Da tempo l’azienda Cloudflare, che fornisce servizi che vanno dalla protezione contro attacchi DDoS alla gestione della rete di distribuzione dei contenuti, porta avanti la sua battaglia per un cloud più sicuro. Già nell’ormai lontano 2023 avevamo parlato dei problemi che il provider aveva scoperto relativi al protocollo HTTP e, purtroppo, le cose nel tempo non sono migliorate.
Un aspetto interessante che lega Cloudflare all’open-source nel suo approccio alla sicurezza e alla difesa contro l’uso non autorizzato dei dati è l’utilizzo di soluzioni innovative e, in un certo senso, hackeristiche nel senso più positivo del termine.
Un esempio perfetto di questo approccio è il nuovo sistema AI Labyrinth, raccontato in questo articolo di ARS Technica, pensato per contrastare la raccolta indiscriminata di dati da parte delle intelligenze artificiali.
Invece di bloccare direttamente i bot che ignorano le direttive “no crawl” (continuando ad estrarre contenuti senza permesso), Cloudflare ha deciso di giocare d’astuzia attirando questi bot in un labirinto di pagine generate da AI, piene di informazioni plausibili ma irrilevanti.
Questo significa che i bot, invece di ottenere dati reali, finiscono per sprecare risorse analizzando contenuti inutili. È un’idea che certamente piacerà poco a quanti pensano che le AI stiano già dando il colpo di grazia all’ambiente, ma che è anche geniale per come evita che i gestori dei bot capiscano subito di essere stati scoperti e, soprattutto, introduce una dinamica nuova nella lotta contro lo scraping non autorizzato: non solo difesa, ma attacco.
Ma non finisce qui. AI Labyrinth è anche un modo per migliorare il rilevamento dei bot nel tempo: raccogliendo dati su chi si addentra troppo in profondità nel labirinto, Cloudflare affina continuamente la propria capacità di identificare le minacce automatizzate.
La cosa interessante è che questo sistema non è appannaggio dei soli clienti enterprise: tutti gli utenti, anche quelli con il piano gratuito, possono attivarlo con un semplice clic. Il che è un segnale chiaro che la protezione della proprietà intellettuale sul web sta diventando una questione sempre più cruciale, in cui anche le piccole realtà devono potersi difendere.
Sempre in tema sicurezza Cloudflare ha anche deciso di bloccare completamente il traffico non cifrato sulle sue API. Questo significa che tutte le connessioni HTTP sono ora rifiutate senza possibilità di reindirizzamento verso HTTPS.
Perché? Per eliminare il rischio che dati sensibili come chiavi API o token vengano intercettati prima che il server possa chiudere la connessione. È un passaggio importante, perché anche se fino a oggi il protocollo HTTP veniva spesso automaticamente reindirizzato a HTTPS, c’era comunque un breve momento in cui informazioni critiche potevano finire esposte.
La decisione avrà un impatto immediato su chi ancora usa HTTP per accedere alle API di Cloudflare, incluse vecchie applicazioni, dispositivi IoT mal configurati e script che non supportano HTTPS. Ma il messaggio è chiaro: nel mondo di oggi, usare connessioni non cifrate non è più accettabile.
Secondo Cloudflare, il 2,4% del traffico che passa attraverso la sua rete è ancora su HTTP, ma se si considerano i bot e i sistemi automatizzati, questa percentuale sale addirittura al 17%. Un numero che dimostra come, nonostante tutto, il problema delle connessioni non sicure sia ancora molto diffuso.
Queste due iniziative, AI Labyrinth e il blocco del traffico non cifrato, raccontano bene la direzione che Cloudflare sta prendendo: un approccio shift-left alla sicurezza, ovvero prevenire i problemi il prima possibile anziché limitarsi a reagire, la stessa cosa che stiamo cercando di raccontare da tantissimo tempo qui sul blog.
Proteggere i dati fin dall’inizio, eliminare i rischi di intercettazione e contrastare attivamente le minacce sono ormai passaggi obbligati nel mondo IT di oggi. E se aziende come Cloudflare stanno spingendo in questa direzione, è un chiaro segnale che chiunque operi nel settore deve iniziare a prendere la sicurezza molto più seriamente.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
English (US)