Forwarded from آرچلینوکس پارسی (Mohammadreza)
کلودفلر سرویس میروری برای آرچ لینوکس راه اندازی کرده که نزدیکترین میرور از بین لیست میرورهای آرچ را برای ما انتخاب و درخواستها را به آن میرور ارسال میکند و در صورت موجود بودن بسته ها در کش بسته ها را از کش ارسال میکند.
برای استفاده از این سرویس میرور کافی است خط زیر را
به ابتدای لیست میرورها در فایل
برای استفاده از این سرویس میرور کافی است خط زیر را
Server = https://cloudflaremirrors.com/archlinux/$repo/os/$arch
به ابتدای لیست میرورها در فایل
/etc/pacman.d/mirrorlistاضافه کنید. و سپس با دستور
sudo pacman -Syyuدیتابیس پکمن را آپدیت نمایید.
برای کم کردن حجم دیتا کارهای مختلف میشه کرد، یکی از روشهای کم کردن حجم loseless، کدگذاری پترنهای پرتکرار دیتائه، به این ترتیب پترنهای پرتکرار حجمشون کم میشه ولی پترنهای کمتکرار احتمالا حجمشون بیشتر میشه. پس خیلی مهمه که بتونیم به شکل مناسب کمحجمها رو پیدا کنیم.
توی این مطلب هم یه ایده زدن برای پیدا کردن پترنهای پرتکرار توی عکس با کمک یادگیری عمیق
https://bair.berkeley.edu/blog/2019/09/19/bit-swap/
توی این مطلب هم یه ایده زدن برای پیدا کردن پترنهای پرتکرار توی عکس با کمک یادگیری عمیق
https://bair.berkeley.edu/blog/2019/09/19/bit-swap/
The Berkeley Artificial Intelligence Research Blog
A Deep Learning Approach to Data Compression
The BAIR Blog
اگه دوست دارید تو فیلد امنیت کار کنید این مطلب توصیهها و منابع خوبی داره:
https://shellsharks.com/getting-into-information-security
این قسمت هم به طور خاص به پادکستها و جامعههای فعال تو حوزه امنیت میپردازه:
https://shellsharks.com/getting-into-information-security#online-communities
https://shellsharks.com/getting-into-information-security
این قسمت هم به طور خاص به پادکستها و جامعههای فعال تو حوزه امنیت میپردازه:
https://shellsharks.com/getting-into-information-security#online-communities
shellsharks
Getting Into Information Security
A field-guide for getting into information security.
ردیس، در یک اقدام لایسنسش رو برای نسخه های بعدی، از bsd به یه حالت dual license تغییر داد.
لینک بلاگشون:
https://redis.com/blog/redis-adopts-dual-source-available-licensing/
لینک بلاگشون:
https://redis.com/blog/redis-adopts-dual-source-available-licensing/
Redis
Redis Adopts Dual Source-Available Licensing | Redis
Developers love Redis. Unlock the full potential of the Redis database with Redis Enterprise and start building blazing fast apps.
اگه کاربر حرفهای ترمینال هستین (که کلا این چنل برای شماست اگه اینطوریه!) احتمالا اسم kitty و alacritty به گوشتون خورده. ترمینالهایی که با استفاده از gpu پردازششون رو انجام میدن و مصرف پردازنده کمتر به همراه سرعت بیشتر (انشالا!) رو به ارمغان میارن.
یه ترمینال دیگهای که دیدم که مزایای خیلی خوبی هم داره ولی توجه زیادی بهش نمیشه Wezterm هستش که توسط یه اقایی به اسم Wez توسعه داده میشه. این هم همون مزایا رو داره ولی کانفیگش با luaئه و مزیت بزرگش اینه که تو سیستمعاملهای مختلف با همون کانفیگ خودتون میتونه همونطوری کار کنه. (حتی ویندوز و مک!)
اینجا میتونید یه مقدار در مورد تفاوت هاشون بخونید:
https://github.com/wez/wezterm/discussions/1769
اینجا هم یه مقدار به نظرات پرداخته:
https://www.reddit.com/r/linux/comments/v86m6o/why_doesnt_wezterm_get_any_attention_compared_to/
خلاصه اینکه خیلیا دوستش داشتن، مخصوصا اونایی که با alacritty کار میکردن ولی خیلی راضی نبودن.
یه ترمینال دیگهای که دیدم که مزایای خیلی خوبی هم داره ولی توجه زیادی بهش نمیشه Wezterm هستش که توسط یه اقایی به اسم Wez توسعه داده میشه. این هم همون مزایا رو داره ولی کانفیگش با luaئه و مزیت بزرگش اینه که تو سیستمعاملهای مختلف با همون کانفیگ خودتون میتونه همونطوری کار کنه. (حتی ویندوز و مک!)
اینجا میتونید یه مقدار در مورد تفاوت هاشون بخونید:
https://github.com/wez/wezterm/discussions/1769
اینجا هم یه مقدار به نظرات پرداخته:
https://www.reddit.com/r/linux/comments/v86m6o/why_doesnt_wezterm_get_any_attention_compared_to/
خلاصه اینکه خیلیا دوستش داشتن، مخصوصا اونایی که با alacritty کار میکردن ولی خیلی راضی نبودن.
GitHub
How does Wezterm compare to Alacritty · wezterm/wezterm · Discussion #1769
What are the differences between these two projects? When should users side with one over the other? Why do we as a Rust community need two different terminals? Do they have different approaches/ph...
در مورد بایتکد جاوا و jvm اگه میخواید عمیق بدونید این مطلب خوبیه:
https://javacup.ir/bytecode/
https://javacup.ir/bytecode/
Forwarded from امین رشیدبیگی | مهندسی نرمافزار
How Netflix builds a culture of excellence | Elizabeth Stone (CTO)
این روزهای تعطیلی اول سال نشستم به خوندن کتاب و دیدن ویدیوهای افراد خوشذهنی مثل Elizabeth Stone. ایشون با وجود این که تحصیلات دانشگاهی اقتصاد دارن، الان CTO شرکت high techای مثل نتفلیکس هستن.
در این مصاحبهٔ Lenny's Podcast در مورد فرهنگ نتفلیکس، پیشرفت شغلی، انتظارات بالای شرکت نتفلیکس و ... صحبت میشه.
چندتا فکت جالب هم در مورد نتفلیکس فهمیدم:
- نتفلیکس مرخصی تعطیلات نامحدود داره!
- قبلاً به این معروف بود که نردبان شغلی و کلا مفهومی به اسم ارتقای شغلی نداره و همه senior و در یک سطح هستن. به همین دلیل performance review هم ندارن. ولی اخیراً یک سطح برای نیروهای fresh و کمتجربهتر ایجاد کردن.
- مدتیه که به دلیل جلوگیری از آسیب زدن به تجربهٔ کاربرهاشون از روش chaos monkey که خودشون مبدعش بودن استفاده نمیکنن و برای اطمینان از مقاومت اجزای سیستم از روشهای دیگری استفاده میکنن.
🔗 لینک پادکست (یوتیوب)
#netflix #podcast
@aminrbg
این روزهای تعطیلی اول سال نشستم به خوندن کتاب و دیدن ویدیوهای افراد خوشذهنی مثل Elizabeth Stone. ایشون با وجود این که تحصیلات دانشگاهی اقتصاد دارن، الان CTO شرکت high techای مثل نتفلیکس هستن.
در این مصاحبهٔ Lenny's Podcast در مورد فرهنگ نتفلیکس، پیشرفت شغلی، انتظارات بالای شرکت نتفلیکس و ... صحبت میشه.
چندتا فکت جالب هم در مورد نتفلیکس فهمیدم:
- نتفلیکس مرخصی تعطیلات نامحدود داره!
- قبلاً به این معروف بود که نردبان شغلی و کلا مفهومی به اسم ارتقای شغلی نداره و همه senior و در یک سطح هستن. به همین دلیل performance review هم ندارن. ولی اخیراً یک سطح برای نیروهای fresh و کمتجربهتر ایجاد کردن.
- مدتیه که به دلیل جلوگیری از آسیب زدن به تجربهٔ کاربرهاشون از روش chaos monkey که خودشون مبدعش بودن استفاده نمیکنن و برای اطمینان از مقاومت اجزای سیستم از روشهای دیگری استفاده میکنن.
🔗 لینک پادکست (یوتیوب)
#netflix #podcast
@aminrbg
YouTube
How Netflix builds a culture of excellence | Elizabeth Stone (CTO)
Elizabeth Stone is the chief technology officer of Netflix. She previously served as vice president of product data science and engineering, and as vice president of data and insights, at Netflix. Before Netflix, Elizabeth was vice president of science at…
اگه با گیت کار میکنید احتمالا دستورهای اولیه تو ذهنتون هست مثل add commit push pull که خیلیم خوبه.
ولی یه سری دستورها اضافه شدن که کار رو راحت کنن. مثلا چون با checkout و reset کارهای خیلی متفاوتی میشه انجام داد، در نسخههای جدید switch و restore رو معرفی کردن که بخشی از اون قابلیتها رو به شکل بهتر و قابل به خاطر سپردنتری داره.
این مطلب لیستی از کامندهای مدرن گیت رو بهتون آموزش میده
https://martinheinz.dev/blog/109
ولی یه سری دستورها اضافه شدن که کار رو راحت کنن. مثلا چون با checkout و reset کارهای خیلی متفاوتی میشه انجام داد، در نسخههای جدید switch و restore رو معرفی کردن که بخشی از اون قابلیتها رو به شکل بهتر و قابل به خاطر سپردنتری داره.
این مطلب لیستی از کامندهای مدرن گیت رو بهتون آموزش میده
https://martinheinz.dev/blog/109
martinheinz.dev
Modern Git Commands and Features You Should Be Using
<p>
All of us - software engineers - use <code class="inline">git</code> every day, however most people only ever touch the most basic of commands, such as...
All of us - software engineers - use <code class="inline">git</code> every day, however most people only ever touch the most basic of commands, such as...
اگه با فایرفاکس به شکل حرفهای کار میکنید و tabهای باز زیاد دارید، شاید sidebery همون چیزی باشه که دنبالش هستین. برای من خیلی کمک کننده بود که تب هامو در گروههای مختلف منظم کنم و فقط رو یکیش تمرکز کنم.
https://github.com/mbnuqw/sidebery
https://github.com/mbnuqw/sidebery
GitHub
GitHub - mbnuqw/sidebery: Firefox extension for managing tabs and bookmarks in sidebar.
Firefox extension for managing tabs and bookmarks in sidebar. - mbnuqw/sidebery
در مورد Load Balancing این مطلب از AWS آمازون به نظرم با عمق خوبی مطلب رو باز کرده (و البته یکم تبلیغ خودشو کرده!)
https://aws.amazon.com/what-is/load-balancing/
https://aws.amazon.com/what-is/load-balancing/
Amazon
What is Load Balancing? - Load Balancing Algorithm Explained - AWS
Find out what is Load Balancing and how to use Amazon Web Services for Load Balancing
یه تجربه با گولنگ که کدشو برای پردازش هزاران خط متن ورودی بهینه کرده.
مخصوصا در مورد memory allocationها دید خوبی میده و جالبه اگه به پرفورمنس علاقه دارید بخونید:
https://benhoyt.com/writings/go-1brc/
مخصوصا در مورد memory allocationها دید خوبی میده و جالبه اگه به پرفورمنس علاقه دارید بخونید:
https://benhoyt.com/writings/go-1brc/
Benhoyt
The One Billion Row Challenge in Go: from 1m45s to 3.4s in nine solutions
How I solved the One Billion Row Challenge (1BRC) in Go nine times, from a simple unoptimised version that takes 1 minute 45 seconds, to an optimised and parallelised version that takes 3.4 seconds.
بچه ها چه از firefox استفاده میکنید چه کروم، مرورگرهاتون رو آپدیت کنید. این هفته برای هردوشون zero day کشف شده.
کروم-بیس ها:
https://www.ghacks.net/2024/03/29/microsoft-edge-fixes-0-day-vulnerability-confirms-all-chromium-based-browsers-vulnerable/
فایرفاکس:
https://chipp.in/security-privacy/firefox-124-0-1-fixes-two-critical-security-issues/
و البته قابل حدسه که هردو از مشکلات سی دارن استفاده میکنن. اولی use rafter free و دومی out of bound access (و یه چیز دیگه). تازه این کدیه که بهترین مهندسها نوشتن و هزاران مدل تست شده و هزاران متخصص میبینن این کدها رو.
کروم-بیس ها:
https://www.ghacks.net/2024/03/29/microsoft-edge-fixes-0-day-vulnerability-confirms-all-chromium-based-browsers-vulnerable/
فایرفاکس:
https://chipp.in/security-privacy/firefox-124-0-1-fixes-two-critical-security-issues/
و البته قابل حدسه که هردو از مشکلات سی دارن استفاده میکنن. اولی use rafter free و دومی out of bound access (و یه چیز دیگه). تازه این کدیه که بهترین مهندسها نوشتن و هزاران مدل تست شده و هزاران متخصص میبینن این کدها رو.
ghacks.net
Microsoft Edge fixes 0-day vulnerability: confirms all Chromium-based browsers vulnerable
Microsoft released a security update for its Microsoft Edge web browser that patches several security issues, including one critical issue that is exploited in the wild.
زیبایی نرمافزار تمام شده:
آیا توسعهی یک نرم افزار تمام میشود؟ آیا میتوان گفت یک نرمافزار تمام شده است؟ وقتی ما یک نسخه خوب از یک نرمافزار داریم و استفاده میکنیم آیا نیازی به نسخه جدید آن داریم؟
در این مطلب با استفاده از مثال یک word processor قدیمی، نویسنده توضیح میده که یک نرمافزار میتونه تمام شده باشه و نسخه جدیدی ازش منتشر نشه و هیچ ویژگی جدیدی هم بهش اضافه نشه. مثل پدال گاز ماشینها. اشکالی نداره که به همون شکلی که کار میکرد کار کنه و اشکال نداره که تکراری میشه، به جاش کار میکنه.
میگه مثل سختافزارها که همون شکلی که تحویل میگیرمشون تا وقتی کار میکنن استفاده میکنیم نرمافزار هم میتونه همینطوری باشه. نیازی نیست هرروز یه چیزیش عوض بشه. حتی اگه بهتر بشه باز باید با نسخه جدید عادت بدیم خودمون رو.
https://josem.co/the-beauty-of-finished-software/
آیا توسعهی یک نرم افزار تمام میشود؟ آیا میتوان گفت یک نرمافزار تمام شده است؟ وقتی ما یک نسخه خوب از یک نرمافزار داریم و استفاده میکنیم آیا نیازی به نسخه جدید آن داریم؟
در این مطلب با استفاده از مثال یک word processor قدیمی، نویسنده توضیح میده که یک نرمافزار میتونه تمام شده باشه و نسخه جدیدی ازش منتشر نشه و هیچ ویژگی جدیدی هم بهش اضافه نشه. مثل پدال گاز ماشینها. اشکالی نداره که به همون شکلی که کار میکرد کار کنه و اشکال نداره که تکراری میشه، به جاش کار میکنه.
میگه مثل سختافزارها که همون شکلی که تحویل میگیرمشون تا وقتی کار میکنن استفاده میکنیم نرمافزار هم میتونه همینطوری باشه. نیازی نیست هرروز یه چیزیش عوض بشه. حتی اگه بهتر بشه باز باید با نسخه جدید عادت بدیم خودمون رو.
https://josem.co/the-beauty-of-finished-software/
Jose M. Gilgado
The Beauty of Finished Software
Let me introduce you to WordStar 4.0, a popular word processor from the early 80s.
