מאמר חדש שכתבתי על SPF. שזה מנגנון אימות ותיק של מיילים. כמתכנת ווב, במשך שנים הדבר הזה שנקרא ׳מייל׳ היה סוג של וודו אפל שלא ברור לי לחלוטין מה המנגנונים שעומדים מאחוריו וזה נס שהדבר הזה עובד. אבל בפועל מייל זה דבר פשוט והמנגנונים מאחוריו פשוטים במיוחד. במאמר הזה אני מספר קצת על מיילים, איך הם עובדים ואיך משתמשים ב SPF כדי למנוע משלוח של מיילים באופן לא מאובטח. זה חשוב במיוחד אם המיילים שלכם (או של הלקוחות שלכם) מוצאים את דרכם לספאם או יש לידם סימן שאלה עם הודעה ש״אי אפשר לאמת את זהות השולח״.
https://internet-israel.com/?p=9011 🐪
--
לאלו מכם שנמצאים בהסגר ופנויים מספיק מבחינה רגשית/נפשית (כלומר אין להם ילדים קטנים שמטפסים על הקירות) - כתבתי מאמר עם רפרנסים וקישורים מעניינים למתכנתים/אנשים טכניים שרוצים להרחיב את היכולות המקצועיות שלהם בתקופת הקורונה:
https://www.geektime.co.il/learn-code-during-corona
--
ובענייני אבטחת מידע, למי שזה מאווודדד מפתיע אותו - רונן ברגמן בידיעות כותב על ״הכלי״ - המערכת של השב״כ שמאפשרת לכל אחד שם, בלחיצת כפתור, לדעת מה כל אדם במדינה בדיוק גולש ועושה. בשב״כ מבטיחים שלא משתמשים במערכת הזו לצרכים שהם לא לטרור. אני? משתמש בתור, ProtonVPN ובאמצעים אחרים ליתר בטחון. שיחות שאני רוצה שיהיה חסויות? דרך סיגנל. בכל מקרה שווה קריאה.
https://www.ynet.co.il/articles/0,7340,L-5701412,00.html

מאמר טכני על קומפוננטה ריאקטית שמציגה markdown. רגע! אל תרדמו. יש סיפור מעניין פה. בימים אלו אני שוקד על בניית אתר התרגילים לספר ״ללמוד ג׳אווהסקריפט בעברית״. בספר כבר יש לא מעט תרגילים ופתרונות אבל בתכנות - כל המרבה הרי זה משובח ולאחר שהפרויקט הצליח כך כך התחייבתי לבנות אתר שיש בו תרגילים רבים לתרגול עצמי. להרים אתר זה קל, אבל חשבתי, משיקולי תחזוקה, להרים אתר שיוכל לקרוא קבצי markdown שקל לקרוא ולתחזק. איך עושים את זה? כאן ריאקט נכנסה לתמונה. במאמר אני מראה איך עם ריאקט אני יכול בקלות ליצור רכיב שיציג לי markdown ועוד יצבע לי את קטעי הקוד בצורה נוחה ונעימה.
זה מה שמהמם בג׳אווהסקריפט ובאקוסיסטם שמלווה אותו - בין אם מדובר ב-Node.js, ריאקט, אנגולר או Vue. אפשר לעשות דברים מטורפים בשעות עבודה בודדות. בגלל זה אני כל כך אוהב את השפה הזו, למרות שהיא מושמצת :)
https://internet-israel.com/?p=9026 🐪
וכמובן שאם אתם רוצים להבין משהו בכל הג׳יבריש שכתבתי - ספר הג׳אווהסקריפט וספר הריאקט זמינים באתר https://hebdevbook.com
--
כתבה גדולה שפרסמתי ב׳הארץ׳ על איך עוקפים את המעקבים של שב״כ. כידוע, מסתבר ששב״כ עוקב אחר כל אזרחי המדינה (בלי קשר לקורונה) כאשר כל מה שאנו עושים נרשם במאגרי המידע העצומים שלו: המידע על מיקומנו הפיזי באמצעות איכון, לאיזה אתרים אנחנו גולשים (!) באיזה אפליקציות אנו משתמשים וכו׳ וכו׳. כל מה שחברות התקשורת רושמות בלוגים שלהם מועבר לשב״כ. וזה כך כבר שנים.
זה משהו שלקרוא לו ׳מטריד׳ זה אנדרסטייטמנט. גם אם סומכים על השב״כ בעיניים עצומות. ד״ר תהילה אלטשולר ציינה שבכל דיון כמעט של בית הדין למשמעת של המשטרה יש כתבי אישום על שימוש לא תקין במאגר מידע משטרתי. כל שוטר חש את העקצוץ של ״אני רוצה לדעת יותר מידע על המחזר של אחותי, על השכן המטומטם, על המורה בבית הספר של הילד שלי״. וחלק מהם, מה לעשות, לא עומדים בפיתוי. מי ידע כמה הפרות כאלו יש בשב״כ? הרי הכל חסוי שם. אני מעריך את השב״כ ולא חושב שזה ארגון פשע, אבל הפיתוי להשתמש במערכת הזו בהחלט קיים. אני לא רוצה שכל אחד ידע מה אני עושה ועם מי אני מדבר. אני שוטח את התפיסה הזו בכתבה ונותן עצות שימושיות לאלו שרוצים להגן על הפרטיות שלהם. בגדול: תור או VPN (תלוי איזה כמובן ויש עם זה בעיות וכו׳ וכו׳), שימוש בשיחה באמצעות תוכנות כמו סיגנל או טלגרם או ווטסאפ, https איפה שאפשר.
https://www.haaretz.co.il/captain/software/.premium-1.8723396

