Cloudflareがウェブサイトを完全に保護するとは限らない (2)

前回の記事:
Cloudflareがウェブサイトを完全に保護するとは限らない (1)
https://blog.crosslab.xyz/2016/12/30/cloudflareがウェブサイトを完全に保護するとは限らない/

前回の記事では、ここ最近日本国内でも導入するサイトが増加している CDN/DDoS保護サービスの「Cloudflare」について、同社が提供するウェブサイトの保護は簡単に破られてしまう恐れがあることについて書きました。
今回の記事は、Cloudflareを利用しているサイトでその保護を突破されないように防ぐ方法について書くつもりでしたが、この問題についてしばらく考えていたところ、Cloudflareにはある致命的な欠陥があることを発見しました。そのため、この記事で紹介する対策は、一部の攻撃に対してある程度の効果はありますが、完全な保護とはなりません。また、そのCloudflareの欠陥についても書きたいと思います。

※この記事に書かれていることはCloudflareに限ったものではなく、他のクラウドWAFでも同じことは十分に起こり得る問題です。今回は都合上Cloudflareと書いています。

“Cloudflareがウェブサイトを完全に保護するとは限らない (2)”の続きを読む

Cloudflareがウェブサイトを完全に保護するとは限らない (1)

最近では日本国内でも導入しているサイトを多く見かけるようになった、CDNサービス大手の「Cloudflare」ですが、CDNだけでなくWAF、さらにはDDoS対策の機能も備わっていながら無料で使えるということで、人気を博しています。

そんなCloudflareを、DDoS攻撃や通報対策としてサーバーのIPアドレスを隠すために利用する方も少なくないようです。ですが、Cloudflareをそのようなリバースプロキシとして用いることが本当に良い手段なのでしょうか?

今回は「Cloudflareを利用するだけで自分のサイトを攻撃から守ることができるのか」ということについて、実例も交えながら考えてみたいと思います。

“Cloudflareがウェブサイトを完全に保護するとは限らない (1)”の続きを読む