🔵 عنوان مقاله
"Why didn't testing find this issue?" Because you desire something that doesn't exist!

🟢 خلاصه مقاله:
وقتی خطایی به تولید می‌رسد، پرسش تکراری این است: «چرا تست‌ها این مشکل را پیدا نکردند؟» Maaike Brinkhof می‌گوید ریشه‌ی این پرسش اشتباه است، چون چنین قطعیتی از تست انتظار داریم که اصلاً وجود ندارد. تست فقط می‌تواند اعتماد را افزایش دهد و ریسک‌ها را آشکار کند؛ هرگز نمی‌تواند نبودِ باگ را ثابت کند.

به‌جای سرزنش «تست»، بحث را به مسئولیت جمعی و یادگیری سیستمی تغییر دهیم: «چطور فرایند، فرض‌ها و طراحی ما اجازه‌ی فرار این باگ را داده‌اند؟» عوامل رایج شامل ابهام در نیازها، تفاوت محیط‌ها با تولید، داده‌ی ناکافی، مشاهده‌پذیری ضعیف، یا مصالحه‌های زمان‌بندی است. مجموعه تست‌ها فقط نمونه‌ای از واقعیت‌اند، نه تمام آن.

راه‌حل، مدیریت ریسک و بهبود چرخه‌های بازخورد است: تقویت logging و telemetry، استفاده از feature flag و انتشار تدریجی، بهبود تست‌های قرارداد و سفرهای حیاتی کاربر، و سرمایه‌گذاری روی تست اکتشافی برای کشف ناشناخته‌ها. با postmortem بدون سرزنش بپرسیم: ریسک را درست فهمیدیم؟ نظارت ما برای کشف سریع و محدودکردن دامنه مشکل کافی بود؟ داده و محیط مناسب داشتیم؟ آیا pairing، بازبینی یا risk storming می‌توانست زودتر هشدار بدهد؟

جمع‌بندی: تست تضمین نیست؛ ابزاری برای آشکارسازی و مدیریت ریسک است. به‌جای انتظار قطعیت، روی کشف سریع‌تر، عرضه‌های ایمن‌تر و تصمیم‌های هوشمندانه درباره محل سرمایه‌گذاری تمرکز کنیم.

#SoftwareTesting #QualityEngineering #BlamelessPostmortem #RiskBasedTesting #Testability #Observability #DevOps #Agile

🟣لینک مقاله:
https://cur.at/7DobXrn?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
The New Commandments of Security Teams (10 minute read)

🟢 خلاصه مقاله:
**این مقاله مجموعه‌ای از «فرامین جدید» را پیشنهاد می‌کند تا تیم‌های امنیت از «تیمِ نه» به شریک‌های توانمندساز تبدیل شوند. محورهای اصلی عبارت‌اند از: همکاری زودهنگام و مؤثر با تیم‌های محصول و IT، هم‌زبانی درباره ریسک و اهداف مشترک؛ توانمندسازی توسعه‌دهندگان با paved roads، پیش‌فرض‌های امن، guardrailهای خودکار در CI/CD و راهنمایی‌های قابل‌استفاده؛ بهره‌گیری از دانش و چارچوب‌های بیرونی به‌جای اختراع دوباره؛ اولویت‌دادن به ارزیابی و مدیریت ریسک تأمین‌کنندگان با فرآیندهای ساده و لایه‌بندی‌شده؛ و تمرکز بر «رفع مشکل و بستن حلقه» به‌همراه توضیح شفاف معامله‌گری‌ها، انتخاب کنترل‌های عمل‌گرایانه، و سنجش نتایج واقعی مانند پذیرش، کاهش حوادث، و بهبود زمان‌بندی‌ها. هدف نهایی: امنیتی که حرکت کسب‌وکار را تسهیل کند، نه متوقف.

#Security #DevSecOps #Cybersecurity #Collaboration #DeveloperExperience #VendorRisk #Usability #RiskManagement

🟣لینک مقاله:
https://franklyspeaking.substack.com/p/the-new-commandments-of-security?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

Master Technical Interviews by Learning Data Structures and Algorithms
https://www.freecodecamp.org/news/master-technical-interviews-by-learning-data-structures-and-algorithms/

اگه هیچوقت ترمینال لینوکس را یاد نگرفتید و تو دنبال کردن دستوراتی که توی گیت‌هاب و دیگرجاها دیدید مشکل داشتید، می‌تونید این دوره را ببینید!
از صفرِ صفر آموزش می‌دم و هدف هم اینه که کارمون راه بیوفته، بر اساس دوره‌ی خاصی نیست بر اساس بیشترین پرسش‌هایی که ازم شده پیش رفتم.

