CDN kodlaringizdagi yashirin xavflar: Domainni egallash voqeasidan olingan saboqlar
CDN Bog'liqliklaridagi Yashirin Xavflar: Domain Takedown Darslari
Har bir veb-sayt ikkita qismdan tashkil topadi — siz yozgan kod va ishonch qilgan kod. Ko'pchilik birinchisini himoya qilishga ko'p vaqt sarflaydi, lekin ikkinchisiga kam e'tibor qaratadi. Yaqinda sodir bo'lgan bir voqea buni aniq ko'rsatdi.
Kimdir Kerak Bo'lmagan Domain
Tasavvur qiling: minglab WordPress saytlariga xizmat ko'rsatgan CDN servisi o'z ishini to'xtatadi. Kompaniya boshqasiga sotildi, so'ngra domain ro'yxatdan o'tkazilmasdan qoldi. Keyin boshqa kimdir uni oldi — va endi u sizning barcha subdomainlaringizni boshqaradi.
Bu tasavvur emas. netdna-ssl.com — MaxCDN orqasidagi domain shunday yo'qolgan. MaxCDN StackPath tomonidan yutildi va so'ngra to'liq yopildi. Domain muddati o'tdi. 2025-yil iyulida uni kimdir qayta ro'yxatdan o'tkazdi.
Yangi egasining qo'lida endi *.wpengine.netdna-ssl.com uchun to'liq DNS nazorati paydo bo'ldi. Sizning saytingiz hali ham ishlatayotgan har bir subdomain endi begona odamning qo'lida.
Bu Nima Uchun Muhim?
"Xo'p, kimdir ishlatmayapti, deb o'ylaysiz." Lekin bu yerda xato qilasiz.
Tadqiqotlar shuni ko'rsatadiki, GitHub'da 4,000 dan ortiq fayl hali ham bu eski domainlarga murojaat qilmoqda. Tashlab ketilgan loyihalar emas — Mozilla, Kong, Nextcloud, Yale Daily News va boshqa tashkilotlar saytlari hali bu domainlardan foydalanmoqda.
Cloudflare Radar ma'lumotlariga ko'ra, netdna-ssl.com dunyo bo'ylab eng faol 20,000 domain ichida. Bu real brauzerlar hali bu nomni ishlatayotganini bildiradi.
Yuklangan Qurol Muammosi
Bu holat ayniqsa xavfli. Hozirda eski asset URL'lari aslida buzilgan. Yangi ega Cloudflare'da oddiy SSL sertifikati o'rnatgan, lekin eski subdomainlar uchun emas. Brauzer TLS xandshake muvaffaqiyatsiz bo'lganda, kontent bloklanadi.
Qisqa muddatda bu foydalanuvchilarni himoya qiladi. Ammo muammo shundaki, hujumchi allaqachon to'liq DNS nazoratiga ega. U allaqachon daromad olish uchun infratuzilmani o'rnatgan. Yagona narsa — Cloudflare'da bitta tugmani bosish. Bu "yuklangan qurol" deb ataladi.
Biz Buni Allaqachon Ko'rganmiz
2024-yil iyunida polyfill.io voqeasi shunga o'xshash edi. Butun veb ishonch qilgan domain alisherif bo'ldi va 100,000 dan ortiq sayt birdan boshqa maqsadda kod yetkazishni boshladi.
Asosiy sabab: biz xavfsizlikni domainlarga bog'laymiz, kodga emas. Domain egari o'zgarganda, har bir sayt yangi eganing niyatlarini meros qilib oladi.
Nima Qilish Kerak
Bog'liqliklarni tekshiring. Kodingiz, ma'lumotlar bazangiz va hujjatlaringizda eski CDN domainlariga murojaatlarni qidiring. Servis yopilganini bilib, uning domaini xavfsiz, deb o'ylamang.
Muhim assetlarni o'zingiz xost qiling. Shrift, skript yoki stil jadvali muhim bo'lsa, o'zingizda saqlang. Server xarajati xavfga arzimaydi.
SRI (Subresource Integrity) ishlatib ko'ring. Uchinchi tomon resurslaridan foydalansangiz, <script> va <link> teglariga kriptografik hashlar qo'shing. SRI hujumchi domainni nazorat qilsa ham, o'zgartirilgan kod ishlamasligini kafolatlaydi.
Supply chain nazoratini yo'ling. Report URI va CSP monitoring xizmatlari kutilmagan domainlar paydo bo'lganda sizga xabar beradi.
Katta Rasm
Bu voqea zamonaviy veb-ishlab chiqishdagi muammoni ko'rsatadi: biz ishonch asosida quramiz, lekin uni vaqt o'tishi bilan tekshirmaymiz.
O'z domainingizni himoya qilish muhim. Ammo haqiqiy xavf — qaysi domainlarga ishonch qo'yishni tanlashingiz va bu ishonch buzilganda bilib qolish tizimlaringiz.
Veb ishonch ustiga qurilgan. Ishonchingizni dono qo'ying.