En otroligt stor mängd webbplatser använder omvända proxyer och DDoS-mildrande tjänster som Cloudflare (t.ex. Reddit) för att skydda dem från stora katastrofer och hålla lamporna konsekventa. Dessa tjänster marknadsför sig ofta som leverantörer av säkerhet och prestandaförbättring.

Men i motsats till detta, den 17 februari 2017, orsakade en stor insats i Cloudflares programvara en stor mängd privata data från miljontals webbplatser som var tillgängliga när som helst. Några av dessa data visas även på cachade kopior av webbplatser som visade sig i Googles sökresultat. Denna speciella händelse, som blev känd som Cloudbleed, har presenterat ett värdefullt tillfälle för en diskussion om säker användning av teknik.

Vad är allt detta ?!

För uninitiated är Cloudflare en tjänst som fungerar som mellanhand mellan din webbplats och det bredare Internet. När du går till en webbplats som använder tjänsten, ansluts du faktiskt till Cloudflare som ansluter till webbplatsen och reläerar dess produktion till dig. Det kommer att cache några av de oftare besökta sidorna så att webbplatsen inte behöver svara varje gång någon ansluter, vilket minskar den inverkan som stora mängder trafik har på den lokala servern. Detta bidrar även till att minska de konsekvenser som DDoS-attacker har på din webbplats eftersom det finns en mellanhand som kan motverka bruntet av dessa attacker, som fungerar som ett slags trafikljus som tillåter legitima besökare genom och stoppar bots i deras spår . Cloudflare och andra omvända proxytjänster (som Incapsula och Akamai) kommer ofta att marknadsföra sig som leverantörer av webbsäkerhet.

Vad är Cloudbleed?

Cloudbleed är en händelse där en bugg upptäcktes i Cloudflares programvara av en medlem i Googles Project Zero-team som avslöjade privata meddelanden från stora webbplatser, online-lösenordshanteringsdata och fullständiga HTTPS-förfrågningar från flera andra servrar. Cloudflares svar på anslutningsförfrågningar skulle ofta överträffa deras tilldelade buffertutrymme och presentera data från andra kunder som åtnjuter webbplatser på den tiden. Det lämnar allt ut i det öppna och presenterar en katastrofal säkerhetsrisk för alla som använder eller äger webbplatser som är beroende av tjänsten.

Felet patchades i slutet av februari, även om tjänsten medger att data läckage kan ha pågått så tidigt som introduktionen av sin nya HTML-parser den 22 september 2016.

Lärdomar

Om du har läst våra historier ett tag kan du komma ihåg en mycket liknande händelse som kallas Heartbleed tillbaka 2014 där webbplatser som använder OpenSSL var sårbara för ett utnyttjande som kan utsätta fragment av privata data för snooping-parter. Detta tillsammans med den senaste Cloudbleed kerfuffle lär oss en värdefull lektion: inget är hundra procent tillförlitligt, inte ens de tjänster som uttryckligen syftar till att skydda dig.

Detta är inte tänkt att bash Cloudflare. Felet kunde ha hänt med någon tjänst. Poängen här är att Internet inte är en plats där du borde förvänta dig en garanterad säkerhetsnivå. Du kan göra allt som är möjligt för att skydda dig själv och fortfarande vara utelämnad i det öppna av en situation som du inte har någon kontroll över.

Vad ska du göra?

Sanningen är, som Inc.Coms Joseph Steinberg skriver, "Den nuvarande risken är mycket mindre än det pris som skulle betalas i ökad" cybersäkerhetströtthet ", vilket leder till mycket större problem i framtiden." Vad han menar att säga här är att bugens natur gör att chansen att ditt lösenord läckte så astronomiskt lågt att det ändrar det kommer bara att leda till att du bär dig ner. När en verklig kris träffar kan du vara för utmattad av allt ljud, panik och hype som du kan ignorera ett samtal för att ändra ditt lösenord i ett avgörande ögonblick. Cloudbleed är inte det ögonblicket. Men om du verkligen känner behovet av att göra det, ändra ditt lösenord.

Annat än det, var bara vaksam och ignorera inte e-postmeddelanden från de tjänster du älskar. I det ögonblick som en kris träffar kommer de med största sannolikhet att skicka dig ett vänligt brev med allt du behöver veta om det och kanske till och med lägga fram förslag på vad du ska göra för att du inte påverkas.

Tror du att cybersäkerhetsutmattning finns som Steinberg föreslår? Ska folk vara i ett konstant tillstånd, även om det inte finns tillräckligt starka skäl för panik? Berätta vad du tycker i en kommentar!