יום שישי, ינואר 15, 2016

והנה עוד מוצר קוד פתוח עובר דירה

לדעתי אחת מהפלטפורמות הידועות ביותר ל KDE בימי KDE3 ו 4 היתה kde-look.org, אם חיפשת תוסף או תבנית עיצוב אם היתה לך שאלה ולא היה לך לקוח IRC להתחבר זה המקום עליו הלכת.

השבוע הדבר הזה כנראה מתחיל להגיע לקיצו, kde-look נמכר  וביחד איתו כל מה שישב תחת מטריית ה opendesktop.org ,  לי אמנם אכפת מ kde-look אבל אם השתמש ב gonme-look או הייה לך חשבון ברשת החברתית גם לך יהיה אכפת.

החברה שרכשה אחראית על Kubuntu, אמנם מדובר על יחסית מספיק קרוב העברת בעלים אומר שכנראה יהיו שינויים, אני מקווה שהשינויים לא יהיו יותר מדי דרסטיים שיגרמו לתקלות.

בשעה טובה ומצלחת הרגולטורים מתחילים להתעורר

אמנם עדיף מאוחר משאר אף פעם לא , הרגולטורים בהודו מתחילים להתעורר ולהלחם ברעיון תוכניות האפס גם בארה"ב מתחילים להשמע קולות דומים (לא מהרגולטורים עדיין לצערי) .

באופן לא באמת מפתיע ממה שהזהירו בהודו סבלו אנשים בארה"ב (חברה ביצע העדפת תעבורה לכל תעבורת הוידאו) וכמובן שנמצאו אנשים שטענו כי שום דבר רע ברעיון ו internet.org הוא בכלל מוצר מצויין . השאלה הנשאלת מה יקרה כאשר חברות שחברות ברעיון תוכניות האפס יגיעו למקומות בהם זה לא נהוג (נגיד נטפליקס שעכשיו מגיע כמעט לכל חור בעולם) - האם גם שם נראה את הפרקטיקות האלה מתחילות לחלחל ? רק זמן יתן לנו את התשובות אני רק מקווה שהרגולטורים בכל אחת מהמדינות האלה ידאגו להזכיר שנייטרליות רשת זה דבר חשוב וחייבים למנוע הסכמים שיבצעו העדפה כזו או אחרת.

אני כנראה יושב בצד של  EFF, אני עדייו מאמין שהאינטרנט צריך להיות פתוח ושווה לכולם , אני נגד הרעיון לבטל את מספרי הטלפון ולהשתמש רק ב פייסבוק מסנגר בשביל לתקשר. אמנם זה נשמע ישן ולא חדשני אבל מספרי הטלפון או טלפוניה במובן של תשתית (ולא משנה אם מדובר ב GSM או PSTN או אפילו ספקי SIP) ולא טלפוניה (תקושרת) במובן של תקשורת עם מעגל חברים סגור (סקייפ, פייסבוק מסנגר , גוגל טאלק, האנגאוטס).


לדעתי מרגע שפייסבוק וגוגל נתשו את הרעיון של שימוש ב XMPP פתוח וחיבור לפדרציה של XMPP הם איבדו את הזכות לבקש להיות תשתית, לא משנה כמה חזקים הם אם הם מונעים שיחה/ הודעה נכנסת מחברה אחרת הם פשוט עוד גן נעול שנתקע בלעדיו.



כל הכבוד לגוגל #2

לפני מספר ימים סיפרתי על זה שגוגל סוגרת את הברז ל  RouteBuilder , ואוסרת עליה להשתמש בשירות המפות שלה (לטענת גוגל RouteBuilder פעלו בניוד ו TOS של מפות גוגל).

באופן לא ממש מפתיע הרבה מאוד אנשים בעולם הקוד הפתוח צעקו לRouteBuilder לעבור לשימוש בשירות מיפוי פרטי או שירות פתוח דוגמת openstreetmap.

מפה לשם גוגל משכו בחזרה את האיסור להשתמש במוצר שלהם נכון לעכשיו אבל החלק הבאמת מעניין , בדיוק כמו שהמון אנשים הציעו (כולל אני) החברה ב RouteBuilder עוברים להשתמש ב OpenStreetMap ואולי ביחד עם שימוש ב Leaflet (וזה לא באמת משנה אם זה זה או ol העיקר שזה קוד פתוח).

