שנה: 2004

“ערן אשכנזי תמיד נחשב להבטחה גדולה. כולם תלו בו תקוות. המורים בציוניו הטובים, ההורים בכישוריו בקלרינט, והמפקדים בצבא במשהו אחר שאותו אני לא זוכר כרגע.

אבל האמת היא, שלערן היה מאוד קשה עם כל הציפיות האילו, וערן עשה טעות אחת, שהרסה לו את כל הסיכויים.

לערן נפתח תיק פלילי על שימוש בסמים.

סמים קלים – כתם לכל החיים”.

זהו תשדיר שמשודר בגלי צה”ל. עכשיו תרגיל מהיר בהבנת הנקרא. מה היתה הטעות שהרסה לערן את כל הסיכויים?

נכון. הטעות היתה להתפס על שימוש בסמים קלים. כמו שאומרת שורת המחץ – זה הכתם שיפריע לכם.

אל תבינו אותי לא נכון. אני לא בעד לעשן סמים מכל סוג. אני לא מעשן בעצמי. מעולם לא עישנתי. אני חושב מוצא את הטענות שסמים קלים גורמים להרבה נזקים סבירה. עדיין, התשדירים האילו כאילו נלקחו מהמצע של “עלה ירוק”.

לכל מי שלא מעודכן, עלה ירוק טוענים שהנזקים שסמים קלים גורמים מתגמדים לעומת הנזקים שפתיחת תיק במשטרה גורמת למי שנתפס, ותחת הכותרת הזו מנסים לגרום לסמים להיות חוקיים.

אני לא אומר “תצביעו בעדם”. אני לא הצבעתי בעדם. אני כן אומר שצריך להבין על מה אתם מדברים. לפני שאתם מוציאים כסף על תקציבי פרסום.

שחר

מפגשי Tausec נועדו להיות חלופה לא מסחרית לכנסי אבטחת המידע של התקופה האחרונה. בעוד שבאחרונים מלעיטים את באי הכנס במגוון מאוד מאוד רחב של חומרים שיווקיים, כמות התוכן הולכת וקטנה, עד לנקודה שבה אין טעם להגיע.

מנגד, TAUSEC נועד להיות נטול תוכן שיווקי. מפגשים שכל מטרתם היא להעביר מידע שימושי.

המפגש שהיה השבוע הכיל שני חלקים. הראשון היה הרצאה באמצעות וידאו של כריסטוף פישר, בנושא התקפות ה-Phishing, והשני הרצאה של אמיר בן יוסף מחברת מיטסי, בנושא Forensics. אודה ואתוודה שהיו לי ציפיות נמוכות מהחלק הראשון, ויותר גבוהות מהחלק השני. גם לא היה ברור לי מה ניתן לדבר כל כך הרבה על Phishing, וגם המדיה שבה תועבר ההרצאה, מסך וידאו, זה משהו שיכול להפוך גם מרצה לא רע לחוויה זוועתית.

מילה על Phishing. זוהי התקפת גניבת זהות, שבה התוקף מרים אתר אינטרנט שדומה לזה של בנק, ומנסה לשכנע את האנשים שמקבלים את המייל להכנס לאתר ולהכניס שם את פרטי ההזדהות שלהם. עם פרטים אילו התוקף נכנס לבנק האמיתי ומעביר כספים לחשבונו. בעוד שיש מגוון רחב של כשלים טכנולוגיים שההתקפות האילו נעזרות בהם, הכשל המרכזי הינו של המשתמש, שנותן את פרטיו לגוף חיצוני.

חזרה למפגש – החלק הראשון היה הפתעה גמורה לטובה. כריס דיבר ברור (על אף המבטא הגרמני), וניתן היה בצורה בכלל לא רעה לעקוב. עדיין אני חושב שאם הוא היה נוכח באולם עצמו ההרצאה היתה בסדרי גודל יותר טובה, אבל בהחלט זו היתה הרצאה שניתן היה להקשיב לה.

מפתיע אף יותר מאיכות ההעברה של חומר דרך וידאו היה תוכן ההרצאה. מסתבר שכריסטוף וחברתו הצליחו למנוע אחוז נכבד מהנזקים של התקפות גניבת הזהות הזו בגרמניה. המטרה המוצהרת שלהם היא לגרום לתוקפים לראות את גרמניה כמקום שלא כיף לתקוף. בעיקר התרשמתי מזה שהטכניקה הישנה של לפנות לספקי השירות שמארחים את האתר ולהוריד את האתר היא אפקטיבית כנגד סוג זה של התקפות.

התוקפים בהתקפות אילו נהיים יותר ויותר מתוחכמים. הדואר האלקטרוני נשלח ממקור אחד, האתר נמצא במקום שני, המידע שנאסף נשלח במייל לספק מייל חינמי (שהיה ישראלי בכמה מההתקפות שכריס הביא), והמידע נשלף מהספק באמצעות ספקים שונים ברחבי העולם. בקיצור, מדובר במקצוענים. התוקפים עצמם, למיטב הבנתינו, מחולקים לקבוצות. כריס זיהה לפחות שלוש קבוצות על פי רמת הגרמנית והאנגלית, כמו גם גורמים אחרים. אחת גרמנית, אחת רוסית ואחת סינית. בקיצור – היה מעניין.

כמו שהפתיע החלק הראשון לטובה, כך גם הפתיע החלק השני לרעה. מסתבר שאמיר פירש את כללי היסוד של Tausec בתור “אסור להגיד את שם המוצר”. התוצאה היתה שהוא לקח מצגת שיווקית לחלוטין, והוציא ממנה את שם המוצר. אפילו את שם החברה הוא לא אמר. כמו שהוא ניסח את זה, “לדבר על אהבה בלי להזכיר סקס”.

הבעיה היא שמצגת שיווקית לא מכילה חומר מעניין. החומר המעניין, לחם חוקו של Tausec, הוא טכנולוגי. בהתחלה זה היה, דווקא, לא רע. הוא דיבר קצת על הפריצה שהיתה לסניף הדואר בכרמל, ועל גניבת הכסף משם באמצעים אלקטרוניים. הוא גם דיבר על הבעיות שהיו בפני החוקרים והחברה שלו כשניסו לשלוף עדויות מהמחשב וה-iPaq של החשוד המרכזי.

אל תבינו אותי לא נכון. גם בחלק הזה היו בעיות. אמיר בנה את המצגות שלו עם PowerPoint XP. במילים אחרות, המצגות שלו הכילו מילים שהסתובבו על פני כל השקפים, גרפיקה ופירוטכניקה באמת מרשימה. מה שהן לא היו, אבל, זה קריאות. כאשר לוקח לכל שקף מעל 4 שניות לעלות, אבל המרצה מתעקב עליו פחות משניה, התוצאה היא שאף אחד לא מספיק לקרוא מה כתוב בשקף, ואנשים מתעצבנים מהזמן המת. אמיר גם האשים את המחשב החלש, אבל למיטב ראייתי, רוב הזמן בוזבז על פירוטכניקה שהוכנסה למצגת בכוונה תחילה.

אם זה לא מספיק, הוא טישטש את כל הפרטים המעניינים. כמה דוגמאות משעשעות:
– ארבעה צוותים ישבו על ה-iPaq בנסיון להבין מי מבקש מהם סיסמה. אחד הצוותים אפילו חיבר ICE (מערכת שמדמה את ה-CPU של המכונה בחומרה, וכך מאפשרת לבצע בדיקות ברמה נמוכה יותר מאשר מערכת ההפעלה). אחרי זמן שאמיר הציג כארוך, למישהו עלה הרעיון שאולי ה-iPaq מריץ לינוקס, ומשם פתאום הכל היה קל. מישהו בקהל נתן הערת ביניים של “הייתם בקונספציה”, אבל אני לא חושב שהוא שמע. אני חייב להודות שככל שאני חושב על זה יותר, כך זה נראה לי יותר טיפשי. הוא גרם לזה להשמע כאילו הבן אדם שינה את החומרה של ה-iPaq, בעוד שכל מה שהוא עשה היה לשים שם מערכת הפעלה שיש לו יותר שליטה עליה.
– בשלב כלשהו אמיר אומר את המשפט “ולפרוץ PGP אנחנו יודעים”. אחרי כמה שניות של הלם יחסי, החלטתי לשים נפשי בכפי ולשאול אם מדובר ב”לפרוץ” PGP כאשר יש את הסיסמה. התשובה שלו, “מה נראה לך”, לא היתה החלטית כמו שאפשר היה לקוות. אחרי עוד קצת לחץ מהקהל הוא הסביר שלנחש את הסיסמה זה קל. בדיעבד הסתבר לי שהשאלה שלי באה על תקן של “המלך הוא ערום”. כולם חשבו, אבל אף אחד לא העיז לשאול. אני דווקא מרוצה מתפקיד הילד המעצבן.

אם החלק הזה היה עוד יחסית סביר, אבל, החלק השני כבר היה מתחת לכל ביקורת. המצגת השניה, שבה לכל שקף לקח אפילו יותר זמן לעלות, וכתוצאה מכך אמיר נתן לו פחות משניה של זמן מסך כאשר כולו למעלה לפני שהעביר הלאה, היה מצגת שיווקית לחלוטין שממנה הוצא שם המוצר. התוצאה היתה כמו במשל הידוע – גם קיבלנו את המלקות, וגם גורשנו מהעיר. הוא דיבר רבות על מה המוצר יודע לעשות. הוא ספר את עשרות, מאות ואלפי הדרכים שאפשר לשמור תאריכים, למשל (אבל לא הכיר את הצורה שיוניקס שומר אותם – בתור שניות מאז חצות 1/1/1970(. הוא דיבר על טכנולוגיה מדהימה אותה הם פיתחו כדי לחפש כל כך הרבה צירופים בזמן סביר………

שאותה הם לא מפרסמים.

בקיצור, למארגני Tausec יש לי את ההצעה הבאה. בפעם הבאה, אנא, אפשרו למרצים להגיד את שם המוצר. תנו להם רק תנאי אחד קשיח. הם לא מדברים על מה המוצר עושה בלי שהם מדברים גם על איך המוצר עושה את זה, תוך דגש מסיבי על החלק השני. מי שעומד בתנאי הזה, אני חושב, מותר לו לפרסם את המוצר שלו. לא איכפת לי לראות מרצה נזרק החוצה באמצע הרצאה אם הוא לא עומד בתנאים.

ועוד נקודה למחשבה. כל מי שנראה לו קשה לחפש בזמן סביר כמות ארבע ספרתית של צירופים שונים בתוך קבצים מוזמן לקרוא על אוטומטים סופיים דטרמיניסטיים. זה בדיוק מה שהם עושים. אני פשוט רוצה שזה יפורסם, כדי שמיטסי לא יוכלו להוציא פטנט על רעיון כל כך טריוויאלי.

שחר

נ.ב.
אני לא יודע איך המוצר של מיטסי עושה את שהוא עושה. יכול להיות שיש להם רעיון אפילו יותר טוב. במקרה כזה, אין לי התנגדות עקרונית שיוציאו פטנט (למעט הבעיות הרגילות שלי עם פטנטים). אני רק רוצה לציין דרך אחת שאני מעוניין שלא תהפוך מנחלת הכלל לנחלתה של חברה כלשהי.

שחר

לפעמים אני פשוט לא מבין את חברות הייעוץ.

קצרצר אבטחה בדיילי מיילי: גרטנר: על מיקרוסופט לשוב ולהטליא את NT 4.

אל תבינו אותי לא נכון. אני חושב שזה יהיה רעיון ממש טוב אם מיקרוסופט תמשיך לדאוג ש-NT4 יהיה מעודכן מבחינת חורי אבטחה. הבעיה שלי היא הסיבה שגרטנר נותנים:
“…משום שמצידה של מיקרוסופט לא מדובר בהשקעה גדולה, וממערכות בטוחות יותר יצאו בסופו של דבר נשכרים כל משתמשי האינטרנט.”

הא?
לא מדובר בהשקעה גדולה?

למיקרוסופט יש מערכות בעשרות שפות. QA על כל שינוי כזה הוא כמה מאות אלפי דולרים. אני יכול להבין (ואף להסכים) עם טענה שאומרת שמיקרוסופט צריכה להמשיך ולהשקיע את הכסף. טענה שאומרת, אבל, שלא מדובר בהשקעה גדולה נראית לי ממש ממש מגוחכת.

אל תבינו אותי לא נכון. אני חושב שזאת שגיאה ליצור ארכיטקטורה שבה אילו העלויות. אני חושב שמיקרוסופט היתה צריכה להשקיע יותר באבטחה מלכתכילה, ולא לנטוש את משתמשיה עכשיו כשהמצב קיים. עדיין, הייתי מצפה לטיעונים יותר הגיוניים מגרטנר.

שחר

כתבתי פה פוסט על קונפליקט ספק-אישי ספק-מקצועי. ללא שמות, וללא פרטים. עדיין, במחשבה שניה, אני מעדיף שלא להשאיר אותו מפורסם.

עם כל הקוראים המאוחרים הסליחה, כמו גם עם שני האנשים שהספיקו לכתוב תגובות אותן מחקתי.

שחר

קצת בחסות slashdot, נערך עימות אלקטרוני בין שלושה מבין המועמדים לנשיאות בארצות הברית.

השאלה שבגללה אני כותב כאן היא שאלה מספר 11. השאלה, בתרגום חופשי:
מתי זה ראוי למנהיג לשנות את דעתו? שני הצדדים בהתמודדות הואשמו בביצוע פליק-פלאקים בסוגיות משמעותיות. הנשיא בוש לגבי הקמת המחלקה לבטחון המולדת והמיסוי על פלדה, והסנטור קרי לגבי המלחמה בעיראק. אולם היה ניתן לחשוב ששינוי דעה שבא לאחר שיקול דעת לא ייתואר בתור “פליק-פלאק”. ספרו לנו על עת שבה שיניתם את דעתכם בנושא בעל חשיבות לאומית לאחר דיון מעמיק.

אוקיי, זו שאלה שלא קל למומעד לנשיאות להתמודד איתה. בואו נראה איך התמודדו איתה החברה שלנו. נתחיל מהאנדר דוג. תשובתו של ראלף ניידר מדברת על נושא בעל חשיבות לאומית – האם להכניס נקניקיות אל הדיאטה שלו. האמת, אני לא בטוח מה חושבים יועצי התקשורת שלו על התשובה הזו. מצד אחד, הוא לא עונה על השאלה, אבל עדיין מצליח להכעיס את ייצרני הנקניקיות. מצד שני, היא מנוסחת במידה סבירה של הומור. אני מניח שהסיבה היחידה שהוא לא באמת הסתבך בגלל התשובה הזו היא שאף אחד לא נותן לו סיכוי. מצד שני, הוא תוקף יפה את בוש על פעילות לא מדעית, ועיוות עובדות כדי להתאים להחלטות שכבר נלקחו.

הסנטור קרי עונה תשובה מנצחת. בהתעלמות מוחלטת מהרכיב הבעייתי בשאלה, הוא מדבר על החשיבות של לספר את האמת לציבור, ועל כך שאם טועים צריך להודות בכך.

אבל בפרס התשובה הגרועה ביותר זוכה, ללא ספק, בוש. בוש בחר שלא לתת תשובה. יישר כוח.

שחר

בחור בשם רונן כתב תגובה לפוסט קודם בבלוג שלי. בתגובה הוא מונה בעיות שיש לו עם לעבור ללינוקס. למען רונן, ואולי אחרים, אני אנסה להבהיר כמה דברים.

הדבר הראשון שיש להבהיר הוא שאני כותב בשם עצמי. זו נקודה שלפעמים קל לפספס. קהילת משתמשי הליונקס היא בדיוק זה – קהילה. אני חבר בקהילה, בדיוק כמו מאות אחרים. יש אנשים שמעוניינים לשמוע את שיש לי להגיד. זה יופי, ומאוד מנפח את האגו והכל. עדיין, זה לא עושה אותי נציג רשמי של הקהילה. לכן, כל מה שאני כותב מייצג את דעותי, ואת דעות אילו שהחליטו שהם מסכימים. אל תפילו על אף אחד אחר את דעותי ותבקשו ממנו להגן עליהם, ולהיפך.

לגבי מעבר ללינוקס – כל מי שמריץ היום חלונות ומעוניין להסתכל על לינוקס בתור חלופה חייב לזכור דבר אחד בסיסי – אם אין מניע, זה בטוח לא יהיה “משתלם”. יותר מזה, אני לא מתכוון לנסות לדחוף אתכם לנסות אם זה לא מעניין אתכם. אם טוב לכם בחלונות, לכו על זה. אני לא אאבד שינה בגללכם, מבטיח.

הסיבה שאני אומר את זה היא מאוד פשוטה. אם לא כואב לכם שום דבר בחלונות, אתם תצפו מלינוקס לתת לכם את מה שחלונות נותנת לכם. אין שום סיכוי שלינוקס, או כל מערכת אחרת, תיתן לכם בדיוק את אותו הדבר. לינוקס היא משהו אחר. יש הטוענים טובה יותר, יש הטוענים טובה פחות, אבל הנקודה היא שזה משהו אחר. לכל מעבר כזה יש מחיר. לפעמים שווה לשלם אותו, אבל המחיר קיים. לכן, אם אין לכם נכונות לשלם איזשהו מחיר, אין טעם לנסות את המעבר. בפרט – אם טוב לכם על חלונות, אל תעברו.

כדי להבהיר למה כוונתי – החברה שלי אמרה משהו מעניין בפעם האחת שהעליתי את הנקודה. היא אמרה שהיא הורידה מוזילה וניסתה לגלוש עם זה. הכל עבד, אבל הכל עבד לא יותר או פחות טוב מאשר אקספלורר. בהעדר סיבה, היא נשארה עם אקספלורר. למרבה הצער, סיבות כמו “בטיחות” וכו לא מדברות אל רוב המשתמשים.

אחרי שהבהרנו את הנקודה הזו, בואו ננסה להסתכל על מה צריך משתמש חלונות ממוצע שרוצה לעבור ללינוקס. הוא צריך גלישה, מסנג’ר, שיתוף קבצים, דוא”ל, עיבוד תמלילים וכו’. עכשיו מתחילה ה”בעיה”. לחלק מהדברים יש מעט מאוד פתרונות סבירים. למשל, כיום דיי ברור שעיבוד תמלילים אתה עומד לעשות עם OpenOffice. פשוט זהו הפתרון הטוב ביותר.

לחלק אחר מהדברים, יש כמה פתרונות, שכולם טובים. למשל, אתה יכול להשתמש ב-KDE כדי לעבוד עם המערכת, או עם Gnome. בפועל, זה לא באמת משנה במה תבחר. לזה וגם לזה תצטרך טיפה להתרגל, אבל בסופו של דבר, זה וגם זה יעשו לך את העבודה כמו שצריך. במצב כזה, קשה מאוד לתת לך תשובה חד משמעית. העיצה הכי טובה שאני יכול לתת לך היא “תתקין אחד מהם, ואם אתה לא מסתדר, נסה אחד אחר”.

יש גם מקרים שבהם קשה לתת תשובה בגלל שאף תשובה היא לא מספיק טובה. גם במצב כזה יגידו לך “נסה זה או זה”, אבל כאן השאלה היא יותר “עם איזו מערכת אתה יותר מסתדר”. לא ברור שכל מערכת תעשה לך את מלוא העבודה.

בקיצור, צר לי שאין תשובות חד משמעותיות, רונן. התוכנה החופשית אכן מדברת בשפה אחרת. יש גם אנשים שידברו איתך בשפה שלך. אני משוכנע שאם תפנה ל-RedHat או ל-Novell, תקבל תשובות מאוד חד משמעותיות. הם יגידו לך לבחור בהפצה שלהם, ב-Gnome, וכו’. כמובן, אבל, שתשובותיהם יהיו מוטות ע”י האינטרסים הכלכליים שלהם. אם זה לא מפריע לך – הרי לך פתרון. אם זה כן, אזי דע לך שהמחיר של תשובות לא מונעות ממניעים כלכליים זה אובדן התשובה היחידה וההחלטית. לכל דבר יש מחיר.

אני כן יכול לתת לך כמה תשובות שאני אנסה להיות אובייקטיבי לגביהם:
1. אין לי אף מכר שאני יכול להרים אליו טלפון ולשאול אותו שאלה “מה לעשות כשאתקע…” (בניגוד ללפחות עשרה אנשים מומחים בנושאי ווינדוס).
אני יודע. הבעיה מוכרת. בגלל זה הפורומים של לינוקס דיי פורחים.
2. יש לי כמה שאלות שאני מודה שהן מטופשות ואפילו לחלקן קיבלתי תשובות פה ושם, אבל… לא הבנתי אותן (את התשובות) והתביישתי לשאול)
אני לא יכול לעשות שום דבר לגבי הבושה שלך. מצטער. כל שאלה היא לגיטימית, אם היא נשאלת בפורום הנכון. לעיתים, יהיו שאלות שיהיו לגיטימיות גם אם הן נשאלות בפורום הלא נכון, אבל זה כבר נושא לדיון אחר.
3.בכל פורום לינוקס שקראתי לא מצאתי תשובה לשאלה הבסיסית איזו התקנה לבחור לכל הרוחות? – בכל מקום כתוב שאפשר את זה ואפשר את זה וזה ככה וזה ככה. נו… חלאס, תגידו שם של אחת טובה שייש בה תמיכה עברית מובנית בלי צורך לקמפל אחר כך עברית וגם תמיכה לקישור לאינטרנט ויאללה.
ניסיתי לענות על זה למעלה. אני אנסה לצמצם לך את האופציות. דבר ראשון, האופציות שלך הם רד האט, מנדרייק, דביאן, סוסה וג’נטו. כל דבר אחר, ואתה כמעט לגמרי לבד. אין הרבה אנשים שמריצים דברים אחרים. לסוסה אין תמיכה טובה בעברית, כך שאולי כדאי לוותר עליה.
מתוך הנותרים, מנדרייק בזמנו היתה בעלת הממשק הידידותי ביותר, רד האט הינה המלוטשת ביותר, ודביאן היא החזקה ביותר. תבחר מה הכי מושך אותך, ותנסה אותו. אם לא מתאים, אתה תמיד יכול לנסות אחד אחר, וכספך יוחזר לך (פחות דמי מישלוח וטיפול ).
4.בכל פורום לינוקס שקראתי לא מצאתי תשובה לשאלה הבסיסית איזו התקנה לבחור לכל הרוחות? – בכל מקום כתוב שאפשר את זה ואפשר את זה וזה ככה וזה ככה. נו… חלאס, תגידו שם של אחת טובה שייש בה תמיכה עברית מובנית בלי צורך לקמפל אחר כך עברית וגם תמיכה לקישור לאינטרנט ויאללה.
כן, אנחנו מאמינים בלתת לאנשים כלים במקום תשובות. Give a man a fish, and he’ll eat for a day. Teach him how to cook, and he’ll starve thinking about all the wonderful things he would have cooked, if only he had a fish.
5.לא רוצה לבחור, לא רוצה לשבת ימים כלילות וללמוד איך מורידים תוכנה ומהדרים אותה למערכת ההפעלה. אני בסך הכל רוצה מערכת הפעלה יציבה, קישור לאינטרנט, תוכנת גלישה, תוכנת אימיל (טובה!) תוכנות סטנדרטיות שתואמות את קבצי האופיס (אני צריך לתקשר עם העולם) וזהו, נניח עוד תוכנה להצגת תמונות, סרטים, סטנדרטי כזה. לא יותר מזה.
אני חושש שאתה טיפה נמצא בתוך FUD. אף אחד לא מבקש ממך להדר כלום. כל האופציות שנתתי (ובגלל זה לא אמרתי “ג’נטו”) מגיעות ארוזות ומוכנות לשימוש. לא צריך להדבר, אבל כן צריך קצת לקנפג. כנראה שדביאן לא בשבילך בשלב זה.

