最近由于 ddns 需要, 在 CF 上买了个域名, 然后有空在上面设置了一下, 发现很多东西免费的都够用了, 比如我 aria2 web ui 开始有开放浏览, 后来被我删掉了, 没访问过的电脑自然是上不去, 但是访问过的依然可以上, 会缓存多久?还有 zero trust 隧道, 免费的也够用了, 感觉象发现了新大陆.有没大佬分享下看法? 是良心厂商么?

一个月前讨论过 www.hesudu.com/t/1015855

其实就是对个人免费,赚企业的钱

看老外说过,如果 cf 是中国企业,那么可以做的事情太多了,只要政府需要,他可以利用可信任中间人解密流量什么什么的。

你以为的 cf 不赚钱,实际上 cf 在各大数据中心都有自己机房。而清洗流量的机房,只有被攻击的时候才会启用,大中企业自建产生冗余,闲时服务器无用而且人比服务器贵多了。cf 的收费价格则是比自建的成本还低,因为不会有每个企业都同时需要流量清洗。相当于一个机房拖好几个企业。而 cf 就把不收攻击时段的资源提供给免费用户,然后免费用户未来做商业的时候则会考虑 cf 。cf 累计各类经验,制作各类专用流量清洗器设备,然后中大企业只能选择对成本最好的 cf 做安全保护。

cf 就是赛博菩萨

像微信、短视频、网游这些网络服务,你不付费也可以得到一流服务啊。一样的道理,1%用户赚钱,其他 99%用户亏钱占市场,因为用户流失了失去的不只是用户,可能会因此培育出新的竞争对手,所以巨头垄断打法都是宁愿亏点钱锁住流量,也不会为了提高利润率让流量流失。

目前是一直亏损,赚投资人的钱,再等几年垄断了自然有的是办法赚钱

Cloudflare 的收入主要来自三个方面:订阅服务、按需服务和企业合作伙伴关系。订阅服务:Cloudflare 提供了免费的 CDN 、防火墙、页面规则等服务,但用户可以通过购买订阅来解锁额外的功能。例如,Cloudflare 的“Pro”计划提供了更高的服务限制、改进的网络分析和基于票据的支持等功能。Cloudflare 提供了三个定价计划:Pro 、Business 和 Enterprise ,每个计划都有不同的功能和价格。按需服务:除了订阅服务外,Cloudflare 还提供了基于使用量的服务,这些服务通常有一个免费的使用阈值,但超出这个阈值就需要支付额外费用。例如,Cloudflare Workers 是一个高效的服务,允许用户使用代码在 Cloudflare 的边缘节点上修改服务器的响应。用户可以免费处理许多 Cloudflare Worker 请求,但如果需求增加,就需要向 Cloudflare 支付费用。企业合作伙伴关系:虽然 Cloudflare 的大部分收入来自直接客户,但合作伙伴也为其带来了一部分收入。例如,通道合作伙伴可以通过使用 Cloudflare 解决方案为其客户提供服务,从而间接为 Cloudflare 带来收入。根据 Cloudflare 的 SEC 报告,Cloudflare 从直接客户那里获得了 88% 的收入,而从通道合作伙伴那里获得了 12% 的收入。然而,通道合作伙伴通常销售的是更复杂的 Cloudflare 产品,这些产品比直接销售给客户的产品更有利润。此外,Cloudflare 的大部分收入来自于年收入超过 100,000 美元的客户,这部分客户正在快速增长。在其一次财报电话会议上,Cloudflare 表示,29% 的 Fortune 1000 公司已经成为了 Cloudflare 的客户,并且他们正在增加更多的大客户,这些大客户占据了他们收入的更大比例。

关于免费策略…Cloudflare 提供免费服务的策略对于商业竞争具有多方面的好处:吸引和保留客户:通过提供免费服务,Cloudflare 能够吸引更多的用户,特别是那些对网络安全、性能优化和隐私保护有需求的用户。这些用户可能会因为 Cloudflare 提供的免费服务而选择使用 Cloudflare ,从而成为长期客户。建立品牌形象:提供免费服务也有助于 Cloudflare 建立一个以用户为中心、关注隐私和安全的品牌形象。这种形象不仅能够吸引更多的用户,也能够增强用户对 Cloudflare 的信任和忠诚度。差异化竞争:在一个竞争激烈的市场中,提供免费服务可以帮助 Cloudflare 与竞争对手区分开来。即使竞争对手也提供类似的服务,Cloudflare 的免费策略也能够吸引那些寻求更多价值和更好服务的用户。增加用户活跃度:免费服务可以鼓励用户更频繁地使用 Cloudflare 的服务,从而增加用户活跃度。这种活跃度可以转化为更多的付费用户,尤其是当用户需要更高级的服务或功能时。收集用户数据:虽然 Cloudflare 强调隐私保护,但提供免费服务也为 Cloudflare 提供了收集用户数据的机会。这些数据可以用于改进服务、开发新功能,甚至用于销售更高级的服务。

Cloudflare 赚钱其实不如 Akamai ,看市值就能看出来,为什么 Cloudflare 讨论多只因为白嫖用户多,Akamai 商业付费用户不会在网上讨论罢了。

肯定赚得不是你的钱,而是企业的

除了流量,其它免费额度不高,1gkv 、10g 数据库、10g 对象存储。免费的体验不错才会转付费,相当于获客开销吧。

我觉得 vercel 也很良心

1 那么多企业大户,拿点多的资源给免费用户用用,真没多少钱应该2 用户就多了,你想用户这东西其实多了可以做很多事,可以使 isp 便宜卖带宽给你,类似于 google,你宽带访问谷歌都卡,用户肯定找 isp 啊,你就得做好服务3 培养未来,那么多用户,将来肯定有潜在付费的4 不要以为真无限,你流量大了,到一定量还是会找你,叫你升级企业套餐的

闲置资源太多了 培养潜在客户吧 ,不过确实良心赛博菩萨

搞爬虫的遇到 cf 心都想死了

Cloudflare: 我也不知道

赛博菩萨, 还挺形象, 我知道流量多了要升级套餐, 主要是感觉 CF 没有推什么 VIP VVIP 套餐那一套, 也跟抖音那种也不一样(广告 推广 啥的跟良心不沾边)

主要赚企业的钱吧

每年都是亏损的,可能就是博个格局吧

个人赚的那点钱和企业市场就是个 p

CA 根认证都是美国的公司,可以说世界上的互联网对美国来说就是透明的,即便使用了 https ,美国想监听谁的流量就监听谁的流量,你觉得美国政府没有利用吗?

这就是常见的 互联网企业的套路啊,利用边际效应降低成本,免费用户的使用成本,搞不好还没引流的成本高

技术牛逼,给企业最优质的服务,补贴个人用户,把两类用户都培养成忠实用户,牛逼

稍微了解点 https 原理都不会说出这种话,https 是端到端加密,CA 不参与密钥交换。

ca 可以签发证书,拿到证书就可以中间人了。

签了证书就可能被各种证书记录记录,就跟当年的沃通一样,被爆出来要想人不知,除非己莫为

首先,CA 签发证书有证书透明度,主流浏览器都会检查证书透明度日志,证书不是随意签发的,赛门铁克就是签了个测试证书就被大伙吊销了。其次,拿到证书不等于你可以中间人,你还需要劫持权威服务器的 DNS ,重定向到你自己建立的服务器,或者劫持 ISP 的流量,这个难度也不亚于你劫持 BGP 。最后,你拿到证书也无法监听正常通讯中的 https ,CA 解决的身份证明问题,给你签一个浏览器不会报错的证书,并不参与加密,https 加密是服务器和用户端到端的。

虽然 cf 不会这样做,但它不是满足所有条件么, 大部分小白用户用的都是自签证书或转换证书(源有 ssl,但 cf 当中间人重签一遍), 又 cname 到 cf, 还真是中间人..🤣

你用 CF 的服务本来就是中间人,不是中间人怎么做 CDN ?这话就像你用阿里云的服务阿里云是中间人一样。

cdn 肯定都是中间人的,任何厂商的都一样,除非使用仅 dns

拿到证书不等于可以中间人,还需要在建立 https 链接的时候就开始劫持用户的流量。在 https 链接建立好之后,你就算有能力劫持用户流量而且有中间人证书也没用,因为 ssl 证书只参与用户和服务器的通讯密钥交换这一过程,链接建立完成后,后续通讯都是通过客户端和服务器协商好的对称加密密钥进行加密的。

“没访问过的电脑自然是上不去, 但是访问过的依然可以上”确定不是本地浏览器缓存?aria2 web ui 只有一个前端界面吧

一般不错的服务我都是想付费支持,唯独 CF 是那种免费的都超过我的需求,收费里面我又用不到,就攥着 20 刀等付费的那种焦急状态

是你想的太简单了,但凡对计算机和互联网安全有了解的都知道, 所谓安全都是 bull shit ,只是代价大小罢了,计算机和互联网从设计之初都没考虑到安全性,根基不稳,再怎么打补丁也是于事无补。可信任的根节点都找不到。即使端到端的安全性没问题,请问如何保证端的安全性? Do not be evil ,只是一句口号。

什么叫做我想的太简单,我为什么要保证端的安全性?我从来没说 https 能保证端的安全性,我反驳的是 CA 可以随便监听流量。

稍微了解点 https 原理都不会说出这种话,中间人攻击你懂吗?为什么自签的不被承认,为什么需要机构认证。

问题的关键是 用 CDN 满足所有中间人条件(域名解析到 CDN + CDN 签发证书),流量对 CDN 是透明的。

你对中间人一知半解的话,28 楼已经解释的很清楚了。32 楼也解释了,拿到证书不等于可以中间人。

你流量对 CDN 不透明 CDN 怎么缓存你的内容? CDN 的原理就是中间人。

你应该把 CDN 当成你自己的云服务的一部分,因为你是自己解析到 CDN 上授权签发的证书,证书证明的就是内容来自你信任的 CDN 服务,你讨论中间人你应该是从客户端到 CDN 服务端这一段。就像你买了阿里云的服务器,你不能说阿里云是你的中间人吧?

懒得跟蠢人辩论了。不要回复我了。

一直是 cloudflare 的付费用户,等你有需求了,自然会理解。

虚空打靶 勿回

人家打算当中间人偷看当然是一直在场,不会只在你访问中间的某个时刻进场监督。而是全程偷看,但不轻易篡改内容。

所以诸位,技术上超归吵,还是不要人身攻击的好!听你们讨论,还是能学习到很多东西的。关于这个问题,有一个权威,或者准确的说法源吗,仅抱着学习的心态。

CDN 实际上不能视为所谓中间人“攻击”,或者说 CDN 就是中间人,和中间人“攻击”的区别就是你选择相信这个中间人。而且你也明确的知道这个中间人的存在。就像你自己起了一个 nginx 反向代理一个业务一样,nginx 也是这里所谓的中间人。这个问题实际上已经脱离技术范畴了。如果你不相信其他 CDN 提供商,你也可以选择自己全球到处买机器组 CDN ,但是你怎么保证机房不会偷看你的 SSL 证书呢?这种事情一旦有了猜疑,你怎么做都做不到所谓的 100%安全。我觉得,既然选择了 CDN ,就把他看作是自己网络服务的一部分就好,不要非得把他从自己的网络服务中踢出去,当作一个 threat 。真的有什么自己觉得很重要的东西,大不了你自己再在 ssl 里面套一层自己的加密就是了(虽然是心理安慰)。

形象, 我也是感觉免费的都超过我需求, 想支持但不好硬给钱

无意引战,你说的没错,但是你们这都属于稻草人论证,无关回答请不要 tag 我了> 拿到证书不等于可以中间人我只是从技术上回应这个场景里,CDN 可以中间人,也天然就是中间人,信不信任是用户的事情。另外我只回应了 #25 的 "CA 不参与密钥交换" 和 #22 ,CA 可以中间人,可以监听流量。

流量不经过,你咋中间人。。

你才是稻草人论证吧,首先证书不是 CF 签发的,他并不是 CA ,是你把域名放在 CF 使用 http challenge 或者 dns challenge 代申请的,CA 是 lets 等等这种;其次他可以监听流量和他是不是 CA 无关,是因为 CDN 回源就是一个代理,不管你服务器用谁的证书哪个 CA ,用户端都是到 CF 再到你的服务端(如果有缓存甚至不经过你的服务端);最后,CA 确实不参与密钥交换,即使 CF 是 CA ,CDN 的角色就是服务端并不是 CA 的角色,你这个在逻辑上是关联谬误和因果谬误。

看到“CA 可以中间人”就知道你的水平了,也请你不要 tag 我。

但是如果劫持了 dns ,而且伪造了证书,那客户端是完全不知道的。ssl 证书包含服务器公钥,而伪造证书的公钥正是中间人的公钥,完全可以解码获得对称加密对

“但是如果劫持了 dns ,而且伪造了证书,那客户端是完全不知道的。”客户端方面,主流浏览器都有检查证书透明度日志,谁发布了什么证书什么日期阻止全都是公开日志不可篡改的,检查不通过可能会阻止访问或者警告,伪造证书几乎马上就会露陷。如果你订阅了证书透明度报告( cf 就有这个功能)就知道每当你的域名有新证书下发就能收到邮件通知。至于 APP 端甚至还可以有 Cert Pinning 验证,不是自己部署的证书即使你 CA 签发了也认不了。这也就是 https 普及之后,运营商在网页上插广告的做法几乎消失的原因。论 DNS 劫持,GFW 最常见了,但 GFW 也只能暴力阻断,伪造证书不可行也是 GFW 无法解码 https 内容的原因。

cdn 服务商必然是对要分发的内容可读的,否则回源过程无法实现。你决定用这个服务商了,那肯定考虑过信任问题咯。cdn 服务商也根本不需要你的证书私钥就能改东西,回源的时候就可以做到。

讲了半天,现在讲到了一个看起来是关键但实际上没有意义的话题,即 CDN 服务商如何自证清白,证明自己不会做中间人。到目前为止,针对某个特定网站实施 HTTPS 劫持,成本巨大,要解决的关联方众多,一个不小心就会被发现。老实说,如果对任何互联网关键设施都持怀疑的态度,那建议还是别上网了,我都替你觉得累。至于 HTTP 广告插入,分为两种常见场景,一是无域名解析场景下的强制解析到运营商 IP 地址,二是右下角弹窗。前者与 DNS 配置有关,后者则有从指定 DNS 到本地城域网污染的演变过程(即后期无论用户是否换 DNS 都能收到弹窗广告,此时已经和 DNS 无关了)。

我可没说 CA 一定 可以完成中间人,但是是完成中间人的一个非常有利的条件。CDN 场景确实不需要 CA ,我在上面说过了。

免费转付费吧,当过度依赖 cf 了,并且需求扩大。自然会考虑付费。和爱优腾的免费给你看几集差不多道理吧

不知道,我只用用过一年半的 pro 。后来发现除了爬虫没人来,就降到免费版了。个人用户愿意掏一个月 20 刀得钱真心不多,我也就浅尝了一下。毕竟我服务器还是 5 刀一个月得呢。

#25 《 ca 可以签发证书,拿到证书就可以中间人了。》 《我可没说 CA 一定 可以完成中间人》《非常有利的条件》前后矛盾的也不知道你想表达啥,你跟别人说拿到普通电工证就可以搞高压电了,结果搞不了你跟别人说这是非常有利的条件,嗯,确实。#38 《用 CDN 满足所有中间人条件(域名解析到 CDN + CDN 签发证书)》《 CDN 场景确实不需要 CA 》解释过了,证书就不是 CDN 签发的。CDN 中间人跟 CA 也没关系。

现在 pro 要 25 刀一个月了,我现在用的这个,页面规则比免费的多一点吧,其他好像节点会多一点,节点负载可能会低一些