Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Speicherleck: Cloudflare verteilt…

Cloudflare ist die Pest des Internets

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Cloudflare ist die Pest des Internets

    Autor: torrbox 24.02.17 - 13:01

    Keiner braucht es, aber alle verwenden es, weil sie glauben, dass sie es brauchen. Der Datensupergau schlechthin. Vor allem, dass IPs geblockt werden (also captcha) ist schon ein Armutszeugnis. Das bringt keinerlei Vorteile, sperrt aber evtl. Nutzer aus.

  2. Re: Cloudflare ist die Pest des Internets

    Autor: bjs 24.02.17 - 13:16

    problematisch ist vor allem, dass das ende-zu-ende-prinzip von tls aufgebrochen wird und es so gut wie keiner merkt. man muss mal mit tor https seiten ansurfen, damit man erst merkt, wieviele webseiten mittlerweile cloudflare verwenden.

    schlussendlich muss man sagen, dass es ziemlich egal ist, dass man tls nicht knacken kann, da es eh bei cloudflare terminiert und man damit nur cloudflare abhören muss. das gilt allerdings auch für alle anderen regierungen. alle staaten, in denen cloudflare server stehen hat, haben potentiell zugriff auf webseiten, die in ganz anderen ländern gehostet werden. golem wäre ein beispiel, sollte es je mal cloudflare verwenden. aktuell in deutschland gehostet, würde das tls zertifikat aber dann irgendwann mal auf der ganzen welt im einsatz sein. auch in den usa oder china oder russland...

    außerdem ist wirklich zu hinterfragen, welche nutzen cloudflare wirklich hat. ohne die seiten von einem lokalen cache auszuliefern, wird cloudflare die responsezeiten nicht verringern können. bei sehr dynamischen seiten, wie zb sozialen netzwerken, macht also die verwendung eines cdns für die dynamischen inhalte nur sehr wenig sinn.

    zusätzlich macht es nur wenig sinn für webseiten, die einen rein kleinen geographischen kreis an benutzern haben. wieder beim beispiel golem: es ist eine deutsche it-news-seite, die kaum kunden aus übersee haben wird. dort einen cache bereitzuhalten macht also so gut wie keinen sinn. in deutschland bei jedem provider zu haben, genauso wenig, da das die responsezeiten nur minimal verbessert und auch wieder cachebaren inhalt voraussetzt.

  3. Re: Cloudflare ist die Pest des Internets

    Autor: Sea 24.02.17 - 13:52

    naja auch dynamische Seiten bestehen vorwiegend aus statischem Inhalt wie Bildern, css etc. Bringen tut das schon was.
    Ausserdem sind die meisten dieser dynamischen Seiten dann halt oft für x Minuten gecached, so das diese Seite einen entsprechenden Updatezyklus von x Minuten haben.
    Als User merkt man das meistens gar nicht, das sich die Seite nur 1x Pro Minute tatsächlich aktualisiert, auch wenn in der zwischenzeit schon 3 neue Inhalte dazugekommen sind. Da sieht man dann nach einer Minute halt 3 neue Inhalte

  4. Re: Cloudflare ist die Pest des Internets

    Autor: bjs 24.02.17 - 14:14

    ich hab mich missverständlich ausgedrückt. mit dynamischen seiten meine ich nicht ganze webseiten sondern die dynamischen teile. klar kann man css, javascript und bilder in einem cdn auslagern. wenn man sich aber zb hier das forum ansieht, so macht das nur bedingt sinn, da sich immer wieder dinge ändern. es gibt allerdings noch viel dynamischeres wie zb facebook, das das html großteils per javascript im browser zusammenbaut und die daten nur mehr xhr holt. solche daten zu cachen macht wenig sinn.

    die idee, eine seite für eine zeit zu cachen und diese auszuliefern, ist sicher gut, aber auch nur dann, wenn man wirklich eine sehr sehr große zahl an benutzern hat und es nicht wichtig ist, dass etwas zehn minuten später bei den benutzern landet. das geht zb sehr gut mit news seiten. mit dem forum hier wäre das aber wohl etwas ungut, solange man den cache nicht umgehen kann. hat man interaktion mit dem benutzer, kann man ihm nicht einfach eine gecachte seite ausliefern, sondern muss diese für ihn neu erzeugen, sobald er einen beitrag geschrieben hat. er würde sonst ja seinen eigenen beitrag im schlimmsten fall erst zehn minuten später sehen.

    cloudflare verwendet man aber nicht primär des caches wegen sondern um die responsezeit zu minimieren, da cloudflare caches überall auf der welt stehen hat und damit der weg zum browser kürzer ist. einen einfachen cache kann man auch so verwenden. erst wenn die anfragen in die 10000 oder 100000 pro sekunde gehen braucht man wirklich ein cdn und auch dann nur, wenn man geographisch weit verbreitet ist. gibt es solche statistiken zu golem? würde mich sehr interessieren, wieviele anfragen pro sekunde auf den servern eintreffen.

  5. Re: Cloudflare ist die Pest des Internets

    Autor: Mithrandir 24.02.17 - 14:16

    torrbox schrieb:
    --------------------------------------------------------------------------------
    > Keiner braucht es, aber alle verwenden es, weil sie glauben, dass sie es
    > brauchen. Der Datensupergau schlechthin. Vor allem, dass IPs geblockt
    > werden (also captcha) ist schon ein Armutszeugnis. Das bringt keinerlei
    > Vorteile, sperrt aber evtl. Nutzer aus.

    Das stimmt nicht.

    Wir waren damals von der "Fehlkonfiguration" der "Great Firewall of China" betroffen.

    Artikel dazu:

    https://www.theregister.co.uk/2015/01/26/great_firewall_of_china_ddos_bug/

    Schöner Blog-Eintrag dazu:

    http://furbo.org/2015/01/22/fear-china/

    Innerhalb weniger Stunden war unser kompletter Webshop lahmgelegt. Kaum hatten wir eine neue IP-Adresse, war auch diese innerhalb weniger Stunden kompromittiert, und der Webshop lahmgelegt. Nachdem wir herausgefunden hatten, dass es sich um IP-Adressen aus dem chinesischem Raum handelt, haben wir den kompletten chinesischen Adressraum geblockt.
    Anschließend haben wir uns umgesehen, und Cloudflare als DDOS-Schutz genommen. Denn: Kein Webshop = keine Umsätze.

    Und wenn ich mir angucke, was so für Requests auf meinem privaten Server landen - doch, CF hat seine Daseinsberechtigung. Natürlich ist es fragwürdig, dass CF für jede Domain ein SSL-Zertifikat ausstellt, ohne nachzuweisen, dass sie die Berechtigung dafür haben.

    Aber DDOS-Protection und CDNs haben ihren Sinn. Wenn du eine bessere Idee hast, mach ein Geschäft draus. Kunden dürfte es genug geben.

  6. Re: Cloudflare ist die Pest des Internets

    Autor: bjs 24.02.17 - 14:23

    eure leitung war nur mit syn paketen dicht?

  7. Re: Cloudflare ist die Pest des Internets

    Autor: Mithrandir 24.02.17 - 14:30

    bjs schrieb:
    --------------------------------------------------------------------------------
    > eure leitung war nur mit syn paketen dicht?

    Der Leitung ging es gut. Der Server war damit beschäftigt, die Anfragen zu verarbeiten. 10000 Anfragen pro Sekunde sind, naja, 10000 Anfragen pro Sekunde. Und für den Server und die Firewall sah alles legitim aus, da von unterschiedlichen IPs.

  8. Re: Cloudflare ist die Pest des Internets

    Autor: bjs 24.02.17 - 14:35

    ich find das thema recht interessant. du schreibst aber, dass ihr die ip adressen aus china gesperrt habt, oder? das hätte dann doch sofort die anfragen wieder auf ein normales niveau zurückgeschraubt.

  9. Re: Cloudflare ist die Pest des Internets

    Autor: Mithrandir 24.02.17 - 14:42

    bjs schrieb:
    --------------------------------------------------------------------------------
    > ich find das thema recht interessant. du schreibst aber, dass ihr die ip
    > adressen aus china gesperrt habt, oder? das hätte dann doch sofort die
    > anfragen wieder auf ein normales niveau zurückgeschraubt.

    Hat es am Ende auch. Allerdings dauerte es alles in allem ein Tag (inkl. Nachtschicht) um die Kontrolle über den Server wiederzubekommen, sie zu behalten (!), den Fehler zu finden, und dann die Gegenmaßnahmen einzuleiten. Du willst ja so wenig wie möglich lahmlegen. Mit dem Wissen von heute kann man natürlich anders an solche Fälle in Zukunft herangehen - aber damals waren wir am rotieren. Die Kunden übrigens auch, wie die Support-Queue später zeigte.^^

  10. Re: Cloudflare ist die Pest des Internets

    Autor: torrbox 24.02.17 - 21:10

    Ist doch auch legitim Anti-DDoS zu verwenden, wenn man es braucht. Mein Server Anbieter bietet das an (im Preis inklusive und immer an). Wurde aber eh noch nie angegriffen.

    Ich würde sicher nicht alle Eingaben meines Webshops durch Cloudflare laufen lassen...

  11. Re: Cloudflare ist die Pest des Internets

    Autor: rugel 24.02.17 - 21:34

    Zwischen dDoS auf UDP / TCP Ebene mag keiner was einzuwenden haben. Was Cloudfare (und diverse andere CDN Anbieter) machen ist zusätzlich noch HTTP(s) Cache und - was hier das Problem war, Content der eigentlich nur "durchgeleitet" werden soll modifizieren.
    Spätestens mit dem Einsatz von SSL sollte man ohnehin nicht mehr auf externe Anbieter setzen. Den Private-Key hat man nicht aus der Hand zu geben oder die Verschlüsselung kann man sich gleich schenken.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn, Darmstadt
  2. Läpple Dienstleistungsgesellschaft mbH, Heilbronn
  3. Endress+Hauser InfoServe GmbH+Co. KG, Weil am Rhein
  4. Techniklotsen GmbH, Bielefeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. Warcraft Blu-ray 9,29€, Jack Reacher Blu-ray 6,29€, Forrest Gump 6,29€, Der Soldat...
  2. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  3. (u. a. The Revenant, Batman v Superman, James Bond Spectre, Legend of Tarzan)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr
  2. Asus Tinker Board im Test Buntes Lotterielos rechnet schnell

Quantencomputer: Was sind diese Qubits?
Quantencomputer
Was sind diese Qubits?
  1. IBM Q Mehr Qubits von IBM
  2. Verschlüsselung Kryptographie im Quantenzeitalter
  3. Quantencomputer Bosonen statt Qubits

HTC U11 im Hands on: HTCs neues Smartphone will gedrückt werden
HTC U11 im Hands on
HTCs neues Smartphone will gedrückt werden
  1. HTC Vive Virtual Reality im Monatsabo
  2. Sense Companion HTCs digitaler Assistent ist verfügbar
  3. HTC U Ultra im Test Neues Gehäuse, kleines Display, bekannte Kamera

  1. Amazon Channels: Prime Video erhält Pay-TV-Plattform mit Live-Fernsehen
    Amazon Channels
    Prime Video erhält Pay-TV-Plattform mit Live-Fernsehen

    Amazon hat seine Channels für seinen Videostreamingdienst gestartet. Es ist eine Art Pay-TV-Plattform; Kunden können in der Video-App weitere Sender dazu buchen. So sind auch Sportübertragungen möglich. Der Start in Deutschland fällt allerdings weniger furios aus als in den USA.

  2. Bayerischer Rundfunk: Fernsehsender wollen über 5G ausstrahlen
    Bayerischer Rundfunk
    Fernsehsender wollen über 5G ausstrahlen

    Millionen 5G-Smartphones sollen Rundfunkempfänger werden. Nahtlose Übergänge von Live- zu Abrufangeboten würden so möglich.

  3. Kupfer: Nokia hält Terabit DSL für überflüssig
    Kupfer
    Nokia hält Terabit DSL für überflüssig

    Ein Nokia-Experte sagt, dass Terabit DSL eher zu spät komme. Wichtiger als das Konzept des DSL-Erfinder John Cioffi sei die Verbreitung von G.fast und künftig XG-Fast, was nun als G.mgfast entwickelt wird.


  1. 00:01

  2. 18:45

  3. 16:35

  4. 16:20

  5. 16:00

  6. 15:37

  7. 15:01

  8. 13:34