cs.phhsnews.com


cs.phhsnews.com / Co je cloudlace a skutečně mi uniklo mé údaje po celém internetu?

Co je cloudlace a skutečně mi uniklo mé údaje po celém internetu?


Během posledních několika měsíců mohla chyba v populární službě Cloudflare zobrazit citlivé uživatelské údaje - včetně uživatelských jmen , hesla a soukromé zprávy - do světa v prostém textu. Ale jak velký je tento problém a co byste měli udělat?

Co je Cloudflare?

Cloudflare je služba, která nabízí bezpečnostní a výkonnostní funkce (mimo jiné) široké síti webových stránek. Funguje jako reverzní proxy, prostředník mezi vámi - uživatelem a danou webovou stránkou. Když navštívíte tuto stránku, budete přesměrováni na jeden ze serverů společnosti Cloudflare namísto serverů skutečné stránky.

To umožňuje Cloudflare zajistit, že jste oprávněným uživatelem (a tím chránit před útoky odmítnutí služby), načíst (protože mají v mezipaměti určité části webu) a chrání proti prostojům (protože mají více serverů po celém světě a mohou se vrátit na libovolný server, pokud má problém)

Cloudflare zajišťuje, že útočníci DDoS don ' t dostat svůj provoz na skutečné webové stránky.

Stručně řečeno: Cloudflare má za cíl, aby se stránky rychleji a bezpečněji a je to služba, kterou hodně webů používá.

Co se stalo? (A co je "Cloudbleed?")

Bohužel, nic není 100% bezpečné, i když web používá službu jako Cloudflare a chyby se stávají. V tomto případě Cloudflare ve skutečnosti způsobil bezpečnostní problém: chyba v reverzním proxy kódu, který analyzuje HTML způsobil Cloudflare servery k úniku obsahu jeho paměti za určitých okolností. (Někteří lidé se o tom mluví jako o "Cloudbleed", což je hra na hru Heartbleed, která postihla také velkou část internetu.)

Tato data by mohla obsahovat všechny druhy citlivých dat, včetně uživatelských jmen, hesel, soukromých zpráv , Žetony OAuth a mnohem více. Ještě horší bylo, že některé z těchto dat byly indexovány a ukládány do mezipaměti některými vyhledávači (podle Cloudflare asi 700 stran), takže pokud jste věděli, co hledat na Googlu, můžete najít citlivé údaje od uživatelů, kteří se přihlásí v době určitého

Pokud víte, co hledat, můžete najít některé z unikátních informací Cloudflare o vyhledávačích.

Tato chyba se objevila asi pět měsíců a byla odhalena poté, co byla objevena tento týden. Cloudflare říká, že "největší období dopadu bylo od 13. února a 18. února s přibližně 1 z každých 3.300.000 HTTP požadavků přes Cloudflare potenciálně vedoucí k úniku paměti (to je asi 0.00003% žádostí)."

Ale se službou tak populární Cloubllare, 0.00003% je stále hodně. Někteří lidé sestavili seznam stránek, které používají službu Cloudflare, a zahrnují více než 4 miliony domén - včetně Yelp, OkCupid, Uber, Authy, Medium a mnoho dalších. (Některé mobilní aplikace jsou také ovlivněny.)

Další informace o technických podrobnostech této chyby najdete na blogu Cloudflare, i když vás pravděpodobně zajímá pouze pokud jste programátor - pokud jste běžným uživatelem internetu , jediná věc, kterou potřebujete vědět, je ...

Co mám dělat?

Nejdřív: nezapomeňte příliš. Ne každá stránka na tomto seznamu 4 milionů nutně unikla citlivým informacím - pokud by stránky používaly pouze Cloudflare pro ukládání dat do mezipaměti, například by nebyly žádné citlivé informace k úniku. A není to tak, že každý únik byl hlavní seznam hesel - byl to náhodný kus informací, který mohl obsahovat několik náhodných uživatelských jmen a hesel v daném okamžiku.

Nicméně Cloudflare také poznamenal že jeden z jejich vlastních soukromých klíčů byl propuštěn, což by poskytlo útočníkovi přístup k mnoha vnitřním datům Cloudflare - včetně potenciálních uživatelských jmen a hesel. Cloudflare byl mimořádně nejasný o tomto konkrétním bodě, ačkoli to bylo hlavní bezpečnostní riziko s potenciálem uniknout mnohem citlivější informace

Všechno, co bylo řečeno, neexistuje žádný reálný způsob, jak zjistit, zda některá z vašich dat unikla a kde, tak jediný bezpečný postup je nyní změňte všechna hesla . (Jistě byste se mohli podívat na seznam 4 milionů webů a měnit pouze ty, které používá Cloudflare, ale upřímně řečeno, asi by bylo jednodušší a rychlejší jen je změnit.)

Zde platí obvyklá pravidla s hesly: nepoužívejte stejné heslo na více místech, použijte správce hesel jako LastPass a zapněte dvoufaktorovou autentizaci pro každou stránku, která to povolí. Pokud tyto chyby neděláte, chyba Cloudflare je pravděpodobně nejmenší z vašich starostí - koneckonců, stránky jsou neustále hackovány a pokud používáte všude stejné heslo, jsou všechna vaše data pravidelně ohrožena.

Pokud už používáte správce hesel, měl by být tento proces snadný (pokud je trochu dlouhý a nudný). Ale teď byste si měl být zvyklý na tento tanec.


Jak používat Alexa nové příkazy pro sledování

Jak používat Alexa nové příkazy pro sledování

Pokud často dáváte Alexě několik hlasových příkazů v řadě pro různé úkoly, možná vás s potěšením ví, že Amazon učinil to mnohem jednodušší SOUVISEJÍCÍ: Jak nastavit rutiny Alexa pro ovládání více zařízení Smarthome Až dosud jste museli poprvé promluvit slovo "Alexa", pokud jste to nezměnili ) pro každý příkaz, který dáte.

(how-top)

Co je Steam Direct a jak se liší od Greenlight?

Co je Steam Direct a jak se liší od Greenlight?

Stardew Valley nebo Broforce , zdálo se to jako desítky a desítky špatně vyrobené a obecně nežádoucí tituly se dostaly, mnohé z nich byly neúplné nebo dlážděné dohromady z předkupovaných aktiv. V důsledku toho společnost Valve zavedla úplnou náhradu za Greenlight, nyní nazvanou "Steam Direct". ? Co ne?

(how-top)