Integer

ممنونم

ممنونم

به نام خداوند جان و خرد سلام عرض میکنم خدمت همه ی شما دوستان و هم وطنان عزیز امیدوارم حال یک یکتون خوب باشه امروز می‌خوایم ادویه جات های برنامه نویسا رو بررسی کنیم می‌خوایم ببینیم چقد برنامه نویسا از ادویه جات توی غذاشون (کداشون) استفاده میکنن (تمامی مباحث گفته شده مربوط به امنیت و صفحاتی همچون لاگین و رجیستر هستش) 1- نمک (Salt) چیست؟ در برنامه نویسی و امنیت و کلا کسایی که به این موضوع ها علاقه دارن، نمک یکی از ادویه های مفیدی هستش که به اندازه های مختلف و تصادفی (Random) توی غذا میریزن برنامه نویسا نمک یه متن تصادفی هستش که زمانی که کاربر میخوادش پسوردش رو وارد کنه (فقط وقتی که میخواد رجیستر کنه، توی PHP این اتفاق به صورت اتوماتیک میوفته)، و بعد متن هش میشه و در دیتابیس ذخیره میشه، اینکار امنیت رو از چند لحاظ بالا می‌بره: 1- یک متن رندوم تصادفی برای هر کاربر میسازه، یعنی اگه چندین کاربر پسوردشون ۱ ۲ ۳ ۴ باشه برای هر کدوم هش جداگانه ای ساخته میشه و اگه دیتابیس دسته هکر بیوفته نمیتونه کار زیادی انجام بده و خیلی طولانی میشه انجام کار ها، حداقل ۲۸ کاراکتر و حداکثر ۱۲۸ کاراکتر باید طول نمک باشه 2- فلفل (Pepper) چیست؟ توی برنامه نویسی به جز نمک یک مبحث دیگه ای داریم تحت عنوان "فلفل تند و آتشین"! قشنگ پدره هکر رو در میاره! طبق محاسبات محققان، اگه فلفل اضافه شه به پسورد عه کاربرا حتی با ابر کامپیوتر و ابر سیستم ها میلیارد ها سال نوری طول می‌کشه تا هکر بتونه پسورد رو به دست بیاره، (حتی اگه نمک رو نزارین)، اما خب این همه توضیح دادیم درست، فلفل تند و آتشین دقیقا چیه؟ فلفل دقیقا برخلاف نمک یک متن تصادفی نیستش، برای همه ی کاربر ها یکی هستش، اما!!! برخلاف نمک و بقیه مباحث، فلفل مستقیما توی دیتابیس ذخیره نمیشه، فلفل هم مانند نمک به پسورد اضافه میشه، هش میشه و سپس توی دیتابیس ذخیره میشه، طول فلفل از ۱۲۸ کاراکتر تا بینهایت کاراکتر هستش، اگه ۱۲۸ کاراکتر باشه میلیارد ها سال نوری عه، ببینید ۵۷۳۸۳۷ کاراکتر یا بیشتر باشه چی میشه... فلفل یک متنی هستش که توی فایل های حیاطی مثل .env ذخیره میشه و هروقت که کاربر بخواهید رجیستر & لاگین کنه اون به متن کاربر اضافه میشه، اما خب آقا اگه اضافه میشه به صورت سیستمی به چه دردی میخوره توی حملات آنلاین (بروت فورس، رینبو تیبل و...)، دقیقا مبحث فلفل برای بخش آفلاین هستش، نه آنلاین، زمانی که هکر دیتابیس رو بدست آورده باشه، فقط یک پسورد هش شده تحویل میگیره، این پسورد هش شده ترکیبی از پسورد کاربر و فلفل و حتی اگه خواستین نمک هستش، (البته نمک برای جلوگیری از رینبو تیبل (Rainbow Table) هستش بالا یه اشتباهی شد )، و حالا هکر بخواد متن هش شده رو با نرم افزار هایی مثل Hashcat, John The Ripper, و... آن هش کنه و متن اصلی رو بدست بیاره، اینجا فلفل خودشو نشون داده، هکر تا زمانی که متن عه اصلی عه فلفل که توی .env ذخیره شده رو نداشته باشه، ببخشینا هیچ نمیتونن نوش جان فرمایند ، ولی اگه داشته باشه، ببخشینا شما دیگه نمیتونی کاری انجام بدین ، واسه همینه که .env مهم ترین فایل عه همه ی پروژه ها هستش! ۱۰۰٪ مطمعنم هیچکدوم هیچی متوجه نشدین، بدیهی هستش، تا کد رو نبینین اینجور مباحث رو متوجه نمیشید، چون یه مبحثی نیستش که بگید آره مثلا دو تا کلمه میخونم تموم میشه میره، باید به صورت عملی ببینید که چی به چیه تا متوجه بشید: حالا دیگه حرف بسه، کدمون رو نشونتون می‌دیم! <?php // نمک Salt $password = "Password_Test"; // تابع یه password_hash در PHP میاد و به صورت اتوماتیک نمک رو اظافه میکنه اما خب من باز میگم دیگه $salt = openssl_pseudo_random_bytes(50); //یک قاشق نمک (۵۰ بایت نمک) $passwordWithSalt = $salt . $password; // روش های زیادی برای اطافه کردن نمک وجود داره به پسورد /* روش های اصولی: $salt . $password $password . $salt $salt . $password . $salt */ // اگر نمک رو به صورت دستی بنویسید باید به اندازه ی بایت هایی که برای نمک گذاشتید رو از جاهایی که گذاشتید (اول، اخر یا هردو) حذف کنید و بعد اعتبارسنجی کنید ببینید آیا هش شده ی پسورد عه الان عه کاربر با هش شده ی پسورد قبلیش یکیه یا نه، باید از یک الگوریتم استفاده کنید واسه هم اعتبارسنجی هم رجیستر // پیشنهاد میکنم از password_hash و password_verify توی پی اچ پی استفاده کنید که این کا ها رو (به جز فلفل که خودتون باید اظافه کنید رو) انجام میدن هم اعتبارسنجی هم ساخت نمک هم همه ی کار هایی که بالا گفتم رو // فلفل Pepper $password = "PasswordTEST"; $pepper = "PEPPER_TEXT_HELLO_HOWAREYOUHFNDJDBSHEJDUFH"; // مثال هستش، وگرنه یک متن معنا دار (یا هش شده) هستش که از .env خونده میشه $passwordWithSomePepper = $password . $pepper; // این در دیتابیس ذخیره میشه $passwordHash = password_hash($passwordWithSomePepper, "ARGON2ID"); // Authentication $password = "shsh"; // پسوردی که کاربر وارد کرده (در لاگین) $pepper = $pepper; // همون فلفل تندی که توی .env هستش $passwordWithPepper = $password . $pepper; // پسوردی که کاربر توی لاگین وارد کرده + پسوردی که توی دیتابیس هستش if(password_verify($passwordWithPepper, $passwordHash) { echo "هش ها یکسان هستن و کاربر پسوردش درسته"; } else { echo "هش ها یکسان نیستن پس پسورد اشتباهه"; } این تمام ماجرای فلفل و نمک هستش فقط کد هارو زیادی شور یا تند نکنینا شیطونا امیدوارم که خوشتون اومده باشه، تا تاپیک های بعدی شما رو به خداوند بزرگ میسپارم، خدا یار و نگهدارتون باشه!

