ಹಲೋ, ಹಬ್ರ್!
ನನ್ನ ಸಹೋದ್ಯೋಗಿಗಳು ಮತ್ತು ನಾನು ಈಗ ಹಲವಾರು ತಿಂಗಳುಗಳಿಂದ ಏನು ಮಾಡುತ್ತಿದ್ದೇವೆ ಎಂಬುದರ ಕುರಿತು ಇಂದು ನಾನು ಮಾತನಾಡುತ್ತೇನೆ: ಮೊಬೈಲ್ ತ್ವರಿತ ಸಂದೇಶವಾಹಕಗಳಿಗಾಗಿ ಪುಶ್ ಅಧಿಸೂಚನೆಗಳು. ನಾನು ಈಗಾಗಲೇ ಹೇಳಿದಂತೆ, ನಮ್ಮ ಅಪ್ಲಿಕೇಶನ್ನಲ್ಲಿ ಭದ್ರತೆಗೆ ಮುಖ್ಯ ಒತ್ತು ನೀಡಲಾಗಿದೆ. ಆದ್ದರಿಂದ, ಪುಶ್ ಅಧಿಸೂಚನೆಗಳು "ದುರ್ಬಲ ಬಿಂದುಗಳನ್ನು" ಹೊಂದಿದೆಯೇ ಮತ್ತು ಹಾಗಿದ್ದಲ್ಲಿ, ನಮ್ಮ ಸೇವೆಗೆ ಈ ಉಪಯುಕ್ತ ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಲು ನಾವು ಅವುಗಳನ್ನು ಹೇಗೆ ಮಟ್ಟ ಹಾಕಬಹುದು ಎಂಬುದನ್ನು ನಾವು ಕಂಡುಕೊಂಡಿದ್ದೇವೆ.
ನಮ್ಮ ಅನುವಾದವನ್ನು ಪ್ರಕಟಿಸುತ್ತಿದ್ದೇನೆ ನನ್ನಿಂದ ಕೆಲವು ಸಣ್ಣ ಸೇರ್ಪಡೆಗಳೊಂದಿಗೆ. ಇದು "ತನಿಖೆಯ" ಫಲಿತಾಂಶಗಳನ್ನು ಮತ್ತು ಸಮಸ್ಯೆಯನ್ನು ಹೇಗೆ ಪರಿಹರಿಸಲಾಗಿದೆ ಎಂಬುದರ ಕುರಿತು ಒಂದು ಕಥೆಯನ್ನು ಒಳಗೊಂಡಿದೆ.
ನಾವು ವಸ್ತುವನ್ನು ಪರಿಶೀಲಿಸುತ್ತೇವೆ
ಕ್ಲಾಸಿಕ್ ಮಾದರಿಯಲ್ಲಿ, ಪುಶ್ ಅಧಿಸೂಚನೆಗಳು ಸಂದೇಶವಾಹಕರನ್ನು MITM (ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್) ದಾಳಿಗಳಿಗೆ ಗುರಿಯಾಗುವಂತೆ ಮಾಡುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, Google, Microsoft, ಮತ್ತು iMessage ನ ಹಳೆಯ ಆವೃತ್ತಿಯೊಂದಿಗೆ, ಅಪ್ಲಿಕೇಶನ್ ಆಪಲ್ ಸರ್ವರ್ಗಳಿಗೆ ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು ಕಳುಹಿಸುತ್ತದೆ - ಸರ್ವರ್ನಲ್ಲಿ, ಬಳಕೆದಾರರನ್ನು ದೃಢೀಕರಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಸಂದೇಶದ ಹೆಡರ್ (ಅಥವಾ ಅದರ ವಿಷಯ) ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ.
ಪರಿಣಾಮವಾಗಿ, ಪುಶ್ ಅಧಿಸೂಚನೆ ಸರ್ವರ್ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವ ಮೂಲಕ ಪತ್ರವ್ಯವಹಾರವನ್ನು ಓದಲು ಅವಕಾಶವಿದೆ. ಇದರರ್ಥ ಪತ್ರವ್ಯವಹಾರದ ಯಾವುದೇ ಎನ್ಕ್ರಿಪ್ಶನ್ ನಿಷ್ಪ್ರಯೋಜಕವಾಗಿದೆ: ಪುಶ್ ಅಧಿಸೂಚನೆಗಳು ಇನ್ನೂ ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಂದ ಓದುವ ಸಾಧ್ಯತೆಯನ್ನು ಬಿಡುತ್ತವೆ. ಲೇಖನದ ಲೇಖಕರು ಈ ಸಾಧ್ಯತೆಯನ್ನು ಹೆಚ್ಚು ವಿವರವಾಗಿ ಚರ್ಚಿಸಿದ್ದಾರೆ. Xaker.ru ನಲ್ಲಿ, ಸಂದೇಶಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುವ ವಿಧಾನಗಳಿಗೆ ಸಮರ್ಪಿಸಲಾಗಿದೆ.
ಬಳಕೆದಾರರ ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು ಸೋರಿಕೆ ಮಾಡುವುದರ ವಿರುದ್ಧ Apple ಮತ್ತು Google ಸರ್ವರ್ಗಳು 100% ಸುರಕ್ಷಿತವಾಗಿವೆ ಎಂದು ನೀವು ಭಾವಿಸಿದರೆ, ಅವರ ಉದ್ಯೋಗಿಗಳು ಅವರಿಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದ್ದಾರೆ ಎಂಬ ಅಂಶವನ್ನು ಪರಿಗಣಿಸಿ. ಮತ್ತು ಉದ್ಯೋಗಿಗಳು ಜನರು.
ಪುಶ್ ಅಧಿಸೂಚನೆಗಳ ಎಲ್ಲಾ ದುರ್ಬಲತೆಗಳ ಹೊರತಾಗಿಯೂ, ಸಿಗ್ನಲ್ ಮತ್ತು ಟೆಲಿಗ್ರಾಮ್ ಸೇರಿದಂತೆ ಅನೇಕ "ಸುರಕ್ಷಿತ" ತ್ವರಿತ ಸಂದೇಶವಾಹಕರು ಅವುಗಳನ್ನು ಬಳಸುತ್ತಾರೆ. ಇಲ್ಲದಿದ್ದರೆ, ಬಳಕೆದಾರರು ನಿರಂತರವಾಗಿ ಅಪ್ಲಿಕೇಶನ್ಗೆ ಲಾಗ್ ಇನ್ ಮಾಡುವ ಮೂಲಕ ಹೊಸ ಸಂದೇಶಗಳನ್ನು "ಹಸ್ತಚಾಲಿತವಾಗಿ" ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬೇಕಾಗುತ್ತದೆ. ಇದು ತುಂಬಾ ಅನಾನುಕೂಲವಾಗಿದೆ ಮತ್ತು ಸ್ಪರ್ಧಾತ್ಮಕ ಸಂದೇಶವಾಹಕರು ಪ್ರಯೋಜನವನ್ನು ಪಡೆಯುತ್ತಾರೆ.
ಮತಿವಿಕಲ್ಪ ಮತ್ತು ಸಾಮಾನ್ಯ ಜ್ಞಾನ
ನಮ್ಮ ಯೋಜನೆಯಲ್ಲಿ, ನಾವು ಹಲವಾರು ತಿಂಗಳ ಹಿಂದೆ ಈ ಸಮಸ್ಯೆಯನ್ನು ನಿಕಟವಾಗಿ ತೆಗೆದುಕೊಂಡಿದ್ದೇವೆ. ಸ್ಪರ್ಧಾತ್ಮಕವಾಗಿರಲು ನಾವು ಪುಶ್ ಅಧಿಸೂಚನೆ ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸುವ ಅಗತ್ಯವಿದೆ. ಆದರೆ ಅದೇ ಸಮಯದಲ್ಲಿ, ಭದ್ರತಾ ರಂಧ್ರವನ್ನು ತೆರೆಯಬೇಡಿ, ಏಕೆಂದರೆ ಯಾವುದೇ ಡೇಟಾ ಸೋರಿಕೆಯು ಯೋಜನೆಯಲ್ಲಿ ವಿಶ್ವಾಸವನ್ನು ಹಾಳುಮಾಡುತ್ತದೆ.
