Cloudflare Turnstile gây tranh cãi khi yêu cầu WebGL để "dấu vân tay" thiết bị

Gần một tuần qua, nhiều người dùng trình duyệt dựa trên WebKitGTK đã gặp phải tình trạng bị chặn truy cập vào các trang web sử dụng Cloudflare Turnstile. Thay vì hiển thị thông báo xác minh thành công, hệ thống này liên tục rơi vào vòng lặp vô tận, khiến người dùng không thể tiếp cận nội dung.

Nguyên nhân của vấn đề được xác định là do Cloudflare đang yêu cầu thu thập "dấu vân tay" (fingerprint) của thiết bị thông qua WebGL. Theo đó, nếu trình duyệt giả mạo hoặc chặn việc truy xuất thông tin renderer của WebGL, Cloudflare sẽ từ chối xác minh.

Trang kiểm tra Turnstile báo lỗi thông tin WebGL bị giả mạo

Cloudflare đưa ra lý giải rằng việc sử dụng dấu vân tay trình duyệt là cần thiết để xác minh người dùng là con người thật. Họ cho rằng các công cụ bảo mật hoặc quyền riêng tư chặn hoặc ngẫu nhiên hóa dấu vân tay sẽ khiến trình duyệt trông giống như một bot đang cố gắng che giấu danh tính. Tuy nhiên, lập luận này vấp phải sự phản đối mạnh mẽ từ cộng đồng quan tâm đến quyền riêng tư, cho rằng đây thực chất là hành vi theo dõi người dùng vi phạm nguyên tắc bảo mật.

WebKitGTK bị chặn vì bảo vệ quyền riêng tư

Đáng chú ý, các tính năng theo dõi này đã bị WebKit chặn mặc định từ nhiều năm qua. Điều này có nghĩa là mức độ theo dõi mà Cloudflare áp dụng là quá xâm phạm, đến mức Apple (tạo ra WebKit) cũng không cho phép. Do đó, Cloudflare hiện đang vô hiệu hóa hiệu quả tất cả các trình duyệt WebKitGTK, mặc dù có khả năng họ đang đưa ra ngoại lệ cho Safari.

Firefox cũng gặp vấn đề về bảo mật

Trong khi đó, Mozilla Firefox cũng bị chỉ trích vì cách xử lý việc bảo vệ thông tin GPU. Theo báo cáo trên Bugzilla (mã số 1916271), động cơ Gecko của Firefox vẫn tiết lộ các đặc điểm GPU đã được làm sạch, trong khi WebKit và Blink (của Chrome) trả về các chuỗi mã hóa cứng (hardcoded strings) cho tất cả người dùng để bảo vệ quyền riêng tư tốt hơn.

Firefox vượt qua kiểm tra Turnstile mà không gặp vấn đề gì khi dùng cài đặt mặc định

Kết quả là, trên phiên bản Firefox mới nhất, Cloudflare Turnstile vẫn có thể vượt qua kiểm tra dễ dàng mà không gặp lỗi WebGL. Điều này cho thấy Firefox đang để lộ nhiều thông tin nhận dạng hơn so với các đối thủ.

Hơn nữa, cài đặt privacy.resistfingerprinting (chống dấu vân tay) trên Firefox thậm chí không được bật mặc định ngay cả khi người dùng chọn chế độ "Bảo mật quyền riêng tư được tăng cường" (Strict Enhanced Privacy Protection). Đây được coi là một sai lầm lớn của Mozilla trong việc bảo vệ người dùng.

Firefox khi bật thủ công tính năng chống dấu vân tay sẽ bị phát hiện ngẫu nhiên hóa Canvas

Nếu người dùng tự tay bật privacy.resistfingerprinting, Cloudflare có thể sẽ bắt đầu phát hiện ra việc ngẫu nhiên hóa Canvas và ngăn chặn việc xác minh thiết bị trong tương lai. Điều này đặt người dùng ưu tiên quyền riêng tư vào thế khó xử khi truy cập các trang web sử dụng Cloudflare.