ホームページ » の仕方 » Cloudflareとは何ですか、それは本当に私のデータをインターネット中に漏らしましたか?

    Cloudflareとは何ですか、それは本当に私のデータをインターネット中に漏らしましたか?

    過去数ヶ月間、人気のあるCloudflareサービスのバグにより、ユーザー名、パスワード、プライベートメッセージなどの機密ユーザーデータがプレーンテキストで世界中に公開されている可能性があります。しかし、この問題はどのくらい大きいのでしょうか。?

    クラウドフレアとは?

    Cloudflareは、さまざまなWebサイトのネットワークに(とりわけ)セキュリティおよびパフォーマンス機能を提供するサービスです。これはリバースプロキシとして機能し、ユーザー(ユーザー)と特定のWebサイトの仲介者として機能します。そのサイトにアクセスすると、実際のサイトのサーバーではなくCloudflareのサーバーの1つに誘導されます。.

    これにより、Cloudflareは正当なユーザーであることを保証し(サービス拒否攻撃から保護する)、サイトをより速くロードし(サイトの特定の部分をキャッシュしているため)、停止時間から保護します(世界中に複数のサーバーがあります)。問題がある場合は、どのサーバーにもフォールバックできます。.

    Cloudflareは、DDoS攻撃者が実際のWebサイトにアクセスできないことを保証します。.

    要するに、Cloudflareはサイトをより速く、より安全にすることを目指しています、そしてそれは多くのウェブサイトが使うサービスです.

    何が起こった? (そして「混乱」とは何ですか?)

    残念ながら、たとえサイトがCloudflareのようなサービスを使っていてもバグが起こるとしても、100%安全なものは何もありません。この場合、Cloudflareは実際には 生じた セキュリティ上の問題:HTMLを解析するリバースプロキシコードのバグにより、特定の状況下でCloudflareのサーバーがメモリの内容をリークすることがありました。 (一部の人々はこれを「クラウドブレッド」と呼んでいます。これはインターネットの大部分に影響を及ぼしたハートブードバグを排除したものです。)

    このデータには、ユーザー名、パスワード、プライベートメッセージ、OAuthトークンなど、あらゆる種類の機密データが含まれている可能性があります。さらに悪いことに、そのデータの一部はいくつかの検索エンジン(Cloudflareによると約700ページ)によって索引付けされ、キャッシュされていたので、Googleで何を検索すればよいか知っていたらリーク.

    何を検索すればよいのか分からない場合は、Cloudflareの検索エンジンに関する情報の一部を見つけることができます。.

    このバグは約5ヶ月間発見されず、今週発見された後に修正されました。 Cloudflare氏は、「最大の影響期間は2月13日と2月18日からで、Cloudflareを介した3,300,000のHTTP要求ごとに約1が発生し、メモリリークが発生する可能性があります(要求の約0.00003%)」

    しかし、Cloudflareと同じくらい人気のあるサービスでは、0.00003%はまだたくさんあります。 Yelp、OkCupid、Uber、Authy、Mediumなど、400万を超えるドメインを含むCloudflareを使用するサイトのリストを編集している人々もいます。 (一部のモバイルアプリも影響を受けます)。

    Cloudflareのブログでこのバグの技術的な詳細についてもっと読むことができます、それはおそらくあなたがプログラマーであるならばあなただけに興味があるでしょう - あなたが普通のインターネットユーザーであるなら、あなたが知る必要がある唯一のことは…

    私は何をすべきか?

    第一:あまりパニックにならないでください。そのリストに含まれるすべてのサイトが必ずしも機密情報を漏洩したわけではありません。たとえば、あるサイトがCloudflareを使用して画像データをキャッシュしているだけの場合、機密情報は漏洩しません。それは、それぞれのリークがパスワードのマスターリストであるとは限りません。ランダムな情報です。 できた 任意の時点でランダムなユーザー名とパスワードをいくつか含めた.

    しかし、Cloudflareは、自分自身の秘密鍵の1つが漏洩したことにも注目しました。これは、潜在的にユーザー名とパスワードを含む、多くの内部Cloudflareデータへの攻撃者アクセスを提供する可能性があります。 Cloudflareはこの特定の点について非常に曖昧でしたが、それははるかに機密性の高い情報を漏らす可能性がある大きなセキュリティリスクであるにもかかわらず

    すべてのデータが漏洩したかどうか、そしてどこでどこに漏れるのかを知るための本当の方法はありません。 パスワードをすべて変更する. (もちろん、400万のサイトのリストを調べてCloudflareで使用されているものだけを変更することもできますが、正直なところ、それらすべてを変更する方がおそらく簡単で早いでしょう)。

    パスワードに関する通常の規則がここに適用されます。複数のサイトで同じパスワードを使用しない、LastPassのようなパスワードマネージャを使用する、それを許可するすべてのサイトで2要素認証を有効にする。あなたがこれらのことをしていないのであれば、Cloudflareのバグはおそらくあなたの心配の中で最も少ないです - 結局のところ、サイトは常にハッキングされます。.

    すでにパスワードマネージャを使用しているのであれば、このプロセスは簡単なはずです(少し長くて退屈な場合)。しかし、あなたは今このダンスに慣れているべきです.