מהנדס בחר שם מקורי לחברה החדשה שהקים. זה לא נגמר טוב

מהנדס תוכנה בריטי בחר שם שכלל בתוכו הטרלה קטנה, עד שהוביל לגילוי פרצה באתר רשות ממשלתית שלא התהלבה מהקונספט.

תמונה: Pexels

לא קל לבחור שם לסטארטאפים. יש את אלו שרוצים להיות חדשניים ולהמציא איזה הלחם מילים מהתחום שבו הם עוסקים, או משמות היזמים בניסיון להימנע משמות שחוקים. מהנדס תוכנה בריטי החליט להיות אפילו יצירתי יותר בשם החברה שחבר, עד שזה התנקם בו.

הכירו את “החברה שהשם שלה הכיל תגיות HTML”

המהנדס הבריטי החליט לפתוח חברת ייעוץ חדשה ולרשום אותה תחת השם “”><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD” – שם שאוטומטית הוביל לדלתו של אותו מהנדס את רשם החברות הבריטי, שלא התלהב מהרעיון.

מרשם החברות (או Companies House כפי שנקרא בממלכה המאוחדת) פנו לאותו מהנדס, מכיוון ששם החברה שלו – כל עוד נכתב במלואו, עם הגרשיים והסוגריים המשולשים (או chevrons) – חושף את המשתמשים בו להטרלה קלה. במצב שבו אתרים לא הצליחו לקרוא כראוי את קוד ה-HTML, הם יכולים לזהות את שם החברה כ”ריק” (blank) – מה שבעצם היה מעלה ומריץ סקריפט של האתר XSS Hunter, המסייע למפתחים וחוקרי אבטחה למצוא באתרים פרצות המאפשרות מתקפות XSS.

הרצת הסקריפט על ידי המשתמשים, שלא ביודעין, הייתה מקפיצה אזהרה במקרה שבו האתר היה חשוף למתקפת XSS – אך כמובן לא מבצעת את המתקפה בפועל. עם זאת, רשם החברות הבריטי לא היה מרוצה מהשירות למען הציבור שהמהנדס הזה רצה ליצור עם שם החברה שלו והכריח אותו לשנות אותו בטענה הוא יכול להוות סיכון אבטחתי – כנראה כי ההטרלה שלו עבדה ופירצה התגלתה באתר רשם החברות.

כצפוי ממהנדס עם חוש הומור, אחרי שנדרש לשנות את השם הוא בחר ב”החברה ההיא שהשם שלה הכיל בעבר תגיות סקריפט HTML בע”מ” (THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD, הכל באותיות גדולות).

לדברי המהנדס שמאחורי החברה הוא בחר בשם המקורי של החברה כי הוא חשב שמדובר ב”שם משעשע” לעסק הייעוץ שהוא מקים. לדבריו, הוא לא ידע שרשם החברות הבריטי היה חשוף לפתיחת הסקריפט שהריץ במסגרת השם “המשעשע” שבחר לחברה שלו – מה שבפועל אומר שהיה חשוף למתקפת XSS.

“חברות עם שמות דומים בלי בעיה”

המהנדס בעל חוש ההומור שלא נחשף בשמו אמר כי “חברות בעלות שמות משעשעים דומים (הכוללים גרשיים וסוגריים משולשים, א.א) אושרו בעבר על ידי המשרד לשירותים דיגיטליים בבריטניה (שהוא המשרד שאמור לדאוג שכל שירותי הממשלה יעברו דיגיטציה, א.א.)”.

לדבריו, למשרד הממשלתי יש מוניטין חיובי בכל הקשור לאבטחת מידע, ולכן לא ציפה שהשם שלו יהווה מבחינתם בעיה או סיכון אבטחתי – מה שהוביל בסופו של דבר לשלילת שם החברה. “כשגיליתי שיש בעיות קלות עם השם, פניתי לרשם החברות ומרכז הסייבר הלאומי מיד, ולא חשפתי את הנושא מלבד בפני אותם גורמים רשמיים”, סיפר לגרדיאן הבריטי.

הוא אומר כי לא ציפה לכך שיגרם לבעיות אבטחה במשרדים הממשלתיים הללו בגלל שם החברה שבחר, במיוחד כשלדבריו השימוש בגרשיים ובסוגריים משולשים מותר ברישום שמות חברות. המהנדס טוען כי העובדה שהשימוש בסימנים הללו מותר העידה שבמשרד הממשלתי התכוננו מראש ברמת האבטחה. אז זהו -שלא.

ברשם החברות הבריטי הגיבו לסערת השם הנפסל ואמרו כי “חברה רשמה שם שכלל שימוש בתווים שיכלו להוות סיכון אבטחתי למספר מלקוחותינו, אם היה מתפרסם באתרים חיצוניים שלא אובטחו. פעלנו מיידית כדי למזער את הסיכון והוצאנו לפועל צעדים כדי למנוע מצבים מסוג זה בעתיד”.

והוא לא היחיד

מסתבר שהמהנדס בעל חוש ההומור הוא לא הראשון שהחליט לנסות להטריל עם בחירת שם החברה שלו, כשב-2016 בחר חוקר האבטחה סאם פיזי להקים חברה בשם “; DROP TABLE “COMPANIES”;– LTD”, בניסיון משעשע לרפרר לבדיחה בקומיקס Bobby Tables מבית XKCD. לכאורה נראה כאילו השם של החברה שבחר פיזי יכולה להוביל למתקפת הזרקת SQL, אך בפוסט שפרסם הסביר כיצד השם שבחר לא יכול היה להוביל בכלל להרצת המתקפה.

למרות שהשם שבחר לחברה שלו היה בדיחה, פיזי היה הראשון שהוביל לכך שרשם החברות הבריטי הוביל למחיקת השם שבחר לחברה שלו – למרות שאושר תחילה. השם הוסר מכל מאגרי המידע של הזרוע הממשלתית וכל המסמכים המתייחסים לחברה במאגרי המידע הממשלתיים מציינים את שמה כ”שם החברה יינתן לאחר הגשת בקשה”.

הורידו עכשיו את אפליקציית גיקטיים, ותישארו מעודכנים הורידו עכשיו את אפליקציית גיקטיים, ותישארו מעודכנים להורדת אפליקציית גיקטיים לאייפון ולאנדרואיד לחצו כא

בכלל, נראה שהגאונים שעובדים בהייטק מגלים לפעמים לא מעט יצירתיות בשמות שהם בוחרים. ולא, אנחנו לא מתכוונים לשם שבחר אילון מאסק לבן שלו, אלא לחוקר האבטחה שבחר בלוחית רישוי ששיגעה מערכות מיחשוב בארצות הברית.

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il

הגב

8 תגובות על "מהנדס בחר שם מקורי לחברה החדשה שהקים. זה לא נגמר טוב"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
לאמצחיק
Guest

בבקשה חדלו מכתיבת “המהנדס בעל חוש ההומור” ו/או “מהנדס עם חוש הומור” יותר מפעם אחת בכתבה, ולא יותר מאחת ל100 כתבות. תודה.

shay rapaport
Guest
עופר
Guest

God please have mercy on your inbox

shay rapaport
Guest

Little Bobby Tables

עופר
Guest

הם ציינו את זה בכתבה, משהו מיוחד שרצית לחדש?

Jejdehene
Guest

המהנדס בעל חוש ההומור לא ״הקים״ חברה ובחר לה שם.

הדבר שיחיד שהוא עשה זה לרשום חברה עם שם מיוחד כדי להראות את הפירצה.

איציק
Guest

מהכתבה הזאת אני מבין שהמהנדס בעל חוש ההומור, התכוון לרשום החברה שלו בשם של מהנדס בעל חוש ההומור, אך מאחר והשם התברר כבעייתי, אז המהנדס בעל חוש ההומור, היה חייב לשנות את השם למשהו אחר שלא מזכיר מהנדס בעל חוש הומור, וחבל כי לפי השם המקורי נראה שיש הומור למהנדס בעל חוש ההומור, וחברות מחפשות מהנדס בעל חוש הומור, אז פעם הבאה שהמהנדס בעל חוש ההומור יפתח חברה חדשה ויחפש לה שם של מהנדס בעל חוש הומור, עדיף שזה יהיה שם של מהנדס בעל חוש הומור, כי כמו שכבר נכתב כאן מדובר במהנדס בעל חוש הומור.

עוד איציק
Guest

אהבתי את חוש ההומור שלך

wpDiscuz

תגיות לכתבה: