前言：近些年来，站长圈中出现一个很火的字，那就是云。例如，我们时常能看到云计算、云主机、云服务等等，因此，与云相关的产品也日益多了起来！

不过，就在昨日（2017年2月24日），一个令互联网人士都为之吃惊的消息发送了。那就是CloudFlare被爆泄露用户HTTPS网络会话中的加密数据（包括 Cookies、API 键值、以及密码等在内的许多敏感信息）长达数月之久，受影响的网站估计有200万之多，不乏有比较知名的互联网企业，诸如Uber、1password 等。

据了解，CloudFlare是美国一家比较知名网络企业，专为网站提供DDoS安全防护和CDN加速、分析及应用等服务。并为数百上千万个互联网站点提供 SSL 加密服务。

该漏洞（存在距今已有好几个月了）的最新发现者是Google的安全研究人员，据Tavis Ormandy描述，他上周在做一个业余项目时，不经意发现CloudFlare把大量用户数据泄露在Google搜索引擎的缓存页面中，包括客户端IP地址、完整的响应、密码、密钥以及各种私密数据。

经过分析发现，此次漏洞是一个HTML解析器编写错误，由于程序员把>= 错误地写成了== ，这才导致出现内存泄露的情况。

此次事件发生后，CloudFlare方面表示，规模最大的一次信息泄露始于2月13日，当时发生的代码异动表明每秒 3,300,300 次的http请求，这样可能导致了内存溢出情况。不过，到目前为止，CloudFlare的工程师已经禁用了导致出现问题的三项功能代码，并与搜索引擎方携手清理缓存信息。

我们都知道，云产品是基于互联网相关服务的增加、使用和交付模式，通常通过互联网来提供动态易扩展且经常是虚拟化的资源。并且具有安全性、易扩展、高存储、虚拟化等众多特点优势，因而被广泛的应用互联网各类产品之中。

虽说CloudFlare此次漏洞事件是由于程序员编写失误导致，但也折射出一个问题，就是云产品的安全问题。二十一世纪，是便利化、集中化的云服务时代，可能很多个人、机密等重要信息都以大数据的形式存储在云平台上。而云服务的安全除了云服务商的职责之外，更需要安全技术的行业人员、公司来一起协同完成。因此，有效保障云产品的安全仍然是重中之重的工作。