Forum: www.mikrocontroller.net Petition: Cloudflare abschaffen

Das Forum war bereits Opfer von DDOS angriffen. Deine Bitte wird also 
vermutlich nicht umgesetzt!

Der Betreiber nutzt aus Gründen, die er nicht vor Dir zu rechtfertigen 
hat, Cloudflare.

Der Rest ist Dein Problem.

Ich mag Cloudflare auch nicht, aber aus anderen gründen.

Zuerst mal geht es entgegen dem Konzept des Dezentralen des Internets. 
Ursprünglich war das Internet so entworfen, dass es selbst einer 
Atombombe widerstehen können sollte. Fallen ein paar teile aus, geht der 
Rest noch. Aber jetzt wo 99% des Internet über Cloudflare, AWS, Google 
und Azure läuft, muss man nur ein paar Wenige Standorte ausschalten, und 
schon geht nichts mehr.

Das zweite Problem bei Cloudflare ist das Aufbrechen der SSL 
Verbindungen, die sind nicht mehr sicher.
Das stört mich besonders bei Bank Seiten. Cloudflare könnte den 
Datenverkehr beliebig mitschneiden und manipulieren. Mal schnell ein 
Session Cookie bei einer Bank mitschneiden, und sich das Geld nehmen, 
wäre damit problemlos möglich, so wie alles andere, was man mit den 
darüber laufenden Seiten machen könnte. Und auch wenn Cloudflare selbst 
es nicht tut, was wenn Cloudflare gehackt wird? Und Geheimdienste lesen 
da doch sicher auch mit!

Harald K. schrieb:
> Kurz: Es nervt ausgesprochen. Da man hier eh' nur noch mit Anmeldung
> Beiträge verfassen kann, sehe ich auch nicht, welches Problem Cloudflare
> lösen soll.

Du hast absolut keine Ahnung wovon du sprichst. Da darfst dem 
Forenbetreiber aber gerne die Infrastruktur für ein DDoS sicheres 
Hosting zur Verfügung stellen, vielleicht braucht er dann Cloudflare 
nicht mehr.

Wen kümmert es denn, ob die Seite mal eine Stunde down ist. Dann 
versucht man es halt später nochmal.

Daniel A. schrieb:
> Wen kümmert es denn, ob die Seite mal eine Stunde down ist.

Die werbetreibenden die vermutlich die Finanzierung des forum 
darstellen?

Wenn dem so ist, könnte viel downtime wegen DDOS auch mal das Ende für 
das forum werden.

Daniel A. schrieb:
> Cloudflare könnte den
> Datenverkehr beliebig mitschneiden und manipulieren. Mal schnell ein
> Session Cookie bei einer Bank mitschneiden, und sich das Geld nehmen,
> wäre damit problemlos möglich, so wie alles andere, was man mit den
> darüber laufenden Seiten machen könnte.

Du solltest deine Bank wechseln: normalerweise muss man jede Transaktion 
heutzutage mit einer daran gebundenen TAN bestätigen. Ohne die kann man 
mitschneiden wie man will – das Geld lässt sich so nicht abgreifen. Auch 
etwa Empfänger oder Betrag zu verändern, funktioniert nicht – in dem 
Fall wird die TAN ungültig und müsste für die neuen Daten neu generiert 
werden – und das fällt hoffentlich selbst einem DAU auf.

Das heißt nicht, dass ich Cloudflare nun gut finde – es ist letztlich 
’ne Lock-In-Sache und es laufen viele für manche Geschäftemacher 
wertvolle Daten an einer Stelle zusammen (Profilbildung), aber man 
sollte schon ein bisschen im Bereich der realen Probleme bleiben, wenn 
man dagegen wettert.

That said: es gibt durchaus Möglichkeiten, sich auch ohne Cloudflare 
gegen DDoS zu wappnen – allerdings sind sie aufwendig zu implementieren 
und insbesondere ziemlich dynamisch (hoher Wartungsaufwand), und sind 
für den User oft unbequem bis z.T. ärgerlich (wenn man beispielsweise 
minutenlang warten und dann noch Captchas lösen muss) – aus Sicht des 
Betreibers und der meisten User hier wird Cloudflare also das geringere 
Übel sein. Für mich ist das okay – wenn ich damit nicht klarkommen 
würde, dann muss ich die Seite schließlich nicht aufrufen.

Allerdings: sobald man angemeldet ist, also gezeigt hat, dass man 
legitimer User ist, sollte man tatsächlich nicht mehr behelligt werden – 
wenn das doch passiert, sollte jemand das Problem beheben.

Andreas M. schrieb:
> Du hast absolut keine Ahnung wovon du sprichst.

Ach danke.

Ja dann, dann ist ja gut.

Vielleicht aber gibt es ja auch Möglichkeiten, die die Wahrung von 
Privatsphäre gewährleisten, ohne die Webseite kaputtzumachen?

Cloudflare macht die Webseite kaputt. Ist so.

Harald K. schrieb:
> Vielleicht aber gibt es ja auch Möglichkeiten, die die Wahrung von
> Privatsphäre gewährleisten, ohne die Webseite kaputtzumachen?

Nutze einen anderen Weg.

Tor ist zwar gut und schön, kann dich aber theoretisch auch in 
Schwierigkeiten bringen, die nachverfolgen ist schwer aber nicht 
unmöglich.
Wird über dich als Teil des Netzwerk irgendetwas illegales geroutet, 
kanns passieren das du mit auf dem Radar landest.

Harald K. schrieb:
> Cloudflare macht die Webseite kaputt. Ist so.

Die Nutzung von Tor macht die Website kaputt. Ist so.

Ich hatte EINMAL eine Meldung von Cloudflare das der Zugriff geprüft 
wird, was mache ich richtig ?

Rüdiger B. schrieb:
> Ich hatte EINMAL eine Meldung von Cloudflare das der Zugriff geprüft
> wird, was mache ich richtig ?

Keine Ahnung was Du falsch machst, ich hatte noch nie so eine Meldung.

Kilo S. schrieb:
> Wird über dich als Teil des Netzwerk irgendetwas illegales geroutet,
> kanns passieren das du mit auf dem Radar landest.

Nix für ungut, aber was du insgesamt über Tor schreibst, lässt eher an 
FUD denken; weniger daran, dass du dich damit tatsächlich 
auseinandergesetzt hast.

Die Meldung bekomme ich, wenn ich beruflich mal außerhalb Europas 
unterwegs bin. Solange man sich nur in Sichtweite des eigene Kirchturms 
aufhält, braucht es die nicht. Über Cloudflare läufts dann aber wohl 
trotzdem.

Oliver

Klaus schrieb:
> Keine Ahnung was Du falsch machst, ich hatte noch nie so eine Meldung.

Wenn bei Dir diese Meldung nie kam, dann liegt das daran, dass Du alles 
falsch machst. D.h. Cloudflare hat Dich voll durchleuchtet und 
identifiziert, dass es immer noch der gleich ist, der da am Internet 
hängt. D.h., wenn Du irgendeine Anonymisierung verwendest, hättest Du 
Dir den Aufwand und die Kosten dafür sparen können. Das war und ist es 
noch, alles nur rausgeworfene Zeit und Geld.

Rüdiger B. schrieb:
> Ich hatte EINMAL eine Meldung von Cloudflare das der Zugriff geprüft
> wird, was mache ich richtig ?

Falscher Netzanbieter. Wenn du bei CG-NAT mit vielen anderen Leuten die 
IPv4-Adresse teilst, kann es eine Weile dauern, bis Cloudflare&Co das 
kapiert haben. Bis dahin kommt dein Traffic dort etwas seltsam vor und 
löst dieses Captcha-Generve aus.

Harald K. schrieb:
> Ich nutze aus Gründen, die ich nicht zu rechtfertigen habe, Tor.
>
> Ständig darf ich mir deswegen ansehen, wie Cloudflare eine angebliche
> "Sicherheit" überprüfen will, was nicht nur geschieht, wenn ich
> erstmalig µC.net öffne, sondern gerne auch mittendrin und auch, wenn ich
> einen Betrag geschrieben und abgeschickt habe.
>
> Der Beitrag verschwindet dann auch gerne im Orkus dieser angeblichen
> "Sicherheit".
>

bei allem Respekt: so wichtig sind die Kommentare der meisten hier 
nicht... weder Deine oder meine meine.

Don`t change a running System - vor allem dann wenn nur die persönliche 
Eitelkeit dadurch getroffen wird...

Denn bei deinem Mitteilungsdrang ist`s wirklich egal ob was durchkommt 
oder nicht, bei knapp 4600 Meldungen in 25 Monaten würd ich eher sagen 
das Cloudflare mehr blocken sollte damit Du noch was anderes tust als 
nur am Bildschirm herumzuhängen.

Jack V. schrieb:
> Nix für ungut, aber was du insgesamt über Tor schreibst, lässt eher an
> FUD denken; weniger daran, dass du dich damit tatsächlich
> auseinandergesetzt hast.

https://www.zeit.de/digital/datenschutz/2019-03/tor-netzwerk-darknet-gesetzentwurf-strafverfolgung-internet-kriminalitaet-anonymitaet


Wie wäre es wenn du dich einfach informieren würdest?

Kilo S. schrieb:
> Wie wäre es wenn du dich einfach informieren würdest?

Wie wäre es, wenn du dich mit Tor mal auf technischer Ebene 
auseinandersetzen würdest, um dann den von dir verlinkten Artikel mit 
dem erworbenen Wissen nochmal zu beurteilen?

Wie gesagt: was du oben schreibst, ist Unsinn. Insbesondere betreibt man 
nicht automatisch ein Relay, sobald man Tor nutzt – und Exit- oder 
Guard-Nodes schon gar nicht.

Jack V. schrieb:
> Wie wäre es, wenn du dich mit Tor mal auf technischer Ebene
> auseinandersetzen würdest,

Habe ich. Aber auch das routen über 7000 stellen und ver/ent-schlüsseln 
stellt nur eine große Hürde dar.
Sonst hätten die drei jahre Ermittlungen ja auch nicht zum Erfolg 
geführt.
Und mit dem Gesetzesentwurf ist es theoretisch scheißegal ob da was 
drüber läuft. DU stellst die Infrastruktur dazu MIT bereit.

Das KANN dich mit aufs Radar bringen!

Mehr hab ich nicht geschrieben, dazu ist die Technik völlig unerheblich, 
da geht's nur um die Tatsache das du es nutzt.

Kilo S. schrieb:
> Sonst hätten die drei jahre Ermittlungen ja auch nicht zum Erfolg
> geführt.

In den drei Jahren wurde aber nicht das Tor-Netzwerk angegriffen, 
sondern es wurde eben ermittelt: Bilder angeschaut und geguckt, ob 
Bekanntes zu sehen ist, Geldflüsse beobachtet (denn bei etwa BTC sind 
„Geld“flüsse per Design ganz prima zu verfolgen), eigene Leute 
eingeschleust, etc.
Insbesondere kam da keiner auf die Idee, sich nun alle Tor-Nutzer mal 
anzuschauen.

Kilo S. schrieb:
> DU stellst die Infrastruktur dazu MIT bereit.

Wenn ich Tor nur nutze, stelle ich gar nichts bereit. Wie gesagt: schau 
dir an, wie’s funktioniert. Oder verwechselst du hier Tor mit I2P?

Kilo S. schrieb:
> Das KANN dich mit aufs Radar bringen!

Das IST FUD. Es sollte unter deiner Würde sein, sowas auch noch zu 
verbreiten.

Aber hier ging’s letztlich um Cloudflare, und die haben nunmal ’n 
Problem mit IPs, die von mehreren genutzt werden. Tor-User sind nur eine 
Gruppe der Betroffenen, aber nicht das Problem.

Ich kapiere die Cloudflaregegner wenig, Seitenbetreiber dafür umso mehr, 
die ihre Seiten darüber laufen lassen.
Im November waren weder Anreas, noch die User begeistert, als das Forum 
immer wieder down war:
Beitrag "Re: Was war denn die letzten Stunden mit dem WebServer los?"

Wer solche Attacken mal alleine durchstehen musste, wird das nie wieder 
möchten.

Auch ein Forenbetreiber ist idR daran interessiert, gewisse Daten eines 
Users nachvollziehen zu können.
Z.B. um Mehrfachregistrierungen zu verhindern oder so schrägen Gestalten 
wie wie einem Minusbewerter auf die Spur zu kommen.

Ralf X. schrieb:
> Wer solche Attacken mal alleine durchstehen musste, wird das nie wieder
> möchten.

Wer so abhängig von ’nem Forum ist, dass er das so empfindet, der sollte 
möglicherweise mal schauen, ob das so gut für ihn ist ;)

Ralf X. schrieb:
> Auch ein Forenbetreiber ist idR daran interessiert, gewisse Daten eines
> Users nachvollziehen zu können.

Da hilft ihm Cloudflare aber nicht weiter.

Dieter D. schrieb:
> D.h., wenn Du irgendeine Anonymisierung verwendest, hättest Du
> Dir den Aufwand und die Kosten dafür sparen können. Das war und ist es
> noch, alles nur rausgeworfene Zeit und Geld.

So sind sie halt, die Hobbytheoretiker. Ausgehend von einer 
unzutreffenden Bedingung werden völlig falsche Schlüsse gezogen.

Jack V. schrieb:
> Ralf X. schrieb:
>> Wer solche Attacken mal alleine durchstehen musste, wird das nie wieder
>> möchten.
>
> Wer so abhängig von ’nem Forum ist, dass er das so empfindet, der sollte
> möglicherweise mal schauen, ob das so gut für ihn ist ;)

Na, das wird der Betreiber anders sehen.

> Ralf X. schrieb:
>> Auch ein Forenbetreiber ist idR daran interessiert, gewisse Daten eines
>> Users nachvollziehen zu können.
>
> Da hilft ihm Cloudflare aber nicht weiter.

Zugegeben nicht die Masse, aber etwas.
Und etwas ist besser als nichts.

Klaus schrieb:
> Ausgehend von einer unzutreffenden Bedingung ...

Wenn ich im Browser genügend Tabs offen habe von anderen Seiten, die 
auch Cloudflare nutzen aus der man schließen kann 1:10 Mio, dass das 
wieder ich sein müsse, gibt es keine Probleme (mehr) mit Cloudflare.


Hier im Forum geht es ja noch mit Cloudflare, aber es gibt andere 
Seiten, da wird der Browser auf dem Raspi total ausgebremst, d.h. die 
gerade getippten Buchstaben kommen mit Verzögerung. wo man schon mehrere 
Buchstaben weiter im Text ist.

Dieter D. schrieb:
> genügend Tabs offen
> Browser auf dem Raspi total ausgebremst

Eine Runde Mitleid. Nicht.

Es ist mir bei einer anderen Webseite, mit "Klautflareschutz" vor
Besuchern, doch tatsaechlich gelungen auf die eigentliche Webseite
vorzudringen. In dem ich das "Klautflarescript" im Firefoxdebugger
entladen/beendet habe. Vorher gab es nur eine simple Schleife zu
sehen, die man mit einem Haekchen bei "I am human" immer wieder aufs
neue triggern konnte. Die Webseite meiner Begierde war uebrigens
hantek.eu. hantek.com brauchte solch zweifelhaften "Schutz" scheinbar
nicht.

Der Schutz der Webseite hier, war ja auch weder recht wirksam noch
recht ueberzeugend. Frueher™ haette man diese, und noch ein paar
andere Webpraesenzen mehr, leicht auf einer Sun Enterprise 450 gehostet.
Und die haette sich dabei noch enormst gelangweilt.

Ich glaube, wie ich das schon andernorts hier schrub, die 
"Brogrammierer"
bei Klautflare sind schliecht unfaehik.

Harald K. schrieb:
> Vielleicht aber gibt es ja auch Möglichkeiten, die die Wahrung von
> Privatsphäre gewährleisten, ohne die Webseite kaputtzumachen?

