Abo
  • Services:
Anzeige
Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt.
Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt. (Bild: Cloudflare)

Ein T-Shirt als Bug Bounty

Lesenswert ist die Beschreibung des Vorfalls von Tavis Ormandy im Bugtracker von Googles Project Zero. Während Ormandy zunächst überwiegend positiv über die Reaktionen von Cloudflare berichtet, kommt nach und nach immer mehr Kritik hinzu. So wunderte Ormandy sich, dass Cloudflare ihm eine Liste von HTTPS-Requests schickte, die teilweise sensible Daten enthielt.

Anzeige

Auch machte sich Ormandy darüber lustig, dass Cloudflare zwar über Hacker One ein Bug-Bounty-Programm betreibt, allerdings bekommen Personen, die eine Sicherheitslücke bei Cloudflare finden, maximal ein T-Shirt.

Was den Bug besonders dramatisch macht: Es ist unklar, wo die geleakten Daten überall verteilt sind. Zwar konnte Cloudflare den eigentlichen Bug schnell beheben, aber in den Caches von Suchmaschinen finden sich unzählige Kopien von betroffenen Webseiten. Ormandy war bemüht, die entsprechenden Daten aus den Caches von Google zu entfernen, Cloudflare informierte auch andere Suchmaschinenbetreiber. Doch auch nach der Veröffentlichung des Bugs fanden viele Leute noch Kopien von Daten in Googles Cache.

Sensible Daten können an unzähligen Stellen gespeichert sein

Wo überall die Daten noch liegen könnten, ist nicht überschaubar. Browser cachen standardmäßig Webseiten, daher dürften sich die Daten auch auf unzähligen privaten Festplatten befinden. Und natürlich gibt es zahlreiche Dienste im Netz, die auf die ein oder andere Art Daten von Webseiten herunterladen und in irgendeiner Weise speichern - RSS-Reader, Übersetzungstools, Webseitenarchive.

Befeuern dürfte der Vorfall die Diskussion um die generellen Schwächen der Programmiersprache C. Die Speicherverwaltung in C führt dazu, dass selbst relativ simple Bugs sehr schnell zu fatalen Folgen führen. Programmiersprachen wie Rust oder Go, die eine sicherere Speicherverwaltung haben, vermeiden die meisten solcher Bugs.

 Speicherleck: Cloudflare verteilt private Daten übers Internet

eye home zur Startseite
rugel 24. Feb 2017

Zwischen dDoS auf UDP / TCP Ebene mag keiner was einzuwenden haben. Was Cloudfare (und...

torrbox 24. Feb 2017

Du hast gerade die neue Abmahnfalle gefunden. ;)

Mithrandir 24. Feb 2017

Cloudflare verschick momentan Emails im Namen von Matthew Prince (mit seiner Email...

Proctrap 24. Feb 2017

siehe anderer thread, per state machine erzeugten code genommen und absichtlich geändert...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt
  2. BG-Phoenics GmbH, Hannover
  3. SARSTEDT AG & Co., Nümbrecht-Rommelsdorf
  4. über Mentis International Human Resources GmbH, Nordbayern


Anzeige
Top-Angebote
  1. (u. a. Laptops, Werkzeuge, Outdoor-Spielzeug, Grills usw.)
  2. (u. a. Bose Soundlink Mini Bluetooth Speaker II 149,90€, Bose SOUNDSPORT PULSE WIRELESS 174,90€)

Folgen Sie uns
       


  1. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  2. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  3. Rockstar Games

    Waffenschiebereien in GTA 5

  4. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  5. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz

  6. GVFS

    Windows-Team nutzt fast vollständig Git

  7. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  8. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  9. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  10. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  2. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2
  3. UP2718Q Dell verkauft HDR10-Monitor ab Mai 2017

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

  1. Re: Unix, das Betriebssystem von Entwicklern, für...

    Nebucatnetzer | 00:44

  2. Re: Ubisoft Trailer...

    marcelpape | 00:41

  3. Re: Das Auto steht eigentlich doch eh nur rum...

    Vollbluthonk | 00:40

  4. Re: Es ist übrigens das erste Far Cry, das in den...

    quineloe | 00:39

  5. Re: Was habe ich von Netzneutralität als Kunde?

    tsp | 00:37


  1. 17:40

  2. 16:40

  3. 16:29

  4. 16:27

  5. 15:15

  6. 13:35

  7. 13:17

  8. 13:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel