העלתי תרגום מושלם עי AI ותיקון לבאג של הכותרת כאן
בהצלחה
ע
ע"ה דכו"ע
@ע"ה דכו"ע
-
האיקס של הסגירה בVSC עובר לצד שמאל כשמחליפים לשפה כמו עברית שתומכת מימין לשמאל -
פורום גוד לינק - הפורום החרדי לקניות חכמות ברשתנמאס לכם לשלם ביוקר? הכירו את Good-לינק: הבית החדש שלכם לקניות ברשת!
כולנו מכירים את זה: מחפשים בגדים לילדים לעונה הקרובה, אביזרים למטבח או גאדג'ט שראינו בפרסומת, רוצים לקנות בסין, אבל לא מרגישים מספיק בטוחים -
- האם המידה תתאים?
- איך לא מסתבכים עם המכס והמע"מ?
- ואיך מוצאים את הלינק של המוצר האיכותי באמת בין מיליוני הזיופים?
בדיוק בשביל זה הקמנו את Good-לינק – פורום ייעודי ומקצועי למטרת חסד וצרכנות נבונה, שבו עוזרים אחד לשני לקנות חכם.
מה מחכה לכם ב-Good-לינק?
התייעצות בזמן אמת: שואלים על מוצר בטמו, עלי-אקספרס או אמזון ומקבלים תשובה מבעלי ניסיון. סדר בבלאגן: מדריכים ברורים על משלוחים, חברות שליחויות והתמודדות עם המכס. מציאות מהארץ: השוואות מחירים חכמות מול רשתות השיווק בארץ. קהילה איכותית: מקום שבו "איש את רעהו יעזורו" כדי לחסוך מאות ואלפי שקלים בשנה. צוות מורחב של מקצוענים באתרי הקניות, שיודעים לעזור בקניה מכל הבחינות, ולהמליץ על מוצרים מתוך ניסיון רב.אנו מזמינים אתכם להצטרף, לשאול, להמליץ ולהפוך לחלק מקהילת הקניות החכמה של המגזר.
מחכים לכם שם
-
בדיקות חדירות ואבטחה לאוצריא@צבי-ש האתר אכן נכתב ע"י אחד שמשתמש המון בAI, ורק עובר על זה קצת (לא תמיד)... זה היה אני במקרה (בעיקר הבסיס, כל ההמשך כבר היה @פלמנמוני בעיקר).
הכוונה שזה לא סתם מקבץ אנשים שכל אחד מנסה את כוחו עד שהוא מחליט שזה לא בשבילו, אלא שני אנשים פחות או יותר, שעושים את זה, והעמידו אתר נחמד מאוד בסופו של דבר.
@צבי-ש כתב בבדיקות חדירות ואבטחה לאוצריא:
לגופו של עניין אם לקחו שליטה כמו שאתה כותב על חשבון מנהל, ואם אני מצרף את מה שאף-אחד-3 כתב, שהוא פשוט ניסה את id מספר 1 אז לכאורה אפשר להיכנס לכל החשבונות גם, ולא רק על חשבון ספציפי
זה לא שהוא ניסה את ID מספר אחד, אלא את הID שהגיע הראשון ברשימת המשתמשים (כנראה היה ממוין לפי נקודות או משהו).
זה נכון שהוא היה יכול לבחור כל אחד מהמשתמשים, אבל מה זה מוסיף יותר מאשר חשבון מנהל?אגב הוא השתמש בהזרקת שאילתת NoSql במקום טוקן לאיפוס סיסמה, והיה חסר בדיקת טיפוס שיהיה דווקא סטרינג (אם זה מענין).
-
עזרה בשליחת מיילים דרך AWS SESגם לי זה קרה, הם נורא חשדניים, וייתכן שהם מאשרים רק אתרים קיימים ומוכרים שכבר ניתן יותר לעמוד על טיבם.
אתה יכול להשתמש בzeptomail זה מחיר כפול שנים וחצי, אבל זה לא כזה משמעותי אם אין לך מאה אלף מיילים בחודש
-
בדיקות חדירות ואבטחה לאוצריאזה לא היה כזה קל, וזו לא היתה פירצה שנבעה מחוסר אבטחה טוטאלי, ס"ה באחד מתוך כל הנתיבים שמאפשרים העלאת קבצים היה חסר שני שורות קוד (בכל הנתיבים זה כן היה חסום).
גם הפירצה הקודמת שמצאת קשה לקרוא לה חוסר אבטחה טוטאלי, כמו נניח אם הנתיבי API היו פתוחים לכל דורש.
כלומר גם מתכנת מקצועי היה עלול לפספס את שני החורים האלו, בשביל זה יש מקצוע מיוחד שנקרא חוקר אבטחה.