Nervige CAPTCHAs auf iPhones umgehen: Mehr Support von Websites
Apples neue "Automatic Verification", um abzuklären, dass ein Mensch vor dem Gerät sitzt, kommt zu Cloudflare. Das erweitert die Verbreitung beträchtlich.
Schlagseite c't 17/2017
(Bild: c't/Ritsch+Renn)
Seit iOS 16 bringt das iPhone-Betriebssystem ein Feature mit, das die Nutzung von Websites im Safari-Browser potenziell deutlich erleichtern kann: Sogenannte CAPTCHAs, mit denen Serverbetreiber versuchen, zwischen Robotern und echten Besuchern zu unterscheiden, sollen überflüssig werden. Nun hat der große CDN-Betreiber Cloudflare, der zahlreiche große und kleine Websites zu seinen Kunden zählt, seine Unterstützung für die Technik angekündigt. Sie soll mit macOS 13 alias Ventura zudem auch Safari-Nutzern auf dem Mac zugutekommen.
Token statt Roboterabfrage
Das Feature mit dem Namen "Automatic Verification" setzt auf sogenannte Private Access Token, mit denen sich das verwendete Gerät und somit der Nutzer gegenüber einem Diensteanbieter als legitim ausweisen. Es wurde auf der Entwicklerkonferenz WWDC 2022 Anfang Juni vorgestellt. Das Verfahren soll datenschutzkonform arbeiten. Es kommt also nicht zur Übermittlung persönlicher Daten und auch ein Tracking des Nutzers sei darüber nicht möglich, betonte der Konzern.
"Automatic Verification" über die Private Access Tokens arbeiten im Rahmen des Privacy-Pass-Protokolls, an dem unter anderem auch Google mit strickt; es dürfte also auch Teil von Android werden. Surft der User auf eine Webseite, wird das Token abgefragt. Das Gerät respektive Apple bestätigen dann, dass es sich um einen echten Nutzer mit einem echten Gerät handelt. Weder die URL noch eine möglicherweise vorhandene Apple-ID werden übermittelt. Dazu wird eine dritte Stelle benötigt, die das Signing abwickelt und ebenfalls keine Details erhält. Schließlich wird der Token dann vom iPhone ausgeliefert, die Website macht den Weg frei.
Cloudflare mit dabei
Schon zuvor war bekannt, dass Cloudflare einer der Partner sein wird, die beim unabhängigen Signing helfen werden. Nun kündigte das Content Delivery Network zusätzlich an, die Technik in seinen Dienst Turnstile zu integrieren. Diese auch für Nicht-Cloudflare-Kunden kostenlose API erlaubt die Verifizierung von Private Access Tokens und damit den Ersatz von CAPTCHAs.
Das System nutzte vorher andere Funktionen zur "Lebenderkennung" von Nutzern, darunter "Proof-of-Work, Proof-of-Space, die Prüfung auf Web-APIs und verschiedene andere Challenges zur Erkennung von Browser-Fehlern und menschlichem Verhalten", so Cloudflare. Nun kommen auch Private Access Tokens hinzu. Diese sind jetzt direkt in Turnstile integriert. "Während Turnstile [bislang] einige Sitzungsdaten (wie Header, User-Agent und Browser-Merkmale) einsehen muss, um Nutzer zu validieren, ohne eine Challenge auszugeben, können wir mit Private Access Tokens die Datenerfassung minimieren, indem wir Apple bitten, das Gerät für uns zu validieren." Das Feature soll bereits integriert worden sein, die Nutzung setzt ein Cloudflare-Konto voraus.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
