Browse by Tags
All Tags »
Security (
RSS)
מה לא בסדר בתמונה הבאה ? לא ניחשתם ? הנה רמז ! לא עזר ? הנה רמז ממש ברור !!! למי שלא זיהה, להלן הבעיה. אם תלחצו על ה Alt ותפתחו את תפריט Tools ובתוכו את Folder Options תקבלו את התמונה הבאה שימו לב לזה ש Hide extensions for known file types מסומן ב V. אם תורידו את הסימון ותסתכלו עת אותה תיקיה תקבלו תמונה שונה והרבה יותר מעניינת. שימו לב שהקובץ gtrr.jpg הוא למעשה קובץ exe ושהקובץ thisiswrong.bmp הוא למעשה קובץ Batch. אחד מהעקרונות החשובים של אבטחה, היא למנוע מהמשתמש לטעות בגלל...
למי שלא יודע מה זה MSE, השם המלא זה Microsoft Security Essentials או בשם ההמוני והלא כל כך מדויק, האנטי וירוס החדש (בביתא) של מיקרוסופט. פרטים על התכנה ניתן למצוא כאן . לקיומו של המוצר התוודעתי בדיווח השנתי של מרכז המחקר והפיתוח של מיקרוסופט בהרצליה ושם גם קיבלתי עותק, אותו ישר התקנתי על מחשב הפיתוח שלי. ה MSE נכנס לעבודה, ומאז לא שמעתי ממנו. בארוע של Think Next נתקלתי בו שוב . חולקו בדוכן שלו דיסקי התקנה לכל מי שרצה, ולקחתי כמה ספאר שיהיה לי לחלק לחברה, כי ההרשמה לביתא כבר נסגרה רשמית. ואז עלה בדעתי...
מרוב שיש כל כך הרבה איומים של זדונה (Malware), אנשים יוצאים מבולבלים מכל העסק. ההסתכלות התמימה של הכל זדונה, זו הסתכלות כללית מדי. וכאשר אתה מתחיל להכנס פנימה ולעשות קטגוריות, אתה מגלה שמרוב קטגוריות לא רואים את היער. הערת אגב ששמעתי בתדוך השנתי של מרכז המחקר ופיתוח של מיקרוסופט שבו הוצג בין השאר ה MSE, שעליו אכתוב פעם פוסט איל"ז, הדליקה לי מנורה. אמר שם אחד מהמשתתפים, שהרבה משתמשי חלונות חושבים שה Defender זה תוכנת אניט וירוס. חשבתי לעצמי שזו בטח הגזמה, אבל שאלתי על הנושא כמה מומחים לדבר (כלומר...
קיבלתי אתמול דואל, ששואל אם אני יכול להגיע, הבוקר, לתדרוך השנתי לעיתונאים (ובלוגרים), של מרכז המחקר והפיתוח של מיקרוסופט בישראל (זה שבהרצליה). למי שלא מכיר את מרכז המו"פ של מיקרוספט ישראל, כדאי שיציץ קצת באתר שלהם כדי להתרשם. עשיתי עבודת הכנה ועברתי על האתר ברפרוף והתיצבתי כמו ילד טוב, קצת לפני הזמן, בחדר הישיבות של קומה 6. היתה מכונת קפה טובה, והספקתי אפילו לשתות אספרסו אחד לפני שהעסק התחיל. לומר את האמת, תמיד ידעתי שעושים שם משהו בהרצליה, אבל לאחר שעתיים ומשהו של דחיסת מידע, הבנתי שיש שם קצת...
הערב קפצתי למפגש קבוצת המשתשמים של אבטחת יישומים (Application Security) לשמוע את ארז מטולה מסביר איך פורצים את דוט נט. את ההרצאה וכל דוגמאות הקוד ניתן למצוא כאן . איך שהגעתי הלך לי המצב רוח. מסתבר שבאותו יום ובאותה שעה ליאון לינגליבן הרצה על IIS7 בקבוצת המשתמשים של מפתחי קורי העכביש (Web Developers). מאד מרגיז אותי שיש שני מפגשים של קבוצות משתמשים שונות באותו יום ובאותה שעה. פיתוח ב Web מעניין אותי וגם אבטחת ישומים מעניין אותי. למה אני צריל להיכנס לדילמה בנושא ? יש תשע קבוצות משתמשים למפתחים ועוד...
זוגתי שתחיה, גררה אותי לראות את הסרט זרה מושלמת עם ברוס ויליס והאלי ברי, אני לא הולך להמליץ עליו ואני גם לא הולך לא להמליץ עליו, זכותו של כל אחד ללמוד מה הטעם שלו בדרך הקשה, אני רק ארמוז שאם אתה מצפה שהסרט יהיה בנוסח "מת לחיות" או משהו כזה אז זה לא. הקטע שהציק לי מאד בסרט היה דווקא שחקן המשנה ג'ובאני ריביסי שמשחק את תפקיד אשף המחשבים מיילס היילי. הפריע לי מאד הסטריאוטיפיות של הדמות שהוא מייצג. יש לו כמובן כמה מסכי מחשב גם בעבודה וגם בבית, כל מיני תוכנות סריקת פורטים וכתובות פתוחות לו על המסכים (כל...
