protobuf.js में छह कमजोरियाँ पाई गईं, जो Node.js के लिए एक महत्वपूर्ण लाइब्रेरी है, जो रिमोट कोड निष्पादन या सेवा से इनकार करने की अनुमति देती हैं। समस्या केवल तकनीकी नहीं है: परियोजना को बनाए रखने वाले स्वयंसेवक हैं जिनके पास कोई फंडिंग नहीं है, जबकि Google जैसे दिग्गज इसका उपयोग करते हैं और इसकी सुरक्षा में योगदान नहीं देते हैं।
सीरियलाइज़ेशन में खामियाँ जो हमलों का रास्ता खोलती हैं 🛡️
कमजोरियाँ protobuf.js में बफ़र्स के हेरफेर और प्रकारों के सत्यापन को प्रभावित करती हैं, जिससे हमलावर दुर्भावनापूर्ण संदेश भेज सकता है जो मेमोरी को ओवरफ्लो करते हैं या मनमाना कोड निष्पादित करते हैं। समस्या की जड़ निरंतर ऑडिट के लिए संसाधनों की कमी है। बड़ी कंपनियाँ महत्वपूर्ण प्रणालियों के लिए इस लाइब्रेरी पर निर्भर करती हैं, लेकिन इसके रखरखाव में निवेश नहीं करती हैं, जिससे सुरक्षा कुछ अवैतनिक डेवलपर्स के हाथों में रह जाती है।
ओपन सोर्स: जहाँ निगम माँगते हैं, लेकिन भुगतान नहीं करते 💸
Google, Amazon और अन्य अपने क्लाउड में डेटा स्थानांतरित करने के लिए protobuf.js का उपयोग करते हैं, लेकिन जब खामियाँ सामने आती हैं, तो पैच एक स्वयंसेवक द्वारा अपनी वास्तविक नौकरी के दो शिफ्टों के बीच लिखा जाता है। यह पड़ोसी से मुफ्त में आपके घर की निगरानी करने के लिए कहने जैसा है, और जब कोई चोर आता है, तो शिकायत करना कि उसने बेहतर ताले नहीं लगाए। नागरिक उन प्रणालियों पर भरोसा करता है जो कॉफी और सद्भावना पर टिकी हैं, जबकि कंपनियाँ लाखों कमाती हैं।