सुनो अब
डग आमोथ और पॉल डकलिन के साथ।
इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.
किसी भी बिंदु पर जाने के लिए नीचे ध्वनि तरंगों पर क्लिक करें और खींचें। आप भी कर सकते हैं सीधे सुनो साउंडक्लाउड पर।
आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।
प्रतिलेख पढ़ें
डौग शून्य-दिन, अधिक शून्य-दिन, टिकटॉक, और सुरक्षा समुदाय के लिए एक दुखद दिन।
वह सब और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।
[संगीत मोडेम]
नग्न सुरक्षा पॉडकास्ट में आपका स्वागत है, हर कोई।
मैं डौग आमोथ हूं।
हमेशा की तरह मेरे साथ पॉल डकलिन हैं।
पॉल, आज तुम कैसे हो?
बत्तख। मैं बहुत अच्छा कर रहा हूँ, धन्यवाद, डगलस!
डौग खैर, चलिए शो की शुरुआत अपने टेक हिस्ट्री सेगमेंट से करते हैं।
मुझे आपको यह बताते हुए खुशी हो रही है: इस सप्ताह 09 सितंबर 1947 को हार्वर्ड यूनिवर्सिटी के मार्क II कंप्यूटर के अंदर एक वास्तविक जीवन का कीट पाया गया था।
और यद्यपि इंजीनियरिंग की कमियों को दर्शाने के लिए "बग" शब्द का उपयोग वर्षों और वर्षों पहले से किया जाता रहा है, ऐसा माना जाता है कि इस घटना के कारण अब सर्वव्यापी "डीबग" हो गया।
क्यों?
क्योंकि एक बार मार्क II से कीट को हटा दिया गया था, इसे इंजीनियरिंग लॉगबुक के अंदर टेप किया गया था और "वास्तविक बग का पहला मामला पाया जा रहा था" लेबल किया गया था।
मुझे वह कहानी पसंद है!
बत्तख। मैं भी ऐसा करूँ!
मुझे लगता है कि मैंने उस शब्द के बारे में जो पहला सबूत देखा है, वह थॉमस एडिसन के अलावा और कोई नहीं था - मुझे लगता है कि उन्होंने "बग" शब्द का इस्तेमाल किया था।
लेकिन निश्चित रूप से, 1947 होने के नाते, यह डिजिटल कंप्यूटिंग के शुरुआती दिन थे, और सभी कंप्यूटर अभी तक वाल्व या ट्यूब पर नहीं चलते थे, क्योंकि ट्यूब अभी भी बहुत महंगी थीं, और बहुत गर्म चलती थीं, और बहुत अधिक बिजली की आवश्यकता होती थी।
तो, यह कंप्यूटर, भले ही यह त्रिकोणमिति और सामान कर सकता था, वास्तव में रिले पर आधारित था - इलेक्ट्रोमैकेनिकल स्विच, न कि शुद्ध इलेक्ट्रॉनिक स्विच।
यह आश्चर्यजनक है कि 1940 के दशक के अंत में भी, रिले-आधारित कंप्यूटर अभी भी एक चीज़ थे ... हालाँकि वे बहुत लंबे समय तक एक चीज़ नहीं रहने वाले थे।
डौग ठीक है, पॉल, आइए गंदी चीजों और बगों के विषय पर कहें।
एक गंदी बात जो लोगों को परेशान कर रही है, वह है टिकटॉक वाली इस चीज का सवाल।
उल्लंघन हैं, और उल्लंघन हैं ... क्या यह वास्तव में उल्लंघन है?
बत्तख। जैसा कि आप कहते हैं, डगलस, यह एक गंदी बात बन गई है ...
क्योंकि यह सप्ताहांत में एक बड़ी कहानी थी, है ना?
"टिकटॉक उल्लंघन - यह वास्तव में क्या था?"
