ایلان ماسک می‌خواد نور خورشید رو کم و زیاد کنه!

ایلان ماسک دوباره با یه ایده عجیب و جنجالی برگشته ، میخواد با یه ناوگان از ماهواره‌های خورشیدی مبتنی بر هوش مصنوعی، تابش خورشید به زمین رو کم کنه تا جلوی گرمایش جهانی گرفته بشه!

به گفته خودش، حتی اگه فقط بخش کوچیکی از نور خورشید کنترل بشه، میتونه روند افزایش دمای زمین رو متوقف کنه.در واقع داره از یه پروژه به اسم مهندسی خورشیدی آب‌وهوا حرف میزنه.

+ یعنی دستکاری مستقیم تعادل حرارتی زمین با فناوری...

باگ امنیتی با الویت (HIGH) برای لاراول...
دوستانی که از لاراول استفاده میکنن باگی در تاریخ 2025-11-12برای پکیج symfony/http-foundation گزارش شده که ریسک امنیتی bypass authorization داره به عبارتی در سمفونی PATH_INFO رو به صورت اشتباه parse میکنه و این باعث شده تو برخی پروژه ها کاربر به مسیر یا اکشنی دسترسی داشته باشه که نباید داشته باشه به طور معمول
جهت رفع این باگ دستور زیر رو بزنید
composer update symfony/http-foundation
یا اینکه کافیه فقط دستور
composer update رو بزنید لاراول به طور پیشفرض نسخه صحیح رو میاره

Nima Hamdi

کدام بهتر است ؟ GraphQL یا Rest ؟

سال‌ها REST استاندارد اصلی ارتباط با API بود اما با ظهور GraphQL قواعد بازی تغییر کرده است
این انتخاب فقط سلیقه‌ای نیست یک تصمیم معماری است که روی سرعت، حجم داده و تجربه‌ی توسعه تأثیر میزاره

چالش‌های REST که GraphQL حل می‌کند
Over-Fetching
در REST معمولاً داده‌های اضافی برمی‌گردند. GraphQL اجازه می‌دهد فقط همان فیلدهای موردنیاز را با حجم کمتر دریافت کنیم و سرعت بیشتر
Under-Fetching
در REST برای یک کامپوننت پیچیده باید چندین درخواست ارسال شود. GraphQL همه‌ی داده‌ها را در یک Query واحد برمی‌گرداند
رفت و برگشت کمتر و منطق ساده تر
چه زمانی از کدام استفاده کنیم؟

- رست: پروژه‌های کوچک و ساده
- گراف: اپلیکیشن‌های پیچیده و موبایل یا زمانی که چند تیم داده‌ها را مصرف می‌کنند


Mojtaba Vahedi

امسال بلک‌فرایدی یه اتفاق ناراحت کننده و کاملاً جدی رقم زد.

اسنپ‌پی تخفیف ۹۰ درصدی گذاشت و در یک چشم‌به‌هم‌زدن هزاران کاربر به سمت وب‌سایت‌های فروشنده‌ها بزرگ و کوچک هجوم بردند.
(وقتی مارکتینگ اهمیتش از مسئولیت‌پذیر بودن نسبت به کاربر خیلی بیشتره).

نتیجه؟ (ناراحتی و سردرگمی)
یک «Human‑Powered DDoS» کامل!


نه رباتی در کار بود، نه بات‌نت… فقط موجی از کاربرهایی که با انگیزهٔ گرفتن تخفیف، عملاً زیرساخت بعضی سایت‌ها رو از نفس انداختند.
این جنس رویداد خیلی جذابه چون از نظر معماری دقیقاً شبیه حمله DDoS رفتار می‌کنه، اما منبعش ۱۰۰٪ واقعی و انسانی‌ست. Traffic spike لحظه‌ای، پر شدن connection pool، فشار روی دیتابیس، خطاهای 503… همه چیز طبق کتاب، فقط با یک تفاوت:
مقصر «هیجان جمعی و از قبل مدیریت نشده!» بود، نه مهاجم سایبری.

این اتفاق دوباره یادمون می‌ندازه که Scalability فقط یک قابلیت اضافه نیست، بلکه باید بخشی از DNA هر سرویس باشد.
از load balancing تا queue management و طراحی درست back‑pressure.

بلک‌فرایدی امسال تخفیف نداد؛ فقط یه درس معماری واقعی داد.

Arshiya Asadi

دعوت به همکاری: کارآموز Backend (Node.js)

سلام،
ما به دنبال یک کارآموز علاقه‌مند و پرانرژی در حوزه‌ی Backend هستیم؛ فردی که مسیر یادگیری Node.js را شروع کرده و می‌خواهد مهارت‌هایش را در یک محیط حرفه‌ای و پروژه‌محور تقویت کند.

ویژگی‌های مورد انتظار:

آشنایی اولیه با Node.js و حداقل یکی از فریم‌ورک‌ها (Express یا NestJS)

آشنایی با مفاهیم API، درخواست/پاسخ، و اصول توسعه سمت سرور

آشنایی پایه با دیتابیس MongoDB

آشنایی با Git و توانایی کار در تیم

انگیزه بالا برای یادگیری، نظم، و پذیرش چالش‌های جدید

آنچه در این دوره تجربه می‌کنید:

مشارکت در پروژه‌های واقعی و کاربردی

دریافت فیدبک و منتورینگ مستمر

یادگیری اصول معماری بک‌اند، طراحی API، امنیت و بهینه‌سازی

امکان همکاری بلندمدت در صورت عملکرد مناسب

📩 در صورت علاقه، لطفاً رزومه خود را ارسال کنید:
[email protected]

منتظر آشنایی با استعدادهای تازه‌نفس و باانگیزه هستیم.

konect.ir

چند ساعت قبل تیم Next.js خبر دادن که یه باگ جدی پیدا شده. در واقع، باگ اصلش توی React عه و Next.js فقط یکی از فریمورک‌هایی هست که تحت تأثیر این مشکل قرار گرفته. اگر تو پروژه‌هاتون از App Router و Server Components استفاده می‌کنین، پروژه‌تون در خطره.
این آسیب‌پذیری از راه دور exploit می‌شه، نیاز به احراز هویت نداره، می‌تونه هر کدی رو روی سرور شما اجرا کنه و هیچ تعامل کاربری هم نمی‌خواد. به همین خاطر هم بالاترین نمره CVSS یعنی ۱۰ رو گرفته. نسخه‌های 15.x و 16.x آسیب‌پذیرن.
سریع‌ترین راه‌حل اینه که اپ رو به یکی از نسخه‌های فیکس‌شده مثل
15.0.5، 15.1.9، 15.2.6، 15.3.6، 15.4.8، 15.5.7 یا 16.0.7
آپدیت کنین.
اما خیلی ساده بگم مشکل چیه:
وقتی React داره از سمت سرور رندر می‌کنه، یک‌سری پیام و داده به کلاینت می‌فرسته. مشکل از جایی شروع می‌شه که وقتی پیام از سمت کلاینت برمی‌گرده، React زیاد سخت‌گیری نمی‌کنه که این پیام دقیقاً چیه و از کجا اومده.
توی این پیام‌ها می‌تونه نوشته شده باشه: فلان Server Action رو با فلان پارامتر اجرا کن.
ری اکت هم بدون بررسی جدی، همین رو به‌عنوان یک درخواست واقعی قبول می‌کنه. Next.js هم تقریباً همین پیام رو بدون تغییر به React پاس می‌ده.
نتیجه‌اش؟
اگر یکی بتونه یک درخواست جعلی بسازه، می‌تونه یک Server Action واقعی روی سرور رو با پارامتر دلخواهش صدا بزنه و React هم اجراش می‌کنه. یعنی عملاً هکر می‌تونه کاری کنه که سرور هر کدی که بخواد اجرا کنه.
پس اجازه ندین این باگ روی پروژه‌تون بمونه.
همین حالا آپدیت کنین.

