Techbedrijven willen captcha's vervangen door private access tokens

[Captain Kirk]

Apple, Google, Cloudflare en andere techbedrijven willen de captcha's die nu geregeld op websites verschijnen vervangen door private access tokens. Critici zijn bang dat gebruikers van bepaalde browsers of platformen straks worden buitengesloten. Bij private access tokens werken vier partijen samen, waaronder de fabrikanten van telefoons en computers.

Zodra de gebruiker een website bezoekt zal de webserver een private token challenge naar de gebruiker terugsturen. De webserver wil dat de gebruiker een token terugstuurt die van een vertrouwde token-uitgever afkomstig is. De gebruiker heeft dit token nog niet en vraagt vervolgens het token aan een "attester", wat de telefoon- of computerfabrikant kan zijn. Het token-verzoek is "blinded", waardoor het niet te koppelen is aan de challenge van de betreffende webserver.

De telefoon- of computerfabrikant zal nu het account en apparaat van de gebruiker controleren. Wanneer de fabrikant de gebruiker aan de hand van zijn telefoon of computer heeft gecontroleerd wordt het token-verzoek doorgestuurd naar de token-uitgever. De uitgever weet hierbij niets van de gebruiker. Aangezien het token-verzoek van een vertrouwde attester afkomstig is, signeert de uitgever het token en stuurt die naar de attester. De attester stuurt het gesigneerde token weer naar de gebruiker.

Op het toestel van de gebruiker wordt het token, in een proces dat "unblinding" wordt genoemd, omgezet zodat de webserver het token kan verifiëren. De webserver kan controleren dat het token door een vertrouwde uitgever is gesigneerd. Het is echter niet mogelijk om de gebruiker alleen aan de hand van het token te identificeren of herkennen.

Apple zal private access tokens ondersteunen in Safari op iOS 16, iPad 16 en macOS 13. Critici zijn bang dat gebruikers van bijvoorbeeld Linux of Firefox worden buitengesloten. Cloudflare laat weten dat het met andere browserleveranciers en fabrikanten samenwerkt om die ook van private access tokens gebruik te laten maken.

 

bron: https://www.security.nl