קטגוריות
משולחן היועץ אינטרנט

גלובס: נכשל באבטחה

היום קיבלתי דואר אלקטרוני לאיפוס הסיסמה שלי בגלובס, כולל קישור לעמוד איפוס הסיסמאות:

שלום גיל,
בימים אלו החלנו בעבודות שיפור ושידרוג הדסק
כחלק ממהלך השדרוג אופסו כל סיסמאות המשתמשים
אנא לחץ כאן לעדכון סיסמה חדשה לחשבונך
שינוי זה הוא צעד ראשון בדרך להפיכת הדסק למערכת תוכן גולשים מגיבה, אקטואלית ויעילה,
שתהפוך את הרשומים בה למומחים בתחומם, ופרסום הפרשנויות שלהם באתר.

התהליך כולל כמעט כל כשל בסיסי שניתן להעלות על הדעת:

  1. עמוד עדכון הסיסמאות (כמו גם עמוד הכניסה של גלובס) אינם כוללים אבטחת SSL.
  2. הקישור שנשלח כולל בתוכו גם את שם המשתמש ואת הסיסמה. מכאן שגלובס אינם מצפינים סיסמאות, אותה רמת אבטחה של פיצה האט ((כן, הקישור הוא לגלובס)).
  3. אין כל סיבה לכלול את המידע הרגיש בדואר. ניתן היה לבקש מהמשתמש לגשת לאתר, ולשנות את הסיסמה או להוסיף את הבקשה בחיבור הבא של המתשמש.
  4. הקישור איננו איפוס סיסמה, הוא בפועל כניסה למערכת עם הסיסמה הקיימת והפניה לעמוד שינוי הסיסמה.

עצוב.

קטגוריות
משולחן היועץ אינטרנט

פני יאנוס של אתר אינטרנט

חנן כהן תמה מדוע על כמות התקשורת של אתר אינטרנט לשרותי צד ג' ואומר:

ברור לי הצורך וברורים לי השימושים של האתרים האלה. אבל יש לי תחושה לא טובה בקשר לזה.

יש פה שרשרת שלא בטוח שבסופה יש כסף אמיתי.

אך לא רק כסף במובן של תשלום עבור פרסומות (או לחילופין תמורת המידע הנאגר על הגולש), יש לא מעט מקרים בהם האתר מסתמך על שרותי צד ג' לתפעולו השוטף. דוגמה לכך היא הדיון באתר חווית המשתמש העוסק בזיהוי משתמש וניהול תגובות. או שרותים נוספים, כמו סטטיסטיקות. המאפיין של כולם היא העובדה שהאתר פונה לשרותים חיצוניים, על פי רב דרך תסריטי Javascript. התקנה של תוסף NoScript ו-AdBlock, תגלה לכם לא מעט על התעבורה שמיצר האתר אליו אתם גולשים ((באותה נשימה עלי להזהיר, שני התוספים הללו יכולים לשגע אתכם באתרי עתירי פרסומות ושרותי צד ג', הנפוצים במקומותנו)).

ממשקים אלו יכולים לתת לאתר ערכים מוספים רבים. קישור ל-Facebook הוא נוח ושימושי הן מבחינת זיהוי השתמשים והן להפצת התוכן. חלק ((גדול מדי לטעמי)) של האתרים מתמקדים בסדרה קטנה של מנגנונים מסוג זה – Facebook, כמובן, הוא הבולט שבהם. אחרים משתמשים במנגנונים נוספים שמהווים מתווכים. דוגמה לכך היא מנגנון תגובות כמו DiscUS, או קיצור וניהול כתובות כמו Bit.Ly.

ישנן מספר סוגיות במנגנונים אלו שיש להביא בחשבון לפני ובמהלך ישומם:

  • פרטיות הגולש: האם מדיניות הפרטיות של המנגנון תואמת את מדיניות הפרטיות של האתר. האם תתכן זליגה של מידע על הגולש ללא דעתו, ואולי אף ללא דעת מנהלי האתר.
  • אבטחת מידע: המנגנונים האמורים עלולים להתשתמש בקוד שאינו נובע ואינו מאוחסן באתר. לעיתים (בעיקר במקרה של פרסומות), הקוד האמור אולי אפילו איננו במקורו באותו שרות צד ג' אלא אצל מי מלקוחותיו.
  • שימור המידע: שרותי צד ג' יעדיפו כי תשתמשו בקוד שלהם באתר שלכם. כך התוכן יהיה בפועל בשרתים שלהם. במצב של כשל או התנתקות מהשרות, אותו תוכן יכול להעלם.
  • ממשק המשתמש: שימוש בקוד של שרותי צד ג' יכול לשבש את מבנה האתר או לחייב את האתר להתאים את את עצמו למבנה של אותו שרות צד ג'.
  • נפח תקשורת: אנו רואים מגמה גוברת של שימוש באינטרנט סלולרי. שרותי צד ג' העושים שימוש ב-JavaScript מטילים את עומס התקשורת על הגולש ולא על האתר. הדבר לא משפיע רק על ביצועי האתר, אלא גם על העלות לגולש.

בכל האמור לעיל אין לראות שלילה גורפת של שימוש בשרותי צד ג', אלא מספר אזהרות. כלי ניהול תוכן כמו WordPress או Drupal מכילים תוספים לטיפול בלא מעט מהסוגיות האמורות, כמו למשל סינכרון תגובות בין האתר לבין עמוד ב-Facebook או LinkedIn, ללא מעורבות של הדפדפן. שימוש בתוספים אלו שומר גם על היחודיות והזמינות של האתר במקרה שאותם שרותי צד ג' לא זמינים.

קטגוריות
אינטרנט דעה

שלום פייסבוק

סגרתי את חשבון הפייסקבוק שלי ואת הקישורים מהאתרים שלי אליהם. היו להם שנתיים לתקן. חבל.

קטגוריות
כללי

Internet libre

אחד הדברים שהפתיעו אותי בארגנטינה הוא כמות המקומות בהם יש Wifi-Zone. בתי מלון, מסעדות, בתי קפה ואפילו קיוסקים. יותר מרשימה העובדה כי בכל המקומות שניסיתי הגישה הייתה חופשית וחינם. ללא פרסומות ולא דף כניסה. שני בעלי עסק ששאלתי על הנדיבות, משכו בכתפיהם ואמרו כי בכל מקרה יש "אינטרנט בעסק, אז למה לא לנצל אותו שהלקוח ישאר". כאשר שאלתי על דפי כניסה ופרסומות הם אמרו כי העלות והטרחה נראים להם גבוהים מדי, הן להם והן ללקוחות. כאשר שאלתי אם אינם חוששים מניצול על ידי שכנים או עוברים ושבים הם אמרו כי הניצול המקרי אינו מהווה סיבה מספקת לסרבל את השרות.זאת בעוד חלק מאותם עסקים נמצאים באזורים עירוניים צפופים.

התוצאה היא שניתן למצוא קישור אינטרנט חינם במרבית האזורים העירוניים. היות וישנן נקודות גישה מרובות גם אינן עומס על נקודות הגישה שאיתן עבדתי.

יש מה ללמוד מכך.

קטגוריות
אינטרנט דעה

על הפנים

דרור פויר קורץ בעין ואומר כי "הרי כל מהות הפייסבוק היא ויתור על הפרטיות", והוא אינו היחיד, ושניהם טועים.

(עדכון: הנה עוד בת יענה).

כאשר כל אחד מאיתנו מפרסם (בעיתון או בבלוג), אנו עומדים על תיבת הסבון שלנו במודע ומופגן ופונים לקהל, אין לנו ציפיה לפרטיות. כאשר כל מי מאיתנו כותב דוא"ל לחבר או חברים, או משוחחים בטלפון, יש לנו צפיה מלאה לפרטיות.

פייסבוק התיימרה להיות פלטפורמת תקשרות בין חברים. לא במה. זו אחת הסיבות המרכזיות שהיא זכתה להצלחה גבוהה יותר מ-MySpace. השינוי והפרסום של הגדרות הפרטיות היו מטעים. משל היה ספק הדואר שלי מפרסם ברבים את כל הדואר שלי אם הייתי מבקש אישור מסירה.

נכון, ישנם משתמשים טיפשים. הדוגמה החביבה עלי היא אותם משתמשים שבתגובה לפרסום פומבי, שולחים תגובה "ניפגשים ביום ג'? אל תגיד לאישתי". אין מכאן לומר שעצם השליחה של הודעה ממני למאן דהו הופכת את ההודעה לפרסום. כאשר אני יושב עם חברים במסעדה, אני לא מצפה כי בעל המסעדה ישדר את העובדה שאכלתי בה (ואת תוכן השיחה) לכלל העולם.

ההכרזה "אל תשמשו בפייסבוק" משולה ל"אל תשלחו דואר לנמען ב-gmail או MSN. ישנם מספר דרכים לשפר את רמת הפרטיות בפייסבוק. פייסבוק עצמם מודים בכך, ואתרים נוספים מדריכים כיצד.

אין בכך לומר שאין צורך לבוא בטענות לפייסבוק. אך לעמוד מן הצד ולצקצק בלשון נראה לי טיפשי, ואולי אף מסוכן. אם אפילו Mozilla, עושה לנו פעולות מאחורי הגב, הבעיה היא במגמה, ולא במוצר. הכתובת הייתה על הקיר מאז 1999.

(עדכון: איתן כספי פרסם סרטון משעשע (?) על המידע שלנו וגוגל):