Naser Faraji

چند روز پیش یک حمله بسیار خطرناک و پیشرفته به اکوسیستم npm انجام شده که نسبت به حملات قبلی یک تفاوت اساسی دارد:
این بدافزار فقط برای سرقت اطلاعات ساخته نشده، بلکه قابلیت تکثیر خودکار، گسترش زنجیره‌ای و تخریب کامل سیستم را هم دارد.

نام این بدافزار را Shai Hulud گذاشته‌اند. دلیل این نام‌گذاری این است که مثل یک کرم عمل می‌کند؛ یعنی اگر یک سیستم آلوده شود، خودش را به جاهای دیگر گسترش می‌دهد.

1. روش ورود بدافزار

مهاجمان از یک اشتباه در تنظیمات GitHub Actions، مخصوصاً در بخش pull_request_target سوءاستفاده کرده‌اند.
این تنظیم اشتباه باعث شده که کدهای مخرب بتوانند داخل مسیر CI/CD پروژه‌ها اجرا شوند.

بعد از نفوذ:
• توکن‌های انتشار npm سرقت شده‌اند
• هکرها با همین توکن‌ها، نسخه‌های جدید آلوده از پکیج‌ها را منتشر کرده‌اند
• این آلودگی تا شرکت‌های بزرگی مثل PostHog هم پیش رفته

یعنی اگر توسعه‌دهنده‌ای نسخه جدید یک پکیج آلوده را نصب کند، عملاً بدافزار مستقیماً وارد سیستمش می‌شود.

⸻

2. روش اجرای مخفی

در نسخه جدید حمله، یک فایل به نام setup_bun.js استفاده شده است.
بدافزار به‌صورت مخفی:
• Runtime مربوط به Bun را دانلود و نصب می‌کند
• اسکریپت‌های مخرب را با Bun اجرا می‌کند
هدف این کار این است که فعالیت مشکوک به Node.js نسبت داده نشود و شناسایی سخت‌تر شود.

⸻

3. جمع‌آوری اطلاعات حساس

بعد از ورود، بدافزار با ابزارهایی مثل TruffleHog شروع می‌کند به اسکن کل سیستم. دنبال این موارد می‌گردد:
• کلیدهای AWS
• کلیدهای Azure
• توکن‌های GitHub
• توکن‌های npm
• فایل‌های .env
• کلیدهای SSH
• و هر چیزی که شبیه پسورد یا کلید امنیتی باشد

اطلاعات سرقت‌شده:
• سه بار Base64 رمزگذاری می‌شوند
• بعد برای سرور مهاجم ارسال می‌شوند تا شناسایی‌شان سخت‌تر شود

⸻

4. قابلیت تکثیر خودکار

نقطه بسیار خطرناک این بدافزار همین‌جاست:
اگر سیستم یک توسعه‌دهنده آلوده شود و آن توسعه‌دهنده صاحب پکیج npm هم باشد:
• بدافزار وارد اکانت npm او می‌شود
• پکیج‌هایش را با نسخه جدید آپدیت می‌کند
• کد مخرب را به آن‌ها تزریق می‌کند
• و این چرخه آلودگی ادامه پیدا می‌کند

یعنی حمله به‌صورت زنجیره‌ای و خودکار گسترش پیدا می‌کند.

⸻

5. مرحله تخریب (بدترین بخش ماجرا)

اگر بدافزار نتواند:
• اطلاعات مهم پیدا کند
• یا نتواند خودش را تکثیر کند
و گاهی هم صرفاً برای پاک کردن ردپا، وارد فاز تخریب می‌شود.

در لینوکس و مک:
• تمام فایل‌های قابل نوشتن کاربر را پیدا می‌کند
• ابتدا روی آن‌ها Overwrite انجام می‌دهد تا قابل ریکاوری نباشند
• بعد کل دایرکتوری‌ها را به‌صورت کامل حذف می‌کند

یعنی هم اطلاعات از بین می‌رود، هم امکان بازیابی هم وجود ندارد.

