V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wly19960911
V2EX  ›  分享发现

微博传 cloudflare 泄露 https session,涉及 1password

  •  1
     
  •   wly19960911 · 2017-02-24 10:19:05 +08:00 via Android · 5864 次点击
    这是一个创建于 2806 天前的主题,其中的信息可能已经有所发展或是发生改变。
    32 条回复    2017-02-26 22:04:24 +08:00
    est
        1
    est  
       2017-02-24 10:47:11 +08:00   ❤️ 2
    这他妈还要微博传。贵国田园码农真是。
    ooxxcc
        2
    ooxxcc  
       2017-02-24 10:48:45 +08:00
    smg , V2EX 上贴个微博链接里面是 twitter 截图
    wly19960911
        3
    wly19960911  
    OP
       2017-02-24 10:57:25 +08:00 via Android
    @ooxxcc 我不会发图片,基本只看看,见谅了
    @est 新手见谅了,加上怕宣传上出了错误我也不好担责
    Jaylee
        4
    Jaylee  
       2017-02-24 10:59:15 +08:00
    还好我的 1password 是用 iCloud 同步的
    Showfom
        5
    Showfom  
       2017-02-24 11:01:20 +08:00 via iPhone
    我用 dropbox 同步 没注册账号也没啥影响
    goodbest
        6
    goodbest  
       2017-02-24 11:18:21 +08:00
    goodbest
        7
    goodbest  
       2017-02-24 11:22:09 +08:00
    Laforet
        8
    Laforet  
       2017-02-24 12:52:05 +08:00
    NH 上面的讨论,有大量详细分析和利益相关方的说明。

    https://news.ycombinator.com/item?id=13718752

    爬了半天得出的结论就是 OAuth2 是个坑爹货
    Laforet
        10
    Laforet  
       2017-02-24 14:48:09 +08:00   ❤️ 1
    @est

    到现在还没什么讨论量也是醉了。

    我就提醒一件事,百度云加速用的就是 CF 那一套系统。按照公告中的说法这个 bug 已经存在一个月以上,那么百度云加速和 CDN 也很可能受影响。
    est
        11
    est  
       2017-02-24 15:09:03 +08:00
    @Laforet 国人都是看热闹心态。


    cf 之前就觉得诡异。国外有个大佬怼另外一个大佬,每次都能把 cf 后的网站真实 ip 找到并且给 d 挂。。。。

    一直好奇怎么找到真实 ip 的。。
    Antidictator
        12
    Antidictator  
       2017-02-24 15:23:33 +08:00 via Android
    @est 我是 v2 传。。
    Laforet
        13
    Laforet  
       2017-02-24 15:49:10 +08:00   ❤️ 1
    @est

    我知道的有两种做法。一是撒网,用 TLS 证书或者 80 端口返回字段之类的特征扫描 IPv4 地址空间,找到源 IP 。比如 YC 虽然全站都走 CF 但是依然可以找到两个美国机房地址而且可以访问。

    https://censys.io/ipv4?q=443.https.tls.certificate.parsed.names%3A+*.ycombinator.com

    还有一种办法就是简单粗暴的直接 D 上去, CF 内部对免费和非企业级用户有一个洗流量的上限,攻击超过一定强度的话会强制回源。
    smg
        14
    smg  
       2017-02-24 16:33:48 +08:00
    @ooxxcc smg 现身
    ooxxcc
        15
    ooxxcc  
       2017-02-24 16:55:25 +08:00
    @smg …… smg
    janxin
        16
    janxin  
       2017-02-24 18:03:55 +08:00
    @est 绕过 CDN 有好几种方法,这个如果没有具体案例也不好具体分析。甚至有些拿自己服务器发信的也会暴露 ip 。
    R18
        17
    R18  
       2017-02-24 18:13:56 +08:00 via Android
    @est 有专门的网站哦
    R18
        18
    R18  
       2017-02-24 18:15:04 +08:00 via Android
    @Laforet cf 提到的那几个功能,百度云加速都没有
    Laforet
        19
    Laforet  
       2017-02-24 18:27:28 +08:00
    @R18

    百度云在国外访问会走 CF 的 CDN 节点。

    而且这个功能和站长有没有启用防采集功能无关,是服务器 nginx 模块的问题,只要你的数据从 CF 的服务器中转过就有可能被分发出去。
    loading
        20
    loading  
       2017-02-24 18:28:31 +08:00
    1password 原理上就不怕。
    jinkai402
        21
    jinkai402  
       2017-02-24 19:23:33 +08:00 via iPhone
    密码有规律的记在脑子里也未必是坏事,只要不是有人针对你(的规律),那么对于一般人而言安全是够的,简单高效。软件也很难说是完全可靠,一是后门病毒什么的,二是麻烦,所以也还是有人不信任它们的。不过总的说来 1password 还是很不错的。
    cxbig
        22
    cxbig  
       2017-02-24 19:58:25 +08:00
    从不用云端服务同步密码库。。。
    est
        23
    est  
       2017-02-24 20:38:31 +08:00
    @Laforet 赞!
    cst4you
        24
    cst4you  
       2017-02-24 21:09:29 +08:00
    这明显在那啥之前给你造个势
    SharkIng
        25
    SharkIng  
       2017-02-24 23:16:58 +08:00 via iPhone
    提醒下 digitalocean 网页登陆似乎用到了 CF 的服务
    dynaguy
        27
    dynaguy  
       2017-02-25 04:58:44 +08:00
    笑尿了!

    发现漏洞的哥们儿将得到一件 T-shirt 作为奖励。 233333
    https://hackerone.com/cloudflare
    ZE3kr
        28
    ZE3kr  
       2017-02-25 07:03:33 +08:00 via iPhone
    Vultr 所有页面都用了 CF 。所以今天还收到邮件要求改密码
    hebeiround
        29
    hebeiround  
       2017-02-25 11:00:31 +08:00 via iPhone
    看来有必要把信用卡信息从 1P 上撤下来了。即使是 3 重防盗也不不能全部压宝在上面。还是贴在我电脑旁边的小纸条上吧。
    crayygy
        30
    crayygy  
       2017-02-25 11:38:30 +08:00
    @hebeiround #29 根据 1p 的原理介绍来看也不用很担心,即使别人拿到了你的密码库也还是需要你的密码才能得到数据的,不然怎么放心的同步在 Dropbox iCloud 等第三方上
    VmuTargh
        31
    VmuTargh  
       2017-02-26 21:58:18 +08:00
    @est 随便找个理由比如这个站的 WHMCS 是盗版,客服一下子就给你 IP 了
    est
        32
    est  
       2017-02-26 22:04:24 +08:00
    @VmuTargh 。。。。 你们都是大神。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1310 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 23:30 · PVG 07:30 · LAX 16:30 · JFK 19:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.