Aux États-Unis, le service de CDN Cloudflare est impliqué dans deux affaires pour l'usage de ses services par des sites accusé de proposer du contenu piraté. Dans un cas, le plaignant réclame plusieurs millions de dollars à la société, quand dans l'autre, celle-ci se bat contre une injonction à couper le service sur plusieurs noms de domaine.
Pour certains ayants droit, Cloudflare est un allié actif du piratage. Le service de CDN et de protection contre les DDoS Cloudflare est ainsi attaqué sur deux fronts. D'un côté, le site pour adultes ALS Scan l'accuse de soutenir des sites « pirates » et de ne pas agir après de multiples signalements, quand de l'autre, des maisons de disque lui demandent de couper l'accès qu'il fournit aux contenus de MP3Skull.
Plus de 10 millions de dollars réclamés par ALS Scan
Dans une plainte déposée à la mi-juillet, publiée hier par Torrentfreak, ALS Scan affirme ainsi que Cloudflare contribue à la diffusion illicite de ses contenus, via son réseau de contenu et le masquage des informations des propriétaires des sites concernés.
« Les problèmes auxquels ALS fait face ne se limitent pas à la multiplication de sites proposant de sites pirates. Un nombre important de fournisseurs de services contribuent au développement de ces sites pirates en les soutenant et en commerçant avec eux » explique l'entreprise dans sa plainte. C'est la raison de son attaque de Cloudflare. Le réseau publicitaire JuicyAds est aussi concerné.
Le problème principal pour ALS Scan est que les deux services n'auraient pas cessé leurs activités avec cinq sites « pirates », signalés à plusieurs reprises par le plaignant. Cela même si ces sociétés disent bien couper le service des clients faisant l'objet de multiples demandes de « takedown » (retrait). Selon Torrentfreak, JuicyAds aurait finalement cessé de fournir ses publicités pour plusieurs sites signalés, après le dépôt de la plainte d'ALS Scan. Le tout s'articule dans le cadre du DMCA, la loi américaine qui régit les questions de copyright dans le numérique.
Si ALS en vient à s'attaquer à Cloudflare, c'est que les sites en question ont été peu coopératifs avec l'ayant droit. Celui-ci explique que si certains sites agissaient bien après des demandes de suppression de contenu, les mêmes ou d'autres réapparaissaient dès le lendemain aux mêmes endroits. ALS ne réclame pas moins de 10 millions de dollars, en plus des éventuels bénéfices réalisés via leur activité avec les sites « pirates ». Pour mémoire, l'un de ses clients les plus connus est The Pirate Bay. Selon Torrentfreak, Cloudflare et JuicyAds n'ont pas encore répondu à la plainte.
MP3Skull, pomme de la discorde entre majors et Cloudflare
Un autre dossier, lui, illustre bien l'intérêt du DMCA pour des acteurs comme Cloudflare. Le service a refusé d'agir à l'encontre de l'un de ses clients, condamné en début d'année pour violation du copyright. En mars, un tribunal américain a ainsi prononcé une injonction permanente contre le site et ceux qui « prennent une part active ou participent » à son activité. Le site doit donc disparaitre de la toile, après que les responsables du site n'ont pas pris la peine de se défendre en justice. Fin juin, l'avocat des maisons de disque plaignantes a demandé à Cloudflare de couper les services fournis à des adresses liées à MP3Skull.
C'est là que l'histoire se complique : dans une lettre du 12 août, Cloudflare indique au tribunal qu'il refuse la demande, même s'il peut être considéré comme contribuant à l'activité de MP3Skull, rapporte l'Electronic Frontier Foundation (EFF). Pour le CDN, il n'est pas question d'agir sans que les ayants droit ne passent par le DMCA. Dans le cadre du DMCA, un tribunal doit ainsi vérifier qu'une mesure à l'encontre d'un intermédiaire n'est pas trop lourde à appliquer pour lui.
Dans l'affaire MP3Skull, seule une demande de suppression des liens avec les domaines et adresses concernés a été émise, sans passer par la procédure du DMCA. Pour l'EFF, la clause qui concerne ceux qui agissent de concert avec un accusé n'est pas censée viser les entreprises qui lui fournissent un service. Elle doit encore moins outrepasser les mesures du DMCA, estime l'organisation. L'an dernier, elle avait d'ailleurs aidé Cloudflare à combattre une décision de justice qui lui aurait imposé de couper les services des clients utilisant un nom de domaine contenant « grooveshark », rappelle-t-elle.
Dans sa lettre, Cloudflare demande ainsi au tribunal de rejeter la demande des plaignants de bloquer les domaines liés à MP3Skull, ou de suivre les règles strictes imposées par le DMCA. Réponse au prochain épisode.
Commentaires (78)
#1
Vous utils(i)ez pas CLoudflare aussi à un moment ?
#2
Pas bon pour nous, T411 est chez eux je crois !
" />
#3
C’est un CDN très connu, il est utilisé par des milliers de sites.
#4
Pourquoi acheter un coffre-fort si il doit y avoir des témoins ?
" />
" />
#5
C’est toujours le cas à NXi, mais bon ça encore peu importe je pense ;)
#6
Toujours plus crevard ces ayants droit. Ils n’arrivent pas à chopper les internautes comme il faut alors autant aller directement chercher le plus haut possible. La prochaine étape c’est quoi ? Porté plainte contre un pays et demander des milliards parce qu’il a été un acteur actif en accueillant sur son territoire des sociétés qui on pu permettre de récupérer des fichiers sous copyright ?
#7
juste que je l’avais déjà vu :)
#8
je ne sais pas qui est l’auteur de l’article … (Le monde ? … ah.)
Mais tu ne dis pas vraiment tout.
“Pour certains ayants droit, Cloudflare est un allié actif du piratage. Le service de CDN et de protection contre les DDoS Cloudflare est ainsi attaqué sur deux fronts. D’un côté, le site pour adultes ALS Scan l’accuse de soutenir des sites « pirates » et de ne pas agir après de multiples signalements, quand de l’autre, des maisons de disque lui demandent de couper l’accès qu’il fournit aux contenus de MP3Skull.”
CloudFlare sert surtout à protéger un site contre les DDOS que subissent beaucoup de sites de ré-information ou de la dissidence , et dans beaucoup de pays alignés ou pas …
Alors l’excuse du piratage : NON.
Certains puissants veulent dézinguer cloudFlare (qui doit faire du cash à donf !) pour abattre d’autres sites et surtout idées qui les gênent , point barre. Les droits d’auteurs etc … baliverne !
#9
La prochaine étape c’est d’attaquer google qui référence les sites pirates .
Par contre, j’ai pas beaucoup d’expérience de CDN, mais je pensais justement que ça prenait ton site “source” et que ça le déployait (en direct) sur différents serveurs pour lui assurer une redondance et une protection DDOS.
Donc il devrait plutôt s’attaquer au site source non ?
#10
cloudflare et consort , vpn ,proxy … pour 80% sont des trucs Ricains : MDR.
" />
Alors les gars qu ifont du VPN en croyant se camoufler un peu … pouahhhhh
#11
Le site source n’est pas en ligne mon cher. …
#12
ALS scan. Intéressant.
" />
#13
oula faut pas trop en demander non plus. Attaquer le site source et puis quoi encore, là quand un ver pourri un fruit, on coupe l’arbre c’est plus efficace et ca évite d’avoir d’autres vers ailleurs :)
#14
Oui je comprend que le site source n’est pas en ligne, mais ce même site source est alimenté et géré par des personnes, ça devrait être eux les principales cibles. Car CloudFare ne fournit qu’un service.
L’utilisation de CloudFare ne devrait pas masquer à qui appartient ce/ces site(s).
#15
la on en reviens au débat, est ce qu’un lien vers un site illicite est aussi illicite. Car cloudflare n’héberge aucun contenue pirate, ne donne aucun lien vers un site permettant d’en telecharger, mais pointe juste vers un site lambda qui lui fais des actions illégale. Si cloudfare est illégale alors google est illégal et la moitié du net aussi par extension.
#16
#17
un classique du net
" />
#18
Bon je vais leur éviter un trop gros nombre de connexions vers leurs sites : ALS = All Ladies Shaved (NSFW)
On sait jamais, vaut mieux eviter que tous les INpactiens y aillent ;-)
#19
c’est juste que tant que la justice ne demande pas directement a la societe de le faire, je ne vois pas pk elle devrais le faire. Si je demande à la banque tes identifiants bancaire car je te soupçonne (c’est un exemple hein >_<) elle devrais le faire ? en quoi les ayants droits ont plus de légitimités pour demander des infos sur les clients d’une boite ?
#20
#21
@Jb18v Je connaissais en fait, dans le même style t’as InTheCrack, AmateursAllure…
" />
#22
qualitay !
#23
Un rêve…. tu m’expliques comment tu gères des utilisateurs si ton site “n’est pas en ligne” ? Tu ne peux pas tout cacher, ou alors tu as un site institutionnel. Et même au-delà de ça, si tu sais comment faire pour passer outre cloudflare tu tombes sur les pages du site sans soucis…. Cloudflare n’invente pas le contenu hein.
L’intérêt d’un CDN c’est
D’ailleurs si ton site tombe, tu te prends des jolis messages d’erreur cloudflare une fois le cache expiré (cf les erreurs cloudflare sur nxi)
#24
HS, mais comment Cloudflare gagne de l’argent ? C’est pas entièrement gratuit ?
#25
On ne peut que féliciter de l’intérêt qu’EFF porte à cette affaire impliquant CloudFlare. L’ambition de la fondation est bien de défendre le droit, pour éviter un précédent justifiant une censure arbitraire. Tous les clients et utilisateurs de services de CloudFlare pourront s’en féliciter.
Pour autant, si l’on se met du côté des parties lésées par des sites aux comportements illégaux, il y a de quoi s’arracher les cheveux.
En effet, CloudFlare n’est plus alors un simple CDN, mais devient aussi un proxy juridique. Tous les hébergeurs n’ont pas la force financière et la détermination libertaire d’un CloudFlare ou d’une EFF. En ajoutant ce rempart juridique supplémentaire à la coupure d’accès à un contenu illicite, les criminels pourront y voir une réduction du risque d’une cessation d’activité, voire d’une éventuelle identification, les incitant à poursuivre leurs activités criminelles avec d’autant plus d’entrain.
#26
Service payant en partie sur devis si me souvient.
https://www.cloudflare.com/plans/
#27
expliques moi comment tu attaques l’ip du gars qui met à jour un site qui n’est pas en ligne (sur un intranet par exemple) ?
#28
une constatation de plus de 220 ans d’histoire et de guerre quasi permanente envers les autres nations du monde … une autre question ?
Mais je te rassure y’a beaucoup de ricains trés bien : Richard Stallman ;-), Chomsky, Morre etc etc …
#29
Si j’ai bien compris, on reproche à cloudflare de fournir des services à des sites illégales aux états uni. J’ai une question par extension, si un jour un pays autre que les US demande à cloudflare de bloquer un site car illégale a ces yeux, doivent il le faire ?
#30
CloudFlare fournit un CDN générique gratuit et limité et un CDN payant avec valeur ajoutée. Le service payant intéresse notamment les sites à forte audience (CDN) de très grande taille (Railgun), sujets à divers types d’attaques (protections personnalisées). Ces offres ciblent notamment les sites de presse, sujets d’attaques pour la moindre information qui déplaît.
#31
Si tu veux te protéger de la NSA ou autre instance américaine, prendre un proxy ou un VPN basé aux US, ce n’est pas très malin…
#32
#33
Non, :
tu a ca :http://3.bp.blogspot.com/-IU-3_YuxS6k/VBSGfVjvEbI/AAAAAAAAAko/iEs-smrXQMY/s1600/…
et ca :
https://www.cloudflare.com/ddos/
Lire :
https://www.cloudflare.com/features-security/security-illustration-ssl.png
#34
#35
hum.
Pour moi cloudflare est un reverse proxy rien d’autre.
Ton site est à … paris, chez ovh (ex.).
MAIS les accès user se font sur les proxy de cloudflare (costarica, allemagne, hollande au hasard ;-) ) , donc ils sont en frontales, pas ton site ovh.
D’ailleurs sur certains sites ou je vais et qui se font régulièrement attaqués , je vois souvent la bannière “your site is under attack” etc …. etc
#36
yep.
#37
ton site ne tombe pas il n’est pas en frontal , c’est le proxy de cloudflare qui morfle … en premier : c’est un reverse proxy …
on faisait cela avec apache et tomcat :
http://www.it-connect.fr/mise-en-place-dun-reverse-proxy-apache-avec-mod_proxy/
j’ose imaginais que cloudflare a des moyens de détection des DDOS par flux http/s anormaux sur leur entrée
pour les injection sql etc … je ne sais pas comment ils gérent…..
#38
#39
ben , action : trouves la moi !
(ce site NXI par exemple)
#40
Mais on est bien d’accord.
Mais du coup ça protège mes genoux. C’est comme si tu mettais un super portail sécurisé pour l’accès à chez toi mais que tu mettes pas de mur sous prétexte que tu es pas dans l’annuaire….
Ca aide quand le DDoS est pratiqué par des script kiddies, quand c’est une team avec un réseau de botnet ça ne sert strictement à rien, donc ce n’est pas une solution antiDDoS…
#41
#42
#43
En théorie.
En pratique tu as toujours besoin de données dynamiques (ne serait ce que les infos de login), donc tu es forcé de faire passer une partie du trafic hors CDN.
Après tu peux t’amuser à mettre en place tout un process pour que ça ne soit vraiment pas visible, mais c’est tout autant faisable sans CDN…. Et très chiant si tu ne veux rien oublier…. (merde l’ip est présente dans le spf…. merde l’ip est présente dans les headers des mails transactionnels, etc….)
#44
#45
#46
#47
Cloudflare héberge énormément de contenu pirate et je ne parle pas juste de contenu visant le dmca
Je parle aussi de site de hacker , un de mes projets a déjà été la proie des attaque et plusieurs lien de référence étais un site protégé par cloudflare , même après plainte multiple cloudflare n’a jamais bougé.
Ils hébergent aussi beaucoup de site qui vende les logiciel de triche qui controune les protection.
Donc sa serait bien que cloudflare tombe
#48
Et NXi qui soutient, avec nos millions d’Euro perçu par les abonnements, une plateforme versée dans le mal absolu
" />
#49
#50
#51
#52
Tes sites, les sites de triche ou les attaques représentent peanuts sur CloudFlare.
Donc on va couper un service utilisé par des milliers (centaines ?) de sites et services tout à fait légitimes et propres sur eux.
Qu’après CloudFlare ne réagisse pas, c’est autre chose. Et le droit des pays comme en France fait peser un minimum d’obligation dont celle de répondre.
#53
Trop tard, ils sont tous déjà en seed sur les TK.
" />
#54
Disons que si tu as besoin d’un CDN pour protéger ton site, tu dois le faire ainsi.
Les sites de presse et les sites de jeux vidéo sont réputés pour être parmi les plus visés par les attaques. Laisser à un attaquant déterminer l’IP source, notamment par les champs des serveurs mails fournis par le DNS, c’est… nécessairement se prendre une attaque qui impactera tout le trafic.
Par ailleurs, côté web, un CDN doit normalement savoir gérer le contenu dynamique sans souci, notamment par l’usage d’entêtes génériques (entêtes relatifs aux proxys) ou spécifiques (entêtes spécifiques à chaque CDN), fournis par le serveur source.
Pour réduire la bande passante et accélérer la réactivité, CloudFlare a développé l’outil Railgun, permettant aux serveurs sources de ne communiquer que le minimum nécessaire aux serveurs de CloudFlare pour que ce dernier puisse reconstituer toute la page. Cela permet de servir une grande quantité de contenu dynamique sans surcharger le serveur source.
#55
Tu peux pas, mais tu peux demander à la société offrant ce service de te fournir l’identité du client (via procédure juridique), mais par contre t’attaque pas cette société en justice sinon par extension tous les hébergeurs seraient attaquables aux moindres fichiers copyrightés présents.
#56
#57
#58
Yup. The Pirate Bay aussi est chez CloudFlare, ce qui m’a toujours interpellé notamment pour les raisons invoqués dans l’article
Le meilleur moyen de repérer la chose et de passer par TorBrowser : un captcha débile à la première connexion -> 95% de chances que le site soit sous CloudFlare (ce qui se vérifie par le nom de la page)
#59
Ah oui c’est vrai c’est comme ca que je l’avais vu ! 
" />
#60
Tu as raison.
C’ est bien une méthode de ricains.
Attaquer une boite ou une personne pour une raison x y mais en fait pour éviter d’ avoir à dévoiler les vrais motifs qui sont au taquet.
Vicelards jusqu’ au bout.
#61
ah ah ah …
nslookup www.nextinpact.com
104.25.124.6
104.25.125.6
ton : 65.52.128.33
Réponse de StnKz : 65.52.141.8 (et ça c le forum …. pas le site)
… bande de gros nazes !!!! (humour on s’innerve pas
ce sont les rayons de cloud flare que vous choppé pas l’ip du site originale ….
> set querytype=NS
> nextinpact.com
Serveur par défaut : srv.mytld.fr
Address: 192.168.x.y
Réponse ne faisant pas autorité :
nextinpact.com nameserver = pam.ns.cloudflare.com
nextinpact.com nameserver = tim.ns.cloudflare.com
pam.ns.cloudflare.com internet address = 173.245.58.138
pam.ns.cloudflare.com AAAA IPv6 address = 2400:cb00:2049:1::adf5:3a8a
tim.ns.cloudflare.com internet address = 173.245.59.145
tim.ns.cloudflare.com AAAA IPv6 address = 2400:cb00:2049:1::adf5:3b91
>
ou :
> server 173.245.58.138
Serveur par dÚfaut : pam.ns.cloudflare.com
Address: 173.245.58.138
> nextinpact.com
Serveur : pam.ns.cloudflare.com
Address: 173.245.58.138
Nom : nextinpact.com
Addresses: 2400:cb00:2048:1::6819:7d06
2400:cb00:2048:1::6819:7c06
104.25.125.6
104.25.124.6
>
et pour les mails …
D:>nslookup
Serveur par défaut : srv.mytld.fr
Address: 192.168.x.y
> set querytype=MX
> nextinpact.com
Serveur : srv.mytld.fr
Address: 192.168.x.y
Réponse ne faisant pas autorité :
nextinpact.com MX preference = 32767, mail exchanger = ms96964680.msv1.invalid
nextinpact.com MX preference = 0, mail exchanger = nextinpact-com.mail.protection.outlook.com
nextinpact-com.mail.protection.outlook.com internet address = 213.199.180.138
nextinpact-com.mail.protection.outlook.com internet address = 213.199.154.42
>
#62
…. et si vous faites pareil chez vous .. vous aurez d’autres IP , c’est le jeu !
#63
j’aime pas généraliser (ricain si, ricains ça … bof) mais n’empêche que TOUS leurs gouvernements n’ont pensé qu’à faire la guerre, de puis plus de 239 ans !!!!
" />
http://reseauinternational.net/les-etats-unis-ont-ete-en-guerre-222-des-239-anne…
https://en.wikipedia.org/wiki/Timeline_of_United_States_military_operations
Ça donne ça un peuple multi-ethnique et multiculturel : des guerriers tout azimut ?
ben didons … ça promet quand on va tous se mélanger !!!
(dieu merci on a des gens sains dans tout ça)
#64
Merci de lire :
https://support.cloudflare.com/hc/en-us/articles/205177068-Step-1-How-does-Cloud…
voir l’image :
https://support.cloudflare.com/hc/en-us/article_attachments/201742508/overview.png
#65
Gnié ? Il me parait logique que le NS de nextinpact.com pointe vers cloudflare.
Par contrehttps://compte.nextinpact.com/ je suis déjà nettement plus dubitatif
Et tu expliques comment que l’entrée de cette ip précise dans le host de ta machine sur le domaine www.nextinpact.com t’affiche bien le site ? Et de façon nettement plus lente que d’habitude ?
#66
Merci de faire un minimum l’effort de comprendre ce qu’est un CDN…. Il ne bloque pas les connexions vers ton serveur, c’est ce serveur là qui reçoit les connexions du domaine en question et donc tout le traffic normal qui pointe vers ton serveur pointe sur celui de cloudflare.
Ensuite cloudflare va chercher du contenu sur ton serveur à toi et le cache chez lui. C’est ce contenu quji est servi à l’internaute.
Le hic de la technique c’est que si tu caches tout tu sers la même page à tout le monde (genre je verrai ledufakademy à la place de fuinril en haut à droite du site). Donc le principe c’est de ne cacher que le contenu statique et de faire transiter tout ce qui est dynamique (les sessions en gros) soit sur le serveur directement, soit via cloudflare qui pointe sur ton serveur.
Dans le cas d’un bloc d’une page ça marche bien, dans le cas d’une page complètement dynamique (comme une page de login), avec https, généralement tu te simplifies la vie.
Sinon tu peux monter un reverse proxy comme tu as envie et tu ne vois pas l’ip du serveur final, tu n’as pas besoin de cloudflare…. c’est même le principe d’un loadbalancer
#67
Et si tu fais ça tu acceptes de ne pas utiliser de cookie…. donc pas de session, donc le même site pour tout le monde. Alors dans ce cas nous sommes d’accord
#68
… eh ben, en lisant quoi !
" />)
“The result: CloudFlare-powered websites see a significant improvement in performance and a decrease in spam and other attacks.”
“We have designed the system to scale with our goal in mind: helping power and protect the entire Internet”
C’est pas moi qui le dit,merde …. (j’ai jamais mis en œuvre une infra cloudflare mais bon … je suis pas une quiche quand même
CloudFlare protège ton site des attaques (pas toutes c bien sure impossible) , il assure un loadbalacing … c’est bien écrit , non ?
Pis j’ai l’impression que tu ne lis pas tout ….
“CloudFlare is designed to accelerate and secure any website. Our system works somewhat like a Content Delivery Network (CDN), but is designed to be much easier to setup and configure.”
Puis bon là :
The Long Answer
CloudFlare is designed to accelerate and secure any website. Our system works somewhat like a Content Delivery Network (CDN), but is designed to be much easier to setup and configure.
To explain how the system works, imagine you have a website (allen.com) and it’s running a web server with the IP address of 1.1.1.1. Before CloudFlare, if someone typed your website’s domain (allen.com) into their browser, the first thing that visitor’s computer would do is send a query to the DNS system and get back your web server’s IP address (1.1.1.1).
In order to make CloudFlare easy to set up, we take advantage of how this basic function of the Internet works. Rather than having you add hardware, install software, or change your code, we have you designate two CloudFlare nameservers as the authoritative nameservers for your domain (e.g., bob.ns.cloudflare.com and sara.ns.cloudflare.com). You make this change with the registrar from which you bought your domain (e.g., GoDaddy, Network Solutions, Register.com, etc.).
Designating CloudFlare as your authoritative nameservers doesn’t change anything about your website. Your registrar remains your registrar, your hosting provider remains your hosting provider, and so on. However, because we are your authoritative nameserver, we can begin cleaning and accelerating your web traffic.
To make this happen we use a network routing technology called Anycast (and some other fancy tricks) to route initial DNS lookups for your domain to a CloudFlare data center closest to the visitor. We have data centers around the world and we’re growing every month. The data center that receives the request returns an answer in the form of an IP address (e.g., 99.99.99.99), which directs all the visitor’s subsequent requests to the best data center for them.
After a visitor’s browser has done the initial DNS lookup, it begins making requests to retrieve the actual content of a website. These requests are directed to the IP address that was returned from the DNS lookup. Before CloudFlare, that would have been 1.1.1.1, with CloudFlare as the authoritative nameserver that would be 99.99.99.99 (or some other address depending on what CloudFlare data center is closest to the user). CloudFlare’s edge servers running on that IP address receive the request and perform analysis on it. We scan to see if the visitor appears to be a threat based a number of characteristics including the visitor’s IP address, what resource they are requesting, what payload they are posting, how frequently they’re making requests, etc.
To speed up the response time for a request that goes to one of our frontline servers, CloudFlare caches parts of websites that are static in these servers. For example, we cache things like images, CSS, and JavaScript. We are very conservative with our caching because we never want to mess up dynamic content. So, for example, as a general rule we do not cache HTML. We also refresh the cache relatively frequently, so files are never more than a few hours old. Even being conservative, however, typically 50% of the resources on any given web page are cacheable.
Assuming the visitor is not a threat, the frontline checks the request against the Cached resources on our front line servers to see if the resource being requested is in CloudFlare’s local cache. If we have a local copy of the file being requested, then we can deliver it directly to the visitor from a local data center greatly increasing request response time.
If the request is for a type of resource we don’t cache, or if we don’t have a current copy in our cache, then we make a request from our data center (99.99.99.99) back to your origin server (1.1.1.1). Because of our scale, we can get premium routes from our data centers back to most places on the Internet. As a result, while it may seem counter-intuitive, it is sometimes the case that the number of “hops” a visitor’s request makes going through the CloudFlare network is less than the number of “hops” that they would have made going to the origin web server directly, even when we aren’t able to return a result from our cache.
The combination of these systems means that we can protect sites from malicious visitors by stopping them before they even get to the origin web server, save over 60% of the bandwidth that a site would otherwise have to pay for, save over 65% of the requests that would otherwise have to be handled by a site, and cut in half average page load times. In order to make performance even better, we also do web content optimization.
#69
Nextinpact n’a pas de DNS à lui (ou alors ils sont tarés
" /> !!) !
D’ailleurs c sont souvent les hébergeurs qui ont les DNS !
Les DNS en intranet c’est encore autre chose …. plus grand monde héberge son site web chez lui !!!
… ou alors vas-y expliques moi ?
#70
Hein ? Mais tu sais de quoi tu parles au moins ? Bien sûr qu’ils n’hébergent pas de DNS, que le NS est fourni par l’hébergeur, mais ce sont eux qui configurent la zone…
Bref désolé, effectivement j’aurais du écrire “le NS associé au domaine nextinpact.com”, ça fait une énorme différence.
Pour le reste je n’ai jamais dit le contraire de ce qui est écrit dans toute la doc commerciale cloudflare, c’est bien toi qui extrapole.
Bien sûr que ça réduit fortement la charge serveur, bien sûr que tout ce qui est écrit sur le principe de fonctionnement est juste…. je parle de ce qui n’est pas écrit, du reste, les fameux “typically 50% of the resources on any given web page are cacheable”.
Pour faire simple, une analogie foireuse : cloudflare c’est l’entrée publique de ton site, tout ce qui passe par cette entrée est effectivement dans ce qui est marqué. Mais d’une part ça ne ferme pas les autres entrées (tu peux le faire si tu le souhaites, mais il y a des conséquences - entre autres, le https devient nettement plus compliqué à intégrer), d’autre part il y a toujours des bureaux privés après l’entrée qui ne font pas partie de l’entrée (donc sont sur ton serveur).
Et confidence pour confidence je n’ai jamais monté de sites avec cloudflare, par contre j’ai géré un très gros site FR sous Akamai pendant 2 ans….
Personne dit que cloudflare ne réduit pas les problèmes de charge ou ne peut pas être intégré dans une politique de sécurité plus vaste (heureusement !) , mais cloudflare est un CDN (dopé si on se fie à la doc commerciale), avec un usage de CDN, rien de plus.
La lutte contre le DDOS se fait au niveau des infras qui hébergent réellement ton serveur (OVH par exemple), ce sont les seuls qui le peuvent vraiment. Le camouflage d’IP peut être réalisé via de multiples moyens, un simple frontal + reverse proxy fait très bien le taff par exemple.
C’est un excellent outil cloudflare, personne ne remet ça en cause, il faut juste lui prêter les vertus qui sont les siennes et ne rien exagérer (après on se retrouve avec des légendes du type “les malwares n’existent pas sur mac”….)
#71
Tout ça pour dire que l’IP réel de nextinpact c’est bien 65.52.128.33, qu’un simple test en ajoutant une entrée “65.52.128.33 www.nextinpact.com” dans ton host permet de s’en assurer, que l’ip en question est attribuée à un serveur dans azure ce qui est concordant avec la techno employé sur le site.
Bizarrement le domaine associée à cette IP est un sousdomaine de nextinpact servant exclusivement du contenu dynamique, en https alors que le domaine principal ne l’est pas….. Si tu as déjà monté des serveurs de cache (pas forcément CDN), ce sont des signes qui ne trompent pas.
Si nextinpact avait voulu bien planquer leur IP principal je ne l’aurais pas trouvé en 10s, ils n’en ont juste rien à carrer comme 99% des sites web…. mais cloudflare ne participe pas à la sécurité, c’est juste un maillon de la chaine entre la requête initiale et la réponse.
#72
#73
C’est pas le reverse proxy dans ce cas là mais le cache
#74
#75
Et alors ?
La “partie” statique… tu m’expliques comment il détermine ce qui est statique et ce qui ne l’est pas ? Avec des tags ? Ca change quoi au fait que l’appel vers le serveur doit être systématique pour les blocs non inclus dans le cache ?
La suppression des cookies c’est du “by design” de base sur les systèmes de cache (genre tu pouvais magouiller avec un varnish 3, pas avec un 4).
Alors oui, après tu peux monter tout un système à base de handshake et de concaténation de valeur de cookie (d’après la doc c’est le design prévu), maintenant une question : combien de sites (en %) se font chier à implémenter cette fonctionnalité alors qu’il leur suffit d’ouvrir leur serveur en grand et que de toutes façons ça n’aura strictement aucun impact sur le besoin de base (réduire la consommation de BP et la charge serveur) ?
Rien que le https devient une galère à implémenter…
C’est comme l’histoire de l’IP cachée, c’est faisable et prévue. Mais ça reste entièrement dépendant de la configuration du serveur hôte.
Malgré leurs prétentions marketting cloudflare est et reste un “CDN à la con” qui a certes beaucoup d’avantages sur la majorité de leurs concurrents via un certain nombre de fonctionnalités qui n’existent pas chez des CDN bas de gamme.
Globalement tu peux “sécuriser” (obfuscation <> sécurité) ton serveur exactement pareil avec ou sans cloudflare mais il faut faire l’effort de le faire. Là ou cloudflare se démarque c’est que sur beaucoup de CDN ce n’est simplement pas faisable
#76
#77
Je te cède un vieux violon à-pas-cher. Je ne garantis pas que la capacité soit suffisante, il va peut-être falloir investir dans un violoncelle, voire une contre-basse…
Bref, courage, tu n’es pas au bout de tes peines !
#78