תחומים - פורום חרדי מקצועי

בשביל מה להחזיק שרת SMTP? שהאפליקצייה עצמה תהיה השרת SMTP

אתה צריך לחקות את התהליך שעושה השרת smtp, כאילו אתה השרת.
אפשר אתה יכול להריץ בתוכנת swaks את זה ולראות מה רואים שם, בשביל למצוא את השרת מיילים שאליו צריך לשלוח את המייל, אתה צריך לתשאל את הDNS לרשומת MX.

הנה פקודה מקוצרת שמבצעת את הפעולה הזו של התשאול, כמובן שתחליף את הדומיין gmail.com לפי השרת שאתה רוצה לשלוח אליו (מה שמופיע אחרי ה-@)

swaks --to tzadik-tamim@gmail.com --server $(dig mx gmail.com +short | sort -r | cut -f 2 -d ' ' | head -n 1)

dig mx gmail.com +short מחזיר את רשומות הMX של gmail.com
sort -r מסדר אותם לפי הקדימות שגוגל קבעה להם (שחוזרת מהפקודה dig)
cut מחזיר את השדה השני, שזה הכתובת MX, הראשון זה הקדימות שגוגל קבעה
ו-head מחזיר את הכתובת הראשונה מהרשימה

@יוסף-בן-שמעון
בעיקרון כן, אבל גם נראה לי שהסיבה היא שזה אמצעי שיווקי יותר מהסיבה שזה לוקח להם משאבים.
בד"כ מקבלים אישור להשתמש בקופיילוט כמה ימים עד שבועיים מרגע הבקשה, אז מי שרוצה להשתמש בקופיילוט בסופו של דבר משתמש בו.

@avramk
זה נכון לכל שירות, שגם אם יש בו פרצה, אתה יכול לתת לתוכנות הגנה שונות למנוע אותה.

וכמו ש@dovid כתב, זאת לא באמת "פרצת אבטחה", זה שמישהו לא יודע להגדיר נכון את המסד נתונים שלו, ההבדל הוא שבמקום לשים הגדרה "האם לא להצפין את התעבורה", הם שמו הגדרה "האם כן להצפין את התעבורה", ובהנחה ולא הגדירו במיוחד שהתעבורה תהיה מוצפנת, זה מאוד קל לעשות כל העולה על רוחך (כמו שהייתי עד למישהו שהקים משתמש ע"י החלפה של השאילתא ששלח הקליינט לשרת)

עריכה:
בנוסף זה היה יכול להימנע אם היו נותנים לקליינט הרשאות רק למה שהוא צריך (מאחר והוא לא צריך להיות בעל הרשאה ליצור משתמשים), אבל שוב זה עניין של הגדרות.

@dovid
למנוע את הMITM זה מאוד פשוט, אבל זה לא מוגן בברירת מחדל, ומי שלא חושב על זה חושף את עצמו לMITM.

גם לא כתבתי על SQL SERVER פתוח לעולם, דיברתי על MITM, צריך בשביל זה גישה למתאם רשת של השרת SQL SERVER, בכה"ג זה מאוד פריץ.

@avramk
אז לא נראה לי שיש מה להשוות בין הפרצה של SQL SERVER לפרצה של RDP,
SQL SERVER נותן לך MITM שזאת פרצה במידה ואתה כבר יושב באותה רשת עם הSQL SERVER, אבל זאת פרצה מאוד פשוטה למימוש ומאוד מסוכנת.
RDP הוא יותר מצוי, אבל פחות פריץ, אז באופן כללי מי שיש לו RDP פתוח לרשת החיצונית חשוף יותר לסכנות, אבל כמו שכתבת, צריך בשביל זה לנסות הרבה סיסמאות, והפרוטוקול עצמו כן מונע במידת מה את הפריצות האלה ע"י השהיה בין ניסיון לניסיון, ובשביל לעקוף את זה צריך פרצת אבטחה שכרגע אין.

@avramk
יש לך פרצה ואתה לא רוצה לפרסם?
אחרת אני לא מבין מה הנקודה שהאימות שלו גרוע, זה משתמש וסיסמה

@avramk אמר באבטחת מידע:

@חגי rdp לא יותר פריץ?

אתה מכיר דרך לפרוץ RDP?

SQL SERVER זה הדבר הכי פריץ שיש בברירת מחדל
הנה דוגמה

מניסיון, מישהו שאני מכיר השתמש בזה בשביל ליצור לעצמו משתמש בהרשאות גבוהות למסד נתונים של מתחרים, והם עדיין לא יודעים מזה, והוא יכול לעשות במסד נתונים מה שבא לו (וכמובן. זה מאוד לא חוקי)

@צבי-ש
wireshark?
אתה בוחר את הwifi בתור המתאם שאתה רוצה להאזין, וזה יאזין לכל מי שמחובר לנקודה חמה.

עם המעלה שאתה מנסה להשיג היא מהירות טעינה של הדף
אז ממחקר שעשיתי פעם, הבנתי שאם יש לך אפשרות להעלות את כל הספריות לקובץ אחד ולטעון אותו מהשרת שלך, זה יהיה יותר מהיר מלטעון הרבה CDN, אבל בהנחה ואי אפשר, אז CDN הוא יותר מהיר.

היום יש את HTTP 3, אז יכול להיות שבכל מקרה CDN יותר מהיר, לא בדקתי את זה.
בנטפרי אין HTTP 3 עד כמה שידוע לי.

@צדיק-תמים
לייצא את זה לפונקציה?

var a = 'tchumim';
var b = 'forum';
var myRegex = () => new RegExp(`to (${a}|${b})`, 'g');
var myInput = 'to forum';
myRegex().test(myInput); // true
b = 'site'
myInput = 'to site'
myRegex().test(myInput); // true

בצורה הזו הערך של הרג'קס מחושב בזמן הקריאה לפונקציה.

@nigun השתמשתי בתוכנה הזו בשביל לגרום לגוגל לתמלל לי שיעורים זה עובד מצוין.

@avramk
בהנחה שאין לפורץ גישה למחשב, האבטחה של ווינדוס היא לא פחות טובה מכל שירות אחר, זה פשוט משתמש וסיסמה.
אם אתה דואג שזה יפרץ, אז תשתמש בסיסמה חזקה יותר.

@avramk
האימות פירושו התחברות עם משתמש וסיסמה (אני מניח שזה כבר מובנה)
לגבי מה ש@aaron כתב, הוא מציע להשתמש בשירות פיירוול נוסף מעבר לזה שמספק השרת עצמו, כדי שלא יהיה ניתן לעקוף אותו במידה ונמצאה פרצה בפרוטוקול שפתוח באותו פורט. חשיבה נכונה.

@avramk
תוסיף אימות כלשהו ואתה מסודר.

אני אנסה להימנע מהסבר של מה זה localhost, ואתייחס רק לחלק של הסינון כלפי הlocalhost.

אתה לא רוצה שהסינון יחסום את localhost, בגלל שזה לא תוכן שמגיע מהאינטרנט, אלא תוכן שמגיע מהמחשב שלך, אז הסיבה היחידה שאולי תרצה לסנן את זה, זה רק אם יש לך משתמש אחר במחשב שמוריד תכנים פרוצים ושם אותם בlocalhost, וגם זה רק בהנחה שיש לו אינטרס לעשות את זה כדי להכשיל אותך, זה לא משהו שאמור לקרות בטעות.

@aaaa
אני לא בא לתפוס את מקומו של @yossiz
אבל אם אתה מציין שבאינטרנט אין פיתרון, אני נוטה לסמוך עליו.
אז הנה סט של כלים למסוף הפקודות עבור עבודה עם בלותוס'
https://bluetoothinstaller.com/bluetooth-command-line-tools

אתה יכול להשתמש בheroku,
אם אתה לא צריך לשמור קבצים או ביצוע משימות ברקע, זה מצויין.
לכאו' זה נשמע מתאים לצרכים שלך
https://dev.to/alrobilliard/deploying-net-core-to-heroku-1lfe

האמת שסתם ככה ניסיתי, וגיליתי שאת האלמנט פה אפשר בקלות ללכוד, גם אחרי שהוא נסגר, פשוט פותחים עוד הפעם .

כמו כן אפשר לשים BREAK POINT על האלמנט "אב"

אם זה אלמנט שמיוצר באמצעות JS ומוזרק בכל פעם לDOM, אז תחפש אותו באמצעות break on subtree modifications\node removal