🔵 عنوان مقاله
Missile Alert Phishing Exploits Iran-US-Israel Conflict for Microsoft Logins (2 minute read)

🟢 خلاصه مقاله:
در حالی که تنش‌ها میان ایران، ایالات متحده و اسرائیل همچنان ادامه دارد، یک حمله فیشینگ جدید از طریق ایمیل‌هایی که به ظاهر مربوط به وزارت کشور و دفاع مدنی کشورمان هستند، توجه محققان امنیتی را جلب کرده است. این کمپین مخرب با هدف سرقت اطلاعات حساس کاربران مایکروسافت طراحی شده است و تلاش می‌کند تا از نگرانی‌های موجود در فضای ژئوپولیتیک برای فریب کاربران و دسترسی به حساب‌های حساس آنان استفاده کند.

مرکز تشخیص حملات فیشینگ شرکت Cofense متوجه فعالیت این حمله شده است و اعلام کرده است که مهاجمان با استفاده از هویت جعلی وزارت کشور، ایمیل‌هایی ارسال می‌کنند که ظاهراً به موضوعات امنیتی، بحران‌های جاری یا اطلاع‌رسانی‌های دولتی مرتبط هستند. این ایمیل‌ها معمولاً حاوی لینک‌هایی مخرب هستند که پس از کلیک کردن، کاربر را به صفحات شخصی و مخرب هدایت می‌کنند و اطلاعات حساب کاربری او را به سرقت می‌برند.

این نوع حملات نشان دهنده اهمیت آگاه‌سازی و هشداردهی در موضوع امنیت دیجیتال است، به ویژه در زمان‌هایی که تنش‌های سیاسی و نظامی بالا است و سودجویی از نگرانی و اضطراب مردم بیشتر می‌شود. کاربران باید همیشه مراقب ایمیل‌های مشکوک، لینک‌های ناشناس و درخواست‌های غیرمعمول برای وارد کردن اطلاعات حساس باشند و در صورت شک، از منابع معتبر صحت آنها را بررسی کنند. حفاظت از اطلاعات خصوصی و رعایت نکات امنیتی، کلید مقابله با این نوع حملات سایبری است.

این خبر نشان می‌دهد که همچنان تهدیدهای سایبری در حال تحول و توسعه هستند و مهاجمان با بهره‌گیری از رویدادهای جاری، تلاش می‌کنند هر چه بیشتر به اهداف خود دست یابند. آگاهی‌رسانی مستمر و هوشیاری کاربران در مقابل چنین حملاتی اهمیت ویژه‌ای دارد تا بتوان در مقابل این تهدیدات فرهنگی امن و پایدار داشت.

#امنیت_سایبری #حملات_فیشینگ #هوشیاری_در_فضای_مجازی #آمادگی_در_برابر_تهدیدات

🟣لینک مقاله:
https://hackread.com/missile-alert-phishing-iran-us-israel-microsoft-logins/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
The Test Manager's Guide: From Chaos to Predictable Quality

🟢 خلاصه مقاله:
مدیریت آزمایش یکی از حیاتی‌ترین بخش‌های توسعه نرم‌افزار است، اما بسیاری از تیم‌ها در این حوزه با چالش‌های زیادی مواجه هستند. عبدال عثمان در سری مقالات خود، راهنمایی جامع و کاربردی برای مدیران آزمون ارائه می‌دهد؛ راهنمایی که آن‌ها را از پرتگاه‌های بی‌نظمی و آشفتگی به سمت فرآیندی منسجم و قابل پیش‌بینی در تضمین کیفیت هدایت می‌کند. این مقالات بر اهمیت استراتژی‌های منسجم و نگرش حرفه‌ای در مدیریت آزمایش‌ها تأکید دارد، تا بتواند بر هر سطحی از توسعه نرم‌افزار تاثیر بگذارد و کیفیت نهایی محصول را تضمین کند.

در این مجموعه، عبدال عثمان ابتدا به بیان مشکلات رایج در فرآیندهای آزمون می‌پردازد و سپس راهکارهای عملی و استراتژیک برای غلبه بر این مشکلات ارائه می‌دهد. تمرکز اصلی بر ایجاد یک رویکرد سیستماتیک است که نه تنها فرآیندهای آزمایش را بهبود می‌بخشد، بلکه تیم‌ها را برای مقابله با چالش‌های ناخواسته آماده می‌سازد. او معتقد است که با پیروی از اصول مشخص و عملی، می‌توان به نتایج قابل پیش‌بینی و استاندارد دست یافت که نشان‌دهنده ارتقاء کیفیت و کاهش خطاهای نرم‌افزاری است.

در ادامه مقالات، عبد‌ال عثمان به اهمیت توسعه فرهنگ کیفیت در تیم آزمون تاکید می‌کند و راهکارهایی برای ایجاد بیمه‌های کیفی و کنترل کیفیت مداوم ارائه می‌دهد. او بر اساس تجربیات و بهترین روش‌های صنعت، ابزارها و تکنیک‌هایی را معرفی می‌کند که با بهره‌گیری از آن‌ها، مدیران و تیم‌ها می‌توانند کنترل کامل بر فرآیندهای آزمون خود داشته باشند و نتایج قابل اعتماد کسب کنند. هدف اصلی این است که تیم‌ها از آشفتگی به سمت رویکرد منظم و حرفه‌ای حرکت کنند و در نتیجه، نرم‌افزارهای باکیفیت و قابل اعتماد تولید کنند.

در مجموع، مقالات عبدال عثمان چراغ راهی را روشن می‌کنند برای مدیران و رهبران تیم‌های فنی، تا بتوانند در مسیر بهبود دائمی کیفیت، به صورت منسجم و موثر پیش بروند. این راهنمایی‌ها نه تنها بر بهبود فنی تمرکز دارند، بلکه بر ساختارهای سازمانی و فرهنگ تیمی نیز تاثیرگذار هستند، تا همه اعضا در راستای هدف مشترک و ارتقاء کیفیت همکاری کنند.

#مدیریت_آزمایش #کیفیت_نرم‌افزار #فناوری_اطلاعات #توسعه_مستمر

🟣لینک مقاله:
https://cur.at/UtoPnG3?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Basic-Fit hit by hack affecting members across multiple countries, including 200,000 in the Netherlands (2 minute read)

🟢 خلاصه مقاله:
باشگاه بدنسازی Basic-Fit دچار حمله هکری شد که تأثیر قابل توجهی بر اعضای این باشگاه در چندین کشور اروپایی داشت. این حمله که به علت دسترسی غیرمجاز به سیستم ثبت ورود اعضا اتفاق افتاد، اطلاعات حساس و شخصی هزاران عضو را در معرض خطر قرار داد. مهاجمان توانسته‌ بودند به جزئیاتی نظیر نام، اطلاعات تماس، تاریخ تولد و شماره حساب بانکی اعضا دست پیدا کنند، اما اطلاعات مهم‌تری مانند رمزهای عبور یا مدارک هویتی در معرض خطر نبودند.

در حال حاضر، حدود ۲۰۰ هزار عضو در هلند تحت تأثیر این حمله قرار گرفته‌اند و نهادهای نظارتی اعلام کرده‌اند که موضوع را پیگیری می‌کنند. این نفوذ می‌تواند منجر به بروز مشکلاتی مانند کلاهبرداری در سیستم‌های بر اساس تسویه مستقیم (SEPA) و حملات فیشینگ هدفمند شود. باشگاه و مراجع قانونی اقدامات لازم برای حفاظت اعضا و جلوگیری از سوءاستفاده‌های احتمالی را در دست اقدام دارند.

این حادثه نشان می‌دهد که اهمیت امنیت سایبری در عرصه ورزش و باشگاه‌های ورزشی چقدر حیاتی است تا از اطلاعات ارزشمند اعضا محافظت شود و از بروز خطرات احتمالی جلوگیری گردد.

#امنیت_سایبری #حمله_هکری #باشگاه_بدنسازی #حفاظت_اطلاعات

🟣لینک مقاله:
https://thenextweb.com/news/basic-fit-hit-by-hack-affecting-members-across-multiple-countries-including-200000-in-the-netherlands?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Modeling UI Flows as JSON: A Data-Driven Approach to Cypress Test Architecture

🟢 خلاصه مقاله:
در دنیای آزمون‌های نرم‌افزاری، یکی از چالش‌های مهم، نگهداری و به‌روزرسانی مدل‌های رابط کاربری است. برای حل این مشکل، رویکردی مبتنی بر داده پیشنهاد شده است که بر استفاده از فایل‌های JSON برای تعریف جریان‌های کاربری تمرکز دارد. در این روش، هر جریان کاربری به صورت متمرکز و قابل‌تغییر در قالب فایل‌های JSON نگهداری می‌شود، که این امر موجب سهولت در مدیریت و اصلاح آن‌ها می‌شود.

در ساختار ارائه‌شده، جریان‌های کاربری در سه لایه مجزا قرار می‌گیرند: این لایه‌ها به عنوان زیرساخت‌هایی قدرتمند عمل می‌کنند که هر کدام وظیفه خاص خود را دارند. این تفکیک، نه تنها خوانایی و درک فرآیند را آسان‌تر می‌کند بلکه امکان توسعه و افزودن قابلیت‌های جدید را نیز تسهیل می‌نماید. علاوه بر این، تمامی مراحل این جریان‌ها توسط یک مدیر رویداد مرکزی اجرا می‌شود که وظیفه دارد هر نوع مرحله‌ای را که در فایل‌های JSON تعریف شده است، اجرا کند و کنترل دقیقی بر روند آزمون‌ها داشته باشد.

استفاده از چنین رویکردی، آزمایش‌های Cypress را بسیار قابل نگهداری و مقیاس‌پذیر می‌سازد. بدون نیاز به کدهای تکراری یا ساختارهای پیچیده، توسعه‌دهندگان می‌توانند مدل‌های رابط کاربری را به راحتی و با انعطاف‌پذیری بالا مدیریت کنند، در نتیجه فرآیند توسعه و آزمون نرم‌افزار به شکل قابل توجهی بهبود می‌یابد.

در نهایت، این رویکرد مبتنی بر داده، راهکار موثری برای سازمان‌هایی است که به دنبال ساختن آزمون‌های پایدار، قابل انعطاف و مدرن برای برنامه‌های کاربردی خود هستند. استراتژی استفاده از JSON و یک مدیر مرکزی، نه تنها فرآیند نوشتن و نگهداری آزمون‌ها را آسان‌تر می‌کند بلکه باعث می‌شود تیم‌های توسعه و آزمایش، همکاری موثرتر و نتایج بهتری داشته باشند.

#آزمون_نرم‌افزار #Cypress #رابط‌کاربری #توسعه_پایدار

🟣لینک مقاله:
https://cur.at/QlceFUD?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
$10 Domain Could Have Handed Hackers 25k Endpoints, Including in OT and Gov Networks (3 minute read)

🟢 خلاصه مقاله:
در این مقاله به یک خطر جدی اشاره شده است که ممکن است به راحتی با یک دامنه نسبتا ارزان‌قیمت، هزاران دستگاه کامپیوتری را در سرتاسر جهان در معرض حمله قرار دهد. یک افزونه مرورگر کم‌هزینه، با نفوذ به سیستم‌های ویندوز، قادر بود از طریق اجرا کردن اسکریپت‌های PowerShell، فعالیت‌های مخرب خود را انجام دهد. این فعالیت‌ها شامل خاموش کردن برنامه‌های ضد ویروس، متوقف کردن بروزرسانی‌ها و ادامه فعالیت مخفیانه با استفاده از وظایف زمان‌بندی‌شده و WMI بود.

علاوه بر این، این بدافزارهای آینده در پوشه‌هایی ذخیره می‌شدند که به طور پیش‌فرض توسط Microsoft Defender نادیده گرفته می‌شوند. این روشهای مخفی‌کاری، حمله‌کنندگان را قادر می‌ساخت تا شناسایی نشوند و نفوذ خود را بی‌صدا ادامه دهند. نکته مهم این است که فقط با داشتن یک دامنه نا معتبر و بدون نیاز به ثبت، هکرها می‌توانستند در عرض چند روز کدهای مخرب خود را به حدود ۲۵ هزار کامپیوتر در ۱۲۴ کشور، از جمله شبکه‌های صنعتی، دولتی، بهداشت و درمان و شرکت‌های بزرگ، منتقل کنند. این آسیب‌پذیری نشان می‌دهد که چگونه تاکتیک‌های کم‌هزینه می‌تواند تهدیدات گسترده و پیچیده‌ای را علیه سیستم‌های حیاتی ایجاد کند.

در نهایت، این گزارش emphasizes اهمیت مراقبت و نظارت دقیق بر زیرساخت‌های فناوری اطلاعات، به ویژه در مقابل ابزارهای ارزان و کم‌تلاش برای نفوذ، و ضرورت بروز بودن سیستم‌های امنیتی برای جلوگیری از چنین حملاتی گسترده است.

#امنیت_اطلاعات #حملات_سایبری #نفوذ_کامپیوتری #حفاظت_شبکه

🟣لینک مقاله:
https://www.securityweek.com/10-domain-could-have-handed-hackers-25k-endpoints-including-in-ot-and-gov-networks/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Your First Appium Test: A Complete End-to-End Guide for Android and iOS

🟢 خلاصه مقاله:
در این راهنمای کامل و جامع، با نحوه اجرای اولین تست اپیوم برای هر دو پلتفرم اندروید و آی‌او‌اس آشنا می‌شوید. مایوین راماسامی نشان می‌دهد که چگونه می‌توان همان آزمایش‌های اتوماسیون را در هر دو سیستم‌عامل انجام داد؛ از ورود به برنامه، کشیدن و کلیک کردن، اسکرول کردن، تا عملیات کشیدن و رها کردن. در کنار این، نگاهی مقایسه‌ای به نقاط مشترک و تفاوت‌هایی که هر دو پلتفرم در فرآیندهای تست دارند، ارائه می‌دهد. این مطالب برای توسعه‌دهندگان تست و تیم‌های تضمین کیفیت بسیار سودمند است تا بتوانند روند تست‌های خود را در هر دو سیستم به صورت یکپارچه و موثر مدیریت کنند و در نهایت، اطمینان حاصل کنند که اپ‌های مورد نظر بدون خطا و به شکلی روان اجرا می‌شوند.

#تست_اپیوم #توسعه_نرم‌افزار #تست_واسط_کاربری #تست_اندروید_آی‌او‌اس

🟣لینک مقاله:
https://cur.at/Fn7IRmq?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🚀 دنبال یک VPN سریع، پایدار و امن هستید؟ این فرصت را از دست ندهید!

❤️ با کد تخفیف اختصاصی Labdon، ۲۰٪ تخفیف دریافت کنید. ❤️

✅ مناسب برای برنامه‌نویسان و توسعه‌دهندگان
✅ عالی برای وب‌گردی و شبکه‌های اجتماعی
✅ سرعت بالا و پینگ مناسب
✅ امنیت و پایداری فوق‌العاده
✅ سازگار با انواع دستگاه‌ها

🎁 همین حالا سرویس خود را با تخفیف ویژه تهیه کنید.

👇🐝👇🐝👇🐝👇
https://xn--r1a.website/SiftalNetBot

🔵 عنوان مقاله
AI Is Changing Software Testing. After 20 Years in QA, I Can Tell You This Shift Is Different.

🟢 خلاصه مقاله:
در دو دهه گذشته، حوزه تضمین کیفیت نرم‌افزار (QA) همواره بر جنبه‌های عملیاتی و اجرای تست‌ها تمرکز داشت. اما در سال‌های اخیر، تحول عظیمی در این حوزه رخ داده است که آن را از وظیفه صرفاً اجرایی به سمت استراتژی‌های کلی کیفیت و مدیریت ریسک هدایت کرده است. این تحول، به ویژه با ورود فناوری‌های نوین و هوش مصنوعی، شکل متفاوت و قابل توجهی گرفته است و این نشان‌دهنده تغییر اساسی در رویکردهای معمول در تست و تضمین کیفیت نرم‌افزار است.

اورلا مانویلا، فردی با بیست سال تجربه در حوزه QA، در این زمینه می‌گوید که حرکت از اجرای تست‌های محدود و صرف به سمت استراتژی‌های جامع‌تر و تمرکز بر کاهش خطرات، نشان می‌دهد که نقش متخصصان QA چگونه در حال تغییر است. امروز، تمرکز اصلی بر شناسایی نقاط ضعف، ارزیابی ریسک‌ها و توسعه راهکارهای پیشگیرانه است تا کیفیت نهایی محصول به بهترین شکل ممکن تضمین شود و در کنار آن، فرآیندهای توسعه نرم‌افزار به سمت خودکارسازی و بهره‌گیری از هوش مصنوعی در حال پیشرفت است.

این تغییرات نه تنها باعث بهبود کارایی و دقت در فرآیندهای تست می‌شود، بلکه فرصت‌های جدیدی برای تحلیل داده‌ها، پیش‌بینی مشکلات و بهینه‌سازی مسیر توسعه نرم‌افزار فراهم کرده است. در نتیجه، نگاه به QA دیگر صرفاً کیفیت لحظه‌ای نیست، بلکه استراتژی کلی است که بر کاهش ریسک و تضمین دوام و ایمنی نرم‌افزار تمرکز دارد و این تحول، آینده این حوزه را بسیار درخشان و نوآورانه‌تر می‌سازد.

#تست_نرم‌افزار #هوش_مصنوعی #مدیریت_ریسک #کیفیت_محتوا

🟣لینک مقاله:
https://cur.at/Et502mP?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Testing: The Art of Unlearning

🟢 خلاصه مقاله:
آزمایش: هنر فراموش کردن یادگیری‌های قبلی

فرضیه‌سازی همیشه بخش مهمی از فرآیند کشف و نوآوری بوده است، اما اغلب مانع از دیدن حقیقت‌های جدید می‌شود. من در طول دوران کاری‌ام در حوزه کنترل کیفیت، همواره به این موضوع فکر می‌کردم که چگونه باورهای پیش‌فرض می‌توانند اشتباهات زیادی را رقم بزنند. در مقاله‌ای جذاب و تفکر برانگیز، جف نایمن به موضوع مهمی می‌پردازد و نشان می‌دهد چرا باید آموزش‌های قبلی را کنار بگذاریم و نگاهی نو به آزمایش‌ها داشته باشیم. او با مقایسه تاریخ علم و روند تست‌زنی، به خواننده نشان می‌دهد که در علم و فناوری، انکار فرضیه‌های قدیمی اغلب کلیدی‌ترین مرحله برای پیشرفت‌های بزرگ است.

در این مقاله، نایمن بر اهمیت روبه‌رو شدن با فرضیات نادرست تأکید می‌کند و به ما یاد می‌دهد که در مسیر رشد و نوآوری، باید آماده باشیم تا مفروضات قبلی را زیر سوال ببریم و آزمایش‌های جدید را با دیدی باز انجام دهیم. این نگرش، نه تنها در علم بلکه در کیفیت کار و توسعه راهکارهای نوین، نقش حیاتی دارد و می‌تواند منجر به کشف‌های بزرگ و اصلاح روندهای قدیمی شود.

در نتیجه، تمرین کنار گذاشتن آموزش‌های قبلی و اشتباهات گذشته، کلید موفقیت در هر حوزه‌ای است که به دنبال نوآوری و پیشرفت است. این تفکر به ما کمک می‌کند تا خطاهای تاریخ را تصحیح کرده و راه‌های جدیدی برای حل مشکلات پیدا کنیم، بدون اینکه تحت تاثیر تفسیر‌های منسوخ قرار بگیریم.

#آزمایش #یادگیری_جدید #نوآوری #پیشرفت

🟣لینک مقاله:
https://cur.at/wUCZclf?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
The Pyramid Isn't Dead, You're Just Not Using It Right

🟢 خلاصه مقاله:
هرگز نگو پشته آزمایش‌ها مرده است؛ بلکه مشکل در نحوه استفاده‌تان از آن است. کاوین رو با هدف بازنگری در مفهوم هرم آزمایش، سری مطالبی را شروع کرده است که در آن چهار لایه جداگانه برای انواع آزمایش‌ها معرفی می‌شوند. این رویکرد جدید، برنامه‌ریزی کرده است تا نشان دهد چگونه می‌توان هر بخش از تست‌ها—از واحد گرفته تا ادغام، آزمون‌های API و فرآیند استقرار—را به شکل مؤثرتری طراحی و اجرا کرد.

در این سری مطالب، کاوین نشان می‌دهد که اگر هرم آزمایش به شکلی مناسب تقسیم و استفاده شود، می‌تواند منبع قدرتمندی برای بهبود کیفیت نرم‌افزار و کاهش خطاهای احتمالی باشد. این رویکرد جدید نیازمند تغییر در استراتژی‌های تست است و بر اهمیت هر لایه تأکید می‌کند، به‌خصوص در دنیای توسعه سریع و چابک، جایی که هر مرحله نقش حیاتی دارد.

در نهایت، این سری مطالب به توسعه‌دهندگان و تیم‌های فنی کمک می‌کند تا با درک بهتر و به‌کارگیری هوشمندانه‌تر هرم آزمایش، نرم‌افزارهای بهتر و پایدارتری را ارائه دهند و از این طریق به بهبود فرآیندهای توسعه و تضمین کیفیت کمک کنند.

#تست_نرم‌افزار #کیفیت_تست #توسعه_چابک #پیشرفت_فناوری

🟣لینک مقاله:
https://cur.at/X1To71e?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Meet Vespasian. It Sees What Static Analysis Can't (11 minute read)

🟢 خلاصه مقاله:
مقدمه‌ای درباره وسباسیان

و سباسیان ابزار متن‌بازی متن‌بازی برای کشف نودهای API است که با بهره‌گیری از ترافیک HTTP زنده، اطلاعات مربوط به نقاط پایانی برنامه‌های کاربردی را ثبت و تحلیل می‌کند. این ابزار از طریق مرورگر بدون رابط گرافیکی یا ابزارهای موجود مانند Burp Suite، HAR و mitmproxy، داده‌های ترافیک را جمع‌آوری می‌نماید. پس از جمع‌آوری، وسباسیان به صورت خودکار مشخصات ساختاری مانند OpenAPI 3.0 برای REST، SDL مربوط به GraphQL و WSDL برای SOAP را تولید می‌کند. یکی از ویژگی‌های برجسته آن، استفاده از یک فرآیند دو مرحله‌ای است که مرحله ضبط ترافیک را از فرآیند تولید مشخصات جدا می‌کند. در این فرآیند، از الگوریتم‌های مبتنی بر اطمینان و شاخص‌های ارزیابی برای طبقه‌بندی نوع API، نرمال‌سازی مسیرها با حذف پارامترهای تکراری و استراتژی‌های هوشمندانه برای بررسی و شناخت ساختاری GraphQL، همراه با روش‌هایی برای عبور از فایروال‌های برنامه‌های کاربردی نیز بهره گرفته شده است.

و سباسیان به عنوان یک ابزار قدرتمند و متن‌باز، توانسته است مشکل عدم دقت در تحلیل ترافیک ثابت و تصویربرداری از ساختار واقعی APIهای زنده را برطرف کند، که این امر در توسعه و امنیت برنامه‌های تحت وب بسیار حیاتی است. بهره‌گیری از الگوریتم‌های تحلیلی پیشرفته و استراتژی‌های هوشمند، این ابزار را قادر می‌سازد تا ظریف‌ترین جزئیات مربوط به نقاط پایانی و ساختارهای API را شناسایی کند، حتی در محیط‌هایی که معمولاً با موانع امنیتی و محدودیت‌های مربوط به فایروال‌ها مواجه هستند.

#API #امنیت_وب #تحلیل_ترافیک #ابزارهای_متن‌باز

🟣لینک مقاله:
https://www.praetorian.com/blog/vespasian-api-endpoint-discovery-tool?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
OpenClaw gives users yet another reason to be freaked out about security (4 minute read)

🟢 خلاصه مقاله:
در تازه‌ترین اقدام امنیتی، OpenClaw به زودی یک آسیب‌پذیری بحرانی را که اخیراً شناسایی و برطرف شده، اصلاح کرد. این نقص، شناخته‌شده به عنوان CVE-2026-33579، در واقع یک حفره امنیتی بود که به هکرها اجازه می‌داد با داشتن کم‌ترین سطح مجوزهای جفت‌سازی، بدون نیاز به تعامل کاربر، به صورت پنهانی سطح دسترسی خود را به کامل‌ترین حالت، یعنی ادمین، ارتقا دهند. این اصلاحیه در روز یکشنبه منتشر شد، اما اطلاع‌رسانی مربوط به CVE تا روز سه‌شنبه انجام نشد؛ بنابراین، مهاجمان فرصت داشتند قبل از عمومی شدن هشدار، به سرعت از این آسیب‌پذیری بهره‌برداری کنند.

این شکاف امنیتی به اندازه‌ای خطرناک بود که نگرانی‌های زیادی درباره امنیت سیستم‌های مربوط به این فناوری ایجاد کرد، مخصوصاً با توجه به یافته‌های تیم Blink. بر اساس بررسی‌های آن‌ها، بیش از ۶۳ درصد از ۱۳۵,۰۰۰ نمونه‌ اینترنت‌محور این سرویس، بدون هیچ‌گونه نیاز به احراز هویت، به صورت باز و قابل دسترسی بودند. این یعنی بخش عمده‌ای از دستگاه‌ها و سرویس‌ها در معرض خطر جدی قرار داشتند و هر فردی می‌توانست بدون مشکل وارد سیستم شده و کنترل کامل آن را در دست بگیرد.

