My family, books, photos, technology, language and some math משפחתי, ספרים, תמונות, טכנולוגיה, שפה, וקצת מתמטיקה
Friday, September 30, 2011
דדה והנכדים
דדה עם הנכדים:
אבא שלי, אלי יונה, עם הנכדים ניר, סיון, אביב, נועה ויובל.
במסיבת ראש השנה אצל אחותי, רות.
Thursday, September 29, 2011
סרטונים על משמעויות פעולות החשבון
הנה סרטונים שבהם אני מצולם מלמד קבוצת תלמידים קטנה משמעויות שונות של פעולות חשבון.
החומר הוא של המורה תלמה גביש.
מה המטרה של הסרטונים? להראות להורים ולמורים דגם של שיעור שבו מלמדים ילדים חומר בחשבון של בית ספר יסודי.
הסרטונים האלה עוסקים במשמעויות של פעולות חשבון. ההבנה המתמטית של כל אחת מפעולות החשבון מתחילה במשמעות הפעולה ובקשר שלה למציאות, או במילים אחרות, איזה סוג של פעולה חשבונית מתאים לפתרון בעיות שונות במציאות.
כאשר בשלב מוקדם של הלימוד הילדים רואים כיצד מצבים שונים מובילים לאותו הפתרון וכיצד אותו התרגיל מייצג בעיות שונות הם מסוגלים לגשת לפתרון בעיות מגוונות ביעילות, בביטחון ומתוך הבנה.
פתרון טכני של תרגילים זה מה שתלמידים והורים (ולצערי גם מורים) חושבים שזה העיקר. זה אמנם חשוב ושימושי, אבל מחשבונים ומחשבים עושים זאת במהירות רבה יותר, ביעילות רבה יותר וללא טעויות. -- המיומנות החשובה ביותר דווקא מוזנחת והיא היכולת לקבל בעיה בשפה טבעית, להבין מהו מידע עודף ושאינו רלוונטי ומה המידע הנחוץ ואיזה מידע חסר ומשם להבין מהו התרגיל או מהי סדרת התרגילים שיש לנסח ולפתור כדי להגיע לפתרון (או לידיעה שיש יותר מפתרון אחד או שאין פתרון) -- לעיתים יש יותר מדרך אחת לפתור ואז יש צורך להעריך מהי השיטה היעילה בהקשר שתביא לפתרון טוב ומוצלח. תלמידים צריכים ללמוד לחשוב. תלמידים צריכים להיות מסוגלים גם להמציא בעיות מתאימות ולפתור אותן.
הנה סיכום של שיעור ארוך ומלא בסדנת המתמטיקה שלימדתי בשנה שעברה. השיעור עסק במשמעויות של חיבור ובשתי משמעויות החיסור שרואים גם בסרטון: חיסור של גריעה וחיסור של הפרדה. [שיעור מספר 7 בסדנת המתמטיקה]
אגב, לחיסור יש יותר משמעויות. ההכרות של כולן מסוכמת בשיעור הסיכום שלימדתי בסדנת המתמטיקה בשנה שעברה [שיעור מספר 9 -- סיכום 6 משמעויות החיסור]
בסרטון השלישי מוסברת המשמעות של הכפל כחיבור מקוצר.
לצד הסרטון אפשר להעזר בסיכום של שיעור מלא בנושא משמעות הכפל שלימדתי בשנה שעברה בסדנת המתמטיקה. [שיעור מספר 10 -- משמעות הכפל]
בסרטון הרביעי מוסבר הקשר של הכפל לחילוק ומוסברת המשמעות של חילוק לחלקים ושל חילוק להכלה.
לצד הסרטון אפשר להיעזר בסיכום מתוך שיעור על משמעויות של חילוק שלימדתי בסדנת המתמטיקה בשנה שעברה. שתיים מהמשמעויות שעסקתי בהן בשיעור מופיעות בסרטון. הנושא מורכב ואין מלמדים אותם "זבנג וגמרנו". התהליך ארוך. [שיעור מספר 11 -- משמעויות של חילוק]
הורים ומורים שמעוניינים להבין את העקרונות ורוצים ללמוד ללמד את הילדים באופן שכזה או מעוניינים להשתמש בגישת ההוראה ובחומרי הלימוד המתאימים (מתמטיקה יסודית) מוזמנים ליצור קשר עם העמותה הישראלית לקידום החינוך המתמטי לכל בדוא"ל info@ifma.org.il. כמובן, ניתן גם ליצור עמי קשר באופן ישיר ואני אקשר לגורמים המתאימים בעמותה.
אני מקווה שנצלם סרטונים נוספים שבהם מוסבר חומר יסודי ומודגמים עקרונות של הוראת חשבון של בית ספר יסודי ושזאת רק הסנונית הראשונה. אשמח מאוד לקבל משוב על הסרטונים.
החומר הוא של המורה תלמה גביש.
מה המטרה של הסרטונים? להראות להורים ולמורים דגם של שיעור שבו מלמדים ילדים חומר בחשבון של בית ספר יסודי.
הסרטונים האלה עוסקים במשמעויות של פעולות חשבון. ההבנה המתמטית של כל אחת מפעולות החשבון מתחילה במשמעות הפעולה ובקשר שלה למציאות, או במילים אחרות, איזה סוג של פעולה חשבונית מתאים לפתרון בעיות שונות במציאות.
כאשר בשלב מוקדם של הלימוד הילדים רואים כיצד מצבים שונים מובילים לאותו הפתרון וכיצד אותו התרגיל מייצג בעיות שונות הם מסוגלים לגשת לפתרון בעיות מגוונות ביעילות, בביטחון ומתוך הבנה.
פתרון טכני של תרגילים זה מה שתלמידים והורים (ולצערי גם מורים) חושבים שזה העיקר. זה אמנם חשוב ושימושי, אבל מחשבונים ומחשבים עושים זאת במהירות רבה יותר, ביעילות רבה יותר וללא טעויות. -- המיומנות החשובה ביותר דווקא מוזנחת והיא היכולת לקבל בעיה בשפה טבעית, להבין מהו מידע עודף ושאינו רלוונטי ומה המידע הנחוץ ואיזה מידע חסר ומשם להבין מהו התרגיל או מהי סדרת התרגילים שיש לנסח ולפתור כדי להגיע לפתרון (או לידיעה שיש יותר מפתרון אחד או שאין פתרון) -- לעיתים יש יותר מדרך אחת לפתור ואז יש צורך להעריך מהי השיטה היעילה בהקשר שתביא לפתרון טוב ומוצלח. תלמידים צריכים ללמוד לחשוב. תלמידים צריכים להיות מסוגלים גם להמציא בעיות מתאימות ולפתור אותן.
ישנם ארבעה סרטונים:
הנה סיכום של שיעור ארוך ומלא בסדנת המתמטיקה שלימדתי בשנה שעברה. השיעור עסק במשמעויות של חיבור ובשתי משמעויות החיסור שרואים גם בסרטון: חיסור של גריעה וחיסור של הפרדה. [שיעור מספר 7 בסדנת המתמטיקה]
הנה סיכום של שיעור המשך בסדנת המתמטיקה שלימדתי בשנה שעברה ובה עסקנו במשמעויות נוספות של החיסור ובפרט בנושא שבו עוסק הסרטון: חיסור של השוואה וחיסור של השלמה לשלם. [שיעור מספר 8 בסדנת המתמטיקה]
אגב, לחיסור יש יותר משמעויות. ההכרות של כולן מסוכמת בשיעור הסיכום שלימדתי בסדנת המתמטיקה בשנה שעברה [שיעור מספר 9 -- סיכום 6 משמעויות החיסור]
בסרטון השלישי מוסברת המשמעות של הכפל כחיבור מקוצר.
לצד הסרטון אפשר להעזר בסיכום של שיעור מלא בנושא משמעות הכפל שלימדתי בשנה שעברה בסדנת המתמטיקה. [שיעור מספר 10 -- משמעות הכפל]
בסרטון הרביעי מוסבר הקשר של הכפל לחילוק ומוסברת המשמעות של חילוק לחלקים ושל חילוק להכלה.
לצד הסרטון אפשר להיעזר בסיכום מתוך שיעור על משמעויות של חילוק שלימדתי בסדנת המתמטיקה בשנה שעברה. שתיים מהמשמעויות שעסקתי בהן בשיעור מופיעות בסרטון. הנושא מורכב ואין מלמדים אותם "זבנג וגמרנו". התהליך ארוך. [שיעור מספר 11 -- משמעויות של חילוק]
הורים ומורים שמעוניינים להבין את העקרונות ורוצים ללמוד ללמד את הילדים באופן שכזה או מעוניינים להשתמש בגישת ההוראה ובחומרי הלימוד המתאימים (מתמטיקה יסודית) מוזמנים ליצור קשר עם העמותה הישראלית לקידום החינוך המתמטי לכל בדוא"ל info@ifma.org.il. כמובן, ניתן גם ליצור עמי קשר באופן ישיר ואני אקשר לגורמים המתאימים בעמותה.
אני מקווה שנצלם סרטונים נוספים שבהם מוסבר חומר יסודי ומודגמים עקרונות של הוראת חשבון של בית ספר יסודי ושזאת רק הסנונית הראשונה. אשמח מאוד לקבל משוב על הסרטונים.
Wednesday, September 28, 2011
ללמוד פיזיולוגיה מסרטונים באינטרנט בחינם ובקלות
שמעתי בפודקאסט המצויין של ליאו לפורט, The Tech Guy, על אתר נחמד שבו יש סרטוני וידאו בחינם שמהם אפשר ללמוד באופן פשוט על פיזיולוגיה של גוף האדם.
http://www.interactive-biology.com
http://www.interactive-biology.com
Tuesday, September 27, 2011
צעקות מרכב נוסע על רוכב אופניים
מאז שהתחלתי לפני כשנה לרכוב (כמעט) מידי יום לעבודה ובחזרה אני חווה לא מעט פעמים שמתוך רכב נוסע צועק בחוזקה לעברי אחד הנוסעים (או יותר) בשעה שהרכב חולף לידי. זה מבהיל ביותר ולפעמים אני ממש מתקשה לשמור על יציבות.
הצעקות האלה מרכב נוסע על רוכב אופניים זה מנהג מטומטם ומסוכן ביותר. לא ברורה לי איזו הנאה מביא המעשה לצועקים. ברורות לי מאוד ההשלכות של איבוד שיווי משקל ונפילה בעת רכיבה על כביש שעליו נוסעות גם מכוניות.
אני מקפיד להאזין לפודקאסטים או למוסיקה שמנעימים את זמני ומקטינים את הרגישות שלי לתופעה -- אבל בכל זאת, שומעים ושומעים את הצעקות הללו היטב.
הנה רשימה של מישהו שכתב גם על חוויה דומה שלו ושל אחר שראה באותו המעמד: http://www.popup.co.il/?p=7775. המשפט המסכם שלו מצא חן בעיני: "הצעירים האלו הם בעיניי הוכחה לכך שלפעמים גם האבולוציה טועה. אם במקרה מחר יקרה להם משהו והאבולוציה תתקן את הטעות שלה, באמת שלא אצטער." במקרים שחוויתי בעצמי דווקא לא תמיד מדובר בצעירים. ודי לחכימא ברמיזא...
הצעקות האלה מרכב נוסע על רוכב אופניים זה מנהג מטומטם ומסוכן ביותר. לא ברורה לי איזו הנאה מביא המעשה לצועקים. ברורות לי מאוד ההשלכות של איבוד שיווי משקל ונפילה בעת רכיבה על כביש שעליו נוסעות גם מכוניות.
אני מקפיד להאזין לפודקאסטים או למוסיקה שמנעימים את זמני ומקטינים את הרגישות שלי לתופעה -- אבל בכל זאת, שומעים ושומעים את הצעקות הללו היטב.
הנה רשימה של מישהו שכתב גם על חוויה דומה שלו ושל אחר שראה באותו המעמד: http://www.popup.co.il/?p=7775. המשפט המסכם שלו מצא חן בעיני: "הצעירים האלו הם בעיניי הוכחה לכך שלפעמים גם האבולוציה טועה. אם במקרה מחר יקרה להם משהו והאבולוציה תתקן את הטעות שלה, באמת שלא אצטער." במקרים שחוויתי בעצמי דווקא לא תמיד מדובר בצעירים. ודי לחכימא ברמיזא...
Sunday, September 25, 2011
המנון הקרב של אמא נמרה מאת איימי צ'ואה
שאלתי את הספר המנון הקרב של אמא נמרה מאת איימי צ'ואה מספריית כפר יונה.
שמעתי לא מעט על אודות הספר ועל אודות ההדים שעוררה איימי צ'ואה על הגישה שלה להורות ולחינוך (למשל, ב-Time Magazine, ו-למשל ב-Wall Street Journal). הספר מתורגם מאנגלית.
הנה כמה ראיונות עם המחברת -- אפשר להבין מהם מה הדיון הציבוי שהתפתח:
ראיון נוסף עם המחברת: "תפקידם של הורים להאמין בילדיהם יותר מכל אחד אחר"
וראיון נוסף ב-CNN:
פה דיון על הנושא -- בהומור ובפארודיה:
בספר מתארת אמא הישגית את גישתה להורות ואת האופן שבו יישמה את גישתה על שתי בנותיה.
הספר עורר אצלי הרבה מאוד רגשות והרבה מאוד מחשבות.
אני מסכים שבמקום לוותר לילדים צריך להתעקש איתם. להסביר לעצמנו, לסביבה ובעיקר להם שאנחנו לא מתעללים בהם כשאנחנו דורשים מהם יותר, אלא דווקא מאמינים ביכולת שלהם וגם מאמינים בחוסן שלהם.
מנסיוני האישי (אני מלמד את הילדים שלי מתמטיקה ולא מוותר להם על המפגשים האלה ועל העבודות שקשורות בזה) לפעמים יש עצלות, או קושי והנטייה של הילדים היא להתחמק ולמצוא תירוצים וסיבות שלא לעבוד ושלא להשקיע. להתעקש ולא לוותר מעביר מסרים חשובים:
* שהעיסוק הזה חשוב
* שלא מוותרים כשקשה
* שדברים בעלי ערך הם מטבע הדברים דורשים יותר מאמץ
* שאני מאמין שהם מסוגלים לעמוד בדרישות
הזדהיתי עם המחשבות ועם הכוונות של המחברת.
קשה מאוד להגיע למצבים שהיא הגיעה אליהם ללא תמיכה מהבעל. לדעתי הוא תמך בה הרבה יותר מאשר היא נותנת לו קרדיט בספר.
אני לא מאמין בהשפלה ובדרימה של הרגשה רעה לילדים, אבל אני בהחלט מאמין שצריך לשקף להם את המציאות בכל הקשור לדרישות ולעבודה ולא לתת להםתחושת מסוגלות מזוייפת. להיפך, הם צריכים ללמוד להבין שהם יקבלו מחמאות והישגים רק אם אלה יהיו באמת ראויים. עוד חשוב לשבח על מאמץ ועל דבקות -- אך אין לשבח על הישיגי דמי.
הספר גם מראה את הענווה ואת התובנות שהאם הגיעה אליהן כשהמציאות טפחה על פניה במרד של הבת הצעירה (אגב, להשקעה רבת השנים ולחתירה להישגים יש תוצאות ניכרות בבגרות של הבנות -- של שתיהן!)
יש בספר כמה תובנות מעניינות על מה שהמחברת מכנה "הורים מערביים" ועל "הורים סיניים". ב-"מערבי" היא מתכוונת להורים שמוותרים לילדים שלהם ומקדמים בינוניות ושפוחדים להתמודד מול הילדים (כיאה למסרים שהתרבות המערבית מעבירה -- מסרים אופנתיים מאוד). ב-"סיני" היא מתכוונת להורים שמטפחים ושמקדמים באופן פעיל את הילדים שלהם.
נוח מאוד להטפל למקרה ספציפי כזה או אחר בספר כדי לטעון שהאם מתעללת בבנותיה ושהיא מטורפת -- אבל המסר העיקרי הוא שהיא גם לא מוותרת לעצמה על הקריירה שלה ובעת ובעונה אחת משקיעה את מיטבה כדי להביא את בנותיה להישגים ולכישורים שיכינו אותם לחיים כמיטב יכולתה. ויש לה יכולת... אוהו!
הנה האתר של הספר: http://tigermombook.com/
מומלץ מאוד -- (כנראה שהורים "משוחררים" לא יהנו מהספר ויתייחסו למחברת כאל אכזרית וכאל מתעללת בילדים).
הנה כמה ראיונות עם המחברת -- אפשר להבין מהם מה הדיון הציבוי שהתפתח:
ראיון נוסף עם המחברת: "תפקידם של הורים להאמין בילדיהם יותר מכל אחד אחר"
וראיון נוסף ב-CNN:
פה דיון על הנושא -- בהומור ובפארודיה:
The Colbert Report | Mon - Thurs 11:30pm / 10:30c | |||
The "Battle Hymn of the Tiger Mother" Controversy | ||||
www.colbertnation.com | ||||
|
בספר מתארת אמא הישגית את גישתה להורות ואת האופן שבו יישמה את גישתה על שתי בנותיה.
הספר עורר אצלי הרבה מאוד רגשות והרבה מאוד מחשבות.
אני מסכים שבמקום לוותר לילדים צריך להתעקש איתם. להסביר לעצמנו, לסביבה ובעיקר להם שאנחנו לא מתעללים בהם כשאנחנו דורשים מהם יותר, אלא דווקא מאמינים ביכולת שלהם וגם מאמינים בחוסן שלהם.
מנסיוני האישי (אני מלמד את הילדים שלי מתמטיקה ולא מוותר להם על המפגשים האלה ועל העבודות שקשורות בזה) לפעמים יש עצלות, או קושי והנטייה של הילדים היא להתחמק ולמצוא תירוצים וסיבות שלא לעבוד ושלא להשקיע. להתעקש ולא לוותר מעביר מסרים חשובים:
* שהעיסוק הזה חשוב
* שלא מוותרים כשקשה
* שדברים בעלי ערך הם מטבע הדברים דורשים יותר מאמץ
* שאני מאמין שהם מסוגלים לעמוד בדרישות
הזדהיתי עם המחשבות ועם הכוונות של המחברת.
קשה מאוד להגיע למצבים שהיא הגיעה אליהם ללא תמיכה מהבעל. לדעתי הוא תמך בה הרבה יותר מאשר היא נותנת לו קרדיט בספר.
אני לא מאמין בהשפלה ובדרימה של הרגשה רעה לילדים, אבל אני בהחלט מאמין שצריך לשקף להם את המציאות בכל הקשור לדרישות ולעבודה ולא לתת להםתחושת מסוגלות מזוייפת. להיפך, הם צריכים ללמוד להבין שהם יקבלו מחמאות והישגים רק אם אלה יהיו באמת ראויים. עוד חשוב לשבח על מאמץ ועל דבקות -- אך אין לשבח על הישיגי דמי.
הספר גם מראה את הענווה ואת התובנות שהאם הגיעה אליהן כשהמציאות טפחה על פניה במרד של הבת הצעירה (אגב, להשקעה רבת השנים ולחתירה להישגים יש תוצאות ניכרות בבגרות של הבנות -- של שתיהן!)
יש בספר כמה תובנות מעניינות על מה שהמחברת מכנה "הורים מערביים" ועל "הורים סיניים". ב-"מערבי" היא מתכוונת להורים שמוותרים לילדים שלהם ומקדמים בינוניות ושפוחדים להתמודד מול הילדים (כיאה למסרים שהתרבות המערבית מעבירה -- מסרים אופנתיים מאוד). ב-"סיני" היא מתכוונת להורים שמטפחים ושמקדמים באופן פעיל את הילדים שלהם.
נוח מאוד להטפל למקרה ספציפי כזה או אחר בספר כדי לטעון שהאם מתעללת בבנותיה ושהיא מטורפת -- אבל המסר העיקרי הוא שהיא גם לא מוותרת לעצמה על הקריירה שלה ובעת ובעונה אחת משקיעה את מיטבה כדי להביא את בנותיה להישגים ולכישורים שיכינו אותם לחיים כמיטב יכולתה. ויש לה יכולת... אוהו!
הנה האתר של הספר: http://tigermombook.com/
מומלץ מאוד -- (כנראה שהורים "משוחררים" לא יהנו מהספר ויתייחסו למחברת כאל אכזרית וכאל מתעללת בילדים).
קווין מיטניק בראיון מעניין עליו ועל ספרו החדש
האזנתי לפודקאסט מצויין שבו ליאו לפורט וטום מריט ראיינו את קווין מיטניק.
הסיפורים שלו על עצמו מעניינים והספר שלו נשמע מעניין לקריאה.
הנה קישור לפודקאסט: http://twit.tv/show/triangulation/21
קווין מיטניק אדם מרתק ומגוון.
הוא נשמע "שובב" אך אין לשכוח שמדובע בעבירות ולא סתם בתעלולים שאינם מזיקים.
הראיון עורר מחשבות על ההבדל בין עבירה מתוך סקרנות לבין עבירה לשם גרימת נזק.
הסיפורים שלו על עצמו מעניינים והספר שלו נשמע מעניין לקריאה.
הנה קישור לפודקאסט: http://twit.tv/show/triangulation/21
קווין מיטניק אדם מרתק ומגוון.
הוא נשמע "שובב" אך אין לשכוח שמדובע בעבירות ולא סתם בתעלולים שאינם מזיקים.
הראיון עורר מחשבות על ההבדל בין עבירה מתוך סקרנות לבין עבירה לשם גרימת נזק.
Wednesday, September 21, 2011
רשמים מכנס owasp-il2011
ביום חמישי שעבר הגעתי למרכז הבינתחומי בהרצליה כדי להשתתף בכנס owasp-il2011. הגעתי ברכבת מנתניה, בתחנת בית יצחק נפגשתי עם אלעד וירדנו בתחנת הרצליה 7 הכוכבים. משם חיכינו כ-40 דקות לאוטובוס קו 8 שבושש לבוא. מוניות לא הסכימו להסיע לבינתחומי בתואנות על פקקים אז יצאנו ברגל ביחד עם עוד שני חבר'ה צעירים בתיכון ולפני גיוס, אחד מהם, עמיחי, מהחברה של dcg9723. בעת ההליכה עד לתחנה המרכזית, למדתי על החבר'ה האלה שהבריזו מבית הספר כדי ללמוד על תחום העניין שלהם, אבטחת מידע באינטרנט. מתחנה מרכזית קו 2 הביא אותנו לבינתחומי לחים ונלהבים ובאיחור מה.
אחרי "שלום-שלום" עם כמה מכרים וכמה קוראים של הבלוג שלי נכנסנו, אלעד ואני להרצאה של שי חן מהאקטיקס (החדשים, אחרי הרכישה של ארנסט-יאנג). הנה הקישור למצגת שלו. ההצגה היתה מעניינת. אני חושב שאני יכול לסכם את הרעיון במשפט הבא: אפשר לנצל מידע רגיש שנרשם בזכרון משותף לצורך התקפה באמצעות שימוש ב-race conditions. חן הראה כיצד הוא מצליח בשיטה זו לעבור מסך שדורש שם משתמש וססמה גם ללא ססמה על ידי גלישה במקביל לדף ה-"שכחתי ססמה". לכאורה, גם במקרים שבהם לנצל את ה-race condition קשה מאוד כי ה-race קיים רק לשבריר שנייה, גם אז אפשר לנצל בהצלחה את השיטה -- חן הציג ודן בשיטות מגוונות להאריך שבריר שנייה זה לזמן ארוך יותר ומשמעותי מספיק כדי לבדוק האם ההתקפה יישימה ואם כן, לבצעה. המשותף להצעות לקבל "תוספת זמן" היה התקפה אלגוריתמית, אך לא בכוונה לבצע Denial of Service אלא דווקא להשאיר את השרות עובד -- הרי המטרה היא לנצל את ה-race. הפתרון להתקפות מסוג זה בצד הפיתוח הוא לא מפתיע:
ההרצאה הבאה היתה של יותם הר-חול. הוא הציג עניינים שקשורים לפיתוח מנוע חתימות לזיהוי חדירה (intrusion detection system) מבוסס אלגוריתם אהו-קוראסיק. לא מעט מהנושאים שהוצגו, אם לא כולם, הם מנת חלקו של כל מפתח שהיה צריך לבנות מנוע יעיל מסוג זה. לא הבנתי מדוע החידושים שהוצגו הם חדשים (אולי באקדמיה הם חדשים, בתעשייה, הדברים הללו נעשו כבר, אני יודע שאני עשיתי דברים כאלה ועוד אחרים במימוש שלי למנוע החתימות של ה-ASM של F5 שפיתחתי). יחד עם זאת זה חיובי שבאקדמיה דנים בנושאים הללו ומפרסמים דברים שאחרת לא היו רואים אור. זה כנראה יחסוך למפתחים בעתיד שימצאו את עצמם "ממציאים את הגלגל" -- במקום זאת יוכלו להיעזר במסקנות של העבודה הזאת ודומות לה.
