לינוקס ותוכנה חופשית

כך התפרסם לאחרונה. יסלחו לי הקוראים שאני לא זוכר את מראה המקום המדוייק.

מה שאני כן יכול לספר לכם זה סיפור אישי שקרה אך שבוע שעבר לאבא שלי. עקב נסיבות מסיבות שונות, הוא איבד את הארנק. בעודו מתקשר למשרד הרישוי כדי לקבל רשיון נהיגה חדש, הסתבר לו שהוא נמצא בשלילה. נסיעה לבית הדין לתעבורה בירושלים גילתה לו שלפני יותר משנתיים הוא הורשע, שלא בנוכחותו, בנהיגה במהירות מופרזת, ורשיונו נשלל ל-21 יום. זה היה רכב של חברה.

ההודעה על המשפט, בקשת הקנס וההודעה על השלילה, כולן, נשלחו לאליעזר יפה 13 ברעננה, כדת וכדין. רק בעיה אחת קטנה יש. הוא מעולם לא גר באליעזר יפה 13 ברעננה. ההורים שלי גרים ברחוב הרצל ברעננה. למען ההגינות נציין שאני, בעבר, גרתי בכתובת הנ”ל, אבל:
1. לא בתאריכים המדוברים (וכן, עדכנתי את משרד הפנים כשעברתי).
2. המכתבים נשלחו על שמו באופן מפורש, ועל כן כדי להיות אפילו בערך רלוונטיים הם צריכים היו להשלח לכתובת שלו.

בקיצור, סיפור תמוה. בפעם הבאה שאתם שומעים על אלפי נהגים שנוהגים בזמן שלילה, שאלו את עצמכם: “האם הם יודעים על השלילה הזו?”.

שחר

נ.ב.
הסיפור מתפרסם גם פה וגם בבלוג שלי בלינמגזין, http://linmagazine.co.il/shachar.

ביום חמישי נהרגה בתאונת דרכים החברה הכי טובה של אחות שלי.

תנהגו בזהירות, בבקשה.

שחר

בניגוד לאנשים אחרים, אצלי לא מדובר במתיחת 1 באפריל.

פוסט ראשון שלי בבלוג החדש התפרסם עכשיו בלינמגזין. אני לא בטוח אם זהו המקום המתאים לי ביותר, אבל אני בודק את האפשרויות.

בכל מקרה, המנוי פרו שלי בישראבלוג מסתיים בקרוב, ואני מתלבט קשות אם אני רוצה לחדש אותו. תגובות יתקבלו בשמחה (גם פה וגם שם).

שחר

דמיינו סיוטאציה. אתם יושבים בבית, והטלפון מצלצל. אתם מרימים ואומרים “הלו”. במקום תשובה, אתם מקבלים הקלטה של פרסומת למוצר, מועמד פוליטי, או אמצעי צריכה כזה או אחר.

הייתם מקללים, מבקשים שיפסיקו להתקשר, מתעצבנים או צועקים, אבל אין על מי. זו בסך הכל הקלטה.

מוכר?

ובכן, אתמול זה קרה לי, בהבדל אחד קטן.
א. מספר הטלפון שלי חסוי במיוחד כדי למנוע את סוג המטרדים הזה.
ב. המוצר המפורסם היה… חנויות בזק סטור. אכן כן. אני מוותר על היכולת (שבה אני מעוניין) שאנשים ימצאו את מספר הטלפון שלי בספר הטלפונים כדי לקנות שקט, ובזק הולכת ומחליטה שהשקט לא באמת מעניין אותי.

אבל זה נהייה יותר מעניין. התקשרתי ל-199 כדי להתלונן. מסתבר שבזק מוכרת את השירות הזה לחברות. חברה יכולה ללכת לבזק ולקנות שירות של פרסומת לטלפון. הפקידה, באדיבות רבה, הציעה לי לסמן את הקו שלי כ”לא להתקשר אליו”.

עכשיו כמה נקודות למחשבה:
1. אם אני הייתי רוצה להציע שירות כמו של בזק, לא היו עומדים לרשותי כל מספרי הטלפון החסויים. בפועל, בזק פה מנצלת מידע שיש לה עקב היותה מונופול כדי להציע שירות שבו היא לא מונופוליסטית.
2. למה לעזאזל אני צריך לשמוע על זה רק בגלל שבזק, לגמרי במקרה, ניצלה את השירות שלה עצמה?

אז לכל מי שעוד לא שמע על זה, אתם מוזמנים להתקשר ל-199 ולבקש שלטלפון שלכם לא ישלחו פרסומות. אני לא יודע עד כמה זה יעזור, או האם אתם בכלל תוכלו לדעת אם מתעלמים מהבקשה שלכם, אבל כדאי לנסות.

אם מישהו מצליח לקבל סטטיסטיקות על כמה זה עוזר, אני אשמח לשמוע.

שחר

באפליקצית web שאני כותב, החלטתי לעשות עיצוב הדוק במיוחד. כאשר ניגשים לדף כלשהו באפליקציה, ולא משנה איזה, ואתם לא logged in, אתם מקבלים את הדף שמבקש מכם להזדהות כלפי המערכת. אין redirect – הדף מופיע תחת ה-URL שאליו ניסיתם להגיע.

כאשר אתם מקלידים את הסיסמה, אם היא נכונה, הדף שאת כתובתו נתתם עולה. שוב, אין redirect. סיסמה לא נכונה – דף כניסה למערכת. סיסמה נכונה – הדף שביקשתם.

על פניו, יופי של עיצוב. מסתבר שיש בעיצוב בעיה קלה. אם אתם הולכים לדף אחר באפליקציה מהדף הראשון אליו נכנסתם, ואז מבקשים לחזור לדף המקורי, אתם מקבלים הודעה מהדפדפן שלכם שאומרת “הדף הזה הוא תוצר של פעולת Post” (היא, הרי שליחת הסיסמה). זה מעצבן ולא רלוונטי.

בקיצור – עיצוב הדוק מידי. אני עכשיו בודק אם אפשר לעשות redirect מהדף post אל עצמו ב-Get. קוד מספר 303 אמור היה לעשות את זה, אבל הוא לא כל כך עובד לי כרגע.

שחר

עדכון
הסיבה שלא עבד היתה שמוזילה, משום מה, התעלם מהבקשה לעשות redirect אם היה יותר מידי בשר לגוף ה-HTML בשאילתה שהחזירה 303. קיצצתי ללא רחם, והתוצאה היא redirect מהיר ושלא רואים.

מה שנשאר עכשיו זה למצוא קוד HTML וגם קוד Javascript, כמה שיותר קטן, שעושה redirect גם הוא. זה יאפשר לדפדפנים שלא תומכים ב-303 לעשות את הדבר הנכון.

ש.

רבות כבר דובר, אם בבלוג פה ואם במקומות אחרים, על העיוותים השונים שנוצרים במערכת המשפטית. אם זה חברות המדיה העצומות שתובעות משתמשים קטנים, אם זה הפרות פטנטים לכאורה שבהן חברות ענק מאיימות על חברות קטנטנות על הפרת פטנטים שהם טריויאלים לחלוטין, ואם זה חברות קטנות שחברות ענק מפרות פטנטים שלהם.

בכל המקרים הבעיה היא, בעצם, אחת. לאחד הצדדים יש, באופן משמעותי, יותר משאבים לנהל את המאבק המשפטי מאשר לצד האחר. כתוצאה מכך תוצאת המאבק נקבעת לא על סמך “מי צודק”, אלא על סמך “מה ייעשה לי הכי פחות נזק”. בפועל, מערכת הצדק לא עושה את עבודתה, לא בגלל שהמערכת לא יכולה לעשות את עבודתה, אלא בגלל שהפעלת המערכת עולה יותר מידי כסף לצד אחד, אבל כמות שהיא נסבלת של כסף לצד השני. כתוצאה מכך, הנטיה היא לא להגיע אל המערכת בכלל, אלא שהצד החלש יתפשר בפתרון שהוא יותר זול, אף כי פחות טוב.

לפני כמה זמן שאל אותי חבר מדוע, לדעתי, המצב נהייה כך. יש תמיד את ההרגשה שזהו דבר שמאפיין את הכמה עשורים האחרונים. לפני מאתיים ושלוש מאות שנה לא זה היה המצב, והמערכת המשפטית, פחות או יותר, עבדה. לדעתי, לפני מאה שנה נדיר היה למצוא מצב שבו מישהו שהוא עני היה צריך להתגונן מפני מישהו עשיר. למעט במשפט הפלילי, היה נדיר למצוא מצב שלמישהו עשיר ולמישהו עני יש מספיק במשותף כדי שיהיה להם בכלל סכסוך. לעניים לא היתה דרך לקחת במרמה דברים של העשירים, ולעניים לא היה שום דבר שהעשירים רצו.

אלא שהעברת הדגשים לקניין רוחני, רשת האינטרנט שהקטינה את העולם לכל צורך למעט משפטי ושאר השינויים של השנים האחרונות שינו את המצב הזה. אם עולה פחות משקל לשכפל דיסק ששייך למישהו עם המון כסף, פתאום יש עניין.

ועד כאן בסך הכל תיארנו את הבעיה. אני חושב, אבל, שיכול להיות שיש לה פתרון. לא סביר שאפשר יהיה להעביר אותו, אבל יכול להיות שהוא ממש יפתור את הבעיה, בלי שנצטרך לשנות את חוקי הפטנטים, זכויות היוצרים, סיכסוכי העבודה וכל שאר הדינים.

בואו נסתכל על מה קורה עם הצד התובע הוא הגוף עם המשאבים הכלכליים הכי רבים באיזור. קוראים לו “המדינה”. לתהליך תביעה כזה קוראים “משפט פלילי”. על פניו היינו מצפים שכאשר המדינה תובעת נרקומן על פריצה לעסק שאותה הבעיה תבוא לידי ביטוי גם שם. אלא ששם עשו משהו מעניין. אם הנתבע בוחר לעשות כן, הוא יכול לבקש שהתובע, משמע המדינה, יממן לו את הוצאות ההגנה המשפטית.

השאלה היא אם לא ניתן לבצע תיקון דומה גם לדין האזרחי. אם גוף תובע גוף שני, ולאחד מהם אמצעים אשר הינם באופן משמעותי גדולים מאשר לשני, הרי שזה בעל המשאבים הגדולים יותר צריך לשאת לפחות בחלק מהוצאות הגוף השני.

לפני שבוחנים את ההצעה צריך להבין על מה ההצעה הזו אינה משפיעה. ההצעה אינה משפיעה על מצבים שבהם שני הגופים הינם בעלי יכולות כלכליות דומות. לדוגמא:
– סכסוכי שכנים בירוחם
– סכסוכי שכנים בהרצליה פיתוח
– הפרות חוזה בין חברות בגדלים דומים
– סכסוכי קניין רוחני בין גופים בגדלים דומים

למשל, מיקרים כמו התביעה של Sun נגד מיקרוסופט לא נכללים במצב המתואר.

אז מה כן? צריך לעבוד פה על הפרטים, אבל ברמת העקרון צריך שגוף גדול שתובע גוף קטן ייקח בחשבון שהוא ייצטרך לשאת גם בהוצאות ההגנה. בפירוש הרעיון פה הוא למנוע תביעות על סכומים שבהם עלות ההגנה המשפטית עומדת להיות גדולה מסכום התביעה (שזה האמצעי שבאמצעותו מנסים לגרום לכם להתפשר). צריך לחשוב על סייגים, כגון “האם כל סכום הגנה, או רק סכומים סבירים”, וכו.

השאלה המסובכת יותר היא מה קורה כאשר גוף קטן מרגיש נפגע מהתנהגותו של גוף גדול. מצד אחד, המצב הנוכחי הוא שהגופים הגדולים יכולים לעשות כמעט ככל העולה על רוחם, מכיוון שאין שום סיכוי שאני (או לינגנו), לדוגמא, אצליח לתבוע את Sun על הפרת פטנט. זהו מצב לא בריא. מנגד, לא ייתכן שרק על שום כך שאני טוען ש-Sun מפירה פטנט שלי Sun תצטרך להוציא את עלויות התביעה. מנגנון של בוררות מקדימה עשוי להיות פתרון גם לבעיה הזו.

כמובן שזה לא יעבור. מי שמרוויח הכי הרבה מהמצב הנוכחי הינם אילו שהכסף מצוי בידם, שהם גם אילו שהכי משפיעים על המחוקקים. עדיין, אפשר לחלום.

שחר

בנושא פחות רציני, האתר של YNet כרגע למטה. או שלא עונה, או שמחזיר שגיאה מספר 500 (Internal Error).

שחר

בכנס RSA האחרון זוג חוקרים, שאחד מהם הוצג כחובב לינוקס מושבע, הציגו סקר חדש. הוצג בו, איזו הפתעה, שלחלונות יש פחות פגיעויות אבטחת מידע מאשר ללינוקס.

לפני כמה ימים התפרסם המחקר עצמו. ירימו ידיהם, בבקשה, האנשים שיופתעו לגלות שהמחקר מומן ע”י מיקרוסופט. אפילו חובב הלינוקס המושבע לא כל כך מושבע.

עכשיו בואו נעשה בדיקה אמיתית של “מה קרה פה”.

האם החוקרים עיוותו את העובדות? לא סביר. למעשה, הם חשפו לחלוטין את שיטת הבדיקה שלהם. כל אחד מוזמן לנסות שלחזר את שיטת איסוף הנתונים ולמצוא את אותן התוצאות.

האם מיקרוסופט התערבה בתוצאות? סביר להניח שלא.
האם לחוקרים ניתנה יד חופשית במחקר? כן, למעט העובדה ששיטת המחקר נקבעה לפני ההתחייבות לתשלום. זה מופיע בצורה מפורשת בראיון איתם בקישור למעלה. זאת, למעשה, הנקודה המרכזית.

המחקר הזה, כמו קודמיו, אינו נעשה לפתע חסר משמעות בגלל שמיקרוסופט מימנה אותו. המחקר הזה חסר משמעות בגלל שמטריקות הבדיקה הן חסרות משמעות. העובדה שמיקרוסופט מימנה אותו קשורה לא לתוצאות שלו, אלא לזה שהוא נעשה בכלל. ללא המימון של מיקרוסופט, אף אחד לא היה בודק את המדדים האילו כדי להשוות בין מערכות הפעלה.

השוואה כמותית של בעיות אבטחה הינה חסרת כל משמעות פרקטית. השוואה משמעותית צריכה לקחת חומרה אבסולוטית, כמה רחב וכמה עמוק הידע על הבעיה, עד כמה קל לבצע את עדכון האבטחה, ואפילו מה המוניטין של מוציא העדכונים לגבי הסיכוי שהמערכת תשבר בגלל העדכון. כל הנ”ל משפיעים על זמן החשיפה, וללא מדידה של כל הנ”ל, אין משמעות לבדיקה.

דוגמאות:
חומרה אבסולוטית – לא מספיק להשוות בין החומרה שהספקים מייחסים לבעיה. צריך גם להשוות על פי מדדים יותר אוביקטיבים. למשל, בעיה שפירושה הדבקה של המערכת ללא כל פעולה של המשתמש, בעיה שפירושה הדבקה של המערכת אחרי פעולה תמימה של המשתמש, האם יש אזהרה, עד כמה היא רלוונטית, ועד כמה היא נפוצה בהקשרים אחרים, שבהם צריך להחליט אחרת מאיך שצריך להחליט פה.

כמה רחב וכמה עמוק הידע – ברור שמרגע שבעיה היא פומבית אז הסיכוי להתקפה עולה. מה שאנשים חייבים להבין הוא שהסיכוי להתקפה טרם היות הבעיה פומבית אינו אפס. כמה זמן היתה הבעיה ידועה למדווח טרם הדיווח, כמה זמן היתה הבעיה ידועה לחברה, כמה אנשים מחוץ לחברה ידעו על הבעיה טרם הפתרון, וכו.

עד כמה קל לבצע את עדכון האבטחה – אם עדכון דורש שמישהו יזכור להכנס למערכת, או שהוא דורש הפעלה מחדש (ובכך השבתה של המערכת לכמה דקות) הסיכוי שיתקינו אותו בזמן סביר יורד.

מוניטין האמינות – על פניו השיקול הכי מוזר. מצד שני, אם כל עדכון אבטחה מצריך הרמת מערכת בדיקה, הרצת העדכון במשך כמה ימים טרם התקנה על המערכת האמיתית, ולהמתין לשמוע איך האינטרנט מגיב לעדכון, הרי שהזמן עד שהעדכון יותקן בפועל עולה, ובהתאם גם זמן הפגיעות הממוצע.

לקיחת חלק מהגורמים באופן מנותק הינה מטעה. בגלל זה, אין טעם להתעמק במחקרים ממומנים. לא על אבטחה, לא על TCO, ולא על אף גורם אחר.

שחר

נכון ללפני כמה באג מספר 296284 במערכת הבאגים של דביאן נסגר. פירושו של דבר הוא שעבדכם הנאמן הינו, באופן פורמלי, מתחזק של חבילה בפרוייקט דביאן.

החל ממחזור העדכונים הקרוב (כנראה – מחר בבוקר) כל מי שמריץ מערכת דביאן Sid יוכל להתקין את rsyncrypto פשוט על ידי זה שיכתוב “apt-get install rsyncrypto”.

השלב הבא – להעשות למפתח דביאן מהשורה…

שחר

מאוד.

בגלל זה החברה שמוכרת בשבילהם (apple-center) לא מוכנה להתחייב על זמני אספקה של mac-mini. נכון, שמעתם.

הם רוצים שאתם תתחייבו על התשלום, ואז הם ייקחו מעל חודש, כנראה חודשיים, כדי לקבל את המכשיר בפועל, ואז להניח שהעסקה עדיין רלוונטית מבחינתכם, לא משנה מה שער הדולר, מצב חשבון הבנק שלכם, או כל שיקול אחר.

אני אפילו לא מדבר על זה שדולר מבחינתם זה על פי “שער המחאות הגבוה”.

האמת, לא נראה לי שאני אקנה בתנאים האילו.

שחר