મોઝિલાએ તેના વીપીએન ક્લાયન્ટના ઓડિટ પરિણામો જાહેર કર્યા

થોડા દિવસો પહેલા મોઝિલા મુક્ત થયો ની જાહેરાતનું પ્રકાશન સ્વતંત્ર ઓડિટ પૂર્ણ મોઝિલાની વીપીએન સેવા સાથે જોડાવા માટે ઉપયોગમાં લેવાતા ક્લાયન્ટ સોફ્ટવેર પર બનાવેલ છે.

Itડિટમાં Qt લાઇબ્રેરી સાથે લખાયેલી એક અલગ ક્લાયન્ટ એપ્લિકેશનનું વિશ્લેષણ કરવામાં આવ્યું અને Linux, macOS, Windows, Android અને iOS માટે વિતરિત કરવામાં આવ્યું. મોઝિલા વીપીએન 400 થી વધુ દેશોમાં સ્વીડિશ વીપીએન પ્રદાતા મુલવાડના 30 થી વધુ સર્વરો સાથે કામ કરે છે. વીપીએન સેવા સાથે જોડાણ વાયરગાર્ડ પ્રોટોકોલનો ઉપયોગ કરીને કરવામાં આવે છે.

Cure53 દ્વારા ઓડિટ કરવામાં આવ્યું હતું, જે એક સમયે NTPsec, SecureDrop, Cryptocat, F-Droid, અને Dovecot પ્રોજેક્ટ્સનું ઓડિટ કર્યું હતું. શ્રવણ સંભવિત નબળાઈઓને ઓળખવા માટે સ્રોત કોડ ચકાસણી અને પરીક્ષણો શામેલ છે (ક્રિપ્ટો-સંબંધિત મુદ્દાઓ ધ્યાનમાં લેવામાં આવ્યા ન હતા). ઓડિટ દરમિયાન, 16 સુરક્ષા સમસ્યાઓ ઓળખી કાવામાં આવી હતી, જેમાંથી 8 ભલામણ પ્રકાર હતી, 5 ને ઓછા જોખમી સ્તર, બે - મધ્યમ અને એક - ઉચ્ચ સોંપવામાં આવ્યા હતા.

આજે, મોઝિલાએ તેના મોઝિલા વીપીએનનું એક સ્વતંત્ર સુરક્ષા ઓડિટ બહાર પાડ્યું છે, જે 53 વર્ષથી વધુ કામગીરી ધરાવતી બર્લિન સ્થિત નિષ્પક્ષ સાયબર સિક્યુરિટી કંપની, Cure15 તરફથી, વેબ-પર હોય ત્યારે ઉપકરણ-સ્તરનું એન્ક્રિપ્શન અને તમારા કનેક્શન અને માહિતીનું રક્ષણ પૂરું પાડે છે. સોફ્ટવેર પરીક્ષણ અને કોડ ઓડિટિંગ. મોઝિલા અમારા આંતરિક સુરક્ષા કાર્યક્રમોને પૂરક બનાવવા અને અમારા ઉત્પાદનોની એકંદર સુરક્ષાને સુધારવામાં મદદ કરવા માટે તૃતીય-પક્ષ સંસ્થાઓ સાથે નિયમિતપણે કામ કરે છે. સ્વતંત્ર ઓડિટ દરમિયાન, મધ્યમ તીવ્રતાના બે મુદ્દાઓ અને એક ઉચ્ચ તીવ્રતા શોધવામાં આવી હતી. અમે તેમને આ બ્લોગ પોસ્ટમાં સંબોધ્યા છે અને સુરક્ષા ઓડિટ રિપોર્ટ પ્રકાશિત કર્યો છે.

જોકે, તેનો ઉલ્લેખ છે મધ્યમ ઉગ્રતા સ્તર સાથે માત્ર એક સમસ્યા ત્યારથી, નબળાઈ તરીકે વર્ગીકૃત કરવામાં આવી હતીe માત્ર એક જ હતું જે શોષણકારક હતું અને અહેવાલ વર્ણવે છે કે આ મુદ્દો કેપ્ટિવ પોર્ટલને વ્યાખ્યાયિત કરવા માટે કેપ્ટિવ પોર્ટલને વ્યાખ્યાયિત કરવા માટે વીપીએન વપરાશ માહિતીને વીપીએન ટનલની બહાર અનક્રિપ્ટ થયેલ સીધી HTTP વિનંતીઓ મોકલીને વપરાશકર્તાનું પ્રાથમિક IP સરનામું ઉજાગર કરે છે જો હુમલાખોર ટ્રાન્ઝિટ ટ્રાફિકને નિયંત્રિત કરી શકે. ઉપરાંત, અહેવાલમાં ઉલ્લેખ કરવામાં આવ્યો છે કે સેટિંગ્સમાં કેપ્ટિવ પોર્ટલ ડિટેક્શન મોડને અક્ષમ કરીને સમસ્યાનો ઉકેલ લાવવામાં આવ્યો છે.