ಆದಾಗ್ಯೂ, ನಾವು ಈಗಾಗಲೇ ಒಂದು ಪ್ರಮುಖ ಪ್ರಯೋಜನವನ್ನು ಹೊಂದಿದ್ದೇವೆ: ನಮ್ಮ ಮೆಸೆಂಜರ್ ವಿಕೇಂದ್ರೀಕೃತವಾಗಿದೆ (ದತ್ತಾಂಶವನ್ನು ಬ್ಲಾಕ್ಚೈನ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ), ಮತ್ತು ಉದ್ಯೋಗಿಗಳು ಖಾತೆಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿಲ್ಲ. ಬಳಕೆದಾರರು ಮಾತ್ರ ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು ಹೊಂದಿದ್ದಾರೆ ಮತ್ತು MITM ದಾಳಿಯಿಂದ ರಕ್ಷಿಸಲು ಇಂಟರ್ಲೋಕ್ಯೂಟರ್ಗಳ ಸಾರ್ವಜನಿಕ ಕೀಗಳು ಬ್ಲಾಕ್ಚೈನ್ನಲ್ಲಿ ಲಭ್ಯವಿದೆ.
ಪುಶ್ ಅಧಿಸೂಚನೆಗಳ ಮೊದಲ ಆವೃತ್ತಿಯಲ್ಲಿ, ನಾವು ಅದನ್ನು ಸಾಧ್ಯವಾದಷ್ಟು ಸುರಕ್ಷಿತವಾಗಿ ಪ್ಲೇ ಮಾಡಲು ನಿರ್ಧರಿಸಿದ್ದೇವೆ ಮತ್ತು ಸಂದೇಶ ಪಠ್ಯವನ್ನು ರವಾನಿಸುವುದಿಲ್ಲ. ಪುಶ್ ಸೇವೆಯು ನೋಡ್ನಿಂದ ಸಂದೇಶದ ಪಠ್ಯವನ್ನು ಸ್ವೀಕರಿಸಲಿಲ್ಲ, ಆದರೆ ಅದರ ರಶೀದಿಯ ಸತ್ಯದ ಬಗ್ಗೆ ಸಿಗ್ನಲ್ ಮಾತ್ರ. ಆದ್ದರಿಂದ, ಬಳಕೆದಾರರು "ಹೊಸ ಸಂದೇಶ ಬಂದಿದೆ" ಅಧಿಸೂಚನೆಯನ್ನು ನೋಡಿದ್ದಾರೆ. ಸಂದೇಶವಾಹಕದಲ್ಲಿ ಮಾತ್ರ ಅದನ್ನು ಓದಲು ಸಾಧ್ಯವಾಯಿತು.
.
ಅದರ ನಂತರ, ಆಪಲ್ನ ಇತ್ತೀಚಿನ ಆವೃತ್ತಿಯ ಅಧಿಸೂಚನೆಗಳು ಹೊಸ ಭದ್ರತಾ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಹೊಂದಿದೆ ಎಂದು ನಾವು ಕಲಿತಿದ್ದೇವೆ. ಅವರು UNNotificationServiceExtension, ಇದು ಡೆವಲಪರ್ಗಳಿಗೆ APNS ಮೂಲಕ ಸಂಪೂರ್ಣವಾಗಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಅಧಿಸೂಚನೆ ಡೇಟಾವನ್ನು ಕಳುಹಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಅಂತಿಮ ಬಳಕೆದಾರರ ಸಾಧನದಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್ ನಂತರ ಡೀಕ್ರಿಪ್ಶನ್ ಅನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ (ಅಥವಾ ಹೆಚ್ಚುವರಿ ಡೇಟಾವನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುತ್ತದೆ) ಮತ್ತು ಅಧಿಸೂಚನೆಯನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ. ಪುಶ್ ಅಧಿಸೂಚನೆಗಳ ಎರಡನೇ ಆವೃತ್ತಿಗೆ ನಾವು ಅದನ್ನು ಆಧಾರವಾಗಿ ತೆಗೆದುಕೊಂಡಿದ್ದೇವೆ.
ನಾವು ಈಗ iOS ಗಾಗಿ ಪುಶ್ ಅಧಿಸೂಚನೆಗಳ ಎರಡನೇ ಆವೃತ್ತಿಯನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ್ದೇವೆ, ಇದು ಭದ್ರತಾ ಅಪಾಯವಿಲ್ಲದೆ ಸಂದೇಶದ ಪಠ್ಯವನ್ನು ಪ್ರದರ್ಶಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಹೊಸ ಪರಿಕಲ್ಪನೆಯಲ್ಲಿ, ತರ್ಕವು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
- ಪುಶ್ ಸೇವೆಯು ವಹಿವಾಟಿನ ಸಂಖ್ಯೆಯೊಂದಿಗೆ ಪುಶ್ ಅಧಿಸೂಚನೆಯನ್ನು ಕಳುಹಿಸುತ್ತದೆ (ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸಂದೇಶವು ತುಂಬಾ ದೊಡ್ಡದಾಗಿರಬಹುದು ಮತ್ತು ಅಧಿಸೂಚನೆಗಳ ಗಾತ್ರವು ತುಂಬಾ ಸೀಮಿತವಾಗಿರುತ್ತದೆ)
- ಸಾಧನವು ಅಧಿಸೂಚನೆಯನ್ನು ಸ್ವೀಕರಿಸಿದಾಗ, ಅದು ನಮ್ಮ ಅಧಿಸೂಚನೆ ಸೇವೆ ವಿಸ್ತರಣೆಯನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ - ಐಡಿ ಮೂಲಕ ನೋಡ್ನಿಂದ ವಹಿವಾಟನ್ನು ವಿನಂತಿಸುವ ಮೈಕ್ರೋಅಪ್ಲಿಕೇಶನ್, ಉಳಿಸಿದ ಪಾಸ್ಫ್ರೇಸ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಅದನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಸಿಸ್ಟಮ್ಗೆ ಹೊಸ ಅಧಿಸೂಚನೆಯನ್ನು ಕಳುಹಿಸುತ್ತದೆ. ಪಾಸ್ಫ್ರೇಸ್ ಅನ್ನು ಸುರಕ್ಷಿತ ಸಂಗ್ರಹಣೆಯಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ.
- ಸಿಸ್ಟಮ್ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಂದೇಶ ಅಥವಾ ಅನುವಾದದೊಂದಿಗೆ ಅಧಿಸೂಚನೆಯನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ.
- ಸರಳ ಪಠ್ಯ ಸಂದೇಶದಂತೆಯೇ ಕೀಲಿಗಳು ಎಲ್ಲಿಯೂ ಹೋಗುವುದಿಲ್ಲ. ಸಂದೇಶವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಪುಶ್ ಸೇವೆಯು ಯಾವುದೇ ಮಾರ್ಗವನ್ನು ಹೊಂದಿಲ್ಲ.
ಈ ಆವೃತ್ತಿಯು ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿದೆ ಎಂದು ನಾವು ಒಪ್ಪಿಕೊಂಡಿದ್ದೇವೆ ಮತ್ತು iOS ಅಪ್ಲಿಕೇಶನ್ನ ಇತ್ತೀಚಿನ ನವೀಕರಣದಲ್ಲಿ ಅದನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದ್ದೇವೆ.
ತಾಂತ್ರಿಕ ಭಾಗದಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿರುವವರು ಮೂಲ ಕೋಡ್ ಅನ್ನು ವೀಕ್ಷಿಸಬಹುದು: .
ಮೂಲ: www.habr.com