九兆次演算實現碰撞！Google 攻破了最重要的加密技術

昨天的新聞。
今天的新聞 CloudFlare proxy 會洩漏用戶的隱私的資料。

抓個語病，SHA1不是加密演算法，AES 3DES RSA之類的才是，而SHA1 SHA2 MD5這些屬於雜湊演算法。雖然在加密的環節之中會用到雜湊演算法，其實可以替換掉，例如自然人憑證中心已經從SHA1改為SHA256(屬於SHA2家族之一)，以因應CA金鑰下一個十年的安全度考量，多數機構也陸續替換掉SHA1了

+ Incident report on memory leak caused by Cloudflare parser bug

ref Gene Hong 今天是網路很不安全的一天, 一開始的新聞是 SHA-1 發現一個重覆的可能性, 代表的是被竄改的資料可能騙過 SHA-1 檢查以為是真的 (沒被改過)...
.
接下來更嚴重的 Cloudflare 在處理 HTTP Rewrite (如加 Google Analytics 代碼) 時有 Memory Leak 的問題, 造成有人可以抓到別人傳輸的資料, 如帳號密碼之類...
.

所以在 2/13 之後, 有人登入過透過 Cloudflare 的網站, 且這網站有用 HTTP Rewrite 時, 就有可能被盜取帳號密碼.. (但也可能去年 09/22 時這問題就存在)
.
雖然這問題原本是想要解決 Email 被 Spammer 去搜集, 而做的新功能想讓那些黑帽抓 Email 更困難, 但也因此造成新的問題...
.
你要做的事:
.
對於這段時間有用 Cloudflare 服務的網站, 做過登入的系統請即時換密碼, 聽說台灣有 ck101, envy 與 首頁 網頁版... ( [爆卦] Cloudflare☁出包 大量密碼個資恐外洩 )

若你平常用的是 Google 或 Facebook 帳號去登入, 理論上不會受到影響.
.
下面是發生問題的時間表:
.
2016-09-22 Automatic HTTP Rewrites enabled
2017-01-30 Server-Side Excludes migrated to new parser
2017-02-13 Email Obfuscation partially migrated to new parser
2017-02-18 Google reports problem to Cloudflare and leak is stopped

比特幣要崩盤了(?

[問題] 有人Google帳戶要重新登入的嗎?

Cloudflare程序员把 >= 写成了 == 导致内存泄漏，害得互联网