छोट्या जाहिराती अधिक सुरक्षित

डिसेंबरच्या सुरवातीला मायबोलीचा "छोट्या जाहिराती" हा विभाग तातडीने बंद केला होता. हा विभाग नुकताच पुन्हा सुरु केला आहे. प्रशासनात पारदर्शकता असावी यासाठी काय झाले हे सांगणे आम्हाला आवश्यक वाटते.
स्वप्निल वडवळकर (आयडी नीळूभाऊ) या आपल्यातल्याच एका मायबोलीकराने , जाहिरात विभागातल्या संगणक प्रणालीत एक मोठी सुरक्षा त्रूटी ( Security hole) असल्याचे आम्हाला दाखवून दिले. या विभागातले सॉफ्टवेअर मायबोलीच्या इतर भागांपेक्षा वेगळे होते आणि विकत घेतले होते. त्रूटी नक्कीच मोठी असल्याने आम्ही आधी तातडीने तो विभाग बंद केला. सगळ्यात महत्वाचे म्हणजे या त्रूटीचा गैरफायदा घेतल्या जाण्याअगोदर आम्हाला हे करता आले.

मूळ सॉफ्टवेअर तयार करणार्‍या कंपनीशी संपर्क साधून ही त्रूटी बुजवणे हा एक पर्याय आमच्याकडे होता. पण तो मार्ग न पत्करता आम्ही पूर्णपणे ती साईट (सबडोमेन) पुसून टाकली आणि एका नवीन सर्वरवर नव्याने सुरुवात केली. पुन्हा त्याच कंपनीचे सॉफ्टवेअर न वापरता, जाहिरात विभागही ड्रूपल याच प्रणालीवर विकसित करायचे ठरवले.

नवीन जाहिराती विभाग तयार झाल्यावर स्वप्नील वडवळकर यांनी तपासणी करून तो सुरक्षीत असल्याचा निर्वाळा दिला. आमच्याही चाचण्यातून नवीन काही त्रूटी आढळल्या नाहीत.

यातून निर्माण होण्यार्‍या काही प्रश्नांची उत्तरे आधिच देतो.

तुम्ही ड्रूपल का निवडले? तिथेही परत सुरक्षा त्रूटी निर्माण होणार नाही कशावरून?
ड्रूपल ही सध्यातरी एक सगळ्यात सुरक्षीत प्रणाली समजली जाते. अमेरिकेच्या राष्ट्राध्यक्षांची अधिकृत वेबसाईट ( Whitehouse.gov) ही ड्रूपलवर आधारीत एक मोठी साईट आहे. ह्या साईटवर जगातून सतत हल्ले होण्याचा प्रयत्न चालू असतो. तसेच ड्रूपलमधे काही सुरक्षा त्रूटी आहेत का हे सारखे शोधणारा आणि असल्यातर त्या लगेच बुजवणारा एक चमू आहे. या सगळ्या साधनसामुग्रीचा आपल्यालाही लगेच उपयोग होईल हा आमचा हेतू आहे.

मायबोलीच्या इतर काही विभागांवर यामुळे काही परिणाम झाला का?
आम्ही केलेल्या चाचण्यानुसार मायबोलीच्या इतर विभागांवर काहीही परिणाम झालेला नाही. विशेषतः मायबोलीचा खरेदी विभाग सुरक्षित आहे याची पुन्हा खात्री करून घेतली.

समजा , चोरांनी अगदी नवी काही क्लूप्ती शोधून काढली की जि आतापर्यंत कुणालाच माहीती नसेल?
सुरक्षिततेचे उपाय हा नेहमीच चोरपोलिसांचा खेळ असतो. नवीन सुरक्षा त्रूटी शोधल्या जात असतात आणि त्या बुजवल्या जात असतात. त्यामुळे हे होऊ शकते हे आम्ही गृहित धरले आहे. म्हणूनच खरेदी विभागात कुठेही मुद्दामच क्रेडीटकार्डची माहीती साठवली जात नाही. एकदा यशस्वी झालेल्या Transaction मधल्या क्रेडिट कार्डाबद्दल कुणालाही (अगदी वेबमास्तर, अ‍ॅडमीन यांनाही ) पाहता येत नाही कारण ती मायबोलीवर साठवलीच जात नाही. याच कारणामुळे रंगिबेरंगी सारख्या सुविधेचे आपोआप नूतणीकरण करता येत नाही (आम्ही आपोआप दरवर्षी तुमचे क्रेडीटकार्ड वापरू शकत नाही)

स्वप्नील वडवळकरांनी दाखवलेल्या जागरूकतेबद्दल मायबोली त्यांची ऋणी आहे.