Home Business இயல்புநிலை கோடுகள்: கிரெடிட் கர்மா மற்றும் ஃபாண்டாங்கோ எஸ்.எஸ்.

இயல்புநிலை கோடுகள்: கிரெடிட் கர்மா மற்றும் ஃபாண்டாங்கோ எஸ்.எஸ்.

By
கவிதா முருகன் (Kavitha Murugan)
-
11
0

ஒரு பிரத்யேக விருந்தில் ஒரு முழுமையான வீட்டு வாசலை கற்பனை செய்து பாருங்கள். யாராவது ஒரு விருந்தினர் என்று கூறும்போது, ​​வீட்டு வாசகர் அவர்களின் அழைப்பை சரிபார்த்து, பட்டியலில் உள்ள பெயர்களுக்கு எதிராக இயக்குகிறார். அது பொருந்தவில்லை என்றால், அந்த நபர் அதை வெல்வெட் கயிறு மூலம் செய்ய மாட்டார். ஆனால் வீட்டு வாசகர் தனது வேலையைச் செய்யவில்லை என்றால் என்ன ஆகும்? அவரது குறைவு விருந்துக்குள் ஒரு ரிங்கரை ஹார்ஸ் டி ஓயுவிரெஸைக் கவ்வவும் மதிப்புமிக்க பொருட்களைத் திருடவும் அனுமதிக்கும்.

இது ஒரு சரியான ஒப்புமை அல்ல, ஆனால் கடன் தகவல் நிறுவனமான கிரெடிட் கர்மா மற்றும் திரைப்பட டிக்கெட் தளமான ஃபாண்டாங்கோ உடனான எஃப்.டி.சியின் குடியேற்றங்கள், நிறுவனங்கள் முக்கியமான தகவல்களை அனுப்பும் இணைப்புகளை அங்கீகரிக்கவும் பாதுகாக்கவும் வடிவமைக்கப்பட்ட இயக்க முறைமைகளின் இயல்புநிலை அமைப்புகளை மேலெழுதும் போது ஆபத்துக்களை நிரூபிக்கின்றன.

ஒரு நுகர்வோர் ஒரு சாதனத்தில் ஒரு பயன்பாட்டை பதிவிறக்கம் செய்த பிறகு விஷயங்கள் எவ்வாறு செயல்படுகின்றன என்பது இங்கே. மறைகுறியாக்கப்பட்ட இணைப்புகளை நிறுவுவதற்கான தொழில்துறை-தர நெறிமுறையான பாதுகாப்பான சாக்கெட்டுகள் அடுக்கு (எஸ்.எஸ்.எல்) பற்றி சிந்தியுங்கள். ஒரு ஆன்லைன் சேவை ஒரு பயன்பாட்டுடன் இணைக்க விரும்பினால், சேவை அதன் அடையாளத்தை உறுதிப்படுத்த ஒரு SSL சான்றிதழை வழங்குகிறது. பயன்பாடு சான்றிதழை சரிபார்த்தவுடன், ஆன்லைன் சேவை வெல்வெட் கயிறு மூலம் அனுமதிக்கப்படுகிறது மற்றும் சாதனத்துடன் மறைகுறியாக்கப்பட்ட இணைப்பை நிறுவுகிறது, இதனால் நுகர்வோர் தகவல்களை அனுப்ப முடியும். ஒரு எஸ்எஸ்எல் சான்றிதழ் மற்றும் குறியாக்கத்தின் மூலம் இந்த ஒரு-இரண்டு சரிபார்ப்பை மக்கள் முக்கியமான தரவை அனுப்புவதற்கு பாதுகாப்பான வழியை உருவாக்குகிறது.

ஆனால் மோசடி செய்பவர்கள் மேன்-இன்-நடுத்தர தாக்குதல்கள் என்று அழைக்கப்படுவதை ஏற்ற ஸ்பூஃபிங் நுட்பங்களைப் பயன்படுத்துவதாக அறியப்படுகிறது. பயன்பாடு எஸ்எஸ்எல் சான்றிதழை சரிபார்க்கவில்லை என்றால், தாக்குபவர் தங்கள் கால்களை வாசலில் பெற தவறான சான்றிதழைப் பயன்படுத்தலாம் மற்றும் பயன்பாட்டிற்கும் ஆன்லைன் சேவைக்கும் இடையில் அனுப்பப்பட்ட தகவல்களை இடைமறிக்க ஒரு இணைப்பை நிறுவலாம். பயன்பாட்டைப் பயன்படுத்தும் நபரோ அல்லது ஆன்லைன் சேவையோ என்ன நடக்கிறது என்பதை உணரவில்லை.