החלק המאוד משמעותי בנושא הוא העובדה שמוצר יחסית גדול מתנתק מקבלי שירות מפות ועובר להשתמש בשירות tiles (מדיה) ושירות ניתוב פתוח (שבאופן לא מפתיע אפשר להריץ לבד בלי התערבות של OSM בדרך).

השאלה היא מתי מפתחי אפליקציות נוספות יחליפו את שירותי ההסתמכות על מיפוי גוגל ויתחילו להשתמש ולאפשר החלפת שרתי מיפוי למשתמש ?

אחת השאלות הגדולות ביותר לאפליקציית מיפוי היא -
האם היא מוסגלת לעבוד offline לאחר הורדת מפות ל cache.
האם היא מסוגלת לעבוד בתוך רשת סגורה ללא פנייה למקורות חיצוניים.

לא מזמן ראיתי איך אנשי תאגיד מים שהסתמכו על אפליקצית מפות "רשמית" שמתשמשת במידע שייוצא משרות מיפוי  נכשלים בעבודה ופשוט לא מסוגלים להשתמש במיפויי שלהם,המכשיר שלהם לא הצליך להוריד את המפות של האזור הנדרש והם נאלצו לצאת מהאתר בו עבדו לאזור בו יש קליטת בשביל להוריד מקטע יחסית קרוב ואז ידנית ביצעו את השוואה. 

יום שני, ינואר 11, 2016

תודה לגוגל (או חברת האלפבית)

אני חייב להגיד תודה לחברת גוגל , לאחר שזו הציבה דרישה ל RouteBuilder שאוסרת עליה להשתמש ב maps api. מדובר על פרוייקט שקם שנתיים אחרי OpenStreetMap אמנם OpenStreetMap מחזיקים ברישיון משונה (ODBL) זה עדיין טוב יותר מגוגל (גם MapQuest לא מדהימים למען האמת).


זה לא שלא אמרו לאנשים שאם הם רוצים שירות שיעבוד יש צורך להרים שרת מיפוי עצמי, זה לא שלא אמרו  שיש חוקים שחייבים לעמוד בהם  (TOS) כשבונים שירות GIS.

מצד אחד חבל לי על RouteBuilder מצד שני זה לא ממש מפתיע,לדעתי RouteBuilder היו צריכים להרים שרת מיפויי פרטי או לעבור לאחד כזה (לדוגמה mapnik).

מי שמאמין שחברה או התארגנות (Freemap) יתנו משאבים בצורה חופשית או הפצה של המשאבים בצורה חופשית חושב טוב מדי על העולם התאגידי. גוגל בדיוק כמו פייסבוק הם לא מלכ"רים (שגם הם לא בדיוק ששים לשתף ולחלק משאבים) המשאבים עולים כסף ולחברה אין שום סיבה להפסיד את הכסף הזה.

זו גם אחת הסיבות שאני ממליץ לכל מי שצריך ממשק וובי לשירות מפות לייצר שרת מיפוי פרטי, לא אין מה לסמוך על שירות ה GIS של המועצה (דרך אגב רוב הזמן זה ArcGIS שזה תוכנה סגורה) יום יבוא וזה יסגר / ישתנה אפילו עמותת המקור הורידו את שרת המיפוי שלהם.

מי שלא רוצה שהפרוייקט הבא או האתר המדהים שלכם יחטוף סתירה כזאת בעתיד הלא רחוק ? תתקינו שרת מיפוי (tile server)  - לא משנה מאיפה תיקחו את המפות אם זה OpenStreetMap או מידע גאוגרפי שיוצא לArcGIS ולכם יש רישיון שימוש להשתמש בו,העיקר שתהיה לכם היכולת להחליט מה להציג, מתי להציג ואיפה להציג.


בשביל להציג את המפות השתמשו בתוכנה חופשית כמו marble או QGIS ואם יש צורך בממשק וובי השתמשו ב OpenLayers כנגד השרת שהרמתם (יש אחרים , לי ניסיון רק עם ol לצערי).

