Webシステムはどんどん広がっています。
Webシステムというと、通常のWebの閲覧者はコンテンツをサービスしているWebシステムを連想すると思いますが、インターネットには それとは異なる利用を想定されたWebシステムもあります。
その大きな一つがAPI用のWebシステムです。
この使われ方をする通信はWeb APIと呼ばれ、HTTPやHTTPSなどWeb技術を用いて実現されるAPIの一類型です。
APIは、あるプログラムの機能や機能の一部を、別のプログラムから利用できるようにする仕組みのことです。
「REST」とか「SOAP」とかいう単語をご存じの方も多いかもしれません。
そういうデータ送受信時のルールのもと、さまざまなシステムが連携する動作にWeb APIは利用されます。
こういったWeb APIを公開しているサービスは多くあります。
その一つのCloudflareがCloudflare APIの公開仕様を変更したとアナウンスしました。
- 今日からHTTPは使えません
いろいろな組織のシステムがいろいろなWeb APIを公開されています。
これらの多くはHTTPでもHTTPSでも利用を開始できるようになっています。
Cloudflare APIも、従来はそうでした。
しかし、先日の発表以降、Cloudflare APIはHTTPで利用を開始することはできなくなりました。 - HTTPから開始される通信手順の場合安全でない場合がある
以前は、Cloudflareシステムでは、HTTPをリダイレクトまたは拒否することで、HTTP(暗号化されていない通信手段)と HTTPS(暗号化されている通信手段)の両方を介したAPIアクセスが許可されていました。
しかし、今回の変更で、このうちのHTTPでの通信開始ができないように変更になりました。
どうして このような大きな変更に踏み切ることになったのでしょうか。
拒否されたHTTPリクエストでも、サーバが応答する前にAPIキーやトークンなどの機密データが漏洩する可能性があるから、という説明がされています。
これを回避するため、Cloudflare APIの仕様は変更されました。
HTTPで接続を試みる通信の中で平文のままでAPIキーやトークンが送信されてしまうケースが想定され、それを通信経路上で取得されてしまうと、本来 秘密でなければいけないAPIキーやトークンが想定利用者でない利用者に使われてしまうというわけです。
想定利用者でない利用者は、脅威アクターということですね。
このニュースはCloudflare APIの仕様のお話でしたが、この話の中心の部分の問題はCloudflare APIだけのものではありません。
バグには実装バグと仕様バグがあるように、脆弱性にも実装に起因する脆弱性と仕様に起因する脆弱性があるというお話です。
いろいろなニュースに目を通すようにし、得られた情報を活用して、身の回りのシステムの安全性の向上を継続していきたいですね。
HTTPS-only for Cloudflare APIs: shutting the door on cleartext traffic
https://blog.cloudflare.com/https-only-for-cloudflare-apis-shutting-the-door-on-cleartext-traffic/
| この記事をシェア |
|
|---|
