Mozilla hekelt CAPTCHA-opvolger Privacy Pass: niet levensvatbaar
Er is het nodige mis met de huidige CAPTCHA's die websites gebruiken om mensen van bots te onderscheiden en de beoogde opvolger 'Privacy Pass' is daar op dit moment geen levensvatbare oplossing voor, aldus Mozilla dat hier onderzoek naar deed. Volgens de Firefox-ontwikkelaar gaat er onder de CAPTCHA's die nu worden gebruikt een systeem schuil dat afhankelijk is van uitgebreide tracking en profilering.
De afgelopen jaren zijn er verschillende alternatieven voor CAPTCHA's bedacht. Eén daarvan is de 'Privacy Pass', een door de Internet Engineering Task Force (IETF) gepubliceerd framework. Het idee achter Privacy Pass is dat het framework websites laat weten dat een bezoeker oké is, los van hun browsegeschiedenis.
Bij Privacy Pass is er een website die speciale tokens uitdeelt aan mensen waarvan het denkt dat die oké zijn. Andere sites kunnen mensen vragen om hen een token te geven. De tweede site weet dan dat een bezoeker met een token door de eerste site als oké wordt beschouwd, maar komt verder niets te weten. Als de tweede site de eerste site vertrouwt kunnen ze mensen met tokens beter behandelen dan mensen zonder tokens.
In theorie lijkt het volgens Mozilla een goed systeem, maar het is de implementatie op internet waar de browserontwikkelaar tegenaan loopt. Het vereist namelijk vertrouwen in de websites die deelnemen, zoals de partijen die de tokens uitgeven. "Alles dat van vertrouwen afhankelijk is, is als het om het web gaat met name een uitdaging", aldus Mozilla. Het systeem kan ook tot centralisatie leiden, waarbij straks een paar partijen de tokens uitgeven die worden vertrouwd.
Daarnaast heeft Mozilla ook twijfels over de privacygaranties van het systeem. "Op het web zijn er serieuze privacy- en gelijkheidsvraagstukken om te overwegen. De technische architectuur van Privacy Pass biedt tools voor het beheer van de informatiestroom, maar het heeft geen oplossing voor welke informatie er stroomt." Mozilla komt tot de conclusie dat de toepassing van Privacy Pass geen voldoende waarborgen biedt voor de problemen die de Firefox-ontwikkelaar ziet en er op dit moment geen levensvatbare manier is om Privacy Pass op het web te implementeren.
Youtube bijvoorbeeld is bezig met een oorlog tegen proprivacy-blockers en straft gebruikers die tracking links weigeren door steeds langer tot oneindig een wacht scherm te tonen. Dat soort misdragingen moeten ook worden bestraft met hoge boetes door GDPR waakhonden. Opgeven van privacy mag zo niet worden opgedrongen.
Ik maak me ook zorgen over de mogelijkheden voor "Attestation" bij het gebruik van passkeys, maar weet daar nog weinig van.
De Europese BSN uit de EDIW is binnenkort natuurlijk ook ideaal om een kredietscore aan te koppelen. Het komt vast allemaal goed! (Met superbrave foutloze mensen met een goede baan).
en -deugkneuzen.
En AI zag dat het goed was.
Ik vraag mij af inderdaad hoe bepaalde websites zich zo willen beschermen tegen malafide individuen die de desbetreffende site bezoeken. je schiet er gewoon niks mee op,een hacker komt als hij handig is wel ergens in waar hij niet hoort.
Tussen de beveiligers en hackers is het altijd een kat en muisspel,wat bijvoorbeeld software fabrikanten kunnen doen is wel steeds hun software tegen lekken updaten of ook fouten uit hun programma halen,maar honderd procent waterdicht is nooit wat.
Zij komen overal mee weg en jij hebt je rechten al verspeeld.
De totale surveillance maatschappij lonkt. Het is zo 2030.
luntrus
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
