Отключить __cfduid cookie от Cloudflare

13

Существует ли параметр Cloudflare, соответствующий созданию __cfduidфайла cookie сеанса?

Я сейчас пробую CF; в основном для аккуратного управления DNS и скрытого CDN. Но основной WAF, возможно, столь же приятен, как дополнение к Apache mod_security / CRS. Однако я не уверен, какова цель использования куки, и предпочел бы избавиться от этого.

Наиболее очевидная настройка

Профиль безопасности: по существу выключен

Кажется, что также практически не влияет на создание __cfduidкаждого HTTP-ответа. Предполагается, что целью использования файлов cookie является исключение отдельных пользователей из правил брандмауэра, повторных проверок облачного ключа и т. Д.

Их подтверждающая документация намекает на это. Где первая редакция от 09/2012 ( https://support.cloudflare.com/hc/en-us/articles/200169536-What-does-the-cfduid-cookie-do- ) говорит, что такое поведение никогда не может быть выключен. Запись два месяца спустя 11/2012 ( https://support.cloudflare.com/hc/en-us/articles/200170156-What-does-the-CloudFlare-cfduid-cookie-do- ) однако пропускает это примечание.

В то время как Cloudflares TOS сам по себе считается правдоподобным, этот cookie имеет все свойства сеанса отслеживания dc41f5a78bc3e27d44b70fca4606e4262283407700773. Чрезмерная продолжительность использования файлов cookie в 6 лет очень странна для примера использования посетителем интернет-кафе. А поскольку я лично избегаю ненужных сессий и не хочу, как все остальные, наклеивать на заметку о конфиденциальности (в свете пресловутого закона о печеньках в ЕС), я бы предпочел, чтобы это было по умолчанию.

Обходной путь как:

  Header add Set-Cookie "__cfduid= ; path=/; domain=.example.org; HttpOnly"

Отказывается от своего хранилища, но сохраняет два ненужных заголовка и не выглядит слишком надежным.

Итак, есть ли другие настройки CF для этого?

cookie cloudflare марио
источник
1
Помимо забавных вещей, подобных этому , единственный доступный обходной путь - это прокси соединение и удаление cookie, прежде чем он попадет на клиент.
Синхро

Ответы:

4

Нет, невозможно отключить cookie, если мы проксируем запись (если у вас был субдомен, не работающий через наш прокси в настройках DNS, мы не добавили бы cookie, потому что он идет прямо на ваш сервер) , Cookie - это то, что делает безопасность (например, страницу вызова) работоспособной.

damoncloudflare
источник
8
«Делает работу по обеспечению безопасности» все еще в значительной степени информативно. Как это помогает защитить, например, от ботов, которые обычно не отправляют сессионные куки? Если это только для CAPTCHAS, то для чего нужно чрезмерное время истечения срока действия файлов cookie?
Марио
2
Я подозреваю, что это для установления, кому доверяют, а не кому не доверяют. Если у вас нет файла cookie сеанса, вы находитесь в состоянии наименьшего доверия. Если у вас есть файл cookie сеанса, вы можете быть ненадежным или доверенным или где-то между ними. Таким образом, отсутствие отправки cookie сеанса означает, что WAF будет относиться к вам более враждебно, а не меньше. Из этого следует, что у него есть «чрезмерное» время истечения срока действия файлов cookie, чтобы в будущем вам не пришлось бесполезно приставать или душить.
Rushyo
Оказывается, на cloudflare есть много вещей, которые я часто просматриваю (API-документация, проекты с открытым исходным кодом), которые сейчас для меня бесполезны. Нет. Я не собираюсь включать случайную вставку файлов cookie сеанса в домены, которые не имеют ничего общего с cloudflare (например, jqueryui.com, expressjs.com). __cfduidнарушает интернет-стандарты. Это не правильно.
Мартин Альгестен,
4

В чем проблема с этим файлом cookie? Вы пользуетесь их услугами и хотите воспользоваться их услугами и безопасностью. Согласно Cloudflare, этот файл cookie особенно полезен в целях безопасности. Независимо от этого, этот тип файлов cookie освобождается от сообщения закона о файлах cookie:

Однако некоторые файлы cookie освобождаются от этого требования. Согласие не требуется, если файл cookie:

· Используется с единственной целью осуществления передачи сообщения, и

· Строго необходимо для того, чтобы поставщик услуг информационного общества явно требовал от пользователя предоставления этой услуги.

Узнайте больше: http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

Этот cookie-файл Cloudflare определенно освобожден от закона о cookie-файлах.

Лука Стиб
источник
1
«Из соображений безопасности» - это именно слабое объяснение, которое вызвало этот вопрос. Что это используется сейчас? Почему он все еще там, когда функции безопасности отключены ? Почему у него 6 лет жизни? Юридическое заключение по этому вопросу в основном ортогонально.
Марио
Я боюсь, что любой может ответить на этот вопрос относительно безопасности, когда даже сотрудники Cloudflare (я предполагаю, что damoncloudfare - один) не могут сказать вам, независимо от того, по каким причинам.
Лука Стиб
2
Вот одна проблема с этим файлом cookie: он вызывает различные ложные срабатывания в сканерах vuln / PCI. Например, Saintbot / Controlscan видит ответ в сеансе cookie базы данных var и помечает его как phprpc vuln, даже если phprpc отсутствует (404). Раздражает то, что из-за этого простого файла cookie мы постоянно не выполняем запланированное сканирование PCI. Конечно, это ошибка поставщиков, но после примерно 20 аттестаций + билетов и их вызова они все еще не исправили фильтр сканирования. Из-за того, что не удается исправить, этот файл cookie CF вызывает сбой PCI при условии ложного срабатывания (все еще сбой).
дхаупин
Я бы сказал, что вы должны винить сканеры, а не Cloudflare ..
Luca Steeb
Другая проблема, помимо того, что сканеры уязвимостей дают ложные срабатывания, - это влияние на производительность, хотя оно ничтожно мало, оно существует и не должно.
Рэй Фосс
2

Шаги по отключению куки - php. Я не могу взять на себя ответственность за это, это не мое решение, но я рад распространять богатство.

function deleteSpecificCookies() {

    var cookies = document.cookie.split(";");
    var all_cookies = '';

    for (var i = 0; i < cookies.length; i++) {

        var cookie_name  = cookies[i].split("=")[0];
        var cookie_value = cookies[i].split("=")[1];

        if( cookie_name.trim() != '__utmb' ) {

            all_cookies = all_cookies + cookies[i] + ";";

        }

    }

    if(!document.__defineGetter__) {

        Object.defineProperty(document, 'cookie', {
            get: function(){return all_cookies; },
            set: function(){return true},
        });

    } else {

        document.__defineGetter__("cookie", function() { return all_cookies; } );
        document.__defineSetter__("cookie", function() { return true; } );

    }
}
Alfie
источник