جادی

• پروژه تراکتور روی گیت هاب، اتوماتیک تور، پولیپو، دی ان اس کریپت و تور براوزر رو روی سیستم دبیان یا اوبونتو یا مشابه شما نصب و اجرا می کنه.

• فونت چی هم ایده‌اش اینه که دایرکتوری فونت‌های فارسی باشه – البته فکر می کنم باید فقط فونت‌های آزاد استفاده کنه منطقا. گیت هابشون

• علی مولایی هم وبلاگش رو توی آدرس molaei.org مینویسه. در مورد لینوکس و توی مطالب آخرش هم با ذکر مرجع مطلب طولانی و مهم «کلیسا و بازار» رو بازنشر کرده.

• حسین هم پروژه یک بازی ساده برای اندروید ور (پوشیدنی) درست کرده و سورس رو با جی پی ال ۲ در گیت‌هاب منتشر کرده؛ در این بازی ۶۴ ثانیه زمان دارین تا اسم‌های ایرانی رو از روی کاراکتر‌های داده شده، تایپ کنین.
• چند نفر هم داستان و تجربه سفرهاشون رو توی وبلاگ سبکتر می‌نویسن که سبک و سیاق جالبی داره و اگر هم خواننده دائمی نشین، از سر زدن بهش خوشحال خواهید بود.
• در دنیای سانسور اینترنت، منطقا همه رفتیم سراغ تلگرام. اگر به زبان گو علاقمند هستین کانال تلگرام زبان گو که احمد راه انداخته شاید مطالب خوندنی ای توش باشه.

نیروی کار

• اگه دوست دارید توی یه محیط پویا و صمیمی با جدیت کار کنید و اگه به زبان php تسلط دارید، رزومه خودتون رو به آدرس hi@gt724.com بفرستید

آروین نوشته:

چون یکی‌ از انبار‌های آمازون نزدیک محل زندگی‌ ما تو پرینستون هستش ما شانس خیلی‌ زیادی داریم که خیلی‌ از خرید‌ها را در همان روز دریافت کنیم. همون Same Day Delivary.
‌
مدتی پیش من یه لنز عکاسی پرتره سفارش دادم با محافظ که در مجموع میشد ۲۶۰ دلار و خواستم که همون روز به دستم برسه، خوشبختانه یا متاسفانه با یک روز تاخیر به دستم رسید، با آمازون تماس گرفتم و موضوع رو گفتم اول که کلی‌ عذر خواهی‌ کرد، بعدش از من پرسید که چه جوری می‌تونه جبران می‌کنه و بعد از کمی‌ بحث کّل خرید رو بهم هدیه داد و ظرف سه روز پول کّل رو به حسابم برگردوند و این تجربه باعث شد که من بیشتر و بیشتر به آمازون علاقه ماند بشم و تقریبا همه خرید هام رو از اونجا می‌کنم.

ازش اجازه گرفتم اینجا بنویسم که فروشگاه‌های ما ببینن و یاد بگیرن و البته خود آروین هم یادآوری کرده که:

داشتم به تفاوت خدمات پس از فروش آمریکا و ایران در ادامه داستان آمازون فکر می‌کردم گفتم شاید این نکته هم جالب باشه، یه اتفاقی‌ که بین بعضی‌ از دوستان هموطن اینجا هم وجود داره که یک خرید آنلاین ۵۰۰-۶۰۰ دلاری از فروشگاه‌هایی‌ که زیاد سخت گیر نیستن (مثل آمازون) انجام میدان، بعد درخواست ارسال با پست میدان و چون اکثرا روز‌ها سر کار هستن مامور پست بسته رو جلو در خونه میذاره، وقتی‌ بسته رسید به فروشگاه اطلاع میدان که چنین بسته‌ای دریافت نکردن،فروشگاه هم معمولا یکبار دیگه بسته رو ارسال می‌کنه، اون وقت بسته دوم رو پس میدان و پول کامل رو دریافت می‌کنن. نتیجه اینکه صاحب خرید به صورت مجانی‌ میشن …

من فکر می‌کنم چون درصد خیلی‌ کمی‌ این کار رو انجام میدان، فروشگاه در آخر روز ضرر نمیکنه و به کارش ادامه میده و سیاست مشتری مداری رو دنبال می‌کنه اما اگه اکثر افراد یک جامعه همیشه به این فکر باشن که چه جوری می‌تونن زرنگی کنن یا از نواقص قانونی بشترین سود رو ببرن خوب کسب و کار‌ها ضرر می‌کنن، و شاید نتونن همیشه به این فکر کنن که چه طور مشتریشون رو شاد کنن.

این که زرنگی شخصی من باعث ضرر جمعی ای می شه که جلوی زرنگی‌های آتی من رو می‌گیره چیزی است در فلسفه اخلاق که ما اکثرا ازش آگاه نیستیم. اگر یک خودرو یک سبقت بد بگیره، خب خودش جلو می افته ولی ترافیک درست می کنه. حالا اگر همه به این بی اخلاقی عمل کنن و دنبال سود شخصی خودشون باشن، کل صدمه ای جدی می‌خوره و همه ضرر می کنن (حتی کسی که سعی کرده با زرنگی جلو بزنه).

فرض کنید سه نفر لازمه یک ماشین رو هل بدن و هدفشون اینه که ماشین به تعمیرگاه برسه: یک نفر در سمت چپ، یک نفر در سمت راست و یک نفر در پشت ماشین. این سه نفر همدیگه رو نمی‌بینن و در نتیجه هل دادنشون فقط وابسته به اخلاق است. حالا اگر یک نفر هل نده و فقط ادای هل دادن در نیاره خب «به نفعش» می شه و دو نفر دیگه با تلاش بیشتر ماشین رو به مقصد می‌رسونن ولی اگر دو نفر «زرنگ باشن» و هل ندن، کلا ماشین به مقصد نمی‌رسه و همه ضرری بسیار بزرگتر می‌کنن.

یکی از مشکلات متعدد جامعه ما اینه که دینی که قرار بوده ازش اخلاق بگیریم، به دلایل بسیار در عملکرد «اخلاق سازی» اش موفق نبوده و از اونطرف اخلاق مدرن که مبتنی بر درک و شعور آدم‌ها و درک نفع جمعی و قرارداد بین انسان‌ها است اصولا تدریس نمی شه که هیچ، تحقیر هم می‌شه تا تکرار بشه که «اگر دین نباشه، همه همدیگه رو می‌خورن» و در نتیجه در جامعه ای هستیم که اطرافمون می‌بینیم. جامعه ای که توش کسی درکی از این نداره که زرنگی شخصی اش منجر به از بین رفتن خدمات مبتنی بر اعتماد می شه و هر کس هر جا هست فکر می کنه باید در لحظه حداکثر سود رو از موقعیتش ببره؛ بدون حضور ترس‌های مبتنی بر دین و بدون حضور دلگرمی‌های مبتنی بر اخلاق.

من گاهی به شوخی می‌گم یک راه حل برون رفت استارتاپ‌های نوپای خونگی از وضعیت مشتری نداشتن، اینه که با امضای یک قرارداد به یک جور اتحادیه یا سندیکای «استارتاپ‌های نوپا»‌ بپیوندن که توش اعضا متعهد می‌شن دائما از سرویس‌های همدیگه استفاده کنن؛ البته این عملی نمی‌شه چون تقریبا همه رهبران سندیکایی ایران یا کشته شدن یا در زندان هستن یا برای فرار از این دو عاقبت، از ایران خارج شدن.

ولی این ایده واقعا هم ایده بدی نیست. اقتصاد دانی به نام کینز هم نظرات مشابهی داشته و ایده من از اون می‌یاد. کینز می‌گفت برای برون رفت از شرایط بحران رکود دوره ای که گریبان سرمایه‌داری رو می‌گیره دولت باید دخالت کنه و سعی کنه پول رو در جامعه بچرخونه. یکی از ایده‌های عجیب کینز اینه:

دولت به گروهی پول بده که در کوه‌ها چاله بکنن، بعد به گروهی دیگه پول بده که اون چاله‌ها رو پر کنن.

این باعث چی می‌شه؟ دو گروه کار کردن و حقوق گرفتن‌ و این پول رو در جایی خرج می‌کنن. شاید با پولش یک ماشین ظرفشویی بخرن که باعث می‌شه کارخونه ساخت ماشین ظرفشویی کارگر بیشتری استخدام کنه و بهش حقوق بده و اون کارگر با پولش بخواد یه خودرو بخره و کارخونه خودروسازی مجبور بشه یه ماشین بیشتر بسازه و … پول در جامعه شروع به چرخیدن کنه.

این مساله به شکل نیمه جدی در استارتاپ‌های تازه پا می‌تونه کار کنه، اگر واقعا کسی از من بخره و من هم قول بدم از یکی دیگه بخرم خب به هرحال مثل قبل پول خاصی نیست ولی من دارم کار می کنم و وقتی من مشغول کارم احتمال اینکه یکی دیگه هم از من خرید کنه بیشتره. می‌گن بیزنس ها در ایران اگر بتونن دو سال اول رو زنده بمونن، احتمال ورشکستگی‌شون خیلی کم می‌شه.

حالا همه اینها رو گفتم که بگم من خیلی ایمیل‌هایی به این فرم می‌گیرم:

سلام جادی. ما یک هاستینگ داریم که دیروز فلان مشکل رو پیدا کردیم. می شه بگی چطوری باید حلش کنیم؟

یا مثلا:

ما یک شرکت هستیم که دنبال یک شیوه صحیح ارتباط داخلی و مدیریت اسناد می‌گردیم، به نظرت چه سرویسی برامون خوبه؟

و موارد بسیار مشابه. من معمولا به شکل خلاصه جواب می دم ولی هربار فکر می کنم باید در این مورد حرف بزنیم که اگر یک نفر از کاری پول در می یاره و توش مشکلی داره که دوست داره حل بشه،‌ معقوله که برای حلش معتقد باشه لازمه حداقل پیشنهاد بده که پول خرج کنه. سخت گفتم؟ خشن‌ترش اینه که اگر کسی از کسی سرویس می‌خواد تا پول در بیاره، لازمه پول سرویسش رو هم بده. البته معلومه که من برای چنین ایمیل ها و جواب هایی قرار نیست پول بگیرم و سوال کننده ها هم در حال پولدار شدن از جواب من یا حتی کار فعلی شون در مرحله فعلی نیستن، ولی در کل هر بار فکر میکنم یکی باید این حرفها رو بزنه. اصل حرف من اینه:

ما همه در یک محیط کوچیک کار می کنیم که بهش می گیم جامعه نرم افزار ایران. در این جامعه حقوق و درآمد همه ما به همدیگه وابسته است و اگر اولویت من در به دست آوردن یک چیزی (مثلا صبحانه، ناهار، نون، پیشنهاد، چاپ، سی دی ان، ویدئو، اخبار، ….) سایت همکارهام باشه و در این مورد خست به خرج ندم، احتمال موفقیت نهایی خودم هم بیشتره. اگر ما صد نمونه داشته باشیم که توش یه سرمایه گذار با سرمایه گذاری در یک استارتاپ، پولدار شده باشه احتمال اینکه یکی روی ایده منم یکی سرمایه گذاری کنه خیلی بالاتره.

ما تقریبا مشابه شرایط کینز هستیم و دخالت دولتی‌اش هستیم؛ لازمه حتی اگر مجبور نیستیم از هم حمایت کنیم، به هم لینک بدیم، همدیگه رو معرفی کنیم و از همه بالاتر پول سرویس های همدیگه رو بدیم تا کارهامون بچرخه و پا بگیره و زیرپاهامون محکم بشه. معلومه که همین که رقیب بهتری پیدا شد سوییچ می کنیم یا هر چیزی ولی «خست» نباید به خرج بدیم و از اون بالاتر حرص خوردن از موفقیت دیگران رو باید کنار بذاریم. همراهی همه ما می تونه کل محیط رو به نفع همه ما بکنه. چه در بحث حقوق ماهانه باشه چه در بحث پا گرفتن استارتاپ‌هامون.

---

• من اقتصاد دان نیستم. اگر اشتباه گفتم خوشحال می‌شم بگین که اصلاح کنم یا در کامنت‌ها تکمیل کنید

مثل همیشه اوبونتو منتشر شده و رسیده‌ایم به اوبونتوی ۱۶.۱۰. انواع جشن‌ها هم در جریانه و من فعلا توی این دو تا برنامه هستم و به همراه دوستان خوب، صحبت می کنیم در مورد اوبونتو، اخبار، تاریخچه و هر چیز جالبی دیگه.

• همایش نرم‌ازارهای آزاد استان البرز،‌ اولین پنجشنبه آذر ماه. اگر کرج هستین، می‌تونین از اینجا ثبت نام کنید. آپدیت: به خاطر ترکیب ناهمگونی سخنران ها، من مشکوکم که برم یا نه. اسمم هست ولی خب نمی شه از نرم افزار آزاد و آزادی بگیم در کنار پلیس فتا و بقیه دوستانشون که بخشی از کارشون گرفتن آزادی‌های پایه ای (مثل آزادی بیان) از دیگرانه (: قرار شد مشخص کنن که وضع چیه. آپدیت تر:‌ ترکیب سخنران ها رو اصلاح کردن. ما می ریم (:
• همایش نرم‌افزارهای آزاد و جشن انتشار اوبونتو ۱۶.۱۰ دانشگاه باهنر کرمان در تاریخ ۲۰ آبان. شرکت در همایش رایگان است و کارگاه‌ها بسیار بسیار ارزان؛ ثبت نام کنین.

امیدوارم ببینمتون و مثل همیشه خوش بگذره بهمون (:

آپدیت: کامنت ها رو هم بخونین. بعضی ها می گن این مساله به خاطر رسانه ها بزرگ نمایی شده و از اونی که هست خطرناکتر نشون داده شده

سه روز هم از مشکل حاد امنیتی لینوکس با عنوان گاو کثیف که با آپدیت حل می شد نگذشته که مشکلی پیچیده‌تر در ویندوز نشون داده شده؛ اینبار ظاهرا غیرقابل حل با آپدیت‌های فعلی: اتم بمبینگ یا همون AtomBombing.

محققین امنیتی تکنیکی رو نشون دادن که حمله کننده می‌تونه کد مخربش رو در ویندوزهای مختلف (حتی ده آپدیت آخر) تزریق کنه بدون اینکه ابزارهای معمول آنتی ویروس بتونن چیزی تشخیص بدن. مشکل اصلی اینجاست که این مساله مربوط به یک باگ خاص نیست که بشه حلش کرد بلکه ظاهرا معماری اشتباه باعث این مساله شده.

حمله از طریق جدول‌های اتم (Atom Tables) اتفاق می‌افته؛ قابلیتی که ویندوز به برنامه‌ها می‌ده تا اطلاعات مربوط به رشته‌های کاراکتری، آبجکت‌ها و بقیه انواع داده‌ رو ذخیره کنن و بهشون دسترسی داشته باشن. این جدول‌ها مشترک هستن و همه برنامه‌ها بهشون دسترسی پیدا می‌کنن (برای اطلاعات بیشتر وبلاگ مایکروسافت رو بخونین).

محققین شرکت امنیتی ان سیلو حالا روشی نشون دادن که به خاطر اشتباه طراحی این جداول، اجازه می‌ده کد مخرب بتونه این جدول‌ها رو تغییر بده و باعث بشه برنامه‌های معتبر بتونن کدهای مخرب رو به جای اون اجرا کنن. این مساله باعث می شه عملا آنتی ویروس ها و غیره با روش های فعلی شون نتونن جلوی اجرای این کدها رو بگیرن.

چنین حمله‌ای می تونه در شکل های دیگه باعث حملات مرد میانی، اسکرین شات گرفتن از صفحه دسکتاپ یوزر و دسترسی به پسوردهای ذخیره شده توی براوزر بشه.

در حال حاضر همه نسخه‌های ویندوز نسبت به این مساله آسیب پذیر هستن و به گفته لیبرمن

متاسفانه این مساله قابل پچ نیست چون مشکل در یک باگ نرم افزار یا کد اشتباه نیست – این مساله به خاطر شیوه طراحی سیستم عامل پیش اومده.

که البته امیدوارم مایکروسافت سریعا راه حلی براش پیدا کنه.

آیا نگران باشیم؟

بله ولی در عمل نمی‌تونیم کاری بکنیم. مطمئنا کسی به شما پیشنهاد نمی ده در این لحظه به لینوکس سوییچ کنین ولی خب در نهایت .. چه می دونم. راستش توصیه من به یک آدم معمول در جهان اینه که «نگران نباشین، زندگی همینه». اگر یک آدم مرسوم در دنیا هستین، منتظر بشین ببینین شرکت های بزرگ چه می کنن به زودی.

• منبع اصلی
• اطلاعات فنی تر
• سورس روی گیت هاب

خلاصه مدیریتی:‌ بازم من چند ساعتی از کامپیوترم فاصله گرفتم و جهان به دست نااهلان افتاد! یک مشکل امنیتی توی لینوکس‌ نشون داده شده که می‌تونه باید ارتقای دسترسی افرادی بشه که روی یک سرور اکانت دارن، به اسم مشکل امنیتی می‌گن «گاو کثیف» یا درست‌تر از اون Dirty Cow. راه حل؟ آپدیت کردن لینوکستون به طور صد در صد این مشکل رو حل می‌کنه.

اسم از کجا اومده و این باگ چه می‌کنه

اسم رسمی این مشکل امنیتی هست CVE-2016-5195 ولی از اونجایی که ماجرا مرتبط می‌شه به یک وضعیت رقابتی در شیوه هندل شدن copy on write (یا همون COW) در کرنل لینوکس، بهش گاو کثیف می‌گیم. این شرایط رقابتی باعث می‌شه یک کاربر معمولی بتونه به بخش‌هایی از حافظه که قرار بود غیرقابل نوشتن باشه دسترسی رایت پیدا کنه و در نتیجه بتونه دسترسی خودش رو افزایش بده باگ رو در باگزیلای ردهت ببینین.

آیا لینوکس من هم این مشکل رو داره

بله. تمام لینوکس‌هایی که‌ آپدیت نشده باشن این مشکل رو دارن. هر لینوکسی باید به شکل مطلق و به سرعت آپدیت بشه. در صورتی که کرنل‌های شما قدیمی‌تر از این کرنل‌ها هستن، شما هم این باگ رو دارین:

3.16.36-1+deb8u2 for Debian 8
3.2.82-1 for Debian 7
4.7.8-1 for Debian unstable
4.8.0-26.28 for Ubuntu 16.10
4.4.0-45.66 for Ubuntu 16.04 LTS
3.13.0-100.147 for Ubuntu 14.04 LTS
3.2.0-113.155 for Ubuntu 12.04 LTS

چجوری حلش کنم؟

به سادگی. در هر توزیع مرسوم لینوکس که هستین، یک آپدیت و بعد لود کردن کرنل جدید (ریبوت) میتونه شما رو در مقابل این باگ حفاظت کنه.

کی این رو کشف کرده و آیا لینوکس ناامنه؟

این باگ توسط فیل اوستر کشف و گزارش شده. لینوکس در این لحظه از این نظر ناامن نیست چون یک آپدیت مشکل رو حل می‌کنه. لینوکس قبل از این آپدیت از این نظر ناامن بوده. هر سیستم عاملی در هر لحظه به دلایل مختلف ناامن است و فقط نکته اینه که این ناامنی‌ها در چه لحظه ای گزارش می‌شن و در چه لحظه ای حل می‌شن. خوبی لینوکس اینه که این چنین مشکلاتی رو تقریبا در زمان گزارش حل می‌کنن و با یک آپدیت همه در مقابلش مصون می‌شن ولی تا وقتی از نرم افزار استفاده می‌کنیم، شاهد چنین چیزهایی در تمام سیستم عامل‌ها خواهیم بود.

اطلاعات بیشتر رو از کجا به دست بیارم

اینجا

و آپدیت یادتون نره!