Mozilla ayaa ku dhawaaqday dhamaystirka xisaab xidhka madaxa banaan ee software-ka macmiilka ee ku xidhidhiyaha adeega Mozilla VPN. Hantidhawrka waxaa ku jiray falanqaynta codsiga macmiilka ee keligiis ah oo la qoray iyadoo la isticmaalayo maktabadda Qt oo diyaar u ah Linux, macOS, Windows, Android iyo iOS. Mozilla VPN waxaa ku shaqeeya in ka badan 400 oo adeeg bixiyayaasha Mullvad ee Iswidhishka VPN, oo ku yaal in ka badan 30 wadan. Ku xidhidhiyaha adeega VPN waxa lagu sameeyaa hab-maamuuska WireGuard.
Hantidhawrka waxaa fuliyay Cure53, kaas oo hal mar baadhay mashaariicda NTPsec, SecureDrop, Cryptocat, F-Droid iyo Dovecot. Hantidhawrku waxa uu daboolay xaqiijinta koodka isha waxaana ku daray imtixaano lagu ogaanayo dayacanka suurtagalka ah (arrimaha la xidhiidha xog-ururinta lama tixgelin). Inta uu socday xisaab xirka, waxaa la soo saaray 16 arrimood oo dhinaca ammaanka ah, 8 ka mid ah waxay ahaayeen talooyin, 5 waxaa loo qoondeeyay halis hoose, labana waxaa loo qoondeeyay heer dhexdhexaad ah, midna waxaa loo qoondeeyay khatar sare.
Si kastaba ha ahaatee, hal arrin oo keliya oo leh heerka darnaanta dhexdhexaadka ah ayaa loo kala saaray sidii baylahda, maadaama ay ahayd ta keliya ee laga faa'iidaysan karo. Arrintani waxay keentay in xogta isticmaalka VPN ay ka baxdo koodka ogaanshaha marinka maxbuuska sababtoo ah codsiyada HTTP tooska ah ee aan qarsoodi ahayn ee laga soo diray meel ka baxsan tunnelka VPN, taasoo muujinaysa ciwaanka IP-ga ee aasaasiga ah ee isticmaalaha haddii qofka weerarka geystay uu xakamayn karo taraafikada. Dhibaatada waxaa lagu xalliyaa iyadoo la joojinayo habka ogaanshaha marinka maxbuuska ee goobaha.
Dhibaatada labaad ee darnaanta dhexdhexaadka ah waxay la xiriirtaa la'aanta nadiifinta saxda ah ee qiyamka aan tirooyinka ahayn ee lambarka dekedda, kaas oo u oggolaanaya daadinta cabbirrada xaqiijinta OAuth iyadoo lagu beddelayo lambarka dekedda xarig sida "[emailka waa la ilaaliyay]", taasoo keeni doonta in summada la rakibo[emailka waa la ilaaliyay]/?code=..." alt=""> gelida tusaale.com beddelkii 127.0.0.1.
Arrinta saddexaad, oo loo calaamadiyay inay tahay khatar, waxay u oggolaanaysaa codsi kasta oo maxalli ah iyada oo aan la aqoonsanayn inuu galo macmiilka VPN iyada oo loo marayo WebSocket oo ku xidhan localhost. Tusaale ahaan, waxaa la tusay sida, macmiilka VPN ee firfircoon, goob kastaa ay u habayn karto abuurista iyo soo dirida shaashadda iyagoo soo saaraya dhacdada screen_capture. Dhibaatada looma kala saarin inay tahay baylah, maadaama WebSocket loo isticmaalay kaliya dhismooyinka tijaabada gudaha iyo isticmaalka kanaalkan isgaarsiineed waxaa la qorsheeyay oo kaliya mustaqbalka si loo abaabulo isdhexgalka browserka.
Source: opennet.ru