ההרצאה שלי מכנס רברסים עלתה לאוויר בוידאו. בפוסט החדש יש את הקישור לסרטון ואת המצגת שבה יש קישורים חיים לדמואים.
בהרצאה (שהיא טכנית ומיועדת למתכנתים) הדגמתי טכניקות מעקב שונות אחרי משתמשים. מכמה ידועות עד כמה ידועות פחות.
internet-israel.com/?p=8708 🐪

הרשת רעשה לפני כמה ימים מ(עוד) גילוי על פייסבוק. מסתבר שפייסבוק מכניסה לכל תמונה שמועלה אליה קוד. הקוד הזה מאפשר לחברה לעקוב אחר כל תמונה גם אם היא מועלית שוב.
זה נשמע קצת כמו מדע בדיוני, אבל זה ממש לא. השיטה הזו נקראת סטגנוגרפיה. הסתרת מידע בתוך מידע אחר.
פייסבוק הסתירה מידע מוצפן בכל תמונה שהועלתה. אם הורדתם תמונה מפייסבוק והשתמשתם בה שוב - פייסבוק תדע שזו תמונה שהועלתה כבר ואת כל הפרטים עליה. זה לאו דווקא משהו רע, אבל בהחלט כדאי להיות מודעים לכך שכל פלטפורמה/מערכת יכולה להכניס מידע כזה לכל קובץ. הורדתם קובץ ושלחתם אותו למקום כלשהו? אם החברה הטמיעה את שם המשתמש שלכם בקובץ והקובץ שוב יגיע לידיהם - הם ידעו מה המקור שלו.
זה לא קסם האקרי אפל אלא טכניקה פשוטה ומעניינת ואתם יודעים מה? יופי של הזדמנות לדבר על הטכניקה הזו.
במאמר שלי ב׳הארץ׳ ובמאמר טכני יותר באינטרנט ישראל התמקדתי בטכניקה הזו - איך בדיוק עושים את זה? והדגמתי באמצעות cmd - גם איך משחזרים וגם איך בודקים את המידע הזה.
המאמר בהארץ :
https://www.haaretz.co.il/captain/software/.premium-1.7538222
המאמר הטכני יותר באינטרנט ישראל:
https://internet-israel.com/?p=8713 🐪

אגב, בספר הדיגיטלי שלי (שיוצא עוד שבועיים!!!) אני מטמיע טכניקה כזו (ועוד כמה) על מנת ״לחתום״ את העותקים ולזהות, במקרה של העתקה מסיבית, מי המפיץ. אני מעדיף את זה פי אלף על פני DRM מציק.

בזמן האחרון יוצא לי להיות מאוד לקוני פה. בעיקר בגלל העבודה על הספר (מחר הוא יוצא!). אבל לפרסם מאמרים טכניים כל שבוע אני מפרסם.
המאמר החדש הוא על בדיקת בעיות ב-CSS באופן אוטומטי. הרבה פעמים אנחנו נדרשים לתמוך בכל מיני דפדפני אנו-באנו - אם המצב שלכם הוא כזה, מומלץ וכדאי להשתמש בכלי קטן בבילד שלכם שימנע שימוש בתכונות CSS שלא נתמכות על ידי דפדפן כלשהו ממטריקס הבדיקות שלכם.
אם זה נשמע לכם כמו מדע בדיוני אז כדאי מאוד להכנס לזה ולקרוא. העולם מתקדם ואנחנו לא עובדים בצורה שעבדנו בה לפני עשור כי אנחנו חייבים להיות יותר יעילים. זו אחת הדרכים:
https://internet-israel.com/?p=8723

האתר שלי הוא אתר וורדפרס פשוט שאין בו שורת קוד אחת שכתבתי לבד. אבל מה? יש לי קישור בתחתית האתר שבו יש את מדיניות אבטחת המידע שלי וגם מייל מיוחד שבו אפשר לדווח על תקלות. לפני כשבועיים קיבלתי שם הודעה על בעיית אבטחה באתר. ארז רוקח, מהנדס תוכנה שביקר באתר גילה שאני משתמש בגרסת jQuery מתקופת המנדט שיש בה חולשות מובנות.
הפתרון? פשוט - לשדרג את הגרסה הארורה. אבל איך ארז גילה את הבעיה הזו? יש כלי ממש חמוד של גוגל שמוצא בעיות כאלו ובעיות אבטחה נוספות והוא נמצא כבר בדפדפן שלכם. במאמר הקצרצר הזה כתבתי על הכלי הזה וסיפרתי את הסיפור. ממש נחמד וכיף להכיר.
https://internet-israel.com/?p=8731 🐪
--
הספר הראשון שלי ׳ללמוד ג׳אווהסקריפט בעברית׳ יצא לאור במהדורה הדיגיטלית! אם רכשתם/הייתם שותפים בפרויקט ועוד לא יצא לכם להוריד - זה הזמן 😊
https://hebdevbook.com
הספר מתעדכן כל הזמן. כרגע אני מעדכן אותו בכל מיני בעיות, אבל בעתיד הוא יתעדכן גם בגרסאות החדשות של השפה ובמודולים שייכנסו. אם התלבטתם ולא הצטרפתם - עדיין אפשרי לעשות את זה בחנות של הדסטארט: https://headstart.co.il/project/44925
מה עם מהדורת הפרינט? ספר ה-Node.js המובטח? הכל בדרך. בדף הזה יש פירוט וגם הזדמנות להרשם לרשימת תפוצה שבה אני חופר על התקדמות הפרויקט בכל שבוע. משתף את הקשיים וההצלחות. בעמוד הזה:
https://internet-israel.com/jsheb-info
יאללה, חפרתי מספיק.

מאמרון קצר שכתבתי על תופעה שממש מרגיזה אותי כבר שנים - navigator.vibrate. זו פיצ'ר של HTML 5 שהוא די וותיק ודי מרגיז שמאפשר למתכנתים להרעיד לכם את הטלפון. במאמר הזה אני מסביר על הפיצ'ר הזה ואיך מפעילים אותו:
https://internet-israel.com/?p=8737 🐪
ואם אני כבר חופר - סיפור נאה על פרצה של אתר 3fun. זה אתר הכרויות למטרת מין קבוצתי. למשל זוג שמחפש צלע שלישית, רביעיה שמחפשת שלישיה למטרת שביעיה ושאר מצוות ומעשים טובים. חוקר אבטחה חביב עשה בדיקה על האתר הזה ועיניו חשכו. למה? מסתבר שמפתחי האפליקציה בחוכמתם האינסופית מחזירים את כל המידע על כל המשתמשים בבקשת GET פשוטה כאשר הם סומכים על הקליינט (!) להציג את המידע שמותר למשתמש לראות. מה זאת אומרת? זאת אומרת שאם אני, כמשתמש, מבקש מהאפליקציה להראות לי את כל הזיווגים ברדיוס מסוים (בקשה לגיטימית, כמו בטינדר למשל). השרת שולח לי את *כל* המשתמשים שיש באותו הרדיוס בלי שום קשר לאם הם רלוונטיים עבורי, אם הם במצב קריאה בלבד ואם הם ביקשו להציג את המיקום שלהם. האפליקציה היתה אחראית על הסתרת המידע שהמשתמש לא אמור לראות.
חוקר אבטחת המידע פשוט הרים POSTMAN, שיגר את הבקשה והסתכל על התוצאות שכללו גם מיקום חי של המשתמשים באפליקציה. למרבה ההפתעה, יש לא מעט חובבי מין קבוצתי שמסתובבים להם בבית הלבן ובבית המשפט העליון האמריקאי - שני מקומות שאמורים להיות שמרניים. אני ב ה ל ם. 😱
השוס האמיתי - כשהוא פנה אליהם הם ענו לו במבטא הודי וביקשו ממנו עזרה איך לסגור את הפירצה הזו. שזה מדהים כי זה כמו שקבלן יבקש ממך עזרה לבנות דלת. מי האידיוט שסומך על צד הלקוח שיסנן פרטים לא רלוונטיים למשתמשים? בכל מקרה הפירצה תוקנה וכתבתי על זה (כולל קישורים רלוונטיים וסרטון בו אני מסביר על פוסטמן) במאמר הזה ב׳הארץ׳:
https://www.haaretz.co.il/captain/software/.premium-1.7654666
.
.
.
[אזהרה, בדיחת אבא דלוחה: הכותרת המקורית שלי היתה: ״אפליקצית המין הקבוצתי היתה חדירה״. לא מבין למה לא אישרו לי אותה 😢 ]

השולחן שלי מלא בחולשות אבטחה ופרצות וכך גם השולחנות של כל כתבי הטכנולוגיה שיש. באמת. אני כבר מיואש מזה. שוב ושוב אני נתקל בחולשות אבטחה משמעותיות שבאמת לא היו צריכות להיות שם. פעם עוד הייתי מתרגש, כועס ומתעצבן וכותב על זה. היום רק אם זה משהו ממש משמעותי אני מתפוצץ.
אבל הפוסט היום הוא באמת על משהו שטרם ראיתי עד כה ויגרום לכל מתכנת להתפוצץ (או לצחוק, תלוי באישיות).
עומר כביר ב"כלכליסט" פרסם אייטם נאה מאוד על פירצה משמעותית שהתגלתה בשרתי פרטנט. מי שגילה הוא ידידי המוכשר נעם רותם. בכתבה מוסבר על הצד העסקי של העניין - מטבע הדברים בכלכליסט לא ייכנסו לעניינים הטכניים.
https://www.calcalist.co.il/internet/articles/0,7340,L-3768261,00.html
אבל בדיוק בשביל זה יש לי בלוג טכני, כדי שאני אוכל להכנס לעניינים הטכניים והפירצה הזו היתה כל כך מגוחכת שהייתי חייב לכתוב עליה. הפירצה היתה מסוג SQL Injection. פירצה שכבר לא אמורה להתקיים בכלל מרוב שהיא וותיקה אבל עדיין מוצאים אותה.
אני עושה לא מעט הרצאות על אבטחת תוכנה ופיתוח מאובטח ובכל הרצאה כזו יש כאלו שמתפלאים, ובצדק, על העובדה שאני מדבר על SQL Injection. "מה? אפשר לכתוב קוד פרוץ לזה?" הם שואלים.
אז הנה, בפרטנר יצרו חור כזה . אבל רגע! זו לא סתם פירצה רגילה. הו לא, לא הייתי מתרגש בכלל מהעניין הזה. מסתבר שהם עשו משהו שעוד לא יצא לי לראות - בממשק עצמו הם איפשרו הרצת שאילתה שלמה (!!! 😕). כל מה שמישהו העביר ב-URL parameter ששמו היה sqlCommand פשוט רץ במסד הנתונים בלי הפרעה.😱
במאמר הטכני אני מסביר על זה SQL Injection ממש בקצרה ונכנס ל"עומק" הפירצה הזו. זה פשוט עצוב. אנחנו בשנת 2019.
https://internet-israel.com/?p=8752 🐪

יש התקפה מאוד מעניינת שמנצלת סוג של פיצ׳ר בדפדפנים. כאשר אני לוחץ על קישור באתר מסוים והוא פותח לי אתר אחר בלשונית דפדפן נפרדת, לאתר שנפתח יש יכולת להשפיע על כתובת ה-url של הלשונית המקורית באמצעות אובייקט שנקרא opener. זה יכול להיות בעיה כי סקריפט זדוני יכול לשנות את ה-url המקורי לאיזה אתר פישינג והתקפות כאלו כבר נצפו בעבר.
אך לא אלמן פיירפוקס, כרום ואפילו אדג׳ וספארי ויש פתרון בדמות rel=noopener ומומלץ מאוד להכיר אותו. הפתרון הזה מונע מאתרים שאתם מקשרים אליהם לגשת לאובייקט opener.
ואם כבר אני מדבר על בעיות עם קישורים, זה הזמן גם לספר ולהדגים על rel=nereferrer שמגן על הפרטיות של המשתמשים שלכם מכל מיני תמנוני רשת (אהם אהם פייסבוק).
כל המידע על זה + דוגמאות שהכנתי בפוסט החדש:
https://internet-israel.com/?p=8760 🐪
אני מופיע בספטמבר בשני אירועים:
1. האירוע שאני ממש ממש נהנה להגיע אליו כל שנה (בפעם הרביעית ברציפות) הוא press4word. השנה אני אדבר עם אבטחה, כלים אוטומטיים וקצת על headers. ב-12 לספטמבר: https://press4word.co.il
2. האירוע השני הוא מיטאפ של קהילת המפתחים הרשמית של טוויטר בארץ. שם אני הולך לדבר על טכנולוגיה מזווית לא שגרתית ומסביר איך ארגונים שונים משתמשים בטכנולוגיה כדי לחשוף מקורות של עיתונאים בטוויטר. ב-25 לספטמבר
https://www.meetup.com/Israel-Twitter-Developers-Community/events/263332103/
אל תגידו שלא אמרתי לכם.😊

אז היה לנו קצת שמח בביצה המקומית של בעלי האתרים עם מכתבים שקיבלו בעלי עסקים ואתרים מעמותה שנקראת 'נגישות IL' (שימו לב שלא מדובר בנגישות ישראל). במכתבים נטען שיש באתר שלהם "בעיית נגישות" ונמסר להם שאם הם לא יעמדו בכל כללי הנגישות הם צפויים למלוא הסנקציות שיש בחוק - מאסר פלילי וכמובן תביעה כספית נכבדה.
מעבר לעובדה שזה לא נעים לקבל מכתב כזה ואפילו מרגיז, זה גם לא תקין - כי אם יש בעיית הנגשה צריכים לפרט באופן טכני מה הבעיה של הבעיה הזו.
internet-israel.com/?p=8777 🐪

מאמר חשוב שכתבתי שלא רלוונטי כמעט לאף אחד פה ומספר על איך משתלבים בתעשייה בגיל מבוגר. כלומר בשלהי גיל ה-30, גילאי ה-40 וה-50. כן, זה בהחלט אפשרי ובניגוד למה שחושבים, ההייטק פתוח גם לגילאים מבוגרים. אני מקבל המון שאלות ובמקום להשיב בנפרד, כתתבי מאמר מקיף שמתייחס לגילאים מבוגרים יותר שיש להם אילוצים שאין לצעירים: ילדים או הורים מבוגרים, עבודה אחרת ומשכנתה והתחייבויות וכמובן אתגרים אחרים בהשתלבות בעבודה. כי בכל זאת מעסיקים מרימים גבה כשבא אליהם ג׳וניור בגיל 55. אבל הכל פתיר ו*אפשרי*
מן הסתם התמקדתי בעיקר בתחום שאני מכיר, שזה תחום פיתוח הווב. אז עם כל אנשי הדיגיטל, האבטחה, הפרודוקט, ה-SEO וה-support engineers - הסליחה.
https://internet-israel.com/?p=8788 🐪
--
השבוע ביום חמישי אני מעביר הרצאה מעניינת ביותר על HTTP Headers בפרס4וורד. הכנס, בה״א הידיעה, לאנשי וורדפרס. ההרצאה מדברת על אבטחת מידע באמצעות Headers והיא באמת מעניינת. אתמול עשיתי את החזרה עליה בפני עומרי (הבן הגדול שלי) והוא עף עליה. אז אם אתם בכנס - בואו! אני מרצה על הבוקר ויהיה הכי כיף שיש. מבטיח: https://press4word.co.il
--
בנוסף, אני הולך להרצות במסגרת המיזם המצוין של Wize - מרצים על הבר. הם עושים משאל על הנושא: האקינג, פרטיות או אבטחת מידע. זה הזמן להצביע ולהשפיע :) https://www.facebook.com/WizeNight/photos/a.261857920540455/2466341693425389/?type=3&permPage=1

אז לפני כמה ימים העברתי הרצאה על Secured HTTP Headers בכנס press4word. זה כנס ממש מגניב וכיפי ואני כבר מרצה בו בפעם הרביעית! בפוסט החדש. יש את המצגת ואת החלק הראשון של ההרצאה: מה הם Headers ואיזה מהם אנחנו חייבים להעיף מהאתר שלנו. מומלץ לא רק לאנשי וורדפרס:

https://internet-israel.com/?p=8800 🐪

החלטתי לשים פה קצת יותר פוסטים של דברים מעניינים שאני כותב עליהם ב׳הארץ׳. אבל לא לדאוג, עדיין המדיניות היא לא להציף ולהפציץ. פשוט במקום הודעה אחת בשבוע, שלוש. וכמובן לא בשעות הזויות/ימי חג ומועד.

