پراکندگی موقعیت شغلی بک اند پایتون
هر چی تیره تر یعنی بیشتره
منبع:
https://workhunty.com/job-blog/where-is-the-best-place-to-be-a-programmer/Django/
#python
@Syntax_fa
هر چی تیره تر یعنی بیشتره
منبع:
https://workhunty.com/job-blog/where-is-the-best-place-to-be-a-programmer/Django/
#python
@Syntax_fa
👍12🤣4🔥1
https://github.com/radinparhami/TempoMail
ایجاد ایمیل موقت و دریافت پیام ازش و ....
کاملا رایگانه API-Key هم نیاز نداره حتی
[Radin: @IM_Eight]
@Syntax_fa
ایجاد ایمیل موقت و دریافت پیام ازش و ....
کاملا رایگانه API-Key هم نیاز نداره حتی
[Radin: @IM_Eight]
@Syntax_fa
GitHub
GitHub - radinparhami/TempoMail: python temp-mail liberary
python temp-mail liberary. Contribute to radinparhami/TempoMail development by creating an account on GitHub.
🔥7👍1
1711139435977.pdf
637.3 KB
تست بار یا load test چی هستش و چطور انجام میشه!
در خیلی از پروژه هایی که نسبتا بزرگ هستش و ممکنه تعامل کاربران زیادی داشته باشه معمولا توی یک محیط آزمایشگاهی قرارش میدن تا میزان باری که می تونه نسبت به درخواست های کاربران پاسخ گو باشه رو تست کنن.
که در حقیقت با ایجاد ترافیک مصنوعی و درخواست های چند گانه این اتفاق میافته. البته که بایستی با یک ریتم خاص تست بشه و صرفا از لحظه اول با تمام بار بهش یهو حمله نمی کنن 🤣 .
ولی در کل پکیج های متفاوت در زبان های مختلف وجود داره که یکی از اون ها locust هستش که با زبان پایتون شما می تونین به راحتی ساختار درخواست های لازم رو ایجاد کنین و در پنل تحت وب اون تعداد کاربران و آستانه های ورود رو مشخص کنین و در آخر ببینید که کدوم یک از endpoint های شما در زمان درخواست های زیاد ممکنه پاسخ گویی مناسبی نداشته باشه و آستانه تحمل سرویستون رو می تونین به راحتی بسنجین.
البته که معیار های زیادی دخیل هستش مثل خود سرور و ذخایر اون که به راحتی با همچین چیزی می تونین تست کنین که آستانه مورد نیازتون برای چند نفر قراره باشه و چه مقیاسی لازمه.
[Ali Bigdeli]
#Django
@Syntax_fa
در خیلی از پروژه هایی که نسبتا بزرگ هستش و ممکنه تعامل کاربران زیادی داشته باشه معمولا توی یک محیط آزمایشگاهی قرارش میدن تا میزان باری که می تونه نسبت به درخواست های کاربران پاسخ گو باشه رو تست کنن.
که در حقیقت با ایجاد ترافیک مصنوعی و درخواست های چند گانه این اتفاق میافته. البته که بایستی با یک ریتم خاص تست بشه و صرفا از لحظه اول با تمام بار بهش یهو حمله نمی کنن 🤣 .
ولی در کل پکیج های متفاوت در زبان های مختلف وجود داره که یکی از اون ها locust هستش که با زبان پایتون شما می تونین به راحتی ساختار درخواست های لازم رو ایجاد کنین و در پنل تحت وب اون تعداد کاربران و آستانه های ورود رو مشخص کنین و در آخر ببینید که کدوم یک از endpoint های شما در زمان درخواست های زیاد ممکنه پاسخ گویی مناسبی نداشته باشه و آستانه تحمل سرویستون رو می تونین به راحتی بسنجین.
البته که معیار های زیادی دخیل هستش مثل خود سرور و ذخایر اون که به راحتی با همچین چیزی می تونین تست کنین که آستانه مورد نیازتون برای چند نفر قراره باشه و چه مقیاسی لازمه.
[Ali Bigdeli]
#Django
@Syntax_fa
👍11
دوستانی که قصد مهاجرت دارند یا قصد ورود به دنیای دواپس دارند این ویس گوش بدهند.
از این لینک میتونید ویتینگ لیست پر کنید.
https://adplist.org/mentors/ahmadali-bagheri
https://news.1rj.ru/str/DevOpsHobbies
#Devops
@Syntax_fa
از این لینک میتونید ویتینگ لیست پر کنید.
https://adplist.org/mentors/ahmadali-bagheri
https://news.1rj.ru/str/DevOpsHobbies
#Devops
@Syntax_fa
👍4
1709543790103.pdf
4.1 MB
یکی از چالشهای هر پروژه برنامه نویسی مدیریت سورس کد و حفظ کیفیت اونه.
هر چقدر حجم کد بیشتر بشه یا تیم بزرگتر بشه چالش و دغدغهها بیشتر هم میشن و ریوو کردن کد هم خودش به چالشی بزرگتر تبدیل میشه که روز به روز تایم بیشتری میگیره و از طرفی احتمال از قلم افتادن توافقها، نکات و اصول هم بیشتر میشه.
اینجاست که pre-commit به دادمون میرسه. در این پست در ابتدا سعی میکنم برخی از نکات و مواردی که خودم در تیمها سعی میکردم رعایت کنم رو مطرح کنم [امیدوارم خودشون مفید و آموزنده باشن] و در نهایت به نحوه ستاپ و نوشتن pre-commit میپردازم و اشارهای به pre-push در یه مثال کاربردی و مورد نیاز و همین طور جاب qa میکنم.
