S3 Ep143: Supercookie سرویلنس شینیگنس

نیچے کوئی آڈیو پلیئر نہیں ہے؟ سنو براہ راست ساؤنڈ کلاؤڈ پر۔

ڈوگ  ایک ہنگامی ایپل پیچ، گیس لائٹنگ کمپیوٹر، اور میں ونڈوز 7 کا استعمال کیوں جاری نہیں رکھ سکتا؟

وہ سب کچھ، اور بہت کچھ، ننگی سیکیورٹی پوڈ کاسٹ پر۔

[میوزیکل موڈیم]

پوڈ کاسٹ میں خوش آمدید، سب۔

میں ڈوگ آموت ہوں؛ وہ پال ڈکلن ہے۔

پال، تم کیسے کرتے ہو؟

---

بطخ.  ٹھیک ہے، میں تھوڑا سا حیران ہوں، ڈوگ۔

آپ ونڈوز 7 استعمال کرتے رہنے کی ضرورت کے بارے میں بہت ڈرامائی تھے!

---

ڈوگ  ٹھیک ہے، بہت سے لوگوں کی طرح، میں بھی اس سے ناراض ہوں (مذاق!)، اور ہم اس کے بارے میں تھوڑی دیر میں بات کریں گے۔

لیکن سب سے پہلے، ایک بہت اہم ٹیک ہسٹری میں یہ ہفتہ طبقہ.

11 جولائی 1976 کو ریاضی کے حساب کے ایک عام ٹول کے لیے آخری ہانپنے کا نشان لگایا گیا۔

میں یقیناً سلائیڈ رول کا حوالہ دے رہا ہوں۔

تیار کیا گیا حتمی امریکی ماڈل، ایک Keuffel & Esser 4081-3، سمتھسونین انسٹی ٹیوشن کو پیش کیا گیا، جو کہ ریاضی کے دور کے اختتام کا نشان ہے…

…ایک ایسا دور جسے کمپیوٹرز اور کیلکولیٹروں نے متروک کر دیا جیسے کہ پال کا پسندیدہ، HP-35۔

تو، پال، مجھے یقین ہے کہ آپ کے ہاتھوں پر خون ہے، سر۔

---

بطخ.  میرے پاس کبھی بھی HP-35 کا مالک نہیں تھا۔

سب سے پہلے، میں بہت چھوٹا تھا، اور دوسرا، جب وہ اندر آئے تو ان میں سے ہر ایک $395 تھے۔

---

ڈوگ  واہ!

---

بطخ.  لہذا قیمتوں کو گرنے میں مزید دو سال لگے، جیسا کہ مور کا قانون نافذ ہوا۔

اور پھر لوگ سلائیڈ رولز کو مزید استعمال نہیں کرنا چاہتے تھے۔

میرے والد نے مجھے اپنی پرانی چیز دی، اور میں نے اس چیز کی قدر کی کیونکہ یہ بہت اچھا تھا…

…اور میں آپ کو بتاؤں گا کہ سلائیڈ کا اصول آپ کو کیا سکھاتا ہے، کیونکہ جب آپ اسے ضرب کے لیے استعمال کر رہے ہیں، تو آپ بنیادی طور پر ان دو نمبروں کو تبدیل کرتے ہیں جنہیں آپ 1 اور 10 کے درمیان ضرب کرنا چاہتے ہیں، اور پھر آپ ان کو ایک ساتھ ضرب دیتے ہیں۔

اور پھر آپ کو یہ جاننے کی ضرورت ہے کہ اعشاریہ کہاں جاتا ہے۔

اگر آپ ایک عدد کو 100 سے تقسیم کرتے ہیں اور دوسرے کو 1000 سے ضرب دیتے ہیں تاکہ انہیں رینج میں حاصل کیا جا سکے، تو مجموعی طور پر آپ کو آخر میں 10 سے ضرب کرنے کے لیے ایک صفر کا اضافہ کرنا ہوگا۔

تو یہ اپنے آپ کو سکھانے کا ایک لاجواب طریقہ تھا کہ آیا آپ کو اپنے الیکٹرانک کیلکولیٹر سے جوابات ملے ہیں، جہاں آپ نے 7,000,000,000 جیسی لمبی تعداد میں ٹائپ کیا ہے…

