קטגוריה: משולחן היועץ

קטגוריות
משולחן היועץ אינטרנט

גלובס: נכשל באבטחה

היום קיבלתי דואר אלקטרוני לאיפוס הסיסמה שלי בגלובס, כולל קישור לעמוד איפוס הסיסמאות:

שלום גיל,
בימים אלו החלנו בעבודות שיפור ושידרוג הדסק
כחלק ממהלך השדרוג אופסו כל סיסמאות המשתמשים
אנא לחץ כאן לעדכון סיסמה חדשה לחשבונך
שינוי זה הוא צעד ראשון בדרך להפיכת הדסק למערכת תוכן גולשים מגיבה, אקטואלית ויעילה,
שתהפוך את הרשומים בה למומחים בתחומם, ופרסום הפרשנויות שלהם באתר.

התהליך כולל כמעט כל כשל בסיסי שניתן להעלות על הדעת:

  1. עמוד עדכון הסיסמאות (כמו גם עמוד הכניסה של גלובס) אינם כוללים אבטחת SSL.
  2. הקישור שנשלח כולל בתוכו גם את שם המשתמש ואת הסיסמה. מכאן שגלובס אינם מצפינים סיסמאות, אותה רמת אבטחה של פיצה האט ((כן, הקישור הוא לגלובס)).
  3. אין כל סיבה לכלול את המידע הרגיש בדואר. ניתן היה לבקש מהמשתמש לגשת לאתר, ולשנות את הסיסמה או להוסיף את הבקשה בחיבור הבא של המתשמש.
  4. הקישור איננו איפוס סיסמה, הוא בפועל כניסה למערכת עם הסיסמה הקיימת והפניה לעמוד שינוי הסיסמה.

עצוב.

קטגוריות
משולחן היועץ דעה

על עצמאות ומספרים

20100809_001נמרוד ברנע שאל:

בבלגיה יש מנגנון שמעדכן את כל שנה את השכר בהתאם למדד – למה אין כזה בארץ לעזאזל?

עליות המחירים נראות בכל מקום, ועם זאת, לא נראה שמנגנון תוספת היוקר מצליח להתמודד עמו. יתכן כי הסיבה לכך היא שתוספת היוקר מתבססת על מדד המחירים לצרכן אותו מדד, למרבית ההפתעה, משתנה. מבט חטוף בשינויים לעומת הסקירה של דה-מרקר, מראה איך משקלם של מוצרים שמחירם ירד, עלו במשקלם במדד. כך ניתן לנטרל את המדד, וכתוצאה, את מנגנון תוספת היוקר.

מדוע, אם כן, מקומות העבודה המועדפים הם חברות גדולות?

תשובה חלקית היא בכך שקל יותר להיות יזם בתוך חברה גדולה מאשר כעצמאי או חלק מחברה קטנה. על אחת כמה וכמה כאשר אותה חברה גדולה היא בין לאומית. שרות וציוד בארצות ניכר עולים בין 30% לבין 50% פחות מאשר בארץ, בעוד לקוחות בחו"ל מוכנים לשלם בין 30% לבין 50% יותר. כאשר יזם עובד בחברה גדולה, משאבים רבים יותר, וזולים יותר, עומדים לרשותו, אם ידע לנצל אותם. אני רואה כל הזמן יזמים היוצאים מחברות גדולות או מהאקדמיה ונדהמים בדיעבד מהעלויות התפעוליות של חברת הזנק או עסק קטן. לא פחות מדהים אותם הוא הלחץ הלא מתון לתמחור אגרסיבי מצד לקוחותיהם.

אני לא יודע איך ניתן לשבור מעגל קסמים זה של עלויות גבוהות מול משאבים מוגבלים. אני רואה רבים מעמיתי, עצמאים או בעלי עסקים קטנים, נשברים ומחפשים עבודה כשכירים. קל יותר לוותר על יציאה לסרט עם תלוש משכורת מאשר לחיות בפחד מפשיטת רגל כאשר לקוח אחד לא ישלם.

