د مارچ د 10 په ماښام، د Mail.ru مالتړ خدمت د کاروونکو لخوا د بریښنالیک پروګرامونو له لارې د Mail.ru IMAP/SMTP سرورونو سره د نښلولو نشتوالي په اړه شکایتونه ترلاسه کول پیل کړل. په ورته وخت کې، ځینې اړیکې نه دي تللي، او ځینې یې د سند تېروتنه ښیې. تېروتنه د "سرور" له امله رامینځته شوې چې د ځان لاسلیک شوي TLS سند صادروي.
په دوه ورځو کې، له 10 څخه ډیر شکایتونه د کاروونکو لخوا په مختلفو شبکو او د مختلفو وسیلو سره راغلل، دا امکان نلري چې ستونزه د کوم یو برابرونکي په شبکه کې وي. د ستونزې ډیر تفصیلي تحلیل څرګنده کړه چې imap.mail.ru سرور (همدارنګه نور میل سرورونه او خدمات) د DNS په کچه بدلیږي. سربیره پردې ، زموږ د کاروونکو فعالې مرستې سره ، موږ وموندله چې لامل یې د دوی د روټر کیچ کې غلط ننوتل و ، کوم چې د DNS محلي حل کونکی هم دی ، او کوم چې په ډیری (مګر ټولو نه) قضیو کې مایکرو ټیک وګرځید. وسیله، په کوچنیو کارپوریټ شبکو او د کوچنیو انټرنیټ چمتو کونکو څخه خورا مشهور.
څه مشکل ده
د سپتمبر په 2019 کې، څیړونکي
دا څرګنده ده چې دا ستونزه اوس په فعاله توګه "ژوندی" کارول کیږي.
ولې خطرناک دی
یو برید کونکی کولی شي په داخلي شبکه کې د کارونکي لخوا لاسرسي شوي هر کوربه DNS ریکارډ غلا کړي ، په دې توګه دې ته ترافیک مداخله کوي. که حساس معلومات د کوډ کولو پرته لیږدول کیږي (د مثال په توګه د TLS پرته http:// څخه) یا کارونکي د جعلي سند منلو سره موافق وي، برید کوونکی کولی شي ټول هغه معلومات ترلاسه کړي چې د پیوستون له لارې لیږل کیږي، لکه د ننوتلو یا پټنوم. له بده مرغه، تمرین ښیې چې که یو کاروونکي د جعلي سند منلو فرصت ولري، نو هغه به ترې ګټه پورته کړي.
ولې SMTP او IMAP سرورونه، او کوم کاروونکي خوندي کړي
ولې برید کونکو هڅه وکړه چې د بریښنالیک غوښتنلیکونو SMTP/IMAP ترافیک مخه ونیسي ، نه د ویب ترافیک ، که څه هم ډیری کارونکي د HTTPS براوزر له لارې خپل بریښنالیک ته لاسرسی لري؟
ټول بریښنالیک پروګرامونه چې د SMTP او IMAP/POP3 له لارې کار کوي کارونکي د غلطیو څخه نه ساتي، هغه د غیر خوندي یا جوړ شوي ارتباط له لارې د ننوتلو او پټنوم لیږلو مخه نیسي، که څه هم د معیار سره سم
براوزر ممکن یو څه ښه خوندي وي د مینځني مینځني مینځلو بریدونو پروړاندې. په ټولو mail.ru مهمو ډومینونو کې، د HTTPS سربیره، د HSTS (HTTP سخت ټرانسپورټ امنیت) پالیسي فعاله ده. د HSTS فعالولو سره، یو عصري براوزر کارونکي ته د جعلي سند منلو لپاره اسانه اختیار نه ورکوي، حتی که کاروونکي وغواړي. د HSTS سربیره، کاروونکي د دې حقیقت له مخې خوندي شوي چې د 2017 راهیسې، د Mail.ru SMTP، IMAP او POP3 سرورونه په غیر خوندي پیوستون کې د پاسورډونو لیږد منع کوي، زموږ ټولو کاروونکو د SMTP، POP3 او IMAP له لارې د لاسرسي لپاره TLS کارولی، او له همدې امله ننوت او پټنوم یوازې هغه وخت مداخله کولی شي چې کارونکي پخپله د جعلي سند منلو سره موافق وي.
د ګرځنده کاروونکو لپاره، موږ تل د بریښنالیک ته د لاسرسي لپاره د Mail.ru غوښتنلیکونو کارولو وړاندیز کوو، ځکه چې ... په دوی کې د بریښنالیک سره کار کول د براوزرونو یا جوړ شوي SMTP/IMAP پیرودونکو په پرتله خوندي دي.
څه باید وشي
دا اړینه ده چې د MikroTik RouterOS فرم ویئر خوندي نسخه ته تازه کړئ. که د کوم دلیل لپاره دا ممکنه نه وي، نو اړینه ده چې په 8291 پورټ (tcp او udp) کې ترافیک فلټر کړئ، دا به د ستونزې استخراج پیچلي کړي، که څه هم دا به د DNS کیچ کې د غیر فعال انجیکشن احتمال له منځه یوسي. ISPs باید دا پورټ په خپلو شبکو کې فلټر کړي ترڅو د کارپوریټ کاروونکو ساتنه وکړي.
ټول هغه کاروونکي چې یو بدل شوی سند یې منلی باید سمدستي د بریښنالیک او نورو خدماتو لپاره پاسورډ بدل کړي چې دا سند یې منل شوی و. زموږ د برخې لپاره، موږ به هغه کاروونکو ته خبر ورکړو چې د زیان منونکو وسیلو له لارې بریښنالیک ته لاسرسی ومومي.
PS یو اړوند زیان هم شتون لري چې په پوسټ کې بیان شوي
سرچینه: www.habr.com