Désactiver le cookie __cfduid de Cloudflare

13

Existe-t-il un paramètre Cloudflare qui correspond à la création du __cfduidcookie de session?

J'essaie actuellement CF; principalement pour la gestion DNS soignée et le CDN implicite. Mais le WAF de base est peut-être tout aussi bien un ajout au sommet d'Apaches mod_security / CRS. Cependant, je ne sais pas quel est le but des cookies, et je préférerais m'en débarrasser.

Le cadre le plus évident

Profil de sécurité: essentiellement désactivé

Semble également n'avoir pratiquement aucun effet sur la création de __cfduidchaque réponse HTTP. Le but des cookies est vraisemblablement de désactiver les utilisateurs individuels des règles de pare-feu, des captchas cloudflare répétés, etc.

Leur documentation de support y fait allusion. Où la première révision de 09/2012 ( https://support.cloudflare.com/hc/en-us/articles/200169536-What-does-the-cfduid-cookie-do- ) indique que ce comportement ne peut jamais être éteindre. Une entrée deux mois plus tard 11/2012 ( https://support.cloudflare.com/hc/en-us/articles/200170156-What-does-the-CloudFlare-cfduid-cookie-do- ) omet cependant cette note.

Alors que CloudFlare TOS se vérifier comme plausible, ce cookie a toutes les propriétés d'une session de suivi, dc41f5a78bc3e27d44b70fca4606e4262283407700773. La durée de vie excessive des cookies de 6 ans est très étrange pour l'exemple d'utilisation d'un visiteur de cybercafé. Et comme j'évite personnellement les sessions inutiles et que je ne veux pas plâtrer une note de confidentialité (à la lumière de la fameuse loi sur les cookies de l'UE) comme tout le monde, je préférerais qu'elle soit supprimée par défaut.

Une solution de contournement comme:

  Header add Set-Cookie "__cfduid= ; path=/; domain=.example.org; HttpOnly"

Évite son stockage, mais conserve deux en-têtes inutiles et ne semble pas trop fiable.

Alors, y a-t-il un autre réglage des FC pour cela?

cookie cloudflare mario
la source
1
Mis à part des choses amusantes comme celle-ci , la seule solution de contournement disponible consiste à proxy la connexion et à supprimer le cookie avant qu'il ne frappe le client.
Synchro

Réponses:

4

Non, il n'y a aucun moyen de désactiver le cookie si nous mandatons l'enregistrement (si vous aviez un sous-domaine ne fonctionnant pas via notre proxy dans vos paramètres DNS, nous n'ajouterions pas le cookie car il va directement sur votre serveur) . Le cookie est essentiellement ce qui fait fonctionner la sécurité (comme une page de défi).

damoncloudflare
la source
8
«Faire fonctionner la sécurité» est encore largement indescriptible. Comment cela aide-t-il à la sécurité contre par exemple les bots qui n'envoient généralement pas de cookies de session? Si c'est uniquement pour CAPTCHAS, à quoi sert la durée d'expiration excessive des cookies?
mario
2
Je suppose que c'est pour établir à qui on fait confiance, pas à qui on ne fait pas confiance. Si vous n'avez pas le cookie de session, vous êtes dans l'état de moindre confiance. Si vous avez le cookie de session, vous pouvez être de confiance ou de confiance ou n'importe où entre les deux. Ainsi, ne pas envoyer le cookie de session signifie que vous serez traité de manière plus hostile par le WAF, pas moins. Il s'ensuit alors qu'il a un délai d'expiration de cookie «excessif» pour vous empêcher d'être harcelé ou étranglé inutilement à l'avenir.
Rushyo
Il s'avère que cloudflare héberge beaucoup de choses que je consulte souvent (documentation api, projets open source), qui me sont toutes inutiles en ce moment. Non, je ne vais pas activer l'injection de cookies de session aléatoire sur les domaines qui n'ont rien à voir avec cloudflare (comme jqueryui.com, expressjs.com). __cfduidenfreint les normes Internet. C'est faux.
Martin Algesten
4

Quel est le problème avec ce cookie? Vous utilisez leur service et souhaitez bénéficier de leur service et de leur sécurité - selon Cloudflare, ce cookie est particulièrement utile pour des raisons de sécurité. Indépendamment de cela, ce type de cookie est exempté du message de loi sur les cookies:

Cependant, certains cookies sont exemptés de cette exigence. Le consentement n'est pas requis si le cookie est:

· Utilisé dans le seul but d'effectuer la transmission d'une communication, et

· Strictement nécessaire pour que le fournisseur d'un service de la société de l'information soit explicitement requis par l'utilisateur de fournir ce service.

En savoir plus: http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

Ce cookie Cloudflare est définitivement exempté de la loi sur les cookies.

Luca Steeb
la source
1
«pour des raisons de sécurité» est précisément l'explication insipide qui a déclenché cette question. A quoi sert-il pour l'instant? Pourquoi est-il toujours là lorsque les fonctionnalités de «sécurité» sont désactivées ? Pourquoi a-t-il une durée de vie de 6 ans? L'avis juridique à ce sujet est principalement orthogonal.
mario
J'ai peur que quiconque puisse répondre à cette question concernant la sécurité lorsque même les employés de Cloudflare (je suppose que damoncloudfare en est un) ne peuvent pas vous le dire, quelles que soient les raisons.
Luca Steeb
2
Voici un problème avec ce cookie: il déclenche divers faux positifs dans les scanners vuln / PCI. Par exemple, Saintbot / Controlscan voit la réponse avec une session de base de cookies var et la marque comme phprpc vuln, même si le phprpc n'est pas présent (404). Son ennuyeux que nous échouons constamment les analyses PCI planifiées à cause de ce simple cookie. Bien sûr, c'est la faute des vendeurs, mais après une vingtaine d'attestations + tickets et les avoir appelés, ils n'ont toujours pas corrigé le filtre de scan. En raison de cet échec de réparation, ce cookie CF provoque une défaillance PCI sous l'hypothèse de faux positifs (toujours un échec).
dhaupin
Je dirais que vous devriez blâmer les scanners, pas Cloudflare ..
Luca Steeb
L'autre problème mis à part les scanners de vulnérabilité donnant de faux positifs est l'impact sur les performances, bien qu'il soit négligeable, il existe et il ne devrait pas.
Ray Foss
2

Étapes pour désactiver un cookie - php. Je ne peux pas m'en attribuer le mérite, ce n'est pas ma solution mais je suis heureux de répartir la richesse.

function deleteSpecificCookies() {

    var cookies = document.cookie.split(";");
    var all_cookies = '';

    for (var i = 0; i < cookies.length; i++) {

        var cookie_name  = cookies[i].split("=")[0];
        var cookie_value = cookies[i].split("=")[1];

        if( cookie_name.trim() != '__utmb' ) {

            all_cookies = all_cookies + cookies[i] + ";";

        }

    }

    if(!document.__defineGetter__) {

        Object.defineProperty(document, 'cookie', {
            get: function(){return all_cookies; },
            set: function(){return true},
        });

    } else {

        document.__defineGetter__("cookie", function() { return all_cookies; } );
        document.__defineSetter__("cookie", function() { return true; } );

    }
}
Alfie
la source