Tầm nhìn của Mozilla về thông tin xác thực web nhằm giữ vững tính mở và quyền riêng tư ngay cả trong thời đại bot

 (blog.mozilla.org)
3 điểm bởi GN⁺ 4 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Khi tình trạng lạm dụng bằng bot gia tăng, các trang web tăng cường yêu cầu CAPTCHA và đăng nhập, khiến cả người dùng hợp lệ cũng phải chịu ma sát truy cập và suy giảm quyền riêng tư
  • Việc tăng cường chống theo dõi trong trình duyệt là cần thiết để bảo vệ người dùng, nhưng cũng làm suy yếu các tín hiệu như địa chỉ IP và dấu vân tay trình duyệt mà các trang web vốn dùng cho chống lạm dụng
  • Mozilla cho rằng các cơ chế chứng minh độ tin cậy của thiết bị như Web Environment Integrity có nguy cơ trao quyền kiểm soát truy cập web cho một số ít nhà cung cấp OS và phần cứng
  • Giải pháp thay thế là mô hình thông tin xác thực ẩn danh, cho phép kiểm tra xem người dùng có đang trong giới hạn sử dụng hợp lý hay không mà không tiết lộ danh tính hay nơi cấp phát
  • Cloudflare cùng các trình duyệt khác và các bên liên quan trong hệ sinh thái web đã bắt đầu thiết kế hệ thống này, với mục tiêu giảm CAPTCHA, chặn nhầm không cần thiết và yêu cầu tự định danh

Điểm xung đột giữa bảo vệ quyền riêng tư và chống lạm dụng

  • Việc bảo vệ quyền riêng tư trên web đang tiếp tục được tăng cường
    • Các trình duyệt ưu tiên quyền riêng tư đang loại bỏ cookie của bên thứ ba
    • Chúng đối phó với bên theo dõi bằng cách hạn chế theo dõi qua dấu vân tay trình duyệt và che giấu địa chỉ IP
  • Những thay đổi này tạo ra chi phí mới cho trải nghiệm người dùng
    • Người dùng phải đối mặt với nhiều CAPTCHA hơn, nhiều yêu cầu đăng nhập hơn và nhiều trang chặn hơn
    • Địa chỉ IP và dấu vân tay trình duyệt từng được dùng để lập hồ sơ người dùng, nhưng đồng thời cũng là tín hiệu cho chống lạm dụng của website
  • Sự gia tăng lưu lượng bot cũng trực tiếp tạo gánh nặng cho vận hành website
    • Các hành vi lạm dụng quy mô lớn như credential stuffing và spam có thể gây ra thiệt hại thực tế
    • Ngay cả khách truy cập hợp lệ cũng phải chấp nhận nhiều ma sát hơn và quyền riêng tư thấp hơn, còn website có thể đẩy ra ngoài chính những người dùng mà họ vốn muốn phục vụ
  • Nếu không có thay đổi, người dùng sẽ bị ép phải chọn một trong hai: quyền riêng tư hoặc quyền truy cập web
  • Các đề xuất như Web Environment Integrity (WEI) vận hành bằng cách buộc người dùng chứng minh với website rằng thiết bị và phần mềm của họ là “đáng tin cậy”
    • Mozilla cho rằng cách tiếp cận này chuyển quyền kiểm soát thiết bị từ người dùng sang một số ít nhà cung cấp OS và phần cứng
    • Các bên đó sẽ quyết định thiết bị và phần mềm nào được phép truy cập web, đi ngược lại với web mở

