首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
V2EX  ›  分享发现

微博传 cloudflare 泄露 https session,涉及 1password

  •  1
     
  •   wly19960911 · 2017-02-24 10:19:05 +08:00用 Android 发布 · 4257 次点击
    这是一个创建于 818 天前的主题,其中的信息可能已经有所发展或是发生改变。
    32 回复  |  直到 2017-02-26 22:04:24 +08:00
        1
    est   2017-02-24 10:47:11 +08:00   ♥ 2
    这他妈还要微博传。贵国田园码农真是。
        2
    ooxxcc   2017-02-24 10:48:45 +08:00
    smg , V2EX 上贴个微博链接里面是 twitter 截图
        3
    wly19960911   2017-02-24 10:57:25 +08:00 via Android
    @ooxxcc 我不会发图片,基本只看看,见谅了
    @est 新手见谅了,加上怕宣传上出了错误我也不好担责
        4
    Jaylee   2017-02-24 10:59:15 +08:00
    还好我的 1password 是用 iCloud 同步的
        5
    Showfom   2017-02-24 11:01:20 +08:00 via iPhone
    我用 dropbox 同步 没注册账号也没啥影响
        6
    goodbest   2017-02-24 11:18:21 +08:00
        8
    Laforet   2017-02-24 12:52:05 +08:00
    NH 上面的讨论,有大量详细分析和利益相关方的说明。

    https://news.ycombinator.com/item?id=13718752

    爬了半天得出的结论就是 OAuth2 是个坑爹货
        10
    Laforet   2017-02-24 14:48:09 +08:00   ♥ 1
    @est

    到现在还没什么讨论量也是醉了。

    我就提醒一件事,百度云加速用的就是 CF 那一套系统。按照公告中的说法这个 bug 已经存在一个月以上,那么百度云加速和 CDN 也很可能受影响。
        11
    est   2017-02-24 15:09:03 +08:00
    @Laforet 国人都是看热闹心态。


    cf 之前就觉得诡异。国外有个大佬怼另外一个大佬,每次都能把 cf 后的网站真实 ip 找到并且给 d 挂。。。。

    一直好奇怎么找到真实 ip 的。。
        12
    Antidictator   2017-02-24 15:23:33 +08:00 via Android
    @est 我是 v2 传。。
        13
    Laforet   2017-02-24 15:49:10 +08:00   ♥ 1
    @est

    我知道的有两种做法。一是撒网,用 TLS 证书或者 80 端口返回字段之类的特征扫描 IPv4 地址空间,找到源 IP 。比如 YC 虽然全站都走 CF 但是依然可以找到两个美国机房地址而且可以访问。

    https://censys.io/ipv4?q=443.https.tls.certificate.parsed.names%3A+*.ycombinator.com

    还有一种办法就是简单粗暴的直接 D 上去, CF 内部对免费和非企业级用户有一个洗流量的上限,攻击超过一定强度的话会强制回源。
        14
    smg   2017-02-24 16:33:48 +08:00
    @ooxxcc smg 现身
        15
    ooxxcc   2017-02-24 16:55:25 +08:00
    @smg …… smg
        16
    janxin   2017-02-24 18:03:55 +08:00
    @est 绕过 CDN 有好几种方法,这个如果没有具体案例也不好具体分析。甚至有些拿自己服务器发信的也会暴露 ip 。
        17
    R18   2017-02-24 18:13:56 +08:00 via Android
    @est 有专门的网站哦
        18
    R18   2017-02-24 18:15:04 +08:00 via Android
    @Laforet cf 提到的那几个功能,百度云加速都没有
        19
    Laforet   2017-02-24 18:27:28 +08:00
    @R18

    百度云在国外访问会走 CF 的 CDN 节点。

    而且这个功能和站长有没有启用防采集功能无关,是服务器 nginx 模块的问题,只要你的数据从 CF 的服务器中转过就有可能被分发出去。
        20
    loading   2017-02-24 18:28:31 +08:00
    1password 原理上就不怕。
        21
    jinkai402   2017-02-24 19:23:33 +08:00 via iPhone
    密码有规律的记在脑子里也未必是坏事,只要不是有人针对你(的规律),那么对于一般人而言安全是够的,简单高效。软件也很难说是完全可靠,一是后门病毒什么的,二是麻烦,所以也还是有人不信任它们的。不过总的说来 1password 还是很不错的。
        22
    cxbig   2017-02-24 19:58:25 +08:00
    从不用云端服务同步密码库。。。
        23
    est   2017-02-24 20:38:31 +08:00
    @Laforet 赞!
        24
    cst4you   2017-02-24 21:09:29 +08:00
    这明显在那啥之前给你造个势
        25
    SharkIng   2017-02-24 23:16:58 +08:00 via iPhone
    提醒下 digitalocean 网页登陆似乎用到了 CF 的服务
        27
    dynaguy   2017-02-25 04:58:44 +08:00
    笑尿了!

    发现漏洞的哥们儿将得到一件 T-shirt 作为奖励。 233333
    https://hackerone.com/cloudflare
        28
    ZE3kr   2017-02-25 07:03:33 +08:00 via iPhone
    Vultr 所有页面都用了 CF 。所以今天还收到邮件要求改密码
        29
    hebeiround   2017-02-25 11:00:31 +08:00 via iPhone
    看来有必要把信用卡信息从 1P 上撤下来了。即使是 3 重防盗也不不能全部压宝在上面。还是贴在我电脑旁边的小纸条上吧。
        30
    crayygy   2017-02-25 11:38:30 +08:00
    @hebeiround #29 根据 1p 的原理介绍来看也不用很担心,即使别人拿到了你的密码库也还是需要你的密码才能得到数据的,不然怎么放心的同步在 Dropbox iCloud 等第三方上
        31
    VmuTargh   2017-02-26 21:58:18 +08:00
    @est 随便找个理由比如这个站的 WHMCS 是盗版,客服一下子就给你 IP 了
        32
    est   2017-02-26 22:04:24 +08:00
    @VmuTargh 。。。。 你们都是大神。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3929 人在线   最高记录 5043   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 20ms · UTC 07:03 · PVG 15:03 · LAX 00:03 · JFK 03:03
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1