Интуитивно и лесно използване
Известен като Напълно автоматизиран публичен тест на Тюринг за разграничаване на компютрите и хората, CAPTCHA е изображение или пъзел, който се появява в мрежата. Apple демонстрира нова технология на WWDC 2022. Тя е наречена Private Access Tokens и е предназначена да убие CAPTCHA веднъж завинаги.
Какво е CAPTCHA?
Токените за частен достъп (PAT) могат да докажат, когато HTTP заявка идва от човек вместо от бот. CAPTCHA е текущата форма на удостоверяване, но е необходимо време, за да я завърши човек.
Винаги започва с натискане на бутона „Аз не съм робот“. В последствие на екрана се пявяват изкривени думи, идентифициране на обекти в изображение или плъзгане на парче от пъзел. Всички тези инструменти са меко казано досадни.
Удостоверяване на хора в мрежата
Използвайки нов HTTP метод за удостоверяване, наречен PrivateToken, сървърът използва криптография, за да провери дали клиент е преминал проверка на iCloud за атестиране.
Когато клиентът се нуждае от токен, той се свързва с удостоверяващ достъп, който извършва процеса. Това става чрез използване на сертификати съхранявани в Secure Enclave на устройството.
Също така може да се извърши и ограничаване на скоростта. Ограничаването на скоростта може да разпознае дали клиентското устройство следва типични потребителски модели или е част от форма за щракване на iPhone.
Когато потребител на Apple влезе в устройството си с парола, Touch ID или Face ID, отвори Safari и отиде до уебсайт, действията са трудни за имитация от бот.
Подписаният токен в крайна сметка се изпраща на сървъра в многоетапен процес. Сървърът не знае нищо за устройството или лицето, което осъществява достъп до него. Той се доверява на удостоверяващия и потвърждава токена и лицето се отвежда до целевата уеб страница.
Сигурност в процеса
Според Cloudflare, когато се използва PAT, данните за устройството се изолират и не се споделят между страните, участващи в процеса. Cloudflare знае целевия URL адрес, но не и информацията за взаимодействие на устройството или потребителя.
Уебсайтът знае само URL адреса и IP адреса на клиента, а производителят или удостоверителят на устройството знае само минималното количество данни за устройството, необходими за атестиране.
Токените са за еднократна употреба и ограничават атаките с повторно възпроизвеждане. Това се случва например, когато клиентът се опита да представи токен няколко пъти.
Уеб сървърите, достъпни чрез Safari и WebKit ще работят автоматично с PAT. Други устройства може да не разпознаят процеса на токена, така че Apple предупреждава разработчиците да се уверят, че удостоверяването на потребителя не блокира главната уеб страница.
За потребителите
Токени изискват устройство, работещо с iOS 16 или macOS Ventura или по-нова версия с вписан Apple ID. Apple ID се използва само за атестиране и не се споделя.
Това е интересен ход от Apple, а целта за прекратяване на CAPTCHA е благородна. С технологии като iCloud Private Relay, Hide My Mail и App Tracking Transparency, Apple продължава да ограничава излагането на личната информация на своите клиенти.
Компанията работи за превръщането на токените за частен достъп в уеб стандарт, но не се споменава за токени, работещи на Android или Windows. Хората на тези платформи може да се наложи да се примирят с CAPTCHA засега или да изчакат ответните действия на Microsoft и Google по въпроса.