دوره آموزش فارسی fastapi تو یوتیوب:
https://youtube.com/playlist?list=PL7MXODW7Gj1c1jviyYkRHKNeU_9BK0Ud7&si=v-k3YRGBT3LxS9Hu
دوره رو ندیدم ولی با توجه به شناختم از توری بنظرم دوره خوبیه. اگه دیدید حتی توی کامنت نظرتونو بگید.
خود fastapi چیز خاصی نداره و خیلی سریع میشه یادش بگیرید. توی این دوره به مباحث دیگه ای مثل استفاده از orm و مدیریت migration ها و کلی چیز دیگه هم پرداخته شده
#Fastapi
@Syntax_fa
https://youtube.com/playlist?list=PL7MXODW7Gj1c1jviyYkRHKNeU_9BK0Ud7&si=v-k3YRGBT3LxS9Hu
دوره رو ندیدم ولی با توجه به شناختم از توری بنظرم دوره خوبیه. اگه دیدید حتی توی کامنت نظرتونو بگید.
خود fastapi چیز خاصی نداره و خیلی سریع میشه یادش بگیرید. توی این دوره به مباحث دیگه ای مثل استفاده از orm و مدیریت migration ها و کلی چیز دیگه هم پرداخته شده
#Fastapi
@Syntax_fa
👍8🔥3
درگاه اتصال به بانک های ایرانی ( درگاه پرداخت بانک ملی ایران،بانک سامان، بانک ملت، درگاه پرداخت زرین پال و ... ) با استفاده از پایتون
https://github.com/ali-zahedi/az-iranian-bank-gateways
قبل استفاده چک کنید ببینید شاید api های درگاهه آپدیت شده باشه
بقیه موراد برای پیاده سازی درگاه پرداختو امیدوارم رعایت کنید
#payment_gateway
@Syntax_fa
https://github.com/ali-zahedi/az-iranian-bank-gateways
قبل استفاده چک کنید ببینید شاید api های درگاهه آپدیت شده باشه
بقیه موراد برای پیاده سازی درگاه پرداختو امیدوارم رعایت کنید
#payment_gateway
@Syntax_fa
GitHub
GitHub - ali-zahedi/az-iranian-bank-gateways: درگاه اتصال به بانک های ایرانی ( درگاه پرداخت بانک ملی ایران،بانک سامان، بانک ملت،…
درگاه اتصال به بانک های ایرانی ( درگاه پرداخت بانک ملی ایران،بانک سامان، بانک ملت، درگاه پرداخت زرین پال و ... ) با استفاده از پایتون - ali-zahedi/az-iranian-bank-gateways
🔥9
This media is not supported in your browser
VIEW IN TELEGRAM
این داوطلب اقای Noland Arbaugh با 29 سال هستن که 8 سال پیش به دلیل حادثه ای از شانه به پایین فلج شدن و کنترل اون قسمتهارو از دست دادن.
ایشون چند ماه پیش تحت عمل جراحی قرار گرفت و چیپ مغزی Neuralink روی مغز اون قرار داده شد و به گفته خودش عمل سریعی بود و روز بعد از بیمارستان مرخص شد.
در اولین ازمایشی که ایشون با این چیپ داشتن، بعد از یاد گرفتن نحوه کار با اون که مثل فکر کردن به چیزی که میخواد انجام بده هست، ایشون امکان کنترل کامپیوتر و ماوس رو به دست اوردن و در اولین کاری که کردن 8 ساعت مداوم بازی Civilization VI بود که تنها به دلیل اتمام شارژ این چیپ مجبور شدن بازی رو ول کنن.
در ویدیو ایشون در حال انجام بازی شطرنج هست و به راحتی با مغزش میتونه ماوس رو کنترل کنه.
ایلان ماسک گفته بعد از اتمام کار روی این محصول که telepathy نام داره، روی محصول بعدی یعنی Blindsight کار خواهند کرد که برای کمک به افراد دارای اختلالات بینایی هست و در دیدن قرار هست به اونها کمک کنه و حتی در اینده امیدوارن بتونه به کسانی که از تولد نابینا بودن هم چنین توانایی رو ببخشه!
🔎 theverge.com
@TechTube
@Syntax_fa
ایشون چند ماه پیش تحت عمل جراحی قرار گرفت و چیپ مغزی Neuralink روی مغز اون قرار داده شد و به گفته خودش عمل سریعی بود و روز بعد از بیمارستان مرخص شد.
در اولین ازمایشی که ایشون با این چیپ داشتن، بعد از یاد گرفتن نحوه کار با اون که مثل فکر کردن به چیزی که میخواد انجام بده هست، ایشون امکان کنترل کامپیوتر و ماوس رو به دست اوردن و در اولین کاری که کردن 8 ساعت مداوم بازی Civilization VI بود که تنها به دلیل اتمام شارژ این چیپ مجبور شدن بازی رو ول کنن.
در ویدیو ایشون در حال انجام بازی شطرنج هست و به راحتی با مغزش میتونه ماوس رو کنترل کنه.
ایلان ماسک گفته بعد از اتمام کار روی این محصول که telepathy نام داره، روی محصول بعدی یعنی Blindsight کار خواهند کرد که برای کمک به افراد دارای اختلالات بینایی هست و در دیدن قرار هست به اونها کمک کنه و حتی در اینده امیدوارن بتونه به کسانی که از تولد نابینا بودن هم چنین توانایی رو ببخشه!
🔎 theverge.com
@TechTube
@Syntax_fa
👍12❤3
پراکندگی موقعیت شغلی بک اند پایتون
هر چی تیره تر یعنی بیشتره
منبع:
https://workhunty.com/job-blog/where-is-the-best-place-to-be-a-programmer/Django/
#python
@Syntax_fa
هر چی تیره تر یعنی بیشتره
منبع:
https://workhunty.com/job-blog/where-is-the-best-place-to-be-a-programmer/Django/
#python
@Syntax_fa
👍12🤣4🔥1
https://github.com/radinparhami/TempoMail
ایجاد ایمیل موقت و دریافت پیام ازش و ....
کاملا رایگانه API-Key هم نیاز نداره حتی
[Radin: @IM_Eight]
@Syntax_fa
ایجاد ایمیل موقت و دریافت پیام ازش و ....
کاملا رایگانه API-Key هم نیاز نداره حتی
[Radin: @IM_Eight]
@Syntax_fa
GitHub
GitHub - radinparhami/TempoMail: python temp-mail liberary
python temp-mail liberary. Contribute to radinparhami/TempoMail development by creating an account on GitHub.
🔥7👍1
1711139435977.pdf
637.3 KB
تست بار یا load test چی هستش و چطور انجام میشه!
در خیلی از پروژه هایی که نسبتا بزرگ هستش و ممکنه تعامل کاربران زیادی داشته باشه معمولا توی یک محیط آزمایشگاهی قرارش میدن تا میزان باری که می تونه نسبت به درخواست های کاربران پاسخ گو باشه رو تست کنن.
که در حقیقت با ایجاد ترافیک مصنوعی و درخواست های چند گانه این اتفاق میافته. البته که بایستی با یک ریتم خاص تست بشه و صرفا از لحظه اول با تمام بار بهش یهو حمله نمی کنن 🤣 .
ولی در کل پکیج های متفاوت در زبان های مختلف وجود داره که یکی از اون ها locust هستش که با زبان پایتون شما می تونین به راحتی ساختار درخواست های لازم رو ایجاد کنین و در پنل تحت وب اون تعداد کاربران و آستانه های ورود رو مشخص کنین و در آخر ببینید که کدوم یک از endpoint های شما در زمان درخواست های زیاد ممکنه پاسخ گویی مناسبی نداشته باشه و آستانه تحمل سرویستون رو می تونین به راحتی بسنجین.
البته که معیار های زیادی دخیل هستش مثل خود سرور و ذخایر اون که به راحتی با همچین چیزی می تونین تست کنین که آستانه مورد نیازتون برای چند نفر قراره باشه و چه مقیاسی لازمه.
[Ali Bigdeli]
#Django
@Syntax_fa
در خیلی از پروژه هایی که نسبتا بزرگ هستش و ممکنه تعامل کاربران زیادی داشته باشه معمولا توی یک محیط آزمایشگاهی قرارش میدن تا میزان باری که می تونه نسبت به درخواست های کاربران پاسخ گو باشه رو تست کنن.
که در حقیقت با ایجاد ترافیک مصنوعی و درخواست های چند گانه این اتفاق میافته. البته که بایستی با یک ریتم خاص تست بشه و صرفا از لحظه اول با تمام بار بهش یهو حمله نمی کنن 🤣 .
ولی در کل پکیج های متفاوت در زبان های مختلف وجود داره که یکی از اون ها locust هستش که با زبان پایتون شما می تونین به راحتی ساختار درخواست های لازم رو ایجاد کنین و در پنل تحت وب اون تعداد کاربران و آستانه های ورود رو مشخص کنین و در آخر ببینید که کدوم یک از endpoint های شما در زمان درخواست های زیاد ممکنه پاسخ گویی مناسبی نداشته باشه و آستانه تحمل سرویستون رو می تونین به راحتی بسنجین.
البته که معیار های زیادی دخیل هستش مثل خود سرور و ذخایر اون که به راحتی با همچین چیزی می تونین تست کنین که آستانه مورد نیازتون برای چند نفر قراره باشه و چه مقیاسی لازمه.
[Ali Bigdeli]
#Django
@Syntax_fa
👍11
دوستانی که قصد مهاجرت دارند یا قصد ورود به دنیای دواپس دارند این ویس گوش بدهند.
از این لینک میتونید ویتینگ لیست پر کنید.
https://adplist.org/mentors/ahmadali-bagheri
https://news.1rj.ru/str/DevOpsHobbies
#Devops
@Syntax_fa
از این لینک میتونید ویتینگ لیست پر کنید.
https://adplist.org/mentors/ahmadali-bagheri
https://news.1rj.ru/str/DevOpsHobbies
#Devops
@Syntax_fa
👍4
1709543790103.pdf
4.1 MB
یکی از چالشهای هر پروژه برنامه نویسی مدیریت سورس کد و حفظ کیفیت اونه.
هر چقدر حجم کد بیشتر بشه یا تیم بزرگتر بشه چالش و دغدغهها بیشتر هم میشن و ریوو کردن کد هم خودش به چالشی بزرگتر تبدیل میشه که روز به روز تایم بیشتری میگیره و از طرفی احتمال از قلم افتادن توافقها، نکات و اصول هم بیشتر میشه.
اینجاست که pre-commit به دادمون میرسه. در این پست در ابتدا سعی میکنم برخی از نکات و مواردی که خودم در تیمها سعی میکردم رعایت کنم رو مطرح کنم [امیدوارم خودشون مفید و آموزنده باشن] و در نهایت به نحوه ستاپ و نوشتن pre-commit میپردازم و اشارهای به pre-push در یه مثال کاربردی و مورد نیاز و همین طور جاب qa میکنم.
[Mohammad amin amjadi]
@Syntax_fa
هر چقدر حجم کد بیشتر بشه یا تیم بزرگتر بشه چالش و دغدغهها بیشتر هم میشن و ریوو کردن کد هم خودش به چالشی بزرگتر تبدیل میشه که روز به روز تایم بیشتری میگیره و از طرفی احتمال از قلم افتادن توافقها، نکات و اصول هم بیشتر میشه.
اینجاست که pre-commit به دادمون میرسه. در این پست در ابتدا سعی میکنم برخی از نکات و مواردی که خودم در تیمها سعی میکردم رعایت کنم رو مطرح کنم [امیدوارم خودشون مفید و آموزنده باشن] و در نهایت به نحوه ستاپ و نوشتن pre-commit میپردازم و اشارهای به pre-push در یه مثال کاربردی و مورد نیاز و همین طور جاب qa میکنم.
[Mohammad amin amjadi]
@Syntax_fa
👍9👎1
وقتی تو گروه های برنامه نویسی، یه تازه کار سوال میپرسه راهنماییش کنن:
تازه کار:
الان من زبان جنگو رو میخوام یاد بگیرم و دانش کمی هم به زبان سی اس اس و html دارم.
باز به درد بک اند دولوپر میخورم؟
ممد:
زبان برنامه نویسی جنگو خیلی عالیه من تو حوزه رباتیک برای ساخت فرانت اندم ازش استفاده میکنم واقعا پرفورمنس خوبی داره
مهدی:
الان یکی همینجوری بهت دروغ بگه خوشحال میشی ؟
داداش این الکی میگه
من خودم از زبون جنگو استفاده کردم
تو حوزه ماشین لرنینگ ازش استفاده کردم که خیلی خوب باهاش تونستیم یک ui رو دیزاین کنیم برای پروژه های فرانت اندیمون
دوباره ممد:
داداش وقتی بلد نیستی نپر وسط جنگو برای ماشین لرنینگ تیون نشده فقط باهاش میشه کارای دات نتی کرد مثلا میشه باهاش هسته داکرو نوشت من خودم الان کرنلی که کامپایل کردم به زبان جنگوعه
امیرحسین:
جنگ مگه یاد گرفتنیه؟
که میخواید جنگو یاد بگیرید؟
کافیه وارد جنگ بشید اتوماتیک همه چیو یاد میگیرید
#fun
@Syntax_fa
تازه کار:
الان من زبان جنگو رو میخوام یاد بگیرم و دانش کمی هم به زبان سی اس اس و html دارم.
