Dus omdat je je eigen ISP niet vertrouwt met DNS, geef je je browse-data maar aan cloudflare. Of google.

Het gaat dnshijacking tegen en afluisteren door Mitm attacks.

Dat vraag ik me af.
Want vervolgens wordt er om te beginnen een [SYN] gestuurd om de verbinding te starten met het ip-adres van de website waar je naar toe gaat, en ook alle vervolgdata gaat via het ip-adres van de website die je bezoekt. Dit loopt via de provider,
tenzij je gebruik maakt van een VPN, maar dan is door de VPN-dienst weer na te gaan welke websites je bezoekt.
M.a.w.: een provider komt de ip-adressen die je bezoekt toch wel te weten, want zonder kennis van het ip-adres kan een provider (-apparatuur) je niet naar de juiste site sturen.

Ik sluit daarom niet uit dat derde partijen die een alternatieve DNS-dienst aanbieden juist geïnteresseerd kunnen zijn
in welke websites jij bezoekt! En ze lokken je vooral met superiere kwaliteit van hun DNS-dienst en met smoesjes.

Yup, cloudflare, your personal datafarming bedrijf.
Mijden als de pest, net als Google, Twitter, Fakebook en nog meer van dat soort grote internet bedrijven die het beste met je voor hebben.

Er is wel een flink verschil tussen wat je eigen ISP nog wel eens wil doen (replies modificeren) en waar jij zo'n bedrijf als Cloudflare van verdenkt.
Zoals altijd is het aan iedereen om af te wegen waar hij/zij meer nadeel van denkt te ondervinden.

Werkt niet samen met een VPN.
Ik gebruik ExpressVPN en dat heeft geld gekost.
Deze dns app weer verwijderd tot mijn vpn verlopen is en dan de reviews nog eens bekijken ivm de privacy.
Vind wel dat ze mogen vermelden dat het niet in samenwerking gaat.

Maar tot slot nog een vraagje voor de professionals hier...

Wat is het veiligste ivm met privacy? Een andere dns waarvan je niet weet of hun policy klopt?
Of een VPN waarvan je ook maar erop moet vertrouwen wat hun je zeggen?

Ik zou ook denken dat je provider dit sowieso uit de headers kan halen en de DNS niet nodig heeft. Heel veel sites draaien op gedeelde IP adressen, Dus de naam van de site die je zoekt moet leesbaar in de header staan om hem niet alleen bij de goede IP maar ook bij de goede website te bezorgen. Als je het verkeer wilt monitoren wil je niet alleen het IP opslaan, maar ook de url.

Via een externe dns haal je er alleen een extra partij bij die je gegevens kan zien. En waarom zou cloudflare investeren in extra capaciteit van hun DNS servers als ze er zelf niets wijzer van werden? Het is geen filantropische instelling.

Laten we twee belangrijke toevoegingen niet vergeten:

DNS over httpS
DNS over TLS

Het gehele Internet is afhankelijk van relatief onveilig DNS over poort 53.

Zeer goede stap van CloudFlare, hiermee laten ze weer zien de onlinewereld echt te willen verbeteren.

Of controle uitoefenen over de informatie die wij mogen zien net zoals Google en andere grotere bedrijven dat doen.

Nog even en ongemerkt worden filters geinstalleerd zoals in China en heb jij niks in de gaten dat je content stiekem gefilterd wordt.
Dit is mijn grootste angst, niet het loggen of zien wat je op Internet doet maar ervoor zorgen dat je bepaalde content niet meer tot je krijgt, kortom, controle over wat jij als informatie tot je krijgt.
Google zet je al in je eigen persoonlijk bubbel zonder dat je het in de gaten hebt, nu de rest nog.

We lachen wel om China, die doen het gewoon openlijk maar hier in het Westen doen we precies hetzelfde maar verborgen en heimelijk zodat de slapende mensen niet wakker worden van hoe ze bepiepeld worden door grote bedrijven die bepalen wat wij mogen zien en ervaren op Internet.

Cloudflare = Google. Ik zit achter een VPN en daarom proberen ze me, als ik een website dat zogenaamd met cloudflare is "beveiligd", voortdurend te dwingen mijn VPN uit te zetten door me steeds een eindeloze stroom van stompzinnige plaatjes aan te laten klikken in de hoop dat ik zat wordt en mijn echte IP adres prijs geef.

Tuig van de richel is het, dat absoluut niets doet voor de onlinewereld. Alleen voor hun eigen kas.

Hoe naïef kun je zijn, zeker als je als security guru door wil gaan.

In de discussie hierboven staan enkele onwaarheden/misverstanden/aannames

- Cloudflare is denk ik een goed DNS-alternatief op die van je ISP. Ze zijn geen ISP en kennen daarom ook niet de bewaarplicht rondom die logs. Uiteraard moet je dit controleren maar ik heb geen reden gevonden om dit in twijfel te trekken.

- Wat je wel weet is dat bijvoorbeeld Ziggo op (mede op?) basis van jouw DNS-gegevens een profiel van je aanmaakt. (zie privacy-policy) Wellicht een reden waarom je geen eigen DNS-servers meer op hun router kunt instellen? Heb zelf Ziggo dus heb geen andere ISPs bekeken. Het is een logische veronderstelling dat de concurrentie ditzelfde doet.

- Veel verkeer maakt tegenwoordig gebruik van TLS. De ISP weet dus alleen welk IP-adres je benadert maar niet welke websites daarachter zitten. Daarnaast worden veel requests al via CLoudflare afgehandeld omdat veel websites gebruik maken van hun bescherming. De ISP weet dus niet heel veel van je.

- Als je gebruik maakt van een commerciele VPN kun je het best gebruik maken van hun VPN-dienst. Ook VPN-providers vallen niet onder de wetgeving die voor ISPs geldt. Zij hoeven ook geen logs te bewaren / door te sturen naar de inlichtingendiensten. Welke je vertrouwt is persoonlijk.

Zelf maak ik gebruik van Mullvad als allways-on verbinding voor mijn apparaten. (apple-TV uitgezonderd want streamen gaat niet zo lekker via VPN (Netflix)


Ik las hierboven: "Yup, cloudflare, your personal datafarming bedrijf."
Wat is de bron van deze stelling? Zo staan ze bij mij niet bekend. Wellicht mis ik e.e.a.

Neu,
na het verkrijgen van de DNS-resolve van de domeinnaam maakt je browser direct verbinding met het (meestal van DNS verkregen) IP-adres. Dat IP-adres is dan dus ook voor een provider gemakkelijk te achterhalen.
Is gewoon een basaal TCP/IP- voorschrift. Anders zou internet je niet kunnen doorsturen naar de aangevraagde server.
(dit heet geen header)

Daarom heeft een provider je DNS-aanvraag/antwoord hiervoor dus niet nodig.
Ze zien en registreren het wel op het moment dat je daadwerkelijk verbinding maakt met de gevraagde website.
(onderdeel van TCP/IP

Veel anoniem commentaar voor iemand die niet eens weet hoe het werkt.

Captcha kan worden afgedwongen door klanten van Cloudflare, is gewoon een optie, Cloudflare zelf dwingt niets af. Als je een captcha pagina krijg, dan is dat het beleid van de eigenaar van de website.

Ik verdiep me idd in de beveiligingsaspecten van deze dienst, niet in de privacyaspecten (en als,als,als,als,als doom scenarios).

En uh, altijd blijven lachen he:-)

CloudFlare is een groot voorstander van Free Speech en wil geen controle uitoefenen. Alle clubs die bij Twitter, Facebook, AWS en Google eruit zijn getrapt wegens haatzaaien en meer, vinden een veilig huis bij CloudFlare.


Het maakt niet uit of je een ISP bent of niet. De bewaarplicht geldt voor zaken die je hebt. Als je geen logbestanden aanmaakt, dan hoef je niets te bewaren.

Om het maar eens in linux-termen te zeggen: Als je alle logfiles naar /dev/nul stuurt, mag je /dev/zero naar de politie sturen.


De reden dat veel consumentenproviders de gebruiker niet toestaan om hun DNS te wijzigen is ter bescherming van die gebruikers. Er blijken meer DNS wijzigingen te worden doorgevoerd door malware op de machines van de gebruikers dan door die gebruikers zelf en bewust.


Dat is afhankelijk van de wetgeving in het land waar de VPN provider (is eigenlijk ook een ISP) is gevestigd. Er zijn voldoende gevallen bekend waarbij een VPN gebruiker toch is opgepakt omdat de provider de gegevens heeft verstrekt.

Peter

DNS logt standaard niet en ISP's hebben geen plicht het te loggen. Als Ziggo dit wel doet kun je volgens de AVG eisen dat dit wordt uitgezet.


Gebruik je verstand. Als iets gratis is, dan ben jij het product.

Cloudflare is een club van over het paard getilde gevaarlijke lieden die eigenhandig en egocentrisch het Internet frustreren met hun capriolen. Zoals het uitbrengen van RFC's die dig queries weigeren en op enorm grote schaal bulletproof hosting aanbieden aan internetcriminelen en andere hustlers en scammers. De meeste mensen zien dit niet, maar echte security professionals wel.

Helaas wil de app diverse rechten waar we niet blij van worden. (Audio, Filesysteem).
Het excuus is dat ze een bugreport systeem hebben (zo te zien van derden, wat het nog gevaarlijker maakt).
Jammer, gemiste kans.

Volgens mij zeker wel.

Er zijn veel servers waarbij meerdere websites op één IP adres zitten via virtual hosts. Elke website heeft zijn eigen certificaat. Dus vóórdat de virtual host het verkeer naar de goede website doorstuurt, moet hij weten welke website dat is. De naam van die website moet dus onversleuteld in de HTTP header staan. Ook bij een SSL verbinding. De ISP kan dus de naam uit de HTTP(S) header halen.

Bovendien moet de url van de website ook in het certificaat staan. Dit maakt het ook onzinnig om te proberen de website naam te versleutelen in de HTTP header omdat het certificaat onversleuteld aangeboden moet worden.

Andere anoniem hier.

Op de man spelen is geen goede discussiemethode. Jij post ook niet met je echte naam.

Captcha's zijn vaak moedwillig onklaar gemaakt door Cloudflare. Je kunt ze niet oplossen als Cloudflare jouw IP niet leuk vind. Voor een securityresearcher (een echte) is dat al snel zo als je zoekacties niet de "normale" patronen volgen.

Zeker niet. Ik heb een Ubee router van Ziggo en daar is bij een van de laatste firmware update juist de optie toegevoegd om drie eigen DNS servers in te stellen.

Nou ik vind je bewering dat cloudflare de onlinewereld echt wil verbeteren anders alleen maar om te janken.

Allereerst bestaan er, net zoals bij hun poging nu je dns server te kapen, talloze tools voor websites om tegen te gaan dat er bijvoorbeeld bezoekers op komen uit landen die men niet wil, of worden bezocht door ip's die zijn geblacklist ZONDER DAT DAARVOOR EEN CAPTCHA VEREIST IS.

Wat voor extra beveiliging bied die captha dan volgens jou? Helemaal niets, nul komma nada. Want als iemand de verkeerde bedoelingen heeft dan gaat hij echt wel net zo lang door met die captha's tot hij binnen is.

Dus wat is dan de toegevoegde waarde, voor wat betreft de captha's, van cloudflare ten aanzien van de beveiliging van een website volgens jou, als zelfbenoemd security guru zijnde? Tegen ddos aanvallen wellicht. Maar het gaat juist om die captcha's die absoluut helemaal niets aan beveiliging toevoegen.

En die worden wel degelijk indirect door Cloudflare afgedwongen. De captha's worden immers getriggerd doordat je VPN IP in een database van cloudflare voorkomt.

Dan kan je je er wel achter verschuilen dat dat door de instellingen van eigenaar van de website komt, maar die volgt ook alleen maar de "aanbevelingen" van cloudflare, als hij al snapt wat die aanbevelingen inhouden.

Op zich zou ik (als VPN gebruiker) helemaal niet zo'n probleem met die captcha's hebben als die op een normale wijze werden gebruikt, net zoals bijvoorbeeld bij security.nl

Maar in plaats daarvan worden die captha's tot in het absurde doorgevoerd. Na hooguit 1 of 2 captcha schermen te hebben aangeklikt weet cloudflare echt wel dat je geen bot bent. Wat voor zin heeft het dan door te blijven gaan totdat je 10 of 20 van die schermen hebt ingevuld, anders dan om je te forceren tot het uitzetten van de VPN zodat cloudflare eindelijk weet wie in welke websites en/of artikelen is geinteresseeerd?

Maar wellicht begrijp je het beter als je weet dat zowel google als microsoft als het Chinese baidu groot aandeelhouders zijn van cloudflare en cloudflare bovendien intensief met google samenwerkt.

Wat?

Ik vraag me af of iemand hier het privacy beleid van deze dienst al heeft doorgenomen.

Wantrouwen is uiteraard heel goed, maar ik zie zelfs harde stellingen zoals Cloudflare=Google ??? Op basis van wat?

Dit staat letterlijk in het privacy beleid:

“We will collect limited DNS query data that is sent to the resolvers. This data does not contain user IP addresses or any other personally identifiable information, and the bulk of the data is only stored for 24 hours. You can learn more about our 1.1.1.1 commitment to privacy”

Heb de app in gebruik maar kan nu geen pdf-bestanden meer downloaden vanuit de Gmail app

Op de experiabox kan je de gebruikte DNS server niet aanpassen, zelfs niet de IP die je via DHCP in je lokale netwerk krijgt. Je kan wel DHCP helemaal uitzetten en ernaast b.v een RPi neerzetten met DHCP en DNS (en PiHole) en dan kan je dan ook DoH gebruiken.

Is het wellicht een beetje naief om te veronderstellen dat een Amerikaans bedrijf wel eens zou kunnen liegen over haar privacy beleid, als bedrijven als Google, MS, Qualcom en Baidu de grootste aandeelhouders zijn? Dit des te meer omdat de gebruikers van cloudflare, cloudflare als DNS server gebruiken.

Met andere woorden: Cloudflare weet exact vanaf welke ip adressen, welke websites worden bezocht. En niet alleen dat, maar ook naar welke content dat specifieke IP adres heeft gezocht. Cloudflare is immers een proxyserver en de websites van alle gebruikers van cloudflare worden op de servers van cloudflare gecached.

En mogelijk klopt het dat cloudflare zelf geen ip adressen bewaart, maar kunnen bedrijven zoals Google en MS gewoon in een linkje meekijken door welke ip adressen naar welke webcontent wordt gezocht. En met name die twee weten als geen ander wat ze met die ip adressen kunnen doen. Bovendien kunnen zij die ip adressen al in zeer belangrijke mate aan personen koppelen.

En dat dat het werkelijke doel is waarvoor cloudflare is opgezet, wordt alleen maar des te duidelijker door het eindeloos afdwingen van de captcha's. Zoals ik al zei, captcha's wekken voor de leek wellicht de indruk dat het een extra beveiligingslaag biedt. Dat is het ook enigszins, maar alleen tegen bots en crawlers. Behalve die van Google en MS uiteraard.

Want waarom worden dan tot in het oneindige captcha's door cloudflare afgedwongen als iemand achter een VPN zit?
Hooguit 2 of 3 captcha's zouden daartoe al ruimschoots voldoende moeten zijn.

Maar waarom dan vele tientallen captcha's als het niet de bedoeling is het VPN gebruik bewust te ontmoedigen zo niet vrijwel onmogelijk te maken. Want alleen als iemand een VPN gebruikt kunnen Google en/of MS niet achter de identiteit van de bezoeker komen.

Behalve wellicht tegen een DDos attack biedt cloudflare immers verder geen enkele beveiliging. Integendeel!

Cloudflare is een levensgevaarlijke (particuliere) organisatie die onder het mom van beveiliging internet gebruikers naar wens toegang tot iedere content waar die gebruiker naar zoekt kan ontzeggen. Bovendien zonder dat de eigenaar van de content daar weet van heeft. Iets wat alleen maar erger wordt naarmate meer en meer mensen en bedrijven van cloudflare gebruik maken.

Tuig van de richel dus. En het erge is dat dit tuig ook nog eens wordt gepromoot door mensen die beweren security experts te zijn.

Niemand had het hierover Google, maar Cloudfare is wel te vertrouwen en je eigen ISP niet het hangt ervan af in welke mate overheden en andere partijen met je ISP samenwerken. Daarnaast ondersteund Cloudfare DNSSEC en de gemiddelde ISP ondersteund DNSSEC niet.

@ jennifer,

"Conformist to in de kist", nietwaar? Big Commerce floreert niet online zonder het van kritiek gespeende applaus aan de zijlijn en in menige kritische draad. Hoeveel schuift dat, eigenlijk, dat recht praten van wat krom is en wit zwart noemen?

Waarom is "www dot security dot nl" dan van Cloudflare "genezen" dan? Misschien is de profilering door Cloudflare zoals Cloudflare die verspreidt toch niet zo ondubbelzinnig onpartijdig als gedacht wordt, lees:
https://www.reviewhell.com/blog/cloudflare-makes-websites-slower/

Ik heb het niet zo op de privacy bescherming van Amerikaanse CDNs. Te vaak blijken ze later toch de eindgebruiker te hebben verraden voor de gekende "dertig zilverlingen". "Marketing driven hype" vaak. En ik zie ook geen reden de kritiek van Troy Hunt hier tegen te spreken: https://www.troyhunt.com/cloudflare-ssl-and-unhealthy-security-absolutism/

Cloudflare en privacy? Huh: http://hightechforum.org/cloudflares-1-1-1-1-dns-does-nothing-for-privacy/

Cloudflare, Afraid dot org en meer van dat soort CDN's - of je nu door de hond of de kat gebeten wordt, gebeten worden we toch allemaal.

Je kunt dus tegenwoordig online in feite niemand meer vertrouwen. De goeden niet te na gesproken natuurlijk, maar dat is maar een hele kleine minderheid en dat betreft zeker niet de grote spelers, de zogenaamde Big Tech massa-dataschuivers.

J.O.

Idd, eerder tijd om een andere provider te zoeken.