மேன்-இன்-நடுத்தர தாக்குதல்கள் போன்ற அச்சுறுத்தல்களுக்கு எதிராக தனிப்பட்ட தகவல்களைப் பெறுவது மிகவும் முக்கியமானது, IOS மற்றும் ஆண்ட்ராய்டு இயக்க முறைமைகள் டெவலப்பர்களுக்கு எளிதாகப் பயன்படுத்தக்கூடிய பயன்பாட்டு நிரலாக்க இடைமுகங்களை-API கள்-SSL ஐ செயல்படுத்துகின்றன. இயல்பாக, இந்த API கள் தானாகவே SSL சான்றிதழ்களை சரிபார்த்து, சான்றிதழ் செல்லாது என்றால் இணைப்பை நிராகரிக்கவும்.

IOS மற்றும் Android இயக்க முறைமைகளுக்கான டெவலப்பர் ஆவணங்கள் அந்த இயல்புநிலை சரிபார்ப்பு அமைப்புகளை முடக்குவதற்கு எதிராக எச்சரிக்க குறிப்பாக வலுவான மொழியைப் பயன்படுத்துகின்றன. IOS ஆவணத்தின் படி, SSL சான்றிதழ்களை சரிபார்க்கத் தவறியது “பாதுகாப்பான இணைப்பைப் பயன்படுத்துவதிலிருந்து நீங்கள் பெற்றிருக்கக்கூடிய எந்தவொரு நன்மையையும் நீக்குகிறது. இதன் விளைவாக வரும் இணைப்பு மறைகுறியாக்கப்பட்ட HTTP வழியாக கோரிக்கையை அனுப்புவதை விட பாதுகாப்பானது அல்ல, ஏனெனில் இது ஒரு போலி சேவையகத்தால் ஏமாற்றுவதிலிருந்து எந்த பாதுகாப்பையும் அளிக்காது. ” Android ஆவணங்கள் சொற்களைக் குறைக்காது: SSL சான்றிதழ்களை சரிபார்க்காத பயன்பாடு “தகவல்தொடர்புகளை குறியாக்கம் செய்யக்கூடாது, ஏனென்றால் எவரும் பொது வைஃபை ஹாட் இடத்தில் பயனர்களைத் தாக்கலாம். . . (மற்றும்) தாக்குபவர் கடவுச்சொற்களையும் தனிப்பட்ட தரவையும் பதிவு செய்யலாம். ”

எஃப்.டி.சி படி, கிரெடிட் கர்மா மற்றும் ஃபாண்டாங்கோ அந்த “அங்கு செல்ல வேண்டாம்” எச்சரிக்கைகளை புறக்கணித்தனர். அதன் iOS பயன்பாட்டை உருவாக்கும் போது, ​​நுகர்வோர் தங்கள் கடன் மதிப்பெண்களைப் பெறவும், பிற நிதித் தரவைக் கண்காணிக்கவும் அனுமதிக்கிறது, கிரெடிட் கர்மா ஒரு சேவை வழங்குநருக்கு சோதனை நோக்கத்திற்காக எஸ்எஸ்எல் சான்றிதழ் சரிபார்ப்பை முடக்கிய குறியீட்டைப் பயன்படுத்த அங்கீகரித்தது. ஆனால் இயல்புநிலை அமைப்புகளை மீண்டும் இயக்காமல் கிரெடிட் கர்மா பயன்பாட்டை சந்தைக்கு செல்ல அனுமதிக்க அனுமதிக்கிறது என்று FTC கூறுகிறது. எனவே ஜூலை 18, 2012 மற்றும் ஜனவரி 1, 2013 க்கு இடையில், நிறுவனத்தின் iOS பயன்பாடு மனிதனின் நடுத்தர தாக்குதல்களுக்கு பாதிக்கப்படக்கூடியது, பயனர்களின் சமூக பாதுகாப்பு எண்கள், பிறந்த தேதிகள் மற்றும் கடன் அறிக்கை தரவுகளை ஆபத்தில் ஆழ்த்தியது.

