S3 Ep143: সুপারকুকি নজরদারি সেনানিগান

S3 Ep143: সুপারকুকি নজরদারি সেনানিগান

সময় স্ট্যাম্প: 13 জুলাই, 2023 12:48 অপরাহ্ন
S3 Ep143: সুপারকুকি নজরদারি শেনানিগ্যান্স প্লেটোব্লকচেন ডেটা ইন্টেলিজেন্স। উল্লম্ব অনুসন্ধান. আ.
by পল ডকলিন

সুপারকুকির একটি গান গাও

স্লাইড নিয়ম মনে রাখা. আপনি কি জানা দরকার প্যাচ মঙ্গলবার সম্পর্কে. সুপারকুকি নজরদারি shenanigans. যখন বাগ জোড়ায় আগমন. আপেল দ্রুত তালি যে একটি দ্রুত প্রয়োজন তালি. ব্যবহারকারী-এজেন্ট ক্ষতিকারক বলে বিবেচিত।

নিচে কোন অডিও প্লেয়ার? শুনুন সরাসরি সাউন্ডক্লাউডে।

ডগ আমথ এবং পল ডকলিনের সাথে। ইন্ট্রো এবং আউটরো সঙ্গীত দ্বারা এডিথ মুজ.

আপনি আমাদের শুনতে পারেন সাউন্ডক্লাউড, অ্যাপল পডকাস্ট, গুগল পডকাস্ট, Spotify এর এবং যে কোন জায়গায় ভাল পডকাস্ট পাওয়া যায়। অথবা শুধু ড্রপ আমাদের RSS ফিডের URL আপনার প্রিয় পডক্যাচারে।

ট্রান্সক্রিপ্ট পড়ুন

DOUG.  একটি জরুরী অ্যাপল প্যাচ, গ্যাসলাইটিং কম্পিউটার এবং কেন আমি উইন্ডোজ 7 ব্যবহার করতে পারি না?

নেকেড সিকিউরিটি পডকাস্টে এই সমস্ত এবং আরও অনেক কিছু।

[মিউজিক্যাল মডেম]

পডকাস্টে স্বাগতম, সবাইকে।

আমি ডগ আমথ; তিনি পল ডাকলিন।

পল, আপনি কিভাবে করবেন?

হাঁস.  ওয়েল, আমি একটু চমকে গেছি, ডগ.

আপনি উইন্ডোজ 7 ব্যবহার চালিয়ে যাওয়ার প্রয়োজনীয়তার বিষয়ে খুব নাটকীয় ছিলেন!

DOUG.  ঠিক আছে, অনেক লোকের মতো, আমি এটি নিয়ে রাগান্বিত (তামাশা!), এবং আমরা এটি সম্পর্কে কিছুক্ষণ কথা বলব।

কিন্তু প্রথম, একটি খুব গুরুত্বপূর্ণ প্রযুক্তির ইতিহাসে এই সপ্তাহ সেগমেন্ট।

11 জুলাই 1976 একটি সাধারণ গাণিতিক গণনা সরঞ্জামের জন্য শেষ হাঁফ চিহ্নিত করেছিল।

আমি, অবশ্যই, স্লাইড নিয়ম উল্লেখ করছি.

চূড়ান্ত মার্কিন মডেল, একটি Keuffel & Esser 4081-3, স্মিথসোনিয়ান ইনস্টিটিউশনে উপস্থাপন করা হয়েছিল, একটি গাণিতিক যুগের সমাপ্তি চিহ্নিত করে...

…পলের প্রিয়, HP-35-এর মতো কম্পিউটার এবং ক্যালকুলেটর দ্বারা অপ্রচলিত একটি যুগ।

তাই, পল, আমি বিশ্বাস করি আপনার হাতে রক্ত ​​আছে, স্যার।

হাঁস.  আমি একটি HP-35 মালিকানাধীন ছিল না.

প্রথমত, আমি খুব ছোট ছিলাম, এবং দ্বিতীয়ত, যখন তারা এসেছিল তখন তাদের প্রতিটি ছিল $395।

DOUG.  [হাসি] বাহ!

হাঁস.  সুতরাং দামগুলি ক্র্যাশ হতে আরও কয়েক বছর লেগেছিল, যেমন মুরের আইন শুরু হয়েছিল।

এবং তারপর মানুষ আর কোন স্লাইড নিয়ম ব্যবহার করতে চান না.

