Cloudflare está procurando uma maneira de remover CAPTCHAs for Tor Users

Apesar de lançar 10% de todo o tráfego da Internet, o Cloudflare é conhecido por seus CAPTCHAs irritantes, que costumam atrasar os usuários do Tor por alguns minutos antes de permitir que eles acessem um site.

O Projeto Tor não hesitou em apontar o dedo para Clududflare em público. Em fevereiro passado, os membros do Projeto Tor acusaram a Cloudflare de sabotar deliberadamente o tráfego do Tor através de seus CAPTCHAs e de usar cookies especiais para rastrear os usuários do Tor pela Internet.

Cloudflare está procurando uma maneira de remover CAPTCHAs for Tor Users

Cloudflare respondeu um mês depois, negando todas as acusações. A empresa disse que apenas endereços IP com má reputação veem o CAPTCHAs, que é uma medida de autodefesa para sites que a Cloudflare foi contratada para proteger.

A empresa disse que 94% de todo o tráfego do Tor é malicioso e é usado principalmente para ataques automatizados, razão pela qual os usuários regulares do Tor veem CAPTCHAs. Cloudflare foi inflexível que não tinha nada contra o Projeto Tor ou seus usuários.

No entanto, considerando que são as operações que contam, a Cludflare agora está procurando um novo sistema para proteger seus clientes do tráfego malicioso do Tor, mas sem bombardear os usuários do Tor com CAPTCHAs intermináveis.

O documento relevante foi publicado no GitHub há duas semanas e é chamado de “Challenge Bypass Specification”.

De acordo com essa especificação, o Cloudflare está trabalhando em uma extensão do navegador Tor que produz tokens de controle de identidade únicos, chamados nonces.

Cada vez que um usuário do Tor acessa uma área protegida pelo Cloudflare, deve resolver um CAPTCHA inicial. Depois disso, o navegador fornecerá tokens de autenticação para o firewall Cloudflare e o usuário não precisará lidar com nenhum CAPTCHA.

Como o tráfego malicioso é automatizado com várias ferramentas da CLI, os invasores não poderão fornecer esses tokens e o firewall fará seu trabalho corretamente.

Atualmente, o rascunho da especificação usa uma modificação do algoritmo de criptografia RSA para criar “assinaturas cegas” que podem ser usadas como nonces.

O Cloudflare também explica que este sistema não está especificamente adaptado para sua rede. Todo o sistema é modular e outros provedores de borda podem usá-lo para lidar com o tráfego Tor da mesma maneira.

Além disso, o CAPTCHA único original não é obrigatório e cada provedor de borda pode aplicar seu próprio sistema para autenticação de usuários humanos e, em seguida, usar nonces para funções de autenticação subseqüentes.