… چاہے آپ کو حقیقت میں شدت کا حکم ملا ہو، ظاہری، ٹھیک۔

سلائیڈ رولز اور ان کے پرنٹ شدہ مساوی، لاگ ٹیبلز نے آپ کو بہت کچھ سکھایا کہ کس طرح آپ کے دماغ میں بڑے پیمانے پر آرڈرز کا انتظام کرنا ہے، اور جعلی نتائج کو آسانی سے قبول نہیں کرنا ہے۔

---

ڈوگ  میں نے کبھی استعمال نہیں کیا، لیکن آپ نے جو بیان کیا ہے اس سے یہ بہت پرجوش لگتا ہے۔

آئیے جوش و خروش کو جاری رکھیں۔

پچھلے ہفتے، فائر فاکس جاری ورژن 115:

Firefox 115 ختم ہو گیا ہے، پرانے ونڈوز اور میک ورژن کے صارفین کو الوداع کہتے ہیں۔

ان میں ایک نوٹ شامل تھا جسے میں پڑھنا چاہوں گا، اور میں نے حوالہ دیا:

جنوری 2023 میں، مائیکروسافٹ نے ونڈوز 7 اور ونڈوز 8 کے لیے سپورٹ ختم کر دی۔

نتیجے کے طور پر، یہ فائر فاکس کا آخری ورژن ہے جو ان آپریٹنگ سسٹمز کے صارفین کو ملے گا۔

اور میں محسوس کرتا ہوں کہ جب بھی ان نوٹوں میں سے کوئی ایک حتمی ریلیز میں شامل ہوتا ہے، لوگ باہر آتے ہیں اور کہتے ہیں، "میں ونڈوز 7 کا استعمال جاری کیوں نہیں رکھ سکتا؟"

یہاں تک کہ ہمارے پاس ایک تبصرہ کرنے والا تھا کہ ونڈوز ایکس پی بالکل ٹھیک ہے۔

تو آپ ان لوگوں سے کیا کہیں گے، پال، جو آپریٹنگ سسٹم کے ان ورژنز سے آگے نہیں بڑھنا چاہتے جو وہ پسند کرتے ہیں؟

---

بطخ.  میرے لیے اسے ڈالنے کا بہترین طریقہ، ڈوگ، یہ ہے کہ میں اپنے مضمون پر بہتر باخبر تبصرہ نگاروں کے کہے ہوئے الفاظ کو پڑھوں۔

ایلکس فیئر لکھتے ہیں:

یہ صرف اس بارے میں نہیں ہے کہ آپ کیا چاہتے ہیں، بلکہ اس بارے میں ہے کہ آپ کو کس طرح استعمال اور استحصال کیا جا سکتا ہے، اور اس کے نتیجے میں دوسروں کو نقصان پہنچایا جا سکتا ہے۔

اور پال روکس نے طنزیہ انداز میں کہا:

لوگ اب بھی اس معاملے کے لیے ونڈوز 7، یا ایکس پی کیوں چلا رہے ہیں؟

اگر وجہ یہ ہے کہ نئے آپریٹنگ سسٹم خراب ہیں تو ونڈوز 2000 کیوں نہیں استعمال کرتے؟

ہیک، NT 4 اتنا زبردست تھا کہ اسے چھ سروس پیک ملے!

---

ڈوگ  اگرچہ، 2000 *بہت اچھا* تھا۔

---

بطخ.  یہ سب آپ کے بارے میں نہیں ہے۔

یہ اس حقیقت کے بارے میں ہے کہ آپ کے سسٹم میں کیڑے شامل ہیں، جو بدمعاش پہلے ہی جانتے ہیں کہ کس طرح استحصال کرنا ہے، جو کبھی نہیں، کبھی بھی پیچھا نہیں کرے گا۔

تو جواب یہ ہے کہ کبھی کبھی آپ کو بس جانے دینا پڑتا ہے، ڈوگ۔

---

ڈوگ  جیسا کہ وہ کہتے ہیں، "محبت کرنا اور کھو جانا اس سے بہتر ہے کہ کبھی پیار نہ کیا جائے۔"

آئیے مائیکروسافٹ کے موضوع پر رہیں۔

پیچ منگل، پال، فراخدلی سے دیتا ہے۔

مائیکروسافٹ نے چار صفر دنوں میں پیچ کیا، آخر کار کرائم ویئر کرنل ڈرائیوروں کے خلاف کارروائی کی۔

