Cloudflaren tietovuodolla ei vaikutusta asiakkaidemme sivustoihin

Cloudflaren tietovuodolla ei vaikutusta asiakkaidemme sivustoihin

Tänään 24.2.2017 klo 14.04 saimme sähköpostiviestin Matthew Princeltä, Cloudflaren CEO:lta, koskien Cloudflaressa olleen bugin aiheuttamaa mahdollista tietovuotoa. Ylläpitämiämme verkkosivustoja ei olla käytetty hyväksi, eikä tietoja löydy hakukoneista.  

Välimuisti- ja kuormantasauspalveluistaan tunnetulla Cloudflarella on miljoonia nettisivustoja asiakkainaan ja myös kaikki verkkosivustomme käyttävät Cloudflaren palveluita sivustojen nopeutukseen & turvaamiseen ulkopuolisilta hyökkäyksiltä. Viimeisen kuukauden aikana Cloudflare on estänyt 920 käyttäjää asiakkaidemme verkkosivuilta (hakkereita, botteja & roskapostittajia) ja jakanut sisältöä toimien nopeasti ja luotettavasti yli 140 000 kävijälle kuukausittain. Cloudflarea käyttää yli 4 miljoonaa verkkosivua kansainvälisesti, joista suurimpina miljoonien ihmisten käyttämät Uber, DigitalOcean, Zendesk, TransferWise, Upwork.com & Fiverr.com.

Löydetty bugi on voinut paljastaa lähetettyjä tietoja hakukoneille huonosti ohjelmoidun osan vuoksi, jolloin tiettyjä asetuksia käytettäessä bugi on voinut näyttää sivun sisältöjä väärille käyttäjille. Tietovuoto koskee vain noin 0.00003% Cloudflaren kokonaisuudessaan käsittelemästä liikenteestä. Githubiin koottu lista sisältää kaikki Cloudflarea käyttävät sivustot, muttei huomioi sitä että bugi ilmenee vain käytettäessä tiettyjä asetuksia. Varmistettuja tietovuodon sisältäviä sivustoja Cloudflaren mukaan on noin 150 verkkotunnusta, joista jokaiseen he ovat ottaneet yhteyttä sähköpostitse. Bugi ilmeni vain jos käytössä oli ”Email Obfuscation” tai ”Automatic HTTPS Rewrites” / ”Server Side Excludes”-käytössä.

Haavoittuvuudesta ilmoitti Googlen työntekijä 18.02.2017 ja se korjattiin muutamien tuntien sisällä tiedon saamisesta. Cloudflare on toiminut yhteistyössä Googlen ja muiden hakukoneiden kanssa poistaakseen kaikki mahdolliset tietovuodot niiden välimuisteista pysyvästi. Medialle tietovuodosta kerrottiin korjausten jälkeen, joten sivustoja ei Cloudflaren tietojen mukaan olla käytetty hyväksi haitallisiin tarkoituksiin.

”Fortunately, your customers’ domains have not been discovered to expose data in any third party caches. The bug has been patched so it is no longer leaking data. However, we continue to work with these caches to review their records and help them purge any exposed data we find. If we discover any data leaked about your customers’ domains during this search, we will reach out to you and your customer directly and provide full details of what we have found.” – Matthew Prince, Cloudflaren CEO

Sivustot, jotka ovat altistuneet tietovuodolle varmuudella (linkki), joissa käyttäjiä suositellaan vaihtamaan salasana:

  • Uber
  • Trakt.tv
  • Meetup.com
  • Addthis.com
  • Fitbit.com

Cloudflare on ottanut yhteyttä varmuudella tietovuotoa koskevien 150:n verkkosivuston ylläpitäjiin. Ylläpitämiämme verkkosivustoja ei olla käytetty hyväksi, eikä tietoja löydy hakukoneista.  

Lisää tietoa haavoittuvuudesta Cloudflaren blogissa (englanniksi)

Certified Partnership with CloudFlare

Kuinka CloudFlare kasvattaa verkkosivustosi nopeutta ja turvallisuutta

Tämän artikkelin on kirjoittanut CloudFlare Inc. CloudFlaren avulla sivustosi voi olla yhtä nopea ja turvallinen kuin Internetin jättiläiset.

CloudFlare, verkon suorituskykyyn ja turvallisuuteen erikoistunut yritys, on innoissaan voidessaan julkistaa yhteistyökumppanuuden Joonas Vanhatapion kanssa. Mikäli et ole ennen kuullut CloudFlaresta, meidän arvomme on selkeä: haluamme tehdä jokaisesta verkkosivustosta vähintään kaksinkertaisesti nopeamman ja suojella sivustoja uhkilta.

Me mahdollistamme jopa yli 400 miljoonaa kuukausittaista katselukertaa – enemmän kuin Amazon, Wikipedia, Twitter, Zynga, AOL, Apple, Bing, eBay, Paypal ja Instagram yhteensä – ja yli 1.2 biljoonaa kuukausittaista käyttäjää kulkee verkossamme. Olemme erittäin iloisia, että Joonas Vanhatapio on yhteistyökumppanimme. – CloudFlare team.

cf-certified-partner-badge-250px-lightbackgrounds

Nopeampi verkon suorituskyky

CloudFlare on suunniteltu parantamaan upeita hosting-palveluita, kuten Vanhatapio Hosting ja niiden parantamiseksi entisestään.

Voimanlähteenämme toimii 100 datakeskusta strategisesti jaettuna ympäri maailmaa. Käyttäessäsi CloudFlarea, aloitamme liikenteen ohjauksen aina lähimpään datakeskukseen. Suomessa datakeskuksemme sijaitsee Helsingissä.

cloudflare-server-locations

Kun liikenne kulkee datakeskustemme läpi, koneemme älykkäästi merkitsevät sivuston staattiset ja dynaamiset osat. Staattiset osat pidetään datakeskuksen välimuistissa muutaman tunnin ajan.Automaattisesti siirtämällä sivustosi staattisen osan lähemmäksi käyttäjiäsi, koko sivustosi suorituskyky kasvaa huomattavasti.

CloudFlaren älykäs välimuistiteknologia tarkoittaa myös sitä, että säästät liikennekuluissa ja vähentää palvelimen kuormitusta taaten nopean toiminnallisuuden suurilla kävijämäärillä. Websivustosi toimii nopeammin ja tehokkaammin, kuin koskaan aikaisemmin. Keskimäärin CloudFlaren käyttäjät näkevät 60% vähennyksen liikenteenkäytössä ja jopa 65% pyynnöissä palvelimelle. Käytännössä tämä tarkoittaa sitä, että sivustosi latautuu jopa 50% nopeammin.

Laaja verkon suojaus

Vuoden 2011 aikana CloudFlare tunnisti 700% kasvun palvelunestohyökkäysten määrässä  (DDoS). Samalla, kun tämäntyyppiset hyökkäykset lisääntyvät, CloudFlare astuu peliin suojaamaan sivustosi.

CloudFlare tarjoaa laajan skaalan suojausmenetelmiä hyökkäyksiä vastaan, kuten DDoS, hakkerointia tai spämmiä vastaan. Järjestelmämme kehittyy jatkuvasti ja oppii yhä enemmän hyökkäysmenetelmistä ja näin osaa puolustautua reaaliajassa. Analysoimme erilaisilla työkaluilla satojen miljoonien käyttäjien liikennettä reaaliajassa ja estämme vaarallisen liikenteen.

Kuinka saan CloudFlaren käyttööni?

Jokainen verkkosivusto voi käyttää CloudFlarea, riippumatta alustasta tai palveluntarjoajasta. Integroimalla sivustosi Joonas Vanhatapion kanssa, teemme prosessin erittäin helpoksi, sillä CloudFlare on otettu käyttöön oletuksena jokaiseen tilaukseen!

Olemme ylpeitä että joka päivä tuhansia uusia verkkosivustoja liittyy CloudFlaren verkostoon. Jos etsit nopeampaa ja turvallisempaa verkkosivuston ylläpitoa, Joonas Vanhatapio on paras valintasi.

Chrome voi merkitä punaisella kolmiolla sivustosi pian

Chrome voi merkitä punaisella kolmiolla sivustosi pian

Mikä on HTTPS ja miksi siitä pitäisi edes välittää?

Selatessasi internetiä saatat joskus huomata selaimesi osoiterivillä vihreän lukon kuvakkeen – se tarkoittaa, että sivusto käyttää HTTPS-protokollaa. Se tarkoittaa sitä, että yhteys asiakkaan tietokoneen/mobiililaitteen ja sivuston välillä on suojattu, eikä hakkeri voi lukea asiakkaan sivustolla käsittelemiä tietoja. HTTPS suojaa internetin sivuistoista lähes puolet. Lähtökohtainen ongelma on ollut sertifikaatin hankkimisen vaikeus ja kallis hinta, joka on nostanut kynnystä hankkia sertifikaatti suojaamaan verkkosivustoa. Nykyisin sertifikaatin voi saada erittäin helposti. Meille sivustosi turvallisuus on tärkeä asia. Siksi kaikkiin webhotellipaketteihimme kuuluu ilmainen sertifikaatti, joka suojaa sivustosi ja nostaa sivustosi Googlen hakutuloksissa ylöspäin.

Miksi tarvisin sertifikaatin verkkosivustoani varten?

  1. Google Chrome tulee varoittamaan jokaisesta suojaamattomasta verkkosivustosta punaisella kolmiolla ja varoituskyltillä (kts. alempaa)
  2. Tämän vuoden aikana Google alkoi suosimaan sivustoja, jotka käyttävät https-protokollaa. Toisin sanottuna, asiakkaat löytävät Googlen hausta todennäköisemmin kahdesta yrityksestä sen, joka käyttää suojausta.
  3. Se suojaa sivustosi täysin. Kaikki salasanat, käyttäjätiedot ja rekisterit kulkevat täysin suojattuna, eikä kolmas osapuoli (hakkeri) voi nähdä mitä käyttäjäsi sivustollasi tekee. 
  4. HTTPS voi estää sivustosi hakkeroinnin, kun käyttämäsi web-palveluntarjoaja käyttää HSTS-suojausta, joka pakottaa kaiken suojaamattoman liikenteen suojatulle sivustolle.

 

Tammikuu 2017

Tammikuussa 2017 Google Chrome-selain merkitsee varoituksella kaikki suojaamattomat sivustot, joissa on salasanakirjautuminen tai kysytään pankkitietoja.

 

Sivustot, jotka eivät käytä HTTPS-protokollaa merkitään "Not secure"-merkinnällä tammikuusta 2017 lähtien

Myöhemmin KAIKKI suojaamattomat sivustot

Googlen visiona on ajan myötä muuttaa kaikki verkossa kulkeva liikenne suojatuksi. Siksi Google Chrome tulee ottamaan käyttöön punaisen varoituskolmion KAIKILLA SUOJAAMATTOMILLA sivustoilla. Kyllä, myös yrityksesi sivuilla, mikäli sitä ei ole suojattu käyttäen https:// teknologiaa.

Ilman HTTPS-protokollaa olevat sivut merkitään lopulta punaisella kolmiolla. Nyt on aika päivittää sivustosi suojaus.

 


 

 

Tilaa täysin suojattu webhotelli meiltä

Lähde: Moving towards a more secure web  Syyskuun 8, 2016

Tilaa uutiskirje uusista julkaisuista

Kirjoita sähköpostiosoite jolla tilaat sähköpostiisi ilmoitukset blogin uusista artikkeleista.