mitmproxy کے مصنف، HTTP/HTTPS ٹریفک کا تجزیہ کرنے کے لیے ایک ٹول، نے PyPI (Python Package Index) ڈائرکٹری میں Python پیکجز کے اپنے پروجیکٹ کے کانٹے کی طرف توجہ مبذول کرائی۔ فورک کو اسی طرح کے نام mitmproxy2 اور غیر موجود ورژن 8.0.1 (موجودہ ریلیز mitmproxy 7.0.4) کے ساتھ اس امید کے ساتھ تقسیم کیا گیا تھا کہ غافل صارفین پیکیج کو مرکزی پروجیکٹ کے نئے ایڈیشن کے طور پر سمجھیں گے (ٹائپسکویٹنگ) اور چاہیں گے۔ نیا ورژن آزمانے کے لیے۔
اس کی ساخت میں، mitmproxy2 mitmproxy کی طرح تھا، بدنیتی پر مبنی فعالیت کے نفاذ کے ساتھ تبدیلیوں کے استثناء کے ساتھ۔ تبدیلیوں میں HTTP ہیڈر "X-Frame-Options: DENY" کی ترتیب کو روکنا شامل ہے، جو iframe کے اندر مواد کی پروسیسنگ کو روکتا ہے، XSRF حملوں کے خلاف تحفظ کو غیر فعال کرتا ہے اور ہیڈر "Access-Control-Allow-Origin: *" کو سیٹ کرتا ہے۔ "Access-Control-Allow-Headers: *" اور "Access-Control-Allow-methods: POST, GET, DELETE, OPTIONS"۔
ان تبدیلیوں نے ویب انٹرفیس کے ذریعے mitmproxy کو منظم کرنے کے لیے استعمال ہونے والے HTTP API تک رسائی پر پابندیاں ہٹا دی ہیں، جس نے ایک ہی مقامی نیٹ ورک پر موجود کسی بھی حملہ آور کو HTTP درخواست بھیج کر صارف کے سسٹم پر اپنے کوڈ کے نفاذ کو منظم کرنے کی اجازت دی۔
ڈائرکٹری انتظامیہ نے اس بات پر اتفاق کیا کہ کی گئی تبدیلیوں کو بدنیتی سے تعبیر کیا جا سکتا ہے، اور پیکج کو ہی مرکزی پروجیکٹ کی آڑ میں کسی اور پروڈکٹ کو فروغ دینے کی کوشش کے طور پر (پیکج کی تفصیل میں کہا گیا ہے کہ یہ mitmproxy کا نیا ورژن تھا، نہ کہ کانٹا)۔ کیٹلاگ سے پیکج کو ہٹانے کے بعد، اگلے دن ایک نیا پیکج، mitmproxy-iframe، PyPI پر پوسٹ کیا گیا، جس کی تفصیل بھی مکمل طور پر آفیشل پیکج سے ملتی ہے۔ mitmproxy-iframe پیکیج کو بھی اب PyPI ڈائریکٹری سے ہٹا دیا گیا ہے۔
ماخذ: opennet.ru