В блоге компании Cloudflare появилась любопытная запись, автором которой выступает инженер компании Тибо Менье (Thibault Meunier). Специалист признается, что в компании ненавидят CAPTCHA, и он подсчитал, что рядовой интернет-пользователь видит CAPTCHA примерно один раз в десять дней, и умножил это на 4 600 000 000 пользователей в мире. Так как в среднем на решение одной CAPTCHA уходит 32 секунды, в итоге пользователи суммарно тратят на это бесполезное, по мнению Менье, занятие около 500 лет ежедневно.

«Сегодня мы запускаем эксперимент, чтобы покончить с этим безумием. Мы хотим полностью избавиться от CAPTCHA. Идея довольно проста: настоящий человек должен иметь возможность просто прикоснуться к своему устройству или посмотреть на него, чтобы доказать, что он человек, не раскрывая при этом своей личности. <…> Сегодняшний день знаменует начало конца для пожарных гидрантов, пешеходных переходов и светофоров в интернете», — пишет Менье.

Как можно понять из приведенной выше цитаты, в Cloudflare хотят использовать для идентификации людей различные ключи безопасности. Начало этому эксперименту положат USB-ключи (YubiKey, HyperFIDO и Thetis FIDO U2F), однако в посте отмечается, что в наше время смартфоны и компьютеры все чаще оснащаются подобными возможностями по умолчанию, и со временем эксперимент может быть расширен.

Вот как Менье описывает криптографическую аттестация личности, основанную на Web Authentication (WebAuthn) Attestation AP. Эту технологию поддерживают любые браузеры в Ubuntu, macOS, Windows и iOS 14.5, а также Chrome на Android v.10 и выше.:

  • Пользователь получает доступ к сайту, защищенному криптографической аттестацией личности, например cloudflarechallenge.com.
  • Сервер Cloudflare подвергает сомнению, [что это не робот].
  • Пользователь нажимает «Я человек» (бета) и получает запрос на использование устройства безопасности.
  • Пользователь решает использовать аппаратный ключ безопасности.
  • Пользователь подключает устройство к своему компьютеру или прикладывает его к смартфону (использует NFC).
  • Криптографическое подтверждение отправляется в Cloudflare, что позволяет пользователю пройти верификацию.

В итоге ожидается, что вся процедура потребует около 5 секунд времени и три клика мышью. При этом конфиденциальность пользователей будет соблюдена. Дело в том, что такая аттестация личности не связана с конкретным пользовательским устройством. Все производители устройств, которым доверяет Cloudflare, это участники FIDO Alliance, то есть любой аппаратный ключ имеет общий идентификатор с другими ключами  той же партии, и с точки зрения Cloudflare, любой ключ выглядит так же, как и все остальные ключи в партии.

Пока Cloudflare намерена использовать криптографическую аттестацию личности среди небольшого числа пользователей в англоязычных регионах, чтобы в целом проверить осуществимость своей идеи.

5 комментариев

  1. Аватар

    Nick

    18.05.2021 в 11:29

    Наивные ребята… как только это станет повсеместным, списки этих идентификаторов сразу начнут использовать ботоводы, и всё снова вернётся к пожарным гидрантам и светофорам)

  2. Аватар

    miradmin

    18.05.2021 в 11:45

    Когда клиент переносить свой сайт под «защиту» Cloudflare, то он теряет немалую часть реальных посетителей и, в конечном счёте, деньги. Ну, не желают нормальные люди отгадывать их «головоломки».
    А теперь вместо отгадывания предлагают навязать обычным пользователям приобретение каких-то аппаратных ключей? Похоже у их руководства кукушки отъехали конкретно…

    • Аватар

      Adward

      24.05.2021 в 14:22

      >> клиент переносить свой сайт под «защиту» Cloudflare, то он теряет немалую часть реальных посетителей

      Может еразвернуть мысль? Что не так с Cloudflare в этом контексте, интересно было бы узнать..

  3. Аватар

    gigacelitel

    25.05.2021 в 09:54

    Сталкивался не раз, когда никому не нужный сайт требует пройти капчу при каждом входе или регистрации. Причём настолько нечёткую, что, даже с моим монитором в 32 дюйма, ничего не видно и непонятно. После нескольких безуспешных попыток, перехожу на другой, более дружественный сайт. Капча стала просто модным веянием и ставится где ни попадя. Наверное владельцы сайтов думают, что развлекают таким образом пользователя, а на самом деле теряют клиентов.

  4. Аватар

    Lmar

    30.05.2021 в 11:43

    Капчу ставят не от хорошей жизни, значит сайт уже дудосили, так и так теряют клиентов

Оставить мнение