Google Cloud Fraud Defense ist nur WEI mit neuem Anstrich

 (privatecaptcha.com)
1 Punkte von GN⁺ 1 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Google Cloud Fraud Defense wurde für 2026 als „nächste Evolution von reCAPTCHA“ angekündigt, basiert im Kern aber auf derselben Geräteattestierungs-Infrastruktur wie das 2023 zurückgezogene Web Environment Integrity
  • Bei der QR-Challenge von Fraud Defense scannt der Nutzer mit dem Smartphone einen Code, das Gerät wird über die Play Integrity API attestiert, und das Ergebnis wird an die ursprüngliche Website zurückgegeben, wo es als Nachweis menschlicher Anwesenheit dient
  • Als zulässige Hardware kommen nur aktuelle Android-Geräte mit installierten Google Play Services oder aktuelle iPhones/iPads infrage; Optionen wie GrapheneOS, LineageOS for microG oder Firefox für Android sind damit grundsätzlich ausgeschlossen
  • Die QR-Challenge lässt sich umgehen, indem man einfach eine Kamera vor den Bildschirm hält, und kompatible Android-Geräte sind schon für etwa 30 $ erhältlich, was für professionelle Botfarmen kaum eine ernsthafte Hürde darstellt
  • Bei jeder erfolgreich bestandenen Challenge erhält Google das Signal, dass „ein attestiertes Gerät zu einem bestimmten Zeitpunkt auf eine bestimmte Website zugegriffen hat“, was Attributionsinformationen erzeugen kann, die Sitzungen und Browser übergreifen

Die Verbindung zwischen Google Cloud Fraud Defense und WEI

  • Im Mai 2026 stellte Google Google Cloud Fraud Defense als „nächste Evolution von reCAPTCHA“ vor und präsentierte eine Challenge, bei der Nutzer per QR-Code-Scan mit dem Smartphone ihre menschliche Anwesenheit nachweisen
  • 2023 veröffentlichte der Google-Ingenieur Yoav Weiss im Chromium-Projekt den Vorschlag Web Environment Integrity
    • Dabei sollte der Browser eine kryptografische Bestätigung von der Gerätehardware signieren lassen, um nachzuweisen, dass der Browser nicht verändert wurde und auf von Google zertifizierter Hardware läuft
    • Websites hätten diese Signatur prüfen können, um zu entscheiden, ob Inhalte reibungslos ausgeliefert oder zusätzliche Challenges verlangt werden
    • Begründet wurde der Vorschlag mit dem Schutz der Web-Integrität gegen Bots und automatisiertes Scraping
  • Mozilla veröffentlichte binnen weniger Tage eine offizielle Stellungnahme und bewertete den Vorschlag als „gegen die Interessen der Nutzer“ und als Schritt hin zu einem „gate-kept internet controlled by OS and device vendors“
  • Die Electronic Frontier Foundation bezeichnete dies als „Chromes Web-DRM-Plan“ und argumentierte, dass Chrome auf Android oder zertifizierter Hardware den Nachweis konstruktionsbedingt am einfachsten erbringen könne, wodurch Traffic ins Google-Ökosystem gelenkt würde
  • Google zog WEI drei Wochen nach der Veröffentlichung zurück, und der Chromium-GitHub-Thread wurde geschlossen; mit Fraud Defense wurde 2026 jedoch dieselbe Infrastruktur zur Geräteattestierung als Basis eines kommerziellen Produkts eingeführt

Der tatsächliche Mechanismus der QR-Code-Challenge

  • Die Fraud-Defense-Challenge funktioniert so, dass Nutzer auf einer Website einen QR-Code sehen und ihn mit der Kamera ihres Smartphones scannen
  • Das Smartphone wird über Googles Play Integrity API attestiert, die bestätigt, dass es sich um zertifizierte Hardware handelt
  • Dieses Prüfungsergebnis wird an die ursprüngliche Website zurückgesendet und dort als Nachweis menschlicher Anwesenheit verwendet
  • Auf der Anforderungsseite von Fraud Defense wird als zulässige Hardware „aktuelle Android-Geräte mit installierten Google Play Services oder aktuelle iPhones/iPads“ angegeben
  • Google Play Services ist Googles proprietäre Softwareschicht, die auf zertifizierten Android-Geräten läuft und die Play Integrity API bereitstellt, mit der sich nachweisen lässt, dass ein Gerät unverändert ist und von Google genehmigt wurde
  • Geräte ohne Play Services können die von Fraud Defense geforderte Stufe der Play-Integrity-Prüfung nicht erfüllen; genau diese Bedingung ist ein zentraler Mechanismus von Fraud Defense
  • Während Google WEI im Standardisierungsprozess öffentlich verteidigen musste und auf Widerstand stieß, woraufhin der Vorschlag zurückgezogen wurde, wurde Fraud Defense direkt als kommerzieller Dienst eingeführt, den Organisationen mit Google-Cloud-Abrechnungskonto nutzen können

Umgehung per QR-Code und Phishing-Risiken

  • Die QR-Code-Challenge lässt sich von Bot-Betreibern mechanisch umgehen, indem einfach eine Kamera vor den Bildschirm gestellt wird
  • Selbst für Aufgaben, die einen Play-Integrity-Nachweis erfordern, sind kompatible Android-Geräte schon für etwa $30 erhältlich, etwa das $29.88 Motorola Moto g 2025 bei Walmart
  • Für professionelle Botfarmen, die Geräte in großer Stückzahl kaufen, ist das eher ein fixer Betriebskostenposten als ein echter Eingriff in den Betrieb
  • Im HN-Thread äußerte ein Incident-Response-Experte die Sorge, dass es in der Praxis schwer sei, „Susan aus der Personalabteilung“ beizubringen, einen echten Google-Captcha-QR-Code von einem bösartigen Phishing-QR-Code zu unterscheiden
  • Die QR-Challenge trainiert Nutzer darauf, zum Zugriff auf Websites Codes zu scannen, und Phishing-Kampagnen können dieses Verhalten unmittelbar ausnutzen

Unterschiede zu bestehender QR-Authentifizierung und Geräteattestierung

  • iOS App Attestation prüft, ob eine App über den App Store installiert wurde und nicht verändert ist
  • Es ist etwas grundlegend anderes, Apps innerhalb eines von iPhone-Nutzern bewusst gewählten geschlossenen Ökosystems zu verwalten, als im offenen Web das Aufrufen von URLs an von Privatunternehmen zertifizierte Hardware zu knüpfen
  • Für das offene Internet gibt es dafür keinen Präzedenzfall; App Stores sind optionale Ökosysteme mit expliziten Nutzungsbedingungen, während das Web nicht auf Hardware-Voraussetzungen ausgelegt ist
  • QR-basierte Authentifizierung existiert bereits
    • Estlands Smart ID verwendet QR-Codes zur Verifikation von Nutzern bei Ressourcen mit klaren Grenzen und Zustimmungsrahmen, etwa Bankportalen, Behördendiensten oder Gesundheitsakten
    • Nutzer entscheiden sich bewusst für die Authentifizierung, die geschützten Ressourcen sind vorab definiert, und der Umfang ist klar abgegrenzt
  • Google Cloud Fraud Defense kann Geräteattestierung jedoch im offenen Web auf jede URL anwenden, die ein Betreiber als Zugangsschranke festlegt
  • Dieser Ansatz hat keine gleichwertige Zustimmungsstruktur und keine Zweckbindung, und Nutzer könnten schwer erkennen, dass ihre Hardware-Identität faktisch als Zugangsnachweis fungiert

Ausschluss von Nutzern mit hohem Privacy-Bedarf

  • Für den Nachweis über Google Play Integrity sind Google Play Services erforderlich
  • GrapheneOS ist ein sicherheitsgehärteter Android-Fork ohne standardmäßig integrierte Play Services; die EFF empfiehlt es, und Journalisten, Anwälte sowie Aktivisten nutzen es in Hochrisikoumgebungen
  • GrapheneOS unterstützt zwar eine Sandbox-Kompatibilitätsschicht für einige Funktionen der Play Services, erfüllt aber nicht die von Fraud Defense geforderte Play-Integrity-Stufe MEETS_DEVICE_INTEGRITY
  • Aus demselben Grund scheitert auch die datenschutzorientierte Android-Distribution LineageOS for microG, die für Nutzer entwickelt wurde, die Open-Source-Alternativen bevorzugen
  • Sämtliche Custom-ROMs ohne Play Services erfüllen die Anforderungen von Fraud Defense nicht
  • Firefox für Android taucht nicht in Googles expliziter Browser-Supportliste für Fraud Defense auf
  • Firefox integriert Google Play Integrity bewusst nicht, und Mozillas Ablehnung von Geräteattestierung aus dem Jahr 2023 war klar formuliert und gilt weiterhin
  • Damit werden unter den großen mobilen Browsern vor allem privacy-orientierte Firefox-Nutzer standardmäßig von attestiertem Zugriff ausgeschlossen — nicht weil sie Bots wären, sondern weil sie Software verwenden, die die Teilnahme an Googles Attestierungsarchitektur verweigert

Das Problem des „legitimen“ Trackings

  • Jedes Mal, wenn eine Fraud-Defense-Challenge erfolgreich ist, erhält Google das Signal: „Dieses attestierte Gerät hat zu diesem Zeitpunkt auf diese Website zugegriffen“
  • Geräteattestierung dient nicht nur dazu, Zugriff zu blockieren oder zu erlauben, sondern erzeugt auch Attributionsinformationen
  • Geräte mit stabiler Hardware-Identität können einen persistenten Identifikator schaffen, der Sitzungen, Browser und private Browsing-Modi übergreift
  • Das Unternehmen, das definiert, welche Hardware als „legitim“ gilt, sammelt damit potenziell auch eine dauerhafte Historie darüber, wohin sich diese Hardware im offenen Web bewegt
  • Das ist kein bloßer Nebeneffekt der Betrugsabwehr, sondern eine strukturelle Folge der Entscheidung, Verifikation an attestierte Geräteidentitäten zu binden

Als Alternative genannte Proof-of-Work-Verfahren

  • Private Captcha und ähnliche Proof-of-Work-Systeme stellen kryptografische Challenges aus, die Rechenaufwand erfordern
  • Für einen einzelnen Nutzer sind die Kosten zum Lösen einer einzelnen Challenge vernachlässigbar
  • Botfarmen, die viele gleichzeitige Sitzungen betreiben, tragen dagegen mit jedem zusätzlichen Versuch höhere Rechenkosten
  • Auch KI-Agenten, die unter Verbrauch von GPU-Zyklen arbeiten, zahlen dieselbe Kostenstrafe — unabhängig davon, wie ausgefeilt ihre Inferenzfähigkeiten sind
  • Dieser Ansatz überträgt keine Hardware-Identifikatoren, verlangt keine Attestierung und fügt keine Zertifizierungsschicht ein, die festlegt, wer teilnehmen darf
  • Die Privacy der Nutzer wird dabei nicht nur versprochen, sondern strukturell gewahrt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 1 시간 전
Hacker-News-Kommentare

  • Das war seit Langem absehbar. Computer sind beim Lösen von CAPTCHAs besser als Menschen, und Menschen können gegen Bezahlung oder durch Überredung in ein Botnetz gebracht werden, daher helfen auch IP-Allowlists nicht
    Inzwischen gibt es jede Menge Fingerprinting und Verhaltensanalyse, aber genau das wird von Regierungen reguliert. Auch YouTube hatte ein großes Werbebetrugsproblem, bei dem Werbung in eingebetteten Videos im Hintergrund abgespielt wurde, also war die Erkennung offenbar nicht ausreichend
    Es gibt nicht viele gute Wege, zu beweisen, dass man kein Bot ist, und noch weniger ohne Dinge wie Identitätsprüfung. Dieser Opt-in-Ansatz wird vorerst helfen, die Verantwortung auf einzelne Web-Stores abzuwälzen, aber langfristig wird das offene, menschenzentrierte Internet wohl verschwinden oder hinter solcher nachweisbasierter Verifikation eingeschlossen werden
    Apple hat vor einigen Jahren zusammen mit Cloudflare Remote Attestation in Safari eingebaut, und Google geht jetzt noch einen Schritt weiter. Apples Ansatz funktioniert nicht besonders gut gegen Bots, die den Browser tatsächlich bedienen statt nur Skript-Automatisierung zu nutzen
    Glücklicherweise zielt der aktuelle Ansatz vor allem auf Shops und Ähnliches, sodass man ihn umgehen kann, indem man einfach in einem anderen Shop kauft. Wenn Shops aber merken, dass Klickfarmen Hunderte von Handys haben, die nur Remote-Inhalte antippen, könnte die Einführung begrenzt bleiben
    Bis das flächendeckend ausgerollt ist, wird es wohl noch einige Jahre dauern, aber solange AI nicht plötzlich wieder breit an Bedeutung verliert, scheint es letztlich schwer vermeidbar

    • Interessant ist, dass CAPTCHA ursprünglich als umgekehrter Turing-Test populär wurde und jetzt faktisch zu einer Variante von Proof of Work geworden ist
      Dass Google das damals clever zur Verbesserung seiner OCR-Modelle genutzt hat, stimmt zwar, aber welchen Nutzen die heute nachgewiesene „Arbeit“ hat, ist fraglich
    • Auch das lässt sich wohl kaum dauerhaft verhindern, wenn man Menschen dafür bezahlt, QR-Codes zu scannen und ihren Standort zu fälschen
    • Ich frage mich, wie genau dieses Bestechen von Menschen konkret aussieht. Wie viel kann man verdienen, was muss man tun, und reicht es, eine kleine Box ans Netzwerk zu hängen und sie dann zu vergessen?
      Ich frage mich auch, ob man verhandeln kann, wenn man sie vor der nächsten Auszahlung wieder ausstöpselt. Ich frage für einen Freund, der wegen seines Lebensunterhalts lieber kein Plasma verkaufen möchte
    • Ich persönlich glaube, dass von LLMs gesteuerte Browser-Sessions leichter zu erkennen sind. Die Leute, die so etwas ausrollen, sind viel naiver und unerfahrener als die klassischen Scraper- oder Crawler-Leute
      Ich möchte das Meme „Du bringst doch keine 40-Petabyte-Zip-Bomb mit in die Schule, oder?“ einbauen
    • Hängt von der Kostenstruktur ab, aber Google wird am Ende wohl verlieren, ähnlich wie bei Anti-Cheat in Games. Wenn es Tools gibt, die Bildschirmbilder parsen und Eingaben wie ein USB-Gerät senden, gibt es praktisch nichts mehr zu erkennen
      Auf Webseiten scheint das viel einfacher zu sein als bei Videospielen

  • Von „Don’t be evil“ zu einem Unternehmen geworden, das das größte und invasivste Überwachungssystem der Welt baut
    Schon davor war es so, aber das hier zeigt, dass es für Google nie genug Tracking geben kann. Google wird versuchen, die Online-Aktivitäten aller noch stärker zu verfolgen, und dafür jedes verfügbare Werkzeug einsetzen

    • Nicht ein abstraktes Wesen namens Google, sondern konkrete Menschen denken sich diese Idee aus und drücken sie durch
      Man sollte Unternehmen nicht nur als abstrakte Entitäten sehen, sondern als Gruppen kranker Menschen, die solche Entscheidungen treffen

  • Drei HN-Links hintereinander angeklickt, und alle drei schienen zu LLM-generierten Texten zu führen. Ich bin nicht gegen AI an sich, aber ich bin es leid, zuzusehen, wie menschliches Denken und menschlicher Ausdruck still ersetzt werden

    • Ich sehe oft diese Haltung „Das wurde eindeutig von AI erzeugt“ und frage mich, woran genau man das festmacht. Was ist daran LLM-generiert und woher weiß man das?
      Noch offensichtlicher ist doch, dass unser Vertrauenssystem bereits zusammengebrochen ist. Dass Kommentatoren sich gegenseitig als AI beschuldigen, ist selbst ein Beispiel dafür

  • Ob AMP, Manifest V3, Spielereien am Android-Sourcecode, der Versuch, Cookies durch Unsinn wie FLoC zu ersetzen, oder jetzt das hier: Google entwickelt sich schnell zu einer böswilligen Kraft gegenüber dem offenen Internet

    • Am Ende hatte RMS also immer recht. Erstaunlich genug
    • AMP war wirklich unerquicklich, als ich vor etwa 4 bis 5 Jahren in einer marketinggetriebenen Webentwicklungsfirma gearbeitet habe
      Es fühlte sich so an, als würde „Google es lieben, deinen Artikel in seine eigene miese UI zu pressen, nur weil Nutzer dadurch ein bisschen Zeit sparen“
      Einerseits sollte man Websites mit aufwendigem Design differenzieren, andererseits musste man sich einem Giganten beugen, der das gesamte Webdesign überspringen und Inhalte durch eine vorgefertigte UI leiten wollte
      Ich bin wirklich froh, dass es verschwunden ist. Bei Googles genereller Bilanz hätte man wissen müssen, dass es in ein paar Jahren wieder stirbt
    • Schon beim letzten WEI haben Google-Mitarbeiter die Auswirkungen heruntergespielt, als wäre das alles harmlos und die Leute bloß hysterisch. Ich habe gerade nachgesehen: Alle, die das damals verteidigt haben, sind inzwischen aus dem Unternehmen weg
      Die nächste Welle von Google-Managern, die bei der Führung gut dastehen wollen, wird dieses neue Vorhaben bald verteidigen
    • Siehst du nicht, wie sich um uns herum alles schließt? Das ist nicht nur ein Google-Thema. Regierungen und Unternehmen auf der ganzen Welt bewegen sich gleichzeitig. Die Schlinge zieht sich schrittweise zu und wird sich irgendwann auf einmal festziehen, und sie zielt auf uns alle
      https://community.qbix.com/t/increasing-state-of-surveillanc...
      Die Bedrohungen greifen absichtlich oder konvergent ineinander. Die Identitätsschicht (1–5) schafft die Voraussetzungen für den Rest, und sobald Identität auf SIM-/Account-/Geräteebene etabliert ist, entstehen Ausnahmen, die Überwachung politisch möglich machen. Mächtige Nutzer werden ausgenommen, normale Nutzer überwacht
      Die Geräteschicht (10–12, 16–19) schafft die Endpunkte der Überwachung. Wenn Inhalte vor der Verschlüsselung auf dem Gerät gescannt werden, wird der kryptografische Schutz der Kommunikationsschicht bedeutungslos
      Die Kommunikationsschicht (6–9) wurde bislang am besten verteidigt, und Massen-Scanning wurde immer wieder gestoppt. Das ist die Schicht mit der besten Widerstands-Bilanz
      Die Meldeschicht (13–15) steckt noch in einem frühen Stadium. Hooks, die direkt aus dem Betriebssystem an Regierungen melden, wurden noch nicht in großem Maßstab geschaffen, und der britische Vorschlag vom Dezember 2025 ist hier die Frontlinie
      Plattformkontrolle (20–24) entscheidet darüber, ob Alternativen überhaupt existieren können. Browser-Vielfalt, Vielfalt bei der App-Verteilung und Engine-Vielfalt sind strukturelle Schutzmechanismen, und alle drei werden schmaler
      Eine Gesellschaft, in der alle fünf Schichten voll ausgebaut sind, verfügt über eine vollständige Überwachungsinfrastruktur mit Ausnahmeregelungen für Eliten. Wir sind ungefähr bei 40 %. Ob diese Infrastruktur dystopisch wird, hängt nicht von der Technik, sondern von politischen Entscheidungen ab
      Das gesamte HN ist erstaunlich unempfindlich dafür, wie sich die Schlinge zuzieht, weil viele stark gegen dezentrale verteilte Alternativen sind, sobald auch nur im Geringsten Tokens im Spiel sind. Man kann sich beschweren, aber aus Gruppendenken dezentrale Alternativen zu begraben und downzuvoten, macht einen in gewissem Maß mitschuldig an der Erosion von Privatsphäre und Freiheit. Selbst wenn man einem Projekt nicht zustimmt, kann die darin steckende Arbeit einen Upvote wert sein. Ohne solche Arbeit sind wir faktisch erledigt
    • Nicht „verändert sich schnell“, sondern war schon immer so
      Google hat buchstäblich schon vor Jahrzehnten Kartelle wie die „Open Handset Alliance“ aufgebaut
      Indem Google das Monopol über Chrome und Search kontrolliert, hält es absolute Macht darüber, wie Websites gerendert und gefunden werden können

  • Ich würde dringend empfehlen, Chrome hinter sich zu lassen. Google hat jeden Respekt völlig verloren
    Es ist nur ein kleiner Schritt, aber er könnte anderen Akteuren wieder Raum geben, so wie damals, als Chrome erstmals auftauchte

    • Als die Adblocker kaputtgemacht wurden, habe ich wirklich versucht, Chrome zu verlassen, und monatelang Alternativen genutzt, aber mir haben die anderen Browser einfach nicht gefallen
      Auf dem Mac nutze ich meistens Safari, aber unter Windows gibt es diese Option nicht, und die großen Anbieter sagen mir nicht zu, während die kleinen schwer vertrauenswürdig sind
      Selbst die „großen“ Kleinen wirken in Sicherheitsfragen nicht besonders vertrauenerweckend. Es gab Fälle wie die „Boosts“-Funktion des Arc-Browsers, die Remote Code Execution ermöglicht hat
      Also bin ich am Ende zu Chrome zurückgekehrt

  • Ich mag nicht, was Google da tut, aber dieser Artikel hat Probleme
    Der Teil „Für Vorgänge, die eine Play-Integrity-Bestätigung benötigen, kostet ein spezifikationskonformes Android-Gerät zum aktuellen Marktpreis etwa 30 Dollar“ unterstellt, dass Googles Logik etwa if(attestationResult == "success") allow() lautet. Aber es ist nicht schwer anzunehmen, dass der Gerätetyp in irgendeinen Fraud Score einfließt. Ein teures Gerät könnte zum Beispiel einen niedrigeren Fraud Score haben als ein billiges, was den massenhaften Kauf billiger Geräte erschwert. Auch die Gerätekombinationen auf einer bestimmten Website lassen sich analysieren, sodass Tausende chinesische Handys, die plötzlich bei Anne's Muffin Shop Konten anlegen, einen höheren Fraud Score erhalten würden
    Der Teil „Firefox für Android steht nicht auf Googles Liste unterstützter Browser für Fraud Defense“ ist ebenfalls fragwürdig, denn der Browser müsste nur einen QR-Code anzeigen. Bei Firefox Mobile könnte man einfach einen Deeplink zu den Google Play Services des Telefons öffnen oder den QR-Code anzeigen
    Bot-Abwehr auf Basis von Proof of Work hat sich kaum durchgesetzt, weil JavaScript langsam ist und menschliche Zeit teurer ist als Computerzeit. Ein Angreifer stört sich nicht daran, wenn der Server 10 Sekunden auf die Lösung eines Proof-of-Work-Problems wartet, ein Mensch schon. Bei Hetzner kostet ein 8-Core-Server 10 Cent pro Stunde. Selbst wenn alle Desktop-CPUs auf 8-Core-Niveau hätten, kostet eine 6-Minuten-Challenge den Angreifer 1 Cent. Wie viel bewertet ein normaler Mensch dagegen 6 Minuten seiner Zeit?

  • Das ist wirklich widerlich, und es so still und ohne öffentliche Diskussion durchdrücken zu wollen, ist unredlich. Hoffentlich wird es wie beim letzten Mal gestoppt. Zumindest ein Kartellrechtsproblem scheint klar erkennbar

    • Dem Kartellrechtsproblem stimme ich zu, aber ich bin mir nicht sicher, ob das heute noch als ernsthafte Hürde angesehen wird
    • Schon beim letzten Mal hat Google das über den persönlichen GitHub-Account eines Mitarbeiters gewaschen, um Abstand zum Unternehmen vorzutäuschen, und den Vorschlag so unredlich wie möglich als Nutzerwunsch verpackt
      In Wirklichkeit war es nur ein weiteres Instrument, mit dem Google Kontrolle ausüben wollte

  • Vielleicht eine dumme Frage, aber ich verstehe nicht, wie das für iPhone-Nutzer funktionieren soll. Es gibt dort kein Google Play, und hier wirkt es so, als würde Android/Google Play gebraucht
    Einen so großen Teil des Marktes werden sie doch kaum abschneiden wollen

  • Dieser Artikel steckt voller falscher Annahmen
    Zum Beispiel steht dort: „Bot-Betreiber bauen triviale Automatisierung mit Standardhardware, bei der eine Kamera auf den Bildschirm gerichtet ist. Für Aufgaben, die Play-Integrity-Bestätigung erfordern, braucht es ein kompatibles Android-Gerät für 30 Dollar“
    Botfarmen können nicht lange mit 30-Dollar-Handys durchkommen. Glaubt hier wirklich jemand ernsthaft, Google würde dieselbe Hardware-ID, die Tausende Male pro Tag auftaucht, nicht als betrügerische Nutzung einstufen?
    Ich begrüße, dass Google überhaupt einen echten Vorschlag gemacht hat, um zu verhindern, dass das Web zu endlosem AI-Müll verkommt. Der Artikel bietet keine bessere Alternative an, und ich würde gern eine sehen

    • Handys sind extrem billig, vor allem refurbished. Man müsste nur realistische Schlaf-/Wachzyklen imitieren und ihnen gelegentlich Pausen geben. Dann setzt man eben 25 % mehr Geräte ein, um die verlorene Laufzeit auszugleichen
      Außerdem gibt es tatsächlich Menschen, die den ganzen Tag und die ganze Nacht nur auf dem Handy scrollen. Vielleicht Arbeitslose, Menschen mit Behinderung oder Menschen mit Schlafstörungen oder Manie. Deshalb taugt das kaum als gutes Signal, ohne stärkeren Backlash auszulösen. Den Gegenwind von Leuten in schwierigen Lebenslagen mit scheinbar unendlicher freier Zeit will man wirklich nicht provozieren
    • Besonders lustig ist, dass das hier Content-Marketing für rechenbasierte Proof-of-Work-„CAPTCHAs“ ist
      Solche Ansätze sind reine Schlangenöl-Technologie, und die Ökonomie dürfte Missbrauchern gegenüber diesem Attestierungsansatz wahrscheinlich um mindestens vier Größenordnungen günstiger sein
    • Die AI scheint die Zahl 30 Dollar aus meinem HN-Kommentar geklaut zu haben. Für die USA stimmt es aber. https://www.walmart.com/ip/Straight-Talk-Motorola-Moto-g-202...
      Die Netzsperre des Anbieters ist für diesen Anwendungsfall egal. Ich weiß nicht, ob es in der EU legal ist, eindeutige Gerätekennungen zu speichern
    • Irgendjemand wird das vermutlich als Produkt aufziehen. Abhängigkeit von Cloud-Handys gibt es bereits, und CAPTCHA-Lösedienste haben die Nachfrage schon bewiesen. Wenn das zum Cloud-Service wird, sind wir wieder am Ausgangspunkt
    • Dass Botfarmen nicht lange mit 30-Dollar-Handys durchkommen könnten, stimmt schon jetzt nicht. Sie machen das bereits, und es liegt eher bei unter 5 Dollar pro Gerät als bei 30 Dollar
      Man muss auf dem Gebrauchtmarkt nur wirklich das Allerbilligste kaufen
      Auf Geräte-Attestierung zu setzen heißt letztlich darauf zu wetten, dass Smartphones seltener werden und der Besitz teurer wird. Das scheint mir unwahrscheinlich

  • Ich verstehe, warum Google das machen will, und ich verstehe auch, warum Leute gegen genau diese Lösung sind
    Man sollte aber auch sehen, dass der Autor dieses Artikels eine Proof-of-Work-Lösung für dieses Problem verkauft
    Ich bin ziemlich skeptisch, ob Proof of Work hier der richtige Weg ist. Viele Webnutzer verwenden alte Hardware. Wenn man einen Rechenzoll hinzufügt, löst das in einer Welt mit sehr ungleich verteilten Rechenressourcen das Problem nicht
    Botnetze dagegen haben Zugriff auf Tausende Computer und stören sich vielleicht nicht an 10 Sekunden zusätzlicher Wartezeit. Schlimmer noch: Sie könnten maßgeschneiderte ASIC-basierte Lösungen bauen, die Proof-of-Work-Puzzles tausendfach schneller lösen als der Laptop einer Oma