tl;dr: মাইক্রোসফ্ট এবং অন্যান্য ইমেল সুরক্ষা স্ক্যানারগুলি আপনার পাঠানো ইমেলের লিঙ্কগুলি পরিদর্শন করবে এবং সেই লিঙ্কগুলিতে JavaScript চালাবে, যার মধ্যে POSTগুলি চলে যাওয়ার দিকে পরিচালিত কলগুলি সহ। এটি অগ্রহণযোগ্য ছিল, যেহেতু POST-এর পার্শ্বপ্রতিক্রিয়া আছে। তবুও আমরা এখানে আছি। এটি এমনকি কিছুটা পরিশীলিত একক-ব্যবহারের সাইন-অন/ইমেল নিশ্চিতকরণ বার্তাগুলিকে ভেঙে দেয়। কীভাবে এটি মোকাবেলা করা যায় তার জন্য পড়ুন, এবং মাইক্রোসফ্টের মতো দারোয়ানদের সাথে কীভাবে আচরণ করা উচিত সে সম্পর্কে কিছু চিন্তাভাবনা যা এলোমেলোভাবে জিনিসগুলি ভেঙে ফেলতে পারে এবং এটি থেকে দূরে যেতে পারে।
আমার মাস্টোডন প্রোফাইলে আমার আছে এই উদ্ধৃতি পিন:
“লেখাকে সেই প্রক্রিয়া বলা হয় যার মাধ্যমে আপনি জানতে পারেন যে আপনি কী বিষয়ে কথা বলছেন তা জানেন না। আসলে স্টাফ করা হচ্ছে সেই প্রক্রিয়া যার মাধ্যমে আপনি জানতে পারেন যে আপনি কী লিখছেন তাও আপনি জানেন না।” – লীন সফ্টওয়্যারের জন্য একটি 2024 আবেদন থেকে (চলমান কোড সহ)
সম্প্রতি আমি আসলে হয়েছে করছেন আবার কিছু জিনিস, যথা, ডাচ পার্লামেন্ট পর্যবেক্ষণ করে এমন একটি সাইট তৈরি করা যেখানে ব্যবহারকারীরা মনিটর কনফিগার করতে পারে যা তাদের সংসদীয় ঘটনা সম্পর্কে অবহিত করে। এর মধ্যে রয়েছে লোকেদের সাইন আপ করা, ইমেল পাঠানো, ব্যবহারকারীদের লগ ইন এবং আউট করা ইত্যাদি।
এটি থেকে আমি গতকাল শিখেছি যে একজন ব্যবহারকারী আর আমার সাইটে পাসওয়ার্ড-কম সাইন-অন করতে পারে না, পরিবর্তে সর্বদা বলা হয় যে একক-ব্যবহারের লিঙ্কটি ইতিমধ্যেই ব্যবহার করা হয়েছে৷ কিভাবে আসলো?
ইন্টারনেটে “সাইবার নিয়ম” সর্বদা পরিবর্তনশীল। আমি যখন 1992 সালে অনলাইন শুরু করি, তখনও ‘1024 এর নিচে পোর্ট নম্বর’ বিশেষ ছিল। শুধুমাত্র রুট (ইউনিক্স অ্যাডমিনিস্ট্রেটর) ব্যবহারকারীরা এই ধরনের পোর্টে কাজ করতে পারে এবং কিছু সফ্টওয়্যার শুধুমাত্র এই ধরনের কম পোর্ট নম্বর থেকে আসা প্যাকেটগুলিতে প্রতিক্রিয়া জানাতে পারে, কারণ এগুলি আরও বিশ্বস্ত ছিল। আজকাল, প্রশাসনিক বিধিনিষেধ বিশেষ সুবিধাপ্রাপ্ত বন্দর রয়ে গেছে, কিন্তু এটি আর একটি দরকারী নিরাপত্তা বাধা হিসাবে বিবেচিত হয় না। যে কেউ 123 পোর্টে চলতে পারে।
