מחשבות, מחשבים, ושאר דברי בלע

ציטוט מכתבה של יהונתן קלינגר בNRG:

חנני רויכמן, מבעלי חברת הד-ארצי, דיווח על חוויה אישית ששכנעה אותו בנחיצותן של חברות תקליטים. כששקל לקנות את הד-ארצי, סיפר רויכמן, בחן ראשית את המתחרים באמצעות הורדה של תוכנת קאזאה ושימוש בה כדי להוריד שירים. לאחר מספר שעות, לדבריו, נאלץ להתקין את כל התוכנות על המחשב מחדש.

אז מה יש לנו פה, אחד מבעלי חברת הד ארצי הפר את זכויות היוצרים של חברות מתחרות, סתם כי הוא רצה “לבחון אותם”.
בנוסף, הוא יצא אינווליד והדביק את עצמו באיזה ווירוס, מה שדפק לו את החלונות.
המסקנה שלו:
צריך חברות תקליטים כדי לא לקבל ווירוסים.
כמו סוני, שהדביקה את המשתמשים החוקיים שלה בrootkit.

1. בג”ץ: הומואים שנישאו בחו”ל ירשמו כנשואים.
2. בג”ץ: גירושים : רק ברבנות.

אם להשתמש במונחים מעולם התכנות, יש למדינה הזו בעיית תכנון (Design), ובגץ מנסה לפתור את הבעיה בטלאים.
Hacking the law.

שינאה.

בכתבה מלאה דמגוגיה של בעלי עניין, מואשמות ההורדות (שפורחות בשלוש-ארבע שנים האחרונות) בירידה של יותר מ80% במכירות כרטיסי הקולנוע מ1966 ועד היום.
כמו כן, אבי לרנר- מפיק, מציע להדביק בווירוס מחשבים שמורידים סרטים מהאינטרנט.
אני אומר, לך על זה, רק טוב יצא מזה:
* תהפוך את התעשיה שלך לפושעת.
* תשניא את התעשיה שלך על אנשים (חשבתם שאולי אנשים לא הולכים לקולנוע כי הם שונאים אתכם ואת הDRM והחמדנות שלכם?)
* תבריח אנשים למערכות הפעלה יותר מוגנות.
* תגרום לשיפור טכנולוגי נוסף במערכות שיתוף הקבצים.

שינאה.

זוכרים את הפוסט הקודם, “לא ראינו דם”?
נראה שזה מגמה.
YNET עברו מדיווח על חדשות ליצירה של חדשות.
רק שני שרים תומכים במצעד הגאווה, זועקת הכותרת הראשית של האתר.
באותיות הקטנות כתוב: שרק 2 מתוך 13 השרים שהסכימו להשיב תומכים במצעד.
אף אחד לא חושב שמשהו פה מסריח?
אני חושב שמה שקרה זה שYNET ממש רצו כותרת, אז שלחו איזה כתב לשאול את השרים מה דעתם.
כל השרים הפחדנים נמנעו, חוץ מכמה פנאטים, וYNET נשארו עם אחוזי התנגדות מרשימים, אבל עם אחוזי הצבעה נמוכים.
אבל למה לתת לזה לעמוד בדרכה של כותרת איכותית?

