🔵 عنوان مقاله
Fraudulent gambling network may actually be something more nefarious (6 minute read)

🟢 خلاصه مقاله:
یک شبکه قمار تقلبی که مدت‌ها فعالیت می‌کند، ممکن است چیز دیگری به جز یک سایت قمار ساده باشد. این عملیات اینترنتی گسترده‌، که هدف آن کاربران اندونزیایی است، بر اساس صدها هزار دامنه مالکی و هک شده ساخته شده است. علاوه بر آن، سایت‌های وردپرس و پی‌اچ‌پی مختل شده و برنامه‌های مخرب اندروید نیز در این عملیات نقش دارند.

هزینه بالا، ابعاد وسیع و تکنیک‌های پیشرفته مورد استفاده نشان می‌دهد که این عملیات احتمالا به نوعی گروه APT یا فریب‌پذیر نزدیک به دولت‌های خارجی، مشارکت دارد. این گروه از زیرساخت‌های قمار هم به عنوان منبع درآمد و هم به عنوان پوششی برای دسترسی مخفی به شبکه‌های دولت‌ها و صنایع غربی استفاده می‌کند.

این فعالیت‌ها نشان می‌دهد که این شبکه ممکن است بخشی از یک عملیات جاسوسی یا نفوذ سایبری پیشرفته باشد که هدف آن کسب اطلاعات حساس یا نفوذ به زیرساخت‌های مهم غرب است، نه فقط سرگرمی و پول‌درآوردن ساده.

#امنیت_سایبری #نفوذ_دولت #هک_پنهان #شبکه_مخرب

🟣لینک مقاله:
https://arstechnica.com/security/2025/12/fraudulent-gambling-network-may-be-a-nation-state-spying-operation/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🚀 به دنیای توسعه و تکنولوژی خوش اومدی!

اگر به موضوعات زیر علاقه‌مندی:

🔹 Golang
🔹 Linux & DevOps
🔹 Software Engineering
🔹 AI & Machine Learning
🔹 فرصت‌های شغلی ریموت (خارجی و داخلی)

ما برات یه مجموعه کانال‌های تخصصی ساختیم تا همیشه به‌روز، حرفه‌ای و الهام‌بخش بمونی!
📚 یادگیری، فرصت، شبکه‌سازی و پیشرفت، همش اینجاست...

📌 از این لینک همه چنل‌هامونو یه‌جا ببین و جوین شو:

👉 https://news.1rj.ru/str/addlist/AJ7rh2IzIh02NTI0

🔵 عنوان مقاله
Update Firefox to Patch CVE-2025-13016 Vulnerability Affecting 180 Million Users (2 minute read)

🟢 خلاصه مقاله:
مرورگر Firefox به‌روز رسانی شد تا آسیب‌پذیری CVE-2025-13016 را برطرف کند. این آسیب‌پذیری بحرانی در موتور WebAssembly (Wasm) این مرورگر، بیش از ۱۸۰ میلیون کاربر را در معرض خطر اجرای کد از راه دور قرار داده بود و مدت شش ماه فعال بود. مشکل اصلی در یک نشت بافر در داخل مکانیزم جمع‌آوری زباله (Garbage Collection) قرار داشت که ناشی از محاسبات نادرست در اشاره‌گرهای حافظه بود. این آسیب‌پذیری امکان کنترل کامل روی برنامه را برای مهاجمان فراهم می‌کرد، به طوری که می‌توانستند با استفاده از صفحات وب مخرب، جریان اجرای برنامه را ربایش دهند.

پیشگیری از چنین حوادثی نیازمند به‌روزرسانی سریع مرورگر است. متخصصان امنیتی باید اطمینان حاصل کنند که تمامی نسخه‌های Firefox نصب شده در سیستم‌های خود به نسخه ۱۴۵ یا ESR ۱۴۰.۵ به‌روز شده باشند. این کار به منظور رفع سریع آسیب‌پذیری و جلوگیری از بهره‌برداری‌های احتمالی بسیار حیاتی است؛ زیرا هر روز تأخیر می‌تواند منجر به نفوذهای مخرب و به سرقت رفتن داده‌های حساس گردد.

#امنیت_مرورگر #به‌روزرسانی_فایرفاکس #حفاظت_در_دقایق_پایان #آسیب‌پذیری_امنیتی

🟣لینک مقاله:
https://hackread.com/update-firefox-patch-cve-2025-13016-vulnerability/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

بررسی وب اسمبلی نسخه ۳

چند وقت پیش نسخه ۳ ام ماشین مجازی وب اسمبلی منتشر شد و تو این ویدیو با هم با جزئیات آپیدت اخیرشون بیشتر آشنا میشیم. فضای آدرس دهی ۶۴ بیتی و پشتیبانی زیرساختی از GC و Exception Handling بخشی از مهمترین ویژگی های جدید وب اسمبلی بوده تا زبان های سطح بالاتر مثل Java، Dart و حتی OCaml با قدرت بیشتری بتونن روی این ماشین مجازی ظاهر بشن.


لینک حمایت
https://donito.me/devdrug

لینک یوتیوب 👇
https://lnkd.in/eTZatAuM

🔵 عنوان مقاله
Quality is a System

🟢 خلاصه مقاله:
کیفیت یک سیستم است. آلن پیج در بیان دیدگاه خود بسیار موثر است؛ او معتقد است که کیفیت واقعی تنها نتیجه توجه و مراقبت است، نه صرفاً یک ویژگی تصادفی. برای دستیابی به کیفیت برتر، باید سیستمی برقرار کنیم که کارایی، شفافیت و جریان کار را ترویج دهد و امکان بازخورد موثر را فراهم کند. این سیستم، موجب بهبود مداوم و تضمین رضایت مشتریان می‌شود.

این مفهوم تأکید می‌کند که کیفیت نه تنها نتیجه تلاش فردی، بلکه نتیجه ساختارهای منسجم و فرآیندهای صحیح است. با ایجاد سیستم‌هایی که نگرانی‌های کیفیت را به صورت منظم مدیریت می‌کنند، می‌توان اطمینان حاصل کرد که محصولات و خدمات همیشه در بهترین حالت ارائه می‌شوند و هر گونه نقص به سرعت شناسایی و رفع می‌گردد.

در نتیجه، کیفیت یک هدف مشترک است که نیازمند توجه دائمی و ساختارهای مناسب است. تنها با حفظ سیستم‌های کارا و تمرکز بر بهبود مستمر است که می‌توانیم تضمین کنیم که محصولات و خدمات ما همواره در بالاترین استانداردها قرار دارند و رضایت مشتریان حفظ می‌شود.

#کیفیت #سیستم_مدیریت #بازخورد #بهبود مستمر

🟣لینک مقاله:
https://cur.at/W1xxGuK?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🚀 کد تمیز از AI بدون هزینه اضافه!

♥️این پرامت برای کاهش هزینه مصرف توکن و دریافت کد خالص و کاربردی طراحی شده است.

💸دیگه وقتی از Claude یا ChatGPT یا هر هوش مصنوعی دیگری برات کد تولید میکنه
به صورت پیش فرض به ازای هر تغییری در کد با README، فایل تست، و هزار تا فایل دیگه که باعث افزایش هزینه مصرفی توکن میشه دست و پنجه نرم کنی

⚡️ با این پرامپت دقیقاً چی میگیری؟
✅ فقط کد اصلی و کاربردی
✅ بدون فایل‌های اضافی
✅ صرفه‌جویی در مصرف توکن

❌ چی نمیگیری؟
•فایل های README و documentation
• تست‌ها و mock data
• فایل‌های Docker و CI/CD
• کامنت‌های طولانی
• کدهای boilerplate غیرضروری

🎯 برای چی مناسبه؟
• کدنویسی سریع و کارآمد
• کاهش هزینه API
• پروژه‌های شخصی و استارتاپی


⭐️ مناسب برای:
تمام مدل‌های AI

👇👇 github 👇👇
https://github.com/mrbardia72/minimal-code-ai


#AI #Coding #Prompt #Developer

🔵 عنوان مقاله
7 Habits of a Successful Software Tester (2025 Edition)

🟢 خلاصه مقاله:
در نسخه ۲۰۲۵، Ryan Craven با نگاهی نو، پستی که چند سال قبل درباره عادات یک تستر نرم‌افزار موفق نوشته بود را بازنگری و به‌روزرسانی کرد. او در این بروزرسانی، نقش و وظایف تسترها در دوران کنونی، با تأکید بر تاثیر هوش مصنوعی، را مورد توجه قرار داد. این مقاله شامل هفت عادت کلیدی است که می‌تواند تسترهای موفق را در مسیر پیشرفت و موفقیت یاری دهد.

در اینجا، تمرکز بر روی اهمیت آگاهی، مهارت‌های فنی و توسعه مستمر است تا تسترها بتوانند برابر با فناوری‌های جدید و چالش‌های فردا، آماده باشند. Craven بر اهمیت یادگیری مداوم، انعطاف‌پذیری در برابر فناوری‌های نوین و تمرکز بر جزئیات نیازهای کاربران تأکید می‌کند. او معتقد است که با رعایت این عادات، تسترها می‌توانند نقش حیاتی در تضمین کیفیت محصولات نرم‌افزاری ایفا کنند و در بازار پر رقابت امروز، ارزشمند باقی بمانند.

در کل، این راهنمای جدید، نه تنها بر مهارت‌های فنی، بلکه بر ذهنیت و رویکردهای نوآورانه تمرکز دارد و به تسترها کمک می‌کند تا با اعتماد به نفس و دانش روز، در فضای پرچالش فناوری پیش بروند.

#تست_نرم‌افزار #کیفیت_محتوا #هوش_مصنوعی #توسعه_وظیفه

🟣لینک مقاله:
https://cur.at/POigGV9?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
What's New for Testing in Spring Boot 4 and Spring Framework 7

🟢 خلاصه مقاله:
در نسخه‌های جدید فریم‌ورک‌های به‌روز، ابزارهای تست تغییرات مهمی داشته‌اند که توسعه‌دهندگان باید از آن‌ها مطلع شوند. اگر شما در زمینه خودکارسازی تست برنامه‌های Spring Boot فعالیت می‌کنید، حتماً به نتایج ارائه شده در نسخه‌های جدید توجه کنید. در این مقاله، فیلیپ ریکس درباره ویژگی‌های جدید و بهبودهای مهم در Spring Boot 4 و Spring Framework 7 صحبت می‌کند، که می‌تواند فرآیند تست را ساده‌تر و کارآمدتر کند.

نسخه‌های جدید این فریم‌ورک‌ها امکانات متنوعی برای تست‌های واحد و یکپارچه فراهم کرده‌اند؛ از جمله ابزارهای بهتر برای شبیه‌سازی سرویس‌ها و امکان تست سریع‌تر و دقیق‌تر برنامه‌ها.‌آموزش‌های جدید و بروزرسانی‌های بزرگی در راه است که باعث افزایش کیفیت و سرعت توسعه برنامه‌ها می‌شود. مهم است که توسعه‌دهندگان با این تغییرات آشنا شوند تا بتوانند هر چه بهتر از قابلیت‌های جدید بهره‌مند شوند و نرم‌افزارهای باکیفیت‌تری تولید کنند.

#SpringBoot #SpringFramework #تست_نرم‌افزار #نسخهجدید

🟣لینک مقاله:
https://cur.at/E9HhwWM?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
How I automated the annoying part of my job with Goose and Playwright MCP

🟢 خلاصه مقاله:
در مقاله‌ای با عنوان «چگونه بخش خسته‌کننده کارم را با Goose و Playwright MCP خودکار کردم»، فیلیپ هریچ یک ایده جذاب و عملی برای بهبود فرآیندهای روزمره در کار تست نرم‌افزار ارائه می‌دهد. او توضیح می‌دهد که چگونه با بهره‌گیری از ابزارهای قدرتمند مانند Playwright MCP و Goose، می‌توان برخی وظایف تکراری و زمان‌بر را خودکار کرد و در نتیجه بهره‌وری تیم تست را افزایش داد.

فیلیپ هریچ در این مقاله به جزئیات نحوه پیاده‌سازی این راه‌حل‌ها می‌پردازد و نشان می‌دهد که چگونه این ابزارها می‌توانند کارهای یکنواخت و خسته‌کننده را ساده‌تر و سریع‌تر انجام دهند. او بر اهمیت کاهش خطای انسانی و زمان‌گیری موثر تأکید می‌کند و بیان می‌کند که استفاده از این فناوری‌ها جایگزین مناسبی برای انجام دستی وظایف روزانه است.

این روش‌های خودکارسازی نه تنها فرآیندهای آزمایش را بهبود می‌بخشد، بلکه امکان تمرکز بیشتر بر روی بهبود کیفیت و توسعه ویژگی‌های جدید را فراهم می‌آورد. بابه‌کارگیری ادواتی مانند Goose و Playwright MCP، تیم‌های تست می‌توانند سخت‌ترین کارهای تکراری را به راحتی مدیریت کنند و بهره‌وری کلی فعالیت‌های خود را بالاتر ببرند.

#خودکارسازی_تست #توسعه_نرم‌افزار #Playwright #Goose

🟣لینک مقاله:
https://cur.at/kDGW1n4?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

ترجمه فارسی | The Pragmatic Programmer

این کتاب فقط درباره کدنویسی نیست؛ درباره‌ی طرز فکر یک برنامه‌نویس حرفه‌ایه.
یاد می‌ده چطور مسئولیت کارت رو بپذیری، تصمیم‌های بهتر بگیری و کدی بنویسی که قابل اعتماد و قابل نگهداری باشه.

