כפתור פראנויה לכל כיס

YubiKey 4 keychain and YubiKey 4 Nano

אמ;לק: סקירת מוצר שיוסיף לכם שכבת הגנה על חשבונות מקוונים וגם על המחשב האישי. זו תהיה כתבה ראשונה בסדרת פוסטים על אבטחת מידע בסיסית לישראלי המצוי, למרות שהפוסט הספציפי הזה אולי לא מיועד ממש לכולם כי הוא עוסק בחומרה יעודית שעולה בסביבות $50 (כולל משלוח) ולא תוכנה זמינה וזולה/חינם.

יותר מחצי שנה לא כתבתי פוסט, למעשה כמעט 8 חודשים אני חושב. המון חדשות חולפות בקצב מסחרר ואי אפשר להתעמק בכלום, וגם החלפת מקום עבודה מוריד מהזמן הפנוי לכתיבה של יותר מציוצים בטוויטר. אם אתם לא עוקבים, חוק הזיהוי הביומטרי עבר והחל מיוני כולם חייבים לתת טביעות אצבע ופנים. מי שישלם כופר מיוחד יוכל להשאר מחוץ למאגר (אם אתם באמת מאמינים שלא ישמרו לכם את תביעת האצבע אחרי שיכתבו אותה לשבב בתעודה), אבל יצטרך לעשות את זה פעמיים בעשור במקום פעם אחת. ההמשך עכשיו יכול להיות אחד משלושה עיקריים: או שהפניה שלנו לבג"צ תצליח והמאגר יבוטל מתישהו ב-2018, או שיהיה מהפך בחירות וקואליציה חדשה תחליט למחוק את השרץ, או שהגזרה תשאר, ועד 2022 (2027 למי שרץ להחליף תיעוד במאי) כל הישראלים שישארו פה יאלצו להשתדרק למאגר. בינתיים כבר היו דליפות בהודו וסיפורים מסוכנים אחרים, אז נחיה ונראה. על עדכונים של פאדיחות הבית הלבן אני גם לא ארחיב, אתם בטח צופים כמוני בסטיבן קולבר ביוטיוב.

היום אני רוצה לספר לכם על הצעצוע החדש שלי, יוביקי 4. כל מי שמכיר אותי, יודע שככל שנכנסתי בשנים האחרונות לתחום הזכויות הדיגיטליות, אני יותר ויותר מתעניין בתחומי הצפנה, זיהוי והזדהות, סיסמאות חזקות וכדומה. זה רק אספקט קטן מהעולם הזה, וכמובן לא משנה כמה חזקה הסיסמא שלכם לפיכסבוק אתם עדיין צריכים להיות אחראים למה שאתם מפרסמים שם. בכל מקרה כדאי גם שלא יגנבו לכם את החשבון עצמו, ולכן אני ממליץ תמיד:

  • סיסמאות ארוכות וקשות, ושונות לכל אתר.
  • כמה ארוכות וקשות? כאלו שבחיים לא תזכרו, בשביל ×–×” יש מנהלי סיסמאות. על ×–×” כנראה פוסט נפרד בעתיד.
  • אם השירות מציע אימות כפול, הפעילו אותו תמיד! יוצא דופן – אימות באמצעות סמס, ×–×” כנראה חלש ובעייתי מדי, ומאלץ אתכם לתת לשירות את מספר הטלפון שלכם, אז לשיקולכם. חפשו בהגדרות המשתמש שלכם, יש אלפי אתרים שתומכים.
  • כדאי להחליף סיסמאות פעם בשנה, אבל אפילו אני לא עד כדי כך קדוש. החליפו כשיוצא לכם.
  • אפשר לסנכרן סיסמאות ושאר מידע בין דפדפנים באמצעות Chrome Sync או Firefox Sync/Weave אבל לבחור במקרים כאלו סיסמת הצפנה ארוכה וקשה, אפילו 64 תווים, שתשמר כמובן מוצפנת במנהל הסיסמאות שלכם.

כמה מילים על אימות כפול, או אימות בשני פקטורים: אחד הדברים הראשונים שמוגדרים בפרוטוקול זיהוי (ולא משנה אם אנחנו מדברים על סיסמא לאתר או כשאתם מתיישבים מול הפקיד בבנק) הוא הגדרת שיטת הזיהוי, כששיטות אימות הזיהוי מתחלקות ל3 קטגוריות כלליות: מי אתה, מה אתה יודע, ומה יש לך.