בפוסט זה אתעד את נסיונותי לשלם באתר של ביטוח לאומי תוך שימוש בפיירפוקס (על לינוקס).
דבר ראשון שעשיתי היה לכתוב “ביטוח לאומי” בגוגל.
לחצתי על הלינק הפרסומי, והגעתי לאזהרת אבטחה, שהחתימה הדיגיטלית של האתר בעייתי.
אחר כך היתה על המסך הודעה קצרה שאומרת שהאתר בודק את התאמת הדפדפן, התחלתי לקוות לטוב - ואז הגיע דף לבן.
הסתכלתי בקוד וראיתי את שהוא נוצר על ידי ויז’ואל סטודיו 6, ואת השורה הלא תקנית הזו:
window.navigate ("../b2b/framesetlogonanonymous.asp")
שמח וטוב לבב, הזנתי לשורת הכתובת של הדפדפן את הכתובת המתוקנת:
https://b2b.btl.gov.il/B2B/../b2b/framesetlogonanonymous.asp
והגעתי סוף סוף למשהו שנראה כמו אתר שלא נכתב על ידי בן שש מוכשר.
אהבתי את זה שהאתר עובד 24 שעות ביממה, שישה ימים בשבוע. זה שירות!
טוב, כדי להכנס צריך להזין את הכתוב בקפצ’ה, לא ברור למה צריך דבר כזה בכניסה לאתר.
הקלדתי את המילה ולחצתי על כניסה.
כלום.
לחצתי שוב, עדיין כלום.
מבט חטוף לשורת המשימות הראה שFireBug מדווח על 12 שגיאות ג’אווה סקריפט.
יופי ממשלה, מי לימד אותכם לתכנת אתרים, הבן של ביל גייטס?
מבט חטוף בקוד האתר הראה שהפעם הם התעלו על עצמם והכניסו קוד VBScript לדף.
מי לעזזל מכניס VBScript לדף?!
FireBug התלונן שאין כזה דבר Go, אז חיפשתי בקוד ומצאתי את זה:

IF Len(Trim(document.all("textSisma").value))=5 or
Len(Trim(document.all("textSisma").value))=8 THEN


זה עונה על השאלה הקודמת: מי שמכניס קוד VB לאתר באלף השלישי הוא מתכנת שלא יודע לכתוב סיסמא באנגלית, ולא מבין את ההבדל בין סיסמא לקפצ’ה.
טוב, לאחר חפירות במשך כעשר דקות נוספות, וויתרתי על העניין והפעלתי את האקספלורר בתוך הVMWARE.

לצערי הובסתי על ידי קפצ’ת VB שהותקנה על ידי עובד מדינה עויין אם כי טיפש בעליל.

בועז דולב? ממשל זמין? הממשל שלכם שבור ולא זמין!

מכירים את אלו שצועקים בבית ספר כששניים מתחילים לריב “לא ראינו דם!” ?
אז התקשורת היא בדיוק כזו.
דוגמא עדכנית, למה-נט חושפים איזה “מחדל”, חברת חשמל החליפה שנאי או משהו בשבת, ועכשיו הם מחממים את הזירה.

אחת התכונות הכי משובחות של רוב הפצות הלינוקס הגדולות היא ניהול חבילות מרכזי.
בדביאן למשל, יש כמות אדירה של חבילות תוכנה, כ19000 נכון להיום.
לא כל החבילות הן תוכנות במובן הרגיל, יש חבילות תיעוד, חבילות דרייברים, חבילות קודקים, חבילות ספריית (DLLים) וכו’, אבל עדיין יש אלפי תוכנות שזמינות לחיפוש, התקנה, הסרה ושדרוג בצורה מרכזית ופשוטה במיוחד, באמצעות מגוון כלים, גם גרפיים, סינפטיק למשל, וגם מבוססי שורת פקודה, כמו apt-get ודומיו.

לחלונות יש את Add/Remove programs, אבל הוא לוקה בחסר:
קרה לכם פעם שסרקתם את רשימת התוכנות המותקנות של חלונות בAdd/Remove programs ומצאתם את מה שרציתם בקלות?
קרה לכם פעם שהשתמשתם בAdd/Remove programs כדי להתקין תוכנה שלא מהווה חלק מחלונות?
קרה לכם פעם שעדכנתם תוכנה דרך Add/Remove programs?

המצב הזה הביא לכך שהיום כל חברה שניה מפתחת מנגנן כללי לעדכוני תוכנה שלא משתף פעולה עם אף אחד אחר - גפ אנרגיה מבוזבזת וגם מעיק על משאבי המחשב, כי כמובן שכל תוכנה כזו רוצה להריץ את מנהל העדכונים שלה כל הזמן.
מבחינה טכנית, וגם מבחינת חווית המשתמש, אין ספק שניהול חבילות מרכזי הוא עדיף על המצב שיש היום בחלונות - שהוא שהדרך הטבעית להתקין תוכנה היא להוריד אותה ידנית ולהפעיל את תוכנת ההתקנה.
לדעתי מייקרופוסט היו רוצים מאוד לאפשר ניהול חבילות מרכזי, אבל יש להם מספר בעיות:

קשיים טכניים

* מה קורה אם שתי תוכנות שמותקנות צריכות שתי גרסאות שונות של אותו DLL?
* איך מטפלים בDL HELL? למשל, אם שתי תוכנות משתמשות באותו DLL, וגרסא חדשה של אחת מהן צריכה לשדרג אותו, איך אפשר לעדכן את התוכנה הראשונה בלי לשבור את השניה?
* מערכות הקבצים של מייקרוסופט לא מאפשרות עדכון של קובץ שנמצא בשימוש, מה שיקשה על עדכון המערכת.

קשיים פוליטיים/משפטיים

* נניח שגוגל רוצה לשחרר את גוגל טולבר במערכת, ונניח שמייקרוסופט מסכימה, ורק נניח שנוצרים חילוקי דעות טכניים מסביב למשהו. הדבר הזה יכול בקלות רבה להתפתח לעימות חזיתי בין שתי החברות שיגיע לבית משפט (לא שמייקרוסופט חוששת מבתי משפט).
* סביר שמייקרוסופט ירצו בצדק כסף מחברות שמעוניינות להפיץ את התוכנה דרכם, אם הסכום נמוך מדי מייקרוסופט יפסידו על העניין (ניהול של הפצת תוכנה זה יקר), אם הסכום גבוה מדי הוא יהוה חסם לחברות קטנות, מה שיגרום להאשמת מייקרוסופט במונופוליסטיות, ושוב עלול לעלות בהרבה כסף לחברה.
* מייקרוסופט הופכת למפיצה ואינטגרטורית של תוכנות שלא היא מפתחת, זה אומר שבעלי התוכנות יצטרכו לשנות בהרבה מקרים את תנאי הרשיון שלהם כדי לאפשר את זה.

הבעיות האלו הן רק קצה הקרחון.

לסיכום, מהבחינה הטכנית, דרוש עיצוב מחדש של מערכת ההפעלה כדי לאפשר את זה, ומהבחינה המשפטית דרוש ניקוי של הרקורד הנוכחי של מייקרוסופט.
במילים אחרות, זה לא יקרה בעשר השנים הקרובות.

בנק פועלים, וכנראה גם בנקים אחרים - קיבלו הנחיה למנוע מאנשים לחרוג מהמסגרת.
עד פה הכל בסדר.
אז הבנקים מבקשים מכל מי שרוצה מסגרת (ומי לא רוצה מסגרת?) לחתום על הסכם מסגרת - רק שבניגוד למסגרת המשכורת האוטומטית שהיתה בעבר, עכשיו הבנק רוצה כסף על המסגרת - שני שקלים בחודש (אומנם רק מסוף השנה, אבל ההתחייבות על זה כבר מעכשיו).
אני כבר שומע אתכם חושבים: “מה הוא מבלבל, בשביל שני שקלים בחודש הוא כותב פוסט?”.
אז התשובה היא שלא, אני כותב פוסט כי זה עקרוני.
בהנחה שאת הטריק המזוהם הזה עושים כל הבנקים (מישהו יכול לאמת או להפריך?), ההכנסות החדשות שזה יייצר לבנקים הם (אם נניח מליון וחצי חשבונות בנק פעילים) 3 מליון שקל בחודש.
36 מליון שקל בשנה.
מבינים?
קשה לשרי אריסון לממן את הפנטהאוס, היא צריכה מקורות הכנסה חדשים.

זו תגובה לZull, שטען שמספר בעיות האבטחה שמתגלות הוא נגזר ממספר המשתמשים בקוד, לאחר שהשוותי בעיות אבטחה בפרוייקטי קוד פתוח מול מוצרי מייקרוסופט מקבילים.
בחרתי להגיב כאן כי פה מותר לי להכניס יותר מ1000 תווים (אהם).