আমার বাবা আমাকে তার পুরানোটি দিয়েছিলেন এবং আমি সেই জিনিসটির মূল্য দিয়েছিলাম কারণ এটি দুর্দান্ত ছিল…

…এবং আমি আপনাকে বলব যে একটি স্লাইড নিয়ম আপনাকে কী শেখায়, কারণ আপনি যখন এটিকে গুণের জন্য ব্যবহার করছেন, আপনি মূলত যে দুটি সংখ্যাকে আপনি 1 এবং 10-এর মধ্যে সংখ্যায় গুণ করতে চান তা রূপান্তর করুন এবং তারপরে আপনি সেগুলিকে একসঙ্গে গুণ করবেন।

এবং তারপর আপনি কাজ করতে হবে যেখানে দশমিক বিন্দু যায়.

যদি আপনি একটি সংখ্যাকে 100 দ্বারা ভাগ করেন এবং অন্যটিকে 1000 দ্বারা গুন করেন তাদের পরিসরে পেতে, তাহলে সামগ্রিকভাবে আপনাকে একটি শূন্য যোগ করতে হবে, শেষে 10 দ্বারা গুণ করতে হবে।

সুতরাং আপনি আপনার ইলেকট্রনিক ক্যালকুলেটর থেকে উত্তর পেয়েছেন কিনা তা শেখানোর একটি দুর্দান্ত উপায় ছিল, যেখানে আপনি 7,000,000,000 এর মতো দীর্ঘ সংখ্যা টাইপ করেছেন…

…আপনি আসলে ম্যাগনিটিউডের ক্রম, সূচক, ঠিক পেয়েছেন কিনা।

স্লাইডের নিয়মাবলী এবং তাদের মুদ্রিত সমতুল্য, লগ টেবিল, আপনাকে অনেক কিছু শিখিয়েছে কিভাবে আপনার মাথায় ম্যাগনিচুডের অর্ডারগুলি পরিচালনা করতে হয় এবং খুব সহজে জাল ফলাফল গ্রহণ করবেন না।

DOUG.  আমি কখনও একটি ব্যবহার করিনি, তবে আপনি যা বর্ণনা করেছেন তা থেকে এটি খুব উত্তেজনাপূর্ণ শোনাচ্ছে।

চলুন উত্তেজনা অব্যাহত রাখা যাক.

গত সপ্তাহে, ফায়ারফক্স মুক্ত সংস্করণ 115:

ফায়ারফক্স 115 আউট, পুরানো উইন্ডোজ এবং ম্যাক সংস্করণের ব্যবহারকারীদের বিদায় জানায়

তারা একটি নোট অন্তর্ভুক্ত করেছে যা আমি পড়তে চাই এবং আমি উদ্ধৃতি:

2023 সালের জানুয়ারিতে, মাইক্রোসফ্ট উইন্ডোজ 7 এবং উইন্ডোজ 8 এর জন্য সমর্থন বন্ধ করে দেয়।

ফলস্বরূপ, এটি Firefox-এর শেষ সংস্করণ যা সেই অপারেটিং সিস্টেমের ব্যবহারকারীরা পাবেন।

এবং আমি অনুভব করি যে প্রতিবার যখন এই নোটগুলির একটি চূড়ান্ত প্রকাশে যুক্ত হয়, লোকেরা বেরিয়ে আসে এবং বলে, "কেন আমি উইন্ডোজ 7 ব্যবহার চালিয়ে যেতে পারি না?"

এমনকি আমাদের কাছে একজন মন্তব্যকারী ছিল যে উইন্ডোজ এক্সপি ঠিক আছে।

তাহলে আপনি এই লোকেদের কি বলবেন, পল, যে অপারেটিং সিস্টেমের সংস্করণগুলিকে তাদের পছন্দের থেকে এগোতে চান না?

হাঁস.  আমার জন্য এটি রাখার সর্বোত্তম উপায়, ডগ, আমাদের নিবন্ধে আরও ভাল-অবহিত মন্তব্যকারীরা যা বলেছে তা আবার পড়া।

অ্যালেক্স ফেয়ার লিখেছেন:

এটি শুধুমাত্র *আপনি* কী চান তা নয়, তবে কীভাবে আপনি ব্যবহার এবং শোষিত হতে পারেন এবং এর ফলে অন্যদের ক্ষতি করতে পারেন।

এবং পল রক্স বরং ব্যঙ্গাত্মকভাবে বলেছেন:

কেন লোকেরা এখনও সেই বিষয়ে উইন্ডোজ 7 বা এক্সপি চালাচ্ছে?

যদি কারণটি হয় যে নতুন অপারেটিং সিস্টেমগুলি খারাপ, কেন উইন্ডোজ 2000 ব্যবহার করবেন না?

হেক, এনটি 4 এতই দুর্দান্ত ছিল যে এটি ছয়টি পরিষেবা প্যাক পেয়েছে!

