പരസ്യം അടയ്ക്കുക
വാർത്ത

iOS 7.0.6, SSL അപ്ഡേറ്റ് വിശദാംശങ്ങൾ

ഡാനിയൽ ഹ്രുസ്ക
10

കുറച്ച് ദിവസങ്ങൾക്ക് മുമ്പ്, ആപ്പിൾ നൂറാമത് പുറത്തിറക്കി iOS 7.0.6 അപ്ഡേറ്റ്, ഞങ്ങൾ നിങ്ങളെ അറിയിച്ച റിലീസിനെ കുറിച്ച്. പഴയ iOS 6 (പതിപ്പ് 6.1.6), Apple TV (പതിപ്പ് 6.0.2) എന്നിവയ്‌ക്കും അപ്‌ഡേറ്റ് പുറത്തിറക്കിയതിൽ പലരും ആശ്ചര്യപ്പെട്ടിരിക്കാം. ഇതൊരു സുരക്ഷാ പാച്ചാണ്, അതിനാൽ ആപ്പിളിന് അതിൻ്റെ ഉപകരണങ്ങളുടെ ഒരു ഭാഗം മാത്രം അപ്‌ഡേറ്റ് ചെയ്യാൻ കഴിയില്ല. എന്തിനധികം, ഈ പ്രശ്നം OS X-നെയും ബാധിക്കുന്നു. ആപ്പിൾ വക്താവ് ട്രൂഡി മുള്ളർ പറയുന്നതനുസരിച്ച്, ഒരു OS X അപ്‌ഡേറ്റ് എത്രയും വേഗം പുറത്തിറങ്ങും.

എന്തുകൊണ്ടാണ് ഈ അപ്‌ഡേറ്റിന് ചുറ്റും ഇത്രയധികം ഹൈപ്പ് ഉള്ളത്? സിസ്റ്റത്തിൻ്റെ കോഡിലെ ഒരു പിഴവ്, ISO/OSI റഫറൻസ് മോഡലിൻ്റെ റിലേഷണൽ ലെയറിൽ സുരക്ഷിതമായ ട്രാൻസ്മിഷനിൽ സെർവർ പരിശോധനയെ മറികടക്കാൻ അനുവദിക്കുന്നു. പ്രത്യേകമായി, സെർവർ സർട്ടിഫിക്കറ്റ് പരിശോധന നടക്കുന്ന ഭാഗത്ത് ഒരു മോശം എസ്എസ്എൽ നടപ്പാക്കലാണ് പിഴവ്. കൂടുതൽ വിശദീകരണത്തിലേക്ക് പോകുന്നതിന് മുമ്പ്, അടിസ്ഥാന ആശയങ്ങൾ വിവരിക്കാൻ ഞാൻ ആഗ്രഹിക്കുന്നു.

SSL (Secure Socket Layer) സുരക്ഷിതമായ ആശയവിനിമയത്തിന് ഉപയോഗിക്കുന്ന ഒരു പ്രോട്ടോക്കോൾ ആണ്. ആശയവിനിമയം നടത്തുന്ന കക്ഷികളുടെ എൻക്രിപ്ഷനും പ്രാമാണീകരണവും വഴി ഇത് സുരക്ഷിതത്വം കൈവരിക്കുന്നു. അവതരിപ്പിച്ച ഐഡൻ്റിറ്റിയുടെ സ്ഥിരീകരണമാണ് പ്രാമാണീകരണം. യഥാർത്ഥ ജീവിതത്തിൽ, ഉദാഹരണത്തിന്, നിങ്ങൾ നിങ്ങളുടെ പേര് (ഐഡൻ്റിറ്റി) പറയുകയും നിങ്ങളുടെ ഐഡി കാണിക്കുകയും ചെയ്യുക, അതുവഴി മറ്റേയാൾക്ക് അത് സ്ഥിരീകരിക്കാനാകും (ആധികാരികമാക്കുക). പ്രാമാണീകരണം പിന്നീട് സ്ഥിരീകരണമായി വിഭജിക്കപ്പെടുന്നു, ഇത് ഒരു ദേശീയ ഐഡൻ്റിറ്റി കാർഡ് അല്ലെങ്കിൽ ഐഡൻ്റിഫിക്കേഷൻ ഉള്ള ഒരു ഉദാഹരണം മാത്രമാണ്, സംശയാസ്പദമായ വ്യക്തിക്ക് നിങ്ങളുടെ ഐഡൻ്റിറ്റി നിങ്ങൾ മുൻകൂട്ടി കാണിക്കാതെ തന്നെ നിർണ്ണയിക്കാൻ കഴിയുമ്പോൾ.

ഇപ്പോൾ ഞാൻ ചുരുക്കമായി സെർവർ സർട്ടിഫിക്കറ്റിലേക്ക് പോകും. യഥാർത്ഥ ജീവിതത്തിൽ, നിങ്ങളുടെ സർട്ടിഫിക്കറ്റ്, ഉദാഹരണത്തിന്, ഒരു ഐഡി കാർഡ് ആകാം. എല്ലാം അസിമട്രിക് ക്രിപ്റ്റോഗ്രഫിയെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്, അവിടെ ഓരോ വിഷയത്തിനും രണ്ട് കീകൾ ഉണ്ട് - സ്വകാര്യവും പൊതുവും. സന്ദേശം പബ്ലിക് കീ ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്യാനും പ്രൈവറ്റ് കീ ഉപയോഗിച്ച് ഡീക്രിപ്റ്റ് ചെയ്യാനും കഴിയും എന്നതാണ് മുഴുവൻ സൗന്ദര്യവും. സ്വകാര്യ കീയുടെ ഉടമയ്ക്ക് മാത്രമേ സന്ദേശം ഡീക്രിപ്റ്റ് ചെയ്യാൻ കഴിയൂ എന്നാണ് ഇതിനർത്ഥം. അതേസമയം, ആശയവിനിമയം നടത്തുന്ന രണ്ട് കക്ഷികൾക്കും രഹസ്യ താക്കോൽ കൈമാറുന്നതിനെക്കുറിച്ച് വിഷമിക്കേണ്ടതില്ല. സർട്ടിഫിക്കറ്റ്, വിഷയത്തിൻ്റെ പബ്ലിക് കീയാണ്, അതിൻ്റെ വിവരങ്ങളോടൊപ്പം സർട്ടിഫിക്കേഷൻ അതോറിറ്റി ഒപ്പിട്ടു. ചെക്ക് റിപ്പബ്ലിക്കിൽ, സർട്ടിഫിക്കേഷൻ അധികാരികളിൽ ഒന്ന്, ഉദാഹരണത്തിന്, Česká Pošta. സർട്ടിഫിക്കറ്റിന് നന്ദി, തന്നിരിക്കുന്ന സെർവറുമായി അത് ശരിക്കും ആശയവിനിമയം നടത്തുന്നുണ്ടെന്ന് iPhone-ന് പരിശോധിക്കാൻ കഴിയും.

ഒരു കണക്ഷൻ സ്ഥാപിക്കുമ്പോൾ എസ്എസ്എൽ അസമമായ എൻക്രിപ്ഷൻ ഉപയോഗിക്കുന്നു, വിളിക്കപ്പെടുന്നവ SSL ഹാൻഡ്‌ഷേക്ക്. ഈ ഘട്ടത്തിൽ, നൽകിയിരിക്കുന്ന സെർവറുമായി ആശയവിനിമയം നടത്തുന്നുണ്ടെന്ന് നിങ്ങളുടെ iPhone സ്ഥിരീകരിക്കുന്നു, അതേ സമയം, അസമമായ എൻക്രിപ്ഷൻ്റെ സഹായത്തോടെ, ഒരു സമമിതി കീ സ്ഥാപിച്ചു, അത് തുടർന്നുള്ള എല്ലാ ആശയവിനിമയങ്ങൾക്കും ഉപയോഗിക്കും. സമമിതി എൻക്രിപ്ഷൻ വേഗതയുള്ളതാണ്. ഇതിനകം എഴുതിയതുപോലെ, സെർവർ പരിശോധനയ്ക്കിടെ പിശക് ഇതിനകം സംഭവിക്കുന്നു. ഈ സിസ്റ്റം കേടുപാടുകൾ വരുത്തുന്ന കോഡ് നോക്കാം.

static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa,
SSLBuffer signedParams, uint8_t *signature, UInt16 signatureLen)

{
   OSStatus err;
   …

   if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
       goto fail;
   if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
       goto fail;
       goto fail;
   if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
       goto fail;
   …

fail:
   SSLFreeBuffer(&signedHashes);
   SSLFreeBuffer(&hashCtx);
   return err;
}

രണ്ടാമത്തെ അവസ്ഥയിൽ if നിങ്ങൾക്ക് താഴെ രണ്ട് കമാൻഡുകൾ കാണാം പരാജയപ്പെട്ടു;. അതാണു തടസ്സം. ഈ കോഡ് പിന്നീട് സർട്ടിഫിക്കറ്റ് പരിശോധിക്കേണ്ട ഘട്ടത്തിൽ രണ്ടാമത്തെ കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യാൻ കാരണമാകുന്നു പരാജയപ്പെട്ടു;. ഇത് മൂന്നാമത്തെ വ്യവസ്ഥ ഒഴിവാക്കുന്നതിന് കാരണമാകുന്നു if കൂടാതെ സെർവർ പരിശോധനയും ഉണ്ടാകില്ല.

ഈ അപകടസാധ്യതയെക്കുറിച്ച് അറിവുള്ള ആർക്കും നിങ്ങളുടെ ഐഫോണിന് വ്യാജ സർട്ടിഫിക്കറ്റ് നൽകാമെന്നതാണ് സൂചനകൾ. നിങ്ങൾ അല്ലെങ്കിൽ നിങ്ങളുടെ iPhone, നിങ്ങൾക്കും സെർവറിനുമിടയിൽ ഒരു ആക്രമണകാരി ഉള്ളപ്പോൾ, നിങ്ങൾ ആശയവിനിമയം നടത്തുന്നത് എൻക്രിപ്റ്റ് ചെയ്തിട്ടാണെന്ന് നിങ്ങൾ കരുതും. അത്തരമൊരു ആക്രമണത്തെ വിളിക്കുന്നു മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണം, ഇത് ഏകദേശം ചെക്കിലേക്ക് വിവർത്തനം ചെയ്യുന്നു മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണം അഥവാ കൂട്ടത്തിൽ മനുഷ്യൻ. OS X-ലും iOS-ലും ഈ പ്രത്യേക പിഴവ് ഉപയോഗിച്ചുള്ള ആക്രമണം, ആക്രമണകാരിയും ഇരയും ഒരേ നെറ്റ്‌വർക്കിലാണെങ്കിൽ മാത്രമേ നടപ്പിലാക്കാൻ കഴിയൂ. അതിനാൽ, നിങ്ങൾ iOS അപ്‌ഡേറ്റ് ചെയ്‌തിട്ടില്ലെങ്കിൽ പൊതു വൈഫൈ നെറ്റ്‌വർക്കുകൾ ഒഴിവാക്കുന്നതാണ് നല്ലത്. Mac ഉപയോക്താക്കൾ അവർ ഏത് നെറ്റ്‌വർക്കുകളിലേക്കാണ് കണക്റ്റുചെയ്യുന്നതെന്നും ആ നെറ്റ്‌വർക്കുകളിൽ അവർ സന്ദർശിക്കുന്ന സൈറ്റുകളെക്കുറിച്ചും ഇപ്പോഴും ശ്രദ്ധാലുവായിരിക്കണം.

ഇത്തരമൊരു മാരകമായ പിശക് OS X-ൻ്റെയും iOS-ൻ്റെയും അവസാന പതിപ്പുകളിലേക്ക് എങ്ങനെ കടന്നുവന്നുവെന്നത് വിശ്വാസത്തിന് അതീതമാണ്. മോശമായി എഴുതിയ കോഡിൻ്റെ പൊരുത്തക്കേടുള്ള പരിശോധനയായിരിക്കാം ഇത്. പ്രോഗ്രാമറും പരീക്ഷിക്കുന്നവരും തെറ്റുകൾ വരുത്തും എന്നാണ് ഇതിനർത്ഥം. ഇത് ആപ്പിളിന് അസംഭവ്യമായി തോന്നിയേക്കാം, അതിനാൽ ഈ ബഗ് യഥാർത്ഥത്തിൽ ഒരു പിൻവാതിൽ ആണെന്ന് ഊഹങ്ങൾ ഉയർന്നുവരുന്നു. പിൻ വാതിൽ. മികച്ച പിൻവാതിലുകൾ സൂക്ഷ്മമായ തെറ്റുകൾ പോലെയാണെന്ന് അവർ പറയുന്നത് വെറുതെയല്ല. എന്നിരുന്നാലും, ഇവ സ്ഥിരീകരിക്കാത്ത സിദ്ധാന്തങ്ങൾ മാത്രമാണ്, അതിനാൽ ആരെങ്കിലും ഒരു തെറ്റ് ചെയ്തുവെന്ന് ഞങ്ങൾ അനുമാനിക്കും.

നിങ്ങളുടെ സിസ്റ്റമോ ബ്രൗസറോ ഈ ബഗിൽ നിന്ന് മുക്തമാണോ എന്ന് നിങ്ങൾക്ക് ഉറപ്പില്ലെങ്കിൽ, പേജ് സന്ദർശിക്കുക gotofail.com. ചുവടെയുള്ള ചിത്രങ്ങളിൽ നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, OS X Mavericks 7.0.1-ലെ Safari 10.9.1-ൽ ഒരു ബഗ് അടങ്ങിയിരിക്കുന്നു, അതേസമയം iOS 7.0.6-ലെ Safari-ൽ എല്ലാം ശരിയാണ്.

ഉറവിടങ്ങൾ: കൂടുതൽ, റോയിറ്റേഴ്സ്
ഉറവിടം
ചർച്ച
വിഷയങ്ങൾ: , , , , , , , , ,

ബന്ധപ്പെട്ട



ഏറ്റവും കൂടുതൽ വായിച്ചത് ലേഖനങ്ങൾ

.