Hirdetés

Az iOS 16 bizonyíthatja, hogy a felhasználó ember

Privát tokeneket használva automatizált CAPTCHA-kitöltésre is képes az iOS 16, a módszert implementáló weboldalakon és alkalmazásokban többet nem kell majd kijelölni a kéményeket vagy iskolabuszokat.

A teljesen automatizált nyilvános Turing-teszt a számítógép és az ember megkülönböztetésére (vagy, ahogy mindenki ismeri, CAPTCHA) bevett módszer annak ellenőrzésére weboldalak és alkalmazások esetén, hogy valódi felhasználó - egy ember - szeretne regisztrálni, vagy egy automatizált algoritmus próbálkozik bejutni. Mindenki válogatott már a fotókon közlekedési lámpákat vagy iskolabuszokat, az iOS / iPadOS 16 és a macOS Ventura viszont megszabadíthatja a felhasználót ettől a feladattól.

Az iOS 16 bétájában a Beállítások - Apple ID - Jelszó és biztonság menüpont alatt megjelent egy új opció, az Automatikus ellenőrzés. Ezzel az operációs rendszer és az iCloud azonosítja a felhasználót, majd tokent (Private Access Token) használva az ellenőrzést kérő felületnek jelzi, hogy annak valódi emberrel van dolga, így kikerülhető a CAPTCHA, illetve az ezzel járó szerveroldali információgyűjtés, például az IP-alapú nyomkövetés, valamint javul a felhasználói élmény és a hozzáférhetőség azokon a weboldalakon, melyek beépítik működésükbe az azonosítási módszert.

A működési folyamat leegyszerűsítve.
A működési folyamat leegyszerűsítve. (forrás: Apple) [+]

Az Apple magyarázata szerint a tokeneket többlépcsős folyamat végén lehet kiállítani, ezeket a lépéseket algoritmus nem tudja imitálni: a meglátogatott HTTP szerverről érkező “vak” kérést a jelszóval vagy biometrikus azonosítással feloldott eszköz kapja, amit a rendszer igazol az iCloud tanúsítónak, amely az eszköz enklávéjában tárolt egyedi azonosítókkal összevetve eldönti, jogos-e az igény. A tanúsító figyeli a sebességet, a kérések mennyiségét, ezek alapján pedig az Apple szerint képes kiszűrni, hogy normális használati minták jellemzik-e a készüléket, vagy sem. Ha a tanúsító valósnak találja a felhasználót, legitimálva továbbítja a kérést a token kiállítójának anélkül, hogy utóbbi bármit is tudna a felhasználóról. Mivel azonban az iCloud tanúsító megbízható, így az eredeti kérésre egy aláírt token a válasz, melyen keresztül tudható, hogy valódi felhasználótól érkezett, viszont magáról a felhasználóról nem tud meg semmit az azonosítást igénylő.


(forrás: Apple) [+]

Az Apple szerint a privát hozzáférési tokenek hatékony alternatívát jelentenek a hiteles eszközökről és személyektől érkező HTTP-kérések azonosításában anélkül, hogy személyes adatokat vagy személyazonosságukat veszélyeztetnék. A Cloudflare és a Fastly már bejelentette, hogy támogatják a megoldást. A béta iOS 16-ban és a béta iPadOS 16-ban az automatikus azonosítás alapértelmezetten be van kapcsolva minden felhasználónál, a béta macOS Venturában egyelőre nem elérhető.

  • Kapcsolódó cégek:
  • Apple

Előzmények

Hirdetés