🔵 عنوان مقاله
Authorities Seize Dark Web Marketplaces Sipulitie and Tsätti (2 minute read)
🟢 خلاصه مقاله:
مقامات فنلاندی و سوئدی با کمک شرکت امنیت سایبری بیتدیفندر، توانستند دو بازار بزرگ شبکه دارک وب به نامهای سیپولیتیه (Sipulitie) و تساتی (Tsätti) را تعطیل کنند. این دو بازار، محلی برای فروش غیرقانونی مواد مخدر بودند که معاملاتی به ارزش میلیونها دلار را در بر میگرفت. اقدامات سازمانیافته و همکاریهای بینالمللی میان این نهادها، منجر به بستن این بازارهای آنلاین شد که گامی مهم در مبارزه با فعالیتهای غیرقانونی در فضای دیجیتال به شمار میآید. این اقدام نه تنها باعث خاتمه دادن به فروش مواد مخدر در این دو سایت شد، بلکه نشان دهنده افزایش توانایی و همکاریهای بینالمللی در پیگیری و مقابله با جرائم سایبری و نیل به امنیت در فضای مجازی است.
🟣لینک مقاله:
https://hackread.com/authorities-seize-dark-web-marketplaces-sipulitie-tsatti/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Authorities Seize Dark Web Marketplaces Sipulitie and Tsätti (2 minute read)
🟢 خلاصه مقاله:
مقامات فنلاندی و سوئدی با کمک شرکت امنیت سایبری بیتدیفندر، توانستند دو بازار بزرگ شبکه دارک وب به نامهای سیپولیتیه (Sipulitie) و تساتی (Tsätti) را تعطیل کنند. این دو بازار، محلی برای فروش غیرقانونی مواد مخدر بودند که معاملاتی به ارزش میلیونها دلار را در بر میگرفت. اقدامات سازمانیافته و همکاریهای بینالمللی میان این نهادها، منجر به بستن این بازارهای آنلاین شد که گامی مهم در مبارزه با فعالیتهای غیرقانونی در فضای دیجیتال به شمار میآید. این اقدام نه تنها باعث خاتمه دادن به فروش مواد مخدر در این دو سایت شد، بلکه نشان دهنده افزایش توانایی و همکاریهای بینالمللی در پیگیری و مقابله با جرائم سایبری و نیل به امنیت در فضای مجازی است.
🟣لینک مقاله:
https://hackread.com/authorities-seize-dark-web-marketplaces-sipulitie-tsatti/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Hackread
Authorities Seize Dark Web Marketplaces Sipulitie and Tsätti
Follow us on Twitter (X) @Hackread - Facebook @ /Hackread
🔵 عنوان مقاله
Revenue Cycle Vendor Notifying Nearly 400K Patients of Hack (3 minute read)
🟢 خلاصه مقاله:
شرکت Gryphon Healthcare اعلام کرده است که اطلاعات شخصی حدود 400 هزار فرد به دلیل نقض دادهها توسط یک طرف ثالث نامشخص در معرض خطر قرار گرفته است. این اطلاعات احتمالاً شامل نامها، تاریخهای تولد، آدرسها، شمارههای تامین اجتماعی، تاریخهای خدمات، تشخیصها، اطلاعات بیمه سلامت، اطلاعات درمانی و شمارههای پرونده پزشکی، ارائه دهندگان خدمات، و داروهای تجویز شده است. Gryphon تاکنون متوجه هیچ گونه استفاده نادرست از این اطلاعات نشده است. شرکت در حال تصدیق و تحقیق بیشتر در این زمینه بوده و به افراد مربوطه توصیه میکند تا از احتمال سوء استفاده از دادههایشان آگاه باشند و حفاظت لازم را انجام دهند.
🟣لینک مقاله:
https://www.bankinfosecurity.com/revenue-cycle-vendor-notifying-400000-patients-hack-a-26523?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Revenue Cycle Vendor Notifying Nearly 400K Patients of Hack (3 minute read)
🟢 خلاصه مقاله:
شرکت Gryphon Healthcare اعلام کرده است که اطلاعات شخصی حدود 400 هزار فرد به دلیل نقض دادهها توسط یک طرف ثالث نامشخص در معرض خطر قرار گرفته است. این اطلاعات احتمالاً شامل نامها، تاریخهای تولد، آدرسها، شمارههای تامین اجتماعی، تاریخهای خدمات، تشخیصها، اطلاعات بیمه سلامت، اطلاعات درمانی و شمارههای پرونده پزشکی، ارائه دهندگان خدمات، و داروهای تجویز شده است. Gryphon تاکنون متوجه هیچ گونه استفاده نادرست از این اطلاعات نشده است. شرکت در حال تصدیق و تحقیق بیشتر در این زمینه بوده و به افراد مربوطه توصیه میکند تا از احتمال سوء استفاده از دادههایشان آگاه باشند و حفاظت لازم را انجام دهند.
🟣لینک مقاله:
https://www.bankinfosecurity.com/revenue-cycle-vendor-notifying-400000-patients-hack-a-26523?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Bank info security
Revenue Cycle Vendor Notifying 400,000 Patients of Hack
A Texas-based revenue cycle management firm is notifying about 400,000 individuals of a hacking incident it says originated with another third party. The incident
🔵 عنوان مقاله
Chinese Researchers Find a Potential Quantum Attack on Classical Encryption (4 minute read)
🟢 خلاصه مقاله:
گروهی از محققان مقالهای را منتشر کردهاند که جزئیات یک حمله جدید را توسط سیستمهای کوانتومی آنیلینگ تجاری D-wave بیان میکند. این حمله به الگوریتمهای ساختار شبکه جایگزینی-جایابی (Substitution-Permutation Network) که حیاتی برای استانداردهای رمزنگاری AES هستند، هدف قرار داده است. با این حال، گزارش به هدف قرار دادن کلیدی با طول 22 بیتی محدود شده است، که بسیار کوچکتر از کلیدهای معمولاً استفاده شده است. این تحقیق نشان میدهد که چگونه سیستمهای کوانتومی میتوانند برای نفوذ به الگوریتمهای رمزنگاری که بر اساس ساختارهای شناخته شده هستند استفاده شوند، اگرچه کاربردهای واقعی این روش تاکنون محدود به کلیدهای بسیار کوچکتر است. این مطالعه میتواند نشاندهنده امکانات و محدودیتهای فعلی در استفاده از تکنولوژی کوانتومی در دنیای رمزنگاری باشد.
🟣لینک مقاله:
https://www.theregister.com/2024/10/14/china_quantum_attack/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Chinese Researchers Find a Potential Quantum Attack on Classical Encryption (4 minute read)
🟢 خلاصه مقاله:
گروهی از محققان مقالهای را منتشر کردهاند که جزئیات یک حمله جدید را توسط سیستمهای کوانتومی آنیلینگ تجاری D-wave بیان میکند. این حمله به الگوریتمهای ساختار شبکه جایگزینی-جایابی (Substitution-Permutation Network) که حیاتی برای استانداردهای رمزنگاری AES هستند، هدف قرار داده است. با این حال، گزارش به هدف قرار دادن کلیدی با طول 22 بیتی محدود شده است، که بسیار کوچکتر از کلیدهای معمولاً استفاده شده است. این تحقیق نشان میدهد که چگونه سیستمهای کوانتومی میتوانند برای نفوذ به الگوریتمهای رمزنگاری که بر اساس ساختارهای شناخته شده هستند استفاده شوند، اگرچه کاربردهای واقعی این روش تاکنون محدود به کلیدهای بسیار کوچکتر است. این مطالعه میتواند نشاندهنده امکانات و محدودیتهای فعلی در استفاده از تکنولوژی کوانتومی در دنیای رمزنگاری باشد.
🟣لینک مقاله:
https://www.theregister.com/2024/10/14/china_quantum_attack/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Register
Crypto-apocalypse soon? Chinese researchers find a potential quantum attack on classical encryption
With an off-the-shelf D-Wave machine, but only against very short keys
🔵 عنوان مقاله
New macOS TCC Vulnerability Discovered (2 minute read)
🟢 خلاصه مقاله:
پژوهشگران مایکروسافت آسیبپذیری جدیدی را کشف کردند که به مهاجمان اجازه میدهد تا از محافظتهای شفافیت، رضایت و کنترل (TCC) برای مرورگر سافاری عبور کنند. این آسیبپذیری میتواند توسط یک مهاجم با تغییر فایلهای پیکربندی خاص در سافاری و سپس وادار کردن کاربر به مراجعه به یک صفحه مخرب مورد بهرهبرداری قرار بگیرد. یک وصله برای رفع این نقص موجود است و به کاربران توصیه میشود که بهروزرسانی انجام دهند، چرا که مایکروسافت تشخیص داده است ممکن است بازیگران تهدید به طور فعال در حال بهرهبرداری از این آسیبپذیری باشند. این کشف نشاندهنده اهمیت بهروزرسانیهای امنیتی و آگاهی از تغییرات امنیتی در نرمافزارهای مورد استفاده است.
🟣لینک مقاله:
https://cybernews.com/security/new-macos-vulnerability-discovered-get-the-patch/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
New macOS TCC Vulnerability Discovered (2 minute read)
🟢 خلاصه مقاله:
پژوهشگران مایکروسافت آسیبپذیری جدیدی را کشف کردند که به مهاجمان اجازه میدهد تا از محافظتهای شفافیت، رضایت و کنترل (TCC) برای مرورگر سافاری عبور کنند. این آسیبپذیری میتواند توسط یک مهاجم با تغییر فایلهای پیکربندی خاص در سافاری و سپس وادار کردن کاربر به مراجعه به یک صفحه مخرب مورد بهرهبرداری قرار بگیرد. یک وصله برای رفع این نقص موجود است و به کاربران توصیه میشود که بهروزرسانی انجام دهند، چرا که مایکروسافت تشخیص داده است ممکن است بازیگران تهدید به طور فعال در حال بهرهبرداری از این آسیبپذیری باشند. این کشف نشاندهنده اهمیت بهروزرسانیهای امنیتی و آگاهی از تغییرات امنیتی در نرمافزارهای مورد استفاده است.
🟣لینک مقاله:
https://cybernews.com/security/new-macos-vulnerability-discovered-get-the-patch/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Cybernews
New macOS vulnerability discovered: get the patch before attackers get access
Microsoft researchers have unveiled a new macOS vulnerability that attackers can exploit to gain unauthorized access to protected data.
🔵 عنوان مقاله
Node Version Audit (GitHub Repo)
🟢 خلاصه مقاله:
Node Version Audit یک ابزار مفید برای بررسی نسخههای Node.js میباشد که با استفاده از فهرست بهروز شدهای از حفرههای امنیتی (CVE)، انتشارات جدید، و تاریخهای پایان عمر (EOL) کار میکند. این ابزار به توسعهدهندگان و مدیران سیستم کمک میکند تا از امنیت و بهروز بودن نسخههای Node.js استفادهشده در پروژههای خود اطمینان حاصل کنند. استفاده از Node Version Audit به این دلیل مهم است که نسخههای کهنه و دارای آسیبپذیریهای شناختهشده میتوانند به مخاطرات امنیتی جدی منجر شوند. این ابزار به طور خودکار نسخههای Node.js را با لیستی جامع از CVEها تطبیق داده و همچنین تاریخهای انتشار و پایان عمر هر نسخه را گزارش میدهد، که به کاربران امکان میدهد تصمیمات آگاهانهای درباره بهروزرسانیها و میزان امنیت نرمافزار خود بگیرند.
🟣لینک مقاله:
https://github.com/lightswitch05/node-version-audit?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Node Version Audit (GitHub Repo)
🟢 خلاصه مقاله:
Node Version Audit یک ابزار مفید برای بررسی نسخههای Node.js میباشد که با استفاده از فهرست بهروز شدهای از حفرههای امنیتی (CVE)، انتشارات جدید، و تاریخهای پایان عمر (EOL) کار میکند. این ابزار به توسعهدهندگان و مدیران سیستم کمک میکند تا از امنیت و بهروز بودن نسخههای Node.js استفادهشده در پروژههای خود اطمینان حاصل کنند. استفاده از Node Version Audit به این دلیل مهم است که نسخههای کهنه و دارای آسیبپذیریهای شناختهشده میتوانند به مخاطرات امنیتی جدی منجر شوند. این ابزار به طور خودکار نسخههای Node.js را با لیستی جامع از CVEها تطبیق داده و همچنین تاریخهای انتشار و پایان عمر هر نسخه را گزارش میدهد، که به کاربران امکان میدهد تصمیمات آگاهانهای درباره بهروزرسانیها و میزان امنیت نرمافزار خود بگیرند.
🟣لینک مقاله:
https://github.com/lightswitch05/node-version-audit?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GitHub
GitHub - lightswitch05/node-version-audit: Audit your Node version for known CVEs and patches
Audit your Node version for known CVEs and patches - lightswitch05/node-version-audit
🔵 عنوان مقاله
EU brings product liability rules in line with digital age and circular economy (2 minute read)
🟢 خلاصه مقاله:
مقالهای که شما به آن اشاره کردهاید، به بروزرسانی قوانین مسئولیت محصول در اتحادیه اروپا میپردازد که اکنون شامل نرمافزار و خطرات مرتبط با آن میشود. در این بروزرسانی، اتحادیه اروپا استانداردهای جدیدی را تعیین کرده تا از مصرفکنندگان در برابر خطرات احتمالی ناشی از نرمافزارها محافظت کند. این قوانین جدید، سازندگان نرمافزارها را ملزم میکند که در صورت بروز آسیب یا خسارت به کاربر ناشی از نقص محصول، مسئولیت پذیر باشند. هدف از این تغییرات، افزایش امنیت دیجیتالی و حفاظت از حقوق مصرفکنندگان در دنیای فزایندهای از محصولات مبتنی بر نرمافزار است. با این حساب، تولیدکنندگان نرمافزار باید استانداردهای سختگیرانهتری را در تولید محصولات خود اعمال کنند تا از بروز خطرات جلوگیری کنند و در صورت وقوع خطر، قادر به جبران خسارت به مصرفکنندگان باشند. این قوانین بهطور مشخص قصد دارند اطمینان حاصل کنند که نرمافزارها به طور مناسب تست و بررسی شوند قبل از اینکه به بازار عرضه شوند.
