Cloudflareは、__cflb and __cf_bm Cookieを使って、ネットワークリソースを最大化し、トラフィックの管理を行って、悪意のあるトラフィックからお客様のサイトを保護しています。
概要
__cflb, __cf_bm、cf_ob_info、__cf_use_ob、__cfwaitingroom Cookieは、(当社のプライバシーポリシーで定める)お客様がお求めになるサービスを提供するために必須です。詳細は、下記にてご説明いたします。
Cloudflareでは、(プライバシーポリシーで定められているように)こうしたCookieの使用をエンドユーザーに開示するようお客様にお勧めしています。一部の法域では、お客様はこうしたCookieの使用をエンドユーザーに開示することが義務付けられている場合があります。
Cookieデータは、米国内のCloudflareのデータセンターで処理され、Cloudflareのプライバシーポリシーの「クロスボーダーデータ転送」セクション(セクション7)の適用対象となります。
*__cflb* Cookieは、Cloudflare ロードバランサーセッションアフィニティに使用
Cloudflare ロード バランサーでセッション アフィニティを有効にすると、Cloudflareは要求元クライアントへの最初の応答時に一意の値を使用して__cflb Cookieを設定します。Cloudflareは今後、リクエストを同じオリジンにルーティングし、ネットワークリソースの使用を最適化します。ファイルオーバーが発生した場合、Cloudflareは新しい__cflb Cookieを設定して、今後のリクエストをフェイルオーバープールに送ります。
__cflb Cookieにより、Cloudflareは(お客様が設定する)一定の期間、エンドユーザーを同じお客様のオリジンに返します。そのため、お客様のオリジンはエンドユーザーの体験をシームレスに維持できるのです(たとえば、エンドユーザーがWebサイト内を移動する間、エンドユーザーのアイテムをショッピングカードに保管します)。このCookieはセッションCookieであり、数秒から最長24時間存続します。
*__cf_bm* CookieはCloudflareボット製品に使用
Cloudflareのボット製品は、自動トラフィックを特定して軽減し、不正なボットからサイトを保護します。Cloudflareは、ボット管理やボットファイトモードで保護されている顧客サイトにアクセスするエンドユーザーのデバイスに__cf_bm Cookieを配置します。__cf_bm Cookieは、これらのボットソリューションが正しく機能するために必要です。
このCookieは、エンドユーザーが継続的に非アクティブになった後(最大で)30分後に有効期限が切れます。Cookieには、Cloudflare独自のボットスコアの計算に関する情報と、ボット管理で異常検出が有効になっている場合はセッション識別子が含まれます。Cookie内の情報(時間関連情報以外)は暗号化され、Cloudflareだけが復号化することができます。
エンドユーザーが訪問するサイトごとに別々の __cf_bm Cookieが生成され、Cloudflareはさまざまな __cf_bm 識別子をプロファイルにマージすることによって、サイト間またはセッション間でユーザーをフォローすることはありません。__cf_bm CookieはCloudflareが独立して生成するもので、お客様のWebアプリケーションのユーザーIDまたはその他の識別子とは対応しません。
*__cfduid* Cookieは、個々の訪問者を非公開で識別するために使用
_cfduid Cookie は、Cloudflareのお客様のWebサイトを訪れる悪意のある訪問者を検出して、正当なユーザーのブロックを最小限に抑えるのに役立ちます。お客様のエンドユーザーのデバイスに配置され、共有IPアドレスの背後にある個々のクライアントを識別して、セキュリティ設定をクライアントごとに適用します。Cloudflareのセキュリティ機能をサポートするのに必要です。
プライバシーと_cfduid Cookie
_cfduid Cookieは、個々に識別できないように、一定の値の一方向ハッシュを使用して、エンドユーザーIP アドレスを収集して匿名化します。Cookieは、30日後に有効期限が切れるセッションCookieです。
_cfduid Cookieは、以下を行いません:
- クロスサイトトラッキングを許可する、
- さまざまな__cfduid識別子をプロフィールにマージする、または
- お客様のWebアプリケーション内の任意のユーザーIDに対応する。
通常、Cloudflareは無料プラン、Proプラン、Businessプランのドメインのユーザーレベルデータ(リクエスターのIPアドレスを含む)を24時間まで保管し、Cloudflare Logs(旧称Enterprise LogShareまたはELS)を有効にしたEnterpriseプランのドメインでは最大7日間保管します。セキュリティアラートをトリガーしたIPアドレスについては例外がある場合があります。Cloudflare Logsの詳細については、このブログ投稿を参照してください。
Cloudflareは、お客様がご自身のネットワーク内にダウンロードしたCloudflare Logsの保管期間については制御できません。Cloudflareのエッジサーバー上のキャッシュされたコンテンツに保管される情報について、どのデータをどれくらいの期間キャッシュするかについては、お客様が制御します。
__cfduid とAlways Use HTTPS
Always use HTTPS設定は、HTTPスキームを持つすべてのリクエストをHTTPSにリダイレクトします。 これは、ドメインへのすべてのHTTPリクエストに対して適用されます。このオプションは、CloudflareダッシュボードのSSL/TLSアプリにあります。
