Cloudflare teljesen letiltja a titkosítatlan API-hozzáférést

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

A Cloudflare bejelentette, hogy mostantól kizárólag titkosított, HTTPS-kapcsolatokat fogad az api.cloudflare.com végponton. Az új biztonsági intézkedés célja, hogy megakadályozza a titkosítatlan API-kérések küldését, még véletlenül is, ezzel kiküszöbölve az érzékeny adatok kiszivárgásának kockázatát. A változás értelmében bármilyen HTTP-alapú kapcsolat teljesen elutasításra kerül, azaz a Cloudflare API mostantól nem küld 403 Forbidden válaszüzenetet, hanem egyáltalán nem engedi létrejönni a titkosítatlan kapcsolatot.

„Mától kezdve minden titkosítatlan kapcsolat az api.cloudflare.com címhez teljes mértékben el lesz utasítva.” – olvasható a Cloudflare csütörtöki közleményében.

Miért van erre szükség?

A Cloudflare API lehetővé teszi a fejlesztők és rendszergazdák számára a szolgáltatások automatizálását és kezelését, beleértve a DNS-kezelést, tűzfal-konfigurációt, DDoS-védelmet, gyorsítótárazást, SSL-beállításokat, infrastrukturális telepítést és biztonsági szabályok kezelését. Korábban a Cloudflare mind HTTP, mind HTTPS protokollon keresztül engedélyezte az API-hozzáférést, és vagy átirányította a kéréseket HTTPS-re, vagy visszautasította azokat. Azonban még az elutasított HTTP-kérések is kiszivárogtathattak érzékeny adatokat (például API-kulcsokat vagy hitelesítési tokeneket), mielőtt a szerver válaszolt volna. Az ilyen adatszivárgás különösen veszélyes nyilvános vagy megosztott Wi-Fi hálózatokon, ahol az adathalász és ember a középen (MitM – Man-in-the-Middle) támadások könnyebben kivitelezhetők.

A HTTP-hozzáférés teljes tiltásával a Cloudflare a titkosítatlan kapcsolatok már a hálózati szinten elutasításra kerülnek, mielőtt bármilyen adatforgalom létrejönne.

A változás azonnali hatállyal érinti azokat, akik eddig HTTP-n keresztül használták a Cloudflare API-t. Ennek következtében:

  • A HTTP-alapú szkriptek, botok és eszközök nem fognak működni.
  • Régebbi rendszerek, IoT-eszközök és automatizált kliensek, amelyek nem támogatják a HTTPS-t, hibát fognak tapasztalni.
  • Hibás konfiguráció esetén egyes szolgáltatások elérhetetlenné válhatnak.

A Cloudflare tervezi, hogy még 2025 vége előtt ingyenesen elérhetővé tesz egy olyan opciót, amely lehetővé teszi a HTTP-forgalom biztonságos letiltását az ügyfelek weboldalain is. A Cloudflare adatai szerint a teljes internetforgalom 2,4%-a még mindig HTTP-n zajlik, és ha az automatizált forgalmat is beleszámítjuk, ez az arány közel 17%.

A Cloudflare-felhasználók ellenőrizhetik a saját HTTP és HTTPS forgalmuk arányát a Cloudflare irányítópulton: Analytics & Logs > Traffic Served Over SSL menüpontban. Ez segít felmérni az átállás hatását, mielőtt véglegesen tiltják a HTTP-t a saját környezetükben.