Cloudflare предложила использовать вместо CAPTCHA новую систему защиты
Современные сайты используют систему безопасности CAPTCHA, которая имеет свои преимущества и недостатки. И сейчас появилась альтернатива этой проверке.
Cloudflare предложила использовать вместо CAPTCHA новую систему защиты. Об этом сообщает Информатор Tech, ссылаясь на The Verge.
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) - это тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. Как правило, для его прохождения требуется отметить определенные предметы на нескольких изображениях. Иногда такие проверки доставляют неудобство пользователям, ведь каждый из нас хоть раз не замечал кусочек пешеходного перехода или велосипед на другой плитке.
В своем блоге Cloudflare заявляет, что стремится «полностью избавиться от CAPTCHA», заменив эти тесты новым способом проверки. Вместо CAPTCHA предлагается использовать систему под названием Cryptographic Attestation of Personhood. На текущий момент она поддерживает только ограниченное количество USB-ключей безопасности, таких как YubiKeys. Тем не менее, уже сейчас можно протестировать систему Cloudflare на сайте компании. Для этого нужно кликнуть по блоку с надписью «I am human (beta)», а затем следовать выводимым инструкциям и вставить в USB-порт соответствующий ключ безопасности и разрешить доступ к нему. Весь процесс проверки занимает несколько секунд и не требует выискивания предметов на небольших изображениях, как в случае с CAPTCHA.
«Вкратце, ваше устройство имеет встроенный защищенный модуль, содержащий уникальный код, внедренный производителем. Модуль безопасности способен доказать, что в устройстве действительно есть такой код, не раскрывая его. Cloudflare запрашивает у вас доказательства и проверяет, является ли ваш производитель легитимным», - поясняют в компании. Cloudflare говорит, что сейчас это всего лишь эксперимент, доступный «в ограниченном количестве в англоязычных регионов». И в текущем состоянии он работает только с ограниченным набором аппаратных устройств: YubiKeys, HyperFIDO и Thetis FIDO U2F. Cloudflare заявляет, что «как можно скорее рассмотрит возможность добавления других аутентификаторов». В том числе речь может идти и о смартфонах. В частности, Google может рассматривать и iPhone и Android-смартфоны как физические ключи безопасности. Если бы Google и Apple присоединились к методу проверки Cloudflare, это могло бы значительно снизить барьер для его использования, поскольку смартфоны встречаются гораздо чаще, чем физические ключи безопасности. Но у подхода Cloudflare есть и критики. В частности, генеральный директор консалтинговой фирмы Webauthn Works Акерманн Юрий считает, что «аттестация не доказывает ничего, кроме модели устройства». То есть она фактически не доказывает, что именно человек использует устройство для прохождения проверки. Хотя это признает и сама Cloudflare.