이 새 reCAPTCHA는 기본적으로 원격 증명(remote attestation) 으로 이해됨
원격 증명은 블라인드 서명을 쓰지 않는데, 그렇게 하면 대량으로 재배할 수 있기 때문임. 그래서 Google 서버가 공모하면 기기와 증명 대상자를 기술적으로 묶을 수 있음: EK(고정으로 구워진 개인 키) → AIK(보안 영역의 임시 신원 키, Google 서버가 서명) → 증명(AIK가 서명) 흐름임
Google 서버가 EK → AIK 변환을 기록하면 특정 증명을 기기의 EK까지 쉽게 추적할 수 있음. 그래서 가짜 원격 증명을 제공하는 온라인 서비스가 거의 없고 앞으로도 보기 어려울 것 같음. 그런 서비스를 운영하는 다음 단계는 Google이 고객이 되어 모든 기기를 차단 목록에 올리는 것이기 때문임
이 새 reCAPTCHA에 특별한 조치가 없다면 인터넷 서비스를 TPM 칩 뒤에 잠그는 것뿐 아니라 익명성을 Google에 넘기는 것이 됨. 서비스마다 추적 불가능한 임시 기기를 구하지 않는 한, 이 방식은 여러 서비스의 모든 계정을 서로 묶을 수 있게 됨. 나이 확인과 비슷하고, 서비스가 reCAPTCHA 세션과 가입을 연결하려면 협력해야 할 것처럼 보여도 가입 시각만으로도 익명 집합은 거의 무너질 가능성이 큼
웹사이트를 운영한다면 같은 코드를 자기 사이트에 올려 증명 요청을 다른 사람에게 전달하고, 자기 기기 대신 그 사람의 기기가 Google에서 차단되게 만드는 것도 쉬워 보임
“이 QR 코드를 해석하라”는 작업은 “인간이 컴퓨터보다 더 잘할 수 있는 작업” 목록 상위 50만 개 안에도 들지 않을 것 같음
reCAPTCHA 문서에서 하드웨어 증명 지원이 필수라는 요구는 보이지 않고, Play Services만으로도 충분해 보임
아마 Google이 원격으로 증명할 가능성이 높고, Play Services처럼 휴대폰에 막대한 접근 권한을 가진 앱을 이용해 여러 데이터를 연결할 수 있음. 휴대폰의 로컬 활동까지 포함해 “인간성” 판단을 더 잘하겠다는 명목일 수 있음
Google 계정을 쓰는 사람에게는 수집되는 데이터 측면에서 큰 차이가 없을 수도 있음
이런 방식이라면 이론적으로는 위조도 가능하겠지만, Google 입장에서는 여러 사람이 공유해 쓰는 증명을 탐지하기 쉬움
애초에 매우 대략적인 시스템의 업데이트라 절대적 보안이 아직 필요한 것은 아니지만, 우회는 극도로 어려워질 가능성이 큼
Google이 iPhone 사용자에게 테스트 통과를 위해 Google 소프트웨어 설치를 요구하지 않았다면, 탈Google Android 휴대폰이 자신을 iPhone처럼 보이게 할 수 있을까?
지금 Android를 쓰지 않고, Google이 들어간 Android도 거의 10년 동안 쓰지 않았으며 앞으로도 안 쓸 것임. 이게 끝까지 지켜야 할 선이라면 그렇게 하겠음
Google이 통제하는 것이든 아니든 하드웨어 증명은 쓰지 않을 것임. 루팅하지 않은 Google 인증 Android 휴대폰을 갖고 있어도 쓰면 안 된다고 봄
핀테크 앱이 작동하지 않아 돈을 못 받게 되면 더 이상 재미있는 문제가 아님. 그래서 규제가 필요함
다만 정치인들이 광고 회사를 상대로 나설 것 같지는 않음. 그들이 고객이니까
오래된 저가 Android를 예비로 두고 있다가 최근에는 GrapheneOS로 옮김. Google 프로필은 하나만 두고 Uber, 회사 Google Chat, 지도에만 씀
한 은행은 Google 서비스가 있어도 작동을 거부해서 은행을 옮김. 모바일 사용 대부분은 직접 호스팅하는 쪽으로 옮겼고, freshrss 전체 텍스트, 비밀번호 관리자, 캘린더, 작업 관리 등을 직접 인터넷에 노출하지 않게 구성함
좀 성가시긴 하지만 이 여정을 시작해 다행이라고 느낌. 점점 인터넷 자체를 피하게 될 것처럼 보임
Google Drive의 가장 좋은 대안은 무엇일까? 나도 이 길로 왔지만 Samba는 가끔 좀 귀찮음
archive.is가 QR 코드 스캔을 요구했는데, Cloudflare 뒤에 있는 이 짓이 너무 부끄러움. 웹사이트 방문자에게 KYC를 강제하는 건가? 제정신인가?
이런 방향으로 밀어붙이면 웹은 망가짐. 수백만 개 웹사이트가 갑자기 KYC를 강제하게 되는 건가? https://ibb.co/X9Q6Y84
KYC라고 한 이유는, KYC 없이 SIM을 구하고 전화번호 없이 Play Store용 Google 계정을 만드는 비범죄적 방법이 매우 적기 때문임. 그러면 모든 웹사이트 방문이 실제 신원에 붙게 됨
순정 Android를 쓰지 않아서 지금은 실제로 많은 웹사이트에 접근할 수 없음. 정말 말이 안 됨
문구가 “reCAPTCHA는 이 사이트와 당신의 세부 정보를 공유하지 않습니다”라고 되어 있는데, Google과 공유하지 않는다는 말은 없음. 그렇다면 공유한다는 뜻인가?
이건 정말 나쁨 :-(
특히 archive.is 같은 곳에서는 휴대폰 없이 인터넷을 보는 일이 훨씬 어려워질 것 같음
논의와 얼마나 관련 있는지는 모르겠지만, 도움이 된다면 archive.is 페이지를 archive.org/Wayback Machine에 보관할 수 있는 프로젝트를 만들었음. singlefile을 사용함
커뮤니티가 이런 걸 대규모로 활용할 수도 있을 것 같음. archive.is가 QR 코드 요구 문제를 고치고, 영구적인 문제가 되지 않기를 바람
[0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...
왜 Private Access Tokens를 채택하지 않았는지 모르겠음. 그것도 훌륭하진 않지만 최소한 이렇게 포장할 수는 있었음: 사람들의 사생활 침해가 목적이 아닌 척하기, “Apple도 한다”는 전통적 변명 쓰기, 표준 지향적인 척하기, 최종 사용자에게 완전히 투명한 기능처럼 홍보하기
그렇게 했다면 어떤 형태로든 기기 증명을 달성하면서도 반발은 훨씬 적었을 것 같음. 하지만 그게 진짜 목표는 아닌 듯함
근본적으로 아무것도 해결하지 못함. 특정 사람이나 최소한 상대적으로 비싼 기기를 식별해서, 차단하면 계속 차단된 상태로 남게 만들고 싶은 것임
Not Invented Here 증후군 아닐까?
이건 정부가 개입해 Google을 강하게 금지하거나 벌금 부과해야 할 선을 넘었음. 독점적 행위임
독점이라는 건 문서 웹사이트에 가보면 영상 절반이 이 기능을 Google Analytics로 연결하는 내용이라는 데서 드러남
다른 제품을 이용해 검색과 광고 독점을 강화하는 구조임
더 나은 Google이나 Gemini를 만들기 위해 콘텐츠를 긁을 수도 없고, Google이나 Apple과 경쟁할 운영체제를 만들 수도 없고, Google Analytics 경쟁자도 만들 수 없게 됨
명백히 반경쟁적임
정부야말로 이런 걸 가장 필요로 함. 잠재적·현재의 반체제 인사가 누구인지 알고 싶어 하니까
여기는 불법 끼워팔기나 시장 지배력 남용으로 조사할 명확한 근거가 있어 보임. FTC가 여기에도 눈이 있다면 듣고 있기를 바람
경쟁 AI 에이전트를 막고 자기 쪽 접근은 확보하려는 전형적인 사다리 걷어차기임
서비스를 제공하고 온라인 작업을 수행하는 자율 에이전트 시장은 거대해질 것이므로, Amazon, Cloudflare, Microsoft 등이 지키는 자산에서 자기 봇이 막히지 않게 하려면 협상 카드가 필요함
최근 혼란스러워하던 가족이 존재조차 몰랐던 Google Cloud 계정 두 개를 삭제하는 걸 도왔음. reCAPTCHA가 다른 Google 제품에 통합된다는 이메일을 받고서야 알게 됨
무슨 일이 있었는지 전혀 모르겠음. 지금까지의 최선의 추측은 같은 브라우저에서 Google 계정에 로그인된 상태로 CAPTCHA를 풀다가 정말 잘못된 버튼을 눌렀다는 것임. 기괴함
AI Studio 플레이그라운드일 수도 있지 않을까? 전부 통합된 것처럼 보임
공정하게 말하면 이미 가입에 휴대폰을 요구하는 앱들이 있음. 예를 들면 VK, Telegram이 그럼
Google도 계정 등록에 QR 코드 스캔을 요구하는 것 같아서, 어떤 목적이 있다면 그냥 암시장에서 Google 계정을 사는 편이 더 쉬울 수 있음
요즘은 아무도 웹브라우저를 신뢰하지 않음
Hacker News 의견들
이 새 reCAPTCHA는 기본적으로 원격 증명(remote attestation) 으로 이해됨
원격 증명은 블라인드 서명을 쓰지 않는데, 그렇게 하면 대량으로 재배할 수 있기 때문임. 그래서 Google 서버가 공모하면 기기와 증명 대상자를 기술적으로 묶을 수 있음: EK(고정으로 구워진 개인 키) → AIK(보안 영역의 임시 신원 키, Google 서버가 서명) → 증명(AIK가 서명) 흐름임
Google 서버가 EK → AIK 변환을 기록하면 특정 증명을 기기의 EK까지 쉽게 추적할 수 있음. 그래서 가짜 원격 증명을 제공하는 온라인 서비스가 거의 없고 앞으로도 보기 어려울 것 같음. 그런 서비스를 운영하는 다음 단계는 Google이 고객이 되어 모든 기기를 차단 목록에 올리는 것이기 때문임
이 새 reCAPTCHA에 특별한 조치가 없다면 인터넷 서비스를 TPM 칩 뒤에 잠그는 것뿐 아니라 익명성을 Google에 넘기는 것이 됨. 서비스마다 추적 불가능한 임시 기기를 구하지 않는 한, 이 방식은 여러 서비스의 모든 계정을 서로 묶을 수 있게 됨. 나이 확인과 비슷하고, 서비스가 reCAPTCHA 세션과 가입을 연결하려면 협력해야 할 것처럼 보여도 가입 시각만으로도 익명 집합은 거의 무너질 가능성이 큼
https://doublespeed.ai/
아마 Google이 원격으로 증명할 가능성이 높고, Play Services처럼 휴대폰에 막대한 접근 권한을 가진 앱을 이용해 여러 데이터를 연결할 수 있음. 휴대폰의 로컬 활동까지 포함해 “인간성” 판단을 더 잘하겠다는 명목일 수 있음
Google 계정을 쓰는 사람에게는 수집되는 데이터 측면에서 큰 차이가 없을 수도 있음
이런 방식이라면 이론적으로는 위조도 가능하겠지만, Google 입장에서는 여러 사람이 공유해 쓰는 증명을 탐지하기 쉬움
애초에 매우 대략적인 시스템의 업데이트라 절대적 보안이 아직 필요한 것은 아니지만, 우회는 극도로 어려워질 가능성이 큼
지금 Android를 쓰지 않고, Google이 들어간 Android도 거의 10년 동안 쓰지 않았으며 앞으로도 안 쓸 것임. 이게 끝까지 지켜야 할 선이라면 그렇게 하겠음
Google이 통제하는 것이든 아니든 하드웨어 증명은 쓰지 않을 것임. 루팅하지 않은 Google 인증 Android 휴대폰을 갖고 있어도 쓰면 안 된다고 봄
다만 정치인들이 광고 회사를 상대로 나설 것 같지는 않음. 그들이 고객이니까
오래된 저가 Android를 예비로 두고 있다가 최근에는 GrapheneOS로 옮김. Google 프로필은 하나만 두고 Uber, 회사 Google Chat, 지도에만 씀
한 은행은 Google 서비스가 있어도 작동을 거부해서 은행을 옮김. 모바일 사용 대부분은 직접 호스팅하는 쪽으로 옮겼고, freshrss 전체 텍스트, 비밀번호 관리자, 캘린더, 작업 관리 등을 직접 인터넷에 노출하지 않게 구성함
좀 성가시긴 하지만 이 여정을 시작해 다행이라고 느낌. 점점 인터넷 자체를 피하게 될 것처럼 보임
archive.is가 QR 코드 스캔을 요구했는데, Cloudflare 뒤에 있는 이 짓이 너무 부끄러움. 웹사이트 방문자에게 KYC를 강제하는 건가? 제정신인가?
이런 방향으로 밀어붙이면 웹은 망가짐. 수백만 개 웹사이트가 갑자기 KYC를 강제하게 되는 건가?
https://ibb.co/X9Q6Y84
KYC라고 한 이유는, KYC 없이 SIM을 구하고 전화번호 없이 Play Store용 Google 계정을 만드는 비범죄적 방법이 매우 적기 때문임. 그러면 모든 웹사이트 방문이 실제 신원에 붙게 됨
순정 Android를 쓰지 않아서 지금은 실제로 많은 웹사이트에 접근할 수 없음. 정말 말이 안 됨
특히 archive.is 같은 곳에서는 휴대폰 없이 인터넷을 보는 일이 훨씬 어려워질 것 같음
논의와 얼마나 관련 있는지는 모르겠지만, 도움이 된다면 archive.is 페이지를 archive.org/Wayback Machine에 보관할 수 있는 프로젝트를 만들었음. singlefile을 사용함
커뮤니티가 이런 걸 대규모로 활용할 수도 있을 것 같음. archive.is가 QR 코드 요구 문제를 고치고, 영구적인 문제가 되지 않기를 바람
[0]: https://smileplease.mataroa.blog/blog/htmlpipe-and-how-we-ca...
왜 Private Access Tokens를 채택하지 않았는지 모르겠음. 그것도 훌륭하진 않지만 최소한 이렇게 포장할 수는 있었음: 사람들의 사생활 침해가 목적이 아닌 척하기, “Apple도 한다”는 전통적 변명 쓰기, 표준 지향적인 척하기, 최종 사용자에게 완전히 투명한 기능처럼 홍보하기
그렇게 했다면 어떤 형태로든 기기 증명을 달성하면서도 반발은 훨씬 적었을 것 같음. 하지만 그게 진짜 목표는 아닌 듯함
이건 정부가 개입해 Google을 강하게 금지하거나 벌금 부과해야 할 선을 넘었음. 독점적 행위임
다른 제품을 이용해 검색과 광고 독점을 강화하는 구조임
더 나은 Google이나 Gemini를 만들기 위해 콘텐츠를 긁을 수도 없고, Google이나 Apple과 경쟁할 운영체제를 만들 수도 없고, Google Analytics 경쟁자도 만들 수 없게 됨
명백히 반경쟁적임
iOS 16.5에서 무엇이 바뀌었길래 Google이 앱 설치 요구를 멈췄는지 아는 사람이 있을까? 보기에는 Apple의 원격 증명인 Private Access Tokens와 관련 있어 보임
https://developer.apple.com/videos/play/wwdc2022/10077/
경쟁 AI 에이전트를 막고 자기 쪽 접근은 확보하려는 전형적인 사다리 걷어차기임
서비스를 제공하고 온라인 작업을 수행하는 자율 에이전트 시장은 거대해질 것이므로, Amazon, Cloudflare, Microsoft 등이 지키는 자산에서 자기 봇이 막히지 않게 하려면 협상 카드가 필요함
최근 혼란스러워하던 가족이 존재조차 몰랐던 Google Cloud 계정 두 개를 삭제하는 걸 도왔음. reCAPTCHA가 다른 Google 제품에 통합된다는 이메일을 받고서야 알게 됨
무슨 일이 있었는지 전혀 모르겠음. 지금까지의 최선의 추측은 같은 브라우저에서 Google 계정에 로그인된 상태로 CAPTCHA를 풀다가 정말 잘못된 버튼을 눌렀다는 것임. 기괴함
공정하게 말하면 이미 가입에 휴대폰을 요구하는 앱들이 있음. 예를 들면 VK, Telegram이 그럼
Google도 계정 등록에 QR 코드 스캔을 요구하는 것 같아서, 어떤 목적이 있다면 그냥 암시장에서 Google 계정을 사는 편이 더 쉬울 수 있음
요즘은 아무도 웹브라우저를 신뢰하지 않음