Cloudflare Turnstile - Panel Integration

[Ralph]

Es wäre schön wenn Cloudflare Turnstile zum Schutz gegen Bots & Scanner für das Panel, Webmail und PMA integriert werden könnte.
Die Bot und Scanner Attacken sind so extrem angestiegen und durch KI Unterstützung an einem Punkt angelangt, wo Fail2ban nicht mehr ausreicht.
Cloudflare Turnstile ist EU Konform und wäre relativ einfach integrierbar, somit wäre das Panel sehr viel besser geschützt.
Es gibt leider nur wenige Kunden die 2FA verwenden und somit wäre ein gewisser Schutz trotzdem vorhanden.
Das wäre z.b. auch OK in der Pro Version als extra Feature zur Aufwertung.
https://www.cloudflare.com/application- ... turnstile/

[Jolinar]

Cloudflare Turnstile ist EU Konform

Bleib mir ja mit dem US Mist weg
Auch wenn Turnstile nicht ganz so datenhungrig ist wie andere Dienste, so werden doch mindestens IP und Browserkennung an US-Server übermittelt.

[Tobi]

Ich empfehle einem Provider zu wählen welcher einen DDOS Schutz direkt in seinem Netzwerk integriert hat.
DAS ist datenschutzkonform.

[Ralph]

Hinweis:, Wenn der User bereits einen zusätzlichen Schutz verwendet dann beim Panel auslassen z.b. Bedingung wenn nicht in Gruppe auth2 dann Turnstile aktivieren.


---
Ich möchte hier nicht darüber streiten ob US Mist oder EU Mist schlimmer ist, was mir nur ins Auge fällt ist das in der EU Privacy (Privatsphäre) über Sicherheit gestellt wird und somit legen sich möglicherweise konformgeile EU ler die Schlinge selbst um den Hals

[Jolinar]

Ich möchte hier nicht darüber streiten ob US Mist oder EU Mist schlimmer ist

Mit dem Wort "Mist" habe ich meine Bedenken wohl etwas unscharf formuliert...Aber wenn eine solche Funktion Einzug ins Panel erhalten soll, muß auch die Security Diskussion geführt werden.

was mir nur ins Auge fällt ist das in der EU Privacy (Privatsphäre) über Sicherheit gestellt wird und somit legen sich möglicherweise konformgeile EU ler die Schlinge selbst um den Hals

Ich sehe das nicht als ‘Privacy über Sicherheit’, sondern als fachlich saubere Abwägung: Datenschutz ist in der EU ein Grundrecht, kein Luxus, den wir für ein bequemes US‑Tool opfern dürfen.
Wenn ich Turnstile vors Panel/Webmail schalte, schicke ich IPs und Fingerprints aller Nutzer an einen zusätzlichen Dritten in den USA – das erhöht nicht nur den Bot‑Schutz, sondern auch Angriffs‑ und Missbrauchsfläche sowie mein rechtliches Risiko.
Gute Security heißt für mich: zuerst lokale/selbst kontrollierbare Maßnahmen ausschöpfen und nicht pauschal Privatsphäre aller Beteiligten gegen ein bisschen mehr Komfort eintauschen. Die angebliche Gegnerschaft von Privacy und Security ist fachlich ohnehin eine falsche Dichotomie.

[Ralph]

Wenn ich Turnstile vors Panel/Webmail schalte, schicke ich IPs und Fingerprints aller Nutzer an einen zusätzlichen Dritten in den USA – das erhöht nicht nur den Bot‑Schutz, sondern auch Angriffs‑ und Missbrauchsfläche sowie mein rechtliches Risiko.
Gute Security heißt für mich: zuerst lokale/selbst kontrollierbare Maßnahmen ausschöpfen und nicht pauschal Privatsphäre aller Beteiligten gegen ein bisschen mehr Komfort eintauschen. Die angebliche Gegnerschaft von Privacy und Security ist fachlich ohnehin eine falsche Dichotomie.

2FA Auth wird sicherlich zwangsläufig auch zumindest die IP und Browser Typ übertragen ... demnach sollte / müsste es dann auch so behandelt werden.
Cloudflare DNS ebenso ... also so wie ich Deine Argumentation verstehe, wäre es Dir am liebsten wenn Systeme überhaupt gar nichts mehr loggen dürfen ... ich denke dies wäre keine so gute Idee

Privacy ohne Security an erster Stelle kann nicht funktionieren, bei allen Dingen ist das so ... wenn ein System kompromittiert wurde ist die Privacy hinüber, auch wenn man mit tausenden TÜV Siegeln für geprüften Datenschutz auf der Brust durch die Gegend rennt
Security schafft erst die Voraussetzung für Privacy, somit wird logischerweise Privacy definitiv sekundär!

Cloudflare (Turnstile) kannst Du nicht in einen Topf werfen mit Google Services usw. und solange hier niemand bessere Alternativen schafft, sehe ich Turnstile als eine gute Wahl um zumindest das Panel. PMA und Webmail gegen Bots und echte Datenkraken zu schützen, für User die keinen erweiterten Schutz aktiviert haben.
Es geht nur darum diese Option verfügbar zu machen, die Entscheidung ob es eingesetzt werden soll kann doch jeder selbst treffen, wie auch bei HIBP.
Es wäre für die momentane Situation eine gute Option, das weißt du selbst Joli.

[Tobi]

Ich bin da ganz bei Jolinar.
Datenschutz ist ein extrem hohes Gut. Das sollte keinesfalls leichtfertig an irgendwelche random Anbieter ausgelagert werden.
Am Anfang der DSGVO war ich tatsächlich auch genervt von der Bürokratie und den Dokumentationspflichten etc. Langfristig jedoch hat sich die DSGVO bezahlt gemacht. Weil immer mehr deutsche Unternehmen verstehen die Notwendigkeit für souveräne Lösungen und sind auch bereit dafür tiefer in die Tasche zu greifen.
Gleichzeitig entsteht damit eine Unabhängigkeit von Drittanbietern welche insgesamt zu einer besseren Kontrolle der Infrastruktur führen.

Und falls jetzt das Argument kommt: „Da gibt es keinen deutschen oder europäischen Anbieter.“
Glückwunsch! Du hast soeben eine Marktlücke entdeckt und hast jetzt die Möglichkeit in die Riege der Tech-Milliardäre aufzusteigen .

[Ralph]

Ja, ich sehe schon ... Ihr habt es über lange Zeit vermisst hier eine adäquate Unterhaltung führen zu können

[Ralph]

Ich bin da ganz bei Jolinar.
Datenschutz ist ein extrem hohes Gut. Das sollte keinesfalls leichtfertig an irgendwelche random Anbieter ausgelagert werden.

Verstehe, dann müsste demnach HIBP und 2FA aus dem Panel verbannt werden ...

[mhagge]

2FA läuft rein lokal, da wird nichts an Dritte übertragen

HIBP wird, wenn ich nicht irre, ein Hash übertragen – und die IP-Adresse, die zwangsläufig mitkommt, ist die des Servers, nicht die des Nutzers – das ist also qualitativ durchaus ein Unterschied.

Wer es einbauen will, kann es ja manuell gerne machen – aber ins Panel eingebaut wäre ich auch dagegen, das ist eine andere Hausnummer

[Ralph]

Wie gesagt "das hohe Gut Privacy" erfordert erst einmal den Schutz des Wirtes ...
HIBP habe ich bei mir deaktiviert, weil sich Microsoft Infrastruktur dahinter verbirgt und auch wenn es "nur" ein Hash sein sollte, dann beduetet das keinesfalls Sicherheit dieser Daten in Verbindung mit MS.
Es gibt keine mir bekannten Systeme wo IP und UA nicht gespeichert werden, also die Argumente die gegen Turnstile hier aufgeführt wurden, sind haltlos ... insbesondere im Verglaich zu HIBP und 2FA, wo genau diese toleriert werden.
„Ich sage immer die Wahrheit. Selbst wenn ich lüge“

[Jolinar]

HIBP habe ich bei mir deaktiviert, weil sich Microsoft Infrastruktur dahinter verbirgt

Puuh...Auf der einen Seite hast du ein Problem, Daten von MS verarbeiten zu lassen, bist aber auf der anderen Seite wesentlich toleranter, wenn CF Daten verarbeitet...Klingt für mich nach einem Widerspruch...

[Ralph]

Puuh...Auf der einen Seite hast du ein Problem, Daten von MS verarbeiten zu lassen, bist aber auf der anderen Seite wesentlich toleranter, wenn CF Daten verarbeitet...Klingt für mich nach einem Widerspruch...

Das sind bei HIBP äusserst brisante Daten die übertragen werden, bei Turnstile ist dies nicht der Fall und somit nicht vergleichbar bzw. widersprüchlich.

[mhagge]

Code: Select all

HIBP und 2FA

Nochmal: 2FA wird nichts übertragen, HIBP nur die Daten des Servers, nicht des Benutzers wie bei Turnstile. Qualitativ ein gewaltiger Unterschied

[Alexander]

HIBP äusserst brisante Daten die übertragen werden

Welche Daten sollen das sein?
Es wird nichts weiter als die IP-des Servers (und das nur indirekt, da der Request nunmal vom Server ausgeführt wird) und die ersten 5 Zeichen eines SHA-1 Passworthash übertragen. (https://de.wikipedia.org/wiki/K-Anonymit%C3%A4t)