باز به درد بک اند دولوپر میخورم؟
ممد:
زبان برنامه نویسی جنگو خیلی عالیه من تو حوزه رباتیک برای ساخت فرانت اندم ازش استفاده میکنم واقعا پرفورمنس خوبی داره
مهدی:
الان یکی همینجوری بهت دروغ بگه خوشحال میشی ؟
داداش این الکی میگه
من خودم از زبون جنگو استفاده کردم
تو حوزه ماشین لرنینگ ازش استفاده کردم که خیلی خوب باهاش تونستیم یک ui رو دیزاین کنیم برای پروژه های فرانت اندیمون
دوباره ممد:
داداش وقتی بلد نیستی نپر وسط جنگو برای ماشین لرنینگ تیون نشده فقط باهاش میشه کارای دات نتی کرد مثلا میشه باهاش هسته داکرو نوشت من خودم الان کرنلی که کامپایل کردم به زبان جنگوعه
امیرحسین:
جنگ مگه یاد گرفتنیه؟
که میخواید جنگو یاد بگیرید؟
کافیه وارد جنگ بشید اتوماتیک همه چیو یاد میگیرید
#fun
@Syntax_fa
😁24👍1🌚1
🔒 بیش از ۱.۵ میلیارد تومان ضرر مالی در سال برای بیش از ۲۰ فروشگاه آنلاین ایرانی بخاطر یک باگ کوچک در صفحه ارسال کد تایید پیامکی! 🛡️
اگر شما هم در وبسایتتون امکان ارسال کد پیامکی (OTP) دارید ولی هنوز هیچ تدبیری برای جلوگیری از سواستفاده توسط رباتها اتخاذ نکردید، پیشنهاد میکنم برای جلوگیری از ضرر میلیونی این پست رو مطالعه کنید.
💡اخیرا متوجه یک سواستفاده از سیستم ورود پیامکی وبسایت مجموعهمون شدیم که اگر متوجهش نمیشدیم و یا جلوی اون رو نمیگرفتیم، میتونست سالانه بیش از ۶۰ میلیون تومان به مجموعه خسارت مالی بزنه.
📝 شرح موضوع:
اگر هنگام دریافت شماره موبایل از کاربر برای ارسال کد OTP هیچ کپچایی وجود نداشته باشه، میشه به تعداد زیاد (در برخی موارد بینهایت) درخواست کد OTP برای شمارههای مختلف کرد. این موضوع باعث شده یک سری ابزارهای اذیت و آزار ایجاد بشه که کافیه شماره فردی که میخواین اذیتش کنید رو به اون ابزار بدید تا ظرف یک دقیقه ۳۰تا پیامک کد ورود از سایتهای مختلف و سرشمارههای مختلف برای فرد مورد نظر ارسال بشه.
🔍 عمق مساله:
۱. عدم امکان جلوگیری توسط کاربر: به علت متفاوت بودن سرشماره هایی که پیامک های کد تایید رو ارسال میکنن، امکان بلاک کردنشون برای فردی که مورد مزاحمت قرار گرفته وجود نداره.
همچنین اگر فرد موفق بشه این شماره ها رو بلاک کنه هم در آینده در ورود به سایت های مختلف به مشکل خواهد خورد.
۲. خسارت مالی به شرکتها: همچنین یکی از این ابزارها که از وبسایت مجموعه ما هم داشت سو استفاده میکرد و خدا رو شکر به موقع متوجهش شدیم و جلوش رو گرفتیم، در کمتر از ۱ هفته ای که داشت با ربات درخواست کد ورود برای شماره های مختلف ارسال میکرد، برای ما یک میلیون تومن ضرر مالی داشت که اگر جلوش رو نمی گرفتیم میتونست سالیانه حدود ۶۰ میلیون تومن به ما ضرر مالی بزنه!
✔️ راهکارهایی که برای جلوگیری ازش در نظر گرفتیم:
۱. برای IP هایی که در یک ساعت گذشته، بیش از یک بار درخواست کد ورود داشته اند، کپچای گوگل نمایش داده میشه تا اینگونه ربات ها نتونن پشت سر هم درخواست کد ورود برای شماره های مردم ثبت کنند.
۲. همچنین از اونجایی که معمولا سرور اینجور رباتها خارج از ایران هست، همواره برای آی پی های خارج از ایران، کپچا نمایش داده میشه تا هیچگونه امکان ارسال درخواست توسط این رباتها وجود نداشته باشه. » به این ترتیب کاربران عادی سایت هیچگونه کپچایی نمیبینند و اذیت نمیشن و در عوض در صورت انجام رفتار تکراری و مشکوک توسط کاربر، بهش کپچا نشون داده میشه و جلوی آسیب به سیستم گرفته میشه.
✍️ پ.ن. ۱: البته از اونجایی که معمولا هر مهاجمی در ابتدای کار خیلی ساده تست نفوذ انجام میده، با استفاده از لاگها، آیپیها و شماره موبایل صاحب این ابزار رو پیدا کردیم و از اونجایی که نوجوان بود، بهش تذکر دادیم که در صورت ادامه فعالیت این ابزار مزاحمت، پلیس فتا پیگیر کارش خواهد بود. و به سایر دوستان هم توصیه میکنم به هیچ عنوان حتی برای کنجکاوی سراغ این ابزارها نرید چون ممکنه در صورت داشتن شاکی خصوصی، برای استفادهکنندههای این ابزارها عواقبی ایجاد بشه.
✍️ پ.ن. ۲: از اونجایی که ممکنه منتشر کردن اسم وبسایتهایی که همچنان این باگ رو دارن باعث سواستفاده مضاعف از اونها بشه، ترجیح میدم این پست رو مستقیما برای خود اون مجموعهها ارسال کنم، بنابراین اسمی از هیچ مجموعهای در این پست برده نمیشه.
✍️ پ.ن. ۳: اگر برای پیادهسازی این راهحلها نیاز به راهنمایی دارید، میتونید به بنده پیام بدید.
[Ali soleimani]
#otp
@Syntax_fa
اگر شما هم در وبسایتتون امکان ارسال کد پیامکی (OTP) دارید ولی هنوز هیچ تدبیری برای جلوگیری از سواستفاده توسط رباتها اتخاذ نکردید، پیشنهاد میکنم برای جلوگیری از ضرر میلیونی این پست رو مطالعه کنید.
💡اخیرا متوجه یک سواستفاده از سیستم ورود پیامکی وبسایت مجموعهمون شدیم که اگر متوجهش نمیشدیم و یا جلوی اون رو نمیگرفتیم، میتونست سالانه بیش از ۶۰ میلیون تومان به مجموعه خسارت مالی بزنه.
📝 شرح موضوع:
اگر هنگام دریافت شماره موبایل از کاربر برای ارسال کد OTP هیچ کپچایی وجود نداشته باشه، میشه به تعداد زیاد (در برخی موارد بینهایت) درخواست کد OTP برای شمارههای مختلف کرد. این موضوع باعث شده یک سری ابزارهای اذیت و آزار ایجاد بشه که کافیه شماره فردی که میخواین اذیتش کنید رو به اون ابزار بدید تا ظرف یک دقیقه ۳۰تا پیامک کد ورود از سایتهای مختلف و سرشمارههای مختلف برای فرد مورد نظر ارسال بشه.
🔍 عمق مساله:
۱. عدم امکان جلوگیری توسط کاربر: به علت متفاوت بودن سرشماره هایی که پیامک های کد تایید رو ارسال میکنن، امکان بلاک کردنشون برای فردی که مورد مزاحمت قرار گرفته وجود نداره.
همچنین اگر فرد موفق بشه این شماره ها رو بلاک کنه هم در آینده در ورود به سایت های مختلف به مشکل خواهد خورد.
۲. خسارت مالی به شرکتها: همچنین یکی از این ابزارها که از وبسایت مجموعه ما هم داشت سو استفاده میکرد و خدا رو شکر به موقع متوجهش شدیم و جلوش رو گرفتیم، در کمتر از ۱ هفته ای که داشت با ربات درخواست کد ورود برای شماره های مختلف ارسال میکرد، برای ما یک میلیون تومن ضرر مالی داشت که اگر جلوش رو نمی گرفتیم میتونست سالیانه حدود ۶۰ میلیون تومن به ما ضرر مالی بزنه!
✔️ راهکارهایی که برای جلوگیری ازش در نظر گرفتیم:
۱. برای IP هایی که در یک ساعت گذشته، بیش از یک بار درخواست کد ورود داشته اند، کپچای گوگل نمایش داده میشه تا اینگونه ربات ها نتونن پشت سر هم درخواست کد ورود برای شماره های مردم ثبت کنند.
۲. همچنین از اونجایی که معمولا سرور اینجور رباتها خارج از ایران هست، همواره برای آی پی های خارج از ایران، کپچا نمایش داده میشه تا هیچگونه امکان ارسال درخواست توسط این رباتها وجود نداشته باشه. » به این ترتیب کاربران عادی سایت هیچگونه کپچایی نمیبینند و اذیت نمیشن و در عوض در صورت انجام رفتار تکراری و مشکوک توسط کاربر، بهش کپچا نشون داده میشه و جلوی آسیب به سیستم گرفته میشه.
✍️ پ.ن. ۱: البته از اونجایی که معمولا هر مهاجمی در ابتدای کار خیلی ساده تست نفوذ انجام میده، با استفاده از لاگها، آیپیها و شماره موبایل صاحب این ابزار رو پیدا کردیم و از اونجایی که نوجوان بود، بهش تذکر دادیم که در صورت ادامه فعالیت این ابزار مزاحمت، پلیس فتا پیگیر کارش خواهد بود. و به سایر دوستان هم توصیه میکنم به هیچ عنوان حتی برای کنجکاوی سراغ این ابزارها نرید چون ممکنه در صورت داشتن شاکی خصوصی، برای استفادهکنندههای این ابزارها عواقبی ایجاد بشه.
