我有一个应用想连接到 cloudflare 进行 cdn。但是,Cloudflare 帮我处理了 https 加密,所以我担心用户密码可能会被记录。
有哪些好的做法可以保护 CDN 提供商的敏感信息?
答案1
好的做法是不要将 CDN 用于此类敏感信息。就这么简单。
使用另一个域(帐户......)来处理登录,就像 Microsoft 所做的那样(login.live.com),并且不要通过 CDN 运行它。
使用带有承载令牌的标准 OAuth2 身份验证方案,该令牌始终仅通过标头传输,而不会在请求 URL 中传输。
完毕。
答案2
https://developers.cloudflare.com/logs/
默认情况下,Cloudflare 不会保留您的 HTTP 请求日志。但是,如果您是 Spectrum 客户,则会自动保留 Spectrum 事件的日志。
如果您有理由相信您的服务提供商不会遵守与他们签订的(数据处理)合同/服务协议的条款和条件,那么您不应该与他们做生意。
从技术角度来看:您自己的系统以及服务提供商(当您启用时)将要执行的典型(默认)日志记录是 HTTP 请求日志记录。
不要对您的应用程序进行编程以发出包含敏感数据(例如www.example.com/login?login=zcaudate&password=s3cr3tURI)的请求,并确保这些日志不会包含敏感信息。
不要低估用户在用户名字段等输入密码的能力,因此不要以为您只需要避免带有密码字段的请求,而是完全避免它们。