CloudFlare

[usu]

Anche se non si tratta di cloud in senso stretto penso che la sezione più adatta per un topic dedicato al servizio sia questa

Per chi non lo conoscesse, CloudFlare è un servizio che, messo davanti ai propri record A/CNAME, fa da reverse proxy cachando i contenuti statici e distribuendoli su una CDN composta da 11 location (in continua espansione) e in più dovrebbe rendere più sicuri i siti web che lo utilizzano filtrando vari attacchi e IP maligni.

Posto quindi la mia esperienza con la versione FREE, in uso sul dominio in firma.

Prima di tutto il wow effect:



Il picco immaginatevelo anche più grande visto che Agosto è il mese con meno visite di tutto l'anno e in più il blog, che anch'esso produce un discreto traffico, era già su CF da giorni.

Oltre all'ovvio risparmio in termini di banda e traffico, per chi usa Apache i vantaggi si tradurrebbero sicuramente anche in un minore consumo di risorse.

Veniamo alla protezione contro i vari attacchi lanciati da botnet che penso tutti conosciamo.
Prima di abilitare CF ossec rispondeva a decine di attacchi al giorno tra tentativi di SQL injection, attacchi bruteforce con password random, tentativi di exploit sfruttando bug conosciuti, ecc.
Adesso CF è abilitato da un paio di giorni e l'unico attacco al quale ossec ha risposto è stato un bruteforce all'FTP che ha usato direttamente l'ip bypassando CF.

Tutto questo, ricordo, con la versione FREE che non include il firewalling avanzato.

Veniamo alle note meno positive: l'assistenza.
Prima di poter abilitare CF sul sito principale ho dovuto aspettare circa un mese per un bug stranissimo di cui ancora non si sa la causa, ma che si è risolto pochi giorni fa.
C'è da dire che era una cosa veramente inusuale e che comunque mi hanno sempre risposto via ticket (anche se un paio di volte ho dovuto sollecitarli su twitter).

Nel complesso sono stupito e soddisfatto del servizio, non potete non farci un pensierino

Qualche articolo interessante dal blog:

On LulzSec, Censorship & CloudFlare - CloudFlare's blog
CloudFlare and SEO - CloudFlare's blog
That's Freaking Awesome: CloudFlare Automatically Learns How to Stop New Attacks - CloudFlare's blog

[GrG]

Lo sto testando anche io, è impressionante.

Mi fa un pò paura però il fatto di non avere controllo sulle richieste falciate. Questo è fastidioso.

[usu]

Lo sto testando anche io, è impressionante.

Mi fa un pò paura però il fatto di non avere controllo sulle richieste falciate. Questo è fastidioso.

Come no? https://www.cloudflare.com/threat-control.html
Hai anche un controllo su whitelist/blacklist a livello di nazione, singolo ip o classe

[GrG]

Si ma non è diretto nè immediato, una cosa è avere accesso ad un firewall, una cosa è una pagina web di riepilogo senza contare che hai poche possibilità di affinamento delle policy (e la whitelist è inutilizzabile, come on, è un pò come whitelistare un From su un antispam).

[usu]

Si ma non è diretto nè immediato, una cosa è avere accesso ad un firewall, una cosa è una pagina web di riepilogo senza contare che hai poche possibilità di affinamento delle policy (e la whitelist è inutilizzabile, come on, è un pò come whitelistare un From su un antispam).

Beh sì, non è di certo iptables, ma penso che copra comunque la maggior parte delle esigenze.

[GrG]

Beh sì, non è di certo iptables, ma penso che copra comunque la maggior parte delle esigenze

Diciamo che il sapere chi viene bloccato è meglio che niente, ma avere la whitelist come unico modo per evitare che sia bloccato non è il massimo.

Io punterei ad usarlo solo per i mega ddos, dove DICONO arrivi anche a falciarti parecchi gbps, ma finchè si tratta del solito coglionazzo che inizia a reloadare a caso il browser o ti punta addosso webserver stress tool, e non è un problema per il load, preferisco fare in casa.

Si pone solo il problema dell'ip reale, perchè abilitando cloudflare solo quando serve a parte GROSSI problemi di TTL ti rende di fatto sempre attaccabile da ip.

[usu]

Abilitarlo solo durante un ddos importante è un casino, o lo usi sempre o non lo usi, penso che coi TTL abbiano fatto apposta proprio per evitare questi casi

[EvolutionCrazy]

il problema di fondo secondo me è l'utilizzabilità a livello normativo/legale...

sarei proprio curioso di vedere il D.P.S. redatto da qualcuno che utilizzi questo tipo di servizi... che garanzie ci sono? chi sono? cosa ne fanno dei dati?

chissà come reagisce il garante se viene a sapere che praticamente un sito intero viene salvato in cache a hong kong o negli usa... con privacy policies ben diverse magari da quelle dichiarate dal titolare del trattamento dei dati...

[usu]

il problema di fondo secondo me è l'utilizzabilità a livello normativo/legale...

sarei proprio curioso di vedere il D.P.S. redatto da qualcuno che utilizzi questo tipo di servizi... che garanzie ci sono? chi sono? cosa ne fanno dei dati?

chissà come reagisce il garante se viene a sapere che praticamente un sito intero viene salvato in cache a hong kong o negli usa... con privacy policies ben diverse magari da quelle dichiarate dal titolare del trattamento dei dati...

Per quello basterebbe disabilitare l'always online.
Comunque noi ne avevamo già parlato, sono sicuramente in perdita costante quindi su cosa ci fanno coi dati un'idea ce la siamo fatta

[EvolutionCrazy]

già... chissà

[usu]

Ho appena aperto un ticket per un bug nel Set-Cookie del cookie che impostano per tener traccia degli utenti (captcha, ecc).
La RFC 2109 specifica il formato dell'expires come Wdy, DD-Mon-YY HH:MM:SS GMT mentre loro usano Wdy, DD Mon YY HH:MM:SS GMT e questo sembra non andar giù ad alcune applicazioni java che interagiscono con il sito.

Vediamo un po' se e in quanto tempo risolvono

[BibiHost]

sono sicuramente in perdita costante quindi su cosa ci fanno coi dati un'idea ce la siamo fatta

E' quello che credevo anch'io, invece loro dicono di aver chiuso l'anno con un attivo di circa 20 milioni.
Sicuramente hanno/hanno avuto grossi investitori però hanno avuto un'ottima idea ed hanno fatto un ottimo marketing (sto indossando una T-shirt di Cloudflare tanto per dirne una...).
Riguardo l'assistenza non ho niente di cui lamentarmi. Sono un hosting partner, abbiamo avuto qualche problema tecnico all'inizio ma l'abbiamo sempre risolto velocemente.
I ragazzi del team, inoltre, devo dire che sono molto alla mano. Ho avuto a che fare principalmente con Michelle, Ian e Kristin e sono sempre stati attivi e disponibili.
Personalmente, sono molto felice che abbiano sviluppato questa idea e di avere la fortuna di averci a che fare direttamente.

[usu]

Hanno risolto il problema

Cronologia:
Dopo 3h e mezza dall'apertura del ticket mi ha risposto la prima linea di supporto che ha poi inoltrato il ticket ad un senior engineer.
Dopo altre 17h hanno fixato il problema, mi hanno ringraziato per aver riportato il bug e mi spediranno un t-shirt gratuita

Pienamente soddisfatto

@babau: interessante, c'è un bilancio pubblico da poter consultare?

[BibiHost]

Avevano scritto un articolo nel blog 1 o 2 mesi fa. Parlavano della crescita esponenziale e lo confrontavano con l'anno precedente.

[usu]

E' questo l'articolo a cui ti riferisci? Growing CloudFlare - CloudFlare's blog
Se sì, non vengono menzionati guadagni, ma anzi, hanno iniziato ad usare i soldi del secondo round di finanziamento il che mi fa pensare che i guadagni non coprano i costi