Software Engineer Labdon

🔵 عنوان مقاله Encrypting Files with Passkeys and age (8 minute read) 🟢 خلاصه مقاله: نسخه 0.2.3 از Typage، رمزنگاری فایل بر اساس کلید عبور (passkey) را با استفاده از افزونه PRF وب‌اوثن معرفی می‌کند، که به کاربران اجازه می‌دهد فایل‌ها را به گونه‌ای رمزگذاری کنند که فقط با استفاده از احراز هویت بیومتریک یا کلیدهای امنیتی سخت‌افزاری قابل رمزگشایی باشند. این پیاده‌سازی فرمت جدیدی برای گیرنده‌های age (fido2prf) ایجاد می‌کند که هر فایل رمزگذاری‌شده را به اعتبارنامه‌های سخت‌افزاری خاصی مرتبط می‌سازد، و برای رمزگشایی به هر دو فایل رمزگذاری‌شده و دسترسی فیزیکی به ابزار احراز هویت نیاز دارد. فایل‌های رمزگذاری‌شده در یک دستگاه می‌توانند در دستگاه دیگری با استفاده از کلیدهای عبور همگام‌سازی‌شده رمزگشایی شوند. همچنین یک افزونه CLI همراه این قابلیت را با استفاده از توکن‌های سخت‌افزاری FIDO2 خارج از مرورگر فعال می‌کند. 🟣لینک مقاله: https://words.filippo.io/passkey-encryption/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله Elmo's X account hacked to publish racist and antisemitic posts (2 minute read) 🟢 خلاصه مقاله: حساب کاربری رسمی المو در پلتفرم X در روز یکشنبه هک شد و محتوای نژادپرستانه و ضد یهودیت منتشر کرد قبل از آنکه حذف شوند. هکرها همچنین از طریق این حساب، از ترامپ خواستند تا پرونده‌های جفری اپستین را منتشر کند و این حساب به یک کلاهبرداری رمزارزی نیز مرتبط شده بود. این محتواهای نامناسب پس از مدت کوتاهی توسط مدیران پلتفرم شناسایی و حذف گردیدند. این اتفاق نگرانی‌هایی را در خصوص امنیت و نظارت در شبکه‌های اجتماعی به وجود آورده است. 🟣لینک مقاله: https://techcrunch.com/2025/07/14/sesame-street-elmo-x-account-hacked-racist-antisemetic-posts/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

یکی از درخواست هایی که چندین بار دیدم در مورد دیزاین پترن ها این بود که پیش نیازهاش چیا هستن که بشه راحت تر یاد گرفت.توی این ریلیز این پیش نیازها رو به علاوه یه پترن دیگه اضافه کردم. لینک پیش نیازها و مثال های واقعی: https://github.com/vahidvdn/realworld-design-patterns/blob/master/PREREQUISITES.md <Vahid/>

🔵 عنوان مقاله Cybersecurity (Anti)Patterns: Frictionware (17 minute read) 🟢 خلاصه مقاله: مقاله‌ای که مورد بررسی قرار گرفته، به نقد و بررسی ابزارهای امنیتی موسوم به "Frictionware" می‌پردازد که باعث می‌شود تیم‌های امنیتی زمان زیادی را صرف به‌کارگیری این ابزارها کنند به جای اینکه بر روی تولید نتایج تمرکز کنند. این ابزارها دارای الگوهای نادرستی هستند، از جمله مراحل پیچیده در زمان بارگذاری، ارائه ارزش ضعیف و عدم تطبیق با ابزارهای موجود. راه‌حل‌هایی برای جلوگیری از استفاده از Frictionware پیشنهاد شده است که شامل اجتناب کامل از فرآیند به‌کارگیری، تمرکز بر تعبیه به جای انتخابی بودن، استفاده از توابع اجباری برای الزام به استفاده در مواقع ضروری و کار کردن در مراکز داده و توجه موجود می‌شوند. این رویکردها به تیم‌های امنیتی امکان می‌دهند تا به جای وقف دادن زمان گرانبها به فرایندهای فرسایشی، بر نتایج واقعی متمرکز شوند. 🟣لینک مقاله: https://spaceraccoon.dev/cybersecurity-antipatterns-frictionware/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله DoNot APT Hits European Ministry with New LoptikMod Malware (2 minute read) 🟢 خلاصه مقاله: گروه پیشرفته و مداوم تهدید (APT) با پیوند به هند، معروف به DoNot، وزارت امور خارجه یک کشور اروپایی را هدف قرار داده است با استفاده از ایمیل‌های سرگرم‌کننده که به ظاهر از طرف مقامات دفاعی ارسال شده و حاوی لینک‌هایی به Google Drive برای تحویل بدافزار LoptikMod بودند؛ این اقدام نشان‌دهنده گسترش عملیات آن‌ها فراتر از تمرکز سنتی بر جنوب آسیا است. این استراتژی تهدید، که شامل تکنیک‌های فیشینگ می‌شود که از طریق آن‌ها افراد تحت فریب دریافت فایل‌های مخرب هدایت می‌شوند، نشان‌دهنده ترکیب پیچیده‌ای از تکنیک‌های سایبری است که از سوی این گروه به کار گرفته می‌شود تا به اهداف بلندمدت خود دست یابند. این فعالیت‌ها تاکید می‌کنند بر چگونگی افزایش دامنه جغرافیایی و تاکتیکی این نوع گروه‌های تهدید کننده در فضای سایبری. 🟣لینک مقاله: https://hackread.com/donot-apt-hits-european-ministry-loptikmod-malware/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله McDonald's Chatbot Recruitment Platform Exposed 64 Million Job Applications (2 minute read) 🟢 خلاصه مقاله: بستر استخدامی McHire متعلق به شرکت مک‌دونالد به دلیل استفاده از اطلاعات احراز هویت پیش‌فرض و یک API ناامن، منجر به افشای داده‌های شخصی بیش از ۶۴ میلیون متقاضی کار شد. این بستر که به عنوان یک رابط چت برای فرآیند استخدام به کار می‌رود، اطلاعات شخصی از قبیل نام‌ها، آدرس‌ها، شماره‌های تلفن و پیام‌های چت متقاضیان را در معرض دسترسی قرار داده بود. پژوهشگران امنیتی توانستند به تمامی این اطلاعات دسترسی پیدا کنند. این حادثه نشان‌دهنده ضعف‌های امنیتی عمده در سیستم استخدامی مک‌دونالد و نیاز مبرم به بهبود مدیریت امنیتی و رمزنگاری مناسب در استفاده از API‌ها و سیستم‌های مرتبط با داده‌ها است. 🟣لینک مقاله: https://www.securityweek.com/mcdonalds-chatbot-recruitment-platform-leaked-64-million-job-applications/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

جزئیات تیم فوق‌هوش مصنوعی متا (فیسبوک) فاش شده ! تیمی که متا برای توسعه هوش مصنوعی فوق‌پیشرفته خود تشکیل داده، شامل ۴۴ نفر است که: ۵۰٪ از چین هستند، ۷۵٪ دارای مدرک دکتری (PhD) هستند و ۷۰٪ محقق‌اند، ۴۰٪ از OpenAI، ۲۰٪ از DeepMind و ۱۵٪ از Scale جذب شده‌اند، ۲۰٪ در سطح L8+ (سطح بالای شغلی) فعالیت می‌کنند، ۷۵٪ مهاجران نسل اول هستند. هر یک از این افراد احتمالاً سالانه بین ۱۰ تا ۱۰۰ میلیون دلار حقوق دریافت می‌کنند! هرچی top اینجاس فقط سابقه هاشون رو نگاه کنید یکشون 37 سال سابقه کار داره YoE به احتمال زیاد از 14 سالگی کد میزنه ➖➖➖➖➖➖➖➖ https://t.me/addlist/QtXiQlynEJwzODBk

🔵 عنوان مقاله Popular Fitness App Fitify Exposes 138K User Progress Photos (3 minute read) 🟢 خلاصه مقاله: مقاله‌ای که مورد بررسی قرار گرفته، به گزارشی درباره‌ی نقض امنیتی در اپلیکیشن محبوب Fitify می‌پردازد. بر اساس این گزارش، Fitify بیش از 373,000 فایل را شامل 138,000 عکس پیشرفت کاربران در یک سطل ذخیره‌سازی بدون امنیت در Google Cloud فاش کرده است. بسیاری از این عکس‌ها کاربران را در لباس‌های مختصر نشان می‌دهد، که این امر حساسیت موضوع را افزایش می‌دهد. علاوه بر این، دسترسی به داده‌های خصوصی بدون نیاز به گذرواژه یا کلیدهای امنیتی امکان‌پذیر بوده و در برنامه کدهایی ثابت شده که می‌توانسته به مهاجمان اجازه دهد به اطلاعات بیشتر کاربر دسترسی پیدا کنند. این خطاهای امنیتی نشان‌دهنده‌ی اهمیت اجرای اقدامات امنیتی مناسب و نظارت مستمر بر زیرساخت‌های ذخیره‌سازی داده‌هاست. 🟣لینک مقاله: https://cybernews.com/security/fitify-app-data-leak-user-photos-exposed/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله The FIPS 140-3 Go Cryptographic Module (6 minute read) 🟢 خلاصه مقاله: گو، زبان برنامه‌نویسی، از نسخه ۱.۲۴ پشتیبانی بومی از استاندارد FIPS ۱۴۰-۳ را در کتابخانه استاندارد و دستور `go` خود معرفی کرده است. توسعه‌دهندگان می‌توانند با تنظیم گزینه GODEBUG `fips140=on` (از طریق متغیر محیطی یا در go.mod)، حالت FIPS ۱۴۰-۳ را فعال سازند و با استفاده از دستور `GOFIPS140=v1.0.0 go build`، نسبت به ساختن برنامه‌های خود با استفاده از ماژول‌های رمزنگاری تأییدشده اقدام کنند. این تلفیق بومی، نیاز به راه‌حل‌های غیر مورد پشتیبانی طرف سوم را از بین برده و تجربه‌ای بی‌درز برای توسعه‌دهندگان با پشتیبانی از کراس‌کامپایل و بدون افت کارایی ناشی از رابط‌های تابع خارجی فراهم می‌کند. 🟣لینک مقاله: https://go.dev/blog/fips140?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله UK Pet Owners Targeted by Fake Microchip Renewal Scams (3 minute read) 🟢 خلاصه مقاله: مقاله‌ای که مورد بحث قرار گرفته، به بررسی یک شیوه کلاهبرداری جدید در بریتانیا می‌پردازد که در آن کلاهبرداران از صاحبان حیوانات خانگی سوء استفاده می‌کنند. کلاهبرداران با استفاده از ایمیل‌های جعلی که به ظاهر برای تمدید میکروچیپ حیوان خانگی ارسال شده، از صاحبان حیوانات خانگی درخواست پرداخت هزینه‌های فریبنده می‌کنند. این ایمیل‌ها با استفاده از اطلاعات واقعی حیوانات که از پایگاه‌های داده ناامن سرقت شده، تنظیم شده‌اند. این شیوه از کلاهبرداری نه تنها بر روی احساسات صاحبان حیوانات خانگی بازی می‌کند، بلکه نشان دهنده خطرات امنیتی مرتبط با نگهداری اطلاعات در پایگاه‌های داده‌ای است که به درستی محافظت نمی‌شوند. این مسئله تأکید می‌کند بر اهمیت ارتقاء امنیت داده‌ها و آگاه سازی عموم مردم در رابطه با انواع کلاهبرداری‌های مدرن. 🟣لینک مقاله: https://hackread.com/uk-pet-owners-targeted-fake-microchip-renewal-scams/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله Man Gets Suspended Sentence for Hate-Fueled UK Train Stations WiFi Hack (2 minute read) 🟢 خلاصه مقاله: در یک حادثه در انگلیس، فردی با هک کردن WiFi یک ایستگاه قطار، پیام‌های نفرت‌انگیزی درباره اسلام نمایش داد. پس از شناسایی، این فرد توسط پلیس دستگیر شد. در دادگاه، به او حکم زندان با تعلیق، انجام خدمات عمومی و شرکت در برنامه‌های توان‌بخشی داده شد. این اقدام نه تنها نشان‌دهنده توانایی‌های فنی مجرم برای نفوذ به سیستم‌های ارتباطی مهم است، بلکه بار دیگر مسئله استفاده از تکنولوژی برای اشاعه نفرت و تبعیض را در جامعه مطرح می‌کند. اهمیت پایش و امنیت در ارتباطات شبکه‌ای و در رفتارهای فردی و جمعی در فضای مجازی بیش از پیش آشکار شده است. این مورد نمونه‌ای از چالش‌های موجود در مدیریت و کنترل دسترسی به سیستم‌های عمومی و خصوصی در عصر دیجیتال است. 🟣لینک مقاله: https://hackread.com/man-suspended-sentence-hate-uk-train-stations-wifi-hack/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

اصطلاح requirement driven vibe coding چیست؟ https://t.me/Software_Labdon/599?single مزیت استفاده از این روش چیست؟ https://t.me/Software_Labdon/601 مفهوم feature creep یا scope creep چیست؟ https://t.me/Software_Labdon/602 مفهوم bureaucratic در توسعه نرم افزار چیست؟ https://t.me/Software_Labdon/603 ➖➖➖➖➖➖➖➖ https://t.me/addlist/QtXiQlynEJwzODBk

🔵 عنوان مقاله CBI Shuts Down £390K U.K. Tech Support Scam, Arrests Key Operatives in Noida Call Center (2 minute read) 🟢 خلاصه مقاله: پلیس بین‌المللی هند (CBI) با اجرای عملیات چاکرا پنجم، یک سندیکای کلاهبرداری فناوری بین‌المللی را که شهروندان بریتانیا و استرالیا را هدف قرار داده بود، منحل کرد. این کلاهبرداران از طریق یک مرکز تماس جعلی به نام FirstIdea، که در سه مکان در نوئیدا فعالیت داشت، اقدام به فریب مردم می‌کردند. آنها خود را به عنوان کارکنان پشتیبانی مایکروسافت جا زده و ادعا می‌کردند که دستگاه‌های قربانیان آلوده به ویروس شده‌اند تا آنها را به پرداخت هزینه‌های جعلی ترغیب کنند. در این عملیات، دو مظنون دستگیر و بیش از ۳۹۰,۰۰۰ پوند خسارت به دست آمده توسط این کلاهبرداری‌ها شناسایی شد. این دستگیری‌ها نشان‌دهنده تلاش‌های بین‌المللی برای مقابله با جرائم سایبری و حمایت از قربانیان این نوع کلاهبرداری‌ها است. 🟣لینک مقاله: https://thehackernews.com/2025/07/cbi-shuts-down-390k-uk-tech-support.html?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

این Bureaucratic در توسعه نرم‌افزار یعنی روش‌هایی که پر از قوانین، فرآیندها، مستندسازی‌های سنگین و approval های زیاد هستند. ## مثال‌های روش‌های Bureaucratic: اWaterfall سنتی: - باید 50 صفحه requirement document بنویسی - هر تغییر باید از 5 نفر approval بگیره - مراحل سخت: Analysis → Design → Code → Test → Deploy - نمی‌تونی به مرحله بعد بری تا قبلی تایید نشه اEnterprise Development: - برای هر API باید UML diagram بکشی - کمیته‌های بررسی کد - فرم‌های متعدد برای هر تغییر ا- Meeting برای meeting گذاشتن! ## مقایسه: اBureaucratic (سنگین):

کار کوچیک → 3 جلسه → 2 approval → مستندسازی → کدنویسی

اRequirement Driven Vibe (سبک):

Requirement مشخص → مستقیم شروع کدنویسی

## مشکلات Bureaucracy: - کندی: هر کار ساعت‌ها اضافه وقت می‌خواد - انعطاف‌ناپذیری: نمی‌تونی سریع تغییر بدی ا- Overhead: زمان زیادی صرف کاغذبازی میشه - خلاقیت کُش: برنامه‌نویس توی قوانین گیر می‌کنه اRequirement Driven Vibe دقیقاً برای همین جذابه - planning محکم داره ولی execution رو آزاد می‌ذاره و توی جزئیات گیر نمی‌ده!

Feature Creep (یا Scope Creep) یعنی اضافه شدن تدریجی و غیرکنترلی ویژگی‌های جدید به پروژه در حین توسعه، بدون اینکه در برنامه‌ریزی اولیه پیش‌بینی شده باشن. ## مثال‌های عملی: پروژه اولیه: ساخت یک chat app ساده Feature Creep: - "بهتره emoji هم داشته باشیم" - "چرا voice message نداریم؟" - "باید group chat هم باشه" - "notification system هم لازمه" - "چت‌ها باید encrypt باشن" ## چرا مشکل‌سازه: برای توسعه‌دهنده: - Timeline بهم میریزه - کد پیچیده‌تر میشه - Technical debt زیاد میشه - انگیزه کم میشه برای پروژه: - بودجه تمام میشه - زمان تحویل عقب میفته - کیفیت اصلی آسیب می‌بینه - پروژه ممکنه نیمه‌کاره بمونه ## راه‌های جلوگیری: - Requirements محکم: مثل همین روش Requirement Driven - MVP تعریف کن: اول minimum viable product رو بساز - Change request process: برای هر تغییر باید تصمیم‌گیری رسمی بشه - قاطعیت: "این feature خوبه، ولی برای version بعدی" خلاصه، feature creep دشمن شماره یک پروژه‌هاست که باعث میشه هیچ‌وقت finish نشن!