מי אתה – ×–×” לרוב זיהוי ביומטרי, הבעיות איתו שאת חלק מהמדידות הביומטריות יקר למדוד או קל לזייף, ובמיוחד ×–×” לא שונה מול כל גורם, ולכן אם היכולת להתאמת במקום אחד דלפה, הרי שהיא טובה לאחרים שסומכים על אותה השיטה. ×–×” שווה ערך לסיסמא לא חזקה, שכתובה בצורה לא מוצפנת בכל מיני מקומות שאתה מסתובב בהם, שניתן לזייף ואי אפשר להחליף. רעיון גרוע. הצעתי היא שאם ספק השירות נותן בחירה, אל תסתפקו לעולם בזיהוי ביומטרי כאמצעי זיהוי ראשי. לא מול משרד הפנים או רשויות המס, לא טביעת האצבע לפתיחת הטלפון, לא להפעיל חתימה אלקטרונית במחשב, לא טביעה קולית מול השירות הטלפוני של הבנק, כל אחת מהשיטות האלו כבר הוכחה כקלה לזיוף.

משהו שאתה יודע – זו לרוב סיסמא, ובמקרים הפחות מוצלחים: תאריך יום הולדת, קוד סודי מגב כרטיס האשראי, תאריך ההוצאה של תעודת הזהות האחרונה שלך, מספר תעודת הזהות, שם הנעורים של אימא, שם ×—×™×” או מורה או בי"ס ראשון וכיוצא באלו דברים שקל לגלות עליכם ×¢"×™ בילוש או כיוס.

משהו שיש לך – תעודה בלתי ניתנת לזיוף, אם ×¢"×™ שימוש בשיטות ייצור סודיות וייחודיות ואם ×¢"×™ חתימה דיגיטלית, או אולי מפתח כלשהו שלא ניתן לשכפל. כשאני אומר מפתח עולה לכם אולי בראש מפתח פלדלת או ייל, אבל את אלו כבר שכפלו ×›×™ הופיעו בטעות בתמונה. הסיפור ×”×›×™ מצחיק ×”×™×” כשסוכני TSA הצטלמו ברוב היבריס עם צרור המפתחות שלהם שפותח כל מנעול מזוודות בשוק, ואנשים מיהרו להעתיק את המבנה מהתמונות, וכמזה שנתיים אפשר להוריד את כל המפתחות מגיטהאב להדפסה בתלתפסת ביתית. לא, אני מתכוון למפתחות הצפנה פיזיים, כלומר מעין התקן USB עם מעבד קטן וזכרון שאי אפשר לקרוא, וניסיון למעקף פיזי של ההגנות אמור להרוס אותו ללא שוב. כאלו יש מספר מוצרים בשוק ואחד היצרנים הבולטים הוא Yubico. אני סוקר את המוצר שלהם כאן ×›×™ אחרי שלמדתי את הנושא ברשת הגעתי למסקנה שזה אחד משניים-שלושה ×”×›×™ מעניינים, מגוונים ונגישים, ואין לי שום קשר איתם מעבר לזה (וכמובן לא קיבלתי מהם מוצר או טובות), ולכן קניתי אותו. יש להם אפילו יבואן רשמי בארץ אבל אחרי שקיבלתי מהם ספאם, העדפתי לשלם את המחיר המלא של הזמנה מחו"ל (אמזון או הריסלר ×”×–×”). שווה להציץ, לפעמים יש להם סייל 50% ×”× ×—×” ליום-יומיים.

אימות כפול, או אימות מרובה, הוא כזה שמשתמש ביותר משיטה אחת מאלו שפירטתי, ובמיוחד עדיף שלפחות משתי קטגוריות שונות. ((אפשר לדון פה פילוסופית אם ה־‏Google Authenticator שלי, שמגובה כל יום וניתן לשחזור במקום אחר הוא באמת משהו שיש לי או שהוא מידע ולכן משהו שאני יודע, אבל לצורך הפשטות, לרוב המוחץ של האוכלוסייה, זה נופל תחת משהו שיש לי.))

המוצר עליו אדבר פה הוא חד פעמי ולא ניתן לגיבוי או העתקה, ולכן הוא בגדר משהו שיש לי. לא אכנס כאן לכל הפרטים הטכניים הקטנים, אבל רשימת הדברים שעושה הכרטיסון הקטן הזה היא מרשימה:

