Forwarded from Yasha
همونطور که میدونید چند روز پیش رباتهای ناشناس تلگرام هک شدن و همه متوجه ناامن بودنش شدیم. من و چند تا دیگه از بچههای کامیونیتی روی ربات پیام ناشناسی کار کردیم که میکنیم که اوپنسورسه، پیامها رو با استفاده از الگوریتمهای رمزنگاری End2End رمزشده جابجا میکنه و سرور قابلیت خوندن پیامها رو نداره. تمام فرایند رمزنگاری رو سمت کلاینت انجام میده و سرور هیچ دخالتی توی مکانیزمش حتی نداره. این ربات الان توی مرحله تسته، ازتون میخوام که ربات رو تست کنید و نظرتون رو اعلام کنید.
🔗 @E2EChatbot
🔗 Source Code
برای حمایت از پروژه میتونید توی گیتهاب به ریپازیتوری استار بدید ⭐️ روی کدش مشارکت کنید، باگها رو گزارش کنید یا اینکه این پست رو به دیگران و افراد فنی صاحب نظر بفرستید تا دیده بشه و ما رو کمکمون کنن. 🤍
@Yasha
🔗 @E2EChatbot
🔗 Source Code
برای حمایت از پروژه میتونید توی گیتهاب به ریپازیتوری استار بدید ⭐️ روی کدش مشارکت کنید، باگها رو گزارش کنید یا اینکه این پست رو به دیگران و افراد فنی صاحب نظر بفرستید تا دیده بشه و ما رو کمکمون کنن. 🤍
@Yasha
👎7❤4🤔1
Forwarded from Python BackendHub (Mani)
این چیه دیگه؟!
ببینید وقتی داریم از e2e encryption صحبت میکنیم همچین فلویی داریم
من فرستنده یک private key و public key دارم. شما هم همینطور.
من برای اینکه پیامی به شما بفرستم که کسی جز شما نخونه باید با پابلیک کی شما پیام رو encrypt کنم. بعدش با private key خودم میام اون پیام رو digital signature میزنم. اینکار باعث میشه که شما بدونی من این پیام رو فرستادم برات.
شما که پیام رو میخونی نیاز به پابلیک کی من داری. که بتونی چک کنی ایا این پیامو واقعا من فرستادم برات؟
دوستان ربات ناشناس و e2e encryption کاملا در تضاد هستن
چرا؟ فکر کن من بهت پیام دادم سلام روت کراش زدم. شما شک کردی که مانی همچین پیامی داده. به من میگی مانی میتونی یک سلام کنی تو لینک ناشناسم؟ همین که من یک سلام بنویسم public key پیام جدیدم با قبلیه رو مقایسه میکنی و متوجه میشی که من همونیم که گفتم روت کراش زدم.
نکته دوم نحوه ذخیره خوده تلگرامه. من به صدرا لینکو دادم گفتم یک پیام بفرست. صدرا که پیامو فرستاد من هم با سیستم بازش کردم هم با گوشی. تو جفت حالت تونستم پیام رو ببینم. پس درواقع secret key من رو گوشی یا سیستمم ذخیره نشده. رو دیتابیسه تلگرامه! کارمند تلگرام اراده کنه میتونه بیاد پیام های منو بخونه. e2e encryption یعنی فقط و فقط مقصد و مبدا سکرت کی داشته باشن و کسی این وسط نتونه بخونه.
متاسفانه e2e encryption صرفا یک buzz word هست. تو تلگرام فقط secret chat انکریپت میشه. نه چت معمولی. واتس اپ هم به شما قابلیت بک آپ دیتا و ریکاور کردنش رو یک گوشی دیگه میده. که دوباره طبق لاجیک بالا همچین چیزی فقط به شرطی ممکنه که واتس اپ سکرت کی شما رو نگه داشته باشه.
امنیت یک فرهنگه اجتماعی هست. شما هرچی برنامت رو ایمن تر کنی UX بدتری خواهی داشت. پس این درست نیست که بگم من الان یک برنامه خیلی امن و خفن میسازم و همه قراره حال کنند. ترید آفه.
اما اینکه مشکلات بزرگی رخ نده (که هر ۱ ماه یک بار تو ایران اتفاق میفته) جلوگیریش با روش های تکنیکال و بیشتر قفل زدن نیست. تو اروپا آمریکا هیچ چیزی e2e انکریپت نمیشه. به جاش data regulatory خوب دارن. قوانین سنگین دارن. یک شرکت ۵ نفری باید فکر GDPR (قوانین مربوط به دیتا تو اروپا) باشه. شما میتونی ایمیل بدی یا تو خوده اپ درخواست بزنی دیتات کامل پاک شه.
و در نهایت دیتایی که شما میفرستی تو اینترنت مشخص نیست واقعا چه بلایی سرش میاد.
یک مثال:
من یک فیلم ۱ گیگی براتون میفرستم. شما میفرستی تو save message ات. من فیلمو یک ساعت بعد پاک میکنم (دو طرفه). اون فیلم شما هنوز تو save message هست. عملیات forward به شدت سریعه. پس سوال اینجاست که آیا با دیلیت چت دو طرفه واقعا دیتا داره پاک میشه از سرور تلگرام؟ بعید بدونم.
دو ساعت راجب این چیزا تو لایو امروز امیربهادر صحبت کردیم. بحثای جالبی شد. اگه وقت و علاقه داشتین توصیه میکنم ببینید.
@PyBackendHub
ببینید وقتی داریم از e2e encryption صحبت میکنیم همچین فلویی داریم
من فرستنده یک private key و public key دارم. شما هم همینطور.
من برای اینکه پیامی به شما بفرستم که کسی جز شما نخونه باید با پابلیک کی شما پیام رو encrypt کنم. بعدش با private key خودم میام اون پیام رو digital signature میزنم. اینکار باعث میشه که شما بدونی من این پیام رو فرستادم برات.
شما که پیام رو میخونی نیاز به پابلیک کی من داری. که بتونی چک کنی ایا این پیامو واقعا من فرستادم برات؟
دوستان ربات ناشناس و e2e encryption کاملا در تضاد هستن
چرا؟ فکر کن من بهت پیام دادم سلام روت کراش زدم. شما شک کردی که مانی همچین پیامی داده. به من میگی مانی میتونی یک سلام کنی تو لینک ناشناسم؟ همین که من یک سلام بنویسم public key پیام جدیدم با قبلیه رو مقایسه میکنی و متوجه میشی که من همونیم که گفتم روت کراش زدم.
نکته دوم نحوه ذخیره خوده تلگرامه. من به صدرا لینکو دادم گفتم یک پیام بفرست. صدرا که پیامو فرستاد من هم با سیستم بازش کردم هم با گوشی. تو جفت حالت تونستم پیام رو ببینم. پس درواقع secret key من رو گوشی یا سیستمم ذخیره نشده. رو دیتابیسه تلگرامه! کارمند تلگرام اراده کنه میتونه بیاد پیام های منو بخونه. e2e encryption یعنی فقط و فقط مقصد و مبدا سکرت کی داشته باشن و کسی این وسط نتونه بخونه.
متاسفانه e2e encryption صرفا یک buzz word هست. تو تلگرام فقط secret chat انکریپت میشه. نه چت معمولی. واتس اپ هم به شما قابلیت بک آپ دیتا و ریکاور کردنش رو یک گوشی دیگه میده. که دوباره طبق لاجیک بالا همچین چیزی فقط به شرطی ممکنه که واتس اپ سکرت کی شما رو نگه داشته باشه.
امنیت یک فرهنگه اجتماعی هست. شما هرچی برنامت رو ایمن تر کنی UX بدتری خواهی داشت. پس این درست نیست که بگم من الان یک برنامه خیلی امن و خفن میسازم و همه قراره حال کنند. ترید آفه.
اما اینکه مشکلات بزرگی رخ نده (که هر ۱ ماه یک بار تو ایران اتفاق میفته) جلوگیریش با روش های تکنیکال و بیشتر قفل زدن نیست. تو اروپا آمریکا هیچ چیزی e2e انکریپت نمیشه. به جاش data regulatory خوب دارن. قوانین سنگین دارن. یک شرکت ۵ نفری باید فکر GDPR (قوانین مربوط به دیتا تو اروپا) باشه. شما میتونی ایمیل بدی یا تو خوده اپ درخواست بزنی دیتات کامل پاک شه.
و در نهایت دیتایی که شما میفرستی تو اینترنت مشخص نیست واقعا چه بلایی سرش میاد.
یک مثال:
من یک فیلم ۱ گیگی براتون میفرستم. شما میفرستی تو save message ات. من فیلمو یک ساعت بعد پاک میکنم (دو طرفه). اون فیلم شما هنوز تو save message هست. عملیات forward به شدت سریعه. پس سوال اینجاست که آیا با دیلیت چت دو طرفه واقعا دیتا داره پاک میشه از سرور تلگرام؟ بعید بدونم.
دو ساعت راجب این چیزا تو لایو امروز امیربهادر صحبت کردیم. بحثای جالبی شد. اگه وقت و علاقه داشتین توصیه میکنم ببینید.
@PyBackendHub
👍18👎1👌1
Forwarded from Python BackendHub (Mani)
برای اینکه بهتر متوجه شید این عکس از repsonse همون api ای هست که تیم یاسر زده.
الان با وجود sender_public_key میشه گفت واقعا ناشناسه؟
@PyBackendHub
الان با وجود sender_public_key میشه گفت واقعا ناشناسه؟
@PyBackendHub
👍8👎1
Forwarded from Python BackendHub (Mani)
یکی از دوستانی امروز یادم انداخت به یه لایبری قدیمی که نوشته بودم. این لایبری یه HTTP client هست که میتونه سایتهایی که زیر پوشش Cloudflare هستن و سیستم رباتیابشون فعاله رو کراول کنه. تاحالا در موردش صحبت نکرده بودم، ولی گفتم اینجا یه توضیحی بدم.
لینک گیتهابش اینجاست با httpx کاملاً سازگاره، یعنی اگه از httpx استفاده میکردید، با تغییر import میتونید به راحتی ازش استفاده کنید.
مشکل چی بود؟ سایتهایی که از Cloudflare به عنوان reverse proxy استفاده میکنن، معمولاً از یه مکانیزم تشخیص ربات استفاده میکنن که به TLS Fingerprint متکیه. حالا TLS Fingerprint چیه؟ وقتی شما به یه سایت وصل میشید، اولین چیزی که رد و بدل میشه، یه پیام به اسم Client Hello هست. این پیام اطلاعات اولیهای رو درباره کلاینت شما به سرور میده، مثل نسخه TLS که پشتیبانی میکنید و یه لیست به اسم cipher suite.
توضیح Cipher suite: در واقع مجموعهای از الگوریتمهای رمزنگاری هست که کلاینت و سرور میتونن برای برقراری یه ارتباط امن استفاده کنن. هر مرورگر یا کلاینت یه لیست مشخص از cipher suite داره که ترتیبش هم خاص همون کلاینت هست. مثلاً مرورگر کروم یه لیست مشخص داره، مرورگر فایرفاکس یه لیست دیگه، و مثلاً requests پایتون هم یه لیست کاملاً متفاوت.
کلادفلیر چطور متوجه میشه شما مرورگر نیستید؟ اون میاد این TLS Fingerprint، یعنی ترکیب نسخه TLS و ترتیب cipher suiteها، رو با user-agent شما مقایسه میکنه. اگه این دو تا با هم نخونن، مثلاً user-agent شما میگه مرورگر کروم هستید ولی cipher suiteها میگن یه اسکریپت پایتونید، Cloudflare متوجه میشه که شما مرورگر نیستید و درخواست رو بلاک میکنه.
کله سناریویی که گفتم اینجا داره اتفاق میفته تو لایبری من که کلا ۱۰ خط کده.
@PyBackendHub
لینک گیتهابش اینجاست با httpx کاملاً سازگاره، یعنی اگه از httpx استفاده میکردید، با تغییر import میتونید به راحتی ازش استفاده کنید.
مشکل چی بود؟ سایتهایی که از Cloudflare به عنوان reverse proxy استفاده میکنن، معمولاً از یه مکانیزم تشخیص ربات استفاده میکنن که به TLS Fingerprint متکیه. حالا TLS Fingerprint چیه؟ وقتی شما به یه سایت وصل میشید، اولین چیزی که رد و بدل میشه، یه پیام به اسم Client Hello هست. این پیام اطلاعات اولیهای رو درباره کلاینت شما به سرور میده، مثل نسخه TLS که پشتیبانی میکنید و یه لیست به اسم cipher suite.
توضیح Cipher suite: در واقع مجموعهای از الگوریتمهای رمزنگاری هست که کلاینت و سرور میتونن برای برقراری یه ارتباط امن استفاده کنن. هر مرورگر یا کلاینت یه لیست مشخص از cipher suite داره که ترتیبش هم خاص همون کلاینت هست. مثلاً مرورگر کروم یه لیست مشخص داره، مرورگر فایرفاکس یه لیست دیگه، و مثلاً requests پایتون هم یه لیست کاملاً متفاوت.
