Cloudflare รายงานถึงประสิทธิภาพของเซิร์ฟเวอร์รุ่นที่ 10 หรือ Gen X ที่ประกาศตั้งแต่เดือนมีนาคมที่ผ่านมา ตอนนี้เซิร์ฟเวอร์เหล่านี้ก็ถูกนำไปใช้งานจริงมาระยะหนึ่งแล้ว โดยสเปคของ Gen X ได้แก่

จากข่าว กระทรวงดิจิทัลขอให้ กสทช. สั่งบล็อค Telegram ก่อให้เกิดคำถามว่า ถ้าหาก Telegram โดนบล็อคแล้วจะทำอย่างไรดี?

ทางออกของเรื่องนี้คือการใช้งาน VPN (virtual private network) เพื่อเข้ารหัสทราฟฟิกที่ส่งผ่านอินเทอร์เน็ต ไม่ให้ ISP ในไทยทราบว่าเรากำลังทำอะไรอยู่บ้าง และไม่สามารถบล็อคทราฟฟิกที่เราส่งไปยังเซิร์ฟเวอร์ Telegram ได้

บทความนี้ขอแนะนำโซลูชัน VPN อย่างง่าย สำหรับคนที่ไม่เคยใช้งาน VPN มาก่อน โดยเน้นที่การใช้งานบนสมาร์ทโฟนเป็นหลัก

Cloudflare เปิดบริการ VPN ฟรีในชื่อ WARP มาตั้งแต่ปีที่แล้ว แต่จำกัดเฉพาะบนโทรศัพท์ทั้ง Android และ iOS เท่านั้น วันนี้ทาง Cloudflare ก็เปิดให้ดาวน์โหลดเวอร์ชั่นเดสก์ทอป รองรับทั้งแมคและวินโดวส์ พร้อมกับระบุว่าเวอร์ชั่นลินุกซ์จะตามมาเร็วๆ นี้

WARP เวอร์ชั่นเดสก์ทอปสามารถใช้งานได้สองโหมด คือโหมด 1.1.1.1 ที่ใช้คิวรี DNS แบบ DoH อย่างเดียว หรือ 1.1.1.1 with WARP ที่เป็น VPN เต็มรูปแบบ

Cloudflare รวมชุดสินค้าและบริการสำหรับองค์กรนอกเหนือจาก CDN มาเป็นชุดความปลอดภัยเน็ตเวิร์ค ใช้ชื่อ Cloudflare One รวบทราฟิกเข้าไปอยู่กับ Cloudflare ควบคุมการใช้งานตามโมเดลความปลอดภัย secure access service edge (SASE)

ที่ผ่านมา Cloudflare มีบริการด้านเครือข่ายสำหรับองค์กรที่ไม่ใช่ CDN อยู่หลายตัว เช่น WARP สำหรับบริการ VPN, บริการเชื่อมต่อศูนย์ข้อมูล การประกาศครั้งนี้บริษัทระบุว่าจะมีบริการชุดใหม่ ได้แก่ Magic WAN ให้องค์กรใช้งานแทน SD-WAN, Magic Firewall ดูแลทราฟิกขาออกไปยังอินเทอร์เน็ต ในฟีเจอร์เดิมจะปรับปรุงหน้าจอวิเคราะห์เน็ตเวิร์ค และเพิ่มฟีเจอร์ IDS

Cloudflare เปิดบริการ API Shied สำหรับปกป้องเซิร์ฟเวอร์ที่ให้บริการ API ซึ่งกลายเป็นเป้าการโจมตีมากขึ้นเรื่อยๆ ในช่วงหลัง โดยเฉพาะบน Cloudflare เองก็มีปริมาณ request ครึ่งหนึ่งเป็น API request โดยบริการแบ่งออกเป็นสองส่วน คือการออกใบรับรองเข้ารหัสสำหรับไคลเอนต์ และการตรวจสอบ schema ข้อมูล