השבוע אצל אחד מהלקוחות שלי שוב נתקלתי ב Visual Studio 6. ושוב פעם עלה לי הסעיף. מילא, אם הפרויקט היה פרויקט של VB, שאני יכול איך שהוא לקבל את הקושי, של הטמעת נושא ה OO אצל מי שמעולם לא נחשף אליו (נושא לדיון נפרד). אבל הפרויקט הוא פרויקט של ++ C, עם הרבה שורות קוד, והלקוח עדיין משתמש ב VS6. ישנם כמה סיבות לכך שפרויקטים של ++ C נשארים תקועים ב VS6 וכולם לא נכונות. 1. ישנם כאלה שסבורים שמעבר מ VS6 משמעותו שהקוד שלהם עובר מ UnManaged ל Managed, דהינו הקוד ירוץ תחת דוט נט CLR, וזה כמובן דבר רע, זה ישפיע...
קיבלתי לפני כשבועים עלון מעיריית רעננה , עם הזמנה לבוא לשמוע על "זהירות אינטרנט ?! סיכונים ופיתויים לילדים". רשמתי לי את זה ביומן וזימנתי למפגש את זוגתי שתחיה. אם אתה רוצה לדלג ישר לבשר, קפוץ 3 פיסקאות. לתומי חשבתי שמדובר ביוזמה ברוכה של העיריה, אבל די מהר התברר לי שמדובר בארוע פוליטי, שיווקי, שנועד בעיקר להאדרה עצמית של השותפים לארוע, וגם לדחיפה שיווקית של קורס להורים על "איך לגלוש מבלי להיסחף" של מכון אדלר בשיתוף עם אגוד האינטרנט הישראלי. כבוד ראש העיר נאם, סגנית ראש העיר קיבלה כבוד, צביה אלגלי...
אני יושב במושב האחרון באולם שמלא בכמה מאות איש שטרחו ובאו לשרתון סיטי טאואר לשמוע את John Craddock מדבר על אבטחה מקצה לקצה . רוב הקהל הוא לא אוכלוסיה של מפתחים אלא אנשי IT וחבל, זו אחת הבעיות שאני מזהה בארגונים שאני עובד איתם, הפרדה בין עולם ה IT לעולם הפיתוח. מה שהרבה פעמים שוכחים מנהלי פרויקטי פיתוח, זה שאת היישום הם יפתחו לצורך העניין שנה או שנתיים, אבל אנשי ה IT שיתפעלו אותו בפועל על מחשבי הייצור, יצטרכו להפעיל ולתחזק אותו משך הרבה יותר שנים. הארוע לא היה תיאורטי, לאורך על הארוע היו הדגמות מלאות...
לא עברו 4 שעות מרגע שסימתי לכתוב את הבלוג שלי על "אבטחה בסיסית, על תעבוד בתור מנהל" , שבו ציטטי וקישרתי כתבה היסטורית אחת שלי שהופיעה ב Ynet . וכבר מצאתי דואל בתיבת הדואר שלי עם תגובה בנוסח "מה בחור מבית טוב כמוך עושה ב Ynet". ניתן להתוכח על העובדה שאני בחור מבית טוב, אבל זה לא נושא שהייתי רוצה לפתח בבלוג ציבורי שגם הבנות שלי יכולות לקרוא. לגופו של עניין, מי שאשם בזה שכתבות שלי הופיעו ב Ynet, הוא בעיקר שוקי גלילי יבדל לחיים ארוכים ועיתון Net מגזין זכרו לברכה . היה לעתון הסכם עודפים עם Ynet, וכך מצאתי...
המשפט הזה אינו מקורי שלי, רפאל לקוביצקי השתמש בו בהרצאה על נושא אבטחה שהוא נתן בזמנו בטק-אד באילת. והסיבה שנזכרתי בו היא שאחד הנושאים שעלו בהרצאה שלי על "תכנית הלוגו (שם דפוק)" שהעברתי בקבוצת המשתמשים של VB, משך כמו תמיד הרבה אש ותגובות סוערות. אני מדבר כמובן על הדרישה המופיעה במפרט התכנה של חלונות, הדרישה שהתכנה שאתה כותב, לא תדרוש הרשאות מנהל על מנת לתפקד (פרט כמובן לזמן ההתקנה). הדרישה הזו היא המימוש הבסיסי ביותר של עקרון ההרשאות הנדרשות הקטנות ביותר(בלע"ז Least Privilege). הדיון גלש מיד לשאלה...