Vlog


Sleduj ma


Twitter


1260 slovenských webov, ktorých sa môže týkať Cloudbleed

Keď som naposledy spomínal Cloudflare, tak v kontexte ako ničí internet. Po dnešnom článku môžete mať pocit, že na nich hľadám len to najhoršie, avšak nie je tomu tak. Určite vám neuniklo, že Google v rámci Project Zero práve u tohto obľúbeného prevádzkovateľa CDN našiel bezpečnostnú chybu, ktorá následne dostala pomenovanie Cloudbleed.

Konkrétne reverzné proxy z neinicializovanej pamäti posielali vo svojich odpovediach citlivé informácie ako HTTP cookies, autentizačné tokeny, HTTP POST bodies a pod. Zneužiteľná bola od 22.10.2016 do 18.2.2017 a jednalo sa o chybu v parsovaní HTML. Cloudflare chybu priznalo a celú situáciu aj jej priebeh popísalo na svojom blogu.

Ako zvládol slovenský internet Heartbleed test?

Takéto dáta sa mohli nachádzať v 1 z každého 3 300 000 HTTP requestu, percentuálne vyjadrené to je 0.00003%, čo neznie tak desivo. Pri obrovskom trafficu tejto CDN to ale môže predstavovať až 100k-200k stránok denne. Takýto obsah malo ale nacachovaný niekoľko vyhľadávačov, konkrétne sa jednalo o 770 jedinečných URI z 161 jedinečných domén. Cloudflare požiadalo spoločnosti Google, Yahoo, Bing o premazanie takýchto dát. Od nahlásenia problému do finálneho fixnutia a vrátenia do pôvodného stavu (zapnutie HTTPS Rewrites) ubehli tri dni.

Okrem webov sa problém dotýka aj mobilných aplikacií. Napríklad NowSecure prinieslo prehľad 200 takýchto aplikácii pre iOS. Aj keď Cloudflare priamo nevyzýva užívateľov na zmenu hesiel, tak niekoľko bezpečnostných expertov a samotných služieb ako napríklad Fitbit na ňu používateľov vyzvalo.

Cloudflare používa cca 2 000 000 stánok globálne. Zoznam tých zaujímavých sa dá nájsť na GitHub-e. Pozrel som sa na prehľad .SK domén, ktoré majú ako DNS nastavené práve túto službu, nie všetky musia ale používať reverzné proxy, ktorého sa bezpečnostný problém týka. Konkrétne ide o 1260 domén. Z tých zaujímavejšich spomeniem webnoviny.sk, pluska.sk, atlas.sk, vlada.sk, vju.sk a pod. Kompletný prehľad slovenských domén je na GitHub-e.


Mohli by vás zaujímať aj tieto články

10 najčítanejších článkov za rok 2019 na blogu alian.info

Zostávajú posledné hodiny do konca roka 2019 a preto je na čase si pripomenúť tie články, ktoré vás na blogu najviac zaujali. A teda mali najväčšiu čí

Black Friday a Cyber Monday 2019 pre geekov (aktualizované)

Minulý rok výber tipov na Black Friday a Cyber Monday zaujal, tak postupne zberám zaujímavé zľavy aj tento. Prehľad je pravideľne aktualizovaný, takže

Google ukončuje ďalšiu službu, aj keď je úspešná

Ak by som parafrázoval slová Igora Timka „... tak sa pýtam...“ oplatí sa ešte niečo používať vôbec od Google okrem vyhľadávača? Zase sa ukazuje, že aj

Publikované 26.02.2017
TOPlist TOPlist