ډینیل هرسکا څو ورځې وړاندې، ایپل سل خپور کړ د iOS 7.0.6 تازه کولد خوشې کولو په اړه چې موږ تاسو ته خبر درکړو. ډیری شاید حیران شوي وي چې اوسمهال د زاړه iOS 6 (نسخه 6.1.6) او ایپل تلویزیون (6.0.2 نسخه) لپاره هم خپور شوی. دا یو امنیتي پیچ دی، نو ایپل نشي کولی د خپلو وسایلو یوازې یوه برخه تازه کړي. نور څه دي، دا مسله په OS X هم اغیزه کوي. د ایپل ویاند ټروډي مولر په وینا، د OS X تازه معلومات به ژر تر ژره خپور شي.
ولې د دې تازه په شاوخوا کې دومره ډیر هیپ شتون لري؟ د سیسټم کوډ کې نیمګړتیا د سرور تایید ته اجازه ورکوي چې د ISO/OSI حوالې ماډل اړونده پرت کې په خوندي لیږد کې تیر شي. په ځانګړې توګه، غلطی په هغه برخه کې د SSL خراب تطبیق دی چیرې چې د سرور سند تصدیق ترسره کیږي. مخکې له دې چې زه نور وضاحت ته لاړ شم، زه غوره کوم چې بنسټیز مفکورې بیان کړم.
SSL (د خوندي ساکټ پرت) یو پروتوکول دی چې د خوندي اړیکو لپاره کارول کیږي. دا د ارتباطي اړخونو د کوډ کولو او تصدیق کولو له لارې امنیت ترلاسه کوي. تصدیق د وړاندې شوي هویت تصدیق دی. په ریښتیني ژوند کې، د مثال په توګه، تاسو خپل نوم (پیژندنه) ووایاست او خپل ID وښایاست ترڅو بل کس یې تصدیق کړي (مستند). تصدیق بیا په تایید ویشل کیږي، کوم چې یوازې د ملي هویت کارت یا پیژندنې سره یوه بیلګه ده، کله چې د پوښتنې وړ کس کولی شي ستاسو هویت مشخص کړي پرته لدې چې تاسو هغه ته وړاندې کړئ.
اوس زه به په لنډه توګه د سرور سند ته ورشم. په ریښتیني ژوند کې، ستاسو سند کیدی شي، د بیلګې په توګه، د شناخت کارت. هرڅه د غیر متناسب کریپټوګرافي پراساس دي ، چیرې چې هره موضوع دوه کیلي لري - خصوصي او عامه. ټوله ښکلا پدې حقیقت کې ده چې پیغام د عامه کیلي سره کوډ کیدی شي او د شخصي کیلي سره کوډ کیدی شي. دا پدې مانا ده چې یوازې د شخصي کیلي مالک کولی شي پیغام کوډ کړي. په ورته وخت کې، د خبرو اترو دواړو خواوو ته د پټو کیلي لیږدولو په اړه اندیښنه ته اړتیا نشته. سند بیا د موضوع عامه کلیدي ده چې د دې معلوماتو سره ضمیمه کیږي او د تصدیق ادارې لخوا لاسلیک کیږي. په چک جمهوریت کې، د تصدیق کولو چارواکو څخه یو دی، د بیلګې په توګه، Česká Pošta. د سند څخه مننه ، آی فون کولی شي تصدیق کړي چې دا واقعیا د ورکړل شوي سرور سره اړیکه لري.
SSL د پیوستون رامینځته کولو پر مهال غیر متناسب کوډ کول کاروي ، چې ورته ویل کیږي د SSL لاسونه. پدې مرحله کې ، ستاسو آی فون تاییدوي چې دا د ورکړل شوي سرور سره اړیکه لري ، او په ورته وخت کې ، د غیر متناسب کوډ کولو په مرسته ، یو سمیټریک کیلي رامینځته کیږي ، کوم چې به د ټولو راتلونکو اړیکو لپاره وکارول شي. سیمالټ کوډ کول چټک دي. لکه څنګه چې مخکې لیکل شوي، تېروتنه د سرور تصدیق کولو په وخت کې واقع کیږي. راځئ چې کوډ ته یو نظر وګورو چې د دې سیسټم زیان منونکي لامل کیږي.
static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa,
SSLBuffer signedParams, uint8_t *signature, UInt16 signatureLen)
{
OSStatus err;
…
if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;
…
fail:
SSLFreeBuffer(&signedHashes);
SSLFreeBuffer(&hashCtx);
return err;
}
په دوهم حالت کې if تاسو کولی شئ لاندې دوه حکمونه وګورئ ناکام شو؛. او دا هغه خنډ دی. دا کوډ بیا د دوهم قوماندې لامل کیږي چې په مرحله کې اجرا شي کله چې سند باید تایید شي ناکام شو؛. دا د دریم حالت د پریښودلو لامل کیږي if او په هیڅ ډول به د سرور تصدیق نه وي.
اغیزې یې دا دي چې هرڅوک چې د دې زیان په اړه پوهه ولري کولی شي ستاسو آی فون جعلي سند وړاندې کړي. تاسو یا ستاسو آی فون، تاسو به فکر کوئ چې تاسو کوډ شوي اړیکه لرئ، پداسې حال کې چې ستاسو او سرور ترمنځ یو برید کونکی شتون لري. دا ډول برید بلل کیږي په منځ کې د سړي برید, کوم چې تقریبا په چک کې ژباړل کیږي لکه په منځ کې د سړي برید او یا په منځ کې سړی. په OS X او iOS کې د دې ځانګړي نیمګړتیا په کارولو برید یوازې هغه وخت اجرا کیدی شي که برید کونکی او قرباني په ورته شبکه کې وي. له همدې امله، دا غوره ده چې د عامه Wi-Fi شبکو څخه ډډه وکړئ که تاسو خپل iOS تازه نه وي کړی. د ماک کاروونکي باید لاهم په دې اړه محتاط وي چې دوی له کومو شبکو سره وصل دي او کوم سایټونه چې دوی په دې شبکو کې لیدنه کوي.
دا د باور څخه بهر ده چې دا ډول وژونکې تېروتنه څنګه کولی شي دا د OS X او iOS وروستي نسخو کې رامینځته کړي. دا ممکن د ضعیف لیکل شوي کوډ متناسب ازموینه وي. دا به پدې معنی وي چې برنامه کونکي او ازموینه کونکي دواړه به غلطي وکړي. دا ممکن د ایپل لپاره ناشونې ښکاري، او داسې انګیرنې سطحې چې دا بګ په حقیقت کې یو شاته دروازه ده، نومول کیږي. د شا دروازه. دا د هیڅ شی لپاره ندي چې دوی وايي چې غوره شاته دروازې د فرعي غلطیو په څیر ښکاري. په هرصورت، دا یوازې نا تایید شوي نظرونه دي، نو موږ به فکر وکړو چې یو څوک په ساده ډول تېروتنه کړې.
که تاسو ډاډه نه یاست چې ستاسو سیسټم یا براوزر د دې بګ څخه معاف دی، پاڼې ته مراجعه وکړئ gotofail.com. لکه څنګه چې تاسو په لاندې عکسونو کې لیدلی شئ، په OS X Mavericks 7.0.1 کې سفاري 10.9.1 یو بګ لري، پداسې حال کې چې په iOS 7.0.6 کې سفاري کې هرڅه سم دي.
له لارې برید…. ما په ډیره موده کې دومره ښه، زړه راښکونکې خندا نه ده لیدلې!
لکه څنګه چې کیدی شي - زه په شخصي توګه دا د APPLE لخوا ټولو کاروونکو ته د پیغام په توګه پوهیږم - که دا یوه لاره وه یا بله (او زه فکر نه کوم چې د دې تېروتنې پیښې له ذکر شوي 2 امکاناتو څخه ډیر حقیقي دي) دواړه د اپل شیانو د عادي مالکینو ساده مسخره دي!
د خدای څخه مننه چې تاسو سم یاست.
زه باور لرم چې دا یوه ریښتینې تېروتنه ده. زه تصور کولی شم چې دا رامینځته شوی کله چې د نسخې سیسټم کې دوه څانګې یوځای کول ، که یوه څانګه اوږده وي. په هرصورت، دا یوازې یوه بله قضیه ده چې تاییدوي چې پروګرام کونکي مجبوروي چې حتی یوه کرښه تړلې وي که چیرې بدن په بلاک کې معنی ولري.
د تفصيلي وضاحت لپاره مننه!
بخښنه غواړم چې د بحث څخه بهر لیکل شوي، مګر اوس ما په idnes کې ولوستل چې ادعا شوي لوی iPhone باید iPhablet نومیږي :-D ما تقریبا له لاسه ورکړی.. :-D د مڼو ټولو مینه والو ته سلامونه
….. واه، خلاقیت ورو ورو له منځه نه ځي ….. شاید دا یوازې مرغۍ وي!
سلام، ایا تاسو د تازه کولو وروسته د بیټرۍ ژوند مسلې لرئ؟ ما د iP5 په اړه د ډیری شکایتونو وروسته یو نوی ترلاسه کړ، نو زه یو نوی بیټرۍ لرم چې نږدې دوه ورځې یې دوام وکړ. د تازه کولو وروسته، زما تلیفون په 8 ساعتونو کې مړ شو او زه یې ډیر نه کاروم.
په شخصي توګه، ما د فلش لائټ سره کومه ستونزه نه ده ثبت کړې. هو که څه هم په تیرو کې، او د iOS بیک اپ او پاک بیا انسټال تل مرسته کړې. امید دی چې دا به تاسو سره مرسته وکړي.
ما نن دا وکړل او له بده مرغه هیڅ بدلون نه دی راغلی :-/