我理解有问题还是 backblaze 的对象存储就有这种漏洞？

之前看到 v 友讨论腾讯 cos 防刷，有人提到：

事实上如果找到你 COS 桶源站域名，就算你每个请求都鉴权，攻击者也可以靠刷请求次数让你破产~（无效请求也要计费）

看后虎躯一震，想到一直在用 backblaze 的对象存储服务完全可以被别人推出桶源站域名（ S3 URL)...

具体情况如下：

背景

我目前是 backblaze 搭配 cloudflare 使用，使用他们的"friendly URL"套 cf 可以减免回源流量费。

官方套 cf 文档： https://help.backblaze.com/hc/en-us/articles/217666928-Using-Backblaze-B2-with-the-Cloudflare-CDN

槽点

简单解释一下，

Friendly URL 示例： https://f000.backblazeb2.com/file/my-bucket-name/image-name

也就是说，套上 cf 后，访问地址就变成了： https://我的二级域名 /file/存储桶名 /图片名

然后它的 S3 URL 是这样的： https://存储桶名.s3.us-west-000.backblazeb2.com/图片名

那么问题来了，其他人只要根据 cdn 访问地址，就可以知道我的存储桶名，然后轻易地推出 S3 URL 。

然后就如 v 友所说。。

事实上如果找到你 COS 桶源站域名，就算你每个请求都鉴权，攻击者也可以靠刷请求次数让你破产~（无效请求也要计费）

官方第一次回应

Hello there,

Thank you for taking the time to write in,

The only vulnerability that may occur is if a malicious user would download your files many times to incur a large download bill on your part, but just knowing the public URLs of the files does not grant access or the ability to upload or delete files from a public bucket. If the bucket is private no downloads, inquires or other type of access can occur unless they have a valid app key and keyID to that bucket, which would be impossible to retrieve from your website.

Let me know if you have any other questions.

Regards,

Bob The Backblaze Team

可能我表达出了问题，他没有理解我的意思，还是确实他们的无效请求不计费？

我现在再问的话，因为有时差，应该明天才能回复我了。

本来就对这个不太懂，有没有 v 友可以指导下...