Nieuws
image

Cloudflare: mensheid verspilt vijfhonderd jaar per dag aan captcha's

zondag 16 mei 2021, 08:35 door Redactie, 31 reacties
Laatst bijgewerkt: 16-05-2021, 12:06

De mensheid verspilt vijfhonderd jaar per dag aan het oplossen van captcha's, zo claimt internetbedrijf Cloudflare, dat met fysieke beveiligingssleutels een oplossing wil gaan bieden. Critici zien de oplossing niet zitten. Websites en online diensten gebruiken captcha's (completely automated public Turing) om mensen van bots te onderscheiden.

Volgens Cloudflare duurt het gemiddeld 32 seconden voor een internetgebruiker om een captcha op te lossen. Er zijn 4,6 miljard internetgebruikers die naar schatting van Cloudflare elke tien dagen een captcha te zien krijgen. Aan de hand daarvan komt het bedrijf op vijfhonderd jaar per dag. Het internetbedrijf heeft een oplossing ontwikkeld waarbij internetgebruikers geen captcha meer moeten oplossen, maar een fysieke beveiligingssleutel gebruiken om aan te tonen dat ze mens zijn. Het gaat hier om dezelfde beveiligingssleutels die voor het beveiligen van accounts zijn te gebruiken.

Websites die aan het experiment van Cloudflare meedoen bieden gebruikers naast de traditionele captcha de optie "I am human (beta)". Via deze optie wordt de gebruiker om een fysieke beveiligingssleutel gevraagd. De gebruiker steekt de sleutel vervolgens in zijn computer of houdt die bij zijn telefoon, waarna een cryptografisch bewijs naar Cloudflare wordt gestuurd en de gebruiker heeft bewezen dat hij geen bot is. Dit proces neemt volgens het internetbedrijf vijf seconden in beslag.

Bij deze methode wordt volgens Cloudflare de privacy van gebruikers beschermd, omdat het cryptografische bewijs niet uniek voor het apparaat is. Elk Universal 2nd Factor (U2F) apparaat beschikt over een gedeeld 'attestation' key pair dat op minimaal 100.000 U2F-apparaten van dezelfde fabrikant aanwezig is. Dit moet het uniek identificeren van U2F-apparaten voorkomen (pdf).

Cloudflare vraagt gebruikers om te bewijzen dat ze over een public key beschikken die door een vertrouwde fabrikant gesigneerd is. Fabrikanten signeren de attestation public key met een digitaal certificaat. "Dus wanneer Cloudflare je om een digitale handtekening vraagt, verifieert het of je pubilc key is gesigneerd door de public key van een fabrikant", stelt het internetbedrijf.

Hierdoor moet Cloudflare nog steeds weten door welke fabrikant de beveiligingssleutel van de gebruiker is geproduceerd. Informatie waar het internetbedrijf vanwege privacyredenen naar eigen zeggen niet op zit te wachten. Om ook dit probleem te verhelpen maakt Cloudflare gebruik van Zero Knowledge proofs (ZK proof). Hierdoor zijn de beveiligingssleutels van de ene fabrikant niet meer van andere fabrikanten te onderscheiden. Informatie over deze toepassing verschijnt op een later moment.

Het experiment met "Cryptographic Attestation of Personhood" zal op beperkte schaal in Engelssprekende regio's beschikbaar zijn. Daarnaast worden op het moment alleen beveiligingssleutels die via usb of nfc werken ondersteund.

Update

Critici zien de oplossing van Cloudflare niet zitten. Het opzetten van een geautomatiseerde aanval om de oplossing te omzeilen is eenvoudig. Daarnaast zou ook de privacy in het geding zijn. FIDO stelt dat er één batchcertificaat per 100.000 sleutels wordt gebruikt. Wanneer bekend is dat een gebruiker een beveiligingssleutel heeft en het batchcertificaat wordt op een website gezien, is er een kans van 1 op 100.000 dat het de betreffende gebruiker is.

Gecombineerd met andere informatie die websites verzamelen kan dit tegen gebruikers worden gebruikt. Verder worden beveiligingssleutels voor authenticatie gebruikt, maar is daar bij de oplossing van Cloudflare geen sprake van. "Het verifieert alleen het apparaatmodel", zegt Yuriy Ackermann.

Reacties (31)
16-05-2021, 08:59 door spatieman
kunnen ze lekker gaan datagraaien bij cloudfire !
16-05-2021, 09:07 door Anoniem
en hoeveel tijd zijn we 'kwijt' aan het beheren en gebruiken van zo een 'dongle ding' ?
16-05-2021, 10:02 door Anoniem
Tja 30 seconden -> 5 seconden. dus gaan we van 500 jaar naar 83,3 jaar per dag verlies.
Reken eens uit hoeveel tijd je verliest met advertenties parsen :)
16-05-2021, 10:05 door Anoniem
Je kunt ook gewoon stoppen met die captcha's.
Waarom zou je nog meer data aan een internet Tech Gigant geven?
16-05-2021, 10:12 door Anoniem
Dit lijkt me bedacht door een CEO. Waarom zou je op je botjes niet gewoon de usb sleutel in de computer hebben steken? Lijkt alsof ze het gemakkelijker maken om captcha's te omzeilen.
16-05-2021, 10:27 door Rop
https://herrjemand.medium.com/why-cloudflares-captcha-replacement-with-fido2-webauthn-is-a-really-bad-idea-d5487f6c7566
16-05-2021, 11:34 door Anoniem
Op een site waar ik niet hoef in te loggen, hoef ik helemaal niet te bewijzen wie of wat ik ben. Je publiceert je content of niet. Overijverige robots houd je maar tegen met throttling.
16-05-2021, 11:56 door Anoniem
Ja juist ja en wie biedt die Captcha's als een van de weinige nog aan op Internet? Juist ja Cloudflare. Gek wordt je ervan als je met vpn surft dat ze willen checken dat je een mens bent en je tot wel vier keer toe een Captcha willen serveren omdat je het een paar keer mis had.
Zij klagen erover maar zijn zijn wel de grootste veroorzaker van dit tijdverlies.... wat is hun agenda, waar willen ze mee komen? Chip in de huid? Ik zou heel alert worden als zo'n datagraaier als Cloudflare met dit soort berichten naar buiten komt.
16-05-2021, 13:58 door Anoniem
Door Redactie: De mensheid verspilt vijfhonderd jaar per dag aan het oplossen van captcha's, zo claimt internetbedrijf Cloudflare, dat met fysieke beveiligingssleutels een oplossing wil gaan bieden.

Vijfhonderd jaar tijdverspilling per dag, ieder dag weer, jaar in jaar uit. Tijd die dus niet nuttiger besteed kon worden, zoals aan het oplossen van dringender zaken voor de mensheid, zoals de aanpak van de klimaatcrisis, het tegengaan van de vernietiging van ecosystemen en de bestrijding van gevaarlijke infectieziekten. Het zal mij ook niets verbazen dat de CO2-uitstoot ten gevolge van het invullen van reCaptcha's, en de toegepaste AI die daar achter zit, aanzienlijk is.
16-05-2021, 14:38 door Anoniem
Uiteindelijk zegt Yurij Ackermann, dat het toch staat te gebeuren met Skynet opgetuigd.
En de rijen lichtjes van Musk's communicatie-spy-satellieten waren in Brabant laatstelijk al even goed waar te nemen,
tot ze uit het zicht waren verdwenen.

The Forces that Be drukken het gewoon door. Halsstarrige en onverdroten kleine groep doordrammers.
Bedenkers van oplossingen tot ons aller ongeluk.

Skyfall moeten we toch liever nog even uitstellen of tot film houden, die nog niet volledig gerealiseerd is.
Dit alhoewel de heer E. Musk en geallieerden er gewoon aan doorwerken zullen.

Even nog geen beta-human willen worden binnen het Internet of Beta-Human Things, als het aan mij ligt.
Dit alles binnen de cash-less society van de nabije toekomst.

Een tijd in aantocht, waar ieder niets zal bezitten en toch gelukkig moet kunnen zijn.
Hoe lang of ik dit zal volhouden met al het gedrang en gedram om me heen, valt te bezien.
Misschien een paar lock-downtjes verder ben ik ook af en "all for". Denk het overigens niet.

Ik vind in ieder geval de heer Ackermann aan mijn zijde, alsmede vele gelijkgestemden hier met mij.

Goede week nog allemaal,

luntrus
16-05-2021, 14:56 door Anoniem
Wij van WC eend
Enne, iedereen moet natuurlijk
hebben we gelijk een monopoly

Overigens is mijn oplossing heel veel beter
het is nog iets te vroeg voor de details, maar die komen hoor
16-05-2021, 16:28 door Anoniem
Door Anoniem: Ja juist ja en wie biedt die Captcha's als een van de weinige nog aan op Internet? Juist ja Cloudflare. Gek wordt je ervan als je met vpn surft dat ze willen checken dat je een mens bent en je tot wel vier keer toe een Captcha willen serveren omdat je het een paar keer mis had.
Wees blij dat je nog geen ervaring hebt gehad met de recapthca van Google. Kom je simpelweg niet voorbij.
En bedrijven maar massaal gebruiken bij hun contactformulier op hun site, niet wetende dat er een screenshot gemaakt wordt en naar de servers van Google verzonden wordt.
Dit soort bedrijven hebben lak aan jouw privacy, kun je het beste vermijden.
16-05-2021, 17:14 door Anoniem
@ anoniem van 13:58,

Maar men begint altijd onderaan de verkeerde boom te janken. Kijk naar het plastic vervuilingsprobleem.

We stoppen niet de grote producent van plastic draagtasjes bijvoorbeeld, die op wat ie normaliter affakkelt,
ter waarde van 0,25 eurocent nog er eens extra 24,75 eurocent verdienen kan.

Het probleem ligt immers altijd bij de bevolking, die dit vervuilen opgedrongen wordt.
Er is geen versterkte papieren zak als alternatief. Dus de eco-rethoriek dreigt altijd de vervuilende burger,
die een schuldgevoel moet worden aangepraat, maar nooit de giga-vervuiler, die vrijuit gaat.

Je gaat hier in mee, zonder deze consequenties alleen maar te willen overdenken.
De vervuilende top-elite zijn de veroorzakers, niet wij, de zogenaamde mensheid minus hen.

Ik hoef ook geen reclame te maken voor Google, dat doen ze zelf wel of ik moet ervoor werken
en alle ongelegen en onwelkome waarheden willen neutraliseren en desnoods censureren.

#sockpuppet
16-05-2021, 17:44 door Anoniem
Ach inderdaad die stomme capcha dingen moeten weg,je hebt er niks aan.
Het is alleen een hindernis om een site te bezoeken,veilgheid is er niet bij geboden.
16-05-2021, 19:23 door Anoniem
interessant, hoeveel tijd verspilt de mensheid met facebook?
16-05-2021, 20:36 door Anoniem
LOL Als ik zo'n Captcha zie, dan klik ik gewoon de site weg. Fatsoenlijke sites maken geen gebruik van Captcha's.
16-05-2021, 21:53 door Anoniem
Het grappige aan Captcha is dat heel veel mensen denken dat het een manier is om criminelen uit je systemen te houden.
Ja echt, en als je ze dan vraagt of een crimineel geen mens is, dan zie je ze echt even denken en komt het "ow, daar is het dus niet voor" moment pas.

Captcha is gewoon een verkeerde oplossing (bot detectie) voor een probleem dat je prima met andere technieken kunt oplossen.
16-05-2021, 23:51 door De baard - Bijgewerkt: 16-05-2021, 23:51
Door Anoniem: LOL Als ik zo'n Captcha zie, dan klik ik gewoon de site weg. Fatsoenlijke sites maken geen gebruik van Captcha's.

