Kurze Meldung bzw. Information zu einem Sachverhalt, der mir die Woche untergekommen ist, und den ich hier im Blog einfach mal kurz aufgreife. Ich bin auf den Tweet eines Benutzers gestoßen, dem aufgefallen ist, dass Cloudflare ein Tracking-Scripe in Webseiten injiziert, wenn deren DNS verwendet wird.
Viele Webseiten binden ja Cloudflare als Content Delivery Network (CDN) oder als Bot-Filter ein und überlassen diesem Anbieter das Ausliefern der Webinhalte an die jeweiligen Benutzer. All-incl.com beschreibt in diesem Support-Dokument beispielsweise, wie Webseitenbetreiber Cloudflare einbinden können. Das ist von der DSGVO her in Europa problematisch, aber handhabbar.
Zudem besteht für Benutzer noch die Möglichkeit, Cloudflare als DNS-Provider im Browser einzubinden, um die Auflösung der URL zu IP-Adressen über deren DNS-Resolver vornehmen zu lassen. Ich hatte 2018 im Beitrag Cloudflare startet DNS-Dienst mit der IP 1.1.1.1 auf diese Möglichkeit hingewiesen, nachdem der Dienst gestartet war.
Bei nachfolgendem Vorgang handelt es sich aber wohl um die Einbindung von Cloudflare als "Proxy" durch einen Webseitenbetreiber. Dort ist bekannt, dass Cloudflare Tracking-Scripte zur Leistungsanalyse einbinden kann.
Die Woche ist mir obiger Post untergekommen, der darauf hinweist, dass bei Verwendung des Cloudflare DNS ein Tracking-Script in alle Webseiten(aufrufe) eingebunden wird.
Seit September 2025 ist diese Funktion standardmäßig für kostenlose, proxied Domains aktiviert, um Leistungsdaten zu sammeln, ohne personenbezogene Informationen. Der Autor des obigen Posts erinnert sich nicht an eine Aktivierung durch ihn.
Im Thread wird diskutiert, ob es sich um ein Dark Pattern handelt oder um eine implizite Opt-in. Es heißt, dass die Funktion sich im Dashboard deaktivieren lässt und als datenschutzkonform gilt.
Um RUM (Real User Monitoring / Cloudflare Web Analytics) zu deaktivieren, sind folgende Schritte im Cloudflare-Dashboard erforderlich.
- Im Cloudflare Dashboard anmelden (https://dash.cloudflare.com).
- Links im Menü zu Analytics & Logs → Web Analytics gehen (oder unter Analytics zu finden).
- In der Liste der Sites/Domains die betroffenen Domain auf Manage Site (oder „Site verwalten") wählen und dann über die Option Disable deaktivieren.
Durch das Deaktivieren wird das automatische Einbetten des Tracking-Skripts (beacon.min.js) auf der proxied Website verhindert.
Ähnliche Artikel:
Cloudflare startet DNS-Dienst mit der IP 1.1.1.1
Cloudflare im Nov. 2023 gehackt
CloudFlare DNS-Service 1.1.1.1 von China gehackt … ?
Cloudflare hatte Probleme beim DNS-Dienst
Ungewöhnliche DNS Aktivitäten im Zusammenhang mit Google und Cloudflare
Cloudflare DNS-Server zum Blocken von Malware/Adult-Content
MVP: 2013 – 2016
»Viele Webseiten binden ja Cloudflare … als Bot-Filter ein.«
Das geht mir so was von auf den Sack – gefühlt bei jeden zweiten Lesezeichen erscheint erst mal eine Abfrage ob ich ein Mensch sei. Oops, es trat ein Fehler auf, bitte warten.. bitte warten..
Cloudflare ist voll die Seuche
ursprünglich ne tolle Idee und notwendig, mittlerweilen aber eben (wei vieles in der modernen IT) total pervertiert!
Wenn Komerz seine Kinder frißt!
Ohne Cloudflare und Javascript könnte surfen so schön sein.
Definiere "Seuche". Für viele Webseitenbetreiber ist ein CDN und ein Botschutz eine tolle Sache. Und im Self-Hosting Bereich nutzen sehr viele Cloudflare Tunnels für den sicheren Remote Access von internen Diensten.
All diese Nutzer werden deiner Aussage wohl deutlich widersprechen.
Zur Klarstellung, weil mich das im ersten Moment auch irritiert hat:
Das betrifft Webseiten, deren Domain über Cloudflare verwaltet wird bzw. deren Betreiber Cloudflare-Dienste in Anspruch nehmen und die Web Analytics bewusst oder unbewusst entsprechend konfiguriert haben.
Das betrifft NICHT jede Webseite, die man über die öffentlichen Cloudflare-DNS-Server auflöst. Nutzer von Cloudflare's öffentlichen DNS-Server sind also nur betroffen, wenn die aufgerufene Webseite Cloudflare nutzt.
Genau dies! DNS ist DNS und kann null Einfluss auf die Webseiten nehmen. Das kann nur ein Proxy.
Ich frage mich, ob das mit einem neuen Google "Feature" zu tun hat. Google macht gerade massiven Druck auf alle Werbetreibenden mehr Trackingdaten zu liefern. Eine der massiv beworbenen Methoden ist der Einbau des Google Tag Gateways, eine Art Server-Side Tracking Light, über CDNs, also Cloudflare, Akamai etc.
Damals(tm) als es noch kein Lets Encrypt gab und Certs hunderte von Euros kosteten war Cloudflare eine feine Sache für SSL/TLS Zertifikate für Websites. Doch das war vor 15-20 Jahren. Seitdem gibt es keinen Vorteil Cloudflare zu nutzen, im Gegensatz, die Nachteile überwiegen.
Gegen Bots helfen WAF-Firewalls oder sauber eingestellte Failban-Regeln. Ich benutze seit vielen Jahren einen einfachen http-limiters:
https://codeberg.org/tomas-jakobs/http-limiter
Und wer wirklich so hochfreqentierte Websites braucht, um Content schnell z.B. in Asien oder in den USA zu verteilen, der ist mit dort vor Ort angemieteten Servern besser beraten.
ich wäre auch gerne ohne Cloudflare unterwegs. Nur leider wurde unsere kleine Hobbywebsite über Monate von massiven DDoS-Attacken geplagt. Wir haben mehrfach Scripte eingepflegt, nur um kurz darauf eine neue, angepasste Welle zu erleben.
DDoS-as-a-Service macht das freie Internet kaputt. Jetzt müssen wir mit den Nachteilen von Cloudflare leben oder offline gehen.
"Seitdem gibt es keinen Vorteil Cloudflare zu nutzen"
Irgendwie hast du dich noch nicht mit dem Cloudflare Produktportfolio beschäftigt. Es gibt viele Gründe Cloudflare zu nutzen: CDN, Botschutz, Tunnel…
Vor allem der super günstige Basis-DDoS Schutz ist ein No-Brainer. Wie willst du mit einer WAF und Failban gegen einen massiven DDoS-Angriff ankommen? So viele Server-Ressourcen und Bandbreite hast du sicher nicht.