Cloudflare Turnstile yêu cầu WebGL có thể thu thập dấu vân tay thiết bị

 (hacktivis.me)
1 điểm bởi GN⁺ 2 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Xác minh thiết bị “Verify you're human” của Cloudflare Turnstile đã lặp vô hạn trên các trình duyệt dựa trên WebKitGTK từ khoảng một tuần trước
  • Nguyên nhân trực tiếp khiến nhiều website bị chặn truy cập dường như là hành vi Cloudflare cố lấy dấu vân tay thiết bị thông qua WebGL
  • Thông báo của Turnstile cho biết họ dùng thu thập dấu vân tay trình duyệt để xác minh người dùng là con người, và các công cụ chặn hoặc ngẫu nhiên hóa có thể khiến trình duyệt trông giống bot
  • WebKit đã chặn loại chức năng này suốt nhiều năm, và dường như đây không phải là một tùy chọn quyền riêng tư mà người dùng có thể dễ dàng tắt
  • Trong khi Safari được cho là có ngoại lệ, toàn bộ các trình duyệt WebKitGTK đều bị chặn, và người dùng bật bảo vệ quyền riêng tư trên Firefox cũng có thể bị ảnh hưởng

Turnstile xác minh lặp lại trên WebKitGTK

  • Xác minh thiết bị “Verify you're human” của Cloudflare Turnstile đã lặp vô hạn trên các trình duyệt dựa trên WebKitGTK từ khoảng một tuần trước, khiến việc truy cập nhiều website bị chặn
  • Nguyên nhân của việc chặn truy cập dường như là hành vi Cloudflare cố lấy dấu vân tay thiết bị thông qua WebGL
  • Dòng thông báo của Turnstile cho biết họ dùng thu thập dấu vân tay trình duyệt để xác minh người dùng là con người
  • Các công cụ quyền riêng tư chặn hoặc ngẫu nhiên hóa việc lấy dấu vân tay có thể khiến trình duyệt trông như bot đang cố che giấu danh tính
  • WebKit đã chặn loại chức năng này suốt nhiều năm, và dường như đây không phải là một tính năng quyền riêng tư có thể dễ dàng vô hiệu hóa
  • Trong khi Cloudflare được cho là đã tạo ngoại lệ cho Safari, toàn bộ các trình duyệt WebKitGTK lại rơi vào trạng thái bị chặn

Cơ chế bảo vệ liên quan trên Firefox

Bài viết liên quan

1 bình luận

 
GN⁺ 2 giờ trước
Ý kiến trên Hacker News

  • Cloudflare được biết là dùng lấy dấu vân tay trình duyệt để phát hiện scraper. Ví dụ, họ đối chiếu dấu vân tay JA3 với user agent để chặn những thứ như cURL và cho phép OkHttp (client Android), nhưng có thể dễ dàng ngụy trang bằng các gói như CycleTLS [1]
    Tôi không muốn bênh vực việc chặn một phần lớn Internet dưới danh nghĩa “chống bot”, nhưng nếu không dùng bằng chứng công việc (PoW) thì lấy dấu vân tay có thể là một cách thực tế, và hệ quả là quyền riêng tư của tất cả những người liên quan bị phá hủy hoàn toàn
    Cromite, một bản fork Chromium cho Android chú trọng quyền riêng tư, liên tục gặp vấn đề với Cloudflare Turnstile [2], vì Cloudflare lấy dấu vân tay theo nhiều cách để cho qua thử thách
    Muốn giải quyết thì phải tham gia chương trình Cloudflare Browser Developer, nhưng cần ký NDA, và việc người quản lý dự án từ chối có vẻ là hoàn toàn chính đáng
    Nếu muốn thấy Cloudflare đào sâu việc lấy dấu vân tay trình duyệt đến mức nào, hãy xem trong issue [2] cần tắt những flag nào để vượt qua thử thách. Ít nhất tôi nghĩ Cloudflare có thể linh hoạt đến mức thay thế bằng bằng chứng công việc thay vì просто chặn người dùng khỏi việc gửi biểu mẫu hay truy cập website
    [1]: https://github.com/Danny-Dasilva/CycleTLS
    [2]: https://github.com/uazo/cromite/issues/2365

