Хакер #309. Самооборона по-хакерски
Компания Cloudflare объявила, что теперь принимает только защищенные HTTPS-соединения к api.cloudflare.com, а все HTTP-порты будут закрыты.
Разработчики объясняют, что это позволит предотвратить отправку даже случайных незашифрованных API-запросов, тем самым исключая риск раскрытия конфиденциальной информации в открытом трафике до того, как сервер закроет HTTP-соединение и перенаправит его в защищенный канал.
«Начиная с сегодняшнего дня, любое незашифрованное соединение с api.cloudflare.com будет отвергаться полностью, — сообщили в Cloudflare 20 марта 2025 года. — Разработчикам больше не следует ожидать ответа 403 Forbidden для HTTP-соединений, поскольку мы будем препятствовать установлению основного соединения, полностью закрыв HTTP-интерфейс. Будет разрешено устанавливать только безопасные HTTPS-соединения».
Ранее системы Cloudflare разрешали доступ к API как посредством HTTP, так и HTTPS, перенаправляя или отклоняя HTTP. Но, как объясняют в компании, даже отклоненные HTTP-запросы могут привести к утечке конфиденциальных данных (к примеру, ключей или токенов API) до того, как сервер ответит на запрос.
В случае с общественными или открытыми сетями Wi-Fi такой сценарий становится еще более опасным, поскольку там легче осуществить атаку типа man-in-the-middle.
Полностью отключая HTTP-порты для доступа к API, Cloudflare блокирует такие соединения на транспортном уровне (transport layer), еще до обмена данными.
Это изменение непосредственно коснется всех, кто использует HTTP, то есть скрипты, боты и инструменты, полагающиеся на этот протокол, выйдут из строя. То же относится к устаревшим системам и автоматизированным клиентам, IoT-устройствам и низкоуровневым клиентам, которые не поддерживают HTTPS или не переходят на него по умолчанию из-за неправильной конфигурации.
Ожидается, что к концу года Cloudflare запустит бесплатную функцию, с помощью которой пользователи тоже смогут безопасно отключать HTTP-трафик.
По данным компании, примерно 2,4% всего интернет-трафика, проходящего через ее системы, все еще передается по небезопасному протоколу HTTP. Если учитывать автоматический трафик, то доля HTTP возрастает почти до 17%.
