howtoforge und cloudflare?!

Dieses Thema im Forum "Smalltalk" wurde erstellt von nowayback, 27. Mai 2015.

  1. nowayback

    nowayback Well-Known Member

    hi,

    ich bin generell ein großer Freund von (SSL(TLS)-) verschlüsselten Verbindungen. Auch finde ich das Thema Load Balancing sehr interessant. Aber bitte... Cloudflare? Ihr wisst doch sicherlich das amerikanische Firmen (Cloudflare = Cloudflare, Inc. 665 3rd St. #200 San Francisco, CA 94107 USA) u.A. durch den Patriot Act verpflichtet werden können und werden Daten rauszugeben. Nun ja, nun mag man sagen, dass es ja verschlüsselte Verbindungen sind... aber für die, die es nicht verstehen hier mal der stark vereinfachte Ablauf...

    eigenes Zertifkat ohne Cloudflare und Co.:
    Anforderung der Website über https -> eigener Webserver macht Zertifikataustausch mit Client -> Verbindungsverschlüsselung mit diesem Zertifikat -> verschlüsseltes Senden der Daten zum Client

    mit Cloudflare:
    Anforderung der Website über https -> da DNS auf Cloudflare zeigt wird die Website bei Cloudflare angefordert -> Cloudflare fordert die Website vom eigentlichen Webserver (ggf. über SSL) an -> eigener Webserver macht Zertifikataustausch mit Cloudflare -> Verbindungsverschlüsselung mit diesem Zertifikat -> verschlüsseltes Senden der Daten zu Cloudflare -> Cloudflare nimmt das Zertifikat und schmeißt es weg, ersetzt es dann durch sein eigenes -> Cloudflare sendet Daten zum Client (durch sein eigenes Zertifikat verschlüsselt!)

    Welchen Sinn hat eine SSL Verschlüsselung noch, wenn die Verbindung durch ein unsicheres Zertifikat - und unsicher wird es durch oben genannten Patriot Act - "gesichert" wird? Hier lässt man freiwillig einen Man in the middle Angriff zu!

    Für mich persönlich hat Cloudflare auf keiner deutschen oder europäischen Seite etwas zusuchen, da im Zweifelsfall sogar gegen das Bundesdatenschutzgesetz und die entsprechenden europäischen Datenschutzgesetze wissentlich und mMn auch vorsätzlich verstoßen wird. Deshalb kann ich den Weg der hier gegangen wird, nicht nachvollziehen. Ich werde wohl zukünftig, wenn ich hier vorbeischaue, wohl nur noch mit Umweg über Tor reinschauen und das kann ich auch nur allen anderen raten, denn Administratoren sind ja die beliebtesten Ziele der amerikanischen Behörden - wie man auch auf diversen seriösen Seiten nachlesen kann.

    Sorry Till, aber dafür gibts von mir 100 Punkte aus der Minuskiste auch wenn der Grundgedanke sicher kein schlechter war.
     
  2. Till

    Till Administrator

    Wie cloudflare funktioniert ist denke ich mal allgemein bekannt. Cloudflare wird verwendet um die seite zu schützen und zu beschleunigen. Howtoforge ist ein öffentliches forum, alle informationen hier sind für jedermann einsehbar, was meinst Du also was die nsa hier abhören möchte? Und wenn es Dir um passworte geht, ich nehme mal nicht an dass irgend jemand ein website passwort irgendeiner webseite auch für seine server verwenden wird.
     
  3. nowayback

    nowayback Well-Known Member

    es geht weniger um die offensichtlichen dinge... es geht vielmehr darum dass das gesamte routing den umweg über die usa nimmt. man kann den usern cookies, frames, etc unterschieben und es wird suggeriert, dass das die daten von deinem Forum sind. Da auch die IP logischerweise den Umweg über die Staaten nimmt, kann man das sogar ganz gezielt machen. Angenommen ich arbeite bei Siemens/BSI/whatever und treibe mich hier im Forum rum, was bin ich dann höchstwarscheinlich? Mindestens ein interessierter User der anhand der öffentlichen IP den Firmen zugeordnet werden kann. Diese User kann ich dann speziell angreifen um deren Zugriffsberechtigungen in den entsprechenden Firmen rauszubekommen und ggf. auch auszunutzen. Ich als "User" kann nichts dagegen tun, denn mir wird vorgetäuscht, dass ich eine sichere Seite aufrufe. Das ist einer der Hauptgründe warum ich strikt gegen Cloudflare bin.
    Als Resultat bleibt dem erfahrenen Nutzer nur, sich bestmöglich zu schützen (mit Antivirenprogramm, Firewall, Adblocker, Popupblocker, etc.)
    Der Profi meidet das Forum oder nimmt Umwege um seine "Quelle" zu verschleiern, was ihn wiederrum interessant macht.

    Übrigends mag ich keine Diskussion was irgendjemand schon zu verbergen hat, denn meine Antwort lautet immer: Privatsphäre
    Nur um vorzubeugen ;-)
     
  4. Till

    Till Administrator

    Da stimme ich Dir zu und ich habe mich auch nicht darauf bezogen ob es was zu verbergen gibt. Es macht für mich aber einen Unterschied ob die Intention einer Kommunikation bewusst an die Öffentlichkeit gerichtet ist oder nicht. Ein Post in einem öffentlichen Forum ist halt an die Öffentlichkeit gerichtet in Gegensatz zu einer Email oder einem Telefonat, das nicht an die Öffentlichkeit gerichtet ist. Man würde ja auch nicht in einer Fernsehsendung auftreten und sich nachher darüber beschweren dass die Privatsphäre vor der Kamera nicht gegeben war.

    Aber ich kann verstehen dass Ihr damit ein Problem habt, dann nehme ich Cloudflare bei howtoforge.de wieder raus.
     
    F4RR3LL gefällt das.
  5. nowayback

    nowayback Well-Known Member

    Ich persönlich würde das sehr gut finden. Danke
     
    F4RR3LL gefällt das.
  6. Till

    Till Administrator

    Ich hab Cloudflare jetzt bei howtoforge.de wieder raus genommen, kann noch ein wenig dauern bis der DNS umgesprungen ist.

    Es könnte mal ein interessantes Projekt sein sich so etwas wie cloudflare selbst zu bauen, ich meine nur den CDN und Optimierungs Teil. Mit ein paar VPS in verschiedenen Rechenzentren über die Welt verteilt die jeweils einen nginx caching reverse proxy laufen haben + pagespeed modul und dns Zonen die je nach Land auf die verschiedenen IP's verweisen könnte es gehen.
     
    nowayback gefällt das.
  7. planet_fox

    planet_fox Super-Moderator

    Problem ist aber wenn Opensource wie wird es finanziert etc.
    @nowayback ich gebe dir recht im Bezug auf cloudflare sehe ich auch kritisch

    @Till gebe dir auch recht wesentlich sind die Daten allgemein verfügbar im netz, aber ich gehe mal wetten ein das in der db mit Sicherheit Passwörter sind der user die sicherlich auch interessant sind für die nsa und seien es nur mailpasswörter.

    Ansonsten glaube ich das wir via google, Facebook, was es nicht noch so gibt an Diensten sehr stark abhängig sind vom USA netz und was Snowden uns zeigte bisher war sicherlich nur ein Bruchteil. Ausserdem ist seitdem ja auch wieder eine ganze zeit vergangen . Das Internet das ich vor beinahe 20 Jahre kennen gelernt habe ist history.

    Das Netz beherrschen ein Großteil Concerne und Geheimdienste. Viele Seiten werden in den nächsten Jahren auch leider sterben, da Sie sich nicht mehr Finanzieren können.
     

Diese Seite empfehlen