Mozilla သည် Mozilla VPN ဝန်ဆောင်မှုသို့ ချိတ်ဆက်ရန်အတွက် လွတ်လပ်သော စာရင်းစစ်ဖောက်သည်ဆော့ဖ်ဝဲကို အပြီးသတ်ကြောင်း ကြေညာခဲ့သည်။ စာရင်းစစ်တွင် Qt စာကြည့်တိုက်ကို အသုံးပြု၍ ရေးသားထားသော သီးခြား client အပလီကေးရှင်းကို ခွဲခြမ်းစိတ်ဖြာပြီး Linux၊ macOS၊ Windows၊ Android နှင့် iOS အတွက် ရရှိနိုင်ပါသည်။ Mozilla VPN ကို နိုင်ငံပေါင်း 400 ကျော်တွင် တည်ရှိသော Swedish VPN ဝန်ဆောင်မှုပေးသူ Mullvad ၏ ဆာဗာ 30 ကျော်ဖြင့် စွမ်းဆောင်ထားသည်။ VPN ဝန်ဆောင်မှုသို့ ချိတ်ဆက်မှုသည် WireGuard ပရိုတိုကောကို အသုံးပြု၍ ပြုလုပ်ထားသည်။
စာရင်းစစ်ကို တစ်ချိန်က NTPsec၊ SecureDrop၊ Cryptocat၊ F-Droid နှင့် Dovecot ပရောဂျက်များကို စစ်ဆေးခဲ့သော Cure53 မှ ဆောင်ရွက်ခဲ့ပါသည်။ စာရင်းစစ်သည် ရင်းမြစ်ကုဒ်များကို အတည်ပြုခြင်းနှင့် ဖြစ်နိုင်ခြေရှိသော အားနည်းချက်များကို ခွဲခြားသတ်မှတ်ရန် စမ်းသပ်မှုများပါ၀င်သည် (cryptography နှင့် ပတ်သက်သည့် ပြဿနာများကို ထည့်သွင်းစဉ်းစားခြင်းမပြုပါ)။ စစ်ဆေးမှုအတွင်း ဘေးကင်းရေးပြဿနာ ၁၆ ခုကို ဖော်ထုတ်ခဲ့ပြီး ယင်းတို့အနက် ၈ ချက်မှာ အကြံပြုချက် ၅ ချက်၊ အန္တရာယ်အဆင့်နိမ့်၊ ၂ ခုကို အလယ်အလတ်အဆင့် သတ်မှတ်ထားပြီး တစ်ခုမှာ အန္တရာယ်အဆင့်သတ်မှတ်ထားသည်။
သို့ရာတွင်၊ အလယ်အလတ်ပြင်းထန်မှုအဆင့်ရှိသော ပြဿနာတစ်ခုတည်းကို အားနည်းချက်အဖြစ် ခွဲခြားသတ်မှတ်ထားသောကြောင့် ၎င်းသည် အမြတ်ထုတ်နိုင်သည့်တစ်ခုတည်းသောကိစ္စဖြစ်သောကြောင့် ဖြစ်သည်။ တိုက်ခိုက်သူသည် ဖြတ်သန်းသွားလာမှုကို ထိန်းချုပ်နိုင်လျှင် အသုံးပြုသူ၏ ပင်မ IP လိပ်စာကို ကုဒ်ဝှက်ထားခြင်းမရှိသော တိုက်ရိုက် HTTP တောင်းဆိုမှုများကြောင့် ဤပြဿနာသည် VPN အသုံးပြုမှု အချက်အလက် ပေါက်ကြားသွားပါသည်။ ဆက်တင်များတွင် captive portal detection mode ကို ပိတ်ခြင်းဖြင့် ပြဿနာကို ဖြေရှင်းနိုင်သည်။
အလယ်အလတ်ပြင်းထန်မှု၏ ဒုတိယပြဿနာမှာ ဆိပ်ကမ်းနံပါတ်ရှိ ဂဏန်းမဟုတ်သောတန်ဖိုးများကို သင့်လျော်စွာ သန့်ရှင်းမှုမရှိခြင်းနှင့် ဆက်စပ်နေပြီး OAuth စစ်မှန်ကြောင်းအထောက်အထားများ ပေါက်ကြားစေသည့် ဘောင်များကို "ဆိပ်ကမ်းနံပါတ်ကဲ့သို့ စာကြောင်းဖြင့် အစားထိုးခြင်းဖြင့်[အီးမေးလ်ကိုကာကွယ်ထားသည်]"၊ ၎င်းသည် tag ကိုထည့်သွင်းရန်ဖြစ်စေလိမ့်မည်။[အီးမေးလ်ကိုကာကွယ်ထားသည်]/?code=..." alt=""> 127.0.0.1 အစား example.com ကို အသုံးပြုခြင်း။
တတိယပြဿနာမှာ အန္တရာယ်ရှိသည်ဟု အလံပြထားသော၊ အထောက်အထားမခိုင်လုံဘဲ မည်သည့်ဒေသန္တရအပလီကေးရှင်းကိုမဆို WebSocket နှင့်ချိတ်ဆက်ထားသော Localhost မှတစ်ဆင့် VPN client ကို ဝင်ရောက်ကြည့်ရှုခွင့်ပေးသည်။ ဥပမာအနေဖြင့်၊ အသုံးပြုနေသော VPN ကလိုင်းယင့်ဖြင့်၊ မည်သည့်ဆိုက်သည် screen_capture ဖြစ်ရပ်ကိုဖန်တီးခြင်းဖြင့် ဖန်တီးခြင်းနှင့် ဖန်သားပြင်ဓာတ်ပုံပေးပို့ခြင်းတို့ကို စုစည်းနိုင်ပုံကို ပြသထားသည်။ WebSocket ကို အတွင်းပိုင်း စမ်းသပ်တည်ဆောက်မှုများတွင်သာ အသုံးပြုခဲ့ပြီး ဘရောက်ဆာ အပိုပရိုဂရမ်နှင့် အပြန်အလှန်ဆက်သွယ်မှု စုစည်းရန် ဤဆက်သွယ်ရေးချန်နယ်ကို အနာဂတ်တွင်သာ အသုံးပြုရန် စီစဉ်ထားသောကြောင့် ပြဿနာကို အားနည်းချက်အဖြစ် ခွဲခြားမသတ်မှတ်ထားပေ။
source: opennet.ru