微博传 cloudflare 泄露 https session，涉及 1password

这他妈还要微博传。贵国田园码农真是。

smg ， V2EX 上贴个微博链接里面是 twitter 截图

@ooxxcc 我不会发图片，基本只看看，见谅了
@est 新手见谅了，加上怕宣传上出了错误我也不好担责

还好我的 1password 是用 iCloud 同步的

我用 dropbox 同步 没注册账号也没啥影响

直接给原始链接呗..
https://bugs.chromium.org/p/project-zero/issues/detail?id=1139

另外 1password 的声明
https://blog.agilebits.com/2017/02/23/three-layers-of-encryption-keeps-you-safe-when-ssltls-fails/

NH 上面的讨论，有大量详细分析和利益相关方的说明。

https://news.ycombinator.com/item?id=13718752

爬了半天得出的结论就是 OAuth2 是个坑爹货

CF 的回应

https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

@est

到现在还没什么讨论量也是醉了。

我就提醒一件事，百度云加速用的就是 CF 那一套系统。按照公告中的说法这个 bug 已经存在一个月以上，那么百度云加速和 CDN 也很可能受影响。

@Laforet 国人都是看热闹心态。


cf 之前就觉得诡异。国外有个大佬怼另外一个大佬，每次都能把 cf 后的网站真实 ip 找到并且给 d 挂。。。。

一直好奇怎么找到真实 ip 的。。

@est 我是 v2 传。。

@est

我知道的有两种做法。一是撒网，用 TLS 证书或者 80 端口返回字段之类的特征扫描 IPv4 地址空间，找到源 IP 。比如 YC 虽然全站都走 CF 但是依然可以找到两个美国机房地址而且可以访问。

https://censys.io/ipv4?q=443.https.tls.certificate.parsed.names%3A+*.ycombinator.com

还有一种办法就是简单粗暴的直接 D 上去， CF 内部对免费和非企业级用户有一个洗流量的上限，攻击超过一定强度的话会强制回源。

@ooxxcc smg 现身

@smg …… smg

@est 绕过 CDN 有好几种方法，这个如果没有具体案例也不好具体分析。甚至有些拿自己服务器发信的也会暴露 ip 。

@est 有专门的网站哦

@Laforet cf 提到的那几个功能，百度云加速都没有

@R18

百度云在国外访问会走 CF 的 CDN 节点。

而且这个功能和站长有没有启用防采集功能无关，是服务器 nginx 模块的问题，只要你的数据从 CF 的服务器中转过就有可能被分发出去。

1password 原理上就不怕。