Deshabilitar la cookie __cfduid de Cloudflare

13

¿Existe una configuración de Cloudflare que corresponde a la creación de la __cfduidcookie de sesión?

Actualmente estoy probando CF; principalmente para la ordenada gestión de DNS y la CDN implícita. Pero el WAF básico es posiblemente una adición tan agradable sobre Apaches mod_security / CRS. Sin embargo, no estoy seguro de cuál es el propósito de las cookies, y preferiría deshacerme de eso.

El escenario más obvio

Perfil de seguridad: esencialmente desactivado

Parece que tampoco tiene esencialmente ningún efecto en la creación de __cfduidcada respuesta HTTP. El propósito de las cookies es presumiblemente para excluir a usuarios individuales de las reglas de firewall, captchas repetidas de cloudflare, etc.

Su documentación de soporte alude a eso. Donde la primera revisión de 09/2012 ( https://support.cloudflare.com/hc/en-us/articles/200169536-What-does-the-cfduid-cookie-do- ) dice que este comportamiento nunca puede ser apagado. Sin embargo, una entrada dos meses después 11/2012 ( https://support.cloudflare.com/hc/en-us/articles/200170156-What-does-the-CloudFlare-cfduid-cookie-do- ) omite esa nota.

Mientras que la propia CloudFlare TOS echa un vistazo a tan plausible, esta cookie tiene todas las propiedades de una sesión de seguimiento, dc41f5a78bc3e27d44b70fca4606e4262283407700773. La vida útil excesiva de las cookies de 6 años es muy extraña para el caso de uso ejemplar de visitantes de cibercafés. Y dado que personalmente evito las sesiones innecesarias, y no quiero enyesar una nota de privacidad (a la luz de la infame ley de cookies de la UE) como todos los demás, prefiero que desaparezca por defecto.

Una solución como:

  Header add Set-Cookie "__cfduid= ; path=/; domain=.example.org; HttpOnly"

Evita su almacenamiento, pero conserva dos encabezados innecesarios y no parece demasiado confiable.

Entonces, ¿hay otra configuración de CF para esto?

mario
fuente
1
Además de cosas divertidas como esta , la única solución disponible es proxy de la conexión y eliminar la cookie antes de que llegue al cliente.
Synchro

Respuestas:

4

No, no hay forma de desactivar la cookie si estamos proxysando el registro (si tuviera un subdominio que no se ejecuta a través de nuestro proxy en su configuración de DNS, entonces no agregaríamos la cookie porque va directamente a su servidor) . La cookie es básicamente lo que hace que la seguridad (como una página de desafío) funcione.

damoncloudflare
fuente
8
"Hace que la seguridad funcione" sigue siendo muy poco descriptivo. ¿Cómo ayuda a la seguridad, por ejemplo, contra los robots que normalmente no envían cookies de sesión? Si es solo para CAPTCHAS, ¿para qué es el tiempo de vencimiento excesivo de cookies?
mario
2
Sospecho que es para establecer quién es de confianza, no quién no es de confianza. Si no tiene la cookie de sesión, está en el estado de menor confianza. Si tiene la cookie de sesión, puede ser desconfiado o de confianza o en cualquier punto intermedio. Por lo tanto, no enviar la cookie de sesión significa que será tratado de manera más hostil por el WAF, no menos. Luego se deduce que tiene un tiempo de caducidad de cookies 'excesivo' para evitar que lo molesten o estrangulen innecesariamente en el futuro.
Rushyo
Resulta que Cloudflare aloja muchas cosas que busco a menudo (documentación de API, proyectos de código abierto), que en este momento no me sirven de nada. No. No voy a habilitar la inyección de cookies de sesión aleatoria en dominios que no tienen nada que hacer con cloudflare (como jqueryui.com, expressjs.com). __cfduidrompe los estándares de internet. Está incorrecto.
Martin Algesten
4

¿Cuál es el problema con esta cookie? Está utilizando su servicio y desea beneficiarse de su servicio y su seguridad; según Cloudflare, esta cookie ayuda especialmente por razones de seguridad. Independientemente de eso, este tipo de cookie está exento del mensaje de la ley de cookies:

Sin embargo, algunas cookies están exentas de este requisito. No se requiere consentimiento si la cookie es:

· Utilizado con el único propósito de llevar a cabo la transmisión de una comunicación, y

· Estrictamente necesario para que el proveedor de un servicio de la sociedad de la información explícitamente requerido por el usuario para proporcionar ese servicio.

Leer más: http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

Esta cookie Cloudflare está definitivamente exenta de la ley de cookies.

Luca Steeb
fuente
1
"por razones de seguridad" es precisamente la explicación floja que provocó esta pregunta. ¿Para qué se usa ahora? ¿Por qué sigue ahí cuando las funciones de "seguridad" están deshabilitadas ? ¿Por qué tiene 6 años de vida? La opinión legal sobre esto es principalmente ortogonal.
mario
Me temo que cualquiera puede responder a esta pregunta con respecto a la seguridad cuando incluso los empleados de Cloudflare (supongo que damoncloudfare es uno) no pueden decírtelo, independientemente de las razones.
Luca Steeb
2
Aquí hay un problema con esta cookie: desencadena varios falsos positivos en escáneres vuln / PCI. Por ejemplo, Saintbot / Controlscan ve la respuesta con una sesión de bases de cookies var y la marca como phprpc vuln, aunque phprpc no está presente (404). Es molesto que constantemente fallemos los escaneos PCI programados debido a esta simple cookie. Claro que es culpa de los vendedores, pero después de más o menos 20 certificaciones + boletos, y llamándolos, todavía no han reparado el filtro de escaneo. Debido a esa falla en la reparación, esta cookie CF causa falla PCI bajo la premisa de falso positivo (aún falla).
dhaupin
Diría que deberías culpar a los escáneres, no a Cloudflare ..
Luca Steeb
El otro problema aparte de los escáneres de vulnerabilidades que dan falsos positivos es el impacto en el rendimiento, aunque es insignificante, existe y no debería.
Ray Foss
2

Pasos para deshabilitar una cookie - php. No puedo tomar el crédito por esto, no es mi solución, pero estoy feliz de repartir la riqueza.

function deleteSpecificCookies() {

    var cookies = document.cookie.split(";");
    var all_cookies = '';

    for (var i = 0; i < cookies.length; i++) {

        var cookie_name  = cookies[i].split("=")[0];
        var cookie_value = cookies[i].split("=")[1];

        if( cookie_name.trim() != '__utmb' ) {

            all_cookies = all_cookies + cookies[i] + ";";

        }

    }

    if(!document.__defineGetter__) {

        Object.defineProperty(document, 'cookie', {
            get: function(){return all_cookies; },
            set: function(){return true},
        });

    } else {

        document.__defineGetter__("cookie", function() { return all_cookies; } );
        document.__defineSetter__("cookie", function() { return true; } );

    }
}
Alfie
fuente