Abo
  • Services:
Anzeige
Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt.
Cloudflare hat zwar ein Bug-Bounty-Programm, für Entdecker von Sicherheitslücken gibt's jedoch nur ein T-Shirt. (Bild: Cloudflare)

Ein T-Shirt als Bug Bounty

Lesenswert ist die Beschreibung des Vorfalls von Tavis Ormandy im Bugtracker von Googles Project Zero. Während Ormandy zunächst überwiegend positiv über die Reaktionen von Cloudflare berichtet, kommt nach und nach immer mehr Kritik hinzu. So wunderte Ormandy sich, dass Cloudflare ihm eine Liste von HTTPS-Requests schickte, die teilweise sensible Daten enthielt.

Anzeige

Auch machte sich Ormandy darüber lustig, dass Cloudflare zwar über Hacker One ein Bug-Bounty-Programm betreibt, allerdings bekommen Personen, die eine Sicherheitslücke bei Cloudflare finden, maximal ein T-Shirt.

Was den Bug besonders dramatisch macht: Es ist unklar, wo die geleakten Daten überall verteilt sind. Zwar konnte Cloudflare den eigentlichen Bug schnell beheben, aber in den Caches von Suchmaschinen finden sich unzählige Kopien von betroffenen Webseiten. Ormandy war bemüht, die entsprechenden Daten aus den Caches von Google zu entfernen, Cloudflare informierte auch andere Suchmaschinenbetreiber. Doch auch nach der Veröffentlichung des Bugs fanden viele Leute noch Kopien von Daten in Googles Cache.

Sensible Daten können an unzähligen Stellen gespeichert sein

Wo überall die Daten noch liegen könnten, ist nicht überschaubar. Browser cachen standardmäßig Webseiten, daher dürften sich die Daten auch auf unzähligen privaten Festplatten befinden. Und natürlich gibt es zahlreiche Dienste im Netz, die auf die ein oder andere Art Daten von Webseiten herunterladen und in irgendeiner Weise speichern - RSS-Reader, Übersetzungstools, Webseitenarchive.

Befeuern dürfte der Vorfall die Diskussion um die generellen Schwächen der Programmiersprache C. Die Speicherverwaltung in C führt dazu, dass selbst relativ simple Bugs sehr schnell zu fatalen Folgen führen. Programmiersprachen wie Rust oder Go, die eine sicherere Speicherverwaltung haben, vermeiden die meisten solcher Bugs.

 Speicherleck: Cloudflare verteilt private Daten übers Internet

eye home zur Startseite
rugel 24. Feb 2017

Zwischen dDoS auf UDP / TCP Ebene mag keiner was einzuwenden haben. Was Cloudfare (und...

Themenstart

torrbox 24. Feb 2017

Du hast gerade die neue Abmahnfalle gefunden. ;)

Themenstart

Mithrandir 24. Feb 2017

Cloudflare verschick momentan Emails im Namen von Matthew Prince (mit seiner Email...

Themenstart

Proctrap 24. Feb 2017

siehe anderer thread, per state machine erzeugten code genommen und absichtlich geändert...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Karl Dungs GmbH & Co. KG, Urbach
  2. Robert Bosch GmbH, Leonberg
  3. Landeshauptstadt München, München
  4. über Hanseatisches Personalkontor Rhein-Neckar, Mannheim


Anzeige
Top-Angebote
  1. 14,99€
  2. (u. a. Batman v Superman, Legend of Tarzan, Interstellar, The Nice Guys, Mad Max, Conjuring 2)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. DVB-T2

    Bereits eine Millionen Freenet-Geräte verkauft

  2. Moore's Law

    Hyperscaling soll jedes Jahr neue Intel-CPUs sichern

  3. Prozessoren

    AMD bringt Ryzen mit 12 und 16 Kernen und X390-Chipsatz

  4. Spark Room Kit

    Cisco bringt KI in Konferenzräume

  5. Kamera

    Facebook macht schicke Bilder und löscht sie dann wieder

  6. Tapdo

    Das Smart Home mit Fingerabdrücken steuern

  7. 17,3-Zoll-Notebook

    Razer aktualisiert das Blade Pro mit THX-Zertifizierung

  8. Mobilfunk

    Tschechien versteigert Frequenzen für 5G-Netze

  9. Let's Encrypt

    Immer mehr Phishing-Seiten beantragen Zertifikate

  10. E-Mail-Lesen erlaubt

    Koalition bessert Gesetz zum automatisierten Fahren nach



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Synlight: Wie der Wasserstoff aus dem Sonnenlicht kommen soll
Synlight
Wie der Wasserstoff aus dem Sonnenlicht kommen soll
  1. Energieversorgung Tesla nimmt eigenes Solarkraftwerk in Hawaii in Betrieb

Android O im Test: Oreo, Ovomaltine, Orange
Android O im Test
Oreo, Ovomaltine, Orange
  1. Android O Alte Crypto raus und neuer Datenschutz rein
  2. Developer Preview Google veröffentlicht erste Vorschau von Android O
  3. Android O Google will Android intelligenter machen

  1. Re: und da sind viele ...

    Flexy | 01:21

  2. Re: Wie wäre diese Methode: Nix illegales drauf...

    deinkeks | 01:17

  3. Re: Lärmschutzzonen

    MAGA | 01:05

  4. Re: Selbstbedienungskassen würden mir schon reichen

    __destruct() | 00:42

  5. Re: In englisch streamen?!

    jeegeek | 00:38


  1. 20:56

  2. 20:05

  3. 18:51

  4. 18:32

  5. 18:10

  6. 17:50

  7. 17:28

  8. 17:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel