פוסט קצר על המודול של לירן טל שמאפשר סריקה מהירה של כל אתר לבדיקת ספריות צד לקוח מיושנות שיש בהן חורי אבטחה. המודול משתמש במאגר המידע של סניק. חברה שכתבתי עליה בעבר ואני נהנה להשתמש במוצרים שלה.
וקל מאוד להפעיל אותו, גם בתהליכים אוטומטיים. אל תגידו שלא אמרתי.
https://internet-israel.com/?p=8859

המאמר השבוע הוא פוסט על פיצ׳ר חדש של ES2020 - סוף סוף גם לג׳אווהסקריפט יש יכולת לעבוד עם מספרים גדולים ויש לנו אפילו סוג מידע פרימיטיבי חדש בשם BigInt. מידע, הסברים ודוגמאות פה:
https://internet-israel.com/?p=8864 🐪
וכן, זה לגמרי נכנס במהדורה החדשה של ״ללמוד ג׳אווהסקריפט בעברית״.
--
והנה אייטם מהמם שפרסמתי השבוע ב׳הארץ׳ ושווה לגמרי דיון. פרצת אבטחה שגרמה לי לעצב רב שהתגלתה בהסתדרות המורים. בפרצה הזו, פורץ שהיה מצטייד בכלי ההאקינג החביב ״דפדפן״ בשילוב כלי הדארק ווב הידוע בכינויו ״גוגל״, היה יכול לקבל גישה, בחיפוש פשוט, למספרי תעודת זהות של כעשרים אלף מורים. מי שגילה את זה הוא המתכנת שוהם טל.
ומה אפשר לעשות עם עשרים אלף מספרי מת״זים אתם שואלים? להסתדרות המורים יש אתר הטבות שבו המורים יכולים לעשות קניות ופעולות נוספות. שם המשתמש הוא מספר תעודת הזהות והסיסמה היא.... גם מספר תעודת הזהות 😢 שוהם כתב סקריפט קצר שמראה איך אפשר לבוא ולשתות את הפרטים הנוספים של המורים באופן אוטומטי ולבנות מאגר מידע איכותי ועדכני שיכול לשמש כל תוקף. וכמובן לבצע פעולות באתר ההטבות בשמו של כל מורה.
כתבתי על זה ב׳הארץ׳ ולצערי העורך המרושע, עודד ירון, לא הסכים לתת את הכותרת ״הצלצול הוא בשבילי, פירצת האבטחה היא בשבילכם״.
https://www.haaretz.co.il/captain/software/.premium-1.8191705

תודה עצומה לשוהם שגם היה מספיק סובלני בנצח שלקח לי להוציא את האייטם הזה.

ממש לקראת סוף 2019 וה-TC39 החליטו לפנק עם עדכונים נוספים לג'אווהסקריפט והפעם עדכון נדרש וחשוב שחיכינו לו המון. Optional Chaining. הפיצ'ר הזה מאפשר לי לגשת לתוך תכונות או מתודות מקוננות באובייקט בלי להסתכן בשגיאה. בניגוד לעבר, שבו הייתי צריך לעשות משפטי תנאי כדי להזהר שלא לבקש תכונה של תכונה לא קיימת.
דוגמאות וכו': https://internet-israel.com/?p=8868 🐪

מאמר חדש, גם הוא על פיצ'ר של ES2020 והפעם על אופרטור חדש עם שם מהמם: ES2020 Nullish coalescing Operator
האופרטור הזה "??" הוא אופרטור חשוב מאוד שמסייע לנו לקבוע משתנים דפולטיביים, כמו "||" משודרג בלי התנהגויות מוזרות.

https://internet-israel.com/?p=8870

שני אייטמים חשובים שנראים לי מספיק רלוונטיים כדי להביא אותם לפה. נתחיל?
הראשון הוא אייטם שהחל מכתבה ארוכה של ׳המקום הכי חם בגיהנום׳ באייטם נכתב על מכללה ללימוד מקצועות פיתוח ו-QA שהתנהגה באופן מאוד ברוטלי לתלמידים שלה: תבעה כאלו שכתבו ביקורות שליליות בפייסבוק, תבעה כאלו שהעבירו מיטאפים בחשד ל״העתקה״ והצמידה מכשירי האזנה לתלמידים שיצאו לראיונות עבודה. הכתבה ארוכה אבל מאוד מטרידה.
https://www.ha-makom.co.il/post-tomer-sv-investig/
בעקבות העניין הזה כתבתי אייטם המשכי שמלמד איך אפשר לדעת אם המכללה שמלמדת את מקצועות הפיתוח היא מכללה שלא תעקוץ את התלמידים שלה. יש כמה דרכים והדרך המרכזית היא... לינקדאין. הרשת הזו היא רשת מעולה לבירור על כל גוף או אדם בהייטק. לכל בית ספר שמכבד את עצמו יש דף בלינקדאין ובדף יש Alumni עם רשימת תלמידים שהציבו את המכללה כמקום הלימוד שלהם בלינקדאין. ביחנו את הרשימה - יש בה מעט תלמידים? זה אומר דרשני - חלק גדול מהתלמידים עדיין מחפש עבודה או עובד בתחום לא רלוונטי? כנ״ל.
מעבר לכך - כל מכללה מציגה רשימה ארוכה ונאה של מרצים עם רזומה מפואר. בלינקדאין יש יכולת לבדוק האם באמת הרזומה הזה רלוונטי - ראיתי מקומות שהניסיון המקצועי של ״ראש תחום עם ניסיון בחברה בטחונית״ הוא שנה וחצי כאיש QA באלביט או ניסיון מקצועי של מרצה בכיר שמתמצה בעבודות סטודנטים. רזומה עשיר, רווי המלצות, פרסומים ומידע הוא סימן חיובי. מרצה בכיר שאין לו לינקדאין? חשוד.
כל המידע הזה ועוד נמצא באייטם מורחב בהארץ שלאור חשיבות העניין לא מאחורי חומת תשלום וכולם יכולים לקרוא אותו:
https://www.haaretz.co.il/captain/software/1.8266493
--
אייטם נוסף וחיובי (!!!) קשור דווקא לדליפת מידע שמצאתי באל-על: עשרות אלפי לקוחות שרכשו בפליי₪ביי - הדיוטי פרי המעופף של אל על היו חשופים לכל מי שהיה לו את כלי הפריצה וההאקינג המחוכם ״דפדפן״. שילוב של כמה פרצות איפשר לכל אדם עם תחכום מינימלי לשוטט לו בנחת בכל החשבוניות, עם הפרטים המלאים של הלקוחות. איך? בכתובת החשבונית היה פרמטר מספרי - לצורך העניין משהו כמו elal-duty-free.com/?id=1234 - כל מה שהפורץ המחוכם היה צריך לעשות זה לשנות את ה-id באופן סיסטמטי:
lal-duty-free.com/?id=00001
lal-duty-free.com/?id=00002
עד הסוף של המספרים כדי לקבל את כללל החשבוניות. היה אפשר לכתוב סקריפט קצר שיעשה את זה.
אבל אמרתי חיובי, לא? מה חיובי?
בד״כ היחס שאני מקבל כשאני חושף חולשה כזו בפני החברה (ואני תמיד מגיע לחברה לפני הפרסום כמובן ומוודא סגירה לפני שאני מפרסם) הוא עוין עד עוין מאד. הפעם? ממש ממש לא. החברה הודתה לי, יצרו איתי קשר גורמים טכניים עם שאלות טכניות רבות שהראו על רצינות וניסיון להבין מהיכן בסיס הכשל (ולא רק לסגור את הפרצה ולהגיב באופן שבלוני) והכי חשוב: הודיעו חגיגית על כך שיהיה מקום מסודר באתר להודיע על פרצות כאלו גם מבלי לעבור דרך שירות הלקוחות.
נשמע אלמנטרי? ייתכן. אבל זו פעם ראשונה שאני רואה יחס רציני, מכבד וניסיון לפתור את הבעיה כך שהיא לא תיווצר יותר ואם תיווצר - יהיה מקום להודיע בצורה מסודרת שיוביל ישירות לאנשים שיכולים לטפל בזה.
האייטם בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.8232136

בוקר טוב, שבוע מעולה וחג חנוכה שמח! המאמר האחרון באתר עוסק ב-ES2020. כן. שוב והפעם עם פיצ׳ר חדש, חשוב ומגניב שכדאי מאוד להשתמש בו היום. הפיצ׳ר מסייע לי לנהל פרומיסים מרובים וללא ׳קצרים׳. רגע, מה? כן. אבל כדי לדעת מה זה ׳קצר׳ ולדעת מה ההבדל בין הפיצ׳ר החדש Promise.allSettled לבין שאר הדרכים ואפילו לדבר תורה בסוף (!!!) תצטרכו להכנס לפוסט:
https://internet-israel.com/?p=8883 🐪

