Software Engineer Labdon

نسخه ۱۵۲ فایرفاکس منتشر شد.. آخرین سنگر مستقل و متن‌باز دنیای وب که به کرومیوم گوگل وابسته نیست آپدیت شد. توی این آپدیت طراحی تنظیمات تغییر کرده، می‌شه تب‌ها رو از نوار آدرس بی‌صدا کرد، از JPEG XL پشتیبانی می‌کنه و توی اندروید هم می‌شه تب‌ها رو گروه‌بندی کرد.

🍎 اگر به دنیای Apple علاقه‌مندی، این کانال رو از دست نده! آخرین و مهم‌ترین اخبار و رویدادهای اپل: 📱 iPhone و iOS 💻 MacBook و macOS ⌚ Apple Watch 🎧 AirPods و سرویس‌های اپل 🚀 تحلیل رویدادها، محصولات و آپدیت‌های جدید 📰 خلاصه روزانه مهم‌ترین اخبار دنیای Apple 👇👇👇👇 @mac_labdon ━━━━━━━━━━━━━━ 🔥 اگر اخبار Google و Android رو دنبال می‌کنی، این کانال برای توئه! جدیدترین و داغ‌ترین خبرها از: 📱 گوشی‌های سامسونگ، شیائومی و Google Pixel 🤖 Android و جدیدترین آپدیت‌ها 🏠 Google Home و گجت‌های هوشمند 🧩 اپلیکیشن‌ها و سرویس‌های گوگل 💻 Chromebook و اکوسیستم Google 🚀 معرفی محصولات، تحلیل‌ها و اخبار روز همه‌چیز درباره دنیای گوگل و اندروید در یک کانال: 👇👇👇👇 @google_labdon

🕵️ یه سایت هست که میتونه تقریباً تمام اطلاعات عمومی یک وب‌سایت رو دربیاره! 🌀 فرض کن میخوای بدونی یه سایت روی چه سروری میزبانی میشه ، مال کدوم کشوره ، از چه CDN یا فایروالی استفاده میکنه ، کی ثبت شده یا حتی چه رکوردهای DNS داره...؟! همه رو میتونی تو چند ثانیه با سایت‌های پایین ببینی! 🌐 dnsdumpster.com 🌐 securitytrails.com 🤯 جالب اینجاست که بعضی وقت‌ها از روی همین اطلاعات میشه فهمید: ▫️یه سایت واقعاً مال چه شرکتیه ▫️پشت Cloudflare قایم شده یا نه ▫️سرورهاش کجا قرار دارن ▫️قبلاً روی چه IPهایی بوده

💣 ادعای جنجالی پاول دوروف علیه واتساپ و متا! ⚠️ بنیان‌گذار تلگرام مدعی شده شرکت مخابراتی Reliance هند دسترسی برخی کاربران به تلگرام را حتی خارج از هند نیز مختل کرده است. ▫️دوروف می‌گوید این اختلال‌ها از طریق روشی به نام BGP Hijacking انجام شده؛ روشی که می‌تواند مسیر ترافیک اینترنت را تغییر دهد. ▫️اما بخش جنجالی ماجرا اینجاست...او مدعی شده چون بخشی از سهام Reliance متعلق به متاست، بعید نیست فشارهای اخیر برای محدود کردن تلگرام در هند هم با منافع واتساپ و متا مرتبط باشد. ⚠️ البته تا این لحظه هیچ مدرک عمومی و مستقلی برای اثبات این ادعا منتشر نشده و این موضوع فعلاً در حد ادعای شخصی پاول دوروف است.

یه ریپو دیدم حدس هایی در مورد معماری مدل mythos. حدس و گمان ها در مورد recurrent depth هاست و اینکه دیگه اون ریزنینگ در سطح توکن رخ نمی‌ده. با توجه به ریزالت‌های trm، hrm و آخرین آپدیت ریزالتایی hrm-text1b که sota هم هست بعید نیست https://github.com/kyegomez/OpenMythos <KHAN/>

Coolify برای آپلود پروژه‌های جدیدمون روی سرور، به عنوان یک فرانت‌اند دولوپر که خیلی درگیر مفاهیم پیچیده DevOps نیستم و از طرفی به خاطر تحریم‌ها نمی‌تونیم از سرویس‌هایی مثل Vercel استفاده کنیم، با Coolify آشنا شدم. تجربه واقعاً جالبی بود؛ هم نصبش ساده بود، هم مدیریت و آپدیت پروژه‌ها. کافیه آخرین commit رو بگیره، پروژه Next.js رو build کنه و deploy انجام بشه. عملاً خیلی از کارهایی که قبلاً دستی انجام می‌دادم رو راحت‌تر کرده. پ.ن: تا قبل از این، پروژه‌ها رو با یه اسکریپت از روی سیستم روی سرور sync می‌کردم :) رایگان و متن‌بازه، با Docker به‌صورت خودکار روی لینوکس نصب می‌شه، تنظیمات Proxy و Pathها رو خیلی راحت می‌تونی مدیریت کنی و در کل سرعت راه‌اندازی پروژه‌ها رو بیشتر می‌کنه. از همه مهم‌تر اینکه دیگه لازم نیست درگیر تنظیمات عجیب‌وغریب PM2 و Cluster Mode بشی. تا الان تجربه خوبی باهاش داشتم. https://coolify.io/ <Mohammad Sajad Shekhian/>

این وب‌سایت به خوبی تجربه من رو بیان می‌کنه و مطمئنم خیلی‌های دیگه هم تو استفاده از کلاد و دردسرهاش به این موضوعات برخوردن. من بعد از سوییچ کردن روی Codex از OpenAI واقعاً تجربه بهتری داشتم. ساعت‌های طولانی روی یه پروژه کار کردم، output تمیزتر گرفتم و فلو بهتری داشتم. پلاگین‌های Codex رو کاستوم برای کار خودم ساختم (از طریق skill creator) و در کل تجربه خیلی بهتری با مدل‌های GPT داشتم (خصوصاً ۵.۴ و ۵.۵). درسته این مدل‌ها در UI دیزاین ضعف زیادی دارن ولی واقعاً مدل جدید GPT خیلی انعطاف‌پذیری بیشتری داره، در انجام تسک‌های طولانی‌مدت خیلی بهتر عمل می‌کنه و compaction خیلی خوبی داره. Codex حتی ساعت‌ها بعد از موندن داخل یک چت، هنوز هم با همون دقت و سرعت output میده و گیج نمی‌زنه. متأسفانه Anthropic سابقه دستکاری نتایج رو داشته، روی بنچ‌مارک‌ها تقلب زیادی می‌کرده و حتی در هنگام کار ممکنه مدلی که استفاده می‌کنه رو عوض کنه (بدون اینکه بهتون اطلاع بده). توصیه من این هست اگر کار دیزاین می‌کنید یه مدل چینی برای انجام اون تسک‌های دیزاین داشته باشید (چه کیمی باشه چه glm) و بقیه کارها رو بسپارید به Codex. ترجیحا هم memory ای که به تمام چت هاتون دسترسی داره رو خاموش کنید. https://clawd.rip/ <E Gurl/>

من چند وقت اخیر روی یک پروژه اوپن‌سورس به اسم Linka کار می‌کردم و الان به نسخه پایدار رسیده. پروژه Linka یک بات تلگرام برای تحویل فایل از طریق Deep Link هست. مثلاً شما یک فیلم، سریال، دوره آموزشی یا هر فایل دیگه‌ای داخل بات ثبت می‌کنید، بات یک لینک اختصاصی می‌سازه و کاربر فقط با کلیک روی اون لینک فایل رو دریافت می‌کنه. هدفم این بود که یک راه‌حل ساده و آماده برای مدیریت و توزیع فایل در تلگرام بسازم که هر کسی بتونه با چند تغییر ساده توی فایل تنظیمات و اجرای Docker ازش استفاده کنه. پروژه کاملاً با Python توسعه داده شده و اوپن‌سورس هست. GitHub: https://github.com/MjavadH/Linka <MjavadH/>

یوتوب قابلیت ارسال پیام شخصی بین کاربران در دایرکت رو بعد از سالها دوباره اضافه کرده تا کاربران بدون خروج از این پلتفرم، باهم تعامل داشته باشن. اما نحوه شروع مکالمه در دایرکت یوتوب با بقیه اپها متفاوته چون یوتوب نمیخواد با ادمهای غریبه درون کامنتها به راحتی ارتباط بگیرین بلکه نحوه ارسال اولین پیام بدین صورت هست که از دایرکت یوتوب لینک دعوت دریافت میکنین و اون لینک رو در اپهای دیگه برای فرد مدنظرتون میفرستین تا اون فرد با باز کردنش، دعوت رو تایید کنه تا بتونین به همدیگه در یوتوب ویدیو و پیام بفرستین. 🔎 theverge

🔵 عنوان مقاله When Geopolitical Events Disrupt the Cloud: Insurance Coverage for Data Center Supply Chain Losses in a New Era of Conflict (3 minute read) 🟢 خلاصه مقاله: در دنیای امروز، وقایع ژئوپولیتیکی مانند حوادث دریایی، نوسانات در شبکه‌های انرژی و حملات سایبری دولت‌محور که هدف آن زیرساخت‌های هوش مصنوعی است، به عنوان عوامل معتبر و سیستماتیک می‌توانند باعث خساراتی در زنجیره تامین مراکز داده شوند. این نوع آسیب‌ها دیگر محدود به ظرفیت فیزیکی خود مرکز داده نمی‌مانند و تأثیراتی فراتر از محدوده فضاهای عملیاتی شرکت‌ها دارند. در نتیجه، توقف خدمات و پوشش‌های جبران خسارت مربوط به توقف تماس‌های کاری (CBI) عمده‌ترین ابزارهای قانونی هستند که در این حوزه به کار می‌روند. اما شرکت‌های بیمه انتظار دارند که برای مقابله با ادعاهای مربوط، دامنه "اموال وابسته" را محدود کنند و با استناد به وضعیت جنگ یا حملات سایبری، قراردادهای بیمه را تنگ‌تر سازند، که این موضوع چالش‌هایی در مسیر جبران خسارات ایجاد می‌کند. با افزایش موارد تعارضات ژئوپولیتیکی و تداوم ناپایداری‌های امنیتی، نحوه ارزیابی خطر و سیاست‌های بیمه‌ای باید به‌سرعت اصلاح و به‌روزرسانی شوند. شرکت‌ها و تامین‌کنندگان خدمات داده باید به طور دقیق درک کنند که آسیب‌های زنجیره‌ای ممکن است نه تنها در زیرساخت‌های فیزیکی، بلکه در تمامی سطوح مجموعه‌های فناوری و عملیاتی‌شان اثرگذار باشد. در این راستا، تعیین سیاست‌های مناسب و انعطاف‌پذیر بیمه‌ای برای پوشش این نوع خسارات اهمیت دوچندانی پیدا می‌کند، تا شرکت‌ها بتوانند در صورت وقوع حوادث، پشتیبانی لازم را دریافت کنند و از سلامت فعالیت‌هایشان حفاظت نمایند. در نتیجه، در عصر جدیدی از تنش‌های ژئوپولیتیکی و فناوری، توجه به جزئیات قراردادهای بیمه و درک عمیق از مفهوم اموال وابسته و استثنائات آن، کلید موفقیت در مدیریت ریسک‌های زنجیره تأمین مراکز داده است. لازم است شرکت‌ها و بیمه‌گران با همکاری نزدیک، راهکارهای نوآورانه‌ای برای مقابله با این چالش‌ها توسعه دهند و اطمینان حاصل کنند که خسارات احتمالی در دامنه پوشش‌های قرار می‌گیرند و تمرکز بر کاهش خسارات و پاسخ سریع به بحران‌ها حفظ می‌شود. #امنیت_سایبری #زنجیره_تامین #بیمه#خدمات_مراکز_داده 🟣لینک مقاله: https://www.jdsupra.com/legalnews/when-geopolitic-events-disrupt-the-5854625/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله QA shouldn't have to guess if a release is ready — Bugzy.io 🟢 خلاصه مقاله: باید از تیم‌های تضمین کیفیت (QA) انتظار نداشت که حدس بزنند آیا نسخه‌ی جدید آماده است یا خیر. وظیفه‌ی آنها شناسایی و ثبت باگ‌ها، نوشتن گزارش‌های آزمون و اطمینان از صحت عملکرد نرم‌افزار است، اما در نهایت تصمیم نهایی معمولا بر اساس اعتماد و احساس تیم‌ها گرفته می‌شود. این روند ممکن است موجب ابهام و ناآرامی در فرآیند تایید نهایی شود، چرا که تایید نسخه اغلب به فردی بستگی دارد که در آن لحظه بیشتر اعتماد به نفس دارد. پلتفرم Bugzy.io راه‌حلی جامع ارائه می‌دهد که تیم‌های QA و توسعه بتوانند همه‌ی مشکلات و باگ‌ها را در یک مکان مرکزی ثبت کنند. این ابزار امکان افزودن جزئیات فنی کامل درباره‌ی هر باگ، پیگیری مسائل در نسخه‌های مختلف و محیط‌های متفاوت را فراهم می‌کند و روند تایید نسخه را شفاف و