Nieuws

Mozilla hekelt CAPTCHA-opvolger Privacy Pass: niet levensvatbaar

zaterdag 23 december 2023, 09:10 door Redactie, 7 reacties

Er is het nodige mis met de huidige CAPTCHA's die websites gebruiken om mensen van bots te onderscheiden en de beoogde opvolger 'Privacy Pass' is daar op dit moment geen levensvatbare oplossing voor, aldus Mozilla dat hier onderzoek naar deed. Volgens de Firefox-ontwikkelaar gaat er onder de CAPTCHA's die nu worden gebruikt een systeem schuil dat afhankelijk is van uitgebreide tracking en profilering.

De afgelopen jaren zijn er verschillende alternatieven voor CAPTCHA's bedacht. Eén daarvan is de 'Privacy Pass', een door de Internet Engineering Task Force (IETF) gepubliceerd framework. Het idee achter Privacy Pass is dat het framework websites laat weten dat een bezoeker oké is, los van hun browsegeschiedenis.

Bij Privacy Pass is er een website die speciale tokens uitdeelt aan mensen waarvan het denkt dat die oké zijn. Andere sites kunnen mensen vragen om hen een token te geven. De tweede site weet dan dat een bezoeker met een token door de eerste site als oké wordt beschouwd, maar komt verder niets te weten. Als de tweede site de eerste site vertrouwt kunnen ze mensen met tokens beter behandelen dan mensen zonder tokens.

In theorie lijkt het volgens Mozilla een goed systeem, maar het is de implementatie op internet waar de browserontwikkelaar tegenaan loopt. Het vereist namelijk vertrouwen in de websites die deelnemen, zoals de partijen die de tokens uitgeven. "Alles dat van vertrouwen afhankelijk is, is als het om het web gaat met name een uitdaging", aldus Mozilla. Het systeem kan ook tot centralisatie leiden, waarbij straks een paar partijen de tokens uitgeven die worden vertrouwd.

Daarnaast heeft Mozilla ook twijfels over de privacygaranties van het systeem. "Op het web zijn er serieuze privacy- en gelijkheidsvraagstukken om te overwegen. De technische architectuur van Privacy Pass biedt tools voor het beheer van de informatiestroom, maar het heeft geen oplossing voor welke informatie er stroomt." Mozilla komt tot de conclusie dat de toepassing van Privacy Pass geen voldoende waarborgen biedt voor de problemen die de Firefox-ontwikkelaar ziet en er op dit moment geen levensvatbare manier is om Privacy Pass op het web te implementeren.

Minister: burgers geregeld teleurgesteld over klachten die AP niet onderzoekt

Van Huffelen: BSN gaat leven in Caribisch Nederland gemakkelijker maken

Reacties (7)

Reageer met quote

23-12-2023, 09:45 door Anoniem

Ik wil niet dat een website mij wel of niet vertrouwt o.b.v. mijn bezoek aan een andere website. Geen enkele website hoeft iets te weten van mijn browsergeschiedenis. Als dat een voorwaarde wordt om een website te bezoeken dan ga ik daar niet mee akkoord. Als het dan om een hele grote site gaat, zoals youtube, dan is het discriminerend als alleen mensen worden toegelaten die bepaalde andere sites hebben bezocht.

Reageer met quote

23-12-2023, 12:24 door Anoniem

De praktijk is dat diverse websites je weigeren als je geen trackingsites toelaat of trackinghistorie hebt. Dat zouden toezichthouders moeten verbieden. Het is ook nog zo dat ze die geen correcte captcha's accepteren en maar door blijven gaan met vragen puzzels op te lossen. Privacy wordt zo onmogelijk gemaakt en de AP zou daar een forse boete voor moeten opleggen.

Youtube bijvoorbeeld is bezig met een oorlog tegen proprivacy-blockers en straft gebruikers die tracking links weigeren door steeds langer tot oneindig een wacht scherm te tonen. Dat soort misdragingen moeten ook worden bestraft met hoge boetes door GDPR waakhonden. Opgeven van privacy mag zo niet worden opgedrongen.

Reageer met quote

23-12-2023, 16:53 door Erik van Straten - Bijgewerkt: 23-12-2023, 17:07

Slim dat de bedenkers het systeem "Privacy Pass" hebben genoemd (en niet "Chinese Credit Score" of "Bastard Blocker").

Ik maak me ook zorgen over de mogelijkheden voor "Attestation" bij het gebruik van passkeys, maar weet daar nog weinig van.

De Europese BSN uit de EDIW is binnenkort natuurlijk ook ideaal om een kredietscore aan te koppelen. Het komt vast allemaal goed! (Met superbrave foutloze mensen met een goede baan).

Reageer met quote

23-12-2023, 19:00 door Anoniem

Hoe zit het eigenlijk met goegel's recaptcha's en de AVG? Ik zie nog steeds regelmatig sites waar je langs een recaptcha moet om van de diensten gebruik te maken, en gezien de grote privacy impact van die dienst kan ik me niet voorstellen dat die ook maar een beetje aan de AVG voldoet.

Reageer met quote

23-12-2023, 19:32 door Anoniem

Alleen volledige toegang voor EU-puntschoenen
en -deugkneuzen.
En AI zag dat het goed was.

Reageer met quote

24-12-2023, 18:37 door Anoniem

Ach dat capcha gedoe heb ik een grote hekel aan,ik wordt er soms om gevraagd er een in te vullen wanneer ik vpn gebruik.
Ik vraag mij af inderdaad hoe bepaalde websites zich zo willen beschermen tegen malafide individuen die de desbetreffende site bezoeken. je schiet er gewoon niks mee op,een hacker komt als hij handig is wel ergens in waar hij niet hoort.
Tussen de beveiligers en hackers is het altijd een kat en muisspel,wat bijvoorbeeld software fabrikanten kunnen doen is wel steeds hun software tegen lekken updaten of ook fouten uit hun programma halen,maar honderd procent waterdicht is nooit wat.

Reageer met quote

26-12-2023, 14:51 door Anoniem

Ze zouden mensen, die aan privacy of enige vorm van gedeeltelijke anonimiteit hechten het liefst blokkeren of verbannen als ware het Tor-gebruikers.

Zij komen overal mee weg en jij hebt je rechten al verspeeld.
De totale surveillance maatschappij lonkt. Het is zo 2030.

luntrus

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Wie wordt de volgende president van de Verenigde Staten?

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Chief Information Security Officer

Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Mozilla hekelt CAPTCHA-opvolger Privacy Pass: niet levensvatbaar

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Wie wordt de volgende president van de Verenigde Staten?

Wachtwoord Vergeten

Password Reset

Registreren