Cómo Apple podría eliminar los CAPTCHA con un token de acceso privado

AppleInsider cuenta con el respaldo de su audiencia y, como Asociado y Afiliado de Amazon, puede ganar comisiones en compras calificadas. Estas asociaciones de afiliados no afectan nuestro contenido editorial. Apple demostró una tecnología llamada Tokens de acceso privado en WWDC 2022, y potencialmente podrían eliminar los CAPTCHA de una vez por todas. Los tokens de acceso privado (PAT) pueden probar cuándo una solicitud HTTP proviene de un ser humano en lugar de un bot. Los CAPTCHA son la forma actual de autenticación, pero una persona necesita tiempo para ejecutarlos. Conocido como una prueba de Turing pública totalmente automatizada para diferenciar a las computadoras de los humanos, un CAPTCHA es una imagen o un rompecabezas que aparece en la web. Comienza haciendo clic en el botón «No soy un robot». Distorsionar palabras, identificar objetos en una imagen o mover una pieza de un rompecabezas, estas herramientas son tediosas. Los CAPTCHA también pueden verse comprometidos, p. Por ejemplo, pueden usarse para robar credenciales o provenir de una empresa que no prioriza la privacidad. Las PAT autentican automáticamente una solicitud HTTP en segundo plano. Los usuarios de la web no notarán nada de esto, y los proveedores de la nube como Cloudflare y Fastly ya están integrando la tecnología.

Autenticación de personas en la web

Usando un nuevo método de autenticación HTTP llamado PrivateToken, un servidor usa criptografía para verificar que un cliente haya pasado una verificación de autenticación de iCloud. Cuando el cliente necesita un token, contacta a un notario, en este caso Apple, quien completa el proceso utilizando certificados almacenados en el enclave seguro del dispositivo. El certificador también puede implementar lo que se conoce como límite de velocidad. Por ejemplo, la limitación de velocidad puede detectar si el dispositivo cliente sigue los patrones típicos de los usuarios o si es parte de una granja de clics de iPhone. Cuando un usuario de Apple inicia sesión en su dispositivo con una contraseña, Touch ID o Face ID, abre Safari y navega a un sitio web, sus acciones son difíciles de imitar para un bot.
Plataforma de desafíos de Cloudflare Finalmente, el token firmado se envía al servidor en un proceso de varios pasos. El servidor no sabe nada sobre el dispositivo o la persona que accede a él. Pero confía en el notario y valida el token, y la persona es redirigida a su sitio web de destino. Cloudflare explica que cuando se usan PAT, los datos del dispositivo se aíslan y no se comparten entre las partes involucradas en el proceso. Cloudflare conoce la URL de destino, pero no el dispositivo ni la información de interacción del usuario. El sitio web solo conoce la URL y la dirección IP del cliente, y el fabricante del dispositivo o el notario solo conocen la cantidad mínima de información del dispositivo requerida para la certificación notarial. No conoce la URL de destino ni la dirección IP del usuario. Los tokens se usan solo una vez para limitar los ataques de reproducción, es decir, cuando un cliente intenta presentar un token varias veces. Los servidores web a los que se accede a través de Safari y WebKit funcionan automáticamente con PAT. Es posible que otros dispositivos no reconozcan el proceso del token, por lo que Apple advierte a los desarrolladores que se aseguren de que la autenticación del usuario no bloquee la página web principal y la haga opcional. Apple dice que estos tokens requieren un dispositivo con iOS 16 o macOS Ventura o posterior con una ID de Apple iniciada. El ID de Apple solo se usa para la autenticación y no se comparte.
Protocolo de paso de privacidad para redes de entrega de contenido Es un movimiento interesante de Apple, y el objetivo de terminar con CAPTCHA es noble. También es otra forma en que los usuarios de Apple experimentan la web de manera diferente. La compañía está trabajando para hacer de los tokens de acceso privado un estándar web, pero no se menciona que los tokens funcionen en Android o Windows. Es posible que las personas en estas plataformas tengan que soportar los CAPTCHA por ahora, o esperar el trabajo de Microsoft y Google al respecto.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.