קטגוריה: אינטרנט

forum
suggest

גלובס: נכשל באבטחה

היום קיבלתי דואר אלקטרוני לאיפוס הסיסמה שלי בגלובס, כולל קישור לעמוד איפוס הסיסמאות:

שלום גיל,
בימים אלו החלנו בעבודות שיפור ושידרוג הדסק
כחלק ממהלך השדרוג אופסו כל סיסמאות המשתמשים
אנא לחץ כאן לעדכון סיסמה חדשה לחשבונך
שינוי זה הוא צעד ראשון בדרך להפיכת הדסק למערכת תוכן גולשים מגיבה, אקטואלית ויעילה,
שתהפוך את הרשומים בה למומחים בתחומם, ופרסום הפרשנויות שלהם באתר.

התהליך כולל כמעט כל כשל בסיסי שניתן להעלות על הדעת:

  1. עמוד עדכון הסיסמאות (כמו גם עמוד הכניסה של גלובס) אינם כוללים אבטחת SSL.
  2. הקישור שנשלח כולל בתוכו גם את שם המשתמש ואת הסיסמה. מכאן שגלובס אינם מצפינים סיסמאות, אותה רמת אבטחה של פיצה האט1.
  3. אין כל סיבה לכלול את המידע הרגיש בדואר. ניתן היה לבקש מהמשתמש לגשת לאתר, ולשנות את הסיסמה או להוסיף את הבקשה בחיבור הבא של המתשמש.
  4. הקישור איננו איפוס סיסמה, הוא בפועל כניסה למערכת עם הסיסמה הקיימת והפניה לעמוד שינוי הסיסמה.

עצוב.

  1. כן, הקישור הוא לגלובס []
tour

פני יאנוס של אתר אינטרנט

חנן כהן תמה מדוע על כמות התקשורת של אתר אינטרנט לשרותי צד ג' ואומר:

ברור לי הצורך וברורים לי השימושים של האתרים האלה. אבל יש לי תחושה לא טובה בקשר לזה.

יש פה שרשרת שלא בטוח שבסופה יש כסף אמיתי.

אך לא רק כסף במובן של תשלום עבור פרסומות (או לחילופין תמורת המידע הנאגר על הגולש), יש לא מעט מקרים בהם האתר מסתמך על שרותי צד ג' לתפעולו השוטף. דוגמה לכך היא הדיון באתר חווית המשתמש העוסק בזיהוי משתמש וניהול תגובות. או שרותים נוספים, כמו סטטיסטיקות. המאפיין של כולם היא העובדה שהאתר פונה לשרותים חיצוניים, על פי רב דרך תסריטי Javascript. התקנה של תוסף NoScript ו-AdBlock, תגלה לכם לא מעט על התעבורה שמיצר האתר אליו אתם גולשים1.

ממשקים אלו יכולים לתת לאתר ערכים מוספים רבים. קישור ל-Facebook הוא נוח ושימושי הן מבחינת זיהוי השתמשים והן להפצת התוכן. חלק2 של האתרים מתמקדים בסדרה קטנה של מנגנונים מסוג זה – Facebook, כמובן, הוא הבולט שבהם. אחרים משתמשים במנגנונים נוספים שמהווים מתווכים. דוגמה לכך היא מנגנון תגובות כמו DiscUS, או קיצור וניהול כתובות כמו Bit.Ly.

ישנן מספר סוגיות במנגנונים אלו שיש להביא בחשבון לפני ובמהלך ישומם:

  • פרטיות הגולש: האם מדיניות הפרטיות של המנגנון תואמת את מדיניות הפרטיות של האתר. האם תתכן זליגה של מידע על הגולש ללא דעתו, ואולי אף ללא דעת מנהלי האתר.
  • אבטחת מידע: המנגנונים האמורים עלולים להתשתמש בקוד שאינו נובע ואינו מאוחסן באתר. לעיתים (בעיקר במקרה של פרסומות), הקוד האמור אולי אפילו איננו במקורו באותו שרות צד ג' אלא אצל מי מלקוחותיו.
  • שימור המידע: שרותי צד ג' יעדיפו כי תשתמשו בקוד שלהם באתר שלכם. כך התוכן יהיה בפועל בשרתים שלהם. במצב של כשל או התנתקות מהשרות, אותו תוכן יכול להעלם.
  • ממשק המשתמש: שימוש בקוד של שרותי צד ג' יכול לשבש את מבנה האתר או לחייב את האתר להתאים את את עצמו למבנה של אותו שרות צד ג'.
  • נפח תקשורת: אנו רואים מגמה גוברת של שימוש באינטרנט סלולרי. שרותי צד ג' העושים שימוש ב-JavaScript מטילים את עומס התקשורת על הגולש ולא על האתר. הדבר לא משפיע רק על ביצועי האתר, אלא גם על העלות לגולש.

בכל האמור לעיל אין לראות שלילה גורפת של שימוש בשרותי צד ג', אלא מספר אזהרות. כלי ניהול תוכן כמו WordPress או Drupal מכילים תוספים לטיפול בלא מעט מהסוגיות האמורות, כמו למשל סינכרון תגובות בין האתר לבין עמוד ב-Facebook או LinkedIn, ללא מעורבות של הדפדפן. שימוש בתוספים אלו שומר גם על היחודיות והזמינות של האתר במקרה שאותם שרותי צד ג' לא זמינים.

  1. באותה נשימה עלי להזהיר, שני התוספים הללו יכולים לשגע אתכם באתרי עתירי פרסומות ושרותי צד ג', הנפוצים במקומותנו []
  2. גדול מדי לטעמי []

שלום פייסבוק

סגרתי את חשבון הפייסקבוק שלי ואת הקישורים מהאתרים שלי אליהם. היו להם שנתיים לתקן. חבל.

podcast
marketing

Reality distortion field reaches TED

I was really getting into this lecture, until he started to say Steve Jobs connects to our synapses…

I mean, really, give me a break…

participate

על הפנים

דרור פויר קורץ בעין ואומר כי "הרי כל מהות הפייסבוק היא ויתור על הפרטיות", והוא אינו היחיד, ושניהם טועים.

(עדכון: הנה עוד בת יענה).

כאשר כל אחד מאיתנו מפרסם (בעיתון או בבלוג), אנו עומדים על תיבת הסבון שלנו במודע ומופגן ופונים לקהל, אין לנו ציפיה לפרטיות. כאשר כל מי מאיתנו כותב דוא"ל לחבר או חברים, או משוחחים בטלפון, יש לנו צפיה מלאה לפרטיות.

פייסבוק התיימרה להיות פלטפורמת תקשרות בין חברים. לא במה. זו אחת הסיבות המרכזיות שהיא זכתה להצלחה גבוהה יותר מ-MySpace. השינוי והפרסום של הגדרות הפרטיות היו מטעים. משל היה ספק הדואר שלי מפרסם ברבים את כל הדואר שלי אם הייתי מבקש אישור מסירה.

נכון, ישנם משתמשים טיפשים. הדוגמה החביבה עלי היא אותם משתמשים שבתגובה לפרסום פומבי, שולחים תגובה "ניפגשים ביום ג'? אל תגיד לאישתי". אין מכאן לומר שעצם השליחה של הודעה ממני למאן דהו הופכת את ההודעה לפרסום. כאשר אני יושב עם חברים במסעדה, אני לא מצפה כי בעל המסעדה ישדר את העובדה שאכלתי בה (ואת תוכן השיחה) לכלל העולם.

ההכרזה "אל תשמשו בפייסבוק" משולה ל"אל תשלחו דואר לנמען ב-gmail או MSN. ישנם מספר דרכים לשפר את רמת הפרטיות בפייסבוק. פייסבוק עצמם מודים בכך, ואתרים נוספים מדריכים כיצד.

אין בכך לומר שאין צורך לבוא בטענות לפייסבוק. אך לעמוד מן הצד ולצקצק בלשון נראה לי טיפשי, ואולי אף מסוכן. אם אפילו Mozilla, עושה לנו פעולות מאחורי הגב, הבעיה היא במגמה, ולא במוצר. הכתובת הייתה על הקיר מאז 1999.

(עדכון: איתן כספי פרסם סרטון משעשע (?) על המידע שלנו וגוגל):

home