Cloudflare Turnstile ép dùng WebGL: Phốt 'lùa gà' hay giọt nước tràn ly của thời đại AI bot?

1 tháng 6, 20264 phút đọc

Giáo chủ Cloudflare từng gáy to về Turnstile bảo vệ quyền riêng tư, nhưng nay lại bắt user mở WebGL fingerprinting mới cho qua ải. Cú quay xe khét lẹt này đang làm rúng động cõi mạng.

Chia sẻ bài viết:

padlock, locked, secured, lock, old padlock, old lock, rusty, old, close, rust, security, rusty lock, rusty padlock, lock, lock, lock, rust, security, security, security, security, security

Nguồn gốc: https://coding4food.com/post/cloudflare-turnstile-ep-dung-webgl-fingerprinting-drama-it. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/cloudflare-turnstile-ep-dung-webgl-fingerprinting-drama-it. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/cloudflare-turnstile-ep-dung-webgl-fingerprinting-drama-itNguồn gốc: https://coding4food.com/post/cloudflare-turnstile-ep-dung-webgl-fingerprinting-drama-it. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/cloudflare-turnstile-ep-dung-webgl-fingerprinting-drama-it. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/cloudflare-turnstile-ep-dung-webgl-fingerprinting-drama-it

Chia sẻ bài viết:

Bình luận

Bài viết liên quan

developer, programmer, coding, computer, exhausted, overworked, late night, tired, desk, monitor, screen, code, workspace, office, glasses, headphones, burnout, digital, dark, night, work, stress, fatigue, software, ai generated, developer, developer, developer, developer, developer, tired, fatigue, fatigue

Chuyện Nghề Drama IT

Drama Hacker News: Khi Thợ Code Gào Thét 'Xin Một Ngày Nghỉ' Và Cú Tát Vào Mặt Văn Hóa Hustle

Bài post 'Can we have the day off?' nhận gần 1000 upvote trên Hacker News bóc trần sự thật khốc liệt về văn hóa làm việc vắt kiệt sức tại các startup công nghệ.

28 thg 53 phút đọc

Đọc tiếp →

waste separation, garbage cans, recycling, garbage, ton of plastic, waste, garbage can, blue, waste bins, paper wheelie bin, paper waste, blue tonne, plastic, ton, disposal, waste container, container, trash can, waste bin, large refuse containers, black, environmental protection, waste disposal, recycling, recycling, recycling, recycling, recycling, garbage, garbage, waste, waste, waste, trash can, trash can

Công nghệ AI & Automation

Phát ngán vì AI: Khi cõi mạng biến thành cái bồn chứa rác của Chatbot

Drama HN 1277 điểm bóc trần sự thật phũ phàng: Anh em dev đang chán ngấy mớ rác AI do chính giới tech tạo ra. Thuyết internet chết toang thật rồi.

27 thg 53 phút đọc

Đọc tiếp →

church, graubünden, religion, nature, spring, church tower

Công nghệ AI & Automation

Magnifica Humanitas: Khi Giáo hoàng 'Review Code' Đạo Đức Nhắc Nhở Anh Em Dev

Vatican vừa tung văn bản Magnifica Humanitas về đạo đức AI. Hacker News nổ tung vì vụ này. Tóm tắt drama và góc nhìn từ dưới đáy xã hội cho dân code.

26 thg 53 phút đọc

Đọc tiếp →

ai generated, processor, cpu, chip, computer, technology, hardware, electronics, gpu, digital

Chuyện Nghề Công nghệ

Đốt 48K Đô Mua Server GPU Chạy AI: Nước Đi Thiên Tài Hay Chơi Ngu Lấy Tiếng?

Bỏ hơn 1 tỷ bạc mua đứt server GPU thay vì cúng tiền cho AWS. Cùng hóng xem vố 'xuống xác' này của một dev trên Hacker News là chân ái hay toang hoác.

22 thg 54 phút đọc

Đọc tiếp →

love, wire, fence, in love, heart, locked in, wire mesh, grid, metal, closed, love, love, love, love, love, fence, heart

Công nghệ Đồ Nghề & Tech Stack

Vừa bóc tem RAV4 2024 đã tháo tung taplo để ngắt GPS: Khi pháp sư IT trị bệnh "xe hơi hóng chuyện"

Mua con xe tỏi mấy về việc đầu tiên là rã taplo ngắt mạng? Cùng hóng vụ phẫu thuật "thiến" GPS và modem trên RAV4 2024 đang rần rần trên Hacker News.