כולנו מכירים אימות דו שלבי, נכון? זה אימות בנוסף לסיסמה שאני מקווה שמופעל אצל כולכם. אפשר להפעיל אימות דו שלבי עם אפליקציה, טוקן פיזי או סמס.
נכון, עדיף אימות דו שלבי בסמס מאף אימות דו שלבי. אבל אימות באמצעות סמס הוא רעיון פחות טוב. למה? כי קל לעקוף אותו. אחת הדרכים המגניבות נחשפה על ידי ESET.
אפליקציות מזויפות הן מכה מוכרת וקשה בגוגל פליי. ולא מעט אפליקציות מתחזות לאפליקציות של בנקים מנסות לגנוב את שם המשתמש והסיסמה שלכם. אבל מה קורה אם יש אימות דו שלבי? בעבר האפליקציות ביקשו גישה לסמסים. אבל מגרסה 6 של אנדרואיד, אין יותר גישה לסמסים מאפליקציות מפוקפקות אז מה?
האפליקציות הזדוניות ביקשו גישה אל ה*נוטיפקציות*. אותן הודעות שמופיעות לנו על המסך. כשסמס מתקבל, רואים את תחילתו בנוטיפקציות. וזה? זה מספיק. המשתמש היה מזין שם משתמש וסיסמה באפליקציה המתחזה והיא היתה עושה לוגין בשמו ושואבת את האימות הדו שלבי מהנוטיפקציות. זה הכל.
מה המסקנה? כרגיל: לשים לב למה מורידים, להעדיף אימות דו שלבי באפליקציה ולא לתת הרשאות לנוטיפקציות לאפליקציות. בנוסף, אולי להוריד את הנוטיפקציות בכלל מהמכשיר, בטח ובטח שהוא כבוי - זה רעיון טוב. גם לפרודוקטיביות.
תודה לאמיר כרמי שסיפר לי על זה :)
האייטם בהארץ למעונינים במידע מעבר:
https://www.haaretz.co.il/captain/software/.premium-1.7860188
הפוסט המקורי של ESET שאמיר כרמי שלח אלי:
https://www.welivesecurity.com/2019/08/22/first-spyware-android-ahmyth-google-play/
--
ועוד משהו - הקבוצה של ים מסיקה ״שיט טכנולוגי״ היא קבוצה סופר מומלצת: https://t.me/shiftech2 נסו ותהנו 😊

הפוסט החדש השבוע על DNS Propogation שבו אני מספר על מקרה שקרה לי והשבית את האתר שלי ליום שלם. מה קרה? קיבלתי תקלת DNS_PROBE_FINISHED_NXDOMAIN
איך מתמודדים עם זה? מה קורה כשיש תקלה כזו באתר שלכם? בפוסט יש הסבר מקיף על העניין שלפי דעתי מעניין לקרוא אם אתם לא מכירים.
https://internet-israel.com/?p=8746 🐪
--
ועכשיו לאייטם מעניין שפרסמתי השבוע על פנגו. אחד מפרטי המידע החשובים והרגישים שיש עלינו הוא מיקום. אתה יודע על מישהו את המקום שלו? אתה יכול לעשות המון. מבחינה מסחרית זה יופי של מידע, לא סתם waze נרכשה על ידי גוגל בסכום גבוה. לא סתם פייסבוק מבקשת הרשאת גישה למיקום לאפליקציות שלה. אבל לארגוני טרור, מודיעין וסתם לפושעים זו חגיגה אמיתית. גם מבחינה אישית - זו ההרגשה הכי לא נעימה לדעת שנתוני המיקום שלנו גלויים.
חברת פנגו אוחזת במידע מיקומי רגיש כזה. כל מי שיש לו רכב משגר את נתוני המיקום שלו בכל בקשה לחניה. כיוון שהחברה עובדת עם חניונים רבים - הנתונים על התשלומים בחניונים גם נאגרים בחברה.
אבל פנגו השתמשו בקוד מאובטח, המערכת שלהם לא חדירה. מה כן היה חדיר? מערכת של מסר10, ששלחה מידע לחלק מלקוחות החברה, שלחה דיוור ללקוחות החברה והשתמשה בקישורים קלים לניחוש. משהו בסגנון: example/?id=1234 - מה שהתוקף יכול היה לעשות זה לסרוק את כל הקישורים בשופי ובנחת ולקבל גישה לחשבוניות של חלק מהלקוחות בחצי השנה האחרונה.לא היתה הגנת brute force. זה אומר פרטי לקוח מלאים בתוספת נתוני מיקום של כל התשלומים שלו בכחול לבן ובחניונים. והכל בפורמט נוח לקריאה. על כ-5% מהלקוחות.
כמה וכמה חוקרי אבטחה ראו את העניין הזה. דותן אגמון דיווח לי ראשון, גם נעם רותם הבחין בעניין הזה וגם חוקרים אחרים. אם הם ראו? יש סיכוי שמישהו פחות נחמד ראה.
וזה לקח חשוב לכולם: גם אם הקוד שלכם סופר מאובטח, לפעמים כשל של ספק צד שלישי עלול לחשוף אתכם. כדאי מאוד לוודא שהספק שלכם עומד בסטנדרטים שלכם. אין מצב שחוקר אבטחת מידע היה רואה את זה ומאשר את העניין הזה. כדאי לדרוש מהספקים שלכם אישור על כך שהם עורכים בדיקות חדירות בתדירות מסוימת. זה המינימום של המינימום.
אבל לא הכל שחור - כשדיווחתי לפנגו הם הודו (!) לי והתייחסו לעניין ברצינות ובמהירות. גם זה משהו.
להרחבה, האייטם שלי ב׳הארץ׳:
https://www.haaretz.co.il/captain/software/.premium-1.7860043

"עד שלא מנתקים אותך, אתה לא יודע עד כמה זה היא חלק משמעותי מהחיים שלך". אלו המילים שד״ר בצר אמר לי. ד״ר בצר היה פעיל במאבק ציבורי של רופאי השיניים מול משרד הבריאות וגורמים נוספים ורבי כוח בשוק הטיפולים הקוסמטיים הרפואיים. המאבק הצליח, אבל מייד לאחר ההצלחה, ד״ר בצר שילם מחיר יקר.
מה המחיר? הוא הותקף באופן מעניין: מניפולציה שנעשתה בוואטסאפ גרמה לחסימת החשבון שלו בוואטסאפ לנצח.
מה המשמעות? זה אומר שאתה פשוט... נעלם. נעלם מהקבוצות (כולל אלו שניהלת, ואז הן נותרות יתומות), אי אפשר למצוא אותך וכאילו שלא היה לך חשבון מעולם.
התוצאה? גזר דין מוות חברתי ומקצועי. למרות שאנחנו פה בטלגרם החמים והנעים, וואטסאפ היא הפלטפורמה המובילה ביותר שיש ואם אתה לא שם? אתה לא קיים.
איך התוקפים עשו את זה? עוד לא ברור לי במאה אחוז. לפני כמה חודשים וואטסאפ הטמיעו מערכת חדשה למניעת ספאם. במסגרת המערכת כל אחד יכול לדווח. ב-white paper שהם פרסמו בנושא הם פירטו את הדרכים שבהן המערכת, באמצעות AI (כהגדרתם) תמנע ניצול לרעה. הנה קישור:
https://www.whatsapp.com/safety/WA_StoppingAbuse_Whitepaper_020418_Update.pdf
אבל נחשו מה? מישהו, כנראה, מצא דרך לעקוף את המערכת הזו והשתמש בטכניקה מסוימת כדי לתקוף את ד״ר בצר. איך? משתמשים יכולים לדווח על אדם גם בלי אינטראקציה איתו. למשל יצירת קבוצה, הכנסת מישהו, הפיכה שלו לאדמין ואז הזמנה של המון מספרים לקבוצה. הם מדווחים על הספאם ולאחר מספיק דיווחי ספאם מפוברקים, החשבון נחסם ולך תדבר עם הלמפה. ייתכן שזה מה שקרה עם ד״ר בצר שדיווח על הוספה מסתורית לקבוצה כזו בדיוק קצת לפני שחשבונו נחסם.
לאחר שננעל מחוץ לחשבון ואיבד קשר עם המשפחה, הקולגות והחברים. ד״ר בצר נאלץ לשנות מספר.
אבל התוקפים לא הרפו. 24 שעות אחרי כן גם המספר החדש נחסם בוואטסאפ. 😔
וואטסאפ הפכה לתשתית בה״א הידיעה. אם אתה לא שם, אתה לא קיים. הבעיה היא שוואטסאפ שייכת לפייסבוק, חברה שטובת המשתמשים ושירות הלקוחות הם... לא נר לרגליה. ואני עדין.
פניתי לפייסבוק. הם החזירו לד״ר בצר את המספר החדש והגיבו באופן לקוני מאוד:
"צוותים שלנו בדקו את הנושא ומצאו כי אחד החשבונות לא נחסם ועדכנו על כך את המשתמש. החשבון הנוסף נותר חסום מאחר שאנו מאמינים שפעילות החשבון הפרה את תנאי השירות שלנו. למרבה הצער, בשל מגבלות חוקיות איננו יכולים לשתף מידע נוסף אודות ההחלטה לחסימת החשבון"
מה בדיוק קרה? למה החשבון שלו נחסם? מה הפעולות הלא חוקיות שהוא ביצע? ד״ר בצר לא יודע. הוא לא טכנולוגי ולא עסק בהפצת ספאם וכמובן שאיש לא טרח לומר לו איזה תנאי שירות הופרו. עד היום. מסרתי את המסקנות שלי לפייסבוק, אך אני לא יודע אם נעשה איתן משהו.
מה המסקנה? אין ממש. אי אפשר להתנתק מוואטסאפ היום.
אתם מובילים מאבק? כדאי להתכונן לאפשרות של ניתוק חשבון הוואטסאפ. ולשקול ליצור מספר חדש לצורך המאבק.
חסימות השרירותיות הגיעו לוואטסאפ וזו לא הפעם הראשונה שאנשים נחסמים על לא עוול בכפם. ההערכה/ניחוש שלי? זה ילך ויתגבר. מי שקורא את ההודעה הזו כבר נמצא במצב טוב - כי אם יחסמו אתכם תוכלו להמשיך ולתקשר בטלגרם. אני משתמש גם בסיגנל במקביל לטלגרם.
מידע נוסף באייטם שלי בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.7874427
מטבע הדברים השרשור הזה *לא* יפורסם בפייסבוק.

בוקר טוב לכולם! יום ראשון וכרגיל פוסט חדש באינטרנט ישראל והפעם פוסט המשך על HTTP Headers ואבטחה. בפוסט אני כותב על שני headers חשובים: HSTS וגם x-frame - אני מסביר למה צריך אותם וכמובן שיש הדגמה.
ה-headers האלו חשובים לא רק בגלל הפונקציונליות שלהן. כשאני נכנס לאתר ואני רואה שיש אותם, ואין headers שלא צריכים להיות שם - זה סימן לכך שמישהו בדק את אבטחת האתר וזה כבר אומר המון. מאוד קל להטמיע אותן בכל מערכת.
וחוץ מזה, אם תקראו את המאמר תוכלו לומר לדודה המעצבנת בארוחת החג: "כן, היום קראתי מאמר מעניין על HTTP Strict Transport Security שמונע התקפות Man In The Middle SSL Strip" ולראות אותה מתעלפת לתוך המרק. וזה? זה שווה הכל. 👹
https://internet-israel.com/?p=8815 🐪

הנה סיפור משוגע לגמרי המערב ״האקרים״ טורקיים, הפלות אתרים וטמטום אינסופי.
הסיפור שלנו מתחיל בדיווח בטוויטר של העיתונאי יואב יצחק על כך שהאקרים תקפו את האתר שלו בדיוק כשהוא התכוון לפרסם ידיעה חשובה. האמת? אני בוש לומר שלעגתי לציוץ שלו. ״האקרים״ מסתוריים מופיעים כל הזמן כשיש תקלות.
אבל האמת? הוא צדק. איך אני יודע? כי קבוצת סקריפט קידיז (מונח המתאר אנשים עם ידע טכני נמוך המפעילים כלים אוטומטיים) פנו אלי בטוויטר בהתפארות והחלו לתקוף בהתקפת DDOS גם את האתר שלי. השם של המתקפה נשמע מפחיד - אך במקרה הזה זו היתה מתקפה פשוטה: הצפה של האתר שלי בבקשות כדי להפיל אותו. סייטגראונד, ספק האחסון, התמודד עם ההתקפה בגבורה. אבל ליתר בטחון העברתי את האתר לקלאודפלייר. וכעת הוא מוגן, לפחות ממתקפות פשוטות כאלו.
מה זה קלאודפלייר? איך אפשר להגן על אתר ממתקפת DDOS? כתבתי על זה מאמר - כדי לסייע לאחרים.
internet-israel.com/?p=8828 🐪
נחזור לקבוצת הטורקים. מה איתם? ובכן. כמו כל סקריפט קידיז הם התפארו בכל ״הישג״ מפוקפק שהם הגיעו אליו באתר המושקע שלהם.
מה הבעיה? הם איחסנו את האתר ב... Wix - לא הדבר הכי חכם כשאתה תוקף ישראלים ועוסק בפעילות פלילית בשם אידיאולוגיה. דיווח קטן למחלקת האביוז ופה זה נגמר. האתר של ה״האקרים״ הופל.
כל הסיפור גם באייטם ב Haaretz הארץ כמיטב המסורת:
https://www.haaretz.co.il/captain/software/.premium-1.7947979

שני אייטמים שלי לקראת יום כיפור בהארץ - כדי שיהיה מה לקרוא ברצף החגים הזה. אני מביא את עיקרם בהודעת החפירה הזו:
הכתבה הראשונה: כתבה ארוכה על אחת המהפיכות הגדולות שיש בתחום התשתית לאינטרנט שכרגיל היא סמויה מהעין: DOH. כן, כמו מה שהומר סימפסון אומר. DOH זה ראשי תבות של DNS Over HTTPS וזו טכנולוגיה שכבר כיום נמצאת בפיירפוקס/ באופרה וגם נכנסת לכרום החל מסוף החודש. מה DOH עושה? נשמע משעמם: הצפנה של התקשורת בינינו לבין שרת ה-DNS, השרת שאחראי לתרגום שם המתחם לכתובת IP. ההצפנה הזו, שמתחילה להכנס עכשיו גם כברירת מחדל בפיירפוקס ובכרום, הופכת את הצנזורה לקשה הרבה יותר כיוון שהיא מונעת ממדינות להתערב בתקשורת בין הלקוח לשרת ה-DNS וכן מעודדת לקוחות להשתמש בשרתי DNS חיצוניים. בישראל גם כך המון ישראלים משתמשים בשרתי DNS זרים, אז המגמה הזו רק תוחרף. דבר שממש פוגע דרמטית ביכולת של המדינה לבצע חסימות (שלא במתכונת סין, שיש לה מחיר כבד). המשמעות היא שכל החסימות שכבר כיום המדינה מבצעת הופכות להיות יותר ויותר לא רלוונטיות. שוב: לא "קלות לעקיפה" אלא פשוט לא רלוונטיות. חלק האנשים, ובעתיד רובם או אפילו כולם פשוט לא ישימו לב אליהן.
DOH מבצע הצפנה של התקשורת בינינו לבין ה-DNS ומונע מכל אחד להתערב בתקשורת בינינו לבין שרת ה-DNS הזר. משהו שגם מונע התקפות אבל גם מונע צנזורה. בישראל לא עשו את זה (עדיין) אבל לכו תדעו איזה מיקי זוהר או פורום הורים היסטרי יבואו ויציעו את זה בעתיד. אז שהו - האפיק הזה נסגר.
כמובן שממשלות בכל העולם מתקוממות. כבר כיום שרת התרבות של אנגליה, הממלכה הכי מטורללת ואויבת האינטרנט החופשי, דרשה מפיירפוקס שלא להפעיל את DOH כברירת מחדל. לגוגל לא היו לה דרישות. בינתיים.
מידע נוסף ומקיף בכתבה שלי פה:
https://www.haaretz.co.il/captain/software/.premium-1.7928317
הכתבה השניה באותו עניין. בטח יצא לכם לקרוא באמצעי תקשורת אחרים על ההצלחה הגדולה של הפרקליטות ומחלקת הסייבר שלה במאבק בפדופילים - חסימת 1,000+ אתרי אינטרנט פדופיליים.
אני לא מטיל ספק בכוונות הטהורות של הפרקליטות, אבל טכניקת החסימה הזו היא לעג לרש. לא בגלל שהיא קלה לעקיפה אלא בגלל שיהיו המון אנשים שלא ישימו לב אליה בכלל. הודות לניסיון המאבק הבלתי מתפשר של זיר"ה לפני כמה שנים באתר סדרות, למאות אלפי גולשים בישראל יש שרת DNS זר (לרובם יש 8.8.8.8). הם לא ישימו לב שההגבלה או החסימה הזו קיימות. זה כמו לשים שלט "הכניסה אסורה" בתחתיתו של ארון תיוק נעול ותקוע בתא שירותים מקולקל, ועל דלתו שלט: "זהירות נמר".
וזה עוד לפני שדיברנו על DOH והדחיפה של כל הדפדפנים לשימוש בשרתי DNS זרים.
יש דרכים אפקטיביות יותר להלחם בפדופיליה. חסימה כזו היא לא אפקטיבית, אשלית שווא והיא בבחינת שריפת משאבים לשווא. שוב, מבלי להטיל ספק ברצון הכן של הפרקליטות להלחם בתופעה הבזויה. כתבתי על כך בכתבה השניה שלי:
https://www.haaretz.co.il/captain/software/.premium-1.7957418
ומעט מידע רקע:
1. סרטון המסביר איך מפעילים את DOH בפיירפוקס, ההפעלה כבר מחברת אתכם ל-DNS של קלאודפלייר ברמת הדפדפן.
https://www.youtube.com/watch?v=CofWxTeYZEE
2. הודעה של גוגל על הפריסה של DOH שמתחילה בכרום.
https://www.chromium.org/developers/dns-over-https
יש שם הסבר על השינוי המהותי בינם לבין פיירפוקס.
ולסיכום החפירה האולטרא-ארוכה הזו:
התשתית שמשמשת אותנו באופן יומיומי כל הזמן משתדרגת ומתעדכנת. טכניקות חדשות נכנסות ומחליפות טכניקות ישנות והופכות את הצנזורה ברשת על ידי משטרים שונים לקשה הרבה יותר. אפשר לחסום באופן ברוטלי כמו סין/צ. קוריאה - אבל לחסימה כזו יש מחיר כבד. חסימה ברמת הרשת (כלומר לא על ידי התקנת תוכנה במכשיר הקצה) הופכת לבלתי אפשרית.

הגעתם לסוף החפירה? צום קל לצמים וחתימה טובה לכולם ואחלה יום לבני הדתות האחרות. 😊

מאמר חדש באתר לקראת החג - איך משנים/מנהלים/מוסיפים HTTP Headers באמצעות htaccess. זה הרבה יותר קל ופשוט ואני חושב שאם יש לכם שרת Apache, אז זו הדרך המועדפת והטובה ביותר לעבוד.

internet-israel.com/?p=8833 🐪

בנוסף - חדשות ממעבר לים. חוץ מעניין הברקזיט, בריטניה ניסתה להעביר חוק שיגן על הנוער המשתוקק לכל מיני... אתרי מצוות ומעשים טובים😱 . על מנת להגן על בני התשחורת (תשחורת מלשון שחר חייהם) - המפלגה השולטת באנגליה ושרת המדיה והתרבות בחוכמתן האינסופית החליטו לחוקק חוק שקובע שאתרי ה... מצוות והמעשים הטובים חייבים לבצע אימות גיל עם תעודות זהות, דרכון או כל מסמך חוקי אחר. אתר... מצוות ומעשים טובים שלא יעשה את זה וישמור מאגרים של משתמשים - ייחסם. אכיפת יצירת מאגרים רגישים כאלו, כולל פרטים מזהים, היא אפשרות בלהות מופרעת כמובן. אבל הגיון מעולם לא עצר מחוקקים בעבר (תשאלו את חה"כ מיקי זוהר וחברת הכנסת (כבר בדימוס) שולי מועלם). למרבה השמחה, לאחר דחיות חוזרות ונשנות - החוק הזה ב-ו-ט-ל. כפי שנאמר על ידי גדולים ממני: עוצו עצה ותופר.
כתבתי על זה בהארץ: https://www.haaretz.co.il/captain/net/.premium-1.7950978
אבל אני לא היחיד. כתבו על זה גם במקומות רבים אחרים:
https://www.calcalist.co.il/internet/articles/0,7340,L-3772028,00.html
https://tech.walla.co.il/item/3318479

ובנימה אחרת לגמרי - המהדורה הדיגיטלית השניה והמעוצבת של "ללמוד ג'אווהסקריפט בעברית" יצאה לאור ואני מאוד מתרגש. עוד מעט אוציא הודעה מסודרת במייל לכל הרוכשים (1981!), אבל פה אני יכול לפרסם כבר שהמהדורה החדשה כבר זמינה באתר. היא מעוצבת יותר, מתוקנת יותר וגם עם נספח חדש על פרוטוטייפ: hebdevbook.com
הספר כבר בדרכו לפרינט

מאמר חדש שכתבתי על פיצ'ר חדש ב-ES2020 (כן! אנחנו כבר שם) שכדאי להכיר אותו בשם globalThis שנכנס ממש ממש עכשיו! https://internet-israel.com/?p=8840 🐪
קצר, חמוד ופשוט וכדאי לכל מתכנת ג'אווהסקריפט להכיר.
--
אחת מהדרכים הטובות ביותר לשמר ולחזק את הידע המקצועי ואת הנוכחות המקצועית היא להגיע לכנסים ולהרצות. אחד מהכנסים, בה"א הידיעה, המעניינים שהולכים להיות בקרוב הוא Node TLV. לכנס כבר מגיעים מרצים בינלאומיים כמו מתאו קולינה (חבר ה-TSC) ודניאל ארנברג (אחד מה-TC39 שקובעים ומחליטים על פיצ'רים חדשים בג'אווהסקריפט כמו הפיצ'ר שלעיל).
אפשר כבר עכשיו לרכוש כרטיסים לכנס אבל חשוב יותר - אפשר להגיש הצעות להרצאות - אם לא שמעתם, אם לא ידעתם - זה הזמן להגיש הרצאה בכל נושא שקשור ל-Node.js:
https://www.nodetlv.com

מאמר חדש בעקבות הרצאה שהעברתי במפגש המפתחים של טוויטר - ושוב אני חוזר לסטגנוגרפיה ומראה איך באמצעות כלי קוד פתוח אני יכול להשתיל מידע גם בתמונה שעוברת דחיסה ונשלחת בדיאם (המסרים הפרטיים) של טוויטר. סטגנורפיה זה באמת עולם מופלא.

https://internet-israel.com/?p=8813 🐪
--
אייטם נוסף ומרתק שהוצאתי השבוע נוגע למערכת נט המשפט. נט המשפט היא מערכת שמנהלת את כל המערכת המשפטית בישראל ומכילה מידע רב על תיקים, עדים וצדדים לדיון. כל אחד יכול להכנס למערכת הזו ולחפש בה, אך כשסתם גולש אנונימי מסתכל על פרטים של צדדים בתיק, הוא רואה רק את השמות שלהם. אם הוא לוחץ על "צפה בפרטים נוספים" הוא מקבל הודעת שגיאה נאה. מה הבעיה?
הבעיה היא שהמידע על כל האנשים קיים גם קיים ונשלח מצד השרת לכל גולש אנונימי, פשוט המערכת מציגה בצד הלקוח רק את המידע המותר לראות - אבל המידע בהחלט קיים ונמצא גם ב-DOM - פשוט מציגים רק את המידע שהגולש יכול לראות. הרי אף גולש לעולם לא יפתח כלי מפתחים ויסתכל... 😁
כמובן שאין הגנה מקראולינג אז כל אחד היה יכול לבנות מאגר נאה עם כל הנתונים (כולל שם אב!) של כל מי שהיה מעורב אי פעם בהליך משפטי - תבעתם בתביעה קטנה? היה לכם דו"ח על מהירות? ברכותיי, גם אתם שם.
יאמר לזכות מערכת המשפט שהם תיקנו. זה לא מה שקורה תמיד כשמגלים ליקויים במערכת הזו. בגלל זה היא נראית כך, כי לא מעט אנשים חוששים להתקרב אליה. גם אני - אבל במקרה הזה אני לא התקרבתי ולא גיליתי. מי שגילה הוא אנדי וורמס וגיא זומר ממערכת 'תולעת המשפט' שסורקת את הנתונים הגלויים של נט המשפט ומציגה אותם באופן ידידותי למשתמש וסיפרו לי על כך.
הכתבה: https://www.haaretz.co.il/captain/software/.premium-1.8062031
האתר של תולעת המשפט - חפשו את עצמכם שם 😃 - https://תולעת-המשפט.קום/
--
אם אתם רופאים, אז ביום שלישי בערב נעם רותם ואני מגיעים לאירוע של ההסתדרות הרפואית (הר"י) ומדברים על פרטיות רפואית ועל הבעיות שיכולות להגרם מכל מיני חורי אבטחה. אל תשכחו לומר שלום!

זה יקרה מתישהו לכל מתכנת או מתכנתת - השפה, הפריימוורק או הספריה שהשקענו מאמצים רבים ללמוד ולהתמקצע בה מתחילה להתיישן ויש כבר מתחרות שנושפות בעורפה. אין דבר מלחיץ יותר מההבנה שהשפה מתיישנת ואנחנו עומדים בפני בעיה משמעותית. זו הסיבה שעניין ה״איזו שפה יותר טובה״ מרכז המון אמוציות. כי זה משהו שמעורר חשש. אין דבר יותר מפחיד מלשמוע: ״מה, אתם עדיין מתכנתים ב-XXXXX ?!? זה מת״. זה לוחץ על כל הכפתורים: חשש כלכלי ומעמדי וענייני אגו (פתאום הידע שלי לא שווה הרבה).
זו הסיבה שהחלטתי לדבר על כך בפודקאסט ״עושים תוכנה״ ואני משתמש בניסיון שלי, בתור מי שהיה שם. הרי החלפתי סטאק טכנולוגי כמה פעמים בחיים שלי. מפלאש ל-PHP, מדרופל לאנגולר 1.2 ול-1.5 ומאנגולר לריאקט. ראיתי טכנולוגיות מתות וזה לא תמיד נעים. מצד שני, זה לא תמיד נורא.
בפרק אני מדבר על זה, יחד עם עמית בנדור וחן פלדמן. לפי דעתי כדאי להקשיב. הפרק הזה הוא הפרק המושמע ביותר בקטגורית טכנולוגיה בפודקאסטים הישראלים באפל מיוזיק. פחות בגלל האישיות הרדיופונית המהממת שלי ויותר בגלל הנושא. וזה נושא בוער.
להאזנה:
https://www.ranlevi.com/2019/11/12/osim_software_frameworks/