7Aug
Pēdējo dažu mēnešu laikā populārā Cloudflare pakalpojuma kļūda var būt pakļauta sensitīviem lietotāja datiem, tostarp lietotājvārdiem, parolēm un privātām ziņām, ar vienkāršu tekstu pasauli. Bet cik liela ir šī problēma un kas jums jādara?
Kas ir Cloudflare?
Cloudflare ir pakalpojums, kas piedāvā drošības un veiktspējas funkcijas( cita starpā) plašam vietņu tīklam. Tas darbojas kā pretējs starpnieks starp jums - lietotāju un konkrētu vietni. Kad jūs apmeklējat šo vietni, jums tiks novirzīts uz vienu no Cloudflare serveriem, nevis uz faktisko vietnes serveriem.
Tas ļauj Cloudflare nodrošināt, ka esat likumīgs lietotājs( tādējādi aizsargājot pret pakalpojuma atteikšanas uzbrukumiem), ielādējiet vietni ātrāk( jo tie ir kešatmiņā izpildījuši noteiktas vietnes daļas) un aizsargāties pret dīkstāvēm( jo tiem ir vairāki serveri visā pasaulē).un var atgriezties jebkurā serverī, ja tam ir problēma).
Īsi sakot: Cloudflare mērķis ir padarīt vietnes ātrākas un drošākas, un tas ir pakalpojums, ko izmanto daudz vietņu.
Kas noticis?(Un kas ir "Cloudbleed?")
Diemžēl, nekas nav 100% drošs, pat ja vietne izmanto pakalpojumu, piemēram, Cloudflare, un kļūmes notiek.Šajā gadījumā Cloudflare faktiski izraisīja drošības problēmu: kļūda reversajā proxy kodā, kas parsē HTML, izraisīja Cloudflare serverus, kas zināmos apstākļos noplūda atmiņas saturu.(Daži cilvēki to sauc par "Cloudbleed", atskaņošanu no Heartbleed bug, kas arī ietekmēja lielu interneta daļu.)
Šajos datos varēja būt ietverti visu veidu sensitīvie dati, tostarp lietotājvārdi, paroles, privātās ziņas, OAuthmarķieri un daudz vairāk. Vēl sliktāk, daži no šiem datiem tika indeksēti un saglabāti kešatmiņā ar dažām meklētājprogrammām( apmēram 700 lappušu pēc Cloudflare), tādēļ, ja zinātu, ko meklēt Google tīklā, jūs varētu atrast konfidenciālus datus no lietotājiem, kuri piesakās konkrēta laika brīdī.noplūde.
Šī kļūda neatklāja apmēram piecus mēnešus, un tika ielīmēta pēc šīs nedēļas atklāšanas. Cloudflare saka: "vislielākais ietekmes periods notika 13. februārī un 18. februārī ar apmēram 1 no katriem 3,300,000 HTTP pieprasījumiem, izmantojot Cloudflare, kas potenciāli rada atmiņas noplūdi( tas ir aptuveni 0.00003% no pieprasījumiem)."
Bet ar tādu pakalpojumu, kas ir populārs kā Cloudflare,0.00003% joprojām ir daudz. Daži cilvēki ir sastādījuši vietņu sarakstu, kas izmanto Cloudflare, un tajā ir vairāk nekā 4 miljoni domēnu - tostarp Yelp, OkCupid, Uber, Authy, Medium un daudzi citi.(Dažas mobilās lietotnes tiek ietekmētas arī.)
Jūs varat lasīt vairāk par šīs kļūdas tehniskajām detaļām Cloudflare emuārā, lai gan tas, iespējams, jūs interesēs tikai tad, ja esat programmētājs, ja jūs esat regulārs interneta lietotājstikai lieta, kas jums jāzina, ir. ..
Ko man darīt?
Vispirms: nepārspīlējiet paniku. Ne katrs šajā sarakstā ir 4 miljoni obligāti noplūdušas konfidenciālas informācijas - ja vietne tikai izmanto Cloudflare, lai saglabātu attēla datus, piemēram, nebūtu sensitīvas informācijas par noplūdi. Un tas nav tāpat kā katrs noplūdes bija galvenais saraksts ar parolēm, tomēr tas bija gadījuma rakstura informācija, kuru varētu kādā brīdī iekļaut dažus izlases lietotājvārdus un paroles.
Tomēr Cloudflare arī atzīmēja, ka viena no savām privātajām atslēgas bija noplūda, kas nodrošinātu uzbrucēju piekļuvi daudzām iekšējām Cloudflare datiem, tostarp, potenciāli, lietotājvārdiem un parolēm. Cloudflare bija ļoti neskaidrs par šo konkrēto aspektu, neskatoties uz to, ka tas ir liels drošības risks, un tas var noplūst daudz sensitīvāku informāciju
Viss, kas teica, nav īsts veids, kā noskaidrot, vai kāds no jūsu datiem bija noplūdis, un kur tā vienīgaisdroša rīcība pašlaik ir, lai nomainītu visas jūsu paroles .(Protams, jūs varētu apskatīt sarakstu ar 4 miljoniem vietņu un tikai mainīt tos, ko izmanto Cloudflare, bet godīgi, tas, iespējams, būtu vieglāk un ātrāk, lai vienkārši tos mainītu.)
Parasti tiek piemēroti noteikumi ar parolēm: neizmantojiet to pašu paroli vairākās vietnēs, izmantojiet paroli pārvaldnieku, piemēram, LastPass, un ieslēdziet divu faktoru autentifikāciju katrai vietnei, kas to atļauj. Ja jūs to nedarāt, Cloudflage kļūda, visticamāk, ir vismazākā no jūsu raizēm. Galu galā vietnes tiek uzlauztas visu laiku, un, ja vienuviet izmantojat to pašu paroli, visi jūsu dati pastāvīgi tiek apdraudēti.
Ja jūs jau izmantojat paroli vadītājam, šim procesam jābūt vieglam( ja tas ir nedaudz garš un garš).Bet tagad jums vajadzētu izmantot šo deju.