Может ли cloudflare воровать трафик?

может, более того, пару tcpdump файлов я видел в январе на авито в продаже

Ого!

И что ты ему сделаешь?

Может ли cloudflare воровать трафик?

С одного конца палки https c другого http. По идее может

Сам спросил, сам ответил. Очевидно же, что может, и ты сам это понимаешь. В чём смысл темы?

но зачем?

Здесь вряд ли есть сотрудники CF, которые могли бы ответить на этот вопрос. А если и есть, то не ответят, потому что им запрещено. А если сами сниффят как-то, а не только в интересах CF — тем более не ответят.

но зачем?

Зависит от того, что на другом конце этого «зачем» :) Я предлагаю вам развить тему «Могут ли провайдеры между CF и Site воровать трафик?».

По идее может, но зачем?

Именно. Зачем? Попытка заработать на прослушке трафика, да даже просто прослушка без внятных целей, приведёт к огромным репутационным потерям. Но технически может, да.

Он не трафик ворует, а статистику собирает по посещаемым сайтам и продает ее барыгам

приведёт к огромным репутационным потерям

Практика показывает, что к незначительным. Побухтят в интернетах недельку, да забудут. Сколько раз всяких мелкомягких на этом ловили, хоть со скайпой, хоть с виндой. Да много кого. Это вызывало шумиху на недельку-другую, а через некоторое время все благополучно об этом забывали. Пользователей особо не убавлялось. Тут будет ровно то же самое.

Он не «может», он ворует. Для этого и требует SSL private key. Никаких других причин требовать от клиента решившего воспользоваться этим говном для якобы «защиты сервера от DDoS» или там ещё для чего, нет в принципе.

Cloudflare должен быть уничтожен.

Побухтят в интернетах недельку, да забудут.

Да, весьма вероятно. Но есть ещё оборотные штрафы от ЕС, и это тоже хороший мотиватор.

Никаких других причин требовать от клиента решившего воспользоваться этим говном для якобы «защиты сервера от DDoS» или там ещё для чего, нет в принципе.

Эксперты в треде. Кешировать и WAF делать как будешь? Как юзеров от ботов отличать будешь тоже расскажи. И если совсем докопаться, то ничего не требует, кроме указания ns.

Любой mitm может. Чего сказать-то хотел?

Есть причины, и немало. Это в первую очередь кэширующий CDN. И как ему что-то кэшировать если оно зашифровано?

Щас бы с серьёзным лицом объяснять что-то конспирологам.

Кешировать и WAF делать как будешь?

Cloudflare никогда ничего не кеширует. Они дураки, что-ли тратить ресурс на лохов? Иначе никаких «error 521 web server is down» на чистой статике никогда не было бы.

Как юзеров от ботов отличать будешь

А он и не отличает. Ему главное чтобы зондокуки и разрешение шурудить жабоскриптом было. И почему-то оно сходу пишет не «Checking if you are a human», например, а нагло врёт про «Checking if the site connection is secure».

Cloudflare - лживые ублюдки, почти в открытую ворующие данные миллионов пользователей и торгующие ими. При этом ещё и лохов-хостеров обувают, которые им деньги платят за отсутствующие услуги.

Нужно быть конченным дебилом чтобы пользоваться cloudflare для «защиты» или «оптимизации» своего сайта.

И если совсем докопаться, то ничего не требует, кроме указания ns.

И как же он показывает свою сраную «Checking if the site connection is secure» или «error 521 web server is down» на домене сайта по https без доступа к private key?

Это в первую очередь кэширующий CDN. И как ему что-то кэшировать если оно зашифровано?

Cloudflare ничего не кеширует. Никогда. Если сервак ему недоступен оно всегда показывает «error 521 web server is down» даже если запрашивается статическая картинка или страничка с бесконечным сроком. Если бы Cloudflare хоть что-то кешировало, то такого не могло бы быть в принципе.

Или Cloudflare тут же удаляет всё закешированное с сервака если сервак случайно стал недоступен? Да? <- вот это вот самая натуральная конспирология в самом плохом понимании которое натянули реально существующие конспираторы на этот термин.

Уменьшение количества запросов на сервере после подключения Cloudflare это всего лишь уменьшение количества реальных посетителей за счёт того что многим нахер не упёрлось доказывать Cloudflare что он не робот. Которое, кстати, очень часто приводит к бесконечному циклу «Verify you are human by completing the action below.». Конечно посетители перестают посещать сайтик. Количество запросов снижается. А эти ублюдки выдают лоху падение посещаемости за работу «кэша» или «защиты от ботов».

Здесь вряд ли есть сотрудники CF, которые могли бы ответить на этот вопрос. А если и есть, то не ответят, потому что им запрещено. А если сами сниффят как-то, а не только в интересах CF — тем более не ответят.