🧠ویژگی‌های این روش: 🌟مزایا: هیچ کدی بدون requirement نوشته نمیشه تیم کاملاً می‌دونه داره چی می‌سازه مستندسازی از ابتدا انجام میشه کمتر feature creep پیش میاد و Scope واضح و مشخصه 🌟تفاوت با روش‌های دیگه: نسبت به Agile کمتر iterative هست نسبت به TDD اول requirement می‌نویسی، نه test نسبت به روش‌های سنتی، کمتر bureaucratic هست 🌟این روش خیلی مناسبه وقتی: پروژه scope مشخصی داره تیم کوچیکه و می‌خواد سریع پیش بره نیاز به مستندسازی واضح داری می‌خوای از over-engineering جلوگیری کنی عملاً یه ترکیب خوب از planning محکم و execution انعطاف‌پذیره!

📢 اگر تلگرام پرمیوم دارید، کانال ما رو Boost کنید ! 🚀 با Boost کردن کانال، به رشد و دیده شدن ما بیشتر کمک کنید💙 https://t.me/boost/gopher_academy

🔵 عنوان مقاله SMM callout vulnerabilities identified in Gigabyte UEFI firmware modules (5 minute read) 🟢 خلاصه مقاله: در تحقیق اخیر، چهار آسیب‌پذیری در نرم‌افزار UEFI محصولات Gigabyte کشف شده است که به شماره‌های CVE-2025-7026 تا CVE-2025-7029 طبقه‌بندی شده‌اند. این آسیب‌پذیری‌ها به مهاجمینی با دسترسی‌های مدیریتی امکان می‌دهد تا کد‌های مخرب را در حالت مدیریت سیستم (SMM) اجرا کنند، که این امر می‌تواند از حفاظت‌های سیستم‌عامل دور زده و حتی Secure Boot و Intel BootGuard را غیرفعال کند. این آسیب‌پذیری‌ها ناشی از تأیید نامناسب رجیسترهای CPU و اشاره‌گرها در مدیریت‌کننده‌های SMI هستند که به مهاجم اجازه کنترل نامطلوب بر نوشته‌ها و عملیات‌های فلش SMRAM را می‌دهند. با اینکه این مشکلات پیشتر توسط AMI برطرف شده بودند، اما دوباره در فرم‌ور Gigabyte ظاهر شده‌اند؛ بنابراین به کاربران توصیه می‌شود که فوراً نرم‌افزار UEFI خود را از طریق وب‌سایت پشتیبانی Gigabyte به‌روزرسانی کنند. 🟣لینک مقاله: https://kb.cert.org/vuls/id/746790?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله Grok-4 Jailbreak with Echo Chamber and Crescendo (4 minute read) 🟢 خلاصه مقاله: پژوهشگران نشان دادند که ترکیب دو تکنیک جیلبریک LLM، یعنی اکو چمبر (Echo Chamber) و کرسندو (Crescendo)، توانایی دور زدن تدابیر امنیتی هوش مصنوعی را به طور مؤثرتری نسبت به استفاده از هر یک از این روش‌ها به تنهایی افزایش می‌دهد. آزمایش‌ها روی Grok-4 در انجام کارهای مضر، مانند ارائه دستورالعمل‌های ساخت بمب، نرخ‌های موفقیتی بین 30% تا 67% را به دست آوردند. این کارها حاکی از پتانسیل خطرناک فرار از محدودیت‌های تعبیه شده در سیستم‌های هوش مصنوعی است و ضرورت توسعه مکانیزم‌های امنیتی پیشرفته‌تر را نشان می‌دهد تا از سوءاستفاده احتمالی جلوگیری شود. این پژوهش همچنین می‌تواند در تعیین راهکارهایی برای مقابله با تکنیک‌های جیلبریک از این دست رهنمود باشد. 🟣لینک مقاله: https://neuraltrust.ai/blog/grok-4-jailbreak-echo-chamber-and-crescendo?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon