写点什么

暂时 ID:Cloudflare 的最新欺诈检测工具

作者:Renato Losio

  • 2024-11-06
    北京
  • 本文字数:1412 字

    阅读完需:约 5 分钟

暂时 ID:Cloudflare 的最新欺诈检测工具

在最近的生日周活动期间,Cloudflare 推出了一项用于欺诈检测的新功能,暂时 ID(Ephemeral IDs)。该工具通过将行为与特定的客户端而不是 IP 地址进行关联来识别欺诈活动,无论该欺诈活动是来自机器人还是人类。


通过 Turnstile 站点验证响应,这项新的识别技术旨在解决攻击者轮换大量 IP 地址以逃避标准 WAF 监控技术的常见问题。由于暂时 ID(Ephemeral IDs)是基于 IP 地址之外的模式生成的,因此恶意行为者会发现他们要完全伪装其请求会更具挑战性。Cloudflare 工程经理 Oliver Payne、Cloudflare 产品经理 Sally Lee 和 Cloudflare 高级软件工程师 Benedikt Wolters 解释道:


暂时 ID(Ephemeral IDs)的一个实际用例是防止欺诈性帐户注册。想象一下,一个坏人,一个使用真实设备的真人,在轮换 IP 地址以避免被检测发现的同时创建了数百个虚假帐户。通过摄取暂时 ID(Ephemeral IDs)并将其与帐户创建日志一起记录,我们可以根据帐户创建阈值实时设置预警或追溯排查可疑活动。



IP 地址(绿色)与暂时 ID(蓝色)。来源:Cloudflare 博客


两年前推出的 Turnstile 是一种验证工具,旨在通过生成各种类型的非侵入式挑战来验证用户是否是人类,从而取代验证码,不再需要访问者解答难题。一旦在部署中启用了暂时 ID(Ephemeral IDs),向 Turnstile 发出的 curl 请求将会演示如何返回临时的暂时 ID(Ephemeral IDs)以标识客户端:


curl 'https://challenges.cloudflare.com/turnstile/v0/siteverify' --data 'secret=verysecret&response=<RESPONSE>'{    "success": true,    "error-codes": [],    "challenge_ts": "2024-09-10T17:29:00.463Z",    "hostname": "example.com",    "metadata": {        "ephemeral_id": "x:9f78e0ed210960d7693b167e"    }}
复制代码


来源:Cloudflare 博客


虽然新选项可以跨时间跟踪不同的请求,但 Cloudflare 强调了现有的隐私和合规性保护:当访问者与不同的 Cloudflare 客户交互时,他们会为每个客户分配不同的暂时 ID(Ephemeral IDs)。此外,由于这些 ID 会经常更改,因此它们不能用于长时间跟踪单个访问者。用户 techcyclev 在 X 上 评论 道:


Cloudflare 对暂时 ID(Ephemeral IDs)采取的创新方式给我留下了深刻的印象。作为一名用户体验(UX)设计师,我很欣赏其在保持有效欺诈检测的同时重视用户隐私的做法。这对于安全在线交互来说是一个改变游戏规则的举措。


Payne、Lee 和 Wolters 补充道:


尽管暂时 ID(Ephemeral IDs)的存在时间很短,并在考察开始时可能已经发生了变化,但它们仍然可以通过汇总分析提供有价值的见解,并为识别欺诈和滥用行为提供额外的维度。


暂时 ID(Ephemeral IDs)并不是 Cloudflare 生日周活动期间唯一的公告,Workers 平台有 18 项更新,还包括每个 Durable Object 中都有零延迟的 SQLite 存储,以及更快的 AI 平台等其他重大更新。


尽管每次 Cloudflare 部署都能受益于向挑战平台(Challenge Platform)添加暂时 ID(Ephemeral IDs),但目前只有 Turnstile 企业和 Bot 管理企业客户才能通过 Turnstile 站点验证响应使用新选项。

作者介绍


Renato Losio 作为云架构师、技术主管和云服务专家拥有丰富的经验。目前,他住在柏林和的里雅斯特之间,作为首席云架构师远程工作。他的主要兴趣领域包括云服务和关系数据库。他是 InfoQ 的编辑,也是公认的 AWS 数据英雄。你可以在领英上与他联系。


查看原文链接:

https://www.infoq.com/news/2024/10/cloudflare-ephemeral-id/

2024-11-06 08:0010252

评论

发布
暂无评论
发现更多内容

WEB服务如何平滑的上下线

转转技术团队

nginx Java web

华硕无双,这可能是屏幕最好的平价高刷轻薄笔记本

科技热闻

通过14个入门实战案例教大家快速学习Python编程语言

小院里的霍大侠

Python Python初学者 程序员‘ 编程入门 兴趣编程

字节前端面试题总结

buchila11

前端面试

web前端技术前景如何?

小谷哥

常见分布式理论(CAP、BASE)和一致性协议(Gosssip、Raft)

程序员啊叶

Java 编程 程序员 架构 java面试

Snowflake vs. Databricks谁更胜一筹?2022年最新战报

雨果

数据中台 数据平台 snowflake DaaS数据即服务 Databricks

学习Java开发技术建议

小谷哥

Redis总结:缓存雪崩、缓存击穿、缓存穿透与缓存预热、缓存降级

程序员啊叶

Java 编程 程序员 架构 java面试

初学者入门:使用WordPress搭建一个专属自己的博客

hum建应用专家

数据库 Wordpress 博客部署 WordPress

2022 秋招 Java 岗面试高频问题总结

程序员啊叶

Java 编程 程序员 架构 java面试

Java——AOP案例之测量业务层接口执行效率

王小凡

Java 程序员 apo

在web前端培训机构应该如何学习前端

小谷哥

以科技传递温度,vivo亮相数字中国建设峰会

极客天地

《数字经济 科技向善》大咖对谈干货来啦

易观分析

金融科技

数据分析如何解决商业问题?这里有份超详细攻略

博文视点Broadview

es6 class 继承的重点

掘金安东尼

JavaScript 前端 ES6 7月月更

Java 多商户外贸版 PC 端功能,出场就是这么硬核!

CRMEB

OpenAtom OpenHarmony分论坛,今天14:00见!附大事记精彩发布

OpenHarmony开发者

OpenHarmony

YonBuilder赋能创新,用友第四届开发者大赛“金键盘奖”开启竞逐!

科技热闻

腾讯云联合中国工联院发布工业AI质检标准化研究成果加速制造业智能化转型

科技热闻

阿里P8熬了一个月肝出这份32W字Java面试手册,在Github标星31K+

程序员啊叶

Java 编程 程序员 架构 java面试

程序员培训学习后好找工作吗

小谷哥

Seata 在蚂蚁国际银行业务的落地实践

SOFAStack

开源项目 seata 项目实践 多编程语言 蚂蚁国际

面试官常问:如何手撸一个“消息队列”和“延迟消息队列”?

程序员啊叶

Java 编程 程序员 架构 java面试

Go语言系列:如何搭建Go语言开发环境?

小黑豆豆

后端 安装 教程 Go 语言 签约计划第三季

续上,Python爬虫在 fiddler 中调用本地 JS 代码文件

梦想橡皮擦

Python 爬虫 7月月更

什么是私域流量?

源字节1号

软件开发

尚硅谷Elasticsearch8.X视频教程

小谷哥

深入理解MySQL主从复制原理以及集群部署过程

jiangxl

MySQL 数据库 运维 dba 签约计划第三季

责任链模式在转转精准估价中的应用

转转技术团队

设计模式 责任链

暂时 ID:Cloudflare 的最新欺诈检测工具_芯片&算力_InfoQ精选文章