Bot çağında açıklığı ve gizliliği korumaya çalışan Mozilla’nın web kimlik bilgisi yaklaşımı

 (blog.mozilla.org)
3 puan yazan GN⁺ 4 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Bot suistimali arttıkça web siteleri CAPTCHA ve giriş yapma gereksinimlerini sıkılaştırıyor; normal kullanıcılar da birlikte hem erişim sürtünmesi hem de gizlilik kaybı yaşıyor
  • Tarayıcıların izlemeyi önleme korumalarını güçlendirmesi kullanıcıları korumak için gerekli, ancak mevcut sitelerin suistimal önleme için kullandığı IP adresi ve tarayıcı parmak izi sinyallerini de zayıflatıyor
  • Mozilla, Web Environment Integrity gibi cihaz güveni kanıtı yaklaşımlarının web erişim denetimini az sayıdaki OS ve donanım sağlayıcısına devretme riski taşıdığını düşünüyor
  • Alternatif ise, kullanıcının kimliğini ya da kimin tarafından verildiğini açığa çıkarmadan makul kullanım sınırları içinde olup olmadığını doğrulayan anonim kimlik bilgileri yaklaşımı
  • Cloudflare ile diğer tarayıcılar ve web paydaşları birlikte tasarıma başladı; amaç CAPTCHA’ları, gereksiz engellemeleri ve kişinin kendini tanımlama zorunluluğunu azaltmak

Gizlilik korumasının suistimal önlemeyle çatıştığı nokta

  • Web gizliliği korumaları sürekli güçleniyor
    • Gizlilik öncelikli tarayıcılar üçüncü taraf çerezlerini kaldırıyor
    • Tarayıcı parmak izi takibini sınırlayıp IP adreslerini gizleyerek izleyicilere karşı koyuyor
  • Bu değişim kullanıcı deneyimine yeni maliyetler getiriyor
    • Kullanıcılar daha fazla CAPTCHA, giriş yapma zorunluluğu ve engelleme sayfasıyla karşılaşıyor
    • IP adresleri ve tarayıcı parmak izleri kullanıcı profillemesinde kullanılıyordu, ancak aynı zamanda sitelerin suistimal önleme sinyalleri olarak da işlev görüyordu
  • Bot trafiğindeki artış, site işletimi üzerinde de doğrudan yük oluşturuyor
    • Credential stuffing ve spam gibi büyük ölçekli suistimaller gerçek zararlara yol açabiliyor
    • Normal ziyaretçiler de daha fazla sürtünmeye ve daha düşük gizlilik düzeyine katlanmak zorunda kalıyor; siteler ise aslında hizmet vermek istedikleri kullanıcıları dışarı itebiliyor
  • Bir değişiklik olmazsa kullanıcılar gizlilik ile web erişimi arasında birini seçmeye zorlanacak
  • Web Environment Integrity (WEI) gibi öneriler, kullanıcının cihazının ve yazılımının “güvenilir” olduğunu siteye kanıtlatma yaklaşımını benimsiyor
    • Mozilla, bu yaklaşımın cihaz üzerindeki denetimi kullanıcıdan alıp az sayıdaki OS ve donanım sağlayıcısına verdiğini düşünüyor
    • Bu şirketler hangi cihazların ve yazılımların web’e erişebileceğine karar verir hale gelerek açık web anlayışının ters yönüne gidiyor

Anonim kimlik bilgileriyle hız sınırı içinde kalındığını kanıtlama yöntemi

  • Bot kaynaklı zararın özü büyük ölçekli çalıştırmada yatıyor
    • Sitenin kullanıcının kimliğini bilmesi gerekmiyor
    • Kullanıcının cihazının yalnızca onaylı yazılımları çalıştırdığını doğrulaması gerekmiyor
    • Yalnızca makul bir hız sınırı içinde kalıp kalmadığını bilmesi yeterli
  • Hız sınırının etkili olabilmesi için saldırganın yeni kimlikler oluşturup sınırı sıfırlamasının zor olması gerekiyor
    • Sitelerin e-posta adresi, federatif giriş veya cihaz parmak izi istemesinin nedeni de yeni bir tanımlayıcı edinmenin maliyetli olmasını sağlamak
    • Sorun şu ki bu tanımlayıcılar izleme için de kullanılabiliyor
  • Mevcut kullanıcı ilişkileri başka sitelerde sessiz bir kefalet işlevi görebilir
    • Örneğin abonelik ya da eski bir hesap gibi ilişkilerin bulunduğu bir site kullanıcı için kefil olabilir
    • İlk kez ziyaret edilen bir site, kullanıcının sınırlar içinde kalan gerçek bir kullanıcı olduğuna güvenebilir; ancak kullanıcının kimliğini ya da kefaletin kaynağını bilmemelidir
  • VPN örneği, bu yaklaşıma neden ihtiyaç duyulduğunu iyi gösteriyor
    • Birçok web sitesi, normal trafik ile suistimal trafiğinin karıştığı gerekçesiyle VPN trafiğini topluca engelliyor
    • VPN hizmeti aboneler bazında kefil olabilirse siteler abone düzeyinde hız sınırı yönetebilir
    • Ancak kefalet sistemi VPN kullanıcılarının izlenmesine yol açarsa, VPN kullanmanın amacı zedelenir
  • Apple’ın Private Access Tokens sistemi, Privacy Pass tabanlı tek kullanımlık token’lar sunarak ziyaretler arasında bağlantı kurulmasını engelleyebilir
    • Mozilla bu yöntemin de önemli sınırlamaları olduğunu düşünüyor
    • WEI’de olduğu gibi cihaz kanıtına dayanarak donanım kapı bekçiliğinden kaçınamıyor
    • Daha fazla tarafın kullanıcıya kefil olmasını sağlayacak şekilde sistemi açarken gizliliği korumak zor; denetim az sayıda elde toplanabiliyor
  • Mozilla’nın hedeflediği yapı, herkesin kullanıcıya kefil olabildiği ve her sitenin hangi kefillere güveneceğini kendisinin seçebildiği bir sistem
  • Anonymous credentials, bir tarafın verdiği kimlik bilgisinin kullanıcının daha sonra siteye yalnızca sınırlı sayıda sunulmasına izin verirken, sitenin ve veren tarafın kullanımı izleyememesini sağlayabiliyor
    • Kimlik bilgisini kimin verdiği de gizlenebiliyor; yalnızca güvenilir verenler kümesinden biri tarafından sağlandığı kanıtlanabiliyor
  • Mozilla, Cloudflare ve diğer tarayıcıları da kapsayan web paydaşlarıyla birlikte böyle bir sistemin tasarımına başladı
  • Nihai hedef, CAPTCHA’ları azaltmak, gereksiz engellemeleri azaltmak ve kişinin kendini tanımlama taleplerini gizliliği zedelemeden azaltmak

İlgili okumalar

1 yorum

 
GN⁺ 4 시간 전
Lobste.rs görüşleri

  • “Cloudflare ile birlikte” = anında reddetmeme neden olur
    Teknik genel bakışın technical overview kısmına bakınca Privacy Pass’in Apple, Chrome ve Kagi’de kullanıldığı söyleniyor ama Kagi’nin kullanım şekli anlamlı ölçüde özel arama sunmuyor
    Kagi’nin Origin, Attester ve Issuer’ın üçünü de aynı anda işletmesi nedeniyle Privacy Pass mimarisinin temel ilkesini ihlal ettiğini düşünüyorum

    • Bu doğru değil. Privacy Pass mimarisi, tek bir tarafın üç rolü de üstlenmesini destekliyor (RFC 9576 §4.6)
      Yine de zamanlama yan kanalları konusunda endişe duyulabilir. Çoklu sunumlu anonim kimlik bilgileri, şu anda Privacy Pass’te dağıtılan tek kullanımlık token’lara kıyasla bu tür yan kanalları azaltmada epey yardımcı oluyor
  • Teknik yazı sonda bağlantılanmış: https://hacks.mozilla.org/2026/06/…
  • Burada ilerleme görmek sevindirici. Önceki işimde, önceki girişimleri takip ederken buna biraz dahil olmuştum
    Ama “kullanıcının uygun bir Anchor’dan hiç Endorsement’ı yoksa, Credential’ı CAPTCHA, hesap oluşturma veya federatif giriş gibi mevcut mekanizmalarla bootstrap edebilir” kısmı soru işareti yaratıyor
    CAPTCHA, kullanıcıyı parmak izi toplamak için yeterince uzun süre orada tutmak dışında pek iyi çalışmıyor; hesap oluşturma ve federatif giriş de sonuçta kapıya başka mekanizmalar koymak zorunda kalıyor, yani sorunu sadece bir üst seviyeye taşıyor
    Ayrıca kütüphane bilgisayarından bankaya giriş yapmaya çalışırken, başka bir web sitesinde yeni hesap açman istenemez. Bugün “mevcut mekanizmalar” ya tarayıcı parmak izine çok büyük ölçüde dayanıyor ya da Apple örneğinde olduğu gibi donanım attestasyonuna yaslanıyor; Mozilla ve benzerlerinin amacı parmak izini imkânsız kılmaksa bunun nasıl işleyeceğini bilmiyorum
  • Sıradan tarayıcıların web sayfalarını daha agresif biçimde önbelleğe almasının daha faydalı olup olmayacağını merak ediyorum. Bunun kullanıcı parmak izini kolaylaştırabileceğini veya botların önbelleği paylaşabilmesini sağlayabileceğini anlıyorum
    Ama internetin asıl sorunu, Shopify’ın dolandırıcılık nedeniyle para kaybetmesi değil; ziyaret ettiğimiz içeriğin ortadan kayboluyor olması
  • Emin değilim. Web’i açık tutmanın çok daha etkili yolu, geçici çözümler aramak yerine crawler denilen kök nedeni ele almak gibi görünüyor
    Mesela her şeye AI sıkıştırmamak ve bu karmaşayı en başta yaratan şirketleri desteklememek ya da bunu mümkün kılmamak. Crawler’lar basitçe kapatılsa bu tür geçici çözümlere gerek kalmazdı
    • İlgili şirketlerin hepsi bir şekilde AI’ya derinden dahil olmuş durumda. Ya bunu doğrudan satıyorlar ya da tüm iş modellerini ve marka kimliklerini o yöne pivot ettiler
    • Şöyle bir söz var: “Bir problemin çözümü ‘herkesin sadece ... yapmasına’ dayanıyorsa, bu bir çözüm değildir. Herkes öylece bunu yapmaz. Evrenin tarihinde herkesin öylece bunu yaptığı hiç olmadı, şimdi de başlamayacak” (source)
      Yine de trafiğin patlamasına AI’nın yol açtığı doğru, ama bu sorun AI’dan çok daha eski ve crawler’lar da en ciddi sorun değil. Örneğin sızdırılmış kimlik bilgisi dump’larını banka girişlerinde denemek veya hediye kartlarıyla kredi kartlarına kaba kuvvet uygulamak daha büyük bir problem
      AI ortadan kalksa bile sadece 2021 düzeyindeki bir dünyaya geri döneriz; o zaman bile bu sorun zaten uzun süredir çok ciddiydi