‏دوره‌ی آموزش ترمینال لینوکس از صفرِ صفر!
در پایان هر ویدئو برگه‌ تقلب یا همون CheatSheet هم قرار داده شده:
https://youtube.com/playlist?list=PLpl25_8ecATg_hxDjiim933c-KaNfn1th&si=qhxXUB7s58tr57Ue

@ <Gooyban/>

🔵 عنوان مقاله
How to Use Browser Developer Tools

🟢 خلاصه مقاله:
ابزارهای توسعه‌دهنده مرورگر در Chrome و Firefox برای دیباگ، تست و درک رفتار وب‌اپلیکیشن‌ها حیاتی‌اند و دسترسی فوری به DOM، استایل‌ها، ترافیک شبکه، کارایی و فضای ذخیره‌سازی برنامه می‌دهند. Daniel Knott در یک ویدئوی ۱۷ دقیقه‌ای مروری فشرده و کاربردی ارائه می‌کند که برای شروع سریع یا مرور منظم قابلیت‌ها بسیار مفید است. در کار روزمره، پنل Elements برای بررسی و ویرایش زنده HTML/CSS، Console برای لاگ‌گیری و اجرای اسکریپت‌های کوتاه، Network برای رصد درخواست‌ها و شبیه‌سازی شبکه کند، و Device Mode برای تست ریسپانسیو به‌کار می‌آید. برای تحلیل عمیق‌تر، Performance برای پروفایلینگ، Sources برای دیباگ مرحله‌به‌مرحله، Application برای مشاهده cookies و localStorage/IndexedDB و Lighthouse برای ممیزی عملکرد و دسترس‌پذیری مفیدند. شروع کار ساده است: DevTools را با F12 یا Cmd/Ctrl+Shift+I باز کنید، پنل‌ها را امتحان کنید، breakpoint بگذارید و شبکه کند را شبیه‌سازی کنید؛ این مهارت‌ها دیباگ را سریع‌تر و کیفیت را بالاتر می‌برند.

#DevTools #Chrome #Firefox #WebDevelopment #Debugging #Frontend #Performance

🟣لینک مقاله:
https://cur.at/vsX39bm?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
This Halloween, the Scariest Thing Is Unprotected Data (Sponsor)

🟢 خلاصه مقاله:
در رویداد HalloVeeam در شب Halloween، با نگاهی سرگرم‌کننده اما عملی به امنیت، درباره حفاظت از داده و مقابله با تهدیدهای سایبری یاد می‌گیرید. کارشناسان Veeam در یک جلسه زنده و بی‌حوصله‌گی، راهکارهای کاربردی برای پشتیبان‌گیری، بازیابی سریع و افزایش تاب‌آوری ارائه می‌کنند. این رویداد یک‌ساعته با شعار «همه خوراکی، بدون کلک» در تاریخ October 30th از ساعت 2 تا 3 بعدازظهر به وقت CET برگزار می‌شود. حضور با لباس‌های مبدل تشویق می‌شود. همین حالا ثبت‌نام کنید تا داده‌هایتان ترسناک‌ترین چیز این فصل نباشند.

#DataProtection #CyberSecurity #Veeam #Halloween #Ransomware #Backup #ITSecurity #TechEvent

🟣لینک مقاله:
https://go.veeam.com/halloveeam-de.html?ccode=operational_701UG00000TlQw1YAF&utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Cypress Studio: No-Code Test Generation Now Built In

🟢 خلاصه مقاله:
**جنیفر Shehane از Cypress اعلام کرد که Cypress Studio، قابلیت تولید تست بدون کدنویسی، اکنون به‌صورت پیش‌فرض فعال است و بدون تنظیمات اضافی در دسترس قرار می‌گیرد. به‌زودی نیز قابلیت‌های مبتنی بر AI برای پیشنهاد گام‌ها و_assertion_های تست اضافه می‌شود تا نوشتن سناریوها سریع‌تر و پوشش کامل‌تر شود. این تغییر آستانه ورود را پایین می‌آورد، ضبط تعاملات واقعی کاربر را ساده می‌کند و امکان ادغام و نگه‌داری تست‌ها در جریان‌های مرسوم تیم‌های توسعه و QA را فراهم می‌سازد.