15 thg 54 phút đọc

Đọc tiếp →

business, computer, mobile, smartphone, iphone, connection, data, desk, electronics, home office, internet, keyboard, laptop, macbook, modern, notebook, paper, journal, mockup, technology, telephone, wireless, workplace, workspace, business, business, business, business, business, computer, computer, mobile, iphone, iphone, iphone, data, laptop, laptop, journal, technology

Chuyện Nghề Drama IT

Nghệ thuật 'diễn nét bận rộn' chốn công sở: Khi Dev hóa thành Ảnh Đế

Bài viết bú 1400+ upvote trên Hacker News bóc trần sự thật: Khi sếp đo năng suất bằng chấm xanh Slack, anh em dev buộc phải hóa thân thành diễn viên.

7 thg 53 phút đọc

Đọc tiếp →

Chào các đồng đạo. Dạo này anh em lướt web có thấy mấy cái trang xài bảo mật của Cloudflare cứ quay đều quay đều, check bot mệt nghỉ không? Xưa nay thằng Cloudflare luôn vỗ ngực tự xưng hệ thống Turnstile của nó là "cứu tinh" bảo mật, diệt CAPTCHA mà vẫn giữ trọn vẹn privacy cho anh em. Cơ mà nực cười thay, giang hồ vừa phanh phui một vố tát thẳng mặt: Cái "cứu tinh" này dường như đang âm thầm ép người dùng phải mở WebGL để cho nó "nhận dạng" (fingerprinting). Ảo ma chưa? Lên trà đá hóng phốt nào!

Nguồn cơn drama từ đâu mà ra?

Chuyện là một pháp sư ẩn danh trên trang Hacktivis vừa đăng đàn bóc phốt hệ thống Turnstile. Tóm tắt nhanh cho anh em lười đọc thì nó thế này:

Khi Turnstile mới ra mắt, Cloudflare gáy rất to rằng đây là giải pháp thay thế CAPTCHA xịn xò con bò, không bắt user phải căng mắt tìm đèn giao thông hay vạch qua đường, và ĐẶC BIÊT là rất tôn trọng quyền riêng tư.
Tuy nhiên, tác giả bài blog phát hiện ra: Nếu anh em dùng các trình duyệt hardening (như Tor, LibreWolf) hoặc cài extension tắt WebGL để chống theo dõi (anti-fingerprinting), Turnstile sẽ block anh em thẳng tay với lý do: "Mày là bot!".
Tức là, để chứng minh mình là người, bạn bắt buộc phải nôn thông tin phần cứng/trình duyệt ra cho hệ thống nó soi (gọi là WebGL fingerprinting).
Không cho soi? Đ*o cho vào web. Nghịch lý ở chỗ, một công cụ gắn mác "privacy-friendly" lại xài trò fingerprinting – cấm kỵ số một của giới mộ đạo privacy.

Giang cư mận Hacker News chia phe combat

Bài bóc phốt này vừa lên Hacker News đã bú ngay gần 500 upvote, kéo theo một màn combat nảy lửa giữa các hệ tư tưởng. Có vài quan điểm đang chiếm sóng mà tôi tổng hợp được:

Phe Tôn Thờ Privacy (Chửi thẳng mặt): Phe này thì cay cú khỏi bàn. Họ chửi Cloudflare "lùa gà", treo đầu dê bán thịt chó. Mồm thì bô bô bảo vệ quyền riêng tư người dùng, tay thì đi soi card đồ họa với driver của người ta. Một số anh em còn đòi tẩy chay, kêu gọi webmaster ngưng xài Turnstile.
Phe Dev Thực Dụng (Thông cảm): "Các ông nội bớt mộng mơ đi". Giờ bot AI khôn như rận, headless browser chạy ầm ầm. Nếu không soi phần cứng qua WebGL thì lấy cái mẹ gì ra để phân biệt bot với người? Để bảo vệ server khỏi bị DDoS sập nguồn, Cloudflare bắt buộc phải xài tà đạo thôi. Đời làm gì có cái gì vừa siêu bảo mật lại vừa ẩn danh 100%.
Phe Anti Độc Quyền (Trầm cảm): Một luồng ý kiến khác thì ngao ngán về việc Cloudflare đang nắm giữ quá nhiều quyền lực trên Internet. Nếu một tay to như vậy quyết định rằng "không có WebGL thì không được duyệt web", thì chẳng chóng thì chầy, cả cái internet này sẽ loại bỏ quyền ẩn danh của người dùng.