    • “Chống bot” của Cloudflare không chỉ chặn một phần lớn Internet mà còn chặn cả rất nhiều người. Tôi rất lo ngại về xu hướng vô tư thuê ngoài quyền kiểm soát truy cập website cho một công ty duy nhất
    • Chống bot dựa trên lấy dấu vân tay gần như là một ảo tưởng. Tín hiệu phía client chỉ cần khá hơn mức trung bình là có thể giả mạo được, và lấy dấu vân tay chỉ là công cụ tập trung thị trường phục vụ ngành quảng cáo
      Gán uy tín cho IP dân dụng và dải IP thương mại cũng có thể là một cách khác để đạt kết quả mong muốn. Điều đó sẽ khiến các nhà cung cấp cẩn trọng hơn nhiều với việc lạm dụng IP, nhưng khi ấy các hoạt động DDoS của cả bên tấn công lẫn phòng thủ có thể cùng sụp đổ
      Trớ trêu thay, có khá nhiều công ty vừa xây bot của mình vừa đầu tư vào cách chặn bot của công ty khác
    • Cơ chế chống scraping của Cloudflare chỉ cỡ ổ khóa 5 đô nên toàn bộ đều là công cốc. Có thể chặn được mấy đứa tuổi teen rảnh rỗi, nhưng còn không chặn nổi trộm nghiệp dư, và nếu ai đó muốn cào dữ liệu công khai thì cuối cùng họ vẫn sẽ cào được. Không có cách nào ngăn hẳn
    • Lấy dấu vân tay để “chống bot” không thể phân biệt được với lấy dấu vân tay để giám sát đại trà
    • Tôi muốn nghe giải thích thêm về chuyện bằng chứng công việc là cơn ác mộng sinh thái. Tính sơ thì có vẻ không phải vấn đề lớn
      Tải 5W trong 2 giây là 0.002Wh, và vì điện thoại thông minh cũng phải vượt qua được nên không thể bắt làm PoW kéo dài hàng chục giây. Kể cả kiểm tra 8 tỷ lần mỗi ngày trong 1 năm thì cũng chỉ là 8GWh

  • Có lý do khiến privacy.resistfingerprinting không được bật ngay cả khi chọn “Strict” “Enhanced Privacy Protection”. Tôi đã bật nó và dùng lâu rồi, nhưng website bị vỡ kỳ quặc nên cứ phải tắt đi và thêm ngoại lệ
    Xử lý múi giờ của một số trang bị lỗi làm tôi suýt lỡ hẹn vài lần. Nếu muốn báo cho người dùng biết không phải Firefox bị hỏng, có lẽ phải có một banner thường trực kiểu như “nếu website bị vỡ, xuất hiện glitch lạ, giờ máy tính bị sai, font kỳ quặc, hoặc video đôi lúc không phát, hãy bấm vào đây để tắt bảo vệ dấu vân tay”
    Điều thú vị là Turnstile bị lỗi với resistfingerprinting nhưng lại hoạt động với fingerprintingProtection. Có vẻ cái sau đã tính đến kiểu tình huống rác rưởi này

    • Là lý do để không bật mặc định thì có thể chấp nhận được, nhưng là lý do để không bật cả trong thiết lập Strict thì không ổn
      Ở thiết lập Strict, tôi phần nào kỳ vọng website có thể bị vỡ, nhưng không kỳ vọng các đường theo dõi vẫn còn mở toang. Cảm giác khá lừa dối

  • Tôi đang duy trì một trình duyệt thiểu số[0], và từ vài tuần trước nhiều người dùng đã gặp vấn đề này[1]. Hiện tôi không nghĩ đây là lỗi trình duyệt, nhưng dĩ nhiên vẫn có thể có bug liên quan; sẽ tốt hơn nếu có thêm nhiều người xem xét, nên tôi cần ý tưởng và hỗ trợ để cải thiện hoặc giảm nhẹ tình hình
    [0]: https://konform-browser.codeberg.page/
    [1]: Tôi không rõ là đa số hay tất cả. Tôi đang dựa vào báo cáo người dùng và tự kiểm thử vì không có telemetry

  • “Nếu bị phát hiện là đang ngụy trang thì có nghĩa là bạn ngụy trang chưa đủ gắt.”
    Cuộc chiến chống bot ngu ngốc này đang dẫn đến sự suy tàn của Internet, và cuối cùng sẽ biến nó thành thêm một khu vườn đóng kín khác, nơi chỉ các tác nhân thù địch với người dùng nhưng “được phê duyệt” mới được phép. Đừng mắc bẫy mấy lời nhảm về “AI scraper”. Đó chỉ là công cụ để nhào nặn sự đồng thuận

    • Nếu bot đang nện server thì cứ giới hạn tốc độ. Nếu là nội dung bạn không muốn người khác truy cập thì đừng phục vụ nó qua web server

  • Google và Cloudflare có thỏa thuận gì đó để khiến trình duyệt không phải Chrome khó dùng hơn không? Áp lực phải dùng Chrome ngày càng tăng, còn khả năng chặn quảng cáo trên Chrome thì ngày càng giảm

    • Rất có thể đây chỉ là một trong những hệ quả tự nhiên vì Chrome là trình duyệt phổ biến nhất trên web. Phần lớn lưu lượng hợp lệ sẽ đến từ Chrome
    • Khi tôi rời Cloudflare 5 năm trước, trình duyệt duy nhất được phê duyệt dùng nội bộ là Chrome
    • Chưa dừng ở đó: https://blog.cloudflare.com/eliminating-captchas-on-iphones-...

  • Nếu bạn cố che giấu điều gì đó thì tự động sẽ bị xếp vào nhóm “tác nhân có lý do để che giấu”
    Nói cho rõ thì đó chính là vấn đề cốt lõi. Khi quá nhiều phần của Internet đi qua Cloudflare, cần phải có đủ tín hiệu thay thế để chứng minh bạn không phải tác nhân xấu, mạnh hơn là chỉ dựa vào một tín hiệu cụ thể nào đó
    Tuy vậy, vì số người dùng cùng kiểu cấu hình này trong tập người dùng gần như không đáng kể, có thể sẽ mất rất lâu mới có giải pháp thực sự

  • Họ nói “có vẻ bạn đang cố che giấu danh tính”, nhưng ngay từ đầu họ đã không có quyền đòi hỏi điều đó

    • Theo cùng logic ấy thì bạn cũng không có quyền xem nội dung website

  • Tôi không biết về privacy.resistfingerprinting, nhưng từ giờ tôi định cứ để tất cả Cloudflare Turnstile đều thất bại

    • Ngay cả khi bật nó thì Turnstile vẫn hoạt động tốt

  • Thiết lập privacy.resistfingerprinting là dành cho Tor Browser

    • Nó được bật mặc định trên Tor Browser, và tôi cũng không chắc có tắt được không
      Nó cũng được bật mặc định trên Konform Browser và Mullvad Browser, vốn mang sang rất nhiều bản vá về quyền riêng tư và bảo mật của Tor Browser

  • Tôi thích câu châm ngôn trong lĩnh vực tội phạm rằng nếu X% dân số đang vi phạm một luật nào đó thì luật đó nên bị bãi bỏ. Ma túy giải trí là ví dụ rõ ràng
    Nếu việc xử lý canvas ngẫu nhiên bị coi là hành vi bot, mà giờ tất cả người dùng Firefox đều làm vậy, thì có lẽ Cloudflare cũng nên просто “hợp pháp hóa” nó chăng