Cloudflare: Ein Drama in drei Akten

Geschrieben von: 42 | in Kryptografie | 3 Monate her

 Akt 1: Webseitenbetreiber gehen zu Cloudflare

"Macht doch bitte https für uns."

Als kleines Extra bekommt der Betreiber zusätzlich Schutz vor DDOS-Attacken. Cloudflare hat die globale Infrastruktur und die Bandbreite dafür.

Cloudflare ist ein zentraler Dienst, der verschlüsselte Verbindungen für Webseitenbetreiber terminiert.

Die Webseitenbetreiber vertrauen Cloudflare ihre sensitivsten Daten an. Privatnachrichten bei grossen Dating-Sites, die kompletten Nachrichten eines grossen Chatanbieters, Online-Passwortmanagerdaten (!!), Hotelbuchungen.

Akt 2: "Es gibt da ein Problem mit HTTPS...

Tavis Ormandy entdeckt Cookies, Passwörter, Daten aus Webserveranfragen von Cloudflare-Diensten und anderen Benutzern.

https://bugs.chromium.org/p/project-zero/issues/detail?id=1139

Akt 3: Die sensitivsten Daten fliegen im Internet umher

Cloudflare have been leaking customer HTTPS sessions for months. Uber, 1Password, FitBit, OKCupid, etc.

https://twitter.com/taviso/status/834900838837411840

Die Daten, die sie eigentlich schützen wollten, sind jetzt erst recht sichtbar. Oh weh.

Wann lernt ihr es endlich, liebe Uber, 1Password und andere Webseitenbetreiber? Statt euch selber um die Verschlüsselung zu kümmern und die Sicherheit vom Endpunkt Benutzer bis zum Endpunkt Server in eurem eigenen Rechenzentrum zu garantieren, vertraut ihr eure sensitivsten Daten lieber einem zentralisierten Drittanbieter an. Der soll für euch verschlüsseln und die Daten ab da (unverschlüsselt?) zu euren Servern weiterreichen.

Blöd nur, dass bei diesem Anbieter nun die sensitiven Daten aller Benutzer vermantscht und vermischt wurden und irgendwo ankommen. Privatnachrichten bei grossen Dating-Sites, die kompletten Nachrichten eines grossen Chatanbieters, Online-Passwortmanagerdaten (!!), Hotelbuchungen.

Das ist nicht Ende-zu-Ende Sicherheit.

Das Internet ist dezentral angedacht. Benutzt keine zentralen Dienste wie Cloudflare. Setzt eure eigenen Webserver auf, hostet eure Website auf einer Enigmabox im cjdns-Netzwerk, gerne auch mit einem unabhängigen Peering. Benutzt cjdns. Das kümmert sich persönlich um die Transportsicherheit; damit die Daten sicher am Ziel ankommen. Kein Server dazwischen kann irgendwelche Furunkel einbauen und Schabernack treiben wie der Scheiss, den Cloudflare anbietet; Reverse-Proxy und Caching von verschlüsselten Inhalten (!!). Nein, nein, nein.

Aber es ist wie immer, ich rede gegen eine Wand.

Archiv

2017
2016
2015
2014
2013

Kategorien

Allgemein 39

cjdns 13

Enigmabox 39

Freiheit 20

Kryptografie 19

Netzwerk 19

NSA 21

Überwachung 31

Zensur 2

Feeds

RSS / Atom