Cloudflare Turnstile, 지문 채취 가능한 WebGL 요구

Cloudflare는 스크래퍼 탐지에 브라우저 지문 채취를 쓰는 것으로 알려져 있음. 예를 들어 JA3 지문을 사용자 에이전트와 대조해 cURL 같은 것은 막고 OkHttp(Android 클라이언트)는 허용하지만, CycleTLS 같은 패키지로 쉽게 위장 가능함 [1]
“봇 보호”로 인터넷의 큰 부분을 가로막기 때문에 옹호하고 싶진 않지만, 작업 증명(PoW)을 쓰지 않는다면 지문 채취가 현실적인 방법일 수 있고, 그 결과 관련된 모두의 프라이버시가 완전히 망가짐
Android용 Chromium의 프라이버시 중시 포크인 Cromite는 Cloudflare Turnstile과 계속 문제가 있는데 [2], Cloudflare가 챌린지를 통과시키려고 여러 방식으로 지문을 채취하기 때문임
해결하려면 Cloudflare Browser Developer 프로그램에 들어가야 하는데 NDA 서명이 필요했고, 프로젝트 관리자가 거부한 것은 정당해 보임
Cloudflare가 브라우저 지문을 얼마나 깊게 캐는지 보려면 이슈 [2]에서 챌린지를 통과하려고 어떤 플래그들을 꺼야 하는지 보면 됨. 최소한 Cloudflare가 사람을 폼 제출이나 웹사이트 접근에서 그냥 막는 대신 작업 증명으로 대체할 만큼은 유연할 수 있다고 봄
[1]: https://github.com/Danny-Dasilva/CycleTLS
[2]: https://github.com/uazo/cromite/issues/2365

Cloudflare의 “봇 보호”는 인터넷의 큰 부분뿐 아니라 많은 사람들도 가로막음. 웹사이트 접근 권한 통제를 아무 고민 없이 한 회사에 외주화하는 흐름이 매우 걱정됨

지문 채취 기반 봇 보호는 환상에 가까움. 클라이언트 쪽 신호는 평균 이상만 되어도 위조할 수 있고, 지문 채취는 광고 사업을 위한 시장 집중 수단일 뿐임
가정용 IP와 상업용 대역에 평판을 부여하는 것도 원하는 결과를 얻는 다른 방식일 수 있음. 사업자들이 IP 오남용을 훨씬 조심하게 만들겠지만, 그렇게 되면 공격자와 방어자 양쪽의 DDoS 사업이 같이 무너질 수 있음
아이러니하게도 자기 봇을 만들면서 다른 회사 봇을 막는 방법에도 투자하는 회사들이 꽤 많음

Cloudflare의 스크래핑 방지는 5달러짜리 자물쇠 정도라 전부 헛수고임. 심심한 10대는 막을 수 있어도 아마추어 도둑도 못 막는 수준이고, 누군가 공개 데이터를 긁고 싶다면 결국 긁어 감. 막을 방법은 없음

“봇 보호”를 위한 지문 채취는 대규모 감시를 위한 지문 채취와 구분할 수 없음

작업 증명이 생태적으로 악몽이라는 부분을 더 설명해 줬으면 함. 대략 계산해 보면 큰 문제로 보이지 않음
5W 부하를 2초 주면 0.002Wh이고, 스마트폰도 통과해야 하니 수십 초짜리 작업 증명을 시킬 수는 없음. 하루 80억 번 검사를 1년 해도 8GWh임

privacy.resistfingerprinting이 “Strict” “Enhanced Privacy Protection”을 골라도 켜지지 않는 데는 이유가 있음. 오래 켜고 써 봤지만 웹사이트가 이상하게 깨져서 계속 꺼야 했고 우회도 추가해야 했음
일정 사이트의 시간대 처리가 꼬여 약속을 몇 번 놓칠 뻔했음. 사용자에게 Firefox가 망가진 게 아니라고 알리려면 “웹사이트가 깨지거나 이상한 글리치가 보이거나 컴퓨터 시간이 틀리거나 글꼴이 이상하거나 영상이 가끔 안 나오면 여기를 눌러 지문 보호를 끄세요” 같은 상시 배너가 필요할 정도임
흥미롭게도 Turnstile은 resistfingerprinting에서는 깨지지만 fingerprintingProtection에서는 동작함. 후자는 이런 쓰레기 같은 상황을 고려한 듯함

기본값으로 켜지 않는 이유로는 괜찮을 수 있지만, Strict 설정에서도 켜지지 않는 이유로는 나쁨
Strict 설정에서는 사이트가 깨질 수 있다고 어느 정도 예상하지만, 추적 경로가 여전히 활짝 열려 있을 거라고는 기대하지 않음. 기만적으로 느껴짐

소수 브라우저를 유지보수 중인데[0], 몇 주 전부터 여러 사용자가 이 문제를 겪고 있음[1]. 지금은 브라우저 버그로 보진 않지만 물론 관련 버그가 있을 수도 있고, 더 많은 사람이 보면 좋으니 상황을 개선하거나 완화할 아이디어와 도움이 필요함
[0]: https://konform-browser.codeberg.page/
[1]: 대부분인지 전부인지는 모름. 원격 측정 없이 사용자 제보와 자체 테스트에 의존하는 중임

“위장한다는 걸 들켰다면 충분히 빡세게 위장하지 않은 것이다.”
이 멍청한 봇과의 전쟁은 인터넷의 몰락으로 이어지고, 결국 “승인된” 사용자 적대적 에이전트만 허용되는 또 다른 폐쇄 정원으로 만들 것임. “AI 스크래퍼” 운운하는 헛소리에 넘어가면 안 됨. 동의를 제조하기 위한 수단일 뿐임

봇이 서버를 두들기면 속도 제한을 걸면 됨. 다른 사람이 접근하길 원하지 않는 콘텐츠라면 웹서버로 제공하지 않으면 됨

Google과 Cloudflare가 비 Chrome 브라우저를 쓰기 어렵게 만들기로 거래라도 한 건가? Chrome을 쓰라는 압박은 계속 커지고, Chrome에서 할 수 있는 광고 필터링은 계속 줄어들고 있음

Chrome이 웹에서 가장 인기 있는 브라우저라 생기는 자연스러운 결과 중 하나일 가능성이 큼. 정상 트래픽 대부분이 Chrome에서 올 테니까

뭔가를 숨기면 자동으로 “숨길 이유가 있는 에이전트” 쪽으로 분류됨
분명히 말하자면 그게 핵심 문제임. 인터넷의 그렇게 많은 부분이 Cloudflare를 거쳐 가는 만큼, 특정 신호 하나보다 더 강하게 악의적 행위자가 아님을 보여 줄 대체 신호가 충분히 있어야 함
다만 같은 설정을 쓰는 사용자가 기반 안에 거의 없어서 실제 해결책이 나오기까지 매우 오래 걸릴 수도 있음

“신원을 숨기려는 것 같습니다”라고 하지만, 애초에 그들이 그걸 요구할 권리는 없었음

같은 논리라면 웹사이트 콘텐츠를 볼 권리도 없는 셈임

privacy.resistfingerprinting을 몰랐는데, 앞으로는 모든 Cloudflare Turnstile을 실패하게 둘 생각임

켜 둔 상태에서도 Turnstile은 잘 동작함

privacy.resistfingerprinting 설정은 Tor Browser를 위한 것임

Tor Browser에서는 기본으로 켜져 있고, 끌 수 있는지도 확실하지 않음
Tor Browser의 프라이버시·보안 관련 패치를 많이 가져온 Konform Browser와 Mullvad Browser에서도 기본으로 켜져 있음

범죄 관련 격언 중 인구의 X%가 어떤 법을 어기고 있다면 그 법은 폐지하는 게 맞다는 말을 좋아함. 기호용 마약이 명백한 예임
무작위 canvas 처리가 봇 행위로 단속됐는데 이제 Firefox를 쓰는 모두가 하고 있다면, Cloudflare도 그냥 “합법화”해야 하는 것 아닐까 싶음