אני חוזר לעדכונים של פוסטים ועדכונים על ווב.
פוסט חדש באינטרנט ישראל על SRI באפליקציות סטטיות ובדגש על VIte. מדובר בטכניקה לחתימת סקריפטים שמומלץ וכדאי להכיר - כלי נוסף בארגז הכלים של מפתח ווב. המאמר הוא מאמר המשך למבוא על SRI שכתבתי בעבר (יש משם קישור כמובן).
https://internet-israel.com/?p=10735 🐪

פוסט חדש באתר וגם הפעם על ווב ובאותו נושא של הגנה על צד לקוח - במקרה הזה שימוש ב-hash כהגנה על משאבי inline. האמת היא שזה פיצ׳ר שחשוב להכיר אבל הסיכוי שהוא יהיה שימושי עבורכם הוא לא גבוה, הוא כלי בסט הכלים ויכול להיות חשוב במקרים ספציפיים. חשוב לקרוא אותו בשביל המאמר הבא, שאפרסם אותו בשבוע הבא, בלי נדר.
https://internet-israel.com/?p=10740 🐪
--
קצת אייטמים - לרגל המצב אתר דה מרקר פתוח בלי חומת תשלום (אם לא עובד לכם, נסו לפתוח מאינקוגניטו).
אני לא אוהב לכתוב על התקפות פעילות של האיראנים, הסודנים, החות׳ים ועוזריהם. העבודה שלי מתמקדת במניעה, אבל רק תזכורת: אל תאמינו בחיים לפרסומים של קבוצות תקיפה שבדרך כלל מנפחות מאד ממצאים שלהם על גבול ההמצאות והדמיון.
אחת מדרכי המניעה הן לא לשמור מידע שלא צריך. בתחילת המלחמה המון אנשים וארגונים יזמו פעילויות שונות ואספו את המידע עם גוגל פורמס. אם אתם גוף כזה או אספתם מידע שאתם לא צריך - אנא מחקו אותו. פה אני מסביר למה וגם נותן מקרה משעשע כדוגמה שבו המחיקה לא עלתה יפה. אז אני מסביר איך עושים את זה.
https://www.themarker.com/captain-internet/2023-11-27/ty-article/0000018c-1140-df39-a59f-5bca7fcc0000
בתקופה הזו אני מתמקד גם בדברים אחרים - למשל אני מסביר על zero inbox - שיטה להתמודד עם עומס בעבודה שבוודאי רבים מכם מכירים ואולי זה יהיה רלוונטי להרבה אנשים.
https://www.themarker.com/captain-internet/2023-11-28/ty-article/0000018c-1503-d19a-a3cf-7d938e530000

עדכון חדש באתר - איך מיישמים nonce ולמה צריך אותו בכלל למשאבים שנטענים inline עם דוגמה (כן!) ב-next.js. לא תמיד צריך את זה אבל זה כלי שאפשר להשתמש בו ואפילו מומלץ.
https://internet-israel.com/?p=10757 🐪
עדכון נוסף שהיה בשבוע הקודם ופשוט (אני מתבייש לומר) שכחתי לפרסם אותו בכל ערוצי המדיה האחרים הוא גם מאמר ממש נחמד ורלוונטי בעיקר לחסרי ידע והוא חלק מסדרת המאמרים שאני כותב בשביל עצמי והסטודנטים שלי על מונחים בסיסיים באבטחת מידע - והפעם על IDOR.
https://internet-israel.com/?p=10763 🐪
--
השבוע הקודם היה בסימן גילוי די מחריד של אבטחת מידע - באדיבות השי שהצבא ניסה לחלק לחיילים - הצלחתי בעצם לשים את ידי על מאגר המילואימניקים הפעילים של ישראל במלחמה הנוכחית. בלי מאמץ תוך שימוש בדפדפן (אפילו לא בכלי מפתחים).
הבעיה היתה שהצבא, כשחילק שי, עשה את זה עם ממשק פתוח ושימוש בתעודת זהות. תעודת זהות של מילואימניק נתנה תוצאה חיובית ותעודת זהות של אזרח רגיל נתנה תוצאה שלישית. הבנתם לאן זה הולך, נכון? כל מה שהיה צריך זה לתפור סקריפט פשוט ונחמד ששותה את התוצאות ומחבר למאגר אלקטור שזמין ממש פה בטלגרם להורדה. זה היה גם קל כי השתמשו כ-token במספר תעודת הזהות שמור ב-md5, אז השאילתות היו קלות. כל מה שהייתי צריך זה לשלוח עם
id=md5(id)
וזהו. כתבתי על זה בדה מרקר:
https://www.themarker.com/captain-internet/2023-12-10/ty-article/.premium/0000018c-4fb1-d6bd-a1ad-7ff7bd630000

פרק מיוחד היום על נושא שנשמע משעמם לגמרי: תקינה אמריקאית: FEDRAMP וגם FIPS. זה השלב שבו העיניים של רוב האנשים מתגלגלות והם ממשיכים הלאה. אבל הנושא המשעמם והאפרורי הזה הוא קריטי לכל חברה שמוכרת או מתכננת למכור לממשל הפדרלי האמריקאי או לאחד מהספקים שלו - זה שוק עצום מבחינה כספית ותדמיתית אבל הכניסה אליו מותנית בעמידה בתקנים. כן כן. כמו תקני נגישות. התקנים האלו נדרשים וחלקם מאד קשה ליישום בשלב מאוחר של הפיתוח.
לא מזמן פרסמתי בטוויטר פוסט של ארכיטקט בכיר שעובד איתי בשם גיל עדה על FIPS ב-Go. קיבלתי לא מעט תגובות שביקשו ממני להסביר יותר על התקינה הזו מתוך הבנה שיישום שלה הוא קריטי גם בשלבים מוקדמים בפיתוח או בחברות. אז לשמחתי גיל הרים את הכפפה וכתבנו מאמר על כך:
https://internet-israel.com/?p=10897 🐪
אבל לא רק מאמר - בועז לביא מ״עושים תוכנה״ גם הוא שמע על זה, הרים את הכפפה ולצד המאמר יצא גם פרק בפודקאסט שבאמת מומלץ לשמוע - אני, גיל ובועז מסבירים בלשון קלה על התקנים האלו שכל מתכנת, איש פיתוח או מנהל פרויקטים צריך להכיר:
https://open.spotify.com/episode/03HeSAFZfF0jmwAwEAK8oG?si=d7b30447f5a748f3
--
בפודקאסט אחר, סייבר סייבר, שבו אני מאד נהנה להופיע ולדבר - אני, נעם רותם ועידו קינן דיברנו על החולשה שגרמה לדליפת מספרי תעודות הזהות של כל משרתי המילואים הפעילים במלחמה.
https://open.spotify.com/episode/2hfDUsC9JevZAPtpQH1D03?si=9d3f8f948ce145a7
--
לא מזמן, בעקבות שיחה עם מרצה בקריה האקדמית אונו, גיליתי עד כמה ChatGPT Plus והאפשרויות החדשות שלו של העלאת קבצים ויצירת קבצים (לא רק תמונות! קבצים כמו וורד, PDF ופאוורפוינט). אפשר להעלות מאמרים או דפי עבודה ולשאול את המודל עליהם ולקבל תשובות והכל בממשק נוח. לא מעט ילדים כבר משתמשים בזה ולמרות שזה לא יעבור עין בוחנת, במטלות של ילדים בחטיבת ביניים זה לגמרי יעבור. גם בעברית. אני חושב שמערכת החינוך תצטרך בקרוב לחשוב על איך מעריכים את התלמידים ועל המטלות שלהם. כתבתי על זה עם דוגמאות חיות עם מאמרים נבחרים בדה מרקר:
https://www.themarker.com/captain-internet/2023-12-20/ty-article/0000018c-87af-da81-a1bc-cfbf93b90000?_ga=2.201782097.1310804261.1703660320-767559746.1671950417

פוסט טכני חדש המיועד לכל המפתחים שבונים לווב - והפעם על CSP ועל פיצ׳ר חדש שהולך להיות רלוונטי מאד בשם Trusted Types. הוא ״עלה לכותרות״ (טוב, כותרות זה עניין שנתון להגדרה) בגלל שפיירפוקס הודיעו שהם הולכים להכניס אותו. כרום משתמשים בו כבר הרבה זמן. מדובר בדרך מעולה לעשות מיטיגציה ל-XSS שבאמת מומלץ וכדאי מאד להכיר.
https://internet-israel.com/?p=10906 🐪
--
עשיתי קצת שינויים ומתיחת פנים לאתר, במיוחד בדגש על נגישות. יש עוד כמה בעיות נגישות קלות (צריך לעשות פול ריקווסט לאחד הוידג׳טים) אבל בהחלט אפשר להשתמש באתר והוא נגיש. למרות שאין חובת נגישות באתר. כמו כן, שימו לב שיש לי הצהרת נגישות שחובה שתהיה בכל אתר, גם באלו שאין להם חובת נגישות.
--
אין לי יותר מדי מה לעדכן השבוע, אז אני אמליץ על הערוץ של מורד שטרן, שהוא Head of Engineering Branding ב- Wix ומישהו שאני באופן אישי מעריך ולומד ממנו המון. שם הערוץ שלו הוא ערוץ החדשנות 🌎 והטכנולוגיה והוא נותן המון קישורים ומידע גם על דברים שמתרחשים בטכנולוגיה - בלי חפירות. כמה משפטים קטנים וקישור וגם על מיתוג אישי, דבר שלפי דעתי די חשוב.
https://t.me/techisrael

פוסט חדש באתר והפעם בעקבות בקשות - פוסט שמסביר מאפס מה זו סניטציה, למה צריך אותה ואפילו הסבר ודוגמה על ספרית סניטציה בשם DOMPurify. הדוגמאות הן בפייתון, PHP וג׳אווהסקריפט כי זה לא עניין של שפה - סניטציה עושים בכל שפה שהיא וצריך גם להבין ולדעת איך ליישם.
https://internet-israel.com/?p=10911 🐪
--
סיפור מהמם ומעניין שהגיע אלי באמצעות הלינקדאין של גדי עברון וקצת נרקב אצלי עד שהחלטתי לפרסם הוא סיפור שמראה איך חברות תוכנה יכולות להכניס נזקים משמעותיים לתוכנה שלהן עצמן על מנת להשיג יעדים עסקיים. במקרה הזה חברת רכבות שהכניסה קוד לקטרים שלה שהשביתו אותם אם הם טופלו במרכזי תחזוקה אחרים.
המחקר המקורי של חברת האבטחה שפיצחה את המקרה:
https://badcyber.com/dieselgate-but-for-trains-some-heavyweight-hardware-hacking/
המאמר בדה מרקר:
https://www.themarker.com/captain-internet/2024-01-02/ty-article/.premium/0000018c-c94b-ddba-abad-cbeb19ba0000
--
אני לא יודע אם אתם מודעים לזה - אבל יש באופיס365 יכולת הכתבה *בעברית* מאד מאד טובה. כל מה שצריך זה רשיון (יש לכל התלמידים בישראל ולחלק גדול מהסטודנטים), להכנס דרך הווב לאופיס365, ללחוץ על הכתבה, בחירת שפה עברית ולנסות. זה ממש מדהים ומעניין. כתבתי על זה גם ברשתות אבל גם בהרחבה בדה מרקר:
https://www.themarker.com/captain-internet/2024-01-03/ty-article/.premium/0000018c-cfe1-d266-a9bf-efe3e6ed0000
--
אם כבר בינה מלאכותית - אלכס אברמוב שעובד איתי בסייברארק על פרויקטים של בינה מלאכותית פרסם פוסט טכני מעניין על חיבור בין AWS לאז׳ור. למה צריך את זה בכלל? אם המוצר שלכם נשען על תשתית אמזונית אבל אתם כן רוצים להשתמש ב-OpenAI של אז׳ור מכל מיני סיבות - אפילו כגיבוי, אז אפשר ואפשר לחבר בין שתי התשתיות ורואים את זה פה:
https://medium.com/cyberark-engineering/building-a-bridge-a-secure-azure-aws-connection-f0592796a234
--
המלצה על ערוץ טלגרם - שזה קצת מצחיק כי הוא ערוץ יותר פופולרי דרמטית מזה שלי אבל אם מישהו לא מכיר כדאי לבדוק - ערוץ חדשות הסייבר של ארז דסה. שמעבר לזה שהוא אדם סופר נחמד הוא גם נותן המון מידע על תקריות סייבר מעניינות:
https://t.me/CyberSecurityIL
--
מקווה שיהיה לכולם שבוע רגוע, שקט ונעים. 🙏

פוסט חדש באתר והפעם על openAPI, סטנדרט ותיק בתחום שרבים משתמשים בו והוא באמת בסיסי מאד. אבל, וזה אבל חשוב, הוא בסיס להמון דברים ועכשיו גם בעולם ה-AI הוא הופך להיות מאד חשוב כי ChatGPT משתמשת בסטנדרט כדי לחבר API של אחרים למערכות שלה. אז מי שלא מכיר במקרה? זה הזמן להכנס וללמוד:
https://internet-israel.com/?p=10917 🐪
--
אם אתם כן מכירים את openAPI ומסתקרנים בנוגע לחיבור המערכות שלכם לצ׳אט ג׳יפיטי עם API ואיך עושים את זה - אז ידידי אלכס גלמן (שגם הוא ארכיטקט סניור סניור בסייברארק) כתב על זה ממש עכשיו בפוסט (באנגלית) עם דוגמאות:
https://medium.com/cyberark-engineering/how-to-turn-your-api-into-a-gpt-f67387d222c8
--
כתבתי על זה ברשתות ובטח זה הגיע אליכם אבל אם לא - אז ההטרלה של everything די היתה הנושא החם בתחילת השבוע בקרב מפתחי Node.js ואנשים ששמחים לאידם של מפתחי Node.js - מפתח חמוד בשם PatrickJS יצר כהטרלה חבילת npm שמכילה את הכל. הוא עשה אתר ואיתגר מתכנתים להתקין את זה. כולם צחקו והכל עד שהתברר שבגלל שאי אפשר למחוק חבילה שמישהו אחר משתמש בה, בעצם אי אפשר למחוק שום חבילה משום גרסה מ-npm כי everything משתמשת בהכל. בגלל איך שהיא בנויה (לא נכנס לזה פה) פטריק לא הצליח למחוק את everything וכמובן היה שמח ובלגן וכל זה בתקופת החגים.
כתבתי על זה בדהמרקר:
https://www.themarker.com/captain-internet/2024-01-09/ty-article/.premium/0000018c-ed93-d0b4-a7ce-fff379200000
--
פרק חדש בפודקאסט סייברסייבר בהשתתפותי. והפעם פרק על הדרים. קצת טכני אבל גם חשוב ומראה איך לפעמים אתרים מפשלים וכמה זה קל למנוע התקפות לפעמים.
https://cybercyber.co.il/?p=2694
פרק שיעיף לכם את הראש 🥁 אני מזהיר מראש 🥁 המון בדיחות אבא שלא יצאו לכם מהראש 🥁
--
בעקבות טירוף ה-FIPS וה-FedRAMP (יש בהודעות הקודמות בערוץ חפירות על זה), התבקשנו לכתוב על הנושא גם באנגלית כי זה עוזר לשלוח לאנשים מחו״ל (לא אמריקאים בדרך כלל אבל יש עוד מדינות) כדי להכניס אותם לקונטקסט. חברי גיל עדה נרתם וכתב מדריך למפתח על FedRAMP ו-FIPS:
https://medium.com/cyberark-engineering/the-developers-guide-to-fedramp-and-fips-140-c44cd190a323
--
אחת מקבוצות המיטאפים הכי יקרות וחשובות לליבי - Negev Web developer שמנהל ינאי אדרי המהמם ויורי המהמם לא פחות שתמיד היה להם חלום לארגן קבוצת מיטאפ בדרום והגשים את החלום. כבר הרבה שנים הקבוצה הזו קיימת ופעילה מאד. לאור המצב העגום בדרום היא נכנסה להקפאה של מאה ימים לצערי אבל חשוב לחזור לפעילות ובדרום ויש מפגש חדש עם גיל תייר ואורחים רבים אחרים.
https://www.meetup.com/negevdev/events/298483606
זו גם הזדמנות להמליץ על ערוץ הטלגרם של ינאי שבו הוא לא חופר כמוני אלא נותן הרבה קישורים ומידע לדברים רלוונטיים שפורסמו השבוע בתחום הפיתוח.
https://t.me/webWekkly
--
עד כאן בנוגע לחפירות. מקווה שבאמת יהיה שבוע קל עד כמה שניתן ועם בשורות טובות.

נתחיל עם העדכון על הפוסט. האמת שכרגע זה יראה קצת תלוש אבל יש לי את הסיבות שלי ומבטיח שהסיבה לפוסט תתברר בהמשך. הפוסט עוסק באיך בונים מערכת שבה אנחנו אמורים לתת גישה חופשית לקבצים אבל אנחנו רוצים שרק מי שנכנס לאתר יוכל להוריד את הקבצים ולא כל איזה ארחי פרחי מגוגל.
זה תסריט לא מופרך כל כך או הזוי - יש לפעמים צורך להנגיש מידע גם למשתמשים אנונימיים אבל דרך האתר או המערכת ולא דרך הרשת. גם אם מדובר במידע שאמור להיות פתוח, זה לא אומר שאני רוצה להנגיש אותו לאנשים שלא דרך המערכת או לכורי מידע.
בפוסט אני מספר על כמה דרכים לתכנון כזו מערכת ומספק דוגמאות.
https://internet-israel.com/?p=10928 🐪
--
האמת שאין לי יותר מדי חפירות השבוע כי אני יושב על כמה בעיות אבטחת מידע משמעותיות לצערי, אז חוץ מהפוסט של 1200 מילה שלעיל. אז אולי זו הזדמנות להפנות לפוסט של גיקטיים עם ערוצי טלגרם מעניינים נוספים:
https://www.geektime.co.il/telegram-channels-to-follow/
וגם הזכירו אותי! שזה תמיד נעים ומשמח לראות 😇
שבוע עם בשורות טובות ככל שניתן 🙏

היום התעכבתי קצת עם העדכון, למה? כי חיכיתי לאייטם מסוים שיצא ואוכל לכתוב עליו כאן. אתחיל עם הפוסט ואז עם האייטם ואז אסביר את הכל.
הפוסט הוא פוסט קצר ומעניין שמסביר על איך מוצאים PII. מה זה PII? ראשי תבות של Personal Identifiable Information. מידע אישי. כאשר אנו מחזיקים או אוספים מידע אישי, יש רגולציות וחובות יותר גדולים ולא מעט פעמים אנחנו רוצים פשוט... לא להחזיק את המידע הזה כי זה מאד מקל. הדרך הטובה ביותר להגן על מידע היא פשוט לא להחזיק בו.
העניין של סריקת PII הוא באמת מורכב ומעניין ויכול לאכלס ספרים שלמים אבל בחרתי במשהו פשוט - מציאת צילומי תעודות זהות ישראליות בתמונות. שימושי למקרים שבהם אני מקבל סריקות של מסמכים ואני רוצה לדעת אם יש בהן תעודות זהות (על מנת להסיר אותן למשל, או לפנות לאדם ששלח את המסמכים או לעשות באמת מה שרוצים.
יש כמה דרכים לעשות סריקות כאלו ואני מראה דרך קלה שרותמת ML - להשתמש בשירות של AWS Rekognition. שירות זיהוי תמונות שממש קל להשתמש בו, הוא זול יחסית ובגלל שיש לנו כבר region ישראלי הוא יעמוד גם ברגולציה ישראלית. מומלץ להכנס ולראות במיוחד אם לא יצא לכם לעבוד עם תשתית אמזונית.
https://internet-israel.com/?p=10944 🐪
--
עכשיו בנוגע לדיווח המצער וגם קצת חפירה שתראה לכם איך דברים עובדים קצת מאחורי הקלעים. כמות עצומה של צילומים של תעודות זהות + ספחים היו זמינות ברשת לכל מי שחמוש בכלי הפריצה ״דפדפן״. שימו לב: צילומים של תעודות זהות הם הרבה יותר גרועים מסתם מספרי ת.ז. איך? בהתנגדויות לבניה מצרפים סריקות של צילומי תעודות הזהות של המתנגדים יחד עם ההתנגדות + ספחים ולפעמים גם חוות דעת רפואיות רגישות. המנהל צריך לפרסם את ההתנגדויות (שזה בסדר גמור) אבל מפרסם על הדרך גם את הסריקות של תעודות הזהות וגם פותח את הכל בגוגל בפני כל דרדק וכמובן שאין איזו חסימה של כרייה המונית או גישה ממדינות אויב. ככה שיש חשיפה משוגעת של כמות רבה של תעודות זהות.
לפני כמה חודשים חוקר אבטחה שגילה את זה דיווח לי על כך ואני מתבייש לומר שאמרתי לו לפנות לממשלה כדי לסגור את זה. הם התעלמו. שמואל לנצ׳נר האגדי (חוקר אבטחה שמככב באופן קבוע בטבלת המדווחים של מערך הסייבר) מצא גם הוא ודיווח על כך למדינה כנדרש ולפי חוק וכלום לא קרה. הוא פנה אלי כדי שאראה מה אוכל לעשות.
המניע של החוקרים האלו הוא להגן על האנשים והאזרחים התמימים ובגלל שמתעלמים מהם הם פונים אלי. וידאתי את המידע, תיעדתי את הכל ופניתי לדובר מנהל התכנון כדי שיבדוק את העניין. הפניה כמובן היא בכובעי כעיתונאי. הוא בהתחלה היה אדיב מאד ואמר שיבדוק. אני אמרתי שיקח את הזמן.
התגובה אחרי פרק זמן מסוים היתה הרבה פחות נעימה. בגדול: ״זה לא באג, זה פיצ׳ר!״ הוא אמר לי וטען שגורמי ההנדסה בדקו את העניין והעובדה שאלפי סריקות של צילומי תעודות זהות וספחים זרוקים להם ברשת חשופים לעין כל אינדונזי ואיראני זה תקין לגמרי ולא דליפת מידע. יותר מכך, הוא טרח לציין באופן מאד בולט בווטסאפ:
״אני מחויב להגיד לך כי כל הצגה כ'דליפה', מינהל התכנון שומר לעצמו את הזכות לטפל בנושא".
ככה נראה איום אגב, למי שתוהה. אבל אני לא מתרשם כל כך מאיום של משרדי פח ממשלתיים (מה יעשו? לא יעסיקו אותי בחיים? לא יזמינו אותי לאירועים? יהרסו לי את הבית?) אז המשכתי להפעיל לחץ ולהציק. בתמורה הוא נתן לי באמת תגובה מבישה שהגיעה הישר ממנמ״ר של שנות התשעים: ״האתר מוגן על ידי מערכות אבטחה תשתיתיות ואפליקטיביות כגון Firewall, מנגנון ReCapcha ומערכות ייעודיות להגנה מפני מתקפות מסוגים שונים״.
אם יש את כל המנגנונים האלו, אז איך זה שמאינדונזיה אפשר לכרות בכיף צילומי תעודות זהות של אזרחים ישראלים? לעולם לא נדע.
אם הגשתם התנגדות לבניה והיו צילומי תעודת זהות שלכם בהתנגדות? גם לפני כמה שנים? קחו בחשבון שזה נחשף. עם צילומי תעודות זהות אפשר לעשות המון נזק לצערי :(
למרבה השמחה, דיווחתי לעוד כמה מקומות ואחד מהם עבד מול אלוהים-יודע-איזה-גורם-טכני-כושל-שיש-שם כדי לחסום את ההורדה מגוגל ולהגן על האזרחים. עוד מידע נמצא באייטם פה:
https://www.themarker.com/captain-internet/2024-01-29/ty-article/.premium/0000018d-54f3-d0fc-a9bd-5eff3a280000
--
ועכשיו איך זה מתקשר לפוסטים שלי? הפוסט שפרסמתי השבוע מראה כמה זה קל וזול להגן על האזרחים אם באמת רוצים. היה אפשר לבנות פייפליין פשוט של פרסום לאבחון תעודת זהות בעלות של 1000 דולר למיליון סריקות ועוד במרכז מקומי של אמזון. ויש עוד דרכים. הפוסט בשבוע שעבר הראה איך מגינים על מסמכים כאלו מכרייה המונית. כל כך פשוט ועדיין לא עושים את זה :(
--
המקרה הזה ייכנס היישר אל ההרצאה שלי בכנס ״רברסים״ כמובן. השנה נפל בחלקי הכבוד העצום והמאד לא מובן מאליו להיות Keynote speaker בכנס הזה שהוא באמת ה-כנס הטכנולוגי השנתי. אני ארצה שם ביום השני בהרצאה

עדכון ערב השבוע - אבל עדכון חשוב. גם פוסט וגם פרק בפודקאסט - הנושא? נגישות אינטרנט.
למרבה הצער נגישות עולה לכותרות רק בהקשרים לא חיוביים של תביעות, עורכי דין רודפי אמבולנסים שתובעים תביעות סרק ושאר דברים איומים. גם הרבה אנשים חושבים שאם תוקעים תוסף נגישות אז זה מספיק - מה שלא נכון.
שמחתי להתארח ב״עושים תוכנה״ ולדבר עם בועז לביא על נגישות אינטרנט מהצד הכי טכני hard core שלה. איך מתחילים לממש נגישות אינטרנט בממשקי לגאסי וממשקים חדשים? איזה כלים אוטומטיים אנחנו יכולים לשלב באמצע הפיתוח וגם דיברנו קצת על הבשורות החדשות שיש (ויש) בתחום.
את הפודקאסט אפשר לשמוע פה בכל הפלטפורמות:
https://www.osimhistoria.com/software/ep149-accessibility
ואת הפוסט המיוחד שמלווה אותו אפשר לקרוא פה:
https://internet-israel.com/?p=10951
אני עובד לא מעט על נגישות גם בסייברארק וגם במקומות אחרים ולא רק שזה חשוב אנושית, זה חשוב באופן כללי.
--
לאלו מכם שמפתחים בג׳אווה - ומן הסתם יש המון כאלו, פוסט מאד מעניין של קולגה שלי בשם יהונתן ישורון על בדיקות אינטגרציה עם @springboottest יעניין אתכם מאד. באופן אישי אני מת על בדיקות כי זה מה שמונע את הטלפונים ביום חמישי :) חפרתי על זה לא מעט ואני שמח שיהונתן הרים את הכפפה.
https://medium.com/cyberark-engineering/springboottest-a-double-edged-sword-in-the-garden-of-integration-tests-7ef1fe25f486
--
בפינת ההמלצה אני אמליץ על קבוצת טלגרם מאד מאד כיפית ומעשירה בשם CyberSpace ISR. אני קורא סמוי שם (יש שם המון הודעות ותגובות) ותמיד מעניין להתעדכן על מה שקורה שם וגם להתייעץ אם צריך. ממליץ בחום
https://t.me/cyberspaceisrael
--
זהו. קצר ולעניין היום.

האם אני גאון שכותב קוד ומרים מערכות ללא בעיות אבטחה בכלל? ברור שלא! אבל יש לי מנגנון אבטחה מאד מאד חזק שמעטים משתמשים בו וחבל - המנגנון הזה הוא דף צור קשר לבעיות אבטחה ואני מקבל שם דיווחים על חורי אבטחה שיש באתר שלי ויכולים לגרום לי לצרה. כשאני מקבל דיווח אני מודה למי שמצא, מתקן את הבעיה ומשתדל גם לפרסם פוסט חגיגי שמודה לו.
דניאל ביטון מצא באתר אינטרנט ישראל משהו - אז כמובן שאני אנצל את ההזדמנות ולא רק שאודה לו פומבית, גם אכתוב על מה הוא מצא כדי שאחרים גם יקראו ואולי יסגרו את זה גם. ואם אין לכם כזה מנגנון דיווח? אולי שווה לשקול לשים.
https://internet-israel.com/?p=10966
--
שבוע שעבר הייתי באמת עמוס מאד עם המון חזרות לקראת כנס רברסים. אני Keynote speaker ביום השני ובחרדות כמובן 😱 - ושכחתי לכתוב פה את הפוסט של שבוע שעבר. זה פוסט מאד נלוז כי אני מתייחס שם למשהו מאד טריוויאלי: אל תעלו את הדוט גיט שלכם למקום גלוי. למה אני עושה את זה? ובכן, יותר מדי פרצות אבטחה ואני צריך רפרנס לפרצה הבאה כדי שאוכל להפנות את הקוראים. אמרתי שזה נלוז, לא? אבל כן יש סיכוי שזה יהיה מעניין:
https://internet-israel.com/?p=10960
--
בכמה כלי תקשורת בעברית יצאו כתבות על האקרים מרושעים שהשתלטו על מברשות שיניים חכמות (😲) ויצרו רשת בוטנטים. המחקר נשען על מחקר של חברת פורטינט והכל היה מלחיץ עד שהתחילו לעלות כמה וכמה שאלות ומסתבר שהכל היה די מונפץ ודיבר על תרחיש תיאורטי.
אני נורא שונא לסקר פרצות קיימות שלא אני מצאתי בדיוק בגלל זה - מאד מאד קל ליפול בפייק. אז כתבתי בגדול כתבה בדה מרקר על משהו שלא התרחש. כמו סיינפלד שזו סדרה על דברים לא קיימים.
https://www.themarker.com/captain-internet/2024-02-08/ty-article/.premium/0000018d-882c-df76-a1fd-cbfdabe20000
--
מאמר מאד מעניין לטעמי של ניר בר, שעובד איתי בסייברארק, על פיתוח צ׳אטבוט עם כמה מודלים ולאנגצ׳יין. אני יודע שלאנגצ׳יין סופגת המון הייט ויש לה תחליפים אבל בכל מקרה - מדובר פה במשהו מאד מעניין שמראה איך עובדים בסביבה מורכבת עם כמה אייג׳נטים. מאד ברור, עם המון דוגמאות מעשיות וקוד ואפילו אם זה נשמע לכם קצת כמו ג׳יבריש זה הזמן להכנס ולקרוא
https://medium.com/cyberark-engineering/a-developer-guide-for-creating-a-multi-modal-chatbot-using-langchain-agents-9003ba0ffb4d
--
ובפינת הפרגון - מי אם לא דרור גלוברמן שלא רק שאני אוהב מאד באופן אישי ויכול להעיד שהוא אדם סופר נחמד, אלא גם הוא עיתונאי מאד חד שמוצא ומדווח על כל הטרנדים והדברים החדשים בנוסף לדילמות לא פשוטות מהעולם הטכנולוגי. זה קצת מצחיק שאני ממליץ עליו כי הוא ה-ר-ב-ה יותר פופולרי ממני אבל שווה כן לבדוק את ערוץ הטלגרם שלו:
https://t.me/globerman
--
בתקווה לימים שקטים ורגועים לכולם ולכולן.

הפוסט החדש היום הוא על בדיקות נגישות עם vitest. בעוד של-jest יש פלגינים איכותיים לבדיקות יחידה, ל-vitest אין :( אבל לא ממש צריך - אפשר להשתמש ישירות ב-axe-core ולחסוך אבסטרקציה מיותרת ולממש בדיקות נגישות אוטומטיות כחלק מ-CI. ואם זה נשמע לכם כמו ג׳יבריש - אז חבל כי זה באמת יכול לתת אדג׳ משוגע של איכות לכל מפתח פרונט אנד ובמאמץ קטן. אז אם אתם מפתחי ריאקט ומשתמשים ב-vite שתופסת תאוצה משוגעת בזמן האחרון לאור לכתבה מאיתנו של CRA - תוכלו ללמוד איך עושים את זה.
https://internet-israel.com/?p=10969
--
עדכון עיתונאי חדש ומבאס מאד מאד מאד. אני יכול לומר לצערי שמדובר באחד הגילויים הכי קשים שהיו לי - כזה שיכול להביא גם למוות ממשי. איזה ולמה? מדובר באתר לחילופי זוגות. לא מדובר בפעילות לא חוקית וגם לא בגידות אבל פעילות שרוב האנשים שומרים ממש בצנעה ואם אתם מהקהילה החרדית והערבית אז הגילוי שזוג מסוים שותף לפרקטיקה הזו או צילומי עירום יכולים להביא לתוצאות מאד מאד קשות. בגלל זה מתהפכת לי הבטן כשאני כותב לכם על זה.
נעם רותם, ידידי ועמיתי מהפודקאסט סייברסייבר ועידו קינן מצאו באתר swinging.co.il משהו נורא - קבצי גיט שהועלו לאתר. למי שלא יודע - קבצי גיט הם קבצי ניהול קוד שאסור שיעלו לאתר (כאן יש לי הסבר למה https://internet-israel.com/?p=10960 ) מה היה בקוד האתר? סיסמה ושם משתמש ל-MySQL וכמובן שום הגנה - במסד הנתונים היה את כל המידע באתר כולל תמונות עירום קשות ומזוהות. למרבה הצער, האתר דרש מהזוגות/נשים להצטלם עם השם שלהם והתהפכה לי הבטן מלראות את התמונות - זוגות חרדים חייכנים, ערבים חביבים, סתם אנשים מהיישוב שהחטא היחידי שלהם זה שהם רצו לגוון את חיי המין שלהם ולדעת שאם התמונות האלו יתפרסמו החיים שלהם מתחרבנים לגמרי. כמובן שגם מספרי כרטיסי אשראי מלאים אבל זה באמת מתגמד.
הגילוי הזה היה לפני כמה חודשים - לא הצלחנו להשיג תגובה מבעלי האתר ומי שמאד סייע זו הרשות להגנת הפרטיות - היתה לי ביקורת לא מעטה עליהם בכל השנים אבל פה הם ממש סייעו, מצאו את הגורמים מאחורי האתר והביאו לסגירת הפרצה.
פה אני אשתף קצת בדילמה - לפרסם כזה דבר יכול להיות הרסני, אז היתה התלבטות אם לפרסם ואיך ואז היה אסון ה-7 לאוקטובר וזה נשמט. לפני כמה זמן שוחחנו על העניין ותהיתי - האם באמת כל חורי האבטחה נסגרו? נעם רותם ואני נכנסנו לאתר ועינינו חשכו - המערכת היתה כתובה ב-yii. שזו מערכת ישנה של PHP ומה יש לה? לוג בברירת מחדל. מה היה בלוג? סשנים :( לוקחים את הסשן, מדביקים אותו כעוגיה בכלי המפתחים ו... זהו. נכנסים כמשתמש שהסשן שלו. למרבה הזוועה, זה עובד גם למנהל האתר ואז יכולתי להכנס כמנהל ששוב, יש לו גישה מלאה לכל המידע, אבל כל המידע, כולל תמונות, שיחות פרטיות וכל המידע על המשתמשים. כולל התמונות (חלק עירום עם פנים גלויות כמובן) התיאומים ביניהם (יותר ממיליון הודעות) והמספרים האישיים שלהם. זוועה. 25,000 משתמשים (זוגות ברובם) שהופקרו שוב ושוב על ידי בונה אתרים רשלן וכושל.
אני יכול לומר שלא ישנתי בלילה, במיוחד כשניסיתי לדווח לבעלי האתר ושוב זכיתי להתעלמות בוטה - פשוט לא ענו לי לא משנה מה עשיתי ואיך פניתי. גם פה הרשות להגנת פרטיות נחלצה לסיוע והצליחה במאמץ רב שוב למצוא את האחראים ולהגיע אליהם ולסגור את הפרצה הזו באתר - פרצה שניה שלו שחושפת באמת נתונים קשים.
אין לי כאן לקח חוץ מזה שלפי דעתי חייבים לשנות את החקיקה ולתת הרבה יותר שיניים לרשות הפרטיות - לטעמי במקרים כאלו קשים אנשים צריכים להיות בכלא. אני ממש מצטער על הגילוי הזה והתהפכה לי הבטן כשראיתי את החומרים - *פעמיים*. אני יכול לומר שבדרך כלל קבוצת הבודקים מלאה בדיחות אבא, במקרה הזה כולנו היינו עגמומיים מאד. נורא.
מידע נוסף בכתבה בדה מרקר:
https://www.themarker.com/captain-internet/2024-02-25/ty-article-magazine/0000018d-a277-d400-a7cd-fff7850c0000
בקרוב גם פרק בסייברסייבר על זה.
--
ובנימה אחרת, פרק חדש בסייברסייבר עם פרופסור אור דונלקמן על פרטיות. את פרופסור דונקלמן אין בוודאי צורך להציג והוא גם קריפטוגרף וגם מומחה פרטיות ומעבר לזה הוא אדם נחמד וחכם והפרק שווה מאד מאד האזנה.
https://cybercyber.co.il/?p=2723
--
פוסט מעניין של דן בלדב שעובד איתי על AI בסייברארק ומספר על איך מרימים טלגרם בוט שמשתמש בבינה מלאכותית וגם על למבדה - והכל עם המון קוד וממש ככה שאפשר ממש בדקות לכתוב ולהתחיל. מצד אחד בסביבה של גדולים (כלומר serverless) אבל עם קוד פשוט וכיפי.

https://medium.com/cyberark-engineering/building-a-serverless-langchain-powered-telegram-q-a-bot-a-step-by-step-guide-fcfcdfa35910
--
פינת ההמלצה - הפעם משהו של פייסבוק - קהילת אינטרנט בטוח של מאי ברוקס היא מקום נפלא להתייעצות בתחום. בקבוצה יש מומחים רבים והיא מאד סובלנית לכל שאלה או דיווח של כל אחד. המקום הראשון שצריך להגיע אליו אם יש לכם חשש או שאלה או אם בא לכם לסייע לאחרים.
https://www.facebook.com/groups/Think.Safe.Cyber/?locale=he_IL

כמה עדכונים ופוסטים רלוונטיים לכולם.
ראשית - ההרצאה שלי ברברסים - היה מעולה! כלומר לי, לי היה מעולה. כל ה-1200 איש שהיו שם לא בטוח שנהנו משפע של בדיחות אבא מעלות עובש ומביכות בצורה קיצונית, רפרנסים היסטוריים לסרטים בלים מזוקן משנות השמונים וכל מיני יציאות הזויות ושימוש יתר במשרוקית. אבל כשנותנים לי במה אני מנצל אותה! בהרצאה, שהיתה הרצאת keynote ובאמת ניסיתי להתאים אותה לקהל הכי רחב שאפשר, דיברתי על בושות אבטחה ובמיוחד על ״ניחוחות״ של אתרים שמראים לי שיש סיכוי שהאתר יכיל בתוכו כל מיני דלפי מידע ובושות אחרות ויחד עם ההרצאה (שתעלה לאוויר, למי שרוצה לסבול) יצא פוסט מלווה עם קישורים ומידע נוסף:
https://internet-israel.com/?p=10973
--
הפוסט הנוסף שפורסם השבוע הוא פוסט על תוספי נגישות. הפוסט הזה הוא חשוב במיוחד כי הוא מראהעד כמה תוספי נגישות לא רלוונטיים לתקן הישראלי/העולמי ויכולים לסבך את כל מי שבונה עליהם שיצילו אותו מחובת הנגישות. אם בניתם על זה - אז אני מצטער לפוצץ את הבועה :(
https://internet-israel.com/?p=10981
למה נזכרתי בזה עכשיו? ובכן... זה מתקשר לאייטם שפורסם ממש היום בדה מרקר.
--
בגלל שאני עוסק הרבה בנגישות אינטרנט, פנו אלי כמה אנשים שקיבלו פניה אגרסיבית מ״עושים שיוויון״, חברה העוסקת בהנגשה. נציגי החברה התקשרו אליהם ואיכשהו נתנו את הרושם שעוד שניה הם חוטפים תביעות נגישות. הנציגים רצו להציע להם את שירותי ההנגשה שלהם אבל בדרך הלחיצו מאד. בבירור שעשיתי מתברר שמדובר ממש ב״מכת מדינה״ וקיבלתי עוד ועוד עדויות של אנשים על כך שהחברה הזו פונה ללא מעט בעלי עסקים בתלונה כללית על כך שהאתר לא נגיש. זה מרגיז, מקומם ולא לעניין. אז הנה, יש אייטם שמראה חלק מ״אסטרטגיות המכירה״ של החברה הזו ומה עושים אם מקבלים מהם או מחברה אחרת פניה בנושא.
https://www.themarker.com/captain-internet/2024-03-11/ty-article/.premium/0000018e-0965-d6be-afff-4d65bb560000
--
עוד משהו מעצבן שקרה השבוע זה אתר ארכיון המדינה שמסתבר שלא עובד כמה חודשים ארוכים ולא יעבוד עד סוף השנה (!!!!) למה? פריצת האקרים. כנראה בארכיון המדינה לא שמעו על דבר כזה שנקרא גיבוי או DR. מזכיר לי שפעם היה אתר ״חדשות קלה״ שהיה לא פעיל שנה בגלל ״בעיות אבטחה״ וכששלחו אותי מ״יהיה בסדר״ בגל״צ כדי לבדוק מה הבעיות - מסתבר שהתעודה היתה פגת תוקף 🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️ על המקרה הזה ועוד בכתבה הזו:
https://www.themarker.com/captain-internet/2024-02-29/ty-article/0000018d-f500-da4e-adbf-f7b908e60000
--
בפינת המאמר המעניין - הפוסט של המתכנתת תמר ינקלביץ׳ שעובדת ממש איתי על יישום פיצ׳ר של LLM בעולם האמיתי כולל ניתוח של כל מיני בעיות שהיא נתקלה בהן שאני מודה שלא חשבתי ולא הכרתי.
https://medium.com/cyberark-engineering/llm-in-a-real-feature-world-aef751243947
גם גיל עדה כתב פוסט מעניין על Go ומוניטורינג בגרסה החדשה. שווה להציץ אם אתם אנשי גו:
https://medium.com/cyberark-engineering/golang-monitoring-made-easy-with-version-1-16-df06f7477d75

הפוסט היום נוצר מלא מעט דיונים עם מתכנתים צעירים יותר שמרגישים ש״תם עידן הקוד״ בגלל הבינה המלאכותית. מלבד העובדה שאני עובד צמוד עם כלים שמייצרים קוד בשנה וחצי האחרונות. אני גם עובד במקום שמיישם בינה מלאכותית גנרטיבית בשלל מוצרים. לפי דעתי תפקיד המתכנת משתנה וכתבתי על זה כמה מילים (ודוגמאות מהשטח כמובן) פה:
https://internet-israel.com/?p=10987
בגדול - בדיוק כמו שהיום רוב המתכנתים כבר לא מנהלים זכרון, בונים Garbage collector או שוברים את הראש על המרות של מידע (מישהו זוכר big VS little Endians?) והדברים האלו לא נמצאים אפילו בשפה עלית, אז ייתכן מאד שבעתיד התפקיד שלנו יהיה לוודא שהקוד יהיה תואם לתפקיד ולקונטקסט. נתתי כמה דוגמאות אמיתיות לגמרי עם קוד וקונטקסט ואני מקווה שמי שיקרא ימצא את זה מעניין.
https://internet-israel.com/?p=10987
--
הפרק של הפודקאסט סייברסייבר בהשתתפותי על המקרה העצוב של סווינגינג עלה לאוויר ואפשר להאזין לו פה:
https://open.spotify.com/episode/5iqKt01OtcNrV5C9XoTBC3
אני אשתף כאן שהמתכנת הכושל של המערכת הכושלת הזו פנה אלי כדי לדרוש את הפרטים של הפצחנים (!!!) כדי להתלונן במשטרה. אמרתי לו שזה אני באמצעות כלי הפריצה הידוע ״דפדפן״. הלוואי שהוא יתלונן, כך אוכל לחשוף את השם שלו בלי נקיפות מצפון אפילו. 😡
--
בפינת ההמלצה: מאמר מרתק של מיכל בלבר שעובד איתי על איך השתמשנו ב-LLM לניתוח... וידאו! אמיתי לגמרי, מעניין מאד ושווה קריאה.
https://medium.com/cyberark-engineering/harnessing-ai-synergy-combining-video-analysis-with-llm-582d36776eec
--
ולסיכום - נהניתי נורא מכנס רברסים - גם לפגוש מלא אנשים טובים - חלקם לראשונה וגם להעביר הרצאה ולנצל את הבמה למלא בדיחות אבא עבשות. עכשיו אני מכוון לכנסים הבאים :) בתקווה שאתקבל אליהם. וכן, גם שם יהיו המון בדיחות אבא גרועות ורפרנסים חסרי תוחלת.

אני עדיין בנושא תפקיד המתכנת בימי הבינה המלאכותית. בעקבות הפוסט הקודם וגם בעקבות דיונים אחרים אמרו לי טענה מאד מאד חזקה - ״בוודאי שצריך מתכנת אנושי כאשר אנחנו מנסים לפתור בעיה קשה - כמו hash למשל, אבל מה עם ענפים שלמים בתכנות כמו פרונט אנד?״. זו טענה מצוינת. אבל יש לי מענה כי אני עובד על פרונט אנד לפעמים וכמובן שנעזר ב-AI כדי לבצע את המשימות השונות שם. אז הדגמתי עם 3 תכונות חדשות ומעניינות של CSS, שזמינות בכל הדפדפנים המרכזיים וחוסכות המון קוד. הגשתי בעיה מסוימת ודי טריוויאלית לידידי צ׳אט ג׳יפיטי וביקשתי ממנו לפתור. הוא פתר ואפילו יפה - אבל הוא התעלם לגמרי מהטכניקות החדשות שנכנסו בשנה האחרונה. אם הייתי מנחה אותו בשימוש זה היה נראה יותר טוב.
הדוגמאות והכל בפוסט מיוחד:
https://internet-israel.com/?p=10993
--
הסיפור עם השיחות של אפי נווה עם השופט לשעבר אורנשטיין שכתב הארץ חיים לוינסון פרסם הכה גלים ובאמת היה נורא וכנראה שייגמר בעוד חקירות פליליות. אני כמובן שמחתי בפינה הקטנה שלי כי זו דוגמה מ-ע-ו-ל-ה לאיך מידע גם כזה שהוא ישן בן כמה שנים יכול לסבך אותנו. ועד כמה חשוב להגן על המידע שלך בכל מיני סיטואציות. חפרתי על זה, יחד עם טכניקות קלות מאד להגנה וגם קצת על פרוטון דרייב בכתבה בדה מרקר (שפורסמה גם בהארץ) :
https://www.themarker.com/captain-internet/2024-03-21/ty-article/.premium/0000018e-6079-d092-afcf-78fb996b0000
--
ההתראה הדי קבועה שלי - אל תאמינו לפרסומים של קבוצות תקיפה על פריצות. אני מקבל ערימות של הודעות PR של קבוצות כאלו שמתפארות בהישגים כנגד ישראל. פעם הם פורצים לצה״ל, פעם למפעל הטקסטיל בדימונה ופעם לסוכנות החלל ולראש הממשלה. כמות הבולשיט היא עצומה ואז מסתבר אחרי כל הבלגן שמדובר באיזה מחזור של פרטים ודליפות מידע עתיקות יומין שיותר זקנות ממני. אני לא מפרסם כלום מהדברים האלו וגם משתדל שלא להלחץ. אם תוקפים יכולים לעשות נזק - הם עושים וד״ש לבית החולים הלל יפה.
--
אם מישהו מכם לומד באוניברסיטת חיפה, או מכיר מישהו שלומד שם - זו השנה השלישית שפרופסור שי גירון ואני מעבירים שם קורס אקדמי במסגרת אשכולות העשרה - מדעי הנתונים והסייבר המיועד דווקא *לסטודנטים שאינם טכניים* ומלמד אבטחת מידע לאנשים רגילים, צנזורה מדינתית ומסחרית, איך מבצעים פריצות עם דפדפן והמון המון מידע על הרגלים דיגיטליים בריאים. ספציפית סטודנטים שהם לא טכניים ירוויחו ממנו המון (וגם שפע של בדיחות אבא דלוחות). כל שנה אומרים לי שחבל שאני לא מודיע על זה - אז הנה.
https://eshcolot.haifa.ac.il/%d7%90%d7%a9%d7%9b%d7%95%d7%9c-%d7%9e%d7%93%d7%a2%d7%99-%d7%94%d7%a0%d7%aa%d7%95%d7%a0%d7%99%d7%9d/

בוקר טוב עם עדכון חדש שהוא פוסט בסיסי מאד שכתבתי לסטודנטים שלי ומסביר על איך כתובות IP עובדות ומה ההבדל בין כתובת פנימית וחיצונית. לאנשים טכניים אין מה לעשות עם הפוסט הזה אבל אחרים אולי כן יתעניינו.
https://internet-israel.com/?p=11002
--
כתבה מעניינת על צנזורה ב... איטליה! לא, הפעם לא ישראל. אפשר להתנחם בצרות של אחרים ובאמת זה צרות. הרגולטור האיטלקי החליט להלחם בפיראטיות תוכן באמצעות חסימה. טוב, לזה אנחנו רגילים. אבל במקום חסימת DNS רגילה ופשוטה, האיטלקים החליטו (מאמא מיה!) לעשות חסימת IP. מה הבעיה? שחסימת IP של שרת היא היתה אחלה בשנת 2000. פחות ב-2024 כאשר כל אתר שני משתמש בקלאודפלייר ודומיו. הם חסמו כתובת IP של אתר, מה שהוביל לחסימה של מיליוני אתרים אחרים. הקיצר, ברדק אדיר וכנראה מישהו שם יצטרך לרדת מהעץ. הנה האייטם בדה מרקר.
https://www.themarker.com/captain-internet/2024-03-28/ty-article/.premium/0000018e-84a7-d0d3-a98e-d6ffd9ab0000
--
פרק מעניין בפודקאסט מעניין שהשתתפתי בו שבו אני מספק לא על משהו טכני אלא דווקא על מקצוע העיתונות הטכנולוגי ואיך הפכתי להיות ציני. עם המון סקופים ומידע מעניין על איך התהליכים הולכים מאחורי הקלעים. איך אייטמים יכולים להתפוצץ או להגנז בהתאם לתגובה עם דוגמאות רלוונטיות. אני חושב שזה יהיה מעניין למי שיאזין.
https://open.spotify.com/episode/3zhPnvV79XKRCMpPYB7bQT?si=318d69161e244702
--
כנס רברסים שיחרר את ההקלטה של ההרצאה שלי! על אבטחת מידע. מטבע הדברים זה קינוט ויש יותר צחוקים ובדיחות אבא עבשות ובכלל בושות וכשלונות אבל הבאתם אבא בן 46 לבמה, מה חשבתם שיצא? קולה?
https://www.youtube.com/watch?v=6hdvLeHzL88
--
בלי קשר לטכני, אבטחת מידע, עיתונות - למי שלא ידע - אני ממייסדי עמותת וקהילת טולקין, המחבר של שר הטבעות. כבר הרבה זמן לא העברתי הרצאות ספרותיות אבל השנה זה קורה בכנס עולמות, כנס מד״ב/פנטזיה ע-נ-ק-י שמתקיים בתל-אביב. אני מרצה שם על התרגומים השונים של שר הטבעות. מטבע הדברים זה לא יהיה מפוצץ כמו הרצאות טכניות שלי, אבל ההרצאה תהיה מעולה ותעניין לא מעט אנשים, גם לא חובבי טולקין. חמישי, חול המועד פסח, 20:00.
https://tickets.sf-f.org.il/olamot2024/

פוסט מעניין בנושא הכנת מסמך וורד ו-PDF נגיש. גם מסמכים כאלו צריכים הנגשה ויש לצערי תביעות ובלגן סביבם - במיוחד במוסדות אקדמיים ולימודיים שמייצרים מסמכים כאלו ומעלים אותם לרשת. הרבה ממליצים על Acrobat reader pro אבל לא חייבים אותו כדי ליצור מסמכים נגישים ובכמה מאמרים אני אסביר על הנושא הזה וזה המאמר הראשון - יצירת וורד נגיש.
https://internet-israel.com/?p=11018
נראה לי שזה יהיה רלוונטי גם ליוצרי תוכן וגם לבוני אתרים.
--
סיפור שהתפוצץ חזק וכולכם בטח שמעתם עליו - הסיפור של xz. סיפור מתח של ממש שבמסגרתו קבוצה של תוקפים (לא ברור מאיפה כמובן, אבל עם משאבים של מדינה כנראה) והתלבשו על חבילת קוד פתוח בשם xz - הם עשו מניפולציות רגשיות והפעילו לחץ חזק על המתחזק של החבילה הזו שנמצאת בכמעט כל לינוקס שהוא ושכנעו אותו לתת לאחד מהם co maintainer. במשך חודשים הוא דגר על החבילה עד ששחרר קוד זדוני מחוכם באמת. למרבה המזל הקוד היה מחוכם מדי וגרם לאיטיות שעוררה עניין מצד מתכנת ממיקרוסופט שדיווח על העניין. סיפור באמת מהסרטים ובת׳כלס היה כאב ראש לתרגם את זה לכתבה בעיתון יומי. ניסיתי, גם בעזרת העורכת שלי קרן שטייבה את כל הסיפור ונתנה פוש רציני שם ונראה לי שיצא די ברור ואפילו מעניין:
https://www.themarker.com/captain-internet/2024-04-03/ty-article/0000018e-a391-de71-abff-bf9d100b0000
--
ובצירוף מקרים ממש מעניין - פרק חדש של סייברסייבר על חבילות תוכנה בעייתיות ו supply chain attack. בדיוק אותה התקפה שתיארתי קודם. אל תגידו שלא אמרתי.
https://cybercyber.co.il/?p=2784
--
אני מקווה שיהיה טוב 🎗️

טוב, יש עדכון באתר למרות שלאף אחד אין ממש ראש לזה.
פוסט קצר המסביר על כלים חינמיים ואונלייניים לבדיקת נגישות של קבצי PDF. הכלים האלו לא רק יכולים לבדוק אם הקובץ נגיש או לא, אלא גם (במקרה אחד) לתקן בעיות נגישות. כאמור מדובר בכלים המיועדים למשתמשים מזדמנים שיש להם מספר בודד של קבצי PDF לבדיקה ולא לאיזה פייפליין מורכב. באמת שימושי בלא מעט מקרים ותרחישים.
מצטער שאני חופר בנושא, יש תביעות ובלגן ומעט מודעות - יש לכם קבצי PDF באתר? תבדקו אותם ותתעדו את הבדיקה. התיעוד הוא קריטי כדי שתוכלו להחזיר לתוקף משפטי (בארץ או בחו״ל) ערימה של מסמכים ובדיקות וככה הוא ימצא קורבן אחר.
https://internet-israel.com/?p=11030
--
כתבה שלי בדה מרקר על התביעה המעניינת כנגד גוגל וספציפית על מצב גלישה בסתר - או אינקוגניטו. זה סוד די גלוי אבל מצב אינקוגניטו מונע שמירה של מידע על המחשב, זה הכל. לא מונע מעקב ובטח שלא מקנה אנונימיות. בכתבה אני מספר על זה וגם ממליץ על פיירפוקס כמובן שזה הדפדפן המועדף עלי - פרוטיפ - הוא מאפשר תוספים גם על טלפון נייד, תשתמשו בו + ublock origin ותשכחו מפרסומות בדפדפן גם בטלפון הנייד.
https://www.themarker.com/captain-internet/2024-04-08/ty-article/.premium/0000018e-bcfa-d7ee-a39e-fdfe59840000
--
אין לי ראש לחפור יותר בתקווה לבשורות טובות לכולם ולכולן 🎗️

יום לפני פסח, אז מן הסתם אי אפשר להתעמק במאמרים ובפוסטים ובברדק - אז הפוסט היום הוא פוסט חגיגי במיוחד כי הוא בא עם פרק בפודקאסט, אז אפשר להקשיב תוך כדי הבישולים או הניקיונות. הפודקאסט הוא פודקאסט המוקדש לפרונט אנד של אדיר קנדל וניר ארגיל - שם אנחנו מדברים על תשתיות פרונט אנד. מה זה תשתיות? למה גם מפתח בודד צריך אותן? איך מנהלים תשתיות ולמה הן יכולות להשתבש בצורה נוראית. ניסינו לשקף תמונה מלאה של ההצלחות והכשלונות. במיוחד הכשלונות ואני חושב שיצא מעניין ומתאים להאזנה קלילה של ערב ערב חג.
הפוסט: https://internet-israel.com/?p=11037
הפרק: https://open.spotify.com/episode/1juRKtmZ19zUOfNtVXTxLW?si=c78bae7907c34adb
יש גם קהילה בטלגרם (!) לפודקאסט למי שרוצה לשאול ולהמשיך את הדיונים: https://t.me/fedcastil_thegroup
--
קיבלתי השבוע המון פניות על מייל מלחיץ ובעברית טובה (!) שמזהיר שהוא צילם את הקורבן בזמן שהוא גולש באתרים מפוקפקים ומנסה לסחוט אותו. בגלל העברית הטובה יש כאלו שקצת נלחצו ולא היה להם נעים. אז כתבתי על זה והסברתי שאם מקבלים מייל סחיטה זה או אחר עם ארנק ביטקוין שצריך להעביר לו כסף, אפשר וצריך לחפש את כתובת הארנק ב-https://www.chainabuse.com/reports ולראות אם השתמשו בו. הרבה פעמים ניתן לראות שהשתמשו בו בדיוק באותו סקאם ששלחו אותו אליכם. נתתי שם עוד כמה קישורים והמלצות:
https://www.themarker.com/captain-internet/2024-04-17/ty-article/0000018e-ebd2-d95b-afbe-ffd7911b0000
--
ולסיום - אני מרצה ביום רביעי בשעה 20:00 על טולקין. בנוסף להרבה דברים שעשיתי בחיי, הייתי מייסדי עמותת טולקין בישראל - למי שלא מכיר - מחבר שר הטבעות וההוביט. במסגרת הפעילות בעמותה חקרתי, למדתי ולימדתי על היצירות הספרותיות של פרופסור ג׳.ר.ר טולקין. השנה אני מרצה בכנס עולמות, שהוא כנס המוקדש למדע בדיוני ופנטזיה, על התרגומים השונים של טולקין. אם אתם שם, אחרי ההרצאה אני הולך לשתות בירה בשניט ואשמח לומר שלום למי שמכיר. זה הכי כיף בעולם לפגוש קולגות בעולם האמיתי ❤️🙏
--
חג פסח שמח למי שיכול וחוגג ובתקווה לבשורות טובות 🎗️