Během posledních několika měsíců mohla chyba v populární službě Cloudflare zobrazit citlivé uživatelské údaje - včetně uživatelských jmen , hesla a soukromé zprávy - do světa v prostém textu. Ale jak velký je tento problém a co byste měli udělat?

Co je Cloudflare?

Cloudflare je služba, která nabízí bezpečnostní a výkonnostní funkce (mimo jiné) široké síti webových stránek. Funguje jako reverzní proxy, prostředník mezi vámi - uživatelem a danou webovou stránkou. Když navštívíte tuto stránku, budete přesměrováni na jeden ze serverů společnosti Cloudflare namísto serverů skutečné stránky.

To umožňuje Cloudflare zajistit, že jste oprávněným uživatelem (a tím chránit před útoky odmítnutí služby), načíst (protože mají v mezipaměti určité části webu) a chrání proti prostojům (protože mají více serverů po celém světě a mohou se vrátit na libovolný server, pokud má problém)

Cloudflare zajišťuje, že útočníci DDoS don ' t dostat svůj provoz na skutečné webové stránky.

Stručně řečeno: Cloudflare má za cíl, aby se stránky rychleji a bezpečněji a je to služba, kterou hodně webů používá.

Co se stalo? (A co je "Cloudbleed?")

Bohužel, nic není 100% bezpečné, i když web používá službu jako Cloudflare a chyby se stávají. V tomto případě Cloudflare ve skutečnosti způsobil bezpečnostní problém: chyba v reverzním proxy kódu, který analyzuje HTML způsobil Cloudflare servery k úniku obsahu jeho paměti za určitých okolností. (Někteří lidé se o tom mluví jako o "Cloudbleed", což je hra na hru Heartbleed, která postihla také velkou část internetu.)

Tato data by mohla obsahovat všechny druhy citlivých dat, včetně uživatelských jmen, hesel, soukromých zpráv , Žetony OAuth a mnohem více. Ještě horší bylo, že některé z těchto dat byly indexovány a ukládány do mezipaměti některými vyhledávači (podle Cloudflare asi 700 stran), takže pokud jste věděli, co hledat na Googlu, můžete najít citlivé údaje od uživatelů, kteří se přihlásí v době určitého

Pokud víte, co hledat, můžete najít některé z unikátních informací Cloudflare o vyhledávačích.

Tato chyba se objevila asi pět měsíců a byla odhalena poté, co byla objevena tento týden. Cloudflare říká, že "největší období dopadu bylo od 13. února a 18. února s přibližně 1 z každých 3.300.000 HTTP požadavků přes Cloudflare potenciálně vedoucí k úniku paměti (to je asi 0.00003% žádostí)."

Ale se službou tak populární Cloubllare, 0.00003% je stále hodně. Někteří lidé sestavili seznam stránek, které používají službu Cloudflare, a zahrnují více než 4 miliony domén - včetně Yelp, OkCupid, Uber, Authy, Medium a mnoho dalších. (Některé mobilní aplikace jsou také ovlivněny.)

Další informace o technických podrobnostech této chyby najdete na blogu Cloudflare, i když vás pravděpodobně zajímá pouze pokud jste programátor - pokud jste běžným uživatelem internetu , jediná věc, kterou potřebujete vědět, je ...

Co mám dělat?

Nejdřív: nezapomeňte příliš. Ne každá stránka na tomto seznamu 4 milionů nutně unikla citlivým informacím - pokud by stránky používaly pouze Cloudflare pro ukládání dat do mezipaměti, například by nebyly žádné citlivé informace k úniku. A není to tak, že každý únik byl hlavní seznam hesel - byl to náhodný kus informací, který mohl obsahovat několik náhodných uživatelských jmen a hesel v daném okamžiku.

Nicméně Cloudflare také poznamenal že jeden z jejich vlastních soukromých klíčů byl propuštěn, což by poskytlo útočníkovi přístup k mnoha vnitřním datům Cloudflare - včetně potenciálních uživatelských jmen a hesel. Cloudflare byl mimořádně nejasný o tomto konkrétním bodě, ačkoli to bylo hlavní bezpečnostní riziko s potenciálem uniknout mnohem citlivější informace

Všechno, co bylo řečeno, neexistuje žádný reálný způsob, jak zjistit, zda některá z vašich dat unikla a kde, tak jediný bezpečný postup je nyní změňte všechna hesla . (Jistě byste se mohli podívat na seznam 4 milionů webů a měnit pouze ty, které používá Cloudflare, ale upřímně řečeno, asi by bylo jednodušší a rychlejší jen je změnit.)

Zde platí obvyklá pravidla s hesly: nepoužívejte stejné heslo na více místech, použijte správce hesel jako LastPass a zapněte dvoufaktorovou autentizaci pro každou stránku, která to povolí. Pokud tyto chyby neděláte, chyba Cloudflare je pravděpodobně nejmenší z vašich starostí - koneckonců, stránky jsou neustále hackovány a pokud používáte všude stejné heslo, jsou všechna vaše data pravidelně ohrožena.

Pokud už používáte správce hesel, měl by být tento proces snadný (pokud je trochu dlouhý a nudný). Ale teď byste si měl být zvyklý na tento tanec.

Jak bezpečně spustit nedůvěryhodný spustitelný soubor v systému Linux?

V dnešním dni není špatným nápadem být nedůvěryhodnými spustitelnými soubory, ale existuje bezpečná cesta spustit jeden v systému Linux, pokud to skutečně potřebujete? Dnešní příspěvek SuperUser Q & A obsahuje některé užitečné rady v odpovědi na dotaz čtenáře, který se obává, že je to obtěžující. Dnešní zasílání dotazů a odpovědí nám přichází s laskavým svolením SuperUser - podskupina Stack Exchange, Otázka čtenář SuperUser Emanuele chce vědět, jak bezpečně spustit nedůvěryhodný spustitelný soubor na Linuxu: Stažil jsem spustitelný soubor kompilovaný třetí stranou a musím ho spustit na svém systému (Ubuntu Linux 16.

(how-top)

Jak přepínat ze 32bitového systému Windows 10 na 64bitové Windows 10

Společnost Microsoft vám dává 32bitovou verzi systému Windows 10, pokud inovujete z 32bitové verze systému Windows 7 nebo 8.1. Ale můžete přepnout na 64bitovou verzi za předpokladu, že váš hardware to podporuje. Pokud jste v počítači nainstalovali 32bitové verze systému Windows 7 nebo 8.1 a inovovali jste na systém Windows 10, společnost Microsoft vám automaticky poskytla 32- bitovou verzi systému Windows 10.

(how-top)