Apple hat bereits Zertifikate im Web verschickt – und wir haben es fast nicht bemerkt.

 (httptoolkit.com)
3 Punkte von GN⁺ 2023-07-26 | 1 Kommentare | Auf WhatsApp teilen
  • Apple hat bereits ein System namens „Private Access Tokens“ entwickelt und eingeführt, das den Zugriff auf Funktionen oder Websites danach einschränkt, ob ein Client von einem vertrauenswürdigen Aussteller genehmigt wurde.
  • Private Access Tokens sind in macOS 13, iOS 16 und Safari integriert und konzentrieren sich vor allem darauf, CAPTCHAs abzuschaffen.
  • Der Mechanismus von Private Access Tokens umfasst einen HTTP-Austausch zwischen Browser und Webserver, wobei der Browser einen Teil der Herausforderung und verifizierte Gerätedetails an einen Attestierer (z. B. Apple) sendet, um sie prüfen zu lassen.
  • Wenn das Gerät verifiziert wurde, wird ein signiertes Token an den Browser zurückgegeben, und der Browser kann die Anfrage mit dem signierten Token im Authentifizierungs-Header erneut senden.
  • Dieses System wird derzeit auf Apple-Geräten in Safari verwendet sowie bei der Nutzung von Diensten wie Fastly und Cloudflare.
  • Die Datenschutzfunktionen dieses Systems wirken zwar stark, aber das Kernproblem ist, dass die Behandlung im Web davon abhängt, ob Apple das Gerät, das Betriebssystem und die Browser-Konfiguration eines Nutzers als legitim und akzeptabel ansieht.
  • Dieses System ist derzeit weniger riskant als Googles Vorschläge, weil Safari kein dominanter Browser ist. Sollte Chrome jedoch ein ähnliches System einführen, könnte es zu einem zentralen Bestandteil des Webs werden.
  • Attestierungssysteme wie Private Access Tokens schaden dem Web und der Branche im Allgemeinen, weil sie Wettbewerb und Innovation einschränken, Nutzern die Kontrolle über ihre eigenen Geräte nehmen und genehmigten Anbietern die Tür öffnen, die Regeln künftig weiter zu verschärfen.
  • Das offene Web war erfolgreich, weil es die freie Nutzung verschiedenster Clients und Server ermöglicht hat, und Attestierung untergräbt diese Prinzipien.
  • Bedenken hinsichtlich Attestierung und anderer potenzieller „Funktionen“ des Webs können durch Diskussionen aufgearbeitet werden, und es ist wichtig, ein Gleichgewicht zwischen Betrugsbekämpfung und einem gesunden Web zu finden.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-07-26
Hacker-News-Kommentare
  • Apple hat Web Environment Integrity implementiert und ausgeliefert.
  • Die Stimmung zu Apples Implementierung ist im Vergleich zu Googles Vorschlag positiver.
  • Es gibt Bedenken, dass Web Environment Integrity zu einer Fragmentierung des Internets führen könnte.
  • Linux-Geräte könnten von der Nutzung von Web Environment Integrity ausgeschlossen werden.
  • Safari hat im Vergleich zu Chrome zwar einen kleineren Marktanteil, aber die Implementierung wird dennoch als problematisch angesehen.
  • Apples Implementierung kann unter iOS deaktiviert werden.
  • Es gibt unterschiedliche Ansichten über die Notwendigkeit vertrauenswürdiger Hardware- und Software-Stacks im Web.
  • Das Web-Integrity-System könnte Ausnahmesituationen nicht angemessen behandeln.
  • Über die Vor- und Nachteile eines Webs aus identifizierten Menschen wird debattiert.
  • Die Web-Integrity-Technologie birgt Potenzial für Missbrauch und Manipulation.