1 poin oleh GN⁺ 2023-08-09 | 1 komentar | Bagikan ke WhatsApp
  • Di halaman GitLab yang diperlukan untuk pekerjaan, pengguna terjebak dalam “secure connection loop” saat Browser Integrity Check Cloudflare tidak kunjung selesai, lalu akses Firefox juga diblokir di situs web internal perusahaan yang terpisah
  • Mengubah nilai privacy.resistFingerprinting di Firefox menyelesaikan akses ke GitLab, tetapi keesokan harinya halaman blokir muncul di situs internal perusahaan yang tidak terkait, dan mengembalikan nilainya pun tidak membuka blokir
  • Dengan perangkat kerja, VPN perusahaan, dan sertifikat keamanan yang sama, Chrome bisa mengakses sementara hanya Firefox yang diblokir, sehingga pengguna menilai keputusan pemblokiran terkait dengan fingerprint browser atau ketiadaan fingerprint
  • Untuk sementara, situs kerja internal harus diakses dengan Chrome, dan sulit bagi pengguna mengetahui berapa banyak lagi situs internal maupun eksternal yang “dilindungi” Cloudflare akan terdampak
  • Jika tren seperti remote attestation, Web Integrity API, dan passkeys memberi perusahaan lebih banyak kuasa, individu bisa kehilangan pilihan atas hardware, sistem operasi, dan software, serta harus menyesuaikan diri dengan aturan yang tidak terlihat

Secure connection loop Cloudflare

  • Cloudflare menyediakan content delivery network, perlindungan terhadap serangan distributed denial-of-service, dan layanan infrastruktur jaringan lain untuk banyak bagian internet
  • Banyak situs web yang menggunakan Cloudflare menempatkan Browser Integrity Check sebelum akses
    • Tujuannya adalah memblokir pelaku berbahaya, bot, dan traffic yang tidak diinginkan, serta memastikan manusia sungguhan menggunakan situs sesuai cara yang dimaksudkan
    • Pengguna normal yang mengakses dengan niat baik pun bisa tertahan di halaman keamanan
  • Secure connection loop adalah kondisi ketika pengguna memasukkan URL, lalu Cloudflare mencegat permintaan dan menampilkan halaman “Checking if the site connection is secure”, tetapi pemeriksaan tidak pernah selesai
    • Indikator loading terus berputar, atau setelah meminta verifikasi manusia lagi, halaman terus dimuat ulang
    • Meski pengguna mengikuti prosedur yang diminta, mereka kembali diminta melakukan prosedur berikutnya dan tidak bisa lolos
  • Saat mencari “Cloudflare checking if the site connection is secure”, selain dokumentasi resmi Cloudflare, muncul banyak pertanyaan pengguna yang mencoba melewati halaman tersebut, sehingga ini tampak sebagai masalah yang umum

Masalah akses GitLab dan perubahan pengaturan Firefox

  • Saat mengakses halaman GitLab dari komputer kerja untuk memeriksa software ilmiah, halaman Browser Integrity Check Cloudflare muncul
  • Pengguna mencoba memeriksa error di developer console, menonaktifkan sementara ekstensi, menggunakan jendela private browsing, dan me-restart komputer, tetapi tetap tidak bisa keluar dari loop
  • Dari hasil pencarian, pengguna menemukan saran untuk menonaktifkan opsi privacy.resistFingerprinting di about:config Firefox
    • Saat itu nilainya sudah false
    • Setelah nilainya diubah menjadi true, pengguna berhasil melewati Browser Integrity Check dan mengakses software yang ingin diperiksa

Pemblokiran di situs web internal yang tidak terkait

  • Keesokan harinya, saat mengakses halaman web internal perusahaan yang diperlukan untuk pekerjaan, halaman blokir muncul
  • Secara alur, pengguna sebelumnya tidak bisa melewati loop pemeriksaan Cloudflare, lalu setelah mengubah satu pengaturan terkait privasi di Firefox untuk mengakalinya, pengguna diblokir di situs kerja lain
  • Seluruh proses berlangsung dari perangkat kerja dan di balik VPN perusahaan
    • VPN tersebut hanya bisa diakses jika perangkat memiliki sertifikat keamanan tertentu yang terpasang
    • Karena Cloudflare meminta sertifikat tersebut, pengguna menilai Cloudflare mengetahui keberadaan sertifikat itu
  • Sebagai data kuat yang dapat digunakan Cloudflare untuk verifikasi identitas, disebutkan sertifikat keamanan per pengguna dan alamat IP VPN perusahaan
    • Tulisan asli awalnya menyebut alamat MAC, tetapi dalam catatan kaki mengoreksi bahwa Cloudflare kemungkinan besar tidak mengetahui alamat MAC, melainkan hanya alamat IP di balik VPN perusahaan
  • Tidak ada pemasangan ekstensi tambahan, penggunaan headless browser, perubahan user agent, penggunaan Tor, atau protokol non-standar; yang diubah hanya satu pengaturan privasi browser
  • Mengembalikan pengaturan ke nilai semula pun tidak menyelesaikan pemblokiran, sehingga akses ke resource yang diperlukan untuk pekerjaan menjadi tidak pasti

Perkiraan penyebab pemblokiran dan perbandingan dengan Chrome

  • Karena secure connection loop, browser mungkin mengirim banyak permintaan akses ke halaman yang sama dalam waktu singkat, dan Cloudflare mungkin mendeteksi tingginya frekuensi permintaan/penolakan ini sebagai pola yang mencurigakan
    • Bagian ini bukan penyebab yang sudah dipastikan, melainkan penjelasan yang mungkin
    • Setelah itu, akses pertama berhasil lolos karena pemblokiran fingerprinting, tetapi pengguna menilai Cloudflare mungkin menafsirkan rangkaian kejadian tersebut sebagai perilaku berbahaya dan menandai browser sebagai mencurigakan
  • Saat akses ke situs internal dicoba dengan Google Chrome, tidak ada pemblokiran
  • Fakta bahwa hanya Firefox yang diblokir sementara Chrome tidak diblokir mengarah pada penilaian bahwa pemblokiran Cloudflare berbasis fingerprint browser atau ketiadaan fingerprint
    • Kedua permintaan dilakukan dengan sertifikat keamanan yang sama, VPN perusahaan yang sama, perangkat yang sama, dan pada rentang waktu yang sama
    • Perbedaannya adalah browser yang digunakan
  • Chrome dinilai tidak memiliki desain penguatan privasi dan keamanan pada tingkat yang sama seperti Firefox, serta tidak melawan fingerprinting atau meminta perubahan pengaturan pada tingkat yang sama

Dampak terhadap pekerjaan

  • Dalam waktu dekat, situs kerja internal harus diakses menggunakan Chrome
  • Tidak diketahui berapa banyak lagi situs web internal maupun eksternal yang “dilindungi” Cloudflare akan ikut diblokir
  • Pengguna mungkin bisa mencoba menginstal ulang Firefox, tetapi karena sudah mengalami bahwa respons berbasis tebakan justru memperburuk situasi, sulit untuk yakin mengenai langkah berikutnya
  • Karena tidak ada prosedur jelas yang bisa dilakukan sendiri oleh pengguna, ada kemungkinan pengguna harus mencari administrator sistem yang bertanggung jawab atas halaman tersebut di direktori internal dan meminta izin akses

Kekhawatiran terhadap web secara umum

  • Fakta bahwa akses ke resource yang diperlukan bisa diblokir ketika perilaku menyimpang satu langkah dari yang diharapkan, meski ada bukti identitas yang kuat, menimbulkan kekhawatiran terhadap masa depan web
  • Jika remote attestation dan langkah-langkah “keamanan” diterapkan ke area seperti online banking, dampaknya bisa menjangkau hampir semua bagian kehidupan pribadi
  • Pengguna Android yang de-Googled harus berusaha keras agar hardware attestation berfungsi dengan benar demi memakai aplikasi perbankan
  • Proposal web yang memberi lebih banyak kuasa kepada perusahaan, yang lebih sulit dimintai pertanggungjawaban dibanding individu, dapat memperbanyak situasi ketika pengguna tersesat mencoba memenuhi aturan yang tidak terlihat
  • Baru dalam beberapa tahun terakhir perusahaan yang melanggar undang-undang privasi mulai menerima sanksi nyata, dengan denda Facebook sebesar 1,2 miliar euro karena pelanggaran GDPR sebagai contohnya

Pertanyaan yang ditinggalkan Web Integrity API dan passkeys

  • Proposal Web Integrity API adalah proposal yang memicu penolakan terkait masa depan web
    • Jika perusahaan keuangan menerapkan kebijakan remote attestation di situs web, jenis hardware, sistem operasi, dan software yang bisa digunakan individu dapat makin dibatasi
    • Mungkin ada alasan sah untuk memblokir perangkat lama yang rentan dan tidak bisa ditambal, tetapi keputusan perusahaan dinilai bisa mengarah pada peningkatan kontrol perusahaan dengan mengorbankan kebebasan atau hak individu
  • Contoh pertama dalam proposal Web Integrity API menyebut kebutuhan agar, pada situs web yang didukung iklan, pengiklan bisa membayar supaya iklan dilihat manusia, bukan robot
    • Akibatnya, pengguna manusia dinilai harus menanggung beban untuk membuktikan bahwa mereka manusia
    • Fakta bahwa penulis proposal berasal dari Google, yang memiliki pendapatan iklan besar, juga dipertanyakan
  • Penerapan passkeys adalah proposal berguna yang dapat menyediakan akses situs web yang lebih aman dan sederhana
    • Namun jika, seperti pengalaman Cloudflare, bukti identitas yang kuat pun bisa diabaikan, sulit mengetahui bagaimana passkeys akan diperlakukan oleh penyedia layanan seperti Cloudflare
  • Masih ada beberapa pertanyaan praktis mengenai passkeys
    • Bisakah pengguna membuat dan menyinkronkan passkeys sendiri
    • Jika hanya software tertentu yang bisa menggunakan passkeys, siapa yang menetapkan kriterianya
    • Apakah diperlukan persyaratan hardware/software tertentu seperti TPM, DeviceCheck, atau Integrity API
    • Apakah passkeys bisa diekspor dari satu penyedia layanan dan dipindahkan ke penyedia lain kapan saja
    • Jika sebuah passkey terkait dengan kejadian mencurigakan, apakah penandaan mencurigakan akan menyebar ke perangkat lain yang menggunakan passkey yang sama
    • Apakah perangkat yang berisi passkeys mencurigakan juga akan ditandai sebagai mencurigakan, lalu ikut memengaruhi akses perangkat tersebut ke situs web independen lain
  • Password memang memiliki banyak kelemahan, tetapi punya keunggulan bahwa individu dapat membuatnya sendiri, membuatnya di perangkat yang mereka miliki, dan mengelolanya dengan cara yang mereka inginkan
  • Meski teknologi seperti VPN, sertifikat, dan fingerprinting melengkapi kelemahan password dan keamanan komputer, manfaatnya terbatas jika untuk melakukan hal mendasar pengguna harus mengorbankan privasi dan tetap bisa diblokir

1 komentar

 
GN⁺ 2023-08-09
Opini Hacker News
  • Banyak orang yang mengaku sensitif soal privasi tetap memakai Chrome dan sering tidak menyadari hal ini
    Halaman yang diblokir di Firefox bisa dibuka di Chrome, tetapi Chrome tidak dirancang dengan penguatan privasi dan keamanan seperti Firefox, mengumpulkan dan membagikan lebih banyak riwayat penelusuran serta data pribadi, dan juga kurang tahan terhadap fingerprint tracking
    Jika dengan sertifikat yang sama, VPN perusahaan yang sama, perangkat yang sama, dan waktu yang sama, hanya mengganti browser saja sudah bisa lolos, itu tampaknya berarti Cloudflare memblokir berdasarkan fingerprint atau ketiadaan fingerprint dari browser
    Kalau sekarang masih peduli sedikit saja, sebaiknya jangan memakai Chrome

    • Saya bukan penggemar Google, tetapi logika bahwa “Chrome lolos karena memberikan lebih banyak informasi” kurang meyakinkan
      Dalam situasi ini tidak jelas informasi apa yang diberikan Chrome berbeda dari Firefox, dan bisa saja Firefox sekadar menjadi sasaran filtering yang lebih ketat karena user agent-nya lebih jarang
      Saya pernah melihat pesan rate limit hilang ketika mengganti browser di sebuah situs; dengan informasi yang terbatas, mungkin saja mereka menyimpulkan IP yang sama + user agent berbeda = komputer berbeda
      Setidaknya perlu dicoba juga dengan browser ketiga
    • Heuristik yang disebut-sebut untuk membedakan “bot” dan “manusia” tidak pantas selama manusia bisa keliru dianggap bot lalu diblokir
      “Pakai Chrome saja” bukan solusi, dan orang yang memakai Firefox atau perangkat lunak non-Google lain tetaplah manusia
      Cara memverifikasi “bukan bot” dengan JavaScript terlihat seperti sarana untuk memaksa pengguna mengaktifkan JavaScript dan membuka diri pada lebih banyak tayangan iklan
    • Mudah mengatakan jangan pakai Chrome, tetapi jauh lebih sulit mengatakan jangan pakai Cloudflare
      Jika kriterianya adalah memonopoli pasar dan mengancam masa depan internet terbuka, Cloudflare adalah ancaman yang lebih besar, dan begitu kediktatoran Cloudflare berubah menjadi kurang berniat baik, semua orang akan merasakannya
    • Kalau sekarang masih peduli sedikit saja, selain Chrome, sebaiknya jangan pakai Cloudflare juga
    • Baru pertama kali saya dengar bahwa “orang yang sensitif soal privasi banyak memakai Chrome”
  • Saya PM platform challenge di Cloudflare, dan ingin memeriksa penyebab masalahnya
    Kami tidak memberi penalti kepada pengguna hanya karena perilaku berulang, jadi bukan karena itu browser akan ditandai mencurigakan
    Secara pribadi saya banyak memakai Firefox tetapi tidak pernah melihat perilaku seperti ini; jika ini masalah Firefox secara umum, alarm otomatis akan berbunyi dan kami akan menanganinya sebagai insiden besar
    Jika tertarik membantu pemecahan masalah, silakan kirim email ke amartinetti at cloudflare

    • Penyebab masalahnya adalah perangkat lunak itu memiliki cacat desain
      Alamat IP dipakai untuk routing paket, bukan untuk diam-diam memberi “skor perilaku” kepada pengguna di latar belakang. IP saya kemarin bisa saja IP milik orang yang sama sekali berbeda
      Menentukan siapa yang boleh mengakses separuh web berdasarkan tanda tangan TLS tidak menyelesaikan apa pun dalam jangka panjang, memperkuat monopoli browser, dan bertentangan langsung dengan semangat web terbuka
      Karena saya menjalankan bot seperti crawler sebagai proyek hobi, ada sisi yang memang saya akibatkan sendiri, tetapi jika hanya meniru tanda tangan TLS milik Chrome, semuanya tetap berjalan. Teman-teman yang tidak punya pengetahuan teknis dan tidak melakukan apa pun juga ikut terseret dalam pemblokiran ini
      Layanan Cloudflare kemungkinan besar telah merugikan jutaan orang dengan tiba-tiba diblokir dari separuh WWW, dan kerugian seperti ini adalah konsekuensi logis dari heuristik yang menentukan boleh tidaknya mengakses situs
      Konyol juga bahwa satu perusahaan di luar negara saya menentukan apakah saya bisa memakai web, dan sekarang saya harus berkeliling membeli proxy dari tempat-tempat mencurigakan agar tetap bisa memakai Firefox
    • Saya memakai Firefox, dan belakangan lebih sering melihat halaman intersepsi “memeriksa apakah Anda manusia” dari Cloudflare
      Biasanya selesai otomatis jadi bukan masalah besar, tetapi saya memang merasakan frekuensinya meningkat minggu lalu
    • Saya memakai Firefox tetapi tidak merasa jumlah CAPTCHA yang harus saya selesaikan bertambah, dan hampir tidak pernah melihat halaman “connection secure”
      Mungkin karena ekstensi Privacy Pass yang saya pakai, meski saya tidak terlalu tahu sebenarnya apa yang dilakukannya
    • Proxy IP yang biasa saya pakai bermasalah setelah kepemilikan datacenter berubah dari ARIN ke RIPE
      Lokasi fisiknya masih tetap NYC, tetapi saat mengakses situs AS yang dilindungi Cloudflare, saya terlihat seolah-olah berasal dari Inggris, dan semakin banyak tempat seperti koran lokal, toko bahan makanan, serta perusahaan kartu yang memblokir saya
      Informasi geolokasi IPv6 Cloudflare rusak, dan tampaknya tetap ikut mengganggu meski saya mengakses lewat IPv4. Sejak awal, penilaian berbasis geolokasi bukan ide yang baik
    • Saya melihat fenomena ini di Firefox ketika merutekan traffic melalui ProtonVPN
      Bisa saja karena pengguna VPN lain berperilaku buruk, tetapi sepertinya kemungkinan besar lebih dari itu
  • Saya pernah mengalami masalah yang persis sama selama beberapa waktu, dan lewat riwayat browser saya bisa mencari “just a moment” untuk menemukan situs-situs yang tidak bisa saya akses
    https://gitlab.com/users/sign_in, https://steamdb.info/login/, https://www.zabbix.com/forum/, https://casetext.com/, https://namemc.com/login, https://spinroot.com/, https://camelcamelcamel.com/
    Ini masalah yang sudah berlangsung berbulan-bulan, mungkin bertahun-tahun, tetapi Cloudflare tampaknya tidak memperbaikinya; rasanya seperti mereka membenci web terbuka dan ingin memaksakan dominasi Chrome/Chromium/Blink

    • Jika Anda bisa membagikan rayID yang muncul pada challenge berulang seperti ini, saya ingin memeriksanya
      rayID tidak berisi informasi identitas pribadi, jadi boleh dipublikasikan, atau Anda bisa mengirim email ke amartinetti at cloudflare
      Kami juga akan segera meluncurkan mekanisme pelaporan, agar masalah seperti ini ke depannya bisa cepat diberi tahu dan ditangani
    • Saya juga selalu mengalaminya, sudah bertahun-tahun, dan makin lama makin terasa memburuk
      Untuk memakai web, kita harus membayar dengan satu atau lain cara: kehilangan akses karena pengaturan privasi yang ketat, atau menyerahkan privasi. Tidak ada cara untuk menang
    • Di Waterfox tidak ada masalah, tetapi sekarang sekadar mengunjungi situs web saja harus membutuhkan JavaScript itu tidak masuk akal
    • GitLab juga memblokir login karena Cloudflare, bahkan ketika saya masih pelanggan berbayar
      Saya tidak lagi membayar karena alasan lain, tetapi bagaimanapun rasanya memang keputusan yang tepat untuk berhenti
    • Sepertinya para pengguna menginginkan dominasi Chrome dan tidak peduli pada web terbuka atau Firefox
      Padahal itu browser nomor satu di desktop meski bukan bawaan sistem operasi; Windows punya Edge dan Mac punya Safari, tetapi pengguna tetap mengunduh Chrome sendiri
  • Jika sebagian besar trafik internet dikendalikan oleh satu sumber, masalah seperti ini akan ikut muncul
    Kalau Cloudflare bisa secara sewenang-wenang menentukan siapa yang boleh memakai internet, pada praktiknya ucapannya menjadi hukum
    Awalnya dimulai dari premis naif seperti “cara mudah memblokir pelaku jahat”, tetapi akhirnya meluas berdasarkan kriteria sewenang-wenang
    Jika ingin membela privasi, kita juga harus mengizinkan orang jahat, tetapi pengguna internet rata-rata tidak memahami nuansa seperti ini
    Bahkan dalam kasus paling polos sekalipun, satu commit yang salah bisa meruntuhkan internet, dan hal seperti itu sudah pernah terjadi di Cloudflare
    Undang-undang antitrust ada karena perusahaan seperti Cloudflare, Google, dan Meta, tetapi tampaknya tidak ada pihak berwenang yang benar-benar mau menggunakannya dengan semestinya. Internet 20 tahun dari sekarang akan sama sekali berbeda dari apa pun yang pernah kita lihat sejauh ini, dan sepertinya bukan perubahan yang baik

    • Anda bukan pelanggan yang membayar Cloudflare; pelanggannya adalah situs-situs yang membayar untuk perlindungan infrastruktur
      Para pelanggan bisa memilih penyedia CDN/WAF dari banyak opsi, dan Cloudflare juga bukan yang terbesar; Akamai lebih besar
      CDN yang pertumbuhannya paling cepat adalah CloudFront dan persaingannya tampak sehat, jadi saya tidak mengerti mengapa undang-undang antitrust harus diterapkan
    • Semua orang lupa bahwa situs web bisa hampir tidak dapat digunakan karena crawler dan bot
      Pemilik situs memilih Cloudflare untuk mencegah itu; bukan Cloudflare yang memaksakannya
    • Internet sekarang juga sama sekali berbeda dari internet 20 tahun lalu
    • Sepertinya pangsa pasar Cloudflare sama sekali belum cukup untuk menimbulkan kekhawatiran antitrust
    • Pembicaraan soal antitrust baru tepat jika Cloudflare menghalangi orang pindah ke pesaing
  • Jika membongkar berbagai cookie sesi Cloudflare, halaman “rubber integrity”, atau skrip sisipan man-in-the-middle yang dikirim dalam mode “super bot-fight”, terlihat bahwa pada dasarnya mereka melakukan pemeriksaan integritas browser secara heuristik dengan web worker
    Artinya, mereka menjalankan serangkaian tes yang akan dilalui browser nyata yang dikendalikan pengguna, tetapi akan gagal pada browser headless yang dikendalikan bot
    Misalnya, untuk memeriksa apakah itu browser sungguhan atau parser HTML mentah, mereka menggambar gambar ke canvas lalu mengekspornya sebagai PNG dan membandingkan hash-nya; atau memeriksa font khas OS konsumen yang mudah terlewat saat menjalankan Puppeteer di container bawaan Lambda/Cloud Function
    Lebih jauh lagi, mereka juga bisa melihat apakah gerakan mouse dan ketikan yang tidak perlu sebelum mengaktifkan prompt tampak seperti kesalahan manusia, atau apakah mirip dengan pola pemutaran ulang rekaman yang baru-baru ini terlihat
    Jika Anda terjebak dalam loop verifikasi, itu karena browser, perangkat, atau ekstensi Anda cukup menyembunyikan atau menonaktifkan heuristik ini sehingga Cloudflare tidak mendapatkan bukti kuat bahwa Anda manusia; tergantung pengaturan pemilik situs, alih-alih memberi tahu bahwa verifikasi gagal, mereka terus berusaha mendapatkan bukti
    Sebab memberi tahu bot bahwa ia gagal sama saja dengan memberi sinyal “berhenti memakai cara yang tidak berhasil dan ubah frekuensi perisai”

    • Dari sudut pandang pengguna, itu hanya terlihat seperti situs webnya rusak
      Tidak ada exception di konsol, hanya halaman yang sama terus dimuat ulang
    • Jika bot terjebak dalam loop Cloudflare selama 10 menit, menurut saya itu sinyal yang cukup kuat bahwa ada sesuatu yang tidak berfungsi
    • Kalau begitu, saya tidak tahu bagaimana menjelaskan pemblokiran yang terjadi pada browser atau platform yang kurang umum
  • Hal yang kadang terlewat adalah pemilik situs yang memakai Cloudflare menentukan seberapa paranoid perilaku globalnya, dan secara terpisah juga bisa membuat aturan WAF yang sangat granular dan agresif
    Jadi dalam beberapa kasus, pemilik situslah yang menetapkan aturan terlalu agresif, tetapi Cloudflare yang disalahkan. Dampak yang terlihat bagi pengguna akhir biasanya sama saja
    Dulu saya pernah membuat aturan WAF yang memblokir semua trafik bot yang belum diverifikasi dari data center besar seperti Google Cloud, OVH, dan DigitalOcean, tetapi ternyata banyak perusahaan karena suatu alasan merutekan trafik mereka melalui ASN itu, jadi itu kesalahan
    Para pengguna itu mungkin marah kepada Cloudflare, tetapi penyebab sebenarnya adalah konfigurasi saya yang salah

  • Dalam kelas pemrograman, kami memakai browser sederhana sebagai contoh; karena tidak memproses CSS atau JavaScript, tampilannya primitif, tetapi tetap berfungsi
    Di beberapa situs ia bekerja, tetapi terutama situs-situs besar menganggapnya sebagai browser yang tidak dikenal dan menolak mengirimkan konten. Mungkin mereka mengira itu bot
    Sekalipun itu bot, kalau berperilaku sopan saya tidak tahu apa masalahnya, dan saya jadi bertanya-tanya apakah kita telah membiarkan perusahaan-perusahaan raksasa membangun web tertutup seperti apa

    • Situs berhak memutuskan sendiri apakah akan merespons sebuah permintaan
      Mereka tidak berkewajiban melayani semua orang
    • Dari posisi devil’s advocate, saya penasaran mengapa server tidak boleh memutuskan klien mana yang akan diajak berkomunikasi
  • Hal lain yang menyebalkan adalah halaman pemeriksaan Cloudflare juga merusak refresh halaman di Firefox
    Ketika Cloudflare mengirim kembali ke halaman asli, navigasinya dilakukan sebagai POST; POST pertama dicegat oleh Cloudflare, tetapi jika halaman di-refresh, POST itu masuk ke halaman sebenarnya, dan halaman tersebut kemungkinan tidak tahu harus melakukan apa lalu menampilkan error
    Satu-satunya solusi adalah menekan Enter di address bar untuk bernavigasi ulang alih-alih refresh, atau mencari tautan untuk kembali ke halaman tersebut
    Saya tidak akan heran jika suatu situs memblokir Anda karena POST seperti itu. Mereka bisa saja menilai, “Anda tahu tidak boleh melakukan POST ke halaman itu tetapi tetap mengirimkannya, jadi Anda bot jahat yang mencoba meretas”

  • Cloudflare terlalu sering membuat saya melihat halaman “checking your connection” selama 15–30 detik
    Bagi orang seperti saya yang hidup dengan ADHD, penundaan dan gangguan seperti ini yang menumpuk sepanjang hari bisa berdampak serius
    Bahkan ketika saya minum obat dengan benar, langkah ini benar-benar membuat saya merasa tidak berdaya, dan menjadikan pengalaman online mengerikan serta menguras energi

    • Biasanya hal seperti itu diaktifkan pada situs yang sedang terkena serangan DDoS berat
      Tidak ada yang ingin menampilkannya kepada pengguna, tetapi kadang terpaksa digunakan
    • Bukan Cloudflare yang menyuruh, melainkan pelanggan yang memakai Cloudflare yang mengaturnya demikian
    • Privacy Pass dari Cloudflare mungkin bisa membantu: https://privacypass.github.io/
      Ini akan sangat mengurangi jumlah CAPTCHA yang Anda lihat dengan cara yang tidak terlalu buruk bagi privasi
      Di Safari, Anda bisa mengaktifkan Private Access Tokens: https://blog.cloudflare.com/how-to-enable-private-access-tok...
      Kedua pendekatan ini mirip dengan usulan DRM web dari Google dalam hal token dibuat oleh penerbit eksternal, tetapi berbeda dari upaya Google, halaman yang ingin memakai token tidak menjamin bahwa ad blocker dimatikan
  • Baru kemarin saya mengetahui bahwa login PayPal tidak bisa dilakukan dengan Safari atau Firefox, dan hanya bisa di browser berbasis Chromium
    Kita semakin jauh masuk ke era “situs ini dioptimalkan untuk Google Chrome”

    • Twitch juga punya masalah ini
      Jika perlindungan fingerprinting di Firefox diaktifkan, Anda tidak bisa login, dan tampaknya autentikasi dua faktor saja tidak cukup untuk melindungi akun
      Karena Twitch tidak mengizinkan saya login kecuali saya membiarkan mereka mengidentifikasi komputer saya secara unik, saya akhirnya berhenti menonton stream Twitch
    • Masalah PayPal ini sudah saya alami cukup lama
      Itu terjadi di Firefox pada Windows, Linux, dan Android; untungnya saya masih login di aplikasinya, tetapi karena tidak bisa masuk ke PayPal lewat Firefox, saya pernah harus membayar dengan kartu kredit meski punya saldo PayPal