שנה: 2020

תבניות אסינכרוניות בNodeJS – על קצה המזלג

תבניות אסינכרוניות בNodeJS,
SyncPattern, Async Error CallBack, The Promise Pattern – Async-Await

Sync Pattern

דומה לאיך שאנו כותבים בPHP למשל – קוד סינכרוני. כל פקודה מתבצעת בזו אחר זו. לדוגמה:

const fs = require('fs');
let fileName = 'logs.txt';
const fileData = fs.readFileSync(fileName);

console.log('File content is', fileData);

console.log('Sync Test');

בקוד הנל, אנו קוראים את כל התוכן של הקובץ, לאחר שקראנו אותו אנו מדפיסים את התוכן שלו. ולאחר מכן מדפיסים 'Sync Test'. בקוד הסינכרוני הנל קודם יודפס תוכן הקובץ ורק לאחר מכן יודפס 'Sync Test'. חשוב להדגיש: הקוד הנל לא עובר דרך הEvent Loop של NodeJS.

Async Error CallBack

בדוגמה הבאה, נכתוב קוד אסינכרוני בNodeJS בגישת CallBack. הקוד הנל יעבור דרך הEvent Loop ויתבצע בצורה אסינכרונית.

const fs = require('fs');

let fileName = 'logs.txt';
fs.readFile(fileName, function cback(err,data) {
 console.log('File content is', data);
});

console.log('Async Test');

בקוד הנל, אנו משתמשים במתודה readFile שהיא מתודה אסינכרונית אשר עושה שימוש בEventLoop.
אנו לא נוכל לגשת לתוכן הקובץ ישירות אחרי קריאה לפונקציה הזאת – כיוון שהוא עדיין לא זמין, וזאת הסיבה שאנו צריכים להשתמש בפונקצית CallBack – במקרה שלנו cback שמקבלת 2 פרמטרים. הפרמטר הראשון err (לשגיאות) והפרמטר השני data – התוכן של הקובץ.

לאחר שקריאת הקובץ תסתיים, מתבצעת קריאה לפונקצית הCallBack שלנו ורק בה יש לנו גישה לתוכן של הקובץ (Event Loop)

  1. קריאת הקובץ
  2. הדפסת Async Test
  3. הדפסת תוכן הקובץ על ידי פונקציית הCallBack
    כאשר למעשה הEvent Loop רץ רק פעמיים, בפעם הראשונה קריאת הקובץ + הדפסת הAsync Test ובפעם השנייה הרצת פונקצית הCallBack שלנו.

    שימו לב, שכיון שמדובר בכתיבה אסינכרונית, שורת הAsync Test שלנו תופיע לפני שורות התוכן של הקובץ שלנו.

חשוב לשים לב שפונקצית הCallBack שלנו תמיד תקבל בפרמטר הראשון את משתנה הerr, אם תחול שגיאה בקוד פרמטר הerr שלנו יהיה אוביקט מסוג error ובמידה ולא תתרחש שגיאה הערך של הפרמטר err יהיה null.

החיסרון העיקרי בשימוש בכתיבה עם callbacks הוא הצורך לשרשר את הפונקציות שלנו, מה שקרוי "עץ אשוח" – דבר הגורם לקוד לא קריא וקשה לתיחזוק.
אם נירצה לדוגמה גם לקרוא מהקובץ וגם לכתוב לקובץ אחר בשימוש בתוכן הקובץ הראשון נקבל קוד בסיגנון הבא:

const fs = require('fs');

let fileName = 'logs.txt';
let newFileName = 'newlog.txt';
fs.readFile(fileName, function cback(err,data) {
 fs.writeFile(newFileName, data, function cback2(err) {
  //yada yada
 });
});

console.log('Async Test');

שימו לב, איך 2 הפונקציות הנל משורשרות, עכשיו דמיינו לכם קוד אסיכרוני כזה שעושה 5 ויותר פעולות..
פיתרון לבעיתיות הזו נמצא בתבנית אסינכרונית אחרת בשם Promise Pattern

The Promise Pattern, Async – Await

Nodejs מגיע עם כלי שמאפשר לעשות "להמיר" לpromise כל פונקציה אסינכרונית שהיא בילט אין.

const fs = require('fs');
const util = require('util');

const readLogFile = util.promisify('fs.readFile');

async function readLogFile(fileName) {
 const logFileData = await readFile(fileName);
 console.log('Log Data is', logFileData);
}

readLogFile('logs.txt');

console.log('Promise Async Test');

בדוגמה זו אנו משתמשים בpromisify כדי להשתמש בפונקציה readFile (שהיא פונקציה אסינכרונית בילט אין) – בצורה שמחזירה Promise. אנו יכולים להמיר כל פונקציה אסינכרונית שכתובה בצורת CallBack לצורה שמחזירה Promise.
הערת אגב: למודל FS יש כבר פונקציות Promise מובנות, להלן:

const readFile = util.promisify(fs.readFile);

בדוגמה הקודמת כמובן לא השתמשנו בהן ועשינו במקום זאת שימוש בutil.promisify.

ראו את הדוגמה הבאה בה אנו גם קוראים מקובץ וגם כותבים לקובץ עם Promise

const fs = require('fs').promises;

let fileName = 'logs.txt';
let newFileName = 'newlog.txt';

async function copyLog(filename, newFileName) {
 await logFileData = await fs.readFile(filename);
 await fs.writeFile(newFileName, logFileData);
}

copyLog('logs.txt','logs-copy.txt');
console.log('Async Test');

נכון שהקוד הרבה יותר ברור מהקוד הבא?

const fs = require('fs');

let fileName = 'logs.txt';
let newFileName = 'newlog.txt';
fs.readFile(fileName, function cback(err,data) {
 fs.writeFile(newFileName, data, function cback2(err) {
  //yada yada
 });
});

console.log('Async Test');

לסיכום: לטעמי האישי, Promises הן הרבה יותר נוחות לתחזוקה וגם לכתיבה מאשר CallBacks.

מצאתם טעות? הערות? שאלות? הסתדרתם? נתקעתם? כתבו לי בתגובות!

אפלקציית התשלומים הפופולארית paybox נפרצה??

זליגת מידע מאפלקצית התשלומים הפופולארית paybox

בחברה טוענים: 4 ספרות אחרונות של כרטיס אשראי זה לא מידע רגיש.
אני טוען: לא רק שאתם טועים לכאורה, אלה הטעות הזאת מוכיחה לכאורה שאולי ואתם לא מבינים כל כך באבטחת מידע כפי שאתם טוענים.

חשיפה ראשונה: עפ ההודעה לבורסה של בנק דיסקונט – נודע להם על הנושא כבר ב19.1.2020 אך הם הודיעו לבורסה רק ב29.1.2020 בטענה ש"נדרש זמן לנקיטת צעדי הכנה ומניעה נדרשים"
כמו כן, הם טוענים בהודעתם שהמניעה לדווח הוסרה בתאריך 28/01/2020בשעה17:30.

ואני שואל, אם התקלה סודרה תוך מספר שעות מדוע נדרש זמן לנקיטת צעדי הגנה ומניעה עד לתאריך 28/01/2020בשעה17:30?

אפלקציות התשלומים הפכו לפופולאריות מאוד בקרב משתמשים בישראל, והכיוון הכללי הוא שבעתיד יחליפו לחלוטין את כרטיסי האשראי שלנו. בנקים – חברות אשראי – חברות פרטיות, כולן רוצים נתח מהעוגה מהעתיד של אמצעי התשלום. ונשאלת השאלה, מי שומר עלינו?

PayBox, אפלקצית תשלומים פופולארית, עדכנה את לקוחותיה על כך שאיתרה תקלה באחד מהשרתים. לא ברור לי האם מדובר על דליפת מידע כתוצאה מטעות אנוש, או כתוצאה מפריצת אבטחה.

