Con iOS 16 e macOS 13, Apple vuole uccidere anche i captcha

Con iOS 16 e macOS 13, Apple vuole uccidere anche i captcha
Alessandro Nodari
Alessandro Nodari

Apple è intenzionata a rivoluzionare il mondo del web per come lo conosciamo ora. Non solo ha da tempo avviato una lotta alle password e sviluppato tecnologie come iCloud Private Relay, Nascondi la Mia Mail e la Trasparenza del Tracciamento, ma all'ultimo WWDC 2022 ha annunciato una nuova tecnologia, chiamata Private Access Tokens (PAT), con lo scopo di eliminare definitivamente i CAPTCHA.

Canale Telegram Offerte

La maggior parte di voi avrà sicuramente incontrato queste immagini, che preannunciate dalla scritta "non sono un robot" servono a determinare se una richiesta HTTP (l'accesso a una pagina web) proviene da un utente umano o da un bot (una specie di test di Turing semplificato). I PAT eviteranno prima di tutto la seccatura di passare attraverso la sfilza di immagini da scegliere e in secondo luogo saranno molto più sicuri dei CAPTCHA (che possono essere compromessi). 

Ma come funzionano questi PAT? Inviano una richiesta HTTP in background attraverso un nuovo metodo di autenticazione HTTP chiamato PrivateToken, tramite il quale un server utilizza la crittografia per verificare che un client abbia superato un controllo di attestazione iCloud.

La generazione del token e l'invio al server funzionano così.

  • Quando il client ha bisogno di un token, contatta un attestatore, in questo caso Apple.
  • Questo esegue il processo utilizzando i certificati archiviati nel Secure Enclave del dispositivo. Ma non solo, fa anche controlli che verificano che il client non faccia parte di una farm di iPhone, per esempio, attraverso un limitatore della velocità, il che è molto difficile da imitare per i bot.
  • Una volta ottenuto il token (monouso) firmato, questo viene inviato al server in un processo a più fasi. 
  • Il server non sa nulla del dispositivo o della persona che vi accede, ma ovviamente si fida dell'attestatore e convalida il token
  • alla fine, l'utente viene indirizzato alla pagina Web di destinazione.

Ovviamente il processo avviene in automatico e l'utente non deve fare nulla. Cloudfare e Fastly lo stanno già integrando nei loro sistemi e i server Web a cui si accede tramite Safari e WebKit funzioneranno automaticamente con i PAT, mentre altri dispositivi potrebbero non riconoscere il processo del token, quindi Apple avverte gli sviluppatori di assicurarsi che l'autenticazione dell'utente non blocchi la pagina Web principale e di presentarla come facoltativa. Il nuovo sistema arriverà con iOS 16 o macOS Ventura o versioni successive.

Mostra i commenti