ক্রোম 24টি নিরাপত্তা ছিদ্র প্যাচ করে, "স্যানিটাইজার" নিরাপত্তা ব্যবস্থা সক্ষম করে৷

গুগলের সর্বশেষ ক্রোম ব্রাউজার, 105 সংস্করণ, শেষ হয়েছে, যদিও আপনি Windows, Mac বা Linux-এ আছেন কিনা তার উপর নির্ভর করে পূর্ণ সংস্করণ নম্বর বিরক্তিকরভাবে আলাদা।

ইউনিক্স-এর মতো সিস্টেমে (ম্যাক এবং লিনাক্স), আপনি চান 105.0.5195.52, কিন্তু Windows এ, আপনি খুঁজছেন 105.0.5195.54.

Google-এর মতে, এই নতুন সংস্করণে 24টি নিরাপত্তা সংশোধন করা হয়েছে, যদিও তাদের কোনোটিই "ইন-দ্য-ওয়াইল্ড" হিসেবে রিপোর্ট করা হয়নি, যার মানে এই সময়ে কোনো শূন্য-দিন প্যাচ করা হয়নি।

তবুও, একটি দুর্বলতা ডাব করা হয়েছে সংকটপূর্ণ, এবং আরও আটটি রেট উচ্চ.

যে ত্রুটিগুলি সংশোধন করা হয়েছিল, তার মধ্যে অর্ধেকেরও বেশি স্মৃতি অব্যবস্থাপনার জন্য নিচে, নয়টি হিসাবে তালিকাভুক্ত ব্যবহার-পর-মুক্ত বাগ, এবং চারটি হিসাবে গাদা বাফার ওভারফ্লো.

মেমরি বাগ প্রকার ব্যাখ্যা করা হয়েছে

A ব্যবহার-পর-মুক্ত এটি ঠিক যা বলে: আপনি প্রোগ্রামের অন্য অংশের জন্য এটিকে খালি করতে মেমরি ফিরিয়ে দেন, তবে যেভাবেই হোক এটি ব্যবহার চালিয়ে যান, এইভাবে আপনার অ্যাপের সঠিক ক্রিয়াকলাপে হস্তক্ষেপ করতে পারে।

উদাহরণস্বরূপ, কল্পনা করুন যে প্রোগ্রামটির যে অংশটি মনে করে যে এটি এখন মেমরির আপত্তিকর ব্লকে একমাত্র অ্যাক্সেস পেয়েছে সে কিছু অবিশ্বস্ত ইনপুট গ্রহণ করে এবং সতর্কতার সাথে যাচাই করে যে নতুন ডেটা ব্যবহার করা নিরাপদ…

…কিন্তু তারপরে, সেই বৈধ ইনপুটটি ব্যবহার শুরু করার আগেই, আপনার বগি "ব্যবহার-পর-মুক্ত" কোডটি হস্তক্ষেপ করে, এবং মেমরির একই অংশে বাসি, অনিরাপদ ডেটা ইনজেক্ট করে।

হঠাৎ করে, প্রোগ্রামের অন্য কোথাও বাগ-মুক্ত কোডটি এমন আচরণ করে যেন এটি নিজেই বগি, আপনার কোডের ত্রুটির জন্য ধন্যবাদ যা মেমরিতে যা ছিল তা বাতিল করে দিয়েছে।

আক্রমণকারীরা যারা আপনার কোডের অপ্রত্যাশিত হস্তক্ষেপের সময় ম্যানিপুলেট করার উপায় বের করতে পারে তারা শুধুমাত্র ইচ্ছামতো প্রোগ্রামটি ক্র্যাশ করতে পারে না, বরং এটি থেকে নিয়ন্ত্রণও কুক্ষিগত করতে সক্ষম হতে পারে, এইভাবে যাকে বলা হয় দূরবর্তী কোড নির্বাহ.

এবং একটি গাদা বাফার ওভারফ্লো একটি বাগ বোঝায় যেখানে আপনি মেমরিতে বেশি ডেটা লেখেন যা মূলত আপনার জন্য বরাদ্দ করা স্থানের মধ্যে ফিট হবে। (গাদা বর্তমানে সিস্টেম দ্বারা পরিচালিত মেমরি ব্লকের সংগ্রহের জন্য জার্গন শব্দ।)

যদি প্রোগ্রামের অন্য কোনো অংশে একটি মেমরি ব্লক থাকে যা স্তুপে আপনার কাছে বা তার পাশে থাকে, তাহলে আপনি এইমাত্র যে অতিরিক্ত ডেটা লিখেছেন তা অব্যবহৃত স্থানে ক্ষতিকারকভাবে উপচে পড়বে না।

পরিবর্তে, এটি অন্য কোথাও সক্রিয় ব্যবহারে থাকা ডেটাকে দূষিত করবে, যা ব্যবহার-পর-মুক্ত বাগ-এর জন্য আমরা যা বর্ণনা করেছি তার অনুরূপ পরিণতি।

"স্যানিটাইজার" সিস্টেম

আনন্দের বিষয়, সেইসাথে ভুল বৈশিষ্ট্যগুলি ঠিক করার যেগুলি একেবারেই থাকার কথা ছিল না, গুগল একটি নতুন বৈশিষ্ট্যের আগমনের ঘোষণা দিয়েছে যা সুরক্ষা যোগ করে নামে পরিচিত ব্রাউজার ত্রুটির একটি শ্রেণীর বিরুদ্ধে ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস)।

XSS বাগগুলি ব্রাউজার দ্বারা অবিশ্বস্ত ডেটা ঢোকানোর কারণে হয়, বলুন যে কোনও দূরবর্তী ব্যবহারকারীর দ্বারা জমা দেওয়া একটি ওয়েব ফর্ম থেকে, সরাসরি বর্তমান ওয়েব পৃষ্ঠায়, প্রথমে ঝুঁকিপূর্ণ বিষয়বস্তু পরীক্ষা না করে (এবং অপসারণ করা)৷

উদাহরণস্বরূপ, কল্পনা করুন যে আপনার একটি ওয়েব পৃষ্ঠা রয়েছে যা আমাকে দেখায় যে আমার পছন্দের একটি পাঠ্য স্ট্রিং আপনার মজাদার নতুন ফন্টে কেমন দেখাচ্ছে।

যদি আমি নমুনা টেক্সট টাইপ Cwm fjord bank glyphs vext quiz (ইংরেজি এবং ওয়েলশের একটি কল্পিত কিন্তু অস্পষ্টভাবে অর্থপূর্ণ ম্যাশআপ যাতে বর্ণমালার সমস্ত 26টি অক্ষর মাত্র 26টি অক্ষরে রয়েছে, যদি আপনি ভাবছেন), তাহলে আপনার তৈরি করা ওয়েব পৃষ্ঠায় সেই সঠিক পাঠ্যটি রাখা আপনার পক্ষে নিরাপদ।

জাভাস্ক্রিপ্টে, উদাহরণস্বরূপ, আপনি ওয়েব পৃষ্ঠার মূল অংশটি এইভাবে পুনরায় লিখতে পারেন, আমি কোনো পরিবর্তন ছাড়াই যে পাঠ্যটি সরবরাহ করেছি তা সন্নিবেশ করান:

document.body.innerHTML = " Cwm fjord Bank glyphs vext quiz"

কিন্তু যদি আমি প্রতারণা করে, এবং আপনাকে টেক্সট স্ট্রিংটি "প্রদর্শন" করতে বলে Cwm fjord<script>alert(42)</script> পরিবর্তে, তাহলে এটি করা আপনার জন্য বেপরোয়া হবে...

document.body.innerHTML = " Cwm fjord alert(42) "

…কারণ আপনি আমাকে অবিশ্বস্ত জাভাস্ক্রিপ্ট কোড ইনজেক্ট করার অনুমতি দেবেন my মধ্যে সরাসরি নির্বাচন তোমার ওয়েব পৃষ্ঠা, যেখানে আমার কোড আপনার কুকিজ পড়তে পারে এবং ডেটা অ্যাক্সেস করতে পারে যা অন্যথায় অফ-লিমিট হবে।

সুতরাং, হিসাবে পরিচিত কি করতে আপনার ইনপুট স্যানিটাইজ করা সহজ, ক্রোম এখন আনুষ্ঠানিকভাবে একটি নতুন ব্রাউজার ফাংশনের জন্য সমর্থন সক্ষম করেছে যার নাম setHTML().

এটি নামক একটি বৈশিষ্ট্যের মাধ্যমে নতুন এইচটিএমএল সামগ্রী পুশ করতে ব্যবহার করা যেতে পারে Sanitizer প্রথমত, যাতে আপনি যদি পরিবর্তে এই কোডটি ব্যবহার করেন...

document.body.setHTML(" Cwm fjord alert(42) ")

…তারপর Chrome প্রথমে নিরাপত্তা সমস্যার জন্য প্রস্তাবিত নতুন এইচটিএমএল স্ট্রিং স্ক্যান করবে এবং স্বয়ংক্রিয়ভাবে কোনো টেক্সট মুছে ফেলবে যা ঝুঁকি তৈরি করতে পারে।

আপনি এর মাধ্যমে কর্মে এটি দেখতে পারেন ডেভেলপার টুলস উপরের চালানোর মাধ্যমে setHTML() কোড এ কনসোল প্রম্পট, এবং তারপর প্রকৃত এইচটিএমএল পুনরুদ্ধার করা যা ইনজেক্ট করা হয়েছিল document.body পরিবর্তনশীল, যেমন আমরা এখানে করেছি:

যদিও আমরা স্পষ্টভাবে একটি করা <script> ইনপুট ট্যাগ যে আমরা পাস setHTML() ফাংশন, স্ক্রিপ্ট কোডটি তৈরি করা আউটপুট থেকে স্বয়ংক্রিয়ভাবে পরিষ্কার করা হয়েছিল।

আপনি যদি সত্যিকার অর্থে একটি HTML উপাদানে সম্ভাব্য বিপজ্জনক পাঠ্য যোগ করতে চান, তাহলে আপনি একটি দ্বিতীয় যুক্তি যোগ করতে পারেন setHTML() ফাংশন যা ব্লক বা অনুমতি দেওয়ার জন্য বিভিন্ন ধরনের ঝুঁকিপূর্ণ বিষয়বস্তু নির্দিষ্ট করে।

ডিফল্টরূপে, যদি এই দ্বিতীয় যুক্তিটি উপরের মত বাদ দেওয়া হয়, তাহলে স্যানিটাইজার তার সর্বোচ্চ নিরাপত্তা স্তরে কাজ করে এবং স্বয়ংক্রিয়ভাবে সমস্ত বিপজ্জনক বিষয়বস্তু পরিষ্কার করে যা এটি জানে।

কি করো?

• আপনি যদি একজন Chrome ব্যবহারকারী হন। ক্লিক করে আপনি আপ টু ডেট কিনা চেক করুন তিনটি বিন্দু > সাহায্য > গুগল ক্রোম সম্পর্কে, অথবা বিশেষ URL-এ ব্রাউজ করে chrome://settings/help.
• আপনি যদি একজন ওয়েব প্রোগ্রামার হন। নতুন সম্পর্কে জানুন Sanitizer এবং setHTML() পড়ার দ্বারা কার্যকারিতা Google থেকে পরামর্শ এবং MDN ওয়েব ডক্স.

---

যাইহোক, আপনি যদি ফায়ারফক্সে থাকেন, Sanitizer উপলব্ধ, কিন্তু এখনও ডিফল্টরূপে চালু করা হয় নি। আপনি গিয়ে এটি সম্পর্কে আরও জানতে এটি চালু করতে পারেন about:config এবং টগল করা dom.security.sanitizer.enabled বিকল্প true.

---