים כל הזמן כשיש תקלות.
אבל האמת? הוא צדק. איך אני יודע? כי קבוצת סקריפט קידיז (מונח המתאר אנשים עם ידע טכני נמוך המפעילים כלים אוטומטיים) פנו אלי בטוויטר בהתפארות והחלו לתקוף בהתקפת DDOS גם את האתר שלי. השם של המתקפה נשמע מפחיד - אך במקרה הזה זו היתה מתקפה פשוטה: הצפה של האתר שלי בבקשות כדי להפיל אותו. סייטגראונד, ספק האחסון, התמודד עם ההתקפה בגבורה. אבל ליתר בטחון העברתי את האתר לקלאודפלייר. וכעת הוא מוגן, לפחות ממתקפות פשוטות כאלו.
מה זה קלאודפלייר? איך אפשר להגן על אתר ממתקפת DDOS? כתבתי על זה מאמר - כדי לסייע לאחרים.
internet-israel.com/?p=8828 🐪
נחזור לקבוצת הטורקים. מה איתם? ובכן. כמו כל סקריפט קידיז הם התפארו בכל ״הישג״ מפוקפק שהם הגיעו אליו באתר המושקע שלהם.
מה הבעיה? הם איחסנו את האתר ב... Wix - לא הדבר הכי חכם כשאתה תוקף ישראלים ועוסק בפעילות פלילית בשם אידיאולוגיה. דיווח קטן למחלקת האביוז ופה זה נגמר. האתר של ה״האקרים״ הופל.
כל הסיפור גם באייטם ב Haaretz הארץ כמיטב המסורת:
https://www.haaretz.co.il/captain/software/.premium-1.7947979
שני אייטמים שלי לקראת יום כיפור בהארץ - כדי שיהיה מה לקרוא ברצף החגים הזה. אני מביא את עיקרם בהודעת החפירה הזו:
הכתבה הראשונה: כתבה ארוכה על אחת המהפיכות הגדולות שיש בתחום התשתית לאינטרנט שכרגיל היא סמויה מהעין: DOH. כן, כמו מה שהומר סימפסון אומר. DOH זה ראשי תבות של DNS Over HTTPS וזו טכנולוגיה שכבר כיום נמצאת בפיירפוקס/ באופרה וגם נכנסת לכרום החל מסוף החודש. מה DOH עושה? נשמע משעמם: הצפנה של התקשורת בינינו לבין שרת ה-DNS, השרת שאחראי לתרגום שם המתחם לכתובת IP. ההצפנה הזו, שמתחילה להכנס עכשיו גם כברירת מחדל בפיירפוקס ובכרום, הופכת את הצנזורה לקשה הרבה יותר כיוון שהיא מונעת ממדינות להתערב בתקשורת בין הלקוח לשרת ה-DNS וכן מעודדת לקוחות להשתמש בשרתי DNS חיצוניים. בישראל גם כך המון ישראלים משתמשים בשרתי DNS זרים, אז המגמה הזו רק תוחרף. דבר שממש פוגע דרמטית ביכולת של המדינה לבצע חסימות (שלא במתכונת סין, שיש לה מחיר כבד). המשמעות היא שכל החסימות שכבר כיום המדינה מבצעת הופכות להיות יותר ויותר לא רלוונטיות. שוב: לא "קלות לעקיפה" אלא פשוט לא רלוונטיות. חלק האנשים, ובעתיד רובם או אפילו כולם פשוט לא ישימו לב אליהן.
DOH מבצע הצפנה של התקשורת בינינו לבין ה-DNS ומונע מכל אחד להתערב בתקשורת בינינו לבין שרת ה-DNS הזר. משהו שגם מונע התקפות אבל גם מונע צנזורה. בישראל לא עשו את זה (עדיין) אבל לכו תדעו איזה מיקי זוהר או פורום הורים היסטרי יבואו ויציעו את זה בעתיד. אז שהו - האפיק הזה נסגר.
כמובן שממשלות בכל העולם מתקוממות. כבר כיום שרת התרבות של אנגליה, הממלכה הכי מטורללת ואויבת האינטרנט החופשי, דרשה מפיירפוקס שלא להפעיל את DOH כברירת מחדל. לגוגל לא היו לה דרישות. בינתיים.
מידע נוסף ומקיף בכתבה שלי פה:
https://www.haaretz.co.il/captain/software/.premium-1.7928317
הכתבה השניה באותו עניין. בטח יצא לכם לקרוא באמצעי תקשורת אחרים על ההצלחה הגדולה של הפרקליטות ומחלקת הסייבר שלה במאבק בפדופילים - חסימת 1,000+ אתרי אינטרנט פדופיליים.
אני לא מטיל ספק בכוונות הטהורות של הפרקליטות, אבל טכניקת החסימה הזו היא לעג לרש. לא בגלל שהיא קלה לעקיפה אלא בגלל שיהיו המון אנשים שלא ישימו לב אליה בכלל. הודות לניסיון המאבק הבלתי מתפשר של זיר"ה לפני כמה שנים באתר סדרות, למאות אלפי גולשים בישראל יש שרת DNS זר (לרובם יש 8.8.8.8). הם לא ישימו לב שההגבלה או החסימה הזו קיימות. זה כמו לשים שלט "הכניסה אסורה" בתחתיתו של ארון תיוק נעול ותקוע בתא שירותים מקולקל, ועל דלתו שלט: "זהירות נמר".
וזה עוד לפני שדיברנו על DOH והדחיפה של כל הדפדפנים לשימוש בשרתי DNS זרים.
יש דרכים אפקטיביות יותר להלחם בפדופיליה. חסימה כזו היא לא אפקטיבית, אשלית שווא והיא בבחינת שריפת משאבים לשווא. שוב, מבלי להטיל ספק ברצון הכן של הפרקליטות להלחם בתופעה הבזויה. כתבתי על כך בכתבה השניה שלי:
https://www.haaretz.co.il/captain/software/.premium-1.7957418
ומעט מידע רקע:
1. סרטון המסביר איך מפעילים את DOH בפיירפוקס, ההפעלה כבר מחברת אתכם ל-DNS של קלאודפלייר ברמת הדפדפן.
https://www.youtube.com/watch?v=CofWxTeYZEE
2. הודעה של גוגל על הפריסה של DOH שמתחילה בכרום.
https://www.chromium.org/developers/dns-over-https
יש שם הסבר על השינוי המהותי בינם לבין פיירפוקס.
ולסיכום החפירה האולטרא-ארוכה הזו:
התשתית שמשמשת אותנו באופן יומיומי כל הזמן משתדרגת ומתעדכנת. טכניקות חדשות נכנסות ומחליפות טכניקות ישנות והופכות את הצנזורה ברשת על ידי משטרים שונים לקשה הרבה יותר. אפשר לחסום באופן ברוטלי כמו סין/צ. קוריאה - אבל לחסימה כזו יש מחיר כבד. חסימה ברמת הרשת (כלומר לא על ידי התקנת תוכנה במכשיר הקצה) הופכת לבלתי אפשרית.
הגעתם לסוף החפירה? צום קל לצמים וחתימה טובה לכולם ואחלה יום לבני הדתות האחרות. 😊
הכתבה הראשונה: כתבה ארוכה על אחת המהפיכות הגדולות שיש בתחום התשתית לאינטרנט שכרגיל היא סמויה מהעין: DOH. כן, כמו מה שהומר סימפסון אומר. DOH זה ראשי תבות של DNS Over HTTPS וזו טכנולוגיה שכבר כיום נמצאת בפיירפוקס/ באופרה וגם נכנסת לכרום החל מסוף החודש. מה DOH עושה? נשמע משעמם: הצפנה של התקשורת בינינו לבין שרת ה-DNS, השרת שאחראי לתרגום שם המתחם לכתובת IP. ההצפנה הזו, שמתחילה להכנס עכשיו גם כברירת מחדל בפיירפוקס ובכרום, הופכת את הצנזורה לקשה הרבה יותר כיוון שהיא מונעת ממדינות להתערב בתקשורת בין הלקוח לשרת ה-DNS וכן מעודדת לקוחות להשתמש בשרתי DNS חיצוניים. בישראל גם כך המון ישראלים משתמשים בשרתי DNS זרים, אז המגמה הזו רק תוחרף. דבר שממש פוגע דרמטית ביכולת של המדינה לבצע חסימות (שלא במתכונת סין, שיש לה מחיר כבד). המשמעות היא שכל החסימות שכבר כיום המדינה מבצעת הופכות להיות יותר ויותר לא רלוונטיות. שוב: לא "קלות לעקיפה" אלא פשוט לא רלוונטיות. חלק האנשים, ובעתיד רובם או אפילו כולם פשוט לא ישימו לב אליהן.
