צ
צבי-ש
-
התקנת NodeBB עדכני על דוקר -
קבלת פרשת השבוע בעברית -
בדיקות חדירות ואבטחה לאוצריא@י.פל. כתב בבדיקות חדירות ואבטחה לאוצריא:
סליחה: אתה מסלף!
אתה כתבת את זה לפני יומיים
@י.פל. כתב בבדיקות חדירות ואבטחה לאוצריא:
רק להדגיש: מי שעשה לנו את זה (את הרוב, עכ"פ, זה מישהו שיודע מה הוא עושה, אבל בונה בעיקר עם AI.
אבל הרבה נוצר גם ע"י מישהו שלא מבין.מה שהזכיר לי את הפוסט שכתבת אז לחיפוש מתנדבים.
אני לא מכיר את אוצריה ואת האתר מפנים ומי כתב שם איזה חלק בקוד, אני ציטטתי אותך בחיפוש מתנדב, ובפוסט מלפני יומיים.
וכמובן סליחה אם מישהו נפגע מדבריי כאילו האתר בנוי כושל או משהו כזה, עדיין לא השתמשתי בו או ראיתי את הקוד שלו כדי לדעת דבר כזה
לגופו של עניין אם לקחו שליטה כמו שאתה כותב על חשבון מנהל, ואם אני מצרף את מה שאף-אחד-3 כתב, שהוא פשוט ניסה את id מספר 1 אז לכאורה אפשר להיכנס לכל החשבונות גם, ולא רק על חשבון ספציפי
לגבי האתגר שפתחת, אהבתי מאוד, אשמח אם יהיה פה קטגוריה לדברים כאלה, מאמין שאעבור שם על הפוסטים באדיקות, ואולי גם אוסיף כמה כאלה.
עריכה:
אגב,
לגבי מה שכתבתזה לא היה נתיב שלא אבטחו: זה היה נתיב שלא מחקו!
אני חושב שזה גם גרוע, כי נתיב שימושי עוברים עליו, וסורקים אותו מפעם לפעם כשצריך לשנות משהו, ונתיב ששכחו מיותר ומיותם ייסרק פחות מטבע הדברים
-
בדיקות חדירות ואבטחה לאוצריא@dovid כתב בבדיקות חדירות ואבטחה לאוצריא:
הגדרת כעת את רוב המוצרים המסחריים (!) בשוק, הישראלי בוודאי.
הם לא מוצרים שאספו מתכנתים ככה
@י.פל. כתב בדרוש לאוצריא: מתכנת אתרים אמיץ...:
אחד מחברי פרוייקט אוצריא, בנה אתר שיתופי לעריכת קבצים להכנסתם למאגר.
הבנייה הייתה במספר שלבים, מעבר מ..?? למונגו DB, ועוד שינויים רבים.
כרגע: השרת בvercel, הקוד בגיטהאב [פריסה אוטומטית בכל commit], ואולי עוד...
אין לי יכולת [מבחינת זמן, וגם כח] לבדוק מה הולך שם, אך כרגע אנחנו תקועים לאחר שהלה פרש, לפני שהספיק לסדר את הבלגן האיום והנורא שהוא עשה.אנו חוששים שאם העסק יתקע, ולא יהיה ניתן לערוך ספרים, לא נצליח בהמשך להרים אותו.
אם יש לך מספיק אומץ כדי להכנס ליער של קוד זבל, קבצי md עם הוראות והסברים מזמנים שונים, ועוד ועוד, אשמח אם תפנה למייל שבפרופיל שלי, ותסייע לנו - ולכל עורכי הספרים!
חשוב לציין: הקוד נכתב ע"י AI, ברובו אם לא בכולו. אין לי מושג לגבי מידת הידע של הנ"ל.
-
בדיקות חדירות ואבטחה לאוצריאפרויקט שנבנה בטלאים על טלאים, עם חלק אנשים שיודעים מה הם עושים, וחלק לא, יכול להיות שלא היה מספיק חשיבה על זה, או שלא היה כח / רצון לחשוב מחדש על הכל ביחד כשלא ברור עד הסוף מה באמת יש ומה אין.
יכול להיות כיום שאם יתנו למודלים מסויימים כיום את הקוד מקור, ויגידו להם לעשות סקירת אבטחה טובה הם יכולו למצוא שם כמה דברים שחשוב לתקן
-
אתר לחיפוש חברותא -
אתר חדש להתראות צבע אדום עם התרעות מקדימות וסינון לפי ערים -
איך למדתם לכתוב קוד - סקרהתחלתי משיחת טלפון בקורונה מחבר שהסביר לי (טלפונית, ואני במחברת) על
<?phpהמשכתי ב w3schools וב webmaster על תכנות בphp רק לפי מה שהייתי צריך באותו רגע (לולאה - אז נלמד על לולאה וכדומה) , ולא כקורס אמיתי
כמובן כל הזמן חיפושי גוגל ותשובות ב stack overflow ודומיו
אחרי זה התקבלתי לעבודה המסודרת הראשונה, שם לקחתי קורס אינטרנט לפייתון ועשיתי חלק קטן מהקורס, והשאר שוב שאלות בגוגל, או ללמוד על דברים ספציפיים
אחרי זה הלכתי לעבודה הנוכחית כיום, ששם כבר התחלתי עם פייתון (תודות לdevאופס שלא הסכים לי לכתוב בphp)
ובמשך הזמן המשכתי אל nodejs קצת וכדומה, שוב, ללא קורס אמיתי.אני חושב ששיטה זאת הייתה הכי טובה בשבילי כי לא הייתי מצליח להושיב את עצמי ללמוד חומר בצורה טובה, כן אני יודע ומיצר על זה שלפעמים יש דברים בסיסיים או ידע מתחת למכסה המנוע שאני לא מכיר טוב כמו שהייתי רוצה
כן מנסה כל הזמן לשמוע פודקאסטים, ולקרא דוגמאות קודים וכדומה או ספריות קצת איך הם עובדות כדי להכיר יותר ולהבין עוד
-
האם נטפרי חוסמת/משבשת/קוטעת חיבור SSE (Server Sent Events)? -
דרוש יעוץ (אפשר בתשלום) לתכנון פרויקט בJS -
תכנון טבלאות לפרוייקט@dovid כתב בתכנון טבלאות לפרוייקט:
הוא כותב שגם אחרי גיבוב זה קל לניחוש בגלל שהקלט קטן ומוגדר מאוד, זה בעיה רצינית
אפשר לשמור מגובב מספר-שדירג_מספר-מדורג, ועם עמודה ליד מה הדירוג,
זה יעבור האשינג והלוגיקה תהיה דומה, וזה יכפיל בהרבה את מספר האופציות שצריך לנחש (זה עדיין יהיה מוגבל, אבל טוב יותר משמעותית), אם חשוב לדעת כמה דירוגים יש לבן אדם מסויים (כמו שנכתב בהודעה של פותח השרשור), זה יסרבל את התהליך, כי יצטרכו לשמור את הנתון הזה בנפרד, ולעדכן אותו על כל שינוי עם שאילתה ייעודית, בגלל שלא יוכלו לעשות פשוט count על מספר עמודות מול הdb, כי לא נשמר שם מסודר המספר שאותו דירגו, (ואז יצטרכו ללכת כמו הלישנא בתרא שלו, בכל דירוג לעדכן את הפרטים) -
תכנון טבלאות לפרוייקט@eido כתב בתכנון טבלאות לפרוייקט:
הדירוג צריך להיות אנונימי, אחרת לא ידרגו.
מה שמשאיר אותנו עם מספר טלפון (שעליו יהיה הדירוג) והדירוג עצמו, מכיון שא"א להשאיר רק דירוג, כי אז הוא לא ישתקלל נכון עם דירוגים הבאים, צריך להשאיר את מספר המדרגים והדירוג הכולל כדי שיהיה אפשר להוסיף עליו את הדירוג החדש ולשקלל מחדש.
אתה רוצה לאפשר לכל אדם להקיש כמה דירוגים שהוא רוצה על כל אחד?
