7Aug
V zadnjih nekaj mesecih je lahko bug v priljubljeni storitvi Cloudflare izpostavil občutljive uporabniške podatke - vključno z uporabniškimi imeni, gesli in osebnimi sporočili - svetu v navadnem besedilu. Toda kako velik je ta problem, in kaj bi morali storiti?
Kaj je Cloudflare?
Cloudflare je storitev, ki nudi varnost in funkcije delovanja( med drugim) v široko mrežo spletnih mest. Deluje kot povratni posrednik, posrednik med vami - uporabnikom in določenim spletnim mestom. Ko obiščete to spletno mesto, boste namesto dejanskih strežnikov spletnega mesta usmerjeni na enega od strežnikov Cloudflare.
To omogoča, da Cloudflare zagotavlja legitimnega uporabnika( s tem zaščitite pred napadi z zavrnitvijo storitve), hitreje naložite spletno mesto( ker so zajeli določene dele spletnega mesta) in zaščitili pred odmorom( ker imajo več strežnikov po vsem svetuin se lahko vrne na kateri koli strežnik, če ima problem).
Skratka: Cilj Cloudflare je, da bi mesta postala hitrejša in varnejša, in to je storitev, ki jo uporabljajo številne spletne strani.
Kaj se je zgodilo?
Na žalost nič ni 100% varno, tudi če spletna stran uporablja storitev, kot je Cloudflare, in se zgodi, da se pojavijo napake. V tem primeru je Cloudflare pravzaprav povzročil varnostni težavi : napaka v kodi hrbtne proxy, ki razčleni HTML, je povzročila, da Cloudflarevi strežniki puščajo v določenih okoliščinah vsebino svojega pomnilnika.(Nekateri ljudje se sklicujejo na to kot "Cloudbleed", igranje off Heartbleed bug, ki je prizadela tudi velik del interneta.)
Ti podatki so lahko vsebovali vse vrste občutljivih podatkov, vključno z uporabniškimi imeni, gesli, zasebnimi sporočili, OAuthžetonov in še veliko več.Še huje, nekateri od teh podatkov so indeksirali in jih shranili nekateri iskalniki( okoli 700 strani, glede na Cloudflare), zato, če bi vedeli, kaj naj iščejo v Googlu, bi lahko našli občutljive podatke od uporabnikov, ki so se prijavili v času določenegapuščanje.
Ta napaka ni bila odkrita približno pet mesecev in je bila po tem tednu odkrita. Cloudflare pravi, da je bilo največje obdobje vpliva od 13. februarja do 18. februarja, pri čemer je približno 1 na vsakih 3.300.000 HTTP zahtevkov prek Cloudflareja, ki bi lahko povzročila uhajanje pomnilnika( to je približno 0,00003% zahtev). "
Toda s storitvijo, ki je priljubljena kot Cloudflare,0,00003% je še vedno veliko. Nekateri ljudje sestavljajo seznam spletnih mest, ki uporabljajo Cloudflare, in vključuje več kot 4 milijone domen, vključno z Yelp, OkCupid, Uber, Authy, Medium in še veliko več.(Nekatere aplikacije za mobilne naprave so tudi prizadete.)
Več o tehničnih podrobnostih te buga na spletnem dnevniku Cloudflare lahko preberete, čeprav vas bo verjetno zanimalo samo, če ste programer - če ste redni uporabnik internetasamo stvar, ki jo morate vedeti, je. ..
Kaj naj naredim?
Najprej: ne panirajte preveč.Ni vsaka spletna stran na tem seznamu 4 milijone nujno objavila občutljive podatke - če je spletno mesto samo uporabljalo Cloudflare za predpomnjenje slikovnih podatkov, na primer ne bi bilo nobenih občutljivih informacij za uhajanje. In to ni tako, kot da je vsak uhajanje kot glavni seznam gesel nekako - to so bile naključne informacije, ki jih lahko v določenem času vključi nekaj naključnih uporabniških imen in gesel.
Vendar pa je Cloudflare prav tako opozoril, da je eden od njihovih zasebnih ključev ušel, kar bi napadalcu omogočilo dostop do številnih notranjih podatkov Cloudflare-vključno z morebitnimi uporabniškimi imeni in gesli. Cloudflare je bil izjemno nejasen glede te točke, kljub temu, da je pomembno varnostno tveganje, ki ima potencial za puščanje veliko bolj občutljivih podatkov.
Vse to je dejstvo, da ni nobenega pravega načina, da bi ugotovili, ali je bil kateri od vaših podatkov ušel in kje,varen potek delovanja zdaj je, da spremeni vsa vaša gesla .(Seveda lahko pregledate seznam 4 milijonov spletnih mest in spremenite samo tiste, ki jih uporablja Cloudflare, vendar iskreno verjetno bi bilo lažje in hitrejše, da bi jih vse spremenile.)
Tukaj veljajo običajna pravila z gesli: ne uporabljajte istega gesla na več mestih, uporabite upravitelja gesel, kot je LastPass, in vklopite dvokaktni avtentikacijo za vsako spletno mesto, ki to dovoljuje.Če ne počnete teh stvari, je Cloudflare bug verjetno najmanj vaših skrbi, saj se spletna mesta vedno znova vdirajo in če povsod uporabljate isto geslo, so vsi vaši podatki redno ogroženi.
Če že uporabljate upravitelja gesel, je ta postopek preprost( če je dolg in dolgčas).Vendar pa se moraš navaditi na ta ples do sedaj.