Операционные системы Apple научатся обходить системы CAPTCHA, созданные для противодействия ботам. При этом защищённость сайтов и приложений не снизится, а безопасность пользователей даже усилится.
В чём проблемы CAPTCHA?
CAPTCHA для блокировки автоматического трафика — неотъемлемая часть современного интернета. Обычно капча представляет собой тест, который легко решит человек, а вот у ИИ это вызовет затруднения. Например, пользователя просят ввести цифры с искажённой картинки или найти на нескольких изображениях конкретный предмет.
Но и минусов у такой системы полно:
- требуется внедрить на сайт сторонний код — это может снизить безопасность;
- у пользователей с ограниченными возможностями возникают проблемы с прохождением;
- капча прерывает пользовательский опыт — растёт число отказов, например при заказе в онлайн-магазине.
Но особенно капчи неудобны на мобильных устройствах. Они расходуют много трафика для загрузки изображений и скриптов, а в некоторых случаях разработчики ПО просто не могут встроить компонент WebView для просмотра веб-содержимого (например, из-за безопасности).
Как это действует
Apple внедряет новый протокол Privacy Pass, который создан совместно с Google, Cloudflare и другими интернет-компаниями. Протокол использует токены (Privacy Access Token, PAT), помогающие отличать реальных людей от ботов.
Скажем, посетитель открывает браузер Safari на iPhone и посещает некий сайт. Сайт запрашивает у браузера токен. Тот вызывает интерфейс Apple Attester, который проверяет различные детали: разблокировался ли недавно смартфон, были ли какие-либо подозрительные действия, надёжно ли защищён профиль Apple ID. Если всё в порядке, Attester отдаёт команду эмитенту (посреднику, выпускающему токен). Эмитент отдаёт токен браузеру, а тот подтверждает сайту, что капчу показывать не нужно.
Этот метод позволяет делегировать процесс проверки гаджету, а не стороннему провайдеру, как было раньше. При этом калифорнийский техногигант не узнает, какие страницы или программы посещал пользователь, — эта информация будет только у эмитента. В его роли выступают независимые интернет-компании Cloudflare и Fastly. Ни эмитент, ни сайт не получают доступ к данным об устройстве.
Где и когда это появится?
Для полноценного запуска Privacy Pass необходима поддержка со стороны сайтов и производителей гаджетов. Веб-ресурсы, которые распространяются через сети Cloudflare и Fastly, уже могут использовать перспективный протокол.
О поддержке фишки заявила Apple: функция под названием Automatic Verification появится в iOS 16 и macOS Ventura. Вероятно, ОС Android тоже получит такую возможность — не зря же Google приложила руку к созданию протокола.
