CloudFlare在全球范围内提供巨大的DNS速度,它们有一个设计精心设计的控制面板,用于管理DNS托管,并将其与优质免费服务合并,您可以获得强大而非常吸引博主托管解决方案,适用于博主,WEBSHOP业主以及拥有的任何人网站。然而,大多数人都忽略了CloudFlare,以安全为名,每天都会阻止数百万个有效的用户访问CloudFlare在其托管服务中注册的网站。
在DNS设置的控制面板中,您可以选择一个名为"防火墙",在该选项中,有一个名为"安全级别"
默认情况下,它设置为"中等"这意味着许多人将被您的网站封锁非常讨厌和耗时的CAPTCHA。此选项的问题是在免费服务中无法禁用它。您实际上必须支付企业版,这是每个域每个域的200美元,以便禁用该功能。即使您将设置设置为最低可用价值,它基本上是关闭的,您的许多访客仍将被阻止。
验证码可能看起来有害,但往往重复几次显示不同的谜题来解决。当您单击图片时,已插入了许多费用效果,并且图片在才能替换为另一张照片之前,图片大约需要3-4秒。这个过程非常烦人,很多人都将只是离开你的网站。
对互联网隐私的需求正在迅速增长,每天越来越多的人正在签署世界各地的VPN服务。 CloudFlare默认情况下,这些服务通常被阻止,这是一个严重的问题。
在这里'是youtube上的一个例子,如果您使用VPN服务和Firefox的反跟踪插件,它可以是多么烦人的烦恼。
CloudFlare在人们面前抛出的验证解决方案绝对无关的情况与安全性无关,它永远不会阻止任何邪恶意图的人,以实现他们想要的任何东西。专业黑客有巨大的僵尸网络,僵尸网络,由数千名受损的计算机全球,具有非常不同的IP地址。 CloudFlare无法使用愚蠢的CAPTCHA保护您的网站,他们唯一可以做的是阻止和哈拉哈拉维斯重视隐私访问您的网站。如果您重视访问者,您需要了解这一点。
无论您需要提供什么,没有人都愿意填写讨厌的CAPTCHA才能访问您的网站。随着CloudFlare的迅速增长,就像迅速一样迅速抵制使用CloudFlare DNS托管解决方案的网站。
看看CloudFlare Mitm攻击Firefox插件的块。如果您使用CloudFlare,则此插件将完全阻止您的网站,并且它是一个强烈推荐的插件。
CloudFlare的另一个非常严重的问题是,它们是与他们的CDN(内容交付网络)服务充当MITM(中间人),其中他们在其他内容中,将您的网站内容缓存并显示给您的访客。如果你'重新运行一个普通网站,就像博客一样,人们从来没有真正访问你的网站,他们' ll只是从cloudflare获得内容。然而,这不是严重的问题,严重的问题是他们为所有使用他们服务的人提供了SSL连接,以便他们成为中间人的方式。在CloudFlare服务器之后,您的连接只会加密,直到CloudFlare服务器只能清晰的文本。连接在浏览器和CloudFlare之间进行加密,如果网站具有SSL证书,则在CloudFlare和网站之间进行加密,但在CloudFlare之间的通信仍然完全可见。
您可以通过去使用CloudFlare' s ssl连接的任何网站来检查。检查网站的证书。你' ll注意到它' s cloudflare证书,而不是您的网站上的证书'实际访问的网站。
想象一下b作为你的浏览器,也是web服务器。在正常的通信流中,它看起来像这样:
当您使用SSL连接访问网站时,浏览器(B)检查加密证书,如果验证,则在浏览器(B)和Web服务器之间建立加密连接。现在想象一下,我们在浏览器和Web服务器之间设置另一台计算机。
在此设置中,中间(C)和WebServer中的计算机都具有SSL证书。当您的浏览器请求加密连接到网站时,它会从中间的计算机中获取证书,在这种情况下,在这两个情况下建立加密通信。然后中间的计算机与Web服务器相同,并且在中间和Web服务器中的计算机之间建立加密连接。但是,中间的电脑现在看到了。
让' s说你点击网站上的东西。 "点击"在SSL通信中加密并发送到计算机,然后中间的计算机解密通信并查看"单击",然后再次加密通信并将其发送到Web服务器再次解密通信以便提供&#34的内容;点击"
所以你真的希望Cloudflare抢夺网站和访客或客户之间的沟通吗?即使在Web服务器上运行SSL证书,CloudFlare也能看到一切。
您需要了解用户,访问者访问您的网站,挂锁图标误导了错误状态,误导与您的网站的连接是安全的。用户相信,当他们看到挂锁图标时,将拥有一个安全的端到端隧道到您的网站,而他们不知不觉地将隧道到CloudFlare,谁在到达您的网站之前看到所有的TRAFIC。
这意味着在没有访问者的同意或知识的情况下,正在向CloudFlare披露敏感数据。
如果您正在寻找DDOS缓解,基本上使用它在网络级别提供的任何提供商 - 它真的没有必要访问HTTP流量以缓解攻击。此外,Don' t跑apache - 它'令人遗憾的是易受各种低带宽攻击的攻击。
一个非详尽的"真实和#34;缓解提供者(请注意,我没有提出任何特定的建议):
您' ll想要避免任何HTTM特定的(因为它将容易出现与CloudFlare相同的隐私问题),并仅选择第3/4层缓解。另一种选择,如果您'以更大的规模运行,是购买缓解设备并刚刚设置自己的缓解基础设施。这不会便宜,需要一些严重的连接,但超越某个点' ll更具成本效益。如果您正在寻找WAF,请在自己的后端服务器和/或LoadBalancer上运行一个。真的,没有好处做到这一点。甚至类似于Modsecurity的东西也将涵盖各种问题。
如果你'重新寻找节省带宽:不要打扰。目前,交通费用几乎没有任何内容,并通过拥有其他提供商缓存您的资产越来越突出所有用户的隐私(和潜在安全性),节省了几美元。如果您发现流量昂贵,您应该查找不同的提供商 - 一些提供商(如AWS)令人惊叹的过度充电。
如果你'重新寻找更好的性能:CloudFlare并不是为了开始'在那里的非静态资产的额外跳跃,并且根据您的服务器和用户的位置,它实际上可以减慢速度。如果您的表现对毫秒至关重要 - 而且机会是,它是' t - 查看提供符号的托管提供商。
如果您'重新寻找DNS托管:大量选择。许多提供商免费提供,如果您举办它们,飓风电气无论您托管,如果您需要SLA,那么' S RAGE4和53号公路。几乎每个DNS托管提供商都使用ANYCAST 。
如果您'重新查找魔术SSL / TLS:使用CADDY HTTPS://caddyserver.com/,它是一个HTTPD,它将通过Let&#39加密自动为您设置和续订证书,以及大大简化TLS配置。它基本上零努力'
试图将其外包给第三方(如CloudFlare' s" hoseral ssl / tls" docto)击败了这一点 - 这意味着第三方可以看到所有的流量,一直都在提供a虚假的安全感给您的用户。他们看到了挂锁,但他们的交通不是固定的端到端。
如果您想阻止浏览器中的CloudFlare网站,您可以通过Firefox插件(称为Block CloudFlare插件)这样做
如果您有任何意见或更正,请随时向我发送电子邮件。此外,如果您发现此内容有用,请考虑支持帕勒顿