微博传 cloudflare 泄露 https session,涉及 1password

2017-02-24 10:19:05 +08:00
 wly19960911
http://m.weibo.cn/1657668863/4078591615125332
5884 次点击
所在节点    分享发现
32 条回复
est
2017-02-24 10:47:11 +08:00
这他妈还要微博传。贵国田园码农真是。
ooxxcc
2017-02-24 10:48:45 +08:00
smg , V2EX 上贴个微博链接里面是 twitter 截图
wly19960911
2017-02-24 10:57:25 +08:00
@ooxxcc 我不会发图片,基本只看看,见谅了
@est 新手见谅了,加上怕宣传上出了错误我也不好担责
Jaylee
2017-02-24 10:59:15 +08:00
还好我的 1password 是用 iCloud 同步的
Showfom
2017-02-24 11:01:20 +08:00
我用 dropbox 同步 没注册账号也没啥影响
goodbest
2017-02-24 11:18:21 +08:00
goodbest
2017-02-24 11:22:09 +08:00
Laforet
2017-02-24 12:52:05 +08:00
NH 上面的讨论,有大量详细分析和利益相关方的说明。

https://news.ycombinator.com/item?id=13718752

爬了半天得出的结论就是 OAuth2 是个坑爹货
Showfom
2017-02-24 13:15:14 +08:00
Laforet
2017-02-24 14:48:09 +08:00
@est

到现在还没什么讨论量也是醉了。

我就提醒一件事,百度云加速用的就是 CF 那一套系统。按照公告中的说法这个 bug 已经存在一个月以上,那么百度云加速和 CDN 也很可能受影响。
est
2017-02-24 15:09:03 +08:00
@Laforet 国人都是看热闹心态。


cf 之前就觉得诡异。国外有个大佬怼另外一个大佬,每次都能把 cf 后的网站真实 ip 找到并且给 d 挂。。。。

一直好奇怎么找到真实 ip 的。。
Antidictator
2017-02-24 15:23:33 +08:00
@est 我是 v2 传。。
Laforet
2017-02-24 15:49:10 +08:00
@est

我知道的有两种做法。一是撒网,用 TLS 证书或者 80 端口返回字段之类的特征扫描 IPv4 地址空间,找到源 IP 。比如 YC 虽然全站都走 CF 但是依然可以找到两个美国机房地址而且可以访问。

https://censys.io/ipv4?q=443.https.tls.certificate.parsed.names%3A+*.ycombinator.com

还有一种办法就是简单粗暴的直接 D 上去, CF 内部对免费和非企业级用户有一个洗流量的上限,攻击超过一定强度的话会强制回源。
smg
2017-02-24 16:33:48 +08:00
@ooxxcc smg 现身
ooxxcc
2017-02-24 16:55:25 +08:00
@smg …… smg
janxin
2017-02-24 18:03:55 +08:00
@est 绕过 CDN 有好几种方法,这个如果没有具体案例也不好具体分析。甚至有些拿自己服务器发信的也会暴露 ip 。
R18
2017-02-24 18:13:56 +08:00
@est 有专门的网站哦
R18
2017-02-24 18:15:04 +08:00
@Laforet cf 提到的那几个功能,百度云加速都没有
Laforet
2017-02-24 18:27:28 +08:00
@R18

百度云在国外访问会走 CF 的 CDN 节点。

而且这个功能和站长有没有启用防采集功能无关,是服务器 nginx 模块的问题,只要你的数据从 CF 的服务器中转过就有可能被分发出去。
loading
2017-02-24 18:28:31 +08:00
1password 原理上就不怕。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/342833

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX