وضعیت شغلی شما تو حوزه برنامه نویسی کدوم مورد هستش؟
Final Results
16%
استخدام شدم
8%
فریلنسری کار می کنم
42%
هنوز اولشم و در حال یادگیری هستم
33%
دنبال کارم
👍8
این ریپو رو آپدیت کردم خواستید یه سر بزنید:
https://github.com/alireza-fa/django-jwt-auth
عملیات لاگین و رجیستر با شماره موبایل و ساخت توکن و اعتبار سنجی و ... تو جنگو
https://github.com/alireza-fa/django-jwt-auth
عملیات لاگین و رجیستر با شماره موبایل و ساخت توکن و اعتبار سنجی و ... تو جنگو
GitHub
GitHub - alireza-fa/django-jwt-auth: django-jwt-auth is an package for authenticating users with jwt in Django with very high security…
django-jwt-auth is an package for authenticating users with jwt in Django with very high security and practical features - alireza-fa/django-jwt-auth
👍13
This media is not supported in your browser
VIEW IN TELEGRAM
1. وقتی فرانتاند میگه این قابلیت رو نمیشه پیاده سازی کرد و امکانش نیست و باید سمت بکاند هندل بشه،
اما بعدا بکاند کارها میفهمن که میشه.
2. وقتی فرانت اند میگه این ui که زدی قابل پیاده سازی نیست تغییرش بده، اما بعدا طراح ها میفهمن که میشه.
@DjangoEx
#fun
@Syntax_fa
اما بعدا بکاند کارها میفهمن که میشه.
2. وقتی فرانت اند میگه این ui که زدی قابل پیاده سازی نیست تغییرش بده، اما بعدا طراح ها میفهمن که میشه.
@DjangoEx
#fun
@Syntax_fa
😁9💔8👌1
Django Security/Middleware/Brute force tip:
This #middleware intercepts login requests, tracking failed attempts by IP address using Django's caching framework. If the number of failed attempts from an IP exceeds a defined threshold, further attempts are temporarily blocked. Implementing this in your project can significantly reduce the risk of brute force attacks, safeguarding user accounts.
بابت ترجمه نشدن معزرت میخوام. پست خوبی بود دلم نیومد اشتراک نذارم.
ولی از اینکه میدلور نوشته و هر ریکوئستی بیاد چک میکنه path لاگین هست یا نه رو موافق نیستم. اما در کل برای ایده گرفتن خوبه.
#django
@Syntax_fa
This #middleware intercepts login requests, tracking failed attempts by IP address using Django's caching framework. If the number of failed attempts from an IP exceeds a defined threshold, further attempts are temporarily blocked. Implementing this in your project can significantly reduce the risk of brute force attacks, safeguarding user accounts.
بابت ترجمه نشدن معزرت میخوام. پست خوبی بود دلم نیومد اشتراک نذارم.
ولی از اینکه میدلور نوشته و هر ریکوئستی بیاد چک میکنه path لاگین هست یا نه رو موافق نیستم. اما در کل برای ایده گرفتن خوبه.
#django
@Syntax_fa
👍6
سال نو همتون مبارک
اکثر دوستام تو همین کانال هستن، همینجا از همتون معزرت خواهی می کنم که بیشتر اوقات نبودم و هواتونو نداشتم. همتون برام ارزشمندید❤️
پیوی تک تکتون میام تبریک میگم از دلتون در میارم 😂
وقتی که این تیم رو راه انداختیم شیش نفر بودیم. الان حدود چند ماهه فقط خودمم در نتیجه کلی از برنامه ها کنسل شد.
مقصر اصلی خودم بودم. امیدوارم امسال بهتر عمل کنم
اکثر دوستام تو همین کانال هستن، همینجا از همتون معزرت خواهی می کنم که بیشتر اوقات نبودم و هواتونو نداشتم. همتون برام ارزشمندید❤️
پیوی تک تکتون میام تبریک میگم از دلتون در میارم 😂
وقتی که این تیم رو راه انداختیم شیش نفر بودیم. الان حدود چند ماهه فقط خودمم در نتیجه کلی از برنامه ها کنسل شد.
مقصر اصلی خودم بودم. امیدوارم امسال بهتر عمل کنم
❤🔥12❤3👍1
قراره یه تیم نهایتا 6 نفره تشکیل بدیم و در راستای پیشرفت خودمون و دیگران قدم برداریم.
مسیر طولانی ای در پیش داریم و از افراد تیم انتظار میره بتونن روزانه پاره وقت تایم بذارن.
همچنین اگه استخدام هستید خیلی بهتره چون دغدغه پول رو ندارید و می تونیم با صبر و حوصله جلو بریم.
اولین پروژمون، طراحی وب سایت سینتکس هستش
وب سایتی که بتونیم توش مقاله بذاریم + یه سری قابلیت های دیگه.
این وب سایت مرجعی برای تیممون میشه و همچنین اگه نمونه کار ندارید به عنوان نمونه کار هم میتونید استفادش کنید.
پس قدم اولمون جنبه درآمدی نداره و بیشتر پرزنت کردن تیممون هستش.
قدم های بعدی ایده هامون رو پیاده می کنیم و در کنارش پروژه هم میگیریم.
(خیلی از دوستان سال پیش گفته بودن همچین حرکتی بزنیم. بنظرم الان وقتشه انجامش بدیم و اگه پایه اید شما نفرات اول لیست هستید.)
تخصص های زیر رو نیاز داریم:
فرانت اند
بک اند (پایتون)
طراح ui ux
طراح گرافیک
پیوی تخصصتون رو بنویسید و یکم درباره خودتون بکید:
@Ayeef
همین الان معزرت خواهی می کنم. نهایتا تیممون شیش نفره هستش و مجبور میشیم بعضیاتون رو رد کنیم. چون هرچقدر تعداد بیشتر میشه هماهنگی هم چالش برانگیز تر میشه
مسیر طولانی ای در پیش داریم و از افراد تیم انتظار میره بتونن روزانه پاره وقت تایم بذارن.
همچنین اگه استخدام هستید خیلی بهتره چون دغدغه پول رو ندارید و می تونیم با صبر و حوصله جلو بریم.
اولین پروژمون، طراحی وب سایت سینتکس هستش
وب سایتی که بتونیم توش مقاله بذاریم + یه سری قابلیت های دیگه.
این وب سایت مرجعی برای تیممون میشه و همچنین اگه نمونه کار ندارید به عنوان نمونه کار هم میتونید استفادش کنید.
پس قدم اولمون جنبه درآمدی نداره و بیشتر پرزنت کردن تیممون هستش.
قدم های بعدی ایده هامون رو پیاده می کنیم و در کنارش پروژه هم میگیریم.
(خیلی از دوستان سال پیش گفته بودن همچین حرکتی بزنیم. بنظرم الان وقتشه انجامش بدیم و اگه پایه اید شما نفرات اول لیست هستید.)
تخصص های زیر رو نیاز داریم:
فرانت اند
بک اند (پایتون)
طراح ui ux
طراح گرافیک
پیوی تخصصتون رو بنویسید و یکم درباره خودتون بکید:
@Ayeef
همین الان معزرت خواهی می کنم. نهایتا تیممون شیش نفره هستش و مجبور میشیم بعضیاتون رو رد کنیم. چون هرچقدر تعداد بیشتر میشه هماهنگی هم چالش برانگیز تر میشه
👍10🤣4
Syntax | سینتکس
قراره یه تیم نهایتا 6 نفره تشکیل بدیم و در راستای پیشرفت خودمون و دیگران قدم برداریم. مسیر طولانی ای در پیش داریم و از افراد تیم انتظار میره بتونن روزانه پاره وقت تایم بذارن. همچنین اگه استخدام هستید خیلی بهتره چون دغدغه پول رو ندارید و می تونیم با صبر و…
خیلی ممنون بابت همکاری❤️
فعلا کسی پیام نده فکر کنم تیممون تکمیل شد
فعلا کسی پیام نده فکر کنم تیممون تکمیل شد
🔥4👍2
دوره آموزش فارسی fastapi تو یوتیوب:
https://youtube.com/playlist?list=PL7MXODW7Gj1c1jviyYkRHKNeU_9BK0Ud7&si=v-k3YRGBT3LxS9Hu
دوره رو ندیدم ولی با توجه به شناختم از توری بنظرم دوره خوبیه. اگه دیدید حتی توی کامنت نظرتونو بگید.
خود fastapi چیز خاصی نداره و خیلی سریع میشه یادش بگیرید. توی این دوره به مباحث دیگه ای مثل استفاده از orm و مدیریت migration ها و کلی چیز دیگه هم پرداخته شده
#Fastapi
@Syntax_fa
https://youtube.com/playlist?list=PL7MXODW7Gj1c1jviyYkRHKNeU_9BK0Ud7&si=v-k3YRGBT3LxS9Hu
دوره رو ندیدم ولی با توجه به شناختم از توری بنظرم دوره خوبیه. اگه دیدید حتی توی کامنت نظرتونو بگید.
خود fastapi چیز خاصی نداره و خیلی سریع میشه یادش بگیرید. توی این دوره به مباحث دیگه ای مثل استفاده از orm و مدیریت migration ها و کلی چیز دیگه هم پرداخته شده
#Fastapi
@Syntax_fa
👍8🔥3
درگاه اتصال به بانک های ایرانی ( درگاه پرداخت بانک ملی ایران،بانک سامان، بانک ملت، درگاه پرداخت زرین پال و ... ) با استفاده از پایتون
https://github.com/ali-zahedi/az-iranian-bank-gateways
قبل استفاده چک کنید ببینید شاید api های درگاهه آپدیت شده باشه
بقیه موراد برای پیاده سازی درگاه پرداختو امیدوارم رعایت کنید
#payment_gateway
@Syntax_fa
https://github.com/ali-zahedi/az-iranian-bank-gateways
قبل استفاده چک کنید ببینید شاید api های درگاهه آپدیت شده باشه
بقیه موراد برای پیاده سازی درگاه پرداختو امیدوارم رعایت کنید
#payment_gateway
@Syntax_fa
GitHub
GitHub - ali-zahedi/az-iranian-bank-gateways: درگاه اتصال به بانک های ایرانی ( درگاه پرداخت بانک ملی ایران،بانک سامان، بانک ملت،…
درگاه اتصال به بانک های ایرانی ( درگاه پرداخت بانک ملی ایران،بانک سامان، بانک ملت، درگاه پرداخت زرین پال و ... ) با استفاده از پایتون - ali-zahedi/az-iranian-bank-gateways
🔥9
This media is not supported in your browser
VIEW IN TELEGRAM
این داوطلب اقای Noland Arbaugh با 29 سال هستن که 8 سال پیش به دلیل حادثه ای از شانه به پایین فلج شدن و کنترل اون قسمتهارو از دست دادن.
ایشون چند ماه پیش تحت عمل جراحی قرار گرفت و چیپ مغزی Neuralink روی مغز اون قرار داده شد و به گفته خودش عمل سریعی بود و روز بعد از بیمارستان مرخص شد.
در اولین ازمایشی که ایشون با این چیپ داشتن، بعد از یاد گرفتن نحوه کار با اون که مثل فکر کردن به چیزی که میخواد انجام بده هست، ایشون امکان کنترل کامپیوتر و ماوس رو به دست اوردن و در اولین کاری که کردن 8 ساعت مداوم بازی Civilization VI بود که تنها به دلیل اتمام شارژ این چیپ مجبور شدن بازی رو ول کنن.
در ویدیو ایشون در حال انجام بازی شطرنج هست و به راحتی با مغزش میتونه ماوس رو کنترل کنه.
ایلان ماسک گفته بعد از اتمام کار روی این محصول که telepathy نام داره، روی محصول بعدی یعنی Blindsight کار خواهند کرد که برای کمک به افراد دارای اختلالات بینایی هست و در دیدن قرار هست به اونها کمک کنه و حتی در اینده امیدوارن بتونه به کسانی که از تولد نابینا بودن هم چنین توانایی رو ببخشه!
🔎 theverge.com
@TechTube
@Syntax_fa
ایشون چند ماه پیش تحت عمل جراحی قرار گرفت و چیپ مغزی Neuralink روی مغز اون قرار داده شد و به گفته خودش عمل سریعی بود و روز بعد از بیمارستان مرخص شد.
در اولین ازمایشی که ایشون با این چیپ داشتن، بعد از یاد گرفتن نحوه کار با اون که مثل فکر کردن به چیزی که میخواد انجام بده هست، ایشون امکان کنترل کامپیوتر و ماوس رو به دست اوردن و در اولین کاری که کردن 8 ساعت مداوم بازی Civilization VI بود که تنها به دلیل اتمام شارژ این چیپ مجبور شدن بازی رو ول کنن.
در ویدیو ایشون در حال انجام بازی شطرنج هست و به راحتی با مغزش میتونه ماوس رو کنترل کنه.
ایلان ماسک گفته بعد از اتمام کار روی این محصول که telepathy نام داره، روی محصول بعدی یعنی Blindsight کار خواهند کرد که برای کمک به افراد دارای اختلالات بینایی هست و در دیدن قرار هست به اونها کمک کنه و حتی در اینده امیدوارن بتونه به کسانی که از تولد نابینا بودن هم چنین توانایی رو ببخشه!
🔎 theverge.com
@TechTube
@Syntax_fa
👍12❤3
پراکندگی موقعیت شغلی بک اند پایتون
هر چی تیره تر یعنی بیشتره
منبع:
https://workhunty.com/job-blog/where-is-the-best-place-to-be-a-programmer/Django/
#python
@Syntax_fa
هر چی تیره تر یعنی بیشتره
منبع:
https://workhunty.com/job-blog/where-is-the-best-place-to-be-a-programmer/Django/
#python
@Syntax_fa
👍12🤣4🔥1
https://github.com/radinparhami/TempoMail
ایجاد ایمیل موقت و دریافت پیام ازش و ....
کاملا رایگانه API-Key هم نیاز نداره حتی
[Radin: @IM_Eight]
@Syntax_fa
ایجاد ایمیل موقت و دریافت پیام ازش و ....
کاملا رایگانه API-Key هم نیاز نداره حتی
[Radin: @IM_Eight]
@Syntax_fa
GitHub
GitHub - radinparhami/TempoMail: python temp-mail liberary
python temp-mail liberary. Contribute to radinparhami/TempoMail development by creating an account on GitHub.
🔥7👍1
1711139435977.pdf
637.3 KB
تست بار یا load test چی هستش و چطور انجام میشه!
در خیلی از پروژه هایی که نسبتا بزرگ هستش و ممکنه تعامل کاربران زیادی داشته باشه معمولا توی یک محیط آزمایشگاهی قرارش میدن تا میزان باری که می تونه نسبت به درخواست های کاربران پاسخ گو باشه رو تست کنن.
که در حقیقت با ایجاد ترافیک مصنوعی و درخواست های چند گانه این اتفاق میافته. البته که بایستی با یک ریتم خاص تست بشه و صرفا از لحظه اول با تمام بار بهش یهو حمله نمی کنن 🤣 .
ولی در کل پکیج های متفاوت در زبان های مختلف وجود داره که یکی از اون ها locust هستش که با زبان پایتون شما می تونین به راحتی ساختار درخواست های لازم رو ایجاد کنین و در پنل تحت وب اون تعداد کاربران و آستانه های ورود رو مشخص کنین و در آخر ببینید که کدوم یک از endpoint های شما در زمان درخواست های زیاد ممکنه پاسخ گویی مناسبی نداشته باشه و آستانه تحمل سرویستون رو می تونین به راحتی بسنجین.
البته که معیار های زیادی دخیل هستش مثل خود سرور و ذخایر اون که به راحتی با همچین چیزی می تونین تست کنین که آستانه مورد نیازتون برای چند نفر قراره باشه و چه مقیاسی لازمه.
[Ali Bigdeli]
#Django
@Syntax_fa
در خیلی از پروژه هایی که نسبتا بزرگ هستش و ممکنه تعامل کاربران زیادی داشته باشه معمولا توی یک محیط آزمایشگاهی قرارش میدن تا میزان باری که می تونه نسبت به درخواست های کاربران پاسخ گو باشه رو تست کنن.
که در حقیقت با ایجاد ترافیک مصنوعی و درخواست های چند گانه این اتفاق میافته. البته که بایستی با یک ریتم خاص تست بشه و صرفا از لحظه اول با تمام بار بهش یهو حمله نمی کنن 🤣 .
ولی در کل پکیج های متفاوت در زبان های مختلف وجود داره که یکی از اون ها locust هستش که با زبان پایتون شما می تونین به راحتی ساختار درخواست های لازم رو ایجاد کنین و در پنل تحت وب اون تعداد کاربران و آستانه های ورود رو مشخص کنین و در آخر ببینید که کدوم یک از endpoint های شما در زمان درخواست های زیاد ممکنه پاسخ گویی مناسبی نداشته باشه و آستانه تحمل سرویستون رو می تونین به راحتی بسنجین.
البته که معیار های زیادی دخیل هستش مثل خود سرور و ذخایر اون که به راحتی با همچین چیزی می تونین تست کنین که آستانه مورد نیازتون برای چند نفر قراره باشه و چه مقیاسی لازمه.
[Ali Bigdeli]
#Django
@Syntax_fa
👍11
دوستانی که قصد مهاجرت دارند یا قصد ورود به دنیای دواپس دارند این ویس گوش بدهند.
از این لینک میتونید ویتینگ لیست پر کنید.
https://adplist.org/mentors/ahmadali-bagheri
https://news.1rj.ru/str/DevOpsHobbies
#Devops
@Syntax_fa
از این لینک میتونید ویتینگ لیست پر کنید.
https://adplist.org/mentors/ahmadali-bagheri
https://news.1rj.ru/str/DevOpsHobbies
#Devops
@Syntax_fa
👍4
1709543790103.pdf
4.1 MB
یکی از چالشهای هر پروژه برنامه نویسی مدیریت سورس کد و حفظ کیفیت اونه.
هر چقدر حجم کد بیشتر بشه یا تیم بزرگتر بشه چالش و دغدغهها بیشتر هم میشن و ریوو کردن کد هم خودش به چالشی بزرگتر تبدیل میشه که روز به روز تایم بیشتری میگیره و از طرفی احتمال از قلم افتادن توافقها، نکات و اصول هم بیشتر میشه.
اینجاست که pre-commit به دادمون میرسه. در این پست در ابتدا سعی میکنم برخی از نکات و مواردی که خودم در تیمها سعی میکردم رعایت کنم رو مطرح کنم [امیدوارم خودشون مفید و آموزنده باشن] و در نهایت به نحوه ستاپ و نوشتن pre-commit میپردازم و اشارهای به pre-push در یه مثال کاربردی و مورد نیاز و همین طور جاب qa میکنم.
[Mohammad amin amjadi]
@Syntax_fa
هر چقدر حجم کد بیشتر بشه یا تیم بزرگتر بشه چالش و دغدغهها بیشتر هم میشن و ریوو کردن کد هم خودش به چالشی بزرگتر تبدیل میشه که روز به روز تایم بیشتری میگیره و از طرفی احتمال از قلم افتادن توافقها، نکات و اصول هم بیشتر میشه.
اینجاست که pre-commit به دادمون میرسه. در این پست در ابتدا سعی میکنم برخی از نکات و مواردی که خودم در تیمها سعی میکردم رعایت کنم رو مطرح کنم [امیدوارم خودشون مفید و آموزنده باشن] و در نهایت به نحوه ستاپ و نوشتن pre-commit میپردازم و اشارهای به pre-push در یه مثال کاربردی و مورد نیاز و همین طور جاب qa میکنم.
[Mohammad amin amjadi]
@Syntax_fa
👍9👎1
وقتی تو گروه های برنامه نویسی، یه تازه کار سوال میپرسه راهنماییش کنن:
تازه کار:
الان من زبان جنگو رو میخوام یاد بگیرم و دانش کمی هم به زبان سی اس اس و html دارم.
باز به درد بک اند دولوپر میخورم؟
ممد:
زبان برنامه نویسی جنگو خیلی عالیه من تو حوزه رباتیک برای ساخت فرانت اندم ازش استفاده میکنم واقعا پرفورمنس خوبی داره
مهدی:
الان یکی همینجوری بهت دروغ بگه خوشحال میشی ؟
داداش این الکی میگه
من خودم از زبون جنگو استفاده کردم
تو حوزه ماشین لرنینگ ازش استفاده کردم که خیلی خوب باهاش تونستیم یک ui رو دیزاین کنیم برای پروژه های فرانت اندیمون
دوباره ممد:
داداش وقتی بلد نیستی نپر وسط جنگو برای ماشین لرنینگ تیون نشده فقط باهاش میشه کارای دات نتی کرد مثلا میشه باهاش هسته داکرو نوشت من خودم الان کرنلی که کامپایل کردم به زبان جنگوعه
امیرحسین:
جنگ مگه یاد گرفتنیه؟
که میخواید جنگو یاد بگیرید؟
کافیه وارد جنگ بشید اتوماتیک همه چیو یاد میگیرید
#fun
@Syntax_fa
تازه کار:
الان من زبان جنگو رو میخوام یاد بگیرم و دانش کمی هم به زبان سی اس اس و html دارم.
باز به درد بک اند دولوپر میخورم؟
ممد:
زبان برنامه نویسی جنگو خیلی عالیه من تو حوزه رباتیک برای ساخت فرانت اندم ازش استفاده میکنم واقعا پرفورمنس خوبی داره
مهدی:
الان یکی همینجوری بهت دروغ بگه خوشحال میشی ؟
داداش این الکی میگه
من خودم از زبون جنگو استفاده کردم
تو حوزه ماشین لرنینگ ازش استفاده کردم که خیلی خوب باهاش تونستیم یک ui رو دیزاین کنیم برای پروژه های فرانت اندیمون
دوباره ممد:
داداش وقتی بلد نیستی نپر وسط جنگو برای ماشین لرنینگ تیون نشده فقط باهاش میشه کارای دات نتی کرد مثلا میشه باهاش هسته داکرو نوشت من خودم الان کرنلی که کامپایل کردم به زبان جنگوعه
امیرحسین:
جنگ مگه یاد گرفتنیه؟
که میخواید جنگو یاد بگیرید؟
کافیه وارد جنگ بشید اتوماتیک همه چیو یاد میگیرید
#fun
@Syntax_fa
😁24👍1🌚1
🔒 بیش از ۱.۵ میلیارد تومان ضرر مالی در سال برای بیش از ۲۰ فروشگاه آنلاین ایرانی بخاطر یک باگ کوچک در صفحه ارسال کد تایید پیامکی! 🛡️
اگر شما هم در وبسایتتون امکان ارسال کد پیامکی (OTP) دارید ولی هنوز هیچ تدبیری برای جلوگیری از سواستفاده توسط رباتها اتخاذ نکردید، پیشنهاد میکنم برای جلوگیری از ضرر میلیونی این پست رو مطالعه کنید.
💡اخیرا متوجه یک سواستفاده از سیستم ورود پیامکی وبسایت مجموعهمون شدیم که اگر متوجهش نمیشدیم و یا جلوی اون رو نمیگرفتیم، میتونست سالانه بیش از ۶۰ میلیون تومان به مجموعه خسارت مالی بزنه.
📝 شرح موضوع:
اگر هنگام دریافت شماره موبایل از کاربر برای ارسال کد OTP هیچ کپچایی وجود نداشته باشه، میشه به تعداد زیاد (در برخی موارد بینهایت) درخواست کد OTP برای شمارههای مختلف کرد. این موضوع باعث شده یک سری ابزارهای اذیت و آزار ایجاد بشه که کافیه شماره فردی که میخواین اذیتش کنید رو به اون ابزار بدید تا ظرف یک دقیقه ۳۰تا پیامک کد ورود از سایتهای مختلف و سرشمارههای مختلف برای فرد مورد نظر ارسال بشه.