אתם בונים אתר מדהים בWIX או בדף שאתם מציגים יש מפה ? נה להשתמה ש OpenLayers שמכוון כלפי שרת המיפויי שלכם. ובמיוחד אם אתם מפרסמים מפגש טכנולוגי זה יהיה מצויין אם תספקו את המפה שלכם לבד ולא תשתמשו במפה של ספק חיצוני.

ואם אפשר כמה מילים על מפ"י.

אני מאמין שבגלל שאני משלם מיסים , לכל הפחות היו יכולים לפרסם את המפות ברישיון שמאפשר למשלמי מיסים להשתמש בהם ככל העולה על רוחם ולא על הרישוי המדהים -
אין להעתיק, להפיץ, להוציא לאור, להציג או לפרסם את החומר המוגן, ללא הסכמה מראש ובכתב של ד"ר או מי מטעמו.


הבנתם ? שילמתם מס כמו גדולים, אבל מי שעשה את העבודה מחזיק בזכויות ואוסר לכם להשתמש בזה שלא דרך בדרך שלהם. תודה לאל אין לפחות DRM וזכויות כאלה על מפות נייר.

יום שישי, דצמבר 18, 2015

אם התקלות ב012 ונציג שירות מעצבן

אדם חביב ניסה להתחבר לרשת המשרדית וראה כי הפעולה נכשלת.
בפנייה לנציג שירות התשובה שקיבל היתה (ציטוט) אי אפשר להתחבר לvpn אתה צריך נתב בשביל זה.


התשובה נשמע לי הזויה במיוחד לכן החלטתי לחפור קצת מתברר כי החייגן של 012 לא מגדיר default gw מה אבל כן נותן מסלול 0.0.0.0.

גם גולן טלקום עושים משהוא דומה (מסלול של 012) -

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
10.6.6.6        0.0.0.0         255.255.255.255 UH    0      0        0 ppp0

בשביל לפתור את הבעייה הזאת מה שיש לעשות זה להעיף את 0.0.0.0 ולהוסיף יצאת ברירת מחדל דרך 10.6.6.6.

אותו הדבר ב 012 (רק כתובת שונה).

בדרך אנו עושים את ה 0.0.0.0 מוביל ל 0.0.0.0 בשביל לאתר איזה שהיא יצאה לאינטרנט הלאה, זה רעיון טוב אם אנחנו רוצים לאפשר ל MME לדווח עם יש לנו default gw חדש בדרך בעקבות זאת, הבעיה אם יש לך יותר מרשת אחת שאתה מחובר אליה (ספק אינטרנט + רשת משרדית שעוברת דרך ppp ) זה פשוט לא עובד.

מדוע מערכות אחרות נכשלות להתחבר לרשת במצב הזה ?

בהרבה מאוד חייגנים (טסריטים) אנו מבצעים הפנייה של יצאת ברירת המחדל - הרשת המשרדית רוצה שאתה תעביר את כל התעבורה דרכה, בשביל שתוכל להשתמש בשירותים הקיימים בתוך הרשת הפנימית.

היא עושה זאת ע"י איתור יצאת ברירת המחדל, הסרתו , הוספת מסלול חדש מיצאת ברירת המחדל לכתובת החיצונית והוספת מסלול ברירת מחדל חדש שיוצא דרך הרשת המשרדית.

יום רביעי, דצמבר 09, 2015

בחיאת העידכון

לפני תקופה מסוימת שיתפתי עם חברי את ההחלטה להפסיק לבצע עידכונים אוטמטיים על המכונות שלי ולהסתמך על התשתית בשביל שתבצע לי אבטחה (IDS וחבריו).

יש לי גיבויי יחסית סביר ומלא (ביצעתי חזרה מגיבויי לבדיקת תוכן הגיבויים), כך שכאשר אני אחטוף cryptoransomware אני בתקווה אוכל לחזור אחורה, המערכת לא מתחברת לרשת חיצונית ללא פעולה רצונית (הכבל רשת פיזית מנותק :) )
אני אומר מתי שאני אחטוף ולמה אם בגלל שעל מי אנחנו עובדים, יש לך מחשב שמחובר לרשת ויש לה התקני קלט, אתה תחתוף משהוא לא משנה אם זה וינדוס או לינוקס.

כשמדברים על עדכוני אבטחה מדברים על מחיר של מה יקרא אם תהיה בעייה, אבל לפעמים שוכחים את מחיר התחזוקה עצמה לדוגמה אצלי היה פיאסקו לא קטן בעדכון VS בימים האחרונים.

