פוסטים אחרונים

אני חרדי, בישיבות במגזר שלי מקפידים שבחורים לא יוציאו רישיון נהיגה (הדרת בחורים XD). אבל איך יודעים אם בחור הוציא רישיון? אז יש 2 אפשרויות:
1. איש צוות רואה את הבחור נוהג מולו ברחוב. אם אין לו רישיון, זה יותר גרוע...
2. בודקים במשרד התחבורה במערכת לבדיקת צורך בחידוש רישיון.

שעטו"מ סגרתי את כל הכרטיסיות בדפדפנים, עדכנתי מסן והפעלתי מחדש את המחשב. המחשב עלה, המסן בעקבותיו, התחברתי ואז הוצע לי לחבר את המסן לפייסבוק.
מה לי ולפייסבוק? באמת שכלום, יש לי שם חשבון מאז שהייתי צריך לברר פרטים על מישהו (בתקופה שלפני איבוד הפרטיות הכללי והחזרת הדיפולט לסטטוסים פרטיים והאיבוד הנוסף וכל הזגזוגים), פתחתי חשבון שלחתי בקשת חברות, לא אושרתי אבל זה בגלל שלא שמתי תמונה פרובוקטיבית...
חשבתי לעצמי, נחמד, אוכל לצ'וטט עם כאלה שיש להם רק פייסבוק בלי מסן או גוגל-טוק.

אה, סוף סוף קצת חופש.
סיימתי עבודה, ועדיין לא התחלתי עבודה חדשה (כן, אני מחפש עבודה בתחום התכנות ו/או אבטחת/ניהול רשתות של מיקרוסופט), אז בינתיים אני חוגג :) והתוצאות בשטח! כלי שני יוצא לאור.

טוב, אז המדובר בתוכנה שכתובה בשפת C (למרות שהיא משתמשת בפיצ'רים של C++ מה שמחייב להדר אותה כך, אבל הפונקציות והסגנון הם C). התוכנה מותאמת לווינדוס, אבל ניתן בקלות לשנות אותה כך שתתאים גם ללינוקס.
לפני ההידור תצטרכו לשלוח את המהדר לספריה wsock. ב-dev-c++ תעשו זאת כך:

אם יש ראוטר בדרך, אל תשכחו לבצע הפניית פורטים (forward).

כשאנחנו כותבים בפורומים / בלוגים, מקובל לחשוב שרק למנהל/ים יש הרשאות לראות את כתובת האינטרנט (IP) שלנו.
אז זהו, שלא.

אני לא משקיע כאן מספיק :( אז לפחות פוסטים קצרים :)

כולם יודעים בדפדפן איך להגדיר אותו שיעבור דרך פרוקסי. לא כולם יודעים איך להגדיר אפליקציות ג'אווה שיעברו דרך פרוקסי. לעיתים אפליקציות ג'אווה ירוצו לנו ישירות מתוך הדפדפן ולא נבין למה חלק מהבקשות של הדפדפן לא מגיעות לפרוקסי, לפעמים זו תהיה אפליקציית ג'אווה שתרוץ לחוד.

מזמן לא כתבתי פוסט, יש כמה פוסטים שמחכים להיכתב חלקים חצי מוכנים, מקווה לפנות לזה יותר זמן. בינתיים פוסט קצרצר.

בגוגל כרום, כידוע, יש הגנה נגד reflected xss. זה מאוד נחמד כמוצר הגנה (וכמובן מפעם לפעם מתפרסמים bypassים...) אבל ממש מציק בבדיקות אבטחה (Penetration testing). למרות שאת הפלט עוד ניתן לראות בפרוקסי, תצלומסך לדו"ח של alert עם עוגיות זה חוסם.

העליתי שרת Windows Server 2008 לאמזון, העלאה עצמה לקחה המון זמן ודרשה טיפה משחקים, שזה נושא לפוסט נוסף.
אחרי ההעלאה, באתי להתחבר לשרת, ומתברר שלהבדיל מ-Vsphire של VMware, אין באמזון קונסול. טוב, אם אי אפשר להתחבר רגיל, אנסה ב-RDP. אממה, בדיפולט RDP כבוי :(

משחקים פה ושם, הגעתי להפעלת RDP באמצעות remote registry. משהו חמוד שהכרתי, אבל לא ידעתי שהוא פתוח בדיפולט !!!

cPanel מנווט את הבקשות המגיעות לשרת לפי הדומיין לחשבון המתאים. כמובן שעל בעל החשבון להצהיר שהדומיין שייך לו. כדי לוודא שהדומיין אכן שייך לו, מציע cPanel 2 אפשרויות:
1. להפנות את ה-DNS של הדומיין לשרת ה-DNS של האחסון.
2. ליצור על הדומיין קובץ בעל שם רנדומלי שנקבע ע"י cPanel והוא ייחודי פר משתמש.

כן, אתחיל בזה, תודה לחבר נאמן שקפץ לבלוג שלי בדיוק כשהוא היה בדיפייס, קיבלתי מייל ושינסתי מיד מותניים.

אני חרדי, בישיבות במגזר שלי מקפידים שבחורים לא יוציאו רישיון נהיגה (הדרת בחורים XD). אבל איך יודעים אם בחור הוציא רישיון? אז יש 2 אפשרויות:
1. איש צוות רואה את הבחור נוהג מולו ברחוב. אם אין לו רישיון, זה יותר גרוע...
2. בודקים במשרד התחבורה במערכת לבדיקת צורך בחידוש רישיון.

אתמול בחצות רציתי לבדוק משהו בחשבון הבנק. גלשתי לאתר, הכנסתי פרטי לוגין ו... עפתי החוצה, לאחר מספר מעצבן של ניסיונות הבנתי שהסיסמה נכונה (אלא מה?) רק שמישהו מעיף אותי החוצה (קיים שינוי התנהגותי בין הסיסמה הנכונה לסתם סיסמה אחרת). אז חוץ מהגילוי שאין הגנה מ-BF שכשזה מצטרף לאורך סיסמה מוגבל זה קצת מטריד, ניסיתי להבין למה לא נותנים לי להיכנס.

טוב, אתחיל בזה שפתחתי חשבון בגוגל קוד (קרי: התחלתי להשתמש בו), בסיום הפוסט אוסיף לינק בדף הבית... התחלתי בלשון עבר, מאז כבר כתבתי (עם ***** מופיע בפרויקט כתובת המייל שלך אז לא הבאתי את שמך) והעליתי אליו פרויקט (scapy arm mitm) לא יצא לי לצערי לעדכן :(

החלק השמח, זה שעכשיו העליתי עוד פרויקט :P הנקרא HTML5Dump, תפקידו בחיים: לעזור ב-exploit גלובלי ל-XSS, והנה ההסבר.

אז אתמול התקינו לי בבית קו טלפון של 012, ואני ממש לא מרוצה :P יש המון סיבות, ואני אפרט.
1. מדובר ב-VOIP על התשתית של בזק. VOIP דורש חשמל. אין חשמל -> אין טלפון (כן, יש לנו עדיין מכשיר בודד שלא דורש חיבור למקור חשמל חיצוני).
2. הראוטר שמובנה במכשיר הוא קצוץ כנפיים. אין אפשרות להגדיר IP קבוע למכונות ברשת. אין אפשרות להגדיר DNS. אין אפשרות לשנות סאבנט. אין אפשרות לראות/לשלוט בטבלת DHCP, כל זה ממבט ראשוני.
3. אה, בכלל לא נותנים משתמש, הייתי צריך מערכת שיחות טלפוניות עם הנציגים בשביל שמישהו ייתן לי משתמש.
4. אין אפשרות לבטל התחברות מרחוק לראוטר.

אנשים פעמים רבות משלמים אחד עבור השני (יש לך פייפל? תשלם לי על X), והכי נפוץ זה תשלום של כל אחד על עצמו.

אולם, חשוב לשים לב, שבמרבית המקומות פרטי הכרטיס נשמרים ! הדבר עלול להוות מטרד במקרה ומישהו אחר מחייב אותנו בלא תשומת לב (בהנחה והוא יחזיר זאת אח"כ), ונזק רציני במקרה והחשבון ייפרץ.

בימים האחרונים קיבלתי מכשיר Galaxy מהעבודה. עד היום היה לי רק מכשיר כשר (אין אינטרנט, אין SMS, אין אפשרות להורדת תמונות / שירים / רינגטונים, אין אפליקציות. יש מכשירים שנפרצו, לא התעסקתי עם שלי כי זה ממש לא עניין אותי. ולמי שנבהל, אז בשביל העבודה מותר להחזיר מכשיר לא כשר), עכשיו אני מצטעצע עם המכשיר החדש ולומד אותו.

לפני מספר ימים פתאום הוצפתי בהודעות מהבלוג שלי.
בהתחלה חשבתי שזה מהמערכת feedback שהתחלתי להטמיע באתר, שכמו בתגובות לא דורש קאפצ'ה (יש פשוט חסימה אחרי X פעמים), אבל לאחר בדיקה גיליתי שזה מה-צור קשר:
http://sro.co.il/blog/?include=mail

לאיזו מערכת הייתי צריך לבנות פונקציית כח-גס (brute force) שתחזיר מערך עם כל האפשרויות מהתווים שהיא מקבלת באורכים המבוקשים.
כיוון שהאורך לא ידוע, השיטה המקובלת לבנות כזו פונקציה היא באמצעות שימוש בנסיגה (ממ.. רקורסיה. הידע שלי על רקורסיה מסתכם בפרק שקראתי לפני 8 שנים ללא שום ותק במימוש.

מי ששדרג את המסן, ודאי הספיק לכעוס על ההגנה שאנשי מיקרוסופט דחפו לתוכה. לכל קישור מתווספת תחילית של http://link.live.net ומשם מועברים ל"מסך-חכם" הבא:
http://link.smartscreen.live.com

לאחרונה יוצא לי להתעסק עם בנקים...

זה כל כך מגניב, שלמרות שהפוסט האחרון (float:center הסוף המוצלח) פורסם לפני כיומיים, אני כותב עוד פוסט.

הכל מתחיל בחיפוש של גוגל יותר מזל משכל.
ציטוט מגוגל:
כפתור "יותר מזל משכל" לוקח אותך אוטומאטית ישירות לעמוד האינטרנט הראשון שהוחזר כתוצאה מהשאילתא שלך. את שאר התוצאות לא תראה כלל. חיפוש "יותר מזל משכל" אומר פחות זמן בחיפוש אתרי אינטרנט ויותר זמן צפייה בהם.

הסטוריה
רביעי ליולי 1996 - הושק מסחרית השירות hotmail.com שירות מיילים חינמי.
ב-1997 רכשה אותו מיקרוסופט, והפכה אותו למספר 2 (אחרי יאהו!).
מתישהו לאחר מכן פתחה מיקרוסופט את שירות המיילים hotmail.co.il
מיקרוסופט פתחה שירות מיילים חינמית בדומיין hotmail.com
לאחר מכן הם התחרטו, והורו למשתמשים לפתוח חשבון חדש בדומיין hotmail.com. בינואר 2008 שירות המיילים בדומיין hotmail.co.il הסתיים.

הצצתי באשכול הזה וגיליתי של-GIF יש תוכנה מגניבה, היא גורמת לקובץ EXE לשנות סיומת לכל סיומת שרוצים ותמונה של מה שרוצים והוא רץ כ-EXE! כמובן שמיד ביקשתי ממנו אותה בפרטי ומכיוון שאנחנו ידידים ותיקים, הוא שלח לי. מיד הרצתי את התוכנה, ו...נדהמתי. התוכנה עובדת !

היו לי כמה דקות (ככה זה התחיל, זה המשיך קצת יותר זמן) פנויות, אז התחלתי לפתח שאלל קטן. בינתיים הוא מאפשר לנהל את הקבצים שבשרת עליו הוא נמצא (עם המגבלות הסטנדרטיות, הוא לא עוקף עדיין כלום).

אתם יכולים לראות פוסט זה כהמשך לפוסט שכתב גיא מזרחי.
כשראיתי שם את בתגובות את ההצעות לשיפור, החלטתי לפתח את הכלי, ועכשיו לאחר המון זמן שראיתי שאני לא נוגע בכלי (תיכננתי להוסיף לו עוד פיצ'רים) אני מפרסם אותו למקרה ומישהו מעוניין בו לשימוש ו/או פיתוח.

בסופו של דבר, רק קאפצ'ה יכולה להוכיח אם מדובר באדם או במכונה, אבל האם צריך תמיד להשתמש בה?
לא.

הגעתי לכל הרעיון מפוסט על האנטי ספאם המוצלח ביותר לוורדפרס. ואז חשבתי לעצמי, מהי הדרך שבה התוסף מזהה הודעות ספאם? או לחילופין, איך אוכל לבטל את הקאפצ'ה בבלוג שלי.

כשאנחנו כותבים בפורומים / בלוגים, מקובל לחשוב שרק למנהל/ים יש הרשאות לראות את כתובת האינטרנט (IP) שלנו.
אז זהו, שלא.

ברשת, כשרוצים לגשת למחשב אחר, הנתיב מתחיל בשני סלאשים, שם המחשב, סלאש, שם השיתוף.
כדי שנוכל לגשת למשאבים שנמצאים על הארד-דיסקים של מחשבים אחרים, ווינדוס יוצרת שיתוף אוטומטי לכל HD. שם השיתוף הוא אות הכונן ואחריו דולר. כמובן שנצטרך לבצע כניסה (log-on) למחשב/דומיין המארח.

כאן משום מה, ווינדוס לא דורשת בברירת מחדל שיהיה לחשבון שאיתו אתם נכנסים סיסמה!

ב-javascript manipulation משנים את ה-DOM של דף האינטרנט באמצעות קוד JavaScript שמכניסים משורת הכתובת שבדפדפן.
גילוי דעת: נושא זה שייך לתחום האקינג / חקר מערכות. הנושא והדוגמאות המפורטות מיועדות ללמידה וידע בלבד. כל פעולה שנוגדת את החוק, הינה באחריות העבריין בלבד.

לכבוד יום הולדתי שהתרחשה בתקופה האחרונה, קיבלתי מתנה סטגנורגרפית. אבל לפני כן, הקדמה קצרה.

לאיזו מערכת הייתי צריך לבנות פונקציית כח-גס (brute force) שתחזיר מערך עם כל האפשרויות מהתווים שהיא מקבלת באורכים המבוקשים.
כיוון שהאורך לא ידוע, השיטה המקובלת לבנות כזו פונקציה היא באמצעות שימוש בנסיגה (ממ.. רקורסיה. הידע שלי על רקורסיה מסתכם בפרק שקראתי לפני 8 שנים ללא שום ותק במימוש.

לאחרונה אני בבניית אתרים, אז הנה שתיים מתוך הפונקציות שיצא לי לבנות, ואני חושב שהם שימושיות עבור כל בונה אתרים:

סוף סוף המאמץ הוכתר בהצלחה. והפונקציה explode שכתבתי עובדת גם ב-borland C (הישן) ו[בעיקר]גם ב-++dev C.

הפונקציה מהפוסט הקודם (file_post_contents) עברה שדרוג, קבלו את המוצר המוגמר.

הפונקציה site מקבלת 3 פרמטרים.
site - כתובת האתר - חובה
get - שדות לשליחה ב-GET - אפשרי
post - שדות לשליחה ב-POST - אפשרי

משתמש בשם DiGMi פרסם לפני תקופה ארוכה פאקר לשאלל קודים, החלטתי לשפר אותו.

משתמש בשם DiGMi פרסם לפני תקופה ארוכה פאקר לשאלל קודים, החלטתי לשפר אותו.

התחלתי ללמוד assembly מכאן. מדריך מצוין באנגלית לאסמבלי בסביבת חלונות, דורש ידע מוקדם בסיסי באסמבלי.

מדריך.
פרקים בודדים ומדריכים נוספים.
masm32v7 (מהדר לאסמבלי).
פרוטו טייפים ל-API של חלונות.

בהתחלה הידרתי (קימפלתי...) ידנית, בשביל לזכור את הפקודות. אבל תוך זמן קצר, ראיתי שזה בזבוז זמן.
אמנם מסופקים עם המהדר מספר קבצי אצווה, אבל הם לא היו מותאמים אישית עבורי. אז כתבתי קובץ BAT.

היו לי כמה דקות (ככה זה התחיל, זה המשיך קצת יותר זמן) פנויות, אז התחלתי לפתח שאלל קטן. בינתיים הוא מאפשר לנהל את הקבצים שבשרת עליו הוא נמצא (עם המגבלות הסטנדרטיות, הוא לא עוקף עדיין כלום).

אה, סוף סוף קצת חופש.
סיימתי עבודה, ועדיין לא התחלתי עבודה חדשה (כן, אני מחפש עבודה בתחום התכנות ו/או אבטחת/ניהול רשתות של מיקרוסופט), אז בינתיים אני חוגג :) והתוצאות בשטח! כלי שני יוצא לאור.

טוב, אז המדובר בתוכנה שכתובה בשפת C (למרות שהיא משתמשת בפיצ'רים של C++ מה שמחייב להדר אותה כך, אבל הפונקציות והסגנון הם C). התוכנה מותאמת לווינדוס, אבל ניתן בקלות לשנות אותה כך שתתאים גם ללינוקס.
לפני ההידור תצטרכו לשלוח את המהדר לספריה wsock. ב-dev-c++ תעשו זאת כך:

אם יש ראוטר בדרך, אל תשכחו לבצע הפניית פורטים (forward).

אתם יכולים לראות פוסט זה כהמשך לפוסט שכתב גיא מזרחי.
כשראיתי שם את בתגובות את ההצעות לשיפור, החלטתי לפתח את הכלי, ועכשיו לאחר המון זמן שראיתי שאני לא נוגע בכלי (תיכננתי להוסיף לו עוד פיצ'רים) אני מפרסם אותו למקרה ומישהו מעוניין בו לשימוש ו/או פיתוח.

נתחיל בבקשה, רישום של שעות התחברות והתנתקות למערכת בקובץ.
אם זה היה רק התחברות, הייתי משתמש בתיקיה הפעלה/startup שנמצאת בתפריט תוכניות שבהתחל. כך בפשטות, בלי לערב את הרג'יסטרי. אבל מייד כשראיתי שהוא רוצה גם התנתקות, הבנתי שנצטרך להשתמש ב-group policy, או ליתר דיוק ב-local group policy.

פעמים רבות רוצים להתחבר למחשב מרוחק, אם באופן קבוע (מהמחשב הביתי למחשב שבעבודה), אם באופן חד פעמי.
כדי להתחבר ממחשב אחד לשני, צריכים את הכתובת IP של המחשב שאליו אנו רוצים לגשת.
אם יש לנו שרת, או שאנחנו מחליטים להיות לארג'ים, נקנה IP סטטי (קבוע). אבל פעמים רבות, נשתמש ב-IP זמני.
הבעיה היא, שאם אין לנו IP סטטי, כעבור כמה שעות (כן, לא רק אם מתנתקים ומתחברים) אנחנו עלולים לגלות שהכתובת השתנתה ואין לנו איך להתחבר. או במקרה גרוע יותר, אנחנו עלולים ליפול להונאת פישינג.

אז אתמול התקינו לי בבית קו טלפון של 012, ואני ממש לא מרוצה :P יש המון סיבות, ואני אפרט.
1. מדובר ב-VOIP על התשתית של בזק. VOIP דורש חשמל. אין חשמל -> אין טלפון (כן, יש לנו עדיין מכשיר בודד שלא דורש חיבור למקור חשמל חיצוני).
2. הראוטר שמובנה במכשיר הוא קצוץ כנפיים. אין אפשרות להגדיר IP קבוע למכונות ברשת. אין אפשרות להגדיר DNS. אין אפשרות לשנות סאבנט. אין אפשרות לראות/לשלוט בטבלת DHCP, כל זה ממבט ראשוני.
3. אה, בכלל לא נותנים משתמש, הייתי צריך מערכת שיחות טלפוניות עם הנציגים בשביל שמישהו ייתן לי משתמש.
4. אין אפשרות לבטל התחברות מרחוק לראוטר.

רן לוי, בעל הפודקאסט המצויין עושים היסטוריה מביא מדי שלושה שבועות פרק מעניין. בפרק האחרון הוא משווה בין חיידקים שהם טפילים ביולוגיים, לבין תולעים ווירוסי מחשב. הוא מנסה להסיק מסקנות מאחד על השני, ומקווה שייצא מזה משהו מועיל, או לפחות מעניין. אחת השאלות שהוא מעלה בפודקאסט היא, האם נראה גם בתולעי מחשב סימביוזה. מה זה? הנה ההסבר:

בונוס לקוראי הבלוג:
למי שאין חשבון בגוגל+, שיכתוב את המייל ואשלח לו הזמנה.

רן לוי, בעל הפודקאסט המצויין עושים היסטוריה מביא מדי שלושה שבועות פרק מעניין. בפרק האחרון הוא משווה בין חיידקים שהם טפילים ביולוגיים, לבין תולעים ווירוסי מחשב. הוא מנסה להסיק מסקנות מאחד על השני, ומקווה שייצא מזה משהו מועיל, או לפחות מעניין. אחת השאלות שהוא מעלה בפודקאסט היא, האם נראה גם בתולעי מחשב סימביוזה. מה זה? הנה ההסבר:

סוף סוף סוף.

לא, לא שאני כותב סוף סוף פוסט, למרות שגם על זה מגיע סוף-סוף... האתר פה צריך לעבור שדרוג רציני, בהזדמנות.

סוף סוף טיפלתי במקלדת המיקרוסופטית שלי, וכעת היא מפוצ'רת כמו מקלדות של לנובו. והנה ההסבר המלא, כולל מדריך step by step.

מי ששדרג את המסן, ודאי הספיק לכעוס על ההגנה שאנשי מיקרוסופט דחפו לתוכה. לכל קישור מתווספת תחילית של http://link.live.net ומשם מועברים ל"מסך-חכם" הבא:
http://link.smartscreen.live.com

שעטו"מ סגרתי את כל הכרטיסיות בדפדפנים, עדכנתי מסן והפעלתי מחדש את המחשב. המחשב עלה, המסן בעקבותיו, התחברתי ואז הוצע לי לחבר את המסן לפייסבוק.
מה לי ולפייסבוק? באמת שכלום, יש לי שם חשבון מאז שהייתי צריך לברר פרטים על מישהו (בתקופה שלפני איבוד הפרטיות הכללי והחזרת הדיפולט לסטטוסים פרטיים והאיבוד הנוסף וכל הזגזוגים), פתחתי חשבון שלחתי בקשת חברות, לא אושרתי אבל זה בגלל שלא שמתי תמונה פרובוקטיבית...
חשבתי לעצמי, נחמד, אוכל לצ'וטט עם כאלה שיש להם רק פייסבוק בלי מסן או גוגל-טוק.

הסטוריה
רביעי ליולי 1996 - הושק מסחרית השירות hotmail.com שירות מיילים חינמי.
ב-1997 רכשה אותו מיקרוסופט, והפכה אותו למספר 2 (אחרי יאהו!).
מתישהו לאחר מכן פתחה מיקרוסופט את שירות המיילים hotmail.co.il
מיקרוסופט פתחה שירות מיילים חינמית בדומיין hotmail.com
לאחר מכן הם התחרטו, והורו למשתמשים לפתוח חשבון חדש בדומיין hotmail.com. בינואר 2008 שירות המיילים בדומיין hotmail.co.il הסתיים.

נכנסתי לאתר של מייקרוסופט בעברית.
בלשונית עדכונים ואבטחה בחרתי באפשרות אבטחה למשתמש הביתי:
בדף שנגלה לפני בחרתי בהורדת מוצרי אבטחה
זה הדף שנגלה לפני:

שולחן העבודה שלכם מסודר אוטומטית (כל הקבצים בזה אחר זה בצורה רציפה), או שהקבצים מפוזרים בשטח המסך? אם הם מסודרים, הפסדתם. אם הם ממוקמים בחלקים שונים של המסך, ודאי יצא לכם לטייל עם החיצים של המקלדת בין הקבצים (בוחרים קובץ אחד, ואז משנים את הבחירה מקובץ אחד למשנהו עם החיצים). תוך מספר תזוזות ניתן לגלות שמשהו במערכת הזאת ממש לא בסדר. אתם מקפצים מסמל לסמל ללא סדר ברור.