✍️ پ.ن. ۲: از اونجایی که ممکنه منتشر کردن اسم وبسایتهایی که همچنان این باگ رو دارن باعث سواستفاده مضاعف از اونها بشه، ترجیح میدم این پست رو مستقیما برای خود اون مجموعهها ارسال کنم، بنابراین اسمی از هیچ مجموعهای در این پست برده نمیشه.
✍️ پ.ن. ۳: اگر برای پیادهسازی این راهحلها نیاز به راهنمایی دارید، میتونید به بنده پیام بدید.
[Ali soleimani]
#otp
@Syntax_fa
👍14😁2
Syntax | سینتکس
🔒 بیش از ۱.۵ میلیارد تومان ضرر مالی در سال برای بیش از ۲۰ فروشگاه آنلاین ایرانی بخاطر یک باگ کوچک در صفحه ارسال کد تایید پیامکی! 🛡️ اگر شما هم در وبسایتتون امکان ارسال کد پیامکی (OTP) دارید ولی هنوز هیچ تدبیری برای جلوگیری از سواستفاده توسط رباتها اتخاذ…
راه حل ها:
1. یه راه حل که شاید کمک کننده باشه ایجاد وایت لیستی از آی پی ها و کاربرا در کنار یک بلک لیست هست. که البته استراتژی ایجاد این وایت لیست و بلک لیست خودش میتونه متفاوت باشه. مثلا اگه یه شماره و آی پی قبلا ثبت نام کرده و ورود موفق داشته تا مثلا 1 هفته جزء وایت لیستمون باشه و کپچا بهش نشون ندیم. از طرف دیگه اگه یک آی پی یا یک شماره در یک روز بیشتر از 5 تا درخواست ارسال sms داشته باشه بدون اینکه اون کد ارسالی رو وارد کنه خب آی پیش برای همیشه و شمارش برای یه مدت بلاک بشه چرا که اون ربات یا سوء استفاده گر قطعا به اون کد دسترسی نداره.
البته هر دوی این استراتژی ها وابسته به بیزینسمون هست و باید متناسب سازی بشه. با این دو تا استراتژی احتمالا میشه سوء استفاده از سامانمون رو تا حد خوبی کم کرد و از طرفی ورود به سامانه رو برای کاربرای عادیمون پیچیده نکنیم. در کل به نظرم باید خود بیزینس و نحوه ی رفتار مشتریان و شرایطی که خودمون داریم رو هم در نظر بگیریم و بعد یه راه حل متناسب با خودمون پیاده سازی کنیم. حتی پیاده سازی rate limit و کپچا و... هم باید متناسب با شرایط ما باشه. یعنی ما ببینیم چقدر احتمال وجود داره که این مسئله برای ما پیش بیاد و ما چقدر میخوایم روی این قضیه مانور بدیم و راه حلامون چقدر روی کاربرای عادیمون تاثیر منفی میزاره و چطور میتونیم این تاثیر رو مدیریت کنیم بعد بریم سراغ پیاده سازی .
2. این مشکل راه حل های جایگزینی داره که شرکت ها می تونن ازش استفاده کنند که هرکدام مزایا و معایب خودش رو داره ولی به نظرم یکی از بهترین روش ها استفاده از آوانک هست: چون آوانک محدودیت های فوق العاده خاص و جالبی برای عدم استفاده ی بات ها ازش استفاده می کنه و خیلی شرکت های بزرگ دارن ازش استفاده می کنن. avanak.ir
3. بنظرم Csrf هم در کنار کپچا جوابگوئه
اگر بخواهیم امنیت بیشتری داشته باشه rate limitation هم بر اساس آی پی و هم شماره موبایل میشه اضافه کرد
4. فارغ از کپچا که در تمامی شرایط نمی شه ازش استفاده بشه(مش) حتما این دست end point ها باید دو موضوع توش رعایت بشه یکی بحث rate limiting با الگورتیم هایی مثل GCRA و دیگری بحث idempotency
روش پیشنهادی شما چیه؟
#otp
@Syntax_fa
1. یه راه حل که شاید کمک کننده باشه ایجاد وایت لیستی از آی پی ها و کاربرا در کنار یک بلک لیست هست. که البته استراتژی ایجاد این وایت لیست و بلک لیست خودش میتونه متفاوت باشه. مثلا اگه یه شماره و آی پی قبلا ثبت نام کرده و ورود موفق داشته تا مثلا 1 هفته جزء وایت لیستمون باشه و کپچا بهش نشون ندیم. از طرف دیگه اگه یک آی پی یا یک شماره در یک روز بیشتر از 5 تا درخواست ارسال sms داشته باشه بدون اینکه اون کد ارسالی رو وارد کنه خب آی پیش برای همیشه و شمارش برای یه مدت بلاک بشه چرا که اون ربات یا سوء استفاده گر قطعا به اون کد دسترسی نداره.
البته هر دوی این استراتژی ها وابسته به بیزینسمون هست و باید متناسب سازی بشه. با این دو تا استراتژی احتمالا میشه سوء استفاده از سامانمون رو تا حد خوبی کم کرد و از طرفی ورود به سامانه رو برای کاربرای عادیمون پیچیده نکنیم. در کل به نظرم باید خود بیزینس و نحوه ی رفتار مشتریان و شرایطی که خودمون داریم رو هم در نظر بگیریم و بعد یه راه حل متناسب با خودمون پیاده سازی کنیم. حتی پیاده سازی rate limit و کپچا و... هم باید متناسب با شرایط ما باشه. یعنی ما ببینیم چقدر احتمال وجود داره که این مسئله برای ما پیش بیاد و ما چقدر میخوایم روی این قضیه مانور بدیم و راه حلامون چقدر روی کاربرای عادیمون تاثیر منفی میزاره و چطور میتونیم این تاثیر رو مدیریت کنیم بعد بریم سراغ پیاده سازی .
2. این مشکل راه حل های جایگزینی داره که شرکت ها می تونن ازش استفاده کنند که هرکدام مزایا و معایب خودش رو داره ولی به نظرم یکی از بهترین روش ها استفاده از آوانک هست: چون آوانک محدودیت های فوق العاده خاص و جالبی برای عدم استفاده ی بات ها ازش استفاده می کنه و خیلی شرکت های بزرگ دارن ازش استفاده می کنن. avanak.ir
3. بنظرم Csrf هم در کنار کپچا جوابگوئه
اگر بخواهیم امنیت بیشتری داشته باشه rate limitation هم بر اساس آی پی و هم شماره موبایل میشه اضافه کرد
4. فارغ از کپچا که در تمامی شرایط نمی شه ازش استفاده بشه(مش) حتما این دست end point ها باید دو موضوع توش رعایت بشه یکی بحث rate limiting با الگورتیم هایی مثل GCRA و دیگری بحث idempotency
روش پیشنهادی شما چیه؟
#otp
@Syntax_fa
👍8
باگ اینستاگرام
باگ در بخش تصدیق شماره موبایل بوده برای دریافت لینک reset password که بواسطه ایجاد شرایط رقابتی، مهاجم امکان تعریف کردن یک شماره موبایل نا صحیح رو پیدا میکرد.
https://www.securityweek.com/instagram-account-takeover-vulnerability-earns-hacker-30000/
#instagram #bug
@Syntax_fa
باگ در بخش تصدیق شماره موبایل بوده برای دریافت لینک reset password که بواسطه ایجاد شرایط رقابتی، مهاجم امکان تعریف کردن یک شماره موبایل نا صحیح رو پیدا میکرد.
https://www.securityweek.com/instagram-account-takeover-vulnerability-earns-hacker-30000/
#instagram #bug
@Syntax_fa
SecurityWeek
Instagram Account Takeover Vulnerability Earns Hacker $30,000
A researcher claims to have received $30,000 from Facebook after discovering a critical vulnerability that could have been exploited to easily hack Instagram accounts.India-based bug bounty hunter Laxman Muthiyah discovered the security hole while analyzing…
👍6
مزدور دنیای برنامه نویسی کیست !!
مزدور دنیای برنامهنویسی یک شخصیت خندهدار و البته بسیار رایج در این عرصه است. او دارای ویژگیهای منحصر بهفردی است که باعث میشود در هر شرایطی آماده به خدمت باشد، حتی اگر کاملاً از موضوع بیاطلاع باشد.
ویژگیهای مزدور دنیای برنامهنویسی:
١. جملات تکراری و آرامبخش:
«بله حتماً»، «چشم، قربان»، «شما دستور بدید، من انجام میدم» از جملات محبوب او هستند که در هر شرایطی آنها را تکرار میکند.
٢. مهارتهای گوناگون اما سطحی:
اگر از او بپرسید با چه زبانهایی کار میکند، لیستی از تمام زبانهای برنامهنویسی را برایتان می گوید(بنده با اسمبلی، سی و پلاس پلاس، سی شارپ، پایتون، پی اچ پی، جی اس و ... حرفه ای کار کردم. خلاصه زبونی نیست که توش سر رشته نداشته باشه)، اما در عمل تنها یکی دو زبان را در سطح ابتدایی بلد است.
٣. رزومه های اغراقآمیز:
در رزومه او عناوینی مانند «مهندس نرمافزار ارشد»، «توسعهدهنده Full-Stack» و «متخصص هوش مصنوعی» درج شده است، اما در واقع او تنها یک برنامهنویس مبتدی است(نهایتا با کمک جد و خاندان هوش مصنوعی بتونه کد بزنه).
۴. ادعاهای توخالی:
مزدور دنیای برنامهنویسی همیشه ادعاهای بزرگی دارد و میگوید میتواند پروژههای عظیم و پیچیده را در زمان کوتاهی تحویل دهد، اما در عمل کارش چندان تمیز نیست(در واقع خود کثیفه).
۵. سر و گردنه بالا:
او حاضر است برای هر پروژهای، حتی پروژههای کاملاً خارج از حیطه تخصصش، قیمت های نجومی بگیرد و همیشه ادعا میکند که تنها او میتواند آن پروژه را به خوبی انجام دهد(جون جدم کسی نیست در حدم).
۶. مصاحبههای فریبنده:
در مصاحبههای استخدامی، مزدور دنیای برنامهنویسی با زبان چرب و نرم خود سعی میکند کارفرما را گول بزند و خود را حرفهایتر از آنچه هست جلوه دهد(بالاخره که لو میری مرد/زن حسابی).
در کل، مزدور دنیای برنامهنویسی شخصیتی کمدی طور دارد که با ادعاهای بزرگ و وعدههای توخالی و پروفایل حرفه ای(مبادا بدون دوربین کانن عکس بگیری) سعی میکند خود را حرفهای جلوه دهد، اما در عمل چندان تخصص و تجربهای ندارد. با این حال، حضور چنین افرادی در این حرفه نشاندهنده اهمیت و درآمدزایی آن است که باعث جذب افراد مزدور میشود.
(بدون منبع شیر کنید دست همه مزدور ها برسه)
#مزدور #fun
@Syntax_fa
مزدور دنیای برنامهنویسی یک شخصیت خندهدار و البته بسیار رایج در این عرصه است. او دارای ویژگیهای منحصر بهفردی است که باعث میشود در هر شرایطی آماده به خدمت باشد، حتی اگر کاملاً از موضوع بیاطلاع باشد.
ویژگیهای مزدور دنیای برنامهنویسی:
١. جملات تکراری و آرامبخش:
«بله حتماً»، «چشم، قربان»، «شما دستور بدید، من انجام میدم» از جملات محبوب او هستند که در هر شرایطی آنها را تکرار میکند.
٢. مهارتهای گوناگون اما سطحی:
اگر از او بپرسید با چه زبانهایی کار میکند، لیستی از تمام زبانهای برنامهنویسی را برایتان می گوید(بنده با اسمبلی، سی و پلاس پلاس، سی شارپ، پایتون، پی اچ پی، جی اس و ... حرفه ای کار کردم. خلاصه زبونی نیست که توش سر رشته نداشته باشه)، اما در عمل تنها یکی دو زبان را در سطح ابتدایی بلد است.
٣. رزومه های اغراقآمیز:
در رزومه او عناوینی مانند «مهندس نرمافزار ارشد»، «توسعهدهنده Full-Stack» و «متخصص هوش مصنوعی» درج شده است، اما در واقع او تنها یک برنامهنویس مبتدی است(نهایتا با کمک جد و خاندان هوش مصنوعی بتونه کد بزنه).
۴. ادعاهای توخالی:
مزدور دنیای برنامهنویسی همیشه ادعاهای بزرگی دارد و میگوید میتواند پروژههای عظیم و پیچیده را در زمان کوتاهی تحویل دهد، اما در عمل کارش چندان تمیز نیست(در واقع خود کثیفه).
۵. سر و گردنه بالا:
او حاضر است برای هر پروژهای، حتی پروژههای کاملاً خارج از حیطه تخصصش، قیمت های نجومی بگیرد و همیشه ادعا میکند که تنها او میتواند آن پروژه را به خوبی انجام دهد(جون جدم کسی نیست در حدم).
۶. مصاحبههای فریبنده:
در مصاحبههای استخدامی، مزدور دنیای برنامهنویسی با زبان چرب و نرم خود سعی میکند کارفرما را گول بزند و خود را حرفهایتر از آنچه هست جلوه دهد(بالاخره که لو میری مرد/زن حسابی).
در کل، مزدور دنیای برنامهنویسی شخصیتی کمدی طور دارد که با ادعاهای بزرگ و وعدههای توخالی و پروفایل حرفه ای(مبادا بدون دوربین کانن عکس بگیری) سعی میکند خود را حرفهای جلوه دهد، اما در عمل چندان تخصص و تجربهای ندارد. با این حال، حضور چنین افرادی در این حرفه نشاندهنده اهمیت و درآمدزایی آن است که باعث جذب افراد مزدور میشود.
(بدون منبع شیر کنید دست همه مزدور ها برسه)
#مزدور #fun
@Syntax_fa
👍22😁2
👍16