前言:近些年来,站长圈中出现一个很火的字,那就是云。例如,我们时常能看到云计算、云主机、云服务等等,因此,与云相关的产品也日益多了起来!
不过,就在昨日(2017年2月24日),一个令互联网人士都为之吃惊的消息发送了。那就是CloudFlare被爆泄露用户HTTPS网络会话中的加密数据(包括 Cookies、API 键值、以及密码等在内的许多敏感信息)长达数月之久,受影响的网站估计有200万之多,不乏有比较知名的互联网企业,诸如Uber、1password 等。
据了解,CloudFlare是美国一家比较知名网络企业,专为网站提供DDoS安全防护和CDN加速、分析及应用等服务。并为数百上千万个互联网站点提供 SSL 加密服务。
该漏洞(存在距今已有好几个月了)的最新发现者是Google的安全研究人员,据Tavis Ormandy描述,他上周在做一个业余项目时,不经意发现CloudFlare把大量用户数据泄露在Google搜索引擎的缓存页面中,包括客户端IP地址、完整的响应、密码、密钥以及各种私密数据。
经过分析发现,此次漏洞是一个HTML解析器编写错误,由于程序员把>= 错误地写成了== ,这才导致出现内存泄露的情况。
此次事件发生后,CloudFlare方面表示,规模最大的一次信息泄露始于2月13日,当时发生的代码异动表明每秒 3,300,300 次的http请求,这样可能导致了内存溢出情况。不过,到目前为止,CloudFlare的工程师已经禁用了导致出现问题的三项功能代码,并与搜索引擎方携手清理缓存信息。
我们都知道,云产品是基于互联网相关服务的增加、使用和交付模式,通常通过互联网来提供动态易扩展且经常是虚拟化的资源。并且具有安全性、易扩展、高存储、虚拟化等众多特点优势,因而被广泛的应用互联网各类产品之中。
虽说CloudFlare此次漏洞事件是由于程序员编写失误导致,但也折射出一个问题,就是云产品的安全问题。二十一世纪,是便利化、集中化的云服务时代,可能很多个人、机密等重要信息都以大数据的形式存储在云平台上。而云服务的安全除了云服务商的职责之外,更需要安全技术的行业人员、公司来一起协同完成。因此,有效保障云产品的安全仍然是重中之重的工作。
发表评论 取消回复