Disabilita il cookie __cfduid da Cloudflare

13

Esiste un'impostazione Cloudflare che corrisponde alla creazione del __cfduidcookie di sessione?

Attualmente sto provando CF; principalmente per la corretta gestione DNS e la CDN implicita. Ma il WAF di base è probabilmente altrettanto bello in aggiunta ad Apaches mod_security / CRS. Tuttavia non sono sicuro di quale sia lo scopo di detti cookie e preferirei eliminarlo.

L'impostazione più ovvia

Profilo di sicurezza: essenzialmente spento

Sembra inoltre non avere alcun effetto sulla creazione di __cfduidogni risposta HTTP. Lo scopo dei cookie è presumibilmente quello di escludere singoli utenti dalle regole del firewall, dai captcha ripetuti di cloudflare, ecc.

La loro documentazione di supporto allude a questo. Dove la prima revisione del 09/2012 ( https://support.cloudflare.com/hc/en-us/articles/200169536-What-does-the-cfduid-cookie-do- ) dice che questo comportamento non potrà mai essere spento. Una voce due mesi dopo l'11/2012 ( https://support.cloudflare.com/hc/en-us/articles/200170156-What-does-the-CloudFlare-cfduid-cookie-do- ) omette tuttavia tale nota.

Mentre CloudFlare TOS stesso check-out, come plausibile, questo cookie ha tutte le proprietà di una sessione di monitoraggio, dc41f5a78bc3e27d44b70fca4606e4262283407700773. La durata eccessiva dei cookie di 6 anni è molto strana per l'esemplare caso d'uso dei visitatori di Internet Cafe. E dal momento che personalmente evito sessioni inutili e non voglio inserire una nota sulla privacy (alla luce della famigerata legge sui cookie dell'UE) come tutti gli altri, preferirei che fosse andata per impostazione predefinita.

Una soluzione alternativa come:

  Header add Set-Cookie "__cfduid= ; path=/; domain=.example.org; HttpOnly"

Evita la sua memorizzazione, ma conserva due intestazioni inutili e non sembra eccessivamente affidabile.

Quindi, c'è un'altra impostazione CF per questo?

cookie  cloudflare 
Mario
fonte
1
Oltre a cose divertenti come questa , l'unica soluzione disponibile è quella di delegare la connessione e rimuovere il cookie prima che colpisca il client.
Synchro,

Risposte:

4

No, non è possibile disattivare il cookie se stiamo eseguendo il proxy del record (se un sottodominio non eseguiva il nostro proxy nelle impostazioni DNS, non aggiungeremmo il cookie perché andrà direttamente al tuo server) . Il cookie è fondamentalmente ciò che fa funzionare la sicurezza (come una pagina di sfida).

damoncloudflare
fonte
8
"Fa lavorare la sicurezza" è ancora ampiamente indicativo. In che modo aiuta la sicurezza, ad esempio nei robot che in genere non inviano cookie di sessione? Se è solo per CAPTCHAS, qual è il tempo di scadenza dei cookie eccessivo?
Mario,
2
Sospetto sia per stabilire chi si fida, non chi non si fida. Se non si dispone del cookie di sessione, ci si trova nello stato di minor fiducia. Se si dispone del cookie di sessione, è possibile non essere attendibili o attendibili o in qualsiasi punto intermedio. Pertanto, non inviare il cookie di sessione significa che sarai trattato in modo più ostile dal WAF, non meno. Ne conseguirebbe quindi che ha un tempo di scadenza dei cookie "eccessivo" per impedirti di essere inutilmente infastidito o limitato in futuro.
Rushyo,
Risulta che cloudflare ospita molte cose che sfoglio spesso (documentazione API, progetti open source), che sono tutte inutili per me in questo momento. No. Non abiliterò l'iniezione di cookie di sessione casuale su domini che non hanno nulla a che fare con cloudflare (come jqueryui.com, expressjs.com). __cfduidinfrange gli standard di Internet. È sbagliato.
Martin Algesten,
4

Qual è il problema con questo cookie? Stai utilizzando il loro servizio e vuoi beneficiare del loro servizio e della loro sicurezza - secondo Cloudflare, questo cookie aiuta soprattutto per motivi di sicurezza. Indipendentemente da ciò, questo tipo di cookie è esente dal messaggio sulla legge sui cookie:

Tuttavia, alcuni cookie sono esenti da questo requisito. Il consenso non è richiesto se il cookie è:

· Utilizzato al solo scopo di effettuare la trasmissione di una comunicazione, e

· Strettamente necessario per consentire al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'utente di fornire tale servizio.

Per saperne di più: http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

Questo cookie Cloudflare è decisamente esente dalla legge sui cookie.

Luca Steeb
fonte
1
"per motivi di sicurezza" è proprio la spiegazione ambigua che ha scatenato questa domanda. A cosa serve adesso? Perché è ancora presente quando le funzionalità di "sicurezza" sono disabilitate ? Perché dura 6 anni? L'opinione legale su questo è per lo più ortogonale.
mario,
Temo che chiunque possa rispondere a questa domanda in merito alla sicurezza quando anche i dipendenti di Cloudflare (presumo che il danno sia uno) non possono dirtelo, indipendentemente dai motivi.
Luca Steeb,
2
Ecco un problema con questo cookie: innesca vari falsi positivi negli scanner vuln / PCI. Ad esempio, Saintbot / Controlscan vede la risposta con una sessione di base di cookie var e la contrassegna come phprpc vuln, anche se phprpc non è presente (404). È fastidioso il fallimento costante delle scansioni PCI pianificate a causa di questo semplice cookie. Certo, è colpa del venditore, ma dopo circa 20 attestati + biglietti, e chiamandoli fuori, non hanno ancora risolto il filtro di scansione. A causa della mancata riparazione, questo cookie CF causa un errore PCI sotto la premessa del falso positivo (ancora un fallimento).
Dhaupin,
Direi che dovresti incolpare gli scanner, non Cloudflare ..
Luca Steeb,
L'altro problema a parte gli scanner di vulnerabilità che danno falsi positivi è l'impatto sulle prestazioni, mentre è trascurabile, esiste e non dovrebbe.
Ray Foss
2

Passaggi per disabilitare un cookie - php. Non posso prendermi il merito per questo non è la mia soluzione, ma sono felice di diffondere la ricchezza.

function deleteSpecificCookies() {

    var cookies = document.cookie.split(";");
    var all_cookies = '';

    for (var i = 0; i < cookies.length; i++) {

        var cookie_name  = cookies[i].split("=")[0];
        var cookie_value = cookies[i].split("=")[1];

        if( cookie_name.trim() != '__utmb' ) {

            all_cookies = all_cookies + cookies[i] + ";";

        }

    }

    if(!document.__defineGetter__) {

        Object.defineProperty(document, 'cookie', {
            get: function(){return all_cookies; },
            set: function(){return true},
        });

    } else {

        document.__defineGetter__("cookie", function() { return all_cookies; } );
        document.__defineSetter__("cookie", function() { return true; } );

    }
}
Alfie
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.