🧠 چرا موقع خوندن کد سردرگم میشیم؟
خیلی وقتها وقتی کدی رو نمیفهمیم، فکر میکنیم مشکل از خودمونه
ولی معمولاً سردرگمی ما از ۳ دلیل مشخص میاد؛ و هر کدوم راهحل خودش رو داره
1) کمبود دانش
یعنی چیزی که جلوته رو اصولاً بلد نیستی
مثلاً:
سینتکس یک زبان برات ناآشناست
معنی یک عملگر یا تابع خاص رو نمیدونی
مفهوم بیزنسی یا اصطلاح پروژه رو نمیفهمی
این مشکل به حافظه بلندمدت مربوطه.
یعنی اون دانش هنوز توی ذهنت ذخیره نشده
✅ راهحل:
مطالعهی مفهوم
دیدن مثال
مرور و تمرین
2) کمبود اطلاعات
اینجا مشکل این نیست که بلد نیستی
مشکل اینه که اطلاعات کامل همونجا جلوی چشمت نیست
مثلاً:
یک متد صدا زده شده ولی تعریفش توی فایل دیگهست
مقدار یک متغیر جای دیگه تعیین میشه
بخشی از منطق توی کلاس یا ماژول دیگریه
این مشکل بیشتر به حافظه کوتاهمدت مربوطه
چون باید چند تکه اطلاعات رو موقت توی ذهنت نگه داری و به هم وصل کنی
✅ راهحل:
رفتن به تعریف توابع و متدها
پیدا کردن منبع متغیرها
جمع کردن تکههای مرتبط کد کنار هم
3) فشار پردازشی
اینجا هم دانشش رو داری، هم اطلاعاتش هست،
ولی کد از نظر ذهنی سنگینه
مثلاً:
چند حلقه و شرط تو در تو وجود داره
متغیرها مدام تغییر میکنن
باید اجرای کد رو مرحلهبهمرحله توی ذهنت شبیهسازی کنی
این مشکل به حافظه کاری مربوطه
یعنی همون بخشی از ذهن که توش تحلیل، دنبال کردن و حل مسئله انجام میدی
✅ راهحل:
کاغذ و قلم
نوشتن مقدار متغیرها
دیباگر
شکستن مسئله به بخشهای کوچکتر
📌 یک نکته مهم
مغز ما همیشه دقیق عمل نمیکنه
خیلی وقتها از روی عادت، چیزها رو حدس میزنه
مثلاً ممکنه در کد اشتباه تایپی وجود داشته باشه
ولی مغزت چون انتظار یک الگوی آشنا رو داره، همون چیزی رو ببینه که «فکر میکنه باید باشه»
این میانبُرها گاهی کمک میکنن سریعتر کد بخونیم
ولی گاهی هم باعث میشن باگ یا جزئیات مهم رو نبینیم
✅ جمعبندی
هر وقت کدی رو نفهمیدی، سریع خودت رو قضاوت نکن
اول مشخص کن مشکل از کدوم دستهست:
چیزی رو بلد نیستم → باید یاد بگیرم
اطلاعات کافی ندارم → باید بگردم و جمعش کنم
ذهنم از پردازش کد خسته شده → باید مسئله رو سبکتر کنم
فرق برنامهنویس حرفهای با بقیه این نیست که هیچوقت سردرگم نمیشه؛
اینـه که میفهمه دقیقاً چرا سردرگم شده
#تجربه
خیلی وقتها وقتی کدی رو نمیفهمیم، فکر میکنیم مشکل از خودمونه
ولی معمولاً سردرگمی ما از ۳ دلیل مشخص میاد؛ و هر کدوم راهحل خودش رو داره
1) کمبود دانش
یعنی چیزی که جلوته رو اصولاً بلد نیستی
مثلاً:
سینتکس یک زبان برات ناآشناست
معنی یک عملگر یا تابع خاص رو نمیدونی
مفهوم بیزنسی یا اصطلاح پروژه رو نمیفهمی
این مشکل به حافظه بلندمدت مربوطه.
یعنی اون دانش هنوز توی ذهنت ذخیره نشده
✅ راهحل:
مطالعهی مفهوم
دیدن مثال
مرور و تمرین
2) کمبود اطلاعات
اینجا مشکل این نیست که بلد نیستی
مشکل اینه که اطلاعات کامل همونجا جلوی چشمت نیست
مثلاً:
یک متد صدا زده شده ولی تعریفش توی فایل دیگهست
مقدار یک متغیر جای دیگه تعیین میشه
بخشی از منطق توی کلاس یا ماژول دیگریه
این مشکل بیشتر به حافظه کوتاهمدت مربوطه
چون باید چند تکه اطلاعات رو موقت توی ذهنت نگه داری و به هم وصل کنی
✅ راهحل:
رفتن به تعریف توابع و متدها
پیدا کردن منبع متغیرها
جمع کردن تکههای مرتبط کد کنار هم
3) فشار پردازشی
اینجا هم دانشش رو داری، هم اطلاعاتش هست،
ولی کد از نظر ذهنی سنگینه
مثلاً:
چند حلقه و شرط تو در تو وجود داره
متغیرها مدام تغییر میکنن
باید اجرای کد رو مرحلهبهمرحله توی ذهنت شبیهسازی کنی
این مشکل به حافظه کاری مربوطه
یعنی همون بخشی از ذهن که توش تحلیل، دنبال کردن و حل مسئله انجام میدی
✅ راهحل:
کاغذ و قلم
نوشتن مقدار متغیرها
دیباگر
شکستن مسئله به بخشهای کوچکتر
📌 یک نکته مهم
مغز ما همیشه دقیق عمل نمیکنه
خیلی وقتها از روی عادت، چیزها رو حدس میزنه
مثلاً ممکنه در کد اشتباه تایپی وجود داشته باشه
ولی مغزت چون انتظار یک الگوی آشنا رو داره، همون چیزی رو ببینه که «فکر میکنه باید باشه»
این میانبُرها گاهی کمک میکنن سریعتر کد بخونیم
ولی گاهی هم باعث میشن باگ یا جزئیات مهم رو نبینیم
✅ جمعبندی
هر وقت کدی رو نفهمیدی، سریع خودت رو قضاوت نکن
اول مشخص کن مشکل از کدوم دستهست:
چیزی رو بلد نیستم → باید یاد بگیرم
اطلاعات کافی ندارم → باید بگردم و جمعش کنم
ذهنم از پردازش کد خسته شده → باید مسئله رو سبکتر کنم
فرق برنامهنویس حرفهای با بقیه این نیست که هیچوقت سردرگم نمیشه؛
اینـه که میفهمه دقیقاً چرا سردرگم شده
#تجربه
🔵 عنوان مقاله
GTA-maker Rockstar Games hacked again but downplays impact (2 minute read)
🟢 خلاصه مقاله:
شرکت توسعهدهنده بازیهای معروف، راک استار گیمز، بار دیگر با هکرها مواجه شده است. هکرهایی که خود را «ShinyHunters» مینامند اعلام کردند که توانستهاند به دادههای این شرکت از طریق یک سرویس ابری شخص ثالث دسترسی پیدا کنند. این گروه تهدید کرده است که در صورت عدم پرداخت باج، اطلاعات حساس را فاش خواهند کرد.
در این خبر، راک استار گیمز اعلام کرده است که این حمله تأثیری بر فرآیندهای داخلی و دادههای کاربران نداشته و در حال حاضر موضوع کنترلشده است. با وجود تهدیدهای هکرها، تیم امنیتی این شرکت در حال بررسی وضعیت است و اطمینان دادند که اقدامات لازم برای حفاظت از دادههای کاربران انجام شده است. این اتفاق نشان میدهد که حتی شرکتهای بزرگ و معتبر در عرصه فناوری و گیمینگ نیز در معرض حملات سایبری قرار دارند، اما مهمترین نکته، نحوه واکنش سریع و ایمن در برابر این تهدیدات است.
در مجموع، این حمله مجدد نشان میدهد که امنیت سایبری در دنیای امروز اهمیت بیشتری پیدا کرده است و باید همواره با تهدیدهای جدید و پیچیدهتر مقابله کرد. شرکتها باید تدابیر لازم برای حفاظت دادهها و اطلاعات حساس را در اولویت قرار دهند تا از هرگونه ضرر مالی و اعتباری جلوگیری شود.
#امنیت_سایبری #راکستار_گیمز #حملات_هاکری #بازیهای_ویدئویی
🟣لینک مقاله:
https://www.bbc.com/news/articles/cx2dg5g1le7o?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GTA-maker Rockstar Games hacked again but downplays impact (2 minute read)
🟢 خلاصه مقاله:
شرکت توسعهدهنده بازیهای معروف، راک استار گیمز، بار دیگر با هکرها مواجه شده است. هکرهایی که خود را «ShinyHunters» مینامند اعلام کردند که توانستهاند به دادههای این شرکت از طریق یک سرویس ابری شخص ثالث دسترسی پیدا کنند. این گروه تهدید کرده است که در صورت عدم پرداخت باج، اطلاعات حساس را فاش خواهند کرد.
در این خبر، راک استار گیمز اعلام کرده است که این حمله تأثیری بر فرآیندهای داخلی و دادههای کاربران نداشته و در حال حاضر موضوع کنترلشده است. با وجود تهدیدهای هکرها، تیم امنیتی این شرکت در حال بررسی وضعیت است و اطمینان دادند که اقدامات لازم برای حفاظت از دادههای کاربران انجام شده است. این اتفاق نشان میدهد که حتی شرکتهای بزرگ و معتبر در عرصه فناوری و گیمینگ نیز در معرض حملات سایبری قرار دارند، اما مهمترین نکته، نحوه واکنش سریع و ایمن در برابر این تهدیدات است.
در مجموع، این حمله مجدد نشان میدهد که امنیت سایبری در دنیای امروز اهمیت بیشتری پیدا کرده است و باید همواره با تهدیدهای جدید و پیچیدهتر مقابله کرد. شرکتها باید تدابیر لازم برای حفاظت دادهها و اطلاعات حساس را در اولویت قرار دهند تا از هرگونه ضرر مالی و اعتباری جلوگیری شود.
#امنیت_سایبری #راکستار_گیمز #حملات_هاکری #بازیهای_ویدئویی
🟣لینک مقاله:
https://www.bbc.com/news/articles/cx2dg5g1le7o?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Bbc
GTA-maker Rockstar Games hacked again but downplays impact
The incident marks the second time the games giant has been hacked by young, English-speaking hackers.
🔵 عنوان مقاله
Why F.I.R.S.T. Testing Still Wins After 20 Years
🟢 خلاصه مقاله:
در دنیای آزمایشهای علمی و ارزیابیهای کیفیت، اصول F.I.R.S.T. همچنان پس از گذشت بیش از بیست سال، جایگاه ویژهای دارند. فرناندا نادفیتا در مقالهای مجدد به اصول مهم این روشها میپردازد و آنها را مورد بررسی قرار میدهد. او با ارائه نمونهها و مثالهای عملی نشان میدهد چرا این استانداردها همچنان مورد اعتماد و کارآمد هستند و چگونه میتوانند در پروژههای مختلف به کار گرفته شوند.
در تحلیل دوباره این اصول، نادفیتا تأکید میکند که فایرست بر پایه پنج ویژگی کلیدی استوار است: سریع بودن، مستقل بودن، تکرارپذیری، خودتأییدی و زمانبندی مناسب. این ویژگیها باعث شدهاند تا آزمایشها نه تنها قابل اعتماد باشند بلکه در زمان مناسب و با هزینه کمتر، نتایج دقیقی ارائه دهند. او نشان میدهد که این اصول در بسیاری از پروژههای واقعی، چه در صنعت و چه در تحقیق، پاسخگو و مؤثر عمل کردهاند و همچنان مورد تایید قرار دارند.
در انتها، نادفیتا با مثالهایی زنده و ملموس، اثبات میکند که اصول F.I.R.S.T. نه فقط یک رویکرد نظری بلکه یک راهکار عملی است که میتواند کارایی و اعتمادپذیری در ارزیابیها را به حداکثر برساند. این مقاله مجالی است برای تجدیدنظر در مفروضات پیشین و تأکید بر اهمیت حفظ و ارتقاء استانداردهای کیفیت در آزمایشها.
#آزمایش #کیفیت #FIRST #مطالعات
🟣لینک مقاله:
https://cur.at/UonuHhJ?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Why F.I.R.S.T. Testing Still Wins After 20 Years
🟢 خلاصه مقاله:
در دنیای آزمایشهای علمی و ارزیابیهای کیفیت، اصول F.I.R.S.T. همچنان پس از گذشت بیش از بیست سال، جایگاه ویژهای دارند. فرناندا نادفیتا در مقالهای مجدد به اصول مهم این روشها میپردازد و آنها را مورد بررسی قرار میدهد. او با ارائه نمونهها و مثالهای عملی نشان میدهد چرا این استانداردها همچنان مورد اعتماد و کارآمد هستند و چگونه میتوانند در پروژههای مختلف به کار گرفته شوند.
در تحلیل دوباره این اصول، نادفیتا تأکید میکند که فایرست بر پایه پنج ویژگی کلیدی استوار است: سریع بودن، مستقل بودن، تکرارپذیری، خودتأییدی و زمانبندی مناسب. این ویژگیها باعث شدهاند تا آزمایشها نه تنها قابل اعتماد باشند بلکه در زمان مناسب و با هزینه کمتر، نتایج دقیقی ارائه دهند. او نشان میدهد که این اصول در بسیاری از پروژههای واقعی، چه در صنعت و چه در تحقیق، پاسخگو و مؤثر عمل کردهاند و همچنان مورد تایید قرار دارند.
در انتها، نادفیتا با مثالهایی زنده و ملموس، اثبات میکند که اصول F.I.R.S.T. نه فقط یک رویکرد نظری بلکه یک راهکار عملی است که میتواند کارایی و اعتمادپذیری در ارزیابیها را به حداکثر برساند. این مقاله مجالی است برای تجدیدنظر در مفروضات پیشین و تأکید بر اهمیت حفظ و ارتقاء استانداردهای کیفیت در آزمایشها.
#آزمایش #کیفیت #FIRST #مطالعات
🟣لینک مقاله:
https://cur.at/UonuHhJ?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
Why F.I.R.S.T. Testing Still Wins After 20 Years
Software development moves at a very quick pace, but some rules have stood the test of time for a reason. The F.I.R.S.T. principles are…
🔵 عنوان مقاله
Pentest of a 100% vibe-encoded app: complete security analysis of an AI-generated app (4 minute read)
🟢 خلاصه مقاله:
در یک آزمایش نفوذ جامع، یک برنامه تحت وب ساخته شده کامل با کدگذاری وایت-پای ۱۰۰٪ مورد بررسی قرار گرفت. این برنامه که با فناوری کریپتو و هوش مصنوعی ساخته شده بود، در حالت نیمهمخبری (gray-box) و با استفاده از اطلاعات کاربری عادی مورد آزمایش قرار گرفت. نتیجهگیریهای اولیه نشان دادند که آسیبپذیریهای جدی و سریع نمایان شدند؛ از جمله یک آسیبپذیری مسیر ناپایدار (LFI) که از طریق پارامتر unfiltered full_path، به فایل حساس /etc/passwd دسترسی پیدا کرد و درهای نفوذ از راه دور (RCE) را باز کرد.
در ادامه، یکی دیگر از مشکلات مهم، مربوط به پایگاه داده داخلی برنامه بود، که با سوءاستفاده از آسیبپذیری نوع IDOR در مسیر /employee/{guid}، امکان استخراج اطلاعات حساس کارمندان مانند ایمیلها، نقشها و هشهای پسورد آنها فراهم شد. این آسیبپذیری بهراحتی و با برداشت شناسههای GUID از یک API عمومی لیست برترینها قابل بهرهبرداری بود.
در قسمت فرانتاند، نرمافزار با نسخه Vite 5.4.10 اجرا میشد که آسیبپذیریهای شناختهشدهای در آن وجود داشتند. کدهای تولیدشده توسط هوش مصنوعی، به دلیل نادیده گرفتن تایید ورودی و ضعفهای امنیتی دیگر، علاوه بر ارائه امکانات، در معرض خطر قرار داشتند. در مجموع، این آزمایش نشان داد که فناوریهای نوین و کدهای هوشمند نیازمند مراقبتهای امنیتی ویژه و بهروزرسانیهای مداوم هستند تا از بروز آسیبپذیریهای آسیبپذیر جلوگیری شود.
#امنیت_برنامه_وب #آسیبپذیری #نفوذگرایى #کدهای_هوشمند
🟣لینک مقاله:
https://www.hackmosphere.fr/en/pentest-of-a-100-vibe-encoded-app-complete-security-analysis-of-an-ai-generated-app/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Pentest of a 100% vibe-encoded app: complete security analysis of an AI-generated app (4 minute read)
🟢 خلاصه مقاله:
در یک آزمایش نفوذ جامع، یک برنامه تحت وب ساخته شده کامل با کدگذاری وایت-پای ۱۰۰٪ مورد بررسی قرار گرفت. این برنامه که با فناوری کریپتو و هوش مصنوعی ساخته شده بود، در حالت نیمهمخبری (gray-box) و با استفاده از اطلاعات کاربری عادی مورد آزمایش قرار گرفت. نتیجهگیریهای اولیه نشان دادند که آسیبپذیریهای جدی و سریع نمایان شدند؛ از جمله یک آسیبپذیری مسیر ناپایدار (LFI) که از طریق پارامتر unfiltered full_path، به فایل حساس /etc/passwd دسترسی پیدا کرد و درهای نفوذ از راه دور (RCE) را باز کرد.
در ادامه، یکی دیگر از مشکلات مهم، مربوط به پایگاه داده داخلی برنامه بود، که با سوءاستفاده از آسیبپذیری نوع IDOR در مسیر /employee/{guid}، امکان استخراج اطلاعات حساس کارمندان مانند ایمیلها، نقشها و هشهای پسورد آنها فراهم شد. این آسیبپذیری بهراحتی و با برداشت شناسههای GUID از یک API عمومی لیست برترینها قابل بهرهبرداری بود.
در قسمت فرانتاند، نرمافزار با نسخه Vite 5.4.10 اجرا میشد که آسیبپذیریهای شناختهشدهای در آن وجود داشتند. کدهای تولیدشده توسط هوش مصنوعی، به دلیل نادیده گرفتن تایید ورودی و ضعفهای امنیتی دیگر، علاوه بر ارائه امکانات، در معرض خطر قرار داشتند. در مجموع، این آزمایش نشان داد که فناوریهای نوین و کدهای هوشمند نیازمند مراقبتهای امنیتی ویژه و بهروزرسانیهای مداوم هستند تا از بروز آسیبپذیریهای آسیبپذیر جلوگیری شود.
#امنیت_برنامه_وب #آسیبپذیری #نفوذگرایى #کدهای_هوشمند
🟣لینک مقاله:
https://www.hackmosphere.fr/en/pentest-of-a-100-vibe-encoded-app-complete-security-analysis-of-an-ai-generated-app/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Hackmosphere
Pentest d'une application vibe codée : analyse & résultats
Analyse technique d’un pentest d’application web 100 % vibe codée : découverte de vulnérabilités LFI, IDOR, dépendances vulnérables et risques sécurité liés au code généré par IA.
🔵 عنوان مقاله
Trusted Access for the Next Era of Cyber Defense (3 minute read)
🟢 خلاصه مقاله:
در دنیای امنیت سایبری رو به رشد امروز، دسترسی مطمئن و معتبر به سیستمها و ابزارهای مختلف اهمیت حیاتی دارد. در این راستا، شرکت OpenAI برنامه «دسترسی مطمئن برای عصر بعدی دفاع سایبری» خود را گسترش داده است تا هزاران نفر از مدافعان معتبر و فعال در حوزه امنیت سایبری بتوانند به طور مؤثر از این فناوری بهرهمند شوند. هدف این برنامه تقویت تواناییها و سرعت واکنش در مقابل حملات سایبری است، به گونهای که تیمهای امنیتی بتوانند بهتر و سریعتر به تهدیدها پاسخ دهند و از زیرساختهای خود محافظت کنند.
در ادامه، این شرکت از معرفی GPT‑5.4‑Cyber خبر داده است؛ مدلی پیشرفته و مجاز که به طور خاص برای وظایف دفاعی طراحی شده است. این مدل توانمندیهای خاصی دارد، مانند مهارت در تحلیل و مهندسی معکوس فایلهای باینری، که اغلب در شناسایی و نابودی بدافزارها و تهدیدات سایبری کاربرد دارد. با افزوده شدن این فناوریهای نوین، تیمهای امنیتی قادر خواهند بود دفاعهای قویتر و هوشمندانهتری را پیادهسازی کنند، و به مقابله با چالشهای امنیتی پیچیدهتر بپردازند.
این تحولات نشان میدهد که آینده امنیت سایبری با تکنولوژیهای هوشمند و دسترسیهای مطمئن، بسیار مطمئنتر و کارآمدتر خواهد شد. شرکت OpenAI همچنان در مسیر توسعه ابزارها و فناوریهایی است که نه تنها امنیت را ارتقاء میدهند، بلکه فرآیندهای مقابله با تهدیدات سایبری را سرعت میبخشند و ظرفیت دفاعی سازمانها را افزایش میدهند.
#امنیت_سایبری #هوشمصنوعی #مدیریت_تهدیدات #فناوری_پیشرفته
🟣لینک مقاله:
https://openai.com/index/scaling-trusted-access-for-cyber-defense/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Trusted Access for the Next Era of Cyber Defense (3 minute read)
🟢 خلاصه مقاله:
در دنیای امنیت سایبری رو به رشد امروز، دسترسی مطمئن و معتبر به سیستمها و ابزارهای مختلف اهمیت حیاتی دارد. در این راستا، شرکت OpenAI برنامه «دسترسی مطمئن برای عصر بعدی دفاع سایبری» خود را گسترش داده است تا هزاران نفر از مدافعان معتبر و فعال در حوزه امنیت سایبری بتوانند به طور مؤثر از این فناوری بهرهمند شوند. هدف این برنامه تقویت تواناییها و سرعت واکنش در مقابل حملات سایبری است، به گونهای که تیمهای امنیتی بتوانند بهتر و سریعتر به تهدیدها پاسخ دهند و از زیرساختهای خود محافظت کنند.
در ادامه، این شرکت از معرفی GPT‑5.4‑Cyber خبر داده است؛ مدلی پیشرفته و مجاز که به طور خاص برای وظایف دفاعی طراحی شده است. این مدل توانمندیهای خاصی دارد، مانند مهارت در تحلیل و مهندسی معکوس فایلهای باینری، که اغلب در شناسایی و نابودی بدافزارها و تهدیدات سایبری کاربرد دارد. با افزوده شدن این فناوریهای نوین، تیمهای امنیتی قادر خواهند بود دفاعهای قویتر و هوشمندانهتری را پیادهسازی کنند، و به مقابله با چالشهای امنیتی پیچیدهتر بپردازند.
این تحولات نشان میدهد که آینده امنیت سایبری با تکنولوژیهای هوشمند و دسترسیهای مطمئن، بسیار مطمئنتر و کارآمدتر خواهد شد. شرکت OpenAI همچنان در مسیر توسعه ابزارها و فناوریهایی است که نه تنها امنیت را ارتقاء میدهند، بلکه فرآیندهای مقابله با تهدیدات سایبری را سرعت میبخشند و ظرفیت دفاعی سازمانها را افزایش میدهند.
#امنیت_سایبری #هوشمصنوعی #مدیریت_تهدیدات #فناوری_پیشرفته
🟣لینک مقاله:
https://openai.com/index/scaling-trusted-access-for-cyber-defense/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
OpenAI
Trusted access for the next era of cyber defense
OpenAI expands its Trusted Access for Cyber program, introducing GPT-5.4-Cyber to vetted defenders and strengthening safeguards as AI cybersecurity capabilities advance.
🔵 عنوان مقاله
The Waterfall Strikes Back
🟢 خلاصه مقاله:
در حین بررسی یک الگوی جالب، Patrick Prill توجهاش را به نکتهای مهم جلب کرد. او متوجه شد که توسعه بر اساس مشخصات نمونهمحور (Spec-Driven Development) از توسعهدهندگان میخواهد که ابتدا مشخصات کاملی و بینقص تهیه کنند. این رویه، در واقع همان روشی است که در دوران آبشاری (Waterfall) به آن اعتراف میکردیم و آن را اشتباه میدانستیم؛ زمانی که فرآیند توسعه به صورت مرحلهای و خطی بود و تیمها در هر مرحله منتظر پایان کار قبل برای شروع مرحله بعد میماندند. پیش از ظهور روشهای چابک (Agile)، این رویکرد به عنوان استاندارد معمول در صنعت تلقی میشد، اما اکنون مشخص است که این روش در بسیاری موارد ناکارآمد است و منجر به محصول نهایی ناقص یا نیازهای تغییرپذیر بازار ناپایدار میشود.
در واقع، بازگشت به این الگو نشاندهنده این است که پس از گذر از دورهای انتقادی، دوباره در مسیر اشتباه حرکت میکنیم. این نکته برای تیمهای توسعه اهمیت دارد که بدانند نیاز نیست هر چیزی را در ابتدا به صورت کامل مشخص و برنامهریزی کنند، بلکه باید فرآیند را انعطافپذیر و مبتنی بر تغییرات و بازخوردهای بیوقفه نگه دارند. این رویکرد، همان چیزی است که Agile آن را ترویج میکند و نشان میدهد که در عمل، انتظار داشتن مشخصات کامل از اول، اغلب منجر به عدم انطباق با نیازهای واقعی و بازار میشود.
