בעיית ה-JPEG של מיקרוסופט

טוב, כמו שאני מזהיר לפעמים, יש בעיה – תריצו את העדכון. הפעם, אבל, הבעיה יותר מעצבנת.

דבר ראשון זאת בעיה שהמשתמש לא צריך לעשות כלום כדי להדבק בה. גם אם יש לכם פיירוול. במקרים מסויימים, גם אם יש לכם אנטי וירוס. כל מה שצריך לקרות זה שאתם תגלשו לאתר מסויים, ופתאום נדבקתם.

אבל, לא על זה רציתי לדבר איתכם. לפני שנתיים וחצי מיקרוסופט יצאה בהכרזה של “מיחשוב אמין”. הרעיון היה לשפר את התדמית הדיי זוועתית שהיתה להם בתחום אבטחת המידע. במסמך ארוך ומרשים שהוציא ביל גייטס הוא הסביר, שלב אחרי שלב, את כל מה שצריך לעשות כדי להשיג את המטרה הזו. לא היו שם דברים מהפכניים. להתמקד באבטחה במקום ביכולות חדשות, לדאוג לשמור על פרטיות המשתמשים ועוד ועוד (הטקסט המלא). וזאת בעצם הנקודה. לא היו שם דברים מהפכניים. הסיבה היחידה שהיוזמה הזו זכתה לכיסוי תקשורתי נרחב הינה שהיא באה ממקום שעד אותו זמן לא הראה סימנים של להבין את הדברים האילו.

מאז עברו שנתיים וחצי. קשה להגיד ששום דבר לא השתנה, אבל גם קשה להגיד שמיקרוסופט ראו את האור.

אחד מהדברים החשובים ביותר לחברה הוא להבין שבעיות אבטחת מידע הינן בעיות שתמיד יקרו בקוד. פשוט אין דרך להמנע מזה. אחרי שהבנו את זה, השאלה שצריכה להשאל היא “איך מקטינים את הנזקים”. אחד מהדברים החשובים ביותר לתת לשמתמשים הינם כלים לדעת היכן הם עומדים. הכלי הראשוני במטרה הזו הינה התראת הפגיעות – Vulnerability Advisory. התראה כזו צריכה, לכל הפחות להוציא את מי שקורא אותה עם מושג סביר לגבי האם הוא פגיע או לא. לפחות בנקודה הזו, על מיקרוסופט להשתפר עוד הרבה.

במאמר כועס יוצא טום ליסטון נגד התראה בשם MS04-028. מילא, הוא אומר, שלא ניתן להבין מהרשימות הארוכות שם האם אני פגיע או לא. מיקרוסופט הכינה כלי פשוט, שאמור להגיד לי את זה. רק תוריד אליך למחשב, תריץ, ותקבל את התשובה שאתה “אולי פגיע”. רגועים?

אני חייב להודות שכשאני קורא את ההתראה, אני יותר מוטרד. הנה כמה נקודות למחשבה:
– תחת “General Information”, יש מספר רכיבים חשובים. את הרכיבים האילו לא ניתן לקרוא בלי שיש לכם JavaScript דלוק במכונה. במקרה זה לא נכון לגבי ההתראה הזו, אבל אחד מהאמצעי עקיפת באג, ז”א “אם תעשה את זה הבאג לא יוכל לתקוף אותך גם אם אתה פגיע”, הוא “לבטל JavaScript”. במילים אחרות, אם אתה מודע לעניני אבטחה, מיקרוסופט מבטיחה שלא תוכל לגשת להתראות האבטחה שלהם. הגיוני לעוד מישהו?
– תחת Mitigating factors נהוג לכתוב את הגורמים שבגללם הבאג הזה אולי לא חמור כמו שהוא נשמע. הגורמים האילו בהתראות של מיקרוסופט הינם בד”כ כל כך לא רלוונטיים. בואו נסתכל עליהם פה:
התוקף מקבל רק את ההרשאות של המשתמש שהותקף. אם המשתמש לא Administrator, אז גם התוקף לא. ועל זה נאמר, “באמת תודה”. אני מודע לזה שהרבה מקוראי הבלוג הזה משתמשים בלינוקס, אבל מבין משתמשי החלונות, כמה אינם מתחברים בהרשאת מנהל? לא חשבתי. כולם מתחברים בהרשאת מנהל. זוהי ברירת המחדל של המערכת. אם לא תעשו את זה, חצי מהתוכנות שתנסו לא יעבדו. גם אם הגדלתם ראש, עדיין תמצאו שזה שהתוקף יכול לעשות כל מה שאתם יכולים לעשות לא יפריע לרוב הוירוסים, ולכל התוקפים, מלעשות מה שהם רוצים עם המחשב שלכם.
התוקף צריך לגרום לכם לפתוח את הקובץ. הא! אחרי שהסברנו באריכות לאנשים שעליהם להזהר מקבצים שנגמרים ב-exe, com, scr, dll, ocx, bat, btm, וכנראה עוד כמה הרחבות ששכחתי, עכשיו אנחנו אמורים להזהר מקבצי jpg??? כולם מעבירים תמונות. זה מה שיפה באינטרנט. אני מצטער – להגיד לי שאני צריך לא לפתוח תמונות של האחיין שלי מצרפת כדי לא להדביק את המחשב זה פשוט לא קביל.
בהתקפות web, התוקף ייצטרך לארח אתר שמכיל את הקובץ שמכיל את ההתקפה. אין לו שום דרך להפנות אנשים אל הקובץ. מה??? אני משוכנע שאני יכול לכתוב מייל שיגרום למעל 90% מהקוראים ללחוץ על לינק שנמצא במייל. למעשה, מספיק לטעון שיש שם “קסם אונליין”, או בדיחה, כדי שרוב האנשים יבדקו את זה. חוץ מזה, אני אפילו לא צריך את זה. אני יכול לשלוח לכם את הקובץ במייל. כל תוכנת דוא”ל מודרנית נתסה להציג אותו ברגע שפותחים את המייל.
חלונות XP, XP עם ערכת שידרוג 1, ו-Windows server 2003 הם היחידים שמכילים את הבעיה כברירת מחדל. אבל, הנה רשימה ענקית של תוכנות שמתקינות את הבעיה איתן. אני באמת צריך להסביר למה זו נקודה לא רלוונטית?

אז מה הבעיה שלי, בעצם? הבעיה היא שמי שקורא את ה-Mitigating factors האילו עלול, חלילה, להגיע למסקנה שהוא בסדר. האמת הכואבת היא שלבעיה הספציפית הזו אין mitigating factors. כל מי שפגיע, צריך להתעדכן בהקדם האפשרי.

ורק תעשו לעצמכם טובה אחת. אם אתם כבר רוצים לבדוק אם אתם פגיעים, אל תשתמשו בתוכנה של מיקרוסופט לבדוק את זה. נסו את התוכנה של סאנס. לא ניסיתי אותה, כך שאני לא יודע עד כמה היא טובה, אבל התגובות ששמעתי מראות שהיא הרבה יותר טובה.

שחר

מחשבות על חטיפת העיתונאי

עיתונאי ישראלי שעובד עבור CNN נחטף ברשות הפלסטינית. אם נוסיף לזה את העובדה שמדובר בערבי ישראלי, אנחנו מקבלים תופעה מאוד מדאיגה.

לא, אני לא מדבר פה על חופש העיתונות. אין פה שום דבר חדש בהקשר הזה. אם עיתונאי הולך לסקר במקום מסוכן, הוא עלול לא לחזור, בדיוק כמו כל אחד אחר.

מה שכן בד”כ היה קורה זה שעיתונאים היו מקבלים חסינות מפעילות עויינת. זה לא בגלל איזשהו כבוד למקצוע מצד אנשים שמכל בחינה אחרת הם טרוריסטים. זוהי מחשבה כלכלית פשוטה. תקוף עיתונאים, וקנית לך אוייב בדמות התקשורת. זה עלול לפגוע בבסיס שממנו אתה חי. אירגון טרור שתוקף עיתונאים, ככלל, יורק לבאר ממנה הוא שותה. זהו אינטרס כל כך חזק שאפילו עיתונאים ישראלים שאינם ערבים, ושמסקרים עבור רשתות שאינן זרות, בד”כ נהנים מהחסינות הזו.

וזה מה שכל כך מדאיג אותי. אם הטרור הפלסטיני הגיע לרמה שבה אפילו על האינטרסים שלו עצמו הוא לא יכול להגן יותר, אזי איך נפתור את הבעיות? משא ומתן מתקיים בין צדדים שרוצים לשפר את מצבם. אם אחד הצדדים לא מעוניין לשפר את מצבו, המשא ומתן לא יהיה אפקטיבי.

שחר

עוד מילה על תעריפי הקישוריות

כפי שכבר כתבתי בעבר, משרד התקשורת רוצה להוריד את מחירי הקישוריות ל-15 אגורות, קבוע לכל המפעילים, רווח או הפסד. לדעתי זה צעד נכון.

כדי להתרשם עד כמה זה צעד נכון, המאמר הבא ב-NRG אומר, בין השאר, שמירס היא היחידה שבעד. הסיבה, בדיוק כפי שאמרתי, היא שהם מעריכים שזה יאפשר להם לגדול.

לכו על זה, משרד התקשורת.

שחר

סליחה

אוקיי, אז האמת היא שבמקור באתי לכתוב מכתב תגובה עוקצני למאמר “סליחות פיקטיביות” ב-Ynet. במאמר, גיא כהן מבקש סליחה פיקטיבית בשם מיקרוסופט (את שמה הוא מאיית “מייקרוסופט”), הזבלנים, ואנשי הקוד הפתוח. רציתי לכתוב סליחה בשם עיתונאי ועורכי מדורי המחשבים, על הבורות, חוסר העומק, וחוסר ההבנה בתחומים אותם הם מסקרים, ועל זה שהם מעתיקים הודעות לעיתונות מטעם בלי טיפה של התעמקות או ביקורת.

ואז הבנתי משהו. יום כיפור זה לבקש סליחה באמת. לא באופן סרקסטי בשם מישהו אחר, בעוד אתה יודע שהוא לא מסכים עם הביקורת שלך ולא מתכוון לשנות מדרכו. יום כיפור זה לבקש סליחה אמיתית משלך.

אז בשם קהילת הקוד הפתוח, אותה אני לא מייצג, אני רוצה לבקש סליחה אמיתית. סליחה על זה שאנחנו מאוד קולניים ביחס למספרינו האמיתיים באוכלוסיה. סליחה על זה שאנחנו דורשים מחברות מסחריות להתנהג כאילו שיש ערכים יותר חשובים בעולם מכסף. סליחה על זה שבשמינו מגיבים אנשים (ב-ynet ומקומות אחרים) תגובות אינפנטיליות, לא רלוונטיות, פוגעות ושלא מכבדות את הקורא.

ובעיקר, סליחה מחברת מיקרוסופט. סליחה שאנחנו מסתכלים על חברה שמורכבת ממכלול עצום של אנשים, שחלקם הגדול הוא מיקצועי ואיכותי, כאילו הם בן אדם אחד שעושה הכל בכוונה. סליחה שאנחנו מזלזלים בכל מוצר חדש שלכם, עוד לפני שיצא לשוק ולפני שהסתכלנו עליו. סליחה שאנחנו לא נותנים לכם קרדיט על דברים טובים שאתם עושים, גם אם אנחנו לא מסכימים עם הדרך (והמלחמה בספאם היא דוגמא מצויינת). לסיום – סליחה מהצוות הטכני שלכם, מהמפתחים ומהבודקים. אתם עושים עבודה מאוד מקצועית בפני תנאים שמי כמונו יודעים שהם קשים. עם כל יכולת חדשה שמוספת למוצר, גוברת התחושה שאכן מדובר בנס שהמוצר עושה משהו בכלל, וזה רק בזכות מתודולוגיות פיתוח ומקצועיות שלכם.

בברכת שנה טובה לכולנו

שחר

ברוך שובך, מר סמית’

לא, זה לא קשור למטריקס. זה אפילו לא קשור ללינוקס, תוכנה חופשית, או מחשבים.

כל הקיץ אכלתי תפוחים שכונו “סמית”, אבל היו כמעט מתוקים. אתמול, בשעה טובה, חזרו תפוחי הסמית’ האמיתיים, אילו החמוצים, לירקנים.

האמת – התגעגעתי.

שחר

ארץ השמש השוקעת?