DOH מבצע הצפנה של התקשורת בינינו לבין ה-DNS ומונע מכל אחד להתערב בתקשורת בינינו לבין שרת ה-DNS הזר. משהו שגם מונע התקפות אבל גם מונע צנזורה. בישראל לא עשו את זה (עדיין) אבל לכו תדעו איזה מיקי זוהר או פורום הורים היסטרי יבואו ויציעו את זה בעתיד. אז שהו - האפיק הזה נסגר.
כמובן שממשלות בכל העולם מתקוממות. כבר כיום שרת התרבות של אנגליה, הממלכה הכי מטורללת ואויבת האינטרנט החופשי, דרשה מפיירפוקס שלא להפעיל את DOH כברירת מחדל. לגוגל לא היו לה דרישות. בינתיים.
מידע נוסף ומקיף בכתבה שלי פה:
https://www.haaretz.co.il/captain/software/.premium-1.7928317
הכתבה השניה באותו עניין. בטח יצא לכם לקרוא באמצעי תקשורת אחרים על ההצלחה הגדולה של הפרקליטות ומחלקת הסייבר שלה במאבק בפדופילים - חסימת 1,000+ אתרי אינטרנט פדופיליים.
אני לא מטיל ספק בכוונות הטהורות של הפרקליטות, אבל טכניקת החסימה הזו היא לעג לרש. לא בגלל שהיא קלה לעקיפה אלא בגלל שיהיו המון אנשים שלא ישימו לב אליה בכלל. הודות לניסיון המאבק הבלתי מתפשר של זיר"ה לפני כמה שנים באתר סדרות, למאות אלפי גולשים בישראל יש שרת DNS זר (לרובם יש 8.8.8.8). הם לא ישימו לב שההגבלה או החסימה הזו קיימות. זה כמו לשים שלט "הכניסה אסורה" בתחתיתו של ארון תיוק נעול ותקוע בתא שירותים מקולקל, ועל דלתו שלט: "זהירות נמר".
וזה עוד לפני שדיברנו על DOH והדחיפה של כל הדפדפנים לשימוש בשרתי DNS זרים.
יש דרכים אפקטיביות יותר להלחם בפדופיליה. חסימה כזו היא לא אפקטיבית, אשלית שווא והיא בבחינת שריפת משאבים לשווא. שוב, מבלי להטיל ספק ברצון הכן של הפרקליטות להלחם בתופעה הבזויה. כתבתי על כך בכתבה השניה שלי:
https://www.haaretz.co.il/captain/software/.premium-1.7957418
ומעט מידע רקע:
1. סרטון המסביר איך מפעילים את DOH בפיירפוקס, ההפעלה כבר מחברת אתכם ל-DNS של קלאודפלייר ברמת הדפדפן.
https://www.youtube.com/watch?v=CofWxTeYZEE
2. הודעה של גוגל על הפריסה של DOH שמתחילה בכרום.
https://www.chromium.org/developers/dns-over-https
יש שם הסבר על השינוי המהותי בינם לבין פיירפוקס.
ולסיכום החפירה האולטרא-ארוכה הזו:
התשתית שמשמשת אותנו באופן יומיומי כל הזמן משתדרגת ומתעדכנת. טכניקות חדשות נכנסות ומחליפות טכניקות ישנות והופכות את הצנזורה ברשת על ידי משטרים שונים לקשה הרבה יותר. אפשר לחסום באופן ברוטלי כמו סין/צ. קוריאה - אבל לחסימה כזו יש מחיר כבד. חסימה ברמת הרשת (כלומר לא על ידי התקנת תוכנה במכשיר הקצה) הופכת לבלתי אפשרית.
הגעתם לסוף החפירה? צום קל לצמים וחתימה טובה לכולם ואחלה יום לבני הדתות האחרות. 😊
Haaretz הארץ
DOH: המהפכה שתגרום לממשלות והאקרים להרגיש כמו הומר סימפסון
***
מאמר חדש באתר לקראת החג - איך משנים/מנהלים/מוסיפים HTTP Headers באמצעות htaccess. זה הרבה יותר קל ופשוט ואני חושב שאם יש לכם שרת Apache, אז זו הדרך המועדפת והטובה ביותר לעבוד.
internet-israel.com/?p=8833 🐪
בנוסף - חדשות ממעבר לים. חוץ מעניין הברקזיט, בריטניה ניסתה להעביר חוק שיגן על הנוער המשתוקק לכל מיני... אתרי מצוות ומעשים טובים😱 . על מנת להגן על בני התשחורת (תשחורת מלשון שחר חייהם) - המפלגה השולטת באנגליה ושרת המדיה והתרבות בחוכמתן האינסופית החליטו לחוקק חוק שקובע שאתרי ה... מצוות והמעשים הטובים חייבים לבצע אימות גיל עם תעודות זהות, דרכון או כל מסמך חוקי אחר. אתר... מצוות ומעשים טובים שלא יעשה את זה וישמור מאגרים של משתמשים - ייחסם. אכיפת יצירת מאגרים רגישים כאלו, כולל פרטים מזהים, היא אפשרות בלהות מופרעת כמובן. אבל הגיון מעולם לא עצר מחוקקים בעבר (תשאלו את חה"כ מיקי זוהר וחברת הכנסת (כבר בדימוס) שולי מועלם). למרבה השמחה, לאחר דחיות חוזרות ונשנות - החוק הזה ב-ו-ט-ל. כפי שנאמר על ידי גדולים ממני: עוצו עצה ותופר.
כתבתי על זה בהארץ: https://www.haaretz.co.il/captain/net/.premium-1.7950978
אבל אני לא היחיד. כתבו על זה גם במקומות רבים אחרים:
https://www.calcalist.co.il/internet/articles/0,7340,L-3772028,00.html
https://tech.walla.co.il/item/3318479
ובנימה אחרת לגמרי - המהדורה הדיגיטלית השניה והמעוצבת של "ללמוד ג'אווהסקריפט בעברית" יצאה לאור ואני מאוד מתרגש. עוד מעט אוציא הודעה מסודרת במייל לכל הרוכשים (1981!), אבל פה אני יכול לפרסם כבר שהמהדורה החדשה כבר זמינה באתר. היא מעוצבת יותר, מתוקנת יותר וגם עם נספח חדש על פרוטוטייפ: hebdevbook.com
הספר כבר בדרכו לפרינט
internet-israel.com/?p=8833 🐪
בנוסף - חדשות ממעבר לים. חוץ מעניין הברקזיט, בריטניה ניסתה להעביר חוק שיגן על הנוער המשתוקק לכל מיני... אתרי מצוות ומעשים טובים😱 . על מנת להגן על בני התשחורת (תשחורת מלשון שחר חייהם) - המפלגה השולטת באנגליה ושרת המדיה והתרבות בחוכמתן האינסופית החליטו לחוקק חוק שקובע שאתרי ה... מצוות והמעשים הטובים חייבים לבצע אימות גיל עם תעודות זהות, דרכון או כל מסמך חוקי אחר. אתר... מצוות ומעשים טובים שלא יעשה את זה וישמור מאגרים של משתמשים - ייחסם. אכיפת יצירת מאגרים רגישים כאלו, כולל פרטים מזהים, היא אפשרות בלהות מופרעת כמובן. אבל הגיון מעולם לא עצר מחוקקים בעבר (תשאלו את חה"כ מיקי זוהר וחברת הכנסת (כבר בדימוס) שולי מועלם). למרבה השמחה, לאחר דחיות חוזרות ונשנות - החוק הזה ב-ו-ט-ל. כפי שנאמר על ידי גדולים ממני: עוצו עצה ותופר.
כתבתי על זה בהארץ: https://www.haaretz.co.il/captain/net/.premium-1.7950978
אבל אני לא היחיד. כתבו על זה גם במקומות רבים אחרים:
https://www.calcalist.co.il/internet/articles/0,7340,L-3772028,00.html
https://tech.walla.co.il/item/3318479
ובנימה אחרת לגמרי - המהדורה הדיגיטלית השניה והמעוצבת של "ללמוד ג'אווהסקריפט בעברית" יצאה לאור ואני מאוד מתרגש. עוד מעט אוציא הודעה מסודרת במייל לכל הרוכשים (1981!), אבל פה אני יכול לפרסם כבר שהמהדורה החדשה כבר זמינה באתר. היא מעוצבת יותר, מתוקנת יותר וגם עם נספח חדש על פרוטוטייפ: hebdevbook.com
הספר כבר בדרכו לפרינט
אינטרנט ישראל
שינוי Headers באמצעות htaccess
אם אתם צריכים לשנות HTTP Headers - אפשר לעשות את זה בקלות דרך ה-htaccess.
מאמר חדש שכתבתי על פיצ'ר חדש ב-ES2020 (כן! אנחנו כבר שם) שכדאי להכיר אותו בשם globalThis שנכנס ממש ממש עכשיו! https://internet-israel.com/?p=8840 🐪
קצר, חמוד ופשוט וכדאי לכל מתכנת ג'אווהסקריפט להכיר.
--
אחת מהדרכים הטובות ביותר לשמר ולחזק את הידע המקצועי ואת הנוכחות המקצועית היא להגיע לכנסים ולהרצות. אחד מהכנסים, בה"א הידיעה, המעניינים שהולכים להיות בקרוב הוא Node TLV. לכנס כבר מגיעים מרצים בינלאומיים כמו מתאו קולינה (חבר ה-TSC) ודניאל ארנברג (אחד מה-TC39 שקובעים ומחליטים על פיצ'רים חדשים בג'אווהסקריפט כמו הפיצ'ר שלעיל).
אפשר כבר עכשיו לרכוש כרטיסים לכנס אבל חשוב יותר - אפשר להגיש הצעות להרצאות - אם לא שמעתם, אם לא ידעתם - זה הזמן להגיש הרצאה בכל נושא שקשור ל-Node.js:
https://www.nodetlv.com
קצר, חמוד ופשוט וכדאי לכל מתכנת ג'אווהסקריפט להכיר.
--
אחת מהדרכים הטובות ביותר לשמר ולחזק את הידע המקצועי ואת הנוכחות המקצועית היא להגיע לכנסים ולהרצות. אחד מהכנסים, בה"א הידיעה, המעניינים שהולכים להיות בקרוב הוא Node TLV. לכנס כבר מגיעים מרצים בינלאומיים כמו מתאו קולינה (חבר ה-TSC) ודניאל ארנברג (אחד מה-TC39 שקובעים ומחליטים על פיצ'רים חדשים בג'אווהסקריפט כמו הפיצ'ר שלעיל).
אפשר כבר עכשיו לרכוש כרטיסים לכנס אבל חשוב יותר - אפשר להגיש הצעות להרצאות - אם לא שמעתם, אם לא ידעתם - זה הזמן להגיש הרצאה בכל נושא שקשור ל-Node.js:
https://www.nodetlv.com
אינטרנט ישראל
ES2020 – globalThis
תוספת לתקן החדש של ג'אווהסקריפט שמאפשרת גישה נוחה לסקופ הגלובלי.
מאמר חדש בעקבות הרצאה שהעברתי במפגש המפתחים של טוויטר - ושוב אני חוזר לסטגנוגרפיה ומראה איך באמצעות כלי קוד פתוח אני יכול להשתיל מידע גם בתמונה שעוברת דחיסה ונשלחת בדיאם (המסרים הפרטיים) של טוויטר. סטגנורפיה זה באמת עולם מופלא.
https://internet-israel.com/?p=8813 🐪
--
אייטם נוסף ומרתק שהוצאתי השבוע נוגע למערכת נט המשפט. נט המשפט היא מערכת שמנהלת את כל המערכת המשפטית בישראל ומכילה מידע רב על תיקים, עדים וצדדים לדיון. כל אחד יכול להכנס למערכת הזו ולחפש בה, אך כשסתם גולש אנונימי מסתכל על פרטים של צדדים בתיק, הוא רואה רק את השמות שלהם. אם הוא לוחץ על "צפה בפרטים נוספים" הוא מקבל הודעת שגיאה נאה. מה הבעיה?
הבעיה היא שהמידע על כל האנשים קיים גם קיים ונשלח מצד השרת לכל גולש אנונימי, פשוט המערכת מציגה בצד הלקוח רק את המידע המותר לראות - אבל המידע בהחלט קיים ונמצא גם ב-DOM - פשוט מציגים רק את המידע שהגולש יכול לראות. הרי אף גולש לעולם לא יפתח כלי מפתחים ויסתכל... 😁
כמובן שאין הגנה מקראולינג אז כל אחד היה יכול לבנות מאגר נאה עם כל הנתונים (כולל שם אב!) של כל מי שהיה מעורב אי פעם בהליך משפטי - תבעתם בתביעה קטנה? היה לכם דו"ח על מהירות? ברכותיי, גם אתם שם.
יאמר לזכות מערכת המשפט שהם תיקנו. זה לא מה שקורה תמיד כשמגלים ליקויים במערכת הזו. בגלל זה היא נראית כך, כי לא מעט אנשים חוששים להתקרב אליה. גם אני - אבל במקרה הזה אני לא התקרבתי ולא גיליתי. מי שגילה הוא אנדי וורמס וגיא זומר ממערכת 'תולעת המשפט' שסורקת את הנתונים הגלויים של נט המשפט ומציגה אותם באופן ידידותי למשתמש וסיפרו לי על כך.
הכתבה: https://www.haaretz.co.il/captain/software/.premium-1.8062031
האתר של תולעת המשפט - חפשו את עצמכם שם 😃 - https://תולעת-המשפט.קום/
--
אם אתם רופאים, אז ביום שלישי בערב נעם רותם ואני מגיעים לאירוע של ההסתדרות הרפואית (הר"י) ומדברים על פרטיות רפואית ועל הבעיות שיכולות להגרם מכל מיני חורי אבטחה. אל תשכחו לומר שלום!
https://internet-israel.com/?p=8813 🐪
--
אייטם נוסף ומרתק שהוצאתי השבוע נוגע למערכת נט המשפט. נט המשפט היא מערכת שמנהלת את כל המערכת המשפטית בישראל ומכילה מידע רב על תיקים, עדים וצדדים לדיון. כל אחד יכול להכנס למערכת הזו ולחפש בה, אך כשסתם גולש אנונימי מסתכל על פרטים של צדדים בתיק, הוא רואה רק את השמות שלהם. אם הוא לוחץ על "צפה בפרטים נוספים" הוא מקבל הודעת שגיאה נאה. מה הבעיה?
הבעיה היא שהמידע על כל האנשים קיים גם קיים ונשלח מצד השרת לכל גולש אנונימי, פשוט המערכת מציגה בצד הלקוח רק את המידע המותר לראות - אבל המידע בהחלט קיים ונמצא גם ב-DOM - פשוט מציגים רק את המידע שהגולש יכול לראות. הרי אף גולש לעולם לא יפתח כלי מפתחים ויסתכל... 😁
כמובן שאין הגנה מקראולינג אז כל אחד היה יכול לבנות מאגר נאה עם כל הנתונים (כולל שם אב!) של כל מי שהיה מעורב אי פעם בהליך משפטי - תבעתם בתביעה קטנה? היה לכם דו"ח על מהירות? ברכותיי, גם אתם שם.
יאמר לזכות מערכת המשפט שהם תיקנו. זה לא מה שקורה תמיד כשמגלים ליקויים במערכת הזו. בגלל זה היא נראית כך, כי לא מעט אנשים חוששים להתקרב אליה. גם אני - אבל במקרה הזה אני לא התקרבתי ולא גיליתי. מי שגילה הוא אנדי וורמס וגיא זומר ממערכת 'תולעת המשפט' שסורקת את הנתונים הגלויים של נט המשפט ומציגה אותם באופן ידידותי למשתמש וסיפרו לי על כך.
