클라우드플레어의 메모리가 누출되어 비밀번호가 위험하다는 게시글이 있었는데요..
테스트를 위해 간단한 비밀번호로 회원가입, DB에 저장된 비밀번호가 아래와 같을 때, 복호화가 가능한가요?
$2y$10$CuH6R3XOmcdWkGCVHk/eLOUNKINJfAf3lKx74NbCXjB0ZvM2FvJbS
>>>> 클라우드 플레어 관련 <<<<
영어원문인데...
해커에 의한 탈취가 아니라 단순한 버그로 보입니다.
1. 메모리(하드디스크가 아니라 RAM)의 일부분이 leaked.
2. 약 3,300,000 HTTP 리퀘스트당 1개의 정보 (전체 메모리의 약 0.00003% 정도)가 leaked
3. leaked 정보
HTTP cookies, authentication tokens, HTTP POST bodies, and other sensitive data.
4. 클라우드플레어의 고객의 SSL Private Key는 누출되지 않음
5. 클라우드 플레어의 다음 기능을 off 하고 문제는 일단락됨. (email obfuscation, Server-side Excludes and Automatic HTTPS Rewrites)
문제는 leaked 정보가 검색엔진에 캐싱되어져버렸다는 것 같은데..
> Google, Yahoo, Bing, 기타 검색엔진업체의 도움으로 (leaked memory 정보를 가진) 161개의 도메인의 약 770개의 URI를 발견, purge함