News Cloudflare-Ausfall: Viele Webseiten erneut weltweit gestört und nicht erreichbar

[Ayo34]

Da ists mir auch gerade aufgefallen.
Ich versteh bis heute nicht, warum so viele Unternehmen auf Cloudflare setzen. Was macht Cloudflare denn besser?

Grundsätzlich nimmt dir Cloudflare mit sehr geringen Kosten jede Menge Arbeit ab. Eigener Server, DDOS Angriff, Server down. Diverse Angriffe auf deine Seite werden erkannt und gar nicht zu deinem Server weitergeleitet. Jemand will im Urlaub aus den USA auf deinen Server zugreifen -> endlose Ladezeit. Cloudflare spiegelt deine Seite und liefert immer von einem Server in der Nähe von dir aus. Dazu deutlich bessere Performance und weniger Last für deinen Server.

Hast du z.B. eine Cache-Quote von 98% bei Cloudflare, kann dein eigener Server auf einmal 50x mehr Nutzer abfertigen (im best case).

Und ein großer Punkt, wenn dein Server down ist, liefert Cloudflare eine Offline-Seite von deiner Seite trotzdem weiter aus. Ist natürlich blöd, wenn es jetzt andersherum ist. Eigentlich war Cloudflare aber auch immer super stabil ohne Probleme...

Ergänzung (Freitag um 12:06)

Aber dieses Argo Smart Routing, man bezahlt also zusätzlich für ein "smartes" Routing, welches deren eigentliche Load Balancer eigentlich hätten erfüllen sollen und was in den Grundstrukturen des Internet mit BGP, OSPF & Co. eigentlich immer bestand?

Viele Optionen und auch Argo Smart Routing brauchst du für 99% der Seiten nicht. Für viele kleine Seiten reicht sogar der 0$ Tarif aus. Mit dem 20$ Tarif bekommt man richtig viel in Sachen Performance und Sicherheit.

Was erhoffst du dir konkret von Argo Smart Routing?

 

[Volker]

Artikel-Update: Cloudflare will im Tagesverlauf weitere Informationen zum aufgetretenen Fehler beschreiben. Laut ersten Details hat das Unternehmen einige Funktionen wie das Logging deaktiviert, um eine Sicherheitslücke zu schließen, die in dieser Woche bekannt wurde.

[Embed: Zum Betrachten bitte den Artikel aufrufen.]​

Die angesprochene React-Sicherheitslücke hat die Maximalbewertung 10,0 von 10,0 in der CVE-Klassifizierung erhalten und ist demnach überaus kritisch, sollte entsprechend schnellstmöglich geschlossen werden. An diesen Arbeiten war Cloudflare wohl aktuell zugegen, denn laut Schätzungen sind 39 Prozent der Cloud-Umgebungen von dem React-Problem betroffen, zusammen mit einem aufgetauchten Problem auch bei Next.js, welches letztlich zugrundeliegend das gleiche Problem adressiert, sind es sogar 44 Prozent.

Was genau die Sicherheitslücke letztlich ist, wollen die Experten erst in den kommenden Tagen preisgeben – also dann, wenn die meisten Systeme bereits einen Fix erhalten haben. Betroffen sind unter anderem Facebook und Instagram, Netflix, Airbnb, Shopify, Hello Fresh, Walmart, zudem Millionen Entwickler, führte The Register am Mittwoch bereits aus.

Sicherheitsforscher, die die Lücke ausprobieren konnten, waren von nahezu 100 Prozent Erfolg überrascht. Die Empfehlung für sofortiges Patchen wurde auch hier überaus deutlich ausgesprochen.

In our experimentation, exploitation of this vulnerability had high fidelity, with a near 100% success rate and can be leveraged to a full remote code execution. The attack vector is unauthenticated and remote, requiring only a specially crafted HTTP request to the target server. It affects the default configuration of popular frameworks.

Due to the high severity and the ease of exploitation, immediate patching is required.

 

[TeHaR]

Wir sind Enterprisekunde von Cloudflare und es wurde uns bereits bestätigt das die Ursache kein Angriff, sondern ein fehlerhafter Change bei der WAF war.

 

[Ayo34]

@TeHaR Weil Firmen auch immer alles so genau preisgeben und transparent zugegeben... scheinbar war es ja doch etwas mehr. Siehe Update.

 

[Enigma]

Ach deswegen waren die Kollegen vorher so "unentspannt".

 

[Crifty]

Sind davon eigentlich auch die freien DNS Server betroffen?
Also 1.1.1.1 und 1.0.0.1

 

[neutrongummi]

@TeHaR Weil Firmen auch immer alles so genau preisgeben und transparent zugegeben... scheinbar war es ja doch etwas mehr. Siehe Update.

Im Update steht nichts neues. Es war kein Konfigurationsfehler.
Und ja, mittlerweile sind Unternehmen rechtlich verpflichtet dies genau so zuzugeben, sollte es so gewesen sein.

 

[DevPandi]

Ich versteh bis heute nicht, warum so viele Unternehmen auf Cloudflare setzen. Was macht Cloudflare denn besser?

Ich habe gerade nicht alle Seiten gelesen, sollte es jemand schon beantwortet haben: Entschuldige das Zitat.

Cloudflare bietet einige Dienstleistungen für Webseitenbetreiber an und darunter auch einen relativ potenten DDoS-Schutz. Cloudflare agiert in dem Fall als eine Art Loadblancer und verteilt die Anfragen über die eigene Infrastruktur bis sie bei dir ankommen. Dazu dann noch die Möglichkeit als Proxy für bestimmte Inhalte zu dienen, so dass diese "verteilt" abgerufen werden.

Cloudflare ist entstanden, als vermehrt DDoS-Angriffe auf Webseiten von Unternehmen, Anbietern und Co statt gefunden haben und als relativ einfaches Mittel entdeckt wurden, um Firmen zu schaden. DDoS kannst du in der Regel nur mit entsprechender Kapazität bei Bandbreite und Co entgegenwirken und die bietet Cloudflare.

 

[CastorTransport]

Offensichtlich nichts.

Nun, dann muss man seine eigene Infrastruktur aufbauen und up2date halten. Sicherlich nicht billiger.

 

[Weyoun]

Fällt mir immer an Geizhals auf

Selbst "allestörungen.de" soll diesmal betroffen gewesen sein.

 

[H3llF15H]

@Weyoun
Welch' Ironie :-D

 

[Knecht_Ruprecht]

sondern ein fehlerhafter Change bei der WAF war.

WAF = Woman Acceptance Faktor?
(US) Woman Air Force?
W.A.F. Institut für Betriebsräte-Fortbildung?

Für alle die den Begriff wie ich nicht kennen: Vermutlich dann doch web application firewall.

 

[M80331]

Viele Optionen und auch Argo Smart Routing brauchst du für 99% der Seiten nicht. Für viele kleine Seiten reicht sogar der 0$ Tarif aus. Mit dem 20$ Tarif bekommt man richtig viel in Sachen Performance und Sicherheit.

Was erhoffst du dir konkret von Argo Smart Routing?

Ja wir haben auch mit dem free Plan gestartet und es hat uns ein DDoS aus Brasilien abgewehrt als es nötig war, kann nicht klagen.

Das mit dem Argo kannte ich bis heute nicht und erwarte mir auch nichts davon, Blutomen hatte das nur zuvor erwähnt und ich hab mich gewundert was das so groß anstellt dass das extra kostet.

 

[Chismon]

Die Abhängigkeit von solchen Diensten wie Cloudflare ist schon bedenklich und dass das in Zukunft weniger wird, ist wohl nicht zu erwarten. Deswegen werden mir auch keine IoT Gerätschaften freiwillig ins Haus kommen (falls diese dann u.U. netzgesteuert ausfallen und anderweitig/manuell nicht betrieben werden können).

Ein Bisschen "Schöne Neue Welt" wird einem bei solchen Vorfällen wie diesem wieder bewusst und in welcher zunehmend abhängigen Welt man lebt (auch wenn der Komfort natürlich gestiegen ist) ... bei Komfort vs. Funktionalität ziehe ich aber ehrlich gesagt letztere vor.

Bitter ist das natürlich auch besonders, wenn man auf Reisen von weitgreifenden Hacks/DDoS, Bugs, o.ä. betroffen ist, wenn bspw. Flughafensysteme ausfallen (Flüge gestrichen werden, man irgendwo festsitzt, usw.) oder ähnliches.

 

[GrumpyCat]

Cloudflare hat einfach unfassbare Kapazitäten. Darüber kann man seine eigene Infrastruktur klein halten und ist trotzdem z.B. vor Angriffen geschützt.

Eine brauchbar geschriebene Anwendung kann sowas wie tausende bis hunderttausende gleichzeitige Anwender auf einem Server wuppen, und Crawler etc. kann man direkt per Firewall-Regeln blocken (à la fail2ban).

Bei Cloudflare dagegen hat man häufiger Ausfälle, und auch die Geschwindigkeit bei denen ist total inkonsistent. Von den Nervereien mit den "Captchas" (die keine sind, sondern nur deren Werbung dienen) ganz zu schweigen.

Wenn ich persönlich Cloudflare sehe, denke ich mir "oh wieder ein Laden, der's selber nicht hinbekommt. Unprofessionell.".

 

[DaysShadow]

denke ich mir "oh wieder ein Laden, der's selber nicht hinbekommt. Unprofessionell.".

Kannst ja mal an die etlichen millionen- bis milliardenschweren Unternehmen die diesen Dienst nutzen herantragen wie unprofessionell sie sind

 

[TheInvisible]

Da ists mir auch gerade aufgefallen.
Ich versteh bis heute nicht, warum so viele Unternehmen auf Cloudflare setzen. Was macht Cloudflare denn besser?

Hauptsächlich wegen deren massiven aggregierten Bandbreiten gegen DDoS Attacken und weiteren Sicherheitsfeatures. Das willst bzw kannst du nicht wirklich mehr selber machen heutzutage...

 

[Schmarall]

Fängt alles an zu wackeln und zu knarzen. Was ist da nur los.

Das kommt davon, wenn man anstatt wie früher mit einem dezentralen Internet(z) auf wenige big player setzt.

 

[GrumpyCat]

Kannst ja mal an die etlichen millionen- bis milliardenschweren Unternehmen die diesen Dienst nutzen herantragen wie unprofessionell sie sind

Sag ich gleich Wikipedia! Die sind ja eine der ca. fünf Webseiten überhaupt, die tatsächlich ein CDN brauchen; betreiben aber ihr eigenes günstiges einfaches CDN - und haben keine Downtime. DAS ist tatsächlich professionell. Sind aber halt auch Leute, die an der Sache interessiert sind.

 

[matschei]

Schon gruselig wie viele Seiten Cloudflare verwenden.

MIt Claudflare wird https quasi ausgehebelt weil sie als Man in the Middle agieren.