قابل اعتماد می‌سازد. در نتیجه، فرآیند تایید نهایی تبدیل به‌ یک روند منطقی و مبتنی بر داده‌های واقعی می‌شود، نه احساسات و اطمینان‌های زودگذر. این ابزار نه تنها کیفیت را تضمین می‌کند، بلکه باعث سرعت‌بخشی به فرآیند عرضه و کاهش خطاهای انسانی می‌شود و تیم‌ها را در مدیریت بهتر پروژه‌ها یاری می‌دهد. اکنون دیگر تصمیم‌گیری در مورد استقرار نسخه، بر پایه اطلاعات جامع و قابل اعتماد است و از اتکا صرف به اعتماد فردی جلوگیری می‌شود. #تضمین_کیفیت #مدیریت_خطا #توسعه_ساده #نظارت_مستمر 🟣لینک مقاله: https://cur.at/nORVvUR?m=web ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله Who Runs Cl0p? Inside the Most Elusive Ransomware Operation in the World (17 minute read) 🟢 خلاصه مقاله: در این مقاله، به بررسی دقیق و جامع یکی از مرموزترین و پیچیده‌ترین گروه‌های فعالیت‌های جرائم سایبری، یعنی گروه رانسوم‌ویئر Cl0p، می‌پردازیم. این گروه که در دنیای مجازی به‌عنوان یکی از مخوف‌ترین و فعال‌ترین تهدیدات شناخته می‌شود، سال‌هاست کاربران و سازمان‌ها را هدف حملات خود قرار می‌دهد و توانسته است درآمدهای نجومی از باج‌خواهی‌های دیجیتال کسب کند. تحقیق مستقل و چندوجهی که شامل منابع محرمانه، داده‌های فروم‌های جنایی، مستندات پرونده‌های قانونی و مدارک پلیس است، اطلاعات مهمی درباره افراد و ساختار داخلی این گروه ارائه می‌دهد. در بخش اول، به معرفی چهار فرد کلیدی در ساختار و عملیات گروه Cl0p می‌پردازیم. این افراد شامل اپراتور معروف به j0nny، توسعه‌دهنده‌ای به نام اندریا وladimir Tarasov، خریدار دسترسی‌های اولیه به شبکه به نام ليخگرای مکسیم آلیکساندروویچ، و توسعه‌دهنده ابزارهای حملات RastaFarEye است. هرکدام نقش مشخص و مهمی در اجرای عملیات‌های این گروه دارند؛ از کنترل حملات و توسعه ابزارهای مخرب گرفته تا خرید و فروش دسترسی‌های شبکه‌ای که منجر به نفوذهای عظیم می‌شود. در ادامه، نقش هر یک از این افراد را در استراتژی‌ها و عملیات‌های گروه بررسی می‌کنیم. جونی، اپراتور گروه، مسئول مدیریت حملات و ارتباط با دیگر اعضا است که با لطف ظاهری و رمزهای مخفی سعی در پوشاندن هویت خود دارد. اندریا واندر و تارسوف، به عنوان توسعه‌دهندگان، سیستم‌ها و ابزارهای مورد استفاده در حملات را طراحی و بهبود می‌بخشند و باعث پیشرفت فناوری‌های مورد استفاده گروه می‌شوند. خریدار شبکه، لخوگرای، نقش خرید و فروش دسترسی‌های سرورها و شبکه‌ها را برعهده دارد که در درون سیستم‌های مالی پیچیده و غیرقابل رصد فعالیت می‌کند. نهایتاً، توسعه‌دهنده RastaFarEye، ابزارهای لازم برای نفوذ و پیچیده‌سازی حملات را تولید می‌کند که اهمیت زیادی در سرعت و کارایی عملیات‌های این گروه دارد. در نهایت، این مقاله نشان می‌دهد که گروه Cl0p چگونه با ساختار سازمان‌یافته، فناوری‌های پیشرفته و شبکه‌های پنهان فعالیت می‌کند تا در سایه بماند و همچنان در برابر قانون و نظارت عام فعالیت خود را ادامه دهد. فهم هرچه بهتر از این گروه، کمک می‌کند تا سازمان‌ها و کاربران حفاظتی بیشتری در برابر تهدیدهای سایبری داشته باشند و بتوانند با اقدامات پیشگیرانه قدرتمندتری راه مقابله با جرائم دیجیتال را طی کنند. در ادامه، همراه ما باشید تا جزئیات بیشتری درباره این عملیات مرموز و افراد پشت آن را کشف کنیم. #جرائم_سایبری #امنیت_دیجیتال #باج‌افزار #تروجان 🟣لینک مقاله: https://rmoskovy.github.io/posts/who-runs-clop-ransomware-investigation/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله McGraw-Hill Confirms Data Breach Following Extortion Threat (2 minute read) 🟢 خلاصه مقاله: شرکت مگرا-هِیل پس از دریافت تهدید اخاذی از سوی گروه باج‌افزار شاینی هانتری، تأیید کرد که سیستم Salesforce آن دچار نفوذ شده است. این شرکت اعلام کرد که داده‌های سرقت‌شده صرفاً شامل مقدار محدود و غیرحساس اطلاعات بوده است، از جمله شماره اجتماعی، اطلاعات مالی یا داده‌های دانش‌آموزان در میان آن نبوده است. اما در مقابل، گروه هانتری ادعا کرده است که مجموعه داده‌های سرقت‌شده شامل ۴۵ میلیون رکورد است که حاوی اطلاعات شخصی قابل شناسایی (PII) هستند. این تفاوت‌نظرها نشان می‌دهد که میزان و حساسیت اطلاعات دچار مناقشه شده و موضوع امنیت داده‌ها به یکی از دغدغه‌های روزافزون در حوزه فناوری و حفاظت اطلاعات تبدیل شده است. شرکت مگرا-هِیل در بیانیه‌ای رسمی تأکید کرد که اقدامات لازم برای مقابله با این هک و تقویت امنیت سیستم‌های خود در حال انجام است. آنها همچنین اعلام کردند که روند بررسی حادثه همچنان ادامه دارد و تدابیر جدیدی برای جلوگیری از وقوع چنین حوادثی در آینده در نظر گرفته شده است. در حالی که این شرکت سعی دارد اعتماد عمومی را حفظ کند، مساله سرقت اطلاعات و میزان حساسیت آن نشان می‌دهد که مسائل امنیت سایبری نیازمند توجه جدی و اقدامات پیشگیرانه هستند تا از مخاطرات جدی جلوگیری شود. #امنیت_اطلاعات #حفاظت_داده #نفوذ_سایبری #تازه‌ترین_اخبار 🟣لینک مقاله: https://www.bleepingcomputer.com/news/security/mcgraw-hill-confirms-data-breach-following-extortion-threat/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله The Bottom-Up Secret to 100% Test Coverage at Enterprise Scale 🟢 خلاصه مقاله: در دنیای توسعه نرم‌افزار، دستیابی به پوشش کامل تست (یعنی ۱۰۰٪) همواره یکی از اهداف بلندپروازانه و چالش‌برانگیز به نظر می‌رسد. بسیاری معتقدند که رسیدن به چنین سطحی تقریبا غیرممکن است، چرا که تصور کردن آن از دید بالا و جامع، کار دشواری است و اغلب به نظر می‌رسد که به هر قیمتی باید از لایحه‌های مختلف صرف‌نظر کنیم. اما این تصور زمانی تغییر می‌کند که از روشی متفاوت استفاده کنیم؛ روشی که بر پایه ساختن تصویر کلی از پایین به بالا استوار است. در حقیقت، الکساندر مندس، یکی از کارشناسان توسعه نرم‌افزار، بر این باور است که تمرکز بر نقاط کوچک و بخش‌های جداگانه، راهکاری موثر برای رسیدن به پوشش تست کامل در سطح سازمانی است. او معتقد است که هنگام بررسی بخش‌های کوچک‌تر و جداگانه سیستم، درک نسبتاً راحت‌تری نسبت به نیازهای تست و رفع اشکال پیدا می‌کنیم و این روند می‌تواند به تدریج ما را به هدف بزرگ‌تر نزدیک‌تر کند. با شروع از قسمت‌های کم‌حجم و کم‌جزئیات، می‌توان پروسه‌های بهبود و توسعه را با اطمینان بیشتری انجام داد و در نهایت، به جمع‌بندی کلی که همان پوشش کامل است، رسید. این رویکرد از پایین به بالا، برخلاف روش‌های سنتی و معکوس، نه تنها مدیریت بهتر بر روی جزئیات را فراهم می‌کند، بلکه فرآیندهای توسعه و آزمایش را هم ساده‌تر می‌نماید. با اعتماد بر توانایی‌های کوچک‌تر و مرتبا افزایش دامنه آن، سازمان‌ها و تیم‌های توسعه نرم‌افزار می‌توانند در مسیر دستیابی به پوشش کامل، گام‌هایی مؤثر و پایدار بردارند و نگرانی‌های مربوط به پوشش ناکافی یا خطاهای نرم‌افزاری را کاهش دهند. در نهایت، این استراتژی نه تنها برای پروژه‌های بزرگ، بلکه برای سازمان‌های در حال رشد و در سطح سازمانی نیز اهمیت دارد. با تمرکز بر روش‌های مرحله‌ای و ساختاری، می‌توان در عین حال کیفیت و استحکام سیستم‌ها را تضمین کرد و مقاومت بیشتری در برابر خطاها داشت. #پوشش_کامل #توسعه_نرم‌افزار #تست_برپایه_پایین_به_بالا #کیفیت_سیستم 🟣لینک مقاله: https://cur.at/uStS0gw?m=web ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله Using threat modeling and prompt injection to audit Comet (6 minute read) 🟢 خلاصه مقاله: در این مقاله، به بررسی رویکردهای مدرن در ارزیابی امنیتی ابزارهای هوشمند، به ویژه استفاده از مدل‌سازی تهدید و تکنیک‌های تزریق دستوری، پرداخته شده است. تیم Trail of Bits با بهره‌گیری از مدل تهدید TRAIL، به ارزیابی مرورگر هوشمند Comet شرکت Perplexity پرداختند و مرزهای اعتماد میان پروفایل محلی مرورگر و سرورهای عامل Perplexity را ترسیم کردند. هدف این تحلیل، شناسایی نقاط ضعف در برابر حملات تزریق دستوری بود که امکان سرقت محتوای حساب جیمیل از طریق دسترسی معتبر به نشست‌های هوشمند را فراهم می‌کردند. در بخش بعدی، محققان چهار تکنیک تزریق مختلف را در قالب پنج حمله اثبات مفهوم نشان دادند. این تکنیک‌ها شامل فریب مکانیزم‌های امنیتی جعل شده مانند CAPTCHA و تله‌های اعتبارسنجی، سرقت دستورالعمل‌های خلاصه‌سازی، و جعل سیستم‌های فرماندهی بودند. هریک از این روش‌ها نشان می‌دهد چطور مهاجم می‌تواند، با بهره‌گیری از ضعف‌های امنیتی، کنترل بیشتری بر سیستم‌های هوشمند داشته باشد و داده‌های حساس را استخراج کند. در نتیجه، این ارزیابی نشان می‌دهد که استفاده از روش‌های تحلیل تهدید و آزمون‌های عملی‌، برای شناسایی و اصلاح آسیب‌پذیری‌های سیستم‌های هوشمند اهمیت فراوان دارد. با آگاهی از این ضعف‌ها، تیم‌های توسعه می‌توانند تدابیری مؤثر برای حفاظت از حریم خصوصی و ارتقای امنیت کاربران اتخاذ کنند. #امنیت_هوشمند #مدل‌سازی_تهدید #تزریق_دستوری #امنیت_اطلاعات 🟣لینک مقاله: https://blog.trailofbits.com/2026/02/20/using-threat-modeling-and-prompt-injection-to-audit-comet/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله Operation FlutterBridge: macOS Malvertising Campaign Spreads New FlutterShell Backdoor (14 minute read) 🟢 خلاصه مقاله: عملیات FlutterBridge: کمپین تبلیغاتی مخرب در مک‌او‌اس با تروجان جدید FlutterShell ادامه دارد در تحلیل‌های تیم واحد ۴۲، تحقیقاتی درباره عملیات FlutterBridge انجام شد. این عملیات یک کمپین مخرب به منظور کسب درآمد است که با استفاده از تبلیغات تایید شده توسط گوگل و توسط شرکت‌های زیرمجموعه ناشناس و پیمانکاری در حوزه تبلیغات، تروجان جدیدی را برای سیستم‌عامل مک‌او‌اس منتشر می‌کند. این تروجان، با نام FlutterShell شناخته می‌شود، از طریق صدها تبلیغ تایید شده توسط گوگل توزیع می‌شود که توسط شرکت‌های حقیقی و حقوقی مثل AdsParkPro LTD، Advantage Web Marketing LLC و SOFT WE ART LIMITED انجام می‌گیرد. این تبلیغات شامل موارد متنوعی مانند پادکست‌ها و فایل‌های PDF است که به نظر بی‌ضرر می‌رسند، ولی در پس‌زمینه عملکردهای مخرب را انجام می‌دهند. این تروجان از امضای دیجیتال معتبر برای در امان ماندن از شناسایی‌های اولیه استفاده می‌کند؛ برای مثال، پلتفرم‌هایی مانند PodcastsLounge، PDF-Brain و PDF-Ninja، دارای هیچ شناسایی در سیستم‌های نظارتی و ضدویروس مانند VirusTotal نیستند. این فایل‌ها و Payloadها به صورت دیجیتال امضا شده و به راحتی در حالت طبیعی قابل شناسایی نیستند، به همین دلیل توانسته‌اند بدون جلب توجه به سیستم‌های امنیتی نفوذ کنند. FlutterShell همچنین به صورت مستقل و مستقل از فایل‌های باینری دیگر، در قالب یک برنامه مخفی در حافظه سیستم فعالیت می‌کند. یکی از بخش‌های مهم در طراحی این تروجان، استفاده از تکنولوژی WebView است. این تروجان طبق روال معمول در برنامه‌های مبتنی بر وب عمل می‌کند، به گونه‌ای که منطق مخرب درون یک فضای وب قرار دارد و ارتباط آن با هسته اصلی برنامه از طریق یک پل JavaScript-to-native یا همان flutterInvoke انجام می‌گیرد. این روش باعث می‌شود عملیات مخرب به صورت بسیار مخفی و زیرکانه اجرا شود، همچنین از شناسایی سریع توسط سیستم‌های امنیتی جلوگیری می‌کند. این تروجان به صورت مداوم دستورات را از سرورهای خاصی دریافت می‌کند، که URL مربوط به این دستورات در مسیر /getCon... قرار دارند و امکان کنترل کامل آن‌ها توسط مهاجم را فراهم می‌سازد. بنابراین، عملیات FlutterBridge نمونه‌ای بارز از چگونگی توسعه و توزیع حملات پیچیده و مخفی در فضای آنلاین است. این نوع حملات نشان می‌دهد که مجرمان سایبری با ترفندهای هوشمندانه و استفاده از تکنولوژی‌های معتبر، تلاش می‌کنند سیستم‌های هدف را نفوذپذیر ساخته و از آن‌ها برای اهداف خرابکارانه خود بهره‌برداری کنند. کاربران و مدیران باید همواره هشدارها و به‌روزرسانی‌های امنیتی را رعایت کنند تا در مقابل چنین تهدیداتی محافظت شوند. #امنیت_نرم‌افزار #حملات_سایبری #تروجان #امنیت_مک‌او‌اس 🟣لینک مقاله: https://unit42.paloaltonetworks.com/flutterbridge-new-fluttershell-backdoor/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله Shift Left Did Not Fix It 🟢 خلاصه مقاله: مقاله‌ای که توسط بریجیش دیب نگاشته شده است، نگرانی‌هایی را درباره مفهوم تغییر عملیات تست به سمت چپ مطرح می‌کند و این سوال را مطرح می‌سازد که آیا واقعاً این رویکرد باعث کاهش ریسک در مراحل بعدی پروژه می‌شود یا نه. در این مقاله، نویسنده به بررسی انتقاداتی می‌پردازد که ممکن است این تغییرات در فرآیندهای توسعه نرم‌افزار، در بهترین حالت فقط جنبه تئوری داشته باشند و در عمل نتایج متفاوتی به دنبال داشته باشند. در این نوشته، بحث می‌شود که صرفاً انتقال فعالیت‌های تست به مراحل اولیه توسعه، به تنهایی تضمین‌کننده کاهش خطرات و مشکلات آتی نیست. بسیاری از افراد بر این باورند که زودتر وارد کردن تیم‌های تست در فرآیند، می‌تواند خطاها را زودتر شناسایی و برطرف کند، اما در واقع عوامل زیادی وجود دارند که ممکن است مانع تحقق این هدف شوند. به عنوان مثال، عدم آموزش مناسب، نبود همکاری موثر میان تیم‌ها، یا پیچیدگی‌های فنی پروژه، همگی می‌توانند نقش مهمی در موفقیت یا شکست این رویکرد داشته باشند. در نهایت، نویسنده تأکید می‌کند که اگرچه روش Shift Left در برخی موارد مفید است، اما نباید صرفاً به عنوان راه‌حلی کامل در نظر گرفته شود. بلکه باید نگرشی جامع و استراتژیک به فرآیندهای توسعه و آزمایش داشت تا بتوان پیشرفت واقعی و کاهش قابل توجه ریسک‌ها را تحقق بخشید. در کنار این تغییرات، نیاز است فرهنگ همکاری، آموزش، و ابزار مناسب نیز در کنار هم قرار گیرند تا نتیجه مطلوب حاصل شود. تاکنون، نتیجه نهایی نشان می‌دهد که انتقال تست به بخش‌های اولیه، گرچه می‌تواند مفید باشد، اما تضمینی برای موفقیت کامل نیست و باید با تمرکز بر عوامل دیگر و استراتژی‌های جامع، به‌کار گرفته شود. #توسعه_نرم‌افزار #تست_زودتر #مدیریت_ریسک #فناوری 🟣لینک مقاله: https://cur.at/DVJqUp0?m=web ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله QA's Bottleneck Just Moved. Most Teams Haven't Noticed. 🟢 خلاصه مقاله: در دنیای تست و تضمین کیفیت، نگرانی‌هایی وجود داشت درباره اینکه کجای فرآیند به عنوان نقطه‌ضعف یا گلوگاه عمل می‌کند. نکته قابل توجه این است که اخیراً، این مشکل به قسمت دیگری منتقل شده است، اما بیشتر تیم‌ها متوجه این تغییر نشده‌اند. به عبارت دیگر، بخش زیادی از فرآیندهای مربوط به ارزیابی و کنترل کیفیت هنوز هم با چالش‌های مشابهی روبرو هستند، اما دامنه مشکل کمی جابه‌جا شده و شاید دیده نمی‌شود. جیمز کِپ در مقاله‌ای مفصل به این مسأله اشاره می‌کند که چگونه باید رویکرد ما در تست و ارزیابی را تغییر دهیم. او پیشنهاد می‌دهد که بخش‌هایی از فرآیند به گونه‌ای تقسیم شود که تیم ما مسئول تعیین معیارهای پذیرش رفتاری باشد، در حالی که هوش مصنوعی باید وظیفه پیاده‌سازی فنی این معیارها را بر عهده بگیرد. این رویکرد، می‌تواند به شکلی مؤثر تر فرآیند تست را بهبود ببخشد و خطاها و نواقص را به حداقل برساند، چرا که هر بخش بر حوزه تخصصی خود تمرکز می‌کند و همکاری بهتر و سهل‌تری رقم می‌خورد. در نتیجه، این تقسیم وظایف نه تنها باعث صرفه‌جویی در زمان و منابع می‌شود، بلکه امکان کنترل دقیق‌تر و بهبود مستمر را فراهم می‌سازد. تیم‌های توسعه و تست باید با هوشمندی بیشتر به این جهش فکری نگاه کنند و آماده شوند تا شیوه‌های جدیدی را در فرآیندهایشان پیاده‌سازی کنند. این تغییر به شکل چشم‌گیری می‌تواند به ارتقاء کیفیت نهایی محصولات کمک کند و در نهایت رضایت کاربران را افزایش دهد. #تست_کیفیت #هوش_مصنوعی #فرآیند_توسعه #تحول_در_توسعه 🟣لینک مقاله: https://cur.at/shSEKE4?m=web ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله QA Takes the Lead is Back on May 27th 🟢 خلاصه مقاله: با نزدیک شدن به تاریخ ۲۷ مه، بار دیگر رویداد مهم " نقش رهبری در کنترل کیفیت" بازمی‌گردد. این زمان استثنایی فرصتی است تا نحوه صحبت کردن درباره کنترل کیفیت را تغییر دهیم و بر موضوعاتی تمرکز کنیم که واقعاً برای کسب‌وکار و رهبران اهمیت دارند. در این رویداد، متخصصان و رهبران صنعت در کنار شما خواهند بود تا درباره نقش جدید کنترل کیفیت و تاثیر آن در استراتژی‌های تجاری گفتگو کنند. حضور در این کنفرانس آنلاین و رایگان به شما امکان می‌دهد از تجربیات برترین کارشناسان بهره‌مند شوید و دیدگاه‌های نوینی درباره آینده کنترل کیفیت بیاموزید. از هم‌اکنون ثبت‌نام کنید و فرصت حضور در این رویداد ارزشمند را از دست ندهید. این کنفرانس، نسخه دوم از "QA Takes the Lead" است و انتظار می‌رود نقطه عطفی در تحول نگرش ما نسبت به کنترل کیفیت باشد. #کنترل_کیفیت #رهبری_در_کیفیت #تحول_صنعت #کنفرانس_رایگان 🟣لینک مقاله: https://cur.at/SSbX1WW?m=web ➖➖➖➖➖➖➖➖ 👑 @software_Labdon

🔵 عنوان مقاله Telehealth giant Hims & Hers says its customer support system was hacked (2 minute read) 🟢 خلاصه مقاله: شرکت معتبر و بزرگ حوزه سلامت از راه دور، Hims & Hers، اعلام کرد که سیستم پشتیبانی مشتریان این شرکت دچار نفوذ و هک شده است. بر اساس اطلاع‌رسانی، مهاجمان توانسته‌اند بین تاریخ‌های ۴ تا ۷ فوریه از طریق حمله مهندسی اجتماعی، به سامانه تیکتینگ پشتیبانی مشتریان دسترسی پیدا کنند و به داده‌های حساس کاربران نفوذ کنند. در نتیجه این حمله، اطلاعات مربوط به مشتریان، از جمله نام‌ها و آدرس‌های ایمیل، سرقت شده است. با این حال، خوشبختانه، گزارش‌ها حاکی است که سوابق پزشکی کاربران در معرض خطر قرار نگرفته است. با وجود این، تعداد دقیق کاربران آسیب‌دیده هنوز مشخص نیست و تحقیقات در این زمینه ادامه دارد. این حادثه نشان می‌دهد که حتی شرکت‌های بزرگ و معتبر نیز در برابر تهدیدهای سایبری آسیب‌پذیر هستند و نیازمند اقدامات امنیتی قوی‌تر برای حفاظت از اطلاعات حساس مشتریان خود هستند. #امنیت_سایبری #حمله_هکری #حفاظت_اطلاعات #تکنولوژی 🟣لینک مقاله: https://techcrunch.com/2026/04/02/telehealth-giant-hims-hers-says-its-customer-support-system-was-hacked/?utm_source=tldrinfosec ➖➖➖➖➖➖➖➖ 👑 @software_Labdon