🐪 מה צריך כדי להיות האקר? קפוצ׳ון, מסיכת גיא פוקס, חדר חשוך ואם אתם מתכננים להשיג פרטים חסויים של רשות החברות הממשלתיות - גם יכולת לעשות copy&paste. מסתבר שהממשלה אפילו לא מצליחה לצנזר פרטים מוכמנים בדו״חות כספיים שמוצגים ב-PDF. כן, שוב הקטע שאם משחירים את הרקע של הטקסט הם חושבים שאי אפשר להעתיק ולהדביק אותו במקום אחר. שיהיה לנו בהצלחה במתקפה אמיתית, כן?
https://internet-israel.com/?p=7534

🐪 אם יש להם אתר תוכן, אתם בטח תתפלאו לדעת שיש אנשים שמדפיסים את התוכן שלכם. רגע, מדפיסים? על נייר? לא. לא על נייר - אלא על PDF לקוראים אלקטרוניים או לגישה נוחה אופליין. עם print.css תוכלו לקבוע איך האתר שלכם יראה בגרסת ההדפסה:
https://internet-israel.com/?p=7545

🐪 אם הייתם צריכים לשמור על תיקים רפואיים עם מידע רגיש, איפה הייתם שמים אותו? מסתבר שיש כאלו שחושבים שזה חכם לאחסן מידע רגיש ב-FTP פתוח ללא צורך בסיסמה. בפוסט אני מראה איך ״פרצתי״ לשרתים שיש בהם מידע כזה + כתבה בחדשות.
https://internet-israel.com/?p=7379
אם אני כבר מדבר על מידע ואחסנה שלו - אם אתם לא רוצים לאחסן מידע ב-VPN. יש מיטאפ מוצלח מאוד (באנגלית) על איך עושים מיגרציה ל-AWS. המיטאפ ברמת גן במשרדי OATH ויתקיים ב-19.2.
https://www.meetup.com/Tech-Talk-Teach/events/247153015/

🐪 המיטאפ האחרון שהעברתי היה עם קונספט מגניב: שנות ה-90. במסגרת המיטאפ שחזרתי את תגית <blink> מנוחתה עדן עם native web component. מגניב, קל ופשוט. באמת :)
https://internet-israel.com/?p=7558

🐪 פרצת אבטחה חמורה חשפה המון מידע של הזכיינית קשת כולל לא מעט חשבונות מייל רגישים. לא מדובר בפרצה מתוחכמת אלא בקישור למסמך שנחשף בסטטוס פומבי בדף של התוכנית ׳אופירה וברקו׳ שלה יש אלפי עוקבים.
https://internet-israel.com/?p=7571

🐪 מה אתם יודעים על הדארק ווב? רוב המפתחים/האנשים הטכנולוגיים יחשבו שזה בבל״ת עינב גנד גלילי. אבל יש כזה דבר וגם ממש קל להתחבר אליו. מבוא ממש קצר וממש ממש פשוט. בהמשך - הרחבות אבל עכשיו? ת׳כלס ות׳כלס בלבד.
https://internet-israel.com/?p=7451

כמובטח - מאמר המשך על הרשת האפלה: האם Tor הוא באמת אנונימי? על מנת לענות על שאלה זו צריך להבין איך הוא עובד, איך הרשת הרגילה עובדת ואפילו איך VPN עובד. את כל זה אני מסביר במאמר + הסבר למה במקרים מסוימים Tor לא מגן על הפרטיות.
https://internet-israel.com/?p=7610
🐪

ברוכים הבאים לפינתנו: חורי אבטחה באתרים שלא אמורים להתקיים בכלל. והפעם? הפעם חולשה קלה לזיהוי באתר קרנות השוטרים שאיפשרה במשך זמן רב לכל אחד לדעת אם מישהו (על פי מספר תעודת זהות בלבד) הוא שוטר, גימלאי או מתנדב בכיר במשטרה. כמובן שגם אין הגנת bruteforce אז היה גם אפשר לשתות את כל מאגר תעודות הזהות של השוטרים בשופי ובנחת ללא כל הפרעה.
הפוסט המלא והטכני שלי עם ההפניות לידיעות בכלכליסט ולכתבה בערוץ 2:
https://internet-israel.com/?p=7601
🐪

באירופה יש את ה-GDPR שמגן על נתונים פרטיים של אזרחים. מה לנו יש? לנו יש את אתר זאפ שמכיל נתונים של בערך מיליון לקוחות רשומים (מספרי טלפון ניידים, מיילים, כתובות פיזיות ואפילו טלפון בבית) שהיה חשוף לחלוטין לאנשים ללא ידע טכני משמעותי. כלומר כל אחד היה יכול להוריד את כל פרטי הלקוחות של האתר בנחת וכן לעשות שם שינויים. המתכנת עידו פרידלנדר ואני חשפנו פרצה ענקית שנובעת מכשל טכני משמעותי שאני לא מאמין שהוא קיים בשנת 2018 (וגם שימוש ב-SOAP שלא ראיתי אותו עשור בערך).
הכתבה הטכנית המלאה והקישור לידיעה בגלובס שליוו את העניין מבחינה תקשורתית פה:
https://internet-israel.com/?p=7591 🐪

שני עדכונים על הבוקר היום 🐪
העדכון הראשון הוא הידיעה על כך שפייסבוק חוסמת אתרי שיתוף קבצים. כשאני אומר ״חוסמת״ אני מתכוון לא ל׳שייר׳ או כתיבה בפוסט. פשוט לא תצליחו לשלוח לחבר שלכם הודעת פייסבוק פרטית לחלוטין עם הקישור ״האסור״. כן, כן. דוגמאות והוכחות כאן:
https://internet-israel.com/?p=7647
העדכון השני הוא פוסט על איטרציה אסינכרונית - התוספת החדשה לתקן ES2018 של ג׳אווהסקריפט. איטרציה אסינכרונית נשמע כמו משהו משעמם אבל זו תוספת סופר חשובה וסופר מעניינת שהיא עוד צעד להפיכת ג׳אווהסקריפט לשפה שנכתבת כסינכרונית אבל מתנהגת כאסינכרונית. נשמע כמו ג׳יבריש? המאמר הבא יעשה לכם סדר + דוגמאות:
https://internet-israel.com/?p=7629
אני כאמור זמין תמיד לכל הערה או שאלה במייל: ran@bar-zik.com או כאן ב-rbarzik.

הנה משהו שהיה ידוע לכל אבל אני לא הכרתי אותו - הידעתם שאם אדם זר (שאינו חבר שלך או חבר של חבר שלך) מחפש את מספר הטלפון שלך בפייסבוק - הוא מגיע לפרופיל שלך? גם אם הגדרת את מספר הטלפון שהזנת לפייסבוק כפרטי.
התקשרת לנציג שירות? הזמנת משלוח מזון ממסעדה? השליח או הנציג יכולים לדעת בדיוק מה הפרופיל שלך בפייסבוק/להזיל ריר על אלבום תאילנד שלכם.
לא, זה לא באג - זה ״פיצ׳ר״ של פייסבוק שלא טורחת לשנות אותו למרות התלונות. מי שרוצה יכול למנוע את זה - בפוסט הבא שפורסם באתר ׳המקום הכי חם בגיהנום׳ אני מסביר וכותב בדיוק איך:
https://www.ha-makom.co.il/post/ran-barzik-facebook

חדשות הסייבר! ומי הפעם רוכב על עגלת הסייבר? זיר״ה, הארגון המושמץ להגנה על זכויות יוצרים שהחל שוב לחמם מנועים. הם הפיצו ״מחקר״ על סכנות כריית המטבעות שיש באתרי הצפיה הישירה. המחקר המאיים ומלא הכותרות המפחידות עלול בהחלט להטריד. אך לא אלמן ישראל. יואב סטולר ו׳כלכליסט׳ פנו אלי כדי שאבדוק. אז בדקתי. באופן מפתיע משהו, שוב מסבר שזיר״ה לא ממש אמרו את האמת. רוב האתרים הגדולים לא כורים מטבעות, מי שכורה עושה את זה בצורה אתית וגם זה לא ישפיע עבור רוב המשתמשים באתרים האלו כי יש להם תוספים שיחסמו את זה ברוב המקרים.