Cách chứng minh giới hạn tốc độ bằng thông tin xác thực ẩn danh

  • Cốt lõi của thiệt hại do bot nằm ở khả năng triển khai trên quy mô lớn
    • Website không cần biết danh tính của người dùng
    • Cũng không cần xác minh rằng thiết bị của người dùng chỉ chạy phần mềm đã được phê duyệt
    • Chỉ cần biết rằng họ đang ở trong giới hạn tốc độ hợp lý
  • Để giới hạn tốc độ có hiệu quả, kẻ tấn công phải khó tạo danh tính mới để đặt lại hạn mức
    • Đây cũng là lý do website yêu cầu địa chỉ email, đăng nhập liên kết hoặc dấu vân tay thiết bị: để khiến việc lấy định danh mới trở nên tốn kém
    • Vấn đề là những định danh này cũng có thể bị dùng để theo dõi
  • Mối quan hệ người dùng sẵn có ở website khác có thể đóng vai trò bảo chứng âm thầm
    • Ví dụ, một website có quan hệ với người dùng như thuê bao hoặc tài khoản lâu năm có thể đứng ra bảo chứng
    • Website mà người dùng ghé thăm lần đầu có thể tin rằng đây là người dùng thật đang ở trong hạn mức, nhưng không được biết danh tính của họ hay nguồn bảo chứng
  • Trường hợp VPN cho thấy rõ vì sao cần cách tiếp cận này
    • Nhiều website chặn toàn bộ lưu lượng VPN vì cho rằng trong đó lẫn cả lưu lượng hợp lệ lẫn lưu lượng lạm dụng
    • Nếu dịch vụ VPN có thể bảo chứng theo từng thuê bao, website sẽ quản lý được giới hạn tốc độ theo từng người đăng ký
    • Tuy nhiên, nếu hệ thống bảo chứng khiến người dùng VPN bị theo dõi, thì mục đích sử dụng VPN sẽ bị phá hỏng
  • Private Access Tokens của Apple, dựa trên Privacy Pass, cung cấp token dùng một lần để ngăn liên kết giữa các lần truy cập
    • Mozilla cho rằng cách này vẫn có những giới hạn quan trọng
    • Giống WEI, nó vẫn dựa vào chứng minh thiết bị nên chưa tránh được việc phần cứng trở thành cổng kiểm soát
    • Cũng khó mở hệ thống để nhiều chủ thể hơn có thể bảo chứng cho người dùng mà vẫn giữ được quyền riêng tư, và quyền kiểm soát có thể bị tập trung vào số ít bên
  • Cấu trúc mà Mozilla hướng tới là một hệ thống nơi bất kỳ ai cũng có thể bảo chứng cho người dùng, còn mỗi website tự chọn bên bảo chứng mà mình tin cậy
  • Anonymous credentials cho phép người dùng sử dụng thông tin xác thực do một chủ thể cấp để sau này xuất trình với website trong số lần giới hạn, đồng thời ngăn website và bên cấp phát theo dõi việc sử dụng
    • Thậm chí có thể che giấu cả việc ai đã cấp thông tin xác thực, và chỉ chứng minh rằng nó đến từ một bên thuộc tập hợp các bên cấp phát đáng tin cậy
  • Mozilla đã bắt đầu thiết kế hệ thống như vậy cùng với Cloudflare và các bên liên quan trong hệ sinh thái web, bao gồm các trình duyệt khác
  • Mục tiêu cuối cùng là giảm CAPTCHA, giảm chặn nhầm không cần thiết và giảm yêu cầu tự định danh mà không làm tổn hại quyền riêng tư

Bài viết liên quan

1 bình luận

 
GN⁺ 4 giờ trước
Ý kiến trên Lobste.rs

  • “Cùng với Cloudflare” = lập tức muốn từ chối
    Xem technical overview trong phần tổng quan kỹ thuật thì Privacy Pass được nói là đang dùng ở Apple, Chrome và Kagi, nhưng cách Kagi sử dụng không mang lại tìm kiếm riêng tư một cách có ý nghĩa
    Kagi vận hành đồng thời Origin, Attester và Issuer, nên theo tôi điều đó vi phạm nguyên tắc cốt lõi của kiến trúc Privacy Pass

