মজিলা তার ভিপিএন ক্লায়েন্টের অডিট ফলাফল প্রকাশ করেছে

কয়েক দিন আগে মজিলা মুক্তি পেয়েছে এর ঘোষণা প্রকাশ স্বাধীন নিরীক্ষার সমাপ্তি ক্লায়েন্ট সফটওয়্যারে তৈরি করা হয়েছে যা মোজিলার ভিপিএন পরিষেবার সাথে সংযোগ করতে ব্যবহৃত হয়।

নিরীক্ষা Qt লাইব্রেরির সাথে লিখিত একটি পৃথক ক্লায়েন্ট অ্যাপ্লিকেশন বিশ্লেষণ করে এবং লিনাক্স, ম্যাকওএস, উইন্ডোজ, অ্যান্ড্রয়েড এবং আইওএস -এর জন্য বিতরণ করা হয়। মোজিলা ভিপিএন 400 টিরও বেশি দেশে সুইডিশ ভিপিএন প্রদানকারী মুলভাদের 30 টিরও বেশি সার্ভারের সাথে কাজ করে। ভিপিএন পরিষেবার সংযোগ ওয়্যারগার্ড প্রোটোকল ব্যবহার করে তৈরি করা হয়।

Cure53 দ্বারা নিরীক্ষা করা হয়েছিল, যা এক পর্যায়ে NTPsec, SecureDrop, Cryptocat, F-Droid, এবং Dovecot প্রকল্পগুলি নিরীক্ষা করে। শ্রাবণ জড়িত সোর্স কোড যাচাইকরণ এবং সম্ভাব্য দুর্বলতা চিহ্নিত করার জন্য পরীক্ষা অন্তর্ভুক্ত (ক্রিপ্টো-সম্পর্কিত সমস্যাগুলি বিবেচনা করা হয়নি।) নিরীক্ষা চলাকালীন, 16 টি নিরাপত্তা সমস্যা চিহ্নিত করা হয়েছিল, যার মধ্যে 8 টি সুপারিশের ধরন ছিল, 5 টিকে কম বিপদ স্তর, দুটি - মাঝারি এবং একটি - উচ্চ নির্ধারিত হয়েছিল।

আজ, মজিলা তার মোজিলা ভিপিএন এর একটি স্বাধীন নিরাপত্তা নিরীক্ষা প্রকাশ করেছে, যা 53 বছরেরও বেশি সময় ধরে পরিচালিত বার্লিন ভিত্তিক নিরপেক্ষ সাইবার সিকিউরিটি কোম্পানি কিউর 15 থেকে ওয়েব-লেভেল এনক্রিপশন এবং আপনার সংযোগ এবং তথ্যের সুরক্ষা প্রদান করে। সফটওয়্যার টেস্টিং এবং কোড অডিটিং। মজিলা পর্যায়ক্রমে আমাদের অভ্যন্তরীণ নিরাপত্তা কর্মসূচির পরিপূরক এবং আমাদের পণ্যের সামগ্রিক নিরাপত্তা উন্নত করতে তৃতীয় পক্ষের সংস্থার সাথে কাজ করে। স্বাধীন নিরীক্ষার সময়, মাঝারি তীব্রতা এবং একটি উচ্চ তীব্রতার দুটি সমস্যা আবিষ্কৃত হয়েছিল। আমরা তাদের এই ব্লগ পোস্টে কভার করেছি এবং সিকিউরিটি অডিট রিপোর্ট প্রকাশ করেছি।

যাইহোক, এটি উল্লেখ করা হয় শুধুমাত্র একটি মাঝারি তীব্রতা স্তরের সমস্যা একটি দুর্বলতা হিসাবে শ্রেণীবদ্ধ করা হয়েছিল, যেহেতুe ছিল একমাত্র শোষণযোগ্য এবং প্রতিবেদনটি বর্ণনা করে যে এই সমস্যাটি ভিপিএন টানেলের বাইরে এনক্রিপ্ট না করা সরাসরি HTTP অনুরোধ পাঠিয়ে বন্দি পোর্টালকে সংজ্ঞায়িত করার জন্য কোডে ভিপিএন ব্যবহারের তথ্য ফাঁস করে দিচ্ছে যদি কোনও আক্রমণকারী ট্রানজিট ট্রাফিক নিয়ন্ত্রণ করতে পারে তাহলে ব্যবহারকারীর প্রাথমিক আইপি ঠিকানা প্রকাশ করে। এছাড়াও, প্রতিবেদনে উল্লেখ করা হয়েছে যে সেটিংসে ক্যাপটিভ পোর্টাল ডিটেকশন মোড নিষ্ক্রিয় করে সমস্যার সমাধান করা হয়েছে।

গত বছর আমাদের চালু হওয়ার পর থেকে, মোজিলা ভিপিএন, আমাদের দ্রুত এবং সহজেই ব্যবহারযোগ্য ভার্চুয়াল প্রাইভেট নেটওয়ার্ক পরিষেবা, অস্ট্রিয়া, বেলজিয়াম, ফ্রান্স, জার্মানি, ইতালি, স্পেন এবং সুইজারল্যান্ড সহ মোট ১ countries টি দেশে সম্প্রসারিত হয়েছে যেখানে মজিলা ভিপিএন পাওয়া যায়। আমরা আমাদের ভিপিএন পরিষেবা অফার প্রসারিত করেছি এবং এটি এখন উইন্ডোজ, ম্যাক, লিনাক্স, অ্যান্ড্রয়েড এবং আইওএস প্ল্যাটফর্মে উপলব্ধ। পরিশেষে, আমরা যে ভাষার সমর্থন করি তার তালিকা ক্রমাগত বৃদ্ধি পাচ্ছে এবং আজ পর্যন্ত আমরা 13 টি ভাষা সমর্থন করি।

অন্য দিকে দ্বিতীয় যে সমস্যাটি পাওয়া গেছে তা হল মাঝারি তীব্রতা স্তরে এবং পোর্ট নম্বরে অ-সংখ্যাসূচক মানগুলির যথাযথ পরিষ্কারের অভাবের সাথে সম্পর্কিত, যা OAuth প্রমাণীকরণ পরামিতি ফিল্টার করার অনুমতি দেয় পোর্ট নম্বরটি "1234@example.com" এর মত একটি স্ট্রিং দিয়ে প্রতিস্থাপন করে, যা ডোমেইন অ্যাক্সেস করে অনুরোধ করার জন্য HTML ট্যাগ সেটিংয়ে নিয়ে যাবে, উদাহরণস্বরূপ 127.0.0.1 এর পরিবর্তে example.com।

তৃতীয় সমস্যাটি বিপজ্জনক হিসেবে চিহ্নিত প্রতিবেদনে উল্লেখ করা হয়েছে, এটি বর্ণনা করা হয়েছে এটি কোনও অননুমোদিত স্থানীয় অ্যাপ্লিকেশনকে লোকালহোস্টে আবদ্ধ ওয়েবসকেটের মাধ্যমে ভিপিএন ক্লায়েন্ট অ্যাক্সেস করতে দেয়। একটি উদাহরণ হিসাবে, এটি দেখায় যে, কিভাবে একটি সক্রিয় ভিপিএন ক্লায়েন্টের সাহায্যে, যেকোনো সাইট স্ক্রিনশট তৈরি এবং ডেলিভারি আয়োজন করতে পারে screen_capture ইভেন্ট তৈরি করে।

সমস্যাটিকে দুর্বলতা হিসাবে শ্রেণীবদ্ধ করা হয়নি কারণ ওয়েবসকেট শুধুমাত্র অভ্যন্তরীণ পরীক্ষা তৈরিতে ব্যবহার করা হয়েছিল এবং এই যোগাযোগ চ্যানেলের ব্যবহারটি ভবিষ্যতে কেবল ব্রাউজার প্লাগইনের সাথে মিথস্ক্রিয়া সংগঠিত করার জন্য পরিকল্পনা করা হয়েছিল।

পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন মজিলা কর্তৃক প্রকাশিত প্রতিবেদন সম্পর্কে, আপনি পরামর্শ করতে পারেন নিম্নলিখিত লিঙ্কে বিশদ।