Mozillas Konzept für Web-Credentials, das Offenheit und Privatsphäre auch im Bot-Zeitalter bewahren soll

 (blog.mozilla.org)
3 Punkte von GN⁺ 4 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Mit zunehmendem Bot-Missbrauch verschärfen Websites ihre CAPTCHA- und Login-Anforderungen, wodurch auch legitime Nutzer zugleich Zugriffsreibung und weniger Privatsphäre erleben
  • Eine stärkere Tracking-Abwehr im Browser ist nötig, um Nutzer zu schützen, schwächt aber auch Signale wie IP-Adressen und Browser-Fingerprints, die bestehende Websites zur Missbrauchsabwehr genutzt haben
  • Mozilla sieht in Geräte-Vertrauensnachweisen wie Web Environment Integrity das Risiko, die Kontrolle über den Webzugang an wenige OS- und Hardware-Anbieter zu übertragen
  • Die Alternative ist ein Modell mit anonymen Credentials, das prüfen kann, ob sich jemand innerhalb angemessener Nutzungsgrenzen bewegt, ohne die Identität des Nutzers oder die Herkunft der Ausstellung offenzulegen
  • Cloudflare und andere Browser- sowie Web-Stakeholder haben gemeinsam mit dem Entwurf begonnen; das Ziel ist, CAPTCHA, unnötige Sperren und Anforderungen zur Selbstidentifizierung zu verringern

Wo der Schutz der Privatsphäre mit der Missbrauchsabwehr kollidiert

  • Der Schutz der Privatsphäre im Web wird weiter verstärkt
    • Privacy-First-Browser schaffen Third-Party-Cookies ab
    • Sie begegnen Trackern, indem sie Browser-Fingerprinting einschränken und IP-Adressen verbergen
  • Diese Veränderung bringt neue Kosten für die Nutzererfahrung mit sich
    • Nutzer sehen sich mit mehr CAPTCHAs, Login-Aufforderungen und Sperrseiten konfrontiert
    • IP-Adressen und Browser-Fingerprints wurden zwar für Nutzerprofiling verwendet, dienten Websites aber zugleich auch als Signale zur Missbrauchsabwehr
  • Der Anstieg des Bot-Traffics belastet auch den Betrieb von Websites direkt
    • Missbrauch in großem Maßstab wie Credential Stuffing und Spam kann realen Schaden verursachen
    • Auch legitime Besucher müssen mehr Reibung und weniger Privatsphäre hinnehmen, und Websites können die Nutzer verdrängen, die sie eigentlich bedienen wollten
  • Ohne Veränderungen würden Nutzer dazu gedrängt, sich zwischen Privatsphäre und Webzugang zu entscheiden
  • Vorschläge wie Web Environment Integrity (WEI) funktionieren so, dass Nutzer gegenüber Websites nachweisen, dass ihr Gerät und ihre Software „vertrauenswürdig“ sind
    • Mozilla sieht in diesem Ansatz eine Verlagerung der Gerätekontrolle vom Nutzer zu wenigen OS- und Hardware-Anbietern
    • Diese Anbieter würden dann entscheiden, welche Geräte und Software auf das Web zugreifen dürfen, was der Idee des offenen Webs entgegenläuft

Wie sich mit anonymen Credentials Rate Limits nachweisen lassen

  • Der Kern des Bot-Schadens liegt in der massenhaften Ausführung
    • Websites müssen die Identität eines Nutzers nicht kennen
    • Sie müssen auch nicht prüfen, ob das Gerät des Nutzers nur genehmigte Software ausführt
    • Es genügt zu wissen, ob sich jemand innerhalb eines angemessenen Rate Limits bewegt
  • Damit Rate Limits wirksam sind, muss es für Angreifer schwierig sein, neue Identitäten zu erzeugen und dadurch das Limit zurückzusetzen
    • Auch deshalb verlangen Websites E-Mail-Adressen, föderierte Logins oder Geräte-Fingerprints: um neue Identifikatoren mit Kosten zu verbinden
    • Das Problem ist, dass solche Identifikatoren auch zum Tracking verwendet werden können
  • Bestehende Nutzerbeziehungen könnten auf anderen Websites als stillschweigende Bürgschaft dienen
    • So könnte etwa eine Website mit einer Beziehung zum Nutzer, etwa über ein Abo oder ein langjähriges Konto, für ihn bürgen
    • Eine erstmals besuchte Website könnte darauf vertrauen, dass der Nutzer echt ist und innerhalb des Limits bleibt, sollte aber weder seine Identität noch die Quelle der Bürgschaft kennen
  • Das Beispiel VPN zeigt gut, warum dieser Ansatz nötig ist
    • Viele Websites blockieren VPN-Traffic pauschal, weil sich darin legitimer und missbräuchlicher Traffic mischen
    • Wenn ein VPN-Dienst pro Abonnent bürgen könnte, könnten Websites Rate Limits auf Abonnentenebene verwalten
    • Würde das Bürgschaftssystem jedoch VPN-Nutzer nachverfolgbar machen, würde damit der Zweck eines VPN unterlaufen
  • Apples Private Access Tokens liefern auf Basis von Privacy Pass Einmal-Tokens, die eine Verknüpfung zwischen Besuchen verhindern sollen
    • Mozilla sieht auch in diesem Ansatz wichtige Grenzen
    • Wie bei WEI stützt er sich auf Gerätenachweise und vermeidet damit kein Hardware-Gatekeeping
    • Es ist schwer, das System für mehr Akteure zu öffnen, die für Nutzer bürgen, und dabei zugleich die Privatsphäre zu wahren; die Kontrolle könnte sich auf wenige konzentrieren
  • Die von Mozilla angestrebte Struktur ist ein System, in dem jeder für Nutzer bürgen kann und jede Website selbst auswählen kann, welchen Bürgen sie vertraut
  • Anonymous credentials ermöglichen es, dass ein von einer Stelle ausgestelltes Credential später nur eine begrenzte Zahl von Malen auf Websites vorgelegt werden kann, ohne dass Website oder Aussteller die Nutzung nachverfolgen können
    • Es lässt sich sogar verbergen, wer das Credential ausgestellt hat; nachweisbar ist nur, dass es aus einer Menge vertrauenswürdiger Aussteller stammt
  • Mozilla hat gemeinsam mit Cloudflare und anderen Browsern sowie weiteren Web-Stakeholdern mit dem Entwurf eines solchen Systems begonnen
  • Das endgültige Ziel ist, weniger CAPTCHAs, weniger unnötige Sperren und weniger Anforderungen zur Selbstidentifizierung zu erreichen, ohne die Privatsphäre zu beeinträchtigen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 4 시간 전
Lobste.rs-Kommentare