Góc nhìn từ Coding4Food: Bài học sinh tồn sau vụ úp sọt

Tóm cái váy lại, vụ này ai đúng ai sai thì hạ hồi phân giải, tùy thuộc vào việc các ông ưu tiên cái gì hơn: Bảo mật cho hệ thống hay Quyền ẩn danh của bản thân. Nhưng đứng ở góc độ một thằng thợ code, vãn bối xin rút ra vài dòng thế này:

Thứ nhất, đừng bao giờ tin 100% vào văn vở marketing của mấy ông lớn. "Privacy-preserving" chỉ là một khái niệm mang tính tương đối cho đến khi server của họ bị bot cắn RAM tơi bời.

Thứ hai, khi anh em làm project, dựng vps hay setup third-party auth cho khách, hãy nhớ test kĩ các edge cases. Nếu tích hợp những hệ thống anti-bot quá gắt, anh em có thể vô tình khóa mõm luôn những khách hàng thật - những người chỉ đơn giản là thích xài trình duyệt chặn theo dõi. Bài toán cân bằng giữa Security (bảo mật) và UX (trải nghiệm người dùng) luôn là một cú lừa đau đầu, không có silver bullet đâu anh em ạ.

Nguồn hóng hớt: Hacker News

Nguồn cơn drama từ đâu mà ra?

Chuyện là một pháp sư ẩn danh trên trang Hacktivis vừa đăng đàn bóc phốt hệ thống Turnstile. Tóm tắt nhanh cho anh em lười đọc thì nó thế này:

Khi Turnstile mới ra mắt, Cloudflare gáy rất to rằng đây là giải pháp thay thế CAPTCHA xịn xò con bò, không bắt user phải căng mắt tìm đèn giao thông hay vạch qua đường, và ĐẶC BIÊT là rất tôn trọng quyền riêng tư.

Tuy nhiên, tác giả bài blog phát hiện ra: Nếu anh em dùng các trình duyệt hardening (như Tor, LibreWolf) hoặc cài extension tắt WebGL để chống theo dõi (anti-fingerprinting), Turnstile sẽ block anh em thẳng tay với lý do: "Mày là bot!".

Tức là, để chứng minh mình là người, bạn bắt buộc phải nôn thông tin phần cứng/trình duyệt ra cho hệ thống nó soi (gọi là WebGL fingerprinting).

Không cho soi? Đ*o cho vào web. Nghịch lý ở chỗ, một công cụ gắn mác "privacy-friendly" lại xài trò fingerprinting – cấm kỵ số một của giới mộ đạo privacy.

Giang cư mận Hacker News chia phe combat

Phe Tôn Thờ Privacy (Chửi thẳng mặt): Phe này thì cay cú khỏi bàn. Họ chửi Cloudflare "lùa gà", treo đầu dê bán thịt chó. Mồm thì bô bô bảo vệ quyền riêng tư người dùng, tay thì đi soi card đồ họa với driver của người ta. Một số anh em còn đòi tẩy chay, kêu gọi webmaster ngưng xài Turnstile.

Phe Dev Thực Dụng (Thông cảm): "Các ông nội bớt mộng mơ đi". Giờ bot AI khôn như rận, headless browser chạy ầm ầm. Nếu không soi phần cứng qua WebGL thì lấy cái mẹ gì ra để phân biệt bot với người? Để bảo vệ server khỏi bị DDoS sập nguồn, Cloudflare bắt buộc phải xài tà đạo thôi. Đời làm gì có cái gì vừa siêu bảo mật lại vừa ẩn danh 100%.

Phe Anti Độc Quyền (Trầm cảm): Một luồng ý kiến khác thì ngao ngán về việc Cloudflare đang nắm giữ quá nhiều quyền lực trên Internet. Nếu một tay to như vậy quyết định rằng "không có WebGL thì không được duyệt web", thì chẳng chóng thì chầy, cả cái internet này sẽ loại bỏ quyền ẩn danh của người dùng.

Góc nhìn từ Coding4Food: Bài học sinh tồn sau vụ úp sọt

Nguồn hóng hớt: Hacker News