HTTP to HTTPS redirect in Flexible CF mode

Опубликовано chesser - вс, 03/28/2021 - 07:57

В CloudFlare во Flexible режиме запросов между CF и оригинальным сервером, запросы идут на 80-ый порт и без SSL. Такой режим удобен тем, что освобождает сервер от оверлоада шифрованием(SSL). При этом конечный юзер может пользоваться веб-сайтом как по http, так и по https.

Для того, чтобы на нашем сервере понять, какая схема протокола была использована юзером в запросе, CF присылает http-заголовок X-Forwarded-Proto. Чтобы исключить один из вариантов и настроить 301-редирект с HTTP на HTTPS, можно применить такой код настройки nginx:

Как в баше рандомно выбрать папку?

Опубликовано chesser - чт, 03/25/2021 - 14:40

Алгоритм:

  • получить листинг директорий (ls -d */)
  • отсортировать его рандомно (sort -R)
  • взять первую строку (head -n 1)

ls -d */ | sort -R | head -n 1

Продлять дроп-домен или нет

Опубликовано chesser - сб, 03/20/2021 - 12:42

После очередного(или первого) года использования дроп-домена возникает вопрос: продлевать его регистрацию или дропать?

Можно прикинуть эффективность (рентабельность), построив экономическую модель.

Какие есть эксплуатационные расходы:

  • годовое продление домена (150р/год для RU-домена)
  • аренда хостинга (30р/год)

Расход в сутки равен: (150+30)р / 365 = 0.5р/сутки

Количественная ценность дропа:

A Drop of the Drop

Опубликовано chesser - чт, 03/18/2021 - 09:57

Полагаю, в особых случаях есть интерес использовать дропы по второму разу. Поэтому будем сохранять архивы сайтов на будущий дроп, если в текущий домен перехватить не получилось. Но не все подряд, конечно.

Matomo/Piwik — свой счетчик статистики на сайт

Опубликовано chesser - пн, 03/08/2021 - 15:57

Matomo (бывший Piwik) — система веб-аналитики, которую можно установить на своем сервере и пользоваться также, как Яндекс.Метрикой или Google Analytics

Эффективность использования доменных квот на аукционах

Опубликовано chesser - вс, 03/07/2021 - 17:54

Провести эксперимент по оценке эффективности использования квот регистраторов доменов во время аукционов освобождающихся доменов в рунете.

Давно интересовало как влияет пред-аукционный расклад сил (квот) на результаты перехвата. Например, есть эмпирически полученное предположение о том, что рег.ру и руцентр неэффективены, а значит делать в них предварительные ставки не имеет смысла.

Узнать реальный IP сайта, спрятанного за CloudFlare

Опубликовано chesser - сб, 03/06/2021 - 20:05

Нашел способ как узнать реальный IP чужого сайта. Это полезная информация для анализа чужих PBN, скрытых за проксирующими серверами Cloudflare.

Суть в том, что существует временное окно во время которого Cloudflare отдает реальный IP. Соответственно, нужно мониторить связку домен+CF с целью поймать IP реального хоста.

Обнаружение чужих PBN

Опубликовано chesser - сб, 03/06/2021 - 17:35

Тут должен быть общеизвестный список параметров фингерпринтов сайтов PBN и я бы туда добавил заголовки ответов веб-сервера (например, expires и другие настройки кеша)