🥇 NPM भण्डारले TLS 1.0 र 1.1 को लागि समर्थन समाप्त गर्दैछ

GitHub ले NPM प्याकेज रिपोजिटरी र npmjs.com सहित NPM प्याकेज प्रबन्धकसँग सम्बन्धित सबै साइटहरूमा TLS 1.0 र 1.1 को लागि समर्थन बन्द गर्ने निर्णय गरेको छ। अक्टोबर 4 देखि, प्याकेजहरू स्थापना गर्ने लगायत भण्डारमा जडान गर्न, कम्तिमा TLS 1.2 लाई समर्थन गर्ने ग्राहक चाहिन्छ। GitHub मा, TLS 1.0/1.1 को समर्थन फेब्रुअरी 2018 मा फिर्ता बन्द गरिएको थियो। यसको उद्देश्य यसको सेवाहरूको सुरक्षा र प्रयोगकर्ता डेटाको गोपनीयताको लागि चिन्ता हो भनिन्छ। GitHub को अनुसार, NPM भण्डारमा लगभग 99% अनुरोधहरू पहिले नै TLS 1.2 वा 1.3 प्रयोग गरी बनाइएका छन्, र Node.js ले 1.2 देखि TLS 2013 को लागि समर्थन समावेश गरेको छ (विमोचन 0.10 देखि), त्यसैले परिवर्तनले केवल एक सानो भागलाई असर गर्नेछ। प्रयोगकर्ताहरू।

हामीलाई याद गरौं कि TLS 1.0 र 1.1 प्रोटोकलहरूलाई आधिकारिक रूपमा IETF (Internet Engineering Task Force) द्वारा अप्रचलित प्रविधिहरूको रूपमा वर्गीकृत गरिएको छ। TLS 1.0 विनिर्देश जनवरी 1999 मा प्रकाशित भएको थियो। सात वर्ष पछि, TLS 1.1 अपडेट प्रारम्भिक भेक्टर र प्याडिङको उत्पादनसँग सम्बन्धित सुरक्षा सुधारहरूसँग जारी गरिएको थियो। TLS 1.0/1.1 को मुख्य समस्याहरू मध्ये आधुनिक सिफरहरू (उदाहरणका लागि, ECDHE र AEAD) को लागि समर्थनको कमी र पुरानो सिफरहरूलाई समर्थन गर्न आवश्यकताको विशिष्टतामा उपस्थिति, जसको विश्वसनीयता वर्तमान चरणमा प्रश्न गरिएको छ। कम्प्युटिङ प्रविधिको विकास (उदाहरणका लागि, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA को लागि समर्थन अखण्डता जाँच गर्न आवश्यक छ र प्रमाणीकरणले MD5 र SHA-1 प्रयोग गर्दछ)। पुरानो एल्गोरिदमहरूको लागि समर्थनले पहिले नै ROBOT, DROWN, BEAST, Logjam र FREAK जस्ता आक्रमणहरू निम्त्याएको छ। यद्यपि, यी समस्याहरूलाई प्रोटोकल कमजोरीहरूलाई प्रत्यक्ष रूपमा मानिएको थिएन र यसको कार्यान्वयनको स्तरमा समाधान गरिएको थियो। TLS 1.0/1.1 प्रोटोकलहरू आफैंमा महत्वपूर्ण कमजोरीहरू छैनन् जुन व्यावहारिक आक्रमणहरू गर्न प्रयोग गर्न सकिन्छ।

स्रोत: opennet.ru

NPM रिपोजिटरीले TLS 1.0 र 1.1 लाई समर्थन रद्द गर्दैछ

एक टिप्पणी थप्न Отменить ответ