Cloudflare無限循環（檢查網站連線是否安全）

在網路上，沒有人知道你的樣子

網路依賴一整套協同工作的協議。僅舉兩個例子，TCP/IP 規定您需要 IP 才能獲得答案，而 HTTPS 則告訴連接埠以及如何加密您和伺服器之間的資料。

現在，驗證碼服務確切地知道關於您的一件可靠的事情：您的 IP。現在，讓我們看看等式中的 TOR 瀏覽器：

在最基本的層面上，TOR 瀏覽器將其流量從您的電腦路由到特殊伺服器，該請求將在該伺服器上儲存一段時間，因為該伺服器向您想要與之通訊的實際伺服器發出相同的請求，但使用該特殊伺服器的IP作為「寄件者」。事情開始變得撲朔迷離：

• 許多驗證碼服務會根據惡意人員經常使用的已知不良 IP 清單來檢查寄件者的 IP。此清單包括 TOR 網路的已知部分。
• TOR 節點之間共用 IP 位址許多用戶。如果 Bob 和 Alice 都使用相同節點，則 Bob 和 Alice 對驗證碼的回答在驗證碼端會被同等對待，從而導致服務將其識別為失敗或非人類活動。事實上，這可以回滾到上面的點：這就是 IP 被列入黑名單的方式。
• TOR 節點需要時間來完成任務。這可能會導致驗證碼服務端逾時，從而拒絕答案。
• TOR 的設置需要讓 TOR 節點在您與任何伺服器的通訊中充當「中間人」。這可能會導致 HTTPS 加密失敗，從而導致伺服器端拒絕訊息。

這並不是驗證碼答案被拒絕的詳盡原因列表，而只是一瞥技術的邊。為了避免答案循環或連接被拒絕，您可能需要不使用 TOR，以便遵守技術限制。可能可以透過不同的 TOR 節點或 VPN 運行並以這種方式獲得連接，但您仍然可能會遇到連接逾時問題。

從法律角度來說...

在法律方面，這是在 Law.SE 上提出的問題- 換句話說：這是「沒有襯衫，沒有鞋子，沒有服務」的事。或在網路上換句話說：「我們不為 TOR 使用者提供服務」。網站應以不歧視的方式設定其服務條款受保護的特徵- 使用 TOR 不是受保護的特徵，因此讓我們回到技術方面：他們被允許阻止已知的 TOR IP，因此可以這樣做。

這可能是不可能的。

與線下空間不同，目前企業歧視您是合法的純粹基於你看起來怎麼樣拒絕您訪問他們的線上場所。

不幸的是，CloudFlare（一家私人營利性公司）用來拒絕客戶訪問企業網站的方法使用了閉源演算法，這些演算法（尚未）法律上未要求出於透明度目的而向公眾披露（以確保他們不會因非法歧視而觸犯法律）。

這些指紋辨識演算法（因誤報而臭名昭著，導致網路上廣泛存在歧視）很可能正在使用機器學習演算法。幸運的是，歐盟已於 2023 年開始起草立法，要求對人工智慧驅動的演算法進行揭露、公眾審查和限制。美國立法者也會見了人工智慧演算法領域的頂尖專家，討論監管問題。

遊說政府

希望有一天我們能製定資料隱私法，保護消費者免受企業因外表而歧視的行為（更確切地說，僅根據外表來實施保護）你的行為方式），但目前解決這個問題最好的方法是：寫信給您的立法者並向 EFF、Open Rights Group、Privacy International 等數位版權非政府組織遊說者捐款。

遊說企業

您也可以聯絡企業，讓他們知道他們的 Cloudflare 設定配置錯誤並導致誤報（抄送給他們的安全團隊）。

在撰寫本文時，Cloudflare 的預設設置不要導致無限循環。事實上，如果您訪問 Cloudflare 的網站並嘗試以客戶身份登錄，您可能不會陷入無限循環。 Cloudflare 知道如何配置和測試自己的系統，以免有這樣的故障；他們的許多客戶不這樣做。

Cloudflare 的客戶可以輕鬆地在 cloudflare 中啟用“反機器人保護”，並將其配置錯誤，導致用戶遇到像本問題所述的誤報問題。事實上，這是一個錯誤配置。由於測試不力，企業可能沒有檢測到它。

給他們發電子郵件。讓他們知道您無法訪問他們的網站。告訴他們的安全團隊他們的 cloudflare 設定配置錯誤，並且請他們在 Tor 瀏覽器上測試他們的網站。