Токены частного доступа: устранение CAPTCHA на iPhone и Mac с открытыми стандартами

Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor. Запуск сайта через несколько минут.

Этот пост также доступен на 日本語, Español.

Сегодня мы анонсируем токены частного доступа, полностью невидимый, частный способ подтверждения того, что на ваш сайт заходят реальные пользователи. Посетители, использующие операционные системы, поддерживающие эти токены, включая будущие версии macOS или iOS, теперь могут подтвердить, что они люди, не вводя CAPTCHA и не раскрывая личных данных. Это устранит почти 100% проверок CAPTCHA, предоставляемых этим пользователям.

Что это значит для тебя?

Если вы пользователь Интернета:

• Мы делаем ваш мобильный Интернет более приятным и в то же время более приватным, чем в других сетях.
• Вы не увидите CAPTCHA на поддерживаемом устройстве iOS или Mac (другие устройства скоро появятся!) при доступе к сети Cloudflare.

Если вы веб-разработчик или разработчик приложений:

• Знайте, что ваш пользователь приходит с подлинного устройства и подписанного приложения, проверенного напрямую поставщиком устройства.
• Проверяйте пользователей, не поддерживая громоздкий SDK.

Если вы клиент Cloudflare:

• Вам не нужно ничего делать! Cloudflare будет автоматически запрашивать и использовать токены частного доступа.
• Ваши посетители не увидят CAPTCHA, и мы будем запрашивать меньше данных с их устройств.

Представляем токены частного доступа

За последний год Cloudflare сотрудничала с Apple, Google и другими лидерами отрасли, чтобы расширить протокол Privacy Pass поддержкой нового криптографического токена. Эти токены упрощают безопасность приложений для разработчиков и групп безопасности, а также устаревают устаревшие подходы на основе сторонних SDK для определения того, использует ли устройство человек. Они работают для браузеров, API, вызываемых браузерами, и API, вызываемых в приложениях. Мы называем эти новые токены токенами частного доступа (PAT). Сегодня утром Apple объявила, что PAT будут включены в iOS 16, iPad 16 и macOS 13, и мы ожидаем, что другие поставщики объявят о поддержке в ближайшем будущем.

Cloudflare уже включила PAT в нашу платформу Managed Challenge, поэтому любой клиент, использующий эту функцию, автоматически воспользуется преимуществами этой новой технологии для улучшения работы в Интернете на поддерживаемых устройствах.

CAPTCHA не работает в мобильных средах, PAT устраняют необходимость в них

Мы много раз писали о том, что CAPTCHA — это ужасный пользовательский опыт. Однако мы не обсуждали конкретно, насколько хуже пользовательский опыт на мобильном устройстве. CAPTCHA как технология была создана и оптимизирована для браузерного мира. Они развертываются через виджет или iframe, который обычно подходит всем, что приводит к проблемам с рендерингом или к тому, что окно ввода отображается на устройстве только частично. Меньшее пространство на мобильных экранах по своей сути делает технологию менее доступной и затрудняет решение любой CAPTCHA, а необходимость рендеринга файлов JavaScript и изображений замедляет загрузку изображений, потребляя избыточную пропускную способность клиента.

Помимо удобства использования, мобильные среды представляют дополнительную проблему, поскольку они все чаще управляются API. CAPTCHA просто не может работать в среде API, где нельзя отобразить JavaScript или вызвать WebView. Таким образом, у разработчиков мобильных приложений часто нет простого способа бросить вызов пользователю, когда это необходимо. Иногда они прибегают к использованию неуклюжего SDK для встраивания CAPTCHA непосредственно в приложение. Это требует работы по внедрению и настройке CAPTCHA, постоянного обслуживания и мониторинга, что приводит к более высокому уровню отказов. По этим причинам, когда наши клиенты сегодня выбирают CAPTCHA, она показывается на мобильных устройствах только в 20% случаев.

Недавно мы писали о том, как мы использовали нашу платформу Managed Challenge, чтобы сократить использование CAPTCHA на 91%. Но поскольку опыт CAPTCHA на мобильных устройствах намного хуже, мы отдельно работали над тем, как мы можем еще больше сократить использование CAPTCHA на мобильных устройствах.

Когда сайты не могут бросить вызов посетителю, они собирают больше данных

Таким образом, вы либо не можете использовать CAPTCHA для защиты API, либо UX слишком ужасен для использования на вашем мобильном веб-сайте. Какие варианты остаются для подтверждения того, что посетитель настоящий? Распространенным является просмотр данных, специфичных для клиента, широко известный как снятие отпечатков пальцев.

Вы можете запросить IMEI устройства и версии исправлений безопасности, посмотреть размеры экрана или шрифты, проверить наличие API-интерфейсов, которые указывают на поведение человека, например интерактивные события сенсорного экрана, и сравнить их с ожидаемыми результатами для указанного клиента. Однако весь этот сбор данных является дорогостоящим и, в конечном счете, неуважительным по отношению к конечному пользователю. Как компания, которая глубоко заботится о конфиденциальности и помогает сделать Интернет лучше, мы хотим использовать как можно меньше данных, не ставя под угрозу безопасность предоставляемых нами услуг.

Другой альтернативой является использование API-интерфейсов системного уровня, которые предлагают проверки устройства. Это включает в себя DeviceCheck на платформах Apple и SafetyNet на Android. Службы приложений могут использовать эти клиентские API со своими собственными службами, чтобы утверждать, что клиенты, с которыми они взаимодействуют, являются допустимыми устройствами. Однако внедрение этих API требует внесения изменений как в приложение, так и в сервер, и может быть столь же сложным в обслуживании, как и SDK.

Токены частного доступа значительно улучшают конфиденциальность благодаря проверке без снятия отпечатков пальцев.

Это самый мощный аспект PAT. Сотрудничая с третьими сторонами, такими как производители устройств, у которых уже есть данные, которые помогут нам проверить устройство, мы можем абстрагировать части процесса проверки и подтвердить данные. фактически не собирая, трогать или хранить эти данные самостоятельно. Вместо того, чтобы опрашивать устройство напрямую, мы просим поставщика устройства сделать это за нас.

В традиционной настройке веб-сайта с использованием наиболее распространенного поставщика CAPTCHA:

• Веб-сайт, который вы посещаете, знает URL-адрес, ваш IP-адрес и некоторые дополнительные данные пользовательского агента.
• Поставщик CAPTCHA знает, какой веб-сайт вы посещаете, ваш IP-адрес, информацию о вашем устройстве, собирает данные о взаимодействии на странице и связывает эти данные с другими сайтами, на которых они вас видели. Это создает профиль вашей активности в Интернете как на сайтах, так и на устройствах, а также на том, как вы лично взаимодействуете со страницей.

Когда используются PAT, данные устройства изолируются и явно НЕ обмениваются между вовлеченными сторонами (производителем и Cloudflare).

• Веб-сайт знает только ваш URL-адрес и IP-адрес, которые он должен знать для установления соединения.
• Производитель устройства (подтвердитель) знает только данные устройства, необходимые для подтверждения вашего устройства, но не может сказать, какой веб-сайт вы посещали, и не знает ваш IP.
• Cloudflare знает сайт, который вы посетили, но не знает ничего о вашем устройстве или информации о взаимодействии.

На самом деле нам не нужны или не нужны базовые данные, которые собираются для этого процесса, мы просто хотим проверить, не подделывает ли посетитель свое устройство или пользовательский агент. Токены частного доступа позволяют нам напрямую фиксировать это состояние проверки, не требуя каких-либо базовых данных. Они позволяют нам быть более уверенными в подлинности важных сигналов, без необходимости самим смотреть на эти сигналы.

Как токены частного доступа разделяют данные

С токенами частного доступа четыре стороны соглашаются работать совместно с общей структурой для создания и обмена анонимными, не поддающимися подделке токенами. Без участия всех четырех сторон PAT не сработает.

1. Ан Источник. Веб-сайт, приложение или API, которые получают запросы от клиента. Когда веб-сайт получает запрос к своему источнику, источник должен знать, что нужно искать и запрашивать токен у клиента, делающего запрос. Для клиентов Cloudflare Cloudflare выступает в качестве источника (от имени клиентов) и обрабатывает запросы и обработку токенов.
2. А Клиент. Какой бы инструмент посетитель не использовал для доступа к Origin. Обычно это веб-браузер или мобильное приложение. В нашем примере предположим, что клиент — это мобильный браузер Safari.
3. Ан Подтвердитель. Подтвердитель — это тот, кого клиент просит что-то доказать (например, что мобильное устройство имеет действительный IMEI), прежде чем можно будет выдать токен. В нашем примере ниже подтвердителем является Apple, поставщик устройства.
4. Ан Эмитент. Эмитент — единственный в процессе, кто фактически генерирует или выпускает токен. Подтвердитель делает вызов API любому эмитенту, которому Origin решил доверять, инструктируя эмитента создать токен. В нашем случае Cloudflare также будет эмитентом.

В приведенном выше примере посетитель открывает браузер Safari на своем iPhone и пытается посетить сайт example.com.

1. Поскольку Example использует Cloudflare для размещения своего Origin, Cloudflare запросит у браузера токен.
2. Safari поддерживает PAT, поэтому он будет вызывать API-интерфейс Apple Attester, запрашивая у него подтверждение.
3. Подтвердитель Apple проверит различные компоненты устройства, подтвердит их действительность, а затем сделает вызов API к эмитенту Cloudflare (поскольку Cloudflare, выступая в качестве источника, выбирает использование эмитента Cloudflare).
4. Эмитент Cloudflare генерирует токен, отправляет его в браузер, который, в свою очередь, отправляет его в источник.
5. Затем Cloudflare получает токен и использует его, чтобы определить, что нам не нужно показывать этому пользователю CAPTCHA.

Возможно, это звучит немного сложно, но самое приятное то, что сайт не предпринял никаких действий в этом процессе. Запрос токена, проверка, генерация токена, передача — все это происходит за кулисами третьими сторонами, невидимыми как для пользователя, так и для веб-сайта. Работая вместе, Apple и Cloudflare только что сделали этот запрос более безопасным, сократили количество данных, передаваемых туда и обратно, и избавили пользователя от необходимости видеть CAPTCHA. И мы сделали это, собирая и обмениваясь меньшим количеством пользовательских данных, чем в прошлом.

Большинству клиентов не нужно ничего делать, чтобы использовать токены частного доступа.

Чтобы воспользоваться преимуществами PAT, все, что вам нужно сделать, это выбрать Managed Challenge вместо Legacy CAPTCHA в качестве варианта ответа в правиле брандмауэра. Более 65% клиентов Cloudflare уже делают это. Наша платформа Managed Challenge будет автоматически запрашивать токен при каждом запросе, и когда клиент будет совместим с токенами частного доступа, мы получим его. Любой из ваших посетителей, использующих устройство iOS или macOS, автоматически начнет видеть меньше CAPTCHA после обновления своей ОС.

Это только первый шаг для нас. Мы активно работаем над тем, чтобы другие клиенты и производители устройств также использовали платформу PAT. Каждый раз, когда новый клиент начинает использовать структуру PAT, трафик, поступающий на ваш сайт от этого клиента, автоматически начинает запрашивать токены, и ваши посетители автоматически увидят меньше CAPTCHA.

Очень скоро мы будем включать PAT в другие продукты безопасности. Следите за некоторыми объявлениями в ближайшем будущем.