पहले ब्लश में, ऐसा लगता है, "वाह, 2 बिलियन डेटा रिकॉर्ड, 1 बिलियन उपयोगकर्ताओं ने समझौता किया, हैकर्स मिल गए", और क्या नहीं।
अब, कई लोग जो नियमित रूप से डेटा उल्लंघनों से निपटते हैं, विशेष रूप से ट्रॉय हंट सहित क्या मुझे पीन दिया गया है?, ने उस डेटा का नमूना स्नैपशॉट लिया है जिसे "चोरी" माना जाता है और इसकी तलाश में चला गया है।
और सर्वसम्मति से टिक्कॉक ने जो कहा है, उसका समर्थन करता प्रतीत होता है, अर्थात् यह डेटा वैसे भी सार्वजनिक है।
तो ऐसा लगता है कि यह डेटा का एक संग्रह है, वीडियो की एक विशाल सूची कहो ... मुझे लगता है कि टिकटॉक शायद नहीं चाहेगा कि आप सिर्फ अपने लिए डाउनलोड कर सकें, क्योंकि वे चाहते हैं कि आप मंच से गुजरें, और उनके लिंक का उपयोग करें, और उनके विज्ञापन देखें ताकि वे सामान का मुद्रीकरण कर सकें।
लेकिन ऐसा लगता है कि कोई भी डेटा, सूची की कोई भी सामग्री प्रभावित उपयोगकर्ताओं के लिए गोपनीय या निजी नहीं है।
जब ट्रॉय हंट ने देखा और कुछ यादृच्छिक वीडियो चुना, उदाहरण के लिए, वह वीडियो उस उपयोगकर्ता के नाम के तहत सार्वजनिक रूप से दिखाई देगा।
और "उल्लंघन" में वीडियो के बारे में डेटा यह भी नहीं कहता था, "ओह, और वैसे, यहां ग्राहक की टिकटॉक आईडी है; यह रहा उनका पासवर्ड हैश; यहाँ उनके घर का पता है; यहां उन निजी वीडियो की सूची दी गई है जिन्हें उन्होंने अभी तक प्रकाशित नहीं किया है”, इत्यादि।
डौग ठीक है, तो अगर मैं एक टिकटॉक उपयोगकर्ता हूं, तो क्या यहां कोई सावधानी की कहानी है?
क्या मुझे कुछ करने की ज़रूरत है?
यह मुझे एक उपयोगकर्ता के रूप में कैसे प्रभावित करता है?
बत्तख। बस यही बात है। डौग - मुझे लगता है कि इस बारे में लिखे गए बहुत सारे लेख किसी तरह का निष्कर्ष निकालने के लिए बेताब हैं।
आप क्या कर सकते हैं?
तो, लोग जो ज्वलंत प्रश्न पूछ रहे हैं, वह यह है कि, “क्या मुझे अपना पासवर्ड बदलना चाहिए? क्या मुझे टू-फैक्टर ऑथेंटिकेशन चालू करना चाहिए?”… सभी सामान्य चीजें जो आप सुनते हैं।
ऐसा लगता है, इस मामले में, जैसे कि आपके पासवर्ड को बदलने की कोई विशेष आवश्यकता नहीं है।
कोई सुझाव नहीं है कि पासवर्ड हैश चोरी हो गया था और अब एक अरब ऑफ-ड्यूटी बिटकॉइन माइनर्स [LAUGHS] या ऐसा कुछ भी हो सकता है।
ऐसा कोई सुझाव नहीं है कि इसके परिणामस्वरूप उपयोगकर्ता खातों को लक्षित करना आसान हो सकता है।
दूसरी ओर, यदि आपको अपना पासवर्ड बदलने का मन करता है... तो आप भी ऐसा कर सकते हैं।
इन दिनों सामान्य अनुशंसा नियमित रूप से और नियमित रूप से और बार-बार अपना पासवर्ड * शेड्यूल पर * बदलना है (जैसे, "महीने में एक बार अपना पासवर्ड सिर्फ मामले में बदलें") एक बुरा विचार है क्योंकि [रोबोटिक वॉयस] यह - बस - मिलता है - आपको - में - ए - दोहराव - आदत जो वास्तव में चीजों में सुधार नहीं करती है।
क्योंकि हम जानते हैं कि लोग क्या करते हैं, वे बस जाते हैं: -01, -02, 03 पासवर्ड के अंत में।
इसलिए, मुझे नहीं लगता कि आपको अपना पासवर्ड बदलना होगा, हालांकि अगर आप तय करते हैं कि आप ऐसा करने जा रहे हैं, तो यह आपके लिए अच्छा है।
मेरी अपनी राय है कि इस मामले में, आपने दो-कारक प्रमाणीकरण चालू किया था या नहीं, इससे कोई फर्क नहीं पड़ता।
दूसरी ओर, यदि यह एक ऐसी घटना है जो अंततः आपको आश्वस्त करती है कि 2FA का आपके जीवन में कहीं न कहीं स्थान है…
...तो शायद, डगलस, वह एक चांदी की परत है!
डौग अच्छा है।
इसलिए हम उस पर नजर रखेंगे।
लेकिन ऐसा लगता है कि नियमित उपयोगकर्ता इस बारे में बहुत कुछ नहीं कर सकते थे ...
बत्तख। सिवाय शायद एक चीज है जिसे हम सीख सकते हैं, या कम से कम खुद को इससे याद दिला सकते हैं।
डौग मुझे लगता है कि मुझे पता है कि क्या आ रहा है। [हंसते हैं]
क्या यह तुकबंदी करता है?
बत्तख। यह कर सकता है, डगलस। [हंसते हैं]
डार, मैं बहुत पारदर्शी हूँ। [हँसना]
जागरूक रहें / साझा करने से पहले।
एक बार कुछ सार्वजनिक हो जाने पर, यह *वास्तव में सार्वजनिक हो जाता है*, और यह उतना ही सरल है।
डौग ठीक है बहुत अच्छा।
शेयर करने से पहले जागरूक रहें।
ठीक साथ चलते हुए, सुरक्षा समुदाय ने पीटर एकर्सली में एक अग्रणी को खो दिया, जिनका 43 वर्ष की आयु में निधन हो गया।
वह Let's Encrypt के सह-निर्माता थे।
तो, लेट्स एनक्रिप्ट के बारे में हमें कुछ बताएं और एकर्सली की विरासत, यदि तुम चाहो।
बत्तख। खैर, उन्होंने अपने दुर्भाग्य से छोटे जीवन, डौग में पूरी तरह से सामान किया।
हम अक्सर नग्न सुरक्षा पर श्रद्धांजलि नहीं लिखते हैं, लेकिन यह उन लोगों में से एक है जो हमें लगा कि हमें करना चाहिए।
क्योंकि, जैसा कि आप कहते हैं, पीटर एकर्सली, उनके द्वारा किए गए अन्य सभी कामों के बीच, लेट्स एनक्रिप्ट के सह-संस्थापकों में से एक थे, जो परियोजना इसे सस्ता बनाने के लिए निर्धारित की गई थी (यानी मुफ्त!), लेकिन, सबसे महत्वपूर्ण रूप से विश्वसनीय और अपनी वेबसाइट के लिए HTTPS प्रमाणपत्र प्राप्त करना आसान है।
और क्योंकि हम नग्न सुरक्षा और सोफोस समाचार ब्लॉग साइटों पर लेट्स एनक्रिप्ट प्रमाणपत्रों का उपयोग करते हैं, मुझे लगा कि हम कम से कम उस अच्छे काम के लिए उनका उल्लेख करना चाहते हैं।
क्योंकि जो कोई भी कभी भी वेबसाइट चलाता है, उसे पता होगा कि, यदि आप कुछ साल पीछे जाते हैं, तो एक HTTPS प्रमाणपत्र, एक TLS प्रमाणपत्र प्राप्त करना, जो आपको अपने विज़िटर के वेब ब्राउज़र में पैडलॉक लगाने देता है, न केवल पैसे खर्च होते हैं, जो घरेलू उपयोगकर्ता, शौक़ीन होते हैं , चैरिटी, छोटे व्यवसाय, स्पोर्ट्स क्लब आसानी से बर्दाश्त नहीं कर सकते ... यह एक *असली परेशानी* थी।
आपको इस पूरी प्रक्रिया से गुजरना पड़ा था; यह शब्दजाल और तकनीकी चीजों से भरा हुआ था; और हर साल आपको इसे फिर से करना पड़ता है, क्योंकि जाहिर है कि वे समाप्त हो जाते हैं ... यह एक कार पर सुरक्षा जांच की तरह है।
आपको अभ्यास से गुजरना होगा, और यह साबित करना होगा कि आप अभी भी वही व्यक्ति हैं जो उस डोमेन को संशोधित करने में सक्षम हैं जिसके नियंत्रण में आप होने का दावा कर रहे हैं, इत्यादि।
और लेट्स एनक्रिप्ट न केवल मुफ्त में ऐसा करने में सक्षम था, वे इसे बनाने में सक्षम थे ताकि प्रक्रिया को स्वचालित किया जा सके ... और त्रैमासिक आधार पर, इसका मतलब यह भी है कि कुछ गलत होने पर प्रमाणपत्र तेजी से समाप्त हो सकते हैं।
वे इतनी जल्दी विश्वास बनाने में सक्षम थे कि प्रमुख ब्राउज़र जल्द ही कह रहे थे, "आप जानते हैं कि, हम अन्य लोगों के वेब प्रमाणपत्रों के लिए लेट्स एनक्रिप्ट पर भरोसा करने जा रहे हैं - जिसे ए कहा जाता है रूट सीए, या प्रमाणपत्र प्राधिकरण।
फिर, आपका ब्राउज़र डिफ़ॉल्ट रूप से Let's Encrypt पर भरोसा करता है।
और वास्तव में, यह उन सभी चीजों का एक साथ आना है जो मेरे लिए इस परियोजना की महिमा थी।
ऐसा नहीं था कि यह मुफ़्त था; ऐसा नहीं था कि यह आसान था; यह सिर्फ इतना नहीं था कि ब्राउज़र निर्माताओं (जो पहली जगह में आप पर भरोसा करने के लिए कुख्यात हैं) ने फैसला किया, "हां, हम उन पर भरोसा करते हैं।"
इन सभी चीजों को एक साथ रखने से बहुत फर्क पड़ा, और इंटरनेट पर लगभग हर जगह HTTPS प्राप्त करने में मदद मिली।
यह हमारे द्वारा की जाने वाली ब्राउज़िंग में थोड़ी अतिरिक्त सुरक्षा जोड़ने का एक तरीका है…
... एन्क्रिप्शन के लिए इतना नहीं, जितना हम लोगों को याद दिलाते रहते हैं, लेकिन इस तथ्य के लिए कि [ए] आपके पास एक लड़ाई का मौका है कि आप वास्तव में उस साइट से जुड़े हैं जिसे उस व्यक्ति द्वारा छेड़छाड़ की जा रही है जो इसे छेड़छाड़ कर रहा है, और वह [बी] जब सामग्री वापस आती है, या जब आप इसे एक अनुरोध भेजते हैं, तो रास्ते में इसे आसानी से छेड़छाड़ नहीं किया जा सकता है।
लेट्स एनक्रिप्ट तक, किसी भी HTTP-ओनली वेबसाइट के साथ, नेटवर्क पथ पर कोई भी व्यक्ति जो आप देख रहे थे उसकी जासूसी कर सकता था।
इससे भी बदतर, वे इसे संशोधित कर सकते हैं - या तो आप जो भेज रहे थे, या जो आप वापस प्राप्त कर रहे हैं - और आप *बस यह नहीं बता सकते* कि आप वास्तविक सौदे के बजाय मैलवेयर डाउनलोड कर रहे थे, या कि आप नकली समाचार पढ़ रहे थे सत्य घटना।
डौग ठीक है, मुझे लगता है कि यह एक महान के साथ लपेटने के लिए उपयुक्त है हमारे एक पाठक की टिप्पणी, सामंथा, जो मिस्टर एकर्सली को जानती है।
वह कहते हैं:
"अगर पीट के साथ मेरी बातचीत के बारे में मुझे हमेशा एक बात याद आती है, तो वह विज्ञान और वैज्ञानिक पद्धति के प्रति उनका समर्पण था। प्रश्न पूछना वैज्ञानिक होने का सार है। मैं हमेशा पीट और उसके सवालों को संजो कर रखूंगा। मेरे लिए, पीट एक ऐसा व्यक्ति था जो जिज्ञासु व्यक्तियों के बीच संचार और विचारों के स्वतंत्र और खुले आदान-प्रदान को महत्व देता था। ”
अच्छा कहा, सामंथा - धन्यवाद।
बत्तख। हाँ!
और आरआईपी [रेस्ट इन पीस के लिए संक्षिप्त नाम] कहने के बजाय, मुझे लगता है कि मैं सीआईपी: कोड इन पीस कहूंगा।
डौग बहुत अच्छा!
