В iOS 16 появится функция, которая поможет справиться с надоедливыми капчами в Интернете. При этом Apple делает ставку на токены частного доступа. Они идентифицируют пользователя как человека, передавая различную информацию, и позволяют получить доступ к веб-странице без использования CAPTCHA.
Капчи — необходимое зло в Интернете, чтобы отличать людей от ботов. Однако пользователей довольно раздражает необходимость всегда сначала решать вычислительную задачу или выбирать светофоры из нескольких изображений, прежде чем им будет предоставлен доступ к веб-сайту. Однако в iOS 16 теперь появится альтернативный способ идентифицировать себя как человека с помощью так называемых токенов частного доступа (PAT).
Вот как работает аутентификация с помощью PATs в iOS 16
То, как работает идентификация с помощью PAT, Apple продемонстрировала еще на WWDC 2022. Обычно серверу требуется доказательство того, что запрос на доступ к веб-странице исходит от человека. Решая простую задачу, называемую капчей, вы идентифицируете себя как человека. Однако вы также можете получить удостоверение личности через «экзаменатора» (Attester) в качестве человека. На iOS 16 это iCloud.
iCloud Attester может идентифицировать пользователя клиента как человека.
Когда клиент хочет перейти на веб-страницу на сервере, он отправляет обратно запрос на идентификацию. Сервер запрашивает токен, который доказывает, что за клиентом стоит человек. Этот токен, в частности, PAT, клиент запрашивает у iCloud Attester. Теперь он собирает различную информацию, подтверждающую, что пользователь является человеком. Во-первых, специалист по сертификации получает сертификаты, которые находятся в защищенном анклаве устройства (изолированной области процессора).
Кроме того, аттестатор может также выполнить так называемое ограничение скорости. С его помощью администратор проверяет, является ли поведение пользователя устройством типичным для человека, и, таким образом, может исключить устройства из фермы ботов или кликов. Если клиент проходит все проверки, проводимые специалистом, он отправляет подписанный токен обратно на сервер, и пользователь может перейти на веб-страницу без использования CAPTCHA.
Данные пользователя остаются в секрете
Как обычно, Apple также использует этот метод, чтобы обеспечить защиту данных пользователей. Сервер, запрашивающий токен, не получает от PAT никакой информации об устройстве или пользователе. Они также не имеют к нему никакого отношения, его интересует только то, был ли токен подтвержден каким-либо сертификатом.
Метод проверки уже доступен в бета-версии iOS 16
Те, кто хочет отказаться от использования CAPTCHA уже сейчас, могут активировать новую проверку с помощью PATS уже в бета-версии iOS 16. Эта функция находится в пункте меню «Apple ID» в разделе «Пароль и безопасность». Там необходимо активировать функцию «Автоматическая проверка».
Однако есть еще одна загвоздка: новый метод проверки также должен поддерживаться веб-хостингами. Cloudflare и Fastly уже поддерживают новый метод. Ожидается, что в будущем появятся и другие поставщики.
