С недавнего времени Cloudflare Turnstile устроил бесконечный цикл проверки в браузере на базе WebKitGTK. Система просто перестала пропускать пользователей на сайты. Причина — Turnstile требует слепок устройства через WebGL. Единственная цель такого запроса — отслеживание.
Cloudflare оправдывается: мол, они используют fingerprinting браузера, чтобы убедиться, что вы человек. А инструменты приватности, которые блокируют или рандомизируют отпечаток, якобы делают браузер похожим на бота. Намёк понятен — отключи защиту.
Проблема в том, что WebGL fingerprinting заблокирован в WebKit уже много лет. Apple тоже не даёт его включить. И это настолько откровенный трекинг, что даже Apple, которая не славится любовью к открытости, его заблокировала. Выходит, Cloudflare просто отрезал все браузеры на WebKitGTK, сделав, скорее всего, исключение только для Safari.
Отдельная история с Mozilla Firefox. Они умудрились сломать собственную защиту от WebGL fingerprinting. В баг-трекере Bugzilla#1916271 зафиксировано: Gecko отдаёт санитизированные характеристики GPU, в то время как WebKit и Blink (движок Chromium) возвращают для всех одинаковые жёстко заданные строки. При этом настройка privacy.resistfingerprinting не активируется, даже если выбрать «Строгую» защиту в параметрах Firefox. Внушительный провал. Если эта опция включена вручную, Firefox пока не блокируется, но в будущем приватно настроенные пользователи Firefox рискуют тоже не пройти проверку Cloudflare.