دیروز و امروز یک اتک supply chain روی code base خود php صورت گرفته.
اتک به این صورت بوده که دیروز اکانت اقای rasmus lerdorf (یوزر rlerdorf) یک کامیت روی zlib.c انجام میده.
https://github.com/php/php-src/commit/c730aa2
بعدش اقای Nikita popov (یوزر nikic) میاد و این کامیت رو revert میکنه.
https://github.com/php/php-src/commit/046827a
چند ساعت بعدش دوباره یوزر nikic همون revert خودش رو revert میکنه و کد رو برمیگردونه بهcode base.
https://github.com/php/php-src/commit/2b0f239
درنهایت این قطعه کد توسط آقای Levi Morrison (یوزر orrisonlevi) از codebase حذف میشه.
https://github.com/php/php-src/commit/8d743d5
حالا این قطعه کد چی بوده؟
یک backdoor از نوع RCE با استفاده از تابع eval که مقدار فرستاده شده در هدر User-agentt رو در صورتی که با zerodium شروع میشده اجرامیکرده روی سرور.
حالا بحث اینجاست که چرا اسم zerodium تاریخ mid 2017 وجود داره؟
دسترسی هم ظاهرا از طریق https://git.php.net صورت گرفته و اکانت ها به صورت مستقیم مورد نفوذ قرار نگرفتن. این هم توضیح آقای Popov:
https://news-web.php.net/php.internals/113838
حالا اینکه آیا تو این چند ساعت سروری آلوده شده یا نه، هنوز مشخص نیست.
<Jim Mim/>
@DevTwitter
اتک به این صورت بوده که دیروز اکانت اقای rasmus lerdorf (یوزر rlerdorf) یک کامیت روی zlib.c انجام میده.
https://github.com/php/php-src/commit/c730aa2
بعدش اقای Nikita popov (یوزر nikic) میاد و این کامیت رو revert میکنه.
https://github.com/php/php-src/commit/046827a
چند ساعت بعدش دوباره یوزر nikic همون revert خودش رو revert میکنه و کد رو برمیگردونه بهcode base.
https://github.com/php/php-src/commit/2b0f239
درنهایت این قطعه کد توسط آقای Levi Morrison (یوزر orrisonlevi) از codebase حذف میشه.
https://github.com/php/php-src/commit/8d743d5
حالا این قطعه کد چی بوده؟
یک backdoor از نوع RCE با استفاده از تابع eval که مقدار فرستاده شده در هدر User-agentt رو در صورتی که با zerodium شروع میشده اجرامیکرده روی سرور.
حالا بحث اینجاست که چرا اسم zerodium تاریخ mid 2017 وجود داره؟
دسترسی هم ظاهرا از طریق https://git.php.net صورت گرفته و اکانت ها به صورت مستقیم مورد نفوذ قرار نگرفتن. این هم توضیح آقای Popov:
https://news-web.php.net/php.internals/113838
حالا اینکه آیا تو این چند ساعت سروری آلوده شده یا نه، هنوز مشخص نیست.
<Jim Mim/>
@DevTwitter
👍1
یادگیری برنامهنویسی به روایت ایموجیها:
از C به Python:
😍🤗😂☹️🤔
از Python به C :
😭😥😮🤯🙄
<کدر توویت />
از C به Python:
😍🤗😂☹️🤔
از Python به C :
😭😥😮🤯🙄
<کدر توویت />
👍1
اینایی که با انگیزه هَک وارد دنیای برنامه نویسی میشن،
بعدا که دولوپر شدن پسوردای کاربرا رو تو دیتابیساشون هَش میکنن یا نه؟
<بهزاد / >
@DevTwitter
بعدا که دولوپر شدن پسوردای کاربرا رو تو دیتابیساشون هَش میکنن یا نه؟
<بهزاد / >
@DevTwitter
👍1
یکی از دلایلی که برنامه نویسی یاد گرفتم این بود که از C و سی پلاس پلاس سوئیچ کنم رو python و نفس اماره و لوامه م رو ارضا کنم
<میلادِ با سعادت/>
@DevTwitter
<میلادِ با سعادت/>
@DevTwitter
🤣4
هی گفتیم از PHP استفاده نکنید و زبان نیست و اینا.... دیدید چه شد!؟
(از مجموعهی ماهیگیران آب گلآلود)
روایت ماجرای دیروز رو در اینجا میتونید بخونید البته:
https://news-web.php.net/php.internals/113838
<Farshad/>
@DevTwitter
(از مجموعهی ماهیگیران آب گلآلود)
روایت ماجرای دیروز رو در اینجا میتونید بخونید البته:
https://news-web.php.net/php.internals/113838
<Farshad/>
@DevTwitter
👍1
اگه من بخوام ازدواج کنم :
یکی بیاد ازدواج کنیم با وامش نفری یه لپتاپ بخریم :)
<علی جاوید فرد/>
@DevTwitter
یکی بیاد ازدواج کنیم با وامش نفری یه لپتاپ بخریم :)
<علی جاوید فرد/>
@DevTwitter
🤣3
👍1
👍1
واخ واخ امروز دو تا خبر بد اومد:
1- اگه لاراول 8.4.2 به پایین و facade/ignition استفاده میکنین، دابل چک کنین حالت دیباگ روی پروداکشن فعال نباشه. RCE با درجه اهمیت 9.8 (!) پیدا شده روش.
2- سه روز پیش، دو تا کامیت حاوی بکدور RCE رو رپوی اصلی PHP رفته بود که Revert شدن.
<Amirreza Nasiri/>
@DevTwitter
1- اگه لاراول 8.4.2 به پایین و facade/ignition استفاده میکنین، دابل چک کنین حالت دیباگ روی پروداکشن فعال نباشه. RCE با درجه اهمیت 9.8 (!) پیدا شده روش.
