வலைபெயர்ப்பு அச்சுறுத்தல் மாதிரி

நோக்கம்: கோர் வலைபெயர்ப்பு வலைப் பயன்பாடு, பயனர் உலாவிகளுடனான அதன் தொடர்புகள், பின்தளக் கூறுகள் (வலை சேவையகம், WSGI, தரவுத்தளம், டேட்டாச்டோர், செலரி) மற்றும் வெளிப்புற பகஅ உடன் ஒருங்கிணைப்பு.

Assumptions: Standard Weblate deployment with typical components (nginx/Apache, granian/Gunicorn/uWSGI, PostgreSQL, datastore, Celery) and user roles (Unauthenticated, Translator, Project Manager, Administrator).

கணினி விளக்கம் மற்றும் நோக்கம்

வலைபெயர்ப்பு என்பது சாங்கோவில் கட்டப்பட்ட திறந்த மூல இணைய அடிப்படையிலான உள்ளூராக்கல் தளமாகும். இது மொழிபெயர்ப்புகளை நிர்வகிக்க அறிவிலி களஞ்சியங்களுடன் இறுக்கமாக ஒருங்கிணைக்கிறது மற்றும் ஆட்டோமேசன், ஊக்குகள் மற்றும் வி.சி.எச் ஒத்திசைவுக்கு சிஐ/சிடி-பாணி அம்சங்களை வழங்குகிறது.

சொத்துக்கள்:

  • Confidentiality: மொழிபெயர்ப்பு strings, பநிஇ keys/credentials க்கு பகஅ integration, பயனர் credentials (passwords, 2FA secrets), பயனர் personal தகவல்கள் (email, name), அமர்வு tokens, audit logs, தனிப்பட்ட திட்டம் data.

  • ஒருமைப்பாடு: மொழிபெயர்ப்பு சரம் உள்ளடக்கம், பகஅ களஞ்சிய ஒருமைப்பாடு, திட்டம் மற்றும் கூறு உள்ளமைவுகள், பயனர் அனுமதிகள், தணிக்கை பதிவுகள்.

  • கிடைத்தல்: வலைபெயர்ப்பு இணைய இடைமுகம், பகஅ ஒருங்கிணைப்பு, தரவுத்தள அணுகல், பின்னணி பணி செயலாக்கம்.

  • Authenticity/Non-repudiation: Translation commit history, user attribution for translations, audit logs of administrative actions.

கருத்தியல் தரவு ஓட்ட வரைபடம்

digraph translations { graph [fontname = "sans-serif", fontsize=10]; node [fontname = "sans-serif", fontsize=10, margin=0.1, height=0, style=filled, fillcolor=white, shape=note]; edge [fontname = "sans-serif", fontsize=10, dir=both]; "External user (browser)" -> "Web server (nginx/Apache)" [label="HTTPS"]; "Web server (nginx/Apache)" -> "Weblate application (WSGI, Celery)" [label="Internal API"]; "Weblate application (WSGI, Celery)" -> "Database (PostgreSQL)" [label="Database access"]; "Weblate application (WSGI, Celery)" -> "Datastore (Valkey/Redis)" [label="Key/value access"]; "Weblate application (WSGI, Celery)" -> "Internal VCS repository" [label="Filesystem access"]; "Weblate application (WSGI, Celery)" -> "External VCS repository" [label="Git/API"]; "Weblate application (WSGI, Celery)" -> "Logging (SIEM)" [label="GELF"]; }

எல்லைகளை நம்புங்கள்

  • இன்டர்நெட் ↔ வெப் சர்வர்: பாதுகாப்புக்கான முதல் வரியுடன் தொடர்பு கொள்ளும் பொது இணைய போக்குவரத்து.

  • வெப் சர்வர் ↔ வலைபெயர்ப்பு அப்ளிகேசன்: ரிவர்ச் ப்ராக்சி/வெப் சர்வர் மற்றும் பயன்பாட்டு லாசிக் ஆகியவற்றுக்கு இடையேயான தொடர்பு.

  • வெப்லேட் பயன்பாடு ↔ தரவுத்தளம் நிலையான மற்றும் தற்காலிகமாக சேமிக்கப்பட்ட தரவை அணுகும் பயன்பாட்டு லாசிக்.

  • வெப்லேட் பயன்பாடு ↔ பதிவு செய்தல்: பதிவுகளை உருவாக்கும் பயன்பாட்டு வழக்கு.

  • Weblate application ↔ Internal பகஅ repository: Application தருக்கம், ஏரணம் interacting with its local நகலெடு of the பகஅ repository.

  • Weblate application ↔ External பகஅ repository: வலைபெயர்ப்பு reaching out பெறுநர் external குறியீடு hosting platforms.

  • அங்கீகரிக்கப்பட்ட பயனர் ↔ அங்கீகரிக்கப்படாத பயனர்: வலைப் பயன்பாட்டிற்குள் வெவ்வேறு சிறப்புரிமை நிலைகள்.

அச்சுறுத்தல் அடையாளம்

கூறு/தொடர்பு

ச்ட்ரைட் அச்சுறுத்தல் வகை

அச்சுறுத்தல் விளக்கம்

சாத்தியமான தாக்கம்

வலை சேவையகம் (nginx/Apache)

இன்

சேவை மறுப்பு: தாக்குபவர் வலை சேவையகத்தை கோரிக்கைகளால் நிரப்புகிறார், இதனால் வலைபெயர்ப்பு கிடைக்கவில்லை.

மொழிபெயர்ப்புக்கான கிடைக்கும் இழப்பு.

தகவல் வெளிப்பாடு

Configuration exposure: Misconfigured server exposes sensitive files (e.g., config files, private keys).

நற்சான்றிதழ்களின் வெளிப்பாடு, உள் கட்டிடக்கலை.

Tampering

Malicious request injection: Attacker injects malicious தகவல்கள் into HTTP தலைப்பிகளுக்கு or request bodies.

பின்தளத்தில் சரியாக கையாளப்படாவிட்டால் கவிமொ ஊசி, XSS அல்லது பிற ஊசி மருந்துகளுக்கான நிகழக்கூடிய.

வெப்லேட் விண்ணப்பம்

ஏமாற்றுதல்

பயனர் ஆள்மாறாட்டம்: தாக்குபவர் முறையான பயனரின் அமர்வுக்கான அணுகலைப் பெறுகிறார் (எ.கா., அமர்வு கடத்தல், வேறுபாடின்மை செய்யப்பட்ட நற்சான்றிதழ்கள் மூலம்).

அங்கீகரிக்கப்படாத மொழிபெயர்ப்பு, ரெப்போ அணுகல்.

(WSGI/CELERY)

Tampering

அங்கீகரிக்கப்படாத மொழிபெயர்ப்பு மாற்றம்: தீங்கிழைக்கும் பயனர் அல்லது சுரண்டப்பட்ட பாதிப்பு மொழிபெயர்ப்புகள், திட்ட கட்டமைப்புகள் அல்லது பகஅ ஒருங்கிணைப்பு அமைப்புகளை மாற்ற அனுமதிக்கிறது.

தவறான மொழிபெயர்ப்புகள், உடைந்த உருவாக்கம், பகஅ கொக்கிகள் வழியாக RCE.

Tampering

VCS ஒருங்கிணைப்பு கையாளுதல்: பகஅ உடனான வலைபெயர்ப்பு இன் தொடர்புகளை தாக்குபவர் கையாளுகிறார் (எ.கா., சுத்திகரிக்கப்படாவிட்டால், வடிவமைக்கப்பட்ட களஞ்சிய URLகள் மூலம் தீங்கிழைக்கும் கட்டளைகளை உட்செலுத்துதல், RCE க்கு வழிவகுக்கும்).

இலக்கு திட்டங்களில் குறியீடு ஊசி, தரவு வெளியேற்றம்.

மறுத்தல்

பயன்படுத்தப்படாத மாற்றங்கள்: தீங்கிழைக்கும் மாற்றங்கள் பயனர் அல்லது பொறுப்பான அமைப்புக்கு சரியான பண்புக்கூறு இல்லாமல் செய்யப்படுகின்றன.

தணிக்கை மற்றும் பொறுப்புக்கூறலில் தொல்லை.

தகவல் வெளிப்பாடு

உணர்திறன் தரவு கசிவு: கவிமொ உட்செலுத்துதல், பாதுகாப்பற்ற பநிஇ இறுதிப்புள்ளிகள் அல்லது பிழைகள் முக்கியமான தரவை வெளிப்படுத்தும் (எ.கா., பிற பயனர்களின் மொழிபெயர்ப்புகள், பகஅ நற்சான்றிதழ்கள், சர்வர் தகவல்).

தனியுரிமை மீறல், அறிவுசார் சொத்து திருட்டு.

தகவல் வெளிப்பாடு

VCS நற்சான்றிதழ்கள் வெளிப்பாடு: வலைபெயர்ப்பு இன் சேமிக்கப்பட்ட பகஅ நற்சான்றிதழ்கள் (SSH விசைகள், டோக்கன்கள்) தாக்குபவர்களால் அணுகப்படும்.

ஒருங்கிணைந்த குறியீடு களஞ்சியங்களுக்கான நேரடி அணுகல்.

இன்

வள சோர்வு: அதிகப்படியான பின்னணி பணிகள் அல்லது தாக்குபவர் தூண்டும் திறனற்ற தரவுத்தள வினவல்கள் கணினி மந்தநிலை அல்லது செயலிழப்புக்கு வழிவகுக்கும்.

கிடைக்காதது.

சலுகை உயர்வு

பங்கு அதிகரிப்பு: ஒரு வழக்கமான மொழிபெயர்ப்பாளர் நிர்வாக சலுகைகளைப் பெறுகிறார்.

முழுமையான கணினி வேறுபாடின்மை.

சலுகை உயர்வு

கட்டளை ஊசி: களஞ்சிய URLகள் அல்லது துணை நிரல்களில் தவறான உள்ளீடு சரிபார்ப்பு காரணமாக தன்னிச்சையான குறியீடு செயல்படுத்தல்.

கணினி வேறுபாடின்மை, தரவு வெளியேற்ற.

டேட்டாபேச்/டேட்டாச்டோர்

Tampering

தரவு சிதைவு: தரவுத்தளத்திற்கான நேரடி அணுகல் மொழிபெயர்ப்பு சரங்கள், பயனர் தரவு அல்லது உள்ளமைவை மாற்ற அனுமதிக்கிறது.

கணினி செயலிழப்பு, தரவு ஒருமைப்பாடு இழப்பு.

தகவல் வெளிப்பாடு

உணர்திறன் தரவு அணுகல்: தரவுத்தளம்/டேட்டாச்டோருக்கான அங்கீகரிக்கப்படாத அணுகல் சேமிக்கப்பட்ட எல்லா தரவையும் (நற்சான்றிதழ்கள், மொழிபெயர்ப்பு நினைவகம், பயனர் சுயவிவரங்கள்) வெளிப்படுத்துகிறது.

முக்கிய தரவு மீறல்.

இன்

Database exhaustion: Attacker floods the database or datastore with queries, or consumes all memory or available connections.

கிடைக்காதது.

விசிஎச் ஒருங்கிணைப்பு

Tampering

Malicious commits இருந்து Weblate: Compromised வலைபெயர்ப்பு pushes malicious changes பெறுநர் the upstream repository.

இலக்கு திட்டங்களில் தீம்பொருள்/பின்புறங்களை அறிமுகப்படுத்துதல்.

மறுத்தல்

Fake commit attribution: வலைபெயர்ப்பு commits changes attributed பெறுநர் a wrong பயனர் (e.g., an admin forcing a commit in a translator's பெயர் without their consent).

பொறுப்புக்கூறல் சிக்கல்கள்.

பயனர் தொடர்பு

ஏமாற்றுதல்

Phishing/social engineering: Attacker tricks பயனர்கள் into revealing credentials க்கு வலைபெயர்ப்பு or linked பகஅ accounts.

கணக்கு வேறுபாடின்மை.

(வலை வெங்காயம்)

Tampering

கிராச்-சைட் ச்கிரிப்டிங் (XSS): பிற பயனர்களின் உலாவிகளில் செயல்படுத்தப்படும் மொழிபெயர்ப்புகள் அல்லது பயனர் சுயவிவரங்களில் உள்ள தீங்கிழைக்கும் ச்கிரிப்டுகள்.

அமர்வு கடத்தல், நற்சான்றிதழ் திருட்டு, மோசடி.

தகவல் வெளிப்பாடு

Clickjacking/UI redress: Attacker overlays malicious இடைமுகம் elements வீச்சலகு Weblate, tricking பயனர்கள் into unintended actions.

அங்கீகரிக்கப்படாத செயல்கள், தரவு கையாளுதல்.

தகவல் வெளிப்பாடு

UI இல் உணர்திறன் தரவு: அங்கீகார குறைபாடுகள் காரணமாக இடைமுகம் இல் உள்ள முக்கியமான தரவு (எ.கா., மற்றொரு பயனரின் மின்னஞ்சல்) எதிர்பாராத வெளிப்பாடு.

தனியுரிமை மீறல்.

தணிப்பு உத்திகள்

  • அங்கீகாரம் மற்றும் அங்கீகாரம்:

    • வலுவான கடவுச்சொல் கொள்கைகள், பார்க்க கடவுச்சொல் பாதுகாப்பு.

    • 2fa ஐ செயல்படுத்தியது, காண்க இரண்டு காரணி ஏற்பு.

    • வலுவான அமர்வு மேலாண்மை.

    • பங்கு அடிப்படையிலான அணுகல் கட்டுப்பாடு (RBAC) குறைந்தபட்ச சிறப்புரிமையைச் செயல்படுத்துகிறது (எ.கா., மொழிபெயர்ப்பாளர்கள் மொழிபெயர்ப்புகளை மட்டுமே திருத்த முடியும், திட்ட கட்டமைப்புகளை மாற்ற முடியாது), நுழைவு கட்டுப்பாடு ஐப் பார்க்கவும்.

    • வெளிப்புற அடையாள வழங்குநர்களுடன் ஒருங்கிணைப்பு (SAML, OAUTH, LDAP), காண்க அங்கீகார.

  • உள்ளீடு சரிபார்ப்பு மற்றும் வெளியீட்டு குறியாக்கம்:

    • ஊசி தாக்குதல்களைத் தடுக்க அனைத்து பயனர் உள்ளீடுகளின் கடுமையான சரிபார்ப்பு (படிவங்கள், பநிஇ கோரிக்கைகள், வி.சி.எச் முகவரி கள்) (SQL ஊசி, கட்டளை ஊசி, XSS).

    • XSS ஐத் தடுக்க வலை இடைமுகம் இல் காட்டப்படும் அனைத்து பயனர் வழங்கிய தரவுகளுக்கும் சூழல்-விழிப்புணர்வு வெளியீட்டு குறியாக்கம்.

  • விசிஎச் ஒருங்கிணைப்பு பாதுகாப்பு:

    • வி.சி.எச் நற்சான்றிதழ்களுக்கான குறைந்தபட்ச சலுகை கொள்கை (எ.கா., முடிந்தவரை படிக்க மட்டும் அணுகல், டோக்கன்களுக்கான வரையறுக்கப்பட்ட நோக்கங்கள்).

    • வி.சி.எச் நற்சான்றிதழ்களின் பாதுகாப்பான சேமிப்பு.

    • வி.சி.க்களிலிருந்து வரும் அனைத்து தரவுகளின் கடுமையான சுத்திகரிப்பு மற்றும் சரிபார்ப்பு (எ.கா., கோப்பு பெயர்கள், கிளை பெயர்கள், காண்பிக்கப்படக்கூடிய செய்திகளைச் செய்யுங்கள்).

    • கிட்/மெர்குரியல் கட்டளைகளின் பாதுகாப்பான செயல்படுத்தல் (பயனர் கட்டுப்பாட்டு உள்ளீட்டுடன் செல் செயல்படுத்தலைத் தவிர்ப்பது).

  • தரவு பாதுகாப்பு:

    • ஓய்வில் உணர்திறன் தரவின் குறியாக்கம்.

    • போக்குவரத்தில் தரவின் குறியாக்கம் (அனைத்து HTTP/S மற்றும் பகஅ தகவல்தொடர்புகளுக்கும் TLS/SSL).

    • தரவுத்தள கடினப்படுத்துதல் (வெப்லேட் பயனருக்கான குறைந்த சலுகை, வலுவான கடவுச்சொற்கள்).

  • கணினி கடினப்படுத்துதல்:

    • OS, வலைபெயர்ப்பு மற்றும் அனைத்து சார்புகளின் வழக்கமான ஒட்டுதல்.

    • OS இல் வலைபெயர்ப்பு பயனர் கணக்கிற்கான குறைந்தபட்ச சலுகையின் கொள்கை.

    • பிணையம் பிரிவு (எ.கா., பொது அணுகலில் இருந்து தரவுத்தளத்தையும் டேட்டாச்டோரையும் பிரித்தல்).

    • WAF இன் பயன்பாடு (வலை பயன்பாட்டு ஃபயர்வால்).

  • பதிவு மற்றும் கண்காணிப்பு:

    • பாதுகாப்பு தொடர்பான அனைத்து நிகழ்வுகளின் விரிவான தணிக்கை பதிவு (உள்நுழைவுகள், தோல்வியுற்ற உள்நுழைவுகள், இசைவு மாற்றங்கள், முக்கியமான உள்ளமைவு மாற்றங்கள், வி.சி.எச் செயல்பாடுகள்).

    • பாதுகாப்பு சம்பவங்களுக்கான மையப்படுத்தப்பட்ட பதிவு மற்றும் முன்னறிவிப்பு, எடுத்துக்காட்டாக கிரேலாக் பதிவு மேலாண்மை.

  • பாதுகாப்பான வளர்ச்சி நடைமுறைகள்:

    • பாதுகாப்பு மையத்துடன் குறியீடு மதிப்புரைகள்.

    • நிலையான பயன்பாட்டு பாதுகாப்பு சோதனை (SAST) மற்றும் மாறும் பயன்பாட்டு பாதுகாப்பு சோதனை (DAST), பார்க்க வலைபெயர்ப்பு மூலக் குறியீடு.

    • சார்பு பாதிப்பு ச்கேனிங், பார்க்க சார்புநிலைகள்.

    • வழக்கமான பாதுகாப்பு தணிக்கை மற்றும் ஊடுருவல் சோதனை.

  • பிழை கையாளுதல்:

    • முக்கியமான உள் தகவல்களை வெளிப்படுத்தாத பொதுவான பிழை செய்திகள்.