Forget IPs: using cryptography to verify bot and agent traffic
a year ago
- #cloudflare
- #cybersecurity
- #bot-authentication
- Cloudflare提出两项机器人认证提案:HTTP消息签名和请求mTLS
- 现有验证机制(如用户代理头和IP地址)不可靠且易被伪造
- HTTP消息签名通过加密方式为机器人提供身份验证,提升安全性与可靠性
- 请求mTLS采用双向TLS证书认证,并通过新TLS标志位声明支持
- 两种方案旨在帮助站点所有者更好地管控自动化流量并提升透明度
- Cloudflare正与OpenAI等合作伙伴推动认证机制的标准化进程
- 具体实现示例和代码已发布在GitHub平台
- 这些提案是Cloudflare增强机器人管理和AI审计能力的整体战略组成部分