בהרצאה הבאה עמרי ויסמן מ-IBM הסביר על glass-box testing. המצגת וההרצאה היו ממש מבוא בסיסי. הנה המצגת. אין חידושים והמצאות, מלבד אולי הידיעה שב-IBM השקיעו מחשבה ופיתוח כדי לארגן את הנושא במוצר מסודר.
הכריכים, הירקות והפירות בהפסקת הצהריים היו טעימים ונחמדים מאוד. כל הכבוד למארגנים.
ההרצאה של איירין מ-Seeker security (מי שפעם היו האקטיקס) היתה מכוונת לקהל שונה לדעתי מהקהל שנכח בכנס. נדמה היה לי שהפאנץ' היה ש-pen testing זה קשה ולא פשוט. אולי לא ירדתי לסוף דעתהץ לא היה ברור לי מה ניסתה לחדש ובמה חידשה לקהל. היא הסבירה בהתלהבות ונתנה דוגמאות, אבל נדמה היה לי שההרצאה היתה יותר מכוונת לעסקים שמזמינים עבודות של pen testing ופחות למקצוענים שכבר יודעים במה מדובר וציפו להרצאה טכנית יותר או עם יותר סיפורים אמיתיים מהשטח עם דוגמאות מעמיקות יותר. אם המטרה היתה לתת ללקוחות פוטנציאלים להבין את המקצוע בפרופורציה ולאזן את הציפיות שלהם בהתאם, אז זה כנראה השיג את המטרה. אם המטרה היתה שונה, כנראה שהחמצתי אותה. הנה המצגת.
ארז מטולה, כרגיל סיפק את הסחורה ונתן הופעה. הוא הסביר שפיצוח קריפטוגרפיה שהוכיחה את עצמה אינה משימה קלה ואינה דרך המלך להתקפה כשהמחסום הוא קריפטוגרפי. ארז סקר והציג מגוון שיטות ידועות לעקוף קריפטורגפיה ולנצל חוסר הבנה של מממשים של פתרונות אבטחה. בוירטואוזיות רבה הדגים באופן חי ארז איך אפשר לנצל מקרים של חוסר הבנה במימוש וחוסר הבנה בקריפטוגרפיה כדי להשיג בקלות מידע רגיש וכדי להשיג בקלות גישה למערכות. השימוש הנפוץ ביותר היה בזוגות של clear-text ושל cipher-text להשוואה תוך הסקת מסקנות באיזו שיטה היה נסיון להצפין או לערבל. הדיאלוג עם הקהל והקסם הצליחו יפה בעיני. הוא מציג מוכשר. אני מקווה שהוא יסכים להגיע לאאוטבריין ל-tech-talk ויראה לנו דברים מעניינים על java ועל דברים אחרים שרלוונטיים לשרות של אאוטבריין. הנה המצגת.
ההרצאה של עופר שיזף ושל איל פינגולד מ-HP היתה על REST ולא חידשה (לי) דבר -- כנראה שיש בה לשפוך אור על הנושא למי שאינו בקיא בחומר, אבל לכל מי שעסק בנושא, לא היה פה שומדבר חדש לשמוע.
חתם את ההרצאות עדיש (עדי שהרבני) שנתן הופעה יפה מאוד והדגים חי שימוש ב-JavaScript לייצור התקפות שמנצלות פרצה שהיתה בדפדפנים בניידים חכמים. הנה המצגת. אגב, השימוש ב-Prezi היה מוצלח -- פורמט יפה ומעניין ומושך למצגות. ההדגמות החיות וההסברים אפשרו למי שלא ידע או שלא הבין מספיק עקרונות של Same Origin Policy ושל Persistence. נהניתי מאוד מההדגמות ומההסברים. כל הכבוד על ההצגה המעניינת. השוויץ שלו עם JavaScript עובד בכל פעם! :-)
שמחתי לפגוש מכרים שפוגשים בד"כ רק בארועים מסוג זה. הייתי שמח לראות הרצאות הרבה יותר טכניות והרבה יותר hands-on אבל אולי בשביל זה יש meet-ups קטנים יותר לקבוצות עניין ממוקדות יותר.
