ಹಲೋ, ಹಬ್ರ್!
ನನ್ನ ಸಹೋದ್ಯೋಗಿಗಳು ಮತ್ತು ನಾನು ಈಗ ಹಲವಾರು ತಿಂಗಳುಗಳಿಂದ ಏನು ಮಾಡುತ್ತಿದ್ದೇವೆ ಎಂಬುದರ ಕುರಿತು ಇಂದು ನಾನು ಮಾತನಾಡುತ್ತೇನೆ: ಮೊಬೈಲ್ ತ್ವರಿತ ಸಂದೇಶವಾಹಕಗಳಿಗಾಗಿ ಪುಶ್ ಅಧಿಸೂಚನೆಗಳು. ನಾನು ಈಗಾಗಲೇ ಹೇಳಿದಂತೆ, ನಮ್ಮ ಅಪ್ಲಿಕೇಶನ್ನಲ್ಲಿ ಭದ್ರತೆಗೆ ಮುಖ್ಯ ಒತ್ತು ನೀಡಲಾಗಿದೆ. ಆದ್ದರಿಂದ, ಪುಶ್ ಅಧಿಸೂಚನೆಗಳು "ದುರ್ಬಲ ಬಿಂದುಗಳನ್ನು" ಹೊಂದಿದೆಯೇ ಮತ್ತು ಹಾಗಿದ್ದಲ್ಲಿ, ನಮ್ಮ ಸೇವೆಗೆ ಈ ಉಪಯುಕ್ತ ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಲು ನಾವು ಅವುಗಳನ್ನು ಹೇಗೆ ಮಟ್ಟ ಹಾಕಬಹುದು ಎಂಬುದನ್ನು ನಾವು ಕಂಡುಕೊಂಡಿದ್ದೇವೆ.
ನಮ್ಮ ಅನುವಾದವನ್ನು ಪ್ರಕಟಿಸುತ್ತಿದ್ದೇನೆ
ನಾವು ವಸ್ತುವನ್ನು ಪರಿಶೀಲಿಸುತ್ತೇವೆ
ಕ್ಲಾಸಿಕ್ ಮಾದರಿಯಲ್ಲಿ, ಪುಶ್ ಅಧಿಸೂಚನೆಗಳು ಸಂದೇಶವಾಹಕರನ್ನು MITM (ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್) ದಾಳಿಗಳಿಗೆ ಗುರಿಯಾಗುವಂತೆ ಮಾಡುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, Google, Microsoft, ಮತ್ತು iMessage ನ ಹಳೆಯ ಆವೃತ್ತಿಯೊಂದಿಗೆ, ಅಪ್ಲಿಕೇಶನ್ ಆಪಲ್ ಸರ್ವರ್ಗಳಿಗೆ ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು ಕಳುಹಿಸುತ್ತದೆ - ಸರ್ವರ್ನಲ್ಲಿ, ಬಳಕೆದಾರರನ್ನು ದೃಢೀಕರಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಸಂದೇಶದ ಹೆಡರ್ (ಅಥವಾ ಅದರ ವಿಷಯ) ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ.
ಪರಿಣಾಮವಾಗಿ, ಪುಶ್ ಅಧಿಸೂಚನೆ ಸರ್ವರ್ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವ ಮೂಲಕ ಪತ್ರವ್ಯವಹಾರವನ್ನು ಓದಲು ಅವಕಾಶವಿದೆ. ಇದರರ್ಥ ಪತ್ರವ್ಯವಹಾರದ ಯಾವುದೇ ಎನ್ಕ್ರಿಪ್ಶನ್ ನಿಷ್ಪ್ರಯೋಜಕವಾಗಿದೆ: ಪುಶ್ ಅಧಿಸೂಚನೆಗಳು ಇನ್ನೂ ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಂದ ಓದುವ ಸಾಧ್ಯತೆಯನ್ನು ಬಿಡುತ್ತವೆ. ಲೇಖನದ ಲೇಖಕರು ಈ ಸಾಧ್ಯತೆಯನ್ನು ಹೆಚ್ಚು ವಿವರವಾಗಿ ಚರ್ಚಿಸಿದ್ದಾರೆ.
ಬಳಕೆದಾರರ ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು ಸೋರಿಕೆ ಮಾಡುವುದರ ವಿರುದ್ಧ Apple ಮತ್ತು Google ಸರ್ವರ್ಗಳು 100% ಸುರಕ್ಷಿತವಾಗಿವೆ ಎಂದು ನೀವು ಭಾವಿಸಿದರೆ, ಅವರ ಉದ್ಯೋಗಿಗಳು ಅವರಿಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದ್ದಾರೆ ಎಂಬ ಅಂಶವನ್ನು ಪರಿಗಣಿಸಿ. ಮತ್ತು ಉದ್ಯೋಗಿಗಳು ಜನರು.
ಪುಶ್ ಅಧಿಸೂಚನೆಗಳ ಎಲ್ಲಾ ದುರ್ಬಲತೆಗಳ ಹೊರತಾಗಿಯೂ, ಸಿಗ್ನಲ್ ಮತ್ತು ಟೆಲಿಗ್ರಾಮ್ ಸೇರಿದಂತೆ ಅನೇಕ "ಸುರಕ್ಷಿತ" ತ್ವರಿತ ಸಂದೇಶವಾಹಕರು ಅವುಗಳನ್ನು ಬಳಸುತ್ತಾರೆ. ಇಲ್ಲದಿದ್ದರೆ, ಬಳಕೆದಾರರು ನಿರಂತರವಾಗಿ ಅಪ್ಲಿಕೇಶನ್ಗೆ ಲಾಗ್ ಇನ್ ಮಾಡುವ ಮೂಲಕ ಹೊಸ ಸಂದೇಶಗಳನ್ನು "ಹಸ್ತಚಾಲಿತವಾಗಿ" ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬೇಕಾಗುತ್ತದೆ. ಇದು ತುಂಬಾ ಅನಾನುಕೂಲವಾಗಿದೆ ಮತ್ತು ಸ್ಪರ್ಧಾತ್ಮಕ ಸಂದೇಶವಾಹಕರು ಪ್ರಯೋಜನವನ್ನು ಪಡೆಯುತ್ತಾರೆ.
ಮತಿವಿಕಲ್ಪ ಮತ್ತು ಸಾಮಾನ್ಯ ಜ್ಞಾನ
ನಮ್ಮ ಯೋಜನೆಯಲ್ಲಿ, ನಾವು ಹಲವಾರು ತಿಂಗಳ ಹಿಂದೆ ಈ ಸಮಸ್ಯೆಯನ್ನು ನಿಕಟವಾಗಿ ತೆಗೆದುಕೊಂಡಿದ್ದೇವೆ. ಸ್ಪರ್ಧಾತ್ಮಕವಾಗಿರಲು ನಾವು ಪುಶ್ ಅಧಿಸೂಚನೆ ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸುವ ಅಗತ್ಯವಿದೆ. ಆದರೆ ಅದೇ ಸಮಯದಲ್ಲಿ, ಭದ್ರತಾ ರಂಧ್ರವನ್ನು ತೆರೆಯಬೇಡಿ, ಏಕೆಂದರೆ ಯಾವುದೇ ಡೇಟಾ ಸೋರಿಕೆಯು ಯೋಜನೆಯಲ್ಲಿ ವಿಶ್ವಾಸವನ್ನು ಹಾಳುಮಾಡುತ್ತದೆ.
ಆದಾಗ್ಯೂ, ನಾವು ಈಗಾಗಲೇ ಒಂದು ಪ್ರಮುಖ ಪ್ರಯೋಜನವನ್ನು ಹೊಂದಿದ್ದೇವೆ: ನಮ್ಮ ಮೆಸೆಂಜರ್ ವಿಕೇಂದ್ರೀಕೃತವಾಗಿದೆ (ದತ್ತಾಂಶವನ್ನು ಬ್ಲಾಕ್ಚೈನ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ), ಮತ್ತು ಉದ್ಯೋಗಿಗಳು ಖಾತೆಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿಲ್ಲ. ಬಳಕೆದಾರರು ಮಾತ್ರ ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು ಹೊಂದಿದ್ದಾರೆ ಮತ್ತು MITM ದಾಳಿಯಿಂದ ರಕ್ಷಿಸಲು ಇಂಟರ್ಲೋಕ್ಯೂಟರ್ಗಳ ಸಾರ್ವಜನಿಕ ಕೀಗಳು ಬ್ಲಾಕ್ಚೈನ್ನಲ್ಲಿ ಲಭ್ಯವಿದೆ.
ಪುಶ್ ಅಧಿಸೂಚನೆಗಳ ಮೊದಲ ಆವೃತ್ತಿಯಲ್ಲಿ, ನಾವು ಅದನ್ನು ಸಾಧ್ಯವಾದಷ್ಟು ಸುರಕ್ಷಿತವಾಗಿ ಪ್ಲೇ ಮಾಡಲು ನಿರ್ಧರಿಸಿದ್ದೇವೆ ಮತ್ತು ಸಂದೇಶ ಪಠ್ಯವನ್ನು ರವಾನಿಸುವುದಿಲ್ಲ. ಪುಶ್ ಸೇವೆಯು ನೋಡ್ನಿಂದ ಸಂದೇಶದ ಪಠ್ಯವನ್ನು ಸ್ವೀಕರಿಸಲಿಲ್ಲ, ಆದರೆ ಅದರ ರಶೀದಿಯ ಸತ್ಯದ ಬಗ್ಗೆ ಸಿಗ್ನಲ್ ಮಾತ್ರ. ಆದ್ದರಿಂದ, ಬಳಕೆದಾರರು "ಹೊಸ ಸಂದೇಶ ಬಂದಿದೆ" ಅಧಿಸೂಚನೆಯನ್ನು ನೋಡಿದ್ದಾರೆ. ಸಂದೇಶವಾಹಕದಲ್ಲಿ ಮಾತ್ರ ಅದನ್ನು ಓದಲು ಸಾಧ್ಯವಾಯಿತು.
ಅದರ ನಂತರ, ಆಪಲ್ನ ಇತ್ತೀಚಿನ ಆವೃತ್ತಿಯ ಅಧಿಸೂಚನೆಗಳು ಹೊಸ ಭದ್ರತಾ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಹೊಂದಿದೆ ಎಂದು ನಾವು ಕಲಿತಿದ್ದೇವೆ. ಅವರು
ನಾವು ಈಗ iOS ಗಾಗಿ ಪುಶ್ ಅಧಿಸೂಚನೆಗಳ ಎರಡನೇ ಆವೃತ್ತಿಯನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ್ದೇವೆ, ಇದು ಭದ್ರತಾ ಅಪಾಯವಿಲ್ಲದೆ ಸಂದೇಶದ ಪಠ್ಯವನ್ನು ಪ್ರದರ್ಶಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಹೊಸ ಪರಿಕಲ್ಪನೆಯಲ್ಲಿ, ತರ್ಕವು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
- ಪುಶ್ ಸೇವೆಯು ವಹಿವಾಟಿನ ಸಂಖ್ಯೆಯೊಂದಿಗೆ ಪುಶ್ ಅಧಿಸೂಚನೆಯನ್ನು ಕಳುಹಿಸುತ್ತದೆ (ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸಂದೇಶವು ತುಂಬಾ ದೊಡ್ಡದಾಗಿರಬಹುದು ಮತ್ತು ಅಧಿಸೂಚನೆಗಳ ಗಾತ್ರವು ತುಂಬಾ ಸೀಮಿತವಾಗಿರುತ್ತದೆ)
- ಸಾಧನವು ಅಧಿಸೂಚನೆಯನ್ನು ಸ್ವೀಕರಿಸಿದಾಗ, ಅದು ನಮ್ಮ ಅಧಿಸೂಚನೆ ಸೇವೆ ವಿಸ್ತರಣೆಯನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ - ಐಡಿ ಮೂಲಕ ನೋಡ್ನಿಂದ ವಹಿವಾಟನ್ನು ವಿನಂತಿಸುವ ಮೈಕ್ರೋಅಪ್ಲಿಕೇಶನ್, ಉಳಿಸಿದ ಪಾಸ್ಫ್ರೇಸ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಅದನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಸಿಸ್ಟಮ್ಗೆ ಹೊಸ ಅಧಿಸೂಚನೆಯನ್ನು ಕಳುಹಿಸುತ್ತದೆ. ಪಾಸ್ಫ್ರೇಸ್ ಅನ್ನು ಸುರಕ್ಷಿತ ಸಂಗ್ರಹಣೆಯಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ.
- ಸಿಸ್ಟಮ್ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಂದೇಶ ಅಥವಾ ಅನುವಾದದೊಂದಿಗೆ ಅಧಿಸೂಚನೆಯನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ.
- ಸರಳ ಪಠ್ಯ ಸಂದೇಶದಂತೆಯೇ ಕೀಲಿಗಳು ಎಲ್ಲಿಯೂ ಹೋಗುವುದಿಲ್ಲ. ಸಂದೇಶವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಪುಶ್ ಸೇವೆಯು ಯಾವುದೇ ಮಾರ್ಗವನ್ನು ಹೊಂದಿಲ್ಲ.
ಈ ಆವೃತ್ತಿಯು ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿದೆ ಎಂದು ನಾವು ಒಪ್ಪಿಕೊಂಡಿದ್ದೇವೆ ಮತ್ತು iOS ಅಪ್ಲಿಕೇಶನ್ನ ಇತ್ತೀಚಿನ ನವೀಕರಣದಲ್ಲಿ ಅದನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದ್ದೇವೆ.
ತಾಂತ್ರಿಕ ಭಾಗದಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿರುವವರು ಮೂಲ ಕೋಡ್ ಅನ್ನು ವೀಕ್ಷಿಸಬಹುದು:
ಮೂಲ: www.habr.com