کلادفلیر چطور متوجه میشه شما مرورگر نیستید؟ اون میاد این TLS Fingerprint، یعنی ترکیب نسخه TLS و ترتیب cipher suiteها، رو با user-agent شما مقایسه میکنه. اگه این دو تا با هم نخونن، مثلاً user-agent شما میگه مرورگر کروم هستید ولی cipher suiteها میگن یه اسکریپت پایتونید، Cloudflare متوجه میشه که شما مرورگر نیستید و درخواست رو بلاک میکنه.
کله سناریویی که گفتم اینجا داره اتفاق میفته تو لایبری من که کلا ۱۰ خط کده.
@PyBackendHub
GitHub
GitHub - ManiMozaffar/cfcrawler: Cloudflare scraper and cralwer written in Async, In-place library for HTTPX. Crawl website that…
Cloudflare scraper and cralwer written in Async, In-place library for HTTPX. Crawl website that has cloudflare enabled, easier than ever! - ManiMozaffar/cfcrawler
👍9👌3👏2❤1
روی Hey یه آپدیت ریز دادم. حالا میتونید آدرس سرویس LLM دلخواه خودتون رو ست کنید واسه پروژه. اینجوری آپدیت کنید:
و اینجوری از کانفیگ جدید استفاده کنید:
اگه نگران پاک شدن کانفیک قبلی هستید (چون config create کانفیگتونو بازنویسی میکنه)، فقط این رو اضافه کنید به کانفیگ فعلیتون:
بصورت پیشفرض تنظیم شده به سرویس MindsDB که میتونید از این به بعد تغییرش بدید. و اینکه ورژن قبلی هنوز به خوبی کار میکنه. اگه احیانا میخواید سرویس رو تغییر بدید اپدیت کنید.
pip install -U hey-mindsdb
و اینجوری از کانفیگ جدید استفاده کنید:
hey config create
hey config edit
اگه نگران پاک شدن کانفیک قبلی هستید (چون config create کانفیگتونو بازنویسی میکنه)، فقط این رو اضافه کنید به کانفیگ فعلیتون:
...
"service": "https://llm.mdb.ai",
...
بصورت پیشفرض تنظیم شده به سرویس MindsDB که میتونید از این به بعد تغییرش بدید. و اینکه ورژن قبلی هنوز به خوبی کار میکنه. اگه احیانا میخواید سرویس رو تغییر بدید اپدیت کنید.
👍4
Sadra Codes
روی Hey یه آپدیت ریز دادم. حالا میتونید آدرس سرویس LLM دلخواه خودتون رو ست کنید واسه پروژه. اینجوری آپدیت کنید: pip install -U hey-mindsdb و اینجوری از کانفیگ جدید استفاده کنید: hey config create hey config edit اگه نگران پاک شدن کانفیک قبلی هستید…
لانچش کردم روی پروداکتهانت. آره خلاصه نیازمند Upvoteهای گرمتان هستیم. 🤍🙌
🐈 : https://www.producthunt.com/new/products/hey-30620d3c-3330-4c6a-86cd-8cf9930a2490
🐈 : https://www.producthunt.com/new/products/hey-30620d3c-3330-4c6a-86cd-8cf9930a2490
⚡7👍5❤🔥3
آقا ساپورت کنید ببینم یک پروداکتهانت رو میگیریم یا نه. 😅
تقریبا ۱۵ ساعت مونده و سومیم. با نفر اول تقریبا ۷۰ تا vote فاصله داریم.
https://www.producthunt.com/posts/hey-7fed5187-9b92-4ee8-9ce5-e08d5bc63d15
تقریبا ۱۵ ساعت مونده و سومیم. با نفر اول تقریبا ۷۰ تا vote فاصله داریم.
https://www.producthunt.com/posts/hey-7fed5187-9b92-4ee8-9ce5-e08d5bc63d15
👍13
Sadra Codes
دوم شدیم همین الان. 🥹 چه زود! دمتون خیلی گرم.
1. WP Adminify (241)
2. Hey! (218)
نفر اول وردپرسیه. زشته جلو وردپرس کم بیاریم. 😂
2. Hey! (218)
نفر اول وردپرسیه. زشته جلو وردپرس کم بیاریم. 😂
❤🔥13🤣5👍2🤯2
گوگل اومده در خونمون میگه دمت گرم. تو این یک ساعته، ۲۰۰ تا یوزر بخاطر پستهات به سرویس جیمیلمون اضافه شدن. :)
🤣39😁1