ممنون

ممنون

خیلی ممنون

بسمالله رحمان رحیم سلاممممممممممممممممممممممممممممممم عرض میکنم خدمت تمامی شما دوستان عزیز امیدوارم حالتون عالی باشه حال دلتون ااز حال خودتون بهتر توی این تاپیک میخوایم بررسی کنیم که شرکت های بزرگ (Microsoft - Google - LinkedIn - GitHub - GitLab - StackOverFlow - Git - CodePen - Dribbble - Telegram - Instagram - Twitter (X) - xAi - Tesla - SpaceX - NASA - Coursera - Qoura) بررسی کنیم که از چه زبان برنامه نویسی ای استفاده میکنن 1- Microsoft Applications: برای ویندوز و محصولات دسکتاپ ترکیب C++ (هسته‌ها و ران‌تایم‌ها) و C#/.NET (اپ‌ها و UI)، و TypeScript/Electron برای برخی ابزارهای کراس‌پلتفرم (مثل GitHub Desktop که متعلق به Microsoft است). موبایل‌های iOS/Android معمولاً Swift/Objective‑C و Kotlin/Java وقتی محصول رسمی موبایل داشته باشه Microsoft ازش استفاده میکنه Front-End: عموماً JavaScript/TypeScript Back-End: ASP.NET/C# و در مواردی Node.js برای سرویس‌های سبک‌تر CLI-Tools: PowerShell، C# (ابزارهای .NET)، و C++ برای ابزارهای قدیمی/سیستمی 2- Google Applications: Android با Java/Kotlin, iOS با Swift/Objective‑C, دسکتاپ معمولاً بومی با C++ یا کراس‌پلتفرم بسته به محصول, Flutter/Dart برای برخی محصولات کراس‌پلتفرم Front-End: عموماً JavaScript/TypeScript Back-End: ترکیبی از C/C++, Go, Java, Python, و در جاهایی Node.js, با ذخیره‌سازی‌های داخلی مثل Bigtable و MariaDB در برخی سرویس‌ها CLI-Tools: ابزارهای داخلی و متن‌باز زیاد با Go و Python ساخته شده‌اند (اکوسیستم Kubernetes/Docker هم گو-محور است, متن غالب) 3- LinkedIn Applications: موبایل‌ها Swift/Objective‑C و Kotlin/Java؛,دسکتاپ اپ‌های محدود و بیشتر وب محور Front-End: عموماً JavaScript Back-End: Java و Scala ستون فقرات‌اند, زیرساخت‌های داده و سرویس‌های درون‌سازمانی با JVM غالب‌اند CLI-Tools: وجود ندارد 4- GitHub Applications: GitHub Desktop با Electron (JavaScript/TypeScript), برخی اجزای سیستمی با C++/Go Front-End: عموماً JavaScript/TypeScript Back-End: اصلی Ruby on Rails، با سرویس‌های مکمل به Go و Python در بعضی دامنه‌ها CLI-Tools: ابزار رسمی gh با Go نوشته شده است 5- GitLab Applications: وب محور Front-End: JavaScript (Vue.js) Back-End: Ruby on Rails؛ کامپوننت‌های پرفورمنس مثل Gitaly با Go؛ زیرساخت‌ها بعضاً Go و Shell CLI-Tools: ابزارهای اکوسیستم و جامعه (مانند glab) با Go متداول‌اند 6- StackOverFlow Applications: وب محور Front-End: عموماً JavaScript Back-End: C#/ASP.NET با SQL Server, کل اکوسیستم بر پایه‌ی .NET ساخته شده است CLI-Tools: وب محور 7- Dribbble Applications: وب محور Front-End: عموماً JavaScript Back-End: عمدتاً Ruby on Rails, سرویس‌های جانبی ممکن است زبان‌های دیگری داشته باشند CLI-Tools: وب محور 8- CodePen Applications: وب محور Front-End: JavaScript Back-End: Ruby on Rails؛ سرویس وب‌محور CLI-Tools: وب محور 9- Telegram Applications: Android با Java/Kotlin, iOS با Swift/Objective‑C, Desktop با C++/Qt (Telegram Desktop) سرورها/پروتکل: تمرکز سنگین روی C++ (MTProto و سرورهای پرفورمنس بالا), برخی سرویس‌ها با Go/Python در ابزارهای جانبی Front-End: عموماً JavaScript Back-End: سرویس‌های اصلی به C++, و در لایه‌های ساده‌تر PHP/Node در برخی محصولات عمومی CLI-Tools: وجود ندارد 10- Instagram Applications: iOS با Swift/Objective‑C, Android با Kotlin/Java, در جاهایی React Native برای فیچرهای کراس‌تیم Front-End: عموماً JavaScript/React Back-End: غالباً Python (Django) با کامپوننت‌های C++ برای پرفورمنس, زیرساخت‌های ذخیره‌سازی و کش‌سازی سفارشی, متا از اکوسیستم گسترده‌ای بهره می‌گیرد CLI-Tools: وجود ندارد 11- Twitter Applications: iOS با Swift/Objective‑C, Android با Kotlin/Java Front-End: عموماً JavaScript Back-End: تاریخی Ruby on Rails, سپس سرویس‌های هسته به Scala و Java مهاجرت داده شدند, امروزه ترکیبی از Scala/Java/C++ با لایه‌های داده و کش گسترده CLI-Tools: وجود ندارد 12- xAI Applications: تمرکز محصول روی سرویس‌های هوش مصنوعی, Python برای ML/LLM, C++ برای بخش‌های پرفورمنس, موبایل‌ها اگر اپ عمومی عرضه شود, Swift/Kotlin استاندارد هستند Front-End: عموماً JavaScript Back-End: Python با شتاب‌دهی C++/CUDA برای مدل‌ها CLI-Tools: وجود ندارد 13- Tesla Applications: اپ‌های موبایل رسمی با Swift و Kotlin/Java, داخل خودروها و فریمور با C/C++, ابزارهای داده/اتوماسیون با Python Front-End: عموماً JavaScript Back-End: ترکیبی از Python/Java/C++ بسته به دامنه (سفارشات، ناوبری، تله‌متری) CLI-Tools: وجود ندارد 14- SpaceX Applications: نرم‌افزارهای پرواز و کنترل C/C++, ابزارهای مهندسی و داده Python, موبایل‌ها محدود و داخلی Front-End: عموماً JavaScript Back-End: Python/C++ برای سرویس‌های داخلی مهندسی. CLI-Tools: وجود ندارد 15- NASA Applications: مأموریت‌ها و سیستم‌های نهفته با C/C++ و Ada در برخی پروژه‌ها, ابزارهای علمی و داده با Python و Java Front-End: عموماً JavaScript Back-End: Python/Java برای انتشار داده‌ها و APIها, پروژه‌های قدیمی‌تر با زبان‌های متنوع CLI-Tools: وجود ندارد من(ا)بع: Microsoft Copilot خیلی ممنونم دوستان که تا اینجا با من بودید امیدوارم که لذت برده باشید دوستان تا تاپیک های بعدی شما رو به خدای مهرابن و بزرگ میسپارم الله یارتون باشه!

بله، حتما به فکر موارد بیشتری هم هستم براش، مثل همین مبحث UI، و ویس چت

من دهن باز کنم نصف سرور به فناست پس مخصوصا هلپر ها اوه اوه

عشقید

نوکرم

مرسی

عشقید همتون