نوشتههای ترمینالی
بچه ها چه از firefox استفاده میکنید چه کروم، مرورگرهاتون رو آپدیت کنید. این هفته برای هردوشون zero day کشف شده. کروم-بیس ها: https://www.ghacks.net/2024/03/29/microsoft-edge-fixes-0-day-vulnerability-confirms-all-chromium-based-browsers-vulnerable/ فایرفاکس:…
آسیبپذیری های نرمافزارها این روزها همچنان ادامه داره
روز ۲۹ مارچ یه آسیبپذیری روی xz کشف شده، ولی تفاوتش با آسیبپذیری های معمولی اینه که این، به شکل عمدی توی نرمافزار توسط یکی از maintainer ها با ۲ سال سابقه جاگذاری شده. این خیلی ترسناک میکنه قضیه رو، چون هم اینطوریه که کدی که روی ریپوزیتوری بوده رو عینا نگذاشته بلکه تو tarball یه سری اسکریپت مخرب هم گذاشته. دوم اینکه این آدم در چند تا پروژه مرتبط دور و نزدیک هم مشارکت داشته و احتمال این میره که اونا هم آلوده شده باشند.
سوال: آسیبپذیری از چه نوعیه؟ چه بلایی ممکنه سرمون بیاد؟ آسیبپذیری از نوع پرخطرترین آسیبپذیری هاست یعنی remote code execution یا همون RCE. به این معنی که هکر میتونه رو سیستم شما، هر کدی که بخواد رو اجرا کنه بدون اینکه شما خبر داشته باشید یا نیاز باشه کاری بکنید! در واقع مثل اینه که دسترسی shell داره به سیستم شما.
سوال: اصلا xz چیه؟ لازمه نگرانش باشیم؟ این یه ابزار برا کاربا فایلهای زیپ هست که به احتمال خیلی بالایی رو سیستمتون نصبه. مخصوصا اگه یه توزیع لینوکس مرسوم دارید که از ابزارهای گنو و libc استفاده میکنید.
سوال: لازمه فایل زیپ مخربی باز کنم؟ من زیپ هامو با به ابزار دیگه باز میکنم.
دقت کنید که این ابزار تو کلی از ابزارهای دیگه هم استفاده میشه پس صرف اینکه مستقیم ازش استفاده نمیکنیم به این معنی نیست که نصب نداریمش، مثلا اکثر guiها خودشون منطق باز کردن فایل زیپ رو پیاده سازی نمیکنن و از ابزارهای موجود مثل همین xz استفاده میکنن.
دوم اینکه مدل آسیب پذیری نیازی به اقدامی از سمت شما نداره!
سوال: آیا سیستم من آسیبپذیره؟ احتمالا بله. دقت کنید که اصلا نیاز نیست شما فایل زیپ باز کنید، همین که نسخه آسیبپذیر به همراه glibc و systemd و sshd رو سیستمتون باشه، سیستم شما یه در پشتی برای attacker داره. البته اسکریپت مخرب رو که بررسی کردت انگار تا حدی جامعه هدفش رو بررسی میکنه مثلا تمرکرشغرو توزیع های Deb و Rpm بیس و پردازنده های AMD64 هست.
سوال: نسخه اسیر پذیر کدومه؟ میتونم حذفش کنم؟ نسخه های ۵.۶.۰ و ۵.۶.۱ از xz میدونیم آسیب پذیر هستن ولی شاید ابزارهای دیگه هم آسیبپذیر باشن و کم کم رفع بشن بنابراین سیستمتون رو، مخصوصا اگر با ssh از بیرون بهش دسترسی دارن، مدام آپدیت کنید این روزها تا ببینیم چی میشه.
احتمالا هم نمیتونید xz رو حذف کنید چون عملکرد کلی از نرمافزارها بهش وابستهس، راه منطقی همون آپدیت کردنشه.
البته یکسری داونگرید کردن به نسخه ۵.۴ رو توصیه کردن. یکسری هم گفتن ssh رو غیرفعال کنید ولی تو سرورها شاید غیرمنطقی باشه.
اطلاعات بیشتر:
این صفحه مختصر و مفید توضیح داده و توصیه میشه به عنوان کاربر این نرمافزار بخونید:
https://xeiaso.net/notes/2024/xz-vuln/
این صفحه هم اطلاعات خوبی داشت:
https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils
این صفحه یه جمعبندی از اتفاقات انجام داده:
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
این صفحه تو سایت رسمی xz توسط maintainer اصلی (غیرمخرب) نوشته شده
https://tukaani.org/xz-backdoor/
این صفحه هم شامل اسم CVE و لینکهای مرتبط این آسیبپذیری در توزیع های مختلفه.
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
روز ۲۹ مارچ یه آسیبپذیری روی xz کشف شده، ولی تفاوتش با آسیبپذیری های معمولی اینه که این، به شکل عمدی توی نرمافزار توسط یکی از maintainer ها با ۲ سال سابقه جاگذاری شده. این خیلی ترسناک میکنه قضیه رو، چون هم اینطوریه که کدی که روی ریپوزیتوری بوده رو عینا نگذاشته بلکه تو tarball یه سری اسکریپت مخرب هم گذاشته. دوم اینکه این آدم در چند تا پروژه مرتبط دور و نزدیک هم مشارکت داشته و احتمال این میره که اونا هم آلوده شده باشند.
سوال: آسیبپذیری از چه نوعیه؟ چه بلایی ممکنه سرمون بیاد؟ آسیبپذیری از نوع پرخطرترین آسیبپذیری هاست یعنی remote code execution یا همون RCE. به این معنی که هکر میتونه رو سیستم شما، هر کدی که بخواد رو اجرا کنه بدون اینکه شما خبر داشته باشید یا نیاز باشه کاری بکنید! در واقع مثل اینه که دسترسی shell داره به سیستم شما.
سوال: اصلا xz چیه؟ لازمه نگرانش باشیم؟ این یه ابزار برا کاربا فایلهای زیپ هست که به احتمال خیلی بالایی رو سیستمتون نصبه. مخصوصا اگه یه توزیع لینوکس مرسوم دارید که از ابزارهای گنو و libc استفاده میکنید.
سوال: لازمه فایل زیپ مخربی باز کنم؟ من زیپ هامو با به ابزار دیگه باز میکنم.
دقت کنید که این ابزار تو کلی از ابزارهای دیگه هم استفاده میشه پس صرف اینکه مستقیم ازش استفاده نمیکنیم به این معنی نیست که نصب نداریمش، مثلا اکثر guiها خودشون منطق باز کردن فایل زیپ رو پیاده سازی نمیکنن و از ابزارهای موجود مثل همین xz استفاده میکنن.
دوم اینکه مدل آسیب پذیری نیازی به اقدامی از سمت شما نداره!
سوال: آیا سیستم من آسیبپذیره؟ احتمالا بله. دقت کنید که اصلا نیاز نیست شما فایل زیپ باز کنید، همین که نسخه آسیبپذیر به همراه glibc و systemd و sshd رو سیستمتون باشه، سیستم شما یه در پشتی برای attacker داره. البته اسکریپت مخرب رو که بررسی کردت انگار تا حدی جامعه هدفش رو بررسی میکنه مثلا تمرکرشغرو توزیع های Deb و Rpm بیس و پردازنده های AMD64 هست.
سوال: نسخه اسیر پذیر کدومه؟ میتونم حذفش کنم؟ نسخه های ۵.۶.۰ و ۵.۶.۱ از xz میدونیم آسیب پذیر هستن ولی شاید ابزارهای دیگه هم آسیبپذیر باشن و کم کم رفع بشن بنابراین سیستمتون رو، مخصوصا اگر با ssh از بیرون بهش دسترسی دارن، مدام آپدیت کنید این روزها تا ببینیم چی میشه.
احتمالا هم نمیتونید xz رو حذف کنید چون عملکرد کلی از نرمافزارها بهش وابستهس، راه منطقی همون آپدیت کردنشه.
البته یکسری داونگرید کردن به نسخه ۵.۴ رو توصیه کردن. یکسری هم گفتن ssh رو غیرفعال کنید ولی تو سرورها شاید غیرمنطقی باشه.
اطلاعات بیشتر:
این صفحه مختصر و مفید توضیح داده و توصیه میشه به عنوان کاربر این نرمافزار بخونید:
https://xeiaso.net/notes/2024/xz-vuln/
این صفحه هم اطلاعات خوبی داشت:
https://www.darkreading.com/vulnerabilities-threats/are-you-affected-by-the-backdoor-in-xz-utils
این صفحه یه جمعبندی از اتفاقات انجام داده:
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
این صفحه تو سایت رسمی xz توسط maintainer اصلی (غیرمخرب) نوشته شده
https://tukaani.org/xz-backdoor/
این صفحه هم شامل اسم CVE و لینکهای مرتبط این آسیبپذیری در توزیع های مختلفه.
https://nvd.nist.gov/vuln/detail/CVE-2024-3094
xeiaso.net
liblzma and xz version 5.6.0 and 5.6.1 are vulnerable to arbitrary code execution compromise
Xe Iaso's personal website.
نوشتههای ترمینالی
آسیبپذیری های نرمافزارها این روزها همچنان ادامه داره روز ۲۹ مارچ یه آسیبپذیری روی xz کشف شده، ولی تفاوتش با آسیبپذیری های معمولی اینه که این، به شکل عمدی توی نرمافزار توسط یکی از maintainer ها با ۲ سال سابقه جاگذاری شده. این خیلی ترسناک میکنه قضیه رو،…
به بهونه این آسیبپذیری: این آسیبپذیری از نوع زنجیره تامین یا همون supply chain attack هست، یعنی شما برنامه sshتون که در تماس با بیرونه مشکلی نداره، ولی از یه کتابخونه استفاده میکنه (باهاش dynamic link شده) که اون کتابخونه مشکل داره، حالا این باعث میشه که نرمافزار شما آسیبپذیر بشه.
برای همین نیازه که به عنوان کاربر و ادمین سیستم، نرمافزارهایی که نصب میکنیم و مخصوصا نیازمندیهاشون رو با دقت انتخاب کنیم و هرچیزی رو نصب نکنیم
و به عنوان توسعه دهنده سیستم سعی کنیم از کتابخانه ها و به طور کلی dependency هایی استفاده کنیم که واقعا بهشون نیاز داریم. هر کدوم از نیازمندیهای ما میتونن دچار چنین مشکلی بشن و کاربران ما رو تو خطر بندازن. داستان xz به خاطر یک شانس واقعا بود که زود کشف شد، ممکن بود مدتها کشف نشه، علاوه بر اینکه این ابزار فوقالعاده پرکاربرد و امتحان شده بود. اگر از یک کتابخونه که کمتر استفاده شدهس استفاده میکنیم واقعا داریم ریسک میکنیم!
نکته آخر هم اینکه حتی اگر سورس کد رو خوندیم و امنه، بازم به معنی امنیت نرمافزار نیست، چون وقتی ما binary ش رو دانلود میکنیم تضمینی نیست که همون سورس کد کامپایل شده باشه. تو این مورد یه دیتای تست مخرب، در زمانی که تستها اجرا میشد می اومد فایلها رو دستکاری میکرد. هم خلاقانه هم ترسناک.
https://en.m.wikipedia.org/wiki/Supply_chain_attack
برای همین نیازه که به عنوان کاربر و ادمین سیستم، نرمافزارهایی که نصب میکنیم و مخصوصا نیازمندیهاشون رو با دقت انتخاب کنیم و هرچیزی رو نصب نکنیم
و به عنوان توسعه دهنده سیستم سعی کنیم از کتابخانه ها و به طور کلی dependency هایی استفاده کنیم که واقعا بهشون نیاز داریم. هر کدوم از نیازمندیهای ما میتونن دچار چنین مشکلی بشن و کاربران ما رو تو خطر بندازن. داستان xz به خاطر یک شانس واقعا بود که زود کشف شد، ممکن بود مدتها کشف نشه، علاوه بر اینکه این ابزار فوقالعاده پرکاربرد و امتحان شده بود. اگر از یک کتابخونه که کمتر استفاده شدهس استفاده میکنیم واقعا داریم ریسک میکنیم!
نکته آخر هم اینکه حتی اگر سورس کد رو خوندیم و امنه، بازم به معنی امنیت نرمافزار نیست، چون وقتی ما binary ش رو دانلود میکنیم تضمینی نیست که همون سورس کد کامپایل شده باشه. تو این مورد یه دیتای تست مخرب، در زمانی که تستها اجرا میشد می اومد فایلها رو دستکاری میکرد. هم خلاقانه هم ترسناک.
https://en.m.wikipedia.org/wiki/Supply_chain_attack
Wikipedia
Supply chain attack
cyber-attack that seeks to damage an organization by targeting less-secure elements in the supply network
اگه از zsh استفاده میکنید و کلی پلاگین و کانفیگ بهش اضافه کردید و دیر میاد بالا، میتونید profileش کنید تا ببینید چی بیشتر از همه زمان مصرف میکنه موقع باز شدن.
این دو تا لینک دو تا روش مختلف گفته بودن:
این روشش سرراست تره:
https://stevenvanbael.com/profiling-zsh-startup
این روشش یه مقدار سرراست نیست ولی اگه خودتون دست به کد باشید میتونید دیتای جالب ازش بکشید بیرون:
https://esham.io/2018/02/zsh-profiling
این دو تا لینک دو تا روش مختلف گفته بودن:
این روشش سرراست تره:
https://stevenvanbael.com/profiling-zsh-startup
این روشش یه مقدار سرراست نیست ولی اگه خودتون دست به کد باشید میتونید دیتای جالب ازش بکشید بیرون:
https://esham.io/2018/02/zsh-profiling
Benjamin Esham
How to profile your zsh startup time
Instructions for measuring how long each command in your zshrc or zshenv takes to run.
نوشتههای ترمینالی
آسیبپذیری های نرمافزارها این روزها همچنان ادامه داره روز ۲۹ مارچ یه آسیبپذیری روی xz کشف شده، ولی تفاوتش با آسیبپذیری های معمولی اینه که این، به شکل عمدی توی نرمافزار توسط یکی از maintainer ها با ۲ سال سابقه جاگذاری شده. این خیلی ترسناک میکنه قضیه رو،…
یه تئوزی توطئه نسبتا هیجان انگیز در مورد آین آسیبپذیری رو اینجا بخونید:
https://x.com/thegrugq/status/1774392858101039419?s=20
https://x.com/thegrugq/status/1774392858101039419?s=20
چرا همه چیز بد است؟
این ویدیو کلا با همه چی سر ناسازگاری داره، از ویم تا کد تمیز، از پرفورمنس تا خود عمو باب.
https://youtu.be/-_o4YFFD6is?feature=shared
سیزده به درتون مبارک 🥗🥳 🎊 🎉 🎉 🎉 🥳
این ویدیو کلا با همه چی سر ناسازگاری داره، از ویم تا کد تمیز، از پرفورمنس تا خود عمو باب.
https://youtu.be/-_o4YFFD6is?feature=shared
سیزده به درتون مبارک 🥗
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Biggest Scams In Software Engineering
To try everything Brilliant has to offer—free—for a full 30 days, visit https://brilliant.org/bigboxSWE You’ll also get 20% off an annual premium subscription.
This video was sponsored by Brilliant
Music
Lo-fi Type Beat - Lighter: https://www.youtube.…
This video was sponsored by Brilliant
Music
Lo-fi Type Beat - Lighter: https://www.youtube.…