Cloudflare Turnstile, parmak izi toplayabilen WebGL gerektiriyor

 (hacktivis.me)
1 puan yazan GN⁺ 52 분 전 | 1 yorum | WhatsApp'ta paylaş
  • Cloudflare Turnstile'ın “Verify you're human” cihaz doğrulaması, yaklaşık bir haftadır WebKitGTK tabanlı tarayıcılarda sonsuz döngüye giriyor
  • Birçok web sitesine erişimin engellenmesinin doğrudan nedeni, Cloudflare'ın WebGL üzerinden cihaz parmak izi almaya çalışması gibi görünüyor
  • Turnstile açıklaması, tarayıcı parmak izi toplama yöntemini insan olup olmadığını doğrulamak için kullandığını ve engelleme/rastgeleleştirme araçlarının kullanıcıyı bot gibi gösterebildiğini belirtiyor
  • WebKit bu tür işlevleri yıllardır engelliyor ve bunun kullanıcıların kolayca kapatabileceği bir gizlilik seçeneği olmadığı görülüyor
  • Safari için bir istisna olduğu tahmin edilirken WebKitGTK tarayıcılarının tamamı engelleniyor; Firefox'un koruma ayarlarını kullanan kullanıcılar da etkilenebilir

WebKitGTK'de tekrarlanan Turnstile doğrulaması

  • Cloudflare Turnstile'ın “Verify you're human” cihaz doğrulaması, yaklaşık bir haftadır WebKitGTK tabanlı tarayıcılarda sonsuz döngüye girerek birçok web sitesine erişimi engelliyor
  • Erişim engelinin nedeni, Cloudflare'ın WebGL üzerinden cihaz parmak izi almaya çalışması gibi görünüyor
  • Turnstile bilgilendirme metni, tarayıcı parmak izi toplama yöntemini insan olup olmadığını doğrulamak için kullandığını söylüyor
  • Parmak izi toplamayı engelleyen veya rastgeleleştiren gizlilik araçları, tarayıcıyı kimliğini gizlemeye çalışan bir bot gibi gösterebilir
  • WebKit bu tür işlevleri yıllardır engelliyor ve bunun kolayca devre dışı bırakılabilen bir gizlilik özelliği olmadığı görülüyor
  • Cloudflare'ın Safari için bir istisna tanıdığı tahmin edilirken, WebKitGTK tarayıcılarının tamamı engellenmiş durumda

Firefox'taki ilgili koruma davranışı

İlgili okumalar

1 yorum

 
GN⁺ 52 분 전
Hacker News yorumları

  • Cloudflare'ın scraper tespitinde tarayıcı parmak izi toplama kullandığı biliniyor. Örneğin JA3 parmak izini kullanıcı aracısıyla karşılaştırarak cURL gibi şeyleri engelliyor, OkHttp'yi (Android istemcisi) ise izin veriyor; ancak CycleTLS gibi paketlerle kolayca taklit edilebiliyor [1]
    İnternetin büyük bir kısmını “bot koruması” adına kapattığı için bunu savunmak istemem ama iş kanıtı (PoW) kullanılmayacaksa parmak izi toplama pratik bir yöntem olabilir ve bunun sonucunda ilgili herkesin gizliliği tamamen mahvolur
    Android için gizlilik odaklı bir Chromium çatalı olan Cromite, Cloudflare Turnstile ile sürekli sorun yaşıyor [2]; çünkü Cloudflare challenge'ı geçirebilmek için çeşitli şekillerde parmak izi topluyor
    Bunu çözmek için Cloudflare Browser Developer programına katılmak gerekiyor ama NDA imzalamak şartmış; proje yöneticisinin bunu reddetmesi makul görünüyor
    Cloudflare'ın tarayıcı parmak izini ne kadar derin kazıdığını görmek için, challenge'ı geçebilmek adına hangi bayrakların kapatılması gerektiğine dair [2] numaralı issue'ya bakmak yeterli. En azından Cloudflare'ın, insanları form gönderimi veya web sitesi erişiminden doğrudan engellemek yerine iş kanıtıyla değiştirecek kadar esnek olabileceğini düşünüyorum
    [1]: https://github.com/Danny-Dasilva/CycleTLS
    [2]: https://github.com/uazo/cromite/issues/2365

    • Cloudflare'ın “bot koruması” yalnızca internetin büyük bir kısmını değil, pek çok insanı da engelliyor. Web sitesi erişim yetkisi kontrolünü hiç düşünmeden tek bir şirkete outsource etme eğilimi çok endişe verici
    • Parmak izi toplamaya dayalı bot koruması neredeyse bir yanılsama. İstemci tarafı sinyaller ortalamanın biraz üstünde bir yetkinlikle bile sahte olarak üretilebilir; parmak izi toplama ise yalnızca reklam işi için piyasa yoğunlaştırma aracıdır
      Konut IP'leri ile ticari ağ bloklarına itibar puanı vermek, istenen sonucu elde etmenin başka bir yolu olabilir. Bu, operatörleri IP kötüye kullanımına karşı çok daha dikkatli olmaya zorlar; ama o zaman saldırgan ve savunmacı taraftaki DDoS işleri birlikte çökebilir
      İronik biçimde, kendi botlarını yaparken başka şirketlerin botlarını engelleme yöntemlerine de yatırım yapan epey şirket var
    • Cloudflare'ın scraping önleme sistemi 5 dolarlık bir kilit gibi, yani tamamen boşuna. Canı sıkılan bir genci durdurabilir ama amatör bir hırsızı bile durduramaz; biri herkese açık veriyi kazımak isterse eninde sonunda kazır. Bunu engellemenin yolu yok
    • “Bot koruması” için parmak izi toplama, büyük ölçekli gözetim için parmak izi toplamadan ayırt edilemez
    • İş kanıtının ekolojik bir kâbus olduğu kısmının daha fazla açıklanmasını isterdim. Kabaca hesaplayınca büyük bir sorun gibi görünmüyor
      5W yükü 2 saniye vermek 0.002Wh eder ve akıllı telefonların da geçmesi gerektiğinden onlara onlarca saniyelik iş kanıtı yaptırılamaz. Günde 8 milyar kontrolü 1 yıl boyunca yapsanız bile 8GWh eder