Geinig. U weet dat wanneer u anoniem hier antwoordt u een Captcha moet oplossen om het antwoord verzonden te krijgen? Jawel, die cijfer- en lettercombinatie op die gespikkelde achtergrond is een Captcha.
17-05-2021, 02:15 door Anoniem
Door De baard:
Door Anoniem: LOL Als ik zo'n Captcha zie, dan klik ik gewoon de site weg. Fatsoenlijke sites maken geen gebruik van Captcha's.

Geinig. U weet dat wanneer u anoniem hier antwoordt u een Captcha moet oplossen om het antwoord verzonden te krijgen? Jawel, die cijfer- en lettercombinatie op die gespikkelde achtergrond is een Captcha.
Grote verschil is dat de recaptcha hier altijd werkt en privacy vriendelijk is. Twee eigenschappen die die van cloudfare en google niet hebben.
17-05-2021, 07:36 door Anoniem
Dit zijn natuurlijk de captcha’s van cloudflare die je soms krijgt als je over een vpn verbinding maakt met een server achter cloudflare.
17-05-2021, 10:00 door Anoniem
Door partijen als Cloudflare met hun zogenaamde bescherming en andere diensten dat zich overal tussen wringt wordt het internet er niet veiliger op. Weer een laagje programmeer code en hardware ertussen. Ondertussen wordt de kans op fouten alleen maar hoger.
17-05-2021, 10:40 door Anoniem
Cloudflare creeert eerst het probleem om captcha's te zetten en dan gaan ze er over klagen? Je moet sowieso niet bij cloudflare hosten, is gewoon onvriendelijk voor je klanten, en ze geven altijd jouw server de schuld als er iets niet werkt.
17-05-2021, 10:57 door Anoniem
Door Anoniem: LOL Als ik zo'n Captcha zie, dan klik ik gewoon de site weg. Fatsoenlijke sites maken geen gebruik van Captcha's.

Ik ben het niet met je eens. Wij hadden jarenlang geen captcha, maar zijn daartoe overgegaan toen we ineens heel veen gerobotiseerde spam en phising berichten kregen via ons contactformulier op de website.

Wel kunnen die captcha's een stuk simpeler. Wanneer ik gevraagd wordt om motoren, bussen, winkels oid aan te tikken en het plaatje laat veel te wensen over ben ik er ook snel klar mee. net als onleesbare tekens
17-05-2021, 11:53 door Anoniem
Je kunt ook gewoon stoppen met die captcha's. Waarom zou je nog meer data aan een internet Tech Gigant geven?

Laten we vooral systemen weer onveiliger maken, en het risico van geautomatiseerde aanvallen weer verhogen. De reden achter captcha's is niet het geven van data aan tech giants.
17-05-2021, 11:54 door Anoniem
LOL Als ik zo'n Captcha zie, dan klik ik gewoon de site weg. Fatsoenlijke sites maken geen gebruik van Captcha's.

Fatsoenlijke websites maken geen gebruik van dergelijke maatregelen, om te voorkomen dat je met geautomatiseerde processen de website aan kan vallen ?
17-05-2021, 13:31 door Reinder
Door Anoniem:
Door Redactie: De mensheid verspilt vijfhonderd jaar per dag aan het oplossen van captcha's, zo claimt internetbedrijf Cloudflare, dat met fysieke beveiligingssleutels een oplossing wil gaan bieden.

Vijfhonderd jaar tijdverspilling per dag, ieder dag weer, jaar in jaar uit. Tijd die dus niet nuttiger besteed kon worden, zoals aan het oplossen van dringender zaken voor de mensheid, zoals de aanpak van de klimaatcrisis, het tegengaan van de vernietiging van ecosystemen en de bestrijding van gevaarlijke infectieziekten. Het zal mij ook niets verbazen dat de CO2-uitstoot ten gevolge van het invullen van reCaptcha's, en de toegepaste AI die daar achter zit, aanzienlijk is.

