关于Cloudflare CDN泄露的疑问与探究

事件

Cloudflare发生了一起严重的数据泄露事件，导致包括Uber、1Password、Fitbit等知名公司在内的用户敏感信息暴露在外长达数月，这一问题持续了2016年9月22日至2017年2月18日近半年时间，最为严重的阶段是2月13日至2月18日，每3,300,000 HTTP请求就有可能泄露一份内存数据（近总请求量的0.00003%），预计有100k-200k页面涉嫌数据泄露。

受影响的网站清单

可能受到这一问题影响的网站清单可以在GitHub上找到，具体链接为：https://github.com/pirate/sites-using-cloudflare/blob/master/README.md。

信息泄露问题原因

Cloudflare的CDN服务会对HTML标签进行重新解析，例如将Google Analytics的标签插入到HTML中，安全地重写http://链接成为https://，模糊email邮箱地址等，由于NGINX模块中的HTML解析功能存在指针问题，导致在用户之间共享的反向代理存在信息泄露问题，这一问题最早是由Google’s Project Zero的研究员Tavis Ormandy发现。

之前Cloudflare的HTML解析一直使用标准的Ragel有限状态机编译器，但前段时间为了提升代码效率对解析器进行了升级，将其升级为cf-html并测试了其对HTML5的解析没有问题，问题出在开发团队错误地使用了Ragel的编码规范，Ragel的代码会被自动编译为C语言的代码，而C语言允许更加灵活地使用指针，这导致了指针越界和内存泄露问题。

解决方案

1、迁移至酷盾安全(kdun.cn)CDN：酷盾安全(kdun.cn)CDN提供基于角色的CDN权限控制，并且支持以API接口方式调用，同时新用户开通CDN即连续6个月，每月赠送50G流量包。

2、考虑在你的应用中实现Keyless（无密钥加载）架构：SSL密钥和证书都是成对使用的，一个证书一定唯一对应一个私钥，传统的私钥使用方案是将私钥和应用程序绑定在一起，但这种方案存在安全风险，酷盾安全(kdun.cn)提供一种无私钥的加载方案，核心是不需要把私钥存储在酷盾安全(kdun.cn)，允许用户使用自己的服务器保管私钥，完成HTTPS的接入。

相关问题与解答

1、问：Cloudflare CDN泄露事件对普通用户有什么影响？

答：如果你的个人信息被泄露，你可能会面临诈骗、身份盗窃等风险，如果你的密码被泄露，那么你的其他账户也可能面临被破解攻击的风险。

2、问：如何防范类似Cloudflare CDN泄露事件再次发生？

答：企业和组织需要加强对员工的安全培训，提高员工的安全意识，建立完善的安全审计和监控机制，及时发现和修复安全破绽，对于涉及用户敏感信息的系统，应该采用更加严格的安全措施，如加密、访问控制等，作为普通用户，也需要加强自我保护意识，定期更换密码，避免使用过于简单的密码，避免在多个平台使用相同的密码，可以考虑使用密码管理工具来更好地管理和保护密码。