超级会员免费看
用户密码暴露给第三方CDN的量化分析
1. 不同CDN提供商的密码暴露情况
在使用Cloudflare的网站中,将DNS提供商转移到Cloudflare的网站里,有63%会将用户密码暴露给Cloudflare;而使用Cloudflare CDN服务但未转移DNS提供商的网站,83%不会出现密码暴露问题。
对于Incapsula,高达66%的网站密码暴露率可能源于其提供的动态内容缓存服务。该服务会在短时间内缓存动态内容以提升网页加载性能,而其他CDN提供商并未启用此服务。使用Incapsula的网站可能会利用这一服务缓存包括登录响应在内的动态内容,从而导致密码暴露。
网站信任知名CDN提供商并采用其防御攻击是合理的,但这并不意味着用户也应信任CDN。从用户角度看,他们可能会担忧与第三方CDN共享私人数据的问题。此外,流行CDN还存在单点故障风险,恶意内部人员可能会泄露超过40%客户网站的用户密码,导致大规模用户数据泄露。
研究人员将这些发现告知了Cloudflare、Akamai和Fastly三家CDN提供商,他们均作出回应,承认密码暴露问题,并声称值得信赖,会遵循隐私政策保护客户数据。Akamai还解释,为给客户提供诸如WAF等保护,必须终止包括传输私人数据的TLS连接。
2. 不同网站类别的密码暴露分布
研究人员从Alexa Top Sites by Category收集网站类别数据,在12,451个启用CDN的网站中,2,010个可通过Alexa数据分类。由于政府、娱乐和家庭三类网站中启用CDN的网站少于20个,数据代表性不足,因此仅分析其余14个类别。
订阅专栏 解锁全文
扫一扫
5
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