אה כן ושתהיה לי תמיד את האפשרות להעלות את הווינדוס (הלא יציב) כדי שהבן שלי יריץ את הלומדות של קומפדיה.
לא צריכה להיות בעיה.

שחר

המושג “DLL Hell” אינו זר לכל מי שהיה פעיל בעולם המיחשוב בסביבת חלונות בשנים האחרונות. בגדול, מדובר על התופעה שבה תוכנות שונות מתקינות DLLים שונים בעלי אותו השם, וכך הורגות אחת את השניה.

בשנים האחרונות, מיקרוסופט ניסתה להלחם בתופעה בדרך מקורית. הרעיון – אין יותר מיקום משותף של DLLים. כל תוכנה משתמשת בהעתקים שלה. בעוד שזה אכן פותר את רוב הבעיה המקורית, בן אדם שואל את עצמו למה לשתף קוד באמצעות ספריות, אם אחר כך ממילא הספריות מקבלות העתק לכל תוכנה.

על פניו, מה זה בעצם משנה? הרי הדיסקים של היום כל כך גדולים שאין סכנה שייגמר המקום רק מזה שאני סוחב עימי ספריות זמן ריצה (Dynamic Link Libraries) של עשרות תוכנות אחרות. נכון?

כמעט נכון.

כאשר יש בעיית אבטחה באחת הספריות, מסתבר שכבר בכלל בכלל לא פשוט להחליף אותה. לא מזמן התגלתה בעיית אבטחה בפיענוח תמונות מסוג jpeg ע”י ספריה של מיקרוסופט בשם “GDI+‎”. והנה, מסתבר שבכלל בכלל לא פשוט לבדוק האם אתה פגיע. אז, אוקיי, הכלי של מיקרוסופט לא מסוגל להגיד לכם. אוקיי.

עכשיו, אבל, CERT מוציאה רשימה ארוכה ארוכה של תוכנות שפגיעות. בהצלחה בשידרוג.

ולכל מי שאומר “אבל בלינוקס זה אותו הדבר”…..

בלינוקס, תוכנה לא מביאה איתה ספריות שלא שייכות לה. במקום זאת, מנגנון ההתקנה מייצר תלות באותה הספריה, מה שמבטיח שהספריה תהיה מותקנת על המחשב כשהתוכנה עובדת. כתוצאה מכך, בכל מקרה של צורך בשדרוג של ספריה, יש צורך לשדרג אך ורק חבילה אחת. במילים אחרות – בעיית DLL Hell כלל אינה קיימת.

שחר

קצת ישן, אבל עדיין. יש טכנולוגיה שנקראת “DRM”, או “Digital Rights Management”. הרעיון הוא ליצור מערכת שבה יוצר התוכן (תוכנה, שירים, או כל דבר אחר) יכול לשלוט, טכנולוגית, מה ניתן לעשות בתוכן. וריאנטים של DRM כוללים להגביל בזמן, במספר שימושים או במספר עותקים של היצירה.

הרעיון מצד אילו שמתמשים ב-DRM הוא פשוט. אם לא תוכל להעתיק באופן לא חוקי, תצטרך לקנות. המכירות יעלו. יופי. הרעיון הבסיסי ישן כמו ההגנות מפני העתקות שהיו כל כך נהוגות בעבר הרחוק, וכעת מתחילות לחזור לאופנה.

אלא שלא הכל פשוט. למשל, אם הגדרת שתוכנה יכולה לרוץ רק על מחשב אחד, נשאלת השאלה “מהו מחשב”. האם מחשב הוא הקופסא? הדיסק הקשיח? המקלדת? מה קורה אם אני מחליף חלק מהרכיבים הנ”ל? האם עדיין מותר לי להריץ את התוכנה?

בפרט, חברת Intuit ניסתה להכניס מוצר DRM בשם “C-Dilla” למוצר הדגל שלה. אחרי גרסה אחת הם הוציאו אותו חזרה. מסתבר שהגידול במכירות לא היה כל כך גדול כמו שציפו, במידה רבה בגלל הבעיות שהמוצר עשה ללקוחות שלהם.

מסקנה? אין חד משמעית. אחת המסקנות האפשריות, אבל, היא שחשוב לא להתייחס ללקוחות שמשלמים לך כסף כאילו הם גנבים.

שחר

מה שיפה בכתיבת תוכנה חופשית זה שאם אתה מתמיד מספיק, והתוכנה מעניינת מספיק, בשלב כשלהו היא עומדת לפתח יכולות מעבר למה שאתה שמת שם בעצמך. למעשה, זוהי אחת הסיבות המרכזיות שאני מצליח לשכנע את לקוחותי לממן כתיבה של תוכנה שתהיה חופשית. הטענה היא שבמקרה הגרוע עוד אנשים יהנו מפיתוח שהם מימנו, ובמקרה הטוב גם הם יהנו מפיתוח שאחרים עשו. בכל מקרה, מדובר בנצחון של כולם.

פרוייקט כזה, שחברת לינגנו הרימה מאפס הינו ספק התחברות OLE DB עבור PostgreSQL. זהו פרוייקט שבוצע במימון של לקוח, ושוחרר תחת רשיון חופשי LGPL.

והנה, במקום להיות פרוייקט שיש לו רק משתמש אחד, לפרוייקט הזה יש עכשיו מעל 30 איש רשומים לרשימת התפוצה של הפרוייקט. מדי פעם אנשים שואלים שאלות, דבר שמראה שאנשים מתקינים את הפרוייקט ומנסים אותו. מעבר לכיף שלי לראות דבר שעשיתי מביא שימוש, יש פה גם יתרונות ללקוח. אולי אף אחד עוד לא כתב קוד נוסף עבור הפרוייקט, אבל מצד שני גם אנשים שמדווחים על באגים זה דבר שמשפר את הקוד, וגורם ללקוח להרוויח.

אבל בימים האחרונים קרו שני דברים שמשנים לטובה את התמונה. הראשון זה דוא”ל שפירושו שאולי לקוח אחר ישלם ללינגנו כדי להכניס שיפור לתוכנה. פרושו של דבר שהלקוח הראשון נהנה מפיתוחים שהוא כבר לא צריך לממן בעצמו.

המקרה השני, אבל, הוא היותר חשוב בעיני. זהו הרגע שבו התמיכה נהיית משהו רחב יותר מאשר מה שאתה צריך לעשות בעצמך. זה קרה אתמול, כשמישהו אחר נותן תשובה על רשימת התפוצה.

בעיני זה לראות פרוייקט מתחיל להמריא.

שחר

מתוך קומיקס בשם “Queen of Wands“:



שחר