Aamun pahin harmi siirtyi verkkoon: bottiongelma joka rikkoo nettisivuja
Se sotataistelu bottien kanssa on riistäytynyt käsistä – ja sinä olet jämähtänyt risteykseen
Kuvittele tilanne. Kello on seitsemän aamulla, toinen kahvikuppi kädessä. Haluaisit vain selata uutisia ennen työpäivän alkua. Mutta silmäsi rasittuvat vääristyneistä kuvista: suojateitä, moottoripyöriä, liikennevaloja. Joudut taas raapimaan päätäsi, onneksi sentään läpäisit "testin" ja pääset lopulta itse sisältöön. Tunnistaako?
Et ole yksin. Ja tämä turhautuminen vain pahenee.
Kun bottisota muuttuu käyttäjisodaksi
Taustalla tapahtuu jotain tällaista: verkkosivustojen omistajat pelkäävät bottihyökkäyksiä. Ja syystäkin. Tunnustusten täyttämishyökkäykset, kommenttispam, lippujen jälleenmyyntibotit ja sisällön kaavintatyökalut maksavat yrityksille miljoonia vuodessa – ja pilaavat kokemuksen myös tavallisilta käyttäjiltä.
Ongelma on se, miten useimmat sivustot puolustautuvat.
Kun poistat selainten vuosikymmenten aikana rakentamia seurantamekanismeja – kuten kolmannen osapuolen evästeet, yksityiskohtaiset selain sormenjäljet ja pysyvät IP-osoitteet – samalla katoaa se arsenaali, johon bottien erottaminen ihmisistä perustui. Joten sivustot alkavat vaatia yhä enemmän todisteita siitä, että kävijä on oikea ihminen.
Seuraus? Lisää CAPTCHAa. Pakollisia kirjautumisia yhdenkin sivun lukemiseen. Lisää "emme pysty vahvistamaan, että olet ihminen" -estoja. Yhä useammat sivustot blokkaavat suoraan VPN-liikenteen, koska liikaa huijareita piilottelee niiden takana.
Kierre on selvä: yksityisyys ja käytettävyys ovat sodassa keskenään, ja käyttäjä maksaa laskun.
Ratkaisuja, jotka ovat pahempi kuin ongelma
Osalle ehdotuksista on vaikea nauraa ennen kuin kaivelee pintaa syvemmältä.
Web Environment Integrity eli WEI, esimerkiksi, pyytää käyttäjää todistamaan, että hänen laitteensa on "luotettava" ennen sisältöön pääsyä. Näennäisesti järkevää – halutaan pitää bottiskriptit pyörittävät tartunnan saaneet laitteet ulkona. Mutta catch on se, että tämän päätöksen tekisivät harvat käyttöjärjestelmien ja raudan portinvartijat. He päättäisivät, mitkä laitteet ja ohjelmistot pääsevät verkkoon.
Tutunoloinen skenaario? Käytännössä vaihdetaan yksi portinvartijoiden joukko – mainosverkostot ja datavälittäjät – toiseen: siruvalmistajiin ja käyttöjärjestelmien kehittäjiin. Historia on osoittanut, että kun webbiin pääsyn kontrolli keskittyy, syntyy yksittäisiä vika- ja väärinkäytöspisteitä sekä esteitä innovaatioille.
Me NameOceanilla uskomme, että verkkotunnusjärjestelmä itsessään on loistava esimerkki siitä, miksi hajauttaminen on tärkeää. Kun ICANN hallinnoi juurivyöhykettä hajautetun, kansainvälisen prosessin kautta, ei yksikään taho voi vetää koko webbiä sammuksiin. Sama filosofia pitäisi päteä myös ihmisyyden todistamiseen.
Parempi suunta: yksityisyyttä kunnioittava puolestaano
Entä jos sivustojen ei tarvitsisi tietää kuka olet, ainoastaan että olet laillinen ihminen kohtuullisten käyttörajoitusten sisällä?
Tämä on uuden tutkimuksen ydinajatus: anonyymit valtuudet. Konsepti on elegantti: sen sijaan että käyttäjä todistaisi henkilöllisyytensä tai laitteensa luotettavuuden jokaiselle sivustolle erikseen, entä jos jo olemassa olevat osapuolet voisivat vakuuttaa puolestasi?
Ajattele näin. Käytät VPN-palvelua, koska arvostat yksityisyyttä. Mutta se VPN:n IP-osoitealue on todennäköisesti kymmenillä estolistalla, koska muut sivustot ovat kärsineet bottiliikenteestä samoista osoitteista. Joten sen sijaan että blokataan koko VPN-liikenne – mikä rankaisee laillisia käyttäjiä – entä jos VPN-palveluntarjoajasi voisi kryptografisesti todistaa: "Tämä on maksava tilaajamme. He noudattavat kohtuullista käyttörajoitusta. Ole hyvä ja kohtele heitä sen mukaisesti."
Sivusto saa varmuuden siitä, ettet ole botti. VPN-palvelu ei paljasta henkilöllisyyttäsi tai edes sitä, että käytit heidän palveluaan. Sinä kohtaat vähemmän esteitä.
Tämä ei ole tieteiskirjallisuutta. Apple käyttää jo vastaavaa konseptia Private Access Tokens -toiminnolla, joka antaa iOS-laitteille mahdollisuuden todistaa olevansa botteja ilman että paljastuu, mitä sivustoja olet vierailemassa. Se toimii, koska Apple hallitsee rautaa – ja se luo luottamuksen.
Mutta voimme mennä pidemmälle ilman laitevalmistajien väliintuloa.
Anonyymit valtuudet: tekniset perusteet
Kryptografiset anonyymit valtuudet toimivat näin: yksi osapuoli myöntää sinulle valtuuden, jonka voit myöhemmin esittää todistaaksesi jotain itsestäsi – paljastamatta henkilöllisyyttäsi tai mahdollistamatta seurantaa.
Kuvittele kirjastokorttijärjestelmä, jossa kirjasto sanoo "tämä henkilö on vahvistettu jäsen" ilman että kirjataan, mitä korttia käytettiin missäkin kirjastossa. Sinä pääset sisään. Kirjasto saa todisteen laillisuudesta. Kukaan ei rakenna kansiosi lukuhistoriasta.
Sama periaate pätee käyttörajoitusten hallintaan. Valtuuden myöntäjä voi sanoa "tämä käyttäjä on laillinen eikä ole ylittänyt käyttörajoitustaan" paljastamatta kuka hän on, mistä valtuus tuli tai mahdollistamatta sivustojen yhdistää vierojasi ympäri webbiä.
Tämä on kryptografinen perusta, joka tekee yksityisyyttä kunnioittavan puolestaanon mahdolliseksi. Ja toisin kuin laitevahvistus, se ei vaadi luottamista siihen, että Qualcomm, Intel tai Apple päättää, mitkä ohjelmat pääsevät verkkoon.
Mitä tämä tarkoittaa kehittäjille ja yrityksille
Jos rakennat webbisovelluksia, olet todennäköisesti paininut tämän jännitteen kanssa. Haluat suojella infrastruktuuria väärinkäytöksiltä. Mutta et myöskään halua rakentaa esteitä, jotka ajavat lailliset käyttäjät pois.
Nykyiset vaihtoehdot ovat karkeita työkaluja. CAPTCHAilla on 30–50 prosentin epäonnistumisprosentti ihmisillä. IP-lohko osuu VPN- ja Tor-käyttäjiin massoittain. Kirjautumisesteet pienentävät yleisöäsi ja lisäävät kitkaa.
Yksityisyyttä kunnioittavien anonyymien valtuuksien järjestelmä muuttaisi tämän trade-offin perusteellisesti. Saisit paremman signaalin siitä, onko liikenne laillista, ilman tunkeilevaa seuranta-infrastruktuuria. Käyttäjäsi saisivat sujuvamman kokemuksen ilman yksityisyyden uhraamista.
Me NameOceanilla seuraamme näitä kehityskaaria tarkasti, koska samat periaatteet pätevät verkkotunnusten rekisteröintiin ja DNS:ään. Olemme nähneet, miten kriittisen infrastruktuurin keskitetty kontrolli luo riskejä. Webbi, jossa mikä tahansa osapuoli voi vakuuttaa käyttäjien puolesta – ja sivustot voivat päättää, keihin vakuuttajiin luottavat – on linjassa sen kanssa, miten uskomme, että internetin avoin, hajautettu arkkitehtuuri pitää säilyttää jokaisella tasolla.
Tie eteenpäin
Emme ratkaise tätä yhdessä yössä. Anonyymien valtuuksien toteuttaminen webin mittakaavassa vaatii vaikeiden ongelmien ratkaisemista kryptografiassa, standardoinnissa ja käyttökokemuksessa. Mozilla, Cloudflare ja selaimen valmistajat keskustelevat lupaavista ehdotuksista, mutta ne ovat vielä alkuvaiheessa.
Tärkeintä on, että keskustelu on käynnissä. Webbin ei tarvitse valita yksityisyyden ja käytettävyyden välillä. Voimme rakentaa järjestelmiä, jotka todentavat ihmiset ilman heidän valvontaansa.
Sillä aikaa jatkamme suojateitä tuijottelua. Mutta ehkä ei loputtomiin.