לכתבה בכלכליסט: https://www.calcalist.co.il/internet/articles/0,7340,L-3733402,00.html
🐪 לפוסט המורחב והיותר טכני שלי בנושא: https://internet-israel.com/?p=7654

ואם כבר אני מציק - יש מיטאפ מאוד מוצלח שכדאי לבדוק ב-19 למרץ בנושא ג׳אווהסקריפט שמתקיים אצלנו ב-Oath. אני אהיה שם יחד עם פיצות, בירות וחיוך :)
http://meetu.ps/e/DSRG4/tJbJp/d

יום ראשון הגיע וזה הזמן לפוסט טכני - אחד הדברים היותר מעניינים ב-JavaScript ES2018 הוא פירוק ובנייה של אובייקט באמצעות האופרטור [...]. ב-ES6 ראינו איך עושים את זה עם מערך. עכשיו גם אובייקטים מצטרפים לחגיגה 😀
אם אתם מתכנתי פרונט אנד ולא מכירים עדיין את spread\rest חמש דקות של קריאה ואתם תכירו. אם אתם לא מתכנתי פרונט... טוב, נו - לא חייבים לקרוא כל מאמר. 😊
https://internet-israel.com/?p=7668 🐪

למי שלא קרא עיתונים היום - אפליקצית רמיני (האפליקציה שמשרד החינוך משתמש בה) נפרצה וחשפה יותר ממאה אלף פרטים של הורים ומיליוני תמונות של ילדים. נפלא, לא? רוב האנשים אומרים ׳סייבר׳ אבל פרצות כאלו הן לא אסון טבע - הן תולדה של שורה של כשלים טכניים אלמנטריים. בפוסט הזה אני מרחיב ומסביר על הפירצה ולמה היא כל כך מרגיזה אותי:
https://internet-israel.com/?p=7692 🐪

למי יצא לעבוד עם עוגיות בשנים האחרונות? כן, כן - עוגיות. לא localStorage. ברוב המקרים אנחנו כן עובדים עם עוגיות אבל דרך אבסטרקציות שחוסכות לנו הרבה כאב ראש וכאב לב ו-document.cookie. זה מעולה, אבל מה שקורה הוא שלהמון אנשים לא יצא לעבוד עם עוגיות ואז יש בעיה קשה לדבג. אחרי שקולגה הסתבך בבאג של session, החלטתי לפרגן לו במאמר מבוא על עוגיות עם שפע של הסברים בסיסיים. אם אתם זקנים כמוני, המאמר לא יעניין אתכם. אם תמיד התייחסתם לסיפור של סשנים כוודו, יש סיכוי שהמאמר יעשה לכם סדר.
https://internet-israel.com/?p=7700 🐪

פרצת אבטחה מסוג XSS אתם מכירים? הסוג הזה כמעט נכחד (לפחות וריאציה שלו) אחרי שגוגל הכניסו בכרום כמה שינויים וחסמים. אבל לא אלמן ישראל והמוח של הקרימינל המצוי יכול למצוא חורים גם בהגנות האלו. חולשה באתר של עירית רחובות (שתוקן במהירות, יאי!) מאפשר לי להדגים את הפירצה הזו באופן מאוד נאה.
פרסמתי קודם ב׳הארץ׳ בגרסה ערוכה, כתובה היטב וקלה לעיכול:
https://www.haaretz.co.il/captain/software/.premium-1.5909536
וכמובן הפוסט הטכני שלי שמכיל יותר מידע טכני לאלו שמבינים:
https://internet-israel.com/?p=7674 🐪
ואם כבר אני חופר פה, אם מישהו מתעניין - כתבה גדולה בגלובס שבה אני בוכה על כך שאף אחד לא משלם את המחיר על פרצות אבטחה:
http://www.globes.co.il/news/article.aspx?did=1001227644