---

بطخ.  جی ہاں، معمول کی بڑی تعداد میں کیڑے ٹھیک ہو گئے۔

اس میں سے بڑی خبر، وہ چیزیں جو آپ کو یاد رکھنے کی ضرورت ہے (اور دو مضامین ہیں جو آپ کر سکتے ہیں۔ go اور مشورہ اگر آپ دلکش تفصیلات جاننا چاہتے ہیں تو news.sophos.com پر)…

ایک مسئلہ یہ ہے کہ ان میں سے چار کیڑے جنگلی، صفر دن، پہلے سے استحصال شدہ سوراخوں میں ہیں۔

ان میں سے دو سیکیورٹی بائی پاس ہیں، اور جتنا معمولی لگتا ہے، وہ بظاہر یو آر ایل پر کلک کرنے یا ای میلز میں چیزیں کھولنے سے متعلق ہیں جہاں آپ کو عام طور پر ایک انتباہ ملتا ہے کہ، "کیا آپ واقعی یہ کرنا چاہتے ہیں؟"

جو بصورت دیگر کچھ لوگوں کو ناپسندیدہ غلطی کرنے سے روک سکتا ہے۔

اور یہاں دو ایلیویشن آف پرائیولج (EoP) سوراخ طے کیے گئے ہیں۔

اور اگرچہ ایلیویشن آف پریویلج کو عام طور پر ریموٹ کوڈ ایگزیکیوشن سے کم سمجھا جاتا ہے، جہاں بدمعاش سب سے پہلے بگ کو توڑنے کے لیے استعمال کرتے ہیں، EoP کے ساتھ مسئلہ ان بدمعاشوں کے ساتھ ہے جو آپ کے نیٹ ورک میں پہلے ہی "ارادے کے ساتھ لوٹ رہے ہیں"۔ .

ایسا لگتا ہے کہ وہ اپنے آپ کو ہوٹل کی لابی میں مہمان بننے سے ایک انتہائی خفیہ، خاموش چور میں اپ گریڈ کرنے کے قابل ہیں جو اچانک اور جادوئی طور پر ہوٹل کے تمام کمروں تک رسائی حاصل کر لیتا ہے۔

تو وہ یقینی طور پر دیکھنے کے قابل ہیں۔

اور ایک خاص مائیکرو سافٹ سیکیورٹی ایڈوائزری ہے…

…اچھا، ان میں سے کئی ہیں؛ جس کی طرف میں آپ کی توجہ مبذول کروانا چاہتا ہوں وہ ہے ADV23001، جو بنیادی طور پر مائیکروسافٹ کہہ رہا ہے، "ارے، یاد رکھیں جب سوفوس کے محققین نے ہمیں اطلاع دی تھی کہ انہوں نے دستخط شدہ کرنل ڈرائیوروں کے ساتھ روٹ کٹری کا ایک پورا بوجھ پایا ہے جو کہ عصری ونڈوز بھی صرف لوڈ کیونکہ وہ استعمال کے لیے منظور شدہ تھے؟

میرے خیال میں آخر میں ایسے 100 سے زیادہ دستخط شدہ ڈرائیور تھے۔

اس ایڈوائزری میں بڑی خبر یہ ہے کہ ان تمام مہینوں کے بعد، مائیکروسافٹ نے آخر کار کہا ہے، "ٹھیک ہے، ہم ان ڈرائیوروں کو لوڈ ہونے سے روکیں گے اور انہیں خود بخود بلاک کرنا شروع کر دیں گے۔"

مجھے لگتا ہے کہ ان میں سے بہت بڑا ہے، واقعی، جب کم از کم ان ڈرائیوروں میں سے کچھ پر خود مائیکرو سافٹ نے اپنے ہارڈ ویئر کوالٹی پروگرام کے حصے کے طور پر دستخط کیے تھے۔ [ہنسی]

اگر آپ کہانی کے پیچھے کی کہانی تلاش کرنا چاہتے ہیں، جیسا کہ میں نے کہا، صرف news.sophos.com پر جائیں اور تلاش کریں “ڈرائیور".

مائیکروسافٹ نے پیچ منگل کلنگ میں بدنیتی پر مبنی ڈرائیوروں کو منسوخ کردیا۔

---

ڈوگ  بہترین.

ٹھیک ہے، یہ اگلی کہانی… میں بہت ساری وجوہات کی بنا پر اس سرخی سے متجسس ہوں: Rowhammer آپ کے کمپیوٹر کو گیس لائٹ پر واپس کرتا ہے۔.

سنجیدہ سیکیورٹی: روہمر آپ کے کمپیوٹر کو گیس لائٹ پر واپس لے جاتا ہے۔

پال، مجھے اس کے بارے میں بتائیں…

[پیٹر گیبریل کے "سلیج ہیمر" کی دھن پر] مجھے اس کے بارے میں بتائیں…

---

دونوں  روہمر!

---

ڈوگ  اسے کیلوں سے لگایا!

---

بطخ.  چلو، اب آپ کو رِف کرنا ہے۔

---

ڈوگ  ڈوڈلی ڈو دا ڈو، ڈو ڈو ڈو۔

---

بطخ.  بہت اچھا، ڈوگ!

---

ڈوگ  آپ کا شکریہ.

---

بطخ.  جو لوگ اسے ماضی سے یاد نہیں رکھتے ہیں: "روہمر" ایک لفظی نام ہے جو ہمیں یاد دلاتا ہے کہ کیپسیٹرز، جہاں میموری کے بٹس (ایک اور زیرو) جدید DRAM، یا متحرک بے ترتیب رسائی میموری چپس میں محفوظ ہوتے ہیں، بہت قریب ہوتے ہیں۔ ایک ساتھ…

جب آپ ان میں سے کسی کو لکھتے ہیں (دراصل آپ کو ایک وقت میں قطاروں میں کیپسیٹرز کو پڑھنا اور لکھنا ہوتا ہے، اس طرح "رو ہیمر")، جب آپ ایسا کرتے ہیں، کیونکہ آپ نے قطار پڑھ لی ہے، آپ نے کیپسیٹرز کو خارج کر دیا ہے۔

یہاں تک کہ اگر آپ نے جو کچھ کیا ہے وہ میموری پر نظر ڈالنا ہے، آپ کو پرانے مواد کو واپس لکھنا ہوگا، یا وہ ہمیشہ کے لیے کھو جائیں گے۔

جب آپ ایسا کرتے ہیں، کیونکہ وہ کیپسیٹرز بہت چھوٹے اور ایک دوسرے کے بہت قریب ہیں، اس بات کا بہت کم امکان ہے کہ ایک یا دونوں پڑوسی قطاروں میں موجود کیپسیٹرز اپنی قیمت کو پلٹ دیں۔

اب، اسے DRAM کہا جاتا ہے کیونکہ یہ اپنے چارج کو غیر معینہ مدت تک نہیں رکھتا، جیسے کہ جامد RAM یا فلیش میموری (فلیش میموری کے ساتھ آپ پاور آف بھی کر سکتے ہیں اور یہ یاد رکھے گا کہ وہاں کیا تھا)۔

لیکن DRAM کے ساتھ، ایک سیکنڈ کے تقریباً دسویں حصے کے بعد، بنیادی طور پر، ان تمام چھوٹے کیپسیٹرز کے چارجز ختم ہو جائیں گے۔

لہذا انہیں ہر وقت دوبارہ لکھنے کی ضرورت ہے۔

اور اگر آپ سپر فاسٹ کو دوبارہ لکھتے ہیں، تو آپ اصل میں پلٹنے کے لیے قریبی میموری میں بٹس حاصل کر سکتے ہیں۔

تاریخی طور پر، یہ مسئلہ ہونے کی وجہ یہ ہے کہ اگر آپ میموری الائنمنٹ کے ساتھ کھیل سکتے ہیں، اگرچہ آپ یہ اندازہ نہیں لگا سکتے کہ کون سے بٹس پلٹنے والے ہیں، آپ *ہوسکتے ہیں* میموری انڈیکس، پیج ٹیبلز، جیسی چیزوں کے ساتھ گڑبڑ کر سکتے ہیں۔ یا دانا کے اندر ڈیٹا۔

یہاں تک کہ اگر آپ جو کچھ کر رہے ہیں وہ میموری سے پڑھنا ہے کیونکہ آپ کو دانا کے باہر اس میموری تک غیر مراعات یافتہ رسائی حاصل ہے۔