זה תמיד מטריף אותי לגלות איך פיצ׳רים שפעם לקח המון זמן וכאב ראש לפתח קיימים out of the box.
המאמר החדש שכתבתי מראה איך בשורה אחת של HTML. אפשר לייצר lazyload לתמונות. וכן, יש דמואים כמובן.
https://internet-israel.com/?p=8888 🐪
--
השבוע יצא ספרי השני: ״ללמוד Node.js בעברית״. הספר מלמד Node.js, שהיא פלטפורמה אולטרא פופולרית שמשתמשים בה בהמון מקומות ושימושית למפתחי בק אנד בג׳אווהסקריפט אבל גם למפתחי קליינט. ספר הוא פרויקט מסיבי ומעייף מאוד - במיוחד העריכה (הטכנית והלשונית). העורכים הטכניים בספר הזה היו בנג׳י גרינבאום וגיל פינק, מהמתכנתים הרציניים ביותר בישראל (בנג׳י הוא מפתח ליבה של Node.js וזה היה משעשע לראות ביקורות שלו על איך שלימדתי פיצ׳רים שהוא ממש פיתח)
אם טרם הצטרפתם לפרויקט - זה הזמן כי ברגע שהספר של ריאקט יוצא, ההצטרפות לפרויקט כשותפים תסגר סופית והפרויקט יהיה זמין למכירה רגילה.
מידע נוסף ופרקי דוגמה:
https://hebdevbook.com

מאמר חדש באתר - על מתודה של מערך בג׳אווהסקריפט שמסתבר שהרבה מאוד מתכנתים לא מכירים וחבל. Array.reduce נראית ונשמעת מפחידה אבל בפועל זו פונקציה אולטרא שימושית במיוחד בהמרות ממערך לאובייקט. זו ההזדמנות לכבד אותה בפוסט. חמש דקות וסגרתי לכם את הפינה:
https://internet-israel.com/?p=8893 🐪
את המאמר הזה כתבתי כחלק מעדכון הספר הדיגיטלי על ג׳אווהסקריפט שהגרסה הפיזית שלו מודפסת ממש עכשיו (!) בעוד כמה ימים אכריז על אירוע ההשקה ויהיה סופר מגניב. חתימות לכולם!!! ❤
--
בגלל פרויקט הספרים - היציאה לאור של הספר הפיזי של ״ללמוד ג׳אווהסקריפט בעברית״ והיציאה לאור הקרבה של הספר ״ללמוד ריאקט בעברית״, אני לא יכול להרצות במיטאפים בקצב שאני רוצה - אבל כש-DDOS - קבוצת המיטאפ של המתכנתים החרדים הזמינה אותי - לא יכולתי לסרב. כידוע הקהילה החרדית היא קהילה שקרובה מאוד לליבי 😊 ב-20.2.2020 אני מרצה במיטאפ שלהם על אבטחת מידע בצד לקוח - עם מידע על דברים שלא מדברים עליהם בד״כ כמו prototype pollution. אני מקווה גם להסביר על איך אפשר לעקוף http only cookie. ואם זה נשמע לכם כמו סינית - זה הזמן להרשם למיטאפ:
https://www.meetup.com/DDOS-DEVELOPERS-IL/events/267424345/

מאמר חדש באתר על Monkey Patching. מה זה, למה צריך את זה, למה לא צריך את זה וכמובן דוגמאות מעשיות בג׳אווהסקריפט. אם שמעתם על המושג הזה ולא ידעתם מה זה, או לחלופין ידעתם מה זה אבל לא ראיתם דוגמה מעשית ״מהשטח״ - חמש דקות קריאה יסגרו לכם את הפינה:
https://internet-israel.com/?p=8897 🐪
--
ואם כבר אני חופר - נושא נוסף ששווה לדבר עליו: SIM swapping. מדובר בשיטת התקפה ממוקדת לגניבת סימים. כאשר תוקפים מתמקדים בנציגי שירות לקוחות של חברות סלולר והתקפה עליהם כדי להשיג את ההרשאות שלהם לממשקים החלפת סימים של סלולרים. אחרי שהשיגו את ההרשאות - הם מצליחים לחטוף את חשבון הטלפון של הקורבן אל הסים שלהם. למה זה חשוב? כי אם לקורבן יש אימות דו שלבי של החשבון שלו - זה הרגע שבו ההגנה הזו נעלמה. אנשים רבים הותקפו בהתקפה ה זו שהיא התקפה ממוקדת אבל יעילה ואפקטיבית.
הלקח: אל תשתמשו באימות דו שלבי בסמסים אלא באפליקציה בלבד. במיוחד במיוחד אם יש לכם נכסים דיגיטליים/ארנקים וירטואליים שמנמנים.
מידע נוסף באייטם שלי בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.8354110
גם דיברתי על זה בפינה השבועית שלי ב-102FM בתוכנית הכלכלית (שווה לשמוע) של רועי כ״ץ למי שמעוניין:
http://102fm.co.il/shows/98?listen=5e15ad689149d326cc5f7a6a&b=2

