Google Cloud Fraud Defense hanyalah WEI dengan kemasan baru

 (privatecaptcha.com)
1 poin oleh GN⁺ 1 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Google Cloud Fraud Defense diumumkan pada 2026 sebagai “evolusi berikutnya dari reCAPTCHA”, tetapi intinya bertumpu pada infrastruktur pembuktian perangkat yang sama seperti Web Environment Integrity yang ditarik kembali pada 2023
  • Tantangan QR pada Fraud Defense bekerja dengan meminta pengguna memindai kode menggunakan ponsel, lalu memverifikasi perangkat melalui Play Integrity API dan mengembalikan hasilnya ke situs asal sebagai bukti keberadaan manusia
  • Perangkat keras yang dapat lolos dibatasi pada perangkat Android terbaru dengan Google Play Services terpasang atau iPhone/iPad terbaru, sehingga opsi seperti GrapheneOS, LineageOS for microG, dan Firefox for Android pada dasarnya dikecualikan
  • Tantangan QR dapat dilewati dengan menaruh kamera di depan layar, dan perangkat Android yang kompatibel juga bisa dibeli sekitar $30, sehingga sulit menjadi hambatan besar bagi bot farm profesional
  • Setiap kali tantangan berhasil, Google menerima sinyal bahwa “perangkat terverifikasi mengakses situs tertentu pada waktu tertentu”, yang dapat menciptakan informasi atribusi lintas sesi dan browser

Kaitan antara Google Cloud Fraud Defense dan WEI

  • Pada Mei 2026, Google mengumumkan Google Cloud Fraud Defense sebagai “evolusi berikutnya dari reCAPTCHA”, dan memperkenalkan tantangan di mana pengguna membuktikan keberadaan manusia dengan memindai kode QR memakai ponsel
  • Pada 2023, insinyur Google Yoav Weiss mengajukan Web Environment Integrity ke proyek Chromium
    • Strukturnya memungkinkan browser menandatangani bukti kriptografis pada perangkat keras agar dapat membuktikan bahwa browser tidak dimodifikasi dan berjalan di perangkat keras yang disertifikasi Google
    • Situs web bisa memverifikasi tanda tangan ini untuk memutuskan apakah konten diberikan tanpa hambatan atau perlu meminta tantangan tambahan
    • Alasan resmi proposal ini adalah melindungi integritas web dari bot dan scraping otomatis
  • Mozilla mengeluarkan posisi resmi dalam hitungan hari, menilai proposal ini “bertentangan dengan kepentingan pengguna” dan “menciptakan internet bergaya gerbang yang dikendalikan vendor OS dan perangkat”
  • Electronic Frontier Foundation menyebutnya sebagai “rencana DRM web milik Chrome”, dan menilai bahwa secara desain hanya Chrome yang berjalan di Android atau perangkat keras tersertifikasi yang dapat dengan mudah lolos pembuktian, sehingga trafik akan terdorong ke ekosistem Google
  • Tiga minggu setelah diumumkan, Google menarik WEI dan thread GitHub Chromium ditutup, tetapi pada 2026 infrastruktur pembuktian perangkat yang sama diluncurkan sebagai dasar produk komersial melalui Fraud Defense

Mekanisme nyata tantangan kode QR

  • Tantangan Fraud Defense bekerja dengan menampilkan kode QR di situs web yang kemudian dipindai pengguna dengan kamera ponsel
  • Ponsel diverifikasi melalui Play Integrity API milik Google, yang memastikan bahwa perangkat tersebut adalah perangkat keras terverifikasi
  • Hasil verifikasi itu lalu dikirim kembali ke situs asal dan digunakan sebagai bukti keberadaan manusia
  • Halaman persyaratan Fraud Defense menetapkan perangkat keras yang dapat lolos sebagai “perangkat Android terbaru dengan Google Play Services terpasang atau iPhone/iPad terbaru”
  • Google Play Services adalah lapisan perangkat lunak sumber tertutup milik Google yang berjalan pada perangkat Android tersertifikasi, dan menyediakan Play Integrity API untuk membuktikan bahwa perangkat tidak dimodifikasi dan telah disetujui Google
  • Perangkat tanpa Play Services tidak dapat memenuhi tingkat pemeriksaan Play Integrity yang diminta Fraud Defense, dan syarat ini sendiri berfungsi sebagai mekanisme inti Fraud Defense
  • Dalam proses peninjauan standar, WEI mengharuskan Google membela mekanisme ini secara terbuka dan akhirnya ditarik setelah mendapat penolakan, sedangkan Fraud Defense langsung dirilis sebagai layanan komersial yang dapat digunakan organisasi dengan akun berbayar Google Cloud

Bypass kode QR dan risiko phishing

  • Tantangan kode QR dapat dilewati secara mekanis oleh operator bot dengan menempatkan kamera di depan layar
  • Bahkan untuk tugas yang membutuhkan bukti Play Integrity, perangkat Android yang kompatibel bisa dibeli sekitar $30; contohnya $29.88 Motorola Moto g 2025
  • Bagi bot farm profesional yang membeli perangkat dalam jumlah besar, biaya ini mendekati biaya tetap yang tidak benar-benar menghambat operasi
  • Dalam thread HN, seorang pakar respons insiden menyuarakan kekhawatiran bahwa secara realistis sulit mengajari “Susan dari HR” membedakan kode QR Google Captcha yang asli dari kode QR phishing yang berbahaya
  • Tantangan QR melatih pengguna untuk memindai kode demi mengakses situs web, dan kampanye phishing dapat langsung mengeksploitasi kebiasaan ini

Perbedaan dari autentikasi QR dan pembuktian perangkat yang sudah ada

  • iOS App Attestation memverifikasi bahwa aplikasi dipasang melalui App Store dan tidak dimodifikasi
  • Mengelola aplikasi di dalam ekosistem tertutup yang dipilih pengguna iPhone berbeda sifatnya dari memberi syarat akses URL di penjelajahan web terbuka pada perangkat keras yang disertifikasi perusahaan swasta
  • Belum ada preseden penerapan seperti ini pada internet terbuka; app store adalah ekosistem opsional dengan syarat yang eksplisit, sedangkan web tidak dirancang dengan prasyarat perangkat keras
  • Autentikasi berbasis QR juga sudah ada
    • Smart ID di Estonia menggunakan kode QR untuk memverifikasi pengguna pada sumber daya dengan batas dan ruang lingkup persetujuan yang jelas, seperti portal perbankan, layanan pemerintah, dan catatan kesehatan
    • Pengguna memilih untuk melakukan autentikasi, sumber daya yang dilindungi didefinisikan sebelumnya, dan cakupannya jelas
  • Google Cloud Fraud Defense memungkinkan pembuktian perangkat diterapkan di web terbuka pada URL apa pun yang ditetapkan operator sebagai gerbang
  • Pendekatan ini tidak memiliki struktur persetujuan yang setara maupun pembatasan tujuan, dan pengguna mungkin sulit menyadari bahwa identitas perangkat keras mereka bekerja seperti kredensial akses

Pengecualian terhadap pengguna yang peduli privasi

  • Pembuktian Play Integrity Google memerlukan Google Play Services
  • GrapheneOS adalah fork Android yang diperkuat keamanannya dan secara default tidak menyertakan Play Services; EFF merekomendasikannya dan jurnalis, pengacara, serta aktivis menggunakannya dalam lingkungan berisiko tinggi
  • GrapheneOS mendukung lapisan kompatibilitas sandbox untuk menjalankan sebagian fungsi Play Services, tetapi tidak dapat memenuhi tingkat Play Integrity MEETS_DEVICE_INTEGRITY yang disyaratkan Fraud Defense
  • Distribusi Android berorientasi privasi LineageOS for microG, yang dibuat untuk pengguna yang menginginkan alternatif open source, juga gagal karena alasan yang sama
  • Semua custom ROM selain yang menyertakan Play Services tidak dapat lolos persyaratan Fraud Defense
  • Firefox for Android tidak terlihat dalam daftar dukungan browser Fraud Defense yang disebutkan Google
  • Firefox memang tidak mengintegrasikan Google Play Integrity secara desain, dan penolakan Mozilla terhadap pembuktian perangkat pada 2023 sudah jelas serta tetap konsisten hingga kini
  • Akibatnya, di antara browser mobile utama, pengguna Firefox yang memprioritaskan privasi pada dasarnya dikecualikan dari akses terverifikasi bukan karena mereka bot, melainkan karena mereka menggunakan perangkat lunak yang menolak ikut serta dalam arsitektur sertifikasi Google

Masalah pelacakan yang “normal”

  • Setiap kali tantangan Fraud Defense berhasil, Google menerima sinyal bahwa “perangkat terverifikasi ini mengakses situs ini pada waktu ini”
  • Pembuktian perangkat bukan hanya berfungsi untuk memblokir atau mengizinkan akses, tetapi juga menghasilkan informasi atribusi
  • Perangkat dengan identitas perangkat keras yang stabil dapat menciptakan pengenal persisten yang melintasi sesi, browser, dan mode penjelajahan privat
  • Perusahaan yang menentukan perangkat keras mana yang “normal” juga akan mengumpulkan catatan berkelanjutan tentang ke mana perangkat keras itu bergerak di web terbuka
  • Ini bukan efek samping dari pertahanan terhadap penipuan, melainkan keputusan struktural untuk mengikat verifikasi pada identitas perangkat tersertifikasi

Pendekatan proof-of-work yang diajukan sebagai alternatif

  • Private Captcha dan sistem proof-of-work serupa menerbitkan tantangan kriptografis yang membutuhkan upaya komputasi
  • Biaya bagi satu pengguna untuk menyelesaikan satu tantangan sangat kecil
  • Bot farm yang menjalankan banyak sesi bersamaan akan menghadapi biaya komputasi yang meningkat pada setiap upaya tambahan
  • Agen AI yang beroperasi dengan menghabiskan siklus GPU juga menerima penalti biaya yang sama, terlepas dari seberapa canggih kemampuan inferensinya
  • Pendekatan ini tidak mengirimkan pengenal perangkat keras, tidak membutuhkan pembuktian identitas, dan tidak menambahkan lapisan sertifikasi yang menentukan siapa yang boleh berpartisipasi
  • Privasi pengguna dijaga secara struktural, bukan sekadar dijanjikan

Bacaan terkait

1 komentar

 
GN⁺ 1 jam lalu
Komentar Hacker News

  • Ini sudah diperkirakan sejak lama. Komputer lebih jago memecahkan CAPTCHA daripada manusia, dan manusia bisa dibayar atau dibujuk masuk ke botnet, jadi daftar izin IP juga tidak berguna.
    Sekarang memang ada banyak pelacakan sidik jari dan analisis perilaku, tetapi pemerintah sedang mengatur area itu. YouTube juga pernah punya masalah penipuan iklan skala besar, di mana iklan diputar di latar belakang pada video tersemat, jadi jelas deteksinya belum memadai.
    Tidak banyak cara yang bagus untuk membuktikan bahwa sesuatu bukan bot, dan cara yang tidak melibatkan verifikasi identitas jumlahnya lebih sedikit lagi. Pendekatan opt-in ini untuk sementara mungkin membantu melempar tanggung jawab ke masing-masing web store, tetapi dalam jangka panjang internet terbuka yang berpusat pada manusia tampaknya akan hilang atau terkunci di balik verifikasi berbasis bukti seperti ini.
    Apple beberapa tahun lalu sudah memasukkan attestation jarak jauh ke Safari bersama Cloudflare, dan sekarang Google melangkah lebih jauh. Pendekatan Apple kurang efektif terhadap bot yang benar-benar mengoperasikan browser, bukan sekadar alat otomasi skrip.
    Untungnya, pendekatan saat ini terutama menargetkan toko, jadi masih bisa diakali dengan berbelanja di toko lain. Tetapi kalau toko-toko sadar bahwa ada ratusan ponsel di click farm yang hanya dipakai menekan konten jarak jauh, adopsinya juga bisa jadi terbatas.
    Mungkin masih butuh beberapa tahun sebelum ini menyebar luas, tetapi kecuali AI tiba-tiba berhenti dipakai secara luas, pada akhirnya tampaknya akan sulit dihindari.

    • Menarik bahwa CAPTCHA awalnya populer sebagai tes Turing terbalik, tetapi sekarang secara praktik sudah seperti varian Proof of Work.
      Dulu Google memang cerdik karena memakainya untuk meningkatkan model OCR, dan itu benar-benar berguna, tetapi sekarang sulit melihat manfaat apa yang keluar dari “pekerjaan” yang dibuktikan itu.
    • Sulit juga percaya ini tidak akan bisa dilewati dengan membayar orang untuk memindai kode QR dan memalsukan lokasi.
    • Saya penasaran bentuk konkret “membayar orang” itu seperti apa. Bisa dapat berapa, harus melakukan apa, apakah cukup mencolokkan kotak kecil ke jaringan lalu melupakannya.
      Saya juga penasaran apakah ada ruang negosiasi kalau dicabut sebelum pembayaran berikutnya. Saya tanya untuk teman yang ingin menghindari jual plasma demi bertahan hidup.
    • Secara pribadi saya rasa lebih mudah mendeteksi sesi browser yang dikendalikan LLM. Orang yang menyebarkan itu biasanya jauh lebih naif dan kurang pengalaman dibanding kubu scraper atau crawler tradisional.
      Saya ingin menyisipkan meme “kan kamu tidak akan membawa Zip Bomb 40 petabyte ke sekolah?”.
    • Tergantung struktur biayanya, tetapi Google kemungkinan pada akhirnya kalah seperti anti-cheat game. Kalau sudah ada alat yang mem-parsing gambar layar dan mengirim input seolah perangkat USB, praktis tidak ada lagi yang bisa dideteksi.
      Untuk halaman web, ini tampak jauh lebih mudah dilakukan daripada pada video game.

  • Dari “Don’t be evil” berubah menjadi perusahaan yang membangun sistem pengawasan terbesar dan paling intrusif di dunia.
    Bahkan sebelum ini pun sudah begitu, tetapi kasus ini menunjukkan bahwa bagi Google, pelacakan tidak pernah cukup. Google akan terus berusaha melacak aktivitas online semua orang lebih jauh, dan akan memakai setiap alat yang bisa dipakai.

    • Bukan entitas abstrak bernama Google, melainkan ada orang-orang nyata yang memikirkan dan mendorong ide ini.
      Perusahaan jangan dilihat sebagai entitas abstrak saja, tetapi sebagai kumpulan orang sakit yang membuat keputusan seperti ini.

  • Tiga tautan HN yang saya klik berturut-turut sepertinya semuanya menuju tulisan buatan LLM. Saya tidak menentang AI itu sendiri, tetapi lelah melihat pemikiran dan ekspresi manusia diam-diam digantikan.

    • Saya sering melihat sikap “ini jelas dibuat AI”, tetapi saya penasaran kenapa terlihat begitu. Apa yang membuat sesuatu tampak dihasilkan LLM, dan bagaimana orang tahu?
      Yang justru jelas adalah bahwa sistem kepercayaan kita memang sudah runtuh. Penulis komentar yang saling menuduh sesama pengguna sebagai AI juga contoh dari itu.

  • Entah AMP, Manifest V3, utak-atik source Android, upaya mengganti cookie dengan omong kosong seperti FLoC, atau yang ini, Google sedang cepat berubah menjadi kekuatan yang jahat terhadap internet terbuka.

    • Jadi pada akhirnya RMS memang selalu benar. Cukup mengejutkan.
    • AMP benar-benar menyebalkan waktu saya kerja di perusahaan pengembangan web yang berfokus pada marketing sekitar 4~5 tahun lalu.
      Rasanya seperti, “Google sangat suka memaksa tulisan Anda masuk ke UI buruk mereka sendiri hanya demi menghemat sedikit waktu pengguna.”
      Di satu sisi kami diminta membuat desain rumit agar situs berbeda, tetapi di sisi lain harus tunduk pada perusahaan raksasa yang ingin melewati seluruh desain web dan menuangkan konten ke UI yang sudah ditentukan.
      Syukurlah itu sudah hilang. Dengan rekam jejak Google secara umum, saya seharusnya tahu itu akan mati dalam beberapa tahun.
    • Waktu WEI dulu pun pegawai Google mengecilkan dampaknya, bilang itu bukan apa-apa dan orang-orang cuma histeris. Barusan saya cek, semua orang yang dulu membelanya sudah keluar dari perusahaan.
      Gelombang baru manajer Google yang ingin cari muka ke atasan akan segera datang untuk membela rencana baru ini.
    • Tidak kelihatan bahwa segala sesuatu di sekitar kita sedang menutup? Ini bukan cuma urusan Google. Pemerintah dan perusahaan di seluruh dunia bergerak serempak. Jeratnya mengencang sedikit demi sedikit lalu pada suatu saat akan mengetat sekaligus, dan itu ditujukan kepada kita semua.
      https://community.qbix.com/t/increasing-state-of-surveillanc...
      Ancaman-ancaman itu saling terkait, baik karena desain maupun karena konvergensi. Lapisan identitas (1~5) menciptakan prasyarat bagi sisanya, dan begitu identitas ditetapkan di level SIM/akun/perangkat, muncul pengecualian yang memungkinkan pengawasan secara politis. Pengguna berkuasa akan dikecualikan, sementara pengguna biasa diawasi.
      Lapisan perangkat (10~12, 16~19) menciptakan endpoint pengawasan. Kalau konten dipindai di perangkat sebelum dienkripsi, perlindungan enkripsi pada lapisan komunikasi jadi tidak berarti.
      Lapisan komunikasi (6~9) sejauh ini paling berhasil dipertahankan, dan pemindaian massal berulang kali berhasil digagalkan. Ini lapisan dengan rekam jejak perlawanan terbaik.
      Lapisan pelaporan (13~15) masih tahap awal. Hook pelaporan langsung dari sistem operasi ke pemerintah belum dibangun secara luas, dan usulan Inggris untuk Desember 2025 adalah garis depan saat ini.
      Kontrol platform (20~24) menentukan apakah alternatif masih bisa ada. Keberagaman browser, keberagaman distribusi aplikasi, dan keberagaman engine adalah perlindungan struktural, tetapi ketiganya sedang menyempit.
      Masyarakat dengan kelima lapisan yang lengkap akan memiliki infrastruktur pengawasan total dengan klausul pengecualian untuk elite. Kita kira-kira sudah berada di titik 40%. Apakah infrastruktur itu menjadi distopia atau tidak bergantung bukan pada teknologi, melainkan pada pilihan politik.
      Seluruh HN mengejutkan sekali tidak peka terhadap jerat yang makin ketat ini, karena banyak orang sangat menentang alternatif terdesentralisasi-terdistribusi yang sedikit saja melibatkan token. Anda boleh mengeluh, tetapi mengubur dan downvote alternatif terdesentralisasi karena groupthink membuat Anda sampai batas tertentu ikut bertanggung jawab atas erosi privasi dan kebebasan. Meski tidak setuju dengan proyeknya, kerja yang dituangkan di dalamnya tetap layak di-upvote. Tanpa kerja seperti itu, pada dasarnya kita tamat.
    • Bukan “sedang cepat berubah”, memang dari dulu sudah begitu.
      Google secara harfiah sudah membentuk kartel seperti “Open Handset Alliance” sejak puluhan tahun lalu.
      Dengan mengendalikan Chrome dan Search yang monopolistik, Google memegang kekuasaan mutlak atas bagaimana situs web dirender dan bagaimana mereka bisa ditemukan.

  • Saya sangat menyarankan keluar dari Chrome. Google sudah sepenuhnya kehilangan rasa hormat.
    Memang langkah kecil, tetapi itu bisa membuka peluang bagi pemain lain seperti saat Chrome pertama kali muncul.

    • Saya benar-benar berusaha meninggalkan Chrome saat mereka merusak ad blocker, dan sudah memakai alternatif selama berbulan-bulan, tetapi saya tidak suka browser lain.
      Di Mac saya terutama memakai Safari, tetapi di Windows tidak ada opsi itu, dan pemain besar tidak saya suka sementara pemain kecil sulit dipercaya.
      Bahkan pemain kecil yang “besar” pun tidak terlalu meyakinkan dari sisi keamanan. Ada kasus seperti fitur “Boosts” di browser Arc yang memungkinkan eksekusi kode jarak jauh.
      Jadi akhirnya saya kembali ke Chrome.

  • Saya tidak suka apa pun yang Google lakukan, tetapi tulisan ini memang punya masalah.
    Bagian “untuk tugas yang memerlukan attestation Play Integrity, perangkat Android yang memenuhi spesifikasi saat ini harganya sekitar 30 dolar di harga pasar” mengasumsikan logika pihak Google itu seperti if(attestationResult == "success") allow(). Padahal tidak sulit membayangkan jenis perangkat ikut masuk dalam skor penipuan. Misalnya perangkat mahal bisa mendapat skor penipuan lebih rendah daripada perangkat murah, sehingga pembelian massal perangkat murah bisa ditekan. Kombinasi perangkat di situs tertentu juga bisa dianalisis, jadi kalau ribuan ponsel buatan Tiongkok tiba-tiba mendaftar ke Anne's Muffin Shop, mereka akan mendapat skor penipuan lebih tinggi.
    Bagian “Firefox for Android tidak ada dalam daftar browser yang didukung Fraud Defense milik Google” juga begitu; browser hanya perlu menampilkan kode QR, jadi pada Firefox mobile pun cukup buka deep link ke Google Play Services di ponsel atau tampilkan kode QR.
    Pertahanan bot berbasis Proof of Work hampir tidak pernah benar-benar berhasil mapan, karena performa JavaScript buruk dan waktu manusia lebih mahal daripada waktu komputer. Penyerang tidak peduli kalau server harus menunggu 10 detik untuk menyelesaikan soal Proof of Work, tetapi manusia peduli. Server 8-core di Hetzner harganya 10 sen per jam. Bahkan jika semua orang diasumsikan memakai CPU setara desktop 8-core, tantangan 6 menit hanya biaya 1 sen bagi penyerang. Sebaliknya, berapa nilai 6 menit waktu orang biasa?

  • Ini benar-benar menjijikkan, dan upaya menyelundupkannya diam-diam tanpa diskusi publik itu tidak jujur. Semoga seperti sebelumnya, ini juga bisa dihentikan. Minimal masalah antimonopoli tampak sangat jelas.

    • Saya setuju soal masalah antimonopoli, tetapi saya tidak yakin itu masih dianggap hambatan serius belakangan ini.
    • Waktu yang lalu pun Google mencoba mencuci usulan ini lewat GitHub pribadi pegawai agar terkesan jauh dari perusahaan, dan membungkusnya seburuk mungkin seolah ini yang diinginkan pengguna.
      Padahal kenyataannya ini hanya alat lain bagi Google untuk menjalankan kontrol.

  • Mungkin ini pertanyaan bodoh, tetapi saya tidak paham bagaimana ini bekerja untuk pengguna iPhone. Tidak ada Google Play di sana, dan ini tampaknya memerlukan Android/Google Play.
    Mustahil mereka benar-benar akan memotong bagian pasar sebesar itu.

  • Tulisan ini penuh asumsi yang keliru.
    Misalnya ada bagian “operator bot melakukan otomasi sederhana dengan perangkat keras jadi yang mengarahkan kamera ke layar. Untuk tugas yang memerlukan attestation Play Integrity, diperlukan perangkat Android kompatibel seharga 30 dolar.”
    Bot farm tidak akan bisa lama-lama lolos hanya dengan ponsel 30 dolar. Apa benar Google akan melihat identifier perangkat keras yang sama muncul ribuan kali dalam sehari dan tidak menganggapnya sebagai penggunaan curang?
    Saya menghargai bahwa Google benar-benar mengajukan sesuatu untuk menghindari web berubah menjadi lautan sampah AI tanpa akhir. Tulisan ini tidak menawarkan alternatif yang lebih baik, dan saya ingin melihat alternatif seperti itu.

    • Ponsel itu sangat murah, terutama yang refurbished. Tinggal tiru siklus tidur/bangun seperti kehidupan nyata dan sesekali biarkan istirahat. Untuk menutup kehilangan waktu aktif, cukup pakai perangkat 25% lebih banyak.
      Lagi pula, memang ada orang yang benar-benar menghabiskan sepanjang hari, sepanjang malam, hanya menggulir ponsel. Bisa pengangguran, penyandang disabilitas, atau orang dengan gangguan tidur maupun mania. Karena itu sulit menjadikan hal ini sinyal yang bagus tanpa memicu penolakan yang lebih besar. Mereka pasti sangat ingin menghindari penolakan dari orang-orang susah yang punya waktu luang tak terbatas.
    • Yang terutama lucu adalah bahwa ini adalah content marketing untuk “CAPTCHA” Proof of Work berbasis komputasi.
      Pendekatan seperti itu murni teknologi yang menipu, dan secara ekonomi kemungkinan setidaknya empat digit lebih menguntungkan bagi pihak yang menyalahgunakannya dibanding skema attestation ini.
    • Sepertinya AI menyalin angka 30 dolar dari komentar HN saya. Tetapi untuk AS memang benar. https://www.walmart.com/ip/Straight-Talk-Motorola-Moto-g-202...
      Kunci operator tidak relevan untuk use case ini. Saya tidak tahu apakah menyimpan identifier perangkat unik itu legal di UE.
    • Sepertinya seseorang akan memproduct-kan ini. Ketergantungan pada cloud phone sudah ada, dan layanan pemecah CAPTCHA juga sudah membuktikan ada permintaannya, jadi kalau ini jadi layanan cloud, kita kembali lagi ke titik awal.
    • Anggapan bahwa bot farm tidak bisa lama-lama melewati ini dengan ponsel 30 dolar sudah salah. Mereka memang sudah melakukannya, dan bukan 30 dolar per perangkat, melainkan mendekati kurang dari 5 dolar.
      Karena mereka bisa membeli barang bekas yang paling buruk sekalipun di pasar sekunder.
      Bertaruh pada attestation perangkat pada dasarnya sama dengan bertaruh bahwa smartphone akan jadi kurang umum dan biaya memilikinya akan makin mahal. Sepertinya itu tidak akan terjadi.

  • Saya mengerti kenapa Google ingin melakukan ini, dan saya juga mengerti kenapa orang menolak solusi spesifik ini.
    Perlu juga dilihat bahwa penulis tulisan ini sedang menjual solusi Proof of Work untuk masalah tersebut.
    Saya cukup skeptis bahwa Proof of Work adalah arah yang benar di sini. Banyak pengguna web memakai perangkat keras lama. Menambahkan tol komputasi tidak menyelesaikan masalah di dunia tempat sumber daya komputasi yang bisa dipakai orang sangat berbeda-beda.
    Sementara itu, botnet bisa mengakses ribuan komputer dan mungkin tidak peduli harus menunggu 10 detik lebih lama. Lebih buruk lagi, mereka bisa membuat solusi kustom berbasis ASIC yang menyelesaikan puzzle Proof of Work ribuan kali lebih cepat daripada laptop nenek Anda.