Podczas swojej ogólnoświatowej konferencji programistów firma Apple podjęła kilka kroków w stronę przyszłości bez haseł, ale kolejną częścią jej strategii będzie zastąpienie CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) bardziej prywatnym rozwiązaniem.
Omówienie: Tokeny dostępu prywatnego
Apple współpracuje z Cloudflare (która według większości opracowała technologię stojącą za iCloud Private Relay). Współpracuje także z Google i Fastly nad wdrożeniem standardowej alternatywy dla CAPTCHA zwanej prywatnymi tokenami dostępu.
Wszyscy nasi hemodowie zgodzili się na konsultacje CAPTHA podczas pracy online. Liczba przejść dla pieszych i taksówek, które większość ludzi rozpoznała na zdjęciach, z pewnością liczy się w miliardach, a czasami irytujące jest wykonanie dodatkowego kroku podczas logowania lub tworzenia nowych kont online.
Proces ten stanowi również wyzwanie dla użytkowników, którzy mają problemy z dostępnością lub bariery językowe.
Innym problemem jest to, że serwery CAPTCHA czasami polegają na pobieraniu odcisków palców/śledzeniu klientów przy użyciu ich adresu IP, co nie odzwierciedla środków branżowych podjętych w celu ochrony prywatności użytkowników. Chociaż proces ten pomaga chronić usługi i ich serwery przed oszukańczą działalnością, zwiększa komfort użytkownika.
Dlatego CAPTCHA spełnia swój cel, ale kosztem doświadczenia użytkownika, prywatności i dostępności.
Tokeny dostępu prywatnego próbują znaleźć lepszy sposób.
Co to są tokeny dostępu prywatnego?
Teoria stojąca za tokenami dostępu prywatnego polega na tym, że zanim dotrzesz na stronę internetową, pokonałeś już przeszkody trudne do imitowania przez bota. Prawdopodobnie używasz urządzenia, które jest już odblokowane przy użyciu autoryzacji biometrycznej lub hasła. Na platformach Apple użytkownicy prawdopodobnie logują się na urządzeniu za pomocą Apple ID i prawdopodobnie korzystają z aplikacji podpisanej kodem. Prywatne tokeny dostępu wykorzystują te informacje do ustanowienia zaufania w ramach technologii obecnie standaryzowanej przez grupę roboczą IETF Privacy Pass.
Aby to zademonstrować, Apple pokazało dwa urządzenia uzyskujące dostęp do witryny FT.com. Pierwsze urządzenie z systemem iOS 15 musiało wypełnić dane konta, a następnie zalogować się za pomocą CAPTCHA; Urządzenie z systemem iOS 16 po prostu odwiedziło witrynę, aby się połączyć, bez konieczności interakcji.
Kiedy weźmiesz pod uwagę, ile razy dziennie Ty lub Twoi klienci musicie logować się po raz pierwszy, zalety prywatnych tokenów dostępu wydają się oczywiste.
Co się dzieje w praktyce?
Jeśli dobrze zrozumiałem, jest to proces, który jest przeprowadzany:
- Urządzenie i usługa/strona internetowa muszą najpierw wprowadzić obsługę prywatnych tokenów dostępu.
- Serwery będą żądać tokenów przy użyciu nowej metody uwierzytelniania HTTP o nazwie PrivateToken, która wykorzystuje techniki kryptograficzne w celu sprawdzenia, czy użytkownik przeszedł tak zwaną „kontrolę atestacyjną”.
- Sprawdzenie atestu można rozumieć jako wysoce bezpieczne, prywatne i zaufane oświadczenie, które informuje serwer, że żądanie pochodzi od osoby żądającej działającej w dobrej wierze.
- Proces ten ukrywa dane osobowe i opiera się (w przypadku Apple, choć inne implementacje mogą się różnić) na usłudze atestacyjnej iCloud („wystawca tokena”), która weryfikuje użytkownika bez udostępniania (ani uczenia się) danych osobowych na jego temat.
- Cloudflare i Fastly oferują teraz usługi tokenizacji dla usług i platform.
- Cloudflare zintegrowało już obsługę tokenów dostępu prywatnego ze swoją platformą Managed Challenge, więc klienci już korzystający z tej funkcji automatycznie skorzystają z tej nowej technologii, aby poprawić jakość przeglądania na obsługiwanych urządzeniach.
- Po zakończeniu procesu certyfikacji serwer wie, że żądanie nie jest fałszywe i pochodzi od prawdziwej osoby.
- I pozwala im wejść bez CAPTCHA.
Proces ten obejmuje znacznie więcej, niż zapewnia to nieco uproszczone wyjaśnienie. Na przykład chroni również przed żądaniami dostępu wysyłanymi przez zaatakowane urządzenia lub boty. Jeśli chcesz zagłębić się nieco w szczegóły, programiści mogą zapoznać się z tą prezentacją firmy Apple, tą notatką na temat Cloudflare, inną od Fastly oraz wprowadzeniem Google do podobnej technologii zwanej tokenami zaufania Chrome. Na koniec, aby uzyskać głębsze informacje, w tym artykule opisano architekturę systemu i przedstawiono programistom Apple dodatkowe szczegóły, które pomogą we wdrażaniu/obsługiwaniu tej funkcji.
Jaka przyszłość czeka tę technologię w Apple?
Beta testerzy systemów iOS 16, iPad OS 16 i macOS Ventura firmy Apple mogą już odkrywać tę technologię, jeśli odwiedzą witrynę lub usługę, która już obsługuje tę technologię, ale prawdopodobnie tak się nie stanie, chyba że naprawdę nie lubią zapytań CAPTCHA. Zorientują się. . Oczywiście z biegiem czasu coraz więcej witryn i usług będzie wprowadzać wsparcie – większość programistów Apple wybierze iCloud do celów certyfikacji, a strony trzecie, w tym obecni dostawcy technologii CAPTCHA, prawdopodobnie integrują obsługę prywatnych tokenów dostępu ze swoimi systemami.
Technologia ta nie jest jedyną poprawą bezpieczeństwa i prywatności ogłoszoną przez Apple na WWDC. Firma omówi dziś narzędzia zwiększające bezpieczeństwo DNS w aplikacji, a także wprowadziła technologię uwierzytelniania nowej generacji, Passkeys. Hasła to bardzo bezpieczny sposób uzyskiwania dostępu do witryn i usług. Firma wdrożyła także imponujące ulepszenia bezpieczeństwa i prywatności w przeglądarce Safari, w tym silniejszą ochronę przed lukami w skryptach krzyżowych. Więcej na ten temat tutaj.
Co mówią Fastly i Cloudflare
Jana Iyengar, menedżer produktu ds. usług infrastrukturalnych w Fastly, wyjaśniła:
„Fastly z dumą inwestuje, angażuje się i tworzy technologie i produkty, które są przykładem naszego przekonania, że bezpieczeństwo i prywatność są niezbędne dla bardziej niezawodnego Internetu. Aktywnie współpracujemy z naszymi partnerami ze społeczności normalizacyjnej, aby dodać więcej funkcjonalności do tokenów dostępu prywatnego, takich jak ograniczenie szybkości w celu ochrony multimediów i certyfikaty dla większej liczby właściwości klientów. Istnieje kilka interesujących potencjalnych zastosowań tej technologii: zastanów się, co można zrobić z zabezpieczeniem kryptograficznym, które ujawnia dokładnie to, co witryna internetowa musi wiedzieć o użytkowniku, np. jego wiek. Zapewnienie wyraźnej gwarancji tego rodzaju przepływu danych może chronić zarówno użytkowników, jak i strony internetowe.
Reid Tatoris i Maxime Guerreiro z Cloudflare napisali:
„To dla nas dopiero pierwszy krok. Aktywnie pracujemy nad tym, aby inni klienci i producenci urządzeń również mogli korzystać z platformy PAT. Za każdym razem, gdy nowy klient zacznie korzystać z platformy PAT, ruch w jego witrynie rozpocznie się automatycznie. tokenów, a Twoi odwiedzający automatycznie zobaczą mniej CAPTCHA. Już wkrótce zintegrujemy PAT z innymi produktami zabezpieczającymi.
Co to oznacza dla Ciebie i Twojej firmy
Oprócz wielu innych rozwiązań firmy Apple służących do ochrony prywatności w Internecie zamiar branży polegający na utrudnianiu korelowania danych urządzenia z tożsamością osobistą oznacza, że pobieranie odcisków palców powinno należeć do przeszłości. Kapitaliści nadzoru, którzy handlują wykradzionymi danymi osobowymi osób bez wyraźnej zgody, z pewnością będą musieli zmienić swoje modele biznesowe i powinni to zrobić.
Łącznie zmiany te powinny zapewnić niezwykłe korzyści wszystkim użytkownikom, ustanawiając jednocześnie dodatkowe osłony, aby firmy mogły chronić się przed wyrafinowanymi próbami gromadzenia danych osobowych w celu podważenia bezpieczeństwa punktów końcowych lub penetracji sieci.
Śledź mnie na Twitterze lub dołącz do mnie w AppleHolic's bar & grill i grupach dyskusyjnych Apple na MeWe.
Prawa autorskie © 2022 IDG Communications, Inc.