在最近的生日周活动期间,Cloudflare 推出了一项用于欺诈检测的新功能,暂时 ID(Ephemeral IDs)。该工具通过将行为与特定的客户端而不是 IP 地址进行关联来识别欺诈活动,无论该欺诈活动是来自机器人还是人类。
通过 Turnstile 站点验证响应,这项新的识别技术旨在解决攻击者轮换大量 IP 地址以逃避标准 WAF 监控技术的常见问题。由于暂时 ID(Ephemeral IDs)是基于 IP 地址之外的模式生成的,因此恶意行为者会发现他们要完全伪装其请求会更具挑战性。Cloudflare 工程经理 Oliver Payne、Cloudflare 产品经理 Sally Lee 和 Cloudflare 高级软件工程师 Benedikt Wolters 解释道:
暂时 ID(Ephemeral IDs)的一个实际用例是防止欺诈性帐户注册。想象一下,一个坏人,一个使用真实设备的真人,在轮换 IP 地址以避免被检测发现的同时创建了数百个虚假帐户。通过摄取暂时 ID(Ephemeral IDs)并将其与帐户创建日志一起记录,我们可以根据帐户创建阈值实时设置预警或追溯排查可疑活动。
IP 地址(绿色)与暂时 ID(蓝色)。来源:Cloudflare 博客
两年前推出的 Turnstile 是一种验证工具,旨在通过生成各种类型的非侵入式挑战来验证用户是否是人类,从而取代验证码,不再需要访问者解答难题。一旦在部署中启用了暂时 ID(Ephemeral IDs),向 Turnstile 发出的 curl 请求将会演示如何返回临时的暂时 ID(Ephemeral IDs)以标识客户端:
来源:Cloudflare 博客
虽然新选项可以跨时间跟踪不同的请求,但 Cloudflare 强调了现有的隐私和合规性保护:当访问者与不同的 Cloudflare 客户交互时,他们会为每个客户分配不同的暂时 ID(Ephemeral IDs)。此外,由于这些 ID 会经常更改,因此它们不能用于长时间跟踪单个访问者。用户 techcyclev 在 X 上 评论 道:
Cloudflare 对暂时 ID(Ephemeral IDs)采取的创新方式给我留下了深刻的印象。作为一名用户体验(UX)设计师,我很欣赏其在保持有效欺诈检测的同时重视用户隐私的做法。这对于安全在线交互来说是一个改变游戏规则的举措。
Payne、Lee 和 Wolters 补充道:
尽管暂时 ID(Ephemeral IDs)的存在时间很短,并在考察开始时可能已经发生了变化,但它们仍然可以通过汇总分析提供有价值的见解,并为识别欺诈和滥用行为提供额外的维度。
暂时 ID(Ephemeral IDs)并不是 Cloudflare 生日周活动期间唯一的公告,Workers 平台有 18 项更新,还包括每个 Durable Object 中都有零延迟的 SQLite 存储,以及更快的 AI 平台等其他重大更新。
尽管每次 Cloudflare 部署都能受益于向挑战平台(Challenge Platform)添加暂时 ID(Ephemeral IDs),但目前只有 Turnstile 企业和 Bot 管理企业客户才能通过 Turnstile 站点验证响应使用新选项。
作者介绍
Renato Losio 作为云架构师、技术主管和云服务专家拥有丰富的经验。目前,他住在柏林和的里雅斯特之间,作为首席云架构师远程工作。他的主要兴趣领域包括云服务和关系数据库。他是 InfoQ 的编辑,也是公认的 AWS 数据英雄。你可以在领英上与他联系。
查看原文链接:
评论