د PHP پروژې Git ذخیره کې د دوه ناوړه ژمنو پیژندنې پورې اړوند د پیښې تحلیل لومړنۍ پایلې د شاته دروازې سره فعالې شوې کله چې د ځانګړي ډیزاین شوي کارونکي اجنټ سرلیک سره غوښتنه لیږلو سره خپره شوې. د برید کونکو د فعالیتونو د نښو د مطالعې په جریان کې ، دې پایلې ته رسیدلی چې پخپله git.php.net سرور ، په کوم کې چې د git ذخیره موقعیت لري ، هیک شوی نه و ، مګر د پروژې پراختیا کونکو حسابونو سره ډیټابیس جوړ شوی و. .
دا ممکنه ده چې برید کونکي د DBMS په master.php.net سرور کې ذخیره شوي د کارونکي ډیټابیس ډاونلوډ کړي. د master.php.net منځپانګې لا دمخه نوي main.php.net سرور ته لیږدول شوي چې له سکریچ څخه نصب شوي. ټول پراختیا کونکي پاسورډونه چې د php.net زیربنا ته د لاسرسي لپاره کارول کیږي بیا تنظیم شوي او د دوی د بدلولو پروسه د ځانګړي پاسورډ بیا رغونې فارم له لارې پیل شوې. git.php.net او svn.php.net ذخیره یوازې د لوستلو لپاره پاتې دي (پرمختګ GitHub ته لیږدول شوی).
د PHP بنسټ ایښودونکي راسموس لیرډورف د حساب له لارې د لومړي ناوړه ژمنې له کشف وروسته، داسې انګیرل کیده چې د هغه حساب هک شوی و او نیکیتا پاپوف، د PHP یو له مهمو پراختیا کونکو څخه، بدلونونه بیرته واخیستل او د ژمنې حقونه یې بند کړل. ستونزمن حساب. یو څه وروسته ، پوه شو چې بلاک کول هیڅ معنی نلري ، ځکه چې د ډیجیټل لاسلیک په کارولو سره د ژمنو تصدیق کولو پرته ، هر ګډون کونکی د php-src ذخیره کولو ته لاسرسی لري کولی شي د جعلي لیکوال نوم په ځای کولو سره بدلون رامینځته کړي.
بیا، برید کونکي پخپله د نیکیتا په استازیتوب یو ناوړه ژمنې واستولې. د ګیتولایټ خدمت لاګونو تحلیل کولو سره ، ذخیره کولو ته د لاسرسي تنظیم کولو لپاره کارول کیږي ، د ګډون کونکي ټاکلو لپاره هڅه شوې چې واقعیا بدلونونه یې کړي. د ټولو ژمنو لپاره د محاسبې شاملولو سره سره، د دوو ناوړه بدلونونو لپاره په لاګ کې هیڅ ننوتل شتون نلري. دا څرګنده شوه چې د زیربنا جوړجاړی شتون درلود، ځکه چې ژمنې په مستقیم ډول اضافه شوي، د ګیتولایټ له لارې د اتصال په واسطه.
د git.php.net سرور په سمدستي توګه غیر فعال شو، او لومړني ذخیره GitHub ته لیږدول شوې. په چټکۍ سره، دا هیر شوی و چې ذخیره ته د لاسرسي لپاره، د ګیتولایټ کارولو SSH سربیره، یو بل ان پټ و چې تاسو ته اجازه درکوي د HTTPS له لارې ژمنې واستوئ. په دې حالت کې، git-http-backend د Git سره د تعامل لپاره کارول شوی و، او تصدیق د Apache2 HTTP سرور په کارولو سره ترسره شوی و، کوم چې په master.php.net سرور کې په DBMS کې کوربه شوي ډیټابیس ته د لاسرسي له لارې اعتبار تصدیق کړی. د ننوتلو اجازه نه یوازې د کیلي سره، بلکې د منظم پټنوم سره هم وه. د HTTP سرور لاګونو تحلیل تایید کړه چې ناوړه بدلونونه د HTTPS له لارې اضافه شوي.
کله چې د لاګونو مطالعه وشوه، څرګنده شوه چې بریدګر لومړی ځل سره وصل نه و، په پیل کې یې هڅه وکړه چې د اکاونټ نوم ومومي، مګر وروسته له دې چې دوی یې وپیژني، دوی په لومړۍ هڅه کې ننوتل. دوی د راسموس او نیکیتا پاسورډونه دمخه پیژني ، مګر د دوی ننوتل نه پوهیدل. که چیرې برید کونکي وکولی شي DBMS ته لاسرسی ومومي، دا څرګنده نده چې ولې دوی سمدلاسه سمدلاسه هلته ټاکل شوي سم ننوتل نه کاروي. دا توپیر تر اوسه د باور وړ توضیح نه دی ترلاسه کړی. د master.php.net هیک کول خورا احتمالي سناریو ګڼل کیږي، ځکه چې دا سرور ډیر زوړ کوډ او یو زوړ OS کارولی، کوم چې د اوږدې مودې لپاره تازه شوی نه و او ناپاک شوي زیانونه یې درلودل.
په ترسره شویو اقداماتو کې د master.php.net سرور چاپیریال بیا نصب کول او د PHP 8 نوي نسخې ته د سکریپټونو لیږدول شامل دي. د DBMS سره د کار کولو کوډ د پیرامیټر شوي پوښتنو کارولو لپاره بدل شوی چې د SQL کوډ بدیل پیچلی کوي. د bcrypt الګوریتم په ډیټابیس کې د پټنوم هشونو ذخیره کولو لپاره کارول کیږي (پخوا ، پاسورډونه د باور وړ MD5 هش په کارولو سره زیرمه شوي وو). موجود پاسورډونه بیا تنظیم شوي او تاسو ته به د پټنوم د بیرته راستنیدو فارم له لارې د نوي رمز تنظیم کولو لپاره هڅول کیږي. څرنګه چې د HTTPS له لارې git.php.net او svn.php.net ذخیره کولو ته لاسرسی د MD5 هشونو سره تړل شوی و، نو پریکړه وشوه چې git.php.net او svn.php.net یوازې د لوستلو حالت کې پریږدي، او ټول حرکت هم وکړي. پاتې نور دوی ته د PECL توسیع ذخیره په GitHub کې، د اصلي PHP ذخیره ته ورته.
سرچینه: opennet.ru