फेसबुक स्रोत कोड लीक - टेकक्रंच - सामाजिक मीडिया - 2019

Anonim

हमें अभी एक टिप मिली है कि फेसबुक मुख्य सूचकांक पृष्ठ के लिए स्रोत कोड लीक किया गया है और फेसबुक गोपनीयता नामक ब्लॉग पर प्रकाशित किया गया है। कम से कम दो संभावित तरीके हैं जिनसे स्रोत कोड निकला है - पहला यह है कि एक फेसबुक डेवलपर ने इसे भेज दिया है, या एक अधिक संभावित विकल्प है कि एक सुरक्षा छेद या अन्य विधि का उपयोग किसी भी फेसबुक सर्वर में या किसी अन्य पर किया गया है कोड को प्रकट करने के लिए उनके स्रोत कोड भंडार। जिस ब्लॉग ने कोड प्रकाशित किया है, उसमें केवल एक ही पोस्ट है, इसलिए इसे विशेष रूप से इस कोड को प्रकाशित करने के लिए बनाया गया था - जिसका अर्थ यह है कि जो भी पीछे है, वह छेद के लिए क्रेडिट नहीं ले रहा है और इसके साथ जुड़ना नहीं चाहता है। हालांकि यह सत्यापित करने का कोई निश्चित तरीका नहीं है कि कोड वास्तव में फेसबुक से है, कोड के माध्यम से त्वरित रूप से देखकर और संदर्भित कुछ पथों को दोबारा जांचकर, हम कुछ निश्चितता के साथ कह सकते हैं कि यह वास्तविक और वास्तविक दोनों लगता है। मुख्य फेसबुक पेज का हालिया संस्करण भी।

यहां कई स्पष्ट विधियां हैं। पहला यह है कि बाहरी सुरक्षाकर्ताओं द्वारा बेहतर सुरक्षा छेद या बग खोजने के प्रयोजनों के लिए फेसबुक एप्लिकेशन कैसे काम करता है, यह समझने के लिए बाहरी लोगों द्वारा कोड का उपयोग किया जा सकता है। चूंकि फेसबुक एक बंद स्रोत एप्लिकेशन है, इसलिए कोड सुरक्षा छेद तक पहुंच के बिना आमतौर पर ब्लैक-बॉक्स परीक्षण की प्रक्रिया के माध्यम से पाया जाता है, जिससे बाहरी पार्टी आवेदन करने के प्रयास में आवेदन की जांच करेगी कि एप्लिकेशन कैसे व्यवहार करता है और कोशिश करता है और ढूंढता है संभावित दौड़ की स्थिति। बंद स्रोत अनुप्रयोगों में यह आम बात है कि डेवलपर्स खराब डिजाइन तत्वों और अनुप्रयोग की संरचना को खराब करने के लिए आवेदन की बंद प्रकृति पर भरोसा करते हैं। एक हमलावर को अधिक से अधिक सुरक्षा छेद की खोज के कारण स्रोत कोड तक पहुंच प्राप्त होती है। इन कारणों से यह अक्सर दावा किया जाता है कि ओपन सोर्स सॉफ्टवेयर बंद स्रोत सॉफ़्टवेयर की तुलना में अधिक सुरक्षित है, क्योंकि कोड की ऑडिटिंग करने वाली कई और आंखें हैं और सुरक्षा उपाय के रूप में obfuscation का उपयोग नहीं किया जा सकता है।

इस रिसाव के साथ दूसरा निहितार्थ यह है कि स्रोत कोड एप्लिकेशन की संरचना और फेसबुक डेवलपर्स के अभ्यासों के बारे में बहुत कुछ बताता है। स्रोत कोड के इस एकल पृष्ठ से बहुत सारे फेसबुक एप्लिकेशन और प्लेटफ़ॉर्म के बारे में बहुत कुछ कहा जा सकता है और निकाला जा सकता है। उदाहरण के लिए, संरचना किसी भी ऑब्जेक्ट उन्मुख विकास प्रथाओं का पालन नहीं करती है, और ऐसा लगता है कि एप्लिकेशन एक बड़ी PHP फ़ाइल है जिसमें एक ही नामस्थान में रहने वाले बड़ी संख्या में कस्टम फ़ंक्शन हैं (वे Smarty templating इंजन का उपयोग कर रहे हैं) ।

यह रिसाव फेसबुक के लिए अच्छी खबर नहीं है, क्योंकि यह सवाल उठाता है कि एक फेसबुक उपयोगकर्ता निजी डेटा वास्तव में कितना सुरक्षित है। यदि किसी साइट के लिए मुख्य स्रोत कोड लीक किया जा सकता है, तो यह कहा जा सकता है कि लगभग कुछ भी संभव है। फेसबुक इतनी सफलता बन गया है और इस तरह की एक उच्च प्रोफ़ाइल है कि यह अपने सिस्टम के खिलाफ हमलों के लिए एक चुंबक बन गया है। अधिकांश बड़े पैमाने पर अनुप्रयोगों को किसी बिंदु या दूसरे पर उल्लंघन का सामना करना पड़ता है, क्योंकि बाधाओं को हमेशा हमलावरों के पक्ष में रखा जाता है, लेकिन कंपनियां कई तरीकों से प्रतिक्रिया दे सकती हैं और आशा है कि फेसबुक इस स्थिति को गहन तरीके से संभालेगा। मुझे संदेह नहीं है कि फेसबुक इस मामले को बहुत सारी ऊर्जा के साथ पीछा करेगा क्योंकि कोड को लीक करने के साथ-साथ यह जानने के लिए कि कौन जिम्मेदार था। उन्हें उपयोगकर्ताओं को जोखिम कम करने के लिए कुछ बहुत ही कम अल्पकालिक उपायों को भी लेने की आवश्यकता होगी क्योंकि आप शर्त लगा सकते हैं कि इस मिनट में सैकड़ों संभावित हमलावर लीक कोड के माध्यम से डालने और उनके सिस्टम की जांच कर रहे हैं। एक त्वरित नज़र में, मुझे पता है कि मैं कोड में कुछ स्पष्ट चीजें देख सकता हूं जो दोनों मंच के कुछ छिपे पहलुओं को प्रकट करते हैं और एक संभावित हमलावर को एक अच्छा सिर शुरू करते हैं।

अपडेट करें:फेसबुक ने हमें एक आधिकारिक प्रतिक्रिया भेजी है (और फेसबुक के ब्रांडी बार्कर ने नीचे एक टिप्पणी छोड़ दी है): "फेसबुक वेब पेजों को प्रदर्शित करने वाले कोड का एक छोटा सा हिस्सा एक गलत पासवर्ड वाले वेब सर्वर के कारण उपयोगकर्ताओं की एक छोटी संख्या के संपर्क में आया था। तुरंत तय किया गया था। यह सुरक्षा उल्लंघन नहीं था और किसी भी तरह से उपयोगकर्ता डेटा समझौता नहीं किया था। क्योंकि जो कोड जारी किया गया था वह केवल फेसबुक उपयोगकर्ता इंटरफ़ेस को शक्ति देता है, यह फेसबुक के आंतरिक कार्यों में कोई उपयोगी अंतर्दृष्टि प्रदान नहीं करता है। इस कोड का पुन: प्रिंटिंग कई कानूनों का उल्लंघन करता है और हम पूछते हैं कि लोग इसे आगे वितरित नहीं करते हैं। " ऐसा लगता है कि कारण अपाचे और mod_php आउटपुट के विपरीत गैर-व्याख्या किए गए स्रोत कोड को वापस भेज रहा था, या तो सर्वर गलत कॉन्फ़िगरेशन या उच्च लोड (यह ज्ञात समस्या है) के कारण। यह भी स्पष्ट है कि अन्य पृष्ठों का खुलासा किया गया है, और यह समस्या पहले हो गई है, लेकिन केवल अब किसी ने वास्तव में ऑनलाइन कोड पोस्ट किया है।

अपडेट 2:मैंने अपने सर्वर पर अपने आवेदन स्रोत कोड को लीक करने से रोकने के लिए अपने ब्लॉग पर 4 युक्तियां पोस्ट की हैं