Что нового

CloudFlare - рак интернета

18/9/04
6 108
1 941
Выдержки из статьи пользователя Хабра editor_ruvds

Сейчас CloudFlare проксирует через свою инфраструктуру треть интернета. Из-за этого CloudFlare угрожает нормальной работе интернета, мешает обычным людям пользоваться сайтами, имеет доступ к зашифрованному трафику.

2 июля 2019 года в результате ошибки CloudFlare полностью сломался. В результате были недоступны все сервисы, так или иначе использующие их сеть. Среди наиболее известных: Discord, Reddit, Twitch. Это коснулось не только веб-сайтов, но и игр, мобильных приложений, терминалов и т.д. При этом, даже те сервисы, которые не используют напрямую CloudFlare, испытали проблемы в работе из-за сторонних API, которые стали недоступны.
Несмотря на то, что даунтайм был небольшим, всего несколько часов, это существенно сказалось на всей индустрии. Из-за неработающих платежных сервисов компании несли прямые убытки. Этот инцидент вскрыл очевидную проблему, которая до этого обсуждалась только в теории: если интернет настолько зависим от одного поставщика услуг, в какой-то момент все может сломаться.

Если одна компания контролирует такую большую часть интернета, это угрожает устойчивости сети как с технической стороны, так и с экономической.
Сама концепция интернета предполагает децентрализацию и устойчивость к подобным ошибкам. Даже в случае отключения части сети, система маршрутизации автоматически перестраивается. Но когда одна компания управляет такой большой частью трафика, сеть становится уязвима перед ее ошибками, саботажем, взломами, а так же недобросовестными действиями для извлечения прибыли.

Если фирменные алгоритмы определения вредоносного трафика CloudFlare сочтут, что вы недостойный пользователь интернета, веб-серфинг превратится в мучение: на каждом пятом сайте вы будете видеть требования пройти унизительную капчу.
Капча от CloudFlare может преследовать вас по всему интернету
Автор этих строк выходит в интернет с офисного IP-адреса, за которым сидят сотни других сотрудников. Видимо CloudFlare посчитал, что мы все выглядим как боты, и стал показывать всем очень злую капчу. Иногда это доходит до абсурда, когда некоторые мобильные приложения не могут залогиниться. В итоге, чтобы нормально ходить по интернету, приходится подключать VPN.
Получается, CloudFlare в любой момент может отключить вас лично от большой части интернета, если вы ей не понравитесь, или из-за ошибочного детектирования превратить обычное использование сервисов в мучение.

Чтобы правильно кешировать и фильтровать контент, серверы CloudFlare должны иметь возможность видеть расшифрованный HTTP трафик. Для этого они всегда работают в режиме MiTM (Man-in-the-middle), подставляя конечному посетителю сайта свой SSL-сертификат.
Картинки в инструкциях по настройке HTTPS могут вводить в заблуждение, будто в режиме Full, на всем пути следования трафика используется шифрование. На самом деле сервер CloudFlare расшифровывает трафик от сервера и шифрует его заново своим сертификатом уже для посетителя сайта.
Даже если вы имеете на своей стороне действующий SSL-сертификат, CloudFlare все равно будет иметь доступ ко всем передаваемым данным. Это дискредитирует всю идею SSL, которая предполагает шифрование от клиента до конечного сервера без расшифровки по пути.
В случае ошибки или взлома серверов CloudFlare, весь конфиденциальный трафик будет доступен злоумышленникам. Достаточно вспомнить уязвимость с утечкой памяти , из-за которой сервера CloudFlare выплевывали случайное содержимое памяти прямо в контент страницы. Среди таких данных могли быть cookie, учетные записи, номера кредитных карт и т.д.
Также нужно иметь в виду, что спецслужбы той страны, в юрисдикции которой работает компания Cloudflare Inc, могут запрашивать доступ к расшифрованному трафику, даже если оригинальный сервер находится в другой юрисдикции. Это превращает основную идею SSL в фикцию.

Изначально, компания Cloudflare заявляла, что будет только предоставлять инфраструктуру для клиентов и не планирует цензурировать ресурсы по содержимому, обещая ограничиваться только законными требования от государственных органов. Так было с сайтом знаменитой группировки LulzSec, которые координировали взломы и DDoS-атаки. По этому поводу Cloudflare выпустили заявление.

Однако спустя время, Cloudflare решает отказать сайту 8chan в обслуживании на основании своих представлений о морали. При этом никаких судебных решений или иных формальных причин для этого не было — просто они так решили. Это вызвало общественную дискуссию о том, может ли провайдер сам решать, какой сервис достоин обслуживаться на его инфраструктуре, а какой нет. Статья с размышлениями на эту тему в New York Times: Why Banning 8chan Was So Hard for Cloudflare: ‘No One Should Have That Power’.

Опасный рост и грядущая монополия Cloudflare угрожает устойчивости всего интернета. Попробуем резюмировать все вышесказанное в простых тезисах:

Нельзя хранить все яйца в одной корзине. Это просто небезопасно, цена ошибки в таком случае слишком высока. Если все секреты мира будут у одной компании, она всегда может быть взломана, допустить ошибку или просто действовать нечестно для выдавливания конкурентов с рынка.
Коммерческая компания всегда заинтересована в одном — зарабатывании денег. Если ключевые элементы узлы интернета захватит одна компания, она сможет монопольно управлять ценами на услуги, уничтожать конкурентов и диктовать свои правила, задавливая конкурентов в зачатке.
SSL больше не защищает данные от третьих лиц. Все ваши шифрованные данные, передаваемые по сети Cloudflare, доступны этому самому третьем лицу — CloudFlare. Это дает неограниченный доступ к чувствительным данным миллионов пользователей.

cloudflare.jpg
 
Последнее редактирование модератором:

uo5oq

.
22/11/05
5 297
4 244
Параноя в общем то, но не совсем лишенная некоторых оснований.

Никто не мешает любому пользователю CloudFlare, в любой момент, отключить свой ресурс от них и избавиться от "зависимости".
Есть масса альтернативных сервисов защиты от ddos и прочих услуг, поставляемых CloudFlare. Да, CloudFlare - самый крупный из них.
Но никто же не подозревает, например Google, в чем то подобном, хотя он тоже крупнейший из себе подобных сервисов.
 
18/9/04
6 108
1 941

uo5oq

.
22/11/05
5 297
4 244
1/3 думаю преувеличено, но даже если и так, то никто не мешает этой трети интернет ресурсов отключиться от них и избавиться от "зависимости".
Да, будет работа для web-мастеров этих ресурсов, да, будут какие-то потери, но это отнюдь не смертельно для ИНТЕРНЕТА, на что намекает пользователь Хабра в своей статье.
Более актуальны, поднятые им проблемы с шифрованием трафика. Но тут уже никуда не деться, или ставить своё железо для защиты от ddos, весьма не дешевое, или пользоваться сервисами подобными CloudFlare, учитывая возможные риски.

Вообще, конечно мощности CloudFlare впечатляют.
А бесплатность их основных сервисов наводит на разные мысли.... Думаю, что автора на Хабре именно это и сподвигло на статью.
 

Coler

.
16/9/13
2 617
1 228
52
У гугла мощностей больше намного. Даже считать не буду сколько всего. Одних XSS серверов в германии такая толпа. Больше чем волос на башке)
А на CloudFlare лезут не от больших денег в кармане. Нормальный сервер с нормальными процами и памятью хардами и спанелью ( извените другое амно не перевариваю) Огромных денег стоит на сегодняшний день

Хоть до смерти не запинайте Моё личное мнение
А у нас на вкус и цвет Товарищей нет )
 
18/9/04
6 108
1 941
А на CloudFlare лезут не от больших денег в кармане.
Абсолютно согласен, сервис для "тощих кошельков", для людей из креативной зоны, зоны идей и многочисленных прожектов, очень чувствительной к безопасности данных. А им такую "свинью" (CloudFlare).
 
F

fedja

Гость
Я это давно говорил) что нифига хорошего с этого не выйдет, и... если посмотреть, как некоторые сайты пишут, и прочие web- ресурсы, то.... не хорошо это. Использовать для работы своих ресурсов чужие скрипты, которые хранятся где-то хер пойми где, когда вес этого скрипта совсем копеешный. И его смело можно ложить на своем хосте, и в случае надобности- его всегда можно обновить. И это будет надежнее, в плане работы, нежели - этот ссвлается туда, то туда и в итоге все работет, но.. раз. И упало)))
 

Кто читал эту тему (всего: 251) Детально

Верх Низ