मंगलवार, 04 मई, 2010
Google के ऑनलाइन सुरक्षा ब्लॉग पर क्रॉस-पोस्ट किया गया
हम चाहते हैं कि Googlers हमारी सेवाओं से जुड़े खतरों को पूरी तरह समझें. साथ ही, वे उन खतरों से बचने के बारे में जानें. इन लक्ष्यों को पूरा करने के लिए हम कई तरीके अपनाते हैं. इनमें नए इंजीनियरों के लिए सुरक्षा ट्रेनिंग, सुरक्षा से जुड़ी तकनीकी प्रज़ेंटेशन, और अन्य दस्तावेज़ शामिल हैं. हम कोडलैब का भी इस्तेमाल करते हैं. इन इंटरैक्टिव प्रोग्रामिंग ट्यूटोरियल की मदद से, हिस्सा लेने वाले लोगों को प्रोग्रामिंग से जुड़े खास टास्क के बारे में सिलसिलेवार तरीके से जानकारी मिलती है.
एक खास कोडलैब की मदद से, डेवलपर को वेब ऐप्लिकेशन से जुड़े सामान्य जोखिमों के बारे में जानकारी मिलती है. "हैकर को पकड़ने के लिए हैकर की ज़रूरत पड़ती है" जैसी सोच के मुताबिक, कोडलैब यह भी बताता है कि किसी हमलावर को ऐसे जोखिमों का फ़ायदा कैसे मिल सकता है.
हम Google Code University और Google Labs के साथ मिलकर, "वेब ऐप्लिकेशन एक्सप्लॉइट्स और डिफ़ेंस" नाम का कोडलैब रिलीज़ कर रहे हैं. इससे, सॉफ़्टवेयर डेवलपर को अपने ऐप्लिकेशन में मिलती-जुलती गड़बड़ियों को पहचानने, उन्हें ठीक करने, और उनसे बचने में मदद मिलेगी. कोडलैब को Gruyere के आधार पर बनाया गया है. यह एक छोटा, लेकिन सभी सुविधाओं वाला माइक्रोब्लॉगिंग ऐप्लिकेशन है, जिससे सुरक्षा से जुड़ी कई गड़बड़ियों को सीमित रखने में मदद मिलती है. लैब में जिन जोखिमों के बारे में बताया जाएगा उनमें क्रॉस-साइट स्क्रिप्टिंग (XSS), किसी दूसरी साइट से किए जाने वाले संदिग्ध अनुरोध (XSRF), और क्रॉस-साइट स्क्रिप्ट को शामिल करने (XSSI) के साथ-साथ क्लाइंट-स्टेट मैनिपुलेशन, और पाथ ट्रैवर्सल शामिल हैं. इसके अलावा, AJAX और कॉन्फ़िगरेशन से जुड़े जोखिम भी शामिल हैं. इससे यह भी पता चलता है कि किस तरह सामान्य गड़बड़ियों की वजह से, जानकारी ज़ाहिर होने, सेवा में रुकावट आने, और रिमोट कोड के चलने जैसी समस्याएं हो सकती हैं.
"ज़्यादा लोगों के टेस्टिंग करने पर, सभी गड़बड़ियों का पता चल जाता है", यह कहावत सिर्फ़ तब ही सच हो सकती है, जब टेस्टिंग करने वालों को पता हो कि वे क्या ढूंढ रहे हैं. इस हिसाब से, Gruyere में सुरक्षा से जुड़ी गड़बड़ियां, असली गड़बड़ियों की तरह ही होती हैं. ये बिलकुल वैसी ही हैं जैसी अन्य ऐप्लिकेशन में होती हैं. Gruyere के सोर्स कोड को क्रिएटिव कॉमंस लाइसेंस के तहत पब्लिश किया गया है. इसका इस्तेमाल व्हाइटबॉक्स हैकिंग के लिए किया जा सकता है. इसके अलावा, सुरक्षा, सॉफ़्टवेयर इंजीनियरिंग या सामान्य सॉफ़्टवेयर डेवलपमेंट की ट्रेनिंग के लिए, कंप्यूटर साइंस क्लास में भी इसकी मदद ली जा सकती है.
शुरू करने के लिए, https://google-gruyere.appspot.com/ पर जाएं. कोडलैब का इस्तेमाल करने की जानकारी देने वाली गाइड, अब Google Code University पर उपलब्ध है.