خوندي خبرتیاوې: له تیوري څخه تر عمل پورې

اې حبره!

نن به زه د هغه څه په اړه وغږیږم چې زما همکاران او زه له څو میاشتو راهیسې ترسره کوم: د ګرځنده فوري میسینجرونو لپاره خبرتیاوې فشار ورکړئ. لکه څنګه چې ما مخکې وویل، زموږ په غوښتنلیک کې اصلي ټینګار په امنیت دی. له همدې امله ، موږ وموندله چې ایا د فشار خبرتیاوې "کمزوري ټکي" لري او که داسې وي ، نو موږ څنګه کولی شو دوی ته کچه ورکړو ترڅو زموږ خدمت ته دا ګټور اختیار اضافه کړو.

زه زموږ یوه ژباړه خپروم د منځني څخه مقالې له ځانه د ځینو کوچنیو اضافو سره. دا د "تحقیقاتو" پایلې او د ستونزې د حل کولو په اړه یوه کیسه لري.

موږ مواد معاینه کوو

په کلاسیک ماډل کې، د فشار خبرتیا میسنجرونه د MITM (مین په مینځ کې) بریدونو ته زیان رسوي. د مثال په توګه، د ګوګل، مایکروسافټ، او د iMessage زوړ نسخه سره، غوښتنلیک د ایپل سرورونو ته د کوډ کولو کیلي لیږي - په سرور کې، کاروونکي تصدیق شوي او د پیغام سرلیک (یا د هغې منځپانګې) بې برخې شوي.

د پایلې په توګه ، د پش خبرتیا سرور ته د لاسرسي په ترلاسه کولو سره د لیکلو لوستلو فرصت شتون لري. دا پدې مانا ده چې د لیک هر ډول کوډ کول بې ګټې دي: د فشار خبرتیاوې به لاهم د دریمې ډلې لخوا د لوستلو امکان پریږدي. د مقالې لیکوالانو د دې امکان په اړه په ډیر تفصیل سره بحث وکړ. "په سمه توګه کوډ کړئ" په Xaker.ru کې، د پیغامونو کوډ کولو میتودونو ته وقف شوی.

که تاسو فکر کوئ چې د ایپل او ګوګل سرورونه د کاروونکي کوډ کولو کیلي لیک کولو پروړاندې 100٪ خوندي دي ، دا حقیقت په پام کې ونیسئ چې د دوی کارمندان دوی ته لاسرسی لري. او کارکوونکي خلک دي.
د پش خبرتیاو د ټولو زیانونو سره سره، ډیری "خوندي" فوري میسنجرونه، په شمول د سیګنال او ټیلیګرام، دوی کاروي. که نه نو، کاروونکي به په دوامداره توګه په غوښتنلیک کې د ننوتلو له لارې نوي پیغامونه "په لاسي ډول" وڅاري. کوم چې خورا نامناسب دی، او سیالي کونکي رسول به ګټه ترلاسه کړي.

پارونیا او عام احساس

زموږ په پروژه کې، موږ دا مسله څو میاشتې دمخه له نږدې څخه پورته کړه. موږ اړتیا لرو چې د سیالۍ کولو لپاره د پش خبرتیا اختیار اضافه کړو. مګر په ورته وخت کې، امنیتي سوري مه خلاصوئ، ځکه چې د معلوماتو هر ډول لیک به په پروژه باور کمزوری کړي.

په هرصورت، موږ دمخه یوه مهمه ګټه لرو: زموږ میسنجر غیر متمرکز دی (ډیټا په بلاکچین کې زیرمه شوې) ، او کارمندان حسابونو ته لاسرسی نلري. یوازې کاروونکي د کوډ کولو کیلي لري، او د خبرو اترو عامه کیلي په بلاکچین کې شتون لري ترڅو د MITM بریدونو څخه ساتنه وکړي.

د پش خبرتیاو په لومړۍ نسخه کې، موږ پریکړه وکړه چې دا د امکان تر حده خوندي ولوبوو او د پیغام متن په بشپړ ډول نه لیږدوو. د فشار خدمت د نوډ څخه د پیغام متن ندی ترلاسه کړی، مګر یوازې د رسیدلو حقیقت په اړه یو سیګنال. له همدې امله ، کارونکي د "نوی پیغام رسیدلی" خبرتیا ولیدله. دا ممکنه وه چې دا یوازې په میسینجر کې لوستل شي.

دا څنګه کار کوي: ویډیو.

له هغې وروسته، موږ پوه شو چې د ایپل د خبرتیاوو وروستۍ نسخه نوي امنیتي ځانګړتیاوې لري. دوی خپور شوی د UNNotificationServiceExtension، کوم چې پراختیا کونکو ته اجازه ورکوي چې په APNS کې د بشپړ کوډ شوي خبرتیا ډیټا واستوي. د وروستي کارونکي وسیله کې ایپ بیا ډیکریپشن ترسره کوي (یا اضافي ډیټا ډاونلوډ کوي) او یو خبرتیا ښیې. موږ دا د پش خبرتیاو دوهم نسخه لپاره د اساس په توګه واخیست.

موږ اوس د iOS لپاره د پش خبرتیاو دوهم نسخه رامینځته کړې ، کوم چې تاسو ته اجازه درکوي د پیغام متن پرته له امنیتي خطر څخه ښکاره کړئ. په نوي مفهوم کې، منطق داسې ښکاري:

• د فشار خدمت د لیږد شمیرې سره د فشار خبرتیا لیږي (کوډ شوی پیغام خورا لوی کیدی شي ، او د خبرتیا اندازه خورا محدوده ده)
• کله چې وسیله یو خبرتیا ترلاسه کوي، دا زموږ د NotificationServiceExtension پیلوي - یو مایکرو اپلیکیشن چې د نوډ څخه د id په واسطه د لیږد غوښتنه کوي، د خوندي شوي پاسفراس په کارولو سره یې ډیکریټ کوي، او سیسټم ته نوی خبرتیا لیږي. پاسفریز په خوندي ذخیره کې ساتل کیږي.
• سیسټم د کوډ شوي پیغام یا ژباړې سره خبرتیا ښیې.
• کیلي چیرته نه ځي، لکه د ساده متن پیغام په څیر. د فشار خدمت د پیغام د کوډ کولو لپاره هیڅ لاره نلري.

موږ دا نسخه د کار په توګه ومنله او د iOS غوښتنلیک په وروستي تازه کې یې پلي کړه.
هغه کسان چې تخنیکي اړخ سره علاقه لري کولی شي د سرچینې کوډ وګوري: github.com/Adamant-im/adamant-notificationService.

سرچینه: www.habr.com