Abo
  • Services:
Anzeige
Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt.
Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt. (Bild: Cloudflare)

Ein T-Shirt als Bug Bounty

Lesenswert ist die Beschreibung des Vorfalls von Tavis Ormandy im Bugtracker von Googles Project Zero. Während Ormandy zunächst überwiegend positiv über die Reaktionen von Cloudflare berichtet, kommt nach und nach immer mehr Kritik hinzu. So wunderte Ormandy sich, dass Cloudflare ihm eine Liste von HTTPS-Requests schickte, die teilweise sensible Daten enthielt.

Anzeige

Auch machte sich Ormandy darüber lustig, dass Cloudflare zwar über Hacker One ein Bug-Bounty-Programm betreibt, allerdings bekommen Personen, die eine Sicherheitslücke bei Cloudflare finden, maximal ein T-Shirt.

Was den Bug besonders dramatisch macht: Es ist unklar, wo die geleakten Daten überall verteilt sind. Zwar konnte Cloudflare den eigentlichen Bug schnell beheben, aber in den Caches von Suchmaschinen finden sich unzählige Kopien von betroffenen Webseiten. Ormandy war bemüht, die entsprechenden Daten aus den Caches von Google zu entfernen, Cloudflare informierte auch andere Suchmaschinenbetreiber. Doch auch nach der Veröffentlichung des Bugs fanden viele Leute noch Kopien von Daten in Googles Cache.

Sensible Daten können an unzähligen Stellen gespeichert sein

Wo überall die Daten noch liegen könnten, ist nicht überschaubar. Browser cachen standardmäßig Webseiten, daher dürften sich die Daten auch auf unzähligen privaten Festplatten befinden. Und natürlich gibt es zahlreiche Dienste im Netz, die auf die ein oder andere Art Daten von Webseiten herunterladen und in irgendeiner Weise speichern - RSS-Reader, Übersetzungstools, Webseitenarchive.

Befeuern dürfte der Vorfall die Diskussion um die generellen Schwächen der Programmiersprache C. Die Speicherverwaltung in C führt dazu, dass selbst relativ simple Bugs sehr schnell zu fatalen Folgen führen. Programmiersprachen wie Rust oder Go, die eine sicherere Speicherverwaltung haben, vermeiden die meisten solcher Bugs.

 Speicherleck: Cloudflare verteilt private Daten übers Internet

eye home zur Startseite
die Schwarte Katze 25. Okt 2017

ich wollte eigentlich den antworten: https://forum.golem.de/kommentare/security...

die Schwarte Katze 25. Okt 2017

Hi ich finde das interessant da ich bei allen cloudflare Seiten das Bekomme: https://www...

torrbox 24. Feb 2017

Du hast gerade die neue Abmahnfalle gefunden. ;)

Mithrandir 24. Feb 2017

Cloudflare verschick momentan Emails im Namen von Matthew Prince (mit seiner Email...

Proctrap 24. Feb 2017

siehe anderer thread, per state machine erzeugten code genommen und absichtlich geändert...



Anzeige

Stellenmarkt
  1. medavis GmbH, Karlsruhe
  2. über Personalstrategie GmbH, München
  3. Arnold & Richter Cine Technik GmbH & Co. Betriebs KG, München
  4. diconium digital solutions GmbH, Stuttgart


Anzeige
Top-Angebote
  1. (u. a. Wolfenstein II: The New Colossus PC 29,97€, Call of Duty: WWII PC 36,97€, FIFA 18 PC 34...

Folgen Sie uns
       


  1. JoltandBleed

    Oracle veröffentlicht Notfallpatch für Universitäts-Software

  2. Medion Akoya P56000

    Aldi-PC mit Ryzen 5 und RX 560D kostet 600 Euro

  3. The Update Aquatic

    Minecraft bekommt Klötzchendelfine

  4. Elektroauto

    Fährt der E-Golf auch bei Gewitter?

  5. Prozessoren

    Neues Werk dürfte Coffee-Lake-Verfügbarkeit verbessern

  6. Apple

    Hinweise deuten auf einen A10-ARM-SoC im neuen iMac Pro

  7. Sega

    Valkyria Chronicles 4 setzt erneut auf Kitsch im Krieg

  8. Drohnenhersteller

    DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github

  9. Förderung

    Bayern bezahlt Schließung von Mobilfunklücken

  10. Indiegames-Rundschau

    Von Weltraumpiraten und dem Wunderdoktor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

Orbital Sciences: Vom Aufstieg und Niedergang eines Raketenbauers
Orbital Sciences
Vom Aufstieg und Niedergang eines Raketenbauers
  1. Astronomie Erster interstellarer Komet entdeckt
  2. Jaxa Japanische Forscher finden riesige Höhle im Mond
  3. Nasa und Roskosmos Gemeinsam stolpern sie zum Mond

Ideenzug: Der Nahverkehr soll cool werden
Ideenzug
Der Nahverkehr soll cool werden
  1. 3D-Printing Neues Druckverfahren sorgt für bruchfesteren Stahl
  2. Autonomes Fahren Bahn startet selbstfahrende Buslinie in Bayern
  3. Mobilitätsprojekt Ioki Bahn macht Sammeltaxi zum autonomen On-Demand-Shuttle

  1. Re: Amazone TV mit HDR und wo bleibt der Ton?

    ArcherV | 13:11

  2. Re: Stromverbrauch Radio

    Sharra | 13:10

  3. Re: Als aktuellen Spiele-PC ungeeignet.

    ms (Golem.de) | 13:10

  4. Re: Eigentlich müsste es hier wenigsten mal ein...

    RipClaw | 13:08

  5. Re: echt jetzt???

    Sharra | 13:08


  1. 12:50

  2. 12:35

  3. 12:20

  4. 12:07

  5. 11:22

  6. 11:07

  7. 10:50

  8. 10:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel