Cloudflare Turnstile Meminta WebGL yang Dapat Dipakai untuk Pengambilan Sidik Jari

 (hacktivis.me)
1 poin oleh GN⁺ 2 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Verifikasi perangkat “Verify you're human” dari Cloudflare Turnstile terus berulang tanpa henti sejak sekitar seminggu lalu di browser berbasis WebKitGTK
  • Penyebab langsung yang memblokir akses ke banyak situs tampaknya adalah perilaku Cloudflare yang mencoba memperoleh sidik jari perangkat melalui WebGL
  • Panduan Turnstile menyatakan bahwa pengambilan sidik jari browser digunakan untuk memeriksa apakah pengguna adalah manusia, dan alat pemblokiran atau pengacakan dapat membuat pengguna tampak seperti bot
  • WebKit telah memblokir fungsi semacam ini selama bertahun-tahun, dan ini tampaknya bukan opsi privasi yang bisa dimatikan pengguna dengan mudah
  • Sementara Safari diduga mendapat pengecualian, seluruh browser WebKitGTK diblokir, dan pengguna Firefox dengan pengaturan perlindungan tertentu juga bisa terdampak

Verifikasi Turnstile yang Berulang di WebKitGTK

  • Verifikasi perangkat “Verify you're human” dari Cloudflare Turnstile terus berulang tanpa henti sejak sekitar seminggu lalu di browser berbasis WebKitGTK, sehingga memblokir akses ke banyak situs
  • Penyebab pemblokiran akses tampaknya adalah perilaku Cloudflare yang mencoba memperoleh sidik jari perangkat melalui WebGL
  • Teks panduan Turnstile menyatakan bahwa pengambilan sidik jari browser digunakan untuk memeriksa apakah pengguna adalah manusia
  • Alat privasi yang memblokir atau mengacak sidik jari dapat membuat browser tampak seperti bot yang mencoba menyembunyikan identitasnya
  • WebKit telah memblokir fungsi semacam ini selama bertahun-tahun, dan ini tampaknya bukan fitur privasi yang bisa dinonaktifkan dengan mudah
  • Sementara Cloudflare diduga memberi pengecualian untuk Safari, seluruh browser WebKitGTK justru berada dalam kondisi diblokir

Perilaku Perlindungan Terkait di Firefox

Bacaan terkait

1 komentar

 
GN⁺ 2 jam lalu
Komentar Hacker News

  • Cloudflare diketahui menggunakan pengambilan sidik jari browser untuk mendeteksi scraper. Misalnya, sidik jari JA3 dicocokkan dengan user agent untuk memblokir hal seperti cURL dan mengizinkan OkHttp (klien Android), tetapi ini mudah disamarkan dengan paket seperti CycleTLS [1]
    Saya tidak ingin membelanya karena mereka menghalangi sebagian besar internet atas nama “perlindungan bot”, tetapi jika tidak menggunakan proof-of-work (PoW), pengambilan sidik jari mungkin menjadi metode yang realistis, dan akibatnya privasi semua pihak yang terkait jadi benar-benar hancur
    Cromite, fork Chromium untuk Android yang berfokus pada privasi, terus bermasalah dengan Cloudflare Turnstile [2], karena Cloudflare mengambil sidik jari dengan berbagai cara agar challenge bisa lolos
    Untuk menyelesaikannya, harus masuk ke program Cloudflare Browser Developer, tetapi itu memerlukan penandatanganan NDA, dan penolakan pengelola proyek tampak masuk akal
    Kalau ingin melihat seberapa dalam Cloudflare menggali sidik jari browser, lihat saja di isu [2] flag apa saja yang harus dimatikan agar challenge bisa lolos. Paling tidak, saya rasa Cloudflare bisa cukup fleksibel untuk mengganti dengan proof-of-work alih-alih langsung memblokir orang saat mengirim formulir atau mengakses situs web
    [1]: https://github.com/Danny-Dasilva/CycleTLS
    [2]: https://github.com/uazo/cromite/issues/2365

    • “Perlindungan bot” Cloudflare bukan hanya menghalangi sebagian besar internet, tetapi juga banyak orang. Tren menyerahkan kontrol akses situs web ke satu perusahaan tanpa banyak pertimbangan sangat mengkhawatirkan
    • Perlindungan bot berbasis pengambilan sidik jari nyaris seperti ilusi. Sinyal di sisi klien bisa dipalsukan asalkan cukup di atas rata-rata, dan pengambilan sidik jari hanyalah sarana pemusatan pasar demi bisnis periklanan
      Memberi reputasi pada IP rumahan dan rentang komersial juga bisa menjadi cara lain untuk mendapatkan hasil yang diinginkan. Itu akan membuat operator jauh lebih berhati-hati terhadap penyalahgunaan IP, tetapi kalau begitu bisnis DDoS di pihak penyerang maupun pembela bisa sama-sama runtuh
      Ironisnya, ada cukup banyak perusahaan yang membangun bot sendiri sambil berinvestasi dalam cara memblokir bot perusahaan lain
    • Pencegahan scraping Cloudflare cuma setara gembok 5 dolar, jadi semuanya sia-sia. Mungkin bisa menghentikan remaja iseng, tetapi bahkan pencuri amatir pun tidak, dan kalau seseorang ingin mengikis data publik, pada akhirnya mereka akan tetap melakukannya. Tidak ada cara untuk menghentikannya
    • Pengambilan sidik jari untuk “perlindungan bot” tidak bisa dibedakan dari pengambilan sidik jari untuk pengawasan massal
    • Saya ingin penjelasan lebih lanjut tentang mengapa proof-of-work adalah mimpi buruk secara ekologis. Kalau dihitung kasar, ini tampaknya bukan masalah besar
      Beban 5W selama 2 detik adalah 0,002Wh, dan karena ponsel juga harus bisa lolos, kita tidak mungkin memaksa proof-of-work selama puluhan detik. Bahkan jika ada 8 miliar pemeriksaan per hari selama 1 tahun, itu tetap 8GWh

  • Ada alasan mengapa privacy.resistfingerprinting tidak diaktifkan meskipun Anda memilih “Strict” “Enhanced Privacy Protection”. Saya pernah mengaktifkannya cukup lama, tetapi situs web sering rusak aneh sehingga saya terus harus mematikannya dan menambahkan pengecualian
    Penanganan zona waktu di situs tertentu jadi kacau sampai saya hampir beberapa kali melewatkan janji. Untuk memberi tahu pengguna bahwa Firefox bukan yang rusak, rasanya perlu banner permanen seperti “Jika situs web rusak, muncul glitch aneh, waktu komputer salah, font terlihat aneh, atau video kadang tidak keluar, klik di sini untuk mematikan perlindungan sidik jari”
    Menariknya, Turnstile rusak pada resistfingerprinting, tetapi berfungsi pada fingerprintingProtection. Yang terakhir tampaknya memang mempertimbangkan situasi buruk seperti ini

    • Itu mungkin masuk akal sebagai alasan untuk tidak menyalakannya secara default, tetapi buruk sebagai alasan mengapa itu tidak aktif bahkan pada pengaturan Strict
      Pada pengaturan Strict, saya memang memperkirakan situs bisa rusak sampai tingkat tertentu, tetapi saya tidak menyangka jalur pelacakan masih dibiarkan terbuka lebar. Terasa menipu

  • Saya memelihara browser minor [0], dan sejak beberapa minggu lalu beberapa pengguna mengalami masalah ini [1]. Saat ini saya tidak menganggapnya sebagai bug browser, tetapi tentu saja bisa saja ada bug terkait, dan akan bagus jika lebih banyak orang melihat ini; saya butuh ide dan bantuan untuk memperbaiki atau mengurangi situasinya
    [0]: https://konform-browser.codeberg.page/
    [1]: Saya tidak tahu apakah ini mayoritas atau semuanya. Saat ini kami mengandalkan laporan pengguna dan pengujian sendiri tanpa telemetri

  • “Kalau ketahuan menyamar, berarti penyamaranmu belum cukup serius.”
    Perang melawan bot yang bodoh ini akan membawa internet menuju keruntuhan, dan pada akhirnya menjadikannya taman tertutup lain yang hanya mengizinkan agen yang “disetujui” dan memusuhi pengguna. Jangan termakan omong kosong tentang “scraper AI”. Itu cuma alat untuk merekayasa persetujuan

    • Kalau bot membanjiri server, pasang saja rate limit. Jika kontennya memang tidak ingin diakses orang lain, jangan sajikan lewat server web

  • Apakah Google dan Cloudflare membuat semacam kesepakatan untuk mempersulit penggunaan browser non-Chrome? Tekanan untuk memakai Chrome terus meningkat, dan pemfilteran iklan yang bisa dilakukan di Chrome terus berkurang

    • Kemungkinan besar ini salah satu konsekuensi alami dari Chrome sebagai browser paling populer di web. Sebagian besar trafik normal akan datang dari Chrome
    • Saat saya meninggalkan Cloudflare 5 tahun lalu, browser yang disetujui untuk penggunaan internal hanya Chrome
    • Tidak berhenti di situ: https://blog.cloudflare.com/eliminating-captchas-on-iphones-...

  • Jika Anda menyembunyikan sesuatu, Anda otomatis diklasifikasikan sebagai “agen yang punya alasan untuk menyembunyikan sesuatu”
    Sejujurnya, itulah inti masalahnya. Karena begitu banyak bagian internet melewati Cloudflare, seharusnya ada cukup banyak sinyal alternatif untuk menunjukkan bahwa seseorang bukan pelaku jahat, bukan bergantung terlalu kuat pada satu sinyal tertentu
    Hanya saja, karena hampir tidak ada pengguna dalam basis mereka yang memakai pengaturan yang sama, solusi nyata mungkin butuh waktu sangat lama untuk muncul

  • Mereka berkata, “Anda tampaknya mencoba menyembunyikan identitas,” tetapi sejak awal mereka memang tidak punya hak untuk menuntut itu

    • Dengan logika yang sama, berarti Anda juga tidak punya hak untuk melihat konten situs web itu

  • Saya tidak tahu soal privacy.resistfingerprinting, sekarang saya berniat membiarkan semua Cloudflare Turnstile gagal

    • Bahkan saat itu diaktifkan, Turnstile tetap berfungsi dengan baik

  • Pengaturan privacy.resistfingerprinting itu ditujukan untuk Tor Browser

    • Di Tor Browser itu aktif secara default, dan saya bahkan tidak yakin apakah bisa dimatikan
      Itu juga aktif secara default di Konform Browser dan Mullvad Browser, yang mengambil banyak patch privasi dan keamanan dari Tor Browser

  • Ada pepatah tentang kriminalitas yang saya suka: kalau X% dari populasi melanggar suatu hukum, berarti hukum itu seharusnya dihapus. Narkoba rekreasional adalah contoh yang jelas
    Jika pemrosesan canvas acak dulu ditindak sebagai perilaku bot, tetapi sekarang semua pengguna Firefox melakukannya, mungkin Cloudflare juga seharusnya cukup “melegalkannya”