image

Mozilla hekelt CAPTCHA-opvolger Privacy Pass: niet levensvatbaar

zaterdag 23 december 2023, 09:10 door Redactie, 7 reacties

Er is het nodige mis met de huidige CAPTCHA's die websites gebruiken om mensen van bots te onderscheiden en de beoogde opvolger 'Privacy Pass' is daar op dit moment geen levensvatbare oplossing voor, aldus Mozilla dat hier onderzoek naar deed. Volgens de Firefox-ontwikkelaar gaat er onder de CAPTCHA's die nu worden gebruikt een systeem schuil dat afhankelijk is van uitgebreide tracking en profilering.

De afgelopen jaren zijn er verschillende alternatieven voor CAPTCHA's bedacht. Eén daarvan is de 'Privacy Pass', een door de Internet Engineering Task Force (IETF) gepubliceerd framework. Het idee achter Privacy Pass is dat het framework websites laat weten dat een bezoeker oké is, los van hun browsegeschiedenis.

Bij Privacy Pass is er een website die speciale tokens uitdeelt aan mensen waarvan het denkt dat die oké zijn. Andere sites kunnen mensen vragen om hen een token te geven. De tweede site weet dan dat een bezoeker met een token door de eerste site als oké wordt beschouwd, maar komt verder niets te weten. Als de tweede site de eerste site vertrouwt kunnen ze mensen met tokens beter behandelen dan mensen zonder tokens.

In theorie lijkt het volgens Mozilla een goed systeem, maar het is de implementatie op internet waar de browserontwikkelaar tegenaan loopt. Het vereist namelijk vertrouwen in de websites die deelnemen, zoals de partijen die de tokens uitgeven. "Alles dat van vertrouwen afhankelijk is, is als het om het web gaat met name een uitdaging", aldus Mozilla. Het systeem kan ook tot centralisatie leiden, waarbij straks een paar partijen de tokens uitgeven die worden vertrouwd.

Daarnaast heeft Mozilla ook twijfels over de privacygaranties van het systeem. "Op het web zijn er serieuze privacy- en gelijkheidsvraagstukken om te overwegen. De technische architectuur van Privacy Pass biedt tools voor het beheer van de informatiestroom, maar het heeft geen oplossing voor welke informatie er stroomt." Mozilla komt tot de conclusie dat de toepassing van Privacy Pass geen voldoende waarborgen biedt voor de problemen die de Firefox-ontwikkelaar ziet en er op dit moment geen levensvatbare manier is om Privacy Pass op het web te implementeren.

Reacties (7)
23-12-2023, 09:45 door Anoniem
Ik wil niet dat een website mij wel of niet vertrouwt o.b.v. mijn bezoek aan een andere website. Geen enkele website hoeft iets te weten van mijn browsergeschiedenis. Als dat een voorwaarde wordt om een website te bezoeken dan ga ik daar niet mee akkoord. Als het dan om een hele grote site gaat, zoals youtube, dan is het discriminerend als alleen mensen worden toegelaten die bepaalde andere sites hebben bezocht.
23-12-2023, 12:24 door Anoniem
De praktijk is dat diverse websites je weigeren als je geen trackingsites toelaat of trackinghistorie hebt. Dat zouden toezichthouders moeten verbieden. Het is ook nog zo dat ze die geen correcte captcha's accepteren en maar door blijven gaan met vragen puzzels op te lossen. Privacy wordt zo onmogelijk gemaakt en de AP zou daar een forse boete voor moeten opleggen.

Youtube bijvoorbeeld is bezig met een oorlog tegen proprivacy-blockers en straft gebruikers die tracking links weigeren door steeds langer tot oneindig een wacht scherm te tonen. Dat soort misdragingen moeten ook worden bestraft met hoge boetes door GDPR waakhonden. Opgeven van privacy mag zo niet worden opgedrongen.
23-12-2023, 16:53 door Erik van Straten - Bijgewerkt: 23-12-2023, 17:07
Slim dat de bedenkers het systeem "Privacy Pass" hebben genoemd (en niet "Chinese Credit Score" of "Bastard Blocker").

Ik maak me ook zorgen over de mogelijkheden voor "Attestation" bij het gebruik van passkeys, maar weet daar nog weinig van.

De Europese BSN uit de EDIW is binnenkort natuurlijk ook ideaal om een kredietscore aan te koppelen. Het komt vast allemaal goed! (Met superbrave foutloze mensen met een goede baan).
23-12-2023, 19:00 door Anoniem
Hoe zit het eigenlijk met goegel's recaptcha's en de AVG? Ik zie nog steeds regelmatig sites waar je langs een recaptcha moet om van de diensten gebruik te maken, en gezien de grote privacy impact van die dienst kan ik me niet voorstellen dat die ook maar een beetje aan de AVG voldoet.
23-12-2023, 19:32 door Anoniem
Alleen volledige toegang voor EU-puntschoenen
en -deugkneuzen.
En AI zag dat het goed was.
24-12-2023, 18:37 door Anoniem
Ach dat capcha gedoe heb ik een grote hekel aan,ik wordt er soms om gevraagd er een in te vullen wanneer ik vpn gebruik.
Ik vraag mij af inderdaad hoe bepaalde websites zich zo willen beschermen tegen malafide individuen die de desbetreffende site bezoeken. je schiet er gewoon niks mee op,een hacker komt als hij handig is wel ergens in waar hij niet hoort.
Tussen de beveiligers en hackers is het altijd een kat en muisspel,wat bijvoorbeeld software fabrikanten kunnen doen is wel steeds hun software tegen lekken updaten of ook fouten uit hun programma halen,maar honderd procent waterdicht is nooit wat.
26-12-2023, 14:51 door Anoniem
Ze zouden mensen, die aan privacy of enige vorm van gedeeltelijke anonimiteit hechten het liefst blokkeren of verbannen als ware het Tor-gebruikers.

Zij komen overal mee weg en jij hebt je rechten al verspeeld.
De totale surveillance maatschappij lonkt. Het is zo 2030.

luntrus
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.