dfri/ users/ linus/ blog/ CloudFlare och Tor

Några höjdpunkter i en diskussion mellan folk från CloudFlare och Tor Project den 2016-02-09 i #tor.

  • CF har bara en siffra (score) per source-IP. Några effekter av det: 1) IP-adresser med många användare (t.ex. Tor och viss NAT) får ofta fel poäng; 2) det går inte att skilja på t.ex. GET och POST.

  • CF skyddar inte bara mot spam utan också "scraping" och "vuln scanning", vilket ytterligare minskar intresset för att utgå från att det är POST som är problemet.

  • CF jobbar på en "vitlistningslösning" (listning av IP-adresser) vilken kräver aktiv konfiguring (CF:s användare).

  • Det finns ideer på "blinded tokens" -- användaren löser en CAPTCHA och får som belöning ett gäng tokens som kan användas för access till CF-skyddade sidor.

  • Tor-personer vill se lite siffror så att man kan hjälpa CF att dra slutsatser. T.ex. vet ingen utanför CF hur många av de abuse-klassade requesten över Tor som verkar komma från en Tor Browser.

  • En CF-person säger att en stor andel av Tors användare har JS avslaget. En Tor-person undrar om det skulle vara mer korrekt att säga att det är en stor del av requesten över Tor som har JS avslaget.