O Cloudflare usa cookies _cflb, _cf_bm e _cfduid para maximizar os recursos da rede, gerenciar o tráfego e proteger os sites dos nossos clientes contra tráfego mal-intencionado.
Visão geral
Os cookies _cflb, _cf_bm, e _cfduid são extremamente necessários para fornecer os serviços solicitados por nossos clientes — conforme definido em nossa Política de privacidade —. Explicaremos melhor neste artigo.
A Cloudflare incentiva nossos clientes a divulgar o uso desses cookies para seus usuários finais (conforme definido em nossa Política de Privacidade) e, em algumas jurisdições, os clientes podem ser solicitados a divulgar esses cookies aos usuários finais.
Os dados dos cookies são processados no data center da Cloudflare nos Estados Unidos e estão sujeitos à seção de transferências internacionais de informações da Política de Privacidade da Cloudflare
_cflb cookie para a afinidade de sessão do Cloudflare Load Balancer
Ao ativar a afinidade da sessão com o Cloudflare Load Balancer, a Cloudflare define um cookie _cflb com um valor exclusivo na primeira resposta ao cliente solicitante. A Cloudflare roteia solicitações futuras para a mesma origem, otimizando o uso de recursos da rede. Em caso de failover, a Cloudflare define um novo cookie _cflb para encaminhar solicitações futuras ao agrupamento de failover.
O cookie _cflb permite retornar um usuário final para a mesma origem do cliente por um período específico (estipulado pelo cliente), o que, por sua vez, permite que a origem do cliente mantenha a experiência do usuário final sem interrupções (por exemplo, mantendo os itens de um usuário final em um carrinho de compras enquanto ele continua navegando pelo site). Esse cookie é um cookie de sessão, que dura de alguns segundos a 24 horas.
_cf_bm cookie para o Cloudflare Bot Management
O cookie _cf_bm aceita o Cloudflare Bot Management, gerenciando o tráfego recebido que corresponde aos critérios associados aos bots. O cookie não coleta nenhum dado pessoal e toda informação coletada está sujeita à criptografia unidirecional. Esse arquivo criptografado conta com o bot exclusivo da Cloudflare e ajuda a gerenciar o tráfego recebido que corresponde a critérios específicos.
A Cloudflare coloca o cookie _cf_bm nos dispositivos dos usuários finais dos nossos clientes quando os usuários finais visitam os sites dos clientes que usam o Cloudflare Bot Management. Se o usuário final passa um desafio, o cookie evita desafios adicionais por até 30 minutos. Esse cookie é um cookie de sessão que dura até 30 minutos a partir do momento em que um usuário final se conecta ao site.
Os clientes Cloudflare podem desativar o cookie _cf_bm desligando o Cloudflare Bot Management.
_cfduid cookie para identificar visitantes individuais de forma privado
Com o cookie _cfduid, a Cloudflare consegue detectar visitantes mal-intencionados nos sites dos nossos clientes e minimizar o bloqueio de usuários legítimos. Pode ser colocado nos dispositivos dos usuários finais dos nossos clientes para identificar clientes específicos por trás de um endereço IP compartilhado e aplicar configurações de segurança por cliente. É necessário como complemento aos recursos de segurança da Cloudflare.
Privacidade e o cookie _cfduid
O cookie _cfduid coleta e anonimiza os endereços IP do usuário final usando um hash unidirecional de valores específicos para que as informações pessoais do usuário não sejam detectadas. Trata-se de um cookie de sessão que expira após 30 dias.
O cookie _cfduid não:
- permite o rastreamento entre sites;
- acompanha o usuário de site em site mesclando vários identificadores _cfduid em um perfil; nem
- equivale a nenhuma ID do usuário na aplicação web de um cliente.
Geralmente, o Cloudflare mantém os dados no nível do usuário (incluindo o endereço IP de um solicitante) por menos de 24 horas para domínios nos planos Grátis, Pro e Business e até 7 (sete) dias para domínios Enterprise que ativaram o Cloudflare Logs (antigo Enterprise LogShare ou ELS). Pode haver exceções em endereços IP que acionarem alertas de segurança. Você pode encontrar mais informações sobre o que o Cloudflare registra nesta publicação do blog.
A Cloudflare não tem controle sobre quanto tempo um Cliente pode armazenar os logs da Cloudflare baixados em suas redes. Com relação a informações presentes em conteúdo armazenado em cache em nossos servidores de borda, nossos clientes controlam quais dados devem ser armazenados em cache e por quanto tempo.
__cfduid e "Sempre usar HTTPS"
A configuração Sempre usar HTTPS redireciona todas as solicitações com o esquema HTTP para HTTPS. Isso se aplica a todas as solicitações HTTP para o domínio. Os clientes podem encontrar essa opção no aplicativo SSL/TLS do painel Cloudflare.
Seguem alguns exemplos do cookie __cfduid quando a configuração Sempre usar HTTPS do domínio está ativada.
Se Sempre usar HTTPS = True, então:
Set-Cookie: __cfduid=de73c7e08a3753ac6b2fc84a838098dd91524036568; expires=Thu, 18-Apr-19 07:29:28 GMT; path=/; domain=.domain.com; HttpOnly; Secure
Se Sempre usar HTTPS = False, então:
Set-Cookie: __cfduid=dbed136878a72f4a881e70c74fcf4b3411524036444; expires=Thu, 18-Apr-19 07:27:24 GMT; path=/; domain=.domain.com; HttpOnly
Se seu domínio usa o serviço Cloudflare Managed CNAME, os cookies __cfduid nunca serão protegidos quando a opção Sempre usar HTTPS estiver ativada. A Cloudflare sempre garante o uso de HTTPS se a resolução DNS for totalmente gerenciada no Cloudflare. Sendo assim, em uma situação no Managed CNAME, os cookies __cfduid não são protegidos, para que seus usuários possam ser identificados tanto pelo acesso HTTP quanto HTTPS.
Cookie __cfduid e Rate Limiting
O cookie __cfduid é aplicado apenas quando os clientes utilizam uma funcionalidade específica do plano Enterprise no Rate Limiting.
Desativar __cfduid
Para isso, devem entrar em contato com o suporte da Cloudflare e solicitar a desativação do cookie _cfduid. No entanto, isso afetará significativamente a capacidade da Cloudflare de detectar e mitigar o impacto de visitantes mal-intencionados ao site do cliente. Embora algumas recomendações de velocidade sugiram a eliminação de cookies para recursos estáticos, as implicações no desempenho são mínimas.