הכתבה: https://www.haaretz.co.il/captain/software/.premium-1.8062031
האתר של תולעת המשפט - חפשו את עצמכם שם 😃 - https://תולעת-המשפט.קום/
--
אם אתם רופאים, אז ביום שלישי בערב נעם רותם ואני מגיעים לאירוע של ההסתדרות הרפואית (הר"י) ומדברים על פרטיות רפואית ועל הבעיות שיכולות להגרם מכל מיני חורי אבטחה. אל תשכחו לומר שלום!
אינטרנט ישראל
סטגנוגרפיה עם תמונות ששוברת גם את טוויטר
צילום ההרצאה שלי על סטגנוגרפיה ששוברת גם את הדחיסה של טוויטר
זה יקרה מתישהו לכל מתכנת או מתכנתת - השפה, הפריימוורק או הספריה שהשקענו מאמצים רבים ללמוד ולהתמקצע בה מתחילה להתיישן ויש כבר מתחרות שנושפות בעורפה. אין דבר מלחיץ יותר מההבנה שהשפה מתיישנת ואנחנו עומדים בפני בעיה משמעותית. זו הסיבה שעניין ה״איזו שפה יותר טובה״ מרכז המון אמוציות. כי זה משהו שמעורר חשש. אין דבר יותר מפחיד מלשמוע: ״מה, אתם עדיין מתכנתים ב-XXXXX ?!? זה מת״. זה לוחץ על כל הכפתורים: חשש כלכלי ומעמדי וענייני אגו (פתאום הידע שלי לא שווה הרבה).
זו הסיבה שהחלטתי לדבר על כך בפודקאסט ״עושים תוכנה״ ואני משתמש בניסיון שלי, בתור מי שהיה שם. הרי החלפתי סטאק טכנולוגי כמה פעמים בחיים שלי. מפלאש ל-PHP, מדרופל לאנגולר 1.2 ול-1.5 ומאנגולר לריאקט. ראיתי טכנולוגיות מתות וזה לא תמיד נעים. מצד שני, זה לא תמיד נורא.
בפרק אני מדבר על זה, יחד עם עמית בנדור וחן פלדמן. לפי דעתי כדאי להקשיב. הפרק הזה הוא הפרק המושמע ביותר בקטגורית טכנולוגיה בפודקאסטים הישראלים באפל מיוזיק. פחות בגלל האישיות הרדיופונית המהממת שלי ויותר בגלל הנושא. וזה נושא בוער.
להאזנה:
https://www.ranlevi.com/2019/11/12/osim_software_frameworks/
זו הסיבה שהחלטתי לדבר על כך בפודקאסט ״עושים תוכנה״ ואני משתמש בניסיון שלי, בתור מי שהיה שם. הרי החלפתי סטאק טכנולוגי כמה פעמים בחיים שלי. מפלאש ל-PHP, מדרופל לאנגולר 1.2 ול-1.5 ומאנגולר לריאקט. ראיתי טכנולוגיות מתות וזה לא תמיד נעים. מצד שני, זה לא תמיד נורא.
בפרק אני מדבר על זה, יחד עם עמית בנדור וחן פלדמן. לפי דעתי כדאי להקשיב. הפרק הזה הוא הפרק המושמע ביותר בקטגורית טכנולוגיה בפודקאסטים הישראלים באפל מיוזיק. פחות בגלל האישיות הרדיופונית המהממת שלי ויותר בגלל הנושא. וזה נושא בוער.
להאזנה:
https://www.ranlevi.com/2019/11/12/osim_software_frameworks/
פוסט קצר על המודול של לירן טל שמאפשר סריקה מהירה של כל אתר לבדיקת ספריות צד לקוח מיושנות שיש בהן חורי אבטחה. המודול משתמש במאגר המידע של סניק. חברה שכתבתי עליה בעבר ואני נהנה להשתמש במוצרים שלה.
וקל מאוד להפעיל אותו, גם בתהליכים אוטומטיים. אל תגידו שלא אמרתי.
https://internet-israel.com/?p=8859
וקל מאוד להפעיל אותו, גם בתהליכים אוטומטיים. אל תגידו שלא אמרתי.
https://internet-israel.com/?p=8859
אינטרנט ישראל | מודול לבדיקת אבטחה של ספריות צד לקוח של אתר
מודול לבדיקת אבטחה של ספריות צד לקוח של אתר | אינטרנט ישראל
כלי חינמי ופשוט לבדיקת חולשות באתרים שכדאי להכיר
המאמר השבוע הוא פוסט על פיצ׳ר חדש של ES2020 - סוף סוף גם לג׳אווהסקריפט יש יכולת לעבוד עם מספרים גדולים ויש לנו אפילו סוג מידע פרימיטיבי חדש בשם BigInt. מידע, הסברים ודוגמאות פה:
https://internet-israel.com/?p=8864 🐪
וכן, זה לגמרי נכנס במהדורה החדשה של ״ללמוד ג׳אווהסקריפט בעברית״.
--
והנה אייטם מהמם שפרסמתי השבוע ב׳הארץ׳ ושווה לגמרי דיון. פרצת אבטחה שגרמה לי לעצב רב שהתגלתה בהסתדרות המורים. בפרצה הזו, פורץ שהיה מצטייד בכלי ההאקינג החביב ״דפדפן״ בשילוב כלי הדארק ווב הידוע בכינויו ״גוגל״, היה יכול לקבל גישה, בחיפוש פשוט, למספרי תעודת זהות של כעשרים אלף מורים. מי שגילה את זה הוא המתכנת שוהם טל.
ומה אפשר לעשות עם עשרים אלף מספרי מת״זים אתם שואלים? להסתדרות המורים יש אתר הטבות שבו המורים יכולים לעשות קניות ופעולות נוספות. שם המשתמש הוא מספר תעודת הזהות והסיסמה היא.... גם מספר תעודת הזהות 😢 שוהם כתב סקריפט קצר שמראה איך אפשר לבוא ולשתות את הפרטים הנוספים של המורים באופן אוטומטי ולבנות מאגר מידע איכותי ועדכני שיכול לשמש כל תוקף. וכמובן לבצע פעולות באתר ההטבות בשמו של כל מורה.
כתבתי על זה ב׳הארץ׳ ולצערי העורך המרושע, עודד ירון, לא הסכים לתת את הכותרת ״הצלצול הוא בשבילי, פירצת האבטחה היא בשבילכם״.
https://www.haaretz.co.il/captain/software/.premium-1.8191705
תודה עצומה לשוהם שגם היה מספיק סובלני בנצח שלקח לי להוציא את האייטם הזה.
https://internet-israel.com/?p=8864 🐪
וכן, זה לגמרי נכנס במהדורה החדשה של ״ללמוד ג׳אווהסקריפט בעברית״.
--
והנה אייטם מהמם שפרסמתי השבוע ב׳הארץ׳ ושווה לגמרי דיון. פרצת אבטחה שגרמה לי לעצב רב שהתגלתה בהסתדרות המורים. בפרצה הזו, פורץ שהיה מצטייד בכלי ההאקינג החביב ״דפדפן״ בשילוב כלי הדארק ווב הידוע בכינויו ״גוגל״, היה יכול לקבל גישה, בחיפוש פשוט, למספרי תעודת זהות של כעשרים אלף מורים. מי שגילה את זה הוא המתכנת שוהם טל.
ומה אפשר לעשות עם עשרים אלף מספרי מת״זים אתם שואלים? להסתדרות המורים יש אתר הטבות שבו המורים יכולים לעשות קניות ופעולות נוספות. שם המשתמש הוא מספר תעודת הזהות והסיסמה היא.... גם מספר תעודת הזהות 😢 שוהם כתב סקריפט קצר שמראה איך אפשר לבוא ולשתות את הפרטים הנוספים של המורים באופן אוטומטי ולבנות מאגר מידע איכותי ועדכני שיכול לשמש כל תוקף. וכמובן לבצע פעולות באתר ההטבות בשמו של כל מורה.
כתבתי על זה ב׳הארץ׳ ולצערי העורך המרושע, עודד ירון, לא הסכים לתת את הכותרת ״הצלצול הוא בשבילי, פירצת האבטחה היא בשבילכם״.
https://www.haaretz.co.il/captain/software/.premium-1.8191705
תודה עצומה לשוהם שגם היה מספיק סובלני בנצח שלקח לי להוציא את האייטם הזה.
