Cloudflare Turnstile ต้องการ WebGL ซึ่งสามารถใช้เก็บลายนิ้วมืออุปกรณ์ได้

 (hacktivis.me)
1 คะแนน โดย GN⁺ 1 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • การตรวจสอบอุปกรณ์ “Verify you're human” ของ Cloudflare Turnstile วนซ้ำไม่สิ้นสุดบนเบราว์เซอร์ที่ใช้ WebKitGTK มาประมาณหนึ่งสัปดาห์แล้ว
  • สาเหตุโดยตรงที่ทำให้เข้าเว็บไซต์หลายแห่งไม่ได้ ดูเหมือนจะเป็นพฤติกรรมที่ Cloudflare พยายามดึงลายนิ้วมืออุปกรณ์ผ่าน WebGL
  • คำอธิบายของ Turnstile ระบุว่าใช้ การเก็บลายนิ้วมือเบราว์เซอร์ เพื่อตรวจสอบว่าเป็นมนุษย์หรือไม่ และเครื่องมือสำหรับบล็อกหรือสุ่มข้อมูลอาจทำให้ดูเหมือนบอต
  • WebKit บล็อกความสามารถลักษณะนี้มาหลายปีแล้ว และดูเหมือนจะไม่ใช่ตัวเลือกความเป็นส่วนตัวที่ผู้ใช้ปิดได้ง่าย
  • คาดว่า Safari อาจได้รับการยกเว้น ขณะที่ เบราว์เซอร์ WebKitGTK ทั้งหมด ถูกบล็อก และผู้ใช้ Firefox ที่เปิดการป้องกันความเป็นส่วนตัวก็อาจได้รับผลกระทบด้วย

การตรวจสอบ Turnstile ที่วนซ้ำบน WebKitGTK

  • การตรวจสอบอุปกรณ์ “Verify you're human” ของ Cloudflare Turnstile วนซ้ำไม่สิ้นสุดบน เบราว์เซอร์ที่ใช้ WebKitGTK มาประมาณหนึ่งสัปดาห์แล้ว และทำให้ไม่สามารถเข้าเว็บไซต์หลายแห่งได้
  • สาเหตุของการบล็อกการเข้าถึง ดูเหมือนจะเป็นพฤติกรรมที่ Cloudflare พยายามดึงลายนิ้วมืออุปกรณ์ผ่าน WebGL
  • ข้อความแนะนำของ Turnstile ระบุว่าใช้การเก็บลายนิ้วมือเบราว์เซอร์เพื่อตรวจสอบว่าเป็นมนุษย์หรือไม่
  • เครื่องมือความเป็นส่วนตัวที่บล็อกหรือสุ่มข้อมูลลายนิ้วมือ อาจทำให้เบราว์เซอร์ดูเหมือนบอตที่พยายามซ่อนตัวตน
  • WebKit บล็อกความสามารถลักษณะนี้มาหลายปีแล้ว และดูเหมือนจะไม่ใช่ฟีเจอร์ความเป็นส่วนตัวที่ปิดใช้งานได้ง่าย
  • ขณะที่คาดว่า Cloudflare อาจยกเว้นให้ Safari แต่เบราว์เซอร์ WebKitGTK ทั้งหมดกลับอยู่ในสภาพถูกบล็อก

พฤติกรรมการป้องกันที่เกี่ยวข้องของ Firefox

  • การป้องกันการเก็บลายนิ้วมือ WebGL ของ Mozilla Firefox มีประเด็น Bugzilla#1916271: Gecko reveals sanitized GPU Characteristics; webkit and blink return hardcoded strings for all users
  • privacy.resistfingerprinting จะไม่ถูกเปิดใช้งานแม้เลือก “Strict” หรือ “Enhanced Privacy Protection” ในการตั้งค่า
  • ผู้ใช้ Firefox ที่เน้นความเป็นส่วนตัวและเปิด privacy.resistfingerprinting เอง อาจมีโอกาสไม่ผ่านการตรวจสอบอุปกรณ์ของ Cloudflare ในอนาคต

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 1 시간 전
ความเห็นจาก Hacker News

