வலைபெயர்ப்பு அச்சுறுத்தல் மாதிரி

Scope: Core Weblate web application, its interactions with user browsers, backend components (web server, WSGI, database, datastore, Celery), and integration with external VCS. Assumptions: Standard Weblate deployment with typical components (nginx/Apache, Gunicorn/uWSGI, PostgreSQL, datastore, Celery) and user roles (Unauthenticated, Translator, Project Manager, Administrator).

கணினி விளக்கம் மற்றும் நோக்கம்

வலைபெயர்ப்பு என்பது சாங்கோவில் கட்டப்பட்ட திறந்த மூல இணைய அடிப்படையிலான உள்ளூராக்கல் தளமாகும். இது மொழிபெயர்ப்புகளை நிர்வகிக்க அறிவிலி களஞ்சியங்களுடன் இறுக்கமாக ஒருங்கிணைக்கிறது மற்றும் ஆட்டோமேசன், ஊக்குகள் மற்றும் வி.சி.எச் ஒத்திசைவுக்கு சிஐ/சிடி-பாணி அம்சங்களை வழங்குகிறது.

சொத்துக்கள்:

  • Confidentiality: மொழிபெயர்ப்பு strings, பநிஇ keys/credentials க்கு பகஅ integration, பயனர் credentials (passwords, 2FA secrets), பயனர் personal தகவல்கள் (email, name), அமர்வு tokens, audit logs, தனிப்பட்ட திட்டம் data.

  • Integrity: Translation string content, VCS repository integrity, project and component configurations, user permissions, audit logs.

  • Availability: Weblate web interface, VCS integration, database access, background task processing.

  • Authenticity/Non-repudiation: Translation commit history, user attribution for translations, audit logs of administrative actions.

கருத்தியல் தரவு ஓட்ட வரைபடம்

digraph translations { graph [fontname = "sans-serif", fontsize=10]; node [fontname = "sans-serif", fontsize=10, margin=0.1, height=0, style=filled, fillcolor=white, shape=note]; edge [fontname = "sans-serif", fontsize=10, dir=both]; "External user (browser)" -> "Web server (nginx/Apache)" [label="HTTPS"]; "Web server (nginx/Apache)" -> "Weblate application (WSGI, Celery)" [label="Internal API"]; "Weblate application (WSGI, Celery)" -> "Database (PostgreSQL)" [label="Database access"]; "Weblate application (WSGI, Celery)" -> "Datastore (Valkey/Redis)" [label="Key/value access"]; "Weblate application (WSGI, Celery)" -> "Internal VCS repository" [label="Filesystem access"]; "Weblate application (WSGI, Celery)" -> "External VCS repository" [label="Git/API"]; "Weblate application (WSGI, Celery)" -> "Logging (SIEM)" [label="GELF"]; }

எல்லைகளை நம்புங்கள்

  • Internet ↔ Web server: Public internet traffic interacting with the first line of defense.

  • Web server ↔ Weblate application: Communication between the reverse proxy/web server and the application logic.

  • Weblate application ↔ Database Application logic accessing persistent and cached data.

  • Weblate application ↔ Logging: Application logic creating logs.

  • Weblate application ↔ Internal பகஅ repository: Application தருக்கம், ஏரணம் interacting with its local நகலெடு of the பகஅ repository.

  • Weblate application ↔ External பகஅ repository: வலைபெயர்ப்பு reaching out பெறுநர் external குறியீடு hosting platforms.

  • Authenticated User ↔ Unauthenticated User: Different privilege levels within the web application.

அச்சுறுத்தல் அடையாளம்

கூறு/தொடர்பு

ச்ட்ரைட் அச்சுறுத்தல் வகை

அச்சுறுத்தல் விளக்கம்

சாத்தியமான தாக்கம்

Web server (nginx/Apache)

DoS

Denial of service: Attacker floods the web server with requests, making Weblate unavailable.

மொழிபெயர்ப்புக்கான கிடைக்கும் இழப்பு.

Information disclosure

Configuration exposure: Misconfigured server exposes sensitive files (e.g., config files, private keys).

நற்சான்றிதழ்களின் வெளிப்பாடு, உள் கட்டிடக்கலை.

Tampering

Malicious request injection: Attacker injects malicious தகவல்கள் into HTTP தலைப்பிகளுக்கு or request bodies.

பின்தளத்தில் சரியாக கையாளப்படாவிட்டால் கவிமொ ஊசி, XSS அல்லது பிற ஊசி மருந்துகளுக்கான நிகழக்கூடிய.

Weblate application

Spoofing

User impersonation: Attacker gains access to a legitimate user's session (e.g., via session hijacking, compromised credentials).

அங்கீகரிக்கப்படாத மொழிபெயர்ப்பு, ரெப்போ அணுகல்.

(WSGI/CELERY)

Tampering

Unauthorized translation modification: Malicious user or exploited vulnerability allows altering translations, project configs, or VCS integration settings.

தவறான மொழிபெயர்ப்புகள், உடைந்த உருவாக்கம், பகஅ கொக்கிகள் வழியாக RCE.

Tampering

VCS integration manipulation: Attacker manipulates Weblate's interaction with the VCS (e.g., injecting malicious commands via crafted repository URLs if not sanitized, leading to RCE).

இலக்கு திட்டங்களில் குறியீடு ஊசி, தரவு வெளியேற்றம்.

Repudiation

Unattributed changes: Malicious changes are made without proper attribution to the user or system responsible.

தணிக்கை மற்றும் பொறுப்புக்கூறலில் தொல்லை.

Information disclosure

Sensitive data leakage: SQL injection, insecure API endpoints, or errors disclose sensitive data (e.g., other users' translations, VCS credentials, server information).

தனியுரிமை மீறல், அறிவுசார் சொத்து திருட்டு.

Information disclosure

VCS credentials exposure: Weblate's stored VCS credentials (SSH keys, tokens) are accessed by an attacker.

ஒருங்கிணைந்த குறியீடு களஞ்சியங்களுக்கான நேரடி அணுகல்.

DoS

Resource exhaustion: Excessive background tasks or inefficient database queries triggered by an attacker lead to system slowdown or crash.

கிடைக்காதது.

Elevation of privilege

Role escalation: A regular translator gains administrative privileges.

முழுமையான கணினி வேறுபாடின்மை.

Elevation of privilege

Command injection: Arbitrary code execution due to improper input validation in repository URLs or add-ons.

கணினி வேறுபாடின்மை, தரவு வெளியேற்ற.

Database/Datastore

Tampering

Data corruption: Direct access to the database allows altering translation strings, user data, or configuration.

கணினி செயலிழப்பு, தரவு ஒருமைப்பாடு இழப்பு.

Information disclosure

Sensitive data access: Unauthorized access to database/datastore exposes all stored data (credentials, translation memory, user profiles).

முக்கிய தரவு மீறல்.

DoS

Database exhaustion: Attacker floods the database or datastore with queries, or consumes all memory or available connections.

கிடைக்காதது.

VCS integration

Tampering

Malicious commits இருந்து Weblate: Compromised வலைபெயர்ப்பு pushes malicious changes பெறுநர் the upstream repository.

இலக்கு திட்டங்களில் தீம்பொருள்/பின்புறங்களை அறிமுகப்படுத்துதல்.

Repudiation

Fake commit attribution: வலைபெயர்ப்பு commits changes attributed பெறுநர் a wrong பயனர் (e.g., an admin forcing a commit in a translator's பெயர் without their consent).

பொறுப்புக்கூறல் சிக்கல்கள்.

User interaction

Spoofing

Phishing/social engineering: Attacker tricks பயனர்கள் into revealing credentials க்கு வலைபெயர்ப்பு or linked பகஅ accounts.

கணக்கு வேறுபாடின்மை.

(வலை வெங்காயம்)

Tampering

Cross-Site scripting (XSS): Malicious scripts injected into translations or user profiles execute in other users' browsers.

