S3 Ep143: सुपरकुकी निगरानी धोखाधड़ी

नीचे कोई ऑडियो प्लेयर नहीं है? सुनना सीधे साउंडक्लाउड पर।

डौग  एक आपातकालीन एप्पल पैच, गैसलाइटिंग कंप्यूटर, और मैं विंडोज़ 7 का उपयोग क्यों नहीं कर सकता?

वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।

[संगीत मोडेम]

पॉडकास्ट में आपका स्वागत है, सब लोग।

मैं डौग आमोत हूँ; वह पॉल डकलिन है।

पॉल, आप कैसे हैं?

---

बत्तख।  खैर, मैं थोड़ा चौंका हुआ हूं, डौग।

आप विंडोज़ 7 का उपयोग जारी रखने की आवश्यकता के बारे में बहुत नाटकीय थे!

---

डौग  ख़ैर, कई लोगों की तरह, मैं भी इसे लेकर नाराज़ हूं (मजाक!), और हम इसके बारे में थोड़ी देर में बात करेंगे।

लेकिन सबसे पहले, एक बहुत ही महत्वपूर्ण टेक इतिहास में यह सप्ताह खंड।

11 जुलाई 1976 को एक समय के सामान्य गणितीय गणना उपकरण के लिए आखिरी हांफना चिह्नित किया गया था।

निःसंदेह, मैं स्लाइड नियम की बात कर रहा हूँ।

अंतिम अमेरिकी मॉडल, केफेल एंड एस्सेर 4081-3, स्मिथसोनियन इंस्टीट्यूशन को प्रस्तुत किया गया, जो गणितीय युग के अंत का प्रतीक था...

...एक ऐसा युग जिसे पॉल के पसंदीदा एचपी-35 जैसे कंप्यूटरों और कैलकुलेटरों ने अप्रचलित बना दिया।

तो, पॉल, मुझे विश्वास है कि आपके हाथों पर खून लगा है, सर।

---

बत्तख।  मेरे पास कभी एचपी-35 नहीं था।

सबसे पहले, मैं बहुत छोटा था, और दूसरी बात, जब वे आए तो उनमें से प्रत्येक की कीमत 395 डॉलर थी।

---

डौग  [हंसते हुए] वाह!

---

बत्तख।  इसलिए मूर का नियम लागू होने के कारण कीमतें गिरने में कुछ और साल लग गए।

और फिर लोग स्लाइड नियमों का और अधिक उपयोग नहीं करना चाहते थे।

मेरे पिताजी ने मुझे अपनी पुरानी चीज़ दी, और मैंने उस चीज़ को बहुत महत्व दिया क्योंकि वह बहुत अच्छी थी...

...और मैं आपको बताऊंगा कि एक स्लाइड नियम आपको क्या सिखाता है, क्योंकि जब आप इसे गुणन के लिए उपयोग कर रहे होते हैं, तो आप मूल रूप से उन दो संख्याओं को 1 और 10 के बीच की संख्याओं में परिवर्तित करते हैं जिन्हें आप गुणा करना चाहते हैं, और फिर आप उन्हें एक साथ गुणा करते हैं।

और फिर आपको यह पता लगाने की ज़रूरत है कि दशमलव बिंदु कहाँ जाता है।

यदि आपने एक संख्या को 100 से विभाजित किया है और दूसरे को 1000 से गुणा किया है ताकि उन्हें सीमा में लाया जा सके, तो कुल मिलाकर आपको अंत में 10 से गुणा करने के लिए एक शून्य जोड़ना होगा।

तो यह खुद को सिखाने का एक शानदार तरीका था कि क्या आपको अपने इलेक्ट्रॉनिक कैलकुलेटर से उत्तर मिले, जहां आपने 7,000,000,000 जैसी लंबी संख्याएं टाइप कीं...

