Cloudflare 推出“暂时 ID”:对抗欺诈的新武器
Cloudflare 在其最近的生日周活动中推出了一项名为“暂时 ID”(Ephemeral IDs)的新功能,旨在通过将行为与特定客户端而不是 IP 地址进行关联来识别欺诈活动,无论该活动是来自机器人还是人类。
这项新技术旨在解决攻击者轮换大量 IP 地址以逃避标准 WAF(Web 应用防火墙)监控技术的常见问题。由于“暂时 ID”是基于 IP 地址之外的模式生成的,因此恶意行为者会发现他们要完全伪装其请求会更具挑战性。
“暂时 ID”的实际应用:防止欺诈性帐户注册
Cloudflare 工程经理 Oliver Payne、Cloudflare 产品经理 Sally Lee 和 Cloudflare 高级软件工程师 Benedikt Wolters 解释道:“暂时 ID”的一个实际用例是防止欺诈性帐户注册。想象一下,一个坏人,一个使用真实设备的真人,在轮换 IP 地址以避免被检测发现的同时创建了数百个虚假帐户。通过摄取“暂时 ID”并将其与帐户创建日志一起记录,Cloudflare 可以根据帐户创建阈值实时设置预警或追溯排查可疑活动。
与 Turnstile 的集成:更有效的用户验证
Cloudflare 两年前推出的 Turnstile 是一种验证工具,旨在通过生成各种类型的非侵入式挑战来验证用户是否是人类,从而取代验证码,不再需要访问者解答难题。一旦在部署中启用了“暂时 ID”,向 Turnstile 发出的 curl 请求将会演示如何返回临时的“暂时 ID”以标识客户端。
隐私和合规性保护:确保用户数据安全
虽然新选项可以跨时间跟踪不同的请求,但 Cloudflare 强调了现有的隐私和合规性保护:当访问者与不同的 Cloudflare 客户交互时,他们会为每个客户分配不同的“暂时 ID”。此外,由于这些 ID 会经常更改,因此它们不能用于长时间跟踪单个访问者。
用户反馈:对“暂时 ID”的积极评价
用户 techcyclev 在 X 上评论道:“Cloudflare 对‘暂时 ID’采取的创新方式给我留下了深刻的印象。作为一名用户体验(UX)设计师,我很欣赏其在保持有效欺诈检测的同时重视用户隐私的做法。这对于安全在线交互来说是一个改变游戏规则的举措。”
“暂时 ID”的未来潜力:更深入的欺诈分析
Payne、Lee 和 Wolters 补充道:“尽管‘暂时 ID’的存在时间很短,并在考察开始时可能已经发生了变化,但它们仍然可以通过汇总分析提供有价值的见解,并为识别欺诈和滥用行为提供额外的维度。”
Cloudflare 生日周活动:其他重大更新
“暂时 ID”并不是 Cloudflare 生日周活动期间唯一的公告,Workers 平台有 18 项更新,还包括每个 Durable Object 中都有零延迟的 SQLite 存储,以及更快的 AI 平台等其他重大更新。
当前可用性:仅限企业客户
尽管每次 Cloudflare 部署都能受益于向挑战平台(Challenge Platform)添加“暂时 ID”,但目前只有 Turnstile 企业和 Bot 管理企业客户才能通过 Turnstile 站点验证响应使用新选项。
结论:Cloudflare 的“暂时 ID”为对抗欺诈提供了新的思路
Cloudflare 的“暂时 ID”是网络安全领域的一项重要创新,它通过将行为与特定客户端进行关联,并结合 Turnstile 的用户验证功能,为识别和阻止欺诈活动提供了更有效的工具。同时,Cloudflare 强调了对用户隐私和合规性的重视,确保了新技术的安全可靠应用。随着“暂时 ID”的进一步发展和应用,它有望成为对抗网络欺诈的强大武器,为用户提供更安全、更可靠的在线体验。
Views: 0