TECH4GEEKS-LOGO-HEADER
Oxary Magazine
$10 – $15 / Week

WWDC: Apple, Cloudflare y Fastly se preparan para el final de CAPTCHA

Apple ha dado varios pasos hacia un futuro sin contraseña en su Conferencia mundial de desarrolladorespero otro elemento de su estrategia será reemplazar CAPTCHA (Prueba de Turing Pública Completamente Automatizada para Diferenciar Computadoras y Humanos) con una solución más privada.

Descripción general: tokens de acceso privado

Apple está trabajando con Cloudflare (que la mayoría cree que es desarrolló la tecnología detrás de iCloud Private Relay). También está trabajando con Google y Fastly para implementar una alternativa estandarizada a CAPTCHA llamada tokens de acceso privado.

Todos nos hemos acostumbrado a encontrar consultas CAPTHA cuando trabajamos en línea. Le nombre de passages pour piétons et de taxis que la plupart des gens ont identifiés sur les photographies doit sûrement se compter en milliards, et c’est parfois une étape supplémentaire ennuyeuse de suivre le processus lors de la connexion ou de la création de nouveaux comptes en línea.

El proceso también desafía a los usuarios con problemas de accesibilidad o barreras del idioma.

Otro problema es que los servidores CAPTCHA a veces dependen de la toma de huellas dactilares/seguimiento de los clientes que usan su dirección IP, lo que no refleja las medidas de la industria tomadas para proteger la privacidad del usuario. Y si bien el proceso ayuda a proteger los servicios y sus servidores de actividades fraudulentas, agrega fricciones a la experiencia del usuario.

Por lo tanto, CAPTCHA cumple su propósito, pero a expensas de la experiencia del usuario, la privacidad y la accesibilidad.

Los tokens de acceso privado intentan encontrar una mejor manera.

¿Qué son los tokens de acceso privado?

La teoría detrás de los tokens de acceso privado es que cuando llega a un sitio web, ya ha superado obstáculos que son difíciles de imitar para un bot. Probablemente esté usando un dispositivo que ya está desbloqueado mediante autorización biométrica o un código de acceso. En las plataformas de Apple, es probable que los usuarios inicien sesión en el dispositivo con una ID de Apple y probablemente usen una aplicación firmada con código. Los tokens de acceso privado utilizan esta información para establecer confianza en la tecnología actualmente estandarizada por el Grupo de trabajo del pase de privacidad del IETF.

  Nreal lanza gafas Air AR de $ 379 y agrega soporte para iOS y macOS

Apple mostró dos dispositivos que accedían al sitio web FT.com para demostrar esto. El primer dispositivo iOS 15 tenía que completar los detalles de la cuenta y luego usar CAPTCHA para iniciar sesión; el dispositivo iOS 16 simplemente visitó el sitio para conectarse, no se requiere interacción.

Cuando considera cuántas veces al día usted o sus clientes necesitan iniciar sesión por primera vez, los beneficios de los tokens de acceso privado parecen claros.

¿Qué sucede en la práctica?

Si entendí bien, este es el proceso que se lleva a cabo:

  • El dispositivo y el servicio/sitio web primero deben presentar soporte para tokens de acceso privado.
  • Los servidores solicitarán tokens usando un nuevo método de autenticación HTTP llamado PrivateToken, que usa técnicas criptográficas para verificar que un usuario haya pasado lo que se llama una «verificación de atestación».
  • Una verificación de atestación puede entenderse como una declaración altamente segura, privada y confiable que le dice al servidor que la solicitud proviene de un solicitante de buena fe.
  • El proceso oculta información personal y se basa (en el caso de Apple, aunque otras implementaciones pueden variar) en un servicio de atestación de iCloud (un «emisor de tokens») que verifica al usuario sin compartir (o aprender) información personal sobre él.
  • Cloudflare y Fastly ahora ofrecen servicios de tokenización para servicios y plataformas.
  • Cloudflare ya ha integrado soporte para tokens de acceso privado en su Plataforma de desafíos gestionadospara que los clientes que ya utilizan esta función aprovechen automáticamente esta nueva tecnología para mejorar la experiencia de navegación en dispositivos compatibles.
  • Una vez que se completa el proceso de certificación, el servidor sabe que la solicitud no es fraudulenta y es de una persona real.
  • Y los deja entrar sin CAPTCHA.
  AMD habla sobre FidelityFX 2.2 Super Resolution y compromiso ISV

Hay mucho más en el proceso de lo que proporciona esta explicación un tanto simplificada. Por ejemplo, también protege contra solicitudes de acceso de dispositivos o bots comprometidos. Si quieres profundizar un poco más, los desarrolladores pueden revisar esto. presentación de manzanaeste nota sobre Cloudflareotro de Rápidamente y la introducción de Google de una tecnología similar llamada Fichas de confianza de Chrome. Finalmente, para la inmersión más profunda, Este artículo describe la arquitectura del sistema, y Éste brinda a los desarrolladores de Apple detalles adicionales para ayudar a implementar/apoyar la función.

¿Qué futuro tiene esta tecnología en Apple?

Es posible que los probadores beta de iOS 16, iPad OS 16 y macOS Ventura de Apple ya estén descubriendo la tecnología si van a un sitio o servicio que ya admita la tecnología, pero a menos que realmente no les gusten las consultas CAPTCHA, probablemente no se darán cuenta. . Por supuesto, con el tiempo veremos que más y más sitios y servicios introducen soporte, con la mayoría de los desarrolladores de Apple eligiendo iCloud para la certificación, y terceros, incluidos los proveedores de tecnología CAPTCHA existentes, integrando probablemente soporte para tokens de acceso privado en sus sistemas.

Esta tecnología está lejos de ser la única mejora de seguridad y privacidad anunciada por Apple en la WWDC. La compañía discutirá herramientas hoy para asegurar aún más la seguridad del DNS dentro de una aplicación, y también presentó tecnología de autenticación de próxima generación, Teclas de acceso. Las claves de acceso son una forma altamente segura de acceder a sitios y servicios. La compañía también implementó algunas mejoras impresionantes de seguridad y privacidad en Safari, incluida una protección más sólida contra las vulnerabilidades de secuencias de comandos entre sitios. Más sobre esto aquí.

Lo que dicen Fastly y Cloudflare

Jana Iyengar, Gerente de Producto, Servicios de Infraestructura en Fastly, explicó:

“Fastly se enorgullece de invertir, comprometerse y crear tecnologías y productos que ejemplifican nuestra creencia de que la seguridad y la privacidad son esenciales para una Internet más confiable. Estamos trabajando activamente con nuestros socios en la comunidad de estándares para agregar más funcionalidades a los tokens de acceso privado, como la limitación de velocidad para la protección de medios y certificaciones para más propiedades de clientes. Hay algunas aplicaciones potenciales interesantes para esta tecnología: piense en lo que podría hacer con la garantía criptográfica que expone solo y exactamente lo que un sitio web necesita saber sobre un usuario, como su edad. Proporcionar una garantía explícita sobre este tipo de flujo de datos puede proteger tanto a los usuarios como a los sitios web.

  Los puntos de referencia filtrados de RTX 4080 de 12 GB aparentemente justifican el retiro de Nvidia

Reid Tatoris y Maxime Guerreiro de Cloudflare escribieron:

«Este es solo el primer paso para nosotros. Estamos trabajando activamente para lograr que otros clientes y fabricantes de dispositivos también usen el marco PAT. Cada vez que un nuevo cliente comience a usar el marco PAT, el tráfico de su sitio desde este cliente comenzará automáticamente. solicitando tokens, y sus visitantes verán automáticamente menos CAPTCHA. Muy pronto integraremos PAT en otros productos de seguridad.

Lo que esto significa para usted y su negocio

En colaboración con Apple muchas otras soluciones Para proteger la privacidad en línea, la intención de la industria de hacer que sea cada vez más difícil correlacionar los datos del dispositivo con la identidad personal significa que la toma de huellas dactilares debería ser cosa del pasado. Los capitalistas de vigilancia que comercian con datos personales exfiltrados de personas sin consentimiento expreso tendrán, y deberían, sin duda tener que cambiar sus modelos de negocios.

En conjunto, estos cambios deberían brindar beneficios extraordinarios a todos los usuarios al tiempo que establecen escudos adicionales para que las empresas puedan protegerse contra intentos sofisticados de recopilar datos personales para socavar la seguridad de los puntos finales o penetrar en las redes.

Por favor sígueme en Gorjeoo únete a mí en el AppleHolic’s Bar & Grill y conversaciones de manzana grupos en MeWe.



Fuente

Etiquetas

Comparte en:

Ultimos Post

Categorias

Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna

Deja una respuesta

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore