תחומים - פורום חרדי מקצועי

@י.פל. כתב בבדיקות חדירות ואבטחה לאוצריא:

סליחה: אתה מסלף!

אתה כתבת את זה לפני יומיים

@י.פל. כתב בבדיקות חדירות ואבטחה לאוצריא:

רק להדגיש: מי שעשה לנו את זה (את הרוב, עכ"פ, זה מישהו שיודע מה הוא עושה, אבל בונה בעיקר עם AI.
אבל הרבה נוצר גם ע"י מישהו שלא מבין.

מה שהזכיר לי את הפוסט שכתבת אז לחיפוש מתנדבים.

אני לא מכיר את אוצריה ואת האתר מפנים ומי כתב שם איזה חלק בקוד, אני ציטטתי אותך בחיפוש מתנדב, ובפוסט מלפני יומיים.

וכמובן סליחה אם מישהו נפגע מדבריי כאילו האתר בנוי כושל או משהו כזה, עדיין לא השתמשתי בו או ראיתי את הקוד שלו כדי לדעת דבר כזה

לגופו של עניין אם לקחו שליטה כמו שאתה כותב על חשבון מנהל, ואם אני מצרף את מה שאף-אחד-3 כתב, שהוא פשוט ניסה את id מספר 1 אז לכאורה אפשר להיכנס לכל החשבונות גם, ולא רק על חשבון ספציפי

לגבי האתגר שפתחת, אהבתי מאוד, אשמח אם יהיה פה קטגוריה לדברים כאלה, מאמין שאעבור שם על הפוסטים באדיקות, ואולי גם אוסיף כמה כאלה.

עריכה:

אגב,
לגבי מה שכתבת

זה לא היה נתיב שלא אבטחו: זה היה נתיב שלא מחקו!

אני חושב שזה גם גרוע, כי נתיב שימושי עוברים עליו, וסורקים אותו מפעם לפעם כשצריך לשנות משהו, ונתיב ששכחו מיותר ומיותם ייסרק פחות מטבע הדברים

@dovid כתב בבדיקות חדירות ואבטחה לאוצריא:

הגדרת כעת את רוב המוצרים המסחריים (!) בשוק, הישראלי בוודאי.

הם לא מוצרים שאספו מתכנתים ככה

@י.פל. כתב בדרוש לאוצריא: מתכנת אתרים אמיץ...:

אחד מחברי פרוייקט אוצריא, בנה אתר שיתופי לעריכת קבצים להכנסתם למאגר.
הבנייה הייתה במספר שלבים, מעבר מ..?? למונגו DB, ועוד שינויים רבים.
כרגע: השרת בvercel, הקוד בגיטהאב [פריסה אוטומטית בכל commit], ואולי עוד...
אין לי יכולת [מבחינת זמן, וגם כח] לבדוק מה הולך שם, אך כרגע אנחנו תקועים לאחר שהלה פרש, לפני שהספיק לסדר את הבלגן האיום והנורא שהוא עשה.

אנו חוששים שאם העסק יתקע, ולא יהיה ניתן לערוך ספרים, לא נצליח בהמשך להרים אותו.

אם יש לך מספיק אומץ כדי להכנס ליער של קוד זבל, קבצי md עם הוראות והסברים מזמנים שונים, ועוד ועוד, אשמח אם תפנה למייל שבפרופיל שלי, ותסייע לנו - ולכל עורכי הספרים!

חשוב לציין: הקוד נכתב ע"י AI, ברובו אם לא בכולו. אין לי מושג לגבי מידת הידע של הנ"ל.

פרויקט שנבנה בטלאים על טלאים, עם חלק אנשים שיודעים מה הם עושים, וחלק לא, יכול להיות שלא היה מספיק חשיבה על זה, או שלא היה כח / רצון לחשוב מחדש על הכל ביחד כשלא ברור עד הסוף מה באמת יש ומה אין.

יכול להיות כיום שאם יתנו למודלים מסויימים כיום את הקוד מקור, ויגידו להם לעשות סקירת אבטחה טובה הם יכולו למצוא שם כמה דברים שחשוב לתקן

לכאורה יהיה נח יותר לאנשים אם תוסיפו התחברות עם חשבון גוגל

אהבתי את התהילים!
כל הכבוד, אתר ממש יפה ובעזרת השם שלא יהיה שימושי כלל וכלל

התחלתי משיחת טלפון בקורונה מחבר שהסביר לי (טלפונית, ואני במחברת) על

<?php

המשכתי ב w3schools וב webmaster על תכנות בphp רק לפי מה שהייתי צריך באותו רגע (לולאה - אז נלמד על לולאה וכדומה) , ולא כקורס אמיתי

כמובן כל הזמן חיפושי גוגל ותשובות ב stack overflow ודומיו

אחרי זה התקבלתי לעבודה המסודרת הראשונה, שם לקחתי קורס אינטרנט לפייתון ועשיתי חלק קטן מהקורס, והשאר שוב שאלות בגוגל, או ללמוד על דברים ספציפיים

אחרי זה הלכתי לעבודה הנוכחית כיום, ששם כבר התחלתי עם פייתון (תודות לdevאופס שלא הסכים לי לכתוב בphp)
ובמשך הזמן המשכתי אל nodejs קצת וכדומה, שוב, ללא קורס אמיתי.

אני חושב ששיטה זאת הייתה הכי טובה בשבילי כי לא הייתי מצליח להושיב את עצמי ללמוד חומר בצורה טובה, כן אני יודע ומיצר על זה שלפעמים יש דברים בסיסיים או ידע מתחת למכסה המנוע שאני לא מכיר טוב כמו שהייתי רוצה

כן מנסה כל הזמן לשמוע פודקאסטים, ולקרא דוגמאות קודים וכדומה או ספריות קצת איך הם עובדות כדי להכיר יותר ולהבין עוד

כרגע זה עם 502 בכלל

(עריכה) חזר לעבוד

@dovid מציע שירות כזה, תוכל לבדוק עוד פרטים בחתימה של כל הודעה שלו

@dovid כתב בתכנון טבלאות לפרוייקט:

הוא כותב שגם אחרי גיבוב זה קל לניחוש בגלל שהקלט קטן ומוגדר מאוד, זה בעיה רצינית

אפשר לשמור מגובב מספר-שדירג_מספר-מדורג, ועם עמודה ליד מה הדירוג,
זה יעבור האשינג והלוגיקה תהיה דומה, וזה יכפיל בהרבה את מספר האופציות שצריך לנחש (זה עדיין יהיה מוגבל, אבל טוב יותר משמעותית), אם חשוב לדעת כמה דירוגים יש לבן אדם מסויים (כמו שנכתב בהודעה של פותח השרשור), זה יסרבל את התהליך, כי יצטרכו לשמור את הנתון הזה בנפרד, ולעדכן אותו על כל שינוי עם שאילתה ייעודית, בגלל שלא יוכלו לעשות פשוט count על מספר עמודות מול הdb, כי לא נשמר שם מסודר המספר שאותו דירגו, (ואז יצטרכו ללכת כמו הלישנא בתרא שלו, בכל דירוג לעדכן את הפרטים)

@eido כתב בתכנון טבלאות לפרוייקט:

הדירוג צריך להיות אנונימי, אחרת לא ידרגו.

מה שמשאיר אותנו עם מספר טלפון (שעליו יהיה הדירוג) והדירוג עצמו, מכיון שא"א להשאיר רק דירוג, כי אז הוא לא ישתקלל נכון עם דירוגים הבאים, צריך להשאיר את מספר המדרגים והדירוג הכולל כדי שיהיה אפשר להוסיף עליו את הדירוג החדש ולשקלל מחדש.

אתה רוצה לאפשר לכל אדם להקיש כמה דירוגים שהוא רוצה על כל אחד?
אם ראובן ירצה להתנכל לשמעון, הוא פשוט יתקשר 10 פעמים וידרג אותו 1, וזהו?

אולי כדאי לשמור מי דירג ומתי, ולאפשר לו לדרג שוב רק בעוד חודש נגיד, או לאפשר לו לערוך את הדירוג ל2 אם הוא פתאום כן קיבל שירות וכדומה

בשביל להשאיר את זה אנונימי אתה יכול או לשמור מספר ולא להציג אותו לאף אחד (אנונימי כלפי המאזינים, שלהם אין דרך לדעת מי דירג ומתי),
או לשמור האשינג של מספר שדירג, ולבדוק האם יש לו דירוג קיים לפי ההאשינג, להשמיע לו את הדירוג הקיים ולאפשר לערוך, או אם לא קיים, להשאיר דירוג חדש
ככה אתה גם לא יודע מי זה, אבל אתה יודע שx כבר היה או לא היה

(האשינג היא פונקציה שלוקחת מחרוזת כלשהיא, ומוציאה מחרוזת אחרת, עם מספר כללים
1 אי אפשר לחזור אחורה למחרוזת המקורית,
2 כל קלט שתכניס, ייצא פלט אחר.

או במקרה שלנו, אם תכניס לפונקציה 0521234567 אתה תקבל למשל אבגדהו,
תשמור בdb ״אבגדהו״ דירג 5 את מספר פלאפון xyz,
אבל אתה לעולם לא תוכל לחזור אחורה מ אבגדהו אל 0521234567,
כשתרצה לבדוק האם הוא כבר דירג, ומה הדירוג שלו, תוכל להכניס שוב את 0521234567 אל הפונקציה, לקבל שוב את אבגדהו ועליו לבדוק בdb את הנתונים )

@ששא כתב בהפעלת תהליך נוד מחדש לקובץ ספציפי - הגיוני?:

הספרייה עובדת שהוא שומר מידע על כל שיחה לפי מזהה השיחה שנשלח מימות, ולכן אם מפעילים מחדש אז כל המידע הזה נמחק ולכן השיחה מתחילה מחדש

נכון, כי זה נשמר לקואלית, לא מורכב לשייך את כל הנתונים שיישמרו בredis או מסד חיצוני מהיר אחר, ולא יורגש כמעט ההבדל במהירות במהלך השיחה, וזה כן יישמור נתונים אחרי ריסטארט

את מה שהוא הביא לך אני לא מכיר, אבל אם את עיקר הבעיה אתה יכול לפתור עם שמירה של הנתונים חיצונית, אז מה נשאר עוד?

@ששא כתב בהגדרת תנאים שונים שלא יזוהו כבוטים בקלאודפלר:

(את ה UA אפשר לזייף)

לא הבנתי

user agnet הוא פרמטר שכל אחד מחליט מה למלאות שם, אי אפשר לסמוך על זה כאבטחה

https://www.speedyai.co.il/terms-of-service#terms-section

4.2 המידע יישמר במאגרי החברה לפרק זמן שייקבע לפי שיקול דעתה, לצרכים תפעוליים, אבטחת מידע, שיפור השירות, או בהתאם לדרישות הדין. אין כל התחייבות למחיקת מידע באופן אוטומטי או להפיכתו לאנונימי.

לא מוצא כרגע את התיעוד של שמיעת הודעת קמפיין כשלוחה רגילה
אבל השמעה עם api זה לכאורה זה ${templateId}.wav
אם לא עובד אנסה לבדוק לעומק

אתה יכול בapi עצמו להשמיע את ההקלטה של הקמפיין,
אתה יכול לעשות שלוחת ביניים שתשמיע את ההקטה, ואז תעביר אל השלוחת api

תאר לעצמך שעוד שבועיים אתה צריך לתת גישה למתכנת לקוד/ לשרת, והוא ירצה להריץ לוקאלית את המערכת, למה שיריץ הכל, וישים env לכל הפרויקטים, והגדרות ניתוב דומיינים להכל, כשהוא צריך רק פרויקט אחד קטן של תזמון משימות?

אם יש לך חלק בפרויקט שאחראי על שלוחת api בקו, וברוך השם יש שם עומס עם מאות מאזינים בו זמנית, אתה תרצה להיות יכול לשכפל רק את החלק הזה, עם מאזן עומסים, ולא את כל הפרויקט כולו ולהסתבך עם זה

אם אחד מהם נופל מקריסה, למה שכולם ייפלו?
אם אתה רוצה לבדוק כמה זיכרון / עיבוד וכדומה צורך כל קונטיינר, זה פשוט יותר,
אם אתה רוצה לעדכן קוד בחלק אחד, למה לעשות בניה מחדש ולהפיל אותם לכמה שניות כשאפשר רק אותו

@eido כתב במיקום קבצי nodejs בשרת:

@צבי-ש תודה
אני מדבר על ענין עקרוני, איך נכון לעשות. האם יש בעיה לשים אותם שם, או שאין בעיה.

עכשיו בדקתי והם בהחלט נגישים, כל הקוד נגיש למי שיודע את הכתובת והשם שלהם. אבל בשביל זה יש vhost או htaccess, לא?

למה לך לשים קבצים רגישים בתיקיה חשופה לבחוץ, ואז להגן?
כשאתה יכול להפריד כל פרויקט מסודר לתיקיה משלו

1. תיקיית public_html הוא בדרך כלל המקום בו אחסון אתרים (לא שרת) מאחסן קבצים סטטיים שיהיה ניתן לגשת אליהם חיצונית דרך הדפדפן, למשל קבצי html, css ובתוך זה גם קבצי js שרצים בצד לקוח.
2. nodejs היא שפת תוכנה שרצה בצד שרת (לא באחסון קבצים), והקבצים שלה בדרך כלל נכתבים בjs (או ts ומקומפלים אל js) ולא נגישים חיצונית כלל.
3. אם בכל זאת השירות nodejs רוצה להחזיר קבצי js הוא כמובן יכול (במקום response של json למשל הוא יחזיר קובץ), ואת הקבצים הוא מגדיר בקוד מאיפה לקחת, זה לא קשור לתיקיית public_html.

זה חשוב להבין כבסיס,
מכאן לשאלה
אם אתה יכול להריץ קוד nodejs = אתה לא על אחסון קבצים אלא על שרת אמיתי ולכן אין כל משמעות לתיקיית public_html, אלא למה שמוגדר בקוד

אם אתה כן רואה שקבצים שנמצאים בשרת בתיקיית public_html נגישים חיצונית, תבדוק עם nginx / אפאצי / מי שמנהל את הרשת בשרת, למה התיקייה הזאת ממופה, והאם דרכה אפשר להגיע לתיקיות אחרות (צעד אבטחתי)

התלבטתי לפני שכתבתי פה את הלינק ההוא, זה לתת דג, במקום ב2 דקות לתת חכה,
הוא נתן לך פיתרון, ועל זה אני שמח.

רק מרחיב קצת על החכה שנתנו פה פיתרון איתה, ומוסיף את השנקל שלי לעניין

cron הוא כלי מדהים, שמאפשר לך לתזמן את כל המשימות במערכת, לא מחייב אותך להשאיר לינק פתוח שכל מי ש״עולה״ עליו יכול להריץ לך דברים במערכת... מדוייק יותר, אמין יותר, ולא תלוי בגורמים חיצוניים, ולא רק php אלא עוד סוגי הרצות

כתבת שאתה צריך להריץ קוד b לפני קוד a, למשל בcron בשרת זה ממש קל, אם אתה רוצה שa ירוץ רק עם b יצליח, אתה כותב את התזמון, (למשל פעם בחצי שעה) ואז את הפקודות עם && בינהם, (למשל python3 b.py && python3 a.py) ואם לא איכפת לך האם b הצליח, אלא העיקר שa ירוץ אחריו, אתה מפריד עם ; (למשל python3 b.py ; python3 a.py) ואתה לא צריך לתזמן פעמיים

עוד כתבת שיש בשרת שלך רשימת cronים כבר ממתכנת שהגדיר לפני כמה שנים, יותר קל ונוח לארגן את כלל התזמונים באותו מקום, ולא כל תזמון לזכור איפה ומי אחראי עליו.