  • מול אתרי ווב יש לי את שירות U2F שמזכיר את יישומון Google Authenticator רק שלא צריך להעתיק שישיות ספרות ולא ניתן להעתיק את הסודות ×¢"×™ יישומון זדוני (מצד שני, אי אפשר לגבות, לטוב ולרע…)
  • משמש לפתיחת כספות סיסמאות כמו Keepass או LastPass.
  • הוא יודע לעבוד במוד challenge-response מכמה סוגים, שמאפשרים לי למשל לאבטח את הלפטופ שלי כך שלוגין פשוט (בקונסול, GDM או מנעילת מסך) ללא הכרטיס תיחסם (מודול PAM ששולח לו צ'אלנג' ורואה שהוא מחשב אותו נכון ואז מאשר גם לפי הסיסמא). לחלונות ומאק יש אפשרות דומה.
  • בשיטה אחרת גם פתיחת ההצפנה של הדיסק (root on LUKS) לא תתאפשר בלי שהסיסמא תעבור פיענוח דרך הכרטיס.
  • הוא יודע להצפין ולפתוח מסרים עם מפתח RSA של GPG עד 4069 ביט (2048 בלבד בגרסת Yubikey NEO של ההתקן, לצערי).
  • משמש אמצעי אימות לחיבור SSH, אם ×¢"×™ שמירת המפתח הסודי או דרך אימות PGP שעד לאחרונה לא הכרתי אפילו שקיים.
  • הוא יודע לחתום על Docker Images (לא בגרסת NEO) למי שזה מעניין אותו.
  • הוא יודע לייצר קודים חד פעמיים מסוג HOTP (אין לו שעון פנימי, אז אין TOTP בלי תוכנה מסייעת).
  • האתרים שכרגע אני עובד איתם בעזרתו: חשבונות גוגל השונים, גיטהאב, בלוגים מבוססים וורדפרס.
  • אתרים בהם אני לא משתמש אבל תומכים: סיילזפורס, פיכסבוק ודרופבוקס.
  • אתרים שהייתי רוצה לעבוד אתם אבל לא תומכים (בינתיים): פייפאל, בנקים ישראליים, חברות ביטוח ובריאות, אמאזון, טוויטר, ובעצם כל אתר אחר שאני נכנס אליו עם סיסמא.
  • רוב התוכנות והדרייברים פתוחים וברישיון חופשי, אפשר גם לבנות שרת אותנטיקציה משלך לשרתים אחרים ועוד המון אפשרויות לאנשים פרטיים וללקוחות תאגידיים.

שו"ת

זה לא פרנואידי?
למשתמש פרטי כיום, קצת. בעתיד אולי כבר לא. כדאי להתחיל להכיר או להתרגל.

להצפין את הדיסק? זה לא מעמיס את המערכת?
עם LUKS זה מובנה בקרנל, לחלונות ומאק יש משהו דומה, המחיר אחוז או שניים. אני לא ממליץ על ecryptfs שאובונטו מציעה להצפין אתה רק את ספריית הבית, זה פוגע בביצועים הרבה יותר. התחלתי לעשות את זה כשעבדתי בחברות שעסקו במידע רגיש, אצל מעסיקים אחרים הסתכלו עלי כמשוגע ובסוף באו להתייעץ איתי כשהמחשב הראשון נגנב מהמשרד או כשנציגים התחילו לצאת לשטח ולתערוכות ועלה הפחד שיגנבו סודות מקצועיים. אז כאמור לדעתי היום זו חובה שלא עולה הרבה לממש.

אני בונה היום אתר, להשקיע באימות כזה למשתמשים שלי?
גם TOTP-2FA וגם U2F – לדעתי כן, במיוחד אם האתר שומר פרטים אישיים של כרטיסי אשראי, בריאות מטופלים ועוד כיוצא באלו. יש ספריות חופשיות שקל לשלב, ולמערכות כמו וורדפרס, דג'נגו, ×’'ומלה, רובי-או-ריילז ואחרות יש כבר מודולים מוכנים לקטיפה מהעץ, אז חבל להתעצל!

למה יוביקי 4 ולא גרסת הנאו?
טעם אישי. היוביקי 4 תומך במפתחות טיפה יותר גדולים, הוא טיפה יותר זול, קוד ה-PGP שלו פתוח בגיטהאב. לרוב האנשים גם הנאו יהיה מצוין, והיתרון הגדול שלו הוא NFC שעובד עם אנדרואידים שיש להם רכיב תקשורת תואם. אם רוצים להשתמש ביוביקי 4 (ללא NFC) על אנדרואיד, אפשר בעזרת כבל OTG, או לטלפונים חדשים, חיבור ישיר USB-C בדקם יוביקי החדש).

יש מתחרים ראויים?
יש כמה. חלקם יתנו U2F בלבד בפחות מ$10-$20, חלקם יקרים מאוד אבל עושים דברים נוספים כמו לשמש כארנק קריפטומטבעות (למשל Trezor ואחרים) ויש גם אופציות "האקריות" פתוחות כגון OnlyKey שמוסיף שכבות הגנה כמו סיסמא, פיצ'רים כמו השמדה עצמית וכדומה. יש מצב שאקנה כזה בעתיד, למרות שהוא נראה פחות עמיד מכנית לשבירה ושפשופים.

התוכנה צרובה ולא ניתנת להחלפה? אז מה אם יתגלה באג אבטחה?
כבר קרה פעם אחת, וכל הלקוחות קיבלו מפתח חדש עם קושחה מעודכנת. זה חלק מהשירות (והמחיר). אי האפשרות לעדכן את הקושחה זה פיצ'ר מתוכנן במכוון, כדי לא לאפשר החלפה לתוכנה שתגלה את המפתחות הסודיים ששמורים על המפתח.

כבר יש לי כזה מהמעסיק
אם המעסיק נתן לכם התקן ×›×–×” שישאר שלכם לשימוש אישי גם אחרי שתעזבו – ×›×™×£ לכם! גוגל, פייסבוק וחברות טכנולוגיה אחרות עושות את ×–×”. השתמשו בזה חופשי גם לחשבונות פרטיים!

אבל זה בעצם כרטיס חכם! יש לי כזה מרשות המסים ובתעודת הזהות החכמה החדשה!
כן ולא. יש על הכרטיסים האלו מעבד מספיק חזק לכל אלו ככל הנראה, ויכולות להזדהות בפרוטוקול כלשהו מול הממשלה יום אחד, אבל לא קושחה פתוחה שמאפשרת את כל הטוב שעליו כתבתי לעיל. אם הייתי שר הפנים, אחרי שהייתי מבטל את המאגר הביומטרי, הייתי מעביר נותן לכל הציבור תעודות חכמות עם היכולות האלו מובנות שישמרו עליהם ביום-יום. לצערי לא נראה לי שזה יקרה בזמן הקרוב.

למה לא כתבת פוסט כבר המון זמן?!
×›×™ הייתי עסוק, וכי אף אחד לא שאל למה לא כתבתי כבר המון זמן, אז אולי מסתפקים בפרסונה הטוויטרית שלי…

אם יש לכן עוד שאלות, שתפו בבקשה בתגובות. אם זה מספיק מעניין לכלל הקהל, אולי אענה פה בגוף הפוסט.

הפלנטה זזה!

שלום לספקנים!

עוד כמה שעות אני מוריד את אתר פלנטת הספקנים הנוכחי ומיישם אותו מחדש בעזרת וורדפרס. אתר הפלאנטה שודרג! זה אומר שתצטרכו לעדכן את קורא הרססים שלכם אם אתם מנויים עליו.

אתם מוזמנים לתת כאן משוב לגבי הקריאות והעיצוב. כרגע זו תבנית twentyeleven שעברה התאמת צבעים לאתר האם, אתם מוזמנים להציע חלופות, כל עוד זה פועל בתיאום עיצובי עם האתר הראשי.

תודה מראש על המשובים, ותהנו!

Bidirectional writing in WordPress

This howto aimed at bloggers wanting to post in more than one language and need bidirectional support. I could not find this info gathered elsewhere, so I'm summarizing what I know here. Distribution license and other info is at the end.

The options I've encountered so far:

1. Open two blogs and "ignore" the problem, like Dr. Gadi Taub and others. There are localized RTL themes ans editions of WordPress in Hebrew (T1 T2), Arabic (T1 T2) and Farsi (T). The maintainer for the Arabic WP is an Israeli, btw.

Pros: No changes in core code, no need for special tricks in themes, sidebar items and other strings are always in the same language as the posts. Mostly Useful if your reader groups are not intersecting.
Cons: You need to keep two installations up to date, backup two databases, match design of seperate themes if you want the same look, and be used to two management interfaces or get used to one of them aligning all the editors and category names the wrong way.
Hint: if you have shell access on the server, you can save some of the double-tasks with symbolic links of plug-ins and such.

2. Start each blog post of the non-default directionality with a manual directionality tag. E.g. if your Theme is in Farsi and you want to post in Italian use <div dir=ltr> or <div style='direction: ltr;'>

Pros: Works in any setup, just paste a tiny string.
Cons: Visual editor may screw this up, doesn't offer a solution to comment directionality, doesn't justify subject and doesn't translate labels in the theme.

3. Yohay at Things.co.il went all out, created two category trees, and hacked his theme to display a post in a directionality based on the post's category's base being English or עברית. cool hack, but I'm too lazy…

4. Hey! the damn COMMENTS are automatically Bidi… When you comment in English on most Hebrew themes and it just shows up right. I remember this used to be a plug-in way back but now I guess Ran has merged it into the code. I wanted to hack that function to flip the posts' bodies and subjects too but could not find it (well, I was just being lazy. didn't look hard enough, I admit…), plus I hate making changes to the core and have them reversedon the next upgrade because I was too lazy to submit them… 🙂

5. (drum roll) Enter Nadav Elyada's Hebrew4wp! I looked for something like this two weeks ago for Niv Calderon thinking "it's open source, someone MUST have scratched this itch", but I googled in Hebrew… never occured to me It will be published in that other rare language…

So… If your blog's theme is Left-To-Right and you have an occasional post in Hebrew/Farsi/Arabic/Urdu, then hebrew4wp is for you! It will test the first char of every element on the page and change the directionality to RTL based on the UTF-8 value or leave it.

