- Appleはすでに「Private Access Tokens」というシステムを開発・展開しており、クライアントが信頼できる発行者によって承認されているかどうかに応じて、機能やサイトへのアクセスを制限します。
- Private Access TokensはMacOS 13、iOS 16、Safariに統合されており、主にCAPTCHAの排除に焦点を当てています。
- Private Access Tokensの仕組みには、ブラウザとWebサーバー間のHTTPのやり取りが含まれ、ブラウザはチャレンジの一部と確認済みデバイスの詳細を認証者(例: Apple)に送って検証を受けます。
- デバイスが確認されると、署名付きトークンがブラウザに返され、ブラウザは署名付きトークンを認証ヘッダーとともに付けてリクエストを再送できます。
- このシステムは現在、SafariおよびFastlyやCloudflareのようなサービスを利用する場合に、Appleデバイス上で使用されています。
- このシステムのプライバシー保護機能は強力に見えますが、核心的な問題は、Web上での扱いがAppleがユーザーのデバイス、OS、ブラウザ構成を正当かつ許容可能とみなすかどうかによって左右されることです。
- このシステムはSafariが支配的なブラウザではないためGoogleの提案より危険ではありませんが、Chromeが同様のシステムを導入すれば、Webの主要な一部になり得ます。
- Private Access Tokensのような認証システムは、一般にWebと業界に有害な影響を及ぼし、競争とイノベーションを制限し、ユーザーが自分のデバイスを制御できなくし、承認された提供者が将来ルールを強化できる道を開きます。
- オープンWebは、多様なクライアントとサーバーを自由に使えることによって成功してきたのであり、認証はこうした原則を壊します。
- 認証やその他の潜在的なWebの「機能」に対する懸念は議論を通じて解決でき、不正防止とWebの健全性維持のためのバランスを見つけることが重要です。
1件のコメント
Hacker Newsの意見