...क्या आपको वास्तव में परिमाण का क्रम, घातांक मिल गया है, ठीक है।

स्लाइड नियम और उनके मुद्रित समतुल्य, लॉग टेबल, ने आपको अपने दिमाग में परिमाण के आदेशों को प्रबंधित करने और फर्जी परिणामों को आसानी से स्वीकार न करने के बारे में बहुत कुछ सिखाया।

---

डौग  मैंने कभी इसका उपयोग नहीं किया है, लेकिन आपने अभी जो वर्णन किया है, उससे यह बहुत रोमांचक लगता है।

आइए उत्साह बरकरार रखें.

पिछले सप्ताह, फ़ायरफ़ॉक्स रिहा संस्करण 115:

पुराने विंडोज़ और मैक संस्करणों के उपयोगकर्ताओं के लिए फ़ायरफ़ॉक्स 115 रिलीज़ हो गया है

उनमें एक नोट शामिल है जिसे मैं पढ़ना चाहूंगा, और मैं उद्धृत कर रहा हूं:

जनवरी 2023 में, माइक्रोसॉफ्ट ने विंडोज 7 और विंडोज 8 के लिए समर्थन समाप्त कर दिया।

परिणामस्वरूप, यह फ़ायरफ़ॉक्स का अंतिम संस्करण है जो उन ऑपरेटिंग सिस्टम के उपयोगकर्ताओं को प्राप्त होगा।

और मुझे लगता है कि जब भी इनमें से कोई एक नोट अंतिम रिलीज के साथ जुड़ जाता है, तो लोग सामने आते हैं और कहते हैं, "मैं विंडोज 7 का उपयोग क्यों जारी नहीं रख सकता?"

हमारे पास एक टिप्पणीकार भी था जो कह रहा था कि विंडोज़ एक्सपी बिल्कुल ठीक है।

तो आप इन लोगों से क्या कहेंगे, पॉल, जो ऑपरेटिंग सिस्टम संस्करणों से आगे नहीं बढ़ना चाहते जो उन्हें पसंद हैं?

---

बत्तख।  डौग, मेरे लिए इसे कहने का सबसे अच्छा तरीका यह है कि मैं हमारे लेख पर बेहतर जानकार टिप्पणीकारों द्वारा कही गई बातों को दोबारा पढ़ूं।

एलेक्स फेयर लिखते हैं:

यह सिर्फ इस बारे में नहीं है कि *आप* क्या चाहते हैं, बल्कि इस बारे में भी है कि कैसे आपका उपयोग और शोषण किया जा सकता है और बदले में दूसरों को नुकसान पहुँचाया जा सकता है।

और पॉल रॉक्स ने व्यंग्यपूर्वक कहा:

लोग अभी भी Windows 7, या XP क्यों चला रहे हैं?

यदि कारण यह है कि नए ऑपरेटिंग सिस्टम ख़राब हैं, तो Windows 2000 का उपयोग क्यों न करें?

हेक, एनटी 4 इतना अद्भुत था कि इसे छह सर्विस पैक प्राप्त हुए!

---

डौग  [हँसते हैं] हालाँकि 2000 *बहुत बढ़िया* था।

---

बत्तख।  यह सब तुम्हारे बस की बात नहीं है।

यह इस तथ्य के बारे में है कि आपके सिस्टम में बग शामिल हैं, बदमाश पहले से ही जानते हैं कि कैसे शोषण करना है, जिसे कभी भी ठीक नहीं किया जाएगा।

तो उत्तर यह है कि कभी-कभी आपको बस जाने देना होता है, डौग।

---

डौग  जैसा कि वे कहते हैं, "कभी प्यार न करने से बेहतर है कि प्यार किया जाए और खो दिया जाए।"

आइए माइक्रोसॉफ्ट के विषय पर बने रहें।

पैच मंगलवार, पॉल, उदारता से देता है।

माइक्रोसॉफ्ट ने चार शून्य-दिनों का पैच लगाया, अंततः क्राइमवेयर कर्नेल ड्राइवरों के खिलाफ कार्रवाई की

---

बत्तख।  हाँ, सामान्यतः बड़ी संख्या में बग ठीक कर दिए गए हैं।

इसमें से बड़ी खबर, वह सामग्री जो आपको याद रखने की आवश्यकता है (और दो लेख हैं जिन्हें आप याद रख सकते हैं go और परामर्श करना यदि आप रक्तरंजित विवरण जानना चाहते हैं तो news.sophos.com पर)…

एक मुद्दा यह है कि इनमें से चार कीड़े जंगली, शून्य-दिन, पहले से ही शोषण किए जा रहे छिद्रों में हैं।

उनमें से दो सुरक्षा बाईपास हैं, और यह सुनने में जितना मामूली लगता है, वे स्पष्ट रूप से यूआरएल पर क्लिक करने या ईमेल में सामग्री खोलने से संबंधित हैं, जहां आपको आम तौर पर एक चेतावनी मिलेगी, "क्या आप वाकई वाकई ऐसा करना चाहते हैं?"

जो अन्यथा बहुत से लोगों को अवांछित गलती करने से रोक सकता है।

और दो एलिवेशन-ऑफ-प्रिविलेज (ईओपी) छेद तय किए गए हैं।

और यद्यपि विशेषाधिकार की ऊंचाई को आम तौर पर रिमोट कोड निष्पादन से कमतर देखा जाता है, जहां बदमाश पहली बार में सेंध लगाने के लिए बग का उपयोग करते हैं, ईओपी के साथ समस्या उन बदमाशों से संबंधित है जो पहले से ही आपके नेटवर्क में "इरादे से घूम रहे हैं" .

ऐसा लगता है मानो वे खुद को होटल की लॉबी में एक मेहमान से एक सुपर-गुप्त, मूक चोर में अपग्रेड करने में सक्षम हैं, जो अचानक और जादुई रूप से होटल के सभी कमरों तक पहुंच प्राप्त कर लेता है।

तो ये निश्चित रूप से देखने लायक हैं।

और एक विशेष Microsoft सुरक्षा सलाह है...

...खैर, उनमें से कई हैं; जिस पर मैं आपका ध्यान आकर्षित करना चाहता हूं वह ADV23001 है, जो मूल रूप से माइक्रोसॉफ्ट कह रहा है, "अरे, याद रखें जब सोफोस शोधकर्ताओं ने हमें रिपोर्ट किया था कि उन्हें हस्ताक्षरित कर्नेल ड्राइवरों के साथ रूटकिटरी का एक पूरा लोड चल रहा था जो कि समकालीन विंडोज भी करेगा लोड करें क्योंकि उन्हें उपयोग के लिए अनुमोदित किया गया था?"

मुझे लगता है कि अंत में 100 से अधिक ऐसे हस्ताक्षरित ड्राइवर थे।

इस एडवाइजरी में बड़ी खबर यह है कि इतने महीनों के बाद, माइक्रोसॉफ्ट ने आखिरकार कहा है, "ठीक है, हम उन ड्राइवरों को लोड होने से रोकेंगे और उन्हें स्वचालित रूप से ब्लॉक करना शुरू करेंगे।"

[विडंबना] जो मुझे लगता है कि वास्तव में उनमें से काफी बड़ा है, जबकि उनमें से कम से कम कुछ ड्राइवरों को वास्तव में उनके हार्डवेयर गुणवत्ता कार्यक्रम के हिस्से के रूप में माइक्रोसॉफ्ट द्वारा हस्ताक्षरित किया गया था। [हंसते हुए]

यदि आप कहानी के पीछे की कहानी जानना चाहते हैं, जैसा कि मैंने कहा, तो बस news.sophos.com पर जाएं और "खोजें"ड्राइवरों".

माइक्रोसॉफ्ट ने पैच ट्यूज़डे कलिंग में दुर्भावनापूर्ण ड्राइवर्स को रद्द कर दिया

---

डौग  बहुत बढ़िया.

