 |
April 09, 2018, 05:54:30 AM |
|
es gibt nur zwei Arten von Foren
Bedeutungslose und Geschützte.
Und da sich ja hier gerade alle so über Cloudflare aufregen, JEDER DDoS Schutz muss die Verschlüsselung aufbrechen. OHNE das kann er nicht entscheiden zwischen legitimen und angreifendem Traffic.
Also ist es scheiss egal, welchen Dienstleister man nutzt. Es sei den er bricht den Datenstrom NICHT auf, dann aber ist seine Effizienz locker halbiert. Nur die ganz idiotischen Syn-Flood von jugendlichen Scriptkiddys kann man so noch ausbremsen. Aber gleichzeitig würde jeder der sowas wie TOR oder Proxydienste nutzt um sich zu anonymisieren unter umständen als Angreifer rausfliegen. Weil man dann ja nur bestimmte Mengen an Anfragen pro IP zulassen will/kann. Blöde Umstände und man hat eine Zeitsperre und jammert dann das irgendwer zensiert und nicht zulässt das man das Forum/den Dienst nutzt.
Wobei ich nun auch einwerfen muss, das man auch Cloudflare so konfigurieren kann, das es NICHT mitlesen kann. Also wirklich nur anhand der IP und des zeitlichen Musters filtert ohne die Inhalte zu sehen. Es ist Sache der Person die das einrichtet, wie sie es einrichtet und welche Schutzhöhe sie will.
Pauschal zu sagen, das bitcointalk.org mitgelesen wird, können wir nicht. Wir können nur pauschal sagen, das es effizienter DDoS blockiert, wenn es mitlesen kann. Und zum Mitlesen muss der Betreiber sein Zertifikat übergeben, sonst knallt Zertifikat-pinning uns um die Ohren.
PS: der Seitenbetreiber weis dein Passwort IMMER, wenn er das will. Weil es zwar als Hash gespeichert wird, aber erstmal in einer verschlüsselten Verbindung zum Server geht, bevor der den Hashwert draus bastelt und dann mit dem gespeicherten Wert vergleicht. Würde der lokale Browser schon den Hashwert übermitteln, wäre die Hashwertspeicherung blödsinnig. Dann könnte man ja den hashwert den man erbeutet hat direkt zum einloggen nutzen. Deswegen meckert ja Firefox auch, wenn ohne HTTPS ein Passwortfeld bedient wird. Also muss man nur die Login-scripte etwas umbastelt und sich die Passwörter extrahieren vor dem Verarbeiten zum Hashwert. Man vertraut also dem Seitenbetreiber bereits und der überträgt das vertrauen an einen Dienstleister. Was meint ihr, wenns Hart auf Hart kommt wer fällt zuerst um, wenn er gerichtliche Verfügung bekommt?
|