以下にドメインのAlways Use HTTPS設定に基づいた__cfduid Cookieの例を示します。
If Always Use HTTPS = True, then:
Set-Cookie: *\__cfduid*=de73c7e08a3753ac6b2fc84a838098dd91524036568; expires=Thu, 18-Apr-19 07:29:28 GMT; path=/; domain=.domain.com; HttpOnly; Secure
If Always Use HTTPS = False then:
Set-Cookie: *\__cfduid*=dbed136878a72f4a881e70c74fcf4b3411524036444; expires=Thu, 18-Apr-19 07:27:24 GMT; path=/; domain=.domain.com; HttpOnly
ドメインがCloudflare 管理対象 CNAME サービスを使用する場合、 _cfduid Cookiesは、Always use HTTPが有効になっている場合でも、常に非セキュアになります。Cloudflareでは、DNS解決がCloudflare内で完全に管理されている場合、常にHTTPSを使用することを保証しています。Managed CNAMEを使用する状況下では、ユーザーがHTTPアクセスまたはHTTPSアクセスのいずれかで識別されるように__cfduid Cookieを非セキュアにする必要があります。
__cfduidを無効にする
Enterpriseプランのお客様は、Cloudflareサポートに連絡すると_cfduid Cookieの無効化を依頼できますが、無効にした場合、お客様のWebサイトへの悪意のある訪問者の影響を検出して軽減するCloudflareの機能に大きく影響します。表示速度を上げるために静的リソースのCookieを削除することを推奨する場合がありますが、パフォーマンスの影響はごくわずかです。
*__cf_ob_info* と *__cf_use_ob* Cookieは、Cloudflare Always Onlineに使用
__cf_ob_info Cookieは次の情報を提供します。
- オリジンWebサーバーによって返されるHTTPステータスコード
- 最初に失敗したリクエストのRay ID
- トラフィックに対応するデータセンター
__cf_use_ob Cookieは、指定されたポートのAlways Online キャッシュからリクエストされたリソースを取得するようにCloudflareに通知します。適用可能な値は、0、80、443 です。
*__cfwaitingroom* は、Cloudflare待機室に使用
CloudflareのWaiting Roomは、ゾーン内の特定のホストとパスの組み合わせを利用したWaiting Roomを有効にします。訪問者がWaiting Roomに入っても、すぐにアプリケーションにアクセスできない場合は、アクセス可能になるまでの待ち時間が表示されます。
__cfwaitingroom</em>Cookieは、一つのゾーンでホストとパスの組み合わせが有効になった待機室にアクセスする訪問者を追跡します。<em>cfwaitingroom Cookieもアプリケーションに入れる時間を見積もり、正しい順序で訪問者に提供します。__cfwaitingroom Cookieは、お客様が指定した時間に合わせて訪問者が退出後、待機室で待たされることなく、再びアプリケーションに入ることを許可します。
__cfwaitingroom Cookieは、Waiting Roomに滞在する訪問者のために使われるもので、24時間以内に有効期限が切れます。訪問者がアプリケーションにアクセスすると、__cfwaitingroom Cookieがセッション期間内に有効期限が切れるように設定されます。これはお客様が設定できます。
Cookieを承認しないブラウザを使用している訪問者は、待機室が有効になっている間、ホストとパスのコンビネーションにアクセスすることができません。 アカウントチームに依頼して、待機室の機能を有効にしてください。その後でCloudflareダッシュボードの待機室(Waiting Rooms)タブの下にあるTrafficアプリで待機室を制御することができます。
その他のCookieは、チャレンジプラットフォームで使用
下の表には、チャレンジプラットフォームで使用される、その他のCookieが表示されています。
|
Cookie 名 (XXXは動的部分を表す) |
説明 |
|
cf_clearance |
クリアランスCookieは、チャレンジを通過した証拠を保存します。CAPTCHAやJavaScriptチャレンジなどがある場合に、これ以上課題を出さないようにします。クリアランスCookieはオリジンサーバーに到達する必要があります。 |
|
- cf-cc-XXX - cf-chl-cc-XXX - cf-chl-seq-XXX - cf-chl-prog |
これらのCookieは、CloudflareがJavascriptやCAPTCHAチャレンジを実行するために使用されます。追跡や、チャレンジ以外の目的で使用されることはありません。見つかれば、削除できます。 |
|
cf-chl-XXXX |
このCookieは、[Cloudflare Edge サーバー](https://www.cloudflare.com/en-gb/learning/cdn/glossary/edge-server/)がCookieをサポートするかをチェックします。見つかれば、削除できます。 |
|
- cf-chl-rc-i - cf-chl-rc-ni |
これらのCookieは社内用で、Cloudflareがクライアントのプロダクションの問題を識別するのに役立ちます。 |