מאמר חדש באינטרנט ישראל שכתבתי: איך מציבים אפליקצית ריאקט כחלק בוורדפרס.
וורדפרס היא מערכת אולטרא פופולרית לאתרים, ריאקט היא פריימוורק אולטרא פופולרי לצד לקוח.
והן בהחלט יכולות לעבוד ביחד. כן! למה? לא חסרים מקרים שבהם זה לטובת הפרויקט. במאמר אני מספר על למה לפעמים צריך לשלב ביניהם ואיך עושים זאת. זה הרבה יותר פשוט ממה שחשבתם.
https://internet-israel.com/?p=9032

[ושוב ההמלצה שלי למפתחי וורדפרס - לימדו ריאקט! וההמלצה שלי למפתחי ריאקט פרילנסרים - לימדו וורדפרס!]

בוקר מעולה לכולם 😊 העדכון השבוע הוא מסמך חשוב מאוד של מערך הסייבר: מדריך לפיתוח מאובטח. בתור מתכנת שנמצא בתעשיה אי אלו שנים - אני מאמין בבניית תשתית נכונה וטובה לפיתוח המוצר. נכון, זה נראה קטנוני, פורמלי וגם גוזל זמן בהתחלה ומנוגד לאינסטינקט של רוב המתכנתים: ״לבנות מהר ולחשוב אחר כך״. כי זה כיף לתכנת ומבאס לבנות תשתיות לפיתוח. אבל תשתית נכונה לפיתוח מאפשרת לרוץ מאווווד מהר אחרי שבונים אותה ולהיות גם בראש שקט.
פיתוח מאובטח זו תשתית פיתוחית לכל דבר ועניין. מבדיקת קוד סטטית ועד סריקת חבילות, בדיקות אבטחה אוטומטית ואפילו review על כל קוד. פיתוח מאובטח מאפשר לנו להטמיע את האבטחה בשלב הפיתוח ולא רק ״בסוף״. זו השיטה המודרנית והטובה ביותר לפתח תוכנה בטוחה מ day0.
החשיבות של מערך הסייבר היא לא (רק) במקום מסודר שאפשר לדווח בו על תקלות אלא גם במניעה שלהן. שחרור של מסמך מסודר המדריך איך פיתוח מאובטח אמור להראות, שגובש אחרי התייעצויות עם מומחים רבים (גילוי נאות: גם אני ביניהם) הוא צעד חשוב וממש אבן דרך.
הנה קישור למדריך:
https://www.gov.il/he/departments/general/securedevelopment
הסברים נוספים על המדריך, למה הוא כל כך חשוב פה:
https://internet-israel.com/?p=9046
וגם בהארץ (הסבר פחות טכני) :
https://www.haaretz.co.il/captain/software/.premium-1.8805447
--
אגב, בניגוד ללא מעט אייטמים שלי - זה אייטם חיובי, על מקום שבו המדינה מתפקדת כמו שצריך. בדרך כלל המאמרים/אייטמים האלו פופולריים כמו אייל גולן בכנס פמיניסטיות. אבל כשצריך לומר דברים טובים, אומרים.
--
ואם כבר אני חיובי, שזה נדיר, אז נמשיך בכיוון. אני עובד בורייזון מדיה, שלמי שלא מכיר זו זרוע המדיה של ׳ורייזון׳ העולמית שיש לה מרכז פיתוח אולטרא מגניב בישראל. אנחנו עושים המון דברים מגניבים לטובת הקהילה כמו למשל הופעות חיות שמוסטרמות למיליוני צופים - הטכנולוגיה אשכרה מפותחת בישראל. מרכז פיתוח של מאה ומשהו איש. לטעמי זה מגניב. הנה קצת יותר מידע למעונינים:
https://www.linkedin.com/feed/update/urn:li:activity:6661611948087529472/

מאמר חדש שכבר מזמן מזמן מזמן הייתי צריך לכתוב על נעילת גרסאות ב Node.js. הייתי בטוח שהוא מופיע באתר כבר אבל מסתבר שלא, ואני צריך אותו בשביל המאמר הבא על shrinkwrap - אז הנה מאמר ארוך על גרסאות ב-Node.js ואיך לנעול גרסאות בפרויקט (ולמה) :
https://internet-israel.com/?p=9037 🐪

השר לענייני מים, השר לענייני אומת האש והשר לענייני פתח תקווה. ומי ישלם בדיוק? נחשו מי? אתם! היכונו להעלאות מיסים כבדות וכדי שיהיה לכם איך לשלם - כדי שתתחילו לעבוד כמו שצריך.
במאמר הטכני החדש שלי אני מספר על npm shrinkwrap ואיך משתמשים בו כדי לנעול גרסאות במודולים - וכן, זה שונה מ package,json ויש גם את פינת ה-yarnיסטים מתנשאים ועילאיים.
internet-israel.com/?p=9041 🐪

זה הזמן ללמוד כמו שצריך - כי מישהו צריך לשלם לשרים את המשכורות וכל אגורה קובעת וחשובה.

לא עדכון מאמר אלא תקציר מנהלים של אייטם שלי שעשוי להיות מעניין ומשהו שקצת חמק מתחת לרדאר הישראלי בגלל כל הברדק שהיה פה סביב השוד המאורגן שידוע בכינויו ״הקמת הממשלה״ - אבל גיפי, שירות הגיפים הפופולרי מאוד, הודיע על רכישתו על ידי פייסבוק ב-400 מיליון דולר. לא רע בשביל... מה? מאגר גיפים מטופש? אבל גיפי היא הרבה יותר ממאגר גיפים. היא מקור מידע.
כל פעם שמישהו מטמיע את גיפי במוצר שלו - למשל בווטסאפ, למשל - גיפי תדע על השימושים. הרבה משתמשים מאיזור בריטניה מחפשים גיף של ״Political Blunder״? אפשר להבין מה קורה מבחינת עולמית. משתמש מסוים מחפש גיף של ״vacation״? ובכן, זה מידע חשוב. לא? ויותר גרוע - לא מעט אתרים מטמיעים את גיפי אצלם. נכנסתם לדף מסוים וראיתם גיף חביב? גיפי יודעת את ה-IP שלכם, באיזה אתר הייתם ובאיזו שעה. אם במקרה עברתם דרך סקריפט של גיפי, תהיה אצלכם גם עוגיה שלהם.
המפתחים/בעלי האתרים מקבלים גיפים חינם. התשלום? זה אתם.
ועכשיו המידע הזה *כולו* אצל פייסבוק.
חלק מכם יגחכו ויגידו ״בחבחבח אין לי פייסבוק״. זה הזמן להזכיר בעדינות שמנכ״ל פייסבוק ציין בפירוש שהחברה עוקבת גם אחר משתמשים שאין להם חשבון בפייסבוק. למרות שהכחישו את קיומם ׳חשבונות צללים׳.
מה עושים?
מפתחים? תהיו מודעים לזכויות המשתמשים שלכם. זיכרו שהטמעת גיפי === העברת מידע.
משתמשים רגילים? תהיו מודעים. בפעם הבאה שפייסבוק מקריפה אתכם עם מודעה אולטרא מדויקת - אז לא, היא לא מאזינה לכם דרך האפליקציה, אלא בגלל שהיא יודעת עליכם המון בין היתר בגלל דברים כאלו.
להרחבה נוספת: האייטם בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.8852109

את זה כמובן שלא אפרסם בחשבון שלי בפייסבוק.

המאמר היום הוא בעקבות פרשת בוקס - פרשה שבמסגרתה אתרים רבים של החברה נפלו ומסתבר שגם הגיבוי אליהם אבד מבלי שוב. גם התקפות שונות שראינו על ספקי אחסון כמו יופרס שהיתה ממש בסוף השבוע הזה (והחברה התמודדה איתה בגבורה, ראוי לציין - כפי שסיקרתי בטוויטר, בפייסבוק וגם בהארץ כמובן) - מראות עד כמה חשוב שיהיה גיבוי לאתר.
במאמר הזה אני מסביר - *לחסרי ידע טכני* מה זה גיבוי של אתר - ההבדל בין גיבוי קבצים ומסד נתונים ואיך גיבוי אמור להראות וכמובן מראה איך מגבים בוורדפרס. כולם חוזרים על המנטרה הזו של ״צריך גיבוי״ אבל בפועל רבים לא מגבים וחבל - כי במערכות מודרניות זה עניין של כמה לחיצות. אז אם גם אתם נעתם באי נוחות במושבכם בכל פעם שדיברו על גיבוי ונזכרתם בזה שהאתר שלכם לא מגובה - זה המאמר בשבילכם:
https://internet-israel.com/?p=9054 🐪

המאמר הבא נכתב בעקבות מאמר במדיום של אדם בשם סטיב סטאג שהראה איך סקריפט יכול לשלוף מידע מתוך בוובסוקט שממומשת ברבים משרתי הפיתוח שמפתחי צד לקוח משתמשים בהם. כלומר תוקף זדוני יכול להציץ בלוג של שרת הפיתוח שלכם וכל מה שהוא צריך זה ג׳אווהסקריפט בלבד. במקביל, מוצרי אבטחה שונים מנצלים את אותו וקטור כדי לראות ולרחרח מה יש לכם על המחשב.

המאמר הוא מאמר טכני המיועד למפתחי צד לקוח ואלו ששוחים בג׳אווהסקריפט. אני שובר את הראש על גרסה למוגלגים. אבל זה לא פשוט. בכל מקרה - אין כאן סיכון מטורף אבל זה בהחלט משהו מעניין ואם הסתקרנתם לדעת איך עובד ההוט רילואוד - אז פה יש הסבר:

https://internet-israel.com/?p=9065 🐪

והיום בפינת הקרינג׳ הממשלתי - לימדו גם אתם להיות האקרים באמצעות דפדפן בלבד. כן!
לא מזמן יצאה הצעת חוק שבמסגרתה שוטרים יוכלו להכנס לבית של כל אזרח בלי צו ובלי הנמקה. בנוסף, מבטלים את יכולת החקיקה של הכנסת על הדרך. מטבע הדברים, החוק הזה מרכז עניין רב והממשלה העלה את החוק לאתר מיוחד שבמסגרתו האזרחים יוכלו להביע דעה. אבל כדי לוודא שמדובר באזרחים. יש מנגנון הזדהות.
היום נלמד איך עוקפים את המנגנון.
1. הצטיידו בכלי הפריצה המחוכם דפדפן.
2. הכנסו לאתר https://www.tazkirim.gov.il/s/tzkirim?language=iw&tzkir=a093Y00001Rd9B1QAJ&fbclid=IwAR1jKDQAeHYuKcoJ6WUERVPKnHv_2MVx6flcIEMC4nia_ww1zEzEbga3Tiw
3. השתמשו בכלי המפתחים כדי להסיר את ה-overlay מעל טופס התגובה.
4. מלאו ושילחו.
5. סייבר!!!!

לטובת הלא טכניים - זה כאילו שבאתר הממשלתי ציירו מנעול על הדלת ומעמידים פנים שזה מנעול אמיתי.

יש גם סרטון: https://www.youtube.com/watch?v=Gqacd7jObWs&feature=youtu.be

המאמר השבוע הוא מאמר חדש שכתבתי על... DKIM - מנגנון הגנה ואימות מיילים. מנגנון שעובד במקביל ל-SPF ומשלים אותו.
אני יודע שמיילים זה דבר מרתיע. עבור פרחחי ווב, כמוני, מיילים היו כמו מדפסות - משהו שתוכנן על ידי השטן ורק הוא יודע איך זה עובד ואם זה מתקלקל רק אלוהים יכול לעזור. אבל האמת היא שזה די פשוט וקל להבנה. במאמר הזה אני מסביר הכל על DKIM (ומקשר למאמר הקודם על SPF) - אני יודע שזה נושא שנראה לא מעניין ולא חשוב ובמיוחד למפתחי ווב - אבל תאמינו לי שכמה דקות קריאה יסגרו לכם את הפינה.

https://internet-israel.com/?p=9071
==
בנימה אחרת, לפני כמה ימים יצא לי לומר ״כל הכבוד״ לאנשי ממשל זמין שהציבו דף מיוחד וקישור לדיווח על אירועי אבטחת מידע ישירות לצוות שלהם. אם תכנסו ל gov.il תוכלו לראות את הקישור ולדווח על בעיות אבטחה ישירות לצוות שם. אני חושב שזה דבר חשוב כי הרבה פעמים מתכנתים, חוקרי אבטחת מידע ואנשים באופן כללי שמים לב לבעיות אבטחה ומנסים לדווח ולא יודעים למי - עכשיו יש. אני שמח לפרגן לצוות שם :)
https://www.haaretz.co.il/captain/software/.premium-1.8910291

הפוסט השבוע הוא מאמר נוסף על אבטחת מיילים או יותר נכון - החלק שבו אתם יכולים להבטיח שהמיילים שלכם/של הלקוחות לא ימצאו את עצמם בתיבת הספאם. והפעם? על DMARC. שזה לא ממש מנגנון הגנה אלא הצהרת כוונות שכדאי מאוד שיהיה יחד עם DKIM ו-SPF שכתבתי עליהם בעבר.
אני מקווה שהמאמר הזה ושני הקודמים לו יגרמו למיילים להראות קצת פחות כמו וודו אפל ודוחה.
https://internet-israel.com/?p=9077 🐪

המאמר השבוע קצת התעכב אבל הוא שווה ומעניין - המאמר עוסק ב-clipboard API החדש ואירועי ה-clipboard. אני מסביר ומדגים עם הרבה קוד. בסוף? בונוס - איך אפשר להשתמש בהם לכל מיני תעלולי אבטחה נלוזים ולמתקפות שונות. זה מאמר ארוך עם הרבה קוד, אבל אם אתם מפתחי ווב - לגמרי שווה.
https://internet-israel.com/?p=9087 🐪

מסתבר שהמידע שיש לכם ב-clipboard מאוד מעניין חברות ועסקים - במיוחד טיקטוק התמנונית והשמנונית שהאפליקציה שלה שואבת את כל המידע שיש שם לא מעט פעמים. המאמר בהארץ כבר בהכנה.

הפוסט החדש באתר הוא על דרך חדשה ומגניבה במיוחד לעקוף CSP. כן! למי שלא מכיר - CSP זה סוג של ״חומת אש״ שאפשר לשים באתר והיא תמנע, בצד הלקוח, שליחת בקשות לאתרים אחרים. למה זה טוב? המון תוקפים מתמקדים בגניבת פרטים מהאתר שלכם עם התקפות XSS. בריטיש איירוויז, מכירים? הם חטפו מתקפת XSS על עמוד הסליקה שלהם. במשך זמן, כל מי שרכש כרטיס דרכם גם שיגר את פרטי כרטיס האשראי שלו אל התוקפים. נזק של מיליונים רבים ותביעות משפטיות. עם מדיניות CSP אפשר לעצור את זה ולמנוע תנועה מהאתר אל מקומות לא מורשים.
אמיר שקד מ-PerimeterX מצא דרך לעקוף את זה. איך? באמצעות התלבשות על הבקשות של גוגל אנליטיקס. ויש כבר מתקפות כאלו בשטח.
הנה המאמר: https://internet-israel.com/?p=9099 🐪
יש שם גם הסבר על CSP. לא הכרתם? שווה מאוד להכיר.
--
השבוע היה לי את הזכות והעונג לדבר בפייסבוק לייב עם איציק זילברברג מקבוצת Israel Cyber Security על סייבר, איך זה משתלב עם עיתונות, מה זו עבירה על החוק ולמה מתכנתים צריכים להבין באבטחת מידע ולמה גם אנשי אבטחת מידע צריכים להכיר את הקוד. למי שרוצה לראות ופספס - הנה ההקלטה ביוטיוב:
https://youtu.be/QZcLXdov6QI
יש גם בפייסבוק בקבוצה המומלצת:
https://www.facebook.com/groups/israel.cyber.sec/?ref=share
היו המון משתתפים והמון צחוקים כולל ביצוע בלייב של ״פתח תקווה״ של אינפקציה.
--
ואם כבר אני חופר - הנה המלצות על כמה ערוצים מעניינים פה שאני מחובר אליהם:
הראשון הוא Really Good Front End - שחר טל ורוני אורבך, מתכנתים שאני ממש מחזיק מהם מבחינה מקצועית (אני חושב שאת רוני אני מכיר מקצועית יותר מעשור) וגם אחראים לחברת פיתוח מומלצת (הכתובת שאני תמיד מכוון אליה ששואלים אותי איפה לפתח) - הרימו ערוץ עם טיפים לפיתוח פרונט אנד. מומלץ: https://t.me/ReallyGoodFrontEnd
השני הוא הערוץ של Go Code שאני מאוד אוהב - גם את מי שעומד מאחוריו וגם את היוזמה באופן כללי. טיפים ומדריכים רלוונטיים לפיתוח פרונט ובק.
https://t.me/gocodesderot
לאלו שאוהבים לחפור על אבטחת מידע - יש את הקבוצה של CyberSpace ISR: https://t.me/cyberspaceisrael שימו לב שההודעות שם רצות בקצב של קבוצת ווטסאפ של הורי גן שניה אחרי שמתגלה שהגננת והסייעת חלו בקורונה, אבולה ואבעבועות שחורות.
הערוץ של קלינגר - עורך דין ואחד המומחים הגדולים בארץ לדיני אינטרנט גם הוא מומלץ:
https://t.me/jklinger
--
יש משהו שפספסתי? מכירים ערוץ להיט? שלחו לי אל rbarzik.

המאמר הפעם הוא מאמר מאוד מאוד טכני, אז כדי שהקוראים שפחות מתעניינים בזה לא יימלטו מהערוץ, אני אכתוב כמה מילים נוספות ומעניינות איך המאמר המשמים הזה קשור לאבטחה, להודים ואוקראינים ובכלל לחיים. המאמר הוא על... git commit linter שזה כלי שמבצע בדיקת קוד סטטית על git commit messages. למה צריך כזה דבר? אם יש לי כלים שבודקים את ההודעות האלו כדי לבצע פעולות מסוימות, אז הלינטר יכול להציל מתכנתים. ממש כך. למשל, lerna שמשתמשים בה לניהול מונוריפו. אם אני אכתוב chore ואז שם לא נכון של חבילה, אז הגרסה של החבילה לא תתקדם ויקח זמן לדבג את זה. הפתרון? לינטר *מקומי* במחשב של המפתח שיתריע בפניו. ירצה? יתקן. לא ירצה? no-verify וחלאס. אבל לפחות הוא ידע שזה על אחריותו.
https://internet-israel.com/?p=9104 🐪
--
ואיך זה קשור לאבטחת מידע? או להודים ולאוקראינים? קוד טוב זה קוד מאובטח. לא כל המפתחים הם גאונים, לא כל המפתחים הם מבריקים. אני (ואני לא ציני פה) מתכנת בינוני לגמרי. אני אסתבך עם רקורסיה, אני אשכח פונקציות, אני אכתוב קוד לא יעיל. איך אני גורם למתכנת בינוני לכתוב קוד מעולה? באמצעות תהליכים. תהליך שהקוד שלי עובר והופך להיות מצוין, תהליכים שמונעים ממני לבזבז זמן יקר. כי מתכנת מעולה ופדנט ידע לכתוב את השם של ת החבילה בלי שגיאות. מתכנת בינוני יעשה טעות ויקח לו שעתיים להבין מה התחרבש. שימוש בלינטר יחסוך את השעתיים האלו. וכשיש לנו מאות מתכנתים בצוות - זה חסכון עצום בזמן. ככה גם בנוגע לבדיקות אוטומטיות, בדיקות אבטחה וכו׳ וכו׳ - תהליכים כאלו הם אלו שהופכים קוד סביר לקוד מעולה ובקוד מעולה תראו ה-ר-ב-ה פחות בעיות אבטחה.
ומה בנוגע לאוקראינים והודים? אני מתכנת מאוד ותיק, ושומע על ״עוד מעט כולכם תוחלפו בהודים זולים בחבחבחבח״ כבר המון שנים. אז חשוב לומר שאוקראינה והודו הן מדינות ענק ומאוד קשה להכליל ואני מאמין שיש, סליחה, שרוב המתכנתים ההודים והאוקראינים הם מבריקים, אבל הם לא זולים. הזולים? הם לא יצליחו לנפק קוד איכותי - לא בגלל שהם טיפשים או שאני גאון - אלא בגלל תהליכים כאלו. אני לעולם לא אצליח להתחרות עם הודים, ויאטנמים, סינים וכו׳ על מחיר. הם תמיד יגבו פחות ממני. אני כן יכול להתחרות איתם על האיכות. והמאמר למעלה זה גם חלק משרשרת עצומה של תהליכים שכדאי להכיר וליישם כדי לנפק קוד איכותי יותר.
זהו. סוף לחפירה. תהיו חזקים בתקופה המאתגרת הזו ❤

המאמר היום הוא מאמר חמוד מאד על REL. כן! זה חלק מה-HTML הסמנטי שזוהרו הועם בשנים האחרונות בגלל כל הריאקט, האנגולר, הויו והעצלנות הכללית של המפתחים 😊 אבל זה משהו שכדאי לדעת. במיוחד כשכל מיני תקנים חדשים נכנסו לפעולה.

https://internet-israel.com/?p=9108 🐪
--
גרמין, חברת הכושר, הותקפה חזק מאוד על ידי תוקפים שכנראה השיגו גישה למערכות הפנימיות שלה והצפינו את המידע. יש סיכוי גם שהוא נכנס. גרמין היא חברה מובילה לשעוני ריצה ומכשירים נוספים הקשורים לבריאות (לי יש את השעון שלהם ואת המשקל שלהם) ודליפת מידע כזה היא אסון לפרטיות. מה שמפחיד הוא שהחברה הזו לא הפנימה שעם כל הכבוד למוצרים שלה, היא יותר חברת מידע מאשר חברת מוצרים וההתנהלות שלה מ-ז-ע-ז-ע-ת - אפס שקיפות ללקוחות, ניסוח מבלבל והתנהגות של ג׳וקים מסוממים בבקבוק. כל אחד מתישהו יחטוף התקפה - השאלה איך מתנהגים אחר כך. יניב אביטל (אחד מהכותבים האהובים עלי) כתב כמה מילים פה:
https://www.geektime.co.il/garmin-ransomware-attack/
--
אם אתם בפורום ה-CTO של מיקרוסופט, אני הולך לדבר על אבטחת מידע במפגש ארוחת הבוקר עוד יומיים. בזום. מטבע הדברים אני אדבר פחות על מתקפות (גם כמה כבר אפשר לדבר על view source) אלא על פיתוח מאובטח, איך נמנעים מקטסטרופות ומה עושים כשהעיתונאים הלא חביבים מתקשרים אליך עם דיווח (ולמה זה תמיד ביום חמישי?!?!?)

