Что нового
  • Что бы вступить в ряды "Принятый кодер" Вам нужно:
    Написать 10 полезных сообщений или тем и Получить 10 симпатий.
    Для того кто не хочет терять время,может пожертвовать средства для поддержки сервеса, и вступить в ряды VIP на месяц, дополнительная информация в лс.

  • Пользаватели которые будут спамить, уходят в бан без предупреждения. Спам сообщения определяется администрацией и модератором.

  • Гость, Что бы Вы хотели увидеть на нашем Форуме? Изложить свои идеи и пожелания по улучшению форума Вы можете поделиться с нами здесь. ----> Перейдите сюда
  • Все пользователи не прошедшие проверку электронной почты будут заблокированы. Все вопросы с разблокировкой обращайтесь по адресу электронной почте : info@guardianelinks.com . Не пришло сообщение о проверке или о сбросе также сообщите нам.

В Cloudflare Произошла Крупная Утечка Данных С Сайтов-клиентов

Sascha

Заместитель Администратора
Команда форума
Администратор
Регистрация
9 Май 2015
Сообщения
1,064
Баллы
155
Возраст
47
В всемирно известной компании CloudFlare, предоставляющей различные сервисы по обслуживанию и обеспечению безопасности сайтов, произошла утечка персональных данных, в том числе куки, ключей API и паролей. Компания

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

об этом вчера в своём блоге. Пока что не было замечено случаев намеренного использования этих данных, но стоит учитывать, что их часть могла быть закеширована поисковыми системами.

Что произошло?


Проблема была обнаружена 18 февраля сотрудником Google Project Zero Тависом Орманди, но появиться она могла ещё 22 сентября 2016 года. CloudFlare сообщила, что объём утёкших данных начал расти с 13 февраля, когда изменение в коде привело к тому, что каждый 3 300 300-ый HTTP-запрос становился общедоступным — а это серьёзно для сети такого масштаба.


Could someone from cloudflare security urgently contact me.

— Tavis Ormandy (@taviso)

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.




Орманди сообщил, что он нашёл записи о бронировании отелей, пароли из менеджеров паролей, сообщения с сайтов знакомств. «Я даже не догадывался, насколько большая часть Интернета находится в Cloudflare CDN, —

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

он 19 февраля. — Мы говорим о полных HTTP-запросах, IP-адресах клиентов, куки, паролях, ключах, данных, обо всём.» После того, как представители CloudFlare увидели сообщение Орманди, они отключили три фичи, использовавшие уязвимый код, и связались с поисковыми системами для удаления закешированной информации.


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.



И в чём заключалась утечка?


Утечка (неофициально названная

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

в честь

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

) была результатом «переполнения буфера», ошибки в коде, созданном HTML-парсером Ragel, ранее использовавшемся в компании. CloudFlare сообщила, что этот баг присутствовал в системе несколько лет, но был обнаружен только после перехода на другой парсер, cf-html, что «изменило процесс буферизации» и привело к утечке.

Компания объясняет такую задержку в объявлении об утечке желанием «убедиться, что все поисковые движки будут очищены перед публичным заявлением». Стоит заметить, что CloudFlare смогла обнаружить все три источника утечек всего за 7 часов после сообщения от Орманди, и это действительно быстро — вспомним

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

с Microsoft, которая не исправила уязвимость за 90 дней, в результате чего Google пришлось публично сообщить о ней. Тем не менее, на всякий случай стоит сменить все пароли, учитывая, сколько информации на самом деле хранится в CloudFlare.


В процессе написания новости мы обнаружили, что энтузиаст написал

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, которое проверяет, присутствует ли посещаемый сайт в «списке Cloudbleed». Его исходный код также доступен на

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.
 
Вверх