ठीक है, ठीक है, हमने पिछले हफ्ते क्रोम पैच के बारे में बात की थी, और फिर एक और पॉप अप हुआ।
और यह एक था महत्वपूर्ण एक…
बत्तख। यह वास्तव में था, डौग।
और चूंकि यह क्रोमियम कोर पर लागू होता है, इसलिए यह Microsoft Edge पर भी लागू होता है।
तो, अभी पिछले हफ्ते, हम उन लोगों के बारे में बात कर रहे थे... यह क्या था, 24 सुरक्षा छेद।
एक गंभीर था, आठ या नौ उच्च थे।
वहाँ स्मृति कुप्रबंधन बग के सभी प्रकार हैं, लेकिन उनमें से कोई भी शून्य-दिन नहीं था।
और इसलिए हम उस बारे में बात कर रहे थे, कह रहे थे, "देखो, यह शून्य-दिन के दृष्टिकोण से एक छोटी सी बात है, लेकिन सुरक्षा पैच के दृष्टिकोण से यह एक बड़ी बात है। आगे बढ़ें: देर न करें, आज ही करें।"
(क्षमा करें - मैंने फिर से गाया, डौग।)
इस बार, यह एक और अपडेट है जो कुछ ही दिनों बाद क्रोम और एज दोनों के लिए सामने आया।
इस बार, केवल एक सुरक्षा छेद ठीक किया गया है।
हम यह नहीं जानते कि यह विशेषाधिकार का उन्नयन है या रिमोट कोड निष्पादन, लेकिन यह गंभीर लगता है, और यह एक शून्य-दिन है जिसमें पहले से ही जंगली में एक ज्ञात शोषण है।
मुझे लगता है कि अच्छी खबर यह है कि Google और Microsoft दोनों, और अन्य ब्राउज़र निर्माता, इस पैच को लागू करने और इसे वास्तव में, वास्तव में जल्दी से बाहर निकालने में सक्षम थे।
हम महीनों या हफ्तों के बारे में बात नहीं कर रहे हैं ... एक ज्ञात शून्य-दिन के लिए बस कुछ दिन जो स्पष्ट रूप से अंतिम अपडेट आने के बाद पाया गया था, जो कि केवल पिछले सप्ताह था।
तो यह अच्छी खबर है।
बुरी खबर यह है, निश्चित रूप से, यह एक 0-दिन है - इस पर बदमाश हैं; वे पहले से ही इसका इस्तेमाल कर रहे हैं।
Google "कैसे और क्यों" के बारे में थोड़ा संकोची रहा है ... इससे पता चलता है कि पृष्ठभूमि में कुछ जांच चल रही है कि वे खतरे में नहीं डालना चाहते हैं।
तो, एक बार फिर, यह एक "पैच अर्ली, पैच प्राय:" स्थिति है - आप इसे यूं ही नहीं छोड़ सकते।
यदि आपने पिछले सप्ताह पैच किया है, तो आपको इसे फिर से करने की आवश्यकता है।
अच्छी खबर यह है कि क्रोम, एज और अधिकांश ब्राउज़रों को इन दिनों खुद को अपडेट करना चाहिए।
लेकिन, हमेशा की तरह, यह जांच करने के लिए भुगतान करता है, क्योंकि क्या होगा यदि आप ऑटो-अपडेटिंग पर भरोसा कर रहे हैं और, बस एक बार, यह काम नहीं करता है?
क्या यह सत्यापित करने में आपका 30 सेकंड का समय नहीं लगेगा कि आपके पास वास्तव में नवीनतम संस्करण है?
हमारे पास सभी प्रासंगिक संस्करण संख्याएं और सलाह [नग्न सुरक्षा पर] है कि क्रोम और एज के लिए कहां क्लिक करें ताकि यह सुनिश्चित हो सके कि आपके पास उन ब्राउज़रों का नवीनतम संस्करण है।
डौग और स्कोर रखने वाले किसी भी व्यक्ति के लिए ब्रेकिंग न्यूज…
मैंने अभी-अभी Microsoft Edge के अपने संस्करण की जाँच की है, और यह सही, अप-टू-डेट संस्करण है, इसलिए इसने स्वयं को अपडेट किया।
ठीक है, अंतिम, लेकिन निश्चित रूप से कम से कम, हमारे पास एक दुर्लभ है लेकिन तत्काल ऐप्पल अपडेट IOS 12 के लिए, जो हम सभी ने सोचा था कि किया गया था और धूल गया था।
बत्तख। हां, जैसा कि मैंने नेकेड सिक्योरिटी पर लेख के पहले पांच शब्दों में लिखा था, "ठीक है, हमें इसकी उम्मीद नहीं थी!"
मैंने खुद को विस्मयादिबोधक बिंदु की अनुमति दी, डौग, [हँसी] क्योंकि मैं हैरान था ...
पॉडकास्ट के नियमित श्रोताओं को पता चल जाएगा कि मेरे प्रिय, अगर पुराने-लेकिन-पूर्व-प्राचीन iPhone 6 प्लस को साइकिल दुर्घटना का सामना करना पड़ा।
साइकिल बच गई; मैंने वह सारी त्वचा वापस बढ़ा दी जिसकी मुझे ज़रूरत थी [हँसी]… लेकिन मेरी iPhone स्क्रीन अभी भी एक लाख मिलियन बिलियन ट्रिलियन टुकड़ों में है। (सभी बिट्स जो मेरी उंगली में आने वाले हैं, मुझे लगता है कि पहले ही ऐसा कर चुके हैं।)
तो मुझे लगा ... iOS 12, मुझे आखिरी अपडेट मिले एक साल हो गया है, तो जाहिर है कि यह पूरी तरह से Apple के रडार से दूर है।
इसे कोई अन्य सुरक्षा सुधार नहीं मिलने वाला है।
मैंने सोचा, "ठीक है, स्क्रीन फिर से नहीं टूट सकती है, इसलिए जब मैं सड़क पर हूं तो यह एक महान आपातकालीन फोन है" ... अगर मैं कहीं जा रहा हूं, अगर मुझे कॉल करने या देखने की ज़रूरत है नक्शा। (मैं इस पर ईमेल या कोई काम संबंधी सामान नहीं करने जा रहा हूं।)
और, देखो और देखो, इसे एक अद्यतन मिला, डौग!
अचानक, पिछले साल के लगभग एक साल बाद... मुझे लगता है कि 23 सितंबर 2021 था आखिरी अपडेट मैं था।
अचानक से Apple ने इस अपडेट को बाहर कर दिया है।
यह से संबंधित है पिछले पैच जिसके बारे में हमने बात की, उन्होंने समकालीन iPhones और iPads और macOS के सभी संस्करणों के लिए आपातकालीन अद्यतन कहाँ किया।
वहां, वे एक वेबकिट बग और एक कर्नेल बग पैच कर रहे थे: दोनों शून्य दिन; दोनों जंगली में इस्तेमाल किया जा रहा है।
(क्या आपको स्पाइवेयर की गंध आती है? इसने मुझे किया!)
WebKit बग का मतलब है कि आप किसी वेबसाइट पर जा सकते हैं या कोई दस्तावेज़ खोल सकते हैं, और यह ऐप को अपने हाथ में ले लेगा।
फिर, कर्नेल बग का मतलब है कि आप अपनी बुनाई सुई को ऑपरेटिंग सिस्टम में डाल दें, और मूल रूप से ऐप्पल की अच्छी तरह से vaunted सुरक्षा प्रणाली में एक छेद पंच करें।
लेकिन आईओएस 12 के लिए कोई अपडेट नहीं था, और, जैसा कि हमने पिछली बार कहा था, कौन जानता था कि ऐसा इसलिए था क्योंकि आईओएस 12 सिर्फ अजेय हो गया था, या ऐप्पल वास्तव में इसके बारे में कुछ नहीं करने जा रहा था क्योंकि यह गिर गया था एक साल पहले ग्रह का किनारा?
ठीक है, ऐसा लगता है कि यह ग्रह के किनारे से काफी नीचे नहीं गिरा था, या यह कगार पर था... और यह * असुरक्षित * था।
अच्छी खबर ... कर्नेल बग जिसके बारे में हमने पिछली बार बात की थी, वह चीज जो किसी को अनिवार्य रूप से पूरे iPhone या iPad पर कब्जा करने देगी, iOS 12 पर लागू नहीं होती है।
लेकिन वह वेबकिट बग - जो याद रखता है, *किसी भी* ब्राउज़र को प्रभावित करता है, न कि केवल सफारी, और किसी भी ऐप को जो वेब से संबंधित किसी भी प्रकार का प्रतिपादन करता है, भले ही वह केवल अपने में ही क्यों न हो About स्क्रीन…
...वह बग * था* iOS 12 में मौजूद था, और जाहिर तौर पर Apple ने इसके बारे में दृढ़ता से महसूस किया।
तो, आप वहाँ हैं: यदि आपके पास एक पुराना iPhone है, और यह अभी भी iOS 12 पर है क्योंकि आप इसे iOS 15 में अपडेट नहीं कर सकते हैं, तो आपको इसे प्राप्त करने की आवश्यकता है।
क्योंकि यह है वेबकिट बग हमने पिछली बार के बारे में बात की थी - इसका इस्तेमाल जंगली में किया गया है।
Apple ब्राउज़र और कर्नेल में डबल जीरो-डे पैच करता है - अभी अपडेट करें!
और तथ्य यह है कि ऐप्पल इन लंबाई तक चला गया है जो कि जीवन से परे ऑपरेटिंग सिस्टम संस्करण के रूप में प्रतीत होता है, या कम से कम आपको अनुमान लगाने के लिए आमंत्रित करता है, कि यह नापाक तरीकों से इस्तेमाल किया गया है के लिए सभी प्रकार की शरारती चीजें।
तो, हो सकता है कि केवल कुछ लोगों को ही निशाना बनाया गया हो... लेकिन अगर ऐसा है भी, तो अपने आप को तीसरा व्यक्ति न बनने दें!
डौग और अपना एक तुकबंदी वाक्यांश उधार लेने के लिए:
देर न करें/आज ही करें।
[हंसते हैं] उसके बारे में क्या?
बत्तख। डौग, मुझे पता था कि आप ऐसा कहने जा रहे हैं।
डौग मैं पकड़ रहा हूँ!
और जैसे ही आज के लिए हमारे शो पर सूरज धीरे-धीरे अस्त होना शुरू होता है, हम अपने एक पाठक से Apple जीरो-डे स्टोरी पर सुनना चाहेंगे।
पाठक ब्रायन टिप्पणियाँ:
“Apple का सेटिंग आइकन हमेशा मेरे दिमाग में साइकिल के स्प्रोकेट जैसा दिखता है। एक उत्साही बाइकर, एक Apple डिवाइस उपयोगकर्ता के रूप में, मुझे उम्मीद है कि आप इसे पसंद करेंगे?"
यह आप पर निर्देशित है, पॉल।
क्या आपको वह पसंद है?
क्या आपको लगता है कि यह बाइक स्प्रोकेट जैसा दिखता है?
बत्तख। मुझे इससे कोई ऐतराज नहीं है, क्योंकि यह बहुत पहचानने योग्य है, कहो अगर मैं जाना चाहता हूँ सेटिंग > सामान्य जानकारी > सॉफ्टवेयर अपडेट.
(संकेत, संकेत: इस तरह आप iOS पर अपडेट की जांच करते हैं।)
आइकन बहुत विशिष्ट है, और इसे हिट करना आसान है इसलिए मुझे पता है कि मैं कहां जा रहा हूं।
लेकिन, नहीं, मैंने इसे कभी भी साइकिल चलाने से नहीं जोड़ा है क्योंकि अगर वह गियर वाली साइकिल पर आगे की जंजीरें हैं, तो वे बिल्कुल गलत हैं।
वे ठीक से जुड़े नहीं हैं।
उनमें सत्ता डालने का कोई उपाय नहीं है।
दो स्प्रोकेट होते हैं, लेकिन उनके दांत अलग-अलग आकार के होते हैं।
यदि आप इस बारे में सोचते हैं कि जम्पी-गियर प्रकार के साइकिल गियर (डरेलियर, जैसा कि वे जानते हैं) पर गियर कैसे काम करते हैं, तो आपके पास केवल एक श्रृंखला होती है, और श्रृंखला में विशिष्ट रिक्ति, या पिच होती है जैसा कि इसे कहा जाता है।
तो सभी कॉग या स्प्रोकेट (तकनीकी रूप से, वे कॉग नहीं हैं, क्योंकि कॉग ड्राइव कॉग, और चेन ड्राइव स्प्रोकेट) ... सभी स्प्रोकेट में एक ही आकार या पिच के दांत होने चाहिए, अन्यथा चेन फिट नहीं होगी!
और वो दांत बहुत नुकीले होते हैं। डौग
टिप्पणियों में किसी ने कहा कि उन्हें लगा कि यह उन्हें घड़ी की कल के साथ कुछ करने की याद दिलाता है, जैसे कि एक पलायन या एक घड़ी के अंदर किसी प्रकार की गियरिंग।
लेकिन मुझे पूरा यकीन है कि घड़ी बनाने वाले जाएंगे, "नहीं, हम दांतों को उस तरह आकार नहीं देंगे," क्योंकि वे विश्वसनीयता और सटीकता बढ़ाने के लिए बहुत विशिष्ट आकृतियों का उपयोग करते हैं।
तो मैं उस ऐप्पल आइकन से काफी खुश हूं, लेकिन, नहीं, यह मुझे साइकिल चलाने की याद नहीं दिलाता है।
विडंबना यह है कि एंड्रॉइड आइकन…
... और मैंने आपके बारे में सोचा जब मैंने यह सोचा, डौग [हँसी], और मैंने सोचा, "ओह, गॉली, मैं इसका अंत कभी नहीं सुनूंगा। अगर मैं इसका उल्लेख करता हूं ”…
..यह एक साइकिल पर एक रियर कॉग की तरह दिखता है (और मुझे पता है कि यह एक कॉग नहीं है, यह एक स्प्रोकेट है, क्योंकि कॉग ड्राइव कॉग, और चेन ड्राइव स्पॉकेट, लेकिन किसी कारण से आप उन्हें कॉग कहते हैं जब वे छोटे होते हैं साइकिल के पीछे)।
लेकिन इसके केवल छह दांत होते हैं।
सबसे छोटा रियर साइकिल कॉग जिसका मैं उल्लेख कर सकता हूं वह है नौ दांत - यह बहुत छोटा है, बहुत तंग वक्र है, और केवल विशेष उपयोगों में है।
बीएमएक्स लोग उन्हें पसंद करते हैं क्योंकि कॉग जितना छोटा होता है, जब आप चाल चल रहे होते हैं तो जमीन पर हिट होने की संभावना कम होती है।
तो ... इसका साइबर सुरक्षा से बहुत कम लेना-देना है, लेकिन यह मेरे विचार में आकर्षक अंतर्दृष्टि है जिसे इन दिनों "यूजर इंटरफेस" के रूप में नहीं, बल्कि "यूजर एक्सपीरियंस" के रूप में जाना जाता है।
डौग ठीक है, ब्रायन, टिप्पणी करने के लिए बहुत-बहुत धन्यवाद।
यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हमें इसे पॉडकास्ट पर पढ़ना अच्छा लगेगा।
आप tips@sophos.com पर ईमेल कर सकते हैं, आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सामाजिक: @Naked Security पर संपर्क कर सकते हैं।
आज के लिए यही हमारा शो है - सुनने के लिए बहुत-बहुत धन्यवाद।
पॉल डकलिन के लिए, मैं डौग आमोथ हूं, आपको अगली बार तक याद दिला रहा हूं ...
दोनों को। सुरक्षित रहें!
[संगीत मोडेम]
- blockchain
- कॉइनजीनियस
- क्रिप्टोकुरेंसी वॉलेट्स
- क्रिप्टोकरंसीज
- साइबर सुरक्षा
- साइबर अपराधी
- साइबर सुरक्षा
- घर की भूमि सुरक्षा का विभाग
- डिजिटल पर्स
- एकर्सली
- फ़ायरवॉल
- Kaspersky
- एनक्रिप्ट कर देता है
- मैलवेयर
- McAfee
- नग्न सुरक्षा
- नग्न सुरक्षा पॉडकास्ट
- नेक्सब्लॉक
- पीटर
- प्लेटो
- प्लेटो एआई
- प्लेटो डेटा इंटेलिजेंस
- प्लेटो गेम
- प्लेटोडाटा
- प्लेटोगेमिंग
- पॉडकास्ट
- Tik Tok
- वीपीएन
- वेबसाइट सुरक्षा
- जेफिरनेट
