जब आप इंटरनेट पर बात करते हैं, तो आपको उस भाषा पर सहमत होना चाहिए जिसके साथ संवाद करना है। अगर आप निजी तौर पर बात करना चाहते हैं तो क्या होगा? खैर, इसके लिए एन्क्रिप्शन है। लेकिन किसी अन्य प्रकार के संचार की तरह, आपको एन्क्रिप्शन का एक रूप भी होना चाहिए जिसे आप पारस्परिक रूप से इस्तेमाल कर सकते हैं जिसके साथ आप बात कर रहे हैं। चूंकि सभी ब्राउज़र एक ही एल्गोरिदम का उपयोग नहीं करते हैं, इसलिए सर्वर को कभी-कभी एल्गोरिदम के साथ संगतता बरकरार रखना पड़ता है जो काफी खतरनाक हो सकता है। Google ने हाल ही में एक शोषण की खोज की है कि इस समय दुनिया भर के लाखों ब्राउज़र प्रभावित हो सकते हैं जो इस तरह के एल्गोरिदम का उपयोग करते हैं, और हम इसके बारे में बात करने जा रहे हैं!

क्या हुआ?

याद रखें कि लगभग हर तकनीकी वेबसाइट में दिल की धड़कन वाली बग की सूचना दी जा रही है? यदि आप टेक्स्ट की पूरी दीवार नहीं पढ़ना चाहते हैं तो यहां रन-डाउन है: ओपनएसएसएल (दुनिया भर की कई वेबसाइटों द्वारा उपयोग की जाने वाली एन्क्रिप्शन एल्गोरिदम लाइब्रेरी) में एक छेद था। अधिकांश मध्यम और बड़ी वेबसाइटों ने इसे OpenSSL को अपग्रेड करके सफलतापूर्वक प्लग किया। जब तक कुछ और नहीं हुआ तब तक यह सब किया और धूल लगाया गया।

इस बार, जिसे पुडल शोषण के रूप में जाना जाता है, एक बार फिर से सिक्योर सॉकेट लेयर (एसएसएल) को परेशान कर रहा है, यद्यपि इसका एक अलग संस्करण पूरी तरह से है। एसएसएल 3.0 में एक गंभीर बग है जो हैकर को HTTP प्रोटोकॉल पर भेजे गए कुकीज़ को आसानी से डिक्रिप्ट करने की अनुमति देता है। इससे उन्हें आपके लॉगिन सत्र से संबंधित व्यक्तिगत जानकारी दिखाई देगी और उन्हें आपको प्रतिरूपण करने की अनुमति भी मिल जाएगी।

समाधान

एसएसएल 3.0 बहुत पुरानी क्रिप्टोग्राफी है, उस समय से डेटिंग जब माईस्पेस अभी भी एक सोशल मीडिया वेबसाइट के रूप में कर्षण प्राप्त कर रहा था। वास्तव में, शब्द "सोशल मीडिया" तब भी बहुत लोकप्रिय नहीं था। आज के कई सहस्राब्दी या तो अपने किशोरावस्था में प्रवेश कर रहे थे या फिर भी पांचवीं कक्षा में अवकाश में गंदगी में खेल रहे थे। यह कितना पुराना है, और सर्वर अभी भी इसका उपयोग कर रहे हैं!

तब से कुछ प्रमुख सुधार किए गए हैं, जैसे परिवहन परत सुरक्षा (टीएलएस)। यह नया क्रिप्टोग्राफिक प्रोटोकॉल एसएसएल में मौजूद कई बड़े मुद्दों को समाप्त करता है, जैसे भेद्यताएं जो कुछ हमलों (जैसे सिफर ब्लॉक चेनिंग जिसे टीएलएस 1.1 में हल किया गया था) का कारण बनता है। एकमात्र कारण टीएलएस को एक नया परिवर्णी शब्द था कि यह एसएसएल में अब "अंतःक्रियाशील" नहीं था। हम औद्योगिक क्या जानते हैं-इसका मतलब यह है कि जब हम कहते हैं कि कुछ "अंतःक्रियाशील" है तो यह किसी पुराने संस्करण के साथ काम करने में सक्षम है।

तो, एसएसएल 3.0 मर चुका है और अब हम टीएलएस 1.2 के नाम से जाना जाने वाला कुछ उपयोग कर रहे हैं। एकमात्र समस्या यह है कि डेटा ट्रांसमिशन के लिए एसएसएल 3.0 का उपयोग कर अभी भी कई ब्राउज़र हैं। यदि सर्वर उनसे कनेक्ट होने वाले ब्राउज़र को टीएलएस का समर्थन नहीं करते हैं तो सर्वर अभी भी सुरक्षित फॉलबैक के रूप में इसका समर्थन करते हैं। सबसे बुरा हिस्सा यह है कि यदि आपका ब्राउज़र टीएलएस के साथ इसकी संगतता का विज्ञापन करता है, तो इस बात की कोई गारंटी नहीं है कि सर्वर एसएसएल 3.0 के साथ जवाब नहीं देगा। हैकर पुराने ब्राउज़र पर चिपकने के लिए आपके ब्राउज़र और सर्वर को डेटा भेजने के लिए इसका उपयोग कर सकते हैं। इस कारण से और केवल यही कारण है कि, पुडल शोषण अभी भी एक बड़ा सौदा है।

Google का एक प्रस्ताव है: हम एसएसएल 3.0 का समर्थन क्यों नहीं रोकते हैं और इसे अपग्रेड करने के लिए हर किसी को प्रोत्साहित करते हैं? सर्वर और ब्राउज़र डेवलपर्स चलाने वाले लोगों के लिए, Google की सबसे अच्छी सलाह TLS_FALLBACK-SCSV का समर्थन करना है। बस रखें, एसएसएल कनेक्शन स्वीकार करना बंद करें और केवल टीएलएस पर स्वीकार करें।

अभी, Google कहता है कि यह एसएसएल पर वापस आने से रोकने के लिए क्रोम में बदलावों पर काम कर रहा है। अन्य ब्राउज़र डेवलपर्स सूट का पालन कर सकते हैं।

आपके लिए मेरी सबसे अच्छी सलाह है कि आप अपने ब्राउज़र को अद्यतित रखें और सुनिश्चित करें कि आप उन साइटों पर नहीं जाते हैं जिन पर आप भरोसा नहीं करते हैं। इसके अलावा, आप वेबसाइट प्रशासकों को अपनी चिंताओं के साथ ईमेल भी कर सकते हैं और उन्हें इस आलेख से लिंक कर सकते हैं।

कोई अन्य सहायक सलाह?

अगर आपको लगता है कि इस चर्चा में जोड़ने के लिए आपके पास कुछ उपयोगी है, तो कृपया आगे बढ़ें और इसे एक टिप्पणी में छोड़ दें! वेब ब्राउज़ करते समय सभी को अपनी सारी जानकारी की सुरक्षा को बनाए रखने के लिए हर चीज से अवगत होना चाहिए।