Cloudflare Turnstile verlangt WebGL, das Fingerprinting ermöglicht

 (hacktivis.me)
1 Punkte von GN⁺ 1 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Die Geräteprüfung „Verify you're human“ von Cloudflare Turnstile wiederholt sich seit etwa einer Woche in Endlosschleife in Browsern auf Basis von WebKitGTK
  • Die direkte Ursache dafür, dass der Zugriff auf mehrere Websites blockiert wird, scheint zu sein, dass Cloudflare über WebGL einen Geräte-Fingerprint erfassen will
  • Die Turnstile-Hinweise erklären, dass Browser-Fingerprinting genutzt wird, um festzustellen, ob es sich um einen Menschen handelt, und dass Blockierungs- oder Randomisierungs-Tools wie Bots wirken lassen können
  • WebKit blockiert solche Funktionen seit Jahren, und es wirkt nicht wie eine Datenschutzoption, die Nutzer leicht abschalten können
  • Während es für Safari offenbar eine Ausnahme gibt, wird die gesamte Klasse der WebKitGTK-Browser blockiert; auch Nutzer von Firefox-Schutzeinstellungen könnten betroffen sein

Wiederholte Turnstile-Verifizierung in WebKitGTK

  • Die Geräteprüfung „Verify you're human“ von Cloudflare Turnstile wiederholt sich seit etwa einer Woche in Endlosschleife in Browsern auf Basis von WebKitGTK und blockiert so den Zugriff auf mehrere Websites
  • Ursache der Zugriffssperren scheint zu sein, dass Cloudflare über WebGL einen Geräte-Fingerprint erfassen will
  • Der Hinweistext von Turnstile erklärt, dass Browser-Fingerprinting verwendet wird, um festzustellen, ob es sich um einen Menschen handelt
  • Datenschutz-Tools, die Fingerprinting blockieren oder randomisieren, können den Browser wie einen Bot erscheinen lassen, der seine Identität verbergen will
  • WebKit blockiert solche Funktionen seit Jahren, und es scheint keine Datenschutzfunktion zu sein, die sich leicht deaktivieren lässt
  • Während Cloudflare für Safari vermutlich eine Ausnahme macht, ist die gesamte Klasse der WebKitGTK-Browser blockiert

Verwandtes Schutzverhalten in Firefox

Verwandte Beiträge

1 Kommentare

 
GN⁺ 1 시간 전
Hacker-News-Kommentare

  • Es ist bekannt, dass Cloudflare zur Erkennung von Scrapern Browser-Fingerprinting einsetzt. Zum Beispiel wird ein JA3-Fingerprint mit dem User-Agent abgeglichen, um Dinge wie cURL zu blockieren und OkHttp (Android-Client) zuzulassen, aber mit Paketen wie CycleTLS lässt sich das leicht tarnen [1]
    Ich will das nicht verteidigen, weil unter dem Vorwand des „Bot-Schutzes“ große Teile des Internets abgeschottet werden, aber wenn man keinen Proof of Work (PoW) verwendet, könnte Fingerprinting eine realistische Methode sein, und als Folge wird die Privatsphäre aller Beteiligten vollständig ruiniert
    Cromite, ein auf Privatsphäre ausgerichteter Chromium-Fork für Android, hat ständig Probleme mit Cloudflare Turnstile [2], weil Cloudflare auf verschiedene Arten Fingerprinting betreibt, um Challenges passieren zu lassen
    Um das zu lösen, müsste man dem Cloudflare Browser Developer Program beitreten, was die Unterzeichnung einer NDA erforderte, und es wirkt nachvollziehbar, dass der Projektverwalter das abgelehnt hat
    Wenn man sehen will, wie tief Cloudflare beim Browser-Fingerprinting gräbt, reicht ein Blick in Issue [2], um zu sehen, welche Flags deaktiviert werden müssen, um die Challenge zu bestehen. Mindestens sollte Cloudflare flexibel genug sein, Menschen nicht einfach an Formularübermittlungen oder dem Zugriff auf Websites zu hindern, sondern stattdessen Proof of Work zu verwenden
    [1]: https://github.com/Danny-Dasilva/CycleTLS
    [2]: https://github.com/uazo/cromite/issues/2365

    • Cloudflares „Bot-Schutz“ blockiert nicht nur große Teile des Internets, sondern auch viele Menschen. Die Entwicklung, die Zugriffskontrolle für Websites gedankenlos an ein einziges Unternehmen auszulagern, ist äußerst beunruhigend
    • Fingerprinting-basierter Bot-Schutz kommt einer Illusion gleich. Clientseitige Signale lassen sich schon ab einem leicht überdurchschnittlichen Niveau fälschen, und Fingerprinting ist nur ein Mittel zur Marktkonzentration für das Werbegeschäft
      Eine andere Möglichkeit, das gewünschte Ergebnis zu erreichen, wäre, Wohn-IP-Adressen und kommerziellen Netzen Reputation zuzuweisen. Das würde Anbieter dazu bringen, mit IP-Missbrauch viel vorsichtiger umzugehen, aber dann könnten die DDoS-Geschäfte auf Angreifer- wie Verteidigerseite gleichzeitig zusammenbrechen
      Ironischerweise gibt es ziemlich viele Unternehmen, die ihre eigenen Bots bauen und gleichzeitig in Methoden investieren, um die Bots anderer Firmen zu blockieren
    • Cloudflares Scraping-Abwehr ist ungefähr ein 5-Dollar-Schloss, also letztlich vergeudete Mühe. Vielleicht hält sie gelangweilte Teenager ab, aber nicht einmal Hobbydiebe, und wenn jemand öffentliche Daten scrapen will, wird er sie am Ende doch scrapen. Es gibt keine Möglichkeit, das zu verhindern
    • Fingerprinting für „Bot-Schutz“ ist nicht von Fingerprinting zur Massenüberwachung zu unterscheiden
    • Ich hätte gern mehr Erläuterung dazu, warum Proof of Work ökologisch ein Albtraum sein soll. Grob überschlagen scheint das kein großes Problem zu sein
      5 W Last für 2 Sekunden ergeben 0,002 Wh, und weil auch Smartphones durchkommen müssen, kann man keine Proof-of-Work-Aufgaben von mehreren Dutzend Sekunden verlangen. Selbst bei 8 Milliarden Prüfungen pro Tag über ein Jahr wären das 8 GWh

  • Es gibt einen Grund, warum privacy.resistfingerprinting auch dann nicht aktiviert wird, wenn man „Strict“ bei „Enhanced Privacy Protection“ auswählt. Ich habe es lange aktiviert genutzt, aber Websites gingen merkwürdig kaputt, sodass ich es ständig wieder abschalten und Umgehungen hinzufügen musste
    Auf manchen Seiten geriet die Zeitzonenbehandlung durcheinander, sodass ich beinahe einige Termine verpasst hätte. Um Nutzern klarzumachen, dass nicht Firefox kaputt ist, bräuchte es fast ein permanentes Banner wie: „Wenn Websites kaputtgehen oder seltsame Glitches auftreten oder Ihre Computerzeit falsch ist oder Schriftarten merkwürdig aussehen oder Videos manchmal nicht abgespielt werden, klicken Sie hier, um den Fingerprinting-Schutz zu deaktivieren“
    Interessanterweise bricht Turnstile unter resistfingerprinting zusammen, funktioniert aber unter fingerprintingProtection. Letzteres scheint auf solche beschissenen Situationen ausgelegt zu sein

    • Als Grund, es standardmäßig nicht zu aktivieren, mag das okay sein, aber als Grund, es selbst bei der Strict-Einstellung nicht zu aktivieren, ist es schlecht
      Bei der Strict-Einstellung erwartet man bis zu einem gewissen Grad, dass Seiten kaputtgehen können, aber nicht, dass Tracking-Pfade weiterhin sperrangelweit offenstehen. Das wirkt täuschend

  • Ich pflege einen Nischenbrowser[0], und seit ein paar Wochen haben mehrere Nutzer dieses Problem[1]. Im Moment halte ich es nicht für einen Browser-Bug, aber natürlich könnte es damit zusammenhängende Bugs geben, und ich würde mich über Ideen und Hilfe freuen, um die Lage zu verbessern oder abzumildern, wenn mehr Leute draufschauen
    [0]: https://konform-browser.codeberg.page/
    [1]: Ich weiß nicht, ob es die Mehrheit oder alle betrifft. Ohne Telemetrie sind wir auf Nutzerberichte und eigene Tests angewiesen

  • „Wenn man bemerkt hat, dass du dich tarnst, dann hast du dich nicht gründlich genug getarnt.“
    Dieser dumme Krieg gegen Bots führt zum Niedergang des Internets und wird es am Ende in einen weiteren geschlossenen Garten verwandeln, in dem nur noch „zugelassene“ nutzerfeindliche Agenten erlaubt sind. Man sollte nicht auf dieses Gerede von „AI-Scrapern“ hereinfallen. Das ist nur ein Mittel, um Zustimmung herzustellen

    • Wenn Bots auf den Server eindreschen, setzt man Rate Limits. Wenn es Inhalte sind, auf die andere nicht zugreifen sollen, sollte man sie nicht über einen Webserver ausliefern

  • Haben Google und Cloudflare irgendwie vereinbart, die Nutzung von Nicht-Chrome-Browsern zu erschweren? Der Druck, Chrome zu benutzen, steigt weiter, und was man in Chrome an Werbefilterung machen kann, wird immer weniger

    • Das ist wahrscheinlich eines der natürlichen Ergebnisse davon, dass Chrome der populärste Browser im Web ist. Der Großteil des legitimen Traffics wird nun einmal von Chrome kommen
    • Als ich Cloudflare vor 5 Jahren verlassen habe, war der intern für die Nutzung freigegebene Browser ausschließlich Chrome
    • Und dabei bleibt es nicht: https://blog.cloudflare.com/eliminating-captchas-on-iphones-...

  • Wenn man etwas verbirgt, wird man automatisch in die Kategorie „Agent mit einem Grund, etwas zu verbergen“ eingeordnet
    Um es klar zu sagen: Genau das ist das Kernproblem. Da so große Teile des Internets über Cloudflare laufen, sollte es ausreichend alternative Signale geben, die stärker als ein einzelnes Signal zeigen, dass man kein böswilliger Akteur ist
    Allerdings gibt es in der Basis kaum Nutzer mit denselben Einstellungen, sodass es sehr lange dauern könnte, bis eine echte Lösung entsteht

  • Es heißt: „Sie scheinen Ihre Identität verbergen zu wollen“, aber von Anfang an hatten sie gar nicht das Recht, das zu verlangen

    • Nach derselben Logik hätte man auch kein Recht, sich den Inhalt einer Website anzusehen

  • Von privacy.resistfingerprinting wusste ich bisher nichts, aber künftig plane ich, einfach jede Cloudflare-Turnstile-Prüfung scheitern zu lassen

    • Auch im aktivierten Zustand funktioniert Turnstile problemlos

  • Die Einstellung privacy.resistfingerprinting ist für den Tor Browser gedacht

    • Im Tor Browser ist sie standardmäßig aktiviert, und ich bin nicht einmal sicher, ob man sie deaktivieren kann
      Auch im Konform Browser und im Mullvad Browser, die viele Datenschutz- und Sicherheits-Patches aus dem Tor Browser übernommen haben, ist sie standardmäßig aktiviert

  • Ich mag die kriminologische Maxime, dass ein Gesetz abgeschafft werden sollte, wenn X % der Bevölkerung es brechen. Freizeitdrogen sind ein offensichtliches Beispiel
    Wenn die zufällige Canvas-Verarbeitung als Bot-Verhalten geahndet wurde und das jetzt alle Firefox-Nutzer tun, dann sollte Cloudflare das vielleicht einfach „legalisieren“