به گزارش رسانه تحلیلی خبری آناژورنال، فداییورس، شبکه اجتماعی باز که شامل Mastodon، Threads، Pixelfed و دیگر اپلیکیشنهای غیرمتمرکز است، در مسیر افزایش امنیت خود قدم بزرگی برداشته است.
روز چهارشنبه، بنیاد Nivenly که بر حاکمیت پروژههای متنباز تمرکز دارد، از راهاندازی یک صندوق امنیتی جدید خبر داد.
این صندوق برای حمایت از افرادی طراحی شده که بهطور مسئولانه آسیبپذیریهای امنیتی این پلتفرمها را گزارش میکنند.
جدیدترین اخبار تکنولوژی در آناژورنال دنبال کنید.
هر نرمافزاری ممکن است مشکلات امنیتی داشته باشد، اما در سالهای اخیر، Mastodon و دیگر سرویسهای فداییورس بارها دچار آسیبپذیریهایی شدهاند که نیاز به راهاندازی چنین برنامهای را افزایش داده است.
یکی از مشکلات فداییورس این است که بسیاری از سرورها توسط افراد مستقل و غیرمتخصص اداره میشوند که ممکن است با بهترین شیوههای امنیتی آشنا نباشند.
پاداشها در این برنامه چگونه است؟
- 250 دلار برای آسیبپذیریهایی با امتیاز 7.0 تا 8.9 در CVSS
- 500 دلار برای آسیبپذیریهای بحرانی با امتیاز 9.0 یا بیشتر
این صندوق در حال حاضر بهصورت آزمایشی اجرا شده است و یکی از اولین موارد استفاده از آن، کشف یک آسیبپذیری در Pixelfed بود.
Emelia Smith، یکی از توسعهدهندگان متنباز، این مشکل را کشف کرد و بنیاد Nivenly برای رفع آن به او پاداش پرداخت کرد.
چالشهای امنیتی فداییورس
بهتازگی، Daniel Supernault، خالق Pixelfed، جزئیات یک آسیبپذیری را قبل از انتشار بهروزرسانی امنیتی، عمومی کرد که میتوانست کاربران را در معرض خطر قرار دهد.
این اتفاق باعث شد که برخی سرورهای Mastodon مانند Hachyderm که بیش از 9500 عضو دارد، ارتباط خود را با سرورهای آسیبپذیر Pixelfed قطع کنند تا کاربرانشان را محافظت کنند.
Emelia Smith تأکید کرد که یکی از اهداف این برنامه، آموزش مدیران پروژههای فداییورس درباره اهمیت افشای مسئولانه آسیبپذیریها است.
برخی از پروژهها از کاربران میخواستند که مشکلات امنیتی را مستقیماً در ردیاب عمومی اشکالات (issue tracker) ثبت کنند، که این روش میتوانست توسط هکرها مورد سوءاستفاده قرار گیرد.
با اجرای این صندوق امنیتی، انتظار میرود که افزایش آگاهی امنیتی و افشای مسئولانه مشکلات، نیاز به قطع ارتباط (defederation) میان سرورها را کاهش دهد و امنیت فداییورس بهبود یابد.
سوالات متداول
صندوق امنیتی فداییورس چیه و قراره چیکار کنه؟
این یه برنامه است که توسط بنیاد Nivenly راهاندازی شده تا به افرادی که مشکلات امنیتی فداییورس رو پیدا و گزارش میکنن، پاداش مالی بده. هدف اصلیش هم افزایش امنیت پلتفرمهای غیرمتمرکزی مثل Mastodon، Pixelfed و Threads هست.
چطور میشه از این صندوق پاداش گرفت؟
اگه یه آسیبپذیری امنیتی جدی توی یکی از سرویسهای فداییورس پیدا کنی و بهطور مسئولانه گزارش بدی، بعد از تأیید، بین 250 تا 500 دلار جایزه میگیری.
چه نوع باگهایی شامل این پاداش میشن؟
هر باگی که امنیت کاربران رو تهدید کنه، مثل نقصهای مربوط به حریم خصوصی، هک شدن دادهها، یا مشکلاتی که باعث نفوذ هکرها بشه، میتونه توی لیست پاداشها قرار بگیره.
اگه یه آسیبپذیری پیدا کردم، چطور باید گزارش بدم؟
اول باید مشکل رو به مدیران پروژه فداییورس اعلام کنی. بعدش، اونا بررسی میکنن و اگه تأیید بشه، میره توی پایگاه داده CVE و مبلغ پاداش بهت پرداخت میشه.
کی هزینه این صندوق امنیتی رو تأمین میکنه؟
این صندوق با حمایت اعضای بنیاد Nivenly تأمین میشه که شامل افراد مستقل و سازمانهای تجاری هستن.
فداییورس چیه و چرا نیاز به امنیت داره؟
فداییورس یه شبکه اجتماعی غیرمتمرکز شامل Mastodon، Pixelfed و Threads هست که توسط سرورهای جداگانه اداره میشه. چون سرورها دست افراد مستقل هست، بعضی وقتا امنیتشون پایین میاد، برای همین یه همچین برنامهای ضروریه.
اگه یه سرور آپدیت امنیتی رو نصب نکنه چی میشه؟
اگه یه سرور مشکل امنیتی داشته باشه و آپدیت نکنه، ممکنه بقیه سرورها ارتباطشون رو باهاش قطع کنن (defederate) تا کاربرانشون در امان باشن. این اتفاق قبلاً برای Pixelfed افتاده بود.
این صندوق قراره چقدر امنیت فداییورس رو بهتر کنه؟
اگه افراد بیشتری آسیبپذیریها رو گزارش بدن، مشکلات زودتر برطرف میشه و سرورها هم کمتر مجبور میشن ارتباطشون رو قطع کنن، در نتیجه امنیت فداییورس خیلی بهتر میشه.
فرق فداییورس با شبکههای اجتماعی دیگه چیه؟
فداییورس غیرمتمرکز هست، یعنی بهجای یه شرکت مثل متا یا توییتر، هزاران سرور مختلف اونو مدیریت میکنن. این ویژگی آزادی بیشتری به کاربران میده، ولی از طرفی امنیتش هم سختتر کنترل میشه.
تا حالا کسی از این صندوق جایزه گرفته؟
بله، اولین کسی که از این صندوق پاداش گرفت Emelia Smith بود که یه باگ توی Pixelfed پیدا کرد و برای رفعش پول دریافت کرد.
