"/etc/hosts" फ़ाइल लिखने पर Substack एडिटर में त्रुटि

 (scalewithlee.substack.com)
1 पॉइंट द्वारा GN⁺ 2025-04-26 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Substack एडिटर में कुछ विशेष system path लिखने पर network error होता है
  • web application firewall (WAF) ऐसे path को path traversal attack और command injection attack रोकने के लिए block करता है
  • security और usability के बीच संतुलन एक अहम मुद्दे के रूप में उभरता है
  • technical writers के लिए बेहतर समाधान की ज़रूरत है
  • alternative path का उपयोग करके समस्या हल की जा सकती है

जब /etc/h*sts Substack एडिटर को बाधित करता है: web content filtering का रोमांच

रहस्यमय network error

  • DNS resolution पर एक technical post लिखते समय unexpected error हुआ
  • /etc/h*sts path दर्ज करते ही network error हुआ और autosave विफल हो गया
  • Substack का status page दिखाता है कि सब सामान्य रूप से चल रहा है

जांच की शुरुआत

  • किसी खास file path को लिखने पर error होता है, जबकि path को बदलने पर सामान्य रूप से काम करता है
  • /etc/h*sts जैसे path error पैदा करते हैं, जबकि बदले हुए path में कोई समस्या नहीं होती

अंदर क्या हो रहा है?

  • browser developer tools में 403 Forbidden response दिखा
  • Cloudflare इसमें शामिल है

web application security filter को समझना

WAF संक्षेप में

  • web application firewall (WAF) वेबसाइट के security guard की तरह काम करता है
  • यह संदिग्ध request को block करता है

path traversal attack: सावधानी की वजह

  • path traversal attack संवेदनशील system file तक पहुंचने की कोशिश होती है
  • /etc/h*sts जैसे path attack target बन सकते हैं

command injection: एक और security समस्या

  • command injection attack system command चलवाने की कोशिश करता है
  • system path का ज़िक्र होने पर filter उसे block कर सकता है

रहस्य और गहरा होता है: ऐतिहासिक उदाहरण

  • दूसरे Substack post में ऐसे ही path के इस्तेमाल का उदाहरण मिला
  • संभव है कि filtering behavior किसी खास समय पर बदल गया हो

security बनाम usability: नाज़ुक संतुलन

  • Substack का filter सुरक्षा के लिए है, लेकिन technical writers के लिए यह रुकावट बन जाता है
  • सुधार की गुंजाइश है: स्पष्ट error message, technical content की पहचान, और documented workaround उपलब्ध कराना

HTTP response पर नज़र

  • API स्तर पर 403 Forbidden status code की पुष्टि हुई

technical content platform के लिए बेहतर समाधान

  1. contextual filtering: code block या technical discussion में system path को पहचानना
  2. स्पष्ट error message: "network error" की जगह यह बताना कि security filter के कारण block हुआ
  3. documented workaround: sensitive path पर चर्चा कैसे करें, यह बताना

निष्कर्ष: security और technical writing का संगम

  • Substack एडिटर की यह समस्या security और technical writing की जटिल चुनौतियों को उजागर करती है

  • जो चीज़ security filter को attack pattern लगती है, वह वास्तव में legitimate content भी हो सकती है

  • alternative path का उपयोग करके समस्या का समाधान संभव है

  • पाठकों से अनुरोध है कि यदि उन्होंने दूसरी platforms पर भी ऐसी filtering समस्या देखी हो तो comments में साझा करें

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-04-26
Hacker News राय

  • CDN पर WAF rules सेट करने वाले लोग अक्सर technical content संभालने वाली sites और services को अच्छी तरह नहीं समझते। सिर्फ Cloudflare ही नहीं, Akamai में भी यही समस्या होती है

    • अगर कोई site database से जुड़ी है, तो basic SQL injection attack prevention rules चालू करने से site खराब हो सकती है
    • file inclusion rule sets भी होते हैं, इसलिए /etc/hosts या /etc/passwd जैसी चीजें block हो जाती हैं
    • मेरा मानना है कि security और usability के बीच संतुलन महत्वपूर्ण है। सभी WAF rules लागू करने से security मजबूत होती है, लेकिन उन services में असुविधा होती है जहाँ technical concepts पर चर्चा करनी होती है
    • rules को बारीकी से tune करना बहुत समय लेने वाला काम है। rules बनाए रखते हुए use cases को allow करने के लिए बहुत सारे changes करने पड़ते हैं
    • page load न होना या resources load न होने जैसी समस्याएँ हो सकती हैं। rules को बंद कर देने का प्रलोभन होता है

  • इससे e-commerce platform से जुड़ा एक किस्सा याद आता है: किसी ने memory leak वाला web shop code किया था, और log में "OutOfMemoryException" string दिखने पर app restart करके इसे हल किया गया था

    • बाद में एक दूसरे developer ने customer search queries record करनी चाहीं, और किसी ने search box में "OutOfMemoryException" टाइप कर दिया, तो समस्या हो गई

  • सोच रहा हूँ कि क्या वे /etc/hosts या /etc/./hosts को block करते हैं। यह एक ऐसी whack-a-mole game लगती है जिसमें हार तय है। hackers ज़्यादा smart और determined होते हैं, इसलिए सिर्फ proven security पर निर्भर रहना चाहिए

  • इस बारे में राय कि Substack technical writers के लिए इस स्थिति को कैसे बेहतर बना सकता है

    • ऐसे endpoint पर बेवकूफाना WAF नहीं चलाना चाहिए जहाँ लोग किसी भी विषय पर लेख edit कर सकते हों
    • यह वैसा ही है जैसे web development forum में XSS filter लागू कर दिया जाए ताकि सदस्य XSS के बारे में बात ही न कर सकें
    • content को सही तरह से escape करना सीखना चाहिए

  • यह web security में protection और usability के बीच तनाव का एक दिलचस्प उदाहरण दिखाता है

    • लेकिन इस मामले में यह एक bug को उजागर करता है। security और usability के बीच तनाव वास्तव में मौजूद है, लेकिन यहाँ मामला वह नहीं है
    • security और usability के बीच तनाव आम तौर पर एक trade-off होता है। security बढ़ाने पर user experience खराब होता है
    • इस मामले में खराब security और खराब user experience, दोनों दिखाई देते हैं

  • competitive programming team को पढ़ाते समय आई समस्या: अगर code में C++ types और keywords आ जाएँ, तो 403 error आ जाता था

    • बैंक में काम करते समय एक API था जिसमें Python files submit करनी पड़ती थीं, और ज़्यादातर Python files 403 error दे देती थीं
    • नए cloud environment में भी ऐसी ही समस्या हुई

  • जब internal red team ने XSS और अन्य injection attack attempts वाला data post किया, तब भी समस्या हुई

    • attack खुद काम नहीं कर रहा था, लेकिन ऐसे entries की मौजूदगी से internal admin page load नहीं होता था

  • पुरानी समस्या फिर सामने आई है। इसे Scunthorpe problem कहा जाता है

  • OpenRouter से जुड़ी इसी तरह की समस्या का अनुभव हुआ। OpenRouter एक ऐसी service है जो अलग-अलग LLMs इस्तेमाल करने के लिए single endpoint देती है

    • अगर POST request body में कुछ खास HTML और JavaScript fragments शामिल हों, तो बहुत-सी requests block हो जाती हैं

  • content filtering को context पर बहुत अधिक निर्भर होना चाहिए। जब WAF उस चीज़ से अलग होकर filter करता है जिसे वास्तव में filter करना चाहिए, तब समस्या होती है

    • यह spam filtering जैसा है। email server, sending server की configuration के आधार पर filter करता है
    • content-based filtering की तुलना में delivery-based filtering ज़्यादा प्रभावी होती है। websites और WAF पर भी यही बात लागू होती है