פוסט חדש שכתבתי על פיצ׳ר חדש ב ES2021 שמאפשר לנו לבצע החלפת טקסט כללית במחרוזות טקסא ללא רג׳קסים נוראים. הסבר, דוגמאות וכו׳ במאמר קצר ופשוט. הצטיידו בפיירפוקס! זה יהיה בכרום רק מהגרסה הבאה. (או שתפעילו בייבל).

https://internet-israel.com/?p=9113 🐪
--
הערת אגב: מסתבר שהפרצה העצומה לטוויטר שהיתה לפני זמן היתה בגלל תלמיד תיכון בן 17 שהצליח ברמאות פשוטה להשיג גישה למערכות פנימיות בטוויטר. מה שאומר שטוויטר צריכה לעשות תהליך רציני של חשיבה מחדש וגם מראה עד כמה באבטחת מידע מה שחשוב זה סדר, נהלים ותהליכים.

פוסט חדש שכתבתי על צורך שעלה לי במסגרת הפרויקט של הספר (ספר ה-MySQL בעריכה טכנית, אגב :) ). בפרויקט יש אתר תרגילים מקיף שמצטרף לתרגילים שיש בספר. ועלתה הבקשה שאתר התרגילים יהיה נגיש כאפליקציה דסקטופית. למה? חלק מהלומדים והלומדות הם מהמגזר החרדי, ובעוד שבכיתות יש להם אינטרנט, כשהם חוזרים הביתה הם לא יכולים לתרגל כי אין להם אינטרנט. בנוסף, תלמידים שמשרתים בצבא רוצים לתרגל בבסיס, ששם האינטרנט לא משהו או לא קיים. חוץ מזה, אנשים שלומדים ברכבת מתקשים להכנס לאתר (בקו באר שבע תל אביב יש קטעים ממש בלי אינטרנט).
מה הבעיה? אני מתכנת ווב. מה לי ולפיתוח של אפליקציות דסקטופ? למזלי הטוב אתר התרגילים פותח עם ג׳אווהסקריפט וריאקט שזה אומר שאני יכול להפוך אותו לאפליקציה דסקטופית בקלות עם אלקטרון. יותר בקלות עם בוילפלייט של אלקטרון וריאקט. בפוסט הזה אני מסביר על השיקולים בעד (וגם נגד) ומראה איך מתחילים.
הרבה טוענים כנגד ג׳אווהסקריפט כשפה ראשונה, כיוון שאני אדם מאוד יישומי, אני חושב שדווקא העובדה שאפשר לעשות איתה דברים כאלו יחסית מהר, היא נהדרת ללומדים שפה ראשונה:
https://internet-israel.com/?p=9116 🐪
--
ומשהו באופן אישי - השבוע פורסמה בגלובס כתבה נהדרת שבה דרור פויר ראיין את ד״ר ירדן לוינסקי (פסיכיאטר שהיה מתכנת ווב) על התקופה ועל המועקה הנפשית שמתלווה לתקופה כזו. שווה מאוד לקרוא:
https://www.globes.co.il/news/article.aspx?did=1001338413
מה שד״ר לוינסקי מייעץ זה, למי שיש לו קושי בהתמודדות עם המצב,, להתמקד בשלושה אספקטים: לימוד דברים שמסייעים למקצוע ולהגדלת הערך המקצועי, התמקדות במטלות יומיומיות או הכנות בבית לסגרים אלו ואחרים והמנעות מפוליטיקה ומצפייה עודפת בחדשות.
בהמשך לזה, מה שלי עזר זה הכנת הבית ללימוד מרחוק. עושה רושם שהלימודים מרחוק מלווים וילוו אותנו לתקופה ארוכה. אם אתם הורים/אחים/דודים לילדים בגיל בית ספר, זה הזמן להכין את התשתית בבית ללמידה מרחוק - זה לא חייב להיות עניין יקר. לא כל ילד צריך לפטופ באלפי שקלים ואפשר לארגן פינות למידה מרחוק עם טאבלטים פשוטים או דרכים אחרות בעלות נמוכה. את תקשורת האינטרנט אפשר לטייב לפעמים גם בלי כסף. דיברתי על זה גם בהארץ:
https://www.haaretz.co.il/captain/software/.premium-1.9026552
וגם בכאן 11 בתוכנית משחקי הכיס:
https://youtu.be/n2NT8TMERwY?t=1002

עדכון חדש באתר - רספברי פיי
מחשב לוח קטן וממזרי שהוא שימושי למיליון דברים: מעמדת עבודה אד הוק לילד שבו הוא יכול לעבוד עם אופיס וזום מול הטלוויזיה ועד כלי לימודי, כלי לפיתוח, בסיס מעולה לבית חכם ועוד שפע של שימושים.
הבעיה היא שאנשים, במיוחד מפתחי ווב פרחחים כמוני, די סולדים מברזלים וזה נראה מפחיד. אז הנה המאמר הראשון בסדרת מאמרים על רספברי פיי ובו אני מסביר וגם מתקין. יש סרטון והסברים ואם זה הצליח לי, שיש לי שתי ידיים שמאליות - זה בטח יצליח גם לכם.
internet-israel.com/?p=9137 🐪
--
אני יודע שכבר מזמן לא כתבתי פה. יש עלי עומס מאוד קשה ואני לא יכול להיות קשוב לחבריי היקרים כמו שאני רגיל. אני אשתדל לנקות את הסטאק. אבל עד אז אני לא יכול להתפנות כמעט לכלום לצערי :(

עדכון חדש באתר - על רספברי פיי ועל VNC. איך מתחברים מרחוק, בלי שום ידע טכני, באמת, לרספברי פיי עם ממשק גרפםי ממש כמו חלונות וממש כמו במחשב בעבודה. מבטיח לכם שזה הכי קל בעולם.

בתקופת החגים ובכלל הסגר, רספברי פיי יכול לספק תעסוקה מהממת לילדים (אם יש לכם) וגם לכם (טוב, רק לי). שווה להכיר. לא יקר ומאוד שימושי.
internet-israel.com/?p=9147 🐪
--
ובפינת הסקאם והאזהרות:
תקופת הקורונה מתמרצת לא מעט סקאמרים ועכשיו: אתרים למכירת צעצועים שנראים סופר לגיטימיים כמו httx://funchik.co.il ו httx://toysnfun.co.il והם נראים ממש ממש טוב. נסו (בזהירות)
מכירים את מאור דיין? הוא חוקר אבטחת מידע מהטובים וגילה שהאתרים האלו הם סקאם שמטרתו לגנוב מכם את פרטי כרטיס האשראי. כן, למרות שהם נראים מהמם. למרות העברית שלהם. למרות שהם נראים לגיטימיים.
כשאנו עושים רכישה באתר כלשהו - מה שקורה מאחורי הקלעים הוא שאנו מזינים את פרטי כרטיס האשראי באתר של חברה סולקת. חברות סולקות הן חברות שמגשרות בין אתרים מסחריים קטנים לבין חברות כרטיסי האשראי ומספקים ממשקים מאובטחים לסליקה. אתם לא רואים את זה, אבל בפועל זה מה שקורה. ובכן, לא פה.
פה כרטיס האשראי מוזן ישירות לאתר ובעל האתר מקבל אותו. הוא יחייב על ההזמנה, שמעולם לא תגיע, ויעשה תעלולים נוספים עם כרטיס האשראי. למשל חיוב נוסף, כניסה לאתר כרטיסי האשראי כדי לבצע העברות כספים ורישום נוסף. הוא גם פנה לרוכשים ושידל אותם להעביר את הסמס שהם קיבלו מחברת האשראי. באמת גועל נפש מזוקק.
דיין לא התעצל ודיווח למערך הסייבר שמכירים את האירוע. כרגע האתרים פעילים - הזהרו מאוד. אם הכנסתם את פרטי כרטיס האשראי לאתרים האלו - צרו מיידית קשר עם חברת כרטיסי האשראי שלכם. אנו רגילים להתקפות סקאמים וספאמים. אבל התרגלנו לראות התקפות בעברית רצוצה מגוגל טרנסלייט. לא הפעם.
האתרים המזויפים הם בעברית טובה ורמת גימור מעולה. כל אחד היה יכול ליפול. מה עושים? קונים ממקום לא מוכר? לחפש ביקורות עליו בגוגל/פייסבוק (כן), לראות מי החברה מאחורי האתר ואם יש מספרי טלפון/משרדים.
הקורונה דוחפת הרבה אנשים לפשוע, וזו גם שיטה. לצערי כרגע אנחנו לא יודעים מי עומד מאחורי האתר, אך יש מספר טלפון והמשטרה יכולה לבדוק את העניין. האם הם יעשו את זה? למרות שהוגשו תלונות, כרגע יש גרירת רגליים. אבל לזה אנחנו רגילים.
ותודה למאור ❤️🙏 גם לחברים האחרים שהתריעו ולפורום רוטר.נט - סקופים וחדשות שאצלם זה התפרסם בפעם הראשונה עד כמה שאני יודע.
מידע נוסף באייטם ב Haaretz הארץ:
https://www.haaretz.co.il/captain/net/.premium-1.9207510