インターネット
 Computer >> コンピューター >  >> ネットワーキング >> インターネット

CloudbleedLeaksがオンラインセキュリティについて教えてくれること

CloudbleedLeaksがオンラインセキュリティについて教えてくれること

驚異的な量のWebサイトは、リバースプロキシと、Cloudflare(Redditなど)などのDDoS緩和サービスを使用して、大規模な災害からWebサイトを保護し、常に点灯し続けています。これらのサービスは、多くの場合、セキュリティとパフォーマンスの向上を提供するプロバイダーとして売り出されています。

しかし、これとは正反対に、2017年2月17日、Cloudflareのソフトウェアの大きなバグにより、何百万ものWebサイトからの大量のプライベートデータにいつでもアクセスできるようになりました。このデータの一部は、Googleの検索結果に表示されたウェブサイトのキャッシュされたコピーにも表示されていました。 Cloudbleedとして知られるようになったこの特定のイベントは、テクノロジーの安全な使用について議論する貴重な機会を提供しました。

これは何ですか?!

初心者にとって、Cloudflareはあなたのウェブサイトとより広いインターネットの間の仲介者として機能するサービスです。あなたがサービスを使用するサイトに行くとき、あなたは実際にそのサイトに接続してあなたにその出力を中継するCloudflareに接続しています。頻繁にアクセスするページの一部をキャッシュするため、誰かが接続するたびにサイトが応答する必要がなくなり、大量のトラフィックがローカルサーバーに与える影響を軽減できます。これは、分散型サービス拒否(DDoS)攻撃がサイトに与える影響を軽減するのにも役立ちます。これは、これらの攻撃の矢面に立たされる仲介者がいて、正当な訪問者を通過させ、ボットを阻止する一種の信号機として機能するためです。 。 Cloudflareやその他のリバースプロキシサービス(IncapsulaやAkamaiなど)は、多くの場合、Webサイトのセキュリティの提供者として売り出されます。

Cloudbleedとは何ですか?

CloudbleedLeaksがオンラインセキュリティについて教えてくれること

Cloudbleedは、主要なウェブサイトからのプライベートメッセージ、オンラインパスワードマネージャーデータ、および他のいくつかのサーバーからの完全なHTTPSリクエストを発見した、GoogleのProjectZeroチームのメンバーによってCloudflareのソフトウェアでバグが発見されたイベントです。接続要求に対するCloudflareの応答は、割り当てられたバッファスペースを超過し、その時点でWebサイトにアクセスしている他の顧客からのデータを提示することがよくありました。すべてを公開せずに、サービスに依存するWebサイトを使用または所有しているすべての人に壊滅的なセキュリティリスクをもたらします。

バグは2月末にパッチが適用されましたが、サービスは、2016年9月22日に新しいHTMLパーサーが導入されたのと同じくらい早くデータ漏洩が発生した可能性があることを認めています。

学んだ教訓

CloudbleedLeaksがオンラインセキュリティについて教えてくれること

私たちのストーリーをしばらく読んでいると、2014年にHeartbleedと呼ばれる非常によく似たイベントを覚えているかもしれません。このイベントでは、OpenSSLを使用するWebサイトが、プライベートデータのフラグメントをスヌーピングパーティに公開する可能性のあるエクスプロイトに対して脆弱でした。これは、最近のCloudbleed kerfuffleと合わせて、1つの貴重な教訓を教えてくれます。100%信頼できるものはなく、あなたを保護するという明確な目的を持つサービスでさえありません。

これはCloudflareを打ち負かすことを意図したものではありません。バグはどのサービスでも発生した可能性があります。ここでのポイントは、インターネットは、保証されたレベルの安全性を期待すべき場所ではないということです。あなたは自分自身を守るために可能な限りのことをすることができますが、それでもあなたがコントロールできない状況によってオープンに取り残される可能性があります。

どうすればいいですか?

真実は、Inc.ComのJoseph Steinbergが書いているように、「現在のリスクは、「サイバーセキュリティの疲労」の増加で支払われる価格よりもはるかに小さく、将来、はるかに大きな問題につながる」ということです。彼がここで言うことは、バグの性質上、パスワードが非常に低く漏洩する可能性があり、パスワードを変更しても、あなたを疲れさせるだけの効果があるということです。実際の危機が発生すると、すべてのノイズ、パニック、誇大広告に疲れ果てて、重大な瞬間にパスワードを変更するための呼び出しを無視する可能性があります。 Cloudbleedはその瞬間ではありません。ただし、どうしても必要だと感じた場合は、パスワードを変更してください。

それ以外は、警戒を怠らず、お気に入りのサービスからのメールを無視しないでください。危機が発生した瞬間に、彼らはあなたがそれについて知る必要があるすべてを含む友好的な手紙をあなたに送るでしょう、そしてあなたが影響を受けないことを確実にするためにあなたが何をすべきかについての提案さえ提供するかもしれません。

Steinbergが示唆しているように、サイバーセキュリティの疲労は存在すると思いますか?パニックを正当化する十分な理由がない場合でも、人々は常に警戒状態にあるべきですか?コメントであなたの考えを教えてください!


  1. アニメをオンラインで見るのに最適なウェブサイトの5つ

    日本以外でのアニメの人気は今日非常に重要であり、世界中の視聴者のニーズに応える多くのウェブサイトがあります。特に、サブ形式と吹き替え形式の両方でのサイマルキャストリリースの需要があります。 お気に入りのシリーズに追いつくために、アニメのウェブサイトやストリーミングサービスのこの便利なリストをチェックしてください。 1。 GoGoAnime(無料) 無料のアニメウェブサイトの多くは、あなたが望むよりも多くの広告やポップアップを出します。言及するのに良い名前はほとんどありません。幸い、GoGoAnimeは、読み込み時間が速く、中断が最小限であるため、失望することはありません。ただし、携帯電話や

  2. オンラインセキュリティに最適なブラウザ

    オンラインセキュリティは、誰もが本当に気にかけていることです。ほとんどのブラウザはセキュリティ機能の点で大きな主張をしていますが、すべての輝くものが金であるわけではありません。はい、Chrome、Firefox、Safariなどの最も人気のあるブラウザの設定を確実に微調整できますが、それでも、手の届かないところにある多くのコントロールがあります。これらのブラウザの多くは、Webサイトのデータ収集にふけっています。もちろん、ほとんどの点で安全です。ただし、100%の保証を提供することはできません。 そして、あなたのプライバシーを無傷に保つという概念で作成されたいくつかの「特殊な」ブラウザがあり