ठीक है, यह अगली कहानी... मैं कई कारणों से इस शीर्षक में दिलचस्पी ले रहा हूँ: रोहैमर आपके कंप्यूटर को गैसलाइट करने के लिए वापस आता है.

गंभीर सुरक्षा: रोहैमर आपके कंप्यूटर को गैसलाइट करने के लिए वापस आता है

पॉल, मुझे इसके बारे में बताओ...

[पीटर गेब्रियल के "स्लेजहैमर" की धुन पर] मुझे इसके बारे में बताएं...

---

दोनों को।  [गायन] रोहैमर!

---

डौग  [हँसते हैं] बहुत बढ़िया!

---

बत्तख।  जाओ, अब तुम्हें रिफ़ करना है।

---

डौग  [एक सिंथेसाइज़र का संश्लेषण] डूडली-डू दा डू, डू डू डू।

---

बत्तख।  [प्रभावित] बहुत अच्छा, डौग!

---

डौग  धन्यवाद।

---

बत्तख।  जो लोग इसे अतीत से याद नहीं रखते हैं: "रोहैमर" एक शब्दजाल नाम है जो हमें याद दिलाता है कि कैपेसिटर, जहां मेमोरी के बिट्स (एक और शून्य) आधुनिक डीआरएएम या गतिशील रैंडम एक्सेस मेमोरी चिप्स में संग्रहीत होते हैं, बहुत करीब होते हैं साथ में…

जब आप उनमें से किसी एक को लिखते हैं (आपको वास्तव में एक समय में पंक्तियों में कैपेसिटर को पढ़ना और लिखना होता है, इस प्रकार "रोहैमर"), जब आप ऐसा करते हैं, क्योंकि आपने पंक्ति पढ़ ली है, तो आपने कैपेसिटर को डिस्चार्ज कर दिया है।

भले ही आपने केवल स्मृति को देखा हो, आपको पुरानी सामग्री को वापस लिखना होगा, अन्यथा वे हमेशा के लिए खो जाएंगे।

जब आप ऐसा करते हैं, क्योंकि वे कैपेसिटर बहुत छोटे होते हैं और एक-दूसरे के बहुत करीब होते हैं, तो इस बात की बहुत कम संभावना होती है कि एक या दोनों पड़ोसी पंक्तियों के कैपेसिटर अपना मूल्य बदल सकते हैं।

अब, इसे DRAM कहा जाता है क्योंकि यह स्थिर रैम या फ्लैश मेमोरी की तरह अनिश्चित काल तक अपना चार्ज नहीं रखता है (फ्लैश मेमोरी के साथ आप बिजली बंद भी कर सकते हैं और यह याद रखेगा कि वहां क्या था)।

लेकिन DRAM के साथ, लगभग एक सेकंड के दसवें हिस्से के बाद, मूल रूप से, उन सभी छोटे कैपेसिटर में चार्ज समाप्त हो जाएगा।

इसलिए उन्हें हर समय पुनर्लेखन की आवश्यकता होती है।

और यदि आप सुपर-फास्ट को फिर से लिखते हैं, तो आप वास्तव में फ़्लिप करने के लिए पास की मेमोरी में बिट्स प्राप्त कर सकते हैं।

ऐतिहासिक रूप से, इसके समस्या होने का कारण यह है कि यदि आप मेमोरी संरेखण के साथ खेल सकते हैं, भले ही आप यह अनुमान नहीं लगा सकते कि कौन से बिट फ्लिप होने वाले हैं, तो आप *मेमोरी इंडेक्स, पेज टेबल जैसी चीजों के साथ गड़बड़ करने में सक्षम* हो सकते हैं। या कर्नेल के अंदर डेटा।

भले ही आप जो कुछ भी कर रहे हैं वह मेमोरी से पढ़ रहा है क्योंकि आपके पास कर्नेल के बाहर उस मेमोरी तक विशेषाधिकार रहित पहुंच है।

और आज तक रोहैमर हमलों का ध्यान इसी पर केन्द्रित रहा है।

अब, डेविस में कैलिफोर्निया विश्वविद्यालय के इन शोधकर्ताओं ने जो किया वह यह है कि उन्होंने यह पता लगाया, "ठीक है, मुझे आश्चर्य है कि क्या बिट-फ्लिप पैटर्न, जैसे कि वे छद्म यादृच्छिक हैं, चिप्स के विभिन्न विक्रेताओं के लिए सुसंगत हैं?"

जो सुनने में कुछ-कुछ "सुपरकुकी" जैसा लगता है, है ना?

कुछ ऐसा जो अगली बार आपके कंप्यूटर की पहचान करेगा।

और वास्तव में, शोधकर्ता और भी आगे बढ़ गए और पाया कि व्यक्तिगत चिप्स... या मेमोरी मॉड्यूल (उनमें आमतौर पर कई डीआरएएम चिप्स होते हैं), डीआईएमएम, डबल इनलाइन मेमोरी मॉड्यूल जिन्हें आप उदाहरण के लिए, अपने डेस्कटॉप कंप्यूटर में स्लॉट में क्लिप कर सकते हैं, और कुछ लैपटॉप में.

उन्होंने पाया कि, वास्तव में, बिट-फ़्लिप पैटर्न को एक प्रकार के आईरिस स्कैन या उसके जैसा कुछ में परिवर्तित किया जा सकता है, ताकि वे बाद में फिर से रोहैमरिंग हमला करके डीआईएमएम को पहचान सकें।

दूसरे शब्दों में, आप अपने ब्राउज़र कुकीज़ साफ़ कर सकते हैं, आप अपने द्वारा इंस्टॉल किए गए एप्लिकेशन की सूची बदल सकते हैं, आप अपना उपयोगकर्ता नाम बदल सकते हैं, आप एक नया ऑपरेटिंग सिस्टम फिर से इंस्टॉल कर सकते हैं, लेकिन मेमोरी चिप्स, सिद्धांत रूप में, आपको देंगे दूर।

और इस मामले में, विचार यह है: सुपरकूक.

बहुत रोचक और पढ़ने लायक।

---

डौग  यह अच्छा है!

समाचार लिखने के बारे में एक और बात, पॉल: आप एक अच्छे समाचार लेखक हैं, और आपका विचार पाठक को तुरंत आकर्षित करना है।

तो, इस अगले लेख के पहले वाक्य में आप कहते हैं: "भले ही आपने आदरणीय घोस्टस्क्रिप्ट परियोजना के बारे में नहीं सुना हो, हो सकता है कि आपने बिना जाने इसका उपयोग किया हो।"

मैं उत्सुक हूं, क्योंकि शीर्षक है: घोस्टस्क्रिप्ट बग दुष्ट दस्तावेज़ों को सिस्टम कमांड चलाने की अनुमति दे सकता है.

घोस्टस्क्रिप्ट बग दुष्ट दस्तावेज़ों को सिस्टम कमांड चलाने की अनुमति दे सकता है

मुझे और बताएँ!

---

बत्तख।  खैर, घोस्टस्क्रिप्ट एडोब की पोस्टस्क्रिप्ट और पीडीएफ भाषाओं का एक स्वतंत्र और खुला स्रोत कार्यान्वयन है।

(यदि आपने पोस्टस्क्रिप्ट के बारे में नहीं सुना है, तो पीडीएफ एक तरह से "पोस्टस्क्रिप्ट नेक्स्ट जेनरेशन" है।)

यह वर्णन करने का एक तरीका है कि डिवाइस को बताए बिना कि कौन सा पिक्सेल चालू करना है, एक मुद्रित पृष्ठ या कंप्यूटर स्क्रीन पर एक पृष्ठ कैसे बनाया जाए।

तो आप कहते हैं, “यहां वर्ग बनाएं; यहां त्रिभुज बनाएं; इस सुंदर फ़ॉन्ट का उपयोग करें।"

यह अपने आप में एक प्रोग्रामिंग भाषा है जो आपको प्रिंटर और स्क्रीन जैसी चीज़ों का डिवाइस-स्वतंत्र नियंत्रण प्रदान करती है।

और घोस्टस्क्रिप्ट, जैसा कि मैंने कहा, ऐसा करने के लिए एक स्वतंत्र और खुला स्रोत उपकरण है।

और ऐसे कई अन्य ओपन सोर्स उत्पाद हैं जो ईपीएस (एनकैप्सुलेटेड पोस्टस्क्रिप्ट) फ़ाइलों जैसी चीज़ों को आयात करने के तरीके के रूप में इस टूल का उपयोग करते हैं, जैसे कि आप किसी डिज़ाइन कंपनी से प्राप्त कर सकते हैं।

तो हो सकता है कि आपको बिना इसका एहसास हुए घोस्टस्क्रिप्ट मिल जाए - यही मुख्य समस्या है।

और यह एक छोटा लेकिन वास्तव में कष्टप्रद बग था।

यह पता चला है कि एक दुष्ट दस्तावेज़ ऐसी बातें कह सकता है, "मैं कुछ आउटपुट बनाना चाहता हूं, और मैं इसे फ़ाइल नाम XYZ में रखना चाहता हूं।"

लेकिन यदि आप फ़ाइल नाम की शुरुआत में, %pipe%, और *फिर* फ़ाइल नाम...

...वह फ़ाइल नाम चलाने के लिए एक कमांड का नाम बन जाता है जो घोस्टस्क्रिप्ट के आउटपुट को "पाइपलाइन" कहा जाता है।

यह एक बग के लिए एक लंबी कहानी की तरह लग सकता है, लेकिन इस कहानी का महत्वपूर्ण हिस्सा उस समस्या को ठीक करने के बाद है: “ओह, नहीं! यदि फ़ाइल नाम वर्णों से शुरू होता है तो हमें सावधान रहने की आवश्यकता है %pipe%, क्योंकि वास्तव में इसका मतलब यह है कि यह एक कमांड है, फ़ाइल नाम नहीं।"

यह खतरनाक हो सकता है, क्योंकि इससे रिमोट कोड निष्पादन हो सकता है।

इसलिए उन्होंने उस बग को ठीक किया और तब किसी को एहसास हुआ, "आप जानते हैं, बग अक्सर जोड़े में या समूहों में होते हैं।"

या तो कोड के एक ही बिट में कहीं और समान कोडिंग गलतियाँ, या मूल बग को ट्रिगर करने के एक से अधिक तरीके।

और तभी घोस्टस्क्रिप्ट स्क्रिप्ट टीम में से किसी को एहसास हुआ, “आप जानते हैं क्या, हम उन्हें भी टाइप करने देते हैं | [वर्टिकल बार, यानी "पाइप" कैरेक्टर] स्पेस-कमांड नाम भी, इसलिए हमें उसकी भी जांच करने की जरूरत है।'

तो एक पैच था, उसके बाद एक पैच-टू-द-पैच।

और यह जरूरी नहीं कि प्रोग्रामिंग टीम की ओर से ख़राबी का संकेत हो।

यह वास्तव में एक संकेत है कि उन्होंने न्यूनतम मात्रा में काम नहीं किया, इस पर हस्ताक्षर कर दिए, और आपको दूसरे बग से पीड़ित होने और उसके जंगल में पाए जाने तक इंतजार करने के लिए छोड़ दिया।

---

डौग  और ऐसा न हो कि आपको लगे कि हमने बग के बारे में बात करना ख़त्म कर दिया है, लड़के, क्या हमारे पास आपके लिए एक डोज़ी है!

एक आपातकालीन Apple पैच उभरा, और फिर अप्रकाशित, और फिर Apple ने इस पर तरह-तरह की टिप्पणी की, जिसका अर्थ है कि ऊपर नीचे है और बाएँ दाएँ है, पॉल।

अति आवश्यक! Apple ने iPhones, iPads और Macs में महत्वपूर्ण शून्य-दिन की कमी को ठीक किया

---

बत्तख।  हां, यह थोड़ी सी त्रुटियों की कॉमेडी है।

मैं लगभग, लेकिन बिल्कुल नहीं, इस मामले में Apple के लिए खेद महसूस करता हूँ...

...लेकिन जितना संभव हो उतना कम कहने की उनकी जिद के कारण (जब वे कुछ भी नहीं कहते हैं), यह अभी भी स्पष्ट नहीं है कि गलती किसकी है।

लेकिन कहानी इस प्रकार है: “अरे नहीं! सफ़ारी में, वेबकिट में (ब्राउज़र इंजन जो आपके iPhone पर हर एक ब्राउज़र में और आपके मैक पर सफ़ारी में उपयोग किया जाता है) 0-दिन है, और बदमाश/स्पाइवेयर विक्रेता/कोई व्यक्ति स्पष्ट रूप से बड़ी बुराई के लिए इसका उपयोग कर रहा है।

दूसरे शब्दों में, "लुक-एंड-बी-पॉन्ड", या "ड्राइव-बाय इंस्टॉल", या "जीरो-क्लिक इन्फेक्शन", या जो भी आप इसे कॉल करना चाहते हैं।

तो, जैसा कि आप जानते हैं, Apple के पास अब यह रैपिड सिक्योरिटी रिस्पॉन्स सिस्टम है (कम से कम नवीनतम iOS, iPadOS और macOS के लिए) जहां उन्हें एक पूर्ण सिस्टम अपग्रेड बनाने की ज़रूरत नहीं है, एक बिल्कुल नए संस्करण संख्या के साथ जिसे आप कभी भी डाउनग्रेड नहीं कर सकते हैं से, हर बार 0-दिन होता है।

इस प्रकार, तीव्र सुरक्षा प्रतिक्रियाएँ।

ये वो चीज़ें हैं जो अगर काम नहीं करतीं तो आप उन्हें बाद में हटा भी सकते हैं.

दूसरी बात यह है कि वे आम तौर पर बहुत छोटे होते हैं।

महान!

समस्या यह है... ऐसा लगता है कि क्योंकि इन अद्यतनों को नया संस्करण नंबर नहीं मिलता है, Apple को यह दर्शाने का एक तरीका खोजना होगा कि आपने पहले ही रैपिड सिक्योरिटी रिस्पांस स्थापित कर लिया है।

तो वे क्या करते हैं कि आप अपना संस्करण नंबर लेते हैं, जैसे कि iOS 16.5.1, और वे इसके बाद एक स्पेस कैरेक्टर जोड़ते हैं और फिर (a).

और सड़क पर खबर यह है कि कुछ वेबसाइटें (मैं उनका नाम नहीं बताऊंगा क्योंकि यह सब अफवाह है)...

...जब वे जांच कर रहे थे User-Agent सफ़ारी में स्ट्रिंग, जिसमें शामिल है (a) केवल पूर्णता के लिए, गया: “वाह! क्या है? (a) एक संस्करण संख्या में कर रहे हो?"

तो, कुछ उपयोगकर्ता कुछ समस्याओं की रिपोर्ट कर रहे थे, और जाहिर तौर पर Apple भी खींच लिया अद्यतन।

Apple ने चुपचाप अपना नवीनतम जीरो-डे अपडेट वापस ले लिया - अब क्या?

