#ایمنی — Public Fediverse posts

گزارش مسوولانه مشکلات امنیتی هاست جادی.نت

ماجرای وبلاگ من اینه که روی یه هاستی زندگی می‌کنه که سال‌های سال که نه.. دهه‌ها از این سرور به اون سرور رفته بدون اینکه من هیچ وقت خیلی وقت نگاه کنم روش چی هست. معمولا همه فایل‌ها رو کپی کردم و خب همین سرور رو هم بارها در بازی‌های CTF به عنوان سرور تست استفاده کردم و روش اسکریپت ران کردم یا فایلی رو گذاشتم کسی برداره و حتی به کسانی دسترسی دادم که بهش وصل بشن و اینجور چیزها.

چند روز پیش تصمیم گرفتم سرور رو منتقل کنم به یه هاست جدید و سریعا هم اینکار رو کردم. چند ساعتی نگذشته بود که دیدم یکی ایمیل زده و دو سه تا فایل که منطقا نباید توی وبلاگ دیده می‌شدن رو برام فرستاده و گفته خیلی بامزه بود. کمی بررسی نشون داد سرور جدید چند تا مشکل امنیتی داره؛ بدترینش امکان لیست کردن فایل‌های دایرکتوری‌ها که خب در سرور قبلی بسته بوده ولی اینجا کانفیگش رو منتقل نکرده بودم.

خلاصه بعد از رد و بدل چندین ایمیل با امید نصیری پویا و زنده شدن یکسری خاطرات لابلای فایل‌ها، تنظیمات رو درست کردم و کلی فایل اضافه رو هم حذف کردم. امید اجازه گرفت که این مساله رو عمومی بنویسه و از نظر منم خیلی عالیه و باعث خوشحالی و مهم ذکر سه تا نکته است:

۱. همه چیز باگ داره. موقع باگ باونتی شاید موفق بشین از گوگل هم باگ‌های بسیار بدیهی بگیرین. بستگی به زمان‌بندی داره و شانس و نگاه کردن به جایی که قبلا کسی نگاه نکرده و … ناامید نباشین
۲. ابزارها کمک‌های خوبی هستن. در این مورد یه ابزار فازر بخشی از بار رو داشت که مثلا میاد چک می کنه ایا روی دامین جادی فایلی مثل upload, login, important, password, password.zip, mine.txt و … هست یا نه و اگر باشه خبر می ده
۳. تست کنین و یاد بگیرین و به جای اذیت کردن بر اساس نتایج، از نتایج برای یادگیری بیشتر + کسب اعتبار مثبت استفاده کنین
۴. اگر کسی چنین گزارشی بهتون داد ازش تشکر کنین و حتما در موردش بنویسین که عمومی مشخص باشه

در همین مدت یک روزه که روی سرور جدید بودیم یه دوست دیگه هم امنیت سایت رو چک کرد و یکی دو مورد رو تذکر داد که خب از نظر امنیتی قابل توجه بودن اما در مورد وبلاگ من حاد حساب نمی شدن. حداقل در سطح فهم من (: اوه.. اینم بگم که امید باونتی پیشنهادی رو هم رد کرد. البته خیلی کوچیک بود ولی به عنوان یادگاری.

#امنیت #ایمنی #شخصی #هک

گاهی وقت‌ها تو #آلمان از این همه سخت‌گیری و وسواس سیستم دربارهٔ #ایمنی آدم‌ها و آتش‌سوزی و برق‌گرفتگی و... کلافه می‌شم. اغلب یه خودم میام و می‌بینم که ما بیشتر از این که به «کار اصلی» برسیم، مجبوریم مواظب باشیم که کسی چیزیش نشه یا زیانی به بار نیاد. گاهی از این همه سخت‌گیری احساس بیهودگی می‌کنم.

ولی وقتی عکس‌های فاجعهٔ #بندرعباس رو می‌بینم، برام ملموس‌تر می‌شه که ایمنی اصلاً شوخی نیست. جون ۱۰۰ تا آدم بی‌گناه، سلامتی صدها هزارنفر، و این همه آشوب و جهنم نباید پیش بیاد، هرچند که احتمالش کم باشه.

چند وقت پیش یه جلسه برای آموزش نکات #ایمنی برای یکی از کارگاه‌های تحقیق توسعهٔ شرکت داشتیم. همه باید باشیم و آخرش امضا کنیم، وگرنه اجازهٔ ورود به اون #کار گاه رو نداریم چون اگه حادثه‌ای رخ بده #بیمه پولش رو نمی‌ده.

امروز یه جلسهٔ دیگه داشتیم، دربارهٔ دستگاه‌هایی که تو اون کارگاه هست. پرسیدیم این تکرار همونه؟ آموزشگر دوره (که خودش یکی از همکارهامونه و مأموره و معذور) گفت نه، این با اون فرق داره. قبلی دربارهٔ خود کارگاه بود، این یکی دربارهٔ دستگاه‌های توی کارگاهه.

ایمنی تو #آلمان این جوریه 🤯

در شماره ۱۷۲ رادیوجادی با یک پیوستار طرف هستیم؛ از هکری که استخدام شرکت امنیتی می‌شه تا شرکت امنیتی‌ای که گوشی ضارب ترامپ رو باز می‌کنه تا باز شدن همه کدهای سوییس و نظر قاضی آمریکایی در مورد تفاوت موبایل و چمدون و کاندیدای آمریکایی که می‌خواد ۹ میلیون بیتکوین بخره! با ما باشین که جهان هکرهای بیشتری لازم داره.

متاسفانه براوزر شما از اچ تی ام ال ۵ پشتیبانی نمی کند. یا خیلی باحال است یا خیلی عجیب!

• دانلود نسخه ام پی تری

با این لینک‌ها مشترک رادیوگیک بشین

• آنکر که منظم ترین است و قدیمی ها و جدیدها و لینک های مختلف برای جاهای مختلف رو داره

• آر اس اس

• کانال تلگرام
• پادکست گوگل
• پادکست در آیتونز
• ساوند کلاود
• فولدر دراپ باکس
• پادسکت در استیچر: https://www.stitcher.com/podcast/radio-geek
• یا توی برنامه های پادکست دنبال «کیبرد آزاد» یا «جادی» یا «رادیوگیک» یا jadi یا radiogeek بگردین. هر کسی رادیوگیک رو پیدا نمی کنه، شانس می خواد و البته آنتی فیلتر خوب (: چون فیلترچی به طور خاص رادیوگیک رو دوست نداره (:

و البته ایده جدید که اگر توشون سابسکرایب کنین / مشترک بشین یا هر چی بهش میگن، خوشحال می شم:

• رادیوگیک تصویری در یوتیوب

در این شماره

• هکر کره شمالی که به استخدام شرکت امنیتی آمریکایی در اومد
• بستن سوراخ جستجوی موبایل‌های مسافران در مرز آمریکا توسط قاضی
• الزام تمام اجزای دولت سوییس به بازمتن کردن برنامه‌هاشون
• توییت شریفی زارچی در مورد استفاده وزارتخونه از چت جی پی تی
• باز شدن قفل موبایل شلیک کننده به ترامپ با نرم افزار شرکت امنیتی
• گوگل پیکسل ۹ و قابلت «منم به عکس اضافه کن» برای عکاس
• کاندیدای ریاست جمهوری آمریکا می گه اگر انتخاب بشه، دولت آمریکا برابر میزان طلایی که داره، بیت کوین خواهد خرید
• [بخش آخر]
• [پیام‌ها]

اشتراک‌گذاری:

• توییتر
• فیسبوک
• Telegram
• WhatsApp
• لینکداین
• بیشتر

• پاکت
• رایانامه
• چاپ

https://jadi.net/2024/07/radio-jadi-172-doctor-era/

#آمریکا #امنیت #ایمنی #برنامهنویسی #پادکست #حریمشخصی #خلوت #رادیوجادی #رادیوگیک #هک #یادگیریماشین

نصف یکی از کمدها قراره #جاکفشی بشه، برای همین کمی #دریل‌کاری اضافه توی کمدها هم لازمه (که طبقه‌ها رو نزدیک‌تر به هم کنیم). بالای کمدها هم باید (برای #ایمنی) به دیوار پیچ بشن که اگه یه وقت فسقل مربوطه‌ای، کسی، ازشون آویزون شد کمد روش نیفته.

از بس #پیچ بستم انگشت‌هام الان دارن فریاد می‌زنن! ولی خیلی ارزشش رو داره، و کیف هم می‌ده 😀