העדכון היום מובא בחסות 'האקינג דה לה שמאטע'.
תדמיינו לעצמכם שאתם מתכנתים מנוסים, לא ממש אנשי אבטחת מידע אבל בכל זאת מבינים משהו, אפשר לומר. והזהרתם, אמרתם, התרעתם, צעקתם, ייללתם ואפילו בכיתם על איזשהו סיכון אבטחה מג'ורי אבל מנהלי ה... פיתוח (אפשר לקרוא לזה ככה?) שפניתם אליהם, בחוכמתם האינסופית, זלזלו וביטלו? אמרו שזה "איזוטרי" ואתם היסטריים ובכיינים ומחפשים צומי?
ואז זה קורה ומיליון דפים באתרים מרכזיים בארץ מתרסקים להם. אנונימוס מתים מצחוק על "אימפריית הסייבר".
הייתי בטוח שאני אשמח יותר, אבל האמת היא שזה היה עצוב.
במשך שנים אני ורבים רבים אחרים צועקים על שני דברים: הראשון הוא לא להשתמש בספריות צד שלישי בלי CSP ו-hash. השני הוא לא להשתמש ב-HTTPS בלי HSTS. ומה אומרים לי? שטויות. אז מסתבר שפורץ אחד חביב מאנונימוס לא חשב שזה שטויות, הרעיל את ה-DNS של תוסף נגישות בשם nagich שמאות ואלפי אתרים משתמשים בו והוריד מיליון דפים. האמת? יצאנו בזול, מאוד בזול.
את הכל ראיתי בשידור חי הודות ליובל אדם, אקטיביסט ומתכנת שאתמול צייץ שאתר Ynet הושחת. אני לא ראיתי והחלנו ביחד לברר את העניין. מהר מאוד הבנו שהעיכובים היו בגלל DNS propagation וזה רק עניין של זמן עד שכולם יראו את ההשחתה (מה שקרה לבסוף). רצנו בבהילות למערך הסייבר (לא רק אנחנו בוודאות) והם החלו לטפל בזה. מן הסתם זה לקח זמן אבל פה (שוב) מגיעה להם מילה טובה על המענה הסופר מהיר.
אז הנה הפוסט שלי בנושא שמבהיר ומסביר:
https://internet-israel.com/?p=8502 🐪
תדמיינו לעצמכם שאתם מתכנתים מנוסים, לא ממש אנשי אבטחת מידע אבל בכל זאת מבינים משהו, אפשר לומר. והזהרתם, אמרתם, התרעתם, צעקתם, ייללתם ואפילו בכיתם על איזשהו סיכון אבטחה מג'ורי אבל מנהלי ה... פיתוח (אפשר לקרוא לזה ככה?) שפניתם אליהם, בחוכמתם האינסופית, זלזלו וביטלו? אמרו שזה "איזוטרי" ואתם היסטריים ובכיינים ומחפשים צומי?
ואז זה קורה ומיליון דפים באתרים מרכזיים בארץ מתרסקים להם. אנונימוס מתים מצחוק על "אימפריית הסייבר".
הייתי בטוח שאני אשמח יותר, אבל האמת היא שזה היה עצוב.
במשך שנים אני ורבים רבים אחרים צועקים על שני דברים: הראשון הוא לא להשתמש בספריות צד שלישי בלי CSP ו-hash. השני הוא לא להשתמש ב-HTTPS בלי HSTS. ומה אומרים לי? שטויות. אז מסתבר שפורץ אחד חביב מאנונימוס לא חשב שזה שטויות, הרעיל את ה-DNS של תוסף נגישות בשם nagich שמאות ואלפי אתרים משתמשים בו והוריד מיליון דפים. האמת? יצאנו בזול, מאוד בזול.
את הכל ראיתי בשידור חי הודות ליובל אדם, אקטיביסט ומתכנת שאתמול צייץ שאתר Ynet הושחת. אני לא ראיתי והחלנו ביחד לברר את העניין. מהר מאוד הבנו שהעיכובים היו בגלל DNS propagation וזה רק עניין של זמן עד שכולם יראו את ההשחתה (מה שקרה לבסוף). רצנו בבהילות למערך הסייבר (לא רק אנחנו בוודאות) והם החלו לטפל בזה. מן הסתם זה לקח זמן אבל פה (שוב) מגיעה להם מילה טובה על המענה הסופר מהיר.
אז הנה הפוסט שלי בנושא שמבהיר ומסביר:
https://internet-israel.com/?p=8502 🐪
אינטרנט ישראל
אנונימוס הצליחו להשחית כמיליון דפים ישראלים
רשלנות מהממת איפשרה לתוקף יחיד, בלי הרבה מאמץ, להוריד חצי מהרשת הישראלית על הברכיים
העדכון היום הוא מאמר על... נו טוב, אתם יודעים: בדיקות אוטומטיות! בריאקט עם Jest! או יותר נכון: איך לדבג אותן (יש כמה דרכים).
אני אמשוך ואחפור ואספר לכם שמבחינתי בדיקות אוטומטיות הן הדבר החשוב ביותר בכל תהליך ה-CI ומהניסיון שלי? דבר שמונע הכי הרבה בעיות אינטגרציה וריגרסיות.
אם רוצים מוצר איכותי, גמיש אבל בלי תקלות ובאיכות יוצאת דופן? זו הדרך. וכן - חברות שמקפידות על דברים כאלו מקפידות גם על האבטחה ומתכנתים שיודעים לעשות דברים כאלו הם יותר מבוקשים. אז כדאי באמת לקרוא, ללמוד ולנסות. זה באמת קל! :)
https://internet-israel.com/?p=8492
אני אמשוך ואחפור ואספר לכם שמבחינתי בדיקות אוטומטיות הן הדבר החשוב ביותר בכל תהליך ה-CI ומהניסיון שלי? דבר שמונע הכי הרבה בעיות אינטגרציה וריגרסיות.
אם רוצים מוצר איכותי, גמיש אבל בלי תקלות ובאיכות יוצאת דופן? זו הדרך. וכן - חברות שמקפידות על דברים כאלו מקפידות גם על האבטחה ומתכנתים שיודעים לעשות דברים כאלו הם יותר מבוקשים. אז כדאי באמת לקרוא, ללמוד ולנסות. זה באמת קל! :)
https://internet-israel.com/?p=8492
אינטרנט ישראל
דיבאגינג של בדיקות בריאקט
הבדיקה נשברת? הקומפוננטה לא עובדת? כך מבצעים דיבאגינג
אם יצא לכם לפספס - משטרת ישראל יצאה במבצע נגד טלגרס ומעצרים מתוקשרים כ"פרשת סייבר" + מעורבות של פייסבוק בסיפור שסייעה למשטרה במידע על הסוחרים.
מה שכמובן גרם להרבה חרדות ושאלות - האם משטרת ישראל יכולה לשבור את ההצפנה של טלגרם? האם פייסבוק יכולה להאזין לשיחות בווטסאפ?
אחרי השאלה ה-10 בערך ששאלו אותי נשבר לי וכתבתי מאמר קצר (ותיאורטי) על זה.
הכתבה בכלכליסט על טלגרס וכו':
https://www.calcalist.co.il/internet/articles/0,7340,L-3758161,00.html
המאמר שלי על האם פייסבוק יכולה להאזין לכם בווטסאפ:
https://internet-israel.com/?p=8523 🐪
מה שכמובן גרם להרבה חרדות ושאלות - האם משטרת ישראל יכולה לשבור את ההצפנה של טלגרם? האם פייסבוק יכולה להאזין לשיחות בווטסאפ?
אחרי השאלה ה-10 בערך ששאלו אותי נשבר לי וכתבתי מאמר קצר (ותיאורטי) על זה.
הכתבה בכלכליסט על טלגרס וכו':
https://www.calcalist.co.il/internet/articles/0,7340,L-3758161,00.html
המאמר שלי על האם פייסבוק יכולה להאזין לכם בווטסאפ:
https://internet-israel.com/?p=8523 🐪
כלכליסט - www.calcalist.co.il
פרשת טלגראס: המשטרה לא פיצחה את הצפנת האפליקציה
דיווחים שונים בתקשורת העלו טענות בדבר פיצוח ההצפנה של אפליקציית הצ'ט הפופולרית. עם זאת מומחים מסבירים שאין למשטרה יכולות כאלה ושהן בכלל לא נדרשו לה במסגרת החקירה. כמו כן, נודע שפייסבוק סייעה במבצע הפלת רשת הסמים
כמה עדכונים מעניינים:
הראשון הוא המאמר הטכני הקבוע של יום ראשון ובו אני סוף סוף כותב על התקנים החדשים שיצאו במסגרת ES2019. במאמר אני מתייחס ל flatMap החדש שיש בג׳אווהסקריפט שהוא לא מהפיכה גדולה, אבל מאפשר לנו לכתוב קוד אלגנטי יותר. אם אתם מתכנתי ג׳אווהסקריפט זה הזמן להכנס ולקרוא עליו! יש המון דוגמאות ודוגמאות חיות כמיטב המסורת:
https://internet-israel.com/?p=8538 🐪
בין אם אתם מתכנתי ג׳אווהסקריפט מנוסים ובין אם אתם לא, בטח תשמחו לדעת שבשבוע הבא יצא סוף סוף קמפיין מימון לספר החדש *בעברית* על השפה שכתבתי. אני מתרגש ברמות.
עוד בלגן שיש עכשיו ברשתות הוא הסיפור המוזר על הפריצה לטלפון של בני גנץ. כתבתי על כך ל׳הארץ׳ אייטם ארוך וחופר (אני לא מפסיד הזדמנות לחפור) על איך פורצים לטלפונים ניידים. כי כשאומרים ׳פריצה לטלפון׳ למוגלג זה או אחר הוא חושב שמדובר במזימה ברמת תחכום של חייזרים שהרבה פעמים בפועל זה כמה אינדונזים שעושים פישינג.
יש כמה סוגי פרצות של סלולריים (אני מעתיק עכשיו קצת מהטוויטר, תסלחו לי) :
הראשונה והפשוטה ביותר היא פריצה לחשבון התמונות. נו, פישינג כללי ופשוט כזה. הרי אם צילמנו תמונה, סביר להניח שהיא תעלה לחשבון תמונות מקוון זה או אחר.ואז אפשר להשיג גישה אליו באמצעות גניבת שם משתמש וסיסמה. זה מה שעשו למשל בפריצה לפני כמה שנים לחשבונות של מגוון שחקניות הוליוודיות.
מה הנזק? אם צילמת תמונות עירום? עצום. אם לא? סתם מביך ולא נעים.
סוג שני של פרצות הוא שכנוע של הקורבן להתקין אפליקציה שלא דרך חנות האפליקציות או אפליקציה מעוטת הורדות בחנות האפליקציות שיש בה קוד זדוני. בדרך כלל העתק של תוכנה פופולרית זו או אחרת. איך מתגוננים מפני זה? פשוט מורידים אך ורק תוכנות פופולריות מחנות האפליקציות *בלבד* ולא להוריד תוכנות שיש להם 4 מדרגים בלחץ. ובכלל לעשות סדר בתוכנות זה רעיון טוב. גם מבחינת בטריה וגם מבחינת בטיחות. יש אפליקציה שוואלה, כבר לא משתמשים בה? לפח.
סוג שלישי של פרצות הוא השתלת קוד זדוני באפליקציה פופולרית. ראינו פירצה כזו כאשר תקפו את Copay באמצעות קוד צד שלישי. זו פרצה מחוכמת שקשה להתגונן מפניה. הדרך היחידה להתגונן היא לשים לב להרשאות שאנו נותנים לאפליקציות ולשלול מאפליקציות שונות גישה שהן ממש לא צריכות. זה קל וכתבתי על זה כבר מיליון פעם.
הסוג האחרון הוא באמת סייבר-סייברי. ניצול של פרצות במערכת ההפעלה כדי להשתיל לקורבן קוד זדוני בטלפון ללא ידיעתו. אלו פרצות שלא עושים אותן לכל אחד אלא למטרות איכותיות (מטרות זהב) ומי שמוציא אותן לפועל הן סוכניות מודיעין ברמה גבוהה או חברות מסחריות מתוחכמות. אין דרך להתגונן מפני התקפות כאלו, כי הן משתמשות בפרצות 0day (פרצות לא מוכרות ליצרניות מערכות ההפעלה/טלפונים). מצד שני? אם למישהו יש את הפירצה הזו הוא לא ישתמש בה יותר מדי כי אז יעלו עליה - זה שמור למטרות איכות.
מה מטרות איכות עושות? מקבלות הגנה מסוכנות המודיעין של המדינה שלהם ואלו כבר מתקינות תוכנות הגנה מתקדמות יותר, תוכנות ניטור, מספקות טלפון מוקשח וכו׳ וכו׳. למה לא עשו את זה במקרה של גנץ?
¯\_(ツ)_/¯
זה בגדול האייטם - אפשר לקרוא אותו פה:
https://www.haaretz.co.il/captain/software/.premium-1.7024043
המון תודה לים מסיקה שעשה לי review טכני! אני ממליץ על ערוץ הטלגרם שלו שהוא מאוד מגניב וגם הוא, לא מפגיז בהודעות. שווה בדיקה:
https://t.me/shiftech
הראשון הוא המאמר הטכני הקבוע של יום ראשון ובו אני סוף סוף כותב על התקנים החדשים שיצאו במסגרת ES2019. במאמר אני מתייחס ל flatMap החדש שיש בג׳אווהסקריפט שהוא לא מהפיכה גדולה, אבל מאפשר לנו לכתוב קוד אלגנטי יותר. אם אתם מתכנתי ג׳אווהסקריפט זה הזמן להכנס ולקרוא עליו! יש המון דוגמאות ודוגמאות חיות כמיטב המסורת:
https://internet-israel.com/?p=8538 🐪
בין אם אתם מתכנתי ג׳אווהסקריפט מנוסים ובין אם אתם לא, בטח תשמחו לדעת שבשבוע הבא יצא סוף סוף קמפיין מימון לספר החדש *בעברית* על השפה שכתבתי. אני מתרגש ברמות.
עוד בלגן שיש עכשיו ברשתות הוא הסיפור המוזר על הפריצה לטלפון של בני גנץ. כתבתי על כך ל׳הארץ׳ אייטם ארוך וחופר (אני לא מפסיד הזדמנות לחפור) על איך פורצים לטלפונים ניידים. כי כשאומרים ׳פריצה לטלפון׳ למוגלג זה או אחר הוא חושב שמדובר במזימה ברמת תחכום של חייזרים שהרבה פעמים בפועל זה כמה אינדונזים שעושים פישינג.
יש כמה סוגי פרצות של סלולריים (אני מעתיק עכשיו קצת מהטוויטר, תסלחו לי) :
הראשונה והפשוטה ביותר היא פריצה לחשבון התמונות. נו, פישינג כללי ופשוט כזה. הרי אם צילמנו תמונה, סביר להניח שהיא תעלה לחשבון תמונות מקוון זה או אחר.ואז אפשר להשיג גישה אליו באמצעות גניבת שם משתמש וסיסמה. זה מה שעשו למשל בפריצה לפני כמה שנים לחשבונות של מגוון שחקניות הוליוודיות.
מה הנזק? אם צילמת תמונות עירום? עצום. אם לא? סתם מביך ולא נעים.
סוג שני של פרצות הוא שכנוע של הקורבן להתקין אפליקציה שלא דרך חנות האפליקציות או אפליקציה מעוטת הורדות בחנות האפליקציות שיש בה קוד זדוני. בדרך כלל העתק של תוכנה פופולרית זו או אחרת. איך מתגוננים מפני זה? פשוט מורידים אך ורק תוכנות פופולריות מחנות האפליקציות *בלבד* ולא להוריד תוכנות שיש להם 4 מדרגים בלחץ. ובכלל לעשות סדר בתוכנות זה רעיון טוב. גם מבחינת בטריה וגם מבחינת בטיחות. יש אפליקציה שוואלה, כבר לא משתמשים בה? לפח.
סוג שלישי של פרצות הוא השתלת קוד זדוני באפליקציה פופולרית. ראינו פירצה כזו כאשר תקפו את Copay באמצעות קוד צד שלישי. זו פרצה מחוכמת שקשה להתגונן מפניה. הדרך היחידה להתגונן היא לשים לב להרשאות שאנו נותנים לאפליקציות ולשלול מאפליקציות שונות גישה שהן ממש לא צריכות. זה קל וכתבתי על זה כבר מיליון פעם.
הסוג האחרון הוא באמת סייבר-סייברי. ניצול של פרצות במערכת ההפעלה כדי להשתיל לקורבן קוד זדוני בטלפון ללא ידיעתו. אלו פרצות שלא עושים אותן לכל אחד אלא למטרות איכותיות (מטרות זהב) ומי שמוציא אותן לפועל הן סוכניות מודיעין ברמה גבוהה או חברות מסחריות מתוחכמות. אין דרך להתגונן מפני התקפות כאלו, כי הן משתמשות בפרצות 0day (פרצות לא מוכרות ליצרניות מערכות ההפעלה/טלפונים). מצד שני? אם למישהו יש את הפירצה הזו הוא לא ישתמש בה יותר מדי כי אז יעלו עליה - זה שמור למטרות איכות.
מה מטרות איכות עושות? מקבלות הגנה מסוכנות המודיעין של המדינה שלהם ואלו כבר מתקינות תוכנות הגנה מתקדמות יותר, תוכנות ניטור, מספקות טלפון מוקשח וכו׳ וכו׳. למה לא עשו את זה במקרה של גנץ?
¯\_(ツ)_/¯
זה בגדול האייטם - אפשר לקרוא אותו פה:
https://www.haaretz.co.il/captain/software/.premium-1.7024043
המון תודה לים מסיקה שעשה לי review טכני! אני ממליץ על ערוץ הטלגרם שלו שהוא מאוד מגניב וגם הוא, לא מפגיז בהודעות. שווה בדיקה:
https://t.me/shiftech
אינטרנט ישראל
ES2019 – שימוש ב flatMap | אינטרנט ישראל
flatmap היא דרך מעולה לעשות מוטציה למערכים וגם לפלטר אותם בג'אווהסקריפט
שכחתי לעדכן על המאמר החדש שפרסמתי היום על Object.fromEntries - התוספת החדשה שזמינה ב-ES2019 ואפשר למצוא אותה כבר בכל הדפדפנים הקרובים לביתכם (לפחות פיירפוקס וכרום). זו תוספת ממש חשובה להמרות של מערכת ואובייקטים וכדאי לקרוא אותו:
https://internet-israel.com/?p=8545 🐪
https://internet-israel.com/?p=8545 🐪
אינטרנט ישראל
ES2019 – יצירת אובייקטים ממערכים עם fromEntries | אינטרנט ישראל
מתודה שימושית מאוד מהתקן החדש של ES2019 שמאפשרת להמיר בקלות מערכים לאובייקטים
מאמר חדש שכתבתי שסוגר את הפינה של es2019 באופן סופי - כל הפיצ׳רים הקטנטנים שנותרווהתוספות החדשות לתקן שעומד בבסיס ג׳אווהס׳ריפט וכבר זמינות מעכשיו בכרום וגם בפיירפוקס.
התוספת החשובה לדעתי - מעכשיו Array.sort הוא עם מיון יציב! וזה לא הולך ברגל ומי שיודע יודע. ומי שלא? טוב, הכל מוסבר במאמר עם דוגמאות:
https://internet-israel.com/?p=8551 🐪
התוספת החשובה לדעתי - מעכשיו Array.sort הוא עם מיון יציב! וזה לא הולך ברגל ומי שיודע יודע. ומי שלא? טוב, הכל מוסבר במאמר עם דוגמאות:
https://internet-israel.com/?p=8551 🐪
אינטרנט ישראל
ES2019 – תוספות חשובות לתקן של ג׳אווהסקריפט
מספר תוספות משמעותיות ולא מורכבות להבנה ב ES2019. התוספת החדשה לתקן ג׳אווהסקריפט
טוב, הפוסט היום הוא מרגש במיוחד בשבילי ומסכם פרוייקט של שנה/שנה וחצי - הספר שלי על ג׳אווה סקריפט בעברית.
אז קודם כל הנה הקישור לפרויקט שבו אפשר להצטרף לפרויקט - יש שם תשורות מגניבות ומשתלמות במיוחד (לדעתי הצנועה) ואני אשמח לעזרה של כל אחד ואחת בפרויקט החשוב הזה.
https://headstart.co.il/project/44925
ועכשיו? עכשיו לחפירה כמיטב המסורת:
לפני שנתיים בן יקיר לי החליט לעזוב את האסמבלי שלו ולהתחיל ללמוד ג׳אווהסקריפט. ו-וואלה - לא היו ספרים. אז נכון, כולנו צריכים לדעת אנגלית ועדיין - יותר נעים ללמוד בעברית - לא? אז התחלתי לכתוב ספר כזה. ספר שילמד ג׳אווהסקריפט ממש מאפס ועד לרמות ה גבוהות ביותר. ספר שגם אנשים חסרי ידע יוכלו להתחיל ממנו אבל גם שיחזק מתכנתים מנוסים. וזה וואחד פרוייקט - כתיבה ואז עריכה טכנית עם המומחים הטכניים הכי טובים שיש: דניאל שטרנליכט, יגאל סטקלוב, תום ביגלאייזן וגיל פינק (וגם צחי נימני שהוא מהנדס מאוד מנוסה וקרא את הספר כדי לראות שהוא עושה שכל). אבל כדי להפיק ספר איכותי צריך הרבה יותר.
אז קודם כל מי שהצטרף כשותף לספר זו הקריה האקדמית אונו שמתחילה בלימודי תואר ראשון למדעי המחשב. הספר (אם הקמפיין יצליח) יצא גם בהוצאתה כספר פיזי.
אבל צריך עוד: עריכה לשונית, עיצוב, עימוד ועוד המון דברים כדי לספק את המוצר הכי טוב שיש. ופה אני צריך אתכם - הצטרפו אלי לפרויקט הזה - שהוא פרויקט חשוב - אין לנו כמעט ספרות בעברית ובטח ובטח לא לענייני ג׳אווהסקריפט. וזה כל כך חשוב: גם למנוסים וגם לאלו שרוצים להכנס לתחום. התמורות שוות, המטרה טובה - ביחד נוכל לעשות את זה:
https://headstart.co.il/project/44925
ושוב אני מודה לקרייה האקדמית אונו שאיפשרה לי להרים את זה. שווה מאוד לבדוק את הלימודים שלהם לתואר ראשון במדעי המחשב (אני בעצמי אלמד שם!)
https://www.ono.ac.il/schools2/business-administration/computer-science/
אז קודם כל הנה הקישור לפרויקט שבו אפשר להצטרף לפרויקט - יש שם תשורות מגניבות ומשתלמות במיוחד (לדעתי הצנועה) ואני אשמח לעזרה של כל אחד ואחת בפרויקט החשוב הזה.
https://headstart.co.il/project/44925
ועכשיו? עכשיו לחפירה כמיטב המסורת:
לפני שנתיים בן יקיר לי החליט לעזוב את האסמבלי שלו ולהתחיל ללמוד ג׳אווהסקריפט. ו-וואלה - לא היו ספרים. אז נכון, כולנו צריכים לדעת אנגלית ועדיין - יותר נעים ללמוד בעברית - לא? אז התחלתי לכתוב ספר כזה. ספר שילמד ג׳אווהסקריפט ממש מאפס ועד לרמות ה גבוהות ביותר. ספר שגם אנשים חסרי ידע יוכלו להתחיל ממנו אבל גם שיחזק מתכנתים מנוסים. וזה וואחד פרוייקט - כתיבה ואז עריכה טכנית עם המומחים הטכניים הכי טובים שיש: דניאל שטרנליכט, יגאל סטקלוב, תום ביגלאייזן וגיל פינק (וגם צחי נימני שהוא מהנדס מאוד מנוסה וקרא את הספר כדי לראות שהוא עושה שכל). אבל כדי להפיק ספר איכותי צריך הרבה יותר.
אז קודם כל מי שהצטרף כשותף לספר זו הקריה האקדמית אונו שמתחילה בלימודי תואר ראשון למדעי המחשב. הספר (אם הקמפיין יצליח) יצא גם בהוצאתה כספר פיזי.
אבל צריך עוד: עריכה לשונית, עיצוב, עימוד ועוד המון דברים כדי לספק את המוצר הכי טוב שיש. ופה אני צריך אתכם - הצטרפו אלי לפרויקט הזה - שהוא פרויקט חשוב - אין לנו כמעט ספרות בעברית ובטח ובטח לא לענייני ג׳אווהסקריפט. וזה כל כך חשוב: גם למנוסים וגם לאלו שרוצים להכנס לתחום. התמורות שוות, המטרה טובה - ביחד נוכל לעשות את זה:
https://headstart.co.il/project/44925
ושוב אני מודה לקרייה האקדמית אונו שאיפשרה לי להרים את זה. שווה מאוד לבדוק את הלימודים שלהם לתואר ראשון במדעי המחשב (אני בעצמי אלמד שם!)
https://www.ono.ac.il/schools2/business-administration/computer-science/
headstart.co.il
ללמוד ג'אווהסקריפט בעברית
הצטרפו לפרויקט חשוב שתורם גם לכם וגם לחברה: הוצאה לאור של ספר מקיף ומקצועי ללימוד ג׳אווהסקריפט בעברית!
עדכון חדש באתר שלי על.... ג׳אווהסקריפט וסימון לולאות. מכירים את הפיצ׳ר הזה? מדובר ביכולת לסמן לולאות. למה זה טוב? אפשר לשבור לולאות חיצוניות מבפנים! אני שם כסף שלא הכרתם את הפיצ׳ר הזה וטוב להכיר אותו.
https://internet-israel.com/?p=8560 🐪
את הפיצ׳ר הזה ראיתי בזמן שחרשתי על ה-MDN לקראת הספר לפני כשנה בערך. בחרתי שלא להכניס אותו לספר למרות שזו דילמה משמעותית - מה ייכנס ומה לא ייכנס לספר. מצד אחד - חשוב שיהיה שם מידע מתקדם. מצד שני - לא להכנס לאיזוטריה.
אבל אני מבטיח לכם שיש בספר דברים שיחזקו פינות גם אצל מתכנתים ותיקים.
התגובות לקמפיין היו מדהימות, אגב. פחות מ-4 שעות מ הפרסום הוא מומן ויכולתי להתחיל עם יעדי ההמשך המופרעים: ספרי עזר נוספים על Node.js ו-MySQL ואתר לימודי. כל יעדי ההמשך מולאו בהצלחה עצומה ועכשיו אנחנו לקראת יעד המשך נוסף של סרטוני וידאו.
מי שהצטרף לקמפיין יקבל את כל יעדי ההמשך וזה כבר מתחיל להצטבר :)
לא הספקתם? יש לכם עוד שבועיים :)
https://headstart.co.il/project/44925
https://internet-israel.com/?p=8560 🐪
את הפיצ׳ר הזה ראיתי בזמן שחרשתי על ה-MDN לקראת הספר לפני כשנה בערך. בחרתי שלא להכניס אותו לספר למרות שזו דילמה משמעותית - מה ייכנס ומה לא ייכנס לספר. מצד אחד - חשוב שיהיה שם מידע מתקדם. מצד שני - לא להכנס לאיזוטריה.
אבל אני מבטיח לכם שיש בספר דברים שיחזקו פינות גם אצל מתכנתים ותיקים.
התגובות לקמפיין היו מדהימות, אגב. פחות מ-4 שעות מ הפרסום הוא מומן ויכולתי להתחיל עם יעדי ההמשך המופרעים: ספרי עזר נוספים על Node.js ו-MySQL ואתר לימודי. כל יעדי ההמשך מולאו בהצלחה עצומה ועכשיו אנחנו לקראת יעד המשך נוסף של סרטוני וידאו.
מי שהצטרף לקמפיין יקבל את כל יעדי ההמשך וזה כבר מתחיל להצטבר :)
לא הספקתם? יש לכם עוד שבועיים :)
https://headstart.co.il/project/44925
אינטרנט ישראל
סימון לולאות בג׳אווהסקריפט
פיצ׳ר מעניין במיוחד שסביר להניח שלא שהכרתם בג׳אווהסקריפט
המאמר החדש שהעליתי הוא גם על ג׳אווהסקריפט - תצטרכו לחיות עם זה כי עד שפרויקט מימון ההמון שלי מסתיים (עוד 8 ימים!) אני כותב בעיקר על זה. המאמר הוא על מוטציות. לא, לא צבי הנינג׳ה אלא מוטציות בג׳אווהסקריפט. זו תכונה בסיסית במיוחד של השפה שיכולה להטריף מתכנתים שלא מכירים אותה.
https://internet-israel.com/?p=8566 🐪
לא יודעים ג׳אווהסקריפט? ובכן - עוד לא מאוחר מכדי להצטרף לפרויקט של הספר :)
https://headstart.co.il/project/44925
ועוד קצת חפירה על הספר ואז גם קצת צחוקים על אבטחה - הספר הזה חורך את הדסטארט ועוד מעט מגיע ל-400% מימון. היעד הבא שלנו הוא לקחת שני ספרים: Node.js וריאקט ולעבות אותם משמעותית מספרי הדרכה קצרים לספרים של ממש.
הפרוייקט הזה באמת מצליח. אם לא הצטרפתם? בידקו אותו. אם יש לכם חברות/ארגונים - יש בו תשורות שנותנות ממש added value מטורף.
--
ועכשיו לקצת צחוקים או בכי. את חוק הצנזורה של ׳שולי את מיקי׳ אתם מכירים. נכון? ובכן - שני הגאונים נראים כמו אלן טיורינג לעומת המחוקקים בבריטניה שהחליטו בחוכמתם האינסופית שכדי להגן על הנוער - החל מה-15 ליולי 2019 כל אתר פורנו בעולם יצטרך לאמת את הגיל של הגולשים שמגיעים אליו מבריטניה. איך? מגיעים מIP בריטי? אתר הפורנו יבקש מכם מסמכים מזהים (!!) או סריקה ביומטרית (!!!) וישמור אותם במאגר כדי לוודא את גילכם. I SHIT YOU NOT. אתר שלא יישם את זה? ייחסם.
ההשלכות? מהממות. ראשית כפי שאנו יודעים זה לא יגן על אף בן נוער שיודע יפה מאוד להפעיל VPN. בניגוד ללפני עשור. ויפיאנים מגיעים ממש בחינם ובכל מקום ובאופרה אפילו כחלק מהדפדפן.
שנית, בעוד שמשתמשים שיש להם שכל ואוריינות טכנולוגית יעדיפו לכרות לעצמם אונה מאשר למסור את הפרטים שלהם לאתרי פורנו מזדמנים (!!!) - אלו שפחות אוריינים טכנולוגית יעשו כן ואז כשהמאגרים האלו ייפרצו - שאלוהים יעזור להם. סחיטה, איומים והמון עוגמת נפש. מראה שחורה 2 אבל בריאליטי.
באייטם שהעליתי בהארץ כתבתי על כך:
״לפני כמה שנים, גבר כבן 35 שקיבל מייל סחיטה כזה, רצח את בנו והתאבד כתוצאה מהלחץ והחרדה שהוא חש. והוא לא לבד. וכאן מדובר רק במייל בלי כיסוי - מה יקרה כש ישיגו לא רק פרטים מדויקים של אנשים שגולשים בפורנו אלא גם לאן הם גולשים? מומחי אבטחת מידע ומומחים לפשיעה יודעים מה יקרה. מומחים טכניים אחרים יודעים כמה קשה לבנות מאגר מאובטח כזה ועד כמה היותו של המאגר מטרה ששווה זהב הופכת את הפיתוח לקשה פי כמה וכמה. המחוקקים הבריטיים, בחוכמתם האינסופית, לא התייעצו לא עם אלו ולא עם אלו.
סיוט הפרטיות והאבטחה הזה הוא מורסה שכנראה עומדת להתפוצץ למחוקקים הבריטיים בפנים. גם הם, כמו מקביליהם בישראל ובמדינות אחרות, לא טרחו להתייעץ עם מומחים טכניים. חוסר ההבנה שלהם, במקרה הזה, יעלה בחיים ובצער רב וכמובן לא ימנע מאף בן נוער להיחשף לפורנוגרפיה. בנוסף, מנגנון החסימה גם הוא מסוכן ועלול להשבית חלקים מהאינטרנט עבור הגולש הבריטי הממוצע - אבל עושה רושם שזו הופכת להיות הבעיה הקטנה ביותר של הממלכה המאוחדת אם החוק הזה ייושם.״
עוד מידע יש בכתבה שלי פה:
https://www.haaretz.co.il/captain/net/.premium-1.7142169
או ב wired:
https://wired.co.uk/article/porn-block-uk-wired-explains
ובמיליארד מקומות אחרים ברשת. תהנו. 😢
https://internet-israel.com/?p=8566 🐪
לא יודעים ג׳אווהסקריפט? ובכן - עוד לא מאוחר מכדי להצטרף לפרויקט של הספר :)
https://headstart.co.il/project/44925
ועוד קצת חפירה על הספר ואז גם קצת צחוקים על אבטחה - הספר הזה חורך את הדסטארט ועוד מעט מגיע ל-400% מימון. היעד הבא שלנו הוא לקחת שני ספרים: Node.js וריאקט ולעבות אותם משמעותית מספרי הדרכה קצרים לספרים של ממש.
הפרוייקט הזה באמת מצליח. אם לא הצטרפתם? בידקו אותו. אם יש לכם חברות/ארגונים - יש בו תשורות שנותנות ממש added value מטורף.
--
ועכשיו לקצת צחוקים או בכי. את חוק הצנזורה של ׳שולי את מיקי׳ אתם מכירים. נכון? ובכן - שני הגאונים נראים כמו אלן טיורינג לעומת המחוקקים בבריטניה שהחליטו בחוכמתם האינסופית שכדי להגן על הנוער - החל מה-15 ליולי 2019 כל אתר פורנו בעולם יצטרך לאמת את הגיל של הגולשים שמגיעים אליו מבריטניה. איך? מגיעים מIP בריטי? אתר הפורנו יבקש מכם מסמכים מזהים (!!) או סריקה ביומטרית (!!!) וישמור אותם במאגר כדי לוודא את גילכם. I SHIT YOU NOT. אתר שלא יישם את זה? ייחסם.
ההשלכות? מהממות. ראשית כפי שאנו יודעים זה לא יגן על אף בן נוער שיודע יפה מאוד להפעיל VPN. בניגוד ללפני עשור. ויפיאנים מגיעים ממש בחינם ובכל מקום ובאופרה אפילו כחלק מהדפדפן.
שנית, בעוד שמשתמשים שיש להם שכל ואוריינות טכנולוגית יעדיפו לכרות לעצמם אונה מאשר למסור את הפרטים שלהם לאתרי פורנו מזדמנים (!!!) - אלו שפחות אוריינים טכנולוגית יעשו כן ואז כשהמאגרים האלו ייפרצו - שאלוהים יעזור להם. סחיטה, איומים והמון עוגמת נפש. מראה שחורה 2 אבל בריאליטי.
באייטם שהעליתי בהארץ כתבתי על כך:
״לפני כמה שנים, גבר כבן 35 שקיבל מייל סחיטה כזה, רצח את בנו והתאבד כתוצאה מהלחץ והחרדה שהוא חש. והוא לא לבד. וכאן מדובר רק במייל בלי כיסוי - מה יקרה כש ישיגו לא רק פרטים מדויקים של אנשים שגולשים בפורנו אלא גם לאן הם גולשים? מומחי אבטחת מידע ומומחים לפשיעה יודעים מה יקרה. מומחים טכניים אחרים יודעים כמה קשה לבנות מאגר מאובטח כזה ועד כמה היותו של המאגר מטרה ששווה זהב הופכת את הפיתוח לקשה פי כמה וכמה. המחוקקים הבריטיים, בחוכמתם האינסופית, לא התייעצו לא עם אלו ולא עם אלו.
סיוט הפרטיות והאבטחה הזה הוא מורסה שכנראה עומדת להתפוצץ למחוקקים הבריטיים בפנים. גם הם, כמו מקביליהם בישראל ובמדינות אחרות, לא טרחו להתייעץ עם מומחים טכניים. חוסר ההבנה שלהם, במקרה הזה, יעלה בחיים ובצער רב וכמובן לא ימנע מאף בן נוער להיחשף לפורנוגרפיה. בנוסף, מנגנון החסימה גם הוא מסוכן ועלול להשבית חלקים מהאינטרנט עבור הגולש הבריטי הממוצע - אבל עושה רושם שזו הופכת להיות הבעיה הקטנה ביותר של הממלכה המאוחדת אם החוק הזה ייושם.״
עוד מידע יש בכתבה שלי פה:
https://www.haaretz.co.il/captain/net/.premium-1.7142169
או ב wired:
https://wired.co.uk/article/porn-block-uk-wired-explains
ובמיליארד מקומות אחרים ברשת. תהנו. 😢
אינטרנט ישראל
מוטציות בג׳אווהסקריפט
פיצ׳ר בסיסי אך חשוב בג׳אווהסקריפט שיכול להטריף אתכם
מאמר חדש שפורסם באינטרנט ישראל ו(מצטער חברים) הוא על ג׳אווהסקריפט. נו באמת - אני לקראת סוף פרויקט של ספר על ג׳אווהסקריפט! זה לא הזמן לפרסם מאמרים על דוקר, על אבטחה או על כל דבר אחר.
המאמר הוא על Object.freeze ועל Object.seal - אם אתם לא מכירים? שווה להכיר. אני לא משתמש בהם ביום-יום אבל ללא ספק זה פיצ׳ר חשוב. וכן, תקעתי שם קליפ של סיל (שזה זמר משנות ה-90!).
https://internet-israel.com/?p=8571 🐪
ואם כבר מדברים על הפרויקט - אז זהו, הוא נגמר מחר ולא תשמעו יותר חפירות ממני. הוא מאוד קרוב ל-200,000₪ ושבר כמה וכמה שיאים בהדסטארט. כדאי מאוד להשקיע בו - מי שמשתתף במדרגה של ה-100 מקבל 5 ספרים דיגיטליים: הספר של ג׳אווהסקריפט: ספר ארוך ומושקע. 2 ספרים מושקעים על Node.js וריאקט. 2 ספרי הדרכה קצרים נוספים על MySQL ו-jQuery וגם גישה לאתר שיש בו תרגילים וסרטונים. לא רע בשביל 100 שקל לפי דעתי. וגם השתתפות בפרויקט מהמם שתורם לכם ולקהילה. יש עוד 24 שעות להשתתפות. זה הכל. אחרי זה יהיה אפשר לרכוש את הספרים (כשיצאו) אבל במחיר יותר גבוה. זה הצ׳אנס האחרון.
https://headstart.co.il/project/44925
ספר הג׳אווהסקריפט כבר בהכנה. הוא עבר עריכה טכנית, עריכה לשונית ועכשיו הוא בהגהה ראשונה. אחרי ההגהה? הגהה שניה, עיצוב, עימוד, הנגשה והוא יוצא לדיגיטלי. זה יהיה מהיר - אבל לא עניין של ימים, כן?
שאר הפרויקטים יבוצעו - אבל הפוקוס המרכזי שלי הוא על הספר הזה. אחר כך על ריאקט ו-Node.js. אחרי זה על כל השאר.
אני תמיד גאה ומאושר לומר שכל הפרויקט הזה הוא בשותפות של הקריה האקדמית אונו - שמתחילה ללמד מדעי המחשב בהתאמה מיוחדת לאנשים שכבר עובדים. כדאי לבדוק את התוכנית שלהם:
https://www.ono.ac.il/schools2/business-administration/computer-science/
המאמר הוא על Object.freeze ועל Object.seal - אם אתם לא מכירים? שווה להכיר. אני לא משתמש בהם ביום-יום אבל ללא ספק זה פיצ׳ר חשוב. וכן, תקעתי שם קליפ של סיל (שזה זמר משנות ה-90!).
https://internet-israel.com/?p=8571 🐪
ואם כבר מדברים על הפרויקט - אז זהו, הוא נגמר מחר ולא תשמעו יותר חפירות ממני. הוא מאוד קרוב ל-200,000₪ ושבר כמה וכמה שיאים בהדסטארט. כדאי מאוד להשקיע בו - מי שמשתתף במדרגה של ה-100 מקבל 5 ספרים דיגיטליים: הספר של ג׳אווהסקריפט: ספר ארוך ומושקע. 2 ספרים מושקעים על Node.js וריאקט. 2 ספרי הדרכה קצרים נוספים על MySQL ו-jQuery וגם גישה לאתר שיש בו תרגילים וסרטונים. לא רע בשביל 100 שקל לפי דעתי. וגם השתתפות בפרויקט מהמם שתורם לכם ולקהילה. יש עוד 24 שעות להשתתפות. זה הכל. אחרי זה יהיה אפשר לרכוש את הספרים (כשיצאו) אבל במחיר יותר גבוה. זה הצ׳אנס האחרון.
https://headstart.co.il/project/44925
ספר הג׳אווהסקריפט כבר בהכנה. הוא עבר עריכה טכנית, עריכה לשונית ועכשיו הוא בהגהה ראשונה. אחרי ההגהה? הגהה שניה, עיצוב, עימוד, הנגשה והוא יוצא לדיגיטלי. זה יהיה מהיר - אבל לא עניין של ימים, כן?
שאר הפרויקטים יבוצעו - אבל הפוקוס המרכזי שלי הוא על הספר הזה. אחר כך על ריאקט ו-Node.js. אחרי זה על כל השאר.
אני תמיד גאה ומאושר לומר שכל הפרויקט הזה הוא בשותפות של הקריה האקדמית אונו - שמתחילה ללמד מדעי המחשב בהתאמה מיוחדת לאנשים שכבר עובדים. כדאי לבדוק את התוכנית שלהם:
https://www.ono.ac.il/schools2/business-administration/computer-science/
אינטרנט ישראל
הקפאת אובייקט בג’אווהסקריפט
Freeze & Seal בג'אווהסקריפט ואיך הם עוצרים במוטציה על ידי רפרס
אז כמה מילים על Supply chain attacks - זו לא צורת התקפה חדשה במיוחד, אבל זה מתחיל להיות יותר אינטנסיבי וההתקפה האחרונה שהיתה על Dockerhub היא תירוץ מעולה לדבר על זה:
דוקר וקוברנטיס הם שמות שנשמעים לרוב האנשים כמו סינית מוזרה או שם של פוקימון. אבל האמת היא שמדובר בתשתיות שעליהן מתבססים רוב השירותים שאנו משתמשים בהם. נכנסים לאתר גדול? משתמשים באפליקציה? רואים וידאו? סביר להניח שהשרתים עושים שימוש בדוקר.
דוקר (וקוברנטיס, הטכנולוגיה שמשלימה אותו) בעצם מבצע התקנה אוטומטית של שרתים. שרת, למי שלא יודע, זה מחשב עם מערכת הפעלה ועליה מותקנות כמה תוכנות כמו תוכנת השרת עצמה, תוכנת מסד נתונים, התוכנה שמריצה את הקוד וכו'. התוכנות, האתרים והשירותים הגדולים צריכים להתמודד עם עומסים גדולים ושרת אחד, או אפילו עשרות שרתים, לא מספיקים להן. דוקר מאפשר לחברות שמפעילות שירותים כאלו ליצור כהרף עין שלל של שרתים מותאמים אישית.
היצירה הזו נעשית על ידי העתקה של 'תוכנית מכונה' מאתר בשם dockerhub.
תוכנית המכונה הזו יכולה להיות למשל שרת לינוקס מלא המסוגל להריץ אתר וורדפרס, או שרת המריץ את SQL Server של חלונות. כך למשל, אם יש לי אתר שפתאום חווה עליה בכניסות ובשימושים, באופן אוטומטי הענן שלי מריץ תהליך שמוריד את תוכנית המכונה מאתר בשם dockerhub, מתקין את השרת שלי לפי התוכנית הזו, מתקין ומריץ את הקוד שלי על השרת ומתחיל להפנות חלק מהגולשים לשם. נכנסים עוד גולשים? ההליך הזה ירוץ שוב ויצור שרת נוסף.
כשאני מעדכן את השרתים שלי, אין צורך ב'הורדה' שלהם לצורך תחזוקה כפי שאנו מכירים מאתרים ממשלתיים למשל. מה שאנו עושים הוא לעדכן את 'תוכנית המכונה' או את הקוד ולפרוס מחדש את כל השרתים. דוקר והשירותים הדומים לו עושים את הכל באופן מאוד פשוט לביצוע. למרות שזה נשמע כמו מדע בדיוני.
אבל כאמור האוטופיה הזו נמצאת בסכנה. יותר ויותר האקרים ונוכלים תוקפים את ההליך האוטומטי הזה בכל מיני נקודות תורפה. ההתקפה הזו נקראת Supply Chain Attack. היא נקראת כך כי במקום לתקוף את הארגון אני תוקף את שרשרת האספקה שלו. התקיפה הזו היתה כנגד ארגונים שמשתמשים בדוקר. וזו בדיוק ההתקפה שהיתה לפי כמה ימים. דוקר האב https://hub.docker.com/ , המאגר הגדול ביותר בעולם ל docker images, הודיעה שתוקף לא ידוע הצליח לגשת לחלק ממסדי הנתונים שלה ולגנוב פרטי משתמשים, טוקנים (פיסות קוד המשמשות להזדהות ולקישור) וסיסמאות מעורבלות. החברה הודיעה לכל המשתמשים (כ-190,000) שנפגעו וביקשה מהם להחליף ססמאות. מה שעניין את התוקף זה לא המידע - זה יכולת הגישה והכניסה לתבניות הדוקר. אותו תוקף היה יכול להדביק את התבניות בקוד זדוני.
אם התקיפה לא היתה מתגלת, התוקפים היו יכולים לשנות את 'תוכניות המכונה' שמאוחסנות בדוקר וכך בעצם, כאשר שירות כלשהו היה מתקין תוכנת מכונה שהודבקה, הוא היה יכול להתקין גם תוכנה זדונית.
וזה? זה מתחיל להדאיג. יותר ויותר חברות שמות עין על משטח התקיפה הזה. סניק למשל היא חברה שעושה את זה בדיוק. אבל יש עוד המון עבודה. והנזק עלול להיות רב.
האייטם שלי בהארץ שבו חפרתי אפילו יותר :)
https://www.haaretz.co.il/captain/net/.premium-1.7171577
ובנימה אחרת - פרויקט מימון ההמון שלי עומד על רבע מיליון שקל (!!!) ויותר מ-600 אחוזי גיוס (!!!). עמדנו בכל היעדים והתשורות פשוט ממש ממש שוות. ב-100 שקל בלבד אתם יכולים לדאוג לעצמכם לחמישה ספרי תכנות בעברית, אתר תרגול וסרטונים שישלימו את חווית הלימוד. יש עוד שעות בודדות עד שהקמפיין ייסגר. אני מנג'ס שוב כדי לוודא שאף אחד לא מפספס/שוכח. כי פשוט חבל להחמיץ כזו הזדמנות.
https://headstart.co.il/project/44925
דוקר וקוברנטיס הם שמות שנשמעים לרוב האנשים כמו סינית מוזרה או שם של פוקימון. אבל האמת היא שמדובר בתשתיות שעליהן מתבססים רוב השירותים שאנו משתמשים בהם. נכנסים לאתר גדול? משתמשים באפליקציה? רואים וידאו? סביר להניח שהשרתים עושים שימוש בדוקר.
דוקר (וקוברנטיס, הטכנולוגיה שמשלימה אותו) בעצם מבצע התקנה אוטומטית של שרתים. שרת, למי שלא יודע, זה מחשב עם מערכת הפעלה ועליה מותקנות כמה תוכנות כמו תוכנת השרת עצמה, תוכנת מסד נתונים, התוכנה שמריצה את הקוד וכו'. התוכנות, האתרים והשירותים הגדולים צריכים להתמודד עם עומסים גדולים ושרת אחד, או אפילו עשרות שרתים, לא מספיקים להן. דוקר מאפשר לחברות שמפעילות שירותים כאלו ליצור כהרף עין שלל של שרתים מותאמים אישית.
היצירה הזו נעשית על ידי העתקה של 'תוכנית מכונה' מאתר בשם dockerhub.
תוכנית המכונה הזו יכולה להיות למשל שרת לינוקס מלא המסוגל להריץ אתר וורדפרס, או שרת המריץ את SQL Server של חלונות. כך למשל, אם יש לי אתר שפתאום חווה עליה בכניסות ובשימושים, באופן אוטומטי הענן שלי מריץ תהליך שמוריד את תוכנית המכונה מאתר בשם dockerhub, מתקין את השרת שלי לפי התוכנית הזו, מתקין ומריץ את הקוד שלי על השרת ומתחיל להפנות חלק מהגולשים לשם. נכנסים עוד גולשים? ההליך הזה ירוץ שוב ויצור שרת נוסף.
כשאני מעדכן את השרתים שלי, אין צורך ב'הורדה' שלהם לצורך תחזוקה כפי שאנו מכירים מאתרים ממשלתיים למשל. מה שאנו עושים הוא לעדכן את 'תוכנית המכונה' או את הקוד ולפרוס מחדש את כל השרתים. דוקר והשירותים הדומים לו עושים את הכל באופן מאוד פשוט לביצוע. למרות שזה נשמע כמו מדע בדיוני.
אבל כאמור האוטופיה הזו נמצאת בסכנה. יותר ויותר האקרים ונוכלים תוקפים את ההליך האוטומטי הזה בכל מיני נקודות תורפה. ההתקפה הזו נקראת Supply Chain Attack. היא נקראת כך כי במקום לתקוף את הארגון אני תוקף את שרשרת האספקה שלו. התקיפה הזו היתה כנגד ארגונים שמשתמשים בדוקר. וזו בדיוק ההתקפה שהיתה לפי כמה ימים. דוקר האב https://hub.docker.com/ , המאגר הגדול ביותר בעולם ל docker images, הודיעה שתוקף לא ידוע הצליח לגשת לחלק ממסדי הנתונים שלה ולגנוב פרטי משתמשים, טוקנים (פיסות קוד המשמשות להזדהות ולקישור) וסיסמאות מעורבלות. החברה הודיעה לכל המשתמשים (כ-190,000) שנפגעו וביקשה מהם להחליף ססמאות. מה שעניין את התוקף זה לא המידע - זה יכולת הגישה והכניסה לתבניות הדוקר. אותו תוקף היה יכול להדביק את התבניות בקוד זדוני.
אם התקיפה לא היתה מתגלת, התוקפים היו יכולים לשנות את 'תוכניות המכונה' שמאוחסנות בדוקר וכך בעצם, כאשר שירות כלשהו היה מתקין תוכנת מכונה שהודבקה, הוא היה יכול להתקין גם תוכנה זדונית.
וזה? זה מתחיל להדאיג. יותר ויותר חברות שמות עין על משטח התקיפה הזה. סניק למשל היא חברה שעושה את זה בדיוק. אבל יש עוד המון עבודה. והנזק עלול להיות רב.
האייטם שלי בהארץ שבו חפרתי אפילו יותר :)
https://www.haaretz.co.il/captain/net/.premium-1.7171577
ובנימה אחרת - פרויקט מימון ההמון שלי עומד על רבע מיליון שקל (!!!) ויותר מ-600 אחוזי גיוס (!!!). עמדנו בכל היעדים והתשורות פשוט ממש ממש שוות. ב-100 שקל בלבד אתם יכולים לדאוג לעצמכם לחמישה ספרי תכנות בעברית, אתר תרגול וסרטונים שישלימו את חווית הלימוד. יש עוד שעות בודדות עד שהקמפיין ייסגר. אני מנג'ס שוב כדי לוודא שאף אחד לא מפספס/שוכח. כי פשוט חבל להחמיץ כזו הזדמנות.
https://headstart.co.il/project/44925
Haaretz הארץ
לפרוץ לאתר זה לא מגניב; מה כן מגניב? לתקוף אתר ודרכו לפרוץ למיליון אחרים
***
עדכוטן חדש באתר על... נו טוב - אתם כבר יודעים! ג׳אווהסקריפט! אבל זה באמת מעניין. הפעם אני מראה דרך ממש מגניבה וקלה להטמעה לחשב את זמני הריצה של הסקריפטים באתר. יש לכם בעיית ביצועים? האפליקציה מג׳עג׳עת? הלקוחות בורחים כמו ילדות בסיכון מאבא של זמר לאומי? 😢 אל דאגה! ל-console יש כמה מתודות שיעזרו לכם לאבחו את הבעיה. במאמר אני מסביר, מדגים וגם מדגים על שירות אמיתי. של בדיחות צ׳אק נוריס.
https://internet-israel.com/?p=8614 🐪
ועוד עדכון בנוגע לפרויקט ספר הג׳אווהסקריפט בעברית. הוא הצליח המון בגיוס (יותר מ 266,000₪!) וכיוון שהוא הצליח ויש הרבה יעדי המשך - פתחתי דף שבו אפשר להתעדכן בנוגע לקצב ההתקדמות של הספר המרכזי ושאר הספרים וגם להצטרף לרשימת תפוצב כדי לקבל עדכונים שוטפים:
https://internet-israel.com/jsheb-info/
והכי חשוב: אם פספסתם, אם לא הצלחתם להכנס לפרויקט בזמן - הדטסארט, לראשונה בישראל, מאפשר להצטרף למכירה מוקדמת של הספרים. זה פיילוט שהם עושים עם הפרויקט של הספר הזה - בגלל שהוא כל כך פופולרי. המכירה המוקדמת פתוחה לזמן מוגבל. אז כדאי לבדוק:
https://headstart.co.il/project/44925
https://internet-israel.com/?p=8614 🐪
ועוד עדכון בנוגע לפרויקט ספר הג׳אווהסקריפט בעברית. הוא הצליח המון בגיוס (יותר מ 266,000₪!) וכיוון שהוא הצליח ויש הרבה יעדי המשך - פתחתי דף שבו אפשר להתעדכן בנוגע לקצב ההתקדמות של הספר המרכזי ושאר הספרים וגם להצטרף לרשימת תפוצב כדי לקבל עדכונים שוטפים:
https://internet-israel.com/jsheb-info/
והכי חשוב: אם פספסתם, אם לא הצלחתם להכנס לפרויקט בזמן - הדטסארט, לראשונה בישראל, מאפשר להצטרף למכירה מוקדמת של הספרים. זה פיילוט שהם עושים עם הפרויקט של הספר הזה - בגלל שהוא כל כך פופולרי. המכירה המוקדמת פתוחה לזמן מוגבל. אז כדאי לבדוק:
https://headstart.co.il/project/44925
אינטרנט ישראל
שימוש במתודות של console למדידת הזמן
דרך קלה ליישום למדידת זמנים בסקריפטים שלכם בג'אווהסקריפט
מאמר ידש שכתבתי בעקבות ציוץ שראיתי פה והפתיע אותי: איך יוצרים מודל רק עם HTML ו-CSS וממש בקלות. מ זכיר לי שעם כל הכבוד לג׳אווהסקריפט ולפריימוורקים - ההתקדמות בתחום הפרונט היא לא רק בשפה. כיף ללמוד דברים חדשים.
https://internet-israel.com/?p=8623 🐪
עדכון קטן בנוגע לספר - הספר ׳ללמוד ג׳אווהסקריפט בעברית׳ יצא משלב ההגהה הראשונה ונכנס לשניה. הספר השני שמומן וניתן לכל המשתתפים בפרויקט על Node.js מתקדם מאוד גם הוא. עדכונים וכו׳ פה: https://internet-israel.com/jsheb-info/
https://internet-israel.com/?p=8623 🐪
עדכון קטן בנוגע לספר - הספר ׳ללמוד ג׳אווהסקריפט בעברית׳ יצא משלב ההגהה הראשונה ונכנס לשניה. הספר השני שמומן וניתן לכל המשתתפים בפרויקט על Node.js מתקדם מאוד גם הוא. עדכונים וכו׳ פה: https://internet-israel.com/jsheb-info/
אינטרנט ישראל
תגיות details & summary
תגית אינפורמציה חשובה שאפשר לעשות איתה עוד המון דברים מעניינים.
מאמר חדש באתר - עם כל האירוויזיון ובאופן אישי אצלי עם כל העומס של הכנת הספר של ללמוד ג׳אווהסקריפט בעברית להפצה וכתיבת הספר שמומן ביעד המשך על Node.js, חמק לו אירוע מעניין ששווה לדבר עליו: חוקרים הצליחו להתקיף באמצעות chosen-prefix collision את SHA-1. שזה אומר שיש עכשיו דרך מעשית להתקיף את אלגוריתם הגיבוב הזה.
אם זה נשמע לכם כמו ג׳יבריש - אז זה לא. במאמר שעלה עכשיו אני מסביר למתכנתים מה זו פונקצית גיבוב (למי שלא יודע) ומה זו ההתקפה הזו ומה המשמעות שלה - ויש לה משמעויות.
במאמר הזה יש הסבר למתכנתים, גרסה למוגלגים תעלה יותר מאוחר ב׳הארץ׳:
https://internet-israel.com/?p=8633 🐪
אם זה נשמע לכם כמו ג׳יבריש - אז זה לא. במאמר שעלה עכשיו אני מסביר למתכנתים מה זו פונקצית גיבוב (למי שלא יודע) ומה זו ההתקפה הזו ומה המשמעות שלה - ויש לה משמעויות.
במאמר הזה יש הסבר למתכנתים, גרסה למוגלגים תעלה יותר מאוחר ב׳הארץ׳:
https://internet-israel.com/?p=8633 🐪
אינטרנט ישראל
התקפת sha1 collision
כיצד אפשר לפרוץ פונקצית גיבוב ומה החשיבות שלה
מאמר חדש על מודול ממש חמוד של Node.js שמאפשר להקפיץ הודעות בכל מערכת הפעלה. אני משתמש בו לא מעט לתזכורות שונות וגם להקריפ את הילדים (אבל זה באמת סיפור אחר). כל הפירוט ודמו פה:
https://internet-israel.com/?p=8647 🐪
אם אתם לא יודעים Node.js אבל השתתפתם בפרויקט ספר הג׳אווהסקריפט, אני רק מזכיר לכם שלכל השותפים בפרויקט מגיע ספר דיגיטלי מקיף מאוד על Node.js שממש עכשיו בהכנה (זה של ג׳אווהסקריפט בהגהות האחרונות).
כפי שחלקכם יודעים, לא למדתי מדעי המחשב באופן מסודר. כן הגעתי באופן פיראטי לכל מיני קורסים חשובים שאיפשרו לי להתפתח מקצןועית (אלגוריתמיקה ומבני נתונים). שיתוף הפעולה שלי בנושא הספר ללימוד ג׳אווהסקריפאט בעברית עם הקריה האקדמית אונו חשוב לי כי למרות שאני לא למדתי מדעי המחשב - אני חושב שלימודי מדעי המחשב חשובים מאוד. לא רק כדי להכנס לתחום (אפשר להכנס לתחום בלי תואר) אלא כדי להתקדם בנתיב מקצועי.
ראיינו אותי על הנושא הזה פה: http://www.ono.ac.il/blog/computerscienceranbarzik/
אם לימודים מעניינים אתכם - או שסתם בא לכם לדבר איתי. אני אהיה *ביום הפתוח של הקריה ביום שלישי הזה משעה 17:00*. באיזור של מדעי המחשב. אם אתם באיזור - בואו להגיד שלום. אני זמין בטלגרם ב-rbarzik. שלחו הודעה כדי לברר איפה אני בדיוק. אני אשמח לדבר ובמיוחד עם השותפים לפרויקט הספר.
אם אתם פחות בראש של לימודים אבל יותר בראש של צחוקים - שי רזניק (שהוא מתכנת ג׳אווהסקריפט מעולה וגם מנהל קהילת ג׳אווהסקריפט ישראל) מרים את מופע הסיפורים השני ובו גם אני משתתף. ביום שבת בערב בבר גיורא. יש בירה וגם אפטר פארטי.
https://www.facebook.com/true.story.dot.show/
להזמנה:
https://www.eventer.co.il/z9th3
אני מרצה על ענייני טכנולוגיה בכנס גיקטיים dev (שתי הרצאות! אחת על Supply chain attack עם דמואים! והשניה על dev blogging) וגם ברברסים (על מעקב אחר משתמשים - שזו הרצאה סופר מגניבה, מצחיקה שמיועדת לאנשים רעים, ראו הוזהרתם). אם אתם מגיעים לכנסים האלו - אל תשכחו לומר שלום!
https://internet-israel.com/?p=8647 🐪
אם אתם לא יודעים Node.js אבל השתתפתם בפרויקט ספר הג׳אווהסקריפט, אני רק מזכיר לכם שלכל השותפים בפרויקט מגיע ספר דיגיטלי מקיף מאוד על Node.js שממש עכשיו בהכנה (זה של ג׳אווהסקריפט בהגהות האחרונות).
כפי שחלקכם יודעים, לא למדתי מדעי המחשב באופן מסודר. כן הגעתי באופן פיראטי לכל מיני קורסים חשובים שאיפשרו לי להתפתח מקצןועית (אלגוריתמיקה ומבני נתונים). שיתוף הפעולה שלי בנושא הספר ללימוד ג׳אווהסקריפאט בעברית עם הקריה האקדמית אונו חשוב לי כי למרות שאני לא למדתי מדעי המחשב - אני חושב שלימודי מדעי המחשב חשובים מאוד. לא רק כדי להכנס לתחום (אפשר להכנס לתחום בלי תואר) אלא כדי להתקדם בנתיב מקצועי.
ראיינו אותי על הנושא הזה פה: http://www.ono.ac.il/blog/computerscienceranbarzik/
אם לימודים מעניינים אתכם - או שסתם בא לכם לדבר איתי. אני אהיה *ביום הפתוח של הקריה ביום שלישי הזה משעה 17:00*. באיזור של מדעי המחשב. אם אתם באיזור - בואו להגיד שלום. אני זמין בטלגרם ב-rbarzik. שלחו הודעה כדי לברר איפה אני בדיוק. אני אשמח לדבר ובמיוחד עם השותפים לפרויקט הספר.
אם אתם פחות בראש של לימודים אבל יותר בראש של צחוקים - שי רזניק (שהוא מתכנת ג׳אווהסקריפט מעולה וגם מנהל קהילת ג׳אווהסקריפט ישראל) מרים את מופע הסיפורים השני ובו גם אני משתתף. ביום שבת בערב בבר גיורא. יש בירה וגם אפטר פארטי.
https://www.facebook.com/true.story.dot.show/
להזמנה:
https://www.eventer.co.il/z9th3
אני מרצה על ענייני טכנולוגיה בכנס גיקטיים dev (שתי הרצאות! אחת על Supply chain attack עם דמואים! והשניה על dev blogging) וגם ברברסים (על מעקב אחר משתמשים - שזו הרצאה סופר מגניבה, מצחיקה שמיועדת לאנשים רעים, ראו הוזהרתם). אם אתם מגיעים לכנסים האלו - אל תשכחו לומר שלום!
אינטרנט ישראל
מודול Node.js להקפצת הודעות
מודול של Node.js שמאפשר הקפצת הודעות לשולחן העבודה בכל מערכת הפעלה.
מאמר חדש שכתבתי על Cache API - דרך נהדרת ופשוטה מאוד לנהל את הקאש. זה יכול להיות מאוד שימושי בלא מעט מקרים וממש ממש קל להשתמש בו.
https://internet-israel.com/?p=8670 🐪
בשבוע הקודם ניסיתי אוטומציה חדשה שתשלח לי את ההודעה על העדכון והיא נכשלה ושכחתי לעדכן ידנית. נו שוין.
--
שבוע הבא - יום ראשו - אני מרצה בכנס רברסים בשעה 16:20 באולם A10. ההרצאה היא על פרטיות ואיך אפשר להפר פרטיות של משתמשים ולעקוב אחריהם בכל מיני דרכים נלוזות ומגעילות במיוחד. עם דוגמאות חיות. קלאסי לאנשים רעים, סטוקרים או אנשים שרוצים להתגונן מהם.
עוד הרצאה מגניבה שאני ממליץ עליה היא ממש בבוקר של ערן שפירא על Visual Testing. זה חלק קריטי מה-CI אצלנו והזדמנות נדירה לראות איך זה קורה בפועל.
https://internet-israel.com/?p=8670 🐪
בשבוע הקודם ניסיתי אוטומציה חדשה שתשלח לי את ההודעה על העדכון והיא נכשלה ושכחתי לעדכן ידנית. נו שוין.
--
שבוע הבא - יום ראשו - אני מרצה בכנס רברסים בשעה 16:20 באולם A10. ההרצאה היא על פרטיות ואיך אפשר להפר פרטיות של משתמשים ולעקוב אחריהם בכל מיני דרכים נלוזות ומגעילות במיוחד. עם דוגמאות חיות. קלאסי לאנשים רעים, סטוקרים או אנשים שרוצים להתגונן מהם.
עוד הרצאה מגניבה שאני ממליץ עליה היא ממש בבוקר של ערן שפירא על Visual Testing. זה חלק קריטי מה-CI אצלנו והזדמנות נדירה לראות איך זה קורה בפועל.
אינטרנט ישראל
Cache API
ניהול ה-cache של הדפדפן בקלות.
לפני כשבוע וקצת העברתי הרצאה בגיקטיים קוד. אני מאוד אוהב את גיקטיים ומקפיד מאוד להתעדכן שם ושמחתי מאוד להרצות אצלם בכנס. בכנס, בין השאר, דיברתי על Third Party Integration ועל איך להגן על עצמנו מהתקפה כזו. אחת הדרכים היא שימוש ב-CSP בצורה נבונה. אבל... מה זה CSP? כרגיל - שם מפחיד למשהו פשוט ביותר. במאמר הזה אני מסביר על CSP למתחילים. מה זה, איך משתמשים בזה ואיך מדבגים את זה וכמובן דוגמאות כיד המלך. המאמר הבא ידבר על CSP מתקדם יותר. אבל כדאי להתחיל עם זה:
https://internet-israel.com/?p=8686 🐪
--
היום אני מעביר הרצאה ב׳רברסים׳ 16:20-16:50 | A10 - יהיה מצחיק וגם מעניין. מבטיח.
--
ובפינת ההמלצות - מורד שטרן, מנהל הקהילות מוויקס הוא אולי אחד האנשים הכי מקושרים ומבינים בארץ. אם אתם צריכים משהו ממישהו - הוא הכתובת. יש לו ערוץ טלגרם שימושי (ולא מציף או חופר) שבו הוא מפרסם קריאות לשיתוף פעולה, כנסים בינלאומיים וכו׳. יצאו משם המון חיבורים מענינים. אם אתם בתעשיית ההייטק - כדאי להציץ:
https://t.me/techisrael
עוד ערוץ שאני מקווה שאתם חברים בו הוא הערוץ של עורך הדין יהונתן קלינגר שבו יש חדשות טכנולוגיות מעניינות ושוות. גם שם אין חפירות: https://t.me/jklinger
https://internet-israel.com/?p=8686 🐪
--
היום אני מעביר הרצאה ב׳רברסים׳ 16:20-16:50 | A10 - יהיה מצחיק וגם מעניין. מבטיח.
--
ובפינת ההמלצות - מורד שטרן, מנהל הקהילות מוויקס הוא אולי אחד האנשים הכי מקושרים ומבינים בארץ. אם אתם צריכים משהו ממישהו - הוא הכתובת. יש לו ערוץ טלגרם שימושי (ולא מציף או חופר) שבו הוא מפרסם קריאות לשיתוף פעולה, כנסים בינלאומיים וכו׳. יצאו משם המון חיבורים מענינים. אם אתם בתעשיית ההייטק - כדאי להציץ:
https://t.me/techisrael
עוד ערוץ שאני מקווה שאתם חברים בו הוא הערוץ של עורך הדין יהונתן קלינגר שבו יש חדשות טכנולוגיות מעניינות ושוות. גם שם אין חפירות: https://t.me/jklinger
אינטרנט ישראל
CSP
פיצ'ר אבטחה חשוב במיוחד בכל דפדפן - היכולת לקבוע איזה משאבים ניטענים באתר.
אני בפסטיבל המטאל "גראספופ" - שותה בירה, ויסקי, ושומע מוזיקת מטאל. אבל גם בגולה הדוויה הלב שלי עם המתכנתים בארץ. המאמר שלי השבוע הוא מאמר על SRI - חתימת טעינה חיצונית כדי למנוע מצב של Supply Chain Attack. נשמע כמו סינית עתיקה? ממש לא. בשבוע הקודם כתבתי על CSP. בשבוע הזה אני מרחיב את היסודות ומסביר איך כותבים CSP שמוודא שהקובץ שאנו טוענים מספק צד שלישי הוא באמת קובץ שבדקנו אותו.
https://internet-israel.com/?p=8678 🐪
https://internet-israel.com/?p=8678 🐪
אינטרנט ישראל
Supply Chain Attack ו-SRI mitigation
וידוא של שלמות קובץ של ספק צד שלישי של סקריפטים באתר.
מאמר חדש שכתבתי על npm audit. מיוחד למתכנתי Node.js - מה זה, איך משתמשים בו ואיך מתקנים איתו חורי אבטחה פוטנציאליים. חמש דקות קריאה שאחריה תוכלו לאבטח את הקוד שלכם כמו שצריך.
חורים ואירועי אבטחה לא באים משמים, אפשר וצריך למנוע אותם. זו אחת מהדרכים.
internet-israel.com/?p=8695
חורים ואירועי אבטחה לא באים משמים, אפשר וצריך למנוע אותם. זו אחת מהדרכים.
internet-israel.com/?p=8695
אינטרנט ישראל
npm audit
איך בודקים חולשות ב-dependencies שלכם באופן אוטומטי ב-Node.js
המאמר האחרון שפרסמתי הוא מאמר שמראה למה כדאי לעבוד בצוות הטרוגני. כלומר צוות שמורכב מאנשים מכל מיני רקעים ומכל מיני גילאים. אני נחשב מפתח בכיר, יש לי הרבה ניסיון ועדיין - תמיד אפשר ללמוד ובדרך כלל לומדים מאנשים שיש להם חשיבה קצת שונה משלך. במאמר הזה אני מספר על ויכוח מקצועי שהיה לי עם מפתח אחר בקבוצה על דרך נכונה לעשות import למונוריפו בג׳אווהסקריפט ועל איך שפתרנו אותה.
אם זה נשמע לכם כמו סינית, אז זה לא סינית. אתם משתמשים בזה אם אתם מפתחים ריאקט. יש מצב שאתם לא יודעים אפילו:
https://internet-israel.com/?p=8701 🐪
אם זה נשמע לכם כמו סינית, אז זה לא סינית. אתם משתמשים בזה אם אתם מפתחים ריאקט. יש מצב שאתם לא יודעים אפילו:
https://internet-israel.com/?p=8701 🐪
אינטרנט ישראל
הורד משקל (בוופבאק) מייד – שאל אותי כיצד
ייבוא ישיר של קומפוננטה במונוריפו יכולה לחסוך הרבה קילובייטים ודמעות (טוב, לפחות קילובייטים).