O AppleInsider é apoiado por seu público e pode ganhar comissão como Associado da Amazon e parceiro afiliado em compras qualificadas. Essas parcerias de afiliados não influenciam nosso conteúdo editorial.

A Apple demonstrou a tecnologia na WWDC 2022 chamada Private Access Tokens – e eles poderiam matar CAPTCHAs de uma vez por todas.

Tokens de acesso privado (PAT) podem provar quando uma solicitação HTTP vem de um humano em vez de um bot. CAPTCHAs são a forma atual de autenticação, mas leva tempo para um humano concluir uma.

Conhecido como o teste de Turing Público Completamente Automatizado para diferenciar computadores e humanos, um CAPTCHA é uma imagem ou quebra-cabeça que aparece na web.

Eles começam clicando no botão”Não sou um robô”. Palavras distorcidas, identificar objetos em uma imagem ou deslizar uma peça de quebra-cabeça, essas ferramentas são um incômodo.

Os CAPTCHAs também podem ser comprometidos, como sendo usados ​​para roube informações de login ou venha de uma empresa que não coloca a privacidade em primeiro lugar.

PATs autenticam uma solicitação HTTP automaticamente em segundo plano. Os usuários da Web não notarão nada, e provedores de nuvem como Cloudflare e Fastly já estão incorporando a tecnologia.

Autenticação de pessoas na Web

Usando um novo método de autenticação HTTP chamado PrivateToken, um servidor usa criptografia para verificar se um cliente passou em uma verificação de atestado do iCloud.

Quando o cliente precisa de um token, ele entra em contato com um atestador — neste caso, a Apple — que realiza o processo usando certificados armazenados no Secure Enclave do dispositivo. O atestador também pode realizar algo chamado de limitação de taxa.

A limitação de taxa pode reconhecer se o dispositivo cliente está seguindo padrões de usuário típicos ou faz parte de um farm de cliques do iPhone, como um exemplo.

Quando um usuário da Apple faz login em seu dispositivo com uma senha, Touch ID ou Face ID, abra o Safari e navegue até um site, suas ações são difíceis de serem imitadas por um bot.

Plataforma do Desafio Cloudflare

A token assinado é eventualmente enviado ao servidor em um processo de várias etapas. O servidor não sabe nada sobre o dispositivo ou a pessoa que o acessa. Mas ele confia no atestador e valida o token, e a pessoa é levada à página da web de destino.

A Cloudflare explica que quando os PATs são usados, os dados do dispositivo são isolados e não compartilhados entre as partes envolvidas no processo. A Cloudflare conhece a URL de destino, mas não as informações de interação do dispositivo ou do usuário.

O site conhece apenas o URL e o endereço IP do cliente, e o fabricante do dispositivo ou atestador só conhece a quantidade mínima de dados do dispositivo necessária para o atestado. Ele não conhece o URL de destino ou o endereço IP do usuário.

Os tokens são de uso único como forma de limitar os ataques de repetição, que é quando um cliente tenta apresentar um token várias vezes.

Os servidores da Web acessados ​​pelo Safari e WebKit funcionarão automaticamente com PATs. Outros dispositivos podem não reconhecer o processo de token, então a Apple alerta os desenvolvedores para garantir que a autenticação do usuário não bloqueie a página principal da web e a apresente como opcional.

A Apple diz que esses tokens exigem um dispositivo com iOS 16 ou macOS Ventura ou posterior com um ID Apple conectado. O ID Apple é usado apenas para atestado e não é compartilhado.

Protocolo de passagem de privacidade para redes de entrega de conteúdo

É uma jogada interessante da Apple, e o objetivo de acabar com o CAPTCHA é nobre. É também outra maneira pela qual os usuários da Apple experimentam a web de maneira diferente.

A empresa está trabalhando para ajudar a tornar os tokens de acesso privado um padrão da Web, mas não há menção de tokens funcionando no Android ou no Windows. As pessoas nessas plataformas podem ter que tolerar CAPTCHAs, por enquanto-ou esperar pelo trabalho da Microsoft e do Google sobre o assunto.

Categories: IT Info