1 คะแนน โดย GN⁺ 3 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เมื่อจุดตรวจสอบแบบแยกส่วน เช่น การเข้าสู่ระบบ การสมัคร และการชำระเงิน เพียงอย่างเดียวเริ่มแยกแยะระบบอัตโนมัติที่ใช้เบราว์เซอร์จริงและ JavaScript ได้ยากขึ้น Cloudflare จึงเปิดตัว Precursor ซึ่งวิเคราะห์ สัญญาณพฤติกรรมตลอดเส้นทางผู้ใช้ทั้งหมด อย่างต่อเนื่อง
  • แทรก JavaScript น้ำหนักเบาที่ประกอบขึ้นแบบไดนามิกลงใน HTML response เพื่อเก็บการเคลื่อนที่ของ pointer, กิจกรรมคีย์บอร์ด, focus และสถานะการแสดงผลของหน้า แล้วนำไปสะท้อนแบบเรียลไทม์ใน การประเมินที่ edge และระบบป้องกันบ็อตที่มีอยู่
  • การเคลื่อนไหวของข้อมือและความล่าช้าทางการรับรู้ อาการมือสั่น จังหวะของความเร็ว·ทิศทาง·การปรับแก้ เป็นสิ่งที่ระบบอัตโนมัติซึ่งมักมีการเคลื่อนที่เป็นเส้นตรง ความเร็วคงที่ หรือความแม่นยำสูงเกินไป ทำซ้ำได้ยากตลอดทั้งเซสชัน จึงกลายเป็นฐานสำหรับ การจำแนกระดับเซสชัน
  • ใช้การออกแบบแบบ คุ้มครองความเป็นส่วนตัว โดยไม่เก็บปุ่มที่พิมพ์จริง แต่เก็บเฉพาะ timing และ rhythm และไม่เชื่อมโยงสัญญาณพฤติกรรมกับบัญชีผู้ใช้หรือโปรไฟล์ถาวร รวมถึงไม่เปิดเผยโดยตรงในแดชบอร์ดของลูกค้า
  • ปัจจุบันกำลังทยอยเปิดใช้ในฐานะฟีเจอร์ Enterprise Bot Management และสามารถใช้งานได้ฟรีจนกว่าจะ GA ในช่วงปลายปีนี้ โดยใช้งานได้ทั้งแบบสังเกตการณ์เบื้องหลังหรือบังคับ Challenge กับเซสชันที่ยังไม่ได้ยืนยัน โดยไม่ต้องแก้ไขแอปพลิเคชัน

จากจุดตรวจสอบแยกส่วนสู่ทั้งเซสชัน

  • การป้องกันบ็อตเป็นการแข่งขันเชิงปฏิปักษ์ที่ผู้โจมตีปรับตัวและฝ่ายป้องกันตอบโต้ซ้ำไปมา โดย Cloudflare ใช้ทั้งการมองเห็นทั่วทั้งเครือข่ายและสัญญาณจากสภาพแวดล้อมฝั่งไคลเอนต์ร่วมกัน
    • วิเคราะห์คำขอมากกว่า 1 ล้านล้านรายการต่อวัน จากเครือข่ายทั่วโลก เพื่อทำความเข้าใจชื่อเสียง รูปแบบ และความผิดปกติในขอบเขตที่ครอบคลุมมากกว่า 20% ของเว็บ
    • Cloudflare Turnstile พัฒนาจากตัวทดแทน CAPTCHA ไปเป็น Challenge แบบ managed ตามความเสี่ยง ที่ปรับระดับ friction ที่จำเป็นต่อการยืนยันผู้ใช้ได้
  • Turnstile ถูกเรียกใช้ประมาณ 3 พันล้านครั้ง ต่อวันในจุดที่อ่อนไหว เช่น การเข้าสู่ระบบ การสมัคร และการชำระเงิน แต่ก่อนหน้านี้สามารถมองเห็นได้จำกัดว่ามนุษย์และบ็อตมีพฤติกรรมอย่างไรตลอดเส้นทางผู้ใช้ทั้งหมด รวมถึงช่วงระหว่างจุดเหล่านั้น
  • Precursor ถูกสร้างมาเพื่อเติมเต็มช่องว่างด้านการมองเห็นนี้ โดยเก็บสัญญาณพฤติกรรมฝั่งไคลเอนต์อย่างต่อเนื่องทั่วทั้งเว็บแอปพลิเคชัน และจำแนกในระดับเซสชัน
    • ขยายการตรวจจับฝั่งไคลเอนต์ที่ Challenge เคยให้ ไปสู่ทั้งแอปพลิเคชัน
    • ทำงานเสริมกับ Turnstile ได้ตามเลือก และทั้งสองฟีเจอร์รวมอยู่ใน Enterprise Bot Management

ความต่อเนื่องของพฤติกรรมที่เลียนแบบได้ยากกว่าช่วงเวลาสั้น ๆ

  • ระบบอัตโนมัติสมัยใหม่สามารถรัน JavaScript ใช้สภาพแวดล้อมเบราว์เซอร์จริง และผ่าน CAPTCHA รายตัวได้ จึงอาจดูเหมือนผู้ใช้ปกติในช่วงสั้น ๆ
  • การสร้างพฤติกรรมมนุษย์ให้สอดคล้องกันตลอดทั้งเซสชันนั้นยากกว่า และ Precursor ใช้ ความต่อเนื่องของพฤติกรรม นี้เป็นสัญญาณในการตรวจจับการฉ้อโกงและการใช้งานในทางที่ผิด
    • เพิ่มสัญญาณให้กับแต่ละการตัดสินใจมากขึ้น เพื่อเพิ่มความแม่นยำในการแยกมนุษย์ออกจากระบบอัตโนมัติ
    • ลดการพึ่งพา Challenge แบบเข้มงวด เพื่อลดการขัดจังหวะที่ไม่จำเป็นสำหรับผู้ใช้ปกติ
    • นักพัฒนาบ็อตต้องเลียนแบบทั้งเซสชัน ทำให้ต้นทุนในการสร้างและบำรุงรักษาระบบอัตโนมัติเพิ่มขึ้น และความน่าเชื่อถือของการดำเนินงานขนาดใหญ่ลดลง

ความผิดพลาดของมนุษย์และข้อจำกัดทางกายภาพ

  • นักพัฒนาบ็อตมักเพิ่ม Gaussian noise หรือความล่าช้าแบบสุ่มสม่ำเสมอให้กับการเคลื่อนเมาส์ แต่การเคลื่อนไหวของมนุษย์มีข้อจำกัดทางกายภาพและการรับรู้ที่มากกว่า noise ง่าย ๆ
    • แกนหมุนของข้อมือ: ช่วงการเคลื่อนไหวของข้อมือและการหมุนของท่อนแขนทำให้เมาส์มักเคลื่อนที่เป็นรูปโค้ง
    • ภาระทางการรับรู้: หลังจากเห็น checkbox แล้วจะเกิดความล่าช้าที่วัดได้ก่อนคลิก
    • อาการมือสั่น: แม้มือที่นิ่งก็ยังมีการสั่นตามความถี่ของอาการมือสั่นเชิงสรีรวิทยา
  • ระบบอัตโนมัติมักใช้การ interpolate เป็นเส้นตรงหรือเส้นโค้ง Bézier ที่สมบูรณ์แบบทางคณิตศาสตร์ และมีแนวโน้มคลิกด้วยความแม่นยำที่มนุษย์ทำซ้ำได้ยาก
  • ไลบรารีระบบอัตโนมัติตัวอย่างจะขยับเมาส์เป็นเส้นตรงสมบูรณ์ กลับไปยังจุดกำเนิดเสมอ และตอบสนองด้วยความเร็วเท่าเดิม
  • ในทางกลับกัน มนุษย์จะแสดงเส้นทางที่ไม่สม่ำเสมอ การปรับแก้เล็ก ๆ และการเลยเป้าหมาย รวมถึงการเปลี่ยนแปลงของความเร็ว·จังหวะเวลา·ทิศทาง แม้บนไซต์เดียวกัน
  • แม้การโต้ตอบรายครั้งอาจดูสมจริง แต่เมื่อดูทั้งเซสชันจะเห็นความแตกต่างของรูปแบบพฤติกรรม และ Precursor จะจับและประเมิน ลายเซ็นพฤติกรรม เหล่านี้ในระหว่างที่การโต้ตอบดำเนินต่อเนื่อง

การฉีดสคริปต์ฝั่งไคลเอนต์และการเก็บสัญญาณ

  • เมื่อเปิดใช้ Precursor จะมีการแทรก สคริปต์น้ำหนักเบา โดยอัตโนมัติลงใน HTML response ของไซต์ที่ผ่านเครือข่าย Cloudflare
    • ไม่ต้องตั้งค่าเพิ่มเติม ไม่ต้องมีการเชื่อมต่อเครือข่ายแยกต่างหาก และไม่ต้องฝังของบุคคลที่สาม
    • bundle มีขนาดเล็ก ถูกทำให้เข้าใจยาก และประกอบขึ้นแบบไดนามิกในแต่ละ response
    • ออกแบบมาไม่ให้รบกวน logic ของหน้าอื่น ๆ ในเว็บแอปพลิเคชันที่โฮสต์อยู่
  • สคริปต์จะใช้ event listener น้ำหนักเบาเพื่อจับการเคลื่อนที่ของ pointer, กิจกรรมคีย์บอร์ด, การเปลี่ยนแปลง focus และสถานะการแสดงผลของหน้า
    • serialize event เป็นรูปแบบบีบอัดและ buffer ไว้ในหน่วยความจำ
    • ข้อมูลที่สะสมใน buffer จะถูกส่งไปยังชั้นประเมินผลเป็นระยะ

การประเมินที่ edge และการตรวจสอบข้ามกัน

  • edge server จะ deserialize payload ของ Precursor ที่เข้ามาเป็นข้อมูลพฤติกรรม และรัน evaluator หลายตัวผ่าน dispatcher
  • evaluator แต่ละตัวสามารถอ่าน stream ของ Precursor ที่ต้องการและลงทะเบียนสัญญาณใน shared detection registry ได้
  • ไม่พึ่งพา event เดียว แต่ตรวจสอบข้อมูลต่างชนิดกันข้ามกัน
    • ตรวจสอบว่ากิจกรรม pointer สอดคล้องกับเวลาที่หน้าแสดงอยู่หรือไม่
    • ดูว่า event คีย์บอร์ดเกิดขึ้นเฉพาะเมื่อมี focus อยู่ใน text field หรือไม่
  • ข้อมูลที่เข้ามาอย่างต่อเนื่องจะถูกรวมเป็นสัญญาณตรวจจับแต่ละรายการ และนำไปใช้คำนวณค่าน้ำหนักการตรวจจับ

การสะสมระดับเซสชันและชั้นตรวจจับถัดไป

  • ข้อมูล Precursor ถูกสะสมใน ขอบเขตเซสชัน ดังนั้นแม้บ็อตจะ refresh หน้า หรือเริ่มใหม่จาก Challenge ใหม่ ก็ไม่สามารถรีเซ็ตลายเซ็นพฤติกรรมได้
  • metadata ของเซสชันยังถูกส่งต่อไปยังชั้นตรวจจับถัดไปด้วย
    • heuristic แบบ shadow mode และการวิเคราะห์เซสชัน
    • การเปรียบเทียบการเสร็จสิ้นที่คาดไว้กับการเสร็จสิ้นจริง
    • heuristic เกี่ยวกับ delinquency ของเซสชัน
  • ข้อมูลที่สังเกตจาก edge จะถูกบันทึกไว้เพื่อปรับปรุงการตรวจจับ และใช้ปรับ คะแนนบ็อต ของเซสชัน

การออกแบบเพื่อคุ้มครองความเป็นส่วนตัว

  • event listener เก็บเฉพาะ ข้อมูลขั้นต่ำ ที่จำเป็นต่อการแยกรูปแบบของมนุษย์ออกจากรูปแบบของระบบอัตโนมัติและการใช้งานในทางที่ผิด
    • ในกิจกรรมคีย์บอร์ด จะจับเฉพาะ timing และ rhythm ไม่ใช่ปุ่มที่กดจริง
    • ประเมินรูปแบบพฤติกรรมแบบรวม มากกว่าพฤติกรรมรายตัว
  • สัญญาณพฤติกรรมใช้ภายในระบบตรวจจับบ็อตของ Cloudflare เท่านั้น
    • ไม่เปิดเผยโดยตรงในแดชบอร์ดของลูกค้า
    • ไม่เชื่อมโยงกับบัญชีผู้ใช้ ตัวตนที่เข้าสู่ระบบ หรือโปรไฟล์ถาวร
  • ด้วยวิธีนี้จึงอัปเดตการประเมินพฤติกรรมได้อย่างต่อเนื่อง พร้อมลด friction ที่กระทบผู้ใช้ปกติ

Security Analytics แบบอิงเซสชัน

  • Security Analytics เพิ่ม มุมมองแบบอิงเซสชัน ที่แสดงเส้นทางผู้เยี่ยมชมทั้งหมด ไม่ใช่คำขอรายตัว
  • ในแดชบอร์ดสามารถตรวจสอบคำถามต่อไปนี้ได้
    1. เซสชันทั่วไปของไซต์มีหน้าตาอย่างไร
    2. จุดใดที่เบี่ยงเบนจากพฤติกรรมที่คาดไว้
    3. เซสชันใดแสดงสัญญาณของระบบอัตโนมัติตามกาลเวลา
  • พฤติกรรมระหว่างคำขอ ซึ่งการวิเคราะห์ระดับคำขอจับได้ยาก ก็กลายเป็นเป้าหมายการวิเคราะห์ด้วย
  • ข้อมูล Precursor ถูกส่งตรงไปยังคะแนนบ็อต การตัดสิน Challenge และกฎความปลอดภัยที่มีอยู่ ดังนั้นบริบทเซสชันที่เพิ่มเข้ามาสามารถนำไปใช้ในระบบป้องกันเดิมได้ทันที

การขยายในอนาคตและวิธีเปิดใช้งาน

  • Precursor เป็นรากฐานสำหรับขยายการตรวจจับบ็อตไปทั่วทั้งแอปพลิเคชัน และ Cloudflare วางแผนจะขยายต่อในด้านต่อไปนี้
    • ขอบเขตและความลึกของสัญญาณพฤติกรรมที่ใช้เพื่อความปลอดภัย
    • วิธีที่ข้อมูลระดับเซสชันส่งผลต่อการป้องกันของ Bot Management
    • วิธีใหม่ ๆ ในการทำ visualization และดำเนินการกับข้อมูลเซสชัน
  • เมื่อบ็อตพัฒนาขึ้น การตรวจจับก็ต้องออกจากจุดตรวจสอบที่แยกตัว และจัดการกับ กระแสกิจกรรมผู้ใช้ทั้งหมด
  • ปัจจุบันสามารถ เปิดใช้ Precursor แยกตาม zone ได้ในแดชบอร์ด Cloudflare และให้บริการฟรีจนกว่าจะเปิดตัว GA ในช่วงปลายปีนี้
  • สามารถเลือกความเข้มงวดของการยืนยันเซสชันได้สองวิธี
    • โหมด friction ต่ำจะสังเกตพฤติกรรมอยู่เบื้องหลัง
    • หากต้องการเซสชันที่ยืนยันครบถ้วน จะบังคับ Challenge เมื่อไม่มีเซสชันเดิม
  • เมื่อเปิดใช้ การป้องกันบ็อตที่มีอยู่จะแข็งแรงขึ้นทันที และไม่ต้องเปลี่ยนแอปพลิเคชัน
  • หากใช้งาน Bot Management หรือ Turnstile อยู่แล้ว ขอบเขตการตรวจจับจะขยายจากจุด Challenge เดิมไปครอบคลุมเซสชันส่วนที่เหลือและกิจกรรมระหว่างจุดป้องกันด้วย

1 ความคิดเห็น

 
GN⁺ 3 시간 전
ความคิดเห็นจาก Hacker News
  • การที่ Cloudflare กำลังวางตัวเป็น ผู้ตัดสินบอท ทั้งฝั่งบล็อกและอนุญาตนั้นน่ากังวล และดูไม่ดีต่อสุขภาพของอินเทอร์เน็ตโดยรวม

    • มองกลับกัน Cloudflare กำลังปูทางไปสู่ การจ่ายเงินเพื่อครอว์ล (pay for crawl) ซึ่งผมคิดว่าเป็นเป้าหมายที่สูงส่งและทะเยอทะยาน
      เราคร่ำครวญกันมาเกือบ 20 ปีแล้วว่าจำเป็นต้องมีวิธีตอบแทนผู้สร้างคอนเทนต์ที่ดีกว่าโฆษณา และนี่อาจเป็นคำตอบนั้นได้
      อีกทั้งยังมีเสียงวิจารณ์ต่อเนื่องว่า Anthropic และ OpenAI ถูกสร้างขึ้นบนคอนเทนต์ที่ขโมยมา ดังนั้นจะหวังได้ทั้งสองทางโดยไม่สนใจความเป็นจริงนี้ไม่ได้
    • การสร้างบริการคู่แข่งเป็นเรื่องของ คู่แข่งของ Cloudflare
    • Cloudflare แค่ให้ ชั้นการป้องกัน ที่สามารถเลือกเปิดใช้กับบริการที่ตนดำเนินการได้เท่านั้น
      ลำพังคำวิจารณ์แบบเหมารวมเช่นนี้ทำให้เข้าใจยากว่า ประเด็นคือขอบเขตที่ให้บริการกว้างเกินไป หรือมองว่าไม่มีใครให้บริการคล้ายกันเลยกันแน่
    • ก็เป็นแค่กิจกรรมทางธุรกิจธรรมดา และผู้บริโภคควร โหวตด้วยกระเป๋าเงิน ของตน
  • รู้สึกแปลกอยู่บ้างที่ Cloudflare ขายผลิตภัณฑ์เอเจนต์ไปพร้อมกับออกบริการที่ดูเหมือนจะ บล็อกการใช้เอเจนต์ บนเว็บ
    นอกจากเส้นทางเมาส์แล้วคงใช้สัญญาณอีกมากมาย แต่กับอุปกรณ์ป้อนข้อมูลที่ไม่ใช่แบบดั้งเดิม เช่น หน้าจอสัมผัสหรือ TrackPoint ของ ThinkPad การแยกแยะก็อาจยากอยู่แล้ว
    หากเข้าใจผิดว่าผู้ใช้เครื่องมือเมาส์เพื่อการเข้าถึงเป็นบอทก็เป็นเรื่องร้ายแรง แต่ถ้าทำข้อยกเว้นให้ ก็อาจกลายเป็นช่องทางเลี่ยงสำหรับการท่องเว็บของเอเจนต์ได้เช่นกัน
    ถึงอย่างนั้น ในแง่ของการลดการใช้งานในทางที่ผิดและสแปมจากบอทเอเจนต์ ก็แทบจะแน่นอนว่าเป็นทิศทางที่ดี

    • ถ้าแยก บอทดีและบอทไม่ดี ออกจากกัน ก็จะดูแปลกน้อยลง
      สามารถให้บริการสำหรับบอทที่ดีใช้ ขณะเดียวกันก็ช่วยบล็อกบอทที่ไม่ดีได้
      หากบอทเลียนแบบการเคลื่อนไหวของเมาส์อย่างงุ่มง่าม นั่นจะเป็นสัญญาณผิดปกติที่แรงมาก และถ้าเป็นบอทที่ดี ก็ควรทำตาม robots.txt และไม่ปกปิดว่าตนเป็นบอท
    • รู้สึกคล้ายกับ แก๊งอันธพาลที่ขายค่าคุ้มครอง ให้ร้านค้าอยู่หน่อย ๆ
  • hCaptcha ทำฟังก์ชันทั้งหมดนี้ไว้ตั้งแต่ 6 ปีก่อนแล้ว
    ไม่ได้แยกแค่มนุษย์กับบอท แต่ยังระบุได้ถึง พฤติกรรมคีย์บอร์ดและเมาส์ ที่ปรากฏเมื่อคนคนเดียวกันสร้างหลายบัญชีหรือทดลองใช้บัตรเครดิตหลายใบ
    ตอนที่ Cloudflare เปลี่ยนไปใช้ hCaptcha ในปี 2020 การตรวจจับการใช้ในทางที่ผิดแบบนี้ก็รวมอยู่ด้วย และตอนออกจาก hCaptcha ในปี 2022 ผมคิดว่าคงทำระบบของตัวเองไว้แล้ว

    • reCAPTCHA v3 ก็น่าจะคล้ายกันไม่ใช่หรือ จำได้ว่า การเฝ้าดูเงียบ ๆ ในเบื้องหลัง เป็นจุดขายหลักของมัน
  • ค้นหาคำว่าการเข้าถึงบนหน้านี้แล้วไม่เจอผลลัพธ์เลย ดังนั้น โหราศาสตร์การเคลื่อนไหวของเมาส์ แบบนี้ดูเหมือนจะกันคนตาบอดและผู้ใช้คีย์บอร์ดอย่างเดียวออกจากอินเทอร์เน็ตส่วนใหญ่โดยสิ้นเชิง

    • คนตาบอดและผู้ใช้คีย์บอร์ดอย่างเดียวมีแนวโน้มสูงที่จะถูกกีดกันออกจากอินเทอร์เน็ตแบบนิรนาม
      ถ้าล็อกอินแล้ว ยอมสละความเป็นนิรนาม ก็คงถูกมองว่าไม่ใช่บอท
    • การเคลื่อนไหวของเมาส์น่าจะเป็นหนึ่งในหลายสัญญาณที่ได้รับน้ำหนักอย่างเหมาะสม แต่ผมอยากเห็นฟีดแบ็กจากผู้ใช้กลุ่มนั้นจริง ๆ
    • Cloudflare บังคับผู้ใช้นอกโลกตะวันตกที่ไม่ได้อยู่ในรายการอนุญาตให้ระบุมอเตอร์ไซค์ครั้งละหลายนาทีอยู่แล้ว จึงไม่น่าจะกังวลมากนักเรื่อง การเข้าถึงของคนตาบอด ซึ่งเป็นคนส่วนน้อย
    • ในเอกสารมีข้อความ “Mouse movement is just one example of the signals Precursor evaluates” ปรากฏสามครั้ง กล่าวคือ การเคลื่อนไหวของเมาส์เป็นเพียงหนึ่งในหลายสัญญาณ
    • เหมือนกับการออกแบบบริการโดยยึดสมาร์ทโฟนเป็นศูนย์กลาง แล้วกีดกันผู้สูงอายุและผู้พิการที่ไม่มีสมาร์ทโฟน
      ในบางพื้นที่ หากไม่มีสมาร์ทโฟนก็เช็กอินเที่ยวบินไม่ได้ด้วยซ้ำ ทำให้ เดินทางไม่ได้เลย แต่คนส่วนใหญ่ก็ยอมรับว่าเป็นเรื่องปกติ
  • การตรวจจับเอเจนต์ เป็นสาขาที่เพิ่งก่อตัวขึ้น และจะสำคัญขึ้นมากในอนาคต
    ผลิตภัณฑ์ที่เกี่ยวข้องมี Foil(https://usefoil.com/), Kasada https://www.kasada.io/, DataDome(https://datadome.co/), Castle(https://castle.io/), Fingerprint(https://fingerprint.com/), HUMAN(http://humansecurity.com/), Google Cloud Fraud Defense(https://cloud.google.com/security/products/fraud-defense?hl=...) ซึ่งโดยพฤตินัยคือผู้สืบทอดของ reCAPTCHA และ Cloudflare Precursor
    การใช้งานหลักในปัจจุบันคือการป้องกัน credential stuffing อัตโนมัติ, การสร้างบัญชีปลอมและการใช้ทดลองใช้ฟรีในทางที่ผิดรวมถึงค่าใช้จ่าย Twilio SMS ที่ตามมา, การฉ้อโกงการชำระเงิน, การสแครปโดย LLM, และการกว้านซื้อตั๋วหรือรองเท้าผ้าใบแบบอัตโนมัติ
    อยากรู้ว่ากรณีใช้งานใดจะขับเคลื่อนความต้องการขององค์กร และหวังว่าจะไม่บล็อกเอเจนต์แบบเหมารวม แต่ตรวจจับแล้วส่งไปยัง เส้นทางสำหรับเอเจนต์โดยเฉพาะ เพื่อให้ท่องเว็บและทำงานแทนผู้ใช้ได้

    • ยังมีผลิตภัณฑ์ที่ทำให้การบล็อกบอทไร้ผล เช่น https://brightdata.com/, https://www.zenrows.com/, https://www.capsolver.com/, https://scrapfly.io/
      ให้บริการ IP บ้านเรือนหลายร้อยล้านรายการ, fingerprint ของเบราว์เซอร์ที่คล้ายมนุษย์, และไบนารีเบราว์เซอร์แบบกำหนดเอง พร้อมเลี่ยงผ่านอัตโนมัติเมื่อมี Turnstile, reCAPTCHA v3, Kasada, DataDome, AWS WAF ฯลฯ ปรากฏขึ้น
    • Darwinium(darwinium.com) ก็เป็นผลิตภัณฑ์คล้ายกัน
      โดยผสาน การทำโปรไฟล์กับความน่าจะเป็นในการเปลี่ยนขั้นตอน เพื่อให้สามารถกำหนดให้เฉพาะบางส่วนของสินทรัพย์ดิจิทัล เช่น การชำระเงินที่มีความเสี่ยงถูกปฏิเสธการจ่าย เรียกการยืนยันตัวตนเพิ่มเติมจากเอเจนต์หรือบล็อกได้
      ตอนนี้ Precursor ดูเหมือนจะเน้นไปที่การตรวจจับการสแครปที่ดึงเอกสารหลายฉบับจากไซต์เดียวกันมากกว่า
  • สงสัยว่าถ้าบอตหรือเอเจนต์เพิ่ม การสั่นไหวเล็ก ๆ เพื่อเลียนแบบการเคลื่อนไหวของเคอร์เซอร์ของมนุษย์ จะใช้อะไรป้องกันได้
    คงใช้สัญญาณอื่นด้วย แต่เฉพาะสัญญาณนี้ดูเหมือนว่าบอตที่ซับซ้อนขึ้นอีกนิดก็เลี่ยงได้ง่าย

    • ถ้าจะเลี่ยงเรื่องนี้ ต้องใช้ความซับซ้อนมาก ไม่ใช่แค่นิดหน่อย
      แค่การจัดกลุ่มด้วยแมชชีนเลิร์นนิงพื้นฐานก็แยกพฤติกรรมเมาส์·คีย์บอร์ด·การสัมผัสของบอตออกจากมนุษย์ได้ แต่ก็มีความเป็นไปได้สูงที่จะเลือกปฏิบัติกับผู้พิการที่ใช้ฟีเจอร์ช่วยเหลืออย่างการติดตามสายตา
      พฤติกรรมของคนที่ใช้มือข้างเดียวอาจแตกต่างจากผู้ใช้ทั่วไปมาก และในสหรัฐฯ ปัจจุบัน การบังคับใช้ ADA นอกพื้นที่ California·Illinois·NY ก็ยังอ่อนแอ
      บริษัทที่มีอิทธิพลสูงอย่าง Cloudflare ควรกรองอย่างระมัดระวัง เพื่อไม่ให้ผู้พิการตกเป็นเหยื่อของ การวิเคราะห์พฤติกรรม แบบนี้
      ไม่ควรโยนความรับผิดชอบว่า “เราให้แค่คะแนนความเป็นไปได้ว่าเป็นบอต ส่วน threshold แต่ละเว็บไซต์เป็นคนกำหนดเอง” แล้วบอกว่าการบล็อกผู้พิการเป็นเพราะเว็บไซต์ตั้ง threshold เข้มงวดเกินไป
      ในระดับขนาดนี้ ต้องรับผิดชอบไปถึงผลกระทบลำดับที่สองและสามของการตัดสินใจด้วย
      ข้อมูลนี้สามารถแยกแยะได้ไม่ใช่แค่บอต แต่ยังรวมถึงเพศ มือข้างถนัด อายุโดยประมาณ ภาษาแม่ตามรูปแบบการพิมพ์ อาการบาดเจ็บและกระบวนการฟื้นตัว ไปจนถึงความพิการทางจิตใจและร่างกาย
      จากวิธีนำทางในเว็บไซต์ยังสามารถประเมินได้ถึง ADHD, โรคจิตเภท, โรค Parkinson, การใช้ยา และผลของการรักษา ดังนั้นการเลียนแบบให้ตกอยู่ในคลัสเตอร์เดียวกับคนทั่วไปในทุกสัญญาณเหล่านี้จึงยากมาก
    • ต้องสังเคราะห์ไม่ใช่การสั่นไหวแบบสุ่มธรรมดา แต่เป็น การสั่นไหวที่คล้ายการเคลื่อนไหวของเคอร์เซอร์ของมนุษย์ จึงยากอย่างยิ่ง
    • สงสัยว่าในปี 2027 จะต้องใช้โทเคนไปมากแค่ไหนกับการสร้างการสั่นไหว การวางแผนล่วงหน้า การตรวจสอบภายหลัง และการตอบโต้การแก้ทางการสั่นไหวของ Cloudflare
    • ตั้งใจลองเอาชนะการจำแนกการสั่นไหวเพื่อทำให้ CAPTCHA ล้มเหลว แต่ไม่เคยสำเร็จสักครั้ง ถึงอย่างนั้นก็ยังลองต่อไปเรื่อย ๆ
    • ในทางเทคนิคไม่มีอะไรขวางไว้ แต่ Cloudflare มีข้อมูลการสั่นไหวจริงมากกว่ามาก จึงเสียเปรียบตั้งแต่ต้น
      ระยะสั้นอาจใช้ได้ แต่เมื่อเวลาผ่านไปจะเผยรูปแบบที่ชัดเจน และยังมีข้อมูลการสั่นไหวหลากหลายตามแต่ละไซต์และเลย์เอาต์ จึงจับ การเลียนแบบที่ทำขึ้นเอง ได้ง่าย
  • แม้แต่ผู้ใช้คนเดียวกัน การเคลื่อนไหวก็เปลี่ยนไปตามอุปกรณ์ป้อนข้อมูล
    บนพีซีที่ทำงานใช้เมาส์ บนแล็ปท็อปส่วนตัวใช้ทัชแพด และบนแล็ปท็อปที่ทำงานใช้ TrackPoint ของ ThinkPad จึงเกิด โปรไฟล์พฤติกรรมสามแบบ สำหรับคนคนเดียว
    คงต่างจากการเคลื่อนไหวของ AI แต่ถ้าลายนิ้วมือการเคลื่อนไหวของเมาส์กลายเป็นด่านอีกชั้น ก็น่าจะมีค่าผิดปกติที่น่าสนใจปรากฏขึ้นมากมาย

  • Cloudflare ไม่ควรทำเป็นว่ากำลังปกป้องอินเทอร์เน็ต
    https://developers.cloudflare.com/browser-run/quick-actions/...
    บริษัทนี้เหมือน บริษัทที่ขายบุหรี่ไปพร้อมกับสร้างโรงพยาบาล

  • รอวันที่ Cloudflare เอาข้อมูลสภาพข้อมือของฉันไปขายให้บริษัทประกันอยู่เลย นรกแห่ง การเฝ้าระวัง ที่เราสร้างกันเองนี่ช่างยอดเยี่ยมจริง ๆ

  • ช่วงหลัง ๆ เนื่องจาก false positive ของ Cloudflare มักเกิดกรณีที่เซสชันโหลดค้างอยู่อย่างนั้นและไม่ไปยังหน้าจริงบ่อยครั้ง
    กังวลว่าถ้าปล่อยโซลูชันใหม่ที่เหมือนเขียนด้วยความรู้สึกทุกวัน คุณภาพบริการก็อาจได้รับผลเสียด้วย

    • สาเหตุอาจเป็นอย่างใดอย่างหนึ่งระหว่าง user agent, IP address หรือ browser extension
    • ถูกตัดสินว่าเป็นเป้าหมายที่ต้องบล็อกบน Starlink บ่อยกว่าตอนใช้ไฟเบอร์ของ ISP ท้องถิ่นมาก