alizar Feb 24 2017 at 11:55

CDN-провайдер Cloudflare внедрял содержимое памяти своего сервера в код произвольных веб-страниц

4 min

23K

Information Security*Website development*Web services testing*

+33

Comments 43

crezd Feb 24 2017 at 12:25

GitLab, Cloudflare, кто следующий?

nazarpc Feb 24 2017 at 12:40

Да кто угодно, от человеческого фактора нет 100% защиты

Pr0Ger Feb 24 2017 at 13:19

> исключения на стороне сервера
> Server Side Excludes

> автоматическую перезапись HTTPS
> Automatic HTTPS Rewrites is a feature that safely rewrites links to unencrypted resources from HTTP to HTTPS

Не, я конечно все понимаю что некоторые вещи сложно переводить, но зачем переводить так что вообще смысл полностью утерян?

YourChief Feb 24 2017 at 14:03

поскольку SSL-соединения всегда уничтожаются на изолированной машине с Nginx

оканчиваются

rPman Feb 24 2017 at 20:01

кстати, как в трафике оказались такие данные как данные пользовательских карт, если они в нормальной ситуации передаются по SSL соединению а оно завершается у пользователя?

YourChief Feb 24 2017 at 21:46

SSL-соединение как раз устанавливается между cloudflare и пользователем, иначе этот сервис не мог бы сделать ничего полезного при работе через HTTPS

UFO just landed and posted this here

Slihs Feb 24 2017 at 18:03

В оригинальной статье от CloudFlare написано что в т.ч. были утечки ключей внутренних соединений между CF серверами, но не ключи пользователей.

One obvious piece of information that had leaked was a private key used to secure connections between Cloudflare machines.

ChALkeRx Feb 24 2017 at 13:50

Среди клиентов Cloudflare — такие клиенты как Uber, OK Cupid и Fitbit

Ну вы и сказали, конечно.

Вот так будет более значимо (ссылка):

CloudFlare essentially controls 11% of the 10k biggest websites, over 8% of the 100k biggest websites, and almost 5% of sites on the entire web

ik62 Feb 24 2017 at 14:07

Так бага в Ragel или в коде который ему скормили?

Wapweb Feb 24 2017 at 16:00

в коде который ему скормили

UFO just landed and posted this here

nikitasius Feb 24 2017 at 16:40

Нельзя_так_просто_взять_и_пропатчить_Ализара.jpg

Eще год не прошел, как Ализара патчили последний раз.

encyclopedist Feb 24 2017 at 17:32

Нет, речь идёт о минимизации корпуса для фаззинг-тестирования хрома.

Из описания бага:

Corpus distillation is a procedure we use to optimize the fuzzing we do by analyzing publicly available datasets. We've spoken a bit about this publicly in the past, for example:

https://security.googleblog.com/2011/08/fuzzing-at-scale.html
http://taviso.decsystem.org/making_software_dumber.pdf#page=11

UFO just landed and posted this here

encyclopedist Feb 24 2017 at 17:42

Корпус в фаззинге — набор образцов входных данных (на основе которых затем производятся мутации). Для эффективного фаззинга корпус должен покрывать максимальное количество путей в графе потока управления программы, но при этом быть минимального размера.

UFO just landed and posted this here

encyclopedist Feb 24 2017 at 18:30

Как минимум в документации к AFL-FUZZ такая терминология используется. А как ещё назвать набор образцов входных данных?

UFO just landed and posted this here

encyclopedist Feb 24 2017 at 18:51

Тогда советую ознакомиться с AFL и libfuzzer

lamo4ok Feb 26 2017 at 21:39

Слушайте, вы английский учили в МГИМО, что ли? Смотрим, что нам предлагает тот же Google Translate:

имя существительное
свод
vault, arch, vaulting, dome, corpus, arc
тело
body, flesh, solid, frame, figure, corpus
собрание
meeting, assembly, collection, congregation, convention, convocation
кодекс
code, codex, corpus, lawbook
туловище
trunk, torso, body, corpus
основной капитал
fixed capital, capital stock, basic stock, stock, corpus, principal sum

Неужели нельзя на основании этого набора значений выдать какое-то удобоваримое и понятное русскому уху?

-1

encyclopedist Feb 27 2017 at 01:08

Я не знаю, где вы учили русский язык, но в нём слово "корпус" в нужном значении есть:

КОРПУС, -а; м. [от лат. corpus — тело]

мн.: корпусы, -ов. Совокупность множества каких-л. однородных предметов, образующих целое; массив. Основной к. поэтических текстов.

Большой толковый словарь русского языка.
Гл. ред. С. А. Кузнецов.
Первое издание: СПб.: Норинт, 1998.
Публикуется в авторской редакции 2014 года.

-1

lamo4ok Feb 27 2017 at 01:17

Вы продолжаете издеваться? Я серьезно спрашиваю, где учат английскому так, что слова нужно переводить без контекста и учета их иных значений, под копирку, если вдруг в русском языке есть слово, совпадающее по звучанию/написанию? Возьмите англо-русский словарь ложных друзей переводчика и никогда не пишете больше этой чуши.

И да, слово corpus там тоже есть, как и еще тысяча других, совпадающих по написанию/звучанию с русскими словами, но различающихся по смыслу иногда диаметрально, а иногда просто обладая еще десятком значений. Ну и не путайте латынь и современный английский конечно же.

-2

encyclopedist Feb 27 2017 at 01:22

Ещё раз вам объясняю: в исходном английском посте слово "corpus" используется в значении "набор текстов". В русском языке у слова "корпус" тоже есть такое значение, поэтому я не вижу смысла как-то его переводить.

encyclopedist Feb 27 2017 at 01:42

Ну и кроме того, в лингвистике и областях CS, связанных с обработкой текстов, слово "корпус" в таком значении является научным термином, и попытка его перевода была бы просто грубой ошибкой.

Пример: Национальный корпус русского языка

Вам на будущее урок: прежде чем учить кого-то как правильно переводить, ознакомиться с терминологией, принятой в этой области.

lamo4ok Feb 27 2017 at 01:54

Принято, приношу извинения. Но тем не менее, на мой взгляд, переводили это какие-то надмозги, любящие англиканизмы. Я не сторонник рассупоневшегося солнышка, но тем не менее. Но возразить и правда нечего, раз корпус это и в русском термин, значит корпус. Правда, стоило тогда бы делать сноски таких терминов.

encyclopedist Feb 27 2017 at 01:58

Ну это уж к автору перевода, а не ко мне. Я то как раз пытался объяснить, что это значит.

lamo4ok Feb 27 2017 at 02:00

Это понятно, но кто-то прочитает же — мы не в инбоксе ;)

nikitasius Feb 24 2017 at 16:37

Так баги были в паре фишек:

We quickly identified the problem and turned off three minor Cloudflare features (email obfuscation, Server-side Excludes and Automatic HTTPS Rewrites) that were all using the same HTML parser chain that was causing the leakage. At that point it was no longer possible for memory to be returned in an HTTP response.

Далее там не каждый ответ с кодом, а 1 на 3 ляма с копейками. Пофиксили — отлично.

ChALkeRx Feb 24 2017 at 19:48

Вы недооцениваете масштабы проблемы.

Вкратце: любые приватные данные, передаваемые через cloudflare (например, залогиненным пользователям), могли утечь другим людям, а так же остаться в любом кэше (гугла, интернет архива, других поисковиков). И да, они там действительно были найдены. И сейчас нет никакой возможности отследить, какие данные утекли. И я далеко не уверен, что кто-то не нашёл это раньше и не собирал это всё втихую.

И нет, пострадали не только те сайты, которые использовали «three minor Cloudflare features», пострадали остальные, а в те встраивалось содержимое других сайтов.

Это полная задница, если честно.

ChALkeRx Feb 24 2017 at 19:50

Но, собственно, я не особо сильно удивлён этим событием.

Сначала доверить свои данные глобальному MitM а потом удивляться, что он, внезапно, кривой и отдаёт ваши данные не только тем, кому положено, но и тем, кому не положено.

Сколько раз уже похожее было в других технологиях.

A member of the audience has contributed a patch, for the diagram in my #CloudFlare article at https://t.co/ZW9eb3UJbf pic.twitter.com/Qt4C2nT7EY
— Sven Slootweg (@joepie91) February 24, 2017

ChALkeRx Feb 24 2017 at 20:06

Ещё раз, для непонявших: ваши пароли от digitalocean, coinbase, patreon, news.ycombinator.com, medium, uber, zendesk, 10% других популярных сайтов и 5% остальных интернетов могли оказаться где угодно в публичных данных.

ZeroZeroZero Feb 25 2017 at 05:47

Да прекратите уже это повторять, итак с первого раза тошно стало.

ChALkeRx Feb 25 2017 at 13:46

Имхо лучше было повторить ещё раз сжато, потому что явно не все понимают, что произошло (см. комментарий от nikitasius чуть выше моего, например), а Cloudflare в своём посте несколько приуменьшили масштабы проблемы (см. цитату из того комментария, например).

Я не думаю, что на данный момент от ещё одного повторения станет тошно достаточному количеству человек, чтобы оправдать отсутствие оповещения тех, кто не понял ещё =).

Точнее (зануда-моуд): я думаю, что пока что польза от того, что так больше человек поймут что случилось и примут соответствующие меры для защиты своих личных данных или сервисов, которыми они управляют, больше, чем вред от того, что другим людям станет тошно от того, что они ещё раз видят повторение описания ситуации.

nikitasius Feb 25 2017 at 14:13

Я не понял, согласится или опровергнуть)

Добавлю лишь от себя, что я нашел свои домены и домены клиентов в списках доменов которые припаркованы на cloudflare и возможно постралали. Но там Cloudflare просто нечего leak, так как как минимум это просто DNS хостинг (уже не nginx, а их ДНС сервера), а как максимум проксирование статики, которая и в африке статика.

Кукисы все идут на домен, где проскирование выключено и используется локальный кеш nginx для динамики.

Следом пароли к аккаунтам: у CF вебморда и кеш-ноды на разных серверах, следовательно (=логично), что пароли в админку CF не были сворованы.

Если я не прав, прошу меня поправить. Так что проблема сильно преувеличена и реально актуальна только для тех, что проксирует весь траффик через CF или использует .example.com куки на поддомены и не контролирует сессии.

Она серьезна, но не для всех.

Haarolean Feb 24 2017 at 19:57

И за такой баг можно получить всего лишь футболочку согласно bug bounty program. Мотивирует :)

Mitch Feb 24 2017 at 21:41

Кстати а есть ли юзер френдли сервис куда можно забить список доменов и получить ответ использует ли он cloudflare?
Чтоб пользователям было удобно выяснять от каких сервисов пароли менять.