मास्टोडन एक ट्विटर प्रतिस्थापन कितना सुरक्षित है? आइये जानें कि कितने रास्ते हैं

मास्टोडन एक ट्विटर प्रतिस्थापन कितना सुरक्षित है?  आइये जानें कि कितने रास्ते हैं

गेटी इमेजेज

जैसा कि एलोन मस्क के आलोचक ट्विटर से भागते हैं, मास्टोडन सबसे आम प्रतिस्थापन लगता है। पिछले महीने मास्टोडन पर मासिक सक्रिय उपयोगकर्ताओं की संख्या में वृद्धि हुई है तीन गुना से ज्यादा मार गिरायालगभग 1 मिलियन से 3.5 मिलियन तक, जबकि उपयोगकर्ताओं की कुल संख्या लगभग 6.5 मिलियन से बढ़कर 8.7 मिलियन हो गई।

यह पर्याप्त वृद्धि इस नए प्लेटफॉर्म की सुरक्षा के बारे में और अच्छे कारणों से महत्वपूर्ण प्रश्न उठाती है। ट्विटर और वस्तुतः हर दूसरे सोशल मीडिया प्लेटफॉर्म के केंद्रीकृत मॉडल के विपरीत, मास्टोडन स्वतंत्र सर्वरों के एक संघबद्ध मॉडल पर बनाया गया है, जिसे उदाहरण के रूप में जाना जाता है। इस संबंध में, यह ईमेल या इंटरनेट रिले चैट (IRC) के समान है, जहां सुरक्षा उस व्यवस्थापक की क्षमता और ध्यान पर निर्भर करती है जिसने इसे कॉन्फ़िगर किया और प्रत्येक व्यक्तिगत सर्वर का रखरखाव किया।

पिछले महीने मशरूम की संख्या लगभग 11,000 से 17,000 से अधिक देखी गई है। इन उदाहरणों को चलाने वाले लोग स्वयंसेवक हैं जो सुरक्षा की बारीकियों से वाकिफ हो भी सकते हैं और नहीं भी। उदाहरणों को कॉन्फ़िगर करने और बनाए रखने में कठिनाई गलतियों के लिए बहुत जगह छोड़ती है जो उपयोगकर्ता पासवर्ड, ईमेल पते और आईपी पते को प्रकट होने के जोखिम में डाल सकती है (इसके बारे में बाद में)। ट्विटर सुरक्षा वांछित होने के लिए बहुत कुछ छोड़ दिया, लेकिन कम से कम इसमें एक समर्पित कर्मचारी था जिसकी सुरक्षा में गहरी पृष्ठभूमि थी।

सुरक्षा विपक्ष

“मैं ईमानदारी से सोचता हूं कि अंतरिक्ष में सुरक्षा का सामना करना सबसे बड़ी चिंता है,” माइक लेंडवे, एक प्रमाणित सूचना सुरक्षा पेशेवर और प्रमाणित क्लाउड सुरक्षा पेशेवर जो मैस्टोडॉन इंस्टेंस फ्रेंड्सऑफडेसोटो.सोशल भी चलाते हैं। “विशेष रूप से ट्विटर डायस्पोरा के साथ, आपके पास बहुत से सर्वर बहुत तेज़ी से ऊपर जाते हैं, और उन्हें प्रशासित करने वाले लोगों में कौशल स्तर की बहुत असमान मात्रा होने जा रही है।”

एक अन्य चिंता मैस्टोडॉन प्लेटफॉर्म को शक्ति प्रदान करने वाले सॉफ्टवेयर की है। इसका औपचारिक सुरक्षा ऑडिट कभी नहीं हुआ, हालांकि यूरोपीय आयोग ने ए बग बाउंटी प्रोग्राम जिसके परिणामस्वरूप 35 वैध बग सबमिशन के लिए पैच हो गए। इस महीने की शुरुआत में, एक शोधकर्ता एक गलत कॉन्फ़िगरेशन का पता चला कई उदाहरणों में जो सर्वर पर संग्रहीत सभी फ़ाइलों को डाउनलोड करने और हटाने और प्रत्येक उपयोगकर्ता के प्रोफ़ाइल चित्र को बदलने की अनुमति देता है।

ऑडिट की कमी और बाहरी लोगों द्वारा वर्षों के मजबूत सुरक्षा परीक्षण का मतलब है कि गंभीर सुरक्षा कमजोरियां लगभग निश्चित रूप से मौजूद हैं।

उस बिंदु पर, इस महीने एक अलग शोधकर्ता ने एक सर्वर की खोज की जो किसी तरह कामयाब हो गया था 150,000 से अधिक उपयोगकर्ताओं के डेटा को परिमार्जन करें गलत कॉन्फ़िगर किए गए सर्वर से। सौभाग्य से, डेटा खाता नाम, प्रदर्शन नाम, प्रोफ़ाइल चित्र, अनुसरण करने वालों की संख्या, अनुयायियों की संख्या और अंतिम स्थिति अपडेट तक सीमित था। इस महीने खोजे गए एक तीसरे भेद्यता ने एक उदाहरण पर इसे संभव बना दिया यूजर्स के प्लेनटेक्स्ट पासवर्ड चुराने के लिए साइट में विशेष रूप से तैयार किए गए HTML को इंजेक्ट करके।

