Rick Findlay: Svět internetu se dělí na schválené a neschválené lidi

V roce 2023 Google požádal o povolení k uzavření otevřeného webu, byl odmítnut – a nyní jednoduše vydal totéž jako aktualizaci produktu, o které nikdo nehlasoval.

V roce 2023 Google navrhl něco, co se nazývalo „Integrita webového prostředí“. Myšlenka spočívala v tom, že webové stránky by mohly před udělením přístupu zkontrolovat, zda váš prohlížeč běží na hardwaru certifikovaném společností Google. Mozilla se proti tomu postavila.

Společnost Brave uvedla, že tuto funkci nikdy nevydá. Vivaldi varoval: „Jakýkoli prohlížeč, který se rozhodne tuto funkci neimplementovat, by již nebyl považován za důvěryhodný a jakýkoli web používající toto API by mohl uživatele takových prohlížečů odmítnout.“

Google návrh během několika měsíců stáhl. Veřejnost vyhrála.

O tři roky později však na konferenci Cloud Next ’26 Google oznámil „Fraud Defense“ – propagovanou jako další vývoj reCAPTCHA. Používá stejné rozhraní Play Integrity API. Vyžaduje stejný hardware certifikovaný společností Google a provádí stejnou atestaci zařízení. Rozdíl je v tom, že tentokrát se Google nikoho neptal. Nebyl proveden žádný standardizační proces ani veřejné hodnocení. Stránka s požadavkem byla jednoduše spuštěna a Fraud Defense byla zavedena napříč stávající instalační základnou reCAPTCHA, která čítá více než 14 milionů domén.

Standardizační proces, který zastavil WEI, existoval z velmi specifického důvodu: zabránit jediné společnosti v rozhodování o tom, kdo může používat otevřený web. Google našel řešení. Jednoduše uvedl na trh stejný mechanismus jako komerční produkt.

Jak vás reCAPTCHA penalizuje, pokud nejste zákazníkem Googlu

Hodnocení je manipulováno po léta. reCAPTCHA v3 přiřazuje každému návštěvníkovi skóre rizika mezi 0,0 a 1,0. Technologičtí konzultanti, kteří systém testovali, zjistili, že prohlížeče přihlášené k účtu Google konzistentně dostávaly nízké skóre rizika, zatímco stejné webové stránky, ke kterým se přistupovalo přes Tor nebo VPN, byly klasifikovány jako vysoce rizikové.

Přihlášení do Googlu a tím předání dat z vašeho prohlížeče sledovacímu systému Googlu je považováno za důkaz, že jste člověk. Ochrana vašeho soukromí je naopak brána jako známka toho, že byste mohli být bot.

Každý, kdo někdy používal VPN, to ví z vlastní zkušenosti. Pokud zůstanete přihlášeni ke svému účtu Google, reCAPTCHA vás provede jediným kliknutím nebo dokonce bez jakéhokoli ověření. Pokud se ale odhlásíte, přepnete na Firefox nebo aktivujete blokování sledovacích zařízení, začnou hádanky. Opakují se. Jsou čím dál těžší. Někdy nikdy nekončí.

Uživatelé VPN zažívají něco ještě horšího, protože IP adresy VPN serverů sdílejí tisíce lidí. Chování několika málo uživatelů poškozuje reputaci celé adresy. IP adresy VPN se špatnou reputací způsobují míru selhání CAPTCHA v 80 až 100 procentech – a to včetně složitějších hádanek.

Rozšíření pro ochranu soukromí, jako je uBlock Origin nebo Privacy Badger, mohou zcela narušit skripty reCAPTCHA. Výsledkem jsou nekonečné smyčky, kde se ověření stává nemožným – bez ohledu na to, kolik přechodů pro chodce správně identifikujete.

Obtížnost reCAPTCHA se zvyšuje nepřímo úměrně tomu, kolik toho o vás Google ví. Přesně tak je systém navržen.

Lidé, kterých se to skutečně dotýká

Výzkumníci, kteří prohledali celý adresní prostor IPv4, zjistili, že 1,3 milionu webových stránek odmítá připojení ze známých výstupních uzlů sítě Tor. Přibližně 3,67 procenta z 1 000 nejvýznamnějších webových stránek blokuje uživatele sítě Tor přímo na úrovni aplikace. Výzkumníci dospěli k závěru, že uživatelé sítě Tor jsou „fakticky odsouváni na úroveň druhořadých občanů na internetu“.

Dokonce i samotná dokumentace Toru tento problém uznává. Webové stránky interpretují kombinovaný provoz výstupních relé jako podezřelý a reagují CAPTCHA, dočasnými bloky nebo varováními o údajně infikovaném provozu. Nic z toho neodráží, co daný uživatel skutečně udělal.

Lidé, kteří se na Tor nejvíce spoléhají, jsou novináři pracující pod nepřátelskými vládami, disidenti a oběti domácího násilí, kteří chtějí komunikovat, aniž by byli sledováni. Anonymní komunikace je záchranným lanem pro lidi, jejichž přístup k internetu je kontrolován státy, které by jim ublížily, kdyby jej používali volně. Systémy CAPTCHA s nimi však zacházejí stejně jako s automatizovanými botnety.

Ochrana proti podvodům jde ještě dál. Stránka s požadavky společnosti Google přesně specifikuje, který hardware je pro nové kontroly QR kódů způsobilý. Telefony s Androidem vyžadují služby Google Play verze 25.41.30 nebo novější.

Tento požadavek se nevztahuje na zařízení Android, ze kterého byl odstraněn Google. GrapheneOS, zabezpečená verze systému Android používaná nadšenci do ochrany soukromí, nemůže projít kontrolami integrity Play vyžadovanými organizací Fraud Defense. Totéž platí pro LineageOS, CalyxOS a jakékoli vlastní ROM, které odstraňují vrstvu proprietárního softwaru společnosti Google.

Firefox pro Android se ani neobjevuje v seznamu podporovaných prohlížečů od Googlu. Postoj Mozilly k atestaci zařízení byl jasně vyjádřen již v roce 2023 a od té doby se nezměnil. Uživatelé mobilního prohlížeče, který je nejvíce šetrný k soukromí, jsou ve výchozím nastavení z ověřeného přístupu vyloučeni.

Uživatelé iOS na druhou stranu testem projdou bez problémů, aniž by museli instalovat jakýkoli software od Googlu. Pokud by požadavek skutečně sloužil k bezpečnostním účelům, přístup společnosti Apple již dokazuje, že atestace zařízení funguje i bez proprietárního balíčku od Googlu. Skutečnost, že uživatelé Androidu potřebují konkrétně Služby Google Play, ukazuje, o co ve skutečnosti jde.

Hierarchie

Systém, který Google vybudoval, vytváří hierarchii přístupu k webu – a stojí za to jasně uvést, kdo kde stojí.

Na vrcholu seznamu jsou uživatelé přihlášení k účtům Google, kteří používají Chrome a prohlížejí internet prostřednictvím soukromé domácí IP adresy. Téměř nikdy nevidí CAPTCHA. Pod nimi jsou běžní uživatelé, kteří občas musí luštit hádanky a vidí normální obrazové mřížky. Pod nimi jsou uživatelé VPN, kteří jsou neustále kontrolováni, protože jejich sdílené IP adresy byly trvale označeny.

Uživatelé uvádějí, že více CAPTCHA na relaci je nyní standardem. Na konci seznamu jsou lidé, kteří používají Tor, mají chytré telefony s de-googlováním, používají Firefox s nastavením proti otiskům prstů nebo používají prohlížeče, které odmítají sledovací soubory cookie.

Pro tyto uživatele se zkušenosti pohybují od nekonečných smyček CAPTCHA až po úplné pozastavení účtů. Fraud Defense to transformuje do úplného vyloučení z webových stránek, které systém používají.

Soukromí je penalizováno a zveřejnění osobních údajů je odměněno bezproblémovým přístupem. Starý systém trestal uživatele, kteří si dbali na soukromí, složitějšími hádankami. Fraud Defense je nyní dokáže zcela zablokovat.

Část sledování, o které Google nemluví

Úspěšné kontroly proti podvodům odešlou společnosti Google signál: Toto certifikované zařízení v tuto chvíli navštívilo tuto webovou stránku. Zařízení se stabilní hardwarovou identitou generuje trvalý identifikátor, který přežije hranice relací, přepnutí prohlížeče a režimy soukromého prohlížení. Společnost, která určuje, který hardware je legitimní, současně shromažďuje průběžný protokol o tom, které webové stránky tento hardware na otevřeném webu navštěvuje.

Toto je nad rámec sběru dat, který reCAPTCHA již provedla. Francouzský úřad pro ochranu osobních údajů CNIL zjistil, že reCAPTCHA shromažďuje IP adresy, soubory cookie, které Google umístil do zařízení v posledních šesti měsících, a seznam pluginů prohlížeče – a že tato data jsou používána k účelům nad rámec čistě bezpečnostních.

Podmínky služby společnosti Google informují společnosti používající reCAPTCHA, že systém shromažďuje informace o hardwaru a softwaru a přenáší je společnosti Google k analýze – a že je jejich odpovědností o tom uživatele informovat a získat jejich souhlas.

reCAPTCHA také nastavuje trvalé soubory cookie, které umožňují sledování napříč weby. Podle směrnice o soukromí a elektronických komunikacích a GDPR to vyžaduje výslovný předchozí souhlas. Pokud uživatel soubory cookie odmítne, skript reCAPTCHA by se neměl načíst – což však ničí funkčnost formulářů na webových stránkách, které jej používají. Uživatelé jsou nuceni vyměnit soukromí za přístup – mechanismus souhlasu, který nesplňuje požadavek GDPR na svobodně udělený souhlas.

Mechanismus QR kódu k tomu všemu přidává hardwarovou identifikaci zařízení. Systém, který ověřuje, že jste člověk, zároveň ověřuje vaše zařízení, vaši polohu a vaši identitu – pro reklamní společnost.

Problém s boty, který Fraud Defense neřeší

Operátoři botů mohou jednoduše namířit kameru na obrazovku a naskenovat QR kód. Jedná se o triviální automatizaci s využitím běžného hardwaru. Telefon s Androidem, který splňuje požadavky Play Integrity, stojí kolem 30 dolarů. Pro profesionální farmy botů, které nakupují zařízení ve velkém, se jedná o zanedbatelný výdaj.

Lidé, které Fraud Defense efektivně vylučuje, jsou uživatelé dbající na soukromí, majitelé chytrých telefonů, které byly vygoogleny, uživatelé sítě Tor a lidé žijící v represivních státech. Právě tyto skupiny jsou nejméně pravděpodobné, že budou provozovateli botnetů. Skuteční provozovatelé botů jednoduše nesou dodatečné náklady a pokračují v práci.

Existuje ještě jeden problém, který s boty nesouvisí. Bezpečnostní experti varují, že uživatelé sotva rozliší mezi legitimními QR kódy Google CAPTCHA a phishingovými QR kódy. Systém učí lidi reflexivně skenovat kódy pro přístup na webové stránky. Phishingové útoky s QR kódy se do začátku roku 2026 více než zdvojnásobily. Google vytvořil systém, který usnadňuje phishing, ale nedokáže zastavit boty, proti kterým má bojovat.

Evropa to ví už dlouho

Komise pro ochranu osobních údajů (CNIL) rozhodla, že reCAPTCHA umožňuje Googlu provádět analýzy, které jdou nad rámec pouhého zajištění ověření, a uložila pokuty společnostem, které ji používaly bez řádného souhlasu. Bavorský státní úřad pro dohled nad ochranou osobních údajů shledal, že nedostatečná transparentnost Googlu ohledně toho, jaké údaje reCAPTCHA skutečně shromažďuje, prakticky znemožňuje dodržování předpisů o ochraně osobních údajů, protože provozovatelé webových stránek nemohou informovat uživatele o činnostech zpracování údajů, kterým sami plně nerozumí.

Přenosy dat na americké servery jsou v rozporu s rozhodnutím ve věci Schrems II. Několik evropských úřadů ve Francii, Rakousku a Bavorsku již podniklo kroky proti implementacím reCAPTCHA.

Reakcí společnosti Google, oznámenou v dubnu 2026, bylo formální zařazení se mezi zpracovatele dat, což mělo organizacím nominálně poskytnout větší kontrolu nad uživatelskými daty. Data však nadále proudí infrastrukturou Googlu. Provozovatelé webových stránek nyní nesou riziko GDPR za systém, jehož postupy v oblasti nakládání s daty nemohou plně ověřit. Google přesunul právní riziko na své zákazníky – aniž by změnil samotný datový kanál.

Alternativy, které nikdo nepoužívá

Cloudflare Turnstile nabízí neviditelné ověřování bez atestace zařízení a bez závislosti na Googlu. Používá soukromé přístupové tokeny a spolupracuje s výrobci zařízení na ověřování zařízení bez nutnosti shromažďování nebo ukládání samotných dat. Je zdarma.

Systémy Proof-of-Work, jako je Friendly Captcha nebo ALTCHA, představují kryptografické výzvy, kde výpočetní náklady rostou s objemem. Jeden člověk platí zanedbatelnou cenu. Bot farmy s tisíci souběžných relací na druhou stranu čelí exponenciálně rostoucím výpočetním nákladům. Nepřenáší se žádný hardwarový identifikátor a žádná certifikační autorita nerozhoduje o tom, kdo získá přístup.

Tyto systémy dokazují, že jste člověk, aniž by vy nebo vaše zařízení museli reklamní společnosti identifikovat vaši totožnost. Rozdíl oproti ochraně proti podvodům je zásadní.

Přijímání takových alternativ je stále pomalé – z pochopitelných důvodů. reCAPTCHA ovládá zhruba 85 procent trhu s CAPTCHA a je integrována do více než pěti milionů webových stránek. Weboví vývojáři nadále používají reCAPTCHA, protože je to standard, protože se bezproblémově integruje do reklamního, analytického a cloudového ekosystému společnosti Google a protože se přechod jeví jako riskantní – i když jsou alternativy technicky a právně lepší.

Vzor

Distribuce obsahu řízená AMP, cílení reklamy řízené Privacy Sandboxem a ochrana před podvody nyní kontrolují, kdo vůbec získá přístup k webu. Všechny tyto produkty rozšiřují roli Googlu jakožto strážce stále větších částí základní internetové infrastruktury.

Vivaldiho varování z roku 2023 pozoruhodně dobře zestárlo. Pokud by se atestace stala standardem, pak „jakýkoli prohlížeč, který toto neimplementuje, by již nebyl považován za důvěryhodný a jakýkoli web používající toto API by mohl uživatele takových prohlížečů odmítnout.“

Google by mohl vyžadovat, aby webové stránky používající reklamy Google implementovaly ochranu proti podvodům – a jakýkoli prohlížeč nebo operační systém, který tuto ochranu nesplňuje, by byl efektivně zlikvidován.

Web se dělí na certifikovaná a necertifikovaná zařízení. Uživatelé, kteří dbají na soukromí, jsou odsunuti do druhé třídy, kde služby mizí jednoduše proto, že odmítli provozovat proprietární software od reklamní společnosti.

Skutečnou otázkou nikdy nebylo, zda web potřebuje ochranu před boty. Samozřejmě, že ano. Skutečnou otázkou je, zda ochrana před boty skutečně vyžaduje předání trvalého hardwarového identifikátoru pro každého uživatele internetu na světě jediné společnosti – když již existují alternativy, které to nevyžadují.