Apple, şifresiz bir geleceğe doğru birkaç adım attı. Dünya Çapında Geliştirici Konferansıancak stratejisinin bir başka bileşeni, CAPTCHA’yı (Bilgisayarlara ve İnsanlara Ayrı Ayrı Anlatmak için Tamamen Otomatikleştirilmiş Genel Turing Testi) daha özel bir çözümle değiştirmek olacaktır.
Tanıtım: Özel Erişim Jetonları
Apple, Cloudflare ile çalışıyor (en çok kiminle düşünüyor teknolojiyi geliştirdi iCloud Private Relay’in arkasında). Ayrıca, Özel Erişim Belirteçleri adı verilen CAPTCHA’ya standartlaştırılmış bir alternatif dağıtmak için Google ve Fastly ile birlikte çalışıyor.
Hepimiz çevrimiçi çalışırken CAPTHA sorgulamalarıyla karşılaşmaya alıştık. Çoğu insanın fotoğraflarda tanımladığı yaya geçitleri ve taksilerin sayısı kesinlikle milyarlarla sayılmalıdır ve bazen çevrimiçi olarak oturum açarken veya yeni hesaplar oluştururken bu süreçte çalışmak can sıkıcı bir ek adımdır.
Süreç ayrıca erişilebilirlik sorunları veya dil engelleri olan kullanıcıları zorluyor.
Diğer bir sorun da, CAPTCHA sunucularının bazen IP adreslerini kullanarak istemcilerin parmak izini almasına/izlenmesine güvenmesidir; bu, endüstrinin kullanıcı gizliliğini koruma hamlelerini yansıtmaz. Süreç, hizmetlerin ve sunucularının dolandırıcılık faaliyetlerine karşı korunmasına yardımcı olurken, kullanıcı deneyimine sürtüşme katar.
Bu nedenle, CAPTCHA amacına hizmet eder, ancak kullanıcı deneyimi, gizlilik ve erişilebilirlik pahasına.
Özel Erişim Simgeleri daha iyi bir yol bulmaya çalışır.
Özel Erişim Jetonları nedir?
Özel Erişim Belirteçlerinin arkasındaki teori, bir web sitesine vardığınız zaman, bir botun taklit etmesi zor olan bazı engelleri çoktan aşmış olmanızdır. Muhtemelen biyometrik yetkilendirme veya şifre kullanılarak kilidi açılmış bir cihaz kullanıyorsunuzdur. Apple platformlarında, kullanıcıların cihaza bir Apple Kimliği ile giriş yapmaları ve muhtemelen kod imzalı bir uygulama kullanmaları olasıdır. Özel Erişim Belirteçleri, bu bilgileri şu anda standartlaştırılmış teknoloji içinde güven oluşturmak için kullanır. IETF Privacy Pass çalışma grubu.
Apple, bilgisayara erişen iki cihazı gösterdi. FT.com Bunu göstermek için web sitesi. İlk iOS 15 cihazının hesap ayrıntılarını doldurması ve ardından oturum açmak için CAPTCHA’yı kullanması gerekiyordu; iOS 16 cihazı oturum açmak için siteyi ziyaret etti, herhangi bir etkileşim gerekmiyor.
İlk olarak sizin veya müşterilerinizin günde kaç kez oturum açması gerektiğini düşündüğünüzde, Private Access Tokens’ın avantajları açık görünüyor.
Pratikte ne olur?
Anladığım kadarıyla, gerçekleşen süreç şu:
- Cihaz ve hizmet/web sitesi öncelikle Özel Erişim Belirteçleri için destek sunmalıdır.
- Sunucular, bir kullanıcının “onay kontrolünü” geçtiğini doğrulamak için şifreleme tekniklerini kullanan PrivateToken adlı yeni bir HTTP Kimlik Doğrulama yöntemini kullanarak belirteçler isteyecektir.
- Onay kontrolü, sunucuya isteğin iyi niyetli bir istek sahibinden geldiğini söyleyen son derece güvenli, özel ve güvenilir bir ifade olarak anlaşılabilir.
- Süreç, kişisel bilgileri gizler ve (Apple’ın durumunda, diğer uygulamalar değişiklik gösterebilir), kullanıcıyı kişisel bilgileri paylaşmadan (veya öğrenmeden) doğrulayan bir iCloud onay hizmetine (“belirteç veren”) dayanır.
- Hem Cloudflare hem de Fastly artık hizmetler ve platformlar için belirteç veren hizmetleri sunuyor.
- Cloudflare, Özel Erişim Belirteçleri için desteği halihazırda kendi bünyesine dahil etmiştir. Yönetilen Mücadele platformubu nedenle zaten bu özelliği kullanan müşteriler, desteklenen cihazlar için tarama deneyimini geliştirmek için bu yeni teknolojiden otomatik olarak yararlanacak.
- Onay süreci tamamlandığında, sunucu isteğin sahte olmadığını ve gerçek bir kişiden geldiğini anlar.
- Ve CAPTCHA olmadan içeri girmelerine izin veriyor.
Bu biraz fazla basitleştirilmiş açıklamanın sağladığından çok daha fazlası var. Örneğin, güvenliği ihlal edilmiş cihazlardan veya botlardan gelen erişim isteklerine karşı da koruma sağlar. Biraz daha derine inmek istiyorsanız, geliştiriciler bunu inceleyebilir elma sunumuBu Cloudflare ile ilgili notbaşka Hızla ve Google’ın adı verilen benzer bir teknolojiye girişi Chrome Güven Jetonları. Son olarak, en derin dalış için, Bu makale sistemin mimarisini tanımlar ve Bu özelliği dağıtmak/desteklemek için Apple geliştiricilerine ek ayrıntılar sağlar.
Apple’da bu teknoloji için sırada ne var?
Apple’ın iOS 16, iPad OS 16 ve macOS Ventura beta test cihazları, teknolojiyi zaten destekleyebilecek herhangi bir siteye veya hizmete erişirlerse, teknolojiyi zaten ortaya çıkarıyor olabilirler, ancak CAPTCHA sorgulamalarını gerçekten sevmedikleri sürece muhtemelen fark etmeyeceklerdir. Elbette, zaman ilerledikçe, çoğu Apple geliştiricisinin onay için iCloud’u seçmesiyle ve mevcut CAPTCHA teknolojisi sağlayıcıları da dahil olmak üzere üçüncü tarafların muhtemelen sistemlerinde Özel Erişim Belirteçleri için destek oluşturmasıyla daha fazla site ve hizmetin destek sunduğunu göreceğiz.
Bu teknoloji, Apple’ın WWDC’de duyurduğu tek güvenlik/gizlilik geliştirmesi olmaktan çok uzak. Şirket bugün bir uygulama içinde DNS güvenliğini daha da güvenli hale getirmek için araçları tartışacak ve ayrıca yeni nesil kimlik doğrulama teknolojisi, Geçiş Anahtarları. Geçiş anahtarları, sitelere ve hizmetlere erişmenin son derece güvenli bir yoludur. Şirket ayrıca, siteler arası komut dosyası çalıştırma güvenlik açıklarına karşı güçlü koruma da dahil olmak üzere Safari’de etkileyici güvenlik ve gizlilik geliştirmeleri yaptı. daha fazlası burada.
Fastly ve Cloudflare ne diyor?
Fastly Altyapı Hizmetleri Ürün Lideri Jana Iyengar şunları söyledi:
Fastly, güvenlik ve gizliliğin daha güvenilir bir internet için kritik öneme sahip olduğuna dair inancımızı örnekleyen teknoloji ve ürünlere yatırım yapmaktan, etkileşimde bulunmaktan ve bunları oluşturmaktan gurur duyuyor. Özel Erişim Belirteçlerine daha fazla özellik eklemek için standartlar topluluğundaki ortaklarımızla aktif olarak çalışıyoruz – medya koruması için hız sınırlaması ve daha fazla müşteri özelliği için onaylar gibi. Bu teknolojinin heyecan verici potansiyel uygulamaları var: Yalnızca ve tam olarak bir web sitesinin bir kullanıcı hakkında bilmesi gerekenleri – yaşları gibi – açıkladığınız kriptografik garantilerle neler yapabileceğinizi düşünün. Bu tür bir veri akışında açık bir garanti vermek hem kullanıcıları hem de web sitelerini koruyabilir.”
Cloudflare’den Reid Tatoris ve Maxime Guerreiro şunları yazdı:
“Bu bizim için sadece bir adım. Diğer müşterilerin ve cihaz üreticilerinin de PAT çerçevesini kullanmasını sağlamak için aktif olarak çalışıyoruz. Ne zaman yeni bir müşteri PAT çerçevesini kullanmaya başlarsa, o müşteriden sitenize gelen trafik otomatik olarak jeton istemeye başlar ve ziyaretçileriniz otomatik olarak daha az CAPTCHA görür. Çok yakında PAT’leri diğer güvenlik ürünlerine dahil edeceğiz.”
Bu sizin ve işiniz için ne anlama geliyor?
Apple ile birlikte diğer birçok çözüm Çevrimiçi gizliliği korumak için, endüstrinin cihaz verilerini kişisel kimlikle ilişkilendirmeyi giderek daha zor hale getirme niyeti, parmak izi almanın geçmişte kalması gerektiği anlamına geliyor. Açık rıza olmadan insanlardan sızdırılan kişisel verilerin ticaretini yapan gözetim kapitalistleri, kesinlikle iş modellerini değiştirmeye ihtiyaç duyacaklar ve yapmalıdırlar.
Genel olarak, bu hamleler her kullanıcıya olağanüstü faydalar sağlamalı ve aynı zamanda işletmelerin uç nokta güvenliğini zayıflatmak veya iş ağlarına nüfuz etmek için kişisel verileri toplamaya yönelik karmaşık girişimlere karşı koruma sağlayabilmeleri için ek kalkanlar yerleştirmelidir.
lütfen beni takip et heyecanya da bana katıl AppleHolic’in barı ve ızgarası ve elma tartışmaları MeWe’deki gruplar.
Telif Hakkı © 2022 IDG Communications, Inc.