Deaktivieren Sie __cfduid-Cookies in Cloudflare

13

Gibt es eine Cloudflare-Einstellung, die der Erstellung des __cfduidSitzungscookies entspricht?

Ich probiere gerade CF aus. vor allem für die übersichtliche DNS-Verwaltung und das implizite CDN. Aber die Basis-WAF ist möglicherweise genauso eine nette Ergänzung zu Apaches mod_security / CRS. Ich bin mir jedoch nicht sicher, wozu Cookies dienen, und würde es vorziehen, sie loszuwerden.

Die naheliegendste Einstellung

Sicherheitsprofil: Im Wesentlichen aus

Scheint auch im Wesentlichen keine Auswirkung auf die Erstellung __cfduidbei jeder HTTP-Antwort zu haben. Der Zweck von Cookies besteht vermutlich darin, einzelne Benutzer von Firewall-Regeln, wiederholten Cloudflare-Captchas usw. auszuschließen.

Ihre Support-Dokumentation spielt darauf an. Wobei die erste Überarbeitung von 09/2012 ( https://support.cloudflare.com/hc/en-us/articles/200169536-What-does-the-cfduid-cookie-do- ) besagt, dass dieses Verhalten niemals auftreten kann ausgeschaltet. Ein Eintrag zwei Monate später 11/2012 ( https://support.cloudflare.com/hc/en-us/articles/200170156-What-does-the-CloudFlare-cfduid-cookie-do- ) lässt diesen Hinweis jedoch aus.

Während sich Cloudflares TOS selbst als plausibel herausstellt, verfügt dieses Cookie über alle Eigenschaften einer Tracking-Sitzung dc41f5a78bc3e27d44b70fca4606e4262283407700773. Die übermäßige Cookie-Lebensdauer von 6 Jahren ist für den beispielhaften Anwendungsfall eines Internetcafé-Besuchers sehr merkwürdig. Und da ich persönlich unnötige Sitzungen vermeide und keinen Hinweis auf den Datenschutz (im Licht des berüchtigten EU-Cookie-Gesetzes) wie alle anderen verputzen möchte, wäre es mir lieber, wenn dieser standardmäßig abgeschaltet würde.

Eine Problemumgehung wie:

  Header add Set-Cookie "__cfduid= ; path=/; domain=.example.org; HttpOnly"

Reduziert zwar den Speicherplatz, behält aber zwei unnötige Header bei und scheint nicht übermäßig zuverlässig zu sein.

Gibt es dafür eine andere CF-Einstellung?

Mario
quelle
1
Abgesehen von amüsanten Dingen wie diesem besteht die einzige verfügbare Problemumgehung darin, die Verbindung zu einem Proxy zu machen und das Cookie zu entfernen, bevor es den Client erreicht.
Synchro

Antworten:

4

Nein, es gibt keine Möglichkeit, das Cookie zu deaktivieren, wenn wir den Datensatz als Proxy verwenden. (Wenn in Ihren DNS-Einstellungen eine Subdomain nicht über unseren Proxy ausgeführt wird, wird das Cookie nicht hinzugefügt, da es direkt an Ihren Server gesendet wird.) . Der Cookie ist im Grunde das, was die Sicherheit (wie eine Herausforderungsseite) zum Funktionieren bringt.

damoncloudflare
quelle
8
"Lässt Sicherheit arbeiten" ist immer noch weitgehend unbeschreiblich. Wie wird die Sicherheit gegen z. B. Bots verbessert, die normalerweise keine Sitzungscookies senden? Wenn es nur für CAPTCHAS ist, wofür ist dann die übermäßige Cookie-Ablaufzeit?
Mario
2
Ich vermute, es dient dazu festzustellen, wem vertraut wird, nicht wem nicht vertraut wird. Wenn Sie das Sitzungscookie nicht haben, befinden Sie sich im Zustand des geringsten Vertrauens. Wenn Sie das Sitzungs-Cookie haben, können Sie nicht vertrauenswürdig oder vertrauenswürdig sein oder irgendwo dazwischen. Wenn Sie den Sitzungscookie nicht senden, werden Sie von der WAF auf eine feindseligere Weise behandelt, nicht weniger. Daraus folgt, dass es eine "übermäßige" Cookie-Ablaufzeit gibt, um zu verhindern, dass Sie in Zukunft unnötig belästigt oder gedrosselt werden.
Rushyo
Es stellte sich heraus, dass Cloudflare eine Menge Dinge hostet, die ich oft durchsuche (API-Dokumentation, Open-Source-Projekte), die alle für mich im Moment nutzlos sind. Nein. Ich werde keine zufälligen Sitzungscookies für Domains aktivieren, die nichts mit Cloudflare zu tun haben (z. B. jqueryui.com, expressjs.com). __cfduidbricht Internetstandards. Es ist falsch.
Martin Algesten
4

Was ist das Problem mit diesem Cookie? Sie nutzen deren Service und möchten von deren Service und Sicherheit profitieren - laut Cloudflare hilft dieser Cookie insbesondere aus Sicherheitsgründen. Unabhängig davon ist diese Art von Cookie von der Cookie-Gesetzesnachricht ausgenommen:

Einige Cookies sind jedoch von dieser Anforderung ausgenommen. Die Zustimmung ist nicht erforderlich, wenn das Cookie:

· Ausschließlich zum Zwecke der Übermittlung einer Mitteilung verwendet werden und

· Unbedingt erforderlich, damit der Anbieter eines Dienstes der Informationsgesellschaft, den der Nutzer ausdrücklich verlangt, diesen Dienst bereitstellt.

Weitere Informationen : http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

Dieser Cloudflare-Cookie ist definitiv vom Cookie-Gesetz ausgenommen.

Luca Steeb
quelle
1
"aus sicherheitsgründen" ist genau die wunschtrübe erklärung, die diese frage auslöste. Wofür wird es jetzt verwendet? Warum ist es immer noch da, wenn "Sicherheits" -Funktionen deaktiviert sind ? Warum hat es 6 Jahre Lebensdauer? Die Rechtsauffassung dazu ist überwiegend orthogonal.
Mario
Ich befürchte, dass jemand diese Frage zur Sicherheit beantworten kann, wenn selbst Cloudflare-Mitarbeiter (ich gehe davon aus, dass Damoncloudfare einer ist) es Ihnen nicht sagen können, aus welchen Gründen auch immer.
Luca Steeb
2
Hier ist ein Problem mit diesem Cookie: Es löst bei Vuln / PCI-Scannern verschiedene Fehlalarme aus. Beispiel: Saintbot / Controlscan erkennt die Antwort mit einer Sitzungsvariable für Cookie-Basen und kennzeichnet sie als "phprpc vuln", obwohl der phprpc nicht vorhanden ist (404). Es ist ärgerlich, dass wir ständig geplante PCI-Scans aufgrund dieses einfachen Cookies nicht bestehen. Sicher, es ist die Schuld des Anbieters, aber nach ungefähr 20 Attesten und Tickets, die sie darauf hinweisen, haben sie den Scan-Filter immer noch nicht repariert. Aufgrund dieses Fehlers bei der Reparatur verursacht dieses CF-Cookie einen PCI-Fehler unter der Voraussetzung eines Fehlalarms (immer noch ein Fehler).
Dhaupin
Ich würde sagen, Sie sollten die Scanner beschuldigen, nicht Cloudflare ..
Luca Steeb
Das andere Problem, abgesehen von Schwachstellenscannern, die falsch positive Ergebnisse liefern, ist die Auswirkung auf die Leistung, die zwar vernachlässigbar ist, aber vorhanden ist und auch nicht sollte.
Ray Foss
2

Schritte zum Deaktivieren eines Cookies - PHP. Ich kann das nicht gutheißen, aber ich bin froh, den Reichtum zu verbreiten.

function deleteSpecificCookies() {

    var cookies = document.cookie.split(";");
    var all_cookies = '';

    for (var i = 0; i < cookies.length; i++) {

        var cookie_name  = cookies[i].split("=")[0];
        var cookie_value = cookies[i].split("=")[1];

        if( cookie_name.trim() != '__utmb' ) {

            all_cookies = all_cookies + cookies[i] + ";";

        }

    }

    if(!document.__defineGetter__) {

        Object.defineProperty(document, 'cookie', {
            get: function(){return all_cookies; },
            set: function(){return true},
        });

    } else {

        document.__defineGetter__("cookie", function() { return all_cookies; } );
        document.__defineSetter__("cookie", function() { return true; } );

    }
}
Alfie
quelle