תחומים - פורום חרדי מקצועי

תאר לעצמך שעוד שבועיים אתה צריך לתת גישה למתכנת לקוד/ לשרת, והוא ירצה להריץ לוקאלית את המערכת, למה שיריץ הכל, וישים env לכל הפרויקטים, והגדרות ניתוב דומיינים להכל, כשהוא צריך רק פרויקט אחד קטן של תזמון משימות?

אם יש לך חלק בפרויקט שאחראי על שלוחת api בקו, וברוך השם יש שם עומס עם מאות מאזינים בו זמנית, אתה תרצה להיות יכול לשכפל רק את החלק הזה, עם מאזן עומסים, ולא את כל הפרויקט כולו ולהסתבך עם זה

אם אחד מהם נופל מקריסה, למה שכולם ייפלו?
אם אתה רוצה לבדוק כמה זיכרון / עיבוד וכדומה צורך כל קונטיינר, זה פשוט יותר,
אם אתה רוצה לעדכן קוד בחלק אחד, למה לעשות בניה מחדש ולהפיל אותם לכמה שניות כשאפשר רק אותו

רק מעדכן למקרה שעוד מישהו יחליט משום מה לצפות בקורס הזה מימות הקורונה.
קורס נחמד, מלמד על יסודות ההתקפה בצד הלקוח, או על חלק מהיסודות, ואיך ניתן להתגונן מהם,

ללמד את התחום? זה לא מלמד, אבל טוב בתור לפתוח את התיאבון לכל העולם של אבטחה, ושל פיתוח ווב באופן קצת יותר מאובטח, וכמובן צד שרת כדי שלא יזריקו לך sql, או js script ותשלח את זה הלאה למשתמש (xss)

למי שיש קצת חוש טכני, לחלוטין לא שווה את הכמה גיגות הורדה וזמן להתקנה של האתר שהובא כאן למעלה, זה סתם שורף זמן יקר. ובמקסימום להתקין מהגיטאב ש yossiz שלח פה למעלה, בענף 38, את הקוד פייתון לשרת http, ופשוט להריץ אותו (צריך להריץ גם db, אולי אפשר sqlite, לא בדקתי) במקום את הvm.

למי שאין וסתם יסתבך עם ההבנה של החומר מבלי לתרגל ממש באותו אתר שמלמדים בקורס, אולי שווה את ההתקנה המוזרה הזאת.

זאת אומרת שעכשיו יש לאנשים רשימה של כל מי שבאופן אקטיבי הפריע לו הצינתוקים - ושאפשר להתקשר לעניין אותו בהצעת למינהם?

@pcinfogmach כתב באיך לעשות בדיקת עידכונים בצורה חינמית עבור התוכנה שלי?:

רציתי לשאול האם ש דרך חינמית ופשוטה לעשות בדיקת עדכונים עבור התוכנה שלי? (C# wpf אם זה רלוונטי).
כרגע אני עושה אילתור שהתוכנה בודקת אם קיים קובץ מסויים בדרייב. ברגע שאני מעלה עדכון אני מוחק את הקובץ (העדכון הבא כבר מחפש קובץ אחר וכן הלאה). כמובן שגם התוכנה בודקת קודם אם אפשר להתחבר כדי לא לקבל תוצאות מטעות - בקיצור אילתור מאולתר.
אשמח לקבל כל מידע בנושא איך לעשות זאת בצורה נורמלית בדגש על חינמי.

תרשום באיזה שהוא מקום בתוכנה את המספר גירסא,
ותבנה api שמחזירה את המספר גירסא המעודכן,ולינק ישיר להורדה אם זה לא תואם, שיורד מהלינק ההוא

@מי-זה כתב באחסון אתרים זול ומהיר:

הסברתי,
@מי-זה כתב באחסון אתרים זול ומהיר:

לא צריך את המהירות הכי גדולה שיש אלא שלא יתקע על כל קובץ איזה 40 50 שניות

אחזור שוב, מה זה להיתקע על כל קובץ ? איזה סוג קובץ ? ומה המשקל שלו ?
על טרה מידע, הגיוני לך שיקח לו 50 שניות ?
על גיגה ?
על מגה ?

עד עתה השתמשתי באחסון חינמי והיו פעמים (לאו דווקא בקבצים גדולים) שלקח כ-40 שניות לקובץ להיטען
אני צריך שירות שיטען בזמן סביר ביחס לגודל הקובץ.

על איזה סוג קבצים גדולים ?
לא דומה קריאה למסד נתונים גם אם הוא שוקל מלא, לקריאת קובץ .

קובץ שיעשה הרבה פעולות יחד

זה לא עונה על שום דבר,
איזה פעולות ?

ולמה אתה לא עונה את כל המידע שיש לך אם אתה רוצה שנעזור לך למצוא שרת מתאים ?
אם תענה מידע לא רלוונטי / קצת מידע, אנחנו לא נוכל לעזור לך.

@ivrtikshoret כתב בהוספת פרוקסי ע"י קובץ bat:

שלום וברכה
אני רוצה ליצור קובץ bat שיוסיף לי כתובת פרוקסי (sock) אוטומטי בסוף זה אמור להיראות כך:

הצלחתי להפעיל ולכבות את הפרוקסי ע"י עריכת reg:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 1 /f
אבל לא הצלחתי להכניס את הכתובת של הפרוקסי בתוך השדה רכיבי sock

הערה בדרך אגב, אחרי התשובה של shraga ,
מפסיקים בין ה locallhost, ל ip, עם נקודה פסיק ; ולא עם פסיק

@אבי-203 כתב בהקמת שרת מתווך - פרוקסי:

@שמחה-זו-הסיסמא אני נעזר באתר הזה מאוד!!
https://webhook.site/login

ואיך זה קשור למה שהוא שאל?

@שמחה-זו-הסיסמא כתב בהקמת שרת מתווך - פרוקסי:

יש בעיה שכאשר משתמשים בשרת שיתופי, אם יש משתמש אחד אויבר חוכם שפונה עם טוקן שגוי זה גורם למערכת האבטחה של האתר שאיליו פונים לחסום את השרת השיתופי

הפיתרון שחשבתי כרגע הוא לבקש מהשרת השיתופי (שנותן לי פונקציות מסויימות מעבר לבסיס ממש)
במקום לשלוח את הבקשות ישירות למקבל הבקשה לשלוח את הבקשות לשרת אחר שהוא יקבל את הבקשות ויעביר אותם כמות שהם למערכת שאמורה לקבל את הבקשות

אשמח אם מישהו יכול להסביר לי איך מגדירים בשרת האמצעי שיעביר כל בקשה שנשלחת איליו לכתובת מוגדרת מראש, בלי לשנות את הפרמטרים כלל
את הבקשות אני שולח חלקם ב GET וחלקם ב POST

וכן אם יש למישהו רעיון טוב יותר אשמח לשמוע.
תודה רבה

תוכל אולי לשים על ההוסטינגר שלך איזה קוד php שתשלח אליו בדיוק מה לעשות, והוא יבצע את זה מול ימות.

עידכנתי קצת.
גירסה מעודכנת יותר עם טבלאות שגיאה והצלחה וכן הודעות שגיאה מתאימות וכן טבלא עם מספר המוסד וככה לא צריך להקליד כל פעם מספר מוסד.
nedarim_plus.accdb
יש לרשום בטבלת mosad תחת הרשומה mosad_id את המספר מוסד.

(עודכן גם בפוסט הראשון בעמוד).

https://www.speedyai.co.il/terms-of-service#terms-section

4.2 המידע יישמר במאגרי החברה לפרק זמן שייקבע לפי שיקול דעתה, לצרכים תפעוליים, אבטחת מידע, שיפור השירות, או בהתאם לדרישות הדין. אין כל התחייבות למחיקת מידע באופן אוטומטי או להפיכתו לאנונימי.

אני מנהל את השרת שלי עם דוקרים, אז יש לי דוקר אחד של nginx ועוד אחד של let's encrypt שאחראים על הכל, כשאני רוצה להקצות דומיין לקונטיינר אני בסך הכל מגדיר env מתאים וזהו
למשל ההגדרה שלהם עצמם

  nginx-proxy:
    image: jwilder/nginx-proxy
    container_name: nginx-proxy
    ports:      
      - "80:80"    
      - "443:443"  
    volumes:    
      - /var/run/docker.sock:/tmp/docker.sock:ro
      - ./certs:/etc/nginx/certs
      - ./vhost.d:/etc/nginx/vhost.d
      - ./html:/usr/share/nginx/html
    restart: always
    environment:
      DEFAULT_HOST: prod.ovh

  letsencrypt: 
    image: nginxproxy/acme-companion
    container_name: nginx-letsencrypt
    environment:
      NGINX_PROXY_CONTAINER: nginx-proxy 
      ACME_CA_URI: https://acme-v02.api.letsencrypt.org/directory 
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - ./certs:/etc/nginx/certs
      - ./vhost.d:/etc/nginx/vhost.d
      - ./html:/usr/share/nginx/html
    restart: always

ואז אחרי זה בפרויקט אני מגדיר ככה

  main_prod_web:
    image: registry.prod.ovh/main_prod_web:latest
    container_name: main_prod_web
    environment:
      VIRTUAL_HOST: prod.ovh
      LETSENCRYPT_HOST: prod.ovh
      LETSENCRYPT_EMAIL: prod@gmail.con
      VIRTUAL_PORT: 8080
      ENABLE_PROXY_PROTOCOL: "true"
    env_file:
      - main_prod_web.env
    expose:
      - "80"
    restart: always

@דאטה-בייס כתב בנסיון פריצה לשרת שלי?:

בהמשך לנ"ל,
בזמנו, כעזרה ראשונה, סגרתי ישירות את כל הכתובת IP ואפשרתי רק את שלי
כעת אני כן צריך במידע מסויימת לאפשר גם לכתובות אחרות לגשת
אז דבר ראשון, אשמח להבהרה בנוגע למה שכתב @חגי , למה באמת אין לי מה לחשוש, בהנחה שיש לי שם מידע רגיש שאסור בשום אופן שיזלוג, האם אני לא אמור לחשוש?
כמו"כ, איך מיישמים את מה ש @dovid כתב "אתה צריך לסגור הכל, ומה שצריך להיות פתוח לחשוב טוב האם אין דרך בעולם להגיע משמה למידע/פקודה לא רצויה", יש לי המון urls שהגדרתי (פרוייקט django), האם מישהו יכול להפנות אותי למידע אודות שיטות אבטחה \ כללים בנוגע לפתיחת שירותים, ובקיצור, איך להבטיח שהשירותים שאני פותח (היינו הurls הזמינים) יהיו מאובטחים ולא יוכלו בשום דרך לעקוף

אני חושב ש dovid התכוון לא רק לurlים אלא לכל שירות שרץ בשרת, כולל פורטים וכו׳ שלא יהיו סתם פתוחים אם אין צורך

לגבי הפרויקט שלך, האופציה הבסיסית לאבטח זה שיצטרכו טוקן כלשהוא כדי לגשת / לערוך / לשלוח מידע, ובלי הטוקן או אם הוא לא תקין, אתה מחזיר שגיאה, ולא מבצע שום פעולות,
פה אתה יכול לעשות סתם טוקן (גיבריש כלשהוא של אותיות , ספרות, ותווים) או משהו מסודר יותר עם יוזרים שניגשים, ולכל אחד טוקן שונה, כדי שתוכל לעקוב מי ביקש מה וכו׳

אם זה צריך להיות פתוח לכולם ללא טוקן (למשל סתם אתר או משהו בסגנון) אתה חייב לאבטח שלא יוכלו להגיע משם למידע שאתה לא רוצה להגיש , (לחסום אינדקסים מיותרים, ולמשל אם אתה מכניס מידע, לבדוק טוב שלא יזריקו לך מידע שאתה לא רוצה פנימה.)

במחשבה שניה, גם אם אתה מנהל יוזרים וכו׳ אתה צריך לחסום אופציה להזריק או להכניס נתונים שאתה לא מעוניין בהם..

זה בגדול מה שאני עושה, אשמח גם לשמוע ולהחכים פה מהאנשים מה עוד אפשרי לעשות

לכאורה יהיה נח יותר לאנשים אם תוסיפו התחברות עם חשבון גוגל

הוא כן ביקש ממני להירשם

נוסחים קצת מוזרים

לא מציג שגיאה או משהו, אבל עדיין לא עושה כלום כשלוחצים על המשך לבחירת חבילה

ככלל, כשבונים אתרים ומוצרים, אףפעם אל תבדוק רק את הדברים שצריכים לעבוד, אלא תחפש את ההכי קיצוני שלא צריך לעבוד, איפה ינסו לפרוץ לך, לעשות דברים לא מצופים. ותדאג שגם שם זה יעבוד (למשל הודעות שגיאה מתאימות, או הודעות חסימה מסודרות, ולא פשוט ״לא להמשך את התהליך אם יש שגיאה״)

נראה שכמו שאומרים בכל קורס להשקעה, אל תצאו בשניה שיש הפסד, תירגעו, אל תעשו כל רגע השקעות חדשות

גימיני עשתה 50 השקעות כבר, בעוד שהמצליחים עשו 6,5 או אפילו 1

@בול כתב בשרת לאתר...:

(כנראה שהוא בנה את התוכנה באופן שהוא צריך לחשב את הנתונים כל הזמן. לא יודע בדיוק. זאת המציאות...)

אולי יש לו חישובים שגויים, אולי זה תוכנה כבדה מעצם היותה,
תנסה לרשום בטרמינל htop ולצרף פה צילום מסך של מה רץ
תמיין לפי זיכרון, מעבד, וצרף גם אותם אולי יש שם משהו חשוד

קצת על צורת השליחה הפופולארית GET

ניקח למשל קישור כזה

https://www.call2all.co.il/ym/index.php?view=Incoming_sms&action=SmsSends

(מעביר ללשונית מסוימת בניהול מערכות בימות המשיח)

ונחלק אותו למספר חלקים

https://www.call2all.co.il/ym/index.php
?
view=Incoming_sms&action=SmsSends

חלק א

החלק הראש הוא הכתובת שאליה אני ניגש,
החלק השני הוא סימן שאלה (?) שמסמל שאני הולך לשלוח פרמטרים
החלק השלישי הוא הפרמטרים בעצמם כאשר הם מחולקם בינהם עם אנד (&) והצורה הנכונה לכתוב זה key=value למשל בדוגמא של ימות המשיח
view (תצוגה-לאיזה מסך יעביר) = Incoming_sms (קריאת sms שנכנס)
& (אני שולח עוד ערך)
action (פעולה) = SmsSends (שנשלחו sms)

כל הקישור ביחד נקרא בקשת GET

חלק ב

החלק השני הוא פשוט מאודו זה בעצם הצד שרת שמטפל בבקשת get, והדרך לבצע את זה היא כדלהלן:
נכתוב פונקציה שעושה מה שאנחנו צריכים לעשות,
ובמקום לקרוא לה סתם שם אנחנו נקרא לה doget
זהו.

חלק ג

החלק השלישי הוא הקריאה לפונקציה כדי שנוכל להפעיל אותה מבחוץ,
כדי לאפשר דבר כזה אנחנו צריכים לפרוס את האפליקציה, או כמו שיש בתיעוד של גוגל פה.

העתקה משם:

כדי לפרוס סקריפט כאפליקציית אינטרנט, צריך לבצע את הפעולות הבאות:

בפינה השמאלית העליונה של פרויקט הסקריפט, לוחצים על פריסה >. פריסה חדשה.
לצד "Select type," לוחצים על 'הפעלת סוגי פריסה' settings > אפליקציית אינטרנט.
מזינים את המידע על אפליקציית האינטרנט בשדות תחת "פריסה תצורה."
לוחצים על פריסה.
אתם יכולים לשתף את כתובת ה-URL של אפליקציית האינטרנט עם מי שתרצו להשתמש בה, בתנאי שנתתם להם גישה

אחרי שביצענו את הנ״ל וקיבלנו את הכתובת url שדרכה אפשר לגשת לסקריפט שלנו
אנחנו פשוט מדביקים אותה בדפדפן, ובודקים האם הפונקציה שכתבנו בגוגל סקריפט התבצעה
אם לא, צריך לבדוק אולי הסינון חסמו את הכתובת.

חלק ד

החלק הרביעי הוא הקריאה לפונקציה שאתה הכנסנו לתוך doget מהפונקציה הראשונה שלנו,
זה נראה ..... בקשת http
ואת זה עושים אולי עם הפונקציה שהבוט הביא לך, לא עברתי עליה, בכל אופן יש פונקציה קצת יותר קלה:

const Http = new XMLHttpRequest();
const url='https://jsonplaceholder.typicode.com/posts';
Http.open("GET", url);
Http.send();

יכול להיות שיש משהו יותר עדכני וכו, זה מה שמצאתי בחיפוש ראשון בגוגל

מה שאנחנו רואים בקוד הנ״ל
שורה 1 תחילת הכנת הבקשה
שורה 2 את הכתובת (פה אתה צריך להכניס את הכתובת של הסקריפט השני)
שורה 3 את צורת השליחה ואת הכתובת, במקרה שלנו GET, ומשתנה עם הכתובת שהגדרנו בשורה 2
שורה 4 ביצוע הקריאה בפועל

מקווה שעזרתי

@dovid מציע שירות כזה, תוכל לבדוק עוד פרטים בחתימה של כל הודעה שלו

@eido כתב במיקום קבצי nodejs בשרת:

@צבי-ש תודה
אני מדבר על ענין עקרוני, איך נכון לעשות. האם יש בעיה לשים אותם שם, או שאין בעיה.

עכשיו בדקתי והם בהחלט נגישים, כל הקוד נגיש למי שיודע את הכתובת והשם שלהם. אבל בשביל זה יש vhost או htaccess, לא?

למה לך לשים קבצים רגישים בתיקיה חשופה לבחוץ, ואז להגן?
כשאתה יכול להפריד כל פרויקט מסודר לתיקיה משלו