GitHub NPM پيڪيج جي مخزن ۾ TLS 1.0 ۽ 1.1 لاءِ سپورٽ بند ڪرڻ جو فيصلو ڪيو آهي ۽ NPM پيڪيج مينيجر سان لاڳاپيل سڀني سائيٽن، بشمول npmjs.com. 4 آڪٽوبر کان شروع ٿي، مخزن سان ڳنڍڻ، پيڪيجز کي انسٽال ڪرڻ سميت، هڪ ڪلائنٽ جي ضرورت پوندي جيڪا گهٽ ۾ گهٽ TLS 1.2 کي سپورٽ ڪري. خود GitHub تي، TLS 1.0 / 1.1 لاءِ سپورٽ واپس فيبروري 2018 ۾ بند ڪئي وئي. مقصد چيو ويندو آهي ان جي خدمتن جي حفاظت ۽ صارف جي ڊيٽا جي رازداري لاءِ تشويش. GitHub جي مطابق، NPM مخزن جي باري ۾ 99٪ درخواستون اڳ ۾ ئي TLS 1.2 يا 1.3 استعمال ڪندي ڪيون ويون آهن، ۽ Node.js 1.2 کان وٺي TLS 2013 جي حمايت شامل ڪئي آهي (جڏهن کان 0.10 جاري ڪيو ويو آهي)، تنهن ڪري تبديلي صرف هڪ ننڍڙي حصي کي متاثر ڪندي. استعمال ڪندڙ.
اچو ته ياد رکون ته TLS 1.0 ۽ 1.1 پروٽوڪول سرڪاري طور تي IETF (انٽرنيٽ انجنيئرنگ ٽاسڪ فورس) پاران غير معمولي ٽيڪنالاجيز جي طور تي درجه بندي ڪئي وئي آهي. TLS 1.0 وضاحت شايع ڪئي وئي جنوري 1999 ۾. ستن سالن کان پوء، TLS 1.1 اپڊيٽ جاري ڪئي وئي حفاظتي بهتري سان لاڳاپيل شروعاتي ویکٹر ۽ پيڊنگ جي نسل سان. TLS 1.0/1.1 جي بنيادي مسئلن ۾ جديد سيفرن (مثال طور، ECDHE ۽ AEAD) لاءِ سپورٽ جو فقدان آهي ۽ پراڻن سيفرن کي سپورٽ ڪرڻ جي ضرورت جي وضاحت ۾ موجودگي، جنهن جي اعتبار جو موجوده اسٽيج تي سوال آهي. ڪمپيوٽنگ ٽيڪنالاجي جي ترقي (مثال طور، TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA لاءِ سپورٽ جي ضرورت آهي سالميت کي جانچڻ لاءِ ۽ تصديق MD5 ۽ SHA-1 استعمال ڪري ٿي). پراڻن الگورتھم لاءِ سپورٽ اڳ ۾ ئي حملن جو سبب بڻجي چڪي آهي جهڙوڪ ROBOT، DROWN، BEAST، Logjam ۽ FREAK. بهرحال، انهن مسئلن کي سڌو سنئون پروٽوڪول جي ڪمزورين تي غور نه ڪيو ويو ۽ ان جي عمل جي سطح تي حل ڪيو ويو. TLS 1.0/1.1 پروٽوڪول پاڻ ۾ نازڪ ڪمزورين جو فقدان آهن جن کي عملي حملن لاءِ استعمال ڪري سگهجي ٿو.
جو ذريعو: opennet.ru