Cloudflareの無限ループ問題で開発者が「過剰な秘密保持契約に署名するよう迫られた」と主張、Cloudflareによる反論も

Pale Moonなどのブラウザを使うと、Cloudflareのブラウザ検証でアクセスがはじかれてしまう現象が続いている問題で、ブラウザ開発者からの問い合わせを長らく放置してきたCloudflareがやっと重い腰を上げたと、Pale Moonの開発者が報告しました。しかし、Cloudflareは開発者らに範囲が非常に広い秘密保持契約(NDA)に署名するよう求めており、そのことが原因で問題の解決が停滞するという新しい問題が浮上していると、開発者は訴えています。
CloudFlare: summary and status - Pale Moon forum
https://forum.palemoon.org/viewtopic.php?t=32127
Cloudflare asks browser devs to sign insane NDAs before fixing browser blocking | Hacker News
https://news.ycombinator.com/item?id=43376064
一連の問題の発端は、2025年1月下旬にPale Moonなどの非主流のブラウザで発生したCloudflareの「無限検証ループ問題」です。CloudflareがCAPTCHAのスクリプトを変更したことなどが原因で、一部のブラウザで検証が永遠に続くようになってしまったこの不具合に対し、Pale Moonは2回のアップデートを実施して対処してきましたが、そのたびに新しい問題が発生するとのこと。
この不具合が起きたのはこれが初めてではなく、2022年にも同様の問題が発生しています。定期的に起きるこの手の問題に対し、非主流ブラウザのコミュニティはCloudflareに問い合わせを行って根本的な解決を要請してきましたが、Cloudflareは取り合ってきませんでした。
Cloudflareがマイナーブラウザをブロックしまくっている、Cloudflareは究明を約束するも音沙汰がないまま放置中 - GIGAZINE

Pale Moonの開発会社であるMoonchildは2025年3月15日に、やっとCloudflareが反応したことをユーザーフォーラムで報告しました。Moonchildによると、最初の接触は、Cloudflareのプロダクトマネージャーであるマイケル・トレマンテ氏が3月4日にMoonchildに送ったプライベートメッセージだったとのこと。
連絡の高速化を図るため、MoonchildはメーリングリストやDiscordで連絡を取り合うことを提案しましたが、Cloudflareは自社が主導権を握りたいとした上で具体的な提案を行わず、意思疎通は遅々として進まなかったそうです。
それでも、メッセージのやりとりが3往復する中で、不具合には2つのJavaScript関数とCSP(Content Security Policy)が関係していることが判明しましたが、具体的にどの関数なのかやCSPの何が原因なのかは説明されませんでした。
しかも、Cloudflareからは議論を続ける代わりにMoonchildが「過度に広範で一般的な秘密保持契約(NDA)」とする契約書の書式が送られてきたとのこと。

MoonchildはNDAについて、「このNDAの提案は『スピードアップ』が目的とされているものの、目下のところ、むしろ不必要に物事を遅らせるために使用されているに過ぎないようだという点は注目に値します。こちらとしては、EUの規則や現地の法律に抵触したり、Pale Moonの開発に支障を来したりする可能性があるような包括的なNDAに署名することはできません」と述べて、Cloudflareが無理筋な秘密保持契約書をちらつかせたのは牛歩戦術であると非難しました。
一方、このフォーラムでの報告を取り上げたHacker Newsのスレッドには、トレマンテ氏本人を名乗るユーザーが降臨し、Moonchildの主張に反論しています。その書き込みによると、CloudflareはNDAを送る際に「必ずしも必要ではない」と伝えた上で、やりとりの迅速化のために標準的なNDAを送っただけだとのこと。
トレマンテ氏はまた、Pale Moonにおける問題の一部はCSPが適切にサポートされていないのが原因だという点や、ボット開発者による悪用を警戒するため軽率にチェック要件を緩和できないという事情があること、特定のブラウザを目の敵にしているというフォーラムの書き込みは事実ではないことなどを指摘した上で、「この長期的な問題に対処するため、ブラウザ開発者が私たちのチームと直接連絡を取り合えるようなプログラムについて社内で議論しており、近いうちにブラウザ開発者コミュニティと何か共有できるようになることを願っています」と述べました。
・関連記事
Cloudflareのレポートで「日本ではTwitterが人気」「世界のインターネットトラフィックは2024年に17.2%増加」などさまざまな情報が明らかに - GIGAZINE
Cloudflareがバグによって3時間半にわたりユーザーに送信するはずだったログの約55%を喪失 - GIGAZINE
Cloudflareに目を付けられたせいで仕事で使うサイトにアクセスできなくなってしまった事例が報告される - GIGAZINE
Cloudflareがマイナーブラウザをブロックしまくっている、Cloudflareは究明を約束するも音沙汰がないまま放置中 - GIGAZINE
CloudflareがAI用にウェブサイトのスクレイピングを許可する権利を取引できるプラットフォームを立ち上げへ - GIGAZINE
Cloudflareがフェイク画像を検出できるデジタル署名システム「Content Credentials」をCloudflare Imagesに統合 - GIGAZINE
Cloudflareが「24時間以内に1800万円の支払いに応じなければサイトを閉鎖する」とユーザーに通知後、実際に全ての設定を削除してしまう - GIGAZINE
・関連コンテンツ
in ネットサービス, Posted by log1l_ks
You can read the machine translated English article Cloudflare's infinite loop problem: ….