ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > APNIC අන්තර්ජාල රෙජිස්ට්‍රාර් හි Whois සේවාවේ මුරපද හෑෂ් කාන්දු වීම

APNIC අන්තර්ජාල රෙජිස්ට්‍රාර් හි Whois සේවාවේ මුරපද හෑෂ් කාන්දු වීම

ආසියා පැසිෆික් කලාපයේ IP ලිපින බෙදා හැරීමේ වගකීම දරන APNIC රෙජිස්ට්‍රාර්, රහසිගත දත්ත සහ මුරපද හෑෂ් ඇතුළුව Whois සේවාවේ SQL ඩම්ප් එකක් ප්‍රසිද්ධියේ ලබා ගත හැකි බවට සිදුවීමක් වාර්තා කළේය. APNIC හි පුද්ගලික දත්ත කාන්දු වූ පළමු අවස්ථාව මෙය නොවන බව සැලකිය යුතු කරුණකි - 2017 දී, Whois දත්ත ගබඩාව දැනටමත් ප්‍රසිද්ධියේ ලබා දී ඇති අතර, කාර්ය මණ්ඩල අධීක්ෂණය හේතුවෙන්.

WHOIS ප්‍රොටෝකෝලය ප්‍රතිස්ථාපනය කිරීම සඳහා නිර්මාණය කර ඇති RDAP ප්‍රොටෝකෝලය සඳහා සහය හඳුන්වා දීමේ ක්‍රියාවලියේදී, APNIC සේවකයින් Google Cloud cloud storage හි Whois සේවාවේ භාවිතා කරන දත්ත ගබඩාවේ SQL ඩම්ප් එකක් තැබූ නමුත් එයට ප්‍රවේශය සීමා නොකළේය. සැකසුම් වල දෝෂයක් හේතුවෙන්, SQL ඩම්ප් මාස තුනක් සඳහා ප්‍රසිද්ධියේ ලබා ගත හැකි වූ අතර, මෙම කරුණ අනාවරණය වූයේ ජුනි 4 වන දින, එක් ස්වාධීන ආරක්ෂක පර්යේෂකයෙකු මෙය දැක ඇති අතර ගැටළුව පිළිබඳව රෙජිස්ට්‍රාර්ට දැනුම් දුන් විට පමණි.

SQL dump හි නඩත්තු සහ සිද්ධි ප්‍රතිචාර කණ්ඩායම (IRT) වස්තු වෙනස් කිරීම සඳහා මුරපද හෑෂ් අඩංගු “auth” ගුණාංග මෙන්ම සාමාන්‍ය විමසුම්වලදී Whois හි නොපෙන්වන සමහර සංවේදී පාරිභෝගික තොරතුරු (සාමාන්‍යයෙන් අමතර සම්බන්ධතා තොරතුරු සහ පරිශීලකයා පිළිබඳ සටහන්) අඩංගු විය. . මුරපද ප්‍රතිසාධනය කිරීමේදී, ප්‍රහාරකයන්ට Whois හි IP ලිපින බ්ලොක් වල හිමිකරුවන්ගේ පරාමිතීන් සමඟ ක්ෂේත්‍රවල අන්තර්ගතය වෙනස් කිරීමට හැකි විය. නඩත්තු වස්තුව "mnt-by" ගුණාංගය හරහා සම්බන්ධ කර ඇති වාර්තා සමූහයක් වෙනස් කිරීම සඳහා වගකිව යුතු පුද්ගලයා නිර්වචනය කරයි, සහ IRT වස්තුවේ ගැටළු දැනුම්දීම් වලට ප්‍රතිචාර දක්වන පරිපාලකයින් සඳහා සම්බන්ධතා තොරතුරු අඩංගු වේ. භාවිතා කරන ලද මුරපද හැෂිං ඇල්ගොරිතම පිළිබඳ තොරතුරු සපයා නැත, නමුත් 2017 දී, යල් පැන ගිය MD5 සහ CRYPT-PW ඇල්ගොරිතම (UNIX ක්‍රිප්ට් ශ්‍රිතය මත පදනම් වූ හැෂ් සහිත අක්ෂර 8ක මුරපද) හැෂිං සඳහා භාවිතා කරන ලදී.

සිද්ධිය හඳුනා ගැනීමෙන් පසුව, APNIC විසින් Whois හි ඇති වස්තූන් සඳහා මුරපද යළි පිහිටුවීමක් ආරම්භ කරන ලදී. APNIC පැත්තෙන්, නීත්‍යානුකූල නොවන ක්‍රියාවක සලකුණු තවමත් අනාවරණය වී නොමැත, නමුත් Google Cloud හි ගොනු වෙත ප්‍රවේශ වීමේ සම්පූර්ණ ලඝු-සටහන් නොමැති බැවින් දත්ත ප්‍රහාරකයින් අතට පත් නොවූ බවට සහතිකයක් නොමැත. පෙර සිදුවීමෙන් පසුව මෙන්ම, අනාගතයේදී එවැනි කාන්දුවීම් වැළැක්වීම සඳහා විගණනයක් පැවැත්වීමට සහ තාක්ෂණික ක්‍රියාවලීන්හි වෙනස්කම් කිරීමට APNIC පොරොන්දු විය.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න