[Mohammad amin amjadi]
@Syntax_fa
هر چقدر حجم کد بیشتر بشه یا تیم بزرگتر بشه چالش و دغدغهها بیشتر هم میشن و ریوو کردن کد هم خودش به چالشی بزرگتر تبدیل میشه که روز به روز تایم بیشتری میگیره و از طرفی احتمال از قلم افتادن توافقها، نکات و اصول هم بیشتر میشه.
اینجاست که pre-commit به دادمون میرسه. در این پست در ابتدا سعی میکنم برخی از نکات و مواردی که خودم در تیمها سعی میکردم رعایت کنم رو مطرح کنم [امیدوارم خودشون مفید و آموزنده باشن] و در نهایت به نحوه ستاپ و نوشتن pre-commit میپردازم و اشارهای به pre-push در یه مثال کاربردی و مورد نیاز و همین طور جاب qa میکنم.
[Mohammad amin amjadi]
@Syntax_fa
👍9👎1
وقتی تو گروه های برنامه نویسی، یه تازه کار سوال میپرسه راهنماییش کنن:
تازه کار:
الان من زبان جنگو رو میخوام یاد بگیرم و دانش کمی هم به زبان سی اس اس و html دارم.
باز به درد بک اند دولوپر میخورم؟
ممد:
زبان برنامه نویسی جنگو خیلی عالیه من تو حوزه رباتیک برای ساخت فرانت اندم ازش استفاده میکنم واقعا پرفورمنس خوبی داره
مهدی:
الان یکی همینجوری بهت دروغ بگه خوشحال میشی ؟
داداش این الکی میگه
من خودم از زبون جنگو استفاده کردم
تو حوزه ماشین لرنینگ ازش استفاده کردم که خیلی خوب باهاش تونستیم یک ui رو دیزاین کنیم برای پروژه های فرانت اندیمون
دوباره ممد:
داداش وقتی بلد نیستی نپر وسط جنگو برای ماشین لرنینگ تیون نشده فقط باهاش میشه کارای دات نتی کرد مثلا میشه باهاش هسته داکرو نوشت من خودم الان کرنلی که کامپایل کردم به زبان جنگوعه
امیرحسین:
جنگ مگه یاد گرفتنیه؟
که میخواید جنگو یاد بگیرید؟
کافیه وارد جنگ بشید اتوماتیک همه چیو یاد میگیرید
#fun
@Syntax_fa
تازه کار:
الان من زبان جنگو رو میخوام یاد بگیرم و دانش کمی هم به زبان سی اس اس و html دارم.
باز به درد بک اند دولوپر میخورم؟
ممد:
زبان برنامه نویسی جنگو خیلی عالیه من تو حوزه رباتیک برای ساخت فرانت اندم ازش استفاده میکنم واقعا پرفورمنس خوبی داره
مهدی:
الان یکی همینجوری بهت دروغ بگه خوشحال میشی ؟
داداش این الکی میگه
من خودم از زبون جنگو استفاده کردم
تو حوزه ماشین لرنینگ ازش استفاده کردم که خیلی خوب باهاش تونستیم یک ui رو دیزاین کنیم برای پروژه های فرانت اندیمون
دوباره ممد:
داداش وقتی بلد نیستی نپر وسط جنگو برای ماشین لرنینگ تیون نشده فقط باهاش میشه کارای دات نتی کرد مثلا میشه باهاش هسته داکرو نوشت من خودم الان کرنلی که کامپایل کردم به زبان جنگوعه
امیرحسین:
جنگ مگه یاد گرفتنیه؟
که میخواید جنگو یاد بگیرید؟
کافیه وارد جنگ بشید اتوماتیک همه چیو یاد میگیرید
#fun
@Syntax_fa
😁24👍1🌚1
🔒 بیش از ۱.۵ میلیارد تومان ضرر مالی در سال برای بیش از ۲۰ فروشگاه آنلاین ایرانی بخاطر یک باگ کوچک در صفحه ارسال کد تایید پیامکی! 🛡️
اگر شما هم در وبسایتتون امکان ارسال کد پیامکی (OTP) دارید ولی هنوز هیچ تدبیری برای جلوگیری از سواستفاده توسط رباتها اتخاذ نکردید، پیشنهاد میکنم برای جلوگیری از ضرر میلیونی این پست رو مطالعه کنید.
💡اخیرا متوجه یک سواستفاده از سیستم ورود پیامکی وبسایت مجموعهمون شدیم که اگر متوجهش نمیشدیم و یا جلوی اون رو نمیگرفتیم، میتونست سالانه بیش از ۶۰ میلیون تومان به مجموعه خسارت مالی بزنه.
📝 شرح موضوع:
اگر هنگام دریافت شماره موبایل از کاربر برای ارسال کد OTP هیچ کپچایی وجود نداشته باشه، میشه به تعداد زیاد (در برخی موارد بینهایت) درخواست کد OTP برای شمارههای مختلف کرد. این موضوع باعث شده یک سری ابزارهای اذیت و آزار ایجاد بشه که کافیه شماره فردی که میخواین اذیتش کنید رو به اون ابزار بدید تا ظرف یک دقیقه ۳۰تا پیامک کد ورود از سایتهای مختلف و سرشمارههای مختلف برای فرد مورد نظر ارسال بشه.
🔍 عمق مساله:
۱. عدم امکان جلوگیری توسط کاربر: به علت متفاوت بودن سرشماره هایی که پیامک های کد تایید رو ارسال میکنن، امکان بلاک کردنشون برای فردی که مورد مزاحمت قرار گرفته وجود نداره.
همچنین اگر فرد موفق بشه این شماره ها رو بلاک کنه هم در آینده در ورود به سایت های مختلف به مشکل خواهد خورد.
۲. خسارت مالی به شرکتها: همچنین یکی از این ابزارها که از وبسایت مجموعه ما هم داشت سو استفاده میکرد و خدا رو شکر به موقع متوجهش شدیم و جلوش رو گرفتیم، در کمتر از ۱ هفته ای که داشت با ربات درخواست کد ورود برای شماره های مختلف ارسال میکرد، برای ما یک میلیون تومن ضرر مالی داشت که اگر جلوش رو نمی گرفتیم میتونست سالیانه حدود ۶۰ میلیون تومن به ما ضرر مالی بزنه!
✔️ راهکارهایی که برای جلوگیری ازش در نظر گرفتیم:
۱. برای IP هایی که در یک ساعت گذشته، بیش از یک بار درخواست کد ورود داشته اند، کپچای گوگل نمایش داده میشه تا اینگونه ربات ها نتونن پشت سر هم درخواست کد ورود برای شماره های مردم ثبت کنند.
۲. همچنین از اونجایی که معمولا سرور اینجور رباتها خارج از ایران هست، همواره برای آی پی های خارج از ایران، کپچا نمایش داده میشه تا هیچگونه امکان ارسال درخواست توسط این رباتها وجود نداشته باشه. » به این ترتیب کاربران عادی سایت هیچگونه کپچایی نمیبینند و اذیت نمیشن و در عوض در صورت انجام رفتار تکراری و مشکوک توسط کاربر، بهش کپچا نشون داده میشه و جلوی آسیب به سیستم گرفته میشه.
✍️ پ.ن. ۱: البته از اونجایی که معمولا هر مهاجمی در ابتدای کار خیلی ساده تست نفوذ انجام میده، با استفاده از لاگها، آیپیها و شماره موبایل صاحب این ابزار رو پیدا کردیم و از اونجایی که نوجوان بود، بهش تذکر دادیم که در صورت ادامه فعالیت این ابزار مزاحمت، پلیس فتا پیگیر کارش خواهد بود. و به سایر دوستان هم توصیه میکنم به هیچ عنوان حتی برای کنجکاوی سراغ این ابزارها نرید چون ممکنه در صورت داشتن شاکی خصوصی، برای استفادهکنندههای این ابزارها عواقبی ایجاد بشه.
✍️ پ.ن. ۲: از اونجایی که ممکنه منتشر کردن اسم وبسایتهایی که همچنان این باگ رو دارن باعث سواستفاده مضاعف از اونها بشه، ترجیح میدم این پست رو مستقیما برای خود اون مجموعهها ارسال کنم، بنابراین اسمی از هیچ مجموعهای در این پست برده نمیشه.
✍️ پ.ن. ۳: اگر برای پیادهسازی این راهحلها نیاز به راهنمایی دارید، میتونید به بنده پیام بدید.
[Ali soleimani]
#otp
@Syntax_fa
اگر شما هم در وبسایتتون امکان ارسال کد پیامکی (OTP) دارید ولی هنوز هیچ تدبیری برای جلوگیری از سواستفاده توسط رباتها اتخاذ نکردید، پیشنهاد میکنم برای جلوگیری از ضرر میلیونی این پست رو مطالعه کنید.
💡اخیرا متوجه یک سواستفاده از سیستم ورود پیامکی وبسایت مجموعهمون شدیم که اگر متوجهش نمیشدیم و یا جلوی اون رو نمیگرفتیم، میتونست سالانه بیش از ۶۰ میلیون تومان به مجموعه خسارت مالی بزنه.
📝 شرح موضوع:
اگر هنگام دریافت شماره موبایل از کاربر برای ارسال کد OTP هیچ کپچایی وجود نداشته باشه، میشه به تعداد زیاد (در برخی موارد بینهایت) درخواست کد OTP برای شمارههای مختلف کرد. این موضوع باعث شده یک سری ابزارهای اذیت و آزار ایجاد بشه که کافیه شماره فردی که میخواین اذیتش کنید رو به اون ابزار بدید تا ظرف یک دقیقه ۳۰تا پیامک کد ورود از سایتهای مختلف و سرشمارههای مختلف برای فرد مورد نظر ارسال بشه.
🔍 عمق مساله:
۱. عدم امکان جلوگیری توسط کاربر: به علت متفاوت بودن سرشماره هایی که پیامک های کد تایید رو ارسال میکنن، امکان بلاک کردنشون برای فردی که مورد مزاحمت قرار گرفته وجود نداره.
همچنین اگر فرد موفق بشه این شماره ها رو بلاک کنه هم در آینده در ورود به سایت های مختلف به مشکل خواهد خورد.
۲. خسارت مالی به شرکتها: همچنین یکی از این ابزارها که از وبسایت مجموعه ما هم داشت سو استفاده میکرد و خدا رو شکر به موقع متوجهش شدیم و جلوش رو گرفتیم، در کمتر از ۱ هفته ای که داشت با ربات درخواست کد ورود برای شماره های مختلف ارسال میکرد، برای ما یک میلیون تومن ضرر مالی داشت که اگر جلوش رو نمی گرفتیم میتونست سالیانه حدود ۶۰ میلیون تومن به ما ضرر مالی بزنه!
✔️ راهکارهایی که برای جلوگیری ازش در نظر گرفتیم:
۱. برای IP هایی که در یک ساعت گذشته، بیش از یک بار درخواست کد ورود داشته اند، کپچای گوگل نمایش داده میشه تا اینگونه ربات ها نتونن پشت سر هم درخواست کد ورود برای شماره های مردم ثبت کنند.
۲. همچنین از اونجایی که معمولا سرور اینجور رباتها خارج از ایران هست، همواره برای آی پی های خارج از ایران، کپچا نمایش داده میشه تا هیچگونه امکان ارسال درخواست توسط این رباتها وجود نداشته باشه. » به این ترتیب کاربران عادی سایت هیچگونه کپچایی نمیبینند و اذیت نمیشن و در عوض در صورت انجام رفتار تکراری و مشکوک توسط کاربر، بهش کپچا نشون داده میشه و جلوی آسیب به سیستم گرفته میشه.
