Als ik naar de whois van het netblock van de ipadressen die ik terugkrijg voor "www.security.nl" dan zie ik:

Ja dus. Dat wordt inderdaad nog leuk, ook omdat sommige "features" van cloudflare in lang niet alle browsers werken. Vraag me toch af waarom dit nodig gedacht werd. Stabieler zal het er voor de eindgebruiker niet van worden.

Costa Rica :/
Redelijk k*t idd :/

Het is niet zozeer dat Torbrowser iets mankeert, zij is een bijgestelde versie van de Firefox ESR versie.

Het is meer dat Cloudflare een beleid ingesteld heeft op basis van TOR IP adressen de extra captcha 'controle' (alias pesterij) in te voeren.

Dat betekent voor elke pagina die je bezoekt, elke verversing van die pagina en elke tussentijdse automatische verversing van de exitnode hop dat je javascript moet inschakelen, javascripts naar google moet activeren, eventueel de javascripts naar cloudflare mag activeren en dan een of meerdere pogingen mag gaan doen een captcha in te voeren.
Een captcha die in veel gevallen niet leesbaar is.

Om dit gedoe te omzeilen kan je dan kiezen voor de (gratis) methode TOR-via-een-willekeurige-Free-proxy.
Dat gaat in beide gevallen niet werken want omslachtig en erg gebruikers onvriendelijk (dat moet je echt heel graag betreffende content willen lezen).

Tijd voor een nieuwe Poll?
Al weet security.nl dat statistische antwoord zelf al.

Browse jij met Torbrowser? *


* Die vraag hebben ze toevallig ook bij Tweakers lopen op dit moment.
Een werkelijk rare en nogal hypocriete vraag.
Tweakers is namelijk helemaal niet meer te bezoeken met Torbrowser omdat Tweakers effectief vrijwel, zoniet alle actieve en meest gebruikte Tor-ip adressen heeft geblokkeerd sinds november/december 2014.
Nog opmerkelijker is dat dit door Tweakers zelf niet is opgemerkt.

Ik heb even gekeken met mijn tor browser en met een Tails laptop en ik moet zeggen had nergens last van maar het kan wel zo zijn dat de exit node nog niet op de lijst staat .
Vraag mij wel af wat de rede voor deze actie zou zijn erg veel spammers kom ik hier niet tegen als de onderwerpen gemiddeld 10 reacties hebben is het veel .

Uhm je hoeft dat alleen te doen met een nieuwe hop.
Niet elke pagina enzo.

Dit beleid ligt weldegelijk aan dat torbrowser iets mankeert.
Doordat zij hun exitnodes publiceren is dit mogelijk.

Dat is toch jammer. Blijkbaar is security.nl ook bij anti-TOR-club gekomen.

Ho ho,
Het was een voorzichtige constatering in de vorm van een vraag na een korte onderbreking van technisch onderhoud aan het einde van de middag.
Ik heb het minder dan 10 keer aan de hand gehad en vroeg me in de gauwigheid (op een niet werkdag) af of anderen dat ook was opgevallen.

Maar nu de redactie weer voltallig op sterkte aanwezig is ;)


@ Redactie,

Gaat security.nl meer gebruik maken van de Cloudflare diensten op een wijze die ervoor zou zorgen dat Torbrowser gebruikers bij bezoek steeds een Captcha zouden moeten gaan invullen?

Of is de pagina die ik (topic starter) een paar keer heb gezien een technische hik (toevalligheid)?

Met vriendelijke groet,

Topic starter / Lezer / Bijdrager / Torbrowser gebruiker

Of wordt TOR juist steeds meer misbruikt en nemen de CDN leveranciers steeds meer actie tegen die misbruikers.

Je maakt de klassieke fout door het middel wat wordt misbruikt te bestempelen als kwaadaardig. Het zijn niet de snelle auto's die te hard rijden, het zijn niet de wapens die doden en het zijn niet de browsers die smeerlappen zijn. Hoewel je dat in de huidige tijd van automatisering natuurlijk nooit zeker weet ;)

Het probleem van een middel te criminaliseren is dat je iedere gebruiker van dat middel criminaliseert en dus in dit geval buiten de deur houdt. Want mocht TOR gebruikt worden om kinderporno te bekijken (wat veelvuldig gebeurd) dan is het nog steeds zinloos om TOR voor een site als deze te blokkeren. Daar help je echt geen kind mee.

Wat is het probleem van een captcha invullen als je daarmee je doel bereikt? (anoniem deze site bezoeken..? why?)
Zoals Schneier al zei: security is a trade-off.

Schrijf jij als "Anoniem".

En rationalisatie is makkelijker dan denken. Wil niet zeggen dat je daarmee ook wat nuttigs bijgedragen hebt.

Al geprobeerd met TOR? Hier word ik dus niet blij van hè. Maar goed, dat is een lokalisatie probleem. Verder moet je cookies en JavaScript toestaan. Nee, laat maar.

En een whois van het net-block levert ook lame cloudfare dns servers op...

How lame :P

(T.s weer)

Hier heb ik er een te pakken tijdens een poging de nieuws-zoek functie van Security.nl te gebruiken.

De Cloudflare melding als resultaat na de 'enter' op de zoekfunctie :



De bijbehorende Exitnode informatie :



Kan je hier nog iets uit afleiden ten aanzien van de Cloudflare melding?

• Nou houd ik exitnode's steekproefsgewijs een beetje in de gaten (wat komt er zoal voorbij) en "ethanzuckerman" was mij een tijdje geleden als 'nieuwkomer' opgevallen (in NL, heb ik het idee) .
Er zijn de laatste maand sowieso opvallend veel nieuwe exitnode namen aan de horizon verschenen. Zou dat met de gebeurtenissen in Frankrijk te maken hebben? Geen idee.

Who is 'ethanzuckerman' ?
https://en.wikipedia.org/wiki/Ethan_Zuckerman

Zuckermann heeft er kennelijk voor gekozen een hele partij exitnodes onder te brengen bij een Nederlandse hoster wat qua bundeling mogelijk statistisch een verveelvoudiging van de kans kan betekenen dat daar inderdaad vervelend/ongewenst verkeer tussen zit.
Maar omdat hij volgens mij relatief nieuw in gekoppelde vorm met een Nederlandse hoster is dat dan toch weer opmerkelijk, dan moet dat vervelende verkeer net extra intensief zijn geweest (ervan uitgaande dat er over zijn exitnodes precies dat vervelende verkeer is gegaan).

Wat me waarschijnlijker lijkt, in geval van dat mogelijke vervelende verkeer, is dat er een partij specifiek besluit een bepaalde website te targeten op bepaalde punten (Iets zoals 'Tweakers hier anoniem zei' te hebben ervaren) en dat het er helemaal niet toe doet om welke exitnodes het gaat omdat deze random worden toegewezen elke 10 minuten.

Dan is het pure pech dat nou net die exitnode in beeld komt.
Maar of dat voor Security.nl zou gelden?


• Waar ik ook nog rekening mee houd is dat het alleen precies optreedt op het moment dat de Torbrowser switcht van de ene exitnode naar de andere, en bij verversing van de pagina waarop je zit de digitale Cloudflare hik optreedt.
Dat vind ik lastig te beoordelen maar misschien kunnen anderen die mogelijkheid eenvoudiger verifiëren.


• In ieder geval treedt de melding dus ook vandaag nog op en is het een nieuwe melding die ik voor afgelopen zondag niet tegenkwam.

Wie komt dit soort meldingen ook tegen en in welke gevallen dan?


Groet,
Topic starter

(Topic Starter)

Nog een keer raak (de eerdere bijdrage is nog niet geplaatst).
Dit keer direct al bij een poging security.nl te bezoeken.

security.nl verwijst direct automatisch door naar https://secure.security.nl/ maar komt niet aan bij https://www.security.nl.
Daar steekt nog dit stokje tussen.


Melding Cloudflare :
(Met iets meer flair, niet in plain text weergegeven maar soort van opgemaakt inclusief Noscript iFrame blokkade venster)



Bijbehorende informatie van de exitnode :
(weer een met meerdere familie exitnodes in beheer)



Zoek de overeenkomsten maar ....
(met de andere eerder geposte Cloudflare blokkade info)


Groet,
T.s.

(Topic starter)

Op dit moment zijn twee eerdere bijdragen nog niet geplaatst, aard van de bijdragen betyreft melding van de momenten en exitnodes waarop de Cloudflare melding plaatsvindt.


De pagina verversende van dit topic waar ik zojuist een reactie plaatste
https://www.security.nl/posting/417076/

Raak!

Cloudflare melding :
(zonder NoScript iframe venster)




Bijbehorende exitnoide details :



Kijk en vergelijk met de eerdere meldingen.

Gaat dit topic een geduchte concurrent worden van 'Weer gebeld door Windows service center'?
Hopelijk niet.


Groet.
Topic Starter

Het posten van TOR exit nodes heeft niet zoveel zin. Op de site van cloudflare staat vrij duidelijk hoe het werkt:

CloudFlare does not actively block visitors who use the Tor network.

Due to the behaviour of some individuals using the Tor network (spammers, distributors of malware, attackers, etc.), the IP addresses of Tor exit nodes generally earn a bad reputation. Our basic protection level issues CAPTCHA-based challenges to visitors whose IP address has a high threat score. The level for the basic protection is set for each site on CloudFlare by the site owner.

Dus het is dynamisch afhankelijk van de "Threat score"

https://support.cloudflare.com/hc/en-us/articles/203306930-Does-CloudFlare-block-Tor-

Cloudflare Does actively block a very lot of users by blocking exitnodes !


Dank voor het antwoord,
Ik heb net alweer de 4e blokkade te pakken ( #)

Het principe van Cloudflare is rampzalig en zij blokkeert wel degelijk visitors.
Een heleboel zelfs, daar wordt op Torproject.org ook steen en been over geklaagd.

Daarnaast snappen of willen ze niet snappen hoe Torbrowser werkt!
Kennelijk was het zelfs teveel moeite voor Cloudflare om de Torbrowser zelf eens te bekijken en te proberen.

De standaardsetting in Torbrowser is om geen historie te onthouden, het is immers een privacy browser.
Nu is er wat raars aan de hand want je kan op sites kiezen cookies te accepteren en dan functioneel verder browsen met Torbrowser. Bijvoorbeeld op security.nl

In geval van een blokkade blijft Cloudflare echter een melding geven dat er cookies geblokkeerd zijn.
Ik heb het lichte vermoeden dat het gaat om 3rd party cookies!
Om die toe te staan zal je je browser settings van Torbrowser moeten omgooien, zoveel zelfs dat het een nieuwe opstart vereist en je dus omwille van een blokkade van Cloudflare het privacy=security model van de Torbrowser moet omgooien.
Was ik niet van plan voor een Captcha voor een site.

Wat deze aanpak gaat opleveren is het buitensluiten van een heleboel Torbrowser gebruikers omdat er 'misbruikers' (wie definieert dat op basis waarvan?) zijn die ook om de haverklap automatisch van exitnode wisselen.
Ik vermoed dat dat betekent dat 1 volhardende misbruiker (wat dat dan ook mag zijn in de ogen van Cloudflare) binnen afzienbare tijd alle exitnodes op de lijst krijgt.

Daarnaast kan je je afvragen of er niet ook andere belangen meespelen voor veel sites. Die willen namelijk geen anonieme bezoekers.
Ook al zien die anonieme bezoekers reclame, kennelijk is dat nog niet genoeg en moet er koste wat het kost getracked worden. Mijn medewerking krijgen ze niet.


Wat betreft security.nl :

Wat kan nou de 'dreiging' zijn voor security.nl ?
Wat levert het security.nl nou op ?
Wat (wie) gaat security.nl er mee verliezen (privacy tab in forum er maar af of tussen aanhalingstekens) ?

Ik ben benieuwd of je met een week of twee deze site nog kan bezoeken zonder continue te lopen kloten met Cloudflare meldingen en onleesbare Google Captcha's.
Maar wellicht is er geen probleem omdat slecht een zeer kleine minderheid security.nl bezoekt met de Torbrowser?
Dat zou kunnen natuurlijk.


Groet,
Topic Starter


#
Cloudflare id (voor het idee)

CloudFlare Ray ID: 1b29111324e70c89 • Your IP: 77.247.181.162 • Performance & security by CloudFlare

De exitnode (voor het idee)

Nickname
k0dlaty
OR Addresses
82.165.137.178:950


Fingerprint
E10ACBEDF815271CC82D6EFAEB680E770ED82655
Flags
Exit Fast Guard HSDir Running Stable V2Dir Valid
Country
[Germany] Germany
AS Number
AS8560
AS Name
1&1 Internet AG

Jullie weten wel dat je noscript gewoon uit kan laten je kan beter javascriot geblokkeerd hebben als je via vloudflare gaat werken, kom je teminste wel door de captcha shit.

+1

Geldt voor véél meer sites, hosters & CDN, niet alleen voor Cloudfare.
Een nadeel is wel dat er ook veel sites zijn die echt JS eisen voor ze content tonen.
Bijkomend nadeel is ook dat NoScript veel meer blokkeert dan JS alleen.

Ja dat is de suggestie maar is een halve waarheid.


± ..!
Laat dat nou net het punt zijn, je hebt extra security functionaliteit om het te gebruiken.


Een extra aantal handelingen moeten verrichten.
Het (tussenpagina)signaal dat ervan uitgaat. Een hele flinke ingreep in je browserervaring!
Echt wat anders dan af en toe een lay out die niet helemaal lekker gaat omdat javascript iets tegen houdt.


Dat kost allerlei extra handelingen, dus tijd en dat geeft ergenis, dat is het punt.
Nog even los van de onleesbare captcha's en de meerdere pogingen die je zal moeten doen om er daadwerkelijk door te komen.

Hoe 'human' zijn ze bij Cloudflare om dit soort technische en visuele pesterij te implementeren? Gaat het werkelijk over security of toch ook wel primair over geld?



Ben jij/ zijn jullie ook bekend met alle soorten instellingen onder NoScript of heb je de standaard settings van Torbrowser intact gelaten en alleen "Scripts Globally Allowed (Dangerous)" gedeactiveerd.

Das geen serieus NoScript gebruiken hè?
Maar het is niet verboden inderdaad en zo te zien heeft Cloudflare (bij nadere detail bestudering) dat ook maar zo gelaten.


De voorbeeld afbeeldingen van Cloudflare nader (vergroot) bekeken :

Ze hebben wel de moeite genomen om het 'te testen' in Torbrowser.
En hoe! (?)

NoScript : Javascripts globally allowed modus (hey! knap, security applausje!)
https://support.cloudflare.com/hc/en-us/article_attachments/201871200/Screenshot_2015-01-02_11.23.00.png

Javascript disabled modus (ja, over de NoScript settings zelf hebben we het niet, iFrames? Hoe staan de voorkeuren onder bijvoorbeeld "embedded")
https://support.cloudflare.com/hc/en-us/article_attachments/201871210/Screenshot_2015-01-02_11.42.52.png


Saillant security detail .... (had je hem gezien?)

Ja, laten we een uitleg maken en deze illustreren aan de hand van een out of date browser versie.
Goed bezig op security en vooral op pr vlak.
Maar goed dat komt vaker voor onder security onderzoekers, let er maar eens op.


De vlag hangt er nog relatief goed bij

Vandaag heb ik eenmaal een Cloudflare melding voor mijn neus gekregen.
Dat valt gelukkig nog mee bij meerdere malen deze site bezoeken.
Het feit dat ik de meldingen in een net niet plain text voor mijn neus krijg, heeft te maken met serieus ingestelde NoScript waarden.

Aan het invoeren van pesterige Captcha's begin ik niet, daar ben ik helemaal klaar mee.
Voor het inzicht; stel de Google zoekmachine in in je Torbrowser en voer een zoekopdracht uit.
Dan krijg je vergelijkbare vaak onleesbare Captcha meldingen.
Met het proberen daar doorheen te komen ben je op een gegeven moment voorgoed klaar.
Dan een andere zoekmachine, dat geldt ook voor websites maar hopelijk niet voor security.nl

Omdat het op dit moment nog heel erg mee lijkt te vallen (de vertraagd ladende flikkerende afbeeldingen zijn overkomelijk) is simpelweg onder je Torbutton de connectie vernieuwen (andere route met andere exitnode) de eenvoudigste en snelste optie.

Bijna zonder handen, in ieder geval zonder captcha ;p

Deze methode is werkbaar (als gebruik van Cloudflare inderdaad het probleem is) maar alleen als de toename van de blokkades beperkt blijft.


We zullen zien de aankomende weken.

Groet,
Topic Starter


P.s.

Door Anoniem 15:10:
anoniem deze site bezoeken..? why?

Why o why?
Dat vragen zich meer mensen af.

https://www.bof.nl/category/bewaarplicht/

Daarom!

(T.s)

Zojuist tegen een tweede, inmiddels derde, Cloudflare melding aangelopen vandaag.
Braaf het spelletje meegespeeld want dan"kom je teminste wel door de captcha shit."
Werkt invullen van de Google captcha op de http://secure.security.nl/ pagina?

NEE !
! :-| \-: :-( >-: |-( !

Los van het aantal onleesbare captcha's dat werd voorgeschoteld,
refresh, refresh, refresh, refresh, refresh, refresh, refresh, refresh, refresh, refresh, refresh, refresh, refresh, refresh, refresh, uiteindelijk kom je wel een keer een leesbare captcha tegen.
Niet dat het helpt.

Dus zoals voorspeld en verwacht, anders zou Google Search namelijk ook werken in Torbrowser (dat doet het al een hele tijd niet meer), het werrukt nie-hiettt, dit soort Cloudflare-Google blokkades zijn errug irritant!
(als dit vaak gaat voorkomen).

Torbutton gerbuiken en connectie refreshen zolang het nog kan als oplossing!

Veel Captcha, Noscript en Security (lees?) plezier

Topic Starter
;-)

Het is inderdaad foute boel dat waarschijnlijk niet zonder consequentie blijft.
Zo'n pagina als 4chan waar ik eerder leuk vertoefde, heb ik om precies die reden achter mij gelaten en ik zal daarin wel niet de enige zijn. Ik blijf niet bezig met onzin capchas.

Het is jammer dat het security team zich zelden geroepen voelt om wat uitleg te geven of op te klaren, want waarom hebben jullie voor Cloudflare gekozen? Is er een beter alternatief mogelijk dat niet dezelfde problemen geeft(en niet aan de andere kant van de oceaan zit)? Meerdere mensen weten meer dan enkele, dus gooi het in de groep zou ik zeggen.

Hetzelfde geld voor Adsense en Doubleclick.. Why.. we blokkeren het allemaal. Het zit me niet persoonlijk dwars, maar ik vind het wel jammer dat jullie voor een niet functionerende oplossing kiezen. Ook hierbij geldt weer dat we samen vast iets beters kunnen vinden. Een 0-100+% hostingdoel doneer-potje zoals gebruikelijk is op private torrentsites is b.v. een optie, en dat werkt vast al veel beter dan klantonvriendelijke tracker 1 en 2.

Wat een zeurpiet ben jij zeg, ik heb noscript op block all scripts staan.
Nooit problemen met die captcha shit, misschien omdat ik zelf ook een exit en paar relays beheer.
Maarja je kan wel zeggen cloudflare is a bitch! Infact kan iedereen daar aanmelden zelfs cybercriminelen en andere soorten websites. Als je helemaal safe wilt zijn instaleer geen OS en run linux via usb / live usb en gebruik de hotspots in nederland ect.

Gast, security.nl valt niet onder de bewaarplicht.

Ergste nog, onze favoriete website Security.nl maakt gebruikt van een IP Logger (CloudFlare)

Goed bezig!

Afgelopen dagen ook erg veel last van CloudFlare DDOS protection op veel sites. Geen CAPTCHA, maar een 5 seconden countdown timer, die overigen niet zonder javascript werkt. (En dit is zonder TOR)

Maar zijn (of, kleine kans, haar) kastje aan de muur toch wel?


@TS: Ja.., als je voor een dubbeltje op de eerste rang wil zitten...


Tor is een gratis dienst, althans zo zie ik het, waarbij je blij moet zijn met datgene dat geboden wordt, maar niet te veel moet zeuren over de nadelen die kleven aan die gratis voorziening.
Ik weet dat we op dat gebied nogal verwend zijn in Nederland, maar Tor lijkt me geen rechtspersoon waar je rechten aan kunt ontlenen. Dat geldt ook voor de site die je wil bezoeken.

Trek zeker ook even een analogie met de échte wereld; met Tor draag je een bivakmuts, en dan is een winkelier best gerechtigd om jou de toegang te ontzeggen.


Ik snap je frustratie best, maar neem dan een VPN, of knal een eigen webserver icm Socks de lucht in. Genoeg landen waar je een server kunt huren zonder dat dat ten koste gaat van je privacy.
Je kunt natuurlijk ook gewoon het netwerk v/d buren gebruiken, maar dat is niet iets dat ik je zou willen adviseren ;)

Een winkelier mag je alleen de toegang ontzeggen of uit de winkel zetten wanneer je een strafbaar feit hebt gepleegd http://www.mkbservicedesk.nl/1132/kan-iemand-toegang-tot-mijn-winkel.htm Gezichtsbedekking is in veel gemeenten strafbaar dus op die grond mag je inderdaad de toegang tot een winkel worden ontzegt. Niet wanneer dit niet strafbaar is en de persoon in kwestie niets strafbaars heeft gedaan.

Security.nl is een informatieve site met daarnaast een forum waar lekker gediscussieerd kan worden over gevoelige en minder gevoelige zaken. Sommige zaken bespreek je liever anoniem en zo anoniem dat achteraf je niet eenvoudig achterhaald kan worden. Goede rede of niet: sommige mensen hebben graag die keuze.

Zo'n site lastig toegankelijk maken met TOR is gewoon een vreemde keuze, lijkt mij.

- Gezichtsbedekkende kleding in openbare ruimte's / op openbaar grondgebied is per definitie strafbaar, tenzij een Gemeente een uitzondering hierop, opneemt in de APV.
Niet alleen bij winkels dus, je mag niet eens de straat op met je bivakmuts.
Behalve op feestdagen natuurlijk.

- Je noemt het een vreemde keuze.
Wie is er verantwoordelijk voor die keuze, de site of de hoster? Ben je bekend met de gemaakte afwegingen? Is een vreemde keuze verwijtbaar, laat staan strafbaar? Zijn er geen andere mogelijkheden om security.nl anoniem te bezoeken?

offtopic:
Ik vraag het mij af.
Op één van deze filmpjes,..: https://www.youtube.com/watch?v=KGA9ZUEa3ZY&list=PL54E742FCDBA04FCE (ik weet helaas niet meer welke en kan het hier zo niet afspelen/opzoeken)
..staat een voorbeeld van in Londen.
In Engeland is het net zoals hier verboden om je als een politieagent te kleden of voor te doen, echter in het grootste overdekte winkelcentrum daar, gaat de private beveiliging gekleed in politie-uniform en gedraagt zich door de soortgelijke functie(ordehandhaving) ook zo. En dit mag dus, want het is priveterrein.

En nu vraag ik mij af of dat niet ook geld voor in winkels in Nederland. Dat is ook geen openbaar terrein maar priveterrein en op priveterrein mag je bivakmutsen dragen. Ik denk daarom dus dat als een strafbaar feit een voorwaarde is om de toegang te mogen worden ontzegd, dat niet bij bivakmutsen geldt.
(al vermoed ik eerder dat ze iedereen om van alles en nogwat (behalve overduidelijke discriminatie) uit hun winkel mogen weigeren.

Het is legaal om een VPN / TOR te gebruiken, dus nee het mag niet verboden worden.
en dit https://support.cloudflare.com/hc/en-us/articles/203306930-Does-CloudFlare-block-Tor-
Je begrijpt natuurlijk dat er heel veel malware, hacker tools over TOR werken.
Adclickers over TOR heb je ook en paar bots kan je aardig wat geld mee maken.
Dit zijn aardig logische redenen om die CAPTCHA in te voeren, ik vind het zelf ook klote.
x

(T.s. terug)

Zojuist weer een Cloudflare blokkade op security.nl
Nog een test gedaan uit interesse (animo ontbreekt inmiddels chronisch zie ik).
Naar het voorbeeld van de afbeeldingen van Cloudflare zelf en mijn veronderstellingen hoe zij dan NoScript zouden hebben ingesteld ( "aaaaiiii did it the Clouuuuuudflare waaaayyyy").

