Компания Cloudflare представила (https://blog.cloudflare.com/monsters-in-the-middleboxes/) библиотеку mitmengine (https://github.com/cloudflare/mitmengine), применяемую для выявления фактов перехвата HTTPS-трафика, а также web-сервис Malcolm (https://malcolm.cloudflare.com/) для наглядного анализа накопленных в Cloudflare данных. Код написан на языке Go и распространяется (https://github.com/cloudflare/mitmengine) под лицензией BSD. Проведённый при помощи предложенного инструментария мониторинг трафика Cloudflare показал, что около 18% HTTPS-соединений перехватываются.
В большинстве случаев перехват HTTPS-трафика осуществляется на стороне клиента, благодаря активности различных локальных антивирусных приложений, межсетевых экранов, систем родительского контроля, вредоносного ПО (для кражи паролей, подстановки рекламы или запуска кода майнинга) или корпоративных систем инспектирования трафика. Подобные системы добавляют свой корневой TLS-сертификат в список доверительных сертификатов на локальной системе и используют его для перехвата защищённого трафика пользователя. Запросы клиента транслируются на целевой сервер от лица перехватывающего ПО, после чего отдают ответ клиенту в рамках отдельного HTTPS-соединения, установленного с использованием TLS-сертификата перехватывающей системы.
В отдельных случаях перехват организуется на стороне серверов, когда владелец сервера передаёт закрытый ключ третьему лицу, например, оператору обратного прокси, CDN или системы защиты от DDoS, который затем принимает запросы от себя с оригинальным TLS-сертификатом и транслирует их на оригинальный сервер. В любых случаях перехват HTTPS подрывает цепочку доверия и вносит дополнительное звено компрометации, что приводит к существенному уменьшению уровня защиты соединения, оставляя при этом видимость наличия защиты и не вызывая подозрений у пользователей.Для выявления перехвата HTTPS предложен пакет mitmengine, который устанавливается на сервере и позволяет выявить факты перехвата HTTPS и определить какие именно системы использовались для перехвата.
Суть метода в сопоставлении специфичных для браузеров особенностей обработки TLS с фактическим состоянием соединения. На основании заголовка User Agent движок определялся браузер, а затем оценивает соответствуют ли этому браузеру такие характеристики TLS-соединения, как параметры по умолчанию, поддерживаемые расширения, заявленный набор шифров, порядок определения шифров, группы и форматы эллиптических кривых.
Используемая при проверке база сигнатур (https://github.com/cloudflare/mitmengine/tree/master/referen...) насчитывает около 500 типовых идентификаторов TLS-стека браузеров и систем перехвата. Данные могут собираться в пассивном режиме через анализ содержимого полей в сообщении ClientHello, которое передаётся в открытом виде до установки шифрованного канала связи. Для захвата трафика применяется TShark из состава сетевого анализатора Wireshark 3 (https://www.opennet.dev/opennews/art.shtml?num=50228).
Проектом mitmengine также предоставляется библиотеки, которая может применяться для интеграции кода для определения перехвата в произвольные серверные обработчики. В простейшем случае достаточно передать значения User Agent и TLS ClientHello текущего запроса и библиотека выдаст вероятность перехвата и факторы, по которым можно судить о перехвате.На основании статистики о трафике, проходящем через сеть доставки контента Cloudflare, которая обрабатывает примерно 10% всего интернет-трафика, запущен (https://malcolm.cloudflare.com/) web-сервис, отображающий изменение динамики перехватов по дням. Например, месяц назад перехваты фиксировались для 13.27% соединений, 19 марта этот показатель составил 17.53%, а 13 марта достиг пика в 19.02%.
В проведённом (https://www.opennet.dev/opennews/art.shtml?num=45996) в 2017 году аналогичном исследовании доля перехватов составляла 10.9%. Расхождение вызвано тем, что в новом анализе игнорировались запросы с неизвестным User Agent, в то время как в прошлом исследовании учитывались все запросы. Если включить в новую выборку данные о неизвестных User Agent доля перехвата снижается до 11.3%, т.е. за два года число перехватов выросло на 3.6% (0.4 в абсолютных значениях).
Наиболее популярным движком перехвата является система фильтрации Symantec Bluecoat, на которую приходится 94.53% всех опознанных перехваченных запросов. Далее следуют Akamai reverse proxy (4.57%), Forcepoint (0.54%) и Barracuda (0.32%). В 52.35% случаях был перехвачен трафик настольных версий браузеров, а в 45.44% браузеров для мобильных устройств. В разрезе операционных систем статистика выглядит следующим образом: Android (35.22%), Windows 10 (22.23%),
Windows 7 (13.13%), iOS (11.88%), другие ОС (17.54%).URL: https://blog.cloudflare.com/monsters-in-the-middleboxes/
Новость: https://www.opennet.dev/opennews/art.shtml?num=50351
> На основании заголовка User Agent движок определялся браузер, а затем оценивает соответствуют ли этому браузеру такие характеристики TLS-соединения, как параметры по умолчанию, поддерживаемые расширения, заявленный набор шифров, порядок определения шифров, группы и форматы эллиптических кривых.Это тогда кастомный юзерагент сможет сломать HTTPS?
Перечитай статью
А разве сам cf не является таким "прерывателем" https?
Он же в шифрованный трафик не вмешивается и не пытается перешифровать, поэтому шифрвоание остаётся в зоне ответственности владельца сервера.
Услугу терминирования SSL они тоже предлагают
серьезно? не вмешивается? как же он тогда бедненький фильтрацию трафика производит для защиты бекенда?
Вообще защищаться от DDOS можно и на L3/L4.
куда я тебе там капчу высуну - в свитч?P.S. и вообще, как будто мы защитой занимаемся, а не шпионажем
Капча - это либо когда больше ничего не помогает, либо когда алгоритмы защиты дерьмо.В случае с CF скорее второе.
Подскажи, раз в вопросе разбираешься, у кого алгоритмы хорошие. Лучше всего, конечно, если ещё и опенсорсные.
Опенсорсных нет (кто ж такое заопенсорсит?). И, конечно, надо понимать, что при серьезном ддосе нужен еще и человек, который будет оперативно крутить ручки, подстраиваясь под изменения характера атаки и минимизируя ложные срабатывания.Из того, с чем сталкивался, RedWolf хороши, наш Qrator тоже норм.
Разумеется, является.
чего это является - вот же ж, инструмент - показывает, что траффик не перехватывается, все ок ;-)
У нас тот кто что охраняет то у него и есть (примерно так)
Это называется "пыль в глаза". Cf есть посредник и не надо вмешиваться в шифрование чтобы перехватить данные. Перехвата уже достаточно, а расшифровать его не проблема.
Судя из статьи косвенно можно сделать вывод что саму Cf уже не устраивает нынешнее положение когда пользователи маскируют свой браузер и себя под другое значение UA и вообще отпечаток. Поэтому вводит на серверах этот инструмент под видом защиты от перехвата.
> Cf есть посредник и не надо вмешиваться в шифрование чтобы перехватить данные. Перехвата уже достаточно, а расшифровать его не проблема.пруфлинки про непроблемное расшифрование будут?
Cloudflare на сегодня это гигантський анальный зонд который люди себе добровольно вставляют и потом радостно причмокивают от удовольствия)))
Себе пусть вставляют, но обычно вставляют другим - своим пользователям.
люди делают это добровольно. похоже им нравится.
>под видом защиты от перехватаникто ничего не говорил про защиту от перехвата, только обнаружение
Вообще-то это право клиента и сервера (владельца соответствующей системы) - организовать обработку своего конца соединения, как он считает нужным. Если владелец сервера хочет отделить обработку SSL от раздачи страниц или владелец клиента - обработку SSL от браузера, то у них могут быть причины для этого. Заведомо вредоносно лишь вмешательство в связь между ними. И от отделить одно от другого все эти "борцуны за безопасность" не хотят, как обычно. Палки в колёса вместо улучшения технологий. Зато "мы боремся".
А где кто-то кому-то отказывает в правах? Они предоставляют инструмент. А вредоносно это или так и задумано - пользователю инструмента виднее.
нуда, никто не может перехватывать HTTPS кроме Cloudflare, монополия чо!
> для выявления перехватаА, то есть, это когда поздно пить боржоми?
Это то-есть когда у тебя "мигает красная кнопка" которая говорит тебе что твоя боржоми то отравлена, и пить ее (по крайней в данный момент) не стоит.
Ну в отличие от Google, навязчиво (т.е. безальтернативно) впаривающего свои сервисы и внедряющего перекрестные зависимости между ними, сабжевый Cloudflare делает действительно полезные штуки, при этом никому их не навязывая.Хочешь чтобы твой сайтик открывался быстрее? Пропиши наши NS'ы.
Хочешь чтобы хацкеры напару с DMCA не просекли твой реальный ойпишнек - поставь галочку, но и без галочки все будет работать.
Хочешь чтобы у тебя на сайтике был SSL везде и браузер не ругался на Not secure site из-за того что ты вызываешь свой logo.png через http а не https - поставь галочку, но и без галочки все будет работать.
Хочешь чтобы когда твой сервер в оффлайне, посетитель видел заглушку - поставь галочку, но мы тебя к этому не принуждаем, ты ничем не обязан ставить галочку, все только по твоему желанию.
Я конечно пользовался их услугами не так долго, чтобы утверждать 100%, но за это небольшое время, компания сложила о себе впечатление сервиса, который пытается работать так, как нужно людям, а не заставляет людей работать так как нужно сервису.
Зонд блестящий, со стразиками и почти не давит.
> Зонд блестящий, со стразиками и почти не давит.Покамест твое стеклянное окно - больший зонд, чем CF, ведь в него видно чем ты занимаешься. Но тебя почему-то этот вопрос не волнует так сильно как теоретический CF.
Ты давай лучше пруфцы зондирования: КАКУЮ информацию о тебе собирает CF, КАК он ее использует, и КАКОЙ это наносит тебе вред. Без пруфцов, ты просто мир-дверь-мяч :)
> Покамест твое стеклянное окно - больший зонд, чем CF, ведь в него видно чем ты занимаешься. Но тебя почему-то этот вопрос не волнует так сильно как теоретический CF.Количество наблюдателей в окно довольно ограничено, как и их анонимность (или же стоимость незаметного наблюдения довольно высока). Легко фиксится шторой, мутным стеклом или вызовом правоохранительных органов.
Т.е. аналогия, как и большая часть аналогий, совершенно "ниочем".> Ты давай лучше пруфцы зондирования: КАКУЮ информацию о тебе собирает CF, КАК он ее использует, и КАКОЙ это наносит тебе вред. Без пруфцов, ты просто мир-дверь-мяч :)
Т.е. данные для услуг
https://www.cloudflare.com/analytics/
https://www.cloudflare.com/insights/
>Cloudflare provides insight to your website traffic that you can’t get from other analytics programs
> In addition to visitor analyticsи
> Augment With Third Party Analytics
> Cloudflare has partnered with the most popular analytics programs.
> You can get other analytics services through our apps marketplace with one click.они собирают с помощью либастрала?
Фух, аж полегчало …
А на "КАК он ее использует", и "КАКОЙ это наносит тебе вред" ты принципиально отвечать не хочешь?
> А на "КАК он ее использует"Раз уж с чтением у анонима туговато, разъясню:
Из их же заявлений известно об анализе собираемой информации, как и о предоставлении услуг и сотрудничестве со сторонними анализаторами.
Поэтому возмущение анонима не понятно и не верно -- вопрос должен звучать "КАК ЕЩЕ он ее использует".
Например:
> End Users Individuals who visit our Customers’ websites and whose information we process[...]
> We collect End Users’ information when they use our Customers’ websites, web applications, and APIs. This information may include but is not limited to IP addresses, system configuration information, and other information about traffic to and from Customers’ websites (collectively, “Log Data”).[...]
> As a general matter, for all categories of data we collect[...]
> we may use the information we collect (including personal information, to the extent applicable) to:
> provide, operate, maintain, improve, and promote the Website and Services;
> process and complete transactions, and send you related information, including purchase confirmations and invoices;
> send commercial communications, in accordance with your communication preferences, such as providing you with information about products and services, features, surveys, newsletters, offers, promotions, contests, and events about us and our partners; and send other news or information about us and our partners. See Section 8 below for information on managing your communication preferences.
> monitor and analyze trends, usage, and activities in connection with the Websites and Services and for marketing or advertising purposes;
> Information from Third Party Services.
> We may combine information we collect as described above with personal information we obtain from third parties.А так да, ничего больше не делают …
> и "КАКОЙ это наносит тебе вред" ты принципиально отвечать не хочешь?
Это зависит от количества данных и кому они продаются. Буду рад, если аноним подскажет или покажет, где именно можно посмотреть детали, причем желательно юр. обязательные для CF. Есть ли какая-то однозначная и юр. обязывающая privacy/data policy относительно собранных данных, более действенная, чем https://www.cloudflare.com/privacypolicy/, в которой ну совсем никак не находится опровержение возможности делать с данными не очень хорошие (для посетителя) вещи?
Или, на худой конец, аноним обоснует, почему это нужно верить в добросовестность CF/на слово их маркетологам?
екзактли!! и таааакой кросивенький. Пожалуй, возьму два!!(так думает почти 98% юзверей)
> впечатление сервиса, который пытается работать так, как нужно людям, а не заставляет людей работать так как нужно сервису.Использование гугловской рекапчи с их "5 минут мы тебе будем подсовывать картинки, а потом все равно скажем "сорри ты не прошел", потому что на самом деле скор определяется юзерагентом, наличием/отсутствием гуглокаунта, айпишником и фазой луны при прохождении созвездия Козерога" – это все что нужно знать о их "работать так, как нужно нужным людям".
Ты о чем?Работа CF прозрачна. Ты даже не знаешь что сайт использует CF если не посмотришь вручную на NS'ы
святая простота.господи, сколько же тут наивных хомячков которые понятия не имеют что такое Cloudflare и как он работает.
Окей, он "наивный хомячок", а ты кто?
> Ты о чем?Я о пользователях сайта (т.е. для тех, для кого сайты, по идее, делается).
> Работа CF прозрачна. Ты даже не знаешь что сайт использует CF если не посмотришь вручную на NS'ы
Пока у тебя есть зон^W гуглоакаунт -- возможно.
Из под тора, "плохого" прокси или если CF из-за фазы луны забанил вашу подсеть - увы "one more step, please complete the security check".
Достаточно попытаться зайти из под тор на сайт CF. Или getbootstrap.com. Или на целую кучу других сайтов (гуглим "cloudflare sites").
То есть идея того, что владельцы тех сайтов не хотят, чтобы ты к ним ходил через TOR тебе в голову не приходила? Голосуй ногами — не ходи. Ходи на другие сайты, благо их в Интернете как полно.В который раз поражаюсь комментаторам на OpenNET — всякий раз так и норовят как в том анекдоте, залезть на шкаф с биноклем и оттуда жаловаться, что голых баб в бане напротив видно.
>>>> Использование гугловской рекапчи [...] – это все что нужно знать о их "работать так, как нужно нужным людям".
>>> Ты о чем? Работа CF прозрачна.
>> Пока у тебя есть зон^W гуглоакаунт -- возможно.
>> Из под тора, "плохого" прокси или если CF из-за фазы луны забанил вашу подсеть
> То есть идея того, что владельцы тех сайтов не хотят, чтобы ты к ним ходил через TOR тебе в голову не приходила? Голосуй ногами — не ходи. Ходи на другие сайты, благо их в Интернете как полно.То есть идея того, что можно не просто выкатить голословное утверждение, но и при встречном вопросе предоставить пояснение деталей и "как это по быстрому повторить-проверить" (см. "Ты даже не знаешь что сайт использует CF если не посмотришь вручную на NS'ы") тебе в голову не приходила?
В который раз поражаюсь комментаторам на OpenNET — всякий раз так и норовят не дочитать до конца предложение (не говоря уже о теме ветки -- тут Акелла совсем уж промахнулся) и поспешить высказать свое ценное мнение …
Объясняю на пальцах -- из-за использования гуглокапчи я категорично не согласен с утверждением, что сервис Облако-Впышки "пытается работать так, как это нужно людям" (специально для неномерных анонимов: если под людьми подразумевались конечные пользователи сайта, а не маркетологи, гугловцы и прочие).
Заодно открою страшно секретную тайну -- голосование ногами будет эффективнее , если не голосовать ногами молча, строя из себя обиженного аутсайдера.
Конкретно: +100% эффективности за _каждого_ новоприобретенного единомышленника :)
Я не он, и споришь ты не с тем аноном.На всякий случай повторю свой тезис: владельцы сайта хотят ограничить доступ к их сайту определённому кругу лиц. Если тебе не нравится разгадывать капчи — не разгадывай. Иди на другой сайт. В Интернете очень много разных, большинство не пользуется услугами CF. И уж раз речь зашла о том, как нужно людям, хорошо бы уточнить: каким именно. Сдаётся мне, что CF в первую очередь обеспокоен нуждами их клиентов, то есть владельцев сайтов, а не конечных пользователей.
Я понимаю, что тебе лично припекает от того, что CF считает твои IP неправославными, но это твоя проблема, и решать её тоже придётся тебе. Можешь отомстить всему миру и забанить у себя все префиксы AS13335.
> Сообщение от Аноним (38)
> Я не он, и споришь ты не с тем аноном.Ну-ну. "Я не тот аноним, я другой аноним!"
> На всякий случай повторю свой тезис: владельцы сайта хотят ограничить доступ к
> их сайту определённому кругу лиц. Если тебе не нравится разгадывать капчи
> — не разгадывай. Иди на другой сайт. В Интернете очень много разных,На всякий случай перечитай еще раз о чем шла речь.
Я не знаю, с чего ты решил что я разгадываю капчи клаудвари и не хожу на другие сайты.
Если бы я тебе написал, что у воон у того торговца часто попадаются тухлые яйца, ты бы точно так же заявил, что я покупаю исключительно тухлые яйца исключительно у него и не хожу к другим продавцам?
> Я понимаю, что тебе лично припекает от того, что CF считает твои
> IP неправославными, но это твоя проблема, и решать её тоже придётся тебе.Открою еще одну страшно секретную тайну:
Вообще-то, "решение проблемы" путем ее обнародования и привлечения к ней общественного внимания как минимум так же (а скорее, все же более) эффектино, как и просто молча утереться и терпеть "как настоящий мужик" …
> Объясняю на пальцах -- из-за использования гуглокапчи я категорично не согласен с утверждением, что сервис Облако-Впышки "пытается работать так, как это нужно людям" (специально для неномерных анонимов: если под людьми подразумевались конечные пользователи сайта, а не маркетологи, гугловцы и прочие).А он подразумевал владельцев сайта. Если владелец сайта поставил такие настройки, то почему он не прав?
> норовят не дочитать до конца предложение
Начните с себя, и научитесь понимать прочитанное.
>>>>> Ты о чем?
>>> >Я о пользователях сайта (т.е. для тех, для кого сайты, по идее, делается).
>>> Идея того, что владельцы тех сайтов ... Голосуй ногами ... <дополнительные ЦУ>
>> если под людьми подразумевались конечные пользователи сайта
> А он подразумевал владельцев сайта. Если владелец сайта поставил такие настройки, то почему он не прав?.
> почему он не прав?Потому что аноним так и не сумел прочитать целиком и до конца?
например, потому, что владелец сайта - на свой сайт вообще никогда не ходит, и интернетом толком не пользуется. А индус, которому он повелел немедля запилить, и чтоб красиво - сделал как умеет.Нет, если суметь нажаловаться так, чтоб жалоба не осела у того же самого индуса - копчоный и все его стосороквосемь коллег подут с взрыхленными жопами обратно в свою деревню под Бангалором, и, возможно, даже следующий переделает сайт так, чтоб работало без гуглокапчи.
Проблема что большинство юзеров жаловаться не умеют даже если есть вообще, куда.
> антивирусных приложений, межсетевых экранов, систем родительского контроля, вредоносного ПОДля CF нет разницы между малварью и антималварью => CF находится за гранью разницы добра и зла.
Здесь просто перечисление. Почему должна быть описана разница? И так всё понятно. Сабж о перехвате шифрования, не важно кем и с какой целью. Вот ты человек, я человек, Гитлер человек, что в этом предложении не так? Надо Гитлера по-особому выделять сносками? Надо его не считать человеком? Но он человек, как и антималварь является перехватчиком шифрования. Человеком быть не плохо, а вот если от словосочетания "перехват https-трафика" у тебя возникают негативные ассоциации, то может стоит задуматься, почему? Может это ощущение не ложно?
А по теме, порой между антималварью и малварью разница для юзера не так велика. Защищающие продукты добавляют уязвимости и векторы атак. См. ссылку из статьи. https://www.opennet.dev/opennews/art.shtml?num=45996
> Из рассмотренных 12 шлюзов инспектирования только 5 предлагали актуальный набор шифров, 2 вообще не осуществляли верификацию сертификатов (Microsoft Threat Mgmt и WebTitan Gateway).
> 24 из 26 протестированных систем перехвата, работающих на компьютере клиента (как правило антивирусы), снижали общий уровень безопасности HTTPS-соединения. Актуальные наборы шифров предоставлялись в 11 из 26 продуктов. 5 систем не осуществляли верификацию сертификатов (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Продукты Kaspersky Internet Security и Total Security подвержены атаке CRIME. Продукты AVG, Bitdefender и Bullguard подвержены атакам Logjam и POODLE. Продукт Dr.Web Antivirus 11 позволяет откатиться на ненадёжные экспортные шифры (атака FREAK).И это. https://habr.com/ru/post/401059/
> Более вероятно, что они значительно ухудшат безопасность.
> В самых известных коммерческих антивирусах — десятки уязвимостей. Речь идёт о тех багах, которые обычно обнаружены сторонними исследователями или уже активно эксплуатируются вредоносным ПО. Разработчики антивирусов стараются закрывать эти баги, но многие пользователи не обновляют антивирус и не устанавливают патчи. К тому же, обновление не поможет, если злоумышленникам известны другие уязвимости, о которых информация пока не просочилась в открытый доступ. А таких багов много, ведь антивирус — очень соблазнительная мишень для хакеров. Антивирус сидит в ОС на нижнем уровне, и взломав его можно получить полный доступ к файловой системе, вплоть до загрузчика ОС.
> Наличие серьёзных багов в антивирусах даёт понять две вещи:
> Антивирусы открывают злоумышленникам разнообразные векторы для атаки.
> Антивирусы пишут не соблюдая стандартные правила безопасности.
> Шух пояснил, что антивирусы «отравляют программную экосистему», потому что их инвазивный и плохо написанный код осложняет браузерам и другим программам возможность обеспечить собственную безопасность. О'Каллахан напоминает, что когда в Firefox впервые внедряли поддержку механизма защиты памяти ASLR в Firefox под Windows, антивирусные программы постоянно ломали эту защиту, внедряя в программные процессы свои DLL без защиты ASLR.
> Антивирус — очевидная брешь в безопасности компьютера не только из-за новых опасных уязвимостей, которая она добавляет в систему. Это уязвимость изначально по своей природе, ведь многие антивирусы устанавливают собственные корневые сертификаты по умолчанию без предупреждений, внедряясь в HTTPS-трафик по принципу MitM. Большинство антивирусов — это в любом случае деградация защиты HTTPS, о чём неоднократно предупреждали специалисты по ИБ.
Не ожидал такого хэйта в сторону Cloudflare.
Может кто рассказать про “шпионаж” и всё такое, м?
К Google вопросов нет, с ним понятно, но Cloudflare ? ? ?Сам юзаю dns от Cloudflare и всё устраивает, а dns Google держу про запас.
Не припомню негативных историй про Cloudflare, да и немцам доверия чутка больше.
> Может кто рассказать про “шпионаж” и всё такое, м?Не шпионаж конечно, но там есть услуги "analytics/insigths"
> Augment With Third Party Analytics
> Cloudflare has partnered with the most popular analytics programs. You can get other analytics services through our apps marketplace with one click.Логика подсказывает, что для анализа данных пользователей нужно эти данные таки собирать.
> да и немцам доверия чутка больше.
Я что-то пропустил?
> Headquarters location: San Francisco, California, United States
> Founded: July 2009, San Francisco, California, United States
>
"Cloudflare is a mass-decryption chokepoint, which intercepts and decrypts the Web requests made by billions of people to millions of websites."
Неужели не очевидно, чем это грозит?Цитата отсюда, кстати: https://github.com/nym-zone/block_cloudflare_mitm_fx (дополнение для FF, позволяющее заблокировать клаудфлару нафиг).
> "Cloudflare is a mass-decryption chokepoint, which intercepts and decrypts the Web requests made by billions of people to millions of websites."
> Неужели не очевидно, чем это грозит?А чем это грозит? Как же мы бедные до этого по http ходили то, ужос. Достаточно понимать что безопасность в виде https + захардкоженый в браузерах список CA дяди Васи давно дискредитировала себя что бы не питать иллюзий по поводу безопасности https.
Какой бы не была безопасность у https, это все равно лучше, чем у голого http. И если я использую https, я хочу быть уверен, что это не квази-https от Cloudflare. Особенно, при использовании Tor Browser, который, благодаря Cloudflare, на многих сайтах использовать вообще проблематично из-за капчи.Да и не только в этом дело. Cloudflare способствует еще большей централизации веба, тогда как сама получает власть над пользователями, имея доступ к их трафику (в т.ч. и приватным данным). Google делает тоже самое.
Анон совсем не видит разницы между "сотни миллионов сайтов на разных серверах" и "10% трафика проходит через сервера CF"?10% мирового трафика - это не только статистика, но и сниф трафика и возможность внедрения своего кода.
>Неужели не очевидно, чем это грозит?это грозит тем, что мамкины хакеры не смогут ДОСить всякие мелкие сайты, что негативно скажется на ЧСВ мамкиных хакеров и приведёт к увеличению количества соплей в интернетиках
Cloudflare has agreed to provide APNIC with access to some of the data that Cloudflare collects through the Cloudflare Resolver. Specifically, APNIC will be permitted to access query names, query types, resolver location and other metadata via a Cloudflare API, that will allow APNIC to study topics like the volume of DDoS attacks launched on the Internet and adoption of IPv6.In return for access to the Cloudflare Resolver data, APNIC has agreed to use such data solely for non-profit operational research. APNIC has also agreed not to use the data in any manner that would allow it to associate any individual with a DNS query, or publish any studies containing any references to particular query names or individual behavior. As part of Cloudflare’s commitment to privacy, Cloudflare will not provide APNIC with any access to the IP address or port associated with a client.
> Не ожидал такого хэйта в сторону Cloudflare.Не нарывался на ответ "пошёл нафиг, от тебя DOS-атака"?
> В разрезе операционных систем статистика выглядит следующим образом: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), другие ОС (17.54%).Очень интересные цифры, отражающие распределение ОС, и подтверждаемые иными независимыми источниками. Похоже, это именно то распределение, которое на самом деле имеет место, а не заказуха от ИТ монстров.
> Очень интересные цифры, отражающие распределение ОС, и подтверждаемые иными независимыми источниками.и что в этом интересного?
если вы думаете, что другие ОС (17.54%) это линуха и *БСД, то для начала отщипните где-то 13-15% на макось.
Совсем нет. Мне представляется интерес, во-первых, в весьма малой доле Windows. Причем в заметке - это не единственный источник парадоксальной статистики, который подтверждается и другими независимыми источниками. И это - второй интерес. О важности представленной сенсационной информации каждый, думаю, сделает выводы сам в зависимости от своего бизнеса (разработка, поставка, обучение, поддержка). Ну и третий интерес - сомнение в данных официальных коммерческих (!) источников статистики типа статкаунтера.
> Мне представляется интерес, во-первых, в весьма малой доле Windows.то есть для вас открытие, что мобильных телефонов в разы больше чем "десктопов", причем многие десктопы используются в офисах где либо не одобряется шастание по интернету с казенной системы, либо оно вообще жестко ограничено или отсутствует вовсе?
ну и отдельно - контент, который прячут за cloudflare - в массе своей, надо понимать, не имеет отношения к работе.
перехват шифрованного трафика неприемлем, если этим грешат плохие дяди. Если же ради благих целей - то хорошим дядям можно доверить полный доступ, ведь чтобы бороться со злом нам нужно больше инструментво
> если этим грешат плохие дядиКак показывает опыт, среди сотен хороших дядей найдется один нехороший, который продаст коллег, а потом окажется на ПМЖ в одной из держав. Поэтому система должна быть построена так, чтобы не зависеть от совести отдельного человека. Нравственные категории - сомнительная основа бизнеса.
Лютый хейт CF.
Несмотря на то что он вполне умеет в оупенсорс.
А чего вы хотите? Чтобы мелкие конторы верулись к необслуживаемым балансировщикам?
Чтобы опять мамкины ддосеры начали массовый шантаж?
Меньшее зло в данном случае. Было бы хорошо жить в идеальном мире.