弃用__cfduid cookie

2020-12-09 20:57:56

Cloudflare弃用了__cfduid cookie。从2021年5月10日开始,我们将停止在所有HTTP响应上添加“ Set-Cookie”标头。最后的__cfduid cookie将在此之后30天过期。

除了代表客户提供关键的性能和安全服务外,我们从未将__cfduid cookie用于任何目的。虽然,我们必须承认,使用它中的带有“ uid”的名称确实听起来像是某种用户ID。不是。 Cloudflare绝不会跨站点跟踪最终用户或出售其个人数据。但是,我们不希望对Cookie的使用有任何疑问,并且我们不希望任何客户认为我们需要Cookie横幅。

那么为什么我们以前使用__cfduid cookie,又为什么现在要删除它呢?

Cookie的主要用途是检测网络上的漫游器。恶意漫游器可能会破坏最终用户明确要求的服务(通过DDoS攻击)或损害用户帐户的安全性(例如,通过蛮力密码破解或凭据填充等方式)。我们使用许多信号来构建可以检测自动机器人流量的机器学习模型。 cfduid cookie的存在和年龄只是我们模型中的一个信号。因此,对于受益于我们的漫游器管理产品的客户,cfduid cookie是一种工具,可让他们提供最终用户明确要求的服务。

cfduid cookie的值是从cookie的IP地址,日期/时间,用户代理,主机名和引荐网站的单向MD5哈希得出的,这意味着我们无法将cookie绑定到具体的人。仍然,作为一家隐私第一的公司,我们认为:是否可以找到一种更好的方法来检测不依赖于收集最终用户IP地址的漫游器?

在过去的几周中,我们一直在尝试看看是否可以在不使用此Cookie的情况下运行我们的漫游器检测算法。我们了解到,我们有可能摆脱使用该cookie来检测机器人的转变。我们现在会通知您弃用,以便让我们的客户有时间过渡,而我们的漫游器管理团队将努力确保删除此Cookie后,我们的漫游器检测算法的质量不会下降。 (请注意,一些Bot Management客户在4月1日之后仍然需要使用其他Cookie。)

尽管这是一个很小的变化,但我们很高兴有任何机会使网络变得更简单,更快和更私有。

隐私隐私周Bots Cookies