אנשים פעמים רבות משלמים אחד עבור השני (יש לך פייפל? תשלם לי על X), והכי נפוץ זה תשלום של כל אחד על עצמו.

אולם, חשוב לשים לב, שבמרבית המקומות פרטי הכרטיס נשמרים ! הדבר עלול להוות מטרד במקרה ומישהו אחר מחייב אותנו בלא תשומת לב (בהנחה והוא יחזיר זאת אח"כ), ונזק רציני במקרה והחשבון ייפרץ.

כלי הגיבוי של מיקרוסופט (ntbackup) מיועד לגיבוי שאינו משתנה. גיבינו, מעכשיו במה שגיבינו לא ניגע יותר.

פעמים רבות נרצה לגבות חומר. אבל בפעם הבאה, במקום להעתיק שוב את הכל (או ליצור גיבוי משלים, שיאריך את זמן השחזור. או שנרצה פשוט לסנכרן), נרצה לעדכן בתיקיית היעד רק את מה שהשתנה.

הפקודה xcopy שב-MS-DOS עושה את זה, בדיוק!

פנה אלי חבר בבקשת עזרה.

החברה שבה הוא עובד, שולחת דו"חות כל חודש במייל. כדי לקבל אינדיקציה, החברה שולחת רק לינק לדו"ח שמונח על שרתי החברה, וכך היא יודעת אם הדו"ח הורד ונקרא. חלק מהלקוחות משתמשים ב-gmail (וחלקם מעבירים הלאה ללקוחות משנה למיילים ב-gmail), הבעיה עם internet explorer, שכשלוחצים על הלינק מועברים לדף שמכיל למעלה מלבן שנחסמה הורדת קובץ, ואז כשמאשרים את ההורדה, gmail כבר לא מאפשר להוריד...

נתחיל בבקשה, רישום של שעות התחברות והתנתקות למערכת בקובץ.
אם זה היה רק התחברות, הייתי משתמש בתיקיה הפעלה/startup שנמצאת בתפריט תוכניות שבהתחל. כך בפשטות, בלי לערב את הרג'יסטרי. אבל מייד כשראיתי שהוא רוצה גם התנתקות, הבנתי שנצטרך להשתמש ב-group policy, או ליתר דיוק ב-local group policy.

היו לי כמה דקות (ככה זה התחיל, זה המשיך קצת יותר זמן) פנויות, אז התחלתי לפתח שאלל קטן. בינתיים הוא מאפשר לנהל את הקבצים שבשרת עליו הוא נמצא (עם המגבלות הסטנדרטיות, הוא לא עוקף עדיין כלום).

חבר ביקש ממני שאכתוב לו קוד שיחסום את האתר שלו בשבת. לאחר כחצי שעה מול האינטרנט, הצלחתי לבצע את זה עם קובץ htaccess, ללא שורת PHP. אז למי שמעוניין, הנה הוראות איך לחסום את האתר שלכם מכניסה בשבתות.

העליתי שרת Windows Server 2008 לאמזון, העלאה עצמה לקחה המון זמן ודרשה טיפה משחקים, שזה נושא לפוסט נוסף.
אחרי ההעלאה, באתי להתחבר לשרת, ומתברר שלהבדיל מ-Vsphire של VMware, אין באמזון קונסול. טוב, אם אי אפשר להתחבר רגיל, אנסה ב-RDP. אממה, בדיפולט RDP כבוי :(

משחקים פה ושם, הגעתי להפעלת RDP באמצעות remote registry. משהו חמוד שהכרתי, אבל לא ידעתי שהוא פתוח בדיפולט !!!

פנה אלי חבר בבקשת עזרה.

החברה שבה הוא עובד, שולחת דו"חות כל חודש במייל. כדי לקבל אינדיקציה, החברה שולחת רק לינק לדו"ח שמונח על שרתי החברה, וכך היא יודעת אם הדו"ח הורד ונקרא. חלק מהלקוחות משתמשים ב-gmail (וחלקם מעבירים הלאה ללקוחות משנה למיילים ב-gmail), הבעיה עם internet explorer, שכשלוחצים על הלינק מועברים לדף שמכיל למעלה מלבן שנחסמה הורדת קובץ, ואז כשמאשרים את ההורדה, gmail כבר לא מאפשר להוריד...

פנה אלי חבר בבקשת עזרה.

החברה שבה הוא עובד, שולחת דו"חות כל חודש במייל. כדי לקבל אינדיקציה, החברה שולחת רק לינק לדו"ח שמונח על שרתי החברה, וכך היא יודעת אם הדו"ח הורד ונקרא. חלק מהלקוחות משתמשים ב-gmail (וחלקם מעבירים הלאה ללקוחות משנה למיילים ב-gmail), הבעיה עם internet explorer, שכשלוחצים על הלינק מועברים לדף שמכיל למעלה מלבן שנחסמה הורדת קובץ, ואז כשמאשרים את ההורדה, gmail כבר לא מאפשר להוריד...

הצצתי באשכול הזה וגיליתי של-GIF יש תוכנה מגניבה, היא גורמת לקובץ EXE לשנות סיומת לכל סיומת שרוצים ותמונה של מה שרוצים והוא רץ כ-EXE! כמובן שמיד ביקשתי ממנו אותה בפרטי ומכיוון שאנחנו ידידים ותיקים, הוא שלח לי. מיד הרצתי את התוכנה, ו...נדהמתי. התוכנה עובדת !

חבר ביקש ממני שאכתוב לו קוד שיחסום את האתר שלו בשבת. לאחר כחצי שעה מול האינטרנט, הצלחתי לבצע את זה עם קובץ htaccess, ללא שורת PHP. אז למי שמעוניין, הנה הוראות איך לחסום את האתר שלכם מכניסה בשבתות.

מכירים את זה שאתם מנסים לכתוב קוד, אחרי כמה שעות מצליחים, ואז כשאתם משפרים את הקוד שוב ושוב הוא נהיה כל כך פשוט, שלא ברור למה לא הצלחתם מיד?
זה מה שקרה לי כשנרתמתי לענות על השאלה ששאל DoRuSH כאן.

ברשת, כשרוצים לגשת למחשב אחר, הנתיב מתחיל בשני סלאשים, שם המחשב, סלאש, שם השיתוף.
כדי שנוכל לגשת למשאבים שנמצאים על הארד-דיסקים של מחשבים אחרים, ווינדוס יוצרת שיתוף אוטומטי לכל HD. שם השיתוף הוא אות הכונן ואחריו דולר. כמובן שנצטרך לבצע כניסה (log-on) למחשב/דומיין המארח.

כאן משום מה, ווינדוס לא דורשת בברירת מחדל שיהיה לחשבון שאיתו אתם נכנסים סיסמה!

נתחיל בבקשה, רישום של שעות התחברות והתנתקות למערכת בקובץ.
אם זה היה רק התחברות, הייתי משתמש בתיקיה הפעלה/startup שנמצאת בתפריט תוכניות שבהתחל. כך בפשטות, בלי לערב את הרג'יסטרי. אבל מייד כשראיתי שהוא רוצה גם התנתקות, הבנתי שנצטרך להשתמש ב-group policy, או ליתר דיוק ב-local group policy.

כלי הגיבוי של מיקרוסופט (ntbackup) מיועד לגיבוי שאינו משתנה. גיבינו, מעכשיו במה שגיבינו לא ניגע יותר.

פעמים רבות נרצה לגבות חומר. אבל בפעם הבאה, במקום להעתיק שוב את הכל (או ליצור גיבוי משלים, שיאריך את זמן השחזור. או שנרצה פשוט לסנכרן), נרצה לעדכן בתיקיית היעד רק את מה שהשתנה.

הפקודה xcopy שב-MS-DOS עושה את זה, בדיוק!

פעמים רבות רוצים להתחבר למחשב מרוחק, אם באופן קבוע (מהמחשב הביתי למחשב שבעבודה), אם באופן חד פעמי.
כדי להתחבר ממחשב אחד לשני, צריכים את הכתובת IP של המחשב שאליו אנו רוצים לגשת.
אם יש לנו שרת, או שאנחנו מחליטים להיות לארג'ים, נקנה IP סטטי (קבוע). אבל פעמים רבות, נשתמש ב-IP זמני.
הבעיה היא, שאם אין לנו IP סטטי, כעבור כמה שעות (כן, לא רק אם מתנתקים ומתחברים) אנחנו עלולים לגלות שהכתובת השתנתה ואין לנו איך להתחבר. או במקרה גרוע יותר, אנחנו עלולים ליפול להונאת פישינג.

משתמש בשם DiGMi פרסם לפני תקופה ארוכה פאקר לשאלל קודים, החלטתי לשפר אותו.

התחלתי ללמוד assembly מכאן. מדריך מצוין באנגלית לאסמבלי בסביבת חלונות, דורש ידע מוקדם בסיסי באסמבלי.

מדריך.
פרקים בודדים ומדריכים נוספים.
masm32v7 (מהדר לאסמבלי).
פרוטו טייפים ל-API של חלונות.

בהתחלה הידרתי (קימפלתי...) ידנית, בשביל לזכור את הפקודות. אבל תוך זמן קצר, ראיתי שזה בזבוז זמן.
אמנם מסופקים עם המהדר מספר קבצי אצווה, אבל הם לא היו מותאמים אישית עבורי. אז כתבתי קובץ BAT.

התחלתי ללמוד assembly מכאן. מדריך מצוין באנגלית לאסמבלי בסביבת חלונות, דורש ידע מוקדם בסיסי באסמבלי.

מדריך.
פרקים בודדים ומדריכים נוספים.
masm32v7 (מהדר לאסמבלי).
פרוטו טייפים ל-API של חלונות.

בהתחלה הידרתי (קימפלתי...) ידנית, בשביל לזכור את הפקודות. אבל תוך זמן קצר, ראיתי שזה בזבוז זמן.
אמנם מסופקים עם המהדר מספר קבצי אצווה, אבל הם לא היו מותאמים אישית עבורי. אז כתבתי קובץ BAT.

מכירים את זה שאתם מנסים לכתוב קוד, אחרי כמה שעות מצליחים, ואז כשאתם משפרים את הקוד שוב ושוב הוא נהיה כל כך פשוט, שלא ברור למה לא הצלחתם מיד?
זה מה שקרה לי כשנרתמתי לענות על השאלה ששאל DoRuSH כאן.

נתחיל בבקשה, רישום של שעות התחברות והתנתקות למערכת בקובץ.
אם זה היה רק התחברות, הייתי משתמש בתיקיה הפעלה/startup שנמצאת בתפריט תוכניות שבהתחל. כך בפשטות, בלי לערב את הרג'יסטרי. אבל מייד כשראיתי שהוא רוצה גם התנתקות, הבנתי שנצטרך להשתמש ב-group policy, או ליתר דיוק ב-local group policy.

אה, סוף סוף קצת חופש.
סיימתי עבודה, ועדיין לא התחלתי עבודה חדשה (כן, אני מחפש עבודה בתחום התכנות ו/או אבטחת/ניהול רשתות של מיקרוסופט), אז בינתיים אני חוגג :) והתוצאות בשטח! כלי שני יוצא לאור.

טוב, אז המדובר בתוכנה שכתובה בשפת C (למרות שהיא משתמשת בפיצ'רים של C++ מה שמחייב להדר אותה כך, אבל הפונקציות והסגנון הם C). התוכנה מותאמת לווינדוס, אבל ניתן בקלות לשנות אותה כך שתתאים גם ללינוקס.
לפני ההידור תצטרכו לשלוח את המהדר לספריה wsock. ב-dev-c++ תעשו זאת כך:

אם יש ראוטר בדרך, אל תשכחו לבצע הפניית פורטים (forward).

סוף סוף המאמץ הוכתר בהצלחה. והפונקציה explode שכתבתי עובדת גם ב-borland C (הישן) ו[בעיקר]גם ב-++dev C.

ותיקי קוראי הבלוג, ודאי זוכרים את הפוסט שעסק בבעיית היישור עם CSS.
ב-CSS ניתן ליישר לימין(Right), שמאל (Left), ולצדדים (Justify), אבל לא למרכז.
בלית ברירה, יישרתי את הבלוג באמצעות קוד JS. לאחר זמן שדרגתי את הקוד ועד עכשיו הבלוג משתמש בשדרוג הזה...
בבניית המערכת הזו הצטרכתי למרכז את תמונת הלוגו. ואופס, מצאתי פתרון שמבוסס נטו CSS!

היה לי קצת זמן, אז עברתי על כל הקוד של הבלוג (חוץ מהתוספים שבקישורים מיוחדים) שדרש תיקונים קטנים.

הפוסט הזה מתאר איך שרפתי ערב שלם בנסיון להוסיף טקסט ללוגו, והוא מסכם את האפשרויות השונות. אציין שהניסויים בוצעו על הדפדפנים IE7 ו-FF3.0.7 ותמונת הלוגו הינה פורמט jpg.

כשבאתי לעמד את הבלוג, היו לי שני אפשרויות. או לעמד באמצעות טבלה, שזה מה שרובם עושים. או לעמד עם תגיות div, שזה יותר נכון.
הבלוג עצמו, הוא ברוחב של 800px, כשרציתי שהוא ימורכז לאמצע המסך, גיליתי שאין אפשרות, ואני יפרט.

לאחרונה אני בבניית אתרים, אז הנה שתיים מתוך הפונקציות שיצא לי לבנות, ואני חושב שהם שימושיות עבור כל בונה אתרים:

היה לי קצת זמן, אז עברתי על כל הקוד של הבלוג (חוץ מהתוספים שבקישורים מיוחדים) שדרש תיקונים קטנים.

הפוסט הזה מתאר איך שרפתי ערב שלם בנסיון להוסיף טקסט ללוגו, והוא מסכם את האפשרויות השונות. אציין שהניסויים בוצעו על הדפדפנים IE7 ו-FF3.0.7 ותמונת הלוגו הינה פורמט jpg.

ב-javascript manipulation משנים את ה-DOM של דף האינטרנט באמצעות קוד JavaScript שמכניסים משורת הכתובת שבדפדפן.
גילוי דעת: נושא זה שייך לתחום האקינג / חקר מערכות. הנושא והדוגמאות המפורטות מיועדות ללמידה וידע בלבד. כל פעולה שנוגדת את החוק, הינה באחריות העבריין בלבד.

כשבאתי לעמד את הבלוג, היו לי שני אפשרויות. או לעמד באמצעות טבלה, שזה מה שרובם עושים. או לעמד עם תגיות div, שזה יותר נכון.
הבלוג עצמו, הוא ברוחב של 800px, כשרציתי שהוא ימורכז לאמצע המסך, גיליתי שאין אפשרות, ואני יפרט.

לאיזו מערכת הייתי צריך לבנות פונקציית כח-גס (brute force) שתחזיר מערך עם כל האפשרויות מהתווים שהיא מקבלת באורכים המבוקשים.
כיוון שהאורך לא ידוע, השיטה המקובלת לבנות כזו פונקציה היא באמצעות שימוש בנסיגה (ממ.. רקורסיה. הידע שלי על רקורסיה מסתכם בפרק שקראתי לפני 8 שנים ללא שום ותק במימוש.

לאחרונה אני בבניית אתרים, אז הנה שתיים מתוך הפונקציות שיצא לי לבנות, ואני חושב שהם שימושיות עבור כל בונה אתרים:

היו לי כמה דקות (ככה זה התחיל, זה המשיך קצת יותר זמן) פנויות, אז התחלתי לפתח שאלל קטן. בינתיים הוא מאפשר לנהל את הקבצים שבשרת עליו הוא נמצא (עם המגבלות הסטנדרטיות, הוא לא עוקף עדיין כלום).

פעמים רבות רוצים להתחבר למחשב מרוחק, אם באופן קבוע (מהמחשב הביתי למחשב שבעבודה), אם באופן חד פעמי.
כדי להתחבר ממחשב אחד לשני, צריכים את הכתובת IP של המחשב שאליו אנו רוצים לגשת.
אם יש לנו שרת, או שאנחנו מחליטים להיות לארג'ים, נקנה IP סטטי (קבוע). אבל פעמים רבות, נשתמש ב-IP זמני.
הבעיה היא, שאם אין לנו IP סטטי, כעבור כמה שעות (כן, לא רק אם מתנתקים ומתחברים) אנחנו עלולים לגלות שהכתובת השתנתה ואין לנו איך להתחבר. או במקרה גרוע יותר, אנחנו עלולים ליפול להונאת פישינג.

הפונקציה מהפוסט הקודם (file_post_contents) עברה שדרוג, קבלו את המוצר המוגמר.

הפונקציה site מקבלת 3 פרמטרים.
site - כתובת האתר - חובה
get - שדות לשליחה ב-GET - אפשרי
post - שדות לשליחה ב-POST - אפשרי

מזמן חשבתי על זה, שכמו שקיימות כמה וכמה פונקציות שמאפשרות לקרוא דף אינטרנט וכמובן אפשר לשלוח לדף פרמטרים בשיטת GET, צריכה להיות פונקציה שתאפשר לשלוח פרמטרים בשיטת POST.

הפעם אדגים כמה קטעים מקוד של העמוד "המרת מחרוזות" שבקטגוריה "קישורים מיוחדים", שבו השתמשתי בשתי פונקציות שמאפשרות לקצר את הקוד.

אני צועד די הרבה, וגם הולך לישון די הרבה. מה שאומר שאני צורך פודקאסטים די כבד... בשוטף לא קשה להוריד את הפודקאסט (יש גם לזה תוכנות, רק שעדיין לא התעסקתי עם זה), אבל כשמכירים פודקאסט חדש ורוצים להוריד אחורנית את כל הקבצים שלו, זה ממש מעצבן לעבור אחד אחד.
בקיצור, כתבתי סקריפט שעושה את זה. השתמשתי בפייתון למרות שניתן כנראה גם ב-bash...

אפרופו פודקאסטים, לאלו אני מקשיב? (מוזמנים להמליץ בתגובות!)

משתמש בשם DiGMi פרסם לפני תקופה ארוכה פאקר לשאלל קודים, החלטתי לשפר אותו.

אתם יכולים לראות פוסט זה כהמשך לפוסט שכתב גיא מזרחי.
כשראיתי שם את בתגובות את ההצעות לשיפור, החלטתי לפתח את הכלי, ועכשיו לאחר המון זמן שראיתי שאני לא נוגע בכלי (תיכננתי להוסיף לו עוד פיצ'רים) אני מפרסם אותו למקרה ומישהו מעוניין בו לשימוש ו/או פיתוח.

היה לי קצת זמן, אז עברתי על כל הקוד של הבלוג (חוץ מהתוספים שבקישורים מיוחדים) שדרש תיקונים קטנים.

פעמים רבות רוצים להתחבר למחשב מרוחק, אם באופן קבוע (מהמחשב הביתי למחשב שבעבודה), אם באופן חד פעמי.
כדי להתחבר ממחשב אחד לשני, צריכים את הכתובת IP של המחשב שאליו אנו רוצים לגשת.
אם יש לנו שרת, או שאנחנו מחליטים להיות לארג'ים, נקנה IP סטטי (קבוע). אבל פעמים רבות, נשתמש ב-IP זמני.
הבעיה היא, שאם אין לנו IP סטטי, כעבור כמה שעות (כן, לא רק אם מתנתקים ומתחברים) אנחנו עלולים לגלות שהכתובת השתנתה ואין לנו איך להתחבר. או במקרה גרוע יותר, אנחנו עלולים ליפול להונאת פישינג.

בונוס לקוראי הבלוג:
למי שאין חשבון בגוגל+, שיכתוב את המייל ואשלח לו הזמנה.

כן, אתחיל בזה, תודה לחבר נאמן שקפץ לבלוג שלי בדיוק כשהוא היה בדיפייס, קיבלתי מייל ושינסתי מיד מותניים.

אז אתמול התקינו לי בבית קו טלפון של 012, ואני ממש לא מרוצה :P יש המון סיבות, ואני אפרט.
1. מדובר ב-VOIP על התשתית של בזק. VOIP דורש חשמל. אין חשמל -> אין טלפון (כן, יש לנו עדיין מכשיר בודד שלא דורש חיבור למקור חשמל חיצוני).
2. הראוטר שמובנה במכשיר הוא קצוץ כנפיים. אין אפשרות להגדיר IP קבוע למכונות ברשת. אין אפשרות להגדיר DNS. אין אפשרות לשנות סאבנט. אין אפשרות לראות/לשלוט בטבלת DHCP, כל זה ממבט ראשוני.
3. אה, בכלל לא נותנים משתמש, הייתי צריך מערכת שיחות טלפוניות עם הנציגים בשביל שמישהו ייתן לי משתמש.
4. אין אפשרות לבטל התחברות מרחוק לראוטר.

טוב, אתחיל בזה שפתחתי חשבון בגוגל קוד (קרי: התחלתי להשתמש בו), בסיום הפוסט אוסיף לינק בדף הבית... התחלתי בלשון עבר, מאז כבר כתבתי (עם ***** מופיע בפרויקט כתובת המייל שלך אז לא הבאתי את שמך) והעליתי אליו פרויקט (scapy arm mitm) לא יצא לי לצערי לעדכן :(

החלק השמח, זה שעכשיו העליתי עוד פרויקט :P הנקרא HTML5Dump, תפקידו בחיים: לעזור ב-exploit גלובלי ל-XSS, והנה ההסבר.

אני לא משקיע כאן מספיק :( אז לפחות פוסטים קצרים :)

כולם יודעים בדפדפן איך להגדיר אותו שיעבור דרך פרוקסי. לא כולם יודעים איך להגדיר אפליקציות ג'אווה שיעברו דרך פרוקסי. לעיתים אפליקציות ג'אווה ירוצו לנו ישירות מתוך הדפדפן ולא נבין למה חלק מהבקשות של הדפדפן לא מגיעות לפרוקסי, לפעמים זו תהיה אפליקציית ג'אווה שתרוץ לחוד.

סוף סוף סוף.

לא, לא שאני כותב סוף סוף פוסט, למרות שגם על זה מגיע סוף-סוף... האתר פה צריך לעבור שדרוג רציני, בהזדמנות.

סוף סוף טיפלתי במקלדת המיקרוסופטית שלי, וכעת היא מפוצ'רת כמו מקלדות של לנובו. והנה ההסבר המלא, כולל מדריך step by step.

רן לוי, בעל הפודקאסט המצויין עושים היסטוריה מביא מדי שלושה שבועות פרק מעניין. בפרק האחרון הוא משווה בין חיידקים שהם טפילים ביולוגיים, לבין תולעים ווירוסי מחשב. הוא מנסה להסיק מסקנות מאחד על השני, ומקווה שייצא מזה משהו מועיל, או לפחות מעניין. אחת השאלות שהוא מעלה בפודקאסט היא, האם נראה גם בתולעי מחשב סימביוזה. מה זה? הנה ההסבר:

בימים האחרונים קיבלתי מכשיר Galaxy מהעבודה. עד היום היה לי רק מכשיר כשר (אין אינטרנט, אין SMS, אין אפשרות להורדת תמונות / שירים / רינגטונים, אין אפליקציות. יש מכשירים שנפרצו, לא התעסקתי עם שלי כי זה ממש לא עניין אותי. ולמי שנבהל, אז בשביל העבודה מותר להחזיר מכשיר לא כשר), עכשיו אני מצטעצע עם המכשיר החדש ולומד אותו.

העליתי שרת Windows Server 2008 לאמזון, העלאה עצמה לקחה המון זמן ודרשה טיפה משחקים, שזה נושא לפוסט נוסף.
אחרי ההעלאה, באתי להתחבר לשרת, ומתברר שלהבדיל מ-Vsphire של VMware, אין באמזון קונסול. טוב, אם אי אפשר להתחבר רגיל, אנסה ב-RDP. אממה, בדיפולט RDP כבוי :(

משחקים פה ושם, הגעתי להפעלת RDP באמצעות remote registry. משהו חמוד שהכרתי, אבל לא ידעתי שהוא פתוח בדיפולט !!!

העליתי שרת Windows Server 2008 לאמזון, העלאה עצמה לקחה המון זמן ודרשה טיפה משחקים, שזה נושא לפוסט נוסף.
אחרי ההעלאה, באתי להתחבר לשרת, ומתברר שלהבדיל מ-Vsphire של VMware, אין באמזון קונסול. טוב, אם אי אפשר להתחבר רגיל, אנסה ב-RDP. אממה, בדיפולט RDP כבוי :(

משחקים פה ושם, הגעתי להפעלת RDP באמצעות remote registry. משהו חמוד שהכרתי, אבל לא ידעתי שהוא פתוח בדיפולט !!!

פנה אלי חבר בבקשת עזרה.

החברה שבה הוא עובד, שולחת דו"חות כל חודש במייל. כדי לקבל אינדיקציה, החברה שולחת רק לינק לדו"ח שמונח על שרתי החברה, וכך היא יודעת אם הדו"ח הורד ונקרא. חלק מהלקוחות משתמשים ב-gmail (וחלקם מעבירים הלאה ללקוחות משנה למיילים ב-gmail), הבעיה עם internet explorer, שכשלוחצים על הלינק מועברים לדף שמכיל למעלה מלבן שנחסמה הורדת קובץ, ואז כשמאשרים את ההורדה, gmail כבר לא מאפשר להוריד...

אנשים פעמים רבות משלמים אחד עבור השני (יש לך פייפל? תשלם לי על X), והכי נפוץ זה תשלום של כל אחד על עצמו.

אולם, חשוב לשים לב, שבמרבית המקומות פרטי הכרטיס נשמרים ! הדבר עלול להוות מטרד במקרה ומישהו אחר מחייב אותנו בלא תשומת לב (בהנחה והוא יחזיר זאת אח"כ), ונזק רציני במקרה והחשבון ייפרץ.

אני לא משקיע כאן מספיק :( אז לפחות פוסטים קצרים :)

כולם יודעים בדפדפן איך להגדיר אותו שיעבור דרך פרוקסי. לא כולם יודעים איך להגדיר אפליקציות ג'אווה שיעברו דרך פרוקסי. לעיתים אפליקציות ג'אווה ירוצו לנו ישירות מתוך הדפדפן ולא נבין למה חלק מהבקשות של הדפדפן לא מגיעות לפרוקסי, לפעמים זו תהיה אפליקציית ג'אווה שתרוץ לחוד.

מזמן לא כתבתי פוסט, יש כמה פוסטים שמחכים להיכתב חלקים חצי מוכנים, מקווה לפנות לזה יותר זמן. בינתיים פוסט קצרצר.

בגוגל כרום, כידוע, יש הגנה נגד reflected xss. זה מאוד נחמד כמוצר הגנה (וכמובן מפעם לפעם מתפרסמים bypassים...) אבל ממש מציק בבדיקות אבטחה (Penetration testing). למרות שאת הפלט עוד ניתן לראות בפרוקסי, תצלומסך לדו"ח של alert עם עוגיות זה חוסם.

העליתי שרת Windows Server 2008 לאמזון, העלאה עצמה לקחה המון זמן ודרשה טיפה משחקים, שזה נושא לפוסט נוסף.
אחרי ההעלאה, באתי להתחבר לשרת, ומתברר שלהבדיל מ-Vsphire של VMware, אין באמזון קונסול. טוב, אם אי אפשר להתחבר רגיל, אנסה ב-RDP. אממה, בדיפולט RDP כבוי :(

משחקים פה ושם, הגעתי להפעלת RDP באמצעות remote registry. משהו חמוד שהכרתי, אבל לא ידעתי שהוא פתוח בדיפולט !!!

cPanel מנווט את הבקשות המגיעות לשרת לפי הדומיין לחשבון המתאים. כמובן שעל בעל החשבון להצהיר שהדומיין שייך לו. כדי לוודא שהדומיין אכן שייך לו, מציע cPanel 2 אפשרויות:
1. להפנות את ה-DNS של הדומיין לשרת ה-DNS של האחסון.
2. ליצור על הדומיין קובץ בעל שם רנדומלי שנקבע ע"י cPanel והוא ייחודי פר משתמש.

כן, אתחיל בזה, תודה לחבר נאמן שקפץ לבלוג שלי בדיוק כשהוא היה בדיפייס, קיבלתי מייל ושינסתי מיד מותניים.

אני חרדי, בישיבות במגזר שלי מקפידים שבחורים לא יוציאו רישיון נהיגה (הדרת בחורים XD). אבל איך יודעים אם בחור הוציא רישיון? אז יש 2 אפשרויות:
1. איש צוות רואה את הבחור נוהג מולו ברחוב. אם אין לו רישיון, זה יותר גרוע...
2. בודקים במשרד התחבורה במערכת לבדיקת צורך בחידוש רישיון.

אתמול בחצות רציתי לבדוק משהו בחשבון הבנק. גלשתי לאתר, הכנסתי פרטי לוגין ו... עפתי החוצה, לאחר מספר מעצבן של ניסיונות הבנתי שהסיסמה נכונה (אלא מה?) רק שמישהו מעיף אותי החוצה (קיים שינוי התנהגותי בין הסיסמה הנכונה לסתם סיסמה אחרת). אז חוץ מהגילוי שאין הגנה מ-BF שכשזה מצטרף לאורך סיסמה מוגבל זה קצת מטריד, ניסיתי להבין למה לא נותנים לי להיכנס.

טוב, אתחיל בזה שפתחתי חשבון בגוגל קוד (קרי: התחלתי להשתמש בו), בסיום הפוסט אוסיף לינק בדף הבית... התחלתי בלשון עבר, מאז כבר כתבתי (עם ***** מופיע בפרויקט כתובת המייל שלך אז לא הבאתי את שמך) והעליתי אליו פרויקט (scapy arm mitm) לא יצא לי לצערי לעדכן :(

החלק השמח, זה שעכשיו העליתי עוד פרויקט :P הנקרא HTML5Dump, תפקידו בחיים: לעזור ב-exploit גלובלי ל-XSS, והנה ההסבר.

אז אתמול התקינו לי בבית קו טלפון של 012, ואני ממש לא מרוצה :P יש המון סיבות, ואני אפרט.
1. מדובר ב-VOIP על התשתית של בזק. VOIP דורש חשמל. אין חשמל -> אין טלפון (כן, יש לנו עדיין מכשיר בודד שלא דורש חיבור למקור חשמל חיצוני).
2. הראוטר שמובנה במכשיר הוא קצוץ כנפיים. אין אפשרות להגדיר IP קבוע למכונות ברשת. אין אפשרות להגדיר DNS. אין אפשרות לשנות סאבנט. אין אפשרות לראות/לשלוט בטבלת DHCP, כל זה ממבט ראשוני.
3. אה, בכלל לא נותנים משתמש, הייתי צריך מערכת שיחות טלפוניות עם הנציגים בשביל שמישהו ייתן לי משתמש.
4. אין אפשרות לבטל התחברות מרחוק לראוטר.

אנשים פעמים רבות משלמים אחד עבור השני (יש לך פייפל? תשלם לי על X), והכי נפוץ זה תשלום של כל אחד על עצמו.

אולם, חשוב לשים לב, שבמרבית המקומות פרטי הכרטיס נשמרים ! הדבר עלול להוות מטרד במקרה ומישהו אחר מחייב אותנו בלא תשומת לב (בהנחה והוא יחזיר זאת אח"כ), ונזק רציני במקרה והחשבון ייפרץ.

בימים האחרונים קיבלתי מכשיר Galaxy מהעבודה. עד היום היה לי רק מכשיר כשר (אין אינטרנט, אין SMS, אין אפשרות להורדת תמונות / שירים / רינגטונים, אין אפליקציות. יש מכשירים שנפרצו, לא התעסקתי עם שלי כי זה ממש לא עניין אותי. ולמי שנבהל, אז בשביל העבודה מותר להחזיר מכשיר לא כשר), עכשיו אני מצטעצע עם המכשיר החדש ולומד אותו.

לפני מספר ימים פתאום הוצפתי בהודעות מהבלוג שלי.
בהתחלה חשבתי שזה מהמערכת feedback שהתחלתי להטמיע באתר, שכמו בתגובות לא דורש קאפצ'ה (יש פשוט חסימה אחרי X פעמים), אבל לאחר בדיקה גיליתי שזה מה-צור קשר:
http://sro.co.il/blog/?include=mail

לאיזו מערכת הייתי צריך לבנות פונקציית כח-גס (brute force) שתחזיר מערך עם כל האפשרויות מהתווים שהיא מקבלת באורכים המבוקשים.
כיוון שהאורך לא ידוע, השיטה המקובלת לבנות כזו פונקציה היא באמצעות שימוש בנסיגה (ממ.. רקורסיה. הידע שלי על רקורסיה מסתכם בפרק שקראתי לפני 8 שנים ללא שום ותק במימוש.

מי ששדרג את המסן, ודאי הספיק לכעוס על ההגנה שאנשי מיקרוסופט דחפו לתוכה. לכל קישור מתווספת תחילית של http://link.live.net ומשם מועברים ל"מסך-חכם" הבא:
http://link.smartscreen.live.com

לאחרונה יוצא לי להתעסק עם בנקים...

זה כל כך מגניב, שלמרות שהפוסט האחרון (float:center הסוף המוצלח) פורסם לפני כיומיים, אני כותב עוד פוסט.

הכל מתחיל בחיפוש של גוגל יותר מזל משכל.
ציטוט מגוגל:
כפתור "יותר מזל משכל" לוקח אותך אוטומאטית ישירות לעמוד האינטרנט הראשון שהוחזר כתוצאה מהשאילתא שלך. את שאר התוצאות לא תראה כלל. חיפוש "יותר מזל משכל" אומר פחות זמן בחיפוש אתרי אינטרנט ויותר זמן צפייה בהם.

הסטוריה
רביעי ליולי 1996 - הושק מסחרית השירות hotmail.com שירות מיילים חינמי.
ב-1997 רכשה אותו מיקרוסופט, והפכה אותו למספר 2 (אחרי יאהו!).
מתישהו לאחר מכן פתחה מיקרוסופט את שירות המיילים hotmail.co.il
מיקרוסופט פתחה שירות מיילים חינמית בדומיין hotmail.com
לאחר מכן הם התחרטו, והורו למשתמשים לפתוח חשבון חדש בדומיין hotmail.com. בינואר 2008 שירות המיילים בדומיין hotmail.co.il הסתיים.

הצצתי באשכול הזה וגיליתי של-GIF יש תוכנה מגניבה, היא גורמת לקובץ EXE לשנות סיומת לכל סיומת שרוצים ותמונה של מה שרוצים והוא רץ כ-EXE! כמובן שמיד ביקשתי ממנו אותה בפרטי ומכיוון שאנחנו ידידים ותיקים, הוא שלח לי. מיד הרצתי את התוכנה, ו...נדהמתי. התוכנה עובדת !

היו לי כמה דקות (ככה זה התחיל, זה המשיך קצת יותר זמן) פנויות, אז התחלתי לפתח שאלל קטן. בינתיים הוא מאפשר לנהל את הקבצים שבשרת עליו הוא נמצא (עם המגבלות הסטנדרטיות, הוא לא עוקף עדיין כלום).

אתם יכולים לראות פוסט זה כהמשך לפוסט שכתב גיא מזרחי.
כשראיתי שם את בתגובות את ההצעות לשיפור, החלטתי לפתח את הכלי, ועכשיו לאחר המון זמן שראיתי שאני לא נוגע בכלי (תיכננתי להוסיף לו עוד פיצ'רים) אני מפרסם אותו למקרה ומישהו מעוניין בו לשימוש ו/או פיתוח.

בסופו של דבר, רק קאפצ'ה יכולה להוכיח אם מדובר באדם או במכונה, אבל האם צריך תמיד להשתמש בה?
לא.

הגעתי לכל הרעיון מפוסט על האנטי ספאם המוצלח ביותר לוורדפרס. ואז חשבתי לעצמי, מהי הדרך שבה התוסף מזהה הודעות ספאם? או לחילופין, איך אוכל לבטל את הקאפצ'ה בבלוג שלי.

כשאנחנו כותבים בפורומים / בלוגים, מקובל לחשוב שרק למנהל/ים יש הרשאות לראות את כתובת האינטרנט (IP) שלנו.
אז זהו, שלא.

ברשת, כשרוצים לגשת למחשב אחר, הנתיב מתחיל בשני סלאשים, שם המחשב, סלאש, שם השיתוף.
כדי שנוכל לגשת למשאבים שנמצאים על הארד-דיסקים של מחשבים אחרים, ווינדוס יוצרת שיתוף אוטומטי לכל HD. שם השיתוף הוא אות הכונן ואחריו דולר. כמובן שנצטרך לבצע כניסה (log-on) למחשב/דומיין המארח.

כאן משום מה, ווינדוס לא דורשת בברירת מחדל שיהיה לחשבון שאיתו אתם נכנסים סיסמה!

ב-javascript manipulation משנים את ה-DOM של דף האינטרנט באמצעות קוד JavaScript שמכניסים משורת הכתובת שבדפדפן.
גילוי דעת: נושא זה שייך לתחום האקינג / חקר מערכות. הנושא והדוגמאות המפורטות מיועדות ללמידה וידע בלבד. כל פעולה שנוגדת את החוק, הינה באחריות העבריין בלבד.

אנשים פעמים רבות משלמים אחד עבור השני (יש לך פייפל? תשלם לי על X), והכי נפוץ זה תשלום של כל אחד על עצמו.

אולם, חשוב לשים לב, שבמרבית המקומות פרטי הכרטיס נשמרים ! הדבר עלול להוות מטרד במקרה ומישהו אחר מחייב אותנו בלא תשומת לב (בהנחה והוא יחזיר זאת אח"כ), ונזק רציני במקרה והחשבון ייפרץ.

לפני מספר ימים פתאום הוצפתי בהודעות מהבלוג שלי.
בהתחלה חשבתי שזה מהמערכת feedback שהתחלתי להטמיע באתר, שכמו בתגובות לא דורש קאפצ'ה (יש פשוט חסימה אחרי X פעמים), אבל לאחר בדיקה גיליתי שזה מה-צור קשר:
http://sro.co.il/blog/?include=mail

כן כן, לאחר כמעט שנה מתחדשים לכתובת החדשה:
http://sro.co.il
http://rss.sro.co.il
http://m.sro.co.il

עברתי כתובת!!!
הכתובת החדשה של הבלוג היא (הביטו על הסיומת): sroblog.tk
עדכנו את קוראי ה-rss לכתובת החדשה: rss.sroblog.tk
עוד פרט קטן, מהיום תקבלו ב-rss את כל הפוסט, ולא רק תקציר.

היה לי קצת זמן, אז עברתי על כל הקוד של הבלוג (חוץ מהתוספים שבקישורים מיוחדים) שדרש תיקונים קטנים.

ברוכים הבאים לבלוג האישי שלי.
חיפשתי משהו לבנות בשפת PHP בשביל להתאמן, והחלטתי לבנות בלוג.
הסיבה שהעדפתי בלוג על פני דברים אחרים, היא שבאמצעותו אוכל לפרסם קודים שאני כותב, מאמרים, או סתם דברים אישיים.

שולחן העבודה שלכם מסודר אוטומטית (כל הקבצים בזה אחר זה בצורה רציפה), או שהקבצים מפוזרים בשטח המסך? אם הם מסודרים, הפסדתם. אם הם ממוקמים בחלקים שונים של המסך, ודאי יצא לכם לטייל עם החיצים של המקלדת בין הקבצים (בוחרים קובץ אחד, ואז משנים את הבחירה מקובץ אחד למשנהו עם החיצים). תוך מספר תזוזות ניתן לגלות שמשהו במערכת הזאת ממש לא בסדר. אתם מקפצים מסמל לסמל ללא סדר ברור.