Cloudflare TurnstileがWebGLによる指紋採取を要求！プライバシーと認証のバランスを考える

最近、Cloudflareのボット対策ツールである「Turnstile」が、認証プロセスの一環としてWebGLを利用したフィンガープリント（端末固有の識別情報）の取得を要求するケースが増えています。これにより、ブラウザのセキュリティ設定やプライバシー保護機能との間でコンフリクトが発生する可能性が出てきました。サイト運営者は、認証の堅牢性とユーザーのプライバシーの兼ね合いを再考する必要がありそうです。

サンキュー。privacy.resistfingerprintingについては知らなかったよ。今度からCloudflareのクソみたいなTurnstileは全部弾くようにしておく。

Cloudflareはスクレイパーを検知するためにフィンガープリントを使ってることで有名だよね。例えば、JA3フィンガープリントを使ってUA（ユーザーエージェント）と照合することで、cURLのようなものはブロックしつつ、OkHttp（Androidクライアント）は通したりしてる。ただ、これはCycleTLS1のようなパッケージを使えば簡単に偽装できちゃうんだけどね。

別に彼らを擁護するつもりはないよ。彼らは「ボット対策」を盾にインターネットの大部分を締め出しているわけだし。でも、PoW（環境負荷的に悪夢だけど）を導入しない限り、フィンガープリントが現状の解決策になってしまうんだろうね。結果として、関係者全員のプライバシーが完全に破壊されてしまうわけだけど。

Android向けChromiumのプライバシー重視フォークであるCromiteは、CloudflareのTurnstile2とずっと揉めてる。Cloudflareがチャレンジを通過させるために、複数の手段でフィンガープリントを取ろうとしてくるからね。これを突破する唯一の方法は「Cloudflare Browser Developerプログラム」に参加することなんだけど、これにはNDA（秘密保持契約）への署名が必要なんだ。プロジェクトのメンテナーがそれを拒否したのはもっともな判断だよ。

Cloudflareがブラウザのフィンガープリントをとるためにどれだけやりたい放題やってるか知りたいなら、Issue2を見てみるといい。Cloudflareのチャレンジを通すためにどれだけのフラグを無効にしなきゃいけないか一目瞭然だよ。

両者の言い分はわかるけど、フォーム送信やサイトへのアクセスを単にブロックするんじゃなくて、CloudflareはPoWへのフォールバックを実装するくらいの柔軟性があってもいいはずだよね。

おまけに設定で「厳格」な「強化型プライバシー保護」を選んでもprivacy.resistfingerprintingが有効にならない。Mozilla、いい仕事してるね。

その設定はTor Browserのためのものだよ。

おまけに設定で「厳格」な「強化型プライバシー保護」を選んでもprivacy.resistfingerprintingが有効にならない。Mozilla、いい仕事してるね。

それにはちゃんとした理由があるんだ。自分もその設定をずっと使ってたけど、ウェブサイトが変な壊れ方をするから無効にして回避策を追加するハメになった。スケジュール管理サイトのタイムゾーンが狂って危うくアポイントをすっぽかすところだったよ。「サイトが壊れたり、妙な不具合が出たり、PCの時間がズレたり、フォントが変に見えたり、動画がうまく動かないなら、ここをクリックしてフィンガープリント保護をオフにしろ」なんていう常時表示バナーでも出さない限り、Firefoxが壊れているわけじゃないとユーザーに伝えるのは無理だね。

面白いことに、Turnstileはresistfingerprintingだと壊れるのに、fingerprintProtectionだと動くんだ。後者はこういうクソ仕様を考慮してるのかもね。

GoogleとCloudflareの間で、Chrome以外のブラウザを使いにくくするような裏取引でもあるのか？ Chromeを使うよう仕向ける圧力はどんどん増してるし、Chromeで使える広告フィルタリングの範囲はどんどん狭まってるよね。

自分はマイナーなブラウザ0をメンテしてるんだけど、ここ数週間でユーザーの何人かがこれに影響を受けている1。現状ではこれをブラウザ側のバグとは考えていないけど（もちろんバグの可能性もあるけど）、たくさんの人の目があった方がいいし、改善や状況を緩和するためのヒントがあればぜひ教えてほしい。

犯罪についての格言で「人口のX%が法律に違反しているなら、その法律は廃止すべき」っていうのがあるよね。娯楽用ドラッグがいい例だ。

もしランダム化されたCanvasなどがボット対策として厳しく取り締まられていたとしても、今やFirefoxを使っている全員がそれをやっているわけだから、Cloudflareもいっそ「合法化」してしまったらどうだろう？

「偽装しているのがバレているなら、偽装が甘いってことだ。」

この馬鹿げた「ボットとの戦い」はインターネットの終焉を招くだろうし、実質的に「承認された（反）ユーザーエージェント」しか許可されないような閉鎖的な庭に作り変えられてしまうだろうね。「AIスクレイパー」についてのデタラメを信じちゃダメだ。あれは単に、同意を捏造するための手段だよ。

どうやら身元を隠そうとしているようですね。

そもそも、あなたには隠す権利なんてなかったんですよ。

あちらに対して何かを隠すと、自動的に「隠す理由があるエージェント」という箱に入れられてしまうんだね。

はっきり言って、これが最大の問題なんだ。インターネットの大部分が彼らを経由している以上、彼らはあなたが悪質かどうかを判断するために、こんな特定のシグナルよりも強力な代替案を持っているはずなんだよ。

とはいえ、これは「あなたの構成と全く同じユーザーが母数の中にほとんどいない」という問題も引き起こすから、まともな解決策を見つけるには永遠に時間がかかるかもしれないね。