Replied to Erik van Straten
Dankjewel voor deze verhelderende uitleg. Ik heb er niet bij stilgestaan dat door Cloudflare grote blokken van het internet letterlijk kunnen worden uitgeschakeld, door simpelweg een script te draaien
Recent searches
Search options
#fastly
0 posts0 participants0 posts today
Replied in thread
@0xF21D wrote: "[...] something we technically knew was going on before but didn't consciously consider a threat, until now."
I've been warning for CDN's like Cloudflare and Fastly (and cloud providers in general) for a long time.
Here's a recent toot (in Dutch, the "translate" button should do the job): https://infosec.exchange/@ErikvanStraten/114042082778156313.
If you trust Google to translate it (guaranteed NOT error-free, it *may* work in other browsers than Chrome): https://infosec-exchange.translate.goog/@ErikvanStraten/114042082778156313?_x_tr_sl=nl&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp
P.S. Fastly knows your https://infosec.exchange login credentials.
Infosec ExchangeErik van Straten (@ErikvanStraten@infosec.exchange)Attached: 1 image
Risico Cloudflare (+Trump)
🌦️ Achter Cloudflare
Steeds meer websites zitten "achter" het Amerikaanse bedrijf Cloudflare. Stel u opent https://pvv.nl (let op, daar staat https:// vóór, Mastodon verstopt dat) in uw browser:
browser <-1-> Cloudflare <-2-> https://pvv.nl
⛓️💥 Géén E2EE
Bij zeer veel websites (https://pvv.nl is een voorbeeld) is er sprake van twee *verschillende* verbindingen, dus beslist geen E2EE = End-to-End-Encryption (voor zover dat überhaupt nog wat zegt als de "echte" een cloud-server van Google, Microsoft of Amazon is).
🕋 CDN's
Cloudflare, een CDN (Content Delivery Network), heeft een wereldomspannend netwerk met "tunnel"-servers in computercentra van de meeste internetproviders. Waarschijnlijk ook bij u "om de hoek".
🔥 DDoS-aanvallen
Dat is werkt uitstekend tegen DDoS (Distributed Denial of Service) aanvallen. Ook zorgen CDN's voor veel snellere communicatie (mede doordat plaatjes e.d. op een web van servers "gecached" worden) - ook als de "echte" server aan de andere kant van de wereld staan.
🚨 Nadelen
Maar dit is NIET zonder prijs! Cloudflare kan namelijk *meekijken* in zeer veel "versleuteld" netwerkverkeer (en dat zelfs, desgewenst, wijzigen).
🚦 Nee, niet *u*
Ook kunnen Cloudflare-klanten allerlei regels instellen waar bezoekers aan moeten voldoen, en hen als "ongewenst" bezoek blokkeren (ook *criminele* klanten maken veelvuldig gebruik van deze mogelijkheid, o.a. om te voorkómen dat de makers van virusscanners nepwebsites op kwaadaardige inhoud kunnen checken).
Aanvulling 14:39: { zo kan ik, met Firefox Focus onder Android, https://cidi.nl *niet* openen, ik zie dan een pagina waarin o.a. staat "Even geduld, de website van Centrum Informatie en Documentatie Israël (CIDI) is aan het verifiëren of de verbinding veilig is. Please unblock challenges.cloudflare.com to proceed."
}
😎 Men In Black
Omdat Cloudflare een (tevens) in de VS gevestigd bedrijf is, moeten zij voldoen aan de Amerikaanse FISA section 702 wetgeving. Dat betekent dat hen opgedragen kan worden om internetverkeer te monitoren, en zij daar een zwijgplicht over hebben. Terwijl Amerikanen al minder privacy-rechten hebben dan Europeanen, hebben *niet*-Amerikanen *nul* privacyrechten volgens genoemde FISA wet.
🔓 Knip
Dat https-verbindingen via Cloudflare niet E2EE zijn, blijkt uit onderstaand plaatje (dat vast méér mensen wel eens gezien hebben).
📜 Certificaten en foutmeldingen
Dat plaatje kan, zonder certificaatfoutmeldingen, ALLEEN bestaan als Cloudflare een geldig authenticerend website-certificaat (een soort paspoort) heeft voor, in dit geval, https://bleepingcomputer.com - en dat hébben ze. Voor MILJOENEN websites.
🛃 MitM
Cloudflare (maar ook anderen, zoals Fastly) zijn een MitM (Man in the Middle).
🤔 De tweede verbinding?
Uw browser heeft, grotendeels transparant, een E2EE-verbinding met een Cloudflare server. U heeft géén idee wat voor soort verbinding Cloudflare met de werkelijke website heeft (is dat überhaupt https, en een veilige variant daarvan? Wat doet Cloudflare als het certificaat van de website verlopen is? Etc).
👽 AitM
En zodra een MitM kwaadaardig wordt, noemen we het een AitM (A van Attacker of Adversary).
🗽 Trump
Als Trump Cloudflare opdraagt om geen diensten meer aan NL of EU te leveren, werkt hier HELEMAAL NIETS MEER en dondert onze economie als een kaartenhuis in elkaar.
🃏 DV-certs
Dat Cloudflare een website-certificaat voor bijvoorbeeld https://vvd.nl of https://cidi.nl heeft verkregen, zou vreemd moeten zijn. Dit is echter een peuleschil "dankzij" DV (Domain Validated) certificaten (het lievelingetje van Google) die het internet steeds onveiliger maken en waar ook onze overheid "voor gevallen is" (zie https://infosec.exchange/@ErikvanStraten/114032329847123742).
😱 Nepwebsites
Maar dit is nog niet alles: steeds meer criminele nepwebsites *verstoppen* zich achter Cloudflare, waar zijzelf (crimineel) geld aan verdient. Zie bijvoorbeeld https://security.nl/posting/876655 (of kijk eens in het "RELATIONS" tabblad van https://www.virustotal.com/gui/ip-address/188.114.96.0/relations en druk enkele keren op •••).
#Risico #Economie #Cloudflare #Fastly #CDN #AitM #MitM #FISASection702 #FISA #ThreeLetterAgencies #Trump #Sbowden #E2EE #InfoSec #VVD #PVV #CIDI #VT #VirusTotal #DVCerts #DV #OV #EV #QWAC #CyberCrime #NepWebsites #FakeWebsites
Mia’s Simulacrum 
If you use NixOS you make yourself dependent on the whims of Fastly that provides the CDN behind cache.nixos.org and maybe some other company that provides the 400TB S3 storage for the packages.
Another example of hidden dependence to the digital colonialist USA.
Replied in thread
@SandraDeHaan schreef: "Ook NL heeft zich afhankelijk gemaakt van Amerikaanse digitale infrastructuur (o.a. cloud-diensten)."
Daar waarschuw ik al langer voor (zie https://security.nl/posting/684958 van 6-1-2021 toen ik de bestorming van het Capitool zag, en zie bovenaan die pagina).
En gisteren nog: https://infosec.exchange/@ErikvanStraten/114042082778156313
En de NL overheid gaat daar, op advies van "experts" (anoniem natuurlijk) gewoon in mee: https://security.nl/posting/876914.
Hoe NAÏEF kunnen we zijn?!
En waarom een EV-certificaat, bijv. van de Rabobank, 1FA (en DV nauwelijks veiliger dan DNS is - een notoir onveilig protocol): https://security.nl/posting/877247.
P.S. Helaas heb ik Bert Hubert moeten bliokken nadat hij IDF-propagandaspam uit Auschwitz had geboost.
#Availability #Beschikbaarheid #Cinfidentiality #Vertrouwelijkheid #Integrity #Integriteit #Authenticity #Authenticiteit #Risico #Economie #Cloudflare #Fastly #CDN #AitM #MitM.#FISASection702 #FISA #ThreeLetterAgencies#Trump #Sbowden #E2EE #InfoSec #VVD #PVV #CIDI #VT #VirusTotal #DVCerts #DV #OV #EV #QWAC #CyberCrime #NepWebsites #FakeWebsites
Risico Cloudflare (+Trump)
Toevoeging 21 maart 2025 {
Cloudflare bekijkt uw wachtwoorden (en 2FA codes), en zou daarmee desgewenst als u kunnen inloggen op uw accounts. Ze geven dat impliciet zelf toe: https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/. Bron: https://benjojo.co.uk/u/benjojo/h/cR4dJWj3KZltPv3rqX.
}
Achter Cloudflare
Steeds meer websites zitten "achter" het Amerikaanse bedrijf Cloudflare. Stel u opent https://pvv.nl (let op, daar staat https:// vóór, Mastodon verstopt dat) in uw browser:
browser <-1-> Cloudflare <-2-> https://pvv.nl
Géén E2EE
Bij zeer veel websites (https://pvv.nl is een voorbeeld) is er sprake van twee *verschillende* verbindingen, dus beslist geen E2EE = End-to-End-Encryption (voor zover dat überhaupt nog wat zegt als de "echte" een cloud-server van Google, Microsoft of Amazon is).
CDN's
Cloudflare, een CDN (Content Delivery Network), heeft een wereldomspannend netwerk met "tunnel"-servers in computercentra van de meeste internetproviders. Waarschijnlijk ook bij u "om de hoek".
DDoS-aanvallen
Dat is werkt uitstekend tegen DDoS (Distributed Denial of Service) aanvallen. Ook zorgen CDN's voor veel snellere communicatie (mede doordat plaatjes e.d. op een web van servers "gecached" worden) - ook als de "echte" server aan de andere kant van de wereld staan.
Nadelen
Maar dit is NIET zonder prijs! Cloudflare kan namelijk *meekijken* in zeer veel "versleuteld" netwerkverkeer (en dat zelfs, desgewenst, wijzigen).
Nee, niet *u*
Ook kunnen Cloudflare-klanten allerlei regels instellen waar bezoekers aan moeten voldoen, en hen als "ongewenst" bezoek blokkeren (ook *criminele* klanten maken veelvuldig gebruik van deze mogelijkheid, o.a. om te voorkómen dat de makers van virusscanners nepwebsites op kwaadaardige inhoud kunnen checken).
Aanvulling 14:39: { zo kan ik, met Firefox Focus onder Android, https://cidi.nl *niet* openen, ik zie dan een pagina waarin o.a. staat "Even geduld, de website van Centrum Informatie en Documentatie Israël (CIDI) is aan het verifiëren of de verbinding veilig is. Please unblock challenges.cloudflare.com to proceed."
}
Men In Black
Omdat Cloudflare een (tevens) in de VS gevestigd bedrijf is, moeten zij voldoen aan de Amerikaanse FISA section 702 wetgeving. Dat betekent dat hen opgedragen kan worden om internetverkeer te monitoren, en zij daar een zwijgplicht over hebben. Terwijl Amerikanen al minder privacy-rechten hebben dan Europeanen, hebben *niet*-Amerikanen *nul* privacyrechten volgens genoemde FISA wet.
Knip
Dat https-verbindingen via Cloudflare niet E2EE zijn, blijkt uit onderstaand plaatje (dat vast méér mensen wel eens gezien hebben).
Certificaten en foutmeldingen
Dat plaatje kan, zonder certificaatfoutmeldingen, ALLEEN bestaan als Cloudflare een geldig authenticerend website-certificaat (een soort paspoort) heeft voor, in dit geval, https://bleepingcomputer.com - en dat hébben ze. Voor MILJOENEN websites.
MitM
Cloudflare (maar ook anderen, zoals Fastly) zijn een MitM (Man in the Middle).
De tweede verbinding?
Uw browser heeft, grotendeels transparant, een E2EE-verbinding met een Cloudflare server. U heeft géén idee wat voor soort verbinding Cloudflare met de werkelijke website heeft (is dat überhaupt https, en een veilige variant daarvan? Wat doet Cloudflare als het certificaat van de website verlopen is? Etc).
AitM
En zodra een MitM kwaadaardig wordt, noemen we het een AitM (A van Attacker of Adversary).
Trump
Als Trump Cloudflare opdraagt om geen diensten meer aan NL of EU te leveren, werkt hier HELEMAAL NIETS MEER en dondert onze economie als een kaartenhuis in elkaar.
DV-certs
Dat Cloudflare een website-certificaat voor bijvoorbeeld https://vvd.nl of https://cidi.nl heeft verkregen, zou vreemd moeten zijn. Dit is echter een peuleschil "dankzij" DV (Domain Validated) certificaten (het lievelingetje van Google) die het internet steeds onveiliger maken en waar ook onze overheid "voor gevallen is" (zie https://infosec.exchange/@ErikvanStraten/114032329847123742).
Nepwebsites
Maar dit is nog niet alles: steeds meer criminele nepwebsites *verstoppen* zich achter Cloudflare, waar zijzelf (crimineel) geld aan verdient. Zie bijvoorbeeld https://security.nl/posting/876655 (of kijk eens in het "RELATIONS" tabblad van https://www.virustotal.com/gui/ip-address/188.114.96.0/relations en druk enkele keren op •••).
Continued thread
Just noticed ... #mastodon.social uses #fastly with ip location in #US ?!
Wouldn't it be better using Solutions from #EU or #Germany?
better for #privacy...
really think of moving to an instance, that is hosted in EU or better Germany. Or maybe deploy my own instance and providing it to public... Since longer time I try to avoid US services as much I can.
I wrote on the #fastly blog about Profiling Fastly Compute applications using the Firefox Profiler. I may have snuck in a pretty fractal: https://www.fastly.com/blog/profiling-fastly-compute-applications
Publickey サーバサイドJavaScriptの標準策定を目指す「WinterTC」がECMA International傘下で始動、W3CのWinterCGから移行
https://www.publickey1.jp/blog/25/javascriptwintertcecma_internationalw3cwintergc.html
www.publickey1.jpサーバサイドJavaScriptの標準策定を目指す「WinterTC」がECMA International傘下で始動、W3CのWinterCGから移行W3CでサーバサイドJavaScriptを中心とした非Webブラウザ環境におけるJavaScriptの互換性について議論してきた「Web Interoperable Runtimes Community Group 」(WinterCG) ...
#PyPI (za pośrednictwem #Fastly) teraz wymaga JavaScriptu, by dostać się na strony projektów. Wskutek tego, wszystkie przeglądarki tekstowe i proste narzędzia utraciły dostęp do serwisu.
Hosting projektów, który dotychczas uznawałem za najlepszy przykład dobrego webmasterstwa i dostępności, tak po prostu skoczył w najniższy krąg piekieł.
https://github.com/pypi/warehouse/issues/17285
https://discuss.python.org/t/fastly-interfering-with-pypi-search/73597/6
GitHubblocked with 200 status code: "JavaScript is disabled in your browser." · Issue #17285 · pypi/warehouse
#PyPI (via #Fastly) now requires #JavaScript to access project pages. All text browsers and simple tools are effectively banned.
The forge that I considered to be the peak of clean and accessible design simply jumped down the to lowest rung of hell.
https://github.com/pypi/warehouse/issues/17285
https://discuss.python.org/t/fastly-interfering-with-pypi-search/73597/6
GitHubblocked with 200 status code: "JavaScript is disabled in your browser." · Issue #17285 · pypi/warehouse
Continued thread
If anyone knows anyone with the #Fastly Fast Forward program, please let me know. I responded to Hannah Aubry but never received a response.
Full recovery from breaches takes longer than expected https://www.helpnetsecurity.com/2024/11/21/cybersecurity-breach-recovery/ #disasterrecovery #cybersecurity #software #Fastly #report #survey #News
Help Net Security · Full recovery from breaches takes longer than expected - Help Net SecurityIn 2024, businesses reported taking an average of 7.3 months to recover from cybersecurity breaches - 25% longer than expected.
Big thanks to our amazing community contributors and sponsors like #Fastly for keeping #openSUSE Tumbleweed updates lightning fast! 
#Linux #opensource #community
Continued thread
Update:
#Fastly got back to me.
https://v6.fastly-debug.com/ for #IPv6
https://fastly-debug.com/ for IPv4
v6.fastly-debug.comFastly Debug App
I'm looking for a #Fastly specfic speed test - ideally something I can hit with curl on a schedule.
I've emailed noc@, we'll see how I go.
I run the #Jortage project on my own, providing media storage for 92 instances, and am in the middle of an expensive move after a major life event and have very little current income.
Every month, due to the nature of social media storage, the project gets more expensive. Our CDN fees are graciously covered by #Fastly for free via #FastForward, but storage is our largest expense by far.
We're currently $58 in the hole — please pitch in if you can! https://subscriptions.helcim.com/subscribe/f1cg46rh4enf37bxt3y9gpmi6tk0x
Not partnering with trillion-dollar, people-farming, human-rights-eroding, and democracy-destroying surveillance capitalists like Meta should be the lowest of low bars when it comes to organisations that purport to work on ethical technology but, clearly, even that bar is just too fucking high for some.