In den letzten Monaten konnte ein Fehler im populären Cloudflare-Dienst sensible Benutzerdaten - einschließlich Nutzernamen - offen legen , Passwörter und private Nachrichten - im Klartext zur Welt. Aber wie groß ist dieses Problem und was sollten Sie tun?

Was ist Cloudflare?

Cloudflare ist ein Dienst, der Sicherheits- und Leistungsfunktionen (unter anderem) für ein breites Netzwerk von Websites bietet. Es fungiert als Reverse-Proxy, als Vermittler zwischen Ihnen - dem Benutzer - und einer bestimmten Website. Wenn Sie diese Site besuchen, werden Sie auf einen der Cloudflare-Server anstatt auf die Server der tatsächlichen Site weitergeleitet.

Dadurch kann Cloudflare sicherstellen, dass Sie ein legitimer Benutzer (also Schutz vor Denial-of-Service-Angriffen) sind, der geladen wird Die Website ist schneller (da sie bestimmte Teile der Site zwischengespeichert haben) und schützt vor Ausfallzeiten (da sie weltweit mehrere Server haben und bei Problemen auf einen beliebigen Server zurückgreifen können.)

Cloudflare sorgt dafür, dass DDoS-Angreifer nichts tun "

Kurz gesagt: Cloudflare zielt darauf ab, Websites schneller und sicherer zu machen, und es ist ein Service, den viele Websites nutzen.

Was ist passiert? (Und was ist "Cloudbleed?")

Leider ist nichts 100% sicher, selbst wenn eine Seite einen Dienst wie Cloudflare nutzt und Bugs passieren. In diesem Fall verursachte Cloudflare tatsächlich ein Sicherheitsproblem : Ein Fehler im Reverse-Proxy-Code, der HTML parst, führte dazu, dass die Cloudflare-Server unter bestimmten Umständen den Inhalt ihres Speichers verloren gingen. (Einige Leute bezeichnen dies als "Cloudbleed", eine Ausspielung des Heartbleed-Bugs, der auch einen großen Teil des Internets betrifft.)

Diese Daten könnten alle Arten von sensiblen Daten enthalten, einschließlich Benutzernamen, Passwörter und private Nachrichten , OAuth-Tokens und vieles mehr. Schlimmer noch, einige dieser Daten wurden von einigen Suchmaschinen indiziert und zwischengespeichert (laut Cloudflare etwa 700 Seiten). Wenn Sie also wüssten, was Sie bei Google suchen müssen, könnten Sie sensible Daten von Nutzern finden, die sich zum jeweiligen Zeitpunkt anmelden leak.

Wenn Sie wissen, was Sie suchen müssen, finden Sie einige der von Cloudflare übermittelten Informationen in Suchmaschinen.

Dieser Fehler wurde für etwa fünf Monate unentdeckt und wurde behoben, nachdem er diese Woche entdeckt wurde. Cloudflare sagt: "Der größte Zeitraum der Auswirkungen war vom 13. Februar und 18. Februar mit etwa 1 von 3.300.000 HTTP-Anfragen über Cloudflare, was möglicherweise zu Speicherverlusten führte (das sind etwa 0,00003% der Anfragen)."

Aber mit einem so beliebten Service wie Cloudflare, 0,00003% ist immer noch eine Menge. Einige Leute haben eine Liste von Websites erstellt, die Cloudflare verwenden, und sie umfasst über 4 Millionen Domains - darunter Yelp, OkCupid, Uber, Authy, Medium und viele, viele mehr. (Einige mobile Apps sind ebenfalls betroffen.)

Sie können mehr über die technischen Details dieses Fehlers auf Cloudflares Blog lesen, obwohl es Sie wahrscheinlich nur interessieren wird, wenn Sie ein Programmierer sind - wenn Sie ein regelmäßiger Internetbenutzer sind Das Einzige, was Sie wissen müssen, ist ...

Was soll ich tun?

Erstens: Keine Panik. Nicht jeder Standort auf dieser Liste von 4 Millionen hat unbedingt vertrauliche Informationen durchsickern lassen - wenn eine Seite zum Beispiel nur Cloudflare zum Zwischenspeichern von Bilddaten verwendet hätte, gäbe es keine vertraulichen Informationen. Und es ist nicht so, als wäre jedes Leck eine Master-Liste von Passwörtern - es waren zufällige Informationen, die könnten einige zufällige Benutzernamen und Passwörter enthalten.

Allerdings hat Cloudflare auch bemerkt dass einer ihrer eigenen privaten Schlüssel durchgesickert war, was einem Angreifer den Zugriff auf viele interne Cloudflare-Daten ermöglicht hätte - einschließlich potenzieller Benutzernamen und Passwörter. Cloudflare war zu diesem speziellen Punkt äußerst vage, obwohl es ein großes Sicherheitsrisiko darstellt und potenziell sensiblere Informationen ausliefern kann.

Alles in allem gibt es keine wirkliche Möglichkeit zu sagen, ob irgendwelche Ihrer Daten durchgesickert sind und wo das einzig sichere Vorgehen ist jetzt ändere alle deine Passwörter . (Sicher, Sie könnten die Liste mit 4 Millionen Websites durchsuchen und nur die von Cloudflare verwendeten ändern, aber ehrlich gesagt wäre es wahrscheinlich einfacher und schneller, sie alle zu ändern.)

Hier gelten die üblichen Regeln mit Passwörtern: Verwenden Sie nicht dasselbe Passwort auf mehreren Websites, verwenden Sie einen Passwort-Manager wie LastPass und aktivieren Sie die Zwei-Faktor-Authentifizierung für jede Site, die dies zulässt. Wenn Sie diese Dinge nicht tun, ist der Cloudflare-Bug wahrscheinlich die geringste Sorge - schließlich werden Websites immer gehackt, und wenn Sie überall dasselbe Kennwort verwenden, sind alle Ihre Daten regelmäßig gefährdet.

Wenn Sie bereits einen Passwort-Manager verwenden, sollte dieser Prozess einfach sein (wenn auch ein bisschen lang und langweilig). Aber du solltest dich inzwischen an diesen Tanz gewöhnt haben.

Sieben Dinge, die Sie nicht mehr mit Android zu tun haben müssen

Seit Jahren rooten Android-Enthusiasten ihre Geräte, um Dinge zu tun, die Android standardmäßig nicht zulässt. Aber Google hat Android viele Funktionen hinzugefügt, die root benötigen und viele Leute überflüssig machen. Und mit jeder größeren Android-Version wird die Liste der Gründe, ein Gerät zu rooten, immer kürzer - was früher ein war Die erforderlichen Gründe für das Rooten sind an dieser Stelle häufig enthalten.

(how-top)

Alle Möglichkeiten, auf Windows 10 kostenlos zu aktualisieren

Das kostenlose Upgrade-Angebot von Windows 10 ist laut Microsoft abgelaufen. Aber das ist nicht ganz richtig. Es gibt eine Reihe von Möglichkeiten, wie Sie immer noch kostenlos auf Windows 10 upgraden und eine legitime Lizenz erwerben oder einfach Windows 10 installieren und kostenlos nutzen können. Es gibt einige Möglichkeiten, wie Sie Windows 10 kostenlos erhalten können, ohne Verwenden einer Raubkopie-Lizenz: Sie können Windows 10 mit einem 7 oder 8 Schlüssel installieren oder Windows ohne einen Schlüssel installieren - es funktioniert gut, speichern Sie für ein kleines Wasserzeichen, das Sie daran erinnert, eine Lizenz zu erwerben.

(how-top)