Nonaktifkan cookie __cfduid dari Cloudflare

13

Apakah ada pengaturan Cloudflare yang sesuai dengan pembuatan __cfduidcookie sesi?

Saat ini saya sedang mencoba CF; sebagian besar untuk manajemen DNS yang rapi dan CDN implisit. Tapi WAF dasar mungkin sama baiknya sebagai tambahan di atas Apache mod_security / CRS. Namun saya tidak yakin apa maksud dari cookies itu, dan lebih suka menyingkirkan itu.

Pengaturan yang paling jelas

Profil keamanan: Pada dasarnya tidak aktif

Tampaknya pada dasarnya tidak berpengaruh pada penciptaan __cfduiddengan setiap respons HTTP. Tujuan cookie mungkin untuk memilih keluar dari pengguna tunggal dari aturan firewall, cloudflare captcha berulang, dll.

Dokumentasi dukungan mereka menyinggung hal itu. Di mana revisi pertama dari 09/2012 ( https://support.cloudflare.com/hc/en-us/articles/200169536-What-does-the-cfduid-cookie-do- ) mengatakan perilaku ini tidak mungkin terjadi matikan. Entri dua bulan kemudian 11/2012 ( https://support.cloudflare.com/hc/en-us/articles/200170156-What-does-the-CloudFlare-cfduid-cookie-do- ) namun mengabaikan catatan itu.

Meskipun Cloudflares TOS sendiri dianggap masuk akal, cookie ini memiliki semua properti sesi pelacakan dc41f5a78bc3e27d44b70fca4606e4262283407700773,. Masa pakai cookie yang berlebihan selama 6 tahun sangat aneh untuk kasing pengunjung kafe internet. Dan karena saya secara pribadi menghindari sesi yang tidak perlu, dan tidak ingin memplester catatan privasi (mengingat undang-undang cookie Uni Eropa yang terkenal) seperti orang lain, saya lebih suka memilikinya per default.

Solusi seperti:

  Header add Set-Cookie "__cfduid= ; path=/; domain=.example.org; HttpOnly"

Menghindari penyimpanannya, tetapi mempertahankan dua header yang tidak perlu, dan tampaknya tidak terlalu dapat diandalkan.

Jadi, apakah ada pengaturan CF lain untuk ini?

cookie cloudflare mario
sumber
1
Selain dari hal-hal lucu seperti ini , satu-satunya solusi yang tersedia adalah mengesahkan koneksi dan menghapus cookie sebelum mengenai klien.
Sinkronisasi

Jawaban:

4

Tidak, tidak ada cara untuk mematikan cookie jika kami membuat proxy catatan (jika Anda memiliki subdomain tidak berjalan melalui proxy kami di pengaturan DNS Anda, maka kami tidak akan menambahkan cookie karena akan langsung ke server Anda) . Cookie pada dasarnya adalah apa yang membuat keamanan (seperti halaman tantangan) berfungsi.

damoncloudflare
sumber
8
"Membuat pekerjaan keamanan" masih sangat tidak deskriptif. Bagaimana cara membantu keamanan terhadap mis. Bot yang biasanya tidak mengirim cookie sesi? Jika itu hanya untuk CAPTCHAS, lalu untuk apa kadaluwarsa cookie berlebih?
mario
2
Saya curiga ini untuk menetapkan siapa yang dipercaya, bukan siapa yang tidak dipercaya. Jika Anda tidak memiliki cookie sesi, Anda berada dalam kondisi paling tidak percaya. Jika Anda memiliki cookie sesi, Anda bisa tidak dipercaya atau tepercaya atau di mana saja di antaranya. Dengan demikian, tidak mengirim cookie sesi berarti Anda akan diperlakukan secara lebih bermusuhan oleh WAF, tidak kurang. Maka akan mengikuti bahwa ia memiliki waktu kadaluwarsa 'berlebihan' cookie untuk menghentikan Anda yang direcoki atau dicekik di masa depan.
Rushyo
Ternyata host cloudflare banyak hal yang sering saya jelajahi (dokumentasi api, proyek open source), yang semuanya tidak berguna bagi saya saat ini. Tidak. Saya tidak akan mengaktifkan injeksi cookie sesi acak pada domain yang tidak ada hubungannya dengan cloudflare (seperti jqueryui.com, expressjs.com). __cfduidmelanggar standar internet. Itu salah.
Martin Algesten
4

Apa masalah dengan cookie ini? Anda menggunakan layanan mereka dan ingin mendapat manfaat dari layanan mereka dan keamanan mereka - menurut Cloudflare, cookie ini membantu terutama karena alasan keamanan. Apapun itu, jenis cookie ini dikecualikan dari pesan hukum cookie:

Namun, beberapa cookie dikecualikan dari persyaratan ini. Persetujuan tidak diperlukan jika cookie adalah:

· Digunakan untuk tujuan tunggal melakukan transmisi komunikasi, dan

· Sangat diperlukan agar penyedia layanan masyarakat informasi secara eksplisit diminta oleh pengguna untuk menyediakan layanan itu.

Baca selengkapnya: http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

Cookie Cloudflare ini jelas dibebaskan dari undang-undang cookie.

Luca Steeb
sumber
1
"untuk alasan keamanan" adalah penjelasan plin-plan yang memicu pertanyaan ini. Apa yang digunakan untuk saat ini? Mengapa masih ada ketika fitur "keamanan" dinonaktifkan ? Mengapa itu memiliki 6 tahun seumur hidup? Pendapat hukum tentang hal ini sebagian besar ortogonal.
mario
Saya khawatir siapa pun dapat menjawab pertanyaan ini mengenai keamanan ketika bahkan Cloudflare Karyawan (saya berasumsi bahwa damoncloudfare adalah satu) tidak dapat memberi tahu Anda, apa pun alasannya.
Luca Steeb
2
Berikut adalah satu masalah dengan cookie ini: Ini memicu berbagai false positive pada pemindai vuln / PCI. Contoh, Saintbot / Controlscan melihat respons dengan sesi basis cookie var dan menandainya sebagai phprpc vuln, meskipun phprpc tidak ada (404). Menjengkelkan karena kami selalu gagal menjadwalkan pemindaian PCI karena cookie sederhana ini. Tentu itu salah vendor, tetapi setelah 20 + lebih pengesahan tiket, dan memanggil mereka, mereka masih belum memperbaiki filter pindai. Karena kegagalan untuk memperbaiki, cookie CF ini menyebabkan PCI gagal di bawah premis false positive (masih gagal).
dhaupin
Saya akan mengatakan Anda harus menyalahkan pemindai, bukan Cloudflare ..
Luca Steeb
Masalah lain selain dari pemindai kerentanan yang memberikan hasil positif palsu adalah dampak kinerja, meskipun dapat diabaikan, ada dan tidak seharusnya.
Ray Foss
2

Langkah-langkah untuk menonaktifkan cookie - php. Saya tidak dapat mengambil kredit untuk ini bukan memperbaiki saya tetapi saya senang untuk menyebarkan kekayaan.

function deleteSpecificCookies() {

    var cookies = document.cookie.split(";");
    var all_cookies = '';

    for (var i = 0; i < cookies.length; i++) {

        var cookie_name  = cookies[i].split("=")[0];
        var cookie_value = cookies[i].split("=")[1];

        if( cookie_name.trim() != '__utmb' ) {

            all_cookies = all_cookies + cookies[i] + ";";

        }

    }

    if(!document.__defineGetter__) {

        Object.defineProperty(document, 'cookie', {
            get: function(){return all_cookies; },
            set: function(){return true},
        });

    } else {

        document.__defineGetter__("cookie", function() { return all_cookies; } );
        document.__defineSetter__("cookie", function() { return true; } );

    }
}
Alfie
sumber