However if you are using an RTL theme and need an occasional post in English, I changed two lines in the Javascript to reverse the effect. Check this out. It works for me, but the hack is so basic it might not do the right thing for everyone. If you find a problem and a nice fix for it, let us know…
This post is…

  • Posted in English so it reaches as many WordPress users as possible, but you are encouraged to translate it.
  • Dedicated to and written in the spirit of Free Software: promoting freedom of speech, cooperation and individual rights and freedoms.
  • Released by me, Ira Abramov, under the CC-sa license with special exception for translators: If you feel certain that Israeli references hurt the propagation of the info in your language/country/community I'll waive you the attribution clause but please drop a comment below with a link to let us know. Feel free to translate it into any language and fix/update as needed. If you have any corrections or additions, please update me and everyone in the comments.
  • Aimed at WordPress at the moment because that's the platform I know best. MovableType issues and other additions are welcome.
  • Aimed especially at my fellow bloggers writing in RTL (Right to left) languages such as Arabic, Farsi, Afghan, Urdu, Uyghur, Yiddish and of course Hebrew.

  • Eager to know If you are posting in rare RTL writing systems like Arameic, Dhivehi, Mende/Ki-ka-ku, N'Ko or Tifinagh. Please drop a link or pingback!
  • Anyone dedicated enough to blog in dead RTL like Etruscan, Meroïtic, Hieroglyphics, Sabaean, Syriac, Nabatean, Oscan, Orkhon, Mandaic, Avestan, Cypriot, Enochian or others – That's very cool! Please comment this post with a link or send a pingback 🙂
  • Needs multilingual keywords for search engines so help me translate: wordpress, ووردبريس, וורדפרס, bidi, bidirectional, דו-כיווני, LTR, RTL, מימין לשמאל, משמאל לימין, bilingual, דו-לשוני, שתי שפות, Blog, בלוג, posts, מאמרים, כתיבה, help, tip, עזרה, עצות

עוד מחשבות על בלוגיות חופשיות בישראל

אחרי הפוסט הקודם על הזעזועים ברשימות, וקריאה חוזרת של התגובות להודעת הצוות על פיזור המשתמשים, או דיונים שהתפתחו מסביב כמו האחד הזה אצל רוני, ובהתחשב בעובדה שמחסור בתקציב ו/או כוח אדם פורר את "שקוף" ומעמיד בסימן שאלה את עתידה של בלוגלי, לא נותר לי אלא להצטער שחופש הביטוי באמת חשוב רק לבני המעמד הבינוני והמעוך בישראל. אנשים שקרועים בין הצורך לתחזק את הפלטפורמות והשופרות החשובים האלו ובין הצורך פשוט להתפרנס.

החוקים בארץ לא מעודדים עוסקים עצמאיים לצערי. את ×–×” אני יודע ממצוקה אישית. אין זכויות בביטוח לאומי (למרות שאני משלם להם אחוזים יותר גבוהים מאשר שכיר), אין יותר מדי גב לגביית חובות, אי אפשר להקים בקלות "תיבת תרומות" כמו פרויקטים פרטיים קטנים ברשת בלי שמס הכנסה יבוא יום אחד וינקנק אותך. לאתרים כמו בלוגלי וכמו רשימות לא נותר אלא למכור את האתר (ולקוות שהקונה לא יבגוד במשתמשים), או לקחת כסף מהמשתמשים על פיצ'רים מיוחדים שיסבסדו שכירת תחזוקה לכולם, או להכניס פרסומות… וגם אז לא ברור שכמות העבודה מצדיקה את ×–×” בשוק הישראלי הקטן, ×–×” לא שמדובר במאות אלפי המשתמשים של wordpress.com ומצד שני, הבלוגיות האלו בחו"ל כל כך גדולות, שלא ממש משתלם להן להשקיע בהתגמשות לטובת משתמשים בשפות משונות שכותבות הפוך. לכן בארץ קיימות רק בלוגיות של מתנדבים, בלוגיות ממוסחרות (יש שיאמרו "עד זרא") שמתנות ומגבילות תכנים או חונקות בפרסומות, או בלוגיות מפסידות שמשמשות לציד צרכנים מסוג כלשהוא.

