Siete mai stati accusati di essere dei bot solo perché avete deciso di non farvi tracciare il pedigree digitale?
Se usate browser basati su WebKitGTK, preparate il caffè perché la situazione è diventata una pagliacciata degna di un bad trip in un forum di retrocomputing. Cloudflare, il gigante che dovrebbe proteggerci dagli attacchi DDoS, ha deciso che il suo sistema di verifica ‘Turnstile’ non accetta un ‘no’ come risposta quando si tratta di spulciare le caratteristiche della vostra GPU tramite WebGL.
Il succo della questione è questo: Cloudflare sta usando il fingerprinting del WebGL per verificare che non siate script automatizzati. Ma c’è un piccolo, insignificante dettaglio che non rientra nel loro piano: se il vostro browser (come i vari WebKit-based su Linux) protegge la privacy randomizzando o bloccando queste informazioni per evitare che le aziende sappiano esattamente che scheda video avete, Cloudflare vi vede come un bot. E cosa fa un bot? Entra in un loop infinito di verifiche che non finiscono mai. Praticamente, se cerchi di essere un utente privato e non una pedina tracciabile, per loro sei un malware.
La loro giustificazione? È un capolavoro di ‘corporate-speak’ che farebbe venire il vomito anche a un software manager della Silicon Valley. Dicono che gli strumenti di privacy rendono il browser così simile a un bot da rendere impossibile la verifica. Tradotto: «O ci lasci guardare dentro al tuo hardware, o non entri». Una logica che ricorda quella di un controllo di sicurezza all’aeroporto che ti nega l’imbarco perché non hai voluto mostrare il contenuto della tua borsa alle persone.
E non finisce qui. Anche Firefox sta mostrando delle crepe. Sembra che le protezioni anti-fingerprinting di Gecko stiano facendo cilecca, lasciando scappare troppe info sulla GPU, rendendo il browser vulnerabile proprio a quel tipo di tracciamento che vorremmo evitare.
Cosa significa per noi che passiamo la vita a smanettare, a compilare kernel custom e a far girare ambienti desktop minimalisti? Significa che il web si sta chiudendo. Se la scelta è tra ‘essere tracciati’ e ‘non poter accedere ai siti’, la maggior parte delle persone sceglierà la prima. Noi, che amiamo il controllo totale sul nostro stack, siamo quelli che restano fuori dal recinto.
Non è solo una questione di privacy, è una questione di libertà tecnica. Se un sistema di sicurezza richiede che tu rinunci alla protezione del tuo ambiente di lavoro per poter semplicemente leggere un articolo, non è sicurezza: è un sistema di sorveglianza con un badge di ‘protezione’. Un altro passo verso il web proprietario e controllato, dove solo i browser ‘standard’ (e tracciabili) sono ammessi. Un vero incubo per chiunque ami la libertà di smontare e riassemblare ogni singolo bit della propria esperienza digitale.
Source: Cloudflare Turnstile requiring fingerprintable WebGL