1 điểm bởi GN⁺ 2023-08-09 | 1 bình luận | Chia sẻ qua WhatsApp
  • Trên một trang GitLab cần cho công việc, người dùng rơi vào “secure connection loop” khi kiểm tra tính toàn vẹn của trình duyệt của Cloudflare không kết thúc; sau đó Firefox cũng bị chặn khi truy cập một website nội bộ riêng
  • Việc thay đổi giá trị privacy.resistFingerprinting của Firefox đã giải quyết được truy cập GitLab, nhưng ngày hôm sau trang chặn xuất hiện trên một trang nội bộ không liên quan, và việc khôi phục giá trị cũng không gỡ được chặn
  • Trong cùng điều kiện thiết bị làm việc, VPN công ty và chứng chỉ bảo mật, Chrome vẫn truy cập được còn chỉ Firefox bị chặn, nên người dùng cho rằng quyết định chặn liên quan đến fingerprint của trình duyệt hoặc việc thiếu fingerprint
  • Trước mắt phải dùng Chrome cho các website nội bộ phục vụ công việc, và người dùng khó biết sẽ còn bao nhiêu website nội bộ/bên ngoài được Cloudflare “bảo vệ” bị ảnh hưởng
  • Nếu các xu hướng như chứng thực từ xa, Web Integrity API và passkeys trao thêm quyền cho doanh nghiệp, cá nhân có thể mất quyền lựa chọn phần cứng, hệ điều hành, phần mềm và phải tuân theo những quy tắc vô hình

Secure connection loop của Cloudflare

  • Cloudflare cung cấp mạng phân phối nội dung, bảo vệ chống tấn công từ chối dịch vụ phân tán và các dịch vụ hạ tầng mạng khác cho một phần lớn Internet
  • Nhiều website dùng Cloudflare đặt kiểm tra tính toàn vẹn của trình duyệt trước khi cho truy cập
    • Mục đích là chặn tác nhân độc hại, bot, lưu lượng không mong muốn và đảm bảo người thật sử dụng site theo cách dự định
    • Ngay cả người dùng hợp lệ với ý định tốt cũng có thể bị chặn ở trang bảo mật
  • Secure connection loop là trạng thái khi người dùng nhập URL, Cloudflare chặn yêu cầu và hiển thị trang “Checking if the site connection is secure”, nhưng quá trình kiểm tra không bao giờ kết thúc
    • Biểu tượng tải cứ quay mãi, hoặc sau khi yêu cầu xác minh là người dùng, trang lại làm mới lặp đi lặp lại
    • Dù người dùng làm theo quy trình được yêu cầu, họ lại bị yêu cầu thực hiện bước tiếp theo và không thể vượt qua
  • Khi tìm kiếm “Cloudflare checking if the site connection is secure”, ngoài tài liệu chính thức của Cloudflare còn thấy rất nhiều câu hỏi của người dùng muốn vượt qua trang này, cho thấy đây có vẻ là vấn đề phổ biến

Vấn đề truy cập GitLab và thay đổi thiết lập Firefox

  • Khi truy cập một trang GitLab trên máy tính làm việc để kiểm tra phần mềm khoa học, trang kiểm tra tính toàn vẹn của trình duyệt của Cloudflare xuất hiện
  • Người dùng đã thử kiểm tra lỗi trong developer console, tạm tắt extension, dùng cửa sổ riêng tư và khởi động lại máy tính, nhưng vẫn không thoát khỏi vòng lặp
  • Từ kết quả tìm kiếm, người dùng thấy đề xuất tắt tùy chọn privacy.resistFingerprinting trong about:config của Firefox
    • Khi đó giá trị này vốn đã là false
    • Khi đổi giá trị sang true, người dùng vượt qua kiểm tra tính toàn vẹn của trình duyệt và truy cập được phần mềm cần kiểm tra

Bị chặn trên website nội bộ không liên quan

  • Ngày hôm sau, khi truy cập một trang web nội bộ cần cho công việc, trang chặn xuất hiện
  • Theo diễn biến, người dùng không vượt qua được vòng lặp kiểm tra của Cloudflare, đã thay đổi một thiết lập liên quan đến quyền riêng tư trong Firefox để vượt qua, rồi sau đó bị chặn ở một site công việc khác
  • Toàn bộ quá trình diễn ra trên thiết bị làm việc và sau VPN công ty
    • VPN đó chỉ cho truy cập khi thiết bị đã cài một chứng chỉ bảo mật cụ thể
    • Vì Cloudflare đã yêu cầu chứng chỉ này, người dùng cho rằng Cloudflare biết chứng chỉ tồn tại
  • Các dữ liệu mạnh mà Cloudflare có thể dùng để xác minh danh tính gồm chứng chỉ bảo mật theo người dùng và địa chỉ IP VPN công ty
    • Bản gốc ban đầu nhắc tới địa chỉ MAC, nhưng trong chú thích đã đính chính rằng nhiều khả năng Cloudflare chỉ biết địa chỉ IP phía sau VPN công ty, không phải địa chỉ MAC
  • Không có việc cài thêm extension riêng, dùng headless browser, đổi user agent, dùng Tor hay giao thức phi tiêu chuẩn; thứ duy nhất được thay đổi là một thiết lập quyền riêng tư của trình duyệt
  • Dù khôi phục thiết lập về giá trị ban đầu, việc chặn vẫn không được gỡ, khiến khả năng truy cập tài nguyên cần cho công việc trở nên bất định

Suy đoán nguyên nhân chặn và so sánh với Chrome

  • Do secure connection loop, trình duyệt đã gửi nhiều yêu cầu truy cập cùng một trang trong thời gian ngắn, và Cloudflare có thể đã nhận diện tần suất yêu cầu/từ chối cao này như một mẫu đáng ngờ
    • Đây không phải nguyên nhân đã được xác nhận mà chỉ là một cách giải thích khả dĩ
    • Sau đó, dù việc chặn fingerprinting giúp lần truy cập đầu tiên vượt qua, người dùng cho rằng Cloudflare có thể đã diễn giải chuỗi sự kiện này là hành vi độc hại và đánh dấu trình duyệt là đối tượng đáng ngờ
  • Khi thử truy cập site nội bộ bằng Google Chrome, người dùng không bị chặn
  • Việc chỉ Firefox bị chặn còn Chrome thì không dẫn đến nhận định rằng việc chặn của Cloudflare dựa trên fingerprint của trình duyệt hoặc sự thiếu vắng fingerprint
    • Hai yêu cầu dùng cùng chứng chỉ bảo mật, cùng VPN công ty, cùng thiết bị và cùng khung thời gian
    • Khác biệt là trình duyệt được sử dụng
  • Người dùng cho rằng Chrome không có thiết kế tăng cường quyền riêng tư và bảo mật ở mức như Firefox, và không chống fingerprinting ở cùng mức độ hoặc không khiến người dùng thay đổi thiết lập

Ảnh hưởng tới công việc

  • Trong thời gian gần, người dùng phải dùng Chrome để truy cập các site nội bộ phục vụ công việc
  • Không thể biết còn bao nhiêu website nội bộ/bên ngoài được Cloudflare “bảo vệ” sẽ bị chặn thêm
  • Có thể thử cài lại Firefox, nhưng do đã có trải nghiệm rằng các biện pháp phỏng đoán làm tình hình tệ hơn, người dùng khó chắc chắn bước tiếp theo
  • Không có quy trình rõ ràng để người dùng tự xử lý, nên có khả năng phải tìm quản trị viên hệ thống phụ trách trang đó trong danh bạ nội bộ và yêu cầu cho phép truy cập

Lo ngại về web nói chung

  • Việc có bằng chứng danh tính mạnh nhưng vẫn bị chặn truy cập tài nguyên cần thiết khi lệch một bước khỏi hành vi dự kiến dẫn đến lo ngại về tương lai của web
  • Nếu chứng thực từ xa và các biện pháp “bảo mật” được áp dụng vào những lĩnh vực như ngân hàng trực tuyến, chúng có thể ảnh hưởng tới gần như mọi mặt của đời sống cá nhân
  • Người dùng Android đã loại bỏ Google phải bỏ nhiều công sức để chứng thực phần cứng hoạt động đúng nhằm dùng ứng dụng ngân hàng
  • Các đề xuất web trao thêm quyền cho doanh nghiệp, vốn khó quy trách nhiệm hơn cá nhân, có thể làm gia tăng tình huống người dùng phải loay hoay để đáp ứng những quy tắc vô hình
  • Chỉ trong vài năm gần đây, các công ty vi phạm luật quyền riêng tư mới bắt đầu bị chế tài thực chất; khoản phạt 1,2 tỷ euro với Facebook do vi phạm GDPR là một ví dụ