הסיבות לכך שקמו הבלוגיות החופשיות בניהול מתנדבים, היו אכזבה ממשהו. הפלטפורמות האחרות היו בעיקר המוניות מדי או ממושטרות מדי. מהתרשמתי התדמית הרווחת היא ש"רשימות" מנסה לרכז קהל יוצרים והוגים איכותיים (וכבר קראו להם אליטיסטיים לא פעם), ושבלוגלי בא לתת מענה להגנה על אנונימיות וחופש הדיבור (וקצת אולי גם חופש מפקאצות ותופעות אחרות). הפחד שלי שאם אחד מהם מתפרק (ורשימות פחות או יותר באמת מתפרק) אז ילך משהו חשוב לאיבוד. יהיו אנשים שהאכזבה או היאוש יגרמו להם לוותר על הכתיבה מהסוג הזה, תכנים מעניינים אולי לא יועברו למקום אחר ויאבדו, אנשים שיעברו לבלוג אחר יאבדו את הראנקינג בגוגל ובעיקר את הלינקים הנכנסים וזה יכול לדלל את מספר המבקרים שיגלו את הבלוג שלהם, אולי ממש ישתיק את זרם התגובות והפעילות.

יש גם את ענין האופי של הבלוג שמושפע מסביבתו וסוג הקהל. פעם קצת זלזלתי בזה, אבל היום ברור לי לגמרי, שיש אנשים שלא יגיעו לבלוג שלך אם אתה לא חלק מבלוגיה. בלי שיש לי סטטיסטיקות על כמות ואופי התגובות הממוצעת שמקבל בלוג בקפה דה-מרקר או רשימות בניגוד לבלוגים עצמאיים, אני מתרשם שיש אנשים שזה משפיע להם על הדחף לכתוב ועל אופי התכנים, לטוב ולרע. בקיצור, יש סיבות להכריז על שמורות טבע, ויש סיבה להכריז כאן, לדעתי, על שמורות תוכן, או שמורות קהילה, תלוי איך תרצו להסתכל על זה.

איכשהוא בארה"ב לערכים יש עדיין מקום על המפה. ארגונים ועמותות שמאפשרות חופש דיבור ושיח דמוקרטי, מצליחים לגייס תרומות נאות במליוני דולרים (אני יכול לחשוב למשל על קרן ויקימדיה וקרן אור השמש בתור שתיים שקופצות לי אוטומטית לראש). חלק מהמימון הגדול מגיע גם מגורמים מסחריים ולא תמורת פרסום בולט או משהו (כמובן שאם יש לך סטאטוס מתאים בארץ, תרומות כאלו היו אפילו משתלמות מבחינת מסים). האם אין אף מממן שיקח ויאמץ את בלוגלי ורשימות בלי לדרוש להרוויח ישירות? אין לי מושג לאילו ספונסורים פנו עד היום מפעילי רשימות, אבל הנה רעיונות:

* איגוד האינטרנט – אני יודע שכרגע ענין איגוד האינטרנט נמצא בנקודה רגישה אצל רבים, אבל אני רואה את ×–×” בדיוק בתור אחד התפקידים של הגוף ×”×–×”: לדאוג שחופש הדיבור והשימוש באינטרנט בארץ ישמר, ואני אישית הייתי שמח לראות אותם תורמים את הברזל, ההוסטינג ואולי שעות האדם כדי לדאוג שבלוגלי ו"רשימות" יוכלו להשאר מעל המים ולשגשג גם בעיתות משבר. זו גם תשובתי לכל מי שביקר את עתודות המזומנים של האיגוד או את מחירי הדומיינים. ×–×” המחיר של יצירת גוף עמיד לזעזועים מסחריים שיוכל להחזיק פרויקטים חברתיים חשובים שאסור להם להעלם בגלל שהשוק איטי בשנה מסוימת או שמתנדבים נאלצים לחפש הכנסה פתאום.

* עמותת ניהול שתקבל מימון ותרומות מחברות כמו גוגל ישראל, מיקרוסופט ישראל, משרד התרבות, מי שלא יהיה, אבל העיקר שישאר נאמן לנייטרליות. הבעיה היא למצוא אנשי עסקים ישראליים שיהיו מוכנים לזה וצוות שמוכן להכנס לכאב הראש של הקמה וניהול של עמותה. לא רואה את זה קורה לצערי.

* נדבן כלשהוא שמוכן לממן מכיסו את התחזוקה כדי שחופש הדיבור וכתיבה איכותית בארץ יישמרו.

* חברה כלשהיא שיכולה להתפרנס מפיתוח שירותים ומוצרי תשתית משלימים, וכמו אוטומטטיק לממן את הבלוגיה ללא פרסות ותנאים, בתור פלאטפורמת הניסוי והלמידה שלה, אולי אפילו בשיתוף עם אוטומאטטיק, באותה הצורה שמפתחי דרופל בישראל שמחו לממן ולהקים לו את האתר המקומי הקהילתי החופשי במקביל לזה העולמי. זה טוב לפרויקט התוכנה החופשית, זה טוב ליחסי הציבור וקידום המכירות של הספונסר, זה טוב לנפש המנהלים, זה טוב לקהילה שנהנית מזה ואני באמת ובתמים חושב שזה גם חשוב לשיח הפוליטי והתרבות הישראלית שזה ימשיך להתקיים. אני הייתי מת להיות במקום הזה שאוכל לאמץ ככה פרויקט כזה, אבל אין לי תכנונים להכנס לעסק מהסוג הזה, וגם לא תקציב.