DOUG.  যদিও 2000 *অসাধারণ* ছিল।

হাঁস.  এটা সব আপনার সম্পর্কে নয়।

এটা হল যে আপনার সিস্টেমে বাগ রয়েছে, যে বদমাশরা ইতিমধ্যেই জানে কিভাবে শোষণ করতে হয়, যেটি কখনই প্যাচ হবে না।

তাই উত্তর হল যে কখনও কখনও আপনি কেবল যেতে হবে, ডগ.

DOUG.  "কখনো প্রেম না করার চেয়ে ভালোবাসা এবং হারিয়ে যাওয়া ভালো," যেমন তারা বলে।

চলুন মাইক্রোসফটের বিষয়েই থাকি।

প্যাচ মঙ্গলবার, পল, প্রচুর পরিমাণে দেয়।

মাইক্রোসফ্ট চারটি শূন্য-দিন প্যাচ করে, অবশেষে ক্রাইমওয়্যার কার্নেল ড্রাইভারদের বিরুদ্ধে ব্যবস্থা নেয়

হাঁস.  হ্যাঁ, স্বাভাবিক সংখ্যক বাগ সংশোধন করা হয়েছে।

এর মধ্যে বড় খবর, আপনার যে জিনিসগুলি মনে রাখা দরকার (এবং দুটি নিবন্ধ আপনি করতে পারেন go এবং পরামর্শ করা আপনি যদি রক্তাক্ত বিবরণ জানতে চান তাহলে news.sophos.com-এ)….

একটি সমস্যা হল যে এই বাগগুলির মধ্যে চারটি বন্য, শূন্য-দিন, ইতিমধ্যেই-শোষিত গর্তে রয়েছে।

তাদের মধ্যে দুটি নিরাপত্তা বাইপাস, এবং যতটা তুচ্ছ মনে হয়, সেগুলি দৃশ্যত ইউআরএল-এ ক্লিক করা বা ইমেলগুলিতে স্টাফ খোলার সাথে সম্পর্কিত যেখানে আপনি সাধারণত একটি সতর্কবার্তা পাবেন, "আপনি কি সত্যিই এটি করতে চান?"

যা অন্যথায় একটি অবাঞ্ছিত ভুল করা থেকে বেশ কিছু লোককে থামাতে পারে।

এবং দুটি এলিভেশন-অফ-প্রিভিলেজ (EoP) গর্ত স্থির রয়েছে।

এবং যদিও এলিভেশন অফ প্রিভিলেজকে সাধারণত রিমোট কোড এক্সিকিউশনের চেয়ে কম হিসাবে দেখা হয়, যেখানে বদমাশরা বাগ ব্যবহার করে প্রথমে প্রবেশ করে, EoP-এর সমস্যাটি এমন বদমাশদের সাথে করতে হয় যারা ইতিমধ্যেই আপনার নেটওয়ার্কে "উদ্দেশ্য দিয়ে ঘুরে বেড়াচ্ছে" .

যেন তারা হোটেলের লবিতে অতিথি হওয়া থেকে নিজেকে একজন অতি-গোপন, নীরব চোর হিসেবে আপগ্রেড করতে সক্ষম হয় যে হঠাৎ এবং যাদুকরীভাবে হোটেলের সমস্ত কক্ষে প্রবেশ করে।

তাই যারা অবশ্যই জন্য আউট পর্যবেক্ষক মূল্য.

এবং একটি বিশেষ Microsoft নিরাপত্তা পরামর্শ আছে...

…ভাল, তাদের মধ্যে বেশ কিছু আছে; আমি যেটির প্রতি আপনার দৃষ্টি আকর্ষণ করতে চাই তা হল ADV23001, যা মূলত মাইক্রোসফ্ট বলছে, “আরে, মনে রাখবেন যখন সোফোস গবেষকরা আমাদেরকে রিপোর্ট করেছিলেন যে তারা স্বাক্ষরিত কার্নেল ড্রাইভারগুলির সাথে রুটকিটারির পুরো লোড খুঁজে পেয়েছেন যা এমনকি সমসাময়িক উইন্ডোজও কেবলমাত্র লোড কারণ তারা ব্যবহারের জন্য অনুমোদিত ছিল?"

