🔵 عنوان مقاله
A Quality Gate Based on Trust, Not Process
🟢 خلاصه مقاله:
در دنیای توسعه نرمافزار، اطمینان از کیفیت و امنیت نسخههای نهایی همیشه چالشی بزرگ برای تیمهای فنی است. چگونه میتوان از امنیت واقعی یک نسخه مطمئن شد؟ در این زمینه، دیدگاهی متفاوت ارائه شده است؛ دیدگاهی مبتنی بر اعتماد و قضاوت شخصی به جای تکیه بر فهرستهای چک و فرآیندهای پیچیده.
در اصل، راهکار مطرح شده بر این فرض استوار است که ارزیابی ریسک و ایمنی محصول قبل از انتشار، نیازمند نگاهی عمیق و مبتنی بر اعتبار و تجربه فردی است. این روش، به جای تمرکز صرف بر اقدامات ظاهری، بر قضاوت و درک دقیق وضعیت محصول تأکید دارد تا در نهایت بتوانیم با اعتماد کامل، نسخهای مطمئن را به بازار عرضه کنیم.
بنابراین، این رویکرد منجر به ایجاد یک دروازه کیفیت میشود که بر پایه اعتماد قرار دارد، نه صرفاً بر اساس فرآیند یا مراحل مشخص. این نگاه، تیمهای توسعه را ترغیب میکند که با تکیه بر دانش و تجربه خود، تصمیمگیریهای بهتری در مورد زمان و نحوه انتشار نرمافزار انجام دهند.
در نهایت، چنین رویکردی باعث میشود فرآیند عرضه نرمافزار نه تنها کمتنشتر و موثرتر باشد، بلکه اعتماد بیشتری بین اعضای تیم و کاربران نهایی ایجاد کند، چرا که محصولی با معیارهای دقیق و قضاوت معتبر به بازار وارد میشود.
#کیفیت_مبتنی_بر_اعتماد #مدیریت_ریسک #ارتقاء_نرمافزار #توسعه_پایدار
🟣لینک مقاله:
https://cur.at/Rocd4Cz?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
A Quality Gate Based on Trust, Not Process
🟢 خلاصه مقاله:
در دنیای توسعه نرمافزار، اطمینان از کیفیت و امنیت نسخههای نهایی همیشه چالشی بزرگ برای تیمهای فنی است. چگونه میتوان از امنیت واقعی یک نسخه مطمئن شد؟ در این زمینه، دیدگاهی متفاوت ارائه شده است؛ دیدگاهی مبتنی بر اعتماد و قضاوت شخصی به جای تکیه بر فهرستهای چک و فرآیندهای پیچیده.
در اصل، راهکار مطرح شده بر این فرض استوار است که ارزیابی ریسک و ایمنی محصول قبل از انتشار، نیازمند نگاهی عمیق و مبتنی بر اعتبار و تجربه فردی است. این روش، به جای تمرکز صرف بر اقدامات ظاهری، بر قضاوت و درک دقیق وضعیت محصول تأکید دارد تا در نهایت بتوانیم با اعتماد کامل، نسخهای مطمئن را به بازار عرضه کنیم.
بنابراین، این رویکرد منجر به ایجاد یک دروازه کیفیت میشود که بر پایه اعتماد قرار دارد، نه صرفاً بر اساس فرآیند یا مراحل مشخص. این نگاه، تیمهای توسعه را ترغیب میکند که با تکیه بر دانش و تجربه خود، تصمیمگیریهای بهتری در مورد زمان و نحوه انتشار نرمافزار انجام دهند.
در نهایت، چنین رویکردی باعث میشود فرآیند عرضه نرمافزار نه تنها کمتنشتر و موثرتر باشد، بلکه اعتماد بیشتری بین اعضای تیم و کاربران نهایی ایجاد کند، چرا که محصولی با معیارهای دقیق و قضاوت معتبر به بازار وارد میشود.
#کیفیت_مبتنی_بر_اعتماد #مدیریت_ریسک #ارتقاء_نرمافزار #توسعه_پایدار
🟣لینک مقاله:
https://cur.at/Rocd4Cz?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Being Human Tester
Quality Gate
Beyond Checklists: A Quality Gate Based on Trust, Not Process
Forwarded from VIP
هر چی دانلود کردنیه دانلود کنید
هر راه ارتباطیای که بلدید بسازید
هر کاری میخواید بکنید الان وقتشه
هر چی که تو زمان قطعی میگفتید کاش قبل از قطع شدن فلان کارو میکردم رو الان انجام بدید، همین امروز
I💚R🤍A❤️N
👉 https://xn--r1a.website/addlist/AJ7rh2IzIh02NTI0
هر راه ارتباطیای که بلدید بسازید
هر کاری میخواید بکنید الان وقتشه
هر چی که تو زمان قطعی میگفتید کاش قبل از قطع شدن فلان کارو میکردم رو الان انجام بدید، همین امروز
I💚R🤍A❤️N
👉 https://xn--r1a.website/addlist/AJ7rh2IzIh02NTI0
🕊1
🔵 عنوان مقاله
Building a Scalable Automation Framework with Playwright + TypeScript
🟢 خلاصه مقاله:
در ادامه مجموعه مقالات خود، رشِش یمول نکات مهمی را در مورد راهاندازی یک چارچوب آزمایش خودکار قابل گسترش با استفاده از Playwright به اشتراک گذاشته است. او در این مقاله، به اهمیت ساختن یک فریمورک منظم و کارآمد برای تستهای خودکار اشاره میکند و راهکارهای عملی جهت پیادهسازی آن ارائه میدهد. هدف اصلی او این است که تیم توسعه بتواند به راحتی تستها را مدیریت کند، توسعه دهد و در فرآیندهای توسعه نرمافزار، سرعت و دقت را افزایش دهد.
در دنیای توسعه نرمافزار، نیازمندی به آزمایشهای خودکار با قابلیت توسعهپذیری روز به روز افزایش مییابد. Playwright به عنوان یکی از ابزارهای قدرتمند در این زمینه، امکانات بسیاری را برای ساخت فریمورکهای تست مدرن و انعطافپذیر فراهم میکند. در این مقاله، نکاتی کلیدی برای راهاندازی این نوع فریمورک با زبان تایپاسکریپت ذکر شده است. این راهکارها به تیمهای فنی کمک میکند تا فرآیندهای آزمایش را به شکل ساختاربندی شده و مقیاسپذیر پیادهسازی کنند و از تکرار بیهدف کد جلوگیری نمایند.
با رعایت نکاتی که رشِش یمول ارائه میدهد، شما قادر خواهید بود یک چارچوب آزمایشهای خودکار توسعه دهید که نه تنها ساده و سریع است، بلکه در آینده نیز قابلیت گسترش و بهروزرسانی آسان را دارد. این امر باعث میشود تا فرآیندهای تست در پروژههای بزرگ و حساس به دقت بیشتری انجام شده و کیفیت نهایی نرمافزار ارتقا یابد. در نتیجه، پیادهسازی این نوع فریمورک، نقش مهمی در بهبود بهرهوری و کاهش خطاهای انسانی در فرآیند توسعه دارد.
#تست_خودکار #Playwright #توسعه_نرمافزار #کدبندی
🟣لینک مقاله:
https://cur.at/r5RZgXG?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Building a Scalable Automation Framework with Playwright + TypeScript
🟢 خلاصه مقاله:
در ادامه مجموعه مقالات خود، رشِش یمول نکات مهمی را در مورد راهاندازی یک چارچوب آزمایش خودکار قابل گسترش با استفاده از Playwright به اشتراک گذاشته است. او در این مقاله، به اهمیت ساختن یک فریمورک منظم و کارآمد برای تستهای خودکار اشاره میکند و راهکارهای عملی جهت پیادهسازی آن ارائه میدهد. هدف اصلی او این است که تیم توسعه بتواند به راحتی تستها را مدیریت کند، توسعه دهد و در فرآیندهای توسعه نرمافزار، سرعت و دقت را افزایش دهد.
در دنیای توسعه نرمافزار، نیازمندی به آزمایشهای خودکار با قابلیت توسعهپذیری روز به روز افزایش مییابد. Playwright به عنوان یکی از ابزارهای قدرتمند در این زمینه، امکانات بسیاری را برای ساخت فریمورکهای تست مدرن و انعطافپذیر فراهم میکند. در این مقاله، نکاتی کلیدی برای راهاندازی این نوع فریمورک با زبان تایپاسکریپت ذکر شده است. این راهکارها به تیمهای فنی کمک میکند تا فرآیندهای آزمایش را به شکل ساختاربندی شده و مقیاسپذیر پیادهسازی کنند و از تکرار بیهدف کد جلوگیری نمایند.
با رعایت نکاتی که رشِش یمول ارائه میدهد، شما قادر خواهید بود یک چارچوب آزمایشهای خودکار توسعه دهید که نه تنها ساده و سریع است، بلکه در آینده نیز قابلیت گسترش و بهروزرسانی آسان را دارد. این امر باعث میشود تا فرآیندهای تست در پروژههای بزرگ و حساس به دقت بیشتری انجام شده و کیفیت نهایی نرمافزار ارتقا یابد. در نتیجه، پیادهسازی این نوع فریمورک، نقش مهمی در بهبود بهرهوری و کاهش خطاهای انسانی در فرآیند توسعه دارد.