Ik denk niet dat je dat zo eenvoudig kan zien, om meerdere redenen:
1) Zonder captcha's worden forums en formulieren e.d. online volgespammed, en dat voorkomen of oplossen kost ook veel tijd en energie. Er is een reden dat we die captcha's hebben, het is geen "verspilling", het is "besparing"
2) Het is natuurlijk niet zo dat als iemand 10 seconden tijd uit kan sparen door geen captcha te hoeven oplossen, dat die 10 seconden dan besteed zou worden aan het oplossen van de grote problemen van de mensheid. Waarschijnlijk betekent het gewoon 10 seconden eerder pr0n kijken.
3) 500 jaar klinkt erg veel, maar gezien de hoeveelheid mensen is het niet noemenswaardig. Als je deze manier van uitrekenen gebruikt dan kan je overal over klagen. Zo denk ik dat de mensheid wel meer dan 500 jaar per dag verspilt aan het lospeuteren van het eerste velletje van wc-rollen, en aan het uit de knoop halen van schoenveters... ik bedoel maar, dit zegt niets. Een vermindering van 30 seconden per persoon per twee weken gaat niet de klimaatcrisis oplossen.
17-05-2021, 18:28 door Anoniem
De mensheid verspilt nog veel meer tijd aan reclames daarom vind ik dat reclame afgeschaft dient te worden.

En het draagt bij aan de klimaatvriendelijkheid.

Bedenk maar eens hoeveel energie er verbruikt wordt door alleen het kijken naar reclame.

En het is ook een stuk klantvriendelijker omdat zijn ogen en oren er niet mee belast worden en zijn onderbewustzijn niet vervuild.

Want ik ben die massaal geaccepteerde sublimatie een beetje goed zat.
17-05-2021, 21:45 door Anoniem
Via deze optie wordt de gebruiker om een fysieke beveiligingssleutel gevraagd. De gebruiker steekt de sleutel vervolgens in zijn computer of houdt die bij zijn telefoon, waarna een cryptografisch bewijs naar Cloudflare wordt gestuurd en de gebruiker heeft bewezen dat hij geen bot is. Dit proces neemt volgens het internetbedrijf vijf seconden in beslag.
Waar is die @#%$& sleutel nou weer? Ik kan hem @$$%$$^ nergens vinden!!!!
18-05-2021, 09:05 door Anoniem
Op tor is die hele captcha zooi soms zenuwslopend vervelend.
Plafondstaren tot gevolg hebbend.

Geen toegang daar tot Dan U.K.
Natuurlijk het goed recht van website admins om hun toko voor tor-users gesloten te houden
of hen door naar een zandbak te sturen.

Maar iets vervangen door iets dat nog onveiliger is, is natuurlijk ook niet zo'n goede oplossing.

Maar a priori is de cloud nooit iets veiligers geweest, wel gemakkelijker en een oplossing voor lieden,
die de verantwoording graag elders leggen en ieder door hetzelfde Palmyra-poortje willen dwingen.

Nog meer tracking, nog meer data-slurp, nog meer surveillance, nog meer drang- en dwang,
en het leifst als de slachtoffers het niet doorhebben.

#sockpuppet
18-05-2021, 18:28 door De baard
Door Anoniem:
Via deze optie wordt de gebruiker om een fysieke beveiligingssleutel gevraagd. De gebruiker steekt de sleutel vervolgens in zijn computer of houdt die bij zijn telefoon, waarna een cryptografisch bewijs naar Cloudflare wordt gestuurd en de gebruiker heeft bewezen dat hij geen bot is. Dit proces neemt volgens het internetbedrijf vijf seconden in beslag.
Waar is die @#%$& sleutel nou weer? Ik kan hem @$$%$$^ nergens vinden!!!!

Zij zullen je vast een (smart)band sturen waarin de sleutel verwerkt zit. Natuurlijk voor een paar $$ per jaar.
18-05-2021, 19:03 door Anoniem
In de reacties wordt geadviseerd om sites te mijden die nog gebruikmaken van (re)captcha-controle. Dat zou betekenen dat je bijvoorbeeld geen boodschappen kunt laten bezorgen door AH.

Helaas heeft AH die controle zo geïmplementeerd dat je ook nog moet bewijzen dat je geen bot bent NADAT je je gebuikersnaam en wachtwoord (correct) heb ingevuld. AH is dus kennelijk bang voor een aanval door bots die al op de hoogte zijn van je inloggegevens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure