Cloudflare Turnstile блокирует браузеры, защищающие приватность. «Если ты прячешься — ты бот»

Lanodan описывает: Cloudflare Turnstile требует WebGL для создания fingerprint устройства. Если браузер блокирует WebGL (как WebKitGTK по умолчанию) или включает privacy.resistFingerprinting — Turnstile выдаёт бесконечный challenge. Сообщение: «Ваш браузер выглядит подозрительно, потому что похоже, что вы пытаетесь скрыть свою личность». Перевод: «Люди должны быть отслеживаемы. Если нет — ты не человек».

В треде 332 комментария и ни одного защитника Cloudflare.

Мейнтейнер minority-браузера Konform сообщил, что проблема затрагивает всех его пользователей: сайты за Cloudflare становятся недоступными для любого не-Chromium браузера с нестандартным WebGL-профилем.

Давний пользователь privacy.resistFingerprinting в Firefox рассказал, почему Mozilla не включает эту настройку даже в «Strict» режиме: сайты ломаются непредсказуемо — расписания показывают неправильные часовые пояса, формы отказываются отправляться, видео не грузится.

Один из самых upvoted комментариев: «Есть ли сделка между Google и Cloudflare, чтобы сделать не-Chrome браузеры неудобнее? Давление на Chrome растёт, а возможности блокировки рекламы в Chrome уменьшаются».

Технический специалист по anti-bot объяснил: Cloudflare использует JA3-fingerprints и сопоставляет их с User-Agent, что позволяет блокировать cURL, но пропускать OkHttp (Android). Это можно спуфить через CycleTLS — «если они знают, что ты спуфишь, ты спуфишь недостаточно усердно».

Формулировка разработчика Turnstile — «ваш браузер подозрителен» — переворачивает презумпцию невиновности: приватность = подозрение. Cloudflare контролирует reverse-proxy для значительной части интернета. Если их captcha становится инструментом fingerprinting, а отказ от fingerprinting = блокировка — web перестаёт быть открытым и становится walled garden, где пускают только «одобренные» браузеры. И одобренный браузер — тот, который отдаёт о тебе всё.