Доброго дня друзі, як ваш день? Сподіваюсь ви в безпеці зі своїми любими)

Нічого не постив бо хотів, щоб більше людей побачили пул.

Бачу шо люди реально все більше і більше користуються ШІ - і це круто, правда.
Він реально помічний: щось перекласти, перефразувати, приклад знайти, швидко згенерити тест чи SQL, не гуглити годину.

І бачу шо GPT лідирує - бо він типо первий і це логічно.
Але багато хто пише (і я теж це бачу), що з часом навіть платний ГПТ починає підторможувати, особливо коли чат довгий і вже забитий контекстом.

І тут важливий момент. Памʼятайте, краще не давати корпоративну інфу компанії в публічні AI.
Токени, прод-логи, внутрішні API, клієнтські кейси, не треба.

Так, є платні плани, де кажуть, що не тренують на ваших даних. Але якщо можна не ризикувати, краще не ризикувати.

Я шо тут хочу вам показать і розповісти про Ollama - я вроді вам вже говорив але ше раз)
https://ollama.com

Це короче такий локальний AI-движок. - Тобто модель крутиться прямо у вас на компі. Без хмари. Без API-ключів. Без передачі даних кудись назовні.

ну ставиться просто

curl -fsSL https://ollama.com/install.sh | sh

Потім

ollama pull llama3
ollama run llama3

І у вас вже локальний ШІ. ну він типо працює як і для генерити SQL, автотести, код, допомагати з логами або пояснювати, як працює запит чи працювати як локальний API ну і можна прикрутити до Postman або CI

Якщо залізо не топ. беріть легші моделі типу 3B.

Я реально бачу, що майбутнє КУА це не просто manual чи automation.
Це QA + AI + security ну я думаю і ви так же думаєте)

І той, хто навчиться правильно юзати AI як інструмент, а не як костиль, буде рухатись швидше.

Всім гарного дня і настрою.
Обняв🤗🤗🤗

Друзі привіт, як ви?

З раночку зразу вам підгінчик)
так у мене питали чим я заходжу на сервер, де дивлюсь логи і як не мучитись)

Я зараз юзаю MobaXterm.
https://mobaxterm.mobatek.net/

Ставиться просто впринцепі просто скачали Home Edition → встановили → відкрили → New Session → SSH → вбили IP сервера → логін → підключились і все

Зручно реально шо одразу відкривається SSH, поруч автоматично SFTP-панель (бачите файли сервера ну і можна швидко перейти в папку з логами чи tail -f лог і одразу дивитись що відбувається і також можна зробити curl прямо з сервера

Все в одному вікні. Без 10 вкладок і костилів.

Якщо часто лазите в логи або перевіряєте деплой, реально економить нерви.

Обняв. 🤗🤗🤗

Друзі привіт, як ви?

Сорі шо чучуть загубився - бачу ваші поведомлення шо пропав і мало пощу - але виправлюсь

Хочу дати більше деталей до минулого поста, бо там важливий момент, різниця між REST і GraphQL не тільки “модно / не модно”, а саме в поведінці.

Дивіться що відбувається в REST, коли клієнт хоче статтю + автора і коли GraphQL, клієнт сам каже, що йому потрібно

Обняв 🤗
Сильні 💛

Друзі, привіт, Як ваш день? Поки є напряг з світлом( але я думаю хто з Одеси знає(

так що продовжуємо рубрику, де куA починає бачити систему, а не тільки UI - доповнимо цей пост чучуть)

Протоколи для QA - Syslog

Так що я маю вам сказать)

Syslog - це той протокол, який відповідає за передачу логів.
Не “файл лежить у /var/log”, а саме централізована доставка логів на сервер збору. Бо в реальному проді логи не читають руками на кожному сервері. Їх агрегують.

Працює це принцепі просто якщо вдуматися)
Сервіс генерує лог → Syslog відправляє його на лог-сервер → а там це вже обробляється (SIEM, ELK, Splunk і т.д.)

Працює зазвичай по: UDP 514 (ну це класика) або TCP 514 ну чи TLS (це вже безпечний варіант)

Куа це реально важливо шарити)
Бо іноді: баг є, а логів нема або лог на сервері є, а в централізованій системі нема чи подія відбулась, а аудит її не бачить ну і як же без security каже “ми нічого не отримали”

і це все про доставка логів. як я вже казав вам і повторюю через а через Syslog куа починає думати так: що сервіс лог пише?, чи він реально відправляється? або не стоїть firewall?

Дам вам пару четів на базові кейси
слухає порт:

ss -lntup | grep 514

Перевірити трафік:

tcpdump port 514

Подивитись локальні логи:

journalctl -xe

Всім гарного вечора і настрою!
Обняв.🤗🤗🤗

Друзі привіт) як ваш день?