#تست_خودکار #Playwright #توسعه_نرمافزار #کدبندی
🟣لینک مقاله:
https://cur.at/r5RZgXG?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
Building a Scalable Automation Framework with Playwright + TypeScript
Part 3 — Designing Page Objects, Actions, and Assertions the Right Way
🔵 عنوان مقاله
The QA Skills That Got You Here Won't Carry You Through 2026
🟢 خلاصه مقاله:
مهارتهای تضمین کیفیت (QA) که تاکنون شما را به اینجا رساندهاند، دیگر کافی نخواهند بود تا در سال ۲۰۲۶ در حرفهتان پیشرفت کنید. ابیولا سراق به طور جدی هشدار میدهد که در دنیای فناوری و آزمونهای نرمافزاری، لازم است همواره در حال توسعه مهارتها و رویکردهای خود باشید. تغییر سریع فناوریهای جدید، نیازمند بهروزرسانی مداوم دانش و مهارتهای شما است؛ در غیراین صورت، خطر عقبماندگی و از دست دادن فرصتهای شغلی وجود دارد. بنابراین، همواره باید روند یادگیری و نوآوری را حفظ کرده و خود را برای مواجهه با چالشهای آینده آماده کنید.
توسعه مهارتهای جدید و تمرکز بر یادگیری فناوریهای نوین، کلید موفقیت در آینده حرفهای شما است. متخصصان موفق همیشه در حال آزمایش روشهای تازه، یادگیری ابزارهای جدید و بهبود فرآیندهای خود هستند تا بتوانند بهترین نتیجه را در پروژههایشان ارائه دهند. پس، مهم است که نگاهی انتقادی به تواناییهای خود داشته باشید و در مسیر رشد فردی و حرفهای قدم بردارید تا در سالهای آینده موفقتر باشید.
با توجه به سرعت تغییرات و توسعه فناوریها، بهروزرسانی مستمر مهارتهای فردی و حرفهای اهمیت روزافزونی یافته است. در غیراین صورت، توانایی رقابت و باقی ماندن در مسیر حرفهای به طور جدی کاهش مییابد. بنابراین، توصیه میشود همواره در مسیر یادگیری مداوم حرکت کنید و از فرصتهای آموزش و توسعه مهارت غافل نشوید.
#توسعه_مهارت #فناوری #پیشرفت_حرفهای #یادگیری_مداوم
🟣لینک مقاله:
https://cur.at/xqnHaKc?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The QA Skills That Got You Here Won't Carry You Through 2026
🟢 خلاصه مقاله:
مهارتهای تضمین کیفیت (QA) که تاکنون شما را به اینجا رساندهاند، دیگر کافی نخواهند بود تا در سال ۲۰۲۶ در حرفهتان پیشرفت کنید. ابیولا سراق به طور جدی هشدار میدهد که در دنیای فناوری و آزمونهای نرمافزاری، لازم است همواره در حال توسعه مهارتها و رویکردهای خود باشید. تغییر سریع فناوریهای جدید، نیازمند بهروزرسانی مداوم دانش و مهارتهای شما است؛ در غیراین صورت، خطر عقبماندگی و از دست دادن فرصتهای شغلی وجود دارد. بنابراین، همواره باید روند یادگیری و نوآوری را حفظ کرده و خود را برای مواجهه با چالشهای آینده آماده کنید.
توسعه مهارتهای جدید و تمرکز بر یادگیری فناوریهای نوین، کلید موفقیت در آینده حرفهای شما است. متخصصان موفق همیشه در حال آزمایش روشهای تازه، یادگیری ابزارهای جدید و بهبود فرآیندهای خود هستند تا بتوانند بهترین نتیجه را در پروژههایشان ارائه دهند. پس، مهم است که نگاهی انتقادی به تواناییهای خود داشته باشید و در مسیر رشد فردی و حرفهای قدم بردارید تا در سالهای آینده موفقتر باشید.
با توجه به سرعت تغییرات و توسعه فناوریها، بهروزرسانی مستمر مهارتهای فردی و حرفهای اهمیت روزافزونی یافته است. در غیراین صورت، توانایی رقابت و باقی ماندن در مسیر حرفهای به طور جدی کاهش مییابد. بنابراین، توصیه میشود همواره در مسیر یادگیری مداوم حرکت کنید و از فرصتهای آموزش و توسعه مهارت غافل نشوید.
#توسعه_مهارت #فناوری #پیشرفت_حرفهای #یادگیری_مداوم
🟣لینک مقاله:
https://cur.at/xqnHaKc?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
The QA Skills That Got You Here Won’t Carry You Through 2026
I started learning to test almost a decade ago. Back then, what mattered was simple. A sharp eye for detail, the instinct to catch bugs…
🔵 عنوان مقاله
Attackers Love Your GitHub Actions Too (8 minute read)
🟢 خلاصه مقاله:
در جهان توسعه نرمافزار، ابزارهای اتوماسیون نقش حیاتی در بهبود فرآیندها دارند و GitHub Actions یکی از محبوبترین گزینهها در این زمینه محسوب میشود. این ابزار، با توجه به قابلیتها و سهولت استفادهاش، به سرعت در میان تیمهای توسعه محبوبیت یافته است و در رتبهبندی نسبتاً بالایی قرار دارد. اما در کنار همه مزایا، این ابزار نیز نقاط ضعف و خطراتی دارد که باید مورد توجه قرار گیرد. استفاده گسترده از GitHub Actions به معنی افزایش نقاط آسیبپذیری است، زیرا ابزارهای آنلاین و رایگان در معرض هکرها و حملات مختلف قرار میگیرند.
یکی از چالشهای مهم این است که این سیستم ممکن است ناخواسته، اسرار و کلیدهای حساس شما را فاش کند یا توکنهای دسترسی سطح بالا را بیش از حد مجاز نماید. این ضعفها میتوانند راه را برای سوءاستفاده و نفوذ هکرها هموار کنند. همچنین، در مسیر استفاده از این ابزار، خطر حملات زنجیره تأمین وجود دارد. حملات زنجیره تأمین زمانی رخ میدهد که مهاجمان با وارد کردن وابستگیهای مخرب یا مخلوط کردن کدهای آلوده، به سیستمهای نرمافزاری آسیب برسانند و کنترل آنها را در دست بگیرند. حملات تزریق و وابستگیهای مسموم نمونههایی از این نوع تهدیدها هستند که میتوانند به سادگی منشأ توکنها و اسرار حساس را به خطر اندازند.
در نهایت، با آگاهی از این خطرات، تیمهای توسعه باید اقدامات پیشگیرانه لازم را برای محافظت از پروژههای خود انجام دهند. این اقدامات شامل بهروزرسانی مداوم وابستگیها، محدود کردن دسترسیها، استفاده از روشهای امن برای نگهداری اسرار، و نظارت دائم بر فعالیتهای سیستم است. محافظت در برابر این تهدیدات، نیازمند آگاهی، آموزش، و استراتژیهای قوی است تا بتوانید بهرهبرداری امن و موثر از ابزارهای مدرن توسعه را تضمین کنید.
#امنیت_در_نرمافزار #GithubActions #حملات_زنجیره_تأمین #مراقبت_از_اسرار
🟣لینک مقاله:
https://orca.security/resources/blog/github-actions-security-risks/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Attackers Love Your GitHub Actions Too (8 minute read)
🟢 خلاصه مقاله:
در جهان توسعه نرمافزار، ابزارهای اتوماسیون نقش حیاتی در بهبود فرآیندها دارند و GitHub Actions یکی از محبوبترین گزینهها در این زمینه محسوب میشود. این ابزار، با توجه به قابلیتها و سهولت استفادهاش، به سرعت در میان تیمهای توسعه محبوبیت یافته است و در رتبهبندی نسبتاً بالایی قرار دارد. اما در کنار همه مزایا، این ابزار نیز نقاط ضعف و خطراتی دارد که باید مورد توجه قرار گیرد. استفاده گسترده از GitHub Actions به معنی افزایش نقاط آسیبپذیری است، زیرا ابزارهای آنلاین و رایگان در معرض هکرها و حملات مختلف قرار میگیرند.
یکی از چالشهای مهم این است که این سیستم ممکن است ناخواسته، اسرار و کلیدهای حساس شما را فاش کند یا توکنهای دسترسی سطح بالا را بیش از حد مجاز نماید. این ضعفها میتوانند راه را برای سوءاستفاده و نفوذ هکرها هموار کنند. همچنین، در مسیر استفاده از این ابزار، خطر حملات زنجیره تأمین وجود دارد. حملات زنجیره تأمین زمانی رخ میدهد که مهاجمان با وارد کردن وابستگیهای مخرب یا مخلوط کردن کدهای آلوده، به سیستمهای نرمافزاری آسیب برسانند و کنترل آنها را در دست بگیرند. حملات تزریق و وابستگیهای مسموم نمونههایی از این نوع تهدیدها هستند که میتوانند به سادگی منشأ توکنها و اسرار حساس را به خطر اندازند.
در نهایت، با آگاهی از این خطرات، تیمهای توسعه باید اقدامات پیشگیرانه لازم را برای محافظت از پروژههای خود انجام دهند. این اقدامات شامل بهروزرسانی مداوم وابستگیها، محدود کردن دسترسیها، استفاده از روشهای امن برای نگهداری اسرار، و نظارت دائم بر فعالیتهای سیستم است. محافظت در برابر این تهدیدات، نیازمند آگاهی، آموزش، و استراتژیهای قوی است تا بتوانید بهرهبرداری امن و موثر از ابزارهای مدرن توسعه را تضمین کنید.
#امنیت_در_نرمافزار #GithubActions #حملات_زنجیره_تأمین #مراقبت_از_اسرار
🟣لینک مقاله:
https://orca.security/resources/blog/github-actions-security-risks/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Orca Security
Part 1: Attackers Love Your GitHub Actions Too
GitHub Actions is the #1 CI/CD tool, but it's full of risks. Learn about common exploits, from secret leaks and overprivileged tokens to pull_request_target abuse.