ગયા વર્ષે અમારી લોન્ચિંગ પછી, મોઝિલા વીપીએન, અમારી ઝડપી અને ઉપયોગમાં સરળ વર્ચ્યુઅલ ખાનગી નેટવર્ક સેવા, કુલ 13 દેશો માટે ઓસ્ટ્રિયા, બેલ્જિયમ, ફ્રાન્સ, જર્મની, ઇટાલી, સ્પેન અને સ્વિટ્ઝર્લ includingન્ડ સહિત સાત દેશોમાં વિસ્તૃત થઈ છે. જ્યાં મોઝિલા વીપીએન ઉપલબ્ધ છે. અમે અમારી વીપીએન સેવાઓ પણ વિસ્તૃત કરી છે અને તે હવે વિન્ડોઝ, મેક, લિનક્સ, એન્ડ્રોઇડ અને આઇઓએસ પ્લેટફોર્મ પર ઉપલબ્ધ છે. છેલ્લે, અમારી ભાષાઓની યાદી કે જેને અમે સમર્થન આપીએ છીએ તે વધતી જાય છે અને આજ સુધી, અમે 28 ભાષાઓને ટેકો આપીએ છીએ.

બીજી તરફ બીજી સમસ્યા જે જોવા મળી હતી તે મધ્યમ તીવ્રતાના સ્તરમાં છે અને પોર્ટ નંબરમાં બિન-આંકડાકીય મૂલ્યોની યોગ્ય સફાઈના અભાવ સાથે સંબંધિત છે, જે OAuth પ્રમાણીકરણ પરિમાણોને ફિલ્ટર કરવાની મંજૂરી આપે છે "1234@example.com" જેવા શબ્દમાળા સાથે પોર્ટ નંબરને બદલીને, જે ડોમેન accessક્સેસ કરીને વિનંતી કરવા માટે HTML ટેગની સેટિંગ તરફ દોરી જશે, ઉદાહરણ તરીકે 127.0.0.1 ને બદલે example.com.

ત્રીજી સમસ્યા, ખતરનાક તરીકે ચિહ્નિત અહેવાલમાં ઉલ્લેખ કર્યો છે, તેનું વર્ણન કરવામાં આવ્યું છે આ કોઈપણ અનધિકૃત સ્થાનિક એપ્લિકેશનને લોકલહોસ્ટ સાથે જોડાયેલા વેબસોકેટ દ્વારા VPN ક્લાયંટને toક્સેસ કરવાની મંજૂરી આપે છે. ઉદાહરણ તરીકે, તે બતાવવામાં આવ્યું છે કે, કેવી રીતે સક્રિય VPN ક્લાયંટ સાથે, કોઈપણ સાઇટ સ્ક્રીન_કેપ્ચર ઇવેન્ટ જનરેટ કરીને સ્ક્રીનશોટ બનાવવાનું અને ડિલિવરીનું આયોજન કરી શકે છે.

આ મુદ્દાને નબળાઈ તરીકે વર્ગીકૃત કરવામાં આવ્યો ન હતો કારણ કે વેબસોકેટનો ઉપયોગ ફક્ત આંતરિક પરીક્ષણ બિલ્ડ્સમાં કરવામાં આવ્યો હતો અને આ સંચાર ચેનલનો ઉપયોગ ભવિષ્યમાં બ્રાઉઝર પ્લગઇન સાથે ક્રિયાપ્રતિક્રિયાનું આયોજન કરવા માટે જ આયોજન કરવામાં આવ્યું હતું.

છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે મોઝિલા દ્વારા બહાર પાડવામાં આવેલા અહેવાલ વિશે, તમે સલાહ લઈ શકો છો નીચેની લીંક પર વિગતો.