கிரெடிட்கர்மா சிக்கலைப் பற்றி எவ்வாறு கண்டுபிடித்தார்? FTC இன் படி, அதன் சொந்த உள் சோதனைகள் மற்றும் கண்காணிப்பு மூலம் அல்ல. ஒரு பயனர் கிரெடிட் கர்மாவைத் தொடர்பு கொண்டதாக புகார் கூறுகிறது, இயல்புநிலை அமைப்புகளை மீட்டெடுக்க நிறுவனத்தின் பொறியியலாளர்களை ஜனவரி 2013 இல் புதுப்பிக்க வழிவகுத்தது.

ஆனால் அது கிரெடிட் கர்மா கதையின் முடிவு அல்ல. சிறிது நேரம் கழித்து, எஃப்.டி.சி ஊழியர்கள் கிரெடிட் கர்மாவைத் தொடர்பு கொண்டனர். அப்போதுதான் நிறுவனத்தின் உள் குழு பயன்பாட்டின் இரு பதிப்புகளிலும் பாதுகாப்பு மதிப்பாய்வை நடத்தியது. இது ஒரு சிக்கலான, விலையுயர்ந்த, நேரத்தை எடுத்துக்கொள்ளும் விஷயமா? இல்லை. FTC இன் படி, இது ஒரு சில மணிநேரங்கள் எடுத்தது, எதுவும் செலவாகும். அது வெளிப்படுத்தியதை யூகிக்கவா? பிப்ரவரி 2013 இல் – பிறகு கிரெடிட் கர்மாவுக்கு iOS பாதிப்பு குறித்து கூறப்பட்டது – நிறுவனம் தனது பயன்பாட்டின் Android பதிப்பை அதே சிக்கலுடன் அறிமுகப்படுத்தியது. மதிப்பாய்வு மற்றொரு பாதுகாப்பு தடுமாற்றத்தையும் வெளிப்படுத்தியது: iOS பயன்பாடு அங்கீகார டோக்கன்கள் மற்றும் கடவுக்குறியீடுகளை சாதனத்தில் பாதுகாப்பற்ற முறையில் சேமித்து வைத்திருந்தது.

ஃபாண்டாங்கோவுக்கு எதிரான FTC இன் வழக்கு நிறுவனத்திற்கு இதேபோன்ற குறைபாடுகளை வசூலிக்கிறது. மார்ச் 2009 முதல் மார்ச் 2013 வரை, ஃபாண்டாங்கோவின் பயன்பாட்டின் iOS பதிப்பு SSL சான்றிதழ்களை சரிபார்க்கத் தவறிவிட்டது, கணினியின் பாதுகாப்பு இயல்புநிலைகளை மீறியது. FTC இன் படி, ஃபாண்டாங்கோ அதன் பயன்பாட்டை வெளியீட்டிற்கு முன் சோதிக்கவில்லை, இது SSL சான்றிதழ்களை சரிபார்க்கிறது மற்றும் கிரெடிட் கார்டு எண்கள், காலாவதி தேதிகள் மற்றும் பாதுகாப்பு குறியீடுகள் உள்ளிட்ட நுகர்வோரின் தனிப்பட்ட தரவை பாதுகாப்பாக கடத்துகிறது. ஆம், ஃபாண்டாங்கோ 2011 ஆம் ஆண்டில் சில தணிக்கைகளை நியமித்தார், பயன்பாடு வெளியிடப்பட்ட இரண்டு ஆண்டுகளுக்குப் பிறகு. ஆனால் அப்படியிருந்தும், தாக்குதல் நடத்தியவர் நுகர்வோர் சாதனத்திற்கு உடல் ரீதியான அணுகலைக் கொண்டிருக்கும்போது ஏற்படும் அச்சுறுத்தல்களை மட்டுமே சேர்க்க இது வாய்ப்பை மட்டுப்படுத்தியது. இது பாதுகாப்பான தரவு பரிமாற்றத்தை சோதிக்கவில்லை. ஆகவே, இயல்புநிலைகளை மீறுவதன் மூலம் அது அறிமுகப்படுத்திய பாதிப்பைக் கண்டறிய ஃபாண்டாங்கோ ஒரு வாய்ப்பை இழந்தார்.

பாதுகாப்பு சிக்கல்களைப் புகாரளிக்க மக்கள் ஒரு பயனுள்ள சேனலை இல்லாததன் மூலம் ஃபாண்டாங்கோ சிக்கலை அதிகப்படுத்தியதாக FTC கூறுகிறது. புகாரின் படி, ஒரு ஆராய்ச்சியாளர் டிசம்பர் 2012 இல் உடனடியாக கிடைக்கக்கூடிய ஒரே முறை மூலம் நிறுவனத்தைத் தொடர்பு கொண்டார் – ஒரு வாடிக்கையாளர் சேவை வலை படிவம். ஆராய்ச்சியாளரின் செய்தியில் “கடவுச்சொல்” என்ற சொல்லை உள்ளடக்கியிருப்பதால், ஃபாண்டாங்கோவின் வாடிக்கையாளர் சேவை அமைப்பு இதை ஒரு வழக்கமான கடவுச்சொல் மீட்டமைப்பு கோரிக்கையாகக் கருதியது மற்றும் பதிவு செய்யப்பட்ட செய்தியுடன் பதிலளித்தது. இந்த அமைப்பு பாதுகாப்பு எச்சரிக்கையை “தீர்க்கப்பட்டது” என்று நிராகரித்தது.

ஃபாண்டாங்கோ இறுதியாக எப்போது சிக்கலை சரிசெய்தார்? புகாரின் படி, நிறுவனம் எஃப்.டி.சி ஊழியர்களிடமிருந்து கேட்கும் வரை அல்ல. அப்போதுதான் ஃபாண்டாங்கோ எளிய சோதனையை இயக்கியது, அதன் பயன்பாடு எஸ்எஸ்எல் சான்றிதழ்களை சரிபார்க்கத் தவறிவிட்டது என்பதை வெளிப்படுத்தியது. மூன்றாம் தரப்பினருக்கு வழங்கிய ஒரு தனி திரைப்பட டிக்கெட் பயன்பாட்டை பாதிக்கக்கூடியது பாதிப்பை ஏற்படுத்தியது என்பதையும் ஃபாண்டாங்கோ கண்டறிந்தார். மூன்று வாரங்களுக்குள், ஃபாண்டாங்கோ இரண்டு IOS பயன்பாடுகளின் புதுப்பிப்பை வெளியிட்டது, அது இயல்புநிலை அமைப்புகளை மீட்டெடுத்தது, இதன் மூலம் அந்த பாதுகாப்பு துளை சொருகியது.

கிரெடிட் கர்மா மற்றும் ஃபாண்டாங்கோவுடனான முன்மொழியப்பட்ட குடியேற்றங்கள் நிறுவனங்கள் புதிய மற்றும் ஏற்கனவே உள்ள தயாரிப்புகளின் வளர்ச்சி மற்றும் மேலாண்மை தொடர்பான அபாயங்களை நிவர்த்தி செய்வதற்கும், ஒழுங்கின் கீழ் உள்ள தகவல்களின் பாதுகாப்பு, ஒருமைப்பாடு மற்றும் ரகசியத்தன்மையைப் பாதுகாப்பதற்கும் விரிவான பாதுகாப்புத் திட்டங்களை வைக்க வேண்டும். பிற குடியேற்றங்களுக்கு இணங்க, கிரெடிட் கர்மா மற்றும் ஃபாண்டாங்கோ ஆகியோருக்கு அடுத்த 20 ஆண்டுகளுக்கு ஒவ்வொரு ஆண்டும் ஒரு சுயாதீன நிபுணரிடமிருந்து தண்டு-க்கு-முதல் பாதுகாப்பு தணிக்கைகள் தேவைப்படும். நிச்சயமாக, ஒப்பந்தங்களின் விதிமுறைகள் அந்த நிறுவனங்களுக்கு மட்டுமே பொருந்தும், ஆனால் ஆர்வமுள்ள வணிகங்கள் கிரெடிட் கர்மா மற்றும் ஃபாண்டாங்கோவுக்கு என்ன தேவை என்பதைக் காண முன்மொழியப்பட்ட ஆர்டர்களைப் படிக்க விரும்புகின்றன. முன்மொழியப்பட்ட குடியேற்றங்கள் குறித்து ஏப்ரல் 28, 2014 க்குள் ஒரு கருத்தை நீங்கள் தாக்கல் செய்யலாம்.

இந்த நிகழ்வுகளிலிருந்து நிறுவனங்கள் வேறு என்ன கற்றுக்கொள்ளலாம்?

1. பாதுகாப்பு இயல்புநிலைகளை மாற்றும்போது தீவிர கவனிப்பைப் பயன்படுத்தவும். நிறுவனங்கள் தனியாக விட்டுவிட்டால், இயக்க முறைமைகளின் பாதுகாப்பு இயல்புநிலை நுகர்வோரின் தனிப்பட்ட தகவல்களை மனிதனின் நடுத்தர தாக்குதல்களிலிருந்து பாதுகாத்திருக்கும். நிச்சயமாக, இயல்புநிலை அமைப்பை மாற்றுவது எப்போதும் சட்டவிரோதமானது என்று நாங்கள் கூறவில்லை. உண்மையில், “சான்றிதழ் பின்னிங்” என்று அழைக்கப்படும் இன்னும் வலுவான அங்கீகார முறையை செயல்படுத்துவதன் மூலம் இயல்புநிலை எஸ்எஸ்எல் சான்றிதழ் சரிபார்ப்புக்கு மேலேயும் அதற்கு அப்பாலும் செல்ல வழிகள் உள்ளன. ஆனால் பாதுகாப்பு இயல்புநிலைகளை மாற்றியமைப்பது பயன்பாட்டு வளர்ச்சியின் மூளை அறுவை சிகிச்சை ஆகும். அவர்கள் என்ன செய்கிறார்கள் என்பது அவர்களுக்குத் தெரியும் என்பதில் நிறுவனங்கள் தைரியமாக இருக்க வேண்டும்.

2. உங்கள் பயன்பாட்டை வெளியிடுவதற்கு முன்பு அதை முழுமையாக சோதிக்கவும். தச்சர்களுக்கு ஒரு பழைய பழமொழி உள்ளது: “இரண்டு முறை அளவிடவும், ஒரு முறை வெட்டவும்.” பயன்பாட்டு டெவலப்பர்களுக்கான இணை: உங்கள் பயன்பாடுகளின் பாதுகாப்பைச் சோதிக்க உடனடியாக கிடைக்கக்கூடிய இலவச அல்லது குறைந்த விலை முறைகளைப் பயன்படுத்திக் கொள்ளுங்கள் முன் நீங்கள் அவற்றை நுகர்வோரின் கைகளில் வைக்கிறீர்கள்.

3. உங்கள் பயன்பாடுகளை மக்கள் எவ்வாறு பயன்படுத்துவார்கள் என்பதைக் கவனியுங்கள். மொபைல் சூழலில் எஸ்எஸ்எல் மிகவும் முக்கியமானது என்பதற்கும், iOS மற்றும் ஆண்ட்ராய்டு டெவலப்பர் ஆவணங்கள் இதைப் பற்றி ஏன் பெரிய விஷயத்தைச் செய்கின்றன என்பதற்கும் ஒரு காரணம் இருக்கிறது: ஏனென்றால் மக்கள் பெரும்பாலும் பாதுகாப்பற்ற பொது வைஃபை நெட்வொர்க்குகளில் மொபைல் பயன்பாடுகளைப் பயன்படுத்துகிறார்கள். சதுரங்க வீரர்களைப் போலவே, டெவலப்பர்களும் ஒரு சில நகர்வுகளை முன்னால் சிந்திக்க வேண்டும். ஒரு பயன்பாட்டை வெளியிடுவதற்கு முன், மக்கள் அதை எவ்வாறு பயன்படுத்தலாம் என்று யோசித்து, அந்த நிஜ-உலகக் கருத்தாய்வுகளை மனதில் கொண்டு அதைப் பாதுகாக்கவும்.