הגיע הזמן לטינוף הדו-שבועי על פייסבוק. הכירו את כריסטופר וויילי. מדען מידע שעובד בקיימברידג׳ אנלטיקה שאספה מפייסבוק בשיתוף פעולה איתה מידע על חמישים מיליון אמריקאים באופן לא חוקי. הוא חשף את המידע הזה לאחרונה וזה עושה צרות מטורפות לפייסבוק.
אבל רגע! זה לא הסיפור המעניין. כיוון שחשיפת המידע סיבכה את פייסבוק והביכה אותו, כמו כל חברה אחראית הם מייד ניגשו לנקום למרות שוויילי לא עבד בפייסבוק, לא עשה כלום בפייסבוק - הם חסמו לו את החשבון. לזה אנחנו כבר רגילים, נכון? אבל הם חסמו לו גם את חשבון *הווטסאפ* וזה כבר תקדים מדאיג.
בדיוק כמו בחסימות אחרות - מה שהיום נעשה עבור מישהו אמריקאי שסיבך את פייסבוק, מחר ייעשה לישראלי ששיתף מתכון לעוגה. מידע ופרטים נוספים, פה:
https://internet-israel.com/?p=7719 🐪
ואם כבר אני חופר - ביום חמישי הזה יש לי מיטאפ (טכני, על CI) ב-tech7 בבאר שבע :) מי שנמצא באיזור הדרום ורוצה לשמוע אותי מוזמן
https://docs.google.com/forms/d/e/1FAIpQLScGgmWYpf-5blEnzsPpSomNz03A0gQTioUztpFyk1LN0EaKkQ/viewform

הנה משהו שאשתי לא ידעה. ואם היא לא ידעה, אז יש סיכוי שגם אתם לא תדעו: למה חשוב כל כך להכניס אימות דו שלבי לווטסאפ שלכם (אם פייסבוק לא חסמה לכם אותו). למה זה חשוב? כי כל מה שמי שרוצה לגנוב לכם את החשבון צריך זו גישה של דקה לטלפון שלכם גם אם הוא נעול.
אז אתמול בערב דיברתי על זה בתוכנית נקסט בערוץ 12 ועכשיו אני מעלה פוסט מורחב עם הדגמות ומידע נוסף והכי הכי חשוב: איך עושים את האימות הדו שלבי. שתי דקות על השעון ותהיו ה-ר-ב-ה יותר בטוחים. באחריות.
https://internet-israel.com/?p=7717 🐪

פישינג קורה גם בישראל - בשעות האחרונות נעשה ניסיון מחוכם ואפקטיבי כזה ברשת טוויטר שכוון כלפי משתמשים ישראלים (ולא, לא בעברית עילגת הישר מהתנור של גוגל טרנסלייט). זו הזדמנות מעולה להתריע מפני התקפות פישינג שמיועדות לקהל ישראלי וגם לחזור על כמה כללי זהירות. הסיפור על המתקפה האחרונה וגם הסברים ועצות בפוסט הזה:
https://internet-israel.com/?p=7743 🐪

איך קובעים אם סיסמה מסוימת היא חזקה או לא? למה מטריחים אותנו עם תוים מיוחדים בססמאות? במאמר על ססמאות אני מסביר על הכל. אני יודע שהכותרת מאיימת ויש גם קצת מתמטיקה (אבל ממש בקטנה). אבל הי! אם תקראו אותו תוכלו לומר בליל הסדר הקרוב ש״שומעים? קראתי מאמר על אנטרופיה של טקסט.״ ולצפות בשלל קרובי משפחה חוטפים התקפי אפילפסיה. וזה, תודו, שווה חמש דקות מהחיים שלכם.
https://internet-israel.com/?p=7707 🐪