🟣لینک مقاله:
https://www.consilium.europa.eu/en/press/press-releases/2024/10/10/eu-brings-product-liability-rules-in-line-with-digital-age-and-circular-economy/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
EU brings product liability rules in line with digital age and circular economy (2 minute read)
🟢 خلاصه مقاله:
مقالهای که شما به آن اشاره کردهاید، به بروزرسانی قوانین مسئولیت محصول در اتحادیه اروپا میپردازد که اکنون شامل نرمافزار و خطرات مرتبط با آن میشود. در این بروزرسانی، اتحادیه اروپا استانداردهای جدیدی را تعیین کرده تا از مصرفکنندگان در برابر خطرات احتمالی ناشی از نرمافزارها محافظت کند. این قوانین جدید، سازندگان نرمافزارها را ملزم میکند که در صورت بروز آسیب یا خسارت به کاربر ناشی از نقص محصول، مسئولیت پذیر باشند. هدف از این تغییرات، افزایش امنیت دیجیتالی و حفاظت از حقوق مصرفکنندگان در دنیای فزایندهای از محصولات مبتنی بر نرمافزار است. با این حساب، تولیدکنندگان نرمافزار باید استانداردهای سختگیرانهتری را در تولید محصولات خود اعمال کنند تا از بروز خطرات جلوگیری کنند و در صورت وقوع خطر، قادر به جبران خسارت به مصرفکنندگان باشند. این قوانین بهطور مشخص قصد دارند اطمینان حاصل کنند که نرمافزارها به طور مناسب تست و بررسی شوند قبل از اینکه به بازار عرضه شوند.
🟣لینک مقاله:
https://www.consilium.europa.eu/en/press/press-releases/2024/10/10/eu-brings-product-liability-rules-in-line-with-digital-age-and-circular-economy/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Consilium
EU brings product liability rules in line with digital age and circular economy
The Council adopts a directive to improve EU-wide product liability rules.
🔵 عنوان مقاله
50,000 Files Exposed in Nidec Ransomware Attack (2 minute read)
🟢 خلاصه مقاله:
در ماه اوت، شرکت Nidec در معرض حمله رمزگذاری قرار گرفت که در آن هکرها با دستیابی به اعتبارنامههای دامنه، ۵۰,۶۹۴ فایل را سرقت کردند. شرکت Nidec در برابر درخواستهای فدیه از سوی مهاجمین مقاومت نشان داد و به همین دلیل، مهاجمین مدارک را در وب تاریک منتشر کردند. این نشاندهنده اهمیت امنیت سایبری و آمادهسازی برای مقابله با چنین تهدیداتی است. افشای اطلاعات میتواند تأثیرات قابل توجهی بر نام تجاری و اعتبار یک شرکت داشته باشد.
🟣لینک مقاله:
https://www.infosecurity-magazine.com/news/nidec-ransomware-attack-expose/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
50,000 Files Exposed in Nidec Ransomware Attack (2 minute read)
🟢 خلاصه مقاله:
در ماه اوت، شرکت Nidec در معرض حمله رمزگذاری قرار گرفت که در آن هکرها با دستیابی به اعتبارنامههای دامنه، ۵۰,۶۹۴ فایل را سرقت کردند. شرکت Nidec در برابر درخواستهای فدیه از سوی مهاجمین مقاومت نشان داد و به همین دلیل، مهاجمین مدارک را در وب تاریک منتشر کردند. این نشاندهنده اهمیت امنیت سایبری و آمادهسازی برای مقابله با چنین تهدیداتی است. افشای اطلاعات میتواند تأثیرات قابل توجهی بر نام تجاری و اعتبار یک شرکت داشته باشد.
🟣لینک مقاله:
https://www.infosecurity-magazine.com/news/nidec-ransomware-attack-expose/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Infosecurity Magazine
50,000 Files Exposed in Nidec Ransomware Attack
The August ransomware attack stole 50,000+ documents from Nidec, leaked after ransom refusal
🔵 عنوان مقاله
Sign-in to AWS Console Mobile Application with an AWS Access Portal or Third-Party IdP URL (5 minute read)
🟢 خلاصه مقاله:
AWS به تازگی قابلیت ورود از طریق SSO (Single Sign-On) را به اپلیکیشن موبایلی AWS Console اضافه کرده است. این ویژگی به کاربران امکان میدهد تا با وارد کردن URL ورود خود در اپلیکیشن، مستقیماً به صفحه ورود هدایت شوند و تجربهای مشابه با ورود از طریق وب را تجربه کنند. این مقاله شامل راهنمای گام به گامی از جریان جدید ورود است و به تفصیل توضیح میدهد که کاربران چگونه میتوانند از این ویژگی جدید برای دسترسی آسانتر و مدیریت بهتر منابع AWS خود بهرهمند شوند. این تغییر با هدف افزایش انعطافپذیری و بهبود تجربه کاربری در دسترسی موبایلی به سرویسهای AWS انجام شده است.
🟣لینک مقاله:
https://aws.amazon.com/blogs/mt/sign-in-to-aws-console-mobile-application-with-an-aws-access-portal-or-third-party-idp-url/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Sign-in to AWS Console Mobile Application with an AWS Access Portal or Third-Party IdP URL (5 minute read)
🟢 خلاصه مقاله:
AWS به تازگی قابلیت ورود از طریق SSO (Single Sign-On) را به اپلیکیشن موبایلی AWS Console اضافه کرده است. این ویژگی به کاربران امکان میدهد تا با وارد کردن URL ورود خود در اپلیکیشن، مستقیماً به صفحه ورود هدایت شوند و تجربهای مشابه با ورود از طریق وب را تجربه کنند. این مقاله شامل راهنمای گام به گامی از جریان جدید ورود است و به تفصیل توضیح میدهد که کاربران چگونه میتوانند از این ویژگی جدید برای دسترسی آسانتر و مدیریت بهتر منابع AWS خود بهرهمند شوند. این تغییر با هدف افزایش انعطافپذیری و بهبود تجربه کاربری در دسترسی موبایلی به سرویسهای AWS انجام شده است.
🟣لینک مقاله:
https://aws.amazon.com/blogs/mt/sign-in-to-aws-console-mobile-application-with-an-aws-access-portal-or-third-party-idp-url/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Amazon
Sign-in to AWS Console Mobile Application with an AWS Access Portal or third-party IdP URL | Amazon Web Services
AWS customers rely on the AWS Console Mobile Application to monitor, manage, and receive notifications to stay informed about their AWS resources while away from their desktop devices. Customers who use Single-Sign-On (SSO) can face a unique set of challenges…
👍1
🔵 عنوان مقاله
Internet Archive Hacked Again During Service Restoration (2 minute read)
🟢 خلاصه مقاله:
مؤسسه آرشیو اینترنت پس از بهبودی از یک نقض دادهها و حمله DDoS، گزارش داده است که مورد حمله دیگری قرار گرفته است. این حمله اخیر شامل سوء استفاده از یک توکن Zendesk دستکاری شده بوده که منجر به ارسال ایمیل توسط مهاجم به کاربران شده است. اطلاعاتی که ممکن است در معرض خطر قرار گرفته باشند شامل دادههای حساسی است که در موارد پشتیبانی ارسال شدهاند. این رویداد نشاندهنده اهمیت امنیت سیستمهای اطلاعاتی و ضرورت اتخاذ تدابیر امنیتی محکمتر برای حفاظت از دادهها و کاربران در برابر تهدیدات فزاینده سایبری است.
🟣لینک مقاله:
https://www.securityweek.com/new-internet-archive-hack-conducted-during-service-restoration-efforts/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Internet Archive Hacked Again During Service Restoration (2 minute read)
🟢 خلاصه مقاله:
مؤسسه آرشیو اینترنت پس از بهبودی از یک نقض دادهها و حمله DDoS، گزارش داده است که مورد حمله دیگری قرار گرفته است. این حمله اخیر شامل سوء استفاده از یک توکن Zendesk دستکاری شده بوده که منجر به ارسال ایمیل توسط مهاجم به کاربران شده است. اطلاعاتی که ممکن است در معرض خطر قرار گرفته باشند شامل دادههای حساسی است که در موارد پشتیبانی ارسال شدهاند. این رویداد نشاندهنده اهمیت امنیت سیستمهای اطلاعاتی و ضرورت اتخاذ تدابیر امنیتی محکمتر برای حفاظت از دادهها و کاربران در برابر تهدیدات فزاینده سایبری است.
🟣لینک مقاله:
https://www.securityweek.com/new-internet-archive-hack-conducted-during-service-restoration-efforts/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
SecurityWeek
Internet Archive Hacked Again During Service Restoration Efforts
The Internet Archive has suffered an email hack while working to restore services impacted by the recent cyberattacks.
👍1
اشتراکگذاری دادهها در میکروسرویسها: تعادل بین Consistency و Scalability
سالها پیش وقتی شروع به کار با میکروسرویسها کردم، قانون «هر سرویس نباید دیتابیس خودش رو با سرویس دیگه به اشتراک بذاره» رو خیلی جدی گرفتم. این قانون منطقی به نظر میومد. سرویسها باید مالک دادههاشون باشن و بتونن بدون مشکل تغییرات خودشونو اعمال کنن. اما نکتهای که من اول متوجه نشدم این بود که تفاوتی بزرگ بین Sharing a data source (دیتابیس مرکزی) و Sharing data وجود داره.
در دنیای میکروسرویسها، دادهها مثل یک زنجیره برای ارتباط بین سرویسها عمل میکنن. مثلا سرویس Trips نیاز به اطلاعات مسافران از سرویس Passenger یا اطلاعات رانندگان از سرویس Driver داره. خیلی منطقی به نظر میاد که این دادهها رو به صورت Synchronous درخواست کنیم، اما این روش در مقیاسهای بزرگ چالشهایی رو به همراه داره.
چرا درخواستهای Synchronous برای دادهها نمیتونند به خوبی مقیاسپذیر باشند؟
درخواستهای همزمان و دریافت دادههای بهروز اول به نظر منطقی میاد. در نهایت همه ما میخواهیم دادههای جدید و دقیق داشته باشیم، درست؟ اما وقتی این روال رو برای مدت طولانی ادامه میدیم، مشکلاتی پیش میاد:
- زنجیرههای وابستگی: وقتی هر سرویس برای دریافت دادههاش به سرویس دیگهای وابسته باشه، در طول زمان تبدیل به یک شبکه پیچیده میشه. مثلا سرویس Leaderboard نیاز به اطلاعات User Service برای نمایش نام و آواتار کاربران داره، و این باعث میشه که یک زنجیره از درخواستها به وجود بیاد.
- نقطههای شکست یا SPOF: وقتی سرویسهای زیادی به یک سرویس مشترک مثل User Service وابسته هستند، اون سرویس تبدیل به یک گلوگاه میشه. اگه این سرویس خراب بشه، میتونه کل سیستم رو تحت تاثیر قرار بده.
- تاخیر در پردازش: هر درخواست اضافی در زنجیره باعث افزایش تاخیر میشه.
با این شرایط، باید این سوال رو بپرسیم: آیا همیشه به دادههای آپدیت نیاز داریم؟
کار با Eventual Consistency: یک راهحل مقیاسپذیر
به جای اینکه هر سرویس برای دادههای خودش درخواستهای همزمان ارسال کنه، میشه هر سرویس کپی محلی از دادههای مورد نیاز خودش رو نگهداری کنه و اونها رو از طریق Event ها یا Caching آپدیت کنه. این رویکرد ممکنه باعث بشه دادهها در نهایت سازگار یا Consistent باشن، یعنی دادهها ممکنه کمی دیر بهروزرسانی بشن، ولی هیچوقت قدیمی و از تاریخ گذشته نمیمونن. این روش معمولاً بهترین انتخاب هست. چرا؟
- مقیاسپذیری: سرویسها میتونن دادههایی رو که نیاز دارن به طور محلی ذخیره کنن و دیگه نیازی به درخواست همزمان به سرویسهای دیگه نیست.
- کاهش SPOF: دادههای محلی به این معنی هستند که سرویسها میتونن مستقل عمل کنن و وابستگی به سرویسهای دیگه رو کاهش بدن.
- عملکرد بهتر: چون هر سرویس دسترسی سریع به دادههای ضروری خودش داره، دیگه نیازی به درخواستهای همزمان نیست که باعث افزایش تاخیر بشه.
سازگاری دادهها در عمل
سرویسها به دادههای مختلف نیاز دارند و هر کدوم سازگاری یا Consistency متفاوتی میطلبند:
- سرویس Leaderboard: نیاز به دادههای کاربری داره، ولی ممکنه آواتارها و نامهای نمایشی کمی قدیمی هم مشکلی ایجاد نکنه. این سرویس میتونه یک کپی محلی از دادههای کاربران داشته باشه.
- سرویس Notification: این سرویس نیاز به ایمیلهای بهروز داره تا به درستی به کاربران پیام ارسال کنه. اینجا شاید نیاز به همگامسازی دقیقتری باشه.
| <Massimo Dev/>
سالها پیش وقتی شروع به کار با میکروسرویسها کردم، قانون «هر سرویس نباید دیتابیس خودش رو با سرویس دیگه به اشتراک بذاره» رو خیلی جدی گرفتم. این قانون منطقی به نظر میومد. سرویسها باید مالک دادههاشون باشن و بتونن بدون مشکل تغییرات خودشونو اعمال کنن. اما نکتهای که من اول متوجه نشدم این بود که تفاوتی بزرگ بین Sharing a data source (دیتابیس مرکزی) و Sharing data وجود داره.
در دنیای میکروسرویسها، دادهها مثل یک زنجیره برای ارتباط بین سرویسها عمل میکنن. مثلا سرویس Trips نیاز به اطلاعات مسافران از سرویس Passenger یا اطلاعات رانندگان از سرویس Driver داره. خیلی منطقی به نظر میاد که این دادهها رو به صورت Synchronous درخواست کنیم، اما این روش در مقیاسهای بزرگ چالشهایی رو به همراه داره.
چرا درخواستهای Synchronous برای دادهها نمیتونند به خوبی مقیاسپذیر باشند؟
درخواستهای همزمان و دریافت دادههای بهروز اول به نظر منطقی میاد. در نهایت همه ما میخواهیم دادههای جدید و دقیق داشته باشیم، درست؟ اما وقتی این روال رو برای مدت طولانی ادامه میدیم، مشکلاتی پیش میاد:
- زنجیرههای وابستگی: وقتی هر سرویس برای دریافت دادههاش به سرویس دیگهای وابسته باشه، در طول زمان تبدیل به یک شبکه پیچیده میشه. مثلا سرویس Leaderboard نیاز به اطلاعات User Service برای نمایش نام و آواتار کاربران داره، و این باعث میشه که یک زنجیره از درخواستها به وجود بیاد.
- نقطههای شکست یا SPOF: وقتی سرویسهای زیادی به یک سرویس مشترک مثل User Service وابسته هستند، اون سرویس تبدیل به یک گلوگاه میشه. اگه این سرویس خراب بشه، میتونه کل سیستم رو تحت تاثیر قرار بده.
- تاخیر در پردازش: هر درخواست اضافی در زنجیره باعث افزایش تاخیر میشه.
با این شرایط، باید این سوال رو بپرسیم: آیا همیشه به دادههای آپدیت نیاز داریم؟
کار با Eventual Consistency: یک راهحل مقیاسپذیر
به جای اینکه هر سرویس برای دادههای خودش درخواستهای همزمان ارسال کنه، میشه هر سرویس کپی محلی از دادههای مورد نیاز خودش رو نگهداری کنه و اونها رو از طریق Event ها یا Caching آپدیت کنه. این رویکرد ممکنه باعث بشه دادهها در نهایت سازگار یا Consistent باشن، یعنی دادهها ممکنه کمی دیر بهروزرسانی بشن، ولی هیچوقت قدیمی و از تاریخ گذشته نمیمونن. این روش معمولاً بهترین انتخاب هست. چرا؟
- مقیاسپذیری: سرویسها میتونن دادههایی رو که نیاز دارن به طور محلی ذخیره کنن و دیگه نیازی به درخواست همزمان به سرویسهای دیگه نیست.
- کاهش SPOF: دادههای محلی به این معنی هستند که سرویسها میتونن مستقل عمل کنن و وابستگی به سرویسهای دیگه رو کاهش بدن.
- عملکرد بهتر: چون هر سرویس دسترسی سریع به دادههای ضروری خودش داره، دیگه نیازی به درخواستهای همزمان نیست که باعث افزایش تاخیر بشه.
سازگاری دادهها در عمل
سرویسها به دادههای مختلف نیاز دارند و هر کدوم سازگاری یا Consistency متفاوتی میطلبند:
- سرویس Leaderboard: نیاز به دادههای کاربری داره، ولی ممکنه آواتارها و نامهای نمایشی کمی قدیمی هم مشکلی ایجاد نکنه. این سرویس میتونه یک کپی محلی از دادههای کاربران داشته باشه.
- سرویس Notification: این سرویس نیاز به ایمیلهای بهروز داره تا به درستی به کاربران پیام ارسال کنه. اینجا شاید نیاز به همگامسازی دقیقتری باشه.
| <Massimo Dev/>
اگر در دنیای برنامهنویسی حرفهای وارد شدید و میخواهید به سطح بالاتری برسید، سایت Refactoring.Guru میتونه یکی از بهترین منابعی باشه که میتونید برای یادگیری Design Patterns استفاده کنید. این سایت به زبان ساده و با مثالهای کاربردی، به شما توضیح میده که چرا و چطور از این الگوها برای نوشتن کدهایی تمیزتر، منعطفتر و قابل نگهداری استفاده کنید.
الگوهای طراحی، به طور کلی، به شما کمک میکنن تا مشکلات پیچیده رو با استفاده از راهحلهای اثباتشده و استاندارد، در قالب ساختارهایی خاص و قابلاستفاده در پروژههای مختلف، حل کنید. این یعنی دیگه مجبور نیستید هر بار از صفر شروع کنید.
یکی از ویژگیهای مهم این سایت اینه که شما نه تنها با هر الگو آشنا میشید، بلکه میفهمید کجا و چرا باید از اون استفاده کنید. به همین دلیل، Refactoring.Guru یه مرجع عالی برای هر برنامهنویسیه که میخواد در کدنویسی حرفهای و بهینهتر بشه.
<Reza Annabestani/>
الگوهای طراحی، به طور کلی، به شما کمک میکنن تا مشکلات پیچیده رو با استفاده از راهحلهای اثباتشده و استاندارد، در قالب ساختارهایی خاص و قابلاستفاده در پروژههای مختلف، حل کنید. این یعنی دیگه مجبور نیستید هر بار از صفر شروع کنید.
یکی از ویژگیهای مهم این سایت اینه که شما نه تنها با هر الگو آشنا میشید، بلکه میفهمید کجا و چرا باید از اون استفاده کنید. به همین دلیل، Refactoring.Guru یه مرجع عالی برای هر برنامهنویسیه که میخواد در کدنویسی حرفهای و بهینهتر بشه.
<Reza Annabestani/>
شرکت های بزرگی مثل Microsoft مخازن جالبی در GitHub دارند مثل Security-101 که مخصوص آموزش امنیت برای کاربرانی است که قصد دارند نکات اولیه امنیتی را یاد بگیرند!
https://github.com/microsoft/Security-101
<Vahid Nameni/>
https://github.com/microsoft/Security-101
<Vahid Nameni/>
GitHub
GitHub - microsoft/Security-101: 8 Lessons, Kick-start Your Cybersecurity Learning.
8 Lessons, Kick-start Your Cybersecurity Learning. - microsoft/Security-101
تستهای API واقعاً مهم و فوقالعاده تأثیرگذارند! یعنی نسبت به حجمشون، تأثیرشون تو رصد وضعیت سیستم خیلی زیاده. حالا برای طرفداران مارتین فاولر (فالور بازها! ) بزارید یه نقل قول ازش بگم: “تستهای API بخشی حیاتی از استراتژی تست شما هستند. آنها کمک میکنند تا اطمینان حاصل کنید که سرویسهای شما به درستی ارتباط برقرار میکنند و برنامه شما مطابق انتظار عمل میکند.”
اما من نکتهای که مایک کوهن (نویسنده و متخصص Agile) میگه رو خیلی مهمتر میدونم:
“وقتی درباره تست فکر میکنیم، معمولاً به unit_test ها فکر میکنیم. اما تستهای API میتوانند مشکلاتی را شناسایی کنند که تستهای واحد از دست میدهند، به ویژه آنهایی که مربوط به یکپارچگی و جریان دادهها هستند.”
حالا بریم سراغ ۹ مدل تست در APIها:
تست دودی (Smoke_Testing)
این تست بعد از اینکه توسعه API به پایان رسید، انجام میشه. هدفش اینه که ببینیم آیا APIها کار میکنند و چیزی خراب نشده.
چه چیزی باید در Smoke Testing تست بشه:
- - عملکرد اصلی: بررسی عملکردهای کلیدی مثل ورود به سیستم، ثبتنام و دسترسی به صفحات مهم.
- - پاسخگویی API: اطمینان از اینکه APIها به درستی پاسخ میدهند و وضعیتهای HTTP مناسب (مثل 200، 404، 500) رو برمیگردونند.
- - یکپارچگی سیستم: تأیید اینکه اجزای مختلف سیستم به درستی با هم کار میکنند.
- - نصب و راهاندازی: بررسی اینکه نرمافزار به درستی نصب و راهاندازی شده.
چه چیزی نباید در Smoke Testing تست بشه:
- - جزئیات داخلی: تست منطق داخلی و جزئیات پیادهسازی (مثل تستهای واحد).
- - سناریوهای پیچیده: تست سناریوهای پیچیده و خاص که نیاز به تستهای عمیقتر دارند.
- - عملکرد: تست بار و عملکرد (مثل Load Testing) که نیاز به آزمایشهای جداگانه دارند.
- - امنیت: تستهای امنیتی که نیاز به بررسیهای تخصصی دارند.
تست عملکردی (Functional_Testing)
در این نوع تست، یک برنامه تست بر اساس نیازهای عملکردی تهیه میشه و نتایج با آنچه انتظار میرفت مقایسه میشه.
تست یکپارچگی (Integration_Testing)
این تست چندین فراخوانی API رو با هم ترکیب میکنه تا تستهای انتها به انتها انجام بشه. ارتباطات بین سرویسها و انتقال دادهها مورد آزمایش قرار میگیره.
