Новый вид защиты от ботов
Сейчас для защиты от ботов используются всякие CAPTCHA - там требуется ввести изображённый на экране специально искажённый текст, решить простейшее арифметическое действие, выбрать из набора картинок те, которые отвечают определённому требованию (например, все картинки, на которых изображены лодки или автомобили).
Часто эти капчи бывают страшно бесящими - сложными, громоздкими, и далеко не всегда их можно правильно ввести с первого раза. Я помню, одно время в "Яндексе" использовали совершенно дикий вариант капчи, которую правильно ввести удавалось раза с десятого. Я им писал по этому поводу и, как ни странно, они её заменили на более пристойную (уж и не знаю, моё ли письмо подействовало или что-то ещё).
Но вообще капчи - это, конечно, прошлый век. Гугл разработал "невидимую" капчу - код, который анализирует поведение пользователя и делает вывод о том, человек это или бот (там, насколько я понимаю, анализируется активность, движение мыши и прочие параметры). Мы такую невидимую капчу даже пытались внедрить на Exler.ru для регистраций новых пользователей, но оказалось, что эта штука пока нормально не работает, так что пришлось вернуться к обычной капче.
А тут попалась статья о новом протоколе, позволяющем безо всякой капчи отличать людей от роботов - "Капчи — всё? Новый стандарт защиты от ботов не требует действий человека".
Apple внедряет новый протокол Privacy Pass, который создан совместно с Google, Cloudflare и другими интернет-компаниями. Протокол использует токены (Privacy Access Token, PAT), помогающие отличать реальных людей от ботов.
Скажем, посетитель открывает браузер Safari на iPhone и посещает некий сайт. Сайт запрашивает у браузера токен. Тот вызывает интерфейс Apple Attester, который проверяет различные детали: разблокировался ли недавно смартфон, были ли какие-либо подозрительные действия, надёжно ли защищён профиль Apple ID. Если всё в порядке, Attester отдаёт команду эмитенту (посреднику, выпускающему токен). Эмитент отдаёт токен браузеру, а тот подтверждает сайту, что капчу показывать не нужно.
Этот метод позволяет делегировать процесс проверки гаджету, а не стороннему провайдеру, как было раньше. При этом калифорнийский техногигант не узнает, какие страницы или программы посещал пользователь, — эта информация будет только у эмитента. В его роли выступают независимые интернет-компании Cloudflare и Fastly. Ни эмитент, ни сайт не получают доступ к данным об устройстве.
Где и когда это появится?
Для полноценного запуска Privacy Pass необходима поддержка со стороны сайтов и производителей гаджетов. Веб-ресурсы, которые распространяются через сети Cloudflare и Fastly, уже могут использовать перспективный протокол.
О поддержке фишки заявила Apple: функция под названием Automatic Verification появится в iOS 16 и macOS Ventura. Вероятно, ОС Android тоже получит такую возможность — не зря же Google приложила руку к созданию протокола
