תגובות לפוסט: שירות סינון פורנו? זה מה שהוא שווה

מאת: דוד

דוד — Thu, 31 Mar 2022 14:45:22 +0000

השנה 2022 והאפליקציה חזרה לחנות Google play מה שאומר שפרצות האבטחה סודרו?

מאת: יאיר

יאיר — Sat, 20 Mar 2021 19:18:58 +0000

השנה 2021 וגוגל החליטה להסיר את אפליקציית נטספארק מחנות Google play.
לבצע חסימה חסרת תקדים של האפליקציה בכל מכשירי אנדרואיד בעזרת Play protect ולחסום את אתר האינטרנט שלהם.

כנראה שבסהכ צדקת.

מאת: ישי

ישי — Sun, 21 Apr 2019 13:13:26 +0000

רן, בנוגע לאבטחה של התוכנת נטספארק(הפרצה בהורדת התוכנה)
ניסיתי להתעסק קצת עם הקובץ, האתר בודק לאחר ההתקנה את הגרסה של התוכנה
אם נעשו בקובץ שינויים ברוב המקרים בחשבון הניהול יהיה סמל האפליקציה לצד המילה מקור(זאת גם בעיה שלא מזהירים מזה)
פשוט לא חושב שניסית לבדוק את התוכנה מבפנים אז רציתי להעיר,

מבחינת סינון תכנים פורנוגרפיים היא יותר יעילה מרוב הסינונים הקיימים למרות שכמו בכל דבר גם היא לא מושלמת,מבחינת קושי גם לא קשה לעקוף אותה, יש מספר הגדרות שהם עדיין לא הגנו עליהן שמאפשרות השבתה של התוכנה +התוכנה מנסה לחסום כל חיבור vpn או proxy הקיימים מלבד שלהם
אבל המגוון (ביחוד באנדרואיד) עצום כך שיש הרבה שעדיין פתוחים וכל דפדפן בעל אופצייה לפרוקסי יכול לעקוף בקלות את נטספארק או רימון,
בנוסף התקנת תוכנה היוצרת vpn מקומי יכולה להשבית את הסינון
בקיצור לא חסר להם על מה לעבוד

מאת: רן בר-זיק

רן בר-זיק — Sat, 08 Dec 2018 09:06:01 +0000

בתגובה על גולש.

כדאי שאבהיר משהו – ברמת המכשיר הסינון עובד נקודה. אבל אי אפשר לאכוף סינון ברמת מכשיר על מדינה שלמה ואף מדינה, חוץ מצפון קוריאה, עוד לא ניסתה את זה. אולי זה אפשרי בתיאוריה, אבל זה יעלה כל כך הרבה ויביא לכל כך הרבה נזק שזה ממש תיאורטי. כמובן שכל אחד יכול להתקין לעצמו תוכנה או root CA כדי להפוך את הסינון לולידי וזה מה שקורה היום ברימון/אתרוג/ווטאבר.
בנוגע לסינון הבריטי משתנה מספקית לספקית וחשוב לציין שהוא וולנטרי, לא על ידי המדינה. כל שירותי הסינון הבריטיים הוולונטריים הם ברמת ה-DNS. אין DPI ברמה כללית במדינה אחרת הייטק לא היה שם. בנוגע ל"מחקר" על סינון התכנים – יש לא מעט מחקרים אחרים שמראים ההיפך ומראים סינון יתר מסוכן.
בנוגע לזיר"ה -. מה שהוביל לירידה דרמטית בפירטיות הן לא החסימות המגוחכות אלא עלייה בכמות שירותי הסטרימינג החוקיים ופעולה חוקית בבית המשפט של זיר"ה כנגד המפרים. אתר סדרות עדיין באוויר אגב. למרות החסימות המגוחכות. מה שמראה שחסימות הן אף פעם לא הפתרון.
DNS Over HTTPS הוא כבר עובדה קיימת בגרסה החדשה של אנדרואיד וכל משתמש (אנדרואיד או אפל) יכול להשתמש בו באמצעות intra: https://internet-israel.com/?p=8291 זה לא משהו תיאורטי שיקרה בעתיד, זה קורה עכשיו.
ולבסוף, אם כבר אתה רוצה להסתכל על מדינות שיש בהן סינון: תסתכל על רוסיה (אומה של מהנדסים סופר מוכשרים) או סין (מיליארד וחצי איש) ותגיד לי כמה מרכזי פיתוח יש שם. בהשוואה להודו למשל, או רומניה/אוקראינה. תשתית האינטרנט היא קריטית לתעשית הייצוא שלנו שמחזיקה 60 אחוז מהייצוא. אתה חושב שזה רעיון טוב לשחק איתה? לישראל אין אוצרות טבע כמו רוסיה או כוח אדם כמו סין. אנחנו באמת רוצים לעשות ניסויים בתשתית הקריטית של הענף הכי חשוב פה רק כי יש הורים שמתעצלים להשקיע עשרים דקות בהפעלה של שירותי סינון שבאמת עובדים? זה מגוחך.

