Cloudflare ประกาศว่าได้ปิดการเชื่อมต่อ HTTP ทั้งหมด และตอนนี้จะรับเฉพาะการเชื่อมต่อที่ปลอดภัยผ่าน HTTPS สำหรับ api.cloudflare.com เท่านั้น
การดำเนินการนี้ป้องกันไม่ให้มีการส่ง API request ที่ไม่เข้ารหัส แม้ในกรณีที่ส่งโดยไม่ตั้งใจ เพื่อจำกัดความเสี่ยงที่ข้อมูลสำคัญอาจถูกเปิดเผยในข้อความที่ไม่ถูกเข้ารหัส โดยที่เซิร์ฟเวอร์จะปิดการเชื่อมต่อ HTTP และเปลี่ยนเส้นทางไปยังช่องทางการสื่อสารที่ปลอดภัย
Cloudflare ประกาศเมื่อวันที่ 20 มีนาคม 2568 ที่ผ่านมาว่า ตั้งแต่วันนี้เป็นต้นไป การเชื่อมต่อที่ไม่ได้มีการเข้ารหัสไปยัง api.cloudflare.com จะถูก rejected ทั้งหมด
Cloudflare ระบุว่า นักพัฒนาจะไม่ได้รับ Status code 403 Forbidden สำหรับการเชื่อมต่อ HTTP อีกด้วย เนื่องจากจะมีการป้องกันไม่ให้การเชื่อมต่อถูกสร้างขึ้นโดยการปิดอินเตอร์เฟซ HTTP ทั้งหมด โดยการเชื่อมต่อที่ปลอดภัยผ่าน HTTPS เท่านั้นที่จะได้รับการอนุญาตให้เชื่อมต่อได้
API ของ Cloudflare ช่วยให้นักพัฒนา และผู้ดูแลระบบสามารถจัดการระบบอัตโนมัติ และ Cloudflare services ได้ง่ายขึ้น ซึ่งใช้สำหรับ DNS records management, firewall configuration, DDoS protection, caching, SSL settings, infrastructure deployment, accessing analytics data, managing zero-trust access และ security policies
ก่อนหน้านี้ ระบบของ Cloudflare อนุญาตให้เข้าถึง API ได้ทั้ง HTTP (ไม่ได้เข้ารหัส) และ HTTPS (เข้ารหัส) โดยอาจใช้วิธีเปลี่ยนเส้นทาง redirect หรือ reject การเชื่อมต่อ HTTP
อย่างไรก็ตาม ทางบริษัทอธิบายว่า แม้แต่คำขอ HTTP ที่ถูกปฏิเสธก็อาจทำให้ข้อมูลสำคัญ เช่น API keys หรือ tokens รั่วไหลได้ก่อนที่เซิร์ฟเวอร์จะตอบกลับ
สถานการณ์เช่นนี้มีความอันตรายมากขึ้นเมื่อการเชื่อมต่อเกิดขึ้นบนเครือข่าย Wi-Fi สาธารณะ หรือเครือข่ายที่ใช้ร่วมกัน ซึ่งทำให้การโจมตีแบบ adversary-in-the-middle ทำได้ง่ายมากขึ้น
โดยการปิดการใช้งานพอร์ต HTTP ทั้งหมดสำหรับการเข้าถึง API ซึ่ง Cloudflare จะปิดกั้นการเชื่อมต่อที่เป็น plaintext ตั้งแต่ระดับ transport layer ก่อนที่ข้อมูลใดจะถูกแลกเปลี่ยน และเป็นการบังคับให้ใช้ HTTPS ตั้งแต่เริ่มต้น
ผลกระทบ และขั้นตอนต่อไป
การเปลี่ยนแปลงนี้ส่งผลกระทบทันทีต่อผู้ที่ยังคงใช้ HTTP ในการเข้าถึงบริการ Cloudflare API โดย Scripts, bots และเครื่องมือต่าง ๆ ที่พึ่งพาโปรโตคอลนี้จะไม่สามารถทำงานได้
โดยหลักการเดียวกันนี้ใช้กับ legacy systems และ automated clients ซึ่งอุปกรณ์ IoT และ low-level clients ที่ไม่รองรับ หรือไม่ได้ตั้งค่าให้ใช้กับ HTTPS เป็นค่าเริ่มต้น เนื่องจากการตั้งค่าที่ไม่เหมาะสม
สำหรับลูกค้าที่มีเว็บไซต์อยู่บน Cloudflare ทางบริษัทกำลังเตรียมเปิดตัว free option ในช่วงปลายปีนี้ ซึ่งจะปิดการใช้งานการรับส่งข้อมูล HTTP ในวิธีที่ safe กว่าวิธีนี้
ข้อมูลของ Cloudflare ระบุว่ามีเพียง 2.4% บนอินเทอร์เน็ตทั้งหมดที่ผ่านระบบของ Cloudflare ที่ยังคงใช้โปรโตคอล HTTP ที่ไม่ปลอดภัย แต่เมื่อคำนึงถึงปริมาณ automated traffic แล้วสัดส่วนของ HTTP จะเพิ่มขึ้นเป็นเกือบ 17%
ลูกค้าสามารถติดตามปริมาณทราฟฟิก HTTP เทียบกับ HTTPS ได้ผ่าน dashboard ของ Cloudflare ภายใต้เมนู Analytics & Logs > Traffic Served Over SSL ก่อนที่จะเลือกใช้งานฟีเจอร์นี้ เพื่อประเมินผลกระทบที่จะเกิดขึ้นกับ environment ของตนเอง
ที่มา : bleepingcomputer
You must be logged in to post a comment.