在过去的几个月里,流行的Cloudflare服务中的一个bug可能将敏感的用户数据(包括用户名、密码和私人消息)以纯文本的形式暴露给了全世界。但这个问题有多大,你该怎么办?
Cloudflare是一种为广泛的网站网络提供安全和性能特性的服务。它充当一个反向代理,一个介于用户和给定网站之间的中间人。当您访问该站点时,您将被引导到Cloudflare的一个服务器,而不是实际站点的服务器。
这允许Cloudflare确保您是合法用户(从而防止拒绝服务攻击),更快地加载站点(因为他们缓存了站点的某些部分),并防止停机(因为他们在全球有多个服务器,如果有问题,可以回退到任何服务器上)。
简而言之:Cloudflare旨在让网站更快、更安全,这是很多网站使用的一项服务。
不幸的是,没有什么是100%安全的,即使站点使用Cloudflare这样的服务,错误也会发生。在本例中,Cloudflare实际上导致了一个安全问题:解析HTML的反向代理代码中的一个bug导致Cloudflare的服务器在某些情况下泄漏其内存内容。(有些人把它称为“Cloudbleed”,这是一个“Heartbleed bug”的附加版本,它也影响了互联网的很大一部分。)
这些数据可能包括各种敏感数据,包括用户名、密码、私有消息、OAuth令牌等等。更糟糕的是,其中一些数据被一些搜索引擎索引和缓存(根据Cloudflare的数据,大约有700页),因此如果你知道在Google上搜索什么,你就可以从特定泄漏时登录的用户那里找到敏感数据。
这个错误大约有五个月没有被发现,本周被发现后就被修补了。Cloudflare说:“影响最大的时期是2月13日和2月18日,通过Cloudflare的每3300000个HTTP请求中就有1个可能导致内存泄漏(约占请求的0.00003%)。”
但对于像Cloudflare这样受欢迎的服务,0.00003%仍然是很多。一些人已经编制了一份使用Cloudflare的网站列表,其中包括超过400万个域名,包括Yelp、OkCupid、Uber、Authy、Medium等等。(一些移动应用程序也会受到影响。)
你可以在Cloudflare的博客上阅读更多关于这个bug的技术细节,不过只有当你是一个程序员的时候你才会感兴趣如果你是一个普通的互联网用户,你唯一需要知道的是…
第一:不要太惊慌。在这400万个站点中,并不是每个站点都会泄漏敏感信息,例如,如果一个站点只是使用Cloudflare缓存图像数据,就不会有敏感信息泄漏。并不是每次泄密都是密码的主列表,而是随机的信息,在任何给定的时间都可能包含一些随机的用户名和密码。
不过,Cloudflare还指出,他们自己的一个私钥被泄露,这将使攻击者能够访问大量Cloudflare内部数据,其中可能包括用户名和密码。Cloudflare对这一点非常含糊,尽管这是一个可能泄露更多敏感信息的重大安全风险
尽管如此,目前还没有真正的方法来判断你的数据是否被泄露以及泄露的地点,因此目前唯一安全的做法是更改你的所有密码。(当然,您可以浏览400万个站点的列表,只更改Cloudflare使用的站点,但老实说,只更改所有站点可能会更简单、更快。)
密码的一般规则在这里适用:不要在多个站点上使用相同的密码,使用类似LastPass的密码管理器,并为每个允许使用密码的站点启用双因素身份验证。如果你不做这些事情,那么Cloudflare bug可能是你最不担心的,毕竟,网站总是被黑客攻击,如果你在任何地方都使用相同的密码,那么你所有的数据都会经常面临风险。
相关:为什么你应该使用密码管理器,以及如何开始
如果您已经在使用密码管理器,这个过程应该很容易(如果有点长和无聊)。但你现在应该习惯这种舞蹈了。
...有的。尤其是如果有任何密码你已经使用超过12个月。为什么?因为网上已经找到了一个拥有5.6亿个登录凭据的巨大数据库,等待着ne'er-do-wells的发现。 ...
... 一个编码错误意味着使用Cloudflare的网站已经将用户数据泄露到web上,可能已经持续数月了。这些用户数据将出现在网页底部的混乱文本旁边。虽然目前还没有证据表明这些数据被恶意利用,但这...
...的,用于保护用户的数据。它有三个级别,取决于你想要什么:基本,停止定制广告;增强,停止收集数据的应用程序;个性化,调整每一个最后方面。Privacy Pal可在Windows的每一层上运行,以确保您的数据安全。 ...
...是使用一个定制的DNS服务器来加速他们的网络浏览。现在Cloudflare也有一个,但是您应该使用它吗? 在我们继续之前,对于新手来说:DNS就像一个电话簿,让你的web浏览器查找你试图连接到的网站的IP地址。经常使用第三方DNS服...
...和密码数据库,并使用它们“黑客”你的帐户。这就是为什么你不应该重复使用重要网站的密码,因为一个网站的漏洞可以给攻击者提供登录到其他帐户所需的一切。 我被解雇了吗? 相关:为什么你应该担心每当一个服务的...
...了[email protected]我应该访问我的帐户来查看我的更改。但我什么都没变。那又怎样? 更新! 多亏了乔恩·加洛韦(Jon Galloway)的出色表现,他代表我联系了很多人,我才得以回到我的Skype账户。我们还有很多工作要做,以确保其他...
Cloudflare正在提出一个新的DNS标准,该标准是由苹果公司开发的,旨在帮助我(我相信还有很多人)关闭互联网隐私措施的盲点(通过TechCrunch)。这个协议被称为不经意的DNS over HTTPS(ODoH),它的目的是帮助匿名化发送的信息,...