Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 23-01-2012 17:36:40

cailloux
Membre Hyperactif
Inscription : 07-01-2011
Messages : 53

Cloudflare ?

J'ai trouvé un petit truc sympa sur l'utilisation massive du service cloudflare par les webmasters chez Sebsauvage. Je relais juste l'information.

--------
CloudFlare: Le syndrôme Akismet ?

Aujourd'hui
C'est un billet de Gof qui m'a remémoré ce problème.

Certains développeurs sont très forts. Ils savent développer une application techniquement performante et la rendre simple à utiliser. Ajoutez à cela la gratuité, et quel webmaster oserait résister ? C'est ainsi que Google Analytics est présent sur 86% des sites web. C'est ainsi qu'Akismet filtre le spam sur une incroyable quantité de blogs et forums de la planète. Et c'est ainsi que CloudFlare protège des millions de sites.
Une protection globale... ou un risque global ?

CloudFlare est mis en place à l'initiative des webmasters. Il se place entre les internautes et votre site web. Il agit comme un reverse-proxy: Toute requête HTTP destinée à votre site passe d'abord par les serveurs CloudFlare qui l'analysent et éventuellement la bloquent. Le service offert par CloudFlare est trop tentant: Protection contre le spam, les DDOS, statistiques, CDN, cache... le tout dans un service gratuit. Tellement tentant qu'un quart des internautes passent dans le savoir par CloudFlare (Korben, PC-Inpact, Zataz...). Si CloudFlare s'écroule ce sont des centaines de milliers de sites qui vont devenir tout à coup inaccessibles. Ouais, vive la centralisation. On remplace le risque (local) qu'un site s'écroule par un risque global, CloudFlare devenant une cible de plus en plus intéressante à mesure qu'elle grossit. Je ne suis pas certain que ça soit mieux pour internet.

Mais ce n'est pas le seul problème.

Quand CloudFlare se fera pirater (j'ai bien dit "quand", et non "si"), ça sera un problème de grande envergure, à l'image de ce qui s'est passé quand DoubleClick (et quelques autres régies de pub) se sont fait pirater: Tout à coup, des milliers de sites web se sont mis à diffuser des logiciels malveillants à travers leur bandeaux de pub, jusqu'au site du New-York Times.
I'm afraid of Americans... I'm afraid I can't help it
(paroles de David Bowie)

Techniquement, ils ont la possibilité d'injecter tout ce qu'ils veulent dans vos pages. Bien sûr, ils n'ont franchement pas intérêt à le faire, sous peine de perdre la confiance de leurs clients, en masse. Mais est-ce que cela se verrait, disons s'ils injectaient quelque chose pour un visiteur particulier, ayant une IP précise ? Quoi, je suis parano ? Pourquoi pas ? Microsoft l'a bien permis à l'échelle d'un pays entier. Quand on voit la mainmise des USA sur les registry DNS, ou même ce qui s'est passé avec Visa, MasterCard, PayPal, Google ou l'affaire MegaUpload, en quoi CloudFlare est-il plus à l'abri de ce genre de pression... ou de tentation ? Et CloudFlare est pourtant bien plus petit qu'eux.

Gardez bien à l'esprit que CloudFlare voit la totalité des requêtes envoyées à votre site par les internautes. Cela inclue donc également les formulaires, les logins/mots de passe... bref, tout. Et bien sûr, votre propre connexion au panel d'admin web.

Je suis peut-être parano (où est mon chapeau en papier d'alu ?), mais pourquoi devrais-je permettra à une société un accès total et détaillé à tout le trafic de mon site, mots de passe y compris ? Il y a assez de mon hébergeur. Encore pire, pourquoi devrais-je leur donner le pouvoir de bloquer absolument n'importe quel visiteur de mon site ? Pour me protéger ? C'est une question de confiance. Mais dans les faits, Gof lui-même a bien été bloqué par CloudFlare pour avoir ouvert trop d'onglets à la fois. CloudFlare se retrouve avec le même pouvoir qu’Askismet… et la même problématique: Moi (et bien d’autres) s'étaient retrouvé à ne plus pouvoir poster de commentaires sur pratiquement tous les blogs de la planète, sans explication et sans recours. Le problème est similaire avec CloudFlare.
Vous n'y échapperez pas

Côté visiteurs, dites aussi adieu à votre vie privée. CloudFlare est au courant de tout ce que vous faites sur tous les sites utilisant ce service. Je grogne contre Google Analytics et les javascript de Facebook, mais on moins on peut se prémunir de ces derniers avec un plugin comme Ghostery. Avec CloudFlare, vous ne pourrez pas y échapper. Ai-je vraiment envie d'imposer ce traçage supplémentaire à mes visiteurs ? Non.

Remarquez, je suis absolument scotché quand j'apprends qu'un groupe comme Lulzsec a utilisé CloudFlare pour ses serveurs. Tu parles d'une mauvaise blague. Alors suis-je trop parano ? Je vous laisse vous faire votre propre jugement.
En ce qui me concerne, je n'ai pas envie:

    de laisser une entreprise privée tracer tous mes visiteurs.
    de laisser une entreprise privée de décider qui peut visiter mon site ou non.
    de laisser une entreprise privée (potentiellement) bloquer ou modifier des pages de mon site.
    de laisser potentiellement un gouvernement étranger mettre son nez dans tout le trafic de mon site (oui oui, je sais, chapeau papier-alu, etc.).
    de laisser potentiellement un gouvernement étranger bloquer l'accès à mon site.

Il n'y a pas eu assez de problèmes ? La centralisation excessive (Facebook, Google, Megaupload...) ne nous a rien appris ?

Malgré l'excellence technique de CloudFlare, je ne suis pas prêt à troquer ma liberté d'expression et la vie privée de mes visiteurs contre une commodité. Oui mon site tombera peut-être plus souvent que ceux utilisant CloudFlare, mais j'assume. Question de choix. Question de confiance. Je suis peut-être un peu jusqu’au-boutiste, mais comme Timo (Le Hollandais Volant), Mitsukarenai (Fansub-streaming) ou Hoper, j’ai plutôt envie de réduire les dépendances.

L'avenir me dira si j'ai raison.


PS: Histoire d'être transparent: A l'heure actuelle, les seules dépendances de sebsauvage.net envers des services extérieurs à mon hébergeur sont:

    ProjectHoneypot, qui permet de bloquer certains robots spammeurs.
    Flattr.com (uniquement sur /rhaa) (Un jour il faudra que je fasse comme Mitsukarenai et que je mette tout ça en statique.)

Ce sont les seuls services externes à obtenir votre adresse IP quand vous naviguez sur mon site, et encore, que sur certaines pages. Notez qu'ils ne peuvent en aucun cas vous interdire la navigation sur mon site (je garde le contrôle), et Project Honetpot ne connait que votre adresse IP, pas l'URL sur vous visitez sur mon site (pas de HTTP_REFERER). Ce ne sont que des dépendances faibles: Même si ces sites tombent, mon site continuera à fonctionner.

-------
Source : http://sebsauvage.net/rhaa/index.php?20 … me-akismet-


A méditer !

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 23-01-2012 22:40:23

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 363

Re : Cloudflare ?

C'est un point de vue qui se défend. Je vais te donner le mien.

Avant de passer le site sous Cloudflare, je me suis fait le meme genre de réflexion. Et puis j'ai arretté la paranoia de bas étage pour me concentrer sur ce qui compte: les résultats. Est ce que Cloudflare est fiable? Oui. Est ce que Cloudflare est utilisé par de gros sites? Oui. Cloudflare est une compagnie qui a tout intéret à protéger les données de ses clients, les données qui transitent via leurs serveurs nginx et leur propre réseau. Quand on a investi des millions de dollars et que ce qui attire les clients c'est justement la fiabilité, à mon avis tu peux etre sur qu'ils ont tout mis en place pour ne pas se faire hacker, parce que si ils se font hacker c'est la réputation de leur boite qui va se casser la gueule, et ça va engendrer des millions de dollars de perte.

Si tu veux entrer dans le jeu de la paranoia, alors tu dois commencer par héberger ton site chez toi sur ton propre serveur. Pourquoi? Parce que n'importe quel hébergeur est susceptible de se faire hacker un serveur voir meme un datacenter tout entier (ça s'est déja vu), ou bien d'abriter parmi son personnel un ou plusieurs employés indélicats qui pourraient s'intéresser aux données contenues sur ton site. On a déja vu des gars qui bossaient chez des hébergeurs et qui avaient mis en place des scripts pour modifier les google adds des sites de leurs clients en les remplaçant par leurs annonces, histoire qu'ils empochent eux memes les revenus! Continuons dans la parano: comment etre sur de son FAI? Comment etre sur qu'il n'y a pas un gars qui bosse à la hotline qui ne va pas aller donner ou revendre votre passphrase wifi, permettant ainsi à quelqu'un de s'introduire sur votre réseau et d'avoir ainsi accès à vos données? Et puis, comment avoir confiance dans telle ou telle distri sur laquelle tourne ton serveur? Et qu'est ce qui te dit qu'il n'y a pas un rootkit dans le kernel de debian ou centos?

Enfin tu vois, si tu pars dans ce délire et bien tu n'as plus qu'à aller t'enfermer dans une grotte et à faire tourner ton site en local sur un os et un serveur que tu auras mis des années à développer toi meme lol

On a un site qui reçoit chaque jour entre 4000 et 4500 visiteurs uniques, pour un nombre de visite qui avoisinnait hier les 5600 ce qui est un record depuis qu'on est en ligne. En théorie on ne devrait plus pouvoir tourner sur notre serveur... Je te donne quelques autres chiffres. En un peu plus de 2 semaines: 4400000 requetes de moins, et 117 Go de bande passante en moins. Je ne compte pas les attaques évitées, les plantages serveurs, les overloads, les plantages du serveur sql... Le site était régulièrement sujet à des http 500 ou autres problèmes, maintenant c'est du passé. Alors si le prix à payer pour cela c'est de faire confiance à un site tiers qui a tous les arguments pour prouver qu'il est justement digne de confiance, et bien moi je suis ok.

Je te laisse méditer là dessus wink

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
16 3308 10-02-2012 18:34:38 par M1ck3y
3 1383 11-10-2011 22:12:23 par HappyDad

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.02 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]