اپل فناوری را در WWDC 2022 به نام توکنهای دسترسی خصوصی به نمایش گذاشت که بهطور بالقوه یکبار برای همیشه کپچا را از بین میبرد.
رمزهای دسترسی خصوصی (PAT) می توانند ثابت کنند که درخواست HTTP از یک انسان به جای ربات می آید. کپچا ها فرم فعلی احراز هویت هستند، اما تکمیل آن توسط انسان زمان می برد. کپچا که به عنوان تست تورینگ عمومی کاملاً خودکار برای تشخیص رایانه ها و انسان ها از یکدیگر شناخته می شود، تصویر یا پازلی است که در وب ظاهر می شود.
آنها با کلیک کردن روی دکمه “من یک ربات نیستم” شروع می کنند. کلمات تحریف شده، شناسایی اشیاء در یک تصویر، یا لغزش یک قطعه پازل، این ابزارها آزاردهنده هستند. کپچا ها همچنین می توانند به خطر بیفتند، مانند استفاده برای سرقت اطلاعات ورود به سیستم یا از شرکتی که حریم خصوصی را در اولویت قرار نمی دهد.
PAT ها یک درخواست HTTP را به طور خودکار در پس زمینه احراز هویت می کنند. کاربران وب هیچ چیز را متوجه نمی شوند و ارائه دهندگان ابری مانند Cloudflare و Fastly در حال حاضر از این فناوری استفاده می کنند.
احراز هویت افراد در وب
با استفاده از یک روش جدید احراز هویت HTTP به نام توکن خصوصی، یک سرور از رمزنگاری استفاده می کند تا تأیید کند که مشتری یک بررسی گواهی iCloud را پشت سر گذاشته است.
هنگامی که مشتری به یک توکن نیاز دارد، با یک تأیید کننده (در این مورد، اپل) تماس می گیرد که فرآیند را با استفاده از گواهی های ذخیره شده در Secure Enclave دستگاه انجام می دهد. گواهیدهنده همچنین میتواند چیزی به نام محدود کردن نرخ را انجام دهد.
به عنوان یک مثال، محدودیت نرخ می تواند تشخیص دهد که آیا دستگاه مشتری از الگوهای کاربر معمولی پیروی می کند یا بخشی از مزرعه کلیک آیفون است. هنگامی که یک کاربر اپل با رمز عبور، تاچ آیدی یا فیس آیدی وارد دستگاه خود می شود، سافاری را باز می کند و به وب سایتی می رود، تقلید از اقدامات او برای یک ربات سخت است.
رمز امضا شده در نهایت طی یک فرآیند چند مرحله ای به سرور ارسال می شود. سرور چیزی در مورد دستگاه یا شخصی که به آن دسترسی دارد نمی داند. اما به تأیید کننده اعتماد می کند و توکن را تأیید می کند و شخص به صفحه وب مقصد خود منتقل می شود.
Cloudflare توضیح میدهد که وقتی از PAT استفاده میشود، دادههای دستگاه جدا شده و بین طرفهای درگیر در فرآیند به اشتراک گذاشته نمیشود. Cloudflare URL مقصد را میداند، اما اطلاعات دستگاه یا تعامل کاربر را نمیداند.
وبسایت فقط نشانی وب و آدرس IP مشتری را میداند و سازنده یا تأییدکننده دستگاه فقط حداقل مقدار دادههای دستگاه مورد نیاز برای تأیید را میداند. URL مقصد یا آدرس IP کاربر را نمی داند. توکن ها به عنوان راهی برای محدود کردن حملات تکراری یکبار مصرف هستند، یعنی زمانی که مشتری سعی می کند یک توکن را چندین بار ارائه دهد.
وب سرورهای قابل دسترسی از طریق سافاری و وب کیت به طور خودکار با PAT کار می کنند. سایر دستگاهها ممکن است فرآیند توکن را تشخیص ندهند، بنابراین اپل به توسعهدهندگان هشدار میدهد که مطمئن شوند احراز هویت کاربر صفحه اصلی وب را مسدود نمیکند و آن را بهعنوان اختیاری ارائه کنند.
اپل میگوید که این توکنها به دستگاهی نیاز دارند که دارای iOS 16 یا macOS Ventura یا جدیدتر باشد و اپل آیدی وارد شده باشد. اپل آیدی فقط برای تأیید استفاده میشود و به اشتراک گذاشته نمیشود.
این یک حرکت جالب از سوی اپل است و هدف از پایان دادن به کپچا یک هدف بزرگ است. همچنین این روش دیگری است که در آن کاربران اپل وب را متفاوت تجربه می کنند. با فناوریهایی مانند iCloud Private Relay، Hide My Mail و App Tracking Transparency، اپل همچنان به محدود کردن افشای اطلاعات شخصی برای مشتریان خود ادامه میدهد.
این شرکت در تلاش است تا به توکنهای دسترسی خصوصی به یک استاندارد وب کمک کند. اما هیچ اشارهای به توکنهایی که روی اندروید یا ویندوز کار میکنند وجود ندارد. افرادی که در آن پلتفرمها هستند ممکن است مجبور باشند فعلاً کپچا را تحمل کنند یا منتظر کار مایکروسافت و گوگل باشند که کپچا را از بین میبرد. در هر حال، کپچا را از بین میبرد را می توان به زودی مشاهده کرد.