Бесконечный цикл Cloudflare (проверка безопасности соединения с сайтом)

tag-icon tag-icon security tor cloudflare tails
Бесконечный цикл Cloudflare (проверка безопасности соединения с сайтом)

Что можно сделать, чтобы исправить бесконечный цикл «Проверка защищенности соединения с сайтом» в CloudFlare?

Я пытаюсь загрузить веб-сайт. Самый первый GET отправляется на промежуточную страницу, запущенную Cloudflare, которая говорит:

Проверка безопасности соединения с сайтом

[сайту] необходимо проверить безопасность вашего соединения перед продолжением работы.

При первой загрузке страницы:

  1. сначала появляется вращающийся круг
  2. затем круг исчезает
  3. затем появляется серая таблица, похожая на reCAPTCHA, с "крутилкой вызова", но все, что она говорит, это Verifying...с зеленой крутилкой. Она остается такой в ​​течение некоторого временидлинныйвремя, оставляя меня безучастным в разочаровании.
  4. затем, наконец, «крутилка вызова» исчезает и появляется еще один серый вращающийся круг
  5. затем страница полностью перезагружается, на этот раз с «крутилкой задач» с флажком, на котором написано Verify you are human.
  6. Я нажимаю на флажок, и он снова становится зеленым.
  7. Затем шкала задач исчезает.
  8. Затем появляется серый вертушка.
  9. Затем страница перезагружается, и мне снова предлагается еще один «спиннер», на котором написано Verify you are human.
  10. ПЕРЕЙТИ К 6

Я пытаюсь получить доступ к веб-сайту в TAILS (используя Tor Browser, в целях безопасности). Эта проблема возникает при новой загрузке. Само собой разумеется, что я не делаю ничего вредоносного, но я скажу:все, что я сделал, это ввел чистый домен в адресную строку и нажал<enter>.

Это баг? Я ​​делаю этот бесконечный цикл уже полчаса. Как мне доказать CloudFlare, что я человек, и выйти из этого бесконечного цикла?

решение1

В интернете никто не знает, как ты выглядишь.

Интернет полагается нацелый набор протоколов, которые работают вместе. Назовем только два: TCP/IP диктует, что вам нужен IP, чтобы вообще получить ответ, а HTTPS указывает порт, а также то, как шифровать данные между вами и сервером.

Теперь сервис капчи знает о вас только одну твердую вещь: ваш IP. А теперь давайте рассмотрим браузеры TOR в сравнении:

На самом базовом уровне браузеры TOR направляют свой трафик с вашего компьютера на специальный сервер, где запрос сохраняется на мгновение, пока этот сервер делает тот же запрос на реальный сервер, с которым вы хотите связаться, но используя IP этого специального сервера в качестве «отправителя». И вот тут все начинает разворачиваться:

  • Многие сервисы капчи проверяют IP отправителя по списку известных плохих IP, которые часто используются злоумышленниками. Этот список включает известную часть сети TOR.
  • Узлы TOR делят IP-адреса между собоймногопользователи. Если Боб и Алиса используют один и тот же узел, ответы Боба и Алисы на капчу обрабатываются одинаково на стороне капчи, в результате чего служба распознает это как неудачную или нечеловеческую активность. Фактически, это может откатиться к пункту выше: именно так IP-адреса попадают в черный список.
  • Узлы TOR требуют времени для выполнения действий. Это может привести к тайм-аутам на стороне сервиса капчи и, следовательно, к отклонению ответов.
  • Настройка TORтребуетчтобы узел TOR действовал как "Человек посередине" в вашей коммуникации с любым сервером. Это может привести к сбоям шифрования на HTTPS, что приведет к отклонению сообщений на стороне сервера.

Это не исчерпывающий список причин, по которым ответ капчи может быть отклонен, а лишь беглый взгляд на суть проблемы.техническийside. Чтобы избежать цикла ответов или отклоненных подключений, вам может потребоваться обходиться без TOR, чтобы вы могли соответствовать техническим ограничениям. Возможно, можно будет запустить другой узел TOR или VPN и получить подключение таким образом, но у вас все равно могут возникнуть проблемы с тайм-аутами подключения.

С юридической стороны...

С юридической точки зрения этот вопрос был задан на Law.SE- и перефразируя: это вопрос "без рубашки, без обуви, без обслуживания". Или перефразируя для Интернета: "Мы не обслуживаем пользователей TOR". Веб-сайт должен настроить свои ToS таким образом, чтобы не допускать дискриминации по признакузащищенные характеристики- а использование TOR не является защищенной характеристикой, что возвращает нас к технической стороне вопроса: им разрешено блокировать известные IP-адреса TOR, и они это делают.

решение2

Это может оказаться невозможным.

В отличие от офлайн-пространств,В настоящее время дискриминация по отношению к вам со стороны бизнеса является законнойисключительно на основекак ты выглядишьотказывая вам в доступе к своим онлайн-ресурсам.

К сожалению, методы, используемые CloudFlare (частной коммерческой компанией) для отказа клиентам в доступе к веб-сайту компании, используют алгоритмы с закрытым исходным кодом, которые (пока) не подлежат раскрытию общественности в целях прозрачности (чтобы гарантировать, что они не нарушают закон из-за незаконной дискриминации).

Весьма вероятно, что эти алгоритмы снятия отпечатков пальцев (которые печально известны ложными срабатываниями, что приводит к широко распространенной дискриминации в Интернете) используют алгоритмы машинного обучения. К счастью, в 2023 году ЕС начал разрабатывать законодательство, которое потребует раскрытия, публичного обзора и ограничений алгоритмов на основе ИИ. Американские законодатели также встретились с ведущими экспертами по алгоритмам ИИ, чтобы обсудить правила.

Лоббировать правительство

Надеюсь, однажды у нас появятся законы о конфиденциальности данных, которые защитят потребителей от компаний, дискриминирующих их по признаку внешности (и, скорее, будут обеспечивать защиту только на основекак ты действуешь), но на данный момент лучшим решением этой проблемы является:напишите своим законодателям и сделайте пожертвование НПО, лоббирующим цифровые права, таким как EFF, Open Rights Group, Privacy International и т. д..

Лоббировать бизнес

Вы также можете связаться с компанией и сообщить им, что их настройки Cloudflare настроены неправильно и вызывают ложные срабатывания (отправить копию их службе безопасности).

На момент написания статьи настройки Cloudflare по умолчаниюнев результате бесконечный цикл. На самом деле, если вы зайдете на сайт Cloudflare и попытаетесь войти как клиент, вы, скорее всего, не застрянете в бесконечном цикле. Cloudflare знает, как настраивать и тестировать свои собственные системы, чтобы они не ломались таким образом; многие из их клиентов этого не делают.

Клиенты Cloudflare могут легко включить "антиботовую защиту" в Cloudflare и неправильно настроить ее до такой степени, что у их пользователей будут возникать ложноположительные проблемы, как описано в этом вопросе. Это, по сути, неправильная конфигурация. Вероятно, она не была обнаружена бизнесом из-за плохого тестирования.

Напишите им по электронной почте. Дайте им знать, что вы не можете получить доступ к их веб-сайту. Сообщите их службе безопасности, что их настройки CloudFlare неправильно настроены, ипопросите их протестировать свой сайт в браузере Tor.

Связанный контент