- Apple ya desarrolló y desplegó un sistema llamado "Private Access Tokens", que restringe el acceso a funciones o sitios según si el cliente fue aprobado por un emisor de confianza.
- Private Access Tokens está integrado en MacOS 13, iOS 16 y Safari, y se enfoca principalmente en eliminar los CAPTCHAs.
- El mecanismo de Private Access Tokens implica un intercambio HTTP entre el navegador y el servidor web, donde el navegador envía parte del desafío y detalles verificados del dispositivo a un atestador (por ejemplo, Apple) para su validación.
- Una vez verificado el dispositivo, se devuelve un token firmado al navegador, y el navegador puede reenviar la solicitud junto con el token firmado en el encabezado de autenticación.
- Este sistema se usa actualmente en Safari y en dispositivos Apple cuando se utilizan servicios como Fastly y Cloudflare.
- Las funciones de privacidad de este sistema parecen sólidas, pero el problema central es que el trato que recibes en la web pasa a depender de si Apple considera que tu dispositivo, sistema operativo y configuración del navegador son legítimos y aceptables.
- Este sistema es menos riesgoso que la propuesta de Google porque Safari no es el navegador dominante, pero si Chrome introdujera un sistema similar, podría convertirse en una parte importante de la web.
- Los sistemas de atestación como Private Access Tokens suelen tener efectos perjudiciales para la web y la industria, ya que limitan la competencia y la innovación, impiden que los usuarios controlen sus propios dispositivos y abren la puerta a que los proveedores aprobados endurezcan las reglas en el futuro.
- La web abierta ha tenido éxito gracias al uso libre de distintos clientes y servidores, y la atestación rompe esos principios.
- Las preocupaciones sobre la atestación y otras posibles "funciones" de la web pueden abordarse mediante el debate, y es importante encontrar un equilibrio entre prevenir el fraude y mantener la salud de la web.
1 comentarios
Opiniones de Hacker News