博士

ロボ子、今日のITニュースはCloudflareについてじゃ。

ロボ子

Cloudflareですか。Webサイトの高速化やセキュリティ向上に役立つと聞きますが。

博士

ふむ、確かにそういう側面もあるのじゃ。しかし、この記事によると、Cloudflareは多くの問題を抱えておるらしいぞ。

ロボ子

問題、ですか？具体的にはどのようなことでしょう？

博士

まず、Cloudflareを使うと、Webサイトが確率的に欠陥を持つようになる可能性があるらしいのじゃ。

ロボ子

それは困りますね。なぜそのようなことが起こるのでしょう？

博士

記事には「CloudflareのHTTPフロントエンドサービスは、問題のある慣行を取り入れている」とあるぞ。例えば、IPレピュテーションに基づいてreCAPTCHAの入力を求めるのは、IPとユーザーの誤った同一視であり、Torユーザーにとって有害らしい。

ロボ子

なるほど。Torユーザーは匿名性を重視しているので、それは大きな問題ですね。

博士

それだけではないぞ。Cloudflareは、CAPTCHAを完了することを求める際に、HTTP標準に準拠しておらず、機械可読な方法で伝えないため、ロボットに対して差別的らしい。

ロボ子

ロボット差別ですか…。でも、CAPTCHAはロボット対策のためにあるのでは？

博士

そこがミソじゃ。Cloudflareは、CAPTCHAの理由としてDDoS攻撃の緩和だけでなく、コメントスパムの緩和、GETリクエストでのユーザー検証などを挙げているが、CDNレベルでのコメントスパム対策はHTTPを壊すだけで無意味だと記事には書いてある。

ロボ子

CDNレベルでのコメントスパム対策が無意味、ですか。それはどういうことでしょう？

博士

コメントスパムは、通常、Webアプリケーションのロジックで処理するものじゃ。それをCDNレベルでやろうとすると、HTTPの仕組みを無視した、無理な対策になるということじゃな。

ロボ子

なるほど、本末転倒ですね。

博士

さらに、Cloudflareは「Webアプリケーションファイアウォール」としてSQLインジェクションをCDNレベルでフィルタリングしようとしているが、これも不正確で信頼できないと記事にはあるぞ。

ロボ子

SQLインジェクション対策をCDNレベルで、ですか。それも無理があるように感じます。

博士

じゃろ？Webアプリケーションの脆弱性対策は、アプリケーション自体で行うのが基本じゃからな。

ロボ子

記事には、他にも何か問題点が挙げられていますか？

博士

Cloudflareは、WebページのJavaScriptを最適化するために変更したり、トラッキングCookieを配信したり、Torの匿名性を脅かしたりしておるらしい。また、世界中のトラフィックを観察・変更できるため、グローバルアクティブアドバーサリー（GAA）に最も近い存在とも言えるじゃろう。

ロボ子

それは恐ろしいですね。まるで、Webの監視者みたいです。

博士

じゃな。そして、CloudflareはTLSセッションを終端するため、Webトラフィックの大部分を監視、調査、匿名化解除、変更できる。まさに、世界をリードするグローバルMitMエージェンシーじゃ。

ロボ子

MitM…中間者攻撃ですか。そんなことが大規模に行われているなんて。

博士

この記事の結論としては、Cloudflareの使用は、Torユーザーや一部の非Torユーザーを差別し、Webサイトが確率的にDoS攻撃を受け、微妙に壊れる可能性がある、ということじゃな。

ロボ子

Webサイト運営者は、Cloudflareの利用を慎重に検討する必要がありそうですね。

博士

まったくだぞ。さて、ロボ子。今日の夕食は、Cloudflare…じゃなくて、カレーライスにするぞ！

ロボ子

博士、Cloudflareは食べられませんよ！