微博传 cloudflare 泄露 https session,涉及 1password
wly19960911 2017-02-24 10:19:05 +08:00 via Android 6321 次点击这是一个创建于 3174 天前的主题,其中的信息可能已经有所发展或是发生改变。
32 条回复 2017-02-26 22:04:24 +08:00
 | 1 est 2017-02-24 10:47:11 +08:00  2 这他妈还要微博传。贵国田园码农真是。 |
 | 2 47jm9ozp 2017-02-24 10:48:45 +08:00 smg , V2EX 上贴个微博链接里面是 twitter 截图 |
 | 3 wly19960911 OP |
 | 4 Jaylee 2017-02-24 10:59:15 +08:00 还好我的 1password 是用 iCloud 同步的 |
 | 5 Showfom PRO 我用 dropbox 同步 没注册账号也没啥影响 |
 | 6 goodbest 2017-02-24 11:18:21 +08:00 |
| 7 goodbest 2017-02-24 11:22:09 +08:00 |
 | 8 Laforet 2017-02-24 12:52:05 +08:00 |
| 9 Showfom PRO |
| 10 Laforet 2017-02-24 14:48:09 +08:00 1 |
| 11 est 2017-02-24 15:09:03 +08:00 |
 | 12 Antidictator 2017-02-24 15:23:33 +08:00 via Android @est 我是 v2 传。。 |
| 13 Laforet 2017-02-24 15:49:10 +08:00 1 @est 我知道的有两种做法。一是撒网,用 TLS 证书或者 80 端口返回字段之类的特征扫描 IPv4 地址空间,找到源 IP 。比如 YC 虽然全站都走 CF 但是依然可以找到两个美国机房地址而且可以访问。 https://censys.io/ipv4?q=443.https.tls.certificate.parsed.names%3A+*.ycombinator.com 还有一种办法就是简单粗暴的直接 D 上去, CF 内部对免费和非企业级用户有一个洗流量的上限,攻击超过一定强度的话会强制回源。 |
| 19 Laforet 2017-02-24 18:27:28 +08:00 |
 | 20 loading 2017-02-24 18:28:31 +08:00 1password 原理上就不怕。 |
 | 21 jinkai402 2017-02-24 19:23:33 +08:00 via iPhone 密码有规律的记在脑子里也未必是坏事,只要不是有人针对你(的规律),那么对于一般人而言安全是够的,简单高效。软件也很难说是完全可靠,一是后门病毒什么的,二是麻烦,所以也还是有人不信任它们的。不过总的说来 1password 还是很不错的。 |
 | 22 cxbig 2017-02-24 19:58:25 +08:00 从不用云端服务同步密码库。。。 |
 | 24 cst4you 2017-02-24 21:09:29 +08:00 这明显在那啥之前给你造个势 |
 | 25 SharkIng 2017-02-24 23:16:58 +08:00 via iPhone 提醒下 digitalocean 网页登陆似乎用到了 CF 的服务 |
 | 26 dynaguy 2017-02-25 04:51:35 +08:00 Holy Shit! https://github.com/pirate/sites-using-cloudflare/blob/master/README.md 4,287,625 possibly affected domains. uthy.com coinbase.com betterment.com transferwise.com prosper.com digitalocean.com patreon.com bitpay.com news.ycombinator.com producthunt.com medium.com 4chan.org yelp.com okcupid.com zendesk.com uber.com namecheap.com (not affected) poloniex.com localbitcoins.com kraken.com 23andme.com curse.com (and some other Curse sites like minecraftforum.net) counsyl.com tfl.gov.uk stackoverflow.com (confirmed not affected by StackOverflow's @alienth) fastmail.com (not affected, #2) 1password.com (not affected) |
| 27 dynaguy 2017-02-25 04:58:44 +08:00 |
 | 28 ZE3kr 2017-02-25 07:03:33 +08:00 via iPhone Vultr 所有页面都用了 CF 。所以今天还收到邮件要求改密码 |
 | 29 hebeiround 2017-02-25 11:00:31 +08:00 via iPhone 看来有必要把信用卡信息从 1P 上撤下来了。即使是 3 重防盗也不不能全部压宝在上面。还是贴在我电脑旁边的小纸条上吧。 |
 | 30 crayygy 2017-02-25 11:38:30 +08:00 @hebeiround #29 根据 1p 的原理介绍来看也不用很担心,即使别人拿到了你的密码库也还是需要你的密码才能得到数据的,不然怎么放心的同步在 Dropbox iCloud 等第三方上 |
Select Language