1 puan yazan GN⁺ 2023-08-09 | 1 yorum | WhatsApp'ta paylaş
  • İş için gerekli bir GitLab sayfasında Cloudflare’ın tarayıcı bütünlüğü kontrolünün bitmediği bir “secure connection loop” durumuna takıldı; ardından ayrı bir şirket içi web sitesinde de Firefox erişimi engellendi
  • Firefox’taki privacy.resistFingerprinting değerini değiştirince GitLab erişimi çözüldü, ancak ertesi gün ilgili olmayan bir şirket içi sitede engelleme sayfası çıktı ve değer eski haline getirilse de sorun düzelmedi
  • Aynı iş cihazı, şirket VPN’i ve güvenlik sertifikası koşullarında Chrome erişebildi, yalnızca Firefox engellendi; bu da engelleme kararının tarayıcı parmak izi ya da parmak izi yokluğuyla ilişkili olduğu izlenimini verdi
  • Bir süre şirket içi iş siteleri için Chrome kullanmak gerekecek ve Cloudflare ile “korunan” iç ve dış sitelerden daha kaçının etkileneceğini kullanıcının bilmesi zor
  • Uzaktan doğrulama, Web Integrity API ve passkeys gibi akışlar şirketlere daha fazla yetki verirse, bireyler donanım, işletim sistemi ve yazılım seçme özgürlüğünü kaybedip görünmez kurallara uymak zorunda kalabilir

Cloudflare’ın secure connection loop’u

  • Cloudflare, internetin büyük bir bölümü için içerik dağıtım ağı, dağıtık hizmet engelleme saldırısı savunması ve diğer ağ altyapı hizmetleri sağlıyor
  • Cloudflare kullanan birçok web sitesi, erişimden önce tarayıcı bütünlüğü kontrolü uyguluyor
    • Amaç, kötü niyetli aktörleri, botları ve istenmeyen trafiği engellemek ve gerçek insanların siteyi amaçlandığı şekilde kullanmasını sağlamak
    • Ancak normal kullanıcılar da iyi niyetle erişmeye çalışırken bu güvenlik sayfasında takılabiliyor
  • secure connection loop, kullanıcı URL’yi girdiğinde Cloudflare’ın isteği araya girip “Checking if the site connection is secure” sayfasını göstermesi ve kontrolün hiç tamamlanmaması durumu
    • Yükleme göstergesi sürekli dönüyor ya da yeniden insan doğrulaması istendikten sonra sayfa durmadan yenileniyor
    • Kullanıcı istenen adımları izlese bile bir sonraki adım tekrar tekrar isteniyor ve geçiş yapılamıyor
  • “Cloudflare checking if the site connection is secure” diye aratıldığında, Cloudflare’ın resmi belgeleri dışında da bu sayfayı aşmaya çalışan kullanıcı sorularının çok olması, bunun yaygın bir sorun olduğunu düşündürüyor

GitLab erişim sorunu ve Firefox ayarını değiştirme

  • İş bilgisayarında bilimsel bir yazılımı kontrol etmek için GitLab sayfasına girildiğinde Cloudflare’ın tarayıcı bütünlüğü kontrol sayfası göründü
  • Geliştirici konsolundaki hataları kontrol etme, eklentileri geçici olarak devre dışı bırakma, gizli pencere açma ve bilgisayarı yeniden başlatma denendi ama döngüden çıkılamadı
  • Arama sonuçlarında Firefox’un about:config bölümünde privacy.resistFingerprinting seçeneğini devre dışı bırakmayı öneren bir tavsiye bulundu
    • O sırada bu değer zaten false durumundaydı
    • Değer true yapılınca tarayıcı bütünlüğü kontrolü geçildi ve bakılmak istenen yazılıma erişilebildi

İlgisiz bir şirket içi web sitesinde ortaya çıkan engelleme

  • Ertesi gün iş için gerekli şirket içi bir web sayfasına erişilmeye çalışıldığında bir engelleme sayfası çıktı
  • Akışa bakıldığında, önce Cloudflare kontrol döngüsü geçilememiş, bunu aşmak için Firefox’ta gizlilikle ilgili bir ayar değiştirilmiş, ardından ayrı bir iş sitesinde engel ortaya çıkmış oldu
  • Tüm süreç iş cihazı ve şirket VPN’i arkasından yürütüldü
    • Bu VPN’e erişim için cihaza belirli bir güvenlik sertifikasının kurulmuş olması gerekiyor
    • Cloudflare bu sertifikayı istediği için sertifikanın varlığından haberdar olduğu düşünülüyor
  • Cloudflare’ın kimlik doğrulamada kullanabileceği güçlü veriler olarak kullanıcıya ait güvenlik sertifikası ve şirket VPN IP adresi gösterildi
    • Asıl metin başlangıçta MAC adresinden söz ediyordu, ancak dipnotta Cloudflare’ın MAC adresini değil yalnızca şirket VPN’i arkasındaki IP adresini görebiliyor olmasının daha muhtemel olduğu şeklinde düzeltme yapılıyor
  • Ayrı bir eklenti kurulmadı, headless browser kullanılmadı, kullanıcı aracısı değiştirilmedi, Tor veya standart dışı protokol kullanılmadı; değişen tek şey tarayıcıdaki bir gizlilik ayarıydı
  • Ayar eski değerine döndürülse bile engel kalkmadı ve iş için gerekli kaynaklara erişim belirsiz hale geldi

Engelleme nedenine dair tahmin ve Chrome karşılaştırması

  • secure connection loop nedeniyle tarayıcı kısa sürede aynı sayfaya birçok kez erişim istemiş olabilir ve Cloudflare bu yüksek istek/ret sıklığını şüpheli bir örüntü olarak algılamış olabilir
    • Bu kesinleşmiş bir neden değil, yalnızca olası bir açıklama
    • Sonrasında parmak izi engelini aşarak ilk erişim sağlansa da, Cloudflare bu olaylar dizisini kötü niyetli davranış olarak yorumlayıp tarayıcıyı şüpheli olarak işaretlemiş olabilir
  • Şirket içi siteye Google Chrome ile erişim denendiğinde engelleme yaşanmadı
  • Yalnızca Firefox’un engellenip Chrome’un engellenmemesi, Cloudflare’ın engellemesinin tarayıcı parmak izine ya da parmak izi eksikliğine dayandığı sonucuna götürüyor
    • İki istek de aynı güvenlik sertifikası, aynı şirket VPN’i, aynı cihaz ve aynı zaman diliminde yapıldı
    • Fark sadece kullanılan tarayıcıydı
  • Chrome’un, Firefox’taki kadar güçlü gizlilik ve güvenlik sertleştirmesine sahip olmadığı, parmak izine aynı ölçüde direnmediği ya da kullanıcıyı bu tür ayarları değiştirmeye yöneltmediği düşünülüyor

İş üzerindeki etkisi

  • Yakın vadede şirket içi iş sitelerine erişmek için Chrome kullanmak gerekecek
  • Cloudflare ile “korunan” iç ve dış web sitelerinden daha kaçının engelleneceği bilinmiyor
  • Firefox’u yeniden kurmak denenebilir, ancak daha önce tahmine dayalı müdahalenin durumu kötüleştirmiş olması nedeniyle bir sonraki adım konusunda emin olmak zor
  • Kullanıcının kendi başına uygulayabileceği net bir çözüm yolu olmadığından, şirket dizininden bu sayfadan sorumlu sistem yöneticisini bulup erişim izni istemesi gerekebilir

Web’in geneline dair kaygılar

  • Güçlü kimlik kanıtları olsa bile beklenen davranıştan bir adım sapıldığında gerekli kaynaklara erişimin engellenebilmesi, web’in geleceğine dair kaygı yaratıyor
  • Uzaktan doğrulama ve “güvenlik” önlemleri çevrim içi bankacılık gibi alanlara uygulanırsa, bu bireysel yaşamın neredeyse her bölümünü etkileyebilir
  • Google’sızlaştırılmış Android kullananlar, banka uygulamalarını kullanabilmek için donanım doğrulamasının düzgün çalışmasını sağlamak adına çok uğraşmak zorunda kalabiliyor
  • Bireylere kıyasla hesap sorması daha zor şirketlere daha fazla yetki veren web önerileri, kullanıcıların görünmez kurallara uyum sağlamak için daha çok uğraşmasına yol açabilir
  • Gizlilik yasalarını ihlal eden şirketlere anlamlı yaptırımlar ancak son birkaç yılda uygulanmaya başlandı; GDPR ihlali nedeniyle verilen Facebook’a 1,2 milyar avro ceza buna örnek

Web Integrity API ve passkeys’in bıraktığı sorular

  • Web Integrity API proposal, web’in geleceği konusunda tepki çeken bir öneriydi
    • Finans şirketleri web sitelerine uzaktan doğrulama politikaları koyarsa, bireylerin kullanabileceği donanım, işletim sistemi ve yazılım türleri daha da sınırlanabilir
    • Eski ve yaması mümkün olmayan savunmasız cihazları engellemek için meşru gerekçeler olabilir, ancak şirket kararları bireysel özgürlük ve haklar pahasına kurumsal denetimi artırma yönüne kayabilir
  • Web Integrity API önerisinin ilk örneği, reklam destekli web sitelerinde reklamverenlerin reklamı bir botun değil bir insanın gördüğünden emin olabilmesi gereğini öne sürüyordu
    • Bunun sonucunda gerçek kullanıcıların insan olduklarını kanıtlama yükünü üstlenmek zorunda kalacağı düşünülüyor
    • Öneri yazarının reklam gelirleri yüksek Google bünyesinde olması da ayrıca soru işareti yaratıyor
  • passkeys’in benimsenmesi daha güvenli ve daha basit web sitesi erişimi sağlayabilecek faydalı bir öneri
    • Ancak Cloudflare deneyiminde olduğu gibi güçlü kimlik kanıtları bile yok sayılabiliyorsa, passkeys’in Cloudflare gibi hizmet sağlayıcılar tarafından nasıl ele alınacağını kestirmek zor
  • passkeys konusunda bir dizi pratik soru hâlâ açık
    • Kullanıcılar passkeys’i kendileri oluşturup senkronize edebilir mi
    • Eğer passkeys’i yalnızca belirli yazılımlar kullanabilecekse, bu ölçütleri kim belirleyecek
    • TPM, DeviceCheck, Integrity API gibi belirli donanım/yazılım gereksinimleri zorunlu olacak mı
    • passkeys istenildiği zaman bir hizmet sağlayıcıdan dışa aktarılıp başka bir sağlayıcıya taşınabilir mi
    • Şüpheli bir olaya bir passkey karışırsa, aynı passkey’i kullanan diğer cihazlara da şüphe işareti yayılır mı
    • Şüpheli passkeys barındıran cihazlar da şüpheli olarak işaretlenip o cihazların başka bağımsız web sitelerine erişimi bile etkilenir mi
  • Parolaların birçok dezavantajı var, ancak bireylerin onları kendilerinin oluşturabilmesi, sahip oldukları cihazlarda üretebilmesi ve istedikleri şekilde yönetebilmesi önemli bir avantaj
  • VPN, sertifika ve fingerprinting gibi teknolojiler parola ve bilgisayar güvenliğinin zayıflıklarını telafi etse bile, temel işleri yapabilmek için gizlilikten vazgeçmek gerekiyor ve buna rağmen yine de engellenme yaşanabiliyorsa, bu yardımın değeri sınırlı kalıyor

1 yorum

 
GN⁺ 2023-08-09
Hacker News yorumları
  • Gizliliğe önem verdiğini söyleyen insanlar bile Chrome kullanırken çoğu zaman bunun farkında değil
    Firefox’ta engellenen sayfa Chrome’da açıldı; Chrome, Firefox gibi gizlilik ve güvenliği artırmaya yönelik bir tasarıma sahip değil, gezinme geçmişi ve kişisel verileri daha fazla topluyor/paylaşıyor ve parmak izi takibine karşı da daha az dirençli
    Aynı sertifika, aynı şirket VPN’i, aynı cihaz, aynı zaman dilimi varken yalnızca tarayıcıyı değiştirerek geçebildiyseniz, Cloudflare’ın tarayıcının parmak izine veya parmak izi yokluğuna göre engellediği anlamına geliyor gibi görünüyor
    Bugünlerde azıcık bile umursadığınız bir şey varsa Chrome kullanmamalısınız

    • Google hayranı değilim ama “Chrome daha fazla bilgi verdiği için geçti” mantığı pek ikna edici değil
      Bu durumda Chrome’un Firefox’tan farklı olarak hangi bilgiyi sağladığı net değil; sadece Firefox daha nadir bir kullanıcı aracısı olduğu için daha sıkı filtrelemenin hedefi olmuş da olabilir
      Bir sitede tarayıcıyı değiştirince hız sınırlaması mesajının kaybolduğunu gördüm; sınırlı bilgiyle aynı IP + farklı kullanıcı aracısı = farklı bilgisayar diye tahmin etmiş olmaları da mümkün
      En azından üçüncü bir tarayıcıyla da denemek gerekir
    • Sözde “bot” ile “insanı” ayırmaya çalışan sezgisel yöntemler, insanlar bot sanılıp engellendiği sürece uygunsuzdur
      “Chrome kullan” bir çözüm değil; Firefox veya başka Google dışı yazılım kullanan insanlar da hâlâ insandır
      JavaScript ile “bot değil” doğrulaması yapmak, kullanıcıyı JavaScript’i açmaya ve kendini daha fazla reklam gösterimine açık bırakmaya zorlayan bir araç gibi görünüyor
    • Chrome kullanmayın demek kolay ama Cloudflare kullanmayın demek çok daha zor
      Pazarı tekeline alıp açık internetin geleceğini tehdit etme ölçütüne bakılırsa Cloudflare daha büyük bir tehdit; Cloudflare diktatörlüğü daha az iyi niyetli bir hâle geldiği anda bunu herkes hissedecek
    • Bugünlerde azıcık bile umursadığınız bir şey varsa Chrome’un yanı sıra Cloudflare da kullanmamalısınız
    • “Gizliliğe duyarlı insanlar Chrome’u çok kullanır” ifadesini ilk kez duyuyorum
  • Cloudflare’ın challenge platformunun PM’iyim; sorunun nedenini kontrol etmek isterim
    Kullanıcıları yalnızca tekrarlayan davranış yüzünden cezalandırmıyoruz, bu nedenle tarayıcının bu yüzden şüpheli görünmesi söz konusu değil
    Kişisel olarak Firefox’u çok kullanıyorum ama böyle bir davranış görmedim; Firefox genelinde bir sorun olsaydı otomatik alarm çalar ve bunu ciddi olay olarak ele alırdık
    Sorunu çözmekle ilgileniyorsanız amartinetti at cloudflare adresine e-posta gönderebilirsiniz

    • Sorunun nedeni, yazılımın tasarım gereği kusurlu olması
      IP adresleri paket yönlendirme için kullanılır; arka planda kullanıcılara “davranış puanı” vermek için kullanılmamalı. Benim IP’m dün tamamen başka birinin IP’si olmuş olabilir
      TLS imzasıyla web’in yarısına kimlerin erişebileceğine karar vermek uzun vadede hiçbir şeyi çözmez; tarayıcı tekelini güçlendirir ve açık web’in ruhuna doğrudan aykırıdır
      Hobi projesi olarak crawler benzeri botlar çalıştırdığım için bir ölçüde bunu kendim davet ettim, ama Chrome’un TLS imzasını taklit edince hâlâ çalışıyor. Teknik bilgisi olmayan ve hiçbir şey yapmamış arkadaşlarım da bu engellemeye takıldı
      Cloudflare hizmeti bir gün aniden milyonlarca kişiye WWW’nin yarısında engellenme zararı vermiş olma ihtimali yüksek; bu tür zararlar, siteye erişilip erişilmeyeceğine karar veren sezgisel yöntemlerin mantıksal sonucudur
      Ülkem dışındaki tek bir şirketin web’i kullanıp kullanamayacağıma karar vermesi de gülünç; şimdi Firefox kullanmaya devam edebilmek için kuşkulu yerlerden proxy satın almak üzere dolaşmam gerekiyor
    • Firefox kullanıyorum ve son zamanlarda Cloudflare’ın “insan olup olmadığını kontrol etme” ara sayfasını daha sık görüyorum
      Genelde otomatik olarak bitiyor, büyük mesele değil; ama geçen hafta sıklığının arttığını hissettim
    • Firefox kullanıyorum ama CAPTCHA çözmem gereken sayının arttığını hissetmedim; “connection secure” sayfasını da neredeyse hiç görmüyorum
      Kullandığım Privacy Pass eklentisi yüzünden olabilir; gerçekte ne yaptığını pek bilmiyorum
    • Her zamanki IP proxy’m, veri merkezi sahipliği değişikliği nedeniyle ARIN’den RIPE’a geçince sorun çıktı
      Gerçek konum hâlâ NYC, ama ABD’deki Cloudflare korumalı sitelere bağlanınca Birleşik Krallık’tan geliyormuş gibi görünüyor; yerel gazeteler, marketler, kart şirketleri gibi giderek daha fazla yer tarafından engelleniyorum
      Cloudflare’ın IPv6 coğrafi konum bilgisi bozulmuş ve IPv4 ile bağlansam da müdahale ediyor gibi. Zaten coğrafi konuma dayalı karar vermek baştan kötü bir fikir
    • Trafiği ProtonVPN üzerinden yönlendirdiğimde Firefox’ta bu durumu gördüm
      VPN’in diğer kullanıcılarının kötü davranmış olması nedeniyle olabilir, ama bundan daha fazlası olması daha olası görünüyor
  • Bir süre boyunca tam olarak aynı sorunu yaşadım; tarayıcı geçmişimde “just a moment” araması yaparak erişemediğim siteleri bulabildim
    https://gitlab.com/users/sign_in, https://steamdb.info/login/, https://www.zabbix.com/forum/, https://casetext.com/, https://namemc.com/login, https://spinroot.com/, https://camelcamelcamel.com/
    Aylardır, belki de yıllardır süren bir sorun; Cloudflare düzeltmiyor gibi görünüyor, açık web’den hoşlanmıyor ve Chrome/Chromium/Blink hâkimiyetini dayatmak istiyormuş gibi hissettiriyor

    • Bu tekrarlayan challenge’larda görünen rayID’yi paylaşabilirseniz incelemek isterim
      rayID kişisel olarak tanımlanabilir bilgi içermez, bu yüzden herkese açık paylaşabilirsiniz; isterseniz amartinetti at cloudflare adresine e-posta da gönderebilirsiniz
      Yakında bir bildirim mekanizması da yayımlayacağız; böylece gelecekte bu tür sorunları hızlıca haber alıp müdahale edebileceğiz
    • Ben de bunu sürekli yaşıyorum; yıllardır devam ediyor ve zaman geçtikçe belirgin biçimde kötüleşiyor
      Web’i kullanmak için ya sıkı gizlilik ayarlarınız yüzünden erişim hakkınızı kaybederek ya da gizliliğinizden ödün vererek bir şekilde bedel ödemeniz gerekiyor. Kazanmanın yolu yok
    • Waterfox’ta sorun yaşamadım, ama artık sadece bir web sitesini ziyaret etmek için bile JavaScript gerekmesi saçmalık
    • GitLab da Cloudflare yüzünden giriş yapmamı engelledi; ücretli müşteriyken de böyleydi
      Başka nedenlerle artık ödeme yapmıyorum, ama her hâlükârda bırakmakla iyi etmişim gibi hissediyorum
    • Kullanıcılar Chrome hâkimiyetini istiyor; açık web ya da Firefox umurlarında değil gibi görünüyor
      Masaüstünde bir numaralı tarayıcı olmasına rağmen işletim sistemine varsayılan olarak dahil değil; Windows’ta Edge, Mac’te Safari varken bile kullanıcılar Chrome’u kendileri indiriyor
  • İnternet trafiğinin büyük bir bölümü tek bir kaynak tarafından kontrol edildiğinde bu tür sorunlar beraberinde geliyor
    Cloudflare kimin interneti kullanabileceğine keyfî olarak karar verdiğinde bile fiilen onun sözü kanun oluyor
    Başlangıçta “kötü aktörleri engellemenin kolay bir yolu” gibi naif bir öncülden yola çıkıyor, ama sonunda keyfî ölçütlere doğru genişliyor
    Gizliliği savunmak istiyorsanız kötü insanlara da izin vermeniz gerekir; ortalama internet kullanıcısı ise bu nüansı anlamıyor
    En masum durumda bile tek bir hatalı commit interneti çökertebilir; Cloudflare’da bunun örneği zaten yaşandı
    Cloudflare, Google, Meta gibi şirketler yüzünden antitröst yasaları var, ama bu yasaları doğru düzgün kullanmaya yetkili kimse yok gibi görünüyor. 20 yıl sonra internet şimdiye kadar gördüklerimizden tamamen farklı olacak ve bu iyi bir değişim olmayacak gibi

    • Cloudflare’a para ödeyen müşteri siz değilsiniz; müşteriler altyapılarını korumak için ödeme yapan siteler
      Müşteriler birden fazla CDN/WAF sağlayıcısı arasından seçim yapabilir; Cloudflare en büyük oyuncu bile değil, Akamai daha büyük
      En hızlı büyüyen CDN CloudFront ve rekabet de sağlıklı görünüyor; bu yüzden antitröst yasasının neden uygulanması gerektiğini anlamıyorum
    • Herkes, web sitelerinin crawler’lar ve botlar yüzünden neredeyse kullanılamaz hâle geldiğini unutuyor
      Site sahibi bunu engellemek için Cloudflare’ı seçiyor; Cloudflare bunu dayatmıyor
    • Bugünün interneti de 20 yıl önceki internetten tamamen farklı
    • Cloudflare’ın antitröst endişesi doğuracak ölçüde bir pazar payına sahip olduğunu hiç sanmıyorum
    • Antitröstten söz etmek ancak Cloudflare’ın rakibe geçmeyi engellediği durumda anlamlı olur
  • Cloudflare’ın çeşitli oturum çerezlerini, “kauçuk bütünlük” sayfalarını ya da “super bot-fight” modunda gönderdiği araya yerleştirilen script’leri kurcalarsanız, aslında web worker’larla sezgisel olarak tarayıcı bütünlüğü kontrolü yaptığını görebilirsiniz
    Yani kullanıcının yönettiği gerçek bir tarayıcının geçeceği, ancak botun yönettiği headless tarayıcının başarısız olacağı bir dizi test çalıştırılıyor
    Örneğin gerçek bir tarayıcı mı yoksa ham bir HTML parser mı olduğunu anlamak için bir görseli canvas’a çizip PNG olarak dışa aktararak hash’ini karşılaştırmak ya da Puppeteer’ı Lambda/Cloud Function varsayılan container’larında çalıştırırken eksik olması kolay olan tüketici işletim sistemlerine özgü tuhaf yazı tiplerini kontrol etmek gibi
    Daha da ileri gidip prompt’u etkinleştirmeden önceki gereksiz fare hareketleri ve tuş vuruşlarının insan hatasına benzeyip benzemediğine, yakın zamanda görülen kayıt oynatma kalıplarına benzer olup olmadığına baktığını düşünebilirsiniz
    Doğrulama döngüsüne takılıyorsanız bunun nedeni tarayıcınızın, cihazınızın ve eklentilerinizin bu sezgiselleri Cloudflare’ın insan olduğunuza dair kesin kanıt elde edemeyeceği kadar gizlemesi veya devre dışı bırakmasıdır; site sahibinin ayarlarına bağlı olarak başarısız olduğunu bildirmek yerine kanıt toplamayı sürdürür
    Çünkü bota başarısız olduğunu söylemek, “işe yaramayan yöntemi bırak ve kalkan frekansını değiştir” sinyali vermek anlamına gelir

    • Kullanıcı açısından bakınca bu sadece web sitesi bozulmuş gibi görünür
      Konsolda istisna yoktur, aynı sayfa sürekli yeniden yüklenir
    • Bir bot Cloudflare döngüsünde 10 dakika sıkışıp kalıyorsa, bu bir şeyin çalışmadığına dair oldukça güçlü bir sinyal sayılır
    • Öyleyse daha az yaygın tarayıcılarda ya da daha az yaygın platformlarda yaşanan engellemeyi nasıl açıklayabileceğimizi bilmiyorum
  • Bazen gözden kaçan nokta şu: Cloudflare kullanan site sahibi, küresel ölçekte ne kadar paranoyak davranılacağını belirler ve ayrıca çok ince ayarlı, agresif WAF kuralları da oluşturabilir
    Bu yüzden bazı durumlarda site sahibi aşırı agresif kurallar ayarlar ama tepkiyi Cloudflare çeker. Son kullanıcıya görünen etki genellikle aynıdır
    Bir zamanlar Google Cloud, OVH, DigitalOcean gibi büyük veri merkezlerinden gelen doğrulanmamış tüm bot trafiğini engelleyen bir WAF kuralı oluşturmuştum; pek çok şirketin bir nedenle trafiği bu ASN’ler üzerinden yönlendirdiği ortaya çıktığı için bu bir hataydı
    O kullanıcılar Cloudflare’a kızmış olabilir, ama asıl neden benim yapılandırmayı yanlış yapmamdı

  • Programlama dersinde örnek olarak basit bir tarayıcı kullanıyoruz; CSS veya JavaScript işlemiyor, bu yüzden görüntüleme ilkel ama çalışıyor.
    Bazı sitelerde çalışıyor, ancak özellikle büyük siteler bunu bilinmeyen bir tarayıcı olarak görüp içerik göndermeyi reddediyor. Muhtemelen bot olduğunu düşünüyorlar.
    Bot olsa bile düzgün davrandığı sürece sorunun ne olduğunu anlamıyorum; ayrıca dev şirketlerin nasıl bir kapalı web oluşturmasına izin verdiğimizi sorguluyorum.

    • Site, bir isteğe yanıt verip vermeyeceğine kendisi karar verebilir.
      Herkese hizmet vermek gibi bir yükümlülüğü yok.
    • Şeytanın avukatlığını yaparsak, sunucunun hangi istemciyle konuşacağına karar vermemesi için neden ne olabilir, merak ediyorum.
  • Cloudflare’ın kontrol sayfasının Firefox’un sayfa yenilemesini bozması da can sıkıcı.
    Cloudflare sizi asıl sayfaya geri gönderdiğinde POST ile gidiliyor; ilk POST’u Cloudflare yakalıyor, ama sayfayı yenilerseniz o POST gerçek sayfaya gidiyor ve sayfanın ne yapacağını bilemeyip hata göstermesi muhtemel.
    Çözüm, yenilemek yerine adres çubuğunda Enter’a basıp yeniden gitmek ya da ilgili sayfaya dönen bir bağlantı bulmaktan ibaret.
    Böyle bir POST yüzünden bir sitede engellenseniz şaşırmam. “O sayfaya POST yapılmaması gerektiğini bildiği hâlde gönderdiğine göre hacklemeye çalışan kötü niyetli bir bot” diye karar verebilir.

  • Cloudflare’ın 15-30 saniyelik “checking your connection” sayfasını gösterme sıklığı akıl almaz derecede fazla.
    Benim gibi ADHD ile yaşayan biri için gün boyunca biriken bu tür gecikmeler ve kesintiler ciddi etki yaratabiliyor.
    İlaçlarımı düzgün alsam bile bu önlem gerçekten insanı çaresiz hissettiriyor, çevrim içi deneyimi berbat ve tüketici hâle getiriyor.

    • Normalde bu tür şeyler ağır bir DDoS saldırısı altındaki sitelerde açılır.
      Kimse bunu kullanıcılara göstermek istemez, ama mecbur kalıp kullanır.
    • Bunu Cloudflare dayatmıyor; Cloudflare kullanan müşteri böyle yapılandırıyor.
    • Cloudflare’ın Privacy Pass’i yardımcı olabilir: https://privacypass.github.io/
      Gizlilik açısından çok kötü olmayan bir yolla gördüğünüz CAPTCHA sayısını ciddi ölçüde azaltacaktır.
      Safari’de Private Access Tokens etkinleştirilebilir: https://blog.cloudflare.com/how-to-enable-private-access-tok...
      Her iki yöntem de token’ı dış bir ihraççının oluşturması bakımından Google’ın web DRM önerisine benziyor; ancak Google’ın girişiminden farklı olarak, token kullanmak isteyen sayfada reklam engelleyicinin kapalı olduğunu garanti etmiyor.
  • Daha dün, PayPal oturum açmanın Safari veya Firefox ile çalışmadığını, yalnızca Chromium tabanlı tarayıcılarda çalıştığını öğrendim.
    Giderek daha fazla “bu site Google Chrome için optimize edilmiştir” döneminin içine giriyoruz.

    • Twitch’te de bu sorun var.
      Firefox’ta parmak izi takibi korumasını açarsanız giriş yapamıyorsunuz; görünüşe göre iki faktörlü kimlik doğrulama hesap koruması için yeterli değil.
      Twitch’in bilgisayarımı benzersiz şekilde tanımlamasına izin vermezsem girişe izin vermiyor; ben de Twitch yayınları izlemeyi bıraktım.
    • PayPal sorununu bir süredir yaşıyorum.
      Windows, Linux ve Android’de Firefox’un hepsinde böyleydi; neyse ki uygulamada hâlâ oturumum açık, ama Firefox ile PayPal’a giremediğim için PayPal bakiyem olmasına rağmen kredi kartıyla ödeme yaptığım oldu.