درک یک کاربر عام از نرم افزار برایم جالب بود. اینکه مثلاً تصور می شود یک نرم افزار توسط دو سه نفر تست می شود - farzaam

رضا و عزیز، من با مطالعه وبلاگ ها و کامنت ها متوجه شدم که محفوظ ماندن اطلاعات وارد شده توسط کاربران برای آنها اهمیت بالایی داد. شاید بهتر باشد برای ذخیره این اطلاعات از الگوریتم های ساده رمز نگاری استفاده کنید و با اعلام این مساله خیال همه را راحت کنید. تنها چیزی که نمی فهمم این است که چرا باید این اطلاعات محدود وغیر قابل استناد تا این حد برای کاربران اهمیت داشته باشد؟ - farzaam

چاکریم فرزام جان, همینی که از طرف شما کاربر عام هم بهمان گفته بشود کلی اعتباره برایمان - شیدا

برای منم جالبه. بالاترین در حال حاضر رمز‌های کاربران رو به صورت رمز شده نگهداری می‌کنه. دیگه چه چیزی اهمیت داره که باید رمز بشه؟ لینک‌ها و توضیحات رو که نمی‌شه رمز نگاری کرد. اصلا لزومی نداره. - Aziz

نه عزیز احتمالا نگران ای پی هستند که البته در ایران در اکثر مواقع استاتیک نیست ولی ای پی استاتیک پهم داریم که میشه با اون به هویت فرد پی برد وگرنه هیچ چیز دیگه ای دارای اهمیت نیست کامنت و لینک که در دسترس همه هست - omran

اگه بخواهیم آی‌پی‌ها رو مثلا ام‌دی۵ (عجبا!) بکنیم، یک مشکل چک ساب‌نت آی‌پی‌های مشکوکه. حالا چه تقلب چه چیز دیگه. مثلا برای همین هکر. چه کنیم؟ - رضا بلا

فکر می کنم دو چیزی که احتمالاً پراهمیت بوده برای کاربران یکی آی پی بوده و یکی هم آدرس ایمیل. اما اگر به قانون جرائم اینترنتی مراجعه کنید(که نمی دانم قانون شده یا هنوز لایحه است) می بینید که مهمترین بخش آن که استنادپذیری اسناد دیچیتال است کاملا مبهم باقی مانده. آیا سخت است من با اسم و مشخصات و حتی عکس شما در سایتی عضو بشوم و در آن فعالیت کنم؟ از طرف دیگر هم اگر مامور اطلاعات من را به جرم کامنت نوشتن در بالاترین احضار کند به فرض در اختیار داشتن ایمیل و آی پی آیا من نمی توانم ادعا کنم که این شخص من نبوده ام؟ - farzaam

در ضمن شیدا جان این طور نیست که ملت بنشینند زیر و بم برنامه را با دست تست کنند. متدهای تست و فریم‌ورک‌های تستینگ وجود دارند. مثلا ما مخلوطی از تی‌دی‌دی/ بی‌دی‌دی تست کیس می‌نویسیم. - رضا بلا

استنادپذیری داده های دیجیتال بحث خیلی پیچیده ایست که هنوز هم جزو اصلی ترین مباحث در حوزه امنیت است و اینقدر که برخی دوستان را نگران کرده، جای نگرانی ندارد. فکر می کنید در دادگاه ارائه داده هایی که از سرقت به دست آمده اند جدای استنادناپذیری آنها، می تواند به عنوان سند به کار برود؟ اگر در مورد چیزی جز اطلاعات ایران نگرانی وجود داشت من هم تایید می کردم. مثلاً شاید کسی دوست نداشته باشد فعالیتش در فیس بوک و بالاترین توسط ایمیل او به هم مرتبط شود و اینها درست است اما دغدغه امنیتی دوستان کمی با علم ناسازگار است - farzaam

فرزام جان در عین حال ما هیچ شاهدی، تاکید می‌کنم هیچ شاهدی بر دسترسی به سرور و داده‌ها نداشته‌ایم. هدف صریحا خرابکاری بوده. وقتی هم که به کنترل پنل دسترسی پیدا شده با دستپاچگی یک تیکت او.اس ریلود زده و در رفته. نمی‌توانسته به سرورها لاگین کند. چون برای لاگین باید از دو واسط می‌گذشته که اصلا اطلاعی نداشته. - رضا بلا

و تو هم که تکنیکی هستی دوست دارم این را به بقیه گوشزد کنی که برنامه و سرور بالاترین هیچ آسیب‌پذیری امنیتی نداشته‌اند و این مورد سرقت هویت را برایشان توضیح دهی. - رضا بلا

رضا جان اونوقت باید هر بخش آی پی رو جدا جدا کد کنین! تازه وای به روزی که بخواین از آی پی ورژن 6 استفاده کنین... کد کردن آی پی عقلانی نیست، نمیشه یه جور دیگه تقلبها رو کشف کرد؟ مثلاً با استفاده از سشن ها، یا کوکی یا رأی هایی که زنجیری داده شدند، یا تایم لاگ این و لاگ اوت، چون فکر کنم افرادی که چندتا یوزر دارند خیلی تند تند لاگ این و لاگ اوت میکنن که رأی بدن، البته حتماً خودتون تا حالا به این چیزا فکر کردین، من هم فقط کنجکاوم که بدونم چیکار میکنین... به هرحال امیدوارم موفق باشین - SJ

رضا یک سوال. واقعاً از تی دی دی جواب هم گرفتی؟ یعنی واقعاً از آن استفاده کردی و این استفاده موفقیت آمیز هم بوده؟ برای من تی دی دی همیشه مبهم بوده و ترجیح داده ام ریسک نکنم و از اکس پی استفاده کنم. یک سوال بی ربط اما مهم هم در رابطه با آر او آر است. الان به نظرت انتخاب این فریم ورک درست بوده یا اگر با اطلاعات امروز می خواستی فریم ورک انتخاب کنی سراغ چیز دیگری می رفتی. از همه جهت از اینترنشنالیزیشن تا امنیت و توسعه پذیری و.... - farzaam

خب رضا به نظر من حتی درست نبود توضیح سرقت هویت و متد آن که مهندسی اجتماعی بوده. مثلاً خود من سریعاً به یک نقطه ضعف در امنیت ایمیل مهدی پی می برم و اینکه به احتمال 80% (طبق آمار) پاسخ مشابهی به سوال های امنیتی در جاهای مختلف داده و در نهایت همه اینها ریسک را برای شما زیادتر می کند. امیدوارم بعد از تغییر همه اینها این اطلاعات را داده باشید یا همین حالا به مهدی یادآوری کنید که هر اکانتی که ساخته را به یاد بیاورد - farzaam

برای آی پی هم می شود کارهایی کرد که هم آودیت ممکن باشد و هم امنیت بالاتر برود مثلاً آی پی را چند قسمت کنید و با الگوریتم خاصی در جدول های مختلف بریزید که آی پی واقعی با جوین کردن ها و اعمال الگوریتم بدست بیاید - farzaam

در مورد امنیت بالاترین هم به عنوان کسی که مسئولیت امنیت چندین پروژه را به عهده داشته باید به جرات بگویم یکی از امن ترین سایت های ایرانی است. همین که تاحالا هر روز این سایت مورد حمله قرار نگرفته و هک نشده را به حساب زحمات رضا و عزیز و مهدی بگذارید. واقعاً سایتهای ایرانی امنیت ندارند و وقت دعواهای سیاسی می بینیم که 300 تا 300 تا هک می شوند. اما می بینیم بالاترین در وضعیتی که رتبه بالایی هم داشته و دشمنان فراوانی هم داشته تا حالا از هر حمله ای مصون مانده - farzaam

همانطور که رضا هم توضیح داده سرقت هویت برای دزدی دومین ارتباط منطقی با سرور و داده ها ندارد مگر اینکه هویت به سرقت رقته عیناً هویتی باشد که برای اجازه هوستینگ هم مورد استفاده قرار گرفته. این را رضا باید توضیح بدهد - farzaam

فرزام جان وقتی اعلام کردیم یعنی حسابش شده. فرزام جان بگذار بیشتر نگویم ولی خوب سرقت هویت بوده دیگر و همان که حدس زدی. - رضا بلا

@SJ آی‌پی یکی از ابزارهای ماست. - رضا بلا

فرزام هر الگوریتم برگشت پذیری به راحتی قابل شکستن است. می‌دانی دیگر. - رضا بلا

فرزام جان متودولوژی من که اکس پی است. که خوب بخشی شامل تی‌دی‌دی هست. اما راستش این که تست بنویسم و بعد رویش کد، نه. ولی همیشه فکر می‌کنم از تنبلی‌ام است. در مورد بالاترین که اصلا گنجایش این کارها نیست. مثل پروژه اپن سورس‌ه! - رضا بلا

من پروژه‌های تجاری دیگری با روبی‌آن‌ریلز دارم. مسلما بله. به خصوص با قول‌های ریلز ۳ - رضا بلا

کاش این جا هم می‌شد نظرات را رفرش کرد :( - رضا بلا

رضا جان چاکر شما هم هستیم, شما فکر کن الان اولین باره که من می شنوم تست نرم افزار هم برای خودش دنیایی دارد و شما هم فکر کن تازه من فهمیدم که تست نرم افزار کمینه 30 درصد ساخت یک نرم افزار را هزینه می برد. راستی این عزیز هر چی راه می اندازه کامنتهایش باحالتر از خودش در می اید. نمی دانم چرا - شیدا

نه بیشتر لازم نیست بنویسی و من هم شاید نوشتم تا توضیحی باشد برای اینکه چرا نباید تا رفع شدن قطعی خطر اطلاعات عمومی منتشر کرد(که دوستان توقع داشتند ظاهراً). در مورد فریم ورک ننوشتی رضا - farzaam

اگر روبی‌آن‌ریلز یک دختر بود رضا قطعا باهاش ازدواج می کرد :)) - Mil∂d

من فعلا با اپل‌ام ازدواج کردم رفته! - رضا بلا

شاید بهتر باشد اینطور سوال کنم که مشکل جدی که با روبی آن ریلز در توسعه بالاترین داشتی چه بوده؟ اصل گیرها کجا بوده؟ - farzaam

یک چیزی هست فرزام که می‌گویند نسبت تست به کد باید ۱.۵ باشد. من که همیشه کم می‌آورم. راستی اسکرام رو هم دوست دارم اما حالا زوده. تیم بزرگ ندارم - رضا بلا

راستش خوب ریلز یک فریم ورک نابالغی بود دو سال پیش. روبی ۱.۸.۵ هم خیلی اشکالات داشت به خصوص توی کار با فایل‌ها. پترن‌های صحیح فریم‌ورک‌های موفق (به خصوص جاوایی) خوب درک شده بود (این پسره دی‌اچ‌اچ تیز و باهوش‌ه) و مثلا اکتیورکورد به جای خوبی رسیده بود دقیقا طبق طرح مارتین فاولر. روبی بالذات زبان فوق‌العاد‌ه‌ای است به خاطر این که مثل موم توی دستت‌ه (که البته همینش هم خطرناک‌ه!) - رضا بلا

شاید بدترین چیزی که همه اتفاق نظر دارند، دیپلوی سخت ریلز بوده تا حالا. واقعا این سرور عوض کردن‌ها خیلی وقت ما رو گرفته. - رضا بلا

راستش رضاجان این اعداد خیلی واقعی نیستند چون معیارهای یکسانی ندارند اندازه های تست و کد که حالا با هم مقایسه کنیم. تست اگر جزئی از متدولوژی باشد که حتماً هست تا حدی قابل قیاس می شود اما مساله این است که کلی تست هم داریم جدای کد. مثلا لود تست و استرس تستی که شیدا خواسته به آنها اشاره کند. اما کلاً هیچ وقت تست در اندازه های استاندارد عملی نمی شود ظاهراً و شاید هم این از تجربه کم من باشد که هنوز ندیده ام جایی را که تست به اندازه استانداردها انجام بشود - farzaam

بعد هم مشکل روبی با پی‌استور، فکر می‌کردم که روبی کنده ولی واقعیتش زیاد به چشم نمی‌آد باتل‌نک همیشه دیتابیس بوده. - رضا بلا

Dear Farzaam it's hard to write in Persian, English and Persian words don't play along with ltr left aligned text, I'll continue in English - رضا بلا

خب الان از دیتابیس گفتی یک سوال جذاب هم می تونه همین مای سیکوئل باشه. به نظرت در حد و اندازه های اینهمه داده هست؟ یا به قول دوستان بیخود نیست که اوراکل همچنان خودشو تحمیل می کنه؟ چقدر مجبور شدید وقت بگذارید برای اپتیمایز کردن ها و کلاً برای دیتابیس؟ من فارسی می نویسم رضا چون 6 صبح شده اینجا و خواب خواب هستم اگه انگلیسی بنویسم احتمالاً به سمت طنز میره بحث - farzaam

There are many solutions for regressions/load/stress/integration tests. Take a look at Rails Continuous Integration test server http://ci.rubyonrails.org. And they're part of the testing. The ratio I talked about is just about LOC. You have to set up your staging, and deliver your stories in order to mark a task done in XP. - رضا بلا

You know we have RSpec and some more Spec libraries for Ruby and there's a plugin for Rails, the decision with which methodology to stick with is always a pain in the ass. I'm more comfortable with plain old ruby unit tests. I always liked JUnit. - رضا بلا

@ REZA: این را شما جایی نگفتی احیانا دیروز همین موقع ها: ....................................."آقا من یک چیزی برای این فرندفید رو خواهم کرد. Stay tuned. " - UHU☮

MySQL is good, it works good and with this amount of data and transaction but it needs optimization and scaling. We need hardware, separate machines for a master-master or master-slave setup and replication. In the new version we are heavily using memcached and it's just great under heavy load. Web apps are mostly read and memcached works great. I'll write about server setup in a blog post. - رضا بلا

uohu That's a seeecret [just think how Leonard says that!] ;) let's talk about our favorite TV series :p - رضا بلا

@Shahin تازه کامنتت رو دیدم. شرمنده. چاکریم - رضا بلا

در مورد مقدار تست طبق متولوژی حرفت کاملاً درست است ولی می خواستم بگم اگر تست هایی مثل استرس/لود/اینتگریشن به طور استاندارد به داستان اضافه بشه در اختصاص بودجه و زمان مشکل خواهیم داشت همیشه و همه جا. یعنی در نهایت فکر نمی کنم بشه جایی واقعاً این استانداردها را عملی کرد. تازه تست به همین ها هم ختم نمیشه و مثلاً تست امنیت خودش داستانی داره و همینطور پرفورمنس و ... - farzaam

نه فرزام جان می‌کنند این کارها را. شدیدا هم می‌کنند. آن بخش‌های نهایی هم که روی استیجینگ یک ریلیس کاندیدیت می‌زنی و تهش در میاد. اما به هر حال نرم‌افزار بی‌باگ و سوراخ که نمی‌شه. - رضا بلا

ممنون رضا بابت اطلاعات و حتماً می دونی تجربه بالاترین خیلی ارزشمند هست و جای تشکر داره که این اطلاعات را در اختیار بقیه می گذارید. قرار شده نشریه تخصصی داشته باشیم البته اگر دوستان کمی تنبلی را کنار بگذارند. فکر می کنم مصاحبه رسمی در مورد این موضوعات خیلی می تونه جالب باشه.باز هم ممنون از وقتی که گذاشتی و فعلاً بیشتر از این وقتت را نمی گیرم - farzaam

@REZA I think last night was the best episode in this season - UHU☮

@REZA Like Sheldon talks about the size of his right frontal lobe .... I was laughing for hours - UHU☮

@uohu Yes, the best in this season but still lags behind s1. Basically if you consider cumulative amount of my laughter divided by each season runtime, still not a good ratio for season two! I cannot mock Sheldon, ah, [read like Bart Simpson] - رضا بلا

از تو هم ممنونم فرزام. امیدوارم روزی این قدر زیرساخت و برنامه بزرگی داشته باشیم که ارزش حسابی حرف زدن داشته باشد ;) هنوز اول راهیم. - رضا بلا

@Reza ما اوچیک هر چی بالاترین‌کدنویس هم باشه هستیم. - شیدا