Bucle infinito de Cloudflare (comprobando si la conexión del sitio es segura)

tag-icon tag-icon security tor cloudflare tails
Bucle infinito de Cloudflare (comprobando si la conexión del sitio es segura)

¿Qué puedo hacer para solucionar el bucle infinito "Comprobar si la conexión del sitio es segura" de CloudFlare?

Estoy intentando cargar un sitio web. El primer GET se envía a una página intersticial ejecutada por Cloudflare que dice

Comprobando si la conexión del sitio es segura

[sitio] necesita revisar la seguridad de su conexión antes de continuar.

Cuando la página se carga por primera vez:

  1. Primero aparece un círculo giratorio.
  2. entonces el circulo desaparece
  3. luego aparece una mesa gris similar a reCAPTCHA con una "hiladora de desafío", pero todo lo que dice es Verifying...con una ruleta verde. Se queda así por unlargotiempo, dejándome dando vueltas con los pulgares por la frustración.
  4. luego, finalmente, el "desafío giratorio" desaparece y aparece otro círculo giratorio gris.
  5. luego la página se recarga por completo, esta vez con un "desafío giratorio" con una casilla de verificación que dice Verify you are human.
  6. Hago clic en la casilla de verificación y vuelve a cambiar a la rueda giratoria verde.
  7. Entonces la ruleta del desafío desaparece.
  8. Entonces aparece una ruleta gris.
  9. Luego, la página se vuelve a cargar y nuevamente se me presenta otro "desafío giratorio" que dice Verify you are human.
  10. IR A 6

Estoy intentando acceder a un sitio web en TAILS (usando el navegador Tor, por razones de seguridad). Este problema ocurre en un inicio nuevo. No hace falta decir que no estoy haciendo nada malicioso, pero lo diré:Todo lo que he hecho es escribir el dominio simple en la barra de direcciones y presionar<enter>.

¿Es esto un error? He hecho este bucle infinito durante media hora. ¿Cómo puedo demostrarle a CloudFlare que soy humano y escapar de este bucle infinito?

Respuesta1

En internet nadie sabe cómo eres

Internet depende detodo un conjunto de protocolos que funcionan juntos. Solo por nombrar dos, TCP/IP dicta que necesita una IP para obtener una respuesta, y HTTPS le indica el puerto y cómo cifrar los datos entre usted y el servidor.

Ahora, el servicio capcha sabe exactamente una cosa sólida sobre usted: su IP. Y ahora, veamos los navegadores TOR en equitación:

En el nivel más básico, los navegadores TOR enrutan su tráfico desde su computadora a un servidor especial, donde la solicitud se almacena por un momento mientras ese servidor realiza la misma solicitud al servidor real con el que desea hablar, pero usando la IP de ese servidor especial. como "remitente". Y aquí las cosas empiezan a desmoronarse:

  • Muchos servicios de captcha comparan la IP del remitente con una lista de IP conocidas y malas, que suelen utilizar personas malintencionadas. Esa lista incluye la parte conocida de la red TOR.
  • Los nodos TOR comparten direcciones IP entremuchosusuarios. Si Bob y Alice usan el mismo nodo, las respuestas de Bob y Alice al captcha se tratan de la misma manera en el lado del captcha, lo que hace que el servicio lo reconozca como actividad fallida o no humana. De hecho, esto puede retroceder al punto anterior: así es como las IP se incluyen en la lista negra.
  • Los nodos TOR toman tiempo para hacer cosas. Esto puede provocar tiempos de espera en el lado del servicio captcha y, por tanto, el rechazo de las respuestas.
  • Configuración de TORrequierehacer que el nodo TOR actúe como un "hombre en el medio" en su comunicación con cualquier servidor. Esto puede provocar fallos de cifrado en HTTPS, lo que provocará el rechazo de mensajes por parte del servidor.

Esta no es una lista exhaustiva de las razones por las que se rechaza la respuesta del captcha, sino solo un vistazo bajo el capó deltécnicolado. Para evitar el ciclo de respuestas o conexiones rechazadas, es posible que deba prescindir de TOR para poder cumplir con las limitaciones técnicas. Podría ser posible ejecutar un nodo TOR o VPN diferente y obtener una conexión de esa manera, pero es posible que aún tengas problemas con los tiempos de espera de conexión.

En el aspecto legal...

En el aspecto legal, esto se preguntó en Law.SE- y parafraseando: es una cosa de "sin camisa, sin zapatos, sin servicio". O reformulado para Internet: "No servimos a usuarios de TOR". Corresponde al sitio web configurar sus ToS de una manera que no discrimine en función decaracterísticas protegidas- y el uso de TOR no es una característica protegida, lo que nos lleva de nuevo al aspecto técnico: se les permite bloquear IP TOR conocidas y, por lo tanto, lo hacen.

Respuesta2

Puede que no sea posible.

A diferencia de los espacios fuera de línea,actualmente es legal que una empresa te discriminepuramente sobre la base deCómo lucesnegándole el acceso a sus instalaciones en línea.

Desafortunadamente, los métodos utilizados por CloudFlare (una empresa privada con fines de lucro) para negar a los clientes el acceso al sitio web de una empresa utilizan algoritmos de código cerrado que (todavía) no están legalmente obligados a ser divulgados al público por motivos de transparencia (para garantizar que no violan la ley debido a una discriminación ilegal).

Es muy probable que estos algoritmos de toma de huellas dactilares (que son famosos por los falsos positivos que conducen a una discriminación generalizada en Internet) estén utilizando algoritmos de aprendizaje automático. Afortunadamente, en 2023 la UE ha comenzado a redactar una legislación que requerirá divulgación, revisión pública y restricciones de los algoritmos basados ​​en IA. Los legisladores estadounidenses también se han reunido con destacados expertos en algoritmos de IA para discutir las regulaciones.

Presionar al gobierno

Con suerte, algún día tendremos leyes de privacidad de datos que protejan a los consumidores de empresas que discriminan por su apariencia (y, más bien, solo imponen protecciones sobre la base de su apariencia).como actúas), pero actualmente la mejor solución a este problema es:escriba a sus legisladores y haga una donación a grupos de presión de ONG de derechos digitales como EFF, Open Rights Group, Privacy International, etc..

Presionar el negocio

También puede comunicarse con la empresa e informarles que su configuración de Cloudflare está mal configurada y genera falsos positivos (envíe un mensaje de texto a su equipo de seguridad).

Al momento de escribir este artículo, la configuración predeterminada de Cloudflarenoresulta en un bucle infinito. De hecho, si visita el sitio web de Cloudflare e intenta iniciar sesión como cliente, probablemente no quedará atrapado en un bucle infinito. Cloudflare sabe cómo configurar y probar sus propios sistemas para que no se rompan así; muchos de sus clientes no lo hacen.

Los clientes de Cloudflare pueden habilitar fácilmente la "protección anti-bot" en Cloudflare y configurarla incorrectamente hasta el punto en que sus usuarios experimenten problemas de falsos positivos como los que se describen en esta pregunta. De hecho, esto es una mala configuración. Probablemente la empresa no lo detectó debido a pruebas deficientes.

Envíelos por correo electrónico. Hágales saber que no puede acceder a su sitio web. Dígale a su equipo de seguridad que su configuración de Cloudflare está mal configurada yPídales que prueben su sitio web en el navegador Tor..

información relacionada