אם מישהו יכול להעלות על דעתו פתרונות, אולי פתרון או מודל שלא חשבו עליו ברשימות או בבלוגלי, אני פותח כאן את הענין לדיון. כמובן אם יש לכם רעיון למישהו שיש לו את האמצעים והאינטרס לאמץ אותם, אולי אפשר לקשר…

איחולי החלמה לרשימות

לוגו רשימותהבלוגיה העצמאית הראשונה, אם אינני טועה?
יש עליה הסטוריה ואוסף מפואר של כותבים. רשימות הוקמה לפני שיצאו פלטפורמות בוגרות פתוחות לבלוגים עצמאיים ובלוגיות, ואיכשהו שרדה די טוב עד היום, אבל באין הורה מאמץ עם תקציב וסבלנות, השבוע הודיע אורי שהמערכת פשוט לא תתוחזק יותר, הקוד המפעיל אותה יפרוש במקום להתעדכן (הם רמזו בעבר שבמצבו עדיף לזרוק אותו במקום לנסות לתחזק, כאשר קיימות אופציות אחרות בשוק הפתוח, אני בהחלט מבין את ההחלטה).

אז מה יקרה לאתר והקהילה? אין פתרונות לא כואבים לצערי. אורי פירט את התכנית: נראה שבשלב הראשון ידאגו לכתוב כלי שייצא את תכני הבלוג בפורמט שוורדפרס ידע ליבא. בצורה זו יוכלו יושבי האתר למשוך לעצמם גיבוי של התכנים של הפוסטים והתגובות (לא כולל הווידג'טים). אז יוכלו לבחור לעצמם אתר חדש לבלוג, ליבא אותו פנימה. אתר רשימות המקורי יבצע הפניה של מבקרים שיגיעו מלינקים ישנים, וירכז בעמוד הכניסה את הפוסטים לכשיעלו בבלוגים הרחוקים החדשים, בעזרת RSS של מי שירצה להמשיך להופיע שם. הפתרון לא מושלם, אבל בהחלט הולך הרבה יותר לקראת המשתמשים ממה שגוף מסחרי מנוכר היה טורח אולי לעשות.

הצעתי לאורי שאולי יעשו דיל עם אוטומאטטיק (מפעילי וורדפרס.קום) להעברה שיטתית של כל עשרות היוזרים שמעדיפים לא להתעסק בפרטים הטכניים, ואז אפשר יהיה למשל לוודא שיצוא הבלוג ישמור על סלאגים ידועים בתור שמות הפוסטים ב-URL, ואולי אפשר יהיה לדאוג שגל הצבעה לפוסט ישן תעבור לפוסט הנכות במקום החדש, אבל לא ברור אם כל זה לא בלגן גדול מדי מבחינתם. אז עד שאורי מכין רשימת תשובות לשאלות המשתמשים, הנה הניחוש המושכל שלי:

הקוראים:

  • קחו ×›×”× ×—×” שהמעבר ×™×”×™×” כואב ולא חלק, היו סבלניים, האתר הוקם והופעל עד היום בהתנדבות, והם עושים את המקסימום עם מינימום הזמן הפנוי שלהם.
  • יש להניח שהבלוגים האהובים עליכם יעברו על תכניהם למקום חדש, לא ברור אם כתובת ×”-RSS תשתנה או תועבר אוטומטית, סביר שכתובות פוסטים ספציפיים לא יועברו. אם יצרתם אליהם לינקים בעבר מהבלוג שלכם, אפשר לעשות חיפוש על הטקסט ברוב פלטפורמות הבלוגים בצורה שתתפוס לינקים החוצה, נסו לחפש notes.co.il, ואז ×™×”×™×” לכם מושג כללי כמה פוסטים תצטרכו אולי לערוך כדי להצביע מחדש לפוסטים הנכונים. יכול להוית שאפשר לעשות ניתוח ×›×–×” גם עם כלי חיצוני כמו גוגל, לא בדקתי.

