Podcasts about Business logic

On this episode of the Crazy Wisdom Podcast, host Stewart Alsop is joined by Yury Selivanov, the CEO and co-founder of EdgeDB, for a fascinating discussion about the reinvention of relational databases. Yury explains how EdgeDB addresses modern application development challenges by improving developer experience and rethinking decades-old database paradigms. They explore how foundational technologies evolve, the parallels between software and real-world systems like the electrical grid, and the emerging role of AI in coding and system design. You can connect with Yury through his personal Twitter account @1st1 (https://twitter.com/1st1) and EdgeDB's official Twitter @EdgeDatabase (https://twitter.com/edgedatabase).Check out this GPT we trained on the conversation!Timestamps00:00 Introduction to the Crazy Wisdom Podcast00:27 What is EdgeDB?00:58 The Evolution of Databases04:36 Understanding SQL and Relational Databases07:48 The Importance of Database Relationships09:27 Schema vs. No-Schema Databases14:14 EdgeDB: SQL 2.0 and Developer Experience23:09 The Future of Databases and AI Integration26:43 AI's Role in Software Development27:20 Challenges with AI-Generated Code29:56 Human-AI Collaboration in Coding34:00 Future of Programming Languages44:28 Junior Developers and AI Tools50:02 EdgeDB's Vision and Future PlansKey InsightsReimagining Relational Databases: Yury Selivanov explains how EdgeDB represents a modern rethinking of relational databases. Unlike traditional databases designed with 1970s paradigms, EdgeDB focuses on improving developer experience by introducing object-oriented schemas and hierarchical query capabilities, bridging the gap between modern programming needs and legacy systems.Bridging Data Models and Code: A key challenge in software development is the object-relational impedance mismatch, where relational database tables do not naturally map to object-based data models in programming languages. EdgeDB addresses this by providing a high-level data model and query language that aligns with how developers think and work, eliminating the need for complex ORMs.Advancing Query Language Design: Traditional SQL, while powerful, can be cumbersome for application development. EdgeDB introduces EdgeQL, a modern query language designed for readability, hierarchical data handling, and developer productivity. This new language reduces the friction of working with relational data in real-world software projects.AI as a Tool, Not a Replacement: While AI has transformed coding productivity, Yury emphasizes that it is a tool to assist, not replace, developers. LLMs like GPT can generate code, but the resulting systems still require human oversight for debugging, optimization, and long-term maintenance, highlighting the enduring importance of experienced engineers.The Role of Schema in Data Integrity: Schema-defined databases like EdgeDB allow developers to codify business logic and enforce data integrity directly within the database. This reduces the need for application-level checks, simplifying the codebase while ensuring robust data consistency—a feature that remains critical even in the era of AI.Integrating AI into Databases: EdgeDB is exploring innovative integrations of AI, such as automatic embedding generation and retrieval-augmented generation (RAG) endpoints, to enhance data usability and simplify complex workflows. These capabilities position EdgeDB as a forward-thinking tool in the rapidly evolving landscape of AI-enhanced software.Balancing Adoption and Usability: To encourage adoption, EdgeDB is incorporating familiar tools like SQL alongside its advanced features, lowering the learning curve for new users. This approach combines innovation with accessibility, ensuring that developers can transition seamlessly to the platform while benefiting from its modern capabilities.

In this episode, Dominik Dorfmeister, TanStack maintainer, joins us to discuss component composition in React. He discusses breaking components apart, managing conditional rendering, and the benefits of early returns in improving code readability and maintainability. Links https://tkdodo.eu/blog/component-composition-is-great-btw https://tkdodo.eu/blog https://github.com/TkDodo https://www.dorfmeister.cc https://x.com/TkDodo https://www.linkedin.com/in/dominik-dorfmeister-8a71051b9 We want to hear from you! How did you find us? Did you see us on Twitter? In a newsletter? Or maybe we were recommended by a friend? Let us know by sending an email to our producer, Emily, at emily.kochanekketner@logrocket.com (mailto:emily.kochanekketner@logrocket.com), or tweet at us at PodRocketPod (https://twitter.com/PodRocketpod). Follow us. Get free stickers. Follow us on Apple Podcasts, fill out this form (https://podrocket.logrocket.com/get-podrocket-stickers), and we'll send you free PodRocket stickers! What does LogRocket do? LogRocket provides AI-first session replay and analytics that surfaces the UX and technical issues impacting user experiences. Start understand where your users are struggling by trying it for free at [LogRocket.com]. Try LogRocket for free today.(https://logrocket.com/signup/?pdr) Special Guest: Dominik Dorfmeister.

Employers can benefit by remapping their talent strategies to match the realities of workers with caregiving responsibilities. Bill Kerr is joined by his Managing the Future of Work co-chair and podcast co-host, Joe Fuller, lead author of the project's latest report, Hidden Workers: The Case for Caregivers.

In this episode of Crazy Wisdom, Stewart Alsop chats with Ian Mason, who works on architecture and delivery of AI and ML solutions, including LLMs and retrieval-augmented generation (RAG). They explore topics like the evolution of knowledge graphs, how AI models like BERT and newer foundational models function, and the challenges of integrating deterministic systems with language models. Ian explains his process of creating solutions for clients, particularly using RAG and LLMs to support automated tasks, and discusses the future potential of AI, contrasting the hype with practical use cases. You can find more about Ian on his LinkedIn profile.Check out this GPT we trained on the conversation!Timestamps00:00 Introduction and Guest Welcome00:32 Understanding Knowledge Graphs02:03 Hybrid Systems and AI Models03:39 Philosophical Insights on AI05:01 RAG and Knowledge Graph Integration07:11 Challenges in AI and Knowledge Graphs11:40 Multimodal AI and Future Prospects13:44 Artificial Intelligence vs. Artificial Linear Algebra17:50 Silicon Valley and AI Hype30:44 Defining AGI and Embodied Intelligence32:29 Potential Risks and Mistakes of AI Agents35:04 The Role of Human Oversight in AI38:00 Understanding Vector Databases43:28 Building Solutions with Modern Tools46:52 The Future of Solution Development47:43 Personal Journey into Coding57:25 The Importance of Practical Learning59:44 Conclusion and Contact InformationKey InsightsThe evolution of AI models: Ian Mason discusses how foundational models like BERT have been overtaken by newer, more capable language models, which can perform tasks that once required multiple models. He highlights that while earlier models like BERT still have their uses, foundational models have simplified and expanded AI's capabilities.The role of knowledge graphs: Knowledge graphs provide structured, deterministic ways of handling data, which can complement language models. Ian explains that while LLMs are great for articulating responses based on large datasets, they lack the ability to handle logical and architectural connections between pieces of information, which knowledge graphs can provide.RAG (Retrieval-Augmented Generation) systems: Ian delves into how RAG systems help refine AI output by feeding language models relevant data from a pre-searched database, reducing hallucinations. By narrowing down the possible answers and focusing the LLM on high-quality data, RAG ensures more accurate and contextually appropriate responses.Limitations of language models: While LLMs can generate plausible-sounding responses, they lack deep architectural understanding and can easily hallucinate or provide inaccurate results without carefully curated input. Ian points out the importance of combining LLMs with structured data systems like knowledge graphs or vector databases to ground the output.Vector databases and embeddings: Ian explains how vector databases, which use embeddings and cosine similarity, are crucial for narrowing down the most relevant data in a RAG system. This modern approach outperforms traditional keyword searches by considering semantic meaning rather than just text similarity.AI's impact on business solutions: The conversation highlights how AI, particularly through tools like RAG and LLMs, can streamline business processes. For instance, Ian uses AI to automate customer service email drafting, breaking down complex customer queries and retrieving the most relevant answers, significantly improving operational efficiency.The future of AI in business: Ian believes AI's real-world impact will come from its integration into larger systems rather than revolutionary standalone changes. While there is significant hype around AGI and other speculative technologies, the focus for the near future should be on practical applications like automating business workflows, where AI can create measurable value without over-promising its capabilities.

Ritesh Varma, VP Business Solutions Consulting, Newgen SoftwareUsing a low code platform to develop business applications on the cloud allows for improved responsiveness to customer needs, from onboarding to service requests, lending to underwriting, and use cases across industries. Newgen Software offers a unified digital transformation platform with native process automation, content services, and communication management. The process begins with a ‘design thinking' approach. Robin Amlôt of IBS Intelligence speaks to Ritesh Varma, Vice President Business Solutions Consulting for Newgen Software. 

Highlights from this week's conversation include:The history of computer science and AI inflection point (1:23)Binny's early programming experiences and the constraints of technology (2:14)Getting interested in computer programming (5:02)The experiment that impacted the starting of Kognitos (8:23)Challenges in traditional computer science (16:04)Reimagining programming and debugging through natural language (19:08)The operating system for applications (20:19)Changing the paradigm of programming (21:25)Complexity in software compilation (22:05)Challenges in automating business processes (24:50)Solving business process problems with Kognitos (27:39)AI as a tool in business solutions (34:05)The future of AI and specialized intelligence (37:08)Using LLMs for Context Generation (40:43)Biases and Data Set Source Transparency (41:48)Next Innovation in Data (44:34)Final Thoughts and Takeaways (47:06)The Data Stack Show is a weekly podcast powered by RudderStack, the CDP for developers. Each week we'll talk to data engineers, analysts, and data scientists about their experience around building and maintaining data infrastructure, delivering data and data products, and driving better outcomes across their businesses with data.RudderStack helps businesses make the most out of their customer data while ensuring data privacy and security. To learn more about RudderStack visit rudderstack.com.

Two-time Emmy and Three-time NAACP Image Award-winning television Executive Producer Rushion McDonald interviewed Jackson Dunbar.  RACE MATTERS IN PAIN MEDICINE: Resulting in the critical under medication of African Americans, who must "LIVE" with unbearable Chronic Pain; and the severe over medication of White Americans, which became a cause of the Opioid Crisis.Jackson Dunbar, Esq. -- A successful serial Entrepreneur and Family Man suffers from Chronic Pain caused by a car accident and failed back surgery. During his journey to become healthy, provide for his family and fight Chronic Pain; he discovered stark inequities in Pain Medicine that impact Men, Women and Children.A strong believer in Self-Help, Jackson Dunbar Esq. applied solutions-focused “Business Logic” to his own health – the results; he was able to Make Money, Lose 90lbs. and Thrive in Chronic Pain. His strategies are contained in this book for every Chronic Pain patient, Caregiver or Medical/Behavioral Health professionals to explore.Support the show: https://www.steveharveyfm.com/See omnystudio.com/listener for privacy information.

Hosts Sean Martin and Marco Ciappelli delve into the complexities of business logic attacks, with a particular focus on vulnerabilities within APIs. They engage with Luke Babarinde, Global Solutions Architect at Imperva, in a detailed conversation about how cybersecurity threats have evolved in tandem with business processes, tapping into Sean Martin's introduction of the novel concept of a "Workflow Bill of Materials," underlining the necessity of comprehending each step within complex business tasks to defend against potential misuse and abuse.The discussion explores the mechanisms through which attackers leverage business logic for sophisticated, hard-to-detect attacks that pose significant risks to organizations. Through examples, Babarinde illustrates how automated bots and malicious actors can inflict substantial financial damage by exploiting publicly accessible services, highlighting the paramount importance of identifying and counteracting these threats. Moreover, the episode addresses the impact of artificial intelligence and machine learning in enhancing cybersecurity defenses while also expanding attackers' arsenals. The conversation reflects on the dual effects of these technologies, especially concerning API usage, which now dominates a considerable volume of internet traffic and is integral to digital services.Babarinde also emphasizes the crucial role of human interaction in cybersecurity, advocating for substantive dialogue between security experts and business leaders to align on strategies and comprehend the motivations behind attacks. This human-centered approach, augmented by the technological solutions offered by entities like Imperva, is portrayed as the foundation of effective cybersecurity strategies amid continuously evolving threats.Overall, the episode offers an exhaustive overview of both the challenges and strategies associated with business logic attacks, promoting a collaborative and informed stance on cybersecurity in the face of progressing threats.Top Questions Addressed:What are business logic attacks and why are they important to understand?How do artificial intelligence and machine learning impact cybersecurity strategies?Why is collaboration between security experts and business leaders crucial in combating cyber threats? Note: This story contains promotional content. Learn more. Guest: Luke Babarinde, Global Solution Architect at Imperva [@Imperva]On Linkedin | https://www.linkedin.com/in/lbabs/ResourcesLearn more about Imperva and their offering: https://itspm.ag/imperva277117988Report: The State of API Security in 2024: https://itspm.ag/imperv7szgWhat is business logic?Rise in API Usage and Attacks Putting Businesses at Risk in 2024Protect applications from business logic abuseCatch more stories from Imperva at https://www.itspmagazine.com/directory/impervaAre you interested in telling your story?https://www.itspmagazine.com/telling-your-story

Hosts Sean Martin and Marco Ciappelli delve into the complexities of business logic attacks, with a particular focus on vulnerabilities within APIs. They engage with Luke Babarinde, Global Solutions Architect at Imperva, in a detailed conversation about how cybersecurity threats have evolved in tandem with business processes, tapping into Sean Martin's introduction of the novel concept of a "Workflow Bill of Materials," underlining the necessity of comprehending each step within complex business tasks to defend against potential misuse and abuse.The discussion explores the mechanisms through which attackers leverage business logic for sophisticated, hard-to-detect attacks that pose significant risks to organizations. Through examples, Babarinde illustrates how automated bots and malicious actors can inflict substantial financial damage by exploiting publicly accessible services, highlighting the paramount importance of identifying and counteracting these threats. Moreover, the episode addresses the impact of artificial intelligence and machine learning in enhancing cybersecurity defenses while also expanding attackers' arsenals. The conversation reflects on the dual effects of these technologies, especially concerning API usage, which now dominates a considerable volume of internet traffic and is integral to digital services.Babarinde also emphasizes the crucial role of human interaction in cybersecurity, advocating for substantive dialogue between security experts and business leaders to align on strategies and comprehend the motivations behind attacks. This human-centered approach, augmented by the technological solutions offered by entities like Imperva, is portrayed as the foundation of effective cybersecurity strategies amid continuously evolving threats.Overall, the episode offers an exhaustive overview of both the challenges and strategies associated with business logic attacks, promoting a collaborative and informed stance on cybersecurity in the face of progressing threats.Top Questions Addressed:What are business logic attacks and why are they important to understand?How do artificial intelligence and machine learning impact cybersecurity strategies?Why is collaboration between security experts and business leaders crucial in combating cyber threats? Note: This story contains promotional content. Learn more. Guest: Luke Babarinde, Global Solution Architect at Imperva [@Imperva]On Linkedin | https://www.linkedin.com/in/lbabs/ResourcesLearn more about Imperva and their offering: https://itspm.ag/imperva277117988Report: The State of API Security in 2024: https://itspm.ag/imperv7szgWhat is business logic?Rise in API Usage and Attacks Putting Businesses at Risk in 2024Protect applications from business logic abuseCatch more stories from Imperva at https://www.itspmagazine.com/directory/impervaAre you interested in telling your story?https://www.itspmagazine.com/telling-your-story

After our episode with Tarun Chitra about value accrual in the modular stack, as well as thinking about it deeper we've came to our own conclusions. Josh Bowen, ex-Celestia team, and now founder of Astria blew it all out of the water today. Completely shifted the way we are thinking about RaaS providers, shared sequencers, and how they are approaching the competitive market of sequencing. We first dove into the modular architecture of Astria and their relationship with Celestia, and then dove deep into how Josh thinks about early stage tech markets. The vision behind Astria extends beyond facilitation of rollup deployment. Josh aspires to lower barriers to innovation in launching blockchains, in order to create a diverse ecosystem of rollups that transcend the limitations of existing setups. But, is this really possible? Can Astria do what other RaaS providers are doing at a tenth of the cost? Can they actually commoditize RaaS providers? Josh is a straight shooter and did not hold back when he pressed him about his mental models. We left quite impressed.

Guest: Jeremy Snyder, Founder & CEO at FireTail.IoOn Linkedin | https://www.linkedin.com/in/jeremysnyder/On Twitter | https://twitter.com/halffinn____________________________Host: Sean Martin, Co-Founder at ITSPmagazine [@ITSPmagazine] and Host of Redefining CyberSecurity Podcast [@RedefiningCyber]On ITSPmagazine | https://www.itspmagazine.com/sean-martinView This Show's Sponsors___________________________Episode NotesIn this episode of the Redefining CyberSecurity Podcast, host Sean Martin engages in a thought-provoking conversation with Jeremy Snyder, exploring the evolving landscape of the Chief Information Security Officer (CISO) role via the Worldwide State of the CISO Based on the ‘Ask A CISO' Podcast. The discussion explores the complexities and pressures faced by CISOs in today's rapidly changing cybersecurity environment.Jeremy shares insightful perspectives on his journey through the cybersecurity realm, starting from his initial foray into IT and the series of events that anchored his interest and career in cybersecurity, particularly during the COVID-19 pandemic. The episode touches on the challenges CISOs encounter, such as regulatory compliance, threat management, and the shift toward a security-centric business model.The dialogue further explores the integration of IT and security functions, the role of artificial intelligence in cybersecurity, and the impact of emerging technologies on risk assessment. Notably, the conversation highlights the critical nature of understanding business logic and data flows within organizations, stressing the importance of collaborative efforts between CISOs and other business functions to advance secure and innovative solutions.The episode concludes with reflections on the future of the CISO role, emphasizing the need for adaptability, resilience, and a proactive approach to navigating the complex cybersecurity landscape. Overall, the episode provides valuable insights into the strategic significance of the CISO role in enabling business growth and innovation in a secure manner.Key Questions AddressedWhat is the evolving role of the CISO in today's cybersecurity landscape?How can CISOs navigate the changing threat environment to enable business growth and innovation?What impact do emerging technologies, especially AI, have on cybersecurity and the responsibilities of a CISO?___________________________Watch this and other videos on ITSPmagazine's YouTube ChannelRedefining CyberSecurity Podcast with Sean Martin, CISSP playlist:

Guest: Jeremy Snyder, Founder & CEO at FireTail.IoOn Linkedin | https://www.linkedin.com/in/jeremysnyder/On Twitter | https://twitter.com/halffinn____________________________Host: Sean Martin, Co-Founder at ITSPmagazine [@ITSPmagazine] and Host of Redefining CyberSecurity Podcast [@RedefiningCyber]On ITSPmagazine | https://www.itspmagazine.com/sean-martinView This Show's Sponsors___________________________Episode NotesIn this episode of the Redefining CyberSecurity Podcast, host Sean Martin engages in a thought-provoking conversation with Jeremy Snyder, exploring the evolving landscape of the Chief Information Security Officer (CISO) role via the Worldwide State of the CISO Based on the ‘Ask A CISO' Podcast. The discussion explores the complexities and pressures faced by CISOs in today's rapidly changing cybersecurity environment.Jeremy shares insightful perspectives on his journey through the cybersecurity realm, starting from his initial foray into IT and the series of events that anchored his interest and career in cybersecurity, particularly during the COVID-19 pandemic. The episode touches on the challenges CISOs encounter, such as regulatory compliance, threat management, and the shift toward a security-centric business model.The dialogue further explores the integration of IT and security functions, the role of artificial intelligence in cybersecurity, and the impact of emerging technologies on risk assessment. Notably, the conversation highlights the critical nature of understanding business logic and data flows within organizations, stressing the importance of collaborative efforts between CISOs and other business functions to advance secure and innovative solutions.The episode concludes with reflections on the future of the CISO role, emphasizing the need for adaptability, resilience, and a proactive approach to navigating the complex cybersecurity landscape. Overall, the episode provides valuable insights into the strategic significance of the CISO role in enabling business growth and innovation in a secure manner.Key Questions AddressedWhat is the evolving role of the CISO in today's cybersecurity landscape?How can CISOs navigate the changing threat environment to enable business growth and innovation?What impact do emerging technologies, especially AI, have on cybersecurity and the responsibilities of a CISO?___________________________Watch this and other videos on ITSPmagazine's YouTube ChannelRedefining CyberSecurity Podcast with Sean Martin, CISSP playlist:

Andrzej Krzywda discusses event sourcing, event-driven architecture, and Domain-Driven Design (DDD) in the context of Ruby on Rails applications. He explains the concept of bounded contexts and how they relate to communication between different modules. He also shares insights on when and why to apply DDD to Rails applications, particularly in cases where the application becomes complex and difficult to maintain. Andrzej explores the challenges and benefits of migrating an existing Rails app to an event-driven architecture and highlights advanced event sourcing concepts such as snapshotting, projections, and versioning. In this conversation, Andrzej Krzywda discusses event sourcing and DDD in Rails applications. He explains the concepts of snapshotting and projection, which are techniques used to optimize performance and retrieve specific data from event streams. Andrzej also delves into the challenges of event versioning and how it can be managed in Rails applications. Additionally, he shares insights about the wroclove.rb conference, its history, and its focus on advanced and deep technical topics.TakeawaysEvent sourcing is a persistence mechanism that persists all the little changes that happen to a specific object, while event-driven architecture is a way of building software modules that communicate with events.DDD involves splitting a system into contexts or domains and using events to communicate between them. It can be applied to Ruby on Rails applications, particularly in cases where the application becomes complex and difficult to maintain.Migrating an existing Rails app to an event-driven architecture can help address issues with large classes, complex associations, and lack of modularity.Advanced event sourcing concepts such as snapshotting, projections, and versioning can be used to optimize performance and manage data integrity in event-driven applications. Snapshotting and projection are techniques used in event sourcing to optimize performance and retrieve specific data from event streams.Event versioning is a challenge in event sourcing, but it can be managed by introducing new event versions and implementing upcasters to convert old events to new versions.wroclove.rb is a Ruby and Rails conference in Wrocław, Poland, that focuses on advanced and deep technical topics.The conference aims to inspire, educate, and challenge the status quo in the Ruby and Rails community.Rails Event Store and Eventide are two libraries that facilitate the implementation of event-driven architectures in Rails applications, each with its own philosophy and approach.wcrolove.rb Ruby and Rails ConferenceRailsEventStoreArkencyRails Architect Masterclass[Video] Event Sourcing Demystified: A Simple-To-Understand Guide

Wes and Scott answer your questions about duopoly in tech, tech stacks for creating content, switching from frontend to full stack, DSA knowledge, email HTML, and more! Show Notes 00:10 Welcome 02:21 Syntax Brought to you by Sentry 03:31 Are you concerned about duopolistic companies taking over the web? 11:29 What stack do you you use for videos and sharing content? 15:02 How do you know once your ready to officially make the switch from frontend to full stack? 17:58 As someone new to tech and looking to apply for junior front end positions, how much should i know about DSA's? Friends that work at big tech companies - did you need Data Structures and Algorithms to get hired? I get an lots of messages from new devs asking how to learn these things. Many of them say the need it to work at FAANG type companies 21:59 Which tools would you recommend for crafting HTML emails from scratch? Foundation MJML React Email 25:03 Hey are you guys setting up your own CI/CD like github action or gitlab CI? Netlify Vercel 28:25 What do you think about unstyled component libs. Eg: Ark? Ark UI 31:47 Do I need to have every single feature on mobile as I do on a desktop? Obsidian - Sharpen your thinking Missive ‐ Team Email, Chat & Tasks 39:15 How can I get better at planning my code? shaky.github.bushong.net Monodraw for macOS — Helftone Octopus.do, Visual Sitemap Tool, Website Planner, Architecture Mermaid | Diagramming and charting tool 42:32 What exactly makes it so that a piece of logic is client/frontend logic vs backend logic? 46:17 Sick Picks Sick Picks Scott: Sleeping Queens Card Game, 79 Cards : Toys & Games Wes: Package drop box Shameless Plugs Scott: Syntax Newsletter Wes: Wes Bos Courses Hit us up on Socials! Syntax: X Instagram Tiktok LinkedIn Threads Wes: X Instagram Tiktok LinkedIn Threads Scott: X Instagram Tiktok LinkedIn Threads