تست رگرسیون (Regression_Testing)
هدف این تست اینه که اطمینان حاصل کنیم که رفع اشکالات یا اضافه کردن ویژگیهای جدید، رفتارهای موجود APIها رو خراب نمیکنه.
تست بار (Load_Testing)
این تست عملکرد برنامهها رو با شبیهسازی بارهای مختلف ارزیابی میکنه. بعد از این تست، میتونیم ظرفیت برنامه رو محاسبه کنیم.
تست استرس (Stress_Test)
در این تست، به عمد بارهای سنگین به APIها وارد میکنیم و بررسی میکنیم که آیا APIها میتونند به طور عادی کار کنند یا نه.
تست امنیت (Security_Test)
این تست APIها رو در برابر همه تهدیدات خارجی ممکن آزمایش میکنه.
تست رابط کاربری (UI_Test)
این تست تعاملات رابط کاربری با APIها رو بررسی میکنه تا مطمئن بشیم که دادهها به درستی نمایش داده میشوند.
تست فاز (Fuzz_Test)
در این تست، دادههای نامعتبر یا غیرمنتظره به API وارد میشه و سعی میکنیم API رو خراب کنیم. به این ترتیب، نقاط ضعف API شناسایی میشن.
حالا که همه چیز رو میدونید، وقتشه که با قدرت به سمت تستهای API برید!
<Hossein Dadkhah/>
اما من نکتهای که مایک کوهن (نویسنده و متخصص Agile) میگه رو خیلی مهمتر میدونم:
“وقتی درباره تست فکر میکنیم، معمولاً به unit_test ها فکر میکنیم. اما تستهای API میتوانند مشکلاتی را شناسایی کنند که تستهای واحد از دست میدهند، به ویژه آنهایی که مربوط به یکپارچگی و جریان دادهها هستند.”
حالا بریم سراغ ۹ مدل تست در APIها:
تست دودی (Smoke_Testing)
این تست بعد از اینکه توسعه API به پایان رسید، انجام میشه. هدفش اینه که ببینیم آیا APIها کار میکنند و چیزی خراب نشده.
چه چیزی باید در Smoke Testing تست بشه:
- - عملکرد اصلی: بررسی عملکردهای کلیدی مثل ورود به سیستم، ثبتنام و دسترسی به صفحات مهم.
- - پاسخگویی API: اطمینان از اینکه APIها به درستی پاسخ میدهند و وضعیتهای HTTP مناسب (مثل 200، 404، 500) رو برمیگردونند.
- - یکپارچگی سیستم: تأیید اینکه اجزای مختلف سیستم به درستی با هم کار میکنند.
- - نصب و راهاندازی: بررسی اینکه نرمافزار به درستی نصب و راهاندازی شده.
چه چیزی نباید در Smoke Testing تست بشه:
- - جزئیات داخلی: تست منطق داخلی و جزئیات پیادهسازی (مثل تستهای واحد).
- - سناریوهای پیچیده: تست سناریوهای پیچیده و خاص که نیاز به تستهای عمیقتر دارند.
- - عملکرد: تست بار و عملکرد (مثل Load Testing) که نیاز به آزمایشهای جداگانه دارند.
- - امنیت: تستهای امنیتی که نیاز به بررسیهای تخصصی دارند.
تست عملکردی (Functional_Testing)
در این نوع تست، یک برنامه تست بر اساس نیازهای عملکردی تهیه میشه و نتایج با آنچه انتظار میرفت مقایسه میشه.
تست یکپارچگی (Integration_Testing)
این تست چندین فراخوانی API رو با هم ترکیب میکنه تا تستهای انتها به انتها انجام بشه. ارتباطات بین سرویسها و انتقال دادهها مورد آزمایش قرار میگیره.
تست رگرسیون (Regression_Testing)
هدف این تست اینه که اطمینان حاصل کنیم که رفع اشکالات یا اضافه کردن ویژگیهای جدید، رفتارهای موجود APIها رو خراب نمیکنه.
تست بار (Load_Testing)
این تست عملکرد برنامهها رو با شبیهسازی بارهای مختلف ارزیابی میکنه. بعد از این تست، میتونیم ظرفیت برنامه رو محاسبه کنیم.
تست استرس (Stress_Test)
در این تست، به عمد بارهای سنگین به APIها وارد میکنیم و بررسی میکنیم که آیا APIها میتونند به طور عادی کار کنند یا نه.
تست امنیت (Security_Test)
این تست APIها رو در برابر همه تهدیدات خارجی ممکن آزمایش میکنه.
تست رابط کاربری (UI_Test)
این تست تعاملات رابط کاربری با APIها رو بررسی میکنه تا مطمئن بشیم که دادهها به درستی نمایش داده میشوند.
تست فاز (Fuzz_Test)
در این تست، دادههای نامعتبر یا غیرمنتظره به API وارد میشه و سعی میکنیم API رو خراب کنیم. به این ترتیب، نقاط ضعف API شناسایی میشن.
حالا که همه چیز رو میدونید، وقتشه که با قدرت به سمت تستهای API برید!
<Hossein Dadkhah/>
👍1
🔵 عنوان مقاله
Nudge (GitHub Repo)
🟢 خلاصه مقاله:
مقاله مورد نظر به بررسی اپلیکیشنی با نام "Nudge" میپردازد که وظیفه آن یادآوری به کاربران برای بهروزرسانی سیستم عامل macOS است. این اپلیکیشن به گونهای طراحی شده است که از طریق اعلانهای کاربر پسند و نه چندان مزاحم، کاربران را از وجود بهروزرسانیهای جدید آگاه میکند و به آنها توصیه میکند تا اقدام به نصب آنها نمایند. استفاده از Nudge میتواند به افزایش امنیت و کارایی سیستم کمک کند، زیرا معمولاً بهروزرسانیها شامل رفع باگها و بهبودهای امنیتی هستند. این اپلیکیشن برای سازمانهایی که مایلند تمامی دستگاههای تحت مدیریت خود را به طور یکپارچه و موثر بهروز نگه دارند، بسیار مفید است. Nudge با استفاده از رابط کاربری ساده و مؤثر، تجربه کاربری راحتی را فراهم میکند و به کاربران امکان میدهد با تعیین تنظیمات شخصی، نحوه دریافت یادآوریها را شخصیسازی کنند.
🟣لینک مقاله:
https://github.com/macadmins/nudge?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Nudge (GitHub Repo)
🟢 خلاصه مقاله:
مقاله مورد نظر به بررسی اپلیکیشنی با نام "Nudge" میپردازد که وظیفه آن یادآوری به کاربران برای بهروزرسانی سیستم عامل macOS است. این اپلیکیشن به گونهای طراحی شده است که از طریق اعلانهای کاربر پسند و نه چندان مزاحم، کاربران را از وجود بهروزرسانیهای جدید آگاه میکند و به آنها توصیه میکند تا اقدام به نصب آنها نمایند. استفاده از Nudge میتواند به افزایش امنیت و کارایی سیستم کمک کند، زیرا معمولاً بهروزرسانیها شامل رفع باگها و بهبودهای امنیتی هستند. این اپلیکیشن برای سازمانهایی که مایلند تمامی دستگاههای تحت مدیریت خود را به طور یکپارچه و موثر بهروز نگه دارند، بسیار مفید است. Nudge با استفاده از رابط کاربری ساده و مؤثر، تجربه کاربری راحتی را فراهم میکند و به کاربران امکان میدهد با تعیین تنظیمات شخصی، نحوه دریافت یادآوریها را شخصیسازی کنند.
🟣لینک مقاله:
https://github.com/macadmins/nudge?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
GitHub
GitHub - macadmins/nudge: A tool for encouraging the installation of macOS security updates.
A tool for encouraging the installation of macOS security updates. - macadmins/nudge
🔵 عنوان مقاله
Spoofing Internal Packets for Multihomed Linux Devices (4 minute read)
🟢 خلاصه مقاله:
مقاله مورد بررسی یک آسیبپذیری در دستگاههای لینوکسی چندمنزله را تشریح میکند که میتوان از آن برای جعل و تزریق بستهها در جریانهای ارتباطی داخلی سوءاستفاده کرد. این مشکل میتواند توسط مهاجمان با دسترسی به شبکههای مجاور برای دستکاری جریان دادهها در دستگاههایی نظیر مسیریابهای NAT و ماشینهای مجازی استفاده شود. اقدامات تخفیفدهنده نظیر قوانین ضد جعل در فایروال و اتصال سوکت میتواند به محافظت در برابر این حملات کمک کند. این خلاصه اشارهای به روشهایی برای شناسایی و مقابله با تهدید مذکور میکند، که این شامل استفاده از تنظیمات امنیتی درون فایروال و دقت در نحوه برقراری اتصالات شبکه به منظور جلوگیری از دسترسیهای نامناسب است.
🟣لینک مقاله:
https://www.anvilsecure.com/blog/spoofing-internal-packets-for-multihomed-linux-devices.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Spoofing Internal Packets for Multihomed Linux Devices (4 minute read)
🟢 خلاصه مقاله:
مقاله مورد بررسی یک آسیبپذیری در دستگاههای لینوکسی چندمنزله را تشریح میکند که میتوان از آن برای جعل و تزریق بستهها در جریانهای ارتباطی داخلی سوءاستفاده کرد. این مشکل میتواند توسط مهاجمان با دسترسی به شبکههای مجاور برای دستکاری جریان دادهها در دستگاههایی نظیر مسیریابهای NAT و ماشینهای مجازی استفاده شود. اقدامات تخفیفدهنده نظیر قوانین ضد جعل در فایروال و اتصال سوکت میتواند به محافظت در برابر این حملات کمک کند. این خلاصه اشارهای به روشهایی برای شناسایی و مقابله با تهدید مذکور میکند، که این شامل استفاده از تنظیمات امنیتی درون فایروال و دقت در نحوه برقراری اتصالات شبکه به منظور جلوگیری از دسترسیهای نامناسب است.
🟣لینک مقاله:
https://www.anvilsecure.com/blog/spoofing-internal-packets-for-multihomed-linux-devices.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Anvil Secure
Spoofing Internal Packets for Multihomed Linux Devices - Anvil Secure
In short, the conntrack module, which tracks connections for the stateful firewall, does not account for the interface on which a connection was established. As a result, a firewall rule allowing…
🔵 عنوان مقاله
Permiso State of Identity Security Report 2024 (20 minute read)
🟢 خلاصه مقاله:
مقاله مورد نظر به بررسی امنیت هویت پرداخته است و نشان میدهد که تقریباً نیمی از سازمانها (۴۵٪) هنوز «نگران» یا «بسیار نگران» از توانایی خود در تشخیص و محافظت در برابر حملات امنیت هویت هستند. این نگرانیها نشاندهنده یک مسئله جدی در حوزه امنیت سایبری است، که ضرورت واکنشی فوری و مؤثر را افزایش میدهد. افزایش حملات هویتی و پیچیدگیهای آنها بر اهمیت استراتژیهای امنیتی دقیقتر و فراگیرتر تأکید دارد. این مقاله همچنین بر لزوم پیادهسازی راهکارهای پیشرفتهتر امنیتی و ارتقاء سطح آمادگی سازمانها در مقابله با این تهدیدات تأکید میکند. ارائه آموزشهای لازم به کارکنان برای شناسایی و مقابله با حملات امنیتی، همراه با بهروزرسانی فناوریهای امنیتی به منظور تقویت دفاعهای سازمانی، از جمله تدابیر مهمی است که باید اتخاذ شود.
🟣لینک مقاله:
https://20407698.fs1.hubspotusercontent-na1.net/hubfs/20407698/Permiso_State_of_Identity_Security_2024%20.pdf?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Permiso State of Identity Security Report 2024 (20 minute read)
🟢 خلاصه مقاله:
مقاله مورد نظر به بررسی امنیت هویت پرداخته است و نشان میدهد که تقریباً نیمی از سازمانها (۴۵٪) هنوز «نگران» یا «بسیار نگران» از توانایی خود در تشخیص و محافظت در برابر حملات امنیت هویت هستند. این نگرانیها نشاندهنده یک مسئله جدی در حوزه امنیت سایبری است، که ضرورت واکنشی فوری و مؤثر را افزایش میدهد. افزایش حملات هویتی و پیچیدگیهای آنها بر اهمیت استراتژیهای امنیتی دقیقتر و فراگیرتر تأکید دارد. این مقاله همچنین بر لزوم پیادهسازی راهکارهای پیشرفتهتر امنیتی و ارتقاء سطح آمادگی سازمانها در مقابله با این تهدیدات تأکید میکند. ارائه آموزشهای لازم به کارکنان برای شناسایی و مقابله با حملات امنیتی، همراه با بهروزرسانی فناوریهای امنیتی به منظور تقویت دفاعهای سازمانی، از جمله تدابیر مهمی است که باید اتخاذ شود.
🟣لینک مقاله:
https://20407698.fs1.hubspotusercontent-na1.net/hubfs/20407698/Permiso_State_of_Identity_Security_2024%20.pdf?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
چگونه یک سیستم رزرو بلیت هواپیما با معماری Event-Driven و Saga پیادهسازی کنیم؟
تو این مقاله توضیح دادم چطور با ترکیب Event-Driven Architecture، RabbitMQ و Saga Pattern تونستم سیستمهای رزرو بلیت هواپیما رو به یه سطح دیگه ببرم. اگه دنبال معماریهای مقیاسپذیر و پایدار هستی، حتماً این مطلب رو بخون!
لینک مقاله
DevTwitter | <mostafa jafarzadeh/>
➖➖➖➖➖➖➖➖
👑 @software_Labdon
تو این مقاله توضیح دادم چطور با ترکیب Event-Driven Architecture، RabbitMQ و Saga Pattern تونستم سیستمهای رزرو بلیت هواپیما رو به یه سطح دیگه ببرم. اگه دنبال معماریهای مقیاسپذیر و پایدار هستی، حتماً این مطلب رو بخون!
لینک مقاله
DevTwitter | <mostafa jafarzadeh/>
➖➖➖➖➖➖➖➖
👑 @software_Labdon
ویرگول
چگونه یک سیستم رزرو بلیت هواپیما با معماری Event-Driven و Saga پیادهسازی کنیم؟ - ویرگول
مقدمه:در دنیای نرمافزارهای بزرگ و توزیعشده، مدیریت تراکنشهای پیچیده و حفظ همزمانی دادهها به چالشهای مهمی تبدیل شده است. یکی از نمونههای کار…
🔥1🍓1💅1
Presentation Slides for Developers. easy to learn and use.
ابزار راحت و خوبی برای درست کردن اسلاید مخصوص برنامهنویسها :)
#slide #presentation #dev #easy #markdown #text #tools
https://sli.dev
ابزار راحت و خوبی برای درست کردن اسلاید مخصوص برنامهنویسها :)
#slide #presentation #dev #easy #markdown #text #tools
https://sli.dev
🔵 عنوان مقاله
Fortinet Warns of New Critical FortiManager Flaw Used in 0-Day Attacks (4 minute read)
🟢 خلاصه مقاله:
شرکت Fortinet از کشف یک آسیبپذیری بسیار حاد با شدت 9.8 در API FortiManager خبر داده است که امکان دسترسی و سرقت اطلاعات حساس از جمله اعتبارنامهها، فایلهای حساس و آدرسهای IP را فراهم میآورد. این نقص امنیتی مربوط به دور زدن سیستم احراز هویت در API FGFM دستگاه FortiManager است. Fortinet تایید کرده که این آسیبپذیری به صورت فعال مورد استفاده قرار گرفته است و به همین دلیل، نسخههای بهروزرسانی شده، راهکارهای کاهش دهنده خطر و نشانگرهای تهدید (IoCs) را برای مقابله با این آسیبپذیری ارائه داده است. این اقدام به منظور کمک به کاربران در محافظت از زیرساختهای IT خود و جلوگیری از سوءاستفادههای بیشتر انجام شده است.
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-fortimanager-flaw-used-in-zero-day-attacks/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Fortinet Warns of New Critical FortiManager Flaw Used in 0-Day Attacks (4 minute read)
🟢 خلاصه مقاله:
شرکت Fortinet از کشف یک آسیبپذیری بسیار حاد با شدت 9.8 در API FortiManager خبر داده است که امکان دسترسی و سرقت اطلاعات حساس از جمله اعتبارنامهها، فایلهای حساس و آدرسهای IP را فراهم میآورد. این نقص امنیتی مربوط به دور زدن سیستم احراز هویت در API FGFM دستگاه FortiManager است. Fortinet تایید کرده که این آسیبپذیری به صورت فعال مورد استفاده قرار گرفته است و به همین دلیل، نسخههای بهروزرسانی شده، راهکارهای کاهش دهنده خطر و نشانگرهای تهدید (IoCs) را برای مقابله با این آسیبپذیری ارائه داده است. این اقدام به منظور کمک به کاربران در محافظت از زیرساختهای IT خود و جلوگیری از سوءاستفادههای بیشتر انجام شده است.
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-fortimanager-flaw-used-in-zero-day-attacks/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BleepingComputer
Fortinet warns of new critical FortiManager flaw used in zero-day attacks
Fortinet publicly disclosed today a critical FortiManager API vulnerability, tracked as CVE-2024-47575, that was exploited in zero-day attacks to steal sensitive files containing configurations, IP addresses, and credentials for managed devices.
🔵 عنوان مقاله
The Windows Registry Adventure #4: Hives and the registry layout (35 minute read)
🟢 خلاصه مقاله:
مقالهای که بررسی شده به شرح ساختار دادههایی به نام Hive در سیستمهای رایانهای میپردازد که در ذخیرهسازی کلیدها، زیرکلیدها و مقادیر برای پیکربندی سیستم و تنظیمات کاربر به کار میروند. Hiveها بنا به کاربردشان انواع مختلفی دارند. به عنوان مثال، Hiveهای مربوط به برنامهها (application hives) که اهداف خاصی دارند و ملاحظات امنیتی خاص خود را دارا هستند. در سیستمعامل ویندوز، بارگذاری Hiveها از طریق رابطهای استانداردی مانند RegLoadKey و RegLoadAppKey انجام میشود. توجه به درستی و ایمنی فرآیند بارگذاری Hive ضروری است، زیرا این عملیات مستقیماً اثرگذار بر پیکربندی و امنیت کلی سیستم است.
🟣لینک مقاله:
https://googleprojectzero.blogspot.com/2024/10/the-windows-registry-adventure-4-hives.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Windows Registry Adventure #4: Hives and the registry layout (35 minute read)
🟢 خلاصه مقاله:
مقالهای که بررسی شده به شرح ساختار دادههایی به نام Hive در سیستمهای رایانهای میپردازد که در ذخیرهسازی کلیدها، زیرکلیدها و مقادیر برای پیکربندی سیستم و تنظیمات کاربر به کار میروند. Hiveها بنا به کاربردشان انواع مختلفی دارند. به عنوان مثال، Hiveهای مربوط به برنامهها (application hives) که اهداف خاصی دارند و ملاحظات امنیتی خاص خود را دارا هستند. در سیستمعامل ویندوز، بارگذاری Hiveها از طریق رابطهای استانداردی مانند RegLoadKey و RegLoadAppKey انجام میشود. توجه به درستی و ایمنی فرآیند بارگذاری Hive ضروری است، زیرا این عملیات مستقیماً اثرگذار بر پیکربندی و امنیت کلی سیستم است.
🟣لینک مقاله:
https://googleprojectzero.blogspot.com/2024/10/the-windows-registry-adventure-4-hives.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Blogspot
The Windows Registry Adventure #4: Hives and the registry layout
Posted by Mateusz Jurczyk, Google Project Zero To a normal user or even a Win32 application developer, the registry layout may seem si...
🔵 عنوان مقاله
EasyDMARC (Product Launch)
🟢 خلاصه مقاله:
EasyDMARC یک ابزار امنیتی است که به حفظ امنیت دامنه و زیرساختهای ایمیل کمک میکند. این سیستم اطمینان میدهد که ایمیلهایی که از یک دامنه ارسال میشوند معتبر بوده و در نتیجه، از حملات فیشینگ جلوگیری میکند. همچنین، با استفاده از EasyDMARC، ارسال ایمیلها بهبود یافته و دلیوریبیلیتی (قابلیت رسیدن به مقصد) ایمیلها افزایش پیدا میکند. این فرایند از طریق تایید هویت ایمیلها و اطمینان از اصالت آنها انجام میپذیرد، که در نهایت به حفظ اعتبار و امنیت کلی دامنه کمک شایانی میکند. EasyDMARC یک راهکار موثر برای کسبوکارها است تا از دادهها و ارتباطات خود در برابر دستاندازیهای احتمالی محافظت کنند.
🟣لینک مقاله:
https://easydmarc.com/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
EasyDMARC (Product Launch)
🟢 خلاصه مقاله:
EasyDMARC یک ابزار امنیتی است که به حفظ امنیت دامنه و زیرساختهای ایمیل کمک میکند. این سیستم اطمینان میدهد که ایمیلهایی که از یک دامنه ارسال میشوند معتبر بوده و در نتیجه، از حملات فیشینگ جلوگیری میکند. همچنین، با استفاده از EasyDMARC، ارسال ایمیلها بهبود یافته و دلیوریبیلیتی (قابلیت رسیدن به مقصد) ایمیلها افزایش پیدا میکند. این فرایند از طریق تایید هویت ایمیلها و اطمینان از اصالت آنها انجام میپذیرد، که در نهایت به حفظ اعتبار و امنیت کلی دامنه کمک شایانی میکند. EasyDMARC یک راهکار موثر برای کسبوکارها است تا از دادهها و ارتباطات خود در برابر دستاندازیهای احتمالی محافظت کنند.
🟣لینک مقاله:
https://easydmarc.com/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
EasyDMARC
EasyDMARC | Your DMARC Journey Made Simple
Your smart DMARC reporting and monitoring platform. Ensure domain-level security and email deliverability with EasyDMARC’s DMARC, SPF, DKIM, and BIMI services.