בוודאי שכמות בעיות האבטחה שמתגלות קשורה לכמות השימוש בקוד, אבל זה לא הגורם המרכזי. באיזו שהיא רמה, זה כבר לא משנה אם משתמשים בקוד 10 מיליון אנשים 100 מיליון.
מה שיותר משפיע זה:
1. היציבות של הקוד: בעית אבטחה = באג, לקוד שלא משתנה לא נכנסים באגים חדשים, לכן כמות בעיות האבטחה (הקיימות, בלי קשר אם התגלו או לא) יורדת.
2. התכנון של המערכת:
במערכת עם תכנון לקוי, יש לך יותר בעיות אבטחה מפונקציות.
3. האיכות של הקוד.
4. כמות הביקורת שהקוד מקבל.

אם לתת דוגמאות:
חלונות XP בת 6, ועדיין מתגלות בה בעיות אבטחה.
הבעיות נובעות מאיכות קוד נמוכה ומבעיות תכנון, והן ממשיכות להתגלות למרות היציבות של המערכת (רובם המכריע של השינויים הם תיקוני באגים, לא תכונות חדשות).

בסיס הקוד של הקרנל של לינוקס מאוד מאוד לא יציב, שינויים מאסיביים ומהפכות קורות כל הזמן, ולמרות זאת כמות בעיות האבטחה שמתגלות בו נמוכה.
הסיבה היא שאיכות הקוד גבוהה, ויותר חשוב, התכנון טוב.

לגבי אפאצ’י, אתה יכול לראות שמספר בעיות האבטחה החדשות שמתגלות הוא קטן מאוד.
אפשר לומר שרובן נמצאו ותוקנו.
פה זה עניין של תכנון נכון, ושל יציבות של בסיס הקוד.
IIS לעומת זאת יציב לא פחות, וובכל זאת מתגלות בו בעיות אבטחה על ימין ועל שמאל.
הקוד של מוצרים סגורים מקבל מעט מאוד ביקורת.
של מוצרים פתוחים מקבל הרבה, אפילו ההאקרים שמנסים למצוא בו חורים עושים לו שרות.
זה לא אומר שאי אפשר לכתוב קוד פתוח רע, אפשר גם אפשר, אבל ההתכנסות שלו לכיוון קוד טוב ונקי היא הרבה יותר מהירה מאשר במוצרי קוד סגור, ולו בגלל שהמוטיבציות של המפתחים שונות לגמרי:
קוד סגור: “אני רוצה לסיים את הפיצ’ר המזויין, שלא היה בתוכנית המקורית ולכן ישתלב כמו פיל בחנות חרסינה בקוד שלי, שפעם היה יפה”
קוד פתוח: “מה? הפיצ’ר הזה לא היה בתכנון, אני לא עושה אותו. אם אתם נורא רוצים תפצלו את הפרוייקט ותעשו את זה בעצמכם, בהצלחה, ואל תבואו אלי בוכים אחר כך”.

כולם מתרגשים מכתוב-לי (Writely) של גוגל, וכמה שהוא שווה בתור עורך בלוגים.
אני באמת לא מבין למה אנשים רצים להשתמש בשרותים חיצוניים כדי לעשות דברים שהם יכולים לעשות ביעילות גדולה יותר ובפרטיות גדולה יותר באופן מקומי.
מה, אם אני אציע לכם לכתוב את הספר שלכם על נייר שלי, עם עט שלי, אבל בתנאי שאני שומר עותק של כל מה שאתם כותבים - תסכימו?
נראה לי שלא.
ומה אם זה עט נובע ונייר מהודר?
מה, עדיין לא?
אז למה כולם רצים להשתמש בכתוב-לי?

ומה מבחינה מסחרית? נראה לכם ששווה לחברה לסכן את הסודות שלה על ידי שימוש בכתוב-לי של גוגל, או לקנות מעבד תמלילים של מונופול זה או אחר, שלפחות שומר על התוכן של המסמכים במחשב שבו הוא נכתב, ורק שם?