Battleship operational

בעוד שעתיים ועשר דקות אני אשים את ידי המזיעות על סאטרקרפט 2, גרסאת האספנים.
גרסאת האספנים כוללת כמה דברים שגורמים להשקעה להשתלם:

  • DVD על עשיית המשחק : המשחק עלה 100 מיליון דולר, מגיע לו Making of.
  • סאונד טראק של המשחק.
  • דיסק על מפתח של שני ג'יגה בצורת הדסקית (Dog tag) של גים (This is Jimmy) ריינור, שמכיל את סטארקראפט ואת ברוד-וואר. (המשחק המקורי וההרחבה).
  • ספר של 176 עמודים של ארט-וורק של המשחק
  • קומיקס של סטארקרפט 0 (מה היה לפני המשחק הראשון).

ועוד כמה בונוסים.

אה, וכמובן – סטארקרפט 2 – כנפי החופש.

נ.ב: לפני שבוע קניתי מניות של אקטיוויז'ן בליזארד (לקראת ההשקה של SC2), בינתיים אני מורווח 7-8%, אז בעצם אני משקיע פה בעצמי. 🙂

אל תתקשרו.

טריילר רשמי:

קצת גיימפליי:

אי הקופים 2, נקמתו של ליצ'אק

אחד המשחקים הנוסטלגיים ביותר אי פעם הוא אי הקופים 2 – נקמתו של ליצ'אק, ולפני כשבועיים לוקאס ארטס שחררה גרסא מחודשת שלו, עם גרפיקה ראויה וסאונד ומוסיקה מחודשים.
זה המשחק השני בסדרה שהם מחדשים, כשהראשון היה כמובן הסוד של אי הקופים. שני המשחקים זמינים תמורת 10$ כל אחד בסטים (שניהם שווים כל סנט!)

מה שמגניב פה שזה בעצם המשחק הישן, אבל בדיוק – בעטיפה מחודשת. למעשה, המשחק הישן מסתתר שם בפנים ואם תלחצו על F1 בזמן המשחק, הגרפיקה הממשק והסאונד יעברו להיות אלו של המשחק מ91 (!).
תוספת חדשה היא הערות של המפתחים לגבי סצנות מסויימות במשחק, זה מרגיש ממש כמו איזה פודקאסט על מונקי איילנד, מאוד לא רשמי ומשעשע.

הנה הטריילר (שנראה טיפה יותר מרשים מהדבר האמיתי, אבל עדיין משעשע):

והנה קצת גיימפליי:

מחכה בקוצר רוח לרימייק של האורגים ומי יודע, אולי אפילו יומו של הטנטקל?

סיסמאות, תורכים וLastPass

נפתח בווידוי:
היסטורית, נטיתי ואני עדיין נוטה לזלזל בכל החוקים שמעמיסים על משתמשים כדי להקשיח את הסיסמא שלהם.
כשאני נתקל בהוראות בחירת סיסמא כמו : "בחר סיסמא עם שמונה תווים, עם לפחות מספר אחד, אות גדולה אחת לפחות וסימן מיוחד אחד לפחות, ולא כזו שהשתמשת בה בשנה האחרונה" אני חש שינאה עזה כלפי האתר שמכריח אותי לבחור סיסמא שאני לא יכול לזכור.

כן, גם אני משתמש באותה סיסמא (עד כדי שינויים קטנים כדי לענות על דרישות מעצבנות) ברוב האתרים.
למעשה מדי שנה שנתיים אני מחליף את הסיסמא הראשית שלי, ואז כשאני בא להכנס לאתר אני מנסה להעריך כמה זמן אני מכיר אותו ואיזו מהסיסמאות הקבועות שלי עשויה להתאים. בדרך כלל אני מצליח לנחש בסופו של דבר.

אומנם לאתרים הבאמת חשובים, בנקים, פייפאל וכו' יש לי סיסמאות יחודיות (וכמובן גם לחשבון הדואר שלי, ואגב גם שרתים – אני לא משתמש בסיסמא הקבועה שנתפסת אצלי כקלה מדי עבור שרתים).

אני לא לבד, ולדעתי רוב רובם של המשתמשים נוהגים כמוני – כלומר משתמשים בסיסמא אחת עבור רוב האתרים, ואולי אפילו עבור חשבון האימייל שלהם.
בגלל זה הנזק הפוטנציאלי שיכול לגרום האקר תורכי משועמם ונחוש למשתמש ישראלי תמים וממוצע יכול להיות די גדול, למשל:

  • התחזות : בפייסבוק, בבלוגים או באתרים אחרים. אם הסיסמא הקבועה שלכם היא גם הסיסמא של האימייל – אכלתם פלפל (במילים אחרות, גם אם אתם לא עושים כלום בעקבות הפוסט הזה – לפחות את זה תתקנו, בפקודה!). פריצה לאימייל היא מסוכנת לא רק בגלל הסכנה לחדירה לפרטיות ולהתחזות – אלא גם כי היא מאפשרת שחזור סיסמא במרבית האתרים שאתם רשומים אליהם.
  • גניבת כסף דרך חשבון בנק (לא מאוד סביר, כי רוב הבנקים לא יאפשרו שימוש בסיסמא קלה שלא משתנה תדיר, ובנוסף הם נאצים בכל הנוגע לשחזור סיסמא).
  • גניבת שרותים דרך אתרים שמחזיקים בפרטי כרטיס האשראי שלכם : זה כבר די סביר, מי שמגלה את הסיסמא שלכם ל10BIS יכול להזמין פיצות בלי להזין מחדש את פרטי כרטיס האשראי. למעשה אם האתר עלוב במיוחד הוא גם יכול להשיג את מספר כרטיס האשראי דרך ממשק המשתמש ומשם הדרך אל האושר מובטחת.

בעבר כבר נכוותי קלות מסיסמאות קלות מדי כשאיזה בוט ניחש סיסמא של משתמש חדש בשרת (לפני שהוא הספיק לעשות להכנס בפעם הראשונה ולשנות אותה), וכמובן שהפקתי לקחים ושיניתי כמה הרגלים (פרטים בפוסט המלונקק).

שלשום ארז וולף פרסם בבלוגו We CMS שהוא מצא רשימת סיסמאות של ישראלים מסתובבת באיזה פורום טורקי, ושהרשימה נלקחה מאתר ישראלי גדול בעל אבטחה מפוקפקת ששמר את הסיסמאות שלו כטקסט צח (או בלעז – Clear text).

פונקציות גיבוב לערבול סיסמאות

מתכנתים עם אחריות מינימלית לעולם ירגישו אי נוחות עזה כשהם מתכננים מערכת שבה סיסמאות המשתמש נשמרות כטקסט צח. הפרקטיקה המקובלת היא להעביר את הסיסמא דרך פונקציית גיבוב חד כיוונית (MD5 או SHA למשל), שמבטיחה שיהיה קשה עד בלתי אפשרי לנחש את הסיסמא על בסיס התוצאה של הפונקציה.
למעשה, מכיוון שהפונקציות האלו מסוגלות להעביר נתונים באורך כלשהו לתוצאה באורך קבוע, עקרון שובך היונים מבטיח לנו שיש אין סוף קלטים שיובילו לפלט מסויים (כי יש אין סוף פלטים ומספר סופי אם כי עצום של פלטים אפשריים).

המשמעות של זה היא שגם אם האקר שם את ידו על רשימת גיבובים כזו, ומצליח למצוא סיסמא כלשהי שהגיבוב שלה מתאים לשורה בטבלא, הוא עדיין לא יודע מה הסיסמא האמיתית של המשתמש.
האקרים משתמשים בטבלאות עצומות הנקראות טבלאות קשת בענן (נשבע לכם) ששומרות את הגיבובים של סיסמאות נפוצות עבור פונקציה מסויימת, למשל MD5. (אי אפשר לשמור את כל האפשרויות כי יש 2 בחזקת 128 כאלו, ואין מספיק כוננים קשיחים בעולם בשביל לשמור את זה). בכל אופן, המחמירים מוסיפים "מלח" לתבשיל לפני שהם מבשלים אותו, כלומר במקום להכניס את הסיסמא ישירות לMD5 הם מוסיפים לה איזשהו קבוע סודי, מה שגורם לMD5 להוציא פלט אחר (בכך למעשה הם ממציאים גרסא פרטים של MD5).
מי שקצת מעורה באבטחת מידע בוודאי נע באי נוחות למראה המילה "סודי" במשפט הקודם, העניין הוא שהאקר ששם ידו על רשימת הסיסמאות המגובבות שהיא בהחלט סודית עלול לשים את ידו גם על המלח הסודי באותה הזדמנות. לכן אני אישית רואה במלח פתרון וודו שלא באמת עוזר למשהו.

בכל מקרה, אתרים רבים נכתבו על ידי ילדים קטנים, אנשים בוגרים אך מוגבלים נפשית או מפתחים חסרי אחריות והם שומרים את הסיסמא שלהם כטקסט נקי, מה שאומר שבהגדרה מי שמצליח לפרוץ אליהם יכול לשים את ידו על סיסמאות קבועות רבות בלי להתאמץ כלל.
למעשה, לטעון שאתר מסויים הוא מאובטח זו חתיכת טענה, כמעט לכל אתר יש חולשות אבטחה ולכן חשוב מאוד מאוד לא לשמור סיסמאות בצורה לא אחראית שכזו כי הסיכוי שהאתר יפרץ בשלב זה או אחר הוא כמעט 100%, וחשוב להקטין מראש את הנזק הפונציאלי האפשרי למקרה הזה – לכשיגיע.
אחת הדרכים הקלות ביותר לזהות אתרים כאלו היא כדלקמן:

בקשו מהאתר החשוד לשחזר את הסיסמא, אם הוא שולח לכם את הסיסמא הישנה שלכם באימייל : מזל טוב, מצאתם אתר שנכתב על ידי דגנרטים חסרי אחריות!
הדרך היחידה שבה הוא יכול לעשות את זה היא אם הוא שומר את הסיסמא כטקסט צח.
מה שרוב האתרים יעשו יהיה לשלוח לכם לינק שיאפשר להם לשנות סיסמא באתר, הבדל קטן אך חשוב.

אגב, היום בבוקר גיליתי ש10BIS שומר את הסיסמאות כטקסט נקי, בצ'אט עם נציג שרות נאמר לי ש"האתר מאובטח על ידי קוד אמריקאי".
כמעט השפרצתי קולה מהנחיריים על המסך כשקראתי את זה, והבהרתי בעדינות לנציג החביב אך חסר המושג שכדאי לפתור את זה בכל זאת.

לעניינינו

היום בבוקר פורסם בYNet שהאתר המסויים הוא לא אחר מאשר Homeless; עבר זמן רב מאוד מאז שהשתמשתי בו לאחרונה ולא זכרתי את הסיסמא.
בפרוצדורה הרגילה של אתרים שאני לא זוכר את הסיסמא שלהם, בדקתי את הסיסמא הקבועה הנוכחית ולמרבה אי הנוחות, הצלחתי להכנס.

מה שאומר שלפחות בתאוריה, הסיסמא הקבועה שלי מסתובבת אצל לועסי הרחת-לקום.

אין ספק שזו סיבה להחליף את הסיסמא הקבועה, אבל במה?
אפשר להגריל סיסמא קבועה חדשה, אבל הגיע הזמן לשנות הרגלים – ולו כי אתרים רבים כתובים בחוסר אחריות מוחלט.

הפתרון

מנהל סיסמאות טוב, שיאפשר לכם לעבוד עם סיסמא שונה לכל אתר, וידרוש מכם לזכור סיסמא אחת בלבד.
זכרתי שחייב להיות אחד טוב כזה, וזכרתי גם שסטיב גיבסון המליץ על משהו בSecurity Now. בבדיקה מסתבר שבדיוק היה פרק על האבטחה של פתרון בשם LastPass. למעשה עדיין לא שמעתי את האפיזודה הרלוונטית (אני אגיע לזה כשאני אסיים לשמוע את הספר הנוכחי – Under the dome של סטיבן קינג) – אבל ההערות של הפרק שכנעו אותי לנסות.

LastPass

לאסט-פאס מגיע עם פלאגינים לכל הדפדפנים הרלוונטיים, ומאפשר להם לסנכרן את הסיסמאות בין מחשבים שונים ודפדפנים שונים על אותו מחשב.
הסיסמאות מוצפנות על המחשב שלכם עם סיסמאת המאסטר שבחרתם, והמפתח הפרטי שלכם לעולם לא נשלח לשרת.
כמובן – בסיס הנתונים שמכיל את הסיסמאות המוצפנות נשלח לשרת ומשמש כגיבוי וכאן מאפשר עבודה נוחה עם כמה מחשבים.

התחלתי להשתמש בו היום בבוקר, וסך הכל החוויה נעימה ודי אינטואיטיבית.
רשימת הפיצ'רים מרשימה למדי, וכוללת יבוא אטומטי של הסיסמאות הקיימות מהדפדפן שלכם, יצירת סיסמאות חזקות (עדיין תצטרכו לעבור אתר אתר ולשנות סיסמא), שמירת כרטיסי אשראי מאובטחת, תמיכה ביוביקי (אני בהחלט צריך לבדוק את זה) ועוד.

החיסרון היחיד הוא שהיא לא משוחררת ברשיון קוד פתוח, אבל לדעתי זה חיסרון קטן שמתגמד לעומת הערך הגדול שהתוכנה הזו מספקת.
ניסיתי את לאסט-פאס בפיירפוקס כל היום ובכרום במשך זמן קצר ונראה שהיא עובדת היטב.

אני ממליץ בחום לנסות את LastPass (בחינם, יש שרות פרמיום ב12$ לשנה שמוסיף תמיכה בטלפונים חכמים ועוד כל מני דברים חביבים אך לא הכרחיים לרוב האנשים). גם אם החברה נעלמת – יש אפשרות ליצא את הסיסמאות שלכם לקובץ CSV (או ישירות לתוך מנהל הסיסמאות של פיירפוקס).

הנה סירטון קצרצר שמדגים את הפעילות הבסיסית:

מטוס סולארי טס שבוע רצוף

זיפייר, מטוס סולארי ללא טייס (מסל"ט?), הוא המטוס הראשון שמסוגל לטוס תאורטית בלי לנחות ובלי לתדלק לנצח.
הוא המריא ביום שישי שעבר מבסיס יומה באריזונה, ונכון לכתיבת הכתבה המלונקקת הוא עדיין היה באוויר.

קשה לראות איך מטוס כזה יוכל איי פעם לשאת אדם, אבל עם השתפרות הטכונולוגיה (חוזק וקלות החומרים ושיפור ביעילות הלוחות הסולאריים) אולי היום הזה יגיע. כדי שזה יקרה, כנראה המטוס יצטרך להיות הרבה יותר גדול (הלוחות הסולאריים עובדים כבר היום ביעילות מאוד גבוהה) – ומכאן הצורך בחומרים קלים וחזקים במיוחד.

כבר היום, מטוס כזה יכול לשמש כמטוס ריגול, וכנקודת ממסר איזורית.

וגם סירטון:

יש דברים נשברים

חוקרים מאוניברסיטת קורנל פיתחו אלגוריתמים לסינתוז קול של … דברים מתנפצים.
האלגוריתמים מבוססים על התכונות הפיסיקליות של האובייקטים הנשברים ושל (אני מניח) הסביבה שלהם.
בדיוק כמו שאפשר לרנדר תמונות תלת מימדיות על בסיס מודל תלת מימדי, אפשר לסנתז גם צלילים שמתאימים לפיזיקה של מה שקורה במודל.
למעשה שאלתי את עצמו כבר לפני שנים מתי נראה סינתוז פיזיקלי מלא של צלילים במשחקים (ובסימולציות אחרות) במקום שימוש בצלילים מוקלטים. האלגוריתם הזה הוא לא הפתרון, אבל הוא בהחלט יכול להיות חלק מהפתרון.
כמה מגניב זה יכול להיות? תראו בעצמכם:

מיומנו של פגוע ג'ט לאג

בשבוע שעבר חזרתי מביקור בן שבועיים בארצות הברית, ובאמתחתי ג'ט לאג עצבני.

יום ראשון

נחתתי בסביבות ארבע אחרי הצהריים, אחרי שהייתי ער מארבע בצהריים (שעון ישראל) ביום הקודם.
לא ממש ישנתי בטיסה כדי להיות עייף, ואכן הייתי עייף.
הזמנתי פיצה וסלט ב20:00, החזקתי מעמד עד 22-23, והלכתי לישון.

יום שני

ב00:30 התעוררתי, עשיתי סיבוב וחזרתי לישון.
ב2:00 התעוררתי שוב, ולבסוף ב4:30. החלטתי שזה מספיק למרות שעדיין היה חושך בחוץ.
התחלתי לראות סרט (From Paris with love, עם טרוולטה – ככה ככה).
אכלתי את הסלט מאתמול והלכתי לעשות קניות  בסופר בשבע בבוקר בקירוב (דאגתי לרוקן את המקרר לפני הטיסה).
פעם ראשונה שאני עושה קניות בשעה כזו של הבוקר, חוויה מעניינת.
כשחזרתי ראיתי פרק של דם אמיתי, והלכתי לעבודה.
חזרתי בערב, בסביבות 20:00, והלכתי לישון ב22:00 עקב מצב צבירה די נוזלי של המוח.

יום שלישי

יקיצה ראשונה ב1:00, ואז ב3:00 ואז לבסוף בסביבות 5:15.
שוב סרט, הפעם The crazies, נחמד למדי – כמו סרט זומבים, רק בלי זומבים.
ארוחת בוקר מוקדמת של סלט וביצת עין ב6:00. עוד כמה פרקים שונים ומשונים, והלכתי לעבודה.
חזרתי בערב, ניסיתי להשאר ער תוך צפיה באיזה סרט, לא זוכר איזה. עצרתי באמצע והלכתי לישון בסביבות 23:00.

יום רביעי

עוד לילה שזור יקיצות, אחרונה ב4:00 – החמרה מאתמול.
סיימתי לראות את הסרט מאתמול, והלכתי לחדר כושר ב6:30 (זה שיא אישי, בדרך כלל אני הולך ב9:00), במפתיע החדר כושר היה מלא במשכימים, את רובם לא ראיתי שם מעולם.
חזרתי הביתה, ראיתי עוד איזה פרק של דם אמיתי, והלכתי לעבודה.
חזרתי, החזקתי מעמד עד 00:00 הפעם.

יום חמישי

המצב מתחיל להשתפר, פחות יקיצות ליליות, וקמתי ב5:45.
משום מה חפצה נפשי בפסטה, אז הכנתי לי (שיא אישי, לבשל בשש בבוקר).
תוך כדי ראיתי סרט (הארי בראון, די טוב).
עבודה, בית, הלכתי לישון ב00:30.

יום שישי

הג'ט לאג נשבר, קמתי בפעם הראשונה ב6:00,

עשיתי לי ארוחת בוקר על בסיס הרוטב הנותר של הפסטה וניסיתי לראות את אינלנד אמפייר של דייויד לינץ'.
התייאשתי באמצע – זה הסרט האחרון של לינץ' שאני רואה, אני שונא אותו.
חזרתי לישון והתעוררתי ב9:30.

אז לסיכום, השבוע ראיתי יותר סרטים מכל שבוע אחר, עשיתי קניות בוקר, הלכתי לחדר כושר לפני שבע ואפילו בישלתי פסטה באישון בוקר.
אולי ג'ט לאג זה לא דבר כזה רע אחרי הכל.

במחשבה שניה, אני אסתדר גם בלי.

הקלות הבלתי נסבלת של הפרת הפטנט

מפתח הולנדי חובב פיתח בזמנו הפנוי במהלך סוף שבוע תוכנה דמוית שזאם למציאת מוסיקה שמבוססת על ניתוח תדר של הקול, יצירת חתימה פשוטה של חלונות בזמן וחיפוש של התאמות.
הוא פירסם את זה בבלוג שלו, וזכה לאיומים מרומזים מהחברה שפיתחה את שזאם בטענות שהוא מפר את הפטנט שלהם ובדרישה שלא יפרסם קוד ואפילו – תחזיקו – ימחק את הפוסט כי הוא "זמין למשתמשים בין לאומיים ועלול לשמש להפרת הפטנט".
ספציפית, אני מניח שהם מתכוונים שהוא זמין לאמריקאים (יש להם פטנט בארצות הברית).

הבנתם?
הבחור פיתח אב טיפוס בסוף שבוע, והבהיל את החברה כל כך עד שהם החליטו להפחיד אותו ולמנוע ממנו לפרסם את הקוד.

דעתכם?