Abo
  • Services:

Ein T-Shirt als Bug Bounty

Lesenswert ist die Beschreibung des Vorfalls von Tavis Ormandy im Bugtracker von Googles Project Zero. Während Ormandy zunächst überwiegend positiv über die Reaktionen von Cloudflare berichtet, kommt nach und nach immer mehr Kritik hinzu. So wunderte Ormandy sich, dass Cloudflare ihm eine Liste von HTTPS-Requests schickte, die teilweise sensible Daten enthielt.

Stellenmarkt
  1. MOBIL ELEKTRONIK GMBH, Langenbrettach
  2. DMG MORI AKTIENGESELLSCHAFT, Bielefeld

Auch machte sich Ormandy darüber lustig, dass Cloudflare zwar über Hacker One ein Bug-Bounty-Programm betreibt, allerdings bekommen Personen, die eine Sicherheitslücke bei Cloudflare finden, maximal ein T-Shirt.

Was den Bug besonders dramatisch macht: Es ist unklar, wo die geleakten Daten überall verteilt sind. Zwar konnte Cloudflare den eigentlichen Bug schnell beheben, aber in den Caches von Suchmaschinen finden sich unzählige Kopien von betroffenen Webseiten. Ormandy war bemüht, die entsprechenden Daten aus den Caches von Google zu entfernen, Cloudflare informierte auch andere Suchmaschinenbetreiber. Doch auch nach der Veröffentlichung des Bugs fanden viele Leute noch Kopien von Daten in Googles Cache.

Sensible Daten können an unzähligen Stellen gespeichert sein

Wo überall die Daten noch liegen könnten, ist nicht überschaubar. Browser cachen standardmäßig Webseiten, daher dürften sich die Daten auch auf unzähligen privaten Festplatten befinden. Und natürlich gibt es zahlreiche Dienste im Netz, die auf die ein oder andere Art Daten von Webseiten herunterladen und in irgendeiner Weise speichern - RSS-Reader, Übersetzungstools, Webseitenarchive.

Befeuern dürfte der Vorfall die Diskussion um die generellen Schwächen der Programmiersprache C. Die Speicherverwaltung in C führt dazu, dass selbst relativ simple Bugs sehr schnell zu fatalen Folgen führen. Programmiersprachen wie Rust oder Go, die eine sicherere Speicherverwaltung haben, vermeiden die meisten solcher Bugs.

 Speicherleck: Cloudflare verteilt private Daten übers Internet
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. Für 150€ kaufen und 75€ sparen
  2. (heute u. a. Aerocool P7-C1 Pro 99,90€, Asus ROG-Notebook 949,00€, Logitech G903 Maus 104,90€)

die Schwarte Katze 25. Okt 2017

ich wollte eigentlich den antworten: https://forum.golem.de/kommentare/security...

die Schwarte Katze 25. Okt 2017

Hi ich finde das interessant da ich bei allen cloudflare Seiten das Bekomme: https://www...

torrbox 24. Feb 2017

Du hast gerade die neue Abmahnfalle gefunden. ;)

Mithrandir 24. Feb 2017

Cloudflare verschick momentan Emails im Namen von Matthew Prince (mit seiner Email...

Proctrap 24. Feb 2017

siehe anderer thread, per state machine erzeugten code genommen und absichtlich geändert...


Folgen Sie uns
       


Fazit zu Shadow of the Tomb Raider

Wir tauchen mit Lara in der Apokalypse ab und verfassen unser Fazit.

Fazit zu Shadow of the Tomb Raider Video aufrufen
Augmented Reality: Das AR-Fabrikgelände aus dem Smartphone
Augmented Reality
Das AR-Fabrikgelände aus dem Smartphone

Derzeit ist viel von einer Augmented Reality Cloud die Rede. Golem.de hat mit dem Berliner Startup Visualix über den Stand der Technik und künftige Projekte für Unternehmenskunden gesprochen - und darüber, was die Neuerungen für Pokémon Go bedeuten könnten.
Ein Interview von Achim Fehrenbach

  1. Jarvish Motorradhelm bringt Alexa in den Kopf
  2. Patentantrag Apple plant Augmented-Reality in der Windschutzscheibe
  3. Magic Leap Lumin OS Erste Bilder des Betriebssystems für Augmented Reality

Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Neues Produkt USB-C-Ladekabel für die Apple Watch vorgestellt
  2. Skydio R1 Apple Watch zur Drohnensteuerung verwendet
  3. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

    •  /