The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Cloudflare представил инструменты для выявления перехвата HTTPS

19.03.2019 10:20

Компания Cloudflare представила библиотеку mitmengine, применяемую для выявления фактов перехвата HTTPS-трафика, а также web-сервис Malcolm для наглядного анализа накопленных в Cloudflare данных. Код написан на языке Go и распространяется под лицензией BSD. Проведённый при помощи предложенного инструментария мониторинг трафика Cloudflare показал, что около 18% HTTPS-соединений перехватываются.

В большинстве случаев перехват HTTPS-трафика осуществляется на стороне клиента, благодаря активности различных локальных антивирусных приложений, межсетевых экранов, систем родительского контроля, вредоносного ПО (для кражи паролей, подстановки рекламы или запуска кода майнинга) или корпоративных систем инспектирования трафика. Подобные системы добавляют свой корневой TLS-сертификат в список сертификатов на локальной системе и используют его для перехвата защищённого трафика пользователя. Запросы клиента транслируются на целевой сервер от лица перехватывающего ПО, после чего ответ отдаеётся клиенту в рамках отдельного HTTPS-соединения, установленного с использованием TLS-сертификата перехватывающей системы.

В отдельных случаях перехват организуется на стороне серверов, когда владелец сервера передаёт закрытый ключ третьему лицу, например, оператору обратного прокси, CDN или системы защиты от DDoS, который затем принимает запросы от себя с оригинальным TLS-сертификатом и транслирует их на оригинальный сервер. В любых случаях перехват HTTPS подрывает цепочку доверия и вносит дополнительное звено компрометации, что приводит к существенному уменьшению уровня защиты соединения, оставляя при этом видимость наличия защиты и не вызывая подозрений у пользователей.

Для выявления перехвата HTTPS компанией Cloudflare предложен пакет mitmengine, который устанавливается на сервере и позволяет выявить факты перехвата HTTPS, а также определить какие именно системы использовались для перехвата. Суть метода определения перехвата в сопоставлении специфичных для браузеров особенностей обработки TLS с фактическим состоянием соединения. На основании заголовка User Agent движок определяет браузер, а затем оценивает соответствуют ли этому браузеру такие характеристики TLS-соединения, как параметры TLS по умолчанию, поддерживаемые расширения, заявленный набор шифров, порядок определения шифров, группы и форматы эллиптических кривых.

Используемая при проверке база сигнатур насчитывает около 500 типовых идентификаторов TLS-стека браузеров и систем перехвата. Данные могут собираться в пассивном режиме через анализ содержимого полей в сообщении ClientHello, которое передаётся в открытом виде до установки шифрованного канала связи. Для захвата трафика применяется TShark из состава сетевого анализатора Wireshark 3.

Проектом mitmengine также предоставляется библиотека для интеграции функций определения перехвата в произвольные серверные обработчики. В простейшем случае достаточно передать значения User Agent и TLS ClientHello текущего запроса и библиотека выдаст вероятность перехвата и факторы, на основе которых сделан тот или иной вывод.

На основании статистики о трафике, проходящем через сеть доставки контента Cloudflare, которая обрабатывает примерно 10% всего интернет-трафика, запущен web-сервис, отображающий изменение динамики перехватов по дням. Например, месяц назад перехваты фиксировались для 13.27% соединений, 19 марта этот показатель составил 17.53%, а 13 марта достиг пика в 19.02%.

В проведённом в 2017 году аналогичном исследовании доля перехватов составляла 10.9%. Расхождение вызвано тем, что в новом анализе игнорируются запросы с неизвестным User Agent, в то время как в прошлом исследовании учитывались все запросы. Если включить в новую выборку данные о неизвестных User Agent доля перехвата снижается в среднем до 11.3%, т.е. за два года число перехватов выросло на 3.6% (0.4 в абсолютных значениях).

Наиболее популярным движком перехвата является система фильтрации Symantec Bluecoat, на которую приходится 94.53% всех опознанных перехваченных запросов. Далее следуют Akamai reverse proxy (4.57%), Forcepoint (0.54%) и Barracuda (0.32%). Перехваты антивирусов и систем родительского контроля в основной массе не вошли в выборку опознанных перехватчиков, так как для их точной идентификации собрано недостаточно сигнатур. В 52.35% случаях был перехвачен трафик настольных версий браузеров, а в 45.44% браузеров для мобильных устройств. В разрезе операционных систем статистика выглядит следующим образом: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), другие ОС (17.54%).

  1. Главная ссылка к новости (https://blog.cloudflare.com/mo...)
  2. OpenNews: Сертификат удостоверяющего центра был использован для перехвата трафика произвольных доменов
  3. OpenNews: Анализ перехвата провайдерами транзитного DNS-трафика
  4. OpenNews: Выпуск mitmproxy 1.0, инструмента для анализа трафика HTTP/HTTPS
  5. OpenNews: Новый этап тестирования DNS поверх HTTPS в Firefox
  6. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: cloudflare, mitm, https
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (62) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:35, 19/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > На основании заголовка User Agent движок определялся браузер, а затем оценивает соответствуют ли этому браузеру такие характеристики TLS-соединения, как параметры по умолчанию, поддерживаемые расширения, заявленный набор шифров, порядок определения шифров, группы и форматы эллиптических кривых.

    Это тогда кастомный юзерагент сможет сломать HTTPS?

     
     
  • 2.3, Аноним (3), 11:45, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Перечитай статью
     

  • 1.2, Аноним (3), 11:44, 19/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    А разве сам cf не является таким "прерывателем" https?
     
     
  • 2.4, Аноним (4), 11:51, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Он же в шифрованный трафик не вмешивается и не пытается перешифровать, поэтому шифрвоание остаётся в зоне ответственности владельца сервера.
     
     
  • 3.6, Аноним (6), 11:58, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Услугу терминирования SSL они тоже предлагают
     
  • 3.12, анон (?), 13:22, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    серьезно? не вмешивается? как же он тогда бедненький фильтрацию трафика производит для защиты бекенда?
     
     
  • 4.20, KonstantinB (ok), 14:55, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вообще защищаться от DDOS можно и на L3/L4.
     
     
  • 5.24, CF (?), 16:49, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    куда я тебе там капчу высуну - в свитч?

    P.S. и вообще, как будто мы защитой занимаемся, а не шпионажем

     
     
  • 6.25, KonstantinB (ok), 16:52, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Капча - это либо когда больше ничего не помогает, либо когда алгоритмы защиты дерьмо.

    В случае с CF скорее второе.

     
     
  • 7.38, Аноним (38), 19:41, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Подскажи, раз в вопросе разбираешься, у кого алгоритмы хорошие. Лучше всего, конечно, если ещё и опенсорсные.
     
     
  • 8.61, KonstantinB (ok), 00:59, 21/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Опенсорсных нет кто ж такое заопенсорсит И, конечно, надо понимать, что при ... текст свёрнут, показать
     
  • 2.5, Аноним (5), 11:53, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Разумеется, является.
     
     
  • 3.8, CF (?), 12:37, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    чего это является - вот же ж, инструмент - показывает, что траффик не перехватывается, все ок ;-)

     
  • 2.21, имя (?), 15:13, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У нас тот кто что охраняет то у него и есть (примерно так)
     

  • 1.7, Аноним (7), 12:09, 19/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Это называется "пыль в глаза". Cf есть посредник и не надо вмешиваться в шифрование чтобы перехватить данные. Перехвата уже достаточно, а расшифровать его не проблема.
    Судя из статьи косвенно можно сделать вывод что саму Cf уже не устраивает нынешнее положение когда пользователи маскируют свой браузер и себя под другое значение UA и вообще отпечаток. Поэтому вводит на серверах этот инструмент под видом защиты от перехвата.
     
     
  • 2.10, J.L. (?), 12:51, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Cf есть посредник и не надо вмешиваться в шифрование чтобы перехватить данные. Перехвата уже достаточно, а расшифровать его не проблема.

    пруфлинки про непроблемное расшифрование будут?

     
  • 2.13, анон (?), 13:25, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Cloudflare на сегодня это гигантський анальный зонд который люди себе добровольно вставляют и потом радостно причмокивают от удовольствия)))
     
     
  • 3.23, dimqua (ok), 16:47, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Себе пусть вставляют, но обычно вставляют другим - своим пользователям.
     
     
  • 4.28, анон (?), 17:10, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    люди делают это добровольно. похоже им нравится.
     
  • 2.15, Нанобот (ok), 14:10, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >под видом защиты от перехвата

    никто ничего не говорил про защиту от перехвата, только обнаружение

     

  • 1.9, Аноним (9), 12:38, 19/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вообще-то это право клиента и сервера (владельца соответствующей системы) - организовать обработку своего конца соединения, как он считает нужным. Если владелец сервера хочет отделить обработку SSL от раздачи страниц или владелец клиента - обработку SSL от браузера, то у них могут быть причины для этого. Заведомо вредоносно лишь вмешательство в связь между ними. И от отделить одно от другого все эти "борцуны за безопасность" не хотят, как обычно. Палки в колёса вместо улучшения технологий. Зато "мы боремся".
     
     
  • 2.19, KonstantinB (ok), 14:51, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А где кто-то кому-то отказывает в правах? Они предоставляют инструмент. А вредоносно это или так и задумано - пользователю инструмента виднее.
     

  • 1.11, анон (?), 13:15, 19/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    нуда, никто не может перехватывать HTTPS кроме Cloudflare, монополия чо!
     
  • 1.14, анон (?), 13:32, 19/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > для выявления перехвата

    А, то есть, это когда поздно пить боржоми?

     
     
  • 2.33, Онанёр (?), 17:43, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это то-есть когда у тебя "мигает красная кнопка" которая говорит тебе что твоя боржоми то отравлена, и пить ее (по крайней в данный момент) не стоит.
     

  • 1.16, Vitaliy Blats (?), 14:21, 19/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну в отличие от Google, навязчиво (т.е. безальтернативно) впаривающего свои сервисы и внедряющего перекрестные зависимости между ними, сабжевый Cloudflare делает действительно полезные штуки, при этом никому их не навязывая.

    Хочешь чтобы твой сайтик открывался быстрее? Пропиши наши NS'ы.

    Хочешь чтобы хацкеры напару с DMCA не просекли твой реальный ойпишнек - поставь галочку, но и без галочки все будет работать.

    Хочешь чтобы у тебя на сайтике был SSL везде и браузер не ругался на Not secure site из-за того что ты вызываешь свой logo.png через http а не https - поставь галочку, но и без галочки все будет работать.

    Хочешь чтобы когда твой сервер в оффлайне, посетитель видел заглушку - поставь галочку, но мы тебя к этому не принуждаем, ты ничем не обязан ставить галочку, все только по твоему желанию.

    Я конечно пользовался их услугами не так долго, чтобы утверждать 100%, но за это небольшое время, компания сложила о себе впечатление сервиса, который пытается работать так, как нужно людям, а не заставляет людей работать так как нужно сервису.

     
     
  • 2.18, Аноним (18), 14:43, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Зонд блестящий, со стразиками и почти не давит.
     
     
  • 3.27, Vitaliy Blats (?), 17:06, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Зонд блестящий, со стразиками и почти не давит.

    Покамест твое стеклянное окно - больший зонд, чем CF, ведь в него видно чем ты занимаешься. Но тебя почему-то этот вопрос не волнует так сильно как теоретический CF.

    Ты давай лучше пруфцы зондирования: КАКУЮ информацию о тебе собирает CF, КАК он ее использует, и КАКОЙ это наносит тебе вред. Без пруфцов, ты просто мир-дверь-мяч :)

     
     
  • 4.35, Аноним84701 (ok), 18:20, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Покамест твое стеклянное окно - больший зонд, чем CF, ведь в него видно чем ты занимаешься. Но тебя почему-то этот вопрос не волнует так сильно как теоретический CF.

    Количество наблюдателей  в окно довольно ограничено, как и их анонимность (или же стоимость незаметного наблюдения довольно высока). Легко фиксится шторой, мутным стеклом или вызовом правоохранительных органов.
    Т.е. аналогия, как и большая часть аналогий, совершенно "ниочем".

    > Ты давай лучше пруфцы зондирования: КАКУЮ информацию о тебе собирает CF, КАК он ее использует, и КАКОЙ это наносит тебе вред. Без пруфцов, ты просто мир-дверь-мяч :)

    Т.е. данные для услуг
    https://www.cloudflare.com/analytics/
    https://www.cloudflare.com/insights/
    >Cloudflare provides insight to your website traffic that you can’t get from other analytics programs
    > In addition to visitor analytics

    и
    > Augment With Third Party Analytics
    > Cloudflare has partnered with the most popular analytics programs.
    > You can get other analytics services through our apps marketplace with one click.

    они собирают с помощью либастрала?
    Фух, аж полегчало …

     
     
  • 5.42, Аноним (42), 20:55, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А на "КАК он ее использует", и "КАКОЙ это наносит тебе вред" ты принципиально отвечать не хочешь?
     
     
  • 6.52, Аноним84701 (ok), 21:49, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Раз уж с чтением у анонима туговато, разъясню Из их же заявлений известно об ан... текст свёрнут, показать
     
  • 3.29, анон (?), 17:13, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    екзактли!! и таааакой кросивенький. Пожалуй, возьму два!!

    (так думает почти 98% юзверей)

     
  • 2.22, Аноним84701 (ok), 15:37, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > впечатление сервиса, который пытается работать так, как нужно людям, а не заставляет людей работать так как нужно сервису.

    Использование гугловской рекапчи с их "5 минут мы тебе будем подсовывать картинки, а потом все равно скажем "сорри ты не прошел", потому что на самом деле скор определяется юзерагентом, наличием/отсутствием гуглокаунта, айпишником и фазой луны при прохождении созвездия Козерога" – это все что нужно знать о их "работать так, как нужно нужным людям".

     
     
  • 3.26, Vitaliy Blats (?), 17:03, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты о чем?

    Работа CF прозрачна. Ты даже не знаешь что сайт использует CF если не посмотришь вручную на NS'ы

     
     
  • 4.30, анон (?), 17:16, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    святая простота.

    господи, сколько же тут наивных хомячков которые понятия не имеют что такое Cloudflare и как он работает.

     
     
  • 5.43, Аноним (42), 20:57, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Окей, он "наивный хомячок", а ты кто?
     
  • 4.34, Аноним84701 (ok), 17:55, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты о чем?

    Я о пользователях сайта (т.е. для тех, для кого сайты, по идее, делается).

    > Работа CF прозрачна. Ты даже не знаешь что сайт использует CF если не посмотришь вручную на NS'ы

    Пока у тебя есть зон^W гуглоакаунт -- возможно.
    Из под тора, "плохого" прокси или если CF из-за фазы луны забанил вашу подсеть - увы "one more step, please complete the security check".
    Достаточно  попытаться зайти из под тор на сайт CF. Или getbootstrap.com.  Или на целую кучу других сайтов (гуглим "cloudflare sites").

     
     
  • 5.39, Аноним (38), 19:48, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    То есть идея того, что владельцы тех сайтов не хотят, чтобы ты к ним ходил через TOR тебе в голову не приходила? Голосуй ногами — не ходи. Ходи на другие сайты, благо их в Интернете как полно.

    В который раз поражаюсь комментаторам на OpenNET — всякий раз так и норовят как в том анекдоте, залезть на шкаф с биноклем и оттуда жаловаться, что голых баб в бане напротив видно.

     
     
  • 6.41, Аноним84701 (ok), 20:07, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >>>> Использование гугловской рекапчи  [...] – это все что нужно знать о их "работать так, как нужно нужным людям".
    >>> Ты о чем? Работа CF прозрачна.
    >> Пока у тебя есть зон^W гуглоакаунт -- возможно.
    >> Из под тора, [b]"плохого" прокси или если CF из-за фазы луны забанил вашу подсеть[/b]
    > То есть идея того, что владельцы тех сайтов не хотят, чтобы ты к ним ходил через TOR тебе в голову не приходила? Голосуй ногами — не ходи. Ходи на другие сайты, благо их в Интернете как полно.

    То есть идея того, что можно не просто выкатить голословное утверждение, но и при встречном вопросе предоставить пояснение деталей и "как это по быстрому повторить-проверить"  (см. "Ты даже не знаешь что сайт использует CF если не посмотришь вручную на NS'ы") тебе в голову не приходила?

    В который раз поражаюсь комментаторам на OpenNET — всякий раз так и  норовят не дочитать до конца предложение (не говоря уже о теме ветки -- тут Акелла совсем уж промахнулся) и поспешить высказать свое ценное мнение …

    Объясняю на пальцах -- из-за использования гуглокапчи я категорично не согласен с утверждением, что  сервис Облако-Впышки "пытается работать так, как это нужно людям" (специально для неномерных анонимов: если под людьми подразумевались конечные пользователи сайта, а не маркетологи, гугловцы и прочие).
    Заодно  открою страшно секретную тайну -- голосование ногами будет эффективнее , если не голосовать ногами молча, строя из себя обиженного аутсайдера.
    Конкретно: +100%  эффективности за _каждого_ новоприобретенного единомышленника :)

     
     
  • 7.44, Аноним (38), 20:59, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я не он, и споришь ты не с тем аноном.

    На всякий случай повторю свой тезис: владельцы сайта хотят ограничить доступ к их сайту определённому кругу лиц. Если тебе не нравится разгадывать капчи — не разгадывай. Иди на другой сайт. В Интернете очень много разных, большинство не пользуется услугами CF. И уж раз речь зашла о том, как нужно людям, хорошо бы уточнить: каким именно. Сдаётся мне, что CF в первую очередь обеспокоен нуждами их клиентов, то есть владельцев сайтов, а не конечных пользователей.

    Я понимаю, что тебе лично припекает от того, что CF считает твои IP неправославными, но это твоя проблема, и решать её тоже придётся тебе. Можешь отомстить всему миру и забанить у себя все префиксы AS13335.

     
     
  • 8.48, Аноним84701 (ok), 21:23, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну-ну Я не тот аноним, я другой аноним На всякий случай перечитай еще раз о ... текст свёрнут, показать
     
  • 7.45, Аноним (42), 21:00, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Объясняю на пальцах -- из-за использования гуглокапчи я категорично не согласен с утверждением, что  сервис Облако-Впышки "пытается работать так, как это нужно людям" (специально для неномерных анонимов: если под людьми подразумевались конечные пользователи сайта, а не маркетологи, гугловцы и прочие).

    А он подразумевал владельцев сайта. Если владелец сайта поставил такие настройки, то почему он не прав?

    > норовят не дочитать до конца предложение

    Начните с себя, и научитесь понимать прочитанное.

     
     
  • 8.47, Аноним84701 (ok), 21:13, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что аноним так и не сумел прочитать целиком и до конца ... текст свёрнут, показать
     
  • 8.59, нах (?), 17:06, 20/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    например, потому, что владелец сайта - на свой сайт вообще никогда не ходит, и и... текст свёрнут, показать
     

  • 1.17, YetAnotherOnanym (ok), 14:35, 19/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > антивирусных приложений, межсетевых экранов, систем родительского контроля, вредоносного ПО

    Для CF нет разницы между малварью и антималварью => CF находится за гранью разницы добра и зла.

     
     
  • 2.32, Аноним (32), 17:33, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Здесь просто перечисление Почему должна быть описана разница И так всё понятно... текст свёрнут, показать
     

  • 1.31, Суровый краб (?), 17:27, 19/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не ожидал такого хэйта в сторону Cloudflare.
    Может кто рассказать про “шпионаж” и всё такое, м?
    К Google вопросов нет, с ним понятно, но Cloudflare ? ? ?

    Сам юзаю dns от Cloudflare и всё устраивает, а dns Google держу про запас.
    Не припомню негативных историй про Cloudflare, да и немцам доверия чутка больше.

     
     
  • 2.36, Аноним84701 (ok), 18:50, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Может кто рассказать про “шпионаж” и всё такое, м?

    Не шпионаж конечно, но там есть услуги "analytics/insigths"
    > Augment With Third Party Analytics
    > Cloudflare has partnered with the most popular analytics programs. You can get other analytics services through our apps marketplace with one click.

    Логика подсказывает, что для анализа данных пользователей нужно эти данные таки собирать.

    >  да и немцам доверия чутка больше.

    Я что-то пропустил?
    > Headquarters location: San Francisco, California, United States
    > Founded: July 2009, San Francisco, California, United States
    >

     
  • 2.40, dimqua (ok), 19:59, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Cloudflare is a mass-decryption chokepoint, which intercepts and decrypts the Web requests made by billions of people to millions of websites."
    Неужели не очевидно, чем это грозит?

    Цитата отсюда, кстати: https://github.com/nym-zone/block_cloudflare_mitm_fx (дополнение для FF, позволяющее заблокировать клаудфлару нафиг).

     
     
  • 3.46, Аноним (42), 21:06, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > "Cloudflare is a mass-decryption chokepoint, which intercepts and decrypts the Web requests made by billions of people to millions of websites."
    > Неужели не очевидно, чем это грозит?

    А чем это грозит? Как же мы бедные до этого по http ходили то, ужос. Достаточно понимать что безопасность в виде https + захардкоженый в браузерах список CA дяди Васи давно дискредитировала себя что бы не питать иллюзий по поводу безопасности https.