Image may contain: text

בהודעה בפייסבוק החברה פירסמה:

לקוחות יקרים,
לפני הכל אנחנו רוצים לשוב ולהתנצל על אירוע דליפת המידע עליו דיווחנו לכם הבוקר.
מטבע הדברים, יש כרגע המון כניסות לאפליקציה כך שייתכן שתחוו איטיות או קשיי כניסה בשעות הקרובות.
כפי שסיפרנו לכם במייל ששלחנו הבוקר, המידע שנחשף אינו יכול לגרום לכם נזק כספי ולא כלל פרטים כגון סיסמה, מספר כרטיס אשראי (למעט 4 ספרות אחרונות) ומספר תעודת זהות.
אחרי בדיקה שערכנו, ובהמשך לשאלות שלכם, אנו מבקשים להבהיר כי המידע שנחשף הוא מידע חלקי המצוי באפליקציה כמו כינוי המשתמש שהזנתם, תאריך לידה, שמות קבוצות, העברות באפליקציה, מספרי טלפון ופרטים טכניים נוספים.
אנחנו יכולים לומר בוודאות שהאפליקציה מאובטחת לחלוטין לשימוש וכי כספכם מוגן.
אנחנו עושים הכל כדי לתת לכם את השירות הטוב ביותר.
נמשיך לפעול בשקיפות מלאה ונעדכן אתכם בכל מידע רלוונטי.
אנו זמינים לכל שאלה, במספר: 072-2799366
במייל: [email protected]
על פניו, הכיתוב "למעט 4 ספרות אחרונות" מרמז על כך ש4 הספרות האחרונות של מספרי האשראי נחשפו (לפחות כך אני מבין מתגובתם לשאלתי בנושא בפייסבוק) - דבר שמהווה סכנה אמיתית לדעתי, מתכון בטוח לניסיונות פישינג ועוד.
על פניו, הכיתוב "למעט 4 ספרות אחרונות" מרמז על כך ש4 הספרות האחרונות של מספרי האשראי נחשפו (לפחות כך אני מבין מתגובתם לשאלתי בנושא בפייסבוק) – דבר שמהווה סכנה אמיתית לדעתי, מתכון בטוח לניסיונות פישינג ועוד.

על פניו, הכיתוב "למעט 4 ספרות אחרונות" מרמז על כך ש4 הספרות האחרונות של מספרי האשראי נחשפו – דבר שהתברר למיטב הבנתי כנכון לכאורה עפ תגובתם לשאלתי בנושא בפייסבוק – הדבר מהווה סכנה אמיתית לדעתי, מתכון בטוח לניסיונות פישינג ועוד.

בחברה טוענים שלא מדובר במידע רגיש – וואו, כמה הם טועים לדעתי וכמה זה מראה לכאורה על חוסר הבנה באבטחת מידע לדעתי האישית

כפי שעידכנו לא נחשף מידע שיכול לגרום נזק כספי. 4 ספרות של כרטיס זה לא מידע רגיש. אי אפשר לעשות עם מידע זה כלום. הוא גם מופיע בכל קבלה, חשבונית שיוצא מקופה ואפילו משאירים במסעדה. חשוב לנו לציין שמספר כרטיס האשראי המלא כלל לא נשמר באפלקיציה ולכן אין אפילו חשש שנחשף

בנק דיסקונט (שפייבוקס בבעלותו), השיבו לפנייתי וכתבו

אביב שלום, בנק דיסקונט פרסם דוח לבורסה לני"ע והודעה לעיתונות. פייבוקס מסרה מידע מלא ושקוף ללקוחותיה, לא נוכל להוסיף מעבר לכך. מוקד פייבוקס זמין לכל שאלה בטלפון מספר 072-2799366 או בכתובת הדוא"ל: [email protected]. יום נעים

בנוסף, הבנק דיווח לבורסה על הנושא, אבל כאחד ששם לב לפרטים, לא יכלתי שלא לשים לב שהדיווח היה ב29.1, כאשר לבנק נודע על הנושא כבר בתאריך 19.1.2020.
טענתם:"דיווח שעוכב בהתאם לתקנה 36(ב): 3. אם הדיווח עוכב – הסיבה שבגינה עוכבה הגשתו: נדרש זמן לנקיטת צעדי הגנה ומניעה נדרשים."

ואני שואל, הרי אמרתם שהתקלה תוקנה תוך מספר שעות, אז מדוע נדרשו כל כך הרבה ימים לנקיטת צעדי הגנה ומניעה נדרשים? הרי בדיווח שלכם טענתם שהמניעה לדיווח הוסרה בתאריך28/01/2020בשעה17:30. בין ה19.1 ל28.1 ממש לא מדובר בתקלה של מספר שעות.
פניתי לבנק דיסקונט לקבל תגובה בנוגע לדיווח לבורסה, ואפרסם את התשובה שלהם כשאקבל אותה – אם אקבל.

שוחחתי עם מערך הסייבר הלאומי, הם מודעים לנושא וענו במהרה

שלום אביב ותודה שפנית אלינו, ככל הידוע לנו וכפי שדווח לנו מהבדיקות שערך בנק דיסקונט ואשר דיווח למפקחת על הבנקים, אין חשש לפגיעה כספית ישירה בלקוחות האפליקציה כתוצאה מהמידע שנחשף. יש להיות ערים יותר לנסיונות דיוג בתקופה הקרובה. לפרטים נוספים ולבדיקה שקשורה לחשבון שלך, ניתן לפנות לשירות לקוחות של בנק דיסקונט

שאלתי את PayBox את השאלות הבאות:
1. אילו פרטים אישיים של לקוחות נחשפו
2. אילו אמצעי אבטחה אתם נוקטים
3. האם אתם נעזרים בחברת אבטחת מידע חיצונית?
4. האם נחשפו הטרנזקציות אותם הלקוחות ביצעו?
5. האם יש לכם בחברה ממונה אבטחת מידע?
6. את אילו גורמים עדכנתם לגבי הפריצה?
7. האם אתם יודעים בדיוק או יש לכם השערה לגבי מתי התקיימה הפריצה? כמה זמן עבר ממועד הפריצה עצמה למועד שזיהיתם אותה?
8. האם הפריצה הייתה חד פעמית ככל הידוע לכם או שמדובר בפירצת אבטחה שהתוקפים ניצלו אותה במשך זמן ממושך?
9. לפני כמה זמן נודע לכם על הפריצה ולאחר כמה זמן עדכנתם את הלקוחות?


אני כן מצפה בPayBox לפרסם בדיוק אילו פרטים דלפו או ייתכן ודלפו וזאת על מנת שאנשים יידעו להיזהר מהודעות פישינג שעלולות לצוץ תוך שימוש במידע שדלף על מנת ליצור אמינות מול הקורבנות.
מענה לשאלות הנל לא קיבלתי מפייבוקס לצערי עד רגע זה, אך קיבלתי את התגובה הבאה:

לצערנו אנחנו לא יכולים לומר בוודאות בשלב זה מה דלף ביחס לכל לקוח באופן ספציפי. מה שאנחנו כן יכולים לומר, זה שהפרטים שהיו חשופים לא כללו מספר תעודת זהות, סיסמה, ומספר כרטיס אשראי (למעט 4 ספרות אחרונות). לצערנו, מידע שהוזן באפליקציה כגון כינוי המשתמש, תאריך לידה, שמות קבוצות, העברות, מס' טלפון ופרטים טכניים כן היו חשופים. אנחנו עושים הכל כדי למנוע מאירוע כזה להישנות ומחוייבים לתת לך את השירות הטוב ביותר שניתן.

בהודעת בנק ישראל פורסם:

בנק ישראל עודכן לגבי אירוע דלף המידע באפליקציית התשלומים פייבוקס ועוקב מקרוב אחר ההתפתחויות. לצד הפעולות שנקט בנק דיסקונט, בנק ישראל, בהתייעצות עם מערך הסייבר הלאומי, הנחה את הבנק בדבר צעדים נוספים שעליו לנקוט. הרשות להגנת הפרטיות במשרד המשפטים עודכנה אף היא לגבי פרטי האירוע. מהניתוח שבידינו עולה כי אין חשש לפגיעה כספית ישירה בלקוחות האפליקציה כתוצאה מהמידע שנחשף. בנק ישראל ממשיך לבדוק את פרטי האירוע. לאור התגברות הפעילות הפיננסית באמצעים הדיגיטליים, וכפי שאמרנו בעבר, מומלץ שהציבור יהיה ערני כלפי ניסיונות הונאה (דוגמת פישינג- "דיוג") ויפעל על פי המלצות התגוננות שבנק ישראל פרסם זה מכבר בקישור המצורף: https://www.boi.org.il/he/BankingSupervision/Pages/digitalscams.aspx​ הפיקוח על הבנקים יבצע תחקיר מעמיק של האירוע, יסיק מסקנות, וינחה את הבנק ואת המערכת הבנקאית בהתאם.​

איגוד האינטרנט גם הוא מזהיר (BLOCK):

הודעה זו היא אמיתית, ואכן הגיעה מ-Paybox. לצערנו, מניסיון העבר עולה כי נוכלים "רוכבים על הגל", ומנצלים הודעות אלו על מנת לגנוב כסף ופרטים אישיים ממשתמשים. כיצד ניתן להיזהר? שימו לב – אם מבקשים מכם פרטי כרטיס אשראי, פרטים אישיים או סיסמא, ומתחזים לנציגי Paybox – ב-SMS, במייל או בטלפון – חשדו! זו כמעט בוודאות הונאה. אם אתם מתלבטים, התקשרו לשירות הלקוחות של Paybox ובדקו זאת. גם עמוד באינטרנט שמתחזה ל-Paybox עלול לצוץ. אם אתם נכנסים לאתר Paybox ודאו שמדובר באתר הרשמי (payboxapp.com).

עפ מידע שמפורסם ברשות להגנת הפרטיות:

תקנה 11(ד)(1) לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן: "התקנות") קובעת כי בעל מאגר מידע* שחלה עליו רמת אבטחה בינונית או גבוהה (כהגדרתן בתקנות) מחויב להודיע לרשות להגנת הפרטיות באופן מיידי על אירוע אבטחה חמור (כהגדרתו בתקנות), וכן ידווח לרשות על הצעדים שנקט בעקבות האירוע. ככלל, על הדיווח להיעשות תוך 24 שעות ממועד גילויו של אירוע האבטחה החמור, ובכל מקרה לא יאוחר מ – 72 שעות מאותו מועד.

העברתי פנייה בנושא לרשות להגנת הפרטיות, כל ניסיונותי להשיג אותם טלפונית הלו בתוהו. במידה ותתקבל תגובה מהם אעדכן. אני חוזר ומדגיש, ישנה חשיבות גבוה לפירסום המידע שייתכן וזלג כיון שידוע שמידע שכזה משמש פעמים רבות בהודעות פישינג למניהן על מנת ליצור מצג שוא של אמינות ההודעה.

אני מנחש , לפי סוג הפרטים שדלפו לפי הודעת החברה, שלא מדובר בפריצה, אלה ברשלנות לכאורה – בין אם בקונפיגורציה לא נכונה של השרת או בבאג, ושמדובר בעמוד פנימי של מערכת שירות לקוחות או דוחות. השאלה שנשאלת מדוע 4 ספרות אחרונות של אשראי מופיעות בצורה לא מוצפנת/מאובטחת בדף שירות – אם ואכן דלפו.

בנוסף, מקריאה של הדיווח לבורסה, באופן אישי, אני לא בטוח שהתקלה אכן תוקנה תוך מספר שעות כפי שכתבו.

התקנת DOCKER בJenkins

על מנת שJENKINS יוכל לעשות דפלוי לאפלקציות בקונטיינרים (Containerized app), אנו צריכים להתקין את DOCKER על השרת שעליו רץ הג'נקינס שלנו.

בשלב הראשון נתקין את DOCKER ונפעיל את השירות

sudo yum -y install docker
sudo systemctl start docker
sudo systemctl enable docker

לאחר מכן ניתן הרשאות לג'נקינס להשתמש בDOCKER , כדי לעשות זאת ניצור קבוצה לDOCKER ונוסיף את המשתמש של ג'נקינס לקבוצה.

sudo groupadd docker
sudo usermod -aG docker jenkins

נפעיל מחדש את השירות JENKINS ואת DOCKER

sudo systemctl restart jenkins
sudo systemctl restart docker

זהו, ככה פשוט.

לקריאה נוספת:
1. איך להתקין Jenkins בCentOS7
2. יצירת Jenkins Job פשוט שמושך קבצים מGIT
3. על Jenkins וWebHooks – עדכון אוטומטי כאשר מתבצע שינוי בקוד בריפו שלנו
4. קצת על Jenkins Pipelines
5. התקנת DOCKER בJenkins