Under de senaste månaderna kan en bugg i den populära Cloudflare-tjänsten ha utsatt känslig användardata - inklusive användarnamn , lösenord och privata meddelanden-till världen i vanlig text. Men hur stor är detta problem, och vad ska du göra?

Vad är Cloudflare?

Cloudflare är en tjänst som erbjuder bland annat säkerhets- och prestandafunktioner till ett brett nätverk av webbplatser. Det fungerar som en omvänd proxy, en mellanhand mellan dig - användaren och en viss webbplats. När du besöker den här webbplatsen kommer du bli riktad till en av Cloudflares servrar i stället för webbplatsens servrar.

Detta tillåter Cloudflare att se till att du är en legitim användare (så att du skyddar mot attacker mot avslag), ladda webbplatsen snabbare (eftersom de har cachad vissa delar av webbplatsen) och skyddar mot driftstopp (eftersom de har flera servrar över hela världen och kan falla tillbaka på vilken server som helst om man har problem).

Cloudflare säkerställer DDoS-angripare don '

Kort sagt: Cloudflare syftar till att göra webbplatser snabbare och säkrare, och det är en tjänst som många webbplatser använder.

Vad hände? (Och vad är "Cloudbleed?")

Tyvärr är ingenting 100% säkert, även om en webbplats använder en tjänst som Cloudflare, och buggar händer. I detta fall orsakade Cloudflare faktiskt ett säkerhetsproblem: ett fel i omvänd proxy-kod som tolkar HTML orsakade Cloudflares servrar att läcka innehållet i dess minne under vissa omständigheter. (Vissa människor hänvisar till detta som "Cloudbleed", en avspelning från Heartbleed-buggen som också påverkade en stor del av internet.) Dessa data kunde ha inkluderat alla slags känsliga data, inklusive användarnamn, lösenord, privata meddelanden , OAuth-tokens och mycket mer. Ännu värre, några av dessa data indexerades och cachades av vissa sökmotorer (cirka 700 sidor enligt Cloudflare), så om du visste vad du skulle söka på Google kunde du hitta känsliga data från användare som loggade in vid en viss tidpunkt läckage.

Om du vet vad du ska söka kan du hitta några av Cloudflares läckta information om sökmotorer.

Denna bugg gick oupptäckt i cirka fem månader och patchades efter att ha upptäckts i veckan. Cloudflare säger att "den största effektperioden var från 13 februari och 18 februari med omkring 1 av varje 3 300 000 HTTP-förfrågningar via Cloudflare, vilket kan leda till minnesläckage (det är cirka 0,00003% av förfrågningarna)."

Men med en tjänst som är så populär som Cloudflare, 0.00003% är fortfarande mycket. Vissa har sammanställt en lista över webbplatser som använder Cloudflare, och den innehåller över 4 miljoner domäner, inklusive Yelp, OkCupid, Uber, Authy, Medium och många många fler. (Vissa mobila appar påverkas också.)

Du kan läsa mer om de tekniska detaljerna för denna bugg på Cloudflares blogg, men det kommer nog bara att intressera dig om du är en programmerare - om du är en vanlig internetanvändare , det enda du behöver veta är ...

Vad ska jag göra?

Först: inte panik för mycket. Inte varje webbplats på den listan över 4 miljoner läckte nödvändigtvis känslig information. Om en webbplats bara använde Cloudflare för att cache bilddata, skulle det exempelvis inte finnas någon känslig information att läcka. Och det är inte som att varje läcka var en huvudlista över lösenord ändå. Det var slumpmässiga informationstyper, som

kunde ha inkluderat några slumpmässiga användarnamn och lösenord vid vilken tidpunkt som helst. Men Cloudflare noterade också att en av sina egna privata nycklar läckte, vilket skulle ha gett angriparen tillgång till en massa interna Cloudflare-data, inklusive eventuellt användarnamn och lösenord. Cloudflare var extremt vag om den här punkten, trots att det var en stor säkerhetsrisk med potential att läcka mycket mer känslig information.

Allt sagt, det finns inget riktigt sätt att berätta om någon av dina data läckte och var, så Den enda säkra handlingsplanen är just nu

ändra alla dina lösenord . (Visst, du kan titta igenom listan över 4 miljoner webbplatser och bara ändra de som används av Cloudflare, men ärligt talat skulle det förmodligen vara enklare och snabbare att bara ändra dem alla.) De vanliga reglerna med lösenord gäller här: använd inte samma lösenord på flera webbplatser, använd en lösenordshanterare som LastPass, och aktivera tvåfaktors autentisering för varje webbplats som tillåter det. Om du inte gör dessa saker är Cloudflare-bugten förmodligen den minsta av dina bekymmer. Trots allt blir webbplatser hackade hela tiden, och om du använder samma lösenord överallt riskerar alla dina data regelbundet.

Om du redan använder en lösenordshanterare, ska processen vara lätt (om lite lång och tråkig). Men du borde vara van vid dansen nu.

Så här tar du bort objekt från din Amazon Browsing History

Amazon använder din shopping- och surfhistorik för att ge dig rekommendationer och visa produkter som du kanske vill ha. Tyvärr betyder det också att dina rekommendationer blir skrubbade när du klickade på den länken för en dum produkt på Amazon du trodde var rolig. Så här väljer du selektivt saker från din Amazon-surfhistorik.

(how-top)

Intel Management Engine, förklarad: Den lilla datorn inuti din CPU

Intel Management Engine har varit med på Intel-chipset sedan 2008. Det är i grunden en liten dator-inom-dator med Full tillgång till datorns minne, skärm, nätverk och inmatningsenheter. Det körs kod skrivet av Intel, och Intel har inte delat mycket information om sina inre arbeten. Denna mjukvara, även kallad Intel ME, har dykt upp i nyheterna på grund av säkerhetshål Intel tillkännagav den 20 november 2017 Du bör patchera ditt system om det är sårbart.

(how-top)