    • Điều đó không chính xác. Kiến trúc Privacy Pass có hỗ trợ cách một chủ thể đảm nhận cả ba vai trò(RFC 9576 §4.6)
      Tuy vậy, kênh phụ về thời gian vẫn là điều đáng lo. Thông tin xác thực ẩn danh có thể trình nhiều lần hiện giúp giảm kiểu kênh phụ này khá tốt so với các token dùng một lần hiện được triển khai trong Privacy Pass
  • Bài viết kỹ thuật được liên kết ở cuối: https://hacks.mozilla.org/2026/06/…
  • Thật mừng khi thấy có tiến triển ở đây. Ở công việc trước tôi từng theo dõi các nỗ lực trước đó và có tham gia đôi chút
    Tuy nhiên, đoạn “nếu người dùng hoàn toàn không có Endorsement từ một Anchor phù hợp, thì có thể khởi tạo Credential bằng các cơ chế hiện có như CAPTCHA, tạo tài khoản hoặc đăng nhập liên kết” khiến tôi thấy nghi ngờ
    CAPTCHA không hoạt động tốt, ngoài việc giữ người dùng ở lại đủ lâu để bị lấy dấu vân tay, còn việc tạo tài khoản và đăng nhập liên kết thì rốt cuộc vẫn phải dựng cổng bằng cơ chế khác, nên chỉ là đẩy vấn đề lên thêm một tầng
    Hơn nữa, bạn cũng không thể bắt ai đó đang dùng máy tính ở thư viện để đăng nhập ngân hàng phải tạo tài khoản mới trên một website khác. Ngày nay, các “cơ chế hiện có” phụ thuộc rất nhiều vào lấy dấu vân tay trình duyệt, hoặc như Apple thì dựa vào chứng thực phần cứng; nếu mục tiêu của Mozilla và những bên khác là khiến việc lấy dấu vân tay trở nên bất khả thi, tôi không rõ chuyện này sẽ vận hành thế nào
  • Tôi nghĩ sẽ có ích hơn nếu để các trình duyệt phổ thông cache trang web một cách quyết liệt hơn. Tôi hiểu điều đó có thể khiến việc lấy dấu vân tay người dùng dễ hơn hoặc cho phép bot chia sẻ cache
    Nhưng vấn đề chính của Internet không phải là Shopify bị mất tiền vì gian lận, mà là nội dung chúng ta từng truy cập đang biến mất
  • Tôi không chắc. Một cách hiệu quả hơn nhiều để giữ web ở trạng thái mở có lẽ là xử lý nguyên nhân là các trình thu thập dữ liệu, thay vì đi tìm giải pháp vòng vo
    Ví dụ như đừng nhét AI vào mọi thứ, và ngay từ đầu đừng hỗ trợ hay tạo điều kiện cho các công ty đã gây ra mớ hỗn độn này. Nếu các crawler đơn giản là ngừng hoạt động thì đã không cần đến những biện pháp đối phó kiểu này
    • Tất cả các công ty liên quan đều đang dính sâu tới AI dưới hình thức nào đó. Hoặc là họ trực tiếp bán nó, hoặc đã xoay toàn bộ mô hình kinh doanh và bản sắc thương hiệu sang hướng đó
    • Có câu rằng, “nếu lời giải cho một vấn đề dựa vào việc ‘mọi người cứ đơn giản là ...’ thì đó không phải lời giải. Mọi người sẽ không cứ thế mà làm. Trong lịch sử vũ trụ chưa từng có chuyện mọi người cứ thế mà làm, và bây giờ cũng sẽ không bắt đầu”(source)
      Dù AI đúng là đã gây ra đột biến lưu lượng, nhưng vấn đề này tồn tại từ rất lâu trước AI, và crawler thậm chí cũng không phải vấn đề nghiêm trọng nhất. Chẳng hạn, việc thử dump thông tin xác thực bị rò rỉ để đăng nhập ngân hàng, hoặc brute-force thẻ quà tặng và thẻ tín dụng còn là vấn đề lớn hơn
      Ngay cả khi AI biến mất, chúng ta cũng chỉ quay về thế giới ở mức năm 2021, mà khi đó vấn đề này đã nghiêm trọng từ rất lâu rồi