Cloudflareの無限ループ問題で開発者が「過剰な秘密保持契約に署名するよう迫られた」と主張、Cloudflareによる反論も

Pale Moonなどのブラウザを使うと、Cloudflareのブラウザ検証でアクセスがはじかれてしまう現象が続いている問題で、ブラウザ開発者からの問い合わせを長らく放置してきたCloudflareがやっと重い腰を上げたと、Pale Moonの開発者が報告しました。しかし、Cloudflareは開発者らに範囲が非常に広い秘密保持契約(NDA)に署名するよう求めており、そのことが原因で問題の解決が停滞するという新しい問題が浮上していると、開発者は訴えています。

CloudFlare: summary and status - Pale Moon forum
https://forum.palemoon.org/viewtopic.php?t=32127

Cloudflare asks browser devs to sign insane NDAs before fixing browser blocking | Hacker News
https://news.ycombinator.com/item?id=43376064

一連の問題の発端は、2025年1月下旬にPale Moonなどの非主流のブラウザで発生したCloudflareの「無限検証ループ問題」です。CloudflareがCAPTCHAのスクリプトを変更したことなどが原因で、一部のブラウザで検証が永遠に続くようになってしまったこの不具合に対し、Pale Moonは2回のアップデートを実施して対処してきましたが、そのたびに新しい問題が発生するとのこと。

この不具合が起きたのはこれが初めてではなく、2022年にも同様の問題が発生しています。定期的に起きるこの手の問題に対し、非主流ブラウザのコミュニティはCloudflareに問い合わせを行って根本的な解決を要請してきましたが、Cloudflareは取り合ってきませんでした。

Cloudflareがマイナーブラウザをブロックしまくっている、Cloudflareは究明を約束するも音沙汰がないまま放置中 - GIGAZINE

Pale Moonの開発会社であるMoonchildは2025年3月15日に、やっとCloudflareが反応したことをユーザーフォーラムで報告しました。Moonchildによると、最初の接触は、Cloudflareのプロダクトマネージャーであるマイケル・トレマンテ氏が3月4日にMoonchildに送ったプライベートメッセージだったとのこと。

連絡の高速化を図るため、MoonchildはメーリングリストやDiscordで連絡を取り合うことを提案しましたが、Cloudflareは自社が主導権を握りたいとした上で具体的な提案を行わず、意思疎通は遅々として進まなかったそうです。

それでも、メッセージのやりとりが3往復する中で、不具合には2つのJavaScript関数とCSP(Content Security Policy)が関係していることが判明しましたが、具体的にどの関数なのかやCSPの何が原因なのかは説明されませんでした。

しかも、Cloudflareからは議論を続ける代わりにMoonchildが「過度に広範で一般的な秘密保持契約(NDA)」とする契約書の書式が送られてきたとのこと。

MoonchildはNDAについて、「このNDAの提案は『スピードアップ』が目的とされているものの、目下のところ、むしろ不必要に物事を遅らせるために使用されているに過ぎないようだという点は注目に値します。こちらとしては、EUの規則や現地の法律に抵触したり、Pale Moonの開発に支障を来したりする可能性があるような包括的なNDAに署名することはできません」と述べて、Cloudflareが無理筋な秘密保持契約書をちらつかせたのは牛歩戦術であると非難しました。

一方、このフォーラムでの報告を取り上げたHacker Newsのスレッドには、トレマンテ氏本人を名乗るユーザーが降臨し、Moonchildの主張に反論しています。その書き込みによると、CloudflareはNDAを送る際に「必ずしも必要ではない」と伝えた上で、やりとりの迅速化のために標準的なNDAを送っただけだとのこと。

トレマンテ氏はまた、Pale Moonにおける問題の一部はCSPが適切にサポートされていないのが原因だという点や、ボット開発者による悪用を警戒するため軽率にチェック要件を緩和できないという事情があること、特定のブラウザを目の敵にしているというフォーラムの書き込みは事実ではないことなどを指摘した上で、「この長期的な問題に対処するため、ブラウザ開発者が私たちのチームと直接連絡を取り合えるようなプログラムについて社内で議論しており、近いうちにブラウザ開発者コミュニティと何か共有できるようになることを願っています」と述べました。