در نتیجه، این اتفاق نشان می‌دهد که چقدر محافظت از داده‌ها و سیستم‌ها در فضای اینترنت اهمیت دارد و نیازمند نظارت مستمر و اصلاح به‌موقع است. حالا که آسیب‌پذیری برطرف شده، بهتر است کسانی که از این فناوری استفاده می‌کنند، اقدام به بررسی و به‌روزرسانی سیستم‌های خود کنند تا امنیت داده‌ها و کاربران حفظ شود. این حادثه یادآوری جدی است برای شرکت‌ها و کاربران درباره اهمیت رعایت به‌روز بودن نرم‌افزارها و آگاهی‌های امنیت سایبری.

#امنیت_سایبری #حفره_امنیتی #OpenClaw #امنیت_فضای_مجازی

🟣لینک مقاله:
https://arstechnica.com/security/2026/04/heres-why-its-prudent-for-openclaw-users-to-assume-compromise/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
UK Gov's Mythos AI Tests Help Separate Cybersecurity Threat From Hype (4 minute read)

🟢 خلاصه مقاله:
در این مقاله به بررسی آزمایش‌های جدید مدل Mythos AI ساخته شرکت Anthropic توسط موسسه امنیت سایبری بریتانیا می‌پردازیم. در این آزمایش‌ها، این مدل در مواجهه با وظایف مختلفی مانند مسابقات گرفتن پرچم (capture-the-flag) و یک چالش پیچیده با نام «آخرین‌های باقی‌مانده» که شامل عملیات استخراج داده‌های شبکه در ۳۲ مرحله است، مورد ارزیابی قرار گرفت. شایان ذکر است که Mythos در برخی آزمایش‌ها اولین سیستم هوشمند مصنوعی بود که توانست کل زنجیره این چالش را با موفقیت طی کند. میانگین تعداد گام‌های مورد نیاز برای کامل کردن این آزمایش‌ها حدود ۲۲ مرحله بوده است، در حالی که سیستم Claude 4.6، رقم متوسط ۱۶ مرحله را ثبت کرده است. با این حال، Mythos در برخی سناریوهای سخت‌تر نظیر «برج خنک‌کننده» که شامل یک نیروگاه برق است، دچار شکست شد. نکته مهم دیگر، این است که آزمایش‌ها در شرایطی انجام گرفت که در آن‌ها دفاع فعال و هشدارهای واقعی وجود نداشت، و در محیط‌هایی با تهدیدهای واقعی یا سیستم‌های شناسایی پیشرفته عمل نمی‌کرد.

این آزمایش‌ها نشان می‌دهد که Mythos قادر است در بعضی موارد شکاف‌هایی در سیستم‌های امنیتی را شناسایی و از آن عبور کند، اما هنوز هم در مواجهه با شرایط سخت و واقعی کمبودهایی دارد. هدف از این آزمایش‌ها، جدا کردن حقیقت از محتوای تبلیغاتی پیرامون توانمندی‌های هوش مصنوعی در حوزه امنیت سایبری است. در مجموع، این نتایج نشان می‌دهند که فناوری‌های هوشمند باید هنوز از نظر قابلیت استحکام در برابر حملات پیچیده، توسعه یابند و در محیط‌های واقعی با دقت بیشتری آزمایش شوند.

#امنیت_سایبری #هوش_مصنوعی #تست_آزمایشی #یادگیری_ماشین

🟣لینک مقاله:
https://arstechnica.com/ai/2026/04/uk-govs-mythos-ai-tests-help-separate-cybersecurity-threat-from-hype/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Critical infrastructure giant Itron says it was hacked (2 minute read)

🟢 خلاصه مقاله:
در اوایل ماه آوریل، شرکت بزرگ زیرساخت‌های حیاتی، Itron، اعلام کرد که از طریق یک پرونده رسمی به کمیسیون بورس و اوراق بهادار آمریکا (SEC) در جریان نفوذ به شبکه‌های داخلی خود قرار گرفته است. این شرکت پس از اطلاع‌رسانی، تصریح کرد که هکرها به برخی سیستم‌های داخلی این شرکت دسترسی پیدا کرده‌اند؛ اما بلافاصله اقدامات حفاظتی انجام شده و نفوذ را کنترل کرده است. در پی این اقدام‌ها، Itron اعلام کرد که مهاجمان را شناسایی و حذف کرده و تاکنون هیچ فعالیت مشکوکی بعد از آن مشاهده نشده است.

شرکت تاکید کرد که محیط‌های میزبانی مشتریان در این حمله آسیبی ندیده‌اند، اما هشدار داد در صورت تأیید نشت داده‌ها، احتمالاً اطلاع‌رسانی‌های بعدی به مراجع نظارتی انجام خواهد شد. همچنین، Itron بلافاصله به مراجع قانون‌گذاری اطلاع داده و تدابیر اضطراری، از جمله فعال‌سازی برنامه‌های پشتیبانی و بازیابی، را اجرا کرده است تا اطمینان حاصل شود که عملیات شرکت بدون مشکل ادامه خواهد داشت.

در کل، این حادثه نشان می‌دهد که حتی شرکت‌های بزرگ و مهم در حوزه زیرساخت‌های حیاتی هم در معرض تهدیدهای سایبری قرار دارند و باید همواره آمادگی لازم برای مقابله با چنین حملاتی را داشته باشند. حفظ امنیت داده‌ها و سیستم‌ها همواره یک اولویت اصلی است که نیازمند نظارت دقیق و به‌روزرسانی مداوم است.

#امنیت_سایبری #حملات_های_سایبری #زیرساخت_حیاتی #اطلاع_رسانی

🟣لینک مقاله:
https://techcrunch.com/2026/04/27/critical-infrastructure-giant-itron-says-it-was-hacked/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

تغییر مهم در لتس‌انکریپت؛ گواهی‌های رایگان SSL به تحریم‌های آمریکا گره خورد

بسیاری از وب‌سایت‌های ایرانی برای صدور گواهینامه‌ی SSL از خدمات رایگان شرکت «لتس‌انکریپت» (Let’s Encrypt)، استفاده می‌کنند که یکی از مهم‌ترین صادرکنندگان گواهی‌های امنیتی است.

حالا این شرکت در سکوت خبری، یک بند جدید به توافق‌نامه کاربری خود اضافه کرده است که زنگ خطر را برای وب‌مسترها و کسب‌وکارهای ایرانی به صدا درمی‌آورد. بر اساس این تغییر، صدور و استفاده از این گواهی‌ها برای افراد و نهادهای حاضر در کشورهای تحت تحریم‌های جامع آمریکا محدود می‌شود.

جزئیات بند جدید مهم است. طبق متن تازه، کسی که از لتس‌انکریپت گواهی می‌گیرد، باید تضمین کند که در کشور یا قلمرویی که هدف «تحریم‌های فراگیر آمریکا» است مستقر، ثبت‌شده یا حتی ساکن عادی نیست! علاوه بر این، گیرنده گواهی نباید در فهرست اشخاص و نهادهای ممنوع یا محدود براساس قوانین تحریم آمریکا باشد و نباید تحت مالکیت یا کنترل چنین افراد و نهادهایی فعالیت یا به جای آن‌ها عمل کند. به بیان ساده‌تر، موضوع فقط محل سرور یا آی‌پی نیست؛ جایگاه حقوقی صاحب سایت، شرکت، سازمان یا فردی که گواهی می‌گیرد هم مهم است.

بخش حساس ماجرا همین «تحریم‌های فراگیر» است. این نوع تحریم با تحریم‌های موردی فرق دارد؛ یعنی فقط چند فرد یا شرکت خاص را هدف نمی‌گیرد، بلکه تقریباً کل رابطه اقتصادی و ارائه برخی خدمات به آن کشور یا منطقه را محدود می‌کند. ایران، کوبا، کره شمالی و همچنین مناطقی مثل کریمه، دونتسک و لوهانسک اوکراین در دسته تحریم‌های فراگیر آمریکا قرار دارند. بنابراین اگر وب‌سایت‌ها، شرکت‌های میزبانی یا سرویس‌دهندگان در این مناطق به تمدید خودکار گواهی‌های لتس‌انکریپت وابسته باشند، ممکن است در دریافت یا تمدید گواهی به مشکل بخورند.

از این سند نمی‌توان نتیجه گرفت که لتس‌انکریپت همین حالا همه گواهی‌های موجود در ایران یا دیگر مناطق تحریمی را یک‌جا باطل می‌کند. متن بیشتر شبیه یک تعهد قراردادی جدید است: اگر کاربر یا سازمانی مشمول این محدودیت باشد، از نظر لتس‌انکریپت نباید از این گواهی‌ها استفاده کند و اگر شرایطش با تعهدات قرارداد سازگار نباشد، باید برای ابطال گواهی‌ها اقدام کند.

پیامد عملی این تغییر، خود را در زمان صدور اولیه یا تمدید خودکار (از طریق پروتکل‌هایی مثل ACME) نشان می‌دهد. از نظر فنی سایت شما حذف نخواهد شد، اما پس از انقضای گواهی، مرورگرها با نمایش خطای امنیتی، مانع ورود کاربران می‌شوند. مسئله زمانی بحرانی‌تر می‌شود که سایت شما از مکانیزم HSTS استفاده کند. در این حالت، مرورگر به کاربر اجازه نادیده گرفتن هشدار را نمی‌دهد و وب‌سایت عملاً از دسترس خارج خواهد شد.

اگرچه هنوز ابعاد فنی اجرای این تحریم از سوی لتس‌انکریپت مشخص نیست (مثلاً اینکه آیا صرفاً آی‌پی‌های ایران در زمان درخواست تمدید مسدود می‌شوند یا خیر)، اما احتمالا وب‌مسترها باید به فکر جایگزین باشند. استفاده از ارائه‌دهندگان گواهی رایگان دیگر مانند ZeroSSL، بهره‌گیری از گواهی‌های ارائه‌شده توسط کلودفلر (Cloudflare) یا شبکه‌های توزیع محتوای (CDN) داخلی و در نهایت خرید گواهی‌های SSL تجاری از شرکت‌های غیرآمریکایی، از جمله راهکارهایی است که می‌تواند مانع از قطعی سرویس‌ها در آینده شود.