Как это не ответят? Конечно ответят: что их компания самая честная в мире и ни в коем случае не будет сниффить трафик ни для коммерческой реализации, ни по заказу служб.

А он и не отличает. Ему главное чтобы зондокуки и разрешение шурудить жабоскриптом было.

Ну чтобы куки прочитать уже надо митм сделать. да и не только куки там. Оправдание для митма у них, конечно же, есть, и не придерёшься. Но оно не означает что кроме этой заявленной цели они ни для чего митм не используют.

Ну чтобы куки прочитать уже надо митм сделать.

MitM там искаропки безальтернативно. И гарантированно используется для воровства пользовательских данных. Вообще даже обсуждать нечего.

Но оно не означает что кроме этой заявленной цели они ни для чего митм не используют.

Самое мерзкое с Cloudflare даже не то, что они воруют данные, а то, что до сих пор находится лошьё которое не только верит в то, что Cloudflare делает что-то ещё кроме этого, но ещё и платит за это деньги.

Это, кстати к вопросу о том, нужно ли человеку использующему что-то, например веб, разбираться в том, как он работает.

Какой же ты клоун прямо с первых слов. Эталонное 4.2 в кристальной форме.

Весь твой поток сознания не содержит ни одного истинного утверждения. О****ь. Поразительно.

Ещё раз - для нормальной защиты от http-атак митм нужен неизбежно, так что да, безальтернативно из коробки. Не восприми это как защиту митмфлара, я тоже его не люблю, но некорректные аргументы (которые ты приводишь) действуют только в его пользу, а вовсе не против.

Ещё раз - для нормальной защиты от http-атак митм нужен неизбежно,

Ага, щаз. Это маркетологи такое напели?

Нет, это я сам выяснил, когда её реализовывал местами.

Может ли cloudflare воровать

У меня ихние представители на конференции по СПО спи&дили новенькие рейтузы и кипятильник… Так что, я бы этому не удивлялся…

Я написал как любой человек может проверить то, что я говорю и определить, правда это или нет.

• Cloudflare не показывает то, что гарантированно должно быть у него в кеше если «защищаемый» сервер недоступен. Следовательно никакого кеша нет.
• Cloudflare показывает свои высеры при недоступном сервере под доменным именем сервера и с валидным сертификатом. Следовательно - Cloudflare владеет private key.
• Cloudflare показывает свои портянки вместо нормального контента при обращении к серверу по валидному URL. Следовательно - Cloudflare вмешивается в передачу информации от сервера к пользователю.
• Cloudflare тупо показывает «Error 524 A timeout occured» во время DDoS атаки, при том, что сервак более чем жив. Следовательно, никакой защиты от DDoS атаки Cloudflare не предоставляет. Сервер недоступен, что и является целью DDoS атаки.
• Cloudflare совершенно открыто продаёт данные пользователей всяким маркетинговым конторам и бигдате под видом «Analytics Partnerships». Следовательно, Cloudflare ворует данные как пользователя, так и хостера и зарабатывает на этом.
• При подключении Cloudflare всегда падает посещаемость (и, разумеется, потребление контента/продажи/пр.) сервера. Т.к. Cloudflare ни от чего не защищает и вмешивается в трафик, то очевидно что пользователи перестают посещать сайт, потому что многим противно доказывать что ты не робот этим ублюдкам. А т.к. «статистику» по «отражённым атакам» и «заблокированным ботам» предоставляет Cloudflare, то нет никаких проблем навешать лошаре лапши про «это не пользователи ушли, это мы ботов и ддосеров заблокировали».
• Cloudflare неоднократно был замечен в блокировании неугодного контента особенно во время коронабесия и политических пертурбаций последнего времени, выдавая «error 521 web server is down» при том, что напрямую хост был прекрасно доступен и проблема мигом решалась изменением DNS записи на реальный адрес хоста.

В общем, такая мерзость как Cloudflare должена быть уничтожена любой ценой. Cloudflare даже хуже конченных подонков из BarracudaCentral которые напрямую вымогали деньги у хостеров и провайдеров без всяких оснований помещая их IP и подсети в «чёрный список» и требуя бабки за удаление из него.

Нет, это я сам выяснил, когда её реализовывал местами.

А подумать над графичками количества пакетов, их размера, периодичности, скорости нарастания, наличия ретраев и пр. - и резать по выявленным закономерностям - не, не вариант?

Вариант, конечно, часть атак отрежет (в первую очередь тупые пакет-флуды), но не все. Для полноценной защиты нужен комплексный подход, начиная с фильтрации канала от зафлуживания его гигабитами мусора, и заканчивая (а посередине там ещё tcp и tls-уровни) фильтрацией отдельных http-запросов (помним, что в одном tls-коннекте запросов может быть много, а если http2 - очень много уже параллельных). В идеале, если совсем хочется заморочиться - с учётом урлов.

Добавлю ещё что он не раз был замечен в вымогательстве денег у клиентов под видом принудительного их перевода на секретный премиум-тариф без внятных обоснований.

Так Cloudflare ни от чего такого не защищает. Он показывает «Error 524 A timeout occured» в любой непонятной ситуации и всё. Тот же самый результат DDoS только в профиль. Итог один и тот же - сайт недоступен.

То, что ты описываешь, это очень точечные атаки от которых даже MitM в общем-то не защитит.

Например, если в конструкции сайта есть неудачный запрос, ответ на который требует 10сек и дофига процессора сервака, то DDoS можно и вручную устроить, с неоспоримым доказательством что ты не робот.

Но такие штуки очень просто со стороны сервака отфильтровать, ни MitM proxy, ни за пакетами следить для этого не нужно.

CF (http) -> Site (http)

Не совсем так. Cloudflare скорее всего устанавливает безопасное соединение с конечным сервером (иначе твой провайдер будет видеть весь трафик). Суть в том, что cloudflare сам по себе видит незашифрованный трафик, потому что по факту получается два разных соединения, а Cloudflare - это по сути MITM. Если бы Cloudflare просто пропускал голый TCP, то не смог бы кэшировать трафик и вообще как-нибудь его анализировать, потому что соединение между клиентом и сервером было бы зашифровано.

Может. Но зачем?

А зачем уничтожать? Можно не пользоваться, если не нравится или не так? Там ведь много чего полезного. А разве от ddos не спасает он?

А зачем уничтожать?

Затем, что это мошенничество. Преступление.

Можно не пользоваться, если не нравится или не так?

Кто бы это объяснил тем, кто пользуется Cloudflare. Мне-то что, виже какое-нибудь «www.linuxquestions.org needs to review the security of your connection before proceeding.» вместо известного ранее форума - ну и пошли нахер.

А разве от ddos не спасает он?

Показывая страничку с надписью «Error 524 A timeout occured» и картинкой сваливающией ответственность на сервак который жив и здоров? Какой смысл в таком «спасении»?

Что так, что так - сайт успешно заддосен. Чтобы на connection timeout из-за DDoS посмотреть никакой Cloudflare вообще нахрен не упал, браузер прекрасно с этой несложной задачей справляется.

Затем, что это мошенничество. Преступление

Брат, а в каком месте он требует «требует SSL private key»? Может я че упустил, покажи?

Брат, а в каком месте он требует «требует SSL private key»? Может я че упустил, покажи?

Скажи пожалуйста, каким образом не обладая твоим private key от сертификата выписанного на твой домен, Cloudflare сможет показать какой-нибудь свой «error 521 web server is down» или там «Verifying you are human. This may take a few seconds.» вместо странички с твоего сервера согласно URL и при этом браузер мамой клянётся что соединение защищено?

Интересно, если ты совершенно точно не сливал сливал свой private key SSL сертификата своего домена в Cloudflare, то получается что по запросу Cloudflare твой CA выпустил левый сертификат на твой домен без твоего ведома. Это даже ещё больший звездец, чем просто Cloudflare обувающий лохов. Это значит что подавляющее большинство CA подписывают сертификаты на любые домены кому угодно и весь HTTPS в смысле S вообще не имеет никакого смысла.

выпустил левый сертификат на твой домен без твоего ведома

так и есть, сертификат выдается динамически на все сайта которые есть у CF, «Google Trust Services» *.site.ru

А как иначе могло бы быть? Ну можешь свой private загрузить, если хочешь.

Воруют и ослиной мочой разбавляют.

Следовательно никакого кеша нет

Во-первых, ещё как закидывает в кеш, потом ещё хрен удалишь, только через его правила в настройках «Cache Rules». Я на dev там запретил вообще кеш... Потом, с чего ты взял что он что-то тебе гарантирует? Есть услуга - называется кеширование... Как-то он ее реализует, я думаю какие-то алгоритмы есть у него и то что тебе показалось это ни о чем не говорит и никаких «Следовательно» нет

Следовательно - Cloudflare владеет private key.

Да не просит он ключ, по желанию только, если сам в настройки залезешь и тебе нужен именно свой сертификат. А так он выдает каждому сайту свой.

Следовательно - Cloudflare вмешивается в передачу информации от сервера к пользователю

Ну да, это же прокси, это же очевидно

Следовательно, никакой защиты от DDoS атаки Cloudflare не предоставляет

Какой объем данных ты проанализировал, чтобы делать такие выводы? Есть статистика какая-то?

Cloudflare неоднократно был замечен в блокировании неугодного контента

Опять же, где статистика, данные для анализа?

потому что многим противно доказывать что ты не робот

проверка отключается в настройках. Не хочешь проверки - отключи или сделай менее мягкую проверку.

уничтожена любой ценой

О боже

Это значит что подавляющее большинство CA подписывают сертификаты на любые домены кому угодно

Да почему на любые домены то? Почему кому угодно? Ну смотри, CF сертификат выдал GOOGLE, но CF это не «кому угодно», понимаешь? И гугл это не «подавляющее большинство». CF и Google я думаю авторитетные партнеры и могут доверять друг другу. Нужна проверка только домена. По такому алгоритму поступает и letsencrypt

Сертификаты бывают разные и зависит все от проверяемых данных (от проверки домена до фактического адреса, фамилии владельца, анализа мочи, все зависит от цены). Кому то пойдет и базовый, а вот банк например запросит другой уровень. Это же все условно и очень хорошо, барыги теперь перестали терроризировать своими ценами и продлениями на банальный сертификат домена

На все вопросы ответ простой - я провайдер. Некоторые клиенты пользуются Cloudflare для своих сайтов. Разбираться с проблемами Cloudflare приходится почему-то нам и в 100% (даже не 99.9999%, а ровно 100%) случаев оказывается что мы не при чём, сервак отовсюду прекрасно виден по IP, при этом через Cloudflare по доменному имени якобы недоступен по той или иной причине. Ну и все остальные последствия использования Cloudflare тоже налицо.

Те, кто не пользуются Cloudflare подобных проблем вообще не имеют и никак нас не напрягают, все довольны. Ну и наши веб-сервера тоже без всяких Cloudflare прекрасно обходятся. DDoS без проблем режем на бордере (хотя это требуется только в случае когда по UDP по-взрослому гигабитами срут чтобы канал положить) или клиенты сами у себя справляются. От последнего крупного хохлятского DDoS по HTTPS в 2022 вообще mod_evasive было более чем достаточно на нашем серваке.

CF это не «кому угодно», понимаешь?

Нет, не понимаю. Чтобы сделать сертификат, ты у себя на компе создаёшь private key. Из него делаешь certificate request в котором нет private key и отправляешь его например гуглю. Гугль присылает тебе подписанный гуглем сертификат. Твой private key остаётся приватным и никто кроме тебя его никогда не видит и доступа не имеет. Приватность private key и является залогом безопасности. Только ты знаешь private key и больше никто. Поэтому он и называется private key.

Если твой private key оказался у Cloudflare, то он уже не private ни разу - либо ты по собственной воле отдал Cloudflare свой private key, либо Cloudflare украл его у тебя. В любом случае, ни о какой безопасности речь уже идти не может и весь смысл HTTPS исчезает.

а как imperva по сравнению с cloudflare?

По идее может, но зачем?

дополнительный заработок?

кпм, проблема сабжа - то что он превратился в эдакого «вахтёра интернета». на некоторые сайты невозможно зайти со устаревшего браузера, даже если сам сайт сделан на каком-нибудь html4 и может отображаться без проблем. вредительство в чистом виде.

Вот специально пошел проверил: CF предлагает загрузить именно CSR, не ptivate key. Откуда ты вообще это взял?

Тебя даже CSR загружать никто не принуждает, не хочешь используй гугловский. Если не хочешь ни гугловский ни свой CSR загружать иди лесом!

сервак отовсюду прекрасно виден по IP, при этом через Cloudflare по доменному имени якобы недоступен по той или иной причине

Так разберись в чем проблема, брат. Вряд ли это проблема CF - копай у себя

Ну это частный случай, да, есть такое, но всем пофиг на 0.5% юзеров со старым барахлом ) издержек больше будет... Legasy только крупные игроки и/или упорные(упоротые?) могут позволить годами поддерживать. Обычно у всех насущный вопрос как не упасть, устоять лишний годик, а не то чтобы там всяких вась да петь ублажать. Не обессуть, не мы такие, жизнь такая

В любом случае, ни о какой безопасности речь уже идти не может и весь смысл HTTPS исчезает.

И ты сейчас такой рассказываешь как имперсонировать любой сайт за CF без суперсил или опять 4.2.

Понятия не имею и не знаю никого, кто ей пользовался бы.

Вот специально пошел проверил: CF предлагает загрузить именно CSR, не ptivate key. Откуда ты вообще это взял?

Ещё раз для непонятливых:

Скажи пожалуйста, каким образом не обладая твоим private key от сертификата выписанного на твой домен, Cloudflare сможет показать какой-нибудь свой «error 521 web server is down» или там «Verifying you are human. This may take a few seconds.» вместо странички с твоего сервера согласно URL и при этом браузер мамой клянётся что соединение защищено?