אוקי, לא נחזור על גוף הידיעות. כל העולם ואישתו מפרסמים את ה”אסטרטגיה החדשה של סאן”. רק כדי לצאת ידי חובה – המאמר ב-ZDNet, המובאה שלו ב-GrokLaw, והדיווח ב-WhatsUp.

בקצרה, מסתבר שלסאן יש אסטרטגיה ברורה והחלטית איך לא להגיע לכינוס נכסים. הם יטענו שלינוקס זה רד-האט, ואז יטענו שרד האט זה פחות טוב מסאן. הם גם יטענו שזה שמערכת ההפעלה באה מאותו הספק כמו החומרה זה יותר טוב, וכל האחרים הפסיקו עם זה, כך שסאן זו הברירה היחידה בתחום הזה.

נו טויב.

רוב התגובות שראיתי לכתבה היו תגובות כועסות על ה”בגידה” של סאן. חברה, סאן היא חברה מסחרית, והיא עושה מה שהיא חושבת שיביא לה כסף. פעילותה בתחום הזה נראית, על פניו, חוקית, ולכן אין להלין עליה בהקשר הזה. אני, אילו הייתי בעל מניות בסאן, הייתי מטיל בספק את החוכמה באסטרטגיה הזו. הם אומרים שהם ימכרו יותר בזול מאשר אינטל. מה? הם לא שמים לב לאיפה השוק הולך כבר מעל עשור? רמז – זה לא אל סאן, זה מסאן. כמו כן, לטעון באוזני לקוחות ש-IBM, HP ו-Dell לא משלבות מערכות הפעלה עם חומרה יותר בלי להדרש לשאלה למה הן לא עושות את זה נשמע לי כמו ראייה קצרת טווח.

אבל זו, כשמסתכלים על זה, הסיבה לכל המהלך בעצם. אחד המגיבים ב-whatsup שאל למה אילו תמיד חברות גוססות שעושות מהלכים מהסוג הזה. התשובה, במונחי תורת המשחקים, מכונה “צל העתיד”. אני אסביר.

תורת המספרים דנה בבחירות ובהחלטות על בסיס תועלת אישית. אחד המשחקים המוכרים יותר, בשם “דילמת האסיר”, הוא דוגמא מצויינת. במשחק כל שחקן אמור לעשות בחירה בין “לקיים הסכם” או “לבגוד”. שיווי משקל נאש מראה שיש רק אופציה אחת לשני השחקנים – לבגוד. כל אופציה אחרת היא לא הגיונית. אלא מה? אם פתאום המשחק לא נהייה חד פעמי, אלא משחק שמשחקים שוב ושוב, פתאום קיימים הרבה מאוד שיווי משקל, ובחלקם הגדול לאף אחד משני השחקנים לא משתלם לבגוד.

מה ההבדל? ההבדל הוא שכאשר המשחק הינו משחק חוזר, שחקן א’ יכול להעניש את שחקן ב’ על בגידה בתור הבא. במילים אחרות, התקבולים מבגידה הם לא רק התקבולים מהתור הנוכחי, אלא צל העתיד מאיים על השחקן ששוקל לבגוד מתגובת שותפו למשחק.

בספר “הגן האנוכי”, ריצ’רד דאקינס מביא דוגמא לתחרות שנערכה בין אסטרטגיות אוטומטיות שמשחקות את דילמת האסיר. מה שהתגלה זו תופעה מדהימה. הוא חילק את האסטרטגיות לשתי קבוצות. האסטרטגיות הנחמדות והלא נחמדות. נחמדות פירושו אסטרטגיות שלעולם לא יבגדו בשותף ששיתף איתן פעולה עד כה. הסיבה לחלוקה היא פשוטה – אם שתי אסטרטגיות נחמדות משחקות אחת עם השניה, לא תהיה בגידה לאורך כל המשחק. התוצאה של התחרות היתה מעניינת. כמעט כל האסטרטגיות הנחמדות ניצחו את כל האסטרטגיות הלא נחמדות. במילים אחרות, מעצם זה שהחלטת לא לבגוד אם לא בגדו בך קודם, הרווחת מספיק ממשחק מול האחרים שהחליטו אותו הדבר, כדי להבטיח לך נצחון על כמעט כל מי ששיחק אסטרטגיה לא נחמדה. יוצא הדופן היחידי היה אסטרטגיה נחמדה בודדת שהפסידה לאסטרטגיה לא נחמדה בודדת.

כל השיקולים האילו נעלמים כלא היו, אבל, אם אני יודע שנותרו לי רק עוד שני משחקים לשחק. במצב כזה, לשותפי למשחק לא נשאר צל עתיד לאיים עלי באמצעותו. במילים אחרות, הסיבה ש-IBM משתפת פעולה עם תנועת התוכנה החופשית אינה שהיא חברה עם מוסר וראיה אנושית של העולם. הסיבה ש-IBM משתפת פעולה עם תנועת התוכנה החופשית זה כי זה משתלם לה כלכלית. הסיבה שזה משתלם לה כלכלית, אבל, היא בגלל שזו חברה יציבה שחושבת לטווח ארוך.

אנחנו רואים את זה בעוד מקומות. בכל מקום שלינוקס התחיל להכנס, מי שאימץ אותו הם אנשי השיווק. אנשי המכירות מאוד מאוד לא אהבו אותו. ההבדל נעוץ במרחק אליו רואים. אנשי המכירות שואלים “איך נמכור מחר”. תוכנה חופשית מאוד מקשה על המכירות. למה למישהו לשלם על משהו שהוא יכול להשיג בחינם. אנשי השיווק, מצד שני, שואלים “איך נמכור עוד שנה?”. הם הגיעו, ביותר מחברה אחת, למסקנה שלינוקס, ודרכו תוכנה חופשית, זו הדרך היחידה.

במילים אחרות, אין טעם לקחת אישית את זה שסאן התגלתה כפועלת נגד תוכנה חופשית. זה יכול לקרות גם ל-IBM. אם זה יקרה ל-IBM, אבל, זאת תהיה אינדיקציה שהגיע הזמן למכור, בפניקה, את כל המניות שאתם מחזיקים בחברה.

שחר

החברה מאחורי פרוייקט David פנתה ל-Wine

כפי שכבר כתבתי, יש חברה שפתחה בפרוייקט שנקרא פרוייקט “David”. אני לא אחזור על הפרטים פה.

מה שכן חדש, אבל, זה שהם פנו לרשימת התפוצה של Wine, וביקשו ליצור קשר עם “המנהלים של הפרוייקט”.

בואו נגיד שזה לא מעורר אמון לגבי מידת ההבנה שלהם בתהליכי הפיתוח של תוכנה חופשית.

שחר

עדכון:
התגלה לי שהמייל אינו קריא מהארכיון עקב הצורה שבה הוא חתום. הדרך הטובה ביותר לקרוא אותו היא לקרוא את התגובות שלו (מייק ואני).
שחר

wake up whatsup

יש עיתון מקוון בשםwhatsup. זהו עיתון שמנוהל בצורה דומה ל-slashdot, דהיינו, כל אחד יכול לשלוח כתבה, וצוות עורכים שנבחר מתוך קהל הקוראים מאשר את הכתבות.

למרבה הצער, בזמן האחרון אני מרגיש שהוא עבר תהליך שמאוד נפוץ בקרב רבים וטובים לפניו. התהליך נראה בערך כך:
יש עיתון חדש. העיתון מקצועי, אמין ואיכותי.
כתוצאה מכך שהוא מקצועי, אמין ואיכותי הוא צובר קהל קוראים נאמן.
עורכי העיתון מתעוררים יום אחד, ומגלים שבמקום להיות ה-Underdog, הם נהיו trend setters.
עורכי העיתון אומרים לעצמם, למה שלא ננצל את קהל הקוראים הנאמן שלנו כדי לדחוף אג’נדות.
וכאן כבר תלוי באיזה עולם חי העיתון. המקרה הטיפוסי הוא שהעיתון הופך להיות משהו שמעניין רק את אילו שתומכים באג’נדות שלו (ראו לדוגמא את “הארץ”).
תפוצת העיתון מתחילה לרדת כאשר אנשים שהאג’נדות שלהם לא מתאימות לעיתון עוזבים.
עורכי העיתון עושים סקר בין קוראי העיתון, ומגלים שאת הקוראים מעניין לסקר את האג’נדות ביתר שאת. זה לא מפתיע. כל מי שזה לא עניין אותו כבר עזב.
העיתון הופך לעיתון נישה לא מעניין.

בעוד שזה מצער לראות כל עיתון מאבד את רמת המיקצועיות שלו, זה מצער במיוחד כשזה קורה לעיתון שאתה קורא ואוהב. לפני שנתיים, כשאני התחלתי להיות פעיל בעמותת “המקור, היו מספר פניות עם טענות על כך שאנחנו לא מודיעים על אירועים ב-whatsup. תשובתי היתה אז היתה שאני לא קורא את whatsup, ועל כן חוסר תשומת לב אליו (וגם שמכיוון ש”המקור” הינה פרוייקט קהילתי, שאילו שכן קוראים אותו שיפרסמו שם). באותה תקופה בדקתי את whatsup מספר פעמים, וקיבלתי את הרושם שהוא בעיקר חוזר על חדשות שניתנו במקומות אחרים שאני קורא ממילא.

מאז whatsup השתפר מאוד. התחילו לעלות בו ידיעות מקומיות, וכן ידיעות גלובליות בתיזמונים בחשיפות מוקדמות. אני התחלתי לקרוא אותו על בסיס קבוע, אף לפני שאני קורא את slashdot, אחיו הגדול. אבל בזמן האחרון אני רואה סימנים מדאיגים.

לפני כמה ימים התפרסם ב-whatsup דיווח על שידרוג שעשתה מיקרוסופט לקמפיין הטלת הבוץ שלה. דוביקס יצא שם בטענה דיי גורפת שהקמפיין פגע בה, כשהוא מתבסס על הדיווח של מיקרוסופט ל-SEC (הרשות האמריקאית לניירות ערך). עם כל הכבוד, דיווחים ל-SEC הם פסימיים בצורה מוגזמת, מכיוון שכל דבר אחר מסכן את ההנהלה של החברה בעבירה פלילית. להתחיל להסיק על החוסן הכלכלי של מיקרוסופט מזה שהיא מדווחת ל-SEC שהיא רואה בלינוקס איום זו הסחפות.

אבל, כמו שאמרה פעם מורה שלי לחיבור, דוגמא אחת זה מקרה, שתי דוגמאות זו מגמה. מאמר שמתפרסם היום מביא ציטוט של גרטנר לגבי איכות המוצרים של מיקרוסופט. התגובות הפעם הם לא שלי. בגדול, התגובות אומרות, במידה מסויימת של צדק, שזה לא הגיוני להביא בגדול כל שטות שגרטנר אומרים נגד מיקרוסופט או בעד לינוקס, ואז לזלזל בצורה קיצונית בכל מה שהם אומרים בעד מיקרוסופט או נגד לינוקס. או שהם מקצוענים שיש טעם להביא את דבריהם תמיד, או שהם ליצנים שאומרים יום ככה ויום ככה, ואז אין טעם לצטט אותם בכלל.

מה שאני רואה פה זה תהליך, שהוא לא תהליך רע, שבו קהילת משתמשי הלינוקס מתבגרת, ואנחנו מפסיקים להיות הנרדפים המנודים. כחלק מהתהליך הזה, פחות חשוב לנו שה”אויב” יצא רע. זהו תהליך טוב ורצוי. הבעיה היא שבכל תהליך שינוי כזה יש מי שמשלם מחיר. אני מאוד מקווה שאחד ממשלמי המחיר הפעם לא יהיה whatsup, מכיוון שזהו באמת עיתון טוב וראוי שישמור על רמת הדיווח המקצועית הגבוהה שלו.

וכל מה שנותר לי זה לחזור על הכותרת.
Wake up, whatsup.

שחר

140 ספאם ביום

אוקיי, אחרי שלא ניקיתי את מגירת הספאם שלי 24 שעות, אילו התוצאות:
זוהו 140 אימיילים כספאם
לא זוהו עוד כ-10% ספאמים (בערך 13)
אימייל אחד זוהה כספאם על אף שלא היה (הראשון מזה בערך חודש).

סה”כ, פחות או יותר:
False positive: פחות מפרומיל
False negative: בערך 10%
נפח תנועה: מעל 150 אימיילים “עוינים” ביום.

שחר

Bear