<NooshDaroo/>

🔵 عنوان مقاله
A hacker ran me over with a robot lawn mower (2 minute read)

🟢 خلاصه مقاله:
در یک رویداد عجیب، پژوهشگر امنیت سایبری اندریاس مکریس توانست کنترل یک چمن‌زن هوشمند به ارزش ۵۰۰۰ دلار به نام یاربُو را از راه دور به دست گیرد. با بهره‌گیری از مهارت‌های هکری خود، او توانست دستگاه را از هزاران کیلومتر فاصله کنترل کند و در اقدامی نمایشی، آن را بر روی خبرنگاری که در مکان دیگری حضور داشت، هدایت کند و حتی با آن بر روی بدن او رانندگی کند. این حرکت نشان‌دهنده اهمیت امنیت در فناوری‌های متصل و هشداردهنده است که دستگاه‌های متصل به اینترنت نیازمند حفاظت پیشرفته‌تری هستند تا از سوءاستفاده‌های احتمالی جلوگیری شود.

در این آزمایش، مکریس نشان داد که حتی تجهیزات معمول خانگی و باغبانی می‌توانند در صورت ضعف امنیتی، هدف حملات هکری قرار گیرند و در نتیجه، امنیت اینترنت اشیاء (IoT) به موضوع حیاتی تبدیل شده است. این رویداد توجه زیادی را به خطرات ناشی از نبود اقدامات امنیتی مناسب در دنیای دیجیتال جلب کرده است و نشان می‌دهد که نباید نسبت به آسیب‌پذیری‌ها بی‌تفاوت بود.

#امنیت #هوشمندسازی #حملات_سایبری #اینترنت_اشیاء

🟣لینک مقاله:
https://www.theverge.com/tech/925696/yarbo-robot-lawn-mower-hack-remote-control-camera-access-mqtt?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
If there's one workshop this year that will genuinely change how you approach AI testing, this is it.

🟢 خلاصه مقاله:
اگر قرار باشد در امسال کارگاهی تاثیرگذار بر رویکردتان در آزمایش هوش مصنوعی برگزار شود، بی‌تردید این همان است.

در تاریخ ۲۹ آوریل، همراه با ایوان داویدوف و دابی اوبراین، فرصتی بی‌نظیر خواهید داشت تا به صورت عملی و عمیق به ساخت معماری‌های Playwright بپردازید، جایی که هوش مصنوعی واقعاً در مقیاس‌های بزرگ به صورت قابل اعتماد کار می‌کند. این کارگاه، عنصری است که جریان کاری آزمایش شما به آن نیاز دارد و کمبود آن تقریبا احساس می‌شد.

در این جلسه، به صورت تخصصی به چگونگی طراحی و پیاده‌سازی معماری‌های مقاوم و کارآمد می‌پردازیم، تا بتوانید پروژه‌های هوش مصنوعی را در اندازه‌های بزرگ با اطمینان بیشتری اجرا کنید. حضور در این کارگاه، برای هر کسی که به بهینه‌سازی روند آزمایش و بهره‌برداری از هوش مصنوعی علاقمند است، فرصت بی‌نظیری است که نباید از دست بدهد.

#هوش_مصنوعی #تست نرم‌افزار #معماری_سخت‌افزار #Playwright

🟣لینک مقاله:
https://cur.at/rZ2sMoS?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

💰جوشکار اسپیس‌ایکس پس از عرضه اولیه سهام یک‌شبه میلیونر شد

🔸 روایت زندگی «خوان هرناندز»، مهاجر مکزیکی و جوشکار سابق اسپیس‌ایکس، شبیه به فیلم‌های سینمایی است. او که روزگاری حتی نام این شرکت فضایی را نشنیده بود، حالا به لطف عرضه اولیه تاریخی سهام آن، میلیونر شده است.

🔸 خوان هرناندز در سال ۲۰۱۵ با پیشنهاد یکی از دوستانش و حقوق ساعتی ۲۸ دلار وارد اسپیس‌ایکس شد و در همان ابتدای کار، بسته‌ای از سهام شرکت به ارزش ۱۰ هزار دلار را به‌عنوان پاداش استخدام دریافت کرد.

🔸 هرناندز طی یک دهه فعالیت خود، علاوه‌بر سهام اولیه، با کسر از حقوق ماهانه خود نیز سهام بیشتری خرید. با رسیدن قیمت سهام اسپیس‌ایکس به ۱۶۰.۹۵ دلار در روز جمعه، ارزش ۶۵۰۰ سهم این جوشکار ۴۲ ساله از مرز یک میلیون دلار عبور کرد.

https://xn--r1a.website/futurepulse_persian

How 'algorithm' got its name from a 9th-century Persian mathematician
https://www.npr.org/2026/06/11/nx-s1-5848013/algorithm-word-week-etymology

Agentic System Design Interview Series #1: Design a Coding Agent
https://datajourney24.substack.com/p/agentic-system-design-interview-series