- Apple đã phát triển và triển khai một hệ thống có tên "Private Access Tokens", hệ thống này giới hạn quyền truy cập vào các tính năng hoặc trang web tùy theo việc client có được một đơn vị phát hành đáng tin cậy phê duyệt hay không.
- Private Access Tokens được tích hợp vào macOS 13, iOS 16 và Safari, chủ yếu tập trung vào việc loại bỏ CAPTCHA.
- Cơ chế của Private Access Tokens bao gồm quá trình trao đổi HTTP giữa trình duyệt và máy chủ web, trong đó trình duyệt gửi một phần của thử thách cùng với thông tin chi tiết về thiết bị đã được xác minh tới bên chứng thực (ví dụ: Apple) để xác minh.
- Khi thiết bị được xác minh, một token đã ký sẽ được trả về trình duyệt, và trình duyệt có thể gửi lại yêu cầu kèm token đã ký trong header xác thực.
- Hệ thống này hiện được sử dụng trên thiết bị Apple khi dùng Safari và khi sử dụng các dịch vụ như Fastly và Cloudflare.
- Các tính năng bảo vệ quyền riêng tư của hệ thống này có vẻ rất mạnh, nhưng vấn đề cốt lõi là cách người dùng được đối xử trên web sẽ khác đi tùy theo việc Apple có xem thiết bị, hệ điều hành và cấu hình trình duyệt của họ là hợp lệ và có thể chấp nhận hay không.
- Hệ thống này hiện ít rủi ro hơn đề xuất của Google vì Safari không phải là trình duyệt thống trị, nhưng nếu Chrome triển khai một hệ thống tương tự thì nó có thể trở thành một phần quan trọng của web.
- Các hệ thống chứng thực như Private Access Tokens nhìn chung gây hại cho web và ngành công nghiệp, hạn chế cạnh tranh và đổi mới, khiến người dùng không thể kiểm soát thiết bị của mình, đồng thời mở ra cánh cửa để các nhà cung cấp được phê duyệt siết chặt quy tắc trong tương lai.
- Web mở đã thành công nhờ việc tự do sử dụng nhiều loại client và server khác nhau, và chứng thực phá vỡ những nguyên tắc này.
- Những lo ngại về chứng thực và các 'tính năng' web tiềm năng khác có thể được giải quyết thông qua thảo luận, và điều quan trọng là phải tìm được sự cân bằng giữa chống gian lận và duy trì sức khỏe của web.
1 bình luận
Ý kiến trên Hacker News