SQL Injection की अदालती यात्रा

 (sockpuppet.org)
1 पॉइंट द्वारा GN⁺ 2025-02-26 | 1 टिप्पणियां | WhatsApp पर शेयर करें

सारांश

  • Illinois के सूचना की स्वतंत्रता कानून (FOIA) के अनुसार, सार्वजनिक संस्थानों के पास मौजूद अधिकांश जानकारी सार्वजनिक की जानी चाहिए, लेकिन City of Chicago ने यह कहते हुए FOIA अनुरोध ठुकरा दिया कि database schema सुरक्षा जोखिम पैदा कर सकता है। इसके बाद data journalist Matt Chapman ने मुकदमा दायर किया और विशेषज्ञ गवाही के ज़रिए यह साबित किया कि schema सुरक्षा खतरा नहीं है। वे निचली अदालत और अपील, दोनों में जीते, लेकिन अंततः Illinois Supreme Court में हार गए।
  • Supreme Court ने यह व्याख्या दी कि database schema "file layout" के अंतर्गत आता है, इसलिए उसे सार्वजनिक करना आवश्यक नहीं है। इससे सार्वजनिक संस्थानों के लिए database structure का हवाला देकर सूचना-प्रकटीकरण से इनकार करने का रास्ता खुल गया। हालांकि, इस समस्या को सुलझाने के लिए एक विधेयक (SB0226) पेश किया गया है, जिसमें यह शामिल है कि सार्वजनिक संस्थान database structure का पर्याप्त विवरण दें ताकि सूचना मांगने वाला व्यक्ति विशेष data query का अनुरोध कर सके।
  • यह विधेयक सूचना पारदर्शिता को मजबूत करने की दिशा में एक महत्वपूर्ण कदम है, और इसके समर्थन में स्थानीय विधायकों से संपर्क कर इसे पारित कराने का आग्रह करने की जरूरत है.

पृष्ठभूमि

  • Illinois का सूचना की स्वतंत्रता कानून (FOIA) काफी मजबूत है, और अधिकांश मामलों में सार्वजनिक संस्थानों द्वारा एकत्र की गई जानकारी को सार्वजनिक संपत्ति माना जाता है।
  • सूचना अनुरोध ईमेल के जरिए आसानी से किया जा सकता है, और कानूनन ऐसे अनुरोध का जवाब 5 दिनों के भीतर दिया जाना चाहिए।
  • FOIA की एक बड़ी सीमा यह है कि यह किसी संस्था को नया रिकॉर्ड बनाने के लिए बाध्य नहीं कर सकता।
  • database schema, database की संरचना का वर्णन करता है, और जैसे-जैसे सार्वजनिक संस्थानों की जानकारी databases में अधिकाधिक संग्रहीत हो रही है, इसका महत्व बढ़ता जा रहा है।

Matt Chapman बनाम City of Chicago

  • Matt Chapman बड़े पैमाने पर FOIA अनुरोधों के जरिए data journalism करने वाले विशेषज्ञ हैं।
  • Chicago का CANVAS सिस्टम parking ticket data को केंद्रीकृत रूप से प्रबंधित करने वाला एक बड़ा database है। Matt ने इस database का schema मांगा, लेकिन उनका अनुरोध खारिज कर दिया गया।
  • Chicago ने यह कहते हुए मना किया कि जानकारी सार्वजनिक करने से system security को खतरा हो सकता है, और इसके खिलाफ Matt ने मुकदमा दायर किया।

मैं गवाह के कटघरे में खड़ा हुआ

  • इस बात पर विवाद था कि database schema को सार्वजनिक करने से सुरक्षा को खतरा होता है या नहीं।
  • SQL Injection database पर हमले का एक प्रमुख तरीका है, और इस पर चर्चा हुई कि क्या database schema ऐसे हमले में इस्तेमाल हो सकता है।
  • मैंने अपनी गवाही में इस बात पर जोर दिया कि SQL Injection हमला database schema के जरिए नहीं किया जाता।

कानून के खूनी पदचिह्न

  • निचली अदालत में जीत मिली, लेकिन Chicago ने तुरंत अपील कर दी।
  • अपील अदालत ने इस बात पर जोर दिया कि सूचना-प्रकटीकरण से सुरक्षा को खतरा होने की संभावना बहुत अधिक होनी चाहिए।
  • अंततः Illinois Supreme Court ने फैसला दिया कि database schema को file layout माना जा सकता है।

मौजूदा स्थिति

  • Illinois के सार्वजनिक संस्थानों के पास database schema को सार्वजनिक करने से इनकार करने का अधिकार है।
  • database को जानकारी छिपाने का साधन नहीं बनना चाहिए, और नया विधेयक SB0226 इस समस्या का समाधान कर सकता है।
  • इस विधेयक में कहा गया है कि database structure का इतना स्पष्ट विवरण दिया जाना चाहिए कि अनुरोधकर्ता किसी विशेष query का अनुरोध कर सके।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-02-26
Hacker News टिप्पणियाँ

  • नमस्ते, मैं इस मुकदमे का वादी हूँ। tptacek की पोस्ट के जवाब में एक साथी पोस्ट तैयार कर रहा हूँ। तब तक कोई सवाल हो तो बेझिझक पूछें

    • इंतज़ार करते हुए यह पुरानी पोस्ट देख लें: लिंक

  • "Bob O के सभी parking ticket डेटा को query करना और database की बाकी सारी जानकारी भी निकाल लेना" SQL Injection का एक उदाहरण है। यहाँ "everyone's" अलग-थलग single quote की वजह से समस्या बनता है

  • मुझे लगता है कि शहर को schema साझा करना चाहिए, लेकिन मैं लेख के इस दावे से सहमत नहीं हूँ कि SQL schema जानना हमलावर के लिए मददगार नहीं होता

    • हमलावर SQL Injection attack का इस्तेमाल करके SQL schema फिर से बना लेते हैं। schema हमला करने की पूर्वशर्त नहीं, बल्कि उसका परिणाम होता है
    • इसमें यह संकेत है कि vulnerability मिल जाने पर schema पुनर्निर्मित किया जा सकता है, लेकिन ऐसा हमेशा नहीं होता। schema पता हो तो vulnerability का फायदा उठाना आसान हो जाता है

  • Kurt ने मुझे चिढ़ाने के लिए यह लेख पोस्ट किया। मेरा पाठक वर्ग ज़्यादातर Chicago-area politics से जुड़े गैर-तकनीकी लोग हैं

    • local politics में शामिल होना बहुत high-leverage होता है। मैंने अपने खाली समय में कानून पारित कराने सहित बहुत कुछ कर लिया है
    • local politics message board के इर्द-गिर्द घूमती है। अगर आप इसमें शामिल हों, तो बहुत कुछ हासिल कर सकते हैं

  • क्या यह अजीब नहीं है कि Supreme Court और appeals court syntax के मुद्दे पर अलग राय रखते हैं?

    • अजीब बात यह है कि कानून को अस्पष्ट ही रहने दिया गया। अगर कानून की बुनियादी sentence structure ही अदालतों के लिए स्पष्ट नहीं है, तो सिस्टम पहली ही बाधा पर टूट चुका है

  • क्या source code exemption को लेकर थोड़ा असहज या चिंतित होने वाला मैं अकेला हूँ?

    • ऐसा परिदृश्य कल्पना करना आसान है जहाँ शहर किसी खास software को in-house बनाता है और source code में "bias" छिपा सकता है
    • मुझे नहीं लगता कि प्रस्तावित संशोधन पर्याप्त है

  • पढ़ने के लिए बहुत दिलचस्प सामग्री है

    • यह सोचना बेतुका है कि schema को छिपाकर सुरक्षा मिलती है। मैं एक छोटी company में काम करता हूँ और ग्राहकों को उनकी ज़रूरत का डेटा देने की कोशिश करता हूँ

  • लगता है कि Illinois Supreme Court के फैसले की बदौलत अब "Everything is a file" कहने का मौका मिल गया है

  • मैंने cleartap.com प्रोजेक्ट के लिए 10 लाख से अधिक pages के दस्तावेज़ FOIA request के ज़रिए माँगे थे। ज़्यादातर राज्य दस्तावेज़ इकट्ठा करने के लिए थोड़ी-सी फीस लेते हैं

    • Michigan ने FOIA request के लिए $50K माँगे थे। शायद Flint lead crisis की वजह से। वे चाहते थे कि मैं गायब हो जाऊँ

  • अगर जनता यह नहीं जान सकती कि सरकार के पास कौन-सा डेटा है, तो information freedom जैसी कोई चीज़ नहीं है