פוסט חדש, קצר ומעניין מקטגורית הדברים שאני הכי אוהב: ״דברים שפעם לקח לעשות אותם המון זמן ועכשיו אפשר לעשות אותם בשורה וחצי״ - והפעם - fetch - טעינה *מראש* של משאבים באמצעות שורה אחת ב-HTML. פשוט ואלגנטי.
https://internet-israel.com/?p=8775 🐪
--
אני מאוד גאה ומאושר לבשר על צאת הספר הראשון שלי ״ללמוד ג׳אווהסקריפט בעברית״ לאור בדפוס. למי שלא מכיר, מדובר בפרויקט הדסטארט מוצלח שיש לו מטרה אחת: להוציא לאור ספר ללימוד ג׳אווהסקריפט ובע-ב-ר-י-ת. הפרויקט הצליח מאוד (מקום ראשון בקטגורית הספרים של הדסטארט) וזה הזמן לחגוג את ההצלחה (וגם לחלק ספרים לזכאים) - אם השתתפתם בפרויקט - אני ממש אשמח לראות אתכם, ללחוץ את היד, להכיר ולהפגש. אירוע ההשקה הוא ב-26 לינואר, יום ראשון, בשעה 17:00. יהיה סופר מגניב! :)
https://docs.google.com/forms/d/13LQX4BhdDMmGqUt51gh56uh6JkOEqD8EUh3Et4Yz9b8/edit

מאמר חדש על פיצ׳ר שכדאי להכיר - HTTP V2 Push. הפרוטוקול החדש הוא לא עניין של תשתיות וברזלים בלבד. לנו כמפתחי ווב או בוני אתרים ממש קל להשתמש בו. 300 מילה, כמה דיאגרמות וגם אתם תכירו ותוכלו להשתמש בו כדי להרוויח שיפור ביצועים בלא הרבה מאמץ.
https://internet-israel.com/?p=8910 🐪
--
אני אשמח מאוד לפגוש את כל מי שמגיע אל אירוע ההשקה שמתקיים *היום*, שעה 17:00 עד 21:00, הקריה האקדמית אונו, אולם ורד. יש שילוט, יש כיבוד, יש הרצאות מגניבות וכמובן הספר לחלוקה למי שזכאי לו. כולם מוזמנים! 😊
https://docs.google.com/forms/d/13LQX4BhdDMmGqUt51gh56

מאמר חדש שכתבתי על כלי בדיקות ביצועים ממש קל לשימוש שהשתמשתי בו. הרבה בוני אתרים נמנעים מכלים כאלו כי השימוש בכלים מבוססי Node.js נראה מתקדם ומסובך. אבל זה כל כך לא. חמש דקות וגם אתם תוכלו לבדוק ביצועים באתר באופן מקצועי. מעולה גם לבוני אתרים וגם ללקוחות.

https://internet-israel.com/?p=8925 🐪
--
ובנימה אחרת - הדרומיים שבינכם יוכלו לפגוש אותי במיטאפ הבאר-שבעי הכי מגניב שיש. זו השנה השלישית שאני מגיע אליו וזה אחד המיטאפים אם לא ה-. 😊 נמצאים באיזור באר שבע ביום חמישי? יהיה סופר מגניב להפגש. . במיטאפ אני מדבר על Headers מעניינים שחשובים מאוד לאבטחה וגם על דברים אחרים. יהיה משעשע וגם יש סיכוי שתלמדו
https://www.meetup.com/NegevDev/events/268118113/
אם אתם רוצים לראות אותי - זה הזמן :) אם אתם רוצים גם לקבל עותק פיזי של הספר ללמוד ג׳אווהסקריפט בעברית וזכאים לו - זו תהיה הזדמנות מעולה. שלחו לי מייל אל support@hebdevbook.com כדי שאוכל להביא לכם ספר וסוואג :) אם אתם רוצים עותק פיזי ולא הייתם חלק מהפרויקט - אפשר לרכוש אותו פה: http://hebdevbook.com/shop - מבטיח חתימה ובדיחת אבא לכל מי שיבקש :)

אז כפי שכולכם ראיתם ושמעתם גם בהארץ, גם בערוץ 12, גם בכלכליסט, גם בYnet וגם ב-CNN, וושינגטון פוסט, ניו יורק טיימס ובעוד 50,000 אמצעי תקשורת - ספר הבוחרים המלא של ישראל דלף לו כתוצאה מפריצה נועזת שכללה דפדפן ו-view source. איפה? באפליקצית אלקטור. שמשמשת את הליכוד.
פעמיים. פעם אחת לפני שבוע ופעם שניה היום.
אבל אני לא אחפור לכם פה. חפרתי כבר מספיק בכל אמצעי מדיה. מה שאני כן רוצה לחפור עליו זה - למה בעצם אני מאשים את הליכוד ולא רק את חברת אלקטור שהקוד שלה גרם למידע הזה לצאת? מה הליכוד אשם שהוא השתמש בספק קקמייקה כמו חברת אלקטור?
אז זהו - שיש משמעות לאבטחת supply chain. למה? איך עושים את זה? הכל במאמר הזה שכתבתי:
https://internet-israel.com/?p=8952 🐪
אין שם מילה אחת על פוליטיקה כי חלאס. חלאס.
--
השבוע אני מתארח במפגש של DDOS - המתכנתים החרדים שיתקיים בתל אביב. יותר מ-200 מפתחים ומפתחות מגיעים. יהיה סופר מגניב וממש כיף. אל תשכחו לבוא לומר שלום!
https://www.meetup.com/DDOS-DEVELOPERS-IL/events/267424345/ 😊
אני אדבר שם על client side security
--
עדכוני הספר - כל מי שהיה זכאי לספר ״ללמוד ג׳אווהסקריפט״ וגם שילם על משלוח כספר פיזי ושלח לי את כתובתו - יקבל סמס מחברת השילוח. מי שלא שילם על משלוח? אפשר לקחת את הספר בתיאום מראש מהסיבים 25 פ״ת (לא צריך למצוא חניה, יורידו לכם את הספר - בגלל זה התיאום מראש) או לבוא ל-DDOS ולקחת :) גם פה בתיאום מראש (אני לא מסתובב עם קונטיינר בכיס :) ) במייל: ops@hebdevbook.com

בוקר מעולה! עדכון חדש באתר והפעם על.... CSS Keylogger. לפני כשבועיים או שלושה הייתי במיטאפ בבאר שבע, שם דיברתי על הדרים. אני מת על המיטאפים שיש בבאר שבע ומאוד שמח להגיע לשם. פגשתי שם את אלעד שכטר שמנהל את קבוצת CSS Masters הפופולרית והזכרתי, כבדרך אגב, שאפשר לעשות Keylogger - כלומר מקליט הקלדות, עם CSS בלבד. להפתעתי אלעד לא הכיר את הטכניקה הזו - אז הבטחתי לו מאמר. אז הנה - איך עם הזרקת CSS תוקף יכול ליצור keylogger לשדות שונים באתר? זה לא וקטור התקפה ישים במיוחד, אבל הוא ממש ממש ממש מלהיב. הנה, גם עם CSS אפשר לעשות צרות ובושות.
https://internet-israel.com/?p=8936 🐪
--
אחרי שהתבנית הקודמת קצת נרקבה, עידכנתי את התבנית החדשה ושילבתי את אלמנטור. אני משתמש במוצר שלהם גם באתר הנוכחי וגם באתר של הספרים ומאוד מאוד מאוד מאוד מרוצה. זה גם הזמן לומר להם מברוק על גיוס של 15 מיליון דולר. לגמרי מגיע להם ולגמרי חברה שתגיע רחוק. בלי קשר לעובדה שהם איפשרו בפועל את הוצאת ספרי Node.js וריאקט (שיצא ממש לפני שבוע! https://hebdevbook.com ).
--
ביום שלישי, כך הזכירו לי, אני בכנס Node.js TLV! מי שמגיע - שיגיד שלום 😊 מי שמגיע לו ספר פיזי - שיתאם איתי ❤
--
כתבה שכתבתי באתר הארץ על הדליפה השלישית של מאגר הבוחרים ושוב בליכוד. למה זה קורה בליכוד? האם האקרים שונאי נתניהו (?) מתקיפים דווקא את הליכוד? התשובה היא לא. זה בגלל חוק הסייבר-נקרופיליה. כלומר איפה שיש גופה אחת יש הרבה גופות. מה זה אומר? זה אומר שכמעט בכל ארגון יש פרצות ודליפות אבל גם מהות הדליפה וגם התגובה של הארגון קובעות אם יש שם המון או קצת. כשמדווחים על פרצה אחת בתוכנה והלקוח המרכזי שלה מנפנף את הדיווח וממשיך להשתמש בתוכנה - זה אומר שהארגון הזה לא רציני וזה מעודד אנשים לחשוב שיש שם חורים ובושות נוספות ואנשים יבואו לחטט. זה בדיוק מה שקרה עם הליכוד. הנה הכתבה בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.8565782
זה לקח חשוב לכולם - מצאו אצלכם חולשה או פירצה? תגיבו ברצינות. הנה דוגמה לתגובה לחור אבטחה שנמצא *אצלי*. כאמור כמו שאין קוד בלי באגים, אין אתר בלי חולשות אבטחה ונמדדים על ההתייחסות הרבה פעמים יותר מטיב החולשה.
https://twitter.com/barzik/status/1228746559438938112

יאללה, סוף לחפירה 😊

פורים שמח! הרבה אירועי אבטחת מידע נלוזים. ראשית, ביום שישי בשתיים בלילה, חשבון הטוויטר של השר בנט, שר הבטחון של ישראל - נפרץ. התוקפים החלו להעלות את Free Palestine הקלאסי ואז סטטוסים אובססיביים על טורקיה. קיבלתי הודעה ממש פה בטלגרם וזינקתי למחשב. אני ואחרים דיווחנו לטוויטר והם הסירו את הסטטוסים הבעייתיים והחזירו את החשבון לבעליו.
זה מדאיג, החשבון הוא לא חשבון רשמי, אבל פריצה כזו מראה על התנהלות בעייתית במרחב הדיגיטלי - מחזור ססמאות ואי שימוש באימות דו שלבי. (שכנראה היה בחשבון וגם הוסר). גם תגובת דובר השר היתה משונה. כל הפרטים וכו' וגם לקח לכולם בפוסט החדש שהעליתי בשתיים בלילה אבל מסיבות מובנות לא פרסמתי פה בזמן אמת כי אני לא מפרסם פה בשעות משונות ובטח ובטח שלא בימי מנוחה.
https://internet-israel.com/?p=8991 🐪
--
וגילוי נוסף באדיבות חוקר האבטחה דודי קרצ'מר שעבד איתי על אייטם מהמם. מכירים את אפליקצית הקורונה Corona-App של משרד הבריאות? הם השיקו אותה בשיא המהירות (שזה יפה) וכל מי שמתקין נדרש להכניס פרטים אישיים, חלקם רגישים. האפליקציה מתקשרת עם שרת מרכזי ועם פרמטר שנקרא userID שהוא שם המשתמש. כשאני רוצה לראות את הפרטים שלי, האפליקציה שולחת בקשה עם ה-userID שלי. למשל: kor-app[.]com/get-details/userid=1234 במידה והזהות של המשתמש היא 1234. את הכתובת הזו ניתן להדביק בדפדפן ולראות ממש פלט נתונים קריא.
מה קורה אם אני משנה את המספר ל-1235? או 1236? היינו מצפים לקבל "כניסה אסורה, קישטה ילד טיפש". בפועל קיבלתי את המידע של משתמש 1235, או 1236. 😭
מה עושה הפורץ ה... אהם.. מתוחכם? כותב סקריפט בן 4 שורות שקוצר בהנאה את המידע הזה. ועשיתי את זה כמובן מ-IP של מדינה עוינת. האם מישהו חסם אותי? בוודאי שלא. אחרי 1,000 תוצאות עצרתי הכל והלכתי לדווח.
הייתי יכול לסכם עוד יום רגיל בבוראטלנד - אבל יש גם חדשות טובות! במקום לנפנף אותי ולומר "בחבחבחבח חברתנו מעסיקה את מיטב המוחות" או "בחבחבחב למי אכפת אם מתפרסמים פרטים של 74,853 אזרחים אי אפשר לעשות כלום עם זה חחחח פקקטה". מסתבר שדווקא במשרד הבריאות ובחברה המפתחת *כן* עשו משהו עם זה. תאמינו או לא! פנה אלי אחד המומחים הגדולים בישראל - עומרי שגב מויאל. החברה שכרה אותו לאחר הגילוי כדי שיעשה סדר. וזה? זה לא רע. כי במקום ללרלר איזו תגובה מקושקשת - זו הוכחה שלוקחים אבטחה ברצינות. עומרי שיצר עמי קשר מייד וביקש אינספור פרטים טכניים, עדכן אותי בתהליך הפתרון עד לרגע שבו יכולתי לפרסם.
כמובן שמוטב להעסיק אדם כזה *לפני* הפריצה. במהלך הפיתוח, גם אם זה פיתוח מהיר. אבל הי! גם זו התקדמות!
אז יש נקודת אור בכל הסיפור הזה. כן, אנחנו עדיין נראים כמו רפובליקת יגשמש רק בגרסה הפחות מצחיקה, הרשויות שלנו לא מתפקדות (תגובת הרשות להגנת פרטיות: בחבחבחבח) ומאגרי מידע מתגוללים פה ברחובות כמאפים דאשתקד. אבל יש התקדמות.
לאייטם שלי בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.8638281#commentsSection
--
ופרגון לקולגה עידן בן-טובים בגיקטיים על דיווח נאה על חולשה בעייתית באפליקציות האימות הדו שלבי של גוגל ומיקרוסופט. כרגע אין מה להכנס ללחץ אבל בטח מעלה סימני שאלה ואזהרה. אחלה של קריאה לפורים:
https://www.geektime.co.il/google-microsoft-authenticator-cerberus-exploit/
פורים שמח שיהיה! ואם אתם בבידוד בבית, תלמדו ג'אווהסקריפט :)

המדינה קורסת? הכל מתמוטט ובוער? העדכונים והפוסטים הטכניים שלי באינטרנט ישראל ממשיכים כרגיל. לא על הקורונה ולא על המצב אלא עדכון פשוט על SRI - אימות קבצי ג'אווהסקריפט באתר (או כל מדאב אחר) שנטענים משרת צד שלישי. שימושי וטוב לדעת לכל מפתח ווב שהוא.

https://internet-israel.com/?p=8932 🐪
--
המון אנשים, גם אני, מודאגים מההתבטאות של רה"מ נתניהו במסיבת העיתונאים אתמול על ענייני המעקב. - למי שפספס - אתמול בכמה דקות נתניהו ציין שהשב"כ נכנס לתמונה ויופעלו אמצעי מעקב אלקטרוניים, שעד כה היו שמורים לפעילות נגד ארגוני טרור, כנגד אזרחים. ההתבטאות הזו, כמו עוד כמה אחרות, היתה מאוד לא ברורה. המצב מאוד מלחיץ ואין את מי לשאול האם מדובר בהפעלת אמצעים טכנולוגיים מתקדמים על כלל אזרחי המדינה? רק כאלו שצריכים להכנס לבידוד? רק חולים? למה לא להסתפק באפליקצית מעקב או אישור וולנטרי להכנס למעקב כזה? המון שאלות ואפס תשובות. כרגע השב"כ הבהיר שאין מעקב אחר כל האזרחים אבל זה עדיין לא מספיק. *אעדכן פה אם יהיה מידע רלוונטי*. בינתיים - אין הרבה מה לעשות. 😞

המון אנשים תקועים בבית. חלק בחל״ת, חלק פוטרו וחלק בבידוד. זה מבאס מאוד כי גם אי אפשר לחפש עבודה והמשק נכנס למיתון. חלק מהאנשים חושבים ללמוד תכנות או בניית אתרים או כל דבר מועיל אחר. אבל... מאיפה להתחיל? יש המון מידע ברשת אבל לא ברור מאיפה מתחילים ומה לומדים. ללמוד HTML? אולי פייתון? מה עם וורדפרס? שווה ללמוד?
כתבתי מאמר שבו אני מסביר לכל מי שתקוע בבית ונמאס לו מנטפליקס, איך ומאיפה להתחיל בתוספת שלל קישורים, מידע והסברים. ניסיתי שזה יהיה מקיף ככל האפשר.
https://internet-israel.com/?p=8998 🐪
--
אני מאמין שרוב אלו שנמצאים בערוץ הזה הם כבר טכנולוגיים ומבינים מספיק, אבל אני כן מפרסם כאן כי אני ובטח גם אתם מקבלים המון המון שאלות על ״מה המקום הכי טוב ללמוד X״ ו״מה אני צריך ללמוד״. זה עונה על כל השאלות. אם יש לכם הערות או מקורות נוספים שפספסתי - אפשר ורצוי להגיב שם :)

מאמר חדש שכתבתי, ולא באתר שלי אלא בגיקטיים. גם הוא על השתדרגות ושיפור מקצועי לאנשי מקצוע שתוקעים בבית. בניגוד למאמר הקודם שמיועד לחסרי רקע.
על מתכנתים *כרגע* משבר הקורונה לא משפיע. רובנו עובדים מהבית. אבל אווירת הלחץ והחרדה והחשש הכלכלי בוודאי שמשפיעה ומי שחושב שזה לא יגיע אלינו - טועה ובענק.
עברתי שני מיתונים גדולים בחיים שלי. זה של 2008 וזה של 2000 (יאפ, אני ממש זקן) והדרך הכי טובה להלחם בחשש ובחרדה זה להשתפר מבחינה תכנותית ומקצועית וללמוד כמה שיותר. בין אם אתם מתכנתים, אנשי Devops, אבט״מ, support engineers או אוטומציה.
הסגר המתמשך נותן לנו הזדמנות פז ללמוד. גם אם עובדים מהבית - מתפנה מלא מלא זמן. אי אפשר לצאת, לא מתבזבז זמן על נסיעות, פגישות, קפה עם חברים לעבודה. אז במקום לראות שוב סדרה בנטפליקס - אפשר (לא חובה כמובן) להקדיש זמן למקצועיות וללמידה - שוב, רק מי שיכול ורוצה - אבל... לומר שצריך ללמוד זה קל. איך מתחילים ללמוד?

במאמר הזה שכתבתי והתפרסם ב Geektime גיקטיים - אני מפרסם הסברים, קישורים ומידע למתכנתים/אנשים טכניים שלומדים מהבית.

https://www.geektime.co.il/learn-code-during-corona
--
אתמול פרסמתי גילוי משעשע על השר אמיר אוחנה (שר המשפטים לכל הבורים) ועל חשבון הטלגרם שלו. מסתבר שהכניסו אותו (מבלי ידיעתו, כך לפי הדובר) לקבוצות של סחר בסמים. טוב, מעבר לגיחי-גיחי - זה מעורר שאלות על אבטחת המידע של הנכסים הדיגיטליים של השר ושל פוליטיקאים אחרים.
כתבתי על זה בהארץ:
https://www.haaretz.co.il/captain/net/.premium-1.8696788
כיוון שכולנו בטלגרם - זה הזמן להכנס להגדרות (דרך הסלולרי, לא דרך הווב) ולמנוע מאנשים שהם לא באנשי הקשר שלכם להוסיף אתכם לקבוצות. זה הזמן גם לשנות הגדרות אבטחה אחרות: להוסיף אימות דו שלבי, למנוע מאנשים לראות את הסטטוס שלכם ואת הטלפון שלכם. תשקיעו באבטחה שלכם כמה שניות.

בוקר טוב לכולם, אתמול בשעה שמונה יצאה אפליקצית ׳מגן׳ של משרד הבריאות. יש לי כמה מילים לומר על זה אבל לא רציתי לשלוח הודעה בתשע וחצי בערב כי התחייבתי פומבית שאני שולח הודעות בערוץ הזה רק בשעות נורמליות ובימי עבודה ולא ביום שישי בשתיים בבוקר :)
האפליקציה מורידה את המידע על מיקומי חולי הקורונה, משווה למיקום הידוע שלכם לפי ההיסטוריה של המכשיר ואם יש הצלבה - היא מודיעה לכם. כל זה ללא העלאת המידע על המיקום שלכם לאף מקום ושמירת פרטיות מקסימלית.
לאור המוניטין הבעייתי של הממשלה, רבים שואלים - האם האפליקציה הזו בטוחה? האם היא שומרת על המידע ולא מדליפה אותו לכל האקר חמוש בדפדפן?
אמ;לק: כן. לדעתי הצנועה בטוח והתקנתי.
ועכשיו החפירות:
אני כל כך שמח לבשר לכם שמשרד הבריאות עשו את הכל הפעם... כמו שצריך! זה כל כך כיף לפרגן כשמגיע.
הדבר הראשון הטוב שהם עשו זה לבחור במומחי אבטחה מהשורה הראשונה שיבדקו את הקוד: מהארכיטקטורה ועד המימוש. לא, לא ״מיטב המומחים״ בלי לציין את השם. אשכרה שמות של אנשים מוכרים ומובילים בתחומם שהם באמת מקצוענים והסכימו לשים את השם שלהם על התהליך שהאפליקציה עברה: תומר זית, גיא ברנהרט-מגן, עידו נאור, עמרי שגב-מויאל וענבר רז הם שמות שמוכרים מאוד בתעשיה וכל אחד יכול לחפש אותם בלינקדין ולראות ולא רק שהם חתומים על זה. הם יבדקו כל גרסה וגרסה. מומחה ולוחם הפרטיות פרופסור בירנהק גם הוא שולב בהתייעצות סביב מבנה האפליקציה.
הדבר השני שהם עשו זה לפתוח את האפליקציה בקוד פתוח. בקישור הזה בגיטהאב: https://github.com/MohGovIL/hamagen-react-native מופיע כל קוד האפליקציה. זה אומר כמה דברים: שאפשר להסתכל על הקוד ולחפש פרצות אבטחה ולהודיע עליהן או אפילו לכתוב להן ישר פתרון, שאפשר לדווח על באגים ולפתור באגים והכל בשקיפות מלאה. יש יתרון לקוד פתוח וחסרון לקוד פתוח. החסרון הוא שרואי את הקוד, אז אנשים רעים יכולים לנצל אותו. היתרון הוא שרואים את הקוד ואנשים טובים יכולים להתריע על בעיות. כיוון שגם ככה אנשים רעים יכולים לעשות הנדסה לאחור (שלא חוקית בישראל! אז אנשים טובים לא יכולים לעשות אותה) אז החסרון של קוד פתוח הוא בטל בשישים במקרה הזה. אפשר לראות כבר עכשיו איך אנשים פותחים טיקטים על נושאי אבטחה והם נפתרים. זה מהמם!
הדבר השלישי הוא לבחור בסטאק טכנולוגי טוב - ריאקט נייטיב. אני מת על ריאקט, זה לא סוד. אבל גם חובבי הנייטיב או האנגולר/איוניק יודו שזו בחירה בהחלט לגיטימית.

כתבתי על כך בהרחבה ב״הארץ״ (פתוח לכולם) : https://www.haaretz.co.il/captain/software/1.8700078

באפל:
https://itunes.apple.com/us/app/id1503224314?ls=1&mt=8
באנדרואיד
https://play.google.com/store/apps/details?id=com.hamagen

ועוד הערה קטנה - אני רק ממליץ על ההתקנה, לא פיתחתי אותה או משהו כזה... אם יש בעיות - אפשר לפתוח להם טיקט בגיטהאב.