Home » Économie » Cloudflare bloque les connexions HTTP vers les API par défaut
Économie

Cloudflare bloque les connexions HTTP vers les API par défaut

by Nouvelles

Cloudflare bloque désormais toutes les connexions non chiffrées via son API. Seules les connexions HTTPS sécurisées sont autorisées via cette API.Les connexions HTTP peuvent parfois divulguer des informations, même si elles sont redirigées.

Cloudflare bloque toutes les connexions HTTP vers `api.cloudflare.com`. Cette API permet aux développeurs de gérer les services Cloudflare depuis d’autres environnements. L’API autorisait jusqu’à présent les connexions HTTP, mais Cloudflare disposait d’un paramètre pour forcer une connexion HTTPS. Une connexion non chiffrée était ainsi redirigée vers la connexion chiffrée appropriée.

Selon Cloudflare, cela présente une vulnérabilité. Si une requête HTTP contient des informations sensibles avant même la redirection et le chiffrement, cela peut entraîner une fuite de données sensibles. Cela peut se produire, par exemple, par le biais d’une attaque de l’homme du milieu. Cloudflare cite l’exemple d’une connexion où une secret key est envoyée en texte clair. HSTS n’est pas non plus une bonne solution, car cela ne fait que raccourcir le temps dont dispose un attaquant pour frapper.

Dans le cas des clés et des jetons API, il est critically important d’appliquer une sécurité supplémentaire. Toute clé ou jeton qui a été visible est compromis, donc non sécurisé et inutilisable.Environ 2,4 % du trafic de Cloudflare, considéré comme « probablement humain », transite encore par une connexion HTTP non sécurisée via l’API. Le trafic HTTP total, y compris le trafic automatisé, représente environ 16 %. il s’agit par exemple d’appareils IoT qui n’ont pas la possibilité de chiffrer facilement une connexion.

Cloudflare Renforce la Sécurité de son API : Fin des Connexions HTTP Non Chiffrées

Table of Contents

Cloudflare a pris des mesures pour renforcer la sécurité de son API en bloquant toutes les connexions HTTP non chiffrées. Seules les connexions HTTPS sécurisées sont désormais autorisées à travers l’API.

Pourquoi ce changement ?

Le basculement vers HTTPS uniquement vise à prévenir les fuites de données potentielles et à réduire les risques de cybermenaces. Même si les requêtes HTTP étaient précédemment redirigées vers HTTPS, des informations sensibles pouvaient être divulguées avant le chiffrement, comme lors d’une attaque de l’homme du milieu.

Impact de cette mesure

Cloudflare bloque désormais les connexions HTTP vers api.cloudflare.com, une API essentielle pour les développeurs. Cette API permet la gestion des services Cloudflare. Auparavant, bien qu’il existât une option pour forcer HTTPS, les connexions HTTP étaient autorisées, ce qui présentait un risque.

Le Danger des Données Non Chiffrées

L’envoi d’informations sensibles via HTTP, notamment les clés secrètes, est particulièrement vulnérable. HSTS n’est pas une solution suffisante dans ce cas, car il ne fait que réduire la fenêtre d’opportunité d’un attaquant. Il est crucial d’appliquer une sécurité supplémentaire aux clés et jetons API. Une clé ou un jeton qui a été visible est compromis.

Analyze du trafic

Environ 2,4 % du trafic Cloudflare “probablement humain” utilisait encore une connexion HTTP. Le trafic HTTP total représente environ 16 %, incluant les appareils IoT qui peuvent avoir des difficultés à chiffrer leur connexion.

FAQ

1. Pourquoi Cloudflare bloque-t-il les connexions HTTP vers son API ?

Pour renforcer la sécurité et prévenir les fuites de données, en particulier celles liées aux informations sensibles envoyées avant le chiffrement.

2. Qu’est-ce qu’une attaque de l’homme du milieu ?

Une attaque où un attaquant intercepte et éventuellement modifie la dialog entre deux parties, par exemple entre un utilisateur et l’API.

3. Qu’est-ce que HSTS ?

HSTS (HTTP strict Transport Security) est un mécanisme pour forcer les navigateurs à utiliser HTTPS. Cependant, il n’est pas suffisant pour sécuriser les données en transit.

4. Pourquoi est-ce problématique d’envoyer des clés API en clair ?

Une clé API exposée peut être utilisée pour accéder aux ressources protégées, menant à une compromission et à l’accès non autorisé aux données.

5. Qu’est-ce que la sécurité API ?

La sécurité API englobe les mesures mises en place pour protéger les API contre les accès non autorisés,les attaques et les fuites de données.

Résumé

| Caractéristique | Détails |

|—|—|

| Changement | Blocage des connexions HTTP non chiffrées vers api.cloudflare.com |

| Objectif | Renforcer la sécurité, prévenir les fuites de données. |

| impact sur les développeurs | Seules les connexions HTTPS sont désormais acceptées. |

| Risque Evité | Vulnérabilités potentielles dans la transmission de données sensibles. |

| Trafic Effecté | Environ 2,4% du trafic “probablement humain” transigeait en HTTP.Environ 16% du trafic total. |

You may also like

Bitcoin en zone rurale : le minage crypto...

Pronostic Chine Australie Coupe du Monde

Prix des maisons en hausse record en Irlande

Chery Super Hybrid : bientôt en Indonésie, consommation...

ISCOM : Formation en communication et marketing digital

Trump veut annexer le Canada : possible ou fantasme ?

Autisme, Tourette, TDAH : le quotidien professionnel

Tesla : chute des ventes en Europe

Les ventes de bagues de diamants, moteur des...

Fonction inconnue qui facilite vos voyages

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.