#Cloudflare 注册的域名,其whois中仍会保留「注册人州/省、注册人国家」信息。
另外,实测Cloudflare注册的.org域名会保留Organization Name字段。
https://developers.cloudflare.com/registrar/account-options/whois-redaction/#what-is-whois-redaction
cloudflare
发个老本行知识:Mastodon套Cloudflare后用户IP变成CF IP的解决方案:
将nginx反代配置中的2处:
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
替换为
proxy_pass_request_headers on;
原理:CF会把客户正确的IP放在这两个header里。不需要nginx再添油加醋。
Esse papo do #CloudFlare ter colaborado com o governo pra manter o bloqueio ao twitter tá sendo festejado mas isso é só mais um exemplo do PERIGO que é a internet quase inteira ser controlada por essa empresa. Ela sim tem o poder de controlar acessos. Inclusive vários sites governamentais no Brasil (tanto federais quanto de esferas menores) dependem do Cloudflare.
🔗转移到 cloudflare R2 + PicList 作图床 https://zhengduo.wordpress.com/2024/11/10/r2-pic/ #Cloudflare, #PicList, #R2, #博客, #图床
Risico Cloudflare (+Trump)
🌦️ Achter Cloudflare
Steeds meer websites zitten "achter" het Amerikaanse bedrijf Cloudflare. Stel u opent https://pvv.nl (let op, daar staat https:// vóór, Mastodon verstopt dat) in uw browser:
browser <-1-> Cloudflare <-2-> https://pvv.nl
⛓️💥 Géén E2EE
Bij zeer veel websites (https://pvv.nl is een voorbeeld) is er sprake van twee *verschillende* verbindingen, dus beslist geen E2EE = End-to-End-Encryption (voor zover dat überhaupt nog wat zegt als de "echte" een cloud-server van Google, Microsoft of Amazon is).
🕋 CDN's
Cloudflare, een CDN (Content Delivery Network), heeft een wereldomspannend netwerk met "tunnel"-servers in computercentra van de meeste internetproviders. Waarschijnlijk ook bij u "om de hoek".
🔥 DDoS-aanvallen
Dat is werkt uitstekend tegen DDoS (Distributed Denial of Service) aanvallen. Ook zorgen CDN's voor veel snellere communicatie (mede doordat plaatjes e.d. op een web van servers "gecached" worden) - ook als de "echte" server aan de andere kant van de wereld staan.
🚨 Nadelen
Maar dit is NIET zonder prijs! Cloudflare kan namelijk *meekijken* in zeer veel "versleuteld" netwerkverkeer (en dat zelfs, desgewenst, wijzigen).
🚦 Nee, niet *u*
Ook kunnen Cloudflare-klanten allerlei regels instellen waar bezoekers aan moeten voldoen, en hen als "ongewenst" bezoek blokkeren (ook *criminele* klanten maken veelvuldig gebruik van deze mogelijkheid, o.a. om te voorkómen dat de makers van virusscanners nepwebsites op kwaadaardige inhoud kunnen checken).
Aanvulling 14:39: { zo kan ik, met Firefox Focus onder Android, https://cidi.nl *niet* openen, ik zie dan een pagina waarin o.a. staat "Even geduld, de website van Centrum Informatie en Documentatie Israël (CIDI) is aan het verifiëren of de verbinding veilig is. Please unblock challenges.cloudflare.com to proceed."
}
😎 Men In Black
Omdat Cloudflare een (tevens) in de VS gevestigd bedrijf is, moeten zij voldoen aan de Amerikaanse FISA section 702 wetgeving. Dat betekent dat hen opgedragen kan worden om internetverkeer te monitoren, en zij daar een zwijgplicht over hebben. Terwijl Amerikanen al minder privacy-rechten hebben dan Europeanen, hebben *niet*-Amerikanen *nul* privacyrechten volgens genoemde FISA wet.
🔓 Knip
Dat https-verbindingen via Cloudflare niet E2EE zijn, blijkt uit onderstaand plaatje (dat vast méér mensen wel eens gezien hebben).
📜 Certificaten en foutmeldingen
Dat plaatje kan, zonder certificaatfoutmeldingen, ALLEEN bestaan als Cloudflare een geldig authenticerend website-certificaat (een soort paspoort) heeft voor, in dit geval, https://bleepingcomputer.com - en dat hébben ze. Voor MILJOENEN websites.
🛃 MitM
Cloudflare (maar ook anderen, zoals Fastly) zijn een MitM (Man in the Middle).
🤔 De tweede verbinding?
Uw browser heeft, grotendeels transparant, een E2EE-verbinding met een Cloudflare server. U heeft géén idee wat voor soort verbinding Cloudflare met de werkelijke website heeft (is dat überhaupt https, en een veilige variant daarvan? Wat doet Cloudflare als het certificaat van de website verlopen is? Etc).
👽 AitM
En zodra een MitM kwaadaardig wordt, noemen we het een AitM (A van Attacker of Adversary).
🗽 Trump
Als Trump Cloudflare opdraagt om geen diensten meer aan NL of EU te leveren, werkt hier HELEMAAL NIETS MEER en dondert onze economie als een kaartenhuis in elkaar.
🃏 DV-certs
Dat Cloudflare een website-certificaat voor bijvoorbeeld https://vvd.nl of https://cidi.nl heeft verkregen, zou vreemd moeten zijn. Dit is echter een peuleschil "dankzij" DV (Domain Validated) certificaten (het lievelingetje van Google) die het internet steeds onveiliger maken en waar ook onze overheid "voor gevallen is" (zie https://infosec.exchange/@ErikvanStraten/114032329847123742).
😱 Nepwebsites
Maar dit is nog niet alles: steeds meer criminele nepwebsites *verstoppen* zich achter Cloudflare, waar zijzelf (crimineel) geld aan verdient. Zie bijvoorbeeld https://security.nl/posting/876655 (of kijk eens in het "RELATIONS" tabblad van https://www.virustotal.com/gui/ip-address/188.114.96.0/relations en druk enkele keren op •••).
#Risico #Economie #Cloudflare #Fastly #CDN #AitM #MitM #FISASection702 #FISA #ThreeLetterAgencies #Trump #Sbowden #E2EE #InfoSec #VVD #PVV #CIDI #VT #VirusTotal #DVCerts #DV #OV #EV #QWAC #CyberCrime #NepWebsites #FakeWebsites
So, Cloudflare analyzed passwords people are using to log in to sites they protect and discovered lots of re-use.
Let me put the important words in uppercase.
So, CLOUDFLARE ANALYZED PASSWORDS PEOPLE ARE USING to LOG IN to sites THEY PROTECT and DISCOVERED lots of re-use.
[Edit with H/T: https://benjojo.co.uk/u/benjojo/h/cR4dJWj3KZltPv3rqX]
https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/
Recently I boosted a couple of links about cloudflare doing some sort of password re-use analysis on passwords they saw through their WAF. This was not a technical post. It was a call to attention. Some of the responses I got suggested that my post was misleading or blowing this way out of proportion. I assure you that neither of these are true.
Don't focus so much on the idea that #cloudflare has access to passwords that come through their systems. In better times I'd welcome such an effort. At least they didn't chastize someone who really loved a silly movie, like Netflix did long ago. Instead, focus on the fact that they are a company based in the United States meaning they are subject to the whim of a fascist regime that is proving it doesn't care about the letter of the law.
I'm not concerned about my password security for the sites that transit their service. I am a cishet middle class white male. I'm pretty low on the target list.
*** I AM concerned about the password security for at risk populations who access sites crucial for them, that transit through cloudflare. I'm concerned about the LGBTQIA+ population in the United States. I'm concerned about pregnant women. I'm concerned about Jews, and Muslims, and Bhuddists, and everyone else who doesn't fit into the narrow worldview of the fascist reich that is the republican party and their bootlickers. The FBI, Justice Department, State Department, etc no longer serve the american people. They serve an emperor. This is a time of great danger any website or service that attracts at risk populations should seriously consider if using some of cloudflare's features is worth it, or if they should take their business elsewhere.
#Fedify 1.6 is approaching with three major enhancements: RFC 9421 HTTP Message Signatures support with double-knocking for seamless backward compatibility, a new builder pattern for better code organization in large applications, and native #Cloudflare #Workers support for serverless deployments. These additions strengthen Fedify's standards compliance while expanding deployment flexibility across different environments. Stay tuned for the official release! 🚀
#ActivityPub #fedidev #fediverse #RFC9421 #CloudflareWorkers
Moment of Gratitude: CloudFlare
CloudFlare saved the Internet Archive servers from DDOS attack yesterday
The max rate of this DDOS attack was 525 Gbps (44.93 Mpps) of a "TCP flood."
The Internet Archive does not have enough bandwidth to fend off that kind of attack.
Thank you #cloudflare or we would have had a very bad Saturday at the @internetarchive
DDOS attacks are coming more frequently.
【服务中断】XMSL HK 基础设施中断
开始时间:2025年6月18日 21:58:17
一次恢复时间:2025年6月18日 23:42:10
涉及服务:XMSL-Paste 和 XMSL-RPKI
不涉及任何 #DN42 内部服务,不涉及公网路由服务
接上游供应商通知,上游正遭受大规模 #DDoS 攻击,造成我们基础设施完全中断不可用。服务将在攻击结束后较短时间内恢复。目前站点由 #Cloudflare 缓存提供。
对 Relay 进行了一波升级,主要包含以下要点:
1. 前端生成器大大大大大大重构 —— 错误处理和日志记录完全重写
2. 为生成器引入了 nodeinfo 端点抓取失败自动顺序尝试其他可能的端点的功能 以应对前段时间提到的奇怪实例错误
3. 为生成器设置了一个 User-Agent 便于识别以及避免被 #Cloudflare 拦截
4. 前端页面添加了追踪器,我想看看 Magic SEO
-> FurCa Relay
---
We have upgraded our relay, which mainly includes the following key points:
1. The front-end generator has been significantly restructured — error handling and logging have been completely rewritten.
2. Introduced a feature for the generator to automatically attempt other possible endpoints in sequence when .well-known/nodeinfo endpoint retrieval fails, addressing the strange instance errors mentioned earlier
3. Set a User-Agent for the generator to facilitate identification and avoid being blocked by #Cloudflare
4. Added a tracker to the frontend page; I just want to see Magic SEO