在过去的几个月里，流行的Cloudflare服务中的一个bug可能将敏感的用户数据（包括用户名、密码和私人消息）以纯文本的形式暴露给了全世界。但这个问题有多大，你该怎么办？

什么是云焰(cloudflare)？

Cloudflare是一种为广泛的网站网络提供安全和性能特性的服务。它充当一个反向代理，一个介于用户和给定网站之间的中间人。当您访问该站点时，您将被引导到Cloudflare的一个服务器，而不是实际站点的服务器。

这允许Cloudflare确保您是合法用户（从而防止拒绝服务攻击），更快地加载站点（因为他们缓存了站点的某些部分），并防止停机（因为他们在全球有多个服务器，如果有问题，可以回退到任何服务器上）。

简而言之：Cloudflare旨在让网站更快、更安全，这是很多网站使用的一项服务。

什么是“云出血”）(“cloudbleed”))？

不幸的是，没有什么是100%安全的，即使站点使用Cloudflare这样的服务，错误也会发生。在本例中，Cloudflare实际上导致了一个安全问题：解析HTML的反向代理代码中的一个bug导致Cloudflare的服务器在某些情况下泄漏其内存内容。（有些人把它称为“Cloudbleed”，这是一个“Heartbleed bug”的附加版本，它也影响了互联网的很大一部分。）

这些数据可能包括各种敏感数据，包括用户名、密码、私有消息、OAuth令牌等等。更糟糕的是，其中一些数据被一些搜索引擎索引和缓存（根据Cloudflare的数据，大约有700页），因此如果你知道在Google上搜索什么，你就可以从特定泄漏时登录的用户那里找到敏感数据。

这个错误大约有五个月没有被发现，本周被发现后就被修补了。Cloudflare说：“影响最大的时期是2月13日和2月18日，通过Cloudflare的每3300000个HTTP请求中就有1个可能导致内存泄漏（约占请求的0.00003%）。”

但对于像Cloudflare这样受欢迎的服务，0.00003%仍然是很多。一些人已经编制了一份使用Cloudflare的网站列表，其中包括超过400万个域名，包括Yelp、OkCupid、Uber、Authy、Medium等等。（一些移动应用程序也会受到影响。）

你可以在Cloudflare的博客上阅读更多关于这个bug的技术细节，不过只有当你是一个程序员的时候你才会感兴趣如果你是一个普通的互联网用户，你唯一需要知道的是…

我该怎么办？

第一：不要太惊慌。在这400万个站点中，并不是每个站点都会泄漏敏感信息，例如，如果一个站点只是使用Cloudflare缓存图像数据，就不会有敏感信息泄漏。并不是每次泄密都是密码的主列表，而是随机的信息，在任何给定的时间都可能包含一些随机的用户名和密码。

不过，Cloudflare还指出，他们自己的一个私钥被泄露，这将使攻击者能够访问大量Cloudflare内部数据，其中可能包括用户名和密码。Cloudflare对这一点非常含糊，尽管这是一个可能泄露更多敏感信息的重大安全风险

尽管如此，目前还没有真正的方法来判断你的数据是否被泄露以及泄露的地点，因此目前唯一安全的做法是更改你的所有密码。（当然，您可以浏览400万个站点的列表，只更改Cloudflare使用的站点，但老实说，只更改所有站点可能会更简单、更快。）

密码的一般规则在这里适用：不要在多个站点上使用相同的密码，使用类似LastPass的密码管理器，并为每个允许使用密码的站点启用双因素身份验证。如果你不做这些事情，那么Cloudflare bug可能是你最不担心的，毕竟，网站总是被黑客攻击，如果你在任何地方都使用相同的密码，那么你所有的数据都会经常面临风险。

相关：为什么你应该使用密码管理器，以及如何开始

如果您已经在使用密码管理器，这个过程应该很容易（如果有点长和无聊）。但你现在应该习惯这种舞蹈了。