✍️ پ.ن. ۱: البته از اونجایی که معمولا هر مهاجمی در ابتدای کار خیلی ساده تست نفوذ انجام میده، با استفاده از لاگها، آیپیها و شماره موبایل صاحب این ابزار رو پیدا کردیم و از اونجایی که نوجوان بود، بهش تذکر دادیم که در صورت ادامه فعالیت این ابزار مزاحمت، پلیس فتا پیگیر کارش خواهد بود. و به سایر دوستان هم توصیه میکنم به هیچ عنوان حتی برای کنجکاوی سراغ این ابزارها نرید چون ممکنه در صورت داشتن شاکی خصوصی، برای استفادهکنندههای این ابزارها عواقبی ایجاد بشه.
✍️ پ.ن. ۲: از اونجایی که ممکنه منتشر کردن اسم وبسایتهایی که همچنان این باگ رو دارن باعث سواستفاده مضاعف از اونها بشه، ترجیح میدم این پست رو مستقیما برای خود اون مجموعهها ارسال کنم، بنابراین اسمی از هیچ مجموعهای در این پست برده نمیشه.
✍️ پ.ن. ۳: اگر برای پیادهسازی این راهحلها نیاز به راهنمایی دارید، میتونید به بنده پیام بدید.
[Ali soleimani]
#otp
@Syntax_fa
👍14😁2
Syntax | سینتکس
🔒 بیش از ۱.۵ میلیارد تومان ضرر مالی در سال برای بیش از ۲۰ فروشگاه آنلاین ایرانی بخاطر یک باگ کوچک در صفحه ارسال کد تایید پیامکی! 🛡️ اگر شما هم در وبسایتتون امکان ارسال کد پیامکی (OTP) دارید ولی هنوز هیچ تدبیری برای جلوگیری از سواستفاده توسط رباتها اتخاذ…
راه حل ها:
1. یه راه حل که شاید کمک کننده باشه ایجاد وایت لیستی از آی پی ها و کاربرا در کنار یک بلک لیست هست. که البته استراتژی ایجاد این وایت لیست و بلک لیست خودش میتونه متفاوت باشه. مثلا اگه یه شماره و آی پی قبلا ثبت نام کرده و ورود موفق داشته تا مثلا 1 هفته جزء وایت لیستمون باشه و کپچا بهش نشون ندیم. از طرف دیگه اگه یک آی پی یا یک شماره در یک روز بیشتر از 5 تا درخواست ارسال sms داشته باشه بدون اینکه اون کد ارسالی رو وارد کنه خب آی پیش برای همیشه و شمارش برای یه مدت بلاک بشه چرا که اون ربات یا سوء استفاده گر قطعا به اون کد دسترسی نداره.
البته هر دوی این استراتژی ها وابسته به بیزینسمون هست و باید متناسب سازی بشه. با این دو تا استراتژی احتمالا میشه سوء استفاده از سامانمون رو تا حد خوبی کم کرد و از طرفی ورود به سامانه رو برای کاربرای عادیمون پیچیده نکنیم. در کل به نظرم باید خود بیزینس و نحوه ی رفتار مشتریان و شرایطی که خودمون داریم رو هم در نظر بگیریم و بعد یه راه حل متناسب با خودمون پیاده سازی کنیم. حتی پیاده سازی rate limit و کپچا و... هم باید متناسب با شرایط ما باشه. یعنی ما ببینیم چقدر احتمال وجود داره که این مسئله برای ما پیش بیاد و ما چقدر میخوایم روی این قضیه مانور بدیم و راه حلامون چقدر روی کاربرای عادیمون تاثیر منفی میزاره و چطور میتونیم این تاثیر رو مدیریت کنیم بعد بریم سراغ پیاده سازی .
2. این مشکل راه حل های جایگزینی داره که شرکت ها می تونن ازش استفاده کنند که هرکدام مزایا و معایب خودش رو داره ولی به نظرم یکی از بهترین روش ها استفاده از آوانک هست: چون آوانک محدودیت های فوق العاده خاص و جالبی برای عدم استفاده ی بات ها ازش استفاده می کنه و خیلی شرکت های بزرگ دارن ازش استفاده می کنن. avanak.ir
3. بنظرم Csrf هم در کنار کپچا جوابگوئه
اگر بخواهیم امنیت بیشتری داشته باشه rate limitation هم بر اساس آی پی و هم شماره موبایل میشه اضافه کرد
4. فارغ از کپچا که در تمامی شرایط نمی شه ازش استفاده بشه(مش) حتما این دست end point ها باید دو موضوع توش رعایت بشه یکی بحث rate limiting با الگورتیم هایی مثل GCRA و دیگری بحث idempotency
روش پیشنهادی شما چیه؟
#otp
@Syntax_fa
1. یه راه حل که شاید کمک کننده باشه ایجاد وایت لیستی از آی پی ها و کاربرا در کنار یک بلک لیست هست. که البته استراتژی ایجاد این وایت لیست و بلک لیست خودش میتونه متفاوت باشه. مثلا اگه یه شماره و آی پی قبلا ثبت نام کرده و ورود موفق داشته تا مثلا 1 هفته جزء وایت لیستمون باشه و کپچا بهش نشون ندیم. از طرف دیگه اگه یک آی پی یا یک شماره در یک روز بیشتر از 5 تا درخواست ارسال sms داشته باشه بدون اینکه اون کد ارسالی رو وارد کنه خب آی پیش برای همیشه و شمارش برای یه مدت بلاک بشه چرا که اون ربات یا سوء استفاده گر قطعا به اون کد دسترسی نداره.
البته هر دوی این استراتژی ها وابسته به بیزینسمون هست و باید متناسب سازی بشه. با این دو تا استراتژی احتمالا میشه سوء استفاده از سامانمون رو تا حد خوبی کم کرد و از طرفی ورود به سامانه رو برای کاربرای عادیمون پیچیده نکنیم. در کل به نظرم باید خود بیزینس و نحوه ی رفتار مشتریان و شرایطی که خودمون داریم رو هم در نظر بگیریم و بعد یه راه حل متناسب با خودمون پیاده سازی کنیم. حتی پیاده سازی rate limit و کپچا و... هم باید متناسب با شرایط ما باشه. یعنی ما ببینیم چقدر احتمال وجود داره که این مسئله برای ما پیش بیاد و ما چقدر میخوایم روی این قضیه مانور بدیم و راه حلامون چقدر روی کاربرای عادیمون تاثیر منفی میزاره و چطور میتونیم این تاثیر رو مدیریت کنیم بعد بریم سراغ پیاده سازی .
2. این مشکل راه حل های جایگزینی داره که شرکت ها می تونن ازش استفاده کنند که هرکدام مزایا و معایب خودش رو داره ولی به نظرم یکی از بهترین روش ها استفاده از آوانک هست: چون آوانک محدودیت های فوق العاده خاص و جالبی برای عدم استفاده ی بات ها ازش استفاده می کنه و خیلی شرکت های بزرگ دارن ازش استفاده می کنن. avanak.ir
3. بنظرم Csrf هم در کنار کپچا جوابگوئه
اگر بخواهیم امنیت بیشتری داشته باشه rate limitation هم بر اساس آی پی و هم شماره موبایل میشه اضافه کرد
4. فارغ از کپچا که در تمامی شرایط نمی شه ازش استفاده بشه(مش) حتما این دست end point ها باید دو موضوع توش رعایت بشه یکی بحث rate limiting با الگورتیم هایی مثل GCRA و دیگری بحث idempotency
روش پیشنهادی شما چیه؟
#otp
@Syntax_fa
👍8
باگ اینستاگرام
باگ در بخش تصدیق شماره موبایل بوده برای دریافت لینک reset password که بواسطه ایجاد شرایط رقابتی، مهاجم امکان تعریف کردن یک شماره موبایل نا صحیح رو پیدا میکرد.
https://www.securityweek.com/instagram-account-takeover-vulnerability-earns-hacker-30000/
#instagram #bug
@Syntax_fa
باگ در بخش تصدیق شماره موبایل بوده برای دریافت لینک reset password که بواسطه ایجاد شرایط رقابتی، مهاجم امکان تعریف کردن یک شماره موبایل نا صحیح رو پیدا میکرد.
https://www.securityweek.com/instagram-account-takeover-vulnerability-earns-hacker-30000/
#instagram #bug
@Syntax_fa
SecurityWeek
Instagram Account Takeover Vulnerability Earns Hacker $30,000
A researcher claims to have received $30,000 from Facebook after discovering a critical vulnerability that could have been exploited to easily hack Instagram accounts.India-based bug bounty hunter Laxman Muthiyah discovered the security hole while analyzing…
👍6
مزدور دنیای برنامه نویسی کیست !!
مزدور دنیای برنامهنویسی یک شخصیت خندهدار و البته بسیار رایج در این عرصه است. او دارای ویژگیهای منحصر بهفردی است که باعث میشود در هر شرایطی آماده به خدمت باشد، حتی اگر کاملاً از موضوع بیاطلاع باشد.
ویژگیهای مزدور دنیای برنامهنویسی:
١. جملات تکراری و آرامبخش:
«بله حتماً»، «چشم، قربان»، «شما دستور بدید، من انجام میدم» از جملات محبوب او هستند که در هر شرایطی آنها را تکرار میکند.
٢. مهارتهای گوناگون اما سطحی:
اگر از او بپرسید با چه زبانهایی کار میکند، لیستی از تمام زبانهای برنامهنویسی را برایتان می گوید(بنده با اسمبلی، سی و پلاس پلاس، سی شارپ، پایتون، پی اچ پی، جی اس و ... حرفه ای کار کردم. خلاصه زبونی نیست که توش سر رشته نداشته باشه)، اما در عمل تنها یکی دو زبان را در سطح ابتدایی بلد است.
٣. رزومه های اغراقآمیز:
در رزومه او عناوینی مانند «مهندس نرمافزار ارشد»، «توسعهدهنده Full-Stack» و «متخصص هوش مصنوعی» درج شده است، اما در واقع او تنها یک برنامهنویس مبتدی است(نهایتا با کمک جد و خاندان هوش مصنوعی بتونه کد بزنه).
۴. ادعاهای توخالی:
مزدور دنیای برنامهنویسی همیشه ادعاهای بزرگی دارد و میگوید میتواند پروژههای عظیم و پیچیده را در زمان کوتاهی تحویل دهد، اما در عمل کارش چندان تمیز نیست(در واقع خود کثیفه).
۵. سر و گردنه بالا:
او حاضر است برای هر پروژهای، حتی پروژههای کاملاً خارج از حیطه تخصصش، قیمت های نجومی بگیرد و همیشه ادعا میکند که تنها او میتواند آن پروژه را به خوبی انجام دهد(جون جدم کسی نیست در حدم).
۶. مصاحبههای فریبنده:
در مصاحبههای استخدامی، مزدور دنیای برنامهنویسی با زبان چرب و نرم خود سعی میکند کارفرما را گول بزند و خود را حرفهایتر از آنچه هست جلوه دهد(بالاخره که لو میری مرد/زن حسابی).
در کل، مزدور دنیای برنامهنویسی شخصیتی کمدی طور دارد که با ادعاهای بزرگ و وعدههای توخالی و پروفایل حرفه ای(مبادا بدون دوربین کانن عکس بگیری) سعی میکند خود را حرفهای جلوه دهد، اما در عمل چندان تخصص و تجربهای ندارد. با این حال، حضور چنین افرادی در این حرفه نشاندهنده اهمیت و درآمدزایی آن است که باعث جذب افراد مزدور میشود.
(بدون منبع شیر کنید دست همه مزدور ها برسه)
#مزدور #fun
@Syntax_fa
مزدور دنیای برنامهنویسی یک شخصیت خندهدار و البته بسیار رایج در این عرصه است. او دارای ویژگیهای منحصر بهفردی است که باعث میشود در هر شرایطی آماده به خدمت باشد، حتی اگر کاملاً از موضوع بیاطلاع باشد.
ویژگیهای مزدور دنیای برنامهنویسی:
١. جملات تکراری و آرامبخش:
«بله حتماً»، «چشم، قربان»، «شما دستور بدید، من انجام میدم» از جملات محبوب او هستند که در هر شرایطی آنها را تکرار میکند.
٢. مهارتهای گوناگون اما سطحی:
اگر از او بپرسید با چه زبانهایی کار میکند، لیستی از تمام زبانهای برنامهنویسی را برایتان می گوید(بنده با اسمبلی، سی و پلاس پلاس، سی شارپ، پایتون، پی اچ پی، جی اس و ... حرفه ای کار کردم. خلاصه زبونی نیست که توش سر رشته نداشته باشه)، اما در عمل تنها یکی دو زبان را در سطح ابتدایی بلد است.
٣. رزومه های اغراقآمیز:
در رزومه او عناوینی مانند «مهندس نرمافزار ارشد»، «توسعهدهنده Full-Stack» و «متخصص هوش مصنوعی» درج شده است، اما در واقع او تنها یک برنامهنویس مبتدی است(نهایتا با کمک جد و خاندان هوش مصنوعی بتونه کد بزنه).
۴. ادعاهای توخالی:
مزدور دنیای برنامهنویسی همیشه ادعاهای بزرگی دارد و میگوید میتواند پروژههای عظیم و پیچیده را در زمان کوتاهی تحویل دهد، اما در عمل کارش چندان تمیز نیست(در واقع خود کثیفه).
۵. سر و گردنه بالا:
او حاضر است برای هر پروژهای، حتی پروژههای کاملاً خارج از حیطه تخصصش، قیمت های نجومی بگیرد و همیشه ادعا میکند که تنها او میتواند آن پروژه را به خوبی انجام دهد(جون جدم کسی نیست در حدم).
۶. مصاحبههای فریبنده:
در مصاحبههای استخدامی، مزدور دنیای برنامهنویسی با زبان چرب و نرم خود سعی میکند کارفرما را گول بزند و خود را حرفهایتر از آنچه هست جلوه دهد(بالاخره که لو میری مرد/زن حسابی).
در کل، مزدور دنیای برنامهنویسی شخصیتی کمدی طور دارد که با ادعاهای بزرگ و وعدههای توخالی و پروفایل حرفه ای(مبادا بدون دوربین کانن عکس بگیری) سعی میکند خود را حرفهای جلوه دهد، اما در عمل چندان تخصص و تجربهای ندارد. با این حال، حضور چنین افرادی در این حرفه نشاندهنده اهمیت و درآمدزایی آن است که باعث جذب افراد مزدور میشود.
(بدون منبع شیر کنید دست همه مزدور ها برسه)
#مزدور #fun
@Syntax_fa
👍22😁2
👍16
بیاید یکم علمی صحبت کنیم (مواردی هم غیر علمی و نظر شخصی😁)
انسان توانمندی دیدن آینده رو نداره، روش، پیشبینی هست و روش پیشبینی، سری زمانی و منبع آمار هست
پس با آمار صحبت می کنیم ، آمار که stack overflow سالانه می گیره
۸۴٪ برنامه نویس های دنیا تحصیلات آکادمیک در رشتههای ict دارند و در سطوح حرفهای این به ۹۴٪ میرسه،(ایران هم همینه، قبلا جادی سالانه آمار می گرفت)
این آمار موفق شده ها هست، کسانی که مسیر برنامه نویسی رو اومدن و موفق نشدن برنامه نویس بشن رو نداریم
پس من اینجا نظر شخصی خودم رو میدم، برحسب تجربه شخصی از هر ۱۰ نفر که سمت این فیلد میان شاید ۱-۲ نفر برنامه نویس بشن
متاسفانه الان اکثریت(نه همه) سیستم آموزشی غیر رسمی مثل سایت های که دوره می فروشند و منتورها و...
از آموزش درآمدی ندارند، از رویا فروشی درآمد دارند،
مگر جامعه برنامه نویس های ایران چند نفر هست ، که اینقدر بازار بزرگی شده؟
بدبختانه شما نمی خواهد نگران اون حجم افراد ورود به بازار باشید اونها فقط و فقط ۱۶٪ بازار برنامه نویسی رو می گیرند و در سطوح حرفهای ۶٪
و از سمت دیگه اکثرا فقط جیب یک سری افراد رو پر می کنند و با ضرر مالی از بازار میرن😔
راستی بازار آموزش غیر رسمی جزیی از بازار کار ict و رکن مهمی از این بازار هست و بودنش لازم ، و سازمان و افرادی هستند که تلاش می کنند و دوره ها و... خوب ارایه میدن و ارزشمند هم هست،
شما فقط تسلط علمی تو زیاد کن و ارتباطات خوبی بساز هیچ مشکلی در کسب کار و درآمد نخواهی داشت، ارتباطات خیلی خیلی مهمه (طبیعتاًsoft skills بحث مهمی در ارتباطات هست)
[rahim firouzi]
@Syntax_fa
انسان توانمندی دیدن آینده رو نداره، روش، پیشبینی هست و روش پیشبینی، سری زمانی و منبع آمار هست
پس با آمار صحبت می کنیم ، آمار که stack overflow سالانه می گیره
۸۴٪ برنامه نویس های دنیا تحصیلات آکادمیک در رشتههای ict دارند و در سطوح حرفهای این به ۹۴٪ میرسه،(ایران هم همینه، قبلا جادی سالانه آمار می گرفت)
این آمار موفق شده ها هست، کسانی که مسیر برنامه نویسی رو اومدن و موفق نشدن برنامه نویس بشن رو نداریم
پس من اینجا نظر شخصی خودم رو میدم، برحسب تجربه شخصی از هر ۱۰ نفر که سمت این فیلد میان شاید ۱-۲ نفر برنامه نویس بشن
متاسفانه الان اکثریت(نه همه) سیستم آموزشی غیر رسمی مثل سایت های که دوره می فروشند و منتورها و...