אחרי "שלום-שלום" עם כמה מכרים וכמה קוראים של הבלוג שלי נכנסנו, אלעד ואני להרצאה של שי חן מהאקטיקס (החדשים, אחרי הרכישה של ארנסט-יאנג). הנה הקישור למצגת שלו. ההצגה היתה מעניינת. אני חושב שאני יכול לסכם את הרעיון במשפט הבא: אפשר לנצל מידע רגיש שנרשם בזכרון משותף לצורך התקפה באמצעות שימוש ב-race conditions. חן הראה כיצד הוא מצליח בשיטה זו לעבור מסך שדורש שם משתמש וססמה גם ללא ססמה על ידי גלישה במקביל לדף ה-"שכחתי ססמה". לכאורה, גם במקרים שבהם לנצל את ה-race condition קשה מאוד כי ה-race קיים רק לשבריר שנייה, גם אז אפשר לנצל בהצלחה את השיטה -- חן הציג ודן בשיטות מגוונות להאריך שבריר שנייה זה לזמן ארוך יותר ומשמעותי מספיק כדי לבדוק האם ההתקפה יישימה ואם כן, לבצעה. המשותף להצעות לקבל "תוספת זמן" היה התקפה אלגוריתמית, אך לא בכוונה לבצע Denial of Service אלא דווקא להשאיר את השרות עובד -- הרי המטרה היא לנצל את ה-race. הפתרון להתקפות מסוג זה בצד הפיתוח הוא לא מפתיע:
- להמנע מ-race ולעבוד מסודר
- לא לכתוב מידע רגיש בזכרון משותף
- לא להשתמש במודל חישובי חזק יותר מהנדרש (למשל, אם רוצים ביטויים רגולריים, אז כדאי להשתמש במנוע רגולרי במובן המתמטי, כזה שמבטיח עיבוד בזמן לינארי באורך הקלט, אגב, למפתחים מתעניינים יש מאמרים יפים של ראש קוקס על כך ב-http://swtch.com/~rsc/regexp/, ולא במנועים כלליים כמו pcre, שאינם מבטיחים ריצה לינארית באורך הקלט ונתונים להתקפות אלגוריתמיות דיי בקלות, למשל לפי המתואר ב-http://en.wikipedia.org/wiki/ReDoS, אבל לא רק...).
ההרצאה הבאה היתה של יותם הר-חול. הוא הציג עניינים שקשורים לפיתוח מנוע חתימות לזיהוי חדירה (intrusion detection system) מבוסס אלגוריתם אהו-קוראסיק. לא מעט מהנושאים שהוצגו, אם לא כולם, הם מנת חלקו של כל מפתח שהיה צריך לבנות מנוע יעיל מסוג זה. לא הבנתי מדוע החידושים שהוצגו הם חדשים (אולי באקדמיה הם חדשים, בתעשייה, הדברים הללו נעשו כבר, אני יודע שאני עשיתי דברים כאלה ועוד אחרים במימוש שלי למנוע החתימות של ה-ASM של F5 שפיתחתי). יחד עם זאת זה חיובי שבאקדמיה דנים בנושאים הללו ומפרסמים דברים שאחרת לא היו רואים אור. זה כנראה יחסוך למפתחים בעתיד שימצאו את עצמם "ממציאים את הגלגל" -- במקום זאת יוכלו להיעזר במסקנות של העבודה הזאת ודומות לה.
בהרצאה הבאה עמרי ויסמן מ-IBM הסביר על glass-box testing. המצגת וההרצאה היו ממש מבוא בסיסי. הנה המצגת. אין חידושים והמצאות, מלבד אולי הידיעה שב-IBM השקיעו מחשבה ופיתוח כדי לארגן את הנושא במוצר מסודר.
הכריכים, הירקות והפירות בהפסקת הצהריים היו טעימים ונחמדים מאוד. כל הכבוד למארגנים.
ההרצאה של איירין מ-Seeker security (מי שפעם היו האקטיקס) היתה מכוונת לקהל שונה לדעתי מהקהל שנכח בכנס. נדמה היה לי שהפאנץ' היה ש-pen testing זה קשה ולא פשוט. אולי לא ירדתי לסוף דעתהץ לא היה ברור לי מה ניסתה לחדש ובמה חידשה לקהל. היא הסבירה בהתלהבות ונתנה דוגמאות, אבל נדמה היה לי שההרצאה היתה יותר מכוונת לעסקים שמזמינים עבודות של pen testing ופחות למקצוענים שכבר יודעים במה מדובר וציפו להרצאה טכנית יותר או עם יותר סיפורים אמיתיים מהשטח עם דוגמאות מעמיקות יותר. אם המטרה היתה לתת ללקוחות פוטנציאלים להבין את המקצוע בפרופורציה ולאזן את הציפיות שלהם בהתאם, אז זה כנראה השיג את המטרה. אם המטרה היתה שונה, כנראה שהחמצתי אותה. הנה המצגת.
