Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Zwei Jahre Cloudflare Research: eine Zwischenbilanz

10.10.2021

13 min. Lesezeit
Großartige Technologieunternehmen entwickeln innovative Produkte für die ganze Welt; legendäre Technologieunternehmen verändern die Welt.

Bei Cloudflare haben wir uns das ehrgeizige Ziel gesetzt, ein besseres Internet zu schaffen. Dafür bedarf es eines mehrgleisigen Ansatzes, der unter anderem kontinuierliche Produktinnovationen, strategische Entscheidungen und den Wagemut umfasst, vermeintliche Gewissheiten im Hinblick auf die Struktur und das Potenzial des Internets infrage zu stellen. Vor zwei Jahren wurde Cloudflare Research gegründet, um die grundlegenden und praktischen Anwendungsmöglichkeiten im Bereich Computerwissenschaften auszuloten und zu einem Wandel beizutragen.

Wir möchten Ihnen im Folgenden fünf Arbeitsgrundsätze von Cloudflare bei der Anwendung von Forschungsergebnissen zur Schaffung eines besseren Internets und fünf Fallstudien zur Veranschaulichung dieser Prinzipien vorstellen. Cloudflare Research wird die ganze Woche die Blog-Beiträge verfassen, Sie sollten sich also abonnieren, um auf dem Laufenden zu bleiben!

Innovation kann von überall kommen

Unternehmen werden nicht einfach nur innovativ, weil sich intern eine Gruppe von Mitarbeitenden mit Zukunftsthemen beschäftigt, sondern durch eine Firmenkultur, die einen allgemeinen und freien Gedankenaustausch begünstigt. Forschung ist am wirkmächtigsten, wenn sie sich auch außerhalb einer abgeschotteten Laborumgebung entfalten kann, tief in sämtlichen Facetten aller Aktivitäten des Unternehmens verwurzelt ist und zugleich in Verbindung mit der Außenwelt steht. Wir betrachten unser Forschungsteam als eine unterstützende Geschäftseinheit, die gute und in den nächsten drei bis fünf Jahren realisierbare Ideen erkennen und fördern soll.

Cloudflare Research setzt auf eine enge Zusammenarbeit, um bei wichtigen Fragen unserer Produkt-, ETI (Emerging Technologies and Incubation)- und Ingenieurteams und der Branche auf dem Laufenden zu bleiben. Bei Cloudflare lernen wir Probleme kennen, indem wir uns in andere Teams eingliedern. Wir laden zudem externe Gastforscher und Wissenschaftler ein, sind in Gremien und Ausschüssen vertreten, tragen zur Gestaltung und Entwicklung offener Standards bei, nehmen jedes Jahr an Dutzenden von Konferenzen der Techbranche teil und veröffentlichen Beiträge im Rahmen von Fachtagungen.

Forschungstechnik ist etwas für Allrounder. Wir entwickeln Ideen vom Grundkonzept über den Prototyp bis hin zum Produktionscode. Unser Team greift auf Spezialisten aus Wissenschaft und Industrie sowie aus Generalisten zurück, die bei der interdisziplinären Verknüpfung von Ideen helfen. Bei der Erstellung von Umsetzungsplänen, für die Code Ownership eine maßgebliche Rolle spielt, arbeiten wir eng mit den Produkt- und Engineering-Abteilungen zusammen. Wir stellen auch viele Forschungspraktikanten ein, die uns bei der Bewertung neuer Ideen und der Reduzierung der damit verbundenen Risiken unterstützen, bevor wir die neuen Konzepte in Produktionssysteme integrieren und sie schließlich an andere Teams im Unternehmen weitergeben.

Forschungsfragen können aus allen Bereichen des Unternehmens und sogar von Kunden kommen. Unser partnerschaftlicher Ansatz hat zu vielen positiven Ergebnissen für Cloudflare, aber auch ganz allgemein für das Internet geführt.

Fallstudie Nr. 1: Passwortsicherheit

Der Dienst Have I Been Pwned, mit dem man überprüfen kann, ob ein Passwort im Rahmen eines Datenlecks kompromittiert wurde, hat vor einigen Jahren begonnen, Cloudflare zu nutzen, um seine Website unter hoher Belastung erreichbar zu halten. Allerdings wurde dabei auch ein Datenschutzproblem deutlich, denn Have I Been Pwned hätte automatisch Zugriff auf jedes dem Service vorgelegte Passwort und wäre somit ein ausgesprochen attraktives Ziel für potenzielle Angreifer. Diese Erkenntnis warf die Frage auf, ob ein solcher Dienst auch in datenschutzfreundlicher Form angeboten werden könnte.

Wie häufig bei der Arbeit des Forschungsteams kam der Impuls für die Lösung auch diesmal aus einem anderen Teil des Unternehmens. Zunächst entwickelten Mitglieder der Abteilung Support Engineering eine clevere Lösung, mit der das Problem bereits größtenteils gelöst werden konnte. Allerdings förderten die ursprünglichen Nachforschungen ein tiefliegendes und kompliziertes Problemfeld zutage, dessen Anwendungsmöglichkeiten potenziell weit über Passwörter hinausgehen. An diesem Punkt schaltete sich das Forschungsteam ein und wandte sich an Experten, darunter Thomas Ristenpart von der Universität Cornell Tech, die sich eingehender mit dieser Frage befassen sollten.

Diese Zusammenarbeit mündete in der Entwicklung eines neuen Protokolls und der Veröffentlichung eines Aufsatzes mit dem Titel Protokolle zur Überprüfung kompromittierter Anmeldedaten bei ACM CCS 2019. Das Paper wies uns den Weg in eine bestimmte Richtung. Doch weil wir den Wunsch hatten, diese Forschungserkenntnisse auf Menschen anzuwenden, luden wir zum ersten mal einen Gastforscher ein, um uns bei der Entwicklung eines Prototyps zu helfen. Noch größere Inspiration und Unterstützung erhielten wir intern, als wir erfuhren, dass ein anderes Team daran interessiert war, die Funktionen der Web Application Firewall von Cloudflare zu erweitern, um kompromittierte Kundenpasswörter aufzuspüren. Am Ende half uns dieses Team, den Prototyp zu entwickeln und ihn in die Dienste von Cloudflare zu integrieren.

Dieses Zusammenspiel aus Erkenntnissen von Kunden, interner Abstimmung und externer Zusammenarbeit brachte nicht nur eine leistungsstarke und einzigartige neue Funktion für Kunden hervor, sondern verschob auch die Grenzen des Machbaren bei datenschutzfreundlicher Technologie für einen wesentlichen Aspekt der Online-Aktivitäten jedes Nutzers: Authentifizierung. Am Donnerstag werden wir zu diesem Themenkomplex eine spannende Mitteilung veröffentlichen, also halten Sie die Augen offen!

Eine fragende Haltung führt zu besseren Produkten

Zur Unterstützung des schnell getakteten Zeitplans von Cloudflare verfolgt das Forschungsteam einen frageorientierten Ansatz. Es liegt im Wesen der Forschung, Fragen in den Mittelpunkt zu stellen. Doch es ist auch wichtig, sich klarzumachen, was das für ein branchenführendes Unternehmen bedeutet. Wir hören niemals auf, weitreichende Fragen zu den Problemen zu stellen, die von unseren Produkten bereits gelöst werden. Veränderungen wie der Wechsel vom Desktop-Computer zu mobilen Geräten oder von lokalen Sicherheitslösungen zur Cloud haben sich innerhalb eines Jahrzehnts vollzogen. Deshalb ist es wichtig, sich Fragen wie diese zu stellen:

  • Wie werden sich gesellschaftliche und geopolitische Einflüsse auf die Produkte auswirken, die wir gerade entwickeln?
  • Welche Vorannahmen sind möglicherweise in bestehenden Systemen verankert, die auf den übereinstimmenden Erfahrungen ihrer Schöpfer beruhen?
  • Welche Veränderungen in der Branche werden sich auf die Funktionsweise des Internets auswirken?
  • Welche Anwendungsmöglichkeiten sehen wir für neue und günstigere Hardware?
  • Wie können wir skalieren, um einem wachsenden Bedarf gerecht zu werden?
  • Gibt es in der IT neue Paradigmen, die durchdrungen werden müssen?
  • Wie verändern sich die Erwartungen der Nutzer?
  • Können wir etwas entwickeln, das dazu beiträgt, dass sich das Internet in die richtige Richtung bewegt?
  • Welche Sicherheits- oder Datenschutzrisiken werden sich in den nächsten Jahren voraussichtlich verstärken?

Indem wir uns auf übergeordnete Fragen konzentrieren und offen für Antworten sind, die sich nicht innerhalb der Grenzen bestehender Lösungen bewegen, erkennen wir Dinge, die andere nicht sehen. Diese Art von Weitsicht hilft nicht nur bei der Lösung von geschäftlichen Problemen, sondern kann auch zur Verbesserung von Produkten und sogar des gesamten Internets beitragen. Solche Fragen werden unternehmensweit im Bereich Forschung und Entwicklung gestellt, doch Forschung befasst sich mit Fragen, die sich nicht ohne Weiteres kurzfristig beantworten lassen.

Fallstudie Nr. 2: SSL/TLS Recommender

Als Cloudflare die kostenlose und automatische Verwendung von SSL-Zertifikaten für alle Kunden einführte, stellte dies einen großen Schritt in Richtung eines sicheren Webs dar. Eine früh am SSL-Angebot von Cloudflare geäußerte Kritik betraf den „Flexible SSL“-Modus, der zwar eine Verschlüsselung der zwischen dem Browser und Cloudflare ausgetauschten Daten ermöglicht, bei der Verbindung zwischen Cloudflare und dem Ursprungsserver aber aus Gründen der Abwärtskompatibilität auf eine Verschlüsselung verzichtet. Der Vorwurf lautete, dass bei diesem Modus nur der vordere Teil der Verbindung verschlüsselt wird, der hintere jedoch nicht.

Allerdings treten in der Online-Kommunikation die meisten Sicherheitsrisiken nicht bei der Verbindung zwischen Cloudflare und dem Ursprungsserver, sondern beim Datenaustausch zwischen dem Nutzer und Cloudflare (beispielsweise auf Ebene des ISP oder in einem Café) auf. Kunden, die auf ihren Servern keine Verschlüsselung aktivieren konnten, waren mit Cloudflare in puncto Sicherheit also deutlich besser aufgestellt.

In ein paar Einzelfällen setzten Kunden jedoch nicht die sicherste Konfiguration ein, was unerwartete und schwerwiegende Sicherheitsprobleme zur Folge hatte. In dem Wissen, dass sich Risiken nie vollständig ausschließen lassen, sahen wir der berechtigten Kritik an dem Produkt dennoch ins Auge und stellten uns die Frage: Was können wir tun, um das Sicherheitsniveau von Millionen Websites zu verbessern?

Unterstützt von Forschungspraktikanten mit Kompetenz beim Scannen und Vermessen des Internets entwickelten wir ein ausgefeiltes Scan-/Crawling-Tool, um herauszufinden, wie viel Verbesserungspotenzial noch besteht. Es stellte sich heraus, dass dieses beträchtlich war. Daher arbeiteten wir mit verschiedenen Teams innerhalb des Unternehmens zusammen, um unsere Scan-Infrastruktur mit den Cloudflare-Produkten zu verbinden. Aus diesem Grund können wir nun allen unseren Kunden den Dienst SSL/TLS Recommender anbieten, der bereits Tausenden von ihnen geholfen hat, ihre Internetpräsenzen abzusichern und die Risiken zu minimieren, denen diese ausgesetzt sind. Die Gründe, aus denen für Teile des Backends von Websites keine Verschlüsselung verwendet wird, sind vielschichtig. Dieses Projekt ist deshalb ein gutes Beispiel für eine pragmatische Herangehensweise, weil Cloudflare dadurch nicht nur ein Produkt verbessern kann, sondern Forschende gleichzeitig eine Reihe von Werkzeugen erhalten, mit denen sie dem zugrundeliegenden Problem besser zu Leibe rücken können.

Heute Tools zur Lösung der Probleme von morgen entwickeln

Eine weitere wesentliche Rolle der Forschung bei Cloudflare besteht darin, uns auf das Unbekannte vorzubereiten. Wir entwickeln „Was wäre wenn“-Szenarien und entsprechende Lösungen auf Grundlage des tatsächlichen oder möglichen gesellschaftlichen Wandels. Tausende von Unternehmen greifen auf unsere Infrastruktur zurück, um den Nutzern ihre Dienste bereitzustellen und ihre eigenen geschäftlichen Bedürfnisse zu erfüllen. Wir verbessern die Anwendererfahrung kontinuierlich, indem wir für die Zukunftssicherheit der Technologie sorgen, die sie in guten und womöglich auch in schlechten Zeiten unterstützt.

So bereiten wir uns vor:

  1. Künftige Risikobereiche ermitteln
  2. Das Problem in seinen Grundzügen analysieren
  3. Entsprechende Fachkompetenz entwickeln und diese durch externe Experten validieren lassen
  4. Mit Prototypen und groß angelegten Experimenten Betriebserfahrung sammeln
  5. Beziehungen mit all denjenigen aufbauen, die in einer Krise helfen können

Wir möchten uns ein Beispiel an der strategischen Denk- und Planungsweise von Gruppen nehmen, die oft nicht wahrgenommen werden und die Gesellschaft unterstützen – etwa eine Gesundheits- oder Forstbehörde. Wenn ein Brand ausbricht oder ein neues Virus auftaucht, haben wir gute Chancen, die Krise nicht nur zu überstehen, sondern daraus auch etwas Neues hervorzubringen. Das liegt daran, dass zuvor Schutzmaßnahmen ergriffen und entsprechende Beziehungen geknüpft wurden, während man über die Bewältigung drohender Probleme nachgedacht hat.

Fallstudie Nr. 3: Flexibilität von IP-Adressen

Ein Bereich, der für das Internet zum Problem werden könnte, ist der Mangel an IPv4-Adressen. Tatsächlich existieren nur rund vier Milliarden potenzielle IPv4-Adressen, was nicht an die Zahl der Erdbewohner und schon gar nicht an die Zahl der mit dem Internet verbundenen Geräte heranreicht. Wir haben deshalb beschlossen, uns im Kontext der einzigartigen Herangehensweise von Cloudflare an das Thema Netzwerke eingehender mit diesem Problem zu befassen.

Mehrere Annahmen im Hinblick darauf, wie verschiedene Aspekte des Internets zusammenhängen, werden durch die Cloudflare-Architektur infrage gestellt. Traditionell lässt sich eine IP-Adresse einem bestimmten Server zuordnen. Mit der Anycast-Architektur und der Server-Struktur von Cloudflare kann jedoch jeder Server jede Kunden-Website bedienen. Dank dieser Architektur konnten wir unseren Dienst mit äußerst geringem Aufwand in enormem Umfang skalieren.

IP-Beschränkungen wirken innovationshemmend

Diese Erkenntnis hat dazu geführt, dass wir auch andere Grundannahmen zur prinzipiellen Funktionsweise des Internets infrage gestellt haben. Wenn eine IP-Adresse keinem konkreten Server zugewiesen sein muss, was ließe sich dann sonst noch davon abkoppeln? Wäre es möglich, auch Hostnamen und IPs voneinander zu lösen? Vielleicht schon! Diese Frage ließe sich auch negativ stellen: Was entgeht uns, wenn wir diese Entkopplung nicht nutzen? Es erschien uns zumindest einen Versuch wert, dies zu beantworten.

Wir entschlossen uns daher zu einer empirischen Überprüfung und führten ein Experiment durch, bei dem alle nicht zahlenden Kunden in einer gesamten Region von derselben IP-Adresse aus bedient wurden. Dabei handelte es sich um eine abteilungsübergreifende Initiative, an der sowohl das DNS-Team als das IP-Adressierungsteam und das Edge-Lastverteilungs-Team beteiligt waren. Mit diesem Experiment ließ sich nachweisen, dass für Millionen Dienste eine einzige IP eingesetzt werden kann, gleichzeitig wurden aber auch einige Risiken deutlich. Das Ergebnis waren ein bei ACM SIGCOMM 2021 veröffentlichtes Paper sowie ein Projekt zur Neugestaltung unseres autoritativen DNS-Systems, das um ein Vielfaches flexibler sein soll. Diese Flexibilität hilft Cloudflare unter anderem dabei, potenzielle rechtliche Probleme noch vor ihrem Auftreten anzugehen.

Gemeinsam einen Schritt weiter gehen

Das Internet ist nicht nur einfach ein loser Zusammenschluss von Unternehmen und Hardware im Wert von Milliarden von Dollar, sondern auch ein Beziehungsgeflecht, dessen gesellschaftlicher Einfluss sich über die ganze Welt erstreckt. Diese Beziehungen und die technischen Standards, die sie reglementieren, sind die Grundbausteine für die Entwicklung wichtiger Aspekte der modernen Gesellschaft im Internet.

Millionen Websites nutzen das Netzwerk von Cloudflare, das mehrere zehn Millionen Anfragen pro Sekunde übermittelt. Unsere Entscheidungen und die von uns auf den Markt gebrachten Produkte haben erhebliche Bedeutung für die Industrie und Milliarden von Menschen. In den meisten Fällen haben wir nur die Kontrolle über eine Seite einer Internetverbindung. Um Milliarden Nutzer und mit dem Internet verbundene Geräte zu versorgen, werden unterstützende Protokolle wie DNS, BGP, TLS und QUIC benötigt und angewendet. Definiert werden diese von Normungs- und Standardisierungsorganisationen wie der Internet Engineering Task Force (IETF).

Protokolle werden weiterentwickelt und neue Protokolle verändern sich kontinuierlich, um den sich wandelnden Anforderungen des Internets gerecht zu werden. Damit das von uns angestrebte sicherere, datenschutzfreundlichere, leistungsfähigere und besser erreichbare Internet auch Realität wird, kommt es für uns unter anderem darauf an, bei der Gestaltung dieser Protokolle, ihrer Anwendung im großen Maßstab und der Entwicklung der für ihren Einsatz erforderlichen Open Source-Software eine Führungsrolle einzunehmen.

Fallstudie Nr. 4: Oblivious DNS

Auch bei der Einführung des Recursive DNS-Diensts 1.1.1.1 von Cloudflare im Jahr 2019 stand Datenschutz im Vordergrund. Wir boten 1.1.1.1 mit einem neuen Verschlüsselungsstandard namens DNS-over-HTTPS (DoH) an, um Abfragen auf ihrem Weg durch das Internet vor unbefugten Blicken zu schützen. Doch auch bei DoH wird eine DNS-Abfrage der IP-Adresse des Nutzers zugeordnet, der sie gestellt hat. Cloudflare hat eine Datenschutzrichtlinie erstellt und technische Maßnahmen ergriffen, um sicherzustellen, dass IP-Daten von Nutzern nur kurze Zeit gespeichert werden. Wir haben sogar eine wichtige Prüfungsstelle beauftragt, dies zu bestätigen. Es stellte sich aber weiterhin die Frage, ob wir den Dienst auch anbieten könnten, ohne diese vertraulichen Informationen zu erfassen. Um Nutzern den Zugriff über das anonyme Tor-Netzwerk zu erlauben, entwickelten wir den Onion Resolver, der jedoch extrem langsam war. Wir standen daher vor der Herausforderung, ein kryptografisch nicht öffentliches DNS mit akzeptabler Performance zu entwickeln.

Die ODoH-Architektur

Der Durchbruch kam durch eine Kombination von Quellen. Wir erfuhren von neuen Ergebnissen aus dem akademischen Bereich, die eine neue Proxy-Technik namens Oblivious DNS beschreiben. Wir stießen außerdem auf andere Branchenakteure bei Apple und Fastly, die an demselben Problem arbeiteten. Der daraus resultierende Vorschlag verknüpfte Oblivious DNS und DoH zu einem eleganten Protokoll namens Oblivious DoH (oder ODoH). ODoH wurde veröffentlicht und innerhalb der IETF ausgiebig diskutiert. DNS ist ein besonders standardabhängiges Protokoll, da verschiedene Parteien so viele Komponenten des Systems betreiben. ODoH fügt der Gleichung ein weiteres Element hinzu, wodurch gründliche Interoperabilitätsstandards noch wichtiger werden.

Das Forschungsteam entwickelte mithilfe eines Praktikanten (zu dessen Erfahrungen im Team Sie morgen noch mehr erfahren werden) auf Basis eines frühen ODoH-Entwurfs einen Prototyp auf Cloudflare Workers. Damit haben wir die Performance gemessen und die Machbarkeit eines groß angelegten ODoH-Einsatzes bestätigt. Das führte zu diesem Forschungsbeitrag, der bei PoPETS 2021 veröffentlicht wurde.

Die Ergebnisse unserer Experimente gaben uns das Vertrauen, eine produktionsreife Anwendung zu erstellen. Unsere Forschungsingenieure arbeiteten für die Implementierung und Einführung von ODoH für 1.1.1.1 mit den Ingenieuren des Resolver-Teams zusammen. Außerdem stellten wir ODoH-bezogenen Code in Go und Rust quelloffen zur Verfügung und boten eine mit Cloudflare Workers kompatible Version an. Darüber hinaus arbeiteten wir mit der Open-Source-Community zusammen, um das Protokoll in gängige Tools wie dnscrypt einzubinden und so die Verbreitung von ODoH zu fördern. ODoH ist nur ein Beispiel für die branchenübergreifende Arbeit zur Entwicklung von Standards, über die Sie in einem der folgenden Blog-Beiträge mehr erfahren werden.

Von der Theorie zur Praxis im globalen Maßstab

Jedes Jahr werden Tausende von Artikeln zu Internet-Technologien in Dutzenden von Fachzeitschriften veröffentlicht. Die Ideen aus der akademischen Forschung können unser grundlegendes Verständnis der Welt in wissenschaftlicher Hinsicht verändern, haben in diesem Stadium aber oft noch keine Auswirkungen auf die Nutzer. Innovation kann ihren Ursprung überall finden. Da wir in der glücklichen Lage sind, Ideen von außen aufnehmen zu können, ist es daher wichtig, dies auch zu tun.

Als Wissenschaftler wird man für den Durchbruch belohnt, nicht für das Weiterentwickeln einer Entdeckung. Wir jedoch schätzen die Möglichkeit, uns mit der Weiterentwicklung zu befassen und diese sogar voranzutreiben, weil diese Herausforderungen greifbare Verbesserungen für das Internet versprechen. Unserer Erfahrung nach kann man durch das Weiterentwickeln und Umsetzen einer Idee oft viel mehr über sie lernen, als wenn man eine Erkenntnis einfach nur schriftlich festhält. Was in einer Laborumgebung oder in einem theoretischen Aufsatz nur ein kleiner Fehler ist, kann im Internet zu einem gewaltigen Problem werden, und scheinbar unbedeutende Erkenntnisse können enormes Potenzial bergen.

Bei Cloudflare sind wir in der glücklichen und einzigartigen Lage, die Vielfalt des Internets nutzen zu können, um die bestehende Forschung voranzutreiben und ihre Auswirkungen in der Praxis zu untersuchen. Wir können die die in Forschungsbeiträgen beschrieben Ergebnisse und Lösungen in die Realität umsetzen, weil wir den dafür notwendigen Einblick in das Anwenderverhalten haben: Zurzeit verwendet fast jeder Internetnutzer in direkter oder indirekter Weise Cloudflare.

Außerdem haben wir nun eine Größenordnung erreicht, bei der Probleme, die bisher auf konventionelle Weise behoben werden konnten, mit neuen Mitteln gelöst werden müssen. Beispielsweise existieren kryptografische Werkzeuge wie identitätsbasierte Verschlüsselung und Zero-Knowledge-Beweise auf dem Papier schon seit Jahrzehnten. Sie werden jedoch erst seit Kurzem in einer kleinen Anzahl von Live-Systemen eingesetzt, entwickeln sich nun aber zu wertvollen Werkzeugen im konventionellen Internet und haben Auswirkungen auf das reale Leben.

Fallstudie Nr. 5: Cryptographic Attestation of Personhood

In Fallstudie Nr. 4 haben wir uns mit einer tiefgreifenden und grundlegenden Frage aus dem Netzwerkbereich beschäftigt. So viel Spaß es machen kann, sich intensiv mit der zugrundeliegenden Technik zu beschäftigen, so wichtig ist es auch, Fragen zur Nutzererfahrung nachzugehen – denn diese wirkt sich unmittelbar auf Auftraggeber und Kunden aus. Für unsere Kunden ist der Schutz vor Bots ein wesentlicher Nutzen von Cloudflare, und eines der von uns dafür eingesetzten Tools sind CAPTCHAs. Doch diese sind allgemein verhasst. Kaum etwas verursacht bei Internetnutzern größere Wut, als wenn sie beim Aufrufen einer Website unterbrochen und aufgefordert werden, Straßenschilder und Lastwagen auf Bildern mit schlechter Auflösung zu identifizieren. Darüber hinaus sind die gebräuchlichsten CAPTCHAs für viele Gruppen, etwa blinde und sehbehinderte Menschen, nicht nutzbar. Das Bot-Team von Cloudflare hat mithilfe von maschinellem Lernen große Fortschritte dabei erzielt, dass serverseitig weniger CAPTCHAs angezeigt werden (was an sich schon ein schwieriges Problem darstellt). Darauf aufbauend stellten wir uns die Frage, ob wir die Zugänglichkeit auf Client-Seite nutzen könnten, um einen den CAPTCHAs gleichwertigen Schutz zu bieten.

der Nutzer-Workflow von CAP]

Dies führte zur Entwicklung eines neuen Verfahrens, das wir Cryptographic Attestation of Personhood (CAP) getauft haben. Bisher mussten Nutzer Cloudflare beweisen, dass sie Menschen sind, indem sie eine menschliche Aufgabe ausführen. Wir wollten sie stattdessen bitten, die Vertrauenswürdigkeit ihrer physische Hardware zu beweisen. Dafür wählten wir den beliebten WebAuthn-Standard, um Millionen von Nutzern zu erlauben, ihre physischen Sicherheitsschlüssel oder das in ihren Telefonen und Laptops integrierte biometrische Hardwaresystem zu nutzen.

Dieses Projekt warf mehrere spannende und tiefgreifende Fragen hinsichtlich Datenschutz und Nutzererfahrung auf. Mithilfe eines Forschungspraktikanten, der über Erfahrung mit anonymer Authentifizierung verfügte, veröffentlichten wir ein Paper bei SAC 2021. Darin untersuchten wir Möglichkeiten für den Einsatz und die Verbesserung von Zero-Knowledge-Verschlüsselungssystemen, um unsere Lösung um zusätzliche Datenschutzfunktionen zu ergänzen. Aufgrund der Omnipräsenz von Cloudflare können wir Millionen von Nutzern mit dieser neuen Idee vertraut machen und begreifen, wie sie verstanden wird: Denken die User zum Beispiel, dass Websites auf diese Weise ihre biometrische Daten erfassen können? Wir werden demnächst einen (gemeinsam mit dem Nutzererfahrungs-Team verfassten) Artikel zu diesen Nutzererfahrungsfragen einreichen.

Einige der Antworten auf diese von der Forschung geprägten Fragen fallen überraschend aus, andere nicht. Doch die Ergebnisse dieses frageorientierten Ansatzes konnten ausnahmslos zur Lösung von Problemen beitragen.

Das erwartet Sie im Blog

Wie bereits erwähnt wird Cloudflare Research in den nächsten Tagen für mehrere Ankündigungen und technische Erläuterungen den Cloudflare-Blog übernehmen. Hier eine kleine Auswahl der behandelten Themen:

  • Die Ankündigungen: Eine neue Landing Page, auf der Sie sich über unsere Forschungsprojekte informieren können und weiterführenden Lesestoff finden.
  • Eingehende technische Erläuterungen zu Forschungsaufsätzen und Standards, darunter die oben vorgestellten Projekte (und viele weitere).
  • Einblicke in unsere Arbeitsweise und Möglichkeiten, mit uns zusammenzuarbeiten.

Wir wünschen Ihnen viel Spaß bei der Lektüre!

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
DeutschResearch (DE)

Folgen auf X

Nick Sullivan|@grittygrease
Cloudflare|@cloudflare

Verwandte Beiträge

08. März 2024 um 14:05

Log Explorer: Überwachung von Sicherheitsereignissen ohne Speicherlösungen von Drittanbietern

Mit der kombinierten Leistungsfähigkeit von Security Analytics + Log Explorer können Sicherheitsteams Sicherheitsangriffe nativ innerhalb von Cloudflare analysieren, untersuchen und überwachen. Dadurch werden die Zeit bis zur Lösung und die Gesamtbetriebskosten für Kunden reduziert...