מאת: גולש

גולש — Fri, 07 Dec 2018 18:05:42 +0000

הבעיה בפוסט שלך שהוא מגמתי. אתה בעצם מחלק את שיטות הסינון לשתיים: אלה שלא עובדות ואלה שעובדות. לגבי אלה שלא עובדות אתה מפרט טכנית מדוע הן לא עובדות, ואת אלה שכן עובדות אתה פוטר בקצרה כ-"לא מקובלות" או "מסוכנות". האמת היא כמובן שיש שיטות בדוקות שעובדות הן במדינות מסוימות (סין, איראן) והן ברשתות ארגוניות והן אינספור שירותי סינון ברמת המכשיר או הספק שקיימים בכל מדינות המערב, חלקם בעידוד ממשלתי. אין פה שום "המצאה של הגלגל". בבריטניה כבר 5 שנים ישנו "סינון ברירת מחדל" ברמת הספק, ובגדול זה עובד, מחקר שנערך הראה שהסינון מצליח לחסום 65%-95% מהתכנים ה-"לא ראויים". איכשהו, לא נראה שהמהלך הזה הבריח מבריטניה את חברות ההייטק. החסימה הבריטית מבוססת על DNS hijacking, חסימות IP ו-DPI.

אנחנו למשל רואים כיצד חסימות DNS פשוטות ע"י זיר"ה הצליחו לחסל אתרי הורדות פיראטיות רבים ולהקטין במידה ניכרת את הטראפיק של אחרים. זאת עובדה. רוב האנשים לא יודעים להחליף שרת DNS, הם אפילו לא מבינים שהם צריכים לעשות זאת. אז מבחינת יוזמי החוק, אם החוק יפחית צריכת פורנו ב-20% זו הצלחה. ואין ספק ש��סימות DNS יתנו הפחתה כזאת, אם לא למעלה מכך. אם בעתיד DNS-Over-HTTPS יהפוך לנורמה בדפדפנים, זה עשוי להוות אתגר לחסימות DNS, אבל אנחנו לא שם כרגע.

אני בדומה אליך מתנגד בנחרצות לכל צנזורה על האינטרנט ואשמח אם החוק המוצע יפול, אבל אני גם מתנגד לדיון ציבורי שמבוסס על דיסאינפורמציה. המציאות הטכנולוגית כרגע היא שאפשר לחסום במידה רבה פורנוגרפיה ברמת ספק האינטרנט מבלי "לשבור את האינטרנט" או "להבריח את חברות ההייטק".

מאת: רן בר-זיק

רן בר-זיק — Wed, 07 Nov 2018 08:10:52 +0000

בתגובה על מור.

deep packet inspection – גיגול פשוט יתן לך את כל התשובות 🙂

מאת: רן בר-זיק

רן בר-זיק — Wed, 07 Nov 2018 08:10:18 +0000

בתגובה על אלון ר.

תחפש מידע על ׳רוסיה׳ ו׳ניסיון חסימת טלגרם׳. בגדול – חלק מהאתרים ״האסורים״ משתמשים בקלאודפלייר ובאמזון ובעננים של גוגל/מיקרוסופט וכו׳. אין להם IP קבוע. אתה חוסם אותם – אתה עלול לחסום גם חצי מהשירותים שנמצאים על הענן. זה בדיוק מה שקרה לרוסיה.
תחשוב מה קורה למרכזי פיתוח עם אמזון נחסמים בטעות – הם מושבתים. וזו תעשיה של חצי מהייצוא שלנו.

מאת: רן בר-זיק

רן בר-זיק — Wed, 07 Nov 2018 08:08:16 +0000

בתגובה על רן בר-זיק.

אני מצטער – אבל תצטרך שלא להסכים.
בנוגע לפרצות שיש להם… אני חושב שטענה ששימוש בגרסת php כזו היא בטוחה רק כי ״לא פרצו אלינו״ היא לא רצינית. זה כמו לטעון שהבניין בטוח מפני שריפות כי ׳הוא לא נשרף׳. צריך לחכות לאירוע? פריצה אליהם לא תניב רווח כספי. אלא יכולה לאפשר לפורץ מחוכם להשפיע על התוכנות המאוחסנות באותו שרת ובכך לספק מאוויים שלא בטוח שאתה רוצה שיספק אותם. גם יש אפשרות שהתוכנות שלהם כבר הוחלפו בתוכנה עם ׳תוספת׳ ואנחנו פשוט עדיין לא יודעים.
בנוגע לשיטה שלהם – היא מקובלת *בארגונים* שיש להם שליטה מלאה על מחשבי העובדים. זו הסיבה שבמחשבים כאלו מומלץ שלא להתחבר לצרכים אישיים והם גם מזהירים באופן מאוד מפורש (או לפחות אמורים להזהיר) מפני שימוש אישי במחשבים שמנוטרים ככה.
ממש לא כל אפליקציה בנייד יכולה לנטר את התקשורת בינך לבין אתרים שמשתמשים ב HTTPS.
אני מאמין להם שהם לא שומרים אף מידע על הלקוח. אבל הם נותנים פתח משמעותי לתוקפים לעשות את זה.

מאת: משה

משה — Wed, 07 Nov 2018 05:31:00 +0000

בתגובה על רן בר-זיק.

אפנה אותם לבקשה שלך לשנות את הגרסה למרות שלא בדיוק הבנתי מה זה מוכיח (אם אתה מסכים שזה מאוד קל) אבל אתה יודע הם לא עובדים אצלי…
בכל מקרה לא שכנעת אותי שקל לפרוץ אליהם כפי שכתבת. זה כאילו שמישהו מפרסם שיש כספומט ברחוב שכל מי שלוחץ על הסיפרה 0 מקבל 100 ש"ח אבל גם אחרי חודש מהפרסום אף אחד מעולם לא עשה את זה… כנראה שזה לא ממש קל ואולי אפילו לא אפשרי.

לגבי הסיכונים המתחבאים בטכניקת סינון התעבורה המוצפנת שלהם, אני מבין מה אתה כותב אבל הם לא המציאו את השיטה היא מקובלת מאוד על ידי פתרונות הגנה לאירגונים ועל ידי חברות האנטי וירוס כך שזה בעיקר שאלה על מי אני כצרכן מסכים לסמוך.
הנתונים הכי פרטיים שלי כבר נמצאים בגוגל, בסמסונג ואולי באיזה יצרן רום בדרך. כל אפליקציה באנדרואיד שמשתמשת בנגישות חשופה לפרטי האשראי שלי ולמרבה הצער הדי.אנ.אי שלי נמצא בידי כמה רשויות במדינה וקופת החולים שלי כך שליפול דווקא עליהם שהם מצהירים שהם לא שומרים שום מידע עלי זה לא הגיוני בעיני.
זה אפילו אבסורדי אם תיקח בחשבון שהאפליקציה שלהם חוסמת את האינטרנט לרוב התעבורה הלא מזוהה ו"על הדרך" מקטינה מאוד את החשיפה שלי לשלל מתקפות וסיכונים (וזה גם נכון לגבי כלקוח רימון בבית – מאז שהצטרפתי אליהם לפני כ7 שנים לא היה מחשב אחד שנדבק בוירוס אצלי בבית ויש לי ברוך ה' ילדים "פעילים" מאוד באינטרנט) כך שבסיכום הכללי בחוויה שלי כלקוח הם משפרים את ההגנה על הפרטיות שלי.

לגבי ההמלצה שלך להזדכות על הסמרטפון ולחזור למכשיר טיפש כשיש לי פיתרון שמאפשר לי שימוש סביר באינטרנט בלי להתפשר על הערכים שלי (ובין השאר לקרוא את האתר שלך) אני חושב שמיותר להגיב (המשנה במסכת אבות משבחת מי שיודע "להודות על האמת" ולחזור בו כשהוא אומר משהו לא נכון ומכנה אותו "חכם", מאידך גיסא, מי שלא עושה את זה אני מ��איר לך לבדוק איך הוא מכונה)

מאת: רן בר-זיק

רן בר-זיק — Tue, 06 Nov 2018 11:53:52 +0000

בתגובה על משה.

הטיעונים שלהם, כפי שאתה מציג אותם, הם מאוד מוזרים, על גבול המגוחכים.
ראשית בדבר הגרסה – אם הם מציגים את הגרסה הלא נכונה כחלק ממדיניות אבטחתית שנועדה ״להטעות״ – מדוע הם מציינים שהגרסה לא הוחלפה? יש להם או אין להם את הגרסה? לא מאוד ברור. אבל הפתרון הוא ממש ממש קל – בקש מהם, אם הם ׳מציגים את הגרסה הלא נכונה׳ – לשנות את מספר הגרסה לגרסה אחרת. זה משהו שאמור להיות קל.
גרסת ה-PHP הזו והחורים שלה מתועדים במפורש (לא על ידי) וקלים לניצול. זו גם עובדה שקל לוודא.
שנית, מן הסתם אני לא יכול לנצל את הליקויים כי זו עבירה על חוק המחשוב. אני לא יכול לתקוף אותם כדי להוכיח את הטענה הזו. האם הם מחכים לפריצה כדי ׳לשדרג׳?
שלישית, הטכניקה שנטספארק נוקטת בה כדי להפשיט את ה-ssl היא טכניקה מסוכנת החושפת תנועה שאמורה להיות מאובטחת (כמו למשל הגלישה בינך לבין הבנק) לכל אחד שיש לו שליטה על נטספארק.

ההמלצה שלי, לפי מה שבחנתי וראיתי היא חד משמעית: לא להשתמש בשירותי החברה הזו. אתה רוצה לנקוט באורח חיים תורני? השתמש בטלפון טיפש ��הצב את המחשב בחדר פומבי שבו כל אחד מבני הבית יכול לראות מה אתה עושה בכל רגע נתון או שתעיף אותו מהבית. כרגע, על פניו, השימוש בנטספארק חושף אותך ואת בני ביתך לסכנות איומות.

אם הם טוענים שאני שרלטן, אולי זה הזמן לבצע תחקיר יותר מעמיק על החברה הזו ועל הטכנולוגיה שלה.