In this Brand Story episode, Sean Martin, along with Gabi Stapel and Erez Hasson from Imperva, explores the complex landscape of retail web and mobile security and the increasing role of AI-enabled bots (both good and bad) in e-commerce and the potential threats they pose.Gabi and Erez highlight how these bots can exploit business logic and application capabilities, leading to new account fraud, account takeover, and price manipulation. They emphasize the importance of layered security and anomaly detection as key strategies to counter these threats.The discussion also explores the need for businesses to differentiate between human and bot traffic. Gabi and Erez point out the potential backlash from legitimate users when bots buy and deplete inventory, and the subsequent impact on customer experience and the company's reputation. They also touch on the importance of monitoring the total value of the cart, as bots tend to purchase single items, resulting in net losses for the retailer.The conversation further delves into the global and local aspects of commerce, including regulatory considerations like PCI DSS. Gabi and Erez discuss the upcoming changes in PCI DSS v4, which requires retailers to focus on managing scripts and changes to payment pages to prevent data breaches.The episode also offers valuable insights for both large-scale and smaller retailers. Gabi and Erez underscore the importance of staying on top of security and vulnerabilities, regardless of the size of the business. They provide practical advice for retailers, such as implementing a waiting room web page or a raffle system for big sales events, and auditing purchases for limited product drops.This episode is a must-listen for anyone involved in e-commerce and cybersecurity, providing a comprehensive understanding of the evolving landscape of cyber threats in the retail industry.Note: This story contains promotional content. Learn more.Guests: Gabi Stapel, Cybersecurity Threat Research Content Manager at Imperva [@Imperva]On LinkedIn | https://www.linkedin.com/in/gabriella-stapel/On Twitter | https://twitter.com/GabiStapelErez Hasson, Product Marketing Manager at Imperva [@Imperva]On LinkedIn | https://www.linkedin.com/in/erezh/ResourcesLearn more about Imperva and their offering: https://itspm.ag/imperva277117988Catch more stories from Imperva at https://www.itspmagazine.com/directory/impervaBlog | Online Retailers: Five Threats Targeting Your Business This Holiday Shopping Season: https://itspm.ag/impervkb2gAre you interested in telling your story?https://www.itspmagazine.com/telling-your-story

In this Brand Story episode, Sean Martin, along with Gabi Stapel and Erez Hasson from Imperva, explores the complex landscape of retail web and mobile security and the increasing role of AI-enabled bots (both good and bad) in e-commerce and the potential threats they pose.Gabi and Erez highlight how these bots can exploit business logic and application capabilities, leading to new account fraud, account takeover, and price manipulation. They emphasize the importance of layered security and anomaly detection as key strategies to counter these threats.The discussion also explores the need for businesses to differentiate between human and bot traffic. Gabi and Erez point out the potential backlash from legitimate users when bots buy and deplete inventory, and the subsequent impact on customer experience and the company's reputation. They also touch on the importance of monitoring the total value of the cart, as bots tend to purchase single items, resulting in net losses for the retailer.The conversation further delves into the global and local aspects of commerce, including regulatory considerations like PCI DSS. Gabi and Erez discuss the upcoming changes in PCI DSS v4, which requires retailers to focus on managing scripts and changes to payment pages to prevent data breaches.The episode also offers valuable insights for both large-scale and smaller retailers. Gabi and Erez underscore the importance of staying on top of security and vulnerabilities, regardless of the size of the business. They provide practical advice for retailers, such as implementing a waiting room web page or a raffle system for big sales events, and auditing purchases for limited product drops.This episode is a must-listen for anyone involved in e-commerce and cybersecurity, providing a comprehensive understanding of the evolving landscape of cyber threats in the retail industry.Note: This story contains promotional content. Learn more.Guests: Gabi Stapel, Cybersecurity Threat Research Content Manager at Imperva [@Imperva]On LinkedIn | https://www.linkedin.com/in/gabriella-stapel/On Twitter | https://twitter.com/GabiStapelErez Hasson, Product Marketing Manager at Imperva [@Imperva]On LinkedIn | https://www.linkedin.com/in/erezh/ResourcesLearn more about Imperva and their offering: https://itspm.ag/imperva277117988Catch more stories from Imperva at https://www.itspmagazine.com/directory/impervaBlog | Online Retailers: Five Threats Targeting Your Business This Holiday Shopping Season: https://itspm.ag/impervkb2gAre you interested in telling your story?https://www.itspmagazine.com/telling-your-story

Appsec lessons from the Okta breach, directory traversal (and appsec) lessons from SolarWinds, how CISOs and Boards rank factors around vulns and patching, revisiting cryptocurrency attacks for lessons in business logic and threat modeling, CISA and friends update guidance on Secure Design, and more! Show Notes: https://securityweekly.com/asw-260

Appsec lessons from the Okta breach, directory traversal (and appsec) lessons from SolarWinds, how CISOs and Boards rank factors around vulns and patching, revisiting cryptocurrency attacks for lessons in business logic and threat modeling, CISA and friends update guidance on Secure Design, and more! Show Notes: https://securityweekly.com/asw-260

In this discussion, Shiyan Koh, Managing Partner of Hustle Fund, and Jeremy Au, talked about three key topics: 1. Conglomerate Underperformance: Shiyan and Jeremy discuss the Southeast Asia report by Bain & Company, diving into the transformation of conglomerates – entities that once stood as beacons of success and now grapple with dwindling performances. They touch on potential causes of underperformance such as the challenges faced in managing diverse business units, rapid technological advancements, and the rise of competitors. They also talk about key success factors conglomerates need to focus on enhancing core competencies, leveraging synergies across business units, and maintaining a robust governance structure. They emphasized that conglomerates must realign their strategies with the changing business environment. 2. Super Apps and Conglomerate Parallels: Shiyan and Jeremy delve into the similarities between the growth strategies of super apps and traditional conglomerates, both aiming to be the go-to solution for a wide range of user needs. For super apps, this means integrating diverse services like e-commerce, ride-hailing, food delivery, and financial services into one seamless platform to drive user engagement, increase stickiness, and maximize transaction value. However, just as conglomerates faced challenges in managing diverse business units and ensuring consistent quality across all ventures, super apps also grapple with the complexities of offering multifaceted services while retaining user trust and ensuring optimal user experience.  3. Building Trust with Users: Shiyan spotlights Costso's approach to cultivating and maintaining a loyal customer base. They underline that businesses should focus on curating offerings that genuinely align with users' needs and prioritizing their interests above all else, rather than pushing products and services. They discuss that organic alignment is the cornerstone of a long-lasting, trusted relationship and that adapting to shifts in user interests can sustain relevance in their markets, keeping them ahead of competitors. They also talk about biotech as an underexplored area in the region, the evolution of game distributors and publishers, the regulatory hurdles startups face across different countries, the gamification of e-commerce, and the behavioral economics behind app designs. Watch, listen or read the full insight at https://www.bravesea.com/blog/conglomerate-underperformance Get transcripts, startup resources & community discussions at www.bravesea.com WhatsApp: https://chat.whatsapp.com/CeL3ywi7yOWFd8HTo6yzde Spotify: https://open.spotify.com/show/4TnqkaWpTT181lMA8xNu0T YouTube: https://www.youtube.com/@JeremyAu Apple Podcasts: https://podcasts.apple.com/sg/podcast/brave-southeast-asia-tech-singapore-indonesia-vietnam/id1506890464 Google Podcasts: https://podcasts.google.com/feed/aHR0cHM6Ly9mZWVkLnBvZC5jby9icmF2ZWR5bmFtaWNz TikTok: https://www.tiktok.com/@jeremyau Instagram: https://www.instagram.com/jeremyauz Twitter: https://twitter.com/jeremyau LinkedIn: https://www.linkedin.com/company/bravesea Learn more about Ringkas here: https://www.ringkas.co.id

The majority of attacks are now automated, with a growing number of attacks targeting business logic via APIs, which is unique to every organization. This shift makes traditional signature-based defenses insufficient to stop targeted business logic attacks on their own. In this discussion, Karl Triebes shares how flaws in business logic design can leave applications and APIs open to attack and what tools organizations need to effectively mitigate these threats. This segment is sponsored by Imperva. Visit https://securityweekly.com/imperva to learn more about them! In the news segment, a slew of XSS in Azure's HDInsights, CNCF releases fuzzing and security audits on Kyverno and Dragonfly2, CISA shares a roadmap for security open source software, race conditions and repojacking in GitHub, and more! Visit https://securityweekly.com/asw for all the latest episodes! Follow us on Twitter: https://www.twitter.com/secweekly Like us on Facebook: https://www.facebook.com/secweekly Show Notes: https://securityweekly.com/asw-255

The majority of attacks are now automated, with a growing number of attacks targeting business logic via APIs, which is unique to every organization. This shift makes traditional signature-based defenses insufficient to stop targeted business logic attacks on their own. In this discussion, Karl Triebes shares how flaws in business logic design can leave applications and APIs open to attack and what tools organizations need to effectively mitigate these threats. This segment is sponsored by Imperva. Visit https://securityweekly.com/imperva to learn more about them! Show Notes: https://securityweekly.com/asw-255

The majority of attacks are now automated, with a growing number of attacks targeting business logic via APIs, which is unique to every organization. This shift makes traditional signature-based defenses insufficient to stop targeted business logic attacks on their own. In this discussion, Karl Triebes shares how flaws in business logic design can leave applications and APIs open to attack and what tools organizations need to effectively mitigate these threats. This segment is sponsored by Imperva. Visit https://securityweekly.com/imperva to learn more about them! In the news segment, a slew of XSS in Azure's HDInsights, CNCF releases fuzzing and security audits on Kyverno and Dragonfly2, CISA shares a roadmap for security open source software, race conditions and repojacking in GitHub, and more! Visit https://securityweekly.com/asw for all the latest episodes! Follow us on Twitter: https://www.twitter.com/secweekly Like us on Facebook: https://www.facebook.com/secweekly Show Notes: https://securityweekly.com/asw-255

The majority of attacks are now automated, with a growing number of attacks targeting business logic via APIs, which is unique to every organization. This shift makes traditional signature-based defenses insufficient to stop targeted business logic attacks on their own. In this discussion, Karl Triebes shares how flaws in business logic design can leave applications and APIs open to attack and what tools organizations need to effectively mitigate these threats. This segment is sponsored by Imperva. Visit https://securityweekly.com/imperva to learn more about them! Show Notes: https://securityweekly.com/asw-255

This podcast is a commentary and does not contain any copyrighted material of the reference source. We strongly recommend accessing/buying the reference source at the same time. ■Reference Source https://www.ted.com/talks/ray_anderson_the_business_logic_of_sustainability ■Post on this topic (You can get FREE learning materials!) https://englist.me/204-academic-words-reference-from-ray-anderson-the-business-logic-of-sustainability-ted-talk/ ■Youtube Video https://youtu.be/4pbzake35Rg (All Words) https://youtu.be/uhoSbc7w4d8 (Advanced Words) https://youtu.be/dUrJrE3KlFg (Quick Look) ■Top Page for Further Materials https://englist.me/ ■SNS (Please follow!)

Since we introduced Camunda Platform 8, migration has been a hot topic among Camundi and users. For us, this is an ongoing topic that continues to evolve as we receive feedback from our community and customers, and as new technologies emerge. On this episode of the Camunda Community Podcast, Senior Developer Advocate Niall Deehan chats with Senior Consultant Manuel (aka Manu) Dittmar and Consultant Jonathan Lukas about the three main pillars of migrating to Camunda Platform 8 from Camunda 7: model migration, business logic migration, and data migration. This is a lot to cover, so we're breaking it down into two episodes. In Part 1, Niall has plenty of questions for Manu (aka Manuel) and Jonathan regarding the strategy and practical implementation of migrating models and business logic. We start off discussing a brief history of Camunda 8; our key consideration points including documentation and tooling for helping customers and users migrate; and how the architecture of Camunda 8 better aligns with modern software architecture and service orchestration, creating a much faster workflow and decision engine. Listen to learn more about: Key differences between Camunda 8 and Camunda 7, including why FEELWhat will make for a smooth Camunda migration Practical steps to get your models and business logic migration-readyAvailable tooling to help your migration journeyShare your questions or feedback about this episode on our forum.Start your free trial of Camunda Platform 8.Save your seat for CamundaCon 2023.Additional Resources:- [github] Camunda Platform 7 To Camunda Platform 8 Migration Tooling- [guide] Migrate to Camunda Platform 8 in 6 Steps- [docs] Migrating to Camunda 8 from Camunda 7- [blog] What to do When You Can't Quickly Migrate to Camunda 8---Visit our website.Connect with us on LinkedIn.Check out our videos on YouTube. Tweet with us. Join us on Facebook. ---Camunda enables organizations to orchestrate processes across people, systems, and devices to continuously overcome complexity and increase efficiency. With Camunda, business users and developers collaborate using BPMN to model end-to-end processes and run sophisticated automation with the speed, scale, and resilience required to stay competitive. Hundreds of enterprises such as Atlassian, ING, and Vodafone design, orchestrate, and improve business-critical processes with Camunda to accelerate digital transformation.---Camunda presents this podcast for informational and entertainment purposes only and does not wish or intend to provide any legal, technical, or any other advice or services to the listeners of this podcast. Please see here for the full disclaimer.

In this episode of The New Stack Makers, Peter Klimek, director of technology in the Office of the CTO at Imperva, discusses the vulnerability of business logic in a distributed, cloud-native environment. Business logic refers to the rules and processes that govern how applications function and how users interact with them and other systems. Klimek highlights the increasing attacks on APIs that exploit business logic vulnerabilities, with 17% of attacks on APIs in 2022 coming from malicious bots abusing business logic.The attacks on business logic take various forms, including credential stuffing attacks, carding (testing stolen credit cards), and newer forms like influence fraud, where algorithms are manipulated to deceive platforms and users. Klimek emphasizes that protecting business logic requires a cross-functional approach involving developers, operations engineers, security, and fraud teams.To enhance business logic security, Klimek recommends conducting a threat modeling exercise within the organization, which helps identify potential risk vectors. Additionally, he suggests referring to the Open Web Application Security Project (OWASP) website's list of automated threats as a checklist during the exercise.Ultimately, safeguarding business logic is crucial in securing cloud-native environments, and collaboration among various teams is essential to effectively mitigate potential threats and attacks.More from The New Stack, Imperva, and Peter Klimek:Why Your APIs Aren't Safe — and What to Do about ItZero-Day Vulnerabilities Can Teach Us About Supply-Chain SecurityGraphQL APIs: Greater Flexibility Breeds New Security Woes

We all know the joke – Excel spreadsheets are the thing that holds whole industries together and holding them from collapsing – and the truth is that a lot of data is stored in them. But sifting through all that data can be an arduous task, and the need for a solution that would do it faster and more efficiently is there. Fortunately, there's a company named Coherent, that does a lot of this work, helping businesses extract valuable inputs from these vast seas of data, and I have Coherent's Senior Technology Director, Nick Leimer, here to talk about it. From his journey in the world of tech, his leadership style, all the way to his views on how to improve teams – we talked in depth about all of these topics and much more! Key takeaways from the podcast are: - Why diversity in character and perspectives is more important than finding like-minded people - How changing roles and workplaces is important for growth and knowing what suits you - Failing is the gateway to learning, and allowing people to fail can be invaluable for growth Our Guest: Nick Leimer LinkedIn: https://www.linkedin.com/in/nick-leimer-05851611/ Website: https://www.coherent.global/ Intro and background music: Craig MacArthur - Power Shutoff (www.youtube.com/watch?v=x74iB_jtauw)

In this bonus episode, Eric and Kostas preview their upcoming conversation with Taylor Murphy of Meltano.

In this episode of Scaling Postgres, we discuss ENUMs vs. check constraints, querying table facets with roaring bitmaps, a better way to handle scaling and whether you should store your business logic in Postgres. Subscribe at https://www.scalingpostgres.com to get notified of new episodes. Links for this episode: https://www.crunchydata.com/blog/enums-vs-check-constraints-in-postgres https://www.cybertec-postgresql.com/en/faceting-large-result-sets/ https://github.com/cybertec-postgresql/pgfaceting https://pganalyze.com/blog/5mins-postgres-roaring-bitmaps-pgfaceting-query-performance https://thenewstack.io/iso-better-scaling-instacart-drops-postgres-for-amazon-dynamodb/ https://www.rubberduckdevshow.com/episodes/68-should-you-store-business-logic-in-your-database/ https://www.ongres.com/blog/debugging-postgres-wal-events-with-pg_walinspect/ https://kmoppel.github.io/2022-12-09-the-bountiful-world-of-postgres-indexing-options/ https://andreas.scherbaum.la/blog/archives/1125-PGSQL-Phriday-003-What-is-the-PostgreSQL-Community-to-me.html https://www.crunchydata.com/blog/state-of-json-in-postgres-2022 https://postgres.fm/episodes/timestamps https://postgresql.life/post/ales_zeleny/  

Chuck Herrin, CTO at Wib, came down to the Ranch to explain the risks and threats currently facing APIs, or application programming interfaces. Simply put, APIs facilitate people and applications in communicating with other applications, but Chuck sees the lack of protocols, regulations, and security plans laid out for these APIs as a massive security threat. Breaking down the process using an API hack he performed as an example, Chuck talks about what the state of API security is and where it needs to be headed.   Timecoded Guide: [00:00] Bringing a background in finance into the cybersecurity API world [05:25] "Hacking" a bank's API using business logic instead of hacking [12:17] Implementing standard API protocols and processes [14:27] Flipping the API language and preparing injection threats [19:03] Evolving defenses overtime to meet both new needs and new risks   Sponsor Links: Thank you to our sponsor Axonius for bringing this episode to life! Manual asset inventory just doesn't cut it anymore. That's where Axonious comes in. Take control of security complexities by uncovering gaps in your organization. Sign up for a free walk through of the platform at Axonius.com/Get-A-Tour   What does your current role look like and how does it relate to API security? Chuck began his career in tech and security in the banking industry, and felt particularly concerned over time with the lack of security around APIs and related technology. Now, with his CTO position at Wib, Chuck works with Wib to focus on providing continuous visibility into API attack surfaces. Outside of just the newness and the tech of APId, Chuck explains that there are critical infrastructure and national security ramifications for API security.  “The basic premise is: If you could do it differently, knowing what you know now, what would you build in an API security platform? What I'm bringing to the table is 20 years as a defender in US financial services, where I know what we need from a governance perspective.”   Akamai recently ran a study of internet traffic. What were their findings about APIs? As someone well researched in his work with APIs, Chuck pays close attention to recent studies, like one from Akamai, that recently claims 91% of their global internet traffic is API traffic. Chuck explains that this is a huge development in the popularity and impact of APIs on global security, especially when relating it to a separate study that estimates 50% of APIs are actually unmanaged. Although this stat seems shocking, many in the industry believe even that estimate is low, and the issue might be even worse than studies are showing.  “91% of the traffic that Akamai handles is API traffic. So, 91% of global internet traffic is API traffic. Another stat which is a little harder to prove estimates that roughly 50% of API's are completely unmanaged.”   You actually performed a hack live on an API, but it wasn't even a hack at all. Can you tell me that story?  At the most recent Black Hat, Chuck dissected and presented a few case studies, one of which was a bank's API, hacked using a logic-based attack. Using the errors in business logic present within the banking API, Chuck's team was able to bypass the front-end system and transfer fees, managing to convert money into more valuable currency over and over again. The wildest part, to both Chuck and to presentation attendees, was that this didn't require tech hacking, it only required exploiting business logic.  “We didn't tear apart the mobile app and find the stored credentials, the API keys, which are probably in there. We didn't crack any passwords. We just abused the logic, and it responded in the way it was designed and here we are.”   If we can't anticipate every possible business logic flaw or abuse case, how can we reduce the impact and blast radius of API threats? Reducing the impact of API security threats feels daunting, but Chuck explains that security has to go back to the basics in order to identify and acknowledge what has to change over time. You can't protect what you can't see and our teams have to evolve over time to defend against the changing attackers we might end up facing with APIs. When push comes to shove, Chuck firmly believes in having a defense strongly informed by the offenses and threats around you. “This was cloud security 10 years ago, and it's API security today, right? History doesn't repeat, but it rhymes. It's the same basics and same fundamentals. Now, you need to change tooling. The attackers evolve over time, and your defenses have to evolve over time.” ---------- Links: Learn more about Chuck Herrin on LinkedIn and the Wib website Follow Allan Alford on LinkedIn and Twitter Purchase a Cyber Ranch Podcast T-Shirt at the Hacker Valley Store  Continue this conversation on our Discord Listen to more from the Hacker Valley Studio and The Cyber Ranch Podcast

Maxim Fateev (@mfateev, Co-Founder/CEO of @temporalio) talks about building modern applications, rethinking microservices, and orchestrating business logic. SHOW: 637CLOUD NEWS OF THE WEEK - http://bit.ly/cloudcast-cnotwCHECK OUT OUR NEW PODCAST - "CLOUDCAST BASICS"SHOW SPONSORS:Datadog Security Solution: Modern Monitoring and SecurityStart investigating security threats before it affects your customers with a free 14 day Datadog trial. Listeners of The Cloudcast will also receive a free Datadog T-shirt.Streamline on-call, collaboration, incident management, and automation with a free 30-day trial of Lightstep Incident Response, built on ServiceNow. Listeners of The Cloudcast will also receive a free Lightstep Incident Response T-shirt after firing an alert or incident.Pay for the services you use, not the number of people on your team with Lightstep Incident Response. Try free for 30 days. Fire an alert or incident today and receive a free LightstepIncident Response t-shirt.SHOW NOTES:Temporal.io (homepage)Temporal (open source)Temporal's “Reply” Conference - Aug 25-26 (Seattle)Topic 1 - Welcome to the show. Let's talk about your background and what led you to start Temporal.io. Topic 2 - There are lots of approaches to building (or running) modern applications - from Low-Code to Serverless to PaaS. Some are more focused on building apps and others on running apps. Where do you see various approaches today having struggles?Topic 3 - What is the Temporal philosophy on making it easier to build/run modern applications? Topic 4 - Let's talk about the concept of Temporal workflows. Who interacts with a workflow (developer, DevOps teams, etc.), and how much influence does it have on both application design and deployment?Topic 5 - What are some of the things that happen to an application using Temporal that don't happen with some of the other tools/frameworks focused on microservices?Topic 6 - Does Temporal help “modernize” existing applications, or is it primarily focused on new applications?FEEDBACK?Email: show at the cloudcast dot netTwitter: @thecloudcastnet

Can a long-established medical premise actually be a new trend? Avi Kulkarni, Senior Vice President of Health Sciences at the IT services and consulting company Cognizant, says the patient needs to be “the center of the universe,” and also describes how innovation and risk-taking are “cold, hard business logic.” Tune in for Avi's straightforward healthcare and business assessment.Tune in to learn:What makes Cognizant such a healthcare innovator (11:30) The role marketing plays in healthcare advancement and expansion (13:25)The challenge of risk tolerance (23:10)What healthcare will look like in five years (39:33)Mentions:“Why Tech Marketing Leaders Are Racing To Sponsor Formula 1” “Preventive Healthcare Compliance Monitoring Is A Risk Change Agent”Marketing Trends is brought to you by Salesforce Marketing Cloud. For more great marketing insights, sign up for The Marketing Moments newsletter. You'll get ideas to help you build better customer relationships, invites to upcoming events, and access to the latest industry research. Subscribe at https://sforce.co/MarketingMoments

Your favorite ungrownups are back with a vengeance as Ryan and Matthew catch up on their recent adventures. Ryan visited Diet Canada, which is commonly referred to by most as Minnesota, where he did some team-building, bowled, learned the sport of WhirlyBall, and caught an NHL playoff game. Matthew's on the hunt for another watch to add to his collection and the guys debate if it's worth contemplating a Rolex. Matthew recaps his Japan travel and the pandemic-related travel complications he had to go through to visit and how it compared to his return travel to the US. The guys get down to business as they ponder why there's no international standard business card size and why small business owners don't consider the competition in the area before signing their lease. The dudes talk Star Wars conventions, concerts, little league playoffs, summer camps, reality TV dating shows, Lamborghinis, highway construction, why Altima drivers are the worst, high school art projects, and all sorts of other ungrowunp musings.

Video content can be found here: https://www.youtube.com/channel/UC0BAd8tPlDqFvDYBemHcQPQ/

2022-02-01 Weekly News - Episode 133Watch the video version on YouTube at https://youtu.be/6tJ1eEzQ398Hosts: Eric Peterson  - Senior Developer for Ortus SolutionsBrad Wood - Software Consultant for Ortus SolutionsThanks to our Sponsor - Ortus SolutionsThe makers of ColdBox, CommandBox, ForgeBox, TestBox and almost every other Box out there. A few ways  to say thanks back to Ortus Solutions: Like and subscribe to our videos on YouTube.  Star and Fork our Repos Subscribe to our Podcast on your Podcast Apps and leave us a review Sign up for a free or paid account on CFCasts, which is releasing new content every week Buy Ortus's Book - 102 ColdBox HMVC Quick Tips and Tricks on GumRoad (http://gum.co/coldbox-tips) Patreon SupportWe have 37 patreons providing 96% of the funding for our Modernize or Die Podcasts via our Patreon site: https://www.patreon.com/ortussolutions. News and EventsState of the CF Union 2022 Survey ReleasedHelp us find out the state of the CF Union – what versions of CFML Engine do people use, what frameworks, tools etc.https://teratech.com/state-of-the-cf-union-2022-surveyICYMI - Ortus Webinar - cbwire + Alpine.js with Grant CopleyIn this webinar, Grant, lead developer for cbwire, will showcase how to build modern, reactive CFML apps easily using very little JavaScript.https://cfcasts.com/series/ortus-webinars-2022/videos/grant-copley-on-cbwire-+-alpine_jsHawaii CFUG - Using CFCs in your ColdFusion Applications with John BarrettFriday, February 25, 2022 - 5:00 PM CT - Central Time (US and Canada)This will be a talk on using CFCs in your ColdFusion applications. Creating and developing applications using CFCs enables you to separate the code logic from the design and presentation. Utilizing CFCs and creating a clear structured format for your code will help reduce the complexity of logic within your pages and improve the application speed. Having a clearly structured, the well-organized code base will make it easier to develop as an individual and share resources within a team. This is the instant benefit of CFC development.https://www.meetup.com/hawaii-coldfusion-meetup-group/events/283506895/https://cfhawaii.net/CommandBox Workflow Magic (modules to speed up CF development), with Brad WoodBrad Wood talks about “CommandBox Workflow magic (modules to speed up CF development)” in this episode of the CF Alive Podcast, with host Michaela Light.https://teratech.com/podcast/commandbox-workflow-magic-modules-to-speed-up-cf-development-with-brad-wood/Adobe WorkshopsMore Adobe #ColdFusion Workshops announced, lead by Damien Bruyndonckx2 dates announced:February 2, 20229.00 AM - 4.30 PM CET (Central European Time)1.30 PM - 9.00 PM IST (Indian Standard Time)March 09, 20229.00 AM - 4.30 PM CET (Central European Time)1.30 PM - 9.00 PM IST (Indian Standard Time)Register online at https://cf-workshop.meetus.adobeevents.com/ CFCasts Content Updateshttps://www.cfcasts.com Just ReleasedWebinars 2022Grant Copley on cbwire + Alpine.js - https://cfcasts.com/series/ortus-webinars-2022/videos/grant-copley-on-cbwire-+-alpine_js Coming soonInto the Box LATAMConferences and TrainingICYMI - VueJS Nation ConferenceOnline Live EventJanuary 26th & 27th 2022Register for Free and Watch the VODshttps://vuejsnation.com/ DevNexus 2022April 12-14, 2022Atlanta, GABrad & Luis will be speakingLuis - Alpine.js: Declare and React with SimplicityBrad - What's a Pull Request? (Contributing to Open Source)https://devnexus.com/Into The Box 2022Tentative dates - September 27-30More conferencesNeed more conferences, this site has a huge list of conferences for almost any language/community.https://confs.tech/Blogs, Tweets, and Videos of the WeekTweet - Brad Wood - X-Forwarded-For in CommandBox vNextFair warning-- for a more secure-by-default behavior, CommandBox vNext will no longer trust X-Forwarded-For HTTP headers unless you configure it to. This is to prevent IP-based access control being circumvented. https://ortussolutions.atlassian.net/browse/COMMANDBOX-1424 #CFML #ColdFusion #InfoSec #SecureByDefaulthttps://twitter.com/bdw429s/status/1486763129216409620https://twitter.com/bdw429sTweet - Zac Spitzer - M1 support in Lucee 5.3.9.61-SNAPSHOTJust merged in native M1 support for Macs in Lucee 5.3.9.61-SNAPSHOT RC1 comes out next week, we've just been battling getting rid of the last vestiges of log4j1 try it out via #Commandbox https://luceeserver.atlassian.net/browse/LDEV-3536 #lucee #cfmlhttps://twitter.com/zackster/status/1487109711451377666https://twitter.com/zacksterSupplemental - Dan Abramov - npm audit: Broken by DesignCommentary about the auditing woeshttps://overreacted.io/npm-audit-broken-by-design/Blog - Ben Nadel - I Always Design The Database Schema First, Then The ColdFusion CodeThroughout my career, I've often heard that it is a best practice to design your "Domain Objects" and your "Business Logic" first and then, eventually, to design a database schema that allows your domain objects to be persisted. I've even seen many ORM (Object-Relational Mapping) systems that will happily churn-out database schemas based solely on your Objects (and their metadata). Personally, I've never done this. In fact, I find this approach to be antagonistic to how my brain operates. When I'm working on a ColdFusion application (or a feature therein), I always start with the database schema first and then layer the ColdFusion application upon it using an iterative, ground-up approach.https://www.bennadel.com/blog/4191-i-always-design-the-database-schema-first-then-the-coldfusion-code.htmBlog - Ben Nadel - Turning Off "InvalidTag" ScriptProtect Safely In ColdFusion 2021The other day, I wrote an article about dynamically generating tags using Umbrella JS. Historically, writing about the tag has been somewhat challenging - from a technical standpoint - because the ColdFusion server goes out of its way to protect You from persisted Cross-Site Scripting (XSS) attacks. It does this by scanning input scopes (ex, url, form, cgi, cookie) and replacing suspicious tag names (ex, script, object, embed, applet, iframe) with the phrase "InvalidTag". I was able to turn this behavior off using the Application.cfc setting, this.scriptProtect="none". This feels like a scary step, however; so, I wanted to just think out loud about why this is safe to do in my particular context.https://www.bennadel.com/blog/4194-turning-off-invalidtag-scriptprotect-safely-in-coldfusion-2021.htmBlog - Ben Nadel - Ask Ben: Converting An XML Document Into A Nested ColdFusion StructIt's been a long, long time since I've done an Ask Ben question; but, I recently received a question about XML document parsing in ColdFusion and I thought this would be a good opportunity to get back into the swing of things. In this post, I'm going to be using a recursive, depth-first traversal algorithm to iterative create a nested structure based on the an XML configuration document.https://www.bennadel.com/blog/4193-ask-ben-converting-an-xml-document-into-a-nested-coldfusion-struct.htmCFML JobsSeveral positions available on https://www.getcfmljobs.com/Listing over 32 ColdFusion positions from 20 companies across 20 locations in 5 Countries3 new jobs listedFull-Time - Software Developer - ColdFusion at Overland Park, KS - United StatesJan 27https://www.getcfmljobs.com/jobs/index.cfm/united-states/Software-Developer-ColdFusion-at-Overland-Park-KS/11418Full-Time - Software Developer - Database and ColdFusion Developer at Hobart TASJan 27https://www.getcfmljobs.com/jobs/index.cfm/australia/Database-and-ColdFusion-Developer-at-Hobart-TAS/11419Full-Time - Software Developer - Coldfusion Developer at Halifax, ON - United StatesJan 27https://www.getcfmljobs.com/jobs/index.cfm/canada/Coldfusion-Developer-at-Halifax-ON/11417Other Job Linkshttps://www.venntro.com/careers ForgeBox Module of the WeektotpBy Ortus SolutionsA CFML Implementation of Time-based One-time PasswordsCreate secrets, authenticator urls, and QR codes for new TOTP tokens.Generate tokens and verify those tokens using the given secrets.https://forgebox.io/view/totpVS Code Hint Tips and Tricks of the WeekHyper KeyThis idea involves mapping Shift-Control-Option-Command to the caps lock key. Using the hyper key opens your keyboard up to a ton of new easily triggered shortcuts.Mac: https://www.macsparky.com/blog/2021/2/hyper-key-via-bettertouchtool/Windows: https://gist.github.com/mitcdh/33aaf96ce2636d0c9e8ed9473059fa93Linux: https://askubuntu.com/questions/1133312/how-do-i-remap-caps-lock-to-hyper-key-in-ubuntu-18-04Thank you to all of our Patreon SupportersThese individuals are personally supporting our open source initiatives to ensure the great toolings like CommandBox, ForgeBox, ColdBox,  ContentBox, TestBox and all the other boxes keep getting the continuous development they need, and funds the cloud infrastructure at our community relies on like ForgeBox for our Package Management with CommandBox. You can support us on Patreon here https://www.patreon.com/ortussolutionsNow offering Annual Memberships, pay for the year and save 10% - great for businesses. Bronze Packages and up, now get a ForgeBox Pro and CFCasts subscriptions as a perk for their Patreon Subscription. All Patreon supporters have a Profile badge on the Community Website All Patreon supporters have their own Private Forum access on the Community Website https://community.ortussolutions.com/ PatreonsJohn Wilson - Synaptrix Eric HoffmanGary KnightMario RodriguesGiancarlo GomezDavid BelangerJonathan PerretJeffry McGee - Sunstar Media6Dean MaunderJoseph LamoreeDon BellamyJan JannekLaksma TirtohadiCarl Von StettenDan CardJeremy AdamsJordan ClarkMatthew ClementeDaniel GarciaScott Steinbeck - Agri Tracking SystemsBen NadelMingo HagenBrett DeLineKai KoenigCharlie ArehartJonas ErikssonJason DaigerJeff McClainShawn OdenMatthew DarbyRoss PhillipsEdgardo CabezasPatrick FlynnStephany MongeKevin WrightSteven KlotzYou can see an up to date list of all sponsors on Ortus Solutions' Websitehttps://ortussolutions.com/about-us/sponsors ★ Support this podcast on Patreon ★

Business logic isn't just for businesses in the money making sense. Business logic encapsulates entities and the business rules or policies that solve real world problems. Business logic is used to model entities that relate to business objects. For example your application may require orders, order items, payments, customers and the addresses. 5 ways to improve Business logic Keep it portable Keep it out of view logic Small isolated rules Avoid large recalculations of data Don't over abstract Watch the show on YouTube Contact me and let me know your thoughts or get something read out on air. My web development courses ➡️ Learn How to build a JavaScript Tip Calculator ➡️ Learn JavaScript arrays ➡️ Learn PHP arrays ➡️ Learn Python ✉️ Get my weekly newsletter ⏰ My current live coding schedule (Times are BST) Thursdays 20:00 = Live Podcast YouTube Sundays 14:30 - Live coding on Twitch

There is a clash... A clash between existing business logic and service design. For instance the focus on value extraction versus value creation. The difference in an open versus hierarchical workstyle. And the emphasis on statistical versus empirical evidence. If not dealt with in the right way, this clash creates tensions which prevents you from making a positive contribution through your work. The first step to effectively dealing with these tensions is recognizing that you're in a clash. Our guest in this week's episode Chris Ferguson calls these tensions double binds. And Chris has been doing some foundational research into this topic. You're going to learn about the most common double binds that he found through his research. If you stick around till the end of the episode you'll also walk away with some concrete examples on how you can neutralize these tensions. And if anything, at least you'll see these tensions coming and can prepare in advance :) --- [ GUIDE ] -— 00:00 Welcome to episode 134 02:00 Who is Chris 03:50 Question rapid fire round 06:00 Double binds 09:00 Traditional organisations 10:45 Work style tension 18:45 Transforming the organisation 23:15 Business model bind 30:15 Different cultures 35:15 Understanding belief systems 39:00 Learning from others 42:45 Finding your allies 52:30 Structuring projects 56:00 Final thoughts --- [ LINKS ] --- - https://www.linkedin.com/in/1christopherferguson/ - Razorblade Tears (book) - https://amzn.to/3lAXRfl - The Hard Thing About Hard Things (book) - https://amzn.to/3ADVqN4 - Design Thinking at Work (book) - https://amzn.to/3DAYYlb - Liminal thinking The pyramid of belief - https://www.youtube.com/watch?v=2G_h4mnAMJg - The Campfire - https://www.servicedesignshow.com/campfire/ --- [ HOW TO EXPLAIN SERVICE DESIGN ] --- Learn what it takes to get your clients, colleagues, managers, CEOs and even grandmas as excited about service design as you are. https://servicedesignshow.com/free-course

