Cloudflare n'aime pas les CAPTCHA, et souhaiterait les faire disparaître |
————— 18 Mai 2021 à 13h48 —— 17005 vues
Les CAPTCHA — Completely Automated Public Turing test to tell Computers and Humans Apart, pour frimer dans les diners mondains — font désormais partie prenante du web. En effet, un grand nombre de visiteurs de sites sont en réalité des robots, qu’il s’agisse d’automates malveillants visant à chercher automatiquement des failles connues, ou de simples indexeurs au service des moteurs de recherche. Pour les différencier des vrais utilisateurs humains, les CAPTCHA ont été crée : datant d’une époque ou le machine learning n’était encore qu’un réseau de neurones à une unique couche pas vraiment efficace, ces tests se basent soit sur une retranscription écrite d’un texte issu d’une image ou d’un son, soit sur une détection de la présence ou non d’un objet sur une image.
Du fait du ML, l’idée n’est plus seulement de vérifier que votre entrée est correcte, mais également que votre comportement est humain, notamment en examinant les temps entre réponses ; sachant que certains CAPTCHA se passent désormais de toute interaction avec le programme, et se contentent d’analyser des événements tels les déplacements de votre souris. Notez, au passage, qu’un grand nombre des résultats sont par la suite utilisés pour générer des bases de données d’apprentissage automatisé, notamment pour la conduite autonome : ce n’est pas pour rien que vous cliquez sur des voitures, des feux de signalisation ou des passages piétons...
Caramba, voilà qui devient de pire en pire !
Tout cela est très bien, mais où se situe Cloudflare ? Hé bien, la firme possède le monopole des solutions de protection anti-DDoS, et a régulièrement recours à cette solution pour différencier les gentils utilisateurs des méchants robots. Or, selon un calcul un peu simpliste de leur part, ces tests représenteraient 500 ans de temps cumulé sur tous les internautes, pour un seul jour de fonctionnement du web, sans compter les problèmes d’accessibilité qu’ils posent, notamment aux personnes malvoyantes.
La solution ? Une clef USB de cryptographie, qui, par un système d’authentification du périphérique (basé sur des clefs... de chiffrement, cette fois-ci), permet de signaler pour sûr au site web que vous êtes un humain. Bien que l’opération soit considérablement plus courte — moins de 5 secondes, vous pouvez tester ici si vous avez un appareil compatible —, cela ne serait pas sans danger au niveau de la traçabilité de votre activité sur le web, même si le système U2F employé certifie en partie l’anonymat au sein d’une série de clefs USB. Néanmoins, en jouant sur les cookies, il est toujours théoriquement possible de vous identifier de manière unique, tout se jouant selon votre degré de confiance envers Clouflare, ce qui n’est pas sans rappeler un certain ragotron. À voir comment cela est amené à évoluer dans le futur ! (Source : HotHardware)
 | Un poil avant ?Navi 23 : des nouvelles de la AMD RX 6600 XT ? | Un peu plus tard ...Windows Insider 21382 : HDR et correctifs | |
Pour ce qui est de Google (et youtube), on n'est pas obligé de se connecter mais on est obligé d'accepter leurs conditions ou alors revoir les option de leur politique pendant 1/4 d'heure, à chaque fois si on a un profile qui supprime les cookies. Après on peut affiner les filtres à cookies dans Firefox pour tout éliminer sauf Google et uniquement pour ses sites en particulier (par exemple) après relance de Firefox. Paramétrer tout ça : encore du bon temps utile en perspective
Pour mon cas, j'avais capté la construction de l'url. Mais je n'ai pas pigé à quel moment il réactualise l'url de la page que je regarde. Ca ne peut pas être en temps réel. C'est lorsque j'ouvre/referme le navigateur? Lorsque je change d'onglet et revient dessus? Au moment des coupure pubs?... Oh et puis en fait, j'men tape.