מדובר על חיבור קווי של 15 מסל"ש , כונן SSD ו 16 ג"ב ראם כמה זמן אי עבודה ייקח Serivce pack לסביבת הפיתוח VS 2015 ?

הורדת התוכן עצמה לקחה בערך כ 15 דקות (שלב ה Acquiring) ואז הגיע האבל , שלב ה Applying מהפעלה הראשונה מהלך של שני איתחולים , Repair (כי היתה קריסה בדר"כ) הציג downtime של 5 שעות עכשיו בו ונכפיל את זה עבור כל מחשב פיתוח.

‎רק בשביל לסבר את האוזן זה התקנה שמכילה רק Visual C++‎ לא משהוא מיוחד (רק 8 ג"ב עידכון נדרש).

לפי מה שאני מבין כל מי שדיברתי איתו בימים האחרונים שמשתמש ב Win7 עובד ב C++‎ ומתקין את  Visual Studio 2015 Update1‎  קיבל משהוא דומה Downtime של רבע יום ומעלה ותהליך שדורש ביצוע repair כי יש ריסוק בדרך.

למזלי אני עדיין לא ב Win10 אז אם יש פה משהוא שיש לו Win10 ממליץ בחום רב לפני העדכון להסיר כל תוסף שקיים שם (לפי קולוגות זה הדבר היחידי שאפשר להתקין VS2015) לשדרג ואז להתקין שוב.

יום שלישי, נובמבר 17, 2015

לפני כשבועיים פרסמתי פוסט על הצפנה ברמת תשתית, במייל נשאלתי איך ניגשים לאבטחת שירות.

מכיוון שאני לא מכיר אפילו חלקיק מצורת העבודה של השואל אני רוצה לציין שאין פתרון קסם להכל, לכל פתרון יש את המחיר שלו. מי שרוצה פתרון מאובטח כמו שצריך שלא יעבוד עם מחשבים או קווי תקשורת בכלל.

ככל אתה חייב לבטל את שיטת הסמוך על סמוך , ואתה לא יכול לסמוך על אף ספק תשתית אחר. אם אתה מעביר RTP פתוח בין שרתים אתה ממש רוצה שהמתחרה שלך (או משהוא שיכול לגרום לך נזק) יאזין לתעבורה שלך.

הגישה הפשוטה ביותרת אומרת אבטח את הצירים, אבטח את השירות והחזק אבטחה טובה בתוך המתחם שלך.

אבטחת הציר עצמו:

דוגמה קלאסית היא שימוש בצירי ipsec בין השרתים שמתקשרים על קו אינטרנט רגיל -

בדר"כ מרבית הציוד תומך בסוג מסויים של ipsec, אבל לצערי לפעמים מגלים שלא תמיד הציוד והתשתית שברשותנו מאפשר לנו לעבוד ב ipsec עליית קו לפעמים דורשת מספר דקות , לפעמים זה סיוט בשביל לבצע החלפה של כתובות שרתים, לפעמים המערכת פרוסה ככה שמאוד קשה לעבוד בצורה של roadwarrior לחיבור.

דוגמה נוספת היא שימוש בקו SSH, זה נשמע טיפשי אבל זה פשוט עובד מהקופסא, כמעט כל קופסת תקשורת שראיתי בחמשת השנים האחרונות תמכה ב ssh ואפשרה אחזקת תעלות ומעבר כמו שצריך.

שימוש ב vpn קוד פתוח (סורי לא ממליץ לאיש להשתמש ב vpn קנייני סגור, אכלתי מספיק מרורים מספקים) - יש הרבה אני עובד הרבה עם openvpn בין שרתים, יש הרבה פתרונות  מצאתי כי אם תוכנת השרת והלקוח קיימת למשל בדביאן וארצ' זה מקדם טוב שזה יעבוד בקופסאות בדרך.

נתקלתי הרבה פעמים בכלים מדהימים (קניינים) שהיה להם לקוח וינדוס לכל גרסה חבילת deb ואפילו לקוח לאנדרויד ללא רוט, ואז גיליתי לאחר תקופה מסויימת שהם לא מתפקדים כמו שצריך על קווים שדורשים איתחול מרובה (החלפת כתובות כל רבע שעה), שיש נעילת כמות משתמשים פעילים ברשת ברמת השרת ובשביל לפתוח את הנעילה יש ליצור קשר עם ספק התשתית. היום אתה כנראה אומר אין לי שום בעייה שאין לי לקוח לדביאן / אנדרויד אבל עוד חצי שנה אתה יכול לגלות שפתאום אתה חייב את זה (כי איש המכירות שלך צריך להציג את המוצר המדהים בפעולה בכנס מסויים ואז אתה עובד מסביב לשעון בשביל פתרון).

אבטחת תוכן הציר:

לצערי נתקלתי הרבה מאוד פעמים שאנשים לא מבצעים אבטחה בתוך הרשת הפנימית שלהם, אני מצטער מר אני-עובד-בתאגיד-עשור-ואני-יודע-שהכל-מאובטח אם יש לך שירותי דואר בתוך הרשת הפנימית שאינם דורשים TLS ולא מבצעים הזדהות בתוך הרשת או שיש לך שירותי ווב בתוך הרשת שאינם מצפינים את המידע בתוך הרשת הפרטית ואינם מוודעים הרשאות אישור ושימוש אתה מחכה וממש מבקש שיגנבו לך את המידע.



אחד הפתרונות הטובים ביותר שראיתי לביצוע AAA הוא freeradius (סורי שאני עושה פה פרסומת) , זה יציב זה פשוט עובד והרבה מאוד שירותים עובדים איתו בלי שום בעייה (משרת ה apache ועד שרת הSIP).

אין פתרון אבטחה מושלם לפריסה תאגידים, מנטור ישן  פעם לימד אותי הנחת הייסוד שלך היא שהעובדים שלך הם התוקפים (לא משנה כמה חזק תצפין אם אפשר לחבר קבל לרשת , או להשתמש בהנדסה חברתית בשביל לקבל הראשות כל זה לא שווה) - לכן כל מה שיש בתוך הרשת התאגידית צריך להיות מאובטח כאילו התקשורת היא בwifi ציבורי. למזלי (או לצערי) אני לא צריך להתמודד עם הרעיון שכל אחד מביא את הציוד שלו (אסור לחבר ציוד שלא עבר אימות לרשת). אתה ככל הנראה לא מדבר על רשת עם עשרה מחשבים שיושבת בתוך חדר שרתים, יש לך קווי תקשורת פרוסים בבניין יש המון שקעים וכל ילד שני דוחף את המחשב הנייד שלו לשקע הרשת.

לא מזמן היה פרסום על פתרון מעניין של ספק תשתיות לרפואה שבשביל להלחם בבעיות אבטחה דרש חותמת חתימת אצבע בחדר ניתוח, זה דוגמה למשהו שלדעתי היה צריך להיות מתוכנן בצורה אחרת (חדר ניתוח אמור להיות סטרילי).

שירותי ה DNS שלך צריכים לספק DNSSEC.
שירות המייל צריכים לדרוש הצפנה תמיד (לא רק כלפי הלקוח אלא כלפי כל שרת אחר ב exim4 זה tls_advertise_hosts), שירות ההודעות המיידיות גם הוא צריך להיות מוצפן בתוך הרשת וכמובן ששרת ה STUN ושרת הקבצים לא צריך להיות מחוץ לרשת האירגונית. כידוע לי גוגל וחברות אחרות עובדות בשיטה זו.
גם ה S2S של שירות ה SIMPLE/XMPP שלכם צריך להיות מוצפן בין השרתים.

אתה גם צריך להחליט מה אתה מאחסן מראש, אין סיבה שבעולם שתשמור ססמאות או מידע שאמור להיות סודי מראש, רוצה שיטה טובה להמנע מכאב ראש פשוט - אל תדרוש או תשמור מאפייני כרטיס אשראי , מאפיינים מזהים (סריקת דרכון,רישיון נהיגה) או מידע רפואי (עריכה לבחור שאומר שריצוף DNA הוא אנונימי בבקשה ממך אל תפתח מערכות תשתית לנושא).

השירות עצמו שאתה מחזיק חייב להיות מאובטח (אם יש לך sqli בתוך שרת הווב לא עשית כלום).