[קישור לקובץ mp3] בפרק מספר 422 של רברס עם פלטרפורמה - אני מתכבד לארח באולפן הוירטואלי שלי את ארז מטולה(רן) אז אם אתם מזהים את הקול הזה, זה בגלל שאתם מאזינים ממש-ממש-ממש אדוקים - עם ארז נפגשנו לפני 10 שנים - או יותר, אולי אפילו 11 שנים [מפה לשם כמעט 12…] - והקלטנו פרק, אז, על נושא של Penetration Testing [058 אבטחת מידע בתכנה software security, כולל הפתיח ההיסטורי למטיבי שמע], והנה אנחנו נפגשים שוב אחרי 10 או 11 שנים, כדי לראות מה התעדכן. רמז - הרבה . . . אז לפני שנכנס לעולם ה-Pen-Testing, ארז - ספר לנו, ככה בכמה מילים, עליך - (ארז) בשמחה - אני נמצא בתחום הזה של ה-Security בערך מאז שאני זוכר את עצמי . . . עוד בתור ילד, התעסקתי עם כל מיני שפות פיתוח ועם לפרוץ למשחקים ולעשות כל מיני דברים [לכאורה].היה לי ברור שזה הכיוון שלי, עוד בתור ילד היה לי ברור שאני איכשהו אשלב בין עולם המחשבים ועולם האבטחה - “הפריצות” אז קראנו לזה, עוד לא הייתה הגדרה לכזה דבר.ובאמת, בשביל לעשות את זה בצורה רצינית, היה לי ברור שגם צריך לעשות את זה בצורה “נכונה” ו”אקדמאית”, נקרא לזה.אז לאחר שלמדתי תואר ראשון ותואר שני בתחום, אמרתי “רגע, מה אני עוד יכול לעשות?”אולי אני אלך לעבוד בחברת פיתוח, כי בסך הכל אני מפתח תוכנה - אבל מצד שני, אני מאוד אוהב את ה-Security . . .אז אמרתי - רגע, בדיוק נולד תחום חדש שנקרא Application Security - אני מדבר איתך על לפני 20 שנה, כן? כשנכנסתי לעניינים - ואמרתי “איזה מגניב!”זה תחום שמשלב בין Security לפיתוח - בדיוק החיתוך הזה - ווואלה, נשמע לי מאוד מגניב, משהו שאני מאוד מתחבר אליו. ומאז גם התחלתי להתעסק עם כל מיני דברים שקשורים לכלים שפיתחתי, למחקרים שביצעתי, הרצאות שעשיתי במקומות כמו Black Hat ו-DevConאפילו יצא לי לכתוב ספר בנושא, שנקרא Managed Code Rootkitsומאז מאוד פיתחתי את התחום והשתדלתי לקחת סביבי הרבה מאוד אנשים שיטפלו בנושא הזהולפני משהו כמו 10 שנים הקמתי חברה בשם AppSec Labs - זו חברה שמתמחה בתחום ה-Application Security, ומה שאנחנו עושים בעצם זה בדיוק זה: אנחנו 15 איש, עושים Penetration Testing, עושים Code Review, מייעצים איך לכתוב אפליקציות בצורה בטוחה . . . כאשר המטרה המרכזית שלנו, בסופו של דבר, היא לגרום לעולם להיות מקום בטוח יותר, בהקשר של Software.(רן) מצויין, באמת הסטוריה ארוכה ומכובדת - לא הרבה יודעים, אבל גם אני התחלתי את הקריירה שלי כ-Pen-Tester, באיזשהו שלב . . . אחרי שסיימתי את הלימודים, זה היה אחד הדברים הראשונים שעשיתי, ואח”כ עברתי לכיוונים אחרים של Frontend ו-Backend ותשתיות - והיום Data Science, אבל כן, יש לי עדיין פינה חמה בלב לעולם ה-Pen-Testing וגם אני הייתי ב-Black Hat וכאלה, מכיר את החבורה . . .אבל בכל אופן, למי שאולי לא מכיר - הזכרנו את המילה הזו מספר פעמים: Pen-Testing: מה המשמעות? מה זה Pen-Testing? מה המשמעות של להיות Pen-Tester?(ארז) Pen-Testing זה, בצורה הכי נקרא-לזה-ככה-“מסונתזת”-שלו, זו מערכת, שיכולה להיות מערכת We-App או Mobile-App . . .ויכול להיות Pen-Test תשתיתי בכלל - Pen-Test לשרת קבצים, ל-IAS, ל-Apache . . . לא משנה מה, תמיד יש Target.בשורה התחתונה - המטרה היא להפיק דוח, להפיק רשימת Vulnerabilities, בעיות שנמצאו במערכת - על מנת שהצד השני - בדרך כלל בעל המערכת - יוכל להבין בפני מה הוא עומד.אם בעל המערכת יודע שיש לו איזושהי מערכת, ואין לו כל כך מושג אילו בעיות יש שם - אז הדבר הכי קרוב לפורץ אמיתי, שיפרוץ לו למערכת וינצל את זה - זה לקחת מישהו, נקרא לזה “מהטובים” - Penetration Tester, שבצורה מסודרת ומבוקרת ובתיאום עם אותו גורם, יבצע לו [עבורו] סוג של “סימולציה של האיש הרע”רק שבמקום שהוא באמת ינצל את הפרצות האלה ויעשה עם זה משהו, הוא פשוט בא ואחרי זה אומר לו “הנה, תראה - אלו הן הבעיות שמצאתי והנה, מההבנה שלי את הבעיות, אני גם יכול להגיד לך איך כדאי לך לטפל ולתקן אותן”.(רן) בסדר גמור, מעולה - אז אפשר לחשוב על Pen-Tester כעל “שודד טוב”: מישהו שמדמה פריצה אבל בסופו של דבר נותן לך דוח ולא גונב לך את הכסף, או את שאר הדברים . . .אז המקצוע הזה, כמו שאמרת, התחיל כבר לפני 20 שנה או יותר - אבל בוא נדבר על מה שקורה היום, זאת אומרת - מה התחדש, לפחות נאמר ב 5-10 שנים האחרונות, מבחינה טכנולוגית, מבחינה מתודולוגית . . . מה חדש בזמן האחרון?(ארז) אז קודם כל המון השתנה . . . אם אני אקביל את זה למה שהיה אז, בפגישה הקודמת שלנו לפני ~15 שנה, אז העולם היה מאוד פשוט . . .אז היתה לך טכנולוגיה אחת, בדרך כלל, שרת Web אחד . . . הכל היה מאוד הומוגני.הרוב היה רץ על IAS-ים, בדרך כלל מה שכתבו היו Web-Apps עם ASP . . . בהמשך התחיל NET.אם כבר היו אפקליציות Web-יות אז הן היו רק Java . . . היה מאוד מצוצמם.בדרך כלל, מי שעשה Penetration Testing בתקופה ההיא היו סוג של לקוחות מאוד-מאוד ממוקד - זה יכול להיות . . . בדרך כלל בנקים או תעשיות בטחוניות וכאלה.היום,Literally, כולם עושים Penetration Testing - כי כולם מבינים שזה צורך מאוד חשובוזה איזשהו שינוי מאוד מהותי שאנחנו רואים היום - שכולם עושים כל הזמן, כולם עושים להכל, לא רק לאותן אפליקציות שהן, ככה חשופות.ואם נסתכל רגע על ההבדל המשמעותי - אני אגיד את זה במשפט אחד ואני אפתח את זה: בשורה התחתונה, היום הרבה יותר מורכב לבצע Penetration Testing ממה שבוצע בעבר.היום, למשל, כשאנחנו מסתכלים על Target - אני, ברשותך, אתמקד בעולם שאני מכיר ושוחה ומומחה בו, תחום ה - Applications . . . אם אני מסתכל על Applications - ואגב Applications זה מושג מאוד רחב: זה יכול להיות Web-Apps, זה יכול להיות Mobile-Apps, זה יכול להיות IOTs, זה יכול להיות REST APIs, ו . . . You-name-it . . . כל עולם ה-Softwareבקיצור, הום הרבה יותר מורכב לבצע Penetration Testing, כי הפרופיל של ה-Penetration Tester הוא כזה שהוא צריך להיות הרבה יותר ורסטיליהוא לא יכול להכיר רק טכנולוגיה אחת, הוא לא יכול לבוא ולהגיד “אני יודע רק טכנולגויה אחת - אני יודע רק לבדוק Web-App מסוג Java!”הוא צריך להכיר טכנולוגיות שונות, הוא צריך לדעת את ההבדלים . . . מה ההבדל בין אפליקציה שנגיד מותקנת On-Prem - שזה, אגב, היה בעבר בעיקר On-Prem - לבין, פתאום, אפליקציות שהן . . . היום כמעט שאין On-Prem, רק בסביבות מיוחדות אתה תראה On-Prem.היום הרוב זה SaaS - אם ניקח את זה עוד שלב קדימה, היום הכל כמעט בנוי מעל תשתיות Cloudו-SaaS לא בהכרח אומר Cloud, יכול להיות שיש מישהו שיש לו SaaS שלא בהכרח משתמש בכל ה-Advanced Features שיש ל-Cloud Providers, כמו Storage של Encryption Keys וכמו שירותים שאתה “זורק את הקוד שלך” ויש לך איזה Lambda Function . . . אתה זורק את הקוד ואתה לא צריך בכלל תשתיות . . .אלו דברים שמאוד השתנו - ולכל סוג של מערכת, לפי ה-Deployment שלה ולפי הטכנולוגיה שלה, יש ממש סט של בעיות שאותו Pen-Tester צריך להכיר.בשורה התחתונה - ב-Pen-Testing, יש לך זמן קבוע - זה לא, ככה, “תבדוק כמה שאתה רוצה”, תמיד יש זמן קבוע - בסופו של דבר, Pen-Testing זו פעילות מסחרית, שיש לה זמן מוקצב, ואחד מהאתגרים הכי גדולים שיש ל-Pen-Tester, מעבר לטכנולוגיה, זה לדעת איך הוא “משחק נכון” עם השעות - איך הוא עושה פיזור נכון, אופטימלי, של השעות שלואיפה הוא שם את השעות אל מול ההסתברות הגבוהה למציאת Vulnerabilities - הייתי אומר שזה שם המשחק היום.(רן) אז אני מנסה, ככה, לדמיין איך נראה היום שלך, או של אחד העובדים בחברה שלך . . . אז נגיד, יש לקוח עם חוזה חדש ועכשיו יש לך, לצורך העניין, איזשהו “בנק-שעות” שאותו אתה הולך להשקיע ב-Pen-Testing - מה, זה מתחיל באנליזה? ארכיטקטורה של המערכת? שיחה עם מהנדסים, או שאתה מתייחס לזה כמו אל קופסא שחורה? זו השאלה ראשונה - עד כמה המערכת צריכה להיות “שקופה” אליך?שאלה שנייה היא האם יש איזשהו סט-כלים, Tools-of-Trade, שאיתם אתה תמיד מתחיל ראשון - ואז משם ממשיך הלאה, לפי הממצאים?(ארז) שאלה מצויינת, שאלות מצויינות . . . יש כמה שאלות שמתחבאות במה שהעלת . . .אני אתחיל, קודם כל, מאיזושהי הצהרה - בשורה התחתונה, כשעושים Penetration Testing, אפשר להגיד שהעולם מתחלק לשלושה סוגים - סוג אחד זה Black-Box, סוג שני זה White-Box, בצד השני של הסקאלה; ובאמצע נמצא Gray-Box.אני מאוד מאמין ב-Gray-Box . . . ואני אתחיל רגע בהסבר של מה כל אחד אומר . . .אז Black-Box אומר “קח את המערכת, עזוב'תי באמ'שלך ותחזור אלי עם דוח” - זה ממש, בשפה פשוטה . . .במקרה הטוב אתה מקבל Username ו-Password, יש לך נגיד את ה-URL של המערכת ו-User ו-Password וזהו, לא משתפים איתך פעולה.זו גישה אנכרוניסטית, לדעתי . . . היא מתאימה מאוד למצב שבו אתה יודע לחלוטין שבדקת את המערכת ואין שום דבר ויש סבירות מאוד נמוכה שימצאו [משהו] ועוד הרבה מאוד סיבות למה שתעשה Black-Box, יש עוד כמה . . .בשורה התחתונה, היא לא אופטימלית - אתה יכול לבזבז כמות שעות אדירה על דברים שאתה יכול לחלץ, את אותו Vulnerability, בשיחה של חמש דקות עם מתכנת, בסדר? . . . .או בלהסתכל בדיוק, לעשות Pin-point, ללכת ל-Class המתאים בקוד, כשאתה יודע איפה כנראה מסתתרת הלוגיקה שאתה רוצה לבחון - ופשוט להסתכל על הקוד ולהבין מה קורה שם.מהצד השני נמצא White-Box, שזה בעצם אומר “תן לי את הקוד, בוא נעשה White-Box Testing - תן לי את הקוד, אני בעיקר אסתכל עליו, אשאל שאלות, אסתכל על ה-Sequence Data וכו'” . . . ונמצא בעיות - נסתכל על ה-Design ונמצא בעיות.ויש את האמצע - האמצע זה ה-Gray-Box, שבעצם אומר “בוא נעשה את שניהם - בוא נשתמש בשני המכשירים, גם במכשיר ה-Pen-Testing ‘ה-Black-box-י' וגם במכשיר ‘ה-White-box-י', על מנת לאתר Vulnerabilities”שם המשחק הוא שבהינתן זמן נתון - קבוע, Fixed - אני רוצה למצוא את מקסימום ה=Vulnerabilitiesאני, כ-Pen-Tester, מאוד ארצה- כמו רופא שיכול לנתח ויש לו סט של מכשירים, שיכול להרים פעם את האיזמל הזה ופעם את ההוא וכו'אני רוצה לבוא ולהגיד שהייתי מאוד שמח, בהינתן בעיה נתונה שאני רוצה לבחון, לחשוב ולהגיד רגע, האם אני ניגש אליה במסלול . . .עם המכשיר של ה-Black, כי זה יותר נכון לבדוק אותה עם Black?אולי יותר נכון להסתכל עליה ב-White?או אולי נכון להתחיל Black, לעבור ל-White, לחזור ל-Black, לחזור ל-White . . . וככה בעצם, בצורה מאוד יעילה, לאתר את הבעיותוזה מוביל אותי לשאלה ששאלת - מהי המתודולוגיה של צורת הבדיקה? הPipline הוא כזה:עוד לפני שמתחיל Penetration Testing, נהוג לעשות משהו שנקרא Scoping - ו-Scoping זה תהליך שהוא חצי-עסקי וחצי-טכנולוגי - תהליך שבו מדברים עם הלקוח, עוד לפני שיש הצעת מחיר, לפני שיודעים מה בכלל הולכים לבדוק וכו' - ושואלים אותו “תגיד, מה מעניין אותך? מה היית רוצה לבדוק? בוא - שרטט לי גבולות גזרה, שרטט לי את הרכיבים שלך . . . האם ה-Web-App כן ב-Scope או לא ב-Scope? ה-REST API, שמדבר עם השירות-צד-שלישי שלך - כן להכניס אותו או לא להכניס אותו?”קודם כל, מחליטים איתו מה בכלל רוצים, מהם הגבולות גזרה, מבינים מה המורכבות של המערכת, כמה דפים יש לכל מערכת . . . כי הרי מערכת - לא מודדים אותה לפי משקלה בק”ג . . . מודדים אותה לפי כמות הדפים, כמות ה-APIs, עד כמה הם מורכבים . . .יכולות להיות שתי מערכות, לשתיהן עשר End-Points - אבל אחת היא סופר-מורכבת והשנייה היא כזאת פשוטה כזאת, כמה GET-ים פשוטים שמחזירים אינפורמציה . . . .אחרי שקובעים עם הלקוח את היקף הפעילות, מקבלים הצעת מחיר, הוא מאשר אותה, כל הצד הביזנסי . . . עברנו אותו.קובעים Kick-off - זה שלב סופר-חשוב ב-Pen-Test, זה שלב שבו, ביחד עם הלקוח, קובעים, בשלב הראשון של המערכת - מזמנים את כל הגורמים הרלוונטיים, בין עם זה ה-Pen-Testers וה-Product וה-Project Managers - זה מהצד שלנו, למשלומהצד של הלקוח - בדרך כלל את מי שמכיר את המוצר הכי טוב - מנהלת הפיתוח, לפעמים ה-CISO, מנהל מערכות מידע . . . גורמים מצד הלקוח.ורואים שקודם כל יש לנו את כל המידע שאנחנו צריכים - URL-ים ו-Password-ים וכל מה שצריך למערכות - רואים שהכל עובד, סופר-חשוב . . . גרוע להתחיל פעילות, ואז לגלות שפתאום אחת המערכות לא זמינה, כי אתמול ה-QA החליטו לעשות בדיקה ועשו איזו Stress-test או לא משנה מה . . . . תמיד יש סיפורים.בשלב הזה, של ה-Kick-off, זה השלב שבו נרצה גם לאושש את הנחות הייסוד שלנו, לגבי גבולות הגזרה - אני יכול לתת . . . לא חסרות דוגמאות, שפתאום מישהו מתעורר, מהצד של הלקוח, ואומר “רגע! המערכת הזו, שאמרתם שהיא ב-Scope - היא לא מוכנה, או שלא אמורים לבדוק אותה” - ויכול להיות גם מקרה הפוך, שמישהו יבוא ויגיד “רגע! מה עם השירות ההוא-וההוא? מה עם השירות שעכשיו עושה את Event-rule הזה? הוספנו את זה לפני כמה ימים וכן צריך להכניס אותו ל-Scope . . . .”אז זה בדיוק המקום שבו כל מיני דברים צפים.אחרי שעברנו את השלב הזה, מה שנהוג לעשות - ואני אחבר את זה רגע ל-Gray-Box - זה לקבוע שיחה עם אחד המתכנתים, מישהו שמכיר טוב את המערכת, וללכת איתו בשיטה של Cross-cut, לכל האיזורים שמעניינים ב-Security - ללכת איתו ממש ברמת ה-IDE, להגיד לו, למשל, “תפתח עכשיו ב-Visual Studio ותראה לי בבקשה איך אתה עושה Authentication ל-User-ים”, “תראה לי איך אתה חותם על JWT Tickets”, “קח אותי, למשל, לאותוריזציה (Authorization) - אני רוצה לראות את המודל-הרשאות שלך”או “אמרת לי שיש לך Database מסוג SQL - תגיד, אתה משתמש ב-Dynamic queries?” או “אמרת לי שאתה עובד ב-ORM - אני רוצה לראות בעיניים . . . קח אותי בבקשה ל-DALL, אני רוצה לראות בעיניים . . . “למה אני אומר את הדברים? כי אני יודע שעוד מעט אני אעשה את ה-Pen-Test, ואחד הדברים שאני אסתכל עליהם זה, למשל, זה SQL Injection . . . כשאני אבוא ל-SQL Injection, אם אני יודע, היה לי מידע פנימי, שאומר שלמשל - אין מצב ל-Dynamic queries בקוד, כי ראיתי בעין שהמתכנת משתמש ב-ORM, בסדר . . .בוא נניח שאין בעיה באיך שהוא מימש ORM . . . אז נניח שאני אומר שיש ORM - הסבירות שבה יש SQL Injection, שה-Run-time בכלל ג'ינרט (Generated) על מנת לגשת לדבר הזה - היא קלושה . . .זאת אומרת שאני יודע שאני אולי, בקטנה ככה, אוודא SQL Injection - אבל בשעות היקרות האלה, שהייתי אמור לבדוק SQL Injection - אני אשים אותן על משהו אחר . . . אני אמצא בעיה אחרת.ושוב אני מזכיר - זה משחק של הסתברויות . . . התפקיד של ה-Pen-Tester הוא לבוא ולראות איפה לשחק עם השעות שלו.אם אני אלך רגע קדימה - אז היום של ה-Pen-Tester הוא כזה שבהתחלה הוא סוג של, אם מתחיל הפרויקט, אז הוא סוג-של עושה Reconnaissance על המערכת, Information gathering . . . עובר על המערכת, אילו API-ים יש, כן WebSocket, לא WebSocket, מה עובר . . . אם זה עובר ב-JSON או עובר ב-Proto-Buff, או מה . . . .אגב, היסטוריה - פעם זה לא היה ככה, פעם ה-HTTP Request היה פשוט פרמטרים, כל מה שהיה צריך לעשות זה לשחק עם פרמטרים . . . היום פתאום זה הרבה יותר מורכב, יש Single Page authentication, אתה כבר לא יכול לעשות Crawling על כל המערכת ולדעת בצורה פשוטה, היום הדברים הרבה יותר מורכבים.ולכן, אחד הדברים החשובים ש-Pen-Tester עושה בהתחלה - הוא בונה לעצמו מודל של איך שהמערכת בנויה, והוא חושב כמתכנת - “אם אני הייתי בונה את זה . . .” - אני נכנס לראש של המתכנת ואני מבין את השיקולים שלו . . . “למה, למשל, את ה-Request הזה הוא העביר over WebSocket, ואת זה הוא העביר ב- REST API?” - כנראה שהייתה סיבה . . . כנראה שאת ה-WebSocket הוא צריך ל-Long-running Connection או משהו, ואני אראה שאם יש לו Long-running Connection, אז כנראה שבצד השני ה-User הוא כנראה Authenticated ברגע שהוא פתח Connection . . . זאת אומרת שיכול להיות שב-WebSocket אני אומתתי רק בפעם הראשונה שפתחתי את ה-Connection, ויכול להיות שכשאני אני אשלח את הבקשות הבאות, אם אני אעשה משחק על פרמטרים ואזין ID של User אחר או של Resource אחר - יש סיכוי גבוה יותר שאני אמצא אותו . . . למה? כי ב-REST API, מראש, בגלל שהוא State-less, בהקשר הזה - אז תמיד בודקים . . . יש כל מיני ניואנסים קטנים, שברגע שאתה נכנס לראש של כל מתכנת, זה נותן לך כל מיני טיפים על איפה כדאי לך להסתכל . . .בקיצור - אחרי שעשינו את כל שלב ההכנה ואיך שהמערכת בנויה ואיפה כנראה יש בעיות ו . . . אחד הדברים זה גם למפות פיצ'רים - למשל, יש Features של File upload או Download . . . מדי פעם זה Import או Export של כל מיני קבצים וזה - אז כבר אני יודע שב-Security test-cases שלי אני צריך לכסות Vulnerabilities כגון Directory traversal ו-Path manipulation ודברים כאלה . . . אם לא היה פיצ'ר כזה, שימו לב - זה Feature-Driven - אם לא היה פיצ'ר בכלל של File-ים, כנראה שלהתחיל לחפש Directory traversal היה נמוך יותר ברשימה שלי . . .זאת אומרת שאחד הדברים שה-Pen-Tester עושה - הוא גם בונה לו סוג של “רשימה ממויינת”: אילו Test-cases יותר מעניינים, ספציפית במערכת הזאת.זה קטע מאוד מעניין ומאוד מאתגר - וככל שיש יותר ניסיון, אנחנו גם רואים את זה, ש-Pen-Testers מנוסים יותר, הראשי-צוותים, הרבה פעמים . . . גם אם יש Pen-Tester מאוד טוב, שיודע לזהות בעיה מאוד מאוד טוב - הוא צריך את הניסיון של ה-Pen-Tester המנוסה יותר, שיגיד לו “שמע, יש לי תחושת בטן . . . יש לי הרגשה שבאיזור הזה יהיה לך Directory traversal . . . “הצעיר יותר, שיודע למצוא Directory traversal, ו”שד בזה” - יסתכל על המישהו המנוסה יותר ויגיד לו “איך אתה יודע?, מאיפה יש לך את התחושת בטן הזאת?” - וזה בדיוק הניסיון, שגורם לך להבין לאיפה לחלק את השעות . . . ואם אני כבר קופץ רגע לסוף, רק לשלב האחרון - אחרי שמצאנו, במהלך הפעילות, מצאנו Vulnerabilities . . .היועץ שם לו אותן בצד - ובשלב הסופי הוא כותב דוח שממפה את כל אותן בעיות, ואני אשמח עוד מעט להרחיב על מה נמצא בדוח ומה עושים איתו . . .(רן) כן . . . אז אני מניח שאיזשהו Sub-text שלא כל כך דיברנו עליו הוא שלך יש אולי איזושהי מגבלת זמן, אבל אתה יוצא מתוך נקודת הנחה שלפורץ אין מגבלת זמן . . . זאת אומרת, גם אם אין לו, כמובן, גישה ל-White-Box, אין לו גישה ל-Source-Code - או לפחות אנחנו מקווים שאין לו את הגישה הזאת, אם לא התכוונו לתת לו . . . .אבל כן יש לו הרבה מאוד זמן לשחק - אז הוא לא יודע אם יש Directory traversal או לא אז הוא פשוט מנסה, והוא לא יודע אם יש פה בעיה ב-WebSocket אז הוא פשוט מנסה - ולפורץ יש, נגיד, “אינסוף זמן”, אבל לך אין . . . יש סוף לזמן שלך, יש סוף לשעות שאותן אתה יכול להשקיע, לפי החוזה, ולכן אתה צריך לתעדף לפי סיכונים.רציתי לשאול - יש לנו בסך הכל הרבה נושאים שאנחנו רוצים לכסות והזמן קצר, כמו ב-Pen-Testing . . . - אז רציתי להתמקד על כמה דברים - ואחד הדברים המשמעותיים, אני חושב, ביותר בעולם של ה-Security activities זה ההתפתחות של שפות התכנות, זאת אומרת - אם בעבר פריצות טיפוסיות היו משתמשות ב-Buffer overflow ודריסות זכרון ודברים כאלה בשפות שהן פחות מנוהלות כגון C, היום השפות הן כבר הרבה יותר מנוהלות, ועדיין יש להן פגיעויות - אבל הן מסוג שונה.אז שפות שהן הרבה יותר מתקדמות, דוגמאת הגרסאות האחרונות של Java ו-TypeScript ו-Go ו-Rust מנהלות בצורה מאוד מאוד יפה את הזכרון שלהן, ויש להן לא מעט פיצ'רים של Security כבר Built-in בתוך השפה - אבל אני מנחש שיש להן פגיעויות אחרות . . .אז איך אתם ניגשים, נגיד, אם אתם לומדים שיש Code base שכתוב, לצורך העניין, ב-Go או ב-Rust או ב-TypeScript או בשפה מודרנית אחרת - האם אתם ניגשים לזה בצורה שונה, עם סט שונה של כלים או מתודולוגיה אחרת?(ארז) חד משמעית כן, כי בכל שפה יש את ה-Common Vulnerabilities שלה, או שאני אגיד את זה אחרת - לכל שפה יש את “המקומות האפלים האלה”, שמתכנת עלול “לירות לעצמו ברגל” . . .מה הכוונה? הסביבה והשיטה וכל ה-Community הרבה פעמים מעודד אותך לעבוד בצורה מסויימת, שהיא, בוא נגיד את זה ככה - קצת יותר מסוכנת מהממוצע, או יותר מסוכנת מבשפה אחרת . . . בעיקר בדברים דינאמיים או בדברים שאתה עושה בצורה שכזו, שנגיד שאולי בשפות אחרות לא היית עושהלמשל - בסביבות כמו Node.js ודומיהן, מאוד מאוד מעודדים אותך, יותר מבסביבות אחרות, להשתמש ב-Open Source Components . . . ו-Open Source Components, למרות שזה לא קוד שאתה כתבת, יש סבירות יותר גבוהה שבקומפוננטה (Component) שלא תפתח בעצמך, יהיה Vulnerability.גם לך תדע מאיפה הגיע ה-Package הזה ל-npm, ואתה מושך אותו ואלוהים יודע מה קורה איתו . . .אז יש סביבות שבהן ה-Package זה האיום המרכזי, ויש סביבות שבהן אתה יודע שהסביבה עצמה היא כזו שבה יש יותר סבירות לטעות . . .אגב, דיברת על זיכרון מנוהל וכו' - גם לפני 10 שנים, הרוב היה זיכרון מנוהל . . . בעיות כמו Buffer overflow ו-Format String ו-XSS וכו' - אלו בעיות שבאמת עוד בעבר הפסקנו להסתכל עליהן.זאת אומרת שהסבירות שאתה תמצא Buffer overflow באיזו Web-App הוא קלוש.לכן, רוב הבעיות מתמקדות בעיקר בבעיות טכניות - זה המונח, “בעיה טכנית”.“בעיה טכנית” זו בעיה כגון Directory traversal שהזכרתי קודם ו-SQL Injection ו-XSS ועוד כל מיני בעיות.ויש “בעיות לוגיות” . . . .(רן) כן, אני אוסיף לרשימה דברים שאני ראיתי - שימוש לא נכון ב-Encryption או בכל הספריות שקשורות ל-Encryption . . . (ארז) זה בעיות לוגיות . . . (רן) . . . ושימוש לא נכון באות'נטיקציה (Authentication) . . .(ארז) . . . לוגיות!(רן) אוקיי . . .(ארז) בדיוק . . . זה בדיוק מה שבאתי להגיד - לשם העולם הולך.אני אתן רקע - בעיות טכניות אלו בעיות שקל מאוד לפרמל (Formalize) אותן - לצורך העניין, אם אני עכשיו סורק את הקוד, קל לי, יחסית, לזהות או להגדיר Pattern של איך שנראה SQL Injectionתחשוב שמשהו רץ על הקוד, יש איזשהו Static Code Analysis, איזשהו מוצר של Security שעושה scanning, וידע לזהות איך נראה SQL Injection או XSS או כל בעיה אחרת . . .יש לזה Pattern בקוד, אני יכול להגדיר ולהגיד “אם אתה רואה קוד שיש בו Class של SQL Query ויש “הדבקת String-ים” בלה-בלה-בלה . . . “ - אני יכול לפרמל, לוגיקה כזו - “… - אז יש בעיה”.אלו בעיות טכניות.בעיות לוגיות, מהצד השני, הן בעיות יותר קשות - כי מכונה לא יכולה להסתכל על מכונה ולהכריע . . . זה הולך כל כך רחוק, עד כדי בעיית עצירה של Turing . . . זאת אומרת שאנחנו לא נוכל אף פעם, גם אם יש הרבה חברות AI שמספרות לנו כל מיני סיפורים - זה לא יקרה . . .בבעיות לוגיות, מכונה לא תוכל להכריע - זאת אומרת, יש דברים שהיא תוכל אולי, אני לא ראיתי . . . - אבל לדוגמא, הכי פשוטה:מי אמר שעל שדה מסויים, סופר-רגיש, צריך להיות Encryption? מי אמר שעל השדה הזה ב-Database או על השדה ההוא ב-Database צריך להיות Encryption? זה לא צריך להיות Encryption . . . מכונה לא תוכל להגיד לך את זה, בסדר?נכון שיהיה אפשר להסיק . . .(רן) אתה עושה את החלוקה בין “לוגיות” ל”טכניות” מנקודת הראות שלך, כ-Pen-Tester . . . דברים שבצורה טכנית, באופן טכני, אני יכול למצוא - ודברים שבאופן טכני אני לא יכול למצוא, ולכן אתה קורה לזה “לוגי”.אבל כמפתח, אני לא כל כך מודע לחלוקה הזאת . . . מבחינתי, הכל זה . . . לא יודע אם אפשר לקטלג את זה, אבל הכל זה בעיות לוגיות, כנראה . . . - זאת אומרת, מימוש לא נכון, הליכה כנגד ה-Best-Practices, בהרבה מקרים, או סתם חוסר הבנה או חוסר ידע שלי . . .(ארז) כן, תראה - הטרמינולוגיה של “בעיה טכנית” או “בעיה לוגית” היא לא טרמינולוגיה . . . זו טרמינולוגיה שבאה מעולם הPenetration Testing - זה מונח מקובל ונהוג לעשות את החלוקה הזאת.בשורה התחתונה - אתה צודק, מנקודת מבטו של מתכנת “הכל לוגי, כי הכל זה קוד שאני כותב”, ברור . . .אבל בהקשר של בעיה, כן - רוב הבעיות שאנחנו רואים היום הן בעיות כגון זה שלא שמת Encryption או שעשית Encryption לא נכון, או שלא עשיתי אות'וריזציה (Authorization), בסדר? לא עשית אות'וריזציה או שיכול להיות שהאות'וריזציה שלך לא טובה . . . .או למשל - מישהו שעושה Parameter Manipulation על איזה ערך, כן? . . . והוא נותן ערך Valid-י, זאת אומרת, תחשוב רגע שיש איזשהו ערך שאני מעביר - הערך עצמו, כערך, הוא אחלה ערך! הוא עובר RegExr, הכל תקין . . .אממה, לי אסור לשלוח אותו - הוא ה-CartID שלך, לא שלי, לדוגמא . . . . שזו בעיה לוגית, זו בעיה שמאוד קשה לעלות עליה מבחוץ - אתה ממש צריך להבין את ה-Business-Logic של המערכת.וזה, אגב, משהו שאומר שאיפשהו, ככל שהטכנולוגיה תתקדם ויהיו ל-Pen-Testing יותר שיטות ויותר כלים - תמיד אנחנו נצטרך Human בתמונה . . .(רן) אז נושא אחד שככה קצת נגעת בו מקודם, כשדיברנו על Node.js - הזכרנו קוד פתוח והזכרנו Package Managers, ורציתי קצת להכליל את זה ולדבר עוד כמה דקות על הנושא של Supply-Chain Attacks - התקפות על שרשרת האספקה.עכשיו, מי שמגיע מעולם התפעול מכיר שרשרת אספקה - זה אוניות, זה משאיות, זה מטוסים, זה מחסנים וכו' . . . . אבל מה, למעשה, זו שרשרת האספקה בעולם התוכנה? אז בעולם התוכנה, שרשרת האספקה כוללת כמה דברים - זה כולל את כל ה-Tool-ים שעוזרים לנו בסופו של דבר לכתוב את התוכנה ולדלבר (Deliver) אותה, אם זה IDE, אם זה ה-Package Manager, אם זה חבילות ה-Open-Source השונות, ה-CI, ה-Deployment System, ה-Docker ו-Kubernetes וכו' - כל מה שעוזר לנו בסופו של דבר - כל מה שהוא לא התוכנה שלנו, אבל עוזר לנו לייצר את התוכנה.ובזמן האחרון - טוב, אני לא יודע אם זה בזמן האחרון אבל שאולי זה רק עלה יותר למודעות בזמן האחרון - יש לא מעט התקפות על שרשרת האספקה הזאת, אם זה התקפה על ה-CI, אם זו התקפה על החבילות, Hijacking וכו' . . .איך זה משנה את עולם ה-Pen-Testing?(ארז) תראה, בשורה התחתונה אני אגיד שזה משהו שחלקית אנחנו . . . זאת אומרת, אפשר להתייחס אליו ב-Pen-Testing.ולמה אני אומר את זה? כי אם יש בעיה, כשהבעיה הזו היא, לצורך העניין, חשופה כלפי חוץ - אז אתה תראה אותה ב-Pen-Test, וזה לא משנה אם המתכנת טעה ועשה Bug של Security, שזה רוב המקרים, או אם המתכנת בכוונה הזריק וקטור לקוד - נדיר, אבל קורה . . . .או אם זה סוג של . . . מישהו אחר, נגיד, הכניס בכוונה Bug איפשהו - בסוף זה יצא כלפי חוץ, זאת אומרת - ב-Pen-Testing אתה אמור לזהות את הבעיות שקיימות.מה אתה לא תזהה ב-Pen-Testing? אם למשל מישהו החביא, איפשהו ב-Supply-Chain עמוק בפנים, איזשהו Backdoor שכזה . . . אין סיכוי שאתה תעלה עליו, אתה יודע . . .אתה לא יכול לחזות, למשל שאם אתה תוסיף איזה ערך מאוד-מאוד-מאוד מיוחד ל-Request - פתאום ה-Backdoor יתעורר . . . זה לא משהו, זה לא סביר שאתה תעלה על זה ב-Pen-Test.אגב - מאוד יהיה קשה לעלות על זה גם בשיטות אחרות.לכן Supply Chain אלו בעיות מאוד קשות . . . כי תחשוב רגע, הזכרת למשל אוניות ומחסנים וכאלו - בעולם ה-Software זה יותר באמת “מישהו החביא לי איזושהי הפתעה, עוד לפני שאני, כמתכנת, קימפלתי ל-Production בכלל, מישהו החביא הפתעה עמוק בתוך ה-Complier” . . . סתם דוגמא - בתוך ה-IDE החביאו לי איזושהי הפתעה, החביאו לי בתוך ה-Docker Image . . . תחשוב - אם אני מושך איזה איזשהו Docker Image, והוא כבר בפנים החביא לי הפתעה . . . הקוד שלי סבבה, פצצה - עבר Code Review, עבר Pen-Test - על הסביבה הרגילה . . . אבל כשהוא רץ על ה-Docker Image הזה, אני בבעיה.לא חסרות סיבות שכאלו, שבהן אתה אומר שיכול להיות שאיפשהו לאורך הדרך מישהו שתל לי איזה משהו - ולכן, בהקשר של Supply Chain, מאוד חשוב לשים לב שבאמת, זה מאוד טריוויאלי - שכל השרשרת מאובטחת.שאת ה- Package-ים אתה לוקח ממקום תקין, שאת הסביבה אתה מעלה נקי . . . Docker Image? אין בעיה, אבל אל תביא Docker Image שמישהו אחר אפה, בוא תאפה אתה . . . תעשה את ה-Buildיש בפנים Binaries מיוחדים? תקמפל אתה . . . וכמובן שים לב מאיפה אתה מושך את הקוד . . .היום זה גם מאוד קל, כי היום להרבה מאוד דברים יש Digital Signature - פעם לא היה לנו Digital Signature כמעט על כל דבר, והיום יש.היום אתה יכול לוודא שהחבילה הגיעה מה-Trusted source שאתה מצפה לו.היום אתה יכול לאמת חתימות של כמעט כל דבר שיש.אפילו היום אתה יכול - הנה דוגמא למשהו שפעם לא היה - CDN, בסדר? נהוג למשוך כל מיני Static content מ-CDNהיום זה כל כך טריויאלי . . . פעם הייתה שם את הכל אצלך, את כל ה-JavaScript-ים והכלהיום יש יכולת להגיד, אני בתור מפתח המערכת שלי - כשאני מושך External backend, כשאני מושך למשל jQuery ממקור חיצוני, אני לספק את החתימה שלו כחלק מה-HTML - לא הייתי יכול לעשות את זה בעבר.בעבר הייתי צריך למשוך JavaScript ולכניס אותו “לקודש הקודשים” - ל-Domain שלי, בתוך ה-Domain שלי, להכניס משהו מבחוץ שאין לי מושג מאיפה הוא בא, אין לי מושג האם מישהו שינה אותו מאיפה שמשכתי אותו וכו'היום אני יכול ממש לספק Hash עם חתימה של מה שאני מצפה לקבל - ואם ה-Browser יקבל Package לא מתאים הוא ידחה אותו, הוא לא יטען אותו - שזה נהדר.יש הרבה מאוד שיפורים מהסוג השזה, שפעם לא היו לנו - וזה אגב אחד הטריקים שאני ממליץ להשתמש בהם.(רן) זה באמת מביא אותי לשאלה הבא - אולי לא יהיה לנו זמן לדבר על ה-Report שאתם מייצרים, אבל האם, אחרי שמצאתם אוסף של Vulnerabilities - רגישויות, פגיעויות - האם אתם גם הולכים הלאה ומספקים בסופו של דבר פתרונות, או מיטיגציות (Mitigations) לאותן בעיות?(ארז) יש הפרדה בין עולם ה-Pen-Testing לעולם הייעוץ - זאת אומרת שכשאתה עושה Penetration Testing, יש לך Mission - וה-Mission שלך זה לבוא ולמצוא כמה שיותר בעיות ולהנגיש אותן, זה חלק מהמשימה.מה זה אומר להנגיש אותן? - זה אומר שאני צריך לקחת בחשבון שמי שקורה את הדוח הוא לא Penetration Tester, ואני לא יכול לדבר בשפה שלי . . .אני צריך להסביר לו את הבעיות, אני צריך להסביר לו איפה הבעיות . . .אני צריך לשים לב לא ליפול לטעות הנפוצה - שהוא יחשוב שהבעיה שנתתי לו היא רק בדוגמא מסויימת, ויתקן רק אותה . . .ואחד הדברים שחשוב מאוד להנגיש במסמך זה את ה-Mitigations . . .אז לשאלתך - כן, נהוג לתת Mitigations במסמך, להגיד איך ניתן לטפל בזה - אמרתי לך, סתם לדוגמא, שה-Encryption שלך לא טוב - אגב יש לזה שם, משחק מילים: En-crap-tion . . . אם אתה עושה En-crap-tion, וה-Encryption שלך לא טוב, אז אחד מהדברים שאני ארשום לך במסמך זה שהשתמשת, למשל, בהצפנה סימטרית מסוג . . . . וה-Encruption mode שלך הוא ECB - זה לא טוב, תחליף בבקשה ל-CBC, ויכול להיות שאני אפילו אתן לך את ה-Flag המתאים בשפה שלך, כי אני, נגיד, יודע באיזו שפה אתה עובד וואני אתן לך גם ממש דוגמת קוד שעובדת.זה החלק של הדוח, זה החלק של ה-Pen-Test - מי שמקבל דוח, צריך שיהיה לו את כל מה שצריך בשביל לתקן את זה.יש לקוחות ויש מקרים שבהם באים ואומרים “תשמע - בואו תסייעו לי גם ממש ליישם את ההמלצות”אבל הנחת הייסוד היא שלא - אתה לא חייב להישען עלינו בשביל זהמי שעושה Pen-Test אמור לקבל את כל המידע ואמור לקחת מישהו שמבין מספיק, מפתח נורמלי, שידע מה לעשות עם הדברים - וכל מפתח נורמלי יידע איך לעשות את המיטיגציות (Mitigations) בהתאם להנחיות שהוא קיבל.(רן) אוקיי, הזמן שלנו כבר קצר ואני עדיין מאוד סקרן, אז אני אבחר לעצמי עוד שאלה אחת וננסה לענות עליה - בעצם, היום הרבה מאוד שירותים נשענים על שירותי-צד-שלישי - אם זה לצורך, נגיד, Monitoring אז Datadog וכאלה, אם זה לצורך תשתיות אז AWS או GCP או Azure . . . זאת אומרת, הרבה מאוד הישענות על שירותי-צד-שלישי, והשאלה האם זה גם משהו שאתה לוקח בחשבון כשאתה בא לעשות Pen-Testing? זאת אומרת - לא רק את הקוד שאני כתבתי, אלא גם את כל השירותים האחרים שבהם אני משתמש ואולי ה-Data שאני שולח אליהם, ואולי הפגיעויות שלהם, עצמם . . . לצורך העניין יש Vulnerability ב-PagerDuty - איך זה הולך להשפיע עלי?(ארז) שאלה מצויינת . . . מה שאתה מדבר עליו, יש לו שם כללי בעולם שלנו: זה נקרא TCB, שזה Trusted Computing Baseזה בעצם אומר אילו דברים מבחינתך זה הבסיס, שכהנחת יסוד אתה אומר “את זה אני לא בודק” . . .לדוגמא - כשאתה עכשיו עושה Pen-Test לאיזה Web Application שכתוב ב-Node.js, אתה לא תלך ותבדוק את המערכת הפעלה שלו . . . למה? כי אתה אומר ש”הנחת היסוד שלי היא שהמערכת הפעלה שלו היא תקינה” . . .כמובן שאתה יכול לעשות Pen-Test על לראות שאין Vulnerabilities במערכת הפעלה, אבל באנלוגיה, נגיד - אני עכשיו עושה Pen-Test על איזשהו Web App, שפתאום משתמש בשירות צד-שלישי . . . נגיד שהוא משתמש עכשיו בשירות שליחת SMS של Twilio או לא יודע מה, משהו של צד שלישיאני לא הולך לעשות עכשיו Pen-Test על Twilio . . . מבחינתי, Twilio הוא בהנחת יסוד שלנו, והוא צד שלישי שהוא Secure.קודם כל - אני לא יכול ללכת עד אינסוף ולבדוק את כל הלוויינים סביבי . . . זוכר? זה משהו עסקי . . . דבר שני - חוקית, אני לא יכולדבר שלישי - גם אם הייתי יכול, הם היו אומרים לי “לך מפה” . . .דבר רביעי - תשמע, זו אחריות שלהם . . .[כל זה לא משנה אם הטלויזיה מאזינה . . . ]מה שכן עושים זה מסתכלים על ה-Interface, זאת אומרת - אם אני עכשיו עובד עם צד-שלישי, אז כן אני אסתכל - וזה כן דברים שמסתכלים עליהם- כן אני אסתכל שאם למשל אני עובד מולו, אז אני עובד עם HTTPS, לדוגמא.כי אני רוצה לוודא שה-Data עובר לשם כשהוא Encrypted בצורה נכונה.כלל נוסף - אני עובד מולו אז אני רוצה לעשות Server Authentication.זה Concern שלי, אני רוצה כשכשאני הולך לצד שלישי, לעשות אות'נתיקציה (Authentication) שלו, אני רוצה לוודא שכשאני עובד עם שירות צד-שלישי, אני רוצה לוודא שבאמת אני עובד איתו ולא עם איזה Man-in-the-Middle . . . .למשל, אחד הדברים שעולים ב-Pen-Test זה שבזמן הפיתוח, כיבו את ה-Certificate Validation . . . למה? כי בפיתוח לא היה לי Certificate של צד-שלישי כלשהו וביטלתי, עשיתי . . . . דרסתי את המתודה שעושה Certificate Validation, ואמרתי “ניתן True - עזוב אותי באמא'שך . . . פונקצית-עזוב'תי-באמא'שך . . . ”וכשבאים ל-Production - “וואלה מעולה - זה עובד!”, כי זה עבד גם מקודם . . . .אלא הם דברים שב-Pen-Test, למשל, כן בודקים אותם - כי כשמכניסים Man-in-the-Middle, ורואים שכשאני מגיש Certificate שהוא לא חתום ע”י ה-CA שאותו Client אמור לוודא, אז באמת אני מבין שיש בעיה . . . בקיצור - לא בודקים את הצד-שלישי, כן בודקים את האינטגרציה מולו ואת ה-Interface-ים מולו - מה נשלח? איך מאמתים אותו? כו' . . .(רן) אני מניח שבהקשר הזה, יש גם עניין של זליגה של מידע פרטי - אולי אם שלחת SMS, או שאתה שולח רק את הפרטים שאתה רוצה ולא בטעות מידע של מישהו אחר . . . (ארז) נכון, וברשותך אני אקח דוגמא מעולם ה-Mobile Apps - בעולם ה-Mobile Apps אתה רואה שפתאום, Out-of-the-blue . . . כאילו, זה בדיוק מהכיוון ההפוך, כן? . . . אם מקודם אמרתי שאני יודע שיש תקשורת לשרת מסויים, פתאום אני מזהה תקשורת שהולכת לאיזשהו שרת כלשהו, שאין לי מושג מי הוא, מאיפה הוא, מהו . . . ומסתבר שה-Vendor, ברוב נחמדותו, הוסיף בפנים לוגיקה של Monitoring ושל טלמטריה . . . ולפעמים זה נעשה אפילו בצורה זדונית.אגב, אחד מה-Side-effects של Pen-Test זה פתאום, במקרה, לזהות תקשורת שבכלל לא ידענו שהיא קיימת, שמגיעה מתוך איזשהו SDK שלקחנו והכנסנו פנימה . . . אנחנו רואים את זה מלא, וזה אגב אחד הדברים ש”על הדרך” פתאום אנחנו יכולים להאיר עליהם . . .לפעמים, אגב, זה לא עניין של Security - לפעמים אנחנו, על הדרך, רואים משהו שעוזר לצד השני והוא אומר “וואלה, לא ידעתי בכלל שדברים כאלה קורים . . . .”(רן) אז לדוגמא, יכול להיות מקרה שבו אתה מתקין SDK בתוך ה-Mobile-App שלך ובלי ידיעתך הוא שולח כל מיני אנליטיקות על ה-User שלך, אולי אפילו PII, זאת אומרת Personally Identifiable Information על ה-User-ים שלך, בלי שבכלל ידעת ובלי, כמובן, שהסכמת.(ארז) נכון - ופתאום אתה מגלה שאתה לא עומד ברגולציה . . . שבעצם אותו צד שלישי, אותו Package תמים, שכל מה שהוא אמור לעשות זה לספק לך איזשהו חישוב של משהו מסוייםפתאום אתה מגלה שהוא, ברוב חוצפתו, לוקח את אותו מידע של ה-End-user ושולח לשרת שלו . . . עכשיו - גם אם זה לא בצורה זדונית, גם אם הם צריכים את זה בשביל לשפר את המוצר שלהם או לבנות איזשהו מודל Data-Science כזה או אחר - אני בבעיה, אני כ-Vendorכי פתאום הוא גורם לי לא לעמוד ברגולציה שאני אמור לעמוד בה - בגלל שהוא שולח את הנתונים של הלקוחות שלי אליו . . . זה מסבך אותנו וכמובן שהרבה פעמים זה גם גובל בבעיות Security - אבל זה חלק מהדברים שעלולים למצוא ב-Pen-Test על הדרך.(רן) כן, ברוראז כמו שאמרנו קודם - זמננו קצר ואנחנו צריכים לסיים.אז תודה, ארז! היה כיף והיה מעניין - ותודה על העדכון, אני מקווה שניפגש שוב ולא בעוד 10 שנים . . . .אז עולם ה-Pen-Testing מתחדש, אני מניח, כל יום, וזה מרתק - וזהו. תודה!(ארז) בכיף - שמחתי מאוד לבוא, שמחתי מאוד לדבר, וכמובן שאם יש עוד נושאים מעניינים אז אני בכיף אבוא וארחיב עליהם, תמיד כיף לדבר ולספר ככה את מה שבסופו של דבר עובד בצד הזה, כי אני גם רואה שברגע שגם עולם הפיתוח רואה ומבין את השיקולים של ה-Pen-Test, בסוף זה נותן יכולת טובה יותר לבצע את הפעילות הזאת.תודה ארז, ולהתראות! האזנה נעימה ותודה רבה לעופר פורר על התמלול!

This audio-only version of our twice weekly cyber security talk show, teissTalk.  Join us twice a week for free by visiting www.teiss.co.uk/talk  On this episode, we focus on the following news story; Bot attacks grow 41% in first half of 2021 https://www.zdnet.com/article/bot-attacks-grow-41-in-first-half-of-2021-lexisnexis  The panel discussion is titled “Cyber resilience and business logic attacks” https://www.teiss.co.uk/teisstalk/cyber-resilience-and-business-logic-attacks/  This episode is hosted by Geoff White  https://www.linkedin.com/in/geoffwhitetech/   Our Guests are Edwin van Andel, Advisor, Hacker and CEO, Zerocopter https://www.linkedin.com/in/yafsec/  James Packer, Head of Information Security, EF Education First https://www.linkedin.com/in/jpcyber/  Matthew Gracey-McMinn, Head of Threat Research, Netacea https://www.linkedin.com/in/matthewgraceymcminn  

Business automation has been used in other industries for years.  Now it's available for software development. Our Red Hat guests Karina Varela and Donato Marrazzo tell us how business automation can help bridge the gap between business and technical teams.What is business automation?According to Red Hat, “Business automation is the alignment of business process management (BPM) and business rules management (BRM) with modern application development to meet changing market demands.” Karina and Donato add their own definitions to the mix. Donato says, “Business automation is a bundle of two well-known technologies: one is the business process management (BPM) and the other one is digital management. When you contract these two, you are automating your business logic.” Karina adds, “When we are talking about automating business logic for decision processes, that's business automation.”The Kogito frameworkKogito, a cloud-native framework, is part of Red Hat's business automation stack. “Kogito is this initiative that's trying to modernize all our middleware, all of our processes, rules, and optimization, and make it even more lightweight, to make it run on top of a distributed environment instead of being in a monolith environment,” says Donato. Kogito appeals to developers for several reasons:Uses Quarkus to enable fast boot times and easier scaling Domain-specific flexibility Developer-centered experience with embeddable toolingMathematical optimization with OptaPlannerKarina and Donato tell us about a relative newcomer to the Red Hat business automation portfolio, OptaPlanner, which focuses on mathematical optimization. Some real-world use cases for OptaPlanner include:Assigning shifts at a busy hospitalConference scheduling Vehicle routing with planned stopsAny complex task with constraintsAs Donato says, “Finding the optimal solution is nearly impossible, but finding the near-optimal solution, that's what OptaPlanner is for. It's constraint solving with artificial intelligence.” Karina explains more on how OptaPlanner works and how to use it, “You have to design the model and the constraints, and the OptaPlanner engine is going to solve the problem for you. ”Try Quarkus on Platform.shPlatform.shLearn more about us.Get started with a free trial.Have a question? Get in touch!Platform.sh on social mediaTwitter @platformshTwitter (France): @platformsh_frLinkedIn: Platform.shLinkedIn (France): Platform.shFacebook: Platform.shWatch, listen, subscribe to the Platform.sh Deploy Friday podcast:YouTubeApple PodcastsBuzzsproutPlatform.sh is a robust, reliable hosting platform that gives development teams the tools to build and scale applications efficiently. Whether you run one or one thousand websites, you can focus on creating features and functionality with your favorite tech stack.

Sponsor by SEC Playground แบบสอบถามเพื่อปรับปรุง Chill Chill Security Channel: https://forms.gle/e5K396JAox2rZFp19 Music by https://www.bensound.com/ --- Support this podcast: https://anchor.fm/chillchillsecurity/support

Sponsor by SEC Playground แบบสอบถามเพื่อปรับปรุง Chill Chill Security Channel: https://forms.gle/e5K396JAox2rZFp19 Music by https://www.bensound.com/ --- Support this podcast: https://anchor.fm/chillchillsecurity/support

Welcome to another episode of the Doing Design Podcast. In this episode, Geke van Dijk and Wietze van der Aa talk about the gap between creativity and business logic ahead of their upcoming course 'Doing Business Innovation' on thisisdoing.com Connect with Geke on LinkedIn / https://www.linkedin.com/in/gekevandijk/?originalSubdomain=uk Connect with Wietze on LinkedIn / https://www.linkedin.com/in/wietze-van-der-aa-b375544/?originalSubdomain=nl Learn more about 'Doing Business Innovation' course See omnystudio.com/listener for privacy information.

