היומן של zohar - יומן

הפוסט הזה לא מתיימר להיות מדריך לאבטחת מידע, אבל הוא נועד להסב את תשומת לב כל המפתחים (והלקוחות!) לנושא חשוב זה.

נתחיל בזה שאין מערכת בלתי חדירה, אבל יש רמת אבטחה שתשמור על האתר שלכם מפני רוב הפגעים הרעים, ותגן עליכם מפני מראות לא נעימים של דגלים זרים במקום שפעם התנוסס דף הבית של האתר.

לאבטחה יש מספר רמות ומעגלים - החל מסינון וסניטציה של תוכן שמגיע מהגולשים, עבור באבטחת עמודים מסוימים באתר, כמו עמוד הלוגין, עד לקונפיגורציות ברמת השרת. עבור הנושא האחרון כדאי להצטייד במקצוען שמבין כיצד להכין שרת לאירוח אתרים מאובטחים.

השאר נמצא בידיים שלנו, המפתחים. עלינו לוודא שהמערכת שבה אנו משתמשים יודעת לתת לנו רמה התחלתית טובה של אבטחה. מי שמקפיד לעדכן את גרסאות המערכת בעת שמשתחררים עדכוני אבטחה, עושה טוב. אני ממליץ בחום לכל מפתח באשר הוא, להתעדכן בהתראות האחרונות: http://drupal.org/security כדאי להירשם לעדכונים במייל או בטוויטר.

מעבר לכך יש את הקוד שלנו עצמנו - קוד זה חייב לעמוד בתקני הכתיבה לדרופל ובהנחיות לכתיבת קוד בטוח. אי הקפדה על כללים אלו עלולה להסתיים בכך שמישהו, בין אם זה בן אנוש זבלון ובין אם זה רובוט מניוק, יפרוץ לכם לאתר או סתם ישחית אותו להנאתו. אין להקל ראש בכך. גם אתרים קטנים מחזיקים מידע רב ערך - שמות של אנשים, כתובות המייל שלהם ובמקרים שבהם השרת לא מאובטח משהו מי יודע כמה, גם סיסמאות מוצפנות ב-MD5 הן פריצות. מכאן הדרך לחשבונות הפרטיים שלהם ומשם הלאה, קצרה מאוד. כך שגם אתרים שלכאורה אינם מאויימים צריכים לדאוג לאבטחת מידע רגיש על השרת (וזו הסיבה ששרתים שיתופיים הם בד"כ רעיון רע לאירוח אתרים).
בדרופל 7 חוזק מנגנון הצפנת הסיסמאות. ניתן, לפי הצורך, גם להצפין שדות מסוימים בלבד. זה קצת יותר כאב ראש, אבל אם המידע קריטי - זה צעד שיש לעשות.

כתיבת קוד בטוח גם מאמנת את המפתח בכתיבה נכונה. לא כולם כותבים קוד לדרופל כמו שצריך - הקפדה על הכללים לאבטחה מביאה עימה גם תופעות לוואי של קוד מסודר יותר.

צחי דה גרייט וחבר מרעיו בשולחן העבודה בלינווייט שחררו השבוע ערכת עיצוב חדשה ומרהיבה, העונה לשם ששון: sasson.theme

ששון היא פיתוח מערכה נוספת - ninesixtyfive.theme - גם היא מאותו בית יוצר.

שתי הערכות מיישמות את הטכניקות הכי מתקדמות בנמצא ויעזרו לכם לבנות אתר עם html5, SASS, CSS3ת האתמה לאקספלוררים, הכנה ל-responsive design ועוד...

נסו ולא תצטערו!

אני מתחזק מודולים לא חרוץ במיוחד, אבל סוף סוף מצאתי את הזמן להחיל פאץ' שדרוג לדרופל 7 של אחד המודולים שלי: pdir.module

המודול שימושי מאוד לאתרים בעלי כיווניות כפולה (בד"כ עברית, ערבית או פרסית בשילוב עם שפה אחרת) או כאלה בשפת ימין-שמאל שבה משולב טקסט לטיני או אחר (שמאל-ימין). קביעת הכיווניות נקבעת עפ"י התו הראשון בפסקה, וכך ניתן לשלוט בכיווניותה.

השדרוג לדרופל 7 נעשה ע"י מפתח ירדני. יחי הקוד הפתוח!

אני שמח לבשר על השקת פעילות הדרכה חדשה של לינווייט, בסגנון קצת שונה, אשר מיועדת לכל הרמות, מתחילים ומקצוענים, ומטרתה לקדם משמעותית את איכות הפיתוח לדרופל בישראל.

הסדנאות נולדו כחלק מהדרכות פנימיות שערכנו בלינווייט, והן מתקיימות במשרדי החברה בפרדס חנה. בסדנאות נכסה את כל קשת הנושאים אשר דרושים למקצוענים בדרופל: תכנות, תבנות, סיסטם, אופטימיזציה ועוד.

משתתפים אשר ישתתפו בסדנאות ילמדו נושאים מתקדמים בדרופל, ויקבלו ידע מהמפתחים של לינווייט, אשר מתמודדים עם הפרוייקטים הכי מורכבים וסבוכים, ועושים זאת תוך שמירה על סטנדרטים גבוהים של פיתוח ושירות.

הסדנאות הן הזדמנות נוחה, זולה ויעילה ביותר, להכרות עם הנושאים המתקדמים ביותר בדרופל. הן מיודעות לאלו אשר מעוניינים להתמקצע ולעבוד בדרופל. בתום מספר סדנאות (לא חייבים להשתתף בכולן כמובן) המשתתפים ירכשו ידע מספיק להתמודדות עם אתגרים אמיתיים בבניית אתרים בדרופל, ויוכלו להתמודד על מקומות עבודה אטרקטיביים בחברות דרופל מובילות בארץ (ובעולם).

הנושאים שיכוסו בסדנאות הקרובות:

• פיתוח ללא קוד: cck, views, context, features, ftools
• פיתוח עם קוד: בניית מודולים
• פתרון בעיות בדרופל ו-Debugging: כלים נפוצים (devel, watchdog), כלי פיתוח (Zend debugger), זיהוי שאילתות איטיות...
• אופטימיזציה של אתרים ושרתים: מנגנוני cache, התמודדות עם איטיות של Views, קונפיגורציה אופטימלית של שרתים
• טפסים ו-Form API: לבנות טפסים מורכבים בדרופל
• הכרות עם הפצות דרופל שונות: Drupal Commons, Open Atrium, Open ideaL, Open Public, Open Publish, COD ועוד
• תבנות למתחילים ולמתקדמים
• עבודה מול web services
• התממשקות לאפליקציות חיצוניות (CRM, ERP, SAP, ...)
• עבודה מול מובייל
• בניית אתרי מסחר אלקטרוני

מטרתנו כאמור היא להכשיר מספר רב ככל הניתן של מפתחי דרופל טובים שיוכלו לשאת על כתפיהם את הפעילות הדרופלית הענפה שמתרחשת בישראל. שוק העבודה זקוק למפתחים טובים, ובכוונתנו לדאוג לכך שמפתחים כאלה יהיו בנמצא.
הסדנאות מעולות לאלו אשר השלימו קורס בסיסי במקום אחר (או באינטרנט או בספרים וכו') ואשר חסר להם קצת ידע מעשי, ועם זאת ניתן להגיע לסדנאות גם ללא ידע מוקדם, ופשוט ללמוד תוך כדי.

ליאור הרצה על כלי ניהול בחברות דרופל וקוד פתוח, ביחד עם אריק מ-DevSeed, ג'ודי מ-ZivTech ואהרון מ-CivicActions.
היה מוצלח ביותר, ומרתק לראות איך שכולנו בעצם עוברים את אותו תהליך ומתמודדים בדיוק עם אותם אתגרים... אז למה לא לשתף כלים?!

מספר רשמים ונקודות מפתח מהרצאת הפתיחה של דריס:

• ניהול הקוד של דרופל עובר מ-CVS ל-GIT, החל מהגרסה הבאה: דרופל 8
• הפצות דרופל (distributions) הן אחד הגורמים החשובים ביותר בצמיחתה של דרופל בעתיד הקרוב. הן היכולת של דרופל להתאים את עצמה לקהלים שונים.
• לדרופל יכול להיות תפקיד מפתח בשינוי הרשת מ-WWW ל-GGG‏ - Giant Global Graph. התמיכה המובנית ב-RDF (בגדול: שימוש באינטרנט כבסיס נתונים ענקי לאתר) תאפשר למפתחי דרופל לבנות אפליקציות מתקדמות שימשכו מידע מרחבי הרשת, ויהיו ידידותיים לטכנולוגיה העדכנית של מנועי החיפוש.
• לעבוד עם פילים: יותר ויותר חברות ענק נכנסות לדרופל ונותנות לה רוח גבית וחשובה. יחד עם זאת - הרוח הזו עשויה להיות מסוכנת להתפתחותה של דרופל כפתרון לכ-ו-ל-ם.
• תמיכה בבסיסי נתונים חדשים: CouchDB, mongo db, Cassandra - להפעלת אפליקציות גדולות עם זמינות גבוהה וביצועים טובים.
• יותר מאחוז אחד של אתרים ברשת הם אתרי דרופל! (לפי רשימת מיליון האתרים הגדולים של אלקסה). רק שני אחוזים מאתרי הדרופל נמצאים ברשימה זו (הערכות של אקוויה).
• 732 אנשים כתבו פאצ'ים שנכנסו לליבה בדרופל 7
• 25 מפתחים אחראים ל-50% מהפאצ'ים לעיל
• יותר מ-70 מודולים הוכנסו לליבה כרכיבים או כחלק מרכיבים אחרים
• גודל הליבה הוכפל ודרופל הופכת לעשירה מאוד בפיצ'רים.

בכנס נוכחים 3000 אנשים(!) ועוד עשרות/מאות באירופה שלא הצליחו להגיע והקימו דרופלקונים מקומיים. הכנס הבא יהיה בקופנהגן, דנמרק. מכירת הכרטיסים החלה!

(אין לי כוח לכתוב הרבה, אבל אני חייב):
מאמר ב"הארץ" מגלה את מה שאנחנו נמנענו בעצמנו מלהגיד - בשבועות האחרונים התחיל אחד המהלכים המשמעותיים ביותר הן לדרופל בישראל, והן לישראל בדרופל. כפי שניתן לקרוא בכתבה דרופל תשמש ביחד עם מערכות קנייניות, ותשלים אותן במקומות שבהם הן חלשות.
מרשימת התפוצה של עמותת המקור ניתן ללמוד על רעיונות נוספים שנועדו לשלב קוד פתוח בקרב אתרי הממשלה. אני שמח שדרופל מובילה את הקו הזה.

נראה שמשרד האוצר רוצה להשקיע באינטרנט. למי מכם שעוסק בהדרכה, נראה לי שיכול להיות מעניין מאוד מבחינה עסקית להציע קורס ייחודי בבנית רשתות חברתיות ואפליקציות מבוססות רשת, על גבי פלטפורמה פתוחה וזמינה.

לפני כמה חודשים הגיע אליי מישהו שפוטר מעבודתו עקב קיצוצים שנבעו מהמשבר הכלכלי. הוא אמר שהוא קצת מעצב וקצת מכיר HTML, ושאל אם יש לי עבודה בשבילו. לא היה לי שום דבר שהצריך את כישוריו באותה תקופה, וחוץ מזה יכולותיו בדרופל לא הצדיקו את העסקתו, אבל אמרתי לו שאם הוא ילמד את נושא העיצוב והתבנות (theming) בדרופל, אזי תהיה לו עבודה מספקת בבניית תבניות עיצוב.

אני לא חושב שזה מה שהוא עשה. יחד עם זאת, אני מסתכל על מצב השוק כעת, ונראה לי שזה משהו שחסר. רבותיי וגבירותיי, מי שמעוניין לנצל חסר שיש בשוק, ולבנות עסק מצליח, שיתמקצע בנושא התבנות לדרופל. זה אומר להשקיע הרבה בבניית שם ויכולות, אבל מי שידע לתת שירותים בתחום זה ספציפי, יוכל להתפתח לא רע מבחינה עסקית.

נראה בעוד שנה אם אני צודק.

אצל ארז וולף מתפרסם מאמר שלי בנושא שימוש בדרופל בארגונים ציבוריים. הנה תקציר:

"... סיבות אלו ונוספות, הובילו ארגונים ציבוריים רבים בעולם, לאמץ את דרופל כמערכת המניעה את אתריהם. יכולתם של הארגונים להתנתק מכבלי מערכות קנייניות, ובכך לשדר חסכון והתייעלות, בד בבד עם שיפור השירות לאזרח, אף חיזקה את התועלת שבכך. רשות מקומית, או ממשלתית יכולה וצריכה להתהדר בניתוק כבליה מספקים חיצוניים, אשר המודל הכלכלי שלהם מבוסס על רישוי, תשלום עבור עדכוני תוכנה, ויצירת תלות של הרשות בספק, עד כדי קשר שקשה מאוד (כמעט בלתי אפשרי) להפרידו. גרוע מכך - מקבלי החלטות (טכנולוגיות) ברשויות מוגבלים למגוון הפתרונות שמציע להם הספק הנוכחי (במודל הקנייני). ההחלטה היא שלהם, אבל קשת האפשרויות מצומצמת וידועה מראש. זו למעשה אשליה.
המודל העסקי המבוסס על קוד פתוח (דרופל במקרה של אתרי אינטרנט), המאפשר לרשות לבחור ספק, ואף להחליף אותו במידת הצורך, הינו מודל בריא יותר לרשות לאורך זמן, ואשר מעניק למקבלי ההחלטות ברשויות את הכוח להחליט, ולייצר לעצמם אפשרויות בחירה. ..."