⸻

اگر بخواهم خیلی خلاصه بگویم:
این حمله فقط «دزدی اطلاعات» نیست؛ یک ترکیب از سرقت، تکثیر، نفوذ زنجیره‌ای و تخریب کامل سیستم است و به همین دلیل یکی از خطرناک‌ترین حملات ثبت‌شده روی npm محسوب می‌شود.

در دنیای توسعه نرم‌افزار، انتخاب فناوری تنها به سرعت و راحتی محدود نمی‌شود. امنیت یکی از حیاتی‌ترین معیارهاست و داده‌های منتشر شده در Exploit-DB تصویر جالبی از میزان آسیب‌پذیری‌های ثبت‌شده در پلتفرم‌های مختلف نشان می‌دهد.
آمار آسیب‌پذیری‌های منتشر شده (بر اساس Exploit-DB)
🔴 PHP
7,851 آسیب‌پذیری
🟠 WordPress
1,433 آسیب‌پذیری
🟡 Python
41 آسیب‌پذیری
🟢 Node.js
3 آسیب‌پذیری
این تفاوت چشمگیر، تنها یک یادآوری است:
انتخاب پلتفرم مناسب می‌تواند نقش مهمی در امنیت محصول و هزینه‌های بلندمدت ایفا کند. هرچقدر تعداد آسیب‌پذیری‌های شناخته‌شده بیشتر باشد، احتمال تهدیدات امنیتی در پروژه‌هایی که به‌صورت نادرست پیاده‌سازی یا ایمن‌سازی شده‌اند افزایش پیدا می‌کند.
در مسیر توسعه، امنیت انتخاب نیست؛ یک ضرورت است.
(منبع: Exploit-DB)

اگر به هر دلیل نمی‌توانید فعلاً از PHP فاصله بگیرید، حتماً از Docker استفاده کنید. استفاده از Docker به شما کمک می‌کند محیط اجرا را ایزوله نگه دارید و احتمال بروز آسیب‌پذیری‌ها و مشکلات زیرساختی را تا حد زیادی کاهش دهید.

Pouya Azaranmehr

گیت ابزاری بسیار مفیده و قابلیت‌هایی هم داره که گاهی ازشون خبر نداریم ولی اگر پیش بیاد بسیار به درد می خورن؛ از جمله bisect برای کشف جایی که باعث یه باگ شده (و کسی که باعث تولید باگ شده). توی این ویدئو در موردش توضیح می دم.


https://youtu.be/V89oD_HgSbE

در مورد این پست، چند تا نکته جالب مطرح شد:

۱- بیشتر بودن آمار لزومن به معنی ناامن بودن نیست:
درست مثل اینکه پراید بیشترین تصادف رو داره، چون تعدادش بیشتره.
و PHP هم اکوسیستمی بزرگ و پرکاربرد داره، پس طبیعیه که باگ‌های بیشتری کشف و ثبت بشه.

۲- اکوسیستم بزرگ‌تر = بلوغ امنیتی بیشتر:
وقتی حمله‌ها زیاد هستن، باگ‌ها زودتر کشف میشن و جامعه سریع‌تر واکنش نشون میده.
این خودش به امنیت بلندمدت کمک میکنه.

۳- ولی سطح حمله هم بزرگ‌تر میشه:
اکوسیستم بزرگ یعنی:
افزونه‌های بیشتر، کدهای متنوع‌تر، کیفیت‌های مختلف‌تر. در نتیجه سطح حمله (Attack Surface) بزرگ‌تر و همین یعنی نیاز به مراقبت، کانفیگ درست و ایزولیشن بیشتر.

۴- کم بودن Exploitهای Node.js = ناشناخته بودن؟ نه الزامن.
معماری ماژولار Node و کوچک بودن سطح حمله هسته باعث شده باگ‌های کمتری در خود Node ثبت بشه.
با این حال حمله‌های Node معمولن از مسیر پکیج‌های third-party اتفاق می‌افته. پس ریسک همچنان وجود داره.

نتیجه نهایی بحث:
هیچ زبان یا اکوسیستمی به‌ذات امن یا ناامن نیست. مسئله، مدیریت ریسکه.

اگه PHP کار می‌کنین: روی ایزولیشن (Docker)، سخت‌گیری امنیتی و کنترل افزونه‌ها حساس باشین.

اگر Node کار می‌کنین: وابستگی‌ها، Audit و کم‌کردن پکیج‌ها حیاتیه.

اگر Python کار می‌کنین: به‌خصوص حوزه وب، مراقب پکیج‌ها و تنظیمات باشین.


در نهایت ممنونم بابت نظراتی که دادین

توهم مدیر خوب بودن

خیلی وقت‌ها مدیران فکر می‌کنند «فشار و استرس را به تیم منتقل نکرده‌اند» و همین نشان‌دهنده خوبی آن‌هاست.
واقعیت این است که فشار همیشه منتقل می‌شود، حتی اگر مستقیم گفته نشود:
• تسک‌های فوری بدون توضیح کافی
• ددلاین‌های غیرواقعی و تغییر مداوم اولویت‌ها
• مخالفت‌های پی‌درپی بدون ارائه مسیر جایگزین

اختلافات درون تیم نتیجه بی‌اطلاعی تیم یا نادیده گرفتن فشار توسط مدیر نیست؛ بلکه نتیجه ابهام و تصمیم‌گیری نامشخص مدیر است.
مدیر خوب کسی است که فشار را نه انکار کند، نه صرفا جذب کند، بلکه آن را به وضوح، اولویت و مسیر قابل فهم برای تیم تبدیل کند.

اگر هدف واقعی مدیریت آرامش تیم است، باید مسئولیت اثر تصمیم‌ها را بر عهده گرفت و اختلافات داخلی را گردن نیروها نینداخت.

معرفی پکیج: fuzzy

وقتی کاربر یه اسم یا عبارت رو اشتباه تایپ می‌کنه، جستجو باید همچنان جواب بده (بر اساس نیاز پروژه البته).
اینجاست که fuzzy به درد می‌خوره.

مثال ساده:

import fuzzy from "fuzzy";

const names = ["Alireza", "Sara", "Ali", "Sami"];
const result = fuzzy.filter("Alriza", names);

console.log(result.map(r => r.string)); // ["Alireza"]

چرا جالب و کاربردیه؟
• جستجوی تقریبی بدون پیچیدگی
• مناسب autocomplete یا search bar
• سبک و سریع
• بدون نوشتن الگوریتم پیچیده از صفر

با fuzzy دیگه لازم نیست نگران اشتباه تایپ کاربر باشیم، همیشه نزدیک‌ترین گزینه رو پیدا می‌کنه!

+ بچه‌ها واقعا حق دارن، با این تورم حقوقشون دیگه کفاف نمیده. صدای اعتراضشون بلند شده و چندتا هم تهدید به استعفا کردن. باید با هیئت مدیره بجنگم تا بودجه افزایش حقوق رو تصویب کنن.

- دیوونه شدی؟ بودجه رو حروم نکن!
اول یه جلسه بذار و با بغض از "شرایط سخت اقتصادی شرکت" و "کشتی در حال غرق" بگو تا عذاب وجدان بگیرن.
بعد به جای پول، تایتل شغلیشون رو دهن‌ پرکن‌ تر کن. مثلا به کارشناس ساده بگو "مدیر ارشد هماهنگی"!
یه "پیتزا پارتی" هم بگیر و بگو ما اینجا یه خانواده‌ایم، آدم که از خانواده‌اش پول زور نمی‌گیره.
اگه خیلی سمج بودن، بندازشون تو پروسه‌ ی "ارزیابی عملکرد ۶ ماهه" و بگو افزایش حقوق مشروطه به تارگت‌ هایی که عمرا بتونن بزنن!

زومیت :
پس از حدود دو هفته قطعی، اینترنت همراه اول دوباره برای بسیاری از کاربران در دسترس قرار گرفته است. با این حال واتس‌اپ همچنان فیلتر است و هنوز امکان استفاده از آن وجود ندارد. به گزارش زومیت، دسترسی به اینترنت برای سایر کاربران همراه اول نیز به‌صورت تدریجی برقرار خواهد شد.
بر اساس روال‌های گذشته، انتظار می‌رود طی ساعت‌های آینده اینترنت در دیگر اپراتورهای ثابت و همراه نیز به مدار بازگردد.
در حال حاضر دسترسی کامل به اینترنت بین‌الملل برای همه مشترکان همراه اول فراهم نشده، اما پیش‌بینی می‌شود این محدودیت هم طی ساعات آینده برطرف شود.
واتس‌اپ همچنان در دسترس نیست و بعید به نظر می‌رسد به این زودی رفع فیلتر شود.
مشخص نیست با چه رویکردی اینترنت در حال بازگشت است چرا که برخی از سرویس‌ها از جمله ویکی‌پدیا، بینگ و بسیاری از سایت‌های خارجی باز شده‌اند اما بسیاری از سرویس‌ها از جمله Github هنوز باز نشده است.
به نظر می‌رسد رویکرد زجرآور اتصال قطره‌چکانی همچنان در دستور کار قرار دارد و نه تنها دسترسی تمام کاربران همراه‌اول به اینترنت برقرار نشده بلکه همه سایت‌ها و سرویس‌های خارجی نیز دردسترس قرار نگرفته‌اند و فقط برخی باز شده‌اند.

اگر توی کار گیر کردید فعلا می‌تونید از رانفلر استفاده کنید.

تقریبا برای اکثر ابزار‌ها میرور داره، سروراش داخلیه، سرعتش هم خوبه.

https://runflare.com/mirrors/

نت‌بلاکس: قطعی اینترنت در ایران به بیش از ۳۸۴ ساعت رسید

🔹 نت‌بلاکس، نهادی که دسترسی اینترنت در جهان را رصد می‌کند گفته است که ایران همچنان در سومین هفته قطعی اینترنت به سر می‌برد و این قطعی سراسری ۳۴۸ ساعت را رد کرده است.
🔹این نهاد گفته است که تنها افزایش اندکی در اتصال کلی و کاربران تونل شده مشاهده می‌شود.
🔹به گفته نت‌بلاکس نشانه‌هایی از تلاش برای ایجاد ترافیک کاذب و جعل روایت‌هایی از ترمیم گسترده‌تر وجود دارد.
🔹 برخی پروکسی های تلگرام در خطوط تلفن همراه این اتصال را برقرار کرده اند و تغییر چندانی در برقراری اینترنت بین الملل رخ نداده است.

شرکت اپل داره به صورت رسمی با اسپیس‌ایکس مذاکره می‌کنه تا اینترنت ماهواره‌ای مستقیم رو بیاره روی آیفون‌های نسل بعد؛
آیفون 18 پرو و 18 پرو مکس قراره به فناوری Direct-To-Cell استارلینک مجهز بشن.
این فناوری یعنی چی؟
یعنی دیگه گوشی مستقیم به ماهواره وصل می‌شه، بدون دیش، بدون مودم، بدون هیچ سخت‌افزار اضافه‌ای.
یعنی دیگه نیاز نیست 300 الی 500 میلیون تومن پول دیش و ماهواره استارلینک رو بدی، فقط کافیه یه آیفون
18 پرو یا 18 پرومکس داشته باشی.
در نتیجه تو جاهایی که آنتن موبایل نیست (بیابون، کوه، جاده‌های دورافتاده)، آیفون 18 هنوز می‌تونه وصل بمونه و همچنین دیگه فرقی نداره تو ایران باشی یا آمریکا، دیگه میتونی از اینترنت بدون فیلتر و پرسرعت استارلینک بهره‌مند بشی.

پاول دوروف گرفت رو مارک زاکر برگ (مالک واتساپ) و یه چت قدیمی ازش افشا کرد، زمانی که فقط به اطلاعات 4000 نفر دسترسی داشته و به هم دانشگاهیش گفته اطلاعاتی از کسی نیاز داری بگو