  • privacy.resistfingerprinting seçeneğinin “Strict” olan “Enhanced Privacy Protection”ta bile etkinleşmemesinin bir nedeni var. Uzun süre açık kullanmayı denedim ama web siteleri tuhaf biçimde bozulduğu için sürekli kapatmak zorunda kaldım ve çeşitli istisnalar ekledim
    Bazı sitelerde saat dilimi işleme bozulduğu için birkaç kez randevuları neredeyse kaçırıyordum. Kullanıcıya Firefox'un bozulmadığını anlatmak için neredeyse “web siteleri bozulursa, garip glitch'ler görürseniz, bilgisayar saatiniz yanlışsa, fontlar tuhafsa ya da videolar bazen çıkmıyorsa buraya tıklayıp parmak izi korumasını kapatın” diyen kalıcı bir banner gerekirdi
    İlginç olan şu ki Turnstile, resistfingerprinting ile bozuluyor ama fingerprintingProtection ile çalışıyor. İkincisi belli ki böyle saçma durumları hesaba katıyor

    • Varsayılan olarak açık olmaması için bu makul bir gerekçe olabilir ama Strict ayarında bile açık olmaması için kötü bir gerekçe
      Strict ayarında sitelerin bozulabileceğini bir ölçüde beklersiniz ama izleme yollarının hâlâ sonuna kadar açık olmasını beklemezsiniz. Aldatıcı hissettiriyor

  • Az kullanılan bir tarayıcının bakımını yapıyorum[0] ve birkaç haftadır çeşitli kullanıcılar bu sorunla karşılaşıyor[1]. Şu anda bunun bir tarayıcı hatası olduğunu düşünmüyorum ama elbette ilgili hatalar olabilir; daha fazla kişinin bakması iyi olur, bu yüzden durumu iyileştirecek ya da hafifletecek fikir ve yardım arıyorum
    [0]: https://konform-browser.codeberg.page/
    [1]: Çoğu mu hepsi mi bilmiyorum. Telemetri olmadan kullanıcı raporlarına ve kendi testlerime dayanıyorum

  • “Kamufle olduğun fark edildiyse, yeterince iyi kamufle olmamışsındır.”
    Bu aptal botlarla savaş, internetin çöküşüne yol açacak ve sonunda yalnızca “onaylı” kullanıcı düşmanı ajanların izinli olduğu başka bir kapalı bahçeye çevirecek. “AI scraper” denen saçmalığa kanmayın. Bu sadece rıza üretmenin bir aracı

    • Botlar sunucuya abanıyorsa rate limit uygulanır. Başkalarının erişmesini istemediğiniz içerikse onu web sunucusundan servis etmeyin

  • Google ile Cloudflare, Chrome dışı tarayıcıları kullanmayı zorlaştırmak için anlaşma mı yaptı? Chrome kullanma baskısı sürekli artıyor ve Chrome'da yapılabilen reklam filtreleme giderek azalıyor

    • Bu muhtemelen Chrome'un webde en popüler tarayıcı olmasının doğal sonuçlarından biri. Sonuçta normal trafiğin büyük kısmı Chrome'dan geliyor
    • 5 yıl önce Cloudflare'dan ayrıldığımda şirket içinde kullanımı onaylı tek tarayıcı Chrome'du
    • O da yetmiyor: https://blog.cloudflare.com/eliminating-captchas-on-iphones-...

  • Bir şeyi gizlerseniz otomatik olarak “gizlemek için nedeni olan ajan” tarafına atılıyorsunuz
    Açık olmak gerekirse asıl sorun da bu. İnternetin bu kadar büyük bir bölümü Cloudflare üzerinden geçtiği için, tek bir belirli sinyalden daha güçlü biçimde kötü niyetli olmadığınızı gösterecek alternatif sinyallerin yeterince fazla olması gerekir
    Yine de aynı ayarları kullanan kullanıcı sayısı tabanda çok az olduğundan, gerçek bir çözüm ortaya çıkana kadar çok uzun zaman geçebilir

  • “Kimliğinizi gizlemeye çalışıyor gibisiniz” diyorlar ama baştan beri bunu talep etme hakları yoktu

    • Aynı mantıkla bakarsak web sitesi içeriğini görme hakkınız da yok demektir

  • privacy.resistfingerprinting ayarını bilmiyordum; bundan sonra tüm Cloudflare Turnstile'ların başarısız olmasına izin vereceğim

    • Açıkken bile Turnstile gayet çalışıyor

  • privacy.resistfingerprinting ayarı Tor Browser içindir

    • Tor Browser'da varsayılan olarak açıktır ve kapatılabiliyor mu ondan bile emin değilim
      Tor Browser'ın gizlilik ve güvenlik yamalarının çoğunu alan Konform Browser ve Mullvad Browser'da da varsayılan olarak açık

  • Suçla ilgili veciz sözlerden biri hoşuma gider: Nüfusun X%'i bir yasayı çiğniyorsa o yasa kaldırılmalıdır. Keyif verici uyuşturucular bunun bariz örneğidir
    Rastgele canvas işleme bot davranışı diye engellendiyse ve artık Firefox kullanan herkes bunu yapıyorsa, belki Cloudflare'ın da bunu “yasallaştırması” gerekmez mi diye düşünüyorum