Cloudflare w nazwa.pl i u innych operatorów (Wyłączone z tematu o nazwa.pl)

[patrys]

10 minut temu, itomek napisał:

CloudFlare tak na prawdę uprzykrza życie swoim użytkownikom, bo IP swoich CDN'ów mogłoby przesyłać jako dodatkowy element nagłówka, tak jak przesyła źródłowe IP. Nie robi tego. 

a jak by to mieli niby zrobić ?

[theqkash]

7 minut temu, itomek napisał:

Tutaj jest to temat związany z tym, że nazwa.pl oferuje sama bezpłatne komercyjne certyfikaty SSL (Asseco/Certum), była to zatem kwestia autokonfiguracji rekordów DNS, gdyż mając domenę w nazwa.pl masz od nas w cenie utrzymania domeny komercyjny (gwarantowany) SSL. Ten SSL jest elementem oferty. I moim zdaniem jest to bardzo dobra oferta 

 

No dobra, ale był taki czas że wymuszaliście klientom CAA Asseco, dopiero potem po protestach dodaliście CAA LE i dalej na przestrzeni czasu kilka innych możliwości wyboru CAA. Jak wprowadzaliście te słynne "Wasze certy Asseco" a ja chciałem jednak mieć SSL od jakiegoś egzotycznego dostawcy to przynajmniej wtedy nie było możliwości w ogóle zmiany CAA Asseco na cokolwiek innego, potem była możliwość tylko wybrania rzeczy z listy, nie wiem jak jest teraz. Czy to był ten brak uprzywilejowania o którym piszesz?

 

Doszukując się tego typu analogii że "czemu faworyzujecie tego operatora a nie tamtego" to można bawić się w różne pomysły i podciąganie wielu spraw pod wiele różnych wizji, tylko po co.

 

Nadal będę trzymał stanowiska, że akurat Cloudflare jest na tyle powszechną i często użytkowaną usługą typu CDN że wprowadzenie jej nie jest kwestią widzimisie czy domysłów który operator jest ważniejszy a który mniej, a raczej chcemy/nie chcemy. To jest taka dyskusja jak na temat czemu nazwa.pl udostępnia MySQL, PostgreSQL i teraz MongoDB. A czemu nie udostępniacie np. RethinkDB? Czyżby był mniej popularny?

6 minut temu, Mion napisał:

Styczny użytkownik nie ma pojęcia co to jest to po pierwsze, po drugie to CDN ma sens w ruchu międzynarodowym do wiadomych zastosowań ...

 

Aha, więc dlaczego nazwa bawi się w anycasty i geolokalizację, hmm?

 

Ponadto naprawdę nie widzisz zalet przepuszczania ruchu przez CDN dla ograniczenia ruchu sieciowego na twoim serwerze usługowym/www?

 

Serio jak chcesz skończyć to skończ, bo zaczynasz już pisać mocno bez sensu i nie na temat.

[itomek]

3 minuty temu, theqkash napisał:

RethinkDB? Czyżby był mniej popularny?

 

Nie wykluczone. Ale wszystkiego nie da się wprowadzić od razu. Mimo wszystko dalej uważam, że dodatkowa funkcjonalność, bo tak należy nazwać MongoDB czy inne dodatki w ramach usługi hostingowej, to nie to samo co faworyzowanie zewnętrznego usługodawcy. Sam piszesz, że wymuszenie jednego względem drugiego nie jest dobrym pomysłem. My też to wiemy, i nie będziemy drugi raz testowali analogicznego rozwiązania 

 

8 minut temu, patrys napisał:

a jak by to mieli niby zrobić ?

 

Nic trudnego dla kogoś takiego jak CF.

[theqkash]

1 minutę temu, itomek napisał:

My też to wiemy, i nie będziemy drugi raz testowali analogicznego rozwiązania 

 

Cieszę się, że dotarliście już do takiego wniosku

 

To jak, da się u Was już wygenerować SSLe od CA np. WoSign czy nadal nie da się CAA zmienić na dowolne?

