Computerbeveiliging - Hoe je bad guys buiten de deur houdt

https via Cloudflare

09-02-2017, 19:07 door Anoniem, 6 reacties
Wat is het nut van een https verbinding via Cloudflare?

Immers, Cloudflare kan er volgens mij als een MITM tussen gaan zitten en maakt het ssl verkeer feitelijk net zo betrouwbaar als helemaal niet.
Reacties (6)
09-02-2017, 20:24 door Mend0x
Het nut is dat (uitgaande van SSL offloading) niemand het verkeer kan zien, behalve de gebruiker, de webserver en cloudflare.
Met cloudflare kun je een overeenkomst aangaan, met rondneuzende criminelen niet.
09-02-2017, 21:09 door Anoniem
Als prof. club neem je cloudflare niet af omdat je je site wilt upgraden naar https, maar vanwege hun caching functie.
Daar moeten ze SSL inderdaad voor openbreken, dus contract goed op orde hebben blijft weer belangrijk.
09-02-2017, 22:01 door Anoniem
@Mend0x

Wat helpt dat als Cloudflare ook net zo gemakkelijk de verbindingen van malcreanten faciliteert als andere, zodat het kwaadaradige verkeer van scammers, spammers en malware zich aan het oog kan onttrekken.

Ja dat gebeurt, ze stellen dat ze alleen verbindingen transporteren en wat er over hun verbindingen loopt hen niet interesseert. Meer dan eens bij abuse meldingen voorgekomen dat CloudFlare de malcreanten eerder op de hoogte stelde dan de autoriteiten. CloudFlare gaat het alleen of er wat te verdienen valt.

Lees over deze CloudFlare praktijken hier bij CloudFlare watch: http://www.crimeflare.com/

Ze stellen zich op als transporteur van het verkeer en kijken niet naar wie van hun diensten gebruik maken en dat zijn volgens mij de "good, the bad and the ugly", tenminste als ze maar betalen.

Dan zijn er verschillende sterkte versleuteling verkrijgbaar: goedkoop met garantie zeg maar "tot de knop van het server rack" en een hele goede, die wel twaalf keer duurder is, op IDF sterkte en ook gebruikte door diens opponent (hamas).

Beoordeel niet alles op face value, maar verdiep je ook eens in de werkelijke veiligheid standaarden van je infrastructuur.

Https everywhere en gratis certificaten, ook een loffelijk streven, maar nog niet overal goed geconfigureerd (rootkit geinstalleerd) en of uitgerold. Het lijkt men of er partijen belangen hebben bij het per se onveilig houden van de infrastructuur. De surveillance staat wellicht?

66% van de websites die ik dagelijks onderzoek are "below par" qua beveiliging.

waarvan akte,
10-02-2017, 10:31 door Anoniem
Door Anoniem: @Mend0x
Wat helpt dat als Cloudflare ook net zo gemakkelijk de verbindingen van malcreanten faciliteert als andere, zodat het kwaadaradige verkeer van scammers, spammers en malware zich aan het oog kan onttrekken.

Correct, en terecht. CF neemt de rol van provider aan en hoort zich dan ook niet te bemoeien met de content, tenzij het direct schade toebrengt aan de rest van de klanten of de werking van de dienst. Het is aan law enforcement om criminelen aan te pakken, en zij mogen en kunnen dergelijke klanten dan ook laten afsluiten. Let ook op dat wat in bv in USA illegaal is, dat niet perse in NL ook is. Het is een slechte zaak om ISPs en andere dienstverleners voor BOA te laten spelen.


Meer dan eens bij abuse meldingen voorgekomen dat CloudFlare de malcreanten eerder op de hoogte stelde dan de autoriteiten.
Heb je voorbeelden? En weet je zeker dat het malcreanten waren, en niet gewoon gehackte, legitieme eindgebruikers?


Beoordeel niet alles op face value, maar verdiep je ook eens in de werkelijke veiligheid standaarden van je infrastructuur.

Da t klinkt nou eens als een goed plan.
10-02-2017, 18:13 door Anoniem
Door Anoniem: Wat is het nut van een https verbinding via Cloudflare?

Immers, Cloudflare kan er volgens mij als een MITM tussen gaan zitten en maakt het ssl verkeer feitelijk net zo betrouwbaar als helemaal niet.

Over dit probleem bestaat al een topic: https://www.security.nl/posting/459360/Halve+Https+%26+Cloudflare%3F

Huisregels --> Reacties en Forum:
* Controleer eerst of er over jouw vraag of opmerking al een topic is aangemaakt
12-02-2017, 12:10 door Anoniem
HTTPS voor je webwinkel via cloudflare is te vergelijken met ssl-strip inderdaad.
Flutwolk is een zogenaamde makkelijke oplossing. Helaas denken veel managers dat met de instructie laat-maar-door-cloudflare-filteren aan de it-afdeling, dat ze voldoende moeite hebben gedaan om niet meer verantwoordelijk te zijn voor juridische problemen.

Leuke juridische vraag: Mag ik de verwerking van persoonsgegevens laten ont-beveiligen door een derde partij in de VS rijmen met de nieuwe regels over verwerking van persoonsgegevens?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.