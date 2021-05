Akiknek saját weboldaluk van, WordPresst vagy más, hasonló rendszert használnak, vagy csak járatosak a témában, valószínűleg legalább hallottak a Cloudflare nevű cégről, amely ingyenesen kínál felhőalapú szolgáltatást – oly módon, hogy a weboldalakat a felhőbe viszi. Erről már írtunk a koronavírus elleni oltásra szolgáló állítólagos támadások kapcsán (vagy CAPTCHA-n) is.

Az alapszolgáltatás mellett többféle egyéb lehetőséget (melyek egy része fizetős) kínáló amerikai cég most egy teljesen új rendszerrel szeretné felváltani a CAPTCHA-k „őrületét” az egész weben.

Bizonyítsa be, hogy ön nem robot!

A CAPTCHA-k azok a tesztek, amelyekkel jellemzően akkor találkozhatunk, amikor megpróbálunk bejelentkezni egy szolgáltatásba. A cél annak bizonyítása, hogy a felhasználó nem egy script, ezért képek különböző elemeit kell felismerni, például buszokat, zebrákat vagy kerékpárokat.

A CAPTCHA rövidítés is ezt a funkciót takarja: teljesen automatizált, nyilvános Turing-teszt a számítógépek és az emberek megkülönböztetésére (Completely Automated Public Turing test to tell Computers and Humans Apart).

Régebben voltak egyébként ennél sokkal nehezebben megoldható – bizonyos esetekben kifejezetten szadista – CAPTCHA-k is, amelyek készítői különös örömüket lelték abban, hogy az emberi felhasználót zavarba ejtsék vagy megakasszák. Klasszikus frusztrációfejlesztő volt a széttrancsírozott betűsorozat, de a mostani, fényképes verziók esetében is sokszor előfordul hasonló: biztos vagyok benne, hogy nem én vagyok az egyetlen, aki azért bukott, mert nem vette észre a zebra sarkát az egyik képen.

„El innen, te CAPTCHA-rongy!”

A Cloudflare blogjában azt írja, célja, hogy „teljesen megszabaduljon a CAPTCHA-tól”, és egy új módszerrel helyettesíti őket, például egy „személyazonosság kriptográfiai tanúsítására” szolgáló USB-eszközzel. Ezek már jelenleg is működnek a Cloudflare rendszerén, ami még csak korlátozott számú USB-s biztonsági kulcsot támogat.

Ez a rendszer a Verge szerint mindössze néhány másodpercet vett igénybe, és kényelmesebb volt, mint a képazonosítás. A gyorsaság mellett ez az új módszer a hozzáférhetőség szempontjából is jelentős előnyökkel járhat, mivel a látássérültek a CAPTCHA-kat jelenlegi formájukban nem biztos, hogy ki tudják tölteni.

Egyelőre csak angol nyelvterületen

Bár ez egy érdekes ötlet, de esélyes, hogy ez még nem jelenti a CAPTCHA-k végét. Például azért sem, mert a Cloudflare állítása szerint ez jelenleg csak egy kísérlet, amely „korlátozottan elérhető az angol nyelvű régiókban”. Hogy hozzánk például mikor jöhet el ez a rendszer, csak a jó ég tudja.

A Cloudflare egyébként azt ígéri, hogy „a lehető leghamarabb megvizsgálja más hitelesítők hozzáadását”. Ez esetleg a telefonra is kiterjedhet: a Cloudflare felveti annak lehetőségét, hogy a telefont a számítógépükhöz érintsék, hogy vezeték nélküli aláírást adjanak át NFC-technológia segítségével. Ez a technika az érintésmentes bankkártyás vagy mobilos fizetésből lehet ismerős, de lehetővé teszi a fájlok vezeték nélküli átvitelét egyik mobil eszközről a másikra.

Az Egyesült Államokban a Google már most fizikai biztonsági kulcsként kezelheti az iPhone-okat és az androidos telefonokat is; ha a Google és az Apple csatlakozna a Cloudflare módszeréhez, az jelentősen csökkenthetné a használatbavétel akadályát, mivel az okostelefonok sokkal elterjedtebbek, mint a biztonsági kulcsok.

Még egy ivómadár-játék is átverheti

Ivómadár-játékkal is át lehet verni egyelőre a Cloudflare rendszerét (Forrás: Wikipédia)

Egy kritikus szerint azonban a Cloudflare rendszere valójában rosszabb megoldás lehet. Ahogy Jurij Ackermann (a Webauthn Works tanácsadó cég vezérigazgatója) rámutat, „az igazolás nem bizonyít semmit, csak az USB eszköz modelljét”, vagyis valójában nem bizonyítja, hogy az eszközzel hitelesítésre használt személy valóban ember-e.

A Cloudflare lényegében maga is elismeri ezt a saját blogjában, mondván, hogy egy ivó madár (azok a madárjátékok, amelyek többször is vízbe mártják a csőrüket) képes megnyomni egy biztonsági kulcs érintésérzékelőjét, és ezzel átmenni a hitelesítési teszten. Ha a CAPTCHA-k lényege az, hogy megakadályozzák a botfarmokat a weboldalak túlterhelésében, akkor a bütykölt biztonsági kulcsokkal felszerelt botfarmok kihasználhatják a helyzetet.

(The Verge)