  • „Mit Cloudflare“ = für mich sofort ein Ausschlusskriterium
    In der technical overview des technischen Überblicks steht, dass Privacy Pass bei Apple, Chrome und Kagi verwendet wird, aber Kagis Einsatzweise bietet keine nennenswert private Suche
    Kagi betreibt Origin, Attester und Issuer alle gleichzeitig und verletzt damit meiner Ansicht nach das Kernprinzip der Privacy-Pass-Architektur

    • Das ist nicht korrekt. Die Privacy-Pass-Architektur unterstützt, dass eine einzelne Partei alle drei Rollen übernimmt (RFC 9576 §4.6)
      Timing-Seitenkanäle können allerdings ein berechtigter Grund zur Sorge sein. Anonyme Zugangsdaten mit Mehrfachverwendung helfen derzeit deutlich dabei, solche Seitenkanäle stärker zu reduzieren als die Einmal-Tokens, die aktuell mit Privacy Pass eingesetzt werden
  • Der technische Artikel ist am Ende verlinkt: https://hacks.mozilla.org/2026/06/…
  • Es ist schön, hier Fortschritte zu sehen. Ich habe in einem früheren Job frühere Versuche verfolgt und war ein wenig daran beteiligt
    Allerdings finde ich die Aussage fragwürdig, dass „wenn Nutzer keinerlei Endorsement von einem geeigneten Anchor haben, sie Credentials über bestehende Mechanismen wie CAPTCHA, Kontoerstellung oder föderiertes Login bootstrappen können“
    CAPTCHAs funktionieren kaum, außer als Mittel, Nutzer lange genug festzuhalten, damit Fingerprinting betrieben werden kann, und Kontoerstellung sowie föderierte Logins müssen letztlich ebenfalls mit irgendeinem anderen Mechanismus abgesichert werden und verschieben das Problem nur eine Ebene nach oben
    Außerdem kann man jemanden an einem Bibliothekscomputer, der sich bei seiner Bank anmelden will, schlecht dazu zwingen, erst auf einer anderen Website ein neues Konto anzulegen. Heutige „bestehende Mechanismen“ stützen sich entweder sehr stark auf Browser-Fingerprinting oder, wie bei Apple, auf Hardware-Attestierung; wenn das Ziel von Mozilla und anderen aber ist, Fingerprinting unmöglich zu machen, ist mir nicht klar, wie das funktionieren soll
  • Wäre es nicht nützlicher, normale Browser dazu zu bringen, Webseiten aggressiver zu cachen? Ich verstehe, dass das Fingerprinting für Nutzer erleichtern oder Bots erlauben könnte, sich einen Cache zu teilen
    Aber das Hauptproblem des Internets ist nicht, dass Shopify durch Betrug Geld verliert, sondern dass die Inhalte, die wir besucht haben, verschwinden
  • Ich weiß nicht. Eine viel wirksamere Möglichkeit, das Web offen zu halten, wäre wohl, statt nach Workarounds zu suchen die Crawler selbst als Ursache anzugehen
    Zum Beispiel nicht überall AI hineinzustecken und nicht ausgerechnet die Unternehmen zu unterstützen oder handlungsfähig zu machen, die dieses Chaos überhaupt ausgelöst haben. Wenn die Crawler einfach aufhören würden, bräuchte man solche Workarounds nicht
    • Alle beteiligten Unternehmen sind auf die eine oder andere Weise tief in AI involviert. Entweder verkaufen sie es direkt, oder sie haben ihr gesamtes Geschäftsmodell und ihre Markenidentität darauf ausgerichtet
    • Es gibt das Sprichwort: „Wenn die Lösung für ein Problem davon abhängt, dass ‚alle einfach … tun‘, dann ist es keine Lösung. Alle tun nicht einfach so etwas. In der Geschichte des Universums haben nicht einfach alle so gehandelt, und sie werden auch jetzt nicht damit anfangen“ (source)
      Trotzdem stimmt es, dass AI den starken Anstieg des Traffics verursacht hat, aber dieses Problem ist viel älter als AI, und Crawler sind nicht einmal das gravierendste Problem. Schwerwiegender ist zum Beispiel, wenn geleakte Credential-Dumps für Bank-Logins ausprobiert werden oder Geschenk- und Kreditkarten per Brute Force angegriffen werden
      Selbst wenn AI verschwände, würden wir nur auf das Niveau der Welt von 2021 zurückfallen, und schon damals war dieses Problem seit Langem sehr ernst