针对 Google 和 Cloudflare最近披露的 Cloudbleed 漏洞,TNW等一些消息来源建议人们更改使用 CloudFlare 的网站和服务的密码。在我看来,这是一个合理的预防措施。
其他人则建议人们更改所有密码,即使是不使用 Cloudflare 的服务也是如此。根据我们目前所知道的——诚然在调查的早期——这似乎反应过度了。
据我所知,基本原理是这样的:
- 你可能会重复使用你的密码,你这个大人物。泄露受 Cloudbleed 影响的密码会泄露您的其他帐户。
- 无论如何,您有时应该更改密码。停止抱怨。这是对你有好处。
- 搜索受影响网站的列表非常困难。更改所有密码要容易得多。
我不会轻易更改所有密码。我的密码管理器中有 400 多个站点,而且我不重复使用密码。在列表中查找数百个站点,无论是在Github上还是在它使用 Cloudflare上,与将它们全部更改的繁琐时间相比,这听起来并不难。
到目前为止,听起来 Cloudbleed 偶尔会导致来自一个支持 Cloudflare 的页面的信息泄漏到另一个支持 Cloudflare 的页面的输出中。
所以我错过了什么吗?鉴于我们目前所知(2017 年 2 月 25 日),是否有充分的、基于科学的理由来更改所有网站和服务的所有密码?或者这是一种恐慌反应?