🔵 عنوان مقاله
Man to plead guilty to hacking US Supreme Court filing system (2 minute read)
🟢 خلاصه مقاله:
یک مرد ۲۴ ساله اهل تنسی به نام نیکولاس مور، به قصد هک کردن سیستم ثبت مدارک دیجیتال دیوان عالی آمریکا، به طور مکرر و بدون مجوز در طول بیش از ۲۵ روز، بین اوت و اکتبر ۲۰۲۳، وارد سیستم الکترونیکی این دادگاه شده است. او توانسته اطلاعات نامشخصی را از طریق یک کامپیوتر محافظتشده به سرقت ببرد، اقدامی که به شدت نگرانیهای امنیتی را برانگیخته است.
این فرد پس از دستبردن به سیستم و دسترسی غیرمجاز، در نهایت تصمیم گرفت به جرم خود اعتراف کند. این موضوع نشان میدهد که نگرانیهای مربوط به امنیت سایبری در مهمترین نهادهای قضایی و دولتی جهان همچنان جدی است و نیازمند تدابیر سختگیرانهتر برای جلوگیری از تکرار چنین حوادثی است. این پرونده، نمونهای است از تهدیدهای فزاینده در حوزه امنیت سایبری که باید با هوشمندی و اقدام سریع مقابله شود.
در نهایت، این پرونده توجه رسانهها و مقامات قضایی را به اهمیت حفاظت از اطلاعات حساس جلب کرده و بر ضرورت نظارت دقیقتر بر سیستمهای دیجیتال دولتی تأکید دارد. پیشگیری از نفوذهای سایبری و آموزش کارکنان در ارتباط با امنیت دیجیتال، از جمله مواردی است که باید مورد توجه قرار گیرد.
#امنیت_سایبری #حفاظت_اطلاعات #دیوان_عالی #جرم_فضای_مجازی
🟣لینک مقاله:
https://techcrunch.com/2026/01/13/man-to-plead-guilty-to-hacking-us-supreme-court-filing-system/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Man to plead guilty to hacking US Supreme Court filing system (2 minute read)
🟢 خلاصه مقاله:
یک مرد ۲۴ ساله اهل تنسی به نام نیکولاس مور، به قصد هک کردن سیستم ثبت مدارک دیجیتال دیوان عالی آمریکا، به طور مکرر و بدون مجوز در طول بیش از ۲۵ روز، بین اوت و اکتبر ۲۰۲۳، وارد سیستم الکترونیکی این دادگاه شده است. او توانسته اطلاعات نامشخصی را از طریق یک کامپیوتر محافظتشده به سرقت ببرد، اقدامی که به شدت نگرانیهای امنیتی را برانگیخته است.
این فرد پس از دستبردن به سیستم و دسترسی غیرمجاز، در نهایت تصمیم گرفت به جرم خود اعتراف کند. این موضوع نشان میدهد که نگرانیهای مربوط به امنیت سایبری در مهمترین نهادهای قضایی و دولتی جهان همچنان جدی است و نیازمند تدابیر سختگیرانهتر برای جلوگیری از تکرار چنین حوادثی است. این پرونده، نمونهای است از تهدیدهای فزاینده در حوزه امنیت سایبری که باید با هوشمندی و اقدام سریع مقابله شود.
در نهایت، این پرونده توجه رسانهها و مقامات قضایی را به اهمیت حفاظت از اطلاعات حساس جلب کرده و بر ضرورت نظارت دقیقتر بر سیستمهای دیجیتال دولتی تأکید دارد. پیشگیری از نفوذهای سایبری و آموزش کارکنان در ارتباط با امنیت دیجیتال، از جمله مواردی است که باید مورد توجه قرار گیرد.
#امنیت_سایبری #حفاظت_اطلاعات #دیوان_عالی #جرم_فضای_مجازی
🟣لینک مقاله:
https://techcrunch.com/2026/01/13/man-to-plead-guilty-to-hacking-us-supreme-court-filing-system/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
TechCrunch
Man to plead guilty to hacking US Supreme Court filing system | TechCrunch
A 24-year-old from Tennessee is expected to admit to accessing the Supreme Court’s electronic filing system without authorization dozens of times throughout 2023.
🔵 عنوان مقاله
BinYars (GitHub Repo)
🟢 خلاصه مقاله:
بین یارس، افزونهای برای نرمافزار Binary Ninja است که هدف اصلی آن، ادغام کامل ابزار YARA-X در محیط این برنامه است. YARA-X یک ابزار قدرتمند برای شناسایی و تحلیل فایلهای مخرب و بدافزارها است، و با افزودن آن به Binary Ninja، فرآیند بررسی و تحلیل فایلهای مشکوک بسیار سادهتر و سریعتر انجام میشود. این افزونه با فراهم کردن امکانات مشابه با نسخه اصل YARA-X، به تحلیلگران امنیت سایبری امکان میدهد تا دادههای پیچیدهتری را در زمان کمتری شناسایی کنند. به طور خلاصه، BinYars یک پل قوی و مفید است که از طریق ترکیب این دو ابزار، توانمندیهای تحلیل نرمافزارهای مخرب را به سطح جدیدی میرساند، و برای متخصصان امنیت اطلاعات که به دنبال راهکاری کارآمد و مؤثر هستند، بسیار ارزشمند است.
بین یارس، یک افزونه کاربردی است که با ادغام YARA-X در نرمافزار تحلیل باینری، کاربر را قادر میسازد تا به راحتی و با بهرهگیری از امکانات پیشرفته، فایلهای مشکوک را بررسی و شناسایی کند. این افزونه نه تنها فضای کاری را مرتب و کارآمدتر میکند، بلکه فرآیند تحلیل را سریعتر و دقیقتر میسازد. بنابراین، اگر در حوزه امنیت سایبری فعالیت میکنید و به دنبال ابزاری قدرتمند برای تشخیص نرمافزارهای مخرب هستید، بین یارس یک گزینه عالی و کمنظیر است که باید در مجموعه ابزارهای خود داشته باشید.
#امنیت_اطلاعات #YARAX #تحلیل_بدافزار #BinaryNinja
🟣لینک مقاله:
https://github.com/xorhex/BinYars?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BinYars (GitHub Repo)
🟢 خلاصه مقاله:
بین یارس، افزونهای برای نرمافزار Binary Ninja است که هدف اصلی آن، ادغام کامل ابزار YARA-X در محیط این برنامه است. YARA-X یک ابزار قدرتمند برای شناسایی و تحلیل فایلهای مخرب و بدافزارها است، و با افزودن آن به Binary Ninja، فرآیند بررسی و تحلیل فایلهای مشکوک بسیار سادهتر و سریعتر انجام میشود. این افزونه با فراهم کردن امکانات مشابه با نسخه اصل YARA-X، به تحلیلگران امنیت سایبری امکان میدهد تا دادههای پیچیدهتری را در زمان کمتری شناسایی کنند. به طور خلاصه، BinYars یک پل قوی و مفید است که از طریق ترکیب این دو ابزار، توانمندیهای تحلیل نرمافزارهای مخرب را به سطح جدیدی میرساند، و برای متخصصان امنیت اطلاعات که به دنبال راهکاری کارآمد و مؤثر هستند، بسیار ارزشمند است.
بین یارس، یک افزونه کاربردی است که با ادغام YARA-X در نرمافزار تحلیل باینری، کاربر را قادر میسازد تا به راحتی و با بهرهگیری از امکانات پیشرفته، فایلهای مشکوک را بررسی و شناسایی کند. این افزونه نه تنها فضای کاری را مرتب و کارآمدتر میکند، بلکه فرآیند تحلیل را سریعتر و دقیقتر میسازد. بنابراین، اگر در حوزه امنیت سایبری فعالیت میکنید و به دنبال ابزاری قدرتمند برای تشخیص نرمافزارهای مخرب هستید، بین یارس یک گزینه عالی و کمنظیر است که باید در مجموعه ابزارهای خود داشته باشید.
#امنیت_اطلاعات #YARAX #تحلیل_بدافزار #BinaryNinja
🟣لینک مقاله:
https://github.com/xorhex/BinYars?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GitHub
GitHub - xorhex/BinYars: Binary Ninja YARA-X Plugin
Binary Ninja YARA-X Plugin. Contribute to xorhex/BinYars development by creating an account on GitHub.
🔵 عنوان مقاله
Boost Your Exploratory Testing — One Tool To Rule Them All
🟢 خلاصه مقاله:
برای بهبود تست اکتشافی خود، استفاده از یک ابزار جامع و قدرتمند اهمیت زیادی دارد. یکی از ابزارهای محبوب و کارآمد در این زمینه، افزونه مرورگر BugMagnet است که در مدت زمان کوتاهی میتواند تأثیر قابل توجهی در روند تستهای شما داشته باشد. اگر هنوز با این افزونه آشنا نیستید، کاوش در این ابزار ارزشمند میتواند پاسخ بسیاری از سوالات شما درباره چگونگی تست مؤثر وبسایتها باشد.
در این ویدیوی هشتدقیقهای، دانیل نات توضیح میدهد که چگونه این افزونه میتواند نقش راهنمایی بینظیر در فرآیند تستهای اکتشافی بازی کند. با استفاده از BugMagnet، میتوانید با یک ابزار قدرتمند، مجموعهای از سناریوهای آزمایشی مختلف را به سرعت اجرا کنید و خطاهای احتمالی را سریعتر و دقیقتر شناسایی کنید. این افزونه به توسعهدهندگان و بازرسان کیفیت امکان میدهد تمرکز خود را بر گفتگوهای بحرانی بیشتر کرده و زمان صرف شده برای آزمایشهای تکراری را کاهش دهند.
در نهایت، بهرهگیری از ابزارهای یکپارچه مانند BugMagnet نه تنها کیفیت تستها را بهبود میبخشد بلکه فرآیند را بسیار کارآمدتر میکند. بنابراین، اگر قصد دارید فرآیند تستهای اکتشافی خود را سطح جدیدی ببرید، معطوف کردن توجه به چنین ابزارهایی امری حیاتی است که ارزش امتحان کردن را دارد.
