Cloudflareからの__cfduid Cookieを無効にする

__cfduidセッションCookieの作成に対応するCloudflare設定はありますか？

現在CFを試しています。主にきちんとしたDNS管理と暗黙的なCDNのために。しかし、基本的なWAFは、Apaches mod_security / CRSの上に追加するのと同じくらいいいかもしれません。しかし、私はクッキーの目的が何であると言っているのか分かりません、そしてそれを取り除くことを好むでしょう。

最も明白な設定

セキュリティプロファイル：基本的にオフ

また__cfduid、すべてのHTTP応答の作成に本質的に影響を与えないようです。Cookieの目的は、おそらく、単一のユーザーをファイアウォールルール、繰り返されるクラウドフレアキャプチャなどからオプトアウトすることです。

彼らのサポート文書はそれを暗示しています。2012年9月（https://support.cloudflare.com/hc/en-us/articles/200169536-What-does-the-cfduid-cookie-do-）からの最初の改訂版では、この動作はこれまでにないオフにしました。2か月後のエントリ2012年11月（ https://support.cloudflare.com/hc/en-us/articles/200170156-What-does-the-CloudFlare-cfduid-cookie-do-）では、このメモは省略されています。

Cloudflares TOS自体がもっともらしいものとしてチェックアウトする一方で、このCookieにはトラッキングセッションのすべてのプロパティがあり、 dc41f5a78bc3e27d44b70fca4606e4262283407700773ます。6年という過剰なCookieの有効期間は、典型的なインターネットカフェの訪問者のユースケースでは非常に奇妙です。そして、私は個人的に不必要なセッションを避けており、他の人のように（悪名高いEUクッキー法に照らして）プライバシーに関するメモを書きたくないので、デフォルトごとに削除することを望みます。

次のような回避策：

  Header add Set-Cookie "__cfduid= ; path=/; domain=.example.org; HttpOnly"

ストレージを避けますが、2つの不要なヘッダーを保持し、過度に信頼できるとは思われません。

だから、これのための別のCF設定はありますか？

cookie cloudflare

— マリオ
ソース

このような面白いことは別として、利用可能な唯一の回避策は、接続をプロキシし、クライアントにヒットする前にCookieを取り除くことです。

— シンクロ

回答:

いいえ、レコードをプロキシしている場合、Cookieをオフにする方法はありません（DNS設定でプロキシを介して実行されていないサブドメインがある場合、Cookieはサーバーに直接送信されるため、追加しません）。Cookieは、基本的にセキュリティ（チャレンジページなど）を機能させるものです。

— デーモン
ソース

「セキュリティ作業を行う」は、まだ非常に説明的ではありません。セッションCookieを通常送信しないボットなどに対するセキュリティをどのように支援しますか？CAPTCHAS専用の場合、過剰なCookieの有効期限はどうなりますか？

— マリオ14年

誰が信頼されていないかではなく、誰が信頼されているかを確立するためだと思う。セッションCookieがない場合、信頼性が最も低い状態になります。セッションCookieを持っている場合は、信頼されていないか、信頼されているか、またはその中間の場所にいることができます。したがって、セッションCookieを送信しないということは、WAFがより敵対的に扱われることを意味します。その後、Cookieの有効期限が「過剰」になり、将来不必要に悩まされたり、抑制されたりするのを防ぐことができます。

— -Rushyo

cloudflareは、私がよく閲覧するもの（APIドキュメント、オープンソースプロジェクト）をホストしていることが判明しました。いいえ。cloudflareとは関係のないドメイン（jqueryui.com、expressjs.comなど）でランダムセッションCookieインジェクションを有効にするつもりはありません。__cfduidインターネット標準を破ります。それは間違っています。

— マーティンアルゲステン

このCookieの問題は何ですか？あなたは彼らのサービスを使用しており、彼らのサービスとセキュリティの恩恵を受けたいと考えています。Cloudflareによると、このCookieは特にセキュリティ上の理由で役立ちます。それにもかかわらず、このタイプのCookieはCookie Lawメッセージから免除されます。

ただし、一部のCookieはこの要件を免除されています。Cookieが以下の場合、同意は不要です。

・通信の送信を実行することのみを目的として使用されている。

・ユーザーが明示的に要求する情報社会サービスのプロバイダーがそのサービスを提供するために、厳密に必要です。

続きを読む： http //ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

このCloudflare Cookieは、Cookieの法律から完全に免除されています。

— ルカ・スティーブ
ソース

「セキュリティ上の理由から」は、まさにこの質問を引き起こした希望的でウォッシュな説明です。今は何を使用していますか？「セキュリティ」機能が無効になっているのに、なぜそこにあるのですか？なぜ6年の寿命があるのですか？これに関する法的意見はほとんど直交しています。

— マリオ

Cloudflareの従業員（damoncloudfareが1人だと思います）でさえ、理由にかかわらずあなたに伝えることができない場合、セキュリティに関するこの質問に誰でも答えることができるのではないかと思います。

— ルカスティーブ

このCookieには1つの問題があります。vuln/ PCIスキャナーでさまざまな誤検知を引き起こします。たとえば、Saintbot / Controlscanは、cookieベースのセッション変数を含む応答を確認し、phprpcが存在しない場合でもphprpc vulnとしてフラグを立てます（404）。この単純なCookieが原因で、スケジュールされたPCIスキャンが常に失敗するのは面倒です。ベンダーに間違いはありますが、20件ほどの認証+チケットの後、それらを呼び出して、スキャンフィルターを修正していません。修復に失敗したため、このCF Cookieにより、誤検出（依然として失敗）の前提でPCIが失敗します。

— ドーピン

私はあなたがいないのCloudFlare ..スキャナーを、非難すべきであると言うでしょう

— ルカSteeb

脆弱性スキャナーによる誤検知以外の問題は、パフォーマンスへの影響です。これは無視できますが、存在するものであり、そうではありません。

— レイ・フォス

Cookieを無効にする手順-php。これは私の修正ではなく、富を広めることができてうれしいです。

function deleteSpecificCookies() {

    var cookies = document.cookie.split(";");
    var all_cookies = '';

    for (var i = 0; i < cookies.length; i++) {

        var cookie_name  = cookies[i].split("=")[0];
        var cookie_value = cookies[i].split("=")[1];

        if( cookie_name.trim() != '__utmb' ) {

            all_cookies = all_cookies + cookies[i] + ";";

        }

    }

    if(!document.__defineGetter__) {

        Object.defineProperty(document, 'cookie', {
            get: function(){return all_cookies; },
            set: function(){return true},
        });

    } else {

        document.__defineGetter__("cookie", function() { return all_cookies; } );
        document.__defineSetter__("cookie", function() { return true; } );

    }
}

— アルフィー
ソース