ארז מטולה, כרגיל סיפק את הסחורה ונתן הופעה. הוא הסביר שפיצוח קריפטוגרפיה שהוכיחה את עצמה אינה משימה קלה ואינה דרך המלך להתקפה כשהמחסום הוא קריפטוגרפי. ארז סקר והציג מגוון שיטות ידועות לעקוף קריפטורגפיה ולנצל חוסר הבנה של מממשים של פתרונות אבטחה. בוירטואוזיות רבה הדגים באופן חי ארז איך אפשר לנצל מקרים של חוסר הבנה במימוש וחוסר הבנה בקריפטוגרפיה כדי להשיג בקלות מידע רגיש וכדי להשיג בקלות גישה למערכות. השימוש הנפוץ ביותר היה בזוגות של clear-text ושל cipher-text להשוואה תוך הסקת מסקנות באיזו שיטה היה נסיון להצפין או לערבל. הדיאלוג עם הקהל והקסם הצליחו יפה בעיני. הוא מציג מוכשר. אני מקווה שהוא יסכים להגיע לאאוטבריין ל-tech-talk ויראה לנו דברים מעניינים על java ועל דברים אחרים שרלוונטיים לשרות של אאוטבריין. הנה המצגת.
ההרצאה של עופר שיזף ושל איל פינגולד מ-HP היתה על REST ולא חידשה (לי) דבר -- כנראה שיש בה לשפוך אור על הנושא למי שאינו בקיא בחומר, אבל לכל מי שעסק בנושא, לא היה פה שומדבר חדש לשמוע.
חתם את ההרצאות עדיש (עדי שהרבני) שנתן הופעה יפה מאוד והדגים חי שימוש ב-JavaScript לייצור התקפות שמנצלות פרצה שהיתה בדפדפנים בניידים חכמים. הנה המצגת. אגב, השימוש ב-Prezi היה מוצלח -- פורמט יפה ומעניין ומושך למצגות. ההדגמות החיות וההסברים אפשרו למי שלא ידע או שלא הבין מספיק עקרונות של Same Origin Policy ושל Persistence. נהניתי מאוד מההדגמות ומההסברים. כל הכבוד על ההצגה המעניינת. השוויץ שלו עם JavaScript עובד בכל פעם! :-)
שמחתי לפגוש מכרים שפוגשים בד"כ רק בארועים מסוג זה. הייתי שמח לראות הרצאות הרבה יותר טכניות והרבה יותר hands-on אבל אולי בשביל זה יש meet-ups קטנים יותר לקבוצות עניין ממוקדות יותר.
Sunday, September 11, 2011
סופ"ש במלון ממילא בירושלים עם החבר'ה מאאוטבריין
מיכל ואני בילינו סופ"ש במלון ממילא עם החבר'ה מאאוטבריין.
טיילנו בשוק מחנה יהודה טיול עם סיפורים על המקום וטעימות ממטעמים אופייניים, טיילנו עוד קצת בנחלאות, פיקנקנו בגן העצמאות (קצת צלחת מעופפת, קצת עפיפונים והרבה הפתעות שאספו החבר'ה בשוק), אכלנו ואכלנו ואכלנו...., בילינו בפאב, טיילנו בסמטאות וראינו את חומות ירושלים ואת מגדל דוד בלילה ולמחרת טיילנו ברחובות באזור ממילא ומגרש הרוסים בהדרכתו של דודי הולצמן (המלך!), ואכלנו, ונחנו, ואכלנו, ונחנו, וגם שוחחנו ובילינו עם החבר'ה.
היה נחמד להפגש עם בני ובנות הזוג של החבר'ה מאאוטבריין. היה אוכל טעים. המלון היה מפנק ביותר. היו לי שם שנת הצהריים ושנת הלילה מן האיכותיות מזה שנים רבות.
כיף גדול.
התמונות בפייסבוק: https://www.facebook.com/media/set/?set=a.10150286903898780.340168.676733779&type=1
והנה כמה בשביל האוירה:
והנה תמונות שצילמו אותי חברים:
גלריות של אחרים שצילמו בארוע:
שי: https://picasaweb.google.com/
ורד: https://picasaweb.google.com/100306565205299022682/JerusalemSept2011#
ערן: https://picasaweb.google.com/109684895021657642247/OutbrainJerusalemSeptember0910201102?authkey=Gv1sRgCKGFoorjhr-GRw
איתן: https://picasaweb.google.com/109490728292238320056/OutbrainWeekendInJerusalemDay1September2011?authkey=Gv1sRgCKOMr4W6y5KP1AE
https://picasaweb.google.com/109490728292238320056/OutbrainWeekendInJerusalemDay2September2011?authkey=Gv1sRgCLq66-XP3LP5RQ
Subscribe to:
Posts (Atom)