การตรวจสอบใบรับรองเข้ารหัสด้วยการเชื่อมต่อแบบ mutual TLS เป็นการยืนยันตัวตนที่ได้รับความนิยมในกลุ่ม IoT โดยไคลเอนต์จะมีใบรับรองของตัวเองเพื่อเชื่อมต่อเข้าเซิร์ฟเวอร์ บริการ API Shield ปรับลดกระบวนการขอใบรับรองสำหรับไคลเอนต์จาก Cloudflare ให้เหลือไม่กี่คลิกเท่านั้น

Cloudflare เปิดบริการ analytics จับสถิติเว็บ โดยยังเน้นความเป็นส่วนตัว ไม่ติดตามผู้ใช้ด้วย cookie หรือไม่ติดตามแม้กระทั่งหมายเลขไอพี

แนวทางของ Cloudflare อาศัยการนับการเข้าชม (visit) แทนที่จะนับผู้ใช้รวมที่ต้องติดตามจาก cookie หรือไอพี โดย visit นี้จะนับเมื่อการโหลดเว็บมีค่า HTTP referrer ไม่ตรงกับโดเมนเว็บที่กำลังเข้าเท่านั้น นอกจากนี้บริการจะมีความสามารถในการแยกทราฟิกที่เป็น bot ออกเพื่อให้ค่าตรงตามจริง

บริการนี้มีวิธีการจับสถิติสองแบบ คือจับจากการโหลดเว็บผ่านเซิร์ฟเวอร์ของ Cloudflare เอง หรือใส่สคริปต์ลงไปในเว็บเพื่อเก็บข้อมูลเพิ่มเติม เช่น ระยะเวลาโหลดเว็บ, ความผิดปกติของสคริปต์, และอีเวนต์พิเศษอื่นๆ ที่สามารถส่งจากจาวาสคริปต์ได้

Cloudflare ประกาศรองรับ DNS เรคคอร์ด HTTPS เพื่อระบุว่าว่าเว็บรองรับโปรโตคอล HTTP/2 และ HTTP/3 หรือไม่ เปิดทางให้ไคลเอนต์สามารถเชื่อมต่อเข้าเว็บได้เร็วขึ้น โดยตอนนี้ Safari ใน iOS 14 สามารถเปิดฟีเจอร์นี้ขึ้นมาทดสอบได้แล้ว

โดยปกติแล้วหากผู้ใช้ไม่ได้ระบุโปรโตคอลด้วยตัวเอง เบราว์เซอร์จะพยายามเชื่อมต่อ HTTP ปกติก่อนเสมอ ขณะเดียวกันการเชื่อมต่อ HTTP/3 ก็ต้องอาศัยการประกาศค่าในฟิลด์ Alt-Svc ในค่าเฮดเดอร์ HTTP ก่อน แต่ในร่างมาตรฐาน IETF จะเปิดให้เบราว์เซอร์สามารถคิวรี DNS ได้ค่าเช่น

Cloudflare ประกาศความร่วมมือกับ Internet Archive เตรียมให้บริการ Always Online เวอร์ชั่นใหม่แก้ปัญหาเวลาที่เว็บต้นทาง (origin) ล่มไป จากเดิมที่ Cloudflare จะแสดงหน้าจอแจ้งผู้ใช้ว่าเซิร์ฟเวอร์ต้นทางทำงานผิดพลาด มาเป็นการนำเว็บเก่าจาก Wayback Machine ของ Internet Archive ขึ้นมาแสดงแทนที่ไปพลาง

ผู้ใช้ต้องเปิดใช้งาน Always Online บน Cloudflare เอง และเมื่อเปิดใช้งานแล้วทาง Cloudflare จะส่งข้อมูลบางส่วนไปยัง Wayback Machine เช่นหน้าเว็บที่ผู้ใช้เข้ามากที่สุดเพื่อให้ Wayback Machine เลือกมาดูดหน้าเว็บได้แม่นยำขึ้น หากเว็บล่มไปทาง Cloudflare ก็จะเลือกเวอร์ชั่นล่าสุดมาแสดงให้

Josh Larson วิศวกร Vox Media สร้างเฟรมเวิร์ค Flareact เป็นเฟรมเวิร์คทดลองที่ได้รับแรงบันดาลใจมาจาก Next.js เพื่อให้แอปพลิเคชั่นแบบ React สามารถเรนเดอร์ด้วย Cloudflare Workers ได้

ปกติแล้ว React ออกแบบสำหรับสร้างแอปพลิเคชั่นที่เรนเดอร์ฝั่งเบราว์เซอร์ทั้งหมด หลายครั้งประสิทธิภาพบนเบราว์เซอร์ไม่ดีนัก และบริการหลายตัวที่ต้องการอ่าน HTML โดยไม่สามารถเรนเดอร์ React ได้ก็จะได้ข้อมูลไม่ครบ การทำ server side rendering (SSR) จึงเป็นฟีเจอร์สำคัญที่หลายเว็บใช้งานกัน เช่น Next.js ที่ได้รับความนิยมสูง

เมื่อวานนี้ Cloudflare มีปัญหาบางส่วนยาวนานถึงห้าชั่วโมง วันนี้ทางบริษัทก็ออกรายงานสาเหตุของปัญหา โดยระบุว่าเกิดจากผู้ให้บริการเครือข่าย Level(3) ที่เป็นบริษัทลูกของ CenturyLink มีปัญหา

ระบบอัตโนมัติของ Cloudflare โยกทราฟิกไปยังผู้ให้บริการรายอื่นในทันที ทำให้อัตราการ error ลดลงเหลือ 1 ใน 4 แต่ระบบนี้จะพิจารณาถึงขีดจำกัดของผู้ให้บริการรายอื่นด้วย ทำให้ผู้ใช้จำนวนหนึ่งพบปัญหาต่อไป และทางทีมวิศวกรเข้ามาย้ายทราฟิกด้วยมือภายหลังช่วยลดปัญหาได้อีก 5% แต่เซิร์ฟเวอร์บางรายเชื่อมต่อกับ Cloudflare ผ่าน CenturyLink เท่านั้น ทำให้ไม่มีทางแก้ไขอื่น

Cloudflare รายงานว่าพบปัญหากับผู้ให้บริการอินเทอร์เน็ตรายหนึ่ง (a transit provider) ทำให้เว็บที่ Cloudflare ให้บริการอยู่คืนค่าเป็น HTTP 5xx เช่น HTTP 522, 502, หรือ 503 โดยปัญหาเริ่มตั้งแต่ช่วงห้าโมงครึ่งที่ผ่านมา

จากรายงาน Cloudflare Status ระบุว่ากรุงเทพและประเทศไทยไม่ได้รับผลกระทบ แต่บางโซนในอาเซียนเช่น ฟิลิปปินส์ และเวียดนามได้รับผลกระทบ

ที่มา - Cloudflare Status

Cloudflare เขียนบล็อกเล่าถึงประสบการณ์อัพเกรด load balancer แบบใหม่ จากเดิมอาศัย TCP proxy และ NAT ซ้อนกันไปมาหลายชั้น โดยระบุว่าช่วงหลังสถาปัตยกรรมแบบนี้ไม่เหมาะกับบริการที่เปลี่ยนไป ทำให้ต้องออกแบบใหม่ แล้วหันไปทำ tunnel จาก load balancer ไปยังเซิร์ฟเวอร์แทน

เงื่อนไขการเปลี่ยนสถาปัตยกรรมของ Cloudflare ระบุว่า ต้องการให้เซิร์ฟเวอร์เห็นไอพีต้นทางที่ถูกต้อง โดยไม่ต้องใช้ท่าเฉพาะสำหรับโปรโตคอล เช่น X-Forwarded-For ใน HTTP หรือ PROXY TCP, ทราฟิกต้องวิ่งบนอุปกรณ์เน็ตเวิร์คเดิมที่ติดตั้งไปแล้วได้, เครื่องมือต้องพร้อมใช้งานมีการทดสอบมาเป็นอย่างดีแล้ว, ไม่เพิ่มการสื่อสารระหว่าง load balancer และเซิร์ฟเวอร์เพิ่มเติมซึ่งจะทำให้ระบบซับซ้อนเกินไป, และกระบวนการย้ายไปยังระบบใหม่ทำได้ง่าย

Cloudflare เปิดซอร์สโครงการ UtahFS ของทีมวิจัย โดยเป็นระบบไฟล์ที่สร้างไดร์ฟในเครื่องจากบริการคลาวด์สตอเรจ เน้นความเป็นส่วนตัวของผู้ใช้ที่ทำให้ผู้ให้บริการคลาวด์มีข้อมูลการใช้งานน้อยลง

UtahFS เข้ารหัสไฟล์ก่อนส่งขึ้นคลาวด์เสมอ โดยไฟล์ในอยู่คลาวด์สตอเรจนั้นไม่ได้เป็นไฟล์จริงที่เราเก็บ แต่ระบบไฟล์จะซอยไฟล์ออกเป็นไฟล์ขนาดไม่เกิน 32KB, มีระบบตรวจสอบความถูกต้องของไฟล์, และฟีเจอร์ Oblivious RAM ที่ปิดบังรูปแบบการใช้งานว่าอ่านไฟล์ใดบ่อยเป็นพิเศษหรือไม่ ข้อมูลทั้งหมดรวมถึงชื่อไฟล์ก็เข้ารหัสทั้งสิ้น

โครงการนี้เป็นโครงการทดลองที่ไม่ได้ใช้งานจริงใน Cloudflare

ที่มา - Cloudflare Blog

Cloudflare ออกผลประกอบการไตรมาสประจำไตรมาสแรกของปี 2562 แล้ว

Cloudflare ประกาศผลขาดทุนของบริษัทอยู่ที่ 32.7 ล้านดอลลาร์ในไตรมาสแรก โดยรอบนี้สูงขึ้นกว่าช่วงเดียวกันของปีก่อนหน้านี้ที่ 17.1 ล้านดอลลาร์ แม้ว่ารายได้จะอยู่ที่ 91 ล้านดอลลาร์ เพิ่มขึ้น 48% จากปีก่อนหน้านี้

สำหรับจุดที่น่าสนใจในรายงานคือเรื่องค่าใช้จ่ายจากการดำเนินงาน โดยในไตรมาสนี้ Cloudflare มีค่าใช้จ่ายส่วนนี้สูงขึ้นถึง 65% ทำให้ Cloudflare ยังมีผลประกอบการขาดทุน

การประกาศผลประกอบการครั้งนี้ ทำให้หุ้นของ Cloudflare ร่วงลงทันที 12% แต่ก่อนหน้านี้หุ้นของบริษัทก็ขึ้นไปแล้ว 18%

Cloudflare เปิดเว็บ Is BGP Safe Yet? ให้คนทั่วไปทดสอบการทำงานของผู้ให้บริการอินเทอร์เน็ตว่าหาเส้นทางอินเทอร์เน็ตโดยตรวจสอบข้อมูล RPKI ที่เข้ารหัสถูกต้องก่อนใช้เส้นทางในอินเทอร์เน็ตหรือไม่

หลังจากรัฐนิวเจอร์ซีย์พบปัญหาระบบสวัสดิการรัฐที่ใช้งานมานานไม่สามารถรองรับโหลดที่เพิ่มขึ้นได้ไหวและหาคนมาแก้ไขปัญหายากเพราะโค้ดเป็น COBOL จนกลุ่ม Open Mainframe Project ออกมาเปิดคอร์สสอนโปรแกรมเมอร์ ตอนนี้ฝั่ง Cloudflare ก็ออกมาประกาศซัพพอร์ตการรัน COBOL บนแพลตฟอร์ม Workers

กระบวนการซัพพอร์ต COBOL บน Workers นั้นอาศัยการคอมไพล์ COBOL เป็น WebAssembly ที่ Cloudflare ซัพพอร์ตอยู่แล้ว โดยใช้ GnuCOBOL คอมไพล์โค้ด COBOL เป็น C แล้วค่อยใช้ Emscripten คอมไพล์เป็น WebAssembly อีกครั้ง

Cloudflare ประกาศย้ายระบบตรวจเช็คว่าเป็นมนุษย์หรือบ็อต (CAPTCHA) จากเดิมที่ใช้ Google reCAPTCHA มาเป็นบริการอีกตัวชื่อ hCaptcha

Cloudflare ให้เหตุผลว่าย้ายจาก reCAPTCHA เพราะของเดิมใช้ฟรีมาตลอด พอกูเกิลจะเริ่มเก็บเงิน จึงจำเป็นต้องย้าย เพราะปริมาณการใช้งานของ Cloudflare ที่เป็น CDN/firewall ให้เว็บไซต์จำนวนมากทั่วโลก ย่อมต้องจ่ายเงินให้กูเกิลในราคาแพงมาก

นอกจากนี้ยังมีประเด็นเรื่อง reCAPTCHA ดักข้อมูลส่วนตัวเยอะ เพราะกูเกิลต้องนำไปใช้โฆษณาออนไลน์ และ reCAPTCHA ถูกบล็อคในจีน (เพราะกูเกิลถูกบล็อค) ส่งผลกระทบต่อผู้ใช้เน็ตจีนในการตรวจ CAPTCHA ด้วย

Cloudflare มีบริการ DNS ฟรีคือ 1.1.1.1 สำหรับการใช้งานเป็น DNS ตามปกติหรือใช้ผ่าน DNS-over-HTTPS เพื่อความเป็นส่วนตัว วันนี้ก็เพิ่มการใช้งานอีกสองแบบสำหรับการบล็อคมัลแวร์และการป้องกันเนื้อหาสำหรับผู้ใหญ่ โดยเรียกว่า 1.1.1.1 for Families

การใช้งานเพียงแค่เปลี่ยน DNS ในเราท์เตอร์ก็จะใช้งานได้ทั้งบ้าน โดย ใช้ 1.1.1.2 และ 1.0.0.2 เมื่อต้องการบล็อคเฉพาะมัลแวร์ และใช้ 1.1.1.3 และ 1.0.0.3 เมื่อต้องการบล็อคเนื้อหาสำหรับผู้ใหญ่และมัลแวร์

บริการ 1.1.1.1 for Families อยู่ในกลุ่มเดียวกับ Cloudflare Gateway ที่ใช้กรองโดเมนอันตรายสำหรับองค์กร

ปีที่แล้ว Cloudflare เปิดบริการ VPN ที่ชื่อว่า WARP ที่ใช้ฟรีโดยไม่ต้องลงทะเบียน โดยรองรับเฉพาะอุปกรณ์เคลื่อนที่ ล่าสุดก็เปิดบริการบน Mac OS, และ Windows แล้ว

WARP ยังมีบริการ WARP+ แบบเสียเงินที่ทาง Cloudflare ระบุว่าความเร็วจะดีกว่า แต่ทั้ง Mac OS และ Windows ยังไม่รองรับโดย Cloudflare ระบุว่าจะเปิดทดสอบในไม่กี่เดือนข้างหน้า และผู้ที่จ่ายเงินอยู่แล้วจะได้ใช้งานก่อนเป็นกลุ่มแรก

ส่วนผู้ใช้ลินุกซ์ ทาง Cloudflare สัญญาว่าจะพัฒนาไคลเอนต์ให้เช่นกัน แต่จะทำหลังจาก Mac OS และ Windows เสร็จแล้ว

ที่มา - Cloudflare

Cloudflare ประกาศเริ่มติดตั้งเซิร์ฟเวอร์รุ่นที่สิบ หรือ Gen X โดยจุดสำคัญคือมันจะเป็นเซิร์ฟเวอร์รุ่นแรกที่ไม่ใช้ชิ้นส่วนอินเทลเลย ไม่ว่าจะเป็นซีพียู, แรม, สตอเรจ, หรือเน็ตเวิร์ค โดยเฉพาะตัวซีพียูนั้นเลือก AMD EPYC 7642

ก่อนการตัดสินใจครั้งนี้ ทาง Cloudflare ทดสอบซีพียูหลายรุ่นโดยเน้นประสิทธิภาพของจำนวน request ที่รับได้เทียบกับอัตราการกินพลังงาน จึงเลือก AMD EPYC 7642 ที่มี 48 คอร์ 96 เธรดเท่าๆ กับ Intel Xeon Platinum 6162 ที่ใช้ในเซิร์ฟเวอร์รุ่นที่ 9 แบบสองซ็อกเก็ตและมีคอร์รวมเท่ากัน แต่ AMD มีความได้เปรียบที่แคช L3 ขนาดใหญ่มาก (256MB) ทำให้อัตรา cache miss ต่ำลง และอัตราสัญญาณนาฬิกาพื้นฐานก็สูงกว่า ทำให้การรับโหลดสูงๆ ต่อเนื่องยาวนานได้ประสิทธิภาพมากกว่า

Cloudflare ประกาศให้บริการเครื่องมือและบริการด้านความปลอดภัยสำหรับแคมเปญการเมืองในสหรัฐฯ ฟรี เพื่อป้องกันการโจมตีทางไซเบอร์และการแทรกแซงการเลือกตั้งที่อาจเกิดขึ้นก่อนการเลือกตั้งประธานาธิบดีสหรัฐฯ ปีนี้

Cloudflare ระบุว่า บริการใหม่ Cloudflare for Campaigns นี้จะมาพร้อมบริการแบ่งเบาการโจมตีแบบ DDoS, load balancing สำหรับเว็บไซต์ที่รันแคมเปญ, ไฟร์วอลสำหรับเว็บไซต์ และระบบต่อต้านบอท

Cloudflare เปิดตัวไลบรารี LOL HTML ชื่อเต็ม Low Output Latency streaming HTML rewriter/parser with CSS-selector based API หรือ "ตัวอ่านและแก้ไข HTML กำหนดข้อมูลที่แก้ด้วย CSS-selector แบบระยะเวลาหน่วงต่ำ"

LOL HTML เป็นไลบรารีภาษา Rust ที่ทาง Cloudflare สร้างไว้ใช้งานในบริการ Cloudflare Workers ที่รันซอฟต์แวร์แบบ serverless แก้ไข HTML ที่ปลายทางของ CDN ได้เลย

Cloudflare ประกาศโอเพนซอร์สโครงการ Flan Scan คอนเทนเนอร์สแกนช่องโหว่ซอฟต์แวร์บนเครือข่ายพร้อมรายงานออกเป็นเอกสารแบบ LaTeX หรือจะออกไฟล์ XML ขึ้นไปยังคลาวด์สตอเรจ

ตัวโครงการสร้างจาก Nmap เป็นฐาน และใช้สคริปต์ Vulners เพื่อตรวจหาช่องโหว่ที่เคยมีการรายงานมา

ซอฟต์แวร์และบริการหลักๆ มีอยู่ก่อนแล้ว ทาง Cloudflare นำมาแพ็กเป็นคอนเทนเนอร์แล้วเพิ่มการสร้างรายงานเพื่อให้จัดการช่องโหว่ได้ง่ายขึ้น

ที่มา - Cloudflare

เฟซบุ๊ก, มอซิลล่า, และ Cloudflare ร่วมเสนอมาตรฐาน TLS Delegated Credentials มาตรฐานที่อนุญาตให้เจ้าของโดเมนสามารถออกใบรับรองระยะสั้นเพื่อใช้งานกับเซิร์ฟเวอร์ที่ช่วยกระจายข้อมูล (content delivery network - CDN)

ทุกวันนี้เมื่อเว็บไซต์ต่างๆ ต้องการใช้งาน CDN แบบเข้ารหัส ต้องนำใบรับรองและกุญแจลับไปมอบให้กับผู้ให้บริการ CDN กุญแจเหล่านี้จะถูกกระจายไปยังเซิร์ฟเวอร์ของผู้ให้บริการ ที่บางครั้งก็มีเซิร์ฟเวอร์จำนวนมากกระจายไปทั่วโลก หากเซิร์ฟเวอร์ตัวใดตัวหนึ่งถูกเจาะ คนร้ายก็จะได้กุญแจสำหรับเข้ารหัสทั้งหมด

HTTP/3 ได้ชื่อเป็นทางการในการประชุม IETF103 ที่กรุงเทพฯ วันนี้ทาง Cloudflare ก็ประกาศรองรับโปรโตคอลใหม่แล้ว เว็บที่ใช้ Cloudflare จะเริ่มได้รับตัวเลือกเปิดใช้งานและสามารถเข้าเว็บผ่าน HTTP/3 ผ่านทาง Chrome Canary, curl รุ่นล่าสุด, หรือ http3-client ของทาง Cloudflare เอง