اور یہ وہی ہے جس پر آج تک rowhammer حملوں نے توجہ مرکوز کی ہے۔

اب، ڈیوس کی یونیورسٹی آف کیلیفورنیا کے ان محققین نے کیا کیا کہ انہوں نے سوچا، "ٹھیک ہے، مجھے حیرت ہے کہ کیا بٹ فلپ پیٹرن، جیسا کہ وہ ہیں، چپس کے مختلف دکانداروں کے لیے مطابقت رکھتے ہیں؟"

"سپر کوکی" کی طرح کی آواز کون سی ہے، ہے نا؟

کوئی ایسی چیز جو اگلی بار آپ کے کمپیوٹر کی شناخت کرے۔

اور درحقیقت، محققین نے اس سے بھی آگے جا کر پایا کہ انفرادی چپس… یا میموری ماڈیول (ان میں عام طور پر کئی DRAM چپس ہوتے ہیں)، DIMMs، ڈبل ان لائن میموری ماڈیولز جنہیں آپ اپنے ڈیسک ٹاپ کمپیوٹر میں سلاٹ میں کلپ کر سکتے ہیں، مثال کے طور پر، اور کچھ لیپ ٹاپ میں.

انہوں نے پایا کہ، اصل میں، بٹ فلپ پیٹرن کو ایک طرح کے ایرس اسکین، یا اس طرح کی کسی چیز میں تبدیل کیا جاسکتا ہے، تاکہ وہ بعد میں دوبارہ روہیمرنگ اٹیک کرکے ڈی آئی ایم ایم کو پہچان سکیں۔

دوسرے لفظوں میں، آپ اپنے براؤزر کی کوکیز کو صاف کر سکتے ہیں، آپ انسٹال کردہ ایپلیکیشنز کی فہرست کو تبدیل کر سکتے ہیں، آپ اپنا صارف نام تبدیل کر سکتے ہیں، آپ بالکل نیا آپریٹنگ سسٹم دوبارہ انسٹال کر سکتے ہیں، لیکن نظریہ طور پر، میموری چپس آپ کو دے گی۔ دور

اور اس معاملے میں، خیال یہ ہے: سپر کوکیز.

بہت دلچسپ، اور پڑھنے کے قابل۔

---

ڈوگ  یہ ٹھنڈا ہے!

خبریں لکھنے کے بارے میں ایک اور بات، پال: آپ ایک اچھی خبر لکھنے والے ہیں، اور خیال یہ ہے کہ قاری کو فوراً جوڑ دیا جائے۔

لہذا، اس اگلے مضمون کے پہلے جملے میں آپ کہتے ہیں: "اگرچہ آپ نے قابل احترام گھوسٹ اسکرپٹ پروجیکٹ کے بارے میں نہیں سنا ہے، آپ نے اسے جانے بغیر استعمال کیا ہوگا۔"

میں حیران ہوں، کیونکہ سرخی یہ ہے: گھوسٹ اسکرپٹ بگ بدمعاش دستاویزات کو سسٹم کمانڈ چلانے کی اجازت دے سکتا ہے۔.

گھوسٹ اسکرپٹ بگ بدمعاش دستاویزات کو سسٹم کمانڈ چلانے کی اجازت دے سکتا ہے۔

مجھے اور بتاؤ!

---

بطخ.  ٹھیک ہے، گھوسٹ اسکرپٹ ایڈوب کی پوسٹ اسکرپٹ اور پی ڈی ایف زبانوں کا ایک مفت اور اوپن سورس نفاذ ہے۔

(اگر آپ نے پوسٹ اسکرپٹ کے بارے میں نہیں سنا ہے، ٹھیک ہے، پی ڈی ایف "پوسٹ اسکرپٹ نیکسٹ جنریشن" کی طرح ہے۔)

یہ بتانے کا ایک طریقہ ہے کہ پرنٹ شدہ صفحہ یا کمپیوٹر اسکرین پر صفحہ کیسے بنایا جائے، بغیر ڈیوائس کو یہ بتائے کہ کون سے پکسلز کو آن کرنا ہے۔

تو آپ کہتے ہیں، ''یہاں مربع کھینچو۔ یہاں مثلث کھینچیں؛ اس خوبصورت فونٹ کو استعمال کریں۔

یہ اپنے طور پر ایک پروگرامنگ لینگویج ہے جو آپ کو پرنٹرز اور اسکرین جیسی چیزوں پر آلہ سے آزاد کنٹرول فراہم کرتی ہے۔

اور گوسٹ اسکرپٹ، جیسا کہ میں نے کہا، ایسا کرنے کے لیے ایک مفت اور اوپن سورس ٹول ہے۔

اور بہت سے دوسرے اوپن سورس پروڈکٹس ہیں جو بالکل اس ٹول کو EPS (Encapsulated PostScript) فائلوں کو درآمد کرنے کے طریقے کے طور پر استعمال کرتے ہیں، جیسے کہ آپ کسی ڈیزائن کمپنی سے حاصل کر سکتے ہیں۔

لہذا آپ کو اس کا احساس کیے بغیر گھوسٹ اسکرپٹ ہو سکتا ہے - یہ کلیدی مسئلہ ہے۔

اور یہ ایک چھوٹا لیکن واقعی پریشان کن بگ تھا۔

اس سے پتہ چلتا ہے کہ ایک بدمعاش دستاویز ایسی چیزیں کہہ سکتا ہے، "میں کچھ آؤٹ پٹ بنانا چاہتا ہوں، اور میں اسے XYZ فائل نام میں رکھنا چاہتا ہوں۔"

لیکن اگر آپ فائل کے نام کے شروع میں ڈالتے ہیں، %pipe%، اور *پھر* فائل کا نام…

…وہ فائل نام چلانے کے لیے ایک کمانڈ کا نام بن جاتا ہے جو گھوسٹ اسکرپٹ کے آؤٹ پٹ پر کارروائی کرے گا جسے "پائپ لائن" کہا جاتا ہے۔

یہ کسی ایک مسئلے کے لیے ایک لمبی کہانی کی طرح لگ سکتا ہے، لیکن اس کہانی کا اہم حصہ یہ ہے کہ اس مسئلے کو حل کرنے کے بعد: "اوہ، نہیں! اگر فائل کا نام حروف سے شروع ہوتا ہے تو ہمیں محتاط رہنے کی ضرورت ہے۔ %pipe%کیونکہ اس کا اصل مطلب یہ ہے کہ یہ ایک کمانڈ ہے، فائل کا نام نہیں۔

یہ خطرناک ہوسکتا ہے، کیونکہ یہ ریموٹ کوڈ پر عمل درآمد کا سبب بن سکتا ہے۔

تو انہوں نے اس مسئلے کو ٹھیک کیا اور پھر کسی نے محسوس کیا، "آپ کو کیا معلوم، کیڑے اکثر جوڑوں میں یا گروہوں میں جاتے ہیں۔"

یا تو اسی طرح کے کوڈ میں کہیں اور کوڈنگ کی غلطیاں، یا اصل بگ کو متحرک کرنے کے ایک سے زیادہ طریقے۔

اور یہ تب ہے جب گھوسٹ اسکرپٹ ٹیم میں کسی نے محسوس کیا، "آپ کو کیا معلوم، ہم انہیں ٹائپ کرنے دیتے ہیں | [عمودی بار، یعنی "پائپ" کردار] اسپیس کمانڈ کا نام بھی، لہذا ہمیں اس کی بھی جانچ کرنی ہوگی۔"

تو ایک پیچ تھا، اس کے بعد ایک پیچ سے پیچ۔

اور یہ ضروری نہیں کہ پروگرامنگ ٹیم کی طرف سے برائی کی علامت ہو۔

یہ دراصل اس بات کی علامت ہے کہ انہوں نے صرف کم از کم کام نہیں کیا، اس پر دستخط کر دیں، اور آپ کو دوسرے مسئلے سے دوچار ہونے کے لیے چھوڑ دیں اور جب تک یہ جنگل میں نہ مل جائے انتظار کریں۔

---

ڈوگ  اور ایسا نہ ہو کہ آپ کو لگتا ہے کہ ہم نے کیڑے کے بارے میں بات کر لی ہے، لڑکے کیا ہمارے پاس آپ کے لیے کوئی ڈوزی ہے!

ایک ہنگامی ایپل پیچ ابھرتی ہوئی، اور پھر غیر ابھرا۔، اور پھر ایپل نے اس پر تبصرہ کیا، جس کا مطلب ہے کہ اوپر نیچے ہے اور بائیں دائیں ہیں، پال۔

فوری! ایپل نے آئی فونز، آئی پیڈز اور میکس میں صفر دن کے اہم سوراخ کو ٹھیک کیا۔

---

بطخ.  ہاں، یہ غلطیوں کی تھوڑی سی مزاح ہے۔

مجھے تقریباً، لیکن کافی نہیں، اس پر ایپل کے لیے افسوس ہے…

…لیکن جتنا ممکن ہو کم کہنے پر ان کے اصرار کی وجہ سے (جب وہ کچھ بھی نہیں کہتے ہیں)، یہ ابھی تک واضح نہیں ہے کہ یہ کس کی غلطی ہے۔

لیکن کہانی اس طرح ہے: "اوہ نہیں! سفاری میں، ویب کٹ میں 0 دن کا وقت ہوتا ہے (وہ براؤزر انجن جو آپ کے آئی فون پر ہر ایک براؤزر میں اور آپ کے میک پر سفاری میں استعمال ہوتا ہے)، اور بدمعاش/اسپائی ویئر فروش/بظاہر کوئی اسے بڑی برائی کے لیے استعمال کر رہا ہے۔

دوسرے لفظوں میں، "دیکھو اور دیکھو"، یا "ڈرائیو بائی انسٹال"، یا "زیرو-کلک انفیکشن"، یا جو بھی آپ اسے کہنا چاہتے ہیں۔

لہذا ایپل، جیسا کہ آپ جانتے ہیں، اب یہ ریپڈ سیکیورٹی رسپانس سسٹم ہے (کم از کم تازہ ترین iOS، iPadOS اور macOS کے لیے) جہاں انہیں مکمل سسٹم اپ گریڈ بنانے کی ضرورت نہیں ہے، ایک مکمل نئے ورژن نمبر کے ساتھ جسے آپ کبھی بھی ڈاؤن گریڈ نہیں کر سکتے۔ سے، ہر بار ایک 0 دن ہوتا ہے۔

اس طرح، تیزی سے سیکورٹی ردعمل.

یہ وہ چیزیں ہیں جو، اگر وہ کام نہیں کرتی ہیں، تو آپ انہیں بعد میں ہٹا سکتے ہیں۔

دوسری بات یہ ہے کہ وہ عام طور پر بہت چھوٹے ہوتے ہیں۔

زبردست!

مسئلہ یہ ہے کہ… ایسا لگتا ہے کہ چونکہ ان اپڈیٹس کو نیا ورژن نمبر نہیں ملتا ہے، اس لیے ایپل کو یہ بتانے کا ایک طریقہ تلاش کرنا پڑا کہ آپ نے پہلے سے ہی Rapid Security Response انسٹال کر رکھا ہے۔

تو وہ کیا کرتے ہیں کہ آپ اپنا ورژن نمبر لیں، جیسے کہ iOS 16.5.1، اور وہ اس کے بعد اسپیس کریکٹر کا اضافہ کرتے ہیں اور پھر (a).

اور سڑک پر لفظ یہ ہے کہ کچھ ویب سائٹس (میں ان کا نام نہیں لوں گا کیونکہ یہ سب سنی سنائی بات ہے)…

…جب وہ جانچ کر رہے تھے۔ User-Agent سفاری میں سٹرنگ، جس میں شامل ہے۔ (a) صرف مکمل ہونے کے لیے، چلا گیا: "واہ! کیا ہے (a) ایک ورژن نمبر میں کر رہے ہو؟"

لہذا، کچھ صارفین کچھ مسائل کی اطلاع دے رہے تھے، اور ایپل بظاہر نکالا اپ ڈیٹ.

ایپل خاموشی سے اپنی تازہ ترین صفر دن کی تازہ کاری کرتا ہے - اب کیا ہے؟

اور پھر، الجھنوں کے پورے بوجھ کے بعد، اور ایک اور مضمون نییکڈ سیکیورٹی پر، اور کوئی بھی نہیں جانتا تھا کہ کیا ہو رہا ہے... [ہنسی]

…ایپل نے آخر کار HT21387 شائع کیا، ایک سیکیورٹی بلیٹن جو انہوں نے اس سے پہلے پیش کیا کہ ان کے پاس پیچ تیار ہو، جو وہ عام طور پر نہیں کرتے۔

لیکن یہ کچھ نہ کہنے سے تقریباً بدتر تھا، کیونکہ انہوں نے کہا، "اس مسئلے کی وجہ سے، تیزی سے سیکیورٹی رسپانس (b) اس مسئلے کو حل کرنے کے لیے جلد دستیاب ہوں گے۔"

اور یہ بات ہے. [ہنسی]

وہ یہ نہیں بتاتے کہ مسئلہ کیا ہے۔

وہ یہ نہیں کہتے ہیں کہ آیا یہ نیچے ہے۔ User-Agent strings کیونکہ، اگر ایسا ہے تو، شاید ایپل کے ساتھ خود سے کام کرنے کے بجائے دوسرے سرے پر ویب سائٹ کے ساتھ مسئلہ زیادہ ہے؟

لیکن ایپل نہیں کہہ رہا ہے۔

لہذا ہم نہیں جانتے کہ یہ ان کی غلطی ہے، ویب سرور کی غلطی ہے، یا ان دونوں کا۔

اور وہ صرف "جلد" کہتے ہیں، ڈوگ۔

---

ڈوگ  ہمارے قارئین کے سوال کو سامنے لانے کا یہ اچھا وقت ہے۔

ایپل کی اس کہانی پر، ریڈر جے پی پوچھتا ہے:

ویب سائٹس کو آپ کے براؤزر کا اتنا معائنہ کرنے کی ضرورت کیوں ہے؟

یہ بہت جارحانہ ہے اور کام کرنے کے پرانے طریقوں پر انحصار کرتا ہے۔

تم اس سے کیا کہتے ہو پال؟

---

بطخ.  میں نے اپنے آپ سے اسی سوال پر حیرت کا اظہار کیا، اور میں تلاش کرنے لگا، "تمہیں کیا کرنا ہے۔ User-Agent تار؟"

ایسا لگتا ہے کہ یہ ان ویب سائٹس کے لیے ایک بارہماسی مسئلہ ہے جہاں وہ انتہائی ہوشیار بننے کی کوشش کر رہی ہیں۔

تو میں MDN گیا (جو ہوتا تھا، میرے خیال میں، موزیلا ڈویلپر نیٹ ورک، لیکن اب یہ ایک کمیونٹی سائٹ ہے)، جو کہ بہترین وسائل میں سے ایک ہے اگر آپ سوچتے ہیں، "HTTP ہیڈرز کے بارے میں کیا خیال ہے؟ HTML کے بارے میں کیا ہے؟ جاوا اسکرپٹ کے بارے میں کیا خیال ہے؟ سی ایس ایس کے بارے میں کیا خیال ہے؟ یہ سب ایک ساتھ کیسے فٹ بیٹھتا ہے؟"

اور ان کا مشورہ، بالکل سادگی سے، یہ ہے، "براہ کرم، ہر کوئی، دیکھنا چھوڑ دیں۔ User-Agent تار آپ صرف اپنی پیٹھ کے لیے چھڑی بنا رہے ہیں اور باقی سب کے لیے پیچیدگیوں کا ایک گروپ۔

تو سائٹس کیوں دیکھتے ہیں User-Agent?

[WRY] میرا اندازہ ہے کیونکہ وہ کر سکتے ہیں۔ [ہنسی]

جب آپ ایک ویب سائٹ بنا رہے ہیں، تو اپنے آپ سے پوچھیں، "میں اس خرگوش کے سوراخ سے نیچے کیوں جا رہا ہوں کہ میں کہیں کچھ عجیب و غریب تار کی بنیاد پر جواب دینے کا ایک مختلف طریقہ رکھتا ہوں۔ User-Agent؟ "

کوشش کریں اور اس سے آگے سوچیں، اور ہم سب کے لیے زندگی آسان ہو جائے گی۔

---

ڈوگ  ٹھیک ہے، بہت فلسفیانہ!

آپ کا شکریہ، جے پی، اسے بھیجنے کے لیے۔

اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم اسے پوڈ کاسٹ پر پڑھنا پسند کریں گے۔

آپ tips@sophos.com پر ای میل کر سکتے ہیں، ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں، یا ہمیں سوشل: @nakedsecurity پر مار سکتے ہیں۔

یہ آج کے لیے ہمارا شو ہے؛ سننے کے لیے بہت شکریہ

پال ڈکلن کے لیے، میں ڈوگ آموت ہوں، آپ کو یاد دلا رہا ہوں: اگلی بار تک…

---

دونوں  محفوظ رہو!

[میوزیکل موڈیم]