Milad Nouri（ツ） میلاد نوری

وزارت تعاون،کارورفاه اجتماعی بدون هیچ ملاحظه‌ای،وبسرویسی دارد که با ارسال کدملی، اطلاعات کاربران شامل جنسیت، نام پدر، تاریخ تولد و شماره شناسنامه را برمی‌گرداند. ‌از ساعت ده دیشب که کاربر mreza این مورد در توییتر اطلاع رسانی کرده همچنان این سرویس باز هست.…

وزارت تعاون،کارورفاه اجتماعی بدون هیچ ملاحظه‌ای،وبسرویسی دارد که با ارسال کدملی، اطلاعات کاربران شامل جنسیت، نام پدر، تاریخ تولد و شماره شناسنامه را برمی‌گرداند. ‌از ساعت ده دیشب که کاربر mreza این مورد در توییتر اطلاع رسانی کرده همچنان این سرویس باز هست. البته نه روز پیش هم کاربر jackgonjishke در این مورد در توییتر نوشته بود. ‌ من هم این مورد را بررسی کردم. جالب اینجاست این سرویس حتی rate limit هم ندارد و سواستفاده‌کنندگان می‌توانند با ارسال تعداد زیادی کد ملی در زمان کوتاهی قسمت زیادی از اطلاعات مردم را استخراج کنند! این ضعف در سامانه‌ای که وزارت کار برای ثبت کارجوی جدید برای یک کشور خارجی راه اندازی کرده‌ است وجود دارد. ‌ تا زمان رفع این مشکل، از انتشار لینک آن معذورم. @MiladNouriChannel

بعد از حذف تلگرام طلایی و هاتگرام از گوگل پلی، این دو اپلیکیشن از کافه‌بازار هم حذف شدند. @MiladNouriChannel

برای نوشتن یک اپلیکیشن لازم بود با متادیتا‌ها یا اطلاعات ذخیره شده روی عکس کار کنم. گفتم شاید بد نباشد شما هم مطلع باشید چقدر اطلاعات روی یک عکس ذخیره می‌شود. وقتی یک عکس را منتشر/آپلود می‌کنید اطلاعات زیر از عکس قابل استخراج است (بسته به اینکه کدام یک از این اطلاعات پر شده باشد که اکثرا توسط دوربین موبایل پر می‌شود): زمان دقیق عکاسی لوکیشن دقیق محل عکس مدل گوشی / دوربین مورد عکاسی شماره سریال لنز دوربین وضعیت فعال/غیرفعال بودن فلش موقع عکس نام عکاس (در صورت تعریف شدن) و کلی اطلاعات دیگر ... بیشتر این متادیتاها روی ویدئوها هم وجود دارند. ‌‌ خیلی وقت‌ها ویرایش عکس‌ها توسط برخی نرم‌افزارها نه تنها این اطلاعات را حذف نمی‌کنند، بلکه اطلاعات خود نرم‌افزار را نیز به عکس اضافه می‌کنند. ‌ یعنی خیلی از اپلیکیشن‌ها از عکس‌ها و ویدئوهای ارسالی شما اطلاعاتی دارند که شاید خود شما نداشته باشید. ‌‌ برای حذف اطلاعات فوق از یک عکس قبل از آپلود، اپلیکیشن‌های مختلفی وجود دارند. کافیست برای اندروید یا آیفون عبارات Exif Eraser یا Metadata Remover را جستجو کنید. @MiladNouriChannel

بعضی‌ها نگران هستند گوگل روزی از قابلیت حذف اپلیکیشن‌ها در گوگل‌پلی پروتکت در جهت تحریم کردن اپ‌های ایرانی استفاده کند و اقدام به حذف همه اپ‌های ایرانی از گوشی کاربران کند. چنین اقدامی بسیار بعیداست. اگر هم به فرض بسیار ضعیف روزی چنین اتفاقی افتاد، کاربران می‌توانند قابلیت پلی‌پروتکت را غیر فعال کنند. اما تا پیش نیامدن همچین شرایطی این کار اصلا توصیه نمی‌شود. چرا که این قابلیت شما را در برابر اپلیکیشن‌های مخرب ایرانی و خارجی محافظت می‌کند. @MiladNouriChannel

@MiladNouriChannel گوگل‌پلی پروتکت (Google play protect) امروز به کسانی که تلگرام طلایی را نصب داشتند هشدار داده و از کاربران خواسته آن را حذف کنند. ظاهرا سرویس امنیت گوگل‌پلی در مورد این اپ فقط هشدار داده است. اما این سرویس قابلیت این را دارد در چند دقیقه…

@MiladNouriChannel گوگل‌پلی پروتکت (Google play protect) امروز به کسانی که تلگرام طلایی را نصب داشتند هشدار داده و از کاربران خواسته آن را حذف کنند. ظاهرا سرویس امنیت گوگل‌پلی در مورد این اپ فقط هشدار داده است. اما این سرویس قابلیت این را دارد در چند دقیقه یک اپلیکیشن را بصورت اتوماتیک از روی گوشی کل کاربران دنیا حذف کند. قبلا چند نمونه از اپلیکیشن‌هایی که یوزرنیم و پسورد اینستاگرام کاربر را سرقت می‌کردند بصورت اتوماتیک حذف شد و کمتر از چند ساعت تعداد نصب آن‌ها به زیر صد رسید و بعد از آن اعلان غیرفعال شدن اپ برای کاربران ارسال شد. و بعد از آن کاربر دیگر امکان نصب اپلیکیشن با همان نام بسته (پکیج نیم) را نداشت. @MiladNouriChannel

⁠⁣🔸 ⁣@MiladNouriChannel این روزها قسمت زیادی از پرداخت‌های روزمره ما بصورت اینترنتی صورت می‌گیره و احتمالا کلمه فیشینگ و خالی کردن حساب بانکی و ... در اخبار و ... به گوشمون خورده. یا شایدم برای خودمون یا اطرافیان پیش اومده از حساب بانکی‌مون پول برداشت شده. روش خالی کردن حساب به این صورت هست که کلاهبرداران یک صفحه با ظاهری کاملا مشابه درگاه بانکی درست می‌کنند و و صفحه رو روی ادرسی مشابه ادرس اصلی درگاه پرداخت قرار میدن. مثلا اگر آدرس درگاه اصلی sep‌.‌‌shaparak‌‌.‌com هست، کلاهبردارها صفحه جعلی رو‌ روی آدرسی شبیه sep‌.‌shaparaak‌‌.‌com قرار میدن که شما با نگاه اول متوجه این اختلاف و جعلی بودن صفحه نمیشید و اگر اطلاعات کارتتون رو‌ توی این صفحه وارد کنید، خیلی راحت شماره کارت و رمز دوم و ... رو به دزد عزیز تحویل دادید و باید منتظر خالی شدن حساب کاربریتون باشید. برای حل این مشکل، من یک افزونه نوشتم که روی مرورگرتون نصب میشه و فقط در مواردی که درگاه اصیل باشه، آیکون افزونه بصورت یک تیک سبز رنگ در میاد و می‌تونید با خیال راحت پرداخت کنید. گوشه صفحه هم یک بنر مثلثی بهتون نمایش میده. اما تیک سبزرنگ آیکون خود افزونه رو حتما باید چک کنید. ‌ این افزونه رو می‌تونید برای خودتون و مخصوصا دوستانی که توضیح فیشینگ و ... براشون سخته، نصب کنید و بهشون بگید هروقت تیک سبز شد، مطمئن باش و پرداخت کن. اسم افزونه هم گذاشتم "مطمئن باش". ‌ این افزونه در حال حاضر روی دسکتاپ روی مرورگر کروم و فایرفاکس و یاندکس قابل نصب هست. روی موبایل هم روی فایرفاکس و یاندکس قابل نصب هست. کروم روی موبایل از افزونه‌ها پشتیبانی نمیکنه اما روی مرورگر یاندکس میشه از افزونه‌های کروم استفاده کرد. نسخه اوپرا و مایکروسافت اج هم آماده شده و منتظر تائید هست. نسخه سافاری هم توسط اپل رد شد متاسفانه! دانلود برای کروم و یاندکس: http://bit.ly/motmaenbash1‌ ‌ دانلود برای فایرفاکس: http://bit.ly/motmaenbash2 ‌ البته این افزونه رو سه‌ماه پیش منتشر کردم. اما توی شلوغی‌های کاری فراموش کرده بودم معرفیش کنم. ‌ در مورد امنیت خود این افزونه: سورس این افزونه توی فولدری که نصب میشه توسط متخصصین قابل بررسی است. توی این افزونه دسترسی‌ اینترنت گرفته نشده تا هیچ ارسال و دریافت اطلاعاتی صورت نگیرد. ‌ همین الان می‌تونید برای خودتون و اعضای خونواده نصب کنید. امیدوارم تونسته باشم سهمی در مبارزه با فیشینگ و کلاهبرداری‌های اینترنتی داشته باشم ⁦⁣🙏 ‌ #امنیت#فیشینگ ‌ 🔸 ⁣@MiladNouriChannel

⁠⁠⁣لو رفتن ⁣تراکنش‌های مالی مشتریان به پرداخت ملت! دیروز اتفاق عجیبی افتاد. شرکت ⁣به پرداخت ملت قصد داشته ایمیلی برای مشتریان خود ارسال کند و امکانات جدید وبسایت خود را به آنان معرفی کند. اما اشتباها یک فایل اکسل شامل اطلاعات مالی حدود ۷۰۰ پذیرنده خود را…

‌ گزارشی منتشر شده که نشون میده اطلاعات نزدیک به هفت میلیون کاربر ایرانی مربوط به یکی از سرویس‌های ایرانی حمل و نقل (تاکسی یا پیک) منتشر شده است. هفتصد و چهل رکورد متعلق به سال ۲۰۱۷ و شش میلیون رکورد متعلق به سال ۲۰۱۸. این اطلاعات شامل اسم و فامیل و کدملی و شماره تلفن و تاریخ صورتحساب‌هاست. البته کدملی ظاهرا فقط متعلق به راننده‌های سرویس هست. چون در این تاریخ سرویس‌های مشابه از کاربران کد ملی دریافت نمی‌کردند. ‌ در‌ گزارش آمده نام دیتابیس doroshke-invoice-production هست. ‌ برای حدس اینکه این اطلاعات متعلق به چه شرکتیه، باید دید کدام سرویس حمل و نقل که در سال ۹۵ و ۹۶ فعال بوده، از اسم درشکه در تعاریف داخلیش استفاده می‌کرده؟! توی گزارش نوشته شده هنوز مشخص نیست مالک این دیتابیس چه شرکتی‌ست. اما با تماس با برخی از شماره‌های راننده‌ها می‌توان مالک دیتابیس را پیدا پیدا کرد. #نشت_اطلاعات @MiladNouriChannel

جولیان آسانژ بنیانگذار ویکی‌لیکس امروز در لندن دستگیر شد. شاید خیلی‌ها ندونن که جولیان آسانژ برنامه‌نویس هم بوده. توی این لینک میشه یکسری کامیت‌هاش روی گیت پروژه postgreSql رو دید. ‌ https://git.postgresql.org/gitweb/?p=postgresql.git&a=search&h=HEAD&st=author&s=julian ‌ ‌[همیشه پای یک برنامه‌نویس در میان است] 📝@MiladNouriChannel

ادامه از پست قبل 👆 https://t.me/MiladNouriChannel/143 ‌ Udemy.com یودمی دارای دوره‌های آموزشی متنوع در موضوعات مختلف برنامه‌نویسی وب و موبایل، دیتابیس، امنیت، سخت‌افزار، بیزینس، دیجیتال مارکتینگ، رشد شخصی، لایف استایل، عکاسی، فیتنس، ریاضی و... است که در هر بخش تعداد بسیار زیادی کورس رایگان هم داره. Coursera.org کورسرا علاوه بر علوم کامپیوتر مثل برنامه نویسی وب و موبایل و الگوریتم و امنیت و شبکه، کورس‌های متنوعی در دسته‌های مختلف مثل آموزش زبان و فیزیک و شیمی و حیوانات و... رو هم شامل میشه. کورس‌های این سایت رو می تونید بر اساس اسکیل، عنوان شغلی و ... فیلتر کنین. برخی از آموزش‌هایی که در این سایت ارائه میشه عبارتند از: دیپ لرنینگ، بیگ دیتا، ماشین‌لرنینگ، دیتا ساینس، دیجیتال مارکتینگ Codecademy.com کدکدمی بصورت تخصصی آموزش‌های تعاملی برای یادگیری کد زدن ارائه میده که می‌تونید بر اساس موضوع (برنامه نویسی موبایل، دیتاساینس و...) یا براساس زبان برنامه نویس(روبی، جاوا و...)، آموزش مورد نظرتون رو پیدا کنید. این سایت به کاربران هفت روز دسترسی رایگان ارائه میده. Skillshare.com اسکیل شِیر هم دوره‌های آموزشی در موضوعات مختلف مثل برنامه‌نویسی، طراحی، تصویرسازی، یوایکس، موزیک سازی و عکاسی و نویسندگی و... ارائه میده. توی این سایت می‌تونید فیلتر کنید مثلا آموزش‌های مربوط به فریلنسینگ که طول دوره‌شون بین نیم ساعت تا یک ساعت هست رو پیدا کنید و... Lynda.com لیندا هم بعنوان یکی از معروف‌ترین پلتفرم‌های آموزشی، دوره‌های آموزشی متنوعی در زمینه برنامه‌نویسی و طراحی و سئو و انیمیشن و مدلسازی سه بعدی و اتوکد و ... ارائه میده. آموزش‌های این سایت رو میشه بر اساس سطح (مبتدی، متوسط، حرفه‌ای) و حتی بر اساس نام شرکت‌ها (ادوبی، اپل، آمازون، اتودسک و...) فیلتر کرد. برای استفاده از دوره‌های لیندا باید اکانت ماهیانه خریداری بشه که یک ماه عضویت رایگان ارائه میده، اما با توجه تصاحب این سایت توسط لینکدین و مشکل تحریم‌ها، در مواردی دوستان ایرانی با محدودیت‌هایی برای دریافت اگانت یکماهه مواجه شده‌اند. Linuxacademy.com لینوکس آکادمی همونطور که از اسمش پیداست، دوره‌های آموزشی در زمینه لینوکس، کلود کامپیوتینگ، مدیریت سرور، کانتینرها و ... ارائه میده. این سایت هم برای اعضا یک پلن رایگان داره که شامل برخی محدودیت‌هاست. udacity.com یو دی ای سیتی هم آموزش‌های مختلفی در موضوعات متنوع نظیر برنامه‌نویسی و طراحی و دیتاساینس و ماشین لرنینگ و هوش مصنوعی و روباتیک و... ارائه میده که در کنار آموزش‌های دارای هزینه، شامل برخی دوره‌های رایگان هم میشه. cybrary.it آموزش‌های این سایت در حوزه امنیت سایبری، تست هک و نفوذ، اصول رمزنگاری و... متمرکز است و کلیه دوره‌های این سایت بصورت کاملا رایگان ارائه میشه. dataquest.io دیتاکوئست مناسب افرادی‌ست که به دیتاساینس و داده‌کاوی علاقه‌مندند. آموزش‌های این سایت از اصول دیتابیس گرفته تا ماشین‌لرنینگ و آنالیز دیتا با پایتون و... رو شامل میشه. این سایت هم علاوه بر اکانت‌های غیررایگان، پلن رایگان هم داره که امکان استفاده از آموزش‌ها رو بصورت رایگان فراهم می‌کنه که نسبت به اکانت‌های غیررایگان محدودیت‌هایی (مثل مدودیت تعدا پروژه آموزشی و ...) دارد. datacamp.com دیتاکمپ هم مثل دیتاکوئست مناسب علاقه‌مندان به دیتاساینس است و در کنار اکانت‌های دارای هزینه، اکانت رایگان هم ارائه میده. katacoda.com کاتاکدا آموزش‌هایی در زمینه داکر و کانتینر و تنسورفلو و .. ارائه میده و برای علاقه‌مندان به این موضوعات پایگاه آموزشی مناسبی‌ست. cloudacademy.com کلودآکادمی همونطور که از اسمش پیداست، مباحث اموزشی در زمینه دوآپس، وبسرویس‌های آمازون، مایکروسافت آزور، گوگل کلود و ... رو شامل میشه. این سایت شامل پلن رایگان نیست و برای آموزش باید اکانت خریداری شود. ‌ 📝@MiladNouriChannel