#توسعه_نرمافزار #آبشار #چابک #مدیریت_پروژه
🟣لینک مقاله:
https://cur.at/2iupJ7N?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Waterfall Strikes Back
🟢 خلاصه مقاله:
در حین بررسی یک الگوی جالب، Patrick Prill توجهاش را به نکتهای مهم جلب کرد. او متوجه شد که توسعه بر اساس مشخصات نمونهمحور (Spec-Driven Development) از توسعهدهندگان میخواهد که ابتدا مشخصات کاملی و بینقص تهیه کنند. این رویه، در واقع همان روشی است که در دوران آبشاری (Waterfall) به آن اعتراف میکردیم و آن را اشتباه میدانستیم؛ زمانی که فرآیند توسعه به صورت مرحلهای و خطی بود و تیمها در هر مرحله منتظر پایان کار قبل برای شروع مرحله بعد میماندند. پیش از ظهور روشهای چابک (Agile)، این رویکرد به عنوان استاندارد معمول در صنعت تلقی میشد، اما اکنون مشخص است که این روش در بسیاری موارد ناکارآمد است و منجر به محصول نهایی ناقص یا نیازهای تغییرپذیر بازار ناپایدار میشود.
در واقع، بازگشت به این الگو نشاندهنده این است که پس از گذر از دورهای انتقادی، دوباره در مسیر اشتباه حرکت میکنیم. این نکته برای تیمهای توسعه اهمیت دارد که بدانند نیاز نیست هر چیزی را در ابتدا به صورت کامل مشخص و برنامهریزی کنند، بلکه باید فرآیند را انعطافپذیر و مبتنی بر تغییرات و بازخوردهای بیوقفه نگه دارند. این رویکرد، همان چیزی است که Agile آن را ترویج میکند و نشان میدهد که در عمل، انتظار داشتن مشخصات کامل از اول، اغلب منجر به عدم انطباق با نیازهای واقعی و بازار میشود.
#توسعه_نرمافزار #آبشار #چابک #مدیریت_پروژه
🟣لینک مقاله:
https://cur.at/2iupJ7N?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Test Pappy
The Waterfall Strikes Back
As of when writing this post in the first days of April 2026, the vibe coding community is buzzing about “Spec-Driven Development.” Write a perfect specification, let the AI agents loos…
🔵 عنوان مقاله
3 Design Principles for Creating Agent Skills
🟢 خلاصه مقاله:
در دنیای امروز، مهارتها به عنوان یک روش استاندارد برای ارائه زمینه و دستورالعمل به رباتهای هوشمند یا همان عوامل مصنوعی تبدیل شدهاند. این مهارتها نقش مهمی در تعیین وظایف و نحوهی عملکرد عوامل دارند و به توسعهدهندگان کمک میکنند تا سیستمهای هوشمند بهتر و کارآمدتری بسازند. اما سوال مهم این است که چه طور باید این مهارتها را به درستی طراحی و پیادهسازی کرد؟
در این راستا، آنجی جونز چند اصل کلیدی و راهنمایی ارزشمند را برای طراحی مهارتهای موثر برای عوامل هوشمند ارائه میدهد. او بر اهمیت ساختاردهی مناسب، وضوح در دستورالعملها و قابلیت تعمیم مهارتها تاکید دارد، زیرا این موارد میتوانند تأثیر قابل توجهی بر عملکرد نهایی سیستمهای هوشمند داشته باشند. با رعایت این اصول، توسعهدهندگان میتوانند مهارتهایی بسازند که نه تنها کارآمد و دقیق باشند، بلکه به راحتی قابل توسعه و اصلاح نیز باشند.
در پایان، تمرکز بر طراحی اصولی و کاربرپسند برای مهارتهای عاملهای هوشمند، نقش بسزایی در بهبود تجربه کاربری و افزایش بهرهوری سیستمها دارد. این نکات ساده اما مهم، مسیر را برای ساخت سامانههای هوشمند قویتر و انعطافپذیرتر هموار میکنند که پاسخگوی نیازهای متنوع و دقیق کاربران باشند.
#هوش_مصنوعی #طراحی_مهارت #توسعه_عوامل #هوشمندسازی
🟣لینک مقاله:
https://cur.at/Q2S7xBk?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
3 Design Principles for Creating Agent Skills
🟢 خلاصه مقاله:
در دنیای امروز، مهارتها به عنوان یک روش استاندارد برای ارائه زمینه و دستورالعمل به رباتهای هوشمند یا همان عوامل مصنوعی تبدیل شدهاند. این مهارتها نقش مهمی در تعیین وظایف و نحوهی عملکرد عوامل دارند و به توسعهدهندگان کمک میکنند تا سیستمهای هوشمند بهتر و کارآمدتری بسازند. اما سوال مهم این است که چه طور باید این مهارتها را به درستی طراحی و پیادهسازی کرد؟
در این راستا، آنجی جونز چند اصل کلیدی و راهنمایی ارزشمند را برای طراحی مهارتهای موثر برای عوامل هوشمند ارائه میدهد. او بر اهمیت ساختاردهی مناسب، وضوح در دستورالعملها و قابلیت تعمیم مهارتها تاکید دارد، زیرا این موارد میتوانند تأثیر قابل توجهی بر عملکرد نهایی سیستمهای هوشمند داشته باشند. با رعایت این اصول، توسعهدهندگان میتوانند مهارتهایی بسازند که نه تنها کارآمد و دقیق باشند، بلکه به راحتی قابل توسعه و اصلاح نیز باشند.
در پایان، تمرکز بر طراحی اصولی و کاربرپسند برای مهارتهای عاملهای هوشمند، نقش بسزایی در بهبود تجربه کاربری و افزایش بهرهوری سیستمها دارد. این نکات ساده اما مهم، مسیر را برای ساخت سامانههای هوشمند قویتر و انعطافپذیرتر هموار میکنند که پاسخگوی نیازهای متنوع و دقیق کاربران باشند.
#هوش_مصنوعی #طراحی_مهارت #توسعه_عوامل #هوشمندسازی
🟣لینک مقاله:
https://cur.at/Q2S7xBk?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Angie Jones
3 Design Principles for Creating Agent Skills - Angie Jones
Traditionally, engineers haven't been the most diligent at writing and maintaining docs. But it seems they're more inspired than ever lately.
Making devs finally write docs by calling them “skills” is a great arb
— Mitchell Troyanovsky (@mitch_troy)…
Making devs finally write docs by calling them “skills” is a great arb
— Mitchell Troyanovsky (@mitch_troy)…
عزیزانی که تازه دارید git یاد میگیرین ، این وبسایت به صورت interactive و گرافیکی بهتون مفاهیم branching رو یاد میده
https://learngitbranching.js.org/
https://learngitbranching.js.org/
learngitbranching.js.org
Learn Git Branching
An interactive Git visualization tool to educate and challenge!
🔵 عنوان مقاله
Jones Day Confirms Limited Breach After Phishing Attack by Silent Ransom Group (2 minute read)
🟢 خلاصه مقاله:
شرکت حقوقی جونز دی که یکی از بزرگترین و معتبرترین موسسات حقوقی در آمریکا به شمار میآید، اخیراً اطلاع داد که در نتیجه یک حمله سایبری محدود، دادههای مربوط به ده مشتری این شرکت به خطر افتاده است. در این حمله، گروهی تحت عنوان "Silent Ransom Group" مسئولیت این نفوذ را بر عهده گرفت و تصاویری از گفتگوهای احتمالی میان این گروه و مسئولان جونز دی منتشر کرد. در پیامهای این گروه، ادعا شده است که توانستهاند به سرپرست تیم مسئول پروندههای شرکت در دادگاه استیناف فدرال، دست یابند و اطلاعات این شخص را به سرقت ببرند.
این افشاگری نشان دهنده سطح پیچیدگی و خطرات حملات سایبری علیه نهادهای حقوقی است، که ممکن است منجر به نشت اطلاعات حساس و نقض حریم خصوصی موکلان و کارمندان شود. با وجود اینکه این نفوذ محدود اعلام شده است، اما نشاندهنده نیاز شدید به تدابیر امنیت سایبری قویتر در مؤسسات بزرگ است تا از چنین خطراتی جلوگیری شود و از دادههای مهم محافظت گردد.
در نهایت، این حادثه هشدار مهمی برای تمامی سازمانها و شرکتها است که باید بهروزترین روشهای امنیتی را در برابر حملات سایبری اتخاذ کنند، چرا که حتی پس از اقدامات حفاظتی، تهدیدهای سایبری همچنان ادامه دارد و نیازمند واکنش سریع و مؤثر است.
#امنیت_سایبری #حمله_سایبری #نفوذ_شبه_نظامی #داده_های_حساس
🟣لینک مقاله:
https://databreaches.net/2026/04/06/jones-day-confirms-limited-breach-after-phishing-attack-by-silent-ransom-group/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Jones Day Confirms Limited Breach After Phishing Attack by Silent Ransom Group (2 minute read)
🟢 خلاصه مقاله:
شرکت حقوقی جونز دی که یکی از بزرگترین و معتبرترین موسسات حقوقی در آمریکا به شمار میآید، اخیراً اطلاع داد که در نتیجه یک حمله سایبری محدود، دادههای مربوط به ده مشتری این شرکت به خطر افتاده است. در این حمله، گروهی تحت عنوان "Silent Ransom Group" مسئولیت این نفوذ را بر عهده گرفت و تصاویری از گفتگوهای احتمالی میان این گروه و مسئولان جونز دی منتشر کرد. در پیامهای این گروه، ادعا شده است که توانستهاند به سرپرست تیم مسئول پروندههای شرکت در دادگاه استیناف فدرال، دست یابند و اطلاعات این شخص را به سرقت ببرند.
این افشاگری نشان دهنده سطح پیچیدگی و خطرات حملات سایبری علیه نهادهای حقوقی است، که ممکن است منجر به نشت اطلاعات حساس و نقض حریم خصوصی موکلان و کارمندان شود. با وجود اینکه این نفوذ محدود اعلام شده است، اما نشاندهنده نیاز شدید به تدابیر امنیت سایبری قویتر در مؤسسات بزرگ است تا از چنین خطراتی جلوگیری شود و از دادههای مهم محافظت گردد.
در نهایت، این حادثه هشدار مهمی برای تمامی سازمانها و شرکتها است که باید بهروزترین روشهای امنیتی را در برابر حملات سایبری اتخاذ کنند، چرا که حتی پس از اقدامات حفاظتی، تهدیدهای سایبری همچنان ادامه دارد و نیازمند واکنش سریع و مؤثر است.
#امنیت_سایبری #حمله_سایبری #نفوذ_شبه_نظامی #داده_های_حساس
🟣لینک مقاله:
https://databreaches.net/2026/04/06/jones-day-confirms-limited-breach-after-phishing-attack-by-silent-ransom-group/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
How Bitwarden Encrypts and Decrypts Secrets (12 minute read)
🟢 خلاصه مقاله:
در دنیای امنیت دیجیتال، حفاظت از اطلاعات حساس کاربران بسیار حیاتی است. در این راستا، برنامههایی مانند Bitwarden با بهرهگیری از فناوریهای پیشرفته، فرآیند رمزگذاری و رمزگشایی اطلاعات مخفی را به شکل ایمن و مؤثری مدیریت میکنند. در این مقاله، به بررسی نحوه رمزگذاری و رمزگشایی اسرار در Bitwarden خواهیم پرداخت و با جزئیات فنی آن آشنا میشویم.
در ابتدا، باید بدانیم که چگونه ساختار رمزگذاری در این سیستم طراحی شده است. بر اساس تحلیلهایی که توسط گرینبرگ انجام شده، قالب رمزگذاری به صورت ۲.{iv}|{ciphertext}|{mac} است. در این قالب، مقدار ciphertext از الگوریتم AES-256-CBC با پدینگ PKCS#7 بهره میبرد و مقدار MAC نیز بر پایه HMAC-SHA256 است که بر روی iv و متن رمزگذاری شده محاسبه میشود. این ساختار تضمین میکند که دادهها هم در حین انتقال و هم در ذخیرهسازی، از امنیت بالا برخوردار باشند.
در ادامه، باید اشاره کنیم که کلید اصلی یا master key، ۶۴ بایت است و به دو بخش ۳۲بایتی تقسیم میشود: یکی کلید AES برای رمزگذاری و دیگری کلید MAC برای امضاء و تأیید صحت دادهها. این کلید اصلی زیرمجموعهای از کلیدهای رمزگذاری و امضاهای جداگانه است که امنیت دادهها را چندبرابر میکند. همچنین، کلید رمزگذاری اصلی از طریق فرآیندی به نام PBKDF2-HMAC-SHA256 تولید میشود، که بر روی عبارت عبور کاربران و با پسوند ایمیل انجام میپذیرد و ۶۰۰ هزار تکرار دارد. این فرآیند، مقاومت بالا در برابر حملات مبتنی بر حدس زدن کلمه عبور را فراهم میکند و سپس این کلید هش شده، به کلیدهای فرعی برای رمزگذاری و MAC تقسیم میشود.
در پایان باید گفت که تمامی این عملیاتها در کنار استانداردهای رمزنگاری پیشرفته، موجب شده است که اطلاعات کاربران در سرویسهایی مانند Bitwarden، تا حد زیادی در برابر دستکاری و نفوذ محافظت شده باقی بماند. این تکنولوژیها با هم، امنیت و سلامت دادههای حساس را تضمین میکنند و اعتماد کاربران را نسبت به این نوع سامانهها افزایش میدهند.
#امنیت_اطلاعات #رمزگذاری #Bitwarden #فناوری_امنیت
🟣لینک مقاله:
https://blog.miguelgrinberg.com/post/how-bitwarden-encrypts-and-decrypts-secrets?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
How Bitwarden Encrypts and Decrypts Secrets (12 minute read)
🟢 خلاصه مقاله:
در دنیای امنیت دیجیتال، حفاظت از اطلاعات حساس کاربران بسیار حیاتی است. در این راستا، برنامههایی مانند Bitwarden با بهرهگیری از فناوریهای پیشرفته، فرآیند رمزگذاری و رمزگشایی اطلاعات مخفی را به شکل ایمن و مؤثری مدیریت میکنند. در این مقاله، به بررسی نحوه رمزگذاری و رمزگشایی اسرار در Bitwarden خواهیم پرداخت و با جزئیات فنی آن آشنا میشویم.
در ابتدا، باید بدانیم که چگونه ساختار رمزگذاری در این سیستم طراحی شده است. بر اساس تحلیلهایی که توسط گرینبرگ انجام شده، قالب رمزگذاری به صورت ۲.{iv}|{ciphertext}|{mac} است. در این قالب، مقدار ciphertext از الگوریتم AES-256-CBC با پدینگ PKCS#7 بهره میبرد و مقدار MAC نیز بر پایه HMAC-SHA256 است که بر روی iv و متن رمزگذاری شده محاسبه میشود. این ساختار تضمین میکند که دادهها هم در حین انتقال و هم در ذخیرهسازی، از امنیت بالا برخوردار باشند.
در ادامه، باید اشاره کنیم که کلید اصلی یا master key، ۶۴ بایت است و به دو بخش ۳۲بایتی تقسیم میشود: یکی کلید AES برای رمزگذاری و دیگری کلید MAC برای امضاء و تأیید صحت دادهها. این کلید اصلی زیرمجموعهای از کلیدهای رمزگذاری و امضاهای جداگانه است که امنیت دادهها را چندبرابر میکند. همچنین، کلید رمزگذاری اصلی از طریق فرآیندی به نام PBKDF2-HMAC-SHA256 تولید میشود، که بر روی عبارت عبور کاربران و با پسوند ایمیل انجام میپذیرد و ۶۰۰ هزار تکرار دارد. این فرآیند، مقاومت بالا در برابر حملات مبتنی بر حدس زدن کلمه عبور را فراهم میکند و سپس این کلید هش شده، به کلیدهای فرعی برای رمزگذاری و MAC تقسیم میشود.
در پایان باید گفت که تمامی این عملیاتها در کنار استانداردهای رمزنگاری پیشرفته، موجب شده است که اطلاعات کاربران در سرویسهایی مانند Bitwarden، تا حد زیادی در برابر دستکاری و نفوذ محافظت شده باقی بماند. این تکنولوژیها با هم، امنیت و سلامت دادههای حساس را تضمین میکنند و اعتماد کاربران را نسبت به این نوع سامانهها افزایش میدهند.
#امنیت_اطلاعات #رمزگذاری #Bitwarden #فناوری_امنیت
🟣لینک مقاله:
https://blog.miguelgrinberg.com/post/how-bitwarden-encrypts-and-decrypts-secrets?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Miguelgrinberg
How Bitwarden Encrypts and Decrypts Secrets
As part of my efforts in reducing my dependency on Big Tech, I have been researching how to self-host my password manager. One solution that looks very promising is Vaultwarden, an open source clone…
🛡️ مراقب اکانتهات تو شبکه های اجتماعی باش!
🔻 روزبهروز هک و سرقت اکانتها بیشتر میشه. اگر نمیخوای حسابهات به خطر بیفتن، چندتا نکته رو رعایت کن. اینجا برات یه راهنمای کامل آوردم که باهاش امنیتتو ببری بالا!
1️⃣ ساخت حساب درست و اصولی
⬅️ ایمیل مستعار بساز! یه ایمیل موقت یا مستعار که برای همه جا از همون اصلیه استفاده نکنی. این کار امنیتتو خیلی بیشتر میکنه. چندتا سرویس خوب براش:
◽️ SimpleLogin
◽️ Addy
2️⃣ از پسورد های قوی و اصولی استفاده کن
⬅️ پسورد قوی و یونیک استفاده کن! هر جا یه رمز تکراری نذار. از یه مدیر رمز عبور کمک بگیر که هم رمز بسازه، هم برات ذخیره کنه. مثلا:
◽️ Proton Pass
◽️ Bitwarden
🔻 روزبهروز هک و سرقت اکانتها بیشتر میشه. اگر نمیخوای حسابهات به خطر بیفتن، چندتا نکته رو رعایت کن. اینجا برات یه راهنمای کامل آوردم که باهاش امنیتتو ببری بالا!
1️⃣ ساخت حساب درست و اصولی
⬅️ ایمیل مستعار بساز! یه ایمیل موقت یا مستعار که برای همه جا از همون اصلیه استفاده نکنی. این کار امنیتتو خیلی بیشتر میکنه. چندتا سرویس خوب براش:
◽️ SimpleLogin
◽️ Addy
2️⃣ از پسورد های قوی و اصولی استفاده کن
⬅️ پسورد قوی و یونیک استفاده کن! هر جا یه رمز تکراری نذار. از یه مدیر رمز عبور کمک بگیر که هم رمز بسازه، هم برات ذخیره کنه. مثلا:
◽️ Proton Pass
◽️ Bitwarden
یکی یه پروژه اُپن سورس ساخته که cookieهای مرورگرتون رو با openclaw و hermes سینک میکنه!
دلیلی که واسم جالبه (خصوصا از نظر امنیتی) اینه که Tailscale استفاده کرده، اینجوری که بین دستگاهتون و tailnet یه کانکشن مستقیم encrypt شده درست میکنه که دیتاتون از نتورک شخصی خارج نشه!
علاوه بر cookie میتونید توکنهای CLI و API key هاتون رو هم باهاش sync کنید!
https://agentcookie.dev/
دلیلی که واسم جالبه (خصوصا از نظر امنیتی) اینه که Tailscale استفاده کرده، اینجوری که بین دستگاهتون و tailnet یه کانکشن مستقیم encrypt شده درست میکنه که دیتاتون از نتورک شخصی خارج نشه!
علاوه بر cookie میتونید توکنهای CLI و API key هاتون رو هم باهاش sync کنید!
https://agentcookie.dev/
agentcookie
agentcookie - session state sync for the agent on your second Mac
Cookies and per-CLI secrets, replicated continuously from your laptop to the Mac your agent runs on. Encrypted over Tailscale, zero per-site auth ceremony.
🔵 عنوان مقاله
A Route to Root in a 4G Industrial Router (8 minute read)
🟢 خلاصه مقاله:
در تحقیقات امنیتی، همکار من در شرکت Tanto Security، سام سی، موفق به بازطراحی و بررسی مجدد روتر صنعتی 4G LTE مدل USR-G806AU شد. این دستگاه در فرمورهای ورژن ۱.۰.۴۱ و ۲.۰.۱۳ مورد بررسی قرار گرفت. در حین بررسی، یک حساب کاربری غیرمجاز و ناشناس با شناسه کاربری usr و نامکاربری مخفی کشف شد که در فایل کمککاربری /bin/usr_root قرار داشت. این حساب، که بدون اطلاع و ثبتشده در مستندات دستگاه است، رمز عبور خودش را از طریق فرآیندی خاص میگرفت.
این فرآیند رمزگذاری، شامل افزودن مقدار ۰x۶۱ (معادل ۹ میا) به هر کاراکتر در یک بلوک ۱۴ بایتی، و سپس انتقال آن به برنامه سو (su) برای اجرای دستورات با حساب usr بود. در نتیجه، با این رویکرد، کاربر میتوانست بدون نیاز به گذرواژه، دسترسی ریشه (root) را کسب کند. این آسیبپذیری، که با شناسه CVE-2024-42682 ثبت شده است، امکان اجرای دستورات مخرب و کنترل کامل دستگاه را به مهاجم میدهد.
علاوه بر این، سازندگان این باینری، لیست مجاز دستورات (command allowlist) را به گونهای پیکربندی کرده بودند که با بهرهگیری از عملیاتهایی مانند $(...) و جایگذاری دستوری با بکتیک (`...`) بتوانند ارتقاء سطح دسترسی و اجرای دستورات دلخواه در سیستم محلی انجام دهند. این آسیبپذیریها سبب میشوند کنترل کامل بر دستگاههای مبتنی بر این روترهای صنعتی به سادگی توسط مهاجمین امکانپذیر باشد، که این موضوع اهمیت زیادی در تأمین امنیت شبکههای صنعتی دارد.
دستگاههای صنعتی مانند این روتر، اگرچه در ظاهر امن به نظر میرسند، اما ضعفهایی مانند این میتوانند منجر به نفوذهای مخرب و آسیبهای جدی به زیرساختها و تجهیزات حساس شوند. لذا، شناسایی و اصلاح چنین آسیبپذیریهایی برای تضمین امنیت سیستمهای صنعتی ضروری است.
#امنیت_سایبری #آسیب_پذیری #روترصنعتی #حفاظت_شبکه
🟣لینک مقاله:
https://tantosec.com/blog/2026/04/route-to-root-in-4g-industrial-router/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
A Route to Root in a 4G Industrial Router (8 minute read)
🟢 خلاصه مقاله:
در تحقیقات امنیتی، همکار من در شرکت Tanto Security، سام سی، موفق به بازطراحی و بررسی مجدد روتر صنعتی 4G LTE مدل USR-G806AU شد. این دستگاه در فرمورهای ورژن ۱.۰.۴۱ و ۲.۰.۱۳ مورد بررسی قرار گرفت. در حین بررسی، یک حساب کاربری غیرمجاز و ناشناس با شناسه کاربری usr و نامکاربری مخفی کشف شد که در فایل کمککاربری /bin/usr_root قرار داشت. این حساب، که بدون اطلاع و ثبتشده در مستندات دستگاه است، رمز عبور خودش را از طریق فرآیندی خاص میگرفت.
این فرآیند رمزگذاری، شامل افزودن مقدار ۰x۶۱ (معادل ۹ میا) به هر کاراکتر در یک بلوک ۱۴ بایتی، و سپس انتقال آن به برنامه سو (su) برای اجرای دستورات با حساب usr بود. در نتیجه، با این رویکرد، کاربر میتوانست بدون نیاز به گذرواژه، دسترسی ریشه (root) را کسب کند. این آسیبپذیری، که با شناسه CVE-2024-42682 ثبت شده است، امکان اجرای دستورات مخرب و کنترل کامل دستگاه را به مهاجم میدهد.
علاوه بر این، سازندگان این باینری، لیست مجاز دستورات (command allowlist) را به گونهای پیکربندی کرده بودند که با بهرهگیری از عملیاتهایی مانند $(...) و جایگذاری دستوری با بکتیک (`...`) بتوانند ارتقاء سطح دسترسی و اجرای دستورات دلخواه در سیستم محلی انجام دهند. این آسیبپذیریها سبب میشوند کنترل کامل بر دستگاههای مبتنی بر این روترهای صنعتی به سادگی توسط مهاجمین امکانپذیر باشد، که این موضوع اهمیت زیادی در تأمین امنیت شبکههای صنعتی دارد.
دستگاههای صنعتی مانند این روتر، اگرچه در ظاهر امن به نظر میرسند، اما ضعفهایی مانند این میتوانند منجر به نفوذهای مخرب و آسیبهای جدی به زیرساختها و تجهیزات حساس شوند. لذا، شناسایی و اصلاح چنین آسیبپذیریهایی برای تضمین امنیت سیستمهای صنعتی ضروری است.
#امنیت_سایبری #آسیب_پذیری #روترصنعتی #حفاظت_شبکه
🟣لینک مقاله:
https://tantosec.com/blog/2026/04/route-to-root-in-4g-industrial-router/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Tanto Security
A Route to Root in a 4G Industrial Router
A journey into the USR-G806AU 4G LTE industrial router. From fake root accounts to real and undocumented root accounts, and the discovery of hardcoded credentials that expose devices to remote compromise.
🔵 عنوان مقاله
Your Cypress Tests Are Slower Than You Think
🟢 خلاصه مقاله:
تستهای Cypress شما نسبت به آنچه تصور میکنید، کندتر شدهاند. در مقالهای از دیوید اینگریام، علت اصلی کاهش سرعت مجموعههای تست Cypress بررسی میشود. او توضیح میدهد که چرا با گذشت زمان، اجرای تستها به آرامی و در مواردی بسیار طولانیتر میشود و این مشکل میتواند توسعهدهندگان را دچار سردرگمی کند. اما نکات مهمی را نیز ارائه میدهد که با رعایت آنها میتوانید بازخورد سریعتر و مؤثرتری داشته باشید و فرآیند توسعه را روانتر کنید. این توصیهها و اصلاحات ساده، به تیم شما کمک میکند تا مجدد سرعت و کارایی تستها را بازیابی کند و در نتیجه، مسیر توسعه نرمافزار سریعتر و بدون مشکل پیش برود.
تستهای Cypress یکی از ابزارهای محبوب برای اتوماسیون تستهای فرانتاند و اطمینان از صحت عملکرد برنامههای وب هستند. با اینحال، برخی مشکلات معمول مانند افت سرعت تدریجی، میتواند روند توسعه و عیبیابی را مختل کند. در اینجا، با بررسی دلایل اصلی کاهش سرعت، راهکارهایی عملی برای بهبود عملکرد ارائه میشود تا تیمهای توسعه بتوانند مجدد از این ابزار قدرتمند بهرهمند شوند و زمان صرف شده برای اجرای تستها را به حداقل برسانند.
#تست_برنامه_نویسی #Cypress #بهبود_عملکرد #توسعه_نرمافزار
🟣لینک مقاله:
https://cur.at/K0rmSsX?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Your Cypress Tests Are Slower Than You Think
🟢 خلاصه مقاله:
تستهای Cypress شما نسبت به آنچه تصور میکنید، کندتر شدهاند. در مقالهای از دیوید اینگریام، علت اصلی کاهش سرعت مجموعههای تست Cypress بررسی میشود. او توضیح میدهد که چرا با گذشت زمان، اجرای تستها به آرامی و در مواردی بسیار طولانیتر میشود و این مشکل میتواند توسعهدهندگان را دچار سردرگمی کند. اما نکات مهمی را نیز ارائه میدهد که با رعایت آنها میتوانید بازخورد سریعتر و مؤثرتری داشته باشید و فرآیند توسعه را روانتر کنید. این توصیهها و اصلاحات ساده، به تیم شما کمک میکند تا مجدد سرعت و کارایی تستها را بازیابی کند و در نتیجه، مسیر توسعه نرمافزار سریعتر و بدون مشکل پیش برود.
تستهای Cypress یکی از ابزارهای محبوب برای اتوماسیون تستهای فرانتاند و اطمینان از صحت عملکرد برنامههای وب هستند. با اینحال، برخی مشکلات معمول مانند افت سرعت تدریجی، میتواند روند توسعه و عیبیابی را مختل کند. در اینجا، با بررسی دلایل اصلی کاهش سرعت، راهکارهایی عملی برای بهبود عملکرد ارائه میشود تا تیمهای توسعه بتوانند مجدد از این ابزار قدرتمند بهرهمند شوند و زمان صرف شده برای اجرای تستها را به حداقل برسانند.
#تست_برنامه_نویسی #Cypress #بهبود_عملکرد #توسعه_نرمافزار
🟣لینک مقاله:
https://cur.at/K0rmSsX?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
Your Cypress Tests Are Slower Than You Think
If you’ve worked on a decent-sized Cypress suite, you’ve lived this.
🔵 عنوان مقاله
Hasbro says it was hacked, and may take 'several weeks' to recover (2 minute read)
🟢 خلاصه مقاله:
شرکت هسبرو در تاریخ ۱ آوریل از طریق یک اطلاعیه به سازمان بورس و اوراق بهادار آمریکا اعلام کرد که هدف حمله سایبری قرار گرفته است. این حمله در تاریخ ۲۸ مارس تشخیص داده شده و در نتیجه، تیم فنی شرکت بلافاصله سیستمهای خود را از دسترس خارج کرده و برنامههای ضروری جهت حفظ تداوم فعالیتها و اطمینان از ادامه روند سفارشدهی و حملونقل را اجرا کرده است.
با وجود اقدامات سریع شرکت برای محدود کردن آسیب و محافظت از دادهها، نگرانی آن وجود دارد که هکرها هنوز داخل شبکه شرکت باشند، زیرا هسبرو در حال حاضر در حال پیادهسازی تدابیری برای تأمین امنیت بیشتر عملیات است. این روند ممکن است چند هفته طول بکشد و همچنان ادامه داشته باشد تا هرگونه تهدید احتمالی به طور کامل برطرف شود.
این حادثه زنگ خطری است برای شرکتهای بزرگ و نشان میدهد که حملات سایبری چقدر میتواند به زیرساختهای حیاتی و زنجیره تامین آنها آسیب برساند و نیاز به تقویت سامانههای امنیتی در این حوزه بیش از پیش احساس میشود.
#حملات_سایبری #امنیت_دیجیتال #هک_سایبری #تداوم_کاری
🟣لینک مقاله:
https://techcrunch.com/2026/04/01/hasbro-hacked-may-take-several-weeks-to-recover/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Hasbro says it was hacked, and may take 'several weeks' to recover (2 minute read)
🟢 خلاصه مقاله:
شرکت هسبرو در تاریخ ۱ آوریل از طریق یک اطلاعیه به سازمان بورس و اوراق بهادار آمریکا اعلام کرد که هدف حمله سایبری قرار گرفته است. این حمله در تاریخ ۲۸ مارس تشخیص داده شده و در نتیجه، تیم فنی شرکت بلافاصله سیستمهای خود را از دسترس خارج کرده و برنامههای ضروری جهت حفظ تداوم فعالیتها و اطمینان از ادامه روند سفارشدهی و حملونقل را اجرا کرده است.
با وجود اقدامات سریع شرکت برای محدود کردن آسیب و محافظت از دادهها، نگرانی آن وجود دارد که هکرها هنوز داخل شبکه شرکت باشند، زیرا هسبرو در حال حاضر در حال پیادهسازی تدابیری برای تأمین امنیت بیشتر عملیات است. این روند ممکن است چند هفته طول بکشد و همچنان ادامه داشته باشد تا هرگونه تهدید احتمالی به طور کامل برطرف شود.
این حادثه زنگ خطری است برای شرکتهای بزرگ و نشان میدهد که حملات سایبری چقدر میتواند به زیرساختهای حیاتی و زنجیره تامین آنها آسیب برساند و نیاز به تقویت سامانههای امنیتی در این حوزه بیش از پیش احساس میشود.
#حملات_سایبری #امنیت_دیجیتال #هک_سایبری #تداوم_کاری
🟣لینک مقاله:
https://techcrunch.com/2026/04/01/hasbro-hacked-may-take-several-weeks-to-recover/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
TechCrunch
Hasbro says it was hacked, and may take 'several weeks' to recover | TechCrunch
The American toy-making giant noted that it was continuing to "implement measures to secure its business operations," suggesting that the hackers may still be in the company's systems.
🔵 عنوان مقاله
Bucketsquatting is (Finally) Dead (4 minute read)
🟢 خلاصه مقاله:
در حالی که بسیاری از فناوریها و روشهای جدید در دنیای فضای ابری مطرح میشوند، مفهوم «بکتاسکواتینگ» یا «قفسهگذاری در باکتها» مدتی است که به عنوان یک تهدید امنیتی مهم شناخته میشد. این فعالیت زمانی اتفاق میافتاد که حملهکنندگان با ثبت حسابهای S3 با نامهایی که قبلاً توسط سازمانهایی مورد استفاده قرار میگرفت، تلاش میکردند به منابع حساس دسترسی پیدا کنند یا به نوعی در آنها سوءاستفاده کنند. این مشکل از سال ۲۰۱۹ به عنوان یک معضل بزرگ در حوزه امنیت سرویسهای ابری شناخته شده بود و امنیت سازمانها را تهدید میکرد.
با توجه به این نگرانیها، آمازون وب سرویس (AWS) اقداماتی را در این زمینه انجام داده است. یکی از این اقدامات، معرفی «فضای نام حساب» (Account Namespace) است، که امکان میدهد کاربران بتوانند نام باکت را به حساب کاربری خود محدود کنند. این اقدام به مدیران این امکان را میدهد تا کنترل بیشتری بر روی نامگذاری و ایجاد باکتها داشته باشند و از ثبت نامهای نامناسب و احتمالا مخرب جلوگیری کنند. همچنین، در تنظیمات سیاستهای امنیتی (SCPها)، از کلید شرط s3:x-amz-bucket-namespace استفاده شده است تا بتوان سیاستهایی خاص برای ساخت باکتها بر اساس فضای نام تعیین کرد و از فعالیتهای مخرب جلوگیری به عمل آورد.
این تغییرات نشاندهنده تمایل AWS به بهبود امنیت فضای ابری و حفاظت بیشتر از دادههای کاربران است. با اجرای این سیاستها و استفاده از فضای نام حساب، سازمانها میتوانند اطمینان حاصل کنند که تنها منابع مجاز و کنترلشده در حسابهای کاربریشان ایجاد میشود، و از وقوع حملات قفسهگذاری در باکتها پیشگیری میشود. این نوآوری، قدم مهمی در جهت کاهش خطرات ناشی از فعالیتهای مخرب در فضای ذخیرهسازی ابری است و نشان میدهد که امنیت دادهها همواره در اولویت است.
#امنیت_ابری #فضای_نام #AWS #حفظ_داده
🟣لینک مقاله:
https://onecloudplease.com/blog/bucketsquatting-is-finally-dead?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Bucketsquatting is (Finally) Dead (4 minute read)
🟢 خلاصه مقاله:
در حالی که بسیاری از فناوریها و روشهای جدید در دنیای فضای ابری مطرح میشوند، مفهوم «بکتاسکواتینگ» یا «قفسهگذاری در باکتها» مدتی است که به عنوان یک تهدید امنیتی مهم شناخته میشد. این فعالیت زمانی اتفاق میافتاد که حملهکنندگان با ثبت حسابهای S3 با نامهایی که قبلاً توسط سازمانهایی مورد استفاده قرار میگرفت، تلاش میکردند به منابع حساس دسترسی پیدا کنند یا به نوعی در آنها سوءاستفاده کنند. این مشکل از سال ۲۰۱۹ به عنوان یک معضل بزرگ در حوزه امنیت سرویسهای ابری شناخته شده بود و امنیت سازمانها را تهدید میکرد.
با توجه به این نگرانیها، آمازون وب سرویس (AWS) اقداماتی را در این زمینه انجام داده است. یکی از این اقدامات، معرفی «فضای نام حساب» (Account Namespace) است، که امکان میدهد کاربران بتوانند نام باکت را به حساب کاربری خود محدود کنند. این اقدام به مدیران این امکان را میدهد تا کنترل بیشتری بر روی نامگذاری و ایجاد باکتها داشته باشند و از ثبت نامهای نامناسب و احتمالا مخرب جلوگیری کنند. همچنین، در تنظیمات سیاستهای امنیتی (SCPها)، از کلید شرط s3:x-amz-bucket-namespace استفاده شده است تا بتوان سیاستهایی خاص برای ساخت باکتها بر اساس فضای نام تعیین کرد و از فعالیتهای مخرب جلوگیری به عمل آورد.
این تغییرات نشاندهنده تمایل AWS به بهبود امنیت فضای ابری و حفاظت بیشتر از دادههای کاربران است. با اجرای این سیاستها و استفاده از فضای نام حساب، سازمانها میتوانند اطمینان حاصل کنند که تنها منابع مجاز و کنترلشده در حسابهای کاربریشان ایجاد میشود، و از وقوع حملات قفسهگذاری در باکتها پیشگیری میشود. این نوآوری، قدم مهمی در جهت کاهش خطرات ناشی از فعالیتهای مخرب در فضای ذخیرهسازی ابری است و نشان میدهد که امنیت دادهها همواره در اولویت است.
#امنیت_ابری #فضای_نام #AWS #حفظ_داده
🟣لینک مقاله:
https://onecloudplease.com/blog/bucketsquatting-is-finally-dead?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Onecloudplease
Bucketsquatting is (Finally) Dead – One Cloud Please
For a decade, I have been working with AWS and third-party security teams to resolve bucketsquatting / bucketsniping issues in AWS S3. Finally, I am happy to say AWS now has a solution to the problem, and it changes the way you should name your buckets.
راه حل برای برخی از مشکلات فیلترینگ برای ما برنامه نویس ها
یکی از مشکلاتی ک توی ایام فیلترینگ داشتیم، بالا نیومدن PostMan بود، این نامرد کلا بدون نت نمیاد بالا :/
ازونجایی ک بعید نیس دوباره ب هر بهانه ای فیلترینگ شدیدتر بشه، ما باید دنبال راه بقا بگردیم، حالا راهکار چیه؟
استفاده از HTTPie بجای PostMan، این ابزار تمام قابلیت های پستمن رو داره و هیچ قطعی نت هم توش مشکلی ایجاد نمیکنه (پستمن وقتی نت نداشتی اصلا باز نمیشد)
نکته جالب اینه ک از فرمت های PostMan هم پشتیبانی میکنه و خیلی راحت میتونین تمام کالکشن هاتون رو توی PostMan اکسپورت کنین و ایمپورت کنین داخل HTTPie
https://httpie.io/
<IMustafa Zeynali/>
یکی از مشکلاتی ک توی ایام فیلترینگ داشتیم، بالا نیومدن PostMan بود، این نامرد کلا بدون نت نمیاد بالا :/
ازونجایی ک بعید نیس دوباره ب هر بهانه ای فیلترینگ شدیدتر بشه، ما باید دنبال راه بقا بگردیم، حالا راهکار چیه؟
استفاده از HTTPie بجای PostMan، این ابزار تمام قابلیت های پستمن رو داره و هیچ قطعی نت هم توش مشکلی ایجاد نمیکنه (پستمن وقتی نت نداشتی اصلا باز نمیشد)
نکته جالب اینه ک از فرمت های PostMan هم پشتیبانی میکنه و خیلی راحت میتونین تمام کالکشن هاتون رو توی PostMan اکسپورت کنین و ایمپورت کنین داخل HTTPie
https://httpie.io/
<IMustafa Zeynali/>
HTTPie – API testing client that flows with you
Making APIs simple and intuitive for those building the tools of our time.
مدتی که PHP - Laravel بیشتر میزدم
یک پروژه ساده برای Todo-List ساختم روی گیت هاب برای کسایی که دارن آموزش میبینن یا نیاز دارن
با Claude تکمیلش کردم و یک داکیومنت کامل نوشتم براش
که بتونید خیلی راحت بفهمید چی به چیه و داشته باشیدش
https://github.com/MisaghMomeniB/todo-list-php
| <Misagh Momeni Bashusqeh/>
یک پروژه ساده برای Todo-List ساختم روی گیت هاب برای کسایی که دارن آموزش میبینن یا نیاز دارن
با Claude تکمیلش کردم و یک داکیومنت کامل نوشتم براش
که بتونید خیلی راحت بفهمید چی به چیه و داشته باشیدش
https://github.com/MisaghMomeniB/todo-list-php
| <Misagh Momeni Bashusqeh/>
GitHub
GitHub - MisaghMomeniB/todo-list-php: todo list app with php
todo list app with php. Contribute to MisaghMomeniB/todo-list-php development by creating an account on GitHub.
♨️ لینکدین رفع فیلتر شد...!
▪️پلتفرم لینکدین که یکی از مهمترین ابزارهای کاریابی، جذب نیرو، شبکهسازی حرفهای و فعالیتهای تجاری در جهان محسوب میشه از امروز بعد از مدتها مجدداً بدون فیلترشکن در دسترسی کاربران ایرانی قرار گرفته!
▪️پلتفرم لینکدین که یکی از مهمترین ابزارهای کاریابی، جذب نیرو، شبکهسازی حرفهای و فعالیتهای تجاری در جهان محسوب میشه از امروز بعد از مدتها مجدداً بدون فیلترشکن در دسترسی کاربران ایرانی قرار گرفته!
Meet Memory OS: A 6-Layer Open-Source Memory Stack Built on Top of Hermes Agent
https://www.marktechpost.com/2026/06/01/meet-memory-os-a-6-layer-open-source-memory-stack-built-on-top-of-hermes-agent/
https://www.marktechpost.com/2026/06/01/meet-memory-os-a-6-layer-open-source-memory-stack-built-on-top-of-hermes-agent/
MarkTechPost
Meet Memory OS: A 6-Layer Open-Source Memory Stack Built on Top of Hermes Agent
Memory OS is an open-source stack adding six local memory layers to Hermes Agent, from files to vectors.