OpenForum RSS: Уязвимость в Cloudflare привела к утечке конфиденциальной ин... https://opennet.ru/openforum/vsluhforumID3/110540.html В одной из крупнейших сетей доставки контента Cloudflare выявлена (https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/) ошибка, которая привела к утечке неинициализированных отрывков оперативной памяти прокси-серверов, которые могли содержать конфеденциальные данные, фигурирующие при обработке запросов других сайтов. Проблема выявлена сотрудниками Google и получила кодовое имя "cloudbleed (https://bugs.chromium.org/p/project-zero/issues/detail?id=1139)" по аналогии с уязвимостью "Heartbleed (https://www.opennet.ru/opennews/art.shtml?num=39518)".<br><br><br><br>Утечки совершались с 22 сентября 2016 года по 18 февраля 2017 года и приводили к появлению в открытом доступе такой информации, как пароли, закрытые сообщения, ключи для доступа к API и другие конфиденциальные данные. Информация утекала в составе ответов на случайные запросы, например, проведённые с 13 по 18 февраля измерения показали, что ежедневно отдавалось 100-200 тысяч страниц с частями неинициализированных блоков па Уязвимость в Cloudflare привела к утечке конфиденциальной ин... (Аноним Аналитег) https://opennet.ru/openforum/vsluhforumID3/110540.html#49 Sat, 04 Mar 2017 21:51:55 GMT Не из под NAT, ip почти статический. У меня капча появляется не часто, но я заметил гугл начинает подозревать во мне бота когда я делаю много запросов по одному сайту сайту с небольшими изменениями в искомых словосочетаниях.<br> Уязвимость в Cloudflare привела к утечке конфиденциальной ин... (Аноним) https://opennet.ru/openforum/vsluhforumID3/110540.html#48 Thu, 02 Mar 2017 07:48:45 GMT не задумуются, им по%уй, они приняли соглашение.<br>Кому не по%уй, cloudflare не юзают.<br> Уязвимость в Cloudflare привела к утечке конфиденциальной ин... (Аноним) https://opennet.ru/openforum/vsluhforumID3/110540.html#47 Thu, 02 Mar 2017 01:00:10 GMT Как ни странно, гуглокапча на CloudFlare работает без JS! Но разрешать загрузку контента с google.com и gstatic.com приходится.<br> Уязвимость в Cloudflare привела к утечке конфиденциальной ин... (пох) https://opennet.ru/openforum/vsluhforumID3/110540.html#46 Tue, 28 Feb 2017 15:15:48 GMT &gt; А что, имея свой сервер (неважно, виртуальный или железный, на колокейшене или в своём<br>&gt; ЦОДе) зарезать эти страны в iptables сильно сложно?<br><br>несложно, но при входящем рейте под пол-гига/s (сла-а-а-абенький такой ddos, по нынешним меркам, и продолжать его могут вечно) ты при этом влетишь на нехилые бабки (в лучшем случае, а скорее всего - просто заблеклистят тебя без разговоров, у колло-провайдеров нет ни мощностей ни желания бороться за такого грошового клиента).<br>А с cloudflare - можно уместиться в _бесплатный_ тариф (поскольку их вообще не очень парит тот траффик, который НЕ донесли до клиента - коллеге счетец-то выкатили за _реальные_ петабайты, а не мусорные)<br><br>Еще один хороший кейс- сайт (блок, понятно, ради одной хомстранички такое не делают) на амазоне и подобных *aas. Спрятался за антиддосером - получил более-менее _предсказуемый_ (и скорее всего - небольшой) прайс в месяц.<br> Уязвимость в Cloudflare привела к утечке конфиденциальной ин... (Аноним) https://opennet.ru/openforum/vsluhforumID3/110540.html#45 Mon, 27 Feb 2017 14:27:11 GMT &gt; блокируешь эти страны в настройках<br><br>А что, имея свой сервер (неважно, виртуальный или железный, на колокейшене или в своём ЦОДе) зарезать эти страны в iptables сильно сложно? А капчу на фронтенде тоже сложно сделать?<br> Уязвимость в Cloudflare привела к утечке конфиденциальной ин... (Lain_13) https://opennet.ru/openforum/vsluhforumID3/110540.html#44 Mon, 27 Feb 2017 13:51:45 GMT Когда занимаешься отладкой собственного скрипта/стиля, работающего на странице гугла, можно и больше раз рефреш клацнуть.<br> Уязвимость в Cloudflare привела к утечке конфиденциальной ин... (пох) https://opennet.ru/openforum/vsluhforumID3/110540.html#43 Mon, 27 Feb 2017 12:57:10 GMT &gt; Абу, это ты, что ли?<br><br>да не, не может у него 2P быть<br><br><br> Уязвимость в Cloudflare привела к утечке конфиденциальной ин... (пох) https://opennet.ru/openforum/vsluhforumID3/110540.html#42 Mon, 27 Feb 2017 12:55:39 GMT &gt; Ну на самом деле у гугла призвать капчу довольно просто и без удаления кук. Достаточно<br><br>ничего себе, "просто"...<br>&gt; переспросить один и тот же запрос раз 10-20 и Гугл подумает, что имеет дело с ботом.<br><br>в общем-то, я тоже так подумал бы (или с альтернативно одаренным пользователем, пусть проведет свое время с пользой, тренируя нейросети, если ему десятка раз одного и того же мало)<br>То есть, собственно, наши именно это и делали, но, йопаралон, не руками же! Мозоль на пальце лучше другим способом отращивать.<br><br> Уязвимость в Cloudflare привела к утечке конфиденциальной ин... (Аноним) https://opennet.ru/openforum/vsluhforumID3/110540.html#41 Mon, 27 Feb 2017 11:36:35 GMT Абу, это ты, что ли?<br>