Thursday, December 30, 2010

CSRF



CSRF

תקפה באינטרנט שאוהבים לדבר עליה ולהזכיר אותה והיא סוג של להיט בשנים האחרונות בשיחות על Web Application Security.

אין טעם לשכתב חומר שכבר ידוע מספר שנים ואפילו בעברית. אני מציע לקרוא את מה שכתב גיא מזרחי כבר לפני שלוש שנים ביומן הרשת שלו.

הנה סרטון שבו שלומי נרקולייב מדגים את ההתקפה. וגם מדגים כיצד ניתן למנוע אותה אם האתר, במקרה של הדוגמה מדובר באתר של בנק, משתמש ב-F5 ASM ומופעלת האפשרות למגר התקפות CSRF:


מאפיין חשוב של ההתקפה הזאת הוא שהמחשב והתוכנה שבאמצעותם מתבצעת עבירת המחשה הם של משתמש לגיטימי עם חשבון תקף וטוב. התוקף מנצל את צירוף המקרים הטוב (בשבילו, התוקף) כדי לבצע פעולות בשמו ובאמצעותו של המשתמש התמים שנפל קורבן להתקפה.

אפשר לקרוא חומר על ההתקפה בוויקיפידה. לארגון OWASP שמפרסם מידע על Web Application Security ומפרסם על פתרונות זמינים לבעיות יש עמוד שמסביר על CSRF הדף מכיל גם קישורים עם עוד מידע מעמיק.

בצד השרת הנסיונות למנוע את ההתקפה היא באמצעות HTTP Headers כגון, Referer (שגיאת הכתיב היא במקור), Origin או הלהיט האחרון, X-Requested-With.

פתרון נפוץ ויעיל בצד השרת כדי למנוע התקפות CSRF על משתמשים של השרותים שהשרת מציע, הוא שכל קישור יכיל מידע משתנה שאינו צפוי על ידי המשתמשים -- כך כל לחיצה על קישור וכל בקשה שמגיעה מדפדפן של משתמש אינה אוטומטית מכובדת על ידי השרת. היא תכובד רק אם אותו מידע משתנה עומד בדרישות (ופה המימושים רבים ושונים). יש עוד גישה שבה לא רק מידע נוסף משתנה, אלא בכלל הקישור כולו מוצפן באופן כזה שאותו הקישור אינו נראה יותר מפעם אחת אותו הדבר בהתסברות גבוהה.

דרך קלה לטפל בכך בצד השרת (בד"כ על ידי שכבה או שרות שמולבש בין הגשת דפי האינטרנט לבין הלקוח, למשל על ידי Apache באחד ממודולי ה-Mod שלו או למשל על ידי Application Delivery Controller, כמו למשל F5 BIGIP שיש לו גם Web Application Firewall אינטגרטיבי, ה-ASM) היא להחליף את כל הקישורים בעמוד. החלפת הקישור כולו היא דוגמה לשיטה של ההצפנה והחלפה שמוסיפה את אותה פיסת מידע אקראית (לכאורה) היא דוגמה אחרת, שנפוצה יותר. בעייתיות של גישה זו היא מתי מבצעים את ההתערבות בקישורים ובכתובות. אם מדובר בקישורים סטטיים ב-HTML אז אין בעייה -- אבל ישנן כתובות שנוצרות באופן דינאמי בצד הלקוח ואז האופן להחליף אותן כראוי היא או במקור (זה דורש תמיכה ושיתוף פעולה עם המפתחים של האתר, זה לא קורה בדרך כלל -- ) או בדיעבד באופן דינאמי בצד הלקוח על ידי JavaScript או טכנולוגיית client side אחרת (למשל Flash).

ל-OWASP יש כלי בפיתוח שמנסה להתמודד עם גישה מצד הלקוח באופן דינאמי, עם Ajax. הגישה המדוברת אינה חדשה והיא פורסמה ביומני רשת כבר לפני 3-4 שנים. טכנולוגיה דומה קיימת גם בחלק ממוצרי האבטחה ברמת תחכום משתנה.

הדרך להצליח בדיעבד ורק בצד הלקוח לשנות את הכתובת (על ידי הוספת אותו חלק מידע משתנה כאשר ניגשים לשרת) כאשר מדובר ב-Ajax היא לחטוף את הגישה. למה הכוונה? הכוונה היא להתחבר למודל האובייקטים ולהתערב בשרשרת הקריאות למתודות שמבצעות את הפעולות של Ajax כך שיהיה אפשרי להריץ קוד כאשר נוצרת בקשת Ajax: הקוד ישנה את הכתובת לפי הצורך. לפעמים גם אין דיי בכך ורוצים גם לחטוף את ה-Ajax Response ולבדוק אותו ולהכניס בו שינויים לפני שהאפליקציה בצד הלקוח משתמשת בו. מנסיוני האישי בפיתוח טכנולוגיות client side ב-F5 הנושא אינו פשוט כלל לפתרון כללי ובפרט קשה כאשר מדובר בתמיכה רחבה בדפדפנים מכל היצרנים, מכל הסוגים ומגרסאות שונות. קל וחומר כאשר קוד ה-JavaScript שמורץ גם הוא בא בטעמים שוניים ובשנים האחרונות גם בא בשימוש ב-JavaScript Frameworks שונים. גישה מקובלת לחטיפת תהליך של בקשת Ajax מובא להלן:
אפשר לקרוא את הקוד המלא (וללמוד כמה דברים) של הפתרון של OWASP בקישור.


XMLHttpRequest.prototype._open = XMLHttpRequest.prototype.open;
XMLHttpRequest.prototype.open = function(method, url, async, user, pass) {
this.url = url;

this._open.apply(this, arguments);
}


XMLHttpRequest.prototype._send = XMLHttpRequest.prototype.send;
XMLHttpRequest.prototype.send = function(data) {
if(this.onsend != null) {
this.onsend.apply(this, arguments);
}
this._send.apply(this, arguments);
}


הכלי של OWASP משתמש ב X-Requested-With כדי להכריע האם בקשה מגיעה לשרת מ-Ajax או שלא. סיבה טובה לכך היא הקשר ההדוק ל-Same Origin Policy. לא ניתן לזייף ב-JavaScript בקשה בשימוש ב-XMLHttpRequest למתחם מסויים כך שתראה כאילו באה ממתחם אחר.

חינוך, בגרויות ומה שביניהם מאת ניר ארגוב


קראתי מאמר מענייו שכתב ניר ארגוב מרשת אורט לפני כשנתיים. הוא מפרט בעיות של מערכת החינוך ומציע הצעות אופרטיביות. ראיתי רשימות דומות (חלק מההצעות ומהנקודות דומות וחלקן דווקא שונות) אצל עינת וילף בספרה בחזרה לאל"ף בי"ת ואצל בוגי יעלון בספרו דרך ארוכה קצרה.

אני חושב שלצד ההצעות הללו או עד אשר ההצעות הללו תקבלנה התייחסות רצינית ותיושמנה (אשרי המאמין...) חשוב מאוד שמורים יבינו שהם הקו האחרון.

מורים יכולים להקפיד על לימודים רלוונטיים, על הוראה וחינוך לפי עקרונות ומתוך מטרות. המורים אינם חייבים ללכת כמו עדר ולהיות מואכלים בכפית מתוכניות הלימודים, מחומרי הלימוד ומהאופנות השונות והרבות שמתחלפות במערכת החינוך. יש מורים עם חינוך ועם דרך ועם עקרונות -- ולא צריך הרבה יותר מאשר עמוד שדרה, עקביות, נחישות ואסרטיביות כדי לבצע. אני סבור שמורים כאלה ביחד עם קהל גדול מספיק של הורים שיהיו צרכנים חכמים ותובעניים של חינוך איכותי וענייני (ולא קשקושים של "תיאוריות חינוכיות") יכולים להביא לשינוי של המערכת. אפשרות אחרת היא, שיותר ויותר קבוצות של הורים יקימו בתי ספר אלטרנטיביים ומסגרות לימוד אחרות וישלחו את ילדיהם ללמוד שם תחת להשחית את זמנם של הילדים ואת עתידם במערכת שבמובנים רבים היא תקועה ובמובנים אחרים מתדרדרת.

כן למטרות ברורות.
כן לחינוך מקצועי ולאפשרויות חינוך והכשרה מקבילים וחליפיים לבגרות עיונית.
כן ללימודים רלוונטיים שישמשו בסיס הכרחי, שימושי וחשוב לאזרחים יצרניים ומועילים.
כן להכשרת מורים בכישורים נדרשים ובהשכלה רלוונטית (כתבתי כבר על הכשרת מורים לא רלוונטית -- יש גם מאמר מאיר עיניים בנושא של רון אהרוני).

ובאותו עניין ובזיקה לנושא, אני סקרן לראות מה יקרה עם הרפורמה החדשה שקשורה בתנאי העבודה של המורים.



על מי שמחליט על תוכניות הלימודים במתמטיקה












לפני יותר משנה ביקשתי לקבל מידע ממשרד החינוך מי בוחר, כיצד בוחר ועל סמך מה בוחר את חברי הועדה שקובעים את תוכניות הלימודים במתמטיקה. לא זכיתי לקבל מענה ענייני למרות בקשות חוזרות ונשנות. העניין כנראה סודי וחסוי. לא הרפיתי. מעת לעת נידנדתי. הפעם האחרונה היתה בעשרים ושלושה בדצמבר. הנוסח ששלחתי היה:



Sent: Thursday, December 23, 2010 7:18 AM
To: חנה פרל
Subject: דואר מאתר המשרד - חברי הודעות לתוכניות לימודים במתמטיקה

23/12/2010 בקשה הגיעה ביום


שם השולח : שלמה יונה

כתובת: נחל משושים 12 כפר יונה תד 4099

מדינה:

תפקיד: אזרח

ארגון: מדינת ישראל

טלפון: 77326360 05

shlomo.yona@gmail.com :e-mail

נושא: חברי הודעות לתוכניות לימודים במתמטיקה

תוכן ההודעה:
שלום, רב לפני יותר משנה כתבתי אליכם בתקווה לקבל תשובה על אופן הבחירה והמינוי של חברים לועדות שעוסקות בתוכניות הלימודים במתמטיקה. טרם קיבלתי תשובה מוסמכת ומספקת. אודה על התייחסות רצינית לפנייתי. אני מצרף את שאלותיי בנושא מפנייתי אליכם כבר מלפני שנה.


תודה רבה,


שלמה יונה



Subject:

דואר מאתר המשרד - הרכב ועדות תוכניות הלימודים במתמטיקה


בקשה הגיעה ביום 29/11/2009

שם השולח : שלמה יונה

כתובת: נחל משושים 12 כפר יונה

טלפון: 77326360 05

נושא: הרכב ועדות תוכניות הלימודים במתמטיקה

תוכן ההודעה:

שלום רב,

מתוך העיון במסמך תוכנית הלימודים במתמטיקה לבתי הספר היסודיים אני רואה את רשימת חברי הועדה ואת רשימת חברי ועדת העדכון.

1 כיצד ועל סמך מה נבחרו חברי הועדות הללו? מהן אמות המידה שלפיהן נבחרים חברי הועדה? מי יכול לשמש כחבר ועדה ומי אינו יכול?

2 מה סמכותה של חברי הועדה?

3 מה סמכותה של חברי הועדה לעדכון התוכנית?

4. בתוכנית הלימודים מוזכרת ועדת המקצוע. מהי ועדת המקצוע? מה תפקידה ומי חבריה וכיצד נבחרו?

5. היכן ניתן למצוא מידע על ההשכלה והרקע המקצועי והמעשי של חברי הועדות הללו? איך יודעים מי מהם בא מאיזה תחום? איך יודעים מי מהם מורה בשטח ומי מהם מעולם לא לימד את תחום הדעת ולא לימד קבוצות הגיל של יסודי?

6. מה התמהיל של חברי הועדה מבין אנשי מקצוע מתחום המתמטיקה, אנשי מקצוע מתחום החינוך המתמטי, אנשי מקצוע מתחום ההוראה ומורים למתמטיקה לתלמידי בית ספר יסודי? מי קובע את התמהיל?

7. מה הקשר בין אנשים הקשורים ביצירה ובהערכה של חומרי לימוד כמו ספרי לימוד לבין חברי הועדות? האם חבר ועדה של תוכנית לימודים גם קשור לאישור ספרי לימוד וגם קשור להפקת ספרי לימוד וחומרי לימוד?


תודה רבה.

שלמה יונה



לבסוף אחרי זמן רב זכיתי לקבל תשובה מהמפקחת הראשית במתמטיקה, חנה פרל: תשובה קצרה מאוד בדואר אלקטרוני ומסמך ב-MS WORD שבו היתה התייחסות חלקית לשאלותיי.

הנה לשון ההודעה שקיבלתי:

2010/12/29 חנה פרל

שלום רב

להלן תשובות לחלק מהשאלות ששאלת.

ד"ר חנה פרל

מפמ"ר מתמטיקה



והנה לשון המסמך שקיבלתי בתשובה:

ועדת תכנית הלימודים במתמטיקה

באופן כללי ועדת התכנית נמצאת באחראיות של האגף לתכניות הלימודים ( לאחר ארגון מחדש של המזכירות הפדגוגית, ועדות לתכניות הלימודים יהיו באחראיות אגף המדעים של מזה"פ).

ועדה מתחילה לעבוד אחרי החלטה של יו"ר המזה"פ שיש צורך בשינוי/עדכון של תכנית הלימודים.

בהתאם להחלטה זו מוגדרות סמכויות הועדה.

ועדת המקצוע היא ועדה מייעצת למפמ"ר. הועדה כוללת פרופסורים למתמטיקה ולהוראת מתמטיקה, המפמ"ר, מפקח על מתמטיקה במגזר הערבי, נציג האגף לתכניות הלימודים, נציג מכללות ומורים מובילים. להלן חברי ועדת המקצוע:

עזריאל לוי, יו"ר – פרופסור אמריטוס למתמטיקה באוניברסיטה העברית בירושלים

חנה פרל, מרכזת הוועדה - מפקחת מרכזת של מקצוע המתמטיקה במשרד החינוך

גנאדי ארנוביץ' – משרד החינוך, הגף לתוכניות לימודים, מורה בתיכון הראל במבשרת ירושלים

ורד הירש - מורה בבי"ס נועם בירושלים

אברהם הרכבי – פרופסור להוראת המדעים באוניברסיטה העברית בירושלים

אירמה ג'ן – מורה בתיכון מקיף ה' באשדוד

רון ליבנה - פרופסור למתמטיקה באוניברסיטה העברית בירושלים

אסעד מחאג'נה – מפקח ארצי על הוראת המתמטיקה במגזר הערבי

סלימאן סלאמה – רפרנט מתמטיקה במחוז הצפון, מפקח המתמטיקה במגזר הדרוזי

רז קופרמן - פרופסור למתמטיקה באוניברסיטה העברית בירושלים

ורדה שבת – מורה בבי"ס ברנקו וייס בבית שמש

סטלה שגב – מרצה למתמטיקה במכללת ליפשיץ בירושלים, מדריכה ומורה בעבר בחטיבת הביניים ובחטיבה העליונה

וועדת המתווה לתוכנית החטיבה העליונה

לפני תחילת הפעילות של ועדת תכנית הלימודים, ועדת המקצוע ממנה ועדת מתווה שהיא תת ועדה של וועדת המקצוע שתפקידה להגדיר מטרות מרכזיות של תכנית הלימודים והמלצותיה מהוות בסיס לתחילת העבודה של ועדת התכנית. המלצות ועדת המתווה מאושרות בשלב הראשון על ידי ועדת המקצוע ובשלב השני על ידי יו"ר המזכירות הפדגוגית.

תוך כדי עבודת ועדת המתווה מתחיל הליך של בחירת המועמדים לועדת התכנית.

מפקח תחום תכניות הלימודים מאתר מועמדים הראויים להיות חלק מועדת התכנית. על מנת ליצור ועדה מאוזנת, על מפקח התחום לבחור חברי הועדה שיהיו ביניהם: מתמטיקאים, אנשי החינוך המתמטי / הוראת המדעים, נציגי מגזרים שונים, מורים ממערכת החינוך, נציגי המכללות להוראה.

בחירת המועמדים מתבצעת בשיתוף פעולה עם המפמ"ר ובעזרת המדריכים המחוזיים המדריכים הוארציים.

כל מועמד לתפקיד בוועדה חייב לעבור מכרז כדי להיכלל ברשימת המומחים של משרד החינוך. במכרז נבדקים כישורים של כל אחד מהמועמדים, נבדקים מסמכי השכלה וניסיונם הרלוונטי.

מי שאינו בעל השכלה של תואר BA לפחות לא מתקבל למאגר המומחים.

כמו כן, נבחר המועמד להיות יו"ר הועדה. על מנת להבטיח שיתוף פעולה פורה בין ועדת התכנית לבין ועדת המקצוע, נבחר יו"ר של ועדת התכנית מתוך חברי ועדת המקצוע. יו"ר הועדה מחליט על סדר העבודה, חלוקת העבודה בין חברי הועדה, תחומי האחראיות של כל אחד מחברי הועדה. בגלל האופי של המקצוע שבו יש מספר רמות לימוד שונות, יש גם חלוקה פנימית לתתי ועדות שמכינות מסמכי העבודה לקראת הישיבות שמהווים בסיס לדיון. לכל חברי הועדה יש סמכויות זהות פרט ליושב הראש שלו יש סמכויות ניהוליות.

בימים אלה פועלת ועדת תכנית הלימודים במתמטיקה לחט"ע שבה 13 חברים.

להלן רשימת חברי הועדה כולל הרקע המקצועי שלהם:

פרופ' רון ליבנה, יו"ר, המכון למתמטיקה, האוניברסיטה העברית בירושלים

מר גנאדי ארנוביץ, מרכז הועדה, האגף לתוכניות לימודים, מורה בתיכון הראל במבשרת ציון

ד"ר חנה פרל, מפמ"ר, משרד החינוך

גב' ציפורה ברגלס, מורה בתיכון קציר ברחובות ומעריכה בחינות הבגרות

גב' סופי גרמפל, מורה בתוכנית קדם אקדמית באוניברסיטת ת"א, מכללת שנקר

פרופ' טומי דרייפוס, החוג לחינוך מתמטי, מדעי וטכנולוגי, אוניברסיטת תל-אביב

פרופ' אברהם הרכבי, המחלקה להוראת המדעים, מכון וייצמן

גב' ורדה זיגרסון, מורה ורכזת מתמטיקה, אורט קרית ביאליק

פרופ' עזריאל לוי, המכון למתמטיקה, האוניברסיטה העברית, יו"ר ועדת המקצוע

מר ארקדי לנצמן, מורה בבי"ס סליגסברג ובבי"ס גבעת גונן בירושלים

מר אוסאמה סוידאן, מורה, נצרת, רכז השתלמויות במרכז מורים ארצי, מעריך בכיר של בחינות הבגרות

ד"ר רותי רייז, מכללת אורנים, מדריכת העל יסודי במחוז צפון

מר גרגורי שפורין, רכז מתמטיקה וסגן מנהל תיכון, מעלה אדומים

כפי שניתן לראות, המורים מהשטח מהווים מעל המחצית מחברי הועדה. כמעט כל חברי הועדה הם בעלי תארים מתקדמים במתמטיקה או הוראת המדעים ולכולם יש לפחות תואר ראשון במתמטיקה. המורים שנבחרו, בעבר היו שותפים בכתיבת חומרי הלמידה וניהלו צוותי המורים למתמטיקה בבתי הספר. בין אנשי האקדמיה יש ייצוג של אוניברסיטאות ומכללות שונות.

חברי ועדת התכנית אינם שותפים בהווה בכתיבה, בהפקה או בהערכה של ספרי לימוד במתמטיקה לקראת אישורם.

לגבי ועדת התכנית לבית ספר יסודי. הועדה סיימה את פעילותה לפני שנים רבות.

בין חבריה היו:

פרופ' פרלה נשר, יו"ר הוועדה – פרופ' לחינוך מתמטי , אוניברסיטת חיפה

ד"ר מלכה מאונטוויטן, מרכזת הוועדה

מר ג'וני אוברמן – מכללת שאנן, חיפה, לשעבר מורה ומנהל בית ספר יסודי

ד"ר ג'ין אלברט – מרצה במכללת דוד ילין, ירושלים

גב' רנה וייס – מורה ומדריכה ביסודי מחוז תל אביב

ד"ר מרים עמית – ע' מפמ"ר

ד"ר אלכס פרידלנדר – מחלקה להוראת המדעים, מכון ויצמן

ד"ר מיכאל קורן – מפמ"ר

ד"ר אמאל ראסלאן – המכללה למורים ערבים בחיפה

ד"ר רות שטיינברג – מרצה במכללת סמינר הקיבוצים

עדכון התכנית וגיבושה הסופי נעשה בידי ועדה שמינה יו"ר המזכירות הפדגוגית.

חברי הוועדה :

פרופ' יעקב כץ, יו"ר הוועדה

ד"ר מלכה מאונטוויטן, מרכזת הוועדה

פרופ' נגה אלון – החוג למתמטיקה אוניב' ת"א

פרופ' עמוס אלטשולר – החוג למתמטיקה אוניב' בן גוריון

פרופ' אהוד דה שליט – החוג למתמטיקה האוניב' העברית

פרופ' אברהם הרכבי – המחלקה להוראת המדעים, מכון ויצמן

ד"ר צביה מרקוביץ – מרצה לחינוך מתמטי, מכללת אורנים

פרופ' פרלה נשר - פרופ' לחינוך מתמטי , אוניב' חיפה

ד"ר מיכאל קורן – מפמ"ר

עד כאן לשון המסמך. הבחנתי שבמשרד החינוך לא חושפים את אופן הבחירה, את מי שבוחר, את אמות המידה וגם לא עומדים על הפרטים של אותו מאגר מומחים. מעניין שישנם אנשים שבאופן קבוע מככבים בוועדות הללו שוב ושוב ושוב. אני צריך להתיישב ולכתוב כאן מה אני יודע על כל אחד מהאנשים המפורטים ומה חלקם ומעורבותם בחומרי לימוד ובבעיות קשות עם תוכניות הלימודים הקודמות והנוכחיות. אולי חשוב לשים לב שאין ולו חבר ועדה אחד מהועדה שקובעת שהוא מורה, היה מורה ולימד אי פעם בחייו תלמידים בבית ספר יסודי. כמובן, זה לא פגם ב-"מומחיותם"...