از آموزش درآمدی ندارند، از رویا فروشی درآمد دارند،
مگر جامعه برنامه نویس های ایران چند نفر هست ، که اینقدر بازار بزرگی شده؟
بدبختانه شما نمی خواهد نگران اون حجم افراد ورود به بازار باشید اونها فقط و فقط ۱۶٪ بازار برنامه نویسی رو می گیرند و در سطوح حرفهای ۶٪
و از سمت دیگه اکثرا فقط جیب یک سری افراد رو پر می کنند و با ضرر مالی از بازار میرن😔
راستی بازار آموزش غیر رسمی جزیی از بازار کار ict و رکن مهمی از این بازار هست و بودنش لازم ، و سازمان و افرادی هستند که تلاش می کنند و دوره ها و... خوب ارایه میدن و ارزشمند هم هست،
شما فقط تسلط علمی تو زیاد کن و ارتباطات خوبی بساز هیچ مشکلی در کسب کار و درآمد نخواهی داشت، ارتباطات خیلی خیلی مهمه (طبیعتاًsoft skills بحث مهمی در ارتباطات هست)
[rahim firouzi]
@Syntax_fa
👍20
Syntax | سینتکس
بیاید یکم علمی صحبت کنیم (مواردی هم غیر علمی و نظر شخصی😁) انسان توانمندی دیدن آینده رو نداره، روش، پیشبینی هست و روش پیشبینی، سری زمانی و منبع آمار هست پس با آمار صحبت می کنیم ، آمار که stack overflow سالانه می گیره ۸۴٪ برنامه نویس های دنیا تحصیلات آکادمیک…
نظر شخصی خودم:
اگه معرفی دوره هارو دیدی که میگن شیش ماه وقت بذار برنامه نویست میکنم و با حقوق عالی وارد بازار کار میشی. قطعا درست نیست.
درصد بالای شکست یکیش همین مورد هستش. از بیرون همه چی خوب بنظر میرسه ولی وقتی وارد میشی میبینی قضیه کلا فرق میکنه و خب ول میکنی میری.
در نهایت فرقی نمیکنه تحصیلات آکادمیک دارید یا نه. باید بتونید خودتون رو تبدیل به یه برنامه نویس کنید. ولی اگه آکادمیک رو هم پیش ببرید مسیر براتون راحت تر میشه.
اگه معرفی دوره هارو دیدی که میگن شیش ماه وقت بذار برنامه نویست میکنم و با حقوق عالی وارد بازار کار میشی. قطعا درست نیست.
درصد بالای شکست یکیش همین مورد هستش. از بیرون همه چی خوب بنظر میرسه ولی وقتی وارد میشی میبینی قضیه کلا فرق میکنه و خب ول میکنی میری.
در نهایت فرقی نمیکنه تحصیلات آکادمیک دارید یا نه. باید بتونید خودتون رو تبدیل به یه برنامه نویس کنید. ولی اگه آکادمیک رو هم پیش ببرید مسیر براتون راحت تر میشه.
👍19
چالش طراحی سیستم ارسال نوتیفیکیشن
در نظر بگیرید که قراره یه سرویس نوتیفیکیشن رو طراحی کنید که شرایط زیر رو داشته باشه:
- بتونه برای همه کاربران سیستم (بیش از ۵۰ میلیون کاربر) نوتیفیکیشن ارسال کنه
- بتونه برای یک سری از کاربران (مثلا ۱۰ میلیون کاربر) نوتیفیکیشن ارسال کنه
- بشه از طریق کانال های مختلف (ایمیل، پیامک، نوتیفیکیشن درون برنامه ای) ارسال کرد
- بشه نوتیفیکیشن های درون برنامه ای کاربران رو ردیابی کرد که وضعیت شون خوانده شده، خوانده نشده است
دغدغه اول، طراحی دیتابیس رو چطور انجام میدید که هم نوتیفیکیشن سیستمی رو پشتیبانی کنه و هم نوتیفیکیشن برای تعدادی کاربر؟ به ازاء هر کاربر یک رکورد در دیتابیس ذخیره می کنید؟ چه دیتابیسی رو استفاده می کنید؟
دغدغه دوم، ارسال این همه نوتیفیکیشن از طریق کانال های مختلف رو چطوری مدیریت می کنید؟ از چه ابزارهایی استفاده می کنید؟
دغدغه سوم، مدیریت وضعیت نوتیفیکیشن های درون برنامه ای رو چطوری انجام میدید؟از چه الگو و چه ابزارهایی استفاده میکنید؟
اگه تمایل داشتید نظر بدید میتونید ویس بفرستید تو کامنت
اگه در مورد این چالش طراحی منبع خوبی رو میشناسید لینکش رو به اشتراک بذارید
@gocasts
#challenge
@Syntax_fa
در نظر بگیرید که قراره یه سرویس نوتیفیکیشن رو طراحی کنید که شرایط زیر رو داشته باشه:
- بتونه برای همه کاربران سیستم (بیش از ۵۰ میلیون کاربر) نوتیفیکیشن ارسال کنه
- بتونه برای یک سری از کاربران (مثلا ۱۰ میلیون کاربر) نوتیفیکیشن ارسال کنه
- بشه از طریق کانال های مختلف (ایمیل، پیامک، نوتیفیکیشن درون برنامه ای) ارسال کرد
- بشه نوتیفیکیشن های درون برنامه ای کاربران رو ردیابی کرد که وضعیت شون خوانده شده، خوانده نشده است
دغدغه اول، طراحی دیتابیس رو چطور انجام میدید که هم نوتیفیکیشن سیستمی رو پشتیبانی کنه و هم نوتیفیکیشن برای تعدادی کاربر؟ به ازاء هر کاربر یک رکورد در دیتابیس ذخیره می کنید؟ چه دیتابیسی رو استفاده می کنید؟
دغدغه دوم، ارسال این همه نوتیفیکیشن از طریق کانال های مختلف رو چطوری مدیریت می کنید؟ از چه ابزارهایی استفاده می کنید؟
دغدغه سوم، مدیریت وضعیت نوتیفیکیشن های درون برنامه ای رو چطوری انجام میدید؟از چه الگو و چه ابزارهایی استفاده میکنید؟
اگه تمایل داشتید نظر بدید میتونید ویس بفرستید تو کامنت
اگه در مورد این چالش طراحی منبع خوبی رو میشناسید لینکش رو به اشتراک بذارید
@gocasts
#challenge
@Syntax_fa
👍13❤1
چند نکته مهم وقتی تو جنگو از سواگر استفاده می کنی(پکیج drf-spectacular)
اولین چیزی که میخوام بگم اینه با خودتون فکر نکنید سواگر پروژه رو آوردید بالا دیگه همه چی تمومه و بصورت اتوماتیک براتون به درستی schema ای پی آی های شمارو مشخص می کنه. تو این پست قراره چند تا از مشکلات رایج و نحوه برطرف کردنش رو بررسی کنیم.
اشتباه نشون دادن request و response ای پی آی ها:
رایج ترین مشکل این مورد هستش که خیلی وقتا ورودی و یا خروجی api رو اشتباه نشون میده. یا اصلا ریسپانس شما چند تا حالت داره مثل:
200
406
401
اما بصورت اتوماتیک نمیتونه این موارد رو تشخصی بده. پس راه حل چیه؟
استفاده از دکوریتور extend_schema بالای متد هاتون.
مثلا:
ریکوئست رو توی request و ریسپانس هارو به این شکل توی responses مشخص می کنیم.
مشخص کردن تگ ها:
اگه api هاتون به این صورت شروع بشه:
/api/v1/
تگ همه api های شما v1 میشه و خوانایی رو میاره پایین. برای برطرف کردن این مشکل تگ هارو بصورت دستی مشخص می کنیم.
مثلا:
محدود کردن دسترسی به سواگر
اگه دوست دارید سواگر پروژه رو فقط ادمین بتونه ببینه، توی تنظیمات spectacular این موارد رو اضافه کنید:
توضیح:
پرمیشن رو تنظیم کرده که حتما ادمین باشه. همچنین authentication رو به دو روش سشن و توکن مشخص کردیم.
#Django #Swagger
@Syntax_fa
اولین چیزی که میخوام بگم اینه با خودتون فکر نکنید سواگر پروژه رو آوردید بالا دیگه همه چی تمومه و بصورت اتوماتیک براتون به درستی schema ای پی آی های شمارو مشخص می کنه. تو این پست قراره چند تا از مشکلات رایج و نحوه برطرف کردنش رو بررسی کنیم.
اشتباه نشون دادن request و response ای پی آی ها:
رایج ترین مشکل این مورد هستش که خیلی وقتا ورودی و یا خروجی api رو اشتباه نشون میده. یا اصلا ریسپانس شما چند تا حالت داره مثل:
200
406
401
اما بصورت اتوماتیک نمیتونه این موارد رو تشخصی بده. پس راه حل چیه؟
استفاده از دکوریتور extend_schema بالای متد هاتون.
مثلا:
@extend_schema(request=RefreshAccessTokenSerializer, responses={
200: OpenApiResponse(response=AccessTokenSerializer, denoscription="new access token"),
401: OpenApiResponse(denoscription="invalid access token")}, tags=SCHEMA_TAGS)
def post(self, request):
...ریکوئست رو توی request و ریسپانس هارو به این شکل توی responses مشخص می کنیم.
مشخص کردن تگ ها:
اگه api هاتون به این صورت شروع بشه:
/api/v1/
تگ همه api های شما v1 میشه و خوانایی رو میاره پایین. برای برطرف کردن این مشکل تگ هارو بصورت دستی مشخص می کنیم.
مثلا:
@extend_schema(tags=("Auth",))
def post(self, request):
...محدود کردن دسترسی به سواگر
اگه دوست دارید سواگر پروژه رو فقط ادمین بتونه ببینه، توی تنظیمات spectacular این موارد رو اضافه کنید:
# Spectacular
SPECTACULAR_SETTINGS = {
'SERVE_INCLUDE_SCHEMA': True,
# OTHER SETTINGS
'PLUGINS': [
'drf_spectacular.plugins.AuthPlugin',
],
'SERVE_PERMISSIONS': ['rest_framework.permissions.IsAdminUser'],
# Auth with session only in docs without effect to api
'SERVE_AUTHENTICATION': ["rest_framework.authentication.SessionAuthentication",
"rest_framework_simplejwt.authentication.JWTAuthentication"],
}
توضیح:
پرمیشن رو تنظیم کرده که حتما ادمین باشه. همچنین authentication رو به دو روش سشن و توکن مشخص کردیم.
#Django #Swagger
@Syntax_fa
👍11🔥2