Cloudflare에서 __cfduid 쿠키 비활성화

__cfduid세션 쿠키 생성에 해당하는 Cloudflare 설정이 있습니까?

나는 현재 CF를 시도하고 있습니다. 깔끔한 DNS 관리 및 암시 적 CDN에 주로 사용됩니다. 그러나 기본 WAF는 아마도 Apaches mod_security / CRS 위에 추가 된 것입니다. 그러나 나는 쿠키의 목적이 무엇인지 잘 모르겠으며 그것을 제거하는 것을 선호합니다.

가장 확실한 설정

보안 프로필 : 기본적으로 해제

__cfduid모든 HTTP 응답을 만드는 데 본질적으로 영향을 미치지 않는 것 같습니다 . 쿠키 목적은 아마도 방화벽 규칙, 반복되는 cloudflare 보안 문자 등에서 단일 사용자를 제외시키기위한 것입니다.

그들의 지원 문서는 그것을 암시합니다. 2012 년 9 월의 첫 번째 개정판 ( https://support.cloudflare.com/hc/en-us/articles/200169536-What-does-the-cfduid-cookie-do- )에서이 동작을 수행 할 수없는 경우 껐다. 두 달 뒤인 2012 년 11 월 11 일 ( https://support.cloudflare.com/hc/en-us/articles/200170156-What-does-the-CloudFlare-cfduid-cookie-do- ) 항목 은 해당 메모를 생략합니다.

Cloudflares TOS 자체는 그럴듯한 것으로 확인되지만이 쿠키에는 추적 세션의 모든 속성이 dc41f5a78bc3e27d44b70fca4606e4262283407700773있습니다. 6 년의 과도한 쿠키 수명은 모범적 인 인터넷 카페 방문자 사용 사례에 매우 이상합니다. 그리고 나는 개인적으로 불필요한 세션을 피하고 있으며 다른 사람들과 마찬가지로 (유명한 EU 쿠키 법에 비추어) 개인 정보 보호 메모를 작성하고 싶지 않기 때문에 기본값마다 사라지는 것을 선호합니다.

다음과 같은 해결 방법 :

  Header add Set-Cookie "__cfduid= ; path=/; domain=.example.org; HttpOnly"

스토리지를 피하지만 불필요한 헤더 2 개를 유지하며 지나치게 안정적으로 보이지는 않습니다.

자, 이것에 대한 또 다른 CF 설정이 있습니까?

cookie cloudflare

— 마리오
소스

이외에도 같은 일을 즐겁게에서 이 , 사용할 수있는 유일한 해결 방법은 프록시에 연결하고이 클라이언트에 도달하기 전에 쿠키를 제거.

— Synchro

답변:

아니요, 레코드를 프록시 처리하는 경우 쿠키를 해제 할 수있는 방법이 없습니다 (DNS 설정에서 프록시를 통해 하위 도메인이 실행되지 않는 경우 쿠키가 서버로 직접 이동하기 때문에 쿠키가 추가되지 않음) . 쿠키는 기본적으로 보안 (예 : 챌린지 페이지)을 작동시키는 것입니다.

— 데이먼
소스

"보안 작업을 만든다"는 여전히 많은 설명이 있습니다. 일반적으로 세션 쿠키를 전송하지 않는 봇과 같은 보안에 어떻게 도움이됩니까? 보안 문자 전용 인 경우 과도한 쿠키 만료 시간은 얼마입니까?

— mario

누가 신뢰할 수있는 사람 이 아닌 누가 신뢰할 수있는 사람을 설정하기위한 것이라고 생각합니다 . 세션 쿠키가 없으면 신뢰도가 가장 낮은 상태입니다. 세션 쿠키가 있으면 신뢰할 수 없거나 신뢰할 수 있거나 그 사이에있을 수 있습니다. 따라서 세션 쿠키를 보내지 않으면 WAF가 더 적대적으로 대우받을 수 있습니다. 그런 다음 '과도한'쿠키 만료 시간이있어 불필요하게 페스터되거나 스로틀되는 것을 막을 수 있습니다.

— Rushyo

cloudflare는 내가 자주 찾아 보는 많은 것들 (api 문서, 오픈 소스 프로젝트)을 호스트합니다. 아니요. jqueryui.com, expressjs.com과 같이 cloudflare와 관련이없는 도메인에서 임의 세션 쿠키 삽입을 사용하지 않습니다. __cfduid인터넷 표준을 위반합니다. 잘못 됐어

— Martin Algesten

이 쿠키의 문제점은 무엇입니까? Cloudflare에 따르면이 서비스는 서비스를 사용하고 있으며 서비스와 보안의 이점을 누리려고합니다.이 쿠키는 특히 보안상의 이유로 도움이됩니다. 이와 상관없이이 쿠키 유형은 쿠키 법률 메시지에서 제외됩니다.

그러나 일부 쿠키는이 요구 사항에서 제외됩니다. 쿠키가 다음과 같은 경우 동의가 필요하지 않습니다.

· 통신 전송을 수행하기위한 목적으로 만 사용

· 사용자가 명시 적으로 요구하는 정보 사회 서비스 제공자가 해당 서비스를 제공하기 위해 반드시 필요

더 읽기 : http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

이 Cloudflare 쿠키는 쿠키 법률에서 확실히 면제됩니다.

— 루카 스티브
소스

"보안상의 이유로" 는 정확하게이 질문을 유발 한 소망스러운 설명이다. 현재 무엇을 사용하고 있습니까? "보안"기능이 비활성화되어 있는데 왜 여전히 존재 합니까? 수명이 6 년인 이유는 무엇입니까? 이것에 대한 법적 의견은 대부분 직교입니다.

— mario

Cloudflare 직원 (Damoncloudfare가 하나라고 가정)조차 어떤 이유에 관계없이 귀하에게 말할 수없는 경우 누구나 보안에 관해이 질문에 대답 할 수 있습니다.

— Luca Steeb

이 쿠키의 한 가지 문제점은 다음과 같습니다.이 취약점은 vuln / PCI 스캐너에서 다양한 오 탐지를 유발합니다. 예를 들어 Saintbot / Controlscan은 phprpc가 존재하지 않는 경우에도 쿠키 기반 세션 var를 사용하여 응답을보고이를 phprpc 빈으로 표시합니다 (404). 이 간단한 쿠키로 인해 예정된 PCI 스캔을 지속적으로 실패한다는 것은 성가신 일입니다. 벤더의 결함을 확실히 확인하십시오. 그러나 20 회 정도의 증명 + 티켓을 발부 한 후 호출하면 스캔 필터가 수정되지 않았습니다. 이러한 복구 실패로 인해이 CF 쿠키는 오 탐지 (여전히 실패)를 전제로 PCI 실패를 유발합니다.

— dhaupin

Cloudflare가 아니라 스캐너를 비난해야한다고 말하고 싶습니다 ..

— Luca Steeb

위양성 (false positive)을 제공하는 취약성 스캐너 외에 다른 문제는 성능에 미치는 영향이며 무시할 수는 있지만 존재하지 않아야합니다.

— Ray Foss

쿠키 비활성화 단계-PHP. 나는 이것이 나의 고치는 것이 아니라 부를 퍼뜨리는 것을 기쁘게 생각합니다.

function deleteSpecificCookies() {

    var cookies = document.cookie.split(";");
    var all_cookies = '';

    for (var i = 0; i < cookies.length; i++) {

        var cookie_name  = cookies[i].split("=")[0];
        var cookie_value = cookies[i].split("=")[1];

        if( cookie_name.trim() != '__utmb' ) {

            all_cookies = all_cookies + cookies[i] + ";";

        }

    }

    if(!document.__defineGetter__) {

        Object.defineProperty(document, 'cookie', {
            get: function(){return all_cookies; },
            set: function(){return true},
        });

    } else {

        document.__defineGetter__("cookie", function() { return all_cookies; } );
        document.__defineSetter__("cookie", function() { return true; } );

    }
}

— 알피
소스