Offensichtlich klappt das nur mit dem richtigen Referer. Hab's mir gerade mit wget angeschaut.

Versuche A) Mit Referer von

• google (sic!)
• google.de
• google.com
• google.strzpx (sic!)
• strzprz.google.strzprtz (sic!)
• strzprzgooglestrzprtz (sic!)
• www.google.de

kommt die Webseite.

Versuche B) Ohne oder sogar mit dem Referer

• bing.com
• www.bing.com

kommt die Fehlerseite von Cloudflare mit Status 403. Ein Cookie hat keinen Einfluss. Nur ob im Referer die Zeichenfolge „google“ enthalten ist.

Demnach soll die Webseite nur dann abrufbar sein, wenn der Besucher über Google kommt. Warum die dann auf anderen Webseiten werben? Nun, das zu löschen kostet Zeit und also Geld. Warum nur Google? Kriminelle sind halt dumm. Eine Suchmaschine muss reichen!

Die Jungs und Mädels sind bestimmt leicht hackbar :-) Genau genommen hab ich da schon getan, als ich mit dem gefälschten Referer Zutritt bekam.

BTW: FpiepCK! Wieso sendet mein Chromium einen Referer?