Humanist | Kernpower! | Determinist | Verken uw geest | Politiek dakloos
Menig firewall werkt ook op layer 7, dus als je alleen zegt 'er staat een firewall voor' dan hoeft dat je niet te beperken tot l3/l4
[ Voor 4% gewijzigd door Freeaqingme op 17-07-2019 21:31 ]
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Humanist | Kernpower! | Determinist | Verken uw geest | Politiek dakloos
"Whatever their future, at the dawn of their lives, men seek a noble vision of man’s nature and of life’s potential."
Wellicht zijn wij wat strenger omdat we twee interessante database hebben: de profielen (via /gallery) en de pricewatch.
Mede doordat er zoveel misbruik via Tor wordt gemaakt, zie ik dit niet echt gebeuren. Maar tegelijkertijd heb ik zelf nooit Tor gebruikt en kan ik ook niet op waarde schatten wat het nut van een .onion-versie van de site is en/of wat die zou moeten bieden (of is dat letterlijk alleen een andere url voor Tweakers?).Indien het mogelijk is hier iets aan te doen, dan zou ik dat waarderen. Een .onion URL zou ook leuk zijn
Ja, dat is het ook. Daarom mag je met Tor ook standaard veel minder dingen op de site, V&A-advertenties plaatsen wordt ook uitgesloten tenzij je inlogt en aan een paar criteria voldoet
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Voor de Captcha-variant wel.
Uiteraard. Het zijn niet onze zwaarste pagina's, maar ze doen wel erg veel requests. Het afgelopen uur werd zo'n 32% - zo'n 21k - van de pageviews op de prijspagina's in de Pricewatch door dergelijke bots gedaan.
Ja en nee. Er worden juist op de prijspagina's vrij veel gegevens bij elkaar gehaald. De individuele winkelprijzen worden elke 10 minuten ververst, dus caches zijn relatief inefficiënt daar.
Dat kan ook, in principe worden de meeste (misschien wel alle, weet ik niet zeker
) van die extra beschermingen uitgeschakeld als je ingelogd bent als actieve gebruiker. Tenzij dus tegelijkertijd met 'risicogebied' ook nog een 'veelmisbruiker' datzelfde ip gebruikt Wij hebben recent iets soortgelijks geïntroduceerd, maar (nog) niet de bijbehorende firewall-oplossing verwijderd. En bovendien hebben we het niet voor alle pagina's geplaatst, omdat het een relatief zware oplossing is en meestal onnodig is daar. Maar als we de firewall-oplossing zouden verwijderen, moeten we dat opnieuw inrichten.
Wij hebben sowieso niet de luxe van heel veel servers en lagen die Cloudflare heeft. Effectief kunnen we dit soort dingen op 3 plekken doen:
)
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
, heb IPv6 uit moeten zetten omdat ik steeds meer websites tegen kwam waarbij ik tegen steeds maar terugkomende Cloudflare captcha's aanliep. Bij een enkeling (Adafruit) verscheen niet eens een captcha om er toch op te kunnen komen.After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Dat is niet hoe het werkt bij Tweakers nu. TOR roeleert elke x minuten (5 oid?) van pad, dus IP. Je hebt dan dus elke 5 minuten kans weer tegen de IP-blokkade op te lopen, en dat ervaar ik ook. Cookies helpen daar niet bij. Je merkt het ook aan het opeens geen push-notificaties ontvangen bijvoorbeeld: het pad is geroeleert, kennelijk naar een bad-IP en dat heeft Tweakers.net verder niet door dat je toch een ingelogde gebruiker bent. De IP controle lijkt altijd voor cookie-controle te zitten. Een (soms twee/drie) keer de TOR route verversen en het werkt weer, zonder opnieuw inloggen oid.:
[...]
Dat kan ook, in principe worden de meeste (misschien wel alle, weet ik niet zeker
Als de volgorde inderdaad IP, daarna cookie controle is, dan zou je deze kunnen omdraaien. Of anders uitleggen wat ik verkeerd doe, want ik ben weldegelijk ingelogd
[ Voor 26% gewijzigd door Brent op 17-07-2019 11:02 ]
Humanist | Kernpower! | Determinist | Verken uw geest | Politiek dakloos
Het zou mooi zijn als Tweakers hierin in elk geval niet achterloopt, uiteraard zonder in te boeten op bestrijding fraudeurs e.d. M.i. zou door in geval van twijfelachtig IP eerst op het cookie te controleren alvorens te blocken het probleem opgelost zijn. Ik begrijp dus nog niet helemaal of dat is wat ACM zegt al zou moeten gebeuren, in elk geval lijkt het er bij mij op dat dat niet zo is. Scheelt mij het circuit zo nu en dan handmatig updaten [ Voor 5% gewijzigd door Brent op 17-07-2019 12:30 ]
Humanist | Kernpower! | Determinist | Verken uw geest | Politiek dakloos
Dat is tot een zeker punt het geval. Wil jij liever met Firefox 1.0 beta gaan browsen omdat het voor jou de ideale browser is, dan ga je tegen heel veel problemen aan lopen.
Dat je problemen hebt om gebruik te maken van internetbankieren is een logische stap. Het moet veilig zijn en blijven. TOR is echt een wespennest van rotzooi en je hebt geen idee wat een node allemaal met je verkeer kan doen. Het is daarom niet zo heel gek dat er partijen zijn die maatregelen nemen tegen TOR gebruik, om de veiligheid van de dienst te kunnen garanderen. Of in het geval van Tweakers, om gebruikers niet lastig te vallen met een tragere site door de vele crawlers die via TOR komen.
Ik denk dat Tweakers hier eigenlijk vooruit loopt op andere, vergelijkbare sites. Als ze geen dienst als Cloudflare afnemen om dat te regelen.
Wat kan je op bijvoorbeeld Marktplaats allemaal via TOR? Wordt je daar ook maar enigszins beperkt?
De TOR blokkade gebeurt op de 'firewall'. De loadbalancer houdt de meeste zooi tegen. Die kan geen cookies uitlezen voor je sessie, want die bestaat dan weer in de database en vereist code van de applicatie, welke op de webservers staat. Als je je sessiecookie wilt controleren, zit je al op het derde punt dat ACM uitlegde als potentiële plekken om verkeer tegen te houden. Er is dan al zo veel geladen, dat het qua load eigenlijk niet eens meer uitmaakt om het hele verzoek af te handelen en de pagina te serveren, of alsnog de boel af te kappen.M.i. zou door in geval van twijfelachtig IP eerst op het cookie te controleren alvorens te blocken het probleem opgelost zijn. Ik begrijp dus nog niet helemaal of dat is wat ACM zegt al zou moeten gebeuren, in elk geval lijkt het er bij mij op dat dat niet zo is. Scheelt mij het circuit zo nu en dan handmatig updaten
Commandline FTW | Tweakt met mate
Laten we daarom vooral niet teveel aannemen en @ACM aan het woord laten
Dat het jouw usecase niet is, heb je duidelijk gemaakt, maar dat betekent niet dat we het daarbij hoeven laten. Gezien ACMs reacties staat hij er wel open voor. Ik werk/denk graag mee om legitiem gebruik wat te vergemakkelijken.
Humanist | Kernpower! | Determinist | Verken uw geest | Politiek dakloos
Zeker, maar als beheerder zelf kan ik wel wat extra uitleg geven dat het niet zo eenvoudig is om op te lossen. Het kost uiteindelijk ook tijd en dat kan uiteindelijk meer kosten dan het ongemak van een enkele/paar gebruiker(s). Wees er dus bewust van dat er geen garantie is dat er een positief antwoord komt.:
[...]
Laten we daarom vooral niet teveel aannemen en @ACM aan het woord laten
Commandline FTW | Tweakt met mate
Toch dank dat je me er even op wijst; misschien kun je ook even alle andere feature request van een dergelijke toevoeging voorzien
Humanist | Kernpower! | Determinist | Verken uw geest | Politiek dakloos
Jawel. Zolang je niet een geblokkeerd ip hebt, wordt je account gebruikt voor om verdere controles te beperen.
In mijn beleving had ik dat ook verteld in de reacties hierboven... Althans, wellicht heb ik teveel aangenomen dat men hier weet in welke volgorde verkeer binnenkomt bij een webserver (firewall -> loadbalancer -> webserver).
Zie de opmerking over schaalbaarheid en netwerkvolgorde.Als de volgorde inderdaad IP, daarna cookie controle is, dan zou je deze kunnen omdraaien. Of anders uitleggen wat ik verkeerd doe, want ik ben weldegelijk ingelogd
Zie eerdere opmerkingen, maar "IP op cookie controleren" kan niet. Cookie is onderdeel van het HTTP-protocol iets dat bovenop het tcp/ip-protocol werkt. De firewall zelf werkt alleen met tcp/ip en kan dus niet 'iets' met cookies doen.:
Voorop gesteld dat het een persoonlijke keuze zou moeten zijn hoe je precies browsed, is Tweakers dus een van de weinige sites waarop TOR tot problemen leidt (sommige banksites zijn de andere groep, voor de rest loop ik eigenlijk hooguit soms tegen Cloudflare captcha-hell aan), wat jammer is voor een techsite
We staan zeker open om dit te verbeteren. Maar we zijn tegelijkertijd ook gebonden aan de manier waarop netwerken werken en daarmee onze hardware-opstelling. Bovendien houden we ook de behoefte om e.e.a. zo efficiënt mogelijk te verwerken, wat dus betekent dat we zoveel mogelijk op de meest schaalbare plekken willen beperken (firewall, loadbalancer, dan pas webserver).:
Laten we daarom vooral niet teveel aannemen en @ACM aan het woord laten
) vraag je effectief om Tor minder streng te behandelen dan 'de rest van de wereld'. En dat terwijl er juist vanaf Tor relatief veel misbruik komt.Menig firewall werkt ook op layer 7, dus als je alleen zegt 'er staat een firewall voor' dan hoeft dat je niet te beperken tot l3/l4
[ Voor 4% gewijzigd door Freeaqingme op 17-07-2019 21:31 ]
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Onze Fortinets doen in ieder geval niet aan https decoderen... Geen idee of ze dat zouden kunnen, maar dat doen ze nu in ieder geval niet. Hoedanook doen we het meeste van dit werk op onze loadbalancers, die uiteraard wel https decoderen en ook daar al de meeste van de huidige beslissingen nemen.:
Menig firewall werkt ook op layer 7, dus als je alleen zegt 'er staat een firewall voor' dan hoeft dat je niet te beperken tot l3/l4
Interessant. Maar wel aardig wat werk, dus sowieso niet iets dat we 'even snel tussendoor' gaan kunnen fixen. En we moeten het dan ook beter uitdenken, want het zal tot op zekere hoogte de normale servers belasten; o.a. de database voor de user-check. De webservers zelf zijn niet per se degene die ontlast moeten worden.
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
:strip_icc():strip_exif()/u/36378/crop5a3f931ecfec0_cropped.jpeg?f=community)
/u/172597/crop5e1225c8b1011.png?f=community)
/u/330720/crop57ef85670bb82_cropped.png?f=community)
:strip_icc():strip_exif()/u/53213/crop57ace20969734.jpeg?f=community)
:strip_icc():strip_exif()/u/327636/crop5cf014ba17cb4_cropped.jpeg?f=community)
/u/1830/acm.png?f=community)
:strip_exif()/u/128173/crop59a1592e54731_cropped.gif?f=community)
/u/125506/link-8bit.png?f=community)