🔍 عمق مساله:
۱. عدم امکان جلوگیری توسط کاربر: به علت متفاوت بودن سرشماره هایی که پیامک های کد تایید رو ارسال میکنن، امکان بلاک کردنشون برای فردی که مورد مزاحمت قرار گرفته وجود نداره.
همچنین اگر فرد موفق بشه این شماره ها رو بلاک کنه هم در آینده در ورود به سایت های مختلف به مشکل خواهد خورد.
۲. خسارت مالی به شرکتها: همچنین یکی از این ابزارها که از وبسایت مجموعه ما هم داشت سو استفاده میکرد و خدا رو شکر به موقع متوجهش شدیم و جلوش رو گرفتیم، در کمتر از ۱ هفته ای که داشت با ربات درخواست کد ورود برای شماره های مختلف ارسال میکرد، برای ما یک میلیون تومن ضرر مالی داشت که اگر جلوش رو نمی گرفتیم میتونست سالیانه حدود ۶۰ میلیون تومن به ما ضرر مالی بزنه!
✔️ راهکارهایی که برای جلوگیری ازش در نظر گرفتیم:
۱. برای IP هایی که در یک ساعت گذشته، بیش از یک بار درخواست کد ورود داشته اند، کپچای گوگل نمایش داده میشه تا اینگونه ربات ها نتونن پشت سر هم درخواست کد ورود برای شماره های مردم ثبت کنند.
۲. همچنین از اونجایی که معمولا سرور اینجور رباتها خارج از ایران هست، همواره برای آی پی های خارج از ایران، کپچا نمایش داده میشه تا هیچگونه امکان ارسال درخواست توسط این رباتها وجود نداشته باشه. » به این ترتیب کاربران عادی سایت هیچگونه کپچایی نمیبینند و اذیت نمیشن و در عوض در صورت انجام رفتار تکراری و مشکوک توسط کاربر، بهش کپچا نشون داده میشه و جلوی آسیب به سیستم گرفته میشه.
✍️ پ.ن. ۱: البته از اونجایی که معمولا هر مهاجمی در ابتدای کار خیلی ساده تست نفوذ انجام میده، با استفاده از لاگها، آیپیها و شماره موبایل صاحب این ابزار رو پیدا کردیم و از اونجایی که نوجوان بود، بهش تذکر دادیم که در صورت ادامه فعالیت این ابزار مزاحمت، پلیس فتا پیگیر کارش خواهد بود. و به سایر دوستان هم توصیه میکنم به هیچ عنوان حتی برای کنجکاوی سراغ این ابزارها نرید چون ممکنه در صورت داشتن شاکی خصوصی، برای استفادهکنندههای این ابزارها عواقبی ایجاد بشه.
✍️ پ.ن. ۲: از اونجایی که ممکنه منتشر کردن اسم وبسایتهایی که همچنان این باگ رو دارن باعث سواستفاده مضاعف از اونها بشه، ترجیح میدم این پست رو مستقیما برای خود اون مجموعهها ارسال کنم، بنابراین اسمی از هیچ مجموعهای در این پست برده نمیشه.
✍️ پ.ن. ۳: اگر برای پیادهسازی این راهحلها نیاز به راهنمایی دارید، میتونید به بنده پیام بدید.
[Ali soleimani]
#otp
@Syntax_fa
اگر شما هم در وبسایتتون امکان ارسال کد پیامکی (OTP) دارید ولی هنوز هیچ تدبیری برای جلوگیری از سواستفاده توسط رباتها اتخاذ نکردید، پیشنهاد میکنم برای جلوگیری از ضرر میلیونی این پست رو مطالعه کنید.
💡اخیرا متوجه یک سواستفاده از سیستم ورود پیامکی وبسایت مجموعهمون شدیم که اگر متوجهش نمیشدیم و یا جلوی اون رو نمیگرفتیم، میتونست سالانه بیش از ۶۰ میلیون تومان به مجموعه خسارت مالی بزنه.
📝 شرح موضوع:
اگر هنگام دریافت شماره موبایل از کاربر برای ارسال کد OTP هیچ کپچایی وجود نداشته باشه، میشه به تعداد زیاد (در برخی موارد بینهایت) درخواست کد OTP برای شمارههای مختلف کرد. این موضوع باعث شده یک سری ابزارهای اذیت و آزار ایجاد بشه که کافیه شماره فردی که میخواین اذیتش کنید رو به اون ابزار بدید تا ظرف یک دقیقه ۳۰تا پیامک کد ورود از سایتهای مختلف و سرشمارههای مختلف برای فرد مورد نظر ارسال بشه.
🔍 عمق مساله:
۱. عدم امکان جلوگیری توسط کاربر: به علت متفاوت بودن سرشماره هایی که پیامک های کد تایید رو ارسال میکنن، امکان بلاک کردنشون برای فردی که مورد مزاحمت قرار گرفته وجود نداره.
همچنین اگر فرد موفق بشه این شماره ها رو بلاک کنه هم در آینده در ورود به سایت های مختلف به مشکل خواهد خورد.
۲. خسارت مالی به شرکتها: همچنین یکی از این ابزارها که از وبسایت مجموعه ما هم داشت سو استفاده میکرد و خدا رو شکر به موقع متوجهش شدیم و جلوش رو گرفتیم، در کمتر از ۱ هفته ای که داشت با ربات درخواست کد ورود برای شماره های مختلف ارسال میکرد، برای ما یک میلیون تومن ضرر مالی داشت که اگر جلوش رو نمی گرفتیم میتونست سالیانه حدود ۶۰ میلیون تومن به ما ضرر مالی بزنه!
✔️ راهکارهایی که برای جلوگیری ازش در نظر گرفتیم:
۱. برای IP هایی که در یک ساعت گذشته، بیش از یک بار درخواست کد ورود داشته اند، کپچای گوگل نمایش داده میشه تا اینگونه ربات ها نتونن پشت سر هم درخواست کد ورود برای شماره های مردم ثبت کنند.
۲. همچنین از اونجایی که معمولا سرور اینجور رباتها خارج از ایران هست، همواره برای آی پی های خارج از ایران، کپچا نمایش داده میشه تا هیچگونه امکان ارسال درخواست توسط این رباتها وجود نداشته باشه. » به این ترتیب کاربران عادی سایت هیچگونه کپچایی نمیبینند و اذیت نمیشن و در عوض در صورت انجام رفتار تکراری و مشکوک توسط کاربر، بهش کپچا نشون داده میشه و جلوی آسیب به سیستم گرفته میشه.
✍️ پ.ن. ۱: البته از اونجایی که معمولا هر مهاجمی در ابتدای کار خیلی ساده تست نفوذ انجام میده، با استفاده از لاگها، آیپیها و شماره موبایل صاحب این ابزار رو پیدا کردیم و از اونجایی که نوجوان بود، بهش تذکر دادیم که در صورت ادامه فعالیت این ابزار مزاحمت، پلیس فتا پیگیر کارش خواهد بود. و به سایر دوستان هم توصیه میکنم به هیچ عنوان حتی برای کنجکاوی سراغ این ابزارها نرید چون ممکنه در صورت داشتن شاکی خصوصی، برای استفادهکنندههای این ابزارها عواقبی ایجاد بشه.
✍️ پ.ن. ۲: از اونجایی که ممکنه منتشر کردن اسم وبسایتهایی که همچنان این باگ رو دارن باعث سواستفاده مضاعف از اونها بشه، ترجیح میدم این پست رو مستقیما برای خود اون مجموعهها ارسال کنم، بنابراین اسمی از هیچ مجموعهای در این پست برده نمیشه.
✍️ پ.ن. ۳: اگر برای پیادهسازی این راهحلها نیاز به راهنمایی دارید، میتونید به بنده پیام بدید.
[Ali soleimani]
#otp
@Syntax_fa
👍14😁2
Syntax | سینتکس
🔒 بیش از ۱.۵ میلیارد تومان ضرر مالی در سال برای بیش از ۲۰ فروشگاه آنلاین ایرانی بخاطر یک باگ کوچک در صفحه ارسال کد تایید پیامکی! 🛡️ اگر شما هم در وبسایتتون امکان ارسال کد پیامکی (OTP) دارید ولی هنوز هیچ تدبیری برای جلوگیری از سواستفاده توسط رباتها اتخاذ…
راه حل ها:
1. یه راه حل که شاید کمک کننده باشه ایجاد وایت لیستی از آی پی ها و کاربرا در کنار یک بلک لیست هست. که البته استراتژی ایجاد این وایت لیست و بلک لیست خودش میتونه متفاوت باشه. مثلا اگه یه شماره و آی پی قبلا ثبت نام کرده و ورود موفق داشته تا مثلا 1 هفته جزء وایت لیستمون باشه و کپچا بهش نشون ندیم. از طرف دیگه اگه یک آی پی یا یک شماره در یک روز بیشتر از 5 تا درخواست ارسال sms داشته باشه بدون اینکه اون کد ارسالی رو وارد کنه خب آی پیش برای همیشه و شمارش برای یه مدت بلاک بشه چرا که اون ربات یا سوء استفاده گر قطعا به اون کد دسترسی نداره.
البته هر دوی این استراتژی ها وابسته به بیزینسمون هست و باید متناسب سازی بشه. با این دو تا استراتژی احتمالا میشه سوء استفاده از سامانمون رو تا حد خوبی کم کرد و از طرفی ورود به سامانه رو برای کاربرای عادیمون پیچیده نکنیم. در کل به نظرم باید خود بیزینس و نحوه ی رفتار مشتریان و شرایطی که خودمون داریم رو هم در نظر بگیریم و بعد یه راه حل متناسب با خودمون پیاده سازی کنیم. حتی پیاده سازی rate limit و کپچا و... هم باید متناسب با شرایط ما باشه. یعنی ما ببینیم چقدر احتمال وجود داره که این مسئله برای ما پیش بیاد و ما چقدر میخوایم روی این قضیه مانور بدیم و راه حلامون چقدر روی کاربرای عادیمون تاثیر منفی میزاره و چطور میتونیم این تاثیر رو مدیریت کنیم بعد بریم سراغ پیاده سازی .
2. این مشکل راه حل های جایگزینی داره که شرکت ها می تونن ازش استفاده کنند که هرکدام مزایا و معایب خودش رو داره ولی به نظرم یکی از بهترین روش ها استفاده از آوانک هست: چون آوانک محدودیت های فوق العاده خاص و جالبی برای عدم استفاده ی بات ها ازش استفاده می کنه و خیلی شرکت های بزرگ دارن ازش استفاده می کنن. avanak.ir
3. بنظرم Csrf هم در کنار کپچا جوابگوئه
اگر بخواهیم امنیت بیشتری داشته باشه rate limitation هم بر اساس آی پی و هم شماره موبایل میشه اضافه کرد
4. فارغ از کپچا که در تمامی شرایط نمی شه ازش استفاده بشه(مش) حتما این دست end point ها باید دو موضوع توش رعایت بشه یکی بحث rate limiting با الگورتیم هایی مثل GCRA و دیگری بحث idempotency
روش پیشنهادی شما چیه؟
#otp
@Syntax_fa
1. یه راه حل که شاید کمک کننده باشه ایجاد وایت لیستی از آی پی ها و کاربرا در کنار یک بلک لیست هست. که البته استراتژی ایجاد این وایت لیست و بلک لیست خودش میتونه متفاوت باشه. مثلا اگه یه شماره و آی پی قبلا ثبت نام کرده و ورود موفق داشته تا مثلا 1 هفته جزء وایت لیستمون باشه و کپچا بهش نشون ندیم. از طرف دیگه اگه یک آی پی یا یک شماره در یک روز بیشتر از 5 تا درخواست ارسال sms داشته باشه بدون اینکه اون کد ارسالی رو وارد کنه خب آی پیش برای همیشه و شمارش برای یه مدت بلاک بشه چرا که اون ربات یا سوء استفاده گر قطعا به اون کد دسترسی نداره.
البته هر دوی این استراتژی ها وابسته به بیزینسمون هست و باید متناسب سازی بشه. با این دو تا استراتژی احتمالا میشه سوء استفاده از سامانمون رو تا حد خوبی کم کرد و از طرفی ورود به سامانه رو برای کاربرای عادیمون پیچیده نکنیم. در کل به نظرم باید خود بیزینس و نحوه ی رفتار مشتریان و شرایطی که خودمون داریم رو هم در نظر بگیریم و بعد یه راه حل متناسب با خودمون پیاده سازی کنیم. حتی پیاده سازی rate limit و کپچا و... هم باید متناسب با شرایط ما باشه. یعنی ما ببینیم چقدر احتمال وجود داره که این مسئله برای ما پیش بیاد و ما چقدر میخوایم روی این قضیه مانور بدیم و راه حلامون چقدر روی کاربرای عادیمون تاثیر منفی میزاره و چطور میتونیم این تاثیر رو مدیریت کنیم بعد بریم سراغ پیاده سازی .
2. این مشکل راه حل های جایگزینی داره که شرکت ها می تونن ازش استفاده کنند که هرکدام مزایا و معایب خودش رو داره ولی به نظرم یکی از بهترین روش ها استفاده از آوانک هست: چون آوانک محدودیت های فوق العاده خاص و جالبی برای عدم استفاده ی بات ها ازش استفاده می کنه و خیلی شرکت های بزرگ دارن ازش استفاده می کنن. avanak.ir
3. بنظرم Csrf هم در کنار کپچا جوابگوئه
اگر بخواهیم امنیت بیشتری داشته باشه rate limitation هم بر اساس آی پی و هم شماره موبایل میشه اضافه کرد
4. فارغ از کپچا که در تمامی شرایط نمی شه ازش استفاده بشه(مش) حتما این دست end point ها باید دو موضوع توش رعایت بشه یکی بحث rate limiting با الگورتیم هایی مثل GCRA و دیگری بحث idempotency
روش پیشنهادی شما چیه؟
#otp
@Syntax_fa
👍8