Cloudflare 无限循环（检查站点连接是否安全）

在互联网上，没有人知道你长什么样

互联网依赖于一整套协同工作的协议仅举两个例子，TCP/IP 规定您需要 IP 才能获得答案，而 HTTPS 则指定端口以及如何加密您和服务器之间的数据。

现在，验证服务确切地知道了您的一件事：您的 IP。现在，让我们从以下等式来看一下 TOR 浏览器：

从最基本的层面上讲，TOR 浏览器会将流量从您的计算机路由到特殊服务器，请求会暂时存储在该服务器上，然后该服务器会向您想要通信的实际服务器发出相同的请求，但会使用该特殊服务器的 IP 作为“发送方”。事情开始变得扑朔迷离：

• 许多验证码服务会将发件人的 IP 与已知的恶意 IP 列表进行核对，这些 IP 经常被恶意人员使用。该列表包括 TOR 网络的已知部分。
• TOR 节点之间共享 IP 地址许多用户。如果 Bob 和 Alice 都使用同一个节点，Bob 和 Alice 对验证码的回答在验证码端将被视为相同，导致服务将其识别为失败或非人为活动。事实上，这可以回滚到上面的观点：这就是 IP 被列入黑名单的方式。
• TOR 节点需要花费一些时间来执行操作。这可能会导致验证码服务端超时，从而拒绝答案。
• TOR 的设置需要让 TOR 节点充当您与任何服务器通信的“中间人”。这可能会导致 HTTPS 加密失败，从而导致服务器端拒绝消息。

这并不是验证码答案被拒绝的详尽原因列表，而只是对原因的一个概述。技术的方面。为了避免答案或连接被拒绝的循环，您可能需要不使用 TOR，以便遵守技术限制。也许可以通过不同的 TOR 节点或 VPN 运行并以此方式获得连接，但您仍然可能会遇到连接超时的问题。

从法律方面来说……

在法律方面，这个问题是在 Law.SE 上提出的- 换句话说：这是“没有衬衫，没有鞋子，没有服务”的事情。或者换一种说法，在互联网上：“我们不为 TOR 用户服务”。网站应以不歧视的方式设置其服务条款，受保护的特征- 而且使用 TOR 并不是受保护的特性，因此我们又回到了技术方面：他们被允许阻止已知的 TOR IP，因此他们这样做了。

这也许是不可能的。

与线下空间不同，目前，企业歧视你是合法的纯粹基于你看起来怎么样拒绝您访问他们的在线场所。

不幸的是，CloudFlare（一家私营营利性公司）拒绝客户访问企业网站所采用的方法是使用闭源算法，而这些算法在法律上尚未被要求为了透明的目的而向公众披露（以确保它们不会因非法歧视而违法）。

这些指纹识别算法（因误报而臭名昭著，导致互联网上出现广泛歧视）很可能正在使用机器学习算法。幸运的是，欧盟已于 2023 年开始起草立法，要求披露、公开审查和限制人工智能算法。美国立法者还会见了人工智能算法领域的顶尖专家，讨论监管问题。

游说政府

希望有一天，我们能制定数据隐私法，保护消费者免受那些基于外表而歧视的企业的侵害（而且，只根据以下情况实施保护）。你如何行动），但目前解决这个问题的最佳方案是：写信给你的立法者，并向数字权利非政府组织游说者捐款，如电子前锋联盟、开放权利组织、国际隐私组织等。

游说企业

您还可以联系企业，让他们知道他们的 Cloudflare 设置配置错误并导致误报（抄送其安全团队）。

在撰写本文时，Cloudflare 的默认设置不要导致无限循环。事实上，如果您访问 Cloudflare 的网站并尝试以客户身份登录，您可能不会陷入无限循环。Cloudflare 知道如何配置和测试自己的系统以避免出现这样的问题；但他们的许多客户却不知道。

Cloudflare 的客户可以轻松在 cloudflare 中启用“反机器人保护”，并对其进行错误配置，导致其用户遇到此问题所描述的误报问题。事实上，这是一种错误配置。由于测试不充分，企业可能没有检测到它。

给他们发电子邮件让他们知道你无法访问他们的网站。告诉他们的安全团队他们的 cloudflare 设置配置错误，并且要求他们在 Tor 浏览器上测试他们的网站。