תחומים - פורום חרדי מקצועי

@dovid אכן לפי התיאור הקצר הבא (שלקוח מכאן) אין דרך לגרום לזה לקרות:
"כדי להתחיל תקשורת בין שני צדדים, הם משתמשים בהצפנה פומבית כדי להעביר בצורה בטוחה מפתח מצד אחד לשני. אחרי כן, שני הצדדים משתמשים במפתח המשותף הזה להצפנה סימטרית (מהירה פי כמה)".
אין דרך לבקש משהו בשם מישהו, כשהבקשה אמורה להיות מוצפנת באופן שאין אפשרות להתערב בה.

1. אפשרי להצפין את הקובץ, עם מפתח סטטי שנמצא בתוך הexe.

2. אפשר לשמור את המידע הזה בregistry, או לשמור במיקום קבוע בתוך %localappdata% וכדומה, המיקום תלוי אם זה גלובלי למחשב או לכל משתמש בנפרד.
   אין בעיה בזה שתוכנה יוצרת קובץ במחשב, זה הגיוני ונורמלי.

3. בכל דרך פעולה שהיא, בין הנוכחית ובין המוצעת לך כאן, צריך לבדוק ששכפול של הקובץ (ו\או הקבצים הנוספים) לא יאפשר שכפול של פעילות התוכנה (אם התוכנה בתשלום).

בכל מקרה כדאי וצריך להצפין את הנתונים באיזה שהוא אופן, אפשר למשל שהמפתח יהיה משהו סטטי שנמצא בתוך התוכנה + משהו מהמחשב כמו שם משתמש ושם מחשב וכדומה (יש גם API ייעודי לזה של win)
ברור שזה מסבך את הפיתוח בהרבה, אבל אלו הצרכים שהצגת.

מסקרנות, אני שואל לאיזה צורך מישהו ישתמש בזה שלא דרך האפליקציה.
באופן כללי, לבנות אפליקציה מתחרה שתשתמש בbackend שלך לא ניתן טכנית בגלל מגבלות CORS.
ז"א שאתה חושש שמישהו יבנה קליינט רק לעצמו. כדי לראות את הנתונים שאתה שולח.
למה שלא ישתמש במה שאתה בנית? מה תהיה הסיבה שבגללה זה עלול לקרות?

אם אתה חושש מגישה לנתונים עצמם ואיסוף וסיפוח זוחל של הנתונים, תתמקד בלהגביל את מספר הקריאות פר חלון זמן (או את יצירת הטוקן שזמין לזמן מוגבל, זה אותו דבר)

tunnel ssh יכול לפתור את הבעיה (הוא פותח פורט במחשב שלך, שמעביר את הנתונים ישירות אל הפורט בשרת, ומבחינת הקוד שלך הDB הוא לוקאלי). יש עוד תוכנות נוספות שמאפשרות את זה.

הדרך המקובלת לשליחה באמצעות nodejs (דרך שרת שעושה את השליחה בפועל) היא אחת מה-2: SMTP (התחברות לשרת כמו שתוכנת לקוח מייל מתחברת) ו-API.
למעשה אפשר גם לשלוח ישירות עם nodejs (ללא צורך בשרת, או במקום שרת, וללא צורך בהתחברות).

לקבל מיילים באמצעות nodejs (דרך שרת שעושה את הקבלה בפועל) אפשרי טכנית רק באמצעות IMAP (כלומר השרת ישמור את המייל בעצמו, וכשאתה תתחבר עם nodejs אל השרת תוכל לקרוא), או באמצעות API - webhook (האפליקציה שלך מאזינה כמו אתר רגיל, והשרת כשמתקבל מייל מפרסר אותו (או לא) ושולח אליך בקשה עם המייל). לא נראה שתמצא שרת מייל (תוכנה להתקנה) עבור השיטה השניה, והשיטה הראשונה גורמת לכך שתשמור את המיילים פעמיים (אם התכוונת שnodejs יבצע את השמירה ל-DB ולא השרת).
שקול לכתוב שרת שבעצמו יהיה מבוסס nodejs (כלומר יאזין בפורט ויבצע תקשורת מול אלו שרוצים לשלוח אליו. ללא שרת נוסף. זה לא קשה למימוש במיוחד אם תשתמש בnpm package המתאים...).