Все хотів вам закинути це - вчора побачив згадав і думаю треба написати поки знов не забув.

Є прикольна штука від Burp MCP Agents
https://github.com/six2dez/burp-mcp-agents

і тут більше буде розуміння про шо це)
https://www.pentest-book.com/others/burp#burp-mcp

Це інтеграція Burp Suite з AI через MCP (Model Context Protocol).
Тобто Burp можна підключити до LLM і автоматизувати частину аналізу: тобто можно зробити розбір респонсів чи пошук потенційних вразливостей і генерація payload’ів або підказки по тестуванню

Фактично це Burp + AI-помічник, який не просто “пояснює”, а працює з реальним трафіком.

Для куа, який тестує API або лізе в security - це дуже цікава тема.

Але помьятаемо так? Такі штуки юзаємо тільки на тестових середовищах або з дозволом.

Я бачу, що напрямок AI + security зараз дуже активно розвивається. І якщо вже юзаєте Burp - думаю вам зайдет)


Обняв 💛

Друзі доброго ранку)

Бачили цю штуку?
https://chromewebstore.google.com/detail/claude/fcoeoabgfenejglbffodgkkbkcdhcgfn

Claude прямо в Chrome як розширення. І от чесно виглядає прикольно.

Виходить шо поо факту: можна швидко виділяти текст на сторінці чи аналізувати документацію або задати питання прямо по контексту вкладки - виглядає шо треба тестити і буде ясно шо там)

Тобто помічник стає ближче. Не окремий сайт, а прямо у робочому процесі.

Блін як же все швидко рухається в сторону AI-асистентів… І це вже не “побалуватись”, а реально частина щоденної роботи.

Так, скажете платно. Але є відчуття, що Claude зараз по якості відповідей інколи цікавіший за платний GPT і особливо коли треба глибше пояснення, а не просто шаблон.

Я поки тестую.
А ви вже пробували? Шо думаєете? поговоримо

Обняв 🤗
Сильні 💛

Доброго вечора) на вечер чу-чуть підняти настрій)

А ну признавайтесь хто так робе?? коли розклав деву по полицям і довольний пішов )

Друзі привіт, як ваш день? )

Добавлю вам це сюди - для розуміння

Обняв🤗🤗🤗

Друзі доброго раночку)

Я думаю шо вже багато хто з вас в темі але може і ні
https://www.axios.com/2026/03/01/anthropic-claude-chatgpt-app-downloads-pentagon

В двух словах коротенько
Anthropic відмовились знімати обмеження для використання AI. Контракт зірвався. Але замість “мінус репутація” - навпаки, інтерес до Claude виріс.

я вот дивлюсь і по факту AI вже не просто тул для коду чи тексту. і це на стільки вреться в перед шо жесть - звісно є багато моделей пустишок і хто почина нажаль деградувати - але як за цим всім встигнути(

Обняв 🤗
Сильні 💛

Добавлю вам цеж сюди - чучуть на подумати для розуміння)

Друзі, привіт. Як ваш день?

Хотів вам сьогодні показати ще 1 протокол - але хочу спочатку про 1 мезанізм

Я це про webhooks і дивно що багато хто не розуміє що це

це не якийсь новий протокол. Це просто механізм, коли сервіс сам повідомляє вас про те, що щось сталось. По факту - звичайний HTTP POST, тільки навпаки: не ви йдете до сервера, а сервер приходить до вас.

Відбулась подія, система шле повідомлення. Все.
Оплата пройшла, юзер зареєструвався, білд завершився, таска змінила статус і на ваш endpoint летить запит з даними про це.

Виглядає приблизно шось типо такого

POST /webhook/payment
{
"event": "payment_success",
"amount": 100,
"user_id": 25
}

Що я маю вам сказать
Більшість куа тестують тільки основний API. Webhook частину, майже ніхто. І потім починається те саме по колу: платіж пройшов, а статус не змінився. CI завершився, нотифікація не прийшла. CRM оновилась, інтеграція мовчить.
Всі дивляться на бекенд. А проблема саме у webhook.

Зазвичай ламається: endpoint недоступний, неправильний secret або signature, webhook приходить кілька разів через retry, payload змінився і ніхто не попередив, система не обробляє дублікати.
Звідси і беруться баги "інколи працює, інколи ні")

Щоб побачити чи webhook взагалі приходить:

tcpdump -i any port 443

Щоб подивитись що в ньому:

ngrok http 8080

Або просто відкрийте webhook.site - там відразу видно headers, body, retry і статус відповіді. Найшвидший спосіб зрозуміти що відбувається.
Якщо тестувати тільки API запити - ви бачите половину картини. Друга половина це події, про які система розповідає сама. І якщо цю половину не перевіряти - баги будуть. Стабільно.

