والا بچه ها خیلی فعال شدن من از چهار-پنج جلسه قبل تا الان میخوام ارایه بدم ولی هر سری سر ضرب یکی پیشنهاد میده :) اصلا نمیذارن بکشه به روز دوم :)) من دو تا ارایه دارم الان، یکی ادامه ارایه قبلیمه که TDD بود حالا بدم نمیاد درباره BDD حرف بزنم. منتها یه کم قدیمی شده موضوع برام :) یکی دیگه هم درباره vagrant و docker ـه (ایجاد development-environment برای کار تیمی)
به هر حال اگه پیشنهاد دیگه ای نیست، اینها پیشنهادهای من هستن. 2014-04-14 12:12 GMT+04:30 Mohammad Reza Kamalifard <[email protected] >: > فرود :)) پیشنهاد ارائه بهتر رو خودت بده لطفا الان یه ساله ارائه ندادی > On Apr 14, 2014 9:00 AM, "F0ruD A" <[email protected]> wrote: > >> خوب این اگه بشه بحث آزاد منطقی تره :) اینکه خود این باگ چی بوده خیلی >> پیچیده نیست، چیز عجیب غریبی هم نداره، به نظرم یه برنامه ارایه دیگه پیشنهاد >> داده بشه و این بمونه برای بحث آزاد :)) >> >> >> 2014-04-14 7:30 GMT+04:30 Reza Alizadeh Majd <[email protected]>: >> >>> من هم با مطرح شدن این بحث موافقم، بحث جالبی میتونه باشه. >>> >>> Best Regards >>> >>> Reza Alizadeh Majd >>> Http://ramajd.github.io >>> Http://Edu.MediaPortal.Ir >>> >>> >>> >>> 2014-04-14 0:26 GMT+04:30 hamzeh khosravi <[email protected]>: >>> >>> من با محمدرضا موافقم، حرف ایشون صحیح و کاملا درسته. >>>> >>>> >>>> 2014-04-13 18:03 GMT+04:30 Mohammad Reza Kamalifard < >>>> [email protected]>: >>>> >>>> بهنام گفت که این فقط یه باگ بوده و نمیشه در موردش ۳۰ دقیقه حرف زد! >>>>> >>>>> خوب در موردش میشه حرف زد همین نیست که بگی خوب یه باگ بوده >>>>> ابعاد خیلی گسترده ای داشته و هر کسی که فک میکنه خوب من یه مطلب خودندم >>>>> تو یه سایت پس همچی رو میدونم نیست >>>>> قضیه گسترده ای داره و بیشتر از این که به امنیت ربط داشته باشه قضیه >>>>> اوپن سورس و قضیه کامیونیتی هست که چرا همچین چیزی وجود داره و این سوال که >>>>> حالا که کد های همچین چیز مهمی دیده نمیشده آیا بقیه چیزهای اوپن سورس رو هم >>>>> برنامه نویس ها میبینن یا نه ! و کلا اوپن سورس چه کمکی به امنیت بیشتر کرده >>>>> و نقش کامیونیتی چیه! >>>>> لازمه که همه بدونن که چقدر باید بهش اعتماد کنن الان هر سایتی که فکر >>>>> میکردی امنه امن نبوده! >>>>> اینو دیدی !؟ https://www.cloudflarechallenge.com/heartbleed وقتی یه >>>>> برنامه نویس تو خونش میتونه پرایوت کی یه سایت رو با همین روش در بیاره یعنی >>>>> در مدت این چند سال همه چیز در اختیار کسایی بوده که میخواستن ما امن >>>>> نباشیم! >>>>> همه باید بدونن که چقدر پسورد هاشون و چیزایی که فکر میکردن امنه الان >>>>> امن هستن >>>>> >>>>> >>>>> اگر به نظر شما هم یه باگ بوده و ارائه مفید نیست بگید >>>>> >>>>> >>>>> 2014-04-13 17:53 GMT+04:30 Behnam Tavakkoli <[email protected]>: >>>>> >>>>>> :) >>>>>> >>>>>> راجع به چیش میخواهی صحبت کنی؟ خوب یه باگ در مورد openssl بود که باعث >>>>>> میشد این... >>>>>> گفتنش که یک دقیقه است، این سی الی چهل دقیقه را با چه موضوعاتی در مورد >>>>>> این باگ میخواهی پر کنی؟ >>>>>> >>>>>> >>>>>> 2014-04-13 17:47 GMT+04:30 Mohammad Reza Kamalifard < >>>>>> [email protected]>: >>>>>> >>>>>> لازم نیست بزنی @ این به میلینگ لیست نیست بین خودمونه >>>>>>> من که بالا گفتم میخوام ارائه بدم چند تا ایمیل بری بالاتر میبینی >>>>>>> خوب : >>>>>>> >>>>>>> پیشنهاد ارائه در مورد Heartbleed باگ در مورد OpenSSL توسط من و >>>>>>> مهندس شجاری رو می دم. >>>>>>> >>>>>>> >>>>>>> >>>>>>> 2014-04-13 17:44 GMT+04:30 Behnam Tavakkoli <[email protected]>: >>>>>>> >>>>>>> @محمدرضا >>>>>>>> >>>>>>>> در مورد خونریزی قلبی میخوای صحبت کنی؟ یک تاپیک وار بگو در مورد چی >>>>>>>> این موضوع مثلا میخواهی صحبت کنی که دوستان بدونند برای چی دارند >>>>>>>> میآیند... >>>>>>>> >>>>>>>> >>>>>>>> 2014-04-13 17:36 GMT+04:30 Mohammad Reza Kamalifard < >>>>>>>> [email protected]>: >>>>>>>> >>>>>>>> سلام >>>>>>>>> بهنام >>>>>>>>> من گفتم که میخوام ارائه فنی بدم این جلسه و کی اوکی اش میکنی که >>>>>>>>> ما بتونیم روش کار کنیم؟ >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> 2014-04-13 17:21 GMT+04:30 Behnam Tavakkoli <[email protected] >>>>>>>>> >: >>>>>>>>> >>>>>>>>> چرا ایمیل هماهنگی جلسه را با بحث و جواب دادن به همدیگر شلوغ >>>>>>>>>> میکنید؟! >>>>>>>>>> >>>>>>>>>> *یک کلام،* کسی میخواهد بحث فنی پرزنت کنه یا مدیریت بحث آزاد >>>>>>>>>> جلسه در مورد موضوع پیشنهادیش را بر عهده بگیره؟ اگر بله صریحا اعلام >>>>>>>>>> کند٪ >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> 2014-04-13 17:14 GMT+04:30 Mohammad Reza Kamalifard < >>>>>>>>>> [email protected]>: >>>>>>>>>> >>>>>>>>>> سلام >>>>>>>>>>> من این ایمیل بالایی رو ندیده بودم >>>>>>>>>>> خوب سوتی اصلی رو این برنامه نویسه اونجایی داده که طول دیتایی که >>>>>>>>>>> میگیره رو چک نمیکرده و در اون مورد که گفتی خوب چک میشه و نمیشه >>>>>>>>>>> این کار >>>>>>>>>>> رو کرد. >>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>>> 2014-04-11 14:33 GMT+04:30 11 11 <[email protected]>: >>>>>>>>>>> >>>>>>>>>>>> سلام >>>>>>>>>>>> >>>>>>>>>>>> لطفاً از این جلسه «فیلم» بگیرین برای امثال بنده که نمیتونن >>>>>>>>>>>> بیان! >>>>>>>>>>>> فقط چون نمیتونم بیام نظرم رو همین الآن میگم: >>>>>>>>>>>> >>>>>>>>>>>> این متن طولانیست! >>>>>>>>>>>> >>>>>>>>>>>> در علم امنیت و امنیت اطّلاعات یه قاعده وجود داره که میگه هر چی >>>>>>>>>>>>> مشکل سادهتر باشه احتمال کشفش کمتره! >>>>>>>>>>>>> و اگه دقّت کرده باشین ایده این اکسپلویت خیلی ساده هست! >>>>>>>>>>>>> (درخواست حجم نا معتری داده از سرور) >>>>>>>>>>>>> بنده فکر میکنم این باگ در حقیقت یه اشتباه برنامهنویسی >>>>>>>>>>>>> دانشجویی بوده باشه (با توجّه به سابقه کسی که اوّلین نویسنده کد >>>>>>>>>>>>> باگخور >>>>>>>>>>>>> بوده) ولی سیستمهای امنیتی، که کاملاً با قاعدهای که اوّل میل >>>>>>>>>>>>> گفتم آشنایی >>>>>>>>>>>>> دارن، از «خیلی» وقت پیش از وجود چنین باگی خبر داشتن و چیزی نگفتن! >>>>>>>>>>>>> البته تعجّب اصلی بنده از امنیت کار ها و امنیتیهای ایرانه که >>>>>>>>>>>>> چرا متوجّه چنین مشکلی نشدن! (بنده خیلی سواد نوشتن raw packet >>>>>>>>>>>>> ندارم ولی از >>>>>>>>>>>>> خیلی وقت پیش فکر میکردم با یه همچین ایدههایی چه کارها که نمیشه >>>>>>>>>>>>> کرد! تو >>>>>>>>>>>>> پانویس یه مثال میگم براتون) >>>>>>>>>>>>> البته بد هم نیست تو این جلسه یه نگاهی هم به سایتهای دولتی و >>>>>>>>>>>>> سازمانی ایرانی که قربانی این باگ شدن بندازین! (مثل ایرنیک و شاپرک >>>>>>>>>>>>> و ... ) >>>>>>>>>>>>> یه بررسی هم رو این موضوع کنین که «وقتی یه برنامه متنباز که >>>>>>>>>>>>> کلّی آدم حرفهای دارن روش کار میکنن این طوری باگ میخوره دیگه >>>>>>>>>>>>> برنامههایی >>>>>>>>>>>>> که کدشون بستس چی دارن بگن؟؟» به نظرم بد نباشه! :دی >>>>>>>>>>>>> ------- >>>>>>>>>>>>> پ.ن. >>>>>>>>>>>>> این صرفاً یه حدسه و شاید اصلاً درست نیاشه! به عنوان یه >>>>>>>>>>>>> penetration scenario بهش نگاه کنین! >>>>>>>>>>>>> مثلاً اگه کسی برای یه وب سرور یه فایلی قرار باشه آپلود کنه بعد >>>>>>>>>>>>> بیاد تو هدر پکت content-size رو مثلاً بده ۵۱۲ بعد بیاد ۳۱ بایت >>>>>>>>>>>>> داده بفرسته >>>>>>>>>>>>> بعدش سریع EOF و بعد GEF (Group Execution Flag) بعد بقیه ۴۷۸ بایت >>>>>>>>>>>>> باقی مونده >>>>>>>>>>>>> رو raw shell code بفرسته بعد دوباره EOF و بعد EOT (End Of >>>>>>>>>>>>> Transmit) خب اون >>>>>>>>>>>>> شل کد رو سروره اجرا میشه! >>>>>>>>>>>>> بنده فکر میکنم برای همینه که وب سرور ها اگه EOF بگیرن ولی حجم >>>>>>>>>>>>> داده با حجم اعلام شده مطابقت نداشتهباشه سریع NACK میفرستن! >>>>>>>>>>>>> پ.ن.۲: میبخشین اگه طولانی شد! >>>>>>>>>>>> >>>>>>>>>>>> >>>>>>>>>>>> التماس دعا! >>>>>>>>>>>> >>>>>>>>>>>> >>>>>>>>>>>> >>>>>>>>>>>> >>>>>>>>>>>> >>>>>>>>>>>> >>>>>>>>>>>> _______________________________________________ >>>>>>>>>>>> general mailing list >>>>>>>>>>>> [email protected] >>>>>>>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>>> >>>>>>>>>>> _______________________________________________ >>>>>>>>>>> general mailing list >>>>>>>>>>> [email protected] >>>>>>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>>>>>> >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> -- >>>>>>>>>> >>>>>>>>>> - مرکز گنو/لینوکس سیتو : www.sito.ir >>>>>>>>>> - خدمات وب بهرا : www.behra.ir >>>>>>>>>> - پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com >>>>>>>>>> >>>>>>>>>> <http://www.buysoft.ir/>−−−−−− >>>>>>>>>> آدرس دفتر مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - >>>>>>>>>> پلاک ۱۴ - واحد یک >>>>>>>>>> کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ >>>>>>>>>> تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ >>>>>>>>>> بهنام توکلی کرمانی >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> _______________________________________________ >>>>>>>>>> general mailing list >>>>>>>>>> [email protected] >>>>>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>> >>>>>> >>>>>> >>>>>> -- >>>>>> >>>>>> - مرکز گنو/لینوکس سیتو : www.sito.ir >>>>>> - خدمات وب بهرا : www.behra.ir >>>>>> - پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com >>>>>> >>>>>> <http://www.buysoft.ir/>−−−−−− >>>>>> آدرس دفتر مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - پلاک >>>>>> ۱۴ - واحد یک >>>>>> کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ >>>>>> تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ >>>>>> بهنام توکلی کرمانی >>>>>> >>>>>> >>>>> >>>>> _______________________________________________ >>>>> general mailing list >>>>> [email protected] >>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>> >>>> >>>> >>>> >>>> -- >>>> >>>> *RegardsHamzeh Khosravi* >>>> >>>> Network & Security Architect >>>> GNU/Linux System Administrator >>>> +989128887967 || +989354025848 >>>> >>>> _______________________________________________ >>>> general mailing list >>>> [email protected] >>>> http://lists.tehlug.org/mailman/listinfo/general >>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>> >>> >>> >>> _______________________________________________ >>> general mailing list >>> [email protected] >>> http://lists.tehlug.org/mailman/listinfo/general >>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>> >> >> >> >> -- >> ----------------------------- >> http://cyberrabbits.net >> >> _______________________________________________ >> general mailing list >> [email protected] >> http://lists.tehlug.org/mailman/listinfo/general >> unsubscribe: http://lists.tehlug.org/mailman/options/general >> > > _______________________________________________ > general mailing list > [email protected] > http://lists.tehlug.org/mailman/listinfo/general > unsubscribe: http://lists.tehlug.org/mailman/options/general > -- ----------------------------- http://cyberrabbits.net
_______________________________________________ general mailing list [email protected] http://lists.tehlug.org/mailman/listinfo/general unsubscribe: http://lists.tehlug.org/mailman/options/general
