文章摘要
Cloudflare的Turnstile验证系统要求通过WebGL获取设备指纹信息用于追踪,导致WebKitGTK内核浏览器因默认屏蔽此类隐私侵犯而无法正常访问网站。作者指出这种行为本质是追踪而非验证,且苹果早已禁止类似做法。
文章总结
标题:Cloudflare Turnstile强制要求可指纹识别的WebGL功能
核心内容: 1. 近期发现Cloudflare的人机验证系统Turnstile在基于webkit-gtk的浏览器中无限循环,导致用户无法访问众多网站。
根本原因是Cloudflare试图通过WebGL获取设备指纹信息,这种行为实质上是用于用户追踪。即便在默认屏蔽追踪技术的WebKit内核浏览器中,该要求也无法被简单关闭。
Cloudflare对此的解释是:"Turnstile使用浏览器指纹技术验证人类用户。隐私工具会使得浏览器看起来像试图隐藏身份的机器人"。
值得注意的是:
- Cloudflare似乎为Safari浏览器设置了例外
- Firefox浏览器存在WebGL指纹保护漏洞(Bugzilla#1916271)
- 即使开启"严格增强隐私保护"模式,Firefox的
privacy.resistfingerprinting选项仍未被激活
测试截图显示:
- WebGL渲染信息被伪造时的报错界面
- Firefox 145.0默认设置下能通过验证
- 手动启用抗指纹功能后仅显示"检测到画布随机化"
影响分析: 这种强制收集设备指纹的做法,可能导致注重隐私的用户未来难以通过Cloudflare的人机验证,特别是使用抗指纹技术的浏览器用户。
评论总结
总结评论内容:
- 对Cloudflare的批评 主要观点:认为Cloudflare的指纹识别技术侵犯隐私,且实施方式存在问题。 关键引用:
- "Say no to malware - say no to Cloudflare" (anonym29)
- "I'll make sure to fail all cloudflare turnshit in the future" (malka1986)
- 技术层面的讨论 主要观点:关于指纹识别技术的必要性与替代方案的争论。 关键引用:
- "in the age of AI, does anyone have an actual solution for keeping out bots while preserving the privacy of humans?" (Wowfunhappy)
- "probably fingerprinting is the way to go - completely destroying the privacy of everyone involved" (denysvitali)
- 解决方案建议 主要观点:提出改进指纹识别抵抗技术的建议。 关键引用:
- "respond with data that is random within space of N common and reproducible patterns" (avallach)
- "I tested this extension...on the turnstile page and it got through" (4oo4)
- 对博文的反驳 主要观点:认为博文存在错误假设,实际测试结果与描述不符。 关键引用:
- "This blog post is filled with false assumptions" (gruez)
- "By all accounts this should be the most suspicious fingerprint ever, but turnstile happily lets me through" (gruez)
- 监管呼吁 主要观点:建议通过立法手段限制指纹识别技术。 关键引用:
- "create a petition to ban browser-fingerprinting in EU" (Fokamul)
- "this needs to be burned to the ground" (JoshTriplett)
- 行业现状反思 主要观点:对当前互联网隐私保护现状表示担忧。 关键引用:
- "Very dystopian situation. Skynet is currently winning the war" (shevy-java)
- "Firefox has so much built-in tracking it seems they want to push me to build my own browser" (bflesch)