MADRI 24 mar. (Portaltic/EP) -
A Cloudflare anunciou que começará a bloquear conexões feitas por meio de portas HTTP em sua API para evitar a exposição de informações confidenciais do usuário, pois são conexões em que os dados são transmitidos sem criptografia e podem ser interceptados por intermediários da rede, incluindo agentes mal-intencionados.
O Hypertext Transfer Protocol Secure (HTTPS) é uma versão segura da conexão HTTP, o principal protocolo usado para enviar dados entre um navegador da Web e um site. Ao incorporar o S, ele indica que o site tem um certificado SSL/TLS instalado e, portanto, usa uma conexão criptografada e segura para a transferência de dados, o que protege informações confidenciais, como o login de uma conta bancária.
Nesse sentido, é comum que os servidores redirecionem a conexão HTTP ou retornem uma resposta 403 (proibida) ao tentar fazer uma conexão HTTP, para forçar os usuários a usar HTTPS e evitar que os dados sejam interceptados por intermediários da rede, inclusive agentes mal-intencionados.
No entanto, conforme explicado pela Cloudflare, esse método pode não ser eficaz em todos os casos, pois informações confidenciais, como um token de API, podem ser transmitidas sem criptografia na solicitação HTTP inicial. Portanto, "os dados são expostos antes que o servidor tenha a chance de redirecionar o cliente ou rejeitar a conexão".
Para evitar esses possíveis vazamentos, a Cloudflare anunciou que começará a fechar todas as portas de rede usadas para HTTP de texto simples em sua API (api.cloudflare.com), além de implementar alterações para permitir que a API altere dinamicamente os endereços IP.
"A partir de hoje, qualquer conexão não criptografada com api.cloudflare.com será completamente rejeitada. Os desenvolvedores não devem mais esperar uma resposta 403 'Forbidden' para conexões HTTP, pois impediremos que a conexão subjacente seja estabelecida fechando completamente a interface HTTP. Somente conexões HTTPS seguras serão permitidas", explicou a empresa de tecnologia em um comunicado em seu blog.
Essa é uma mudança que afetará sites, bots ou ferramentas que dependem do protocolo HTTP no serviço de API da Cloudflare, pois eles não funcionarão mais.
A Cloudflare também indicou que habilitará essa opção no último trimestre de 2025 para clientes com sites em seu serviço para "desativar com segurança" todo o tráfego de porta HTTP de seus sites, como parte de seu compromisso de melhorar a segurança na Internet. Essa opção é um acréscimo à configuração "Sempre usar HTTPS" já disponível.
ALTERAR DINAMICAMENTE OS ENDEREÇOS IP
Além disso, a Cloudflare também anunciou que implementou alterações para permitir que a API altere dinamicamente os endereços IP, com o objetivo de desacoplar os nomes dos clientes dos endereços IP e, ao mesmo tempo, gerenciar de forma confiável os endereços em seu "DNS autoritativo".
De acordo com a empresa, isso foi implementado para melhorar a agilidade e a flexibilidade do gerenciamento de endpoints da API. Além disso, os clientes que usam endereços IP estáticos para endpoints de API serão notificados com antecedência para "evitar possíveis problemas de disponibilidade".
A Cloudflare disse que também está explorando outras áreas em que é seguro fechar portas para tráfego de texto simples, com a ideia de causar "um grande impacto" na criação de uma Internet melhor.
Esta notícia foi traduzida por um tradutor automático