Abo
  • Services:

Ein T-Shirt als Bug Bounty

Lesenswert ist die Beschreibung des Vorfalls von Tavis Ormandy im Bugtracker von Googles Project Zero. Während Ormandy zunächst überwiegend positiv über die Reaktionen von Cloudflare berichtet, kommt nach und nach immer mehr Kritik hinzu. So wunderte Ormandy sich, dass Cloudflare ihm eine Liste von HTTPS-Requests schickte, die teilweise sensible Daten enthielt.

Stellenmarkt
  1. DAN Produkte Pflegedokumentation GmbH, Siegen
  2. über duerenhoff GmbH, Raum Pirmasens

Auch machte sich Ormandy darüber lustig, dass Cloudflare zwar über Hacker One ein Bug-Bounty-Programm betreibt, allerdings bekommen Personen, die eine Sicherheitslücke bei Cloudflare finden, maximal ein T-Shirt.

Was den Bug besonders dramatisch macht: Es ist unklar, wo die geleakten Daten überall verteilt sind. Zwar konnte Cloudflare den eigentlichen Bug schnell beheben, aber in den Caches von Suchmaschinen finden sich unzählige Kopien von betroffenen Webseiten. Ormandy war bemüht, die entsprechenden Daten aus den Caches von Google zu entfernen, Cloudflare informierte auch andere Suchmaschinenbetreiber. Doch auch nach der Veröffentlichung des Bugs fanden viele Leute noch Kopien von Daten in Googles Cache.

Sensible Daten können an unzähligen Stellen gespeichert sein

Wo überall die Daten noch liegen könnten, ist nicht überschaubar. Browser cachen standardmäßig Webseiten, daher dürften sich die Daten auch auf unzähligen privaten Festplatten befinden. Und natürlich gibt es zahlreiche Dienste im Netz, die auf die ein oder andere Art Daten von Webseiten herunterladen und in irgendeiner Weise speichern - RSS-Reader, Übersetzungstools, Webseitenarchive.

Befeuern dürfte der Vorfall die Diskussion um die generellen Schwächen der Programmiersprache C. Die Speicherverwaltung in C führt dazu, dass selbst relativ simple Bugs sehr schnell zu fatalen Folgen führen. Programmiersprachen wie Rust oder Go, die eine sicherere Speicherverwaltung haben, vermeiden die meisten solcher Bugs.

 Speicherleck: Cloudflare verteilt private Daten übers Internet
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 164,90€

die Schwarte Katze 25. Okt 2017

ich wollte eigentlich den antworten: https://forum.golem.de/kommentare/security...

die Schwarte Katze 25. Okt 2017

Hi ich finde das interessant da ich bei allen cloudflare Seiten das Bekomme: https://www...

torrbox 24. Feb 2017

Du hast gerade die neue Abmahnfalle gefunden. ;)

Mithrandir 24. Feb 2017

Cloudflare verschick momentan Emails im Namen von Matthew Prince (mit seiner Email...

Proctrap 24. Feb 2017

siehe anderer thread, per state machine erzeugten code genommen und absichtlich geändert...


Folgen Sie uns
       


Samsung Flip - Test

Das Samsung Flip ist ein Smartboard, das auf eingängige Weise Präsentationen oder Meetings im Konferenzraum ermöglicht. Auf dem 55 Zoll großen Bildschirm lässt es sich schreiben oder zeichnen - doch erst, wenn wir ein externes Gerät daran anschließen, entfaltet es sein komplettes Potenzial.

Samsung Flip - Test Video aufrufen
Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Esa Sonnensystemforschung ohne Plutonium
  2. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  3. Mission Horizons @Astro_Alex fliegt wieder

Garmin Fenix 5 Plus im Test: Mit Musik ins unbekannte Land
Garmin Fenix 5 Plus im Test
Mit Musik ins unbekannte Land

Kopfhörer ins Ohr und ab zum Joggen, Rad fahren oder zum nächsten Supermarkt spazieren - ohne Smartphone: Mit der Sport-Smartwatch Fenix 5 Plus von Garmin geht das. Beim Test haben wir uns zwar im Wegfindungsmodus verlaufen, sind von den sonstigen Navigationsoptionen aber begeistert.
Ein Test von Peter Steinlechner

  1. Garmin im Hands on Alle Fenix 5 Plus bieten Musik und Offlinenavigation

Razer Huntsman im Test: Rattern mit Infrarot
Razer Huntsman im Test
Rattern mit Infrarot

Razers neue Gaming-Tastatur heißt Huntsman, eine klare Andeutung, für welchen Einsatzzweck sie sich eignen soll. Die neuen optomechanischen Switches reagieren schnell und leichtgängig - der Geräuschpegel dürfte für viele Nutzer aber gewöhnungsbedürftig sein.
Ein Test von Tobias Költzsch

  1. Huntsman Razer präsentiert Tastatur mit opto-mechanischen Switches
  2. Razer Abyssus Essential Symmetrische Gaming-Maus für Einsteiger
  3. Razer Nommo Chroma im Test Blinkt viel, klingt weniger

    •  /