לגבי השליטה על חשבונות, זה כמובן תלוי שרת (כלומר תלוי איזה שרת תבחר להתקין). אם תשתמש באפשרות השלישית תוכל גם להחליט שכל שם משתמש שיהיה הוא ולידי, או לטפל בזה גם באמצעות הDB שלך.

@one1010
היתה הצעה לחשב אם זה שכר חודשי.
היתה הצעה לחשב את שווי העבודה ביחס לשווי המוצר בשוק.
כתבו שלתת ללקוח הרגשה שאתה טוב, זה הטעיה. וכדומה.

כל אחד צריך למקסם את הסכום שהוא מקבל על העבודה שלו, זו חובתו.
וזו לא אונאה או עבירה, זו מצווה.
עבירה לקחת פחות ממה שאפשר לקחת.

כל אחד צריך לבדוק מה הוא קונה, ולברר את הטיב, זו חובתו שלו, והיא מוטלת עליו.

אם הטענה היא שהלקוח יכול לקנות בפחות, אז כדאי לך לדעת שרוב הדברים שקנית אפשר לקנות בפחות או אפילו להשיג בחינם.
השוק, במיוחד שוק האונליין (דוגמה טובה זה קורסים אונליין) מלא בשטויות ובמוצרים שעולים הון ולא שווים כלום.
כל אחד שרוכש צריך לדעת שנותן השירות משקיע בפרסום ושכנוע, וצריך לבצע השוואה.
וכל אחד שמוכר צריך לדעת לתמחר ולקחת את המקסימום.
אלו דברים פשוטים.

1. מחקתי את הביטוי הזיות, בגלל שהוא לא מתאים מבחינת התוכן, אבל לא מעבר לזה.
2. הוא צריך בעצמו לדעת שמה שאני כותב זה דעתי, ולא מעבר לזה. לא צריך לציין את זה בכל הודעה.
   כל אחד שקורא כאן דברים, וחושב שהם תורה מסיני, הוא בבעיה רצינית.

אף אחד בפועל לא ענה על השאלה של פותח האשכול.
בודאי לא בתשובה מדויקת עם סכום. לדעתי התשובה שלי היא נכונה, והתשובות האחרות לא רק שהן לא תשובות, הן מחלישות אותו במידה מסויימת.

כמובן שאם בסוף הוא לא יספק ללקוח את התוכנה (או אפילו אם לא יספק חלק מהפונקציונליות שסוכם שיספק), זה לא נחשב שמכר את המוצר, ולכן הוא לא אמור לגבות את התשלום המקורי.
אבל אין שום סיבה לתת לשואל את ההרגשה שבודאי שלא יצליח לספק את המוצר, וכל השאלה היא כמה כסף מותר לו לקחת על העבודה...
כל מתכנת הוא מתחיל, גם אחרי 30 שנות עבודה. אף אחד לא יודע לעשות ה-כ-ל בכל תחום. תמיד יש למידה שקשורה לפרויקט.
ואף מתכנת לא יודע ולא ידע שום שפה "חלק" (חוץ מגוגל, הוא לא נחשב..).

@ש-ב-ח
אם אתה נכנס כך בדפדפן, אז זה אימות שנקרא basic.
זה עובד שנשלח מהדפדפן header שנראה כך:

Authorization: Basic MTox

MTox זה לשם הדגמה
זה בקידוד base64
של שם משתמש וסיסמה אלו:
1:1

@צדיק-תמים כנראה בגלל שזה מסגרת נפרדת (iframe).

@katz אין לי ניסיון מספק בנושא שליחת מייל דרך שרתי GMAIL (כשניסיתי כמה פעמים זה כן עבד, וזה היה די מזמן, אולי אתה משתמש בחיבור לא מאובטח כלומר בSMTP לא מאובטח כדי לגשת לשרתי גוגל).

יש כאן גם אלמנט של מניעת שימוש מסחרי בשירות שלהם.

למה שלא תשקול לרכוש דומיין ולהקים שרת SMTP פרטי.
או לשלוח דרך שירותים צד ג'.

נתקלתי בזה ומצאתי את זה שימושי קצת.

הגעתי לזה מכאן, ובלי קשר, קוד המקור של האתר משלב קוד JS שעובד בnode ביחדHTML שעובד בדפדפן, ויש גם HTML שנשלח לקליינט כשמריצים את הקובץ בnode, והכל בדף אחד.

@mat

בן אדם זה לא ערובה לחוסר טעויות. ההפך אני מצפה מהמכונית לא להתנהג כמו בן אדם. אלא להתנהג כמו מכונה.
אם היא רואה שהיא צריכה לעקוף מכשול כל עוד ויש עצמים שנכנסים למרחב נהיגה שלה היא פשוט עוצרת.

(יש פה איסור על הקפצת דברים ישנים? אם כן תפסיקו כאן..)
מכונית אוטונומית שלא תאפשר מצב נהיגה רגיל או שליטה מסוימת, כזו שמתנהגת כמו מכונה ולא כמו בן אדם, ייקח אותה איש לסיבוב בשטחי הארץ, יאמר לה את היעד, היא כמובן תחשב את הדרך לבד. יגיע מיועדנו לאזור שאינו מספיק ידידותי, שם יישב לו בן דוד בפאתי הדרך, וכשתבוא המכונית לטווח ראייתו, יעמוד באמצע הכביש. המכונית תעצור. נכון? עכשיו הוא יקרא לחבריו מהכפר..
בנוגע למצלמות עומק - מדובר על חיישנים ולא על מצלמה, ואם בכל אופן מדובר על מצלמה - תחשבו על זה שכדי להוציא רכב כזה מכלל שימוש מספיק מסטיק שיש לו מספיק זמן להתייבש, או ספריי שחרחר שיצטרך גירוד עם אביזרים שמיועדים לשיפוץ תפילין.

פורסם במקור בפורום CODE613 ב19/09/2017 07:45 (+03:00)

@A0533057932
https://textslashplain.com/2017/10/23/google-internet-authority-g3/
https://good.gsr2demo.pki.goog/

@ששא
לא מכיר את wireGuard.
VPN באופן כללי זה שיטה איך לחבר מחשב מרוחק לרשת מקומית.
ברשת הפנימית יש משאבים שזמינים רק למחשבים הפנימיים, והמטרה היא ליישם מנגנון שאחרי הזדהות מוצלחת, המחשב המרוחק יהיה כמו מחשב שנמצא בתוך הרשת.

זה בדרך כלל מורכב ולא משהו ש"ממציאים לבד", ויש גם כמה סוגים. שימוש בזה מחייב התקנת תוכנה בשני הצדדים (לכה"פ אם משתמשים ספציפית בwireGuard).
אז גם במחשב שמתיישבים עליו לרגע לא כזה קל להתחבר.

אם הפורט של הSSH הוא לא 22 כבר פתרנו הרבה בעיות, ואם הכניסה היא עם key בלבד אז רוב הבעיות נפתרו מלבד פירצות 0day (חולשות בפרוטוקול או בsshd שאיש אינו יודע עליהן).
אם פתוח רק עבור הIP שלך (וכל אלו שאיתך על אותו IP באדיבות הספק..) אז הסיכויים שמשהו יקרה הם אפסיים (בהנחה שהכל הוגדר נכון).
נשאר רק להוסיף מנגנון שיאפשר לך במקרה SOS כניסה מIP נוסף. כדאי לדאוג לגיבוי לkey...
ועכשיו רק נשאר לנחש מי רודף אחריך

@אף-אחד-3
2 דברים:
1 זה לא קרה רק לך (אם זה מנחם אותך. יש בעולם את האנשים שיודעים להתעסק עם טכנולוגיה, ויש את האנשים שאצלם הכסף.. או שיודעים איך לגרום לו לשבת אצלם. נדירים האנשים שזה משותף).

2 שמישהו עשה משהו, אפילו אם באופן רחב, זה לא סיבה שמישהו אחר לא יציע את אותו דבר, או את חלקו. מעשים שבכל יום שאנשים קונים משהו ממישהו אפילו שמישהו נוסף מציע סחורה דומה, לפעמים יותר טובה או זולה באספקטים מסוימים.

@מעלה-ומוריד כתב בבעבודה לפי שעות, משלמים על תיקוני באגים?:

אבל העלות שלנו היה 180 + מע"מ
אני מניח שזה מחיר שראוי למתכנת מקצוען

זה לא.

וחברה מסודרת לוקחת על זה לפחות 400 ש"ח לשעה של עובד, בשוק הפתוח.
אם לוקחים פחות האיכות בהתאם.
ייתכן שבמקרה שלהם זו האסטרטגיה. כמו עו"ד שדואג שהתיק לא ייסגר.

@יוס כתב במה הסוד להינצל מלהשלח לספאם:

של כתובת ה IP

כמו בקישור שצרפתי, וכמו שציינת בעצמך:

כאשר אני מחבר DNS בחברת דיוור על הנסיון הראשון זה מגיע לתיבת הדואר נכנס

וזה נכון גם על הדומיין שלך.

חימום זה אומר שיוציאו אותך מהספאם (או שתוציא את עצמך..) ושיחזירו לך הודעות (כלומר יעשו "השב") במשך תקופה.
ככל שהתקופה ארוכה יותר, וככל שהרצף לא נקטע, הוותק של הIP עולה, במערכות שנחשפו אליו.
ככל שהוותק יותר משמעותי, כך תוכל לשלוח כמות יותר גדולה בלי שיחסמו אותך.

יש לcloudflare worker שמסוגל לשלוח מיילים, פרטים כאן.
טיפ:
לשנות לmimtext/browser, וכן זה לא פועל בworker של pages, אבל אפשר להוסיף route באתר שזה משויך אליו.

מכיון שהעירו שהפונקציה לא תעבוד אחרי סוף עידן ה"תש", מצ"ב פונקציה משודרגת..
תודה ל@meir-lamdan שהביא לידיעתי את הפונקציה להמרת של ספירה בלש"ק.

const getHebDate2 = date => {
    const toHebCount = n => [...'ת'.repeat(Math.floor(n / 400)), ..."קרש"[Math.floor(n % 400 / 100) - 1] ?? [], ...n % 100 === 15 ? ['טו'] : n % 100 === 16 ? ['טז'] : [..."יכלמנסעפצ"[Math.floor(n % 100 / 10) - 1] ?? [], ..."אבגדהוזחט"[n % 10 - 1] ?? []]].toSpliced(-1,0, '"').join('').replace(/^"|"$/g, '').padEnd(2, "'");
    const getX = opt => Intl.DateTimeFormat('he-u-ca-hebrew', { [opt]: 'numeric' }).format(date || new Date());
    return [toHebCount(getX('day')), getX('month'), toHebCount(getX('year') % 1e3)].join(' ');
}

אפשר לקבל ללא גרשיים על ידי החלפת הקוד החל מtoSpliced לjoin.
מי שמעונין לקבוע את הטקסט של שם החודש (כגון מר-חשון במקום חשון) יצטרך לשלב עם הפונקציה הקודמת.

@ivrtikshoret כתב בפתיחת קובץ מקומי דרך JS ב-HTML:

אתה כותב לו הרבה פתרונות כאשר אין לך בכלל מושג מה הוא רוצה לעשות עם הקובץ הוא כתב שהוא רק רוצה לפתוח,
ולכן שאלתי אותו מה המטרה שנוכל לענות לו..

הייתי במקום שלו, לא זוכר מתי ולמה. זה תהליך שעוברים אנשים..
חושב שכככל שידע מהר יותר מה רעיון מעשי ומה לא, יהיה לו יותר קל "להיפרד" מהרעיון "שלו" ולחשוב טוב על הפתרון שהכי טוב לו מבין הפתרונות האפשריים (הרבים) הקיימים.

אין. יש פעולות מקלדת בתוך הטאב שבו פועל הדף שלך (מלבד הגדלת סרטון למסך מלא.. שזה גם נחשב בתוך הטאב שלך, זה משפיע רק על התצוגה, ולא על המחשב והקבצים). ואתה גם יכול ליזום אותם, אבל לא תוכל ליזום את אלו שמשפיעות מחוץ לטאב שבו הסריפט שלך רץ.
ליתר דיוק - אין משהו מוכר. אולי לNSO/NSA יש מידע בנושא.