Abo
  • Services:

Cloudflare-Mitarbeiter surfen mit Captchas

Cloudflare bestreitet den von Tor verwendeten Blockade-Begriff. Man arbeite intensiv daran, weniger und besser lösbare Captchas zu verwenden, heißt es in dem Blogpost. Um dieses Ziel zu erreichen, habe man alle internen Cloudflare-IPs auf die Blacklist gesetzt, so dass Mitarbeiter regelmäßig selbst Captchas lösen müssen - und so einen Anreiz haben, das System zu verbessern. Teil der Lösung ist nach Angaben von Cloudflare, dass man Google überzeugt habe, die neuen Versionen der Captchas zur Verfügung zu stellen. Dabei müssen Nutzer nicht mehr nur Kombinationen aus Buchstaben und Zahlen richtig wiedergeben, sondern in Bildern Gegenstände auf bestimmten Quadranten richtig zuordnen.

Stellenmarkt
  1. Interhyp Gruppe, München
  2. Daimler AG, Sindelfingen

Außerdem differenziert das Unternehmen nach eigenen Angaben verschiedene Arten von Traffic, um Captchas zu vermeiden. GET-Anfragen nach statischen Inhalten würden als weit weniger kritisch betrachtet als POST-Anfragen. Doch auch mit GET-Anfragen könnte Missbrauch betrieben werden - Cloudflare nennt hier Content-Scraping, Werbebanner-Betrug und das Abscannen von Sicherheitslücken.

Cloudflare-Kunden könnte die Möglichkeit eingeräumt werden, Tor-Exit-Nodes in eine Whitelist einzutragen. Doch die meisten Kunden würden Tor lieber komplett aussperren, schreibt Prince in dem Blogpost. Seit einigen Wochen können Cloudflare-Kunden Tor-Traffic einen höheren Vertrauenslevel zuweisen, ähnlich wie das bereits mit Ländern möglich ist. Cloudflare bietet Kunden die Möglichkeit, Traffic aus Ländern mit hohem Spam-Aufkommen oder andern bösartigen Aktivitäten entweder auf eine Whitelist zu setzen oder eine Captcha-Abfrage einzurichten. Komplett blockieren lässt sich der Traffic durch die Kunden nicht.

Automatische .onion-Seiten?

Langfristig schlägt Cloudflare vor, automatische .onion-Webseiten zu erstellen, um das Problem zu lösen. Doch auch hier gebe es Probleme, weil Tor zur Erstellung der Seiten auf den veralteten SHA-1-Algorithmus setze und nur 80 Bits der verfügbaren 160 Bits zur Erstellung der Adresse genutzt würden. Für Angreifer sei es leicht möglich, ein gültiges Zertifikat für eine solche Adresse zu erlangen und so verschlüsselten Traffic mitzulesen, wenn nur eine einfache Domainvalidierung durchgeführt wird, wie das bei Let's Encrypt der Fall ist. Das CA/Browser-Forum sieht in seinen Richtlinien daher vor, dass für.onion-Adressen Zertifikate mit erweiterter Prüfung (EV-Validierung) zum Einsatz kommen müssen. Diese seien jedoch zu teuer, um sie für automatisch erstellte Tor-Mirror-Seiten einzusetzen. Wenn Tor in Zukunft auf den Hashing-Algorithmus SHA-256 zurückgreife, könne dieses Problem aber behoben werden. Dazu existiert bereits ein Vorschlag auf der Tor-Entwicklerliste. Doch bis dieser umgesetzt ist, dürfte noch einige Zeit vergehen.

Eine andere Möglichkeit sei es, über den Tor-Browser zu verifizieren, ob es sich um einen menschlichen Nutzer handelt oder nicht. Dazu hat Cloudflare einen Entwurf für ein Plugin erarbeitet, das eine einmalige anonyme kryptographische Nachricht an den Webseitenbetreiber übermitteln soll, der dann im Gegenzug auf ein Captcha verzichtet. Der Code dazu liegt auf Github.

Die Situation ist verfahren. In der Auseinandersetzung zwischen Tor-Aktivisten und Cloudflare geht es schon länger häufig recht unfreundlich zu. Unter dem Twitter-Hashtag #dontblocktor sammeln die Aktivisten nicht lösbare Captchas und diskutieren mit zahlreichen Cloudflare-Angestellten. Und tatsächlich ist Cloudflare hier der Gatekeeper - doch letztlich bestimmen eben die Webseitenbetreiber selbst, ob sie Captchas verwenden wollen oder nicht. Oder richten gleich einen eigenen .onion-Dienst ein, wie zum Beispiel Facebook.

 Captchas: Cloudflare bezeichnet 94 Prozent des Tor-Traffics als böse
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. DOOM für 6,99€ und Civilization VI - Digital Deluxe Edition für 25,99€)
  2. (heute OK. OPK 1000 Partybox mit LED-Show für 99€)
  3. (heute u. a. AZZA Chroma 410A für 69,90€ + Versand)
  4. 49,95€

berritorre 08. Apr 2016

Da du hier im Golem-Forum liest und postest bist du sicher kein "Otto-Normal...

chefin 05. Apr 2016

@Helites Was ein Blödsinn. Man in the Middle würde heisen das ein Dritter lauscht dem ich...

Rulf 05. Apr 2016

mich mit einem captcha belästigen zu müssen, hat der sich geschnitten...die seiten werden...

Niantic 05. Apr 2016

[ ] du hast den sinn von tor verstanden Du bist teil des problems für unsere freiheit

Vertex 05. Apr 2016

Auch nett: Manche Seiten lagern Bilder auf CDNs aus. Die Seite an sich nutzt nicht...


Folgen Sie uns
       


Intel Core i9-9900K - Test

Der Core i9-9900K ist ein Octacore-Prozessor im 14-nm-Verfahren. Die Platine und der Chip darunter sind recht dick, was wohl der hohen Leistungsaufnahme geschuldet ist. Erstmals seit 2011 verlötet Intel den Metalldeckel wieder statt Wärmeleitpaste zu verwenden.

Intel Core i9-9900K - Test Video aufrufen
Augmented Reality: Das AR-Fabrikgelände aus dem Smartphone
Augmented Reality
Das AR-Fabrikgelände aus dem Smartphone

Derzeit ist viel von einer Augmented Reality Cloud die Rede. Golem.de hat mit dem Berliner Startup Visualix über den Stand der Technik und künftige Projekte für Unternehmenskunden gesprochen - und darüber, was die Neuerungen für Pokémon Go bedeuten könnten.
Ein Interview von Achim Fehrenbach

  1. Jarvish Motorradhelm bringt Alexa in den Kopf
  2. Patentantrag Apple plant Augmented-Reality in der Windschutzscheibe
  3. Magic Leap Lumin OS Erste Bilder des Betriebssystems für Augmented Reality

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


      •  /