Ud over headers og håndtryk: Web Bot Auth ændrer bot-verifikationen

Vi har længe baseret os på skrøbelige metoder til at genkende bots. User-Agent-strenge. IP-adresser. Reverse DNS. Det har fungeret okay, men det er let at narre. Nu med AI-agenter overalt på nettet, føles det som at tjekke ID med lommelygte i stedet for fingeraftryk.

Her kommer Web Bot Auth, et eksperimentelt IETF-protokol, som Google tester aktivt. Det skifter fokus fra gætteri til kryptografisk bevis.

Problemerne med de gamle metoder

Lad os være ærlige om nutidens setup. Traditionel bot-tjekning hviler på:

• User-Agent headers – nemme at fake
• IP-reputation – godt, men ustabilt pga. geografi
• Reverse DNS – afhænger af andres infrastruktur
• Anmodningsmønstre – gætværk, der rammer forkert

Det stopper de fleste casual-angribere, men ikke de smarte. Og når ægte AI-agenter blokeres ved IP-skift? Så ryger supporten i luften.

Hvordan Web Bot Auth virker

Protokollen tilføjer kryptografisk sikkerhed. I stedet for at gætte "er det Google?", kan du tjekke "er anmodningen signeret af Google?".

Agenter signerer requests med private nøgler. Du validerer med offentlige nøgler – uafhængigt af IP. Fordelene er klare:

• Cloud-agenter skifter IP hele tiden. Slut med IP-whitelists.
• Spoofing er umuligt. Signaturer slår headers.
• Præcis indsigt. Du ved nøjagtig, hvem der banker på.

Det er som en signerede kontrakt mod et løst håndtryk.

Realiteten bag eksperimentet

Bremse nu: Web Bot Auth er stadig i testfase. Google signerer ikke alt endnu. IETF-spec'en udvikles løbende. Det er ikke tid til at smide det gamle ud.

Praktisk set betyder det:

• Kun delvis Google-trafik er signeret
• Ikke alle Google-agenter er med
• Ændringer kan komme

Behold dine gamle checks. IP, DNS, User-Agent. Web Bot Auth kommer ovenpå.

Sådan implementerer du det nu

Store platforme som Cloudflare, AWS WAF eller Akamai har ofte støtte. Tjek dit dashboard – der er måske en switch.

Selvstændig opsætning går sådan:

1. Hent offentlige nøgler

Grab dem fra https://agent.bot.goog/.well-known/http-message-signatures-directory. Cache efter Cache-Control.

2. Find Signature-Agent header

Signed requests har Signature-Agent med g="https://agent.bot.goog".

3. Valider med RFC 9421

Tjek Signature mod Signature-Input. Her sker den kryptografiske magi.

4. Håndter udløb korrekt

Signaturer og nøgler udløber separat. Valider begge.

5. Fallback altid

Ikke alle requests er signeret. Brug IP, DNS, User-Agent som backup.

Tip til hurtige apps: Servér svar først, valider async. Undgå forsinkelser.

Hvorfor det betyder noget for dig

Har du API'er, SaaS eller sites? Her er gevinstene:

• Præcis bot-sortering – Ægte agenter vs. scrapere
• Renere data – Analyser uden spoofing-støj
• Mindre fejlblokeringer – Glade kunder
• Fremtidssikring – AI-agenter bliver normen

Nettet gør bots til ægte borgere med ID-papirer.

Hvad du skal gøre i dag

1. Tjek din udbyder – Cloudflare, AWS? Spørg om Web Bot Auth i WAF.

2. Gennemse din nuværende setup – Hvor svækket er bot-tjekket? Hvor passer krypto ind?

3. Følg IETF-gruppen – Hold øje, så du ikke overraskes.

4. Test med Google – Kontakt deres team for early access.

5. Plan opgradering – Tegn vej fra nuværende til nyt.

Det store billede

Web Bot Auth viser: Bot-trafik er her for at blive. Kamp mod det er forældet. Lad ægte agenter bevise sig kryptografisk – så kan sites beslutte smart.

Det er eksperimentelt i dag. I morgen standard. Start nu, så du er klar. Handshake-tiden er ovre. Krypto-verifikation tager over.