#تست_وب #ابزارهای_تست #کیفیت_توسعه #BugMagnet
🟣لینک مقاله:
https://cur.at/eJzKkUy?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Boost Your Exploratory Testing — One Tool To Rule Them All
🟢 خلاصه مقاله:
برای بهبود تست اکتشافی خود، استفاده از یک ابزار جامع و قدرتمند اهمیت زیادی دارد. یکی از ابزارهای محبوب و کارآمد در این زمینه، افزونه مرورگر BugMagnet است که در مدت زمان کوتاهی میتواند تأثیر قابل توجهی در روند تستهای شما داشته باشد. اگر هنوز با این افزونه آشنا نیستید، کاوش در این ابزار ارزشمند میتواند پاسخ بسیاری از سوالات شما درباره چگونگی تست مؤثر وبسایتها باشد.
در این ویدیوی هشتدقیقهای، دانیل نات توضیح میدهد که چگونه این افزونه میتواند نقش راهنمایی بینظیر در فرآیند تستهای اکتشافی بازی کند. با استفاده از BugMagnet، میتوانید با یک ابزار قدرتمند، مجموعهای از سناریوهای آزمایشی مختلف را به سرعت اجرا کنید و خطاهای احتمالی را سریعتر و دقیقتر شناسایی کنید. این افزونه به توسعهدهندگان و بازرسان کیفیت امکان میدهد تمرکز خود را بر گفتگوهای بحرانی بیشتر کرده و زمان صرف شده برای آزمایشهای تکراری را کاهش دهند.
در نهایت، بهرهگیری از ابزارهای یکپارچه مانند BugMagnet نه تنها کیفیت تستها را بهبود میبخشد بلکه فرآیند را بسیار کارآمدتر میکند. بنابراین، اگر قصد دارید فرآیند تستهای اکتشافی خود را سطح جدیدی ببرید، معطوف کردن توجه به چنین ابزارهایی امری حیاتی است که ارزش امتحان کردن را دارد.
#تست_وب #ابزارهای_تست #کیفیت_توسعه #BugMagnet
🟣لینک مقاله:
https://cur.at/eJzKkUy?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Rethinking how we use AI in testing
🟢 خلاصه مقاله:
در دنیای فناوری امروز، استفاده از هوش مصنوعی در فرآیندهای آزمون و ارزیابی بسیار رایج شده است. این فناوری توانسته است در صرفهجویی در زمان و افزایش دقت نتایج نقش مؤثری ایفا کند، بهطوری که بسیاری معتقدند آیندهٔ روشهای تست نرمافزار با تکیه بر هوش مصنوعی مستحکمتر خواهد شد. اما در این میان، نکته مهمی که باید به آن توجه کنیم، ارزش قائلشدن برای قضاوت و تحلیلهای انسانی است. کنستانتینوس کنستانتاکوپولوس تأکید میکند که نباید نقش انسان در فرآیندهای تست فراموش شود، زیرا عوامل انسانی همچنان در شناسایی خطاها و تصمیمگیریهای حیاتی ضرورت دارند.
استفاده بیوقفه و بیچونوچرای از هوش مصنوعی بدون در نظر گرفتن مزایای تحلیل انسانی ممکن است منجر به کاهش دقت و نادیده گرفتن جزئیات مهم شود. در حالی که فناوریهای هوشمند میتوانند بخش بزرگی از فرآیندهای تکراری و محاسباتی را انجام دهند، اما در تشخیص ناهنجاریهای پیچیده، درک زمینهای و تصمیمگیریهای استراتژیک، انسان نقش بینظیری دارد. بنابراین، بهترین رویکرد این است که از هوش مصنوعی به عنوان ابزار کمکی بهرهمند شویم که با نظارت و ارزیابی انسانی، بالاترین سطح از دقت، اطمینان و کارایی را تضمین کند.
در نتیجه، بازنگری در نحوهٔ بهکارگیری هوش مصنوعی در فرآیندهای آزمایش و ارزیابی، نیازمند تعادل مناسب بین فناوری و انسان است. پیگیری این تعادل میتواند به افزایش کیفیت نتایج و کاهش خطاهای احتمالی کمک کند و در نهایت منجر به توسعهٔ روشهای تست مطمئنتر و کارآمدتر شود. از این رو، اهمیت دارد که در تمامی مراحل، ارزش و نقش انسانی را کنار فناوری حس کنیم و از آن بهرهمند شویم.
#هوش_مصنوعی #تست_نرمافزار #تحلیل_انسانی #نوآوری
🟣لینک مقاله:
https://cur.at/rCqCWqv?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Rethinking how we use AI in testing
🟢 خلاصه مقاله:
در دنیای فناوری امروز، استفاده از هوش مصنوعی در فرآیندهای آزمون و ارزیابی بسیار رایج شده است. این فناوری توانسته است در صرفهجویی در زمان و افزایش دقت نتایج نقش مؤثری ایفا کند، بهطوری که بسیاری معتقدند آیندهٔ روشهای تست نرمافزار با تکیه بر هوش مصنوعی مستحکمتر خواهد شد. اما در این میان، نکته مهمی که باید به آن توجه کنیم، ارزش قائلشدن برای قضاوت و تحلیلهای انسانی است. کنستانتینوس کنستانتاکوپولوس تأکید میکند که نباید نقش انسان در فرآیندهای تست فراموش شود، زیرا عوامل انسانی همچنان در شناسایی خطاها و تصمیمگیریهای حیاتی ضرورت دارند.
استفاده بیوقفه و بیچونوچرای از هوش مصنوعی بدون در نظر گرفتن مزایای تحلیل انسانی ممکن است منجر به کاهش دقت و نادیده گرفتن جزئیات مهم شود. در حالی که فناوریهای هوشمند میتوانند بخش بزرگی از فرآیندهای تکراری و محاسباتی را انجام دهند، اما در تشخیص ناهنجاریهای پیچیده، درک زمینهای و تصمیمگیریهای استراتژیک، انسان نقش بینظیری دارد. بنابراین، بهترین رویکرد این است که از هوش مصنوعی به عنوان ابزار کمکی بهرهمند شویم که با نظارت و ارزیابی انسانی، بالاترین سطح از دقت، اطمینان و کارایی را تضمین کند.
در نتیجه، بازنگری در نحوهٔ بهکارگیری هوش مصنوعی در فرآیندهای آزمایش و ارزیابی، نیازمند تعادل مناسب بین فناوری و انسان است. پیگیری این تعادل میتواند به افزایش کیفیت نتایج و کاهش خطاهای احتمالی کمک کند و در نهایت منجر به توسعهٔ روشهای تست مطمئنتر و کارآمدتر شود. از این رو، اهمیت دارد که در تمامی مراحل، ارزش و نقش انسانی را کنار فناوری حس کنیم و از آن بهرهمند شویم.
#هوش_مصنوعی #تست_نرمافزار #تحلیل_انسانی #نوآوری
🟣لینک مقاله:
https://cur.at/rCqCWqv?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Ministry of Testing
Back to the basics: Rethinking how we use AI in testing
Identify blind spots created by AI-driven testing and prevent false confidence in testing outcomes
🔵 عنوان مقاله
China-Linked Hackers Exploit VMware ESXi Zero-Days to Escape Virtual Machines (4 minute read)
🟢 خلاصه مقاله:
چینیتبارهای هکر با بهرهبرداری از آسیبپذیریهای صفرروز در VMware ESXi، موفق به شکستن ایزولهسازی ماشینهای مجازی شده و کنترل کامل بر هایپروایزر را به دست آوردهاند. این گروه تهدید، با استفاده از سه آسیبپذیری شناختهشده با شناسههای CVE-2025-22224، CVE-2025-22225 و CVE-2025-22226، توانسته است لایههای امنیتی را نفوذ کرده و از محیطهای مجازی عبور کند. مدارک موجود نشان میدهد که ابزارهای بهرهبرداری از این آسیبپذیریها، از اوایل فوریه ۲۰۲۴ توسعه یافته بودند؛ یعنی بیش از یک سال قبل از زمانی که شرکت برودکام در مارس ۲۰۲۵، این ثبات امنیتی را اعلام کرده بود.
در این حمله چندمرحلهای، مهاجمان ابتدا با بهرهبرداری از یک VPN مخرب از نوع SonicWall وارد شبکه هدف شدند و پس از نفوذ اولیه، ابزارهای مخرب مانند پسورد بکدرور VSOCKpuppet را نصب کردند. این نرمافزار مخرب از طریق ارتباط با سیستمهای مجازی، صحنههای پیچیدهتری از فعالیتهای مخرب را امکانپذیر میسازد. این نوع حملات نشان میدهد که مهاجمان چینی، با بهرهگیری از ضعفهای امنیتی در زیرساختهای مجازی، دسترسیهای عمیقی به سامانههای هدف یافته و در پی آن هستند که کنترل کامل بر محیطهای مجازی را در دست گیرند.
این خبر هشدار مهمی برای شرکتها و سازمانهایی است که از فناوریهای مجازی در زیرساختهای خود استفاده میکنند، چرا که آسیبپذیریهای روز صفر میتواند راه را برای نفوذهای مخرب و سرقتهای اطلاعاتی هموار سازد. بررسیهای بیشتر نشان میدهد که توسعه این ابزارهای مخرب، به نظر میرسد از مدتها قبل و به صورت پیشرفتهتری دنبال شده است، که نگرانیهایی درباره سطح آمادگی و امنیت سیستمهای مجازی را برانگیخته است.
در نتیجه، ضروری است شرکتها و مدیران فناوری اطلاعات با توجه به خطراتی که چنین حملاتی به همراه دارند، اقدامات امنیتی گستردهتری اتخاذ کنند و سیستمهای خود را بهروزرسانی کرده و تدابیر ضدنفوذ و فایروالهای قدرتمند را تقویت نمایند تا از بروز حوادث فاجعهآمیز جلوگیری شود.
#امنیت_شبکه #حملات_سایبری #آسیبپذیری_صفرروز #مجازیسازی
🟣لینک مقاله:
https://thehackernews.com/2026/01/chinese-linked-hackers-exploit-vmware.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
China-Linked Hackers Exploit VMware ESXi Zero-Days to Escape Virtual Machines (4 minute read)
🟢 خلاصه مقاله:
چینیتبارهای هکر با بهرهبرداری از آسیبپذیریهای صفرروز در VMware ESXi، موفق به شکستن ایزولهسازی ماشینهای مجازی شده و کنترل کامل بر هایپروایزر را به دست آوردهاند. این گروه تهدید، با استفاده از سه آسیبپذیری شناختهشده با شناسههای CVE-2025-22224، CVE-2025-22225 و CVE-2025-22226، توانسته است لایههای امنیتی را نفوذ کرده و از محیطهای مجازی عبور کند. مدارک موجود نشان میدهد که ابزارهای بهرهبرداری از این آسیبپذیریها، از اوایل فوریه ۲۰۲۴ توسعه یافته بودند؛ یعنی بیش از یک سال قبل از زمانی که شرکت برودکام در مارس ۲۰۲۵، این ثبات امنیتی را اعلام کرده بود.
در این حمله چندمرحلهای، مهاجمان ابتدا با بهرهبرداری از یک VPN مخرب از نوع SonicWall وارد شبکه هدف شدند و پس از نفوذ اولیه، ابزارهای مخرب مانند پسورد بکدرور VSOCKpuppet را نصب کردند. این نرمافزار مخرب از طریق ارتباط با سیستمهای مجازی، صحنههای پیچیدهتری از فعالیتهای مخرب را امکانپذیر میسازد. این نوع حملات نشان میدهد که مهاجمان چینی، با بهرهگیری از ضعفهای امنیتی در زیرساختهای مجازی، دسترسیهای عمیقی به سامانههای هدف یافته و در پی آن هستند که کنترل کامل بر محیطهای مجازی را در دست گیرند.
این خبر هشدار مهمی برای شرکتها و سازمانهایی است که از فناوریهای مجازی در زیرساختهای خود استفاده میکنند، چرا که آسیبپذیریهای روز صفر میتواند راه را برای نفوذهای مخرب و سرقتهای اطلاعاتی هموار سازد. بررسیهای بیشتر نشان میدهد که توسعه این ابزارهای مخرب، به نظر میرسد از مدتها قبل و به صورت پیشرفتهتری دنبال شده است، که نگرانیهایی درباره سطح آمادگی و امنیت سیستمهای مجازی را برانگیخته است.
در نتیجه، ضروری است شرکتها و مدیران فناوری اطلاعات با توجه به خطراتی که چنین حملاتی به همراه دارند، اقدامات امنیتی گستردهتری اتخاذ کنند و سیستمهای خود را بهروزرسانی کرده و تدابیر ضدنفوذ و فایروالهای قدرتمند را تقویت نمایند تا از بروز حوادث فاجعهآمیز جلوگیری شود.
#امنیت_شبکه #حملات_سایبری #آسیبپذیری_صفرروز #مجازیسازی
🟣لینک مقاله:
https://thehackernews.com/2026/01/chinese-linked-hackers-exploit-vmware.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
On getting started with mutation testing
🟢 خلاصه مقاله:
آغاز به کار با آزمون جهش
اگرچه آزمون جهش چندان رایج نیست، اما میتواند ابزاری قدرتمند برای ارزیابی مقاومت آزمایشهای شما و بررسی فرضیات درباره رفتار سیستم باشد. این روش میزان توانایی آزمایشها در تشخیص تغییرات و خطاهای ناشی از اصلاحات کوچک در کد را میسنجد و به توسعهدهندگان کمک میکند تا نقاط ضعف در مجموعه آزمایشهای خود را شناسایی و برطرف کنند. در واقع، آزمون جهش به عنوان یک فرایند پیشرفتهتر در فرآیند تضمین کیفیت نرمافزار، نقش مهمی در بهبود مستمر کیفیت و اطمینان از صحت سیستم دارد.
برای درک بهتر این موضوع، بیل دجیستر—a یکی از پیشگامان در حوزه توسعه نرمافزار—یک مرور کلی و سطح بالا درباره آزمون جهش ارائه داده است. این مروری است که تمامی جنبههای اصلی و مزایای این روش را به طور روشن و قابل فهم بیان میکند و راهنمای مناسبی برای شروع کار با این تکنیک محسوب میشود. در ادامه، با بررسی این مفاهیم و روشها بیشتر آشنا میشویم تا بتوانیم از ظرفیتهای آزمون جهش به بهترین شکل بهرهمند شویم.
#آزمون_جهش #کیفیت_نرمافزار #توسعه_مستمر #امنیت_نرمافزار
🟣لینک مقاله:
https://cur.at/pyPaatz?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
On getting started with mutation testing
🟢 خلاصه مقاله:
آغاز به کار با آزمون جهش
اگرچه آزمون جهش چندان رایج نیست، اما میتواند ابزاری قدرتمند برای ارزیابی مقاومت آزمایشهای شما و بررسی فرضیات درباره رفتار سیستم باشد. این روش میزان توانایی آزمایشها در تشخیص تغییرات و خطاهای ناشی از اصلاحات کوچک در کد را میسنجد و به توسعهدهندگان کمک میکند تا نقاط ضعف در مجموعه آزمایشهای خود را شناسایی و برطرف کنند. در واقع، آزمون جهش به عنوان یک فرایند پیشرفتهتر در فرآیند تضمین کیفیت نرمافزار، نقش مهمی در بهبود مستمر کیفیت و اطمینان از صحت سیستم دارد.
برای درک بهتر این موضوع، بیل دجیستر—a یکی از پیشگامان در حوزه توسعه نرمافزار—یک مرور کلی و سطح بالا درباره آزمون جهش ارائه داده است. این مروری است که تمامی جنبههای اصلی و مزایای این روش را به طور روشن و قابل فهم بیان میکند و راهنمای مناسبی برای شروع کار با این تکنیک محسوب میشود. در ادامه، با بررسی این مفاهیم و روشها بیشتر آشنا میشویم تا بتوانیم از ظرفیتهای آزمون جهش به بهترین شکل بهرهمند شویم.
#آزمون_جهش #کیفیت_نرمافزار #توسعه_مستمر #امنیت_نرمافزار
🟣لینک مقاله:
https://cur.at/pyPaatz?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
On Test Automation
On getting started with mutation testing
As members of a software development team, we spend a lot of time building products that our end users (hopefully) enjoy using. We also spend a significant amount of time performing testing on these products, as well as on writing automation to support that…
🔵 عنوان مقاله
How QA Mindset Improves DevOps Reliability
🟢 خلاصه مقاله:
وقتی صحبت از بهبود قابلیت اطمینان در سازمانهای توسعه نرمافزار و عملیاتهای فناوری اطلاعات میشود، نگرش کیفیت یا همان "ذهنیت تضمین کیفیت" نقش کلیدی دارد. این دیدگاه باعث میشود تیمها نه تنها مشکلات را پس از وقوع، بلکه پیش از آن شناسایی و کاهش دهند، و در نتیجه استحکام و کارایی فرایندهای توسعه و عملیات را ارتقا دهند.
شاید شما هم به دنبال راههایی هستید که بتوانید اصول آزمایشهای سمت راست (shift-right testing) را در شرکت خود پیادهسازی کنید. این رویکرد به معنای تمرکز بیشتر بر آزمایشها در محیطهای عملیاتی و پس از استقرار نرمافزار است، تا بتوان از بروز خطاهای غیرمنتظره در دنیای واقعی جلوگیری کرد. آرتور بوروف، متخصص در این حوزه، نمونههایی مانند مهندسی آشوب (chaos engineering)، نظارت مصنوعی (synthetic monitoring)، تست قراردادها، و سایر روشهای نوین را برای تقویت اطمینان و پایایی سیستمها ارائه میدهد.
در این مقاله، نگاهی عمیقتر به چگونگی بهرهمندی از این تکنیکها و نگرشها دارد تا بتوانید در مسیر بهبود فراگیر و مستمر کیفیت محصول و خدمات خود گام بردارید. پیادهسازی چنین استراتژیهایی نیازمند تغییر در فرهنگ سازمانی و تمرکز بر آزمایشهای پیشگیرانه است تا سیستمهای موثرتری بسازید که در برابر خطاها مقاومتر باشند.
#کیفیت_تضمین #DevOps #آزمایش_پیشرفته #امنیت_نرمافزار
🟣لینک مقاله:
https://cur.at/eiFF4vI?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
How QA Mindset Improves DevOps Reliability
🟢 خلاصه مقاله:
وقتی صحبت از بهبود قابلیت اطمینان در سازمانهای توسعه نرمافزار و عملیاتهای فناوری اطلاعات میشود، نگرش کیفیت یا همان "ذهنیت تضمین کیفیت" نقش کلیدی دارد. این دیدگاه باعث میشود تیمها نه تنها مشکلات را پس از وقوع، بلکه پیش از آن شناسایی و کاهش دهند، و در نتیجه استحکام و کارایی فرایندهای توسعه و عملیات را ارتقا دهند.
شاید شما هم به دنبال راههایی هستید که بتوانید اصول آزمایشهای سمت راست (shift-right testing) را در شرکت خود پیادهسازی کنید. این رویکرد به معنای تمرکز بیشتر بر آزمایشها در محیطهای عملیاتی و پس از استقرار نرمافزار است، تا بتوان از بروز خطاهای غیرمنتظره در دنیای واقعی جلوگیری کرد. آرتور بوروف، متخصص در این حوزه، نمونههایی مانند مهندسی آشوب (chaos engineering)، نظارت مصنوعی (synthetic monitoring)، تست قراردادها، و سایر روشهای نوین را برای تقویت اطمینان و پایایی سیستمها ارائه میدهد.
در این مقاله، نگاهی عمیقتر به چگونگی بهرهمندی از این تکنیکها و نگرشها دارد تا بتوانید در مسیر بهبود فراگیر و مستمر کیفیت محصول و خدمات خود گام بردارید. پیادهسازی چنین استراتژیهایی نیازمند تغییر در فرهنگ سازمانی و تمرکز بر آزمایشهای پیشگیرانه است تا سیستمهای موثرتری بسازید که در برابر خطاها مقاومتر باشند.
#کیفیت_تضمین #DevOps #آزمایش_پیشرفته #امنیت_نرمافزار
🟣لینک مقاله:
https://cur.at/eiFF4vI?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
How QA Mindset Improves DevOps Reliability
DevOps teams obsess over velocity. But velocity without reliability is just organized chaos delivering faster failures. After observing…
🔵 عنوان مقاله
MuddyWater Launches RustyWater RAT via Spear-Phishing Across Middle East Sectors (2 minute read)
🟢 خلاصه مقاله:
گروه تهدید ایرانی MuddyWater اخیراً حملات فیشینگ هدفمند(سپر فیشینگ) را در میان بخشهای مختلف خاورمیانه انجام داده است. این گروه از یک نفوذ جدید به نام RustyWater بهره برده که بر پایه زبان برنامهنویسی Rust ساخته شده است. RustyWater، که همچنین با نامهای Archer RAT یا RUSTRIC شناخته میشود، در قالب فایلهای Word مخرب همراه با ماکروهای VBA ارسال میگردد. این بدافزار پس از اجرا، در رجیستری سیستمها باقی میماند و توانایی ارتباط همزمان و بیوقفه با سرورهای فرمان و کنترل (C2) را برای انتقال فایلها و اجرای دستورات دارد.
این حملات هدفمند، با هدف نفوذ به نهادهای دیپلماتیک، دریایی، مالی و مخابرات در منطقه خاورمیانه صورت گرفته است. استفاده از تکنولوژیهای پیشرفته و طراحی هوشمندانه در این بدافزار نشاندهنده تمرکز گروه MuddyWater بر روی بهرهبرداری پنهان و مداوم است. آنها با بهرهگیری از فناوری Rust، که برای عملکرد سریع و امن شناخته میشود، موفق شدهاند راهکاری مقاوم و پایدار برای کنترل و نفوذ در سیستمهای هدف ایجاد کنند و از تشخیص زودهنگام جلوگیری کنند.
این روند نشان میدهد که گروه MuddyWater همچنان در حال تکامل است و روشهای جدید و پیچیدهتری را برای نفوذ و کنترل سیستمها توسعه میدهد. این هشدار مهمی برای نهادهای امنیتی و سازمانهای حساس است که باید به روزرسانیهای امنیتی و اقدامات پیشگیرانه را در اولویت قرار دهند تا از نفوذهای مشابه جلوگیری شود.
#امنیت_سایبری #گروه_MuddyWater #نفوذ_هدفمند #خاورمیانه
🟣لینک مقاله:
https://thehackernews.com/2026/01/muddywater-launches-rustywater-rat-via.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
MuddyWater Launches RustyWater RAT via Spear-Phishing Across Middle East Sectors (2 minute read)
🟢 خلاصه مقاله:
گروه تهدید ایرانی MuddyWater اخیراً حملات فیشینگ هدفمند(سپر فیشینگ) را در میان بخشهای مختلف خاورمیانه انجام داده است. این گروه از یک نفوذ جدید به نام RustyWater بهره برده که بر پایه زبان برنامهنویسی Rust ساخته شده است. RustyWater، که همچنین با نامهای Archer RAT یا RUSTRIC شناخته میشود، در قالب فایلهای Word مخرب همراه با ماکروهای VBA ارسال میگردد. این بدافزار پس از اجرا، در رجیستری سیستمها باقی میماند و توانایی ارتباط همزمان و بیوقفه با سرورهای فرمان و کنترل (C2) را برای انتقال فایلها و اجرای دستورات دارد.
این حملات هدفمند، با هدف نفوذ به نهادهای دیپلماتیک، دریایی، مالی و مخابرات در منطقه خاورمیانه صورت گرفته است. استفاده از تکنولوژیهای پیشرفته و طراحی هوشمندانه در این بدافزار نشاندهنده تمرکز گروه MuddyWater بر روی بهرهبرداری پنهان و مداوم است. آنها با بهرهگیری از فناوری Rust، که برای عملکرد سریع و امن شناخته میشود، موفق شدهاند راهکاری مقاوم و پایدار برای کنترل و نفوذ در سیستمهای هدف ایجاد کنند و از تشخیص زودهنگام جلوگیری کنند.
این روند نشان میدهد که گروه MuddyWater همچنان در حال تکامل است و روشهای جدید و پیچیدهتری را برای نفوذ و کنترل سیستمها توسعه میدهد. این هشدار مهمی برای نهادهای امنیتی و سازمانهای حساس است که باید به روزرسانیهای امنیتی و اقدامات پیشگیرانه را در اولویت قرار دهند تا از نفوذهای مشابه جلوگیری شود.
#امنیت_سایبری #گروه_MuddyWater #نفوذ_هدفمند #خاورمیانه
🟣لینک مقاله:
https://thehackernews.com/2026/01/muddywater-launches-rustywater-rat-via.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Run. Learn. Code. — AI That Writes Your Test
🟢 خلاصه مقاله:
در دنیای امروز، سرعت و دقت در فرآیندهای تست نرمافزار اهمیت زیادی پیدا کرده است. آقای آلپر اونال نشان میدهد چگونه با بهرهگیری از روشهای مدرن و بهترین شیوهها، فرآیند تولید خودکار تستهای مبتنی بر هوش مصنوعی را بهبود بخشیدند. او با استفاده از تکنیکهایی مانند صفحههای مدلسازی (POM)، معماری چند لایه (MDC)، و زبانهای دامنه خاص (DSL)، موفق شدند تستها را به شکل کارآمد و هوشمندانهای تولید کنند. این روشها نه تنها سبب کاهش خطاها و زمان اجرای تستها میشوند، بلکه قابلیت توسعه و نگهداری آنها را نیز به طور چشمگیری افزایش میدهند.
در این مقاله، نشان میدهیم که چگونه ترکیب این تکنیکها، فرآیند اتوماسیون و هوشمندسازی تستها را به سطح جدیدی ارتقاء میدهد. استفاده از استانداردهای معتبر و بهترین شیوهها در توسعه آزمونها، تضمین میکند که نرمافزار با کیفیت، سریع و مطمئن ارائه شود. این رویکرد نوآورانه به تیمهای توسعه کمک میکند تا بهرهوری بالا و خطای کمتر داشته باشند، و توانایی اجرای سریعتر و موثرتر تستها را داشته باشند.
در نتیجه، با بهکارگیری این استراتژیها و ابزارهای پیشرفته، میتوان فرآیند تست را تا حد زیادی خودکار و بهینه ساخت. این کار باعث صرفهجویی در زمان، کاهش هزینهها، و افزایش دقت در تستهای نرمافزاری میشود. به طور خلاصه، هوش مصنوعی و بهترین شیوههای توسعه تست، آیندهای هوشمندانهتر و کارآمدتر را برای صنعت نرمافزار رقم میزنند.
#توسعه_نرمافزار #هوش_مصنوعی #تست_خودکار #بهبود_کیفیت
🟣لینک مقاله:
https://cur.at/xBBogAm?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Run. Learn. Code. — AI That Writes Your Test
🟢 خلاصه مقاله:
در دنیای امروز، سرعت و دقت در فرآیندهای تست نرمافزار اهمیت زیادی پیدا کرده است. آقای آلپر اونال نشان میدهد چگونه با بهرهگیری از روشهای مدرن و بهترین شیوهها، فرآیند تولید خودکار تستهای مبتنی بر هوش مصنوعی را بهبود بخشیدند. او با استفاده از تکنیکهایی مانند صفحههای مدلسازی (POM)، معماری چند لایه (MDC)، و زبانهای دامنه خاص (DSL)، موفق شدند تستها را به شکل کارآمد و هوشمندانهای تولید کنند. این روشها نه تنها سبب کاهش خطاها و زمان اجرای تستها میشوند، بلکه قابلیت توسعه و نگهداری آنها را نیز به طور چشمگیری افزایش میدهند.
در این مقاله، نشان میدهیم که چگونه ترکیب این تکنیکها، فرآیند اتوماسیون و هوشمندسازی تستها را به سطح جدیدی ارتقاء میدهد. استفاده از استانداردهای معتبر و بهترین شیوهها در توسعه آزمونها، تضمین میکند که نرمافزار با کیفیت، سریع و مطمئن ارائه شود. این رویکرد نوآورانه به تیمهای توسعه کمک میکند تا بهرهوری بالا و خطای کمتر داشته باشند، و توانایی اجرای سریعتر و موثرتر تستها را داشته باشند.
در نتیجه، با بهکارگیری این استراتژیها و ابزارهای پیشرفته، میتوان فرآیند تست را تا حد زیادی خودکار و بهینه ساخت. این کار باعث صرفهجویی در زمان، کاهش هزینهها، و افزایش دقت در تستهای نرمافزاری میشود. به طور خلاصه، هوش مصنوعی و بهترین شیوههای توسعه تست، آیندهای هوشمندانهتر و کارآمدتر را برای صنعت نرمافزار رقم میزنند.
