Kun je bewijzen dat infinite captcha loop _alleen_ gedaan is om buitenlandse bezoekers _te weren_ ?

Ik speculeer dat een op NL gerichte site de NL bezoekers 'simpel' doorlaat , maar de buitenlandse door een captcha laat gaan . (gewoon - DoS en rommel filter).

Dat jij een infinite loop krijgt zal dan eerder zijn als je ultra paranoia browsed (no cookies, incognito etc etc ) .
FYI - er zijn sites die je - ook met NL ip, niet eens ToR - door een captcha laten gaan als je met een erg anonieme browser (alle soorten blockers, privacy mode etc ) langs komt. Ik denk dat ik er ook wel eens één gehad heb die loopte als er teveel scripts geblocked werden.

Praktisch altijd zijn die grote woorden van manipulatie, complot gewoon ook te verklaren door een een site die de botjes - en datgene wat er teveel op lijkt - weert .

Dan zullen we toch hun reden moeten weten voor deze uitsluiting om vervolgens
een oordeel te kunnen geven.
Worden ze vaak gehackt/aangevallen via die kanalen, ja dat is een goede reden.

Blokkeren om info tee manipuleren met opzet ? Die kans is wel erg klein.
Maar goed, je mag het zien zoals je wil. Daar ben je nog wel vrij in.

Lees op de site van de wayback machine over hun zorgen wat betreft info manipulatie. (Kahn). Waarom zijn zoveel mensen toch a priori goedgelovig? Ik poneer niets, ik vraag alleen naar meningen.
Bestaat info manipulatie niet? Is er nergens een olifant in een of andere kamer? Censuur onbestaand? Cloud altijd veilig en onverdacht?

Ik heb in hotels in het buitenland wel eens gehad dat mijn VPN niet werkte (geen verbinding te maken) zodat ik werd gedwongen zonder VPN te werken, rechtstreeks op hun WiFi. Weet niet of dat expres werd gedaan of dat er een technische beperking was.

Ik zat vandaag in een oneindige recaptcha loop toevallig op mijn 'favoriete' site Geenstijl. Maar dit ligt echt aan Cloudclare. Afhankelijk van hun anti-DDOS instellingen kan 'het systeem' het je het heel moeilijk maken. Ik denk dat de regel van Cloudflare wel is dat het de bedoeling is dat jij getracked moet kunnen worden , dat wil zeggen dat als jij niet als unieke internetgebuiker kan worden herkend jij er inderdaad niet door komt. Bij de strenge DDOS instellingen komen ook nog allerlei blacklists op IP ranges om de hoek kijken vanwaar zwaar geddosst is.

Wie of wat achter Cloudflare schuilt weet ik ook niet precies, er zijn wel speculaties [1] [2]


[1] https://www.reddit.com/r/conspiracy/comments/3cuqgg/this_cloudflare_horsesht_are_they_cia_seriously_i/
[2] https://www.quora.com/How-likely-is-it-that-CloudFlare-is-an-NSA-operation?share=1

Een eenvoudige zoekquery voor een IP op shodan en dit vanachter een browser proxy,
levert de volgende CloudFlare blokkering op:

Waar gaat het hierbij om? Alleen blokkeren omdat je identiteit niet ondubbelzinnig kan worden vastgelegd/-gesteld?
Dus als anonieme gebruiker heb je nergens meer vrije toegang, daar komt het in essentie op neer.

Ik zat niet op tor, ben geen bot, gebruikte een gewone browser, deed slechts een legitieme zoekactie.
Niets meer en niets minder en toch loop ik tegen een blokkering op.

Dit vind ik grof en aanmatigend gedrag van Cloudflare.
M.a.w. of men wil zeggen, het is ons platform en we doen wat we willen,
F*kker jij eens effe op anoniempje.

#sockpuppet

Laten we eens gaan kijken, welke echte IPs er achter cloudflare zitten:
https://gonkar.com/behindflare-discover-websites-real-ip-behind-cloudflare/

luntrus

Info manipulatie is ook sprake van als jij niet gebruik maakt van je eigen locatie voor toegang en authenticatie.
En dat is je goed recht echter moment dat je gebruik maakt van een VPN of ander obfuscatie protocol dan kan het ook zo zijn dat je gebruik maakt van een ASN of IP range met geschiedenis.

Maar de vorm die jij bedoeld met informatie manipulatie dat overkomt iedereen hoe dan ook zonder last te hebben van een blokkade. Moment dat je verbinding maakt met een dienst of een zoekmachine gebruikt krijg je een tailored response. De zogenaamde zoek bubbel. Ook waarom als ik zelf echt goed onderzoek moet doen naar een bepaald onderwep verbinding maak vanuit meerdere datacenter over de wereld via niet VPN maar remote dektops naar fysieke clients en daar vervolgens vanaf zoek en die resultaten parse naar een informatie vergelijkings tool voor highligthen van enige afwijkingen en aandachtpunten. En dat zijn meestal hele subtiele dingen maar die de informatie beleving enorm aanpassen.

Het concept van CloudFlare is goed de executie en het bedrijf zijn discutabel. Wij zelf als managed hosting entiteit weigeren om ermee te werken en als klanten van ons er gebruik van willen maken moeten ze eerst zelf hun DNS beheer weer overnemen.
Dat gezegd is het bijna industrie standaard om gebruik te maken van een vorm van Geoblock service, RBL en IPabuse reputatie controle. Het echter laten afhangen van 1 partij zoals CloudFlare is niet slim. Als je beetje het nieuws hebt gevolgd dan is al paar keer langsgekomen dat door uitval van CloudFlare gekoppelde sites ook niet meer werkten. Wat leuk is gezien de meeste CloudFlare gebruiken voor loadbalancing, caching en het vaker een SinglePoint of Failure word.

Al geloven wij niet dat het een overheid project is omdat aftappen van lijnen middels wetgeving sowieso al kan bij de datacenters zelf en alle internet leverende diensten verplicht zijn mee te werken aan informatie uitwisseling onder antifraude en terrorisme wetgeving. Het is nu eenmaal een goede strategie voor CYBINT/DNINT om te zeggen als overheids organisaties constant in nieuws dat ze moeite hebben met veiligheid wegens encryptie of wetgeving omdat het mensen een vals gevoel van veiligheid uitstraalt. Zelfde dat iOS door NSA vaak in nieuws komt als dat lastig is telefoons te kraken terwijl als je naar exploits kijkt op de commerciele markt ze al jaren dit kunnen en natuurlijk ook doen.

En dat is enkel wat we weten van de legale aftap mogelijkheden. En die zijn altijd kleiner dan de clandestiene. Amerika Rusland en iedergeval China bezitten bijvoorbeeld speciale onderzeeers voor het aftappen van de oceaan lijnen of het saboteren. Voor een basis plaatje zie FAA207 operations van de USA
https://www.dni.gov/files/icotr/Section702-Basics-Infographic.pdf

En ene kant helaas en andere kant gelukkig is het internet niet vrij en nooit vrij geweest. Tuurlijk in het begin was de regulatie amateuristisch maar dat is al lang niet meer zo. Het onbekende internet of wel wat niet geindexeerd staat door zoekmachines en koppeling richting nameservers is wat minder gecontroleerd is maar zeker niet onbekend.

En Tor is opzichzelf niet beter daar tegen beschermd de meeste mensen hebben simpelweg niet de kennis nog de dicipline om Tor juist te implementeren voor betere pseudo anonimiteit. En dat is ook niet gek want de infrastructuur waar het internet uit bestaat is ook gewoon megacomplex met overal gaten in de beveiliging waar informatie door lekt inclusief onion routing.

Daarom is het ook vernoemd naar een ui wegens de lagen waar deze uit bestaat maar als je de rest van je lagen niet in orde hebt dan schiet je er weinig mee op. Bedoel heb je nagedacht over je geldstromen bij het afsluiten van je internet toegang en of VPN inclusief gebruik maken van andere adres gegevens en locatie bij het registreren en uitzetten van enige andere vorm van telecomunicatie gekoppeld aan je echte persoonsgegevens? Klinkt mischien overdreven maar dat is wel hoe het werkt als men als journalist, person of interest gebruik wil maken van VPN of Tor.

Dus het antwoord op je eerste vraag is ja omdat alles gemanipuleerd wordt los van gebruik van een reverse proxy.
En tweede is nee omdat het vrije internet nooit heeft bestaan nog ooit zal bestaan.

In je eerste alinea poneerde je wel degelijk dat er admins zijn die buitenlandse bezoekers blokkeren en dat bezoekers dan (dus als gevolg van die blokkade) een infinite captcha loop van CloudFlare voor de kiezen krijgen. Je kreeg zo te zien reacties op iets dat je wel degelijk poneerde.

Dat mensen niet meteen van je aannemen betekent niet dat ze a priori goedgelovig zijn, het zou juist goedgelovig zijn om dat van je aan te nemen zonder je af te vragen of het eigenlijk wel zo plausibel is dat admins een capcha-dienst van CloudFlare op die manier kunnen gebruiken. Nou ben ik gewend dat als ik geblokkeerd word ik een melding te zien krijgt die uitlegt waarom (typisch een Amerikaanse site die zenuwachtig wordt van de AVG en alle Europeanen buiten de deur houdt). Bij een blokkade vind ik het plausibeler dat men gewoon aangeeft wat er aan de hand is. Er is geen enkele reden voor een admin om daar geheimzinnig over te doen.

Problemen met die vervelende captcha's heb ik typisch omdat ik van alles aan JavaScript en 3rd-party-componenten blokkeer, en dan krijg ik het steeds aan de praat door stap voor stap te deblokkeren wat die captcha nodig heeft. Het is heel plausibel dat captcha-logica blijft hangen als je als gebruiker een deel van die logica onderuit haalt.

Er zijn zat plausibele alternatieve verklaringen dus, en die komen op mij heel wat plausibeler over dan wat jij ervan maakt. Dat betekent niet dat ik goedgelovig ben, het is juist een gevolg van voor mezelf nadenken en niet zomaar alles wat ik ergens lees voor waar aannemen.

En vraag je werkelijk alleen naar meningen? Je zet in die vragen een behoorlijk paranoïde beeld neer, en voor op die manier een beeld neerzetten is de term "JAQing off" bedacht: Just Asking Questions, maar ondertussen... Weet je zeker dat dat niet is waar je nu mee bezig bent?

@ anoniem van 13:25

Je bijdrage hier is inhoudelijk en verhelderend en wordt door mij zeer gewaardeerd.
Het verklaart maar weer waarom je, ook op Internet, verder moet kijken dan je neus lang is.
Ik kom zelf uit de online school van de helaas veel te vroeg overleden searchlore-guru, F.R.A.V.I.A.
en daar was voor de aspecten waar je over spreekt, heel veel aandacht.

Daarom gebruik ik af en toe nog Telescope een oude stand-alone zoek-applicatie. Zit ik op intelx.io etc.
Ga ik door naar de wayback machine voor vergelijk. Weet ik dat wikipedia info soms stilletjes wordt geherredacteerd.

Daarom volg ik het forum van de script-blokkeer specialist per excellence, Giorgio Maone.
Dat is de reden dat ik al meer dan veertien jaar, cold recon website security analyses en error-hunten doe,
met speciaal oog voor kwetsbare JavaScript bibliotheken (Erik Oftedael's retire.js) en DOM-XSS etc.

Ook heb ik oog voor header-security, dns-security, SSL, CSP. Thunderbeam-:ighthouse tracking onderzoekjes.
Jammer dat er al zoveel mogelijkheden boven onze hoofden zijn verwijderd.
Dit door o.a. Google met haar restrictieve extensie en api-plannen.

Onlangs nog de SSL Checker extensie, die steeds komt met database CDB connectie problemen.
User scripts die automatisch uit de Tamper Monkey extensie worden verwijderd,
omdat ze kennelijk niet stroken met de Google Chrome/chromium voorwaarden.

Ben het eens met je conclusie en als je daarvan bewust bent kun je er ook omheen werken.
"There are always more than two ways to skin a cat, you know".

Fijne jaarwisseling en blijf doorgaan met deze goede voorlichtingsmissie.

luntrus

@ anoniem van 16:38,

Is er een reden waarom je zo negatief reageren moet op wat ik noem mijn "luring" (term van F.R.A.V.I.A.)?
Luring is een taktiek van bepaalde vragen stellen om te trachten wat zinnige antwoorden binnen te krijgen,
die men anders niet zou krijgen of een discussie te starten, die anders niet zou worden gevoerd.
Het spreekwoordelijke spierinkje uitgooien in de hoop van een kabeljauw te kunnn vangen.

En wat heeft dat dan in g*desnaam met paranoide zijn van doen. Dat is tegenwoordig maar een manier om ongewenste posters/postings te descrediteren om te zorgen dat men ze niet meer serieus neemt.
Ik weet niet voor welke reactie men eigenlijk beduchter moet zijn, de jouwe of de mijne.

De laatste tijd kunnen mensen met een andere mening niet de zon meer in het water zien schijnen, schijnt.
De deling der geesten heeft kennelijk overal toegeslagen. Of moet men bepaalde discussies weren?

Rare vorm van fact-cheking overigens. Maar ik zie die houding steeds meer opduiken overal waar mensen reageren online.
Niets bevreemdends na alle controle en surveillance operaties, de lock-downs en de huidige meningen-divergentie.
De zeg jij "boe", dan zeg ik "bah" manier van reageren.

Trouwens ik had op de betreffende pagina's achter de Digital Ocean reversed-browser-tunnel-proxy alles in uMatrix toegestaan....en nog bleef ik maar 'plafond staren' totdat ik de proxy uitschakelde, toen lukte het ineens vrijwel direct.

Misschien moet ik erbij vertellen dat de Digital Ocean proxy 1 maal geblacklist heb gezien en ook
bij ip46 dot com als abuser vermeld worden (enkele meldingen van web spam, anonymizer).

Ik ben blij met de respons van anoniem van 13.25, die ingegeven is vanuit zijn ervaring en expertise.
Die ik daarom zeker voor bijzonder plausibel hou. Nogmaals dank hiervoor.

luntrus

Ik reageerde om te beginnen op je vraag waarom mensen zo goedgelovig zijn en de stelling dat je niets geponeerd had, terwijl je wel degelijk iets geponeerd had, en de twee reacties daarop niet vanuit goedgelovigheid waren gedaan maar vanuit het inzicht dat er ook een andere verklaring kan zijn. Die mensen goedgelovigheid in de schoenen schuiven in de aanwezigheid van andere verklaringen is negatief naar die mensen.

Terwijl er gewoon laag-bij-de-grondse technische verklaringen mogelijk zijn voor wat je ziet, kies jij voor:
• doelbewust blokkeren;
• info-manipulatie;
• gecontroleerde oppositie die geen buitenlandse pottenkijkers wil;
• limiteren van het vrije internet en vrije nieuwsgaring.
Je geeft daarmee telkens de voorkeur aan een malafide, manipulatieve bedoeling boven een technische verklaring waar helemaal geen bedoeling achter zit. Dat vind ik inderdaad paranoïde overkomen, en negatief.

Ik reageerde dus negatief op de negativiteit die ik bij jou zie.

Dat je het nodige ervan als vragen geformuleerd hebt is precies wat in dat beeld van "JAQing off" past. Jij noemt het "luring", wat "verlokken" betekent. Maar wat probeer je eigenlijk precies aan zinnige antwoorden uit te lokken als je "luring" zich helemaal richt op veronderstelde manipulatie? Met dat soort sturende vragen sorteer je al voor op het soort antwoorden dat je wilt krijgen. Je wekt de indruk dat je alleen maar bevestiging zoekt van het beeld dat je zelf neerzet en andere verkaringen niet wilt horen. Dat wordt bevestigd door je reactie op de eerste twee reageerders, die je niet als zinnig opvatte maar als goedgelovig afserveerde. En ja, dat was afserveren. Je formuleerde ook dat weliswaar als vraag, zonder expliciet naar die twee reacties te verwijzen, maar je reageerde duidelijk ergens op, en het enige dat er was om op te reageren waren die twee reacties.

Je bent heel bedreven in dingen zo formuleren dat het lijkt alsof je niet beweert wat je beweert, maar je indirecte stijl verbloemt dit alles niet. Nogmaals: mijn negativiteit was een reactie op de jouwe.

Denk eens buiten het main stream frame waar de meeste mensen ingehouden worden.

Ik denk daarbij ook aan de reacties hier van ene poster met de nick 'walmare' aangaande propriety software
en de propagandisten van Big Tech, die ook daardoor vaak de gevangenen van "dozenschuivers" etc. zijn geworden.

19 van de 25 voorstellen komen van mensen, die de interessen van Big IT propriety software verkondigen.
Wiens brood men eet, diens woord men spreekt, zegt het spreekwoord niet voor niets.

De rest komt vaak niet aan bod. Gaat het ergens mis, dan heeft men gemakkelijk zijn of haar gelijk gehaald,
maar er verandert niets aan de a priori onveiligheid op de infrastructuur.

De huidige censuur en info-manipulatie ontkennen doen slechts diegenen,
die er belang bij hebben om vast te houden aan het feit, dat dit niet zo zou zijn.

Zalig zijn immers de onwetenden van geest.
Zij zullen het propriety owned software rijk beerven en er de slaven van zijn.

Na Snowden weten we toch anders en beter. Of zo zou het toch moeten zijn?
Helaas niet dus, de gemiddelde mens heeft de herinnering van een goudvis.
Op naar het volgend belevingsmoment of 30/40 jaar iets schadelijks volhouden (roken, statine-gebruik etc.).

Dan was er nog een reden dat de naam Meta op het toneel verscheen, iets met Cambridge Analytica?

Nu weer de dreigende browser extensie en api restricties, die advertentie blokkeerders
en script blokkers het leven zuur moeten gaan maken.

Mag ik dat dan een beetje negativiteit etaleren als het vertrouwen hier steeds weer wordt beschaamd?

Ik herinner aan het WOT debakel dankzij overname door een Finse durfkapitalist,
die alles dacht vanaf dat moment te kunnen gaan versjacheren.

De reputatie van het WOT platform (waar ik ook graag op zat en aan rapporteerde)
was zelfs met het beste reputatie management niet meer te redden.
Afgeserveerd vanwege 'one greedy propriety action'.

De manier waaop men Brendan Eich dacht te moeten lozen bij Mozilla.
En dat slechts vanwege zijn christelijk orthodoxe opvattigen.
Er is dan nog wel de browser Brave uit voortgekomen, dat wel weer.

Hier geldt het 'gaat te paard komt te voet' verhaal uit het oude Rome.
Alles zeker weg te verklaren met wat men noemt "laag-bij-de-grondse-technische-verklaringen in-silico".

Big Tech olifant in de kamer, die voor velen onzichtbaar moet blijven.

Ik ben optimist dat er meer mensen oog hiervoor zullen krijgen
zodat diegenen, die hen hierin willen houden, het een fractie lastiger zullen krijgen.

Voor na morgen nog een fijne week en een goed 2022.

luntrus

"Sommige website admins blokkeren alle bezoekers vanuit het buitenland."

Ik ken ze niet. Heb je voorbeelden?
Of bedoel je dat ze TOR / known VPN-blocks blokkeren, want dat is wat anders dan "het buitenland".

Je IP adres is van DIGITALOCEAN. Niet gewoon van een normale KPN of Ziggo aansluiting. Het is dus wat bijzonders.

Digital Ocean servers worden waarschijnlijk met regelmaat gebruikt voor aanvallen. Dus die stopt cloudflare.

Dat heeft niets te doen met dat ze niet willen dat je anoniem naar hun site kunt, maar alles met dat ze proberen rotzooitrappers buiten te houden.

Vergelijk het met een bezoekje aan je favoriete gelegenheid in de stad: iedereen mag er naar toe, maar als je met een helm op binnenloopt trek je toch echt de aandacht van het personeel. Anoniem mag je dus zijn, maar die helm is bijzonder.

Ja maar op andere servers kunnen ook aanvallers zitten, toch?
Bij Psiphon werkt het zo niet, maar dan zijn Meta en Alphabet al langs geweest.
Is het dat wellicht?

anoniem van 30-12-21 13:35 hier:
Redelijke vergelijking al ga ik nog een stapje verder met dat de bezoeker alle sloten controleert bij binnenkomst en een camera draagt tijdens de actie (Shodan)

Heel eerlijk zijn wij blokkeren diensten als Shodan sowieso of je nu via VPN werkt of Nederlands IP hebt omdat het niks waard is voor ons als een provider. Als provider heb je je eigen vulnerability scanners, SIEM, en het laatste wat je wilt is dat een random persoon op internet je netwerk gaat proben. Het vervuild je logs levert als het goed is geen informatie op die je al niet hebt en als je wel externe audits laat doen dan wordt er verbinding gemaakt via een specifiek IP die aan hun kant de informatie opvragen via diensten als Shodan maar nooit direct.

Tot nu toe heb ik maar een keer een auditor meegemaakt die Shodan had gebruikt meestal vragen ze je om een agent service toe te laten waarna alle cruciale informatie direct in hun omgeving versleuteld stroomt. Tenable en Splunk komen wij het meeste tegen dat zijn dan vooraf gesproken scans
Wij maken bijvoorbeeld gebruik van complete server snapshot exports als we extern een audit willen laten verrichten. Komt daar geen indicatie uit van onzin dan wordt de snapshot vernietigd komt er wel iets naar voren dan mag pas de auditor met de productie server contact leggen.

Bij de actieve pentesting met red en blue team waarbij enkel directie en CSO of IT director exact op de hoogte is valt een scan als Shodan gewoon te snel op voor een SOC. We hebben zelf een honeypot server afgesloten van rest van infra met express kwetsbare gekoppelde software hardware. elke week komt er een lijst met offending IP,s met hoogtse indicators op usb stick en worden ze omgezet naar ranges die geblokkeerd worden op een afgeschermde client dan via een schone usb wordt de iprange lijst in rest van onze infra gezet.

Hangt onder andere een printer aan met kwetsbare firmware een camera met publiekelijke toegang maar gericht naar een muur en een client pc in readonly modus en image freeze die elke dag dus naar fabrieks terug gaat. We hebben nu log4j als honing in gebruik om te kijken of we op de radar staan en we zien nu gemiddeld 5000 pogingen per dag.

Shodan heeft zijn functies net als Metasploit maar 99% van de tijd kun het prima blokkeren als target.

Boeiend . Kun je iets zeggen over de gemiddelde herkomst van de blacklist-IPs die je op die manier vindt ?
Doe je daarin nog moeite om "collateral damage" te voorkomen van het blokkeren ?
Bijvoorbeeld de reeks vergelijken tegen source reeksen van 'normaal' bezoek ?

Is het voorstelbaar zeg maar dat je een fors blok Ziggo/KPN/Surfnet zou blokkeren vanwege een te enthousiast scripkiddie ergens daarachter ?
Dat lijkt me toch een probleem als je host voor op NL gerichte klanten .
En andersom natuurlijk - als je host (of whatever diensten doet) voor klanten wier bezoek uit een bepaald gebied komt, wil je de collateral damage mbt tot het blokkeren van teveel van hun valide klanten voorkomen )

Dus hoe je die balans ?

We moeten toch wel concluderen, dat het moeilijker en moeilijker wordt voor de eindgebruiker om enige privacy laat staan anonimiteit te bewaren. Tracking, monitoren, controle en surveillance. QRankzinning in de uiterste consequenties ervan. Dat zeker.

Ontkomen eraan is voor een gewoon mens vrijwel onbestaanbaar geworden. In dat opzicht vind ik niet dat we globaal in een betere maatschappij zijn komen te leven. Ik voer zo lang mogelijk wel mijn achterhoedegevecht hiertegen. Free as in .....wie vind ik aan mijn zijde?
luntrus

De website, ie deze scan analyseert, zit ook op dezelfde website server van Digital Ocean in North Bergen (USA).
https://urlscan.io/result/9abdd3ac-5615-4075-b0f8-500b4e7bea2f/#summary
Het betreft -log4shell.huntress.com met beslist geen slecht initiatief.

Dan heb je nog niet gezien als je google.com cookies niet toelaat . Het zijn gewoon breekijzer om in systemen in tebreken en ongestoort veel gegevens te stelen van hun gebruikers . Een overheid zou die zooi moeten verbieden voor ze niets meer te zeggen hebben.

Natuurlijk mag dat. Maar je ging hier wel in meer dan een opzicht een stap verder dan dat, en anderen hebben net zo veel recht om jou daarop wijzen, je erop aan te spreken, en als je ergernis opwekt op hun beurt hun beetje negativiteit te etaleren.

Er is een hoop mis met (onder meer) de grote techbedrijven en hun machtspositie. Dat betekent niet dat alles wat je ziet een gevolg is van wat daar mis mee is, en anderen wezen je erop dat in dit geval andere verklaringen plausibeler zijn dan jouw invulling ervan. Dat wees jij als goedgelovig van de hand, en de sturende vragen die je stelde suggereren dat je om te beginnen al geen antwoorden wilde horen die je wantrouwen weerspreken.

Maar luntrus, er gaan wel degelijk dingen mis omdat er technisch iets niet goed gaat, misschien omdat je zelf iets blokkert en zo de werking verstoort, misschien omdat men zonder kwaadaardige bijbedoelingen iets blokkeert om ellende buiten de deur te houden en jij zonder zelf ellende te willen veroorzaken in het patroon past dat ze herkennen. Naast alle twijfelachtige dingen die big tech doet gebeurt dat ook.

Als je alles van een partij die je als kwaadaardig ziet naar malafide motieven toe redeneert dan plaats je jezelf in een positie waarin je alleen nog maar bevestigingen van wat je al denkt toelaat. Dan sluit je alles a priori buiten dat erop kan wijzen dat je niet helemaal gelijk hebt. Je blokkeert dan elke mogelijkheid om een genuanceerd en realistisch beeld van de situatie op te bouwen, en komt terecht in een karikatuur waarin iets of iemand alleen nog maar helemaal goed of helemaal slecht kan zijn.

Alles naar een karikatuur toe redeneren maakt die karikatuur nog niet waar, het maakt alleen maar dat je jezelf steeds dieper ingraaft in een beeld dat maar voor een deel klopt, en waar ook belangrijke dingen niet aan kloppen.

Degenen die je erop wezen dat hier een verklaring zonder malafide bijbedoelingen de meest waarschijnlijke is ontkennen daarmee niet dat er een hoop mis is met big tech en met de wereld, ze wezen er alleen op dat dit waarschijnlijk niet in dat beeld past. Laat die mogelijkheid eens toe in je denken.

Dan hoop ik maar in het nieuwe jaar een betere balans aan te treffen. We leren immers veel van elkaar door hier te posten.

Webhint was een leuke online scanner. Nu zit ie als extensie op de developer console. Ik gebruik die regelmatig, maar de doorsnee gebruiker is dat weer een brug te ver. Geen online dom-xxs scanners meer. Werd te begrotelijk voor de ontwerper/onderhouder. Heb nog kontakt met Erik Oftedael van retire.js. Etc.
luntrus

Beste reactanten hier, allemaal in de eerste plaats een goed online en offline 2022 en bedankt voor al jullie info.

Ik zoek die verbinding dus heus wel en wil alleen het allemaal iets beter kunnen begrijpen via de diverse ingangshoeken,
die mensen hier komen aandragen. Van eigenwijze developers, de zogeheten "Apples met een staart" tot afgestudeerd technisch IT (lambda generator experts en schrijvers van reguliere expressies). Ikzelf ben meer een kwetsbare en af te voeren bibliotheken-spitter en een error-hunter. Kijken hoeveel extra tijd een bepaald javascript gebruikt om af te lopen (verdacht).

Ik heb heus wel oog voor de goede zaken, die Google heeft gelanceerd zoals https everywhere, google safe browsing en niet te vergeten het hele VT gebeuren. Ik rapporteer ook vaak t.b.v. lijsten. Bij ip46.com o.a., volg URLHaus.
Heb een online opleiding gehad in sinkholen van de man achter de intelx.io machine om dit hele proces trachten te automatiseren (eens was hij de veelbelovendste jonge hacker van Wenen en moest uitwijken naar Praag).

Maar ik zie ook dat ik bijvoorbeeld Tracker SSL als extensie ben kwijtgeraakt (wordt niet meer aangeboden).
Hetzelfde geldt voor de ZenMate Web Firewal extensie. Veel online verdwijnt of naar het archief of naar de eeuwige digitale vergetelheid (iron.).

Ik meld, dat een extensie als Vulners nu alleen met een api-account werkt. En Tampermonkey user scripts liggen ook onder het vergrootglas. Overal wil men dus de data en de credentials van de gebruikers hebben om ze gelijk bij abuse in de kladden te kunnen grijpen. Maar er moet ook nog onafhankelijke en goedgekeurde pentesting mogelijk zijn. Ieder heeft behoefte aan zekere vormen van privacy en anonimiteit, we zijn nog geen halve cyborgs, toch? Mag ik natuurlijke mens blijven? Neen die zijn geen dagen voor een soort renaissance, eerder een naar duistere digitale middeleeuwen of digitaal feodalisme van Big Tech en consorten.

Gelukkig is er nog retire.js als extensie, quick source viewer. Ik gebruik ook graag snyk en snort.

Maar waar ik hierover begin en de nadruk opleg, is dat het minder wordt, hoe moet ik het zeggen: "The going gets narrow".
Zeker in de afgelopen tijd met toegenomen fact-checking en opschonen van alternatieve visies door Big IT en de officiele kanalen wordt dat steeds duidelijker. We worden steeds meer in bepaalde richtingen "voorgemasseerd" om het zo voorzichtig uit te drukken (heb je andere opvattingen word je al gauw gereduceerd tot wap).

Zie hoe je browser en webbreed kan worden gevolgd enkel via fonts.googleapis.com en (secure)gravatar.com alleen al.
Al die data retentie heeft gevolgen naar hoe men het individu kan bespelen en beinvloeden, toch?

Google weet veel van je, wellicht te veel. Nu willen ze al weer dat ik mijn verjaardag opgeef voor de avatarnaam die ik bij hen gebruik. Hun eula accepteren vind ik genoeg, ze zoeken het letterlijk maar uit.

Dan blokken er velen yandex dot ru, adskeeper.com, facebook.net, webpush.com jivosite.com.
Stond allemaal op een website met een Apache2 Ubuntu default (daar zien we webserver info proliferatie dus).

Dat is in het kort wat mij beweegt. Ik zal medestanders vinden en mensen, die dit niet zien of ook helemaal afwijzen.
Geen mens is nu eenmaal hetzelfde. Doorsnee bestaat niet of is immens saai en nietszeggend.

luntrus

We hebben een actieve lijst met toestemming als eerste van onze klanten die managed hosting afsluiten Daar in staat hun eigen IP ranges en klanten kunnen dit uiteraard ook weigeren maar die moeten dan bellen voor vrijgave als ze weer eens een mail client niet goed instellen. We hebben zeer strenge beveiliging waarin als je vaker dan 5 keer op een dag je inlog verknalt jwaar dan ook e meteen op de blacklist staat en deze wordt niet automatisch vrijgegeven na x time. Meeste klanten kiezen daarom voor whitelisting van hun kantoor. Dit wil echter niet zeggen dat ze daarmee onder antibruteforce maatregelen en throtteling uitkomen bij extremer gedrag.

Benelux heeft echter versoepelde criteria als het gaat om probing en hack pogingen en blokkade vanuit een honeypot gebeurt niet puur op IP er hangen modsec rules aan vast en enkel de rule sets die wij achten als potentieel gevaarlijk parsen de IP ranges van door. Provider uitsluiten is niet slim. Ziggo is bijvoorbeeld giga slordig met sbl registratie daar staat om de haverklap dan ook een server van hun in spamhaus en die blokken we dan ook tot ze het zelf oplossen al bellen we er wel achteraan naar ze we hebben zelfs in verleden wel eens namens hun gehandeld omdat een klant er last van had bij het aansluiten op een nieuwe locatie. OVH staat dan weer bijvoorbeeld bij ons standaard op de watchlist alles met OVH wordt strenger gecontroleerd omdat ze zich nooit aan de anti abuse regulatie houden het zelfde geldt voor GoDaddy. Daarnaast is toegang tot servers zelf beperkt via hostaccess control tot ons kantoor IP en op timer en gelogd heel zelden een klant of een derde partij namens klant.

Grote voordeel van managed hosting dat je zelf regie behoudt. Zelfde geldt voor back-end van de sites die wij opleveren daar hangt standaard MFA aan vast van de klant en elke inlog komt in een dossier die de klant kan opvragen mocht er iets mis ijn met de site of ongeinf vermoedt worden.

En ja soms komt er heus wel een range block langs met onbedoelde bijeffect maar we handelen handmatig bij vrijgave. Zonder in detail te treden wij acteren voor een partner van Gem. Amsterdam waarbij ook ambtenaren moeten kunnen inloggen dat was op een moment niet meer mogelijk daarop hebben we een audit verricht en kwam dus naar voren dat iemand injecties probeerde vanuit hun eigen locatie. De informatie is toen gedeeld met de IT afdeling verantwoordelijk voor hun infra en we hebben na groenlicht van genoemde partij de boel weer vrijgegeven. We blokkeren ook enkele landen standaard zolang deze in top 5 zitten van serieuze dreigingen.

Collateral loop je altijd tegen aan maar we zijn klein genoeg 500+ bedrijven mkb dat we het ons kunnen veroorloven om handmatig te acteren. Spamfiltering het zelfde voor de klanten die het willen regelen wij tailored rules en krijgen ze per dag een digest die later naar een week gezet wordt. Klanten kunnen als ze zelf geen tijd hebben door ons audit laten doen op bayes score opbouw waarna wij advies geven als in adres domein in whitelist blocklist greylist of advies omtrent format van berichten, vermijden van keywords van of naar andere partij.

Het voordeel van deze aanpak is we weten exact het gedrag van de infra we zien afwijkingen meteen terug en we vermijden onnodige communicatie omdat we per bedrijf in kaart hebben hoe ze willen dat we handelen. Klanten betalen wel een premium voor onze aanpak uiteraard maar de meeste klanten komen naar ons omdat ze gehacked zijn bij een vorige provider budget hoster dus ze weten wat ze afnemen en zelf de kennis missen om te acteren.

Wil niet zeggen dat we ze als digibeten behandelen we geven op alle vragen verzoeken twee keer uitlet eerste de jip janneke korte variant en tweede is de technische volledige briefing. Dat betekend ook dat frustratie omtrenr collateral laag is omdat ze ons 24/7 kunnen bereiken en meestal binnen 2 uur handgeschreven horen waarom iets geblokkeerd is. Maak zelden mee dat mijn team tegen boze klanten aanloopt omdat we simpel weg altijd uitleg geven waaeom iets gebeurd.

Hopelijk heb je zo beetje een plaatje over collateral werking bij ons iedergeval.

Achter de Amerikaanse proxy van Digital Ocean kan je ineens spam van Walmart in je junkbox aantreffen. Dat dan weer wel.
Hoe mitigeer je dat het best?
#sockpuppet

Handig dit firewall lijstje: https://www.cloudflare.com/ips/ https://blog.hackmetrix.com/how-to-whitelist-ips-on-aws-digitalocean-and-cloudflare/[/URL]
luntrus

Maar we hebben ook te maken met het feit dat het gebruik van een VPN illegaal is in bijvoorbeeld de USA. Dat impliceert dat je daar nergens meer oncontroleerbaar het net op kan of in ieder geval dat dat de insteek is van de autoriteiten. Komt dat hier t.z.t. ook, als overheden bang worden voor de eigen burgers. Nare ontwikkelingen.

Nu bij dns-over-https (DOH) zie je meer en meer dat de controle verschuift naar bijvoorbeeld Google en CloudFlare ten koste van je eigen provider en voor je anonimiteit maakt het niet uit die versleuteling, je controle gaat naar een Amerikaans commerciel bedrijf. En moeten we daar nu wel zo blij mee zijn?

Google wil zeker meer te weten komen van haar gebruikers, dus gaat er stapje voor stapje meer over de Google resolver. In firefox staat het al standaard aan, maar gebruikers hebben er niet al te veel weet van.

Als men iets gratis voor je wil doen en staat te trapppelen, heb ik zo mijn bedenkingen bij. U hier ook? Overigens als de controle toch steeds meer naar de grote commerciele jongens wordt overgeheveld/verlegd, is dan een proxy van Digital Ocean een big "no no"? Kennelijk voor de website black- & whitelisters wel. Geef algemene trends en je beleid nog eens een heroverweging. Ik ben af en toe wel best blij met de junkfilter van mijn eigen Nederlandse provider, voelt vertrouwd toch?

#sockproxy

Heel veel dank voor je uitgebreide antwoord.
(en trouwens ook voor je eerdere antwoorden op luntrus. Je hebt een stuk meer geduld daarin dan ik).

Graag gedaan kleine moeite voor me.

Omtrent het laatste punt om meer geduld op te kunnen brengen voor lastigere onderwerpen (persoonlijk vond ik deze wel meevallen) bedenk dat je niet zo zeer antwoord op een persoonlijke vraag van een individueel persoon maar meer de informatie geeft voor de overige bezoekers. Tuurlijk wil je ook de originele vraagsteller bereiken maar probeer je advies en antwoord altijd vzoveel mogelijk voor een toekomstige bezoeker te formuleren.

Soms moet je mensen ook confronteren als antwoorden pertinent fout en gevaarlijk voor anderen bij uitvoering maar vaker zit de waarheid in het midden en als we ons sluiten voor andere meningen dan wordt het bedenken van oplossingen extreem lastig en ook het waarschuwen van anderen.


VPN is gewoon legaal in Amerika en wordt ook gewoon geadviseerd door de alphabet agencies.
https://www.fbi.gov/video-repository/protected-voices-virtual-private-networks-083018.mp4/view
(off topic de overheid filmpjes van USA zijn altijd hilarisch om naar te kijken hoe ze nog de moeite doen om een acteur in te huren en je gewoon kan zien dat alles van een teleprompter wordt afgelezen. Brengt me nostalgisch terug naar de 80s informcial tijdperk).

Let op dit gaat uiteraard enkel om VPN gebruik voor niet criminele handelingen en omdat je te maken hebt met Five Eyes (FVEY) is je informatie *niet* afgeschermd van autoriteiten. https://en.wikipedia.org/wiki/Five_Eyes
Al is de realiteit natuurlijk dat buiten deze landen in de Eyes alliances je nog steeds niet kunt vertrouwen op vertrouwelijkheid zeker in Nederland. (verder naar onder meer daarover)

En autoriteiten zijn al sinds begin van de mensheid bang voor hun onderdanen, burgers of hoe ze ook genoemd worden in de bepaalde tijdsgeest. We hebben de zogenaamde Freedom on the Net rapportages waar beetje inzicht uit kunnen halen omtrent de stand van zaken per gebied.
https://freedomhouse.org/explore-the-map?type=fotn&year=2021

Maar dat is maar een deel van het plaatje natuurlijk Nederland heeft namelijk een goede reputatie als het aankomt op informatie vergaren voor de minder vrije landen.
https://www.brongersma.info/Edward_Snowden_about_Dutch_intelligence_services:_%27They_really_sort_of_do_what_we_tell_them%27

Een probleem hiermee hebben is net zoiets als menen dat je met een bivak muts een winkel in moet mogen, omdat je het recht hebt op anoniem te zijn. Een beheerder van een website heeft alle recht om te bepalen wie wel/niet de site mogen bezoeken. Indien je je vervolgens voor gaat doen als bijvoorbeeld een gebruiker uit een ander land, waardoor je geblokkeerd wordt dan is dat je eigen probleem, en je eigen verantwoordelijkheid. Je bent nog steeds welkom op de website, zonder je virtuele bivakmuts en je slachtoffer rolletje.

Een probleem hiermee hebben is net zoiets als menen dat je met een bivak muts een winkel in moet mogen, omdat je het recht hebt op anoniem te zijn. Een beheerder van een website heeft alle recht om te bepalen wie wel/niet de site mogen bezoeken. Indien je je vervolgens voor gaat doen als bijvoorbeeld een gebruiker uit een ander land, waardoor je geblokkeerd wordt dan is dat je eigen probleem, en je eigen verantwoordelijkheid. Je bent nog steeds welkom op de website, zonder je virtuele bivakmuts en je slachtoffer rolletje.


Een website beheerder heeft zeker ook niet het recht om zijn website te beschermen tegen misbruik. Waarbij deze wellicht in overweging neemt dat mensen met slechte bedoelingen TOR ook vaak gebruiken, om hun eigen identiteit af te schermen.

Hebben website beheerders ook nog rechten, om beslissingen te nemen t.b.v. de bescherming van hun site ?

Kon je het maar omdraaien dat niet iedereen zomaar het recht heeft iedereen voortdurend te controleren en monitoren. Uiteindelijk botst het met minimale mogelijkheden tot privacy en die staan via technologie aardig onder druk. Hebben de Russen nu wel of niet de DNC gehackt? Ik mag alles, jij vrijwel niets streven van overheden, big commerce etc. Of moeten we big commerce en dan overheden zeggen meer in die volgorde?

Werkt twee kanten op. Als ik geblokkeerd wordt op een site vanwege mijn ad-blokker. Laatst liep ik in de super met neus-mond-masker en anti-spat-plastic vuurwerk bril op onder een hoodie rond.
Geen strobreed werd me in de weggelegd. Zo kan het ook.

Via een scriptje en een tk-extensie-proxy lukt het via de oorspronkelijke IP's van soms sub-domeinen toch een CloudFlare blokkering te ontgaan.

Maar door de CloudFlare Ddos-blokkering komen met een actieve epic encrypted proxy (van Digital Ocean in bijvoorbeeld Londen, UK) lukt niet. Ook Croxy-proxy werkt niet. Dus geen data-retentie mogelijk, dan ook geen toegang. Waarom een proxy die goed werkt bij een gebruiker, die zich keurig gedraagt, niet werkt "is beyond me". Het betekent, dat je dus in principe je niet vrij anoniem over Interwebz mag bewegen. Of wordt het weer weggeredeneerd met "we mogen iedereen, die zich niet bekend maakt, weigeren. Goed recht van elke admin. Dan dus ook gemist bezoek, gemiste actie. Straks alleen nog Internet op met een geldige QR-code? De wereld wordt opnieuw steeds feodaler ofwel neo-communistischer.

luntrus

Er zijn mispunten die allerlei mogelijkheden om anoniem te browsen misbruiken om narigheid uit te halen. Als CloudFlare ziet dat het een groot deel van de narigheid die op hun afnemers afkomt de pas kan worden afgesneden simpelweg door bekende anonimiseringsmogelijkheden te blokkeren, dan hebben ze een reden om dat te doen, niet om jou dwars te zitten maar om hun klanten te bedienen.

Dat dat gevolgen heeft die niet altijd prettig zijn is duidelijk, en dat bestrijd ik niet. Maar een dergelijke motivatie voor een bedrijf dat doet wat CloudFlare doet om het te doen is toch hopelijk niet "beyond you"?

Dat klinkt alsof je het aanziet als een maatregel om de vrijheid van mensen te beperken. Maar het is in mijn ogen eerder een neveneffect van een maatregel dan een principe.

Bron? Voor het eerst dat ik dat lees en geloof er ook weinig van.

Het gebruik van een VPN is illegaal in het geval van het omzeilen van copyrighted content (pirateren).
Landen met VPN verbod: https://www.vpnmentor.com/blog/are-vpns-legal/

Verschillende anonimiseringsdiensten staan al op een deny list (black list).
Clouddiensten kunnen voor info-manipulatie dienen en dependence opleveren (ben je google-verslaafd?).
Digitalisering in het onderwijs kan de waan van de dag introduceren (met of zonder Interwebz).
Verkeerd indoctrineren van de jeugd kan misdadig zijn.