For our first episode,  Jon Helmus talks with Dan Beavin. A pentester with a passion for applying his architect background to security. In this episode, they will dig into business logic. Exploring the importance of understanding every aspect of an application before pentesting.Guests:https://twitter.com/danbeavinhttps://twitter.com/Moos1e_MooseResources mentioned:https://portswigger.net/burphttps://portswigger.net/burp/documentation/desktop/tools/intruder/usinghttps://portswigger.net/bappstore/f9bbac8c4acf4aefa4d7dc92a991af2f

Honza má za sebou více než 15 let úspěšné kariéry v oblasti vývoje desktopových, webových i mobilních aplikací a stál u vzniku zlínské softwarové společnosti Business Logic. Odrazovým můstkem pro něj byla Fakulta aplikované informatiky, kde získal i doktorát. Jaká byla jeho studentská léta, jaké jsou jeho vize do budoucna a na jakou aplikaci, kterou ve firmě vytvořili, je nejvíc pyšný? Ponořte se do hloubek informatiky a jedniček a nul s dalším rozhovorem v pořadu After Life.

In this episode I talk with Zane Lackey about Web Application Security. Zane is the Co-Founder and Chief Security Officer for Signal Sciences. Talking Points and Listener Submitted Questions:What kinds of 'Real World' attacks are people dealing with against web applications?How do you detect an attack against a web application?How do you measure the effectiveness of your technical web app security controls (WAF, API, Authentication, Business Logic, etc.)?How do can you ensure that your companies web application API's cannot be abused to access data that the user is unauthorized to access?Do bug bounty programs work?Should all SMBs have a web application vulnerability disclosure program?This episode is sponsored by Signal Sciences. Signal Sciences is a web application security company based out of Culver City, California.

Mastering the business rules of your product can be a painstaking process. If done well, it can improve the viability of a product. Learn how to create business rules that add up.

פודקאסט מספר 395 של רברס עם פלטפורמה - התאריך הוא ה-28 באוגוסט . . . לא, 28 ביולי 2020 (לך תדע בשנה הזאת), אורי ורן באולפן הקט בכ-רכור(אורי) מותר להגיד ככה?(רן) אסור, אבל חשבתי קצת לעשות צחוקים בהתחלה, למה לא?(אורי) טוב, אבשלום קור לא רודף אחרינו (מאז הפרק עם שרונה, לך תדע).(רן) יש כזה טור מאוד מצחיק של יורם טהר-לב, אני אחפש ואתן לך רפרנס (גם לנו?)והיום יש לנו את הכבוד הגדול לארח את עידן מ-GE - שלום עידן! ברוך הבא ותודה על שעשית את כל הדרך עד לפה.היום אנחנו הולכים לדבר עם עידן על אבטחה של מערכות קריטיות, דוגמת מערכות מים, מפעלים ודברים כאלה.(אורי) . . . וחשמל, ובסיסי נ”מ, ו . . .(רן) כן, תיכף נגיע גם לרפרנס של הנ”מ.אבל לפני כן - עידן, ספר קצת על עצמך ועל החברה שבא אתה עובד:(עידן) בשמחה - עידן בן ארי, בן 33, מהרצליה; אבא לילדה מקסימה בת 3 ונשוי למריאני חוקר אבטחת מידע וארכיטקט אבטחת מידע ב-General Electric, בחטיבת הדיגיטל - אני חלק מקבוצה שאחראית על כל מערך הגנת הסייבר של המוצרים שמייצרים בחחברה.למי שלא מכיר - General Electric זו חברה שמייצרת המון דברים, החל מרכבות, תוכנה לכורים גרעיניים, טורבינות גז, טורבינות למטוסים - והרבה מאוד תוכנה, שנמצאת על גבי תשתיות קריטיות, בעולם וגם בארץ.אנחנו אחראים על הגנה על המערכות שמפתחים בתוך GE - אנחנו קבוצה פנימית, אנחנו לא נותנים ייעוץ החוצה.בעצם, כל המוצרים שמפתחים בחברה מגיעים לידיים שלנו - ואנחנו מבצעים עליהם Security assessment ו-Penetration Testing, ועוזרים בכל מיני דברים מסביב ל-Security, במטרה שכל המוצרים שהחברה מייצרת יהיו מוגנים.(רן) אגב GE - שמעתי לא מזמן פודקאסט מעניין שבו דיברו על משברים, זה היה בהקשר של הקורונה, על הקשר שבין משברים ל-Innovation, ולמדתי שבתקופה של המשבר הגדול, GE פרחה למרות שכולם היו בנפילה, בזכות ההשקעות הגדולות שלה ב-Innovation ומחקר (ב-2018 זה נשמע קצת אחרת, פרספקטיבה מעניינת); בסופו של דבר הם הגיעו עם מכונות כביסה לשוק ושואבי אבק, זה היה קצת יותר מאוחר - אז לפחות יש לך היסטוריה עשירה . . . (עידן) אני שמח שאתה מזכיר שואבי אבק ודברים כאלה, כי תמיד כששואלים אותי מה אני עושה . . . (אורי) “אתה עובד במקררים!”לפני כן, זה בדרך כלל מתחיל עם “אתה מ- General Motors . . .” - אז לא General Motors, זה General Electricוהדבר ששואלים אותי זה על שואבי אבק ומקררים - אני לא יודע למה בארץ יש את התפיסה הזאת, זה רחוק מאוד ממה שבאמת אנחנו עושים, אני חושב שזה קצת יותר בהיסטוריה של General Electric.היום הפתרונות הם לדברים שקשורים יותר לעולם התעשייתי, כמו שציינתי מקודם(רן) אתה יודע, זה גם הגיוני שה-Consumer מכיר את עולם ה-Consumer, למרות שאתה מן הסתם לא נמצא שם . .אז מה עם תשתיות קריטיות? בוא נחזור לזה רגע - מהי ההגדרה של תשתיות קריטיות?(עידן) תשתיות קריטיות הן מערכות שמוגדרות כך שאם תיהיה בהן איזושהי פגיעה, אז זה יוביל לאיזשהו שיבוש בחיי החברה (Society) שלנוזה יכול להיות בכל העולמות של תשתיות חשמל, תשתיות מים, תעבורה . . . כל העולמות האלה.ו-GE באמת מייצרת המון פתרונות תוכנה בכל מיני Levels סביב הדברים האלההעולמות האלה של תשתיות קריטיות - אלו דברים שקצת היו נסתרים, קצת הצליחו להתחמק מכל הנושא של התקפות סייבר, אבל בשנים האחרונות אנחנו רואים . . .להרחבה - עוד פודקאסט של רן לוי - Malicious Life.(רן) אז אולי סתם ניחוש פרוע - אני לא מגיע מהעולם הזה - אולי בעבר הן לא היו כל כך מחוברות לרשתות, או שאולי היכולות היו יחסית מוגבלות, ועם הזמן התחילו לחבר את הדברים האלה, והן פתאום נהיו גם יותר פגיעות?(עידן) לגמרי, זה בדיוק מה שקרה.יש איזושהי מגמה בשנים האחרונות, כי הרבה דברים, בהתפתחות של עולם ה-IoT, לחבר את הכל לאינטרנטבעצם בעולם הזה, כשהתחילו לבנות את המוצרים האלה - את כל פתרונות התוכנה וגם את כל פתרונות החומרה - אנחנו מדברים פה על שנות ה-70 ושנות ה-80, לא היה מושג כזה של “אבטחת מידע”, בחלק מהשנים האלה בכלל לא היה אינטרנט ובטח שלא ידעו לפתח קוד בצורה מאובטחת, ולא ציפו שיום אחד הכל יהיה מחובר לאינטרנט (Douglas Adams דווקא כן . . .), וזה מה שקורה בשנים האחרונות.יש לדברים האלה השלכות מבחינת אבטחת מידע - הדברים האלה, בסופו של דבר, לפעמים קצת רחוקים מאיתנו, או לפחות ככה זה מרגיש, אבל אלו דברים שאנחנו משתמשים בהם כל יוםתשתיות קריטיות זה החשמל שמגיע אלינו הביתה, אבל זה גם המעליות, שאולי הן לא קריטיות אבל יש את כל העולם התעשייתי, כל העולם הזה של הבקרים.זה נמצא בכל מקום, כל הדברים שאנחנו צורכים - כמעט כולם מיוצרים במפעלים שמנוהלים ע”י בקרים, מזגנים בבתים חכמים ובניינים ….יש השלכות מאוד גדולות להתקפות על הדברים האלה.(רן) אז אולי באמת נתחיל ככה קצת בפיקנטריה, ואח”כ נכנס לטכנולוגיה - אני בטח שחלק מהמאזינים זוכרים איזושהי התקפה (לכאורה…) של גורם כלשהו על מערכות צנטרפוגה באיזשהו כור גרעיני, אבל על זה לא נדבר (יכולים להשלים כאן או כאן).(עידן) אפשר לדבר גם על זה . . .(רן) אבל לא מזמן הייתה, ככל הנראה, אני חושב, על פי עיתונות זרה, לא יודע אם זה פורסם - התקפה בישראל על מקורות המים . . .(אורי) זה היה ב-67, לא? (1964 . . .)(רן) אז השנה עכשיו היא 2020 (לכאורה . . .), כן . . .(אורי) אני צריך להתעד(רן) עכשיו כל ההתקפות הן וירטואליות(אורי) לא מעניין . . .(רן) לא מפגיזים יותר (בינתיים?) . . . אבל זה לא פחות מסוכן, מסתבר.אז הההתקפה על מקורות המים - עידן, אתה עוד מעט תרחיב - בגדול, ככל הנראה התקפה של גורמים זרים שהרעילו או איכשהו פגעו באיכות המים, או לפחות ניסו לפגוע באיכות מים, ויכלו לגרום לנזק רציני אם ההתקפה הזו הייתה אכן הייתה מצליחה.אז מה אנחנו יודעים על הסיפור הזה?(עידן) בין ה-24 ל-25 באפריל השנה, יושבים כמה מפעילים, Operators, בחדרי בקרה של מפעלים לטיהור מים, טיהור שפכים, אנחנו לא יודעים בדיוק את הפרטים עד הסוף - לפי מה שאנחנו שומעים, הם מתחילים לראות את משאבות המים במפעלים מפסיקות לעבוד.מערך הסייבר כנראה מקבל התראות מכל מיני מקומות על זה שזה קורה בו-זמנית, והם מבינים שמדובר בהתקפה של גורם עוייןאנחנו לא יודעים מי זה הגורם העויין, או איך הוא הגיע למערכות האלהיש הרבה מאוד פרסומים בארץ ובעולם לגבי מקור התקפה או איך הגיעואפשר להבין מהפרטים המעטים שאנחנו מקבלים . . . לנסות ולגבש איזושהי תיאוריה או כמה תיאוריות לגבי מה שקרה שם.(רן) ואם ההתקפה הזו הייתה מצליחה - זה היה יכול להסתיים באיזושהי הרעלה, אם אני מבין נכון, של אזרחי ישראל, או לפגיעה משמעותית בטיב המים.(עידן) כן, זה חלק ממה שפורסם . . .(אורי) יודעים שזו הייתה הכוונה, או שזה סוג של ספקולציה?(עידן) זו ספקולציה . . . מה שאנחנו יודעים בוודאות זה שהייתה התקפה - מערך הסייבר הוציא הודעה רשמית על זה שהייתה התקפהמה שהוא אמר לכל האנשים שמנהלים את המתקנים האלה זה לנתק את המתקנים מהאינטרנט כמה שאפשר, להחליף סיסמאות ולעדכן את התוכנה שבבקרים האלה.עכשיו, מה שאני לפחות לומד מזה זה שכנראה לא מדובר פה באיזושהי התקפה סופר-מתוחכמת, אתם יודעים, שאוייב הצליח לחדור עמוק לתוך המערכות, לתוך הבקרים - סטייל מה שאתה אמרת קודם על צנטרפוגות . . .(אורי) העניין הוא שכשעשו את התקפת ה . . זה ששמעתי אצל רן לוי בפודקאסט (- תלונות צנזורה אליו בבקשה), בהתקפה של הצנטרפוגות גם הצליחו ליצור מצג-שווא במערכות ה-Monitoring.(עידן) זה סיפור מרתק . . . הנוזקה (Malware) הזו שהצליחה לחדור לשם, ואיך שהיא הצליחה לחדור לשם, זה גם כן . . .(אורי) זה היה Stuxnet, נכון?(עידן) Stuxnet, כן, ב-2010.מה שהתוכנה הזו עשתה היה שהיא הצליחה להגיע כבר ממש לרמת הבקרים עצמם - לא רק לשכבת הניהול אלא לשכבה אחת יותר עמוקה, לבקרים.אנחנו יודעים את זה “פשוט” כי חוקרים עשו Reverse Engineering ל-Malware וראו אותו, וגם הצליחו להתאים את ההתנהגות של ה-Malware בדיוק למבנה של הצנטריפוגות שם.אז אנחנו יודעים היום בוודאות שה-Malware הזה אכן כוון לשם.מה שקרה שם זה שה-Malware הקליט את כל החיישנים שעל הבקרים של הצנטרגפוגות, ואז שידר חזרה (ל-Monitoring) שזה מה שממשיך לקרות (מה שהוקלט) - אבל בעצם (בפועל) הוא הגביר קצת או האיץ קצת את (קצב) הסיבובים של הצנטריפוגות.זו אסטרטגיה מעניינת, כי זה לא שניסו בשנייה אחת לפוצץ הכל, לסובב במהירות ולפוצץ - אלא ניסו לגרום לצנטריפוגה להסתובב במהירות שתיצור נזק מצטבר לאורך זמן - ושיהיה מאוד קשה לגלות את זה ולהבין . . .אם משהו מתפוצץ לך את ישר מחליף הכלאם אתה רואה נזקים כאלה, אז עושים Reset-ים וכאלה, כמו שאנחנו תמיד עושים . . .(אורי) וזה לא מה שקרה . . . פה כנראה לא היו כנראה עד כדי כך מתוחכמים?(עידן) כנראה שלא, כי אני חושב שהתראות או להגיד למפעילים לנתק מהאינטרנט לא היו עוזרות פה . . .אם יש לך Malware בתוך הציוד, אתה בבעיה מאוד חמורה, אני מניח שבדקו את הדברים האלה.אני לא יודע איזה מחקר עשו שם, אני מניח שעשו איזשהו מחקר פורנזי (Forensic) אחר כך, לראות את מידת ההדבקה, אבל . . .(אורי) זרקת פה מושג - מחקר פורנזי (Forensic). אתה יכול להרחיב על זה? עושים את זה הרבה כשיש התקפות סייבר . . זה כזה Post-Mortem של אחרי חדירה - יש אנשים שמתמחים בזה, הם יודעים לקחת את הציוד, להעתיק את כל ה-Hard-disks, להעתיק את כל ה-Data ומנסים לחקור מאיפה הגיע התוקף, מה הוא עשה, איזה מידע הוא השיג וכו’.אני מניח שזה מה שעשו גם בארץ, אבל אני לא יודע אם יפרסמו אי פעם את התוצאות של הדבר הזה.(רן) אז בוא נדבר קצת יותר טכנולוגיה - הזכרת מקודם את המושג SCADA, אז אם תוכל לפרט, לספר מה זה - הזכרת שיש כמה רמות, דיברת על בקרים והזכרת שיש עוד כמה רמות.איך נראה מתקן טיפוסי כזה? אילו רכיבים יש שם? מה החולשות שלהם? מה עושים איתם?(עידן) אוקיי - אפשר לקחת את החלקים המרכזיים של עולם ה-SCADA ולנתח מה הם, ומה המשמעות שלהם, מה שהם עושים -אז SCADA זה Supervisory Control And Data Acquisition -שליטה ובקרה בתהליכים פיזייםכמו בכל העולמות האלה שציינו מקודםהרכיבים המרכזיים ביותר . . . נוהגים להסתכל על זה בשכבות - שכבה 0 עד שכבה 5בשכבה 0 יש לך את הבקרים עצמם - אלה הרכיבים שיש להם Inputs ו-Outputs כאלה . . . תחשבו משהו בסגנון כזה של Arduino או Raspberry Pi, שמחובר לחיישנים מצד אחד, ומצד שני למשהו שנקרא “אקטואטורים” (Actuators)הוא מקבל נתונים מהחיישנים - זה יכול להיות חיישני טמפרטורה, זרימת מים, מתח . . .כל דבר שאתם יכולים לחשוב עליו, יודעים היום לקלוט את המידע הזה עם חיישנים.הבקר הזה, ה-PLC (שזה Programmable Logic Controller) - יש להם איזושהי לוגיקה פנימית, שאפשר לשנות ולכתוב אותה, בדרך כלל בשפת Ladder Logicבהתאם ל-Inputs שהיא מקבלת מהחיישנים, ולקוד שלה, היא מבצעת פעולות . . .(רן) אז זה “המוח”, זה ה-Business Logic של המתקן - נגיד: “אם הטמפרטורה גבוהה מדי, תפעיל מאוורר” או דברים בסגנון הזה.(עידן) בדיוק - בוא נשאר בעולם הזה של מתקני טיהור מים, אז יש איזשהי משאבה, ששואבת מים ממקור מסויים, דוחפת את המים דרך Pipes (צינורות) לתוך מיכל - ובתוך המיכל הזה יהיו לך עוד כל מיני חיישניםיהיו לך חיישן בחלק התחתון, שמזהה את גובה המים, ועוד איזה חיישן בחלק העליון של המיכל, שיזהה את החלק העליון של מים.ואז לבקר הזה יכולה להיות לוגיקה שאומרת “אם המים נמצאים מתחת ל-Threshold, אז תפעיל את המשאבה”, ואז המשאבה מכניסה מים, עד שהיא מגיעה לחלק העליון - “תפסיק”.זו ככה דוגמא קלאסית ללוגיקה של בקר.השפה הזאת שרצה עליו נקראית Ladder Logic - זה מעיין שפת תכנות גראפית כזו, שכתבו אותה עבור מהנדסי חשמל בכלל - זה נראה כזה קצת כמו אלגברה בוליאנית כזה ... (אורי) שערים לוגיים, ו . . .(רן) למרות שהזכרת שזה יכול להיות גם Raspberry Pi, וב-Raspberry Pi אתה יכול לכתוב כמעט בכל שפה; ב-Arduino אולי לא בכל שפה אבל לפחות ב-C . . .בעולם המודרני היום אתה יכול כבר להשתמש בשפות מודרניות, נכון?(עידן) כן, בקרים חדשים יותר תומכים גם בשפות יותר חדשות - C, אני חושב שגם ראיתי פעם Java ו-#C - אבל הרוב זה שפות . . .(רן) אוקיי, אז אמרת שיש חמש שכבות - וזו שכבה 0, השכבה הפנימית ביותר, ששם נמצא ה-Business Logic, מגניב. מה מעל?(עידן) מעליה יש לנו את שכבה מספר 1 - שכבת הניהול:שם אנחנו נמצא בדרך כלל את ה-HMI - ה-Human-Machine Interface. זה, אם תרצו, “המוח” של התהליך.(אורי) והוא מן הסתם ירכז הרבה מאוד בקרים?(עידן) הוא מרכז את הבקרים - בדר”כ יש שם איזושהי מערכת שרצה על Windows, ויש שם איזושהי תוכנה שיש לה ממשק גרפי כזהאתה תראה, גראפית, את המיכל שלך ואת החיישנים ואת המדדים שלהם, ויהיו לך כל מיני כפתורים, כך שאתה יכול לשלוט בבקריםאלו דברים שבד”כ יקרו בתהליך - יכול להיות לך איזשהו כפתור אדום כזה שאתה לוחץ עלו והוא עוצר את התהליך, או להזרים עוד מים או להוציא וכו’.המערכות האלה בנויות ככה, במיוחד מערכות SCADA שהן יחסית פתוחות, אז אתה יכול לתכנן אותן איך שאתה רוצה, ולשנות כך שיעבדו בדיוק לפי הפרמטרים שלך - זה הרכיב המרכזי שםיש עוד רכיב, שרת אחר שנקרא Engineering Work Station, שזה שרת שהוא מיועד כדי לקנפג (Configure) את הבקרים, להוריד אליהם תוכנה חדשה, Ladder Logic כזה - זה מה שיהיה בשכבה 1.(רן) זה ה-App Store . . . לעדכוני תוכנה של הבקרים(עידן) אפשר להסתכל על זה ככה, כן . . . אני חושב שזה קצת יותר פרימיטיבי מזה . . .(רן) ודאי . . . 100%אז שכבה 0 זה הבקרים עצמם; שכבה 1 זה השכבה של “המוח”, כמו שקראת לזה, בדרך כלל נמצא על PC ויש בני אדם שמתממשקים ויש לזה בדר”כ ממשק גראפי - מה מעל?(עידן) מעל יש לנו את כל הרכיבים שהיו קצת יותר מוכרים לעולם שרובנו מכירים, לעולם ה-IT - יש שם שרתי FTP ו-Active Directory וכל מה שצריך מסביב בשביל העבודה היום-יומית של המפעילים(רן) האמת שפה חשדתי (!) - למה צריך שרתי FTP ו-Active Directory במתקנים כאלה? . . .(עידן) ניהול משתמשים . . עדיין יש לך Windows, רוב העולם הזה הוא מבוסס Windows ואתה צריך לעשות Log-in למערכות האלה, ויש שם המון פעילות שהיא די דומה למה שרובנו עושים במשרד ביום-יום . . .(אורי) רשת, ניהול רשת . . .(רן) אוקיי, 100%, אני פשוט מודאג מה-Attack Surface שהולך ומתרחב . . .(עידן) אתה לגמרי צודק - אז בוא נרחיב את ה-Attack Surface: דברנו קודם על זה שדברים מחוברים היום יותר ויותר לאינטרנט, אז זו בדר”כ השכבה 3 הזאת - זה יהיה המקום שאליו יחברו גישה מהאינטרנטיש שכבת DMZ, והשכבת DMZ הזו מחוברת לשכבה 3ואז יהיה הרבה פעמים איזשהו VPN, שיהיה אפשר מה- Corporate Network להיכנס למפעלושם הדברים באמת כבר מתחילים להיות מסוכנים . . .(רן) אנחנו עדיין בשכבה 3, נכון?(עידן) כן - זו שכבה 3, ה-DMZ זה שכבה 3.5 - ו-4 אנחנו כבר ב-Corporate Network, הרשתות שאנחנו מכיריםאני חושב שרוב האנשים יודעים על מה אנחנו מדברים(אורי) “Corporate Network” מדבר על מקרה של “מה אם יש לנו את הבקר של המשאבה, יש לנו את המערכת של המתקן …”, נכון?(עידן) ה-HMI, כן(אורי) . . . “יש לנו את הרשת שמנהלת את המתקן” - ועכשיו ב-Corporate Network אתה מדבר בכלל על “הרשת של מקורות”, “מקורות” כ”חברת המים”.(עידן) במקרה של המים אני לא יודע להגיד איך נראה ה-Corporate Network, זה יכול להיות באמת מקורותאם אתם רוצים ללכת לעולמות אחרים - זה יכול להיות גם חוות טורבינות רוח, שיש איזושהי חברה שמפעילה אותן, ולחברה הזאת יש עובדים ויש לה HR יש לה מפתחים . . . (אורי) איפשהו צריך לקבל את האימיילים, וצריך שיהיה Knowledge base . . .(עידן) וגם רוצים מדי פעם, ב-Click, להסתכל ולראות כמה חשמל מייצרות היום הטורבינות שלנו וכמה כסף הן עושות לנו - אז יהיה את ה-VPN הזה, את החיבור המרוחק הזה, אולי אפילו Wireless, למפעל שלנו, אל המתקן.(רן) אוקיי, 100% - אז יצאנו משכבה 4, מה נשאר? 5?(עידן) שכבה 5 . . . אני חושב ששכבה 4 ו-5 זו כבר חלוקה שהיא לא כל כך משנה, כי אנחנו עדיין בתוך ה-Corporate Network(רן) אני, כהכנה לפודקאסט הזה, ראיתי את הסדרה טהרן (מקצועיות ללא פשרות!), ושם למדתי שצריך להיכנס למתקן, לזייף . . . טוב, לא נעשה ספוילרים, אבל בסופו של דבר לחבר איזשהו USB Dongle לאיזשהו מחשב.עכשיו - לי קשה לדמיין שמישהו נכנס למתקן של מקורות ודחף לשם איזשהו USB Dongle, למרות שגם זה יכול להיות.השאלה שלי היא איך בדרך כלל מתבצעות התקפות על מתקנים כאלה? האם יש פה איזושהי התקפה פיזית? האם יש פה איזושהי חדירה דרך האינטרנט? האם יש פה דברים אחרים שככה - “מסעירים את הדמיון”?(עידן) כן, אז אני אחזור להמלצה של מערך הסייבר : לנתק מהאינטרנט - מבחינתי זה הרמז הכי גדול . . .יש המון ארגונים ששוכחים . . .(אורי) Backdoors?(עידן) בדרך כלל זה לא בכוונה . . . Backdoor, יש לזה קונוטציה שלילית - זו פשוט מערכת שמאפשרת לך לנהל את המתקן שלך, ולפעמים זה פשוט ממשק Webה-HMI שדיברנו עליו - יש לו הרבה פעמים רכיבי Web, ויכול להיות שמישהו השאיר שם את זה.(רן) נגיד - רצה לנהל את המשאבות מהבית, אז אמר “למה שאני לא אפתח את ה-Port”, או משהו בסגנון הזה - כמובן שאני סתם ממציא, אני לא באמת יודע.דרך אגב - אל תתקינו את ה-TikTok שלכם על ה-Raspberry Pi של המשאבות - תקשיבו לי, זה Backdoor מאומת . . .אז אתה אומר שיכול להיות שהיה שם, לפחות לפי ההמלצה של מערך הסייבר, ואז מה? איזשהו . . .(עידן) ואז, ככל הנראה, מישהו הצליח להשיג סיסמא ל-HMI הזה, שוב - אנחנו לא יודעים . . .(אורי) בעולם של ספקולציות(עידן) ספקולציות, אבל בוא נגיד שזה לא ספקולציות פרועות בכלל - היו דברים מעולם . . . אם אתם מכירים את ה-Shodan? יצא לכם להתעסק?(רן) לא . . .(עידן) רוב החבר’ה בעולם של אבטחת מידע מכירים אותו טוב מאוד, זה כלי אינטרנטי שסורק את כל האינטרנט כל איזה 20 שניות, ונותן לך כמויות מידע מטורפות על כל אחת מכתובות ה-IP שהוא מוצאיש לו Search Queries מוכנים מראש לעולם ה-SCADA והתשתיות הקריטיות, ואתה יכול לחפש בקרים באינטרנטכמות הבקרים וה-HMI-ים שחיים היום באינטרנט “בכיף שלהם” היא די מדאיגה . . .(רן) כן . . . אני מניח שהרבה מהמפעלים, או מהתשתיות הקריטיות, לא נכתבו בשנה האחרונה . . . זה נכתב במשך . . . אלו דברים שיצאו במהלך כמה עשרות השנים האחרונות - חלקם אולי קצת יותר מודרניים, אבל הרבה מהם לא כל כך.כשכתבו את התוכנה שלהם, לא חשבו על איומי הסייבר הנוכחיים, וסביר להניח שיש בהם תקלות - בין אם זה שימוש בשפת C שמובילה ל-Buffer overflow או אי אלו תקלות, אפילו הרבה פחות מתוחכמות מזה.לקחת דבר כזה ולחבר אותו לאינטרנט, מה גם שתהליך העדכון . . . כמו שאמרת קודם, יש איזושהי עמדת Engineering, תהליך העדכון הוא לא איזשהו Piece of cake, זה לא שאתה לוחץ על כפתור וזה עובד - תהליך העדכון, אני מתאר לעצמי, הוא כבד ולא נוח. לקחת דבר כזה ולחבר אותו לאינטרנט נראה נשמע כמו תאונה שמחכה לקרות.איך מתמודדים עם כל זה?(עידן) אתה לגמרי צודק - זה חלק מהאתגרים הגדולים ביותר שאנחנו מתמודדים איתם ביום-יום.יש לך הרבה Code legacy, כשהאחריות של ה-Code legacy הזה היא מטורפת - שיבושים שם יכולים לגרום לנזקים סביבתיים, יכולים לגרום לנזקים פיזיים לאנשים, אנשים יכולים למות שם.חומרים כימיים שנשפכים, טמפרטורות גבוהות מדי במפעלים שיכולות לגרום לשריפה וכו’יש אמצעים סביב זה - יש מערכות Safety שנועדו לבקר את התהליך ויודעות להחזיר אותו בחזרה במקרה שיש חריגה מהפרמטרים, למשל - אם יש לך איזשהו . . .(אורי) זה כדי לא להתמודד עם תיקוני אבטחה ב-Code legacy . . .(עידן) עולם ה-Safety שונה מהעולם של ה-Security - אלה באמת אמצעי Safety, שנועדו לדאוג שדברים לא מתפוצצים או נשרפים וכו’.קצת סומכים עליהם בעולם של אבטחת המידע כמנגנון הגנה - הם לא באמת מנגנון הגנה נגד התקפות.(אורי) הם לא מנגנון הגנה נגד התקפות - אבל הם מנגנון הגנה נגד אנומליות.( עידן) אנומליות, שחיקות של ציוד . . .(רן) נניח שיש איזשהו טרמוסטט שמחובר לבקר דיגיטלי - אבל בנוסף אולי יהיה גם טרמוסטט פיזי, שנגיד ישבית את המערכת במקרה שהטמפרטורה עולה מעבר לאיזשהו סף, אני מניח שזה . . .(אורי) זה בהנחה שאתה לא . . . שהנוזקה לא “עובדת” על ה-Monitoring…(עידן) יש הרבה דברים שיכולים לעבוד שם, ויש הרבה דברים שיכולים לא לעבוד שםקודם כל - נניח ותוקף מצא את עצמו עם גישה לבקר (ככה יצא…) - דרך אגב, כל הפרוטוקלים האלה, הם כמעט כולם לא מאובטחים, לא מוצפנים - אם תוקף מגיע למצב שבו הוא נמצא ברשת יחד עם הבקרים, עם ה-HMI, זה Game-Over - הוא יכול לשלוח בקשות בפרוטוקולים ידועים, לשלוח פרמטרים לא נכוניםלמשל - הוא יכול לשלוח, בדומה למה שדיברנו על Stuxnet מקודם, לשלוח ל-HMI שהטמפרטורות “הכל סבבה, הכל טוב”, ומצד שני להגיד לבקר “תתחיל להעלות את הטרמוסטט הזה, תתחיל להעלות את הטמפרטורה”.אם יש איזשהו רכיב Safety, שמודד . . . באופן אידיאלי הם אמורים להיות מנותקים, ולמדוד באמצעות חיישנים משלהם את המצב של התהליך - ואז להביא את הבקר למצב של אופרציה רגילה במידה והוא חורג מהפרמטרים שלו.אם נחזור לדוגמא של המים - התפרסמו כל מיני דברים לגבי זה שהוסיפו כלור למים - יכול להיות שהיה גם חיישן כלור, וברגע שהוא ראה שרמת הכלור עולה או יורדתדרך אגב - להוריד את כמות הכלור זו גם הייתה התקפה . . .אז הוא פשוט סגר את המשאבות - זה משהו שיכול להיות, אנחנו לא יודעים(רן) זה, דרך אגב, משהו שנקרא “בקרות מפצות”, הנושא הזה?(עידן) כן, אז זה מגן לפעמים אני יכול לתת דוגמא למקרה שבו ה-Safety לא יגן עליך - אם נחזור לדוגמא של טורבינות רוח, אז מה שרכיב Safety יעשה שם הוא להבין שהלהבים לא מסתובבים מהר מדי, ואז יפעיל את הבלם במקרה והמהירות של הלהבים גבוהה מדי ויכולה לעשות נזק.אבל אם יש לטורבינות האלה מעצור חירום, שאם מפעילים אותו אז הוא מאוד שוחק את הטורבינה - אז זה משהו ש-Safety לא יכול לעצור . . .אם תוקף עכשיו מפעיל כמה פעמים את הבלם הזה, לפני שמישהו מספיק לעצור אותו, הוא יכול לעשות נזק.מכירים את סוג ההתקפה הזה, וקשה מאוד להתמודד איתה - כי אין לך Safety, אין לך את הבקרה המפצה הזו שתגן עליך שם.(רן) אם אתם מקבלים לידייים שלכם בעבודה איזושהי מערכת, שאתם צריכים לבדוק את מידת החדירות שלה - יש איזושהי מתודולוגיה סדורה לאיך עושים דברים כאלה?(עידן) המתודולוגיות הן מתודולוגיות של Penetration Testing, יחסית קלאסיות - סריקה של Ports, המון התקפות בעולם של Webויש גם את כל הדברים הקלאסיים של התקפות Web, כמו SQL Injection ו-Cross-site scripting, וכל הדברים שמי שמכיר את ההתקפות האלה מכיר אותם טוב.(אורי) עובדים גם על Social Engineering? אני מניח שאתם רוצים לייצר אבטחה של מוצר מסויים - ה-Social Engineering בעולם של ארגון, המודעות . . .(עידן) זה באמת בעולמות יותר של הארגון, אבל יש התקפות מסויימות שמאוד מקלות על Social Engineering - אז אם אנחנו רואים דברים כאלה אנחנו נתריע עליהם ונדווח על זה.זה בדרך כלל מה שאנחנו עושים - מוצאים חולשה, מדווחים עליה למהנדסים ומתקנים אותה.ואז אנחנו עושים איזושהי ולידציה (Validation) על החולשה הזאת.לצורך הדוגמא - יש התקפה שנקראית Open redirect, שהיא די פשוטה - לגרום לקורבן לגשת לאיזשהו עמוד עם איזשהו פרמטר, בעולם ה-Web, וזה פשוט מזיז אותו, עושה לו Redirect, אל מחוץ לאתר.לכאורה פשוט ולא מאיים יותר מדי - אבל הדבר הזה, בשילוב Social Engineering, יכול להיות יחסית מהותי.אם אני שולח לך לינק במייל, ואתה מסתכל על הלינק ואומר “הא, סבבה - זה ל-YouTube.com”, אבל ברגע שאתה מגיע לשם, בלי שאתה שם לב, הדפדפן שלך ניגש לאתר של התוקף, והוא מבקש ממך לעשות Log-in - הסיכוי שתשים לב שאתה כבר לא ב-YouTube הוא די נמוך, אז אתה תשים את ה-Credentials שלך באתר - וככה יתקפו אותך.(רן) זאת אומרת שאם אתה משתמש באותה סיסמא, למשל ל-YouTube כאותה הסיסמא לבקר המים, אז זו בעיה . . .(עידן) כן, זו כבר בעיה אחרת(רן) בוא לא נשלה את עצמנו - זה קורה, זאת אומרת - אנחנו לא יודעים אם זה היה המקרה שם, אבל זה מסוג . . . לאף אחד לא באמת מעניין להיכנס ל-YouTube שלך, בוא - זה לא באמת מעניין . . .(עידן) ל-Gmail, היום הכל מחובר . . .(רן) סבבה, אז הוא יקרא את האימיילים שלך, ואולי הוא יוכל לקחת איזשהו Ransom, סבבה - אבל מי שבא לתקוף ציוד תעשייתי, כנראה שמה שבאמת מעניין אותו זה להשיג את הסיסמא שלך, מתוך הנחה שאתה כנראה משתמש בה בעוד מקומות, שכנראה קשורים לעבודה.(עידן) כן, לגמרי.(אורי) בתור חברה שהותקפה על ידי Social Engineering, שעשה נזק - יש המון עבודה שצריכה לקרות בהיבט של חינוך, פשוט בחינוך.(עידן) לגמרי . . . אני, בכובע של ארכיטקט אבטחת מידע - חלק ממה שאני עוסק בו זה גם כל מה שקשור לתהליך הפיתוח המאובטחזה Awareness Training ו- Security Training ו-Threat modeling ועוד כל מיני דבריםלחלוטין דברים נגד Social Engineering, אנחנו לוקחים את זה מאוד ברצינות, זה וקטור התקפהאולי לא טכני וטכנולוגי, אבל הוא קיים והוא אמיתי.(אורי) נראה לי שיותר ויותר תוקפים משתמשים במתודולוגיה הזאת, כי היא פשוט יותר קלה . . . אתה תופס את המקום הזה, שה-Awareness הוא לא מאוד גבוה, ו . . .(עידן) אני מניח שזה תלוי באיזה צוות - יש צוותי תקיפה שהוא סופר-טכנולוגיים, אז הם בדר”כ ילכו וימצאו חולשות טכנולוגיותיש כל מיני ארגונים שיש להם צוות Social Engineering וצוות תקיפה טכנולוגי, ואז בדר”כ השילוב ביניהם הוא בסופו של דבר הגורם לחדירה לארגון.אבל גם בעולם של Social Engineering, יש כלים שאנשים פיתחו שמקלים עליך לעשות את ה-Phishing בצורה נוחה, ועוד כל מיני דברים כאלה.(אורי) אני חושב שגם ארגונים שהם יחסית דלי-אמצעים ילכו יותר לעולם של Social Engineering, כי כמו שאמרת - היום, להשיג האקרים שהם מאוד טכנולוגיים ויכולים לפרוץ למערכות מורכבות דרך עבודה על המערכות הטכנולוגיות, או למצוא פרצות במערכות הטכנולוגיות - זה מצריך תקציבים גדולים, אפילו תקציבי מחקר.אלו מקומות שהרבה פעמים תראה בהם או מדינות או ארגונים שממומנים בצורה מאוד רצינית.בעולם של Social Engineering תמצא, כמו שאתה אמרת - “בשני שקל” מוריד משהו שבונה לי אתר Deception.(עידן) אני מסכים איתך, אבל אני חושב שחלק מהסיבה שיש כל כך הרבה ארגוני פשיעה היום בעולם הסייבר זה בגלל ש . . . האמת שאתה יכול לקחת שלושה חבר’ה, לא לשלם להם משכורת מאוד גבוהה, חבר’ה טכניים - יש בהרבה מדינות אנשים כאלה, שבהן אין תעשיית סייבר מפותחת כמו בארץ, ושם אם אתה מבין ויודע קצת על איך לפרוץ דברים אז עדיף לך להיות Black Hatובתקציב לא מאוד גבוה אתה יכול לקחת 2-3 אנשיםו- 2-3 אנשים יכולים לעשות נזקים מאוד משמעותיים, לחדור לארגונים.אני יודע כי בתפקיד הקודם שלי, בעבודה הקודמת שלי, זה מה שהיינו עושים - היינו צוות Red Team, ולפעמים הפרויקט הוא “אוקיי, זה ה Net-block של חברה - נסו לפרוץ אליו”והרבה פעמים, בדר”כ אפילו - להצליח לחדור לחברות זה לא מצריך יותר מדי משאבים . . .עכשיו - לעולם התעשייתי, בשביל לעשות דבר כזה אתה כבר צריך לעלות רמה בתקציב שאתה צריך להשקיע, כי אתה צריך כנראה לקנות את הבקרים האלה ואתה צריך מהנדסי אוטומציה פתאום, שיגידו לך איך הדבר הזה מורכב, ולהקים איזושהי מעבדה שמצריכה הרבה מאוד ציוד פיזי . . .אז פה באמת, כמו שאמרת - כבר התקציב שצריך לדבר כזה עולה, ובדרך כלל מי שעושה את ההתקפות האלה הן מדינות שתוקפות אחת את השנייה.(אורי) אני לא זוכר . . . אני חושב שזה היה בפודקאסט אצל רן (הרן השני עם הפודקאסט) - אני חושב שזו הייתה Siemens, החברה של הצנטרפוגות? (רן) אני חושב שכן(עידן) כן(אורי) שהאשימו אותם איכשהו בשיתוף פעולה עם הדבר הזה, כי ממש היו צריכים . . .(רן) לקבל את המודל המדויק(אורי) לקבל את הדברים המדוייקים, וממש שמישהו יסביר לך איך הדבר הזה עובד, אז . . .(עידן) את זה אני לא יודע . . . אני כן יודע שהאיראנים הועילו בטובם לפרסם תמונות מתוך הכור, ואלו תמונות שרואים בהן חצי Screenshots של חצי מסך - אבל במקרה רואים שם בדיוק את המערך של הצנטרפוגות, ובאיזו תוכנה הם משתמשים, אז, כאילו - הרבה פעמים זה מספיק בשביל לדעת איך לתקוף את הדבר הזה.אני לא מכיר את הסיפור הזה, מעניין.(רן) בסדר, מעולה - אז אנחנו כבר הגענו לסוף: עבר מהר, היה מאוד מעניין, החכמת אותנו ,תודה שבאת!הקובץ נמצא כאן, האזנה נעימה ותודה רבה לעופר פורר על התמלול

This week Chris talks about why he doesn't like the idea of Business Logic. To absolutely no ones surprise, the conversation is mostly a semi-coherent, one-sided rant.

Laravel is a PHP framework that has witnessed comparatively less attention than CMS heavyweights like Drupal and WordPress and frameworks like Symfony, but it nonetheless offers several compelling advantages for enterprise website implementations. Recently, a large organization worked with Tag1 to move legacy databases into a more modern approach that, coupled with Laravel and Vue.js, led to considerable improvements in not only developer experience but also user experience. Moreover, Laravel is an excellent tool for architecting custom applications with complex logic, all without any complexity offloaded onto the developer experience. Thanks to the Laravel ecosystem, you can have a working PHP application with APIs and a functional single-page JavaScript application in Vue.js with minimal overhead. Instead of having to define low-level properties like in Symfony or deal with too many premade assumptions like in Drupal or WordPress, you can focus on user workflows in Laravel and benefit from a more reasonable learning curve as well. In this Tag1 Team Talks episode, László Horváth (Senior Laravel Developer at Tag1) joins guests Fabian Franz (Senior Technical Architect and Performance Lead at Tag1), Michael Meyers (Managing Director at Tag1), and your host Preston So (Editor in Chief at Tag1 and Senior Director, Product Strategy at Oracle) for a deep dive into why Laravel should be your choice when building a mission-critical PHP architecture that encompasses a decoupled front end in JavaScript and multi-level access control and permissioning.

In this episode of the Angularlicious podcast, we talk with Bartosz Pietrucha the founder of Angular-Academy.com. He is an international speaker and trainer specializing in Enterprise Angular application architecture and security. We explore a new pattern to bridge the gap between Presentation and Business Logic using a Synchronization Strategy (adapter/mediator). Learn more about Bartosz' new Web Security Academy at: https://angular-academy.com/security/?aff=487495_tawgwlyz web: www.angular-academy.com blog: https://dev.to/pietrucha github: https://github.com/bartosz-io Talk on Architecture: https://angular-academy.com/angular-architecture-best-practices Role-based auth in Angular 9 (Youtube.com) https://dev.to/pietrucha/role-based-auth-in-angular-9-nld

Oz Nova, founder and instructor at the Bradfield School of Computer Science, explains how he approaches teaching, what he does to create a safe learning environment, and his moonshot idea to create a world-class computer networking class delivered over the internet. Listening to this episode will make you a more effective teacher. That's the Business Logic guarantee. Episode Resources Bradfield School of Computer Science The Gallwey approach to learning tennis From Nand to Tetris (class) Follow Oz on Twitter! Follow Andy on Twitter!  

CT "Chidi Bang"& Chris "The Most High" bring to you the underground of professional wrestling podcast. This week we give props to 205 live, we give our thoughts on the big weekend of wrestling including, AEW Fight for the Fallen, Evolve's 10th Anniversary, and Extreme Rules. We recap the week of wrestling on Raw and Smackdown Live, we book 2 black superstars this week in Jordan Myles FKA ACH & Ember Moon in this weeks "Booking Black" segment, and speak on Brock becoming the new WWE Universal Champion in our Business & Logic segment. All this and more! Follow if you like what ya hear ya heard!Intro 00:00 - 03:44205 Live 03:44 - 07:36AEW vs. Evolve 07:51 - 22:07Extreme Rules 22:07 - 32:47Raw 32:47 - 51:32Smackdown 51:32 - 56:45Eric Bischoff Minimal Creative Influence on SD LIVE 56:45 - 1:03:23BOOKING BLACK: Jordan "ACH" Myles 1:03:23 - 1:11:15BOOKING BLACK: Ember Moon 1:11:52 - 1:27:13BUSINESS & LOGIC: Brock Lesnar Universal Champion 1:21:20 - 1:27:13Outro 1:21:20 - 1:27:13

CT "Chidi Bang"& Chris "The Most High" bring to you the underground of professional wrestling podcast. This week we give props to 205 live, we give our thoughts on the big weekend of wrestling including, AEW Fight for the Fallen, Evolve's 10th Anniversary, and Extreme Rules. We recap the week of wrestling on Raw and Smackdown Live, we book 2 black superstars this week in Jordan Myles FKA ACH & Ember Moon in this weeks "Booking Black" segment, and speak on Brock becoming the new WWE Universal Champion in our Business & Logic segment. All this and more! Follow if you like what ya hear ya heard!Intro 00:00 - 03:44205 Live 03:44 - 07:36AEW vs. Evolve 07:51 - 22:07Extreme Rules 22:07 - 32:47Raw 32:47 - 51:32Smackdown 51:32 - 56:45Eric Bischoff Minimal Creative Influence on SD LIVE 56:45 - 1:03:23BOOKING BLACK: Jordan "ACH" Myles 1:03:23 - 1:11:15BOOKING BLACK: Ember Moon 1:11:52 - 1:27:13BUSINESS & LOGIC: Brock Lesnar Universal Champion 1:21:20 - 1:27:13Outro 1:21:20 - 1:27:13

BlueCat Networks offers a free add-on product to their DDI (DNS, DHCP, IPAM) product called Gateway. Gateway is a platform customers can use to create their own custom APIs that make sense for their business. Put another way, Gateway provides a REST API endpoint for other applications within the business to talk to. That makes for some interesting workflow capabilities. The post BiB 067: Custom APIs For Business Logic With BlueCat Gateway appeared first on Packet Pushers.

BlueCat Networks offers a free add-on product to their DDI (DNS, DHCP, IPAM) product called Gateway. Gateway is a platform customers can use to create their own custom APIs that make sense for their business. Put another way, Gateway provides a REST API endpoint for other applications within the business to talk to. That makes for some interesting workflow capabilities. The post BiB 067: Custom APIs For Business Logic With BlueCat Gateway appeared first on Packet Pushers.

BlueCat Networks offers a free add-on product to their DDI (DNS, DHCP, IPAM) product called Gateway. Gateway is a platform customers can use to create their own custom APIs that make sense for their business. Put another way, Gateway provides a REST API endpoint for other applications within the business to talk to. That makes for some interesting workflow capabilities. The post BiB 067: Custom APIs For Business Logic With BlueCat Gateway appeared first on Packet Pushers.

Welcome to Reasonable Wrestling Podcast! The uncut, unfiltered, underground podcast of this professional wrestling podcast game. CT aka Chidi Bang and Chris "The Most High" discuss the week that was in WWE.CT gives his break down on the levels of Daniel Bryan's heel turn and the character development it brings that makes it refreshing in his HighSpot.The SDLive women's championship picture is the highlight of Chris' week. Asuka v Charlotte v Becky will be infinite

Welcome to Reasonable Wrestling Podcast! The uncut, unfiltered, underground podcast of this professional wrestling podcast game. CT aka Chidi Bang and Chris "The Most High" discuss the week that was in WWE. CT gives his break down on the levels of Daniel Bryan's heel turn and the character development it brings that makes it refreshing in his HighSpot. The SDLive women's championship picture is the highlight of Chris' week. Asuka v Charlotte v Becky will be infinite

Welcome back!! Reasonable Wrestling had a crazy week but next week will be even crazier. We will be in attendance for #SmackdownLive in Orlando and the #MaeYoungClassic the following 2 days so make sure you follow us on all of our social media- Twitter: @RWpodcast1, IG: reasonablewrestlingpodcast, FB: Reasonable Wrestling Podcast, YouTube: Reasonable WrestlingWe started out the week of #SummerSlam discussing the #NJPW #G128 and how CT doesn't care for one of the best wrestlers in world in ZSJ (2:00). We also give a s/o to Travis Scott for dropping AstroWorld (5:00). While on the subject of #NJPW, we talk Finn possibly going back and is Okada the Randy Orton of the promotion?(10:00. Finally we get into the show with our #HighSpots (13:00) Miz and DB from CT and the 2 tag divisions from Chris (23:00). The topic takes them all the way to FORTY minutes into the show! They breeze thru #BestWritten (40:30) which was Brock for CT and the whole #SDLive show for Chris (44:00). Next was #WorstWritten, Bobby Lashley, need we say more? (47:00)... The Usos (50:00) take the #BestProduced slot for Chris with their segment of SDLive and the WWE Shop commercial was the best thing from CT (53:00).. As the show moves along, they get into their #WorstWrittten, Brock was the worst of the week for Chris (54:00) and Sasha/Bayley for CT (58:00).The #CharacterFlashlight finally arrives, at the hr mark in the show. Our #BookingBlack segment starts off discussing Bobby as a main event guy and a potential World Champ and then the discussion goes deeper as to way WWE struggles with the marketing of a black superstar. The topic takes them into the weekly Business/Logic segment = as to why its difficult to do and why it really isn't. Also, do you think 205Live and NXT should merge? Give us your "takes on takes on takes". Go to our twitter and IG and vote, yes or no!

Welcome back!! Reasonable Wrestling had a crazy week but next week will be even crazier. We will be in attendance for #SmackdownLive in Orlando and the #MaeYoungClassic the following 2 days so make sure you follow us on all of our social media- Twitter: @RWpodcast1, IG: reasonablewrestlingpodcast, FB: Reasonable Wrestling Podcast, YouTube: Reasonable Wrestling We started out the week of #SummerSlam discussing the #NJPW #G128 and how CT doesn't care for one of the best wrestlers in world in ZSJ (2:00). We also give a s/o to Travis Scott for dropping AstroWorld (5:00). While on the subject of #NJPW, we talk Finn possibly going back and is Okada the Randy Orton of the promotion?(10:00. Finally we get into the show with our #HighSpots (13:00) Miz and DB from CT and the 2 tag divisions from Chris (23:00). The topic takes them all the way to FORTY minutes into the show! They breeze thru #BestWritten (40:30) which was Brock for CT and the whole #SDLive show for Chris (44:00). Next was #WorstWritten, Bobby Lashley, need we say more? (47:00)... The Usos (50:00) take the #BestProduced slot for Chris with their segment of SDLive and the WWE Shop commercial was the best thing from CT (53:00).. As the show moves along, they get into their #WorstWrittten, Brock was the worst of the week for Chris (54:00) and Sasha/Bayley for CT (58:00). The #CharacterFlashlight finally arrives, at the hr mark in the show. Our #BookingBlack segment starts off discussing Bobby as a main event guy and a potential World Champ and then the discussion goes deeper as to way WWE struggles with the marketing of a black superstar. The topic takes them into the weekly Business/Logic segment = as to why its difficult to do and why it really isn't. Also, do you think 205Live and NXT should merge? Give us your "takes on takes on takes". Go to our twitter and IG and vote, yes or no!

Welcome to Reasonable Wrestling!!! This is our 10th episode, we appreciate all the support and the listens so far. This week CT and Chris break down the week that was with the usual segments with #Best and #Worst of the week. They also bring back their #CharacterFlashlight and they #BookBlack featuring Apollo Crews. They finish up the with their Business/Logic segment when they discussed Matt Riddle's potential debut with WWE and a farfetched conspiracy theory that NJPW/ROH/WWE are working together towards talent exchanges.. Listen, Like, Comment. Follow us on Twitter @RWPodcast1 and find us on Youtube #reasonablewrestlingpodcast.

Welcome to Reasonable Wrestling!!! This is our 10th episode, we appreciate all the support and the listens so far. This week CT and Chris break down the week that was with the usual segments with #Best and #Worst of the week. They also bring back their #CharacterFlashlight and they #BookBlack featuring Apollo Crews. They finish up the with their Business/Logic segment when they discussed Matt Riddle's potential debut with WWE and a farfetched conspiracy theory that NJPW/ROH/WWE are working together towards talent exchanges.. Listen, Like, Comment. Follow us on Twitter @RWPodcast1 and find us on Youtube #reasonablewrestlingpodcast.

Welcome Back!!! Thank you for returning. CT and Chris recap the week that was after having a crazy week themselves. CT had a health scare that had him in the hospital but he soldiered through. Chris worked as a PA/editor/producer the latest MLW's taping in Orlando...The show starts as always with #HighSpots and then they dive into Best and Worst of the week. Chris and CT talk a little about ROH and NJPW at the Garden and they end the show as usual with their Business/Logic segment when they talk about Brock Lesnar and UFC. They also give #ExtremeRules predictions, cuz y'all like that stuff

Welcome Back!!! Thank you for returning. CT and Chris recap the week that was after having a crazy week themselves. CT had a health scare that had him in the hospital but he soldiered through. Chris worked as a PA/editor/producer the latest MLW's taping in Orlando... The show starts as always with #HighSpots and then they dive into Best and Worst of the week. Chris and CT talk a little about ROH and NJPW at the Garden and they end the show as usual with their Business/Logic segment when they talk about Brock Lesnar and UFC. They also give #ExtremeRules predictions, cuz y'all like that stuff

We are back! This week CT and Chris discuss the week that was, which was not good but not bad. We talked our weekly #HighSpots and Best/Worst Produced and Written. We even talk a little @MLW (Major League Wrestling), who is having their 1st live special in NYC on July 19th, for our Business/Logic segment. Check us on twitter at @RWPodcast1 and we are on Youtube under our Soundcloud name.

We are back! This week CT and Chris discuss the week that was, which was not good but not bad. We talked our weekly #HighSpots and Best/Worst Produced and Written. We even talk a little @MLW (Major League Wrestling), who is having their 1st live special in NYC on July 19th, for our Business/Logic segment. Check us on twitter at @RWPodcast1 and we are on Youtube under our Soundcloud name.

Panel: Charles Max Wood Guest: Victor Savkin This week on My Angular Story, Charles speaks with Victor Savkin about his business Narwhal Technologies. In addition, they discuss Angular, past and current business projects, and their picks. Victor is a co-founder of nrwl.io, providing Angular consulting to enterprise teams. He was previously on the Angular core team at Google, and built the dependency injection, change detection, forms and router modules. In particular, we dive pretty deep on: Victor’s background. Two of Victor’s past episodes on the “My Angular Story:” Episode 42 Episode 123 When and how did you get into programming? Back when Victor was in Russia and playing games. This brought him to the idea that “I could build my own game” when he was a teenager. Programming is hard and difficult, but also fun and enjoying. There is a creative side to this. State of flow. How did you go from creating games with Flash to Angular? Eventually ended up using Angular. Victor prefers to use on the backend. It’s interesting to see how things have changed, such as Data Flow and Business Logic. In what ways do you think it has improved? Charles first got into programming it was Rails. JavaScript sprinkles Ember into Angular Why does this feel much harder – because we are solving much more complicated issues. Look at the tools we have today. Trello How did you get into Angular 14? Dart What contributions do you feel that you have made on the Angular team? Angular Dart In writing Angular apps, Charles is curious, how is it different writing the framework vs. an app within the framework? What made you and Jeff leave Google and go start Narwhal Technologies (nrwl.io)? I felt like I could provide more value. What things have Narwhal been contributing to the community? What are you working on now? NX Personal life Wedding in August and buying a home for Victor. Links: FreshBooks Past “My Angular Story” Episodes Data Flow Business Logic JavaScript Ember Trello Dart Narwhal Technologies NX Rails Victor Savkin’s Angular Victor Savkin’s Medium Victor Savkin’s Twitter Victor Savkin’s LinkedIn Victor Savkin’s GitHub Victor Savkin’s Lean Pub Victor Savkin’s Nrwl Blog Victor Savkin’s Book: Angular Router Victor Savkin’s & Jeff Cross’ Book: Essential Angular Angular Digital Ocean Cache Fly Sponsor: Digital Ocean Picks: Charles Audio Books: “The Big Leap” by Gay Hendricks “The Whole-Brain Child” by Daniel J. Siegel & Tina Payne Bryson Take a minute to be human through life’s different experiences. Victor Self-Help Books They Daily Stoic by Ryan Holiday & Stephen Hanselman Go see your doctor first before you buy equipment! Logitech Wireless Trackball Vertical Mouse

Panel: Charles Max Wood Guest: Victor Savkin This week on My Angular Story, Charles speaks with Victor Savkin about his business Narwhal Technologies. In addition, they discuss Angular, past and current business projects, and their picks. Victor is a co-founder of nrwl.io, providing Angular consulting to enterprise teams. He was previously on the Angular core team at Google, and built the dependency injection, change detection, forms and router modules. In particular, we dive pretty deep on: Victor’s background. Two of Victor’s past episodes on the “My Angular Story:” Episode 42 Episode 123 When and how did you get into programming? Back when Victor was in Russia and playing games. This brought him to the idea that “I could build my own game” when he was a teenager. Programming is hard and difficult, but also fun and enjoying. There is a creative side to this. State of flow. How did you go from creating games with Flash to Angular? Eventually ended up using Angular. Victor prefers to use on the backend. It’s interesting to see how things have changed, such as Data Flow and Business Logic. In what ways do you think it has improved? Charles first got into programming it was Rails. JavaScript sprinkles Ember into Angular Why does this feel much harder – because we are solving much more complicated issues. Look at the tools we have today. Trello How did you get into Angular 14? Dart What contributions do you feel that you have made on the Angular team? Angular Dart In writing Angular apps, Charles is curious, how is it different writing the framework vs. an app within the framework? What made you and Jeff leave Google and go start Narwhal Technologies (nrwl.io)? I felt like I could provide more value. What things have Narwhal been contributing to the community? What are you working on now? NX Personal life Wedding in August and buying a home for Victor. Links: FreshBooks Past “My Angular Story” Episodes Data Flow Business Logic JavaScript Ember Trello Dart Narwhal Technologies NX Rails Victor Savkin’s Angular Victor Savkin’s Medium Victor Savkin’s Twitter Victor Savkin’s LinkedIn Victor Savkin’s GitHub Victor Savkin’s Lean Pub Victor Savkin’s Nrwl Blog Victor Savkin’s Book: Angular Router Victor Savkin’s & Jeff Cross’ Book: Essential Angular Angular Digital Ocean Cache Fly Sponsor: Digital Ocean Picks: Charles Audio Books: “The Big Leap” by Gay Hendricks “The Whole-Brain Child” by Daniel J. Siegel & Tina Payne Bryson Take a minute to be human through life’s different experiences. Victor Self-Help Books They Daily Stoic by Ryan Holiday & Stephen Hanselman Go see your doctor first before you buy equipment! Logitech Wireless Trackball Vertical Mouse

Panel: Charles Max Wood Guest: Victor Savkin This week on My Angular Story, Charles speaks with Victor Savkin about his business Narwhal Technologies. In addition, they discuss Angular, past and current business projects, and their picks. Victor is a co-founder of nrwl.io, providing Angular consulting to enterprise teams. He was previously on the Angular core team at Google, and built the dependency injection, change detection, forms and router modules. In particular, we dive pretty deep on: Victor’s background. Two of Victor’s past episodes on the “My Angular Story:” Episode 42 Episode 123 When and how did you get into programming? Back when Victor was in Russia and playing games. This brought him to the idea that “I could build my own game” when he was a teenager. Programming is hard and difficult, but also fun and enjoying. There is a creative side to this. State of flow. How did you go from creating games with Flash to Angular? Eventually ended up using Angular. Victor prefers to use on the backend. It’s interesting to see how things have changed, such as Data Flow and Business Logic. In what ways do you think it has improved? Charles first got into programming it was Rails. JavaScript sprinkles Ember into Angular Why does this feel much harder – because we are solving much more complicated issues. Look at the tools we have today. Trello How did you get into Angular 14? Dart What contributions do you feel that you have made on the Angular team? Angular Dart In writing Angular apps, Charles is curious, how is it different writing the framework vs. an app within the framework? What made you and Jeff leave Google and go start Narwhal Technologies (nrwl.io)? I felt like I could provide more value. What things have Narwhal been contributing to the community? What are you working on now? NX Personal life Wedding in August and buying a home for Victor. Links: FreshBooks Past “My Angular Story” Episodes Data Flow Business Logic JavaScript Ember Trello Dart Narwhal Technologies NX Rails Victor Savkin’s Angular Victor Savkin’s Medium Victor Savkin’s Twitter Victor Savkin’s LinkedIn Victor Savkin’s GitHub Victor Savkin’s Lean Pub Victor Savkin’s Nrwl Blog Victor Savkin’s Book: Angular Router Victor Savkin’s & Jeff Cross’ Book: Essential Angular Angular Digital Ocean Cache Fly Sponsor: Digital Ocean Picks: Charles Audio Books: “The Big Leap” by Gay Hendricks “The Whole-Brain Child” by Daniel J. Siegel & Tina Payne Bryson Take a minute to be human through life’s different experiences. Victor Self-Help Books They Daily Stoic by Ryan Holiday & Stephen Hanselman Go see your doctor first before you buy equipment! Logitech Wireless Trackball Vertical Mouse

Panel: Charles Max Wood David Richards Special Guests: Aaron Sumner In this episode of Ruby Rogues, the panel discusses removing business logic from Rails controllers with Aaron Sumner. Aaron is a long time Ruby developer, using mostly Rails, writes a blog called Everyday Rails, and most people know him from his book, Everyday Rails Testing with RSpec: A practical approach to test-driven development. They discuss service objects, the pros and cons of using them, and they emphasize not trying to change something all at once, but gradually. In particular, we dive pretty deep on: Aaron intro How to test code without controller tests? The cons to controller tests Soft deprecation If you’re not writing controller tests, what are you writing? Get the code out of the controllers and test it in more isolation Service objects Problem with a controller having a lot of business logic in it Rails Cons of service objects Using a service object inside of a controller Pros of service objects Getting smaller can happen step-wise Re-architecting should happen gradually not all at once When you write a service object, there is a flow to it How writing his book impacted his views Start small And much, much more! Links: Everyday Rails Everyday Rails Testing with RSpec: A practical approach to test-driven development Ruby on Rails @EverydayRails Everyday Rails GitHub Aaron@everydayrails.com Picks: Charles The 12 Week Year by Brian P. Moran and Michael Lennington RubyHACK Conference David Ready Player One by Ernest Cline Aaron No code Deleting code 30 for 30 Podcast

Panel: Charles Max Wood David Richards Special Guests: Aaron Sumner In this episode of Ruby Rogues, the panel discusses removing business logic from Rails controllers with Aaron Sumner. Aaron is a long time Ruby developer, using mostly Rails, writes a blog called Everyday Rails, and most people know him from his book, Everyday Rails Testing with RSpec: A practical approach to test-driven development. They discuss service objects, the pros and cons of using them, and they emphasize not trying to change something all at once, but gradually. In particular, we dive pretty deep on: Aaron intro How to test code without controller tests? The cons to controller tests Soft deprecation If you’re not writing controller tests, what are you writing? Get the code out of the controllers and test it in more isolation Service objects Problem with a controller having a lot of business logic in it Rails Cons of service objects Using a service object inside of a controller Pros of service objects Getting smaller can happen step-wise Re-architecting should happen gradually not all at once When you write a service object, there is a flow to it How writing his book impacted his views Start small And much, much more! Links: Everyday Rails Everyday Rails Testing with RSpec: A practical approach to test-driven development Ruby on Rails @EverydayRails Everyday Rails GitHub Aaron@everydayrails.com Picks: Charles The 12 Week Year by Brian P. Moran and Michael Lennington RubyHACK Conference David Ready Player One by Ernest Cline Aaron No code Deleting code 30 for 30 Podcast

Panel: Charles Max Wood David Richards Special Guests: Aaron Sumner In this episode of Ruby Rogues, the panel discusses removing business logic from Rails controllers with Aaron Sumner. Aaron is a long time Ruby developer, using mostly Rails, writes a blog called Everyday Rails, and most people know him from his book, Everyday Rails Testing with RSpec: A practical approach to test-driven development. They discuss service objects, the pros and cons of using them, and they emphasize not trying to change something all at once, but gradually. In particular, we dive pretty deep on: Aaron intro How to test code without controller tests? The cons to controller tests Soft deprecation If you’re not writing controller tests, what are you writing? Get the code out of the controllers and test it in more isolation Service objects Problem with a controller having a lot of business logic in it Rails Cons of service objects Using a service object inside of a controller Pros of service objects Getting smaller can happen step-wise Re-architecting should happen gradually not all at once When you write a service object, there is a flow to it How writing his book impacted his views Start small And much, much more! Links: Everyday Rails Everyday Rails Testing with RSpec: A practical approach to test-driven development Ruby on Rails @EverydayRails Everyday Rails GitHub Aaron@everydayrails.com Picks: Charles The 12 Week Year by Brian P. Moran and Michael Lennington RubyHACK Conference David Ready Player One by Ernest Cline Aaron No code Deleting code 30 for 30 Podcast

Rajeev Bhargava, CEO of Decision- Zone Inc based in Canada participates in Risk Roundup to discuss Business Logic Monitoring and Automation. Business Logic Monitoring and Automation Today, nations: its government, industries, organizations, and academia (NGIOA) are vulnerable to security challenges from cyberspace, geospace, and space (CGS). While entities across NGIOA do invest in information security […] The post Business Logic Monitoring and Automation appeared first on Risk Group.

00:18 - Welcome to "Dread Coder Roberts!" ...we mean, "Greater Than Code!" 01:30 - Noel Rappin's Introduction (Spoiler alert! He's got a Ph.D.!) 04:31 - Take My Money: Accepting Payments on the Web (https://pragprog.com/book/nrwebpay/take-my-money) 08:30 - Code Paths and Tracking Failures 10:59 - What is the quickest path to accepting payments online? Are there drawbacks to getting something up fast? (~ David Bock) 13:17 - Testing Payment Issues 14:29 - Design Patterns and Missing Layers Between Controllers and Models 17:49 - Business Logic and Database Constraints (aka, "Why did he write the book?!") 20:14 - I Was A Developer Running HR For A Year: AMA by Noel Rappin at Madison+ Ruby: Epilogue 2016 (https://www.youtube.com/watch?v=nOy1rWdL-HE) 24:02 - Practices, Problems, and Potential Solutions for Human Resources 29:34 - Team Diversity and Inclusion *Listener Call to Action: * Team retrospectives and demonstrating that it is safe to fail. Noel: The impact of our applications and how they work in real-world context. David: How can we help introverts feel comfortable? Quiet: The Power of Introverts in a World That Can't Stop Talking by Susan Cain (https://www.amazon.com/Quiet-Power-Introverts-World-Talking/dp/0307352153) Coraline: Inspiration to look at teams, meetings, and discussions and see if they are leaving room for everyone to participate equally. Jessica: We started out talking about accepting payments on the web and we found something greater than code. Jay: If we want to try to work with the hard stuff, the hardest problems to solve are the things that are greater than code. Sam: Being, as Jay said, "not just allies, but accomplices." This episode was brought to you by @therubyrep (https://twitter.com/therubyrep) of DevReps, LLC (http://www.devreps.com/). To pledge your support and to join our awesome Slack community, visit patreon.com/greaterthancode (https://www.patreon.com/greaterthancode). To make a one-time donation so that we can continue to bring you more content and transcripts like this, please do so at paypal.me/devreps (https://www.paypal.me/devreps). You will also get an invitation to our Slack community this way as well. Amazon links may be affiliate links, which means you’re supporting the show when you purchase our recommendations. Thanks! Special Guest: Noel Rappin.

In the 28th session of Chandoo.org podcast, let's figure out how to express business rules & logic to Excel. What is in this session? What good are spreadsheets if they can't solve business problems? But we all struggle when it comes to modeling real world business conditions in Excel. For example, if you have below business rule to decide how much discount to offer a customer, If the customer bought 3 or more times previously and offer 15% discount If the customer bought 1 or 2 times previously AND customer's age is >40, offer 10% discount If the customer visited our New York store between 6PM-9PM offer 5% discount Else no discount How would you go about modeling these in Excel? That is our topic for this podcast session. In this podcast, you will learn The challenge of modeling business logic & rules in Excel My struggles with such formulas in early days 4 features of Excel that can help you with this. Example business rules & how to write formulas The post CP028: How to tell business logic & rules to Excel? appeared first on Chandoo.org - Learn Excel, Power BI & Charting Online.