और फिर, बहुत सारे भ्रम के बाद, और नग्न सुरक्षा पर एक और लेख, और किसी को भी नहीं पता था कि क्या हो रहा था... [हँसी]

...Apple ने अंततः HT21387 प्रकाशित किया, एक सुरक्षा बुलेटिन जिसे उन्होंने वास्तव में पैच तैयार होने से पहले तैयार किया था, जो वे आम तौर पर नहीं करते हैं।

लेकिन यह कुछ न कहने से भी बदतर था, क्योंकि उन्होंने कहा, "इस समस्या के कारण, त्वरित सुरक्षा प्रतिक्रिया (b) इस मुद्दे के समाधान के लिए जल्द ही उपलब्ध होगा।"

और बस। [हँसी]

वे यह नहीं बताते कि मामला क्या है।

वे यह नहीं कहते कि क्या यह नीचे है User-Agent स्ट्रिंग्स क्योंकि, यदि ऐसा है, तो शायद समस्या Apple की तुलना में दूसरी ओर की वेबसाइट के साथ अधिक है?

लेकिन एप्पल नहीं कह रहा है.

इसलिए हम नहीं जानते कि यह उनकी गलती है, वेब सर्वर की गलती है, या दोनों की गलती है।

और वे बस कहते हैं "जल्द ही", डौग।

---

डौग  यह हमारे पाठक प्रश्न लाने का एक अच्छा समय है।

इस एप्पल कहानी पर, पाठक जेपी पूछते हैं:

वेबसाइटों को आपके ब्राउज़र का इतना अधिक निरीक्षण करने की आवश्यकता क्यों है?

यह बहुत चालाक है और काम करने के पुराने तरीकों पर निर्भर करता है।

आप उससे क्या कहते हैं, पॉल?

---

बत्तख।  मैंने स्वयं इसी प्रश्न पर आश्चर्य व्यक्त किया और मैं खोजने लगा, “तुम्हें क्या करना चाहिए? User-Agent तार?”

ऐसा लगता है कि यह उन वेबसाइटों के लिए एक बारहमासी समस्या है जहां वे अति-चतुर बनने की कोशिश कर रहे हैं।

इसलिए मैं एमडीएन गया (जो पहले हुआ करता था, मुझे लगता है, मोज़िला डेवलपर नेटवर्क, लेकिन अब यह एक सामुदायिक साइट है), जो सबसे अच्छे संसाधनों में से एक है यदि आप सोचते हैं, “HTTP हेडर के बारे में क्या? HTML के बारे में क्या? जावास्क्रिप्ट के बारे में क्या? सीएसएस के बारे में क्या? यह सब एक साथ कैसे फिट बैठता है?”

और उनकी सलाह, बिल्कुल सरलता से, है, “कृपया, सब लोग, इसे देखना बंद करें User-Agent डोरी। आप बस अपनी पीठ के लिए छड़ी बना रहे हैं और बाकी सभी के लिए जटिलताओं का एक समूह बना रहे हैं।

तो साइटें क्यों देखते हैं? User-Agent?

[WRY] मुझे लगता है क्योंकि वे ऐसा कर सकते हैं। [हँसी]

जब आप एक वेबसाइट बना रहे हों, तो अपने आप से पूछें, "मैं कहीं स्ट्रिंग के कुछ अजीब बिट के आधार पर प्रतिक्रिया देने का एक अलग तरीका अपनाने के इस जाल में क्यों जा रहा हूँ?" User-Agent"?

कोशिश करें और उससे आगे सोचें, और हम सभी के लिए जीवन आसान हो जाएगा।

---

डौग  ठीक है, बहुत दार्शनिक!

जेपी, इसे भेजने के लिए धन्यवाद।

यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हमें इसे पॉडकास्ट पर पढ़ना अच्छा लगेगा।

आपtips@sophos.com पर ईमेल कर सकते हैं, हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या हमें सोशल: @nakedsecurity पर संपर्क कर सकते हैं।

आज के लिए यही हमारा शो है; सुनने के लिए बहुत बहुत धन्यवाद।

पॉल डकलिन के लिए, मैं डौग आमोथ हूं, जो आपको याद दिलाता है: अगली बार तक...

---

दोनों को।  सुरक्षित रहें!

[संगीत मोडेम]