#توسعه_نرمافزار #هوش_مصنوعی #تست_خودکار #بهبود_کیفیت
🟣لینک مقاله:
https://cur.at/xBBogAm?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
Run. Learn. Code. — AI That Writes Your Test
How our QA team at InsiderOne turned BrowserStack executions into Python tests and reclaimed 15–18 hours of engineering time every week.
🔵 عنوان مقاله
Cypress Dependencies Through A Docker Image
🟢 خلاصه مقاله:
برای بهبود سرعت فرآیندهای تست و توسعه، یکی از روشهای موثر استفاده از کش کردن وابستگیها در داخل یک تصویر داکر است. گلب بهموفوتوف در مقالهای جامع، راهنمای گام به گام ارائه میدهد که چگونه میتوان با ساختن یک تصویر داکر حاوی تمامی وابستگیهای لازم، فرآیند نصب و دانلود این فایلها را در زمان اجرای تستها کاهش داد. این نگرش، به ویژه برای تیمهایی که از Cypress در عملیاتهای Continuous Integration (CI) خود بهره میبرند، بسیار کاربردی است؛ زیرا باعث صرفهجویی قابل توجه در زمان و منابع میشود و کارایی کلی فرآیند آزمایش را افزایش میدهد.
در این مقاله، گلب جزئیات فنی لازم برای ساختن و بهکارگیری یک تصویر داکر مناسب با وابستگیهای مورد نیاز پروژه را شرح میدهد. او نکات کلیدی مربوط به کش کردن پوشههای مربوط به نصب و نصب مجدد بستهها، نحوه مدیریت نسخههای مختلف و بهروزرسانیهای آنها، و روش ادغام این روش در محیطهای CI را توضیح میدهد. هدف نهایی این است که با کاهش چشمگیر زمان مورد نیاز برای راهاندازی محیط، بتوانید تمرکز بیشتری بر توسعه و اصلاح خطاهای نرمافزاری داشته باشید.
در مجموع، مطالعه این راهنما به تیمهای توسعه و تست کمک میکند تا با بهرهگیری از تصاویر داکر بهینه، فرآیندهای خود را سریعتر، مطمئنتر و مقیاسپذیرتر کنند. این روش نه تنها کارایی آزمایشهای Cypress را افزایش میدهد بلکه باعث صرفهجویی در زمان و منابع میشود و فرآیندهای DevOps را روانتر میسازد.
#توسعه_سریع #Cypress #Docker #DevOps
🟣لینک مقاله:
https://cur.at/GSC45XC?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Cypress Dependencies Through A Docker Image
🟢 خلاصه مقاله:
برای بهبود سرعت فرآیندهای تست و توسعه، یکی از روشهای موثر استفاده از کش کردن وابستگیها در داخل یک تصویر داکر است. گلب بهموفوتوف در مقالهای جامع، راهنمای گام به گام ارائه میدهد که چگونه میتوان با ساختن یک تصویر داکر حاوی تمامی وابستگیهای لازم، فرآیند نصب و دانلود این فایلها را در زمان اجرای تستها کاهش داد. این نگرش، به ویژه برای تیمهایی که از Cypress در عملیاتهای Continuous Integration (CI) خود بهره میبرند، بسیار کاربردی است؛ زیرا باعث صرفهجویی قابل توجه در زمان و منابع میشود و کارایی کلی فرآیند آزمایش را افزایش میدهد.
در این مقاله، گلب جزئیات فنی لازم برای ساختن و بهکارگیری یک تصویر داکر مناسب با وابستگیهای مورد نیاز پروژه را شرح میدهد. او نکات کلیدی مربوط به کش کردن پوشههای مربوط به نصب و نصب مجدد بستهها، نحوه مدیریت نسخههای مختلف و بهروزرسانیهای آنها، و روش ادغام این روش در محیطهای CI را توضیح میدهد. هدف نهایی این است که با کاهش چشمگیر زمان مورد نیاز برای راهاندازی محیط، بتوانید تمرکز بیشتری بر توسعه و اصلاح خطاهای نرمافزاری داشته باشید.
در مجموع، مطالعه این راهنما به تیمهای توسعه و تست کمک میکند تا با بهرهگیری از تصاویر داکر بهینه، فرآیندهای خود را سریعتر، مطمئنتر و مقیاسپذیرتر کنند. این روش نه تنها کارایی آزمایشهای Cypress را افزایش میدهد بلکه باعث صرفهجویی در زمان و منابع میشود و فرآیندهای DevOps را روانتر میسازد.
#توسعه_سریع #Cypress #Docker #DevOps
🟣لینک مقاله:
https://cur.at/GSC45XC?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Better world by better software
Cypress Dependencies Through A Docker Image
If you are testing a website, the DEV dependencies do not change very often. You might bump Cypress version once in a while, add or upgrade a Cypress plugin, but in general the Node dependencies are c
Forwarded from AI Labdon
غیررسمی/ مدیر سایت سافت98 رو دستگیر کردنوبعد از 18 روز، دیروز با وثیقهی 5 میلیاردی آزاد شده.
DevTwitter
DevTwitter
🔵 عنوان مقاله
Tailsnitch (GitHub Repo)
🟢 خلاصه مقاله:
تایلسنیتش یک ابزار قدرتمند برای ارزیابی امنیتی پیکربندیهای تایلاسکیل است که در قالب یک مخزن گیتهاب ارائه شده است. این ابزار با اسکن شبکههای تایلنت، بیش از ۵۰ نوع پیکربندی نادرست، کنترلهای دسترسی بیشازحد آزاد، و نقضهای رعایت بهترین شیوههای امنیتی را در هفت دستهبندی مختلف شناسایی میکند. این دستهبندیها شامل مجوزهای کنترل دسترسی، کلیدهای احراز هویت، و میزان افشای شبکه است. هدف از توسعه چنین ابزاری، کمک به افراد و تیمهای فنی برای شناسایی و اصلاح سریع نقاط ضعف امنیتی در زیرساختهای خود است.
تایلسنیتش امکانات بسیار متنوعی ارائه میدهد تا کاربران بتوانند مطالعه دقیقتری بر وضعیت امنیتی خود داشته باشند. از جمله این امکانات میتوان به فیلترهای شدت خطر، حالت اصلاح تعاملی برای تصحیح سریع مشکلات، خروجی به فرمت JSON برای ادغام با فرآیندهای CI/CD، و امکان تولید شواهد مطابقت با استاندارد SOC 2 و نگاشتهای کنترل معیارهای عمومی اشاره کرد. این ویژگیها، ابزار را بسیار قدرتمند و کاربردی برای تیمهای امنیت سایبری و توسعهدهندگان زیرساختهای ابری ساخته است.
ارزیابیهای این ابزار از مسائلی حیاتی آغاز میشود، از مسائل بحرانی مانند مجوزهای پیشفرض "اجازه دهید" گرفته تا مواردی کماهمیتتر، به گونهای که تمامی تهدیدهای ممکن در مسیر حفاظت از دادهها و منابع شبکه شناسایی و مدیریت شوند. با بهرهگیری از تایلسنیتش، سازمانها قادر خواهند بود تا قبل از وقوع حملات سایبری جدی، آسیبپذیریهای خود را شناسایی و برطرف سازند و امنیت زیرساختهای خود را تضمین کنند.
#امنیتشبکه #تایلاسکیل #آزمون_امنیت #حفاظتسایبری
🟣لینک مقاله:
https://github.com/Adversis/tailsnitch?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Tailsnitch (GitHub Repo)
🟢 خلاصه مقاله:
تایلسنیتش یک ابزار قدرتمند برای ارزیابی امنیتی پیکربندیهای تایلاسکیل است که در قالب یک مخزن گیتهاب ارائه شده است. این ابزار با اسکن شبکههای تایلنت، بیش از ۵۰ نوع پیکربندی نادرست، کنترلهای دسترسی بیشازحد آزاد، و نقضهای رعایت بهترین شیوههای امنیتی را در هفت دستهبندی مختلف شناسایی میکند. این دستهبندیها شامل مجوزهای کنترل دسترسی، کلیدهای احراز هویت، و میزان افشای شبکه است. هدف از توسعه چنین ابزاری، کمک به افراد و تیمهای فنی برای شناسایی و اصلاح سریع نقاط ضعف امنیتی در زیرساختهای خود است.
تایلسنیتش امکانات بسیار متنوعی ارائه میدهد تا کاربران بتوانند مطالعه دقیقتری بر وضعیت امنیتی خود داشته باشند. از جمله این امکانات میتوان به فیلترهای شدت خطر، حالت اصلاح تعاملی برای تصحیح سریع مشکلات، خروجی به فرمت JSON برای ادغام با فرآیندهای CI/CD، و امکان تولید شواهد مطابقت با استاندارد SOC 2 و نگاشتهای کنترل معیارهای عمومی اشاره کرد. این ویژگیها، ابزار را بسیار قدرتمند و کاربردی برای تیمهای امنیت سایبری و توسعهدهندگان زیرساختهای ابری ساخته است.
ارزیابیهای این ابزار از مسائلی حیاتی آغاز میشود، از مسائل بحرانی مانند مجوزهای پیشفرض "اجازه دهید" گرفته تا مواردی کماهمیتتر، به گونهای که تمامی تهدیدهای ممکن در مسیر حفاظت از دادهها و منابع شبکه شناسایی و مدیریت شوند. با بهرهگیری از تایلسنیتش، سازمانها قادر خواهند بود تا قبل از وقوع حملات سایبری جدی، آسیبپذیریهای خود را شناسایی و برطرف سازند و امنیت زیرساختهای خود را تضمین کنند.
#امنیتشبکه #تایلاسکیل #آزمون_امنیت #حفاظتسایبری
🟣لینک مقاله:
https://github.com/Adversis/tailsnitch?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GitHub
GitHub - Adversis/tailsnitch: A security auditor for Tailscale configurations. Scans your tailnet for misconfigurations, overly…
A security auditor for Tailscale configurations. Scans your tailnet for misconfigurations, overly permissive access controls, and security best practice violations. - Adversis/tailsnitch
Software Engineer Labdon
Photo
#دون
واتساپ و رمزنگاری چی هستن که همیشه پاول دوروف داره در موردش حرف میزنه؟
چرا پیامها توی تلگرام میمونه و روی همهی دستگاهها میاد ولی توی واتساپ حذف میشه همشون؟
خب اول باید تعریف رمزنگاری E2EE یا end-to-end رو بدونید.
ساده بخوام بگم اینه که اطلاعات فقط توی مبدا و مقصد قابل خوندنه.
مثال
بدون رمزنگاری E2EE:
نامهمینویسی، میدی به پستچی، پستچی نامه رو باز میکنه و میخونه، در نهایت میفرسته برای مقصد.
با رمزنگاری E2EE:
نامهرو مینویسی، میذاری توی یه جعبه و قفلش میکنی، میدی به پستچی، پستچی دیگه نمیتونه بازش کنه، نامه رو میبره مقصد، دوستت با کلیدی که داره جعبه رو باز میکنه و نامه رو میخونه.
توی دنیای دیجیتال هم به همین صورته، پیام توی گوشی شما رمزنگاری میشه، ارسال میشه و تو راه کسی نمیتونه بخونتش، توی مقصد باز میشه و قابل خوندن میشه.
تو سال 2016 واتساپ اومد گفت که ما به شکل پیشفرض رمزنگاری E2EE (end-to-end) برای چتها، تماسها، گروهها و حتی بکآپها در نظر گرفتیم.
یعنی تمام اطلاعات شما رمزنگاری میشه و هیچ کس حتی خودمون بهش دسترسی نداریم.
خب راست میگن (به ظاهر)، چون کلید اون پیام رو ندارن که بخوان بخوننش.
پس واتساپ به محتوای پیامهای شما دسترسی نداره، ولی metadataها رو میخونه و قطعا نگهداری میکنه (و البته میفروشه)، متادیتاها میشه این که شما با کی، چه زمانی حرف زدی و امثال اینها.
از اونطرف، تلگرام به طور پیشفرض رمزنگاری E2EE نداره، یعنی همین پیامهای چنل، گروهها، چتها و غیره، همه توی سرورهای تلگرام ذخیره میشن و تلگرام بهش دسترسی داره، (البته که ادعا داره که از این دسترسی سوءاستفاده نمیکنه).
پس چرا تلگرام ادعاش میشه نسبت به واتساپ؟
خب چون تلگرام یک secret chat داره که E2EE واقعی داره.
یعنی چتهای شما همه قابل خوندن هستن جز اونهایی که secret chat هستن.
خب الان به این سوال پاسخ میدیم که چرا واتساپ چتها رو حذف میکنه و تلگرام نگهمیداره.
در واقع واتساپ چیزی رو حذف نمیکنه، صرفا نگهشون نمیداره،
چرا نگه نمیداره؟ به همون دلیل E2EE، پیامها اصلا توی سرورهای واتس اپ ذخیره نمیشن، اگرم ذخیره بشن بعد از این که شما توی یه دستگاه دیگه لاگین کردی، اون پیامها قابل رمزگشایی نیستن.
و ما دقیقا همین رو توی secret chat تلگرام هم میبینیم. پیامها توی secret chat توی چند تا دستگاه قابل مشاهده نیستن، بعد از لاگین مجدد پیامهای secret chat حذف شدن خودکار.
پس چیزی که همه ضعف واتساپ میدوننش، خود واتساپ نقطه قوت میدونتش.
البته که تلگرام هم توی بحث E2EE پیامی رو نگه نمیداره و چتهاتون نمیمونه، ولی کسی شاکی نیست ازش. چون فرد خودش انتخاب میکنه که پیامش رمزنگاری بشه یا نه. و اگر بخواد رمزنگاری بشه نمیتونه جای دیگه جز همون دستگاه بهش دسترسی داشته باشه.
چرا الان این بحث داغ شده دوباره؟
اخیرا یه شکایت جمعی علیه متا/واتساپ تو آمریکا مطرح شده که ادعا میکنه واتساپ علیرغم ادعاش، میتونه پیامها رو ذخیره کنه، تحلیل کنه و دسترسی داشته باشه.
پاول دوروف با پستی که توی X گذاشت و تایید ایلان ماسک، این خبر رو داغ تر کردن.
دوروف داره میگه ما مشکل امنیتی پیدا کردیم توی رمزنگاری واتساپ.
در حال حاضر واتساپ و سیگنال رمزنگاری E2EE پیشفرض دارن، تلگرام فقط در حالت Secret Chat این رمزنگاری رو داره.
لازمه بدونید ایتا، روبیکا و بله که من بررسی کردم کلا قابلیت secret chat و رمزنگاری E2EE رو ندارن.
DevTwitter
واتساپ و رمزنگاری چی هستن که همیشه پاول دوروف داره در موردش حرف میزنه؟
چرا پیامها توی تلگرام میمونه و روی همهی دستگاهها میاد ولی توی واتساپ حذف میشه همشون؟
خب اول باید تعریف رمزنگاری E2EE یا end-to-end رو بدونید.
ساده بخوام بگم اینه که اطلاعات فقط توی مبدا و مقصد قابل خوندنه.
مثال
بدون رمزنگاری E2EE:
نامهمینویسی، میدی به پستچی، پستچی نامه رو باز میکنه و میخونه، در نهایت میفرسته برای مقصد.
با رمزنگاری E2EE:
نامهرو مینویسی، میذاری توی یه جعبه و قفلش میکنی، میدی به پستچی، پستچی دیگه نمیتونه بازش کنه، نامه رو میبره مقصد، دوستت با کلیدی که داره جعبه رو باز میکنه و نامه رو میخونه.
توی دنیای دیجیتال هم به همین صورته، پیام توی گوشی شما رمزنگاری میشه، ارسال میشه و تو راه کسی نمیتونه بخونتش، توی مقصد باز میشه و قابل خوندن میشه.
تو سال 2016 واتساپ اومد گفت که ما به شکل پیشفرض رمزنگاری E2EE (end-to-end) برای چتها، تماسها، گروهها و حتی بکآپها در نظر گرفتیم.
یعنی تمام اطلاعات شما رمزنگاری میشه و هیچ کس حتی خودمون بهش دسترسی نداریم.
خب راست میگن (به ظاهر)، چون کلید اون پیام رو ندارن که بخوان بخوننش.
پس واتساپ به محتوای پیامهای شما دسترسی نداره، ولی metadataها رو میخونه و قطعا نگهداری میکنه (و البته میفروشه)، متادیتاها میشه این که شما با کی، چه زمانی حرف زدی و امثال اینها.
از اونطرف، تلگرام به طور پیشفرض رمزنگاری E2EE نداره، یعنی همین پیامهای چنل، گروهها، چتها و غیره، همه توی سرورهای تلگرام ذخیره میشن و تلگرام بهش دسترسی داره، (البته که ادعا داره که از این دسترسی سوءاستفاده نمیکنه).
پس چرا تلگرام ادعاش میشه نسبت به واتساپ؟
خب چون تلگرام یک secret chat داره که E2EE واقعی داره.
یعنی چتهای شما همه قابل خوندن هستن جز اونهایی که secret chat هستن.
خب الان به این سوال پاسخ میدیم که چرا واتساپ چتها رو حذف میکنه و تلگرام نگهمیداره.
در واقع واتساپ چیزی رو حذف نمیکنه، صرفا نگهشون نمیداره،
چرا نگه نمیداره؟ به همون دلیل E2EE، پیامها اصلا توی سرورهای واتس اپ ذخیره نمیشن، اگرم ذخیره بشن بعد از این که شما توی یه دستگاه دیگه لاگین کردی، اون پیامها قابل رمزگشایی نیستن.
و ما دقیقا همین رو توی secret chat تلگرام هم میبینیم. پیامها توی secret chat توی چند تا دستگاه قابل مشاهده نیستن، بعد از لاگین مجدد پیامهای secret chat حذف شدن خودکار.
پس چیزی که همه ضعف واتساپ میدوننش، خود واتساپ نقطه قوت میدونتش.
البته که تلگرام هم توی بحث E2EE پیامی رو نگه نمیداره و چتهاتون نمیمونه، ولی کسی شاکی نیست ازش. چون فرد خودش انتخاب میکنه که پیامش رمزنگاری بشه یا نه. و اگر بخواد رمزنگاری بشه نمیتونه جای دیگه جز همون دستگاه بهش دسترسی داشته باشه.
چرا الان این بحث داغ شده دوباره؟
اخیرا یه شکایت جمعی علیه متا/واتساپ تو آمریکا مطرح شده که ادعا میکنه واتساپ علیرغم ادعاش، میتونه پیامها رو ذخیره کنه، تحلیل کنه و دسترسی داشته باشه.
پاول دوروف با پستی که توی X گذاشت و تایید ایلان ماسک، این خبر رو داغ تر کردن.
دوروف داره میگه ما مشکل امنیتی پیدا کردیم توی رمزنگاری واتساپ.
در حال حاضر واتساپ و سیگنال رمزنگاری E2EE پیشفرض دارن، تلگرام فقط در حالت Secret Chat این رمزنگاری رو داره.
لازمه بدونید ایتا، روبیکا و بله که من بررسی کردم کلا قابلیت secret chat و رمزنگاری E2EE رو ندارن.
DevTwitter