बेशक, सभी प्लेटफार्मों में इस प्रकार की कमजोरियां हैं, और मास्टोडॉन डेवलपर्स और इंस्टेंस एडमिनिस्ट्रेटर एक बार रिपोर्ट किए जाने के बाद उन्हें पैच करने में तेज हो गए हैं। लेकिन अन्य प्लेटफार्मों में सुरक्षा इंजीनियरों, शोधकर्ताओं और अनुपालन विशेषज्ञों की टीम होती है, जो यह सुनिश्चित करने के लिए हाल ही में पैच की गई कमजोरियों पर ध्यान देते हैं कि उनका प्लेटफॉर्म अप-टू-डेट घटकों को चलाता है। मास्टोडन की संघीय संरचना इसे दोहरा नहीं सकती है। कम से कम कहने के लिए स्वयंसेवकों से एक केंद्रीकृत मंच के समान प्रदर्शन की अपेक्षा करना अवास्तविक है।

समर्पित सुरक्षा टीमों की कमी एक समस्या हो सकती है, विशेष रूप से मास्टोडन सॉफ्टवेयर पारिस्थितिकी तंत्र में उच्च सुरक्षा भेद्यता की स्थिति में। प्लेटफॉर्म रूबी ऑन रेल्स, पोस्टग्रेज और रेडिस पर बनाया गया है। एक ओर, इन तीन ओपन सोर्स ऐप्स के संयोजन को GitHub, GitLab, Shopify और डिस्कोर्स सहित उल्लेखनीय प्लेटफार्मों द्वारा उपयोग के साथ आजमाया और सही किया गया है।

लेकिन चीजें बुरी तरह से खराब हो सकती हैं अगर उन ऐप्स में से कोई एक गंभीर चीज की चपेट में आ जाए हार्टब्लीडओपन सोर्स ओपनएसएसएल ऐप में 2014 बग जिसके कारण बैंकिंग वेबसाइटों और अन्य उच्च-मूल्य वाले लक्ष्यों से सभी प्रकार के संवेदनशील डेटा का खुलासा हुआ।

क्या अधिक है, मास्टोडन सॉफ़्टवेयर में कोई ऑटो-अपडेट या अपडेट-उपलब्धता सुविधा भी नहीं है।

लेंडवे ने कहा, “आपको व्यक्तिगत रूप से गिटहब रिलीज की जांच करनी है।” “मैं उस साप्ताहिक को करने की कोशिश करता हूं। लेकिन कई लोगों के लिए, मुझे लगता है कि वे अंगूर के माध्यम से सुनेंगे। मैंने अलग-अलग संस्करणों को चलते देखा है, इसलिए कौन जानता है कि निरंतरता क्या होगी।”

मास्टोडॉन- या कम से कम ऐसे उदाहरण जो व्यापक रूप से ज्ञात या प्रभावशाली उपयोगकर्ताओं की मेजबानी करते हैं- भी वितरित इनकार-ऑफ़-सर्विस हमलों (डीडीओ) के लिए अतिसंवेदनशील होने की संभावना है, जो सर्वरों को नियंत्रित करने से अधिक ट्रैफ़िक या आदेशों के साथ बमबारी करके साइटों को ऑफ़लाइन दस्तक देते हैं। गहरी जेब वाले केंद्रीकृत प्लेटफॉर्म DDoS शमन सर्वर को एक बुनियादी लागत मानते हैं। स्वयंसेवी द्वारा संचालित उदाहरणों में समान संसाधन होने की संभावना नहीं है। यदि मास्टोडन का उपयोगकर्ता आधार अपने वर्तमान विकास में तेजी जारी रखता है, तो इस संवेदनशीलता का उपयोग सभी धारियों के आलोचकों को चुप कराने के लिए किया जाएगा।

डेटा चोरी करने के अलावा, हैकर प्रभावशाली लोगों के खातों को हैक करने या प्रशासनिक कार्यों को नियंत्रित करने के लिए भी प्रलोभित हो सकते हैं। किसी भी मामले में, हैकर प्रभावशाली उपयोगकर्ताओं को प्रतिरूपित करने के लिए आगे बढ़ सकता है।

एक उपयोगकर्ता ने कहा, “मैं शर्त लगा सकता हूं कि एक्टिविटीपब प्रोटोकॉल में भेद्यताएं हैं जो किसी को एक प्रसिद्ध हैंडल के लिए झूठे टोट को प्रसारित करने की अनुमति देगा।” कहा. “या कोई अन्य प्रोटोकॉल समस्या होगी।”

अंत में, मास्टोडन उत्पीड़न और गलत सूचना अभियानों के लिए अतिसंवेदनशील होने की संभावना है, यह मानते हुए कि वे बड़े पैमाने पर चलते हैं।

“व्यक्तिगत सुरक्षा पर, उत्पीड़न के खिलाफ बहुत अधिक सुरक्षा नहीं हैं,” जॉन पिंकस ने कहा गोपनीयता का गठजोड़. “कई उदाहरणों को अच्छी तरह से नियंत्रित नहीं किया जाता है (मास्टोडन.सोशल सहित, जो [Mastodon creator] यूजेन [Rochko] रन)। यहां तक ​​कि अच्छी तरह से संचालित उदाहरण भी निर्धारित हमलों से अभिभूत हो सकते हैं।”

amar-bangla-patrika