Du schreibst öffentliche Beiträge in einem Interforum und faselst von 
Privatsphäre? Schonmal drüber nachgedacht das es unhöflich ist sich in 
einer Diskussion anderen gegenüber zu maskieren? Ziehst Du Dir vor 
Terminen/Treffen/Gesprächen mit Anderen jedesmal ne Burka über damit 
Dein Gegenüber dich nicht erkennt?

Andreas M. schrieb:
> Schonmal drüber nachgedacht das es unhöflich ist sich in
> einer Diskussion anderen gegenüber zu maskieren? Ziehst Du Dir vor
> Terminen/Treffen/Gesprächen mit Anderen jedesmal ne Burka über damit
> Dein Gegenüber dich nicht erkennt?

Schon mal drüber nachgedacht, dass es keinen was angeht, wo ich vor dem 
Termin/Treffen/Gespräch war, und wo ich danach hingehe? Weil: das ist 
das Problem mit Cloudflare: nicht, dass sie vor diesem einen Forum 
sitzen und hier lustig Daten abgreifen können, sondern dass sie aufgrund 
ihrer Dominanz ’ne ziemlich lückenloses Profil von jedem haben können.

Btw.: heißt du denn „Andreas Messer“? Wenn nein, erfüllst du deine 
eigene Definition von „Unhöflichkeit“. Wenn ja, erfüllst du meine eigene 
Definition von Naivität.


Andreas M. schrieb:
> Du schreibst öffentliche Beiträge in einem Interforum und faselst von
> Privatsphäre?

Meine Privatsphäre z.B. dir gegenüber ist insofern gewahrt, als dass du 
eben nicht weißt, wer ich bin. Du kennst mein Pseudonym, und damit ist 
nix verkehrt – aber du kannst mir nicht ohne Weiteres ans Bein pinkeln, 
indem du etwa Dinge in meinem Namen bestellst oder dich sonstwie als 
meine Person ausgibst. Mit den Daten, die Cloudflare über die Zeit 
abgegriffen hat, wäre das hingegen leider möglich.

Jack V. schrieb:
> Weil: das ist
> das Problem mit Cloudflare: nicht, dass sie vor diesem einen Forum
> sitzen und hier lustig Daten abgreifen können, sondern dass sie aufgrund
> ihrer Dominanz ’ne ziemlich lückenloses Profil von jedem haben können.

Wie jeder Internet Provider, und Google (Chrome, Android), und Mozilla 
(Firefox) und Microsoft (Windows) und Apple (so ziemlich alles von 
Denen) Soll ich weiter machen?

Ich gehe davon aus, das Du demnach weder ein Smartphone, noch einen 
Windows PC oder irgendein Gadget von o.g. Anbietern hast - Nein? Dann 
ist deine Paranoia sinnfrei. Ein modernes Auto hast du hoffentlich auch 
nicht, denn da ist ne Blackbox mit GPS und LTE Anbindung drinnen. Und 
Öffentliche Verkehrsmittel... finde Dich damit ab.

Jack V. schrieb:
> Btw.: heißt du denn „Andreas Messer“

Ja, so heiße ich.

Jack V. schrieb:
> Mit den Daten, die Cloudflare über die Zeit
> abgegriffen hat, wäre das hingegen leider möglich.

Glaubst Du im Ernst das CF derartig spezifische Daten von Dir speichert? 
Sicher nicht, was sollen sie denn damit anfangen? Deine Adresse an 
Pollin verkaufen damit se dirn nen Restpostendrücker an die Haustüre 
schicken? Macht doch überhaupt gar keinen Sinn.

Andreas M. schrieb:
> Wie jeder Internet Provider, und Google (Chrome, Android), und Mozilla
> (Firefox) und Microsoft (Windows) und Apple (so ziemlich alles von
> Denen) Soll ich weiter machen?

Ja, mach nur weiter. Ich erkläre dir dann, den Unterschied zwischen 
lokalen Sachen, bei denen man eine Wahl und Kontrollmöglichkeiten hat, 
und Sachen wie Cloudflare, die man auf dem ersten Blick nicht einmal 
erkennt, geschweige denn, ihnen ausweichen kann.

Auch erzähle ich dir dann gerne, was es mit „Whataboutism“ auf sich hat.

Andreas M. schrieb:
> Ich gehe davon aus […]

Das ist dein Problem: du gehst von Sachen aus, die du nicht wissen 
kannst. Es ist völlig in Ordnung, dass du das nicht weißt; das soll so 
sein. Aber entsprechend falsch sind deine Annahmen, und demgemäß auch 
deine Schlussfolgerungen aus diesen falschen Annahmen.

Andreas M. schrieb:
> Glaubst Du im Ernst das CF derartig spezifische Daten von Dir speichert?

Sie haben die Möglichkeit, alles zu speichern. Ohne zu selektieren. Es 
ist eine US-imperialistische Firma, und damit sollte spätestens seit 
Snowden klar sein, wie’s läuft. Man muss schon sehr naiv sein, wenn man 
glaubt, der Laden würde das aus purer Menschenfreundlichkeit und für 
eine Handvoll Dollar machen.

Aber wenn du tatsächlich von deiner Ansicht überzeugt bist – magst du 
mir schnell deine Adresse, deine Telefonnummer (von dem Telefon, das du 
überwiegend für 2FA nutzt), deinen Geburtstag und -ort und deine 
Bankdaten durchgeben? Sollte ja alles kein Problem sein, oder? Oder ist 
dir das mit der Privatsphäre doch auf einmal wichtig?

Klaus schrieb:
> Rüdiger B. schrieb:
>> Ich hatte EINMAL eine Meldung von Cloudflare das der Zugriff geprüft
>> wird, was mache ich richtig ?
>
> Keine Ahnung was Du falsch machst, ich hatte noch nie so eine Meldung.

Ich sehe diese Meldung zig mal am Tag. Ich muss auch immer wieder 
mehrmals drauf clicken bis ich weiterkommen (Spätestens beim 3. mal 
gehts dann).

Was unser Arbeitgeber falsch macht? So ca. 90'000 Leute über einen 
Exitnode mit einer oder wenigen IPs ans Internetschliessen und dann 
alles noch doppelt und dreifach Filtern bis man froh ist, das Webseiten 
überhaupt noch gehen :-)

Ist so, kann ich nicht ändern. Mikrocontroller.net lesen lohnt sich 
immer noch. Gibt andere IT "Effekte" hier die viel mehr nerven.

Jack V. schrieb:
> Ich erkläre dir dann, den Unterschied zwischen
> lokalen Sachen, bei denen man eine Wahl und Kontrollmöglichkeiten hat,

Aha, dein Internetprovider ist also eine lokale Sache die Du 
kontrollieren kannst. Interessant. Den Quellcode deines Webbrowser hast 
Du sicher auch vor benutzen komplett durchgesehen? Wie prüfst Du 
eigentlich, das jeder Webshop wo Du deine Daten eingibst, diese Daten 
sicher verwahrt. Fährst Du vorher hin und schaust ob da alles sicher 
ist, ob die Passwortrichtlinie passt und ob der Administrator oder 
Hausmeister - nicht selten in Personalunion - auch genug Gehalt bekommt 
damit er sich nix dazuverdienen muss? Hmm, Moment und der ganze externe 
JS Code den so ziemlich jede Webseiten heute einsetzt, prüfst Du den 
auch?

Jack V. schrieb:
> Das ist dein Problem: du gehst von Sachen aus, die du nicht wissen
> kannst.

Du hast also ein Smartphone. Dann hör auf zu schreien, Google oder Apple 
wissen nicht nur wer Du bist, sondern auch wo du wohnst, wann Du istt, 
wann du schläfst und was es sonst noch alles so interessantes über Dich 
gibt und kennen auch gleich noch Dein WPA PSK falls vorhanden.

Jack V. schrieb:
> agst du
> mir schnell deine Adresse, deine Telefonnummer (von dem Telefon, das du
> überwiegend für 2FA nutzt), deinen Geburtstag und -ort und deine
> Bankdaten durchgeben?

Warum sollte ich, gibst Du das etwa auf jeder Seite ein? Wozu? 
Überweisungen wurden bereits erfunden. Und was nützt dir meine 2FA 
Telefonnummer? Willst du mich etwa anrufen? Zumal 2FA per Telefon so wie 
es z.B. Microsoft implementiert sowieso nur Augenwischerei ist, weil MS 
Dir nämlich dummerweise nicht sagt, wofür Du dich gerade 
authentifizierst. Ich muss nur den richtigen Moment abpassen, fertig. 
Vorher einfach ein paar mal in den laufenden Prozess reingrätschen, so 
das du voll genervt einfach nur noch die '#' Taste drückst weil's zig 
mal nicht geklappt hat, erledigt.

Meine Adresse findet man übrigens problemlos per google, ah Moment,
da war doch was:

Jack V. schrieb:
> Man muss schon sehr naiv sein, wenn man
> glaubt, der Laden würde das aus purer Menschenfreundlichkeit und für
> eine Handvoll Dollar machen.

Man muss schon sehr naiv sein wenn man glaubt alle anderen würden es 
nicht tun.

Andreas M. schrieb:
> Aha, dein Internetprovider ist also eine lokale Sache die Du
> kontrollieren kannst.

Mein Internetprovider sieht den ersten Proxy, den ich ansteuere. In der 
Regel ist das eine von mir kontrollierte Kiste. Also ja: ist eine lokale 
Sache im weiteren Sinne.

Andreas M. schrieb:
> Den Quellcode deines Webbrowser hast
> Du sicher auch vor benutzen komplett durchgesehen?

Nein. Aber ich sehe, was der über mein Interface schiebt, wo er Daten 
herholt und wo er welche hinschiebt. Wie übrigens für jedes andere 
Programm, das ich benutze. Auch am Telefon, btw., bei dem eh nur 
ausgewählte Apps durch den Paketfilter kommen.

Andreas M. schrieb:
> Wie prüfst Du
> eigentlich, das jeder Webshop wo Du deine Daten eingibst, diese Daten
> sicher verwahrt.

Muss ich nicht. Reicht mir, wenn ich bestimme, welche Daten der von mir 
bekommt. Und sich der Betreiber nicht meine History genehmigt, um etwa 
rauszufinden, was er mir noch andrehen könnte, oder wie man sonst Gewinn 
draus ziehen kann.

Andreas M. schrieb:
> Du hast also ein Smartphone. Dann hör auf zu schreien, Google oder Apple
> wissen nicht nur wer Du bist, sondern auch wo du wohnst, wann Du istt,
> wann du schläfst und was es sonst noch alles so interessantes über Dich
> gibt und kennen auch gleich noch Dein WPA PSK falls vorhanden.

Ich habe ein Smartphone, und weder Google, noch Apple wissen etwas 
davon. Und nun? Ist nicht immer bequem, das will ich gerne einräumen – 
aber mir ist es das wert. YMMV

Andreas M. schrieb:
> Warum sollte ich, gibst Du das etwa auf jeder Seite ein?

Warum halt nicht? Deiner Ansicht nach kann’s doch jeder haben? Oder nun 
auf einmal doch nicht mehr? Wie inkonsequent von dir. Musst ja nicht mal 
Angst haben, dass ich dir dein Geld klaue – immerhin läuft heute 
glücklicherweise bei Banken nichts mehr ohne transaktionsgebundete TAN. 
Aber: ich kenne Seiten mit Leuten, die Leute zum „auscashen“ brauchen – 
was glaubst du, was passiert, wenn da jemand deine Daten, die deiner 
Meinung nach ja jeder haben kann, eingibt? Genau, ’ne Menge „Spaß” mit 
Behörden und Bank und seltsamen Leuten – und deswegen bin ich nicht 
der Meinung, Privatsphäre könne man weglassen. Du dann ja doch auch 
nicht, wie’s aussieht?

Andreas M. schrieb:
> Zumal 2FA per Telefon so wie
> es z.B. Microsoft implementiert sowieso nur Augenwischerei ist, weil MS
> Dir nämlich dummerweise nicht sagt, wofür Du dich gerade
> authentifizierst.

Ich hab ehrlich gesagt keine Ahnung, was MS wie implementiert – nutze 
sowas nicht. Aber ich hab Ahnung, wie man mit den anderen angefragten 
Daten bei den meisten Providern eine zweite SIM-Karte, und damit den 
zweiten Faktor zu vielen Dingen bekommen kann :)

Um mal zum eigentlichen Thema zurückzukommen: wenn’s für dich okay ist, 
dass Läden wie Cloudflare dich bis ins Detail profilen – hab ich kein 
Problem mit, rein datenbezogener Exhibitionismus ist nicht verboten. Ich 
mag’s nur nicht wenn naive Zeitgenossen meinen, jeder, der nicht so naiv 
wie sie ist, wäre paranoid – und Läden wie Alphabet, Microsoft, Meta und 
eben auch Cloudflare wären was ausschließlich Tolles.

In meinen Augen ist’s auch schlicht logisch falsch, damit für Cloudflare 
argumentieren zu wollen, dass ja Webshop Blub auch schon einen Teil 
meiner Daten hätte. Es gibt gewisse Unterschiede zwischen einem ziemlich 
umfassenden Profil der Netznutzung über einige Jahre hinweg bei 
Cloudflare, und Name/Adresse/Zahlungsinfo bei einem Onlinehändler.

Harald K. schrieb:
> Ich nutze aus Gründen, die ich nicht zu rechtfertigen habe, Tor.
>
> Ständig darf ich mir deswegen ansehen, wie Cloudflare eine angebliche
> "Sicherheit" überprüfen will, was nicht nur geschieht, wenn ich
> erstmalig µC.net öffne, sondern gerne auch mittendrin und auch, wenn ich
> einen Betrag geschrieben und abgeschickt habe.

Dann zieh doch eine bessere Alternative zu Cloudfare auf.

Ich bin dafür daß jeder der ein Problem mit mikrocontroller.net hat,
seinen Account löscht und diese Seite nicht wieder aufruft.

Jack V. schrieb:
> Ich
> mag’s nur nicht wenn naive Zeitgenossen meinen, jeder, der nicht so naiv
> wie sie ist, wäre paranoid – und Läden wie Alphabet, Microsoft, Meta und
> eben auch Cloudflare wären was ausschließlich Tolles.

Ich habe nie gesagt das wäre was "tolles". Ich finde es allerdings naiv 
zu glauben, das man sich mit ein bisl Tor, Proxy und Firewalls sich im 
Netz verstecken kann.

Und ich finde es anmaßend dem Betreiber dieser Webseite vorschreiben zu 
wollen, wie er seine Seite zu betreiben hat. Schließlich zahlt hier 
keiner einen monatlichen Beitrag für die Betriebskosten oder?

Jack V. schrieb:
> s gibt gewisse Unterschiede zwischen einem ziemlich
> umfassenden Profil der Netznutzung über einige Jahre hinweg bei
> Cloudflare, und Name/Adresse/Zahlungsinfo bei einem Onlinehändler.

Oben hast Du noch von Identitätsklau mittels persönlicher Daten 
geschrieben und jetzt ist es auf einmal kein Problem das diese (Deine) 
Daten bei einem Online Händler liegen. Vermutlich nicht nur bei einem. 
Soweit ich mich Erinnere sind die meisten Datenlecks nicht bei den 
"Großen" sondern bisher eher bei den Kleinen aufgetreten. (Da reicht 
schon wenn wir in die öffentliche Verwaltung schauen) Kein wunder, dort 
fehlt halt die Expertise noch viel mehr.

G. K. schrieb:
> Harald K. schrieb:
>> Ich nutze aus Gründen, die ich nicht zu rechtfertigen habe, Tor.
>>
>> Ständig darf ich mir deswegen ansehen, wie Cloudflare eine angebliche
>> "Sicherheit" überprüfen will, was nicht nur geschieht, wenn ich
>> erstmalig µC.net öffne, sondern gerne auch mittendrin und auch, wenn ich
>> einen Betrag geschrieben und abgeschickt habe.
>
> Dann zieh doch eine bessere Alternative zu Cloudfare auf.

Das erinnert mich an die Leute, die einem sagen, man solle doch ein 
eigenes Systemd schreiben, wenn man es nicht mag.

Die Probleme damit sind Fundamental, by Design. Wenn mich Schiesshaufen 
stören, hilft es wenig, einen eigenen neuen Schiesshaufen zu erzeugen. 
Und wenn ich was anderes als einen Schiesshaufen mache, ist es keine 
Alternative mehr für die, die einen Schiesshaufen wollen.

Bei Cloudflare, handelt es sich bei dem Schiesshaufen um einen Services, 
der für viele Kunden massiv HTTP Requests entgegennehmen, und für diese 
Verarbeiten und aus Caches schnell liefern, oder Blockieren, kann, um 
DDOS Angriffe abzufangen, was zwingend Zugriff auf den Datenverkehr 
erfordert.

(Und bei Systemd ist der Schiesshaufen eine Anwendung die all die 
diversen Funktionen von Systemd in einem Produkt Abdeckt, mit den selben 
integrierten Schnittellen, statt jede Funktion einem Spezialisiertem und 
komplett unabhängigem Programm zu überlassen, so wie früher, aber das 
ist ein anderes Thema).

Andreas M. schrieb:
> Ich finde es allerdings naiv
> zu glauben, das man sich mit ein bisl Tor, Proxy und Firewalls sich im
> Netz verstecken kann.

So, wie du nicht geschrieben hast, dass Cloudflare und Co. was Tolles 
wären, habe ich nicht geschrieben, dass man sich vollständig verstecken 
könne.
Ich bin nur der Meinung: wenn die Daten an weniger Stellen auflaufen, 
und die Stellen dann auch noch jeweils weniger Daten haben, ist die 
Wahrscheinlichkeit, dass da ein Problem draus entsteht, ungleich 
geringer.

Vielen Leuten ist vermutlich nicht einmal bewusst, wie umfassend die 
Daten sind, die sie Cloudflare zur Verfügung stellen – das ist das 
Problem. Tatsächlich ist’s noch viel schlimmer: „normale“ User wissen 
davon oft nicht einmal was. Auch machen viele Webseitenbetreiber, die 
deren Service nutzen, das nicht kenntlich – was eigentlich auch nicht 
mehr zulässig ist.

Andreas M. schrieb:
> Und ich finde es anmaßend dem Betreiber dieser Webseite vorschreiben zu
> wollen, wie er seine Seite zu betreiben hat.

Wenn du den Thread gelesen hättest, wäre dir aufgefallen, dass dieser 
Vorwurf in meine Richtung einigermaßen absurd anmutet. Ich hab mich 
diesbezüglich recht unzweideutig geäußert: nämlich dass ich, wenn’s für 
mich nicht tragbar wäre, die Seite nicht nutzen würde – dass es für mich 
also okay ist, wie’s ist.

Nichtsdestotrotz ist’s nicht verkehrt, zumindest ein wenig 
Problembewusstsein zu schaffen – im Gegenteil.

Andreas M. schrieb:
> Oben hast Du noch von Identitätsklau mittels persönlicher Daten
> geschrieben und jetzt ist es auf einmal kein Problem das diese (Deine)
> Daten bei einem Online Händler liegen. Vermutlich nicht nur bei einem.

Die Daten bei Onlinehändlern sind aber in der Regel nicht geeignet, 
solche Sachen wie SIM-Swapping anzufangen oder Passwörter zurückzusetzen 
oder sich für Phishing-Zwecke als ich auszugeben. Die gesammelten Daten 
von u.A. Cloudflare nunmal hingegen schon. Natürlich kann jemand auch 
mit den paar Daten vom Onlinehändler viel Ärger machen, aber um jemandem 
das Leben richtig nachhaltig zu versauen, sind mehr Daten besser.

Andreas M. schrieb:
> Soweit ich mich Erinnere sind die meisten Datenlecks nicht bei den
> "Großen" sondern bisher eher bei den Kleinen aufgetreten.

https://en.wikipedia.org/wiki/List_of_data_breaches – die meisten 
Datensätze im Umlauf stammen eher nicht von den „Kleinen“. Böslinge sind 
heute auch eher ökonomisch orientiert: der Webshop von Hanfseil-Hannes 
mit seinen 102 Kunden(datensätzen) lädt eher nicht dazu ein, da viel 
Zeit drin zu versenken.

Daniel A. schrieb:
> Wen kümmert es denn, ob die Seite mal eine Stunde down ist. Dann
> versucht man es halt später nochmal.

Sowas aus dem Mund eines FOSS-Enthusiasten zu hören erklärt sehr gut den 
"Qualitätsanspruch" einiger Projekte aus diesem Umfeld.

Jack V. schrieb:
> https://en.wikipedia.org/wiki/List_of_data_breaches – die meisten
> Datensätze im Umlauf stammen eher nicht von den „Kleinen“.

Und Du denkst das Schreinermeister BrettvormKopf sich dort einträgt wenn 
bei Ihm was abhanden kommt? Vermutlich merkt er das nicht mal und wenn, 
dann wird er es sicher nicht an die Große Glocke hängen, spätestens wenn 
er weis was das für einen Ärger nach sich zieht. Die meisten wissen doch 
nichtmal, das sie gesetzlich dazu verpflichtet sind Kundendaten zu 
schützen. Da liegt der Ordner oder Notebook mit der Kundenkartei einfach 
so aufm Tisch rum.

In der "Liste" stehen ja nichtmal die Einbrüche bei den diversen 
deutschen Behörden/Verwaltungen vom letzten Jahr, da gibts viel 
Interessanteres zu holen als nur ein paar Bankverbindungen.

Le X. schrieb:
> Daniel A. schrieb:
>> Wen kümmert es denn, ob die Seite mal eine Stunde down ist. Dann
>> versucht man es halt später nochmal.
>
> Sowas aus dem Mund eines FOSS-Enthusiasten zu hören erklärt sehr gut den
> "Qualitätsanspruch" einiger Projekte aus diesem Umfeld.

Hattest du in den letzten Monaten mit dem Qualitätsanspruch von 
Microsofts Office Cloud zu tun? Da läuft das exakt so wie von Daniel 
beschrieben.

Selbst so scheinbar simple Aufgaben, wie Mails per Client abzuholen, 
egal ob der IMAP oder EWS nutzt, schweiterte in den letzten Tagen immer 
wieder mal. Man klickt den Fehler weg und versucht es später nochmal.

Ob jetzt ein DDOS Erfolg hat oder nicht, sagt nun wirklich nichts über 
die Qualität einer Webseite aus.

Andreas M. schrieb:
> Und Du denkst das Schreinermeister BrettvormKopf sich dort einträgt wenn
> bei Ihm was abhanden kommt? Vermutlich merkt er das nicht mal und wenn,
> dann wird er es sicher nicht an die Große Glocke hängen, spätestens wenn
> er weis was das für einen Ärger nach sich zieht.

Ich wäre an dieser Stelle dafür, nicht aufgrund von unbestätigten 
Annahmen zu argumentieren. Hast du denn ernstzunehmende Anhaltspunkte 
für diese Vermutung? Wieviele von diesen kleinen Shops müssten wohl 
aufgemacht werden, um die Daten von Millionen Menschen auszuleiten, 
wie’s nachlesbar bei „den Großen“ geschehen ist? Zumindest von mir 
wurden nachweislich Daten von Yahoo ausgeleitet und zu missbrauchen 
versucht, während ich keinerlei Hinweise auf einen solchen Vorfall bei 
den von mir genutzten Shops vorliegen habe.
  Abgesehen davon bauen zumindest neuere Shops zunehmend auf Anbieter 
wie Shopify, die zwar moralisch ähnlich hinterfragbar wie etwa 
Cloudflare wären, allerdings Leute beschäftigen dürften, die sich mit so 
Technik ein wenig auskennen.

Der relevante Punkt bezüglich Cloudflare vs. Lötzinn-Lothars Onlineshop 
bleibt aber: Name, Adresse, Zahlungsinfo und Bestellung(en), freiwillig 
und bewusst in einem einzelnen Shop hinterlegt vs. detailliertes Profil 
der Nutzung eines großen Teils des Internets incl. Klartext-Zugriff auf 
schützenswerte Daten, die ausschließlich für Dritte gedacht sind, über 
Jahre hinweg und ohne Abwahlmöglichkeit, sowie ohne Möglichkeit der 
Einflussnahme auf die gespeicherten Daten.

Muss jeder selbst für sich wissen, was er für problematischer hält – 
wenn’s für dich die kleinen Shops sind: du Beneidenswerter – du kannst 
dich bewusst dafür entscheiden, diese Shops nicht zu nutzen und damit 
das Problem nicht zu haben. Für mich ist’s halt Cloudflare, und dort 
gibt es diese Möglichkeit nicht.

(prx) A. K. schrieb:
> Hattest du in den letzten Monaten mit dem Qualitätsanspruch von
> Microsofts Office Cloud zu tun? Da läuft das exakt so wie von Daniel
> beschrieben.

Whataboutism? Von dir? Ich dachte du stündest da drüber.

Freilich hatte ich Kontakt mit MS-Produkten. Mein AG bezahlt mich ja 
dafür dass ich diese benutze. Und ja, die sind größtenteils auch 
unausgegorener Rotz. Und nun?
Zuhause benutze ich zu 95% FOSS, mit all deren Vor- und Nachteilen.

Ob die datenschutzkonforme FOSS-Alternativ-Cloud aber besser liefe als 
das MS-Produkt, wenn sie von Leuten vom Schlage eines "kümmert mich 
nicht"-FOSS-Enthusiasten betrieben würde bezweifle ich.

Daniel A. schrieb:
> Wen kümmert es denn, ob die Seite mal eine Stunde down ist. Dann
> versucht man es halt später nochmal.

Ich habe aus Gründen, die ich nicht zu rechtfertigen habe, deinen 
Beitrag negativ bewertet.

Klaus schrieb:
> Rüdiger B. schrieb:
>> Ich hatte EINMAL eine Meldung von Cloudflare das der Zugriff geprüft
>> wird, was mache ich richtig ?
>
> Keine Ahnung was Du falsch machst, ich hatte noch nie so eine Meldung.

Da das TOR-Netzwerk gerne mal für DDos missbraucht wird, und die Anzahl 
der Exit-Nodes endlich ist, hat Cloudflare auch eine Liste mit ebenjenen 
Servern, die dann einer erweiterten Prüfung unterzogen werden.

Erstens mal ist das Tor Netzwerk aufgrund mehrerer Server und 
Verschlüsselungsschichten normalerweise recht langsam. Zusammen mit der 
relativ niedrigen Menge an Exit Nodes, ist es für DDOS Angriffe nicht 
brauchbar. Dafür ist es einfach zu langsam.

Zweitens ist die Liste der Tor Exit Nodes öffentlich. Vermutlich 
verwendet Cloudflare, so wie viele andere auch, einfach diese Liste, 
wenn sie wissen wollen, ob etwas über Tor ging.

Harald K. schrieb:
> Vielleicht aber gibt es ja auch Möglichkeiten, die die Wahrung von
> Privatsphäre gewährleisten, ohne die Webseite kaputtzumachen?

Du machst dir die Seite doch selbst kaputt?! Wenn du denkst, das die 
Seite keinen DDoS Schutz benötigt, diese Seite sicher sei - warum surfst 
du sie dann via TOR an? Nutze doch ein normalen Browser! Von Cloudflare 
bekommt man hier rein garnichts mit, nein - ich wusste nichtmal das 
Cloudflare als DDNS hier hinter steht.

Das ist auch wie die ganze Grütze mit den Ad-Blockern... Diese Seite 
finanziert sich ausschließlich privat über Werbeeinnahmen. Diese 
Einnahmen schneidet ihr ihm aber damit ab - ihr braucht euch nicht zu 
wundern wenn Dinge nicht mehr funktionieren dank NoScript, das diese 
Seite schließen muss weil einfach das Geld aus geht... Das ist Egoismus 
pur.

p.s.: Ich bin für Cloudflare - ganz einfach aus dem Grund weil ich meine 
Seiten auch über Cloudflare schützen lasse.

Rene K. schrieb:
> Das ist auch wie die ganze Grütze mit den Ad-Blockern... Diese Seite
> finanziert sich ausschließlich privat über Werbeeinnahmen. Diese
> Einnahmen schneidet ihr ihm aber damit ab - ihr braucht euch nicht zu
> wundern wenn Dinge nicht mehr funktionieren dank NoScript, das diese
> Seite schließen muss weil einfach das Geld aus geht... Das ist Egoismus
> pur.

Andere Baustelle.

Ich hab überhaupt nix gegen Werbung, im Gegenteil – wenn sie fachbezogen 
ist, finde ich sie oft sehr informativ. Ich hab aber was dagegen, 
getrackt und profiled zu werden, um dann wie’n Stück Vieh auf den 
einschlägigen Plattformen an den meistbietenden Werbekunden verkauft zu 
werden. Und ja – genau das ist, wie’s nunmal mit den hier verwendeten 
Anbietern funktioniert. Dass es auch völlig anders geht, zeigt 
beispielsweise das RC-Network: deren Forum bindet von vorneherein keine 
Drittseiten an, und doch bekomme ich Werbung zu sehen, und sie ihren 
Anteil daran.

Ich hätte allerdings auch kein Problem damit, ein paar Münzen zu spenden 
um von vorneherein nicht der oben beschriebenen Praxis ausgesetzt zu 
sein. Vermutlich wäre ein Zehner im Jahr weit mehr, als ich dem 
Betreiber der Seite durch den Trackingmüll einbringen würde.

Und wenn diese Seite nicht völlig katastrophal programmiert wurde, 
dürften sich zumindest die laufenden Kosten für den Server im Rahmen 
halten. Der Großteil der Inhalte ist eh durch User generiert worden, und 
kann daher auch nicht auf der Kostenseite auftauchen. Bleibt die Arbeit, 
die hier reingesteckt wird – und ganz ehrlich? So richtig viel sehe ich 
da nicht von. Ab und zu mal ’ne neue Spielerei, aber Bugs und andere 
Ärgernisse werden seit Jahren nicht angefasst (Formatierungsprobleme, 
etc.)

Rene K. schrieb:
> p.s.: Ich bin für Cloudflare - ganz einfach aus dem Grund weil ich meine
> Seiten auch über Cloudflare schützen lasse.

Erinnert mich an Apple-Jünger: Apple ist ganz toll, weil sie’s ja auch 
nutzen. Dass andere Leute andere Prioritäten haben könnten, kommt denen 
gar nicht in den Sinn …

Dann geh doch einfach, wenns hier so schlimm ist.

Ständig diese ekelhaften Roman-Schreiber, die in ihrer rechthaberischen 
Art ganze Bibeln schreiben, nur weil sie sich soo im Recht fühlen.

Ach, du schon wieder. Thread nicht gelesen, Kontext nicht erfasst, 
Beiträge nicht verstanden – aber wieder rumtröten. Hat sich also auch 
nix geändert.

Loser!

Jack V. schrieb:
> Erinnert mich an Apple-Jünger: Apple ist ganz toll, weil sie’s ja auch
> nutzen. Dass andere Leute andere Prioritäten haben könnten, kommt denen
> gar nicht in den Sinn …

Nein nein, würde es einen anderen DDoS Schutz der ähnliche Performance 
und ungefähr gleichen Service (ist ja nicht nur der DDnS Schutz, 
Registrar, DynDNS etc...) würde ich mir andere ebenso anschauen. Aber 
der Markt ist dahingehend seeeehr übersichtlich.

Ich meine damit, das ich den Seitenbetreiber hier verstehen kann, wenn 
er auf Cloudflare setzt. Und wenn man nicht unbedingt über TOR auf die 
Seite zugreift - bekommt man dies auch überhaupt nicht mit.

Jack V. schrieb:
> zeigt
> beispielsweise das RC-Network: deren Forum bindet von vorneherein keine
> Drittseiten an

Doch natürlich... wenn man kleinlaut sein möchte... über ihre CSS 
Datei... zumindest http://www.w3.org/ wird angesteuert - und da dies 
über CSS geschieht, kommen deine Daten dahin und nicht die des 
Webservers.

Dennoch löblich... selbst die JS Scripte hosten sie selbst.

Rene K. schrieb:
> Ich meine damit, das ich den Seitenbetreiber hier verstehen kann, wenn
> er auf Cloudflare setzt.

Verstehen kann ich es auch; gibt hier ja durchaus ein paar ziemlich 
kaputte Leute, und DDoS ist an den einschlägigen Stellen verhältnismäßig 
günstig zu haben – aber das heißt ja nicht, dass es jeder gleich toll 
finden müsste, und Probleme damit nicht angesprochen werden dürften.

Rene K. schrieb:
> Doch natürlich... wenn man kleinlaut sein möchte... über ihre CSS
> Datei... zumindest http://www.w3.org/ wird angesteuert

Bei mir wird laut Log von uMatrix und dem der Entwicklertools des 
Browsers definitiv nichts von Drittseiten geladen, auch nicht vom w3c.

Jack V. schrieb:
> Bei mir wird laut Log von uMatrix und dem der Entwicklertools des
> Browsers definitiv nichts von Drittseiten geladen, auch nicht vom w3c.

Die SVG Spezifikationen unter:

https://www.rc-network.de/css.php?css=public%3Anormalize.css%2Cpublic%3Afa.css%2Cpublic%3Acore.less%2Cpublic%3Aapp.less&s=3&l=6&d=1706732352&k=8f261c69e3e29b683f6f275eada760d1ec2191a9

Aber gut, W3C - da lässt sich ja drüber streiten - im Grunde ist das ja 
"wichtig" und hat mit Google, Co. und so nichts zu tun.

Wer nur den Tor-Browser nutzt und tagtäglich über die Mißstände im 
Internet rumheult, womöglich noch Volljährig ist..

Herzlichen Glückwunsch, sie haben die Kontrolle über Ihr Leben verloren 
;) :D

Das seit mindestens gestern zu beobachtende geänderte Verhalten der 
Forensoftware gefällt mir.

Dafür ein dickes Danke an Andreas.

Harald K. schrieb:
> Das seit mindestens gestern zu beobachtende geänderte Verhalten der
> Forensoftware gefällt mir.
>
> Dafür ein dickes Danke an Andreas.

Boah!!
Wir sind gerad dabei, endlich unsere Stellung als bestes
deutschsprachiges Hardwarehackerboard zu festigen.

Mein hochachtungsvoller Respekt gilt unserem Team!

mfg
Lotta.

Harald K. schrieb:
> Das seit mindestens gestern zu beobachtende geänderte Verhalten der
> Forensoftware gefällt mir.
>
> Dafür ein dickes Danke an Andreas.

Was wurde denn geändert?

Auch mit Firmen-VPN landet man ständig auf der Cloudflare-Überprüfung.
Will man per F5 die Seite aktualisieren, kommt immer "Formular erneut 
absenden?"
An diesen Stellen sollte dringend nachgebessert werden.

Wo ich früher noch öfters mal auf diese Seite geschaut habe (kurz mal 
was anderes sehen), bin ich heute nur noch selten hier. Eben wegen 
dieser Probleme.
Fragt mich, ob die Admins so etwas in den Statistiken über alle Besucher 
sehen können. Sicherheit bringt wenig, wenn es User vergrault.

Mark B. schrieb:
> Was wurde denn geändert?

Das Cloudflare-Generve bei der Verwendung von Tor ist weg.

Random .. schrieb:
> Auch mit Firmen-VPN landet man ständig auf der Cloudflare-Überprüfung.
> Will man per F5 die Seite aktualisieren, kommt immer "Formular erneut
> absenden?"

Diese Meldung klingt aber eher nach Browser und unabhängig von 
Cloudflare.

Reinhard S. schrieb:
> Random .. schrieb:
>> Auch mit Firmen-VPN landet man ständig auf der Cloudflare-Überprüfung.
>> Will man per F5 die Seite aktualisieren, kommt immer "Formular erneut
>> absenden?"
>
> Diese Meldung klingt aber eher nach Browser und unabhängig von
> Cloudflare.

Standard Chrome Browser.

Jack V. schrieb:
> Weil: das ist
> das Problem mit Cloudflare: nicht, dass sie vor diesem einen Forum
> sitzen und hier lustig Daten abgreifen können, sondern dass sie aufgrund
> ihrer Dominanz ’ne ziemlich lückenloses Profil von jedem haben können.

Bislang gibt es keinen Beleg dafür, daß CF überhaupt Daten 
"abgegriffen", verkauft, angeboten, oder über einen zur 
"Selbstverteidigung" ihrer Kunden notwendigen Zeiträume gespeichert 
hätte.

> Mit den Daten, die Cloudflare über die Zeit
> abgegriffen hat, wäre das hingegen leider möglich.

Entschuldige bitte, aber die korrekte Formulierung scheint mir 
"abgegriffen haben könnte" zu sein. Das ist nur eine Befürchtung, für 
die es meines Wissens bislang keine Indizien gibt.

Na klar, sie könnten das tun. Und bitte, versteh' mich nicht falsch: ich 
halte das ebenso wie Du für ein Problem. Aber andere können sowas zwar 
auch, so ein WhatAboutism bringt uns aber hier doch nicht weiter. Die 
riesigen Datenmengen zu analysieren und aufzubereiten, die dabei 
anfallen... das dürfte ein recht ambitioniertes Unterfangen werden, 
schätze ich, und die sich mir stellende Frage dazu ist: wäre der Aufwand 
dafür möglicherweise größer als der Gewinn, der sich durch die 
Vermarktung der Daten ergeben könnte?

Cloudflare ist außerdem zwar (im Moment noch?) der größte, aber auch 
heute bei Weitem ja nicht der einzige Anbieter. Ich vermute, daß sich 
der Markt wie in vielen anderen Fällen diversifizieren und das 
Datenschutzthema so hoffentlich ein wenig an Relevanz verlieren wird. 
Solange es diesbezüglich aber keinerlei einheitliche, durchsetzbare 
internationale Regelungen mit einer garantierten, zeitnahen 
Behördenbeihilfe gibt und auch die Nationalstaaten dieser Welt nicht 
gerade durch ein proaktives Vorantreiben solcher Ideen auffallen, werden 
die Betreiber von Webseiten derartige Schutzmechanismen benötigen.

Zudem habe ich bereits einige "richtige" DDoS-Angriffe erlebt, bei denen 
auch sehr leistungsfähige Webserver in die Knie gingen, und Verbindungen 
saturiert wurden. In einem Fall ging das so weit, daß der Hoster dem 
Betreiber mit der Kündigung seiner Verträge gedroht hat, wenn seine 
anderen Kunden weiterhin in Mitleidenschaft gezogen würden. Der nächste 
Hoster hatte zwar eine nicht ganz billige Hardware-Appliance als 
DDoS-Schutz, aber auch diese Appliance hat es leider nicht geschafft, 
den Angreifer abzuwehren. Einzig Cloudflare hat es geschafft, das Thema 
mit den Angriffen zunächst einzudämmen und mittlerweile (meines Wissens) 
vollständig zu lösen.

Zuletzt schließt Cloudflare allerdings öffentliche und meines Wissens 
zudem vertragliche Vereinbarungen mit seinen Kunden ("Application 
Privacy Policy") und auch deswegen finde ich Deine Unterstellung, sie 
würden -- nicht: "sie könnten" -- Daten sammeln, dann doch ein wenig 
vermessen. Diese Leute sind möglicherweise nicht dumm und wissen: wenn 
auch nur einer ihrer Mitarbeiter oder Ex-Mitarbeiter öffentlich 
ausplaudern würde, daß Clourflare Daten von seinen Kunden und deren 
Nutzern zu sammeln, wäre der Imageschaden enorm. Und als jemand, der 
selbst schon Zertifizierungen wie ISO27k, PCI-DSS und HIPAA, des 
Bundesamtes für Informationstechnik , dem Code of Conduct der EU... also 
mal ehrlich: ich hab auch ein gesundes Mißtrauen gegenüber meiner Bank, 
aber ich vertraue denen trotzdem meine ökonomische Existenz an.

Insofern schlagen zwei Herzen in meiner Brust: einerseits als jemand, 
der die Privatsphäre seiner Mitmenschen und seiner selbst schätzt und 
schützt, aber andererseits jedoch auch als jemand, der den Nutzen 
solcher Dienste erkennt.

Sheeva P. schrieb:
> Entschuldige bitte, aber die korrekte Formulierung scheint mir
> "abgegriffen haben könnte" zu sein.

In der Tat, die Formulierung war an dieser Stelle fehlerhaft. Natürlich 
weiß ich nicht, was sie mit den Daten machen.

Dennoch bin ich an dieser Stelle pragmatisch: gerade große 
US-Tech-Firmen sind nicht für hohe Standards bei Moral und 
Aufrichtigkeit bekannt.

Zudem ist’s eben eine US-Firma, die Zugriff auf einen großen Teil des 
Traffics westlicher Seiten hat, und in deren Land kann eine gewisse 
Behörde Daten abgreifen und gar die Firmen zur Vorverarbeitung zwingen, 
ohne dass die auch nur einen Hinweis darüber geben könnte, möchte sie 
weiterexistieren. Wie vor mittlerweile auch schon über zehn Jahren 
veröffentlichte Daten nahelegen, macht diese Behörde auch reichlich 
Gebrauch davon und es wäre naiv, davon auszugehen, dass sie sich sowas 
wie Cloudflare entgehen lassen würde. Dass der Traffic analysiert und 
potenziell gespeichert wird, halte zumindest ich für daher sehr 
wahrscheinlich – selbst wenn man wohlwollend annehmen möchte, dass 
Cloudflare diese Daten selbst nicht nutzen würde, um „ihre Dienste zu 
optimieren“.

Natürlich kann man sich fragen, warum es einen stören sollte, wenn 
irgend’ne Behörde in $weitweg ein Profil von einem hat, oder eine Firma 
intern sowas anlegt. Diese Frage mag jeder für sich selbst beantworten. 
Meine Antwort für mich hat was mit Beobachtungen, Geschichte und Politik 
zu tun, und passt daher im Detail nicht in dieses Forum – das Fazit 
daraus ist allerdings: es gefällt mir absolut nicht — im Gegenteil.

Aber ich verstehe auch die Argumente, die für die Nutzung von CF 
sprechen, wie ich weiter oben bereits dargelegt habe. Ich denke, wenn 
meine Existenz von der Erreichbarkeit meiner Präsenz im Netz abhängen 
würde, würde ich deren Dienste trotz obenstehender Ansichten in Anspruch 
nehmen. Allerdings auch nur dann – wenn hingegen meine nichtkommerziell 
betriebenen Seiten mit Foren und anderem Kram für ’ne Woche weg sind, 
bis den Angreifern mal auffällt, dass da nix zu erpressen ist, dann 
empfände ich das zwar als ärgerlich, aber nicht als Grund, meine User 
potenziell auszuliefern.

Random .. schrieb:
> Reinhard S. schrieb:
>> Random .. schrieb:
>>> Auch mit Firmen-VPN landet man ständig auf der Cloudflare-Überprüfung.
>>> Will man per F5 die Seite aktualisieren, kommt immer "Formular erneut
>>> absenden?"
>>
>> Diese Meldung klingt aber eher nach Browser und unabhängig von
>> Cloudflare.
>
> Standard Chrome Browser.

Ich kenne das nur, wenn ein man-in-the-middle Proxy die SSL Verbindung 
aufmacht.

Am eigenen VPN Tunnel stört sich cloudflare bei mir nicht - surfshark 
erkennt er und will hin und wieder wissen, ob ein Bot Daten sammelt oder 
ein Mensch surft.

73

Jack V. schrieb:
> Sheeva P. schrieb:
>> Entschuldige bitte, aber die korrekte Formulierung scheint mir
>> "abgegriffen haben könnte" zu sein.
>
> In der Tat, die Formulierung war an dieser Stelle fehlerhaft. Natürlich
> weiß ich nicht, was sie mit den Daten machen.

Danke.

> Dennoch bin ich an dieser Stelle pragmatisch: gerade große
> US-Tech-Firmen sind nicht für hohe Standards bei Moral und
> Aufrichtigkeit bekannt.

Gilt das nicht auch für deutsche Unternehmen und vor allem auch für mehr 
oder weniger geheime Dienste in aller Welt? Damit ich hier keine Staats- 
und / oder Unternehmensgeheimnisse ausplaudern muß, sei nur an die 
Beteiligung des BND an der schweizerischen Crypto AG erinnert.

> Zudem ist’s eben eine US-Firma, die Zugriff auf einen großen Teil des
> Traffics westlicher Seiten hat, und in deren Land kann eine gewisse
> Behörde Daten abgreifen und gar die Firmen zur Vorverarbeitung zwingen,
> ohne dass die auch nur einen Hinweis darüber geben könnte, möchte sie
> weiterexistieren.

Es würde mich außerordentlich wundern, wenn das nicht für jedes 
Unternehmen in jedem Staat der Welt gelten würde. Denn wenn ein 
Geheimdienst nicht einmal die  Unternehmen im eigenen Land infiltrieren 
kann, ist er sein Geld nicht wert und kann sofort ohne Verluste 
abgeschafft werden.

> Natürlich kann man sich fragen, warum es einen stören sollte, wenn
> irgend’ne Behörde in $weitweg ein Profil von einem hat, oder eine Firma
> intern sowas anlegt. Diese Frage mag jeder für sich selbst beantworten.

Es ist mir auch lieber, wenn meine Daten in den USA liegen -- die ja 
immerhin ein weitestgehend funktionierender Rechtsstaat sind -- und dort 
gemäß der dort geltenden "fruit of the poisoned tree"-Doktrin noch nicht 
einmal gerichtlich verwertbar sind -- als wenn sie in Rußland oder China 
lägen. Dass die Aussagen des Herrn Snowden für uns so skandalös waren, 
liegt ja vor allem daran, dass hierzulande nur die wenigsten damit 
gerechnet haben, dass Geheimdienste eines befreundeten demokratischen 
Rechtsstaats so etwas tun würden, und dann auch noch in Zusammenarbeit 
mit unseren eigenen Geheimdiensten.

Wenn es einen russischen oder chinesischen Snowden gegeben hätte, wären 
wir dann auch nur verwundert gewesen? Ich glaube nicht. :-)

> Aber ich verstehe auch die Argumente, die für die Nutzung von CF
> sprechen, wie ich weiter oben bereits dargelegt habe. Ich denke, wenn
> meine Existenz von der Erreichbarkeit meiner Präsenz im Netz abhängen
> würde, würde ich deren Dienste trotz obenstehender Ansichten in Anspruch
> nehmen. Allerdings auch nur dann – wenn hingegen meine nichtkommerziell
> betriebenen Seiten mit Foren und anderem Kram für ’ne Woche weg sind,
> bis den Angreifern mal auffällt, dass da nix zu erpressen ist, dann
> empfände ich das zwar als ärgerlich, aber nicht als Grund, meine User
> potenziell auszuliefern.

Deine Position verstehe ich , und stimme ihr grundsätzlich zu. Trotzdem 
sehe ich das Problem im Wesentlichen nicht einmal darin, dass solche 
Unternehmen Daten abgreifen könnten, sondern eher darin, das solche 
Dienste, unabhängig von der Natur eines Webangebotes, zu dessen Schutz 
überhaupt nötig sind.