4. உங்கள் சார்பாக மற்றவர்கள் என்ன செய்கிறார்கள் என்பதற்கு நீங்கள் பொறுப்பு. வெளியீட்டிற்கு முந்தைய சோதனையின் போது எஸ்எஸ்எல் சான்றிதழ் சரிபார்ப்பு செயல்முறையை முடக்க கிரெடிட் கர்மா ஒரு சேவை வழங்குநருக்கு அங்கீகாரம் அளித்தார், ஆனால் அதற்குப் பிறகு பாதுகாப்பு அமைப்புகள் மீட்டெடுக்கப்பட்டதை அதைப் பார்க்கவில்லை. முதல் கவலை: இயல்புநிலைகளை அணைக்காமல் சோதனை செய்யப்பட்டிருக்கலாம். ஆனால் அப்படியிருந்தும், நுகர்வோர் பயன்பாட்டைப் பெறுவதற்கு முன்பு ஆப்பிள் பை வரிசையில் எல்லாம் மீண்டும் இருப்பதை நிறுவனங்கள் உறுதி செய்வது மிகவும் முக்கியமானது.

5. உங்கள் காதை தரையில் வைத்திருங்கள். சாத்தியமான பாதுகாப்பு பாதிப்புகள் பற்றிய தகவல்களைப் பகிர்ந்து கொள்ளும் ஒரு செயலில் ஆராய்ச்சி சமூகம் உள்ளது. ஆனால் ஒரு நிலையான “பெட் பக் கடிதம்” உடன் கடுமையான எச்சரிக்கைக்கு பதிலளிப்பதன் மூலம், ஃபாண்டாங்கோ சிக்கல்களை சரிசெய்யும் வாய்ப்பை இழந்தார். அறிவார்ந்த நபர் தொடர்பு கொண்டார் உங்கள் நிறுவனம் சமீபத்தில் ஒரு ஆபத்து பற்றி? அந்த செய்தி மின்னஞ்சல் பெட்டியில் படிக்காததா?

6. கிடைக்கக்கூடிய வளங்களை அணுகவும். FTC சிற்றேடு, மொபைல் பயன்பாட்டு டெவலப்பர்கள்: பாதுகாப்புடன் தொடங்குங்கள், இந்த வகை பாதிப்புக்கு எதிராக பாதுகாப்பது குறித்த நிறுவனங்களுக்கு ஆலோசனைகளை வழங்குகிறது:

பயனர்களைப் பாதுகாக்க, டெவலப்பர்கள் பெரும்பாலும் HTTPS வடிவத்தில் SSL/TLS ஐ வரிசைப்படுத்துகிறார்கள். HTTPS அல்லது மற்றொரு தொழில்-தரமான முறையைப் பயன்படுத்துவதைக் கவனியுங்கள். சக்கரத்தை மீண்டும் கண்டுபிடிக்க வேண்டிய அவசியமில்லை. நீங்கள் HTTPS ஐப் பயன்படுத்தினால், டிஜிட்டல் சான்றிதழைப் பயன்படுத்தி, உங்கள் பயன்பாடு அதை சரியாக சரிபார்க்கிறது என்பதை உறுதிப்படுத்தவும். ஒரு புகழ்பெற்ற விற்பனையாளரிடமிருந்து எந்தவிதமான ஃப்ரிஷில் டிஜிட்டல் சான்றிதழும் மலிவானது மற்றும் உங்கள் வாடிக்கையாளர்கள் உங்கள் சேவையகங்களுடன் தொடர்புகொள்வதை உறுதிப்படுத்த உதவுகிறது, வேறு ஒருவரின் அல்ல. ஆனால் தரநிலைகள் மாறுகின்றன, எனவே தற்போதைய தொழில்நுட்பங்களைக் கண்காணிக்கவும், மேலும் சமீபத்திய மற்றும் மிகப் பெரிய பாதுகாப்பு அம்சங்களைப் பயன்படுத்துகிறீர்கள் என்பதை உறுதிப்படுத்தவும்.

FTC இன் தனியுரிமை மற்றும் பாதுகாப்பு பக்கத்தை புக்மார்க்கு செய்து, பாதுகாப்பான பயன்பாடுகளை உருவாக்குவது குறித்த இலவச தகவலுக்கு பிற பொது ஆதாரங்களை அணுகவும்.

ஆதாரம்

RELATED ARTICLESMORE FROM AUTHOR