Diblokir oleh Cloudflare
(jrhawley.ca)- Di halaman GitLab yang diperlukan untuk pekerjaan, pengguna terjebak dalam “secure connection loop” saat Browser Integrity Check Cloudflare tidak kunjung selesai, lalu akses Firefox juga diblokir di situs web internal perusahaan yang terpisah
- Mengubah nilai
privacy.resistFingerprintingdi Firefox menyelesaikan akses ke GitLab, tetapi keesokan harinya halaman blokir muncul di situs internal perusahaan yang tidak terkait, dan mengembalikan nilainya pun tidak membuka blokir - Dengan perangkat kerja, VPN perusahaan, dan sertifikat keamanan yang sama, Chrome bisa mengakses sementara hanya Firefox yang diblokir, sehingga pengguna menilai keputusan pemblokiran terkait dengan fingerprint browser atau ketiadaan fingerprint
- Untuk sementara, situs kerja internal harus diakses dengan Chrome, dan sulit bagi pengguna mengetahui berapa banyak lagi situs internal maupun eksternal yang “dilindungi” Cloudflare akan terdampak
- Jika tren seperti remote attestation, Web Integrity API, dan passkeys memberi perusahaan lebih banyak kuasa, individu bisa kehilangan pilihan atas hardware, sistem operasi, dan software, serta harus menyesuaikan diri dengan aturan yang tidak terlihat
Secure connection loop Cloudflare
- Cloudflare menyediakan content delivery network, perlindungan terhadap serangan distributed denial-of-service, dan layanan infrastruktur jaringan lain untuk banyak bagian internet
- Banyak situs web yang menggunakan Cloudflare menempatkan Browser Integrity Check sebelum akses
- Tujuannya adalah memblokir pelaku berbahaya, bot, dan traffic yang tidak diinginkan, serta memastikan manusia sungguhan menggunakan situs sesuai cara yang dimaksudkan
- Pengguna normal yang mengakses dengan niat baik pun bisa tertahan di halaman keamanan
- Secure connection loop adalah kondisi ketika pengguna memasukkan URL, lalu Cloudflare mencegat permintaan dan menampilkan halaman “Checking if the site connection is secure”, tetapi pemeriksaan tidak pernah selesai
- Indikator loading terus berputar, atau setelah meminta verifikasi manusia lagi, halaman terus dimuat ulang
- Meski pengguna mengikuti prosedur yang diminta, mereka kembali diminta melakukan prosedur berikutnya dan tidak bisa lolos
- Saat mencari “Cloudflare checking if the site connection is secure”, selain dokumentasi resmi Cloudflare, muncul banyak pertanyaan pengguna yang mencoba melewati halaman tersebut, sehingga ini tampak sebagai masalah yang umum
Masalah akses GitLab dan perubahan pengaturan Firefox
- Saat mengakses halaman GitLab dari komputer kerja untuk memeriksa software ilmiah, halaman Browser Integrity Check Cloudflare muncul
- Pengguna mencoba memeriksa error di developer console, menonaktifkan sementara ekstensi, menggunakan jendela private browsing, dan me-restart komputer, tetapi tetap tidak bisa keluar dari loop
- Dari hasil pencarian, pengguna menemukan saran untuk menonaktifkan opsi
privacy.resistFingerprintingdiabout:configFirefox- Saat itu nilainya sudah
false - Setelah nilainya diubah menjadi
true, pengguna berhasil melewati Browser Integrity Check dan mengakses software yang ingin diperiksa
- Saat itu nilainya sudah
Pemblokiran di situs web internal yang tidak terkait
- Keesokan harinya, saat mengakses halaman web internal perusahaan yang diperlukan untuk pekerjaan, halaman blokir muncul
- Secara alur, pengguna sebelumnya tidak bisa melewati loop pemeriksaan Cloudflare, lalu setelah mengubah satu pengaturan terkait privasi di Firefox untuk mengakalinya, pengguna diblokir di situs kerja lain
- Seluruh proses berlangsung dari perangkat kerja dan di balik VPN perusahaan
- VPN tersebut hanya bisa diakses jika perangkat memiliki sertifikat keamanan tertentu yang terpasang
- Karena Cloudflare meminta sertifikat tersebut, pengguna menilai Cloudflare mengetahui keberadaan sertifikat itu
- Sebagai data kuat yang dapat digunakan Cloudflare untuk verifikasi identitas, disebutkan sertifikat keamanan per pengguna dan alamat IP VPN perusahaan
- Tulisan asli awalnya menyebut alamat MAC, tetapi dalam catatan kaki mengoreksi bahwa Cloudflare kemungkinan besar tidak mengetahui alamat MAC, melainkan hanya alamat IP di balik VPN perusahaan
- Tidak ada pemasangan ekstensi tambahan, penggunaan headless browser, perubahan user agent, penggunaan Tor, atau protokol non-standar; yang diubah hanya satu pengaturan privasi browser
- Mengembalikan pengaturan ke nilai semula pun tidak menyelesaikan pemblokiran, sehingga akses ke resource yang diperlukan untuk pekerjaan menjadi tidak pasti
Perkiraan penyebab pemblokiran dan perbandingan dengan Chrome
- Karena secure connection loop, browser mungkin mengirim banyak permintaan akses ke halaman yang sama dalam waktu singkat, dan Cloudflare mungkin mendeteksi tingginya frekuensi permintaan/penolakan ini sebagai pola yang mencurigakan
- Bagian ini bukan penyebab yang sudah dipastikan, melainkan penjelasan yang mungkin
- Setelah itu, akses pertama berhasil lolos karena pemblokiran fingerprinting, tetapi pengguna menilai Cloudflare mungkin menafsirkan rangkaian kejadian tersebut sebagai perilaku berbahaya dan menandai browser sebagai mencurigakan
- Saat akses ke situs internal dicoba dengan Google Chrome, tidak ada pemblokiran
- Fakta bahwa hanya Firefox yang diblokir sementara Chrome tidak diblokir mengarah pada penilaian bahwa pemblokiran Cloudflare berbasis fingerprint browser atau ketiadaan fingerprint
- Kedua permintaan dilakukan dengan sertifikat keamanan yang sama, VPN perusahaan yang sama, perangkat yang sama, dan pada rentang waktu yang sama
- Perbedaannya adalah browser yang digunakan
- Chrome dinilai tidak memiliki desain penguatan privasi dan keamanan pada tingkat yang sama seperti Firefox, serta tidak melawan fingerprinting atau meminta perubahan pengaturan pada tingkat yang sama
Dampak terhadap pekerjaan
- Dalam waktu dekat, situs kerja internal harus diakses menggunakan Chrome
- Tidak diketahui berapa banyak lagi situs web internal maupun eksternal yang “dilindungi” Cloudflare akan ikut diblokir
- Pengguna mungkin bisa mencoba menginstal ulang Firefox, tetapi karena sudah mengalami bahwa respons berbasis tebakan justru memperburuk situasi, sulit untuk yakin mengenai langkah berikutnya
- Karena tidak ada prosedur jelas yang bisa dilakukan sendiri oleh pengguna, ada kemungkinan pengguna harus mencari administrator sistem yang bertanggung jawab atas halaman tersebut di direktori internal dan meminta izin akses
Kekhawatiran terhadap web secara umum
- Fakta bahwa akses ke resource yang diperlukan bisa diblokir ketika perilaku menyimpang satu langkah dari yang diharapkan, meski ada bukti identitas yang kuat, menimbulkan kekhawatiran terhadap masa depan web
- Jika remote attestation dan langkah-langkah “keamanan” diterapkan ke area seperti online banking, dampaknya bisa menjangkau hampir semua bagian kehidupan pribadi
- Pengguna Android yang de-Googled harus berusaha keras agar hardware attestation berfungsi dengan benar demi memakai aplikasi perbankan
- Panduan kompatibilitas attestation GrapheneOS adalah salah satu contohnya
- Dinilai ada kekurangan ruang tengah antara mengakses uang dari perangkat pribadi dan membiarkan Google memantau interaksi perangkat
- Proposal web yang memberi lebih banyak kuasa kepada perusahaan, yang lebih sulit dimintai pertanggungjawaban dibanding individu, dapat memperbanyak situasi ketika pengguna tersesat mencoba memenuhi aturan yang tidak terlihat
- Baru dalam beberapa tahun terakhir perusahaan yang melanggar undang-undang privasi mulai menerima sanksi nyata, dengan denda Facebook sebesar 1,2 miliar euro karena pelanggaran GDPR sebagai contohnya
Pertanyaan yang ditinggalkan Web Integrity API dan passkeys
- Proposal Web Integrity API adalah proposal yang memicu penolakan terkait masa depan web
- Jika perusahaan keuangan menerapkan kebijakan remote attestation di situs web, jenis hardware, sistem operasi, dan software yang bisa digunakan individu dapat makin dibatasi
- Mungkin ada alasan sah untuk memblokir perangkat lama yang rentan dan tidak bisa ditambal, tetapi keputusan perusahaan dinilai bisa mengarah pada peningkatan kontrol perusahaan dengan mengorbankan kebebasan atau hak individu
- Contoh pertama dalam proposal Web Integrity API menyebut kebutuhan agar, pada situs web yang didukung iklan, pengiklan bisa membayar supaya iklan dilihat manusia, bukan robot
- Akibatnya, pengguna manusia dinilai harus menanggung beban untuk membuktikan bahwa mereka manusia
- Fakta bahwa penulis proposal berasal dari Google, yang memiliki pendapatan iklan besar, juga dipertanyakan
- Penerapan passkeys adalah proposal berguna yang dapat menyediakan akses situs web yang lebih aman dan sederhana
- Namun jika, seperti pengalaman Cloudflare, bukti identitas yang kuat pun bisa diabaikan, sulit mengetahui bagaimana passkeys akan diperlakukan oleh penyedia layanan seperti Cloudflare
- Masih ada beberapa pertanyaan praktis mengenai passkeys
- Bisakah pengguna membuat dan menyinkronkan passkeys sendiri
- Jika hanya software tertentu yang bisa menggunakan passkeys, siapa yang menetapkan kriterianya
- Apakah diperlukan persyaratan hardware/software tertentu seperti TPM, DeviceCheck, atau Integrity API
- Apakah passkeys bisa diekspor dari satu penyedia layanan dan dipindahkan ke penyedia lain kapan saja
- Jika sebuah passkey terkait dengan kejadian mencurigakan, apakah penandaan mencurigakan akan menyebar ke perangkat lain yang menggunakan passkey yang sama
- Apakah perangkat yang berisi passkeys mencurigakan juga akan ditandai sebagai mencurigakan, lalu ikut memengaruhi akses perangkat tersebut ke situs web independen lain
- Password memang memiliki banyak kelemahan, tetapi punya keunggulan bahwa individu dapat membuatnya sendiri, membuatnya di perangkat yang mereka miliki, dan mengelolanya dengan cara yang mereka inginkan
- Meski teknologi seperti VPN, sertifikat, dan fingerprinting melengkapi kelemahan password dan keamanan komputer, manfaatnya terbatas jika untuk melakukan hal mendasar pengguna harus mengorbankan privasi dan tetap bisa diblokir
1 komentar
Opini Hacker News
Banyak orang yang mengaku sensitif soal privasi tetap memakai Chrome dan sering tidak menyadari hal ini
Halaman yang diblokir di Firefox bisa dibuka di Chrome, tetapi Chrome tidak dirancang dengan penguatan privasi dan keamanan seperti Firefox, mengumpulkan dan membagikan lebih banyak riwayat penelusuran serta data pribadi, dan juga kurang tahan terhadap fingerprint tracking
Jika dengan sertifikat yang sama, VPN perusahaan yang sama, perangkat yang sama, dan waktu yang sama, hanya mengganti browser saja sudah bisa lolos, itu tampaknya berarti Cloudflare memblokir berdasarkan fingerprint atau ketiadaan fingerprint dari browser
Kalau sekarang masih peduli sedikit saja, sebaiknya jangan memakai Chrome
Dalam situasi ini tidak jelas informasi apa yang diberikan Chrome berbeda dari Firefox, dan bisa saja Firefox sekadar menjadi sasaran filtering yang lebih ketat karena user agent-nya lebih jarang
Saya pernah melihat pesan rate limit hilang ketika mengganti browser di sebuah situs; dengan informasi yang terbatas, mungkin saja mereka menyimpulkan IP yang sama + user agent berbeda = komputer berbeda
Setidaknya perlu dicoba juga dengan browser ketiga
“Pakai Chrome saja” bukan solusi, dan orang yang memakai Firefox atau perangkat lunak non-Google lain tetaplah manusia
Cara memverifikasi “bukan bot” dengan JavaScript terlihat seperti sarana untuk memaksa pengguna mengaktifkan JavaScript dan membuka diri pada lebih banyak tayangan iklan
Jika kriterianya adalah memonopoli pasar dan mengancam masa depan internet terbuka, Cloudflare adalah ancaman yang lebih besar, dan begitu kediktatoran Cloudflare berubah menjadi kurang berniat baik, semua orang akan merasakannya
Saya PM platform challenge di Cloudflare, dan ingin memeriksa penyebab masalahnya
Kami tidak memberi penalti kepada pengguna hanya karena perilaku berulang, jadi bukan karena itu browser akan ditandai mencurigakan
Secara pribadi saya banyak memakai Firefox tetapi tidak pernah melihat perilaku seperti ini; jika ini masalah Firefox secara umum, alarm otomatis akan berbunyi dan kami akan menanganinya sebagai insiden besar
Jika tertarik membantu pemecahan masalah, silakan kirim email ke amartinetti at cloudflare
Alamat IP dipakai untuk routing paket, bukan untuk diam-diam memberi “skor perilaku” kepada pengguna di latar belakang. IP saya kemarin bisa saja IP milik orang yang sama sekali berbeda
Menentukan siapa yang boleh mengakses separuh web berdasarkan tanda tangan TLS tidak menyelesaikan apa pun dalam jangka panjang, memperkuat monopoli browser, dan bertentangan langsung dengan semangat web terbuka
Karena saya menjalankan bot seperti crawler sebagai proyek hobi, ada sisi yang memang saya akibatkan sendiri, tetapi jika hanya meniru tanda tangan TLS milik Chrome, semuanya tetap berjalan. Teman-teman yang tidak punya pengetahuan teknis dan tidak melakukan apa pun juga ikut terseret dalam pemblokiran ini
Layanan Cloudflare kemungkinan besar telah merugikan jutaan orang dengan tiba-tiba diblokir dari separuh WWW, dan kerugian seperti ini adalah konsekuensi logis dari heuristik yang menentukan boleh tidaknya mengakses situs
Konyol juga bahwa satu perusahaan di luar negara saya menentukan apakah saya bisa memakai web, dan sekarang saya harus berkeliling membeli proxy dari tempat-tempat mencurigakan agar tetap bisa memakai Firefox
Biasanya selesai otomatis jadi bukan masalah besar, tetapi saya memang merasakan frekuensinya meningkat minggu lalu
Mungkin karena ekstensi Privacy Pass yang saya pakai, meski saya tidak terlalu tahu sebenarnya apa yang dilakukannya
Lokasi fisiknya masih tetap NYC, tetapi saat mengakses situs AS yang dilindungi Cloudflare, saya terlihat seolah-olah berasal dari Inggris, dan semakin banyak tempat seperti koran lokal, toko bahan makanan, serta perusahaan kartu yang memblokir saya
Informasi geolokasi IPv6 Cloudflare rusak, dan tampaknya tetap ikut mengganggu meski saya mengakses lewat IPv4. Sejak awal, penilaian berbasis geolokasi bukan ide yang baik
Bisa saja karena pengguna VPN lain berperilaku buruk, tetapi sepertinya kemungkinan besar lebih dari itu
Saya pernah mengalami masalah yang persis sama selama beberapa waktu, dan lewat riwayat browser saya bisa mencari “just a moment” untuk menemukan situs-situs yang tidak bisa saya akses
https://gitlab.com/users/sign_in, https://steamdb.info/login/, https://www.zabbix.com/forum/, https://casetext.com/, https://namemc.com/login, https://spinroot.com/, https://camelcamelcamel.com/
Ini masalah yang sudah berlangsung berbulan-bulan, mungkin bertahun-tahun, tetapi Cloudflare tampaknya tidak memperbaikinya; rasanya seperti mereka membenci web terbuka dan ingin memaksakan dominasi Chrome/Chromium/Blink
rayID tidak berisi informasi identitas pribadi, jadi boleh dipublikasikan, atau Anda bisa mengirim email ke amartinetti at cloudflare
Kami juga akan segera meluncurkan mekanisme pelaporan, agar masalah seperti ini ke depannya bisa cepat diberi tahu dan ditangani
Untuk memakai web, kita harus membayar dengan satu atau lain cara: kehilangan akses karena pengaturan privasi yang ketat, atau menyerahkan privasi. Tidak ada cara untuk menang
Saya tidak lagi membayar karena alasan lain, tetapi bagaimanapun rasanya memang keputusan yang tepat untuk berhenti
Padahal itu browser nomor satu di desktop meski bukan bawaan sistem operasi; Windows punya Edge dan Mac punya Safari, tetapi pengguna tetap mengunduh Chrome sendiri
Jika sebagian besar trafik internet dikendalikan oleh satu sumber, masalah seperti ini akan ikut muncul
Kalau Cloudflare bisa secara sewenang-wenang menentukan siapa yang boleh memakai internet, pada praktiknya ucapannya menjadi hukum
Awalnya dimulai dari premis naif seperti “cara mudah memblokir pelaku jahat”, tetapi akhirnya meluas berdasarkan kriteria sewenang-wenang
Jika ingin membela privasi, kita juga harus mengizinkan orang jahat, tetapi pengguna internet rata-rata tidak memahami nuansa seperti ini
Bahkan dalam kasus paling polos sekalipun, satu commit yang salah bisa meruntuhkan internet, dan hal seperti itu sudah pernah terjadi di Cloudflare
Undang-undang antitrust ada karena perusahaan seperti Cloudflare, Google, dan Meta, tetapi tampaknya tidak ada pihak berwenang yang benar-benar mau menggunakannya dengan semestinya. Internet 20 tahun dari sekarang akan sama sekali berbeda dari apa pun yang pernah kita lihat sejauh ini, dan sepertinya bukan perubahan yang baik
Para pelanggan bisa memilih penyedia CDN/WAF dari banyak opsi, dan Cloudflare juga bukan yang terbesar; Akamai lebih besar
CDN yang pertumbuhannya paling cepat adalah CloudFront dan persaingannya tampak sehat, jadi saya tidak mengerti mengapa undang-undang antitrust harus diterapkan
Pemilik situs memilih Cloudflare untuk mencegah itu; bukan Cloudflare yang memaksakannya
Jika membongkar berbagai cookie sesi Cloudflare, halaman “rubber integrity”, atau skrip sisipan man-in-the-middle yang dikirim dalam mode “super bot-fight”, terlihat bahwa pada dasarnya mereka melakukan pemeriksaan integritas browser secara heuristik dengan web worker
Artinya, mereka menjalankan serangkaian tes yang akan dilalui browser nyata yang dikendalikan pengguna, tetapi akan gagal pada browser headless yang dikendalikan bot
Misalnya, untuk memeriksa apakah itu browser sungguhan atau parser HTML mentah, mereka menggambar gambar ke canvas lalu mengekspornya sebagai PNG dan membandingkan hash-nya; atau memeriksa font khas OS konsumen yang mudah terlewat saat menjalankan Puppeteer di container bawaan Lambda/Cloud Function
Lebih jauh lagi, mereka juga bisa melihat apakah gerakan mouse dan ketikan yang tidak perlu sebelum mengaktifkan prompt tampak seperti kesalahan manusia, atau apakah mirip dengan pola pemutaran ulang rekaman yang baru-baru ini terlihat
Jika Anda terjebak dalam loop verifikasi, itu karena browser, perangkat, atau ekstensi Anda cukup menyembunyikan atau menonaktifkan heuristik ini sehingga Cloudflare tidak mendapatkan bukti kuat bahwa Anda manusia; tergantung pengaturan pemilik situs, alih-alih memberi tahu bahwa verifikasi gagal, mereka terus berusaha mendapatkan bukti
Sebab memberi tahu bot bahwa ia gagal sama saja dengan memberi sinyal “berhenti memakai cara yang tidak berhasil dan ubah frekuensi perisai”
Tidak ada exception di konsol, hanya halaman yang sama terus dimuat ulang
Hal yang kadang terlewat adalah pemilik situs yang memakai Cloudflare menentukan seberapa paranoid perilaku globalnya, dan secara terpisah juga bisa membuat aturan WAF yang sangat granular dan agresif
Jadi dalam beberapa kasus, pemilik situslah yang menetapkan aturan terlalu agresif, tetapi Cloudflare yang disalahkan. Dampak yang terlihat bagi pengguna akhir biasanya sama saja
Dulu saya pernah membuat aturan WAF yang memblokir semua trafik bot yang belum diverifikasi dari data center besar seperti Google Cloud, OVH, dan DigitalOcean, tetapi ternyata banyak perusahaan karena suatu alasan merutekan trafik mereka melalui ASN itu, jadi itu kesalahan
Para pengguna itu mungkin marah kepada Cloudflare, tetapi penyebab sebenarnya adalah konfigurasi saya yang salah
Dalam kelas pemrograman, kami memakai browser sederhana sebagai contoh; karena tidak memproses CSS atau JavaScript, tampilannya primitif, tetapi tetap berfungsi
Di beberapa situs ia bekerja, tetapi terutama situs-situs besar menganggapnya sebagai browser yang tidak dikenal dan menolak mengirimkan konten. Mungkin mereka mengira itu bot
Sekalipun itu bot, kalau berperilaku sopan saya tidak tahu apa masalahnya, dan saya jadi bertanya-tanya apakah kita telah membiarkan perusahaan-perusahaan raksasa membangun web tertutup seperti apa
Mereka tidak berkewajiban melayani semua orang
Hal lain yang menyebalkan adalah halaman pemeriksaan Cloudflare juga merusak refresh halaman di Firefox
Ketika Cloudflare mengirim kembali ke halaman asli, navigasinya dilakukan sebagai POST; POST pertama dicegat oleh Cloudflare, tetapi jika halaman di-refresh, POST itu masuk ke halaman sebenarnya, dan halaman tersebut kemungkinan tidak tahu harus melakukan apa lalu menampilkan error
Satu-satunya solusi adalah menekan Enter di address bar untuk bernavigasi ulang alih-alih refresh, atau mencari tautan untuk kembali ke halaman tersebut
Saya tidak akan heran jika suatu situs memblokir Anda karena POST seperti itu. Mereka bisa saja menilai, “Anda tahu tidak boleh melakukan POST ke halaman itu tetapi tetap mengirimkannya, jadi Anda bot jahat yang mencoba meretas”
Cloudflare terlalu sering membuat saya melihat halaman “checking your connection” selama 15–30 detik
Bagi orang seperti saya yang hidup dengan ADHD, penundaan dan gangguan seperti ini yang menumpuk sepanjang hari bisa berdampak serius
Bahkan ketika saya minum obat dengan benar, langkah ini benar-benar membuat saya merasa tidak berdaya, dan menjadikan pengalaman online mengerikan serta menguras energi
Tidak ada yang ingin menampilkannya kepada pengguna, tetapi kadang terpaksa digunakan
Ini akan sangat mengurangi jumlah CAPTCHA yang Anda lihat dengan cara yang tidak terlalu buruk bagi privasi
Di Safari, Anda bisa mengaktifkan Private Access Tokens: https://blog.cloudflare.com/how-to-enable-private-access-tok...
Kedua pendekatan ini mirip dengan usulan DRM web dari Google dalam hal token dibuat oleh penerbit eksternal, tetapi berbeda dari upaya Google, halaman yang ingin memakai token tidak menjamin bahwa ad blocker dimatikan
Baru kemarin saya mengetahui bahwa login PayPal tidak bisa dilakukan dengan Safari atau Firefox, dan hanya bisa di browser berbasis Chromium
Kita semakin jauh masuk ke era “situs ini dioptimalkan untuk Google Chrome”
Jika perlindungan fingerprinting di Firefox diaktifkan, Anda tidak bisa login, dan tampaknya autentikasi dua faktor saja tidak cukup untuk melindungi akun
Karena Twitch tidak mengizinkan saya login kecuali saya membiarkan mereka mengidentifikasi komputer saya secara unik, saya akhirnya berhenti menonton stream Twitch
Itu terjadi di Firefox pada Windows, Linux, dan Android; untungnya saya masih login di aplikasinya, tetapi karena tidak bisa masuk ke PayPal lewat Firefox, saya pernah harus membayar dengan kartu kredit meski punya saldo PayPal