קטגוריות
מערכות מידע משולחן היועץ

אבטחת מידע לבני אדם

תגובה של עו"ד רביה למאמר של של עו"ד קלניגר הפנתה אותי למדריך אבטחת מידע המופיע באתר לשכת עורכי הדין בישראל. זהו אחד המסמכים הקריאים ביותר שנתקלתי בהם לאחרונה, בתחום הטכנולוגי בכלל ובתחום אבטחת המידע בפרט. למרות הכותרת המיחסת אותו למשרדי עורכי דין, אני סבור כי המידע המופיע בו נכון לכל נותן שרות או בעל עסק, בעיקר אם הוא מחזיק מידע על לקוחות.

קטגוריות
משולחן היועץ אינטרנט

פני יאנוס של אתר אינטרנט

חנן כהן תמה מדוע על כמות התקשורת של אתר אינטרנט לשרותי צד ג' ואומר:

ברור לי הצורך וברורים לי השימושים של האתרים האלה. אבל יש לי תחושה לא טובה בקשר לזה.

יש פה שרשרת שלא בטוח שבסופה יש כסף אמיתי.

אך לא רק כסף במובן של תשלום עבור פרסומות (או לחילופין תמורת המידע הנאגר על הגולש), יש לא מעט מקרים בהם האתר מסתמך על שרותי צד ג' לתפעולו השוטף. דוגמה לכך היא הדיון באתר חווית המשתמש העוסק בזיהוי משתמש וניהול תגובות. או שרותים נוספים, כמו סטטיסטיקות. המאפיין של כולם היא העובדה שהאתר פונה לשרותים חיצוניים, על פי רב דרך תסריטי Javascript. התקנה של תוסף NoScript ו-AdBlock, תגלה לכם לא מעט על התעבורה שמיצר האתר אליו אתם גולשים ((באותה נשימה עלי להזהיר, שני התוספים הללו יכולים לשגע אתכם באתרי עתירי פרסומות ושרותי צד ג', הנפוצים במקומותנו)).

ממשקים אלו יכולים לתת לאתר ערכים מוספים רבים. קישור ל-Facebook הוא נוח ושימושי הן מבחינת זיהוי השתמשים והן להפצת התוכן. חלק ((גדול מדי לטעמי)) של האתרים מתמקדים בסדרה קטנה של מנגנונים מסוג זה – Facebook, כמובן, הוא הבולט שבהם. אחרים משתמשים במנגנונים נוספים שמהווים מתווכים. דוגמה לכך היא מנגנון תגובות כמו DiscUS, או קיצור וניהול כתובות כמו Bit.Ly.

ישנן מספר סוגיות במנגנונים אלו שיש להביא בחשבון לפני ובמהלך ישומם:

  • פרטיות הגולש: האם מדיניות הפרטיות של המנגנון תואמת את מדיניות הפרטיות של האתר. האם תתכן זליגה של מידע על הגולש ללא דעתו, ואולי אף ללא דעת מנהלי האתר.
  • אבטחת מידע: המנגנונים האמורים עלולים להתשתמש בקוד שאינו נובע ואינו מאוחסן באתר. לעיתים (בעיקר במקרה של פרסומות), הקוד האמור אולי אפילו איננו במקורו באותו שרות צד ג' אלא אצל מי מלקוחותיו.
  • שימור המידע: שרותי צד ג' יעדיפו כי תשתמשו בקוד שלהם באתר שלכם. כך התוכן יהיה בפועל בשרתים שלהם. במצב של כשל או התנתקות מהשרות, אותו תוכן יכול להעלם.
  • ממשק המשתמש: שימוש בקוד של שרותי צד ג' יכול לשבש את מבנה האתר או לחייב את האתר להתאים את את עצמו למבנה של אותו שרות צד ג'.
  • נפח תקשורת: אנו רואים מגמה גוברת של שימוש באינטרנט סלולרי. שרותי צד ג' העושים שימוש ב-JavaScript מטילים את עומס התקשורת על הגולש ולא על האתר. הדבר לא משפיע רק על ביצועי האתר, אלא גם על העלות לגולש.

בכל האמור לעיל אין לראות שלילה גורפת של שימוש בשרותי צד ג', אלא מספר אזהרות. כלי ניהול תוכן כמו WordPress או Drupal מכילים תוספים לטיפול בלא מעט מהסוגיות האמורות, כמו למשל סינכרון תגובות בין האתר לבין עמוד ב-Facebook או LinkedIn, ללא מעורבות של הדפדפן. שימוש בתוספים אלו שומר גם על היחודיות והזמינות של האתר במקרה שאותם שרותי צד ג' לא זמינים.

