Botarna som förstör din morgon – och hela webben
Vi har skapat ett internet där man måste bevisa att man är mänsklig – och det är inte din fel
Tänk dig följande: Klockan är sju på morgonen. Du har precis hällt upp andra koppen kaffe och vill snabbt kolla nyheterna innan du går till jobbet. Men istället för att läsa artikeln om AI-reglering, sitter du och kämpar med förvrängda bilder av fotgängarövergångar, motorcyklar och trafikljus. Ännu en gång.
Du klarar testet – med nöd och näppe – och kan äntligen läsa det du faktiskt vill läsa.
Låter det bekant? Du är inte ensam. Och problemet växer.
Bot-kriget har blivit ett krig mot användarna
Bakom kulisserna pågår en intensiv kampanj. Webbplatsägare är livrädda för bottar. Och visst, de har goda skäl. Credential stuffing-attacker, kommentarsspan, biljettköpsrobotar och scrapingkampanjer kostar företag miljoner varje år och förstör upplevelsen för alla.
Problemet är hur de flesta sajter hanterar hotet.
När webbläsartillverkare har tagit bort spårningssignaler – tredjepartscookies, detaljerade webbläsarfingeravtryck och permanenta IP-adresser – har man samtidigt plockat bort de verktyg som anti-missbrukssystem behövde för att skilja människor från bottar.
Så sajterna kompenserar. Mer CAPTCHA. Obligatoriska inloggningar för att läsa en enda artikel. "Tyvärr, vi kan inte verifiera att du är mänsklig"-felmeddelanden. VPN-trafik som blockeras helt och hållet.
Vi har fastnat i en spiral där integritet och användbarhet står mot varandra. Alla förlorar.
Lösningar som är värre än problemet
Vissa föreslagna fix låter vettiga – tills man gräver lite djupare.
Web Environment Integrity (WEI) är ett exempel. Förslaget går ut på att användare måste bevisa att deras enheter är "betrodda" innan de får tillgång till visst innehåll. På ytan logiskt – du vill hålla ute komprometterade enheter som kör botskript.
Men här är haken: själva bedömningen skulle göras av ett fåtal operativsystem- och hårdvarutillverkare. De skulle kontrollera vilka enheter och programvara som får tillgång till webben.
Bekant? Det är i praktiken att byta ut en uppsättning grindvaktar (annonsnätverk och datamäklare) mot en annan (chiptillverkare och OS-utvecklare).
Historien visar tydligt vad som händer när man koncentrerar kontrollen över webbåtkomst: man skapar enskilda punkter för fel, potential för övergrepp och hinder för innovation.
På NameOcean tror vi att själva domännamnssystemet är ett perfekt exempel på varför decentralisering spelar roll. När ICANN sköter root-zonen genom en distribuerad, internationell process kan ingen enskild aktör stänga av hela webben. Samma filosofi borde gälla för att bevisa att man är mänsklig.
En bättre väg: Integritetsbevarande garantier
Tänk om webbplatser inte behövde veta vem du är – bara att du är en legitim människa inom rimliga begränsningar?
Det är kärniden bakom ny forskning kring anonyma credentials. Konceptet är elegant: istället för att användare ska behöva bevisa sin identitet eller enhetens tillförlitlighet för varje sajt individuellt, vad om parter du redan har en relation med kunde gå i god för dig?
Ta det här exemplet. Du betalar för en VPN-tjänst för att du värdesätter integritet. Men den VPN:ens IP-range är antagligen med på dussintals blocklistor eftersom andra sajter blivit brända av bottrafik från samma IP:er.
Istället för att blockera VPN-trafik helt – vilket straffar legitima användare – vad om din VPN-leverantör kunde ge en kryptografisk attest: "Det här är en av våra betalande prenumeranter. De begränsas till rimlig användning. Vänligen behandla dem därefter."
Sajten får garantier för att du inte är en bot i stor skala. VPN-leverantören avslöjar varken din identitet eller att du använde deras tjänst. Du slipper onödiga hinder.
Det här är ingen science fiction. Apple använder redan ett liknande koncept med Private Access Tokens, som låter iOS-enheter bevisa att de inte är bottar utan att avslöja vilka webbplatser du besöker. Systemet fungerar för att Apple kontrollerar hårdvaran, vilket skapar förtroende.
Men vi kan gå längre – utan att hårdvarutillverkare behöver vara inblandade.
Anonyma credentials: Den tekniska grunden
Kryptografiska anonyma credentials tillåter en part att utfärda en attest som du senare kan presentera för att verifiera något om dig själv – utan att avslöja din identitet eller möjliggöra spårning.
Föreställ dig ett bibliotekskortssystem där biblioteket säger "den här personen är en verifierad låntagare" utan att anteckna vilket kort som användes vid vilket bibliotek. Du får tillgång. Biblioteket får bevis på legitimitet. Ingen bygger en dossier över dina läsevanor.
Samma princip gäller för rate limiting. En credential-utfärdare kan intyga "den här användaren är legitim och har inte överskridit sin användningskvot" utan att avslöja vem det är, var attesten kommer ifrån, eller möjliggöra för sajter att korrelera dina besök över webben.
Det här är den kryptografiska grunden som gör integritetsbevarande garantier möjliga. Till skillnad från hårdvarubaserad attestering kräver det inte att vi litar på Qualcomm, Intel eller Apple för att avgöra vilken programvara som får tillgång till webben.
Vad det betyder för utvecklare och företag
Om du bygger webbapplikationer har du förmodligen brottats med den här spänningen. Du vill skydda din infrastruktur från missbruk. Men du vill inte heller skapa barriärer som driver bort legitima användare.
De nuvarande alternativen är grova verktyg. CAPTCHA har 30-50% felfrekvens för människor. IP-blockering drabbar VPN- och Tor-användare i massor. Inloggningsväggar minskar din publik och skapar friktion.
Ett system med integritetsbevarande anonyma credentials skulle fundamentalt förändra den här avvägningen. Du får bättre signal om trafiken är legitim utan att bygga invasiv spårningsinfrastruktur. Dina användare får en smidigare upplevelse utan att offra sin integritet.
På NameOcean följer vi de här utvecklingarna noga, eftersom samma principer gäller för domänregistrering och DNS. Vi har sett hur koncentrerad kontroll över kritisk infrastruktur skapar risker. En webb där vilken part som helst kan gå i god för användare – och sajter kan avgöra vilka utfärdare de litar på – speglar vår övertygelse att internets öppna, decentraliserade arkitektur bör bevaras på varje nivå.
Vägen framåt
Vi kommer inte att lösa det här över natten. Att implementera anonyma credentials i webbskala kräver att vi löser svåra problem inom kryptografi, standardisering och användarupplevelse. De förslag som diskuteras hos Mozilla, Cloudflare och bland webbläsartillverkare är lovande, men fortfarande tidiga.
Det viktiga är att samtalet förs. Webben behöver inte välja mellan integritet och användbarhet. Vi kan bygga system som verifierar människor utan att övervaka dem.
Fram till dess kommer vi att fortsätta squinta på de där fotgängarövergångarna. Men kanske inte för alltid.