News Cloudflare-Ausfall: Viele Webseiten erneut weltweit gestört und nicht erreichbar

[Ayo34]

@matschei Kannst du das näher erläutern? Es wird ja schon bei Cloudflare zu 100% per https (strict) weitergereicht.

 

[Web-Schecki]

Ich kann dir nur empfehlen den Rest zu lesen.

Ändert nichts an der Tatsache, dass (fast) alle Anbieter ein ordentliches Peering zu Cloudflare hinbekommen... Vielleicht solltest du dann eben deinen Usern empfehlen, nicht zur Telekom zu gehen, wenn sie einen vollwertigen Internetanschluss haben wollen?
Wenn du die Erkenntnis meinst, dass es nach Bezahlung besser wird, dann ist das nicht so überraschend. Cloudflare muss den Transit zur Telekom eben bei einem anderen Carrier einkaufen und das ist nunmal teuer. Daher gibt es da Unterschiede beim Routing.
Bei anderen ISPs gibt es diese halt nicht.
Deshalb raff ich nicht, warum du in diesem Zusammenhang auf Cloudflare schimpfst. Das Problem ist die DTAG. Ist hinreichend belegt.

 

[Grestorn]

@matschei Kannst du das näher erläutern? Es wird ja schon bei Cloudflare zu 100% per https (strict) weitergereicht.

Alle Deine Daten sind bei Cloudflare selbst entschlüsselt sichtbar, wenn Du nicht on-top of https nochmal verschlüsselst.

Denn: Die Strecke zu Cloudflare hin wird mit https verschlüsselt, dort dann aber, wie bei Reverse-Proxys üblich, ent- und neu verschlüsselt, wenn sie an den Server des Anbieters weitergereicht werden. Die TLS-Session des Anbieterservers kann ja nicht zum Endkunden weitergereicht werden.

Also ja: Man vertraut einem CDN immer vollständig alle seine übermittelten Daten an, wenn man nicht selbst nochmal die Daten vor der Übertragung eigens verschlüsselt und im Browser per Scripting explizit ent/verschlüsselt.

 

[Aslo]

Mittlerweile sind nicht Hacker oder Botnetze das Problem, sondern Cloudfare, das eigentlich davor schützen soll...

 

[Yumix]

Was genau die Sicherheitslücke letztlich ist, wollen die Experten erst in den kommenden Tagen preisgeben

Ist doch bereits bekannt, gibt auch auf github einige repos für PoC und Scanner. Und gibt auch schon einige Berichte welche zeigen, dass die Sicherheitslücke bereits ausgenutzt wird von Angreifern

 

[GrumpyCat]

@matschei Kannst du das näher erläutern? Es wird ja schon bei Cloudflare zu 100% per https (strict) weitergereicht.

Und? Cloudflare hat die Keys für Deine Domain und macht die SSL Termination und sieht die Daten entsprechend allesamt unverschlüsselt. Und sie machen das alles mit der Cloudflare-eigenen "Professionalität": https://en.wikipedia.org/wiki/Cloudbleed - wie man als Großkunde nach so einer Sache bei denen bleiben kann, ist mir schleierhaft. Vermutlich weil's nach ein paar Monaten alles wieder vergessen und Cloudflare ja alternativlos ist? Weil's weder andere Anbieter noch nginx direkt gibt?

 

[Crythunder]

Bereits in der Nacht vom 3.12 auf den 4.12 hatte ich als Telekomnetzwerk Kunde (Congstar) einen vollständigen DNS Ausfall von 1.1.1.1 zu beklagen.

 

[Brrr]

Könnte das mit Cloudlfare zusammengehangen haben?

Nein

Ergänzung (Freitag um 16:27)

Wenn irgendwann das System zusammenbricht, wird man sich wieder besinnen und den Unsinn beenden.

Leider nein, viele Entwickler können bereits nicht mehr ohne. Ich stimme aber zu dass die Qualität gefühlt zurück geht.

 

[Ayo34]

Also ja: Man vertraut einem CDN immer vollständig alle seine übermittelten Daten an, wenn man nicht selbst nochmal die Daten vor der Übertragung eigens verschlüsselt und im Browser per Scripting explizit ent/verschlüsselt.

Wenn das so gemeint war, dann ist das zu 100% richtig.

Die Frage ist natürlich trotzdem, ob die eigene Webseite sicherer mit Cloudflare + WAF-Regeln usw. ist oder wenn man Cloudflare nicht vertraut und quasi seinen eigenen Server/Webseite ans Netz hängt. Meiner Meinung nach muss man irgendeinen Anbieter vertrauen. Und Cloudflare ist maximal günstig und einfach, gerade als kleine Webseite.

 

[MaverickM]

Was macht Cloudflare denn besser?

Offensichtlich das Marketing und die Kunden in Gängel-Verträge binden.

 

[Brrr]

Das war bei mir genauso. Ausser der Berichterstattung habe ich von den beiden Cloudflare Ausfaellen nichts mitbekommen.

Der Ausfall war bei mir definitiv auch weniger schlimm als der letzte. Ein paar US-Dienste gingen nicht mehr, Linkedin u.a. Aber Webseiten die wir selber über Cloudflare abgesichert haben waren alle erreichbar.

 

[GrumpyCat]

Die Frage ist natürlich trotzdem, ob die eigene Webseite sicherer mit Cloudflare + WAF-Regeln usw. ist oder wenn man Cloudflare nicht vertraut und quasi seinen eigenen Server/Webseite ans Netz hängt.

Mach's einfach so wie alle: Cloudflare vor den eigenen Mist und den nicht updaten oder auch nur mal einem vernünftigen Review oder Optimierungszyklus zuführen. Cloudflare kümmert sich doch um Performance und Sicherheit!!1!

(Boah "WAF", als würde das irgendwas taugen in der Praxis, was machen die da schon außer Requests mit ".git" in der URL ablehnen)

 

[Brrr]

(Boah "WAF", als würde das irgendwas taugen in der Praxis, was machen die da schon außer Requests mit ".git" in der URL ablehnen)

In der Realität schützt es vermutlich vorallem vor ungepatchten Anwendungen. Wie diese React Sicherheitslücke, da dürfte es abertausende von schlecht gewarteteten Anwendungen geben.

 

[Ayo34]

Natürlich sollte man aktuelle Updates usw. einspielen, aber selbst das schützt ja nicht immer. Und die Realität sind häufig irgendwelche Wordpress Seiten mit 10 Plugins...

Und wenn du alles perfekt hast, nur deine reine Seite, keine Plugins, alles auf dem neusten Stand und dann jemand eine DDoS Attacke startet, bist du trotzdem am Arsch. Anbieter wie Cloudflare haben ihre Berechtigung!

Man könnte ja auch andersherum fragen, was spricht konkret gegen Cloudflare?

 

[KitKat::new()]

Man könnte ja auch andersherum fragen, was spricht konkret gegen Cloudflare?

Zentralisierung des Internets

 

[Ayo34]

@KitKat::new() Ist ein Punkt, aber für mich als Webseiten-Betreiber? Ich meine, wenn ich keine Lust mehr habe klicke ich auf "off" und meine Webseite ist nach ein paar Stunden wieder ohne Cloudflare erreichbar.

Aus meiner beschränkten Perspektive habe ich keine Nachteile, dafür eine schnellere, sicherere und gleichzeitig deutlich günstigere Webseite.

 

[AthlonXP]

Fällt mir immer an Geizhals auf

Weshalb? Geizhals läuft bei mir ohne Probleme, auch heute

 

[Vexz]

Da ists mir auch gerade aufgefallen.
Ich versteh bis heute nicht, warum so viele Unternehmen auf Cloudflare setzen. Was macht Cloudflare denn besser?

DDoS Schutz. Siehe das hier. Klar, das ist schön, aber Zentralisierung ist in solchen Fällen nicht gut.

 

[KitKat::new()]

Ich meine, wenn ich keine Lust mehr habe klicke ich auf "off" und meine Webseite ist nach ein paar Stunden wieder ohne Cloudflare erreichbar.

Wenn das so einfach wär, wären viele letztes mal nicht fast den ganzen Arbeitstag offline gewesen ...

 

[GrumpyCat]

In der Realität schützt es vermutlich vorallem vor ungepatchten Anwendungen. Wie diese React Sicherheitslücke, da dürfte es abertausende von schlecht gewarteteten Anwendungen geben.

Ja sag ich ja direkt im Satz davor, und ein paar Postings davor meinte ich auch schon, dass "Seite benutzt Cloudflare" inzwischen eigentlich meist "Betreiber der Seite ist inkompetent oder doesn't give a shit" heißt.
Ja auch große Services nutzen Cloudflare. Passt doch wie Arsch auf Eimer.
Und kleine Webseiten... wissen's halt meist nicht besser. Cloudflare davor wegen KI-Bots!