ปิดใช้งานคุกกี้ __cfduid จาก Cloudflare

13

มีการตั้งค่า Cloudflare ที่สอดคล้องกับการสร้าง__cfduidคุกกี้เซสชันหรือไม่

ฉันกำลังลอง CF ส่วนใหญ่สำหรับการจัดการ DNS ที่เรียบร้อยและ CDN โดยนัย แต่ WAF พื้นฐานน่าจะเป็นสิ่งที่ดีนอกจากนี้บน Apaches mod_security / CRS อย่างไรก็ตามฉันไม่แน่ใจว่าวัตถุประสงค์ของคุกกี้คืออะไรและต้องการที่จะกำจัดสิ่งนั้น

การตั้งค่าที่ชัดเจนที่สุด

โปรไฟล์ความปลอดภัย: ปิดเป็นหลัก

ดูเหมือนว่าจะไม่มีผลกับการสร้าง__cfduidHTTP ทุกการตอบสนอง วัตถุประสงค์คุกกี้นั้นน่าจะเป็นสำหรับการยกเลิกผู้ใช้คนเดียวจากกฎของไฟร์วอลล์, captchas บนคลาวด์ซ้ำ ๆ ฯลฯ

เอกสารสนับสนุนของพวกเขาหมายถึงสิ่งนั้น ในกรณีที่การแก้ไขครั้งแรกตั้งแต่ 09/2012 ( https://support.cloudflare.com/hc/en-us/articles/200169536-What-does-the-cfduid-cookie-do-พฤติกรรม) กล่าวว่าพฤติกรรมนี้ไม่เคยเป็น ปิด. รายการสองเดือนต่อมา 11/2012 ( https://support.cloudflare.com/hc/en-us/articles/200170156-What-does-the-CloudFlare-cfduid-cookie-do- ) แต่ละเว้นข้อความนั้น

ในขณะที่คลาวแฟร์ TOS ตัวเองตรวจสอบออกมาเป็นที่น่าเชื่อถือ, dc41f5a78bc3e27d44b70fca4606e4262283407700773คุกกี้นี้มีคุณสมบัติทั้งหมดของเซสชั่นการติดตาม อายุการใช้งานคุกกี้ที่มากเกินไป 6 ปีนั้นแปลกมากสำหรับกรณีการใช้งานอินเทอร์เน็ตคาเฟ่ที่เป็นแบบอย่าง และเนื่องจากฉันหลีกเลี่ยงการประชุมที่ไม่มีความต้องการส่วนตัวและไม่ต้องการพลาสเตอร์บันทึกข้อมูลส่วนบุคคล (เนื่องจากกฎหมายคุกกี้สหภาพยุโรปที่น่าอับอาย) เหมือนคนอื่น ๆ ฉันจึงอยากให้มันหายไปโดยปริยาย

วิธีแก้ปัญหาเช่น:

  Header add Set-Cookie "__cfduid= ; path=/; domain=.example.org; HttpOnly"

หลีกเลี่ยงการเก็บข้อมูล แต่ยังคงมีสองส่วนหัวที่ไม่มีความจำเป็นและดูไม่น่าเชื่อถือมากเกินไป

ดังนั้นมีการตั้งค่า CF อื่นสำหรับสิ่งนี้หรือไม่

cookie  cloudflare 
มาริโอ
แหล่งที่มา
1
นอกเหนือจากสิ่งที่น่าขบขันเช่นนี้แล้ววิธีแก้ปัญหาที่ใช้ได้เพียงอย่างเดียวคือการเชื่อมต่อพร็อกซีและตัดคุกกี้ก่อนที่จะเข้าถึงไคลเอ็นต์
ซิงโคร

คำตอบ:

4

ไม่ไม่มีทางที่จะปิดคุกกี้หากเรากำลังบันทึกเร็กคอร์ด (หากคุณมีโดเมนย่อยที่ไม่ได้ทำงานผ่านพร็อกซีของเราในการตั้งค่า DNS ของคุณจากนั้นเราจะไม่เพิ่มคุกกี้เพราะจะไปยังเซิร์ฟเวอร์ของคุณโดยตรง) . คุกกี้นั้นเป็นสิ่งที่ทำให้ระบบความปลอดภัย (เช่นหน้าท้าทาย) ทำงานได้

damoncloudflare
แหล่งที่มา
8
"ทำให้งานความปลอดภัย" ยังคงพรรณนาอย่างมากมาย มันช่วยรักษาความปลอดภัยเช่นบอตซึ่งโดยทั่วไปแล้วจะไม่ส่งคุกกี้เซสชันไปด้วยอย่างไร หากเป็นเพียงสำหรับ CAPTCHAS แล้วเวลาหมดอายุคุกกี้ที่มากเกินไปคือเท่าไร
มาริโอ
2
ฉันสงสัยว่าเป็นเพราะการสร้างผู้ที่เชื่อถือได้ไม่ใช่ผู้ที่ไม่น่าเชื่อถือ หากคุณไม่มีคุกกี้เซสชันคุณจะอยู่ในสถานะที่เชื่อถือได้น้อยที่สุด หากคุณมีคุกกี้เซสชันคุณสามารถไม่น่าเชื่อถือหรือเชื่อถือได้หรือที่ใดก็ได้ในระหว่าง ดังนั้นการไม่ส่งคุกกี้เซสชันหมายความว่าคุณจะได้รับการปฏิบัติที่เป็นมิตรมากขึ้นโดย WAF ไม่น้อยกว่า จากนั้นจะติดตามว่ามีเวลาคุกกี้ 'มากเกินไป' ที่จะหยุดคุณไม่ให้ถูกรบกวนหรือถูก จำกัด ปริมาณในอนาคต
Rushyo
ปรากฎว่า cloudflare โฮสต์สิ่งต่างๆมากมายที่ฉันมักเรียกดู (เอกสาร API, โครงการโอเพ่นซอร์ส) ซึ่งตอนนี้ฉันก็ไร้ประโยชน์ทั้งหมด ไม่ฉันจะไม่เปิดใช้งานการฉีดคุกกี้เซสชันแบบสุ่มในโดเมนที่ไม่มีสิ่งใดใน cloudflare ให้ทำ (เช่น jqueryui.com, expressjs.com) __cfduidทำลายมาตรฐานอินเทอร์เน็ต มันผิด.
Martin Algesten
4

ปัญหาของคุกกี้นี้คืออะไร คุณใช้บริการของพวกเขาและต้องการได้รับประโยชน์จากบริการและความปลอดภัยของพวกเขา - ตาม Cloudflare คุกกี้นี้ช่วยโดยเฉพาะอย่างยิ่งเพื่อเหตุผลด้านความปลอดภัย คุกกี้ประเภทนี้จะได้รับการยกเว้นจากข้อความกฎหมายเกี่ยวกับคุกกี้:

อย่างไรก็ตามคุกกี้บางตัวได้รับการยกเว้นจากข้อกำหนดนี้ ไม่จำเป็นต้องได้รับความยินยอมหากคุกกี้คือ:

ใช้เพื่อจุดประสงค์เดียวในการดำเนินการส่งการสื่อสารและ

·จำเป็นอย่างเคร่งครัดเพื่อให้ผู้ให้บริการบริการข้อมูลสังคมต้องการโดยผู้ใช้อย่างชัดเจนในการให้บริการดังกล่าว

อ่านเพิ่มเติม: http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

คุกกี้ Cloudflare นี้ได้รับการยกเว้นจากกฎหมายคุกกี้อย่างแน่นอน

Luca Steeb
แหล่งที่มา
1
"เพื่อเหตุผลด้านความปลอดภัย"เป็นคำอธิบายที่ชัดเจนซึ่งก่อให้เกิดคำถามนี้ ตอนนี้ใช้อะไร ทำไมมันจึงยังคงมีคุณสมบัติเมื่อ "ความปลอดภัย" เป็นคนพิการ ? ทำไมมันมีอายุ 6 ปี? ความเห็นทางกฎหมายเกี่ยวกับเรื่องนี้ส่วนใหญ่จะเป็นมุมฉาก
มาริโอ
ฉันกลัวว่าทุกคนสามารถตอบคำถามนี้เกี่ยวกับความปลอดภัยได้แม้กระทั่งพนักงานของ Cloudflare (ฉันคิดว่า damoncloudfare เป็นหนึ่ง) ไม่สามารถบอกคุณได้ไม่ว่าจะด้วยเหตุผลใด
Luca Steeb
2
นี่คือปัญหาหนึ่งของคุกกี้นี้: มันก่อให้เกิดผลบวกปลอมในสแกนเนอร์ vuln / PCI ตัวอย่าง Saintbot / Controlscan เห็นการตอบสนองด้วยเซสชันฐานคุกกี้ var และตั้งค่าสถานะเป็น phprpc vuln แม้ว่า phprpc จะไม่มีอยู่ (404) มันน่ารำคาญที่เราล้มเหลวในการสแกน PCI ตามกำหนดเวลาเนื่องจากคุกกี้ที่เรียบง่ายนี้ แน่นอนว่าเป็นความผิดของผู้ขาย แต่หลังจากผ่านไป 20 ปีการยืนยัน + ตั๋วและเรียกพวกเขาออกไปพวกเขายังไม่ได้แก้ไขตัวกรองการสแกน เนื่องจากความล้มเหลวในการซ่อมแซมคุกกี้ CF นี้ทำให้ PCI ไม่ทำงานภายใต้ข้อผิดพลาดที่เป็นบวก (ยังคงเป็นความล้มเหลว)
dhaupin
ผมจะบอกว่าคุณควรจะตำหนิสแกนเนอร์ที่ไม่ Cloudflare ..
Luca Steeb
ปัญหาอื่น ๆ นอกเหนือจากสแกนเนอร์ช่องโหว่ที่ให้ผลบวกปลอมคือผลกระทบต่อประสิทธิภาพในขณะที่มีปัญหาเล็กน้อยมันมีอยู่และไม่ควรทำ
เรย์ Foss
2

ขั้นตอนในการปิดการใช้งานคุกกี้ - php ฉันไม่สามารถรับเครดิตสำหรับสิ่งนี้ไม่ใช่การแก้ไขของฉัน แต่ฉันยินดีที่จะกระจายความมั่งคั่ง

function deleteSpecificCookies() {

    var cookies = document.cookie.split(";");
    var all_cookies = '';

    for (var i = 0; i < cookies.length; i++) {

        var cookie_name  = cookies[i].split("=")[0];
        var cookie_value = cookies[i].split("=")[1];

        if( cookie_name.trim() != '__utmb' ) {

            all_cookies = all_cookies + cookies[i] + ";";

        }

    }

    if(!document.__defineGetter__) {

        Object.defineProperty(document, 'cookie', {
            get: function(){return all_cookies; },
            set: function(){return true},
        });

    } else {

        document.__defineGetter__("cookie", function() { return all_cookies; } );
        document.__defineSetter__("cookie", function() { return true; } );

    }
}
Alfie
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.