Những câu hỏi Web Integrity API và passkeys để lại

  • Đề xuất Web Integrity API là một đề xuất đã gây phản ứng về tương lai của web
    • Nếu công ty tài chính đưa chính sách chứng thực từ xa vào website, loại phần cứng, hệ điều hành và phần mềm mà cá nhân có thể dùng có thể bị hạn chế hơn nữa
    • Có thể có lý do chính đáng để chặn các thiết bị cũ, có lỗ hổng và không thể vá, nhưng người dùng cho rằng quyết định của doanh nghiệp có thể đi theo hướng tăng kiểm soát của doanh nghiệp bằng cách đánh đổi tự do hoặc quyền của cá nhân
  • Ví dụ đầu tiên của đề xuất Web Integrity API nêu nhu cầu rằng trên website có quảng cáo hỗ trợ, nhà quảng cáo phải có thể trả tiền để quảng cáo được con người chứ không phải robot xem
    • Hệ quả là người dùng thật phải gánh trách nhiệm chứng minh mình là người
    • Người dùng cũng đặt nghi vấn về việc tác giả đề xuất thuộc Google, công ty có doanh thu quảng cáo lớn
  • Việc áp dụng passkeys là một đề xuất hữu ích có thể đem lại cách truy cập website an toàn hơn và đơn giản hơn
    • Tuy nhiên, nếu bằng chứng danh tính mạnh vẫn có thể bị phớt lờ như trải nghiệm với Cloudflare, rất khó biết passkeys sẽ được các nhà cung cấp dịch vụ như Cloudflare xử lý ra sao
  • Passkeys còn để lại nhiều câu hỏi thực tiễn
    • Người dùng có thể tự tạo và đồng bộ passkeys hay không
    • Nếu chỉ một số phần mềm nhất định được dùng passkeys, ai sẽ đặt ra tiêu chuẩn đó
    • Có cần các yêu cầu phần cứng/phần mềm cụ thể như TPM, DeviceCheck, Integrity API hay không
    • Có thể xuất passkeys khỏi một nhà cung cấp dịch vụ và chuyển sang nhà cung cấp khác bất cứ lúc nào hay không
    • Nếu một sự kiện đáng ngờ liên quan đến passkey, dấu hiệu nghi ngờ có lan sang các thiết bị khác dùng cùng passkey không
    • Thiết bị chứa passkeys đáng ngờ có bị đánh dấu là đáng ngờ, và việc đó có ảnh hưởng tới truy cập các website độc lập khác trên thiết bị đó không
  • Mật khẩu có nhiều nhược điểm, nhưng có ưu điểm là cá nhân có thể tự tạo, tạo trên thiết bị mình có và quản lý theo cách mình muốn
  • Dù các công nghệ như VPN, chứng chỉ và fingerprinting bù đắp cho điểm yếu của mật khẩu và bảo mật máy tính, nếu muốn làm việc cơ bản phải từ bỏ quyền riêng tư mà vẫn có thể bị chặn, thì sự trợ giúp đó là có giới hạn

1 bình luận

 
GN⁺ 2023-08-09
Ý kiến trên Hacker News
  • Nhiều người nói mình nhạy cảm về quyền riêng tư nhưng vẫn dùng Chrome mà không biết điều này
    Một trang bị chặn trên Firefox lại mở được trên Chrome, nhưng Chrome không có thiết kế tăng cường quyền riêng tư và bảo mật như Firefox, thu thập và chia sẻ nhiều lịch sử duyệt web cùng dữ liệu cá nhân hơn, đồng thời cũng kém chống lại theo dõi bằng dấu vân tay hơn
    Cùng chứng chỉ, cùng VPN công ty, cùng thiết bị, cùng khung giờ mà chỉ đổi trình duyệt đã qua được, thì có vẻ Cloudflare đang chặn dựa trên dấu vân tay hoặc sự thiếu vắng dấu vân tay của trình duyệt
    Nếu ngày nay còn quan tâm dù chỉ một chút, thì không nên dùng Chrome

    • Tôi không phải fan Google, nhưng lập luận “Chrome qua được vì nó cung cấp nhiều thông tin hơn” không thật thuyết phục
      Trong tình huống này không rõ Chrome đã cung cấp thông tin gì khác với Firefox, và cũng có thể đơn giản là Firefox, với user agent hiếm hơn, bị đưa vào diện lọc nghiêm ngặt hơn
      Tôi từng thấy trường hợp khi đổi trình duyệt trên một site thì thông báo giới hạn tốc độ biến mất; có khả năng với thông tin hạn chế, họ đã suy đoán cùng IP + user agent khác = máy tính khác
      Ít nhất cũng nên thử với một trình duyệt thứ ba
    • Các heuristic nhằm phân biệt cái gọi là “bot” và “người” là không phù hợp chừng nào con người vẫn bị nhầm là bot và bị chặn
      “Hãy dùng Chrome” không phải là giải pháp; người dùng Firefox hoặc phần mềm không thuộc Google khác vẫn là con người
      Cách xác minh “không phải bot” bằng JavaScript trông giống như một phương tiện ép người dùng bật JavaScript và tự mở mình ra trước nhiều lượt hiển thị quảng cáo hơn
    • Nói đừng dùng Chrome thì dễ, nhưng nói đừng dùng Cloudflare thì khó hơn nhiều
      Nếu xét theo tiêu chí độc chiếm thị trường và đe dọa tương lai của Internet mở, Cloudflare là mối đe dọa lớn hơn; và khoảnh khắc chế độ độc tài Cloudflare chuyển sang kém thiện chí hơn, tất cả mọi người sẽ cảm nhận được
    • Nếu ngày nay còn quan tâm dù chỉ một chút, thì ngoài Chrome cũng không nên dùng Cloudflare
    • Đây là lần đầu tôi nghe chuyện “những người nhạy cảm về quyền riêng tư dùng Chrome nhiều”
  • Tôi là PM nền tảng challenge của Cloudflare và muốn kiểm tra nguyên nhân vấn đề
    Chúng tôi không phạt điểm người dùng chỉ vì hành vi lặp lại, nên trình duyệt sẽ không bị đánh dấu đáng ngờ vì lý do đó
    Cá nhân tôi dùng Firefox rất nhiều nhưng chưa thấy hành vi như vậy; nếu đây là vấn đề trên diện rộng của Firefox, cảnh báo tự động hẳn đã vang lên và nó đã được xử lý như một sự cố nghiêm trọng
    Nếu quan tâm đến việc khắc phục, bạn có thể gửi email tới amartinetti at cloudflare

    • Nguyên nhân vấn đề là phần mềm có khiếm khuyết trong thiết kế
      Địa chỉ IP dùng để định tuyến gói tin, không nên được dùng để âm thầm chấm “điểm hành vi” cho người dùng. IP của tôi hôm qua có thể là IP của một người hoàn toàn khác
      Việc quyết định ai được truy cập một nửa web bằng chữ ký TLS về lâu dài không giải quyết được gì, củng cố độc quyền trình duyệt và đi ngược trực diện với tinh thần web mở
      Tôi chạy các bot kiểu crawler cho dự án cá nhân nên phần nào cũng tự chuốc lấy, nhưng chỉ cần bắt chước chữ ký TLS của Chrome là vẫn hoạt động. Những người bạn không có kiến thức kỹ thuật và chẳng làm gì cũng bị cuốn vào đợt chặn này
      Dịch vụ Cloudflare rất có thể đã gây thiệt hại cho hàng triệu người khi một ngày đột nhiên bị chặn khỏi một nửa WWW, và thiệt hại như vậy là hệ quả logic của các heuristic dùng để quyết định có cho truy cập site hay không
      Việc một công ty đơn lẻ ngoài quốc gia của tôi quyết định tôi có thể dùng web hay không cũng thật nực cười, và giờ để tiếp tục dùng Firefox tôi lại phải đi mua proxy ở những chỗ đáng ngờ
    • Tôi dùng Firefox và gần đây thấy trang chặn ngang “xác minh bạn là người” của Cloudflare xuất hiện thường xuyên hơn
      Thường thì nó tự hoàn tất nên không phải chuyện lớn, nhưng tuần trước tôi cảm nhận rõ tần suất đã tăng lên
    • Tôi dùng Firefox nhưng không thấy số lần phải giải CAPTCHA tăng lên, và cũng hầu như không thấy trang “connection secure”
      Có thể là do tiện ích mở rộng Privacy Pass tôi đang dùng, dù tôi không rõ nó thực sự làm gì
    • Proxy IP tôi thường dùng gặp vấn đề khi quyền sở hữu datacenter chuyển từ ARIN sang RIPE
      Vị trí thực tế vẫn là NYC, nhưng khi truy cập các site ở Mỹ được Cloudflare bảo vệ thì trông như tôi đến từ Anh, và ngày càng nhiều nơi như báo địa phương, cửa hàng tạp hóa, công ty thẻ chặn tôi
      Thông tin định vị địa lý IPv6 của Cloudflare bị hỏng, và dường như họ cũng can thiệp cả khi truy cập bằng IPv4. Ngay từ đầu, phán đoán dựa trên định vị địa lý đã là một ý tưởng không hay
    • Khi định tuyến lưu lượng qua ProtonVPN, tôi thấy hiện tượng này trên Firefox
      Có thể là do người dùng khác của VPN có hành vi xấu, nhưng có vẻ nhiều khả năng còn hơn thế nữa
  • Tôi từng gặp đúng vấn đề này trong một thời gian, và có thể tìm các trang mình không truy cập được bằng cách tìm “just a moment” trong lịch sử trình duyệt
    https://gitlab.com/users/sign_in, https://steamdb.info/login/, https://www.zabbix.com/forum/, https://casetext.com/, https://namemc.com/login, https://spinroot.com/, https://camelcamelcamel.com/
    Vấn đề này đã kéo dài nhiều tháng, có lẽ nhiều năm, nhưng Cloudflare có vẻ không sửa; cảm giác như họ ghét web mở và muốn ép buộc sự thống trị của Chrome/Chromium/Blink

    • Nếu bạn có thể chia sẻ rayID thấy trong các thử thách lặp lại như vậy, tôi muốn kiểm tra
      rayID không chứa thông tin định danh cá nhân nên có thể công khai, hoặc bạn cũng có thể gửi email đến amartinetti at cloudflare
      Chúng tôi cũng sắp triển khai cơ chế báo cáo, để về sau có thể nhanh chóng thông báo và xử lý các vấn đề như thế này
    • Tôi cũng luôn gặp chuyện này; nó đã diễn ra nhiều năm và ngày càng tệ đi thấy rõ
      Muốn dùng web thì bằng cách này hay cách khác đều phải trả giá: hoặc mất quyền truy cập vì thiết lập quyền riêng tư nghiêm ngặt, hoặc phải giao nộp quyền riêng tư. Không có cách nào thắng
    • Trên Waterfox thì không gặp vấn đề, nhưng việc giờ đây chỉ để truy cập một website cũng cần JavaScript là quá vô lý
    • GitLab cũng chặn tôi đăng nhập vì Cloudflare, ngay cả khi tôi là khách hàng trả phí
      Tôi không còn trả tiền vì lý do khác, nhưng dù sao cũng thấy mình đã cắt đúng lúc
    • Có vẻ người dùng muốn sự thống trị của Chrome và không quan tâm đến web mở hay Firefox
      Đây là trình duyệt số một trên desktop, dù không được cài sẵn trong hệ điều hành; Windows có Edge, Mac có Safari, vậy mà người dùng vẫn tự tải Chrome về
  • Khi một phần lớn lưu lượng Internet bị một nguồn duy nhất kiểm soát, những vấn đề như thế này sẽ xảy ra
    Chỉ cần Cloudflare tùy ý quyết định ai được dùng Internet, trên thực tế lời của họ đã thành luật
    Ban đầu có thể xuất phát từ tiền đề ngây thơ kiểu “một cách dễ để chặn tác nhân xấu”, nhưng cuối cùng sẽ mở rộng theo các tiêu chí tùy tiện
    Nếu muốn bảo vệ quyền riêng tư thì phải cho phép cả người xấu, nhưng người dùng Internet trung bình không hiểu được sắc thái này
    Ngay cả trong trường hợp ngây thơ nhất, một commit sai cũng có thể làm Internet sập, và chuyện đó đã từng xảy ra ở Cloudflare
    Luật chống độc quyền tồn tại là vì các công ty như Cloudflare, Google, Meta, nhưng dường như không có ai có thẩm quyền muốn dùng luật đó cho đúng. 20 năm nữa Internet sẽ hoàn toàn khác những gì ta từng thấy đến nay, và có lẽ không phải theo hướng tốt

    • Bạn không phải khách hàng trả tiền cho Cloudflare; khách hàng là các website trả tiền để bảo vệ hạ tầng
      Khách hàng có thể chọn giữa nhiều nhà cung cấp CDN/WAF, Cloudflare cũng không phải hãng lớn nhất; Akamai còn lớn hơn
      CDN tăng trưởng nhanh nhất là CloudFront và cạnh tranh có vẻ vẫn lành mạnh, nên tôi không hiểu vì sao luật chống độc quyền phải được áp dụng
    • Mọi người đang quên rằng website gần như không dùng nổi vì crawler và bot
      Chủ site chọn Cloudflare để chặn chuyện đó, chứ Cloudflare không ép buộc
    • Internet hiện nay cũng đã hoàn toàn khác Internet của 20 năm trước
    • Tôi không nghĩ Cloudflare có thị phần đủ để gây lo ngại về chống độc quyền
    • Chỉ khi Cloudflare ngăn người ta chuyển sang đối thủ cạnh tranh thì nói đến luật chống độc quyền mới hợp lý
  • Nếu mổ xẻ nhiều cookie phiên của Cloudflare, trang “integrity cao su” hay các script chèn kiểu man-in-the-middle do chế độ “super bot-fight” gửi xuống, có thể thấy về cơ bản họ đang dùng web worker để thực hiện kiểm tra tính toàn vẹn của trình duyệt theo kiểu heuristic
    Tức là họ chạy một loạt bài kiểm tra mà trình duyệt thật do người dùng điều khiển sẽ vượt qua, còn trình duyệt headless do bot điều khiển thì sẽ thất bại
    Ví dụ, để kiểm tra đó là trình duyệt thật hay chỉ là trình phân tích HTML thô, họ vẽ ảnh lên canvas, xuất ra PNG rồi so sánh hash; hoặc kiểm tra các phông chữ đặc thù của hệ điều hành người dùng, những thứ dễ bị thiếu khi chạy Puppeteer trong container mặc định của Lambda/Cloud Function
    Xa hơn nữa, họ còn có thể xem chuyển động chuột và phím bấm không cần thiết trước khi kích hoạt prompt có giống lỗi của con người không, hay có giống các mẫu phát lại bản ghi mà họ mới thấy gần đây không
    Nếu bạn bị kẹt trong vòng lặp xác minh, đó là vì trình duyệt, thiết bị hoặc tiện ích mở rộng của bạn đã che giấu hoặc vô hiệu hóa đủ nhiều heuristic này khiến Cloudflare không có bằng chứng chắc chắn rằng bạn là con người; tùy theo thiết lập của chủ site, thay vì báo là thất bại, họ sẽ tiếp tục cố thu thập bằng chứng
    Vì nếu báo cho bot biết nó đã thất bại thì chẳng khác nào gửi tín hiệu “hãy dừng cách không hiệu quả này và đổi tần số lá chắn”

    • Từ góc nhìn người dùng, nó chỉ trông như website bị hỏng
      Không có exception trong console, chỉ cùng một trang cứ tải lại mãi
    • Nếu một bot bị kẹt trong vòng lặp Cloudflare suốt 10 phút, tôi cho đó là tín hiệu khá mạnh rằng có gì đó không hoạt động
    • Nếu vậy thì tôi không biết phải giải thích thế nào về việc chặn xảy ra trên các trình duyệt hoặc nền tảng ít phổ biến hơn
  • Điều đôi khi bị bỏ qua là chủ site dùng Cloudflare quyết định mức độ hoang tưởng trên phạm vi toàn cục, và họ còn có thể tạo riêng các quy tắc WAF rất chi tiết và hung hăng
    Vì vậy trong một số trường hợp, chủ site đặt quy tắc quá hung hăng nhưng Cloudflare lại bị chửi. Hiệu ứng mà người dùng cuối nhìn thấy thường giống hệt nhau
    Trước đây tôi từng tạo một quy tắc WAF chặn toàn bộ lưu lượng bot chưa xác minh đến từ các trung tâm dữ liệu lớn như Google Cloud, OVH, DigitalOcean, nhưng đó là sai lầm vì nhiều doanh nghiệp, vì lý do nào đó, lại định tuyến lưu lượng qua các ASN đó
    Những người dùng đó hẳn đã nổi giận với Cloudflare, nhưng nguyên nhân thực sự là tôi đã cấu hình sai

  • Trong lớp lập trình, chúng tôi dùng một trình duyệt đơn giản làm ví dụ; nó không xử lý CSS hay JavaScript nên hiển thị khá thô sơ, nhưng vẫn hoạt động
    Nó chạy được trên một số trang, nhưng đặc biệt các trang lớn thường xem đây là trình duyệt không xác định và từ chối gửi nội dung. Có lẽ họ nghĩ đó là bot
    Ngay cả nếu là bot, nếu nó hoạt động lịch sự thì tôi cũng không hiểu vấn đề là gì, và tôi tự hỏi liệu chúng ta đã cho phép các tập đoàn khổng lồ tạo ra một web khép kín như thế nào

    • Trang web có thể tự quyết định có phản hồi yêu cầu hay không
      Họ không có nghĩa vụ phải phục vụ tất cả mọi người
    • Đứng ở góc độ phản biện, tôi tò mò vì sao máy chủ lại không được phép quyết định sẽ nói chuyện với client nào
  • Việc trang kiểm tra của Cloudflare làm hỏng thao tác tải lại trang của Firefox cũng rất khó chịu
    Khi Cloudflare gửi bạn trở lại trang gốc, nó điều hướng bằng POST; lần POST đầu tiên bị Cloudflare chặn, nhưng nếu bạn tải lại trang thì POST đó đi tới trang thật, và trang đó nhiều khả năng không biết phải làm gì nên hiển thị lỗi
    Cách giải quyết duy nhất là nhấn Enter trên thanh địa chỉ để điều hướng lại thay vì tải lại, hoặc tìm liên kết quay về trang đó
    Sẽ không ngạc nhiên nếu bạn bị một trang nào đó chặn vì những POST như vậy. Họ có thể phán rằng: “nó biết không được POST vào trang đó mà vẫn gửi, nên đây là bot độc hại đang cố hack”

  • Số lần Cloudflare bắt tôi xem trang “checking your connection” kéo dài 15–30 giây nhiều đến mức vô lý
    Với một người sống chung với ADHD như tôi, những độ trễ và gián đoạn tích tụ suốt cả ngày như vậy có thể gây ảnh hưởng nghiêm trọng
    Ngay cả khi dùng thuốc đầy đủ, biện pháp này vẫn khiến tôi thật sự bất lực, biến trải nghiệm trực tuyến thành thứ tồi tệ và kiệt sức

    • Thường thì thứ đó được bật trên các trang đang hứng chịu tấn công DDoS nghiêm trọng
      Không ai muốn cho người dùng thấy nó, nhưng đôi khi buộc phải dùng
    • Không phải Cloudflare tự bắt làm vậy, mà là khách hàng dùng Cloudflare cấu hình như thế
    • Privacy Pass của Cloudflare có thể giúp ích: https://privacypass.github.io/
      Nó sẽ giảm đáng kể số CAPTCHA bạn phải nhìn thấy theo cách không quá tệ đối với quyền riêng tư
      Trên Safari có thể bật Private Access Tokens: https://blog.cloudflare.com/how-to-enable-private-access-tok...
      Cả hai cách đều giống đề xuất web DRM của Google ở điểm token do bên phát hành bên ngoài tạo ra, nhưng khác với nỗ lực của Google, chúng không bảo đảm với trang muốn dùng token rằng trình chặn quảng cáo đã bị tắt
  • Ngay hôm qua tôi mới biết rằng đăng nhập PayPal không hoạt động trên Safari hay Firefox, mà chỉ hoạt động trên trình duyệt nền Chromium
    Chúng ta đang ngày càng lún sâu vào thời “trang này được tối ưu cho Google Chrome”

    • Twitch cũng gặp vấn đề này
      Nếu bật chống theo dõi dấu vân tay trên Firefox thì không thể đăng nhập, có vẻ chỉ xác thực hai yếu tố là chưa đủ để bảo vệ tài khoản
      Nếu không cho phép Twitch nhận diện duy nhất máy tính của tôi, họ không cho tôi đăng nhập, nên tôi đơn giản là ngừng xem stream trên Twitch
    • Tôi đã gặp vấn đề với PayPal một thời gian rồi
      Firefox trên Windows, Linux, Android đều như vậy; may là tôi vẫn còn đăng nhập trong ứng dụng, nhưng vì không vào được PayPal bằng Firefox nên có lần dù còn số dư PayPal tôi vẫn phải thanh toán bằng thẻ tín dụng