Новый вид защиты от ботов

Сейчас для защиты от ботов используются всякие CAPTCHA - там требуется ввести изображённый на экране специально искажённый текст, решить простейшее арифметическое действие, выбрать из набора картинок те, которые отвечают определённому требованию (например, все картинки, на которых изображены лодки или автомобили).

Часто эти капчи бывают страшно бесящими - сложными, громоздкими, и далеко не всегда их можно правильно ввести с первого раза. Я помню, одно время в "Яндексе" использовали совершенно дикий вариант капчи, которую правильно ввести удавалось раза с десятого. Я им писал по этому поводу и, как ни странно, они её заменили на более пристойную (уж и не знаю, моё ли письмо подействовало или что-то ещё).

Но вообще капчи - это, конечно, прошлый век. Гугл разработал "невидимую" капчу - код, который анализирует поведение пользователя и делает вывод о том, человек это или бот (там, насколько я понимаю, анализируется активность, движение мыши и прочие параметры). Мы такую невидимую капчу даже пытались внедрить на Exler.ru для регистраций новых пользователей, но оказалось, что эта штука пока нормально не работает, так что пришлось вернуться к обычной капче.

А тут попалась статья о новом протоколе, позволяющем безо всякой капчи отличать людей от роботов - "Капчи — всё? Новый стандарт защиты от ботов не требует действий человека".

Apple внедряет новый протокол Privacy Pass, который создан совместно с Google, Cloudflare и другими интернет-компаниями. Протокол использует токены (Privacy Access Token, PAT), помогающие отличать реальных людей от ботов.

Скажем, посетитель открывает браузер Safari на iPhone и посещает некий сайт. Сайт запрашивает у браузера токен. Тот вызывает интерфейс Apple Attester, который проверяет различные детали: разблокировался ли недавно смартфон, были ли какие-либо подозрительные действия, надёжно ли защищён профиль Apple ID. Если всё в порядке, Attester отдаёт команду эмитенту (посреднику, выпускающему токен). Эмитент отдаёт токен браузеру, а тот подтверждает сайту, что капчу показывать не нужно.

Этот метод позволяет делегировать процесс проверки гаджету, а не стороннему провайдеру, как было раньше. При этом калифорнийский техногигант не узнает, какие страницы или программы посещал пользователь, — эта информация будет только у эмитента. В его роли выступают независимые интернет-компании Cloudflare и Fastly. Ни эмитент, ни сайт не получают доступ к данным об устройстве.

Где и когда это появится?

Для полноценного запуска Privacy Pass необходима поддержка со стороны сайтов и производителей гаджетов. Веб-ресурсы, которые распространяются через сети Cloudflare и Fastly, уже могут использовать перспективный протокол.

О поддержке фишки заявила Apple: функция под названием Automatic Verification появится в iOS 16 и macOS Ventura. Вероятно, ОС Android тоже получит такую возможность — не зря же Google приложила руку к созданию протокола

Комментарии 70

- Что делает нас людьми?
- Умение определять на какой картинке изображён троллейбус!
23.06.22 10:29
0 1

Вообще хорошо прозвучало - «капчи прошлый век, гугль придумал крутизну, но эта крутизна нормально не работает, поэтому продолжаем пользоваться капчами» 😄
22.06.22 20:30
0 5

22.06.22 20:29
0 6

Ой, на всякую хитрую ж найдется свой х с левой резьбой.

Помню, как в 90х для симулирования активности приделывали палочки к трею CD/DVD, а на другом конце - мыша. И программа, которая периодически выдвигает и задвигает трей. А уж сейчас, со всеми этим ардуинами и пр...
22.06.22 17:37
0 0

Сделал же гугль недавно искусственный разум, от которого его (разума) разработчик поехал кукухой! Очень впечатляющий товарищ. Я думаю, рано или поздно капчевание, антивирусинг, антиДДоСинг, анти- и просто хакинг лягут на его искусственные плечи.
Все эти технологии - токены ваши шмокены - схожи в одном: они стараются найти новый формальный путь к цели, то бишь алгоритм. А человек способен действовать без алгоритма. Технологии более или менее успешно формализуют неформализуемое. Делают более или менее удобные костыли. Значит, они, технологии, никогда не сравнятся с человеком. А вот искусственный интеллект сумеет.
Тут-то нам и кабздец...
22.06.22 17:37
0 0

Постепенно и незаметно общество вводят в реальность "Черного зеркала".
Варят лягушку медленно.
Кстати, тот же Китай использует похожий инструмент для ограничений прав людей в интернет, и, наверное, будет очень рад этому новому токену.
Еще будут рады акционеры компании-владельца этого токена, столько данных можно продать.
22.06.22 14:51
8 1

Мало того, что один на всех, так еще и название такое страшное придумали “токен”, бусурманское какое-то. Капиталисты проклятые, тьфу на них!
22.06.22 15:42
0 0

"Смешно" вам будет лет через 5-10.
Как с Крымом в 2014 году, многие шутили.

Этот токен сам по себе ничего не значит.
Важна тенденция и вектор куда движутся "корпорации добра".
22.06.22 17:16
1 0

В недавнем мультфильме "Плохие парни" эту тему затронули. 😄
22.06.22 13:45
0 0

Я тут неделю боролся с требованием iCloud привязаться к телефонному номеру и таки победил. Окошечко подвинул за край экрана, теперь не отсвечивает. Что ни обновление у МакОС то новые глюки. Уже думаю установить нормальный линукс вместо всего вот этого.
22.06.22 13:41
0 1

То есть телефон будет сливать информацию о пользовании им в каком-то довольно широком смысле еще одной третьей компании? То что инфа сливается гуглу/эпплу это наверное неизбежное зло, но это как-то не сильно повод говорить "сгорел сарай - гори и хата" и расширять список на Cloudflare и Fastly (и бог знает кого еще впоследствии).
22.06.22 13:36
1 7

тоже подумал
22.06.22 13:37
0 0

Я вот не понял, что мешает подделать агент, который говорит эмитенту, мол, всё путём, выдавай токен?
22.06.22 13:36
0 1

Скорее всего, агент/интерфейс будет интегоирован в операционную систему(в iOS например).
22.06.22 14:43
0 0

Как это будет работать у добропорядочных граждан - вполне понятно. А вот как они собираются защищаться от хакеров.? Что может помешать им подделать агент? Даже яблоко можно джейлбрейкнуть и запускать на нем неавторизованную шнягу (подправленного агента), а чего уж говорить про PC.
29.06.22 14:24
0 0

22.06.22 12:46
0 3

лучший!
22.06.22 14:09
0 1

Я им писал по этому поводу и, как ни странно, они её заменили на более пристойную
Если действует - надо пользоваться. Алекс, напиши в Кремль! 😄
22.06.22 12:42
0 7

Если действует - надо пользоваться. Алекс, напиши в Кремль! 😄
"Получается, я же мог Ленина так спасти!" ©
22.06.22 13:10
0 7

То есть вместо помочь Гуглю различать лодки/самолеты на фотографиях, с юзера в полностью автоматическом режиме и без его ведома/согласия потянут некую персональную информацию? Ню-ню, ура Эпплу!..
22.06.22 12:39
5 2

А ничего что с юзера и так постоянно тянут некую персональную информацию в виде куков. Не хочешь отдавать персональную информацию - запрети куки, делов-то.

Тянут? Или таки выдают?
22.06.22 12:48
0 1

То есть вместо помочь Гуглю различать лодки/самолеты на фотографиях, с юзера в полностью автоматическом режиме и без его ведома/согласия потянут некую персональную информацию? Ню-ню, ура Эпплу!..
Никакая персональная информация не передаётся. Передаётся только рандомизированный токен, который генерируется по запросу сайта.

Куки (поправьте, если Мешок ошибается) тянет конкретный сайт в пределах действий пользователя на этом конкретном сайте. А тут хз что (различные детали © ага!) хз кому на сторону...
Сколько раз в день нормальный пользователь интернета, не ольгинский бот, где-то регается и борется с капчей, чтобы получить кайф от экономии времени/усилий ценой отдачи ещё одного кусочка своего цифрового портрета?

который генерируется по запросу сайта
Кем генерируется? На каком основании генерируется? Просто так по факту запроса - или таки после анализа чего-то?
Вы этот абзац внимательно прочитали?
Сайт запрашивает у браузера токен. Тот вызывает интерфейс Apple Attester, который проверяет различные детали: разблокировался ли недавно смартфон, были ли какие-либо подозрительные действия, надёжно ли защищён профиль Apple ID. Если всё в порядке, Attester отдаёт команду эмитенту (посреднику, выпускающему токен). Эмитент отдаёт токен браузеру, а тот подтверждает сайту, что капчу показывать не нужно.

Ну да, доступ к кукам другого сайта запрещён. А если так сильно хочется их и вовсе можно отключить - невелика потеря.

Другое дело что есть браузеры на свободном исходном коде, типа Хромиум. А есть глубоко заделанные в закрытую систему, типа Сафари. Я не сомневаюсь что при желании Сафари может и фоточки с камеры сбрасывать, никто же проконтролирует.

Генерирует рандомный токен браузер, запрашивает рандомный токен сайт, разрешение дает эппловская система, которая стоит на телефоне, на основании инфо о телефоне и действиях с ним. По идее эта инфа и так в доступности эппла. Что не так?

Вы этот абзац внимательно прочитали?
А вы этот абзац внимательно прочитали?

Что не так?
Им, Мешкам
Закон не писан
Если писан, то не читан
Если читан, то не понят (<- он приблизительно здесь)
Если понят, то не так
22.06.22 13:45
1 2

Кем генерируется? На каком основании генерируется? Просто так по факту запроса - или таки после анализа чего-то? Вы этот абзац внимательно прочитали?
Я очень внимательно прочитал техническую статью от Fastly и посмотрел трансляцию от самой Apple. Так что если понимаете английский - почитайте/посмотрите сами.

Особенно это:
были ли какие-либо подозрительные действия
Теперь я буду опасаться посылать дикпики своим собеседницам. Это произвол!

а зачем давать броузеру безусловный доступ к камере?
22.06.22 17:04
0 0

а зачем давать броузеру безусловный доступ к камере?
А в iOS у юзера есть опция НЕ давать встроенному Safari доступ к камере?

(Спрашиваю без подколов, ради узнать -- яблочными устройствами не владею, потому мои знания на уровне "читал, что...".)

дикпики
Объясните бабушке!
22.06.22 17:26
0 0

Вас в гугле забанили, штоле? А меня, вот, разбанили. Погуглите "дикпик", а то мне тут объяснять неловко.
22.06.22 18:08
0 0

Специально взял со стола айфон и посмотрел, через сеттинги есть возможность установить три варианта на доступ к камере: разрешить, запретить, спрашивать.
Хотя, если честно, мне сложно представить регулярный юзкейс, который требует камеры для броузера. Можно установить "спрашивать", а если начнет эноить - запретить.
Дефолтно, кстати, так и установлено.

Это именно в СИСТЕМЕ, или в самом Safari настройка?

А мне там искать неловко. Вам-то что, уже поискали, уже репутации каюк и IP в чёрном списке. Почему бы и не объяснить? Тем более бабушке, про неё же речь.
22.06.22 19:23
0 0

Нет! На это я пойти не могу!
22.06.22 19:36
0 0

Этаа, deckpic, я там еще trimmed bushes, чтоб выглядело побольше
22.06.22 20:15
0 0

Всё-то у вас неправильно. Вот так надо: deckpic сверху, dickpic снизу.
22.06.22 20:30
0 0

Чувак, у тебя смартфон вообще есть или только кнопочная звонилка? iOS немного не так как андроид работает. Для изменения пермишинов приложений в iOS нужно открыть общие сеттинги, найти нужное приложение, список приложений (сюрприз) ниже по списку там же, открыть свойства приложения и изменить там пермишины. В андроиде достаточно тапнуть и придержать иконку приложения, открыть информацию о приложении, пермишины там. В самих приложениях уже 100500 лет так ничего особого нет во внутренних настройках. Тем более, что пермишин - системный инстанс, а не локальный. Это система разрешает либо запрещает приложению, а не оно само в проходной двор играет.

Объясните бабушке!
"Мимо тёщина окошка
Я без шуток не хожу..."
23.06.22 00:05
0 2

Чувак, у тебя смартфон вообще есть или только кнопочная звонилка? iOS немного не так как андроид работает
Я про конкретно iOS спрашивал, а не про смартфонные ОС вообще 😄

Спасибо!

Честно говоря подзадолбала эта борьба с ботами, да и в целом свистоперделки в виде трекеров, лайков шмайков и рекламы. У меня на работе файервол режет некоторые сервисы гугл и фейсбук и некоторые сайты либо грузятся медленно, либо ошибки выдают. Когда с дому работаю просто праздник какой-то, всё летает. На том же ноутбуке.

Особенно достаёт эта разрешалка Cookie которая лезет со всех страниц. Если на весь экран то я тупо закрываю страничку, некогда мне им разрешения выдавать. Иногда получается спрятать установив стиль попапа на невидимый. Но блин столько гемора.
22.06.22 12:30
1 4

Ну так не просто так они ж это делают. Есть закон, что надо получить согласие перед сбором данных.
Вот и пытаются влдадельцы сайтов сделать процесс максиимально болезненным, чтобы посетители соглашались не читая, на что подписываются.
22.06.22 13:36
1 1

Ну, это уже придирки. Куки-разрешалка на каждом ресурсе выплывает только в первый раз, и достаточно одного клика для разрешения — это насчёт "некогда мне им разрешения выдавать".

И, как верно заметили, это обязаловка со стороны закона, владельцы сайтов не виноваты. И здесь, у Алекса, как на новом девайсе заходишь, тоже вылезает в первый раз, и чо? Но нет, "Ах, гемор!"
22.06.22 14:12
0 6

Чота мне кажется больно большой лок на вендора. И опять же на вполне конкретных провайдеров, того же клаудфлара. Ну и если железка выдает токен, то что собственно мешает сделать железку, которая только и делает, что выдает токен? Ну а если туда заложен валидированный сертификат от епла на выдачу токена, то см. п. 1.
22.06.22 12:30
0 5

Чота мне кажется больно большой лок на вендора. И опять же на вполне конкретных провайдеров, того же клаудфлара.
«Папа, а с кем ты сейчас разговаривал?»
22.06.22 12:43
3 12

«Папа, а с кем ты сейчас разговаривал?»
Ну хоть не я один приуныл от собственной отсталости.

Всегда считал, что Алиса Селезнёва, которая разговаривает с советскими школьниками понятными для них словами - это самый фантастический элемент в той истории.
22.06.22 13:07
0 10

а как же "флипнуть до космопорта"? 😄
22.06.22 13:21
0 1

а как же "флипнуть до космопорта"?
Это переводимо. А вот объясните бабушке, что такое "майнить биткоины" или "запостить в инсту ради лайков".

Сепульки для сепуления в сепулькарии - такая штука, что не переводчик нужен, а разъяснительная бригада.
22.06.22 13:23
0 8

большой лок на вендора.
Смотря как организовать процесс. По идее, права нужны только владельцам платформ и разработчикам независимых браузеров.
Если процесс принятия решений будет коллегиальным, монополии владельцев платформ можно избежать.
22.06.22 13:38
0 0

Ну хоть не я один приуныл от собственной отсталости.
Аналогично, шеф!
22.06.22 14:07
0 1

А вот объясните бабушке, что такое "майнить биткоины" или "запостить в инсту ради лайков".
да примерно так же как объяснить бабашке "флипнуть до космопорта" - "показать фотку людям в интернете, чтобы понравиться". вроде не бином 😄
22.06.22 14:08
0 1

Пусть бабушка объяснит внукам, к примеру, что такое "переждать не сможешь ты трех человек у автомата" или "отглянцевать фотокарточку".
22.06.22 15:05
0 9

вроде не бином
22.06.22 15:06
0 0

а как же "флипнуть до космопорта"? 😄
САДОВСКИЙ: Флипнула? Ничего подобного! Никогда не флипаю до космопорта. Беру флаер - надежнее и проще.
22.06.22 15:23
0 0

чуток сложнее, но не страшно 😄
22.06.22 16:15
0 0

ерунда, это все бытовуха. вот техницизмы, типа как у топикстартера, их обычному человеку что сейчас, что потом, будет сложно объяснить. 😄
22.06.22 16:20
0 0

"Штурман был у нас - серьезный такой человек, не дай бог. И вот собрался он на берег. Прыгнул в шлюпку и кричит мне:
- Эй, малый, трави кошку, да живо!
Я услышал и ушам не верю: у нас на судне кот был сибирский. Пушистый, мордастый, и хвост, как у лисы. Такой ласковый да умный, только что не говорит. И вдруг его травить! За что? Да и чем травить, опять же?"
22.06.22 16:42
0 6

йеп, 100% пример 😄
23.06.22 14:40
0 0

Выберите все квадратики с крейсером.
22.06.22 12:24
2 39

И для программистов
22.06.22 15:48
0 12

Для проверки причините вред человеку! (с)
22.06.22 12:23
0 17

Мне как то нужен был ящик на яндексе, я так и не прошел капчу.
22.06.22 12:19
0 3

Алекс, у тебя тут бот CKA/IO/IA3 пишет. Прошу принять меры! ))
22.06.22 12:20
0 6

Алекс, у тебя тут бот CKA/IO/IA3 пишет.
22.06.22 13:01
0 4

22.06.22 13:08
0 6

~ bot_kick
22.06.22 15:20
1 0
Теги
Сортировать по алфавиту или записям
BLM 19
Calella 124
exler.ru 182
авто 371
видео 3112
вино 310
еда 405
игры 109
кино 1401
ПГМ 1
попы 161
РКН 2
РФ 1
РЩД 1250
СМИ 1986
софт 814
США 26
тип 2
тмп 11
шоу 6