Cloudflare TurnstileがWebGLフィンガープリンティングを要求
原題: Cloudflare Turnstile requiring fingerprintable WebGL
なぜ重要か
主要CDNプロバイダーがプライバシー保護機能をボット判定する動きは、Web全体のプライバシー環境に重大な影響を与える可能性がある
Cloudflareの人間認証システムTurnstileが、ユーザー認証のためにWebGLフィンガープリンティングを要求していることが判明。WebKitベースのブラウザでは無限ループが発生し、多数のWebサイトへのアクセスが困難になっている。プライバシー保護機能がボット判定される状況が発生。
セキュリティ研究者のlanodan氏が、CloudflareのTurnstile人間認証システムがWebGLフィンガープリンティングを要求している問題を報告した。約1週間前から、WebKit-GTKベースのブラウザでTurnstileが無限ループを起こし、多くのWebサイトへのアクセスが困難になっているという。
Cloudflareは「Turnstileはブラウザフィンガープリンティングを使用してユーザーが人間であることを確認します。フィンガープリンティングをブロックまたはランダム化するプライバシーツールは、ブラウザをアイデンティティを隠そうとするボットのように見せます」と説明している。
WebKitでは長年にわたってこのような追跡機能がブロックされており、研究者は「Appleでさえブロックするほど悪質な追跡」と指摘している。一方、Firefox 145.0では問題なく通過するが、プライバシー保護設定の「strict」モードでも「privacy.resistfingerprinting」が有効化されていないことが判明。手動で有効化した場合は「Canvas Randomization Detected」の警告が表示される。
研究者は、CloudflareがWebKitGTKブラウザを事実上禁止している一方、Safariには例外を設けている可能性を指摘している。