Cloudflare çok sevdiğimiz bir servis, kendileri sitelere altyapı sağlayarak DNS, güvenlik ve caching gibi özellikler sunuyorlar. Servisleri bu kadar iyi olunca da uber, 1password, fitbit, okcupid vs alexa top 10bin sitelerin hemen hepsi bunu kullanıyor. Geçtiğimiz cuma Google Project Zero takımında çalışan Tavis Normandy insanların yüreğini ağzına getiren bir tweet attı ve acilen cloudflare'dan birisinin kendisine ulaşmasını istedi.

Could someone from cloudflare security urgently contact me.

— Tavis Ormandy (@taviso) February 18, 2017

Tweet altındaki yorumlar da efsane. Neyse cloudflare takımı ilgili bir şekilde ulaşıp problemi çözmeye başlamış. Tavis reyis de halkı bilgilendirmek adına Project Zero altında şu bug entrysini yaratıp düzenli güncelledi. https://bugs.chromium.org/p/project-zero/issues/detail?id=1139

Bu arada Project Zero Google'ın altında bulunan internetteki heartbleed tadındaki açıkları önceden bulup engellemeye yönelik bir girişim.

Tavis'in teorisi Cloudflare'da bulunan sitelerin robotlar tarafından crawl edilmesini engelleyen ScrapeShield teknolojisini sebep olduğu yönünde. Çünkü cloudflare html'i serve etmeden önce obfuscate ediyor ki site scrape edilemesin. Ama tabi cloudflare altyapısı reverse proxyleri 1e 1den ziyade müşteriler arasında paylaştırıyor bu da random siteye giren insanların başka insanların auth tokenlarını, uber yer bilgilerini, özel mesajlarını leak etmesine sebep oluyor.

https://medium.com/@octal/cloudbleed-how-to-deal-with-it-150e907fd165#.1mfb6iz0p

Redacted ornekler:

• Hacker news muhabbeti
• Açıktan etkilenen siteler

Cloudflare'in incident reportu burda azcık postmortemimsi:

https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

Sebebi şüphelenildiği gibi html parserin memory leak etmesiymiş. Ah be C pointerları.