Per pastaruosius keletą mėnesių populiariame "Cloudflare" tarnybos klaida galėjo atskleisti slaptus vartotojo duomenis, įskaitant naudotojo vardus , slaptažodžius ir privačius pranešimus - į pasaulį paprasto teksto.

Kas yra cloudflare?

"Cloudflare" - tai paslauga, kuri siūlo saugumą ir našumo funkcijas (be kitų dalykų) plačiajam tinklalapių tinklui. Tai veikia kaip atvirkštinis tarpinis serveris, tarpusavyje tarp jūsų - vartotojo ir tam tikros svetainės. Kai jūs einate aplankyti šią svetainę, būsite nukreipti į vieną iš "Cloudflare" serverių, o ne iš faktinių svetainių serverių.

Tai leidžia "Cloudflare" užtikrinti, kad esate teisėtas vartotojas (taip apsaugokite nuo užblokavimo paslaugų atakų), apkrovos svetainė sparčiau (nes jie išsaugojo tam tikras svetainės dalis) ir apsaugoti nuo prastovų (nes jie turi kelis serverius visame pasaulyje ir gali atsitraukti bet kuriame serveryje, jei kyla problemų).

"Cloudflare" užtikrina, kad "DDoS"

Trumpai tariant, "Cloudflare" siekia, kad svetainės būtų greičiau ir saugesnės, o tai paslauga, kuria naudojasi daug svetainių.

Kas nutiko?

Deja, niekas nėra 100% saugus, net jei svetainė naudoja tokią paslaugą kaip "Cloudflare" ir atsiranda klaidų. Šiuo atveju "Cloudflare" iš tikrųjų sukėlė saugumo problemą: atvirkštinio proxy kodo klaida, kuri analizuoja HTML, sukūrė "Cloudflare" serverius tam tikromis aplinkybėmis sugadinti jo atminties turinį. (Kai kurie žmonės linkę tai vadinti "Cloudbleed", atkurti "Heartbleed" klaidą, kuri taip pat paveikė didelę interneto dalį.)

Šie duomenys galėjo apimti visų rūšių slaptus duomenis, įskaitant naudotojo vardus, slaptažodžius, privačius pranešimus , "OAuth" žetonai ir dar daugiau. Dar blogiau, kai kurie iš šių duomenų buvo indeksuojami ir saugomi kai kuriuose paieškos varikliuose (maždaug 700 puslapių, pagal "Cloudflare"), taigi, jei žinotumėte, ko ieškoti "Google", galite rasti slaptus duomenis iš naudotojų, prisijungusių konkretaus nutekėjimas.

Jei žinote, ko ieškoti, galite rasti kai kurių "Cloudflare" išsiliejusią informaciją apie paieškos sistemas.

Ši klaida buvo neatskleista maždaug penkis mėnesius ir buvo ištaisyta po to, kai ji buvo atrasta šią savaitę. "Cloudflare" teigia: "didžiausias poveikio laikotarpis buvo nuo vasario 13 d. Ir vasario 18 d., Maždaug 1 iš kiekvieno 3,300,000 HTTP užklausų per" Cloudflare ", dėl kurio gali atsirasti atmintis (ty apie 0,00003% prašymų)."

Bet su tokia populiari paslauga Cloudflare, 0.00003% vis dar yra daug. Kai kurie žmonės sukūrė "Cloudflare" svetainių sąrašą, ir jame yra daugiau nei 4 milijonai domenų, įskaitant "Yelp", "OkCupid", "Uber", "Authy", "Medium" ir daugelis kitų. (Taip pat yra paveiktos kai kurių programų mobiliesiems.)

"Cloudflare" tinklaraštyje galite sužinoti daugiau apie šios klaidos technines detales, tačiau tikėtina, kad jus domina tik jei esate programuotojas, jei esate nuolatinis interneto vartotojas , vienintelis dalykas, kurį reikia žinoti, yra ...

Ką turėčiau daryti?

Pirma: nepanikink per daug. Ne kiekvienoje šiame sąraše iš 4 milijonų nebūtinai pasklinda slapta informacija - jei svetainė naudoja "Cloudflare" tik talpindama vaizdo duomenis, pvz., Nėra jokios slaptos informacijos apie nutekėjimą. Ir visai nepanašu, kad kiekviena nutekėjimas buvo pagrindinis slaptažodžių sąrašas - tai buvo atsitiktiniai informacijos elementai, kurių metu galėjo įtraukti keletą atsitiktinių naudotojų vardų ir slaptažodžių bet kuriuo metu.

Tačiau "Cloudflare" taip pat pažymėjo kad vienas iš savo privačių raktų buvo sugadintas, kuris būtų suteikęs prieglobstį prieigą prie daugybės vidinių "Cloudflare" duomenų, įskaitant potencialiai naudotojų vardus ir slaptažodžius. "Cloudflare" buvo labai neapibrėžtas dėl šio konkretaus dalyko, nepaisant to, kad tai yra didžiulė saugumo rizika, nes gali būti daug neskelbtinos informacijos.

Viskas, kas pasakyta, nėra jokio realaus būdo išsiaiškinti, ar kokie nors jūsų duomenys buvo išsiaiškinti, ir kur vienintelis saugus veiksmas dabar yra pakeisk visus savo slaptažodžius . (Žinoma, galite peržiūrėti 4 milijonų svetainių sąrašą ir pakeisti tik tuos, kuriuos naudoja "Cloudflare", bet, tiesą sakant, greičiausiai bus lengviau ir greičiau tik juos visus pakeisti.)

Čia taikomos įprastos taisyklės su slaptažodžiais: nenaudokite to paties slaptažodžio keliose svetainėse, naudokite slaptažodžių valdytoją, pvz., "LastPass", ir įjunkite dviejų veiksnių autentifikavimą kiekvienai svetainei, kuri leidžia tai padaryti. Jei nesiimsite šių dalykų, "Cloudflare" klaida, ko gero, yra mažiausiai jūsų rūpestis. Galų gale, svetainės nuolat įsilaužia ir jei visur naudojate tą patį slaptažodį, visi jūsų duomenys nuolat kyla pavojus.

Jei jau naudojate slaptažodžių valdytoją, šis procesas turėtų būti lengvas (jei truputį ilgai ir nuobodu). Tačiau šį šokį turėtumėte naudoti dabar.

Kaip pritaikyti "Google" pašarą (ir padaryti jį iš tikrųjų naudinga)

Kai "Google" išleido "Google Now", "Android" naudotojus šventė visi. Tačiau dabar, kai pasikeitė "Google" sklaidos kanale, šis pakeitimas buvo daug mažiau priimtinas. Tačiau kanalas yra puikus, jei tiesiog praleidžiate laiko jį tinkinti. SUSIJĘS: Kaip pasiekti "Google Now" įrenginius naudodami "Google" asistentą Prieš kalbėdami apie jūsų kanalo pritaikymą, pirmiausia kalbėkime a šiek tiek apie tai, kas daro jį kitokiu nei "Google Now", - tik nuo vardo.

(how-top)

Kaip sukurti "LibreOffice Writer" šablonus

šAblonus, galite konfigūruoti visus atitinkamus nustatymus, kuriuos norite pritaikyti dokumentams-šriftų parametrams, paraštims ir skirtukams, teksto kopijavimui ir pan. Jūs tiesiog atidarote šabloną ir išsaugosite jį su nauju pavadinimu, kad gautumėte naujo dokumento paleidimo pradžią. Jei naudojate populiarų nemokamą ir atviro kodo "LibreOffice" programų rinkinį, tikimybės yra tinkamos, kad jūs "tai padaryti, nes nenorite naudoti" Microsoft Office ".

(how-top)