[Mion]

9 minut temu, theqkash napisał:

Ponadto naprawdę nie widzisz zalet przepuszczania ruchu przez CDN dla ograniczenia ruchu sieciowego na twoim serwerze usługowym/www?

Na prawdę nie widzę zastosowania CDN do użytkownika, który wchodzi na stronę w PL, a hosting jest w PL i ping wynosi czas=8ms. 

 

10 minut temu, theqkash napisał:

Aha, więc dlaczego nazwa bawi się w anycasty i geolokalizację, hmm?

Odbiegasz do tematu ...

 

 

[oui]

1 minutę temu, Mion napisał:

Na prawdę nie widzę zastosowania CDN do użytkownika, który wchodzi na stronę w PL, a hosting jest w PL i ping wynosi czas=8ms. 

 

Odbiegasz do tematu ...

 

 

CloudFlare to nie tylko CDN ale również może służyć jako VPN, można na jego poziomie blokować adresy IP, państwa czy użytkowników po UA, metryki i ich analiza, ochrona przeciw botom czy WAF. Dalej mam wymieniać?

[theqkash]

Teraz, Mion napisał:

Na prawdę nie widzę zastosowania CDN do użytkownika, który wchodzi na stronę w PL, a hosting jest w PL i ping wynosi czas=8ms. 

 

To proponuję się doszkolić zamiast się wymądrzać.

 

Przedstawię Ci to na prostym przykładzie z własnego podwórka:

 

Tylko w ubiegłym miesiącu dla jednego z klientów cloudflare przejęło i obsłużyło prawie 24TB ruchu statycznego, nie obciążając w ten sposób serwera na którym strona fizycznie działa. Stanowiło to 95,5% całego ruchu który odbywał się w ramach tej konkretnej domeny.

 

Naprawdę chciałbyś przyjmować taki ruch?

 

 

Gdyby ten ruch trafiał do serwera i nie był rozpoznawany jako ruch pochodzący z rzeczywistej lokalizacji (a nie lokalizacji serwerów CF), wszelkie statystyki na serwerze usługowym byłyby niemiarodajne.

 

Nie wspominam już o odcięciu ewentualnych DDoS'ów.

 

 

4 minuty temu, Mion napisał:

Odbiegasz do tematu ...

 

Odbiegam, bo zaczynasz się bawić w filozofowanie a temat zadany w temacie był bardzo prosty zarówno do przenalizowania i odpowiedzenia. 

To że nie umiesz korzystać z CloudFlare do optymalizowania ruchu na własnym podwórku to nie znaczy że inni tego też nie potrafią i tego nie robią.

 

Usługa jest przydatna bardziej niż jakiekolwiek anycasty i powinna być wspierana przez usługodawców.

[itomek]

4 minuty temu, theqkash napisał:

To jak, da się u Was już wygenerować SSLe od CA np. WoSign czy nadal nie da się CAA zmienić na dowolne?

 

Jeżeli chcesz, możesz włączyć ręczną edycję strefy DNS i wprowadzić w niej nawet WoSign.

 

[patrys]

14 minut temu, itomek napisał:

Nic trudnego dla kogoś takiego jak CF.

Ja naprawdę cenię sobie CF, wyznaczają trendy i pomagają zabezpieczyć ten straszny internet.

Ale nie oczekuj od nich rzeczy nie możliwych, skoro problem z integracją jest po Waszej stronie.

Chcecie być kompatybilni to spełnijcie warunki, a jak chcecie robić swojego CDN to róbcie swojego.

Jak klient będzie pisał, że chce Cloudflare odpisujcie, że nie wspieracie ale możecie zaoferować mu coś lepszego

Edytowane 5 Stycznia 2021 przez patrys

[Mion]

Masz rację płatne pakiety CloudFlare  oferują rożne dodatki ... Podobnie AWS - ma wszystko w ramach jednej firmy. 

1 minutę temu, theqkash napisał:

To proponuję się doszkolić zamiast się wymądrzać.

Ale ja się nie wymądrzam - "powinna być wspierana przez usługodawców."  Masz wybór duży wybór ofert hostingowych ,,, wiec nie rozumiem tego wymuszania na kimś czegoś co nie woferuja i tyle

[itomek]

Skoro mówimy o wymiernych korzyściach CF jako ochrony DDoS - nazwa.pl oferuje swoim klientom ochronę DDoS, IPS i WAF  Nie znam innej polskiej firmy z takim poziomem zabezpieczeń "przed" usługą klienta. Trzeba mieć na uwadze, o jakiej usłudze rozmawiamy, bo raczej te 24TB ruchu "odciążonego" to na hostingu.

[theqkash]

3 minuty temu, Mion napisał:

Masz rację płatne pakiety CloudFlare  oferują rożne dodatki ... Podobnie AWS - ma wszystko w ramach jednej firmy. 

 

Jeśli piszesz do mnie to ja korzystam z pakietu Free i w przypadku tego konkretnego klienta nie wyobrażam sobie aby ten ruch mógł zostać do serwera dopuszczony w obecnej sytuacji.

 

4 minuty temu, Mion napisał:

Masz wybór duży wybór ofert hostingowych

 

No ja z nazwa.pl nie korzystam i korzystać nie zamierzam, pytanie było zadane konkretne na pierwszej stronie tematu na samej górze i zachęcam do jego prześledzenia, podobnie jak dalszych odpowiedzi. Jeśli operator nie planuje się bawić w jakiekolwiek współprace z CloudFlare to wystarczy tak napisać i skończyć temat.

[Mion]

1 minutę temu, theqkash napisał:

No ja z nazwa.pl nie korzystam i korzystać nie zamierzam,

 

1 minutę temu, theqkash napisał:

Jeśli operator nie planuje się bawić w jakiekolwiek współprace z CloudFlare to wystarczy tak napisać i skończyć temat.

To nie rozumiem Twojej ogromnej aktywności w tym wątku .. chyba , że chciał byś dyktować, to co operator możne, a czego nie powinien robić

[theqkash]

1 minutę temu, Mion napisał:

To nie rozumiem Twojej ogromnej aktywności w tym wątku

 

Powiedzmy sobie wprost, że jestem ciekaw stanowiska firmy na temat konkretnej usługi i bez względu na to czy z niej korzystam czy nie korzystam mam prawo to wiedzieć i dopytywać. Zresztą, może kiedyś zmienię zdanie na temat tej firmy   Po to chyba jest forum internetowe

 

15 minut temu, itomek napisał:

Jeżeli chcesz, możesz włączyć ręczną edycję strefy DNS i wprowadzić w niej nawet WoSign.

 

 

Szanuję, kiedyś się tak nie dało zrobić u Was.

 

10 minut temu, itomek napisał:

Skoro mówimy o wymiernych korzyściach CF jako ochrony DDoS - nazwa.pl oferuje swoim klientom ochronę DDoS, IPS i WAF  Nie znam innej polskiej firmy z takim poziomem zabezpieczeń "przed" usługą klienta. Trzeba mieć na uwadze, o jakiej usłudze rozmawiamy, bo raczej te 24TB ruchu "odciążonego" to na hostingu.

 

No ale spójrzmy prawdzie w oczy...

 

Każda firma oferuje teraz nielimitowane wszystko. Problem pojawi się wtedy, gdy spory ruch spowoduje wzrost obciążenia na serwerze usługodawcy. Nie chcę pisać że Wy tak robicie (choć zaznaczam, że zdarzyło mi się dostać bana na Waszym VPSie za obciążenie), ale są usługodawcy, którzy w takiej sytuacji zablokowaliby klienta bo nadmiernie obciąża pasmo/wprowadza nietypowe obciążenie/wpisz cokolwiek. 

 

Stąd też wydaje mi się, że takie CloudFlare, notabene w formie usługi bezpłatnej, jest korzyścią zarówno dla użytkowników jak dla operatorów. Użytkownik ma święty spokój i brak ostrzeżeń od operatora, operator ma mniejsze obciążenie i ruch sieciowy.

 

[psz]

42 minuty temu, theqkash napisał:

51 minut temu, itomek napisał:

CloudFlare tak na prawdę uprzykrza życie swoim użytkownikom, bo IP swoich CDN'ów mogłoby przesyłać jako dodatkowy element nagłówka, tak jak przesyła źródłowe IP. Nie robi tego. 

 

FYI @psz

 

Zostałem wywołany do tablicy, więc spróbuję odpowiedzieć.

 

Cloudflare przesyła "IP swoich CDN'ów" w ... polu "źródłowy adres IP" każdego pakietu IP Dodawanie nowego nagłówka HTTP, żeby zdublować tę informację, nie ma sensu.

 

Cloudflare natomiast przesyła IP użytkownika w nagłówkach HTTP:
- CF-Connecting-IP - autorski pomysł

- X-Forwarded-For - standard de facto

- True-Client-IP - opcjonalne w planie Enterprise - dla kompatybilności z różnymi rozwiązaniami enterprise lub starym oprogramowaniem, które myśli, że jedynym CDN'em wartym kupowania jest Akamai.

 

Dla Apache dostępny jest moduł mod_remoteip, dla nginx: ngx_http_realip. W konfiguracji podaje się nazwę nagłówka HTTP, z którego pobiera się IP do logów/PHP/etc.

 

Nie chcecie wprowadzać supportu dla Cloudflare i rozumiem Twoją argumentację. Jednakże nie powinno stanowić dużego wyzwania umożliwić klientowi (w panelu lub .htaccess) wybranie sobie nagłówka HTTP, z którego chce mieć pobierany adres IP. W ten sposób wprowadzacie obsługę wszystkich możliwych CDN'ów, klastrów Kubernetes, etc.

Godzinę temu, theqkash napisał:

Czy sugerujesz, że nazwa.pl posiada CDN dla plików statycznych który oferuje klientom?

 

CDN'a można używać również do cache'owania stron dynamicznych. W innym wątku przytoczono przykład WordPress'a generującego stronę w 1 sekundę. Nawet jeśli hosting nie ma nic przeciwko obciążeniu zasobów, z pewnością właściciel strony chciałby oszczędzić użytkownikowi tej sekundy i żeby jego strona wczytywała się błyskawicznie.

[kafi]

Temat porządnej obsługi CDNów nie jest taki prosty, jak tu się niektórym wydaje.

 

Oczywiście, można skonfigurować to po prostu na branie przez serwer www adresu IP z nagłówka X-Forwarded-For żądania HTTP zamiast pobierania go z nagłówka pakietu IP.

Problem tylko taki, że... skąd pewność, że druga strona nie "oszukuje" i nie podstawia tam czegoś fałszywego? Przecież ktoś może połączyć się bezpośrednio do serwera upstream i wysłać tam spreparowany przez siebie nagłówek. Nawet nie złośliwie - może jego ruch przechodzić przez transparentne proxy które dodaje taki nagłówek; no i wtedy w logach nie wiedzieć skąd pojawi się np. adres 192.168.10.20.

 

Więc dalej - w konfiguracji porządnych modułów do obsługi load balancerów, czy to mod_remoteip, czy to np. w LSWS definiuje się adresy/bloki zaufane z których może przyjść żądanie.

No ale o ile LB jest pod naszą kontrolą, to aclkę zdefiniuje się raz i sama się nie zmieni; o tyle przy zewnętrznych usługodawcach ich adresacja lubi się zmieniać i ktoś tego musi na bieżąco pilnować. Do tego dochodzi pewna nazwijmy to neutralność technologiczna usługodawcy - czyli jeśli zacznie akceptować coś automatycznie od usługodawcy X, to z pewnością znajdzie się protestujący głośno dostawca Y czy Z, albo i klient z własnym CDN który będzie mówił, że jest dyskryminowany.

 

Inna droga protekcji (ale stosowana jest ona zazwyczaj trochę z innych powodów) jest wymuszenie transmisji CDN-upstream przez SSL z wymuszoną obustronną weryfikacją certyfikatów - wtedy do aplikacji nie zostanie dopuszczony klient łączący się bezpośrednio. CF takie coś wspiera, ale ani to popularne w usługach hostingowych (nie znalazłem szczerze mówiąc żadnego który takie coś umożliwi stockowo) ani bezpieczne (jak CF się odwidzi proxować ruch i ustawi passthru, to nie będzie działać).

 

I z innej beczki - to jeśli logi mają mieć jakąkolwiek wartość dowodową, to musi tam znajdować się adres IP łączącego się węzła, inaczej zostaną zakwestionowane przy porównaniu z logami operatorów telekomunikacyjnych. Bo gdy służby zwrócą się o informację, czy adres 1.2.3.4 łączył się z 2.3.4.5 to dostaną odpowiedź odmowną; bo 1.2.3.4 łączył się z CF a nie 2.3.4.5.

A najlepiej jeszcze, jak znajdzie się tam SRCPORT, który jest bardzo pomocny dla znajdowania osób zza wszelakich CGN (carrier grade nat).

 

Dla mnie najbardziej salomonowa metoda obsługi CDNów wszelakich, to:

- modyfikacja formatu logów, żeby zawierał zarówno rzeczywisty adres IP łączącego się, jak też nagłówek X-Forwarded-For

- danie klientowi możliwości zdefiniowania samemu trusted proxy list, z których akceptowana będzie translacja nagłówka X-Forwarded-For 

- opisanie w dokumentacji jak to działa i jak skonfigurować to pod dostawców najpopularniejszych CDNów

ale nie robienie tego automatycznie, aby nie dyskryminować tu nikogo.

[oui]

Dlatego zmienia się adres IP tylko dla zaufanych adresów IP dostawcy np. tych stąd https://www.cloudflare.com/ips/

 

W logach powinny być oba adresy dla jasności.

[psz]

Słuszna uwaga, choć pominąłem, żeby nie zaciemniać wypowiedzi.

[Tom X]

4 godziny temu, itomek napisał:

 

Czemu powinno się wspierać akurat CloudFlare, a nie inne firmy oferujące CDN'y? 

 

Uważam, że hosting powinien być uniwersalny. Jednakże z jakichś tam powodów firmy hostingowe (z waszą na czele) tworzą plany dedykowane do Wordpressa, poza tym:

https://www.cloudflare.com/network/

[kafi]

1 godzinę temu, mrViperoo napisał:

Dlatego zmienia się adres IP tylko dla zaufanych adresów IP dostawcy np. tych stąd https://www.cloudflare.com/ips/

 

Ja wiem, że moja wypowiedź jest dosyć długa. Ale nawiązując do niej warto przeczytać ją w całości, bo komentarz dotyczący powyższego też w niej jest zawarty

 

 

40 minut temu, Tom X napisał:

Jednakże z jakichś tam powodów firmy hostingowe (z waszą na czele) tworzą plany dedykowane do Wordpressa

No ale to jest odrębna usługa, która już z samej oferty może sugerować brak neutralności technologicznej w jej świadczeniu.

[oui]

Przepraszam i posypuję głowę popiołem. Generalnie korzystanie z CDNu czy usług proxy mocno opiera się o zaufanie. Nigdy nie mamy pewności czy dany provider CDNu wywiązuje się z tego, co oferuje i obiecuje. Osobiście nie korzystałbym z usług CFa w przypadku krytycznej aplikacji bez podpisania jakiegoś zobowiązania. Tylko odpowiedzialność ponosi klient i osoba włączająca takie proxy, szkoda, że niektórzy providerzy nie dają możliwości z jej korzystania (a widocznie klienci chcą mieć tę możliwość skoro istnieje ten temat).

[itomek]

Godzinę temu, Tom X napisał:

tworzą plany dedykowane do Wordpressa

 

A czy CloudHosting WordPress jaki oferujemy ma zabrane cokolwiek z funkcjonalności "zwykłego" CloudHostingu? Nie. Ma dodaną predefiniowaną instalację tego CMSa. Nijak się to ma do wspierania zewnętrznego komercyjnego usługodawcy, który tworzy własne reguły gry. I nie działa to tak, że skoro 99,9% użytkowników zna CF to CF jest zaufany. 0,1% może uznać za zaufaną inną firmę, i żądać dodania obsługi jej oferty CDN. Ja nie mam żadnej pewności, ze to co widzę w dodatkowych nagłówkach jakie śle CF jest prawdą. Jaki dowód to stanowi, skoro mój ISP widzi inny IP? Co powie biegły, który dostanie logi do analizy? Mam zbierać wszystkie dane jakie ktoś wrzuca do nagłówka? Każdy kto używa tego typu usług jak CF robi to na własną odpowiedzialność. 

Edytowane 5 Stycznia 2021 przez itomek

[Tom X]

15 minut temu, itomek napisał:

 

Nijak się to ma do wspierania zewnętrznego komercyjnego usługodawcy, który tworzy własne reguły gry.

 

Owszem, ma. W jednej firmie hostingowej - PRowo (przez nazwę usługi), w innej - PRowo i technicznie, przez dopasowanie parametrów usługi do konkretnego CMS'a.

 

15 minut temu, itomek napisał:

I nie działa to tak, że skoro 99,9% użytkowników zna CF to CF jest zaufany. 0,1% może uznać za zaufaną inną firmę, i żądać dodania obsługi jej oferty CDN. Ja nie mam żadnej pewności, ze to co widzę w dodatkowych nagłówkach jakie śle CF jest prawdą. Jaki dowód to stanowi, skoro mój ISP widzi inny IP? Co powie biegły, który dostanie logi do analizy? Mam zbierać wszystkie dane jakie ktoś wrzuca do nagłówka? Każdy kto używa tego typu usług jak CF robi to na własną odpowiedzialność. 

 

Generalnie z usług hostingowych użytkownik korzysta wyłącznie na własną odpowiedzialność. Nie dotyczy to tylko CF ale jakiegokolwiek oprogramowania uruchamianego przez użytkownika w ramach usługi hostingowej (z Wordpressem na czele).  Świadczą o tym stosowne zapisy regulaminów usług.

[psz]

6 godzin temu, itomek napisał:

I nie działa to tak, że skoro 99,9% użytkowników zna CF to CF jest zaufany. 0,1% może uznać za zaufaną inną firmę, i żądać dodania obsługi jej oferty CDN. Ja nie mam żadnej pewności, ze to co widzę w dodatkowych nagłówkach jakie śle CF jest prawdą.

 

To mnie rozbawiło.

 

Serio, Cloudflare nie ma żadnego interesu w "kłamaniu" w jednym, zgoła mało istotnym miejscu swojego software stacka. Nie musicie wierzyć na słowo, można spojrzeć na certyfikaty, oraz zgodność z GDPR (oczywiste) i HIPAA (mało ważne w polskich warunkach).

 

O zaufaniu możemy pogadać, gdy nazwa.pl wróci z certyfikatem SOC 2, albo chociaż PCI DSS, bo patrzę na stronę i widzę tylko ISO 27001.

Edytowane 6 Stycznia 2021 przez psz

[itomek]

 

W dniu 6.01.2021 o 02:10, psz napisał:

SOC 2, albo chociaż PCI DSS

 

Wypowiem się zatem prywatnie. Co ma PCI DSS do wysyłania określonych informacji w nagłówkach? Jakie znaczenie ma ISO 27001 czy SOC 2 w przypadku nagłówków? Czy SOC 2, 3 , ISO czy PCI DSS gwarantują mi cokolwiek w tym temacie? Moim zdaniem mamy równy rynek, nie powinno się premiować kogoś za popularność, nie widzę żadnej zasadności promocji CF nad CDN'em oferowanym przez inne firmy, nie widzę też zasadności wprowadzania zmian w logach, które mogą być prawnym dowodem jakiegoś działania, które porównuje się z tym, co widzą ISP. Korzystanie z zewnętrznych CDN'ów jest i było na własną odpowiedzialność właściciela strony.