विषय-सूची
thisisunsafe: Chrome का गुप्त SSL बायपास समझाया गया

आप एक डेवलपर हैं जो लोकल सर्वर टेस्ट कर रहे हैं, या किसी इंटरनल कॉर्पोरेट टूल तक पहुँचने की कोशिश कर रहे हैं, और Chrome लाल रंग की “Your connection is not private” स्क्रीन दिखाकर दरवाज़ा बंद कर देता है। ब्राउज़र में एक छुपा हुआ रास्ता है: thisisunsafe टाइप करें। यह लेख बताता है कि यह ट्रिक वास्तव में क्या करती है, यह कहाँ से आई, इसे कब इस्तेमाल करना उचित है — और कब यह आपको गंभीर नुकसान पहुँचा सकती है।

“thisisunsafe” क्या है?

thisisunsafe Chromium-आधारित ब्राउज़रों — जिनमें Google Chrome और Microsoft Edge शामिल हैं — में बना एक गुप्त कीबोर्ड पासफ्रेज़ है, जो आपको SSL/TLS सर्टिफिकेट एरर पेज को ओवरराइड करने देता है [1]। जब Chrome किसी साइट को अमान्य, एक्सपायर्ड, या सेल्फ-साइन्ड सर्टिफिकेट की वजह से ब्लॉक करता है और NET::ERR_CERT_INVALID या NET::ERR_CERT_AUTHORITY_INVALID जैसी एरर दिखाता है, तो thisisunsafe टाइप करने पर (ब्राउज़र विंडो फोकस में होने पर, किसी टेक्स्ट फील्ड की जरूरत नहीं) चेतावनी तुरंत गायब हो जाती है और पेज लोड हो जाता है [2]।

यह जादू अदृश्य है: कोई ऑन-स्क्रीन टेक्स्ट बॉक्स नहीं, कोई प्रॉम्प्ट नहीं। Chrome पृष्ठभूमि में सटीक कीप्रेस अनुक्रम को सुनता है। एक बार जब आप वाक्यांश पूरा कर लेते हैं, तो ब्लॉक हट जाता है और पेज लोड हो जाता है — हालाँकि एड्रेस बार में “Not Secure” इंडिकेटर एक स्थायी अनुस्मारक के रूप में दिखता रहता है [3]।

महत्वपूर्ण बात यह है कि यह बायपास डोमेन-स्कोप्ड और सेशन-सीमित है। https://dev.internal के लिए टाइप करने पर केवल उसी डोमेन को छूट मिलती है; किसी अन्य सर्टिफिकेट-एरर साइट के लिए दोबारा वाक्यांश दर्ज करना होगा [3]। यह कोई वैश्विक टॉगल नहीं है।

Chrome के SSL बायपास फ्रेज़ का बदलता इतिहास

यह एस्केप हैच सालों से चुपचाप मौजूद है, लेकिन Chrome की टीम ने समय-समय पर कीवर्ड बदलकर इसे आकस्मिक रूप से खोजना जानबूझकर कठिन बना दिया है [4]:

  • danger — जब यह सुविधा पहली बार पेश की गई थी तब का मूल पासफ्रेज़।
  • badidea — दिसंबर 2015 में danger की जगह आया, जब मूल वाक्यांश ऑनलाइन व्यापक रूप से फैल गया और एक आकस्मिक उपाय के रूप में दुरुपयोग किया जाने लगा [5]।
  • thisisunsafe — वर्तमान वाक्यांश, जब badidea खुद बहुत प्रसिद्ध हो गया तब इसे लाया गया। आंतरिक रूप से Chrome इसे अपने Base64 प्रतिनिधित्व (dGhpc2lzdW5zYWZl) के रूप में संग्रहीत करता है ताकि इसे आकस्मिक खोज से छुपाया जा सके [4]।

यह पैटर्न जानबूझकर है। Chrome के सोर्स कोड में टिप्पणियाँ स्पष्ट रूप से कहती हैं कि “HTTPS एरर गंभीर हैं और इन्हें नज़रअंदाज़ नहीं किया जाना चाहिए” [2]। हर नाम परिवर्तन Chrome का तरीका है यह सुनिश्चित करने का कि केवल वे उपयोगकर्ता जो वास्तव में बायपास की खोज करते हैं — न कि आम रोज़मर्रा के उपयोगकर्ता — ही इसे सक्रिय कर सकें।

इसे कैसे उपयोग करें (चरण दर चरण)

  1. उस साइट पर जाएँ जो Chrome सर्टिफिकेट एरर पेज दिखा रही है।
  2. सुनिश्चित करें कि ब्राउज़र विंडो फोकस में है (पेज पर कहीं भी क्लिक करें, एड्रेस बार में नहीं)।
  3. thisisunsafe टाइप करें — सब लोअरकेस, कोई स्पेस नहीं, Enter की जरूरत नहीं।
  4. पेज अपने आप रीलोड हो जाएगा और चेतावनी को पार कर साइट लोड कर देगा [1]।

Microsoft Edge (जो Chromium-आधारित भी है) पर भी यही पासफ्रेज़ बिल्कुल उसी तरह काम करता है [3]।

डेवलपर्स के लिए वैध उपयोग के मामले

यह बायपास विशिष्ट, नियंत्रित परिस्थितियों में एक वास्तविक उत्पादकता उपकरण है [6]:

  • लोकल डेवलपमेंट सर्वर: https://localhost या https://192.168.x.x पर सेल्फ-साइन्ड सर्टिफिकेट Chrome की चेतावनी को ट्रिगर करेगा, भले ही आप सर्वर के मालिक हों। thisisunsafe आपको इसे जल्दी से पार करने देता है [2]।
  • इंटरनल कॉर्पोरेट टूल: एंटरप्राइज़ इंट्रानेट कभी-कभी ऐसे प्राइवेट CA-साइन्ड सर्टिफिकेट पर चलते हैं जो Chrome के रूट स्टोर द्वारा विश्वसनीय नहीं होते। इन टूल्स तक पहुँचने वाले डेवलपर और सिसएडमिन हर मशीन को रीकॉन्फिगर करने की बजाय बायपास का उपयोग कर सकते हैं [3]।
  • सुरक्षा अनुसंधान और प्रॉक्सी टूल: Burp Suite या OWASP ZAP जैसे टूल लोकल प्रॉक्सी के माध्यम से HTTPS ट्रैफिक को इंटरसेप्ट करते हैं, जिससे पेनेट्रेशन टेस्टिंग सेशन के दौरान बायपास की आवश्यकता वाली सर्टिफिकेट चेतावनियाँ उत्पन्न होती हैं [6]।
  • स्टेटिक सूचनात्मक साइटें: एक रीड-ओनली, इनपुट-मुक्त पेज ब्राउज़ करना जहाँ कोई क्रेडेंशियल या व्यक्तिगत डेटा प्रसारित नहीं होता, उसका जोखिम प्रोफाइल बहुत कम होता है [3]।

विशेष रूप से localhost पर काम करने वाले डेवलपर्स के लिए, एक बेहतर स्थायी समाधान मौजूद है: chrome://flags/ पर जाएँ, “Allow invalid certificates for resources loaded from localhost” सक्षम करें, और ब्राउज़र को फिर से लॉन्च करें [6]। इससे मैन्युअल बायपास की आवश्यकता पूरी तरह समाप्त हो जाती है।

वास्तविक सुरक्षा जोखिम जिन्हें आप नज़रअंदाज़ नहीं कर सकते

thisisunsafe बायपास ठीक इसीलिए मौजूद है क्योंकि SSL/TLS सर्टिफिकेट चेतावनियाँ मैन-इन-द-मिडल (MitM) हमलों से बचाती हैं — ऐसी स्थितियाँ जहाँ एक ही नेटवर्क पर हमलावर आपके कनेक्शन को इंटरसेप्ट करता है, सर्वर का रूप धारण करता है, और ट्रांसमिट हो रहे सभी डेटा को चुपचाप पढ़ता या बदलता है [7]। चेतावनी को बायपास करने से अंतर्निहित सर्टिफिकेट समस्या दूर नहीं होती; यह केवल Chrome को आगे बढ़ने का निर्देश देता है।

अविश्वसनीय नेटवर्क पर बायपास करते समय ठोस जोखिम:

  • क्रेडेंशियल चोरी: अविश्वसनीय कनेक्शन पर प्रसारित लॉगिन क्रेडेंशियल और सेशन कुकीज़ को हमलावर प्लेनटेक्स्ट में कैप्चर कर सकता है [3]।
  • मैलवेयर इंजेक्शन: एक समझौता किया हुआ मध्यस्थ पेज सामग्री को संशोधित करके एक वैध डोमेन प्रतीत होने वाली जगह से दुर्भावनापूर्ण स्क्रिप्ट परोस सकता है [3]।
  • अज्ञात इंटरसेप्शन: सेल्फ-साइन्ड सर्टिफिकेट कोई बाहरी CA सत्यापन प्रदान नहीं करते, जिससे वैध सर्वर और नकली सर्वर के बीच अंतर करना असंभव हो जाता है [7]।

सुरक्षा फर्म EMA के शोध में पाया गया कि व्यापक इंटरनेट पर लगभग 80% TLS सर्टिफिकेट में कॉन्फिगरेशन कमज़ोरियाँ हैं जो उन्हें MitM वैक्टर के संपर्क में ला सकती हैं [8] — एक चेतावनीपूर्ण अनुस्मारक कि सर्टिफिकेट चेतावनियाँ झूठे अलार्म नहीं हैं जिन्हें लापरवाही से नज़रअंदाज़ किया जाए।

जैसे-जैसे thisisunsafe की सार्वजनिक जागरूकता बढ़ी है, सुरक्षा शोधकर्ताओं ने सोशल इंजीनियरिंग जोखिम को भी चिह्नित किया है: एक दुर्भावनापूर्ण व्यक्ति किसी गैर-तकनीकी उपयोगकर्ता को यह वाक्यांश टाइप करने का निर्देश दे सकता है, जो मूल रूप से एक सुरक्षात्मक बाधा को ट्रोजन दरवाज़े में बदल देता है [3]।

“thisisunsafe” के सुरक्षित विकल्प

यदि आप नियमित रूप से thisisunsafe का सहारा लेते हैं, तो यह एक संकेत है कि अंतर्निहित सर्टिफिकेट समस्या को ठीक से हल किया जाना चाहिए:

  • लोकल डेव के लिए एक विश्वसनीय CA इंस्टॉल करें: mkcert जैसे टूल सेकंडों में लोकल-ट्रस्टेड डेवलपमेंट सर्टिफिकेट बनाते हैं, जो चेतावनी को पूरी तरह समाप्त कर देते हैं।
  • Let’s Encrypt का उपयोग करें: पब्लिक-फेसिंग साइटों के लिए मुफ्त, व्यापक रूप से विश्वसनीय सर्टिफिकेट, सेल्फ-साइन्ड सर्टिफिकेट की आवश्यकता को समाप्त करते हैं [2]।
  • localhost के लिए Chrome flags: chrome://flags/#allow-insecure-localhost फ्लैग डेवलपर्स के लिए विशेष रूप से बनाया गया है और वैश्विक बायपास से अधिक सुरक्षित है [6]।
  • सर्टिफिकेट ठीक करें: यदि चेतावनी आपके द्वारा प्रबंधित प्रोडक्शन साइट पर दिखती है, तो एक एक्सपायर्ड या गलत तरीके से कॉन्फिगर किया गया सर्टिफिकेट एक गंभीर समस्या है जिसे तुरंत हल किया जाना चाहिए — बायपास नहीं किया जाना चाहिए [9]।

सार यह है: thisisunsafe डेवलपर वर्कफ्लो के एक सीमित समूह के लिए एक तेज़ उपकरण है। उस नियंत्रित संदर्भ के बाहर, यह एक ऐसे अलार्म को बंद करता है जो बहुत अच्छे कारण से मौजूद है।

स्रोत

  1. thisisunsafe – Bypassing Chrome Security Warnings
  2. thisisunsafe – How to Bypass Chrome’s ERR_CERT_INVALID Warning
  3. The Hidden thisisunsafe Bypass: Unlocking Chrome & Edge’s Secret SSL Override
  4. Chrome’s SSL Bypass Cheatcode
  5. Bypassing HSTS or HPKP in Chrome Is a badidea
  6. Chrome: Bypass NET::ERR_CERT_INVALID for Development
  7. How SSL Certificates Help Prevent Man-in-the-Middle Attacks
  8. EMA Report Finds Nearly 80% of SSL/TLS Certificates Are Vulnerable to MitM Attacks
  9. Chrome Certificate/HSTS Error Bypass Mechanism: In-depth Analysis of ’thisisunsafe’