Ein „Verify you’re human“-Dialog, der sich endlos dreht, statt den Zugang freizugeben. Genau das erleben Nutzer datenschutzfreundlicher Browser seit einigen Tagen bei Cloudflares Turnstile. Der Grund wirft eine unbequeme Frage für Website-Betreiber auf.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Cloudflare Turnstile verlangt zur Verifikation ein WebGL-Fingerprinting des Geräts und sperrt Browser aus, die diese Datenerhebung blockieren. Ein technischer Bericht auf hacktivis.me vom 31. Mai hat die Debatte ausgelöst, die seither auf Hacker News und in Datenschutz-Communities läuft. Der Vorwurf trifft ein Produkt, das als privatsphärefreundliche CAPTCHA-Alternative beworben wird.
Das Wichtigste in Kürze
- Turnstile nutzt WebGL-Rendering-Eigenschaften, um Browser zu identifizieren, selbst wenn Cookies blockiert sind.
- Browser auf WebKitGTK-Basis und datenschutzbewusste Chromium-Forks landen in einer Endlosschleife und werden faktisch ausgesperrt.
- Apples WebKit blockiert WebGL-Fingerprinting seit Jahren als bekannten Tracking-Mechanismus.
- Cloudflare empfiehlt Betroffenen, das Fingerprinting für die jeweilige Seite vorübergehend zu erlauben.
Wie funktioniert das Fingerprinting bei Turnstile?
GPU als Erkennungsmerkmal bildet den Kern des Verfahrens. WebGL gibt Webseiten Zugriff auf die Grafikeinheit des Geräts, um 3D-Inhalte zu rendern. Die Art, wie eine bestimmte GPU Grafiken berechnet, ist subtil genug, um daraus ein nahezu eindeutiges Geräteprofil abzuleiten. Turnstile nutzt diese Eigenschaft, um menschliche von automatisierten Zugriffen zu unterscheiden.
Privacy als Bot-Signal lautet die problematische Kehrseite. Cloudflare teilt Nutzern mit, dass datenschutzfreundliche Werkzeuge den Browser wie einen Bot aussehen lassen, der seine Identität verbergen will. Die Logik dahinter kehrt das Verhältnis um: Wer sich der Nachverfolgung entzieht, gilt als verdächtig. Für ein Unternehmen, das jahrelang mit Datenschutz geworben hat, ist das eine heikle Botschaft.
„Wer Bot-Schutz einsetzt, übernimmt Verantwortung für die Besucher, die dabei ausgesperrt werden. Website-Betreiber sollten wissen, welche Daten ihr CAPTCHA im Hintergrund erhebt.“ — Michael Dobler, Herausgeber Dr. Web
Was sollten Website-Betreiber jetzt prüfen?
Erreichbarkeit testen steht an erster Stelle. Wer Turnstile auf der eigenen Seite einsetzt, schließt möglicherweise einen Teil der Besucher aus, ohne es zu merken. Ein Test mit einem datenschutzfreundlichen Browser zeigt, ob die Verifikation in einer Schleife hängt. Die Debatte reiht sich in die größere Auseinandersetzung um den Umgang mit Bots und Crawlern ein.
Datenschutz-Konformität verdient einen zweiten Blick. Ein Verfahren, das Geräte ohne explizite Einwilligung per Fingerprinting erfasst, berührt im DACH-Raum Fragen der DSGVO. Betreiber sollten klären, ob ihr Bot-Schutz mit der eigenen Datenschutzerklärung vereinbar ist. Die ursprüngliche Analyse stammt vom Blog von hacktivis.me.
Alternativen ohne Fingerprinting existieren, von einfachen Proof-of-Work-Verfahren bis zu serverseitigen Filtern. Welcher Weg passt, hängt vom Schutzbedarf und vom Besucherprofil ab. Wer hohe Datenschutzstandards verspricht, sollte den Bot-Schutz daran messen.
Mehr Newshunger?
