Google Cloud Fraud Defense, sadece yeniden paketlenmiş bir WEI

 (privatecaptcha.com)
1 puan yazan GN⁺ 1 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Google Cloud Fraud Defense, 2026'da “reCAPTCHA'nın bir sonraki evrimi” olarak duyuruldu, ancak özünde 2023'te geri çekilen Web Environment Integrity ile aynı cihaz doğrulama altyapısına dayanıyor
  • Fraud Defense'in QR meydan okumasında kullanıcı telefondan kodu taradığında cihaz Play Integrity API ile doğrulanıyor ve sonuç, insan varlığı kanıtı olarak kullanılmak üzere asıl siteye geri gönderiliyor
  • Geçebilen donanım, Google Play Services yüklü güncel Android cihazlar veya güncel iPhone/iPad ile sınırlı; GrapheneOS, microG için LineageOS, Android için Firefox gibi seçenekler fiilen dışlanıyor
  • QR meydan okuması, kamerayı ekranın önüne koyarak aşılabiliyor ve uyumlu Android cihazlar yaklaşık $30'a satın alınabildiği için profesyonel bot çiftlikleri açısından büyük bir engel oluşturması zor görünüyor
  • Her başarılı meydan okumada Google'a “doğrulanmış bir cihazın belirli bir zamanda belirli bir siteye eriştiği” sinyali iletiliyor; bu da oturumlar ve tarayıcılar arasında atıf bilgisi oluşturabilir

Google Cloud Fraud Defense ile WEI arasındaki bağlantı

  • 2026 Mayıs'ında Google, Google Cloud Fraud Defense'i “reCAPTCHA'nın bir sonraki evrimi” olarak duyurdu ve kullanıcının telefonuyla QR kod tarayarak insan olduğunu kanıtladığı bir meydan okuma sundu
  • 2023'te Google mühendisi Yoav Weiss, Chromium projesine Web Environment Integrity önerisini gönderdi
    • Yapı, tarayıcının cihaz donanımına kriptografik bir kanıt imzalatmasına dayanıyordu; böylece tarayıcının değiştirilmediği ve Google tarafından onaylanmış donanımda çalıştığı kanıtlanacaktı
    • Web siteleri bu imzayı doğrulayarak içeriği sürtünmesiz şekilde sunup sunmayacağına ya da ek meydan okuma isteyip istemeyeceğine karar verebiliyordu
    • Önerinin gerekçesi, botlara ve otomatik scraping'e karşı web bütünlüğünü korumaktı
  • Mozilla, birkaç gün içinde resmî tutumunu açıkladı ve bu önerinin “kullanıcıların çıkarına aykırı” olduğunu, “OS ve cihaz satıcılarının kontrol ettiği geçitli bir internet yarattığını” söyledi
  • Electronic Frontier Foundation bunu “Chrome'un web DRM planı” olarak nitelendirdi ve tasarım gereği yalnızca Android'de veya onaylı donanımda çalışan Chrome'un kanıtı kolayca geçebileceğini, böylece trafiğin Google ekosistemine yönleneceğini savundu
  • Google, kamuya açıklanmasından 3 hafta sonra WEI'yi geri çekti ve Chromium GitHub başlığı kapatıldı; ancak 2026'daki Fraud Defense'te aynı cihaz doğrulama altyapısı ticari bir ürünün temeli olarak piyasaya sürüldü

QR kod meydan okumasının gerçek mekanizması

  • Fraud Defense meydan okuması, kullanıcının web sitesinde bir QR kod görüp bunu telefon kamerasıyla taraması şeklinde çalışıyor
  • Telefon, Google'ın Play Integrity API'si üzerinden doğrulanıyor ve cihazın onaylı donanım olduğu teyit ediliyor
  • Bu doğrulama sonucu, insan varlığına dair kanıt olarak kullanılmak üzere asıl siteye geri dönüyor
  • Fraud Defense gereksinim sayfası, geçebilen donanımı “Google Play Services yüklü güncel Android cihazlar veya güncel iPhone/iPad” olarak tanımlıyor
  • Google Play Services, onaylı Android cihazlarda çalışan Google'a ait kapalı kaynak yazılım katmanıdır ve cihazın değiştirilmediğini, Google tarafından onaylandığını kanıtlayan Play Integrity API'yi sağlar
  • Play Services olmayan cihazlar, Fraud Defense'in talep ettiği düzeydeki Play Integrity kontrolünü karşılayamaz; bu koşulun kendisi Fraud Defense'in temel mekanizması olarak işliyor
  • WEI'de, standart inceleme sürecinde Google'ın bu mekanizmayı kamuya açık biçimde savunması gerekiyordu ve muhalefetle karşılaşınca geri çekildi; Fraud Defense ise Google Cloud faturalandırma hesabı olan kuruluşların kullanabildiği ticari bir hizmet olarak doğrudan piyasaya çıktı

QR kod aşımı ve phishing riski

  • QR kod meydan okuması, bot operatörlerinin ekranın önüne bir kamera koymasıyla mekanik olarak aşılabiliyor
  • Play Integrity kanıtı gereken işlemlerde bile uyumlu Android cihazlar yaklaşık $30 karşılığında alınabiliyor; örnek olarak Walmart'taki $29.88 Motorola Moto g 2025 veriliyor
  • Toplu cihaz satın alan profesyonel bot çiftlikleri için bu maliyet, operasyonu fiilen engellemeyen sabit bir gider olmaya yakın
  • HN başlığında, olay müdahale uzmanı biri, pratikte “İK'deki Susan”a gerçek bir Google Captcha QR kodu ile kötü amaçlı bir phishing QR kodunu ayırt etmeyi öğretmenin zor olacağı kaygısını dile getiriyor
  • QR meydan okuması, kullanıcıları bir web sitesine erişmek için kod taramaya alıştırıyor; phishing kampanyaları da bu davranışı doğrudan kötüye kullanabilir

Mevcut QR kimlik doğrulama ve cihaz doğrulamadan farkı

  • iOS App Attestation, bir uygulamanın App Store üzerinden yüklendiğini ve değiştirilmediğini doğrular
  • iPhone kullanıcısının seçtiği kapalı ekosistem içinde uygulamaları yönetmek ile açık web gezintisinde URL erişimini özel bir şirketin onayladığı donanıma koşullu bağlamak farklı şeylerdir
  • Açık internette buna benzer bir uygulama daha önce görülmedi; uygulama mağazaları açık şartları olan isteğe bağlı ekosistemlerdir, web ise donanım koşullarını varsayacak şekilde tasarlanmadı
  • QR tabanlı kimlik doğrulama da zaten mevcut
    • Estonya'nın Smart ID, banka portalları, kamu hizmetleri ve sağlık kayıtları gibi sınırları ve onay kapsamı belirli kaynaklarda kullanıcıyı doğrulamak için QR kod kullanıyor
    • Kullanıcı doğrulamayı seçiyor, korunan kaynak önceden tanımlanıyor ve kapsam açıkça belli oluyor
  • Google Cloud Fraud Defense ise operatörün geçit koyduğu herhangi bir URL'ye açık web üzerinde cihaz doğrulamayı uygulayabiliyor
  • Bu yaklaşımda eşdeğer bir onay yapısı veya amaç sınırlaması yok; kullanıcılar, kendi donanım kimliklerinin erişim kimlik bilgisi gibi işlediğini fark etmeyebilir

Gizliliğe önem veren kullanıcıların dışlanması

  • Google Play Integrity doğrulaması, Google Play Services gerektiriyor
  • GrapheneOS, varsayılan olarak Play Services içermeyen, güvenlik güçlendirmeli bir Android fork'udur; EFF tarafından önerilir ve gazeteciler, avukatlar ile aktivistler tarafından yüksek riskli ortamlarda kullanılır
  • GrapheneOS, bazı Play Services işlevlerini çalıştıran sandbox uyum katmanını desteklese de Fraud Defense'in istediği MEETS_DEVICE_INTEGRITY düzeyindeki Play Integrity'yi karşılayamaz
  • Açık kaynak alternatif isteyen kullanıcılar için geliştirilen gizlilik odaklı Android dağıtımı LineageOS for microG de aynı nedenle başarısız olur
  • Play Services dışındaki tüm custom ROM'lar, Fraud Defense gereksinimlerini geçemez
  • Android için Firefox, Google'ın açıkça belirttiği Fraud Defense tarayıcı destek listesinde görünmüyor
  • Firefox tasarım gereği Google Play Integrity'yi entegre etmiyor; Mozilla'nın 2023'te cihaz doğrulamaya karşı tutumu netti ve hâlâ sürüyor
  • Sonuç olarak, başlıca mobil tarayıcılar arasında gizliliğe önem veren Firefox kullanıcıları, bot oldukları için değil, Google'ın doğrulama mimarisine katılmayı reddeden yazılım kullandıkları için varsayılan olarak doğrulanmış erişimin dışında kalıyor

“Normal” takip sorunu

  • Fraud Defense meydan okuması her başarıyla sonuçlandığında Google'a “bu doğrulanmış cihaz şu saatte bu siteye erişti” sinyali gönderiliyor
  • Cihaz doğrulama yalnızca erişimi engelleyen veya izin veren bir işlev değil, aynı zamanda atıf bilgisi üretiyor
  • Kararlı bir donanım kimliğine sahip cihazlar, oturumlar, tarayıcılar ve gizli gezinme modları arasında kalıcı tanımlayıcılar oluşturabilir
  • Hangi donanımın “normal” olduğunu tanımlayan şirket, aynı zamanda bu donanımın açık webde nereye gittiğine dair kalıcı bir kayıt da biriktirmiş olur
  • Bu, dolandırıcılık savunmasının yan etkisi değil; doğrulamayı onaylı cihaz kimliğine bağlayan yapısal bir tercihtir

Alternatif olarak önerilen iş kanıtı yaklaşımı

  • Private Captcha ve benzer iş kanıtı sistemleri, hesaplama çabası gerektiren kriptografik meydan okumalar üretir
  • Tek bir kullanıcının tek bir meydan okumayı çözme maliyeti ihmal edilebilir düzeydedir
  • Birden fazla eşzamanlı oturum çalıştıran bot çiftliklerinde ise her ek denemeyle birlikte hesaplama maliyeti büyür
  • GPU döngülerini tüketerek çalışan AI ajanları da çıkarım yeteneklerinin ne kadar gelişmiş olduğundan bağımsız olarak aynı maliyet cezasını alır
  • Bu yaklaşım, donanım tanımlayıcıları iletmez, kanıt istemez ve kimin katılabileceğine karar veren bir doğrulama katmanı kurmaz
  • Kullanıcı gizliliği bir vaat olarak değil, yapısal olarak korunur

İlgili okumalar

1 yorum

 
GN⁺ 1 시간 전
Hacker News görüşleri

  • Bu uzun zamandır bekleniyordu. Bilgisayarlar CAPTCHA çözmede insanlardan daha iyi, insanlar da para karşılığında ya da ikna edilerek botnetlere katılabildiği için IP allowlist'leri de işe yaramıyor
    Artık tonla parmak izi takibi ve davranış analizi var ama hükümetler o tarafı düzenliyor. YouTube'da da gömülü videolarda reklamların arka planda oynatılmasıyla ilgili büyük ölçekli reklam sahtekarlığı sorunları olmuştu; demek ki tespit yeterli değildi
    Bot olmadığını kanıtlamanın çok fazla iyi yolu yok, kimlik doğrulama benzeri şeyler içermeyen yollar ise daha da az. Bu opt-in yaklaşımı bir süreliğine sorumluluğu tek tek web mağazalarına yıkmaya yardımcı olacaktır ama uzun vadede açık, insan merkezli internet ya ortadan kalkacak ya da bu tür kanıta dayalı doğrulamanın arkasına kilitlenecek gibi görünüyor
    Apple birkaç yıl önce Cloudflare ile birlikte Safari'ye uzaktan doğrulama koydu, Google ise şimdi bir adım daha ileri gidiyor. Apple'ın yöntemi, script otomasyon araçlarına karşı işe yarasa da tarayıcıyı gerçekten kullanan botlara karşı pek etkili değil
    Neyse ki mevcut yaklaşım çoğunlukla mağaza benzeri yerleri hedefliyor; dolayısıyla başka bir mağazadan satın alarak aşmak mümkün. Ama mağazalar, uzaktaki içeriklere sadece tıklayan yüzlerce telefona sahip click farm'lar olduğunu fark ederse benimseme sınırlı kalabilir
    Bunun tamamen yayılması birkaç yıl alacaktır ama yapay zeka bir anda yaygın kullanım dışı kalmazsa sonunda kaçınılması zor görünüyor

    • CAPTCHA'nın ilk başta ters Turing testi olarak yaygınlaşmış olması, ama şimdi fiilen Proof of Work'ün bir tür varyantına dönüşmesi ilginç
      O zamanlar Google'ın bunu OCR modellerini geliştirmek için kullanması zekiceydi ve gerçekten de öyle yaptı, ama bugün kanıtlanan “iş”ten ne gibi bir fayda çıktığı belirsiz
    • İnsanlara QR kod taratmak için para vererek ve konumu sahte göstererek bunun da aşılamayacağını düşünmek zor
    • İnsanları satın almanın pratikte nasıl göründüğünü merak ediyorum. Ne kadar kazanılabiliyor, ne yapmak gerekiyor, ağa küçük bir kutu takıp unutmak gibi bir şey mi diye merak ediyorum
      Sonraki ödeme gelmeden fişi çekmenin pazarlık unsuru olup olmadığını da merak ediyorum. Hayatını idame ettirmek için plazma satmaktan kaçınmak isteyen bir arkadaş adına soruyorum
    • Bence LLM tarafından yönlendirilen tarayıcı oturumlarını tespit etmek daha kolay. Bunları dağıtan kişiler, geleneksel scraper ya da crawler tarafındakilere kıyasla çok daha saf ve deneyimsiz
      “Okula 40 petabaytlık bir Zip Bomb getirmeyeceksin, değil mi?” memesini eklemek istiyorum
    • Maliyet yapısına bağlıdır ama Google muhtemelen oyun anti-cheat'leri gibi sonunda kaybedecek. Ekran görüntüsünü parse edip girdiyi USB aygıtı gibi gönderen araçlar varsa tespit edecek neredeyse hiçbir şey kalmaz
      Bunu web sayfasında yapmak video oyunlarına göre çok daha kolay görünüyor

  • “Don’t be evil”den dünyanın en büyük ve en müdahaleci gözetim sistemini kuran şirkete dönüştü
    Bundan önce de böyleydi ama bu olay, Google için yeterince takip diye bir şeyin asla olmadığını gösteriyor. Google herkesin çevrimiçi faaliyetlerini daha fazla izlemek isteyecek ve mümkün olan her aracı kullanacak

    • Google diye soyut bir varlık yok; bu fikri ortaya atan ve bastıran somut insanlar var
      Şirketleri soyut varlıklar olarak değil, bu tür kararları alan hasta insanların oluşturduğu gruplar olarak görmek gerek

  • Arka arkaya tıkladığım üç HN linkinin üçü de sanki LLM üretimi yazılara çıktı. AI'nin kendisine karşı değilim ama insan düşüncesi ve ifadesinin sessizce yer değiştirdiğini görmekten yoruldum

    • Sık sık “bunu kesin AI üretmiş” tavrını görüyorum; neden öyle göründüğünü merak ediyorum. Neyin LLM üretimi olduğu nasıl anlaşılıyor?
      Hatta daha bariz olan şey, güven sistemimizin zaten çökmekte olduğu. Yorumcuların birbirini AI olmakla suçlaması da bunun örneklerinden biri

  • İster AMP olsun, ister Manifest V3, ister Android kaynak kodu oyunları, ister cookie'leri FLoC gibi saçmalıklarla değiştirme girişimleri, ister bu olay; Google açık internet karşısında hızla kötü niyetli bir güce dönüşüyor

    • Sonuçta RMS her zaman haklıymış. Şaşırtıcı derecede öyle
    • Yaklaşık 4-5 yıl önce pazarlama odaklı bir web geliştirme şirketinde çalışırken AMP gerçekten sinir bozucu bir şeydi
      Hissi şuydu: “Google, kullanıcıya biraz zaman kazandırdığı için yazınızı kendi berbat arayüzüne itelemeyi çok seviyor”
      Bir tarafta siteyi farklılaştırmanız için karmaşık tasarımlar alıyorsunuz, diğer tarafta ise web tasarımının tamamını atlayıp içeriği önceden belirlenmiş bir arayüzden akıtmak isteyen dev şirkete boyun eğiyorsunuz
      Yok olup gitmesine gerçekten sevindim. Google'ın genel siciline bakınca birkaç yıl içinde öleceğini anlamalıydım
    • Geçen WEI olayında da Google çalışanları etki küçükmüş gibi davranıp bunun önemsiz olduğunu, insanların da histerik davrandığını söyleyerek küçümsedi. Az önce baktım, bunu savunanların hepsi şirketten ayrılmış
      Üst yönetime göze girmek isteyen yeni Google yöneticileri dalgası yakında bu yeni planı savunmak için gelecektir
    • Etrafında her şeyin kapanmakta olduğunu görmüyor musun? Bu sadece Google'la ilgili değil. Dünyanın dört bir yanındaki hükümetler ve şirketler aynı anda harekete geçiyor. İlmek yavaş yavaş daralıyor ve bir noktada bir anda sıkılacak; hepimizi hedef alıyor
      https://community.qbix.com/t/increasing-state-of-surveillanc...
      Tehditler tasarım gereği ya da yakınsama yoluyla birbirine bağlanıyor. Kimlik katmanları (1~5) geri kalanlar için ön koşul yaratıyor ve SIM/hesap/cihaz düzeyinde kimlik kurulduğunda gözetimi siyasi olarak mümkün kılan istisnalar doğuyor. Güçlü kullanıcılar muaf tutuluyor, sıradan kullanıcılar gözetleniyor
      Cihaz katmanları (10~12, 16~19) gözetim uç noktalarını yaratıyor. İçerik şifrelenmeden önce cihazda taranıyorsa iletişim katmanındaki şifre koruması anlamsız hale gelir
      İletişim katmanları (6~9) şimdiye kadar en iyi savunulanlar oldu ve kitlesel tarama defalarca engellendi. Direniş sicili en iyi olan katman bu
      Bildirim katmanları (13~15) henüz erken aşamada. İşletim sisteminden doğrudan devlete raporlama yapan hook'lar henüz büyük ölçekte kurulmadı ve Birleşik Krallık'ın Aralık 2025 önerisi bunun ön cephesi
      Platform kontrolü (20~24) alternatiflerin var olup olamayacağını belirliyor. Tarayıcı çeşitliliği, uygulama dağıtım çeşitliliği ve motor çeşitliliği yapısal koruma mekanizmaları ama üçü de daralıyor
      Beş katmanın da tamamlandığı bir toplum, elitler için muafiyet maddeleri olan tam kapsamlı bir gözetim altyapısına sahip olur. Şu anda yaklaşık %40 noktasındayız. Bu altyapının distopyaya dönüşüp dönüşmeyeceği teknolojiye değil siyasi tercihlere bağlı
      HN'nin geneli ilmeğin daralmasına şaşırtıcı derecede duyarsız; çünkü içinde az da olsa token geçen merkeziyetsiz alternatiflere karşı güçlü bir düşmanlık var. Şikayet edebilirsin ama grup düşüncesi yüzünden merkeziyetsiz alternatifleri gömmek ve downvote etmek, mahremiyetin ve özgürlüğün aşınmasına bir ölçüde ortak olmak demek. Bir projeye katılmasan bile içindeki emeğin kendisi upvote sebebi olabilir. O tür çalışmalar olmadan işimiz fiilen biter
    • “Hızla değişiyor” değil, zaten hep öyleydi
      Google kelimenin tam anlamıyla onlarca yıl önce “Open Handset Alliance” gibi karteller kuruyordu
      Chrome ve Search tekellerini kontrol ederek Google, web sitelerinin nasıl render edileceği ve nasıl bulunabileceği üzerinde mutlak güç sahibi

  • Chrome'dan uzaklaşmayı kuvvetle tavsiye ederim. Google saygı duygusunu tamamen kaybetti
    Küçük bir hareket olabilir ama Chrome ilk çıktığında olduğu gibi diğer oyunculara fırsat açabilir

    • Reklam engelleyicileri bozduğunda Chrome'dan ayrılmak için gerçekten uğraştım; aylarca alternatifler kullandım ama diğer tarayıcıları sevemedim
      Mac'te çoğunlukla Safari kullanıyorum ama Windows'ta o seçenek yok; büyük oyuncular hoşuma gitmiyor, küçük oyunculara da güvenmek zor
      “Büyük” küçük oyuncular bile güvenlik açısından çok güven vermiyor. Örneğin Arc tarayıcısının “Boosts” özelliği, uzaktan kod çalıştırmaya imkan veren bir vakaya yol açmıştı
      Bu yüzden sonunda Chrome'a geri döndüm

  • Google'ın ne yaparsa yapsın hoşuma gitmiyor ama bu yazıda sorunlar var
    “Play Integrity doğrulaması gerektiren görevler için spesifikasyonu karşılayan Android cihazlar şu an piyasa fiyatıyla yaklaşık 30 dolar” kısmı, Google tarafındaki mantığın if(attestationResult == "success") allow() gibi bir şey olduğunu varsayıyor. Oysa cihaz türünün bir sahtekarlık puanına yansıtıldığını düşünmek zor değil. Örneğin pahalı cihazlar ucuz cihazlara göre daha düşük sahtekarlık puanına sahip olabilir ve ucuz cihazların toplu alımını caydırabilir. Belirli bir sitedeki cihaz kombinasyonları da analiz edilebilir; dolayısıyla binlerce Çin malı telefon aniden Anne's Muffin Shop'a kaydolursa daha yüksek sahtekarlık puanı alır
    “Firefox for Android, Google'ın Fraud Defense tarayıcı destek listesinde yok” kısmına gelince, tarayıcının yapması gereken sadece QR kod göstermek; dolayısıyla Firefox mobilde telefonun Google Play Services'ine deep link açabilir veya QR kod gösterebilir
    Proof of Work tabanlı bot savunmaları neredeyse hiç tutunmadı; çünkü JavaScript performansı kötü ve insan zamanı bilgisayar zamanından daha pahalı. Saldırgan, sunucunun Proof of Work problemini çözmek için 10 saniye beklemesini umursamaz ama insan umursar. Hetzner'de 8 çekirdekli sunucu saatlik 10 sent. Herkesin 8 çekirdekli masaüstü sınıfı CPU kullandığını varsaysanız bile 6 dakikalık bir challenge saldırgana 1 sent maliyet demek. Buna karşılık sıradan bir insan kendi 6 dakikasını ne kadar değerli görür?

  • Bu gerçekten iğrenç ve kamusal tartışma olmadan bunu gizlice itmeye çalışmaları samimiyetsizce. Geçen seferki gibi engellenmesini umuyorum. En azından antitröst sorunu olduğu açıkça görülüyor

    • Antitröst sorununa katılıyorum ama bugünlerde bunun ciddi bir engel sayılıp sayılmadığından emin değilim
    • Geçen sefer de Google, şirkete mesafe koymaya çalışıp bunu çalışanlarının kişisel GitHub hesapları üzerinden akladı ve öneriyi sanki kullanıcılar istiyormuş gibi olabilecek en samimiyetsiz şekilde paketledi
      Gerçekte bu, Google'ın kontrol uygulamak için kullandığı bir başka mekanizmaydı

  • Bu aptalca bir soru olabilir ama bunun iPhone kullanıcıları için nasıl çalıştığını anlamıyorum. Google Play yok ve burada Android/Google Play gerekiyormuş gibi görünüyor
    Pazarın bu kadar büyük bir kısmını dışarıda bırakacaklarını sanmıyorum

  • Bu yazı hatalı varsayımlarla dolu
    Örneğin “bot operatörleri, ekrana kamera doğrultan sıradan otomasyonlar için hazır donanım kullanıyor. Play Integrity doğrulaması gerektiren görevler için 30 dolarlık uyumlu Android cihazlar gerekiyor” kısmı var
    Bot çiftlikleri 30 dolarlık telefonlarla uzun süre atlatamaz. Google'ın, aynı donanım kimliklerinin günde binlerce kez görünmesini görüp de bunu sahte kullanım olarak değerlendirmeyeceğini gerçekten düşünüyor musunuz?
    Web'in sonsuz AI çöpüne dönüşmesini önlemek için Google'ın gerçekten bir teklif ortaya koymuş olmasını takdir ediyorum. Bu yazı daha iyi bir alternatif sunmuyor; böyle bir alternatif görmek isterim

    • Telefonlar, özellikle yenilenmiş cihazlar söz konusu olduğunda, çok ucuz. Gerçek hayattaki gibi uyku/uyanıklık döngülerini taklit edip ara sıra dinlendirmek yeterli. Çalışma süresi kaybını hesaba katıp %25 daha fazla cihaz kullanırsın
      Üstelik gerçekten de bütün gün, bütün gece sadece telefonda scroll yapan insanlar var. İşsiz olabilirler, engelli olabilirler, uyku bozukluğu ya da mani yaşıyor olabilirler. Bu yüzden daha büyük bir tepki oluşturmadan bunu iyi bir sinyal olarak kullanmak zor. Sonsuz boş vakti olan zor durumdaki insanların tepkisini gerçekten istemezler
    • Özellikle komik olan, bunun hesaplamaya dayalı Proof of Work “CAPTCHA” satan bir içerik pazarlaması olması
      Böyle bir yaklaşım düpedüz sahtekarca bir teknoloji ve ekonomi açısından kötüye kullananlar için bu doğrulama yaklaşımından en az dört basamak daha avantajlı olabilir
    • AI, 30 dolarlık rakamı benim HN yorumumdan kopyalamış gibi görünüyor. Ama ABD için doğru. https://www.walmart.com/ip/Straight-Talk-Motorola-Moto-g-202...
      Operatör kilidi bu kullanım senaryosunda önemli değil. AB'de benzersiz cihaz kimliklerini saklamanın yasal olup olmadığını bilmiyorum
    • Birinin bunu ürünleştireceğini düşünüyorum. Bulut telefon bağımlılığı zaten var ve CAPTCHA çözme hizmetleri talebi de kanıtladı; bulut hizmeti haline gelirse tekrar en başa dönülür
    • Bot çiftliklerinin 30 dolarlık telefonlarla uzun süre aşamayacağı fikri zaten yanlış. Zaten bunu yapıyorlar ve cihaz başına 30 dolardan da çok, 5 doların altına yakın bir maliyet söz konusu
      Çünkü ikinci el piyasasından en kötünün de kötüsünü almak yeterli
      Cihaz doğrulamasına bel bağlamak, akıllı telefonların daha az yaygınlaşacağına ve sahip olma maliyetinin artacağına dair bahis oynamak demek. Bu pek olası görünmüyor

  • Google'ın bunu neden yapmak istediğini de anlıyorum, insanların neden bu özel çözüme karşı çıktığını da
    Bu yazının yazarının bu soruna Proof of Work çözümü sattığını da görmek gerekiyor
    Proof of Work'ün burada doğru yön olduğuna epey şüpheyle bakıyorum. Web kullanıcılarının çoğu eski donanım kullanıyor. Hesaplama geçiş ücreti eklemek, insanların kullanabildiği işlem gücünün çok farklı olduğu bir dünyada sorunu çözmüyor
    Buna karşılık botnetler binlerce bilgisayara erişebiliyor ve 10 saniye daha beklemeyi umursamıyor olabilir. Daha kötüsü, ASIC tabanlı özel çözümler üretip Proof of Work bulmacalarını büyükannenin dizüstü bilgisayarından binlerce kat daha hızlı çözebilirler