Обняв🤗

Друзі доброго ранку) як ви?

Там бачу шо не до кінця розуміють шо це і про шо? Як працювати з цим.

Поки записати свій відео урок просто нажаль не вистачає часу, але я думаю шо з середини березня все пойде краще)

Тут є відео коротеньке про це, я не дивився але виглядає все зрозуміло) як що шо то напишете - буду тоді я вже робити гайди)

https://www.youtube.com/watch?v=NCtFzAeAPzU

А і так, новорічну avatar, скоро зміню)

Гарного дня і настрою)
Обняв 🤗🤗🤗

Друзі привіт!

Бачили вже про це? цікава штука виходить
https://pureinfotech.com/stop-chrome-gemini-nano-download-windows-11/

Яб сказав це не прям уразливість, але виглядає трохи негарно)

Але з другого боку логіка є: Google хоче запускати AI локально.

Цікаво що думаєте: це нормальна практика чи такі речі повинні бути тільки через явний дозвіл?

Обняв 🤗

Друзі привіт, як ви?

Хочу сьогодні кинути вам одну дуже корисну штуку, особливо коли приходите на проєкт, а API документації нема взагалі.
Ну тобто не “погана”, а просто нема)

Так що я маю вам сказать
Якщо у сервісу нема нормальної API-доки - це ще не значить, що ви сліпі.
Часто весь трафік можна перехопити прямо з браузера і подивитись, що фронт реально шле на бек.

І це реально працює через Postman Interceptor
Chrome Web Store: https://chromewebstore.google.com/detail/postman-interceptor/aicmkgpgakddgnaphhhpliifpcfhicfo

ну і документація Postman: https://learning.postman.com/docs/sending-requests/capturing-request-data/interceptor/

Далі в Postman вмикаєте Capture requests, якщо треба ставите сертифікат для HTTPS, перезавантажуєте сторінку сайту і все.

Усі запити, які сайт відправляє з браузера, починають падати вам прямо в Postman:
тобто URL/headers/body/cookies/токени/response

Тобто по факту ви самі собі збираєте документацію з живого трафіку. це пряд дуже рятує коли нема Swagger, нема Postman collection, нема опису ендпоінтів, а тестувати треба вже зараз.

Єдине, що важливо розуміти: це добре працює саме для браузерного трафіку. Тобто те, що реально шле фронт.
Якщо там окремі бекендові інтеграції або щось іде не через браузер -ну і зрозуміло шо цього ви так не побачите.

Але для старту, для дослідження API і для КУА штука прям дуже сильна.

Так що ану кажіть хто працював без доки? я помьятаю свій проєкт перший коли прийшов один + ше в принцепі перший КУА на проект а там документації не просто нуль а мінусь нуль)

Сильні💛
Обняв🤗🤗🤗

Доброго вечора друзі!! Як у вас справи?

Розуміння про апі як і завжди актуально - як кажуть Клод це добре але розуміти треба шо відбувається під капотом)



Всім гарного вечора і настрою)
Обняв🤗🤗🤗

Друзі, Доброго ранку. Як ваш день?

Хотів вам сьогодні показати не зовсім протокол, а 1 механізм, який ви точно бачили в API, якщо хоч раз тестували логін чи авторизацію.

Я це про JWT token і дивно, що багато хто бачить його постійно, але не до кінця розуміє що це.

Що я маю вам сказать)
JWT це не якийсь окремий протокол. Це просто механізм, яким сервер типо каже: “ок, ти залогінився, ось тобі токен, далі ходи з ним”.

По факту це такий підписаний шматок даних, який зазвичай передається в: Authorization: Bearer <token>

Виглядає приблизно шось типо такого:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NSIsInJvbGUiOiJhZG1pbiIsImV4cCI6MTcxOTk5OTk5OX0.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

В середині там все просто - я думаю шо ви знаєте шо це не просто список символів
перша частина це як воно підписане, друга це payload, тобто дані ну і третя це signature, щоб ви не могли просто руками підмінити роль чи user id

Більшість КУА бачать JWT і дивляться тільки: є токен чи нема токена. А далі не копають. І потім починається по колу:
лог-аут зробили, а токен ще живий / пароль змінили, а старий токен працює або роль у юзера змінили, а доступ залишився тощо

І всі дивляться на “авторизацію в цілому”, а проблема саме в JWT-логіці.

Зазвичай може поламатися такі штуки як, токен не протухає коли має або backend не перевіряє signature як треба/ logout не інвалідує токен/ refresh token живе вічно / role в payload одна, а доступи інші ну і access token працює після зміни пароля

Щоб швидко глянути що всередині токена: можна просто відкрити в
https://jwt.io

ну або руками декоднути payload.

як куа ви можете перевірити
що буде без токена/ що буде з протухшим токеном/ що буде з битим токеном/ що буде з токеном іншого юзера/ що буде після logout/ що буде після зміни ролі або пароля тощо


Бо якщо тестувати тільки “залогінився / не залогінився” ви бачите половину картини.
Друга половина - це як токен живе далі.
І якщо її не перевіряти - баги будуть. Стабільно.

Обняв🤗
Сильні💛

Всім доброго ранку - як у вас справи?

Не міг цим не поділітися - точно кожен з думає шо на удаленка виглядає саме так ?

Всім гарного дня і настрою 💛
Обняв 🤗

Друзі, привіт. Як ваш день?

Ну що продовжимо нашу рубрику бо я бачу шо ви пишете чого бвльше про це не пишешь всім заходить вона

ТО

Протоколи для QA.
Сьогодні про штуку, яку всі бачать щодня, але мало хто реально розуміє, як вона працює. Я це про SMTP.

SMTP це не “пошта взагалі”. Це саме протокол відправки email.
Тобто коли система шле: reset password або verify email чи OTP і нотифікацію то дуже часто під капотом працює саме SMTP.

По факту логіка проста: ваша апка не “магічно” відправляє лист. Вона підключається до SMTP-сервера і каже: ось від кого, ось кому, ось тема, ось тіло - відправляй.

Виглядає це десь щоссь приблизно так:

HELO app.local
MAIL FROM: <noreply@site.com>
RCPT TO: <user@test.com>
DATA
Subject: Reset password
...

Так шо я маю вам сказать
Більшість КУА тестують тільки факт: кнопку натиснули → лист прийшов.
А далі не копають. І потім починається знайома класика:

лист інколи не доходить або OTP приходить із затримкою чи verify link у спамі і частина листів відправляється, частина ні HTML зламаний або цікавіше from не той або SMTP взагалі відповів помилкою, але апка сказала “успішно”

І всі дивляться на “пошту не працює”, а проблема може бути саме в SMTP-частині.

Частіше проблем може буди дуже багато - дам то шо зустрічав
- неправильний SMTP host або port
- проблема з auth
- TLS/STARTTLS не зійшовся
- sender domain невалідний
- rate limit
- blacklisting
- лист відправився, але провайдер його завернув
- апка не обробила SMTP error нормально

Тобто “лист не дійшов”, це взагалі не завжди один і той самий баг.

Перевірити теж можно просто
Подивитись SMTP-конект:

nc smtp.server.com 25

Або якщо TLS:

openssl s_client -connect smtp.server.com:465

Або STARTTLS:

openssl s_client -starttls smtp -connect smtp.server.com:587

Для локального тесту дуже зручно ловити листи через локальні тули - тоді взагалі видно все, що система шле, без реальної доставки назовні.

Що хочу до вас донести.
SMTP це не “десь там інфра”це частина бізнес-логіки.

Бо якщо у вас не працює reset password, verify email або OTP то для користувача система не працює взагалі.

І якщо КУА тестує тільки “лист прийшов / не прийшов”, він бачить тільки половину картини. Друга половина це доставка, статуси, SMTP-відповіді і те, як апка на них реагує.

Сильні 💛
Обняв🤗

Друзі, привіт - як ваші вихідні??

Бачили шо там придумав Claude? він типо отримав повний контроль над комп'ютером

Anthropic навчили Claude керувати Mac замість користувача. Тобто по факту агент сам відкриває файли, керує браузером, запускає інструменти розробки і виконує завдання прямо через інтерфейс. А передати завдання йому можна прямо зі смартфона через Dispatch.

Просто вдумайтесь як це звучить?

Тут є демка але вона коротка і не докінця зрозуміло і на скількі це влетить в копієчку
https://www.youtube.com/watch?v=ODaHJzOyVCQ

я вот дивлюсь на це і думаю воно вже не просто тул. якщо сьогодні воно відкриває файли і запускає браузер то завтра буде робити цілий робочий день замість вас) - але моя думка залишається така як є це не заміна а помічник) тепер можно за кавою сходити а замість тебе працюють)

цікаво що ви думаєте страшнувато чи навпаки кайф?

А ше питання хтось переходив з якогось явно аі саме на клоде? напишете

Сильні 💛
Обняв 🤗