HNで共有: CloudflareがPale Moonやその他の非主流ブラウザをブロック
(news.ycombinator.com)-
Cloudflareのブラウザ完全性チェックの問題
- Cloudflareのブラウザ完全性チェック機能が、Pale Moonのような非主流ブラウザのユーザーによるアクセスをブロックする問題が発生
- 1月31日からユーザー報告が始まる
-
問題の発生と対応
- この問題は毎年少なくとも1回は発生しており、Cloudflareに簡単に連絡する方法がない
- 「フィードバックを送信」ツールは効果がなく、Cloudflareコミュニティのトピックはスパムとして表示されロックされている
- Cloudflareからの公式な応答はない
-
影響を受ける他のブラウザ
- Falkon、SeaMonkey、IceCat、Basiliskなどもアクセスをブロックされている
-
以前の事例
- 2022年のHacker News投稿で同じ問題が提起され、Cloudflareが迅速にパッチを適用した事例がある
- 当時のCloudflareのプロダクトマネージャーは、特定のブラウザの正当性を判断しないと表明した
-
現在の状況
- 現在までCloudflareの公式な応答はなく、インターネットへのアクセスは依然としてブロックされている
1件のコメント
Hacker Newsのコメント
ユーザーはLinuxでChromeを使っており、今年Cloudflareが「人間であることを確認する」ボックスを非常に頻繁に表示することに気づいた。多くのサイトでこれが使われており、問題を解決しても30分後にはまた表示される。Cloudflareが何を保護しているのか気になっている
以前は、ウェブサイトが特定のブラウザに対して機能を制限したり、レンダリングを拒否したりすることがあった。そのためブラウザは、別のブラウザであるかのように見せるユーザーエージェントを使い始めた。たとえばChromeブラウザがFirefoxやSafariのふりをする。Cloudflareがどの機能を使ってブラウザを識別しているのかはわからないが、これは過去を思い出させる
ウェブサイト運営者でありVPNユーザーでもある立場として、両方の言い分は理解できる。一方では、ChatGPTやDeepSeekを使うたびに「人間であることを確認する」ボックスが出てきて面倒だ。他方では、Cloudflareがなければ毎日何千件ものスパムリクエストやハッキングの試みを目にすることになるだろう。解決策はわからない
ベアメタルサーバーをインターネットに直接接続して運用している人がどれほどいるのか気になる。DDoSが実際にそんなに一般的な問題なのか疑問だ。標準的なセキュリティ対策とホスティング事業者のDDoS保護を使ってサーバーを運用してきたが、実際に問題になったことはない。だから、なぜすべてをCloudflare経由で運用しなければならないのか不思議に思う
Palemoonをダウンロードして確認したところ、CAPTCHAがすぐにクラッシュした。ページを再読み込みするとCAPTCHAはもう表示されなくなった。別のCloudflare Turnstileも試したが、ブラウザがsegfaultでクラッシュした。ChatGPT.comは通常Cloudflareのプロンプトを発生させるのに便利だが、Palemoonでは動作しない
GoogleやCloudflareのような企業は、優れたツールを無料で提供している。これらのツールは多くの人に大きな価値をもたらしている。インターネットを彼らに委ねることに価値があるのか、あるいはインターネットのアーキテクチャに根本的な問題があり、大企業がそれを補っているのか疑問に思う
CloudflareがAustralia PostのウェブサイトでJSONリソースをリクエストするときに人間確認を要求してくる。これによって荷物追跡機能が壊れ、問題はブラウザの開発者ツールを使わないと診断できない。URLを手動で開いてCAPTCHAを解こうとすると、「ブロックされました」というメッセージが表示される
Cloudflareがボットを防げないことこそ最大の皮肉だ。実際、彼らの保護を回避するボットを書いたことさえある
RSSフィードではCloudflareのチャレンジが最悪だ。フィードの購読を解除するしかなく、ほかに方法がない