আমি মনে করি শেষ পর্যন্ত 100 টিরও বেশি স্বাক্ষরিত ড্রাইভার ছিল।

এই পরামর্শের মধ্যে দুর্দান্ত খবর হল যে এই সমস্ত মাস পরে, মাইক্রোসফ্ট অবশেষে বলেছে, "ঠিক আছে, আমরা সেই ড্রাইভারগুলিকে লোড হওয়া থেকে থামাতে যাচ্ছি এবং সেগুলি স্বয়ংক্রিয়ভাবে ব্লক করা শুরু করব।"

[বিদ্রূপাত্মক] যা আমি মনে করি তাদের মধ্যে বেশ বড়, সত্যিই, যখন তাদের হার্ডওয়্যার মানের প্রোগ্রামের অংশ হিসাবে অন্তত কিছু ড্রাইভার মাইক্রোসফ্ট নিজেই স্বাক্ষর করেছিল। [হাসি]

আপনি যদি গল্পের পিছনের গল্পটি খুঁজে পেতে চান, যেমনটি আমি বলেছি, শুধু news.sophos.com এ যান এবং অনুসন্ধান করুন “ড্রাইভার"।

মাইক্রোসফট প্যাচ মঙ্গলবার কুলিং-এ দূষিত ড্রাইভার প্রত্যাহার করে

DOUG.  চমৎকার।

ঠিক আছে, এই পরবর্তী গল্পটি… অনেক কারণে এই শিরোনামটি দেখে আমি আগ্রহী: রোহ্যামার আপনার কম্পিউটারের গ্যাসলাইটে ফিরে আসে.

গুরুতর নিরাপত্তা: রোহ্যামার আপনার কম্পিউটারের গ্যাসলাইটে ফিরে আসে

পল, আমাকে বলুন...

[পিটার গ্যাব্রিয়েলের "স্লেজহ্যামার" এর সুরে] আমাকে বলুন...

উভয়।  রওহ্যামার!

DOUG.  [হাসি] এটা পেরেক!

হাঁস.  যাও, এখন তোমাকে রিফ করতে হবে।

DOUG.  [Synthesising A SYNTHESISER] ডুডলি-ডু দা ডু, ডু ডু ডু।

হাঁস.  [মুগ্ধ] খুব ভাল, ডগ!

DOUG.  ধন্যবাদ.

হাঁস.  যারা অতীত থেকে এটি মনে রাখেন না: "Rowhammer" হল শব্দার্থক নাম যা আমাদের মনে করিয়ে দেয় যে ক্যাপাসিটর, যেখানে মেমরির বিটগুলি (একটি এবং শূন্য) আধুনিক DRAM বা গতিশীল র্যান্ডম অ্যাক্সেস মেমরি চিপগুলিতে সংরক্ষণ করা হয়, খুব কাছাকাছি। একসাথে…

আপনি যখন তাদের একজনকে লিখবেন (আপনাকে আসলে একটি সময়ে সারিগুলিতে ক্যাপাসিটারগুলি পড়তে এবং লিখতে হবে, এইভাবে "রোহ্যামার"), আপনি যখন এটি করবেন, কারণ আপনি সারিটি পড়েছেন, আপনি ক্যাপাসিটারগুলি ডিসচার্জ করেছেন।

এমনকি যদি আপনি যা করেছেন তা হল স্মৃতির দিকে তাকান, আপনাকে পুরানো বিষয়বস্তুগুলিকে আবার লিখতে হবে, অথবা সেগুলি চিরতরে হারিয়ে যাবে।

আপনি যখন এটি করবেন, কারণ এই ক্যাপাসিটারগুলি খুব ছোট এবং একসাথে খুব কাছাকাছি, তখন একটি ছোট সম্ভাবনা রয়েছে যে প্রতিবেশী সারিগুলির একটি বা উভয়ের ক্যাপাসিটারগুলি তাদের মান উল্টাতে পারে।

এখন, এটিকে DRAM বলা হয় কারণ এটি স্ট্যাটিক RAM বা ফ্ল্যাশ মেমরির মতো চার্জ অনির্দিষ্টকালের জন্য ধরে রাখে না (ফ্ল্যাশ মেমরির সাহায্যে আপনি এমনকি পাওয়ার বন্ধ করতে পারেন এবং এটি সেখানে কী ছিল তা মনে রাখবে)।

কিন্তু DRAM-এর সাহায্যে, এক সেকেন্ডের দশমাংশ পরে, মূলত, সেই সমস্ত ছোট ক্যাপাসিটারের চার্জ নষ্ট হয়ে যাবে।

তাই তারা সব সময় পুনর্লিখন প্রয়োজন.

এবং যদি আপনি সুপার-ফাস্ট পুনর্লিখন করেন, আপনি আসলে ফ্লিপ করার জন্য কাছাকাছি মেমরিতে বিট পেতে পারেন।

ঐতিহাসিকভাবে, এটি একটি সমস্যা হওয়ার কারণ হল যে আপনি যদি মেমরি অ্যালাইনমেন্টের সাথে খেলতে পারেন, যদিও আপনি ভবিষ্যদ্বাণী করতে না পারেন যে কোন বিটগুলি ফ্লিপ হতে চলেছে, আপনি * হতে পারে * মেমরি সূচক, পৃষ্ঠা টেবিলের মতো জিনিসগুলি নিয়ে তালগোল পাকিয়ে ফেলতে সক্ষম হবেন। বা কার্নেলের ভিতরে ডেটা।

এমনকি যদি আপনি যা করছেন তা মেমরি থেকে পড়া কারণ আপনার কার্নেলের বাইরে সেই মেমরিতে অনভিপ্রেত অ্যাক্সেস রয়েছে।

এবং এটিই আজ পর্যন্ত রোহ্যামার আক্রমণগুলিতে ফোকাস করার প্রবণতা রয়েছে।

এখন, ডেভিসের ক্যালিফোর্নিয়া ইউনিভার্সিটির এই গবেষকরা যা করেছেন তা হল তারা ভেবেছিলেন, "আচ্ছা, আমি ভাবছি যে বিট-ফ্লিপ প্যাটার্নগুলি, যতটা সিউডোর্যান্ডম, চিপসের বিভিন্ন বিক্রেতার জন্য সামঞ্জস্যপূর্ণ কি না?"

কোনটি "সুপারকুকি" এর মতো শোনাচ্ছে, তাই না?

এমন কিছু যা পরের বার আপনার কম্পিউটারকে শনাক্ত করবে।

এবং প্রকৃতপক্ষে, গবেষকরা আরও এগিয়ে গিয়ে দেখেছেন যে স্বতন্ত্র চিপস… বা মেমরি মডিউল (তাদের মধ্যে সাধারণত বেশ কয়েকটি DRAM চিপ থাকে), DIMM, ডাবল ইনলাইন মেমরি মডিউল যা আপনি আপনার ডেস্কটপ কম্পিউটারের স্লটে ক্লিপ করতে পারেন, উদাহরণস্বরূপ, এবং কিছু ল্যাপটপে।

তারা দেখতে পেল যে, আসলে, বিট-ফ্লিপ প্যাটার্নগুলিকে এক ধরণের আইরিস স্ক্যান বা এরকম কিছুতে রূপান্তর করা যেতে পারে, যাতে তারা পরে আবার রোহ্যামারিং আক্রমণ করে ডিআইএমএমগুলিকে চিনতে পারে।

অন্য কথায়, আপনি আপনার ব্রাউজার কুকিজ সাফ করতে পারেন, আপনি ইনস্টল করা অ্যাপ্লিকেশনগুলির তালিকা পরিবর্তন করতে পারেন, আপনি আপনার ব্যবহারকারীর নাম পরিবর্তন করতে পারেন, আপনি একটি নতুন অপারেটিং সিস্টেম পুনরায় ইনস্টল করতে পারেন, কিন্তু মেমরি চিপগুলি, তাত্ত্বিকভাবে, আপনাকে দেবে দূরে

এবং এই ক্ষেত্রে, ধারণা হল: সুপারকুকি.

খুব আকর্ষণীয়, এবং ভাল একটি পড়ার মূল্য.

DOUG.  এটা শান্ত!

খবর লেখার বিষয়ে আরেকটি বিষয়, পল: আপনি একজন ভাল সংবাদ লেখক, এবং ধারণাটি পাঠককে অবিলম্বে আঁকড়ে ধরা।

সুতরাং, এই পরবর্তী নিবন্ধের প্রথম বাক্যে আপনি বলেছেন: "যদিও আপনি শ্রদ্ধেয় ঘোস্টস্ক্রিপ্ট প্রকল্পের কথা না শুনে থাকেন তবে আপনি না জেনেই এটি ব্যবহার করতে পারেন।"

আমি কৌতূহলী, কারণ শিরোনামটি হল: ঘোস্টস্ক্রিপ্ট বাগ দুর্বৃত্ত নথিগুলিকে সিস্টেম কমান্ড চালানোর অনুমতি দিতে পারে.

ঘোস্টস্ক্রিপ্ট বাগ দুর্বৃত্ত নথিগুলিকে সিস্টেম কমান্ড চালানোর অনুমতি দিতে পারে

আমাকে আরো বল!

হাঁস.  ঠিক আছে, ঘোস্টস্ক্রিপ্ট হল অ্যাডোবের পোস্টস্ক্রিপ্ট এবং পিডিএফ ভাষার একটি বিনামূল্যের এবং ওপেন সোর্স বাস্তবায়ন।

(আপনি যদি পোস্টস্ক্রিপ্টের কথা না শুনে থাকেন তবে, পিডিএফ হল "পোস্টস্ক্রিপ্ট নেক্সট জেনারেশন" এর মতো।)

কোন পিক্সেল চালু করতে হবে তা ডিভাইসটিকে না জানিয়ে এটি একটি মুদ্রিত পৃষ্ঠা বা কম্পিউটার স্ক্রিনে একটি পৃষ্ঠা কীভাবে তৈরি করা যায় তা বর্ণনা করার একটি উপায়।

তাই আপনি বলছেন, “এখানে বর্গ আঁকুন; এখানে ত্রিভুজ আঁকুন; এই সুন্দর ফন্ট ব্যবহার করুন।"

এটি নিজস্বভাবে একটি প্রোগ্রামিং ভাষা যা আপনাকে প্রিন্টার এবং স্ক্রীনের মতো জিনিসগুলির ডিভাইস-স্বাধীন নিয়ন্ত্রণ দেয়।

এবং ঘোস্টস্ক্রিপ্ট হল, যেমনটি আমি বলেছি, একটি বিনামূল্যের এবং ওপেন সোর্স টুল যা করতে হবে।

এবং অন্যান্য অসংখ্য ওপেন সোর্স পণ্য রয়েছে যেগুলি ইপিএস (এনক্যাপসুলেটেড পোস্টস্ক্রিপ্ট) ফাইলের মতো জিনিসগুলি আমদানি করার উপায় হিসাবে ঠিক এই টুলটি ব্যবহার করে, যেমন আপনি কোনও ডিজাইন কোম্পানি থেকে পেতে পারেন।

সুতরাং আপনি এটি উপলব্ধি না করে ঘোস্টস্ক্রিপ্ট থাকতে পারে - এটাই মূল সমস্যা।

এবং এটি একটি ছোট কিন্তু সত্যিই বিরক্তিকর বাগ ছিল.

দেখা যাচ্ছে যে একটি দুর্বৃত্ত নথি এমন কিছু বলতে পারে, "আমি কিছু আউটপুট তৈরি করতে চাই এবং আমি এটিকে XYZ ফাইলের নামে রাখতে চাই।"

কিন্তু আপনি যদি ফাইলের নামের শুরুতে রাখেন, %pipe%, এবং *তারপর* ফাইলের নাম…

…সেই ফাইলের নামটি চালানোর জন্য একটি কমান্ডের নাম হয়ে যায় যা ঘোস্টস্ক্রিপ্টের আউটপুটকে "পাইপলাইন" বলে প্রসেস করবে।

এটি একটি একক বাগের জন্য একটি দীর্ঘ গল্পের মতো শোনাতে পারে, তবে এই গল্পের গুরুত্বপূর্ণ অংশটি হল সেই সমস্যাটি ঠিক করার পরে: "ওহ, না! ফাইলের নাম অক্ষর দিয়ে শুরু হলে আমাদের সতর্কতা অবলম্বন করতে হবে %pipe%, কারণ এর মানে আসলে এটি একটি কমান্ড, ফাইলের নাম নয়।"

এটি বিপজ্জনক হতে পারে, কারণ এটি দূরবর্তী কোড কার্যকর করতে পারে।

তাই তারা সেই বাগটি প্যাচ করেছে এবং তারপর কেউ বুঝতে পেরেছে, "আপনি কি জানেন, বাগগুলি প্রায়শই জোড়ায় বা দলে যায়।"

হয় একই কোডের একই বিটে অন্য কোথাও একই রকম কোডিং ভুল, অথবা মূল বাগটিকে ট্রিগার করার একাধিক উপায়।

এবং তখনই যখন ঘোস্টস্ক্রিপ্ট স্ক্রিপ্ট দলের কেউ বুঝতে পেরেছিল, "আপনি কি জানেন, আমরা তাদের টাইপ করতে দিই | [উল্লম্ব বার, যেমন "পাইপ" অক্ষর] স্পেস-কমান্ডের নামও, তাই আমাদের এটিও পরীক্ষা করতে হবে।"

তাই একটি প্যাচ ছিল, একটি প্যাচ থেকে প্যাচ অনুসরণ করে.

এবং এটি অগত্যা প্রোগ্রামিং দলের পক্ষ থেকে খারাপতার লক্ষণ নয়।

এটি আসলে একটি চিহ্ন যে তারা কেবলমাত্র ন্যূনতম পরিমাণ কাজ করেনি, এটিকে সাইন অফ করে, এবং আপনাকে অন্য বাগটি ভোগ করতে ছেড়ে দেয় এবং এটি বন্যের মধ্যে না পাওয়া পর্যন্ত অপেক্ষা করে।

DOUG.  এবং পাছে আপনি মনে করেন যে আমরা বাগ সম্পর্কে কথা বলা শেষ, ছেলে আমরা আপনার জন্য একটি doozie আছে!

একটি জরুরী অ্যাপল প্যাচ উদিত, এবং তারপর un-emerged, এবং তারপরে অ্যাপল এটিতে মন্তব্য করেছে, যার মানে হল উপরে নিচে এবং বাম ডান, পল।

জরুরী ! অ্যাপল আইফোন, আইপ্যাড এবং ম্যাকগুলিতে গুরুত্বপূর্ণ জিরো-ডে হোল ঠিক করে

হাঁস.  হ্যাঁ, এটি ত্রুটির একটি কমেডি একটি সামান্য বিট.

আমি প্রায়, কিন্তু পুরোপুরি না, এটির জন্য অ্যাপলের জন্য দুঃখিত...

…কিন্তু যতটা সম্ভব কম বলার জন্য তাদের জেদের কারণে (যখন তারা কিছুই বলে না), এটি কার দোষ তা এখনও পরিষ্কার নয়।

কিন্তু গল্পটা এরকম: “আরে না! সাফারিতে একটি 0-দিন আছে, ওয়েবকিটে (যে ব্রাউজার ইঞ্জিনটি আপনার আইফোনের প্রতিটি ব্রাউজারে এবং আপনার ম্যাকের Safari-এ ব্যবহৃত হয়), এবং বদমাশ/স্পাইওয়্যার বিক্রেতারা/কেউ এটাকে বড় মন্দের জন্য ব্যবহার করছে।”

অন্য কথায়, "লুক-এন্ড-বি-পউনড", বা "ড্রাইভ-বাই ইন্সটল", বা "জিরো-ক্লিক ইনফেকশন", বা আপনি যাকে বলতে চান।

তাই অ্যাপল, যেমন আপনি জানেন, এখন এই র‍্যাপিড সিকিউরিটি রেসপন্স সিস্টেম রয়েছে (অন্তত সর্বশেষ iOS, iPadOS এবং macOS-এর জন্য) যেখানে তাদের সম্পূর্ণ নতুন সংস্করণ নম্বর সহ একটি সম্পূর্ণ সিস্টেম আপগ্রেড তৈরি করতে হবে না যা আপনি কখনই ডাউনগ্রেড করতে পারবেন না। থেকে, প্রতিবার 0-দিন থাকে।

এইভাবে, দ্রুত নিরাপত্তা প্রতিক্রিয়া.

এই জিনিসগুলি, যদি তারা কাজ না করে, আপনি পরে সেগুলি সরাতে পারেন৷

অন্য জিনিস হল তারা সাধারণত খুব ছোট।

গ্রেট!

সমস্যা হল... মনে হচ্ছে যেহেতু এই আপডেটগুলি একটি নতুন সংস্করণ নম্বর পায় না, অ্যাপলকে বোঝানোর একটি উপায় খুঁজে বের করতে হয়েছিল যে আপনি ইতিমধ্যেই দ্রুত নিরাপত্তা প্রতিক্রিয়া ইনস্টল করেছেন৷

তাহলে তারা কি করে আপনি আপনার সংস্করণ নম্বর নিন, যেমন iOS 16.5.1, এবং তারা এর পরে একটি স্পেস অক্ষর যোগ করুন এবং তারপর (a).

এবং রাস্তায় শব্দটি হল যে কিছু ওয়েবসাইট (আমি তাদের নাম দেব না কারণ এটি সমস্ত শোনা কথা)…

…যখন তারা পরীক্ষা করছিলেন User-Agent সাফারিতে স্ট্রিং, যার মধ্যে রয়েছে (a) শুধু সম্পূর্ণতার জন্য, গিয়েছিলেন: "হুওওওও! কি (a) একটি সংস্করণ সংখ্যা করছেন?"

সুতরাং, কিছু ব্যবহারকারী কিছু সমস্যা রিপোর্ট করছিল, এবং অ্যাপল দৃশ্যত টানা হালনাগাদ.

অ্যাপল নিঃশব্দে তার সর্বশেষ শূন্য-দিনের আপডেট টানে - এখন কি?

এবং তারপরে, সম্পূর্ণ বিভ্রান্তির পরে, এবং নেকেড সিকিউরিটি নিয়ে আরেকটি নিবন্ধ, এবং কেউ জানে না কী ঘটছে... [হাসি]

…অ্যাপল অবশেষে HT21387 প্রকাশ করেছে, একটি নিরাপত্তা বুলেটিন যা তারা প্যাচ প্রস্তুত করার আগে তৈরি করেছিল, যা তারা সাধারণত করে না।

কিন্তু এটি কিছুই না বলার চেয়ে প্রায় খারাপ ছিল, কারণ তারা বলেছিল, "এই সমস্যার কারণে, দ্রুত নিরাপত্তা প্রতিক্রিয়া (b) এই সমস্যা সমাধানের জন্য শীঘ্রই উপলব্ধ হবে।"

এবং এটাই. [হাসি]

তারা সঠিকভাবে বলতে পারে না সমস্যা কি.

তারা এটা বলে না যে এটা নিচে User-Agent স্ট্রিং কারণ, যদি তাই হয়, হয়তো অ্যাপলের সাথে অন্য প্রান্তে ওয়েবসাইটের সাথে সমস্যা বেশি?

কিন্তু অ্যাপল বলছে না।

তাই আমরা জানি না এটা তাদের দোষ, ওয়েব সার্ভারের দোষ, নাকি উভয়েরই।

এবং তারা শুধু "শীঘ্রই", ডগ বলে।

DOUG.  আমাদের পাঠকের প্রশ্ন আনার জন্য এটি একটি ভাল সময়।

এই অ্যাপল গল্পে, পাঠক জেপি জিজ্ঞাসা করেছেন:

কেন ওয়েবসাইট আপনার ব্রাউজার এত পরিদর্শন করতে হবে?

এটি খুব স্নুপি এবং জিনিসগুলি করার পুরানো উপায়ের উপর নির্ভর করে।

আপনি এটা কি বলেন, পল?

হাঁস.  আমি নিজেই সেই প্রশ্নটি নিয়ে অবাক হয়েছিলাম, এবং আমি খুঁজতে গিয়েছিলাম, "আপনি কী করতে চান? User-Agent স্ট্রিং?"

এটি এমন ওয়েবসাইটগুলির জন্য একটি বহুবর্ষজীবী সমস্যা বলে মনে হচ্ছে যেখানে তারা অতি-চতুর হওয়ার চেষ্টা করছে৷

তাই আমি MDN-তে গিয়েছিলাম (আমার মনে হয়, মোজিলা ডেভেলপার নেটওয়ার্ক, কিন্তু এটি এখন একটি কমিউনিটি সাইট), যেটি সেরা সম্পদগুলির মধ্যে একটি যদি আপনি ভাবতে থাকেন, “HTTP শিরোনামগুলি সম্পর্কে কী? HTML সম্পর্কে কি? জাভাস্ক্রিপ্ট সম্পর্কে কি? CSS সম্পর্কে কি? এই সব একসাথে কিভাবে মানায়?"

এবং তাদের পরামর্শ, বেশ সহজভাবে, "দয়া করে, সবাই, এর দিকে তাকানো বন্ধ করুন User-Agent স্ট্রিং আপনি কেবল আপনার নিজের পিঠের জন্য একটি রড তৈরি করছেন এবং অন্য সবার জন্য একগুচ্ছ জটিলতা তৈরি করছেন।"

তাই কেন সাইট তাকান User-Agent?

[WRY] আমি অনুমান কারণ তারা পারে. [হাসি]

আপনি যখন একটি ওয়েবসাইট তৈরি করছেন, তখন নিজেকে জিজ্ঞাসা করুন, "কেন আমি এই খরগোশের গর্তে নেমে যাচ্ছি যেখানে কোথাও কিছু অদ্ভুত স্ট্রিংয়ের উপর ভিত্তি করে প্রতিক্রিয়া করার একটি ভিন্ন উপায় রয়েছে? User-Agent? "

চেষ্টা করুন এবং এর বাইরে চিন্তা করুন, এবং আমাদের সকলের জন্য জীবন সহজ হবে।

DOUG.  ঠিক আছে, খুব দার্শনিক!

আপনাকে ধন্যবাদ, JP, এটি পাঠানোর জন্য।

যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।

আপনি tips@sophos.com-এ ইমেল করতে পারেন, আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন, অথবা সামাজিকভাবে আমাদের হিট করতে পারেন: @nakedsecurity.

এটাই আমাদের আজকের অনুষ্ঠান; শোনার জন্য অনেক ধন্যবাদ

পল ডকলিনের জন্য, আমি ডগ আমথ, আপনাকে মনে করিয়ে দিচ্ছি: পরের বার পর্যন্ত...

উভয়।  নিরাপদ থাকুন!

[মিউজিক্যাল মডেম]

সময় স্ট্যাম্প:

থেকে আরো নগ্ন সুরক্ষা