2- سه روز پیش، دو تا کامیت حاوی بکدور RCE رو رپوی اصلی PHP رفته بود که Revert شدن.
<Amirreza Nasiri/>
@DevTwitter
👍1
یه چند وفته کلا روی پایتون بودم سی شارپ کد نزدم امشب اومدم سراغ پروژه پیانتک بعد هی میزدم مایگریشن رو درست بکنه هی ارور میگرفت تا دست آخر گوگل کردم یادم اومد چیه دستورش!
در واقع داشتم ترکیبی از دستور قدیمی رو با .net core باهم دیگه میزدم :)))
<Amirhossein Shabaninejad/>
@DevTwitter
در واقع داشتم ترکیبی از دستور قدیمی رو با .net core باهم دیگه میزدم :)))
<Amirhossein Shabaninejad/>
@DevTwitter
👍1
اومدم کدم رو تست کنم توی مراحل اولیه که ببینم error نمیده، باید یه چیزی مینوشتم اون 4 تا حرف رندم بهم جواب میداد. نوشتم:
"How are you doing?"
جوابی که قرار بود حروف کاملا رندم باشه اومد:
"HELL"
و من موهای تنم سیخ شد. یه نگاه به لپ تاپم کردم و کلا فیریز شد بدنم :|
البته که، یه دو دقیقه ای هنگ بودم تا فهمیدم جریان چیه. یادم رفته بود عددهایی که استفاده کرده بودم توی بایت ها و شیفت ها رندم نبودن، عددهایی بود که اول باهاش hello رو درآورده بودم. فقط لیمیت شده بود به 4 حرف :|
<Erwin Smith/>
@DevTwitter
"How are you doing?"
جوابی که قرار بود حروف کاملا رندم باشه اومد:
"HELL"
و من موهای تنم سیخ شد. یه نگاه به لپ تاپم کردم و کلا فیریز شد بدنم :|
البته که، یه دو دقیقه ای هنگ بودم تا فهمیدم جریان چیه. یادم رفته بود عددهایی که استفاده کرده بودم توی بایت ها و شیفت ها رندم نبودن، عددهایی بود که اول باهاش hello رو درآورده بودم. فقط لیمیت شده بود به 4 حرف :|
<Erwin Smith/>
@DevTwitter
👍1
با این سرعتی که Deno پیش میره گوی سبقت رو از Nodejs میگیره که البته به نظرم اتفاق فرخنده ایه برای کامیونیتی جاواسکریپت و همچنین امنیت وب
<sinasalek/>
@DevTwitter
<sinasalek/>
@DevTwitter
👍1
در Java از نسخه 11 به بعد شما میتوانید برنامه جاوایی که شامل تنها یک source-file میشه یعنی یک فایل java. را بدون این که با javac اقدام به ساخت class. کنید اجرا کنید. عملا همون لحظه کامپایل و توسط jvm اجرا میشه.
البته حسنی به اون صورت نداره و شاید فقط فرایند آموزش را راحت کنه.
اگر یک لحظه فکر کردید که به صورت temporary یک فایل class. ایجاد و از طریق آن فایل اقدام به اجرا برنامه میکنه سخت در اشتباه هستید. چیزی در سطح Disk قرار نگرفته و همه چی در سطح RAM هست.
<Elyas 'Eloy' Hadizadeh Tasbiti/>
@DevTwitter
البته حسنی به اون صورت نداره و شاید فقط فرایند آموزش را راحت کنه.
اگر یک لحظه فکر کردید که به صورت temporary یک فایل class. ایجاد و از طریق آن فایل اقدام به اجرا برنامه میکنه سخت در اشتباه هستید. چیزی در سطح Disk قرار نگرفته و همه چی در سطح RAM هست.
<Elyas 'Eloy' Hadizadeh Tasbiti/>
@DevTwitter
👍1
زمان پیاده سازی بک اند صفحه: نیم ساعت
فرانتش: ۲ ساعت
درگیری با اون پدینگ اضافه هه که معلوم نیس از کجا اومده: ۸ ساعت و نیم
<Mahsa.jnt/>
@DevTwitter
فرانتش: ۲ ساعت
درگیری با اون پدینگ اضافه هه که معلوم نیس از کجا اومده: ۸ ساعت و نیم
<Mahsa.jnt/>
@DevTwitter
👍1
دیروز با کامند git switch آشنا شدم و زندگی زیباتر شد برام. اینجوریه که شما داری روی یه برنچ کد مینویسی، بعد میگی شت من چرا اشتباهی روی این برنچ دارم کد میزنم؟ میری برنچ رو میسازی و fetch میکنی و بعد این کامند رو میزنی و تامام! کل تغییرات میره روی برنچ جدید و قبلی تغییر نمیکنه.
<حسین/>
@DevTwitter
<حسین/>
@DevTwitter
👍1
این روزها به خاطر باگ کدهایی که مردم تو github آپلود کردند آخر خودم مجبور شدم از اول بنویسم.
دارم به این فکر میکنم که یه الگوریتم بیاد که هر بار یه commit میاد، صرف نظر هر چیزی فقط یه بار کد ران و لاگ شه. اگر ران نشد بعد از چند بار، اکانت commit کننده سرکار گذار رو لاک کنه
<Sara/>
@DevTwitter
دارم به این فکر میکنم که یه الگوریتم بیاد که هر بار یه commit میاد، صرف نظر هر چیزی فقط یه بار کد ران و لاگ شه. اگر ران نشد بعد از چند بار، اکانت commit کننده سرکار گذار رو لاک کنه
<Sara/>
@DevTwitter
👍1