Cloudflare a anunțat că a închis toate conexiunile HTTP și acceptă acum doar conexiuni securizate, HTTPS, pentru api.cloudflare.com.
Măsura previne trimiterea accidentală a cererilor de API necriptate, eliminând riscul expunerii informațiilor sensibile în traficul în clar înainte ca serverul să închidă conexiunea HTTP și să redirecționeze către un canal de comunicare securizat.
„Începând de astăzi, orice conexiune necriptată către api.cloudflare.com va fi complet respinsă,” se arată în anunțul Cloudflare de joi.
„Dezvoltatorii nu ar trebui să se aștepte la un răspuns 403 Interzis pentru conexiunile HTTP, deoarece vom preveni stabilirea conexiunii subiacente închizând complet interfața HTTP. Doar conexiunile HTTPS securizate vor fi permise să fie stabilite” – a adăugat compania de servicii internet.
API-ul Cloudflare ajută dezvoltatorii și administratorii de sistem să automatizeze și să administreze serviciile Cloudflare. Este folosit pentru gestionarea înregistrărilor DNS, configurarea firewall-ului, protecția DDoS, cache-ul, setările SSL, implementarea infrastructurii, accesarea datelor de analiză și gestionarea accesului zero-trust și a politicilor de securitate.
Anterior, sistemele Cloudflare permiteau accesul API-ului atât peste HTTP (necriptat), cât și peste HTTPS (criptat), fie redirecționând, fie respingând cererile HTTP.
Cu toate acestea, așa cum explică compania, chiar și cererile HTTP respinse ar putea scurge date sensibile precum cheile API sau tokenurile înainte ca serverul să răspundă.
Un astfel de scenariu este mai periculos atunci când conexiunea este realizată peste rețele Wi-Fi publice sau partajate, unde atacurile adversarului în mijloc sunt mai ușor de realizat.
Prin dezactivarea completă a porturilor HTTP pentru accesul la API, Cloudflare blochează conexiunile text la nivelul de transport înainte ca vreun date să fie schimbat, impunând HTTPS de la început.
Schimbarea afectează imediat pe oricine folosește HTTP pe serviciul API Cloudflare. Scripturile, roboții și uneltele care se bazează pe protocol vor fi afectate.
Același lucru se aplică sistemelor și clienților automatizați vechi, dispozitivelor IoT și clienților la nivel scăzut care nu susțin sau nu se bazează implicit pe HTTPS din cauza unei configurații necorespunzătoare.
Pentru clienții cu site-uri web pe Cloudflare, compania se pregătește să lanseze o opțiune gratuită către sfârșitul anului care va dezactiva traficul HTTP într-un mod sigur.
Datele Cloudflare indică faptul că un procent mic, dar semnificativ, de aproximativ 2,4% din tot internetul care trece prin sistemele sale este încă realizat peste protocolul nesigur HTTP. Când se ia în considerare traficul automatizat, cota HTTP crește la aproape 17%.
Clienții pot urmări traficul HTTP vs HTTPS pe tabloul de bord sub Analize și Jurnale > Trafic servit peste SSL înainte de a opta, pentru a estima impactul pe care îl va avea asupra mediului lor.
Pe baza unei analize a 14M de acțiuni malitioase, descoperiți cele mai importante 10 tehnici MITRE ATT&CK din spatele a 93% dintre atacuri și cum să vă apărați împotriva lor.
Amazon Redshift primește noi setări implicite pentru a preveni încălcările de date
Pluginul de securitate WordPress WP Ghost este vulnerabil la o defecțiune de execuție de cod la distanță
Noul ransomware SuperBlack exploatează defecțiunile de autentificare Fortinet
Mozilla avertizează utilizatorii să-și actualizeze Firefox-ul înainte de expirarea certificatului
Salt cuantic: Parolele în noua eră a securității informatice
Leave a Reply