7Aug
على مدى الأشهر القليلة الماضية، قد علة في خدمة كلودفلار شعبية قد كشفت بيانات المستخدم الحساسة، بما في ذلك أسماء المستخدمين وكلمات المرور، والرسائل الخاصة - إلى العالم في نص عادي.ولكن كيف كبيرة هذه المشكلة، وماذا يجب أن تفعل؟
ما هو كلودفلار؟
كلودفلار هي خدمة تقدم ميزات الأمان والأداء( من بين أمور أخرى) إلى شبكة واسعة من المواقع.وهو بمثابة الوكيل العكسي، وسيط بينك وبين المستخدم، وموقع معين.عندما تذهب لزيارة هذا الموقع، سيتم توجيهك إلى واحد من خوادم كلودفلار بدلا من خوادم الموقع الفعلي.
يسمح هذا كلودفلار بالتأكد من أنك مستخدم شرعي( وبالتالي حماية ضد هجمات رفض الخدمة)، وتحميل الموقع بشكل أسرع( نظرا لأنهم قد خبأوا مؤقتا أجزاء معينة من الموقع)، وحمايتهم من التوقف عن العمل( نظرا لأن لديهم خوادم متعددة في جميع أنحاء العالمويمكن أن تقع مرة أخرى على أي خادم إذا كان أحد لديه مشكلة).
باختصار: تهدف كلودفلار إلى جعل المواقع أسرع وأكثر أمنا، وهي خدمة يستخدمها الكثير من المواقع.
ماذا حدث؟(وما هو "كلودبليد؟")
لسوء الحظ، لا شيء آمن 100٪، حتى لو كان موقع يستخدم خدمة مثل كلودفلار، والبق يحدث.في هذه الحالة، تسببت كلودفلار في الواقع
مشكلة أمنية: خلل في رمز الوكيل العكسية الذي يوزع هتمل تسبب خوادم كلودفلار لتسرب محتويات الذاكرة في ظروف معينة.(بعض الناس يشيرون إلى هذا على أنه "كلودبليد"، مسرحية قبالة علة هيرتبليد التي أثرت أيضا على جزء كبير من الإنترنت.)هذه البيانات يمكن أن تشمل جميع أنواع البيانات الحساسة، بما في ذلك أسماء المستخدمين وكلمات السر والرسائل الخاصة، أووثالرموز، وأكثر من ذلك بكثير.والأسوأ من ذلك أن بعض هذه البيانات تم فهرستها وتخزينها مؤقتا من قبل بعض محركات البحث( حوالي 700 صفحة، وفقا ل كلودفلار)، لذلك إذا كنت تعرف ما للبحث على جوجل، هل يمكن أن تجد بيانات حساسة من المستخدمين تسجيل الدخول في وقت معينتسرب.
ذهب هذا الخطأ غير المكتشفة لمدة خمسة أشهر، وكان مصححة بعد اكتشافها هذا الأسبوع.وتقول كلودفلار "كانت أكبر فترة تأثير من 13 فبراير و 18 فبراير مع حوالي 1 في كل 30000 طلب هتب من خلال كلودفلار يحتمل أن يؤدي إلى تسرب الذاكرة( وهذا هو حوالي 0.00003٪ من الطلبات)"
ولكن مع خدمة شعبية مثل كلودفلار،0.00003٪ لا يزال هناك الكثير.بعض الناس تم تجميع قائمة من المواقع التي تستخدم كلودفلار، ويشمل أكثر من 4 ملايين المجالات - بما في ذلك الصرخة، أوكوبيد، اوبر، أوثي، المتوسطة، وغيرها الكثير.(بعض تطبيقات الجوال تتأثر كذلك.)
يمكنك قراءة المزيد عن التفاصيل الفنية لهذا الخطأ في مدونة كلودفلار، على الرغم من أنه ربما لن يثير اهتمامك إلا إذا كنت مبرمج - إذا كنت مستخدما منتظما للإنترنت،الشيء الوحيد الذي تحتاج إلى معرفته هو. ..
ماذا يجب أن أفعل؟
أولا: لا داعي للذعر أكثر من اللازم.ليس كل موقع على تلك القائمة من 4 ملايين بالضرورة تسربت معلومات حساسة - إذا كان الموقع كان مجرد استخدام كلودفلار لبيانات ذاكرة التخزين المؤقت، على سبيل المثال، لن تكون هناك معلومات حساسة للتسريب.وانها ليست مثل كل تسرب كان قائمة رئيسية من كلمات السر على أي حال، كان قطع عشوائية من المعلومات، والتي يمكن شملت بعض أسماء المستخدمين وكلمات السر عشوائية في أي وقت من الأوقات.
ومع ذلك، لاحظت كلودفلار أيضا أن واحدة من مفاتيح خاصة بهم تسربت، والتي من شأنها أن توفر المهاجم الوصول إلى الكثير من البيانات كلودفلار الداخلية، بما في ذلك، يحتمل، أسماء المستخدمين وكلمات السر.وكان كلودفلار غامضة للغاية حول هذه النقطة بالذات، على الرغم من أنها تشكل خطرا أمنيا كبيرا مع إمكانية تسرب الكثير من المعلومات أكثر حساسية
كل ما قال، ليس هناك طريقة حقيقية لمعرفة ما إذا كان أي من البيانات الخاصة بك تسربت وحيث، لذلك فقطمسار آمن للعمل الآن هو تغيير جميع كلمات المرور الخاصة بك .(بالتأكيد، هل يمكن أن ننظر من خلال قائمة من 4 ملايين المواقع وتغيير فقط تلك التي تستخدمها كلودفلار، ولكن بصراحة، فإنه من المرجح أن يكون أسهل وأسرع فقط تغيير كل منهم.)
تنطبق القواعد المعتادة مع كلمات المرور هنا: لا تستخدم نفس كلمة المرور على مواقع متعددة، واستخدام مدير كلمة السر مثل لاست باس، وتشغيل المصادقة اثنين عامل لكل موقع يسمح به.إذا كنت لا تفعل هذه الأشياء، علة كلودفلار هو على الارجح أقل من همومك، بعد كل شيء، والحصول على اختراق المواقع في كل وقت، وإذا كنت تستخدم نفس كلمة المرور في كل مكان، كل ما تبذلونه من البيانات بشكل منتظم في خطر.
إذا كنت تستخدم بالفعل مدير كلمة مرور، يجب أن تكون هذه العملية سهلة( إذا كانت طويلة ومملة بعض الشيء).ولكن يجب أن تستخدم لهذا الرقص الآن.