WWDC: Apple, Cloudflare และ Fastly เตรียมพร้อมสำหรับการสิ้นสุดของ CAPTCHA

WWDC: Apple, Cloudflare และ Fastly เตรียมพร้อมสำหรับการสิ้นสุดของ CAPTCHA

Apple ดำเนินการหลายขั้นตอนสู่อนาคตที่ปราศจากรหัสผ่านในการประชุม Worldwide Developers Conference แต่อีกส่วนหนึ่งของกลยุทธ์คือการแทนที่ CAPTCHA (การทดสอบทัวริงสาธารณะอัตโนมัติที่สมบูรณ์เพื่อแยกความแตกต่างระหว่างคอมพิวเตอร์และมนุษย์) ด้วยโซลูชันที่เป็นส่วนตัวมากขึ้น

ภาพรวม: โทเค็นการเข้าถึงส่วนตัว

Apple ทำงานร่วมกับ Cloudflare (ซึ่งส่วนใหญ่เชื่อว่าพวกเขาพัฒนาเทคโนโลยีที่อยู่เบื้องหลัง iCloud Private Relay) นอกจากนี้ยังทำงานร่วมกับ Google และ Fastly เพื่อนำทางเลือกมาตรฐานมาใช้แทน CAPTCHA ที่เรียกว่าโทเค็นการเข้าถึงแบบส่วนตัว

บรรดาผู้ตกลงของเราตกลงที่จะปฏิบัติตามคำปรึกษาของ CAPTHA เมื่อเราทำงานออนไลน์ จำนวนทางม้าลายและแท็กซี่ที่คนส่วนใหญ่ระบุในรูปถ่ายต้องมีจำนวนนับพันล้านอย่างแน่นอน และบางครั้งก็เป็นขั้นตอนพิเศษที่น่ารำคาญในการทำตามขั้นตอนเมื่อเข้าสู่ระบบหรือสร้างบัญชีใหม่ทางออนไลน์

กระบวนการนี้ยังท้าทายผู้ใช้ด้วยปัญหาการช่วยสำหรับการเข้าถึงหรืออุปสรรคด้านภาษา

ปัญหาอีกประการหนึ่งคือบางครั้งเซิร์ฟเวอร์ CAPTCHA อาศัยลายนิ้วมือ/การติดตามลูกค้าโดยใช้ที่อยู่ IP ซึ่งไม่ได้สะท้อนถึงมาตรการทางอุตสาหกรรมที่ใช้เพื่อปกป้องความเป็นส่วนตัวของผู้ใช้ และแม้ว่ากระบวนการนี้จะช่วยปกป้องบริการและเซิร์ฟเวอร์จากกิจกรรมที่เป็นการฉ้อโกง แต่ก็เพิ่มความขัดแย้งให้กับประสบการณ์ของผู้ใช้

ดังนั้น CAPTCHA จึงมีจุดประสงค์ แต่เสียประสบการณ์ของผู้ใช้ ความเป็นส่วนตัว และการเข้าถึง

โทเค็นการเข้าถึงส่วนตัวพยายามหาวิธีที่ดีกว่า

โทเค็นการเข้าถึงส่วนตัวคืออะไร?

ทฤษฎีเบื้องหลังโทเค็นการเข้าถึงแบบส่วนตัวคือเมื่อคุณมาถึงเว็บไซต์ คุณได้เคลียร์อุปสรรคที่ยากสำหรับบอทที่จะเลียนแบบ คุณอาจกำลังใช้อุปกรณ์ที่ปลดล็อกแล้วโดยใช้การอนุญาตไบโอเมตริกซ์หรือรหัสผ่าน บนแพลตฟอร์มของ Apple ผู้ใช้มักจะลงชื่อเข้าใช้อุปกรณ์ด้วย Apple ID และมีแนวโน้มว่าจะใช้แอปที่เซ็นรหัส โทเค็นการเข้าถึงส่วนตัวใช้ข้อมูลนี้เพื่อสร้างความไว้วางใจภายในเทคโนโลยีที่เป็นมาตรฐานในปัจจุบันโดยคณะทำงาน IETF Privacy Pass

Apple แสดงอุปกรณ์สองเครื่องที่เข้าถึงเว็บไซต์ FT.com เพื่อสาธิตสิ่งนี้ อุปกรณ์ iOS 15 เครื่องแรกต้องกรอกรายละเอียดบัญชีแล้วใช้ CAPTCHA เพื่อเข้าสู่ระบบ อุปกรณ์ iOS 16 เพียงแค่เยี่ยมชมเว็บไซต์เพื่อเชื่อมต่อ ไม่จำเป็นต้องมีการโต้ตอบ

เมื่อคุณพิจารณาว่าคุณหรือลูกค้าจำเป็นต้องเข้าสู่ระบบเป็นครั้งแรกกี่ครั้งต่อวัน ประโยชน์ของโทเค็นเพื่อการเข้าถึงแบบส่วนตัวนั้นชัดเจน

เกิดอะไรขึ้นในทางปฏิบัติ?

ถ้าฉันเข้าใจถูกต้อง นี่คือกระบวนการที่เกิดขึ้น:

มีกระบวนการมากกว่าคำอธิบายที่ค่อนข้างง่ายนี้ ตัวอย่างเช่น ยังป้องกันคำขอเข้าถึงจากอุปกรณ์หรือบ็อตที่ถูกบุกรุก หากคุณต้องการเจาะลึกลงไปอีกเล็กน้อย นักพัฒนาสามารถดูงานนำเสนอนี้จาก Apple บันทึกย่อนี้ใน Cloudflare และอีกฉบับจาก Fastly และการแนะนำเทคโนโลยีที่คล้ายกันของ Google ที่เรียกว่า Chrome Trust Tokens สุดท้าย สำหรับการลงลึกในเชิงลึก บทความนี้จะอธิบายสถาปัตยกรรมของระบบและให้รายละเอียดเพิ่มเติมแก่นักพัฒนา Apple เพื่อช่วยในการใช้งาน/สนับสนุนคุณสมบัติ

เทคโนโลยีนี้มีอนาคตอะไรที่ Apple?

ผู้ทดสอบ iOS 16, iPad OS 16 และ macOS Ventura รุ่นเบต้าของ Apple อาจค้นพบเทคโนโลยีอยู่แล้วหากพวกเขาไปที่ไซต์หรือบริการที่รองรับเทคโนโลยีนี้ แต่หากพวกเขาไม่ชอบคำถาม CAPTCHA พวกเขาอาจจะไม่ พวกเขาจะตระหนัก . แน่นอน เมื่อเวลาผ่านไป เราจะเห็นไซต์และบริการต่างๆ นำเสนอการสนับสนุนมากขึ้นเรื่อยๆ โดยนักพัฒนาของ Apple ส่วนใหญ่เลือก iCloud สำหรับการรับรองและบุคคลที่สาม ซึ่งรวมถึงผู้ให้บริการเทคโนโลยี CAPTCHA ที่มีอยู่ มีแนวโน้มว่าจะรวมการสนับสนุนโทเค็นเพื่อการเข้าถึงแบบส่วนตัวเข้ากับระบบของพวกเขา

เทคโนโลยีนี้อยู่ไกลจากการปรับปรุงความปลอดภัยและความเป็นส่วนตัวเพียงอย่างเดียวที่ประกาศโดย Apple ที่ WWDC บริษัทจะหารือเกี่ยวกับเครื่องมือในวันนี้เพื่อให้มั่นใจในความปลอดภัย DNS ภายในแอพ และยังได้เปิดตัวเทคโนโลยีการพิสูจน์ตัวตนยุคหน้า Passkeys คีย์การเข้าถึงเป็นวิธีที่ปลอดภัยสูงในการเข้าถึงไซต์และบริการ บริษัทยังได้เปิดตัวการปรับปรุงความปลอดภัยและความเป็นส่วนตัวที่น่าประทับใจสำหรับ Safari ซึ่งรวมถึงการป้องกันช่องโหว่ของสคริปต์ข้ามไซต์ที่แข็งแกร่งขึ้น เพิ่มเติมเกี่ยวกับที่นี้

สิ่งที่ Fastly และ Cloudflare พูด

Jana Iyengar ผู้จัดการผลิตภัณฑ์ ฝ่ายบริการโครงสร้างพื้นฐานของ Fastly อธิบายว่า:

Fastly ภูมิใจที่ได้ลงทุน มุ่งมั่น และสร้างเทคโนโลยีและผลิตภัณฑ์ที่แสดงตัวอย่างความเชื่อของเราว่าความปลอดภัยและความเป็นส่วนตัวมีความสำคัญต่ออินเทอร์เน็ตที่น่าเชื่อถือมากขึ้น เรากำลังทำงานร่วมกับพันธมิตรของเราในชุมชนมาตรฐานเพื่อเพิ่มฟังก์ชันการทำงานให้กับโทเค็นการเข้าถึงแบบส่วนตัวมากขึ้น เช่น การจำกัดอัตราสำหรับการปกป้องสื่อและการรับรองคุณสมบัติของลูกค้าที่มากขึ้น มีแอปพลิเคชั่นที่น่าสนใจสำหรับเทคโนโลยีนี้ ลองนึกดูว่าคุณสามารถทำอะไรกับหลักประกันการเข้ารหัสที่เปิดเผยเฉพาะสิ่งที่เว็บไซต์จำเป็นต้องรู้เกี่ยวกับผู้ใช้ เช่น อายุของพวกเขา การให้การรับประกันอย่างชัดแจ้งเกี่ยวกับกระแสข้อมูลประเภทนี้สามารถปกป้องทั้งผู้ใช้และเว็บไซต์

Reid Tatoris และ Maxime Guerreiro จาก Cloudflare เขียนว่า:

“นี่เป็นเพียงก้าวแรกสำหรับเรา เรากำลังทำงานอย่างแข็งขันเพื่อให้ลูกค้าและผู้ผลิตอุปกรณ์รายอื่นใช้เฟรมเวิร์ก PAT เช่นกัน ทุกครั้งที่ลูกค้าใหม่เริ่มใช้เฟรมเวิร์ก PAT การเข้าชมไซต์ของพวกเขาจากลูกค้ารายนี้จะเริ่มต้นโดยอัตโนมัติร้องขอ โทเค็นและผู้เยี่ยมชมของคุณจะเห็น CAPTCHA น้อยลงโดยอัตโนมัติ เราจะรวม PAT เข้ากับผลิตภัณฑ์รักษาความปลอดภัยอื่น ๆ ในไม่ช้า

สิ่งนี้มีความหมายต่อคุณและธุรกิจของคุณอย่างไร

นอกจากโซลูชันอื่นๆ มากมายของ Apple ในการปกป้องความเป็นส่วนตัวทางออนไลน์แล้ว ความตั้งใจของอุตสาหกรรมที่จะทำให้การเชื่อมโยงข้อมูลอุปกรณ์กับอัตลักษณ์ส่วนบุคคลเป็นเรื่องยากขึ้นเรื่อยๆ หมายความว่าลายนิ้วมือควรกลายเป็นอดีตไปแล้ว นายทุนการสอดแนมที่ซื้อขายในข้อมูลส่วนบุคคลที่ถูกดึงออกมาของบุคคลโดยไม่ได้รับความยินยอมอย่างชัดแจ้งจะต้องเปลี่ยนรูปแบบธุรกิจของพวกเขาอย่างแน่นอนและควร

เมื่อนำมารวมกัน การเปลี่ยนแปลงเหล่านี้ควรให้ประโยชน์พิเศษแก่ผู้ใช้ทุกคน พร้อมสร้างเกราะป้องกันเพิ่มเติมสำหรับธุรกิจเพื่อป้องกันความพยายามที่ซับซ้อนในการรวบรวมข้อมูลส่วนบุคคลเพื่อบ่อนทำลายการรักษาความปลอดภัยปลายทางหรือเจาะเครือข่าย

ติดตามฉันบน Twitter หรือเข้าร่วมกับฉันที่ AppleHolic's bar & grill และกลุ่มสนทนาของ Apple บน MeWe

ลิขสิทธิ์ © 2022 IDG Communications, Inc.


คุณอาจสนใจ...