Ознакомьтесь с нашей политикой обработки персональных данных
23:55 

Критическая уязвимость CloudFlare: diary.ru тоже в опасности

zHz00
CloudFlare -- это такая фирма, которая предоставляет миллионам сайтов услуги по перераспределению нагрузки к ним, защиты от ддос-атак и прочее. Многие, наверное, видели страницу "КлаудФлейр проверяет ваш браузер" или "КлаудФлейр не смог достучаться до сайта (ошибка 522)".

Так вот:
github.com/pirate/sites-using-cloudflare
Официальное сообщение:
blog.cloudflare.com/incident-report-on-memory-l...

Если коротко, то в течение последнего полугода данные с 4 миллионов сайтов, которые используют CloudFlare, потенциально могли утекать в неизвестном направлении, включая ваши пароли, сообщения и прочее. И через кэши поисковых систем часть данных ещё может быть доступна третьим лицам.

На практике это означает, что надо поменять пароли на всех сайтах, которые используют эту систему. Их список в запакованном виде занимает 22 мегабайта. Вот он, упорядоченный по алфавиту:
github.com/pirate/sites-using-cloudflare/archiv...

Обращаю внимание, что надо смотреть на точное совпадение доменов. То есть, gmai-l.com, yandex.info -- это всё левые домены, не имеющие отношения к жмейлу и яндексу.

Что важно -- так это что сайт diary.ru использует CloudFlare. С учётом написанного выше, мне кажется, очевидно, что надо сделать в связи с этим. Интересно, что администрация сайта про это ничего не сообщила.

Кроме того, это означает, что ВСЕ сведения, передаваемые вами через эти сайты в течение последнего полугода, могут оказаться в руках неопределённого круга лиц, помимо адресата, провайдера и ФСБ.

@темы: Фейлы, Программы, Говнокод

URL
Комментарии
2017-02-25 в 21:48 

deadlymercury
An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Паника конечно через чур раздута :)

1) HTTPS не затронула (zhz, если ты не используешь https - из тебя плохой параноик :) )
2) Утекало но "все" - а крайне небольшое количество от запросов, заключавшихся в утечке памяти
3) В целом эта ошибка имеет гораздо меньшую степень опасности для приватных данных, чем heartbleed - однако по нему такого прям сильного шума аля "меняйте все пароли, перевыпускайте все сертификаты!!!!" не было :)
Здесь сервер отдает рандомный кусочек рандомной памяти, которая когда-то использовалась (и возможно неоднократно) грубо говоря. Добиться от сервера чего-то осмысленного в этом плане - сложно. Хертблид отдавал целый блок памяти "осознанно". Причем в том числе памяти с данными, обмен которых был защищен SSL. В том числе могли утекать приватные ключи сертификатов.

2017-02-25 в 21:59 

zHz00
deadlymercury, да, HeartBleed была хуже. А почему шума не было -- вопрос.

URL
2017-02-25 в 22:31 

deadlymercury
An original idea. That can't be too hard. The library must be full of them. (c)Stephen Fry
Да потому что heartbleed был ошибкой "свободного программного обеспечения" - ребята сказали "мда, есть косяк, поправим" - и на этом все закончилось.
А cloudflare - не набор независимых разработчиков, а серьезная организация, юридическое лицо, которое оказывает за денюжки услуги. И оно таким заявлением просто обезопасило себя от любых возможных проблем.

   

Untitled

главная