بعد از سال‌ها هنوز هم یکی از مهم‌ترین منابع رشد حرفه‌ای برنامه‌نویس‌هاست؛
از جونیور تا سنیور.

https://github.com/hheydarian/the-pragmatic-programmer-parsion

با توجه با گزارش‌های دریافتی، استفاده از آسیب‌پذیری تازه کشف شده در React به شکل گسترده در کشور فعال شده است، به کلیه کسب‌وکارهایی که از React استفاده می‌کنند توصیه اکید می‌شود که پچ‌های این آسیب‌پذیری را اعمال کنند.

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

چرا آسیب‌پذیری اخیر ری‌اکت فقط توی معماری RSC دیده شد و نه در SSR؟

تو روزهای اخیر یک آسیب‌پذیری جدی توی ری‌اکت مطرح شد که به کامپوننت‌های سمت سرور مربوط بود.
این اسیب پذیری لزوما مربوط به ورژن نبود. چون به فرض اگر نکست بالای ۱۴ بودیم اما کماکان page router استفاده میکردیم هیچ خطری وجود نداشت
خب حالا app router با page router چه تفاوتی دارن؟
جواب این سؤال توی تفاوت عمیق معماری SSR و RSC قرار داره.

معماری SSR دقیقاً چه کاری انجام میده؟

تو این مدل، ری‌اکت روی سرور اجرا میشه و خروجی نهایی به شکل HTML کامل ساخته میشه و برای مرورگر فرستاده میشه.
بعد از اون، کد جاوااسکریپت توی مرورگر دانلود میشه و فرآیند هیدریشن انجام میشه.

نکته‌ی مهم اینجاست که HTML فقط یک خروجی نهایی و ایستاست.
این خروجی نه ساختار کامپوننت‌ها رو نگه می‌داره، نه منطق اجرا رو منتقل می‌کنه و نه مرزی بین کد سمت سرور و کلاینت مشخص می‌کنه.

به همین خاطر، سطح حمله توی این معماری معمولاً محدود میشه به چیزهایی مثل XSS یا template injection و خود ری‌اکت توی سمت کلاینت نقش فعالی توی تفسیر داده‌های ورودی نداره.

معماری RSC چه چیزی رو عوض کرد؟

توی معماری RSC، کامپوننت‌ها واقعاً روی سرور اجرا میشن و نتیجه‌ی اجرای اون‌ها به‌جای HTML، به شکل ساختار درختی ری‌اکت به سمت کلاینت میره.
این انتقال با استفاده از یک پروتکل اختصاصی به اسم React Flight انجام میشه.

به زبان ساده‌تر، مرورگر دیگه فقط یک خروجی آماده تحویل نمی‌گیره، بلکه اطلاعات لازم برای ساخت رابط کاربری رو دریافت می‌کنه.

حالا Flight شامل چه نوع اطلاعاتی میشه؟

توی این پروتکل، داده‌هایی جابه‌جا میشن که شامل نوع کامپوننت‌ها، پراپ‌ها، مرز بین کد سمت سرور و کلاینت و همین‌طور ارجاع به ماژول‌هایی هستن که باید توی کلاینت بارگذاری بشن.
توی سمت دریافت‌کننده، ری‌اکت این داده‌ها رو parse می‌کنه، ارجاع‌ها رو resolve می‌کنه و اگه لازم باشه بعضی بخش‌ها رو به شکل lazy لود می‌کنه.

️ چرا این تغییر سطح حمله‌ی جدید درست می‌کنه؟

توی مهندسی نرم‌افزار یک قانون ساده وجود داره:
هرچی داده به لایه‌ی اجرا نزدیک‌تر باشه، ریسک امنیتی هم بالاتر میره.

اینجا داده‌ای که از بیرون وارد سیستم میشه، مستقیم وارد مسیری شامل parse، resolve و تصمیم‌گیری اجرایی میشه.
اگه توی هرکدوم از این مرحله‌ها اعتبارسنجی یا محدودسازی درست انجام نشه، یک سطح حمله‌ی جدید شکل می‌گیره.

چرا چنین ریسکی توی SSR وجود نداشت؟

توی معماری SSR، چیزی که به مرورگر فرستاده میشه صرفاً HTMLه.
این فرمت نه زبان اجرایی حساب میشه، نه ارجاع ماژولی داره و نه منطق پویا رو منتقل می‌کنه.

به همین خاطر، پردازشش ‌ توی مرورگرها بهینه و ایزوله شده و سطح تعاملش با منطق اجرایی برنامه خیلی محدوده.

در مقابل، Flight یک پروتکل جدیده، پیچیده‌ست و خیلی به لایه‌ی اجرای برنامه نزدیکه و همین نزدیکی، دلیل اصلی بالا رفتن ریسک امنیتی محسوب میشه.

جمع‌بندی نهایی
این اتفاق بیشتر یادآوری می‌کنه که هر معماری‌ای که داده رو به اجرای مستقیم نزدیک‌تر می‌کنه، ناچار هزینه‌ی امنیتی بیشتری هم می‌ده.

ری‌اکت برای رسیدن به عملکرد بهتر، کم کردن حجم جاوااسکریپت و حرکت به سمت معماری server-first مجبور شد Flight رو معرفی کنه و همین انتخاب، دلیل تفاوت این آسیب‌پذیری با معماری SSR شد.

@ | <Ali Noori/>

🔵 عنوان مقاله
SentryPeer (GitHub Repo)

🟢 خلاصه مقاله:
SentryPeer یک ابزار تشخیص کلاهبرداری است که با رصد و پیگیری تماس‌های مشکوک، فعالیت‌های مخرب را شناسایی می‌کند. این ابزار با ذخیره کردن آدرس‌های آی‌پی و شماره‌هایی که افراد مخرب قصد تماس با آن‌ها را دارند، به تشخیص رفتارهای مشکوک کمک می‌کند. هدف اصلی SentryPeer ارائه راهکاری کارآمد برای كشف فعالیت‌های غیرقانونی و جلوگیری از کلاهبرداری‌هایی است که ممکن است در سیستم‌های تماس یا پیامک رخ دهد.

این ابزار در واقع با ثبت و نگهداری داده‌های تماس‌های مشکوک، به مدیران شبکه و سرویس‌ها امکان می‌دهد تا جلوی فعالیت‌های مخرب را بگیرند و اطمینان حاصل کنند که از اقدامات احتمالی تقلب جلوگیری می‌شود. SentryPeer یک سیستم هوشمند است که با تحلیل الگوهای تماس، می‌تواند هشدارهای فوری در مورد فعالیت‌های غیرمعمول صادر کند و از نفوذ بی‌درنگ جلوگیری نماید.

#کلاهبرداری #امنیت_شبکه #تشخیص_تقلب #امنیت_سایبری

🟣لینک مقاله:
https://github.com/SentryPeer/SentryPeer?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
No one knows what AI agents will look like next year. How should you approach security today? (Sponsor)

🟢 خلاصه مقاله:
هیچ‌کس نمی‌داند هوش مصنوعی در سال آینده چگونه خواهد شد. بنابراین، چگونه باید امنیت خود را در حال حاضر تامین کنید؟ این سوالی است که بسیاری از متخصصین امنیت در دنیای فناوری امروز به آن فکر می‌کنند. «رهبران فکری» در حوزه فناوری اعتماد دارند که هویت‌های غیرانسانی در آینده نقش مهمی ایفا خواهند کرد، اما آیا آن‌ها می‌توانند پیش‌بینی کنند وضعیت این حوزه در ۱۲ ماه آینده چگونه خواهد بود؟ پاسخ قطعی و مطمئنی برای این سوال ندارند، زیرا آینده فناوری بسیار غیرقابل پیش‌بینی است و تغییرات آن به سرعت رخ می‌دهد. بنابراین، بهترین راهکار برای مقابله با ریسک‌هایی که آینده آن‌ها برای ما نامشخص است چیست؟ بهترین کار آغاز کردن با منابع و ابزارهای مطمئن است؛ همانطور که در این صفحه از شرکت Okta مشاهده می‌شود، کارشناسانی از AWS، Okta و Guidewire دیدگاه‌های خود را در مورد این مرز جدید از فناوری ارائه می‌دهند. این ویدئو فرصت عالی است تا چندین نظر مختلف درباره امنیت در عصر هوش مصنوعی آینده را بشنوید و راهکارهای مؤثر برای محافظت هر چه بهتر از سامانه‌ها و داده‌هایتان بیاموزید.

در دنیای متغیر فناوری، آنچه مهم است داشتن استراتژی‌های انعطاف‌پذیر و به‌روز است که بتواند در مقابل تهدیدهای نامشخص مقاوم باشد. توجه به نظرات و تجربیات این کارشناسان می‌تواند راهنمای خوبی برای ارتقاء امنیت کسب‌وکار شما در مواجهه با فناوری‌های نوین باشد.

#امنیت_فناوری #هوش_مصنوعی #امنیت_سایبری #توسعه_فناوری

🟣لینک مقاله:
https://www.okta.com/webinars/hub/beyond-oktane-how-to-manage-nhi-with-okta-ispm/?utm_source=newsletter&utm_medium=thirdparty&utm_campaign=2025-10%7CWBN-OND%7CBeyondOktane-ISPM-Demo-Part2-VID&utm_id=aNKKZ0000004CAG4A2

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Security flaws in Freedom Chat app exposed users' phone numbers and PINs (3 minute read)

🟢 خلاصه مقاله:
در تازه‌ترین گزارش‌ها، مشکلات امنیتی جدی در برنامه گفت‌وگوی فریدام چت کشف شده است که حفره‌هایی را در حفاظت از حریم خصوصی کاربران ایجاد کرده است. این برنامه، دو نقص بزرگ داشت که یکی از آنها امکان شناسایی تعداد زیادی از شماره تلفن‌های کاربران را فراهم می‌کرد؛ به گونه‌ای که هکرها می‌توانستند با حدس‌زنی گسترده، تقریباً نزدیک به دو هزار شماره تلفن را به‌درستی در سرورهای برنامه فهرست‌بندی کنند. این روش، امنیت کاربران را به شدت تحت‌تأثیر قرار می‌داد و می‌توانست منجر به سوء استفاده‌های مختلف شود.

دومین آسیب‌پذیری نهانی‌تر، لو رفتن کدهای PIN کاربران بود، که از طریق پاسخ‌های سرور به صورت پس‌زمینه و در کانال‌های عمومی پیش‌فرض، امکان دیدن این کدها برای هر فرد در آن گروه‌های عمومی را فراهم می‌کرد. این مسئله باعث نگرانی‌های زیادی درباره حفظ حریم خصوصی و امنیت حساب‌های کاربری شد. پس از کشف این مشکلات، تیم توسعه‌دهنده فریدام چت اقدام به بازنشانی تمامی کدهای PIN کرد، محدودیت‌های سرعت ارسال درخواست‌ها را افزایش داد و شماره‌های تلفن آسیب‌پذیر را حذف نمود.

همچنین، نسخه به‌روزرسانی شده برنامه، با اصلاح سریع این نقاط ضعف روانه بازار شد تا امنیت کاربران بهبود یابد. لازم به ذکر است که این مشکلات، دومین بار است که بنیان‌گذار برنامه، تنر هاس، در توسعه یکی از اپ‌های پیام‌رسان او، با مسائل امنیتی جدی مواجه می‌شود. این موضوع نشان‌دهنده اهمیت رعایت نکات امنیتی در طراحی و نگهداری برنامه‌های پیام‌رسان است تا حریم خصوصی کاربران حفظ و سوء استفاده‌ها کاهش یابد.

#امنیت_گفتگو #حریم_خصوصی #فریدام_چت #مدیریت_امنیت

🟣لینک مقاله:
https://techcrunch.com/2025/12/11/security-flaws-in-freedom-chat-app-exposed-users-phone-numbers-and-pins/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
AWS Lambda Managed Instances: A Security Overview (5 minute read)

🟢 خلاصه مقاله:
در همایش re:Invent 2025، شرکت آمازون وب سرویس (AWS) اعلام کرد که قابلیت جدیدی به نام "نمونه‌های مدیریتی لامبدا" (Lambda Managed Instances) عرضه کرده است. این قابلیت به توسعه‌دهندگان اجازه می‌دهد تا توابع لامبدا بر روی نمونه‌های EC2 که توسط خود AWS مدیریت می‌شوند، اجرا شوند. این تغییر، یک گزینه هیجان‌انگیز برای بهبود امنیت و کنترل در محیط‌های سرورless است، چرا که بر خلاف نمونه‌های مدیریتی دیگر، کاربران قادر نیستند نقش نمونه (Instance Role) به این نمونه‌ها اختصاص دهند. این محدودیت، سطح امنیت و کنترل بیشتری را برای کاربران فراهم می‌کند، زیرا دسترسی مستقیم به این نمونه‌ها محدود شده است.

نکته جالب دیگر این است که در حالی‌که نمونه‌های مدیریت شده در سرویس EKS به کاربران اجازه نمی‌دهند تا به صورت مستقیم از ابزارهایی مانند SSM یا EC2 Instance Connect برای دسترسی به نمونه‌ها استفاده کنند، نمونه‌های لامبدا مدیریت شده این محدودیت را ندارند. این طراحی، به منظور کاهش ریسک‌های امنیتی و جلوگیری از دستکاری غیرمجاز است و در عین حال، امکان اجرای توابع لامبدا در محیط‌های جداگانه و کنترل‌شده را فراهم می‌کند. نمونه‌های مذکور از توزیع لینوکس مخصوص کانتینرهای AWS به نام Bottlerocket OS بهره می‌برند، که برای امنیت بالا و کارایی بهینه طراحی شده است.

این نمونه‌ها توابع لامبدا را به صورت کانتینرهای containerd اجرا می‌کنند، که این امر امکان مدیریت بهتر و بهبود امنیت را فراهم می‌آورد. به طور کلی، این توسعه جدید نشان دهنده تعهد AWS به افزایش سطح امنیت و انعطاف‌پذیری در سرویس‌های سرورلس است، و فرصت جدیدی برای توسعه‌دهندگان و مدیران اکانت فراهم می‌کند تا زیرساخت‌های خود را امن‌تر و مقیاس‌پذیرتر کنند.

#آمازون_وب_سرویس #AWS #خدمات_مبتنی_بر_کلود #امنیت

🟣لینک مقاله:
https://www.offensai.com/blog/aws-lambda-managed-instances-security-overview?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
How I Ran Cypress Page Objects Inside Playwright Without Rewriting a Single Line

🟢 خلاصه مقاله:
در دنیای توسعه وب، یکی از چالش‌های اصلی، انتقال پروژه‌ها و کدهای تست از یک ابزار به ابزار دیگر است. در حالت ایده‌آل، این فرآیند باید بدون صرف وقت و هزینه زیاد انجام شود تا تیم‌ها بتوانند به سرعت و بدون مشکلاتِ فنی اضافی، امکانات جدید را آزمایش کنند. در این زمینه، نویسنده و توسعه‌دهنده Aneeshia Sasidharan یک روش غیرمعمول و کارآمد برای استفاده مجدد از اشیاء صفحه‌ی Cypress در محیط Playwright ارائه کرده است، بدون اینکه نیاز به بازنویسی یک خط کد باشد.

در این مقاله، او روش‌های نوآورانه‌ای را برای ادغام دو فریمورک محبوب تست وب، به اشتراک گذاشته است. این روش کمک می‌کند تا تیم‌ها بتوانند با استفاده از ساختارهای موجود، فرآیند انتقال را سریع‌تر و کم‌هزینه‌تر انجام دهند، در حالی که کارایی و دقت تست‌ها حفظ می‌شود. از آنجایی که این استراتژی نیازمند تغییرات کم و بدون نیاز به بازنویسی کامل است، کاربرد آن برای پروژه‌های بزرگ و تیم‌هایی که بر زمان و منابع خود مقید هستند، بسیار مفید است.

در نهایت، این رویکرد نشان می‌دهد که نوآوری در فرآیندهای توسعه و آزمایش‌های نرم‌افزاری، می‌تواند به سادگی و با کم‌ترین دردسر ممکن، عملی شود. با بهره‌گیری از این تکنیک، توسعه‌دهندگان و مهندسان تست می‌توانند بهره‌وری خود را افزایش دهند و فرآیندهای آزمایش را به شکل مؤثرتری پیاده‌سازی کنند، بدون اینکه از ساختارهای قدیمی خود بیرون بیایند یا زمان زیادی صرف اضافه کردن کدهای جدید کنند.

#تست_وب #Playwright #Cypress #توسعه_نرم‌افزار

🟣لینک مقاله:
https://cur.at/iKYs6OB?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

سایت System Design یکی از بهترین منابع برای فهم طراحی سیستم‌های بزرگیه که هر روز استفاده می‌کنیم.
خودم تقریبا هر روز یکی از مطالبش رو می‌خونم و واقعا دید خوبی برای پیاده‌سازی نرم‌افزار می‌ده؛
از WhatsApp و YouTube تا Instagram و Redis و ...

https://newsletter.systemdesign.one/

🥇 اگر عاشق تکنولوژی‌های روز دنیا هستی، اینجا هر روز تازه‌ترین و مهم‌ترین مطالب درباره:👇

🛰 فضا و اکتشافات فضایی و تکنولوژی های مرتبط فضای
⚡️ برق و انرژی‌های نو
🔌 دنیای الکترونیک و گجت‌های هوشمند و انواع پهپاد ها
🚗 خودروهای برقی و آینده حمل‌ونقل

همه چیز به‌صورت کوتاه، خلاصه و کاملاً قابل‌فهم👇👇

🥈 @futurepulse_persian

🔵 عنوان مقاله
Scaling DAA: Mastering the Action Layer with Composite Patterns

🟢 خلاصه مقاله:
در شماره گذشته، به موفقیت‌های قابل توجه معماری اقدام اعلانی در اتوماسیون آزمایش پرداختیم و مفاهیم کلیدی آن را بررسی کردیم. حال، در این بخش، تمرکز بر روی رشد و توسعه لایه عملیاتی (Action Layer) است که نقش مهمی در ساختار کلی این معماری دارد. با بهره‌گیری از الگوهای ترکیبی (Composite Patterns)، می‌توان درک بهتری از نحوه مدیریت، سازماندهی و مقیاس‌پذیری بخش عملیاتی کسب کرد. این روش‌ها به تیم‌های تست کمک می‌کنند تا عملیات پیچیده را ساده‌تر و قابل کنترل‌تر کنند، در نتیجه فرآیندهای تست را کارآمدتر و انعطاف‌پذیرتر می‌سازند.

با توسعه این مفاهیم، اهمیت استفاده از الگوهای ترکیبی در طراحی لایه‌های عملیاتی آشکار می‌شود. این الگوها امکان ترکیب اقدامات گوناگون در ساختارهای درختی را فراهم می‌کنند و نتیجه‌اش، پویایی و قابلیت برنامه‌ریزی بهتر در سیستم‌های اتوماسیون است. بنابرین، mastery در این حوزه، مهارتی است که می‌تواند سطح اتوماسیون آزمایش‌ها را به شکل قابل توجهی ارتقاء دهد.

در نهایت، مقاله به تشریح نحوه به کارگیری این الگوها در عمل پرداخته و نمونه‌هایی عملی از پیاده‌سازی آنها ارائه می‌دهد. با فهم عمیق‌تر این مفاهیم و تکنیک‌ها، توسعه‌دهندگان و تیم‌های تست می‌توانند سیستم‌های مقیاس‌پذیر و انعطاف‌پذیرتری بنا کنند که پاسخگوی نیازهای پیچیده و در حال تغییر هستند.

کلام پایانی، تاکید بر اهمیت mastery در طراحی لایه عملیاتی (Action Layer) با استفاده از الگوهای ترکیبی است، روشی که آینده‌نگر و مؤثر در ارتقاء کیفیت و عملکرد سیستم‌های اتوماسیون است.



#اتوماسیون_آزمایش #الگوهای_ترکیبی #معماری_اقدام #توسعه_پیشرفته

🟣لینک مقاله:
https://cur.at/whVcVwF?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Weaponizing the AWS CLI for Persistence (5 minute read)

🟢 خلاصه مقاله:
در این مقاله، به بررسی روش‌های بهره‌برداری مخفیانه از ابزار AWS CLI برای ایجاد جا پای ماندگار در سیستم هدف پرداخته شده است. یکی از قابلیت‌های AWS CLI، امکان تعریف نام‌های مستعار برای دستورات است که می‌تواند این دستورات را با اجرای فرمان‌های bash دلخواه جایگزین کند. اما محدودیتی که در گذشته وجود داشت، این بود که اگر هکر نام مستعاری برای نمونه برای دستور `aws sts` تعریف کرده و آن را مخرب می‌کرد، نمی‌توانست نسخه اصلی آن را اجرا کند، چون راهی برای بازگرداندن فرمان اوریجینال در دست نبود. در این مقاله، راه‌حلی مبتکرانه و در عین حال ساده ارائه شده است؛ یک خط کد که به صورت دینامیک فایل نام‌های مستعار را تغییر می‌دهد و نسخه اصلی فرمان را مجدداً فعال می‌کند، تا بتوان در هنگام نیاز از آن استفاده کرد و پس از اجرا، دوباره قابلیت مخرب را برمی‌گرداند. این تکنیک می‌تواند برای افرادی که قصد سوء استفاده دارند، ابزار موثری باشد، زیرا به آن‌ها اجازه می‌دهد پس از حذف محدودیت‌ها، به راحتی ادامه فعالیت‌های مخرب خود را داشته باشند.

در نتیجه، فهم صحیح و آگاهی از این روش‌ها اهمیت زیادی دارد، چرا که می‌تواند راه‌های پیشگیری و مقابله با حملات سایبری در محیط‌های ابری و به‌خصوص در زیرساخت‌های مبتنی بر AWS را تقویت کند. درک چگونگی عملکرد چنین تکنیک‌هایی، به مدیران امنیتی کمک می‌کند تا با تنظیمات مناسب، از بروز چنین آسیب‌پذیری‌هایی جلوگیری کرده و سیستم‌های خود را در برابر حملات مخفیانه محافظت نمایند.

#امنیت_ابری #AWS #حملات_سایبری #مدیریت_امنیت

🟣لینک مقاله:
https://slayer0x.github.io/awscli/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon