In den letzten Monaten konnte ein Fehler im populären Cloudflare-Dienst sensible Benutzerdaten - einschließlich Nutzernamen - offen legen , Passwörter und private Nachrichten - im Klartext zur Welt. Aber wie groß ist dieses Problem und was sollten Sie tun?

Was ist Cloudflare?

Cloudflare ist ein Dienst, der Sicherheits- und Leistungsfunktionen (unter anderem) für ein breites Netzwerk von Websites bietet. Es fungiert als Reverse-Proxy, als Vermittler zwischen Ihnen - dem Benutzer - und einer bestimmten Website. Wenn Sie diese Site besuchen, werden Sie auf einen der Cloudflare-Server anstatt auf die Server der tatsächlichen Site weitergeleitet.

Dadurch kann Cloudflare sicherstellen, dass Sie ein legitimer Benutzer (also Schutz vor Denial-of-Service-Angriffen) sind, der geladen wird Die Website ist schneller (da sie bestimmte Teile der Site zwischengespeichert haben) und schützt vor Ausfallzeiten (da sie weltweit mehrere Server haben und bei Problemen auf einen beliebigen Server zurückgreifen können.)

Cloudflare sorgt dafür, dass DDoS-Angreifer nichts tun "

Kurz gesagt: Cloudflare zielt darauf ab, Websites schneller und sicherer zu machen, und es ist ein Service, den viele Websites nutzen.

Was ist passiert? (Und was ist "Cloudbleed?")

Leider ist nichts 100% sicher, selbst wenn eine Seite einen Dienst wie Cloudflare nutzt und Bugs passieren. In diesem Fall verursachte Cloudflare tatsächlich ein Sicherheitsproblem : Ein Fehler im Reverse-Proxy-Code, der HTML parst, führte dazu, dass die Cloudflare-Server unter bestimmten Umständen den Inhalt ihres Speichers verloren gingen. (Einige Leute bezeichnen dies als "Cloudbleed", eine Ausspielung des Heartbleed-Bugs, der auch einen großen Teil des Internets betrifft.)

Diese Daten könnten alle Arten von sensiblen Daten enthalten, einschließlich Benutzernamen, Passwörter und private Nachrichten , OAuth-Tokens und vieles mehr. Schlimmer noch, einige dieser Daten wurden von einigen Suchmaschinen indiziert und zwischengespeichert (laut Cloudflare etwa 700 Seiten). Wenn Sie also wüssten, was Sie bei Google suchen müssen, könnten Sie sensible Daten von Nutzern finden, die sich zum jeweiligen Zeitpunkt anmelden leak.

Wenn Sie wissen, was Sie suchen müssen, finden Sie einige der von Cloudflare übermittelten Informationen in Suchmaschinen.

Dieser Fehler wurde für etwa fünf Monate unentdeckt und wurde behoben, nachdem er diese Woche entdeckt wurde. Cloudflare sagt: "Der größte Zeitraum der Auswirkungen war vom 13. Februar und 18. Februar mit etwa 1 von 3.300.000 HTTP-Anfragen über Cloudflare, was möglicherweise zu Speicherverlusten führte (das sind etwa 0,00003% der Anfragen)."

Aber mit einem so beliebten Service wie Cloudflare, 0,00003% ist immer noch eine Menge. Einige Leute haben eine Liste von Websites erstellt, die Cloudflare verwenden, und sie umfasst über 4 Millionen Domains - darunter Yelp, OkCupid, Uber, Authy, Medium und viele, viele mehr. (Einige mobile Apps sind ebenfalls betroffen.)

Sie können mehr über die technischen Details dieses Fehlers auf Cloudflares Blog lesen, obwohl es Sie wahrscheinlich nur interessieren wird, wenn Sie ein Programmierer sind - wenn Sie ein regelmäßiger Internetbenutzer sind Das Einzige, was Sie wissen müssen, ist ...

Was soll ich tun?

Erstens: Keine Panik. Nicht jeder Standort auf dieser Liste von 4 Millionen hat unbedingt vertrauliche Informationen durchsickern lassen - wenn eine Seite zum Beispiel nur Cloudflare zum Zwischenspeichern von Bilddaten verwendet hätte, gäbe es keine vertraulichen Informationen. Und es ist nicht so, als wäre jedes Leck eine Master-Liste von Passwörtern - es waren zufällige Informationen, die könnten einige zufällige Benutzernamen und Passwörter enthalten.

Allerdings hat Cloudflare auch bemerkt dass einer ihrer eigenen privaten Schlüssel durchgesickert war, was einem Angreifer den Zugriff auf viele interne Cloudflare-Daten ermöglicht hätte - einschließlich potenzieller Benutzernamen und Passwörter. Cloudflare war zu diesem speziellen Punkt äußerst vage, obwohl es ein großes Sicherheitsrisiko darstellt und potenziell sensiblere Informationen ausliefern kann.

Alles in allem gibt es keine wirkliche Möglichkeit zu sagen, ob irgendwelche Ihrer Daten durchgesickert sind und wo das einzig sichere Vorgehen ist jetzt ändere alle deine Passwörter . (Sicher, Sie könnten die Liste mit 4 Millionen Websites durchsuchen und nur die von Cloudflare verwendeten ändern, aber ehrlich gesagt wäre es wahrscheinlich einfacher und schneller, sie alle zu ändern.)

Hier gelten die üblichen Regeln mit Passwörtern: Verwenden Sie nicht dasselbe Passwort auf mehreren Websites, verwenden Sie einen Passwort-Manager wie LastPass und aktivieren Sie die Zwei-Faktor-Authentifizierung für jede Site, die dies zulässt. Wenn Sie diese Dinge nicht tun, ist der Cloudflare-Bug wahrscheinlich die geringste Sorge - schließlich werden Websites immer gehackt, und wenn Sie überall dasselbe Kennwort verwenden, sind alle Ihre Daten regelmäßig gefährdet.

Wenn Sie bereits einen Passwort-Manager verwenden, sollte dieser Prozess einfach sein (wenn auch ein bisschen lang und langweilig). Aber du solltest dich inzwischen an diesen Tanz gewöhnt haben.

So deaktivieren Sie das Nachtlicht bei einem Nest Erkennen

Das Nest Secure-System wird mit zwei Nest Detect-Geräten geliefert, bei denen es sich um Open / Close-Sensoren handelt, die auch als Bewegungsmelder fungieren können. Sie haben sogar ein kleines, bewegungsaktiviertes LED-Licht (genannt "Pathlight"), das sich in einem dunklen Flur aufleuchten lässt. Wenn dies jedoch nicht erforderlich ist, kannst du Pathlight in der Nest App deaktivieren.

(how-top)

Was bedeutet "NP" für einen Computermonitor mit DVI-Anschluss?

Wenn Sie einen glänzenden neuen Monitor für Ihren Computer erhalten, werden Sie wahrscheinlich einen kurzen Blick auf die Einstellungen werfen, aber manchmal Sie können einige Verweise oder Begriffe sehen, die keinen Sinn ergeben. Vor diesem Hintergrund hat der heutige SuperUser-Q & A-Beitrag die Antwort auf die Frage eines neugierigen Lesers.

(how-top)