அமர்வு கடத்தல், நற்சான்றிதழ் திருட்டு, மோசடி.

Information disclosure

Clickjacking/UI redress: Attacker overlays malicious இடைமுகம் elements வீச்சலகு Weblate, tricking பயனர்கள் into unintended actions.

அங்கீகரிக்கப்படாத செயல்கள், தரவு கையாளுதல்.

Information disclosure

Sensitive data in UI: Unintended exposure of sensitive data (e.g., another user's email) in the UI due to authorization flaws.

தனியுரிமை மீறல்.

தணிப்பு உத்திகள்

  • Authentication & authorization:
  • Input validation and output encoding:

    • ஊசி தாக்குதல்களைத் தடுக்க அனைத்து பயனர் உள்ளீடுகளின் கடுமையான சரிபார்ப்பு (படிவங்கள், பநிஇ கோரிக்கைகள், வி.சி.எச் முகவரி கள்) (SQL ஊசி, கட்டளை ஊசி, XSS).

    • XSS ஐத் தடுக்க வலை இடைமுகம் இல் காட்டப்படும் அனைத்து பயனர் வழங்கிய தரவுகளுக்கும் சூழல்-விழிப்புணர்வு வெளியீட்டு குறியாக்கம்.

  • VCS integration security:

    • வி.சி.எச் நற்சான்றிதழ்களுக்கான குறைந்தபட்ச சலுகை கொள்கை (எ.கா., முடிந்தவரை படிக்க மட்டும் அணுகல், டோக்கன்களுக்கான வரையறுக்கப்பட்ட நோக்கங்கள்).

    • வி.சி.எச் நற்சான்றிதழ்களின் பாதுகாப்பான சேமிப்பு.

    • வி.சி.க்களிலிருந்து வரும் அனைத்து தரவுகளின் கடுமையான சுத்திகரிப்பு மற்றும் சரிபார்ப்பு (எ.கா., கோப்பு பெயர்கள், கிளை பெயர்கள், காண்பிக்கப்படக்கூடிய செய்திகளைச் செய்யுங்கள்).

    • கிட்/மெர்குரியல் கட்டளைகளின் பாதுகாப்பான செயல்படுத்தல் (பயனர் கட்டுப்பாட்டு உள்ளீட்டுடன் செல் செயல்படுத்தலைத் தவிர்ப்பது).

  • Data protection:

    • ஓய்வில் உணர்திறன் தரவின் குறியாக்கம்.

    • போக்குவரத்தில் தரவின் குறியாக்கம் (அனைத்து HTTP/S மற்றும் பகஅ தகவல்தொடர்புகளுக்கும் TLS/SSL).

    • தரவுத்தள கடினப்படுத்துதல் (வெப்லேட் பயனருக்கான குறைந்த சலுகை, வலுவான கடவுச்சொற்கள்).

  • System hardening:

    • OS, வலைபெயர்ப்பு மற்றும் அனைத்து சார்புகளின் வழக்கமான ஒட்டுதல்.

    • OS இல் வலைபெயர்ப்பு பயனர் கணக்கிற்கான குறைந்தபட்ச சலுகையின் கொள்கை.

    • Network segmentation (e.g., separating database and datastore from public access).

    • WAF இன் பயன்பாடு (வலை பயன்பாட்டு ஃபயர்வால்).

  • Logging and monitoring:

    • பாதுகாப்பு தொடர்பான அனைத்து நிகழ்வுகளின் விரிவான தணிக்கை பதிவு (உள்நுழைவுகள், தோல்வியுற்ற உள்நுழைவுகள், இசைவு மாற்றங்கள், முக்கியமான உள்ளமைவு மாற்றங்கள், வி.சி.எச் செயல்பாடுகள்).

    • Centralized logging and alerting for security incidents, for example கிரேலாக் பதிவு மேலாண்மை.

  • Secure development practices:
  • Error handling:

    • முக்கியமான உள் தகவல்களை வெளிப்படுத்தாத பொதுவான பிழை செய்திகள்.