  • เป็นที่รู้กันว่า Cloudflare ใช้ การเก็บลายนิ้วมือเบราว์เซอร์ เพื่อตรวจจับสแครปเปอร์ ตัวอย่างเช่น เทียบลายนิ้วมือ JA3 กับ user agent เพื่อบล็อกพวกอย่าง cURL แต่อนุญาต OkHttp (ไคลเอนต์ Android) แม้ว่าจะปลอมแปลงได้ง่ายด้วยแพ็กเกจอย่าง CycleTLS [1]
    ไม่อยากออกมาปกป้องมันนัก เพราะมันเอา “การป้องกันบอต” ไปขวางอินเทอร์เน็ตส่วนใหญ่มหาศาล แต่ถ้าไม่ใช้ proof-of-work (PoW) การเก็บลายนิ้วมือก็อาจเป็นวิธีที่ใช้ได้จริง และผลก็คือความเป็นส่วนตัวของทุกคนที่เกี่ยวข้องพังยับทั้งหมด
    Cromite ซึ่งเป็นฟอร์กของ Chromium สำหรับ Android ที่เน้นความเป็นส่วนตัว มีปัญหากับ Cloudflare Turnstile มาโดยตลอด [2] เพราะ Cloudflare เก็บลายนิ้วมือหลายรูปแบบเพื่อให้ผ่านแชลเลนจ์
    ถ้าจะหาทางแก้ ต้องเข้าร่วมโปรแกรม Cloudflare Browser Developer ซึ่งต้องเซ็น NDA และดูสมเหตุสมผลแล้วที่ผู้ดูแลโครงการปฏิเสธ
    ถ้าอยากเห็นว่า Cloudflare ขุดลึกเรื่องลายนิ้วมือเบราว์เซอร์แค่ไหน ให้ดูใน issue [2] ว่าต้องปิดแฟลกอะไรบ้างเพื่อให้ผ่านแชลเลนจ์ อย่างน้อย Cloudflare ก็น่าจะยืดหยุ่นพอที่จะ เปลี่ยนไปใช้ proof-of-work แทนการบล็อกคนไม่ให้ส่งฟอร์มหรือเข้าเว็บไซต์ไปเลย
    [1]: https://github.com/Danny-Dasilva/CycleTLS
    [2]: https://github.com/uazo/cromite/issues/2365

    • “การป้องกันบอต” ของ Cloudflare ไม่ได้ขวางแค่อินเทอร์เน็ตส่วนใหญ่ แต่ขวาง คนจำนวนมาก ด้วย แนวโน้มที่เอาการควบคุมสิทธิ์เข้าถึงเว็บไซต์ไปจ้างบริษัทเดียวแบบไม่คิดหน้าคิดหลังนั้นน่ากังวลมาก
    • การป้องกันบอต ที่อิงกับการเก็บลายนิ้วมือแทบจะเป็นภาพลวงตา สัญญาณฝั่งไคลเอนต์ปลอมได้ถ้าเก่งกว่าค่าเฉลี่ยเล็กน้อย และการเก็บลายนิ้วมือก็เป็นเพียงเครื่องมือรวมศูนย์ตลาดเพื่อธุรกิจโฆษณา
      การให้ชื่อเสียงกับ IP บ้านพักอาศัยและช่วง IP เชิงพาณิชย์อาจเป็นอีกวิธีหนึ่งที่จะให้ผลตามต้องการ มันจะทำให้ผู้ให้บริการระวังการใช้งาน IP ในทางที่ผิดมากขึ้นมาก แต่ถ้าเป็นแบบนั้น ธุรกิจ DDoS ของทั้งฝั่งโจมตีและป้องกันก็อาจพังไปพร้อมกัน
      น่าขันที่มีหลายบริษัทลงทุนทั้งสร้างบอตของตัวเอง และลงทุนกับวิธีบล็อกบอตของบริษัทอื่นในเวลาเดียวกัน
    • การป้องกันการสแครปของ Cloudflare ก็ประมาณ แม่กุญแจราคา 5 ดอลลาร์ เท่านั้น เลยเป็นงานเสียเปล่าทั้งหมด มันอาจกันวัยรุ่นขี้เบื่อได้ แต่กันแม้แต่หัวขโมยสมัครเล่นก็ยังไม่ไหว และถ้าใครอยากสแครปข้อมูลสาธารณะจริง ๆ สุดท้ายก็สแครปไปได้อยู่ดี ไม่มีทางหยุดได้
    • การเก็บลายนิ้วมือ เพื่อ “ป้องกันบอต” แยกไม่ออกจากการเก็บลายนิ้วมือเพื่อการสอดส่องมวลชน
    • อยากให้มีการอธิบายเพิ่มว่าทำไม proof-of-work ถึงเป็นฝันร้ายด้านสิ่งแวดล้อม ลองคำนวณคร่าว ๆ แล้วดูไม่ใช่ปัญหาใหญ่นัก
      ให้โหลด 5W เป็นเวลา 2 วินาทีก็เท่ากับ 0.002Wh และเพราะสมาร์ตโฟนก็ต้องผ่านได้ จึงไม่สามารถบังคับ proof-of-work ที่กินเวลาหลายสิบวินาทีได้ ต่อให้ตรวจวันละ 8 พันล้านครั้งตลอด 1 ปีก็ยังแค่ 8GWh

  • มีเหตุผลที่ privacy.resistfingerprinting ไม่เปิดแม้จะเลือก “Strict” “Enhanced Privacy Protection” ฉันเคยเปิดใช้อยู่พักใหญ่ แต่เว็บไซต์พังแปลก ๆ จนต้องปิดตลอดและต้องเพิ่มทางอ้อมเลี่ยงด้วย
    การจัดการเขตเวลา ของบางเว็บไซต์เพี้ยนจนเกือบพลาดนัดไปหลายครั้ง ถ้าจะบอกผู้ใช้ว่า Firefox ไม่ได้พัง ก็คงต้องมีแบนเนอร์ถาวรประมาณว่า “ถ้าเว็บไซต์พังหรือมีอาการเพี้ยนแปลก ๆ หรือเวลาในคอมพิวเตอร์ผิด หรือฟอนต์ดูแปลก หรือวิดีโอบางครั้งไม่เล่น ให้กดที่นี่เพื่อปิดการป้องกันลายนิ้วมือ”
    ที่น่าสนใจคือ Turnstile พังเมื่อใช้ resistfingerprinting แต่ใช้ได้กับ fingerprintingProtection ดูเหมือนอย่างหลังจะคำนึงถึงสถานการณ์ห่วย ๆ แบบนี้ไว้

    • อาจพอรับได้ถ้านั่นเป็นเหตุผลที่ไม่เปิดเป็นค่าเริ่มต้น แต่เป็นเหตุผลที่แย่มากถ้าจะไม่เปิดแม้กระทั่งใน การตั้งค่า Strict
      ในโหมด Strict เราคาดได้ระดับหนึ่งว่าเว็บอาจพัง แต่ไม่ได้คาดว่าจะยังเปิดช่องทางติดตามไว้กว้างขนาดนั้น มันให้ความรู้สึกเหมือนหลอกลวง

  • ฉันดูแลเบราว์เซอร์ส่วนน้อยตัวหนึ่งอยู่[0] และตั้งแต่ไม่กี่สัปดาห์ก่อน ผู้ใช้หลายคนก็เจอปัญหานี้[1] ตอนนี้ยังไม่คิดว่าเป็นบั๊กของเบราว์เซอร์ แต่แน่นอนว่าอาจมีบั๊กที่เกี่ยวข้องอยู่ และอยากให้มีคนช่วยดูมากขึ้น จึงต้องการไอเดียและความช่วยเหลือในการปรับปรุงหรือบรรเทาสถานการณ์
    [0]: https://konform-browser.codeberg.page/
    [1]: ไม่รู้ว่าเป็นคนส่วนใหญ่หรือทั้งหมด ตอนนี้อาศัยรายงานจากผู้ใช้และการทดสอบของตัวเองเพราะไม่มี telemetry

  • “ถ้าคุณโดนจับได้ว่าปลอมตัว แปลว่าคุณปลอมตัวยังไม่แนบเนียนพอ”
    สงครามกับบอต อันโง่เขลานี้กำลังพาอินเทอร์เน็ตสู่ความเสื่อม และสุดท้ายจะทำให้มันกลายเป็นสวนปิดอีกแห่งที่อนุญาตเฉพาะเอเจนต์ที่ “ได้รับการรับรอง” และเป็นศัตรูกับผู้ใช้ อย่าไปหลงเชื่อคำพูดไร้สาระเรื่อง “AI scraper” มันเป็นแค่เครื่องมือสร้างความยินยอมเท่านั้น

    • ถ้าบอตถล่มเซิร์ฟเวอร์ ก็แค่ทำ rate limit ถ้าเป็นคอนเทนต์ที่ไม่อยากให้คนอื่นเข้าถึง ก็อย่าเสิร์ฟผ่านเว็บเซิร์ฟเวอร์

  • Google กับ Cloudflare ตกลงอะไรกันหรือเปล่าว่าจะทำให้ เบราว์เซอร์ที่ไม่ใช่ Chrome ใช้งานยากขึ้น? แรงกดดันให้ใช้ Chrome มีแต่เพิ่มขึ้น และสิ่งที่ทำได้ในการกรองโฆษณาบน Chrome ก็ลดลงเรื่อย ๆ

    • น่าจะเป็นเพียงผลลัพธ์ตามธรรมชาติอย่างหนึ่งจากการที่ Chrome เป็นเบราว์เซอร์ยอดนิยมที่สุดบนเว็บ เพราะทราฟฟิกปกติส่วนใหญ่ก็มาจาก Chrome
    • ตอนออกจาก Cloudflare เมื่อ 5 ปีก่อน เบราว์เซอร์ที่ได้รับอนุมัติให้ใช้ภายในมีแค่ Chrome เท่านั้น
    • ยังไม่จบแค่นั้น: https://blog.cloudflare.com/eliminating-captchas-on-iphones-...

  • ถ้าคุณซ่อนอะไรบางอย่าง คุณก็จะถูกจัดเข้ากลุ่ม “เอเจนต์ที่มีเหตุผลจะต้องซ่อน” โดยอัตโนมัติ
    พูดให้ชัด นี่แหละคือปัญหาหลัก เมื่ออินเทอร์เน็ตจำนวนมากขนาดนั้นวิ่งผ่าน Cloudflare ก็ควรมี สัญญาณทางเลือก ที่เพียงพอในการแสดงว่าคุณไม่ใช่ผู้ประสงค์ร้าย มากกว่าจะยึดติดกับสัญญาณใดสัญญาณหนึ่ง
    อย่างไรก็ตาม เพราะแทบไม่มีผู้ใช้ในระบบที่ใช้การตั้งค่าเดียวกัน อาจต้องใช้เวลาอีกนานมากกว่าจะได้วิธีแก้จริง

  • พวกเขาพูดว่า “ดูเหมือนคุณพยายามซ่อนตัวตน” แต่แต่แรกพวกเขาก็ไม่มีสิทธิ์จะเรียกร้องสิ่งนั้นอยู่แล้ว

    • ถ้าตามตรรกะเดียวกัน คุณก็ไม่มีสิทธิ์ดูเนื้อหาบนเว็บไซต์เหมือนกัน

  • ฉันไม่เคยรู้จัก privacy.resistfingerprinting มาก่อน จากนี้ไปฉันคงปล่อยให้ Cloudflare Turnstile ล้มเหลวทั้งหมด

    • Turnstile ก็ยังทำงานได้ดีแม้จะเปิดมันไว้

  • การตั้งค่า privacy.resistfingerprinting มีไว้สำหรับ Tor Browser

    • ใน Tor Browser มันเปิดไว้เป็นค่าเริ่มต้น และไม่แน่ใจด้วยซ้ำว่าปิดได้ไหม
      มันก็เปิดเป็นค่าเริ่มต้นเช่นกันใน Konform Browser และ Mullvad Browser ซึ่งนำแพตช์ด้านความเป็นส่วนตัวและความปลอดภัยของ Tor Browser มาใช้จำนวนมาก

  • ฉันชอบคำกล่าวในแวดวงอาชญากรรมที่ว่า ถ้าประชากร X% กำลังละเมิดกฎหมายข้อหนึ่งอยู่ กฎหมายข้อนั้นก็ควรถูกยกเลิก ยาเสพติดเพื่อสันทนาการเป็นตัวอย่างที่ชัดเจน
    ถ้า การเรนเดอร์ canvas แบบสุ่ม ถูกจัดการว่าเป็นพฤติกรรมบอต แต่ตอนนี้ทุกคนที่ใช้ Firefox ก็ทำกันหมดแล้ว บางที Cloudflare ก็ควร “ทำให้ถูกกฎหมาย” ไปเลยหรือเปล่า