HackerNews 编译,转载请注明出处:
Cloudflare宣布,已关闭所有HTTP连接,现在仅接受api.cloudflare.com的安全HTTPS连接。
此举旨在防止未加密的API请求被发送,即使是意外发送的,也会在服务器关闭HTTP连接并重定向到安全通信通道之前,消除敏感信息在明文流量中暴露的风险。
“从今天起,任何未加密的连接到api.cloudflare.com都将被完全拒绝,”Cloudflare周四的公告中写道。
“开发者不应再期望HTTP连接出现403禁止响应,因为我们将通过完全关闭HTTP接口来阻止底层连接的建立。只允许建立安全的HTTPS连接,”这家互联网服务公司补充道。
Cloudflare API帮助开发者和系统管理员自动化和管理Cloudflare服务。它用于DNS记录管理、防火墙配置、DDoS防护、缓存、SSL设置、基础设施部署、访问分析数据以及管理零信任访问和安全策略。
此前,Cloudflare系统允许通过HTTP(未加密)和HTTPS(加密)访问API,要么通过重定向,要么拒绝HTTP。
然而,正如公司所解释的,即使被拒绝的HTTP请求也可能在服务器响应之前泄露敏感数据,如API密钥或令牌。
当连接通过公共或共享Wi-Fi网络时,这种场景更加危险,因为中间人攻击更容易得逞。
通过完全禁用API访问的HTTP端口,Cloudflare在传输层屏蔽了明文连接,在任何数据交换之前强制执行HTTPS。
影响和下一步行动
这一变化立即影响了使用Cloudflare API服务的HTTP协议的任何人。依赖该协议的脚本、机器人和工具将中断。
同样适用于遗留系统和自动客户端、物联网设备以及由于配置不当而不支持或不默认使用HTTPS的低级客户端。
对于在Cloudflare上有网站的客户,公司计划在年底前推出一个免费选项,以安全的方式禁用HTTP流量。
Cloudflare数据显示,所有通过其系统的互联网流量中,仍有约2.4%是通过不安全的HTTP协议进行的。当考虑到自动化流量时,HTTP的份额跃升至近17%。
客户可以在仪表板的“分析与日志”>“通过SSL提供的流量”下跟踪HTTP与HTTPS流量,然后再选择加入,以评估这对他们环境的影响。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