קטגוריות
משולחן היועץ

הצד השני של הגבעה

צרכנים (consumers), לקוחות (clients), משתמשים (users). מושגים מהעולם של המשווקים.

לא אני הוא זה שמגדיר את עצמי כצרכן או לקוח. המשווק הוא זה שעושה זאת. על ידי יצירת פלחי שוק – אמיתיים או מדומים – ודחיסת הלקוחות הפוטנציאלים של לקבוצות של סוגי צרכים. אנחנו, כלקוחות, נוטים לתת למשווקים להתאים אותנו לתבנית במקום לנסות ולמצוא את התבנית המתאימה לנו.

בלא מעט מקרים אני נתקל בלקוחות שלי הנותנים לי להכתיב את תנאי השרות או מבדקי הקבלה של המערכת – תוך אמירה של "אתה המומחה, אתה תגיד" או "מה שמקובל בשוק". כל מערכת שנבנתה על בסיס הנחות אלו אכזבה את הלקוח – ואותי. במקרה אחד טען לקוח כי המערכת איטית, למרות שכל מבחני הביצועים הראו כי היא עומדת בתנאי הקבלה. לא הייתה כאן תלונה קנטרנית או ראיה סוביקטיבית בלבד, המערכת אכן הייתה איטית יותר מהדרוש, היות ותנאי הקבלה היו לפי "מה שמקובל בשוק", וכאן נדרשה מערכת שונה.

עם כל כניסה להתקשרות יש להבין את הדרך בה פועל הצד השני, ומה ניתן וסביר לצפות ממנו. כיום מרבית הארגונים הקטנים והבינוניים מולם אני עובד עוסקים בעיקר בשאלת מתח הרווחים של של השני, וכיצד לנצל אותו לטובתם. דוגמאות החוזרות על עצמן הן:

  • רכישת או החכרת ציוד המתקשרת לרשת המחשבים המקומית כאשר לספק הציוד אין את הידע לתפעל את הציוד.
  • התקשרות עם חברות סלולר ובחירת מכשירים על פי מסלולי תשלומים ולא היכולות של המכשיר או הרשת.
  • מתן האפשרות לנותן שרות אחד להכתיב דרישות מערכת בצורה חד צדדית.
  • חוסר האבחנה בין הגורם המשווק, הגורם התומך ושרות הלקוחות. ((דוגמאות קונקרטיות יותר:
  • דיסקים קשיחים נמכרים על פי רב בשני ערוצים: קמעונאי (Retail) ויצרנים (OEM). הדיסקים הם זהים בשני הערוצים (למעט הקופסה ההדורה יותר של הערוץ הקמעונאי). עם זאת יש הבדל מהותי אחד. במקרה של תקלה יכול בעל דיסק שנרכש במסלול הקמעונאי לפנות למשווק, למפיץ או ליצרן לקבל חלופה. במסלול היצרנים רק המשווק יכול לפנות למפיץ או ליצרן לקבל חלופה, והלקוח יכול לפנות למשווק בלבד.
  • מוצרי מיקרוסופט שנמכרו עם מחשב יכולים לקבל תמיכה רק מהמשווק.))

הסעיף האחרון הוא בעיני המהותי ביותר. אנו רוכשים ציוד ושרות מאנשי מכירות או גופי מכירות, שלא תמיד הם גם הגוף נותן השרות. יתר על כן, גם כשאר המוכר הוא גם נותן השרות, לא תמיד הוא המתאים ביותר לתת את אותו שרות. חשוב, אם כן, להבין מה המסלול אותו עובר השרות עד שהוא מגיע אלינו, אל מנת שנמנע מעצמנו נזקים.

לעסקים קטנים ובינוניים לא תמיד יש את היכולת או הזמן להגדיר בצורה מקיפה את הצרכים שלהם או להכיר את מהלכי השוק. אך יש להכיר בצורך בכך, ולצמצם את הסיכונים, על מנת שהתהליכי מול המשווקים ונותני השרות יהיו יעילים יותר.