שרת חדש

שכרתי שרת חדש ואני אעביר את כל הקונסטרוקציה אליו בשבועות הקרובים.
השרת הוא בesecuredata.com שמצטיינים במחיר מינימלי ובשרות מינימלי :).
השרת הוא :
Intel DUAL CORE E2140
2GB זכרון
500GB SATA (כן, לא SCSI).
ועולה רק 79$ לחודש, שזה מחיר חסר תחרות.
מצד שני, התמיכה שלהם כמעט לא קיימת, והם לא מתביישים בזה.
מומלץ רק למי שמסוגל לתפעל את השרת שלו בעצמו.
בטח יהיה לי עוד מה לספר בקרוב..

ספאם טלפוני

נניח שאתם עסוקים לכם במשהו, ופתאום טלפון.
מוזר, אתם חושבים, אף אחד לא מתקשר למספר הקוי, זה בטח ספאם.
ואכן : "שלום, מדברת יפית..".
מה אתם עושים?

מה אתם עושים כשיש שיחת ספאם-לפון?

View Results

Loading ... Loading ...

כרום ופרטיות

טוב, אז אם כולם כותבים על כרום, אני אשתוק? 🙂

כרום למי שבדיוק יצא משנת החורף, הוא הדפדפן החדש של גוגל.
אודה ולא אבוש, עוד לא התקנתי אותו כי גוגל עדיין לא שחררו גרסת לינוקס, ואני לא לחוץ לחזות בפלא כדי שאתקין אותו במכונה וירטואלית.

כששמעתי שגוגל מוציאים דפדפן, המחשבה הראשונה שלי היתה:
יופי, עכשיו הם ירגלו אחרי אנשים גם בדפדפן. (למי שלא מכיר: דעתי על גוגל אנליטיקס).
המחשבה השניה היתה:
כן, אבל הם מקבלים כל כך הרבה אש על נושאים שקשורים לפרטיות שאם יש להם איזו שהיא תקווה שהדפדפן הזה לא יהיה פלופ אחד גדול, הם מאוד יזהרו לא לגרום לו להיתפס כדפדפן ריגול.

לא עבר הרבה זמן, וקיבלתי אימייל מ"שטרן אריאלי יחסי ציבור", שכלל מסמכי DOC של:
* הודעה לעיתונות
* דף הסבר על פרטיות
* תכונות בולטות
* דף הסבר על תחרות

כמעט מחקתי את הדואר אינסטינקטיבית, אבל אז חשבתי שזה קצת מחמיא שהגעתי איכשהו לרשימה הזו.. רק קצת.
החלטתי לקרוא את מה שהיה שם.
קודם כל, כתוב יפה ואין טעויות טכניות מביכות כמו של כתב YNET שטען שיש בכרום מנוע ג'אווה מהיר במיוחד.
התמקדתי בדף ההסבר על פרטיות כמובן, כי מבחינתי זה הגורם המרכזי שישפיע על היחס שלי לדפדפן.

התכונה ראשונה שמתוארת שם היא הגנה מפני פישינג, שגוגל כבר הכניסו לפיירפוקס.
המימוש המתואר הוא זה:
הדפדפן מוריד רשימה (דחוסה) של אתרים חשודים, והדפדפן בודק בעצמו, במיקרה והאתר נמצא ברשימה נשלח גיבוב (HASH) של הכתובת לגוגל לווידוא חד משמעי שהאתר עויין.
הטענה של גוגל היא שהמימוש הזה נועד להגן על פרטיות המשתמש מפני זליגה של מידע על האתרים אליהם הוא גולש לגוגל.
זה נכון, אבל לדעתי המימוש הזה נובע קודם משיקולי ביצועים ועומס על השרת. אם גוגל יצטרכו לאמת בשרתים שלהם כל כניסה שמישהו מבצע עם הדפדפן שלהם (או פיירפוקס) לאיזה שהוא אתר, האתרים שלהם לא יעמדו בעומס. בנוסף, מבחינת המשתמש עדיפה בדיקה מקומית מהירה.
לגבי הווידוא המקוון, לא ברור לי למה הוא שם, אבל ניחא.
אם הרשימה מתעדכנת באופן תדיר מספיק, ושמעתי שהיא מתעדכנת כל חצי שעה (שזה מטורף ויכול להוות בעיית פרטיות בפני עצמו) אז לא ברור איזה צורך הבדיקה המכוונת משרת.
מה כבר יכול להיות? אתר שהיה חשוד ישאר חשוד אצל משתמשים למשך חצי שעה נוספת?

בכל אופן, נראה שבדיקת הפישינג לא מהווה בעיית פרטיות.

תכונה נוספת בעל פוטנציאל בעייתי : suggest.
גוגל איחדו את שורת הכתובת עם שורת החיפוש ולמעשה אותה השורה משמשת גם להזנת כתובת וגם לחיפוש.
על הדרך הם גם הפעילו כברירת מחדל את פונקציית הSuggest שיצאה מבטא לאחרונה, מה שאומר שהדפדפן שלכם מספר לגוגל כל פעם שאתם מזינים אותיות בשורת הכתובת.
פה יש לגוגל שני פתרונות:
1. להשתמש במנוע חיפוש אחר (ניתן להגדיר איזה מנוע חיפוש שרוצים לשימוש פה)
2. לכבות את אפשרות הSuggest.
אפשר לטעון שזה שברירת המחדל היא הצעות מופעלות ומול גוגל היא בעייתית, אולי היא אכן בעייתית, אבל במאזן בין שימושיות לבין פרטיות אני חושב שפה ההחלטה לאפשר את זה כברירת מחדל היא החלטה סבירה.
שוב, לא נראה שיש פה בעיית פרטיות.

תכונה נוספת שמתוארת היא גלישה אנונימית שלא משאירה עקבות במחשב במקומי (אך כמובן משאירה עקבות בשרתים שאליהם אתם מתחברים!). זו אפשרות מעניינת וחשובה שהרבה משתמשים יעריכו (בעיקר משתמשים הגולשים לאתרים מפוקפקים באישון ליל).
מבחינת פרטיות מול גוגל, התכונה הזו פחות רלוונטית.

היסטורית חיפוש מורחבת:
כרום שומר את כל הטקסט של אתרים שבהם ביקרתם כדי לאפשר לכם לחפש בהם.
כדי למנוע מהחיפוש להעלות תוצאות מאתרים רגישים, כרום לא ישמור נתונים מאתרים שמוגנים בHTTPS (כמו אתרי בנקים) ולא כאשר אתם גולשים במצב אנונימי.
אני מעריך שהנתונים נשמרים מקומית, אז בכל מקרה זה לא חור פרטיות גדול, ובנוסף הקריטריונים למניעת שמירת הטקסט נראים טובים ומעשיים.
שוב, נראה שאין בעיית פרטיות.

אחרי כל הדברים האלו, כבר הייתי די משוכנע שגוגל באמת החליטו שעדיף להם לא לנסות למתוח את קו עם המשתמשים שלהם, ולא לאסוף מידע דרך הדפדפן.

ואז התחילו השמועות על תנאי השימוש המוזרים של כרום, שמאפשרים לגוגל לעשות במידע שאם מכניסים לכרום כרצונם.
תנאי שימוש מטורפים למדי, שמיד גרמו לחרושת שמועות שנוגדת את המסקנה הקודמת שלי, שכרום הוא לא דפדפן ריגול.
אבל אחרי כל המאמץ שגוגל השקיעו כדי לתת תחושת פרטיות למשתמשי הדפדפן, ככה לקלקל את הכל?
ובשביל מה? גם לא ברור.
כמו שמתחיל להסתמן, גוגל פישלו ופשוט ביצעו העתק-הדבק של רשיון סטנדרטי שהם משתמשים בו בלי לבדוק שהוא בכלל הגיוני.
נכון לכרגע תנאי השימוש עודכנו ופתאום נשמעים הרבה פחות עויינים.

משהו אומר לי שעורכי הדין של גוגל באמת קראו הפעם את תנאי הרשיון כדי למנוע עוד פיאסקו מחר.

כמה מילים על הצד הטכני של כרום:
החידוש הגדול בכרום הוא שהוא בנוי בארכיטרטורה של ריבוי תהליכים. פחות או יותר כל דף מקבל תהליך משלו.
בנוסף יש תהליכים משותפים שכמה טאבים חולקים כמו תהליך FLASH, תהליך Google gears, כנראה תהליף ג'אווה וכו'.
כל הכיוון מושך בחדות לכיוון של דפדפן מודולרי מאוד, ומזכיר נסיונות לפתח מערכת הפעלה בסגנון מיקרו-קרנל, שבה רכיבים קטנים ועצמאיים מתקשרים אחד עם השני בלי לחלוק זכרון משותף.
לא ידוע לי על מיקרו-קרנל שהפך להצלחה, בעיקר כי מבחינת ביצועים קשה מאוד להגיע לביצועים של קרנל מונוליתי כשמפתחים מיקרוקרנל.
לגוגל יהיו בעיות דומות בפיתוח של כרום.
יהיה מעניין לראות איך גוגל יתמודדו עם האתגרים, במיוחד שהקוד של גוגל בפרוייקט כרומיום (פרוייקט קוד פתוח שמהווה את הבסיס הטכנולוגי של כרום) משוחרר תחת רשיון BSD.
(שאר הקוד משוחרר תחת מגוון רשיונות, רובם מתירניים).

אני בטוח שנראה התעניינות מחודשת בגישת המיקרו קרנל אם כרום יהפוך לדפדפן פופולרי.

גרגרן 0.6.0

למרות שGragarius היה בתרדמת, ולא נראה שמשהו זז שם בפרוייקט, יצאה לפני כמה שבועות גרסא יציבה חדשה : 0.6.0.
התיקון העיקרי הוא סגירה של חור אבטחה (SQL injection), אבל בטח נפתרו שם עוד כמה באגים.
כדאי לשדרג.

נתב?

אני מחפש נתב חדש במקום הצ'יקמוק שיש לי כרגע.
זה מה שאני רוצה ממנו:
1. תמיכה ברשת את'רנט ג'יגהביט
2. תמיכה בכבלים ובADSL בארצנו.
3. תמיכה בתקן אלחוטי 802.11n
יש המלצות?

Yubikey

אחרי שהקשבתי לפרק בפודקסט Security now (פודקסט שווה במיוחד לכל מי שמתעניין באבטחת מחשבים), שדיבר על Yubkey, הזמנתי לי אחד מYubico, החברה החדשה שמייצרת אותם.
Yubikey, להלן יוביקי, הוא מתקן USB קטן שדומה לכרטיס זכרון (רק קצת יותר קטן), שמסוגל לייצר סיסמאות חד פעמיות בעזרתם ניתן לאמת את הזהות של מחזיק היוביקי.
הסיסמאות הן חד פעמיות, כך שגם אם מישהו מצותת לתעבורת הרשת שלכם או מתקין keylogger ומצליח לגנוב את הסיסמא, הוא לא יוכל לעשות איתה שום דבר כי היא טובה לפעם אחת בלבד.
את הסיסמא החד פעמית – One time password, להלן OTP (סחפ??) אפשר לאמת מול שרת של יוביקו (שלא צריך לדעת עליכם שום דבר), או בצורה מקומית בסעזרת API פתוח קוד שיוביקו מספקים (מאוכסן בגוגל קוד).
יוביקו מספקים גם שרת openid, שיאפשר לכם להזדהות באמצעות היוביקי שלכם מול כל שרות שתומך בopenid. מכיוון שאני מפעיל בעצמי את שרות הopenid שלי, אני מתכנן לשפצר לתוכו תמיכה ביוביקי.
מה שיפהפה ביוביקי הוא שהוא לא דורש אף תוכנה בצד הלקוח. איך קסם כזה יתכן, אתם שואלים?
פשוט מאוד, היוביקי מתפקד כמקלדת USB עם כפתור אחד. ברגע שאתם לוחצים על הכפתור, הוא משפריץ את הסיסמא החד פעמית (ששונה כמובן מלחיצה ללחיצה) לתוך שדה הטקסט שנמצא כרגע בפוקוס (אם יש כזה).
הסיסמא מורכבת מרצף אותיות אקראי למראה של 44 אותיות (!), כאשר 12 האותיות הראשונות לא משתנה ומהוות את המזהה אל היוביקי שלכם (מספר סידורי).
הנה כמה דוגמאות של סיסמאות שהיוביקי שלי הפיק:
[code]
fjjbrkcettntrcednnvjilthincecdnclchvelvlbjjh
fjjbrkcettnteinribhrhfbhktifvirfrevvcveubekd
fjjbrkcettntntjvkgtelfuilrddhujdrjlnnvkbkivv
[/code]
אפשר לראות שהמזהה שלי הוא fjjbrkcettnt, שהוא כמובן לא סוד גדול (ולמרות זאת אפשר לנחש שהמזהה שלי הוא לא בדיוק זה 🙂 )
היוביקי מחזיק מפתח סודי בתוכו, שמאפשר לו להצפין את המידע בתוך הסיסמא. הצד המוודא מפענח את הסיסמא ובודק שהתוכן שלה הגיוני (ושזו לא סיסמא שהוא כבר ראה בעבר סיסמא חדשה ממנה).
אני עדיין מנסה להבין איך להשתמש בAPI שיוביקו מספקים, זה לא אמור להיות מסובך אבל חסר לי פרט או שניים.

הצעצוע הנחמד הזה, שעוד יהיה לי שימושי בקרוב – עולה 35$ (עד עשר יחידות, מעבר לזה המחיר מתחיל לרדת).
ככה הוא נראה:
yubikey.JPG
וכה הוא נראה בתוך תקע USB, ליד DOK סטנדרטי של סאן-דיסק.
yubikey2.JPG