In concreto betekent dat zo ongeveer 'NoScript' niet instellen ('voor de experts'), ergo vrijwel uitschakelen, ergo je security niveau verlagen, ergo maximaler web ongein toestaan en eraan meewerken, ergo vul maar in.


NoScript 'instellingen' die werkten

Tab Whitelist
[+] "Scripts Globally Allowed (dangerous)"

Tab embeddings
[-] Ongeveer alles (alleen Webgl liet ik intact)

Ik had 'geluk', al na vijf keer de captcha moeten verversen omdat deze onleesbaar was had ik een vrij leesbare te pakken.
Nou, is dat even mooi, ik kwam erdoorheen!
Het is dus een kwestie van gewoon je security en privacy maatregelen uitschakelen!
Tja, gemak dient de mens, waarom moeilijk doen. Nog makkelijker, terug naar mijn gewone Firefoxje dan maar weer?
Zal ik alle plugins ook maar op 'autoplay forever' zetten voor de iFramed advertenties van Google.
Spannende aanpak, niet veilig.


Is daarmee mijn eerder gemaakte punt dus opgelost?

Nee,
dat punt heb ik reeds op verschillende manieren toegelicht, en die punten (nadelen!) blijven in samenhang overeind.
Verschillende reacties geven geen enkele inhoudelijke blijk van die herhaalde argumenten kennis te hebben genomen.
Ik kan niet en ga 'niet' lezers dwingen.
Jammer dan.

Snap je de privacy discussie niet, volg je hem niet, wil je hem niet op een normale manier voeren?
Jammer dan.

Denk je dat de rechtszaal in een rechtszaak tegen de staat rondom handhaving bewaarplicht volstaat met extremisten, zieke pornofanaten, criminelen, terroristen en ander tuig, allemaal in bivakmuts?
Dolle boel straks. Als dat je wereldbeeld is, tja ..
Ernstig gevalletje jammer dan.


Te proberen valt : denk s.v.p. voor een OnTopic discussie nog eens aan eerder gestelde vragen

Wat betreft security.nl :

- Wat kan nou de 'dreiging' zijn voor security.nl ?
- Wat levert het security.nl nou op ?
- Wat (wie) gaat security.nl er mee verliezen (privacy tab in forum er maar af of tussen aanhalingstekens) ?


Groet
(aan de wel serieus geïnteresseerden)
Topic Starter


O,ja
Het is natuurlijk makkelijker om off-topic discussies te houden dan je daadwerkelijk in de (technische) On Topic materie te verdiepen. Daar was het de terugkerende 'off-topic Bivakmuts-knul' natuurlijk om te doen: Tor topics torpederen.
Goed bezig, ga zo door, jullie komen er wel. (behalve dan met argumenten).

Op het trage WiFi-netwerk dat ik nu gebruik (geen Tor) heb ik bovendien net een paar keer deze pagina voor me gekregen:

Ook niet zo fijn.

Dat de IP-adressen in Costa Rica geregistreerd zijn zegt trouwens niet zoveel, want omdat de voorraad IPv4-adressen bijna op is kopen bedrijven IP-adressen die beschikbaar zijn, ook als die IP-adressen zijn uitgegeven in een heel ander land dan dat waar de daadwerkelijke server staat.

security.nl zit al bij de anti-privacy club, want cookies van Google. Google==Profiling!

Google doet tegenwoordig ook wat met het IP adres. Cookies weghalen maakt niets meer uit voor Youtube.

tl;dr (too long, DID read)

De kleine op bed, vrouw aan het werk de oudste aan het huiswerk; heb ik ook even tijd voor jou.


I - Animo ontbreekt... Scherp observatie hoor, hoe zou dat komen denk je?


II - Ik hoef maar zelden een cloudfare-Tor-captcha meer dan één keer, hoe hinderlijk ook, te verversen.
Dat kan komen omdat ik zo goed ben in het oplossen van puzzels, al betwijfel ik dat oprecht.


III - Kun je die hele alinea met het "rechtszaal in een rechtzaak" even opnieuw formuleren? Ik snap er geen hout van, zo goed ben ik blijkbaar niet in het oplossen van puzzels.
Wat een analogie verder met mijn wereldbeeld te maken heeft ontgaat me even, maar ook dat zal wel aan mij liggen. Jammer dan.


IV - Wat betreft security.nl:
Heb je de redactie al gemaild??? Niet? Wat een verassing!
Heb je CloudFare al gemaild met een tip over het inzetten van andere Captcha's? Ook al niet? Jeetje, een hoop te doen dus!

En heb je er rekening mee gehouden dat het buitensluiten van Tor-bots, crawlers en ander digitaal gespuis ook van toegevoegde waarde zou kunnen zijn voor (anonieme) gebruikers?
Of realiseer je je dat een hoop onervaren gebruikers er geen flauw idee van hebben, of ze een goede node gebruiken, of niet?
Moet ik doorgaan met je te behandelen zoals je dat ook bij anderen doet? Pirma:


V - Het gaat jou in ieder geval veel makkelijker af, iemand persoonlijk aan te vallen, dan eens na te denken over de strekking van een boodschap, zoveel is me wel duidelijk.
Die boodschap luidde: Tor is geen recht, Tor is een keuze.
En als er aan die keuze nadelen kleven, heb je die maar gewoon voor lief te nemen.
Ik kom die nadelen ook vaak genoeg tegen, niet alleen via Tor, maar bij vrijwel alle keuze's die ik maak.
Jammer dan...


Had je verder nog op- of aanmerkingen op mijn persoontje? Mag hoor, zelfs al poog je je mening te verkondigen als een feit, kulleke.

Maar het ergste vind ik nog wel dat er in geen enkele van je posts ook maar één constructieve opmerking te bespeuren valt... Wel een hoop huilie huile, voorzien van het nodige gezever (om extra veel medelijden op te wekken?), overgoten met een sausje van subjectieve onzin en niet-grappige grapjes.
Maar een advies? Een tip? Een stap in de goede richting? Iets waar een ander iets van zou kunnen leren dan?
Hmmm....

Aan de hoeveelheden tl;dr + het feit dat je je zo druk kan maken over een Captcha (...) kan ik al wel afleiden dat.., Otaku hier een passende term voor is. Wat je allemaal wel niet van kinderen kunt leren, hé kulleke!

OT: 1 term, 3 letters; VPN.
En je "vragen" aan de betrokken partijen voorleggen, zou ook geen slecht idee zijn.
Niet dat je dan wel een antwoord krijgt waar je op zit te wachten, maar dan wek je in ieder geval een stuk minder wrevel op.


Veel succes verder!
En niet te veel bashen op security.nl hé, ik kan me niet voorstellen dat iemand je ooit gevraagd heeft om hier je "bijdrage" te leveren.

(T.s is back)


Cloudflare blokkade nieuwe test - NIEUW RESULTAAT !


Hoe staat het er inmiddels voor?
De blokkades tref ik 1 tot meerdere keren per dag aan, het varieert.
Dat valt op zich nog mee, nadeel ;) is weer dat ik moet wachten tot ik ze tegen het lijf loop.

Op een eerder moment bijvoorbeeld 10 achter elkaar van exit node gewisseld in de hoop een blokkade tegen te komen voor een test, dat lukte niet (dat zul je altijd zien ;)

Evengoed had ik ik aan het einde van de middag een Cloudflare blokkade te pakken en heb toen weer een testje uitgevoerd (mijn animo om dat te doen blijft nog even).

Het lijkt erop dat de discussie hier in de vorm van feedback in technische lijkt te zijn opgepikt.
Dat is prettig om te merken.

Aanvullende aantekening : Openbare feedback was ook een van mijn overwegingen bij het starten van dit topic; met een vraag in het openbaar kon hopelijk worden gecheckt of er meer gebruikers last hadden van deze ogenschijnlijke technische wijziging en stond ik niet voor een ander dilemma.
Namelijk het dilemma van het wel of niet publiek maken, dus meemoeten nemen van relevante informatie uit gevoerdew persoonlijke niet publieke correspondentie bij een antwoord van de redactie.
Zelf sta ik op de lijn dat ik dat not done vind.
Dan blijft over een publieke forum discussie en met eventueel een openbare vraag gesteld vanuit daar aan de redactie.

Het pasten van de Cloudflare meldingen en de bijbehorende Exitnode verbinding informatie op een later moment had dan ook minimaal een tweeledig doel.
Technische feedback aan de site beheerder met tegelijkertijd de mogelijkheid anderen in staat te stellen hier naar te kijken zolang nog niet zeker was in hoeverre dit geheel aan cloudflare zou kunnen liggen. Een beetje inherent ook aan vragen stellen op een forum, vragen stellen en bijbehorende informatie verstrekken wanneer je die hebt.


De nieuwe test met nieuw resultaat

In de nieuwe test heb ik geprobeerd om met vrij maximaal hoge NoScript settings het Cloudflare blokkade proces te doorlopen en eventueel steeds een stapje te verlagen om erachter te kunnen komen bij welke setting de bottleneck zou kunnen zitten.

Meer precies met vrijwel alle velden onder "Embeddings" van NoScript geactiveerd en de idiote setting "Scripts Globally Allowed (Dangerous)" gedeactiveerd.


Start:

Vertrek vanuit exitnode land 'A'
Met toestaan van het captcha iFrame van Google op de cloudflare-error pagina van security.nl

[-] 1e poging, met 4 refreshes van captcha's tot een leesbare captcha
(inclusief ingevulde feedback aan site owner).

Enter, mislukt en terug naar af

[-] 2e poging, met 3 refreshes van captcha's tot een leesbare captcha
(inclusief ingevulde feedback aan site owner).

Enter, mislukt en terug naar af

[+] 3e poging, (vanwege een kleine afleiding het aantal refreshes niet genoteerd)

Raak!

Ik snap echter weinig van de pagina want die wordt mij in een taal geserveerd die ik niet machtig ben.
Ben ik dan niet meer in land 'A'?

Nee, ik ben inmiddels in land 'B' met een taal uit land 'C' (?!).
Nou zal dat misschien iets van Google zijn, dat was me de laatste dagen al opgevallen bij het testen van de google.com pagina.
In de meeste gevallen ongeacht het land werd mij een taal afkomstig uit land 'C' voorgeschoteld, zelfs bij met een andere Torbrowser check. Af en toe wel een andere taal maar dan kwam het land nog niet overeen, en een enkele keer een match.
Niet dat dat functioneel was want ik zou toch niet door de captcha procedure van Google zijn heengekomen, dat terzijde.

Er staat bovenin een flink lange code.
Ondanks dat ik de teksten niet kan lezen vermoed ik dat ik deze code in het onderste veld moet kopiëren.
Dat veld is echter nog niet leeg, mijn feedback melding aan de 'site-owner' is daar blijven staan.

De te kopiëren code loopt overigens buiten het veld door, te proberen valt select all command en copy.
Feedback tekst verwijderd en de gekopieerde code geplakt.

Entertje, ....

Ziedaar en jawel ik kom erdoor en belandt op de pagina van security.nl !


Opmerkingen

Hoe lang heeft dit proces geduurd?
Ik had het niet getimed, was iets trager vanwege het aantekeningen maken en de exitnodes check tussendoor.
Als een exitnode elke 10 minuten wisselt, wat het deed, zou dat betekenen dat ik er 10 minuten over deed.
Dat lijkt me dan weer sterk en zal denk ik over het algemeen korter zijn, mits je het geluk hebt een leesbare captcha tegen te komen want 10x moeten verversen is geen uitzondering en het was om onduidelijke reden pas bij de derde poging raak.

Doe je er wel 10 minuten over dan is waarschijnlijk het probleem ook weg omdat (ironie) je dan weer op een vertrouwde exitnode zit. Dat terzijde.

Het lijkt er dus op dat het inmiddels mogelijk is om door de Cloudflare blokkade heen te komen met de vrijwel zwaarste NoScript instellingen, mits je iFrames van Google toestaat en met het voorspelde te hebben geduld om te refreshen net zolang totdat je een leesbare captcha tegen komt.

Er lijkt in ieder geval ergens wat veranderd.
Hier ergens?
secure.security.nl/cdn-cgi/styles/cf.errors.css
De verbinding met het 'cgi'/'css' moet je wel toestaan, anders werkt het niet, dat doet vast iedereen automatisch (daar hoor je mij dan verder ook niet over).

Goed, niets gaat vanzelf
Dus het is opgepikt
Dus dank daarvoor.


Kritisch blijven ?

Kijk ik een 'gegeven paard' in de bek ondanks het gezegde?

- 'Ja', kritisch zijn is altijd nodig (niet verwarren met afwijzende kritiek), het security argument dat ik eerder gaf;
"Het is dus een kwestie van gewoon je security en privacy maatregelen uitschakelen!"
is security technisch opgelost, je hoeft dus niet meer je security instellingen te verlagen (waarbij in redelijkheid nog aangetekend kon worden dat het een algemene brede constatering betrof omdat de exacte NoScript instelling bottle neck nog niet gevonden was, hoeft niet meer).
Dat is mooi om te zien en past natuurlijk ook het best bij een security site.

- Het privacy elementen van het Amerikaanse Cloudflare dat doet aan ip logging en de Google captcha laat ik vallen in de categorie "laat-maar-geeft-niet" omdat je immers via Torbrowser al geanonimiseerd browst. Gegevens opvragen? 'Prima', vraag maar raak.

- Blijft over de tijd innemende hobbel in de vorm van de Cloudflare blokkade pagina (wanneer het zich voordoet, nu nog niet vaak!).
De hobbel van het tijdkostende proces, overigens wel binnen het korte tijdsbestek van een elke 10 minuten wisselende exitnode.
Mijn opvattingen daarover blijven verder ongewijzigd alsook mijn reactie daarop zolang het niet absoluut noodzakelijk is om dat proces te doorlopen.


Gelukkig voor nu (en eerder al)

Zolang de frequentie/het aantal Cloudflare blokaddes niet sterk stijgt werkt de eerder aangedragen praktische oplossing snel en goed zolang het blokkade level niet flink toeneemt :

Het refreshen van je verbinding en daarmee meestal ook het krijgen van een andere exitnode via de Torbutton.


Dank aan degene aan beheerzijde die deze discussie gevolgd heeft, deze openbare feedback heeft opgepikt en tot zover de nieuwe site-policy met gebruik van Cloudflare technisch wat heeft bijgesteld.
Ik vermoed dat dat de tech beheerder van security.nl is

(of van pine.nl? Policy wijziging van Pine? Iemand ervaring met bedrijf Pine en Cloudflare?).

Afsluitend,
had ik al bedankt?
Bij deze,

Dank voor het oppikken .


Mvg
Topic Starter


Die het Cloudflare issue met belangstelling en het nodige test animo zal blijven volgen.

Het is iedere keer de persoon die de auto bestuurd, of het geweer vast heeft die de werkelijke fout maakt. Daarom voert de politie snelheids controles uit, zijn er vergunning nodig voor voor wapens. Ofwel er is controle en bij problemen kan men ingrijpen of straffen opleggen.
Zo doen CDN leveranciers het dus ook. Bij in eens heel veel verkeer van 1 IP's of veel "troep" van 1 IP nemen ze actie. En controlleren ze of jij wel echt een persoon bent.
Net zoals een auto kan harder dan de maximum snelheid, maar het hoeft niet. Maar toch wordt de niet hardrijden auto gecontroleerd.

Je kan het ook zo zien, als je geen TOR gebruikt, heb je er ook geen last van.

Als je wel auto rijd, dan wordt je gecontroleerd. Doe je alles met de fiets, dan heb je weer nergens last van.

wow, wat een ellende wordt hier verspreid, iemand heeft er echt last van dat cloudflare captcha's er op gooit..
pak een andere proxy waardoor je anoniem kan browsen maar dan nog, waar ben je in godsnaam bang voor dat je er hele pagina's vol mee klad?

Dat er altijd mensen bestaan die bereid zijn om door elke hoepel te springen die je ze voor plaatst, is compleet niet relevant voor het punt dat hier gemaakt wordt;

Namelijk dat aangenomen mag worden dat op een pagina waar internetbeveiliging en privacy centraal staan, er een bovengemiddeld aantal mensen gebruik maken van TOR, en dat zei hier allemaal door gedupeerd worden. (niet echt doelgroepvriendelijk dus, en ook nog eens overbodig)

Sommigen vinden het wel best, sommigen storen zich er aan maar laten hun bezoek er niet door veranderen, en sommigen zullen niet meer terug komen.

"Ik ben de man"


(T.s - Toegift)

Omdat ik ertegenaan liep nog een extra controle op constateringen bij een Cloudflare blokkade melding.

De eerder beschreven captcha procedure onder
https://www.security.nl/posting/417076/Security_nl+%26+Cloudflare+%28oh+no!%29#posting417572
komt inderdaad overeen (minder onleesbare Captcha's dit keer, 1 poging minder).


'Googlario'

Taal land "C" is wederom Pools (?!), dit keer bij een NL exitnode.

Vertaald,
with a little help from,.. https://translate.google.com

"Ik ben de man"

Dat is nog eens een aardige tekstuele binnenkomer ter compensatie voor het ongemak,
wie klikt er niet graag op een button met zo'n tekst?
Op naar een standaard Nederlandse meldtekst!


Cloudflare blokkades hier en daar met Torbrowser?

Laat je er niet door weerhouden te browsen met Torbrowser.
Van alles in de beoordeling meenemend denk ik dat de Torbrowser de beste werkelijke privacy->browser die er op dit moment te vinden is.

"Why Anonymity Matters" & Torbrowser
https://www.torproject.org/

Verwacht niet dat Torbrowser 100% perfect is, dat deze browser voor al je wensen een oplossing biedt, laat staan 100% dummy proof is. Welke browser haalt de volle 100% ?
Alle techniek staat of valt uiteindelijk met verstandig en veilig gebruik.
Verdiep je er op zijn minst in voordat je Torbrowser gebruikt (of er een mening over hebt).
In beide gevallen een heel zinnig idee.

Daarnaast verbied niemand je meerdere browsers te gebruiken voor verschillende doeleinden, verstandig is het om dat juist wel te doen.
Sommige toepassingen moet je scheiden.


Veel privacy & security toegewenst
Mvg Topic Starter
;)


Overige opmerkingen :

1) Tijdens deze post en het opzoeken van een postingnummer direct weer een Cloudflare blokkade melding, ditmaal wel een engelse tekst met een exitnode uit engels taalgebied.
Eigenaardigheidje van Google?


2) Afhaken of doorspelen?

De kunst van en tijdens het 'schaken' is oplossingen te vinden voor gestelde problemen, de uitdaging aangaan in plaats van berusten of af te haken en in plaats daarvan dan maar te gaan 'dammen'.
Het ene spel is niet beter dan het andere, het zijn andere spelen, allebei met voor en nadelen, met andere eigenaardigheden en met andere geïnteresseerden.
Van spel veranderen omdat je er niet uitkomt, en bij voorbaat te berusten in alles als gegeven fait accompli, is een (uit)weg. Het leidt in ieder geval niet tot een oplossing in of vooruitgang bij het 'spel' dat je speelt, de kans daarop gooi je altijd en bij voorbaat weg.
Dat is een keuze en een levenshouding die je maar net moet liggen.

'Vrijheid' , 'blijheid' .

Als je echt zo paranoide bent encrypted hard drive ---> vpn --->> virtual box( encrypted ) --->> vpn ----> ( evt socks5+TOR) ect ect

Security nl

gabe.ns.cloudflare.com

IP address
xxx.xx.xxx.xxx
DNS admin
dns@cloudflare.com

IPv6 address
Not Present
Reverse DNS
unknown

Domain registrar
unknown
Nameserver organisation
whois.networksolutions.com

Organisation
unknown
Hosting company
unknown

Top Level Domain
Netherlands (.nl)
DNS Security Extensions
unknown

Hosting country
CR (Costa Rica)

Er is zelfs één van de PC's waar ik die Captcha totaal niet op doorkrijg maar het zou best kunnen dat ik daar teveel aan rommelde aan die bewuste pc :s

Wat heeft dit alles nu weer met paranoia te maken.
Ja, mijn HD is encrypted, en nee, niet wegens paranoia, maar als garantie dat zodra mijn HD aan vervanging toe is, ik hem niet met een moker hoef te bewerken om te garanderen dat mijn priveleven niet op straat kan komen te liggen. Het gaat wel om 5+ jaar x 2TB aan privedata. Een encrypted HD behoort gewoon opgenomen te zijn in je rijbewijs voor internet en net zo vanzelfsprekend te zijn als autogordels. En die draag je ook niet omdat je om elke hoek van de straat een ongeluk verwacht.

En TOR gebruik ik ook niet om geloofsgemotiveerde terroristische paranoiapraat te anonimiseren of om andere paranoide redenen. TOR gebruik ik omdat ik strontflauw ben van al die commerciele partijen die hand in hand met overheden met alle macht en maandelijks nieuwe speeltjes alles over iedereen proberen te weten te komen en in geval van commerciele partijen in de vorm van goed getimede verleidingen, tegen je gebruiken.

Maar wederom is dit bijzijde het punt.
- Deze pagina heeft publiek dat bovengemiddeld vaak TOR gebruikt.
- Verhuizen naar Cloudflare is uiterst TOR-onvriendelijk en kost daarom bezoekers.
&
- Deze pagina heeft publiek dat zich bewust is van de mate waarop sommige trackers onacceptabel zijn, en heeft de kennis en wil ze te blokkeren.
- Gebruik maken van Google Analytics en Doubleclick is gebruik maken van trackers die door een aanzienlijk deel van de bezoekers standaard zal zijn geblokkeerd en kost inkomsten.

Security zou er goed aan doen om weer van host te verhuizen en om hun trackers te vervangen met een doneerpotje oid.
(en wat feedback zou onderhand ook erg fijn en gepast zijn)

@TS: wat ben jij een zeurkous ... en Cloudfare is hier ook slechts de auto, het mes. Zij bieden 'DDoS protected CDN environment'; het is aan de security.nl om de instellingen en thresholds te kiezen. En leuk dat je TOR gebruikt (= minder anoniem dan een willekeurige fatsoenlijke SSL/SSH tunnel als proxy, maars goed), maar als vervolgens zaken niet meer werken, is dat jammer en uiteraard mag je daar over klagen, maar je loopt te mopperen op cookies, javascript en captcha's: er is anno 2015, geen website die zonder werkt; life with it ! Je bank website houdt vermoedelijk ook niet van TOR en NOSCRIPT; klaag je daar ook ?

Kijk eens naar alternatieven voor TOR zou ik zeggen; misschien voorkomt dat een hoop frustratie in de toekomst:
http://www.idigitaltimes.com/best-alternatives-tor-12-programs-use-nsa-hackers-compromised-tor-project-376976

Om de auteur van de draad toch nog iets tegemoet te komen in zijn kritiek op een grote speler als Cloudflare,
lees eens hier: http://www.crimeflare.com/
Inderdaad een strijd van David tegen Goliath, net zoals destijds scroogle tegen google.
Maar zonder "puristen" als Anoniem was het Internet al lang ene lange tracking, monitoring en adlaunch parade.
De regel hierboven is goed om je Poolse "znaki" te oefenen. Nie dzia?a pojedynczy klawisz ?, ?, ?, ?, ?, ?, ó

groetjes/pozdrawiam

luntrus

Hoera ! (?)

Een hele range ip adressen die door 'Cloudflare' afgelopen maanden consequent werden geblokkeerd is ineens opgeheven voor deze site.

Veel grote, o.a. kranten en media, sites hadden overigens geen enkel probleem met betreffende ip adressen.
Prettig om te zien en vooral te ervaren dat security.nl deze nu ook weer van de lijst heeft afgehaald.
Of is de trial-period van de Cloudflareware dienst toevallig net ten einde ;) ?

In ieder geval, tegen beide bepaald geen bezwaar, de zeer regelmatig terugkerende Cloudflare meldpagina stoorde toch .

Dus,
@ Redactie, bedankt.

Mvg
Topic Starter / "purist" / lezer / Torbrowserbrowser

(@ Luntrus pools oefenen is er afgelopen tijd ingeschoten.
Alsnog bedankt voor het compliment, was het niet vergeten, expres even niet meer gereageerd om dit topic rust te geven en jouw tussentijdse afsluitende analyse en complimenterende reactie een tijdje op die plaats te houden ;) .