← 返回信息流
AI 资讯Hacker News·4 天前

Cloudflare Turnstile 现需可指纹识别的 WebGL

原标题:Cloudflare Turnstile requiring fingerprintable WebGL

速览

Cloudflare 对其 Turnstile 验证码服务进行了更新,现要求客户端支持可被指纹识别的 WebGL 功能。这一变化旨在通过更严格的浏览器环境检测来增强人机验证的安全性。此举可能影响部分禁用 WebGL 或采用隐私保护模式的浏览器用户。

AI 深度解读

背景

Cloudflare 的 Turnstile 服务是其推出的用于替代传统 CAPTCHA(人机验证)的解决方案,旨在通过“Verify you're human”(验证你是人类)来区分真实用户与自动化机器人。然而,近期有用户报告称,在基于 WebKitGTK 内核的浏览器中,Turnstile 验证框出现无限循环加载的问题,导致大量网站无法访问。

这一现象并非孤立事件,而是 Cloudflare 近期调整其设备指纹验证策略的结果。该调整引发了关于隐私保护、浏览器内核兼容性以及反追踪技术之间博弈的广泛讨论。

核心内容

根据 Hacker News 上的讨论及用户反馈,Cloudflare Turnstile 目前强制要求浏览器提供 WebGL 指纹信息,这一行为被指具有强烈的追踪性质,并导致了非 Safari 内核浏览器的兼容性问题。

1. 问题现象与原因 自大约一周前开始,许多使用 WebKitGTK 内核(常见于 Linux 桌面环境)的浏览器用户发现,Cloudflare Turnstile 验证无法完成,陷入无限循环。这导致用户被阻止访问众多依赖 Cloudflare 服务的网站。经过排查,问题根源在于 Cloudflare 现在要求通过 WebGL 获取设备的指纹信息。

2. Cloudflare 的官方立场 Cloudflare 在相关说明中辩称,Turnstile 使用浏览器指纹技术来验证用户是否为人类。其官方理由如下:

“Turnstile 使用浏览器指纹来验证你是人类。那些阻止或随机化指纹的隐私工具,会使你的浏览器看起来像是一个试图隐藏身份的机器人。临时允许该网站进行指纹识别将解决此问题。”

3. 隐私保护与内核冲突 批评者指出,WebGL 指纹是一种极具侵入性的追踪手段。在 WebKit 内核中,此类指纹识别功能已被屏蔽多年。这意味着,Cloudflare 的追踪强度之大,以至于连苹果(Apple)主导的 WebKit 内核都将其视为需要拦截的威胁。由于 WebKitGTK 遵循 WebKit 的安全策略,用户难以在浏览器设置中轻易禁用这一保护机制。

因此,推测 Cloudflare 可能仅对 Safari 浏览器(WebKit 的主要应用平台)保留了例外或兼容性,从而实质上“封禁”了所有其他基于 WebKitGTK 的浏览器。

4. 其他浏览器的现状 讨论还延伸至其他主流浏览器的隐私保护状况:

  • Mozilla Firefox:被指出在 WebGL 指纹保护方面存在缺陷。Bugzilla 报告 #1916271 显示,Gecko 引擎暴露了经过清洗的 GPU 特征,而 WebKit 和 Blink 内核则向所有用户返回硬编码的字符串以隐藏差异。
  • Firefox 隐私设置失效:即使用户在设置中选择了“严格”(Strict)级别的“增强隐私保护”,privacy.resistfingerprinting(抵抗指纹识别)选项仍未被启用。

结论是,随着 Cloudflare 加强设备验证,注重隐私的 Firefox 用户未来也可能面临无法通过验证的风险。

关键要点

  • 无限循环验证:基于 WebKitGTK 的浏览器用户遭遇 Cloudflare Turnstile 无限加载,导致无法访问受保护网站。
  • WebGL 指纹强制化:Cloudflare 要求通过 WebGL 获取设备指纹,此举被广泛认为是为了追踪而非单纯的安全验证。
  • 隐私工具被视为威胁:Cloudflare 明确表示,阻止指纹识别的隐私工具会被其系统判定为机器人行为。
  • WebKit 内核的拦截:WebGL 指纹追踪已被 WebKit 内核屏蔽多年,Cloudflare 的策略导致非 Safari 的 WebKit 浏览器用户被变相封禁。
  • Firefox 隐私保护不足:Firefox 在 WebGL 指纹保护上存在漏洞,且“严格隐私模式”下抵抗指纹识别功能未默认启用,可能使隐私用户未来也受阻。

意义与影响

这一事件揭示了网络安全服务与用户隐私权之间的日益紧张关系。Cloudflare 作为全球主要的 CDN 和安全服务提供商,其 Turnstile 服务被广泛部署,其策略调整具有行业风向标意义。

首先,“人机验证”正在演变为“指纹追踪”。Cloudflare 将指纹识别作为验证手段,模糊了安全验证与用户追踪的界限。这种做法虽然提高了机器人的识别率,但也牺牲了普通用户的匿名性和隐私权。

其次,浏览器内核的分化与兼容性危机。Cloudflare 对 Safari 的潜在例外处理,加剧了不同浏览器内核之间的不公平竞争。对于 Linux 用户和依赖 WebKitGTK 的开源软件用户而言,这构成了一种技术排斥,迫使用户在“访问网站”和“保护隐私”之间做出艰难选择。

最后,隐私保护措施的局限性。Firefox 的案例表明,即使主流浏览器提供了隐私保护选项,若底层引擎存在漏洞或配置默认值不合理,用户仍可能暴露在被追踪的风险中。随着 Cloudflare 等巨头收紧验证策略,未来注重隐私的浏览器用户群体可能会面临更大的访问障碍,这可能促使更多用户转向更严格的隐私保护工具,或推动浏览器厂商重新评估指纹识别保护的默认策略。

相关推荐

查看原文 →hacktivis.me