Během posledních několika měsíců mohla chyba v populární službě Cloudflare zobrazit citlivé uživatelské údaje - včetně uživatelských jmen , hesla a soukromé zprávy - do světa v prostém textu. Ale jak velký je tento problém a co byste měli udělat?

Co je Cloudflare?

Cloudflare je služba, která nabízí bezpečnostní a výkonnostní funkce (mimo jiné) široké síti webových stránek. Funguje jako reverzní proxy, prostředník mezi vámi - uživatelem a danou webovou stránkou. Když navštívíte tuto stránku, budete přesměrováni na jeden ze serverů společnosti Cloudflare namísto serverů skutečné stránky.

To umožňuje Cloudflare zajistit, že jste oprávněným uživatelem (a tím chránit před útoky odmítnutí služby), načíst (protože mají v mezipaměti určité části webu) a chrání proti prostojům (protože mají více serverů po celém světě a mohou se vrátit na libovolný server, pokud má problém)

Cloudflare zajišťuje, že útočníci DDoS don ' t dostat svůj provoz na skutečné webové stránky.

Stručně řečeno: Cloudflare má za cíl, aby se stránky rychleji a bezpečněji a je to služba, kterou hodně webů používá.

Co se stalo? (A co je "Cloudbleed?")

Bohužel, nic není 100% bezpečné, i když web používá službu jako Cloudflare a chyby se stávají. V tomto případě Cloudflare ve skutečnosti způsobil bezpečnostní problém: chyba v reverzním proxy kódu, který analyzuje HTML způsobil Cloudflare servery k úniku obsahu jeho paměti za určitých okolností. (Někteří lidé se o tom mluví jako o "Cloudbleed", což je hra na hru Heartbleed, která postihla také velkou část internetu.)

Tato data by mohla obsahovat všechny druhy citlivých dat, včetně uživatelských jmen, hesel, soukromých zpráv , Žetony OAuth a mnohem více. Ještě horší bylo, že některé z těchto dat byly indexovány a ukládány do mezipaměti některými vyhledávači (podle Cloudflare asi 700 stran), takže pokud jste věděli, co hledat na Googlu, můžete najít citlivé údaje od uživatelů, kteří se přihlásí v době určitého

Pokud víte, co hledat, můžete najít některé z unikátních informací Cloudflare o vyhledávačích.

Tato chyba se objevila asi pět měsíců a byla odhalena poté, co byla objevena tento týden. Cloudflare říká, že "největší období dopadu bylo od 13. února a 18. února s přibližně 1 z každých 3.300.000 HTTP požadavků přes Cloudflare potenciálně vedoucí k úniku paměti (to je asi 0.00003% žádostí)."

Ale se službou tak populární Cloubllare, 0.00003% je stále hodně. Někteří lidé sestavili seznam stránek, které používají službu Cloudflare, a zahrnují více než 4 miliony domén - včetně Yelp, OkCupid, Uber, Authy, Medium a mnoho dalších. (Některé mobilní aplikace jsou také ovlivněny.)

Další informace o technických podrobnostech této chyby najdete na blogu Cloudflare, i když vás pravděpodobně zajímá pouze pokud jste programátor - pokud jste běžným uživatelem internetu , jediná věc, kterou potřebujete vědět, je ...

Co mám dělat?

Nejdřív: nezapomeňte příliš. Ne každá stránka na tomto seznamu 4 milionů nutně unikla citlivým informacím - pokud by stránky používaly pouze Cloudflare pro ukládání dat do mezipaměti, například by nebyly žádné citlivé informace k úniku. A není to tak, že každý únik byl hlavní seznam hesel - byl to náhodný kus informací, který mohl obsahovat několik náhodných uživatelských jmen a hesel v daném okamžiku.

Nicméně Cloudflare také poznamenal že jeden z jejich vlastních soukromých klíčů byl propuštěn, což by poskytlo útočníkovi přístup k mnoha vnitřním datům Cloudflare - včetně potenciálních uživatelských jmen a hesel. Cloudflare byl mimořádně nejasný o tomto konkrétním bodě, ačkoli to bylo hlavní bezpečnostní riziko s potenciálem uniknout mnohem citlivější informace

Všechno, co bylo řečeno, neexistuje žádný reálný způsob, jak zjistit, zda některá z vašich dat unikla a kde, tak jediný bezpečný postup je nyní změňte všechna hesla . (Jistě byste se mohli podívat na seznam 4 milionů webů a měnit pouze ty, které používá Cloudflare, ale upřímně řečeno, asi by bylo jednodušší a rychlejší jen je změnit.)

Zde platí obvyklá pravidla s hesly: nepoužívejte stejné heslo na více místech, použijte správce hesel jako LastPass a zapněte dvoufaktorovou autentizaci pro každou stránku, která to povolí. Pokud tyto chyby neděláte, chyba Cloudflare je pravděpodobně nejmenší z vašich starostí - koneckonců, stránky jsou neustále hackovány a pokud používáte všude stejné heslo, jsou všechna vaše data pravidelně ohrožena.

Pokud už používáte správce hesel, měl by být tento proces snadný (pokud je trochu dlouhý a nudný). Ale teď byste si měl být zvyklý na tento tanec.

Jak otevřít novou kartu na konkrétní webovou stránku v prohlížeči

Většina prohlížečů má výchozí stránku, která se zobrazí při otevření nové karty. Pokud nechcete, aby váš prohlížeč rozhodoval, jaká webová stránka se zobrazí při otevření nové karty, můžete ji změnit na vlastní vybranou webovou stránku. Chrome a Firefox například chtějí zobrazovat dlaždice webových stránek, jste navštívili nedávno a Chrome také zobrazuje trendové příběhy.

(how-top)

Nejlepší skryté hry Google a "Velikonoční vajíčka"

Google je známo, že házení velikonočních vajec - skrytých her, triků a dalších zábavných věcí - do svých produktů. V určitém okamžiku jsem si jistý, že jste viděli některé z těchto malých věcí, ať už se jedná o ikony s verzemi Android nebo o jednu z mnoha skrytých her v prohlížeči Chrome. Dnes budeme hovořit o některých našich oblíbených z Chrome, Android a Vyhledávání Google na webu.

(how-top)