אינטרנט ישראל
ES2020 – מספרים גדולים בג’אווהסקריפט
סוג מידע פרימיטיבי חדש שמאפשר לכתוב מספרים גדולים במיוחד בג'אווהסקריפט
ממש לקראת סוף 2019 וה-TC39 החליטו לפנק עם עדכונים נוספים לג'אווהסקריפט והפעם עדכון נדרש וחשוב שחיכינו לו המון. Optional Chaining. הפיצ'ר הזה מאפשר לי לגשת לתוך תכונות או מתודות מקוננות באובייקט בלי להסתכן בשגיאה. בניגוד לעבר, שבו הייתי צריך לעשות משפטי תנאי כדי להזהר שלא לבקש תכונה של תכונה לא קיימת.
דוגמאות וכו': https://internet-israel.com/?p=8868 🐪
דוגמאות וכו': https://internet-israel.com/?p=8868 🐪
אינטרנט ישראל
ES2020 optional chaining
לא עוד הודעות שגיאה בגלל שחסרה תכונה באובייקט שאליו אתם מנסים לגשת.
מאמר חדש, גם הוא על פיצ'ר של ES2020 והפעם על אופרטור חדש עם שם מהמם: ES2020 Nullish coalescing Operator
האופרטור הזה "??" הוא אופרטור חשוב מאוד שמסייע לנו לקבוע משתנים דפולטיביים, כמו "||" משודרג בלי התנהגויות מוזרות.
https://internet-israel.com/?p=8870
האופרטור הזה "??" הוא אופרטור חשוב מאוד שמסייע לנו לקבוע משתנים דפולטיביים, כמו "||" משודרג בלי התנהגויות מוזרות.
https://internet-israel.com/?p=8870
אינטרנט ישראל
ES2020 Nullish coalescing Operator
אופרטור לוגי חדש שמשלים את האופרטור "או" - || ומאפשר לנו לעשות קביעת ערך דיפולטיבי בקלות.
שני אייטמים חשובים שנראים לי מספיק רלוונטיים כדי להביא אותם לפה. נתחיל?
הראשון הוא אייטם שהחל מכתבה ארוכה של ׳המקום הכי חם בגיהנום׳ באייטם נכתב על מכללה ללימוד מקצועות פיתוח ו-QA שהתנהגה באופן מאוד ברוטלי לתלמידים שלה: תבעה כאלו שכתבו ביקורות שליליות בפייסבוק, תבעה כאלו שהעבירו מיטאפים בחשד ל״העתקה״ והצמידה מכשירי האזנה לתלמידים שיצאו לראיונות עבודה. הכתבה ארוכה אבל מאוד מטרידה.
https://www.ha-makom.co.il/post-tomer-sv-investig/
בעקבות העניין הזה כתבתי אייטם המשכי שמלמד איך אפשר לדעת אם המכללה שמלמדת את מקצועות הפיתוח היא מכללה שלא תעקוץ את התלמידים שלה. יש כמה דרכים והדרך המרכזית היא... לינקדאין. הרשת הזו היא רשת מעולה לבירור על כל גוף או אדם בהייטק. לכל בית ספר שמכבד את עצמו יש דף בלינקדאין ובדף יש Alumni עם רשימת תלמידים שהציבו את המכללה כמקום הלימוד שלהם בלינקדאין. ביחנו את הרשימה - יש בה מעט תלמידים? זה אומר דרשני - חלק גדול מהתלמידים עדיין מחפש עבודה או עובד בתחום לא רלוונטי? כנ״ל.
מעבר לכך - כל מכללה מציגה רשימה ארוכה ונאה של מרצים עם רזומה מפואר. בלינקדאין יש יכולת לבדוק האם באמת הרזומה הזה רלוונטי - ראיתי מקומות שהניסיון המקצועי של ״ראש תחום עם ניסיון בחברה בטחונית״ הוא שנה וחצי כאיש QA באלביט או ניסיון מקצועי של מרצה בכיר שמתמצה בעבודות סטודנטים. רזומה עשיר, רווי המלצות, פרסומים ומידע הוא סימן חיובי. מרצה בכיר שאין לו לינקדאין? חשוד.
כל המידע הזה ועוד נמצא באייטם מורחב בהארץ שלאור חשיבות העניין לא מאחורי חומת תשלום וכולם יכולים לקרוא אותו:
https://www.haaretz.co.il/captain/software/1.8266493
--
אייטם נוסף וחיובי (!!!) קשור דווקא לדליפת מידע שמצאתי באל-על: עשרות אלפי לקוחות שרכשו בפליי₪ביי - הדיוטי פרי המעופף של אל על היו חשופים לכל מי שהיה לו את כלי הפריצה וההאקינג המחוכם ״דפדפן״. שילוב של כמה פרצות איפשר לכל אדם עם תחכום מינימלי לשוטט לו בנחת בכל החשבוניות, עם הפרטים המלאים של הלקוחות. איך? בכתובת החשבונית היה פרמטר מספרי - לצורך העניין משהו כמו elal-duty-free.com/?id=1234 - כל מה שהפורץ המחוכם היה צריך לעשות זה לשנות את ה-id באופן סיסטמטי:
lal-duty-free.com/?id=00001
lal-duty-free.com/?id=00002
עד הסוף של המספרים כדי לקבל את כללל החשבוניות. היה אפשר לכתוב סקריפט קצר שיעשה את זה.
אבל אמרתי חיובי, לא? מה חיובי?
בד״כ היחס שאני מקבל כשאני חושף חולשה כזו בפני החברה (ואני תמיד מגיע לחברה לפני הפרסום כמובן ומוודא סגירה לפני שאני מפרסם) הוא עוין עד עוין מאד. הפעם? ממש ממש לא. החברה הודתה לי, יצרו איתי קשר גורמים טכניים עם שאלות טכניות רבות שהראו על רצינות וניסיון להבין מהיכן בסיס הכשל (ולא רק לסגור את הפרצה ולהגיב באופן שבלוני) והכי חשוב: הודיעו חגיגית על כך שיהיה מקום מסודר באתר להודיע על פרצות כאלו גם מבלי לעבור דרך שירות הלקוחות.
נשמע אלמנטרי? ייתכן. אבל זו פעם ראשונה שאני רואה יחס רציני, מכבד וניסיון לפתור את הבעיה כך שהיא לא תיווצר יותר ואם תיווצר - יהיה מקום להודיע בצורה מסודרת שיוביל ישירות לאנשים שיכולים לטפל בזה.
האייטם בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.8232136
הראשון הוא אייטם שהחל מכתבה ארוכה של ׳המקום הכי חם בגיהנום׳ באייטם נכתב על מכללה ללימוד מקצועות פיתוח ו-QA שהתנהגה באופן מאוד ברוטלי לתלמידים שלה: תבעה כאלו שכתבו ביקורות שליליות בפייסבוק, תבעה כאלו שהעבירו מיטאפים בחשד ל״העתקה״ והצמידה מכשירי האזנה לתלמידים שיצאו לראיונות עבודה. הכתבה ארוכה אבל מאוד מטרידה.
https://www.ha-makom.co.il/post-tomer-sv-investig/
בעקבות העניין הזה כתבתי אייטם המשכי שמלמד איך אפשר לדעת אם המכללה שמלמדת את מקצועות הפיתוח היא מכללה שלא תעקוץ את התלמידים שלה. יש כמה דרכים והדרך המרכזית היא... לינקדאין. הרשת הזו היא רשת מעולה לבירור על כל גוף או אדם בהייטק. לכל בית ספר שמכבד את עצמו יש דף בלינקדאין ובדף יש Alumni עם רשימת תלמידים שהציבו את המכללה כמקום הלימוד שלהם בלינקדאין. ביחנו את הרשימה - יש בה מעט תלמידים? זה אומר דרשני - חלק גדול מהתלמידים עדיין מחפש עבודה או עובד בתחום לא רלוונטי? כנ״ל.
מעבר לכך - כל מכללה מציגה רשימה ארוכה ונאה של מרצים עם רזומה מפואר. בלינקדאין יש יכולת לבדוק האם באמת הרזומה הזה רלוונטי - ראיתי מקומות שהניסיון המקצועי של ״ראש תחום עם ניסיון בחברה בטחונית״ הוא שנה וחצי כאיש QA באלביט או ניסיון מקצועי של מרצה בכיר שמתמצה בעבודות סטודנטים. רזומה עשיר, רווי המלצות, פרסומים ומידע הוא סימן חיובי. מרצה בכיר שאין לו לינקדאין? חשוד.
כל המידע הזה ועוד נמצא באייטם מורחב בהארץ שלאור חשיבות העניין לא מאחורי חומת תשלום וכולם יכולים לקרוא אותו:
https://www.haaretz.co.il/captain/software/1.8266493
--
אייטם נוסף וחיובי (!!!) קשור דווקא לדליפת מידע שמצאתי באל-על: עשרות אלפי לקוחות שרכשו בפליי₪ביי - הדיוטי פרי המעופף של אל על היו חשופים לכל מי שהיה לו את כלי הפריצה וההאקינג המחוכם ״דפדפן״. שילוב של כמה פרצות איפשר לכל אדם עם תחכום מינימלי לשוטט לו בנחת בכל החשבוניות, עם הפרטים המלאים של הלקוחות. איך? בכתובת החשבונית היה פרמטר מספרי - לצורך העניין משהו כמו elal-duty-free.com/?id=1234 - כל מה שהפורץ המחוכם היה צריך לעשות זה לשנות את ה-id באופן סיסטמטי:
lal-duty-free.com/?id=00001
lal-duty-free.com/?id=00002
עד הסוף של המספרים כדי לקבל את כללל החשבוניות. היה אפשר לכתוב סקריפט קצר שיעשה את זה.
אבל אמרתי חיובי, לא? מה חיובי?
בד״כ היחס שאני מקבל כשאני חושף חולשה כזו בפני החברה (ואני תמיד מגיע לחברה לפני הפרסום כמובן ומוודא סגירה לפני שאני מפרסם) הוא עוין עד עוין מאד. הפעם? ממש ממש לא. החברה הודתה לי, יצרו איתי קשר גורמים טכניים עם שאלות טכניות רבות שהראו על רצינות וניסיון להבין מהיכן בסיס הכשל (ולא רק לסגור את הפרצה ולהגיב באופן שבלוני) והכי חשוב: הודיעו חגיגית על כך שיהיה מקום מסודר באתר להודיע על פרצות כאלו גם מבלי לעבור דרך שירות הלקוחות.
נשמע אלמנטרי? ייתכן. אבל זו פעם ראשונה שאני רואה יחס רציני, מכבד וניסיון לפתור את הבעיה כך שהיא לא תיווצר יותר ואם תיווצר - יהיה מקום להודיע בצורה מסודרת שיוביל ישירות לאנשים שיכולים לטפל בזה.
האייטם בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.8232136
המקום הכי חם
המכללה שהבטיחה לסטודנטים שהמעסיקים ירדפו אחריהם - רודפת אותם בעצמה - המקום הכי חם
מכללת sv למקצועות ההייטק תובעת את תלמידיה לשעבר במאות אלפי שקלים כשהם יוצאים לשוק העבודה ומלמדים בעצמם, בטענה ל"העתקת שיטות לימוד". כשהם מבקרים אותה ברשתות החברתיות - היא תובעת או מזהירה בתביעת לשון הרע."הם מנסים להלך אימים, לייצר הפחדה שלא קשורה לשום דבר…
בוקר טוב, שבוע מעולה וחג חנוכה שמח! המאמר האחרון באתר עוסק ב-ES2020. כן. שוב והפעם עם פיצ׳ר חדש, חשוב ומגניב שכדאי מאוד להשתמש בו היום. הפיצ׳ר מסייע לי לנהל פרומיסים מרובים וללא ׳קצרים׳. רגע, מה? כן. אבל כדי לדעת מה זה ׳קצר׳ ולדעת מה ההבדל בין הפיצ׳ר החדש Promise.allSettled לבין שאר הדרכים ואפילו לדבר תורה בסוף (!!!) תצטרכו להכנס לפוסט:
https://internet-israel.com/?p=8883 🐪
https://internet-israel.com/?p=8883 🐪
אינטרנט ישראל
promise.allSettled ב-ES2020
פיצ'ר חדש וחשוב מאוד בכל הנוגע לניהול פרומיסים ושיגור כמה מהם במקביל
זה תמיד מטריף אותי לגלות איך פיצ׳רים שפעם לקח המון זמן וכאב ראש לפתח קיימים out of the box.
המאמר החדש שכתבתי מראה איך בשורה אחת של HTML. אפשר לייצר lazyload לתמונות. וכן, יש דמואים כמובן.
https://internet-israel.com/?p=8888 🐪
--
השבוע יצא ספרי השני: ״ללמוד Node.js בעברית״. הספר מלמד Node.js, שהיא פלטפורמה אולטרא פופולרית שמשתמשים בה בהמון מקומות ושימושית למפתחי בק אנד בג׳אווהסקריפט אבל גם למפתחי קליינט. ספר הוא פרויקט מסיבי ומעייף מאוד - במיוחד העריכה (הטכנית והלשונית). העורכים הטכניים בספר הזה היו בנג׳י גרינבאום וגיל פינק, מהמתכנתים הרציניים ביותר בישראל (בנג׳י הוא מפתח ליבה של Node.js וזה היה משעשע לראות ביקורות שלו על איך שלימדתי פיצ׳רים שהוא ממש פיתח)
אם טרם הצטרפתם לפרויקט - זה הזמן כי ברגע שהספר של ריאקט יוצא, ההצטרפות לפרויקט כשותפים תסגר סופית והפרויקט יהיה זמין למכירה רגילה.
מידע נוסף ופרקי דוגמה:
https://hebdevbook.com
המאמר החדש שכתבתי מראה איך בשורה אחת של HTML. אפשר לייצר lazyload לתמונות. וכן, יש דמואים כמובן.
https://internet-israel.com/?p=8888 🐪
--
השבוע יצא ספרי השני: ״ללמוד Node.js בעברית״. הספר מלמד Node.js, שהיא פלטפורמה אולטרא פופולרית שמשתמשים בה בהמון מקומות ושימושית למפתחי בק אנד בג׳אווהסקריפט אבל גם למפתחי קליינט. ספר הוא פרויקט מסיבי ומעייף מאוד - במיוחד העריכה (הטכנית והלשונית). העורכים הטכניים בספר הזה היו בנג׳י גרינבאום וגיל פינק, מהמתכנתים הרציניים ביותר בישראל (בנג׳י הוא מפתח ליבה של Node.js וזה היה משעשע לראות ביקורות שלו על איך שלימדתי פיצ׳רים שהוא ממש פיתח)
אם טרם הצטרפתם לפרויקט - זה הזמן כי ברגע שהספר של ריאקט יוצא, ההצטרפות לפרויקט כשותפים תסגר סופית והפרויקט יהיה זמין למכירה רגילה.
מידע נוסף ופרקי דוגמה:
https://hebdevbook.com
אינטרנט ישראל
טעינת תמונה רק בגלילה למטה
הוספת lazy loading בקלות לתמונות עם תכונה אחת בלבד.
מאמר חדש באתר - על מתודה של מערך בג׳אווהסקריפט שמסתבר שהרבה מאוד מתכנתים לא מכירים וחבל. Array.reduce נראית ונשמעת מפחידה אבל בפועל זו פונקציה אולטרא שימושית במיוחד בהמרות ממערך לאובייקט. זו ההזדמנות לכבד אותה בפוסט. חמש דקות וסגרתי לכם את הפינה:
https://internet-israel.com/?p=8893 🐪
את המאמר הזה כתבתי כחלק מעדכון הספר הדיגיטלי על ג׳אווהסקריפט שהגרסה הפיזית שלו מודפסת ממש עכשיו (!) בעוד כמה ימים אכריז על אירוע ההשקה ויהיה סופר מגניב. חתימות לכולם!!! ❤
--
בגלל פרויקט הספרים - היציאה לאור של הספר הפיזי של ״ללמוד ג׳אווהסקריפט בעברית״ והיציאה לאור הקרבה של הספר ״ללמוד ריאקט בעברית״, אני לא יכול להרצות במיטאפים בקצב שאני רוצה - אבל כש-DDOS - קבוצת המיטאפ של המתכנתים החרדים הזמינה אותי - לא יכולתי לסרב. כידוע הקהילה החרדית היא קהילה שקרובה מאוד לליבי 😊 ב-20.2.2020 אני מרצה במיטאפ שלהם על אבטחת מידע בצד לקוח - עם מידע על דברים שלא מדברים עליהם בד״כ כמו prototype pollution. אני מקווה גם להסביר על איך אפשר לעקוף http only cookie. ואם זה נשמע לכם כמו סינית - זה הזמן להרשם למיטאפ:
https://www.meetup.com/DDOS-DEVELOPERS-IL/events/267424345/
https://internet-israel.com/?p=8893 🐪
את המאמר הזה כתבתי כחלק מעדכון הספר הדיגיטלי על ג׳אווהסקריפט שהגרסה הפיזית שלו מודפסת ממש עכשיו (!) בעוד כמה ימים אכריז על אירוע ההשקה ויהיה סופר מגניב. חתימות לכולם!!! ❤
--
בגלל פרויקט הספרים - היציאה לאור של הספר הפיזי של ״ללמוד ג׳אווהסקריפט בעברית״ והיציאה לאור הקרבה של הספר ״ללמוד ריאקט בעברית״, אני לא יכול להרצות במיטאפים בקצב שאני רוצה - אבל כש-DDOS - קבוצת המיטאפ של המתכנתים החרדים הזמינה אותי - לא יכולתי לסרב. כידוע הקהילה החרדית היא קהילה שקרובה מאוד לליבי 😊 ב-20.2.2020 אני מרצה במיטאפ שלהם על אבטחת מידע בצד לקוח - עם מידע על דברים שלא מדברים עליהם בד״כ כמו prototype pollution. אני מקווה גם להסביר על איך אפשר לעקוף http only cookie. ואם זה נשמע לכם כמו סינית - זה הזמן להרשם למיטאפ:
https://www.meetup.com/DDOS-DEVELOPERS-IL/events/267424345/
אינטרנט ישראל
פונקצית reducer
פונקציה פשוטה ורבת עוצמה שנמצאת במערך שיש רבים מהמתכנתים שלא מכירים וחבל.
מאמר חדש באתר על Monkey Patching. מה זה, למה צריך את זה, למה לא צריך את זה וכמובן דוגמאות מעשיות בג׳אווהסקריפט. אם שמעתם על המושג הזה ולא ידעתם מה זה, או לחלופין ידעתם מה זה אבל לא ראיתם דוגמה מעשית ״מהשטח״ - חמש דקות קריאה יסגרו לכם את הפינה:
https://internet-israel.com/?p=8897 🐪
--
ואם כבר אני חופר - נושא נוסף ששווה לדבר עליו: SIM swapping. מדובר בשיטת התקפה ממוקדת לגניבת סימים. כאשר תוקפים מתמקדים בנציגי שירות לקוחות של חברות סלולר והתקפה עליהם כדי להשיג את ההרשאות שלהם לממשקים החלפת סימים של סלולרים. אחרי שהשיגו את ההרשאות - הם מצליחים לחטוף את חשבון הטלפון של הקורבן אל הסים שלהם. למה זה חשוב? כי אם לקורבן יש אימות דו שלבי של החשבון שלו - זה הרגע שבו ההגנה הזו נעלמה. אנשים רבים הותקפו בהתקפה ה זו שהיא התקפה ממוקדת אבל יעילה ואפקטיבית.
הלקח: אל תשתמשו באימות דו שלבי בסמסים אלא באפליקציה בלבד. במיוחד במיוחד אם יש לכם נכסים דיגיטליים/ארנקים וירטואליים שמנמנים.
מידע נוסף באייטם שלי בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.8354110
גם דיברתי על זה בפינה השבועית שלי ב-102FM בתוכנית הכלכלית (שווה לשמוע) של רועי כ״ץ למי שמעוניין:
http://102fm.co.il/shows/98?listen=5e15ad689149d326cc5f7a6a&b=2
https://internet-israel.com/?p=8897 🐪
--
ואם כבר אני חופר - נושא נוסף ששווה לדבר עליו: SIM swapping. מדובר בשיטת התקפה ממוקדת לגניבת סימים. כאשר תוקפים מתמקדים בנציגי שירות לקוחות של חברות סלולר והתקפה עליהם כדי להשיג את ההרשאות שלהם לממשקים החלפת סימים של סלולרים. אחרי שהשיגו את ההרשאות - הם מצליחים לחטוף את חשבון הטלפון של הקורבן אל הסים שלהם. למה זה חשוב? כי אם לקורבן יש אימות דו שלבי של החשבון שלו - זה הרגע שבו ההגנה הזו נעלמה. אנשים רבים הותקפו בהתקפה ה זו שהיא התקפה ממוקדת אבל יעילה ואפקטיבית.
הלקח: אל תשתמשו באימות דו שלבי בסמסים אלא באפליקציה בלבד. במיוחד במיוחד אם יש לכם נכסים דיגיטליים/ארנקים וירטואליים שמנמנים.
מידע נוסף באייטם שלי בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.8354110
גם דיברתי על זה בפינה השבועית שלי ב-102FM בתוכנית הכלכלית (שווה לשמוע) של רועי כ״ץ למי שמעוניין:
http://102fm.co.il/shows/98?listen=5e15ad689149d326cc5f7a6a&b=2
אינטרנט ישראל
Monkey patching
טכניקה פשוטה (ומסוכנת) להוספת תכונות לאובייקטים קיימים בג'אווהסקריפט שכדאי להכיר
פוסט חדש, קצר ומעניין מקטגורית הדברים שאני הכי אוהב: ״דברים שפעם לקח לעשות אותם המון זמן ועכשיו אפשר לעשות אותם בשורה וחצי״ - והפעם - fetch - טעינה *מראש* של משאבים באמצעות שורה אחת ב-HTML. פשוט ואלגנטי.
https://internet-israel.com/?p=8775 🐪
--
אני מאוד גאה ומאושר לבשר על צאת הספר הראשון שלי ״ללמוד ג׳אווהסקריפט בעברית״ לאור בדפוס. למי שלא מכיר, מדובר בפרויקט הדסטארט מוצלח שיש לו מטרה אחת: להוציא לאור ספר ללימוד ג׳אווהסקריפט ובע-ב-ר-י-ת. הפרויקט הצליח מאוד (מקום ראשון בקטגורית הספרים של הדסטארט) וזה הזמן לחגוג את ההצלחה (וגם לחלק ספרים לזכאים) - אם השתתפתם בפרויקט - אני ממש אשמח לראות אתכם, ללחוץ את היד, להכיר ולהפגש. אירוע ההשקה הוא ב-26 לינואר, יום ראשון, בשעה 17:00. יהיה סופר מגניב! :)
https://docs.google.com/forms/d/13LQX4BhdDMmGqUt51gh56uh6JkOEqD8EUh3Et4Yz9b8/edit
https://internet-israel.com/?p=8775 🐪
--
אני מאוד גאה ומאושר לבשר על צאת הספר הראשון שלי ״ללמוד ג׳אווהסקריפט בעברית״ לאור בדפוס. למי שלא מכיר, מדובר בפרויקט הדסטארט מוצלח שיש לו מטרה אחת: להוציא לאור ספר ללימוד ג׳אווהסקריפט ובע-ב-ר-י-ת. הפרויקט הצליח מאוד (מקום ראשון בקטגורית הספרים של הדסטארט) וזה הזמן לחגוג את ההצלחה (וגם לחלק ספרים לזכאים) - אם השתתפתם בפרויקט - אני ממש אשמח לראות אתכם, ללחוץ את היד, להכיר ולהפגש. אירוע ההשקה הוא ב-26 לינואר, יום ראשון, בשעה 17:00. יהיה סופר מגניב! :)
https://docs.google.com/forms/d/13LQX4BhdDMmGqUt51gh56uh6JkOEqD8EUh3Et4Yz9b8/edit
אינטרנט ישראל
prefetch עם HTML בלבד
טעינה מראש של תמונות, קבצים ואפילו אתרי אינטרנט שלמים והכל בתגית אחת של HTML.
מאמר חדש על פיצ׳ר שכדאי להכיר - HTTP V2 Push. הפרוטוקול החדש הוא לא עניין של תשתיות וברזלים בלבד. לנו כמפתחי ווב או בוני אתרים ממש קל להשתמש בו. 300 מילה, כמה דיאגרמות וגם אתם תכירו ותוכלו להשתמש בו כדי להרוויח שיפור ביצועים בלא הרבה מאמץ.
https://internet-israel.com/?p=8910 🐪
--
אני אשמח מאוד לפגוש את כל מי שמגיע אל אירוע ההשקה שמתקיים *היום*, שעה 17:00 עד 21:00, הקריה האקדמית אונו, אולם ורד. יש שילוט, יש כיבוד, יש הרצאות מגניבות וכמובן הספר לחלוקה למי שזכאי לו. כולם מוזמנים! 😊
https://docs.google.com/forms/d/13LQX4BhdDMmGqUt51gh56
https://internet-israel.com/?p=8910 🐪
--
אני אשמח מאוד לפגוש את כל מי שמגיע אל אירוע ההשקה שמתקיים *היום*, שעה 17:00 עד 21:00, הקריה האקדמית אונו, אולם ורד. יש שילוט, יש כיבוד, יש הרצאות מגניבות וכמובן הספר לחלוקה למי שזכאי לו. כולם מוזמנים! 😊
https://docs.google.com/forms/d/13LQX4BhdDMmGqUt51gh56
אינטרנט ישראל
HTTP 2 PUSH
האצה ושיפור של האתר באמצעות ניצול מיטבי של הפרוטוקול HTTP 2/
מאמר חדש שכתבתי על כלי בדיקות ביצועים ממש קל לשימוש שהשתמשתי בו. הרבה בוני אתרים נמנעים מכלים כאלו כי השימוש בכלים מבוססי Node.js נראה מתקדם ומסובך. אבל זה כל כך לא. חמש דקות וגם אתם תוכלו לבדוק ביצועים באתר באופן מקצועי. מעולה גם לבוני אתרים וגם ללקוחות.
https://internet-israel.com/?p=8925 🐪
--
ובנימה אחרת - הדרומיים שבינכם יוכלו לפגוש אותי במיטאפ הבאר-שבעי הכי מגניב שיש. זו השנה השלישית שאני מגיע אליו וזה אחד המיטאפים אם לא ה-. 😊 נמצאים באיזור באר שבע ביום חמישי? יהיה סופר מגניב להפגש. . במיטאפ אני מדבר על Headers מעניינים שחשובים מאוד לאבטחה וגם על דברים אחרים. יהיה משעשע וגם יש סיכוי שתלמדו
https://www.meetup.com/NegevDev/events/268118113/
אם אתם רוצים לראות אותי - זה הזמן :) אם אתם רוצים גם לקבל עותק פיזי של הספר ללמוד ג׳אווהסקריפט בעברית וזכאים לו - זו תהיה הזדמנות מעולה. שלחו לי מייל אל support@hebdevbook.com כדי שאוכל להביא לכם ספר וסוואג :) אם אתם רוצים עותק פיזי ולא הייתם חלק מהפרויקט - אפשר לרכוש אותו פה: http://hebdevbook.com/shop - מבטיח חתימה ובדיחת אבא לכל מי שיבקש :)
https://internet-israel.com/?p=8925 🐪
--
ובנימה אחרת - הדרומיים שבינכם יוכלו לפגוש אותי במיטאפ הבאר-שבעי הכי מגניב שיש. זו השנה השלישית שאני מגיע אליו וזה אחד המיטאפים אם לא ה-. 😊 נמצאים באיזור באר שבע ביום חמישי? יהיה סופר מגניב להפגש. . במיטאפ אני מדבר על Headers מעניינים שחשובים מאוד לאבטחה וגם על דברים אחרים. יהיה משעשע וגם יש סיכוי שתלמדו
https://www.meetup.com/NegevDev/events/268118113/
אם אתם רוצים לראות אותי - זה הזמן :) אם אתם רוצים גם לקבל עותק פיזי של הספר ללמוד ג׳אווהסקריפט בעברית וזכאים לו - זו תהיה הזדמנות מעולה. שלחו לי מייל אל support@hebdevbook.com כדי שאוכל להביא לכם ספר וסוואג :) אם אתם רוצים עותק פיזי ולא הייתם חלק מהפרויקט - אפשר לרכוש אותו פה: http://hebdevbook.com/shop - מבטיח חתימה ובדיחת אבא לכל מי שיבקש :)
אז כפי שכולכם ראיתם ושמעתם גם בהארץ, גם בערוץ 12, גם בכלכליסט, גם בYnet וגם ב-CNN, וושינגטון פוסט, ניו יורק טיימס ובעוד 50,000 אמצעי תקשורת - ספר הבוחרים המלא של ישראל דלף לו כתוצאה מפריצה נועזת שכללה דפדפן ו-view source. איפה? באפליקצית אלקטור. שמשמשת את הליכוד.
פעמיים. פעם אחת לפני שבוע ופעם שניה היום.
אבל אני לא אחפור לכם פה. חפרתי כבר מספיק בכל אמצעי מדיה. מה שאני כן רוצה לחפור עליו זה - למה בעצם אני מאשים את הליכוד ולא רק את חברת אלקטור שהקוד שלה גרם למידע הזה לצאת? מה הליכוד אשם שהוא השתמש בספק קקמייקה כמו חברת אלקטור?
אז זהו - שיש משמעות לאבטחת supply chain. למה? איך עושים את זה? הכל במאמר הזה שכתבתי:
https://internet-israel.com/?p=8952 🐪
אין שם מילה אחת על פוליטיקה כי חלאס. חלאס.
--
השבוע אני מתארח במפגש של DDOS - המתכנתים החרדים שיתקיים בתל אביב. יותר מ-200 מפתחים ומפתחות מגיעים. יהיה סופר מגניב וממש כיף. אל תשכחו לבוא לומר שלום!
https://www.meetup.com/DDOS-DEVELOPERS-IL/events/267424345/ 😊
אני אדבר שם על client side security
--
עדכוני הספר - כל מי שהיה זכאי לספר ״ללמוד ג׳אווהסקריפט״ וגם שילם על משלוח כספר פיזי ושלח לי את כתובתו - יקבל סמס מחברת השילוח. מי שלא שילם על משלוח? אפשר לקחת את הספר בתיאום מראש מהסיבים 25 פ״ת (לא צריך למצוא חניה, יורידו לכם את הספר - בגלל זה התיאום מראש) או לבוא ל-DDOS ולקחת :) גם פה בתיאום מראש (אני לא מסתובב עם קונטיינר בכיס :) ) במייל: ops@hebdevbook.com
פעמיים. פעם אחת לפני שבוע ופעם שניה היום.
אבל אני לא אחפור לכם פה. חפרתי כבר מספיק בכל אמצעי מדיה. מה שאני כן רוצה לחפור עליו זה - למה בעצם אני מאשים את הליכוד ולא רק את חברת אלקטור שהקוד שלה גרם למידע הזה לצאת? מה הליכוד אשם שהוא השתמש בספק קקמייקה כמו חברת אלקטור?
אז זהו - שיש משמעות לאבטחת supply chain. למה? איך עושים את זה? הכל במאמר הזה שכתבתי:
https://internet-israel.com/?p=8952 🐪
אין שם מילה אחת על פוליטיקה כי חלאס. חלאס.
--
השבוע אני מתארח במפגש של DDOS - המתכנתים החרדים שיתקיים בתל אביב. יותר מ-200 מפתחים ומפתחות מגיעים. יהיה סופר מגניב וממש כיף. אל תשכחו לבוא לומר שלום!
https://www.meetup.com/DDOS-DEVELOPERS-IL/events/267424345/ 😊
אני אדבר שם על client side security
--
עדכוני הספר - כל מי שהיה זכאי לספר ״ללמוד ג׳אווהסקריפט״ וגם שילם על משלוח כספר פיזי ושלח לי את כתובתו - יקבל סמס מחברת השילוח. מי שלא שילם על משלוח? אפשר לקחת את הספר בתיאום מראש מהסיבים 25 פ״ת (לא צריך למצוא חניה, יורידו לכם את הספר - בגלל זה התיאום מראש) או לבוא ל-DDOS ולקחת :) גם פה בתיאום מראש (אני לא מסתובב עם קונטיינר בכיס :) ) במייל: ops@hebdevbook.com
אינטרנט ישראל
על supply chain והחובה לאבטח אותה
למה ואיך ארגונים צריכים להקפיד על אבטחת המידע של הספקים שלהם?