একইভাবে, এবং আপনার এটি বিশ্বাস করা কঠিন মনে হতে পারে, কিন্তু যখন প্রথম স্প্যাম ফিল্টারগুলি উদ্ভাবিত হয়েছিল, তখন মেল সার্ভার অপারেটরদের মধ্যে কঠিন আলোচনা হয়েছিল যে তাদের এটি করার অনুমতি দেওয়া উচিত, এমনকি ব্যবহারকারীরা চাইলেও। অ্যালগরিদম ইমেল অধ্যয়ন করা এবং সম্ভবত ট্রান্সমিশন ব্লক করা কি নৈতিক ছিল? 1990 এর দশকে ইমেল ব্লক করা এবং পরিদর্শন করা অত্যন্ত বিতর্কিত বলে বিবেচিত হয়েছিল।
এছাড়াও, সফ্টওয়্যার “বাড়িতে ফোন করা” নিন্দনীয় হিসাবে বিবেচিত হয়েছিল, এমনকি সম্ভাব্য সুরক্ষা আপডেট সহ নতুন সংস্করণগুলির উপলব্ধতা পরীক্ষা করার মতো বিষয়গুলির জন্যও। সময়ের সাথে সাথে, আমরা এটি খুঁজে পেয়েছি নিরাপত্তা আপডেটের জন্য চেক করা একটি খুব ভাল জিনিস ছিল. যাইহোক, এই দিন সাধারণত সফ্টওয়্যার ব্যবহার করা হয় “ফোনের বাড়িতে” টিউন প্রতিদিন কয়েক ডজন মেগাবাইটযাকে আমরা “টেলিমেট্রি” বলি কিন্তু এটি আসলে গুপ্তচরবৃত্তি।
সমস্যাটি হল যে যখন তারা নিয়ম লঙ্ঘন করে এবং গ্রহণযোগ্যতার নতুন ডি-ফ্যাক্টো সীমানা স্থাপন করে তখন কেউ এটি ঘোষণা করে না। আমরা কেবল এটি সম্পর্কে জানতে পারি “যেমন আমরা যাই”।
পাকা বিকাশকারীরা তা জানেন এইচটিটিপি জিইটি রিকোয়েস্টগুলিকে অদম্য হতে হবে. অথবা অন্য কথায়, একটি GET অনুরোধ কোনো কিছুর অবস্থা পরিবর্তন করবে না। ব্রাউজার এবং মূলত চেইনের প্রত্যেকেরই একটি URL-এ একটি GET অনুরোধ করতে বিনামূল্যে হওয়া উচিত এবং এটি কোন ব্যাপার না।
আপনি যদি প্রকৃতপক্ষে একটি রাষ্ট্র পরিবর্তন করতে চান বা এমন কিছু ঘটাতে চান যা অদম্য নয়, আপনি একটি POST অনুরোধ ব্যবহার করা উচিত. তাই এই নিয়মটি রয়েছে যে ব্যবহারকারীর ইচ্ছা কি তা নিশ্চিত না করে কোনো সফ্টওয়্যার পোস্টগুলি করা বা পুনরাবৃত্তি করা উচিত নয়৷
এদিকে, দুর্বৃত্তরা ম্যালওয়্যার ছড়াতে পছন্দ করে। লোকেরা খারাপতার জন্য ইমেল সংযুক্তি স্ক্যান করে আমরা ভাল আছি। সময়ের সাথে সাথে, এটি সফ্টওয়্যার দেখার জন্যও ঠিক হয়ে গেছে লিঙ্ক তাদের পিছনে কি ছিল তা খুঁজে বের করতে ইমেইলে। এতে GET অনুরোধ জড়িত, তাই এটি গ্রহণযোগ্য ছিল।
এটি ইতিমধ্যে গত কয়েক বছরে কয়েকটি কর্মপ্রবাহ ভেঙে দিয়েছে। একক-ব্যবহারের জাদু (সাইন-অন) লিঙ্কগুলি “গ্রাহ্য” হয়ে গেছে. একবার ব্যবহারকারী ইমেলটি দেখে এবং তারা সাইন-অন লিঙ্কটিতে ক্লিক করে, লিঙ্ক ইতিমধ্যে মৃত হবে. আপনি এটি ব্যবহার করার আগে মাইক্রোসফ্ট ইতিমধ্যেই স্বয়ংক্রিয়ভাবে আপনার জন্য একক-ব্যবহারের লিঙ্কটি খেয়ে ফেলেছে।
এটি, যাইহোক, কিছু ফিশিং পরীক্ষাগুলিকে ব্যাপকভাবে বিভ্রান্ত করে – এটিকে সমস্ত ব্যবহারকারীর সমস্ত লিঙ্কে ক্লিক করার মতো দেখায়৷ যাইহোক, সম্প্রতি, মাইক্রোসফ্ট “ক্লিকিং” করছে।
যাইহোক, আমরা যুক্তি দিতে পারি যে এই লোকেদের কাছে এটি এসেছে – GET অনুরোধের পার্শ্বপ্রতিক্রিয়া থাকা উচিত নয়, এবং নিরাপত্তার উদ্দেশ্যে এই অনুরোধগুলি সম্পাদন করার অধিকার মাইক্রোসফটের ছিল। এটি প্রতিরোধ করার জন্য, একক-ব্যবহারের সাইন-অন লিঙ্কগুলির বুদ্ধিমান অপারেটররা প্রকৃত সাইন-অনকে একটি POST করে তোলে, উপরে বর্ণিত কারণগুলির জন্য স্ক্যানারদের কিছু করা উচিত নয়৷
যদিও সম্প্রতি, পরিষেবার অপারেটররা (আমার মতো) খুঁজে পেয়েছেন যে তারা ব্যবহারকারীদের সাইন ইন করতে বা তাদের অ্যাকাউন্ট নিশ্চিত করার জন্য যে লিঙ্কগুলি পাঠায় তা আসলে Microsoft থেকে POST অনুরোধের দিকে পরিচালিত করে৷ মাইক্রোসফটের নিরাপত্তা স্ক্যানিং এখন শুধু আপনার মেইল করা লিঙ্কগুলোই দেখবে না, তারা আপনার পৃষ্ঠায় JavaScript চালাবে এবং সেই JavaScript দ্বারা জেনারেট করা যেকোনো পোস্টও পাঠাবে:
প্রথম লাইন প্রকৃত ব্যবহারকারী. দ্বিতীয় লাইনে, 40.94.87.80 হল একটি Microsoft IP ঠিকানা। তাদের পোস্ট একটি 55 বাইট প্রতিক্রিয়া পায়। তৃতীয় লাইনটি আবার ব্যবহারকারী, শুধুমাত্র একটি 28 বাইট প্রতিক্রিয়া পাচ্ছে (এই ক্ষেত্রে একটি ব্যর্থতা)। লাইন 2 এ জাল ব্যবহারকারী এজেন্টও নোট করুন।
এখন, এটি আমাদের আদর্শের একটি শক্তিশালী লঙ্ঘন: আপনি যা চান তা পেতে পারেন, কিন্তু POST-এর পার্শ্বপ্রতিক্রিয়া আছে এবং “কী হয় তা দেখার জন্য” সেগুলি করা বিপজ্জনক. মাইক্রোসফ্ট শুধুমাত্র এখানে একটি গুরুত্বপূর্ণ নিয়ম লঙ্ঘন করছে না, তবে আমি যতদূর বলতে পারি, তারা এই বিষয়ে কাউকে জানায়নি বা কোনোভাবেই আমাদের সতর্ক করেনি।
এটির একটি দাতব্য পাঠ হল যে এটি ঠিক আছে যেহেতু মাইক্রোসফ্ট আমাদের লিঙ্কটি পাওয়ার জন্য একটি GET অনুরোধ করেছে, এবং আমাদের লিঙ্ক তারপর একটি POST সঞ্চালিত হবে. সুতরাং আপনি যুক্তি দিতে পারেন যে আমরাই ভুল ছিলাম, আমরা একটি GET এর উপর ভিত্তি করে পার্শ্ব প্রতিক্রিয়া সৃষ্টি করেছি। এতে হয়তো কিছু সত্যতা আছে।
যাইহোক, নতুন ‘সাইবার আদর্শ’ এখন মনে হচ্ছে: আমরা আপনার পৃষ্ঠাটি পরিদর্শন করব, আপনার জাভাস্ক্রিপ্ট চালাব এবং এটির দ্বারা অনুরোধ করা যেকোনো পোস্ট সম্পাদন করব। দেখা যাচ্ছে যে আপাততনিরাপত্তা সফ্টওয়্যার কার্যত একটি প্রকৃত “সাইন-আপ” বোতামে ক্লিক করবে না তা দেখতে তখন কী হয়। কিন্তু এটি সম্ভবত সময়ের ব্যাপার মাত্র।
মাইক্রোসফট তাদের সার্ভারে জাভাস্ক্রিপ্টের এলোমেলো বিটগুলি চালাতে এবং এটিকে বিশ্বের সাথে (বা মাইক্রোসফ্টের সাথেও) কথা বলার অনুমতি দিয়ে একজন নির্ধারিত হ্যাকার কী মজা পেতে পারে তা আমরা ভাবতে পারি।
আপনি যদি কোনো ধরনের সাইন-অন বা ইমেল নিশ্চিতকরণ লিঙ্ক পাঠান, তাহলে আপনাকে অবশ্যই ধরে নিতে হবে যে নিরাপত্তা স্ক্যানারগুলি করবে৷ অবশেষে সাইন-অন বা নিশ্চিতকরণ কার্যকর করতে তারা যা করতে পারে তা করুন।
অন্য কথায়, আপনার সফ্টওয়্যার আর লিঙ্ক থাকতে পারে না যা একবার কাজ করে। আপনার ব্যবহারকারীর পক্ষে একটি অ্যাকাউন্ট সাইন-অন শেষ করার জন্য আপনাকে অবশ্যই Microsoft (এবং অন্যান্য নিরাপত্তা স্ক্যানার) এর সাথে মোকাবিলা করতে হবে।
তাই আপনার সাইটকে যা করতে হবে তা হল একজন ব্যবহারকারী তাদের সাইন-আপ বা ইমেল নিশ্চিতকরণ সেকেন্ড (বা তৃতীয়..) সময় শেষ করে। পূর্বের নিশ্চিতকরণ জাল ছিল. এখন, কিছু অপারেটর আছে এই ধরনের জাল নিশ্চিতকরণ প্রতিরোধ করার জন্য লিঙ্কটিতে একটি ক্যাপচা রাখার চেষ্টা করা হয়েছে তবে এটি সম্ভবত 1) আপনার ব্যবহারকারীদের বিরক্ত করবে এবং 2) আপনাকে মাইক্রোসফ্টের দুষ্টু তালিকায় নিয়ে যাবে, যেখান থেকে রেহাই পাওয়া যাবে না।
কেউ কেউ যুক্তি দিতে পারে যে এই নিশ্চিতকরণ / একক-ব্যবহারের সাইন-অন লিঙ্কগুলি কোনওভাবেই ভাল নয়, তবে আপাতত, আমাদের পরিষেবাগুলির জন্য সাইন আপ করতে লোকেদের নিয়ে আসতে হবে৷
এটা ভাল হবে যদি বড় প্রভাবশালী অপারেটরদের তারা যে নিয়মগুলি লঙ্ঘন করে সে সম্পর্কে আরও স্বচ্ছ হতে বাধ্য করা হয়। আমি নিরাপত্তা দ্বিধা বুঝতে পারি, আমাকে বিশ্বাস করুন, আমি সত্যিই করি। আপনি বিশ্বের খারাপ মানুষকে আপনার সঠিক নিরাপত্তা অনুশীলন বলতে পারবেন না।
কিন্তু আপনি নীরবে সব ধরনের জিনিস ভাঙতে পারবেন না।
দ ইইউ ডিজিটাল মার্কেটস অ্যাক্ট স্বীকৃতি দেয় যে কিছু খেলোয়াড় “মনোনীত গেটকিপার”এমন বাজার শক্তির সাথে যে তাদের অবশ্যই অতিরিক্ত নিয়ম মেনে চলতে হবে। এতে বর্তমানে Alphabet, Amazon, Apple, ByteDance, Meta এবং Microsoft অন্তর্ভুক্ত রয়েছে।
এই দারোয়ানদের তারা অনলাইনে যা করে সে সম্পর্কে আরও দায়বদ্ধ হওয়া উচিত এবং আমি আশা করি আমরা এটি ঘটতে পারব।
কারণ আমাদের প্রস্তুতির জন্য সময় না দিয়ে তারা পরবর্তীতে কী ভাঙতে পারে কে জানে।
