前不久,著名云安全服务商Cloudflare被爆泄露用户HTTPS网络会话中的加密数据长达数月,受影响的网站估计最少200万之多,其间触及Uber、1password等多家闻名互联网公司的服务。
据了解,Cloudflare为众多互联网公司供给CDN、安全等服务,协助优化页面加载功能。然而因为一个编程错误,导致在特定的情况下,Cloudflare的系统服务器会将服务器内存里的部分内容缓存到页面中。
因而用户在访问由Cloudflare提供支持的服务器网站时,通过一种特别的方法,可以随机获取来自其他人的会话中的灵敏信息。这就好比你在发邮件时,执行一个特定操作就能随机取得他人的秘要邮件。虽然是随机获取,可一旦有心之人重复使用该方法,就能集腋成裘就能取得大量私密服务器数据。
漏洞最初是由googleProject Zero安全团队的漏洞猎人(国内称白帽子)塔维斯·奥曼迪发现的,当时他在google查找的服务器缓存页面中发现了大量包括加密密钥、cookie和密码在内的数据。所以他很快告知Cloudflare , Cloudflare派出团队来处理此事,结果发现导致问题的几个重要操作分别发生在数天和数月之前。
Copyright© 2004-2020 河南海腾电子技术有限公司 版权所有 经营性ICP/ISP证 备案号:B1-20180452
豫公网安备 41019702002018号
电子营业执照
400-6717-361
