CF spinnt!

Thorsten

SSF Facilitymanagement
Staff member
Hallo!

barrierefreie - was genau hast du nicht verstanden? Und ich zog mir nie und ich ziehe mir nie einen solchen Schuh an!

Bewusst falsch verstanden werden wollen? Grauenhaft!

mfG
Thorsten
 

Lord Gurke

Nur echt mit 32 Zähnen
Hallo!

Was genau willst du mir jetzt damit sagen? Der "verdächtige" Inhalt im Beitrag war ja sowohl beim ersten als auch beim zweiten absenden vorhanden. Insofern ...:confused:

mfG
Thorsten

Meine anderen Beiträge in diesem Thread enthalten aber nichts, was meiner Meinung nach Cloudflare antriggern sollte den Captcha vorzuschalten.
Der hier und dieser da.
Bei allen habe ich den Captcha bekommen und fragete mich jedes Mal, wie das die Sicherheit oder Erreichbarkeit des Forums verbessert hat.

Nachtrag: Bei diesem Beitrag auch. Und um ehrlich zu sein nervt es zunehmend.
Ray-ID: 328ec6e05bb315cb
 

Thorsten

SSF Facilitymanagement
Staff member
Hallo!
... enthalten aber nichts, was meiner Meinung nach Cloudflare antriggern sollte den Captcha vorzuschalten.
Code:
{
  "id": "328ec6e05bb315cb",
  "country": "DE",
  "ip": "2a02:a00:1009:d990:8af6:xxxx:xxxx:xx",
  "protocol": "HTTP/2",
  "method": "POST",
  "host": "serversupportforum.de",
  "user_agent": "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0",
  "uri": "/forum/editpost.php?do=updatepost&p=380169",
  "request_duration": 56999936,
  "triggered_rule_ids": [
    "100013",
    "950901",
    "960024",
    "973300",
    "973304",
    "973333",
    "973338",
    "973344",
    "981018",
    "981133",
    "981176",
    "981245",
    "2000001",
    "2000004",
    "2000005",
    "2000006",
    "uri-981018",
    "uri-981173"
  ],
  "action": "challenge",
  "cloudflare_location": "FRA",
  "occurred_at": "2017-01-29T18:34:11.89Z",
  "rule_detail": [
    {
      "id": "960024",
      "description": "OWASP_CRS/WEB_ATTACK/COMMAND_INJECTION-ARGS:MESSAGE=>\r\n<"
    },
    {
      "id": "950901",
      "description": "OWASP_CRS/WEB_ATTACK/SQL_INJECTION-ARGS:MESSAGE=br>\r\nWas"
    },
    {
      "id": "981245",
      "description": "DETECTS BASIC SQL AUTHENTICATION BYPASS ATTEMPTS 2/3-OWASP_CRS/WEB_ATTACK/SQLI-2000000408_146=\"\" title=\"v"
    },
    {
      "id": "973338",
      "description": "OWASP_CRS/WEB_ATTACK/XSS-2000000412_204= src="
    },
    {
      "id": "973300",
      "description": "OWASP_CRS/WEB_ATTACK/XSS-ARGS:MESSAGE=<br>"
    },
    {
      "id": "973304",
      "description": "OWASP_CRS/WEB_ATTACK/XSS-2000000408_136=src="
    },
    {
      "id": "973333",
      "description": "OWASP_CRS/WEB_ATTACK/XSS-2000000412_217=\" Inhalt im Beitrag war ja sowohl beim ersten als auch beim zweiten absenden vorhanden. Insofern ...<img src="
    },
    {
      "id": "973344",
      "description": "OWASP_CRS/WEB_ATTACK/XSS-2000000412_217=\" Inhalt im Beitrag war ja sowohl beim ersten als auch beim zweiten absenden vorhanden. Insofern ...<img src=\"https://serversupportforum.de/forum/images/smilies/confused.gif\" alt=\"\" title=\"verwirrt\" smilieid=\"11\" class=\"inlineimg\" border=\"0\"><br> <br> mfG<"
    },
    {
      "id": "960024",
      "description": "OWASP_CRS/WEB_ATTACK/COMMAND_INJECTION-ARGS:MESSAGE"
    }
  ],
  "rule_message": "Inbound Anomaly Score Exceeded (Total Score: 41, SQLi=7, XSS=25): Last Matched Message: IE XSS Filters - Attack Detected.",
  "type": "waf",
  "rule_id": "981176",
  "zone_id": "034c2f8a712635f8da360bbbfef4c8fc",
  "cookie": ""
}
Das meint zumindest Cloudflare.

mfG
Thorsten
 
Last edited by a moderator:

PHP-Friends

Blog Benutzer
verifizierter Anbieter
Wobei mich aber schon irgendwie interessieren würde, was genau da auslöst, denn mit anderen Buchstaben geht es ohne Captcha:
Code:
ab -al
ls -xx
Die Regel wird darauf abzielen, entsprechende Angriffe mit PHP-Shells etc. abzufangen. Da kommt "ls -al" vermutlich häufiger zum Einsatz :)

Edit: Natürlich musste ich nun auch ein Captcha lösen. In einem Serverforum ist die Regel echt ungünstig :rolleyes:
 

nexus

Well-Known Member
Die Regel wird darauf abzielen, entsprechende Angriffe mit PHP-Shells etc. abzufangen. Da kommt "ls -al" vermutlich häufiger zum Einsatz :)

Ahh okay, unter diesem Blickwinkel macht es natürlich irgendwie Sinn. Also scheint doch etwas mehr Intelligenz in dem System zu stecken, als ich dachte. :rolleyes:
 

Lord Gurke

Nur echt mit 32 Zähnen
@Thorsten:
Das einzige, was ich davon als halbwegs sinnvolle Filterregel ansehe sind die HTML-Tags der reingeklickten Smileys.
Aber der Rest ist doch eher fragwürdig... Wenn von Zeilenumbrüchen eine echte Gefahr für das vBulletin hier ausgeht solltest du dringend auf eine andere Software wechseln. Oder wir passen die Forenregeln an, dass fortan keine Zeilenumbrüche mehr verwendet werden dürfen ;-)

P.S.: Ist es wirklich notwendig, meine vollständige IP-Adresse da zu zitieren?
 

Thorsten

SSF Facilitymanagement
Staff member
Hallo!

Die IP habe ich unkenntlich gemacht. Alles weitere hat nun rein gar nichts mit vBulletin oder Zeilenumbrüchen zu tun.

Mein Vorschlag: Wenn hier wirklich jemand mehr Erfahrungen mit Filterregeln als Cloudflare hat, möge sie oder er sich dringend bei mir melden. Ansonsten bin ich der Meinung, dass Cloudflare hier einen sehr guten Job macht.

mfG
Thorsten
 

nexus

Well-Known Member
Das einzige, was ich davon als halbwegs sinnvolle Filterregel ansehe sind die HTML-Tags der reingeklickten Smileys.

Seltsam, dann müßte CF bei mir fast immer anschlagen, da ich ziemlich oft Smileys verwende.
Wenn ich von den Anderen lese, wie häufig CF eingreift, dann ist es ja bei mir noch echt selten, gefühlt vielleicht jeder zehnte Post. Und ich dachte immer, daß sei schon viel...:confused:
 

Thorsten

SSF Facilitymanagement
Staff member
@nexus:

Es gibt da auch durchaus äußere Faktoren die CF triggern. Hint: OS, Browser, Extensions, etc. pp.

mfG
Thorsten
 

Lord Gurke

Nur echt mit 32 Zähnen
Mein Vorschlag: Wenn hier wirklich jemand mehr Erfahrungen mit Filterregeln als Cloudflare hat, möge sie oder er sich dringend bei mir melden. Ansonsten bin ich der Meinung, dass Cloudflare hier einen sehr guten Job macht.

Das habe ich ja auch damit nicht sagen wollen. Ich finde nur, dass man einige Regeln vielleicht weniger scharf zugreifen lassen sollte - die Regeln müssen ja nunmal auch zur Webseite passen.
Wenn ich mir die Regeln 960024, 950901, 973300, 973344 angucke würde ich sagen, dass diese hier regelmäßig von vielen Usern durch reguläre Nutzung getriggert werden - nämlich dann, wenn am Ende einer Zeile ein reingeklickter Smiley steht.
Vielleicht lässt sich der Score für diese Regeln etwas reduzieren, wodurch das Problem behoben werden könnte. Denn ich finde, wenn es zur regulären Funktion des Beitrags-Editors gehört Smileys einzufügen und dies per HTML-Code passiert, darf man den Nutzer nicht dafür bestrafen diese Funktion zu nutzen.

Denn wie gesagt - ich muss seit einigen Monaten JEDES Mal diesen Captcha lösen (womit ich offenbar nicht alleine bin), weshalb ich mir jedes Mal vorher überlege ob ich überhaupt was schreiben will. Und ich bilde mir ein mit einem handelsüblichen Browser mit handelsüblichen Plugins unterwegs zu sein.
 
Last edited by a moderator:

Thunderbyte

Moderator
Staff member
Nichts für ungut, ich musste Captchas hier noch niemals lösen. Wird wohl doch an der Browserkonfiguration oder anderen Gründen liegen.
 

nexus

Well-Known Member
Nichts für ungut, ich musste Captchas hier noch niemals lösen. Wird wohl doch an der Browserkonfiguration oder anderen Gründen liegen.

Nichts für ungut, aber das ist ja nunmal so garnicht hilfreich für die Leute, die bei jedem zweiten Post oder noch öfter übers Captcha müssen (Ich kann mich ja noch nicht mal beschweren, da ich im Vergleich zu einigen anderen doch ziemlich selten ein Captcha auslöse).
 

Lord Gurke

Nur echt mit 32 Zähnen
Nichts für ungut, ich musste Captchas hier noch niemals lösen. Wird wohl doch an der Browserkonfiguration oder anderen Gründen liegen.

Kann natürlich sein, dass NoScript oder uBlock irgendwas triggern - aber ich wüsste nicht wie...
 
Top