I CAPTCHA sono gli odiosi meccanismi che su vari siti web consentono di capire determinare se un sito ha a che sfare con un essere umano o un computer (o meglio, un bot). Nei test captcha sarà prima o poi a tutti capitato di trovarsi a indicare semafori, segnali stradali, piante delle palme, taxi, semafori e altri oggetti, al fine di provare di non essere “robot”.
Nell’ultima conferenza per sviluppatori (WWDC22) Apple ha annunciato il protocollo Privacy Pass, una funzionalità prevista da iOS 16 andando in Impostazioni > ID Apple > Password e Sicurezza > Verifica automatica, che consente di effettuare verifiche automatiche e nel rispetto della privacy del proprio dispositivo e account, eliminando la necessità in app e siti web di mostrare CAPTCHA con sistemi di verifica. Semplificando, l’idea è quella di un futuro senza CAPTCHA, facendo appello esclusivamente a quelli che in gergo si chiamano token di attenzione, un nuovo standard open source per una modalità invisibile e incentrata sulla privacy che consente agli utenti di dimostrare di essere reali senza CAPTCHA o raccolta di informazioni personali.
Aziende quali Cloudflare e Fastly (specializzate in content delivery network) hanno già annunciato il supporto ai Private Access Token (nuovo metodo di login con crittografia end‑to‑end a prova di phishing e fughe di dati grazie all’autenticazione biometrica) e alle funzionalità che dagli iPhone e dai Mac (con macOS Ventura) consentiranno di bypassare i meccanismi captcha, facilitando la vita degli utenti e garantendo allo stesso tempo la sicurezza.
A questo proposito, Cloudflare, partner di Apple in questa avventura, ha messo online un’API gratuita (e in beta), Turnstile, per consentire agli sviluppatori di siti web di verificare gli utente con l’aiuto di un token di autenticazione (Private Access Tokens). Turnstile sfrutta dati della sessione web, come lo user agent o alrtr caratteristiche del browser per convalidare l’utente senza dover presentare un CAPTCHA.
In iOS 16 e macOS Ventura, il browser trasferisce la richiesta ai server di convalida iCloud (rimuovendo le credenziali del sito che ha causato la richiesta). Se tutto è in regola, il server in questione firma la richiesta e la invia al fornitore di token, elimninando dati i identificazione del dispositivo che ha causato la richiesta.
La disponibilità delle API in questione dovrebbe ridurre il numero di CAPTCHA, almeno per i possessori di dispositivi Apple.