הכותבים:

  • לעבור לשרת פרטי ולנהל לבד וורדפרס יכול להיות תיק כבד ומיותר. אם אין לכם נטיות טכניות, אני ממליץ לא להתחיל לשכור שרת וירטואלי ב-$100 לשנה וכל כאב הראש ×”×–×”, אלא לשקול לפתוח בלוג בחינם בוורדפרס.קום. יש להם גם תבניות תומכות עברית, ואני מקווה שאם מספיק נודדים אליהם מרשימות, אפשר ×™×”×™×” לבקש מהם להוסיף לרשימת תבניות החינם תבנית שתגרום לבלוג שלכם להראות מאוד דומה לזה שברשימות.
  • אתר וורדפרס.קום גם מאפשר לכם להוסיף אפשרויות ואפילו דומיין פרטי בכמה עשרות דולרים בשנה, נדמה לי שזה עולה אפילו שליש משרת פרטי בדרימהוסט, למרות ששרת פרטי פותח המון אפשרויות אם אתם רוצים לשכלל ולשווק ולמתג את הבלוג החדש.
  • דומיין, בתלות בסיומת שלו, עולה בין $6-$20 לשנה ברוב המקרים, אבל אולי אנשי רשימות יארגנו לכם פתרון (למשל אם רוני עוזבת את notes.co.il/roni, אנשי רשימות יוכלו להציע לה ש-roni.notes.co.il ימשיך להצביע למקום החדש, אם הענין לא יגרור תקורה ניהולית מורכבת מדי. אם הם לא יציעו את ×–×”, אני מציע למי שירצה (בתקווה שלא אצטער על ×–×” 🙂 לחלק חינם תת-דומיינים מהדומיין שרשמתי לפני שנים לצורך ×”×–×”, ואז תקבלו כתובת מהסוג roni.site.co.il, gili.site.co.il וכולי.
  • לבסוף – אם לא קרה נס ורשימות יעבור במרוכז לוורדפרס-מו בהנהלה חדשה, או שלא מצאתם את עצמכם מסתדרים עם הבלוגיה של וורדפרס.קום – אני מוכן לקלוט 4-5 בלוגים לשרת שלי, אבל אני מזהיר מראש שאין לי מנגנון תמיכה משום סוג. אני אוכל להתקין לכם וורדפרס בסיסי שאגבה לכם פעם ביום, כמה פלאגים בסיסיים והדרכה, אבל משם אתם עצמאיים מלבד כיבוי שריפות אם צריך. אני פותח את ההצעה לכל יושבי "רשימות" אבל עדיפות תנתן למכרי (בעצם מכרותי) שברשימות ואלו שקוראים אצלי (ולכן בשלב הראשון אני מפרסם את ×–×” רק כאן).

מאחל מעבר חלק, ושקהילת "רשימות" לא תתפורר!

פוסט על הפנים

אני שמח לראות שמתייחסים גם למאגר התמונות בעיתונות, ואני מסכים שמאגר התמונות מעצבן אותי טיפה יותר ממאגר טביעת האצבע (זו תחרות צמודה) אבל לא על ×–×” הפוסט הנוכחי. אם אתם זוכרים שפעם התייחסתי לפוסט של הגר על הפאנל. בפוסט ×”× "ל הגר בחרה תמונה טיפוסית מהפאנל – שטרית מתלחשש עם סביבתו, ואלי ישי שולף תדירות את הטלפון שלו ומתכתב במסרונים, שניהם נראו משועממים פחד ולא ברור אם לגמרי מרוכזים בדוברים שעל הפודיום. התמונה משער ידיעות של השבוע מרמזת שזה לא משהו חד פעמי…

השר ישי מאוד השתעשע מכמות המצלמות, לא פעם דפק לי חיוך ואף כמה קריצות ממזריות, ורמז לי בראשו שאצלם יותר את שטרית ולא אותו…

ובכן, אחרי שבאותו היום מיינתי למעלה מ1000 תמונות של הפאנל אני חושב שברורה לי הבעיה. אלי ישי נראה טוב ויש לו חיוך מקסים (no homo!) אבל שטרית פשוט ×–×›×” בהגרלה הגנטית בפרצוף מהסוג שסומכים עליו. פשוט קשה לשכנע אנשים שהוא פועל לרעתם. מין דובי חמודי ×›×–×”… ולכן נזכרתי באייטם המצורף, על הפנים של ריקי ×’'רבייס (האיש שפיתח את התוכנית המקורית של "המשרד" ושיחק בה, ואחראי לעוד כמה קומדיות חביבות)

Shitrit's baby face
AntiBiometrics-7313AntiBiometrics-7446AntiBiometrics-7576



ולבסוף, לינקים מצטברים שלא יצא לי לשלוח עד היום (כרגיל הפוסט נתקע בתור הטיוטות ושכחתי לשחרר):
דורון אופק ריכז מסמך בשפה פשוטה על משמעותה של הצעת החוק בנוסחה הנוכחי.
איתן כספי על הפאנל, וגם מתראיין בפודקאסט "רברס עם פלאטפורמה".
ישי ורטהיימר עשה לייב בלוגינג בפאנל. אפילו צילמתי
על טעויות בזיהוי לפי ט"א אצל עמרי ידן.