אם ראובן ירצה להתנכל לשמעון, הוא פשוט יתקשר 10 פעמים וידרג אותו 1, וזהו?אולי כדאי לשמור מי דירג ומתי, ולאפשר לו לדרג שוב רק בעוד חודש נגיד, או לאפשר לו לערוך את הדירוג ל2 אם הוא פתאום כן קיבל שירות וכדומה
בשביל להשאיר את זה אנונימי אתה יכול או לשמור מספר ולא להציג אותו לאף אחד (אנונימי כלפי המאזינים, שלהם אין דרך לדעת מי דירג ומתי),
או לשמור האשינג של מספר שדירג, ולבדוק האם יש לו דירוג קיים לפי ההאשינג, להשמיע לו את הדירוג הקיים ולאפשר לערוך, או אם לא קיים, להשאיר דירוג חדש
ככה אתה גם לא יודע מי זה, אבל אתה יודע שx כבר היה או לא היה(האשינג היא פונקציה שלוקחת מחרוזת כלשהיא, ומוציאה מחרוזת אחרת, עם מספר כללים
1 אי אפשר לחזור אחורה למחרוזת המקורית,
2 כל קלט שתכניס, ייצא פלט אחר.או במקרה שלנו, אם תכניס לפונקציה 0521234567 אתה תקבל למשל אבגדהו,
תשמור בdb ״אבגדהו״ דירג 5 את מספר פלאפון xyz,
אבל אתה לעולם לא תוכל לחזור אחורה מ אבגדהו אל 0521234567,
כשתרצה לבדוק האם הוא כבר דירג, ומה הדירוג שלו, תוכל להכניס שוב את 0521234567 אל הפונקציה, לקבל שוב את אבגדהו ועליו לבדוק בdb את הנתונים ) -
הפעלת תהליך נוד מחדש לקובץ ספציפי - הגיוני?@ששא כתב בהפעלת תהליך נוד מחדש לקובץ ספציפי - הגיוני?:
הספרייה עובדת שהוא שומר מידע על כל שיחה לפי מזהה השיחה שנשלח מימות, ולכן אם מפעילים מחדש אז כל המידע הזה נמחק ולכן השיחה מתחילה מחדש
נכון, כי זה נשמר לקואלית, לא מורכב לשייך את כל הנתונים שיישמרו בredis או מסד חיצוני מהיר אחר, ולא יורגש כמעט ההבדל במהירות במהלך השיחה, וזה כן יישמור נתונים אחרי ריסטארט
את מה שהוא הביא לך אני לא מכיר, אבל אם את עיקר הבעיה אתה יכול לפתור עם שמירה של הנתונים חיצונית, אז מה נשאר עוד?
-
הגדרת תנאים שונים שלא יזוהו כבוטים בקלאודפלר@ששא כתב בהגדרת תנאים שונים שלא יזוהו כבוטים בקלאודפלר:
(את ה UA אפשר לזייף)
לא הבנתי
user agnet הוא פרמטר שכל אחד מחליט מה למלאות שם, אי אפשר לסמוך על זה כאבטחה
-
וואו! מדהים! speedy ai -מפסיקים לחכות על הקו לנציגי שירותhttps://www.speedyai.co.il/terms-of-service#terms-section
4.2 המידע יישמר במאגרי החברה לפרק זמן שייקבע לפי שיקול דעתה, לצרכים תפעוליים, אבטחת מידע, שיפור השירות, או בהתאם לדרישות הדין. אין כל התחייבות למחיקת מידע באופן אוטומטי או להפיכתו לאנונימי.
-
ימות המשיח השמעת הודעת קמפיין בכניסה לשלוחת API - מי מכיר?לא מוצא כרגע את התיעוד של שמיעת הודעת קמפיין כשלוחה רגילה
אבל השמעה עם api זה לכאורה זה ${templateId}.wav
אם לא עובד אנסה לבדוק לעומק -
ימות המשיח השמעת הודעת קמפיין בכניסה לשלוחת API - מי מכיר?אתה יכול בapi עצמו להשמיע את ההקלטה של הקמפיין,
אתה יכול לעשות שלוחת ביניים שתשמיע את ההקטה, ואז תעביר אל השלוחת api -
פיתוח אפליקציית אנטרנט + מסד נתונים בדוקרתאר לעצמך שעוד שבועיים אתה צריך לתת גישה למתכנת לקוד/ לשרת, והוא ירצה להריץ לוקאלית את המערכת, למה שיריץ הכל, וישים env לכל הפרויקטים, והגדרות ניתוב דומיינים להכל, כשהוא צריך רק פרויקט אחד קטן של תזמון משימות?
אם יש לך חלק בפרויקט שאחראי על שלוחת api בקו, וברוך השם יש שם עומס עם מאות מאזינים בו זמנית, אתה תרצה להיות יכול לשכפל רק את החלק הזה, עם מאזן עומסים, ולא את כל הפרויקט כולו ולהסתבך עם זה
אם אחד מהם נופל מקריסה, למה שכולם ייפלו?
אם אתה רוצה לבדוק כמה זיכרון / עיבוד וכדומה צורך כל קונטיינר, זה פשוט יותר,
אם אתה רוצה לעדכן קוד בחלק אחד, למה לעשות בניה מחדש ולהפיל אותם לכמה שניות כשאפשר רק אותו -
מיקום קבצי nodejs בשרת@eido כתב במיקום קבצי nodejs בשרת:
@צבי-ש תודה
אני מדבר על ענין עקרוני, איך נכון לעשות. האם יש בעיה לשים אותם שם, או שאין בעיה.עכשיו בדקתי והם בהחלט נגישים, כל הקוד נגיש למי שיודע את הכתובת והשם שלהם. אבל בשביל זה יש vhost או htaccess, לא?
למה לך לשים קבצים רגישים בתיקיה חשופה לבחוץ, ואז להגן?
כשאתה יכול להפריד כל פרויקט מסודר לתיקיה משלו
