Ich habe meinen Blog von Cloudflare «befreit».

Wie im vergangenen Beitrag versprochen, gehe ich nun genauer darauf ein.

Heute möchte ich euch vorstellen:

• Was Cloudflare ist und grob, was es kann,
• was für eine Rolle die Webseitenbetreiber dabei spielen,
• was an Cloudflare kontrovers ist
• und warum ich es für meinen Blog testweise nicht mehr nutze (und wenn so alles passt, es auch so lasse).

Ich möchte an dieser Stelle erwähnen, dass ich versuchen werde, aus einer neutralen Perspektive zu kommentieren. Es gibt Gründe, warum Cloudflare genutzt wird, und es gibt Gründe, warum es auf Abneigung stosst.

Die Firewall

Cloudflare ist im Grunde eine «WAF» («Web Application Firewall»). Es dient dazu, Webseiten vor Angriffen zu schützen, wobei Angriff hier vieles heissen kann, und dies bei Cloudflare beliebig eingestellt werden kann. Dies klingt vorerst gut, und standardmässig schützt Cloudflare nur vor eigentlichen Angriffen und vor «verdächtigem» Traffic, und es ist kaum bemerkbar, dass Cloudflare überhaupt aktiv ist.

Die Webseitenbetreiber

Leider jedoch gibt es viele Webseitenbetreiber, die alle möglichen Cloudflare Funktionen aktivieren, um möglichst viel zu filtern, ohne dass dies notwendig ist. So manche Betreiber forcieren sogar einen lästigen Browser check. Ihr kennt das vielleicht: Ihr betritt eine Webseite, und erst mal kommt das Cloudflare Logo, und der Webbrowser wird geprüft, bevor ihr reinkommt.

Ja, das macht nicht Cloudflare von sich aus, sondern der Webseitenbetreiber stellt dies so ein. Wenn Ihr das nächste Mal auf einen kleinen Blog stosst, der erst einmal einen Check macht: Kontaktiert doch mal den Blogbetreiber, vielleicht sieht er ein, dass dies lästig ist und deaktiviert es.

Ich gebe aber zu, Cloudflare stellt diese Funktionen ja erst bereit, und macht es sehr einfach diese einzustellen. Ich glaube, viele kleine Seiten würden sich nicht die Mühe machen, diese Funktionen nachzubauen oder könnten es gar nicht, wenn es Cloudflare nicht gäbe.

Ich möchte also nicht einer Partei alleine die Schuld in die Schuhe schieben, und finde es ist wichtig, sich der Dynamik bewusst zu sein. Ihr kenn vielleicht den Spruch «es braucht immer Zwei». 😄

Das eigentliche Problem

So, aber bis jetzt habe ich nur das beschrieben, was als Endverbraucher auch spürbar ist (die lästigen Prüfungen des Browsers). Denn selbst wenn alle Webseitenbetreiber die Standardeinstellungen verwenden, die nicht nervig sind, gibt es ein anderes, potenzielles Problem.

Ein Grossteil des Internets (genauer gesagt des Webs) nutzt heutzutage Cloudflare. Das ist, was es so gut, aber auch so kontrovers macht.

Denn: Dadurch, dass Cloudflare einen grossen Teil des Webs sieht, kann es sich in Echtzeit ein Bild davon machen, und Angriffe aufspüren. Jedoch ist das Problem dabei, dass das Potenzial zum Missbrauch besteht, z.B. mit flächendeckender Ausspähung des Webs und deren Nutzer.

Ob Cloudflare dies missbraucht, ist unklar. Es gibt keine Beweise dafür, aber wir wissen aus der Vergangenheit durch Edward Snowden, dass die NSA bereits grosse Technikanbieter zur Datensammlerei missbraucht hat.

Also viel mehr möchte ich dazu nicht sagen, denn alles andere wäre Spekulation. Das einzige, was ich mit Sicherheit sagen kann, ist, wer keine Daten erst weitergibt, der riskiert auch keine Datensammlerei oder Missbrauch, oder einfach gesagt: Wer die Cloud nicht nutzt, und stattdessen selber hostet, der ist, was dies angeht auf der sicheren Seite.

Wie aber auch im vorherigen Beitrag erwähnt, passt Cloudflare auch einfach nicht ganz in das Bild des Blogs, und es besteht zurzeit auch keine Not, es zu verwenden.

Ihr könnt ein paar Gedanken dazu hier lesen:

PS, ich habe im letzten Beitrag ja erwähnt, dass ich basteln und beobachten werde, und danach berichten. Die Spam-Situation hat sich nicht stark verschlechtert, und ich habe schon einige datenschutzfreundliche Gegenmassnamen getroffen. Ich werde weiter basteln, testen und beobachten.

PPS, kaum zu glauben, dass schon zwei Wochen vergangen sind! 🙃