Przejdź do głównej zawartości


🇵🇱 Nowy wpis na blogu! / 🇬🇧 New blog post!

YunoHost – jak uruchomić instancję WriteFreely

#a #aaaa #activitypub #blog #caa #cloudflare #dns #fediverse #https #mx #opensource #oracle #proxy #selfhosted #ssl #txt #vps #writefreely #yunohost

Autor: @to3k@tomaszdunia.pl

https://blog.tomaszdunia.pl/yunohost-writefreely/
Tak się nazywają rekordy DNS, o których mowa była w tym wpisie 😉 A, AAAA, CAA, MX i TXT 😉 Wszystko jest tak jak powinno 😉
Tak się nazywają rekordy DNS, o których mowa była w tym wpisie 😉 A, AAAA, CAA, MX i TXT 😉 Wszystko jest tak jak powinno 😉
@Tomasz Dunia #yunohost ✅, #WriteFreely ✅, ale szkodnikom z ⚠️ #cloudflare ⚠️ mówimy zdecydowanie ❌.
Loga writefreely, yunohost oraz przekreślone logo cloudflare
Poważne traktowanie decentralizacji i prywatności w internecie po prostu się wyklucza z tym co robi ta firma.
Chyba, że chcecie innym fundować doświadczenia takie o jakich piszę np tutaj:
https://soc.citizen4.eu/display/94d43991-1064-4bab-8b18-301784141881
https://soc.citizen4.eu/display/94d43991-3964-5178-f97d-36d177583887
Jeżeli ktoś chce wyczerpująco poznać wszystkie argumenty dlaczego cloudflare NIE to najlepsze miejsce jest tu: https://framagit.org/dCF/deCloudflare/-/blob/master/readme/pl.md
#StopCloudflare

@kravietz 🦇 @didleth 🇵🇱 🌈 🇺🇦 🇪🇺 ⚡ @Michał "rysiek" Woźniak · 🇺🇦
Dorzućmy do tego (oczywiście... 😞 ) media. Te takie niby tradycyjne. I nawet te niezależne, które od bigtechów mogłby się zupełnie obejść, czyli te bez reklam, finansowane oddolnie. Ale k*wa nie. Nawet one nie potrafią się obejść. Nawet takie #okopress potrafiło mnie kopnąć w dupę, kiedy pewnego dnia ja, ich zalogowany i płacący co miesiąc kasę czytelnik, zostałem powitany ekranem #captcha od #cloudflare . Dla okopress byłem znany (i chyba pożądany?), dla korpo, które sobie wybrali na #gatekeeper 'a już nie - bo wchodzę z trefnego ip. No więc od tego roku to cloudflare już nie za moje pieniądze...

3 użytkowników udostępniło to dalej

Tak jak napisałem we wpisie, którego wierzę iż przeczytałeś, podaje Cloudflare jedynie jako przykład dla osób, którzy mają dostawcę domeny, który nie pozwala na prawidłowe ustawienie wszystkich rekordów, a z jakiegoś powodu nie chcą go zmienić. Natomiast Ci którzy mają dobrych dostawców domen obejdą się bez Cloudflare na takiej samej zasadzie jak opisałem 😉
@🙃 ɐıunp zsɐɯoʇ @Tomasz Dunia Może podaj jakiś przykładowych dostawców domen, którzy nie pozwalają ustawić wszystkich rekordów, żeby ludzie mogli ich omijać i nie mieć argumentów do używania cloudflare.
rekordy A, AAAA i NS pozwalają wszyscy, ale nie wszyscy pozwalają na ustawienie tak zaawansowanych wartości jak wymaga YunoHost dla rekordów MX i TXT (DMARC czy DKIM). Mam kilka domen u cba.pl i miałem problemy z ustawieniem. Wierzę, że jest więcej takich dostawców, którzy pozwalają co najwyżej zmienić NSy i ewentualnie rekord A. Nie jestem w stanie ich konkretnie wskazać palcem, bo używam raczej tych normalnych typu OVH.
ciekawe, nigdy o CF tak nie myślałem, ale części tych informacji z framagit.org jestem bardzo ciekawy. Np jaki jest mechanizm odszyfrowania wrażliwych danych w locie?
@dziq 🐗 @Tomasz Dunia mechanizm jest taki, że w najczęściej używanej konfiguracji (a w darmowej opcji jest tylko taka) certyfikat dla domeny wystawia #cloudflare i szyfrowane połączenie jest zakończone ( czyli odszyfrowane) na ich proxy, gdzie mają otwarty dostęp do CAŁEJ treści przesyłanej w obie strony, czyli również do wszystkich poufnych rzeczy typu hasła, klucze itd. W ten sposób to #szyfrowanie jest w zasadzie fikcją, bo nawet mając serwer pod swoją kontrolą nie sposób zagwarantować drugiej stronie, żeby tylko ona i my znamy treść połączenia, skoro po drodze wszystkiego sobie słucha jakaś trzecia prywatna firma. Słucha i pewnie nagrywa dla jakiegoś #NSA itp. Oczywiście słucha zupełnie "legalnie" w sensie, że taką nam złożyła ofertę "my sobie tu będziemy podsłuchiwać ale dzięki temu odfiltrujemy wszystkich złych, którzy mogą zaatakować twoją stronę, wszelkie boty itd, itd." a my ją akceptujemy. "MY" w sensie kilkudziesięciu milionów właścicieli domen, bo oczywiście żaden z nich nie pyta swoich gości czy się na to piszą wchodząc na stronę.
czyli jak mam swój certyfikat to jestem bezpieczny? Tzn. nie wystawiony przez CF dla domeny.
@dziq 🐗 @Tomasz Dunia Ale masz na myśli sytuację, że używasz CF proxy ze swoim certyfikatem ? To nic nie zmienia, poza tym, że to dostępne tylko w płatnym planie . Jeśli twój (w sensie wystawiony przez kogoś innego niz CF) cert będzie na ich proxy to nadal szyfrowane połączenie będzie tam miało swoje zakończenie i będą mieli wgląd we wszystkie dane. Drugi kawałek połączenia (proxy CF <-> twój serwer ) też może (powinien!) być szyfrowany ale już wcześniej, na proxy CF "mleko się rozlało". BTW ponieważ ten drugi kawałek połączenia może ale nie musi być szyfrowany (CF tego nie wymaga) to jest kolejna potencjalna sytuacja oszukiwania ludzi, którzy wchodzą na stronę: widzą zieloną kłódkę i zgodnie ze wszystkim co się kładło do głowy przez ostatnie ~dziesiąt lat wierzą, że CAŁE połączenie klient-serwer JEST bezpieczne. A to g*no prawda, bo jest bezpieczne tylko od przeglądarki do proxy CF.
ten @wikiyu polecał jeszcze https://freedns.42.pl/, muszę to stestować i może faktycznie trzeba się pozbyć tego CF z wpisu :)