     
     
  • 4.53, dimqua (ok), 22:01, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какой бы не была безопасность у https, это все равно лучше, чем у голого http. И если я использую https, я хочу быть уверен, что это не квази-https от Cloudflare. Особенно, при использовании Tor Browser, который, благодаря Cloudflare, на многих сайтах использовать вообще проблематично из-за капчи.

    Да и не только в этом дело. Cloudflare способствует еще большей централизации веба, тогда как сама получает власть над пользователями, имея доступ к их трафику (в т.ч. и приватным данным). Google делает тоже самое.

     
  • 4.56, zzz (??), 23:17, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Анон совсем не видит разницы между "сотни миллионов сайтов на разных серверах" и "10% трафика проходит через сервера CF"?

    10% мирового трафика - это не только статистика, но и сниф трафика и возможность внедрения своего кода.

     
  • 3.58, Нанобот (ok), 10:35, 20/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Неужели не очевидно, чем это грозит?

    это грозит тем, что мамкины хакеры не смогут ДОСить всякие мелкие сайты, что негативно скажется на ЧСВ мамкиных хакеров и приведёт к увеличению количества соплей в интернетиках

     
  • 2.54, Аноним (54), 22:08, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Cloudflare has agreed to provide APNIC with access to some of the data that Clou... текст свёрнут, показать
     
  • 2.57, Аноним (57), 10:21, 20/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Не ожидал такого хэйта в сторону Cloudflare.

    Не нарывался на ответ "пошёл нафиг, от тебя DOS-атака"?

     

  • 1.37, Аноним (37), 19:05, 19/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В разрезе операционных систем статистика выглядит следующим образом: Android (35.22%), Windows 10 (22.23%), Windows 7 (13.13%), iOS (11.88%), другие ОС (17.54%).

    Очень интересные цифры, отражающие распределение ОС, и подтверждаемые иными независимыми источниками. Похоже, это именно то распределение, которое на самом деле имеет место, а не заказуха от ИТ монстров.

     
     
  • 2.55, omnomnim (?), 22:37, 19/03/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Очень интересные цифры, отражающие распределение ОС, и подтверждаемые иными независимыми источниками.

    и что в этом интересного?
    если вы думаете, что другие ОС (17.54%) это линуха и *БСД, то для начала отщипните где-то 13-15% на макось.

     
     
  • 3.62, Аноним (62), 08:28, 21/03/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Совсем нет. Мне представляется интерес, во-первых, в весьма малой доле Windows. Причем в заметке - это не единственный источник парадоксальной статистики, который подтверждается и другими независимыми источниками. И это - второй интерес. О важности представленной сенсационной информации каждый, думаю, сделает выводы сам в зависимости от своего бизнеса (разработка, поставка, обучение, поддержка). Ну и третий интерес - сомнение в данных официальных коммерческих (!) источников статистики типа статкаунтера.
     
     
  • 4.64, пох (?), 14:30, 21/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Мне представляется интерес, во-первых, в весьма малой доле Windows.

    то есть для вас открытие, что мобильных телефонов в разы больше чем "десктопов", причем многие десктопы используются в офисах где либо не одобряется шастание по интернету с казенной системы, либо оно вообще жестко ограничено или отсутствует вовсе?

    ну и отдельно - контент, который прячут за cloudflare - в массе своей, надо понимать, не имеет отношения к работе.

     

  • 1.60, Айран (?), 17:19, 20/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    перехват шифрованного трафика неприемлем, если этим грешат плохие дяди. Если же ради благих целей  - то хорошим дядям можно доверить полный доступ, ведь чтобы бороться со злом нам нужно больше инструментво
     
     
  • 2.63, Аноним (62), 08:34, 21/03/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > если этим грешат плохие дяди

    Как показывает опыт, среди сотен хороших дядей найдется один нехороший, который продаст коллег, а потом окажется на ПМЖ в одной из держав. Поэтому система должна быть построена так, чтобы не зависеть от совести отдельного человека. Нравственные категории - сомнительная основа бизнеса.

     

  • 1.65, username (??), 21:12, 22/03/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лютый хейт CF.
    Несмотря на то что он вполне умеет в оупенсорс.
    А чего вы хотите? Чтобы мелкие конторы верулись к необслуживаемым балансировщикам?
    Чтобы опять мамкины ддосеры начали массовый шантаж?
    Меньшее зло в данном случае. Было бы хорошо жить в идеальном мире.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру