ASK: Alternatif Cloudflare yang Sudah Tidak Aman


Status
Not open for further replies.

Syams

Apprentice 1.0
Permisi master semua. Ada kabar, sekarang CF ada masalah di data/memory leak.

Code:
https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/
https://www.wordfence.com/blog/2017/02/cloudflare-data-leak/
Banyak yang gelisah, ada yang kasih saran lepas CF, ada yang ganti Salt Wp-config.php, ada juga yang kasih saran pindah incapsula.

Kayaknya menarik, migrasi ke incapsula. Tapi saya masih bingung, karena sevice free incapsula jarang ada yang membahas. Saya juga gak tahu perbandingan antara free CF vs Incapsula.

Tolong saran Tuan. Blog saya Indonesia, sekarang masih menggunakan CF.
Kira-kira, sebaiknya lepas CF terus ganti Incapsula, atau lepas CF tanpa incapsula?
 

FluidaWeb

Hosting Guru
Incapsula keren dan simple.. hanya tdk sbnyak fitur cf dan versi free tdk suport ssl
 

dhyhost

Web Hosting Service
The Warrior
Verified Provider
incapsula versi free masih terlalu minim fiturnya,
saya sendiri ga terlalu suak pakai cloudflare, hehe
 

PremiumFastNet

Apprentice 2.0
Verified Provider
baru dapat email :

Matthew Prince <mprince@cloudflare.com>

Dear Cloudflare Customer:

Thursday afternoon, we published a blog post describing a memory leak caused by a serious bug that impacted Cloudflare's systems. If you haven't yet, I encourage you to read that post on the bug:

https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/

While we resolved the bug within hours of it being reported to us, there was an ongoing risk that some of our customers' sensitive information could still be available through third party caches, such as the Google search cache.

Over the last week, we've worked with these caches to discover what customers may have had sensitive information exposed and ensure that the caches are purged. We waited to disclose the bug publicly until after these caches could be cleared in order to mitigate the ability of malicious individuals to exploit any exposed data.

In our review of these third party caches, we discovered data that had been exposed from approximately 150 of Cloudflare's customers across our Free, Pro, Business, and Enterprise plans. We have reached out to these customers directly to provide them with a copy of the data that was exposed, help them understand its impact, and help them mitigate that impact.

Fortunately, your domain is not one of the domains where we have discovered exposed data in any third party caches. The bug has been patched so it is no longer leaking data. However, we continue to work with these caches to review their records and help them purge any exposed data we find. If we discover any data leaked about your domains during this search, we will reach out to you directly and provide you full details of what we have found.

To date, we have yet to find any instance of the bug being exploited, but we recommend if you are concerned that you invalidate and reissue any persistent secrets, such as long lived session identifiers, tokens or keys. Due to the nature of the bug, customer SSL keys were not exposed and do not need to be rotated.

Again, if we discover new information that impacts you, we will reach out to you directly. In the meantime, if you have any questions or concerns, please don’t hesitate to reach out.

Matthew Prince
Cloudflare, Inc.
Co-founder and CEO
 

regolithmedia

Poster 2.0
Beberapa alternatif:
1. sucuri.net(paid), ada fitur kyk CF + cdn(lbh kearah security +ddos protect)
2. amazon cloudfront+waf(free 1 tahun)
3. stay di cf set page rulenya + gunain cf sebagai cdn only(cuma untuk static file, dynamic file tetep di proses server origin).
4. incapsula(paid), untuk support sslnya mahal
5. keycdn(paid) cdn only(ga ada fitur security kyk CF), ada free trial 1 bulan + bisa manfaatin fitur affiliate(bsa free trus asal dpet affiliate)

Cuma CF udh fix bugnya juga dan tergolong cepet fixnya.
 

PremiumFastNet

Apprentice 2.0
Verified Provider
Beberapa alternatif:
1. sucuri.net(paid), ada fitur kyk CF + cdn(lbh kearah security +ddos protect)
2. amazon cloudfront+waf(free 1 tahun)
3. stay di cf set page rulenya + gunain cf sebagai cdn only(cuma untuk static file, dynamic file tetep di proses server origin).
4. incapsula(paid), untuk support sslnya mahal
5. keycdn(paid) cdn only(ga ada fitur security kyk CF), ada free trial 1 bulan + bisa manfaatin fitur affiliate(bsa free trus asal dpet affiliate)

Cuma CF udh fix bugnya juga dan tergolong cepet fixnya.
Nah bener nih, CF udah fix bug nya, tapi jaga-jaga saja.

Bdw web yg terinfeksi ini jika menggunakan CDN-nya, karena semua data cache ke simpan di server, sedangkan jika webnya ga pakai CDN tidak kena. (kira-kira begitu kali ya)

#CMIIW
 

regolithmedia

Poster 2.0
Nah bener nih, CF udah fix bug nya, tapi jaga-jaga saja.

Bdw web yg terinfeksi ini jika menggunakan CDN-nya, karena semua data cache ke simpan di server, sedangkan jika webnya ga pakai CDN tidak kena. (kira-kira begitu kali ya)

#CMIIW
Yang aktifin fitur untuk modifikasi html on fly kyk yang dijelasin ama CF bugnya contohnya Google Analytics tag, redirect rewrite http:// links to https://, eksepsi page dari bad bot, obfuscate email addresses, enable AMP, dan fitur lainya yang memodifikasi html atau halaman web.

Sebenernya klo cuma pakai CF sebagai cdn aja, sub domain untuk serve static file ok2 aja kyknya karena biasanya sensitivitas static file tidak begitu tinggi.

Jadi semua file static di simpen di sub domain yang cf cdnnya aktif, domain utama(naked domain + www sub domain) jgn di aktifin cdnnya terus di setel edge cache 2 jam(cek server origin 2 jam skali) dan browser cache 1 tahun(user cachenya)+ pakai cache everything jika ada perubahan tinggal purge cache(klo tambahan tidak usah purge cache, file static tersimpan di edge servernya CF jadi lbh cpet loadnya)
 

mgilank

Expert 1.0
Verified Provider
ada beberapa alternatif. untuk saya jika ada website yg menghasilkan profit, dan butuh cdn, cari yg berbayar. atau bisa freetrial di provider cdn manapun, cloudfront, keycdn, cdn77 dan lainnya.
namun bagi yg websitenya masih berkembang, atau ongkos cdn dirasa masih lebih besar dari pada earningnya, stay with cloudflare saja. karena sejauh ini fitur dan penggunaannya masih lebih mudah cloudflare. penanganannya cepat, namun sayangnya notice datang dari luar pihak cloudflare.
 

PremiumFastNet

Apprentice 2.0
Verified Provider
Yang aktifin fitur untuk modifikasi html on fly kyk yang dijelasin ama CF bugnya contohnya Google Analytics tag, redirect rewrite http:// links to https://, eksepsi page dari bad bot, obfuscate email addresses, enable AMP, dan fitur lainya yang memodifikasi html atau halaman web.

Sebenernya klo cuma pakai CF sebagai cdn aja, sub domain untuk serve static file ok2 aja kyknya karena biasanya sensitivitas static file tidak begitu tinggi.

Jadi semua file static di simpen di sub domain yang cf cdnnya aktif, domain utama(naked domain + www sub domain) jgn di aktifin cdnnya terus di setel edge cache 2 jam(cek server origin 2 jam skali) dan browser cache 1 tahun(user cachenya)+ pakai cache everything jika ada perubahan tinggal purge cache(klo tambahan tidak usah purge cache, file static tersimpan di edge servernya CF jadi lbh cpet loadnya)
hmmm begitu, saya rasa ini juga pengaruh jika hal seperti digambar ini diaktifkan.
akan tetapi jika tidak aktif, sepertinya seperti cache dsb tidak aktif (karena hanya dns saja)

alternatif cek site: https://cloudflareleaks.webtls.com/

#CMIIW
 

Attachments

WidigdoNetwork

Apprentice 1.0
Saran saya mending tetap di cf Tuan, katanya udah di fix bugnya.
Bukannya gak mungkin yg lain kena bug sejenis/bug lain, cuma karena belum ketauan aja bugnya.

kalo cdn lain mungkin keycdn.com, murah ada trial, bisa pasang ssl.
 
Status
Not open for further replies.

Top