#Cypress #CypressStudio #TestAutomation #NoCode #QA #EndToEndTesting #AITesting #JavaScript

🟣لینک مقاله:
https://cur.at/4pwHxTJ?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

پروژه PINCE یک ابزار مهندسی معکوس روی GDB هستش که تمرکز اصلیش روی بازی هاست.

قابلیت هایی شبیه به CheatEngine داره از جمله: اسکن مموری، مشاهده و تغییر مقدار متغیرها، دیباگ کردن، Code Injection، قابلیت تعامل با GDB و قابلیت توسعه از طریق فایلهای so.

https://github.com/korcankaraokcu/PINCE

<OnHexGroup/>

🚀 به دنیای توسعه و تکنولوژی خوش اومدی!

اگر به موضوعات زیر علاقه‌مندی:

🔹 Golang
🔹 Linux & DevOps
🔹 Software Engineering
🔹 AI & Machine Learning
🔹 فرصت‌های شغلی ریموت (خارجی و داخلی)

ما برات یه مجموعه کانال‌های تخصصی ساختیم تا همیشه به‌روز، حرفه‌ای و الهام‌بخش بمونی!
📚 یادگیری، فرصت، شبکه‌سازی و پیشرفت، همش اینجاست...

📌 از این لینک همه چنل‌هامونو یه‌جا ببین و جوین شو:

👉 https://t.iss.one/addlist/AJ7rh2IzIh02NTI0

🔵 عنوان مقاله
10 Tips for Writing Playwright Tests with Cursor

🟢 خلاصه مقاله:
**این مقاله با عنوان «10 Tips for Writing Playwright Tests with Cursor» نشان می‌دهد چگونه یک IDE هوشمند مثل Cursor می‌تواند نوشتن و نگه‌داری تست‌های Playwright را سریع‌تر و قابل‌اعتمادتر کند. Filip Hric با مثال‌های عملی توضیح می‌دهد Cursor در کجاها کمک می‌کند—از ساخت اسکلت تست و پیشنهاد selector و assertion تا توضیح خطاها و پیشنهاد refactor—و تأکید می‌کند که قضاوت انسانی همچنان ضروری است.
لبّ توصیه‌ها بر اصولی است مثل استفاده از locatorهای پایدار، حذف timeoutهای دلخواه با انتظارهای مبتنی بر locator، سازمان‌دهی کد با fixture و الگوهای صفحه، تکیه بر trace و screenshot و network interception برای دیباگ، و پیکربندی parallelism، retry و CI برای پایداری. نقش Cursor سرعت‌دادن به هر گام است: تولید boilerplate، استخراج utilityها، بهبود خوانایی و ارائه توضیحات سریع هنگام خطا—البته با بازبینی دقیق توسط توسعه‌دهنده.
جمع‌بندی: ترکیب سرعت AI در Cursor با اصول درست تست‌نویسی و بازبینی انسانی، هم سرعت توسعه را بالا می‌برد و هم کیفیت و پایداری مجموعه تست‌های Playwright را بهبود می‌دهد.

#Playwright #Cursor #Testing #TestAutomation #EndToEndTesting #QA #AIIDE #JavaScript

🟣لینک مقاله:
https://cur.at/hFD3dyh?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
👼 A cloud firewall you don't need to babysit (Sponsor)

🟢 خلاصه مقاله:
سامانه‌های فایروال ابری به‌ویژه برای تیم‌های کوچک به‌سرعت پیچیده و پر از هشدار می‌شوند و همین پیچیدگی هم ریسک خطای پیکربندی را بالا می‌برد و هم تمرکز تیم را می‌گیرد. Intrusion Shield for AWS با اتکا به دهه‌ها تهدیدشناسی قابل اتکا، ترافیک پرریسک را به‌صورت خودکار شناسایی و مسدود می‌کند. هر تلاش مخرب برای اتصال، بی‌درنگ به یک قانون فایروال دقیق تبدیل می‌شود؛ بدون نیاز به اقدام دستی. خروجی این رویکرد، کاهش هشدارها و اولویت‌بندی هوشمند است تا تیم روی مسائل مهم‌تر تمرکز کند، در حالی‌که دفاع‌ها با به‌روزرسانی مداوم هوشمندانه با تهدیدات جدید همگام می‌مانند.

#CloudSecurity #Firewall #AWS #ThreatIntelligence #Automation #DevOps #NetworkSecurity

🟣لینک مقاله:
https://www.intrusion.com/intrusion-shield-cloud-for-aws-tldr/?utm_campaign=22505002-AWS_Launch_2025&utm_source=TLDR&utm_medium=100825

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Anatomy of an Attack: The "BlackSuit Blitz" at a Global Equipment Manufacturer (4 minute read)

🟢 خلاصه مقاله:
** یک حمله با نام “BlackSuit Blitz” علیه یک تولیدکننده جهانی با فیشینگ صوتی شروع شد؛ مهاجمان وابسته به Ignoble Scorpius با سرقت اطلاعات ورود به VPN وارد شبکه شدند، سپس با DCSync کنترلرهای دامنه را به‌خطر انداختند و حدود ۴۰۰ گیگابایت داده را خارج کردند و در نهایت باج‌افزار را روی ۶۰ میزبان VMware ESXi اجرا کردند. در پاسخ، تیم Unit 42 در مدت کوتاهی پوشش Cortex XDR را از حدود ۲۵۰ به بیش از ۱۷هزار نقطه پایانی گسترش داد و با خودکارسازی مهار از طریق Cortex XSOAR جلوی حرکت جانبی را گرفت. همزمان اقدام‌های پاک‌سازی، بازیابی و تقویت امنیت انجام شد تا خطرات آتی کاهش یابد و نظارت و کنترل دسترسی‌ها بهبود پیدا کند.

#Ransomware #IncidentResponse #VoicePhishing #DCSync #VMwareESXi #CortexXDR #CortexXSOAR #DataExfiltration

🟣لینک مقاله:
https://unit42.paloaltonetworks.com/anatomy-of-an-attack-blacksuit-ransomware-blitz/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

براساس پیشرفت‌های نرم‌افزاری و سخت‌افزاری و AI، رمز عبور شما حتما باید بیشتر از 12 رقم و ترکیب کاراکترهای مختلف باشد!
چرا؟
چون با ابزارهایی شبیه KrakenHashes و پخش کردن پردازش بر روی GPUهای قدرتمند و حتیCloud، رمزعبورهای ضعیف، درصد شکسته می شوند!
https://github.com/ZerkerEOD/krakenhashes

<VAHID NAMENI/>

🔵 عنوان مقاله
Hundreds of masked ICE agents doxxed by hackers, as personal details posted on Telegram (3 minute read)

🟢 خلاصه مقاله:
گروه هکری The Com در کانال‌های خصوصی Telegram اطلاعات شخصی صدها کارمند دولت آمریکا را منتشر کرد؛ از جمله داده‌های مربوط به 680 نفر از کارکنان DHS، بیش از 170 آدرس ایمیل مرتبط با FBI و بیش از 190 نفر در Department of Justice. منشأ این داده‌ها روشن نیست. این اقدام هم‌زمان با هشدارهای DHS درباره هدف‌گیری مأموران ICE و CBP توسط کارتل‌های مکزیکی و وعده مژدگانی صورت گرفت؛ هکرها از علاقه به پاداش‌های میلیون‌دلاری گفتند و تهدید کردند هدف بعدی IRS خواهد بود. کارشناسان امنیتی نسبت به خطر آزار، فیشینگ، سرقت هویت و نقض OPSEC هشدار داده و بر اطلاع‌رسانی به افراد آسیب‌دیده، تقویت کنترل‌های امنیتی و پایش سوءاستفاده‌های احتمالی تأکید می‌کنند.

#Cybersecurity #Doxxing #DataBreach #ICE #DHS #FBI #Telegram #InfoSec

🟣لینک مقاله:
https://www.bitdefender.com/en-us/blog/hotforsecurity/hundreds-masked-ice-agents-doxxed-hackers-personal-details-posted-telegram?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

⚠️ نشت massive داده‌ها: 183 میلیون ایمیل جدید لو رفت!

▪️سایت معروف Have I Been Pwned (HIBP) اعلام کرده که 183 میلیون آدرس ایمیل تازه به دیتابیس نشت اطلاعاتش اضافه شده.

▪️این داده‌ها از پلتفرمی به نام Synthient استخراج شدن؛ جایی که مجموعه‌ای از دیتابیس‌های فاش‌شده سال 2025 رو جمع‌آوری کرده بود.

▪️«تروی هانت» سازنده HIBP بعد از حذف موارد تکراری، ایمیل‌ها رو به پایگاه اضافه کرده تا همه بتونن بررسی کنن آیا اطلاعاتشون لو رفته یا نه.

▪️الان HIBP بیش از 15.3 میلیارد حساب افشاشده در 916 سایت مختلف داره؛ بخشی ازش هم از بدافزارهایی مثل Lumma Stealer جمع‌آوری شده.

🔵 عنوان مقاله
How to test the new ARIA Notify API with Cypress

🟢 خلاصه مقاله:
ARIA Notify API راهی استاندارد برای اعلام پیام‌های مهم به فناوری‌های کمکی فراهم می‌کند و وابستگی به الگوهای شکننده مثل aria-live را کاهش می‌دهد. برای اطمینان از دسترس‌پذیری، می‌توان با رویکرد ارتقای تدریجی ابتدا از این API استفاده کرد و در نبود آن به fallback مبتنی بر aria-live برگشت. در Cypress بهترین کار این است که فراخوانی‌های مربوط به اعلان را در یک تابع کمکی کپسوله کرده و در تست‌ها آن را stub/spy کنید؛ سپس با ایجاد کنش کاربریِ محرکِ اعلان، روی پیام و متادیتاهای مورد انتظار assertion بگیرید و سناریوی fallback را هم بررسی کنید. Mark Noonan همین الگو را نشان می‌دهد: تشخیص قابلیت، stub کردن، assertion دقیق روی پیام‌ها، و پرهیز از اتکا به خروجی صفحه‌خوان، در کنار تست‌های ناوبری با صفحه‌کلید و اجرای کراس‌براوزر در CI.

#Accessibility #ARIA #Cypress #WebTesting #A11y #AssistiveTechnology #FrontEnd #WebDevelopment

🟣لینک مقاله:
https://cur.at/jZIFr5U?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Muji's minimalist calm shattered as ransomware takes down logistics partner (3 minute read)

🟢 خلاصه مقاله:
حمله باج‌افزاری به شریک لجستیکی Muji یعنی Askul باعث تعلیق سفارش‌های آنلاین Muji شد و خدماتی مانند ارسال و پشتیبانی مشتری را مختل کرد. با فلج شدن تقریباً کامل سیستم‌های Askul، انجام بسیاری از وظایف کلیدی متوقف شده و زمان بازگشت به وضعیت عادی نامشخص است. تاکنون هیچ گروهی مسئولیت این حمله را بر عهده نگرفته است. این رویداد نشان می‌دهد چگونه وابستگی به تأمین‌کنندگان ثالث می‌تواند با یک حمله واحد، زنجیره تأمین خرده‌فروشی و تجربه مشتری را دچار اختلال کند.

#Ransomware #Cybersecurity #SupplyChain #Logistics #Muji #Askul #eCommerce #Japan

🟣لینک مقاله:
https://www.theregister.com/2025/10/21/muji_askul_ransomware/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Building Smarter Tests with Custom Annotations and Listeners in TestNG — A Practical Guide

🟢 خلاصه مقاله:
**این مقاله نشان می‌دهد چگونه با ترکیب annotationهای سفارشی و listenerها در TestNG می‌توان تست‌هایی هوشمندتر، پایدارتر و مقیاس‌پذیرتر ساخت. با افزودن متادیتا مانند مالک، شدت، مؤلفه یا شرایط اجرا به‌صورت annotation، اجرای تست‌ها قابل کنترل‌تر می‌شود: فیلترکردن در CI، تنظیم داینامیک retry برای تست‌های flaky، اعمال timeout و skipهای شرطی—all بدون شلوغ‌کردن بدنه تست‌ها. در سوی دیگر، listenerها از رویدادهای چرخه عمر TestNG برای لاگ‌گیری یکدست، ثبت اسکرین‌شات و آرتیفکت در خطا، جمع‌آوری متریک زمان، قرنطینه‌کردن تست‌های flaky، fail-fast و یکپارچه‌سازی با گزارش‌دهی‌هایی مثل Allure استفاده می‌کنند؛ بنابراین کد تست تمیزتر و رفتار مقطعی یکپارچه می‌شود. مقاله همچنین نکات اجرای موازی را پوشش می‌دهد: پرهیز از state مشترک، استفاده از منابع thread-local (مثل WebDriver)، جداسازی داده و تنظیم timeout برای حفظ ایزولیشن و کاهش flakiness در مقیاس CI. جمع‌بندی توصیه می‌کند مجموعه‌ای کوچک و شفاف از annotationها و یک listener عمومی بسازید که سیاست‌ها را از روی متادیتا اعمال کند، از بازتاب کنترل‌شده و قابل‌آزمون بهره ببرد و به‌تدریج قابلیت‌های باارزش مثل لاگ منسجم، آرتیفکت‌های خطا و retry هدفمند را اضافه کند. در پایان، Vaibhav Chavan نکات کلیدی و راهنمای تکمیلی Parallel Testing with TestNG را معرفی می‌کند.

#TestNG #JavaTesting #Annotations #Listeners #ParallelTesting #AutomationTesting #QA #CI/CD

🟣لینک مقاله:
https://cur.at/2uhpDOO?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

دیروز یکی از دوست‌هام ازم پرسید:

«پروتوکل HTTPS از رمزگذاری نامتقارن استفاده می‌کنه، درسته؟»

و جوابش هم آره بود، هم نه.

آره، چون در ابتدای ارتباط از رمزگذاری نامتقارن (Public/Private Key) برای تبادل امن کلید استفاده می‌شه.
نه، چون بعد از اون، خودِ داده‌ها با رمزگذاری متقارن منتقل می‌شن — سریع‌تر و سبک‌تر.

حالا بریم سراغ پشت‌صحنه‌ی اتفاقات

وقتی مرورگر و سرور تصمیم می‌گیرن “امن” حرف بزنن، چیزی به نام TLS Handshake انجام می‌شه — همون مغز اصلی HTTPS:

1- مرورگر (Client) می‌گه:
«سلام! من می‌خوام ارتباط امن برقرار کنم، اینم لیست الگوریتم‌های رمزنگاری‌ای که بلدم.»

2- سرور جواب می‌ده:
«باشه، این یکی رو انتخاب می‌کنم.» و پارامترهای امنیتی خودش رو هم مشخص می‌کنه.

3- حالا نوبت اعتمادسازی‌ست:
سرور گواهی دیجیتال (Certificate) خودش رو می‌فرسته. این گواهی شامل کلید عمومی سرور (Public Key) و اطلاعات هویتی دامنه است.
مرورگر این گواهی رو با استفاده از زنجیره‌ی اعتماد به Certificate Authority (CA) بررسی می‌کنه.
اگر معتبر بود، مرورگر حالا کلید عمومی سرور رو در اختیار داره و مطمئنه که طرف مقابل واقعی‌ست.

4- اگر الگوریتم انتخاب‌شده نیاز به تبادل پارامترهای اضافی برای تولید کلید داشته باشه (مثلاً در روش Diffie-Hellman)، سرور این اطلاعات رو در مرحله‌ی Server Key Exchange می‌فرسته.
در بعضی روش‌ها این مرحله وجود نداره، چون همون گواهی کافی‌ست.

5- سرور می‌گه: «من دیگه آماده‌ام.» (Server Hello Done)

6- مرورگر یک pre-master secret تولید می‌کنه، اون رو با کلید عمومی سرور رمز می‌کنه و می‌فرسته. فقط سرور می‌تونه با کلید خصوصی خودش اون رو باز کنه.

7- مرورگر اعلام می‌کنه از اینجا به بعد همه‌چیز رمزنگاری می‌شه (Change Cipher Spec).

8- مرورگر یک پیام تست رمزگذاری‌شده می‌فرسته (Finished) تا مطمئن بشن از کلید یکسان استفاده می‌کنن.

9- سرور هم به حالت رمزنگاری سوئیچ می‌کنه.

سرور پیام تست خودش رو می‌فرسته. حالا دیگه ارتباط کاملاً امنه — همه‌چیز با رمزگذاری متقارن ادامه پیدا می‌کنه.


<Abolfazl Bakhtiari/>